MENU

OT-Security: Sicherheitsrisiken in industriellen Umgebungen reduzieren

Unsere Schwachstellenanalyse im OT-/ICS-Umfeld

Mit der zunehmenden Digitalisierung und Vernetzung von Industrieanlagen steigen auch die IT-Sicherheitsrisiken, gegen die es Maschinen, Systeme und Co. zu schützen gilt.

Mithilfe von Industrial Security Assessments stellen Sie die Sicherheit Ihrer industriell eingesetzten Lösungen bzw. Industrial Control Systems (ICS) auf den Prüfstand – und kommen Cyberkriminellen durch das proaktive Aufdecken und Schließen potenzieller Sicherheitslücken zuvor.
 

 Identifizierung von Sicherheitsschwachstellen in Ihrer ICS-Infrastruktur

 Explizite Handlungsempfehlungen zur Behebung

 Prüfung nach den Top-10-Bedrohungen für Industrial Control Systems

  

Unsere Leistungsmodule im OT-/ICS-Security-Umfeld

Im Rahmen des Assessments bieten wir verschiedene Module an. Jeder Test umfasst dabei Angriffstechniken, die auch ein echter Hacker anwenden würde.

Über die aufgeführten Module hinaus gehen wir natürlich auch auf Ihre konkreten Bedürfnisse ein und erstellen Ihnen gerne ein individuelles Angebot.
  

Ihre Vorteile auf einen Blick

  • Ermittlung Ihres Security-Maturity-Levels auf Basis anerkannter Standards & Best Practices
  • Objektive Analyse & Bewertung der etablierten technischen & organisatorischen Sicherheitsmaßnahmen im Produktionsbereich
  • Explizite Handlungsempfehlungen zur Behebung entdeckter bzw. potenzieller Schwachstellen
  • Schutz gegen Industriespionage & potenzielle Cyber-Angriffe
  • Verhinderung von Finanz- & Reputationsschäden durch (vermeidbare) Sicherheitsvorfälle 
  • Kontinuierliche Verbesserung der IT-Sicherheit Ihrer im industriellen Bereich eingesetzten Lösungen bzw. Industrial Control Systems (ICS)
  • Profitieren Sie von TÜV NORDs & TÜViTs gebündelter Industrie- & IT-Erfahrung in Industrial Security & Produktionssicherheit

Ziel & Ergebnis des Assessments

Ein Security Assessment verfolgt unterschiedliche Hauptziele. Zu diesen zählen dabei unter anderem:

  • Die Identifizierung von Schwachstellen und deren Risikoausmaß
     
  • Die Betrachtung, welche Plattformen und Systeme zum Einsatz kommen, wie die Vernetzung und das Zusammenwirken der Systeme zur Fertigungs- und Prozessautomatisierung untereinander – als auch mit der klassischen IT-Infrastruktur – sicherheitstechnisch funktionieren
     
  • Die Betrachtung, welche Sicherheitsmaßnahmen im Sinne von Security und Safety vorhanden sind
     
  • Die Beurteilung des technischen Sicherheitsniveaus von Fernwartungszugängen, etablierten Standard-IT-Komponenten und Verfügbarkeitsanforderungen von Kommunikationsnetzen und deren Überwachung
     
  • Die Beurteilung des Gefährdungspotenzials auf Basis menschlicher Fehlhandlungen und vorsätzlicher Angriffe auf Geräte-, Netz- und Anwendungsebene. Dabei betrachten unsere Sicherheitsexperten u.a. den Vernetzungsgrad und die Absicherung der Produktionsnetze sowie Fehlkonfigurationen und unzureichende Backups von Komponenten.
     
  • Passive und aktive Angriffe auf etablierte ICS-Komponenten wie SCADA-Systeme, PLC, HMI, BFS und MES auf System- und Netzwerkebene
     
  • Die Ableitung und Bewertung der organisatorischen Schwachstellen, wie beispielsweise unzureichende Dokumentationsgrade und Regelungen zur IT-Sicherheit in Form von Richtlinien und Prozessen

Als Ergebnis liefern wir Ihnen einen ausführlichen Bericht, in dem konkrete nachvollziehbare Risiken und Schwachstellen aufgezeigt werden sowie angemessene Handlungsmaßnahmen zu deren Behebung vorgeschlagen werden.

Abschlussbericht

Alle Ergebnisse einer Prüfung werden Ihnen in Form eines ausführlichen Abschlussberichtes zur Verfügung gestellt.

Der Abschlussbericht wird von unseren Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
     
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
     
  • Risikobewertung:  Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
     
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
     
  • Detaillierte Beschreibung der Schwachstellen und Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
     
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜViT-Expert:innen ausgewertet und auf false/positive geprüft und anschließend im Bericht zusammengefasst.
     
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
     
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an. 
     
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

OT-Security: Ablauf des Industrial Security Assessments

Im Rahmen eines Assessments werden im Wesentlichen die folgenden Schritte durchgeführt:
  

Besprechung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen.

Untersuchung der umgesetzten Sicherheitsmaßnahmen hinsichtlich ihrer Effektivität & Vollständigkeit.

Zusammenstellung der Ergebnisse in einem Abschlussbericht. Optional mit Abschlusspräsentation.

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen. 

Häufig gestellte Fragen (FAQ):

Welche Schwachstellen nutzen Hacker bei Industrieunternehmen gezielt aus?

Zu den Top 10 Bedrohungen für Industrial Control Systeme im Jahr 2019 gehörten

  1. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
  2. Infektion mit Schadsoftware über Internet und Intranet
  3. Menschliches Fehlverhalten und Sabotage
  4. Kompromittierung von Extranet und Cloud-Komponenten
  5. Social Engineering und Phishing
  6. (D)DoS-Angriffe
  7. Internet-verbundene Steuerungskomponenten
  8. Einbruch über Fernwartungszugänge
  9. Technisches Fehlverhalten und höhere Gewalt
  10. Kompromittierung von Smartphones im Produktionsumfeld

(Quelle Bundesamt für Sicherheit in der Informationstechnologie)

Nach welcher Methodik geht TÜViT vor?

Neben den automatisierten Analyse- und Angriffstechniken werden immer auch manuell durchgeführte Untersuchungen und Verifikation durchgeführt. Dazu wenden unsere IT-Sicherheitsexperten stets aktuelle Angriffstechniken/-tools aus der Hacker- bzw. Sicherheitsszene sowie selbst entwickelte Tools und Scripte an. Neben technischen (Penetrations-) Tests kommen auch Interviews sowie Begehungen des Standortes, Büros, IT-Räume etc. zum Einsatz.

Was ist das ICS-Security-Kompendium des BSI?

Das Industrial Control Systems (ICS)-Security Kompendium, das TÜViT im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) konzipiert und verfasst hat, stellt ein Grundlagenwerk für die IT-Security in ICS dar. Es behandelt die notwendigen Grundlagen der IT-Sicherheit, der ICS-Abläufe sowie der relevanten Normen und Standards und zeigt Best-Practices in Bezug auf die IT-Security von ICS sowie die wichtigsten Sicherheitsmaßnahmen auf. 

Das Kompendium richtet sich in erster Linie an Betreiber industrieller Steuerungssysteme, die durch die Imlementierung angemessener IT-Sicherheitsmaßnahmen Risiken in ICS verringern können. 

Warum wir ein starker Partner für Sie sind

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision, IS-Beratung und Penetrationstests zertifiziert ist.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!

  

Weitere Leistungen

IEC 62443

IEC 62443

Mit Hilfe der IEC 62443 lässt sich nachweisen, dass Betreiber, Integratoren und Hersteller zeitgemäße Cyber Security-Standards für industrielle Automatisierungssysteme nutzen. Damit wird die IEC 62443 zur zentralen Norm für die Industrie 4.0.
Weiterlesen
System Certification; Quality Management

Informationssicherheits-Management

TÜViT führt Auditierungen von Informationssicherheits-Managementsystemen (ISMS) nach internationalen ISO-Standards sowie auf Basis des IT-Grundschutzes durch. Unsere IT-Sicherheitsexperten sind vom BSI als Auditteamleiter für ISO 27001 auf der Basis von IT-Grundschutz bzw. als IS-Revisor zertifiziert.
Weiterlesen

Rechenzentren / Colocation / Cloud Infrastrukturen

Im Zuge von Cloud-Computing, zunehmender Digitalisierung und Industrie 4.0 entwickeln sich Rechenzentren noch mehr als bisher zu Knotenpunkten von IT-Infrastrukturen. Mit einer Zertifizierung nach dem von TÜViT entwickelten Kriterienkatalog TSI (Trusted Site Infrastructure), der auch die europäische RZ-Norm EN 50600 voll abdeckt, sind RZ-Betreiber auf der sicheren Seite.
Weiterlesen

PKI für die Industrie und Energiewirtschaft

Um eine sichere Kommunikation in stark vernetzten Systemen zu gewährleisten, sind zuverlässige Authentifizierungen von Mitarbeitern und Komponenten sowie das Signieren und Verschlüsseln von Daten unabdingbar. TÜViT unterstützt Industrie- und Energieunternehmen beim konzeptionellen Aufbau oder Ausbau einer normgerechten PKI: von der Planung über die Projektumsetzung bis hin zur Prüfung und Zertifizierung.
Weiterlesen