Cybersecurity

Das NIST Cybersecurity Framework (CSF) umfasst eine Reihe von Richtlinien, die vom National Institute of Standards and Technology (NIST) in den USA entwickelt wurden, um Organisationen bei der Bewältigung von Cybersicherheitsrisiken zu unterstützen. Diese Empfehlungen werden nicht nur in den USA, sondern auch weltweit als Standardansatz zum Schutz der IT-Infrastruktur angewendet.

Das NIST Cybersecurity Framework gilt als eines der wichtigsten Instrumente im Bereich des Cybersicherheitsmanagements und ist weit verbreitet.

Die Schlüsselelemente des NIST Cybersecurity Framework umfassen:

1. Kernfunktionen (Core Functions):

• Identify: Identifizierung der zu schützenden Ressourcen und Verständnis der Bedrohungen und Schwachstellen, die die Systemsicherheit beeinträchtigen können. In dieser Funktion führt die Organisation eine Risikoanalyse durch und identifiziert die wichtigsten Ressourcen wie Daten, Menschen und Technologien sowie die Abhängigkeiten von anderen Akteuren.
• Protect: Umsetzung entsprechender Schutzmaßnahmen zur Vermeidung und Minimierung der Auswirkungen potenzieller Gefahren. Dies umfasst Zugangskontrolle, Schulung, technische und physische Sicherheit.
• Detect: Überwachung der Systeme zur Feststellung von Sicherheitsverletzungen. Diese Funktion konzentriert sich auf die Implementierung von Systemen und Prozessen, um unbefugte Zugriffe oder unerwünschte Aktivitäten sofort oder so schnell wie möglich nach deren Auftreten zu erkennen.
• Respond: Entwicklung und Umsetzung von Plänen zur Reaktion auf Vorfälle, darunter Verfahren für das Krisenmanagement, die Kommunikation, die Analyse von Vorfällen und die Umsetzung von Abhilfemaßnahmen.
• Recover: Wiederherstellung des normalen Betriebs nach einem Sicherheitsvorfall. Diese Funktion umfasst Datenwiederherstellungspläne, Ursachenanalysen und Maßnahmen, um das Unternehmen widerstandsfähiger gegen künftige Bedrohungen zu machen.

2. Profile: Individuelle Anpassung des Rahmens zur Bestimmung der spezifischen Bedürfnisse und Risiken einer gegebenen Organisation. Organisationen können Profile erstellen, die ihren aktuellen Sicherheitsstatus und die zu erreichenden Ziele widerspiegeln.

3. Implementierungsebenen (Implementation Tiers): Das NIST CSF führt das Konzept der Implementierungsebenen ein, um Organisationen bei der Bewertung zu unterstützen, wie gut sie Risiken managen. Diese Ebenen beschreiben unterschiedliche Entwicklungsstadien – von grundlegend bis fortgeschritten (wenn die Organisation proaktive und integrierte Risikomanagementprozesse vollständig eingeführt hat).

Das Gesetz über das nationale Cybersicherheitssystem ist ein polnisches Gesetz, das 2018 in Kraft getreten ist und die Cybersicherheit in Polen stärken soll. Das Gesetz setzt die Bestimmungen der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) um, die darauf abzielt, die Sicherheit von Netzwerken und Informationssystemen in den EU-Mitgliedstaaten zu verbessern.

Schlüsselelemente des Gesetzes über das Nationale Cybersicherheitssystem:

1. Nationales Cybersicherheitssystem: Mit dem Gesetz wird das Nationale Cybersicherheitssystem eingerichtet, das öffentliche Verwaltungsstellen, Betreiber der wichtigsten Dienstleistungen, Anbieter digitaler Dienste und andere Körperschaften mit Bezug zur Cybersicherheit in Polen umfasst. Dieses System soll die Koordinierung der Cybersicherheitsaktivitäten des Landes gewährleisten.

2. Betreiber von wichtigen Dienstleistungen: Das Gesetz legt fest, wer zu den Betreibern der wichtigsten Dienstleistungen gehört (z. B. Energie- und Wasserversorgungsunternehmen, der Bankensektor), d. h. welche Körperschaften für die Gesellschaft und die Wirtschaft von entscheidender Bedeutung sind. Diese Betreiber sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau für ihre Informationssysteme zu gewährleisten.

3. Anbieter digitaler Dienste: Das Gesetz gilt auch für Anbieter digitaler Dienste (z. B. E-Commerce-Plattformen, Cloud-Computing-Dienste), die bestimmte Sicherheitsstandards einhalten und Cybersicherheitsvorfälle melden müssen.

4. Meldung von Vorfällen: Betreiber der wichtigsten Dienstleistungen und Anbieter digitaler Dienste sind verpflichtet, ernsthafte Vorfälle im Bereich der Cybersicherheit dem zuständigen CSIRT (Computer Security Incident Response Team) zu melden, das für die Reaktion auf Vorfälle auf nationaler Ebene zuständig ist. In Polen gibt es drei große CSIRT-Teams: CSIRT GOV (verwaltet durch den Inlandgeheimdienst ABW), CSIRT NASK (verwaltet durch NASK – Akademisches und Forschungs-Computernetzwerk) und CSIRT MON (verwaltet durch das Verteidigungsministerium).

5. Für die Cybersicherheit zuständige Behörden und Einrichtungen:

• Rat für Cybersicherheit: Ein beratendes Gremium, das die Arbeit der Regierung im Bereich der Cybersicherheitsstrategie und -politik unterstützt.
• Regierungsbevollmächtigter für Cybersicherheit: Verantwortlich für die Koordinierung der Aktivitäten der Regierung im Bereich der Cybersicherheit.
• Nationales System zur Reaktion auf Computerzwischenfälle: Eine Struktur zur Koordinierung der Aktivitäten der verschiedenen CSIRTs und anderer Einrichtungen, die sich mit Cybersicherheit befassen.

6. Strafen und Sanktionen: Das Gesetz sieht Sanktionen für die Nichteinhaltung der in ihm festgelegten Verpflichtungen vor, z. B. das Versäumnis, angemessene Sicherheitsmaßnahmen zu ergreifen oder einen Cybersicherheitsvorfall zu melden.

7. Internationale Zusammenarbeit: Das Gesetz sieht Mechanismen für die Zusammenarbeit mit anderen EU-Mitgliedstaaten und internationalen Organisationen beim Informationsaustausch über Cyber-Bedrohungen und die Reaktion auf Vorfälle vor.

ISA/IEC 62443 ist eine Reihe von Normen, die von der International Society of Automation (ISA) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt wurden. Sie betreffen die Sicherheit von industriellen Automatisierungs- und Kontrollsystemen (IACS), die Schlüsselelemente der Infrastruktur für operative Technologie (OT) sind. Diese Normen sollen OT-Systeme vor Cyber-Bedrohungen schützen, die den Betrieb wichtiger Industrieprozesse beeinträchtigen können.

Die Normen ISA/IEC 62443 sind weithin als die wichtigsten Richtlinien für die Cybersicherheit von industriellen Automatisierungssystemen anerkannt. Sie helfen Unternehmen, ihre betrieblichen Abläufe vor Cyber-Bedrohungen zu schützen, die Geschäftskontinuität zu gewährleisten, Eigentum, Gesundheit und Sicherheit der Mitarbeiter zu schützen und mögliche finanzielle Verluste durch Cyber-Angriffe zu minimieren.

Wichtigste Grundsätze der Normen ISA/IEC 62443:

1. Anwendungsbereich:

• OT-Systeme (operative Technologie): Die Normen ISA/IEC 62443 konzentrieren sich auf den Schutz von OT-Systemen, wie z. B. industriellen Steuerungs- und Automatisierungssystemen, die in Sektoren wie Energie, Fertigung, Chemie, Pharmazie, Verkehr und Wasserversorgung eingesetzt werden. Diese Systeme unterscheiden sich von IT-Systemen dadurch, dass ihr Hauptziel der sichere und zuverlässige Betrieb physischer Prozesse ist.

2. Risikobasierter Ansatz:

• Diese Normen legen den Schwerpunkt auf die Bewertung der mit Cyber-Bedrohungen verbundenen Risiken und die Umsetzung von Schutzmaßnahmen, die dem Risiko angemessen sind. Die Organisationen werden aufgefordert, potenzielle Risiken und Schwachstellen in ihren OT-Systemen zu ermitteln und dann geeignete Gegenmaßnahmen zu ergreifen.

3. Struktur der Normen:

• Allgemeine Begriffe und Modelle: Die Dokumente der Serie 62443 beschreiben die grundlegenden Begriffe, Modelle und Ansätze der Cybersicherheit im Kontext OT. Dazu gehört unter anderem eine Beschreibung der IACS-Systemarchitektur und der Risikobewertungsmethoden.
• Anforderungen an Richtlinien und Verfahren: Diese Normen bieten eine Anleitung zur Festlegung von Richtlinien, Verfahren und Praktiken, die Organisationen beim Management der Sicherheit von OT-Systemen befolgen sollten.
• Anforderungen an Komponenten und Systeme: Es werden die technischen Anforderungen für die Sicherheit auf Geräte-, System- und allgemeiner OT-Infrastrukturebene definiert, wie z. B. für Steuerungen, Mensch-Maschine-Schnittstellen (HMIs), Kommunikationsnetzwerke, Server usw.
• Anforderungen an Lieferanten und Integratoren: Diese Normen definieren die Anforderungen an Ausrüstungslieferanten und Systemintegratoren im Bereich der Lieferung von Lösungen, die den Sicherheitsanforderungen entsprechen.

4. Sicherheitsstufen (Security Levels):

• ISA/IEC 62443 definiert verschiedene Sicherheitsstufen (Security Levels, SL), die den erforderlichen Schutzgrad für OT-Systeme bestimmen. Diese Stufen werden auf der Grundlage einer Risikoanalyse zugewiesen und können von einfachen Zugangskontrollen bis hin zu fortgeschrittenen Systemen zur Erkennung von und zur Reaktion auf Bedrohungen reichen.

5. Sicherheit in jeder Phase des Lebenszyklus:

• Die Normen ISA/IEC 62443 empfehlen, die Sicherheit in jeder Phase des Lebenszyklus eines OT-Systems zu integrieren – vom Entwurf über die Einführung und den Betrieb bis hin zur Wartung und Stilllegung. Dies umfasst sowohl technische Aspekte der Sicherheit als auch Managementprozesse.

6. Zusammenarbeit zwischen IT und OT:

• Eine der wichtigsten Herausforderungen, die mit diesen Normen angegangen werden sollen, ist die Zusammenarbeit zwischen IT- und OT-Teams. Eine Harmonisierung der Sicherheitsverfahren und -strategien ist erforderlich, um einen umfassenden Schutz für die gesamte Organisation zu gewährleisten.