Neue Richtlinien für Cyberresilienz: Was Chemieunternehmen jetzt beachten müssen

Schwachstellen erkennen angesichts wachsender Bedrohungslagen

Cyberangriffe auf kritische Infrastrukturen können weitreichende und schwerwiegende Folgen haben, wie z. B.

• Betriebsstillstand und Produktionsausfälle
• Datenverlust
• wirtschaftlicher Schaden
• juristische Folgen
• potenzielle Umweltrisiken

Die Einführung vernetzter Systeme und der Einsatz von Industrial Internet of Things (IIoT)-Technologien machen Produktionsprozesse intelligenter und effizienter, erhöhen jedoch gleichzeitig die Angriffsfläche für Cyberbedrohungen.

Regulatorische Anforderungen: NIS2, TKG und ISO 27001 und nationale Vorgaben

Die neuen Vorschriften für die Cybersicherheit von Netz- & Informationssystemen - etwa die EU-NIS2-Richtlinie - verschärfen die Anforderungen an Betreiber kritischer Infrastrukturen, zu denen auch Chemieparks und die dort ansässigen Unternehmen zählen. Betroffene Unternehmen müssen beispielsweise signifikante Sicherheitsvorfälle innerhalb von 24 Stunden melden und nachweisen, welche organisatorischen und technischen Maßnahmen ergriffen wurden.

Das Telekommunikationsgesetz (TKG) verpflichtet Betreiber zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der genutzten IT-Systeme, insbesondere bei eigenen Netzwerken innerhalb des Geländes (z. B. Private 5G) oder bei der Anbindung an externe Betreiber beziehungsweise Subunternehmer.

Die ISO/IEC 27001-Norm definiert weltweit anerkannte Standardanforderungen für den Umgang und Schutz von Informationen durch die Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Sie unterstützt Unternehmen dabei, systematisch Informationssicherheitsrisiken zu identifizieren, zu bewerten und zu behandeln.

Das BSI-Gesetz und die BSI-Kritisverordnung (BSI-KritisV) sind für IT-Sicherheitsverantwortliche in der chemischen und pharmazeutischen Industrie von zentraler Bedeutung. Sie regeln Meldepflichten, Sicherheitsanforderungen und Prüfpflichten für kritische Infrastrukturen. Die aktuell gültige Fassung basiert weiterhin auf der KritisV, bis das neue KRITIS-Dachgesetz vollständig in Kraft tritt.

Warnsignale aus der Branche: Cyberattacken auf Chemieanlagen häufen sich

In den letzten Jahren gab es mehrere bedeutende Cyberattacken in der chemischen Industrie:

• Die Triton-Malware griff 2017 eine petrochemische Anlage in Saudi-Arabien an und deaktivierte sicherheitskritische Systeme wie Notabschaltungen. Ziel war offenbar die Auslösung einer physischen Katastrophe.
• Die adaptive Schadsoftware-Tardigrade infiltrierte 2021 Biotechnologie-Forschungseinrichtungen. Sie konnte sich selbstständig weiterentwickeln.
• Der Colonial Pipeline Ransomware-Angriff  auf das US-Pipelinesystem hatte 2021 massive Auswirkungen auf die Kraftstoffversorgung an der Ostküste der USA.

Unsere Expertise als Chemieparkbetreiber: Wir machen Ihre IT- und OT-Systeme cyberresilient

Mit über einem Jahrzehnt Erfahrung in der Entwicklung und dem Betrieb digitaler Lösungen für Chemieparks bieten wir modulare und praxisnahe Lösungen für ein breites Spektrum an Organisationen:

IIoT-Lösungen

Verbindung von Maschinen, Sensoren und Anlage für eine intelligente Produktion

Schnittstellen zu Produktionssystemen

Nahtlose Integration und Kommunikation zwischen verschiedenen Systemen.

Kommunikations- und Datenleitungen

Sichere und zuverlässige Datenübertragung.

Cloud-Anbindungen

Flexibler und sicherer Zugriff auf Daten und Anwendungen.

Logging- & Auswertesysteme wie Security Information and Event Management (SIEM)

Zentrale Erfassung und Echtzeitanalyse von sicherheitsrelevanten Ereignissen.

Security Operations Center (SOC)

Rund-um-die-Uhr-Überwachung aller sicherheitsrelevanten Systeme und regelmäßige Aktualisierung mit sicherheitsrelevanten Patches.

Beratung zu ISO 27001

Begleitung von der Analyse und Einstufung der Organisation über die GAP-Analyse bis hin zur Projektierung der notwendigen Maßnahmen und gegebenenfalls Erreichung einer erfolgreichen Zertifizierung.