Kategorien
Cybersecurity

IT-Grundschutz für OT-Systeme

Das IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert über die unterschiedlichen Gefahren im Bereich Informationssicherheit und nennt Schritte zur Absicherung von Netzen und Daten. Dabei hilft es bei dem Aufbau eines Managementsystems zur Informationssicherheit (ISMS). Trotz der Bezeichnung IT-Grundschutz spielt das Kompendium nicht nur in der IT (Informationstechnologie), sondern auch in der OT (Operational Technology, Betriebstechnologie) eine zunehmend wichtige Rolle.

Definitionen

IT-Grundschutz des BSI

Der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet Methoden, Anleitungen und Empfehlungen zur Absicherung von Daten, Systemen und Netzwerken. Der Anspruch des IT-Grundschutzes ist eine ganzheitliche Informationssicherheit, technisch, infrastrukturell, organisatorisch und personell. Dabei werden die Sicherheitsmaßnahmen nicht nur beschrieben, sondern in ein systematisches Vorgehen eingegliedert.

Zum IT-Grundschutz gehören mehrere Dokumentationen. Die sogenannten BSI-Standards enthalten die Beschreibung der Vorgehensweisen Basis-, Standard- und Kern-Absicherung, das sogenannte IT-Grundschutz-Kompendium dagegen die konkreten Sicherheitsanforderungen.

Der IT-Grundschutz ist zudem ein bewährter Standard für den Aufbau eines ISMS (Informationssicherheitsmanagementsystem). Mit einem ISO-27001-Zertifikat auf der Basis des IT-Grundschutzes kann belegt werden, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen.

Im Gegensatz zur klassischen IT (Informationstechnologie) hat die OT (Betriebstechnologie) andere Anforderungen an Schutzziele wie Verfügbarkeit, Integrität und Vertraulichkeit. Schutzmaßnahmen aus der Office-IT sind nur bedingt auf die OT übertragbar. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb neben dem IT-Grundschutz-Kompendium unter anderem ein ICS-Security-Kompendium veröffentlicht.

IT-Grundschutzkompendium

Trotz der Unterschiede zwischen OT und IT ist es sinnvoll und hilfreich, den IT-Grundschutz und das zugehörige, jährlich aktualisierte IT-Grundschutzkompendium so weit wie möglich auf den OT-Bereich zu übertragen.

Im IT-Grundschutz-Kompendium finden sich die sogenannten IT-Grundschutz-Bausteine. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss entsprechende Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine behandeln thematisch Bereiche von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).

IT-Grundschutzbausteine für OT

Der IT-Grundschutz ist zwar kein ausgesprochener OT-Grundschutz. Neben den IT-Grundschutzbausteinen, die sich auf IT-Systeme (SYS) fokussieren, gibt es aber auch solche, die neben der IT auch teilweise Aspekte für die OT behandeln, wie Infrastruktur (INF), wo unter anderem die Gebäudeautomation betrachtet wird, Netze und Kommunikation (NET), Anwendungen (APP), Detektion und Reaktion (DER) und Betrieb (OPS).

Weiterhin gibt es Bausteine für den IT-Grundschutz mit übergreifenden Charakter wie Sicherheitsmanagement (ISMS), Organisation und Personal (ORP) und Konzeption und Vorgehensweise (CON).

Schließlich gibt es die Bausteine aus der Reihe „Industrielle IT“ (IND), die hier explizit genannt werden sollen:

  • IND.1 Prozessleit- und Automatisierungstechnik
  • IND.2.1 Allgemeine ICS-Komponente
  • IND.2.2 Speicherprogrammierbare Steuerung (SPS)
  • IND.2.3 Sensoren und Aktoren
  • IND.2.4 Maschine
  • IND.2.7 Safety Instrumented Systems
  • IND.3.2 Fernwartung im industriellen Umfeld

Weiterführende Links

Sie haben eine Frage an einen erfahrenen CE-Berater?

Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

Individuelle Beratung anfordern