iQoncept - Fotolia

Die Sicherheit kritischer Infrastrukturen profitiert von Situationsbewusstsein

Der Basisschutz für industrielle Kontrollsysteme in kritischen Infrastrukturen besteht aus einer Kombination von Situationsbewusstsein und Compliance.

Situationsbewusstsein (Situational Awareness) wird im United States Army Field Manual so definiert: Kenntnisse und Verständnis zur derzeitigen Situation, die eine zeitnahe, relevante und genaue Bewertung der freundlichen, feindlichen und anderen Operationen innerhalb der Kampfzone fördern, um angemessene Entscheidungen zu treffen.

Allerdings ist Situationsbewusstsein nicht nur für das US-Militär interessant. Betreiben Unternehmen kritische Infrastrukturen, dann können und sollten sie den Schutz der industriellen Kontrollsysteme verbessern, indem sie den Mitarbeitern Situationsbewusstsein näher bringen.

Das Entwickeln von Situationsbewusstsein kann allerdings eine Herausforderung für das Personal sein, das industrielle Kontrollsysteme innerhalb wichtiger Infrastruktur betreut. Moderne, kritische Infrastrukturen wie zum Beispiel Versorgungssysteme sind sehr komplex. Die Variablen bei Cybersecurity ändern sich ständig und die auftauchenden Bedrohungen stechen viele industrielle Kontrollsystemtechnologien locker aus.

Um diese Herausforderungen meistern zu können, ist kontinuierliches Training in Bezug auf Compliance-Vorgaben und Richtlinien notwendig. Das gilt vor allen Dingen im Hinblick auf SCADA-Systeme (Supervisory Control And Data Acquisition). SCADA-Systeme ermöglichen den Betrieb und die Kontrolle von Prozessen bei wichtiger Infrastruktur, die industrielle Kontrollsysteme verwenden. Wir sprechen hier unter anderem von Wasserversorgung, Abwasser, Öl- und Gas-Pipelines, Elektrizität, Gesundheitswesen, zivile Sirenensysteme, Finanzservices, Transport und große Kommunikationssysteme.

Um das Situations- und Cyberbewusstsein für SCADA-Systeme zu erhöhen, sollten Sie sich bei den Schulungen für das Personal auf diese Sicherheitsbereiche konzentrieren:

  • Passwort
  • Betrieb und Funktionalität der Tasten auf der Frontplatte
  • Programmierung und Neuprogrammierung von Hardware für die Remote-Kommunikation
  • Umgang mit Gerätefunktionalitäten wie zum Beispiel Bluetooth

Unternehmen, die wichtige Infrastruktur betreiben, müssen das Training für die Richtlinien ernst nehmen. Schulungsanforderungen sollten als Einstellungsmerkmal für alle Mitarbeiter und auch Auftragnehmer zwingend sein. Neben diesen Anforderungen sollten die Unternehmen weitere Compliance-Schulungen voraussetzen, die speziell auf die eingesetzten Systeme maßgeschneidert sind.

Mitarbeiter mit einem angemessenen Niveau an Situationsbewusstsein können den momentanen Betrieb der kritischen Infrastruktur und auch die Schwachstellen bewerten. Sobald die Schwachstellen und die dazugehörigen Exploits identifiziert sind, muss die Security-Abteilung weitere Analysen zu deren Schwere durchführen und einschätzen, inwiefern diese die Bereitstellung der Services stören könnten. Die IT-Abteilung kann außerdem Cybersecurity-Strategien wie Intrusion Detection verwenden, um Anomalien zu identifizieren, bevor sie sich negativ auf den Betrieb auswirken.

Das US-Institut National Institute of Standards and Technology (NIST) hat einen neuen Standard für Konformität von kritischen Infrastrukturen veröffentlicht. Dieses Dokument nennt sich Improving Critical Infrastructure Cybersecurity Executive Order 13636: Preliminary Cybersecurity Framework (PDF). Es kümmert sich darum, wie die Besitzer und Betreiber wichtiger Infrastrukturen Cyber-Bedrohungen in Branchen wie zum Beispiel Telekommunikation, Transport, Gesundheitswesen und Stromerzeugung reduzieren können.

Das deutsche Bundesministerium des Inneren (BMI) hat eine Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) proklamiert. Auf der entsprechenden Webseite finden Sie weitere Informationen, unter anderem mit dem Basisschutzkonzept eine Richtlinien für die Betreiber Kritischer Infrastrukturen.

Das US-Handelsministerium hat weiterhin NIST Special Publication 800-82 Revision 2 Final Public Draft: Guide to Industrial Control Systems (ICS) Security (PDF) publiziert. Darin ist Folgendes beschrieben: Nachvollziehbares und offizielles Security-Training und Bewusstseinsprogramm ist darauf ausgelegt, um die Mitarbeiter hinsichtlich der Security-Richtlinien und Prozeduren des Unternehmens auf dem neuesten Stand zu halten. Das gilt auch für die Standards bei der Cybersecurity der Branche und die empfohlenen Praktiken. Ohne Schulungen für spezielle ICS-Richtlinien und entsprechende Prozeduren kann man von den Angestellten nicht erwarten, dass sie eine sichere ICS-Umgebung betreiben.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) betreiben eine gemeinsame KRITIS-Webseite. Dort finden Sie weitere Links zu Publikationen im Themenbereich KRITIS.

Fazit

Situational Awareness und Cybersecurity ergänzen sich gegenseitig. Steigt das Situationsbewusstsein, wirkt sich das direkt positiv auf die Sicherheit aus. Dieser Schwerpunkt auf Security stärkt wiederum das Bewusstsein. Situationsbewusstsein und Strategien für Cybersecurity basieren ursprünglich auf Standards für Konformität, sind aber nicht komplett davon abhängig. Sie spielen eine wichtige Rolle bei der Erkennung von Cyberbedrohungen und der Vermeidung von Angriffen auf ICS.

Gibt es auf der anderen Seite keinen Schwerpunkt auf Bewusstsein und Sicherheit, sind die Mitarbeiter einer Organisation möglicherweise überdurchschnittlich anfällig für Bedrohungen wie zum Beispiel Angriffe über soziale Medien. Diese machen sich außergewöhnliche menschliche Situationen und den Mangel an Cyberbewusstsein zunutze.

Über den Autor:
Daniel Allen ist Research Fellow beim US-Center for Climate and Security. Dort konzentriert er sich auf die Schnittellen der Strategien für Cybersecurity und Security-Risiken durch Klimawandel. Er ist außerdem Präsident von N2 Cyber Security Consultants, LLC. Er hat außerdem als Wissenschaftler für Naval Health Research Center/ Medical Resource Planning gearbeitet. Weiterhin ist er ein Veteran der US-Armee und Lehrer für Wissenschaft und Klimakunde. Allen hat einen Masters-Abschluss in Cyber Security und Information Assurance von der National University. Die National Security Agency und das Department of Homeland Security haben ihn als „National Center of Academic Excellence in Information Assurance Education“ designiert.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im September 2015 aktualisiert

Erfahren Sie mehr über IT-Sicherheitstraining und interne Bedrohungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close