Zusammenfassung
In modernen Industrieunternehmen ist die IT im Fertigungsbereich vielfach vernetzt – untereinander, mit der eigenen Office-IT und auch unternehmensübergreifend. Gleichzeitig sind in diesem Anwendungsfeld immer mehr Standard-IT-Komponenten im Einsatz. Beide Trends zusammengenommen führen zu einer erhöhten Anfälligkeit für übliche IT-Gefährdungen im Fertigungsbereich. Maßnahmen gegen Schadsoftware, Hackerangriffe und andere typische IT-Risiken können jedoch nicht ohne weiteres auf IT im Fertigungsbereich übertragen werden. Daher wurde in den letzten Jahren eine Reihe an Rahmenwerken und Empfehlungen entwickelt, in denen Lösungen für die spezifischen Problemstellungen für das IT-Risikomanagement in diesem Umfeld vorgeschlagen werden. Der Beitrag gibt – ausgehend von den besonderen Anforderungen an IT- und Informationssicherheit in Produktionsumgebungen – einen Überblick über diese Hilfsmittel und beschreibt daraus abgeleitete Prüfkriterien und Vorgehensweisen für IT-Sicherheitsaudits in diesem Umfeld.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Die Begriffe IT-Sicherheit und Informationssicherheit werden nachfolgend synonym verwendet.
- 2.
Eine detaillierte Beschreibung zu Stuxnet findet sich unter anderem in [1].
- 3.
- 4.
Seit dem Jahr 2009 wird die Weiterentwicklung der IEC von einem Komitee der International Society for Automation (ISA) unterstützt. Einzelheiten zur Entwicklung der Normenreihe können auf der Website dieses Gremiums eingesehen werden, siehe http://isa99.isa.org.
- 5.
ICS=Industrial Control System.
- 6.
Ein ergänzendes Werk für Anlagenhersteller und Integratoren erschien im Jahr 2014.
- 7.
Siehe [4], S. 111 f.
- 8.
Literatur
Langner R (2013) To kill a centrifuge. A technical analysis of what Stuxnet’s creators tried to achieve. The Langner Group. www.langner.com/en/wp-content/uploads/2013/11/To-kill-a-centrifuge.pdf. Zugegriffen am 03.01.2017
Golem: Schwachstellen aufgedeckt, der leichtfertige Umgang mit kritischen Infrastrukturen. www.golem.de/news/schwachstellen-aufgedeckt-der-leichtfertige-umgang-mit-kritischen-infrastrukturen-1607-122063.html. Zugegriffen am 03.01.2017
Bundesamt für Sicherheit in der Informationstechnik (Hrsg) Die Lage der IT-Sicherheit in Deutschland 2015. Bonn 2015. www.bsi.bund.de/Lageberichte. Zugegriffen am 03.01.2017
Bundesamt für Sicherheit in der Informationstechnik (Hrsg) ICS-Security-Kompendium, Bonn 2013. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf. Zugegriffen am 03.01.2017
DIN Normenausschuss Maschinenbau (2014) Security in Automation – Vergleich und Bewertung von nationalen und internationalen Normen und Standards für Automations- und Produktionssicherheit. Berlin. http://pks.vdma.org/documents/105969/2735318/INS_NAM_2014_Security-in-Automation.pdf. Zugegriffen am 03.01.2017
IEC/TS 62443:2008 (2008 ff.) Industrial communication networks – Network and system security. Genf
VDI/VDE 2182 (2011) Informationssicherheit in der industriellen Automatisierung. Allgemeines Vorgehensmodell. Düsseldorf
ISO/IEC 27019:2013 (2013) Information technology – security techniques – information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. Genf
National Institute of Standards and Technology (Hrsg) (2015) Guide to Industrial Control Systems (ICS) security. NIST Special Publication 800-82. Revision 2. http://dx.doi.org/10.6028/NIST.SP.800-82r2. Zugegriffen am 03.01.2017
Bundesamt für Sicherheit in der Informationstechnik (Hrsg) (2010) Informationssicherheitsrevision – Ein Leitfaden für die IS-Revision auf Basis von IT-Grundschutz. Version 2.0. Bonn. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Leitfaden_IS-Revision-v2_pdf.pdf. Zugegriffen am 03.01.2017
Bundesamt für Sicherheit in der Informationstechnik (Hrsg) (2016) Entwurf eines Bausteins und von Umsetzungshinweisen zum ICS-Betrieb. Bonn. www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/GS_Drafts/gs_drafts_node.html. Zugegriffen am 03.01.2017
VDMA – Verband Deutscher Maschinen- und Anlagenbau (Hrsg) (2014) Industrial Security – einfach anfangen. Frankfurt. http://pks.vdma.org/documents/105969/142443/VDMA%20Fragenkatalog%20Security_2014_final.pdf. Zugegriffen am 03.01.2017
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden
About this chapter
Cite this chapter
Stöwer, M., Kraft, R. (2017). IT-Sicherheitsaudits im Bereich der industriellen Produktion. In: Sowa, A. (eds) IT-Prüfung, Sicherheitsaudit und Datenschutzmodell. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-17469-9_7
Download citation
DOI: https://doi.org/10.1007/978-3-658-17469-9_7
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-17468-2
Online ISBN: 978-3-658-17469-9
eBook Packages: Computer Science and Engineering (German Language)