Top

Published in:

2017 | OriginalPaper | Chapter

7. IT-Sicherheitsaudits im Bereich der industriellen Produktion

Prüfkriterien und Vorgehensweise

Authors : Mechthild Stöwer, Reiner Kraft

Published in: IT-Prüfung, Sicherheitsaudit und Datenschutzmodell

Publisher: Springer Fachmedien Wiesbaden

Activate our intelligent search to find suitable subject content or patents.

search-config

AI-assisted search

Off

Zusammenfassung

In modernen Industrieunternehmen ist die IT im Fertigungsbereich vielfach vernetzt – untereinander, mit der eigenen Office-IT und auch unternehmensübergreifend. Gleichzeitig sind in diesem Anwendungsfeld immer mehr Standard-IT-Komponenten im Einsatz. Beide Trends zusammengenommen führen zu einer erhöhten Anfälligkeit für übliche IT-Gefährdungen im Fertigungsbereich. Maßnahmen gegen Schadsoftware, Hackerangriffe und andere typische IT-Risiken können jedoch nicht ohne weiteres auf IT im Fertigungsbereich übertragen werden. Daher wurde in den letzten Jahren eine Reihe an Rahmenwerken und Empfehlungen entwickelt, in denen Lösungen für die spezifischen Problemstellungen für das IT-Risikomanagement in diesem Umfeld vorgeschlagen werden. Der Beitrag gibt – ausgehend von den besonderen Anforderungen an IT- und Informationssicherheit in Produktionsumgebungen – einen Überblick über diese Hilfsmittel und beschreibt daraus abgeleitete Prüfkriterien und Vorgehensweisen für IT-Sicherheitsaudits in diesem Umfeld.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

previous chapter Der IoT-Penetrationstest

next chapter Mensch und Maschine, oder: der Super-Revisor

Die Begriffe IT-Sicherheit und Informationssicherheit werden nachfolgend synonym verwendet.

Eine detaillierte Beschreibung zu Stuxnet findet sich unter anderem in [1].

Eine kompakte Übersicht zu Standards und Normen für IT-Sicherheit im Produktionsbereich enthält das ICS Kompendium des BSI, siehe [4], S. 37 ff.; eine ausführliche Darstellung hierzu bietet eine Veröffentlichung des DIN-Normenausschusses Maschinenbau [5].

Seit dem Jahr 2009 wird die Weiterentwicklung der IEC von einem Komitee der International Society for Automation (ISA) unterstützt. Einzelheiten zur Entwicklung der Normenreihe können auf der Website dieses Gremiums eingesehen werden, siehe http://isa99.isa.org.

ICS=Industrial Control System.

Ein ergänzendes Werk für Anlagenhersteller und Integratoren erschien im Jahr 2014.

Siehe [4], S. 111 f.

Siehe www.bsi.bund.de/DE/Themen/Industrie_KRITIS/Tools/LarsICS/LarsICS.html.

Langner R (2013) To kill a centrifuge. A technical analysis of what Stuxnet’s creators tried to achieve. The Langner Group. www.langner.com/en/wp-content/uploads/2013/11/To-kill-a-centrifuge.pdf. Zugegriffen am 03.01.2017

Golem: Schwachstellen aufgedeckt, der leichtfertige Umgang mit kritischen Infrastrukturen. www.golem.de/news/schwachstellen-aufgedeckt-der-leichtfertige-umgang-mit-kritischen-infrastrukturen-1607-122063.html. Zugegriffen am 03.01.2017

Bundesamt für Sicherheit in der Informationstechnik (Hrsg) Die Lage der IT-Sicherheit in Deutschland 2015. Bonn 2015. www.bsi.bund.de/Lageberichte. Zugegriffen am 03.01.2017

Bundesamt für Sicherheit in der Informationstechnik (Hrsg) ICS-Security-Kompendium, Bonn 2013. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf. Zugegriffen am 03.01.2017

DIN Normenausschuss Maschinenbau (2014) Security in Automation – Vergleich und Bewertung von nationalen und internationalen Normen und Standards für Automations- und Produktionssicherheit. Berlin. http://pks.vdma.org/documents/105969/2735318/INS_NAM_2014_Security-in-Automation.pdf. Zugegriffen am 03.01.2017

IEC/TS 62443:2008 (2008 ff.) Industrial communication networks – Network and system security. Genf

VDI/VDE 2182 (2011) Informationssicherheit in der industriellen Automatisierung. Allgemeines Vorgehensmodell. Düsseldorf

ISO/IEC 27019:2013 (2013) Information technology – security techniques – information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. Genf

National Institute of Standards and Technology (Hrsg) (2015) Guide to Industrial Control Systems (ICS) security. NIST Special Publication 800-82. Revision 2. http://dx.doi.org/10.6028/NIST.SP.800-82r2. Zugegriffen am 03.01.2017

10.

Bundesamt für Sicherheit in der Informationstechnik (Hrsg) (2010) Informationssicherheitsrevision – Ein Leitfaden für die IS-Revision auf Basis von IT-Grundschutz. Version 2.0. Bonn. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Leitfaden_IS-Revision-v2_pdf.pdf. Zugegriffen am 03.01.2017

11.

Bundesamt für Sicherheit in der Informationstechnik (Hrsg) (2016) Entwurf eines Bausteins und von Umsetzungshinweisen zum ICS-Betrieb. Bonn. www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/GS_Drafts/gs_drafts_node.html. Zugegriffen am 03.01.2017

12.

VDMA – Verband Deutscher Maschinen- und Anlagenbau (Hrsg) (2014) Industrial Security – einfach anfangen. Frankfurt. http://pks.vdma.org/documents/105969/142443/VDMA%20Fragenkatalog%20Security_2014_final.pdf. Zugegriffen am 03.01.2017

Title: IT-Sicherheitsaudits im Bereich der industriellen Produktion
Authors: Mechthild Stöwer
Reiner Kraft
Publisher: Springer Fachmedien Wiesbaden
Book: IT-Prüfung, Sicherheitsaudit und Datenschutzmodell
Print ISBN: 978-3-658-17468-2

Electronic ISBN: 978-3-658-17469-9

Copyright Year: 2017
DOI: https://doi.org/10.1007/978-3-658-17469-9_7

Springer Professional

Zusammenfassung

Please log in to get access to your license.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"

Premium Partner