Anzeige

Tunnel

Security Level: Keine Abstriche bei der Selbsteinschätzung

Die sichere Vernetzung von Feldebene, Anlagensteuerung und Leitzentrale erfordert eine Risiko- und Bedrohungsanalyse, in deren Zug jeder Anlagenbetreiber sich fragen muss, welches der nach IEC 62443 definierten vier Security Level erfüllt sein muss, um die Verfügbarkeit und Sicherheit der Anlage zu gewährleisten:

  1. Schutz gegen ungewollte, zufällige Angriffe

  2. Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation

  3. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation

  4. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation

Dabei muss nicht für jeden Bereich einer Anlage das gleiche Security Level gelten. Der Katalog an Sicherheitsmaßnahmen und damit auch der organisatorische und finanzielle Aufwand steigen mit zunehmendem Security Level. Bei der Selbsteinschätzung durch den Betreiber sollten allerdings schon aus Haftungsgründen keine Abstriche gemacht werden.

QronoX: Wirtschaftliche Integration und gleichzeitig Security Level 3

Aufgrund gewerkspezifischer Protokolle und Schnittstellen kann die Kommunikation und Integration über Gewerke und Ebenen hinweg aufwändig und kostspielig ausfallen. Die wesentliche Anforderung an eine Automatisierungslösung ist daher, die Komplexität dieser Integration zu reduzieren und dabei ein Höchstmaß an Cybersicherheit zu gewährleisten.

Ein Beispiel dafür ist Saia PCD QronoX, das erste SPS-Technologiesystem des Herstellers Saia Burgess Controls, das die Cybersicherheitsvorgaben nach IEC 62443 Security Level 3 sowohl software- als auch hardwareseitig vollständig erfüllt. Das funktioniert etwa mit modernen Soft- sowie Hardware-Verfahren zur Verschlüsselung und Signierung von Programmen und Anwenderdaten, die zusammen mit einem rollenbasierten Benutzermanagement ausschließlich autorisierten Zugriff gewähren. Vorhandene Installationen lassen sich mühelos auf die Funktionen der neuen IEC-Steuerung aktualisieren, was geringere Investitions- und Installationskosten zur Folge hat.

Fazit

Bei der Planung neuer und der Automatisierung bestehender Tunnelanlagen ist Cybersicherheit ein bedeutender Punkt im Gesamtsicherheitskonzept. Automatisierte Anlagen sind vulnerabler für Cyberangriffe, deren Auswirkungen auf Integrität und Betriebssicherheit immer schwerwiegend sind. Eine cybersichere Anlagensteuerung mit vernetzten Komponenten hat zahlreiche Vorteile und macht komplexe verkehrsplanerische Aufgaben zum Teil überhaupt erst möglich, stellt aber vor allem im OT-Bereich auch neue Anforderungen an die Sicherheit. Die Absicherung ihrer Anlagen und Betriebsabläufe gegen Cyberangriffe ist für Betreiber jedoch nicht nur aufgrund des steigenden Automatisierungslevels, sondern auch wegen der Vielzahl der technischen und rechtlichen Normen, die diesen Bereich zwar betreffen, aber keineswegs eindeutig regulieren, sehr komplex. Am Anfang einer geeigneten Abwehrstrategie steht immer die Risikobewertung und die Einordnung in das richtige Sicherheitslevel. 

Bei der Umsetzung der von diesem Sicherheitslevel abhängigen Maßnahmen sind Fachplaner, Systemintegratoren und Operatoren ebenso in der Verantwortung wie die Hersteller, die vom Gesetzgeber in die Pflicht genommen werden, das Thema Cybersicherheit bei der Konzeption von beispielsweise Anlagensteuerungen einzubeziehen. Die Auswahl eines Herstellers, der technische und rechtliche Anforderungen an cybersichere Steuersysteme erfüllt, hilft deshalb, nicht nur aufwändige und kostenintensive Systemintegrationsmaßnahmen zu vermeiden und die Komplexität von Infrastrukturprojekten zu reduzieren, sondern auch spätere Haftungsansprüche auszuschließen.

www.saia-pcd.com
 


Artikel zu diesem Thema

OT-Security
Apr 16, 2021

Masterplan für die OT-Security

Traditionell hatten OT-Umgebungen (Operational Technology) eine sehr eingeschränkte…
IT-Sicherheitsgesetz
Feb 25, 2021

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der…
KRITIS
Apr 03, 2020

IT-Schutz für kritische Infrastruktur dringend notwendig

Cyber-Security-Experte Avi Kravitz warnt vor zu lockerem Umgang mit IT-Security und…

Weitere Artikel

Cybersicherheit

Nach der Bundestagswahl – „Die Verantwortung für Cyber-Sicherheit verbleibt auch nach der Wahl bei den Unternehmen”

CyberDirekt – eine digitale Vertriebsplattform für Cyber-Versicherungen – hat anlässlich der bevorstehenden Bundestagswahl am 26. September in einer aktuellen Untersuchung die Inhalte der Wahlprogramm der großen Parteien – CDU/CSU, SPD, Bündnis90/Die Grünen,…
Cyberwar

Neue Cybersicherheitsstrategie: Gemischte Gefühle in der IT-Sicherheit

Am Mittwoch hat das Bundeskabinett den Vorschlag des Innenministeriums für eine neue deutsche Cybersicherheitsstrategie verabschiedet. Dieser stieß – naturgemäß – im politischen Raum auf ein geteiltes Echo.
Cybersicherheit

VOICE fordert stärkere Haftung der Softwarehersteller und Cloudprovider

VOICE – Bundesverband der IT-Anwender begrüßt die Weiterentwicklung der Cybersicherheitsstrategie (CSS) der Bundesregierung. VOICE fordert aber die Konkretisierung der strategischen Ziele in Bezug auf die Verpflichtung der Software- und…
Cybersicherheit

Praxisnahes Lernen – IT-Sicherheit in der Industrie 4.0

Die digitale Transformation bringt für produzierende Unternehmen eine Vielzahl an Chancen mit sich. Doch mit der Vernetzung steigt auch das Risiko für Cyberangriffe. Ein ganzheitliches Sicherheitskonzept nach IEC 62443 zur Absicherung der Produktion…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.