IT- und OT-Security: Neue Handlungsempfehlung hilft KMU

Home | Aktuelles | IT- und OT-Security: Neue Handlungsempfehlung hilft KMU

Die Informationssicherheit gewinnt auch für kleine und mittlere Unternehmen (KMU) zunehmend an Bedeutung. Vorfälle in Bezug auf die Informationssicherheit, bei denen Schäden in Millionenhöhe entstanden sind, sind immer häufiger in der Presse zu finden.

Inzwischen gibt es Normen, die Unternehmen unterstützen, Schutzmaßnahmen einzuleiten. Für KMU bedeutet allein die Auseinandersetzung mit den umfangreichen Normen jedoch einen enormen Aufwand. Eine jetzt von Prof. Dr. Karl-Heinz Niemann vom Mittelstand-Digital Zentrum Hannover vorgelegte und zum kostenlosen Download zur Verfügung gestellte Handlungsempfehlung, hilft KMU beim systematischen Aufbau eigener Schutzmaßnahmen.

Einordnung von IT und OT

Produzierende Unternehmen stehen vor der Herausforderung, das Thema Informationssicherheit anzugehen. Hierfür kann man das Unternehmen in zwei Bereiche teilen.

Den Bürobereich: Hier laufen die IT-Systeme, z. B. für Email, Dateiablage, Auftragsabwicklung, Webpräsenz. Die Aktivitäten in diesem Bereich werden im Folgenden unter dem Stichwort IT-Security zusammengefasst.
Den Produktionsbereich: Typische Systeme im Produktionsbereich sind Automatisierungssysteme zur Steuerung der Produktion, Industrieroboter, Software-Systeme zur Steuerung der Aufträge und zur Erfassung von Qualitätsdaten. Diese Systeme werden der Operational Technology zugeordnet und im Weiteren unter der Bezeichnung OT-Security adressiert.

Die Anforderungen dieser beiden Bereiche unterscheiden sich deutlich. Während im IT-Bereich z. B. ein großer Wert auf die Vertraulichkeit von Daten (Geschäftsgeheimnisse) gelegt wird, hat im OT-Bereich insbesondere die Verfügbarkeit der Produktionsanlage einen hohen Stellenwert. Aus diesem Grund kommen für diese beiden Bereiche unterschiedliche Normen zur Anwendung.

Die Normreihe ISO 27000

Die Normreihe ISO 27000 liefert einen umfassenden Satz von Normen für die Etablierung eines Information-Security-Management-Systems (ISMS) für ein Unternehmen. Die Norm deckt alle denkbaren Aspekte der IT-Security ab. Beispiele sind u. a.: Sicherer Standort für Server, Absicherung der Netzwerkzugänge, Regelungen für die dienstliche Nutzung privater Geräte, aber auch die Erstellung einer Prozessbeschreibung für die Einstellung oder das Ausscheiden von Mitarbeitenden. Für KMU ist die Normreihe ISO 27000 sehr mächtig. Ihre Anwendung, die Umsetzung entsprechender Maßnahmen im Betrieb ist mit sehr großen Aufwänden verbunden. Eine auf KMU angepasste Untermenge findet sich z. B. in der VdS 10000. Wesentliches Merkmal dieser Prozessbeschreibungen ist die Organisation der IT-Security im Unternehmen, wobei der Fokus nur zu einem relativ geringen Teil auf den besonderen Anforderungen des Produktionsbereiches liegen.

Die Normreihe IEC 62443

Die Normreihe IEC 62443 zielt auf den Produktionsbereich (OT-Security) und dessen spezielle Anforderungen. Hier steht die Verfügbarkeit der Produktionsanlage im Vordergrund. Besondere Themen sind z. B. die Abschottung des Produktionsbereichs gegenüber anderen Teilen des Unternehmens, das Einspielen von SW-Patches in die Anlage, die Qualifikation von Dienstleistern, die in der Produktionsanlage arbeiten sowie OT-Security Anforderungen an Komponenten der Automatisierungstechnik.

Das Zusammenspiel von IT und OT

KMU stehen nun vor der Frage, ob sie sich künftig mit beiden Systemen parallel beschäftigen müssen oder ob der Fokus auf eine der beiden Normreihen ausreicht, um das Unternehmen gegen Bedrohungen zu schützen. Weiterhin stellt sich auch die Fragen, wie sich der der erforderliche Aufwand in Grenzen halten lässt.

Zur Beantwortung dieser Frage, hat Prof. Dr. Karl-Heinz Niemann vom Mittelstand-Digitalzentrum Hannover in Zusammenarbeit mit der ABB AG eine umfassende Beschreibung und Analyse der beiden Normreihen vorgelegt und eine Handlungsempfehlung, auch für KMU, erstellt. Das Dokument mit dem Titel „Abgrenzung der IT-Sicherheitsnormenreihen ISO 27000 und IEC 62443“ steht kostenlos zur Verfügung.
Zum Download

Unterstützungsangebot des Mittelstand Digitalzentrums Hannover

Sie benötigen weitere Informationen oder Unterstützung? Melden Sie sich gerne zu einem kostenlosen Firmengespräch an. Darüber hinaus bieten wir Ihnen kostenlose Workshops, Webinare und Vorträge rund um das Thema IT- und OT-Security an. Hier geht’s zur Terminübersicht.

Teilen Sie den Artikel!

Das könnte Sie auch interessieren

Wie entwickelt sich unsere Arbeit?

a magnifying glass over a spreadscreen showing graphs

KI in der Ressourcenplanung: Ein Überblick