Aktuelles, Experten - geschrieben von dp am Mittwoch, Oktober 2, 2024 18:05 - noch keine Kommentare
Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
BSI unterstreicht, dass der sichere Betrieb von OT große Herausforderungen birgt
[datensicherheit.de, 02.10.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht in seiner aktuellen Stellungnahme, dass der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology / OT) Organisationen offensichtlich vor große Herausforderungen hinsichtlich der Cyber-Sicherheit stellt – „auch, weil sie häufig sehr lange Lebenszyklen hat, und insbesondere, wenn sie in Kritischen Infrastrukturen eingesetzt wird“. Dabei ist ihre Bedeutung aus BSI-Sicht nicht zu unterschätzen: „OT-Produkte tragen dazu bei, die Sicherheit von Menschen, Produktionsanlagen und nicht zuletzt der Umwelt zu gewährleisten.“
ACSC publiziert Grundsätze zur Cyber-Sicherheit der OT
Das Australian Cyber Security Centre (ACSC) hat demnach am 2. Oktober 2024 das Dokument „Principles of operational technology cyber security“ („Grundsätze der Cyber-Sicherheit von Operational Technology“) veröffentlicht. Gemeinsam mit weiteren internationalen Partnerbehörden sei das BSI an der Erstellung dieses Dokuments beteiligt gewesen und habe dessen Veröffentlichung unterstützt. Dieses Grundsatzdokument solle Betreibern mit grundsätzlichen Fragestellungen helfen und habe zum Ziel, den Betrieb von OT resilienter zu gestalten.
Es werden laut BSI sechs Grundsätze zur Schaffung und Aufrechterhaltung einer sicheren OT-Umgebung beschrieben:
- Safety (Funktionale Sicherheit) ist oberstes Gebot!
- Profunde Kenntnisse der Geschäftsprozesse und Technik sind entscheidend!
- OT-Daten sind äußerst wertvoll und müssen geschützt werden!
- OT muss von allen anderen Netzwerken segmentiert und getrennt sein!
- Die Lieferkette muss sicher sein!
- Menschen mit ihrer Erfahrung und Expertise sind für die Cyber-Sicherheit in der OT unerlässlich!
OT umfasst Hard- und Software – u.a. Steuerungssysteme und Automationslösungen
„OT umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert.“ Hierzu zählten insbesondere Steuerungssysteme (Industrial Control Systems / ICS) und Automationslösungen, genauso wie Laborgeräte, Logistiksysteme oder Gebäudeleittechnik. Da in der OT zunehmend auch IT-Komponenten aus der Office-IT eingesetzt würden, sei von einem ähnlich hohen Gefährdungsgrad auszugehen. Jedoch weise die OT gegenüber der klassischen IT wesentliche Unterschiede auf, welche es erschwerten, etablierte Sicherheitsverfahren anzuwenden.
Die steigende Tendenz OT stärker zu vernetzen, erfordere neben dem Verständnis für die Systeme, Prozesse und deren Integration in eine bestehende Infrastruktur auch eine Vorstellung potenzieller Angriffsszenarien. Aus Sicht des BSI ist es zwingend notwendig, „dass OT-spezifische Notfallpläne und ,Playbooks, in andere Notfall- und Krisenmanagementpläne sowie Business-Continuity-Pläne von Organisationen integriert werden“.
Grundsätze sollen für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeiter ansprechen
Die Grundsätze für die OT-Cyber-Sicherheit sollten Betreiber unterstützen, fundierte und umfassende Entscheidungen zu treffen, um die Sicherheit und Kontinuität des Geschäftsbetriebs bei der Planung, Implementierung und Verwaltung von OT-Systemen sicherzustellen. Die Grundsätze sollten für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeiter einer Organisation ansprechen – „unabhängig davon, ob es sich um operative, taktische oder strategische Entscheidungen handelt“. Mithilfe dieser Grundsätze könne Cyber-Sicherheit der OT ganzheitlich gestaltet werden.
Auf US-amerikanischer Seite werde diese Veröffentlichung von der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA), dem Federal Bureau of Investigations (FBI) und dem Multi-State Information Sharing and Analysis Center (MS-ISAC) unterstützt. In Kanada unterstützten das Canadian Centre for Cyber Security (CCCS) sowie ein Teil des Communications Security Establishment (CSE) und auf neuseeländischer Seite das National Cyber Security Centre (NCSC-NZ).
Weitere Informationen zum Thema:
ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Principles of operational technology cyber security / Introduction
ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Attachment / Principles of operational technology cyber security
ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Attachment / Principles of operational technology cyber security / Quick reference guide
Aktuelles, Experten - Nov 12, 2024 12:21 - noch keine Kommentare
Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
weitere Beiträge in Experten
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
Aktuelles, Branche - Nov 13, 2024 12:21 - noch keine Kommentare
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
weitere Beiträge in Branche
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
- Sophos X-Ops analysieren Cyber-Attacken per Quishing
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren