Leitfaden zur KAS-51 Anlagensicherheit

NQ - Basismaßnahmen KAS-51

(Auszug aus dem Leitfaden der Kommission für Anlagensicherheit.)

Festlegung von Verantwortlichkeiten

  • Verantwortlichkeit für die Maßnahmen zum Schutz vor Eingriffen Unbefugter muss eindeutig zugewiesen sein.
  • Effektive Maßnahmen zum Schutz vor Eingriffen Unbefugter festlegen und dokumentieren.
  • Regelmäßige Überprüfung der Maßnahmen.
  • Vertraulichkeit bezüglich der getroffenen Schutzmaßnahmen sicherstellen.

Zugangs- und Zutrittsmanagement und -überwachung

  • Physischer Zugang (zu Anlagen, Gefahrstoffen, Komponenten, Steuerungen, Computern) und der Zutritt auf das Gelände sind geeignet zu begrenzen.
  • Geeignete Dokumentation des Zutritts zu sensiblen Bereichen.
  • Schlüsselmanagement („Hierarchiestufen“ für Schutzbereiche und Zugangsberechtigungen) festlegen und Schlüssel regelmäßig kontrollieren.
  • Bei Personal- und Funktionswechseln Vergabe der Berechtigungen überprüfen.
  • Überwachung von Verboten und Geboten sicherstellen.

Zugriffsmanagement auf Prozesssteuerung / Sicherheitssteuerung

Firewall
  • IT-/OT-Systeme (Operational Technology Systems) sind in geeigneter Form zu trennen (Segmentieren).
  • Voreingestellte Passwörter (Default) müssen geändert werden und Maßnahmen gegen Missbrauch festgelegt werden (siehe Quelle (3)).
  • Sicherheitsrelevante Veränderungen an der Anlagensteuerung über „Vier-Augen-Prinzip“ (unabhängige Prüfinstanz) absichern.
  • Für besonders relevante Eingriffe: Absicherung durch technische Maßnahmen (z. B. Schlüsselschalter mit entsprechender Berechtigung)
  • Prozesssteuerung/Sicherheitssteuerung sind vor dem Einsatz auf Schadsoftware zu überprüfen.
  • Es ist sicherzustellen, dass externe Speichermedien und
    Hardwarekomponenten (z. B. Laptop des Servicetechnikers) ausreichend vor der Infektion mit Schadsoftware geschützt sind.

Manipulationserkennung und –schutz

  • Die Anlagen selbst sind so zu sichern, dass ein Störfall ohne interne Kenntnisse und/oder technische Hilfsmittel durch Unbefugte nicht ausgelöst werden kann.
  • Frühzeitige Erkennung bzw. Verhinderung von Manipulationen an Systemen (z.B. Maßnahmen zum Schutz vor bzw. zur Erkennung von Schadsoftware, Maßnahmen gegen Fehlbedienung)
  • Dies gilt auch für Maßnahmen zum physischen Schutz (Integritätsüberwachung der Zäune und Schlösser, Zutrittsschutz, ggf. Kameraüberwachung)
Keylock

Regelungen für Fremdpersonal und fremdvergebene Dienstleistungen

  • Regelungen zum Schutz vor Eingriffen Unbefugter in die generelle Unterweisung und Einweisung zu den betrieblichen Gefahrenquellen einbinden.
  • Überwachung der fremdvergebenen Arbeiten in geeignetem Umfang durch unabhängiges oder eigenes Personal.
  • Vertragliche Regelung mit Dienstleistern zur Integrität der Daten sowie zur Vertraulichkeit der Arbeitsergebnisse und der übergebenen Dokumentation treffen.

Sensibilisierung/Schulung eigener Mitarbeiter

  • Zielgruppenorientiertes und risikobasiertes Schulungskonzept gegen Eingriffe Unbefugter und zur IT-Sicherheit umsetzen.
  • Motivation zur Meldung von Abweichungen bzgl. des physischen Schutzes und der IT-Sicherheit fördern. Die Meldung sollte über ein betriebliches Meldesystem sichergestellt werden.

Reaktion auf neue Schwachstellen und IT-Bedrohungen

  • Es sind grundlegende Maßnahmen zu treffen, um auf kritische Schwachstellen und IT-Bedrohungen reagieren zu können, z. B. durch das Installieren von sicherheitsrelevanten Aktualisierungen (z. B. Fehlerbehebungen). Um die Wirksamkeit der getroffenen Maßnahmen dauerhaft sicherzustellen, sollten diese auf gegenseitige Wechselwirkung und mögliche Beeinflussung überprüft werden.

Quelle: Auszug aus dem Leitfaden Maßnahmen gegen Eingriffe Unbefugter – Kommission für Anlagensicherheit (PDF-Link)

Wir beraten und unterstützen Sie bei der Umsetzung der neuen Anforderungen.

Biogasanlagen Kommentare deaktiviert für Basismaßnahmen KAS-51


© 2024: NQ-Anlagentechnik GmbH, All Rights Reserved