- Die Chemieindustrie fällt als Teil des verarbeitenden Gewerbes unter NIS2, Anhang II. Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz sind betroffen und werden als wichtige Einrichtungen eingestuft.
- Die größte Besonderheit der Chemieindustrie ist die Überschneidung von IT-Sicherheit, OT-Sicherheit und physischer Sicherheit (Störfall-Verordnung). Ein Cyberangriff auf die Prozessleittechnik kann zu unkontrollierten chemischen Reaktionen und damit zu Explosionen, Stofffreisetzungen oder Umweltkatastrophen führen.
- Prozessleitsysteme (DCS/PCS) in der Chemie haben Lebenszyklen von 15 bis 25 Jahren und können oft nicht gepatcht werden. Netzwerksegmentierung nach dem Purdue-Modell ist die zentrale Schutzmaßnahme.
- Unternehmen, die der Störfall-Verordnung unterliegen, haben bereits Sicherheitsmanagementsysteme (SMS), die als Grundlage für das ISMS genutzt werden können.
- Ein Spezialchemiehersteller mit 180 Mitarbeitern kann die NIS2-Umsetzung in 12 Monaten schaffen, muss aber die OT-Risikobewertung von Anfang an einbeziehen.
Warum die Chemieindustrie unter NIS2 fällt
Die chemische Industrie ist das Rückgrat zahlreicher Wertschöpfungsketten. Ohne Chemieprodukte gibt es keine Medikamente, keine Kunststoffe, keine Düngemittel, keine Reinigungsmittel und keine modernen Baustoffe. Ein Produktionsausfall bei einem Chemiehersteller kann kaskadierende Effekte in Dutzenden nachgelagerten Branchen auslösen, und genau deshalb hat der europäische Gesetzgeber die chemische Industrie in den Anwendungsbereich der NIS2-Richtlinie aufgenommen.
Die Chemieindustrie fällt unter Anhang II der NIS2-Richtlinie als Teil des Sektors "Verarbeitendes Gewerbe/Herstellung von Waren". Innerhalb dieses Sektors werden chemische Erzeugnisse explizit genannt, einschließlich der Herstellung von pharmazeutischen Grundstoffen und Zubereitungen. Konkret betroffen sind:
- Hersteller chemischer Grundstoffe: Unternehmen, die Basischemikalien, Petrochemikalien, anorganische Grundchemikalien oder Polymere herstellen
- Spezialchemiehersteller: Produzenten von Feinchemikalien, Additiven, Klebstoffen, Lacken, Pigmenten, Agrochemikalien
- Pharmavorprodukte-Hersteller: Unternehmen, die pharmazeutische Wirkstoffe (APIs) und Zwischenprodukte herstellen
- Kunststoff- und Kautschukverarbeiter: Wenn sie die Größenschwellen überschreiten
Die Schwellenwerte sind wie bei allen NIS2-Sektoren: mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz. Die deutsche Chemieindustrie besteht zu einem erheblichen Teil aus mittelständischen Unternehmen: Rund 90 Prozent der Betriebe haben weniger als 500 Mitarbeiter, aber viele davon liegen über den NIS2-Schwellenwerten.
Wichtig: Da die Chemieindustrie in Anhang II gelistet ist, werden betroffene Unternehmen als wichtige Einrichtungen eingestuft, nicht als wesentliche Einrichtungen. Das bedeutet etwas niedrigere Bußgeldgrenzen (7 Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes) und eine reaktive statt proaktive Aufsicht durch das BSI. Die Meldepflichten (24h/72h/1 Monat) sind allerdings identisch.
Die besondere Risikolage der Chemieindustrie
Was die Chemieindustrie bei NIS2 besonders komplex macht, ist die Tatsache, dass ein Cyberangriff hier nicht nur zu Betriebsunterbrechungen und Datenverlust führen kann, sondern potenziell zu physischen Schäden mit Auswirkungen auf Mensch und Umwelt. Diese Dimension unterscheidet die Chemie grundlegend von den meisten anderen Branchen.
Wenn IT-Sicherheit zur Frage der physischen Sicherheit wird
Chemische Produktionsprozesse arbeiten oft mit gefährlichen Stoffen unter extremen Bedingungen: hohe Temperaturen, hohe Drücke, toxische oder explosive Substanzen. Die Prozessleittechnik sorgt dafür, dass diese Prozesse innerhalb sicherer Parameter ablaufen. Wenn ein Angreifer diese Steuerungssysteme manipuliert, können die Konsequenzen weit über den IT-Bereich hinausgehen.
Konkrete Szenarien:
- Manipulation von Sollwerten: Ein Angreifer verändert die Solltemperatur eines Reaktors um wenige Grad. Eine exotherme Reaktion gerät außer Kontrolle. Im besten Fall wird der Batch zerstört, im schlimmsten Fall kommt es zu einer Explosion.
- Deaktivierung von Sicherheitssystemen: Safety Instrumented Systems (SIS) überwachen kritische Prozessparameter und lösen im Notfall eine sichere Abschaltung aus. Wenn ein Angreifer das SIS manipuliert oder deaktiviert, greift die letzte Verteidigungslinie nicht mehr.
- Störung der Kühlsysteme: Viele chemische Prozesse benötigen eine präzise Temperaturkontrolle. Wenn Kühlsysteme durch einen Cyberangriff ausfallen, können thermisch instabile Substanzen unkontrolliert reagieren.
- Manipulation von Dosierungen: In der Batch-Produktion werden Rohstoffe nach exakten Rezepturen dosiert. Veränderte Dosierungen können zu gefährlichen Zwischenprodukten oder zur Freisetzung toxischer Substanzen führen.
Diese Szenarien sind keine Theorie. Der Stuxnet-Angriff auf iranische Urananreicherungsanlagen hat 2010 gezeigt, dass gezielte Manipulation von Industriesteuerungen physische Zerstörung verursachen kann. Der Triton/TRISIS-Angriff auf ein petrochemisches Werk in Saudi-Arabien 2017 zielte explizit auf das Safety Instrumented System, das die letzte Verteidigungslinie gegen katastrophale Unfälle darstellt.
Prozessleittechnik: Das Nervensystem der Chemieproduktion
Die Prozessleittechnik (Process Control System, PCS) ist das zentrale Steuerungssystem eines Chemiebetriebs. In der Praxis werden verschiedene Begriffe verwendet, die sich teilweise überschneiden:
- DCS (Distributed Control System): Das verteilte Leitsystem steuert und überwacht den gesamten Produktionsprozess. Typische Hersteller sind Siemens (SIMATIC PCS 7/PCS neo), ABB (System 800xA/Ability Symphony Plus), Honeywell (Experion PKS), Emerson (DeltaV) und Yokogawa (CENTUM VP).
- SCADA (Supervisory Control and Data Acquisition): Fernüberwachungs- und Steuerungssysteme, die oft für verteilte Anlagen eingesetzt werden (Pipelinenetze, Tanklager, Außenstationen).
- SIS (Safety Instrumented System): Sicherheitsgerichtete Steuerungen, die unabhängig vom DCS arbeiten und bei Überschreitung kritischer Grenzwerte eine sichere Abschaltung auslösen.
- PLC/SPS (Programmable Logic Controller / Speicherprogrammierbare Steuerung): Dezentrale Steuerungen an einzelnen Anlagenteilen, die vom DCS koordiniert werden.
Diese Systeme bilden ein komplexes, über Jahrzehnte gewachsenes Netzwerk, das eine gründliche OT-Sicherheit erfordert. Ältere Anlagenteile kommunizieren über Protokolle, die nie für eine vernetzte Welt entwickelt wurden: Modbus (unverschlüsselt, ohne Authentifizierung), PROFINET, OPC Classic (auf DCOM basierend, bekannt für Sicherheitsprobleme) oder HART.
Die Lebenszyklen sind extrem lang: Ein DCS wird typischerweise 15 bis 25 Jahre betrieben. Die Basisplattform (Betriebssystem, Hardware) wird in dieser Zeit allenfalls ein- bis zweimal migriert, und jede Migration ist ein Großprojekt, das Monate dauert und während eines geplanten Stillstands (Turnaround) durchgeführt werden muss.
OT-Netzwerke: Historisch gewachsen, selten dokumentiert
In vielen Chemiebetrieben sind die OT-Netzwerke über Jahrzehnte gewachsen. Neue Anlagenteile wurden angeschlossen, Fernwartungszugänge eingerichtet, temporäre Verbindungen für Inbetriebnahmen gezogen und nicht wieder entfernt. Das Ergebnis ist häufig ein Netzwerk, das weder vollständig dokumentiert noch konsequent segmentiert ist.
Typische Probleme, die bei der NIS2-Bestandsaufnahme in Chemiebetrieben auffallen:
- Flache Netzwerke ohne Segmentierung zwischen DCS, SIS und Office-IT
- Fernwartungszugänge von Anlagenherstellern, die permanent aktiv sind und nicht überwacht werden
- Windows-XP- oder Windows-7-Rechner im OT-Netz, die als Engineering-Workstations oder HMI-Clients dienen
- Shared Accounts für DCS-Bediener statt individueller Benutzerkonten
- USB-Sticks als Transfermedium zwischen Office-IT und OT, ohne Malware-Scan
- Lückenhafte oder veraltete Netzwerkdokumentation
Störfall-Verordnung und NIS2: Zwei Welten verschmelzen
Viele Chemieunternehmen unterliegen der Störfall-Verordnung (12. BImSchV), die Maßnahmen zur Verhinderung schwerer Unfälle mit gefährlichen Stoffen fordert. Die Störfall-Verordnung unterscheidet zwischen Betriebsbereichen der unteren und der oberen Klasse, abhängig von der Menge gefährlicher Stoffe.
Betriebe der oberen Klasse müssen ein Sicherheitsmanagementsystem (SMS) betreiben und einen Sicherheitsbericht erstellen. Betriebe der unteren Klasse müssen ein Konzept zur Verhinderung schwerer Unfälle vorlegen.
Überschneidungen nutzen
Die Störfall-Verordnung und NIS2 adressieren unterschiedliche Aspekte, überlappen sich aber in einem entscheidenden Punkt: Beide fordern den Schutz der Steuerungssysteme, die für die sichere Führung chemischer Prozesse verantwortlich sind.
| Anforderung | Störfall-Verordnung | NIS2 |
|---|---|---|
| Risikoanalyse | Sicherheitsbericht mit Gefahrenanalyse | Risikomanagement für IT und OT |
| Technische Maßnahmen | Sicherheitsgerichtete Steuerungen, Redundanzen | Netzwerksegmentierung, Zugriffskontrolle, Monitoring |
| Organisatorische Maßnahmen | Betriebsorganisation, Notfallplanung | Incident Response, Business Continuity |
| Schulungen | Unterweisung der Mitarbeiter in Störfallszenarien | Cybersicherheitsschulungen |
| Dokumentation | Sicherheitsbericht, Alarm- und Gefahrenabwehrplan | ISMS-Dokumentation, Meldepflichten |
| Audits | Behördliche Inspektionen | BSI-Aufsicht |
Unternehmen, die bereits ein Sicherheitsmanagementsystem nach Störfall-Verordnung betreiben, haben eine solide Grundlage für das NIS2-ISMS. Die Gefahrenanalyse im Sicherheitsbericht kann um Cyber-Bedrohungen erweitert werden. Der Alarm- und Gefahrenabwehrplan kann mit dem IT-Incident-Response-Plan zusammengeführt werden.
Die Lücke: Cyber-Bedrohungen im Sicherheitsbericht
Die Störfall-Verordnung fordert die Identifikation und Bewertung aller Gefahrenquellen, die zu schweren Unfällen führen können. Traditionell konzentriert sich diese Analyse auf technisches Versagen, menschliche Fehler und externe Einwirkungen (Erdbeben, Hochwasser, Blitzschlag). Cyberangriffe auf Steuerungssysteme werden bislang in vielen Sicherheitsberichten nicht oder nur am Rande behandelt.
NIS2 ändert das. Wenn ein Cyberangriff auf die Prozessleittechnik zu einem Störfall im Sinne der Störfall-Verordnung führen kann, dann muss diese Bedrohung in der Gefahrenanalyse berücksichtigt werden. Für viele Chemieunternehmen bedeutet das: Der Sicherheitsbericht muss um eine Cyber-Bedrohungsanalyse ergänzt werden, und die Maßnahmen zur Verhinderung schwerer Unfälle müssen Cybersicherheitsmaßnahmen einschließen.
NIS2-Maßnahmen für die Chemieindustrie
Die zehn Mindestmaßnahmen aus Artikel 21 der NIS2-Richtlinie gelten vollständig. Einige davon haben in der Chemieindustrie eine besondere Ausprägung.
Netzwerksegmentierung nach dem Purdue-Modell
Das Purdue Enterprise Reference Architecture Model (PERA) ist der De-facto-Standard für die Segmentierung von IT- und OT-Netzwerken in der Prozessindustrie. Es definiert sechs Ebenen, die von den physischen Prozessen (Ebene 0) bis zur Unternehmens-IT (Ebene 5) reichen.
| Ebene | Bezeichnung | Typische Systeme in der Chemie |
|---|---|---|
| 5 | Enterprise Network | ERP (SAP), E-Mail, Internet |
| 4 | Business Planning & Logistics | MES, Laborinformationssystem (LIMS), Qualitätsmanagement |
| 3.5 | DMZ | Historian, Datenreplikation, Patch-Management-Server |
| 3 | Manufacturing Operations | DCS Engineering Workstations, Batch-Management |
| 2 | Control Systems | DCS Controller, SIS Controller, HMI |
| 1 | Intelligent Devices | PLCs, Remote I/O, Analysegeräte |
| 0 | Physical Process | Sensoren, Aktoren, Ventile, Pumpen |
Die wichtigste Regel: Zwischen den Ebenen dürfen nur definierte, kontrollierte Datenflüsse stattfinden. Insbesondere darf es keine direkte Verbindung zwischen Ebene 5 (Enterprise) und den Ebenen 0 bis 3 (OT) geben. Alle Datenflüsse müssen über die DMZ (Ebene 3.5) laufen.
In der Praxis sieht das so aus: Der Historian-Server in der DMZ sammelt Prozessdaten aus dem DCS und stellt sie dem ERP-System zur Verfügung. Die Kommunikation ist unidirektional: Daten fließen von unten nach oben (OT zu IT), aber nicht in umgekehrter Richtung. Wenn Rezepturen oder Produktionsaufträge vom ERP ans DCS übertragen werden müssen, geschieht dies über einen dedizierten, abgesicherten Kanal in der DMZ.
Absicherung der Safety Instrumented Systems (SIS)
Das SIS ist die letzte Verteidigungslinie gegen katastrophale Unfälle. Ein kompromittiertes SIS ist das Worst-Case-Szenario in der Chemieindustrie. Deshalb gelten für SIS besonders strenge Anforderungen:
- Physische Trennung: Das SIS-Netzwerk muss physisch vom DCS-Netzwerk und erst recht vom IT-Netzwerk getrennt sein. Keine Shared Switches, keine gemeinsamen Kabelwege.
- Keine Fernwartung: SIS-Systeme sollten grundsätzlich nicht fernwartbar sein. Änderungen an der SIS-Programmierung erfordern einen physischen Zugang mit dokumentierter Genehmigung.
- Eigene Stromversorgung: Das SIS muss unabhängig vom DCS mit Strom versorgt werden, damit es auch bei einem Ausfall des DCS funktioniert.
- Regelmäßige Tests: Die Funktionstests des SIS (Proof Tests) müssen dokumentiert und im ISMS als Sicherheitsmaßnahme verankert werden.
Fernwartung: Das größte Einfallstor
In der Chemieindustrie ist Fernwartung durch Anlagenhersteller und Systemintegratoren gängige Praxis. ABB, Siemens, Honeywell und andere Hersteller bieten Remote-Support für ihre Leitsysteme an. Daneben gibt es Fernwartungszugänge für Analytikgeräte, Kompressoren, Dosieranlagen und zahlreiche weitere Komponenten.
Diese Fernwartungszugänge sind aus NIS2-Perspektive ein erhebliches Risiko. Ein kompromittierter Fernwartungszugang gibt einem Angreifer direkten Zugriff auf OT-Systeme. Die Absicherung umfasst:
- Kein permanenter Zugang: Fernwartungszugänge werden nur bei Bedarf freigeschaltet und nach Abschluss der Wartung wieder deaktiviert.
- Zwei-Faktor-Authentifizierung: Für jeden Fernwartungszugang, soweit technisch möglich.
- Session-Aufzeichnung: Alle Fernwartungssitzungen werden aufgezeichnet und können nachträglich ausgewertet werden.
- Jump-Host: Der Fernwartungszugang führt nicht direkt ins OT-Netz, sondern über einen dedizierten Jump-Host in der DMZ.
- Vertragliche Regelung: Der Fernwartungsvertrag muss NIS2-konforme Sicherheitsanforderungen enthalten (Patch-Pflichten, Incident-Notification, Zugangsdokumentation).
Incident Response: Wenn ein Cyberangriff zum Störfall wird
Der Incident-Response-Plan eines Chemieunternehmens muss die Schnittstelle zwischen Cyber-Incident und potenziellem Störfall abdecken. Die entscheidende Frage lautet: Ab welchem Punkt wird aus einem IT-Sicherheitsvorfall ein Störfall im Sinne der Störfall-Verordnung?
Der Incident-Response-Plan muss folgende Elemente enthalten:
- Eskalationskriterien: Klare Definition, wann ein Cyber-Incident das Potenzial hat, die Prozesssicherheit zu beeinträchtigen. In diesem Fall muss sofort der Bereitschaftsingenieur und die Werksleitung einbezogen werden.
- Sichere Abschaltung: Verfahren für die kontrollierte Abschaltung von Produktionsanlagen, wenn ein Cyberangriff auf die Prozessleittechnik vermutet wird. Die sichere Abschaltung hat Vorrang vor der IT-Forensik.
- Parallele Meldewege: BSI-Meldung (24 Stunden für NIS2), zuständige Immissionsschutzbehörde (wenn ein Störfall eingetreten ist oder droht), Datenschutzbehörde (wenn personenbezogene Daten betroffen sind).
- Koordination mit Werkfeuerwehr/Gefahrenabwehr: Wenn ein Cyberangriff zu einer physischen Gefährdung führen kann, muss die Werkfeuerwehr und gegebenenfalls die externe Feuerwehr informiert und koordiniert werden.
Praxisbeispiel: Spezialchemiehersteller mit 180 Mitarbeitern
Um die NIS2-Anforderungen greifbar zu machen, schauen wir uns ein konkretes Beispiel an.
Ausgangslage:
Die ChemSpec GmbH (fiktives Beispiel) ist ein Hersteller von Spezialchemikalien mit Sitz in Hessen. 180 Mitarbeiter, 55 Millionen Euro Jahresumsatz. Das Unternehmen produziert Additive für die Kunststoff- und Lackindustrie in Batch-Prozessen. Die Produktion arbeitet im Drei-Schicht-Betrieb. Das Unternehmen unterliegt der Störfall-Verordnung (untere Klasse) und betreibt ein Sicherheitskonzept.
Die IT- und OT-Infrastruktur:
- Prozessleitsystem: Siemens SIMATIC PCS 7, Version 9.0 SP1. Zwei redundante Server, 12 Operator Stations, 8 Engineering Stations.
- Steuerungsebene: 25 Siemens S7-400/S7-1500 PLCs, verteilt auf vier Produktionshallen.
- Safety System: Siemens S7-400F (Failsafe-SPS) für sicherheitsgerichtete Funktionen (Notabschaltung, Überdruckschutz, Leckageerkennung).
- Laborinformationssystem (LIMS): Für die Qualitätskontrolle der Zwischen- und Endprodukte.
- ERP-System: SAP ECC 6.0 (Migration auf S/4HANA geplant).
- Lager- und Logistiksystem: Verwaltung des Tanklagers und der Gebindelogistik.
- Server-Infrastruktur: 10 physische Server, aufgeteilt auf IT und OT.
- Arbeitsplätze: 60 PCs (Produktion, Labor, Verwaltung, Engineering).
- Fernwartungszugänge: Siemens (DCS), 3 Analysegerätehersteller, 2 Kompressorhersteller, 1 Dosiersystemhersteller.
Die IT-Abteilung umfasst vier Mitarbeiter: einen IT-Leiter, zwei Systemadministratoren und einen Automatisierungstechniker. Der Automatisierungstechniker betreut das PCS 7 und bildet die Brücke zwischen IT und OT. Ein ISMS existiert nicht. Das Sicherheitskonzept nach Störfall-Verordnung wurde 2022 aktualisiert und enthält keine explizite Cyber-Bedrohungsanalyse.
Phase 1: Bestandsaufnahme und regulatorische Einordnung (Monat 1-2)
Betroffenheitsanalyse: ChemSpec fällt mit 180 Mitarbeitern und 55 Millionen Euro Umsatz unter NIS2. Chemieindustrie ist in Anhang II gelistet. Einstufung: wichtige Einrichtung.
Regulatorische Bestandsaufnahme: ChemSpec unterliegt neben NIS2 folgenden Regelwerken: Störfall-Verordnung (untere Klasse), REACH-Verordnung (Chemikalienregistrierung), GHS/CLP (Einstufung und Kennzeichnung), DSGVO (Mitarbeiter- und Kundendaten), Betriebssicherheitsverordnung.
ISB benennen: Der IT-Leiter übernimmt die ISB-Rolle mit 50 Prozent Zeitanteil. Entscheidend ist die enge Zusammenarbeit mit dem Automatisierungstechniker (OT-Expertise) und dem Störfallbeauftragten.
Asset-Inventar erstellen:
| Kategorie | Anzahl | Kritischstes Asset |
|---|---|---|
| DCS-Server und Operator Stations | 22 | PCS 7 Redundanzpaar (Prozesssteuerung) |
| PLCs/SPS | 25 | Reaktorsteuerungen Halle 1 (exotherme Prozesse) |
| Safety System | 4 | S7-400F Notabschaltung Reaktoren |
| IT-Server | 10 | SAP ECC (ERP), Active Directory |
| Arbeitsplätze | 60 | Engineering Stations (PCS 7 Zugriff) |
| Fernwartungszugänge | 7 | Siemens Remote Service (DCS-Zugriff) |
| Netzwerkkomponenten | 20 | Firewalls IT/OT, Core-Switches |
Besondere Feststellung: Die OT-Netzwerksegmentierung ist lückenhaft. Zwischen dem DCS-Netz und dem Office-Netz existiert zwar eine Firewall, aber die Regelwerke sind permissiv. Das Historian-System hat direkte Verbindungen sowohl ins DCS-Netz als auch ins Office-Netz. Drei Fernwartungszugänge sind permanent aktiv. Das Safety System teilt sich physische Netzwerk-Switches mit dem DCS, obwohl es logisch getrennt ist.
Phase 2: Risikoanalyse (Monat 3-4)
Die Risikoanalyse integriert IT-Risiken, OT-Risiken und Störfall-Risiken – in ISMS Lite lässt sich diese dreidimensionale Bewertung mit eigenen Risikokategorien für Prozesssicherheit abbilden.
| Risiko | Auswirkung auf Betrieb | Auswirkung auf Sicherheit | Bewertung |
|---|---|---|---|
| Ransomware verschlüsselt DCS-Server | Produktionsstopp aller Anlagen | Kontrollierte Abschaltung nötig | Kritisch |
| Manipulation der Reaktorsteuerung | Fehlerhafte Prozessführung | Unkontrollierte exotherme Reaktion, Explosionsgefahr | Kritisch |
| Kompromittierung des SIS | Safety-Funktion nicht verfügbar | Letzte Verteidigungslinie gegen Störfall fällt aus | Kritisch |
| Fernwartungszugang kompromittiert | Unbefugter DCS-Zugriff | Prozessmanipulation möglich | Kritisch |
| Ransomware verschlüsselt SAP | Auftrags- und Materialverwaltung steht still | Kein direkter Sicherheitseffekt | Hoch |
| Manipulation von Laborergebnissen (LIMS) | Freigabe fehlerhafter Chargen | Qualitätsabweichungen bei Kunden | Hoch |
| Laterale Bewegung von IT nach OT | Angreifer erreicht Produktionsnetz | Prozessmanipulation möglich | Kritisch |
Besonders kritisch identifiziert: Die fehlende Segmentierung zwischen IT und OT, die einen lateralen Angriff vom Office-Netz in die Prozessleittechnik ermöglicht. Dieses Risiko wird mit höchster Priorität behandelt.
Phase 3: Technische Maßnahmen (Monat 5-8)
Netzwerksegmentierung nach Purdue-Modell (Monat 5-7):
Die gesamte Netzwerkarchitektur wird nach dem Purdue-Modell umstrukturiert – eine konsequente Netzwerksegmentierung ist hier die zentrale Schutzmaßnahme:
- Ebene 5 (Enterprise): SAP, E-Mail, Office. Standard-IT-Sicherheit.
- Ebene 3.5 (DMZ): Neuer Historian-Server, der Prozessdaten aus dem DCS empfängt und dem SAP-System bereitstellt. Die Kommunikation wird durch eine Application-Level-Firewall kontrolliert.
- Ebene 3 (Manufacturing Operations): Engineering Stations, Batch-Management, DCS-Server. Zugang nur über dedizierte Arbeitsplätze mit chipkartenbasierter Authentifizierung.
- Ebene 2 (Control): Operator Stations, PLCs. Strikt isoliert, nur Kommunikation mit Ebene 3.
- Ebene 1 (SIS): Physisch getrennte Netzwerk-Switches und Kabelwege. Keine Verbindung zu anderen Ebenen außer der dedizierten SIS-Engineering-Workstation.
Die wichtigste Einzelmaßnahme: Zwischen Ebene 5 und Ebene 3 wird eine industrietaugliche Firewall installiert, die nur die definierten Datenflüsse zulässt. Alle anderen Verbindungen werden blockiert und geloggt.
Fernwartung absichern (Monat 6):
- Alle permanenten Fernwartungszugänge werden deaktiviert
- Ein zentraler Fernwartungsserver (Jump-Host) in der DMZ wird installiert
- Fernwartungssitzungen werden nur bei Bedarf freigeschaltet (vier-Augen-Prinzip: Anforderung durch Hersteller, Genehmigung durch IT oder Automation)
- Alle Sitzungen werden aufgezeichnet
- MFA wird für alle Fernwartungszugänge eingeführt
Safety System physisch trennen (Monat 7):
Das SIS erhält eigene Netzwerk-Switches und Kabelwege. Die einzige Verbindung zur Außenwelt ist die SIS-Engineering-Workstation, die ausschließlich lokal bedient wird und über keinen Netzwerkzugang verfügt.
OT-Monitoring (Monat 7-8):
Ein OT-spezifisches Anomalieerkennungssystem wird an den Netzwerk-Übergangspunkten installiert. Es überwacht den Datenverkehr zwischen den Purdue-Ebenen und alarmiert bei ungewöhnlichen Kommunikationsmustern, unbekannten Protokollen oder Zugriffsversuchen von außerhalb der definierten Kommunikationsmatrix.
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Integration ISMS und Sicherheitskonzept (Störfall-VO):
Das bestehende Sicherheitskonzept nach Störfall-Verordnung wird um eine Cyber-Bedrohungsanalyse ergänzt, wobei ein Tool wie ISMS Lite die Verknüpfung von Störfall-Maßnahmen und ISMS-Controls an einem Ort ermöglicht. Die Gefahrenanalyse (HAZOP-Studie) wird überprüft: Für jeden identifizierten Gefahrenknoten (Node) wird geprüft, ob ein Cyberangriff die gleichen Auswirkungen haben kann wie die bisher betrachteten Ursachen (technisches Versagen, menschlicher Fehler). Wo dies der Fall ist, werden die Cybersicherheitsmaßnahmen als zusätzliche Schutzbarrieren dokumentiert.
Schulungsprogramm:
- Alle Mitarbeiter: 30-Minuten-Modul zu Cyberhygiene, integriert in die jährliche Sicherheitsunterweisung (die ohnehin für Störfall-VO und Arbeitsschutz stattfindet)
- Anlagenfahrer: Vertiefung zum Erkennen ungewöhnlicher Prozesszustände, die auf eine Manipulation hindeuten könnten. Klare Anweisung: im Zweifel die Anlage sicher herunterfahren, Schaden an der Anlage ist akzeptabel, Schaden an Menschen nicht
- Automatisierungstechniker und IT-Team: IEC 62443, OT-Sicherheit, Purdue-Modell, Incident Response im OT-Umfeld
- Geschäftsführung: NIS2-Pflichten, persönliche Haftung, Zusammenspiel NIS2 und Störfall-VO
- Störfallbeauftragter: Cyber-Bedrohungen als Bestandteil der Gefahrenanalyse
Lieferantenbewertung:
| Lieferant | Besondere Anforderungen |
|---|---|
| Siemens (DCS, SIS) | Patch-Zyklen, Fernwartungssicherheit, Lebenszyklusplanung PCS 7 |
| Analysegerätehersteller (3) | Fernwartungssicherheit, Firmware-Updates |
| SAP (ERP) | Patch-Policy, Sicherheitsupdates |
| Externes Systemhaus | NIS2-Klauseln, Sicherheitszertifizierung |
| Rohstofflieferanten (kritische) | EDI-Sicherheit, Lieferkontinuität |
| Cloudanbieter (M365) | SOC 2 / ISO 27001 Nachweis vorhanden |
Business-Continuity-Plan:
| System | RTO | Notfallverfahren |
|---|---|---|
| DCS (PCS 7) | 4 Stunden (Redundanz-Failover) / 24 Stunden (Backup-Restore) | Kontrollierte Abschaltung, manuelle Sicherungsmaßnahmen |
| SIS | Muss immer verfügbar sein (redundant ausgelegt) | Sofortige Produktionseinstellung bei SIS-Ausfall |
| SAP ERP | 24 Stunden | Manuelle Auftragsbearbeitung per Papier |
| LIMS | 12 Stunden | Laborergebnisse manuell dokumentieren, manuelle Chargenfreigabe |
Der Plan wird in einer Tabletop-Übung getestet. Szenario: Ein Angreifer hat über einen kompromittierten Fernwartungszugang Zugriff auf das DCS erlangt. Die Anomalieerkennung schlägt Alarm, weil ungewöhnliche Schreibbefehle an PLCs gesendet werden. Ergebnis: Die Anlagenfahrer fahren die betroffenen Anlagen kontrolliert herunter. Der IT-Leiter isoliert das OT-Netz vom Internet. Die Meldekette (BSI, Immissionsschutzbehörde, Geschäftsführung) wird ausgelöst. Zeitbedarf bis zur sicheren Abschaltung: 25 Minuten. Verbesserungspotenzial: Ein vordefiniertes Netzwerk-Isolationsskript würde die Reaktionszeit auf unter 5 Minuten senken.
Phase 5: Audit und kontinuierliche Verbesserung (Monat 10-12)
Internes Audit: Systematische Prüfung aller NIS2-Mindestmaßnahmen, Abgleich mit Störfall-VO-Anforderungen und IEC-62443-Empfehlungen.
Feststellungen des Audits:
- Zwei Engineering Stations im OT-Netz laufen auf Windows 7 und sind nicht migrierbar, weil die PCS-7-Version 9.0 Windows 10 nicht unterstützt. Kompensatorische Maßnahme: Maximale Netzwerkisolation, kein USB, kein Internetzugang. Mittelfristig: Migration auf PCS 7 V9.1 oder PCS neo im nächsten Turnaround einplanen.
- Die HAZOP-Studie berücksichtigt Cyber-Bedrohungen bislang nur für die Reaktoren, nicht für die Tanklagersteuerung. Korrekturmaßnahme: HAZOP-Erweiterung für das Tanklager im nächsten Quartal.
- Der Business-Continuity-Plan für den SAP-Ausfall wurde noch nicht praktisch geübt. Korrekturmaßnahme: Tabletop-Übung planen.
Management-Review: Die Geschäftsführung genehmigt den Restrisiko-Katalog, das Budget für das Folgejahr (Schwerpunkt: DCS-Migration, OT-Monitoring-Ausbau) und den Schulungsplan.
Budget-Übersicht
| Position | Einmalig (Jahr 1) | Jährlich (ab Jahr 2) |
|---|---|---|
| Externe Beratung (ISMS + OT-Security) | 40.000-60.000 € | 12.000-18.000 € |
| Netzwerksegmentierung (Purdue-Modell) | 30.000-50.000 € | 3.000-5.000 € |
| OT-Anomalieerkennung | 25.000-40.000 € | 8.000-12.000 € |
| Fernwartungs-Absicherung (Jump-Host, Recording) | 8.000-12.000 € | 3.000-4.000 € |
| MFA und Zugriffskontrolle | 5.000-8.000 € | 2.500-3.500 € |
| Schulungen | 6.000-10.000 € | 4.000-6.000 € |
| ISB-Zeitanteil (intern, 50 %) | 32.000-38.000 € | 32.000-38.000 € |
| Gesamt | 146.000-218.000 € | 64.500-86.500 € |
Nicht enthalten sind die Kosten für die DCS-Migration (PCS 7 auf aktuelle Version oder PCS neo), die als Investitionsprojekt separat budgetiert werden muss. Diese Migration ist allerdings nicht nur eine NIS2-Anforderung, sondern auch aus der Perspektive der Störfall-Verordnung und der Anlagenverfügbarkeit sinnvoll. Zum Vergleich: ISMS Lite kostet 500 Euro im Jahr und deckt Risikomanagement, Maßnahmentracking, Richtlinien und Audit-Dokumentation in einem Tool ab, ohne Seat-Lizenzen.
Was du jetzt tun solltest
Wenn du in der Chemieindustrie tätig bist und NIS2 umsetzen musst, sind folgende erste Schritte entscheidend:
-
OT-Asset-Inventar erstellen. Bevor du irgendetwas anderes tust, musst du wissen, was du hast. Welche Prozessleitsysteme, welche PLCs, welche Safety-Systeme, welche Fernwartungszugänge? In vielen Chemiebetrieben ist dieses Wissen nicht zentral dokumentiert, sondern auf den Automatisierungstechniker und die Anlagenhersteller verteilt.
-
Netzwerksegmentierung prüfen. Ist dein OT-Netz vom IT-Netz getrennt? Gibt es unkontrollierte Verbindungen? Ist das Safety System physisch isoliert? Die Netzwerksegmentierung ist die wirksamste Einzelmaßnahme, und Defizite hier sind das größte Risiko.
-
Störfall-VO und NIS2 zusammendenken. Wenn du ein Sicherheitsmanagementsystem nach Störfall-Verordnung betreibst, nutze es als Grundlage für das ISMS. Ergänze die Gefahrenanalyse um Cyber-Bedrohungen und verknüpfe die Notfallpläne.
-
Fernwartungszugänge sofort prüfen. Sind Fernwartungszugänge permanent aktiv? Werden sie überwacht? Werden Sitzungen aufgezeichnet? Hier kannst du oft mit wenig Aufwand das Risiko deutlich senken.
Die Chemieindustrie operiert an der Schnittstelle von IT-Sicherheit und physischer Sicherheit. Ein ISMS, das nur die Büro-IT abdeckt und die Prozessleittechnik ignoriert, erfüllt weder die NIS2-Anforderungen noch schützt es das Unternehmen vor den schwerwiegendsten Risiken. Der Schlüssel liegt darin, IT und OT als integriertes Ganzes zu betrachten und die vorhandenen Sicherheitsstrukturen der Störfall-Verordnung als Fundament zu nutzen.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2 für Maschinenbau und produzierende Unternehmen
- Risikobewertung im ISMS: Methoden, Kriterien und Praxisbeispiele
- Netzwerksegmentierung im Mittelstand: Praxisleitfaden für KMU
- NIS2-Meldefristen im Überblick: 24h, 72h, 1 Monat - was wann fällig ist