Cyber Security

Angesichts der Vielzahl von Bedrohungen für die Basisinfrastrukturen unserer Gesellschaft verlangt ein gutes Security-Design danach, die Dinge aus unterschiedlichen Blickwinkeln zu betrachten. Die Arbeitsgruppe Cyber Security fördert daher den Austausch und die Diskussion.

Die kritischen Infrastrukturen unserer Gesellschaft, egal ob Energieversorgung, Transportsysteme, digitale Kommunikationsmittel oder andere Anwendungen, sind auf moderne Informations- und Kommunikationstechnologien angewiesen. Dadurch steigt auch die Abhängigkeit von diesen Systemen. Die zunehmende Vernetzung von Systemen birgt auch neue Bedrohungsszenarien, etwa durch Naturkatastrophen, Terrorbedrohungen oder technische Probleme.

Arbeitsgruppenleiter:
Dipl.-Ing. Thomas Bleier, MSc
Chief Security Improvement Officer, Managing Director B-SEC better secure KG
t(at)b-sec.net

Aktuelle Beiträge zum Thema Cyber Security

Editorial - Cyber Security Mai 2022

Im aktuellen Newsletter bekommen Leser:innen einen Überblick über den Cybersecurity Act der EU-Kommission. Des Weiteren  werden die seit langem etablierte ISO/IEC 27001 und die neuen Entwicklungen in der IEC 62443 unter die Lupe genommen.

Zertifizierung von IT-Sicherheitsaspekten in der Industrie

Wenn es um die Frage geht, wie sehr man sich auf gewisse Eigenschaften eines Produktes verlassen kann, hat sich in vielen Lebensbereichen die unabhängige Zertifizierung von Produkten anhand definierter Normen und Standards etabliert. Gerade der OVE nimmt in diesem Bereich im Themenfeld Elektrotechnik eine wesentliche Rolle in Österreich ein. Bei der IT-Sicherheit ist dieses Thema jedoch noch auf wenige Zertifizierungen bzw. Standards beschränkt. Einige weit verbreitete „Ausnahmen“, wie die ISO/IEC 27001 für die Zertifizierung von Informationssicherheits-Managementsystemen in Unternehmen oder die ISO/IEC 15408 („Common Criteria“) für die Zertifizierung von IT-Produkten mit hohen Sicherheitsanforderungen, bestätigen diese Regel. Im Allgemeinen verlässt man sich auf „Industry Best Practices“ und eine individuelle Begutachtung einzelner Systeme oder Produkte im Rahmen von Security Assessments oder Penetrationstests.

In den letzten Monaten hat sich hier aber durch den Cybersecurity Act der Europäischen Kommission eine neue Dynamik ergeben, die meiner Meinung nach in den kommenden Jahren eine wesentliche Rolle im Bereich der IT-Sicherheit spielen wird. Die Etablierung europaweit einheitlicher Zertifizierungsschemata bietet der Industrie die Möglichkeit, mit vergleichsweise überschaubarem Aufwand Nachweise für den gesamten EU-Binnenmarkt zu erhalten (im Gegensatz zu sonst notwendigen länderspezifischen Aktivitäten). Die Gesetzgeber (oder auch große Beschaffer) haben damit erstmals europaweit einheitliche Standards zur Verfügung, um beispielsweise Mindestsicherheitsanforderungen für Produkte festzuschreiben. Man muss also kein Hellseher sein, um zu erwarten, dass gerade im Industrieumfeld mit dem steigenden Fokus auf „Operational Technology“ (OT) (und natürlich auch in der IT selbst) in Zukunft die Zertifizierung der IT-Sicherheitsaspekte von Produkten ähnlich wie in den zuvor angesprochenen anderen Lebensbereichen zur „Norm“ werden wird.

In diesem Newsletter gibt daher Vinzenz Heußler einen Überblick über den Cybersecurity Act und den aktuellen Stand bei der Entwicklung der Zertifizierungsschemata – er kann als österreichischer Vertreter bei den Verhandlungen in den entsprechenden EU-Gremien sozusagen „aus erster Hand“ berichten.

In der Umsetzung von Zertifizierungsmechanismen leisten akkreditierte Zertifizierungsstellen einen wesentlichen Beitrag. Als CEO der CIS Cert GmbH thematisiert Klaus Veselko im zweiten Newsletter-Beitrag zwei der – aus meiner Sicht – wohl wichtigsten Standards in diesem Themenbereich: die seit langem etablierte ISO/IEC 27001 und die neuen Entwicklungen in der IEC 62443. Er erläutert, wie das Zusammenspiel dieser beiden Normen in Industrieunternehmen gelingen kann. Nachdem wir die Veröffentlichung der zweiten Edition der IEC 62443-2-1 ja noch in diesem Jahr erwarten, ist auch das ein sehr aktuelles Thema.

Unter anderem auch über diesen Teil der IEC 62443 werden wir wieder am 6. Oktober 2022 diskutieren – für diesen Tag planen wir unsere heurige Veranstaltung zu Industrial Security und der IEC 62443, daher an dieser Stelle schon einmal ein Terminaviso! Außerdem darf ich auch dazu einladen, Vorschläge für Vorträge bei der Veranstaltung per E-Mail an t(at)b-sec.net einzureichen.

Wie immer möchte ich mich wieder sehr herzlich bei den Autoren für ihre Beiträge bedanken, und lade Sie dazu ein, Ihre Meinungen und Erfahrungen zu diesen oder anderen relevanten Themen im Bereich der OT Security in künftigen Newsletter-Beiträgen mit uns zu teilen.

Thomas Bleier
OVE Informationstechnik – Arbeitsgruppenleiter „Cyber Security“
OVE-OEK Vorsitzender der AG MR 65 Industrial Automation & Control System Security
Geschäftsführer B-SEC better secure KG
t(at)b-sec.net

 

Oops, an error occurred! Code: 202403291601052d2b746b Event: 7689c244928345dd94c52107a39dc1b7