Aufbau eines ganzheitlichen Schutzkonzepts

Wie bereits erwähnt, steigt mit der zunehmenden Vernetzung von Komponenten und Systemen sowie der damit einhergehenden Verbindung mit dem Internet auch das Risiko von Cyber-Angriffen auf intelligente Gebäude. Die IEC 62443 schafft deshalb einen Rahmen zur Erarbeitung eines ganzheitlichen IT-Sicherheitskonzepts. Nur so können alle Beteiligten den wachsenden Anforderungen an die Informationssicherheit von Automatisierungslösungen gerecht werden.

Ein ganzheitliches Sicherheitskonzept für intelligente Gebäude darf sich jedoch nicht nur auf Komponenten und Systeme beziehen, sondern muss Techno­logien, Prozesse und Personen umfassen. Somit werden sämtliche Softwarekomponenten und App­likationen wie vernetzte Steuerungen und Switches ebenso wie Firewalls betrachtet. Darüber hinaus sind unter anderem Prozesse hinsichtlich des Umgangs und der Bedienung der Gebäudeautomation sowie interne Verantwortungsketten und Eskalationsprozesse zu definieren.

Die IEC 62443 fordert zudem die Berücksichtigung des gesamten Lebenszyklus eines Automatisierungssystems, sodass neben dessen Errichtung und Betrieb auch seine Wartung und der Rückbau in das Sicherheitskonzept einbezogen werden müssen. Zusätzlich hat eine zyklische Überprüfung auf die Erfüllung der festgeschriebenen Sicherheitsaspekte stattzufinden. Bei den Anforderungen an die Gebäudeautomation ist rollenbasiert zwischen den Herstellern, Systemintegratoren und Betreibern zu unterscheiden. Die Parteien müssen sich dabei mehr untereinander austauschen. Ergänzt werden die Aspekte durch das Prinzip der tiefgestaffelten Verteidigung.

Das bedeutet, dass nicht nur alle beteiligten Rollen ihre Anforderungen umzusetzen haben; die entwickelten Maßnahmen sind vielmehr durch ein schlüssiges Konzept abzurunden. Konkret heißt das, dass sich das Sicherheitskonzept aus mehreren aufeinander abgestimmten und koordinierten Maßnahmen zusammensetzt, die erst durch die Kooperation der Beteiligten entstehen.