Am 13. Januar 2025 hat die US-amerikanische Cybersicherheitsbehörde CISA einen Leitfaden zur Beschaffung sicherer Betriebstechnologie (OT) herausgegeben. Mitgewirkt an dieser Publikation haben elf internationale Partnerbehörden, darunter auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Leitfaden soll Industrieunternehmen und Betreibern Kritischer Infrastrukturen (KRITIS) dabei helfen, das Prinzip „Secure by Design“ so früh wie möglich zu berücksichtigen – und zwar bereits in Einkaufs- und Beschaffungsprozessen. Im Fokus steht die Auswahl von industrieller Automatisierungstechnik und Steuerungssystemen (ICS).
Da auch im OT-Bereich viele Produkte nicht nach dem Prinzip „Secure by Design“ entwickelt werden, können diese bereits bei Inbetriebnahme potentiell verwundbar sein. Einfallstore sind beispielsweise unsichere Default-Passwörter oder bekannte Schwachstellen in Software-Komponenten.
Der nun vorgestellte Leitfaden „Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products“ harmoniert mit den Grundsätzen des kürzlich von der EU verabschiedeten Cyber Resilience Act (CRA). Die Ausgestaltung des CRA wird einer der Themenschwerpunkte für IT-Sicherheit in den kommenden Monaten und Jahren in Europa und für die Cybernation Deutschland sein, um die Sicherheit von Produkten mit digitalen Elementen zu erhöhen. Bereits 2024 hatten die beteiligten Cybersicherheitsbehörden einen allgemeinen Leitfaden zum Thema „Secure by Design“ veröffentlicht.
BSI, PM v. 16.1.2025