Der „Cybersecurity-Führerschein“: Warum Anlagen eine Prüfung brauchen, nicht Dutzende
Für Anlagenbetreiber in der deutschen Prozessindustrie stehen zwei Dinge an oberster Stelle: Anlagensicherheit und Effizienz. Sie arbeiten täglich daran, unsere hochkomplexen Systeme sicher und produktiv zu halten. Deshalb unterstützen sie das Ziel hinter Vorschriften wie der TRBS1115-1[2], der KAS-51 [3] oder der neuen NIS2-Richtlinie [4]: die Erhöhung der Cybersicherheit.
Doch die Art und Weise, wie dieses Ziel verfolgt werden muss, fühlt sich zunehmend wie eine Fahrt im Bürokratie-Hamsterrad an. Eine Analogie aus dem Alltag verdeutlich das.
Die heutige Situation: Die endlose Fahrprüfungstour durch Regionen und Europa
Stellen Sie sich vor, Ihre IT/OT-Cybersicherheits- Kompetenz ist Ihre Fähigkeit, ein Fahrzeug sicher zu führen. Sie haben gerade die deutsche Fahrprüfung mit Bravour bestanden – eine der anspruchsvollsten der Welt. Sie beherrschen Ihr Fahrzeug, kennen die Regeln und haben Ihre Fähigkeiten nachgewiesen. Sie befolgen die Anforderungen nicht nur, sondern gehen schon aus Eigeninteresse darüber hinaus, da Sie auf Ihr Fahrzeug angewiesen sind. Nun kommt der Prüfer für die KAS-51, nicht selten ein Padavan der Cybersicherheit, dessen bisheriger Fokus auf ganz anderen Themengebieten lag. Er nimmt Ihre „Fahrprüfung“ ab, nutzt die Prüfung aber auch gerne als Fortbildung, da seinem Prüfkatalog keine Musterantwort beiliegt und er sich die notwendige Erfahrung zur Erstellung erst mit viel Fleiß über die Jahre erarbeiten muss. Sie bestehen. Kurz darauf meldet sich die nächste Überwachungsstelle – diesmal für Betriebssicherheit. Stellen Sie sich diese als französischen Gendarmen vor. Und Sie merken gleich: prüfen können die Gendarmen. Er sagt: „Schön, dass Sie den deutschen Test bestanden haben, aber wir müssen prüfen, ob Sie auch unsere spezifischen Anforderungen an die Kreisverkehr-Sicherheit erfüllen.“ Wieder eine Prüfung, wieder ein Nachweis. Kaum sind Sie fertig, klopft der NIS2-Auditor an die Tür, um im Bild zu bleiben der italienische Prüfer, um für das nächste Jahr zusätzliche Regeln anzukündigen: „Ihre deutschen und französischen Prüfungen sind vermerkt, aber haben Sie auch unsere Anforderungen für das Fahren in engen Gassen berücksichtigt?“.
Das Ergebnis dieser endlosen Prüfungstour ist absurd: Anlangebetreiber weisen zu einem Großteil immer wieder dieselben grundlegenden Fähigkeiten nach. Jede Prüfung hat zwar ihre Eigenheiten, aber im Kern geht es immer um dasselbe: Ist das „Fahrzeug“, unsere Anlage, sicher gegen Cyberangriffe?
Dieses Vorgehen ist ein erheblicher Ressourcenfresser. Die besten Ingenieure und Cybersecurity-Spezialisten verbringen Wochen damit, Checklisten für verschiedene Prüfer vorzubereiten, anstatt sich auf die proaktive Abwehr von Bedrohungen zu konzentrieren. Dies bindet hochqualifiziertes Personal sowohl auf Betreiber- als auch Behördenseite und erfordert externe Berater, nur um Dokumente für Prüfungen zu erstellen und Nachweise zu erbringen, die sich inhaltlich stark überschneiden.
Wer glaubt, dass ein über Regionen und Landesgrenzen hinweg agierender Konzern Synergien nutzen kann, der irrt. Selbst Konzern-einheitliche Regelwerke, Handbücher und Prozesse werden durchweg unterschiedlich bewertet. Es gibt von Behörden in unterschiedlichen Regionen/Bundesländern und Prüforganisationen zwar grundlegende Fragen, aber noch kein einheitliches Vorgehen, geschweige denn eine klare rote Linie in Form von Bewertungskriterien, wann eine Vorgabe als nicht erfüllt und die Prüfung damit als nicht bestanden gilt. Dabei scheut ein „Führerscheinprüfling“ nicht davor zurück, sich dem schärfsten Test zu stellen, wenn er diesen im Gegenzug nur einmal bestehen muss, um über Grenzen hinweg sein Fahrzeug führen zu dürfen und sich damit Zeit, Kosten und Nerven erspart. Auf KAS-51 und TRBS1115-1 bezogen würde dies eine gegenseitige Anerkennung von Cybersecurity-Prüfungsergebnissen auf Basis einheitlicher Bewertungskriterien bedeuten. Was sich auf den ersten Blick einfach anhört, gestaltet sich in der Praxis als schwierig. Denn der Leitfaden KAS-51 und die Technische Regel TRBS1115-1 entstammen unterschiedlichen Rechtsgebieten und unterliegen damit einem jeweils anderen Bundesministerium. So kommt es vor, dass ein und derselbe Betrieb zuerst durch eine zugelassene Überwachungsstelle (ZÜS) auf Basis der TRBS1115-1 und anschließend durch eine Landesbehörde hinsichtlich KAS-51 geprüft wird. Dabei werden die Prüfergebnisse einer ZÜS zwar zur Kenntnis genommen, ersparen dem Betrieb aber nicht die erneute, zeitaufwendige Cybersecurity-Prüfung. Den Behörden sind hierbei die Hände gebunden, solange sich nicht auf Behördenseite verständigt wird, Mehrfachprüfungen zu vermeiden, indem beispielsweise die Cybersecurity-Prüfergebnisse überwachungsbedürftiger Anlagen bei einer KAS51-Prüfung anerkannt und nicht erneut abgefragt werden.
Im Zeitalter von Bürokratieabbau und Fachkräftemangel ist die Vermeidung von überlappenden Prüfungen keine Option, sondern eine Notwendigkeit, auf die Behörden, Prüforganisationen, Betreibern und allem voran unterschiedliche Ministerien gemeinsam hinarbeiteten müssen.
NIS2: Mögliche Auswirkungen auf KAS-51/TRBS1115-1-Prüfungen
Bei der NIS1-Richtlinie [5] der EU aus dem Jahr 2016 lag der Fokus darauf, die sogenannten „Betreiber kritischer Dienste“ zu identifizieren und in die Pflicht zu nehmen. Als kritisch wurden hierbei jene Dienste verstanden, deren Ausfall erhebliche Auswirkungen auf das Gemeinwesen hat. Im Ergebnis wurde der Geltungsbereich jedoch oft auf die spezifischen Anlagen und IT-Systeme beschränkt, die für die Erbringung dieser kritischen Dienstleistung notwendig sind. Bei der Umsetzung der NIS1-Richtlinie in nationales Recht ist der deutsche Gesetzgeber mit dem BSI-Gesetz allerdings über diese Anforderung hinaus gegangen, indem er zusätzlich „Unternehmen im besonderen öffentlichen Interesse“ definiert und mit Anforderungen belegt hat.
Die jetzt neue NIS2-Richtlinie verfolgt im Gegensatz zur NIS1 einen viel breiteren Ansatz, der auf die gesamte Organisation abzielt. Getreu dem Motto „die Sicherheit in einem Unternehmen ist nur so stark, wie ihr schwächstes Glied“ schaut man zukünftig nicht mehr nur auf einzelne Bereiche, sondern hat ganze Unternehmen im Blick. Für den deutschen Gesetzgeber ist der Sprung von alter zu neuer Richtlinie daher kleiner als in anderen EU-Mitgliedsstaaten, in denen die Umsetzung der ersten Richtlinie nicht durch zusätzliche Anforderungen ergänzt wurde.
Doch obwohl der Fokus von NIS2 und KAS-51/TRBS1115-1 in einem Fall eher auf Unternehmen und im anderen Fall auf Betriebsbereichen liegt, ist absehbar, dass es auch hier zu Überlappungen kommt. Dabei ist zu befürchten, dass es beispielsweise eine andere Vorstellung vom jeweils geforderten Stand der Technik gibt. In der Praxis wirft NIS2 bereits ihre Schatten voraus, da Störfallverordnungsprüfende Behörden schon heute erwarten, bei Meldungen an die Bundesbehörde ebenfalls informiert zu werden.
Auswirkungen des CRA auf Betreiber von Automatisierungssystemen
Allgemeine Informationen zum CRA
Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Union, die am 10. Dezember 2024 in Kraft getreten ist. Im Gegensatz zu Richtlinien, die zunächst in nationales Recht umgesetzt werden müssen, entfaltet der CRA unmittelbare Wirkung in allen Mitgliedsstaaten der Europäischen Union. Seine relevantesten Anforderungen an „Produkte mit digitalen Elementen“ die im EU-Binnenmarkt bereitgestellt werden, sind ab dem 11. Dezember 2027 umzusetzen.
Die Ziele des CRAs werden mit den steigenden Gefahren durch Cyberangriffe auf Wirtschaft, Demokratie, Sicherheit und Gesundheit der Union bzw. der Unionsbürger begründet und gliedern sich in zwei breit gefasste Teile:
- Schaffen von Rahmenbedingungen für die Entwicklung sicherer Produkte mit digitalen Elementen, damit Hardware- und Softwareprodukte mit weniger Schwachstellen in den Verkehr gebracht werden und sich die Hersteller während des gesamten Lebenszyklus eines Produkts konsequent zu dessen Sicherheit beitragen.
- Den Nutzern ermöglichen, bei der Auswahl und Verwendung von Produkten mit digitalen Elementen die Cybersicherheit zu berücksichtigen, beispielsweise durch mehr Transparenz in Bezug auf den Unterstützungszeitraum.
Ein wesentlicher Begriff des CRA ist das „Produkt mit digitalen Elementen“, das in zahlreichen Detailbestimmungen und Ausnahmen definiert wird. Näherungsweise ist darunter Hard- und Software zu verstehen, die digitale Daten verarbeitet und mittelbar oder unmittelbar mit anderen Produkten digital kommuniziert (d. h. vernetzt ist). Einige Produkte, deren Bedeutung für die Cybersicherheit besonders hoch eingeschätzt wird, werden als „wichtige“ oder „kritische“ Produkte mit digitalen Elementen klassifiziert (z. B. VPN-Software, Firewalls, etc.), für die erhöhte Anforderungen gelten.
Unmittelbare Auswirkungen auf Automatisierungssysteme
Automatisierungssysteme (z. B. Prozessleitsysteme) und deren Komponenten (z. B. Netzwerkswitche) sind in aller Regel Produkte mit digitalen Elementen im Sinne des CRA. Folglich sind die Anforderungen an diese Produkte durch die Hersteller zu erfüllen. Diese sind vielfältig und können hier nur überblicksartig beschrieben werden.
Produkte müssen „Secure by Design“ entwickelt werden. Cybersicherheit muss also bereits in der Konzeptionsphase berücksichtigt werden und beispielsweise bei der Softwareentwicklung dafür gesorgt werden, dass der Quellcode möglichst keine Sicherheitslücken enthält.
Produkte müssen „Secure by Default“ ausgeliefert werden. Damit das Produkt bereits im Auslieferungszustand cybersicher ist, sind Security-Maßnahmen aktiv und eine sichere Konfiguration voreingestellt. Das kann bedeuten, dass Funktionen (z. B. das Webinterface einer SPS) erst aktiviert werden müssen, falls sie benötigt werden.
Sicherheitslücken in Produkte müssen im Produktlebenszyklus sowohl Behörden als auch Anwendern gemeldet und Sicherheitsupdates bereitgestellt werden.
Mittelbare Auswirkungen auf Betreiber von Automatisierungssystemen
Es ist aus Betreibersicht begrüßenswert, dass Automatisierungsprodukte zukünftig grundsätzlich ein hohes Maß an Cybersicherheit im gesamten Lebenszyklus aufweisen werden. Gleichwohl die CRA-Anforderungen zunächst durch die Hersteller zu erfüllen sind, gibt es mittelbare Auswirkungen auf die Betreiber, wobei sich Chancen wie Risiken zeigen.
Neben der erhöhten Resilienz gegen Cyberangriffe, besteht für die Betreiber die Chance, Nachweise für Behörden (vgl. „Fahrprüfungstour“ oben) zu vereinfachen und vereinheitlichen. Voraussetzung dafür ist, dass die Prüfer die CRA-Anforderungen in den Prüfkatalogen aufgreifen. Beispielsweise könnten ragen zu Schwachstellen- und Patchmanagement für CRA-konforme Produkte mit aktivem Produktlebenszyklus übersprungen werden. Auch könnten die CRA-Anforderungen wünschenswerter Standardisierung (z. B.NE 201 „Identitiy and Access Management on Automation Devices“, PROFINET Security Classes, etc.) Vorschub leisten. Unternehmensintern erübrigen sich hoffentlich Diskussionen, ob ein Automatisierungssystem „günstig“ oder „mit Security“ beschafft wird.
Für Betreiber bestehen jedoch auch zahlreiche Unklarheiten und Risiken. So sind Ersatzteile für Bestandssysteme zwar explizit vom CRA ausgenommen, allerdings ist es gängige Praxis, Produktionsanlagen während ihres Lebenszyklus zu erweitern oder umzubauen. Es wäre fatal, wenn z. B. ein 2026 beschafftes, aber noch nicht CRA-konformes Prozessleitsystem bereits 2028 migriert werden müsste, weil eine Systemerweiterung mit CRA-konformen Komponenten mangels Rückwärtskompatibilität unmöglich ist. Bei CRA-konformen Produkten besteht die Gefahr, dass Hersteller die bisherigen Produktlebenszyklen mit Verweis auf CRA-Anforderungen wie Bereitstellung von Sicherheitsupdates verkürzen. Zudem ist es üblich, Automatisierungssysteme auch über deren herstellerseitige Abkündigung hinaus weiterzubetreiben. Beispielsweise sind bis heute Prozessleitsysteme im Einsatz, deren Rechner mit Windows Server 2012 bzw. Windows 7 betrieben werden. Die Betreiber haben langjährige Erfahrung aufgebaut, den damit einhergehenden operativen Risiken sowie Security-Risiken zu begegnen. Doch werden diese Systeme zukünftig noch „die Fahrprüfung“ bestehen, wenn der Verweis auf deren CRA-Konformität mit dem Argument „end of life“ nicht mehr greift?
Da die Umsetzung der CRA-Anforderungen in der Produktentwicklung der Hersteller Ressourcen bindet, könnten diese für Innovationen und Weiterentwicklung fehlen. Zuletzt sind Preissteigerungen bei Beschaffung und Serviceverträgen zu befürchten, deren Höhe derzeit nicht absehbar sind.
Fazit: Betreiber, Hersteller, Gesetzgeber und Prüfer sollten gemeinsam an einem Strang ziehen die Ziele „hohes Maß an Cybersicherheit“ und „Kosteneffizienter Betrieb“ (lange Lebenszyklen, keine Security-Doppelprüfung) in Einklang zu bringen, damit die Wettbewerbsfähigkeit des Standort Deutschlands für Chemieanlagen gestärkt wird.
