Industrial Control Systems

Article

Industrial Control Systems

Securing the Heart of your Business

Industrial Control Systems (ICS) werden in der Industrie sowie im Bereich kritischer Infrastrukturen für Steuerungs-, Mess- und Regelfunktionalitäten eingesetzt.

ICS und Office-IT nähern sich an

Ursprünglich wurden Steuerungs-, Mess- und Regelfunktionalitäten, meist proprietären Systeme, in eigenständigen (Netzwerk-)Umgebungen betrieben. Jedoch ist eine fortschreitende Vernetzung von ICS-Systemen mit der klassischen Office-IT zu beobachten.

Diese Vernetzung soll effizientere Prozessabläufe ermöglichen und dadurch vor allem auch Kosten einsparen. Auch die Bundesregierung erkannte die Wichtigkeit dieses nächsten großen Schrittes in der Produktion und unterstützt diese Revolution mit dem Projekt „Industrie 4.0“.

Produktionskomponenten

Produktionskomponenten werden bereits häufig mit der bestehenden IT-Infrastruktur vernetzt:

Wie in Abbildung 1 exemplarisch dargestellt, bildet die IT einen integralen Bestandteil des Produktionsprozesses. Erweiterte Geschäftsanforderungen bedingen die Anbindung von Produktionskomponenten an ERP-Systeme oder die Anbindung von Produktionsteuerungssoftware an die originäre Office-IT und das Internet. Hierdurch entsteht eine Verbindung zwischen den gewachsenen und häufig proprietären Strukturen aus dem ICS-Umfeld in die oftmals stark standardisierte Welt der Office-IT. Durch diese Verbindung werden die ICS-Komponenten allen Sicherheitsrisiken ausgesetzt, die auch im traditionellen IT-Umfeld bestehen

Download der Infographik: Produktionskomponente.

Besonderheiten der ICS Security

Die Herausforderungen im ICS-Umfeld sind dabei jedoch strukturell unterschiedlich zu denen im Office-IT-Umfeld. So ist beispielsweise bei einer Produktionsstraße das Ziel Produkte zu fertigen. Nur solange eine Anlage funktionsfähig ist, kann produziert werden, andernfalls entsteht ein monetär messbarer Schaden. Das primäre Schutzziel einer Produktionsanlage ist deshalb, die Verfügbarkeit aufrecht zu halten. Anders ist es ist bei einer Entwicklungsabteilung. Hier ist die Vertraulichkeit von Daten wichtiger als der kurzfristige Ausfall des IT-Systems. Würden die Forschungsergebnisse an die Öffentlichkeit oder den Wettbewerb gelangen, entstünde ein direkter monetärer Verlust für das Unternehmen. Es muss jedoch für jeden Prozess die jeweiligen Schutzziele evaluiert werden, da jeder Prozess individuelle Risiken birgt. Nur mit einer genauen und auf den Prozess abgestimmten Risikoanalyse können wirksame Maßnahmen umgesetzt werden.

IC-Systeme lassen sich dabei in vier grundsätzliche Ebenen unterteilen, die unterschiedliche Funktionen bedienen und Technologien nutzen. Für alle Ebenen, ausgehend von unternehmensweiten ERP-Applikationen bis hin zu einzelnen Sensoren und SCADA-Systemen, müssen anhand des spezifischen Schutzbedarfs angemessene Sicherheitsmaßnahmen ausgewählt werden.

Dabei muss jede Ebene einzeln und in Wechselwirkung mit anderen Ebenen betrachtet werden.

ICS Layer Architektur mit vier Ebenen

Bedingt durch einen in der Regel langen ICS-Lebenszyklus von durchschnittlich 15-25 Jahren, besteht zudem eine besondere Herausforderung darin, Sicherheitsmaßnahmen im laufenden Betrieb in gewachsene Umgebungen einzuführen und fort zu entwickeln.

Zusätzlichen zu diesen Charakteristika können bekannte Frameworks, wie bspw. ISO/IEC 27001 und Sicherheitsmaßnahmen aus der Office-IT nur angepasst eingesetzt werden. Setzt man in der Office-IT beispielsweise einen Virenscanner ein, um sich vor Virenbefall, Würmern und Trojanern zu schützen, so kann man diese Technologie nicht für alle IC-Systemen uneingeschränkt nutzen. Die Gründe hierfür sind vielfältig. Beispielsweise lässt der Hersteller keine andere Software auf seinen Komponenten zu, als jene die von Ihm getestet und freigeben sind, oder ein zyklischer Virenscan würde die Funktionalität und Geschwindigkeit beeinflussen. Außerdem sind Wartungsfenster in IC-Systemen sehr beschränkt und kostenintensiv, was eine Installation schwierig macht. Ein Lösungsansatz könnte sein, dass verpflichtende Virenscans aller Geräte und Medien erwirken, die mit dem zu schützenden Gerät verbunden werden.

Wie dieses Beispiel zeigt ist es erforderlich, die aus der Office-IT bekannten Frameworks, Controls und Maßnahmen auf die Gegebenheiten und Spezifika der ICS anzupassen und umsetzbare Lösungen zu entwickeln.

ICS Security Programm

Durch den Fokus auf Geschäftsprozesse in industriellen Umgebungen, ergeben sich für ICS-Umgebungen drei grundsätzliche Phasen:

  • Engineering Phase: In dieser Phase wird die ICS-Umgebung geplant. Technologien bzw. Dienstleister werden ausgewählt und Prozesse definiert.
  • Excecution Phase: Hier befindet sich die Umgebung in Betrieb, bspw. werden aktiv Produkte hergestellt oder Anlagen gesteuert.
  • Ramp-Down Phase: Die Produktion wird außer Betrieb genommen. Die beteiligten Komponenten werden abgebaut.

Basierend auf diesen Phasen ergeben sich unterschiedliche Risikoprofile und Schutzziele, die je nach Branche, Aufgabe der Anlage und Umgebung variieren können.

Nebenstehende Grafik zeigt ein generisches für die meisten Industrien passendes Beispiel.

Durch diesen Ansatz der Fokussierung auf Risiken in IC-Systemen ist es möglich für alle Phasen angemessene Schutzmaßnahmen zu definieren, die das Risiko eines Schadens minimieren können.

Dabei können den unterschiedlichen Anforderungen der Phasen abgestimmte Kombinationen von Standards und Frameworks gegenübergestellt werden. Durch die Kombination von internationalen und nationalen Richtlinien, wie bspw. ISO27001 oder BSI Grundschutz, sowie die Einbindung von Branchenspezifika, bspw. ISO 27019 oder IEC 62443, kann auf Grund von Besonderheiten einer Branche und dem Risikoprofil der jeweiligen Organisation ein geeignetes Framework entwickelt werden, um den Schutz der ICS, sowie der Office-IT zu gewährleisten. 

Unser Angebot für Sie!

Ziel des Deloitte ICS Security Programm ist es, ein langfristiges und einheitliches Schutzniveau in allen Bereichen der Organisation, ICS sowie Office-IT, sicherzustellen.

Deloitte unterstützt Sie im ICS-Umfeld bei der Identifikation und Umsetzung geeigneter Sicherheitsmaßnahmen und -prozesse sowie bei dem Aufbau einer nachhaltigen ICS-Security-Governance, um auch langfristig das Sicherheitsniveau zu überwachen und zu steuern.

Kontaktieren Sie uns.

Fanden Sie diese Information hilfreich?