| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| content:kritis [2025/06/02 14:39] – [Safety] approve | content:kritis [2025/06/10 17:53] (aktuell) – [Relevante Normen und Richtlinien (unvollständig)] approve |
|---|
| |[[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html|BSI Standard 200-3]]|2017|Risikoanalyse auf der Basis von IT-Grundschutz|-| | |[[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html|BSI Standard 200-3]]|2017|Risikoanalyse auf der Basis von IT-Grundschutz|-| |
| |[[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html|BSI Standard 200-4]]|2023|Business Continuity Management|-| | |[[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html|BSI Standard 200-4]]|2023|Business Continuity Management|-| |
| |[[https://www.iso.org/standard/27001|ISO 27001 ff]]|2022|Information security, cybersecurity and privacy protection — Information security management systems|-| | |[[https://www.dinmedia.de/de/norm/din-en-iso-iec-27001/370680635|ISO 27001 ff]]|2024|Information security, cybersecurity and privacy protection — Information security management systems|-| |
| |ISO/IEC 62443|-|Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme|-| | |ISO/IEC 62443|-|Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme|-| |
| |[[https://www.kompass-sicherheitsstandards.de|Übersicht für die IT-Sicherheit relevanter Standards]]|-|kompass-sicherheitsstandards|-| | |[[https://www.kompass-sicherheitsstandards.de|Übersicht für die IT-Sicherheit relevanter Standards]]|-|kompass-sicherheitsstandards|-| |
| |
| === Indikatoren === | === Indikatoren === |
| |
| Inhalt fehlt | |
| |
| === Szenarioanalyse === | === Szenarioanalyse === |
| |
| === Naturgefahren === | === Naturgefahren === |
| | Im Bereich der Naturgefahren für KRITIS werden überwiegend Ansätze verfolgt, die auf die Auswirkungen möglicher Extremwetterereignisse fokussieren. Ähnlich wie im Bereich der Security sind tatsächlich eintretende Ereignisse selten, eine frequentistische Betrachtung jedoch näherungsweise möglich. Bedingt durch die Komplexität der Extremwetterereignisse und der vernetzten Struktur der KRITIS ist es jedoch nur schwer möglich ausschließlich risikobasiert zu arbeiten: Die Ausprägung der Extremwetterereignisse kann stark variieren und das Verhalten der komplexen vernetzten KRITIS ist nur schwer exakt vorherzusagen. Das Konzept der Resilienz (Querverweis: Resilienz) nähert sich dieser Problematik mit einem systematischen Ansatz, der auf die Analyse und Minderung von Auswirkungen zielt. KRITIS werden hierbei als Bereitsteller essentieller Services für die Gesellschaft betrachtet, wobei der Output der jeweiligen Infrastruktur, bspw. der Anteil der versorgten Bevölkerung, als wichtigster Indikator für die Systemleistung (Key Performance Indicator) betrachtet wird. Naturgefährdungen werden bewertet, in dem die Auswirkungen, die sie auf diesen Indikator haben analysiert. Diese Analyse kann mit gängigen Methoden der Risikoanalyse durchgeführt werden, insbesondere kommen hier Kombinationen aus modellbasierten Simulationen von Extremwetterereignissen, dem Verhalten von KRITIS-Systemen und kaskadierenden Effekten in What-if Szenarien zum Einsatz. Unsicherheit bzgl. der Szenarioausprägung, d.h. dem genauen Verlauf eines Extremwetterereignisses und dem Systemverhalten werden durch die Variation entsprechender Modellparameter z.B. durch Monte-Carlo Simulationen berücksichtigt. |
| === Auswirkungs- und Kritikalitätsanalyse === | |
| | |
| * Wie werden Risikoanalysen in Ihrer Disziplin durchgeführt? (qualitativ, quantitativ, semi-quantitativ, nach Norm oder Richtlinie) | |
| * Welche Metriken kommen hierbei zum Einsatz? | |
| * Wie treten Wechselwirkungen der Domänen Safety und Security in der Risikoanalyse in Ihrer Disziplin in Erscheinung und wie werden diese behandelt? | |
| |
| |
| ==== Cyber-Security ==== | ==== Cyber-Security ==== |
| |
| Im Rahmen des Risikomanagements sind die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten. Eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend (siehe "Umgang mit Risiken"). Als Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Die Safety-Funktionen der Anlagen wird nur indirekt adressiert, da es bei einer Störung zu einer Beeinträchtigung der kritischen Dienstleistung kommt. Dennoch ist zu berücksichtigen, dass der Aufwand zur Umsetzung der Maßnahmen nicht außer Verhältnis zum Risikoausmaß für die Bevölkerung steht. Ein Risikomanagement unter Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit, wie in ISO 27001 oder IT-Grundschutz des BSI üblich, ist möglich, solange sichergestellt ist, dass Authentizität bei der Risikobewertung und Maßnahmenauswahl berücksichtigt wird. | Im Rahmen des Risikomanagements sind die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung zu bewerten. Eine rein betriebswirtschaftliche Betrachtung ist in der Regel nicht ausreichend (siehe "Umgang mit Risiken"). Als Anhaltspunkt für das Ausmaß eines Risikos für die Allgemeinheit sollten die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Die Safety-Funktionen der Anlagen wird nur indirekt adressiert, da es bei einer Störung zu einer Beeinträchtigung der kritischen Dienstleistung kommt. Dennoch ist zu berücksichtigen, dass der Aufwand zur Umsetzung der Maßnahmen nicht außer Verhältnis zum Risikoausmaß für die Bevölkerung steht. |
| |
| === Umgang mit Risiken === | === Umgang mit Risiken === |
| |
| Bei KRITIS reicht meist nicht auf der Basis von betriebswirtschaftlichen Aspekten Risiken und Schutzbedarfe zu betrachten. Die möglichen Folgen für die Allgemeinheit durch z. B. einen großflächigen Stromausfall sind zu berücksichtigen. Bei der Auswahl und Umsetzung von Schutzmaßnahmen muss abgewägt werden zwischen den möglichen Folgen für die Allgemeinheit und dem Aufwand zum Schutz vor möglichen Angriffen und Beeinträchtigungen. Die Sicherheitsvorkehrungen müssen dabei dem Stand der Technik entsprechen. (Informationstechnik, Nutzung eines bestehenden ISO 27001 Zertifikates als Bestandteil eines Nachweises gemäß § 8a (3) BSIG, 2019) | Bei KRITIS reicht meist nicht auf der Basis von betriebswirtschaftlichen Aspekten Risiken und Schutzbedarfe zu betrachten. Die möglichen Folgen für die Allgemeinheit durch z. B. einen großflächigen Stromausfall sind zu berücksichtigen. Bei der Auswahl und Umsetzung von Schutzmaßnahmen muss abgewägt werden zwischen den möglichen Folgen für die Allgemeinheit und dem Aufwand zum Schutz vor möglichen Angriffen und Beeinträchtigungen. Die Sicherheitsvorkehrungen müssen dabei dem Stand der Technik entsprechen. |
| |
| === Maßnahmenumsetzung === | === Maßnahmenumsetzung === |
| |
| Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden. (Informationstechnik, 2019) | Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden. (Informationstechnik, 2019) |
| |
| === Vorgehensweisen nach BSI IT-Grundschutz bzw. ISO 27001 === | |
| |
| Im Folgenden werden die Vorgehensweisen nach ISO 27001 und BSI IT-Grundschutz beschrieben. Die Abbildung zeigt die Vorgehensweise die sich bei IT-Grundschutz und der ISO 27001 nur im Detail unterscheiden. Im Kern steht der Plan-Do-Check-Act-Zyklus. Dieser beginnt mit der Auswahl einer Methode zur Risikoanalyse. | |
| |
| Hinsichtlichlich der Risikoanalyse machen beide Standards keine Vorgaben, ob diese qualitativ oder quantitativ zu erfolgen haben. Es werden jedoch Hinweise zu beiden Varianten gegeben. Der IT-Grundschutz setzt im Wesentlichen auf eine qualitative Bewertung, da „Die quantitative Risikobetrachtung ist sehr aufwändig und setzt umfangreiches statistisches Datenmaterial voraus. Solche umfangreichen Erfahrungswerte fehlen in den meisten Fällen im sehr dynamischen Umfeld der Informationssicherheit. Daher ist es in den meisten Fällen praktikabler, sowohl für die Eintrittshäufigkeit als auch für die potenzielle Schadenshöhe mit qualitativen Kategorien zu arbeiten.“ (Informationstechnik, BSI-Standard 200-3: Risikomanagement, 2017) | |
| |
| In ISO 27005 gibt es einen ähnlichen Hinweis zum Gebrauch der quantitativen Bewerteung: „A disadvantage is the lack of such data on new risks or information security weaknesses. A disadvantage of the quantitative approach may occur where factual, auditable data is not available thus creating an illusion of worth and accuracy of the risk assessment.“ (ISO/IEC, 2018-07) | |
| |
| Daher wird in den meisten Fällen auf eine qualitative Bewertung zurückgegriffen. Der IT-Grundschutz bietet eine Auswahl an elementaren Gefährdungen, sowie in den Bausteinen eine Liste von spezifischen Gefährdungen, die für die Risikobewertung herangezogen werden können. ISO27001 trifft hierzu keine Aussagen. | |
| |
| Gefährdungen aus anderen Domänen lassen sich in die Vorgehensweise integrieren. Die entstehenden Risiken für das gesamte Unternehmen, Teilbereiche oder einzelne Systeme können erfasst und bewertet werden. | |
| |
| ===== 3 Domänenübergreifende Zusammenführung ===== | ===== 3 Domänenübergreifende Zusammenführung ===== |
| |
| Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten. | Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten. |
| <code> | |
| |
| - Werden in den angrenzenden Disziplinen ähnliche oder andere Probleme bearbeitet? | |
| - Was sind methodische Unterschiede und Gemeinsamkeiten in verschiedenen Domänen? | |
| - Wie könnte ein gemeinsamer Nenner für die Quantifizierung von Risiken in Safety- und Security Modellen aussehen? | |
| - Welches neue Wissen ist erforderlich für eine Synthese der Domänen? | |
| |
| </code> | Eine methodische Zusammenführung ist schwierig, da zwar in beiden Domänen risikobasierte Analysen zum Einsatz kommen, diese jedoch unterschiedliche Ziele verfolgen und mögliche Maßnahmen jeweils zu einem Zielkonflikt zwischen beiden Domänen führen. Zielführend erscheint für den Bereich KRITIS im Bereich des Schutzes vor Naturgefahren und Angriffen die Verknüpfung beider Domänen über das Ziel einer Minimierung der Auswirkungen auf die kritischen Services. Insbesondere ist es hier sinnvoll, Aufwand-Nutzen Analysen durchzuführen, welche in der Lage sind, Maßnahmen beider Domänen zu berücksichtigen. Auf diese Weise kann anhand des gemeinsamen Ziels des Schutzes von KRITIS und möglichen Maßnahmen zur Minderung der Auswirkungen eine gemeinsame Betrachtung beider Domänen durchgeführt werden. Durch diese Fokussierung ist es darüber hinaus auch möglich, im Rahmen einer Kosten-Nutzen Optimierung auch mögliche Zielkonflikte zwischen beiden Domänen zu berücksichtigen. So können unter Berücksichtigung beider Domänen effektive und effiziente Maßnahmenkonzepte entwickelt werden. Die letzten Entwürfe des KRITIS-Dachgesetzes (KRITIS-DG) (Verweis) fordern in diesem Zusammenhang einen Nachweis angemessener Maßnahmen zum Schutz von KRITIS. Diese können sowohl Maßnahmen aus Bereichen der Security, als auch der Safety, bzw. der Resilienz umfassen können. |
| |
| ===== Quellen ===== | ===== Quellen ===== |