Insbesondere in kritischen Infrastrukturen sollte der Cybersicherheit hohe Beachtung zukommen. Die Security muss jedoch aktiv gemanagt werden – zum Beispiel anhand eines vierstufigen Modells vom Festlegen der Bedürfnisse bis zu Betrieb und Überwachung der ergriffenen Massnahmen.

Reto Amsler / Urs Binder

Cybersicherheit ist nicht nur für IT-Systeme, sondern auch für die zunehmend vernetzten Systeme der operationellen Technologie (OT) bei Industrieunternehmen und kritischen Infrastrukturen wie der Energieversorgung von höchster Bedeutung. Es geht darum, Cyberrisiken zu identifizieren, sich dagegen zu schützen, Sicherheitsvorfälle zu entdecken, darauf zu reagieren und den Normalzustand schnellstmöglich wiederherzustellen, wie der Branchendachverband der Schweizer Stromwirtschaft VSE in seinem Handbuch Grundschutz für «Operational Technology» in der Stromversorgung festhält.

Die komplexe Natur einerseits der involvierten Technologien und Organisationen und andererseits der Bedrohungen aus dem Cyberspace machen ein koordiniertes OT-Sicherheitsmanagement unabdingbar. Ein effektives Cybersecurity-Management-System (CSMS) erstreckt sich über vier Stufen: Festlegen der Sicherheitsbedürfnisse, Standortbestimmung, Definition einer Sicherheitsstrategie und organisatorischer und technischer Betrieb der Sicherheits-Infrastruktur. Mit kontinuierlichem Monitoring, bei Bedarf erneuter Standortbestimmung und Anpassung der Sicherheitsstrategie hält man das Sicherheitsmanagement à jour.

An erster Stelle steht die Festlegung der Sicherheitsbedürfnisse. Was ist das Ziel, wo möchte man hin? Dies wird in einem Dokument zur Sicherheitspolitik festgehalten. Generell geht es darum, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Infrastrukturen zu gewährleisten. Dabei spielen Technologie, Menschen und Prozesse gleichermassen die drei Hauptrollen.

 

Bei der Definition der Sicherheitspolitik kommen interne Gegebenheiten wie die allgemeine Unternehmensstrategie, das unternehmensweite Risikomanagement und das Business Continuity Management ins Spiel, aber auch externe Faktoren und Anforderungen gesetzlicher Natur. Noch gibt es in der Schweiz für die Energiewirtschaft keine zwingenden Vorgaben zur OT-Sicherheit, im Gegensatz etwa zu Deutschland, wo mit der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) bereits umfassende Regelungen existieren. Mit neuen Gesetzen dürfte die Regulierung punkto Cybersicherheit kritischer Infrastrukturen jedoch in nicht allzu ferner Zukunft auch hierzulande deutlich strenger werden.

 

In der Sicherheitspolitik werden zweitens die Verantwortlichkeiten definiert: Wie soll die Sicherheitsorganisation aussehen, wer übernimmt welche Rollen? Ein weiteres Element des Dokuments sind Stossrichtungen und Leitplanken samt Begründung. Existiert beispielsweise eine gelebte Sicherheitskultur und wird effektiv mit Sicherheitsvorfällen umgegangen (Incident Handling).

 

Als nächstes – alternativ auch als erstes­ vor der Festlegung der Bedürfnisse – wird die Ist-Situation analysiert, wobei es nicht nur um die technischen Aspekte der Cybersicherheit geht, sondern auch um die Prozesse. Es versteht sich von selbst, dass beim Assessment Vorgaben aus der Sicherheitspolitik berücksichtigt werden. Sieht diese zum Beispiel einen bestimmten Standard wie den Minimalstandard zur Verbesserung der IKT-Resilienz des Bundesamts für wirtschaftliche Landesversorgung BWL vor, sollte auch das Assessment gemäss diesem Standard durchgeführt werden.

 

Bei der Reihenfolge zwischen Sicherheitspolitik und Standortbestimmung scheiden sich die Geister. Wer zuerst mit der Sicherheitspolitik die Ziele definiert, legt üblicherweise wie eben erwähnt einen Standard fest, dem dann auch die Standortbestimmung folgen muss beziehungsweise darf – es liegt somit bereits eine Richtschnur vor, was das Assessment erleichtern kann. Wer dagegen mit der Standortbestimmung anfängt, weiss schon, wo er steht, und kann vielleicht in der Sicherheitspolitik realistischere Ziele definieren. Manche Unternehmen haben allerdings schon einen ungefähren Überblick über die Ist-Situation und können problemlos die Formulierung der Sicherheitspolitik an den Anfang stellen.

Auf Basis der Sicherheitspolitik und einer Gap-Analyse der Differenzen zwischen der Ist-Situation und den Zielen wird sodann in der Sicherheitsstrategie der Weg zum Ziel niedergelegt. Dazu gehört ein konkretes Sicherheitsprogramm: Wie kommt man in welcher Zeit zum gewünschten Ergebnis? Das Resultat ist ein Massnahmenplan mit detaillierten Anweisungen zur Umsetzung.

Die in der Sicherheitsstrategie definierten Massnahmen werden nun nach dem Aufbau der Sicherheitsorganisation in Form von Cybersecurity-Projekten umgesetzt. Gleichzeitig startet das laufende Monitoring der ergriffenen Massnahmen und gegebenenfalls eine erneute Standortbestimmung: Werden die Ziele erreicht? Stimmt die strategische Ausrichtung noch, oder gibt es neue Risiken welche man im Risikomanagement berücksichtigen muss? Braucht es womöglich sogar andere Stossrichtungen oder neue Leitplanken? Hier schliesst sich der Kreis und ermöglicht eine kontinuierliche, bedürfnisgerechte Verbesserung des Sicherheitsmanagements.