Safari durch den Cyberdschungel – Branchenspezifische Standards in der Informationssicherheit

Im ersten Teil unserer Serie haben wir uns mit den allgemeinen Normen und Standards in der Informationssicherheit beschäftigt – dem Kompass, der Unternehmen Orientierung im dichten Regelwerk-Dschungel bietet. Doch was geschieht, wenn wir tiefer in den Dschungel eindringen? Dort warten nicht nur exotische Tiere, sondern auch sehr unterschiedliche Lebensräume – und genauso verhält es sich mit den Branchen: Jede hat ihre eigenen Risiken, Bedrohungen und Regeln. Genau hier kommen branchenspezifische Standards ins Spiel. Denn eines ist klar: Informationssicherheit ist keine Einheitslösung.

Auf dieser Safari durch die Welt der branchenspezifischen Standards zeigen wir, welche „Revierkarten“ es gibt. Ziel ist es, Unternehmen dabei zu unterstützen, die für sie relevanten Standards zu identifizieren und daraus konkrete Handlungsoptionen für ihre Sicherheitsstrategie abzuleiten.

Warum branchenspezifische Standards?

Branchenspezifische Standards sind wie maßgeschneiderte Ausrüstungen auf einer Expedition: Während der eine einen Kompass braucht, benötigt die andere eine Machete, um sich durch den Dschungel zu schlagen. Sie passen also perfekt zu den Anforderungen und Besonderheiten einer bestimmten Branche. Während allgemeine Normen wie ISO/IEC 27001 oder der BSI IT-Grundschutz eine solide Basis darstellen, gehen branchenspezifische Standards einen Schritt weiter. Sie berücksichtigen:

• Branchenspezifische Risiken: Jede Branche hat ihre eigenen Bedrohungen und spezifischen potenziellen Schwachstellen – z. B. Produktionsausfälle in der Industrie, Datenschutzverletzungen im Gesundheitswesen oder Betrugsrisiken im Zahlungsverkehr. Veraltete OT-Systeme, reger Telefonverkehr oder Tag der offenen Tür in der Fertigungshalle.

• Regulatorische Anforderungen: Viele Branchen unterliegen spezifischen gesetzlichen Vorgaben, die durch branchenspezifische Standards konkretisiert werden.

• Best Practices: Standards bündeln praxiserprobte Lösungen, die aus der Branche selbst stammen und das Know-how nachhalten.

Überblick über zehn wichtige branchenspezifische Standards

Automobilindustrie – TISAX (Trusted Information Security Assessment Exchange) 

Das schnelle Gepard-Revier der Prototypen und Zulieferketten

Die Automobilindustrie ist hochgradig vernetzt: Hersteller, Zulieferer und Dienstleister tauschen sensible Daten aus – Konstruktionspläne, Prototypen und Produktionsdaten wandern durch komplexe Lieferketten. Um einheitliche Sicherheitsstandards zu schaffen, wurde TISAX (Trusted Information Security Assessment Exchange) entwickelt. 

TISAX ist ein branchenspezifischer Standard, der von der Automobilindustrie entwickelt wurde und für alle beteiligten Unternehmen in der Wertschöpfungskette gilt. Er basiert auf der ISO/IEC 27001, ist jedoch speziell auf die Anforderungen der Branche zugeschnitten. TISAX wird von der ENX Association verwaltet und dient als einheitlicher Prüf- und Austauschmechanismus für Informationssicherheitsbewertungen. 
 

Warum ist TISAX wichtig? 

• Einheitliches Sicherheitsniveau in der Lieferkette: Stärkt das Vertrauen in der Lieferkette durch einheitliche Sicherheitsprüfungen – Automobilhersteller und Zulieferer tauschen sensible Daten aus, z. B. zu Prototypen oder Produktionsplänen. TISAX stellt sicher, dass alle Beteiligten ein einheitliches Sicherheitsniveau einhalten. 

• Effizienz: Anstatt mehrere Audits durchzuführen, können Unternehmen mit einer TISAX-Zertifizierung ihre Sicherheitsstandards einmalig nachweisen und diese mit Partnern teilen. 

Für wen ist TISAX relevant? 

TISAX richtet sich an alle Unternehmen, die in der Automobilindustrie tätig sind – vom großen OEM (Original Equipment Manufacturer) bis hin zum kleinen Zulieferer sowie jedem Dienstleister der Automobilindustrie. 

Industrie & Maschinenbau – IEC 62443

Der Silberrücken schützt die Industrieanlagen

In den hochvernetzten Produktionsumgebungen der Industrie 4.0 wächst die Angriffsfläche für OT-Systeme. IEC 62443 bietet den global anerkannten Rahmen für sichere Automatisierungssysteme. 

Die IEC 62443 ist ein internationaler Standard, der sich auf die Cybersicherheit in der Industrieautomation konzentriert. Sie deckt alle Aspekte der Sicherheit ab – von der Entwicklung sicherer Produkte bis hin zum Betrieb sicherer Systeme. 

Warum ist die IEC 62443 wichtig? 

• Schutz von OT-Systemen (Operational Technology) gegen Spionage und Sabotage. Die Normenreihe IEC 62443 wurde gezielt für die Absicherung von Systemen in der industriellen Automatisierung und Steuerung entwickelt – also für sogenannte OT-Umgebungen (Operational Technology). Ein zentraler Fokus liegt auf der Entwicklung und Integration sicherer Komponenten und Systeme. 

• Einheitliche Anforderungen an sichere Produktentwicklung (IEC 62443-4-1, 4-2): Die IEC 62443 stellt sicher, dass alle Beteiligten in der Lieferkette ein einheitliches Sicherheitsniveau für sichere Produktentwicklung und –integration einhalten. Besonders die Abschnitte IEC 62443-4-1 und 4-2 behandeln Anforderungen an die sichere Gestaltung und Herstellung von Produkten, die später in industriellen Anlagen zum Einsatz kommen, etwa Automatisierungssysteme oder Steuerungseinheiten. 

Für wen ist die IEC 62443 relevant? 

Die IEC 62443 richtet sich an Maschinenbauer, Automatisierungshersteller und Unternehmen, die vernetzte Produktionsanlagen und Steuerungssysteme einsetzen.

Maschinenbau & Robotik – ISO 10218 & Maschinenrichtlinie 2006/42/EG

Der Büffel – kraftvoll und unverzichtbar für die moderne Produktion, aber brandgefährlich, wenn er außer Kontrolle gerät.

Industrieroboter und Maschinen stehen im Zentrum moderner Produktion. Neben der IEC 62443 für OT-Sicherheit spielen im Maschinenbau auch klassische Safety-Normen eine große Rolle, die zunehmend Überschneidungen mit Informationssicherheit haben. Besonders wichtig sind die ISO 10218 (Sicherheit von Industrierobotern) und die Maschinenrichtlinie 2006/42/EG, die in der EU verpflichtend ist. 

Der Standard ISO 10218 bietet klare Vorgaben für die Sicherheit von Industrierobotern und deren Steuerungssystemen. Dabei gegliedert sich die ISO 10218 in zwei Teile: 

• Teil 1: Sicherheitsanforderungen für Industrieroboter selbst 

• Teil 2: Sicherheitsanforderungen für Robotersysteme und deren Integration 

Die Maschinenrichtlinie ist ein zentrales EU-Regelwerk, das die Sicherheit von Maschinen und Anlagen gewährleistet. Sie gilt für eine Vielzahl von Maschinen, die in unterschiedlichen Branchen zum Einsatz kommen, etwa im Maschinenbau.  Die Maschinenrichtlinie 2006/42/EG definiert grundlegende Sicherheitsanforderungen für Maschinen. Dabei wird die Maschinenrichtlinie durch Normen wie EN ISO 13849 (funktionale Sicherheit) ergänzt. 

 
Warum ist die ISO 10218 und Maschinenrichtlinie wichtig? 

• ISO 10218: definiert Sicherheitsanforderungen für Industrieroboter und deren Integration. 

• Maschinenrichtlinie: Voraussetzung für die CE-Kennzeichnung und enthält grundlegende Sicherheits- und IT-Schutzanforderungen. 

• Beide schlagen die Brücke zwischen Safety (Arbeitssicherheit) und Security (Schutz vor Manipulation und Missbrauch). 

Für wen ist die ISO 10218 & Maschinenrichtlinie relevant? 

Beide richten sich an Hersteller, Systemintegratoren und Betreiber von Maschinen und Robotern, also auch an Maschinenbauer und Unternehmen, die Industrieroboter  einsetzen.

Consumer-IoT-Geräte – ETSI EN 303 645

Der Papagei – bunt, laut und in vielen Wohnzimmern unterwegs

Mit der zunehmenden Vernetzung von Alltagsgeräten gewinnt die Absicherung des Internet of Things (IoT) bspw. Smart-Home-Produkte (vom Lichtschalter und Schließanlage bis zur Heizungssteuerung und Haushaltsgeräten) immer mehr an Bedeutung. Um dieser Entwicklung Rechnung zu tragen, wurde vom European Telecommunications Standards Institute (ETSI) der Standard ETSI EN 303 645 veröffentlicht. 

Dieser legt grundlegende Anforderungen an die IT-Sicherheit und den Datenschutz von IoT-Geräten im privaten Umfeld fest.  

Warum ist die ETSI EN 303 645 wichtig? 

• Schutz vor häufigen IoT-Bedrohungen: Die Norm adressiert typische Schwachstellen wie Standardpasswörter, unsichere Updates oder fehlende Datenverschlüsselung – und hilft so, Geräte sicherer zu gestalten. 

• Orientierung für Hersteller und Markttransparenz: Sie bietet Herstellern klare Mindestanforderungen und schafft Vertrauen bei Verbraucher:innen und Geschäftspartnern. 

Für wen ist die IEC 62443 relevant? 

Im Fokus stehen insbesondere Hersteller, denen die Norm als Orientierung dient, um bereits in der Entwicklung sicherheitsrelevante Aspekte zu berücksichtigen.

Gesundheitswesen – ISO/IEC 27799

Das Zebra – sensibel, verletzlich, auf gute Herdenstrukturen angewiesen.

Im Gesundheitswesen stehen besonders sensible Daten im Fokus: Patientendaten. Der Schutz dieser Daten ist nicht nur eine ethische Verpflichtung, sondern auch gesetzlich vorgeschrieben. Hier kommt die ISO/IEC 27799 ins Spiel. 

Die ISO/IEC 27799 ist ein internationaler Standard, der die Anforderungen der ISO/IEC 27001 auf das Gesundheitswesen anwendet. Sie bietet spezifische Leitlinien für den Schutz von Gesundheitsinformationen. 
 

Warum ist die ISO/IEC 27799 wichtig? 

• Datenschutz: Die ISO/IEC 27799 hilft Gesundheitsorganisationen, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. 

• Patientensicherheit – Verfügbarkeit und Sicherheit klinischer Systeme: Der Standard stellt sicher, dass IT-Systeme im Gesundheitswesen zuverlässig und sicher funktionieren. 

Für wen ist die ISO/IEC 27799 relevant? 

Die ISO/IEC 27799 richtet sich an alle Organisationen im Gesundheitswesen, z. B. Krankenhäuser, Arztpraxen, Labore und Krankenkassen. 

Energieversorgung – ISO/IEC 27019

Der Elefant – gewaltig, kritisch für das gesamte Ökosystem.

Die Energiebranche zählt zu den kritischen Infrastrukturen (KRITIS). ISO/IEC 27019 erweitert die ISO/IEC 27001 um spezifische Anforderungen für Prozesssteuerungssysteme in der Energieversorgung. 

Warum ist die ISO/IEC 27019 wichtig? 

• Schutz von SCADA- und Leitstellensystemen. 

• Erfüllung regulatorischer Vorgaben (EnWG, KRITIS-Verordnung). 

Für wen ist die ISO/IEC 27019 relevant? 

Die ISO/IEC 27019 richtet sich an Energieversorger, Netzbetreiber sowie Dienstleister im Energiesektor. 

Logistik & Lieferkette – GS1-Standards

Die Giraffe – mit Weitblick über die Lieferkette, aber verwundbar, wenn Angriffe die Verbindungslinien stören.

Die Logistik ist das Rückgrat vieler Branchen. Ohne sichere Lieferketten kann kein Unternehmen überleben. Hier kommen die GS1-Standards ins Spiel: Sie sorgen für einheitliche Identifikation, Datenaustausch (EDI) und Rückverfolgbarkeit – von Barcodes über RFID bis hin zu sicheren Schnittstellen. 

Warum wichtig? 

• Standardisierte Kommunikation entlang der Lieferkette (EDI, Barcodes). 

• Grundlage für sichere Datenübertragung und Authentizität von Warenströmen. 

• Reduziert Manipulations- und Betrugsrisiken in automatisierten Prozessen. 

Für wen relevant? 
Logistikdienstleister, Groß- und Einzelhandel, produzierende Unternehmen mit komplexen Lieferketten und hohem Automatisierungsgrad. 

Luftfahrt, Raumfahrt und Verteidigungsindustrie – EN 9100 (AS/EN/JISQ 9100)

Der Adler – hoch oben, mit strengsten Anforderungen an Sicherheit und Zuverlässigkeit.

Die Luftfahrt-, Raumfahrt- und Verteidigungsindustrie haben höchste Anforderungen an Sicherheit und Qualität. EN 9100 ist der branchenspezifische Standard, der das Qualitätsmanagement aus ISO 9001 um die spezifischen Anforderungen dieser Branchen erweitert – inklusive Informationssicherheit. 

Warum ist die EN 9100 wichtig? 

• Nachweisbare Sicherheit und Rückverfolgbarkeit. 

• Vertrauen in globalen Lieferketten. 

Für wen ist die EN 9100 relevant? 

Vergleichbar mit der TISAX in der Automobilindustrie, richtet sich die EN 9100 an alle Unternehmen, die in der Wertschöpfungskette der Luftfahrt-, Raumfahrt- und Verteidigungsindustrie tätig sind – bspw. vom Flugzeughersteller über Zulieferer bis hin zu Wartungsbetrieben. 

Handel & elektronischer Zahlungsverkehr – PCI DSS & PSD2

Die Antilope – agil, aber immer im Fokus von Angreifern.

• PCI DSS schützt Kreditkartendaten bei Verarbeitung, Speicherung und Übertragung. 

• PSD2 regelt europaweit den sicheren Zahlungsverkehr, inkl. starker Kundenauthentifizierung. 

Der Payment Card Industry Data Security Standard (PCI DSS) adressiert den Handel, denn im Handel sind Zahlungssysteme und Kundendaten besonders anfällig für Cyberangriffe. Dieses Regelwerk bietet klare Vorgaben, um diese Systeme abzusichern. Er ist ein internationaler Standard, der Anforderungen an die Sicherheit von Zahlungssystemen und die Verarbeitung von Kreditkartendaten festlegt. 

Die Zahlungsdienstrichtlinie PSD2 regelt den elektronischen Zahlungsverkehr innerhalb der Europäischen Union. Ein zentraler Aspekt ist die Öffnung der Zahlungsinfrastruktur für Drittanbieter (Third Party Providers, TPPs) unter hohen Sicherheitsanforderungen. Dabei setzt PSD2 auf starke Kundenauthentifizierung und sichert die Kommunikation zwischen Banken, Händlern und TPPs ab. Die Richtlinie definiert technische und organisatorische Maßnahmen, die Zahlungsdienstleister erfüllen müssen. 

Warum ist PCI DSS wichtig? 

• Schutz von Zahlungssystemen: Der Standard hilft, Kreditkartendaten vor unbefugtem Zugriff und Missbrauch zu schützen. 

• Regulatorische Compliance: PCI DSS unterstützt Unternehmen dabei, die gesetzlichen Anforderungen an die Sicherheit von Zahlungssystemen zu erfüllen. 

Warum ist PSD2 wichtig? 

• Erhöhte Sicherheit: PSD2 minimiert Betrugsrisiken Datenlecks durch starke Authentifizierung. 

• Innovation im Zahlungsverkehr: Öffnung für TPPs fördert neue Dienstleistungen wie Kontoinformationsdienste oder Zahlungsauslösedienste. 

• Verbraucherschutz: Stellt Transparenz und Rechte bei Zahlungstransaktionen sicher. 

Für wen ist PCI DSS & PSD2 relevant? 

Der PCI DSS richtet sich an Handelsunternehmen, die Kreditkartendaten verarbeiten, sowie an Dienstleister im Zahlungsverkehr. 

PSD2 betrifft Banken, Zahlungsdienstleister, Händler und TPPs, die Zahlungsdienste innerhalb der EU anbieten oder nutzen.

Bauindustrie – BIM-Standards

Das Nashorn – schwerfällig, aber schützenswert, wenn es um Baupläne geht.

Die Bauindustrie wird zunehmend digital. Mit Building Information Modeling (BIM) werden Bauprojekte digitalisiert – einerseits effizienter geplant und verwaltet aber andererseits auch angreifbarer. Denn die Digitalisierung bringt auch Sicherheitsrisiken für sensible Bau- und Projektdaten mit sich.  

Die BIM-Standards bieten klare Richtlinien, um diese zu schützen. Sie legen Anforderungen an die digitale Planung und Verwaltung von Bauprojekten fest. Sie enthalten Sicherheitsrichtlinien, die sicherstellen, dass Datenintegrität und Vertraulichkeit gewahrt bleiben. 

Warum sind BIM-Standards wichtig? 

• Schutz sensibler Baupläne und Projektdaten: Die Standards helfen, digitale Baupläne vor unbefugtem Zugriff und Manipulation zu schützen. 

• Effizienz und Sicherheit: BIM-Standards fördern die sichere Zusammenarbeit zwischen Architekten, Ingenieuren und Bauunternehmen. 

Für wen sind BIM-Standards relevant? 

BIM-Standards richten sich an Bauunternehmen, Architekten und Ingenieurbüros, die mit digitalen Bauplänen und Projektdaten arbeiten.

Fazit: Maßgeschneiderte Sicherheit für jede Branche

Unsere Safari durch die branchenspezifischen Standards hat gezeigt: Der Cyberdschungel besteht nicht aus einem einheitlichen Terrain – jede Branche ist ein eigenes Biotop mit spezifischen Gefahren und Anforderungen. Daher sind branchenspezifische Standards für einige Branchen unverzichtbar. Vom Zebra im Gesundheitswesen über die Antilope im Zahlungsverkehr bis hin zum Elefanten in der Energieversorgung – branchenspezifische Standards helfen, die passenden Schutzmechanismen einzusetzen. 

Der nächste Schritt? Finden Sie heraus, welche branchenspezifischen Standards für Ihr Unternehmen relevant sind, und nutzen Sie diese als Leitfaden für Ihre Sicherheitsstrategie. Denn eines ist sicher: Informationssicherheit ist keine Einheitslösung, sondern Maßarbeit. 

Mit Blick auf die kommenden EU-Regularien (z. B. NIS2, DORA) gilt: Aus freiwillig wird verbindlich. Der wachsende Einfluss anstehender EU-Regularien auf branchenspezifische Standards in der Informationssicherheit sollte dringend beachtet werden. Wer heute schon branchenspezifische Standards nutzt, ist für die Anforderungen von morgen bestens vorbereitet – und kann sicher durch den Cyberdschungel navigieren.

Diese News könnte Sie auch interessieren: