In acht Schritten zu einem IT-Sicherheitskonzept

Ein auf der IEC 62443 basierendes IT-Sicherheitskonzept lässt sich durch ein aus acht Schritten bestehendes Verfahren aufbauen, dem ein kontinuierlicher Verbesserungsprozess zugrunde liegt. Im Rahmen der Basisspezifikation müssen zunächst die Schutzobjekte definiert werden. Dazu sind sämtliche notwendigen Prozesse und Objekte zu ermitteln, die durch das IT-Sicherheitskonzept geschützt werden sollen. Darunter fallen zum Beispiel der Zugriff auf das Gebäudemanagementsystem, der Fernzugriff oder das Patchmanagement.

Danach werden die für die Prozesse und Objekte erforderlichen Sicherheitsstufen festgelegt. Daran schließt sich die Identifizierung aller potenziellen, prozessbedingten, technischen sowie benutzerbedingten Bedrohungen an. Exemplarisch könnte beispielsweise der Zugriff auf das Gebäudemanagementsystem gekappt oder sabotiert werden. Durch die aufgeführten Schritte ist die Grundlage für die benötigten IT-Sicherheitsmaßnahmen gelegt und das IT-Sicherheitskonzept kann erarbeitet werden. Die Basis dafür bilden die Anforderungen aus der Norm, zum Beispiel in Bezug auf die Identifizierung und Authentifizierung. Im nächsten Schritt erfolgen die Implementierung und Verifizierung der ausgewählten Schutzmaßnahmen. Schließlich muss noch der Zeitraum bestimmt werden, in dem eine Überprüfung und Optimierung des IT-Sicherheitskonzepts stattfindet.

Fazit

In der digitalen Welt sind intelligente Gebäude einer erhöhten Bedrohung durch Cyber-Angriffe ausgesetzt. Dabei ist das Gebäude nur so sicher, wie das schwächste Glied der Kette. Aus diesem Grund erfordern intelligente Bauwerke wegen der Vielzahl ihrer vernetzten Komponenten und Systeme ein ganzheitliches IT-Sicherheitskonzept. Zu diesem Zweck werden die einzelnen Beteiligten mit ihren unterschiedlichen Rollen in die Entwicklung entsprechender Maßnahmen einbezogen. Im gemeinsamen Austausch lässt sich ein optimal auf die Technologien, Prozesse und Personen abgestimmtes IT-Security-Modell umsetzen.