Übersicht

Sicherung industrieller Netzwerke in einem digitalen Umfeld

Navigationshilfe:

Das Wachstum des industriellen Internets der Dinge (Industrial Internet of Things, IIoT), einschließlich der OT-Netzwerke (Operational Technology, OT) und der industriellen Steuerungssysteme (Industrial Control Systems, ICS), hat die industrielle Umgebung revolutioniert und bietet beispiellose Konnektivität, Automatisierung und Datenanalysefunktionen. Mit der zunehmenden Vernetzung dieser Systeme steigt jedoch auch die Anfälligkeit für Sicherheitslücken, was den Bedarf an zuverlässigen Rahmenbedingungen für die Cybersicherheit erhöht.

Herausforderungen in Bezug auf die Cybersicherheit im industriellen Umfeld
Industrielle Umgebungen stellen besondere Herausforderungen an die Cybersicherheit, die zuverlässige und umfassende Sicherheitsmaßnahmen zur Risikominderung erfordern. Zu den zentralen Herausforderungen gehören unter anderem:

  • Altsysteme: Viele industrielle Systeme beruhen auf veralteten Technologien, die modernen Sicherheitsanforderungen möglicherweise nicht mehr entsprechen.
  • Vernetzte Geräte: Die zunehmende Nutzung von IoT in der Industrie vergrößert die Angriffsfläche und macht Schwachstellen in vernetzten Geräten deutlich.
  • Betriebsunterbrechungen: Cyberangriffe auf industrielle Systeme können erhebliche Ausfallzeiten verursachen und wichtige Abläufe stören.
  • Datenintegrität: Schutz sensibler Betriebsdaten und Sicherstellung der Richtigkeit und Integrität übermittelter Informationen.

Geltende Normen und Vorschriften im Bereich Cybersicherheit

Die Konformität industrieller Systeme mit allgemeinen und cybersicherheits-spezifischen Normen und Vorschriften, ist ein entscheidender Faktor bei der Minderung von Risiken. Diese Normen enthalten technische Anforderungen für die Sicherung von Netzwerken, Geräten und Daten in komplexen industriellen Umgebungen und tragen dazu bei, die Einhaltung von Vorschriften und zuverlässige Cybersicherheitspraktiken zu gewährleisten.

Vorschriften im Bereich Cybersicherheit

Vorschrift Beschreibung
Delegierte Verordnung (EU) 2022/30 Diese Verordnung legt Anforderungen an die Cybersicherheit für bestimmte Kategorien von Funkanlagen fest und erweitert den Anwendungsbereich der ursprünglichen Funkanlagenrichtlinie (RED) 2014/53/EU. Ihr Schwerpunkt liegt auf dem Schutz von Netzwerken und der Verhinderung unbefugter Zugriffe insbesondere bei Geräten mit Internetanschluss. Damit soll sichergestellt werden, dass diese Produkte den geltenden Sicherheitsanforderungen entsprechen, bevor sie in der EU in Verkehr gebracht werden.
Cyber Resilience Act (CRA) der Europäischen Union Der Cyber Resilience Act (CRA) zielt darauf ab, die Cybersicherheit von vernetzten Geräten und digitalen Produkten in der EU zu verbessern, indem Sicherheitsanforderungen für deren gesamten Lebenszyklus festgelegt werden. Hersteller, Entwickler und Unternehmen sind für die Einhaltung der Vorschriften verantwortlich, um die Produktsicherheit zu erhöhen und die Verbraucher vor Cyber-Bedrohungen zu schützen.
EU-NIS2-Richtlinie Die NIS2-Richtlinie verschärft die Cybersicherheits-Anforderungen für Anbieter digitaler Dienste in der EU und erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie. Sie schreibt ein erweitertes Risikomanagement und eine Meldepflicht für Vorfälle in kritischen Infrastrukturen wie dem Gesundheitswesen, Energiesektor und Transportwesen vor, um diese vor Cyberangriffen zu schützen.
EU-Rechtsakt zur Cybersicherheit Der EU-Rechtsakt zur Cybersicherheit legt die Rahmenbedingungen für Zertifizierungen der Cybersicherheit von Produkten, Dienstleistungen und Prozessen in der EU fest. Er stärkt das Mandat der ENISA (der EU-Agentur für Cybersicherheit) und führt ein europaweites Zertifizierungssystem zur Förderung hoher Cybersicherheitsstandards für vernetzte Geräte und Systeme ein.
EU-Verordnung zur digitalen operationalen Resilienz (DORA) Der Schwerpunkt der DORA liegt auf dem Finanzsektor und legt Cybersicherheits-Vorschriften fest, um sicherzustellen, dass Finanzinstitute in der Lage sind, Störungen oder Bedrohungen im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) standzuhalten, darauf zu reagieren und sich davon zu erholen. Die Verordnung verlangt von den Unternehmen die Einführung fundierter Risikomanagementstrategien und Testprotokolle zum Schutz vor Cyber-Bedrohungen und zur Verbesserung der betrieblichen Widerstandsfähigkeit.
Funkanlagen-Richtlinie 2014/53/EU — Cybersicherheits-Anforderungen Die Cybersicherheitsanforderungen der Funkanlagenrichtlinie (RED) betreffen die Sicherheit von Funkgeräten, die in der EU verkauft werden. Diese Anforderungen tragen dazu bei, dass Geräte, die mit dem Internet verbunden sind oder persönliche Daten übertragen, über angemessene Cybersicherheitsmaßnahmen wie starke Verschlüsselung und sichere Kommunikationsprotokolle verfügen, um unbefugten Zugriff zu verhindern.
EU-Datenschutz-Grundverordnung (DSGVO) Die DSGVO umfasst die Vorschriften der EU zum Datenschutz mit strengen Regeln für die Erhebung, Speicherung und Verwendung personenbezogener Daten durch Unternehmen. Sie räumt EU-Bürgern bestimmte Rechte in Bezug auf ihre Daten ein, z. B. das Recht auf Auskunft, Berichtigung oder Löschung derselben, und sieht hohe Geldstrafen bei Verstößen vor, um einen soliden Datenschutz in der gesamten EU durchzusetzen.
UK Product Security and Telecommunications Infrastructure (PSTI) Act Der PSTI Act legt die Anforderungen an die Cybersicherheit vernetzter Geräte für Verbraucher in Großbritannien fest. Er schreibt grundlegende Sicherheitsstandards wie das Verbot von Standardpasswörtern, die Bereitstellung von Informationen über Sicherheitsupdates und die Bestätigung von Mechanismen zur Meldung von Sicherheitslücken vor, um die Sicherheit von vernetzten Produkten, die in Großbritannien vertrieben werden, zu erhöhen.
California Privacy Rights Act (CPRA) Der CPRA, eine Erweiterung des kalifornischen Verbraucher-Datenschutzgesetzes (California Consumer Privacy Act), stärkt den Datenschutz für die Bürger Kaliforniens durch die Einrichtung der California Privacy Protection Agency, der kalifornischen Datenschutzbehörde, und die Einführung neuer Rechte, z. B. zur Einschränkung der Verwendung sensibler personenbezogener Daten. Außerdem werden die Verpflichtungen der Unternehmen in Bezug auf die Erhebung und Speicherung von Daten sowie die Transparenz der Datennutzung erhöht.
SB-1121 California Consumer Privacy Act (CCPA) SB-1121, eine Änderung des ursprünglichen CCPA, präzisiert einige Bestimmungen des Gesetzes und passt die Umsetzungsfristen an. Der CCPA räumt den Bürgern Kaliforniens umfassende Rechte in Bezug auf ihre personenbezogenen Daten ein, beispielsweise das Recht auf Auskunft, Löschung und Widerspruch gegen einen Verkauf ihrer Daten. Er gilt für Unternehmen, die bestimmte Grenzwerte bei der Datenverarbeitung erreichen.
SB-327 Kalifornisches IoT-Cybersecurity-Gesetz Das kalifornische SB-327 ist ein bahnbrechendes Gesetz, das Cybersicherheitsmaßnahmen für alle in dem US-Bundesstaat verkauften IoT-Produkte vorschreibt. Es verlangt von den Herstellern, die Geräte mit angemessenen Sicherheitsmerkmalen wie individuellen Passwörtern und sicheren Authentifizierungsprotokollen auszustatten, um Schutz vor unbefugtem Zugriff und Datenmissbrauch zu erreichen.

Allgemeine Normen im Bereich Cybersicherheit

Norm Beschreibung
UL 2900-1 Eine Cybersicherheits-Norm, die sich auf die Sicherung von Produkten und Systemen mit Netzwerkverbindung konzentriert. Sie bietet Richtlinien für die Identifizierung von Schwachstellen, die Durchführung von Penetrationstests und die Analyse von Quellcodes, um Cybersicherheitsrisiken zu managen. Der Standard unterstützt Hersteller bei der Implementierung von Sicherheitsmaßnahmen für ihre Produkte und bei der Erfüllung der notwendigen regulatorischen Erwartungen. UL 2900-1 wird allgemein für die Validierung der Sicherheit von vernetzten Geräten in verschiedenen Branchen verwendet.
IEC 62443-Reihe Eine internationale Normenreihe zum Schutz von industriellen Automatisierungs- und Kontrollsystemen (IACS) vor Cyber-Bedrohungen. Sie bietet einen strukturierten Ansatz für das Risikomanagement in industriellen Umgebungen und deckt Bereiche wie Systemdesign, Sicherheitsstufen und Zugangskontrolle ab. Durch die Einhaltung dieser Normenreihe können Unternehmen die Resilienz ihrer industriellen Systeme gegenüber Cyber-Bedrohungen verbessern und so den Schutz kritischer Infrastrukturen und Prozesse stärken. Die Normen sind vielseitig und können in verschiedenen Branchen wie Energie, Fertigung, Transport und Gesundheitswesen angewendet werden, um die Sicherheit industrieller Systeme in unterschiedlichen Sektoren zu verbessern.

Cybersicherheits-Normen für das IIoT

Norm Beschreibung
IEC 62443-Reihe Die Normenreihe IEC 62443 bietet mit ihren umfassenden Normen einen Rahmen für den Umgang mit und die Minderung von Cybersicherheits-Risiken innerhalb von industriellen Automatisierungs- und Steuerungssystemen (IACS). Sie deckt viele Aspekte der Sicherheit industrieller Netzwerke ab, einschließlich Systemdesign, Implementierung und laufender Betriebssicherheit, und sorgt dafür, dass sowohl Hersteller als auch Betreiber die geltenden Sicherheitsanforderungen erfüllen. Diese Normenreihe ist von entscheidender Bedeutung für den Schutz kritischer Infrastrukturen, da sie spezifische Anforderungen an die Absicherung nicht nur einzelner Komponenten, sondern des gesamten Systemlebenszyklus (von der Entwicklung bis hin zur späteren Wartung) gegen Cyber-Bedrohungen im industriellen Umfeld festlegt.
Zentrale Aspekte der Cybersicherheit für das IIoT

Ressourcen über die Cybersicherheit in der Industrie Wichtiger Hinweis: Bitte beachten Sie, dass die folgenden Ressourcen derzeit nur auf Englisch verfügbar sind.

Dienstleistungen

Lassen Sie Ihre Produkte auf Sicherheit, Konformität und weltweiten Marktzugang prüfen, inspizieren und zertifizieren.

Vorgestelltes Symbol. Prüfung

Prüfung

Verwandeln Sie Ihre Innovationen mit Hilfe unserer kompetenten Testservices in Qualitätsprodukte, die kritische Sicherheitsanforderungen erfüllen.

Vorgestelltes Symbol. Zertifizierung

Zertifizierung

Führen Sie neue Produkte ein und steigern Sie das Kundenvertrauen durch unsere globalen Zertifizierungsdienstleistungen.

Vorgestelltes Symbol. Prüfzeichen und Labels

Prüfzeichen und Labels

Sie erhalten die erforderlichen Prüfzeichen, um sorgenfreien Zugang zu Ihren Zielmärkten zu erhalten.

Vorgestelltes Symbol. Zusatzdienstleistungen

Zusatzdienstleistungen

Durch Zugang zu unserem Kundenportal, Online-Produktlistungen und vielem mehr, sparen Sie Zeit und gewinnen Sie Effizienz.