IT-Sicherheit bei INSYS icom
INSYS icom ist Digitalisierungsexperte für industrielle Datenkommunikation. Mit unseren Kernkompetenzen Fernwartung, Netzwerktechnik und Datenübertragung bilden wir die Brücke zwischen IT und OT. Unsere Lösungen sind somit häufig das zentrale Gateway in der Kommunikation von geschlossenen und sicheren Netzwerken nach außen in das freie Internet. Vor allem bei Akteuren der kritischen Infrastruktur wie Energieversorger, Wärmenetze, Stadtwerke und Energieerzeugungsanlagen ist das Schadenspotential enorm. Damit bilden sie ein attraktives Ziel für Angreifer, aus diesem Grund hat die Sicherheit unserer Lösungen die oberste Priorität.
Zukunftsfähig nach dem Cyber Resilience Act:
Wie lässt sich sichere Fernwartung
einfach umsetzen?
» VPN-basierte Fernwartung sicher einführen: Wie INSYS icom Maschinenhersteller beim Cyber Resilience Act unterstützt «
Inhaltsverzeichnis
- Sichere Fernwartung
- Cyber Resilience Act
- Sichere Konnektivität
- Regulierungen & Umsetzung
- CRA für Maschinen
- Maßnahmen & Investitionen
- Lösungen für CRA-Compliance
- Netzwerksicherheit
- Fernzugriff (iCS)
- Geräteverwaltung (iRM)
- Cyber Resilience Act
Whitepaper jetzt anfordern!
Seitennavigation:
IT-Sicherheitsmerkmale
Auch Sie sind ein Ziel
Unsere Sicherheiten
KRITIS
KRITIS-Auditierung
FAQ
IT-Sicherheitsmerkmale unserer Industrie Router
Die wichtigsten IT-Sicherheitshinweise
unserer Produkte für Sie zusammengefasst:
Auch SIE sind ein lukratives Ziel!
Systeme überhaupt anzugreifen kann verschiedene Beweggründe haben, auch wenn diese auf den ersten Blick nicht offensichtlich sind.
Erpressung: Störung der Produktionsabläufe, die erst gegen Zahlung von Geld aufgehoben wird
z. B. mit dem Einsatz von Ransomware
Industriespionage: Diebstahl von geschäftskritischen Informationen und Know-how
Politische Motivation: Angriffe auf kritische Infrastrukturen als Teil eines „Cyber-Kriegs“
Demonstration von Macht: Anrichten maximalen Schadens ohne konkretes Ziel
Demonstration der Machbarkeit: Angriffe, um die Resilienz der Systeme zu verbessern. Angreifer sind überwiegend freundlich gesinnt und kooperativ.
Um unsere Kunden vor derartigen Angriffen zu schützen, ist unserer IT-Sicherheitskultur von den Begriffen „Security first“, „Security by Design“ und „Update it“ geprägt:
„Security first“ – Sicherheit als Basis unseres Handelns
IT-Sicherheit spielt in jeder Phase unseres Handelns und in jedem Produktstadium eine entscheidende Rolle. Folgende fünf Punkte bilden dabei die Eckpfeiler unserer Arbeit:
„Security by Design“ – Sicherheit von Anfang an
Unsere Produkte werden von Beginn an anhand der Prinzipien „Security by Design“ und „Security by Default“ entwickelt. Sie zeichnen sich daher unter anderem durch folgende Punkte aus:
“Update it” – Unsere Update Policy
Jedes Produkt ist nur so sicher, wie die Updates, die es erhält. Daher legen wir bei INSYS icom sehr großen Wert auf regelmäßige Updates für unsere Produkte:
icom OS Router Betriebssystem
icom Connectivity Suite
icom Router Management
Reaktion auf Sicherheitslücken & Patchmanagement
Bereitstellung von Patches für kritische Sicherheitslücken (CVSS 9.0-10.0) unmittelbar nach Verfügbarkeit
Behebung weniger kritischer Sicherheitslücken zum nächsten geplanten Release
Pflege einer Liste mit Sicherheitsmeldungen für CVEs (Security Advisories)
In kritischen Infrastrukturen zu Hause (KRITIS)
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Die Anforderungen an die Sicherheit der dort genutzten Produkte und Services sind natürlich besonders hoch und stehen unter ständiger Beobachtung. Unsere Lösungen zur industriellen Datenkommunikation sind für diese Anforderungen bestens gerüstet, daher sind wir in Deutschland Marktführer in den Branchen erneuerbare Energien sowie Wasser/Abwasser.
LTE450 für kritische Infrastrukturen
Im März 2023 hat INSYS icom eine LTE450 Industrie Router Serie auf den Markt gebracht. Ausschließlich Akteure der kritischen Infrastruktur können auf das ausfallsichere und flächendeckende Mobilfunknetz zugreifen.
Regulierung kritischer Infrastrukturen
Die KRITIS-Gesetzgebung hat zum Ziel, das IT-Sicherheitsniveau der informationstechnischen Systeme in Sektoren zu steigern, die als besonders relevant für die Aufrechterhaltung der öffentlichen Ordnung angesehen werden.
Die Regulierung unterliegt stetiger Weiterentwicklung. Aktuell ist das IT-Sicherheitsgesetz 2.0 mit der KRITIS-Verordnung von 2023 in Kraft.
Die BSI-KritisV definiert Schwellenwerte für Betreiber und Anlagen, ab denen eine KRITIS-Pflicht besteht. Die Listen der Schwellenwerte für die jeweiligen Sektoren finden Sie hier
Besteht eine KRITIS-Pflicht, so werden angemessene organisatorische und technische Sicherheitsmaßnahmen gefordert, um Störungen Ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.
Bei der Umsetzung der Maßnahmen wird auf den Stand der Technik verwiesen. Für verschiedene Branchen existieren branchenspezifische Sicherheitsstandards (B3S), die den Stand der Technik im jeweiligen Sektor definieren. Weitere Informationen zu dem B3S finden sich hier oder bei Ihrem Branchenverband.
Ausblick NIS2 Richtlinie und KRITIS-Dachgesetz/IT-Sicherheitsgesetz 3.0:
Mit dem in Vorbereitung befindlichen IT-Sicherheitsgesetz 3.0 (IT-SiG 3.0), dem KRITIS-Dachgesetz (KRITIS-DachG) und dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) werden die Anforderungen der EU NIS2 Richtlinie (und auch der EU RCE Richtlinie) in nationales Recht überführt.
Diese neuen Gesetze lösen die bestehende KRITIS-Regulierung in Deutschland mit mehr Betreibern und mehr Pflichten ab. Die kritischen Infrastrukturen werden neu definiert. Im IT-SiG 3.0 wird von Betreibern „Kritischer Anlagen“ gesprochen. Für „Kritische Anlagen“ werden noch Schwellenwerte erarbeitet, die noch nicht final bekannt sind.
Ein Inkrafttreten wird für Oktober 2024 erwartet, mit Registrierungspflichten für betroffene Unternehmen bis Januar 2025 und Umsetzungsfristen bis Juli 2026.
Für Unternehmen die keine Betreiber kritischer Anlagen sind, ist das NIS2UmsuCG zutreffend. Es setzt die EU Mindeststandards für Cybersecurity in deutsches Recht um. Definiert werden “Besonders wichtige Einrichtungen” und “Wichtige Einrichtungen”:
| Einrichtung | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|
| Besonders wichtig | ≥ 250 | ≥ 50 Mio. + ≥ 43 Mio. EUR |
| Wichtig | ≥ 50 | ≥ 10 Mio. + ≥ 10 Mio. EUR |
Die Regulierung umfasst so große Teile der Wirtschaft.
Für betroffene Unternehmen ergeben sich daraus Anforderungen an die umzusetzenden Sicherheitsmaßnahmen (Risikomanagement, Vorfallsmeldung, technische Maßnahmen, Governance) sowie Pflichten zur Registrierung, Nachweispflicht, Meldepflicht und Pflicht zum Informationsaustausch.
So halten Sie Ihre Anlagen in fünf Schritten sicher
Mit den folgenden fünf Tipps können Sie dafür sorgen, dass Ihre Anlagen und Maschinen sicher vernetzt sind:
Links, Zertifikate und Penetration Tests
Hier finden Sie Material, das Sie bei der KRITIS-Auditierung unterstützt. Außerdem erhalten Sie einen Überblick über durchgeführte Penetration Tests sowie Dokumentationen und Anleitungen, um die Produkte von INSYS icom sicher zu verwenden.
Links:
Dokumente:
Zertifikate:
Penetration Tests:
| Produkte im Test | Durchführende Stelle | Zeitraum | Status/Ergebnis |
|---|---|---|---|
| icom OS | Kundentest aus der Energie- und Automatisierungstechnik | Q1 2025 | Schwachstellen behoben |
| icom OS | Kundentest aus der Energiewirtschaft | Q1 2025 | Schwachstellen behoben |
| icom Connectivity Suite | TG Alpha | Q1 2025 | Schwachstellen behoben |
| icom OS | BSI / OpenSource Security GmbH | Q4 2022 | Sicherheitszertifikat erteilt. Keine Schwachstellen festgestellt. |
| icom Connectivity Suite | Kundentest aus der Gebäudetechnik | Q3 2021 | Schwachstellen behoben. |
| icom Connectivity Suite | Kundentest aus der Gebäudeautomatisierung | Q2 2021 | Schwachstellen behoben. |
| icom OS | OpenSource Security GmbH | Q2 2021 | Schwachstellen behoben. |
| icom Connectivity Suite | OpenSource Security GmbH | Q2 2021 | Schwachstellen behoben. |
| icom Router Management | OpenSource Security GmbH | Q1 2021 | Schwachstellen behoben. |
| icom OS | Kundentest aus der Energiewirtschaft | Q1 2021 | Schwachstellen behoben. |
| icom OS icom Data Suite | T-Systems im Kundenauftrag | Q4 2019 | Schwachstellen behoben. |
| icom Connectivity Suite icom OS | Secunet im Kundenauftrag aus der Personenbeförderung | Q3 2019 | „Abschließend kann festgestellt werden, dass dem untersuchten System ein allgemein hohes Sicherheitsniveau bestätigt werden kann.“ |
| icom OS | Kundentest aus dem Anlagenbau | Q2 2019 | Schwachstellen behoben. |
IT Security – Häufig gestellte Fragen
Ist eigentlich exakt definiert was hohe IT-Sicherheit bedeutet?
Die IT ist sehr schnelllebig und es ließe sich kaum ein Standard finden, der die Komplexität aller Anwendungsfälle betrachtet. Je nach Anwendung wären Vorgaben über-sicher oder nicht sicher genug. Aus diesem Grund wird IT-Sicherheit meist relativ und nicht absolut definiert. Sicherheitsorganisationen und Branchenverbänden orientieren sich deshalb am Stand der Technik, der je nach Branche, Anwendungsfall und auch Unternehmensgröße unterschiedlich ausgelegt wird. Die branchenspezifischen Sicherheitsstandards (B3S) definieren beispielsweise den Stand der Technik für bestimmte Sektoren. Technische Richtlinien wie die BSI TR-02102 skizzieren den Stand der Technik für die Verwendung kryptografischer Verfahren.
Die Handreichung zum „Stand der Technik“ des TeleTrust (Bundesverband der IT-Sicherheit e.V.) bietet Handlungsempfehlungen und Orientierung zum „Stand der Technik“ an.
Dürfen in kritischen Infrastrukturen nur zertifizierte Router eingesetzt werden?
Es gibt aktuell keine Vorschriften, die den Einsatz zertifizierter Komponenten in kritischen Infrastrukturen gemäß BSI-KritisV vorschreiben oder bevorzugen. Dies kann sich in der Zukunft ändern, grundsätzlich können heute KRITIS-Betreiber auf beliebige Komponenten zurückgreifen, sofern Sie die Einhaltung der IT-Sicherheitsanforderungen nachweisen können.
Wie objektiv ist der Nachweis hoher IT-Sicherheit?
IT-Sicherheit kann zum einen durch unabhängige Penetration Tests und zum anderen durch staatlich anerkannte Zertifikate nachgewiesen werden. Werden Tests und Zertifizierungen durch eine von offizieller Stelle anerkannten Prüfstelle durchgeführt, so bleibt die Objektivität gewährleistet.
Wie bereitet man sich auf ein IT-Sicherheits-Audit vor?
Zum einen kann man sich an den Empfehlungen für den Stand der Technik des jeweiligen Branchenverbandes oder des TeleTrust orientieren. Außerdem haben wir für Sie ein Dokument mit unseren Empfehlungen zum Absichern von Infrastruktur zusammengestellt. Unser INSYS icom Schulungsteam bietet zudem im Rahmen des erweiterten Support eine Sicherheitsberatung an. Kontaktieren Sie uns dazu gerne unter: training@insys-icom.de
Welche Bedeutung hat der „Cyber Resilience Act“ wenn man IT-Sicherheit im engen Zusammenhang mit OT-Sicherheit betrachtet?
Die wegweisende EU-Verordnung zielt darauf ab, Cyber-Sicherheit für ein breites Spektrum vernetzter Geräte zu verbessern und Schwachstellen in der zunehmend digitalisierten und vernetzten Industrielandschaft zu beseitigen. In diesem Zuge verlangt der „Cyber Resilience Act“ von Herstellern, z. B. Anforderungen an Cyber-Sicherheit bereits in der Entwicklungsphase im Blick zu haben und während des gesamten Produktlebenszyklus zu erfüllen. Den Nachweis hierfür erbringt INSYS icom u.a. mit der Zertifizierung nach der internationalen Norm IEC 62443-4-1.
Welche weiteren Maßnahmen und vor allem auch Chancen im Zusammenhang mit der Cyber-Sicherheits-Norm stehen, haben wir Ihnen in unserem Whitepaper „VPN-basierte Fernwartung sicher einführen: Wie INSYS icom Maschinenhersteller beim Cyber Resilience Act unterstützt“ zusammengefasst.
Kontaktformular für Sicherheitshinweise
Sie haben Fragen zur IT-Sicherheit von Produkten? Schreiben Sie eine Nachricht an unseren ISB/CISO unter security@insys-icom.com oder verwenden Sie unser sicheres Online-Formular