OT Risk Assessment

> Prozessorientierte Dienstleistungen > OT Risk Assessment

Sichern Sie Ihre OT-Umgebung

Da die Häufigkeit von Cyberangriffen auf Operational Technology (OT) zunimmt, ist die Sicherung der OT-Umgebung Ihrer Organisation heute wichtiger denn je. Angreifer verwenden verschiedene Methoden, um in Netzwerke einzudringen und alle Arten von finanziellem Schaden anzurichten: entweder direkt, indem sie die Produktion anhalten oder verlangsamen, oder indirekt, indem sie die Geschäftsgeheimnisse Ihrer Organisation stehlen und verkaufen.

Um die Chancen eines Cyberangriffs zu verringern, müssen mögliche Gegenmaßnahmen identifiziert und implementiert werden. Werden diese Gegenmaßnahmen nicht oder nicht richtig umgesetzt, stellt dies ein Risiko für Ihre Organisation dar.

Erfahren Sie mehr über OT Risk Assessment

  1. Warum sollten Sie ein Risk Assessment durchführen?
  2. Warum ist ein auf die OT zugeschnittenes Risk Assessment notwendig?
  3. Was beinhaltet ein OT Risk Assessment?
  4. Die QAROT-Methode
  5. Die Ergebnisse eines Assessments

Warum ein Risk Assessment durchführen?

Ein Risk Assessment hilft dabei, strukturell zu bestimmen, welche Cyber-Risiken in Ihrer Umgebung vorhanden sind. Nur wenn Sie diese Risiken explizit identifizieren, können Sie die Wirksamkeit der (bestehenden) Gegenmaßnahmen verstehen. Dies wiederum ermöglicht es, über neue Gegenmaßnahmen nachzudenken, wenn diese erforderlich sind, und über deren potenzielle Wirksamkeit.

Darüber hinaus ermöglicht die Bewertung des Schweregrads der identifizierten Risiken die Entscheidung und Priorisierung von Gegenmaßnahmen und eine fundierte Entscheidung darüber, ob die Kosten für deren Umsetzung die möglichen Folgen aufwiegen. Darüber hinaus verschafft die Durchführung eines Risk Assessments einen vollständigen Überblick über die Stärken und Schwächen Ihrer Organisation. Dieser Überblick kann wiederum genutzt werden, um die Vorbereitung auf einen Cyberangriff zu verbessern oder einen solchen zu verhindern, indem die identifizierten Schwachstellen beseitigt werden.

Warum ist ein auf die OT zugeschnittenes Risk Assessment notwendig?

Im Gegensatz zur IT betreffen Risiken in OT-Umgebungen nicht nur die Vertraulichkeit, Integrität und Verfügbarkeit von Daten oder Prozessen, sondern können auch die Zuverlässigkeit, Leistung und Sicherheit der Anlagen beeinträchtigen. Darüber hinaus erfordern die verschiedenen Arten von Industrial Control Systems (ICS), wie SPS, DCS und SCADA-Systeme, besondere Aufmerksamkeit, da sie das Rückgrat jeder OT-Umgebung sind. Um Risiken richtig zu bewerten und Gegenmaßnahmen in solchen Umgebungen vorzuschlagen, sollten diese Unterschiede berücksichtigt werden.

Was beinhaltet ein OT Risk Assessment?

Bureau Veritas Cybersecurity verwendet seine eigene, auf Assets basierende Risk Assessment-Methode namens "Quantitatively Assessing Risk in Operational Technology" (QAROT). Diese Methode entspricht der IEC 62443-3-2 und vereint die Stärken von MITREs ATTandCK für ICS und ISO 31010. Durch die Kombination dieser Standards sind wir in der Lage, Risk Assessments durchzuführen, die über die reine Compliance hinausgehen. Gemeinsam mit unseren Kunden definieren wir die in IEC 62443-3-2 geforderten Zielsicherheitsstufen, auf denen wir die Ziele des Assessments systematisch aufbauen.

QAROT berücksichtigt auch andere Standards aus der IEC 62443-Familie, wie -3-3 und -4-2, um kohärente und umsetzbare Ratschläge auf der Grundlage der grundlegenden Sicherheitsanforderungen zu geben, die diese Standards beschreiben. Darüber hinaus verwendet QAROT die öffentlich zugängliche Operational Technologie Cyber Attack Database (OTCAD) von Bureau Veritas Cybersecurity, um den Schweregrad der identifizierten Risiken zu ermitteln.

Die QAROT-Methode

QAROT verwendet einen Top-Down-Ansatz zur Identifizierung und Bewertung von Risiken: Es leitet anwendbare Gegenmaßnahmen ab, indem es alle Assets innerhalb einer OT-Umgebung berücksichtigt. Diese Gegenmaßnahmen basieren auf ATTandCK für ICS und werden mit IEC 62443-3-3 und -4-2 kombiniert, um ihre Umsetzung und Wirksamkeit innerhalb des betrachteten Systems objektiv zu bewerten. Diese Kombination ermöglicht es Bureau Veritas Cybersecurity, potenzielle Schwachstellen und die von ihnen ausgehenden Risiken strukturell zu identifizieren.

Das Assessment beginnt mit der Erstellung eines Zonen- und Conduit-Diagramms auf der Grundlage der Netzwerkzeichnungen und des Asset-Inventars der Organisation. Die Inhalte des Diagramms werden gemeinsam mit dem Kunden in einem Workshop besprochen, um sicherzustellen, dass sie die bewertete Umgebung korrekt darstellen. In anschließenden Workshops ermitteln wir gemeinsam mit dem Kunden die Auswirkungen möglicher gegnerischer Ziele und legen die erreichten Sicherheitsniveaus bestehender Asset- und Zonen-/Leitungs-basierter Gegenmaßnahmen fest.

Das Ergebnis eines OT Risk Assessments

Bureau Veritas Cybersecurity wird für jeden der in diesen Workshops identifizierten Mängel maßgeschneiderte und umsetzbare Ratschläge zu deren Beseitigung geben. Durch die proprietären Berechnungen von QAROT werden die identifizierten Risiken quantitativ bewertet und in eine Rangfolge gebracht, was beim Vergleich und der Priorisierung hilft. Darüber hinaus werden anhand der grundlegenden Anforderungen der IEC 62443 die ausreichend implementierten Abhilfemaßnahmen kategorisiert, so dass der Kunde die Compliance in den verschiedenen Cybersecurity-Bereichen schnell erkennen kann. Wir liefern diese Übersichten, die identifizierten Risiken, einschließlich unserer Empfehlungen, und einen Follow-up-Plan in einem Bericht, den wir in einem Abschlussgespräch vorstellen.

Sind Sie an einem OT Risk Assessment in Ihrem Unternehmen interessiert?

Möchten Sie mehr über das OT Risk Assessment von Bureau Veritas Cybersecurity erfahren? Füllen Sie das Formular aus, und wir werden uns innerhalb eines Werktages bei Ihnen melden.

USP

Normenreihe IEC 62443

Allgemein

62443-1-1 Konzept und Modelle

Definiert die Terminologie, Konzepte und Modelle für die Sicherheit von Industriellen Automatisierungs- und Kontrollsystemen (IACS), die in der gesamten Reihe verwendet werden. Insbesondere werden die sieben Grundanforderungen (FRs) definiert.

62443-1-2 Master-Glossar der Begriffe und Abkürzungen

Enthält die Definition von Begriffen und Akronymen, die in den IEC 62443-Normen verwendet werden.

62443-1-3 Metriken zur Konformität der Systemsicherheit

Dieses Dokument definiert die hochrangigen Cybersecurity-Metriken für ein industrielles Automatisierungs- und Steuerungssystem.

Richtlinien & Verfahren

62443-2-1 Einrichtung eines InVeKoS-Sicherheitsprogramms

Spezifizierte Anforderungen an das Sicherheitsprogramm des Eigentümers von Assets für ein InVeKoS und bietet eine Anleitung für die Entwicklung und Weiterentwicklung des Sicherheitsprogramms. Die in diesem Standard beschriebenen Elemente eines InVeKoS-Sicherheitsprogramms definieren die erforderlichen Sicherheitskapazitäten, die für den sicheren Betrieb eines InVeKoS gelten, und sind hauptsächlich richtlinien-, verfahrens-, praxis- und personalbezogen

62443-2-2 IACS Schutzstufen

Spezifiziert einen Rahmen und eine Methodik für die Bewertung des Schutzes eines InVeKoS auf der Grundlage des Begriffs der (technischen) Sicherheitsstufe und der Reife der damit verbundenen Prozesse. Das Konzept der Schutzstufe ist eine Sicherheitseinstufung der Kombination von technischen und organisatorischen Maßnahmen und definiert einen Indikator für den Umfang des Sicherheitsprogramms.

62443-2-3 Patch-Verwaltung in der IACS-Umgebung

Definiert die Patch-Verwaltung in der IACS-Umgebung. Insbesondere bietet es ein definiertes Format für den Austausch von Informationen über Sicherheits-Patches von Asset-Eigentümern an Produktanbieter.

62443-2-4 Anforderungen an InVeKoS-Dienstleister

Spezifiziert die Anforderungen an die Sicherheitskapazitäten für IACS-Dienstleister, die sie dem Asset-Eigentümer während der Integrations- und Wartungsaktivitäten einer Automatisierungslösung anbieten können.

62443-2-5 Leitfaden zur Implementierung für Eigentümer von InVeKoS-Assets

Bereitstellung von Anleitungen für Asset-Eigentümer für die Implementierung eines Cyber Security Management Systems (CSMS) in einem InVeKoS.

System

62443-3-1 Sicherheitstechnologien für IACS

Bietet ein aktuelles assessment verschiedener Cybersecurity-Tools, Gegenmaßnahmen und Technologien, die effektiv auf moderne elektronisch basierte IACS angewendet werden können.

62443-3-2 Security Risk Assessment und Systementwurf

Legt die Anforderungen für Risk Assessments fest und unterteilt ein InVeKoS in Zonen und Conduits. Es enthält auch die Anforderungen für detaillierte Risk Assessments jeder Zone und jedes Conduits sowie für die Zuweisung von Security Level Targets (SL-Ts) für Bedrohung und Risiko.

62443-3-3 Systemsicherheitsanforderungen und Sicherheitsstufen

Enthält detaillierte technische Anforderungen an das Kontrollsystem (SRs) im Zusammenhang mit den sieben grundlegenden Anforderungen (FRs), einschließlich der Definition der Anforderungen an die Sicherheitsstufen der Kontrollsysteme.

Komponenten

62443-4-1 Anforderungen an den Lebenszyklus einer sicheren Produktentwicklung

Spezifiziert Prozessanforderungen für die sichere Entwicklung von Produkten, die in industriellen Automatisierungs- und Steuerungssystemen eingesetzt werden. Es definiert einen sicheren Entwicklungslebenszyklus für die Entwicklung und Pflege sicherer Produkte.

62443-4-2 Technische Sicherheitsanforderungen für InVeKoS-Komponenten

Spezifizierte die technischen cyber security-Anforderungen für Komponenten, wie eingebettete Geräte, Netzwerkkomponenten, Host-Komponenten und Softwareanwendungen.

Verwandte Leistungen

Design Review

Secura Design Review IT systems

Entdecken Sie den Design Review Service von Bureau Veritas Cybersecurity - er identifiziert proaktiv Sicherheitsverbesserungen in Ihren IT-Designs, um Datenschutzverletzungen zu verhindern und die Übereinstimmung mit Best Practices sicherzustellen.

Schulung zur Bedrohungsmodellierung

In company training course or open to public

In der Schulung zur Bedrohungsmodellierung lernen Sie, wie Sie sich mit der STRIDE-Methode ein umfassendes Bild von potenziellen Risiken machen können. Dies funktioniert sowohl für bestehende Systeme als auch für neue Entwürfe.

Vulnerability Assessment / Penetration Testing (VAPT)

VAPT banner

Schwachstellenbewertung und Penetrationstests oder Penetrationstests sind Möglichkeiten, um Schwachstellen in der Sicherheit Ihrer Website, Anwendung oder Infrastruktur aufzudecken. Lassen Sie sich von den Cybersecurity Experten von Bureau Veritas Cybersecurity helfen.

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.