:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition ISA-99 Was ist ISA-99?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
ISA-99 ist ein Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). Er wurde 2002 von der International Society of Automation (ISA) entwickelt und ging 2010 in der internationalen Normenreihe IEC 62443 auf. Die Normenreihe verfolgt einen ganzheitlichen Ansatz mit technischen und prozessualen Aspekten der Cybersicherheit. Sie richtet sich an Betreiber, Integratoren und Hersteller und soll helfen, potenzielle Schwachstellen zu identifizieren und zu beheben.
ISA-99 ist die Bezeichnung eines von der International Society of Automation (ISA) entwickelten Cybersecurity-Standards für industrielle Automatisierungs- und Steuerungssysteme (IACS). In ISA-99 fand das Anfang der 1990er-Jahre an der US-amerikanischen Purdue Universität entwickelte Purdue Reference Model Berücksichtigung. Mithilfe des Modells lassen sich Industrie- und Automationsnetze strukturieren. Das Referenzmodell definiert hierfür fünf verschiedene Bereiche (Level).
Im Jahr 2010 wurde ISA-99 in die Normenreihe IEC 62443 überführt. Mithilfe der internationalen Normenreihe sollen sich industrielle Automatisierungs- und Steuerungssysteme sicher implementieren und betreiben lassen. IEC 62443 verfolgt einen ganzheitlichen Ansatz und berücksichtigt sowohl technische als auch prozessualen Aspekte der Cybersicherheit. Der Sicherheitsstandard richtet sich an Betreiber, Integratoren und Hersteller. Er adressiert die spezifischen Belange der IT-Sicherheit industrieller Netze und Systeme. Potenzielle Schwachstellen sollen sich leichter identifizieren und beheben lassen.
Ziele von ISA-99 und der Normenreihe IEC 62443
ISA-99 wurde speziell für die spezifischen Belange der IT-Sicherheit industrieller Automatisierungs- und Steuerungssysteme entwickelt. Die Normenreihe IEC 62443 deckt alle Industriebereiche und kritische Infrastrukturen ab (KRITIS). Ziel ist es, industrielle Anlagen und kritische Infrastrukturen sicher zu implementieren und zu betreiben, um Produktionsausfälle oder die Kompromittierung der Systeme zu verhindern. Unternehmen sollen in die Lage versetzt werden, potenzielle Schwachstellen in der Sicherheit zu identifizieren und zu beheben. Alle Bestandteile inklusive Hard- und Software für einen sicheren und hochverfügbaren Betrieb automatisierter Industrieanlagen werden beschrieben.
Die vier Abschnitte der Normenreihe IEC 62443
Die Normenreihe IEC 62443 ist in vier Abschnitte unterteilt. Jeder Abschnitt enthält mehrere Dokumente. Die vier Abschnitte sind:
- General: grundsätzliche Begriffe, allgemeine Konzepte und Methoden
- Policies and Procedures: Leitlinien und Leitfäden zur Umsetzung organisatorischer Maßnahmen und zum Management der IT-Sicherheit industrieller Systeme
- System: Vorgaben für Sicherheitsfunktionen, technische Aspekte, Sicherheitslevel und Sicherheitsanforderungen.
- Components and Requirements: Anforderungen an Entwicklungsprozesse sicherer Komponenten industrieller Automatisierungs- und Steuerungssysteme
Die Konzepte Defense-in-Depth und Zones & Conduits
ISA-99 beschreibt unter anderem die beiden Konzepte Defense-in-Depth und Zones & Conduits. Defense-in-Depth lässt sich mit "Verteidigung in der Tiefe" ins Deutsche übersetzen. Es handelt sich um ein mehrschichtiges Sicherheitsmodell gegen Cyberangriffe. Sicherheitsvorkehrungen sind über das gesamte System verteilt installiert. Angreifer müssen mehrere Sicherheitsbarrieren überwinden, um erfolgreich zu sein.
Bei Zones & Conduits (Zonen und Verbindungen) handelt es sich um ein Konzept, mit dem sich unterschiedlicher Schutzbedarf verschiedener Komponenten realisieren lässt. Das Konzept definiert Sicherheitszonen als Gruppierungen von logischen oder physischen Komponenten mit gleichem Schutzbedarf. Security Level (SL) legen die Sicherheitsanforderungen der Sicherheitszonen fest. Sicherheitslevel sind Security Level 0 (keine besondere Anforderung oder kein besonderer Schutz), Security Level 1 (Schutz vor unbeabsichtigten Angriffen oder zufälligem Missbrauch), Security Level 2 (Schutz vor vorsätzlichen Angriffen mit einfachen Mitteln, geringem Aufwand, allgemeinen Fähigkeiten und niedriger Motivation), Security Level 3: (Schutz vor vorsätzlichen Angriffen mit fortgeschrittenen Mitteln, moderatem Aufwand, spezifischen Fähigkeiten und mittlerer Motivation), Security Level 4 (Schutz vor vorsätzlichen Angriffen mit anspruchsvollen Mitteln, erheblichem Aufwand, spezifischen Fähigkeiten und hoher Motivation). Der Informationsaustausch zwischen Sicherheitszonen erfolgt über definierte Conduits (Kommunikationsverbindungen). Die Conduits sorgen für die Absicherung der Kommunikation und lassen keinen Informationsfluss außerhalb zu.
(ID:48983131)
:quality(80)/p7i.vogel.de/wcms/54/d8/54d8a03d25be5f008f692191b2cac84a/0110646636.jpeg "IEC 62443 ist ein Cybersicherheitsstandard für industrielle Automatisierungs- und Steuerungssysteme. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/be/c0/bec0d5df7f45b71886ff68e3edbfaed7/0110646623.jpeg "IACS (Industrial Automation and Control Systems) sind industrielle Steuerungssysteme zur Automatisierung und Überwachung industrieller Produktionsanlagen und ihrer Prozesse. (Bild: gemeinfrei)")