Bundesamt für Sicherheit in der Informationstechnik

Erfahrungen aus der industriellen Sicherheitsberatung v1.0

Datum 08.07.2015

Cyber-Sicherheit in der Fabrikautomation und Prozesssteuerung – subsumiert unter dem Begriff Industrial Control Systems (ICS) – umzusetzen, ist angesichts zunehmender Vorfälle eine dringende Notwendigkeit. Viele Betreiber haben aber bislang eine rein funktionale Sicht auf ihre Maschinen oder Anlagen und stehen somit vor einer großen Herausforderung. Besonders bei kleinen und mittelständischen Unternehmen übersteigt die Einführung eines Informationssicherheitsmanagementsystems (ISMS), wie IT-Grundschutz oder ISO 27000, die internen Fähigkeiten und Kapazitäten, wenn Security bislang kein Thema war. Um sukzessive den Einstieg in das Thema Cyber-Sicherheit zu schaffen und dabei möglichst schnell signifikante Verbesserungen des Sicherheitsniveaus zu erzielen, ist unter anderem das Konzept der Kurzrevision geeignet. Hierbei werden externe Dienstleister mit einer Prüfung der Infrastruktur beauftragt. Der Aufwand bei kleineren Infrastrukturen beschränkt sich auf wenige Tage. Die bei der Prüfung identifizierten Handlungsfelder sind häufig auch ohne größere Aufwände umsetzbar.

In dem hier angebotenen Dokument sind die häufigsten Mängel, die bei Revisionen im industriellen Umfeld in unterschiedlichen Branchen aufgefallen sind, dargestellt. Für die weiterführende Lektüre zu einzelnen Mängeln wird jeweils auf die entsprechenden Maßnahmen im ICS Security Kompendium des BSI verwiesen.