29.04.2024, 14:30 Uhr

Universität Wien
Besprechungsraum 4.34
Währinger Str. 29
1090 Wien

Titel: „A Security Management Framework for Manufacturing based
on NIST CSF“

Kurzfassung:
In dieser Masterarbeit wird ein umfassendes Cybersicherheits-Framework vorgestellt,
das Fertigungsunternehmen bei der Einrichtung, Aufrechterhaltung und kontinuierlichen
Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) unterstützt. Es
bietet Organisationen einen strategischen Fahrplan zur Minderung von Cyberrisiken, zum
Schutz kritischer Vermögenswerte und zur Stärkung ihrer allgemeinen Cybersicherheit.
Das Design des Frameworks basiert auf dem NIST Cybersecurity Framework [1].Es umfasst
ein Prozessmodell, das Anleitungen für die Umsetzung der einzelnen Funktionen
des NIST CSF bietet, Best Practices und Sicherheitsmaßnahmen auf der Grundlage
von Empfehlungen führender Organisationen im Bereich Cybersicherheit empfiehlt und
Templates sowie Modellierungsmethoden bereitstellt. Ein wesentlicher Bestandteil des
Frameworks ist der Risikomanagementprozess. Um Unternehmen mit begrenzten Ressourcen
die Nutzung des Frameworks zu ermöglichen, wurde der Risikomanagementansatz
OCTAVE-S [2] gewählt. Während es sich um einen etablierten und weit verbreiteten
Standard handelt, ist er auf eine einfache und ressourceneffiziente Umsetzung zugeschnitten.
Basierend auf den Designüberlegungen wurde ein Framework-Prototyp erstellt, der
die einzelnen Komponenten des Designs kombiniert und die Einführung des Frameworks
mit ausgewählten Cybersicherheits-Tools unterstützt. Das integrierte Tool-Set unterstützt
den Anwendungsprozess des Frameworks in den unterschiedlichen Phasen. Das
Cybersecurity Evaluation Tool (CSET) [3] wird verwendet, um die aktuellen Cybersecurity-
Maßnahmen der Organisationen mit dem NIST CSF zu bewerten und die Grundlage für
die Durchführung des Frameworks zu bilden. In der "Detect" Phase des Frameworks wird
die Sicherheitsplattform Wazuh [4] in Verbindung mit MISP [5] verwendet, um Sicherheitsereignisse,
Schwachstellen von Systemen und Konfigurationsfehler zu identifizieren.
Ausgewählte Daten aus den verschiedenen Tools werden in einem gemeinsamen Power BI
Bericht dargestellt, um einen schnellen Überblick über den aktuellen Sicherheitsstatus
im Unternehmen zu bekommen. Der Prototyp wird anschließend evaluiert, indem das
Framework im Kontext des fiktiven Unternehmens RECPLAST GmbH angewendet wird.
Das Beispielunternehmen wurde vom BSI für die Erstellung von Referenzdokumenten
zur Umsetzung von IT-Grundschutz eingeführt [6]. Die Ergebnisse dieser Evaluierung
leisten einen Beitrag im Bereich der Cybersicherheit und bieten praktische Erkenntnisse
für Unternehmen zur Verbesserung ihrer Cyber-Resilienz.