Der AK 4.18 “Automation Security” der NAMUR hat eine neue AK-Praxis veröffentlicht. Darin beschreiben die Autoren die Eignung von verschiedenen Methoden, die als „technische Werkzeuge“ im Sinne des BSI-Gesetzes zur „Angriffserkennung“ herangezogen werden können.
Prozessleittechnik steht im Mittelpunkt
Im Fokus dieser AK-Praxis steht die Prozessleittechnik in der chemischen, pharmazeutischen sowie der Öl- & Gas Industrie. Hinweis: Bei Anlagen nach BSI-KritisV sind über die Prozessleittechnik hinaus gegebenenfalls noch andere IT und OT Systeme auf Angriffe zu überwachen. Dazu zählen etwa Gebäude, Labor, Logistik, Verwaltung etc., sofern sie für die Erbringung der kritischen Dienstleistung erforderlich sind. Neben der Angriffserkennung sind auch Maßnahmen zum physischen und logischen Schutz der Anlagen und Computersysteme gefordert. Diese verstehen sich nach Angabe der Autoren jedoch nicht im Umfang dieser AK-Praxis. Im Fokus der AK-Praxis steht vielmehr die Lebenszyklusphase Betrieb & Wartung und dabei im Besonderen die Planung sowie die Außerbetriebnahme.
Vorgaben des IT-SiG 2.0
IT-SiG 2.0 fordert von Betreibern von „Kritischer Infrastruktur“:
- Prozesse zur Erkennung von Angriffen
- auf Informationstechnische Systeme, welche durch
- technische Werkzeuge und
- organisatorische Einbindung unterstützt werden.
Die Angemessenheit einzelner Maßnahmen zur Erfüllung dieser Vorgaben hängt von einer Vielzahl von Faktoren ab. Dazu gehören u. a.:
- die Kritikalität der Anlage im Sinne des IT-SIG 2.0,
- die Komplexität des Informationstechnischen Systems,
- die vorhandene Security-Kompetenz in den umsetzenden Organisationseinheiten,
- die Exposition des Informationstechnischen Systems gegenüber Cyber-Bedrohungen,
- sich auf die IT-Sicherheit nachteilig auswirkende Seiteneffekte einzelner Angriffserkennungsmaßnahmen
- weitere Gegebenheiten von Bestandanlagen.
Diese Parameter fließen in eine Risikoanalyse ein und werden bewertet. Aus der Risikoanalyse wird ein ange-messenes Maßnahmenpaket erstellt und umgesetzt. Die Umsetzung soll stufenweise erfolgen, also z. B. ein erstes Maßnahmenpaket im Bestand und zu einem späteren Zeitpunkt (z. B. Systemmigration) ein weiteres.
AK-Praxis konkretisiert BSI-Veröffentlichung
Das Dokument konkretisiert das Thema SzA (Systeme zur Angriffserkennung) der BSI-Veröffentlichung Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung inklusive Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) ENWG (zum Zeitpunkt dieser Veröffentlichung als Community-Draft vorliegend) um Branchenspezifika der chemischen Prozessindustrie.
Diese AK-PRAXIS spiegelt die Erfahrungen der Mitglieder im AK 4.18 wider und ist im Rahmen des Arbeits-kreises abgestimmt. Sie hat nicht den Konsensgrad einer NAMUR-Empfehlung oder eines NAMUR-Arbeitsblatts. Mit einer AK-PRAXIS hat der Arbeitskreis die Möglichkeit, zeitnah eigene Erfahrungen für inte-ressierte Leser zur Verfügung zu stellen.
Die vollständige AK-Praxis steht zum kostenfreien Download zur Verfügung.