Der ergänzende Leitfaden VdS 3473-1 richtet sich vor allem an Produktionsbetriebe

Moderne Industriebetriebe kommen quasi nicht mehr ohne Automatisierungssysteme aus (Quelle: Fotolia)

Mit den Richtlinien VdS 3473 „Cyber Security für kleine und mittlere Unternehmen (KMU)“ hat VdS Schadenverhütung im Juli 2015 einen generischen Ansatz für die Etablierung und Aufrechterhaltung von Informationssicherheit veröffentlicht, der sich seitdem wachsender Beliebtheit erfreut und branchenübergreifend Anwendung findet. Die fortschreitende Digitalisierung der Arbeitswelt und tägliche Schreckensmeldungen über Hacker-Angriffe belegen, dass Informationssicherheit längst zu einem wichtigen Aspekt der Unternehmensführung und des Risikomanagements geworden ist. Dies betrifft insbesondere das produzierende Gewerbe, das unter dem Stichwort „Industrie 4.0“ mehr denn je auf eine ordnungsgemäß funktionierende IT angewiesen ist. VdS Schadenverhütung trägt diesem Umstand mit dem „Leitfaden zur Interpretation und Umsetzung der VdS 3473 für industrielle Automatisierungssysteme“ (VdS 3473-1) Rechnung, der zur Hannover Messe im April 2017 als Entwurf veröffentlicht wurde.

von Michael Wiesner, Berater für Informationssicherheit im Mittelstand info(at)michael-wiesner.info

Aufbau des Leitfadens

Der Aufbau dieses neuen Leitfadens orientiert sich an der bekannten Struktur der VdS 3473 und geht dabei auf die jeweiligen Besonderheiten im Produktionsbereich ein. Neben den durch branchenspezifische Standards (z. B. IEC 62443, VDI 2182, BSI CS-123) ergänzten normativen Verweisen ist bereits im Glossar erkennbar, dass es vor allem bei Begrifflichkeiten einer besonderen Schärfung und Konkretisierung bedarf, da hier „klassische IT“ und Automatisierungstechnik nicht immer deckungsgleich sind.

Verantwortlichkeiten

Der Prozess der Informationssicherheit ist ein übergreifender und für alle Teilbereiche des Unternehmens geltender Prozess, der daher natürlich auch im Produktionsbereich Gültigkeit besitzt. Dieser Umstand bedeutet für viele Unternehmen einen Bruch mit der bisherigen Organisationsstruktur, bei der in der Regel der Produktionsleiter für die Sicherheit der Produktionsanlagen und somit auch der darin enthaltene IT zuständig ist.

Eine Schnittstelle zur klassischen IT und damit zum Informationssicherheitsbeauftragten (ISB) wird in der Regel nur gesehen, wenn die Produktion bereits stark mit der IT verzahnt ist. Der neue VdS-Leitfaden
stellt hier klar, dass der ISB in seiner Funktion auch für die Informationssicherheit der Produktionsanlagen
zuständig ist, vom Produktionsverantwortlichen jedoch aktiv bei dieser Aufgabe unterstützt werden sollte.

Dieser muss daher auch im Informationssicherheitsteam (IST) vertreten sein, sodass die Besonderheiten
des Produktionsbereichs ausreichend Beachtung finden.

Regelungen für Operatoren und Systemintegratoren

Bedienpersonal von Automatisierungssystemen („Operatoren“) entsprechen der Definition „Nutzer“ der VdS 3473, sodass diesbezügliche Regelungen auch hier Gültigkeit besitzen. Abweichend ist jedoch festgelegt, dass die Privatnutzung der IT im Produktionsbereich grundsätzlich nicht erlaubt ist.

Regelungen für Systemintegratoren werden im Kontext der „Regelungen für Lieferanten und sonstige Auftragnehmer“ konkretisiert und auf Systeme mit funktionaler Sicherheit (z. B. Sensoren und Zuhaltungen
von Schutzzäunen) erweitert. Hier wird beispielsweise klargestellt, dass bereits der Anschluss von Diagnose-PCs als Zugriff auf die nichtöffentliche IT des Unternehmens bewertet werden kann und dementsprechend zu regeln ist.

Automatisierungssysteme und Netzwerke

Alle Automatisierungssysteme sind gemäß dem Leitfaden VdS 3473-1 IT-Systeme und dementsprechend zu behandeln. Dies betrifft neben den Grundanforderungen, wie etwa eine strukturierte Verwaltung des Lebenszyklus, insbesondere den Basisschutz sowie mögliche zusätzliche Maßnahmen für kritische Automatisierungssysteme. Hier wird besonders auf den hohen Stellenwert der Verfügbarkeit eingegangen und es werden entsprechende Hinweise zur Aufrechterhaltung des Regelbetriebs gegeben (z. B. Hochverfügbarkeit durch 1-aus-2-Redundanz).

An Netzwerke und Verbindungen werden im Produktionsbereich keine erhöhten Anforderungen gestellt.
Da die Kopplung von Produktions- und „Office“-Netzwerken erfahrungsgemäß ein hohes Risiko für beide Seiten darstellt, fordert die Leitlinie jedoch grundsätzlich eine klare Segmentierung bzw. Separierung dieser Netze.

Der Anschluss eines Diagnose- PCs wird bereits als Zugriff auf die nichtöffentliche IT des Unternehmens Bewertet (Quelle: Fotolia)

Resümee und Ausblick

Durch den generischen Ansatz der VdS 3473 sind die Richtlinien sehr gut auf Unternehmen mit Produktionsbereich anwendbar, ohne dass einzelne Anforderungen gestrichen oder modifiziert werden müssen.

Eine Schlüsselrolle für den Erfolg bei der Umsetzung spielt hier insbesondere die Kommunikation zwischen den jeweiligen IT-Verantwortlichen und dem Informationssicherheitsbeauftragten.
Es gilt, Automatisierungstechnik und klassische IT unter dem Dach der Informationssicherheit
zusammenzuführen.

Dem ISB wird hierbei die Rolle des Vermittlers zuteil, denn oft unterscheiden sich beide Welten in Sprache und Gewohnheiten. Auch hier zeigt sich wieder die herausragende Bedeutung des Informationssicherheitsteams, das alle Beteiligten an einen Tisch bringt und so den direkten Austausch untereinander fördert.

Auf der diesjährigen Hannover Messe war deutlich sichtbar, dass Informationssicherheit inzwischen auch
im Produktionsumfeld als wichtiger Erfolgsfaktor gesehen wird. Die VdS-Richtlinien 3473 bieten hier ein
greifbares Rahmenwerk, das durch den Leitfaden VdS 3473-1 für industrielle Automatisierungssysteme
konkretisiert wird.

Dieses Konzept kann zukünftig auf andere Sektoren oder Branchen ausgeweitet werden. So ist beispielsweise ein Leitfaden für das Gesundheitswesen denkbar, um die spezifischen Anforderungen von
Arztpraxen oder Krankenhäusern (s. dazu auch s+s report 1/2017, S. 44) zu adressieren.

Eine aktuelle Version der Richtlinien VdS 3473 und des neuen Leitfadens VdS 3473-1 sind unter vds.de/cyber kostenlos herunterzuladen. Dort sind auch alle weiteren aktuellen Informationen zur VdS-Cyber-Security zu finden.

Der VdS-Quick-Check für ICS erlaubt Unternehmen eine erste Bestandsaufnahme des IT-Sicherheitsstatus ihrer Produktionsanlagen und ergänzt den allgemeinen Quick-Check für die klassische Office-IT https://www.vds-quick-check.de/quick-check-fuer-ics/