Kennen Sie Ihre Risiken und können diese richtig einschätzen?Datum: 21.06.2024
Autor: Emmanuel, Nowakowski-Gasser, Mag. MSc. PhD, Senior Consultant
Im ersten Teil dieser Blogpost-Serie Kennen Sie Ihre Anlagen? wurde die Bedeutung der Bedrohungsmodellierung für Produktionsunternehmen sowie die CERTAINITY-Modellierungstechnik und das zugrundeliegende Metamodell vorgestellt. Diese Modellierungstechnik ermöglicht eine umfassende Modellierung und Bewertung von Bedrohungen und Risiken anhand von drei Abstraktionsebenen.
Dieser Blogpost behandelt die CERTAINITY-Methode der Bedrohungsmodellierung für Produktionsunternehmen, basierend auf dem Datenflussmodell der Modellierungstechnik.
Im Folgenden wird die empfohlene Methode beschrieben und gezeigt, wie diese ermöglicht Bedrohungen bereits in der Design-Phase zu erkennen und Risiken zu bewerten, sowie zu mitigieren. Dies hilft Produktionsunternehmen, sicherere Systeme zu entwickeln und die Konformität mit dem European Cyber Resilience Act und den IEC 62443-Standards zu erreichen.
Modellierung von Bedrohungen und Bewertung der Risiken
Für die Bedrohungsmodellierung wird die Fehlermöglichkeits- und Einflussanalyse (FMEA) Methode auf die einzelnen Elemente des Datenflussmodells angewandt.
Die FMEA ist eine Methode zur Analyse von Fehlerrisiken, um Fehler durch systematische Risikoanalyse in komplexen Systemen oder Prozessen zu vermeiden. Sie hilft Produktionsunternehmen, Sicherheits- oder Zuverlässigkeitsmängel in der Design-Phase zu erkennen und Präventiv- oder Korrekturmaßnahmen zu entwerfen.
Für die Bedrohungsmodellierung mit FMEA wird die MITRE ATT&CK Matrix für ICS verwendet, um potenzielle Angriffstechniken auf Modellelemente zu analysieren. Die Matrix bietet eine Wissensbasis über Taktiken und Techniken bekannter Angreifer im Industriesektor, basierend auf tatsächlichen Beobachtungen. Sie strukturiert die Phasen des Angriffszyklus und genutzte Plattformen in einer Matrix, mit Taktiken als Spalten und Techniken als Zeilen. Jede Technik enthält Beispiele, Ziele, Mitigationstechniken und Angriffserkennungsmethoden.
Abbildung 1 zeigt die Phasen der empfohlenen Methode zur Bedrohungsmodellierung für komplexe Systeme. Die Phasen werden anschließend detailliert beschrieben.
Abbildung 1: Phasen der Bedrohungsmodellierung
PHASE 1:
In der ersten Phase wird das System beschrieben und modelliert, dabei kann die CERTAINITY-Modellierungstechnik genutzt werden (siehe https://certainity.com/posts/post18/). Das Metamodell muss an das spezifische System angepasst werden. Das Datenflussdiagramm hilft, Systemkomponenten und deren Verbindungen auf potenzielle Bedrohungen zu analysieren und die Auswirkungen dieser Bedrohungen zu bewerten. Phase 2 behandelt die Identifikation der Bedrohungen und Phase 3 deren Bewertung.
PHASE 2:
In Phase 2 werden potenzielle Fehler, Ursachen und Folgen analysiert. Zuerst werden mögliche Fehler im System anhand des Datenflussdiagramms, der MITRE ATT&CK Matrix für ICS und früherer Vorfälle ermittelt. Relevante Angriffstaktiken aus der MITRE ATT&CK Matrix werden evaluiert und zusammen mit den entsprechenden Techniken in einer Tabelle festgehalten. Erfahrungen aus früheren Vorfällen werden ebenfalls berücksichtigt. Danach werden die potenziellen Auswirkungen der Fehler auf den Nutzer und die betroffenen Modellelemente ergänzt, ebenso wie Erkennungsmöglichkeiten der Schwachstellenausnutzung. Sobald die Tabelle vollständig ist, beginnt die nächste Phase.
PHASE 3:
In der dritten Phase werden potenzielle Bedrohungen bewertet und priorisiert. Dabei sind die Eintrittswahrscheinlichkeit (W), der Schweregrad (S) der Auswirkung und die Entdeckungswahrscheinlichkeit (E) relevant. Der Risikowert (R) wird durch Multiplikation von W, S und E ermittelt. Jedes Unternehmen kann eine eigene Bewertungsskala verwenden. Zur Veranschaulichung wird hier für jedes Kriterium eine einfache Skala zwischen 1 und 4 vorgeschlagen.
Kriterium W gibt die Eintrittswahrscheinlichkeit der potenziellen
Bedrohung an. Die Bewertungsskala basiert auf den Security Levels (SL)
der IEC 62443-3-3, die die notwendigen Fähigkeiten eines Angreifers
widerspiegeln. Die Eintrittswahrscheinlichkeit sinkt mit zunehmender
Komplexität der Schwachstelle.
In Tabelle 1 werden Angreifer-Typen beschrieben. Die Eintrittswahrscheinlichkeit hängt von den Mitteln, Ressourcen, Fähigkeiten und der Motivation des Angreifers ab. Beim Angreifer-Typ „unvorsichtiger Nutzer" kann zum Beispiel die Bedrohung schon durch eine unvorsichtige Handlung herbeigeführt werden.
Tabelle 1: Fähigkeiten-Profil von Angreifern
| Angreifer-Typ | Mittel | Ressourcen | Fähigkeiten | Motivation |
|---|---|---|---|---|
| State-sponsored | Anspruchsvoll | Hoch | ICS-spezifisch | Hoch |
| Hacker | Anspruchsvoll | Mittel | ICS-spezifisch | Mittel |
| Gelegenheitstäter | Einfach | Gering | Generisch | Gering |
| unvorsichtiger Nutzer | Einfach | Gering | Generisch | Gering |
In Tabelle 2 wird die Eintrittswahrscheinlichkeit basierend auf den
Angreifer-Typen aus Tabelle 1 und den Security Levels der IEC 62443
zugeordnet. Die Eintrittswahrscheinlichkeit steigt, je einfacher die
Schwachstelle ausnutzbar ist.
Tabelle 2: Mapping der Angreifer-Typen zu Eintrittswahrscheinlichkeiten
und IEC 62443 Security Level
| Angreifer-Typ | Eintrittswahrscheinlichkeit | Security Level |
|---|---|---|
| State-sponsored | 1 (sehr gering) | SL 4 |
| Hacker | 2 (gering) | SL 3 |
| Gelegenheitstäter | 3 (mittel) | SL 2 |
| unvorsichtiger Nutzer | 4 (hoch) | SL 1 |
Kriterium S bewertet den Schweregrad der Auswirkung einer potenziellen Bedrohung auf einer Skala von 1 bis 4. Die Schweregrade sind in Tabelle 3 beschrieben.
Tabelle 3: Beschreibung der Schweregrade
| Schweregrad | Bedeutung |
|---|---|
| 1 (sehr gering) | Auswirkungen auf das Geschäft sind vernachlässigbar, nur vereinzelte Prozesse betroffen |
| 2 (gering) | Begrenzte Auswirkungen auf das Geschäft, nur wenige Prozesse sind betroffen |
| 3 (mittel) | Schwerwiegende Auswirkungen auf das Geschäft, zudem sind viele auch nicht kritische Prozesse betroffen |
| 4 (hoch) | Schwerwiegende Auswirkungen auf das Geschäft, die meisten Prozesse sind betroffen |
Das letzte Kriterium für die Bedrohungsbewertung ist Kriterium E, welches die Entdeckungswahrscheinlichkeit misst, also die Fähigkeit zur Erkennung oder zur Mitigation der Schwachstellenausnutzung. Die Bewertung erfolgt auf einer Skala von 1 bis 4, wobei 1 für sehr leicht und 4 für schwierig steht.
Als letzter Schritt werden die Werte für Eintrittswahrscheinlichkeit, Schweregrad und Entdeckungswahrscheinlichkeit miteinander multipliziert, um den Risikowert der Bedrohung zu ermitteln. Tabelle 4 zeigt mögliche Konsequenzen basierend auf dem errechneten Risikowert, wobei die Werte für X und Y je nach Systemkritikalität angepasst werden müssen. Die Bedrohungen werden nach ihrem Risikowert priorisiert. Nach Bewertung und Priorisierung müssen die identifizierten Bedrohungen adäquat behandelt werden, was in Phase 4 erfolgt.
Tabelle 4: Darstellung der Konsequenzen in Bezug auf das jeweilige errechnete Risiko (angelehnt an Organisationshandbuch)
| Risikowert | Fehlerrisiko | Handlungsbedarf | Maßnahmen |
|---|---|---|---|
| R > Y | Hoch | Dringender Handlungsbedarf | Müssen formuliert und umgesetzt werden |
| X ≤ R ≤ Y | Mittel | Handlungsbedarf | Sollten formuliert und umgesetzt werden |
| 2 ≤ R ≤ X | Akzeptabel | Kein zwingender Handlungsbedarf | Können formuliert und umgesetzt werden |
| R = 1 | Keines | Keiner | Keine |
PHASE 4:
In Phase 4 werden Sicherheitsmaßnahmen definiert, um die identifizierten
Risikoszenarien zu mitigieren. Diese Maßnahmen orientieren sich am
Risikowert und den Angreifer-Typen. Der Risikowert bestimmt die
Behandlungsdringlichkeit und unterstützt die Priorisierung. Die
Angreifer-Typen helfen dabei, den passenden Security Level gemäß IEC 62443 festzulegen und angemessene Sicherheitsmaßnahmen aus den Standards
IEC 62443-3-3 für Systemsicherheit bzw. IEC 62443-4-2 für sichere
Produktentwicklung abzuleiten. Sicherheitsmaßnahmen müssen konform zum
European Cyber Resilience Act und den geltenden regulatorischen
Anforderungen des Produktionsunternehmens sein. Andere Standards sind
ebenfalls nutzbar, solange sie die Einhaltung der branchenspezifischen
Gesetze und Vorgaben sicherstellen.
Nach Festlegung der Sicherheitsmaßnahmen wird das Risiko nach deren Implementierung bewertet, um das Restrisiko zu ermitteln. Dieses wird durch Subtraktion des Risikos nach der Implementierung von dem ursprünglichen Risiko bestimmt. Sobald ein akzeptables Restrisiko erreicht ist, werden die Maßnahmen in der Tabelle ergänzt.
Die Bedrohungsmodellierung ergibt ein lebendes Dokument, das mindestens jährlich überprüft und bei sicherheitsrelevanten Systemänderungen aktualisiert werden muss. Sie stellt sicher, dass viele potenzielle Bedrohungen bereits in der Design-Phase erkannt und behandelt werden, und ist somit entscheidend für einen sicheren Produktentwicklungslebenszyklus.
Details zur CERTAINITY-Methode der Bedrohungsmodellierung für Produktionsunternehmen finden Sie im nächsten und letzten Blogpost dieser Serie. Dort werden die vier Phasen der Methodik Schritt für Schritt anhand eines Beispiels erläutert.
CERTAINITY unterstützt Sie gerne bei der Modellierung Ihrer Industrie 4.0, OT- und IT-Landschaft sowie bei der Identifikation, Bewertung und Priorisierung Ihrer Risiken.
Vereinbaren Sie einen individuellen Termin, um Ihre Fragen und Zielsetzungen mit den Experten von CERTAINITY zu besprechen. Gerne beraten wir Sie bei der Wahl der individuellen Parameter, um das optimale Vorgehen zur Erreichung Ihrer Ziele zu finden.
Kontaktieren sie uns per E-Mail unter: sales@certainity.com