Einen massiven Griff der sicher in der Hand liegt, eine feste Schneide, eine Schutzkappe und natürlich soll es ja scharf sein damit es schneidet. Die Kartoffel, rund oder oval, mit und ohne Dellen, kleiner oder größer, oft noch Erde dran.
Wenn Sie sich nun beim Kartoffelschälen in den Finger schneiden, würden Sie dann den Lieferanten des Messers oder den Hersteller der Kartoffel oder in die Verantwortung ziehen?
Sehr oft wird noch erwartet das sichere Anlagen oder Komponente geliefert werden. Immer noch wird bei Securityvorfällen ausschliesslich auf die Hersteller oder Lieferanten geschaut. Naja.
Um die Verfügbarkeit der Anlagen zu gewährleisten sind alle Beteiligten in der Pflicht. Die Anforderungen muss der Betreiber eindeutig formulieren und die Planer sowie Integratoren müssen den Betreiber die Risiken aufzeigen. Besser noch ein Vorschlag
Hier als Beispiel nun die IEC62443. Die IEC62443 beschreibt klar die Aufgaben und Verpflichtungen der Beteiligten zum Aufbau und Betrieb einer Produktionsanlage
Die Entwicklung der IEC 62443-Normenreihe wurde seit 2009 zusammen mit der ISA vorangetrieben. Die ISA ist das Industrial Automation and Control System Security Komitee der International Society of Automation (ISA; http://isa99.isa.org ). Es wird auf Basis von Best Practices die Vorgehensweisen zur sicheren Implementierung von Anlagen sowie zur Bewertung von Sicherheitsmaßnahmen definiert.
Der Betreiber ist für die Prozesse und Prozeduren im Betrieb und der Wartung Verantwortlich. Der System Integrator muss nach den Policies und Prozeduren für die Einrichtung der Security Funktionen sorgen.
Die Hersteller der Komponenten müssen Fähigkeiten (Funktionen) für Security in den Produkten zur Verfügung stellen und dafür sorgen das der gesamte Entwicklungsprozess der Produkte auch für die Security ausgelegt ist.
Wesentlich ist während des Betriebs die Produktionsanlagen durch die Nutzung, fortlaufende Wartung und Verbesserungen ständigen Veränderungen ausgesetzt ist die oft nicht einhergehen mit notwendigen Anpassung und vorallem Kontrollen der Security. Des Weiteren sind die genutzten Funktionen heute anerkannter Stand der Technik, aber ggfs. schon morgen leichter zu knacken (z.B. wg. der extremen Leistungssteigerungen von Computern) oder gar unsicher! Das haben der Heartbleed-Bug, Meltdown, Spectre und Co. beeindrucken bewiesen.
Somit, fortlaufend monitoren (kontrollieren) was sich verändert hat, die neuen Risiken beurteilen und behandeln ist ein wesentlicher Bestandteil der IEC 62443. Dann ist und bleibt Produktionsanlagen sicher und Verfügbar.