Österreich de
Hotline
Kontakt
Österreich | deutsch

Security funktioniert nicht ohne Organisation

Get Safe & Secure | die Kolumne von Andreas Willert

IT-Sicherheit steht auf zwei gleichermaßen wichtigen Säulen:
Einerseits jene Säule, welche auf technische Maßnahmen aufbaut und andererseits jene, die auf innerbetrieblichen organisatorischen Maßnahmen beruht.
Jegliche technische Maßnahmen zur Cybersecurity, welche wir setzen, können mit nur wenigen Missachtungen auf organisatorischer Ebene vollständig zunichte gemacht werden. Netzwerksegmentierung, sorgfältig konfigurierte Multi-Firewall-
Konzepte, Patchmanagement, Zwei-Faktor-Authentifizierung für Fernzugriff über einen Jumphost, Usermanagement, Event-Logging und zahlreiche weitere Maßnahmen, die in der IEC 62443 Teil 3-3 als System-Requirements (SR) definiert
werden und bei einer Maschine das Security-Level-Achieved (SL-A) als messbaren Kennwert bilden. All dies verpufft, wenn wir die organisatorischen Grundregeln der Cybersecurity missachten.

Es genügt bereits die unbedachte Handhabung von Passwörtern zu sensiblen Accounts, wie beispielsweise zu geringe Länge und Komplexität, Abspeichern in eine Passwörter.txt am Desktop, Aufschreiben auf Haftnotizen und frei einsichtiges
oder zugängliches Aufkleben oder Verwenden von Default-Passwörtern.
Die Konsequenz: Jegliche technische Maßnahme, die ein Maschinenhersteller (Integrator) sorgfältig implementiert hat, ist mit nur wenigen Unachtsamkeiten auf Betreiberseite unwirksam geworden.
Ein Defense-in-Depth-Konzept ist nur dann wirksam, wenn die gesamte Lieferkette und alle in dieser Kette beteiligten Personen verstehen, dass jeder seinen Teil dabei beizutragen hat – und zwar nicht nur den technischen, sondern auch den
organisatorischen, denn beide sind gleichermaßen wichtig, um Security erfolgreich und wirksam zu implementieren. Die IEC 62443-2-1 stellt dafür die wichtigen Zusammenhänge, Anforderungen und Grundlagen beider Säulen in Verhältnis.
Wo der Security-Level-Achieved die Basis der technischen erreichbaren Maßnahmen definiert, so stellt der Maturity-Level die organisatorische Qualifizierung dar. Erst wenn beide Säulen gleichermaßen die erforderlichen Anforderungen erfüllen, wird ein Unternehmen die gesteckten
Ziele erfüllen und auf Angriffe von außen ausreichend vorbereitet und widerstandfähig sein.

Haben Sie schon beide Säulen für Ihr Unternehmen betrachtet?

erschienen in der Austromatisierung | Ausgabe 04-2024 | Juni 2024

Top
Pilz Österreich

Pilz Ges.m.b.H. Sichere Automation
Wagramer Straße 19
1220 Wien
Österreich

Telefon: +43 1 7986263-0
E-Mail: pilz@pilz.at

Product Services

Telefon: +43 1 7986263-444
E-Mail: techsupport@pilz.at

  1. Pilz
    2. /
  2. Support
Kontaktformular öffnen
Telefon:+43 1 7986263-444
Mail: techsupport@pilz.at
Cookie settings

Was können wir für Sie tun?

Mir ist bekannt, dass die erhobenen personenbezogenen Daten ohne meine Einwilligung nur zur Vertragsabwicklung und Bearbeitung meiner Anfragen genutzt werden. Weitere Informationen zum Datenschutz und Kontaktdaten unseres Datenschutzbeauftragten finden Sie hier: Pilz Datenschutz
Ein Widerruf der Einwilligung ist jederzeit möglich (E-Mail genügt).
* Pflichtfeld