Projekt CONTAIN - Effiziente Reaktion auf IT-Sicherheitsvorfälle in transnationalen Lieferketten; Teilvorhaben: Effiziente Reaktion auf IT-Sicherheitsvorfälle durch Standardisierung und Best Practices

Abstract

Normen und Standards zur Informationssicherheit und zum Umgang mit IT-Sicherheitsvorfällen sind national und international etabliert (u.a. ISMS, Industrial-Security und Incident-Response). Sie definieren Anforderungen an Organisationen, lassen jedoch häufig offen, wie diese Anforderungen konkret umzusetzen sind. Insbesondere kleine und mittlere Unternehmen (KMU) stehen vor der Herausforderung, normative Vorgaben auf ihre organisatorischen und personellen Rahmenbedingungen zu übertragen, insbesondere im Kontext komplexer Lieferketten. Vor diesem Hintergrund zielte das Teilvorhaben des VDE im Verbundprojekt CONTAIN darauf ab, bestehende Normen und Standards systematisch zu analysieren, einzuordnen und im Hinblick auf die Vorbereitung auf und die Bewältigung von IT-Sicherheitsvorfällen praxisnah aufzubereiten. Ziel war es, einen Beitrag zur Schließung der Lücke zwischen normativen Anforderungen und deren praktischer Umsetzung zu leisten und insbesondere KMU bei der Orientierung zu unterstützen. Die Arbeiten umfassten eine strukturierte Analyse relevanter Normen und Standards, den Abgleich mit praktischen Erfahrungen aus dem CERT@VDE-Netzwerk sowie Interviews mit Praxispartnern. Die gewonnenen Erkenntnisse wurden konsolidiert, fachlich eingeordnet und in enger Abstimmung mit dem Projektkonsortium in ein webbasiertes Rahmenwerk integriert. Ergänzend wurden Anforderungen an die Informationssicherheit abgeleitet und in Form eines strukturierten Fragenkatalogs aufbereitet. Als zentrales Ergebnis entstand das CONTAIN-Rahmenwerk als strukturierte Wissensbasis. Darauf aufbauend wurde mit CONTAINplus ein Fragenkatalog entwickelt, der Anforderungen an die Informationssicherheit im Kontext der Vorbereitung und Bewältigung von IT-Sicherheitsvorfällen systematisch abbildet. Die Ergebnisse sind technologie- und herstellerneutral gestaltet und unterstützen insbesondere KMU bei der Selbsteinschätzung ihres Umsetzungsstands. Die Ergebnisse zeigen, dass eine strukturierte, normennahe Aufbereitung einen Beitrag zur besseren Verständlichkeit und Anwendbarkeit bestehender Anforderungen leisten kann. Das CONTAIN-Rahmenwerk und CONTAINplus können als Orientierungs- und Unterstützungsinstrument in Unternehmen, Netzwerken sowie in Normungs- und Standardisierungsaktivitäten genutzt und bei Bedarf an zukünftige regulatorische oder normative Entwicklungen angepasst werden.