Grundsatzpapier zur OT Cybersicherheit
Der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology, OT) ist eine große Herausforderung für Organisationen, besonders wenn diese Systeme in Kritischen Infrastrukturen eingesetzt werden. Ihre langen Lebenszyklen machen sie anfällig für Cybersicherheitsrisiken.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Die Bedeutung von OT-Produkten darf nicht unterschätzt werden, da sie entscheidend zur Sicherheit von Menschen, Produktionsanlagen und Umwelt beitragen.
Das Australian Cyber Security Centre (ACSC) hat heute das Dokument „Principles of Operational Technology Cyber Security“ veröffentlicht, zu Deutsch „Grundsätze der Cybersicherheit von Operational Technology“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei der Erstellung des Dokuments mit internationalen Partnerbehörden zusammengearbeitet und unterstützt dessen Veröffentlichung. Das Grundsatzdokument soll Betreibern helfen, grundlegende Fragen zu klären und den Betrieb von Operational Technology (OT) widerstandsfähiger zu gestalten.
Sechs Grundsätze für eine sichere OT-Umgebung
Es beschreibt sechs Grundsätze für eine sichere OT-Umgebung:
- Funktionale Sicherheit hat höchste Priorität.
- Fundiertes Wissen über Geschäftsprozesse und Technik ist entscheidend.
- OT-Daten sind wertvoll und müssen geschützt werden.
- OT-Systeme sollten von anderen Netzwerken getrennt sein.
- Die Sicherheit der Lieferkette ist wichtig.
- Menschen mit Erfahrung und Expertise sind unerlässlich für die Cybersicherheit in der OT.
Operational Technology (OT) umfasst die Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert. Dazu gehören insbesondere Steuerungssysteme (Industrial Control Systems, ICS), Automationslösungen sowie Laborgeräte, Logistiksysteme und Gebäudeleittechnik. Da immer mehr IT-Komponenten aus der Büro-IT in der OT eingesetzt werden, ist auch hier ein hohes Sicherheitsrisiko zu erwarten. Allerdings gibt es wichtige Unterschiede zwischen OT und klassischer IT, die es erschweren, bewährte Sicherheitsverfahren anzuwenden.
Unterschiede zwischen OT und klassischer IT
Die zunehmende Vernetzung von OT erfordert nicht nur ein Verständnis der Systeme und Prozesse, sondern auch Kenntnisse über mögliche Angriffsszenarien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, dass OT-spezifische Notfallpläne und Handlungsanleitungen in die allgemeinen Notfall- und Krisenmanagementpläne sowie in die Business-Continuity-Pläne von Organisationen integriert werden müssen.
Die Grundsätze für die OT-Cybersicherheit sollen Betreibern helfen, fundierte Entscheidungen zu treffen und die Sicherheit sowie die Kontinuität des Geschäftsbetriebs bei der Planung, Implementierung und Verwaltung von OT-Systemen zu gewährleisten. Sie sind so formuliert, dass sie für alle Entscheidungsträger in einer Organisation verständlich sind, egal ob es sich um operative, taktische oder strategische Entscheidungen handelt. Mit diesen Grundsätzen kann die OT-Cybersicherheit ganzheitlich angegangen werden.
In den USA wird die Veröffentlichung von mehreren Behörden unterstützt, darunter die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA), das Federal Bureau of Investigations (FBI) und das Multi-State Information Sharing and Analysis Center (MS-ISAC). In Kanada stehen das Canadian Centre for Cyber Security (CCCS) und das Communications Security Establishment (CSE) hinter der Initiative, während in Neuseeland das National Cyber Security Centre (NCSC-NZ) die Veröffentlichung unterstützt.
Das ausführliche, elfseitige Dokument (in Englisch) kann hier abgerufen werden.