Open Access

Anika Jaindl

• Industrielle Steuerungssysteme und somit die Operational Technology (OT) werden immer verletzlichere Angriffsziele. Da Industrieanlagen, ebenso Tunnelanlagen, größtenteils mit der Office-IT vernetzt sind und häufig auch eine Verbindung zum Internet aufweisen, besteht ein Fernzugriff, der ausgenutzt werden kann. Zusätzlich besteht die Möglichkeit, dass ein Eindringen über die physischen Schnittstellen stattfindet. Daher müssen für einen gesamtheitlichen Schutz entsprechende OT-Security-Prozesse angewendet werden. Das Ziel dieser Arbeit ist die Verbesserung der zurzeit von der Dürr Austria GmbH verwendeten OT-Security-Prozesse in Tunnelsteuerungssystemen. Dazu werden die Informationssicherheit, mögliche Attacken und Angreifer*innen, sowie anwendbare Normen und Standards evaluiert. Der Fokus liegt dabei auf der IEC 62443, der Norm für die IT-Sicherheit für Netze und Systeme. Die zurzeit angewendeten OT-Security-Prozesse werden definiert und darauf aufbauend Optimierungen aus den anwendbaren Teilen der IEC 62443 analysiert. Weitere Security-Maßnahmen werden mithilfe von ergänzenden Standards erforscht. Als Resultat werden die gefundenen Verbesserungsmaßnahmen zusammengeführt, um eine Integration in die Prozesse zu ermöglichen. Auf dieser gesamtheitlichen Basis wird das Defense-in-Depth-Modell definiert. Die Ergebnisse dieser Arbeit werden in den bestehenden Informationssicherheitsprozess des Unternehmens betreffend der Tunnelsteuerungssysteme integriert.
• Industrial control systems and therefore the Operational Technology (OT) have become more vulnerable goals for attackers. Due to the fact that these systems are linked with the Office IT and partly with the Internet hacking can occur easily. Additionally, the infiltration of the physical interfaces in the critical infrastructure of tunnels needs to be considered. For a holistic protection of the systems, defined OT security processes are inevitable. The aim of this master thesis is to enhance the current OT security processes in tunnel control systems of Dürr Austria GmbH. Therefore, information security, possible attacks and attackers, as well as potentially usable standards with focus on the IEC 62443, which deals with security for industrial automation and control systems, are evaluated. The currently used OT security processes are defined and optimization processes resulting from the applicable parts of the IEC 62443 are analysed. Further security actions were found in additional standards. All the results of the various standards are merged for a uniform integration in the processes resulting in the creation of a holistic defence in depth model. The recommended measurements will be integrated in the organisation’s existing information security process regarding the tunnel control systems.