SICIA | Security Indicators for Critical Infrastructure Analysis
Mit der Einführung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ergeben sich neue Herausforderungen für Betreiber von Erzeugungsanlagen und Netzen. Die im Gesetz enthaltene Pflicht zum Nachweis der aktuellen Sicherheit aller (mindestens) zwei Jahre inform von Sicherheitsaudits, Prüfungen oder Zertifizierungen sowie der neue IT-Sicherheitskatalog der Bundesnetzagentur zwingen Betreiber zukünftig zur regelmäßigen Messung und Darlegung ihres aktuellen IT-Schutzes. Obwohl bereits zuvor eine Bewertung der IT-Sicherheit in vielen branchenspezifischen Richtlinien als Voraussetzung für eine kontinuierliche Verbesserung der sicherheitsrelevanten IT-Prozesse verlangt wurde, existieren diese – wenn überhaupt – nur in Großkonzernen, für die sich der Aufwand für die Entwicklung und Implementierung eines solchen Prozesses lohnt. Davon abgesehen existiert kein konkretes und zugleich leicht zu adaptierendes Vorgehen, das es einer Vielzahl von Betreibern erlaubt, Infrastrukturen jeder Größe bis auf Geräteebene differenziert zu bewerten.
Im vom BMBF geförderten dreijährigen Projekt SICIA (Security Indicators for Critical Infrastructures) entwickelt die Brandenburgische Technische Universität in Zusammenarbeit mit Vattenfall Europe Generation und der RWE Deutschland AG ein Verfahren, mit dessen Hilfe Betreiber von Erzeugungsanlagen und Netzen den Ist-Zustand der technischen IT-Sicherheit in ihren Anlagen ermitteln können. Im Gegensatz zu existierenden Bewertungsverfahren werden bei der im Projekt SICIA entwickelten Analyse vor allem technische Parameter in Zahlenwerte (Sicherheitsindikatoren) verdichtet, um die tatsächliche IT-Sicherheit für Betreiber sichtbar zu machen. Diese Indikatoren sind in ein Informationssicherheitsmanagmentsystem (ISMS) nach ISO/IEC 27001 integrierbar, sodass ein Mittel zur Einhaltung der Nachweispflicht des IT-Sicherheitsgesetzes geschaffen wird.
Unabhängig davon erlaubt der direkte Vergleich der ermittelten Sicherheitsindikatoren auf System- und Geräteebene Betreibern die Erkennung von Schwachstellen und eine Priorisierung von Verbesserungsmaßnahmen in komplexen Infrastrukturen. Die Beurteilung potenzieller Verbesserungsmaßnahmen wird zudem durch ein Werkzeug unterstützt, das eine automatisierte Erhebung sicherheitsrelevanter Parameter, deren Verdichtung sowie eine Simulation der Auswirkungen potenzieller Verbesserungsmaßnahmen ermöglicht. Besonders effektive Maßnahmen werden so sichtbar und können vom Betreiber ausgewählt werden.