Cybersecurity: Schutz des globalen Handels

Von Michael A. Mullane

Die globale Ausbreitung des Internets und die weitverbreitete Nutzung künstlicher Intelligenz (KI), das Internet der Dinge (IoT) und andere zukunftsweisende Technologien treiben den digitalen Wandel des internationalen Handels voran.

Sowohl Unternehmen als auch Verbraucher setzen zunehmend auf digitale Lösungen im Bereich der Kommunikation und des elektronischen Handels sowie als Informationsquelle. Versorgungsunternehmen, Verkehrssysteme, Produktionsanlagen und andere kritische Infrastruktur haben sich zu cyber-physischen Systemen entwickelt.

Aus diesem Grund sind solide Cybersecurity-Maßnahmen zum Schutz der Wirtschaft erforderlich. Hierbei spielen internationale Normen eine entscheidende Rolle. Die Normen stellen einen gemeinsamen Rahmen für den Umgang mit Cybersecurity-Risiken zur Verfügung, fördern das Vertrauen zwischen Handelspartnern und erleichtern reibungslose grenzüberschreitende Transaktionen.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Die kritische Infrastruktur ist das Rückgrat des globalen Handels. Heutzutage ist alles, vom Stromnetz bis hin zu Getränkeabfüllanlagen, mit Sensoren und Monitoren verbunden, die Daten sammeln, analysieren und mit anderen Geräten und Systemen kommunizieren, um die Leistung, Qualität und Konsistenz zu verbessern. Das macht sie zu einem attraktiven Ziel für Cyberangriffe. Die IEC hat die Herausforderung angenommen und die Norm IEC 62443 entwickelt, die sich speziell mit industriellen Automatisierungs- und Steuerungssystemen (IACS) auseinandersetzt, die in kritischer Infrastruktur zum Einsatz kommen.

Ein wesentliches Problem ist, dass Cybersecurity häufig nur im Kontext von IT gesehen wird. Sicherheitsverantwortliche übersehen nicht selten die Einschränkungen bezüglich der Betriebsfähigkeit in Branchen wie dem Energiesektor, dem Fertigungsbereich, dem Gesundheitswesen oder dem Verkehrssektor.

Die Zunahme von vernetzten Geräten hat die Konvergenz der vormals getrennten Bereiche Informationstechnologie (Information Technology; IT) und Betriebstechnologie (Operational Technology; OT) beschleunigt. Aus der Perspektive von Cybersecurity besteht die Herausforderung darin, dass Automatisierungs- und Steuerungssysteme, anders als Business-Systeme, tatsächlich dafür ausgelegt sind, den Zugriff aus verschiedenen Netzwerken zu erleichtern.

Industrielle Umgebungen sind mit unterschiedlichen Risiken konfrontiert. Während sich die IT-Sicherheit gleichermaßen auf den Schutz der Vertraulichkeit (confidentiality), Integrität (integrity) und Verfügbarkeit (availability) von Daten konzentriert, die sog. „C-I-A-Triade“, ist in der Welt der Betriebstechnologie die Verfügbarkeit das Wichtigste. Bei OT-Umgebungen sind die Prioritäten Gesundheit und Sicherheit sowie der Schutz der Umwelt. Um das Personal schützen zu können bzw. die Auswirkungen von Naturkatastrophen auf ein Minimum zu reduzieren, ist es daher in einem Notfall von elementarer Bedeutung, dass das Bedienpersonal wahrheitsgetreue und zeitnahe Informationen erhält und schnell die passenden Maßnahmen ergreifen kann, wie beispielsweise das Stromnetz abzuschalten oder auf Backup-Systeme zurückzugreifen.

IEC 62443 liefert einen umfassenden Leitfaden für den Schutz der Sicherheit, Integrität, Verfügbarkeit und Vertraulichkeit im Bereich von industriellen Automatisierungs- und Steuerungssystemen. Durch die Verbesserung der Sicherheit cyber-physischer Systeme trägt IEC 62443 dazu bei, einen ununterbrochenen Waren- und Dienstleistungsverkehr sicherzustellen und den globalen Handel vor durch Cyberattacken verursachten Unterbrechungen zu schützen.

Die Umsetzung von IEC 62443 ermöglicht es Unternehmen, Cybersecurity in ihre Business-Continuity-Management-Systeme, also ihre Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit, zu integrieren, wodurch ein ununterbrochener Betrieb sichergestellt und das Vertrauen zwischen Handelspartnern gestärkt wird.

Verhinderung von Cyberangriffen auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) erstrecken sich von der Versorgung über Medien und Kultur bis hin zur Gesundheit – und sind für unser tägliches Leben von größter Bedeutung. Vor allem auch deshalb sind sie ein beliebtes Ziel für Angriffe durch Kriminelle.

Ein wichtiger Aspekt beim Schutz sind die SCADA-Systeme. Die internationale Normung zeigt mit den Normenreihen IEC 62443 und IEC 62351 auf, wie kritische Infrastrukturen geschützt werden können.

Neben dem Schutz der kritischen Infrastruktur ist die Sicherung der IT-Systeme für das reibungslose Funktionieren des globalen Handels von entscheidender Bedeutung. ISO/IEC 27001, ein Gemeinschaftsprojekt von ISO und IEC, dient als Maßstab in Bezug auf Managementsysteme für Informationssicherheit.

Die Norm konzentriert sich auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, einschließlich sensibler Informationen wie personenbezogene Daten (en: personally identifiable information, PII) und geistiges Eigentum.

Sowohl IEC 62443 als auch ISO/IEC 27001 befürworten einen risikobasierten Ansatz im Hinblick auf Cybersecurity. Der Ansatz trägt der Tatsache Rechnung, dass es unpraktisch und nicht tragbar ist, sämtliche Ressourcen gleichermaßen zu schützen. Beide Normen empfehlen Unternehmen, ihre wertvollsten Ressourcen im Hinblick auf die Aufrechterhaltung der Betriebsfähigkeit zu priorisieren und Schwachstellen zu identifizieren, um geeignete Abhilfemaßnahmen zu ergreifen.

Durch die Verwendung eines risikobasierten Ansatzes können Unternehmen Ressourcen effektiv verteilen, potentielle Gefahren mindern und die Auswirkungen von Cybervorfällen minimieren. Der Ansatz stellt sicher, dass Cybersecurity-Maßnahmen auf die Geschäftspraktiken und die Risikobereitschaft sowie die Compliance-Anforderungen abgestimmt sind, sodass sie die Stabilität und Resilienz des globalen Handels fördern. 

IEC 62443 und ISO/IEC 27001 sind „horizontale“, grundlegende Normen. IEC-Fachleute haben auf ihrer Basis eine Reihe sog. „vertikaler“ Normen entwickelt, die darauf ausgelegt sind, bestimmte technische Erfordernisse zu erfüllen, beispielsweise im Energie- und Transportsektor, um unter anderem die Informationssicherheit im Hinblick auf Beziehungen zu Dritten zu gewährleisten oder um E-Commerce- und Online-Banking-Transaktionen zu schützen.

VDE Anwendungsregel ergänzt IEC 62443 mit branchenübergreifendem Cybersecurity-Konzept

Mit der VDE-AR-E 2802-20 existiert eine neue VDE Anwendungsregel, die das Ziel hat, die seit mehr als zehn Jahren existierende Normenreihe IEC 62443 horizontal zu erweitern. Die Industrieautomatisierung steht vor wachsenden Herausforderungen wie dem Auflösen der Grenzen zwischen IT und OT.

Im globalen Handel spielt die Konformitätsbewertung eine wesentliche Rolle bei der Verbesserung der Cybersecurity und der Stärkung des Vertrauens von Interessengruppen. Die IEC bietet eine Konformitätsbewertung mittels IECEE-Zertifizierung für IEC 62443, während IECQ eine Konformitätsbewertung für ISO/IEC 27001 bereitstellt.

Die Zertifizierungsverfahren stellen sicher, dass Normen zur Cybersecurity richtig umgesetzt werden. Zertifizierungen, die auf diesen Normen beruhen, dienen als international anerkannter Nachweis der Einhaltung von Best Practices und fördern auf diese Weise das Vertrauen zwischen Handelspartnern und erleichtern reibungslosere Handelsbeziehungen.

Die Anwendung der Cybersecurity-Normen von IEC und ISO/IEC fördert globale Konsistenz und schafft dadurch gleiche Wettbewerbsbedingungen für Unternehmen, die grenzüberschreitend tätig sind. Indem sie sich an die Normen halten, können Unternehmen unter Beweis stellen, dass sie sich für Cybersecurity einsetzen und sich einen Wettbewerbsvorteil im internationalen Markt verschaffen.

Darüber hinaus erleichtert die Einbindung dieser Normen in Handelsabkommen und nationale Vorschriften den Handel, indem Anforderungen an die Cybersecurity vereinheitlicht und technische Barrieren abgebaut werden sowie eine sichere digitale Umgebung geschaffen wird, die den globalen Handel fördert.

Die von IEC und ISO/IEC entwickelten Cybersecurity-Normen sind für den Schutz und die Resilienz des globalen Handels unverzichtbar, insbesondere in Kombination mit der Konformitätsbewertung. Internationale Normen fördern Vertrauen, erleichtern Handelsbeziehungen und stellen ein reibungsloses Funktionieren des weltweiten digitalen Ökosystems sicher, indem sie Schwachstellen in der kritischen Infrastruktur beheben, IT-Systeme schützen und einen risikobasierten Ansatz befürworten.

Die Einhaltung dieser Normen senkt nicht nur Cyberrisiken, sondern stärkt zudem die Grundlage für nachhaltiges Wirtschaftswachstum in einer vernetzten Welt.

Redaktioneller Hinweis:

Der englischsprachige Originalartikel erschien erstmals auf etech.iec.ch in der Ausgabe 03/2023.
Zu finden unter: https://etech.iec.ch/issue/2023-03/cyber-security-safeguarding-global-trade

Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im