Normative Anforderungen an das Risikomanagement: Was besagen die Standards IEC 62443 und ISO 27005, und welche Tools können bei der Umsetzung unterstützen? Verschiedene normative Anforderungen schaffen Standards für Unternehmen, um die Themen Risikomanagement und Informationssicherheit zu implementieren. Im Kern möchten all diese Regelwerke dasselbe: Systeme, die ein state of the art Sicherheitsniveau erreichen und Risiken reduzieren. Doch inwiefern unterschieden sich die verschiedenen Normen und Standards, und was müssen Unternehmen tun, um ihnen zu entsprechen?
Herausforderungen für Unternehmen
Unterschiedliche Rollen, unterschiedliche Bedürfnisse – das gilt besonders im Bereich Risikomanagement. So hat ein CISO eine ganz andere Perspektive auf das Thema Informationssicherheit als beispielsweise ein Mitglied der Fachabteilung. Das Thema Risikomanagement betrifft außerdem immer verschiedene Bereiche. So gibt es finanzielle Risiken, IT-Risiken oder auch allgemeinere Unternehmensrisiken. Umso wichtiger ist es, mit einem Risikomanagement-Tool abteilungsübergreifend zu arbeiten. Lassen sich die Risiken auf konkrete Prozesse mappen, also bestimmten Abläufen zuordnen, erleichtert dies das Handling enorm. So können blinde Flecken in der Risikoanalyse vermieden und ein gemeinsames Verständnis im Risikomanagement erreicht werden.
Risikomanagement wird häufig in Form von Excel-Tabellen oder mit ähnlichen Tools realisiert. Ein hoher Teil des Aufwands, den Risikomanagement mit sich bringt, liegt im Schaffen der Datenbasis und im adäquaten Umgang damit. Das händische Erheben und Managen der Daten ist ein enormer Aufwand, ganz zu schweigen von der Datenmenge, die irgendwann unübersichtlich wird. Die automatisierte Datenerhebung und -auswertung bedeutet für Unternehmen deshalb eine enorme Entlastung. So sparen sie nicht nur Zeit, sondern senken außerdem die Fehleranfälligkeit im Vergleich zu manuellen Methoden. Eine automatisierte Datenerhebung bedeutet außerdem, das Risikomanagement bei Änderungen zu aktualisieren sowie die Änderung der Risiken mitzubekommen.
Verschiedene Gesetzgebungen als Motivation für Risikomanagement
Die ISO 270XX-Reihe strebt, ebenso wie der IT-Grundschutz, einen allgemeinen Ansatz zur Informationssicherheit an. Im Kern möchten beide ein Informationssicherheits-Managementsystem dazu nutzen, Risiken zu erkennen und zu reduzieren. Der ISO 27001 Standard im Anhang A bietet konkrete Maßnahmen, mit denen die Informationssicherheit gestaltet wird. Die ISO 27005 beschreibt den Prozess der Risikoidentifikation, -bewertung und -behandlung. Unternehmen müssen selbst bewerten, wie sie diese Maßnahmen umsetzen. Die IEC 62443 ist speziell für industrielle Automatisierungs- und Steuerungssysteme (IACS) entwickelt worden. Sie adressiert sowohl die Hersteller und Integratoren als auch Betreiber und verlangt eine Betrachtung der gesamten Supply Chain. Proaktiv nach IEC 62443 zu handeln, bringt Unternehmen nicht nur Sicherheitsvorteile, sondern sichert auch die regulatorische Compliance und das Vertrauen von Partnern.
ISO 27005, IT-Grundschutz und IEC 62443: Wo liegen die Unterschiede, wie sehen konkrete Anforderungen aus?
Generell lassen sich dabei folgende Unterscheidungen feststellen:
Der IT-Grundschutz und die ISO 270XX-Reihe definieren allgemeine Sicherheitsrichtlinien, während die IEC 62443 spezifische Anforderungen für Sicherheitslevel innerhalb industrieller Systeme adressiert, von Betreibern über Integratoren bis hin zu Komponentenherstellern. Der Lebenszyklus von Komponenten und Systemen wird in allen Normen betrachtet, die IEC 62443 ist hier jedoch spezifischer und betrachtet sämtliche Facetten: von der Konzeption und Entwicklung über den Betrieb bis hin zur Stilllegung mit dem Fokus auf industrielle Automatisierungssysteme. Während der IT-Grundschutz sowie ISO 270XX einen allgemeinen Ansatz zur Informationssicherheit anstreben, adressiert die IEC 62443 Industrieanlagen und den speziellen Umgang damit sehr konkret.
Wie kann SECIRA© bei der Umsetzung der gesetzlichen Anforderungen unterstützen?
Mit SECIRA© finden Kunden zuverlässig heraus, welche Schwächen Systeme und Prozesse haben und an welcher Stelle Maßnahmen am effizientesten sind. Das Tool hilft so nicht nur dabei, eine inhaltlich sinnvolle Risikoanalyse aufbauen: Mit SECIRA© können Sie ebenfalls prüfen, welchen Mehrwert eine Maßnahme bringt und welche strukturellen Ansätze es gibt, um bestehende Risiken zu verringern. So werden Schwachstellen nicht nur identifiziert, sondern in Bezug auf ihre direkten Auswirkungen bewertet, welche sie auf die unternehmenseigenen Geschäftsprozesse haben.
Mit SECIRA© ist es also möglich, im Modell identifizierte Schwächen auf konkrete Maßnahmen der IEC 62443 zu übertragen. Die Norm ist hierfür besonders wichtig, denn je konkreter die Umsetzungsvorgaben sind, desto besser lassen sie sich auf das Tagesgeschäft anwenden. In der industriellen Automatisierung ist die IEC 62443 maßgeblich in Sachen Risikomanagement, indem sie auf spezifische Besonderheiten der Automatisierung eingeht und gilt als internationaler Standard. Sie definiert konkret Vorgaben wie eine Systemkomponente über ihren gesamten Lebenszyklus hinweg – der sich durchaus über 30, ggf. sogar über 45 Jahre erstrecken kann – auf Risiken hin überprüft wird, wie dies bspw. in der Bahnwelt relevant ist. Mit der zunehmenden Digitalisierung und Vernetzung von Bahnsystemen, wie z.B. Signal- und Steuerungssystemen, steigt auch das Risiko von Cyberangriffen. Die IEC 62443 Norm hilft dabei, diese Systeme zu schützen, indem sie Sicherheitsanforderungen und -maßnahmen für verschiedene Rollen und Komponenten innerhalb des Systems definieren.
Ob ISO 27005 oder IEC 62443: SECIRA© integriert die verschiedenen Ansätze und unterstützt so beim Erstellen einer ganzheitlichen Risikoanalyse, indem effektive Maßnahmen zur Risikoreduktion bewertet und priorisiert werden.
Entspricht das System dem Stand der Technik? SECIRA© prüft auf Best Practice-Verwendung Wieso sind Best Practices in Sachen Risikobewertung relevant? Um diese Frage zu beantworten, möchten wir zunächst einmal klären, was genau der „Stand der Technik“ ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert den Begriff wie folgt:
„‘Stand der Technik‘ ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den ‚Stand der Technik‘ abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt ‚Stand der Technik‘ ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den ‚Stand der Technik‘ allgemeingültig und abschließend zu beschreiben.“ – BSI
SECIRA© evaluiert auf Basis der IEC 62443-Maßnahmen die Anwendung von Best Practices bei Systemen und Komponenten und berücksichtigt diesen Reifegrad in der Risikoanalyse.
Das Wichtigste auf einen Blick!
Unternehmen stehen vor der Herausforderung, komplexe Anforderungen aus Normen wie IEC 62443, ISO 27001 und dem IT-Grundschutz effektiv umzusetzen. Während die ISO 27001 allgemeine Leitlinien für den Risikomanagementprozess bietet, fokussiert sich die IEC 62443 auf industrielle Automatisierungs- und Steuerungssysteme und deckt den gesamten Lebenszyklus von der Entwicklung bis zur Stilllegung ab. Die IEC 62443 ist besonders relevant in Bereichen wie der industriellen Automatisierung oder Bahntechnologien mit langen Lebenszyklen, da sie klare Vorgaben zur Risikominimierung und Cybersecurity liefert. Angesichts steigender Vernetzung ist sie ein essenzielles Instrument für Sicherheit und regulatorische Compliance.
Zur Bewältigung der Anforderungen bietet sich der Einsatz automatisierter Tools wie SECIRA© an. Dieses Tool ermöglicht eine effiziente Risikoanalyse, identifiziert Schwachstellen und bewertet Maßnahmen nach ihrer Wirksamkeit und dem „Stand der Technik“. Es vereinfacht die Umsetzung von Normen und steigert die Sicherheit sowie das Vertrauen von Partnern und Kunden.
Fazit: Mit der Integration standardisierter Ansätze und modernen Tools wie SECIRA© schaffen Unternehmen die Grundlage für ein effektives Risikomanagement und sichern ihre Wettbewerbsfähigkeit.