Die Inhalte der Weiterbildung orientieren sich in weiten Teilen an den Empfehlungen für Fortbildungs- und Qualifizierungsmaßnahmen im ICS-Umfeld des Bundesamtes für Sicherheit in der Informationstechnik.
Grundlagen der IT-Sicherheit
Dieser Abschnitt liefert einen Einstieg in das Thema der IT-Sicherheit und vermittelt die erforderlichen Grundlagen. Wesentliche Inhalte sind:
1. Grundlagen der IT-Sicherheit
- Warum IT-Security
- Zahlen zur IT-Security
- Begriffe und Definitionen
- Schutzziele
- Schwachstellen
- Bedrohungen
- Angriffe / Angreifertypen
- Risiko
2. Überblick über wesentliche kryptografische Verfahren
- Was ist Kryptografie
- Verschlüsselung
- Symmetrische und asymmetrische Verfahren
- Hash-Funktionen und Message Authentication Codes
- Zertifikate
IT- und OT-Security
In diesem Abschnitt werden zunächst IT- und OT-Security voneinander abgegrenzt. Danach wird auf die Besonderheiten der OT-Security und die Anforderungen des Produktionsbereiches eingegangen.
Die Hauptthemen sind:
3. Abgrenzung IT- und OT-Security
- IT und OT was ist das?
- Begriffsdefinitionen
- Abgrenzung der Domänen IT und OT
- Typische OT-Systeme in der Fertigungs- und Prozessindustrie
4. OT-Security im Detail
- Warum ist IT-Security in Produktionsanlagen wichtig
- Die aktuelle Situation in der OT-Security
- OT-Security Vorfälle
- Angriffsvektoren auf die OT-Security
- OT-Systeme im Internet
- Schutzmaßnahmen für OT-Systeme / Defense in Depth
Normen und Standards
Für die OT-Security stehen eine Reihe von Normen, wie z. B. die IEC 62443 und die VDI 2182 zur Verfügung. Diese Normen liefern eine gute Basis für die erforderlichen Prozesse und für ein sicheres Anlagendesign.
Wesentliche Aspekte dieses Abschnittes sind:
5. Übersicht Normen und Standards für die OT-Security
6. Die IEC 62443 im Detail
- Übersicht über die Teile der Norm
- Die Akteure im IT-Sicherheitsprozess
- Security Level nach IEC 62443
- Grundlegende Anforderungen der IEC 62443
- Abgrenzung der IT-Sicherheitsnormen ISO 20001 und IEC 62443
IT-Sicherheitsprozesse in der Produktion
Die wesentlichen Grundlagen für die IT Sicherheit sind Menschen, Prozesse und Technologie (People, Processes and Technology). Dieser Abschnitt widmet sich allen drei Aspekten und stellt klar, dass ein technikzentrierter Ansatz alleine nicht ausreicht, um die OT-Security zu implementieren.
Wesentliche Punkte dieses Abschnittes sind:
7. In 10 Schritten zur IT-Sicherheit in der Produktion
- Management Commitment.
- Organisation der Zuständigkeiten und Prozesse.
- Leitlinie/ Richtlinie.
- Personal.
- Wissen.
- Identifizieren, Bewerten und Schützen der Assets:
- Automatisierungssysteme.
- Netzwerke.
- Externer Zugriff.
- Datensicherung.
- Störungen und Ausfälle.
- IT-Sicherheitsvorfälle.
Fallstudie
Die Lehreinheit bietet an dieser Stelle die Möglichkeit zur aktiven Mitarbeit. An je einer Musteranlage aus der Fertigungs- und Prozessindustrie lernen die Teilnehmenden in welchen Schritten die Risiken in einer Produktionsanlage ermittelt und bewertet werden. In einem zweiten Schritt werden dann daraus Schutzmaßnahmen abgeleitet.
8. Fallstudie zur Bearbeitung durch die Teilnehmer: Risikoanalyse von Produktionsanlagen
a. Security-Analyse Automobilproduktion
b. Security-Analyse Tanklager
Sonderthemen der OT-Security und Schlussteil
Neben den wesentlichen Grundlagen der OT-Security adressiert dieses Weiterbildungsmodul einige Sonderthemen der OT-Security.
Diese sind:
9. Kritische Infrastrukturen
- IT-Sicherheitsgeset, KRITIS-Verordnung
- NIS-2-Richtlinie
- Cyber-Resilience-Act
10. Safety & Security
11. Industrie 4.0 und seine Auswirkungen auf die OT-Security
12. Zusammenfassung
13. Literatur
Alle Inhalte mit Detailbeschreibung in unserem Handzettel zum Download
