IT-Security-Management

Andreas Mühlbauer,

Effizientes IT-Security-Management

Soll ein IT-Security-Management in der Produktion aufgebaut werden, gilt es die Bedrohungen und Risiken zu bewerten sowie wirtschaftliche Gegenmaßnahmen zu ergreifen. Beim Betreiber müssen technische und kaufmännische Betrachtungen Hand in Hand gehen. Der Security-Anbieter muss das angestrebte Security-Niveau dokumentieren und aufrecht erhalten. 

Die sicherheitsrelevanten Bedrohungen der IT einer Produktion sind vielfältig. © Phoenix Contact

Als Basis zur Umsetzung eines IT-Security-Managements müssen zunächst die zu schützenden Werte identifiziert werden. Sie reichen von der Verfügbarkeit der Produktionseinrichtungen über das spezifische Know-how bis zu den Sachwerten. Nachdem die relevanten Bedrohungen ermittelt worden sind, lassen sich die Risiken beurteilen sowie Gegenmaßnahmen planen. Gemäß Glossar des IT-Grundschutzes handelt es sich bei einer Bedrohung um einen „Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann“. Die Erfassung der Bedrohungen fällt unter Umständen sehr umfangreich aus. Gute Unterstützung bieten Kataloge wie der Gefährdungskatalog aus dem IT-Grundschutz. Für bestimmte Szenarien existieren spezielle Kataloge, beispielsweise aus dem „Open Web Application Security Project“. Zum Einstieg in die Bedrohungsanalyse sollte der Fokus auf den größten Schadenspotenzialen liegen. Dies könnte ein Produktionsausfall sein.

Matrix zur Risikobewertung für einen Betreiber: Risiken werden nach wirtschaftlichen Auswirkungen bewertet. © Phoenix Contact

Der Betreiber kennt seine Anwendungsbedingungen und kann daher die mögliche Schadenshöhe sowie eine wirtschaftliche Abwägung für die Risikobewertung angeben. Er kann auf unrentable Aktivitäten verzichten und stattdessen ein Risiko akzeptieren. Wichtig ist, dass die Bedrohungen und Risiken als Entscheidungsgrundlage transparent und vollständig vorliegen. Der Anbieter eines Produkts oder einer Lösung muss seine Bedrohungs- und Risikoanalyse auf Annahmen stützen. Diese sollten die Einsatzbedingungen möglichst gut widerspiegeln. Für den Anbieter erweisen sich nur die Bedrohungen als relevant, die sein Angebot direkt betreffen. Er beschreibt dann in seiner Security-Dokumentation den bestimmungsgemäßen Gebrauch, sodass der Käufer, der Betreiber oder ein anderer Beteiligter in der Wertschöpfung die Eignung der Lösung für seine Zwecke einschätzen kann.

Anzeige

Der Anbieter führt nun ebenfalls seine Risikobewertung durch und setzt die Aktivitäten um. Er ist dabei an seine zugesagten Security-Eigenschaften gebunden und kann Risiken nicht stillschweigend billigen, weil ihm etwa die anfallenden Kosten nicht angemessen erscheinen. In einem solchen Fall müsste der Anbieter entweder den bestimmungsgemäßen Gebrauch einschränken oder die verbleibende Bedrohung dokumentieren und gegebenenfalls kompensierende Maßnahmen vorschlagen. Auf dieser Grundlage kann der Käufer wiederum eine Entscheidung fällen.

Sicherheitsniveau ist nur indirekt von den einzelnen Geräten abhängig

Möchte der Anbieter eine technische Risikobewertung vornehmen, muss er das Schadensausmaß technisch verstehen. Das „Common Vulnerability Scoring System“ (CVSSv3) empfiehlt eine Aufteilung, deren höchste Stufe als „kritisch“ bezeichnet wird. Im Fall eines Datenverlusts könnten sich die Auswirkungen beispielsweise von „unwichtige Daten verloren“ bis „wichtige Daten verloren und nicht wieder herstellbar“ erstrecken. Zur Beurteilung der Wahrscheinlichkeit des Auftretens von Risiken werden häufig die Faktoren erforderliches Know-how und Ressourcen sowie der Angriffsweg und notwendige Voraussetzungen zugrunde gelegt. Letztlich basieren sowohl das Schadensausmaß als auch die Eintrittswahrscheinlichkeit auf einer Experteneinschätzung, die von den vorgesehenen Einsatzbedingungen abhängt.

Ein Spannungsfeld in der Bedrohungs- und Risikoanalyse stellt das Zusammenwirken von Einzelaspekten im System dar. Um ein sicheres System aufzubauen, werden sichere Komponenten benötigt. Das erzielbare Security-Niveau hängt aber nur indirekt von den Security-Eigenschaften der Geräte ab. So lassen sich beispielsweise unsichere Komponenten in einem sicheren System betreiben, sofern sie durch vorgeschaltete Maßnahmen isoliert und lediglich von anderen sicheren Systemen ansprechbar sind.

Ablauf eines Security-Management-Prozesses. © Phoenix Contact

Die Risikobewertung für eine Komponente oder ein System kann sich schnell verändern, wenn eine Schwachstelle gefunden wird. Die Ursache liegt oftmals in einem Implementierungsfehler. Zur Einschätzung des Schweregrads einer Schwachstelle hat sich das erwähnte CVSS durchgesetzt. Ähnlich wie bei der normalen technischen Risikoanalyse wird die Ausnutzbarkeit des Fehlers auf der Grundlage des Angriffsvektors und der Angriffswege beurteilt. Außerdem erfolgt eine Bewertung der Auswirkungen im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit („Base Score“). Im Ergebnis erhält der Anwender nur eine Zahl zwischen 0 und 10 zur Einschätzung.

Unterschiedliche Bewertung von Schwachstellen

In diesem Fall gilt ebenso, dass eine Schwachstelle in einer Komponente nicht zwingend in der gleichen Beurteilung auf der Systemebene resultieren muss. Aus Betreibersicht ist es durchaus möglich, dass die Bewertung einer Schwachstelle zu anderen Ergebnissen führt, weil der Anbieter von einem angenommenen Einsatzszenario ausgeht, der Betreiber aber davon abweichende Schutzziele hat. Das CVSS umfasst daher auch eine Einschätzung über die realen Anwendungsbedingungen („Environmental Score“). Grundsätzlich sollten Schwachstellen jedoch über die Zulieferkette verfolgt, die Risiken bewertet und Gegenmaßnahmen eingeleitet werden.

Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer im Bereich Corporate Technology & Value Chain, Phoenix Contact. © Phoenix Contact

Phoenix Contact unterstützt seine Kunden über die gesamte Prozesskette mit standardisierter Security. Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten. Zum Aufbau sicherer Netzwerke tragen auch die Security-Komponenten wie Firewalls und sichere Steuerungen bei. Vom sicheren Entwicklungsprozess bis zum kontinuierlichen Schwachstellenmanagement des Phoenix Contact PSIRT (Product Security Incident Response Team) ist Security im kompletten Lebenszyklus der Produkte und Lösungen verankert. Erfahrung und Wertschöpfungstiefe unterstützen die Anwender beim Erreichen ihrer Security-Qualitätsziele.

Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer, Corporate Technology & Value Chain, Phoenix Contact / am

Anzeige

Das könnte Sie auch interessieren

Anzeige

SCOPE-Veranstaltungsreihe

"OT meets IT" – die Serie

Am 16. und 17. Oktober laden wir von SCOPE Sie zu den ersten beiden Veranstaltungen der Serie „OT meets IT“ nach Darmstadt ein. Starten wird die Reihe mit der Veranstaltung „Vernetzung und Kommunikation“ am 16.Oktober und wird fortgesetzt am 17....

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Security

Cybersicherheit für die Industrie 4.0

Das Industrial Internet of Things (IIoT) befeuert die Heterogenität von Systemen und Geräten innerhalb von Unternehmen. Damit wächst die potenzielle Angriffsfläche für Cyberattacken. Denn egal ob Produktions-straße, IoT-Gerät oder Roboter; alles ist...

mehr...

CyberArk

5 Tipps gegen Insider-Bedrohung

Damit Insider-Bedrohung frühzeitig erkannt und unterbunden werden kann, helfen einfache Tipps, wie beispielsweise das Sichern von Anmeldedaten oder die Befugnisse der Accounts einzugrenzen.

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite