Der weltweite Handel ermöglicht die Verfügbarkeit nahezu unendlicher vieler Waren. Damit die globale Logistik aber auch funktioniert, braucht es digitale Systeme. Mit einer steig wachsenden Abhängigkeit steigt gleichzeitig auch das Risiko durch Cyberangriffe.
Internationale Normen von IEC und ISO unterstützen Unternehmen und Organisationen bei der Reduzierung von Schwachstellen in ihren Systemen. Kritische Infrastrukturen, deren Ausfall massiven Einfluss auf unseren Alltag nehmen würde, können so geschützt werden.
Die globale Ausbreitung des Internets und die weitverbreitete Nutzung künstlicher Intelligenz (KI), das Internet der Dinge (IoT) und andere zukunftsweisende Technologien treiben den digitalen Wandel des internationalen Handels voran.Sowohl Unternehmen als auch Verbraucher setzen zunehmend auf digitale Lösungen im Bereich der Kommunikation und des elektronischen Handels sowie als Informationsquelle. Versorgungsunternehmen, Verkehrssysteme, Produktionsanlagen und andere kritische Infrastruktur haben sich zu cyber-physischen Systemen entwickelt.Aus diesem Grund sind solide Cybersecurity-Maßnahmen zum Schutz der Wirtschaft erforderlich. Hierbei spielen internationale Normen eine entscheidende Rolle. Die Normen stellen einen gemeinsamen Rahmen für den Umgang mit Cybersecurity-Risiken zur Verfügung, fördern das Vertrauen zwischen Handelspartnern und erleichtern reibungslose grenzüberschreitende Transaktionen.
Beseitigung von Schwachstellen in kritischer Infrastruktur
Die kritische Infrastruktur ist das Rückgrat des globalen Handels. Heutzutage ist alles, vom Stromnetz bis hin zu Getränkeabfüllanlagen, mit Sensoren und Monitoren verbunden, die Daten sammeln, analysieren und mit anderen Geräten und Systemen kommunizieren, um die Leistung, Qualität und Konsistenz zu verbessern. Das macht sie zu einem attraktiven Ziel für Cyberangriffe. Die IEC hat die Herausforderung angenommen und die Norm IEC 62443 entwickelt, die sich speziell mit industriellen Automatisierungs- und Steuerungssystemen (IACS) auseinandersetzt, die in kritischer Infrastruktur zum Einsatz kommen.
Ein wesentliches Problem ist, dass Cybersecurity häufig nur im Kontext von IT gesehen wird. Sicherheitsverantwortliche übersehen nicht selten die Einschränkungen bezüglich der Betriebsfähigkeit in Branchen wie dem Energiesektor, dem Fertigungsbereich, dem Gesundheitswesen oder dem Verkehrssektor.
Die Zunahme von vernetzten Geräten hat die Konvergenz der vormals getrennten Bereiche Informationstechnologie (Information Technology; IT) und Betriebstechnologie (Operational Technology; OT) beschleunigt. Aus der Perspektive von Cybersecurity besteht die Herausforderung darin, dass Automatisierungs- und Steuerungssysteme, anders als Business-Systeme, tatsächlich dafür ausgelegt sind, den Zugriff aus verschiedenen Netzwerken zu erleichtern.
Industrielle Umgebungen sind mit unterschiedlichen Risiken konfrontiert. Während sich die IT-Sicherheit gleichermaßen auf den Schutz der Vertraulichkeit (confidentiality), Integrität (integrity) und Verfügbarkeit (availability) von Daten konzentriert, die sog. „C-I-A-Triade“, ist in der Welt der Betriebstechnologie die Verfügbarkeit das Wichtigste. Bei OT-Umgebungen sind die Prioritäten Gesundheit und Sicherheit sowie der Schutz der Umwelt. Um das Personal schützen zu können bzw. die Auswirkungen von Naturkatastrophen auf ein Minimum zu reduzieren, ist es daher in einem Notfall von elementarer Bedeutung, dass das Bedienpersonal wahrheitsgetreue und zeitnahe Informationen erhält und schnell die passenden Maßnahmen ergreifen kann, wie beispielsweise das Stromnetz abzuschalten oder auf Backup-Systeme zurückzugreifen.
IEC 62443 liefert einen umfassenden Leitfaden für den Schutz der Sicherheit, Integrität, Verfügbarkeit und Vertraulichkeit im Bereich von industriellen Automatisierungs- und Steuerungssystemen. Durch die Verbesserung der Sicherheit cyber-physischer Systeme trägt IEC 62443 dazu bei, einen ununterbrochenen Waren- und Dienstleistungsverkehr sicherzustellen und den globalen Handel vor durch Cyberattacken verursachten Unterbrechungen zu schützen.
Die Umsetzung von IEC 62443 ermöglicht es Unternehmen, Cybersecurity in ihre Business-Continuity-Management-Systeme, also ihre Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit, zu integrieren, wodurch ein ununterbrochener Betrieb sichergestellt und das Vertrauen zwischen Handelspartnern gestärkt wird.
Sicherung von IT-Systemen
Neben dem Schutz der kritischen Infrastruktur ist die Sicherung der IT-Systeme für das reibungslose Funktionieren des globalen Handels von entscheidender Bedeutung. ISO/IEC 27001, ein Gemeinschaftsprojekt von ISO und IEC, dient als Maßstab in Bezug auf Managementsysteme für Informationssicherheit.Die Norm konzentriert sich auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, einschließlich sensibler Informationen wie personenbezogene Daten (en: personally identifiable information, PII) und geistiges Eigentum.
Verfolgen eines risikobasierten Ansatzes im Hinblick auf Cybersecurity
Sowohl IEC 62443 als auch ISO/IEC 27001 befürworten einen risikobasierten Ansatz im Hinblick auf Cybersecurity. Der Ansatz trägt der Tatsache Rechnung, dass es unpraktisch und nicht tragbar ist, sämtliche Ressourcen gleichermaßen zu schützen. Beide Normen empfehlen Unternehmen, ihre wertvollsten Ressourcen im Hinblick auf die Aufrechterhaltung der Betriebsfähigkeit zu priorisieren und Schwachstellen zu identifizieren, um geeignete Abhilfemaßnahmen zu ergreifen.Durch die Verwendung eines risikobasierten Ansatzes können Unternehmen Ressourcen effektiv verteilen, potentielle Gefahren mindern und die Auswirkungen von Cybervorfällen minimieren. Der Ansatz stellt sicher, dass Cybersecurity-Maßnahmen auf die Geschäftspraktiken und die Risikobereitschaft sowie die Compliance-Anforderungen abgestimmt sind, sodass sie die Stabilität und Resilienz des globalen Handels fördern.
Branchenspezifische Lösungen
IEC 62443 und ISO/IEC 27001 sind „horizontale“, grundlegende Normen. IEC-Fachleute haben auf ihrer Basis eine Reihe sog. „vertikaler“ Normen entwickelt, die darauf ausgelegt sind, bestimmte technische Erfordernisse zu erfüllen, beispielsweise im Energie- und Transportsektor, um unter anderem die Informationssicherheit im Hinblick auf Beziehungen zu Dritten zu gewährleisten oder um E-Commerce- und Online-Banking-Transaktionen zu schützen.
Konformitätsbewertung zur Stärkung des Vertrauens in den globalen Handel
Im globalen Handel spielt die Konformitätsbewertung eine wesentliche Rolle bei der Verbesserung der Cybersecurity und der Stärkung des Vertrauens von Interessengruppen. Die IEC bietet eine Konformitätsbewertung mittels IECEE-Zertifizierung für IEC 62443, während IECQ eine Konformitätsbewertung für ISO/IEC 27001 bereitstellt.
Die Zertifizierungsverfahren stellen sicher, dass Normen zur Cybersecurity richtig umgesetzt werden. Zertifizierungen, die auf diesen Normen beruhen, dienen als international anerkannter Nachweis der Einhaltung von Best Practices und fördern auf diese Weise das Vertrauen zwischen Handelspartnern und erleichtern reibungslosere Handelsbeziehungen.
Förderung von Konsistenz und Erleichterung des Handels im digitalen Zeitalter
Die Anwendung der Cybersecurity-Normen von IEC und ISO/IEC fördert globale Konsistenz und schafft dadurch gleiche Wettbewerbsbedingungen für Unternehmen, die grenzüberschreitend tätig sind. Indem sie sich an die Normen halten, können Unternehmen unter Beweis stellen, dass sie sich für Cybersecurity einsetzen und sich einen Wettbewerbsvorteil im internationalen Markt verschaffen.
Darüber hinaus erleichtert die Einbindung dieser Normen in Handelsabkommen und nationale Vorschriften den Handel, indem Anforderungen an die Cybersecurity vereinheitlicht und technische Barrieren abgebaut werden sowie eine sichere digitale Umgebung geschaffen wird, die den globalen Handel fördert.
Die von IEC und ISO/IEC entwickelten Cybersecurity-Normen sind für den Schutz und die Resilienz des globalen Handels unverzichtbar, insbesondere in Kombination mit der Konformitätsbewertung. Internationale Normen fördern Vertrauen, erleichtern Handelsbeziehungen und stellen ein reibungsloses Funktionieren des weltweiten digitalen Ökosystems sicher, indem sie Schwachstellen in der kritischen Infrastruktur beheben, IT-Systeme schützen und einen risikobasierten Ansatz befürworten.
Die Einhaltung dieser Normen senkt nicht nur Cyberrisiken, sondern stärkt zudem die Grundlage für nachhaltiges Wirtschaftswachstum in einer vernetzten Welt.
Redaktioneller Hinweis:
Der englischsprachige Originalartikel erschien erstmals auf etech.iec.ch in der Ausgabe 03/2023.Zu finden unter: https://etech.iec.ch/issue/2023-03/cyber-security-safeguarding-global-trade
Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.
DKE - VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.
