Kategorien
Cybersecurity

Schutzmaßnahmen nach IT-Grundschutz

Der BSI-Standard 200-2 beschreibt eine Methodik für ein Management von Informationssicherheit und damit zur Umsetzung von IT-Grundschutz. Man kann auch sagen, der BSI-Standard 200-2 beschreibt die IT-Grundschutz-Methodik. Unterschieden werden dabei die „Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“.

Umsetzung von IT-Grundschutz

Der Prozess der Informationssicherheit

Der Bezug zu OT-Systemen

Der BSI-Standard 200-2 spricht bewusst von Informationssicherheit und nicht nur von IT-Sicherheit, wie man bei einer Methodik für den IT-Grundschutz erwarten könnte. Explizit wird in dem Standard darauf hingewiesen, dass die Aufgabe der Informationssicherheit der angemessene Schutz der Grundwerte Vertraulichkeit, Integrität (Unverfälschtheit) und Verfügbarkeit aller Informationen ist.

Dazu gehöre auch die Absicherung der Informationsverarbeitung, also insbesondere der IT, so BSI-Standard 200-2. Darüber hinaus müssten aber auch die Systeme einbezogen werden, die häufig nicht unmittelbar als IT-Systeme wahrgenommen werden, wie beispielsweise ICS- und IoT-Systeme.

Damit wird erneut deutlich, dass sich der IT-Grundschutz in vielen Teilen zur Übertragung auf OT-Systeme eignet.

Die Schritte zur Informationssicherheit

Entsprechend ist es auch für OT-Systeme angeraten, die folgenden Schritte zum Aufbau und Erhalt der Informationssicherheit anzugehen, wie im BSI-Standard 200-2 dargelegt:

  • Initiierung des Sicherheitsprozesses (Übernahme der Verantwortung durch die Leitungsebene, Konzeption und Planung des Sicherheitsprozesses, Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen, Entscheidung für eine Vorgehensweise)
  • Informationssicherheitsmanagement mit IT-Grundschutz (Erstellung der Leitlinie zur Informationssicherheit, Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement, Erstellung einer Sicherheitskonzeption, Umsetzung der Sicherheitskonzeption)
  • Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit (Fortentwicklung des ISMS (Informationssicherheitsmanagementsystem), Erweiterung der gewählten Vorgehensweise)

Für die Konzeption der Informationssicherheit müssen im OT-Bereiche verschiedene Vorbereitungen getroffen werden:

  • Ersterfassung der Prozesse, Anwendungen und OT-Systeme (Gesamtübersicht)
  • Erfassung der relevanten Objekte (Was muss geschützt werden?)
  • Abschätzung des Sicherheitsniveaus, Erstellung eines grafischen Netzplans

Wahl der Absicherung

Der BSI-Standard 200-2 nennt drei verschiedene Vorgehensweisen oder Absicherungen, die „Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“. Diese definiert der Standard so:

  • Die Basis-Absicherung verfolgt das Ziel, als Einstieg in den IT-Grundschutz zunächst eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse bzw. Fachverfahren einer Institution (oder speziell im OT-Bereich) hinweg zu erlangen.
  • Über die Kern-Absicherung kann eine Institution als Einstieg in den IT-Grundschutz bzw. den Sicherheitsprozess zunächst besonders gefährdete Geschäftsprozesse und OT-Assets vorrangig absichern.
  • Die Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweise. Mit der Standard-Absicherung kann eine Institution umfassend und tiefgehend abgesichert werden.

ICS-Informationssicherheitsbeauftragte (ICS-ISB)

Der BSI-Standard 200-2 nennt explizit die mögliche Rolle eines oder einer ICS-Informationssicherheitsbeauftragten (ICS-ISB). Als Aufgaben des oder der ICS-Informationssicherheitsbeauftragten nennt der Standard:

  • die allgemeingültigen Sicherheitsvorgaben der Informationssicherheitsleitlinie und weiterer Richtlinien im Bereich ICS /OT umsetzen,
  • gemeinsame Ziele aus dem Bereich der industriellen Steuerung und dem Gesamt-ISMS verfolgen und Projekte aktiv unterstützen,
  • für den ICS-/OT-Bereich Risikoanalysen durchführen, die den Vorgaben des Risikomanagements entsprechen,
  • Sicherheitsrichtlinien und Konzepte für den ICS/OT-Bereich unter Einbeziehung der Anforderungen aus Safety und Security erstellen und schulen,
  • eng mit dem Informationssicherheitsbeauftragten kooperieren,
  • als Ansprechpartner für ICS/OT-Sicherheit für die Mitarbeiter vor Ort und in der gesamten Institution dienen,
  • ICS/OT-Sicherheitsmaßnahmen erstellen und bei der Umsetzung mitwirken,
  • notwendige Dokumente zur ICS/OT-Sicherheit erstellen und diese kommunizieren,
  • Informationen über Schulungs- und Sensibilisierungsbedarf der Beschäftigten im ICS/OT-Bereich ermitteln und Aktivitäten initiieren sowie
  • Sicherheitsvorfälle im ICS/OT-Bereich zusammen mit dem Informationssicherheitsbeauftragten bearbeiten.

Offensichtlich ist die Rolle eines oder einer OT-Sicherheitsbeauftragten und die Durchführung der genannten Aufgaben entscheidend für die Definition, Umsetzung und Kontrolle der Schutzmaßnahmen im OT-Bereich unter Anlehnung an IT-Grundschutz.

BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html

BSI-Standard 200-2 IT-Grundschutz-Methodik
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html

IT-Grundschutz-Kompendium des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.