Kategorien
Cybersecurity

Zusätzliche Gefährdungen nach IT-Grundschutz

Bei der Risikobeurteilung für OT-Systeme und ihre Komponenten müssen auch die zusätzlichen Gefährdungen betrachtet werden, die über die elementaren Gefährdungen hinausgehen. Dabei spielen insbesondere die Besonderheiten von OT und ihre Auswirkungen auf die Risiken eine Rolle. Zu den Leitlinien bei der Risikobeurteilung für Maschinen und Anlagen kann deshalb auch der BSI-Standard 200-3 gezählt werden.

IT-Grundschutz: Bei der Risikobeurteilung müssen zusätzliche Gefährdungen berücksichtigt werden.

Branchenspezifische Risikobeurteilung

Risikoanalyse abhängig von den spezifischen Szenarien

Neben den Elementaren Gefährdungen, die das IT-Grundschutz-Kompendium zusätzlich zu den IT-Grundschutz-Bausteinen enthält und beschreibt, nennt der BSI-Standard 200-3 auch die zusätzlichen Gefährdungen.

Darunter versteht der IT-Grundschutz solche Gefährdungen für die Schutzziele der Vertraulichkeit, Verfügbarkeit und Integrität, die sich aus dem spezifischen Einsatzszenario oder Anwendungsfall ergeben.

Das BSI empfiehlt, für die Ermittlung zusätzlicher Gefährdung zum einen zuerst die elementaren Gefährdungen zu betrachten, um dann darin nicht enthaltene Risiken zu ergänzen. In der Praxis kann hier der Austausch mit verschiedenen Abteilungen und Gruppen im Unternehmen hilfreich sein, da zusätzliche Gefährdungen sehr speziell sein können und eher bestimmten Fachabteilungen als der IT- oder OT-Abteilung bekannt sein dürften.

Zusätzliche Gefährdungen

Neben den IT-Grundschutz-Profilen, die unter anderem die möglichen Gefährdungen speziell in der betrachteten Industriebranche aufzeigen können, ist es das ICS Security Kompendium des BSI, das bei der Bestandsaufnahme möglicher zusätzlicher Gefährdungen im OT-Bereich helfen kann.

Das ICS Security Kompendium gilt als ein Grundlagenwerk für die IT-Sicherheit in ICS und richtet sich an Betreiber von industriellen Steuerungsanlagen. In diesem Kompendium des BSI werden Grundlagen der Automation erläutert und Besonderheiten und Standards in diesem Bereich behandelt.

Viele der in dem Kompendium genannten Gefährdungen finden sich auch im IT-Bereich. Doch es gibt darin auch Hinweise zu Risiken, die den OT-Bereich besonders oder ausschließlich betreffen.

Beispiel „Abhängigkeiten des ICS-Netzes von IT-Netzen“

Das BSI verweist darauf, dass ICS-Netze oftmals nicht mehr durchgängig autark betrieben werden. Abhängigkeiten von anderen Systemen, Netzen oder Diensten führen dazu, dass Ausfälle oder Sicherheitsvorfälle zum Beispiel im IT-Bereich auch Auswirkungen auf die ICS-Umgebung haben können. Als Beispiele für solche Abhängigkeiten zu anderen Systemen und Netzen nennt das BSI  Internetanbindungen, gemeinsam genutzte Infrastrukturkomponenten und Cloud-Dienste.

Beispiel „Kommunikation von Mess- und Steuerwerten“

ICS-spezifische Protokolle wurden überwiegend ohne Berücksichtigung der IT-Security entwickelt und bieten demzufolge keine oder nur eingeschränkte IT-Security-Mechanismen, so das BSI. Werden über diese Protokolle Informationen wie Mess- oder Steuerwerte übertragen, ist dies häufig unverschlüsselt, also im Klartext. Ein Schutz der Vertraulichkeit kann ebenso fehlen wie eine Integritätskontrolle, um Manipulationen an den Werten erkennen zu können.

Angreifer mit physischem Zugang zum ICS-Netz könnten diese Werte lesen, verändern oder neu einspielen. Dann lassen sich zum Beispiel keine verlässlichen, sensorischen Daten mehr ablesen. Eine unerkannte Manipulation von Sensordaten, die zur Steuerung genutzt werden, führt dann zu falschen Steuerungskommandos. Durch das Verfälschen von Produktionsdaten kann es zudem zu Fehlproduktionen kommen, die die Angreifenden hervorrufen wollen.

Nicht zuletzt kann auch Safety betroffen sein, wenn Informationen zum Beispiel über einen zu hohen Druck manipuliert und abgeändert werden, so dass vorgesehene Schutzmaßnahmen nicht aktiviert werden. Hier wird nochmals deutlich, wie Angriffe unter Ausnutzung von OT-Gefährdungen auch Schaden für Leib und Leben verursachen können.

BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html

Das ICS Security Kompendium des BSI
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf

IT-Grundschutz-Kompendium des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

BSI-Standards
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html

Elementare Gefährdungen nach IT-Grundschutz
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.html

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.