Aktuelles, Experten - geschrieben von dp am Mittwoch, Oktober 2, 2024 18:05 - noch keine Kommentare
Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
BSI unterstreicht, dass der sichere Betrieb von OT große Herausforderungen birgt
[datensicherheit.de, 02.10.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht in seiner aktuellen Stellungnahme, dass der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology / OT) Organisationen offensichtlich vor große Herausforderungen hinsichtlich der Cyber-Sicherheit stellt – „auch, weil sie häufig sehr lange Lebenszyklen hat, und insbesondere, wenn sie in Kritischen Infrastrukturen eingesetzt wird“. Dabei ist ihre Bedeutung aus BSI-Sicht nicht zu unterschätzen: „OT-Produkte tragen dazu bei, die Sicherheit von Menschen, Produktionsanlagen und nicht zuletzt der Umwelt zu gewährleisten.“
ACSC publiziert Grundsätze zur Cyber-Sicherheit der OT
Das Australian Cyber Security Centre (ACSC) hat demnach am 2. Oktober 2024 das Dokument „Principles of operational technology cyber security“ („Grundsätze der Cyber-Sicherheit von Operational Technology“) veröffentlicht. Gemeinsam mit weiteren internationalen Partnerbehörden sei das BSI an der Erstellung dieses Dokuments beteiligt gewesen und habe dessen Veröffentlichung unterstützt. Dieses Grundsatzdokument solle Betreibern mit grundsätzlichen Fragestellungen helfen und habe zum Ziel, den Betrieb von OT resilienter zu gestalten.
Es werden laut BSI sechs Grundsätze zur Schaffung und Aufrechterhaltung einer sicheren OT-Umgebung beschrieben:
- Safety (Funktionale Sicherheit) ist oberstes Gebot!
- Profunde Kenntnisse der Geschäftsprozesse und Technik sind entscheidend!
- OT-Daten sind äußerst wertvoll und müssen geschützt werden!
- OT muss von allen anderen Netzwerken segmentiert und getrennt sein!
- Die Lieferkette muss sicher sein!
- Menschen mit ihrer Erfahrung und Expertise sind für die Cyber-Sicherheit in der OT unerlässlich!
OT umfasst Hard- und Software – u.a. Steuerungssysteme und Automationslösungen
„OT umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert.“ Hierzu zählten insbesondere Steuerungssysteme (Industrial Control Systems / ICS) und Automationslösungen, genauso wie Laborgeräte, Logistiksysteme oder Gebäudeleittechnik. Da in der OT zunehmend auch IT-Komponenten aus der Office-IT eingesetzt würden, sei von einem ähnlich hohen Gefährdungsgrad auszugehen. Jedoch weise die OT gegenüber der klassischen IT wesentliche Unterschiede auf, welche es erschwerten, etablierte Sicherheitsverfahren anzuwenden.
Die steigende Tendenz OT stärker zu vernetzen, erfordere neben dem Verständnis für die Systeme, Prozesse und deren Integration in eine bestehende Infrastruktur auch eine Vorstellung potenzieller Angriffsszenarien. Aus Sicht des BSI ist es zwingend notwendig, „dass OT-spezifische Notfallpläne und ,Playbooks, in andere Notfall- und Krisenmanagementpläne sowie Business-Continuity-Pläne von Organisationen integriert werden“.
Grundsätze sollen für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeiter ansprechen
Die Grundsätze für die OT-Cyber-Sicherheit sollten Betreiber unterstützen, fundierte und umfassende Entscheidungen zu treffen, um die Sicherheit und Kontinuität des Geschäftsbetriebs bei der Planung, Implementierung und Verwaltung von OT-Systemen sicherzustellen. Die Grundsätze sollten für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeiter einer Organisation ansprechen – „unabhängig davon, ob es sich um operative, taktische oder strategische Entscheidungen handelt“. Mithilfe dieser Grundsätze könne Cyber-Sicherheit der OT ganzheitlich gestaltet werden.
Auf US-amerikanischer Seite werde diese Veröffentlichung von der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA), dem Federal Bureau of Investigations (FBI) und dem Multi-State Information Sharing and Analysis Center (MS-ISAC) unterstützt. In Kanada unterstützten das Canadian Centre for Cyber Security (CCCS) sowie ein Teil des Communications Security Establishment (CSE) und auf neuseeländischer Seite das National Cyber Security Centre (NCSC-NZ).
Weitere Informationen zum Thema:
ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Principles of operational technology cyber security / Introduction
ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Attachment / Principles of operational technology cyber security
ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Attachment / Principles of operational technology cyber security / Quick reference guide
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren