Cybersicherheit industrieller Anlagen: Australische Partnerbehörde veröffentlicht Grundsatzpapier zur OT-Cybersicherheit

Der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology, OT) stellt Organisationen vor große Herausforderungen hinsichtlich der Cybersicherheit — auch, weil sie häufig sehr lange Lebenszyklen hat, und insbesondere, wenn sie in Kritischen Infrastrukturen eingesetzt wird. Dabei ist ihre Bedeutung aus Sicht des BSI nicht zu unterschätzen: OT-Produkte tragen dazu bei, die Sicherheit von Menschen, Produktionsanlagen und nicht zuletzt der Umwelt zu gewährleisten.

Das Australian Cyber Security Centre (ACSC) hat das Dokument „Principles of operational technology cyber security“, zu Deutsch „Grundsätze der Cybersicherheit von Operational Technology“, veröffentlicht. Gemeinsam mit weiteren internationalen Partnerbehörden war das Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Erstellung des Dokuments beteiligt und unterstützt dessen Veröffentlichung. Das Grundsatzdokument hilft Betreibern mit grundsätzlichen Fragestellungen und hat zum Ziel, den Betrieb von OT resilienter zu gestalten.

Es werden sechs Grundsätze zur Schaffung und Aufrechterhaltung einer sicheren OT-Umgebung beschrieben:

• Safety (Funktionale Sicherheit) ist oberstes Gebot
• Profunde Kenntnisse der Geschäftsprozesse und Technik sind entscheidend
• OT-Daten sind äußerst wertvoll und müssen geschützt werden
• OT muss von allen anderen Netzwerken segmentiert und getrennt sein
• Die Lieferkette muss sicher sein
• Menschen mit ihrer Erfahrung und Expertise sind für die Cybersicherheit in der OT unerlässlich

OT umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert. Hierzu zählen insbesondere Steuerungssysteme (Industrial Control Systems, ICS) und Automationslösungen, genauso wie Laborgeräte, Logistiksysteme oder Gebäudeleittechnik. Da in der OT zunehmend auch IT-Komponenten aus der Office-IT eingesetzt werden, ist von einem ähnlich hohen Gefährdungsgrad auszugehen. Jedoch weist die OTgegenüber der klassischen IT wesentliche Unterschiede auf, die es erschweren, etablierte Sicherheitsverfahren anzuwenden.

Die steigende Tendenz OT stärker zu vernetzen, erfordert neben dem Verständnis für die Systeme, Prozesse und deren Integration in eine bestehende Infrastruktur auch eine Vorstellung von potentiellen Angriffsszenarien. Aus Sicht des BSIist es zwingend notwendig, dass OT-spezifische Notfallpläne und Playbooks in andere Notfall- und Krisenmanagementpläne sowie Business-Continuity-Pläne von Organisationen integriert werden. 

Die Grundsätze für die OT-Cybersicherheit sollen Betreiber unterstützen, fundierte und umfassende Entscheidungen zu treffen, um die Sicherheit und Kontinuität des Geschäftsbetriebs bei der Planung, Implementierung und Verwaltung von OT-Systemen sicher zu stellen. Die Grundsätze sollen für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeitenden einer Organisation ansprechen – unabhängig davon, ob es sich um operative, taktische oder strategische Entscheidungen handelt. Mithilfe der Grundsätze kann OT-Cybersicherheit ganzheitlich gestaltet werden.

Auf US-amerikanischer Seite wird die Veröffentlichung von der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA), dem Federal Bureau of Investigations (FBI) und dem Multi-State Information Sharing and Analysis Center (MS-ISAC) unterstützt. In Kanada unterstützen das Canadian Centre for Cyber Security(CCCS) und ein Teil des Communications Security Establishment (CSE) und auf neuseeländischer Seite das National Cyber Security Centre (NCSC-NZ).

Das ausführliche, elfseitige Dokument (in Englisch) kann unter folgendem Link abgerufen werden.