Die Betrachtung der Gegenwart ist für die Ableitung des Schutzbedarfs bei IoT-Umgebungen wichtig, aber in der Assetverwaltung ist auch das „End-of-Life“ relevant, was ändert sich über die Jahre?
Die Betrachtung der Assets im Unternehmen ist ein wichtiger Baustein für die Beurteilung der Kritikalität bei einer TISAX-Einführung und dient der Ableitung des Schutzbedarfes. Es muss u.a. geprüft werden, ob die – teils historischen – Systeme das angestrebte Level der Informationssicherheit überhaupt ermöglichen!
Im Rahmen des Audits ist das aber oft nur eine Momentaufnahme, die eine wesentliche Herausforderung ausklammern kann: „End-of-Life“ des Assets, also die Betrachtung der Risiken über die gesamte restliche Nutzungszeit hinweg!
Denn sowohl in der Fertigung als auch in kaufmännischen Bereich werden Systeme über viele Jahre hinweg betrieben, da verändern sich Kommunikationsmittel, Risiken im Netzwerk oder die verwendeten Technologien werden über die Jahre instabil. Die nur für das anstehende Audit vorgenommene „aktuelle“ Risikoeinschätzung ist morgen schon Makulatur!
In der Praxis finden sich schnell IT-Systeme mit langer Laufzeit (> 10 Jahre) und Maschinen in Fertigungsbetrieben, die gestern installiert wurden aber auch Geräte, die über 20 Jahre alt sind, dabei unterschiedlichen IT-Standards folgen, oder verschiedene Kommunikationslösungen nutzen.
Nicht zuletzt ist ein Asset Inventory für Produktionssysteme eine wichtige Forderung aus dem Normenkanon der IEC62443. So fordert 62243-2-1 regelmäßige Riskobewertungen über die gesamte Lebensdauer der Steuerungssysteme und 62443-2-3 ein Asset Inventory für die Netzwerkarchitektur und Verbindungen!
Folglich braucht man Informationen zum System, was eine angemessene und vor allem aktuelle Dokumentation bedingt, deren Pflege oft eine unbeliebte Aufgabe im laufenden Betrieb ist, die so lange minder priorisiert wird, bis sie schließlich vergessen wird.
Und Wissensmanagement ist angesagt, denn in der Praxis liegt das Wissen um die Systeme oft nur in den Köpfen langjähriger Mitarbeiter. Wenn diese in Pension gehen, geht das Wissen mit!
„Es stellt sich die Frage, wie in langjährig gewachsenen Maschinenparks und IT-Systemen das Thema „Informationssicherheit“ sowohl initial also auch über die Laufzeit hinweg betrachtet und behandelt wird, auch End-of-Life sollte nicht unbeachtet bleiben“, so Andreas Loesch, Senior Berater bei Opexa Advisory.
Im Zuge der Erstellung des TISAX-Asset-Inventory kann nun geprüft werden, ob eine ausreichende Dokumentationen vorhanden ist, auf deren Basis eine aktuelle und wiederkehrende Prüfung auf ausreichende Schutzmaßnahmen ergriffen werden kann. Neben der Dokumentationslage muss zeitgleich auch der Pflegeaufwand der Systeme berücksichtigt werden.
In Zeiten des Kostendrucks und Fachkräftemangels haben die Mitarbeiter im Bereich des Betriebs und IT alle Hände voll damit zu tun, das Tagesgeschäft abzuwickeln. Getreu dem Motto „Never Change a Running System“ werden Systeme, deren Wartung ausläuft oder die vom Hersteller abgekündigt werden, oft weiter betrieben, da eine Migration kurzfristig betrachtet zu aufwendig oder zu teuer ist. „Diesem kurzfristigen Denken folgt leider oft ein böses Erwachen“, so Andreas Loesch, „da die Behebung dieser technischen Schulden langfristig mehr Aufwände benötigt und die notwendigen Schutzmaßnahmen für diese Systeme sehr komplex werden können“.
Wichtige Assets wie Softwarelösungen und Maschinen sollten idealerweise bereits initial gut dokumentiert sein, die Dokumentation muss in der Laufzeit gepflegt werden, nur an das „jetzt und hier“ zu denken, greift zu kurz. Die Sünden der Vergangenheit lassen sich nicht ungeschehen machen, aber eine strukturelle Erfassung und Dokumentation im Rahmen von TISAX hilft, den Betrieb zu sichern und die wiederkehrenden Audits zu bestreiten. Neben der Investition in die für das Audit nötige Dokumentation liefert eine systematische Assetverwaltung dann seinen Mehrwert für die Ressourcenplanung im Betrieb und der IT.
Neben der Risiko und Laufzeitbetrachtung der Systeme sollten auch die notwendigen Lizenzen geprüft und bei Aktualisierungen die Abhängigkeiten von anderen Systemen betrachtet und dokumentiert werden.
Die Endphase der Systeme kommt in jedem Fall, es ist wichtig frühzeitig die Abhängigkeiten mit den Geschäftsprozessen zu prüfen und Fragestellungen zu beantworten: Wohin mit den Daten, die auf dem System sind? Wie verändert sich meine Notfallplanung? Welche technischen Veränderungen erzwingen eine Veränderung? Lohnt sich das Risiko bei dem System oder der Maschine, ist eine Lizenzverlängerung nötig oder muss der Workflow auf Grund eines nicht behebbaren Risikos oder Nutzungsendes einer anderen Maschine geändert werden?
Aus Sicht des Unternehmens sollten daher für alle Assets sowohl die Einführungsphase als auch der Betrieb, die laufende Optimierung und wiederkehrende Sicherheitsanalyse sowie das Ausphasen der Systeme hinreichend konzeptioniert, durchgeführt und dokumentiert werden, die Dokumentation sollte von „Cradle to grave“ vorhanden sein und möglichst aktuell gehalten werden. Wo das historisch nicht wirtschaftlich, nicht möglich oder vorhanden ist, muss zumindest die Gegenwart und Zukunft betrachtet werden. In der Praxis findet sonst vor jedem Audit erneut eine hektische Suche nach aktuellen undokumentierten Informationen statt.
Fazit: Eine End-of-Life-Betrachtung sollte Bestandteil der Bewertung der Assets sein, insbesondere im dokumentierten Informationsverbund sind auch benachbarte Systeme dann leicht zu bewerten. Die Erstellung einer Anwendungs- oder Maschinendokumentation, die sowohl alle aktuellen Informationen zum System sammelt und nach klaren Standards festhält, ist hilfreich und kein Luxus. Sie macht vielmehr technische Standards und Lücken transparent, zudem ist auch die Bewertung des Systems über die Jahre hinweg möglich und folgt somit relevanten Normen wie der IEC 62443.
Beratungsunternehmen im Bereich Informationssicherheit und Cybersecurity.
Kontakt
Opexa Advisory GmbH
Klaus Kilvinger
Franz-Joseph-Straße 11
80801 München
+4915792487716
klaus.kilvinger@opexa.de
http://www.opexaadvisory.de
Bildquelle: @wix – opexaadvisory.de
