Planer und Betreiber von Produktionsanlagen stehen vor der Frage, welche Normen sie für die IT-Sicherheitskonzepte und für eine Auditierung dieser Anlagen anwenden sollen. Da die Verantwortlichkeit in Bezug auf die IT-Sicherheit für die Operational Technology (OT) oft in anderen Händen liegt, als die für Information Technology (IT), gibt es gelegentlich abweichende Auffassungen darüber, welche Normen in welchen Fällen zu Grunde zu legen sind.

Normreihe ISO 27001 oder IEC 62443?

Personen aus dem IT-Umfeld bevorzugen in der Regel die Normreihe ISO 27001, während das OT-Umfeld eher die Normreihe IEC 62443 favorisiert. Zu diesem Thema hat Prof. Dr. Karl-Heinz Niemann von der Fakultät Elektro- und Informationstechnik der Hochschule Hannover ein Forschungspapier veröffentlicht. Die Arbeit beschreibt die Grundlagen und Ausrichtung der beiden Normreihen und gibt Anregungen, in welchem Kontext welche der Normen sinnvoll eingesetzt wird und wo sie möglicherweise kombinierbar sind.

Empfehlung für Produktionsanlagen

Das Dokument schließt mit einer Empfehlung für ein Vorgehen im Bereich von Produktionsanlagen für die Fertigungs- und Prozessindustrie (OT-Security). Abschließend wird im Anhang am Beispiel einer Abwasserbehandlungsanlage die Anwendbarkeit der Normen diskutiert.

Das Forschungspapier steht auf der Webseite der Hochschule Hannover zum Download bereit.