Am 21.05.2025 fand ein VUPinar (Online-Seminar des VUP – Verband unabhängiger Prüflaboratorien) zum Thema „IT-Sicherheit im Labor“ statt, bei dem sich die AUDITTRAILS Networks GmbH mit zwei Speakern beteiligt hat.
Grundlagen, Anforderungen und Entwicklungen zu Fragen der IT-Sicherheit in Industrie und Laboren
Unser Senior Consultant für Informationssicherheits-Managementsysteme (ISMS) und ISO27001-Lead-Auditor Thomas Schott hat das VUPinar mit seinem Vortrag „Grundlagen, Anforderungen und Entwicklungen zu Fragen der IT-Sicherheit in der Industrie und Laboren“ eröffnet und dabei einen praxisnahen Bezug zu den aktuell auf viele Labore zukommenden Anforderungen aus NIS-2 und der damit verbundenen Geschäftsführerhaftung genommen. Hierbei referenziert Thomas unter anderem auf den BSI-Lagebericht zur IT-Sicherheit in Deutschland 2023:
Kernaussage von Thomas: Die DIN EN ISO/IEC 27001 liefert einen idealen Rahmen für die Erfüllung der kommenden gesetzlichen NIS-2-Anforderungen zum Aufbau eines ISMS. Der Anhang A der DIN EN ISO/IEC 27001 (ausformuliert in der DIN EN ISO/IEC 27002) stellt eine umfassende Sammlung möglicher Maßnahmen zur Stärkung der Resilienz gegen Angriffe auf Unternehmen dar.
Abseits der NIS-2-Richtlinie formulieren auch zahlreiche weitere interessierte Parteien – u. a. auch Cyberversicherungen und Banken – konkrete Anforderungen an Cyber-Security, die teilweise branchenspezifisch formuliert werden: „Die OEM’s in der Automobilindustrie geben heute bereits die Anforderungen an IT- und Informationssicherheit durch den TISAX®-Katalog (verwandte Anforderungen zur DIN EN ISO/OEC 27001) entlang der Lieferkette weiter – es ist eine Frage der Zeit, bis sich dieses Durchreichen auf alle Branchen erstreckt!“ – so Thomas Schott. Konformitätsbewertungsstellen, die Bauteile für die Automobilindustrie prüfen, sind dabei bereits heute betroffen.
IT- und Cyber-Sicherheit in Konformitätsbewertungsstellen – eine Betrachtung aus Sicht der Akkreditierung
Ing. Prof. Dr. iur. Raoul Kirmes, Leiter des Stabsbereiches für Akkreditierungs-Governance, Forschung und Innovation der Deutschen Akkreditierungsstelle (DAkkS), nahm in seinem Vortrag „IT- und Cybersicherheit in Konformitätsbewertungsstellen – eine Betrachtung aus Sicht der Akkreditierung“ das Thema aus der DAkkS-Perspektive unter die Lupe. Wie bereits in unserem Blogbeitrag zur Akkreditierungskonferenz AKKKO 2023 berichtet, positioniert sich die DAkkS zur Anwendung der DIN EN ISO/IEC 27001 – insbesondere zur Umsetzung des Kapitels 7.11 der DIN EN ISO/IEC 17025. Die DIN EN ISO 15189 nennt die DIN EN ISO/IEC 27001 und den Annex A bereits explizit als geeignete Maßnahmenreferenz zur Informationssicherheit, sodass die DIN EN ISO/IEC 27001 – immerhin der internationale Goldstandard der Informationssicherheit – bei beiden genannten Normen eine relevante Rolle spielt.
Herr Professor Kirmes zeigte in seinem Vortrag eindrücklich, dass die IT- und Cyber-Sicherheit in Konformitätsbewertungsstellen in Bezug auf die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität der Daten eine wichtige Anforderung darstellt. Dazu kommen aus den zugrundeliegenden Level 3 Normen noch die Anforderungen an Schutzziele wie Vollständigkeit und Richtigkeit, Zeitgerechtigkeit und Ordnung, Nachvollziehbarkeit sowie Nichtabstreitbarkeit, Revisionssicherheit oder messtechnische Korrektheit. Herr Professor Kirmes schränkte in Bezug auf die Begutachtung akkreditierter Laboratorien die Umsetzung der Maßnahmen der DIN EN ISO/IEC 27001 auf die für die DAkkS relevanten konformitätbewertungsbezogenen Informationssysteme ein.
IT- und Cyber-Sicherheit im Prüf- und Kalibrierlabor: Handlungsbedarf und Handlungsmöglichkeiten
Was für die praktische Umsetzung der DIN EN ISO/IEC 27001 im Labor wichtig ist, zeigte unser Gründer und Geschäftführer Alexander Frenzl abschließend in seinem Vortrag. Alexander griff dabei konkrete Beispiele auf, z.B. die sichere und personenbezogene Authentifizierung im Rahmen der Systemzugangssteuerung. Er verwies darauf, dass die Anforderungen eigentlich nicht neu sind und dass die DAkkS heute schon im Rahmen der Festlegung der einzureichenden Unterlagen eine Liste der IT-Systeme im akkreditierten Bereich fordert. Diese sind im Prinzip die konformitätsbewertungsbezogenen Informationssysteme eines Labors. Es wird jedoch häufig vergessen, dass man nicht nur die Messrechner, Mess-Software, LIMS- oder ERP-Systeme betrachten muss, sondern auch die gesamte Infrastruktur, die zur Bereitstellung benötigt wird – dies betrifft also auch die Arbeitsplatzrechner, die prüfmittelbezogenen Software-Systeme, Server, Festplatten, mobile Datenträger, Mobiltelefone, Serverräume, Klimaanlagen uvm. – eine ganzheitliche Betrachtung dieser Systeme stellt dabei einen kritischen Erfolgsfaktor für die eigene Informationssicherheit dar!
Wie in der DIN EN ISO/IEC 17025 oder der DIN EN ISO 15189 verlangt, ist auch bei der Informationssicherheit ein risikobasierter Ansatz umzusetzen. Nach der Feststellung der konformitätsbewertungsbezogenen Informationssysteme hilft das BSI Grundschutz Kompendium mit seinem Katalog zu elementaren Gefährdungen, potentielle Risiken zu identifizieren und für die konformitätsbewertungsrelevanten Systeme zu bewerten.
Weiterhin verwies Alexander auf die Anforderungen an Software-Hersteller aus der technischen Richtlinie TR-03183: Cyber Resilience Requirements for Manufacturers and Products. Diese dient dem Anwender eines Softwaresystems zur Feststellung, ob ggf. Programmbestandteile verwendet werden, die bekannte, gemeldete Schwachstellen aufweisen. Diese Software-BOM ist für jede Version der Software zu erstellen.
Für Laboratorien wird es in Zukunft relevant werden, solche – flächendeckend noch unbekannten – Sachverhalte bei der Auswahl von Software im Unternehmen zu berücksichtigen. Software-BOMs gehören zu den zentralen Forderungen des europäischen Cyper Resilience Act (CRA), auch in den AUDITTRAILS-Software-Umgebungen sind diese Informationen zu finden.
Alexander zeigte außerdem Möglichkeiten einer digitalen Risikobewertung entlang des Katalogs zu elementaren Gefährdungen und schloss den hochinteressanten Vortrag mit einer konkreten Handlungsanleitung:
- Studieren Sie die Normen DIN EN ISO/IEC 27001 und 27002.
- Stellen Sie Ihre konformitätsbewertungsbezogenen Informationssysteme fest und katalogisieren Sie diese.
- Stellen Sie eine Anwendbarkeitserklärung entlang DIN EN ISO/IEC 27001 Anhang A auf und legen Sie fest, welche Maßnahmen auf Ihre konformitätsbewertungsbezogenen Informationssysteme anwendbar sind.
- Nehmen Sie die Anforderungen der Zertifizierung nach DIN EN ISO/IEC 27001 oder ggf. vergleichbarer Systeme (z.B. SOC2) in Ihre Lieferantenanforderungen für konformitätsbewertungsbezogene Systeme auf.
- Prüfen Sie, ob insbesondere die wichtigsten Partner und Lieferanten über ein entsprechendes Zertifikat verfügen – ACHTUNG: Viele „Cloud-Software-Anbieter“ verweisen darauf, Ihre Systeme in zertifizierten Rechenzentren zu betreiben. Dies ist nicht mit einem zertifizierten Hersteller gleichzusetzen. Es ist ausgesprochen wichtig, beides zu beachten: Hersteller UND Rechenzentrum. Andernfalls ist die Wertschöpfungskette nicht durchgehend informationssicher.
- Identifizieren Sie (z.B. mit Hilfe des BSI-Katalogs „Elementare Gefährdungen“), welche Gefährdungen / Risiken auf Ihre konformitätsbewertungsbezogenen Systeme zutreffen.
- Katalogisieren und bewerten Sie Ihre Risiken.
- Planen Sie Risikobehandlungsmaßnahmen und führen Sie diese durch.
- Nehmen Sie die anwendbaren Belange zur Informationssicherheit mit in Ihre Programme für interne Audits und in die Managementbewertung auf.
- Bewerten Sie die Wirksamkeit Ihrer Maßnahmen und sorgen Sie für stetige Verbesserung.
*Alexander Frenzl, Geschäftsführer