Cybersicherheit im industriellen Internet der Dinge (IoT):
Wie Sie ein effizientes Risikomanagement aufbauen und die Cybersecurity erhöhen.

IT und OT Cyber­sicher­heit wird zum kri­tis­chen Erfol­gs­fak­tor der dig­i­tal­en Trans­for­ma­tion. Indus­triean­la­gen, Robot­er und Maschi­nen als Teile cyber-physis­ch­er Sys­teme sind längst zum Ziel von Hack­eran­grif­f­en gewor­den. Es ist nur eine Frage der Zeit, bis ein Cyber-Angriff eine kom­plette Pro­duk­tion oder eine kri­tis­che Infra­struk­tur lahm­le­gen wird. Was kön­nen Unternehmen tun, um Cyber­risiken zu min­imieren?

Aggressiver und technisch komplexer: Bedrohung durch Cyber-Angriffe steigt

Mit­tler­weile gehören Cyber-Attak­ten weltweit zum Tages­geschäft – mit enormer Wirkung. Das Mirai-Bot­net sei nur der Anfang gewe­sen. Drei junge IT-Experten aus Alas­ka hat­ten im Okto­ber 2016 die Kon­trolle über ungesicherte Sicher­heit­skam­eras, Kühlschränke und andere ver­net­zte Haushalts­geräte über­nom­men und diese für Angriffe auf Spiele-Serv­er miss­braucht. Zeitweise waren 500.000 IoT-Geräte in ihrem Bot­net zusam­mengeschlossen.

Das zeigt, was auf Unternehmen zukommt. Lassen sich Mil­lio­nen von IoT-Geräten zu ein­er Plat­tform zusam­men­führen, kön­nen sie eine enorme Schlagkraft entwick­eln. Gle­ichzeit­ig hat die Zahl der Cyber-Attack­en in den ver­gan­genen Jahren stark zugenom­men. Eine Befra­gung des VDE ergab: 71 Prozent der Mit­glied­sun­ternehmen mit mehr als 5.000 Mitar­beit­ern geben zu, bere­its Opfer von Cyber-Angrif­f­en gewor­den zu sein.

Wie sollen Unternehmen reagieren? Das Bun­desmin­is­teri­um für Wirtschaft und Energie (BMWi) gibt in sein­er Studie „IT-Sicher­heit für die Indus­trie 4.0“ eine zen­trale Empfehlung: Kon­se­quent einen guten Basiss­chutz mit Hil­fe heute ver­füg­bar­er Sicher­heit­stech­nolo­gien etablieren. Als Mit­tel dazu schlägt das BMWi unter anderem vor, Min­dest­stan­dards für IT-Sicher­heit einzuführen und in dig­i­tal­en Wertschöp­fungsnet­zen zer­ti­fizierte Pro­duk­te zu ver­wen­den.

Industrie 4.0 erfordert eine dynamische Zertifizierung

Bis­lang reichte in der Indus­trie ein ein­ma­liger Zer­ti­fizierungsvor­gang. Denn war es üblich, ein Gerät herzustellen und dann nicht mehr anz­u­fassen.

Heute wird jedoch preiswerte Stan­dard-Hard­ware genutzt, um die Ver­net­zung zu ermöglichen. Das bringt fort­laufend Soft­ware-Updates mit sich. Wie sich diese Updates auf die Sicher­heit auswirken, lässt sich mit ein­er ein­ma­li­gen klas­sis­chen Zer­ti­fizierung nicht mehr beant­worten.

Zudem sind IoT-Kom­po­nen­ten so kri­tisch, dass es einen kon­se­quenten Life­cy­cle erfordert. Was passiert, wenn eine Kom­po­nente auf­grund eines Angriffs als kom­pro­mit­tiert gilt und getauscht wer­den muss? Unternehmen benöti­gen ein sicheres Nach­fol­ge­pro­dukt, schließlich kann die Kom­po­nente mil­lio­nen­fach im Ein­satz sein. Ein ver­ant­wor­tungs­be­wusster Kom­po­nen­ten­her­steller sollte also Prozesse definieren  und eine Zer­ti­fizierung von Kom­po­nen­ten muss diese Prozesse natür­lich kon­trol­lieren.

Solche Über­legun­gen bedeuten für UL einen Über­gang von der sta­tis­chen hin zu ein­er dynamis­chen Zer­ti­fizierung. Eine dynamis­che Zer­ti­fizierung erfordert erprobte Prozesse, um reagieren zu kön­nen, wenn sich etwas am Pro­dukt verän­dert.

Das UL Cybersecurity Assurance Program (UL CAP)

Das UL Cyber­se­cu­ri­ty Assur­ance Pro­gram (UL CAP) basiert auf der UL 2900 Nor­men­rei­he, die mith­il­fe von Inter­essen­vertretern aus Regierung, Uni­ver­sität und Indus­trie entwick­elt wurde. Sowohl UL CAP als auch UL 2900 bauen auf der langjähri­gen Exper­tise von UL in den Bere­ichen Sicher­heitswis­senschaft, Norme­nen­twick­lung, Prü­fung und Zer­ti­fizierung auf.

UL bietet Cybersecurity-Lösungen für folgende Bereiche an:

  • Appli­ances and HVAC/R
  • Ver­brauchertech­nolo­gie
  • Indus­tri­es­teuerungssys­teme
  • Elek­tro­n­isch gesicherte Zugänge
  • Beleuch­tung
  • Medi­zin
  • Robotik
  • Soft­ware-Pro­duk­t­prü­fung und Vali­dierung
  • Soft­ware- und Anwen­dungssicher­heit

Das UL CAP ist ein sofort anwend­bares Lösungspaket, das Soft­ware-Schwach­stellen iden­ti­fiziert und beurteilt, bekan­nte Mal­ware bekämpft und Sicher­heit­skon­trollen über­prüft. Diese Dien­stleis­tun­gen umfassen:

  • Beratung – Audits und Anleitung bezüglich Cyber­sicher­heit­skon­for­mität sowie Pla­nungs- und Entwurfs­di­en­stleis­tun­gen für Unternehmen, die ihre Marke und ihren Geschäfts­be­trieb sich­ern wollen
  • Schu­lung – Schu­lun­gen für das Sicher­heits­be­wusst­sein beim Pro­duk­t­de­sign und bei der Beschaf­fung von Kom­po­nen­ten bei Drit­tan­bi­etern
  • Prü­fung – Fuzzing, Schwach­stel­len­analyse, Code- und Binär­analyse, Pen­e­tra­tion-Tests und Mal­ware-Prü­fun­gen
  • Zer­ti­fizierung – Zer­ti­fizierung von Kom­po­nen­ten, Pro­duk­ten, Prozessen und Sys­te­men für Cyber­sicher­heit gemäß den UL 2900 Nor­men und/oder IEC 62443

Cybersicherheit in industriellen Steuerungssystemen (ICS)

Her­steller oder Anla­geneigen­tümer kön­nen Cyber-Risiken min­imieren, indem sie Steuerungssys­teme ver­wen­den, die gemäß IEC 62443 oder UL 2900–2-2 getestet und zer­ti­fiziert sind. Die neue Norm UL 2900–2-2 bietet im Rah­men des UL Cyber­se­cu­ri­ty Assur­ance Pro­gramms (UL CAP) nach­prüf­bare Kri­te­rien für die Cyber­sicher­heit, mit denen Soft­wareschwach­stellen beurteilt, deren Aus­nutzbarkeit min­imiert, bekan­nte Schad­soft­ware bekämpft, Sicher­heitsmech­a­nis­men über­prüft und all­ge­mein das Sicher­heits­be­wusst­sein gesteigert wer­den kann.

Die UL Cyber­se­cu­ri­ty Lösun­gen tra­gen zur Trans­parenz und Vali­dierung der Kom­po­nen­ten von Zulief­er­ern bei. Denn Cyber­sicher­heit begin­nt auf der Kom­po­nen­tenebene. Mit seinen sofort anwend­baren, skalier­baren Cyber­se­cu­ri­ty Beratungs-, Test- und Zer­ti­fizierungslö­sun­gen kann UL Her­stellern oder Sys­tem­inte­gra­toren von Indus­tri­es­teuer­sys­te­men (ICS) dabei helfen, ihre Cyber-Bere­itschaft – sowohl hin­sichtlich ihrer organ­isatorischen Sicher­heit­sprak­tiken als auch ihrer Sys­tem­sicher­heit – zu demon­stri­eren.

UL CAP bietet ver­trauenswürdi­ge, neu­trale Unter­stützung und die Möglichkeit, die Sicher­heit von Pro­duk­ten, die an das Net­zw­erk und die Sys­teme angeschlossen wer­den, wie auch von Anbi­eter­prozessen für die Entwick­lung und Pflege von Pro­duk­ten und Sys­te­men im Hin­blick auf ihre Sicher­heit zu bew­erten.  Das Pro­gramm unter­stützt Unternehmen dabei, den steigen­den Anforderun­gen des Mark­tes gerecht zu wer­den.

Forschungsprojekt für das US-Verteidigungsministerium

Unsere Inge­nieure testen fort­laufend neue IoT-Pro­duk­te und Sys­teme und forschen an Prozessen, die Schwach­stellen effizient beseit­i­gen. In einem aktuellen Forschung­spro­jekt, das vom US-Vertei­di­gungsmin­is­teri­um beauf­tragt wurde, unter­sucht UL beispiel­sweise die Cyber-Risiken in indus­triellen IoT-Gate­ways.

 

UL Cybersecurity eBook

Um neue Schutz­maß­nah­men zu schaf­fen in ein­er sich per­ma­nent verän­dern­den Land­schaft von Bedro­hun­gen, ist auch Trans­parenz entschei­dend. Wie sich diese real­isieren lässt, zeigt das UL Cyber­se­cu­ri­ty eBook.

Erfahren Sie in diesem eBook unter anderem:

  • Wie Sie poten­zielle Schwach­stellen und Cyberbedro­hun­gen in der Soft­ware-Liefer­kette iden­ti­fizieren.
  • Wie Sie mit den stan­dar­d­isierten Kri­te­rien der UL 2900 Nor­men­rei­he ein effizientes Gesamtkonzept für die Beurteilung der Cyber­sicher­heit in Ihrem Unternehmen real­isieren.
  • Wie Sie die Cyber­sicher­heit in indus­triellen Steuerungssys­te­men (ICS) durch das Testen oder Zer­ti­fizieren nach IEC 62443 und/oder UL 2900–2-2 erhöhen.
  • Wie Sie das Risiko­man­age­ment effizient auf­bauen oder betreiben und für die kom­mende europäis­che Reg­ulierung zu Cyber­se­cu­ri­ty bestens vor­bere­it­et sind.

Möcht­en Sie mehr darüber erfahren, wie wir Sie im Bere­ich Cyber­sicher­heit unter­stützen kön­nen, kon­tak­tieren Sie unsere Experten.

Weit­ere UL Cyber­se­cu­ri­ty Lösun­gen: