"ICS Security Kompendium" des BSI

Erstes Grundlagenwerk für IT-Sicherheit industrieller Anlagen

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Industrieanlagen wie Automatisierungs-, Prozesssteuerungs- und Prozessleitsysteme (Industrial Control Systems, kurz ICS) fliegen oft unter dem Radar von IT-Security-Fachleuten. Das BSI möchte das ändern.

Mit dem 124-seitigen "ICS Security Kompendium" bringt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun erstmals ein Grundlagenwerk heraus, das die Betreiber von Industrieanlagen bei der Absicherung ihrer Produktions- und Steuerungs-Systeme unterstützen soll. Es adressiert unter anderem Energie- und Wasserversorger, Anbieter für Verkehrsleittechnik oder auch Unternehmen der Gebäude-Management-Branche.

Nicht nur mehr die physische Sicherheit wie der Helm ist in der industriellen Produktion von Bedeutung.
Nicht nur mehr die physische Sicherheit wie der Helm ist in der industriellen Produktion von Bedeutung.
Foto: christian42, Fotolia.com

Zum einen beschreibt der neue Katalog die Grundlagen der Anlagensicherheit, die ICS-Abläufe und die relevanten Normen und Sicherheitsstandards. Ebenfalls wird anhand von Fallbeispielen dargelegt, wie Unternehmen ihre ICS vor Cyber-Angriffen schützen können. Laut BSI eigne sich das neue Kompendium auch für den Einsatz in Lehre und Ausbildung, als Einstiegslektüre für Berufsanfänger und als Sensibilisierungs-Werkzeug für Hersteller und Integratoren.

Wie wichtig die Absicherung von Industrieanlagen ist, hat inbesondere der im Jahr 2010 in iranischen Atomkraftwerken entdeckte Stuxnet-Wurm gezeigt, der gezielt die dort eingesetzten Scada-Steuerungssysteme unterwanderte, um Zentrifugen zu manipulieren. Die Gefahr besteht aber bereits deutlich länger: Die gerade gestern veröffentlichte abschließende Analyse dieses Vorfalls beweist, dass es schon im Jahr 2005 einen ähnlichen, aber noch deutlich schwieriger aufzufindenden Schädling in derartigen Steuerungssystemen von Siemens gegeben hat.