Sicherheit Industrieller Kontrollsysteme

Der Faktor Mensch bleibt das größte Risiko

23. Oktober 2019, 14:10 Uhr   |  Hagen Lang


Fortsetzung des Artikels von Teil 4 .

Markt und Staat setzen Standards

Frage: Glauben Sie, dass die Industrie die Standardsetzung in Sachen Cyber-Security also eher alleine, auch über De-Facto-Standards am Markt, bewerkstelligen sollte, oder sollte sich der Staat noch stärker als bisher bei der Standardsetzung engagieren?

Doug Wylie: Ich glaube, dass die Rolle der Regierung bei der Setzung gewisser Mindeststandards sehr nützlich ist, insbesondere wenn die Einhaltung derselben auditiert und überprüft wird. Für weitere Fortschritte und den Weg zu einem erfolgreichen langfristigen Ergebnis wird es jedoch weiterhin von entscheidender Bedeutung sein, dass alle Bemühungen der Regierung die Industrie dazu anregen, über die bloße Einhaltung hinausgehen. Der Schutz vor Sicherheitsrisiken ist ein bewegliches Ziel, das immer wieder neue Aktivitäten erfordert.

Wenn also bestimmte staatliche Grundanforderungen Unternehmen „ermutigen“, diese Mindeststandards einzuhalten, wird dies in Zeiten einer umfassenden Vernetzung für alle von Nutzen sein. Aber wer nur die Grundanforderungen erfüllt, muss sich bewusst sein, dass er hinter den realen Entwicklungen zurückbleibt. Wenn ein Regierungsprogramm in Zusammenarbeit mit der Industrie und den von ihr betroffenen Unternehmen entwickelt wird, ist das Ergebnis viel positiver und trägt dazu bei, dass neben den Anforderungen auch der Geist der Sicherheitsbemühungen erfüllt wird.

Frage: Das deutsche Bundesamt für die Sicherheit in der Informationstechnik setzt zunehmend Standards für Security in technologischen Bereichen. Dabei orientiert es sich stark an den Common Criteria. Halten Sie es generell für hilfreich, wenn nationale Regierungen ihre Security-Standards selbst formulieren?

Doug Wylie: Die Welt hat bereits ihre Inseln der Aktivitäten im Bereich der Sicherheitsstandards, von denen viele leider unabhängig sind, aber die meisten scheinen nach ähnlichen Ergebnissen zu streben. Dies wird natürlich problematisch, wenn man versucht zu entscheiden, welche Standards und Best Practices für seine besonderen Bedürfnisse am sinnvollsten sind, insbesondere wenn eine Entscheidung in irgendeiner Weise mit einer anderen in Konflikt steht. Ein solcher Konflikt kann sich auch auf die Einhaltung der vorgeschriebenen Vorschriften auswirken - und er kann zu einer Entscheidung führen, bei der die Sicherheit für die Einhaltung geopfert wird.

Abgesehen von diesen Herausforderungen gibt es einige ermutigende Anzeichen dafür, dass bestimmte internationale Normen, einschließlich der Norm IEC62443 - Security for Industrial Automation and Control Systems - aus erster Hand Bemühungen um internationale Normung und Ansätze, die darauf abzielen, frühere Arbeiten zu harmonisieren und durch einen einheitlicheren Ansatz zu ersetzen. Die Rolle der European Union Agency for Cybersecurity zum Beispiel war bisher sehr nützlich. Die deutschen Aktivitäten zum Schutz kritischer Infrastrukturen, KRITIS, sind ein Beispiel für die deutsche Führungsrolle in diesem Bereich und wurden unter Berücksichtigung und Verweis auf andere bestehende internationale Normen, akzeptierte Richtlinien und Best Practices entwickelt.

Abschließend sei gesagt, dass in letzter Zeit Fortschritte erzielt wurden, um Sicherheitsrisiken für das ICS besser zu identifizieren und zu verstehen und praktische Leitlinien für den Schutz von Systemen und die Reaktion auf Bedrohungen zu entwickeln.

 

Wir sollten nicht vergessen, dass ICS so konzipiert sind, dass sie wiederholbar, mit höchster Präzision und Determinismus arbeiten. Aus diesem Grund haben wir eine einzigartige Fähigkeit und einen einzigartigen Vorteil, Variablen, ungewöhnliche Bedingungen und Verhaltensweisen zu identifizieren, solange wir bereit sind zu schauen.

Wir sind auch in der Lage, proaktive Pläne zu erstellen und verantwortungsvolle Maßnahmen zu ergreifen, die notwendig sind, um diese Systeme besser zu schützen und vor Schäden zu schützen. Mit zunehmender Digitalisierung bleibt die Fähigkeit, den heutigen operativen Technologiebereich und das ICS besser zu verteidigen, in Reichweite, und sie wird nur durch eine Kombination von Investitionen in Prozesse, Technologien und die Mitarbeiter erreicht werden, die für die Erreichung der Sicherheits-, Sicherheits- und Geschäftsziele unerlässlich sind.

Vielen Dank für das Gespräch!

 

 

Seite 5 von 5

1. Der Faktor Mensch bleibt das größte Risiko
2. Die wichtigsten Angriffs-Quellen
3. Geht es auch ohne Security Operations Center in jeder Firma?
4. Security hat einen Return on Investment
5. Markt und Staat setzen Standards

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

elektroniknet