content:kritis

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
content:kritis [2025/10/16 18:06] – [Relevante Normen und Richtlinien (unvollständig)] drostecontent:kritis [2025/10/20 16:16] (aktuell) – [Security] approve
Zeile 42: Zeile 42:
 Bei der Verwendung des Risikobegriffs beim Schutz kritischer Infrastrukturen muss auf zwei Ebenen differenziert werden. Zum einen ist eine Unterscheidung zwischen frequentistisch auftretenden operationalen, insbesondere technischen Risiken und nicht frequentistisch auftretenden kritischen Bedrohungslagen notwendig. Bei der Verwendung des Risikobegriffs beim Schutz kritischer Infrastrukturen muss auf zwei Ebenen differenziert werden. Zum einen ist eine Unterscheidung zwischen frequentistisch auftretenden operationalen, insbesondere technischen Risiken und nicht frequentistisch auftretenden kritischen Bedrohungslagen notwendig.
  
-Frequentistisch auftretende Risiken sind ganz überwiegend der Safety zuzuordnen, wobei hier einschlägige Normen bspw. aus dem Bereich der funktionalen Sicherheit (Verweis) Verwendung finden. Zusätzlich gibt es hier in Teilbereichen, die das Potential für besonders große Auswirkungen auf Umwelt und Mensch haben besondere Regelwerke, bspw. für den Bahnverkehr oder (Atom-) kraftwerke (Verweise wenn möglich).+Frequentistisch auftretende Risiken sind ganz überwiegend der Safety zuzuordnen, wobei hier einschlägige Normen bspw. aus dem Bereich der funktionalen Sicherheit Verwendung finden. Zusätzlich gibt es hier in Teilbereichen, die das Potential für besonders große Auswirkungen auf Umwelt und Mensch haben besondere Regelwerke, bspw. für den Bahnverkehr oder [[content:kerntechnische-anlagen|(Atom-)Kraftwerke]] .
  
 Nicht frequentistisch auftretende Bedrohungslagen, aus denen Großschadenslagen bzw. der Ausfall der betrachteten Infrastruktur und/oder abhängigen (kritischen) Infrastrukturen können im Wesentlichen zwei Ursachen haben: Natürliche Gefahren, bspw. Extremwetterereignisse oder Bedrohungen durch menschengemachte Angriffe auf einzelne Bestandteile der Infrastruktur. Besonderheit dieser Bedrohungen ist, dass sie nach dem auslösenden Ereignis zu kaskadierenden Effekten sowohl innerhalb der betrachteten Infrastruktur selbst als strukturübergreifend führen können. (Quelle) Im eigentlichen Sinn werden diese beiden Ursachen beim Schutz kritischer Infrastrukturen betrachtet. Nicht frequentistisch auftretende Bedrohungslagen, aus denen Großschadenslagen bzw. der Ausfall der betrachteten Infrastruktur und/oder abhängigen (kritischen) Infrastrukturen können im Wesentlichen zwei Ursachen haben: Natürliche Gefahren, bspw. Extremwetterereignisse oder Bedrohungen durch menschengemachte Angriffe auf einzelne Bestandteile der Infrastruktur. Besonderheit dieser Bedrohungen ist, dass sie nach dem auslösenden Ereignis zu kaskadierenden Effekten sowohl innerhalb der betrachteten Infrastruktur selbst als strukturübergreifend führen können. (Quelle) Im eigentlichen Sinn werden diese beiden Ursachen beim Schutz kritischer Infrastrukturen betrachtet.
Zeile 83: Zeile 83:
  
 |**Safety** |**Cyber-Security** | |**Safety** |**Cyber-Security** |
-|Grundsätzlich werden Bedrohungen bzw. daraus resultierende Risiken bei der Analyse der Sicherheit kritischer Infrastrukturen auf Basis von Szenarien betrachtet (s.a. Abschnitt 2). Das bedeutet, dass nach einer Identifikation möglicher Szenarien sowohl deren Schadenspotential als auch die Verwundbarkeit der analysierten Infrastruktur ermittelt werden. Daraus ergibt sich ein dreigliedriger Risikoansatz (Verweis Definition Safety & Security): \\ Risiko=f(Bedrohung, Verwundbarkeit, Auswirkung)|Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit. In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt. Im Unterschied zu „Gefährdung“ umfasst der Begriff „Risiko“ bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.|+|Grundsätzlich werden Bedrohungen bzw. daraus resultierende Risiken bei der Analyse der Sicherheit kritischer Infrastrukturen auf Basis von Szenarien betrachtet (s.a. Abschnitt 2). Das bedeutet, dass nach einer Identifikation möglicher Szenarien sowohl deren Schadenspotential als auch die Verwundbarkeit der analysierten Infrastruktur ermittelt werden. Daraus ergibt sich ein dreigliedriger [[https://safetyandsecurity.vdi.de/content:hauptseite#grundlagenrisiko_safety_security_unsicherheiten|Risikoansatz]]: \\ Risiko=f(Bedrohung, Verwundbarkeit, Auswirkung)|Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit. In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt. Im Unterschied zu „Gefährdung“ umfasst der Begriff „Risiko“ bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.|
  
 === Risikoanalyse === === Risikoanalyse ===
Zeile 156: Zeile 156:
  
 ===== 2 Durchführung von Risikoanalysen ===== ===== 2 Durchführung von Risikoanalysen =====
- 
-==== Safety ==== 
  
 Die Risikoanalyse folgt dem dreigliedrigen Risikomodell. Das Ziel der Analyse ist in der Regel die Ermittlung und Charakterisierung von Risiken, die wie in Abschnitt 1 genannt dazu führen können, dass das System kritische Zustände im Bezug auf seinen eigentlichen Zweck, d.h. meist die Versorgung der Bevölkerung erreicht. Hierfür werden für die betrachtete Infrastruktur zumeist Indikatoren identifiziert, die diese Ziele abbilden können. Die Risikoanalyse folgt dem dreigliedrigen Risikomodell. Das Ziel der Analyse ist in der Regel die Ermittlung und Charakterisierung von Risiken, die wie in Abschnitt 1 genannt dazu führen können, dass das System kritische Zustände im Bezug auf seinen eigentlichen Zweck, d.h. meist die Versorgung der Bevölkerung erreicht. Hierfür werden für die betrachtete Infrastruktur zumeist Indikatoren identifiziert, die diese Ziele abbilden können.
  
-Grundsätzlich basiert die eigentliche Risikoanalyse auf Szenarien, die mit systematischer Szenarioanalyse entwickelt werden. Die so ermittelten Gefahren und Bedrohungen werden dann in zwei Schritten untersucht: Zunächst wird ermittelt, welche Stressoren (Verweis) sich ergeben können und mit welcher Wahrscheinlichkeit diese wie schwere Auswirkungen auf die betroffenen Teilkomponenten ergibt. In einem zweiten Schritt wird zusätzlich ermittelt, wie diese Zwischenfälle über indirekte Effekte und die systemische Ausbreitung zu Systemausfällen und infrastrukturübergreifenden Kaskadeneffekten (Verweis) führen können.+Grundsätzlich basiert die eigentliche Risikoanalyse auf Szenarien, die mit systematischer Szenarioanalyse entwickelt werden. Die so ermittelten Gefahren und Bedrohungen werden dann in zwei Schritten untersucht: Zunächst wird ermittelt, welche Stressoren sich ergeben können und mit welcher Wahrscheinlichkeit diese wie schwere Auswirkungen auf die betroffenen Teilkomponenten ergibt. In einem zweiten Schritt wird zusätzlich ermittelt, wie diese Zwischenfälle über indirekte Effekte und die systemische Ausbreitung zu Systemausfällen und infrastrukturübergreifenden Kaskadeneffekten führen können.
  
 Im Bereich der Ermittlung der Stressoren sind fehlende Evidenz und nicht frequentistische Eintrittswahrscheinlichkeiten der Gefahren oder Bedrohungen ein Hindernis. Die resultierenden epistemischen Unsicherheiten führen dazu, dass oft im Sinne von Use-Cases bzw. „what-if“-Szenarien vorgegangen wird. Alternativ werden relative Eintrittswahrscheinlichkeiten geschätzt. Im Bereich der Ermittlung der Stressoren sind fehlende Evidenz und nicht frequentistische Eintrittswahrscheinlichkeiten der Gefahren oder Bedrohungen ein Hindernis. Die resultierenden epistemischen Unsicherheiten führen dazu, dass oft im Sinne von Use-Cases bzw. „what-if“-Szenarien vorgegangen wird. Alternativ werden relative Eintrittswahrscheinlichkeiten geschätzt.
Zeile 168: Zeile 166:
  
 Im Bereich der Bedrohungen durch Angriffe gibt es neben quantitativen auch qualitative Ansätze zur Verwundbarkeitsanalyse. Quantitative Ansätze arbeiten zumeist modellbasiert, während qualitative Ansätze zumeist nach Norm oder Richtlinie arbeiten. Im Bereich der Bedrohungen durch Angriffe gibt es neben quantitativen auch qualitative Ansätze zur Verwundbarkeitsanalyse. Quantitative Ansätze arbeiten zumeist modellbasiert, während qualitative Ansätze zumeist nach Norm oder Richtlinie arbeiten.
- 
-=== Indikatoren === 
  
 === Szenarioanalyse === === Szenarioanalyse ===
Zeile 177: Zeile 173:
 Durch die Sammlung weiterer Faktoren können die Szenarien genauer beschrieben werden. Dies Auswahl möglicher Szenarien sollte systematisch erfolgen, bspw. über Konsistenzanalyse oder die Methode des Cross-Impact-Balancing (Quelle). Auf diese Weise können inkonsistente Szenarien aus der Analyse eliminiert und durch Experten als besonders stark zusammenhängende Szenarien gefiltert werden. Durch die Sammlung weiterer Faktoren können die Szenarien genauer beschrieben werden. Dies Auswahl möglicher Szenarien sollte systematisch erfolgen, bspw. über Konsistenzanalyse oder die Methode des Cross-Impact-Balancing (Quelle). Auf diese Weise können inkonsistente Szenarien aus der Analyse eliminiert und durch Experten als besonders stark zusammenhängende Szenarien gefiltert werden.
  
-=== Angriffe (Security===+===Security ====
  
-Die physische Sicherheit (Querverweis: Security) hat zum Ziel, erfolgreiche Angriffe zu verhindern. Hierzu werden potenzielle Angriffsszenarien identifiziert und Maßnahmen zur Vereitelung solcher Angriffe ergriffen. Ein umfassendes Verständnis dieses Konzepts erfordert die Berücksichtigung mehrerer Faktoren, darunter die Wahrscheinlichkeit von Bedrohungen, die Verwundbarkeit und das Schadenspotenzial. In diesem Zusammenhang wurden mehrere Modelle zur Quantifizierung des physischen Sicherheitsrisikos (Querverweis Security) entwickelt, die jeweils ihre Stärken und Grenzen haben.+Die [[content:physische_sicherheit|physische Sicherheit]] hat zum Ziel, erfolgreiche Angriffe zu verhindern. Hierzu werden potenzielle Angriffsszenarien identifiziert und Maßnahmen zur Vereitelung solcher Angriffe ergriffen. Ein umfassendes Verständnis dieses Konzepts erfordert die Berücksichtigung mehrerer Faktoren, darunter die Wahrscheinlichkeit von Bedrohungen, die Verwundbarkeit und das Schadenspotenzial. In diesem Zusammenhang wurden mehrere Modelle zur Quantifizierung des physischen Sicherheitsrisikos entwickelt, die jeweils ihre Stärken und Grenzen haben.
  
-=== Naturgefahren === +==== Safety / Naturgefahren ==== 
-Im Bereich der Naturgefahren für KRITIS werden überwiegend Ansätze verfolgt, die auf die Auswirkungen möglicher Extremwetterereignisse fokussieren. Ähnlich wie im Bereich der Security sind tatsächlich eintretende Ereignisse selten, eine frequentistische Betrachtung jedoch näherungsweise möglich. Bedingt durch die Komplexität der Extremwetterereignisse und der vernetzten Struktur der KRITIS ist es jedoch nur schwer möglich ausschließlich risikobasiert zu arbeiten: Die Ausprägung der Extremwetterereignisse kann stark variieren und das Verhalten der komplexen vernetzten KRITIS ist nur schwer exakt vorherzusagen. Das Konzept der Resilienz (Querverweis: Resilienz) nähert sich dieser Problematik mit einem systematischen Ansatz, der auf die Analyse und Minderung von Auswirkungen zielt. KRITIS werden hierbei als Bereitsteller essentieller Services für die Gesellschaft betrachtet, wobei der Output der jeweiligen Infrastruktur, bspw. der Anteil der versorgten Bevölkerung, als wichtigster Indikator für die Systemleistung (Key Performance Indicator) betrachtet wird. Naturgefährdungen werden bewertet, in dem die Auswirkungen, die sie auf diesen Indikator haben analysiert. Diese Analyse kann mit gängigen Methoden der Risikoanalyse durchgeführt werden, insbesondere kommen hier Kombinationen aus modellbasierten Simulationen von Extremwetterereignissen, dem Verhalten von KRITIS-Systemen und kaskadierenden Effekten in What-if Szenarien zum Einsatz. Unsicherheit bzgl. der Szenarioausprägung, d.h. dem genauen Verlauf eines Extremwetterereignisses und dem Systemverhalten werden durch die Variation entsprechender Modellparameter z.B. durch Monte-Carlo Simulationen berücksichtigt. +Im Bereich der Naturgefahren für KRITIS werden überwiegend Ansätze verfolgt, die auf die Auswirkungen möglicher Extremwetterereignisse fokussieren. Ähnlich wie im Bereich der Security sind tatsächlich eintretende Ereignisse selten, eine frequentistische Betrachtung jedoch näherungsweise möglich. Bedingt durch die Komplexität der Extremwetterereignisse und der vernetzten Struktur der KRITIS ist es jedoch nur schwer möglich ausschließlich risikobasiert zu arbeiten: Die Ausprägung der Extremwetterereignisse kann stark variieren und das Verhalten der komplexen vernetzten KRITIS ist nur schwer exakt vorherzusagen. Das Konzept der Resilienz nähert sich dieser Problematik mit einem systematischen Ansatz, der auf die Analyse und Minderung von Auswirkungen zielt. KRITIS werden hierbei als Bereitsteller essentieller Services für die Gesellschaft betrachtet, wobei der Output der jeweiligen Infrastruktur, bspw. der Anteil der versorgten Bevölkerung, als wichtigster Indikator für die Systemleistung (Key Performance Indicator) betrachtet wird. Naturgefährdungen werden bewertet, in dem die Auswirkungen, die sie auf diesen Indikator haben analysiert. Diese Analyse kann mit gängigen Methoden der Risikoanalyse durchgeführt werden, insbesondere kommen hier Kombinationen aus modellbasierten Simulationen von Extremwetterereignissen, dem Verhalten von KRITIS-Systemen und kaskadierenden Effekten in What-if Szenarien zum Einsatz. Unsicherheit bzgl. der Szenarioausprägung, d.h. dem genauen Verlauf eines Extremwetterereignisses und dem Systemverhalten werden durch die Variation entsprechender Modellparameter z.B. durch Monte-Carlo Simulationen berücksichtigt. 
  
  
Zeile 196: Zeile 192:
  
 Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden. (Informationstechnik, 2019) Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. Zur Bewertung dieser Mängel sollten auch erklärende Dokumente wie die Mängelbewertung, KVP-Dokumentation und der Umsetzungsplan eingereicht werden. (Informationstechnik, 2019)
 +
 ===== 3 Domänenübergreifende Zusammenführung ===== ===== 3 Domänenübergreifende Zusammenführung =====
  
 Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten. Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten.
  
-Eine methodische Zusammenführung ist schwierig, da zwar in beiden Domänen risikobasierte Analysen zum Einsatz kommen, diese jedoch unterschiedliche Ziele verfolgen und mögliche Maßnahmen jeweils zu einem Zielkonflikt zwischen beiden Domänen führen. Zielführend erscheint für den Bereich KRITIS im Bereich des Schutzes vor Naturgefahren und Angriffen die Verknüpfung beider Domänen über das Ziel einer Minimierung der Auswirkungen auf die kritischen Services. Insbesondere ist es hier sinnvoll, Aufwand-Nutzen Analysen durchzuführen, welche in der Lage sind, Maßnahmen beider Domänen zu berücksichtigen. Auf diese Weise kann anhand des gemeinsamen Ziels des Schutzes von KRITIS und möglichen Maßnahmen zur Minderung der Auswirkungen eine gemeinsame Betrachtung beider Domänen durchgeführt werden. Durch diese Fokussierung ist es darüber hinaus auch möglich, im Rahmen einer Kosten-Nutzen Optimierung auch mögliche Zielkonflikte zwischen beiden Domänen zu berücksichtigen. So können unter Berücksichtigung beider Domänen effektive und effiziente Maßnahmenkonzepte entwickelt werden. Die letzten Entwürfe des KRITIS-Dachgesetzes (KRITIS-DG) (Verweis) fordern in diesem Zusammenhang einen Nachweis angemessener Maßnahmen zum Schutz von KRITIS. Diese können sowohl Maßnahmen aus Bereichen der Security, als auch der Safety, bzw. der Resilienz umfassen können.+Eine methodische Zusammenführung ist schwierig, da zwar in beiden Domänen risikobasierte Analysen zum Einsatz kommen, diese jedoch unterschiedliche Ziele verfolgen und mögliche Maßnahmen jeweils zu einem Zielkonflikt zwischen beiden Domänen führen. Zielführend erscheint für den Bereich KRITIS im Bereich des Schutzes vor Naturgefahren und Angriffen die Verknüpfung beider Domänen über das Ziel einer Minimierung der Auswirkungen auf die kritischen Services. Insbesondere ist es hier sinnvoll, Aufwand-Nutzen Analysen durchzuführen, welche in der Lage sind, Maßnahmen beider Domänen zu berücksichtigen. Auf diese Weise kann anhand des gemeinsamen Ziels des Schutzes von KRITIS und möglichen Maßnahmen zur Minderung der Auswirkungen eine gemeinsame Betrachtung beider Domänen durchgeführt werden. Durch diese Fokussierung ist es darüber hinaus auch möglich, im Rahmen einer Kosten-Nutzen Optimierung auch mögliche Zielkonflikte zwischen beiden Domänen zu berücksichtigen. So können unter Berücksichtigung beider Domänen effektive und effiziente Maßnahmenkonzepte entwickelt werden. Die letzten Entwürfe des KRITIS-Dachgesetzes (KRITIS-DG) fordern in diesem Zusammenhang einen Nachweis angemessener Maßnahmen zum Schutz von KRITIS. Diese können sowohl Maßnahmen aus Bereichen der Security, als auch der Safety, bzw. der Resilienz umfassen können. 
 + 
 +==== Wechselwirkungen zwischen Safety und Security ====
  
 +Anforderungen aus den Bereichen Safety und Security können sich im Bereich der kritischen Infrastrukturen widersprechen. Dies ist insbesondere begründet in den erhöhten Anforderungen an die Security für kritische Infrastrukturen. Gleichzeitig ergeben sich für hoch frequentierte Verkehrsinfrastrukturen wie Flughäfen hohe Anforderungen an die Safety, z.B. bei der Entfluchtung. Im KRITIS-Sektor Energie sind die besonderen Gefahren im Bereich der Gefährdung von Arbeits- und Einsatzkräften zu berücksichtigen.
 +Beispielsweise bedeutet dies an Flughäfen, dass Übergänge vom öffentlichen Bereich in die Sicherheitszone des Flughafens durch geschützte Zugänge abgesichert sind. Gleichzeitig können diese geschützten Zugänge jedoch Teil von Fluchtrouten im Brand- oder Panikfall sein. Aus diesem Grund Grund können diese Zugänge durch spezielle Taster bei Bedarf bzw. automatisch im Brandfall geöffnet werden. Der Widerspruch in den Anforderungen wird hier durch Entkopplung der Szenarien erreicht. Mittels manueller oder automatisierte Informationsbeschaffung wird innerhalb eines definierten Zeitintervalls entschieden, um welches Szenario es sich handelt.
 +Die Anforderungen an die Safety von Einsatzkräften bei Betreten von KRITIS im Bereich der Energieversorgung haben zur Folge, dass die Polizei im Falle von Angriffen auf z.B. Umspannwerke die Infrastruktur selbst nicht selbständig betreten dürfen. Hier ist die Gefahr durch Schäden an Leib und Leben durch Hochspannung zu groß. Das bedeutet, dass auch im Falle eines Angriffes, bei dem sich Angreifer im Umspannwerk befinden, Einsatzkräfte auf das Eintreffen eingewiesener Mitarbeiter des KRITIS-Betreibers warten müssen. In diesem Fall wird Safety priorisiert, eine Auflösung des Widerspruchs findet nicht statt.   
 ===== Quellen ===== ===== Quellen =====
  
  • content/kritis.1760630762.txt.gz
  • Zuletzt geändert: 2025/10/16 18:06
  • von droste