Security im Rahmen der Störfallverordnung

Drei Crashkurse und ein Wegweiser: Security Engineering, KAS-51, LANUV-Orientierungspapier

Nur ein kleiner Teil in der Störfallbetrachtung einer Anlage, aber trotzdem “prüfungsrelevant”: Security. Photo by Robin Sommer

Was hat die Störfallverordnung mit Security zu tun?

Schutz vor schädlichen Umwelteinwirkungen:

Teilmenge — schädliche Umwelteinwirkungen durch Störfälle:

Teilmenge der Teilmenge — schädliche Umwelteinwirkungen durch Störfälle durch Eindringen Unbefugter

Crashkurs: Security Engineering & KAS-Leitfaden 51

Teil 1: Basismaßnahmen und besondere Gefährdung (Kap. 4–5)

  1. Zum Einen haben die Kriterien für die oberen und unteren Betriebsbereiche wenig mit der Wahrscheinlichkeit für Security-Gefährdungen zu tun — die Manipulation eines IT-Systems wird nicht weniger wahrscheinlich, weil die Stoffe, mit denen hantiert wird, in kleineren Mengen vorhanden sind.
  2. Zum Anderen ist es aufwendig bis unmöglich, die Möglichkeit von Security-Gefährdungen auszuschließen. Selbst, wenn Sie es versuchen: Die Überlegungen, die Sie dabei anstellen müssten (was wären mögliche Einfallstore für Security-Gefährdungen? Was könnte ein Security-Vorfall anrichten? Was tun Sie bereits, um Security-Gefährdungen zu vermeiden?) sind so ähnlich zu denen in einer Security-Risikoanalyse, dass Sie mit vergleichbarem Aufwand auch direkt die Security-Risikoanalyse machen können.
Struktur des KAS-Leitfaden 51 (Quelle: Kommission für Anlagensicherheit). Verweilen Sie nicht zu lang bei Kapitel 4 und 5, Sie müssen ohnehin weiter zu Kapitel 6–8 inkl. Anhängen.

Teil 2: Sicherungsanalyse (Kap. 6)

Übersetzungshilfe für den KAS-Leitfaden 51: Zuordnung der Begriffe aus der KAS-51 zu geläufigeren Teilschritten einer Security-Risikoanalyse

Teil 3: Maßnahmenchecklisten (Kapitel 4, Kapitel 7 und Anhänge)

  • Anforderungen zur Erweiterung des Sicherungsmanagements um Security stehen in Anhang 1.
    Ein üblicher Weg dahin die Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001.
  • Anforderungen gegen cyberphysische Angriffe stehen in Anhang 2.
    Diese Anforderungen ergänzen die Basismaßnahmen aus Kapitel 4 und es ist sinnvoll, das Paket als Ganzes zu betrachten. Sie enthalten übliche Security-Anforderungen und keine darüber hinausgehenden Überraschungen.
    Der Anhang entspricht dem obsoleten KAS-Leitfaden KAS-44.
  • Anforderungen gegen Drohnenangriffe stehen in Anhang 3.
    Die Wichtigkeit, die Drohnenangriffen eingeräumt wird, ist die einzige “Schrulle” der KAS-51 gegenüber gängigen IT-Security-Standards.
    Die prominente Positionierung des Themas im Leitfaden ist wohl historisch gewachsen und dem Umstand geschuldet, dass es einst einen eigenen KAS-Leitfaden zu Drohnenangriffen gab (KAS-45), der nun im KAS-Leitfaden 51 aufgegangen ist.
    Zumindest der passive Teil der empfohlenen Maßnahmen ist aber bekannt und üblich aus der physischen Sicherheit: Einhausung, Sichtschutz, Schutz von Öffnungen.

Teil 4: Sicherheitsbericht (Kap. 8)

Crashkurs LANUV-Orientierungspapier

Das LANUV-Papier stellt selbst keine neuen Anforderungen. Alles, was Sie dort finden, steht als Anforderungen bereits im KAS-Leitfaden 51; lediglich die erforderliche Dokumentation im Sicherheitsbericht wird konkretisiert.

Einordnung der Forderungen des KAS-Leitfadens 51 und der Hilfestellungen des LANUV-Orientierungspapiers in einen generische Security-Risikoaanlyseprozess

Mindestinhalte des Security-Teils im Sicherheitsbericht

  • Geltungsbereich: Netzwerkarchitektur, Assetlisten
  • IT-Risikobeurteilung: Methoden, Ergebnisse, resultierende Maßnahmen

IT-Risikobeurteilung ist Pflicht — aber nicht die Betrachtung der Vertraulichkeit

Security-Risikoanalysemethodik: Getrennt von der funktionalen Sicherheit (Safety)

Security Environment (Quelle: IEC TR 63069)

Geltungsbereich: sicherheitsrelevante Anlagenteile (srA) und alles, was deren Integrität und Verfügbarkeit beeinträchtigen kann

  • “Beteiligte Bauteile”: etwa Router, Switche, DMZ-Systeme, Firewalls
  • Übertragungsstrukturen: etwa Busse, Funknetze
  • Schnittstellen der srA zu anderen Komponenten
  • Zugangswege zu den srA
  • Situative und temporäre Komponente “mit Bezug zur Anlagensicherheit”
Direkte Safety-Relevanz vs. indirekte Safety-Relevanz (Quelle: Holger Laible)

Dokumentationshilfen für Netzwerk und Assetliste

Beispiel für einen abstrahierten Auszug einer Assetliste (Quelle: LANUV-Orientierungspapier)

Wegweiser

Am Anfang war die Risikoanalyse

Der Geltungsbereich: Manchmal ist mehr mehr

In Funktionen denken

  • Für 100 Assets und zwei relevante Auswirkungsdimensionen (Integrität und Verfügbarkeit) landen Sie bei zwei Gefährdungsszenarien je Auswirkungsdimension (und das ist nicht viel!) bei 400 Risiken.
  • Wenn Sie stattdessen 20 Funktionen betrachten, hat Ihre Risikoliste dagegen nur 80 Einträge. Gleich viel angenehmer, oder?

Die Compliance-Brille absetzen

--

--

Friction generates heat — true for writing and engineering. Fluchsfriction generates writings on security engineering. Heated debates welcome! CTO@admeritia

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Sarah Fluchs

Friction generates heat — true for writing and engineering. Fluchsfriction generates writings on security engineering. Heated debates welcome! CTO@admeritia