Informationssicherheitsaudits auf Basis ISO/IEC 27001 und anderen Standards

Aufgaben:

• Durchführung von mehreren Informationssichereitsaudits bei Übertragungsnetzbetreibern auf Basis des Anhang A der ISO/IEC 27001 und weiteren Standards und IT/OT Sicherheitsanforderungen wie ISO/IEC 27002, 27019, OPDE (Operational Planning Data environment) sowie unternehmensinterner Vorgaben und Vorgaben des IT-Sicherheitskatalogs gemäß § 11 Abs. 1a EnWG.
• Zum Auditgeltungsbereich gehörten Netzleitsysteme, Energiemarktapplikationen, PDV-Infrastrukturen, Schutz- und Leittechnik, Betriebstelefonie und Rechenzentren.
• Das Standardvorgehen beinhaltete die Dokumentensichtung, Interview-Termine und ggf. Vor-Ort-Begehungen sowie die Berichtserstellung.

IT/OT-Sicherheitsberatung in der Ausschreibe- und Entwurfsphase

Aufgaben:

• Mehrere Übertragungsnetzbetreiber wurden bei der Ausschreibe- und/oder der Entwurfsphase für elektrische Einrichtungen wie zum Beispiel Offshore-Umspannstationen oder STATCOM-Anlagen unterstützt.
• Dazu gehörte die Definition von IT/OT -Sicherheitsanforderungen nach dem Stand der Technik und anerkannter Standards wie dem BDEW/OE Whitepaper.
• Gemäß der Anforderungsgrundlage und den Angeboten bzw. Pflichtenheften wurden die Bieter und ihre angebotenen Lösungen kommentiert und beurteilt. Dabei wurden regelmäßige Interviews mit dem Kunden und den Bietern zur Abstimmung und Klärung von Rückfragen durchgeführt.

OT-Security-Assessments auf Basis von NIST CSF und MITRE ATT&CK®

Aufgaben:

• Auf Basis ausgewählter Funktionen und Subkategorie des NIST Cybersecurity Frameworks und den ICS Mitigations nach MITRE ATT&CK® wurden mehrere Technologiebereiche sogenannten Architecture-, Supply-Chain-Security-Review oder ICS Readiness Assessments bewertet. Im Rahmen dieser Untersuchungen wurden mehrere Workshop-Termine organisiert, Dokumente (unternehmensinterne Vorgaben und auch alle relevante technische Dokumentation) gesichtet, Fragenkataloge entwickelt und ggf. unter Hinzuziehung externer Zulieferer und Dienstleister des Kunden Interviews durchgeführt.
• Bei den Architecture-Reviews handelte es sich um IT/OT-Sicherheitsüberprüfungen, die überwiegend auf NIST-Subkategorie der Funktionen ?Protect? und ?Detect? basierten. Zu den überprüften Themen gehörte zum Beispiel der Einsatz sicherer Authentifizierungsverfahren, Härtungsmaßnahmen, Update-, Patch- und Schwachstellenmanagement.
• In den Supply-Chain-Security-Reviews wurden Infrastrukturen und Betriebsprozesse auf die Berücksichtigung von Sicherheitsanforderungen in der Lieferkette untersucht.
• Hierbei wurden unternehmensinterne Vorgaben, Beschaffungsprozesse, Wartungsverträge sowie relevante Prozesse mit Bezug zur Dienstleistungserbringung durch Befragung der Zulieferer untersucht.
• Im Rahmen der ICS-Readiness-Assessments wurden auf Basis der NIST-CSF-Funktionen ?Respond? und ?Recovery? die Fähigkeiten zur Wiederherstellung von Systemen und Prozessen sowie zur Sicherheitsvorfallsreaktion des Kunden und seine Zulieferer untersucht.
• Abschließend wurden die Ergebnisse dokumentiert, nach definierten Kriterien bewertet und Maßnahmenempfehlungen abgeleitet. Das Gesamtergebnis wurde in einem Abschlussbericht dokumentiert.

Sonstige Beratungsprojekte

Aufgaben:

• Weitere Projekte, in denen ich mitgewirkt habe, waren die Erstellung eines Zonenkonzepts für den OT-Bereich eines Netzbetreibers, eigens entwickelte RansomwareReadiness-Assessments, Bewertungen von auf OT spezialisierte IDS-Lösungen, fachliche Beratung bei der Entwicklung eines IT/OT-Sicherheitsstandards der Energiebranche, BSI-IT-Grundschutz-basierte Audits (z. B. Webserver, Verzeichnisdienste, Firewalls), eine OT-Incident-Response-Übung, Rechenzentrumsprüfung (auf Basis der BSIIT-GS Bausteine INF.2 und INF.5) sowie der Bewertung der Architektur und des Konzepts eines SIEM