Blog : Die heiße Kartoffel der Security

Messer
© birgitH / pixelio

Einen massiven Griff, der sicher in der Hand liegt. Eine feste Schneide, es soll ja scharf sein damit es schneidet, und eine Schutzkappe natürlich. Die Kartoffel, rund oder oval, mit und ohne Dellen, kleiner oder größer, oft noch Erde dran. Wenn Sie sich bei diesen Voraussetzungen beim Kartoffelschälen nun trotzdem in den Finger schneiden, würden Sie dann den Lieferanten des Messers oder den Hersteller der Kartoffel oder in die Verantwortung ziehen?

Grundsätzlich wird erwartet, dass sicher Anlagen oder Komponente geliefert werden. Aber immer noch wird bei Securityvorfällen ausschließlich auf die Hersteller oder Lieferanten geschaut, als trüge der die Verantwortung. Naja …

Um die Verfügbarkeit der Anlagen zu gewährleisten, sind alle Beteiligten in der Pflicht. Die Anforderungen muss der Betreiber eindeutig formulieren und die Planer sowie Integratoren müssen den Betreiber die Risiken aufzeigen – oder besser noch einen Verbesserungsvorschlag machen.

Hier als Beispiel nun die IEC62443. Die IEC62443 beschreibt klar die Aufgaben und Verpflichtungen der Beteiligten zum Aufbau und Betrieb einer Produktionsanlage. Die Entwicklung der IEC 62443-Normenreihe wurde seit 2009 zusammen mit der ISA vorangetrieben. Die ISA ist das Industrial Automation and Control System Security Komitee der International Society of Automation. Es wird auf Basis von Best Practices die Vorgehensweisen zur sicheren Implementierung von Anlagen sowie zur Bewertung von Sicherheitsmaßnahmen definiert.

Der Betreiber ist für die Prozesse und Prozeduren im Betrieb und der Wartung verantwortlich. Der Systemintegrator muss nach den Policies und Prozeduren für die Einrichtung der Security Funktionen sorgen. Die Hersteller der Komponenten müssen Fähigkeiten (Funktionen) für Security in den Produkten zur Verfügung stellen und dafür sorgen das der gesamte Entwicklungsprozess der Produkte auch für die Security ausgelegt ist.

Wesentlich ist, dass während des Betriebs die Produktionsanlagen ständigen Veränderungen ausgesetzt ist: Durch Nutzung, fortlaufende Wartung und Verbesserungen, die oft nicht einhergehen mit notwendigen Anpassung und vor allem den Kontrollen der Security. Die genutzten Funktionen sind zudem heute anerkannter Stand der Technik. Aber vielleicht sieht es morgen schon anders aus, und sie sind dann leichter zu knacken – zB wg. der extremen Leistungssteigerungen von Computern – oder gar unsicher! Das haben der Heartbleed-Bug, Meltdown, Spectre und Co. beeindrucken bewiesen.

Somit bleibt der Betreiber in der Pflicht, für fortlaufendes Monitoring zu sorgen, zu kontrollieren was sich verändert hat sowie die neuen Risiken entsprechend zu beurteilen und zu behandeln. Das ist ein wesentlicher Bestandteil der IEC 62443. Dann, und nur dann bleiben Produktionsanlagen sicher und verfügbar.

Egal welche Kartoffel Sie damit schneiden.