Cybersicherheit im industriellen Internet der Dinge (IoT):
Wie Sie ein effizientes Risikomanagement aufbauen und die Cybersecurity erhöhen.

IT und OT Cybersicherheit wird zum kritischen Erfolgsfaktor der digitalen Transformation. Industrieanlagen, Roboter und Maschinen als Teile cyber-physischer Systeme sind längst zum Ziel von Hackerangriffen geworden. Es ist nur eine Frage der Zeit, bis ein Cyber-Angriff eine komplette Produktion oder eine kritische Infrastruktur lahmlegen wird. Was können Unternehmen tun, um Cyberrisiken zu minimieren?

Aggressiver und technisch komplexer: Bedrohung durch Cyber-Angriffe steigt

Mittlerweile gehören Cyber-Attakten weltweit zum Tagesgeschäft – mit enormer Wirkung. Das Mirai-Botnet sei nur der Anfang gewesen. Drei junge IT-Experten aus Alaska hatten im Oktober 2016 die Kontrolle über ungesicherte Sicherheitskameras, Kühlschränke und andere vernetzte Haushaltsgeräte übernommen und diese für Angriffe auf Spiele-Server missbraucht. Zeitweise waren 500.000 IoT-Geräte in ihrem Botnet zusammengeschlossen.

Das zeigt, was auf Unternehmen zukommt. Lassen sich Millionen von IoT-Geräten zu einer Plattform zusammenführen, können sie eine enorme Schlagkraft entwickeln. Gleichzeitig hat die Zahl der Cyber-Attacken in den vergangenen Jahren stark zugenommen. Eine Befragung des VDE ergab: 71 Prozent der Mitgliedsunternehmen mit mehr als 5.000 Mitarbeitern geben zu, bereits Opfer von Cyber-Angriffen geworden zu sein.

Wie sollen Unternehmen reagieren? Das Bundesministerium für Wirtschaft und Energie (BMWi) gibt in seiner Studie „IT-Sicherheit für die Industrie 4.0“ eine zentrale Empfehlung: Konsequent einen guten Basisschutz mit Hilfe heute verfügbarer Sicherheitstechnologien etablieren. Als Mittel dazu schlägt das BMWi unter anderem vor, Mindeststandards für IT-Sicherheit einzuführen und in digitalen Wertschöpfungsnetzen zertifizierte Produkte zu verwenden.

Industrie 4.0 erfordert eine dynamische Zertifizierung

Bislang reichte in der Industrie ein einmaliger Zertifizierungsvorgang. Denn war es üblich, ein Gerät herzustellen und dann nicht mehr anzufassen.

Heute wird jedoch preiswerte Standard-Hardware genutzt, um die Vernetzung zu ermöglichen. Das bringt fortlaufend Software-Updates mit sich. Wie sich diese Updates auf die Sicherheit auswirken, lässt sich mit einer einmaligen klassischen Zertifizierung nicht mehr beantworten.

Zudem sind IoT-Komponenten so kritisch, dass es einen konsequenten Lifecycle erfordert. Was passiert, wenn eine Komponente aufgrund eines Angriffs als kompromittiert gilt und getauscht werden muss? Unternehmen benötigen ein sicheres Nachfolgeprodukt, schließlich kann die Komponente millionenfach im Einsatz sein. Ein verantwortungsbewusster Komponentenhersteller sollte also Prozesse definieren  und eine Zertifizierung von Komponenten muss diese Prozesse natürlich kontrollieren.

Solche Überlegungen bedeuten für UL einen Übergang von der statischen hin zu einer dynamischen Zertifizierung. Eine dynamische Zertifizierung erfordert erprobte Prozesse, um reagieren zu können, wenn sich etwas am Produkt verändert.

Das UL Cybersecurity Assurance Program (UL CAP)

Das UL Cybersecurity Assurance Program (UL CAP) basiert auf der UL 2900 Normenreihe, die mithilfe von Interessenvertretern aus Regierung, Universität und Industrie entwickelt wurde. Sowohl UL CAP als auch UL 2900 bauen auf der langjährigen Expertise von UL in den Bereichen Sicherheitswissenschaft, Normenentwicklung, Prüfung und Zertifizierung auf.

UL bietet Cybersecurity-Lösungen für folgende Bereiche an:

  • Appliances and HVAC/R
  • Verbrauchertechnologie
  • Industriesteuerungssysteme
  • Elektronisch gesicherte Zugänge
  • Beleuchtung
  • Medizin
  • Robotik
  • Software-Produktprüfung und Validierung
  • Software- und Anwendungssicherheit

Das UL CAP ist ein sofort anwendbares Lösungspaket, das Software-Schwachstellen identifiziert und beurteilt, bekannte Malware bekämpft und Sicherheitskontrollen überprüft. Diese Dienstleistungen umfassen:

  • Beratung – Audits und Anleitung bezüglich Cybersicherheitskonformität sowie Planungs- und Entwurfsdienstleistungen für Unternehmen, die ihre Marke und ihren Geschäftsbetrieb sichern wollen
  • Schulung – Schulungen für das Sicherheitsbewusstsein beim Produktdesign und bei der Beschaffung von Komponenten bei Drittanbietern
  • Prüfung – Fuzzing, Schwachstellenanalyse, Code- und Binäranalyse, Penetration-Tests und Malware-Prüfungen
  • Zertifizierung – Zertifizierung von Komponenten, Produkten, Prozessen und Systemen für Cybersicherheit gemäß den UL 2900 Normen und/oder IEC 62443

Cybersicherheit in industriellen Steuerungssystemen (ICS)

Hersteller oder Anlageneigentümer können Cyber-Risiken minimieren, indem sie Steuerungssysteme verwenden, die gemäß IEC 62443 oder UL 2900-2-2 getestet und zertifiziert sind. Die neue Norm UL 2900-2-2 bietet im Rahmen des UL Cybersecurity Assurance Programms (UL CAP) nachprüfbare Kriterien für die Cybersicherheit, mit denen Softwareschwachstellen beurteilt, deren Ausnutzbarkeit minimiert, bekannte Schadsoftware bekämpft, Sicherheitsmechanismen überprüft und allgemein das Sicherheitsbewusstsein gesteigert werden kann.

Die UL Cybersecurity Lösungen tragen zur Transparenz und Validierung der Komponenten von Zulieferern bei. Denn Cybersicherheit beginnt auf der Komponentenebene. Mit seinen sofort anwendbaren, skalierbaren Cybersecurity Beratungs-, Test- und Zertifizierungslösungen kann UL Herstellern oder Systemintegratoren von Industriesteuersystemen (ICS) dabei helfen, ihre Cyber-Bereitschaft – sowohl hinsichtlich ihrer organisatorischen Sicherheitspraktiken als auch ihrer Systemsicherheit – zu demonstrieren.

UL CAP bietet vertrauenswürdige, neutrale Unterstützung und die Möglichkeit, die Sicherheit von Produkten, die an das Netzwerk und die Systeme angeschlossen werden, wie auch von Anbieterprozessen für die Entwicklung und Pflege von Produkten und Systemen im Hinblick auf ihre Sicherheit zu bewerten.  Das Programm unterstützt Unternehmen dabei, den steigenden Anforderungen des Marktes gerecht zu werden.

Forschungsprojekt für das US-Verteidigungsministerium

Unsere Ingenieure testen fortlaufend neue IoT-Produkte und Systeme und forschen an Prozessen, die Schwachstellen effizient beseitigen. In einem aktuellen Forschungsprojekt, das vom US-Verteidigungsministerium beauftragt wurde, untersucht UL beispielsweise die Cyber-Risiken in industriellen IoT-Gateways.

 

UL Cybersecurity eBook

Um neue Schutzmaßnahmen zu schaffen in einer sich permanent verändernden Landschaft von Bedrohungen, ist auch Transparenz entscheidend. Wie sich diese realisieren lässt, zeigt das UL Cybersecurity eBook.

Erfahren Sie in diesem eBook unter anderem:

  • Wie Sie potenzielle Schwachstellen und Cyberbedrohungen in der Software-Lieferkette identifizieren.
  • Wie Sie mit den standardisierten Kriterien der UL 2900 Normenreihe ein effizientes Gesamtkonzept für die Beurteilung der Cybersicherheit in Ihrem Unternehmen realisieren.
  • Wie Sie die Cybersicherheit in industriellen Steuerungssystemen (ICS) durch das Testen oder Zertifizieren nach IEC 62443 und/oder UL 2900-2-2 erhöhen.
  • Wie Sie das Risikomanagement effizient aufbauen oder betreiben und für die kommende europäische Regulierung zu Cybersecurity bestens vorbereitet sind.

Möchten Sie mehr darüber erfahren, wie wir Sie im Bereich Cybersicherheit unterstützen können, kontaktieren Sie unsere Experten.

Weitere UL Cybersecurity Lösungen: