Verschiedene normative Anforderungen schaffen Standards für Unternehmen, um die Themen Risikomanagement und Informationssicherheit zu implementieren. Im Kern möchten all diese Regelwerke dasselbe: Systeme, die ein state of the art Sicherheitsniveau erreichen und Risiken reduzieren. Doch inwiefern unterschieden sich die verschiedenen Normen und Standards, und was müssen Unternehmen tun, um ihnen zu entsprechen?
Unterschiedliche Rollen, unterschiedliche Bedürfnisse – das gilt besonders im Bereich Risikomanagement. So hat ein CISO eine ganz andere Perspektive auf das Thema Informationssicherheit als beispielsweise ein Mitglied der Fachabteilung. Das Thema Risikomanagement betrifft außerdem immer verschiedene Bereiche. So gibt es finanzielle Risiken, IT-Risiken oder auch allgemeinere Unternehmensrisiken. Umso wichtiger ist es, mit einem Risikomanagement-Tool abteilungsübergreifend zu arbeiten. Lassen sich die Risiken auf konkrete Prozesse mappen, also bestimmten Abläufen zuordnen, erleichtert dies das Handling enorm. So können blinde Flecken in der Risikoanalyse vermieden und ein gemeinsames Verständnis im Risikomanagement erreicht werden.
Risikomanagement wird häufig in Form von Excel-Tabellen oder mit ähnlichen Tools realisiert. Ein hoher Teil des Aufwands, den Risikomanagement mit sich bringt, liegt im Schaffen der Datenbasis und im adäquaten Umgang damit. Das händische Erheben und Managen der Daten ist ein enormer Aufwand, ganz zu schweigen von der Datenmenge, die irgendwann unübersichtlich wird. Die automatisierte Datenerhebung und -auswertung bedeutet für Unternehmen deshalb eine enorme Entlastung. So sparen sie nicht nur Zeit, sondern senken außerdem die Fehleranfälligkeit im Vergleich zu manuellen Methoden. Eine automatisierte Datenerhebung bedeutet außerdem, das Risikomanagement bei Änderungen zu aktualisieren sowie die Änderung der Risiken mitzubekommen.
Die ISO 270XX-Reihe strebt, ebenso wie der IT-Grundschutz, einen allgemeinen Ansatz zur Informationssicherheit an. Im Kern möchten beide ein Informationssicherheits-Managementsystem dazu nutzen, Risiken zu erkennen und zu reduzieren. Der ISO 27001 Standard im Anhang A bietet konkrete Maßnahmen, mit denen die Informationssicherheit gestaltet wird. Die ISO 27005 beschreibt den Prozess der Risikoidentifikation, -bewertung und -behandlung. Unternehmen müssen selbst bewerten, wie sie diese Maßnahmen umsetzen.
Die IEC 62443 ist speziell für industrielle Automatisierungs- und Steuerungssysteme (IACS) entwickelt worden. Sie adressiert sowohl die Hersteller und Integratoren als auch Betreiber und verlangt eine Betrachtung der gesamten Supply Chain. Proaktiv nach IEC 62443 zu handeln, bringt Unternehmen nicht nur Sicherheitsvorteile, sondern sichert auch die regulatorische Compliance und das Vertrauen von Partnern.
Generell lassen sich dabei folgende Unterscheidungen feststellen:
Mit SECIRA finden Kunden zuverlässig heraus, welche Schwächen Systeme und Prozesse haben und an welcher Stelle Maßnahmen am effizientesten sind. Das Tool hilft so nicht nur dabei, eine inhaltlich sinnvolle Risikoanalyse aufbauen: Mit SECIRA können Sie ebenfalls prüfen, welchen Mehrwert eine Maßnahme bringt und welche strukturellen Ansätze es gibt, um bestehende Risiken zu verringern. So werden Schwachstellen nicht nur identifiziert, sondern in Bezug auf ihre direkten Auswirkungen bewertet, welche sie auf die unternehmenseigenen Geschäftsprozesse haben.
Mit SECIRA ist es also möglich, im Modell identifizierte Schwächen auf konkrete Maßnahmen der IEC 62443 zu übertragen. Die Norm ist hierfür besonders wichtig, denn je konkreter die Umsetzungsvorgaben sind, desto besser lassen sie sich auf das Tagesgeschäft anwenden. In der industriellen Automatisierung ist die IEC 62443 maßgeblich in Sachen Risikomanagement, indem sie auf spezifische Besonderheiten der Automatisierung eingeht und gilt als internationaler Standard. Sie definiert konkret Vorgaben wie eine Systemkomponente über ihren gesamten Lebenszyklus hinweg – der sich durchaus über 30, ggf. sogar über 45 Jahre erstrecken kann – auf Risiken hin überprüft wird, wie dies bspw. in der Bahnwelt relevant ist. Mit der zunehmenden Digitalisierung und Vernetzung von Bahnsystemen, wie z.B. Signal- und Steuerungssystemen, steigt auch das Risiko von Cyberangriffen. Die IEC 62443 Norm hilft dabei, diese Systeme zu schützen, indem sie Sicherheitsanforderungen und -maßnahmen für verschiedene Rollen und Komponenten innerhalb des Systems definieren.
Ob ISO 27005 oder IEC 62443: SECIRA integriert die verschiedenen Ansätze und unterstützt so beim Erstellen einer ganzheitlichen Risikoanalyse, indem effektive Maßnahmen zur Risikoreduktion bewertet und priorisiert werden.
Wieso sind Best Practices in Sachen Risikobewertung relevant? Um diese Frage zu beantworten, möchten wir zunächst einmal klären, was genau der „Stand der Technik“ ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert den Begriff wie folgt:
„‘Stand der Technik‘ ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den ‚Stand der Technik‘ abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt ‚Stand der Technik‘ ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den ‚Stand der Technik‘ allgemeingültig und abschließend zu beschreiben.“
BSI
SECIRA evaluiert auf Basis der IEC 62443-Maßnahmen die Anwendung von Best Practices bei Systemen und Komponenten und berücksichtigt diesen Reifegrad in der Risikoanalyse.
Unternehmen stehen vor der Herausforderung, komplexe Anforderungen aus Normen wie IEC 62443, ISO 27001 und dem IT-Grundschutz effektiv umzusetzen. Während die ISO 27001 allgemeine Leitlinien für den Risikomanagementprozess bietet, fokussiert sich die IEC 62443 auf industrielle Automatisierungs- und Steuerungssysteme und deckt den gesamten Lebenszyklus von der Entwicklung bis zur Stilllegung ab. Die IEC 62443 ist besonders relevant in Bereichen wie der industriellen Automatisierung oder Bahntechnologien mit langen Lebenszyklen, da sie klare Vorgaben zur Risikominimierung und Cybersecurity liefert. Angesichts steigender Vernetzung ist sie ein essenzielles Instrument für Sicherheit und regulatorische Compliance.
Zur Bewältigung der Anforderungen bietet sich der Einsatz automatisierter Tools wie SECIRA an. Dieses Tool ermöglicht eine effiziente Risikoanalyse, identifiziert Schwachstellen und bewertet Maßnahmen nach ihrer Wirksamkeit und dem „Stand der Technik“. Es vereinfacht die Umsetzung von Normen und steigert die Sicherheit sowie das Vertrauen von Partnern und Kunden.
Mit der Integration standardisierter Ansätze und modernen Tools wie SECIRA schaffen Unternehmen die Grundlage für ein effektives Risikomanagement und sichern ihre Wettbewerbsfähigkeit in einem zunehmend digitalisierten Umfeld.