Kategorien
Cybersecurity

Zusätzliche Gefährdungen nach IT-Grundschutz

Bei der Risikobeurteilung für OT-Systeme und ihre Komponenten müssen auch die zusätzlichen Gefährdungen betrachtet werden, die über die elementaren Gefährdungen hinausgehen. Dabei spielen insbesondere die Besonderheiten von OT und ihre Auswirkungen auf die Risiken eine Rolle. Zu den Leitlinien bei der Risikobeurteilung für Maschinen und Anlagen kann deshalb auch der BSI-Standard 200-3 gezählt werden.

IT-Grundschutz: Bei der Risikobeurteilung müssen zusätzliche Gefährdungen berücksichtigt werden.

Branchenspezifische Risikobeurteilung

Risikoanalyse abhängig von den spezifischen Szenarien

Neben den Elementaren Gefährdungen, die das IT-Grundschutz-Kompendium zusätzlich zu den IT-Grundschutz-Bausteinen enthält und beschreibt, nennt der BSI-Standard 200-3 auch die zusätzlichen Gefährdungen.

Darunter versteht der IT-Grundschutz solche Gefährdungen für die Schutzziele der Vertraulichkeit, Verfügbarkeit und Integrität, die sich aus dem spezifischen Einsatzszenario oder Anwendungsfall ergeben.

Das BSI empfiehlt, für die Ermittlung zusätzlicher Gefährdung zum einen zuerst die elementaren Gefährdungen zu betrachten, um dann darin nicht enthaltene Risiken zu ergänzen. In der Praxis kann hier der Austausch mit verschiedenen Abteilungen und Gruppen im Unternehmen hilfreich sein, da zusätzliche Gefährdungen sehr speziell sein können und eher bestimmten Fachabteilungen als der IT- oder OT-Abteilung bekannt sein dürften.

Zusätzliche Gefährdungen

Neben den IT-Grundschutz-Profilen, die unter anderem die möglichen Gefährdungen speziell in der betrachteten Industriebranche aufzeigen können, ist es das ICS Security Kompendium des BSI, das bei der Bestandsaufnahme möglicher zusätzlicher Gefährdungen im OT-Bereich helfen kann.

Das ICS Security Kompendium gilt als ein Grundlagenwerk für die IT-Sicherheit in ICS und richtet sich an Betreiber von industriellen Steuerungsanlagen. In diesem Kompendium des BSI werden Grundlagen der Automation erläutert und Besonderheiten und Standards in diesem Bereich behandelt.

Viele der in dem Kompendium genannten Gefährdungen finden sich auch im IT-Bereich. Doch es gibt darin auch Hinweise zu Risiken, die den OT-Bereich besonders oder ausschließlich betreffen.

Beispiel „Abhängigkeiten des ICS-Netzes von IT-Netzen“

Das BSI verweist darauf, dass ICS-Netze oftmals nicht mehr durchgängig autark betrieben werden. Abhängigkeiten von anderen Systemen, Netzen oder Diensten führen dazu, dass Ausfälle oder Sicherheitsvorfälle zum Beispiel im IT-Bereich auch Auswirkungen auf die ICS-Umgebung haben können. Als Beispiele für solche Abhängigkeiten zu anderen Systemen und Netzen nennt das BSI  Internetanbindungen, gemeinsam genutzte Infrastrukturkomponenten und Cloud-Dienste.

Beispiel „Kommunikation von Mess- und Steuerwerten“

ICS-spezifische Protokolle wurden überwiegend ohne Berücksichtigung der IT-Security entwickelt und bieten demzufolge keine oder nur eingeschränkte IT-Security-Mechanismen, so das BSI. Werden über diese Protokolle Informationen wie Mess- oder Steuerwerte übertragen, ist dies häufig unverschlüsselt, also im Klartext. Ein Schutz der Vertraulichkeit kann ebenso fehlen wie eine Integritätskontrolle, um Manipulationen an den Werten erkennen zu können.

Angreifer mit physischem Zugang zum ICS-Netz könnten diese Werte lesen, verändern oder neu einspielen. Dann lassen sich zum Beispiel keine verlässlichen, sensorischen Daten mehr ablesen. Eine unerkannte Manipulation von Sensordaten, die zur Steuerung genutzt werden, führt dann zu falschen Steuerungskommandos. Durch das Verfälschen von Produktionsdaten kann es zudem zu Fehlproduktionen kommen, die die Angreifenden hervorrufen wollen.

Nicht zuletzt kann auch Safety betroffen sein, wenn Informationen zum Beispiel über einen zu hohen Druck manipuliert und abgeändert werden, so dass vorgesehene Schutzmaßnahmen nicht aktiviert werden. Hier wird nochmals deutlich, wie Angriffe unter Ausnutzung von OT-Gefährdungen auch Schaden für Leib und Leben verursachen können.

BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html

Das ICS Security Kompendium des BSI
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf

IT-Grundschutz-Kompendium des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

BSI-Standards
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html

Elementare Gefährdungen nach IT-Grundschutz
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.html

Sie haben eine Frage an einen erfahrenen CE-Berater?

Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

Individuelle Beratung anfordern