Risiko-Analyse für IT-Systeme

Bedrohungen für IT-Security werden im Produktionsumfeld längst nicht mehr als rein hypothetisches Risiko wahrgenommen. Jetzt gilt es die komplexe Risikolandschaft im Unternehmen zu überblicken, um gezielte Maßnahmen zur Verbesserung der Sicherheit treffen zu können. Dazu bietet sich auch der Blick auf etablierte Verfahren an, die in der funktionalen Sicherheit zum Einsatz kommen.

Bild: Anapur

Funktionale Sicherheit ist seit vielen Jahren ein Thema in der Automatisierungsbranche. In der vergleichsweise jungen Disziplin ‚IT-Sicherheit‘ befinden sich viele Unternehmen noch in der ‚Findungsphase‘. Für beide Themenbereiche wurden und werden Standards entwickelt. Nach Lord Kelvins Motto „was man nicht messen kann, kann man nicht verbessern“, versuchen Betriebe Risiko und Sicherheit zu quantifizieren: Security Integrity Level (SIL) gemäß IEC 61508 und Security Assurance Level (SAL) nach IEC 62443 liefern die dazu nötigen Maßstäbe. Die gewollte Namensgleichheit zwischen SIL und SAL legt die Gegenüberstellung der beiden Konzepte nahe. Dabei wird deutlich, dass die Konzepte sich ergänzen und IT-Security und Funktionale Sicherheit voneinander lernen können.

Risiko und Sicherheit – Safety und Security

Safety und Security haben ein gemeinsames Ziel: Maschinen, Anlagen, Prozesse und technische Infrastruktur sollen mit Hilfe von Automatisierungstechnik zuverlässig und sicher betrieben werden. Mit funktionaler Sicherheit wird versucht, Risiken für Mensch und Umwelt, welche zum Beispiel durch Maschinen oder verfahrenstechnische Anlagen entstehen, mit Mitteln der Automatisierungstechnik wie Sensorik, Aktorik oder Logik zu vermindern. IT-Security im Automationsumfeld, die sogenannte ‚Industrial IT-Security‘ adressiert Maßnahmen, die sich gegen Bedrohungen aus der Umwelt auf ein Automatisierungssystem richten sowie die Auswirkungen von dysfunktionalen Systemen.

Dazu zählen sowohl gezielte Angriffe etwa durch Schadsoftware als auch unbeabsichtigte Eingriffe. Nach IEC 61508 wird Sicherheit als die Abwesenheit von nicht tolerierbarem Risiko definiert. Die Höhe des Risikos wird durch zwei Parameter bestimmt: Risiko = E (D) x P (D). E (D) steht bei dieser Gleichung für das Schadenspotenzial (Extend of Damage) und P (D) für die Eintrittswahrscheinlichkeit oder ‚Probability of Damage‘. Der Umgang mit Risiko umfasst im Rahmen des Risiko-Management grob drei Schritte, die zyklisch durchlaufen werden:

Anzeige

KI in Fertigungsbranche vorn

Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen

1. Die Risikoanalyse, bei der das Risikopotenzial ermittelt wird: Wo lauert die Gefahr, Wie groß ist die Gefahr?
2. Planung und Durchführung von Sicherheitsmaßnahmen zur Risikoreduzierung
3. Nachweis der Risikoreduzierung nach SIL, Performance Level-Berechnung sowie SAL-Nachweis

Die Bewertung von Risiken wird in der aktuell etablierten Praxis durch interdisziplinäre Teams in Form von moderierten Sitzungen vorgenommen. In der Funktionalen Sicherheit wird die erforderliche Risikoverminderung oder ‚SIL-Level‘ häufig mit dem Risikograph ermittelt. Der Nachweis über das tatsächliche Erreichen des angestrebten SIL-Levels wird rechnerisch geführt. Der Probability of Failure-on-Demand-Wert (PFD) ermöglicht dabei eine Aussage über die Qualität der Sicherheitseinrichtung beziehungsweise das Maß der Risiko-Reduzierung.

Security Assurance Level als Maßeinheit für Sicherheit

Während sich der SIL in der Automatisierung etabliert und weltweit Bekanntheit erlangt hat, befindet sich das SAL-Konzept noch in der Entwicklungsphase. Aktuell erarbeiten mit ISA und IEC internationale Normengremien an einer Norm für IT-Security: Durch die IEC 62443 soll SAL als ‚Maßeinheit‘ für Security eingeführt werden. Dazu wird der SAL analog zum SIL als vierstufiger Gradmesser für die Security angegeben, SAL 1 entspricht der niedrigsten Sicherheitsstufe.

Als organisatorischen Rahmen fordert der Normen-Entwurf die Einrichtung eines Cyber-Security-Management Systems. Es orientiert sich am ‚Plan-Do-Check-Act-Prinzip‘ (PDCA) und erstreckt sich von der Risikoanalyse über die Implementation bis hin zur Überwachung der Sicherheitsmaßnahmen, ‚Policies‘ und ‚Procedures‘ definieren Zuständigkeiten und Prozesse. Der Ansatz sollte in andere Management Systeme aus dem Health-Safety-Environment-Umfeld integriert werden, etwa ISO 180000 oder FSMS.

Der Entwurf geht bei der Zuweisung der SAL-Stufen vom Zonen-Konzept aus, ein Automatisierungssystem wird anhand der Netzwerk-Topologie in Zonen mit verschiedenen SAL-Anforderungen unterteilt. Dabei wird zwischen dem gewünschten oder ‚SAL-target‘ und erreichten oder ‚SAL-achieved‘ Security für eine Zone differenziert. Daneben gibt der ‚SAL-capability‘ den maximalen Sicherheitslevel eines Geräts an. Als Grundlage für die Bestimmung des SAL dient ein Katalog von über 50 Systemanforderungen. Je höher der gewünschte SAL, desto umfangreicher müssen diese erfüllt werden.

Anzeige

Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise

Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen

Außerdem werden Metriken als quantitative Kriterien zur SAL-Bestimmung herangezogen, um etwa im Bereich der Zugriffskontrolle Kennzahlen für die Login-Aktivität oder die Zahl von nicht vertrauenswürdigen Netzwerkverbindungen beurteilen zu können. Beiden Konzepten gemeinsam ist die Vorstellung, dass das Sicherheitsniveau als Zahlenwert dargestellt werden kann und soll. Weiter sollen die Aktivitäten über den gesamten Lebenszyklus eines Systems von der Planung über die Risikoanalyse, Errichtung, Wartung bis zum Abriss durch ein Managementsystem abgedeckt werden.

Beispiel für die Risikoanalyse nach SIL: Sowohl das mögliche Ausmaß als auch die Eintrittswahrscheinlichkeit eines Schadensfalls werden beurteilt. Diese Methodik lässt sich bis zu einem gewissen Grad auf auch SAL-Analysen übertragen. Abbildung gemäß IEC 61508

Bausteine für eine umfassende Risikoanalyse

Abseits der Gemeinsamkeiten bieten die Normen auch beachtenswerte Unterschiede. Die Risikoanalyse ist ein zentrales Element im Management von Risiko und in der funktionalen Sicherheit weitgehend etabliert. Mit Hilfe von Methoden wie HAZOP/PAAG oder Risikograph werden die Risiken aus dem Prozess visualisiert, evaluiert und gegebenenfalls notwendige Sicherheitsmaßnahmen inklusive deren SIL-Anforderung definiert. In der Security mangelt es derzeit an praktikablen Ansätzen zur Visualisierung von Risiken. Hier könnte die Security aus PAAG und Risikograph etwas lernen.

Ein möglicher Ansatz ist die durch Anapur entwickelte ‚Risiko-Landkarte für IT-Security‘. Dabei werden die geschätzte Eintrittswahrscheinlichkeit von Bedrohungen und deren potenzielles Schadensausmaß gegenübergestellt und priorisiert. Die Risiken mit der höchsten Eintrittswahrscheinlichkeit und die Auswirkungen mit dem größten Schadensausmaß werden dabei an erste Stelle gesetzt. Des Weiteren werden Maßnahmen zur Verhinderung von Systemschäden, sowie Maßnahmen zur Minderung von Auswirkungen zugeordnet und in Beziehung zu Schutzzielen wie Verfügbarkeit oder Vertraulichkeit gesetzt. Das Schaubild versucht das Thema in seiner Gesamtheit abzubilden und soll Verantwortliche unterstützen, die komplexe Security-Landschaft zu überblicken, Risiken zu bewerten und geeignete Maßnahmen auszuwählen.

Anteil systematischer Risiken in der Automatisierung steigt

Die funktionale Sicherheit konzentriert sich vor allem auf zufällige Fehler: Sensorik, Aktorik und die SPS-Hardware unterliegen statistisch nachvollziehbaren Ausfallwahrscheinlichkeiten, die vor allem durch Abnutzungserscheinungen verursacht werden. Die Fokussierung auf den quantitativen Nachweis der Zuverlässigkeit oder zufälliger Fehler stellt einen Schwachpunkt der aktuell gelebten ‚SIL Praxis‘ dar. Denn die Automatisierungstechnik setzt zunehmend auch auf IT-Systeme. Rein mechanische und elektrische Komponenten werden seltener.

Die Gefährdungen und Fehler, denen Computersysteme unterliegen sind jedoch weniger zufällige, sondern primär systematische Fehler, die beispielsweise auf Planungs- oder Programmierfehler zurückzuführen sind. Automation Security befasst sich aufgrund der Beschaffenheit der Materie in erster Linie mit systematischen Fehlern. Der Mangel an quantitativ erfassbaren , zufälligen Fehlern wird im IEC 62334-Entwurf durch die Einführung der Metriken und SAL-kategorisierten Anforderungen kompensiert.

Konzeption: Der Blick auf das Gesamtsystem entscheidet

Das SAL-Konzept stellt einen Ansatz dar, IT-Security-Risiken greifbar zu machen. Es besteht allerdings derzeit Entwicklungsbedarf an praktikablen Hilfsmitteln zur Risikoanalyse und Visualisierung. Hier kann die Security von den bewährten Methoden der Safety lernen. Ebenso kann das SAL-Konzept dazu beitragen, dass Schwächen in der SIL-Praxis in das Bewusstsein der Verantwortlichen vordringen und entsprechende Maßnahmen ergriffen werden. Der Blick auf das gesamte System unter Berücksichtigung der Safety- und Security-Perspektive wird zukünftig entscheidend sein. Der Gewinn daraus können robuste, zuverlässige und störungsarme Automatisierungssysteme sein, von denen die Produktion immer stärker abhängt.