Industrial Security fängt im Einkaufsprozess an

[Blogtitel] Industrial Security fängt im Einkaufsprozess an [Beschreibung]Die Absicherung von Produktions- und Fertigungsanlagen kann manchmal schon mit kleinen Änderungen realisiert werden. [Bildquelle] iStock 820243528 [Bildbeschreibung] Das Bild zeigt digital vernetzte Schlösser
Data protection and insurance. Concept of business security system.

Der nachfolgende Gastartikel wurde von Max Weidele von der Plattform Sichere Industrie bereitgestellt.

Die Absicherung von Produktions- und Fertigungsanlagen kann manchmal schon mit kleinen Änderungen realisiert werden. Der Beschaffungsprozess beim Anlagen- und Maschineneinkauf bietet hier eine wichtige Chance für nachhaltige Industrial Security.

Die steigende Vernetzung von Maschinen und Anlagen im Rahmen der Industrie 4.0 und der einhergehenden Digitalisierung führt dazu, dass Hersteller und Betreiber sich zunehmend mit der Absicherung Ihrer Produktions- und Anlagennetze auseinandersetzen. Nach initialen IST-Aufnahmen und ersten Sicherheitsanalysen der Produktions- und Anlagennetzen wird schnell klar, dass es viel zu tun gibt. Vor allem mit den vielen Altsystemen in der Bestandsinfrastruktur, die über Jahrzehnte gewachsen ist, muss mit Feingefühl umgegangen werden.

Damit es für die zukünftigen Systeme nicht erst soweit kommt und diese nicht ebenfalls bald zu „schlecht zu sichernden“ Altsystemen mutieren, gilt statt Symptombehandlung eher die Ursachenbehandlung. Dies heißt, den Zufluss an schlecht zu sichernden Maschinen und Anlagen in die eigenen Netze zu unterbinden, damit die großen Folgeaufwände auf Seiten der IT und OT gar nicht erst entstehen.

Am besten geschieht das durch das an der Anlagenplanung beteiligte Personal, sowie innerhalb des Einkaufs. Hier wird auch wieder einmal deutlich, dass eine nachhaltige Produktionssicherheit kein punktuelles Problem der IT oder der OT ist, sondern eine allgemeine Herausforderung des gesamten Unternehmens. Je früher Security berücksichtigt wird, desto größer die Ersparnis bei späteren Aufwänden.

Starten Sie mit einer Analyse des Beschaffungsprozesses

Im Rahmen einer ersten Analyse sollten Sie sich das Vorgehen der genannten Abteilungen ansehen und wie weit das Thema Industrial Security dort bereits berücksichtigt wird. Folgende Fragen können hier gut unterstützen:

  • Existiert eine Einkaufsrichtlinie für Automatisierungssysteme mit Bezug auf IT-Sicherheit?
  • Wird die IT-Sicherheit von Lieferanten untersucht? Hier spielen deren Prozesse, Produkte und Dienstleistungsangebote eine Rolle.
  • Werden neue Systeme, Maschinen und Anlagen in ein Asset-Management eingepflegt?
  • Wird vor der konkreten Beauftragung eine sicherheitsrelevante Einschätzung des IT und Automatisierungspersonals eingeholt?
  • Herrscht bereits ein Überblick über die Bestandsinfrastruktur vor, sodass bei der Einbindung der neuen Systeme auf IT-Sicherheitsrisiken geachtet werden kann?

Hier muss man stets damit rechnen, dass solche Fragen eher ernüchternde Antworten liefern und man mit großen Augen angeschaut wird, als dass es einem weiterhilft. Vor allem die Management-Unterstützung ist wichtig, die klar vorgibt, IT-Sicherheit alleine schon aus Kostengründen im Beschaffungsprozess zu integrieren.

Dialog zwischen IT und OT mit der Anlagenplanung und dem Einkauf

In gemeinsamen Gesprächsrunden sollten sich Gedanken gemacht werden, wie Stück für Stück IT-Sicherheitsanforderungen bereits im Rahmen der Planungsphase sowie im späteren Einkauf berücksichtigt werden. Hier muss vor allem ein erster Wissensaustausch und eine Sensibilisierung aller Beteiligten stattfinden, damit die gemeinsame Gesprächsbasis stimmt.

Ist diese einmal gelegt, geht es um das etablieren fester Wege, wie solche Sicherheitsanforderungen jetzt und in Zukunft an die richtigen Stellen der Planungs- und Einkaufsphasen gelangen können. Ein bewährter Weg ist, dass dies seitens der IT und OT in Form von einer Einkaufsrichtlinie zur IT-Sicherheit geschieht.

Exemplarische Punkte einer Einkaufsrichtlinie

Im Folgenden haben wir ein paar Punkte gesammelt, die sich dazu anbieten, gleich praxistauglich innerhalb einer Einkaufsrichtlinie übernommen zu werden:

  • Fernwartungsfunktionalität erfordert keine nach außen offenen Zugänge
  • Hersteller garantiert langjährige Pflege inklusive Schwachstellen- und Updatemanagement
  • Konkrete Anforderungen für späteren Betrieb und Administration
  • Ausführliche Dokumentation der IT-Komponenten
  • Keine unveränderbaren voreingestellten Passwörter
  • Nachweis über Zertifizierung, z.B. nach ISO 27001 oder IEC 62443

Eine solche Einkaufsrichtlinie kann je nach Art und Beschaffenheit von Maschinen und Anlagen sehr umfangreich sein. Hier muss, wie immer in der IT-Sicherheit, das richtige Verhältnis zwischen Sicherheit, Wirtschaftlichkeit und Anwendbarkeit beachtet werden. Aus diesem Grund gilt: Machen Sie sich Gedanken, welche Sicherheitsanforderungen für Ihren Betrieb gelten müssen und integrieren Sie diese so früh wie möglich in Ihre Geschäftsprozesse.

Leicht und Praxisorientiert Industrial Security erreichen

Eingeschliffene Routinen ändern sich nicht über Nacht. Insbesondere wenn die Planung und der Einkauf von Maschinen und Anlagen seit Jahrzehnten nach den gleichen grundlegenden Prinzipien erfolgt, ist ein kurzfristiger Wechsel nahezu unmöglich. Hier empfiehlt es sich, den Fokus auf den grundlegenden Dialog zu legen und mit einigen oder auch nur einer kleinen Sicherheitsanforderung zu beginnen. Gut geeignet ist hier vor allem das Thema Fernwartung.

Oftmals das Vorzeigethema, zu dem sich alle Beteiligten bereits einmal austauschen mussten. Weiterhin ist die Industrie Fernwartung ein Thema, dass auch jedem Hersteller und Lieferanten ein bekannter und wichtiger Begriff ist. Damit hat man den ersten grundlegenden Schritt, die Relevanz des Themas zu steigern, bereits einmal überwunden und kann sich um eine anknüpfende Lösung kümmern.

Punkte die bei dem Thema beachtet werden sollten sind die Sicherheitsanforderungen der Fernwartungslösung selbst, ob die Lösung in das bestehende Fernwartungskonzept des Betreibers passt, wer die Datenhoheit hat und wie ein Zugriff erfolgen kann. Sind diese Punkte einmal implementiert, lässt sich einfach darauf aufbauen.

Praxistipp

Formulieren Sie eine “5 Punkte – Einkaufsrichtlinie” für das Thema Fernwartung von Industrieanlagen und besprechen Sie diese mit Ihren Anlagenplanern bzw. Ihrem Einkauf.

Weitere Artikel nach Kategorien:

Meine Daten sollen nicht in Google Analytics erfasst werden.
Summary
Industrial Security fängt im Einkaufsprozess an
Titel
Industrial Security fängt im Einkaufsprozess an
Beschreibung
Die Absicherung von Produktions- und Fertigungsanlagen kann manchmal schon mit kleinen Änderungen realisiert werden. Der Beschaffungsprozess beim Anlagen- und Maschineneinkauf bietet hier eine wichtige Chance für nachhaltige Industrial Security.
Autor
Veröffentlicht durch
Ingenieurversteher
Logo
Vorheriger ArtikelDigitale Askese. Ich bin dann mal offline – einhundert Stunden im Kloster.
Nächster ArtikelIndustrial Security – oder warum Sie nur mit einem Dolmetscher gewinnen können!
//Analyst//Blogger//Keynote Speaker// zu den Fokusthemen #Industrie40, #IoT und #Digitalisierung.Herzlich willkommen auf meinem Ingenieurversteher-Blog. Hier schreibt ein echter, aber nicht ein typischer Ingenieur.Nach einer soliden Ausbildung bei Siemens zum Feinmechaniker habe ich das Abitur nachgeholt und Maschinenbau studiert. Der Schwerpunkt Informatik im Hauptstudium war wohl der ausschlaggebende Grund, dass es mich in die Software-Industrie gezogen hat wo ich heute noch immer aktiv unterwegs bin. Für die Funktionen Vertrieb, Marketing und Produktmanagement habe ich mich meine Leidenschaft entdeckt – sicherlich nicht immer typisch für einen Ingenieur.Im Rahmen meiner Diplomarbeit haben mich Themen wie „Computer Integrated Manufacturing (CIM)“ beschäftigt. Viele Aspekte sind davon heute umgesetzt. Mit der Digitalisierung unserer Gesellschaft allgemein sowie dem Einzug des Internets in die Produktion stehen wir vor großen Herausforderungen, die uns langfristig intensiv beschäftigen werden. Der klassische Ingenieur wird nun mit völlig neuen Themengebieten konfrontiert.Das war u.a. die Motivation für diesen Blog, die Themenbereiche Industrie 4.0 und Digitalisierung aufzugreifen und regelmäßig darüber zu schreiben – leicht verständlich und nicht technisch tief. Gerade aus diesem Zusammenhang hat sich die Marke „Ingenieurversteher“ entwickelt. Ingenieure sind in der Regel Künstler mit einem sehr tiefen technischen Verständnis. Oft sind sie allerdings nicht in der Lage, technisch komplexe Zusammenhänge leicht verständlich einer Zielgruppe zu vermitteln, die nicht über dieses tiefe technische Wissen verfügt. Um Ideen und Innovationen zu vermarkten, müssen diese in eine leicht verständliche Sprache übersetzt werden. Mit einer Vorliebe für analytisches und strukturiertes Recherchieren , der Leidenschaft für das Schreiben und der Freude am Präsentieren ist die Idee vom „Ingenieurversteher“ entstanden.