Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

IT-Grundschutz und KRITIS : Erfahrungen mit den IND-Bausteinen für industrielle IT

Die IT-Sicherheit kritischer Infrastrukturen (KRITIS) ist oft nicht so einfach handzuhaben wie in anderen Bereichen: Denn bei KRITIS geht es neben „klassischer IT“ meistens gleichzeitig auch um Operational Technology (OT). Unsere Autoren erörtern, was das bedeutet, warum es so wichtig ist und wie sich betroffene KRITIS-Betreiber dem Problemfeld nähern können.

Lesezeit 10 Min.

Von Daniel Jedecke und Marius Wiersch, Bonn

Viele Unternehmen, die für die Versorgungssicherheit der Bevölkerung verantwortlich sind, gehören zu den kleinen und mittleren Unternehmen (KMU). Diese Unternehmensgruppe hat teils große Probleme, die IT-Sicherheit in allen Bereichen aufzubauen. Denn bei den meisten KRITIS-Betreibern ist neben der bekannten IT-Infrastruktur – bestehend aus Servern und Clients, wie sie in jedem Unternehmen zu finden sind – auch viel „andere Technik“ im Einsatz.

Beispielsweise ist die Steuerung von Wasserpumpen, ÖPNV-Haltestellentechnik, Stromaggregaten, Kühltechnik und Funkmasten zwar auch „informationsverarbeitende Technik“, aber eben solche, die ein standardmäßig geschulter Informationssicherheitsbeauftragter (ISB) im Rahmen seiner Tätigkeiten normalerweise kaum zu Gesicht bekommt. So tun sich ISBs hier oft schwer, eine effektive und effiziente Absicherung solcher Geräte vorzugeben. Auf der Suche nach dem „ersten richtigen Schritt“ kann man im Rahmen des Vorgehens nach IT-Grundschutz zumeist auf die Bausteine für industrielle IT (IND) zurückgreifen – es gibt aber auch Alternativen (s. u.).

OT ist anders?!

Operational Technology (OT) umfasst Hard- und Software, die durch die direkte Überwachung und/oder Steuerung von Industrieanlagen, Prozessen und Ereignissen eine Veränderung feststellt oder bewirkt. Hierbei kommt es oft zu einer Konvergenz zwischen Systemen/Anteilen der Informationstechnik (IT) und solchen der Betriebs-/Leittechnik (Industrial Control Systems, ICS). IT-Systeme werden für die datenzentrierte Verarbeitung eingesetzt – OT-Systeme hingegen überwachen Ereignisse, Prozesse und Geräte und nehmen Anpassungen im Prozess vor.

Moderne Unternehmen sehen sich daher mit zwei verschiedenen Welten konfrontiert: Zum einen müssen sie sich mit der traditionellen, physischen Welt auseinandersetzen, die aus Maschinen, elektrischen Geräten, Fertigungssystemen und anderen industriellen Anlagen besteht. Zum anderen müssen sie sich um die neuere „digitale Welt“ kümmern, die Server, Datenbanken, Netzwerke und andere Geräte zur Ausführung von Anwendungen und zur Verarbeitung von Daten verwendet. Diese beiden Welten haben lange weitgehend getrennte Bereiche besetzt, ohne Daten gemeinsam zu nutzen. Im OT-Bereich waren die Unternehmen auf Fachpersonal mit deutlich unterschiedlichen Fähigkeiten als das „normale“ IT-Personal angewiesen.

Heutzutage konvergieren die Welten von IT und OT jedoch: Beispielsweise ermöglichen Fortschritte beim Internet der Dinge (IoT) und der Big-Data-Analyse es der digitalen Informationswelt, die physische Betriebswelt systematisch zu sehen, zu verstehen und zu beeinflussen. Richtig umgesetzt kann die IT/OT-Konvergenz Geschäftsprozesse, Erkenntnisse und Kontrollen in einer einzigen einheitlichen Umgebung zusammenführen.

Während sich die IT „klassisch“ auf Daten und Kommunikation konzentriert hat, konzentrierte sich die OT auf Verhaltensweisen und Ergebnisse. Die meisten Steuersysteme, die in Industrie- und Fertigungsanlagen eingesetzt wurden, waren nicht wirklich vernetzt. Das hat zu „Silos“ spezialisierter Geräte geführt, die zwar alle auf einer gewissen Ebene bereits am Netz waren, aber nicht miteinander kommunizieren oder Informationen austauschen konnten. Mit der Programmierung oder Verwaltung der physischen Abläufe solcher vereinzelten Geräte waren menschliche Bediener betraut – und selbst Geräte, die eine zentrale Steuerung ermöglichten, verwendeten geschlossene oder proprietäre Protokolle.

Bedingt durch die Digitalisierung werden IT und OT nun immer mehr gesamtheitlich angesehen – eine bewusste Trennung ist kaum noch möglich. Immer mehr OT-Hersteller statten ihre Systeme mit Fernwartungskomponenten aus, die zwingend an das Internet anzubinden sind. Das wird sogar teilweise als Grundvoraussetzung für die Haftung und in Wartungsverträgen vorgegeben, dass KRITIS-Betreiber aufgrund des eingegrenzten Anbietermarkts für OT gar keine andere Wahl haben, als ihre sensible OT-Welt mit dem Internet und der IT zu koppeln.

Dieser engeren Vernetzung von IT und OT wird mittlerweile auch in der IT-Sicherheit mehr und mehr Rechnung getragen. So gibt es beispielsweise für die Energieversorgung in der ISO-27000-Normenreihe für Informationssicherheit eine eigene Norm, die sich dieses Themas annimmt – die DIN EN ISO/IEC 27019:2020-08 „Informationssicherheitsmaßnahmen für die Energieversorgung“. Während dieses Beispiel einen sehr spezialisierten Charakter hat, versucht der IT-Grundschutz des BSI mit einem generischen Ansatz mithilfe von mehreren Bausteinen in der „IND-Schicht“ [1] die Bestandteile der industriellen IT abzudecken.

IND-Bausteine

Im Gegensatz zu typischen IT-Grundschutzbausteinen wird in den IND-Bausteinen speziell auf die Besonderheiten eingegangen. Die Edition 2022 des IT-Grundschutzkompendiums umfasst sieben Bausteine in der IND-Schicht, die auf verschiedene Aspekte innerhalb von OT-Umgebungen eingehen. Im Zuge der fortlaufenden Anpassungen am Standard sind einige alte Bausteine gestrichen worden – die Numerierung wurde jedoch beibehalten, damit die Zuordnung in bestehenden Dokumenten weiterhin passt. Daher sind die verbliebenen IND-Bausteine nicht länger fortlaufend nummeriert.

IND.1 „Prozessleit- und Automatisierungstechnik“ gibt generelle Anforderungen beim Einsatz von Industrial Control Systemen (ICS) vor. Der Fokus liegt hier auf organisatorischen Anforderungen wie Protokollierung, Datensicherung, sichere Administration, Beschaffung und dem Lebenszyklus der Systeme. Im Baustein IND.2.1 „Allgemeine ICS-Komponente“ werden technische Anforderungen an die Härtung und Wartung von ICS-Komponenten definiert. IND.2.2 „Speicherprogrammierbare Steuerung (SPS)“, der sehr klein ausfällt, liefert spezielle Anforderungen an die Dokumentation von SPS-Systemen und daran, wie die Zeit-Synchronisation funktionieren soll. Ebenfalls sehr klein sind die Bausteine IND.2.3 „Sensoren und Aktoren“, der die Kalibrierung von Sensoren sowie Anforderungen an drahtlose Kommunikation erläutert, und IND.2.4 „Maschine“, der die Anforderungen zur Fernwartung von Maschinen und den Betrieb nach Ende der Gewährleistung regelt. Der Baustein IND.2.7 „Safety Instrumented Systems“ legt die Anforderungen für die Untergruppe Safety-Instrumented-Systems (SIS) von Industrial-Control-Systems (ICS) fest.

Zu guter Letzt bestimmt der Baustein IND.3.2 „Fernwartung im industriellen Umfeld“ technische und organisatorische Vorgaben für die Fernwartung, die einen speziellen Fokus auf OT haben und somit einige Änderungen gegenüber der „normalen“ Fernwartung aufweisen.

IND-Anwendbarkeit bei KRITIS

Die in den IND-Bausteinen beschriebenen Anforderungen sind oft eine Kopie von bereits aus der allgemeinen IT bekannten Anforderungen – detaillierte technische Anforderungen, die auf die speziellen Herausforderungen der OT eingehen, findet man hier meistens nicht. Das liegt unter anderem daran, dass jede Anlage individuell im Kontext ihres Betriebes anderen Betriebsumständen genügen muss und dementsprechend allgemein gehaltene Sicherheitsanforderungen immer individuell ausgelegt werden müssen. Die Bausteine sind daher als sehr gute Basis zu verstehen, die man jedoch gegebenenfalls um spezielle Aspekte der Anlage oder Einsatzumgebung erweitern muss. So ist beispielsweise in der Pharmabranche die Integrität der Systeme sehr wichtig, da sonst die Waren nicht verkauft werden können. Im Bereich des ÖPNV ist die Safety das wichtigste Kriterium – im Krankenhaus die Patientensicherheit.

Die Besonderheit im Bereich der OT liegt darin, dass der Empfängerkreis ein anderer ist als in der klassischen IT. Wie eingangs beschrieben, sind aus der Historie heraus IT und OT in einem Unternehmen in der Regel nicht eng zusammen gewachsen. Daher waren bisher auch die „Standard“-Sicherheitsanforderungen der IT für die OT nicht von größerem Belang, da sie als eigenständig galt und oft nicht so stark im Fokus für Angriffe stand wie etwa typische Clients der Büro-IT.

Mit den in der IND-Schicht formulierten Anforderungen der Bausteine wird die OT-Abteilung nun gezwungen, sich mit solchen Themen gezielter auseinanderzusetzen. Das ist vor allem in Anbetracht der stark steigenden Vernetzung solcher Systeme sinnvoll. Zum Beispiel wollen viele Hersteller über Schnittstellen ihre Systeme selbst warten, sodass die Hoheit über die Systeme aufgrund dessen meist nicht beim Betreiber liegt. Zudem ist aktuell ein starker Wunsch der Hersteller zu beobachten, Cloud-Systeme zu nutzen, wodurch sich weitere Anforderungen an die IT-Sicherheit ergeben. All diese Verknüpfungen lassen sich mit den IND-Bausteinen abbilden und die OT-Umgebung sich damit sauber in ein umfassendes Sicherheitsmanagement integrieren.

Im Zuge der Einführung des IT-Sicherheitsgesetzes und damit einhergehend dem Schutz der kritischen Infrastrukturen ist die Sicherstellung der Versorgungssicherheit der Bevölkerung in den Vordergrund gerückt. Hier können die IND-Bausteine beim Finden möglicher blinder Flecken bei der sicherheitstechnischen Betrachtung von OT helfen. Denn durch die Vernetzung mit der IT ist die OT ein zwingender Prüfbestandteil und muss ebenfalls dem gesetzlich geforderten „Stand der Technik“ entsprechen. Dies generiert einige Herausforderungen, da die OT aus dem Informationssicherheits-Managementsystem (ISMS) der KRITS-Betreiber bisher meist ausgeklammert ist.

KRITIS-Prüfungen mit IND-Bausteinen und Alternativen

Zur Vorbereitung einer Prüfung gemäß § 8a BSIG ist eine geeignete Prüfungsgrundlage zu erstellen, um Art und Umfang zu bestimmen – diese wird vorab zwischen dem Betreiber und der prüfenden Stelle abgestimmt. Die Prüfungsgrundlage soll den „Stand der Technik“ widerspiegeln und organisatorische sowie technische Vorgaben enthalten. Weiterhin sollte die Prüfungsgrundlage „prüfbar“ sein, zum Beispiel einem etablierten Standard entsprechen.

Hierbei lässt sich die Prüfgrundlage typischerweise in zwei Teile gliedern: in einen „allgemeinen“ Informationssicherheits-Management-(ISMS)-Teil und in einen branchenspezifischen Teil. Wenn man als Prüfgrundlage für seine KRITIS-Prüfung den BSI IT-Grundschutz inklusive der IND-Bausteine verwendet, kann man – wie oben beschrieben – einige blinde Flecken aufdecken, durch die Modellierung der Bausteine alle seine OT-Systeme abbilden und für KRITIS belastbar prüfbar machen. Hierbei ist jedoch anzumerken, dass die IND-Bausteine viel Raum für Interpretationen lassen. Somit ist ein Fachprüfer einzubinden, der diese speziellen Herausforderungen kennt.

Alternativ kann man auch das ICS-Security-Kompendium des BSI [2] verwenden. Dieses umfasst nicht nur die Maßnahmen der IND-Bausteine, sondern geht teilweise technisch noch tiefer, was eine noch bessere Anwendbarkeit ermöglicht. Zudem gibt es im Rahmen des ICS-Security-Kompendiums noch direkte Verweise auf die ISO/IEC 27001. So lassen sich KRITIS Prüfungen in Kombination mit ISO/IEC 27001 „nativ“ einfacher durchführen. Auch hier gilt aber, dass dies nicht einfach jeder ISO-27001-Prüfer ohne passende Vorerfahrung umsetzen kann.

Erfahrungen bei KRITIS-Prüfungen mit OT

Die Erfahrungen der Autoren zeigen, dass der OT-Bereich bei KRITIS-Prüfungen bisher oft nicht sauber geprüft wurde. Dies hat viel mit den Besonderheiten dieser Art von Technik zu tun – aber auch mit der Historie, dass viele Informationssicherheits-Prüfer in der Vergangenheit Sicherheitsaudits oft als „Document-Review“-Prüfungen aufgefasst haben. Ein guter Grundschutz-Auditor ist jedoch nicht zwingend ein guter KRITIS-Prüfer.

Zur Prüfung von OT-Systemen ist Spezialwissen im Bereich Elektrotechnik und Prozessleittechnik notwendig, das längst nicht jeder technisch bewanderte Prüfer besitzt. Solche Wissenslücken bei den KRITIS-Prüfungen sollen normalerweise in einem Prüf-Team von den geforderten Branchenprüfern aufgefangen werden. Häufig ist es aber so, dass die Branchenexperten den Prozessteil einer Anlage gut abdecken, zur eigentlichen OT selbst aber keine Expertise haben. Dies kann dazu führen, dass nach der Prüfung die Meinung vorherrscht, dass die OT ja sehr gut abgesichert sei, weil der Prüfer nichts gefunden habe. Dieser Umstand ist vergleichbar mit einem Prüfer, der normalerweise Autos prüft und auf einmal ein Flugzeug vor sich hat – Bremsen und Reifen kann er noch prüfen, aber dann wird es „dünn“.

Als letzte Besonderheit muss man anerkennen, dass die Gesprächspartner bei einer solchen Prüfung keine „normalen“ IT-Mitarbeiter sind. Meist handelt es sich um Ingenieure ohne direkten IT-Sicherheitsfokus. Daher müssen die Interviews entsprechend gut vorbereitet werden, um Missverständnisse zu vermeiden. Denn „Sicherheit“ für Ingenieure bedeutet in der Regel der Schutz von Leib und Leben und nicht die Sicherheit im Sinne von Vertraulichkeit, Integrität und Verfügbarkeit. Die englische Abgrenzung der Sicherheit – Safety versus Security – hilft an dieser Stelle gut weiter.

Zusammenfassend lässt sich feststellen: Die IND-Bausteine helfen in der Prüfung, einen grundlegenden Stand der Technik nachzuweisen. Sie sollten jedoch nicht als einzige Prüfgrundlage verwendet werden. Hier hilft das ICS-Security-Kompendium weiter.

Fazit

Die IND-Bausteine des BSI schaffen eine gute Ausgangslage zur Umsetzung von Sicherheitsanforderungen in OT-Umgebungen. Sie sind jedoch nicht selbsterklärend und setzen ein gewisses Grundverständnis der Technologie voraus. Im Rahmen der Prüfung gemäß § 8a BSIG haben Betreiber und Prüfer vielfache Möglichkeiten, die geforderten Nachweise zu erbringen – die IND-Bausteine stellen hier eine logische Erweiterung für den Prüfplan dar. Wichtig ist jedoch, dass die OT-Umgebung im Gesamtkontext einer Organisation gesehen wird und somit auch einen integralen Bestandteil des ISMS darstellt. Nur so lässt sich sicherstellen, dass man alle organisatorischen Anforderungen an die Mitarbeiter im OT-Bereich stellt und die Systeme sicher betrieben werden können.

Daniel Jedecke ist Senior Expert bei der HiSolutions AG, Bonn, mit den Schwerpunkten industrielle und medizinische Sicherheit sowie kritische Infrastrukturen. Marius Wiersch ist Managing Consultant bei der HiSolutions AG, Bonn, mit den Schwerpunkten Informationssicherheit gemäß BSI IT-Grundschutz und ISO/IEC 27001, Risikomanagement und kritische Infrastrukturen.

Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutzbausteine, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/
Standards-und-Zertifi zierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), ICS-Security-Kompendium, Version 1.23, November 2013, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf?__blob=publicationFile

Diesen Beitrag teilen: