Open Access

Karl-Heinz Niemann

• Die IT-Sicherheit in Produktionsanlagen gewinnt zunehmend an Bedeutung. Statistiken bestätigen eine verschärfende Bedrohungslage auch im Bereich der industriellen Automatisierungstechnik. Die Europäische Union fordert künftig bestimmte Mindeststandards für Anlagen im Bereich der kritischen Infrastruktur über die NIS-2-Richtlinie. Planer und Betreiber von Produktionsanlagen sind demnach gefordert, die IT-Sicherheit ihrer Produktionsanlagen (im Weiteren OT-Security genannt) zu adressieren und systematisch in ihre Prozesse zu integrieren. Die Normreihe IEC 62443 wurde speziell auf die Anwendung in Produktionsanlagen konzipiert und berücksichtigt daher die Anforderungen, welche sich aus einer industriellen Echtzeitumgebung ableiten. Die Norm definiert neben Anforderungen an die Hersteller von Automatisierungskomponenten auch Anforderungen an Planer und Betreiber von Automatisierungssystemen. Dieses Dokument widmet sich im Schwerpunkt der Rolle der Planer und Betreiber im OT-Security-Prozess. Nach einer Abgrenzung der OT-Security und der IT-Security in Kapitel 2 folgt in Kapitel 3 zunächst eine Einführung in die Norm IEC 62443. Kapitel 4 beschreibt dann die Aufgaben des Anlagenplaners. Hier wird unter anderem auf die Aufgaben des Anlagenplaners wie z. B. die Erstellung einer Risiko- und Bedrohungsanalyse sowie die Definition eines Defense-in-Depth-Konzeptes eingegangen. In Kapitel 5 folgen dann die Aufgaben des Anlagenbetreibers (engl. Asset Owner). Zu diesen Aufgaben gehören z. B. der Aufbau eines Information-Security-Management-Systems (ISMS), Erstellung und Wartung eines Asset-Inventories und das Einspielen von Software-Aktualisierungen (Patch-Management).