Der BSI-Standard 200-3 beschreibt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Für die Übertragung einer Risikoanalyse nach IT-Grundschutz auf OT-Systeme bildet dieser BSI-Standard damit eine gute Grundlage. Während viele der elementaren Gefährdungen bei IT und OT auftreten können, sind bei der Bewertung der Risiken und bei der Definition von Maßnahmen zur Risikominderung Unterschiede zu erwarten.
Der Prozess der Risikoanalyse
Schritte zur Bestimmung der OT-Risiken
Der IT-Grundschutz beziehungsweise der BSI-Standard 200-3 sieht das bekannte Vorgehen des Risikomanagements vor, also Identifikation von Risiken (Risk Identification), Analyse von Risiken (Risk Analysis) und Evaluation oder Bewertung von Risiken (Risk Evaluation).
Im Detail werden als Prozess zur Risikoanalyse diese Schritte vorgesehen:
- Gefährdungsübersicht (Erstellung einer Liste von möglichen elementaren Gefährdungen sowie Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben)
- Risikoeinstufung (Risikoeinschätzung (Ermittlung von Eintrittshäufigkeit und Schadenshöhe), Risikobewertung (Ermittlung der Risikokategorie))
- Risikobehandlung (Risikovermeidung, Risikoreduktion (Ermittlung von Sicherheitsmaßnahmen), Risikotransfer, Risikoakzeptanz)
- Sicherheitskonzept (Integration der aufgrund der Risikoanalyse identifizierten zusätzlichen Maßnahmen)
Gerade bei den Schritten der Risikoeinstufung, Risikobehandlung und bei dem Sicherheitskonzept müssen die Besonderheiten von OT (Betriebstechnologie) im Vergleich zur IT (Informationstechnologie) bedacht werden.
Schutzziele und Einstufung der Relevanz und Wirkung
Durch die Risiken sind grundsätzlich die Schutzziele der Verfügbarkeit, Integrität und/oder Vertraulichkeit gefährdet. Die Risikoanalyse nach BSI-Standard 200-3 sieht vor, dass einer elementaren oder zusätzlichen Gefährdung ein bedrohtes Schutzziel zugeordnet wird, der elementaren Gefährdung „Feuer“ zum Beispiel die Verfügbarkeit der Daten.
Zu prüfen ist dann, ob dies für das jeweilige OT-System relevant ist oder nicht. Dabei muss auch bedacht werden, ob sich die Gefährdung direkt oder indirekt auswirken kann (Wirkung). Gleichzeitig muss das Schutzziel bewertet werden. Ist das Schutzziel Verfügbarkeit im jeweiligen Fall zum Beispiel als hoch, mittel oder gering einzustufen.
Risikoeinstufung: Eintrittswahrscheinlichkeit und mögliche Schadenshöhe
Der BSI-Standard 200-3 nutzt die bekannten Faktoren der Eintrittswahrscheinlichkeit und möglichen Schadenshöhe. Dabei unterscheidet der BSI-Standard:
- Eintrittshäufigkeit: selten, mittel, häufig, sehr häufig
- Potenzielle Schadenshöhe: vernachlässigbar, begrenzt, beträchtlich, existenzbedrohend
Die genauen Definitionen finden sich in dem BSI-Standard 200-3.
Für die Übertragung auf OT-Systeme ist es wichtig, dass zum Beispiel die mögliche Schadenshöhe bei einem OT-System und einem IT-System durchaus unterschiedlich sein kann, da die Einsatzszenarien verschieden sind. So kann ein Schaden im OT-Bereich durchaus auch Leib und Leben von Menschen betreffen, im IT-Bereich ist dies eher kaum anzutreffen.
Wichtig: Mögliche Schäden bei OT bedenken
Es zeigt sich: Es gibt viele Parallelen bei der Risikoanalyse für IT-Systeme und OT-Systeme, aber auch Unterschiede in den konkreten Schutzzielen, was gerade bei Vertraulichkeit sichtbar wird, die im IT-Bereich deutlich stärker als Schutzziel anzutreffen ist als im OT-Bereich, in dem die Verfügbarkeit eine dominierende Rolle spielen kann.
Ein weiterer, wesentlicher Unterschied ist die Art möglicher Schäden: In der IT steht oftmals der Datenverlust oder der mögliche Datenmissbrauch im Mittelpunkt, in der OT kann es auch um den Verlust an Menschenleben gehen.
Weiterführende Links
BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html
BSI-Standard 200-3 Risikomanagement
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html
IT-Grundschutz-Kompendium des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html