Die ISO 27001 definiert Anforderungen an Organisationen zur Erhöhung ihrer IT-Sicherheit. Unternehmen wie Energiedienstleister, Chemiebetreiber, Wasseraufbereiter und Pharmazie-Unternehmen ab einer im IT-Sicherheitsgesetz 2.0 festgelegten Leistungsgrenze sowie grundsätzlich Betreiber Kritischer Infrastrukturen (KRITIS) müssen diese Anforderungen bis zum 1. Mai 2023 umgesetzt haben.
Doch auch Unternehmen, die nicht gesetzlich zur Umsetzung der Norm verpflichtet sind, können von einer Zertifizierung profitieren. Die Implementierung der Maßnahmen reduziert das Risiko erfolgreicher Cyberattacken erheblich. Somit spart sich das Unternehmen die Kosten für daraus resultierende Produktionsausfälle und die meist aufwändige Schadensbehebung.
Die Anforderungen basieren anfänglich auf zwei Grundpfeilern und bauen danach aufeinander auf:
- Assetmanagement
Welche Assets sind vorhanden? Wo befinden sie sich? Wie sind sie installiert? - Netzwerkdokumenation
Welche Geräte innerhalb der Anlage kommunizieren miteinander? Auf welchen Wegen kommunizieren sie? Wo gibt es Querkommunikation zwischen den Anlagen?
Risiken für OT-Infrastrukturen
In der IT sind die geforderten Maßnahmen bereits fest etabliert, jetzt werden sie auch für die Operational Technology (OT) verpflichtend. Bereits in den vergangenen Jahren wurden OT-Anlagen, die ungeschützt im Netz hingen, massiv Opfer von Hackerangriffen und Ransom Ware. Schadsoftware wurde breit im Internet gestreut und nutzte jeden Angriffspunkt aus, den sie fand. Seit Beginn des Ukrainekriegs hat sich das Risiko für industrielle Netzwerke durch die deutlich wachsende Anzahl von Cyberattacken sowie das zunehmende politische Engagement von Hackergruppen noch weiter erhöht.
Der Maßnahmenkatalog
Zurzeit umfasst die ISO 27001 einen Katalog von 114 Maßnahmen zum Schutz von IT- und OT-Komponenten, die je nach Einsatzgebiet um weitere Maßnahmen erweitert werden können. Neben Grundlagen wie einem effektiven Antivirusprogramm und einer sauber konfigurierten Firewall betreffen die Maßnahmen im Wesentlichen die folgenden Punkte:
- Business Continuity Management (BCM)
Das BCM beschreibt feste Arbeits- und Dokumentationsabläufe zum Erstellen, Lagern und zur Konsistenz von Backups. Gerade in der OT ist die Einführung eines BCM noch mit hohem Aufwand verbunden. Doch im Falle eines Vorfalls ermöglicht es, dass Backups fehlerfrei wieder aufgespielt und Anlagen beispielsweise nach einer Ransom-Ware-Attacke schnell wieder hochgefahren werden können. - Incident Management (IM)
Wird ein Angriff im Netzwerk erkannt oder eine Verschlüsselung durch Ransom Ware gestartet, müssen sofort Gegenmaßnahmen ergriffen werden. Die dafür notwendigen Notfallpläne werden im IM zusammengefasst. - Angriffserkennung
Gerade für OT-Anlagen ist es noch eine große Herausforderung, Systeme zur Angriffserkennung einzuführen und so zu konfigurieren, dass sie effektiv arbeiten, ohne die Produktivität der Anlagen zu beeinträchtigen. - Rollenmanagement und komplexe Passwörter
Sämtliche Mitarbeitende erhalten individuelle Zugänge mit sicheren Passwörtern und die für ihre Arbeitsbereiche notwendigen Berechtigungen. Die noch recht verbreitete Praxis, einen Generalzugang anzulegen, über den sich zahlreiche Nutzer mit einem allgemein bekannten Passwort einloggen, stellt ein großes Sicherheitsrisiko dar. - Awarenesstraining
Weiterhin wird Malware häufig über E-Mails mit maliziösen Anhängen oder Hyperlinks in Unternehmen eingeschleust. Eine Schulung der Angestellten kann dazu beitragen, dass sie sie eine entsprechende Erwartungshaltung entwickeln und verdächtige E-Mails vorm Öffnen prüfen lassen. - Kommunikation und Öffentlichkeitsarbeit
Ein Notfallplan, wie Belegschaft, Stakeholder sowie die Öffentlichkeit im Falle einer möglichen Attacke informiert werden, kann weitere Schäden für das Unternehmen abmildern. So kann ein Vertrauensverlust aufgrund unkontrolliert durchgesickerter Gerüchte verhindert werden.
Die meisten dieser Maßnahmen sind in der IT-Security bereits fest etabliert. Auf OT-Anlagen lassen sich herkömmliche IT-Lösungen jedoch nicht direkt übertragen. Komplexe OT-Infrastrukturen sind meist historisch gewachsen und setzen sich aus einer Vielzahl verschiedener Systeme zusammen. Zudem sind die Lifecycles mit 10-15 Jahren in der OT deutlich länger als die in der IT üblichen zwei bis drei Jahre.
Daher sind ein starker OT-Background sowie eine ausgewiesene Expertise in der IT-Security notwendig, um die Sicherheitsanforderungen der ISO 27001 ohne Beeinträchtigung der Performanz, Ausfallsicherheit und Integrität von Produktionsanlagen umzusetzen. Mit Tenable als starkem Partner an der Seite findet mod IT die passende Sicherheitslösung für Ihr OT-System.
Zertifizierung
Für eine Zertifizierung müssen Unternehmen nachweisen, den für ihre Branche gültigen Maßnahmenkatalog komplett geprüft und alle anwendbaren Maßnahmen umgesetzt zu haben. Ein entsprechend qualifizierter Dienstleister wie mod IT kann Unternehmen mit Experten wie einem zertifizierten Senior Lead Implementer dabei unterstützen, die in der ISO 27001 geforderten Maßnahmen so zu implementieren, dass ein Auditor abschließend die Zertifizierung empfiehlt.
Wenn Sie wissen möchten, wie wir Sie bei ISO-27001-Zertifizierung unterstützen können, sprechen Sie uns an.