| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| content:kritis [2024/12/04 01:48] – approve | content:kritis [2025/06/10 17:53] (aktuell) – [Relevante Normen und Richtlinien (unvollständig)] approve |
|---|
| ====== Safety (Security) Risiko in Kritischen Infrastrukturen ====== | ====== Safety (Security) Risiko in Kritischen Infrastrukturen ====== |
| |
| "Kritische Infrastrukturen (KRITIS) float sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." <sup>fckgL1</sup> | "Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung |
| | für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende |
| | Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische |
| | Folgen eintreten würden." <sup>fckgL1</sup> |
| |
| Es wurden 2009 neun Sektoren der Kritischen Infrastrukturen definiert: | Die KRITIS-Verordnung vom 22.04.2016 definiert die folgenden Sektoren: |
| |
| * Energie | * Energie |
| * Gesundheit | |
| * Informationstechnik und Telekommunikation | |
| * Transport und Verkehr | |
| * Medien und Kultur | |
| * Wasser | * Wasser |
| * Finanz- und Versicherungswesen | |
| * Ernährung | * Ernährung |
| * Staat und Verwaltung | * Informationstechnik und Telekommunikation |
| | * Gesundheit |
| | * Finanz- und Versicherungswesen |
| | * Transport und Verkehr |
| | * Siedlungsabfallentsorgung |
| |
| ===== Relevante Normen und Richtlinien (unvollständig) ===== | ===== Relevante Normen und Richtlinien (unvollständig) ===== |
| |
| Hier bitte eine (i.d.R. unvollständige) Liste der relevanten Normen einfügen. | Tabelle 1: Relevante Normen und Richtlinien für den Bereich "Safety und Security" |
| | |
| | ^Kennung^Jahr^Titel^Anmerkung| |
| | |[[https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/BSI-Gesetz/bsi-gesetz_node.html|BSI-Gesetz]]|2021|Gesetz über das Bundesamt für Sicherheit in der Informationstechnik|-| |
| | |[[https://www.gesetze-im-internet.de/bsi-kritisv/|KRITIS-Verordnung]]|2016|Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz|-| |
| | |[[https://www.gesetze-im-internet.de/enwg_2005/__11.html|EnWG]]| |Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz - EnWG) § 11 Betrieb von Energieversorgungsnetzen|-| |
| | |[[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html|BSI Standard 200-1]]|2017|Managementsysteme für Informationssicherheit (ISMS)|-| |
| | |[[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html|BSI Standard 200-2]]|2017|IT-Grundschutz-Methodik|-| |
| | |[[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html|BSI Standard 200-3]]|2017|Risikoanalyse auf der Basis von IT-Grundschutz|-| |
| | |[[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html|BSI Standard 200-4]]|2023|Business Continuity Management|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-iso-iec-27001/370680635|ISO 27001 ff]]|2024|Information security, cybersecurity and privacy protection — Information security management systems|-| |
| | |ISO/IEC 62443|-|Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme|-| |
| | |[[https://www.kompass-sicherheitsstandards.de|Übersicht für die IT-Sicherheit relevanter Standards]]|-|kompass-sicherheitsstandards|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-16763/255820060|DIN EN 16763:2017-04]]|2017|Dienstleistungen für Brandsicherheitsanlagen und Sicherheitsanlagen|Deutsche Fassung EN 16763:2017| |
| | |[[https://www.congress.gov/bill/115th-congress/house-bill/5515/text|NDAA-Konformität]]|2019|National Defense Authorization Act (NDAA)|-| |
| | |[[https://www.acquisition.gov/dfars/252.204-7012-safeguarding-covered-defense-information-and-cyber-incident-reporting.|DFARS 252.204-7012 ]]|2024|Defense Federal Acquisition Regulation Supplement - Anforderungen an die Cybersicherheit|Die CMMC-Bemühungen basieren auf dieser Vorschrift| |
| | |[[https://www.acq.osd.mil/asda/dpc/cp/cyber/cmmc.html|CMMC]]|-|Policy - Cybersecurity Maturity Model Certification (CMMC)|-| |
| |
| * BSI-Gesetz (([[https://www.bsi.bund.de/DE/Das-BSI/Auftrag/BSI-Gesetz/bsi-gesetz_node.html|https://www.bsi.bund.de/DE/Das-BSI/Auftrag/BSI-Gesetz/bsi-gesetz_node.html]])) | |
| * KRITIS-Verordnung (([[https://www.gesetze-im-internet.de/bsi-kritisv/|https://www.gesetze-im-internet.de/bsi-kritisv/]])) | |
| * EnWG §11 | |
| * BSI Standard 200-1 | |
| * BSI Standard 200-2 | |
| * BSI Standard 200-3 | |
| * BSI Standard 200-4 | |
| * ISO 27001 ff | |
| * ISO/IEC 62443 | |
| * Übersicht für die IT-Sicherheit relevanter Standards ([[https://www.kompass-sicherheitsstandards.de|https://www.kompass-sicherheitsstandards.de]]) | |
| * DIN EN 16763:2017-04 Dienstleistungen für Brandsicherheitsanlagen und Sicherheitsanlagen; Deutsche Fassung EN 16763:2017 | |
| * NDAA-Konformität ([[https://www.congress.gov/bill/115th-congress/house-bill/5515/text|https://www.congress.gov/bill/115th-congress/house-bill/5515/text]]) | |
| * Die CMMC-Bemühungen bauen auf der bestehenden Vorschrift (DFARS 252.204-7012) auf, die auf Vertrauen basiert, indem sie eine Verifizierungskomponente in Bezug auf die Cybersicherheitsanforderungen hinzufügen. | |
| * [[https://www.acq.osd.mil/cmmc/|https://www.acq.osd.mil/cmmc/]] | |
| |
| ===== 1 Risiko: Definition und Herausforderungen ===== | ===== 1 Risiko: Definition und Herausforderungen ===== |
| Bei der Verwendung des Risikobegriffs beim Schutz kritischer Infrastrukturen muss auf zwei Ebenen differenziert werden. Zum einen ist eine Unterscheidung zwischen frequentistisch auftretenden operationalen, insbesondere technischen Risiken und nicht frequentistisch auftretenden kritischen Bedrohungslagen notwendig. | Bei der Verwendung des Risikobegriffs beim Schutz kritischer Infrastrukturen muss auf zwei Ebenen differenziert werden. Zum einen ist eine Unterscheidung zwischen frequentistisch auftretenden operationalen, insbesondere technischen Risiken und nicht frequentistisch auftretenden kritischen Bedrohungslagen notwendig. |
| |
| Frequentistisch auftretende Risiken sind ganz überwiegend der Safety zuzuordnen, wobei hier einschlägige Normen bspw. aus dem Bereich der funktionalen Sicherheit (Verweis) Verwendung finden. Zusätzlich gibt es hier in Teilbereichen, die das Potential für besonders große Auswirkungen auf Umwelt und Mensch haben besondere Regelwerke, bspw. für den Bahnverkehr oder (Atom-) kraftwerke (Verweise wenn möglich). \\ Nicht frequentistisch auftretende Bedrohungslagen, aus denen Großschadenslagen bzw. der Ausfall der betrachteten Infrastruktur und/oder abhängigen (kritischen) Infrastrukturen können im Wesentlichen zwei Ursachen haben: Natürliche Gefahren, bspw. Extremwetterereignisse oder Bedrohungen durch menschengemachte Angriffe auf einzelne Bestandteile der Infrastruktur. Besonderheit dieser Bedrohungen ist, dass sie nach dem auslösenden Ereignis zu kaskadierenden Effekten sowohl innerhalb der betrachteten Infrastruktur selbst als strukturübergreifend führen können. (Quelle) Im eigentlichen Sinn werden diese beiden Ursachen beim Schutz kritischer Infrastrukturen betrachtet. | Frequentistisch auftretende Risiken sind ganz überwiegend der Safety zuzuordnen, wobei hier einschlägige Normen bspw. aus dem Bereich der funktionalen Sicherheit (Verweis) Verwendung finden. Zusätzlich gibt es hier in Teilbereichen, die das Potential für besonders große Auswirkungen auf Umwelt und Mensch haben besondere Regelwerke, bspw. für den Bahnverkehr oder (Atom-) kraftwerke (Verweise wenn möglich). |
| | |
| | Nicht frequentistisch auftretende Bedrohungslagen, aus denen Großschadenslagen bzw. der Ausfall der betrachteten Infrastruktur und/oder abhängigen (kritischen) Infrastrukturen können im Wesentlichen zwei Ursachen haben: Natürliche Gefahren, bspw. Extremwetterereignisse oder Bedrohungen durch menschengemachte Angriffe auf einzelne Bestandteile der Infrastruktur. Besonderheit dieser Bedrohungen ist, dass sie nach dem auslösenden Ereignis zu kaskadierenden Effekten sowohl innerhalb der betrachteten Infrastruktur selbst als strukturübergreifend führen können. (Quelle) Im eigentlichen Sinn werden diese beiden Ursachen beim Schutz kritischer Infrastrukturen betrachtet. |
| |
| ===== Gesetzliche Pflichten ===== | ==== Gesetzliche Pflichten ==== |
| |
| „Betreiber Kritischer Infrastrukturen sind verpflichtet […], organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der "Stand der Technik" eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“ (BSI-Gesetz) In der Gesetzesbegründung des IT-SiG ist "Stand der Technik" wie folgt beschrieben: „Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten.“ | „Betreiber Kritischer Infrastrukturen sind verpflichtet […], organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der "Stand der Technik" eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“ (BSI-Gesetz) In der Gesetzesbegründung des IT-SiG ist "Stand der Technik" wie folgt beschrieben: „Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten.“ |
| ==== Definitionen ==== | ==== Definitionen ==== |
| |
| Das BSI hat im Rahmen des IT-Grundschutz-Kompendium ein Glossar erstellt. Auf dieses wird im Rahmen der Aufgaben des BSI in Bezug auf KRITIS zurückgegriffen. Gleiches gilt für Anforderungen der BNetzA in Bezug auf IT-Sicherheit. Die Definitionen lehnen sich an die ISO-Normen im Bereich der ISO270XX an. Im Folgenden werden die Definition zu einigen Begriffen aus dem Glossar des BSI zitiert: Asset | Das BSI hat im Rahmen des IT-Grundschutz-Kompendium ein Glossar erstellt. Auf dieses wird im Rahmen der Aufgaben des BSI in Bezug auf KRITIS zurückgegriffen. Gleiches gilt für Anforderungen der BNetzA in Bezug auf IT-Sicherheit. Die Definitionen lehnen sich an die ISO-Normen im Bereich der ISO270XX an. Im Folgenden werden die Definition zu einigen Begriffen aus dem Glossar des BSI zitiert: |
| |
| Beschreibt das zu schützende (Teil-)System der Infrastruktur. Dies kann sich sowohl auf einzelne Komponenten, als auch Teile oder auch das gesamte System der Infrastruktur beziehen. Das Asset oder die Assets einer Infrastruktur sind in der Regel Ziele möglicher Angriffe und dienen daher als Ausgangspunkt weiterer systemischer Betrachtungen bzgl. des Performanceverlustes der gesamten Infrastruktur. | |
| |
| === Natürliche Gefahren / Bedrohung === | === Natürliche Gefahren / Bedrohung === |
| |
| Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Ein modernerer Begriff dafür ist „Informationssicherheit“. | Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Ein modernerer Begriff dafür ist „Informationssicherheit“. |
| |
| === Cyber-Security === | |
| |
| Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. Sind beispielsweise Schadprogramme eine Bedrohung oder eine Gefährdung für Anwender, die im Internet surfen? Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Schadprogramme im Internet bedroht sind. Der Anwender, der eine virenverseuchte Datei herunterlädt, wird von dem Schadprogramm gefährdet, wenn sein IT-System anfällig für diesen Typ des Schadprogramms ist. Für Anwender mit einem wirksamen Virenschutz, einer Konfiguration, die das Funktionieren des Schadprogramms verhindert, oder einem Betriebssystem, das den Code des Schadprogramms nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung. | |
| |
| === Indikatoren === | |
| |
| * Wie wird das Risiko, werden Safety und Security in der Disziplin beschrieben: Begriffe, Modelle und Verfahren? | |
| * Welche Probleme und Dilemmata sind in Ihrer Disziplin charakteristisch? | |
| * Wie werden unscharfe oder unsichere Risikobeiträge behandelt? | |
| |
| === Informationssicherheit === | === Informationssicherheit === |
| === Risiko === | === Risiko === |
| |
| |Safety|Cyber-Security| | |**Safety** |**Cyber-Security** | |
| |Grundsätzlich werden Bedrohungen bzw. daraus resultierende Risiken bei der Analyse der Sicherheit kritischer Infrastrukturen auf Basis von Szenarien betrachtet (s.a. Abschnitt 2). Das bedeutet, dass nach einer Identifikation möglicher Szenarien sowohl deren Schadenspotential als auch die Verwundbarkeit der analysierten Infrastruktur ermittelt werden. Daraus ergibt sich ein dreigliedriger Risikoansatz (Verweis Definition Safety & Security): \\ Risiko=f(Bedrohung, Verwundbarkeit, Auswirkung)|Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit. In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt. Im Unterschied zu „Gefährdung“ umfasst der Begriff „Risiko“ bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.| | |Grundsätzlich werden Bedrohungen bzw. daraus resultierende Risiken bei der Analyse der Sicherheit kritischer Infrastrukturen auf Basis von Szenarien betrachtet (s.a. Abschnitt 2). Das bedeutet, dass nach einer Identifikation möglicher Szenarien sowohl deren Schadenspotential als auch die Verwundbarkeit der analysierten Infrastruktur ermittelt werden. Daraus ergibt sich ein dreigliedriger Risikoansatz (Verweis Definition Safety & Security): \\ Risiko=f(Bedrohung, Verwundbarkeit, Auswirkung)|Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit. In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt. Im Unterschied zu „Gefährdung“ umfasst der Begriff „Risiko“ bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.| |
| |
| |
| ^Safety^Cyber-Security| | ^Safety^Cyber-Security| |
| | \\ Auswirkung \\ \\ Bei der Betrachtung der Auswirkungen sind zwei Ebenen zu berücksichtigen. Zunächst muss die direkte Auswirkung der realisierten Bedrohung auf das Asset analysiert werden. Hierbei steht der Grad der Zerstörung und der Funktionsverlust oder eine initiale Kontaminierung mit Gefahrstoffen im Vordergrund. Auf Basis dieser Analyse des Systemstressors kann darauffolgend die systemische Wirkung des betrachteten Funktionsverlust für die Infrastruktur bewertet werden. Hierbei ist insbesondere dann der Verlust der Performance, d.h. bspw. der Kapazität zur Versorgung der Bevölkerung oder abhängiger Infrastrukturen über Kaskadeneffekte von Interesse. Dieser wird üblicherweise über Indikatoren ermittelt bzw. abgeschätzt. \\ \\ | \\ Schaden / Konsequenz \\ \\ Eine Abweichung von einem erwarteten Ergebnis führt zu einer Konsequenz (häufig „Schaden“ genannt). Hierbei kann es sich grundsätzlich um eine positive oder negative Abweichung handeln. Eine positive Konsequenz / positiver Schaden im Sinne der Chancen- und Risikoanalyse wird auch als Chance bezeichnet. Meistens werden in der Risikoanalyse jedoch die negativen Konsequenzen, also die Schäden, betrachtet. Das Ausmaß eines Schadens wird als Schadenshöhe definiert und kann als bezifferbar oder nicht direkt bezifferbar betitelt werden. Die bezifferbaren Schäden können in der Regel mit direkten Aufwänden (z. B. finanzieller Art) dargestellt werden. Zu den nicht direkt bezifferbaren Schäden gehören z. B. Imageschäden oder Opportunitätskosten. Bei diesen lässt sich die tatsächliche Schadenshöhe häufig nur vermuten oder schätzen. Alle Angaben werden in der Regel aufgrund von Erfahrungs- oder Branchenwerten in Kategorien klassifiziert.| | | \\ Auswirkung \\ \\ Bei der Betrachtung der Auswirkungen sind zwei Ebenen zu berücksichtigen. Zunächst muss die direkte Auswirkung der realisierten Bedrohung auf das Asset analysiert werden. Hierbei steht der Grad der Zerstörung und der Funktionsverlust oder eine initiale Kontaminierung mit Gefahrstoffen im Vordergrund. Auf Basis dieser Analyse des Systemstressors kann darauffolgend die systemische Wirkung des betrachteten Funktionsverlust für die Infrastruktur bewertet werden. Hierbei ist insbesondere dann der Verlust der Performance, d.h. bspw. der Kapazität zur Versorgung der Bevölkerung oder abhängiger Infrastrukturen über Kaskadeneffekte von Interesse. Dieser wird üblicherweise über Indikatoren ermittelt bzw. abgeschätzt. \\ | \\ Schaden / Konsequenz \\ \\ Eine Abweichung von einem erwarteten Ergebnis führt zu einer Konsequenz (häufig „Schaden“ genannt). Hierbei kann es sich grundsätzlich um eine positive oder negative Abweichung handeln. Eine positive Konsequenz / positiver Schaden im Sinne der Chancen- und Risikoanalyse wird auch als Chance bezeichnet. Meistens werden in der Risikoanalyse jedoch die negativen Konsequenzen, also die Schäden, betrachtet. Das Ausmaß eines Schadens wird als Schadenshöhe definiert und kann als bezifferbar oder nicht direkt bezifferbar betitelt werden. Die bezifferbaren Schäden können in der Regel mit direkten Aufwänden (z. B. finanzieller Art) dargestellt werden. Zu den nicht direkt bezifferbaren Schäden gehören z. B. Imageschäden oder Opportunitätskosten. Bei diesen lässt sich die tatsächliche Schadenshöhe häufig nur vermuten oder schätzen. Alle Angaben werden in der Regel aufgrund von Erfahrungs- oder Branchenwerten in Kategorien klassifiziert.| |
| |
| === Schwachstelle (englisch „vulnerability“) / Verwundbarkeit === | === Schwachstelle (englisch „vulnerability“) / Verwundbarkeit === |
| |
| |Safety|Cyber-Security| | |**Safety** |**Cyber-Security** | |
| | \\ Verwundbarkeit \\ \\ Beschreibt, wie stark die Leistung eines (Teil-)Systems durch eine bestimmte Störung reduziert werden könnte, d.h. wie stark die negativen Auswirkungen der Störung wären (Aven, et al., 2018; Häring, et al., 2017; Fischer, Hiermaier, Riedel, & Häring, 2018). Die Definition des Begriffs unterscheidet sich jedoch in anderen Bereichen, z. B. bezieht sich Vulnerabilität im Sicherheitskontext auf die Wahrscheinlichkeit einer negativen Auswirkung von Störereignissen (McGill, Ayyub, & Kaminskiy, 2007), und in sozio-ökologischen Systemen beschreibt sie die Anfälligkeit für potenzielle Schäden, die durch Veränderungen und mangelnde Anpassungsfähigkeit verursacht werden (Adger, 2006). \\ Während die genaue Beziehung zwischen Anfälligkeit und Widerstandsfähigkeit noch diskutiert wird, besteht Konsens darüber, dass Resilienz eine von mehreren Möglichkeiten zur Verringerung der systemischen Verwundbarkeit ist (Rose, 2007; Mottahedi, Sereshki, Ataei, Qarahasanlou, & Barabadi, 2021); eine weitere Strategie ist die Schadensbegrenzung (Rose, 2007).| \\ Schwachstelle \\ \\ Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen.| | | \\ Verwundbarkeit \\ \\ Beschreibt, wie stark die Leistung eines (Teil-)Systems durch eine bestimmte Störung reduziert werden könnte, d.h. wie stark die negativen Auswirkungen der Störung wären (Aven, et al., 2018; Häring, et al., 2017; Fischer, Hiermaier, Riedel, & Häring, 2018). Die Definition des Begriffs unterscheidet sich jedoch in anderen Bereichen, z. B. bezieht sich Vulnerabilität im Sicherheitskontext auf die Wahrscheinlichkeit einer negativen Auswirkung von Störereignissen (McGill, Ayyub, & Kaminskiy, 2007), und in sozio-ökologischen Systemen beschreibt sie die Anfälligkeit für potenzielle Schäden, die durch Veränderungen und mangelnde Anpassungsfähigkeit verursacht werden (Adger, 2006). \\ Während die genaue Beziehung zwischen Anfälligkeit und Widerstandsfähigkeit noch diskutiert wird, besteht Konsens darüber, dass Resilienz eine von mehreren Möglichkeiten zur Verringerung der systemischen Verwundbarkeit ist (Rose, 2007; Mottahedi, Sereshki, Ataei, Qarahasanlou, & Barabadi, 2021); eine weitere Strategie ist die Schadensbegrenzung (Rose, 2007).| \\ Schwachstelle \\ \\ Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen.| |
| |
| Im Bereich der Ermittlung der Stressoren sind fehlende Evidenz und nicht frequentistische Eintrittswahrscheinlichkeiten der Gefahren oder Bedrohungen ein Hindernis. Die resultierenden epistemischen Unsicherheiten führen dazu, dass oft im Sinne von Use-Cases bzw. „what-if“-Szenarien vorgegangen wird. Alternativ werden relative Eintrittswahrscheinlichkeiten geschätzt. | Im Bereich der Ermittlung der Stressoren sind fehlende Evidenz und nicht frequentistische Eintrittswahrscheinlichkeiten der Gefahren oder Bedrohungen ein Hindernis. Die resultierenden epistemischen Unsicherheiten führen dazu, dass oft im Sinne von Use-Cases bzw. „what-if“-Szenarien vorgegangen wird. Alternativ werden relative Eintrittswahrscheinlichkeiten geschätzt. |
| |
| Die Verwundbarkeitsanalyse der Teilkomponenten bezüglich der direkten Auswirkungen wird zumeist quantitativ ermittelt, wobei hier verschiedene Methoden zum Einsatz kommen. Im bEreich der Naturgefahren werden, abhängig vom betrachteten Szenario und Stressor, bspw. numerische Simulationen oder probabilistische Methoden aus Zuverlässigkeit und funktionaler Sicherheit angewendet. | Die Verwundbarkeitsanalyse der Teilkomponenten bezüglich der direkten Auswirkungen wird zumeist quantitativ ermittelt, wobei hier verschiedene Methoden zum Einsatz kommen. Im Bereich der Naturgefahren werden, abhängig vom betrachteten Szenario und Stressor, bspw. numerische Simulationen oder probabilistische Methoden aus Zuverlässigkeit und funktionaler Sicherheit angewendet. |
| |
| Im Bereich der Bedrohungen durch Angriffe gibt es neben quantitativen auch qualitative Ansätze zur Verwundbarkeitsanalyse. Quantitative Ansätze arbeiten zumeist modellbasiert, während qualitative Ansätze zumeist nach Norm oder Richtlinie arbeiten. | Im Bereich der Bedrohungen durch Angriffe gibt es neben quantitativen auch qualitative Ansätze zur Verwundbarkeitsanalyse. Quantitative Ansätze arbeiten zumeist modellbasiert, während qualitative Ansätze zumeist nach Norm oder Richtlinie arbeiten. |
| === Szenarioanalyse === | === Szenarioanalyse === |
| |
| Die bspw. mittels morphologischer Analyse ermittelten Szenarien charakterisieren die mögliche Bedrohungslage, d.h. mögliche Verläufe natürlicher Gefahren oder Angriffen. Maßgebliche Faktoren zur Szenariobeschreibung für menschengemachte Angriffe sind in Tabelle 1 angegeben. Die Szenariofaktoren für natürliche Gefahren sind vielfältiger und sind insbesondere auf zeitliche und räumliche Ausdehnung, sowie die Intensität bezogen. \\ - Tabelle 1 Szenariofaktoren nach Garcia \\ Durch die Sammlung weiterer Faktoren können die Szenarien genauer beschrieben werden. Dies Auswahl möglicher Szenarien sollte systematisch erfolgen, bspw. über Konsistenzanalyse oder die Methode des Cross-Impact-Balancing (Quelle). Auf diese Weise können inkonsistente Szenarien aus der Analyse eliminiert und durch Experten als besonders stark zusammenhängende Szenarien gefiltert werden. | Die bspw. mittels morphologischer Analyse ermittelten Szenarien charakterisieren die mögliche Bedrohungslage, d.h. mögliche Verläufe natürlicher Gefahren oder Angriffen. Maßgebliche Faktoren zur Szenariobeschreibung für menschengemachte Angriffe sind in Tabelle 1 angegeben. Die Szenariofaktoren für natürliche Gefahren sind vielfältiger und sind insbesondere auf zeitliche und räumliche Ausdehnung, sowie die Intensität bezogen.\\ |
| | - Tabelle 1 Szenariofaktoren nach Garcia\\ |
| | Durch die Sammlung weiterer Faktoren können die Szenarien genauer beschrieben werden. Dies Auswahl möglicher Szenarien sollte systematisch erfolgen, bspw. über Konsistenzanalyse oder die Methode des Cross-Impact-Balancing (Quelle). Auf diese Weise können inkonsistente Szenarien aus der Analyse eliminiert und durch Experten als besonders stark zusammenhängende Szenarien gefiltert werden. |
| |
| === Use-Cases und „what-if”-Szenarien === | === Angriffe (Security) === |
| |
| === Verwundbarkeitsanalyse === | Die physische Sicherheit (Querverweis: Security) hat zum Ziel, erfolgreiche Angriffe zu verhindern. Hierzu werden potenzielle Angriffsszenarien identifiziert und Maßnahmen zur Vereitelung solcher Angriffe ergriffen. Ein umfassendes Verständnis dieses Konzepts erfordert die Berücksichtigung mehrerer Faktoren, darunter die Wahrscheinlichkeit von Bedrohungen, die Verwundbarkeit und das Schadenspotenzial. In diesem Zusammenhang wurden mehrere Modelle zur Quantifizierung des physischen Sicherheitsrisikos (Querverweis Security) entwickelt, die jeweils ihre Stärken und Grenzen haben. |
| |
| === Naturgefahren === | === Naturgefahren === |
| | Im Bereich der Naturgefahren für KRITIS werden überwiegend Ansätze verfolgt, die auf die Auswirkungen möglicher Extremwetterereignisse fokussieren. Ähnlich wie im Bereich der Security sind tatsächlich eintretende Ereignisse selten, eine frequentistische Betrachtung jedoch näherungsweise möglich. Bedingt durch die Komplexität der Extremwetterereignisse und der vernetzten Struktur der KRITIS ist es jedoch nur schwer möglich ausschließlich risikobasiert zu arbeiten: Die Ausprägung der Extremwetterereignisse kann stark variieren und das Verhalten der komplexen vernetzten KRITIS ist nur schwer exakt vorherzusagen. Das Konzept der Resilienz (Querverweis: Resilienz) nähert sich dieser Problematik mit einem systematischen Ansatz, der auf die Analyse und Minderung von Auswirkungen zielt. KRITIS werden hierbei als Bereitsteller essentieller Services für die Gesellschaft betrachtet, wobei der Output der jeweiligen Infrastruktur, bspw. der Anteil der versorgten Bevölkerung, als wichtigster Indikator für die Systemleistung (Key Performance Indicator) betrachtet wird. Naturgefährdungen werden bewertet, in dem die Auswirkungen, die sie auf diesen Indikator haben analysiert. Diese Analyse kann mit gängigen Methoden der Risikoanalyse durchgeführt werden, insbesondere kommen hier Kombinationen aus modellbasierten Simulationen von Extremwetterereignissen, dem Verhalten von KRITIS-Systemen und kaskadierenden Effekten in What-if Szenarien zum Einsatz. Unsicherheit bzgl. der Szenarioausprägung, d.h. dem genauen Verlauf eines Extremwetterereignisses und dem Systemverhalten werden durch die Variation entsprechender Modellparameter z.B. durch Monte-Carlo Simulationen berücksichtigt. |
| |
| === Angriffe (Security) === | |
| |
| === Auswirkungs- und Kritikalitätsanalyse === | |
| |
| * Wie werden Risikoanalysen in Ihrer Disziplin durchgeführt? (qualitativ, quantitativ, semi-quantitativ, nach Norm oder Richtlinie) | |
| * Welche Metriken kommen hierbei zum Einsatz? | |
| * Wie treten Wechselwirkungen der Domänen Safety und Security in der Risikoanalyse in Ihrer Disziplin in Erscheinung und wie werden diese behandelt? | |
| |
| ==== Cyber-Security ==== | ==== Cyber-Security ==== |
| |
| Im Rahmen des Risikomanagements sind die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten. Eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend (siehe "Umgang mit Risiken"). Als Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Die Safety-Funktionen der Anlagen wird nur indirekt adressiert, da es bei einer Störung zu einer Beeinträchtigung der kritischen Dienstleistung kommt. Dennoch ist zu berücksichtigen, dass der Aufwand zur Umsetzung der Maßnahmen nicht außer Verhältnis zum Risikoausmaß für die Bevölkerung steht. Ein Risikomanagement unter Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit, wie in ISO 27001 oder IT-Grundschutz des BSI üblich, ist möglich, solange sichergestellt ist, dass Authentizität bei der Risikobewertung und Maßnahmenauswahl berücksichtigt wird. | Im Rahmen des Risikomanagements sind die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten. Eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend (siehe "Umgang mit Risiken"). Als Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Die Safety-Funktionen der Anlagen wird nur indirekt adressiert, da es bei einer Störung zu einer Beeinträchtigung der kritischen Dienstleistung kommt. Dennoch ist zu berücksichtigen, dass der Aufwand zur Umsetzung der Maßnahmen nicht außer Verhältnis zum Risikoausmaß für die Bevölkerung steht. |
| |
| === Umgang mit Risiken === | === Umgang mit Risiken === |
| |
| Bei KRITIS reicht meist nicht auf der Basis von betriebswirtschaftlichen Aspekten Risiken und Schutzbedarfe zu betrachten. Die möglichen Folgen für die Allgemeinheit durch z. B. einen großflächigen Stromausfall sind zu berücksichtigen. Bei der Auswahl und Umsetzung von Schutzmaßnahmen muss abgewägt werden zwischen den möglichen Folgen für die Allgemeinheit und dem Aufwand zum Schutz vor möglichen Angriffen und Beeinträchtigungen. Die Sicherheitsvorkehrungen müssen dabei dem Stand der Technik entsprechen. (Informationstechnik, Nutzung eines bestehenden ISO 27001 Zertifikates als Bestandteil eines Nachweises gemäß § 8a (3) BSIG, 2019) | Bei KRITIS reicht meist nicht auf der Basis von betriebswirtschaftlichen Aspekten Risiken und Schutzbedarfe zu betrachten. Die möglichen Folgen für die Allgemeinheit durch z. B. einen großflächigen Stromausfall sind zu berücksichtigen. Bei der Auswahl und Umsetzung von Schutzmaßnahmen muss abgewägt werden zwischen den möglichen Folgen für die Allgemeinheit und dem Aufwand zum Schutz vor möglichen Angriffen und Beeinträchtigungen. Die Sicherheitsvorkehrungen müssen dabei dem Stand der Technik entsprechen. |
| |
| === Maßnahmenumsetzung === | === Maßnahmenumsetzung === |
| |
| Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden. (Informationstechnik, 2019) | Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden. (Informationstechnik, 2019) |
| |
| === Vorgehensweisen nach BSI IT-Grundschutz bzw. ISO 27001 === | |
| |
| Im Folgenden werden die Vorgehensweisen nach ISO 27001 und BSI IT-Grundschutz beschrieben. Die Abbildung zeigt die Vorgehensweise die sich bei IT-Grundschutz und der ISO 27001 nur im Detail unterscheiden. Im Kern steht der Plan-Do-Check-Act-Zyklus. Dieser beginnt mit der Auswahl einer Methode zur Risikoanalyse. | |
| |
| Hinsichtlichlich der Risikoanalyse machen beide Standards keine Vorgaben, ob diese qualitativ oder quantitativ zu erfolgen haben. Es werden jedoch Hinweise zu beiden Varianten gegeben. Der IT-Grundschutz setzt im Wesentlichen auf eine qualitative Bewertung, da „Die quantitative Risikobetrachtung ist sehr aufwändig und setzt umfangreiches statistisches Datenmaterial voraus. Solche umfangreichen Erfahrungswerte fehlen in den meisten Fällen im sehr dynamischen Umfeld der Informationssicherheit. Daher ist es in den meisten Fällen praktikabler, sowohl für die Eintrittshäufigkeit als auch für die potenzielle Schadenshöhe mit qualitativen Kategorien zu arbeiten.“ (Informationstechnik, BSI-Standard 200-3: Risikomanagement, 2017) | |
| |
| In ISO 27005 gibt es einen ähnlichen Hinweis zum Gebrauch der quantitativen Bewerteung: „A disadvantage is the lack of such data on new risks or information security weaknesses. A disadvantage of the quantitative approach may occur where factual, auditable data is not available thus creating an illusion of worth and accuracy of the risk assessment.“ (ISO/IEC, 2018-07) | |
| |
| Daher wird in den meisten Fällen auf eine qualitative Bewertung zurückgegriffen. Der IT-Grundschutz bietet eine Auswahl an elementaren Gefährdungen, sowie in den Bausteinen eine Liste von spezifischen Gefährdungen, die für die Risikobewertung herangezogen werden können. ISO27001 trifft hierzu keine Aussagen. | |
| |
| Gefährdungen aus anderen Domänen lassen sich in die Vorgehensweise integrieren. Die entstehenden Risiken für das gesamte Unternehmen, Teilbereiche oder einzelne Systeme können erfasst und bewertet werden. | |
| |
| ===== 3 Domänenübergreifende Zusammenführung ===== | ===== 3 Domänenübergreifende Zusammenführung ===== |
| |
| Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten. | Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten. |
| <code> | |
| |
| - Werden in den angrenzenden Disziplinen ähnliche oder andere Probleme bearbeitet? | |
| - Was sind methodische Unterschiede und Gemeinsamkeiten in verschiedenen Domänen? | |
| - Wie könnte ein gemeinsamer Nenner für die Quantifizierung von Risiken in Safety- und Security Modellen aussehen? | |
| - Welches neue Wissen ist erforderlich für eine Synthese der Domänen? | |
| |
| </code> | Eine methodische Zusammenführung ist schwierig, da zwar in beiden Domänen risikobasierte Analysen zum Einsatz kommen, diese jedoch unterschiedliche Ziele verfolgen und mögliche Maßnahmen jeweils zu einem Zielkonflikt zwischen beiden Domänen führen. Zielführend erscheint für den Bereich KRITIS im Bereich des Schutzes vor Naturgefahren und Angriffen die Verknüpfung beider Domänen über das Ziel einer Minimierung der Auswirkungen auf die kritischen Services. Insbesondere ist es hier sinnvoll, Aufwand-Nutzen Analysen durchzuführen, welche in der Lage sind, Maßnahmen beider Domänen zu berücksichtigen. Auf diese Weise kann anhand des gemeinsamen Ziels des Schutzes von KRITIS und möglichen Maßnahmen zur Minderung der Auswirkungen eine gemeinsame Betrachtung beider Domänen durchgeführt werden. Durch diese Fokussierung ist es darüber hinaus auch möglich, im Rahmen einer Kosten-Nutzen Optimierung auch mögliche Zielkonflikte zwischen beiden Domänen zu berücksichtigen. So können unter Berücksichtigung beider Domänen effektive und effiziente Maßnahmenkonzepte entwickelt werden. Die letzten Entwürfe des KRITIS-Dachgesetzes (KRITIS-DG) (Verweis) fordern in diesem Zusammenhang einen Nachweis angemessener Maßnahmen zum Schutz von KRITIS. Diese können sowohl Maßnahmen aus Bereichen der Security, als auch der Safety, bzw. der Resilienz umfassen können. |
| |
| ===== Quellen ===== | ===== Quellen ===== |