Aktuelle, aber vor allem auch die zukünftigen, noch unbekannten Potenziale, erfordern eine durchgängige Konnektivität. Die „Verschmelzung“ von IT und OT ist daher die logische Folge dieses neuen „Goldrauschs“. Dieser Wandel ist unumkehrbar und wird sich in Zukunft weiter beschleunigen. Doch wie schützt man sich vor modernen Banditen, die auf kriminelle Weise von diesem Goldrausch profitieren wollen?
„Alles beginnt bei der Auswahl der richtigen Hardware, welche Schnittstellen hat sie und wie kann ich als Hersteller diese vor Missbrauch schützen“, erklärt Frank Behnke, Head of Product and Information Security. Werden zum Beispiel wirklich alle Schnittstellen verwendet oder können nicht genutzte Schnittstellen abgeschaltet werden, um die Zahl der potenziellen Einfallstore zu verringern? Im Hardwaredesign wird durch solche Überlegungen bereits der Grundstein für die Sicherheit des Endsystems gelegt: SecureBoot, Hardwareverschlüsselung, abgeschaltete Debug-Schnittstellen, um nur ein paar Mechanismen zu nennen.
Bei Hilscher habe man sich schon früh mit dem Thema beschäftigt, so Security-Experte Behnke. „Wir haben unsere Firmware signiert, unsere aktuelle Chip-Generation unterstützt SecureBoot und in künftigen Chip-Generationen werden wir uns weiter aktiv mit dem Thema Cyber-Resilience beschäftigen.“
Security-Integration mit Hilschers netX-Technologie
Als Kommunikationsspezialist mit mehr als 35 Jahren Erfahrung sind Themen wie diese für Hilscher alles andere als neu. „Angriffe von Kriminellen hat es immer gegeben und wird es auch weiterhin geben“, stellt Frank Behnke klar. „Allerdings werden die Angriffe immer ausgeklügelter. Dementsprechend muss auch unser Schutz immer durchdachter werden.“ Mit welchen Mitteln geht das Automatisierungsunternehmen aus Hattersheim am Main also in diesen Wettkampf?
Ein gutes Beispiel dafür ist der kleinste Kommunikationscontroller von Hilscher, der netX 90. „Mit der netX-90-Architektur haben wir in der Hardware die Anforderungen an Embedded Security für Feldgeräte in den Blick genommen. Ihr Gerät möchte sich in der Anlage authentifizieren, die Firmware muss dafür entsprechend integer sein“, erklärt Behnke.
Die übertragenen Daten werden zudem verschlüsselt, um unerlaubten Zugriff zu verhindern und vor Datenmanipulation zu schützen. Mit Rollendefinitionen wird sichergestellt, dass nur autorisierte Nutzer Zugang zum Gerät erhalten oder im Gerät Veränderungen vornehmen dürfen. All diese Mechanismen sorgen so für Integrität, Authentizität, Geheimhaltung und Autorisierung und damit für die Verfügbarkeit des Gerätes und der Anlage.
Wichtige Gesetzgebungen und Normen
Um die Cybersicherheit in Europa strategisch zu stärken und strukturell zu verankern, schlug die Europäische Kommission 2022 mit dem Cyber Resilience Act (CRA) eine Verordnung zur Verbesserung der Cybersicherheit und Cyber-Resilienz in der EU vor. Inhalt der Verordnung sind gemeinsame Cybersicherheitsstandards für Produkte mit digitalen Elementen, was sowohl Hard- als auch Software miteinschließt.
Nach Inkrafttreten beginnen die bis zu dreijährigen Umsetzungsfristen, die für viele Unternehmen zu einer großen Herausforderung werden können. Unternehmen müssen sich mit ihnen auseinandersetzen, wenn sie ihre Produkte weiterhin in der EU vermarkten wollen, denn: Nach der dreijährigen Übergangsfrist müssen alle Produkte mit CE-Kennzeichnung zwingend den CRA erfüllen.
IEC 62443: Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme
Von hoher Relevanz für die Erfüllung des CRA ist die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Diese deckt bereits einen Großteil der CRA-Anforderungen ab. Die vier Teilbereiche der Norm beschreiben grundsätzliche Begriffe, Konzepte und Modelle, legen ein System zum Management industrieller IT-Sicherheit dar, definieren Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen und stellen Anforderungen an Prozesse der Produktentwicklung von Komponenten einer Automatisierungslösung. Die Zertifizierung nach IEC 62443 erfolgt durch zugelassene Prüfdienstleister wie dem TÜV Rheinland und wird entsprechend individueller Anforderungen nach definierten Reifegraden (Maturity Levels) und Security Levels durchgeführt.
„Hier haben wir als Kommunikationsspezialist einen entscheidenden Vorteil: Bei Hilscher kommt Hardware und Software aus einer Hand. Unsere Firmware ist zum Beispiel bestens an die Hardware unseres netX-90Controllers angepasst und nutzt dessen Hardwaremechanismen, um Geräte kompatibel zu Standards wie der IEC 62443 zu machen“, erklärt Security-Experte Behnke.
International gültig: ISO 27001
Eine weitere relevante Norm stellt die international gültige ISO 27001 dar, die sich mit den Themen Informationssicherheit, Cybersicherheit und Datenschutz befasst und im Rahmen dessen Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) definiert. Das Ziel der Norm ist es, dass sich Unternehmen ganzheitlich und strukturell mit dem Thema Informationssicherheit befassen und nicht nur punktuelle Maßnahmen ergreifen.
Lesen Sie hier mehr zur ISO 27001!
Die ISO 27001 ist in Teilen sowohl für den CRA relevant sowie in großem Maße für die Erfüllung der NIS-2 Direktive, die die Cyber- und Informationssicherheit von Unternehmen und Institutionen regelt. Die von der EU formulierte Richtlinie muss im Gegensatz zum CRA jedoch erst bis Oktober 2024 von den verschiedenen Mitgliedsstaaten in nationales Recht überführt werden. An diese Stelle tritt in Deutschland das vom BSI erarbeitete NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG), welches in einem Referentenentwurf seit Juli 2023 existiert.
Je nach Anwendungsfall werden Zertifizierungen nach IEC 62443 und ISO 27001 ebenfalls zu einer Voraussetzung für die Einhaltung der neuen EU-Maschinenverordnung, welche nach ihrer letzten Überarbeitung im Jahr 2023 ab dem 20. Januar 2027 anzuwenden ist. Sie betrifft alle Unternehmen, die an der Bereitstellung von Maschinen im europäischen Markt beteiligt sind oder bestimmte Maschinenprodukte herstellen, in Verkehr bringen oder in Betrieb nehmen.
Ihre Produkte und Lösungen sind vom CRA betroffen?
Die Anwendung neuer Normen auf bestehende Produkte sowie Prozesse kann für Unternehmen sehr komplex sein. Erschwert ein besonders sensibles Thema wie Cybersicherheit den Sachverhalt noch zusätzlich, wird es schnell kritisch. Als führender Hersteller von Hard- und Software-Lösungen im Bereich der industriellen Kommunikation nimmt die Hilscher Gesellschaft für Systemautomation eine entscheidende Position in der Industrieautomation ein. Robuste Cybersecurity und die Einhaltung der regulatorischen Vorgaben spielen daher für den Spezialisten der Industriekommunikation aus Hattersheim bei Frankfurt am Main eine tragende Rolle.
Gemeinsam mit dem TÜV Rheinland als Zertifizierer und dem Consultant TÜV iSec Rheinland befindet sich Hilscher mitten in der Umsetzung des CRA und verfügt bereits über umfassendes Know-how bezüglich der zeitlichen Herausforderungen und praktischen Auswirkungen von relevanten Zertifizierungsprozessen. Und Anwender aus der Industrie können davon profitieren.
Nehmen Sie jetzt Kontakt mit Hilscher auf für weitere Informationen:
Frank Behnk, Head of Product and Information Security / Product & Cyber Security bei Hilscher Gesellschaft für Systemautomation – Tel: +49 (0) 6190 99 07 / E-Mail: compliance@hilscher.com