Im Rahmen von Industrie 4.0 nimmt die Vernetzung von Systemen zur Prozessteuerung, Fertigung und Automatisierung drastisch zu. Dadurch steigen auch Herausforderungen in puncto Sicherheit. Häufig genutzte Einfallstore für Hacker sind das Internet, eine ungesicherte Schnittstelle zur Office-IT oder Social Engineering.
TÜViT bietet Security-Checks und Penetrationstests, um Sicherheitsschwachstellen in ICS-Umgebungen zu reduzieren.
Know-how aus einer Hand
TÜV NORD verfügt über 150 Jahre Erfahrung in der Industrie und TÜViT ist seit über 20 Jahren führend in IT-Sicherheitsthemen. Wir arbeiten projektübergreifend mit Expertenteams von TÜV NORD zusammen. Diese gebündelte Expertise macht uns zum richtigen Partner, wenn es um die Sicherheit von industriellen Steuersystemen geht. So haben wir im Auftrag vom Bundesamt für Sicherheit in der Informationstechnik (BSI) das Industrial Control Systems (ICS)-Security Kompendium konzipiert und verfasst, das als Referenz für die IT-Sicherheit in ICS verwendet wird.
Unsere Leistungen im Überblick
Security Checks
- Bestandsaufnahme der IT-Risiken von Anlagen und Analyse der technischen Daten
Dabei betrachten unsere IT-Sicherheitsexperten u.a. welche Plattformen und Systeme eingesetzt sind, wie die Vernetzung und das Zusammenwirken der Systeme zur Fertigungs- und Prozessautomatisierung untereinander als auch mit der klassischen IT-Infrastruktur sicherheitstechnisch funktionieren und welche Sicherheitsmaßnahmen im Sinne von Security und Safety vorhanden sind - Identifizierung von Schwachstellen und Bewertung des Risikoausmaßes
Dabei wird der laufende Betrieb nicht gestört, da der Security-Check ohne aktive Eingriffe in die IT-Systeme durchgeführt wird - Dokumentation der Schwachstellen und Erarbeitung eines priorisierten Maßnahmenplans mit Handlungsempfehlungen zur Schwachstellenbeseitigung
- Prüfung der Konformität mit den maßgeblichen Normen, wie z.B. IEC 62443
Die Norm fokussiert auf das IT-Sicherheitsniveau von industriellen Steuersystemen
Penetrationstests
- Beurteilung des technischen Sicherheitsniveaus von Fernwartungszugängen, etablierten Standard-IT-Komponenten, Verfügbarkeitsanforderungen von Kommunikationsnetzen und deren Überwachung
- Beurteilung des Gefährdungspotentials auf Basis menschlicher Fehlhandlungen und vorsätzlicher Angriffe auf Geräte-, Netz- und Anwendungsebene. Dabei betrachten unsere Sicherheitsexperten u.a. den Vernetzungsgrad und die Absicherung der Produktionsnetze sowie Fehlkonfigurationen und unzureichende Backups von Komponenten
- passive und aktive Angriffe auf etablierte ICS-Komponenten wie SCADA-Systeme, PLC, HMI, BFS und MES auf System- und Netzwerkebene
- Ableitung und Bewertung der organisatorischen Schwachstellen wie unzureichende Dokumentationsgrade und Regelungen zur IT-Sicherheit in Form von Richtlinien und Prozessen
Ihre Vorteile auf einen Blick
- profitieren Sie von TÜV NORDs und TÜViTs gebündelter Industrie- und IT-Erfahrung in Industrial Security und Produktionssicherheit
- Ermittlung Ihres Security-Maturity-Levels auf Basis anerkannter Standards und Best Practices
- objektive Analyse und Bewertung der etablierten technischen und organisatorischen Sicherheitsmaßnahmen im Produktionsbereich
- mit TÜViT haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist
- Schutz gegen Industriespionage
- Schutz gegen potenzielle Cyber-Angriffe
- Schutz gegen Image-Schäden
- Wettbewerbsvorteil: nach erfolgreicher Prüfung stellt die Zertifizierungsstelle der TÜViT ein Zertifikat aus und veröffentlicht es auf ihrer Webseite
Welche Schwachstellen nutzen Hacker bei Industrieunternehmen gezielt aus?
Zu den Top 10 Bedrohungen für Industrial Control Systeme im Jahr 2019 gehörten
- Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
- Infektion mit Schadsoftware über Internet und Intranet
- Menschliches Fehlverhalten und Sabotage
- Kompromittierung von Extranet und Cloud-Komponenten
- Social Engineering und Phishing
- (D)DoS-Angriffe
- Internet-verbundene Steuerungskomponenten
- Einbruch über Fernwartungszugänge
- Technisches Fehlverhalten und höhere Gewalt
- Kompromittierung von Smartphones im Produktionsumfeld
(Quelle Bundesamt für Sicherheit in der Informationstechnologie)