Das ISMS als Erfolgsfaktor für den sicheren OT-Betrieb ///

Was hat ein Informationssicherheitsmanagementsystem (ISMS) mit kritischen Infrastrukturen zu tun? 

Die aktuellen Ereignisse rund um die COVID Krise oder die fast täglichen neuen Nachrichten über „gehackte“ Unternehmen zeigen uns allen, wie wichtig der sichere Betrieb (kritischer) Infrastrukturen für unsere Gesellschaft und Ihren Unternehmenserfolg ist. Es ist für uns selbstverständlich, dass die Versorgung mit Strom oder Lebensmitteln genauso aufrechterhalten wird, wie der Betrieb von Krankenhäusern oder die Produktion von medizinischen Gütern. Aber auch für die produzierende Industrie ist es erforderlich, dass Produktionsprozesse möglichst keine Unterbrechungen erfahren.

Was hat dies mit Informationssicherheitsmanagement zu tun?

Informationssicherheitsmanagement (ISM) liefert einen wesentlichen Beitrag für den sicheren (Safety & Security) Betrieb von IACS/OT-Anlagen (IACS: Industrial Automation and Control Systems, OT: Operational Technologies). Im Wirkungsbereich des ISMS werden u.a. die folgenden Schutzziele mit technischen und organisatorischen (Schutz)Maßnahmen adressiert:

  • Verfügbarkeit
    z.B. Vorsorge gegen Pandemie, Schutz vor Cyber Angriffe (z.B. Cyber-Erpressung, Wirtschaftskrieg im Cyber Raum, Ransomware) – respektive Schutz vor IT/OT Ausfällen
  • Integrität
    Verhinderung von Verfälschung von Daten z.B. Kundendaten, IT/OT-Systemkonfigurationen
  • Vertraulichkeit
    z.B. Know-how Schutz, Datenschutz

An dieser Stelle sei mir die Frage gestattet: „Hatten Sie schon bei dem einen oder anderen Schutzziel Probleme in Ihrem Unternehmen?“  

Der Gesetzgeber sieht jedenfalls die Herausforderungen für die Gesellschaft. Um die Versorgungssicherheit zu gewährleisten, wurden das NIS-G und ergänzende Verordnungen in Kraft gesetzt. Im Wesentlichen geht es darum, unsere (kritische) Infrastruktur vor den Auswirkungen von Cyber Angriffen zu schützen – z.B. ein Black Out zu verhindern. Um diese Ziele zu erreichen, wird vom Gesetzgeber vorgeschrieben, dass die betroffenen Unternehmen Schutzmaßnahmen für den sicheren IT/IACS/OT Betrieb etablieren und deren Wirksamkeit über regelmäßige Überprüfungen nachweisen müssen.

Für die strukturierte Behandlung dieser Aufgabenstellung bietet es sich an, ein Informationssicherheitsmanagementsystem (ISMS) zu etablieren. Hierzu gibt es eine Vielzahl von Best Practices und Standards. Der, in Europa mit dem größten Verbreitungsgrad etablierte, Standard hierzu ist die ISO/IEC 27001. Für Sicherheit in IACS/OT Umgebungen wurde die IEC 62443 Normenfamilie entwickelt. Behandelt die ISO/IEC 27001 im Wesentlichen die Herausforderungen der IT, zielt die IEC 62443 spezifisch auf die Anforderungen in IACS/OT-Umgebungen ab. Die Standards sind auf Managementsystemebene umfänglich kompatibel und bieten so die Möglichkeit der Bildung eines durchgängigen Sicherheitsmanagements.

Ein wesentlicher Bestandteil bzw. der Kernprozess eines ISMS ist das Informationssicherheits­risikomanagement. Dies ermöglicht strukturierte Verbesserungspotentiale im Betrieb der IACS/OT-Infrastruktur aufzuzeigen.

Mit dem Risikomanagementtool CRISAM® steht Ihnen hierfür eine österreichische Lösung zur Verfügung die bereits bei mehr als 50% der in Österreich ISO 27001 zertifizierten Unternehmen im Einsatz ist. Mit den aktuellsten Weiterentwicklungen der umfangreichen Compliance Knowledge Packs im Bereich „kritische Infrastruktur“ und „IEC 62443“ stehen Ihnen jetzt auch Komponenten zur Verfügung, die spezifisch auf IACS Systeme und gesetzliche Vorgaben aus NISG eingehen. Dank der umfassenden integrierten Reportingmöglichkeiten können sie die wesentlichen Informationen effizient und zielgruppengerecht aufbereiten.

Zusammenfassend gesagt:

Unternehmen in diesen Bereichen stehen vor großen Herausforderungen im sicheren IACS/OT Betrieb. Diese können jedoch mit Hilfe eines strukturierten Informationssicherheitsmanagements nachhaltig bewältigt werden. Mit CRISAM® steht Ihnen dabei eine Plattform zu Verfügung, die den Kernprozess des Risikomanagements professionell und effizient bedient.

Anforderungen an das Risiko- und Compliance Management professionell managen

Mit den neuen Knowledge Packs „KRITIS“ und „IEC 62443“ unterstützt Sie CRISAM® in der Erfüllung der Anforderungen u.a. bzgl. NISG oder Nachweise gegenüber Ihren Auftraggebern.

Mehr Informationen zu aktuellen Knowledge Pack Updates finden Sie hier.

Harald Montenegro
AUTOR

Dipl.Ing. Harald Montenegro, MSc
Partner
CALPANA business consulting GmbH
Email: office@calpana.com
Telefon: +43 732 601 216 – 0


Weitere Themen ///

CRISAM® CONTENT RELEASE

 

CRISAM® CONTENT RELEASE

Es gibt zwei umfassende Neuerungen in CRISAM®, die Sie dabei unterstützen, am Puls der Zeit zu bleiben: Die CRISAM® Knowledge Packs ISMS und BaFin sind ab sofort verfügbar! Die ISO/IEC 27001:2022 wurde zwar erst vor wenigen Wochen von der International Organization for Standardization (ISO) veröffentlicht, Sie können aber bereits heute in CRISAM® von diesem Update profitieren.

zum Artikel

Best Paper Award für KI-Forschungsprojekt

 

Best Paper Award für KI-Forschungsprojekt

Anfang September 2022 haben wir in unserem Forschungsprojekt mit der FH Hagenberg einen großen Erfolg feiern dürfen. Unser Projektpartner gewinnt bei der IntelliSys den Best Paper Award für den Artikel "Anomaly-based Risk Detection using Digital News Articles". Die Ergebnisse fließen in die neuen Versionen unserer  GRC-Lösung CRISAM® ein.

zum Artikel

CRISAM® 2022.2 & CONTENT RELEASE

 

CRISAM® 2022.2 & CONTENT RELEASE

Der Release 2022.2 ist richtig gut gefüllt mit tollen neuen Features und im Web Access hat sich einiges getan! Das Design erstrahlt in neuem Glanz, es gibt neue Objekte im Web Access, die Modellierung der Fehlerbäume wurde übertragen und der Formulareditor zur Spielwiese der Möglichkeiten.

zum Artikel

Corporate Risk Minds – Wir sind dabei!

 

Corporate Risk Minds – Wir sind dabei!

Am 7. und 8. Juli 2022 findet die Corporate Risk Minds in Berlin statt und wir sind dabei! Wir freuen uns sehr, einen Beitrag zu diesem spannenden Format zu leisten mit einer Session von CALPANA Deutschland Geschäftsführer Andreas Schmitz zum Thema "Risikomanagement in Echtzeit - Was können KI-Methoden für das Risikomanagement leisten?"

zum Artikel

Risikomanagement in Echtzeit

 

Risikomanagement in Echtzeit

Wir haben eine Methode für die Erkennung von Anomalien auf multidimensionalen Zeitreihendaten entwickelt und dies mit Clustern aus Nachrichtenartikeln kombiniert, um automatisch mögliche Risiken für Unternehmen zu erkennen. Dazu sammeln wir Daten wie zum Beispiel die Anzahl der Artikel, Anzahl positiver und negativer Artikel sowie den Aktienwert.

zum Artikel

CRISAM® 2021.4 & CONTENT RELEASE

 

CRISAM® 2021.4 & CONTENT RELEASE

Im Release 2021.4 freuen wir uns Ihnen CRISAM® Neuerungen und Erweiterungen zu präsentieren beim Web Access Dashboard, den Mail Templates, der Bausteinauswahl sowie Performance Verbesserung. Außerdem gibt es zahlreiche neue Knowledge Packs, z.B. im Bereich Automotive, BaFin oder Critical Infrastructure.

zum Artikel

 

Bleiben wir in Kontakt ///