Detaillierte Security Risikobewertung

Von /

Die detaillierte Security-Risikobewertung nach IEC 62443-3-2 wird für alle Zonen und Conduits durchgeführt. Sie dient dazu, Risiken für ein IACS nicht nur grob zu erkennen, sondern systematisch bis auf Ebene einzelner Bedrohungen, Schwachstellen, Auswirkungen, Wahrscheinlichkeiten, Gegenmaßnahmen und Restrisiken zu bewerten. Dabei können auch andere Methoden wie ISO 31000, NIST SP 800-39 oder ISO/IEC 27005 verwendet werden. Entscheidend ist, dass die initiale und die detaillierte Risikobewertung aus demselben Rahmen oder derselben Quelle stammen und dieselbe Risikobewertungsskala verwenden, damit die Ergebnisse konsistent bleiben.

Die detaillierte Risikobewertung besteht aus dreizehn Schritten innerhalb von ZCR 5. Diese Schritte bauen aufeinander auf und führen von der Identifikation einer Bedrohung bis zur Dokumentation und Kommunikation der Ergebnisse.

ZCR 5.1 – Identifizierung von Bedrohungen

Der erste Schritt ist die Identifizierung der Bedrohungen. Eine Bedrohung wird nur dann als relevante Bedrohung betrachtet, wenn eine passende Schwachstelle vorhanden ist. Der Zusammenhang wird mit einem einfachen Bild erklärt: Feuer ist die Bedrohung, brennbare Gegenstände sind die Schwachstelle. Wenn es keine brennbaren Gegenstände gibt, ist die Brandgefahr für diesen Fall nicht relevant.

Als Beispiele für Bedrohungen werden genannt:
Ein Mitarbeiter betritt ohne böswillige Absicht den Prozesskontrollbereich und steckt einen USB-Stick in einen der Computer. Ein autorisierter Support-Mitarbeiter greift mit einem infizierten Laptop auf die Prozesskontrollzone zu. Ein Mitarbeiter öffnet ohne böswillige Absicht eine Phishing-E-Mail, durch die seine Anmeldedaten kompromittiert werden.

Zusätzlich wird auf Referenzlisten für Bedrohungen verwiesen, zum Beispiel auf elementare Bedrohungen wie Stromausfall, Kommunikationsunterbrechung oder Ausfall der Hauptstromversorgung.

ZCR 5.2 – Ermittlung von Schwachstellen

Im zweiten Schritt werden für Zonen, Conduits und ihre Zugangspunkte bekannte Schwachstellen identifiziert und dokumentiert. Schwachstellen können versehentlich entstehen, etwa durch Versagen oder Missverständnisse, oder absichtlich durch die Systemgestaltung.

Als Ursachen und Ursprünge werden genannt:

  • fehlende oder unzureichende Schutzmaßnahmen in Industrieprotokollen
  • Schwachstellen in Komponenten
  • unsichere SPS-Programmierung
  • Firewalls mit unzureichender Trennung gegenüber nicht vertrauenswürdigen Zonen
  • fehlende Leitlinien und fehlende Ausbildung beim Personal

Zusätzlich wird gefordert, Systeme regelmäßig auf in CVE gelistete Schwachstellen zu prüfen und diese Informationen für die Risikobewertung und Priorisierung von Minderungsmaßnahmen zu verwenden.

ZCR 5.3 – Bestimmung der Folgen und Auswirkungen

Danach werden für jedes Bedrohungsszenario die Folgen und Auswirkungen bestimmt und dokumentiert. Bewertet werden jeweils die schlimmsten Folgen. Genannt werden insbesondere:

  • Sicherheit des Personals
  • finanzielle Verluste
  • Unterbrechungen
  • Umwelt

Wenn die Auswirkungen im schlimmsten Fall gering sind, kann das Risikobewertungsteam entscheiden, mit der nächsten Bedrohung fortzufahren. Bestehende Prozessgefahrenanalysen und andere zusammenhängende Risikobewertungen sollen zur Unterstützung der Bewertung herangezogen werden.

ZCR 5.4 – Bestimmung der unverminderten Wahrscheinlichkeit

Im nächsten Schritt wird für jede Bedrohung die unverminderte Wahrscheinlichkeit bestimmt. Gemeint ist die Wahrscheinlichkeit, dass die Bedrohung tatsächlich eintritt, ohne dass vorhandene Gegenmaßnahmen berücksichtigt werden.

Bei dieser Bewertung werden verschiedene Faktoren einbezogen:

  • Motivation
  • Fähigkeit der Bedrohungsquelle
  • frühere ähnliche Bedrohungen
  • bekannte Schwachstellen
  • Attraktivität des Ziels

Die unverminderte Wahrscheinlichkeit beschreibt damit die Eintrittswahrscheinlichkeit vor Berücksichtigung wirksamer Schutzmaßnahmen.

ZCR 5.5 – Ermittlung des unverminderten Cybersecurityrisikos

Das unverminderte Cybersecurityrisiko wird aus zwei Größen gebildet:

  • der in ZCR 5.3 bestimmten Auswirkung
  • dem in ZCR 5.4 bestimmten unverminderten Wahrscheinlichkeitsmaß

Zur Darstellung dieses Zusammenhangs wird häufig eine Risikomatrix verwendet. Diese Matrix stellt die Beziehung zwischen Wahrscheinlichkeit, Auswirkung und Risiko her. Das unverminderte Risiko ist damit das Risiko vor Berücksichtigung bestehender Gegenmaßnahmen.

ZCR 5.6 – Bestimmung des Security Level Target

Für jede Zone und jeden Conduit wird ein Security Level Target festgelegt. Es gibt keine vorgeschriebene Methode zur Ermittlung dieses Zielniveaus. Es kann entweder aus dem Unterschied zwischen unvermindertem Risiko und tolerierbarem Risiko abgeleitet werden oder auf den Definitionen der IEC 62443-3-3 beruhen.

Wichtig ist dabei: Das Security Level Target ist nicht dasselbe wie das tolerierbare Risiko. Es hilft festzulegen, wie gut Zonen und Conduits geschützt werden sollen. Das tolerierbare Risiko kann auch bereits aus der ursprünglichen, groben Risikobewertung hervorgehen.

ZCR 5.7 – Vergleich des unverminderten Risikos mit dem tolerierbaren Risiko

Jetzt wird das unverminderte Risiko mit dem tolerierbaren Risiko der Organisation verglichen.

  • Ist das unverminderte Risiko kleiner oder gleich dem tolerierbaren Risiko, werden die Ergebnisse dokumentiert.
  • Ist das unverminderte Risiko größer als das tolerierbare Risiko, wird die Bewertung mit den weiteren Schritten ZCR 5.8 bis ZCR 5.12 fortgesetzt.

Dieser Schritt entscheidet also, ob eine weitergehende Risikominderung notwendig ist.

ZCR 5.8 – Identifizierung und Bewertung bestehender Gegenmaßnahmen

Wenn das unverminderte Risiko zu hoch ist, werden die bereits vorhandenen Gegenmaßnahmen identifiziert und bewertet. Gemeint sind Maßnahmen, die im System Under Consideration bereits existieren.

Als einfaches Beispiel wird genannt:

  • Firewall
  • schützt mich die Firewall?
  • sind zusätzliche Maßnahmen erforderlich?

Es geht also nicht nur darum, vorhandene Maßnahmen aufzulisten, sondern ihre tatsächliche Schutzwirkung für das betrachtete Risiko zu prüfen.

ZCR 5.9 – Neubeurteilung von Wahrscheinlichkeit und Auswirkungen

Nach der Bewertung bestehender Gegenmaßnahmen werden Wahrscheinlichkeit und Auswirkungen neu bewertet. Dabei werden die Gegenmaßnahmen und ihre Wirksamkeit ausdrücklich berücksichtigt.

Die in ZCR 5.4 bestimmte unverminderte Wahrscheinlichkeit berücksichtigte noch keine Gegenmaßnahmen. In diesem Schritt werden Gegenmaßnahmen herangezogen, um die reduzierte Wahrscheinlichkeit zu bestimmen. Genauso werden auch die in ZCR 5.3 bestimmten Folgen und Auswirkungen unter Berücksichtigung der Gegenmaßnahmen neu bewertet.

ZCR 5.10 – Bestimmung des Restrisikos

Das Restrisiko wird unter Berücksichtigung der Gegenmaßnahmen bestimmt. Für jede in ZCR 5.1 identifizierte Bedrohung ergibt sich das Restrisiko aus der Kombination

  • des reduzierten Wahrscheinlichkeitsmaßes und
  • der reduzierten Auswirkungswerte aus ZCR 5.9.

Das Restrisiko ist also das Risiko, das nach Berücksichtigung der vorhandenen und bewerteten Gegenmaßnahmen verbleibt.

ZCR 5.11 – Vergleich des Restrisikos mit dem tolerierbaren Risiko

Nun wird für jede identifizierte Bedrohung das Restrisiko mit dem tolerierbaren Risiko verglichen.

Wenn das Restrisiko größer ist als das tolerierbare Risiko, muss die Organisation auf Grundlage ihrer Leitlinien entscheiden, ob das Risiko

  • angenommen,
  • übertragen oder
  • gemildert

wird.

Dieser Schritt dient dazu festzustellen, ob das verbleibende Risiko akzeptabel ist oder ob weitere Risikominderung notwendig bleibt.

ZCR 5.12 – Identifizierung zusätzlicher Gegenmaßnahmen zur Cybersecurity

Wenn das Restrisiko das tolerierbare Risiko übersteigt und die Organisation nicht entschieden hat, das Risiko zu tolerieren oder zu übertragen, müssen zusätzliche Gegenmaßnahmen identifiziert werden, um das Risiko weiter zu mindern.

Diese Gegenmaßnahmen können sein:

  • technischer Natur
  • nicht-technischer Natur, also Leitlinien und Verfahren

Die Risikominderung endet damit nicht bei vorhandenen Maßnahmen, sondern kann weitere organisatorische oder technische Schritte erfordern.

ZCR 5.13 – Dokumentation und Kommunikation der Ergebnisse

Am Ende müssen die Ergebnisse der detaillierten Security-Risikobewertung

  • dokumentiert,
  • berichtet und
  • den entsprechenden Interessengruppen in der Organisation zur Verfügung gestellt werden.

Dabei muss die Vertraulichkeit der Unterlagen gewährleistet sein. Auch die für die Umsetzung verwendete Dokumentation, etwa Systemarchitekturdiagramme, Schwachstellenbewertungen, Gap-Bewertungen und Informationen über Bedrohungsquellen, muss zusammen mit der Risikobewertung aufgezeichnet und archiviert werden.

Als beispielhafte Inhalte der Dokumentation werden genannt:

  • Zonen und VLAN-Zuordnungen
  • Anforderungen und Securityrichtlinien
  • Zonen für Standard-Steuerungen, Safety-Steuerungen, drahtlose Geräte, vorübergehend anzuschließende Geräte und internetverbundene Komponenten
  • definierte Conduits und Kommunikationsbeziehungen
  • tabellarische Erfassung von Bedrohungen, Schwachstellen, Angriffsvektoren, Auswirkungen, Exposition, Zielen, Security-Leveln und abgeleiteten Schritten

Zusammenfassung

Die detaillierte Security-Risikobewertung zerlegt das Risiko für jede Zone und jeden Conduit in eine klare Kette von Einzelschritten:

  1. Bedrohungen identifizieren
  2. Schwachstellen ermitteln
  3. Folgen und Auswirkungen bestimmen
  4. unverminderte Wahrscheinlichkeit bestimmen
  5. unvermindertes Risiko bestimmen
  6. Security Level Target festlegen
  7. unvermindertes Risiko mit tolerierbarem Risiko vergleichen
  8. bestehende Gegenmaßnahmen bewerten
  9. Wahrscheinlichkeit und Auswirkungen neu bewerten
  10. Restrisiko bestimmen
  11. Restrisiko mit tolerierbarem Risiko vergleichen
  12. zusätzliche Gegenmaßnahmen festlegen
  13. Ergebnisse dokumentieren und kommunizieren

Damit entsteht aus der bloßen Risikoidee ein vollständiger Bewertungs- und Entscheidungsprozess für OT-Security.

Nach oben scrollen