Untersuchung von IT-Sicherheitsmaßnahmen zur Sicherstellung der IT-Sicherheit in der Lieferkette

Abstract

Der vorliegende Bericht umfasst Ergebnisse, die im Rahmen des vom Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz geförderten Forschungsvorhabens „Untersuchung von IT-Sicherheitsmaßnahmen zur Sicherstellung der IT-Sicherheit in der Lieferkette“ (Förderkennzeichen 4721R01630) erarbeitet wurden. Die Zielsetzung dieses Vorhabens lag dabei in Analyse von bisher beobachteten IT-Angriffen im Zusammenhang mit der Lieferkette und der Untersuchung des entsprechenden Angriffspotentials auf kerntechnische Anlagen und Einrichtungen. Dazu wurden diverse IT-Sicherheitsvorfälle im Zusammenhang mit der Lieferkette betrachtet und daraus Gemeinsamkeiten, unterschiedliche Arten von Angriffsmöglichkeiten und sich aus den betrachteten IT-Sicherheitsvorfällen ergebende generische Aspekte abgeleitet. Darüber hinaus wurden sowohl nationale wie auch internationale Regelwerke hinsichtlich der Vorgaben zur Sicherstellung der IT-Sicherheit in der Lieferkette untersucht und mit der deutschen Vorgehensweise verglichen. Zuletzt wurden generische Angriffsmuster im Zusammenhang mit der Lieferkette definiert, für die jeweils die Eignung und Wirksamkeit der im Vorhaben betrachteten Sicherungsmaßnahmen und die entsprechende Abdeckung im betrachteten Regelwerk untersucht wurde. Datei-Upload durch TIB This report contains results of a research project funded by the German Federal Ministry for the Environment, Nature Conservation, Nuclear Safety and Consumer Protection (Promotion code 4719R01373). The goal of this project was to analyze so far observed cybersecurity incidents related to the supply chain and investigate the related potential for attacks on nuclear facilities. In this context, several cybersecurity incidents related to the supply chain were considered extracting commonalities, different attack possibilities and resulting generic aspects. Furthermore, national and international regulations were investigated regarding requirements to ensure cybersecurity of the supply chain and compared to the German approach. Finally, generic attack patterns related to the supply chain were defined. In the context of each of these generic attack patterns, the appropriateness and effectiveness of security measures considered in this research project were evaluated as well as the coverage of these measures in the analyzed regulations.