Da viele Unternehmen noch keine Erfahrung haben mit Risikobewertungen im Umfeld der industriellen Cybersicherheit, kann ein einfaches Beispiel hilfreich sein, um zu sehen, zu welchen Ergebnissen die ersten Schritte der Risikobeurteilung kommen können. Dies soll in knapper Form für den Fall eines Ransomware-Angriffs erfolgen. Ransomware-Attacke auf Industrial Automation and Control Systems (IACS) Bestimmung des Ransomware-Risikos… » weiterlesen
Kategorie: Cybersecurity
Für die Cybersicherheit zur Erkennung und Abwehr von Cyberattacken ist die Sicherheit in der IT (Informationstechnologie) und in der OT (Operational Technology, Betriebstechnologie) erforderlich. Dabei unterscheiden sich IT-Sicherheit und OT-Sicherheit in vielen Punkten. Sicherheitskonzepte müssen beides beachten.
Die Risikobeurteilung für Industrial Automation and Control Systems (IACS) kann anspruchsvoll sein und bedarf geeigneter Ressourcen und Hilfestellungen. Bevor man also eine Risikobewertung angeht, sollten zuerst die Voraussetzungen geklärt und sichergestellt sein. Zentral sind Personen mit dem erforderlichen Know-how in industrieller Cybersicherheit sowie unterstützende Lösungen für ein Risikomanagement. Eine spezielle Gefährdungsbeurteilung Herausforderung Fachkräftemangel in der… » weiterlesen
Die Normenreihe IEC 62443 bietet Orientierung für den sicheren Betrieb von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS). Um dem Risiko angemessene Schutzmaßnahmen definieren und ergreifen zu können, müssen die IACS-Risiken bestimmt werden. Auch hierzu liefert die Normenreihe IEC 62443 Hilfestellung. Der Weg zu passenden Sicherheitsanforderungen und -maßnahmen Risikoanalyse als Basis der… » weiterlesen
Die Normenreihe IEC 62443 beschreibt, wie Betreiber, Integratoren und Hersteller angemessene Cybersicherheitsmaßnahmen für industrielle Automatisierungssysteme (Industrial Automation and Control Systems, IACS) auswählen und einsetzen. Dabei ist das Modell Defense-in-Depth von besonderer Bedeutung. Schutz für IACS mit Defense-in-Depth Ganzheitlicher Schutz für industrielle Automatisierungssysteme Defense-in-Depth als umfassender Ansatz zum Schutz vor Cyberangriffen gilt als Basis der Sicherheitsmodelle,… » weiterlesen
Mit Hilfe der Norm IEC 62443 (Industrial Communication Networks – Networks and System Security) können Betreiber, Integratoren und Hersteller spezifische Sicherheitskonzepte für industrielle Automatisierungssysteme (Industrial Automation and Control Systems, IACS) entwickeln. Dabei hilft die Einführung von Security-Level sowie von Zonen und Übergängen in der Architektur der zu schützenden IACS. Die Sicherheitsmaßnahmen nach EN IEC 62443-Reihe… » weiterlesen
Die Norm IEC 62443 (Industrial Communication Networks – Networks and System Security) ist ein international anerkannter Standard im Bereich Industrial Security der Prozess- und Automatisierungsindustrie. Unternehmen können unter Anwendung der Norm mögliche Sicherheitsschwachstellen ihrer Steuerungs- und Leittechnik identifizieren und beheben. Auf Basis der Normenreihe IEC 62443 lässt sich nachweisen, dass Hersteller, Betreiber und Integratoren angemessene… » weiterlesen
Bei der Risikobeurteilung für OT-Systeme und ihre Komponenten müssen auch die zusätzlichen Gefährdungen betrachtet werden, die über die elementaren Gefährdungen hinausgehen. Dabei spielen insbesondere die Besonderheiten von OT und ihre Auswirkungen auf die Risiken eine Rolle. Zu den Leitlinien bei der Risikobeurteilung für Maschinen und Anlagen kann deshalb auch der BSI-Standard 200-3 gezählt werden. Branchenspezifische… » weiterlesen
Bei der Risikobeurteilung für OT-Systeme und ihre Komponenten können die sogenannten „Elementaren Gefährdungen nach IT-Grundschutz“ hilfreich sein, denn die meisten Gefährdungen, die grundlegend für IT-Systeme sind, können auch OT-Systeme betreffen. Entsprechend kann der IT-Grundschutz auch als eine der Leitlinien bei der Risikobeurteilung für Maschinen und Anlagen gewertet werden. Unterstützung bei der Risikobeurteilung Risikoanalyse und IT-Grundschutzanalyse… » weiterlesen
Der BSI-Standard 200-3 beschreibt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Für die Übertragung einer Risikoanalyse nach IT-Grundschutz auf OT-Systeme bildet dieser BSI-Standard damit eine gute Grundlage. Während viele der elementaren Gefährdungen bei IT und OT auftreten können, sind bei der Bewertung der Risiken und bei der Definition von Maßnahmen zur Risikominderung Unterschiede zu… » weiterlesen
Der BSI-Standard 200-2 beschreibt eine Methodik für ein Management von Informationssicherheit und damit zur Umsetzung von IT-Grundschutz. Man kann auch sagen, der BSI-Standard 200-2 beschreibt die IT-Grundschutz-Methodik. Unterschieden werden dabei die „Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“. Der Prozess der Informationssicherheit Der Bezug zu OT-Systemen Der BSI-Standard 200-2 spricht bewusst von Informationssicherheit und nicht nur von IT-Sicherheit,… » weiterlesen