Der Cyber Security Check basiert auf dem kostenlosen Leitfaden Cyber-Sicherheits-Check OT, der vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem Berufsverband der IT-Revisoren, IT-Sicherheitsmanagern sowie den IT-Governance Beauftragten ISACA Germany Chapter e. V. entwickelt worden. Er bietet eine umfassende Überprüfung Ihrer IT-Systeme sowie Netzwerke, um potenzielle Risiken zu erkennen und eine frühzeitige Behandlung zu ermöglichen. Diese Überprüfung ist speziell auf den Bedarf zum Schutz von OT-Systemen (Operational Technology) ausgerichtet.
Cybersicherheit ist für die Operational Technology besonders wichtig, da diese Systeme oft kritische Infrastrukturen, wie z.B. Stromversorgung, Verkehrssysteme, Fabriken, etc., steuern und überwachen. Ein Angriff auf diese Systeme kann schwerwiegende Auswirkungen auf die Gesellschaft und die Wirtschaft haben, da sie oft lebenswichtige Funktionen erfüllen. Deshalb ist es von großer Bedeutung, dass sie gegen Cyberangriffe geschützt sind. Denn ein Cyberangriff auf OT-Systeme kann nicht nur die Funktionsfähigkeit beeinträchtigen, sondern auch ein Wegbereiter zu anderen IT-Systemen im Netzwerk des Unternehmen sein und so zu Datenverlust, Datenmanipulation und Datenlecks führen. Oft bedeutet diese Vorfälle finanzielle Verluste und Imageschäden für das betroffene Unternehmen, jedoch können schlimmstenfalls bei OT-Angriffen sogar Menschenleben gefährdet sein. Darüber hinaus ist die Cybersicherheit von OT-Systemen besonders anfällig, da diese oft ältere Technologien und Systeme verwenden, die nicht mit den neuesten Sicherheitsfunktionen ausgestattet sind. Die Integration von IT-Systemen in OT-Systeme, wie z.B. in industriellen Kontrollsystemen (ICS), erhöht ebenfalls das Risiko für Cyberangriffe, da hier weitere Angriffsszenarien entstehen.
Um diese Risiken zu minimieren, ist es unerlässlich, dass OT-Systeme regelmäßig auf ihre Cybersicherheit überprüft werden. Ein Cyber Security Check, der auf dem kostenlosen Leitfaden Cyber-Sicherheits-Check OT basiert, kann eine solche Überprüfung sicherstellen und Ihnen Empfehlungen zur Verbesserung der Cybersicherheit bereitstellen.
Kein ISMS erforderlich
Jedes ISMS (Information Security Management System) erfordert ein umfassendes Verständnis und Management der Informationssicherheit im Unternehmen. Es müssen dafür umfangreiche Prozesse implementiert und ständig überwacht werden, um das angestrebte Maß an Informationssicherheit gewährleisten zu können. Der Vorteil des Cyber Security Checks (OT) ist es, dass er unabhängig von einem ISMS durchgeführt werden kann. Es ist kein ISMS erforderlich, um die Cybersicherheit im Bereich der operativen Technik (OT) überprüfen und verbessern zu können. Der Check kann zu jedem Zeitpunkt im Sicherheitsprozess einer Organisation vorgenommen werden, es sind weder Unterlagen zur OT-Sicherheitsorganisation oder Organisation erforderlich noch muss ein bestimmter Fortschritt bei der Umsetzung von OT-Sicherheitsmaßnahmen vorliegen. Er kann somit eine zeit- und kosteneffiziente Lösung für Unternehmen sein, die ihre Cybersicherheit im OT-Bereich zeitnah verbessern möchten.
Beurteilungsgegenstand
Der Cyber Security Check (OT) konzentriert sich auf den gesamten Betriebsbereich, insbesondere auf Systeme zur Prozesssteuerung und deren Netzwerke, einschließlich Feldbusse und Eingabe-/Ausgabegruppen. Hierbei werden sowohl die OT-Anlagen selbst, als auch maschinennahe Systeme, wie MES, sowie deren Verbindungen zur Office-IT, direkte Verbindungen zu externen Netzen und dem Internet berücksichtigt. Alle Systeme und Dienste mit physischen, logischen oder funktionalen Schnittstellen werden im Hinblick auf ihre Bedeutung für den sicheren Anlagenbetrieb analysiert. Dazu gehören auch Hilfs- und Nebensysteme, auch wenn sie nur mittelbar den sicheren Anlagenbetrieb beeinflussen. Eine Auswahl relevanten Systeme umfasst:
-
Heizung/Klima/Lüftung
-
Stationsautomatisierung und elektrische Schutztechnik
(elektrische Energieversorgung)
-
Autarke Steuerungen von Nebenanlagen
(z.B. Tanklager, Ver- und Entsorgung)
-
Gebäudeautomatisierung
-
Online-Überwachungs- und Diagnosesysteme, Prozessdaten-Management und Archivierung
-
Engineering und Anlagendokumentation
-
Verbundene Systeme
(Brandmeldesystem, Videoüberwachung etc.)
-
Safety-Systeme
-
Externe Services wie Cloud
Das Vorgehen
Bei der Durchführung des Cyber Security Checks (OT) ist es wichtig, den Umfang und die Komplexität des Beurteilungsgegenstands (Scope) zu bestimmen, um den Aufwand abschätzen zu können. Hierfür müssen Vertreter aus verschiedenen Abteilungen, wie Geschäftsführung, Betriebsleitung, Werksleitung, Produktionsleitung, Leittechnik, IT-Leitung und IT-Dienstleister, zusammengebracht werden, um festzulegen, welche OT-Systeme und Netzwerke untersucht werden sollen. Es ist wichtig, ein gemeinsames Verständnis dafür zu schaffen, was zu den zu überprüfenden Systemen zählt. Der Scope sollte dokumentiert und von der Leitungsebene, wie Geschäftsführung und Werksleitung, genehmigt werden, unter Berücksichtigung der Meinungen aller Teilnehmer. Das Scoping kann bereits Teil des Auftrags sein und einen Zeitrahmen festlegen. In komplexen und umfangreichen Umgebungen kann es sinnvoll sein, das Scoping im Vorfeld zusätzlich durchzuführen. Die Durchführung des Checks folgt streng den Vorgaben des kostenlosen Leitfadens Cyber-Sicherheits-Check OT und besteht daher aus den folgenden Schritten:
-
Auftragserteilung
-
Risikoeinschätzung
-
Informationssichtung
-
Vorbereitung der Vor-Ort-Beurteilung
-
Vor-Ort-Beurteilung
-
Nachbereitung/Berichterstellung