Das Projekt "Teilvorhaben: Entwicklung von Methoden und Werkzeugen zur technischen und organisatorischen Analyse der IT-Sicherheit in kritischen Infrastrukturen" wird vom Umweltbundesamt gefördert und von StWB Stadtwerke Brandenburg an der Havel GmbH & Co. KG durchgeführt. 1. Vorhabenziel Ziel ist des Projekts AQUA-IT-Lab ist es, für kleine und mittlere Betreiber im Bereich der Wasserversorgung angemessen gestaltete Methoden und Werkzeuge für die umfassende Analyse und Verbesserung der IT-Sicherheit zu entwickeln. Zur Analyse wenig komplexer Anlagenstrukturen wird ein Schnelltest für die eigene Anwendung durch den Betreiber entwickelt. Für Analysen komplexerer Anlagen wird ein hybrides Versuchslabor aufgebaut, das Anlagen, Regelungs- und Steuertechnik, die IT-Infrastruktur und auch die entsprechende Organisation in angemessener Granularität abbildet. Die IT-Sicherheit von Komponenten, Anlagen und Konfigurationen kann im Labor durch verschiedene Methoden umfassend und vergleichsweise kostengünstig analysiert werden, ohne den laufenden Betrieb zu gefährden. Aus dem Schnelltest und den Laboranalysen werden schließlich Handlungsempfehlungen zur Erhöhung der IT-Sicherheit abgeleitet. Die Stadtwerke Brandenburg bringen Fachkenntnisse aus der Perspektive eines Betreibers über Anlagen, Prozesse und Risiken sowohl bei der Anforderungsanalyse als auch bei der Modellentwicklung für das Labor und der Validierung der Ergebnisse ein. Dieser Input fließt in den Forschungs- und Entwicklungsprozess ein und sichert so praxistaugliche Lösungen. 2. Arbeitsplanung Im Detail sieht der Arbeitsplan der Stadtwerke Brandenburg die beispielhafte, aufwandsarme Erhebung der IT-Infrastruktur, die Validierung des im Projekt zu entwickelnden Schnelltests, die Unterstützung der beispielhaften Modellierung konkreter Angriffsszenarien im Labor sowie die Bewertung von Ergebnissen der Simulation und die Beteiligung an der Ausgestaltung von Handlungsempfehlungen zur Verbesserung der IT-Sicherheit vor.
Das Projekt "Teilvorhaben: Entwicklung eines Schnelltests und technischen Testlabors für kritische Infrastrukturen" wird vom Umweltbundesamt gefördert und von HiSolutions AG durchgeführt. 1. Vorhabenziel Das Vorhaben hat die Entwicklung eines Demonstrators zur hybriden Simulation von IT-Infrastrukturen und deren Zusammenspiel mit technischen und organisatorischen Maßnahmen zum Ziel. Ausgehend von der empirischen Erhebung typischer Komponenten in kritischen Infrastrukturen der Wasserwirtschaft und der Analyse von Angriffsszenarien wird unter Zuhilfenahme von Standards zunächst ein Schnelltest zur Selbsteinschätzung entwickelt, sodann im nächsten Schritt ein hybrider Simulator zur Analyse von Schwachstellen und zur Entwicklung und Überprüfung von IT-Sicherheitsmaßnahmen. Das Vorgehen soll dabei insbesondere auch für kleine und mittlere Betreiber wirtschaftlich anwendbar sein. 2. Arbeitsplanung Zunächst werden über ein effizientes Verfahren mit Hilfe von Interviews typische IT-Komponenten in der Wasserversorgung identifiziert und klassifiziert (AP1). Im nächsten Schritt wird eine Kritikalitätsabschätzung relevanter Angriffe vorgenommen und gleichzeitig einschlägige Standards auf passende Maßnahmen analysiert. Dies mündet in einen Risikoschnelltest zur Selbstabschätzung (AP2). Aus den identifizierten Komponenten und Maßnahmen werden Teilmodelle erstellt, die physisch oder simuliert im Demonstrator implementiert werden. Dort werden durch Penetrationstests kritische Schwachstellen sowie der jeweilige Wirkungsgrad der Gegenmaßnahmen bestimmt, sodass eine Folgenabschätzung vorgenommen werden kann (AP3). Die identifizierten Risiken sind Ausgangspunkt für Handlungsempfehlungen zur Risikobehandlung. Diese werden priorisiert und ihre Umsetzbarkeit für unterschiedliche Arten und Größen von Betreibern bewertet (AP4). Das entwickelte Vorgehen samt Labor wird über die getesteten Fälle hinaus generalisiert. Des Weiteren wird ein Transfer in andere Kritis-Bereiche evaluiert (AP5). Über die Projektlaufzeit findet Austausch mit Wissenschaft und Praxis durch Publikationen, Präsentationen und die Beteiligung an der Begleitforschung statt (AP6).
Das Projekt "Teilvorhaben: Personale und organisatorische Komponenten des Laboraufbaus und -betriebs" wird vom Umweltbundesamt gefördert und von PRETHERM GmbH durchgeführt. 1. Vorhabenziel Kleine und mittlere Betreiber kritischer Infrastrukturen sind aufgrund knapper Ressourcen kaum in der Lage, die im Zuge von Vernetzung und Integration steigenden Anforderungen an IT-Sicherheit zu erfüllen. Ziel des Projektes ist es, einen Schnelltest zu entwickeln und ein Labor aufzubauen, die Anlagen, Regelungs- und Steuertechnik, die IT-Infrastruktur und auch die entsprechende Organisation abbilden. Im Fokus steht die Wasserversorgung, eine Ausweitung auf andere Sektoren ist jedoch im Projekt vorgesehen. Der Schnelltest ermöglicht eine grobe Beurteilung der Gefährdungslage. Im Labor kann die IT-Sicherheit analysiert und geprüft werden, ohne in den laufenden Betrieb eingreifen zu müssen. In diesen Überprüfungen können regelmäßig, orientiert am aktuellen Stand der Technik, Angriffe simuliert werden. Handlungsempfehlungen werden aus den Ergebnissen der beiden Verfahren abgeleitet. Das Labor und der Schnelltest bilden neue Ansätze zur Beurteilung und Erhöhung von IT-Sicherheit. 2. Arbeitsplanung Im Projektverlauf werden zunächst ein Vorgehensmodell und Methoden zur effizienten Informationssammlung und anschließender Infrastrukturmodellierung generiert. Daran schließt sich eine Sammlung und Entwicklung von Angriffsszenarien und gemeinsamen Komponenten an. Darauf erfolgt die Erarbeitung eines Selbsteinschätzungstools für grobe IT-Sicherheitsanalyse zunächst für den Wasserbereich, später verallgemeinert für weitere Branchen (für kleine Infrastrukturen). Ein Pilot für ein hybrides Testlabor wird bereitgestellt. Im nächsten Schritt wird ein validiertes Konzept zur Weiterentwicklung von Technik, Organisation und Personal durch das Testlabor entwickelt. Ein Katalog von Handlungsempfehlungen für kleine und mittlere Infrastrukturbetreiber soll unterschiedliche Paketlösungen (Basispaket, erweitertes Paket, Komplettpaket) liefern.