Leiterplatte mit Schloss
Andrea Danti - Fotolia
20.07.2015 Kurzinfo 104 0

Anforderungen an Security Standards

Welche Elemente der Informationssicherheit sollten in Normen und Spezifikationen für die Energieversorgung abgedeckt werden?

Die folgenden Vorschläge basieren auf dem Papier „What Securtiy Topics Should Be Covered in Standards and Specifications?“ [1] der Convenorin des IEC TC 57/WG 15 („Data and Communication Security for Power Systems“), Frances Cleveland.

Weil Normen und Spezifikationen unterschiedliche Schwerpunkte setzen, sollen und können diese Vorschläge nicht „verbindlich für jeden Standard“ gelten, sondern sie dienen in gewisser Weise als „Checkliste“ für jene, die Systeme und Lösungen implementieren und dafür entsprechende Standards und Normen kombinieren müssen.

Die Beziehungen zwischen den Sicherheitsanforderungen, Bedrohungen und  vielfältigen Angriffen sind im folgenden Bild veranschaulicht.

Kontakt

Christian Seipel

Verwandte Themen

500x330-Cybersecurity

Prinzipiell muss man Security Anforderungen in organisatorische, technische, systemgestalterische (Engineering) und konfigurationsspezifische Anforderungen unterteilen (ausgewählte Anforderungen aus [1]):

01. Sicherheitsanforderungen für Standards, welche nicht durch Cybersecurity Technologien geprägt sind, sondern durch menschliche Interaktion

  • Vorgabe und Berücksichtigung von Sicherheitsrichtlinien und -prozeduren bei der Interaktion mit Automatisierungssystemen
  • Durchführung einer Risikoabschätzung (Risk Assessment):
  • Normative Referenzierungen von bewährten Standards
  • Validierung und Registrierung der Identität der Beteiligten (Nutzer, Systeme, Geräte …)
  • Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC)

02. Sicherheitsanforderungen für Standards zur Absicherung der Kommunikation (Kryptografie)

  • Normative Referenzierung von aktuellen und bewährten kryptografischen Algorithmen
  • Chiffremenge aktuell und angemessen stark halten
  • Schlüsselmanagement und Zertifikatsmanagement einbeziehen.
    • z. B. Advanced Encryption Standard (AES-128 oder AES-256) gewährt Vertraulichkeit
    • z. B. Digitale Signaturen oder Hash-Nachrichten (z. B. MAC) gewährt Authentizität + Integrität
    • Internet-Kryptografie: TLS, HTTPS, IPSec …
    • Wireless-Kryptografie: EAP, IEEE 801.1x …
  • Netzwerkkonfigurationen, Firewalls, Angriffserkennungssysteme, Zugriffssteuerungsliste

03. Anforderung an Systemgestaltung und Konfiguration

  • Redundanz u. a. bei Kommunikationskanälen, Komponenten, Konfigurationen, Datenbanken …
  • Kontrolle, Monitoring und Analyse in allen Bereichen des Smart Grid
  • Test der Komponenten
  • Schulung aller Stakeholder und des Personals

04. Sicherheitsanforderungen in Anlehnung an das ISO/OSI-7-Schichtenmodell

  • Bitübertragungsschicht: Sicherheit in der Übertragung, z. B. CRC, DSSS, OFDM …
  • Sicherungsschicht: Sicherheit in den Protokollen, z. B. Media Access Control (MAC), power line carrier Security (IEEE1901)
  • Vermittlungsschicht: Sicherheit im Routing, z. B. IPSec
  • Transportschicht: end-to-end Management, z. B. TLS
  • Anwendungsschicht: Authentifizierung der Software

Das könnte Sie auch interessieren