Skip to content

Was ist Cybersecurity Compliance?

Heutzutage stehen immer mehr Unternehmen in verschiedenen Branchen vor ähnlichen Herausforderungen, insbesondere in sicherheitskritischen Bereichen wie Energie, Wasseraufbereitung, Eisenbahn und anderen. Diese Herausforderung ist besonders in der Europäischen Union und in den Ländern des Nahen Ostens spürbar und hört sich in etwa so an:

„Ist Ihr Produkt Cybersicherheitskonform?“ oder „Ist Ihr Unternehmen/Produkt/Lösung konform mit IEC 62443 (und TS 50701 für Eisenbahnen)?“

Obwohl wir als Verbraucher froh sind, dass immer mehr Unternehmen aufgefordert werden, die Cybersicherheitsstandards einzuhalten, kann dies eine erhebliche Herausforderung darstellen. Aber lassen Sie mich das erklären.

Wo hat alles angefangen?

In den meisten Fällen, die wir in den letzten Jahren erlebt haben, wenn ein Kunde von einem Anbieter verlangt, dass er die Cybersicherheitsanforderungen einhält oder nachweist, versteht selbst der Kunde nicht ganz, was dies bedeutet oder wie genau es nachgewiesen werden sollte. Die Einhaltung der Cybersicherheitsvorschriften stellt für die meisten Marktteilnehmer eine erhebliche Lücke dar, obwohl sie nicht nur von den Verbrauchern, sondern auch von den staatlichen Behörden gefordert wird. Lassen Sie uns also dieses Thema aufschlüsseln und endlich klären, was es bedeutet, die Anforderungen an die Cybersicherheit zu erfüllen.

Wenn es um die Einhaltung von Cybersicherheitsbestimmungen geht, stößt man in der Regel auf ein paar bekannte Standards:

  • IEC 62443-Serie – Sicherheit für industrielle Automatisierungs- und Steuerungssysteme (#IACS): Hierbei handelt es sich um eine internationale Norm für Cybersicherheit, die zum Schutz von IACS vor Cyberbedrohungen entwickelt wurde. Sie bietet einen Rahmen für die Sicherung dieser Systeme während ihres gesamten Lebenszyklus (sowohl bei der Entwicklung als auch im Betrieb) und richtet sich an die Bedürfnisse von Systembetreibern, Integratoren und Komponentenherstellern. Die Norm ist in derzeit vier Teile gegliedert, von denen jeder relevante Anforderungen und Empfehlungen enthält, die allgemeine Sicherheitsgrundsätze, Richtlinien und Verfahren, Systemanforderungen und Komponentensicherheit abdecken. Die IEC 62443 stellt sicher, dass industrielle Systeme in kritischen Sektoren wie Transport, Energie und Fertigung gegen Cyberangriffe geschützt sind, und ist daher in OT-Umgebungen verschiedener Branchen weithin anwendbar.
  • TS 50701 – Bahnanwendungen – Cybersecurity: Diese Norm wurde auf internationaler Ebene in der Europäischen Union und in mehreren anderen Ländern, insbesondere im Nahen Osten und in der APAC-Region, verabschiedet. Sie konzentriert sich auf die Cybersicherheit im Eisenbahnbereich und passt die Grundsätze der IEC 62443 an die spezifischen Bedürfnisse der Eisenbahn an. Sie enthält Richtlinien für den Schutz von Eisenbahnsystemen, einschließlich Signalisierungs-, Steuerungs- und Kommunikationsnetzen, vor Cyberbedrohungen. Die Norm umreißt Sicherheitsmaßnahmen für den gesamten Lebenszyklus von Bahnanlagen, von der Planung bis zur Stilllegung. Sie gilt für verschiedene Beteiligte wie Infrastrukturbetreiber, Systemintegratoren und Hersteller und gewährleistet, dass sowohl ortsfeste Anlagen als auch rollendes Material sicher sind. In den vergangenen zwei Jahren diente diese Norm als Grundlage für die Entwicklung der IEC 63452, die in den nächsten Jahren veröffentlicht und international anerkannt werden soll.
  • ISO 27001 – Informationssicherheits-Managementsysteme: Dies ist eine internationale Norm für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Sie bietet einen systematischen Ansatz für die Verwaltung sensibler Informationen und gewährleistet deren Vertraulichkeit, Integrität und Verfügbarkeit. Die Norm umreißt einen risikobasierten Rahmen, der Organisationen dabei hilft, potenzielle Sicherheitsrisiken zu identifizieren, Kontrollen zu implementieren und deren Wirksamkeit zu überwachen. ISO/IEC 27001 gilt für Organisationen aller Branchen und ermöglicht ihnen, ihre Informationen vor Bedrohungen wie Datenschutzverletzungen, Cyberangriffen und Insider-Bedrohungen zu schützen. Die Norm wird häufig verwendet, um das Engagement für bewährte Verfahren der Informationssicherheit und die Einhaltung von Vorschriften zu demonstrieren.

Zusätzlich gibt es für den EU-Markt die NIS-2-Richtlinie, die 2023 in Kraft tritt. Aufbauend auf der ursprünglichen NIS-Richtlinie von 2016 konzentriert sich diese aktualisierte Version auf die Verbesserung der Widerstandsfähigkeit wesentlicher und wichtiger Sektoren wie Energie, Verkehr, Gesundheit und Finanzen. Die Richtlinie legt strengere Anforderungen an die Cybersicherheit fest, schreibt die rechtzeitige Meldung von Vorfällen vor und fördert die Zusammenarbeit zwischen den Mitgliedstaaten, um wirksam auf Cyberbedrohungen zu reagieren. Sie soll sicherstellen, dass sowohl öffentliche als auch private Einrichtungen angemessen für den Umgang mit Cybersicherheitsrisiken gerüstet sind, und so die allgemeine Sicherheitslage in der EU stärken. Alle EU-Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen.

Wo stehe ich bei der Einhaltung der Cybersicherheitsvorschriften?

Lassen Sie uns unser Beispiel der Einfachheit halber auf die Eisenbahnbranche beschränken. In der Regel gibt es einige wenige Arten von Organisationen, die die Einhaltung von Cybersicherheitsvorschriften verlangen und dies auch nachweisen müssen.

An der Spitze der „Compliance-Hierarchie“ stehen Regierungen und Behörden. Dies sind in der Regel die Stellen, die bestimmte Cybersicherheitsanforderungen in der Lieferkette durchsetzen, indem sie einschlägige Gesetze und Vorschriften erlassen, wie die oben erwähnte NIS-2-Richtlinie oder die DSGVO, oder indem sie allgemein anerkannte Normen wie IEC 62443, TS 50701 und andere auf nationaler Ebene (d. h. landesweit) annehmen.

Die Betreiber sind die ersten „Opfer“ dieser Verbesserungen. Sie sind diejenigen, die die Endprodukte von Lieferanten und Systemintegratoren kaufen und „betreiben“. Bei den Eisenbahnen handelt es sich bei diesen Produkten natürlich um Züge sowie um die Infrastruktur (z. B. Signalanlagen, Stellwerke, ortsfeste Anlagen, Fahrgastinformationssysteme, Wartungsgeräte, Hilfssysteme usw.). Die Betreiber werden von der Regierung und den Behörden gezwungen, „cyber-kompatibel“ zu sein, um die Sicherheit der Fahrgäste, die Zuverlässigkeit und die Unverfälschbarkeit der Dienste und Infrastrukturen zu gewährleisten, auf die sich die Nation verlässt.

Hersteller und Integratoren, die die Hauptlieferanten der Betreiber sind, sind die nächsten Ziele in dieser Kette. Sie müssen Produkte und Lösungen liefern, die den behördlichen Anforderungen an die Cybersicherheit und manchmal auch den zusätzlichen Anforderungen der Betreiber entsprechen.

Gleichzeitig ist die Gewährleistung der Widerstandsfähigkeit von Cybersicherheitsmaßnahmen für Systeme wie rollendes Material nicht nur eine Herausforderung, sondern auch recht teuer. Daher teilen sich die meisten Hersteller, insbesondere diejenigen, die ihre Produkte weltweit anbieten, diese Aufgabe mit Zulieferern und Systemintegratoren. Das bedeutet, dass die Hersteller beim Bau von Schienenfahrzeugen voraussetzen, dass die Teilsysteme der Züge bereits cybersicher sind, was die Ressourcen reduziert, die benötigt werden, um das gesamte Schienenfahrzeug cybersicher zu machen.

Und diese „Kette“ setzt sich von der höheren zur niedrigeren Hierarchieebene fort, bis sie spezifische Komponenten erreicht, die an Bord der Fahrzeuge oder in den streckenseitigen Regaleinheiten installiert werden sollen. Auf jeder Ebene können die ursprünglichen Anforderungen, die von oben (d. h. von der Regierung) kommen, durch zusätzliche Anforderungen ergänzt werden, um die Robustheit der Lösung zu gewährleisten.

Wie lässt sich die Einhaltung der Cybersicherheitsvorschriften erreichen?

Der Gesamtansatz zum Nachweis und zur Gewährleistung der Einhaltung von Cybersicherheitsanforderungen ist für alle „Akteure“ auf dem Markt ähnlich. Manchmal ist der einzige Unterschied die „Zielgruppe“.

Wenn Sie ein Komponentenlieferant sind, müssen Sie lediglich nachweisen, dass Ihre Komponente den geforderten Cybersicherheitsanforderungen entspricht. Wenn Sie jedoch auf einer höheren Ebene tätig sind, wird das „Spiel“ komplexer, weil Sie sich auf Ihre Zulieferer verlassen. Sie müssen sicherstellen, dass die gelieferten Komponenten, Teilsysteme oder Systeme wirklich konform sind, um Probleme mit Ihrem Lieferkettenmanagement zu vermeiden.

Im Allgemeinen sollten Sie bei der Einhaltung der Cybersicherheitsvorschriften zwei Aspekte berücksichtigen: technische und organisatorische.

Aus organisatorischer Sicht sollten Sie sicherstellen, dass Ihr Unternehmen relevante Prozesse identifiziert, implementiert und erfolgreich ausgeführt hat, die gewährleisten, dass das Endprodukt, das Sie an Ihren Kunden liefern, konform ist. Das bedeutet, dass Ihre Produkte unter Berücksichtigung relevanter Cybersicherheitsmaßnahmen entworfen, hergestellt, getestet, gelagert, geliefert, gewartet und außer Betrieb genommen werden. In jeder Phase des Entwicklungs- und Betriebslebenszyklus Ihres Produkts müssen die Mitarbeiter wissen, was zu tun ist, um die Sicherheit zu gewährleisten. Alle diese Prozesse müssen überprüft und dokumentiert werden, um die Rückverfolgbarkeit und die Robustheit Ihrer Sicherheitsmaßnahmen zu gewährleisten.

Auf der technischen Seite müssen Ihre Mitarbeiter nicht nur in der Lage sein, geeignete Sicherheitsmaßnahmen zu definieren, zu testen und zu implementieren, sondern auch dafür sorgen, dass diese effizient sind, keine unnötigen Ressourcen verbrauchen und gleichzeitig robust genug sind, um die Einhaltung der Vorschriften nicht nur auf dem Papier, sondern auch in der Praxis zu gewährleisten.

Und schließlich, als Sahnehäubchen, sollten Sie relevante Cybersicherheitsprozesse definieren, einrichten und kontinuierlich verwalten, wie z. B. Schwachstellen- und Patch-Management, Reaktion auf Zwischenfälle, Überprüfung und Aktualisierung der Bedrohungslandschaft und Risikostufen für Ihr Produkt.

Die gute Nachricht ist, dass all dies in den oben genannten Standards definiert ist, und genau aus diesem Grund müssen Sie sie einhalten.

Was soll ich tun? Mit welchen Sicherheitsmaßnahmen soll ich starten?

Die Antwort ist immer die gleiche: Befolgen Sie die Normen. Die Normen können zwar kryptisch sein und auf hohem Niveau erscheinen, aber sie enthalten alle notwendigen Informationen, die Sie für die Umsetzung und Einhaltung der Cybersicherheitsvorschriften für Ihr Produkt benötigen. Gleichzeitig kann dies ohne einen richtigen Experten in Ihrem Team eine echte Herausforderung sein, die zu erheblichen zeitlichen und finanziellen Verlusten führt.

Ein Ratschlag: Wenn Sie im Eisenbahnbereich tätig sind, sollten Sie sich zunächst mit den Abschnitten 4 und 5 der Norm TS 50701 beschäftigen. Versuchen Sie, Ihre Rolle innerhalb der Eisenbahnlandschaft zu definieren und herauszufinden, welche Prozesse bereits existieren. Außerdem werden Ihre Sicherheitsingenieure vieles von dem, was dort erwähnt wird, wiedererkennen. Seien Sie jedoch vorsichtig und machen Sie nicht den üblichen Fehler: Sicherheit und Gefahrenabwehr haben zwar ähnliche organisatorische Ansätze, Ziele und Methoden, sind aber zwei unterschiedliche Dimensionen. Erwarten Sie nicht, dass Ihr Sicherheitsingenieur oder Validierer, selbst mit mehr als 10 Jahren Erfahrung, auch mit der Sicherheit umgehen kann – vor allem, wenn es um Verifizierungs- und Validierungsaktivitäten (V&V) geht. Aber das ist ein Thema für eine andere Diskussion.

Wir helfen Ihnen gerne bei der Einhaltung der Cybersicherheitsanforderungen. Kontaktieren Sie uns einfach!

An den Anfang scrollen