SICIA | Security Indicators for Critical Infrastructure Analysis

Mit der Einführung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ergeben sich neue Herausforderungen für Betreiber von Erzeugungsanlagen und Netzen. Die im Gesetz enthaltene Pflicht zum Nachweis der aktuellen Sicherheit aller (mindestens) zwei Jahre inform von Sicherheitsaudits, Prüfungen oder Zertifizierungen sowie der neue IT-Sicherheitskatalog der Bundesnetzagentur zwingen Betreiber zukünftig zur regelmäßigen Messung und Darlegung ihres aktuellen IT-Schutzes. Obwohl bereits zuvor eine Bewertung der IT-Sicherheit in vielen branchenspezifischen Richtlinien als Voraussetzung für eine kontinuierliche Verbesserung der sicherheitsrelevanten IT-Prozesse verlangt wurde, existieren diese – wenn überhaupt – nur in  Großkonzernen, für die sich der Aufwand für die Entwicklung und Implementierung eines solchen Prozesses lohnt. Davon abgesehen existiert kein konkretes und zugleich leicht zu adaptierendes Vorgehen, das es einer Vielzahl von Betreibern erlaubt, Infrastrukturen jeder Größe bis auf Geräteebene differenziert zu bewerten.

Im vom BMBF geförderten dreijährigen Projekt SICIA (Security Indicators for Critical Infrastructures) entwickelt die Brandenburgische Technische Universität in Zusammenarbeit mit Vattenfall Europe Generation und der RWE Deutschland AG ein Verfahren, mit dessen Hilfe Betreiber von Erzeugungsanlagen und Netzen den Ist-Zustand der technischen IT-Sicherheit in ihren Anlagen ermitteln können. Im Gegensatz zu existierenden Bewertungsverfahren werden bei der im Projekt SICIA entwickelten Analyse vor allem technische Parameter in Zahlenwerte (Sicherheitsindikatoren) verdichtet, um die tatsächliche IT-Sicherheit für Betreiber sichtbar zu machen. Diese Indikatoren sind in ein Informationssicherheitsmanagmentsystem (ISMS) nach ISO/IEC 27001 integrierbar, sodass ein Mittel zur Einhaltung der Nachweispflicht des IT-Sicherheitsgesetzes geschaffen wird.

Unabhängig davon erlaubt der direkte Vergleich der ermittelten Sicherheitsindikatoren auf System- und Geräteebene Betreibern die Erkennung von Schwachstellen und eine Priorisierung von Verbesserungsmaßnahmen in komplexen Infrastrukturen. Die Beurteilung potenzieller Verbesserungsmaßnahmen wird zudem  durch ein Werkzeug unterstützt, das eine automatisierte Erhebung sicherheitsrelevanter Parameter, deren Verdichtung sowie eine Simulation der Auswirkungen potenzieller Verbesserungsmaßnahmen ermöglicht. Besonders effektive Maßnahmen werden so sichtbar und können vom Betreiber ausgewählt werden.

Webseite des Projekts

Unsere Webseite verwendet Cookies. Diese haben zwei Funktionen: Zum einen sind sie erforderlich für die grundlegende Funktionalität unserer Website. Zum anderen können wir mit Hilfe der Cookies unsere Inhalte für Sie immer weiter verbessern. Hierzu werden pseudonymisierte Daten von Website-Besuchern gesammelt und ausgewertet. Das Einverständnis in die Verwendung der technisch nicht notwendigen Cookies können Sie jeder Zeit wiederrufen. Weitere Informationen erhalten Sie auf unseren Seiten zum Datenschutz.

Erforderlich

Diese Cookies werden für eine reibungslose Funktion unserer Website benötigt.

Statistik

Für den Zweck der Statistik betreiben wir die Plattform Matomo, auf der mittels pseudonymisierter Daten von Websitenutzern der Nutzerfluss analysiert und beurteilt werden kann. Dies gibt uns die Möglichkeit Websiteinhalte zu optimieren.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo