Kritische Infrastruktur

Als Betreiber einer kritischen Infrastruktur (Energieversorger, Flughafen, Schienennetzbetreiber, Bundesheer, Telekommunikationsnetzbetreiber, Krankenhaus) haben Sie erhöhte Ansprüche an die Informationssicherheit und Ihr Risikomanagementsystem.

Die erhöhten Ansprüche resultieren einerseits aus den Besonderheiten der verwendeten Systeme:

„Defense-in-Depth“ Prinzip

  • Keine Wartungsfenster – Hot-Standby-Betrieb – Kein Datenverlust
  • Lange Nutzungsdauer (> 10 Jahre)
  • Hoher Testaufwand bei Änderungen
  • Hohe Abhängigkeit von Systemlieferanten
  • Redundanz-Prinzip
  • „Defense-in-Depth“ Prinzip

Andererseits aus der steigenden Bedrohungslage, die im BSI Lagebericht 2011 wie folgt dokumentiert wurde:

„Nachdem IT-Angriffe auf Prozesssteuerungssysteme lange Zeit lediglich in Fachkreisen diskutiert wurden, ist durch Stuxnet die reale Bedrohung nun eindrucksvoll bewiesen worden. Das Schadprogramm zeichnet sich durch herausragende Infektionsmechanismen aus und richtet sich im Gegensatz zu den meisten trojanischen Pferden nicht gegen „normale“ PCs, sondern gegen Prozesssteuerungsanlagen in der Industrie. […] Durch Stuxnet wird deutlich, dass die gesamte Sicherheitskonzeption von Systemen zur Prozesssteuerung dringlich zu überdenken und, wo notwendig, der aktuellen Bedrohungslage anzupassen ist.“

Die besonderen Sicherheitsanforderungen von Produktionssystemen werden nach und nach in Empfehlungen und Standards berücksichtigt. Besonders hervorzuheben ist hier die ISO/IEC TR 27019:2013, die von der ISO aus der DIN SPEC 27009 in einem FastTrack-Verfahren übernommen wurde.

Mit dem CRISAM® SCADA Knowledge Pack erhalten Sie in Kombination mit dem CRISAM® ISMS alles was Sie brauchen, um die Leittechnik in Ihr Risikomanagementsystem optimal integrieren zu können.

Der CRISAM® SCADA Knowledge Pack enthält eigene Bausteine und Kontrollen mit spezifischen Umsetzungshinweisen für die Leittechnik. Diese wurden in Zusammenarbeit mit anerkannten Experten von namhaften Energieversorgern entwickelt.

Darüber hinaus enthält das Knowledge Pack Compliance Reports und Mappings zu den Normen:

BDEW Bundesverband der Energie- und Wasserwirtschaft e.V.: Anforderungen an sichere Steuerungs- und Telekommunikationssysteme
ISO/IEC TR 27019:2013: Information technology — Security techniques — Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry