Schnelltest für die IT-Sicherheit

Schnelltest für die IT-Sicherheit

Schnelltest für die IT-Sicherheit
Quelle: BSI

An der Universität Potsdam werden für kleine und mittlere Wasserversorger Werkzeuge entwickelt, die dabei helfen, die IT-Sicherheit in der Versorgungsinfrastruktur zu bewerten und zu erhöhen.

Im Förderschwerpunkt „IT-Sicherheit in kritischen Infrastrukturen“ des BMBF befasst sich das Forschungsprojekt Aqua-IT-Lab mit dem Sektor Wasserversorgung. Der Fokus des Projektes liegt dabei nicht auf den in der Kritis-Verordnung adressierten großen Versorgungsunternehmen. Vielmehr sollen für kleine und mittlere Wasserversorger Werkzeuge entwickelt werden, welche dabei helfen, die IT-Sicherheit in der Versorgungsinfrastruktur zu bewerten und zu erhöhen. Dies geschieht mit Blick auf die begrenzten personellen und finanziellen Ressourcen kleiner und mittlerer Versorger.

Den Einstieg für die Bewertung bildet der Schnelltest für die IT-Sicherheit. Anhand von 52 Fragen, welche aus gängigen IT-Sicherheitskatalogen generiert wurden, kann der Versorger in elf Dimensionen einschätzen, ob er die grundlegenden Aspekte der IT-Sicherheit berücksichtigt. Von besonderer Bedeutung ist dabei die Absicherung der versorgungsrelevanten Komponenten, insbesondere der an der Wasserförderung und -verteilung beteiligten Steuerungen. Der Schnelltest ergänzt somit die Sicherheitsbewertung nach dem Branchenstandard (W1060), welcher sich auf konkrete Anwendungsfälle bezieht.
Der Schnelltest schlägt dem Versorger zudem eine Reihe von Maßnahmen vor, welche die IT-Sicherheit erhöhen. Diese können organisatorischer oder technischer Natur sein. Für jede Maßnahmen wird weiterhin eine Vorlage zu ihrer Dokumentation ausgeliefert. IT-Verantwortliche können weiterhin über die Empfehlungen aus dem Projekt eine Wirtschaftlichkeitsbetrachtung einzelner Sicherheitsmaßnahmen durchführen. Kleine und mittlere Versorger sind damit in der Lage sukzessive ein systematisches IT-Sicherheitsmanagement aufzubauen.

Der Schnelltest wird ergänzt durch die Möglichkeit vertiefter Analysen im hybriden Testlabor. Je nach Überprüfungsziel werden einzelne Komponenten physisch vorgehalten, andere simuliert. Soll z.B. ein klassischer Penetrationstest durchgeführt werden, finden die Netzwerkkomponenten aber nicht die speicherprogrammierbaren Steuerungen (SPS) Berücksichtigung im Aufbau. Liegt der Fokus eher auf dem Abschätzen eines Effektes angegriffener Versorgungskomponenten, so werden die zentralen Komponenten als Hardware mit den im Betrieb genutzten Programmen bestückt. Dezentrale, passive Komponenten werden hingegen simuliert und ihre Outputs zur Effektberechnung genutzt. Der Versorger hat über das Testlabor die Möglichkeit, Penetrationstestern eine realistische Umgebung zur Verfügung zu stellen, ohne die Risiken eines Hacks in der Realumgebung für die Versorgung zu haben. Folglich können wesentlich tiefere und anspruchsvollere Angriffe erprobt und aus ihren Folgen gelernt werden. Der Laboraufbau wurde mit zwei Versorgern getestet und die Ergebnisse vor Ort überprüft. Dabei zeigte sich, dass der Laboraufbau wesentliche Teile des Tests der Infrastruktur im Betrieb ersetzen kann, jedoch durch eine Nachbesprechung vor Ort ergänzt werden sollte, um weitere Lücken zu identifizieren, welche sonst außerhalb der Betrachtung liegen.

Insgesamt erreichen kleine und mittlere Versorger durch die Ergebnisse des Projekts kosteneffizient und angemessen ein höheres IT-Sicherheitsniveau.
                                                             Dr. rer. pol. Christof Thim


Weiterführender Link
http://lswi.de/aqua-it-lab

Kontakt
Universität Potsdam
Lehrstuhl für Wirtschaftsinformatik
www.lswi.de

Bewerben Sie sich jetzt zum wwt Nachwuchspreis 2018!