Einleitung
In der digitalen Epoche stehen neben den herkömmlichen Gefahren, wie ein unbefugter Zutritt von Unternehmen, auch virtuelle Cyberattacken präsent, die global geschehen können.
Dementsprechend ist die Protektion vor Hackern und Viren vor allem für Unternehmen, bei denen die Störfallverordnung zum Einsatz kommt, von besonderer Relevanz.
Um diese neuen Gefahrenquellen (Cyber-Angriffe) einzudämmen, wurden von der Kommission für Anlagensicherheit (KAS) Leitsätze formuliert.
Fragen, mehr Informationen nötig oder Hilfe? Gerne Kontakt aufnehmen zu uns: 📬 Kontaktformular
Die Anwendung der daraus resultierenden Anforderungen ist für Unternehmen nicht immer einfach, allerdings sind Hilfsangebote vorhanden, sodass eine effiziente Methode implementiert werden kann.
Im Mittelpunkt des Leitfadens der KAS gegen Angriffe von Nicht-Berechtigten aus dem Jahr 2002 standen Gefahren und Behinderungen technischer Belange, gegenwärtig wurde der Sicherheitsbegriff modifiziert und modernisiert.
Das Merkblatt KAS-44, welches seit November 2017 existiert, präsentiert die Anforderungen an die IT-Security jener Unternehmen, bei denen die Störfallverordnung seine Anwendung findet.
Konkret zählen zu diesen Branchen Biogasanlagen, Chemiewerke sowie Lagerstätten, welche gefährliche Stoffe enthalten.
Industrielle Produktionsanlagen bedürfen eines zusätzlichen Schutzes und sind dementsprechend eine Herausforderung für die IT-Sicherheit.
Ein industrieller Betrieb ist aufgrund der Digitalisierung permanent, mit beispielsweise autonomen Anlagen, Digitalisierungsprozessen oder Fernwartungen, verbunden.
Dies bietet wiederum Hacker eine potenzielle Angriffsfläche, der sich einen unerlaubten Zugang zu den Betriebsstrukturen verschafft und diese folglich stört.
Die Leitsätze des KAS-44 dienen dazu, um ein Verständnis hinsichtlich Bedrohungen zu generieren und somit Betriebe auf etwaige Sicherheitslücken aufmerksam zu machen.
Diesbezüglich soll ebenso innerhalb der Führungsschicht eine Sensibilisierung erreicht werden. Dies bezieht sich vorwiegend auf mittelständische Unternehmen, denn Großbetriebe sind sich der Gefahren eher bewusst.
Für eben diese Unternehmen sind Hackerangriffe nicht nur eine Image-Schädigung, vielmehr können sich solche zu einem geschäftskritischen Element weiterentwickeln.
Problemstellung, Zielsetzung und Forschungsfrage
Die vorliegende Projektarbeit widmet sich einer methodischen Darstellung von Betriebsbereichen, welche der Störfall-Verordnung zugehörig sind, und dem KAS-44 Leitfaden geleiteten Schutz vor Angriffen untergeordnet sind.
Zusätzlich zu den organisatorischen Maßnahmen werden technische Mittel für die Zweckerfüllung vorgestellt.
Im Fokus stehen sicherheitsrelevante Anlagenteile (SRA) und jene des Bereichs (SRB) sowie der Schutz dieser vor Gefahren für Menschen, Umwelt und Sachschäden. Ebenso geht es um die Sicherung des Zugangs zu gefährlichen Stoffen für Unbefugte.
Die Maßnahmen des Leitfadens KAS-44 hinsichtlich der Eingriffe von Unbefugten können allerdings nicht behandelt werden, denn dies würde den Rahmen der Projektarbeit sprengen.
Diese Arbeit beschäftigt sich lediglich mit dem Schutz vor cyberphysischen Angriffen und zeigt die Auswirkung des BSI-IT-Grundschutz-Kompendiums auf jene betrieblichen Bereiche, die über sicherungsrelevante Anlagen verfügen. Diesbezüglich werden beide Tätergruppen, sowohl der Innen- als auch der Außentäter charakterisiert.
Als Basis der thematischen Bearbeitung wurde der Leitfaden KAS-44, welcher von der Kommission für Anlagensicherheit konzipiert wurde, ausgewählt. Darüber hinaus werden für eine nähere Betrachtung Forschungsliteraturen verwendet.
Abbildung 1 zeigt den Ablauf der Projektarbeit, wobei der Leitfaden KAS-44 im Mittelpunkt steht.
Vorgehensweise
Die wichtigsten Punkte des KAS-44 Leitfadens werden in den Kapiteln 3 bis 8 behandelt und bieten gleichzeitig eine Deskription der Realisierung der im Leitfaden inkludierten Themen. Kapitel 1 stellt die Herangehensweise vor und im Kapitel 2 werden die grundlegenden Informationen thematisiert.
Den Abschluss der Projektarbeit bilden das Kapitel 8, ein Resümee in Kapitel 9 sowie ein Ausblick in Kapitel 10.
Gegenstand der Untersuchung
Im Mittelpunkt der Untersuchung stehen eine Projektarbeit mitsamt einer Präsentation der Leitlinien für eine Maßnahmenkonzeption zum Schutz vor cyberphysischen Angriffen und eine Anwendung des BSI-IT-Grundschutz-Kompendiums auf betriebliche Bereiche mit sicherungsrelevanten Anlagen.
Grundlagen
Die KAS-44 besteht aus Leitsätzen, die ein Bewusstsein für Bedrohungen schaffen und auf mögliche Sicherheitslücken aufmerksam machen, damit auf der Führungsebene eine Sensibilisierung stattfinden kann.
Großkonzerne sind sich den Gefahren bewusst, daher sind es vor allem mittelständische Unternehmen, die sensibilisiert werden sollen.
Ein gelungener Angriff ist nicht nur reputationsschädigend, sondern kann ebenso zu einem geschäftskritischen Faktor werden.
Ersichtlich wird, dass das Gefahrenpotenzial zunimmt, dies betrifft nicht nur einzelne Attacken, sondern den gesamten IT-Bereich eines Unternehmens, sprich, äußere Faktoren, Firewalls und sogar Schnittstellen. Unternehmen sind gefordert, ihre IT-Sicherheit zu modernisieren, wobei eine Fokussierung auf autonome Anlagen und Prozesse der Industrie 4.0 nicht ausreichend ist.
Vielmehr müssen optimale Sicherheitsmaßnahmen definiert werden, welche im gesamten Betrieb verwendet werden, denn ansonsten kann die Schnittstellenproblematik fortwährend bestehen.
Bezüglich des Bedarfs an einer Sicherheit für Firewalls und Perimeter sind bis dato nur wenige regulatorische Verfahren vorhanden.
Das Information Security Management System (ISMS) ist eine Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Betriebe und Organisationen.
Sofern Betriebe der Störfallverordnung zugehörig sind, ist gegenwärtig ein erweitertes ISMS notwendig.
In der Realität liegt lediglich eine Basis-IT-Sicherheit vor, sodass aktuelle Bedrohungen nicht erkannt werden.
Der folgende Abschnitt stellt Grundlagen vor und gibt Begriffsdefinitionen, die eine Darstellung der grundsätzlichen Pflichten der Betreiber von sicherungsrelevanten Anlagen und Bereiche zeigen, wieder.
Begriffserläuterungen in der Störfallverordnung
Eine besondere Gefährdung liegt laut dem Leitfaden KAS-44 dann vor:
wenn aufgrund eines Angriffs Unbefugter, ein hervorgerufenes Ereignis in einem Betriebsbereich zu ernsten Gefahren für die Menschen werden,
wenn Sachschäden außerhalb des Betriebsbereichs im Sinne des BlmSchV auftreten,
wenn eine beträchtliche Umweltschädigung da Gemeinwohl gefährdet.
Der Betriebsbereich der oberen Klasse beinhaltet Gefahrenstoffe, welche im Anhang 1 der Störfallverordnung (Spalte 5 der Stoffliste) angeführt sind und die verordnete Mengenschwelle erreicht und diese übertrifft.
Der Betriebsbereich der unteren Klasse enthält gefährliche Stoffe in jenen Mengen, die in Anhang 1 der Störfallverordnung (Spalte 4 der Stoffliste) erreichen oder übertreffen, allerdings werden die Mengenschwellen (Spalte 5 der Stoffliste) dabei nicht unterschritten.
Rechtliche Rahmenbedingungen
Im §3 Abs. 2 der Störfallverordnung ist der Schutz vor Angriffen Unbefugter als Pflicht des Unternehmers rechtlich verankert. Dementsprechend ist der Betreibende in der Pflicht, etwaige Störfälle zu dokumentieren, die entstandenen Konsequenzen zu definieren und Maßnahmen zu treffen, damit diese Ereignisse eingedämmt werden können. Zu diesen Eingriffen zählen also jene Gefahren, die aufgrund eines Zugriff Unbefugter passieren können.
Basismaßnahmen
Jene Betriebsbereiche, die der Störfallverordnung (12. BlmSchV) unterliegen und die IT- und OT-Systeme1 sowie Anlagen sind intern und extern informationstechnisch verknüpft.
Die genannten Systemnetzwerke sind als Angriffspunkte gemäß §3 Abs. 3 Nr. 3 der Störfallverordnung (StörfallV) zu bewerten, denn beabsichtigte Störungen dieses Betriebes, welche über das Netz oder IT-Systeme verursacht werden, können nicht gänzlich vermieden werden.
Diesbezüglich wird die Frage nach der IT-Sicherheit bezüglich des Angriffs Unbefugter auf die Betriebsbereiche (ITSecurty1) über vernetzte Systeme sowie Konsequenzen offengelegt.
Anzumerken ist, dass es sich hierbei um jene Angriffe über das IT-System handelt, die eine sicherheitstechnische Relevanz (Safety) vorweisen.
Schritte, die für die Gewährleistung der IT-Security eingeleitet werden, sollen daher im Sicherheitsmanagementsystem, welches auf Basis des Sicherheitskonzepts nach §8 Abs. 1 der StörfallV vorliegt, realisiert werden.
Eine solche Integration der IT-Security innerhalb des Sicherheitsmanagementsystems kann an die ISO-27000-Normenreihe angelehnt werden.
Die nachstehenden Leitsätze präsentieren die Anforderungen bezüglich dieser Anwendung auf Betriebsbereiche des §3 Abs. 5a des BImSchG.
Die Basismethoden im Sektor der Regelungen für Fremdpersonal und fremdvergeben Dienstleistungen für den Umgang mit Fremdfirmen sind dementsprechend aufgebaut, dass externe Arbeitsvorgänge in einem geeigneten Umfang von internen oder unabhängigen Mitarbeitenden kontrolliert werden.
Darin inkludiert sind ebenfalls die vertraglichen Regelungen bezüglich der Datenintegrität sowie das Bewahren des Stillschweigens von Arbeitsresultaten und der transferierten Dokumentation mit den Dienstleistern und Mitarbeitenden.
Im Umfeld der Sensibilisierung und Schulung werden eigens dafür verantwortliche Mitarbeiter eingesetzt, um ein zielgruppenorientiertes und risikobasiertes Schulungskonzept gegen Eingriffe Unbefugter zu erhalten und die IT-Sicherheit zu verbessern.
Zusätzlich soll ein betriebliches Meldesystem eingeführt werden, um etwaige Vorkommnisse melden zu können.
Überdies wird die Basismaßnahme „Reaktion auf neue Schwachstellen und IT-Bedrohung“ verwendet, um die IT-Sicherheit zu gewährleisten und Vorkehrungen zu treffen.
Zu diesen Möglichkeiten, um kritische Schwachstellen und IT-Bedrohungen einzudämmen, zählt beispielsweise die Installation von Softwareaktualisierungen, die Fehlerbehebungen inkludieren.
Diesbezüglich gilt es zu überprüfen, ob gegenseitige Beeinflussungen aufgrund dieser Aktualisierungen entstehen können und dies wiederum die Wirksamkeit verändert.
Die Beurteilung der bereits angeführten Basismaßnahmen wird im anschließenden Kapitel 4 mittels einer Überprüfung der Gefährdungssituation gefällt.
Entscheidung über das Vorliegen einer besonderen Gefährdung
Die getroffenen Basismaßnahmen können nur so lange als genügend bezeichnet werden, bis von einer Anlage oder eines Betriebsbereichs eine Gefährdung besteht.
Ein Beispiel hierfür ist die Gefährdung für die Menschen, wie Kapitel 2.1 zeigt.
Eine Sicherungsanalyse erweist sich dann als nötig, wenn Informationen bezüglich einer besonderen Gefährdung von einem Betriebsbereich gemeldet werden.
Das Resultat der Sicherungsanalyse lässt darauf schließen, ob weiterführende Maßnahmen zum Schutze neben den bestehenden Basismaßnahmen getroffen werden müssen.
Aus allgemeiner Sicht sind weitere Schutzmaßnahmen notwendig, falls höhere Störfallstoffmengen in Betriebsbereichen der oberen Klasse vorliegen.
Das Ausmaß des Schadens kann jedoch wegen spezieller Rahmenbedingungen eingedämmt werden, sodass nur vereinzelt Maßnahmen getroffen werden müssen. Eine solche Vorgehensweise muss mit dem Betreiber und der Behörde abgesprochen werden.
Sofern keine besondere Gefährdung vorhanden ist, sind die Basismaßnahmen als genügend zu bewerten und somit kann auf zusätzliche Maßnahmen verzichtet werden.
Ist dies nicht möglich, dann wird eine Sicherungsanalyse, wie jene in Kapitel 5, vollzogen.
Sicherungsanalyse
Die nach Störfallverordnung (12. BlmSchV) betreffenden Betriebsbereiche, deren IT- und OT-Systeme1 und Anlagen, sind intern und extern informationstechnisch verknüpft.
Alle Netzwerke und Systeme sind nach §3 Abs.2 Nr.3 der Störfallverordnung (StörfallV) als Angriffsfläche zu bezeichnen, denn immerhin können vorsätzliche Störungen des bestimmungsgemäßen Betriebes, welche über Netzwerke oder IT-Systeme erfolgen, nicht ausgeklammert werden.
Die IT-Sicherheitsfragen widmen sich daher dem Eingriff Unbefugter auf Betriebsbereiche (ITSecurity1) sowie den vernetzten Systemen und deren Konsequenzen.
Erwähnt werden muss diesbezüglich, dass nur jene Angriffe, die über IT-Systeme stattfinden, eine sicherheitstechnische Relevanz (Safety) vorweisen.
Das Sicherheitsmanagementsystem, welches dem Sicherheitskonzept §8 Abs.1 der StörfallV zugrunde liegt, soll Maßnahmen zur Sicherung der IT-Security festhalten und diese auch anwenden.
Dass die IT-Security im Sicherheitsmanagementsystem eingebaut wird, kann in Anlehnung an die ISO-27000-Normreihe, passieren.
Die nachstehenden Leitsätze zeigen die Anforderungen hinsichtlich der Anwendung auf Betriebsbereiche gemäß §3 Abs. 5a des BlmSchG.
Bedrohungsanalyse
Unter einer Bedrohungsanalyse versteht man einen methodischen und strukturierten Ansatz für eine Identifizierung von möglichen Bedrohungen, für eine Bewertung der Risiken und für eine Priorisierung von Maßnahmen zur vollständigen Eliminierung oder Verringerung dieser.
Diesbezüglich werden unterschiedliche Punkte herangezogen und überprüft, welche Betriebsbereiche und Anlagen für den Eingriff Unbefugter bevorzugt werden. Das folgende Kapitel stellt einige dieser Aspekte vor.
IT-Security ist Führungsaufgabe
Das leitende Organ trägt für die IT-Security innerhalb der Organisation Verantwortung und verfasst eine IT-Security-Richtlinie für das Unternehmen.
Diese ist stets an die sich verändernden inneren und äußeren Rahmenbedingungen anzugleichen.
Die IT-Security-Richtlinie umfasst die IT-Security-Ziele der Organisation durch die Führungsposition und ist abhängig von der Organisationsstrategie sowie gesetzlichen Vorgaben.
Die Leitung entwickelt dementsprechende Organisationsstrukturen und generiert Vorgänge, um das Erreichen der IT-Security-Ziele zu gewährleisten.
Damit einhergehend werden Ressourcen zur Erfüllung dieser von der Leitung geschaffen.
Sensibilisierung und Unterweisung
Ein wichtiger Aspekt ist die Kommunikation der IT-Security-Richtlinie an jeden Angestellten des Unternehmens sowie an Dritte, die auf die IT-Security einwirken können.
Die Führungsposition ist für die Durchführung der Maßnahmen für eine zielgruppenspezifische Sensibilisierung der Mitarbeitenden und Drittpersonen verantwortlich. Diese Maßnahmen richten sich an Cyberangriffe2 auf Betriebsbereiche sowie an die Konsequenzen auf die funktionale Sicherheit des Unternehmens.
Um die betriebliche Security-Kultur zu verbessern, werden kontinuierliche Schulungen für die Maßnahmen und für das Erreichen der Sicherheitsziele durchgeführt, an der ebenso Dritte teilnehmen können.
Ebenso wird der Nutzen der Maßnahmen durch eine permanente Überprüfung kontrolliert.
Assest Register und Netzwerkarchitektur
§3 Abs.2 Nr.3 der StörfallV besagt, dass der Betrieb Maßnahmen zur Eindämmung und Eliminierung von Störfällen treffen muss und ebenso Eingriffe von Unbefugten miteinbezogen werden müssen.
Bezogen auf die IT-Security sind besonders jene Bereiche der Anlagen (Assets), welche eine Manipulation durch Cyberkriminelle eine mittelbare oder unmittelbare Konsequenz auf die funktionale Sicherheit dieser haben, von Bedeutung.
Assets:
sicherheitsrelevante Anlagenteile, Komponenten, Bauteile;
sicherheitsrelevante Software;
alle Netzwerk-Ein- und Ausgangspunkte zu anderen Netzwerken;
alle IT-Systeme außerhalb des Produktionsbereiches, von denen eine Kommunikationsbeziehung in den Produktionsbereich aufgebaut werden kann;
alle den Betriebsbereich betreffende sicherheitsrelevante Dokumentation.
Für die Sammlung aller Assets ist es notwendig, ein Asset-Register zu erstellen.
Ebenso ist es von Relevanz, dass jedes Asset einen eigenen Beauftragten hat und der Schutzbedarf des Assets für den Betriebsvorgang vorhanden ist.
Ein Netzwerk-Architekturbild bietet sich an, um die Kommunikationsbeziehungen zwischen den Assets darzustellen, wobei hier alle Übertragungsprotokolle inkludiert werden müssen.
Hervorgehoben werden muss, dass sowohl das Asset-Register als auch das Netzwerkarchitekturbild stets auf den neusten Stand gebracht werden müssen, vor allem, wenn Veränderungen innerhalb des Betriebsbereiches auftreten.
IT-Security bei der Errichtung von Anlagen
Die IT-Security ist ein essenzieller Faktor jeglicher Errichtungsphasen von Anlagen sowie der Integration in den Betriebsbereichen bis zur Inbetriebnahme und für die Systemfunktionen innerhalb eines Betriebsbereiches.
Die Bedingungen der IT-Security sowie deren Richtlinie werden bereits in der Konzeptphase vom Betreiber festgehalten und anschließend vom Systemintegrator3 ausführlich realisiert.
Am Schluss jeder Errichtungsphase wird die Durchführung der Bedingungen an die IT-Security vom Systemintegrator in Kooperation mit dem Betreiber verifiziert und validiert.
Bevor die Inbetriebnahme vonstattengeht, wird eine IT-Security-Abnahme durch den Betreiber durchgeführt.
Risiko Management beim Betrieb von Anlagen
Für eine permanentes Bestehen der IT-Security ist es notwendig, ein Risikomanagement (bspw. in Anlehnung an ISO 27005) zu entwickeln.
Im Fokus des Risikomanagements steht die Risikobeurteilung, welche sich aus Risikoidentifizierung, -analyse und -bewertung zusammensetzt.
Als Basis der Risikoidentifizierung (auf Grundlage des Asset-Registers) gelten präsente Gefährdungen innerhalb des Betriebsbereichs.
Die Risikobeurteilung befasst sich mit der Wirksamkeit der gegebenen Schutzmaßnahmen bezogen auf die gegenwärtigen Risiken.
Falls diese Schutzmaßnahmen die vorhandenen Gefahren nicht wirksam verringern, gilt es, Maßnahmen zur effektiven Minderung zu generieren.
Die Risikobeurteilung soll permanent erfolgen, vor allem weil stets neue Schwachstellen und Angriffspunkte bei den gegebenen Assets gegeben sind.
Sofern neue und kritische Schwachstellen vorliegen, für die neue Angriffswege eingeleitet wurden, muss die Risikobeurteilung für diese Assets abermals durchgeführt werden.
Erkennung von IT-Securityvorfällen
§3 Abs.1 der StörfallV besagt, dass Betreiber technische und organisatorische Vorkehrungen zum Schutze erledigen müssen, damit Störfälle vermieden werden.
Das prompte Aufspüren von IT-Security-Vorfällen ist eine Bedingung für die Einführung wirksamer Gegenvorkehrungen.
Überdies kann eine Analyse von IT-Security-Vorfällen herangezogen werden, um Maßnahmen für eine künftige Vermeidung von Angriffen zu entwickeln.
Die Resultate sind wichtig für das Risikomanagement.
Das Sicherheitsmanagementsystem muss effektive Maßnahmen für das Erkennen und Melden von IT-Security-Vorfälle generieren.
Maßnahmen nach IT-Securityvorfällen
Innerhalb des Sicherheitsmanagementsystems müssen qualifizierte Maßnahmen für eine Erneuerung und Verbesserung der IT-Security nach Vorfällen getroffen werden.
In diesem Zusammenhang werden die Mitarbeitenden bezüglich der Maßnahmen in Kenntnis gesetzt.
Die Effizienz der Maßnahmen wird permanent im Zuge des Risikomanagements kontrolliert.
Sicherungsmaßnahmen
Als Sicherungsmaßnahmen versteht man Methoden und Vorgehensweisen, welche zum Schutz gegen Eingriffe Unbefugter eingesetzt werden.
Diese umfassen sowohl organisatorische als auch technische Maßnahmen, welche im nachstehenden Kapitel vorgestellt werden.
Sicherungsmanagement
Ein Sicherungsmanagement, welches nach dem Leitfaden KAS-51 für eine Realisierung der Sicherungsziele und deren anschließenden Maßnahmen eingeführt wird, ist empfehlenswert, weil sich die Managementsysteme vormals für den systematischen Gebrauch sowie zur Kontrolle von unternehmensinternen Vorgängen als zuverlässig erwiesen haben.
Das Managementsystem, welches für die Sicherung des Unternehmens verwendet wird, sollte diese Prozesse einschließen.
Unternehmenspolitik:
Die Unternehmenspolitik befasst sich mit der Selbstverpflichtungserklärung eines Unternehmens, um gemeinsam mit den Mitarbeitenden und den Auftragnehmern eine permanentes und vor allem sicheres Arbeitsumfeld zu ermöglichen. Ebenso sind darin der Schutz vor Verletzungen, Verlusten und Schädigungen aufgrund von Zugriffen Unbefugter sowie Konsequenzen für die Umwelt und die Umgebung inkludiert.
Dokumentation:
Überdies ist es wichtig, dass das Sicherungsmanagementsystem überprüfbar und kontrollierbar sein sollte, diesbezüglich muss sowohl ein Soll/Ist-Vergleich als auch eine Deskription des Soll-Zustandes vollzogen werden.
Allerdings ist an dieser Stelle zu erwähnen, dass eine ausführliche Dokumentation als Angriffsfläche für Unbefugte gelten kann und dies stellt wiederum den Schutzmechanismus in Frage.
Dementsprechend ist ein Zugang aller Personen, bei denen ein Zugriff nicht unbedingt notwendig ist, einzugrenzen und zu vermeiden.
Organisation und Verantwortlichkeit:
Das Unternehmen ist in der Pflicht, dass Verfahren zum Erkennen von Sicherheitsrisiken eingeläutet und Sicherungsmaßnahmen eingeführt werden.
Überdies muss ein Mitteilungssystem vorhanden sein, damit das Management sofort von etwaigen Sicherheitsvorfällen in Kenntnis gesetzt wird.
Kommunikation und Schulung:
Schulungen dienen dazu, um die Mitarbeitenden mit Fachkompetenzen zu betrauen und um eine Bewusstwerdung der gegebenen Sicherheitsrisiken zu erreichen.
Darüber hinaus ist ein Informationsaustausch von Relevanz, damit Sicherungsvorfälle und Erkenntnisse der Sicherungstechnik gemeldet werden und dementsprechend die Maßnahmen beachtet werden.
Festlegung der Sicherungsprozesse:
Prozesse des Unternehmens, in denen die Sicherung im Fokus steht, müssen stets fixiert, bewahrt und überlegt sein.
Diesbezüglich müssen die nachfolgenden Prozesse vollzogen werden:
Kontraktoren Überwachung:
Die mit dem Unternehmen geschäftlich verbunden Kontraktoren müssen in die Sicherheitsrichtlinien und -prozesse des Unternehmens inkludiert werden.
Planung und Errichtung von Anlagen:
Hier müssen die Sicherungsanforderungen des Unternehmens abgedeckt sein, welche ebenfalls aufbewahrt werden müssen.
Veränderungsmanagement:
Konsequenzen und Änderungen der Gefahrensituation bzw. der Sicherungslage sind exakt zu kontrollieren. Etwaige Maßnahmen sind durchzuführen und ebenso zu belegen.
Notfallmanagement:
Ein Notfallmanagement ist für Sicherungsnotfälle und für die Eindämmung notwendig und das Personal muss dementsprechend eine Schutzkleidung erhalten. Eine Krisenabwehrorganisation sollte im Vorfeld entstehen.
Um eine Verringerung des Risikos und das Erkennen von etwaigen Sicherungsproblemen zu erreichen, ist es notwendig, eine offene Kommunikation mit Ämtern und Gleichgesinnten zu pflegen.
Betrieb und Wartung von Sicherungseinrichtungen:
Ein weiterer wichtiger Punkt sind die Wartungen, welche regelmäßig durchgeführt werden sollten, um auf dem technischen Status Quo zu sein.
Dementsprechend sollte die Sicherungstechnik innerhalb des Betriebes vorhanden sein.
Überwachungsmaßnahmen:
Ebenso muss das Sicherungsmanagementsystem in regelmäßigen Intervallen kontrolliert werden.
Korrektur- und Vorbeugungsmaßnahmen:
Diesbezügliche Sicherungsfälle müssen untersucht und behoben werden.
Aus dem Resultat der Vorfalluntersuchung können präventive Maßnahmen für künftige Situationen abgeleitet werden, die wiederum dokumentiert werden müssen.
Zur Etablierung des Sicherungsmanagements und zum Schutz vor Eingriffe Unbefugter ist der Plan-Do-Check-Act (PDCA) Zyklus (Abbildung 7) wichtig.
Die vier Punkte sorgen für eine ständige Verbesserung der Sicherungsmaßnahmen gegen Eingriffe Unbefugter und sind für die Konzipierung und für das Einleiten von Schutzkonzepten relevant.
Nachstehend werden die relevanten Punkte des PDCA-Zyklus für den Schutz vor Eingriffe Unbefugter vorgestellt. Als Basis wird der Leitfaden KAS-44 verwendet.
Plan:
Der erste Zyklusbereich ‚Plan‘ umfasst die Einführung und Festlegung der Grundmaßnahmen der jeweiligen Betriebsbereiche für den Schutz vor Eingriffen.
Sofern eine spezielle Gefahr vorhanden ist, wird zusätzlich zu den bestehenden Grundmaßnahmen eine Gefahrenanalyse ausgeführt.
Anschließend werden weitere Schutzmaßnahmen getroffen und eingeleitet.
Do:
Hier findet eine Integration der erforderlichen Maßnahmen in den Betriebsbereichen statt.
Diesbezüglich müssen die Maßnahmen schriftlich hinterlegt werden und es ist eine Anweisung anzufertigen, welche die Umsetzungsmaßnahme darstellt und auf eine bindende Durchführung abzielt.
Darüber hinaus müssen die festgelegten Maßnahmen mit dem nötigen Pflichtbewusstsein und mit den Berechtigungen realisiert werden.
In diesem Abschnitt finden Mitarbeiterschulungen statt.
Ebenso müssen Prüfungsintervalle festgehalten werden, in denen die realisierten Maßnahmen eine Wiederholungskontrolle bestehen müssen.
Check:
Des Weiteren gilt es zu kontrollieren, ob die getroffenen Maßnahmen den gewünschten Zweck erreichen.
Dementsprechend kann das System zum Schutz vor Eingriffen Unbefugter einen Stress-Test absolvieren, in dem Fehler und Hindernisse erkannt werden.
Zusätzlich sind Befragungen der Mitarbeitenden der sicherungsrelevanten Betriebsbereiche geeignet, um über deren vorhandenes Wissen und über Verhaltensregeln Kenntnisse zu erlangen.
Aus diesen Erhebungen kann der Kenntnissachstand des Personals aufgezeigt werden.
Act:
Die Ergebnisse aus dem Check werden dazu verwendet, um diese im gegebenen Maßnahmenkonzept zu realisieren.
Das Maßnahmenkonzept wird durch das fortwährende Verbesserungsmanagement verbessert und es werden Fehler berichtigt.
Schutz vor cyberphysischen Angriffen
Eine Verbindung aus organisatorischen und technischen Maßnahmen, die bei jedem Einzelfall eingesetzt werden können, sind hier zu nennen.
Einige hilfreiche Punkte, welche zu einer Verbesserung der Datensicherheit beitragen, werden folglich vorgestellt.
Nur ein starkes Passwort, ist ein gutes Passwort:
Dies ist insofern relevant, da deshalb nicht alle Zugänge automatisch gefährdet sind, falls ein Konto gehackt wird.
Natürlich ist es schwierig, sich unterschiedliche und vor allem schwierige Passwörter zu merken, allerdings sind auch hier Lösungen vorhanden.
Softwaretools, wie beispielsweise KeePass dienen zur Vereinfachung von Passworterstellung und -verwaltung.
Mithilfe von KeePass werden alle Zugänge in einer verschlüsselten Datei gesichert und überdies werden automatische Einträge von Zugangsdaten in die Anmeldemasken von Webseiten gespeichert, sodass komplexe Passwörter benutzt werden können.
Updates und Patches:
Es ist ebenso ratsam, einen Viren- und Spamschutz zu verwenden, denn nur ein gegenwärtiger Schutz, ist auch ein guter.
Daher lohnt es sich einen Blick auf den Aktualisierungsstatus der Sicherheitslösungen zu werfen.
Cloudbasierte Erkennungstechnologien sind ein geeignetes Mittel, um Zero-Day Exploits bzw. Cyberattacken aufzuspüren. Dabei handelt es sich um Angriffe, die erst aufkeimen und deshalb sind klassische, musterbasierte Verfahren an dieser Stelle unbrauchbar.
Doppelt hält besser:
Doppelt hält besser und das gilt ebenso für den Schutz vor cyberphysischen Angriffen, denn somit können Bedrohungen schneller erkannt und beseitigt werden.
Der ergänzende Schutz wirkt sich nicht negativ auf das Budget des Unternehmens aus, sondern ist stattdessen für den Schutz von geschäftskritischen Daten ein Muss.
Das Vier-Augen-Prinzip:
Das Vier-Augen-Prinzip ist für die Integration automatisierter Mechanismen beim E-Mail-Verkehr hilfreich, um das Versenden geschäftskritischer Daten einzudämmen. Hier zu nennen sind bestimmte Dateiformate, wie Excel-Dateien, die Kundendaten umfassen oder Textformate, welche der Kreditkartennummer ähnlich sind, solche Faktoren werden automatisch erfasst und noch vor dem Versenden blockiert.
Nach einer umfassenden Vier-Augen-Prüfung einer anderen Person ist es möglich, die E-Mail zu versenden.
Dieses Prozedere ist insofern wichtig, weil es über den weiteren Bestand des Unternehmens entscheidet. Ein Datendiebstahl hat erhebliche finanzielle Schäden zur Folge, wie auch langwierige Image-Schädigungen.
Verschlüsseln will gelernt sein:
Im Bereich der elektronischen Kommunikation sind Man-In-the-Middle-Attacken keine Seltenheit, um einen Zugriff zu vertraulichen Inhalten zu erreichen.
Dementsprechend ergibt sich die Frage, weshalb Unternehmen nur oberflächlich vor derartigen Angriffen gesichert sind.
Das Stichwort lautet Verschlüsselung, wobei im Allgemeinen zwischen zwei Arten unterschieden werden muss:
Verschlüsselung des Transportweges. Diesbezüglich ist das https-Protokoll zu erwähnen, welches in zeitgemäßen Sicherheitslösungen zumeist vorhanden ist.
Verschlüsselung der zu übertragenden Daten.
Im E-Mail-Sektor sind Verfahren, wie S/Mime oder PGP zu nennen.
Vorsicht beim Social Media:
Zumeist werden Daten mit einem Post-it am Monitor hinterlassen, was als Angriffsfläche für potenzielle Datendiebe dient.
Anzumerken ist, dass nicht immer ein Mitarbeiter für den Datendiebstahl verantwortlich gemacht werden kann, denn sofern externe Besucher im Unternehmen auftauchen, können auch diese ein Risiko bilden.
Ein weiteres Risiko ist das fehlende Sperren des Rechners, dementsprechend kann hier das sicherste Passwort keine Garantie sein, um für eine umfassende Sicherheit zu sorgen.
Phishing-Mails erkennen:
Um Phishing-Mails zu erkennen, sollte man sich folgende Fragen stellen:
Existiert eine Geschäftsbeziehung zum Absender? Verweist der Link auf die richtige Plattform (Impressum und Browser-Leiste kontrollieren)? Sind Rechtschreibfehler in der E-Mail vorhanden?
Gehirn einschalten und nur danach klicken:
Solange der Dateianhang nicht angeklickt wurde, kann der darin enthaltene Virus oder Trojaner nicht auf den Rechner übertragen werden.
Gegenwärtige Lösungen für eine Vermeidung von Malware in E-Mails bieten Fingerprints an.
Diese sind für eine Analysen von Mustern in Dateitypen, z.B. wenn sich ein Virus im exe-Format als PDF-Datei ausweist, wichtig.
Mobil und sicher zugleich:
Ein Schutz des Mobilgeräts mittels eines Passworts ist ebenso essenziell und darüber hinaus sollten Tools für eine Fernwartung bzw. -löschung eingesetzt werden.
Sensibilisierung für das Thema:
Bei einer Neuinstallation sollten Hinweise der Betriebsvereinbarung vorhanden sein, die über den Datenschutz und die genauen Richtlinien im Unternehmen, die Passwortstärke, Änderungsfrequenz, Sicherung des Geräts etc. Auskunft geben.
Nur aufgeklärte Mitarbeiter können den gegenwärtigen Gefahren und Cyberattacken entgegenwirken.
Obwohl die Intensität von Cyberangriffen kontinuierlich steigt, sind Unternehmen diesen Attacken nicht ohne Schutz ausgesetzt.
Faktoren, wie organisatorische Maßnahmen und eine gewisse Scharfsinnigkeit, behindern mögliche Angriffe.
Das Schutzniveau verbessert sich durch IT-Sicherheitslösungen, die eine schnelle Reaktion auf eine Bedrohung ermöglichen.
Dementsprechend werden Mitarbeitende als potenzielle Gefahrenquelle ausgenommen.
Wesentliche Mechanismen können nur eingeschränkt umgangen werden und somit können geschäftskritische und firmeninterne Daten auch zukünftig vor Cyberattacken geschützt werden.
BSI-IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium ist die Basis des IT-Grundschutzes.
Gemeinsam mit den BSI-Standards dient es jedem, der sich detailliert mit der Informationssicherheit auseinandersetzen möchte.
Im Mittelpunkt des IT-Grundschutz-Kompendiums sind die IT-Grundschutz-Bausteine, welche sich mit den Themen rund um die wichtigsten Sicherheitspunkten beschäftigen.
Zunächst werden im primären Abschnitt der IT-Grundschutz-Bausteine potenzielle Gefahren und anschließend Sicherheitsanforderungen vorgestellt.
Grundsätzlich sind diese IT-Grundschutz-Bausteine in zehn verschiedene Bereiche gesplittet, welche die Applikation (APP), die industrielle IT (IND) und das Sicherheitsmanagement (ISMS) umfassen.
Das IT-Grundschutz-Kompendium wird im Februar jedes Jahres in einer aktualisierten Auflage präsentiert.
Das BSI gibt das gesamte Jahr über Entwürfe von Bausteinen preis, die dann von den Verbrauchern kommentiert werden können.
Vor der Anfertigung der Bausteine wurde eine Risikobewertung für jene Bereiche, die einen normalen Schutzbedarf benötigen, vollzogen.
Die vorhandenen Anforderungen in den Bausteinen zeigen den Status Quo der Technik.
Die IT-Grundschutz-Bausteine müssen einen mehrstufigen Reaktionsprozess absolvieren, bevor sie in einer Veröffentlichung des IT-Grundschutz-Kompendiums berücksichtigt werden.
Hier befinden sich die IT-Grundschutz-Bausteine im Status eines Community Drafts und können wiederum binnen vier Wochen kommentiert werden.
Nach Fristende der Kommentierung verweilen die Drafts auf dieser Seite, bis eine neue Auflage vorliegt.
Diesbezüglich muss beachtet werden, dass die IT-Grundschutz-Bausteine im Status eines Drafts nicht zertifizierungsrelevant sind und Community Drafts zusätzlich verändert, werden können.
Sofern die IT-Grundschutz-Bausteine als Final Drafts vorhanden sind, gelten die Texte als beständig und werden dementsprechend in der folgenden Veröffentlichung des IT-Grundschutz-Kompendiums erwähnt.
Jede Bemerkung wird im BSI überprüft und ebenfalls im veröffentlichten IT-Grundschutz-Kompendiums berücksichtigt.
Formate der Edition Druckwerk, PDF-Datei und HTML-Version werden einmal jährlich erneuert.
Gegenwärtig ist in der Fassung des IT-Grundschutzes der Erstellungsprozess der Bausteine im Mittelpunkt.
Künftig können IT-Grundschutz-Anwender und Interessenten des Fachs früher ihre Expertenmeinung und ihr Knowhow erläutern.
Notwendigkeit für Sicherheitsprüfungen
Gemäß des Leitfades KAS-51 werden Sicherheitsüberprüfungen nach SÜG i.V.m §10a SÜFV notwendig, sofern das zuständige Amt diese auf Basis der Beurteilung des Unternehmers als notwendig einstuft.
Eine solche Bewertung erfolgt auf Basis der vollzogenen organisatorischen oder technischen Maßnahmen.
Dementsprechend ist der Betreiber dazu verpflichtet nach §3 Abs. 2 Nr.3 StörfallV, die Sorge zu tragen, dass eine Verhinderung der Störfälle durch Unbefugte ermöglicht wird und nach §9 Abs. 1 Nr.2 StörfallV die Bedrohungen, welche aus Störfällen hervorgehen, sowie potenzielle Störfälle auszuforschen und Maßnahmen zur Eindämmung solcher Vorfälle zu präsentieren, welche für die Eingrenzung von Schäden an die Umwelt und an die Bevölkerung dienen.
Der Betreiber muss daher, wenn technische und organisatorische Maßnahmen zur Eliminierung eines Eingriffs Unbefugter nicht ausreichen, prüfen, ob Sicherheitskontrollen in den sicherheitsrelevanten Bereichen durchgeführt werden müssen.
Diese Sicherheitsüberprüfungen sind ein Beitrag, um die Gefahren eines internen Täters, welcher sich mit den sensiblen Daten beschäftigt, einzudämmen.
Dieser Angestellte könnte beispielsweise Verbindungen zum islamistischen oder anderen extremistischen Milieu haben und ein Sicherheitsrisiko für den sicherheitsrelevanten Bereich darstellen.
Der Betreibende hat die Aufgabe, eine Sicherheitskontrolle der Mitarbeiter klar zu formulieren und darf nicht willkürlich Mitarbeitende überprüfen. Eine derartige Kontrolle wird durch die Polizei und vom Verfassungsschutz ausgeführt.
Diskussion der Ergebnisse
Diese vorliegende Projektarbeit versteht sich als eine Überblicksdarstellung der Maßnahmen für den Schutz vor Angriffen auf sicherheitsrelevante Betriebsbereiche und Anlagenteile durch Unbefugte.
Deutlich wird, dass es sich hierbei um einen umfassenden Bereich handelt und es zusätzlich zu den technischen Maßnahmen, eine Einbeziehung von organisatorischen Maßnahmen, wie beispielswiese ein wirkungsvolles und zielfokussiertes Sicherheitsmanagement bedarf, das wiederum eine tragende Rolle zum Schutz vor Angriffen innehat.
Erwähnt werden muss, dass dieses System eine ständige Anpassung benötigt und technische Maßnahmen kontinuierliche kontrolliert und adaptiert werden müssen.
Fazit
Die Etablierung eines Schutzes vor Attacken von Unbefugten für sicherungsrelevante Anlagenteile und Betriebsbereiche ist komplex.
Allgemein ist es wichtig, die im Leitfaden KAS-44 und KAS-51 vorgestellten Basismaßnahmen im Betrieb zu definieren und zu realisieren.
Ebenso sind für Betriebsbereiche der oberen Klasse erweitere Schutzmaßnahmen notwendig und diese werden über eine Gefahren- und Bedrohungsanalyse erkannt.
Zusätzlich zu den technischen Maßnahmen ist die Etablierung eines Sicherungsmanagementsystems von Relevanz, welches für die regelmäßige Kontrolle und Adaption der Effizienz der integrierten Schutzmaßnahmen benötigt wird.
Ebenso ist der PDCA-Zyklus als Veränderungsmanagementsystem anzuführen.
Quellenverzeichnis
Bruder, Jürgen (o. J.): Schutz für industrielle Anlagen gemäß KAS-44: Wie Gefahren erkannt und Systeme effektiv vor Cyber-Angriffen geschützt werden können. | DIGITALE WELT | Das Wirtschaftsmagazin zur Digitalisierung. Online verfügbar unter: URL: https://digitaleweltmagazin.de/2019/09/09/schutz-fuer-industrielle-anlagen-gemaess-kas-44-wie-gefahren-erkannt-und-systeme-effektiv-vor-cyber-angriffen-geschuetzt-werden-koennen/ [11.04.2021]
Erstellung von Bausteinen (o. J.): Online verfügbar unter: URL: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Drafts/Veroeffentlichungsworkflow/veroeffentlichungsworkflow.html?nn=128382 [11.04.2021]
Mengenschwelle: 12. BimSchV (Störfallverordnung) (o. J.): Online verfügbar unter: URL: https://www.knauber-lng.de/mengenschwelle.html [11.04.2021]
Schluss mit Cyberattacken: Top 10 Tipps für mehr IT-Sicherheit (o. J.): Online verfügbar unter: URL: https://www.gbs.com/de/ebook-schluss-mit-cyberattacken [11.04.2021]
Titel: BSI – Lerneinheit 6.1: Anforderungen (o. J.): Online verfügbar unter: URL: https://www.google.com/imgres [11.04.2021]
