NIS2 Richtlinie in Deutschland
Umsetzung und Konformität in OT Netzwerken
Leitfaden

OT-Security, oder Operational Technology Security, bezieht sich auf den Schutz von Systemen, die zur Überwachung und Steuerung physischer Geräte, Prozesse und Infrastruktur in industriellen Umgebungen eingesetzt werden. Dazu gehören unter anderem Systeme wie SCADA (Supervisory Control and Data Acquisition), ICS (Industrial Control Systems), IIoT (Industrial Internet of Things) und andere Automatisierungstechnologien.

​

Für OT Netzwerke sind dieselben NIS2 Cybersicherheitslösungen erforderlich wie für IT-Netzwerke. Gleichzeitig ist aber der Schwerpunkt der Sicherheitsziele in OT Netzwerken anders definiert und es existieren zusätzliche Herausforderungen:

​

Die Hauptziele der OT-Security sind:

​

1. Schutz vor Cyberangriffen: Sicherstellung, dass die Systeme vor unbefugtem Zugriff und Cyberbedrohungen geschützt sind.

2. Integrität der Systeme: Gewährleistung, dass die Daten und Prozesse in den OT-Systemen unverändert und zuverlässig sind.

3. Verfügbarkeit: Sicherstellung, dass die Systeme jederzeit betriebsbereit sind, um den reibungslosen Betrieb kritischer Infrastrukturen zu gewährleisten.

4. Sicherheit der physischen Infrastruktur: Schutz der physischen Komponenten, die in der Produktion und im Betrieb verwendet werden.

 

Besondere Herausforderungen der OT-Security:

​

1. Integration und Zusammenarbeit  von IT und OT: Die zunehmende Vernetzung von IT- und OT-Systemen (z. B. durch IoT) schafft neue Angriffsflächen und erfordert eine ganzheitliche Sicherheitsstrategie. Früher waren OT-Systeme vom übrigen Unternehmen und dem Internet isoliert. Im Zuge der Digitalisierung von Prozessen und des Einsatzes von neuen Technologien der Industrie 4.0 benötigen Unternehmen eine nahtlose Kommunikation zwischen IT-, Cloud- und Betriebsnetzwerken. 

2. Legacy-Systeme: Viele OT-Systeme sind veraltet und wurden nicht für moderne Sicherheitsstandards entwickelt. Sie sind schädlichem Datenverkehr wie DDoS und Exploits von Schwachstellen schutzlos ausgeliefert. Die meisten Unternehmen besitzen kein umfassendes, aktuelles Bestandsverzeichnis der zu schützenden OT-Ressourcen. Schwachstellen, Bedrohung durch Internetverkehr und Fehlkonfigurationen werden so nicht rechtzeitig erkannt.

3. Echtzeit-Anforderungen und Verfügbarkeut steht an oberster Stelle: OT-Systeme müssen oft in Echtzeit arbeiten, was bedeutet, dass Sicherheitsmaßnahmen nicht die Leistung oder Reaktionsfähigkeit der Systeme beeinträchtigen dürfen. 

​

​

NIS2 Umsetzung in OT Netzwerken:​

 

Für OT Netzwerke sind dieselben Cybersicherheitslösungen erforderlich wie für IT-Netzwerke. Zusätzlich müssen jedoch spezifische Maßnahmen ergriffen werden, um den speziellen Herausforderungen und Gegebenheiten von OT Netzwerken gerecht zu werden.

​

Es ist also naheliegend für die NIS 2 Umsetzung der NIS2 Richtlinie Best Practices aus der ISO 27001 (siehe auch NIS2 Umsetzung IT Security) als auch Best Practices aus entsprechenden Industriestandards (NIST, IEC 62443) zu verwenden.​

​​

​

Wichtige Schritte, die zur Erreichung der NIS2-Compliance in OT-Umgebungen beitragen:

​

1. Implementation eines  ISMS (ISO 27001)

​

Entwickeln Sie ein ISMS (ISO 27001), das die spezifischen Anforderungen Ihres Unternehmens, Ihrer Branche und der NIS2-Richtlinie berücksichtigt. (siehe auch NIS2 Umsetzung IT Security)

​

2. Entwickeln von Konzepten in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik:

​

• Führen Sie eine umfassende Bestandsaufnahme aller  OT-Systeme und -Komponenten durch einschließlich Asset Discovery und Beschreibung.

• Identifizieren Sie potenzielle Risiken und Schwachstellen in den OT-Netzwerken.

• Etablierung einheitlicher Bewertungsmethoden für identifizierte Risiken.

• Standardisierte und übersichtliche Dokumentation von Risiken, inklusive deren Bewertungen

• ​Auf der Grundlage der Risikobewertung müssen Organisationen umfassende Risikomanagementpläne entwickeln, die Maßnahmen zur Risikominderung, Überwachung und Berichterstattung umfassen.

• Führen Sie Verfahren zu kontinuierlichen Risikoanalyse und -bewertung ein.​

• Definieren Sie Sicherheitsrichtlinien, Verfahren und Verantwortlichkeiten.

​

3. Einrichtung eines Incidentmanagementsystems zur Bewältigung von Sicherheitsvorfällen (z.B. NIST Cybersecurity Framework (CSF), ISA99/IEC 62443):

​​​​

Ziel des Prozesses zur Behandlung von Informationssicherheitsvorfällen (Incidents) zielgerichtetes Handeln beim Eintreten einer tatsächlichen Sicherheitsverletzung oder eines gezielten Cyberangriffs in der Organisation.

Die Organisation muss eine Klassifizierung der Incidents festlegen, die eine Abgrenzung des Schweregrads ermöglicht. Beispielsweise Unterscheidung zwischen Störungen, Sicherheitsvorfällen, Notfällen und Krisen. Es ist ein entsprechender Incident Response Plan zu erstellen, indem die Abläufe beschrieben werden, nachdem ein Incident erkannt wurde und wie der Schaden eingedämmt oder beseitigt wird:

​

• Entwickeln Sie Verfahren zur frühzeitigen Angiffserkennung.

• Entwickeln Sie Verfahren zur Abwehr von Angriffen.

• Klassifizierung der Incidents.

• Entwickeln Sie einen Incident-Response-Plan, der beschreibt, wie auf Sicherheitsvorfälle reagiert werden soll.

• Implementieren Sie technische Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systeme (IDS) und Segmentierung des Netzwerks, um den Zugriff auf kritische OT-Systeme zu kontrollieren.

• Stellen Sie sicher, dass alle Systeme regelmäßig gepatcht und aktualisiert werden.

• Führen Sie regelmäßige Übungen durch, um die Reaktionsfähigkeit zu testen.​

​

4. Aufrechterhaltung des Betriebs:

​​

• Mehrstufiges Backup-Management.

• Pläne für eine schnelle Wiederherstellung nach einem Notfall.

• Pläne für das Krisenmanagement und Kommunikation.

• Zusätzliche Störungen der OT-Prozesse vermeiden.

• Business-Continuity-Plan.

​

5. Sicherheit der Lieferkette:

​

Führen Sie eine Risikobewertung für die Sicherheit der Lieferkette durch und insbesondere für die technischen Sicherheitsanforderungen für Komponenten in der Lieferkette (z.B. ISA/IEC 62443 oder NIST SP 800-82)

Informationssicherheit wird durch Lieferanten zunehmend mittels Zertifizierungen erbracht. Hierfür geeignet sind insbesondere die ISO 27001 oder auch der IT-Grundschutz. Im Automobil-Sektor hat sich TISAX® etabliert. 

NIS2 schreibt für bestimmte Einrichtungsarten, insbesondere für Betreiber kritischer Anlagen, Zertifizierungen vor. Ebenso müssen auch Komponenten zertifiziert sein, wenn sie in einem kritischen OT Netzwerk eingesetzt werden.

 

Die Anforderungen der ISO 27001 ist fokussiert auf verschiedene Schutzmaßnahmen, wie z.B. die Festlegung von Prozessen und Verfahren und vertragliche Regelungen mit dem Lieferanten, Meldewege bei Vorfällen. Dabei sind auch Risiken aus deren IT-Infrastruktur und Lieferketten zu berücksichtigen. 

Eine genauere Berücksichtigung der Lieferkette  bietet die ISO 27036. Sie beschreibt detailliert die notwendigen Prozesse.

Sie unterscheidet zwischen: 

• Lieferantenbeziehungen für Produkte 

• Lieferantenbeziehungen für Services 

• Lieferkette für Informationstechnologie 

• Cloud Computing 

​

6. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen.

​

• Fordern Sie Zertifizierungen beim Erwerb von Komponenten und Software ein.

• Stellen Sie die Cybersicherheit von selbst entwickelten Komponenten und Software sicher. Lassen Sie Ihre Produkte zertifizieren.

• Schwachstellen offenlegen und effektiv behandeln.

​​​​

7. Monitoring:

​

Es muss sichergestellt werden, dass die Vorgaben für die Umsetzung der NIS2 Richtlinie in die Praxis kontinuierlich erfüllt und sichergestellt ist, was mittels eines entsprechenden Monitorings dokumentiert wird:

• Performance-Monitoring umfasst die Bewertung der Wirksamkeit des ISMS im Hinblick auf die Erreichung der Sicherheitsziele (u.a. NIS2 Konformität) und die Erfüllung der Anforderungen der ISO 27001.

• Risiko-Monitoring bezieht sich auf die Bewertung und Überwachung von Sicherheitsrisiken im Unternehmen und im ISMS 

• Das Compliance-Monitoring bezieht sich auf die zusätzliche Überwachung der Einhaltung von rechtlichen Anforderungen und regulatorischen Vorgaben, aber auch von internen Richtlinien und Standard​s

​

​​8. Kommunikation:

​

Ziel ist es, den Bedarf an interner und externe Kommunikation zu beschreiben. darunter fallen zum Beispiel die Meldepflichten von Vorfällen an das BSI oder die Unterrichtungspflichten an Kunden. Der interne Kommunikationsbedarf ist zu verstehen und entsprechende Kommunikationskanäle sind zu bestimmen. Die Ergebnisse werden in einem Kommunikationsplan zusammengefasst.

​

9. Awareness und Schulungen:

​

Die Schaffung eines Risikobewusstseins im Unternehmen ist ein wesentlicher Bestandteil eines ISMS.  Dadurch werden Bedrohungen frühzeitig erkannt, Sicherheitsvorfälle vermieden und die Aufwände, die für deren Behandlung notwendig wären, werden eingespart. Dazu werden Schulungskonzepte und Schulungspläne erstellt.​​​

  

10. Continual Improvement:

​

Unternehmen sind aufgefordert, stetig ihre Prozesse und Ergebnisse zu analysieren und an neue Erkenntnisse anzupassen und Verbesserungspotenziale abzuleiten, um dadurch ihr ISMS stetig zu verbessern. 

Eine Organisation, die ein normkonformes ISMS betreiben möchte, muss folglich organisatorische Maßnahmen festlegen, auf deren Basis eine kontinuierliche Verbesserung gezielt und planmäßig stattfindet. Die Organisation hat nachzuweisen, wie sie bei festgestellten Mängeln dafür sorgt, dass sich diese nicht wiederholen. ​​​​​​​​​