Innerhalb des Projekts ‚Integrierte softwaregestützte Sicherheitsanalyse von Automatisierungsanlagen‘ (Insa) entwickeln Forscher ein Software-basiertes Analysewerkzeug, das Anwendern bei der IT-Sicherheitsanalyse von Maschinen und Anlagen unterstützen soll. Die Software soll dem Anwender einen möglichst großen Teil des Aufwands abnehmen und das benötigte Hintergrundwissen dafür verringern. Auch das Umsetzen der Schutzmaßnahmen soll weniger Vorwissen erfordern. Auf diese Weise lassen sich IT-Sicherheitsanalysen schneller und effizienter durchführen. Dies macht es auch für KMU einfacher, Security-Maßnahmen aufzubauen und zu pflegen. Das Analysewerkzeug benötigt außerdem keine direkte Verbindung zu der automatisierungstechnischen Anlage, sodass es sich ortsunabhängig einsetzen lässt.
Im bisherigen Verlauf des Projektes konnten bereits einige Konzepte umgesetzt werden, um den Aufwand zu verringern. Dies betrifft hauptsächlich die Punkte: Erfassen von Assets, Reduzieren des benötigten Wissens, Dokumentation der Ergebnisse und das Erleichtern der Aktualisierung von IT-Sicherheitskonzepten.
Projekt im Detail
Das Forschungsprojekt
Das Forschungsprojekt ‚Integrierte softwaregestützte Sicherheitsanalyse von Automatisierungsanlagen‘ (Insa) wird durch das zentrale Innovationsprogramm Mittelstand (ZIM) vom Bundesministerium für Wirtschaft und Energie gefördert. Als entwickelnde Projektpartner sind die Hochschule Hannover, die Helmut-Schmidt-Universität/Universität der Bundeswehr Hamburg sowie die Unternehmen M&M Software und Consecur beteiligt. Begleitet wird das Projekt durch Phoenix Contact und den Wirtschaftsschutz des Niedersächsischen Ministeriums für Inneres und Sport. Das Projekt läuft noch bis Ende November 2015.
Das Analysewerkzeug unterstützt die Anwender bei der Identifikation der Assets innerhalb der betrachteten Anlage und erleichtert somit die Strukturierung, die als Basis für die IT-Sicherheitsanalyse dient. Zusätzlich bietet es die Möglichkeit, bei den Assets fehlende IT-Sicherheits-relevante Informationen zu erkennen und teilweise automatisiert zu ergänzen.
Durch das zentrale Bereitstellen des notwendigen Wissens, wie IT-Sicherheitsanalysen durchzuführen sind, verringert sich das benötigte Wissen der Anwender. Er braucht ausschließlich das Wissen über die automatisierungstechnische Anlage sowie das Wissen, Schutzmaßnahmen zu verstehen, gegeneinander abzuwägen und umzusetzen. Wissen über Bedrohungen, Vorgehensweisen und Zusammenhänge sowie tiefgreifendes Wissen über Schutzmaßnahmen ist nicht nötig. Durch die regelmäßigen Updates über das Internet muss nicht ständig nach neuen Bedrohungen gesucht werden und die Aktualität des Schutzkonzeptes ist gesichert.
Das Analysewerkzeug verfügt außerdem über alle Information zur durchgeführten Analyse und kann somit eine lückenlose Dokumentation aller Ergebnisse inklusive der umzusetzenden Schutzmaßnahmen bereitstellen. Diese kann unter anderem als Grundlage für spätere Audits dienen. Gerade bei der zyklischen Wiederholung führt das Analysewerkzeug viele, sich für jedes Asset wiederholende Tätigkeiten automatisiert durch. Zudem erlaubt das automatisierte Durchführen eine schnellere Aktualisierung des IT-Sicherheitskonzeptes für eine Anlage.
Schritt für Schritt zur sicheren Anlage
Der generelle Ablauf einer zyklischen IT-Sicherheitsanalyse und die Unterstützungsmöglichkeiten durch das Analysewerkzeug lassen sich anhand einer Beispielanlage verdeutlichen. Diese ist über einen Switch mit dem Firmennetzwerk sowie mit weiteren Systemen wie ERP und MES verbunden. Zu Beginn der Analyse muss der Anwender die Anlageninformationen zusammenstellen. Wenn das verwendete Engineering-Werkzeug die Möglichkeit bietet, kann die Anlagenbeschreibung direkt aus den Projektierungsdaten generiert und danach in das Analysewerkzeug importiert werden. Hierfür kommt das AutomationML-Format zum Einsatz. Ansonsten muss der Anwender den Anlagenaufbau manuell abbilden, zum Beispiel unter zur Hilfenahme des AutomationML-Editors. Die Anlageninformationen legen hierbei die Grenzen der IT-Sicherheitsanalyse fest und enthalten alle zu betrachtenden Komponenten der Anlage.
In Phase 1 der Anlagenanalyse werden auf Grundlage der importierten AutomationML-Datei die zu analysierenden Assets ausgewählt und für die folgenden Phasen strukturiert. Dabei lassen sich auch Umgebungs- und Prozessinformationen berücksichtigen. Das Analysewerkzeug ermittelt noch fehlende Informationen und ergänzt sie, wenn möglich. Dies kann zum Beispiel die Anzahl von Netzwerkschnittstellen oder USB-Anschlüssen sein. Außerdem wird das zu erreichende Schutzniveau für die Anlage mithilfe eines Fragenkatalogs ermittelt. Dieses lehnt sich an die in der IEC 62443 (Industrial communication networks – Networks and system security Part 1-1: Terminology concepts and models) definierten Security Level an.
In den Phasen 2 und 3 erfolgt vollautomatisch die Analyse der Anlage. Hierzu kommt ein wissensbasiertes System zum Einsatz. Das Wissen ist hierbei in Form einer Ontologie gespeichert und wird zentral über das Internet, in Form von regelmäßigen Updates, durch den Betreiber des Analysewerkzeugs bereitgestellt und aktualisiert. Die verwendete Ontologie beschreibt die Konzepte (zum Beispiel semantische Festlegungen der Bedeutung einer Bedrohung oder Schutzmaßnahme) der Wissensbasis. Außerdem enthält sie die spezifischen Ausprägungen der Konzepte (zum Beispiel die explizite Bedrohung ‚Diebstahl von Informationen‘). Beziehungen zwischen den Konzepten werden mit Verknüpfungen und Regeln ausgedrückt. Beispielsweise trifft für den Server 1 der Beispielanlage die Bedrohung ‚Diebstahl von Informationen‘ zu. Die Schutzmaßnahme ‚Verschlüsselung von Daten‘ kann dem begegnen. Die Regeln verknüpfen das Wissen so miteinander, dass während der Analyse zunächst die Bedrohungen für Assets gefunden und dann mögliche Schutzmaßnahmen abgeleitet werden können. Die Auswahl der Schutzmaßnahmen erfolgt hierbei anhand des anlagenspezifischen Risikos. Das Wissen lässt sich außerdem bei Bedarf um firmenspezifisches Wissen erweitern. Als Ergebnis der Bedrohungsanalyse liegen die ermittelten Schutzmaßnahmen vor, mit denen das Schutzniveau der Anlage auf das in Phase 1 definierte Ziel angehoben werden kann. Schutzmaßnahmen für die Beispielanlage könnten zum Beispiel das Hinzufügen einer Firewall zwischen dem Switch und den externen Netzen und das Ändern des Standard-Passworts des HMI-Panels sein.
In Phase 4 setzt der Anwender die zuvor ermittelten Schutzmaßnahmen um. Anschließend überprüft er, ob das angestrebte Schutzniveau erreicht wurde. In dieser Phase kann das Analysewerkzeug nur indirekt durch die Dokumentation der Ergebnisse und den Hinweise für Umsetzung der Schutzmaßnahmen unterstützen. Generell empfehlen die Forscher als weitere Phase das Durchführen eines Audits, um die Ergebnisse der IT-Sicherheitsanalyse zu überprüfen. Die Audits sollten Personen vornehmen, die nicht an der IT-Sicherheitsanalyse beteiligt waren.
Tools und weiterführende Texte
- Franz Büllingen: Die Umsetzungslücke: Warum IT-Sicherheit im Mittelstand ein zentrales Thema bleibt. Ergebnisse einer empirischen Erhebung. In Datenschutz und Datensicherheit – DuD, 2013; S. 173-176
- Ian Horrocks, Peter Patel-Schneider, Harold Boley, Said Tabet,
Benjamin Grosof, Mike Dean: A Semantic Web Rule Language Combining OWL and RuleML. - Ralph Langner: Stuxnet: Dissecting a Cyberwarfare Weapon. In IEEE Security & Privacy Magazine, 2011, 9; S. 49-51
- Jill Slay; Michael Miller: Lessons learned from the Maroochy Water Breach: 20th World Computer Congress, 2008
- Christopher Tebbe: Wissensbasierte Sicherheitsanalyse in der Automation. Aufwandsreduzierung am Beispiel der IT-Sicherheit. In ATP Edition, 2015; S. 56-66
- W3C OWL Working Group: OWL 2 Web Ontology Language
Christopher Tebbe
Matthias Glawe
Josha Dittgen
Prof. Dr. Karl-Heinz Niemann
Prof. Dr Alexander Fay
(mf)