Die NAMUR hat eine neue AK-Praxis zum Thema Patchmanagement veröffentlicht. Das Dokument wurde im Arbeitskreis 4.18 „Automation Security“ der Interessengemeinschaft Automatisierungstechnik der Prozessindustrie e.V. erarbeitet und stellt praxisnahe Handlungsempfehlungen für den sicheren Umgang mit Software- und Firmware-Patches in industriellen Automatisierungsumgebungen bereit.
Neue AK-Praxis „Patchmanagement“ richtet sich an Betreiber sowie IT/OT-Fachleute
Die AK-Praxis richtet sich insbesondere an Betreiber, OT-IT-Administrierende und verantwortliche Fachstellen in der Prozessindustrie. Im Fokus stehen Automatisierungssysteme, die hohen Anforderungen an Verfügbarkeit, Integrität und Sicherheit unterliegen. Ziel des Dokuments ist es, das sogenannte „Zeitfenster der Gefährdung“ zwischen Bekanntwerden einer Schwachstelle und der Installation eines geeigneten Patches möglichst zu verkürzen, ohne die Betriebssicherheit von Anlagen zu gefährden.
Inhaltlich beschreibt die Veröffentlichung zunächst die Grundlagen und den Anwendungsrahmen des Patchmanagements im Kontext industrieller Steuerungs- und Automatisierungssysteme. Darauf aufbauend werden Motivation und Zielsetzung erläutert sowie ein strukturierter Patchmanagement-Prozess vorgestellt. Dieser umfasst unter anderem Inventarisierung, Identifikation und Bewertung von Schwachstellen, Klassifizierung von Systemen, Patchbeschaffung, Verträglichkeitsprüfung, Freigabe, Installation sowie Kontrolle und Dokumentation im Rahmen eines Change-Managements.
Besondere Rahmenbedingungen der Prozessindustrie im Fokus
Ein weiterer Schwerpunkt liegt auf besonderen Randbedingungen in der Prozessindustrie, etwa bei Systemen mit langen Laufzeiten oder sehr hohen Verfügbarkeitsanforderungen. Spezielle Hinweise zum Patchen von Systemen der Automatisierungsebenen 0 und 1 sowie zu Alternativmaßnahmen wie Segmentierung, Härtung oder virtuellem Patchen ergänzen die Empfehlungen. Zudem wird der zunehmende Stellenwert von Automatisierung und Standardisierung, beispielsweise durch maschinenlesbare Security Advisories (CSAF), thematisiert.
Die AK-Praxis versteht sich als praxisorientierte Zusammenfassung von Erfahrungen aus dem Arbeitskreis und erhebt keinen Anspruch auf den Konsensgrad einer NAMUR-Empfehlung. Sie soll Betreibern dennoch eine strukturierte Orientierung für den sicheren und wirtschaftlichen Umgang mit Patches in der industriellen Automatisierung bieten.
Die gesamte AK-Praxis steht zum kostenfreien Download zur Verfügung:
Zum DownloadWeitere Informationen gibt es unter www.namur.net.
