4 Schutzmaßnahmen

4.1 Allgemeine Anforderungen

(1) Ziel der Maßnahmen ist der Schutz der Komponenten und Konfigurationsdaten der sicherheitsrelevanten MSR-Einrichtung vor Verletzung der funktionalen Integrität bzw. Minderung der Auswirkungen einer verletzten funktionalen Integrität. Damit die Komponenten und Daten wirksam geschützt werden können, müssen sowohl die Hard- und Softwarekomponenten als auch die Prozesse, Personen und Organisationen, die den Lebenszyklus der sicherheitsrelevanten MSR-Einrichtung beeinflussen, gegen mögliche Cyber-Bedrohungen gerüstet sein.

(2) Um das unberechtigte Eindringen in eine sicherheitsrelevante MSR-Einrichtung zu unterbinden, ist in folgender Weise zu verfahren:

  1. Festlegen von Maßnahmen, um den Bedrohungen in geeigneter Weise zu begegnen und die Auswirkungen zu begrenzen.
  2. Umsetzung der festgelegten Maßnahmen und überprüfen, ob die festgelegten Maßnahmen wirksam umgesetzt sind.
  3. Regelmäßige Überprüfung, dass die festgelegten Maßnahmen die Auswirkungen der Bedrohungen noch wirksam begrenzen.

(3) Die Anforderungen nach Absatz 2 können im Rahmen eines geeigneten IT-Security-Management, z. B. ISMS nach ISO 27000-Normenreihe umgesetzt werden.

 

4.2 Schutzmaßnahmen festlegen und umsetzen

4.2.1 Zugangs- und Zugriffskontrolle

(1) Der Schutz der Komponenten wird u. a. durch die Kontrolle des physischen und logischen Zugangs auf die Komponenten erreicht. Entsprechend sind Rollen, Rechte und wirksame Authentifizierungsverfahren (Zugangskarten, Passwörter etc.) zu betrachten und eindeutig festzulegen. Dazu gehört beispielsweise die Änderung von Standardpasswörtern vor erstmaliger Inbetriebnahme.

(2) Der Benutzerzugriff aus Zone A und B auf das Internet und umgekehrt, z. B. E-Mail-Anhänge, ist mit besonders hohen Risiken verbunden und deshalb technisch zu unterbinden. Der Zugriff aus Zone A und B durch automatisierte Dienste, z. B. Auslesen von Statusinformationen, ist in Zone A und B rückwirkungsfrei zu initiieren und geeignet abzusichern.

4.2.2 Härtung von Komponenten

Die Systemkomponenten (Software, Hardware, Daten) sind auf ein dem Einsatzzweck entsprechendes Mindestmaß zu reduzieren, ggf. ist Rücksprache mit dem Hersteller zu halten. Reduzierung umfasst z. B.

4.2.3 Umgang mit Daten

(1) Statische Daten, wie z. B. die Parameter eines Sensors oder das Applikationsprogramm des Logik-Systems, bestimmen die Integrität der sicherheitsrelevanten MSR-Einrichtung. Andere statische Daten stehen in einem mittelbaren Zusammenhang mit der Integrität der sicherheitsrelevanten MSR-Einrichtung (z. B. Material- und Anlagenspezifikationen, Betriebsanleitungen, Risiko-Analysen (z. B. HAZOP) für Prozessanlagen, Funktionspläne, Systemarchitekturdiagramme). Solche Daten entstehen über den gesamten Lebenszyklus hinweg und werden an vielen Orten erzeugt und gespeichert (bei Planern, Kontraktoren, System-Integratoren, System-Herstellern, Betreibern).

(2) Statische Daten sind von ihrem Eigentümer ihrer Relevanz entsprechend zu klassifizieren (z. B. intern, vertraulich, streng vertraulich). Entsprechend der Klassifizierung werden Maßnahmen zum Schutz vor Ausspähen und Manipulation dieser Daten veranlasst. Dabei sind alle Orte zu berücksichtigen, an denen diese Daten gespeichert sind.

(3) Je nach Auswirkung auf die Integrität der sicherheitsrelevanten MSR-Einrichtung muss bei der Anwendung im Lebenszyklus der MSR-Einrichtung die Integrität der Daten sichergestellt werden (z. B. durch elektronische Signatur und Verschlüsselung zentraler Spezifikationsdokumente).

4.2.4 Unabhängigkeit von Einrichtungen

(1) Sicherheitsrelevante MSR-Einrichtungen müssen so ausgelegt sein, dass sie durch betriebliche MSR-Einrichtungen nicht unzulässig beeinflusst werden können.

(2) In Einzelfällen können Komponenten von verschiedenen Systemen gemeinsam genutzt werden, d. h. es erfolgt eine Kombination von sicherheitsrelevanten und betrieblichen Funktionen innerhalb einer Komponente. Derartige Kombinationen liegen beispielsweise auf Sensor-/Aktor-Ebene, beim Logiksystem, beim Programmiergerät und bei der IT-Infrastruktur vor.

(3) Für die Cyber-Sicherheit der gemeinsam genutzten Komponente ist ein zusätzlicher Nachweis zu erbringen, d. h. in der Gefährdungsbeurteilung ist zu bewerten, ob sich durch die gemeinsame Nutzung erhöhte Cyber-Sicherheitsrisiken für die sicherheitsrelevante MSR-Einrichtung ergeben können.

 

4.3 Cyber-Schutzmaßnahmen überprüfen und anpassen

Aus § 3 Absatz 7 BetrSichV lassen sich insbesondere folgende Anlässe für eine Überprüfung der Maßnahmen zur Sicherheit des Arbeitsmittels ableiten: