Informationssicherheit

Streng nach Protokoll: IT-Sicherheit „Made in Germany“

Von Daniela Hoffmann · 2019

Abhaken von Punkten mit rotem Stift
Foto: iStock/Ralf Geithe

Für viele Branchen gibt es zunehmend strenge Compliance-Vorgaben und Regularien rund um die Sicherheit der IT-Systeme. Doch es ist alles andere als trivial, das nötige Security-Level nachzuweisen. Neben dem Klassiker ISO 27001 gibt es mittlerweile weitere Zertifizierungsansätze, die vor allem Mittelständlern den Weg ebnen.

Während die Zahl der Cyberattacken ungebremst weiter steigt, hängt der Geschäftserfolg zunehmend von stark vernetzten Systemen ab. Industrie 4.0 und IoT-Plattformen setzen auf eine Verzahnung von Prozessen über Unternehmensgrenzen hinweg. 

Die Kosten, die durch Ausfälle – auch jenseits von Hackerattacken – entstehen, sind oft massiv, vor allem aber werden Unternehmen heute an neuen Maßstäben gemessen, Stichwort „Digital Reliability“. Zertifizierungen unterstützen dabei, Sicherheitsstandards einzuhalten und sich als Partner in einer Wertschöpfungskette, aber auch dem Kunden gegenüber, digital verlässlich aufzustellen.

 Diese Zertifizierungen gibt es

Am besten bekannt und bereits von vielen Unternehmen angewendet ist die Normierung nach ISO/IEC 27001 für Informationssicherheitsmanagement-Systeme. Auf gut 30 Seiten werden die grundlegenden Security-Erfordernisse für Organisation, Dokumente und Prozesse beschrieben. Zudem spezifiziert die Norm Maßnahmen für Infrastruktur und Technik, um Sicherheit im Rahmen eines Security-Managements zu gewährleisten. 

Dazu gehört auch die kontinuierliche Wartung, Überwachung und Weiterentwicklung. Oft basiert die Vorarbeit für die ISO-Norm auf der Standardabsicherung des rund tausend Seiten starken „IT-Grundschutzes“ des Bundesamts für Sicherheit in der Informationstechnik.

Einen ersten Schritt auf dem Weg zur komplexeren Zertifizierung nach ISO 27001 stellt das praxisorientierte und bundeseinheitlich gestaltete ITQ-13-Audit dar, das sich vor allem an mittelständische Unternehmen richtet. Die IT-Landschaft wird auf Risiken und Schwachstellen hin beleuchtet, der anschließende Bericht zeigt den Sicherheitsstand auf. Ziel ist, die persönlichen Haftungsrisiken weitgehend auszuschließen. 

 Sicherheit für die digitalisierte Industrie

Noch spezieller werden die Anforderungen bei Industrie-4.0-Projekten. Der Leitfaden „IT-Security in der Industrie 4.0“ des Bundesministeriums für Wirtschaft und Energie beschreibt die Herausforderungen, die hier bei der Sicherheitszertifizierung entstehen. 

Unternehmen müssen dafür beispielsweise dokumentieren, welche Anlagenkomponente jeweils über welche Kommunikationsmöglichkeiten aus dem System heraus verfügt. „Mit den zunehmend vernetzten und in der Anlage enthaltenen IT-Komponenten gehen viele Schwachstellen und damit Bedrohungen für die IT-Sicherheit einher“, schreiben die Autoren des Leitfadens. 

So sind IT-Komponenten oft schon bei Lieferung durch veraltete Versionen unsicher oder können es ohne Updates schnell werden. Doch nicht nur Software ist ein Problem. Gerade die Einbindung älterer Maschinen und Anlagen über Retro-Fitting schafft Risiken, denn für diese gibt es häufig keine Updates, während ihre Sicherheitslücken hinlänglich bekannt sind. 

Sämtliche Einzelkomponenten zu erfassen, ist zudem eine echte Sisyphusarbeit. Dabei können die Nutzung von ITIL – „Information Technology Infrastructure Library“ – und die Norm IEC 62443 für Sicherheit in industriellen Informationsnetzen helfen.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)