Kategorien
Cybersecurity

Elementare Gefährdungen nach IT-Grundschutz

Bei der Risikobeurteilung für OT-Systeme und ihre Komponenten können die sogenannten „Elementaren Gefährdungen nach IT-Grundschutz“ hilfreich sein, denn die meisten Gefährdungen, die grundlegend für IT-Systeme sind, können auch OT-Systeme betreffen. Entsprechend kann der IT-Grundschutz auch als eine der Leitlinien bei der Risikobeurteilung für Maschinen und Anlagen gewertet werden.

Der IT-Grundschutz kann auch als eine der Leitlinien bei der Risikobeurteilung für Maschinen und Anlagen gewertet werden.

Unterstützung bei der Risikobeurteilung

Risikoanalyse und IT-Grundschutzanalyse

Nicht nur der BSI-Standard 200-3 hilft dabei, eine Risikoanalyse und eine IT-Grundschutz-Analyse zu kombinieren. Auch die Elementaren Gefährdungen, die das IT-Grundschutz-Kompendium zusätzlich zu den IT-Grundschutz-Bausteinen enthält und beschreibt, sind eine wertvolle Hilfe für Risikobeurteilungen.

Elementare Gefährdungen

Die Elementaren Gefährdungen, die der IT-Grundschutz des BSI nennt, lassen sich gruppieren. Dies erleichtert eine strukturierte Risikobeurteilung für OT-Systeme:

  • Äußere Einwirkungen durch physikalische Kräfte (Feuer, ungünstige klimatische Bedingungen, Wasser, Verschmutzung, Staub, Korrosion)
  • Naturkatastrophen, Katastrophen im Umfeld und Großereignisse im Umfeld
  • Versorgungsrisiken (Ausfall oder Störung der Stromversorgung, Ausfall oder Störung von Kommunikationsnetzen, Ausfall oder Störung von Versorgungsnetzen, Ausfall oder Störung von Dienstleistern)
  • Risiko durch Strahlung / Abstrahlung (Elektromagnetische Störstrahlung, Abfangen kompromittierender Strahlung, Ausspähen von Informationen (Spionage), Abhören)
  • Diebstahlrisiken (Diebstahl von Geräten, Datenträgern oder Dokumenten)
  • Verlustrisiken (Verlust von Geräten, Datenträgern oder Dokumenten)
  • Organisatorische Risiken (Fehlplanung oder fehlende Anpassung, Offenlegung schützenswerter Informationen, Informationen oder Produkte aus unzuverlässiger Quelle, Ressourcenmangel, Verstoß gegen Gesetze oder Regelungen, Unberechtigte Nutzung oder Administration von Geräten und Systemen, Fehlerhafte Nutzung oder Administration von Geräten und Systemen, Missbrauch von Berechtigungen, Personalausfall)
  • Manipulationen (Manipulation von Hard- oder Software, Manipulation von Informationen)
  • Physisches Einwirken (Unbefugtes Eindringen in Räumlichkeiten, Unbefugtes Eindringen in Systeme, Zerstörung von Geräten oder Datenträgern, Ausfall von Geräten oder Systemen, Fehlfunktion von Geräten oder Systemen)
  • Software-Risiken (Software-Schwachstellen oder -Fehler)
  • Kriminalität (Anschlag, Nötigung, Erpressung oder Korruption, Identitätsdiebstahl, Abstreiten von Handlungen, Missbrauch personenbezogener Daten)
  • Cyberattacken (Schadprogramme, Verhinderung von Diensten (Denial of Service), Sabotage, Social Engineering, Einspielen von Nachrichten)
  • Informationsrisiken (Datenverlust, Integritätsverlust schützenswerter Informationen )

Beispiel „Unbefugtes Eindringen in IT-Systeme“

Der IT-Grundschutz spricht von der elementaren Gefährdung, dass Unbefugte in ein IT-System eindringen könnten. Grundsätzlich besteht dieses Risiko auch bei OT-Systemen. Werden bei OT-Systemen bestimmte Dienste an Berechtigungen geknüpft, besteht das Risiko, dass auch Unbefugte versuchen könnten, diese Dienste zu verwenden, obwohl sie keine Berechtigung dafür haben.

So gilt das von dem BSI genannte Beispiel, dass über unzureichend gesicherte Fernwartungszugänge Hacker unerlaubt auf IT-Systeme zugreifen könnten, ebenso für OT-Systeme.

Beispiel „Missbrauch personenbezogener Daten“

Wenn der IT-Grundschutz einen Missbrauch personenbezogener Daten als elementare Gefährdung bei der Verwendung von IT-Systemen nennt, sollte man nicht davon ausgehen, dass dies bei OT-Systemen keine Rolle spiele.

Zum einen melden sich Nutzende auch bei OT-Systemen an, so dass ihre Nutzungsdaten durch Dritte ausgespäht und missbraucht werden könnten.

Zudem sind viele „Maschinendaten“ nur scheinbar ohne jeden Personenbezug. Vielfach können Maschinendaten direkt oder indirekt mit personenbezogenen Daten in Verbindung gebracht werden. Solche „personenbeziehbaren“ Daten unterliegen aber auch dem Datenschutz (nach Datenschutz-Grundverordnung, DSGVO) und können ebenfalls missbraucht werden, um zum Beispiel unerlaubt Profile von Nutzenden zu erstellen.

Ein Beispiel wäre hier eine unerlaubte Leistungs- und Verhaltenskontrolle bei einem Maschinenführer, die über die Auswertung von auf ihn beziehbaren Maschinendaten versucht wird.

BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html

IT-Grundschutz-Kompendium des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

BSI-Standards
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html

Elementare Gefährdungen nach IT-Grundschutz
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.html

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.