[Translate to German:]

Risikobewertung kritischer Bahnsysteme

Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen die eingesetzten Informationstechnischen Systeme nach dem Stand der Technik zu schützen. Um dieser Verpflichtung gegenüber dem Gesetzgeber nachkommen zu können, muss der Betreiber dies gemäß des §8a BSIG in geeigneter Form nachweisen.
Ziel des Projekts ist es, einem bekannten Bahnbetreiber bei der Durchführung und Erstellung der Nachweise gemäß §8a zu unterstützen. Dabei wird ein spezieller Risikomanagement Prozess durchlaufen, der folgende Aufgaben beinhaltet:
Beschreibung der technischen Systeme, Evaluation des Schutzbedarfs, Analyse von Sicherheitsanforderung, Bewertung der Risiken anhand von Bedrohungsszenarien und das Ableiten von Sicherheitsmaßnahmen zum Schutz der Systeme.

 

Herausforderungen:

  • Identifikation der kritischen IT-Assets
  • Abgrenzung der zu betrachtenden Systeme und Abhängigkeiten
  • Funktionsweise und Zusammenspiel der Komponenten des betrachteten Systems analysieren
  • Identifikation nicht umgesetzter Security Controls
  • Identifikation systemspezifischer Risiken
  • Erstellung von Maßnahmenplänen für die Mitigation der identifizierten Risiken

 

Die Herausforderung bei der Absicherung Informationstechnischer Systeme im Umfeld der kritischen Infrastrukturen besteht insbesondere aus dem komplexen Zusammenspiel von Operational Technology (OT) und klassischen Informationssystemen (IT), welche die Steuerung und Überwachung der OT-Systeme übernehmen.
Spezialwissen über die Wirkweisen der im KRITIS Umfeld eingesetzten OT-Systeme als auch fundierte Kenntnisse über die Absicherung klassischer IT-Systeme sind notwendig, um ein Gesamtbild potenzieller Gefahren für die kritische Infrastruktur ableiten zu können. Unsere Cyber-Security Spezialisten aus dem Bahnwesen bewerten die spezifischen Gefährdungen, identifizieren dedizierte Angriffsmuster sowie Schwachstellen und entwickeln geeignete Sicherheitsmaßnahmen.


Ergebnis:

Das Zusammenführen von Informationen über die spezifischen Funktionsweisen der Informationstechnischen OT/IT-Systeme, die Identifikation von möglichen Schwachstellen und nicht implementierter Sicherheitsmaßnahmen sowie die Betrachtung von dedizierten Angriffsszenarien auf die betrachteten kritischen Systeme werden sukzessive durch unsere integrierte Risiko-Analyse Methodik zusammengeführt, um so ein realistisches Lagebild erstellen zu können.

Als Ergebnis unserer Risiko-Analysen geben wir Entscheidungsträgern eindeutige Handlungsanweisungen, welche sicherstellen, dass Informationstechnische Systeme nach dem Stand der Technik abgesichert werden können. Diese beinhalten u.a. eine langfristige Planung empfohlener Sicherheitsmaßnahmen zur Reduzierung nicht tolerabler Risiken.
Weiterhin erhalten unsere Kunden eine grafische wie textliche Darstellung der analysierten informationstechnischen Systeme, eine kundenspezifische Schutzbedarfsfeststellung, eine detaillierte Bewertung der identifizierten Risiken so wie eine daraus abgeleitete priorisierte Liste an notwendigen Maßnahmen.

 

Highlights:

  • Kontinuierliche Verbesserung des Risikomanagement Prozesses
  • Ableiten von Handlungsanweisungen zur Risikominimierung
  • Sukzessive Absicherung der eingesetzten IT/OT-Systeme