Mit einem Datenmanagementsystem wie Versiondog von Auvesy lassen sich in einer heterogenen Automatisierungslandschaft herstellerübergreifend Daten sichern und versionieren (Quelle: Auvesy)
Momentan umfassen Kritis die Bereiche Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie die Wasserversorgung. Im Dezember 2020 wurde der Entwurf für das neue IT-Sicherheitsgesetz 2.0 vom Kabinett beschlossen und durchläuft nun weitere Gremien. Es ist also absehbar, dass er im Lauf dieses Jahres in Kraft treten wird. Dann werden wohl auch die Abfallwirtschaft und die neu benannten „Infrastrukturen im besonderen öffentlichen Interesse“ als Kritis eingestuft. Damit werden vermutlich zudem die Dax-30-Unternehmen auf der Kritis-Liste stehen. Betroffene Unternehmen sollten sich schon jetzt Gedanken darum machen, wie sie dann die notwendigen Vorgaben erfüllen können.
Systematische Sicherheitskonzepte helfen allen
Aber nicht nur Unternehmen, die rechtlich dazu gezwungen sind, für ihre Automatisierungsgeräte und Anlagen entsprechende Anforderungen umzusetzen, sollten sich mit der Frage auseinandersetzen, wie sie sicher produzieren können. Denn die vom BSI gemeinsam mit der Industrie erarbeiteten Sicherheitsmaßnahmen können sich schnell rechnen, beispielsweise sobald dadurch ein Rückruf oder Anlagenstillstand vermieden wird.
Sicherheit meint in diesem Fall übrigens beides: Die physische Sicherheit (Safety), also der Schutz vor Schäden an Menschen und Dingen, und den Schutz vor Datenverlusten oder -manipulation (Security). Oft sind die Grenzen zwischen beiden Bereichen ohnehin fließend – auch bedingt durch die fortschreitende Digitalisierung der Produktion. Mit einer stärkeren Vernetzung zwischen informationstechnischer (IT) und operativer (OT) Ebene gewinnen hohe Sicherheitsstandards an Bedeutung. Der „Defense in Depth“-Ansatz, der der Normenreihe IEC 62443 zugrunde liegt, ist hier die oft zitierte Strategie. Für Automatisierungsgeräte und Netzwerkgeräte lassen sich Prävention, Detektion und Reaktion mit der Software Versiondog des Landauer Softwareherstellers Auvesy praktisch umsetzen. Das Datenmanagementsystem stellt für viele Bausteine des IT-Grundschutzes eine Lösung bereit und hilft so, Compliance zum IT-Sicherheitsgesetz herzustellen.
Anforderungen aus IT-Grundschutz-Kompendium zuverlässig erfüllen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) benennt im IT-Grundschutz-Kompendium verbindliche Maßnahmen für alle Kritis-Betreiber. Ziel ist es einerseits, Anlagenausfälle von vornherein zu vermeiden, egal ob die Ursache auf Problemen mit der Hardware oder Datenmanipulation beruht. Andererseits soll sichergestellt werden, dass bei einem Ausfall ein Neustart der Anlagen schnell und zuverlässig ablaufen kann. Sprich: Sicherungen sollen schnell aufzufinden und ebenso einfach einzuspielen sein. Versiondog gewährleistet durch seine Funktionalitäten die Integrität der entsprechenden Daten und Programmierungen. Das Datenmanagementsystem setzt dazu bereits in seiner Grundfunktionalität zahlreiche Anforderungen des Kompendiums um: