|
Titel |
5 |
|
|
Copyrigt / Impressum |
7 |
|
|
Grußwort |
21 |
|
|
Vorwort des Herausgebers |
23 |
|
|
Resonanzen der Verbände |
29 |
|
|
I Zentrale Enabler einer erfolgreichen digitalen Transformation |
31 |
|
|
II Modulares Bausteinsystem der Security |
33 |
|
|
III Etablierung einer Sicherheitskultur |
35 |
|
|
IV Wirtschaftsschutz in der digitalen Welt |
37 |
|
|
Inhaltsverzeichnis |
9 |
|
|
A Cybersicherheit als Voraussetzungfür erfolgreiche Digitalisierung |
39 |
|
|
A.1 Bedrohungen durch die Digitalisierung der Industrie |
41 |
|
|
A.1.1 Einleitung |
41 |
|
|
A.1.2 Cybersicherheit in bestehenden Industrieanlagen |
42 |
|
|
A.1.3 Veränderungen durch Industrie 4.0 |
46 |
|
|
A.2 Cybersicherheit als Grundlage für die Digitalisierung der Industrie |
59 |
|
|
A.2.1 Cybersicherheit – ein inhärenter Bestandteil der Digitalisierung |
59 |
|
|
A.2.2 Bedrohungslage |
60 |
|
|
A.2.3 Herausforderungen für Unternehmen |
62 |
|
|
A.2.4 Herausforderung für die Wirtschaft |
67 |
|
|
A.2.5 Cybersicherheit verlangt neue Schutz- und Verteidigungsstrategien und neue Formen der Kooperation |
70 |
|
|
B Regelkonformität mit Normen und Richtlinien |
73 |
|
|
B.1 Normenreihe ISO/IEC 27 000: IT-Sicherheitsverfahren –Informationssicherheits-Managementsysteme |
75 |
|
|
B.1.1 Hintergrund |
75 |
|
|
B.1.2 Gliederung, Inhalte und Abschnitte |
78 |
|
|
B.1.3 Möglicher Anwendungsbereich und Kontext |
83 |
|
|
B.1.4 Umsetzungen mit hohem Anwendernutzen |
85 |
|
|
B.2 Normenreihe IEC 62 443: Industrielle Kommunikationsnetze – IT-Sicherheit für Netzeund Systeme |
89 |
|
|
B.2.1 Hintergrund |
89 |
|
|
B.2.2 Aufbau |
89 |
|
|
B.3 Richtlinienreihe VDI/VDE 2182 : Informationssicherheit in der industriellen Automatisierung |
99 |
|
|
B.3.1 Hintergrund und Anwendungsbereich |
99 |
|
|
B.3.2 Aufbau und inhaltliche Gliederung |
100 |
|
|
B.4 NAMUR-Arbeitsblatt NA 163: IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen |
111 |
|
|
B.4.1 Einführung |
111 |
|
|
B.4.2 Allgemeine Beschreibung der Vorgehensweise |
112 |
|
|
B.4.3 Identifikation des betrachteten Systems |
113 |
|
|
B.4.4 Definition der Schutzziele |
113 |
|
|
B.4.5 Verfahren zur detaillierten Risikoanalyse |
114 |
|
|
B.4.6 Betrachtung möglicher Auswirkungen |
115 |
|
|
B.4.7 Einteilung des betrachteten Systems in Zonen und Übergänge |
115 |
|
|
B.4.8 Detaillierte Risikobetrachtung |
116 |
|
|
B.4.9 Anwendung des Verfahrens |
116 |
|
|
C Fabrik als Anwendungsdomäne /Industrial Control Systems |
119 |
|
|
C.1 Einführung und Grundlagen Cybersicherheit für I ndustrielle Steuerungssysteme (ICS) |
121 |
|
|
C.1.1 Die Fabrik als Anwendungsdomäne |
121 |
|
|
C.1.2 Systemsicherheit für industrielle Steuerungssysteme |
126 |
|
|
C.2 Grundlegende Sicherheitsbedrohungen und Lösungsmöglichkeiten im ICS-Umfeld: Probleme – Lösung – Beispiele |
137 |
|
|
C.2.1 Einleitung |
137 |
|
|
C.2.2 Schwachstellen und veränderte Bedrohungslage |
137 |
|
|
C.2.3 Standards und Richtlinien als Grundlage für erste Orientierungen |
142 |
|
|
C.2.4 Strategien zum Schutz |
143 |
|
|
C.2.5 Bedrohungsszenarien der Maschinen und Anlagen |
153 |
|
|
C.2.6 Sicherheitsmaßnahmen für Maschinen und Anlagen |
153 |
|
|
C.2.7 Sicherheit im und durch den Prozess |
154 |
|
|
C.3 Monitoring der Kommunikation im ICS –Transparenz und Anomalieerkennung |
161 |
|
|
C.3.1 Einleitung: Einbindung des Monitoring in die Gesamtsicherheitsstrategie |
161 |
|
|
C.3.2 Spezifika im industriellen Umfeld |
162 |
|
|
C.3.3 Typen von Anomalien |
165 |
|
|
C.3.4 Kommunikationsmonitoring als Datenquelle für SIEM und Co. |
170 |
|
|
C.4 Cyber Security im Lebenszyklus von automatisierten Sicherheitseinrichtungen |
173 |
|
|
C.4.1 Automatisierte Sicherheitseinrichtungen |
173 |
|
|
C.4.2 Cyberrisiko für automatisierte Sicherheitseinrichtungen |
175 |
|
|
C.4.3 SIS-Cyber-Security-Management |
179 |
|
|
D Mobile und intelligente Komponenten / Smart Devices |
185 |
|
|
D.1 Cybersicherheit für mobile und intelligente Komponenten – Einführung und Grundlagen |
187 |
|
|
D.1.1 Einleitung |
187 |
|
|
D.1.2 Cybersicherheit in Industrie-4.0-Anwendungen |
187 |
|
|
D.1.3 Allgemeine Bedrohungen der Sicherheitsziele in Industrie-4.0-Anwendungen |
191 |
|
|
D.1.4 Spezifische Bedrohungen für mobile und intelligente Komponenten in Industrie-4.0-Anwendungen |
194 |
|
|
D.1.5 Sicherheitsmaßnahmen |
198 |
|
|
D.2 Cyber Security für Industrie-4.0-Komponenten |
209 |
|
|
D.2.1 Gesichert in die digitale und vernetzte Produktioneinsteigen |
209 |
|
|
D.2.2 Kommunikations- und Vertrauensbeziehungen |
209 |
|
|
D.2.3 Sichere Kommunikation als Kernthema |
214 |
|
|
D.3 Wirksamer Schutz von Smart Devices mit Künstlicher Intelligenz (KI) |
221 |
|
|
D.3.1 Einleitung |
221 |
|
|
D.3.2 Verbesserung der Cyberabwehr durch KünstlicheIntelligenz |
221 |
|
|
D.3.3 Künstliche Intelligenz zum Schutz von Smart Devices |
221 |
|
|
D.3.4 Schlussfolgerungen und Ausblick |
229 |
|
|
D.4 Eine Analyse von Angriffen auf Smart Devices und der richtige Umgang mit Sicherheitslücken |
231 |
|
|
D.4.1 Einleitung |
231 |
|
|
D.4.2 Praktische Angriffe auf Smart Devices an ausgewählten Beispielen |
231 |
|
|
D.4.3 Der richtige Umgang mit Sicherheitslücken |
241 |
|
|
E Plattformen mit gehosteten Anwendungen / CloudComputing |
245 |
|
|
E.1 Einführung und Grundlagen der Cloud-Sicherheit |
247 |
|
|
E.1.1 Cloud Computing |
247 |
|
|
E.1.2 Interoperabilität und Datenaustausch |
251 |
|
|
E.1.3 Bedrohungsszenarien |
259 |
|
|
E.1.4 Datenschutz und Compliance |
263 |
|
|
E.1.5 Sicherheitsmaßnahmen und Implementierungen |
272 |
|
|
E.2 Bedrohungsszenarien und Lösungsansätze für Industrie-4.0-Plattformen |
277 |
|
|
E.2.1 Plattformen als Voraussetzung für Industrie 4.0 |
277 |
|
|
E.2.2 Funktionen und Aufgaben einer IoT-Plattform |
278 |
|
|
E.2.3 Risiken und Bedrohungsszenarien |
279 |
|
|
E.2.4 Ganzheitliches Sicherheitskonzept – Security by Design |
282 |
|
|
E.3 Cybersicherheit am Beispiel einer Entwicklungsplattform für industrielle IoT-Anwendungen |
293 |
|
|
E.3.1 Die Schlüssel zur Plattform-Sicherheit |
293 |
|
|
E.3.2 Hohe Sicherheitsstandards von Plattformen |
294 |
|
|
E.3.3 Sichere Entwicklungsumgebung von Anwendungen |
299 |
|
|
E.3.4 Kontinuierliche Überwachung und Reaktion im Betrieb |
310 |
|
|
F Unternehmensorganisation |
315 |
|
|
F.1 Unternehmensorganisation und Informationssicherheit – Einführung und Grundlagen |
317 |
|
|
F.1.1 Einleitung |
317 |
|
|
F.1.2 Der Faktor Mensch in der Informationssicherheit |
318 |
|
|
F.1.3 Organisation der Informationssicherheit |
322 |
|
|
F.1.4 Prozesse in der Informationssicherheit |
327 |
|
|
F.2 Informationssicherheits-Managementsystem(ISMS) zur Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicherheit |
337 |
|
|
F.3 Aufbau eines Identitäts- und Berechtigungsmanagements |
347 |
|
|
F.3.1 Einleitung |
347 |
|
|
F.3.2 Identitätsmanagement |
347 |
|
|
F.3.3 Zugriffskontrolle |
349 |
|
|
F.3.4 Berechtigungssteuerung |
350 |
|
|
F.3.5 Role Based Access Control |
354 |
|
|
F.3.6 Authentifikationsprozesse |
355 |
|
|
F.3.7 Schrittweiser Aufbau eines Identity Access Managements |
363 |
|
|
G Risikomanagement |
373 |
|
|
G.1 Risikomanagement – Einführung und Grundlagen |
375 |
|
|
G.1.1 Einleitung |
375 |
|
|
G.1.2 Grundlegende Begriffe und Definitionen des Risikomanagements |
376 |
|
|
G.1.3 Unternehmerisches Risikomanagement |
378 |
|
|
G.1.4 Normatives Risikomanagement im Kontext der Cyberrisiken |
379 |
|
|
G.1.5 Strategisches Risikomanagement im Kontext der Cyberrisiken |
380 |
|
|
G.1.6 Operatives Risikomanagement von Cyberrisiken |
381 |
|
|
G.2 Integration der operativen Cybertechnologien in das Risikomanagement des Unternehmens |
385 |
|
|
G.2.1 Beschreibung des Geltungsbereichs |
385 |
|
|
G.2.2 Lebenszyklus |
388 |
|
|
G.2.3 Tragende Säulen – mehr als Tools |
394 |
|
|
G.2.4 Ausblick |
398 |
|
|
G.3 Cyberversicherungen als Element eines ganzheitlichen Risikomanagements |
399 |
|
|
G.3.1 Einführung: Sinn und Zweck einer Cyberversicherung |
399 |
|
|
G.3.2 Cyberversicherung |
401 |
|
|
G.3.3 Der Weg zum Abschluss einer Cyberversicherung |
407 |
|
|
G.3.4 Ausblick |
410 |
|
|
Resümee |
413 |
|
|
Management-Statement |
417 |
|
|
Stichwortverzeichnis |
471 |
|