In einem Security-Prozess werden eine Bedrohungs- und Risikoanalyse durchgeführt und hieraus Aktivitäten und Maßnahmen definiert.
Im Rahmen einer „First Line of Defense“ ist ein gefährdetes Netzwerk inklusive der angeschlossenen Komponenten als Ganzes zu schützen, indem der unbefugte Zugriff darauf über alle zur Verfügung stehenden möglichen Zugriffspunkte abgesichert wird.
Eine „Second Line of Defense“ wird dann relevant, wenn es dem Angreifer doch gelungen ist, sich Zutritt zum Netzwerk zu verschaffen. Dann sind auf Komponentenebene Maßnahmen zum Schutz einzelner Systeme zu realisieren.
Die betrachteten Systeme zerfallen grundsätzlich in die Systeme Steuerungs-, Sicherungs-, und Betreibersystem.
Formal ist die IT-Sicherheit für Betreiber kritischer Infrastrukturen ab gewissen Schwellenwerten zwingend nachzuweisen. Gesetzliche Grundlage sind die EU-Richtlinie 2016/1148 „Network and Information Security“ für Deutschland mit der nationalen Umsetzung im IT Sicherheitsgesetz.
Richtlinie (EU) 2016/1148 „Network and Information Security“
Der IT Sicherheitsprozess ist auf auf Basis der Richtlinie (EU) 2016/1148 „Network and Information Security (Nis16) mit Anforderungen an Betreiber aus den Bereichen Energie (Strom, Gas, Öl) und Transport (Luft, Bahn, Wasser, Banken und Finanzwirtschaft. Gesundheitswesen, Trinkwasserversorgung sowie Digitale Infrastruktur durchzuführen.
Im Wesentlichen beschreibt diese Richtlinie die Pflicht für alle Mitgliedstaaten, eine nationale Strategie für die Sicherheit von Netz- und Informationssystemen festzulegen, um sicherzustellen, dass die Betreiber wesentlicher Dienste geeignete Maßnahmen ergreifen, um den Auswirkungen von Sicherheitsvorfällen, die die Sicherheit der von ihnen für die Bereitstellung dieser wesentlichen Dienste genutzten Netz- und Informationssysteme beeinträchtigen, vorzubeugen beziehungsweise diese so gering wie möglich zu halten.
Die nationale Umsetzung erfolgte in Deutschland auf Basis des IT-Sicherheitsgesetzes.
Mit der ersten Verordnung zur Änderung der BSI-Kritisverordnung, die am 30.06.2017 in Kraft getreten ist, werden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr oberhalb angegebener Schwellenwerte als Teil der ‚Kritischen Infrastruktur‘ ergänzt.
Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen vorschlagen.
Der Sektor Eisenbahn hat noch keine branchenspezifischen Sicherheitsstandards zur Gewährleistung der Anforderungen vorgeschlagen, daher wird eine Umsetzung regelmäßig in Anlehnung an IEC 62443 vorgenommen, unter Berücksichtigung
- IEC 62443-4-1 zu organisatorischen bzw. prozessualen Anforderungen
- IEC 62443-3-2 zum Risk Assessment
- DIN VDE V 0831-104 Leitfaden für die IT-Sicherheit auf Grundlage IEC 62443
Ergänzend werden auch die Anforderung der Normenfamilie ISO/IEC 27000 betrachtet.