Das Projekt "IT-Sicherheit in Kernkraftwerken - methodische Ansätze für eine Risikoanalyse zu IT-Angriffen" wird vom Umweltbundesamt gefördert und von Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) durchgeführt. Mit dem abgeschlossenen Vorhaben IT-Sicherheit in Kernkraftwerken - Erkennung unbefugter Eingriffe in Programmstruktur und Funktionsablauf softwarebasierter Leittechnik mit Sicherheitsbedeutung sowie Gegenmaßnahmen (3612R01650) wurde eine Methode zur Analyse der Verwundbarkeit softwarebasierter Leittechnik im Hinblick auf Anwendung für KKW bewertet, weiterentwickelt und unter Annahme bestimmter Angriffsvektoren exemplarisch angewendet. Für eine vollständige Risikoanalyse der IT-Sicherheit sind zusätzlich zur Verwundbarkeitsanalyse eine aktuelle Bewertung der Bedrohungslage, die Berücksichtigung von Änderungen an der Leittechnik sowie die Ermittlung von Maßnahmen der IT-Sicherheit erforderlich, um Schwachstellen beheben und IT-Angriffen vorbeugen bzw. diese beherrschen zu können. Mit dem Vorhaben sollen verfügbare Methoden zur Risikoanalyse der IT-Sicherheit im Hinblick auf eine Anwendung für die Leittechnik in KKW bewertet und daraus eine Methode ausgewählt, erforderlichenfalls weiter entwickelt und exemplarisch angewendet werden. Dabei sind u.a. folgende Aspekte zu berücksichtigen: - konsequenzbasierter Ansatz hinsichtlich der Auswirkungen eines IT-Angriffs bei besonderer Berücksichtigung der Leiteinrichtungen mit hohem und sehr hohem Schutzbedarf - systematische Ableitung von Angriffsvektoren - Anwendung der Risikoanalyse auf System- und Anlagenebene - Einbeziehung der bereits entwickelten Methode der Verwundbarkeitsanalyse - Kriterien für die Wiederholung und für den dann erforderlichen Umfang der Risikoanalyse - Angaben zu Grenzen der Anwendbarkeit der Methode - Einordnende Bewertung der ausgewählten Methode nach nationalen und internationalen Leitlinien und Standards (SEWD-RL IT, IAEA, IEC) .