Cyber Security

LEITFADEN 

CYBER-SICHERHEITS-CHECK OT

(2021)

Der bereits 2017 im Positionspaper Cyber-Sicherheits-Check in industriellen Anlagen angekündigten Arbeit an einem Leitfaden konnte erfolgreich abgeschlossen werden. Hiermit steht allen Interessierten der Leitfaden „Cyber-Sicherheits-Check OT (operativen Technologie) zum Download bereit. Dieser ermöglicht es Organisationen auch im Bereich der Anlagen- und Prozessteuerung das Thema Cybersicherheit zu adressieren und das Bewusstsein für Risiken aus dem Cyberraum für die OT zu schärfen. Auch hier kann der Status der bereits vorhandene Schutzmaßnahmen bewertet und einen Weg zur Verbesserung der Cyber-Sicherheit in der OT aufgezeigt werden. Die Methodik zur Risikoeinschätzung und zur Durchführung des Leitfadens „Cyber-Sicherheits-Check“ in der Version 2 wurde dabei den Gegebenheiten der OT angepasst und insbesondere um die Festlegung des Scopes erweitert. Im Maßnahmenkatalogs wurden die Punkte an die Gegebenheiten der Prozess- und Anlagensteuerung angepasst und ergänztAuch die Referenzen wurden zu den hier maßgeblichen Standards erarbeitet so dass hier weitere Informationen aus der IEC 62443, dem industrieteil des BSI IT-Grundschutz-Kompendiums 2021 sowie der ISO 27001 für den Cyber-Sicherheits-Check OT herangezogen werden können.  

Der „Cyber-Sicherheits-Check OT“ bietet somit auf Basis der aktuellen und in der Praxis bewährten Vorgehensweise, die Möglichkeit seinen Cyber-Sicherheits-Status auf die Anlagen und Prozessteuerung auszuweiten. Über den parallel mit entwickelten neuen Cyber-Practitioner Kurs gibt es auch die Möglichkeit Informations- und IT-Sicherheitsverantwortliche, technische Mitarbeiter aus der Anlagensteuerung oder Sicherheitsbeauftragten, Revisoren und Berater oder auch IT-Mitarbeiter einen Cyber-Sicherheits-Check OT von der Vorbereitung über die Risikoeinschätzung und Analyse bis hin zur Berichtserstellung in der eigenen Organisation durchführen können. 

Die Nutzung dieses Checks zur Überprüfung der Cybersicherheit der Prozess- und Anlagensteuerung begrüßen und unterstützen neben dem BSI explizit auch viele weitere Verbände und Mitglieder der Allianz für Cyber-Sicherheit, wie z. B. VDMA, ZVEI und die IDSA. 

Ab 2022 werden die "Cyber-Security-Practitioner OT"-Kurse und Zertifizierungen vom ISACA Germany Chapter gestartet, die zur offiziellen Anwendung des „Cyber-Sicherheits-Check OT“ berechtigen. Damit wird sichergestellt, dass auch weiterhin qualifiziertes internes Personal bzw. qualifizierte externe Dienstleister zur erfolgreichen Durchführung des Cyber-Sicherheits-Check OT und zur Verbesserung der Cybersicherheit beitragen. 

Auch die englische Version des Cyber-Sicherheits-Check OT kann demnächst hier heruntergeladen werden. 

Leitfaden 

Cyber-Sicherheits-Check (Version 2)

(2019)

Der erfolgreiche Leitfaden zum „Cyber-Sicherheits-Check“ liegt jetzt in einer überarbeiteten Version 2 vor. Diese ermöglicht es Organisationen noch besser, das Bewusstsein für Risiken aus dem Cyberraum zu schärfen, bereits vorhandene Schutzmaßnahmen zu bewerten und einen Weg zur Verbesserung der Cyber-Sicherheit aufzuzeigen. Die Änderungen umfassen eine auf Basis von Praxiserfahrungen überarbeitete Methodik zur Risikoeinschätzung, Erweiterungen des Maßnahmenkatalogs, unter anderem zur sicheren Nutzung von Cloud Computing sowie aktualisierte Referenzen zu relevanten Standards und Frameworks, wie z. B. IT-Grundschutz-Kompendium, COBIT 2019 oder PCI-DSS V3.2.1.

Der „Cyber-Sicherheits-Check“ bietet somit weiterhin eine aktuelle und in der Praxis bewährte Vorgehensweise, wie Informations- und IT-Sicherheitsverantwortliche, Datenschutzbeauftragte, Revisoren und Berater oder auch IT-Mitarbeiter einen Cyber-Sicherheits-Check von der Vorbereitung über die Risikoeinschätzung und Analyse bis hin zur Berichtserstellung durchführen können.

Die Nutzung dieses Checks zur Überprüfung der Cybersicherheit begrüßen und unterstützen neben dem BSI explizit auch viele weitere Verbände und Mitglieder der Allianz für Cyber-Sicherheit, wie z. B. VDMA, ZVEI und die IDSA.

2020 wurden auch die "Cyber-Security-Practitioner"-Kurse und Zertifizierungen von ISACA, die zur offiziellen Anwendung des „Cyber-Sicherheits-Check“ berechtigen, an die Inhalte des neuen „Cyber-Sicherheits-Check“ angepasst. Damit wird sichergestellt, dass auch weiterhin qualifiziertes internes Personal bzw. qualifizierte externe Dienstleister zur erfolgreichen Durchführung des Cyber-Sicherheits-Check zur Verfügung stehen.

Die englische Version kann hier heruntergeladen werden.

Leitfaden
Cyber-Sicherheits-Check

(2014)

Der von BSI und ISACA Germany Chapter e.V. in Kooperation veröffentlichte "Leitfaden zur Durchführung von "Cyber-Sicherheits-Checks" hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen. Grundlage eines jeden Cyber-Sicherheits-Checks sind die vom BSI veröffentlichten Basismaßnahmen der Cyber-Sicherheit.

IT-Sicherheitsverantwortlichen, Revisoren und Beratern wird damit ein praxisnaher Handlungsleitfaden zur Verfügung gestellt, der konkrete Vorgaben und Hinweise für die Durchführung eines Cyber-Sicherheits-Checks und die Berichtserstellung enthält. Als besonders interessanten Mehrwert stellen BSI und ISACA darüber hinaus eine Zuordnung der zu beurteilenden Maßnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO/IEC 27001, COBIT, PCI DSS) zur Verfügung.

Ein Cyber-Sicherheits-Check kann sowohl durch qualifiziertes, eigenes Personal, als auch durch externe Dienstleister, die ihre Kompetenz zur Durchführung von Cyber-Sicherheits-Checks durch eine Personenzertifizierung zum "Cyber-Security-Practitioner" nachgewiesen haben, durchgeführt werden.

Positionspapier
Cyber-Sicherheits-Check in industriellen Anlagen

(2017)

Das von der Fachgruppe Cyber Security veröffentlichte Positionspaper Cyber-Sicherheits-Check in industriellen Anlagen beschreibt das Vorgehensmodell und den Stand der Entwicklung des Leitfadens "Cyber-Sicherheits-Check in industriellen Anlagen" (CSC ICS), der zukünftig dazu beitragen soll, die Lücke bei der Betrachtung von Sicherheitsrisiken zwischen der Operational Technology (OT) in Produktionsumgebungen und der klassischen Informationstechnik (IT) zu schließen.