• Startseite
  • Aktuelles
  • Publikationen
  • (GRS-713) Entwicklung eines Kriterienkatalogs zur Identifikation von Schwachstellen in der Sicherungskultur für Informationstechnologie (IT)

(GRS-713) Entwicklung eines Kriterienkatalogs zur Identifikation von Schwachstellen in der Sicherungskultur für Informationstechnologie (IT)

C. Heitsch, B. Ulrich, M. Jopen, C. Lambertus, P. Gebhardt

Die Bedeutung der Sicherungskultur für die Wirksamkeit von Sicherungsmaßnahmen wird seit einigen Jahren verstärkt diskutiert und wurde u. a. auch im Rahmen der deutschen IPPAS-Mission als ein wichtiges Werkzeug zur Sicherstellung des erforderlichen Schutzes vor Störmaßnahmen oder sonstigen Einwirkungen Dritter identifiziert. IT-Systeme werden in deutschen kerntechnischen Anlagen verstärkt eingesetzt. In den letzten Jahren gab es außerdem einige Angriffe mit Schadsoftware auf IT-Systeme und industrielle Steuerungssysteme von kritischen Infrastrukturen im In- und Ausland. Hierzu zählen zum Beispiel die IT-Angriffe durch Stuxnet, Crashoverride/Industryer (auf das ukrainische Stromnetz) und Triton/TriSIS (auf ein sicherheitstechnisches System in einer petrochemischen Anlage in Saudi-Arabien). Vor diesem Hintergrund sind die Erstellung und Umsetzung von IT-Sicherheitskonzepten und eine hohe Sicherungskultur auch für die Informationstechnologie entscheidende Einflussfaktoren, die sich auf das Sicherungs- und Sicherheitsniveau von kerntechnischen Anlagen und Einrichtungen auswirken. Neben gezielten Angriffen auf IT-Systeme und industrielle Steuerungsanlagen besteht zudem das Risiko, dass Schadsoftware unbeabsichtigt und unentdeckt durch Mitarbeiter der Organisation eingebracht wird.

In diesem Vorhaben wurde die Fragestellung der Umsetzung von bewährten Vorgehensweisen zur Schaffung einer hohen Sicherungskultur im Hinblick auf die Informationssicherheit vertieft untersucht, wobei auch die Schnittstelle zur Sicherheitskultur betrachtet wurde. Hierfür wurde zunächst der Stand von Wissenschaft und Technik zu nationalen und internationalen Anforderungen an und Merkmalen von Sicherungskultur ermittelt. Aspekte sowie relevante Anforderungen und Merkmale, die die Informationssicherheitskultur betreffen, wurden herausgearbeitet. Basierend darauf wurde eine Liste von Kriterien, anhand derer Verbesserungspotential in der Informationssicherheitskultur aufgedeckt werden können, erarbeitet. Abschließend wurde ein Fragebogen entwickelt, der z. B. im Rahmen von Selbsteinschätzungen oder Audits zur Überprüfung der Informationssicherheitskultur genutzt werden kann. Zusammen mit den in diesem Vorhaben erarbeiteten Kriterien einer guten Informationssicherheitskultur wurden die Aspekte der Sicherheits- und der Sicherungskultur vergleichend dargestellt. Dieser Vergleich zeigt, dass einige Kriterien in allen Kulturfacetten zum Tragen kommen, jedoch oft unterschiedliche Formulierungen verwendet werden. Auch werden in manchen Kulturfacetten Aspekte adressiert, die in den anderen Kulturfacetten ebenfalls zur Anwendung kommen könnten, dort, jedoch nicht adressiert werden.