Cyber-Security für Funktionale Sicherheit im Jahr 2024

Estimated reading time: 5 Minuten

Neue Herausforderungen und Strategien

Die Digitalisierung hat die industrielle Welt grundlegend verändert und dabei nicht nur neue Möglichkeiten, sondern auch neue Risiken geschaffen. Besonders im Bereich der Prozessleittechnik (PLT) in der chemischen Industrie, wo Sicherheitseinrichtungen von zentraler Bedeutung sind, stellt die zunehmende Vernetzung der Systeme eine Herausforderung dar. In diesem Kontext spielt die Kombination von IT-Sicherheit und funktionaler Sicherheit – häufig als „Security for Safety“ bezeichnet – eine immer wichtigere Rolle.

Warum „Security for Safety“ heute unverzichtbar ist

PLT-Sicherheitseinrichtungen sind dafür konzipiert, Anlagen, Menschen und die Umwelt vor gefährlichen Ereignissen zu schützen. Doch während diese Systeme traditionell auf ihre Fähigkeit zur Gefahrenabwehr getestet wurden, müssen sie heute auch gegen Cyber-Bedrohungen abgesichert sein. Diese Bedrohungen sind keine abstrakten Risiken mehr, sondern eine reale Gefahr, wie die zunehmenden Berichte über Cyber-Angriffe auf kritische Infrastrukturen zeigen. Ein erfolgreicher Angriff auf eine PLT-Sicherheitseinrichtung könnte schwerwiegende Folgen haben, darunter die Gefährdung von Menschenleben und erheblichen wirtschaftlichen Schaden.

Die Rolle von Standards und neuen Methoden

Im Zuge dieser Entwicklungen haben internationale Standards wie IEC 61508 und IEC 61511 ihre Anforderungen erweitert, um neben der funktionalen Sicherheit auch IT-Sicherheitsaspekte zu berücksichtigen. Diese Standards geben jedoch oft nur einen Rahmen vor und bieten keine detaillierten Anleitungen für die praktische Umsetzung. Um diese Lücke zu schließen, wurden in den letzten Jahren spezifische Methoden und Werkzeuge entwickelt, die eine systematische IT-Risikobeurteilung ermöglichen.

Eine solche Methode ist das Namur-Arbeitsblatt 163, das eine strukturierte Vorgehensweise zur Bewertung und Absicherung von PLT-Sicherheitseinrichtungen bietet. Diese Art von Tools ist besonders wertvoll, weil sie es ermöglicht, die IT-Sicherheit in den Betriebsablauf zu integrieren, ohne diesen erheblich zu stören. In der heutigen schnelllebigen industriellen Umgebung ist dies von unschätzbarem Wert.

Das BSI IT-Grundschutzprofil “Chemie” ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Sicherheitskonzept, das sich speziell an Unternehmen und Organisationen der chemischen Industrie richtet. Ziel ist es, den Schutz sensibler Informationen und IT-Systeme in diesem Sektor zu gewährleisten.

Das Profil orientiert sich an den spezifischen Anforderungen und Risiken der Chemiebranche, insbesondere in Bezug auf Produktionsprozesse, Forschung und Entwicklung sowie den Umgang mit Gefahrstoffen. Es bietet eine praxisnahe Anleitung, wie Unternehmen die IT-Grundschutz-Standards des BSI anwenden können, um Cyberangriffe und andere Sicherheitsvorfälle zu verhindern.

Wesentliche Aspekte umfassen die Absicherung der Betriebs- und Produktionsanlagen, den Schutz geistigen Eigentums sowie die Einhaltung regulatorischer Vorgaben wie REACH und anderen branchenspezifischen Normen. Durch die Umsetzung dieses IT-Grundschutzprofils können chemische Unternehmen ihre IT-Sicherheitsmaßnahmen systematisch verbessern und gleichzeitig die gesetzlichen Anforderungen erfüllen.

„Security by Design“: Der neue Standard

Während viele Unternehmen immer noch auf reaktive Maßnahmen wie Patches setzen, um Sicherheitslücken zu schließen, hat sich in der Industrie zunehmend die Erkenntnis durchgesetzt, dass proaktive Ansätze erforderlich sind. „Security by Design“ ist zu einem wichtigen Konzept geworden, das darauf abzielt, Sicherheitsaspekte von Anfang an in die Entwicklung von PLT-Sicherheitseinrichtungen zu integrieren. Dieser Ansatz reduziert nicht nur das Risiko von Cyber-Bedrohungen, sondern minimiert auch den Bedarf an nachträglichen Korrekturmaßnahmen, was die Effizienz steigert und Kosten spart.

Praktische Herausforderungen und Lösungsansätze

Die Implementierung von „Security for Safety“ ist in der Praxis jedoch nicht ohne Herausforderungen. Eine der größten Hürden ist die notwendige Trennung von sicherheitskritischen Systemen und ihrer Umgebung, um Rückwirkungen zu vermeiden. In vielen Fällen ist dies aufgrund der Komplexität der Systeme und der Notwendigkeit, bestimmte Funktionen gemeinsam zu nutzen, schwierig. Unternehmen müssen daher nicht nur technologische Lösungen finden, sondern auch organisatorische Maßnahmen ergreifen, um sicherzustellen, dass alle Komponenten eines Sicherheitssystems zuverlässig und unabhängig voneinander arbeiten können.

Blick in die Zukunft: Sicherheit als kontinuierlicher Prozess

Im Jahr 2024 ist klar, dass IT-Sicherheit und funktionale Sicherheit in der industriellen Welt untrennbar miteinander verbunden sind. Die Herausforderungen werden weiter zunehmen, da die Vernetzung und Komplexität der Systeme stetig wächst. Unternehmen müssen deshalb kontinuierlich in die Weiterentwicklung ihrer Sicherheitsstrategien investieren und „Security by Design“ zu einem integralen Bestandteil ihrer Systementwicklung machen.

Die Zukunft gehört denjenigen, die nicht nur auf aktuelle Bedrohungen reagieren, sondern die Sicherheit proaktiv gestalten. Dies erfordert ein Umdenken in der Industrie, hin zu einem ganzheitlichen Sicherheitsansatz, der sowohl technologische als auch organisatorische Aspekte umfasst. Nur so kann die Industrie auch in einer zunehmend digitalisierten Welt sicher und effizient bleiben.

Dieser Blogbeitrag bietet einen Überblick über die aktuellen Herausforderungen und Entwicklungen im Bereich der Cyber-Security für funktionale Sicherheit, basierend auf den neuesten Erkenntnissen und Trends in der Industrie. Der Fokus liegt dabei auf der Notwendigkeit eines proaktiven Sicherheitsansatzes und der Integration von IT-Sicherheitsmaßnahmen in den gesamten Lebenszyklus von PLT-Sicherheitseinrichtungen.

Torben Bues

Meine Mission besteht darin, Menschen dabei zu unterstützen, robuste und effektive Sicherheitsmaßnahmen zu implementieren, um sensible Informationen zu schützen. Dabei versuche ich als IT-Deutsch-/ Deutsch-IT-Übersetzer eine Sprache nah bei der Anwender:in zu finden. Das gelingt mir häufig, aber nicht immer. Mit meiner Spezialisierung im Bereich “technischer Datenschutz” führe ich nicht nur umfassende Audits und Sicherheitsüberprüfungen durch, sondern entwickle auch maßgeschneiderte Lösungen, die den individuellen Bedürfnissen und Anforderungen meiner Kunden gerecht werden. In meiner beruflichen Laufbahn habe ich fundierte Erfahrungen in der Identifizierung und Behebung von Sicherheitslücken gesammelt. Dabei liegt mein Fokus nicht nur auf der Technologie, sondern auch auf den organisatorischen Prozessen, die einen ganzheitlichen Ansatz für Informationssicherheit gewährleisten. Ich bin davon überzeugt, dass die Sicherheit von Unternehmensdaten nicht nur eine technische Angelegenheit ist, sondern eine strategische Priorität, die das gesamte Unternehmen durchdringen sollte. Daher arbeite ich eng mit Führungskräften und Teams zusammen, um ein tiefgreifendes Verständnis für ihre spezifischen Anforderungen zu entwickeln und Lösungen zu implementieren, die nicht nur den rechtlichen Anforderungen entsprechen, sondern auch einen nachhaltigen Schutz vor potenziellen Bedrohungen bieten. In meiner Rolle als Berater ist es meine Verpflichtung, Unternehmen dabei zu unterstützen, ein Sicherheitsniveau zu erreichen, das nicht nur die heutigen, sondern auch zukünftige Herausforderungen berücksichtigt. Durch kontinuierliche Weiterbildung und Anpassung an die sich ständig entwickelnde Bedrohungslandschaft strebe ich danach, meinen Kunden stets die bestmögliche Unterstützung im Bereich der Informationssicherheit zu bieten.