Normative Anforderungen an das Risikomanagement: Was besagen die Standards IEC 62443 und ISO 27005, und welche Tools können bei der Umsetzung unterstützen?

Verschiedene normative Anforderungen schaffen Standards für Unternehmen, um die Themen Risikomanagement und Informationssicherheit zu implementieren. Im Kern möchten all diese Regelwerke dasselbe: Systeme, die ein state of the art Sicherheitsniveau erreichen und Risiken reduzieren. Doch inwiefern unterschieden sich die verschiedenen Normen und Standards, und was müssen Unternehmen tun, um ihnen zu entsprechen?

Herausforderungen für Unternehmen

Unterschiedliche Rollen, unterschiedliche Bedürfnisse – das gilt besonders im Bereich Risikomanagement. So hat ein CISO eine ganz andere Perspektive auf das Thema Informationssicherheit als beispielsweise ein Mitglied der Fachabteilung. Das Thema Risikomanagement betrifft außerdem immer verschiedene Bereiche. So gibt es finanzielle Risiken, IT-Risiken oder auch allgemeinere Unternehmensrisiken. Umso wichtiger ist es, mit einem Risikomanagement-Tool abteilungsübergreifend zu arbeiten. Lassen sich die Risiken auf konkrete Prozesse mappen, also bestimmten Abläufen zuordnen, erleichtert dies das Handling enorm. So können blinde Flecken in der Risikoanalyse vermieden und ein gemeinsames Verständnis im Risikomanagement erreicht werden.

Risikomanagement wird häufig in Form von Excel-Tabellen oder mit ähnlichen Tools realisiert. Ein hoher Teil des Aufwands, den Risikomanagement mit sich bringt, liegt im Schaffen der Datenbasis und im adäquaten Umgang damit. Das händische Erheben und Managen der Daten ist ein enormer Aufwand, ganz zu schweigen von der Datenmenge, die irgendwann unübersichtlich wird. Die automatisierte Datenerhebung und -auswertung bedeutet für Unternehmen deshalb eine enorme Entlastung. So sparen sie nicht nur Zeit, sondern senken außerdem die Fehleranfälligkeit im Vergleich zu manuellen Methoden. Eine automatisierte Datenerhebung bedeutet außerdem, das Risikomanagement bei Änderungen zu aktualisieren sowie die Änderung der Risiken mitzubekommen.

Verschiedene Gesetzgebungen als Motivation für Risikomanagement

Die ISO 270XX-Reihe strebt, ebenso wie der IT-Grundschutz, einen allgemeinen Ansatz zur Informationssicherheit an. Im Kern möchten beide ein Informationssicherheits-Managementsystem dazu nutzen, Risiken zu erkennen und zu reduzieren. Der ISO 27001 Standard im Anhang A bietet konkrete Maßnahmen, mit denen die Informationssicherheit gestaltet wird. Die ISO 27005 beschreibt den Prozess der Risikoidentifikation, -bewertung und -behandlung. Unternehmen müssen selbst bewerten, wie sie diese Maßnahmen umsetzen.

Die IEC 62443 ist speziell für industrielle Automatisierungs- und Steuerungssysteme (IACS) entwickelt worden. Sie adressiert sowohl die Hersteller und Integratoren als auch Betreiber und verlangt eine Betrachtung der gesamten Supply Chain. Proaktiv nach IEC 62443 zu handeln, bringt Unternehmen nicht nur Sicherheitsvorteile, sondern sichert auch die regulatorische Compliance und das Vertrauen von Partnern.

ISO 27005, IT-Grundschutz und IEC 62443: Wo liegen die Unterschiede, wie sehen konkrete Anforderungen aus?

Generell lassen sich dabei folgende Unterscheidungen feststellen:

[*]Der IT-Grundschutz und die ISO 270XX-Reihe definieren allgemeine Sicherheitsrichtlinien, während die IEC 62443 spezifische Anforderungen für Sicherheitslevel innerhalb industrieller Systeme adressiert, von Betreibern über Integratoren bis hin zu Komponentenherstellern.
[*]Der Lebenszyklus von Komponenten und Systemen wird in allen Normen betrachtet, die IEC 62443 ist hier jedoch spezifischer und betrachtet sämtliche Facetten: von der Konzeption und Entwicklung über den Betrieb bis hin zur Stilllegung mit dem Fokus auf industrielle Automatisierungssysteme.
[*]Während der IT-Grundschutz sowie ISO 270XX einen allgemeinen Ansatz zur Informationssicherheit anstreben, adressiert die IEC 62443 Industrieanlagen und den speziellen Umgang damit sehr konkret.

Wie kann SECIRA© bei der Umsetzung der gesetzlichen Anforderungen unterstützen?

Mit SECIRA© finden Kunden zuverlässig heraus, welche Schwächen Systeme und Prozesse haben und an welcher Stelle Maßnahmen am effizientesten sind. Das Tool hilft so nicht nur dabei, eine inhaltlich sinnvolle Risikoanalyse aufbauen: Mit SECIRA© können Sie ebenfalls prüfen, welchen Mehrwert eine Maßnahme bringt und welche strukturellen Ansätze es gibt, um bestehende Risiken zu verringern. So werden Schwachstellen nicht nur identifiziert, sondern in Bezug auf ihre direkten Auswirkungen bewertet, welche sie auf die unternehmenseigenen Geschäftsprozesse haben.

Mit SECIRA© ist es also möglich, im Modell identifizierte Schwächen auf konkrete Maßnahmen der IEC 62443 zu übertragen. Die Norm ist hierfür besonders wichtig, denn je konkreter die Umsetzungsvorgaben sind, desto besser lassen sie sich auf das Tagesgeschäft anwenden. In der industriellen Automatisierung ist die IEC 62443 maßgeblich in Sachen Risikomanagement, indem sie auf spezifische Besonderheiten der Automatisierung eingeht und gilt als internationaler Standard. Sie definiert konkret Vorgaben wie eine Systemkomponente über ihren gesamten Lebenszyklus hinweg – der sich durchaus über 30, ggf. sogar über 45 Jahre erstrecken kann – auf Risiken hin überprüft wird, wie dies bspw. in der Bahnwelt relevant ist. Mit der zunehmenden Digitalisierung und Vernetzung von Bahnsystemen, wie z.B. Signal- und Steuerungssystemen, steigt auch das Risiko von Cyberangriffen. Die IEC 62443 Norm hilft dabei, diese Systeme zu schützen, indem sie Sicherheitsanforderungen und -maßnahmen für verschiedene Rollen und Komponenten innerhalb des Systems definieren.

Ob ISO 27005 oder IEC 62443: SECIRA© integriert die verschiedenen Ansätze und unterstützt so beim Erstellen einer ganzheitlichen Risikoanalyse, indem effektive Maßnahmen zur Risikoreduktion bewertet und priorisiert werden.

Entspricht das System dem Stand der Technik? SECIRA© prüft auf Best Practice-Verwendung

Wieso sind Best Practices in Sachen Risikobewertung relevant? Um diese Frage zu beantworten, möchten wir zunächst einmal klären, was genau der „Stand der Technik“ ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert den Begriff wie folgt:

„‘Stand der Technik‘ ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den ‚Stand der Technik‘ abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt ‚Stand der Technik‘ ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den ‚Stand der Technik‘ allgemeingültig und abschließend zu beschreiben.“BSI

SECIRA© evaluiert auf Basis der IEC 62443-Maßnahmen die Anwendung von Best Practices bei Systemen und Komponenten und berücksichtigt diesen Reifegrad in der Risikoanalyse.

Das Wichtigste auf einen Blick!

Unternehmen stehen vor der Herausforderung, komplexe Anforderungen aus Normen wie IEC 62443, ISO 27001 und dem IT-Grundschutz effektiv umzusetzen. Während die ISO 27001 allgemeine Leitlinien für den Risikomanagementprozess bietet, fokussiert sich die IEC 62443 auf industrielle Automatisierungs- und Steuerungssysteme und deckt den gesamten Lebenszyklus von der Entwicklung bis zur Stilllegung ab. Die IEC 62443 ist besonders relevant in Bereichen wie der industriellen Automatisierung oder Bahntechnologien mit langen Lebenszyklen, da sie klare Vorgaben zur Risikominimierung und Cybersecurity liefert. Angesichts steigender Vernetzung ist sie ein essenzielles Instrument für Sicherheit und regulatorische Compliance.

Zur Bewältigung der Anforderungen bietet sich der Einsatz automatisierter Tools wie SECIRA© an. Dieses Tool ermöglicht eine effiziente Risikoanalyse, identifiziert Schwachstellen und bewertet Maßnahmen nach ihrer Wirksamkeit und dem „Stand der Technik“. Es vereinfacht die Umsetzung von Normen und steigert die Sicherheit sowie das Vertrauen von Partnern und Kunden.

Fazit: Mit der Integration standardisierter Ansätze und modernen Tools wie SECIRA© schaffen Unternehmen die Grundlage für ein effektives Risikomanagement und sichern ihre Wettbewerbsfähigkeit in einem zunehmend digitalisierten Umfeld.

Quelle BSI: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Stand-der-Technik-umsetzen/stand-der-technik-umsetzen_node.html

Über die Informatik Consulting Systems GmbH

Die Informatik Consulting Systems GmbH (ICS) geht auf die Dr. Hämer + Partner Unternehmensberatung GmbH zurück, die 1966 gegründet wurde. Von Beginn an lag der Schwerpunkt dabei auf den Bereichen Organisationsberatung und Softwareentwicklung. Mit SECIRA bietet ICS ein ganzheitliches Risikomanagement-System im Sinne der IEC62443-Norm. SECIRA vereint erstmals technische Systeme (IT, OT, Cloud), Rollen und Prozesse sowie die physikalische Infrastruktur in einer Softwarelösung gegen blinde Flecken im Risikomanagement. Die damit verbundene Modellierung samt automatisierter Risikoanalyse ist besonders in den Segmenten Rail, Healthcare, Energy und Industry gefragt. ICS ist gemäß ISO 9001:2015 sowie ISO 27001:2017 zertifiziert.

Weitere Informationen unter https://secira.eu/ & www.think-safe-think-ics.de Kontakt: Presse@ics-gmbh.de

Firmenkontakt und Herausgeber der Meldung:

Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de

Ansprechpartner:
Stefanie Henzler
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel