Kategorien
Cybersecurity

Risikoanalyse nach IT-Grundschutz

Der BSI-Standard 200-3 beschreibt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Für die Übertragung einer Risikoanalyse nach IT-Grundschutz auf OT-Systeme bildet dieser BSI-Standard damit eine gute Grundlage. Während viele der elementaren Gefährdungen bei IT und OT auftreten können, sind bei der Bewertung der Risiken und bei der Definition von Maßnahmen zur Risikominderung Unterschiede zu erwarten.

Übertragung einer Risikoanalyse nach IT-Grundschutz auf OT

Der Prozess der Risikoanalyse

Schritte zur Bestimmung der OT-Risiken

Der IT-Grundschutz beziehungsweise der BSI-Standard 200-3 sieht das bekannte Vorgehen des Risikomanagements vor, also Identifikation von Risiken (Risk Identification), Analyse von Risiken (Risk Analysis) und Evaluation oder Bewertung von Risiken (Risk Evaluation).

Im Detail werden als Prozess zur Risikoanalyse diese Schritte vorgesehen:

  • Gefährdungsübersicht (Erstellung einer Liste von möglichen elementaren Gefährdungen sowie Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben)
  • Risikoeinstufung (Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe), Risikobewertung (Ermittlung der Risikokategorie))
  • Risikobehandlung (Risikovermeidung, Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen), Risikotransfer, Risikoakzeptanz)
  • Sicherheitskonzept (Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen)

Gerade bei den Schritten der Risikoeinstufung, Risikobehandlung und bei dem Sicherheitskonzept müssen die Besonderheiten von OT (Betriebstechnologie) im Vergleich zur IT (Informationstechnologie) bedacht werden.

Schutzziele und Einstufung der Relevanz und Wirkung

Durch die Risiken sind grundsätzlich die Schutzziele der Verfügbarkeit, Integrität und/oder Vertraulichkeit gefährdet. Die Risikoanalyse nach BSI-Standard 200-3 sieht vor, dass einer elementaren oder zusätzlichen Gefährdung ein bedrohtes Schutzziel zugeordnet wird, der elementaren Gefährdung „Feuer“ zum Beispiel die Verfügbarkeit der Daten.

Zu prüfen ist dann, ob dies für das jeweilige OT-System relevant ist oder nicht. Dabei muss auch bedacht werden, ob sich die Gefährdung direkt oder indirekt auswirken kann (Wirkung). Gleichzeitig muss das Schutzziel bewertet werden. Ist das Schutzziel Verfügbarkeit im jeweiligen Fall zum Beispiel als hoch, mittel oder gering einzustufen.

Risikoeinstufung: Eintrittswahrscheinlichkeit und mögliche Schadenshöhe

Der BSI-Standard 200-3 nutzt die bekannten Faktoren der Eintrittswahrscheinlichkeit und möglichen Schadenshöhe. Dabei unterscheidet der BSI-Standard:

  • Eintrittshäufigkeit: selten, mittel, häufig, sehr häufig
  • Potenzielle Schadenshöhe: vernachlässigbar, begrenzt, beträchtlich, existenzbedrohend

Die genauen Definitionen finden sich in dem BSI-Standard 200-3.

Für die Übertragung auf OT-Systeme ist es wichtig, dass zum Beispiel die mögliche Schadenshöhe bei einem OT-System und einem IT-System durchaus unterschiedlich sein kann, da die Einsatzszenarien verschieden sind. So kann ein Schaden im OT-Bereich durchaus auch Leib und Leben von Menschen betreffen, im IT-Bereich ist dies eher kaum anzutreffen.

Wichtig: Mögliche Schäden bei OT bedenken

Es zeigt sich: Es gibt viele Parallelen bei der Risikoanalyse für IT-Systeme und OT-Systeme, aber auch Unterschiede in den konkreten Schutzzielen, was gerade bei Vertraulichkeit sichtbar wird, die im IT-Bereich deutlich stärker als Schutzziel anzutreffen ist als im OT-Bereich, in dem die Verfügbarkeit eine dominierende Rolle spielen kann.

Ein weiterer, wesentlicher Unterschied ist die Art möglicher Schäden: In der IT steht oftmals der Datenverlust oder der mögliche Datenmissbrauch im Mittelpunkt, in der OT kann es auch um den Verlust an Menschenleben gehen.

BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html

BSI-Standard 200-3 Risikomanagement
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html

IT-Grundschutz-Kompendium des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.