OTSecurityProfessional; TÜV Rheinland

Neue Zertifizierungs-Initiative soll Sicherheit von Industrieanlagen steigern

Hacker greifen zunehmend betriebstechnische Systeme in Industrieanlagen an, die Sicherheit von Industrieanlagen ist zunehmend gefährdet. Diese Systeme erfassen physikalische Effekte oder steuern Motoren, Pumpen oder Ventile in industriellen Systemen und werden zunehmend mit dem Internet verbunden, um die Effizienz zu verbessern oder Wettbewerbsvorteile zu erzielen. Systeme oder Komponenten können Schwachstellen aufweisen, die durch Cyberangriffe ausgenutzt werden können. Da es an Kenntnissen und Fähigkeiten in diesem Bereich mangelt, hat TÜV Rheinland das Zertifizierungsprogramm „Certified Operational Technology Cybersecurity Professional (TÜV)“ entwickelt, das Unternehmen dabei unterstützt, Kompetenzen im Team zu identifizieren und zu verbessern und damit die allgemeine Cybersicherheit von Anlagen der Industrie- und Betriebstechnik zu steigern.

Der im Dezember 2017 gemeldete Triton-Malware-Angriff war der erste öffentlich dokumentierte Cyberangriff auf eine industrielle Kontrollinfrastruktur (ICS), die den Betrieb eines Safety Instrumented System (SIS) stören soll, das zum Schutz einer Industrieanlage als ausfallsicherer Schutz vor Feuer oder Explosion dient. Experten zufolge war dieser Vorfall eine dringende Warnung, dass Angreifer mit geopolitischen Motiven nun auf sicherheitskritische Systeme abzielen.

Das Ziel von Angriffen ist es in der Regel, Zugriff auf geistiges Eigentum, Geschäftsgeheimnisse und technische Informationen zu erhalten, aber viele Unternehmen sind sich der Gefahren nicht bewusst, die Cyberangriffe auf ihre Anlagen darstellen. Darüber hinaus sind ihre Cybersicherheit-Konzepte in der Regel nicht auf den Schutz von OT-Systemen zugeschnitten. Laut der neuen Studie „Industrial Security in 2019: A TÜV Rheinland Perspective“ geben 40 Prozent der Befragten an, dass sie die Risiken von Cyberangriffen auf Industrieanlagen noch nie untersucht haben. Weitere 34 Prozent wissen nicht, ob das eigene Unternehmen diese Risiken jemals untersucht hat. Darüber hinaus hat nur jedes fünfte Unternehmen seine Cybersicherheitsmaßnahmen speziell auf Industrie- oder OT-Anlagen zugeschnitten. Dies ist alarmierend, da Angriffe aus dem Netzwerk ganze Anlagen abschalten können. Dies führt zu Produktionsausfällen mit hohen Folgekosten und kann sich bei kritischen Infrastrukturen auch auf die allgemeine Versorgungssicherheit und das reibungslose Funktionieren der modernen Gesellschaft auswirken.

Werden Produktionsanlagen oder kritische Infrastrukturen – wie z.B. von Energieversorgern – vernetzt, bietet dies zusätzliche Ziele für Cyberangriffe. Fast 70 Prozent der Befragten kamen aus der Fertigungsindustrie; außerdem waren die Automobilindustrie, Logistikunternehmen, die Öl- und Gasindustrie, öffentliche Institutionen sowie die Telekommunikations-, Energie- und Chemieindustrie vertreten. Ziel der Studie war es, besser zu verstehen, wie Unternehmen Schutzmaßnahmen gegen Cyberangriffe erkennen und ergreifen. Da traditionelles Wissen im Bereich der Cybersicherheit oft nicht ausreicht, um den komplexen Anforderungen der industriellen, vernetzten Welt gerecht zu werden, hat TÜV Rheinland eine neue Zertifizierung für Experten auf dem Gebiet der industriellen Cybersicherheit entwickelt: den „Certified Operational Technology Cybersecurity Professional (TÜV)“.

Mehr Qualität für die Industrie
Mit der neuen Personenzertifizierung reagiert der TÜV Rheinland auf die steigende Nachfrage von Fachleuten. In einem so komplexen Bereich wie der Cybersicherheit kann ein Zertifizierungsprogramm eines neutralen Dritten wie dem TÜV Rheinland dazu beitragen, das Know-how der Unternehmen auf die Anforderungen der industriellen Cybersicherheit abzustimmen und die Industrieunternehmen in diesem Bereich weiter zu professionalisieren.

Das Zertifizierungsprogramm bewertet die Kandidaten aktiv durch eine Kombination aus professionellem Karriere-Review, Interview und technischem Review. Die Teilnehmer müssen über mindestens zehn Jahre Erfahrung in der Cybersicherheit verfügen, davon fünf Jahre in leitender Funktion. Die Kandidaten erstellen im Rahmen der Prüfung eine Fallstudie. Nach einer kritischen Überprüfung durch TÜV Rheinland-Experten werden sie zu einer Online-Präsentation und einer technischen Frage-Antwort-Sitzung eingeladen. Experten, die die Norm erfüllen, erhalten von TÜV Rheinland ein Zertifikat und können den Titel „Certified Operational Technology Cybersecurity Professional (TÜV)“ führen. Eine Rezertifizierung durch TÜV Rheinland ist alle drei Jahre erforderlich. Weitere Informationen zum Programm unter:
www.tuv.com/de/otcybersecurityprofessional

Nigel Stanley
Nigel Stanley