Entwicklung eines neuartigen Verfahrens zur Ermittlung des Ist-Zustandes der IT-Sicherheit bis auf die Geräteebene
Moderne Informationstechnik wird zur Überwachung und Steuerung von Kraftwerken und Versorgungsnetzen genutzt. Allerdings mangelt es an Methoden zur Messung der IT-Sicherheit in diesen Netzen, die die technische Zuverlässigkeit von Komponenten und Systemen angemessen beurteilen. Ziel des Projekt SICIA (Security Indicators for Critical Infrastructure Analysis) ist es, neue Lösungsansätze mithilfe von belastbaren Sicherheitsindikatoren und Softwarewerkzeugen zu entwickeln.
Im Projekt SICIA wird ein Verfahren entwickelt, mit dessen Hilfe Betreiber kritischer Infrastrukturen den Ist-Zustand der IT-Sicherheit in ihren Anlagen ermitteln können. Diese Art von Bewertung wird bereits in vielen branchenspezifischen Richtlinien als Voraussetzung für eine kontinuierliche Verbesserung der sicherheitsrelevanten IT-Prozesse verlangt. Ein konkretes Vorgehen, das es erlaubt, auch komplexe Infrastrukturen bis auf Geräteebene differenziert zu bewerten, ist jedoch bisher nicht verfügbar.
Im Gegensatz zu existierenden Bewertungsverfahren wird bei der im Projekt SICIA entwickelten Analyse auf die Betrachtung schwer bestimmbarer, kaum quantifizierbarer Bedrohungen verzichtet. Die entwickelten Sicherheitsindikatoren verdichten vor allem technische Parameter in Zahlenwerte, um die tatsächliche IT-Sicherheit für Betreiber sichtbar zu machen.
Der Vergleich der ermittelten Sicherheitsindikatoren auf System- und Geräteebene erlaubt im Anschluss die Erkennung von Schwachstellen und eine Priorisierung von Verbesserungsmaßnahmen in komplexen Infrastrukturen. Zur Unterstützung der Beurteilung potenzieller Verbesserungsmaßnahmen wird ein Werkzeug entwickelt. Dieses erlaubt eine automatisierte Ermittlung von Kenngrößen, deren Verdichtung sowie eine Simulation der Auswirkungen potenzieller Verbesserungsmaßnahmen. Besonders effektive Maßnahmen werden so sichtbar und können vom Betreiber ausgewählt werden.
Jeder Betreiber einer kritischen Infrastruktur sollte in der Lage sein, belastbare Angaben zur IT-Sicherheit seiner Anlagen zu machen. Ein auf die strengen Anforderungen und die Komplexität kritischer Infrastrukturen zugeschnittener Bewertungsprozess ist eine wesentliche Voraussetzung dafür. Die im Projekt entwickelten Sicherheitsindikatoren sollen eine differenzierte und zugleich gut greifbare Bewertung der IT-Sicherheit in komplexen, prozessnahen Infrastrukturen ermöglichen. Damit bekommen die Betreiber ein Werkzeug zur präzisen Messung von IT-Sicherheit an die Hand.