Beruflich Dokumente
Kultur Dokumente
Mathematik
und
Informatik
Dissertation
deposit_hagen
Publikationsserver der
Universitätsbibliothek
Systematische Analyse- und
Beurteilungsmethodik für die IT-Sicherheit
prozessführender Computersysteme in
operativen Industrieumgebungen
Dissertation
vorgelegt von
Hans-Richard Kraft
Juni 2016
FernUniversität Hagen
Gutachterin und Gutachter:
2010 erweiterte das Kunstwort „Stuxnet“ die Diskussion um Computersicherheit auf eine
bislang nur Fachleuten vertraute Geräte- und Systemklasse: Leit- und
Automatisierungssysteme für Produktionsanlagen und kritische Infrastrukturen. Eine Vielzahl
von Veröffentlichungen führte vor allem den hochentwickelten Industriegesellschaften ihre
Abhängigkeit von der korrekten Funktion dieser Systeme vor Augen.
Im Kontext der Stuxnet-Analysen ergriffen Lieferanten Maßnahmen zur Verbesserung der IT-
Sicherheit ihrer Systeme bzw. Komponenten während Betreiber ihre Anlagen auf
entsprechende Schwachstellen untersuchten.
Die Entwicklung geeigneter Maßnahmen zur Verbesserung der IT-Sicherheit der Leit- und
Automatisierungssysteme verdeutlichte, dass nicht nur anlagentypischen Randbedingungen,
wie z.B. sehr lange Einsatzzeiten (20+ Jahre), z.T. unzureichende Hardware-Ressourcen
oder hohe Kosten im Falle von Anlagenstillständen, Herausforderungen darstellen, sondern
auch eine Methode zur systematische Beurteilung der IT-Sicherheit dieser Systeme fehlte.
Mangels Alternativen dienen deshalb in der Regel Analyseansätze zur Beurteilung des
Risikos von Cyberangriffen anstelle der IT-Sicherheit von Anlagen. Wesentliche
Schwachstellen dieser Herangehensweise sind fehlende Ereignisdaten zur Abschätzung von
Eintrittswahrscheinlichkeiten, mangelnde Aussagekraft der Ergebnisse sowie der nicht
quantifizierbare Einfluss subjektiver Einschätzungen des Prüfpersonals.
Zwecks Vermeidung der genannten Schwächen beschreibt die vorliegende Arbeit eine
automatisierbare Analysemethodik auf Basis generischer Angriffsszenarien gegen die zu
betrachtende Zielanlage. Mit Hilfe einer neuartigen Sicherheitsmetrik, die subjektive
Einschätzungen des Prüfpersonals durch sicherheitsrelevante Anlageneigenschaften ersetzt,
resultieren reproduzierbare Ergebnisse für die Beurteilung der IT-Sicherheit von Leit- und
Automatisierungssystemen
Zum Zweck der Erprobung der vorgeschlagenen Methode findet die vorgeschlagene
Analysemethodik Anwendung auf eine praxisnahe Beispielanlage. Die Analyseergebnisse
werden auf die neuentworfene Sicherheitsmetrik abgebildet. Den Abschluss bildet ein
Vergleich der Ergebnisse dieser Vorgehensweise mit den Ergebnissen einer risikobasierten
Methode auf Basis eines entsprechenden Standards.
In 2010 “Stuxnet” widened the discussion regarding computer security on a class of device
previously known to experts only: automation and control systems in production
environments and critical infrastructures. Numerous publications highlighted the modern
societies’ dependence on the correct function of these systems.
In the context of the Stuxnet-related investigations and publications, vendors applied bug
fixes and countermeasures and plant operators scanned their systems on vulnerabilities.
In the absence of alternatives, assessment approaches address the risk of cyber security
issues rather than the plant security. The risk-based approach lacks the availability of
statistically valid incident data for the estimation of event probabilities, the limited value of the
assessment results and the not quantifiable influence of individual ratings.
For the validation purpose, the proposed assessment approach has been applied to a close-
to-practice plant sample. The assessment results are mapped on the new security metric.
Finally, the results of this assessment are compared with the results of a risk-oriented
assessment to the same plant based on a common assessment standard.
10 Verzeichnisse ..........................................................................................................235
11 Anhang ....................................................................................................................243
1 Einleitung
1.1 Einführung
Im Verlauf des Jahres 2010 brachte es ein Kunstwort zu globaler Medienpräsenz: Stuxnet.
Die Berichterstattung in Internet, Zeitungen und Zeitschriften, TV-Nachrichten und TV-
Talkshows verdeutlichten den Medienkonsumenten, dass nicht nur die PCs von
Privatanwendern oder die Intranets von Unternehmen, Verwaltungen und Regierungen
Angriffen mittels Schadsoftware ausgesetzt sind. Offensichtlich sind auch jene Systeme
Bedrohungen ausgesetzt, die das Funktionieren zentraler Infrastruktureinrichtungen
sicherstellen sollen. Unter dem anhaltenden Medienecho, das nicht auf militärische Begriffe
verzichtete (u.a. „Digitaler Erstschlag ist erfolgt“, (Rieger, 2010)) nahm eine erstaunte
Öffentlichkeit zur Kenntnis, was Kenner der Materie nicht überraschte: Computersysteme mit
bekannten und unbekannten Schwachstellen steuern Kraftwerke und Stromnetze,
Wasserversorgung und Abwasserentsorgung, Gas- und Ölpipelines, Verkehrssysteme
(Ampelanlagen, Eisenbahn- und Flugsicherheitssysteme) und andere für moderne
Gesellschaften wichtige Systeme. Erschwerend kommt hinzu, dass leider nicht nur die
Systeme der gesellschaftlichen Daseinsvorsorge („Kritische Infrastruktur“) von Angriffen
dieser Art betroffen sind, sondern auch industrielle Fertigungsanlagen, private
Heizungssteuerungen - und Kirchenglocken.
Bei Betreibern und Lieferanten geriet die Frage nach der IT-Sicherheit der eigenen
Leittechnik- und Automatisierungssysteme an prominente Stelle der Tagesordnungen. Allein,
die verfügbaren Analysemethoden liefern unbefriedigende Antworten: Ergebnisse basieren
auf vagen Einschätzungen hinsichtlich der Systemsicherheit, subjektiven Beurteilungen und
statistischen Daten zweifelhafter Eignung. Darüber hinaus sind einige Analysemethoden für
Betreiber nicht anwendbar, da die für jene Analysen notwendigen Informationen nicht
vorliegen (closed source-Systeme).
Politik- und Militärberater brachten sich mit Kriegsszenarien („Cyber war“) ins
Gespräch.
In den Medien ließen sich mit der Darstellung und Diskussion ausgefeilter
Bedrohungsszenarien, die vielfach an den 70-Jahre Spielfilm „War games“ angelehnt
waren, Einschalt- und Klickzahlen steigern.
Anmerkung: Als „kritische Infrastruktur“ werden lt. Bundesamt für Sicherheit in der Informationstechnik, BSI,
„Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren
Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der
öffentlichen Sicherheit oder andere dramatische Folgen einträten“. In Deutschland werden Sektoren u.a.
Transport und Verkehr, Energie, Ernährung, Wasser, Gesundheit den Kritischen Infrastrukturen
zugeordnet (BSI).
Die lange Nutzungsdauer von 10 bis 20 Jahren (teilweise sogar noch länger) der Leit-
und Automatisierungssysteme in Produktionsanlagen, wie z.B. Kraftwerken, hat zur
Folge, dass die Anlagenbetreiber nach einiger Zeit für diese veralteten und
Systeme und Komponenten sowie Methoden zum Schutz von IT-Systemen sind bei
Bekanntwerden von „Stuxnet“, d.h. im Jahre 2010, an die Erfordernisse dieser Systeme im
Unternehmens- und Privatumgebungen ausgerichtet. Die besonderen Anforderungen von
Produktionsumgebungen insbesondere im Bereich der „kritischen Infrastruktur“ (siehe oben)
finden keine Berücksichtigung. Hinsichtlich der Angriffsziele unterscheiden sich
Angriffsszenarien gegen Leit- und Automatisierungssysteme grundsätzlich von Angriffen
gegen IT-Systeme wie z.B. E-Mail-Server, Datenbanken, Web Server sowie Dateisystemen
von Server oder PCs etc.: bei Angriffsvarianten gegen typische IT-Landschaften stellen diese
IT-Systeme das primäre Angriffsziel dar, um an Informationen dieser Systeme zu gelangen
oder Dienste dieser Systeme zu beeinträchtigen. Im Gegensatz dazu stellen die Leit- und
Automatisierungssysteme in der Regel nicht das eigentliche Angriffsziel dar: Angriffe gegen
die Steuerungssysteme von kritischen Infrastrukturen oder Produktions- und
Fertigungsanlagen zielen auf den physischen bzw. den verfahrenstechnischen Prozess, den
die Leit- und Automatisierungssysteme steuern und kontrollieren. Über die Beeinflussung
des physischen Prozesses soll realer Schaden für Personen, Anlagen oder Umwelt
entstehen bzw. angedroht werden. Die Leit- und Automatisierungssysteme dienen hierbei als
Mittel zum Zweck.
Die nachhaltige Verbesserung des Schutzes vor Cyber-Angriffen der Leit- und
Automatisierungssystemen insbesondere in kritischen Infrastrukturen muss die IT-Sicherheit
dieser Systeme einer systematischen Analyse und Zustandsbewertung zugänglich machen –
unter Berücksichtigung der anlagentypischen Besonderheiten sowie der jeweils verfügbaren
Informationen für Hersteller und Betreiber.
1.3 Zielsetzung
In der vorliegenden Arbeit soll nun der Frage nachgegangen werden, wie angesichts dieser
Randbedingungen Betreiber von Leit- und Automatisierungsanlagen ihre Systeme
analysieren und Optionen zur Verbesserung der IT-Sicherheit ableiten können. Vor eine
vergleichbare Herausforderung wie Betreiber sehen sich die Lieferanten von Leitsystemen
gestellt, die ihre Systeme vor der Auslieferung an die Kunden anlagenspezifisch
konfigurieren müssen: Auswahl und Art der gelieferten Systeme und Komponenten, die
Vernetzung der Systeme untereinander sowie die Ausprägung der verfahrenstechnischen
Prozesslogik beeinflussen die IT-Sicherheit der leittechnischen Gesamtanlage.
Für die betriebliche Praxis stellen sich hinsichtlich der Beurteilung der IT-Sicherheit von
SCADA-Systemen (Supervisory Control and Data Acquisition) im Wesentlichen zwei Fragen:
Was versteht man unter der „Sicherheit“ von Leit- und Automatisierungssystemen?
Bei Durchsicht der Literatur stößt man auf das Problem, dass sich die „Sicherheit“ eines
Systems durch keine Variable direkt abbilden lässt. Aus diesem Mangel heraus greifen viele
Analysemethoden auf die Ersatzgröße „Risiko“ (eines erfolgreichen Angriffs) zurück. Es ist
naheliegend, dass die Beurteilung des Risikos von Angriffen gegen Computersysteme weder
eine Aussage über die inhärente Sicherheit des Zielsystems darstellt, noch eine
Analysemethode ergibt, die diesem Ziel dient. Ganz im Sinne der Erkenntnis Christian
Morgensterns: „Wer das Ziel nicht kennt, kann den Weg nicht finden!“
Dies führt zur ersten Forschungsfrage, die im Rahmen der vorliegenden Arbeit einer
beantwortet werden soll:
Falls diese Frage nicht zufriedenstellend beantwortet werden kann, soll die Ausgangsfrage
folgendermaßen erweitert werden:
Lässt sich aus diesen Kriterien das Konzept einer solchen Metrik herleiten?
Die Analyseansätze, die auf IT-Systeme angewandt werden und denen eine
Risikobetrachtung zugrunde liegt, offenbaren eine Reihe von Defiziten: Die subjektiven
Risikoeinschätzungen von Angriffen führen zu Ergebnissen, die nicht nur vom betrachteten
Zielsystem sondern auch vom Analysepersonal abhängen: typischerweise tendieren
erfahrene IT-Sicherheitsexperten dazu, Angriffe aufgrund eigener Kenntnisse als „einfach“ zu
klassifizieren, während weniger qualifizierte Analysten die gleichen Angriffsszenarien eher
als „schwierig“ einschätzen. Außerdem ist zu berücksichtigen, dass Risikoaussagen über
allgemeine Bedrohungslagen oder vermutete Fähigkeiten unbekannter Angreifer
grundsätzlich keine Aussage über das betrachtete System darstellen. Risikoeinschätzungen
können nicht als Aussagen hinsichtlich der Systemeigenschaft „Sicherheit“ aufgefasst
werden.
Für die vorliegende Arbeit ergibt sich damit eine weitere Forschungsfrage:
Wie lassen sich Leit- und Automatisierungssysteme analysieren, um die für eine
geeignete Metrik notwendigen Daten zu erhalten und eine Aussage hinsichtlich der
Systemsicherheit bilden zu können.
1.4 Vorgehensweise
Die Frage nach der Analysemethode der IT-Sicherheit für leittechnische Anlagen beinhaltet
neben der notwendigen Systematik auch die Aspekte eines automatisierbaren
Analyseablaufes sowie die Erzielung reproduzierbarer und nachvollziehbarer Ergebnisse.
Die in dieser Arbeit vorgestellte Systematik zur Beurteilung der IT-Sicherheit von
leittechnischen Systemen adressiert beide Aspekte.
Zunächst ist die Frage zu beantworten, welche Angriffe gegen die Zielanlage - aus Sicht des
Analysten - möglich sind. Ausgehend von einem Bedrohungsmodell, bestehend aus den
Elementen Angreifer, Zielsystem und Angriffspfad, wird zu zeigen sein, dass dem
Leittechnikbetreiber keine belastbaren Informationen hinsichtlich potentieller Angreifer sowie
der Gesamtzahl der Systemschwachstellen seines Leitsystems vorliegen. Mangels
ausreichender Informationen hinsichtlich der systemimmanenten Exploit-Möglichkeiten
aufgrund der unbekannten Softwarefehler muss sich die Analysemethode auf die physischen
und logischen Angriffspfade gegen die Zielsysteme fokussieren. Im Gegensatz zu den
Aspekten ‚Angreifer‘ bzw. ‚Systemschwachstellen‘ verfügt der Betreiber über umfassende
Kenntnisse hinsichtlich der Angriffspfade gegen seine Anlage.
Die vorliegende Arbeit stellt den typischen Analysemethoden, die auf empirischen Daten
undefinierter Unsicherheit und in der Regel ohne Bezug auf die betrachtete Zielanlage
beruhen, einen alternativen Ansatz gegenüber: die vorgeschlagene Systematik mündet auf
formalisierter Weise in eine Sicherheitsmetrik, die generische Angriffsszenarien auf die
Eigenschaften der betrachteten Zielanlage abbildet. Während risikobasierte
Analysemethoden den Versuch unternehmen, die Wahrscheinlichkeit eines „Schwarzen
Schwans“ (Taleb, 2012) zu bestimmen (d.h. das erstmalige Eintreten eines unbekannten
Sicherheitsereignisses), beschreibt die hier vorgeschlagene Methodik einen resultierenden
Sicherheitsstatus in Form einer reproduzierbaren Aussage, die zielsystemimmanente
Eigenschaften berücksichtigt und einen transparenten Algorithmus anwendet.
1.5 Gliederung
Ausgehend von der Diskussion einiger Begriffe und Technologietrends im Bereich der
prozessführenden Computersysteme für operative Industrieumgebungen in Kapitel 2 sollen
anschließend grundsätzliche Fragen zur IT-Sicherheit dieser Klasse von Computersystemen
betrachtet werden (Kapitel 3). Den Schwerpunkt bilden die Besonderheiten dieser
Systemklasse sowie die Unterschiede gegenüber „typischen“ IT-Systemen und beleuchten
die sich daraus ergebenden Konsequenzen für deren IT-Sicherheit. Ausgehend von diesen
Überlegungen wird ein Bedrohungsmodell hergeleitet, das als Grundlage für eine neue
Analysemethode für Leittechniksysteme dienen soll: eine auf Fakten basierende Methode mit
reproduzierbaren Analyseergebnissen.
Nach der Behandlung dieser grundlegenden Aspekte der IT-Sicherheit von Leit- und
Automatisierungssystemen soll der Frage nachgegangen werden, wie Hersteller und/oder
Betreiber solcher Anlagen die IT-Sicherheit beurteilen und geeignete Maßnahmen zu deren
Verbesserung finden können. Kapitel 4 wirft dazu einen Blick auf die typischen
Analysemethoden, die zur Beurteilung der IT-Sicherheit herangezogen werden können
einschließlich einer Kritik dieser Methoden hinsichtlich der Anwendung auf die diskutierte
Systemklasse.
In Kapitel 5 folgt die Beschreibung einer Analysemethode, die sowohl den Besonderheiten
von Leit- und Automatisierungssystemen genügt als auch die Möglichkeiten von Herstellern
und Betreibern berücksichtigt, solche Analysen faktenbasiert durchzuführen. Kern der
Überlegung ist, wie sich eine Aussage zur Sicherheit eines SCADA-Systems intrinsisch
herleiten lässt. Besondere Bedeutung kommt dabei der Frage nach dem „Exploit-Pfad“ zu,
d.h. der Art und Weise, wie ein Angriff gegen ein Zielsystem überhaupt ausgeführt werden
kann. Des Weiteren wird angestrebt, Analyseergebnisse weitestgehend frei von subjektiven
Einschätzungen des Analyseteams zu bilden. Die Vermeidung subjektiver Einflüsse ist die
Voraussetzung dafür, dass die Analyseergebnisse die Eigenschaften des Leitsystems
widerspiegeln und nicht die spekulativen Vermutungen der Analysten. Besonderen Nutzen
entfalten diese Analysen, wenn sie in regelmäßigen Abständen wiederholt werden, um
Änderungen an den Systemen sowie veränderte Bedrohungsszenarien zu berücksichtigen.
Vor diesem Hintergrund sind sowohl die Frage des Analyseaufwandes als auch die damit
verknüpfte Automatisierbarkeit des Verfahrens zu diskutieren.
Kapitel 6 rückt die Fragen nach Inhalt und Form der Analyseergebnisse in den Mittelpunkt.
Gerade wiederholt durchgeführte Analysen derselben Anlage sollen vergleichbare
Ergebnisse liefern. Für den operativen Geschäftsbetrieb hat sich die Einbindung solcher
Analyseergebnisse mittels geeigneter Metriken bewährt. Zu diesem Zweck untersucht das
Kapitel 6 Metriken, die in der Praxis zur Beurteilung der IT-Sicherheit von
Computersystemen herangezogen werden, auf deren Brauchbarkeit für Leit- und
Automatisierungssysteme. Auf Basis dieser Kritik wird eine Metrik vorgeschlagen, die auf die
Beurteilung der IT-Sicherheit von Leit- und Automatisierungssystemen zugeschnitten ist.
Kern dieses Kapitels ist somit auch die Antwort auf die Frage nach der Sicherheit eines
Systems.
Nachdem das vorangegangene Kapitel sowohl die neue Analysemethodik als auch eine für
SCADA-Systeme angemessene Metrik zur Beurteilung der IT-Sicherheit beschrieben hat,
sollen in Kapitel 8 die vorgeschlagene Methodik und Metrik einem Praxistest unterzogen
werden: die Beurteilung der Sicherheitsrisiken einer Beispielanlage anhand der in dieser
Arbeit vorgeschlagenen Methode wird eine Analyse auf Basis eines etablierten Standards
gegenübergestellt. Anschließend werden die Vorteile der neuen IT-Sicherheitsmetrik anhand
der Beispielanlage skizziert.
und Automatisierungsanlagen. Ein Ausblick auf weiterführende Arbeiten zur Steigerung des
Automatisierungsgrades der Analysen rundet das Kapitel ab.
Anmerkung: Für leittechnische Systeme hat sich über den englischen Sprachraum hinaus
auch der Begriff „Supervisory Control and Data Acquisition system“ (SCADA system)
etabliert.
den verschiedenen Herstellern geprägt und ist vom Entwicklungszeitraum des Systems
beeinflusst.
Aktoren / Sensoren
Die unterste Ebene der „Leittechnikpyramide“ stellt die Schnittstelle zur physischen
Umgebung des verfahrenstechnischen Prozesses dar. Sensoren erfassen messtechnisch
Prozessgrößen, wie z.B. Drücke, Temperaturen, Durchflüsse, mechanische Stellungen und
Bewegungen und wandeln sie in normierten Eingangssignale (z.B. 0 – 10V, 4 – 20mA) um.
Aktoren beeinflussen den Prozess mittels Antrieben, Ventilen und sonstigen Stellgliedern in
Abhängigkeit von den vom Automatisierungssystem ausgegebenen (normierten)
Ausgangssignalen.
Quelle: Siemens
Abbildung 2: Schematische Darstellung einer Leittechnikanlage
Automatisierungsebene
Entkopplung, Glättung, etc.) dienen und wandeln die Signale in Prozessdaten mit realen
Prozesseinheiten (z.B. bar, kg/s, %) um. Ggf. versorgen die Automatisierungssysteme die
vorgeschalteten Sensoren auch mit der notwendigen Energie. Gemäß der im
Automatisierungssystem hinterlegten Programmlogik werden diese Eingangsdaten
verarbeitet, bei Bedarf mit manuellen Eingaben des Bedienpersonals verknüpft und in
Ausgabedaten überführt. Ausgabemodule wandeln die Ausgabedaten in der Regel in
elektrische Ausgangssignale um, die mit Hilfe der nachgeschalteten Aktoren (Pumpen,
Antriebe, Ventile, etc.) den verfahrenstechnischen Prozess beeinflussen. Die in den
Automatisierungssystemen hinterlegte Prozesslogik umfasst nicht nur die eigentlichen
Programme zur Prozessführung, sondern auch Programme, die zur Behandlung von
Fehlerzuständen und kritischen Prozesssituationen dienen. Aus diesem Grund müssen diese
Systeme strengen Echtzeitanforderungen genügen, um Schäden für Personen, Anlage
sowie Umwelt zu vermeiden.
Nicht-redundant
Hochverfügbar
Fehlersicher
Die nicht-redundante Ausführung entspricht der einfachen Ausführung der Systeme, die
vielfach auch als „einkanalig“ beschrieben wird, da jede Systemfunktion und -komponente
nur einmal vorhanden ist.
Es ist offensichtlich, dass die Schutz- und Sicherheitsfunktionen, die die Umgebung des
Automatisierungssystems vor physischen Schäden bewahren sollen, eine besonders
schützenswerte Systemeigenschaft hinsichtlich der IT-Sicherheit darstellen.
Im engl. Sprachraum werden die Automatisierungssysteme auch mit dem Begriff „Process
Logic Controller“ (PLC) bezeichnet
Im engl. Sprachraum werden die Bedien- und Beobachtungssysteme auch mit dem Begriff
„Human Machine Interface“ (HMI) bezeichnet.
Projektierungssysteme
Je nach Hersteller lassen sich mit den Projektierungssystemen auch die Parameter der
Aktoren und Sensoren einstellen.
Im engl. Sprachraum werden die Projektierungssysteme auch mit dem Begriff „Engineering
system“ (ES) bezeichnet.
Informationssysteme
Neben den oben geschilderten Aufgaben der Leitsysteme stellen die Betreiber
prozesstechnischer Anlagen in zunehmendem Maße die Anforderung, Prozessdaten nicht
dem Bedienpersonal im Leitstand, sondern auch den Mitarbeitern im Büroumfeld zur
weiteren Verarbeitung und Analyse zur Verfügung stellen zu können. Dies erfordert die
Anbindung eines Prozessdatenarchives an die Leittechnik, die die Büromitarbeiter in der
Lage versetzt, nach eigenem Bedarf Datenanalysen vorzunehmen.
2.2 Technologietrends
Der Übergang der Leit- und Automatisierungstechnik von einer Technologie, die auf
diskreten Bauelementen basierte (Logikbausteine, Integrated circuits) zu den heute
genutzten Systemen auf Basis von Standardkomponenten, d.h. Verzicht auf
Spezialhardware und Nutzung von Standardbetriebssystemen anstelle proprietärer
Betriebssysteme, lässt sich grob in 4 Phasen unterteilen (siehe Abbildung 3).
Die aufgeführten Zeiträume sind nur zur groben Orientierung angegeben. Sie können sich je
nach Hersteller, Branche, Anlagentyp und geografischer Region unterscheiden:
Vernetzung: keine
Phase 3 Standardisierung
Phase 4 Vernetzung
Mit Blick auf den Schutz der Systeme vor Angriffen lassen sich daraus folgende
Technologietrends ableiten und neuartigen Risiken zuordnen:
Die Verfügbarkeit von Suchmaschinen im Internet, die sich auf das Auffinden von
Automatisierungssystemen spezialisiert haben, erleichtert das Finden sowie den
Zugang zu diesen Systemen erheblich.
1. Vertraulichkeit
2. Integrität
3. Verfügbarkeit
Je nach Anwendungszweck des Systems kann die Priorität von Vertraulichkeit und Integrität
auch vertauscht sein. Beispielsweise hat bei Informationen, die aus rechtlichen Gründen
veröffentlicht werden, die Richtigkeit der Daten Vorrang vor einer nicht notwendigen
Vertraulichkeit der Informationen (wg. Veröffentlichung im Internet).
Weitere Schutzziele von IT-Systemen, wie z.B. die Nachvollziehbarkeit oder die
Nichtabstreitbarkeit von Transaktionen, sollen im Kontext der vorliegenden Arbeit nicht weiter
betrachtet werden, da sie für leittechnische Systeme (derzeit) keine Rolle spielen.
verliert das Bedienpersonal ggf. die Anlagenkontrolle und die Schutzfunktionen sind nicht
mehr verfügbar: es entsteht das Risiko von Personen-, Anlagen- oder Umweltschäden.
1. Verfügbarkeit
2. Integrität
3. Vertraulichkeit
b) Im Falle einer Unverfügbarkeit des Leitsystems verliert das Bedienpersonal u.U. die
Prozesskontrolle. Auch in diesem Falle ist eine Notabschaltung einzuleiten – mit den
bereits erwähnten finanziellen Einbußen. Die Anlagenabschaltung in solchen
Situationen kann bei kritischen (im Sinne von gefährlich) Prozessen auch behördlich
vorgeschrieben sein.
Ebenfalls sehr hohe Priorität genießt die Systemintegrität, da logische Fehler in den System-
oder Ablaufprogrammen Fehlfunktionen verursachen können, die sich über die
angeschlossenen Aktoren in die physische Umgebung auswirken. Die Vertraulichkeit der
Daten in Leittechniksystemen genießt vielfach geringe Priorität. Gespeicherte oder
übertragene Daten verfügen in Automatisierungssystemen vielfach nicht über den
erforderlichen Informationskontext (Signalname, Wertebereich etc.), was eine nicht
autorisierte Auswertung erschwert bzw. unmöglich macht. Ausnahmen für Systeme mit
höheren Anforderungen an die Vertraulichkeit stellen z.B. SCADA-Systeme für chemische
Produktionsverfahren dar, da die in der Systemlogik abgebildeten Produktionsregeln das
spezifische Produktions-Knowhow des Unternehmens darstellen. Generell ist jedoch
zukünftig mit einer zunehmenden Bedeutung der Aspekte des Knowhow-Schutzes bei
Automatisierungssystemen zu rechnen.
2.3.3 Echtzeitanforderungen
Neben dem eher statischen Charakter der Leit- und Automatisierungssysteme existiert in der
Praxis noch ein weiterer Unterschied, der wesentliche Auswirkung auf die IT-Sicherheit hat:
der physische und logische Zugang zu den Leitsystemen. In der Regel hat nur ein kleiner
Personenkreis physischen Zugang in die Räumlichkeiten mit Leittechnikkomponenten und
logischen Zugang über Netzwerkverbindungen. Des Weiteren sind in Systemen mit
aktuellem Sicherheitskonzept die physischen Standardschnittstellen, wie z.B. CD- / DVD-
Laufwerke oder USB-Schnittstellen deaktiviert. Diese Abschottung bringt jedoch mit sich,
dass sich Sicherheitsupdates nicht automatisiert einspielen lassen. Das manuelle Einspielen
setzt voraus, diese Abschottung zumindest temporär aufzuheben.
Falls der Betreiber die Entscheidung für das Herunterfahren des verfahrenstechnischen
Prozesses zum ausschließlichen Zwecke der Systemaktualisierung und einem
anschließenden Neustart trifft, stellt sich ein weiteres Dilemma: die notwendigen Eingriffe in
den verfahrenstechnischen Prozess verursachen unter Umständen erhebliche finanzielle
Einbußen. Das Einspielen der Sicherheits-Patches verursacht damit gerade jene Kosten, die
durch Beseitigung der Systemschwachstelle vermieden werden sollten. Der Betreiber fügt
sich durch die Systemaktualisierung somit selbst den Schaden zu, den ein potentieller
Angreifer durch Ausnutzen der Systemschwachstelle verursachen wollte. Dessen ungeachtet
reduziert der Betreiber mit der Systemaktualisierung die Risiken physischer Schäden an
Personen, Anlagen und Umwelt.
Da MS Windows XP seit 2002 im Einsatz sein kann, ist im Falle des Umstiegs auf ein
neueres Betriebssystem in der Regel ein Hardware-Tausch notwendig.
In jedem Falle muss der SCADA-Betreiber die Verknüpfung der notwendigen IT-Sicherheit
seiner Systeme mit der Servicefähigkeit des Lieferanten sowie den Migrationsaufwand
(Zeitraum) seines SCADA-Systems mit den verfahrenstechnischen Randbedingungen der
Produktion in Einklang bringen.
Abschließend sei noch auf ein formales Problem bezüglich der Systemaktualisierungen
hingewiesen. Für besonders kritische Anlagen, d.h. Anlagen deren Störung oder
Nichtverfügbarkeit besonders unerwünschte Auswirkungen auf die Umgebung haben
könnten, legen die zuständigen Aufsichtsbehörden besondere Auflagen für das Einspielen
von Software fest. Neben eindeutigen Vorgaben für den Prozesszustand während der
Wartungsmaßnahmen, müssen Hersteller u.U. umfangreiche Dokumentationen für die
geplanten Maßnahmen vorlegen, die z.B. auch mögliche Auswirkungen der einzuspielenden
Software beinhalten. Für sogenannte „Qualifizierte Systeme“ können Aufsichtsbehörden
sogar einen umfangreichen Re-Zertifizierungsprozess vorschreiben.
Auf die unterschiedliche Handhabung der IT-Sicherheit für IT-Systeme zur betrieblichen oder
privaten Nutzung sowie den Leit- und Automatisierungssystemen wird nun auch in ersten
Standards hingewiesen. (DKE, 2014) weist darauf hin, dass „Normen wie ISO/IEC 27000,
ISO/IEC 27001 und ISO/IEC 27002 […] wegen der spezifischen Eigenheiten
rechnerbasierter leittechnischer Systeme in KKW, zu denen auch die Anforderungen
bezüglich Reaktorsicherheit und Genehmigungsverfahren zu zählen sind, nicht direkt auf den
Cyberschutz dieser Systeme anwendbar [sind].“
3.1 Überblick
Die Abgrenzung zwischen funktionaler Sicherheit und IT-Sicherheit dient dem Zweck, die IT-
Sicherheit leittechnischer Systeme als Schutzelement der funktionalen Anlagensicherheit zu
verdeutlichen. Aus der Analyse verschiedener Definitionen der „IT-Sicherheit“ lässt sich eine
Herangehensweise für die Analysemethode und die Kennzahlenmatrix ableiten.
Voraussetzung für die weitere Betrachtung der Bedrohungen der Leit- und
Automatisierungssysteme ist Entwicklung eines Bedrohungsmodells, das sowohl die
Analysemethode als auch notwendige Abgrenzungen bzw. Ausschlüsse (von der weiteren
Betrachtung) plausibilisiert. Mit Hilfe des Bedrohungsmodells lassen sich die Aktoren des
generischen Angriffsszenarios identifizieren und die numerischen bzw. funktionalen
Zusammenhänge untersuchen. Das Bedrohungsmodell, das der weiteren Betrachtung
zugrunde liegt, grenzt jene Aktoren ab, für die Systemanalysten keine validen Daten zur
Verfügung stehen. Im Gegensatz zu anderen Analyseansätzen liefert das vorzustellende
Bedrohungsmodell jene Aktoren, die einer faktenorientierten Betrachtung zugänglich sind.
Der dt. Begriff „Sicherheit“ findet in der engl. Sprache zwei Entsprechungen: Safety und
Security.
Sicherheit im Sinne des engl. Begriffs „Safety“ wird im dt. Sprachraum als funktionale
Sicherheit bezeichnet und beschreibt Systemfunktionen, die dem Schutz der
Systemumgebung vor Fehlfunktionen des betrachteten Automatisierungssystems dienen
(Abbildung 4). Als Systemumgebung können Personen, Anlagen und Anlagenteile sowie die
von dem betreffenden System über die angeschlossenen Aktoren beeinflussbare Umwelt
aufgefasst werden.
Das für die Automatisierungstechnik wichtige Regelwerk (ISA-62443-1-1, 2014) definiert den
Begriff der funktionalen Sicherheit als "freedom from unacceptable risk".
3.2.2 IT-Sicherheit
betrachteten Systems, das primäre Ziel der IT-Sicherheit dar. IT-Sicherheit (im Sinne des
engl. Begriffs „Security“) bezeichnet den Schutz des betrachteten Systems vor
Manipulationen aus der Systemumgebung. Systemmanipulationen stellen absichtliche oder
unabsichtliche Veränderungen der Anwendungs- oder Konfigurationsdaten des Zielsystems
dar, die zu einem Systemverhalten führen können, das nicht den Anforderungen der
Aufgabenstellung sowie geltenden technischen Regelwerken genügt (Abbildung 4).
Das für die Automatisierungstechnik wichtige Regelwerk (ISA-62443-1-1, 2014) definiert den
Begriff der IT-Sicherheit als
3. Systemressourcen, die sich in einem Zustand frei von unberechtigtem Zugriff und von
unberechtigtem oder unbeabsichtigten Änderungen, Zerstörungen oder Verlust
befinden
Für die weitere Betrachtung der IT-Sicherheit von SCADA-Systemen lassen sich aus dieser
Definition folgende Aspekte ableiten:
Einen wichtigen Aspekt fügt (Eckert, 2008) der obigen Definition von IT-Sicherheit hinzu:
Sicherheit wird als die Eigenschaft eines funktionssicheren Systems aufgefasst, nur solche
Systemzustände anzunehmen, die keine unautorisierte Informationsveränderung oder -
gewinnung ermöglichen.
In Kapitel 2.3.2 wurde bereits auf die vorrangigen Schutzziele „Verfügbarkeit“ und „Integrität“
von SCADA-Systemen hingewiesen. Diese Schutzziele ergeben sich aus der vorgenannten
Definition des Begriffes „IT-Sicherheit“ (Kapitel 3.2.2). Das System soll die geforderten
Systemdienste und -funktionen trotz Angriffsbemühungen robust bereitstellen
(„Verfügbarkeit“) und die Systemfunktionen korrekt ausführen und nur zulässige
Systemzustände einnehmen („Integrität“).
Das Schutzziel „Vertraulichkeit“ genießt hingegen eine nachrangige Priorität. Eine Ausnahme
bilden Systeme deren Prozesslogik wertvolle und damit schützenswerte
Betriebsgeheimnisse enthält. Diese Art der Automatisierungssysteme findet man z.B. im
Bereich der chemischen oder pharmazeutischen Industrie. Im weiteren Verlauf dieser Arbeit
beschränkt sich die vorliegende Betrachtung auf die Schutzziele „Verfügbarkeit“ und
„Integrität“. Diese beiden Schutzziele leiten sich aus der Anforderung an SCADA-Systeme
ab, die implementierte Prozesslogik zu jedem geforderten Zeitpunkt (= Verfügbarkeit) korrekt
(= Integrität) auszuführen. Systemanforderungen hinsichtlich der funktionalen Sicherheit (=
Safety) betrachten vorrangig die Aspekte der Beherrschbarkeit von Systemstörungen und
analysieren Ursachen primär innerhalb des betrachteten Systems. Fragen hinsichtlich
Fehlerursache und –auswirkung bleibt im weiteren Verlauf unberücksichtigt (siehe z.B.
(Eusgeld, et al., 2008)). Maßnahmen zur Beherrschung solcher Störungen können
beispielsweise Redundanzkanäle mit Synchronisationskontrolle, Auslegung von
Bauelementen, Fehlerfrüherkennungs- und Meldemechanismen usw. sein. Im Gegensatz zur
funktionalen Sicherheit stellt die IT-Sicherheit die Frage, wie eine unzulässige Manipulation
eines Systems von außen verhindert werden kann. Ziel einer unzulässigen
Systemmanipulation ist es, das korrekte Funktionieren eines Systems temporär oder auf
Dauer zu beeinträchtigen. Aufgrund der Vermutung, dass im Falle einer derartigen
Androhung einer Manipulation der Betreiber zusätzliche Schutzmaßnahmen ergreifen würde,
wird der Fall der Androhung einer Manipulation nicht weiter betrachtet.
Der vorangegangene Abschnitt (3.2.2) stellte wesentliche Definitionen der IT-Sicherheit vor.
Diese Definitionen adressieren sowohl die Schutzmaßnahmen für SCADA-Systeme als auch
die korrekten und verfügbaren Systemfunktionen im Sinne von Systemeigenschaften. Diese
Definitionen haben jedoch ein gemeinsames Defizit: es fehlen Definitionen und Methoden
hinsichtlich der Messbarkeit der IT-Sicherheit. Die Definitionen beschreiben keine Variable,
die eine eindeutige Aussage zum Status der Systemsicherheit ermöglichen würde.
Hersteller und Betreiber von Leit- und Automatisierungssystemen stehen also trotz der
genannten Definitionen vor den Fragen:
Aufgrund der bereits erwähnten Tatsache, dass es keine Größe gibt, die den
Sicherheitsstatus eines Computersystems hinreichend repräsentiert, greifen Analysten in der
Regel auf die Variable „Risiko“ als Ersatzgröße zurück. Auf risikobasierte Analysemethoden
wird in Kapitel 4 eingegangen werden. Zur Motivation sei vorab die Frage aufgeworfen,
welchen Nutzen Ergebnisse der Sicherheitsbetrachtungen für SCADA-Systeme in der Form
„Die Sicherheit ist MEDIUM“ oder „Die Sicherheit beträgt 57%“ für den Betreiber haben. Wie
noch zu zeigen sein wird, lassen sich solche Ergebnisse - falls überhaupt vorhanden – nur
oberflächlich mit den Aussagen zu ähnlicher Anlagen oder mit den Ergebnissen früherer
Analysen vergleichen. Erschwerend kommt hinzu, dass die Vergleichbarkeit von
Analyseergebnisse kritisch hinterfragt werden sollte (siehe 4.3). Konkrete Maßnahmen zur
Verbesserung der Anlagensicherheit lassen sich aus solchen Ergebnissen in der Regel nicht
ableiten.
Für die Beurteilung der IT-Sicherheit durch die Betreiber ist die Frage relevant, wie
umfangreich die Kenntnisse die Betreiber hinsichtlich der von ihnen betriebenen SCADA-
Systeme überhaupt sind. Betriebssysteme, SCADA-Applikationen sowie Firmware-
Komponenten enthalten in der Regel Software (Closed Source Software), über die Betreiber
keine detaillierten Informationen erhalten. Software-Analysemethoden, wie z.B. statische
Codeanalyse des Source-Codes, kommen deshalb nicht in Betracht. Die Ergebnisse wären
auch von begrenztem Nutzen, da die Betreiber an der Software üblicherweise keine
Änderungen vornehmen können (fehlende Sachkunde) bzw. wollen (Erlöschen der
Garantie).
Für den Betreiber mündet die Frage nach der System-IT-Sicherheit in die Betrachtung,
welche Manipulationen an dem zu untersuchenden System möglich sind. Die Antwort auf
diese Frage liefert dann Hinweise für Handlungsoptionen zur Verbesserung der
Systemsicherheit.
Angreifer
Zielsystem (SCADA-System)
Abbildung 5: Bedrohungsmodell
Im Gegensatz zu einem IT-System, wie z.B. einer Datenbank, einem Internet-Server usw.,
stellt die Störung oder die Manipulation eines Leitsystems keinen direkten „Nutzen“ für den
Angreifer dar: es lassen sich in der Regel keine Daten nutzbringend entwenden (evtl.
Ausnahme: Pharmazie oder Chemie o.ä.) oder Internetdienste missbräuchlich nutzen. Das
Interesse des Angreifers liegt im verfahrenstechnischen Prozess, den das SCADA-System
kontrolliert. Das Androhen oder Herbeiführen eines Schadens an Menschen, Anlagen oder
Umwelt stellt das Bedrohungsszenario für den Betreiber dar. Für die weitere Betrachtung
wird deshalb davon ausgegangen, dass das primäre Ziel des Angreifers der
verfahrenstechnische Prozess ist und das Automatisierungssystem lediglich das Mittel zum
Zweck darstellt. (Rid, 2013 S. 13) bezeichnet diese code-basierte Zerstörung als „parasitäre“
Eigenschaft des Zielsystems.
Die Analyse von Angriffsmodellen gegen die SCADA-Systeme zum Zwecke eines Schadens
in der physischen (und kommerziellen) Welt, kann nur mit Hilfe der drei oben genannten
Elemente erfolgen. Für die weitergehende Sicherheitsanalyse stellt sich somit die zentrale
Frage, welche Informationen über diese drei notwendigen Instanzen im Kontext der
Zielanlage überhaupt verfügbar sind:
Angreifer
Eine umfassende Analyse der Sicherheit eines SCADA-Systems setzt voraus, dass
Informationen zur Beurteilung potentieller Angreifer vorliegen. Diese Daten müssen in
nachvollziehbarer und reproduzierbarer Form zugänglich sein.
Betrachtet man unter dieser Randbedingung das Element „Angreifer“, so wird offensichtlich,
dass einem Betreiber in der Regel keine Informationen über (potentielle) Täter vorliegen.
Selbst die Frage, ob überhaupt eine Angriffsbedrohung vorliegt, lässt sich in der Regel nicht
fundiert beantworten. Schließlich ist angesichts der begrenzten Zahl der Zielsysteme und
den möglichen Gegenmaßnahmen seitens der Anlagenbetreiber ist nicht davon auszugehen,
dass ein Angreifer einen Angriff ankündigt bzw. androht. Die Anwendung bzw. die Gültigkeit
statistischer Daten hinsichtlich einer Angriffswahrscheinlichkeit wird später in Kapitel 4
diskutiert werden.
Aus den vorangegangenen Überlegungen resultiert, dass sich aus dem Element „Angreifer“
keine Daten für eine auf Fakten basierte, reproduzierbare Ergebnisse liefernde
Analysemethode ableiten lassen. Aus diesem Grund bleibt der Angreifer in der weiteren
Betrachtung und Entwicklung einer neuen Analysemethode ausgeklammert.
Zielsystem
Das zweite Element des Bedrohungsmodells gemäß Abbildung 5 stellt das das SCADA-
System als eigentliches Ziel des Angriffes dar. Die Schwachstellen eines Systems stellen
hinsichtlich der Beurteilung der IT-Sicherheit von Computersystemen wesentliche Kriterien
dar: je größer die Zahl der Schwachstellen, desto geringer die IT-Sicherheit des betrachteten
Systems (Patel, et al., 2008).
In Anhang A1 ist anhand des Linux-Kernels eine Abschätzung der Anzahl von Software-
Schwachstellen dargestellt. Allein für den Betriebssystemkern erhält man schätzungsweise
über 3.000 Schwachstellen, die über den Nutzungszeitraum eines Leitsystems (typisch: 15
Jahre) trotz ca. 75 Updates pro Jahr unkorrigiert bleiben. Der Fehlervorrat für die
Entwicklung von „Zero Day Exploits“ scheint hinreichend groß.
Mit der skizzierten Abschätzung der Gesamtfehlerzahl des Linux-Kernel korreliert die
Aussage von Phil Zimmermann in (Wetter, et al.):
Verschärfend kommt die „Lebensdauer“ der Zero-Day-Exploits hinzu, die sich über einen
signifikanten Teil einer typischen Software- oder Systemnutzungsdauer erstreckt: (Bilge,
Leyla; Dumitra, Tudor, 2012) identifizieren die durchschnittliche Zeitdauer zwischen
Freisetzung von Schadsoftware zur Ausnutzung einer Schwachstelle und der
Veröffentlichung der Schwachstelle bzw. des Patches auf ca. 10 Monate. Berücksichtigt man
die typische Nutzungsdauer von Softwareprodukten und IT-Systemen von ca. 3 … 5 Jahren,
die Vielzahl der Schwachstellen sowie die z.T. erhebliche Zeitspanne bis Schwachstellen
durch die Anwender gepatcht werden, dann wird ersichtlich, dass Patch-Maßnahmen in der
ersten Hälfte der Softwarenutzungsdauer nur bedingt vor Angriffsmöglichkeiten mittels Zero-
Day-Exploits schützen. Vergleich man diese Abschätzung mit den Werten von (Sumner
Lemon, 2007), so ergibt sich im Laufe von 5 Jahren eine geringfügige Verkürzung der Zero-
Day-Lebensdauer um ca. 10%.
Aus der skizzierten Abschätzung und der Lebensdauer von Zero-Day-Exploits lassen sich für
SCADA-Betreiber zwei Erkenntnisse ableiten:
2) Der Patch-Aufwand lässt sich rechtfertigen, weil durch die Beseitigung der öffentlich
bekannten Schwachstellen jenen Angreifern, die keinen Zugang zu Zero-Day-Exploits
haben, Angriffsmöglichkeiten genommen werden.
Aus dem oben skizzierten Bedrohungsmodell, bestehend aus den drei Elementen „Angreifer
– Zielsystem – Angriffspfad“, wurden Annahmen über potentielle Angreifer bereits als nicht
hilfreich für eine faktenbasierte Analysemethode identifiziert und deshalb das Element
„Angreifer“ aus der weiteren Betrachtung entfernt. Angesicht der obigen Abschätzung mit
dem Ergebnis, dass ca. 66% (siehe: Anhang A1) aller Software-Fehler über die
Nutzungsdauer eines Leitsystems hinweg existieren, ergibt die Analyse von (bekannten)
Software-Schwachstellen für die Sicherheitsanalyse keinen nennenswerten Nutzen für die
Sicherheitsanalyse: auch das zweite Element, das „Zielsystem“ mit der Perspektive der
Systemschwachstellen, muss für die weitere Betrachtung ausgeschlossen werden.
Die Elemente „Angreifer“ und „Zielsystem“ des Bedrohungsmodells liefern den Betreibern
leittechnischer Systeme – wie oben ausgeführt – keinerlei Fakten, die als Grundlage einer
Sicherheitsbeurteilung dienen können. Für eine Sicherheitsanalyse mit dem Ziel
Zur Verdeutlichung der letzten Ausprägung sei auf die Angriffsvariante hingewiesen, in deren
Verlauf z.B. USB-Speicher im Eingangsbereich einer Zielanlage „verloren“ werden, in der –
leider berechtigten – Hoffnung, dass ein Finder den Speicher an die USB-Schnittstelle eines
Bürocomputers anschließt und die gespeicherte Schadsoftware sich in der Zielanlage
ausbreiten kann.
1. SCADA-Netzwerkstruktur
Auf die Berücksichtigung dieser Zugangstypen geht Kapitel 5.2 bei der Beschreibung der
neuen Analysemethode ein. Die Struktur des Leitsystems (Systemtopologie) stellt somit das
einzige Element des Bedrohungsmodells dar, für das der Betreiber über fundierte
Informationen verfügt. Neben den praktischen Erwägungen, dass über die potentiellen
Angreifer und deren Beziehung zum Zielsystem keine validen Aussagen möglich sind, ist mit
der Fokussierung auf den Angriffspfad ein methodischer Vorteil verknüpft: Annahmen und
Vermutungen – oder besser: Spekulationen – über Angreifer stellen keine Aussage über das
Zielsystem hinsichtlich dessen IT-Sicherheit, sondern eben Aussagen über die Angreifer dar.
Im Gegensatz dazu bilden Analyseergebnisse, die auf Fakten der SCADA-Topologie
beruhen, Aussagen zur IT-Sicherheit mit Zielsystembezug.
Auf die Frage, wie Sicherheit als Systemeigenschaft von den verschiedenen individuellen
Systemteilen und -funktionen abhängt, gingen bereits (Dobson, et al., 2001) ein. Sie
erkannten, dass z.B. der Entwicklungsprozess das Auseinanderfallen der Sicherheit des
Gesamtsystems und der Sicherheit der einzelnen Systembestandteile hervorrufen kann.
IT-Sicherheit lässt sich somit als Systemeigenschaft auffassen, die nicht (ausschließlich) auf
der Implementierung individueller Systemfunktionen beruht, sondern das nach außen
wirksame Verhalten des Gesamtsystems beurteilt: das Ganze ist mehr als die Summe der
Teile (Gillils, 2013). Dieser Sachverhalt spiegelt sich später in einem Element der
vorgeschlagenen Sicherheitsmetrik wider (SACDA-Angriffsoberfläche, siehe Kapitel 6.5.1).
In diesem Kapitel 3 wurden folgende, für die weitere Beurteilung der IT-Sicherheit von Leit-
und Automatisierungssystemen wesentliche Aspekte kurz zusammengeführt.
Die weiteren Überlegungen hinsichtlich der IT-Sicherheit von SCADA-Systemen basieren auf
dem skizzierten, dreiteiligen Bedrohungsmodell:
Angreifer
Zielsystem (SCADA-System)
Für das Element „Angreifer“ liegen dem Betreiber der leittechnischen Anlage keine validen
Daten für eine auf Fakten basierte, reproduzierbare Ergebnisse liefernde Analysemethode
vor. Aus diesem Grund bleibt der Angreifer in der weiteren Betrachtung und Entwicklung
einer neuen Analysemethode ausgeklammert.
Wie oben gezeigt, verbleiben ca. 66% aller Software-Fehler über die gesamte
Nutzungsdauer eines Leitsystems hinweg unkorrigiert. Die Analyse von (bekannten)
Software-Schwachstellen für die Sicherheitsanalyse liefert somit keinen nennenswerten
Nutzen. Deshalb bleibt das Element „Zielsystem“ mit der Perspektive der
Systemschwachstellen aus der weiteren Betrachtung ausgeschlossen.
Als verbleibendes Element des Bedrohungsmodells erweist sich der Angriffspfad, d.h. die
physische und/oder logische Verbindung vom Angreifer zum Zielsystem. Die Struktur des
Leitsystems (Systemtopologie) muss dementsprechend im Rahmen der Sicherheitsanalyse
auf jene Pfade hin untersucht werden, über die ein Angreifer sich Zugang zum System
verschaffen und Schwachstellen des Systems ausnutzen kann (Angriffs- und
Ausführungspfad). Der Angriffspfad stellt das einzige Element des Bedrohungsmodells dar,
für das der Betreiber über fundierte Informationen verfügt.
Die Beurteilung der IT-Sicherheit soll idealerweise auf Basis objektiver Fakten in einer
operativ handhabbaren Variablen resultieren. Die Auffassung von IT-Sicherheit als
Eigenschaft des Gesamtsystems soll in die Bildung dieser Größe einfließen. Schließlich
sollen die grundlegenden Faktoren dieser Größe dem Betreiber der Zielanlage verfügbar
sein und ausschließlich auf Fakten der SCADA-Topologie beruhen. Diese Voraussetzung
ermöglicht Aussagen zur IT-Sicherheit mit ausschließlichem Zielsystembezug als
Analyseergebnisse.
Diese Ergebnisse der vorangegangenen Abschnitte bilden die Grundlagen für die
nachfolgenden Betrachtungen zur Beurteilung der IT-Sicherheit von SCADA-Systemen.
4.1 Motivation
Zunächst stellt sich die Frage, ob und warum die IT-Sicherheit von Leit- und
Automatisierungssystemen überhaupt analysiert werden muss. Schließlich sind diese Art von
Systemen seit vielen Jahren im betrieblichen Einsatz (siehe Abbildung 3), während der Ruf
nach mehr IT-Sicherheit erst seit wenigen Jahren an Bedeutung gewinnt (~ 2008 / 2010).
Veranlassung
Spätestens seit der medialen Aufmerksamkeit, die „Stuxnet“ zuteilwurde, kann kein
Unternehmensverantwortlicher behaupten, nicht gewusst zu haben, dass das Verursachen
physischer Schäden mittels SCADA-Systemen möglich ist. Als erster Schritt – auch zum
rechtlichen Eigenschutz der Unternehmensleitungen – ist die Betrachtung des Ist-Zustandes
unter Einbeziehung der jeweiligen Systemlieferanten unvermeidlich.
Ursache
Als Zweites stellt sich die Frage, warum die IT-Sicherheit leittechnischer Systeme in den
zurückliegenden 5 … 8 Jahren in steigendem Maße an Bedeutung gewonnen hat. Die
Ursache dieses Bedeutungsgewinnes geht mit der Entwicklung der Leit- und
Automatisierungssysteme unter den maßgeblichen technologischen Trends einher (siehe
Kap. 2.2 Technologietrends). Wesentliche Treiber dieser technischen Entwicklung sind die
zunehmende Verwendung von Standardkomponenten (Betriebssysteme, Datenbanken,
Applikationen, Netzwerkprotokolle und Schnittstellen). Das für Angriffe auf SCADA-Systeme
notwendige Wissen ist durch die Verwendung dieser Standardkomponenten in weiten
Personenkreisen vorhanden und darüber hinaus erleichtert das Internet den Zugang zu
Fachinformationen ganz wesentlich. Des Weiteren trägt die Vernetzung von leittechnischen
Systemen und sogenannten Geschäftsanwendungen im Intranet der Betreiberfirmen zur
Steigerung des Angriffsrisikos bei. Schließlich erhöht auch die direkte oder indirekte
Anbindung von SCADA-Systemen an das Internet das Gefährdungsrisiko der
Leittechnikanlagen.
Ziele
Nach der Klärung des „Ob“ und „Warum“ von Analysen zur SCADA-IT-Sicherheit rücken die
mit den Analysen angestrebten Ziele in den Fokus der Betrachtung: die Analysen sollen
Verantwortlichkeit
Ergebnisse
Die abschließende Frage ist, welche Ergebnisse aus den Analysen der SCADA-IT-Sicherheit
werden erwartet. Aus Betreibersicht müssen die Ergebnisse zwei Aspekte adressieren:
Neben der Frage nach den Inhalten der Analyseergebnisse stellt sich auch die Frage, in
welcher Form die Ergebnisse darzustellen sind, um anschließend in die betrieblichen
Arbeitsabläufe einzufließen. Aufgrund der ingenieurmäßigen Prägung der Zielgruppen im
Bereich der Leittechnikverantwortlichen, bietet es sich an, die Ergebnisse in Form von
Kennzahlen darzustellen. Auch für den Vergleich von Ergebnissen aus verschiedenen, in
zeitlichen Abständen vorgenommenen Analysen ist die Überführung der Ergebnisse in
geeignete Metriken vorteilhaft. Insbesondere im Unternehmensmanagement werden
Metriken zur Unternehmenssteuerung bevorzugt.
“Unser System ist sicher, weil es für Externe unmöglich wäre, es zu verstehen”
“Wir sind wahrscheinlich kein Angriffsziel, weil wir nicht wichtig oder interessant
genug sind, um Hacker auf uns aufmerksam zu machen”
“Wir hatten noch nie ein Problem. Es gab kein Eindringen oder Stören unseres
Produktionsnetzwerkes”
“Es ist noch nie passiert, also ist es unwahrscheinlich. Ich glaube nicht, dass es
passieren wird”
(Dickman, 2008)
3) Qualifizierte statistische Daten über Angriffe gegen Leitsysteme liegen nicht vor.
4) Die Betreiber verfügen über keine Methode zur Beurteilung der IT-Sicherheit von
SCADA-Systemen.
Gängige Methoden zur Beurteilung der IT-Sicherheit von SCADA-Systemen lassen sich in
folgende Kategorien unterteilen:
Metriken
Risikoanalysen
Im Rahmen einer Studie über IT-Sicherheit in britischen Unternehmen des Sektors der
kritischen Infrastruktur wurden bedenkliche Ergebnisse zutage gefördert (Cornish, et al.,
2011):
Das Bewusstsein der Betreiber kritischer Infrastrukturen gegenüber der IT-Sicherheit sowie
den damit verknüpften notwendigen Handlungsweisen scheint dem Bedrohungspotential der
Anlagen nicht angemessen zu sein.
Die Betrachtung und Analyse der IT-Sicherheit als einen wesentlichen Bestandteil
in die Risikostrategie des Unternehmens integrieren.
(Cornish, et al., 2011) verweisen auf die Notwendigkeit, uneinheitliche Sichtweisen auf die
IT-Sicherheit innerhalb von Unternehmen zu beseitigen und die Grundlagen für effiziente
Handlungsweisen zu schaffen. Als Maßnahmen werden u.a. die Verbesserung des
Bewusstseins gegenüber der IT-Sicherheit sowie eine umfassender Ansatz zur Analyse des
IT-Security-Status empfohlen. Eine angemessene Beurteilung der IT-Sicherheit
berücksichtigt die drei Aspekte Bedrohung, Wirkung und Schwachstelle in ausgewogener
Weise. Eine Über- oder Unterschätzung einer der drei Komponenten hat fehlerhafte
Schlussfolgerungen der restlichen Komponenten zur Folge. Beispielsweise kann die
Schwierigkeit, die Wirkung eines Cyber-Angriffes richtig abzuschätzen, dazu führen, dass
das Risikomanagement einer Organisation fehlgeleitet wird. Insbesondere soll die
Beurteilung der IT-Sicherheit weniger Augenmerk auf den Zustand von Einzelaspekte
(„Virenschutz ist aktuell“) legen als auf die Konsequenzen von Maßnahmen: Verbessert sich
das Schutzniveau oder verschiebt sich der Fokus der Bedrohung auf einen anderen Teil der
Organisation?
An dieser Stelle wird jedoch eine wesentliche Frage im Rahmen der Sicherheitsdiskussion
aufgeworfen: Was bedeutet „Verbesserung des Schutzniveaus“? Diese Frage soll im
weiteren Verlauf der vorliegenden Arbeit behandelt und beantwortet werden.
Messungen stellen singuläre, zeitlich eindeutige Sichten auf spezifische, diskrete Faktoren
dar. Demgegenüber erzeugen Metriken auf der Basis von Messungen und vorab definierten
Vergleichsdaten Kennzahlen. Messungen werden aus Zählvorgängen abgeleitet, während
Metriken im Rahmen von Analysen entstehen und folgenden Aufgaben dienen können:
Risikomanagement
Darüber hinaus schlägt (Savolo, 2007) eine hierarchische Taxonomie von Metriken vor:
(Berinato, 2005) führt folgende, sehr technische IT-Metriken zur Beurteilung der IT-Sicherheit
auf:
Als Grundlage der Sicherheitsbeurteilung soll ein Netzwerk auf bekannte und
unbekannte Netzteilnehmer überprüft werden. Insbesondere sollen
Konfigurationsdaten und Logdateien von Virenschutzlösungen, Firewall und
anderen Schutzeinrichtungen systematisch analysiert werden.
Patch Latency
‚Patch latency‘ wird als Zeitspanne zwischen der Veröffentlichung und der
erfolgreichen Installation eines Patches in den Zielsystemen verstanden
Password Strength
Einen Überblick über verschiedene Metriken zur Beurteilung der Sicherheit in IT-Systemen
geben (Anbalagan, et al., 2009). Die Arbeit zielt auf „Security“ im Kontext des „software
reliability engineering“. Ungeachtet der Tatsache, dass diese Zielsetzung für Betreiber oder
Lieferanten nur einen bedingt nutzbaren Ansatz darstellt, ist es sinnvoll, die vorgestellten
Metriken im Hinblick auf die Brauchbarkeit im SCADA-Kontext zu betrachten:
MTTPR
MTTPE
MTTPC
System Usage
Die ‚System usage‘ umfasst mehrere Parameter: beispielsweise wird die Anzahl
der in Betrieb befindlichen Systeme während eines betrachteten angegeben, wie
viele davon angegriffen wurden und wie hoch ist die durchschnittliche System-
Unverfügbarkeit ist usw.
Rates
Die erfassten Werte der o.g. Kennzahlen lassen sich auch auf verschiedene
Zeiträume normalisieren, wie z.B. definierte Kalenderzeiträume oder die
Zeiträume der Systembetriebszeit.
Fazit:
Die obigen Beispiele verschiedener Autoren zeigen, dass kein Kennzahlensystem existiert,
das für die Anwendung auf Leittechniksysteme hinreichend etabliert ist und in der
betrieblichen Praxis Anerkennung gefunden hat sowie in der Lage ist, reproduzierbare
Ergebnisse ohne subjektive Einflüsse zu liefern.
Das Risikomanagement wird in der Literatur als Prozess aufgefasst, in dem kritische
Anlagewertgegenstände („assets“) identifiziert und mit einem Unternehmenswert versehen
werden. Anschließend folgen die Abschätzung der Wahrscheinlichkeit eines
Sicherheitsvorfalles und die Ableitung des Schadenspotentials (Kaeo, 2004 S. 295ff). Als
wesentliche Schwachpunkte dieser Methode gelten fehlende Anhaltspunkte über die
potentiellen Angreifer gegen ein Unternehmen bzw. Organisation sowie die Schwierigkeit,
die den Systemen zugeordneten Unternehmenswerte objektiv zu bestimmen.
Der Übergang von subjektiven Einschätzungen zu validen statistischen Daten stellt die
Grundlage jeder Risikoanalyse zur Beurteilung der IT-Sicherheit dar. (Baker, et al., 2002)
beschreiben quantitative Methoden zur Risikobeurteilung als systematisch, wiederholbar und
auf objektiven Messungen basierend. Besondere Bedeutung wird der statistischen Validität
beigemessen.
Die Literatur zum Thema „Risikoanalyse“ lässt sich in zwei Kategorien einteilen: Zum einen
gibt es methodische Ansätze, die auf Basis statistischer Daten valide Ergebnisse zum
Risikopotential eines Systems oder einer Anlage ableiten. Als Beispiel hierfür sei (Haimes,
2009) genannt. Eine andere Gruppe von Beiträgen versucht, in praktischen Ansätzen das
Fehlen statistischer Daten zu kompensieren.
Wie oben erwähnt, sollen die Ergebnisse von Sicherheitsanalysen Eingang in das
unternehmensweite Risikomanagements finden. Risikomanagement wird als Kombination
verschiedener Teilschritte zur Bestimmung der Wahrscheinlichkeit von Sicherheitsvorfällen
aufgefasst. Trotz des Fehlens faktenbasierter Aussagen soll die IT-Sicherheit der SCADA-
Systeme als Bestandteil in das Risikomanagement des Unternehmens integriert werden. Die
Teilschritte benennt (Kaeo, 2004 S. 295 ff):
Ungeachtet dieser Defizite schlägt der Autor eine Mischung aus qualitativer und quantitativer
Methode zur Beurteilung von Risiken vor, die zum Zwecke der Darstellung typischer
Vorgehensweisen bei Risikoanalysen kurz skizziert werden soll.
umgesetzt werden. Gerade deshalb sollten solche Prozesse soweit als möglich durch Fakten
und wissenschaftliche Werkzeuge unterstützt und geführt werden. Im Laufe der Zeit sollten
sich die Prozesse im Sinne einer inhaltlichen Konsistenz annähern und zunehmend
quantitativen Charakter annehmen – obwohl die Aufgabenstellung äußerst komplex und es
fraglich ist, ob jemals ein vollständig quantitativer Prozess entstehen wird. Ungeachtet der
gewählten Methodenansätze müssen die Werkzeuge und Modelle einer Validierung
unterzogen werden, um aussagekräftige Ergebnisse zu liefern (Baker, et al., 2002).
Als Beispiel für Ansätze, die das Fehlen statistischer Daten zu kompensieren versuchen, sei
nachfolgende Methodik zur Risikoreduzierung bei kleinen SCADA-Systemen beschrieben.
Der Ansatz geht von der Annahme aus, dass das Risiko eines SCADA-Systems proportional
zur notwendigen Zeit eines erfolgreichen Angriffes ist. Die vorgeschlagene Methode
(McQuee, et al., 2006) ist wie folgt strukturiert:
Schritt 6. Schätze die notwendige Zeit für einen Angriff für jede Komponente
ab
Schritt 9. Wiederhole die Schrittes 3–8 für das Basissystem und erweiterte
Systeme
Für den abschließenden Schritt zur Abschätzung der Reduktion des Risikos schlagen die
Autoren vor, die sich ergebende Verlängerung der Kennzahl ‚time-to-compromise’ als
zentrale Kennziffer zu verwenden.
Auch in diesem Analyseansatz wird deutlich, dass die unsichere Zielgröße „Risiko“ ersetzt
wird durch Rückgriffe auf Einzeldaten, die allerdings genauso unsicher bzw. wenig belastbar
und hochgradig subjektiv sind. Gerade am Beispiel der Größe ‚time-to-compromise’, als der
erforderlichen Zeit für einen erfolgreichen Angriff wird der subjektive Einfluss der
beurteilenden Personen besonders deutlich: Besteht der Kreis der Auditoren aus Personen,
deren Kenntnisse in Sachen IT-Sicherheit – und hier insbesondere: Hacking – gering ist, so
wird der Zeitaufwand wohl eher als „hoch“ eingeschätzt. Dies ergibt sich aus der subjektiven
Einschätzung unerfahrener Personen, die sich vorstellen, selbst einen solchen Angriff
durchführen zu müssen. Demgegenüber schätzen in Sachen „Hacking“ geschulte Personen
den Zeitaufwand für die jeweiligen Angriffsszenarien deutlich geringer ein – in Kenntnis der
eigenen Fähigkeiten und Erfahrungen. Der subjektive Einfluss auf die Analyseergebnisse ist
offensichtlich.
Ziel der Risikoquantifizierung ist die Ableitung einer einfachen Bewertung des erreichten
Sicherheitsniveaus: Das Niveau gilt als angemessen, wenn alle nicht-akzeptablen Risiken
durch geeignete Sicherheitsmaßnahmen ausgeschlossen sind und alle verbleibenden
Risiken durch passende Maßnahmen in ihren Auswirkungen begrenzt werden.
Die Anwendung dieser Methode stößt in der Praxis allerdings auf praktische Probleme:
In vielen Fällen ist eine hinreichend präzise Quantifizierung der betrieblichen Risiken, die
sich aus dem Betrieb leittechnischer Anlagen ergeben, nicht möglich. Hinsichtlich der Frage,
wie wahrscheinlich ein (erstmaliger) Cyber-Angriff gegen ein SCADA-System eines
Betriebes ist, kann z.B. keine faktenbasierte Antwort gegeben werden: es ist das Problem,
die Eintrittswahrscheinlichkeit eines „Schwarzen Schwans“ zu bestimmen (siehe (Taleb,
2012)).
Als erster betriebswirtschaftlicher Ansatz zur Risikoeinschätzung wird die Bestimmung der
Größe „Annual Loss Expectancy” (ALE) betrachtet (Hayden, 2010). Die Formel zur
Bestimmung des erwarteten Verlustes ergibt sich aus der Formel:
ALE = L * P
Methodische Schwächen dieser Methode ergeben sich aus Betrachtung eines einzelnen
Risikos. Das bedeutet für die praktische Anwendung, dass alle betrieblichen Risiken
voneinander getrennt werden müssen und somit alle Bedrohungen und entsprechende
Gegenmaßnahmen einer isolierten Analyse zu unterziehen sind. Das ALE-Modell impliziert
die gegenseitige Unabhängigkeit einzelner Bedrohungen und Gegenmaßnahmen. Das ist in
der Praxis jedoch in den meisten Fällen eine grobe Vereinfachung. Darüber hinaus
berücksichtigt das ALE-Modell keine kumulativen Effekte: die Einzelrisiken werden einfach
addiert (Fox, 2011). Und nicht zuletzt gewichtet das ALE-Modell nicht, ob es sich um einen
großen Schaden mit geringer Eintrittswahrscheinlichkeit oder einen geringen Schäden mit
hoher Eintrittswahrscheinlichkeit handelt. Während sich letztere meist sehr gut kontrollieren
lassen, können erstere aber existenzbedrohend sein und ihr Eintritt sollte daher in jedem Fall
durch geeignete Maßnahmen verhindert werden.
Ein weiteres betriebswirtschaftliches Model zur Risikobetrachtung stellt der ROSI-Ansatz dar,
der auf der Berechnung eines „Return on Security Investment“ (ROSI) beruht (Bourgue,
2012).
Diesem Modell liegt die Überlegung zugrunde, dass jede wirksame Sicherheitsinvestition (SI)
entweder die Eintrittswahrscheinlichkeit (P) oder die Höhe eines bestimmten Schadens (L)
reduziert. Diese Reduktion senkt den erwarteten Schaden (engl. „Annual Loss Expectancy”,
ALE). Der „Gewinn“ einer Sicherheitsmaßnahme ergibt sich damit aus der Verringerung
dieses Erwartungswertes abzüglich der Gesamtkosten der ergriffenen Maßnahme (TCOSI),
und die Kennzahl ROSISI als Quotient aus Gewinn und Kosten. In einem ersten Schritt
berechnet sich der neue Erwartungswert für den potentiellen Schaden aus:
Sicherheitsinvestition [€]
Sicherheitsinvestition [%]
Der „Gewinn“ (RSI) aus der getätigten Sicherheitsinvestition lässt sich nach folgender Formel
bestimmen:
Sicherheitsinvestition [€]
Leider taugt auch dieser Ansatz nur bedingt für eine Aussage hinsichtlich des Risikos eines
Cyber-Angriffs. Der rechnerische Gewinn aus der Sicherheitsinvestition resultiert in einer
Reduzierung des operativen Betriebsrisikos, d.h. eines Erwartungswertes für die Kosten, die
sich aus Sicherheitsvorfällen ergeben. Ob durch die Sicherheitsinvestition tatsächlich
Einsparungen erzielt werden, lässt sich selbst ex-post nicht zuverlässig feststellen: Es ist
äußerst schwierig zu klären, ob ein Angriff aufgrund der Sicherheitsmaßnahmen nicht
stattfand oder ob überhaupt kein Angriff erfolgte.
(Fox, 2011) sieht in den der Methode zugrunde liegenden Erwartungswerten ( ALE-
Ansatz) die systematische Schwachstelle des Ansatzes: Im Gegensatz zur Berechnung von
zahlreichen anderen, versicherbaren Risiken beruhen die Erwartungswerte auf keinen
verlässlichen und ausreichend vergleichbaren Daten aus der Vergangenheit. Damit sind die
Erwartungswerte eher subjektive Einschätzungen des Auditors / Analysten als faktenbasierte
und nachvollziehbare Daten. Erschwerend kommt hinzu, dass mit geringer werdender
Schadenswahrscheinlichkeit auch die evtl. verfügbaren Erfahrungs- oder Vergleichswerte
seltener werden. Damit einher geht die Zunahme der Ungenauigkeit der Schätzung. Zudem
besitzen die Schätzungen der Höhe der Kosten eines Vorfalls eine sehr große "Unschärfe“
(Varianz).
Es existiert eine Reihe von Methoden zur Analyse von Risiken, die sich prinzipiell auf
SCADA-Anlagen anwenden lassen. Für eine aussagekräftige Anwendung dieser Methoden -
vergleichbar zum Bereich der Versicherungswirtschaft - fehlen statistische Daten über
Cyber-Vorfälle in SCADA-Anlagen sowie auswertbare Informationen über potentielle
Angreifer gegen die betrachtete Zielanlage (oder zumindest vergleichbare Anlagen). Die
Ergebnisse aus Risikoanalysen haben deshalb eine hohe Unsicherheit. Angesichts der
absoluten Unsicherheit der Einzelergebnisse besteht die alternative Möglichkeit, nur die
dynamische Entwicklung der Analyseergebnisse, d.h. Resultate regelmäßig erfolgter
Analysen nach gleicher Methodik über eine gewisse Zeit hinweg, zu betrachten. Allerdings
sind auch diese, dem Zweck einer vergleichenden Betrachtung dienenden Ergebnisse, nur
von begrenztem Wert: wechselnde Teilnehmergruppen der Analyseteams, sich im Laufe der
Zeit verändernde Einschätzungen der Teilnehmer hinsichtlich der Bedrohungslage sowie
evtl. Veränderungen der Anlagenstruktur beeinflussen die Resultate. Für den
Anlagenbetreiber besteht somit die Ungewissheit, ob die Veränderung der „Sicherheit“ auf
eine veränderte Einschätzung der Auditoren (subjektiv) oder eine veränderte
Bedrohungslage zurückzuführen ist. Selbst angesichts einer unveränderten „Sicherheit“
besteht die Möglichkeit, dass eine kritischere Bedrohungslage durch gegenläufige Auditoren-
Einschätzungen (wegen unterschiedlicher Teamzusammensetzung) in unerwünschter Weise
kompensiert wird.
Besonders wichtig: eine konkrete Aussage über die IT-Sicherheit von Leit- und
Automatisierungssysteme im Sinne einer Systemeigenschaft (siehe 3.5) liefern weder der
technikorientierte noch der betriebswirtschaftlich geprägte Analyseansatz.
Trotz der vorgenannten Kritik an den Risikoanalysemethoden lassen sich allerdings Kriterien
zur Beurteilung der IT-Sicherheit ableiten, die eine erfolgversprechende
Beurteilungsmethodik charakterisieren.
Die der Analyse zugrunde gelegte Beurteilungsmethode soll für den Anwender
transparent sein, z.B. durch Nutzung eines (systemgestützten) Algorithmus.
Eine Analysemethode für leittechnische Anlagen sollte sich sowohl von SCADA-
Hersteller/Lieferanten als auch von den Anlagenbetreibern anwenden lassen. Für
Lieferanten bietet es sich an, die Sicherheitsanalyse der nach Kundenwünschen
konzipierten Leittechnikanlage bereits vor der Auslieferung vorzunehmen und die
Ergebnisse dem Kunden zu präsentieren. Der Betreiber einer SCADA-Anlage möchte
die Analysemethode im Rahmen des betrieblichen Risikomanagements sowie zur
Sicherstellung eines sicheren Anlagenbetriebes nutzen.
Dieses Kapitel 4 trug folgende, für die weitere Beurteilung der IT-Sicherheit von Leit- und
Automatisierungssystemen wesentliche Aspekte zusammen:
Als wesentliche Kritikpunkte der skizzierten Analysemethoden haben sich die fehlenden
statistischen Daten (im Gegensatz zur Anwendung im Bereich der Versicherungswirtschaft),
der Einfluss subjektiver Einschätzungen auf die Analyseergebnissen, die starke Unsicherheit
hinsichtlich der Aussagekraft der Ergebnisse für die Betreiber und vor allem die fehlende
Aussage zum Anlagenstatus der IT-Sicherheit gezeigt.
Aus der Kritik der Analyseansätze ergeben sich die Kriterien für einen Analyseansatz, der
den Anforderungen der betrieblichen Praxis genügt: Transparenz und Reproduzierbarkeit der
Abbildung der Anlageneigenschaften auf die Analyseergebnisse, Verzicht auf subjektive
Einschätzungen und automatisierbare Analyseschritte sind die wesentlichen Anforderungen.
Schließlich soll das Analyseergebnis eine Aussage über den Sicherheitsstatus der
Zielanlage darstellen.
Die im vorigen Kapitel kurz skizzierten Ansätze zeigen, dass es derzeit keine
zufriedenstellende Methodik zur Beurteilung der IT-Sicherheit einer leittechnischen Anlage
im Bereich der kritischen Infrastrukturen gibt.
Es wird nun der Ansatz einer Beurteilungsmethodik zur Diskussion gestellt, der versucht, die
aufgeführten Schwachstellen zu vermeiden.
Um zu einer neuartigen Methodik zu gelangen, ist der Blickwinkel auf die betrachteten
Systeme und die damit gesteuerten Gesamtanlagen zu verändern. In den im
vorangegangenen Kapitel 4 skizzierten Analysemethoden stand das Risiko, das mit Angriffen
gegen leittechnische Systeme verbunden ist, im Mittelpunkt der Betrachtung. Das
grundlegende Problem aktueller Analyseansätze ist, dass die Angreifer als Ausgangspunkt
der Sicherheitsbetrachtung einer Anlage aufgefasst werden. Das in Abschnitt 3.3
beschriebene Bedrohungsmodell (siehe Abbildung 5) sowie die Diskussion dieses Modells
zeigten die Probleme, hinsichtlich der Modellelemente „Angreifer“ und
„Systemschwachstellen“ zu verlässlichen Aussagen zu gelangen. Ohne Kenntnisse über die
Kompetenzen sowie die technischen, finanziellen und zeitlichen Möglichkeiten der Angreifer,
ohne Kenntnis der hinter dem Angriff steckenden Intensionen und Motivationen und
schließlich ohne Kenntnis der für den Angriff auszunützenden Systemschwachstellen lassen
sich die Auswirkungen auf die Systemumgebung für den Falle eines Cyber-Angriffes nicht
abschätzen. Selbst die aktuell häufig empfohlene Einordnung potentieller Angreifer in
Klassen „typischer Angreifer“, wie z.B. Script-Kiddy, Hersteller von Massen-Schadsoftware
(keine Zielgruppenspezifische Ausprägung) oder Angreifer mit unbegrenzten Ressourcen,
hilft grundsätzlich nicht weiter.
Es stellt sich nun allerdings die Frage, ob mit dieser Überlegung nicht ein in der
Vergangenheit ungelöstes Problem durch ein anderes, ebenso wenig lösbares Problem
ersetzt wird: bisher besteht die Schwierigkeit, Eintrittswahrscheinlichkeiten von Cyber-
Angriffen und deren Auswirkungen ohne statistisch tragfähige Daten für Einzelfälle zu
beurteilen. Dieses Problem wird nun durch die Fragestellung ersetzt, die
Widerstandsfähigkeit gegen heute und zukünftig unbekannte Angriffsszenarien
abzuschätzen.
Der praktische Vorteil dieses Ansatzes („Infektionspfad“) ist, dass sich die Schnittstellen
eines leittechnischen Systems (z.B. USB, Firewire, CD/DVD, Bluetooth, eSATA etc.)
automatisiert erfassen lassen. Die potentiellen Infektionswege sind auf diese Weise
aufzählbar und außerdem für den Betreiber im Rahmen seiner Systemkenntnis bekannt. Es
sei an dieser Stelle jedoch ausdrücklich darauf hingewiesen, dass grundsätzlich nur jene
Angriffspfade Berücksichtigung finden, die das Analyseteam durch systematische
Betrachtung möglicher Angriffsszenarien auf Basis des aktuellen Kenntnisstands herleiten
konnte (siehe Vorgehensweise zur Herleitung von Angriffsszenarien, gemäß Kap. 5.3.3).
Die praktische Umsetzung des neuen Analysekonzeptes gliedert sich somit in folgende
Schritte (siehe auch Abbildung 6):
Die Auflistung erfolgt in allgemeiner Form und ist somit nicht anlagenspezifisch – mit
Ausnahme der Auswahl der betrachteten Rechnertypen und sonstigen Komponenten.
Der nächste Analyseschritt bildet die betrachteten Angriffsmodelle (automatisiert) auf die
Zielsystembeschreibung ab. Als Ergebnis erhält man daraus jene realisierbaren
Angriffsmodelle, die aufgrund der Zielanlageneigenschaften technisch möglich sind.
Schließlich überführt eine geeignete Matrix die Ergebnisse in eine Form, die faktenbasierte
Aussagen zur IT-Sicherheit der leittechnischen Anlage für die Unternehmensführung liefert
und geeignete Handlungsoptionen aufzeigt.
Wie oben gezeigt (siehe 4.3), sind Risikoanalysen sehr stark subjektiven Einschätzungen
unterworfen und liefern daher nur bedingt reproduzierbare Ergebnisse. Besonders
problematisch ist die Einschätzung der Potentiale eines Angreifers (technische und
finanzielle Möglichkeiten, Zeitaufwand, Knowhow etc.). Risikobeurteilungen potentieller
Angriffe gegen Computersysteme, die auf der Einschätzung von Fähigkeiten und
Möglichkeiten (unbekannter) Angreifer beruhen, haben somit nur unbestimmte Aussagekraft.
Als Konsequenz dieser Überlegungen ergibt sich, auf jegliche Einschätzungen potentieller
Angreifer zu verzichten und Angriffsszenarien danach zu beurteilen, welche
Voraussetzungen für einen erfolgreichen Angriff nötig sind. Dieser abgeänderte Blickwinkel
wurde in 5.1 als „Infektionspfad“-Schema bezeichnet. Dieser Denkansatz soll nun dahin
erweitert werden, alle Aspekte zu betrachten, die für einen erfolgreichen Angriff gegen
Computersysteme (hier: Leittechniksysteme) notwendig sind. Diese Angriffsaspekte bilden
ganz nebenbei die Möglichkeit, die Angreifer - ohne jegliche Spekulation - einer
Kategorisierung zuzuführen und eine Priorisierung der Maßnahmen zum Schutz der Anlage
vorzunehmen. Die Angriffsvoraussetzungen lassen sich wie folgt zusammenfassen:
Jeder Angriff gegen ein Rechnersystem setzt einen Zugang zu dem betreffenden System
voraus. Dieser Zugang kann physisch oder logisch, d.h. mittels Netzwerk, erfolgen. Auch
gemischte Zugangsmöglichkeiten sind denkbar.
Die erforderlichen Kompetenzen für die Durchführung eines Angriffes setzen sich in der
Regel aus mehreren Elementen zusammen: anlagenspezifische und allgemeine Fähigkeiten
und Wissen. Leitsysteme stellen in der Regel nicht das eigentliche Angriffsziel dar. Sie sind
eher Mittel zum Zweck, d.h. der Angriff zielt primär gegen den vom Leitsystem geführten
(physikalischen) Prozess. Der eigentliche Angriff gegen den Prozess erfolgt also mit Hilfe
des Leitsystems. Daraus ergibt sich, dass ein Angreifer ggf. über Knowhow bezüglich des
verfahrenstechnischen Prozesses, die System- und Anlagentechnik der angegriffenen
Anlage, sowie personenspezifische Informationen verfügen muss.
Verfügbare Ausrüstung
Zur Durchführung des Angriffes muss ein Angreifer ggf. über unterschiedliche Ausstattung
technischer Gerätschaften verfügen.
Zugangsmöglichkeiten („Access“)
Kompetenzen („Knowhow“)
Ausrüstung („Equipment“)
An dieser Stelle sei auf die Konsequenz dieser neuen Betrachtungsweise hingewiesen: Im
weiteren Verlauf der nachfolgend skizzierten Analysemethode wird nicht versucht, die
Wahrscheinlichkeiten, dass ein (in der Regel unbekannter) Angreifer diese drei
Voraussetzungen erfüllt, abzuschätzen. Im Gegensatz dazu soll eine Kriterienskala die
Schwierigkeit, diese Voraussetzungen zu erfüllen, abbilden.
Seite 69 von 262
Kapitel 5 Vorschlag eines neuen Analysemodells für SCADA-Systeme
Aus diesen Grundüberlegungen lassen sich die Basisparameter für die Beurteilung eines
Angriffsszenarios ableiten. Die drei Parameter
Zugang
Kompetenzen
Equipment
Der Kennwert „Zugang“ bildet eine abstrakte Anlagenstruktur auf vier Kategorien ab:
Gelände
Gebäude
Raum
Gerät
Im Rahmen der Analyse ist für jedes Angriffsszenario zu entscheiden, welcher Zugangsgrad
notwendig ist.
Der Kennwert „Kompetenz“ beschreibt die notwendigen Kenntnisse bzw. Fähigkeiten eines
Angreifers im Rahmen eines gegebenen Angriffsszenarios:
Allgemein
Allgemeines Wissen steht praktisch jedermann zur Verfügung bzw. ist in einfacher
Weise zu erlangen.
Spezifisch
Sensibel
Kritisch
Im Rahmen der Analyse ist für jedes Angriffsszenario zu entscheiden, welche Kompetenzen
notwendig sind.
Allgemein
Eingeschränkt
Restriktiv
Als beschränkt verfügbar gelten Ausrüstungen dann, wenn diese Produkte nicht frei
erwerbbar sind, d.h. Einschränkungen bezüglich des Käufers bestehen.
Individuell
Im Rahmen der Analyse ist für jedes Angriffsszenario zu entscheiden, welche Ausstattung
notwendig ist.
Aus den oben aufgeführten Kriterien für die drei Parameter Zugang, Knowhow und
Ausrüstung lassen sich nun die Angriffsszenarien gegen eine leittechnische Anlage anhand
der notwendigen Voraussetzungen für eine Durchführung des Angriffs beurteilen.
Kriterium
Allgemein Eingeschränkt Restriktiv Individuell
Parameter
Zugang
Kompetenz
Equipment
Abschließend sei an dieser Stelle nochmals auf die prinzipiell veränderte Blickrichtung des
Beurteilungskonzeptes hingewiesen: Die Analyse versucht nicht, die Wahrscheinlichkeit
abzuschätzen, mit der ein unbekannter Angreifer beispielsweise Kenntnisse eines
bestimmten Betriebssystems hat, sondern ordnet die Schwierigkeit bzw. Einfachheit an
solche Kenntnisse zu gelangen, einer der vier Kriterienstufen („Allgemein“, „Eingeschränkt“,
„Restriktiv“, „Individuell“) zu.
Die Beurteilungskriterien für die drei Parameter kann z.B. der Anlagenbetreiber aufgrund
eigener Recherche für die Beschaffung von Ausrüstungsgegenständen und die Verfügbarkeit
notwendiger Informationen zu Systemen und Produkten (Knowhow) selbst erstellen.
Hinsichtlich der Kriterienstufen des Parameters „Zugang“ steht er sogar selbst in der
Durchsetzungsverantwortung. Diese Klassifizierungen kann der Betreiber somit hinreichend
genau selbst bestimmen. Im Gegensatz dazu sind Informationen oder die Abschätzungen
von Eintrittswahrscheinlichkeiten über unbekannte Angreifer hingegen in aller Regel nicht
verfügbar.
5.3.1 Allgemeines
Für den weiteren Fortgang der Analyse ist es notwendig, dezidierte Angriffsszenarien
herzuleiten und auf der Anwendbarkeit gegen die betrachtete Zielanlage zu überprüfen. Mit
Hilfe der Methode „Attack Tree“, auf die in Kapitel 5.3.3 detailliert eingegangen wird, lassen
sich sowohl Angriffsszenarien als auch die notwendigen Voraussetzungen für einen
erfolgreichen Angriff bestimmen. Die Abbildung dieser Angriffsvoraussetzungen auf die
systemtechnischen Eigenschaften der Zielanlage liefert als Ergebnis aus der Menge aller
beschriebenen Angriffsszenarien die Teilmenge jener Angriffsszenarien, die prinzipiell
erfolgreich durchführbar sind.
SCADA-Anlagen bestehen aus einer Anzahl von Komponenten aus einer überschaubaren
Zahl von Geräteklassen. Die Beschreibungsmethodik von Angriffsszenarien sollte deshalb
modularen Charakter haben und dokumentierte Szenarien in wiederverwendbarer Form zur
Verfügung stellen.
Ein Leitsystem kann eine große Anzahl von Komponenten umfassen. Die daraus
resultierende Menge an möglichen Angriffsszenarien sollte einer automatisierbaren
Auswertung zugänglich sein. Automatisierbare Abläufe reduzieren fehleranfällige manuelle
Interaktionen und liefern reproduzierbare Ergebnisse.
Eine brauchbare Methode zur Beschreibung von Angriffsszenarien sollte somit folgende
Kriterien erfüllen:
Wiederverwendbarkeit
Automatisierbare Auswertung
Variabler Detaillierungsgrad
Generische Angriffsszenarien
Ein zentrales Problem von Sicherheitsanalysen stellt die Definition der relevanten
Angriffsszenarien dar. Da keine Analysemethode existiert, die alle bekannten und
unbekannten (aber möglichen!) Angriffsszenarien kennt und berücksichtigt, sollte einer
praktikablen Analysemethodik eine systematische Herangehensweise zugrunde liegen und
gefundene Szenarien aus vorangegangenen Analysen wiederverwendet werden können. Zu
diesem Zweck bietet sich eine Vorgehensweise an, die auf generischen Angriffsszenarien
basiert und diese im weiteren Analyseprozess schrittweise verfeinert. Als Ausgangspunkt für
Automatisierungssystem (PLC)
Stellglied (Actuator)
Messstellen (Sensor)
Ausgehend vom physikalischen Prozess, den die Leittechnik führt, erfassen Sensoren die
physikalischen Prozessgrößen und wandeln diese in (normierte) Prozesszustandsdaten um.
Das Automatisierungsgerät (Process Logic Controller, PLC) wandelt die erfassten Daten in
Prozesswerte um, z.B. Drücke, Temperaturen, Positionen usw. Die Verarbeitung der
Prozesswerte innerhalb des PLC erfolgt gemäß der hinterlegten Prozesslogik (Code des
Automatisierungssystems, AS-Code) in zwei verschiedenen Varianten:
Neben den vom Prozess erfassten Prozesszuständen (Messwerte) erzeugt das PLC gemäß
Prozesslogik auch berechnete Prozesswerte und sogenannte Prozessalarme bei
Überschreiten oder Unterschreiten kritischer Grenzen der Prozessgrößen. Neben diesen aus
dem Prozess abgeleiteten Prozessalarmen kann ein Automatisierungsgerät auch
Systemalarme mittels Geräte-Selbstüberwachung auslösen. Neben den dynamischen Daten,
die das Automatisierungsgerät an den HMI-Server sendet, wird bei Bedarf auch die
Prozesslogik (AS-Code) zwischen PLC und HMI-Server ausgetauscht.
Prozessdatenarchiv
Das Leitstandpersonal führt die Anlage über die Arbeitsplätze, an denen die HMI-Client-
Systeme aufgestellt sind. Die HMI-Clients stellen den physikalischen Prozess mittels
sogenannter Prozessbilder dar, in denen aktuelle Prozesszustände angezeigt werden und
das Bedienpersonal auch Bedieneingriffe, d.h. Schalthandlungen, vornehmen kann.
Die Projektierung der leittechnischen Systeme führt das Engineering-Personal mittels der
Engineering-Clients durch. Je nach Hersteller sind diese Clients mit speziellen
Seite 76 von 262
Kapitel 5 Vorschlag eines neuen Analysemodells für SCADA-Systeme
Abbildung 7 stellt die wesentlichen Elemente einer leittechnischen Anlage dar. In einer
Verfeinerung zeigt Abbildung 8 die Datenflüsse zwischen den Leittechnikkomponenten,
während Abbildung 9 die für das Leitsystem wesentlichen Datenspeicher darstellt. Aus
diesem Schema lassen sich eine Reihe potentieller Angriffsziele ableiten.
Eine Methode zur Beschreibung von Angriffsszenarien sollte folgende Kriterien erfüllen:
Wiederverwendbarkeit
Automatisierbare Auswertung
Variabler Detaillierungsgrad
Eine Beschreibungsmethodik, die diesen Kriterien genügt, sind die sogenannten „Attack
tree“-Modelle.
Eine Reihe von Autoren beschreibt diesen Ansatz zur Darstellung von Angriffen. Hierzu
gehören (ohne Anspruch auf Vollständigkeit): (Moore, et al., 2001), (Espedalen, 2007),
(Mauw, et al.), (Schneier, 1999), (Byres, et al., 2004), (Wikipedia, 2011 S. Attack Tree) u.a.
(Schneier, 1999) definiert Attack trees als formalen und methodischen Ansatz, der die
Sicherheit von Computersystemen auf der Basis verschiedener Angriffe beschreibt. Attack
trees stellen Angriffe in Form einer Baumstruktur dar: das Angriffsziel bildet den zentralen
Wurzelknoten und die verschiedenen Möglichkeiten, dieses Ziel zu erreichen, die
untergeordneten Blätterknoten.
eine automatische Datenbasis aufzubauen, die die Sicherheit des Systems darstellt
(Schneier, 1999)
In allgemeiner Form lassen sich „Attack trees“ als Ansatz zur Dokumentation von
Angriffsinformationen in strukturierter und wiederverwendbarer Form auffassen (Moore, et
al., 2001). Der Wurzelknoten eines Baumes (in einem Wald von Bäumen) repräsentiert ein
Ereignis, das den Unternehmenszweck signifikant beeinträchtigen könnte. Jeder Attack tree
beschreibt in detaillierter Weise die Möglichkeiten eines Angreifers, das betreffende Ereignis
herbeizuführen. Jeder Pfad durch den Attack Tree repräsentiert eine eigenständige
Angriffsmöglichkeit gegen das Unternehmen.
Zu diesem Zweck zerlegt man die Attack trees in Knoten, die Unterziele darstellen:
UND-Dekompositionen stellen einen Satz von Unterzielen dar, die alle für einen
erfolgreichen Angriff erreicht werden müssen oder
ODER-Dekompositionen stellen einen Satz von Unterzielen dar, von denen jedes
einzelne für einen erfolgreichen Angriff ausreicht.
Der Detaillierungsgrad der Zerlegung ist dem Bedarf des Anwenders überlassen. Ein
wichtiger Aspekt für die Anwendung in der Praxis dieser Methode ist die
Wiederverwendbarkeit von Attack trees.
(Moore, et al., 2001) erweitern das Attack tree-Konzept um Angriffsmuster („Attack patterns“)
und definieren diese als generische Repräsentation vorsätzlich ausgeführter, schädlicher
Angriffe, die gemeinhin in spezifischen Kontexten erfolgen. Ein Angriffsmuster besteht aus:
Die Angriffsmuster zielen auf die Formalisierung der Analyse, um eine verbesserte
Reproduzierbarkeit zu erreichen.
Attack:
Als Fazit des oben Genannten erscheinen Attack trees als geeignete Methode, um
Angriffsszenarien auf SCADA-Systeme zu modellieren. Wesentliche Vorteile sind die
Wiederverwendbarkeit, sowie eine automatisierte Auswertung. Reproduzierbare Ergebnisse
und reduzierter Modellierungsaufwand im Rahmen wiederkehrender Analysen sind der
Nutzen dieser Methode.
Die Modellierung der SCADA-Angriffsszenarien mittels „Attack Trees“ lässt sich nach
folgender Vorgehensweise durchführen: jede Komponente der betrachteten Anlage stellt den
Wurzelknoten eines Attack Tree dar. Unterhalb des Wurzelknotens ergänzt man die zu
berücksichtigenden Schutzziele (z.B. Verfügbarkeit und Integrität). In der anschließenden
Unterebene folgen dann die Knoten, die jeweils einem denkbaren Angriff gegen das
übergeordnete Schutzziel benennen. Die darunter angeordneten Knoten listen die für den
Angriff notwendigen Voraussetzungen auf. Jede der tieferliegenden Knotenebenen spaltet
die Voraussetzungen in weitere Details auf. Die Detaillierung endet, sobald eine unteilbare
Voraussetzung (z.B. Passwort) gefunden wurde. Als ein Szenario werden alle Teilbäume
aufgefasst, die ausgehend von einem Schutzziel einen Pfad zu einem Endknoten darstellen.
UND-verknüpfte (Teil-) Pfade sind im Sinne zusätzlich notwendiger Voraussetzungen
hinzuzufügen. Für die weitere Betrachtung spielen die Zwischenknoten der Bäume keine
Rolle. Sie stellen lediglich Zwischenschritte im Rahmen der Analyse dar. Das Ziel der
Analyse ist es, aus den Angriffsbäumen die Beziehungen
Szenario Voraussetzung(en)
abzuleiten: für jedes Angriffsszenario sind die notwendigen Voraussetzungen hinsichtlich der
Beurteilungskriterien gemäß Kapitel 5.2 („Zugang“, „Kompetenz“ und „Ausrüstung“) zu
bestimmen.
Abbildung 10 zeigt das Fragment eines Attack Tree. Das einfache Beispiel stellt die
Angriffsmöglichkeiten gegen die Rechnerklasse „HMI-System“ dar. Der Einfachheit halber
beschränkt sich das gezeigte Beispiel auf Angriffe gegen das Schutzziel „Verfügbarkeit“
mittels physischen oder logischen Systemzugangs.
Abbildung 10: Beispiel eines Attack Tree für ein einfaches Angriffsszenario
Die Verfeinerung mit Hilfe der notwendigen Voraussetzungen für einen erfolgreichen Angriff
ergibt folgende, beispielhafte Angriffsszenarien:
Hinweis: das gezeigte Attack Tree-Beispiel bildet die möglichen Angriffsszenarien nicht
vollständig ab, sondern soll lediglich die Herangehensweise zur Ableitung der
Angriffsszenarien und den zugehörigen Voraussetzungen verdeutlichen.
Nach diesen generischen Erläuterungen zu „Attack Trees“ sowie der Verdeutlichung anhand
eines Einfachbeispiels soll nun auf die Vorgehensweise zur Erarbeitung der Attack Tree-
Modelle bei realen Anlagen eingegangen werden. Die Analyse der IT-Sicherheit von
Leitsystemen wirft die Frage auf, wie eine hinreichende Abdeckung möglicher
Angriffsvarianten überhaupt erzielt werden kann. An dieser Stelle sei vor der Illusion
gewarnt, durch geeignete Algorithmen ließen sich evtl. noch unbekannte 0-Day-Exploits
aufdecken. Angesichts der Freisetzung von ca. 900.000 neuen Schadsoftware-Varianten pro
Tag (!) in 2014 (Symantec, 2015) haben sich weder Black-Listing-Ansätze (typ. heuristische
Virenschutzprogramme) noch White-Listing-Methoden (Application Blocker, etc.) als
erfolgreich erwiesen. In Kenntnis dieser Fakten geht die vorliegende Arbeit von der Annahme
aus, dass lediglich die logischen und physischen Angriffspfade eine Chance bieten, Angriffe
abzuwehren. Die Herleitung und Begründung für diesen Ansatz erfolgte in Kapitel 3.4. Dieser
Ansatz führt zum Konzept des erweiterten Perimeter-Schutzes der Leittechnikanlage. Der
Perimeter stellt in diesem Sinne die äußere, angreifbare „Hülle“ der Anlage dar. Hierzu
gehören die physischen Zugangsmöglichkeiten zu den Schnittstellen (Tastatur, USB-
Schnittstelle, CD/DVD-Laufwerk usw.) sowie die logischen Zugangsmöglichkeiten über
Netzwerkverbindungen (kabelgebunden, kabellos).
Aufgrund der zentralen Bedeutung des Attack-Tree-Ansatzes für das in der vorliegenden
Arbeit konzipierte Analyseverfahren, soll an dieser Stelle die Herleitung der Attack Tree-
Modelle schematisch dargestellt werden.
In einem ersten Schritt zerlegt das Analyseteam die Zielanlage in die einzelnen Bestandteile,
d.h. die technischen Komponenten, wie z.B. Server, Clients, Netzwerk-Switches etc. Gemäß
dem Angriffsmodell „Angriffspfad“ (siehe Kapitel 3.4) liegt der Fokus der Betrachtung auf den
Hardware-Schnittstellen der Leittechnikelemente. Die vorhandenen Hardware-Schnittstellen
der installierten Komponenten gleichen Typs können mit Hilfe der entsprechenden
Datenblätter vollständig erfasst werden.
Nachdem für alle Leittechnikbestandteile die für Angriffe nutzbaren Schnittstellen vorliegen,
ist für jede Komponente individuell zu prüfen, ob die jeweilige Gerätekonfiguration die
Nutzung der vorhandenen Schnittstellen ermöglicht. Während die deaktivierten Schnittstellen
in der weiteren Analyse übergangen werden können, sind die aktivierten Schnittstellen in den
Attack Tree-Modellen zu berücksichtigen. Je nach Gerätetyp sind die Konfigurationsdaten
ggf. einer automatisierten Verarbeitung zugänglich.
Nachdem nun die erforderlichen Informationen über die Leittechnikelemente zum Zweck der
Erstellung von Attack Trees systematisch vorliegen, muss das Analyseteam auf Basis dieser
Daten die denkbaren Angriffsvarianten zusammentragen. Hierfür ist es hilfreich, aus den
Datenflussdiagrammen der Zielsystemkomponenten (siehe z.B. Abbildung 8 und Abbildung
9) wesentliche Datenhaltungen (Engineering-, Konfigurations- und Benutzerdaten, Software-
Kern des Attack Tree-Ansatzes ist es nun, für jede Leittechnikkomponente (Server, Clients,
Netzwerkkomponenten, etc.) diese generischen Angriffsszenarien systematisch durch die
Beantwortung folgender Fragestellungen zu verfeinern:
Diese Fragen sind zunächst unter lokaler, individueller Perspektive des jeweiligen Systems
zu betrachten. Anschließend ist in einem zweiten Schritt zu klären, welche Möglichkeiten
prinzipiell bestehen, die Leittechnikkomponenten über die Leittechniknetzwerke anzugreifen
(Missbrauch einer vorhandenen LT-Komponente, Anschluss einer unzulässigen
Fremdkomponente). Die Antworten zu diesen Fragen fließen als Daten in die Attack Tree-
Modelle ein. Die Erarbeitung der Attack Tree-Modelle bildet die wesentliche Aufgabe des
Analyseteams - neben der Betrachtung der resultierenden Analyseergebnisse und der sich
ergebenden Sicherheitsmetrik.
Die Herleitung der Attack Tree-Modelle erfolgt – wie beschrieben – zwar manuell bzw.
teilautomatisiert, jedoch reduziert die angewendete Vorgehensweise das Risiko,
Systemschnittstellen zu übersehen. Diese systematische Erfassung der Angriffspfade
vermeidet eine Abhängigkeit der Analyseergebnisse von der personellen Zusammensetzung
des Analyseteams.
Die praktische Anwendung der Attack Tree-Methode ist nun wie folgt: Die Attack Trees
erhalten den jeweiligen Rechnertyp als Start- bzw. Wurzelknoten. Auf der untergeordneten
Blattebene folgen die berücksichtigten Schutzziele (hier: Verfügbarkeit, Integrität). Die
nachfolgenden Ebenen werden dann so weit detailliert, bis entweder ein Knoten mit
eindeutig identifizierbarer Aussage hinsichtlich
Seite 86 von 262
Kapitel 5 Vorschlag eines neuen Analysemodells für SCADA-Systeme
gefunden wird (siehe Beispiel in Abbildung 11). Die unterlagerten Detailblätter sind als
Voraussetzung für die übergeordnete Angriffsmöglichkeit aufzufassen. Enthält ein Knoten
mehr als ein Blatt in der darunterliegenden Detailebene, sind diese im Sinne einer UND bzw.
ODER-Verknüpfung aufzufassen (je nach Kennzeichnung).
Die Vorteile der Attack Tree-Methode sind, dass sich der Detaillierungsgrad je nach
Anforderung anpassen lässt. Die erhaltenen Ergebnisse stehen für spätere
Wiederverwendungen bzw. Ergänzungen / Erweiterungen zur Verfügung: zu jedem Zeitpunkt
lassen sich die Attack Tree-Graphen für die verschiedenen Systeme sowohl hinsichtlich der
zu betrachtenden Komponenten als auch hinsichtlich einer veränderten Bedrohungslage
anpassen. Solange die Attack Tree-Modelle nicht verändert werden, d.h. solange es keine
Änderung an der Zielanlage gibt, sind die Ergebnisse von Wiederholungsprüfungen
konsistent hinsichtlich der Leittechniksystemeigenschaften.
In Abbildung 11 ist als Beispiel ein Ausschnitt des Attack Tree für ein HMI-Client-System
wiedergegeben. Zur besseren Übersicht und Bearbeitung des Attack Tree wurde der
ursprünglichen Darstellung nach (Schneier, 1999) eine vertikale Struktur hinzugefügt:
Wurzelknoten
Links oben steht der Gerätetyp als Wurzelknoten zur Identifikation der Geräteklasse.
Schutzziele
Darunter folgen zur besseren Strukturierung jene Schutzziele (hier: Integrität), die im
Rahmen der jeweiligen Angriffsvarianten adressiert werden.
Angriffsziele
Als nächsten Klassifikationsschritt wurden die potentiellen Angriffsziele eines
Systems aufgeführt: die Datenausgabe zu anderen Systemen sowie die
Datenspeicher der betrachteten Komponente.
Angriffsvarianten
Schließlich folgen die verschiedenen Angriffsvarianten (z.B. Manipulation von
Sollwerten oder Benutzerdaten).
Die Endpunkte der einzelnen Zweige in den Attack Trees stellen die Voraussetzungen für die
Angriffsvarianten dar. Die farblichen Unterschiede weisen auf die Zuordnung der
Voraussetzung zum Angreifer (Farbe: pink) oder zum Leitsystem (Farbe: dunkelgrün) hin.
An dieser Stelle soll kurz auf die naheliegende Frage eingegangen werden, wie die typische
Komplexität sowie Vielfalt von Angriffsszenarien in Netzwerken beherrscht wird. Die
Beantwortung dieser Frage umfasst zwei Bereiche:
Die PROLOG-Basisklauseln in (siehe 7.2, Abbildung 47, in ‚solution.pl‘) suchen die Lösung
in folgenden schematischen Schritten:
1) „System1 = Typ_Ausgangssystem“
Die Abhängigkeit der möglichen Angriffsszenarien von den Eigenschaften des betrachteten
Zielsystems soll an einem Beispiel verdeutlicht werden: Alle generischen Angriffsszenarien,
die als Voraussetzung auf eine USB-Schnittstelle angewiesen sind, lassen sich nur gegen
jene Systeme anwenden, die über eine aktivierte (!) USB-Schnittstelle verfügen. Im Falle
einer mechanischen, elektrischen oder per Konfigurationseinstellungen nachhaltig
deaktivierten USB-Schnittstelle sind alle USB-basierten Angriffsszenarien aus der Menge der
systembedingt möglichen Angriffsszenarien zu entfernen.
An dieser Stelle soll noch kurz auf die Angreifer-seitigen Voraussetzungen – hinsichtlich der
weiteren Verwendung im Rahmen des vorgeschlagenen Analysekonzeptes – eingegangen
werden. In den vorangegangenen Kapiteln wurde nachgewiesen, dass die Ergebnisse
existierender Analysekonzepte zur Beurteilung der IT-Sicherheit von leittechnischen
Systemen auf spekulativen Annahmen bezüglich der Fähigkeiten und Möglichkeiten
potentieller Angreifer beruhen. Die oben dargestellte Abhängigkeit der durch den Angreifer
realisierbaren Angriffsszenarien (siehe Abbildung 12) von den Angreifer-relevanten
Voraussetzungen darf nicht zu dem methodischen Fehler führen, Angriffsszenarien aufgrund
eben dieser spekulativen Annahmen aus dem Analyseprozess zu eliminieren. Wie im
weiteren Verlauf der Darstellung dieses neuen Analysekonzeptes noch zu zeigen sein wird,
dienen diese Angreifer-seitigen Voraussetzungen der Bestimmung des Schwierigkeitsgrades
des betreffenden Angriffsszenarios. Dieser Schwierigkeitsgrad ermöglicht die Abbildung der
Angriffsszenarien auf das vom Anlagenbetreiber akzeptierte Niveau der Angriffshürden. Zu
diesem Zweck ist eine Unterteilung der Voraussetzungen, die der Angreifer für einen
erfolgreichen Angriff zu erfüllen hat, in die Kategorien „Zugang“, „Kompetenz“ und
Ausrüstung“ hilfreich.
Angriffsszenarien umfasst. Als Datengrundlage für diese Suche dienen die Beschreibungen
der Angriffsszenarien (hier: der Voraussetzungen) und der Anlagentopologie (Systeme und
Komponenten, Netzwerksegmente, Schnittstellen usw.). Zur Automatisierung dieser Suche
bietet sich ein deklaratives Programmiermodell an, das eine Suche in einem Graphen
unterstützt. Im Rahmen der vorliegenden Arbeit bot sich deshalb ein PROLOG-basiertes
System als experimentelle Programmierumgebung an.
„Ein Angriffsszenario mit der Kennung SID setzt die Voraussetzungen REQ1 und
REQ2 voraus.“
lässt sich in Form folgender PROLOG-Prädikate ausdrücken, worin die Terme SID, REQ1
und REQ2 Variablen darstellen:
„Ein Rechner mit der Kennung HID verfügt über die Konfigurationen CONF1 und
CONF2.“
lässt sich in folgender Form ausdrücken, worin die Terme HID, CONF1 und CONF2
Variablen darstellen:
Die Beschreibung konkreter Angriffsszenarien ersetzt in den o.g. Prädikaten die Variablen
durch Fakten:
Diese Klauseln beschreiben, dass das Angriffsszenario 1 eine USB-Schnittstelle sowie eine
aktivierte (MS Windows) Auto-run-Funktion voraussetzt, während Szenario 2 anstelle einer
USB-Schnittstelle ein CD- bzw. DVD-Laufwerk erwartet.
Seite 92 von 262
Kapitel 5 Vorschlag eines neuen Analysemodells für SCADA-Systeme
Die Beschreibung der Rechner mit Hilfe der host-Klausel erfolgt in PROLOG beispielsweise
wie folgt:
das System „Server 2“ ein CD- bzw. DVD-Laufwerk enthält und die Windows
Autorun-Funktion aktiviert ist.
Mit dem Fakt „none“ wird lediglich festgelegt, dass die entsprechende Variable mit keinem
(leittechnischen) Inhalt besetzt ist.
Eine Datenbasis, die die oben dargestellten scenario- und host-Fakten enthält, kann nun in
unterschiedlichen Weisen genutzt werden. Zum Zwecke der vorgeschlagenen
Anlagenanalyse sind folgende Fragestellungen sinnvoll:
Mit den Mitteln der Prädikatelogik lässt sich die erste Frage wie folgendermaßen darstellen:
Anmerkung: im Rahmen dieses stark vereinfachten Beispiels wird auf programmtechnischen Aspekte
wie z.B. der Prüfung auf vertauschte Variablenpositionen der Übersichtlichkeit wegen nicht eingegangen.
Diese Syntax beschreibt die Suche nach einer Lösung in der Datenbasis, für die gilt:
Als Ergebnis der Suche in der Datenbasis werden für die übereinstimmenden scenario- und
host-Datensätze jeweils die Variablen „SID“ und „HID“ ausgegeben.
PROLOG ermöglicht die erste Frage unter Berücksichtigung obiger Anmerkung wie folgt:
Anmerkung: in der host-Klausel dient das Zeichen „_“ als Platzhalter für einen Term, der für das
Ergebnis ohne Bedeutung ist.
Als Ergebnis erhält man die Variablen SID und HID für jene host- und scenario-Datensätze,
deren Variablen X und Y übereinstimmen:
SID = 2
Die Frage 2 nach Systemen gegen die Angriffsszenarien möglich sind, lässt sich in
PROLOG-Syntax wie folgt formulieren:
HID = server2
Das kleine Beispiel zeigt, dass PROLOG die Formulierung logischer Fragestellung
ermöglicht, ohne dass ein Suchalgorithmus neu implementiert werden muss.
Nachdem der vorangegangene Abschnitt die formalen Methoden erläuterte, sollen nun auf
dieser Basis der in Kapitel 5.1 (siehe hierzu Abbildung 6) skizzierte Analyseverlauf in 5
Schritten beschrieben werden. Die Details der Schritte 1 … 4 sind anschließend in den
Abschnitten 5.4.3 bis 5.4.6 dargestellt. Dem Konzept der Sicherheitsmetrik ist danach das
eigenständige Kapitel 6 gewidmet.
Wie bereits erwähnt, unterscheidet sich die Vorgehensweise des in der vorliegenden Arbeit
vorgeschlagenen Analyseansatzes von den in Kapitel 4 dargestellten Analysemethoden.
Anstatt das Risiko eines erstmaligen, hypothetischen und/oder erfolgreichen Angriffes
unbekannter Angreifer zu bestimmen, geht der faktenbasierte Ansatz einen neuen Weg:
zunächst erfolgt die systematische Zusammenstellung denkbarer Angriffsszenarien gegen
die Zielanlage. Anhand der Abbildung der Voraussetzungen dieser Szenarien auf die
Eigenschaften der Zielsysteme erhält man dann die Untermenge der technisch möglichen
Angriffsszenarien. Die Voraussetzungen dieser Szenarien stellen auch die Voraussetzungen
hinsichtlich Kompetenzen, Ausrüstung und Zugangsmöglichkeiten der Angreifer dar. Diese
Angreifer-Kategorisierung ermöglicht dem Anlagenbetreiber in nachvollziehbarer Weise,
seine Risikoakzeptanz - im Sinne von Angriffshürden – zu definieren. Gegen jene
Angriffsszenarien mit inakzeptabel niedrigen Angriffshürden kann der Betreiber geeignete
Maßnahmen ergreifen. Aus den systematisch erhaltenen Angriffsdaten und
Systemeigenschaften lässt sich eine Sicherheitsmetrik ableiten.
Wie in 5.3.3 beschrieben, sind zunächst die Angriffsszenarien mit Hilfe der Attack Tree-
Methode zusammenzutragen. Die Ergebnisse lassen sich in Tabellenform zusammentragen
(siehe Tabelle in Abbildung 13) und liegen zur Weiterverarbeitung in Form von PROLOG-
Relationen vor.
Der nächste Schritt dient der Beschreibung der Zielanlage in einer Form, die ebenfalls zur
weiteren systemgestützten Verarbeitung geeignet ist. Grundlage dieses Schrittes ist die
Zusammenstellung der erforderlichen Anlagendaten. Abbildung 15 zeigt eine räumliche
Darstellung einer einfachen, beispielhaften Leittechnikanlage.
Der nächste Schritt stellt den ersten (automatisiert durchführbaren) Analyseschritt dar. Für
einen erfolgreichen Angriff gegen Leittechniksysteme, d.h. die konkrete Umsetzung eines
allgemeingültigen Angriffsszenarios, müssen die Zugangsvoraussetzungen durch den
Anlagenbetreiber (= Systemvoraussetzungen) gegeben sein. Nur falls diese
Zugangsvoraussetzungen vorliegen, hat ein Angreifer die Möglichkeit, mittels Knowhow und
Ausrüstung einen Angriff erfolgreichen durchzuführen.
Schritt 5: Matrixbildung
Die Ergebnisse der Attack Tree-Analyse, d.h. die gefundenen Angriffsszenarien, lassen sich
für die spätere Weiterverarbeitung tabellarisch darstellen. Abbildung 13 und Abbildung 14
zeigen in Ausschnitten die systemseitigen sowie die angreiferseitigen Voraussetzungen.
Allgemeine Szenario-Informationen
Hierzu zählen die Szenario-Kennung, die Szenario-Bezeichnung, das Schutzziel und
das Zielsystem des betreffenden Szenarios.
Zur Verbesserung der Übersichtlichkeit und Handhabbarkeit erfolgt die Abbildung der
Szenarien in PROLOG-Klauseln in Form einer Aufspaltung der Szenarien in drei Teile:
Als Beispiel seien für die Szenarien 1 ... 3 die entsprechenden Fakten mittels scenarioD-
Beziehung abgebildet:
Hinweis: die Szenarien 1 und 3 wurden jeweils in zwei Szenarien aufgespalten, um später
die alternativen Systemvoraussetzungen (USB oder CD/DVD) in einfacher Weise abbilden
zu können.
Die Voraussetzungen, die Angreifer zu erfüllen haben, lassen sich als Fakten mit Hilfe
folgender PROLOG-Beziehung abbilden:
Als Ergebnis dieses Schrittes stehen die Fakten der Angriffsszenarien, die im Rahmen der
Attack Tree-Analyse gefunden wurden, zur Weiterverarbeitung in Form von PROLOG-
Relationen zur Verfügung.
Für die automatisierte Analyse der Anlagenstruktur ist es notwendig, eine Leittechnikanlage
in geeigneter Weise zu beschreiben. Die Anlagenstruktur zerfällt dafür in die
Informationsbausteine
Netzwerktopologie
Gerätebeschreibung
Gerätekonfiguration
Sonstige Anlageninformationen
Netzwerktopologie
Netzwerk-Segment Switch-Gerät
<Segment-Kennung> <Switch-Kennung>
Beispiel
HMI-LAN SW-01
Beispiel:
Neben der Beschreibung der Netzwerk-Segmente müssen auch die an ein Netzwerk-
Segment angeschlossenen Endgeräte beschrieben werden:
Beispiel:
Gerätebeschreibung
Die Beschreibung der im Netzwerk vorhandenen Systeme und Geräte durch den Systemtyp,
Systemkennung und Aufbauort lässt sich in Form folgender PROLOG-Relation wiedergeben:
Beispiel:
Gerätekonfiguration
Relevant für die Betrachtung der Angriffspfade sind Informationen bezüglich der
Geräteschnittstellen und ggf. welche Geräte daran angeschlossen sind:
Gerätekennung
Gerätetyp Gerätekennung Schnittstellentyp
(angeschlossenes Gerät)
<Gerätetype> <Systemkennung> <Schnittstellenkennung> <Gerätekennung >
Beispiel
Beispiel:
Sonstige Anlageninformationen
Schließlich werden für die Analyse noch allgemeine Anlageninformationen benötigt. Für eine
Analyse möglicher Angriffe ist es wichtig zu wissen, welche Örtlichkeiten permanent mit
SCADA-Bedienpersonal besetzt sind und wo SCADA-Systeme permanent ohne
Beaufsichtigung arbeiten:
Örtlichkeit Personalverfügbarkeit
<Aufbauort> <Personalstatus>
Beispiel
Hauptleitstand permanent
Beispiel:
Als Ergebnis dieses Schrittes steht die Anlagenbeschreibung zur Weiterverarbeitung in Form
von PROLOG-Relationen zur Verfügung.
Die beiden vorangegangenen Abschnitte beschrieben die Überführung der Daten der
generischen Angriffsszenarien (5.4.3) sowie der Zielanlage (5.4.4) in ein zur
Weiterverarbeitung geeignetes Format. Auf dieser Basis sollen nun die zielanlagentypischen,
realisierbaren Angriffsszenarien automatisiert gefunden werden.
Der Suchalgorithmus implementiert eine Abbildung der Voraussetzung für die gefundenen
Angriffsszenarien (aus 5.4.3) auf die technischen Eigenschaften der Zielanlage (aus 5.4.4).
Alle Angriffsszenarien, deren Voraussetzungen durch die Zielanlage erfüllt sind, bilden die
Menge der „kritischen“ (weil ausführbaren) Angriffsszenarien. Formal lässt sich dieser Schritt
wie folgt beschreiben:
IDSZ = Szenario-Kennungen
IDSYSTEM = Zielsystem-Kennungen
Das Ergebnis dieser Abbildung liefert die Menge jener generischen Angriffsszenarien, bei
denen die systemtechnischen Angriffsvoraussetzungen der Szenarien (REQSYSTEM) mit den
systemtechnischen Eigenschaften der Zielsysteme (PROPERTYSYSTEM) übereinstimmen. Die
Variablen IDSZ und IDSYSTEM liefern die Identifikation des ausführbaren Angriffsszenarios
sowie die betroffene Systemkomponente.
Zentraler Baustein bei der Bestimmung dieser „kritischen“ Szenarien ist die scenario-
Relation. Diese Klausel setzt für jedes Szenario die Voraussetzungen (siehe Abbildung 13)
um und schreibt die Ergebnisse in eine Datei.
scenario(SC):-
((SC = 2.1), scenarioD(SC, T, ST, _, A), deviceType(T, SID, _), openSwitchPort(SW, L),
netConnection(SID, open, SW));
((SC = 3.1), scenarioD(SC, T, S, _, A), anyClient(S, X), systemOperating(X, SID, L), cdDvd(X,
SID));
((SC = 3.2), scenarioD(SC, T, S, _, A), anyClient(S, X), systemOperating(X, SID, L), usb(X,
SID)).
Anmerkung: zur Verbesserung der Übersichtlichkeit und Lesbarkeit wurde auf die Angabe
der Klauseln zur Dateiausgabe verzichtet.
Hilfsklauseln prüfen auf der Basis der Anlagenbeschreibungen die Existenz der notwendigen
technischen Voraussetzungen (gemäß 5.4.4) indem sie geeignete logische Zusammenhänge
modellieren:
deviceType(ZIELSYSTEMTYP, SYSTEM-ID, _)
openSwitchPort(SWITCH, LOCATION)
Als Ergebnis der Analyse erhält man die Auflistung, welche Szenarien sich aufgrund der
systemtechnischen Randbedingungen gegen die Anlage ausführen lassen. Die Fakten
werden in Form einer PROLOG-Beziehung generiert, um für die weitere Bearbeitung in
PROLOG verfügbar zu sein:
Die automatisierte Analyse liefert auf Basis der Beispielanlage folgende Ergebnisse (für die
bereits oben dargestellten Beispiel-Szenarien 1 … 3):
...
Das oben gezeigte Ergebnis stellt die Extraktion der möglichen, d.h. „kritischen“ Szenarien
dar, die aufgrund der systemtechnischen Eigenschaften gegen die Zielanlage möglich sind.
Es sei an dieser Stelle darauf hingewiesen, dass dies einen wesentlichen Unterschied zu
sonstigen Analysemethoden darstellt: die Auflistung der möglichen, d.h. kritischen
Angriffsszenarien basiert nicht auf mehr oder minder plausible Annahmen über die
Fähigkeiten und Möglichkeiten unbekannter Angreifer. Das Ergebnis wird automatisiert
durch die Verarbeitung von Fakten der gefundenen Angriffsszenarien und der zu
untersuchenden Zielanlage erreicht.
In Kapitel 5.4.3 (siehe auch Abbildung 14) wurden die Voraussetzungen aufgelistet, die ein
Angreifer zur Umsetzung der jeweiligen Szenarien erbringen muss.
Zur Abbildung in ein zur Weiterverarbeitung geeignetes Format diente die PROLOG-Klausel
„scenarioA“:
Beispielhaft lieferten die Szenarien 1 …3 folgende Daten, die als PROLOG-Fakten erfasst
wurden:
Die Voraussetzungen für einen anlagentypisch möglichen Angriff ergeben sich aus der Regel
Das Mapping der kritischen Szenario-Fakten auf die Fakten der Angreiferdaten liefert die
Voraussetzungen hinsichtlich Knowhow und Equipment, die ein Angreifer für einen
erfolgreichen Angriff gegen die Beispielanlage (für die Beispiel-Szenarien 1… 3) erfüllen
muss:
Das Ergebnis dieses Analyseschrittes liefert damit für alle ausführbaren („kritischen“)
Angriffsszenarien die Voraussetzungen, die Angreifer erfüllen müssen, um die Szenarien
erfolgreich durchführen zu können. Für die Bildung einer Aussage hinsichtlich der IT-
Sicherheit der betrachteten Zielanlage stehen somit die notwendigen Informationen (im
Sinne der vorhandenen Hürden gegen mögliche Angriffe) zur Verfügung.
Auf den abschließenden Analyseschritt zur Bildung einer geeigneten Metrik für die
Beurteilung der IT-Sicherheit geht Kapitel 6 ein.
Dieses Kapitel 5 trug folgende, für die weitere Beurteilung der IT-Sicherheit von Leit- und
Automatisierungssystemen wesentliche Aspekte zusammen:
Teilautomatisierbare Analysemethode
Der in Abschnitt 5.4.1 skizzierte 4-stufige Analyseprozess liefert die notwendigen Fakten zur
Beurteilung der IT-Sicherheit der betrachteten Leittechnikanlage. Ausgehend von den
Für die Beschreibung der Angriffsszenarien stehen Attack Trees als Methode zur Verfügung.
Dieser Ansatz hat den Vorteil, dass bei wiederholter Betrachtung der Bedrohungslage nur
die zusätzlichen, d.h. neuen Bedrohungen zu erfassen sind. Die Datenerfassung der
Angriffsszenarien ist beliebig erweiterbar und setzt keine speziellen Werkzeuge bzw.
Anwendungen voraus.
Desgleichen gilt für die Beschreibung der Leittechnikanlage für die automatisierte Analyse:
lediglich Änderungen am betrachteten Zielsystem erfordern Änderungen der
Anlagenbeschreibung.
Analyseergebnisse
Angesichts der aktuellen Bedrohungslage für den Bereich der „kritischen Infrastrukturen“
stehen die Leitungsgremien betroffener Unternehmen in der Verantwortung, die Systeme zur
Führung der verfahrenstechnischen Prozesse ausreichend zu sichern. Bei einer ersten
Betrachtung lässt sich also die eingangs gestellte Frage dahingehend beantworten, dass
eine IT-Sicherheitsmetrik dem Zweck dient, den Status der IT-Sicherheit eines Leitsystems in
geeigneter Form abzubilden und darzustellen. Gemäß der Management-Weisheit, dass sich
nur managen lässt, was auch gemessen werden kann, dienen Metriken somit als Grundlage
für Führungs- und Handlungsentscheidungen in den Unternehmen.
Bei genauerem Hinsehen wirft die obige Antwort hinsichtlich des Zwecks einer Metrik jedoch
zwei neue Fragen auf:
Da „IT-Sicherheit“ keine eigenständige Größe darstellt, die einer direkten Erfassung im Sinne
einer Messung zugänglich ist, hat sich in der Literatur - aber auch in der Praxis - die
Vorgehensweise durchgesetzt, Sicherheit mittels auszuwählender Hilfsgrößen indirekt zu
bestimmen.
Betrachtet man die IT-Sicherheit im Kontext der Unternehmensführung, dann wird deutlich,
dass nicht die „IT-Sicherheit“ das eigentliche Ziel der Betrachtung darstellt, sondern das
damit verknüpfte Unternehmensrisiko. Verfügt die Unternehmens- oder Bereichsleitung über
ein hinreichend genaues Abbild des Sicherheitsniveaus der Anlage, können ggf. notwendige
technische Maßnahmen zur Verbesserung der Sicherheit oder anderweitige, nicht-
technische Maßnahmen (z.B. Risikotransfer mittels Versicherung) zur Senkung des
Unternehmensrisikos ergriffen werden.
6.2 Begrifflichkeiten
Einen Überblick über eine Reihe von Definitionen geben (Masera, et al., 2010):
Das „New Oxford American Dictionary“ definiert eine Metrik als ein System oder eine
standardisierte Messung.
In der Mathematik und der Physik fasst man eine Metrik als eine binäre Funktion eines
topologischen Raumes auf, die für beliebige zwei Punkte des Raumes einen Wert
zurückgibt, der gleich der Distanz zwischen ihnen ist oder einen Wert, der als Analogon zur
Entfernung der Punkte zum Zwecke der Analyse dient. Wichtige Eigenschaften einer Metrik
(hier: im Sinne einer Funktion) sind die Symmetrie sowie die Dreiecksungleichung.
Im Kontext der IT-Sicherheit helfen Metriken bei der Quantifizierung von Auswirkungen von
Angriffen.
(Illingworth (Edt.), 1991) definiert eine Metrik als informellen Namen einer Messung oder als
Größe, die den Grad einer begrifflichen Software-Eigenschaft repräsentiert.
(Moily, 2011) beschreibt Metrik etwas unscharf als eine Kategorie von Werkzeugen, die
Entscheider nutzen, um Daten in verschiedenen Bereichen von Organisationen zu
beurteilen. In einfachster Form stellt eine Metrik eine Messung dar, die mit einer Skala oder
einem Vergleichswert verglichen wird, um ein nützliches Ergebnis zu liefern.
Erfasste Messdaten, die in den Kontext von Vergleichsdaten gestellt werden, bilden danach
ein funktionales Konstrukt namens „Metrik“.
Im Zusammenhang mit IT-Sicherheit trennt (Hayden, 2010) die beiden Begriffe eindeutig:
Er definiert eine Metrik als Ergebnis. Sie dient als begriffliches Verzeichnis, das
Informationen definiert und normiert.
Im Gegensatz dazu fasst er „Messung“ als Aktivität auf, im Rahmen der Beobachtungen
durchgeführt und Daten gesammelt werden. Ziel ist, einen praktischen Einblick in ein
untersuchtes Thema zu erlangen.
In diesem Sinne beschreibt Messung alle Aktivitäten, die der Beobachtung und Sammlung
der Basisdaten dienen, während eine Metrik die Daten in den Kontext der betrachteten
Domäne stellt und in normierter Form zur weiteren Verarbeitung bereitstellt.
(Payne, 2006) definiert die Begriffe auf Basis einer eher praktischen Herangehensweise:
(Hayden, 2010) betont die Bedeutung der Messung im Rahmen einer reproduzierbaren und
systematischen Vorgehensweise: Messungen ermöglichen, über subjektive Sprache und
individuelle Erfahrung hinauszugehen und stellen ein allgemeingültiges Konzept für
Beobachtung und Vergleich dar. Außerdem helfen Messungen bei der Handhabung von
Uneinigkeiten und Fehler, indem sie helfen, Kriterien zu standardisieren und Werte zu
normieren. Schließlich lassen sich die Ergebnisse gegen Vergleichsdaten validieren.
Auf die Tatsache, dass auch präzise gemessenen Daten, u.U. keine exakte Aussage über
das Niveau der IT-Sicherheit erlauben, geht Kapitel 6.3 ein.
(Juneja, et al., 2011) definieren Metrik als Hilfsmittel zur Entscheidungsfindung und
verweisen auf den Prozesscharakter einer Zustandsüberwachung sowie der Verbesserung
betrachteter Aktivitäten: Metriken werden als Hilfsmittel zur Entscheidungsfindung,
Leistungsverbesserung sowie der Zuordnung von Verantwortlichkeiten aufgefasst, indem
relevante Leistungsdaten erfasst, analysiert und berichtet werden. Der Zweck der
Leistungsmessung ist die Überwachung und Kontrolle des Zustandes gemessener
Aktivitäten und die Verbesserungen dieser Aktivitäten durch geeignete Korrekturmaßnahmen
- basierend auf den beobachteten Messungen.
(McIntyre, et al., 2007) stellen den Zusammenhang zwischen Metriken und den
bestimmenden Unternehmenszielen her:
Metriken sollten das Erreichen übergeordneter Ziele sicherstellen, wie z.B. funktionale
Sicherheit (engl. „safety“) oder den unterbrechungsfreien Betrieb.
Für die weitere Betrachtung ergeben sich aus der vorangestellten Literatur folgende
Bedeutungen der Begriffe:
Erfassung,
Übertragung (von der Datenquelle bis zum logischen Ziel, d.h. dem
Verarbeitungsprozess) und
Normierung
Metrik umfasst
die Auswahl und Bestimmung der Metrikgrößen, die dem jeweiligen Geschäftsziel
dienen,
die Definition der notwendigen Vergleichsdaten, die der Kontextbildung und/oder der
Normierung dienen.
Die Messung stellt somit die unterlagerte Datenebene dar, während die Metrik die darauf
aufsetzende Informationsschicht zur Unterstützung der Unternehmensführung bildet.
Wie bereits in Kapitel 6.1 dargestellt, dienen IT-Sicherheitsmetriken dem Zweck, die
Gefahrenpotentiale, die sich aus dem Betrieb von Computersystemen ergeben,
abzuschätzen und evtl. notwendige Handlungsentscheidungen zu unterstützen. Die Auswahl
des logischen Inhaltes einer Metrik muss deshalb auf die Angriffsmöglichkeiten ausgerichtet
sein. Aus dieser Fokussierung ergeben sich folgende Konsequenzen:
Betrachtet man unter diesen Aspekten typische, in der Praxis angewandte IT-
Sicherheitsmetriken und Risikobetrachtungen für Leitsysteme, so ergeben sich Zweifel an
deren praktischen Nutzen.
Die Ansätze für IT-Sicherheitsmetriken basieren im Wesentlichen auf empirischen Daten und
statistischen Methoden sowie betriebswirtschaftlichen Kennzahlen.
(Hayden, 2010) stellt einige Größen zur Risikobeurteilung zusammen - überschrieben mit „A
Parade of Horribles“:
Risk
Die etwas naive Definition von Risiko im Kontext der IT-Sicherheit steht mangelndem
Nachdruck beim Versuch der Messung des Risikos gegenüber. Die vielleicht am
weitesten verbreitete Methode zur Messung des Sicherheitsrisikos sind Varianten
der „Wahrscheinlichkeit x Schadenpotential”-Matrix.
ALE bestimmt sich anhand der Formel ALE = ARO * SLE, mit ARO als annualisierte
Eintrittswahrscheinlichkeit und SLE als (einzelne) Verlusterwartung.
Die Verwendung der ROI-Methode im Kontext der IT-Security kann auch als
„statistische Alchimie“ bezeichnet werden, da sie fälschlicherweise versucht,
unterschiedliche Konzepte formelmäßig zu verknüpfen.
Die TCO-Methode ist als Security-Metrik ungeeignet, da sie auf Anschaffungen bzw.
Investitionen hinsichtlich der IT-Sicherheit basiert, aber keine Messung des IT-
Sicherheitsprozesses berücksichtigt.
(Haimes, 2009) schlägt für die Risikoanalyse hinsichtlich Cyber-Angriffe (gegen SCADA-
Systeme in Wasserwerken) die Methode der System-Dekomposition vor. Angriffsszenarien
werden bei dieser Methode mittels Ereignisbaum auf die Systemstruktur abgebildet. Für jede
Systemvoraussetzung, die der Angreifer zum Erreichen des Angriffszieles erfolgreich
überwinden muss, ist eine Erfolgswahrscheinlichkeit abzuschätzen. Für jedes
Angriffsszenario lässt sich auf diese Weise die Wahrscheinlichkeit des Ereignispfades für
Erfolg / Misserfolg des Angreifers berechnen.
Zentrale Schwachstelle dieses Ansatzes ist die Notwendigkeit, für jeden Knoten des
Ereignisbaumes die Wahrscheinlichkeit der Überwindung durch den Angreifer abzuschätzen.
Neben der damit dominierenden subjektiven Einschätzung des Auditors stellt sich die Frage,
welcher Typ „Angreifer“ in den Mittelpunkt der Betrachtung steht. Die Wahrscheinlichkeit der
Überwindung eines Knotens im Ereignisbaum hängt von der Kompetenz, dem Wissen und
ggf. der Ausrüstung und den finanziellen Mitteln des Angreifers usw. ab. Daraus ergibt sich,
dass für eine Anlage nicht ein einzelner Ereignisbaum zu erstellen ist, sondern ein „Wald“
von Ereignisbäumen, die die verschiedenen Angreifertypen repräsentieren. Und: für jeden
Ereignisbaum (d.h. jeden Angreifertyp) sind anschließend die angriffstypischen
Eintrittswahrscheinlichkeiten abzuschätzen.
An dieser Stelle stößt man auf die grundsätzlichen Fragen, wie sich das Verhalten der
potentiellen Angreifer modellieren lässt und wie wahrscheinlich die einzelnen
Modellannahmen in der Realität sind. Aus der Verfügbarkeit präzise gemessener Daten, wie
z.B. die Anzahl der falsch eingegebenen Passwörter pro Zeiteinheit o.ä., ergibt sich deshalb
immer noch keine exakte Aussage über den Anlagensicherheitsstatus.
(Masera, et al., 2010) zweifeln die Nützlichkeit der heute verwendeten Sicherheitsmetriken
grundsätzlich an:
Es gibt keine allgemein akzeptierte Definition einer Security-Metrik. Der Begriff „Metrik“
repräsentiert in der Praxis unterschiedliche Begrifflichkeiten. Im Sinne einer quantitativen
Standardfunktion basiert „Metrik“ auf Prozess- und/oder Produktmessungen. Dieser Ansatz
dient aber keiner Sicherheitsbetrachtung einer Anlage sondern bezieht sich auf die
Beurteilung von Systemen zum Zwecke der Zertifizierung.
(Savolo, 2008) kritisiert die Vereinfachung der Realität durch die Metrik-Bildung:
Die Möglichkeit der Messung der Sicherheit sowie der Entwicklung von Security-Metriken zur
Darstellung aktueller Sicherheitsphänomene wurde vielfach kritisiert. Beim Entwurf einer
Sicherheitsmetrik muss die Tatsache berücksichtigt werden, dass Metriken eine komplexe
sozio-technische Situation vereinfachen.
Auf die grundsätzliche Bedeutung sowie die praktische Anwendung von Sicherheitsmetriken
gehen (Masera, et al., 2010) wie folgt ein:
Security-Metriken sind Indikatoren und keine Messungen der Sicherheit. Sicherheit ist
keine Funktion, die sich auf einen Parameter reduzieren lässt und lässt sich für ein
System nicht auf ein einzelnes Attribut verdichten;
(McIntyre, et al., 2007) stellen die Anwendung von Sicherheitsmetriken aus dem Bereich der
Unternehmens-IT für SCADA-Systeme in kritischen Infrastrukturen in Frage:
2008 2
2009 6
2011 30
2012 20
Abbildung 17). Widersprüchliche Angaben finden sich in (Iversen, 2004), der für den Zeitraum
von 1982 – 2000 einen Anteil von 31% der gemeldeten Angriffe gegen SCADA-Systeme als
„extern“ klassifiziert, während für den Zeitraum von 2001 – 2003 bereits 70% der Angriffe
von außen kamen.
Aus den USA gibt es für den Zeitraum von Januar 2012 bis Dezember 2014 Zahlen zu
Sicherheitsereignissen in Leittechniksystemen („Industrial Control Systems“) durch die
staatliche Behörde ICS-CERT, die zum US. Department of Homeland Security gehört. (ICS-
CERT, 2014) gibt für den angegebenen Zeitraum 138 bis 232 Sicherheitsvorfälle an (siehe
Abbildung 19). Für den Fall, dass die empirischen Daten Grundlage für statistische
Methoden bilden sollen, dürfen jedoch maximal die Daten des betreffenden Sektors
verwendet werden. Für das Jahr 2014 (Fiscal Year) gibt der Bericht für den Sektor „Wasser“
14 Ereignisse an und für den Sektor „Energie“ 79 Ereignisse (siehe Abbildung 20). Unter der
hypothetischen Annahme, dass alle Ereignisse des Sektors „Energie“ in Kraftwerksblöcken
aufgetreten wären, kann man schließen, dass für über 99% der Kraftwerksblöcke keine
Ereignisdaten vorliegen. Sämtliche leittechnischen Einrichtungen der Transport- und
Verteilnetzes der USA, die engmaschig über die USA verteilt sind, blieben bei dieser
Annahme jedoch völlig unberücksichtigt! Auf die Verwendung der empirischen Ereignisdaten
als Grundlage für statistische Risikobetrachtungen ist deshalb zu verzichten.
Des Weiteren listen (Nicholson, et al., 2012) die in Frage kommenden Angreifertypen auf:
Hacker mit staatlicher Beauftragung
Terroristen
Hobbyangreifer
Script kiddies
Unter der Annahme, dass diese Auflistung vollständig ist, müsste für die Beurteilung der IT-
Sicherheit einer SCADA-Anlage für alle vorangestellten Angreifertypen individuelle
Angriffsprofile erstellt und entsprechende Eintrittswahrscheinlichkeiten bestimmt werden.
Erschwerend kommt hinzu, dass hierfür kein valides Datenmaterial zur Verfügung steht
(siehe oben).
Für die weitere Arbeit ergeben sich aus dem Vorangestellten folgende Schlussfolgerungen:
IT-Sicherheitsmetriken können ein Hilfsmittel zur Beurteilung des Unternehmensrisikos
aus dem Betrieb von SCADA-Systemen darstellen.
Keine der vorgestellten Ansätze zur Sicherheitsbeurteilung liefern eine belastbare
Aussage in Bezug auf die „IT-Sicherheit“ von SCADA-Systemen.
Keine der Methoden beinhaltet eine begründete Verknüpfung von „IT-Sicherheit“ und
„Anlagenrisiko“.
Die skizzierten Methoden erfordern in unterschiedlichem Umfang subjektive
Einschätzungen zur Ableitung quantitativer oder qualitativer Ergebnisse.
Metriken stellen keinen Endpunkt einer Analyse dar, sondern bilden einen Baustein einer
geschlossenen Wirkungskette (Beobachtung – Analyse – Planung – Umsetzung –
Beobachtung)
Die Methoden bieten keine Auflösung des „Auditoren-Dilemma“.
Anmerkung
Als „Auditoren-Dilemma“ bezeichne ich folgende Situation, im Falle einer auf empirischen
Daten basierenden Analysemethode:
Anlagenalter
Betreiber
SCADA-Lieferant
Es ist naheliegend, dass auch die Art des Unternehmens (internationaler Energiekonzern
oder lokales Stadtwerk) oder die Anlagengröße (Blockleistung) Auswirkungen auf die
Bedrohungslage hat, sofern ideologisch motivierte oder staatliche Angreifer infrage kommen.
Die Sicherheit von Leit- und Automatisierungssystemen beruht nicht alleine auf technischen
Ausprägungen der Systeme, sondern auch auf den sog. „Soft skills”, wie z.B.
Mitarbeiterschulung („Security awareness“), Wartungsprozessen für Systeme usw., die sich
von Anlage zu Anlage sehr stark unterscheiden und mithin zu stark divergierenden
Ergebnissen hinsichtlich der IT-Sicherheit führen.
Der Auditor verwendet also ein quantitatives oder qualitatives Beurteilungsmodell, dessen
Aussagekraft der Ergebnisse nicht begründbar ist.
6.4.1 Allgemeines
Bei Leittechniksystemen genießen die Integrität (d.h. die Korrektheit der prozessführenden
Logik) sowie die Verfügbarkeit (der Schutzfunktionen) oberste Priorität. Die Vertraulichkeit
der verarbeiteten Daten hat nachrangige Bedeutung.
Schutzziele im Bereich …
Priorität der
Schutzziele Unternehmens-IT Leittechniksysteme
1 Vertraulichkeit Integrität
2 Integrität Verfügbarkeit
3 Verfügbarkeit Vertraulichkeit
(Moily, 2011) weist auf die zum Teil konträren Bedeutungen von Sicherheitsmaßnahmen in
typischen Unternehmens-IT-Umgebungen im Gegensatz zu SCADA-Anlagen zur Führung
von verfahrenstechnischen Prozessen hin: IT-Sicherheitsmetriken lassen sich nicht immer
direkt auf Prozessleitsysteme anwenden, trotz gleicher Basistechnologien. Beispielsweise
gelten in IT-Systemen starke Passwörter mit definierter Gültigkeitsdauer und Kontensperrung
im Falle mehrfach fehlgeschlagenen Anmeldeversuchen als „best practise“. Demgegenüber
kann Bedienpersonal von Öl- und Gas-Pipelines, Kraftwerken, Raffinerien oder
Ölförderanlage gezwungen sein, im Falle kritischer Zustände in erheblichen
Stresssituationen handeln zu müssen. Der Systemzugang muss daher ohne oder nur mit
minimaler Verzögerung zwingend möglich sein, um gegebenenfalls Prozessstörungen zu
vermeiden. Aus diesem Grund wird für Arbeitsplätze zur Prozessführung teilweise sogar auf
einen Passwortschutz verzichtet. Schließlich soll ein Angreifer auch nicht in der Lage sein,
durch vorsätzliche mehrfache Falscheingabe von Passwörtern den Arbeitsplatz für zulässige
und notwendige Bedienungen zu blockieren.
Die Inhalte einer Sicherheitsmetrik sollen die Einschätzung der IT-Sicherheit einer
Leittechnikanlage ermöglichen und die Darstellung von Pseudo-Sicherheitsgrößen
vermeiden.
Beispiel: In der Literatur, aber auch in realen Audits, kommen Darstellungen zur IT-Sicherheit
in Form einer Sicherheits- oder Risikomatrix zur Anwendung (siehe Beispiel in Tabelle 5).
Dabei werden Mitarbeiter danach befragt, Angriffsszenarien nach Eintrittswahrscheinlichkeit
(„Hoch“, „Mittel“, „Gering“) und Schadenspotential („Hoch“, „Mittel“, „Gering“) zu beurteilen.
Die Aussagen der befragten Mitarbeiter / Anwender / Experten lassen sich dann in die
verschiedenen Quadranten der Matrix (von Hoch/Hoch bis Gering/Gering) einordnen. Die
Eintrittswahrscheinlichkeit
Risikomatrix
Hoch Mittel Gering
Szenario 1
Hoch
Szenario 4
Szenario 5
Gering
Szenario 6
Das Ergebnis stellt zwar ein häufig verwendetes Element von Sicherheitsmetriken dar.
Allerdings ist offensichtlich, dass diese Art der Darstellung nichts über die Sicherheit einer
Anlage aussagt, sondern lediglich die Einschätzung der Befragten wiedergibt. (Siehe in
(Hayden, 2010), Kapitel 2.3.2: „Security risk assessments don’t measure risk…“). Die
Qualität der Einschätzung, d.h. Erfahrung und Kompetenz der Befragten, Grad der
Objektivität usw., fließt nicht in das Ergebnis der Befragung ein. Außerdem hängt das
Ergebnis der „Messung“ von der Zusammensetzung des Kreises der Befragten ab.
Die Verwendung von Ersatzgrößen, insbesondere der Größe „Risiko“ wurde bereits in
Kapitel 6.3 kritisiert. Ziel des Entwurfs von Konzepten von Sicherheitsmetriken sollte die
Berücksichtigung inhärenter Sicherheitseigenschaften der Zielsysteme sein.
Die Bildung der Metrikinhalte auf Basis der zugrundeliegenden „Rohdaten“ (im Sinne einer
Messung) muss transparent darstellbar sein, um die Richtigkeit der Ergebnisse überprüfen
sowie die Sinnhaftigkeit der funktionalen Abbildung beurteilen zu können.
Angesichts der Tatsache, dass die Beurteilung der IT-Sicherheit von Leittechnikanlagen in
regelmäßigen Abständen erfolgen sollte, müssen die Ergebnisse dieser Analysen
vergleichbar sein. Ansonsten ist völlig unklar, wie Abweichungen zustande gekommen sind.
Mögliche Ursachen könnten sein:
die subjektiven Einschätzungen sind von der Zusammensetzung des Kreises der
Befragten abhängig und
die Gleichwertigkeit der individuellen Einschätzungen im Laufe der Zeit ist nicht
gewährleistet und in der Regel nicht verifizierbar.
Zur Verdeutlichung dieses Sachverhaltes sei an dieser Stelle darauf hingewiesen, dass
Fachleute hinsichtlich IT-Sicherheit aufgrund eigener Sachkunde mögliche Angriffsvarianten
häufig als „einfach realisierbar“ einschätzen, während am Assessment Beteiligte mit weniger
Security-Expertise die gleichen Angriffsvarianten eher als „schwierig zu realisieren“
einstufen.
In Kapitel 6.3.3 wurde bereits auf die Verwendung empirischer Daten und statistischer
Methoden für die Bildung von IT-Sicherheitsmetriken eingegangen. In der vorliegenden
Arbeit werden diese Ansätze abgelehnt. Aus Sicht des Verfassers lassen sich auf diesen
Wegen keine qualifizierten Aussagen hinsichtlich der IT-Sicherheit einer individuellen
Leittechnikanlage ableiten.
Begründung
Bei (Nicholson, et al. 2012) (siehe Kapitel 2.3.3) und (Gritsai, et al. 2012) findet man
numerische Angaben zu realen Angriffen („exploits“) gegen SCADA-Systeme (alle
Branchen, global). Bei weltweit < 50 Angriffen pro Jahr sind statistische Aussagen
nicht sinnvoll (Hinweis: allein in Deutschland sind ca. 1.000 Kraftwerksblöcke
unterschiedlichen Alters, verschiedener Technologien und Leistungsgrößen in
Betrieb).
Erzeugungskapazität von 5.000 MW ein größeres Problem dar, als ein 500 MW Block
in einer Anlagenflotte, die über eine Gesamtkapazität von 20.000 MW verfügt.
Falls hinreichend empirische Daten verfügbar wären, stellt sich die Frage, ob es
methodisch sinnvoll ist, diese Daten auf die untersuchte Zielanlage anzuwenden.
Schließlich stellen diese Daten eine Abbildung (Mittelwert) der Sicherheitslage
anderer Anlagen dar. Streng genommen gelten diese Daten nur für die der
empirischen Untersuchung zugrundeliegenden Anlagen (Stichproben). Anhand eines
fiktiven Beispiels wird die Nutzlosigkeit empirischer Daten anderer Anlagen bei
Anwendung auf eine Zielanlage deutlich: Die statistische Auswertung der
Sicherheitslage von 100 Anlagen, wobei davon 99 Anlagen höchste
Sicherheitsstandards erfüllen, würde der 100. Anlage (die betrachtete Zielanlage), die
fiktiv ohne jegliche Sicherheitsmaßnahme betrieben wird, fälschlicherweise ebenfalls
geringes Gefährdungspotential zubilligen.
Die Abbildung empirischer Anlagendaten einer ganzen Branche auf eine individuelle
Zielanlage wirft grundsätzlich die Frage auf, ob die Abbildung überhaupt gerechtfertigt
ist. Gründe können unterschiedliche Betriebsarten aufgrund nationaler Vorschriften,
verschiedenartige Produktionsmethoden oder sonstige individuelle Sonderfaktoren,
z.B. unternehmensspezifische Eigenschaften, sein.
Des Weiteren sollte eine Sicherheitsmetrik auch eine völlig individuelle, ganz
spezifische Anlage darstellen können.
Laut Anti-Malware Lösungshersteller Symantec (Kroll, Lars; Peters, Alexander 2012) beträgt
der Anteil sogenannter Mikro-Distributionen ca. 75%. Diese auf das entsprechende Ziel
maßgeschneiderte Schadsoftware wird typischerweise auf weniger als 50 Rechnersystemen
entdeckt und nutzt dem Angreifer bekannte anlagenspezifische Schwachstellen. Statistische
Methoden sind bei dieser Art von Angriffen völlig unbrauchbar.
Die diskutierten Randbedingungen für eine neue Sicherheitsmetriken lassen sich wie folgt
zusammenfassen:
In Kenntnis der Randbedingungen für Sicherheitsmetriken aus Kapitel 6.4 soll nun ein
Vorschlag für die Inhalte einer Sicherheitsmetrik für Leittechniksysteme vorgestellt werden.
In Kapitel 8 findet die nachfolgend beschriebene Metrik Anwendung im Rahmen der Analyse
einer beispielhaften Leittechnikanlage.
Wie bereits in Kapitel 6.1 erwähnt, dient eine IT-Sicherheitsmetrik dem Zweck, den Status
der IT-Sicherheit eines Leitsystems in geeigneter Form darzustellen. Als Grundlage für
Führungs- und Handlungsentscheidungen benötigt ein Unternehmen Informationen über den
Sicherheitsstatus der leittechnischen Einrichtung hinsichtlich zweier Perspektiven:
Um diesem Anspruch zu genügen, müssen Metriken statische Informationen liefern, die die
Sicherheitszustände zu definierten Zeitpunkten beschreiben. Des Weiteren müssen die
Metrikinhalte auch dynamische Elemente umfassen, die eine Fortschreibung der Metrik unter
Berücksichtigung von Veränderungen ermöglichen.
Ein System gilt in dem Maße als „sicher“, wie erfolgreiche Angriffe auf das System
verhindert werden.
Das heißt, das Sicherheitsniveau einer Anlage ist umgekehrt proportional zur Zahl der
potentiell (erfolgreich) möglichen Angriffsmuster. An dieser Stelle ist zu beachten, dass aus
naheliegenden Gründen nur die bekannten Angriffsmuster in die Analyse einfließen.
Aus dieser Überlegung ergibt sich folgende Definition des ersten Metrikelementes:
Sicherheitsniveau = 1 - (Ak / Ab )
Die „Anzahl der potentiell möglichen Angriffsszenarien“ leitet sich aus der
PROLOG-basierten Analyse der Anlagentopologie ab (siehe Kapitel 5.4.5).
Ab : bekannte Angriffsszenarien
Die „Anzahl der bekannten Angriffsszenarien“ ergibt sich aus der Analyse von
möglichen Angriffen, z.B. mit Hilfe der Methode „Attack Tree“ (siehe Kapitel
5.3.3).
Die Größe „Sicherheitsniveau“ beschreibt, wie hoch der Anteil der systembedingt möglichen
(kritischen) Angriffsszenarien gegen die Zielanlage ist - bezogen auf die bekannten
(generischen) Angriffsmuster.
Die Prüfung der Plausibilität der Formel zeigt die Übereinstimmung der Charakteristik der
Formel mit der Erwartung aus der Praxis:
Nimmt man an, dass aus der Literatur, Veröffentlichungen in der Presse oder aus eigenen
Überlegungen neue generische Angriffsmuster gefunden werden, so sollte das
Sicherheitsniveau der Anlage abnehmen (Randbedingung: keine zusätzlichen
Schutzmaßnahmen werden implementiert):
mit
Das nachfolgende Beispiel soll das Konzept des Begriffes „Sicherheitsniveau“ verdeutlichen.
Daraus ergibt sich das Sicherheitsniveau mit 4 bekannten Angriffsszenarien [(1) … (4)] sowie
3 systembedingt möglichen Angriffsszenarien [(1) … (3)], d.h.
Ab = 4
Ak = 3
zu
Sicherheitsniveau = 1 - ( 3 / 4 ) = 0,25
Im Rahmen eines Audit-Verfahren gegen die SCADA-Anlage kommt nun der Betreiber zu
der Erkenntnis, dass ein Angriff gegen die Stromversorgung der Systeme möglich wäre. Dies
führt zu folgender Neubewertung
Ab = 5
Ak = 4
Sicherheitsniveauneu = 1 - ( 4 / 5 ) = 0,2
Die zusätzlich gewonnene Erkenntnis bezüglich eines weiteren Angriffsmusters reduziert das
Sicherheitsniveau der betrachteten Zielanlage von 25% auf 20% - unter der Annahme keiner
zusätzlichen Gegenmaßnahmen. Des Weiteren zeigt das - zugegeben sehr einfache -
Beispiel, dass sich die Veränderung des Audit-Ergebnisses auf die geänderte
Bedrohungslage zurückführen lässt. Subjektive Einschätzungen, wie z.B. die Zuweisung der
Eintrittswahrscheinlichkeit eines bestimmten Angriffes, fließen nicht in das Ergebnis ein.
SCADA-Angriffsoberfläche
Während die Größe „Sicherheitsniveau“ auf Basis der bekannten generischen und
umsetzbaren Angriffsmuster eine allgemeine Einschätzung des Sicherheitsniveaus der
Leittechnikanlage liefert, steht nun das Bedrohungspotential im Fokus der Betrachtung.
Zu diesem Zweck wird der Begriff der „Angriffsinstanz“ eingeführt. Angriffsinstanzen stellen
konkrete Umsetzungen (= Angriffsvarianten) der generischen Angriffsmuster dar. Die
Abbildung der generischen Angriffsmuster (hier: systemtechnischen Voraussetzungen) auf
die konkrete Anlagentopologie liefert die „kritischen“ Szenarien. Diese Lösungen geben zu
jedem Angriffsmuster die gefundenen systemtechnischen Kombinationen aus, die die
Angriffsvoraussetzungen erfüllen. Ein Angriffsmuster lässt sich ggf. gegen mehrere
Komponenten der Leitechnikanlage ausführen. Mithin beschreibt das Ergebnis die Vielfalt
der Angriffsmuster gegen die Zielanlage.
Ein Beispiel soll die bisher eingeführten Klassen von Angriffsszenarien verdeutlichen:
II. Die (automatisierte) Abbildung dieses generische Angriffsmusters auf die technische
Beschreibung der Zielanlage ( Systeme mit USB-Schnittstellen) überführt das
III. Schließlich liefert die (automatisierte) Analyse der Zielanlage die Angriffsinstanzen,
nämlich dass x Systeme mit diesem Szenario angegriffen werden können.
Anmerkung: die Größe „Angriffsoberfläche“ gibt die Häufigkeit der sogenannten „kritischen“
Angriffsszenarien an. Welche Systeme davon betroffen sind, liefert das unten beschriebene
Metrikelement „kritische Angriffspunkte“.
Die Angriffsoberfläche der Zielanlage, bestehend aus allen Angriffsmusterdaten, ist dann in
Form einer Matrix darstellbar:
Manipulation Benutzerrechte, 75
xyz ..., nn
Kritische Angriffspunkte
Vor dem Hintergrund realer Betriebsverhältnisse ist es für den Betreiber hilfreich, zu
erkennen, welche Systeme oder Komponenten am häufigsten als Zielsysteme an
Angriffsszenarien beteiligt sind. Angesichts begrenzter Beschaffungs- und Wartungsbudgets
ist der Betreiber in der Lage, „kritische“ Systeme zu erkennen, um mit dem möglichen
Aufwand ein Maximum an Angriffsinstanzen zu verhindern.
Die Auswertung der „kritischen Szenarien“ (siehe Kapitel 5.4.5), d.h. aller möglichen
Instanzen über alle Angriffsmuster hinweg, ermöglicht dem Betreiber, jene Systeme
ausfindig zu machen, die die größten Risiken bergen, d.h. über die meisten Angriffsinstanzen
realisierbar sind. Das Ergebnis der Bestimmung ergibt für jedes Teilsystem der
Leittechnikanlage die Summe aller Angriffsinstanzen gegen dieses Teilsystem.
und
AngriffsinstanzenRelevanzi :=
Als Ergebnis der PROLOG-Analyse (der Beispielanlage) erhält man für folgende Systeme
die Häufigkeit möglicher Angriffe:
tc05, 65
Angriffspunkte = hmiS01, 59
histS01, 45
Aus dieser „Hitliste“ der gefährdeten Systeme ist der Betreiber in der Lage, besonders
gefährdet Systeme zu identifizieren und Schutzmaßnahmen abzuleiten.
Die weiter oben eingeführte Variable „Sicherheitsniveau“ basiert auf den potentiell möglichen
und den bekannten Angriffsmustern, die für die Zielanlage in Frage kommen. Eine
Gewichtung der einzelnen Angriffsmuster, z.B. hinsichtlich des potentiellen Schadens oder
der Eintrittswahrscheinlichkeit, erfolgte aufgrund des spekulativen Charakters nicht.
Betrachtet man zusätzlich die Voraussetzungen für die sogenannten kritischen
Angriffsmuster, also jene Muster, die systembedingt möglich sind, erhält man eine weitere
Eigenschaft dieser Angriffsmuster: die Voraussetzungen eines Angriffsmusters lässt sich als
Hürde gegen Angreifer interpretieren, die es für einen erfolgreichen Angriff zu überwinden
gilt. Um die Angriffsvoraussetzungen als Baustein in die Sicherheitsmetrik integrieren zu
können, ist eine Klassifizierung notwendig.
Zugangsmöglichkeiten („Access“)
Kompetenzen („Knowhow“)
Ausrüstung („Equipment“)
Zum Zweck der Klassifizierung erhalten die einzelnen Elemente einer Voraussetzungsklasse
jeweils einen Bewertungsfaktor zugeordnet. Dieser Faktor stellt keinen absoluten Wert dar,
sondern dient ausschließlich der Bewertung der Voraussetzungen einer Klasse relativ
zueinander.
Zutritt zu … Bewertungsfaktor
Gelände 1
Gebäude 2
Leittechnikraum 3
Geräte in LT-Schrank 4
Tabelle 8: Bewertungsfaktoren "Zugang"
Hinweis: für die weitere Bildung der Sicherheitsmetrik ist die Anzahl der Elemente je
Voraussetzungsklasse ohne Bedeutung. Desgleichen ist es unerheblich, ob die
Gewichtungsfaktoren in einer Folge mit oder ohne Lücken vergeben werden. Die
Bewertungsfaktoren sollen lediglich ein relatives Maß untereinander bilden, das die
Schwierigkeit abbildet, die Voraussetzung zu erfüllen. Im vorliegenden Beispiel bezeichnet
ein größerer Bewertungsfaktor eine schwierigere Angriffsvoraussetzung.
Formal lassen sich die Voraussetzungen für kritische Angriffsszenarien wie folgt
beschreiben:
Voraussetzung_Zugang ]
mit
Unter der Voraussetzung der oben erwähnten Zuordnungsregel des Bewertungsfaktors, d.h.
ein numerisch größerer Wert bildet eine schwierigere Angriffsvoraussetzung, lässt sich für
jede Voraussetzungsklasse eines Szenarios die Angriffsschwierigkeit als Maximalwert der
Bewertungsfaktoren darstellen.
Anmerkung: An dieser Stelle ließe sich nun einwenden, dass die Bewertungsfaktoren
subjektiven Einflüssen unterliegen und sich nicht aus Fakten ableiten lassen. Dieser
Argumentation sei entgegengehalten, dass die Bewertungsfaktoren keine absoluten Werte
hinsichtlich einer Sicherheitsaussage darstellen, sondern für den weiteren Verlauf der
Analyse primär einer Ordnung der Angriffsvoraussetzungen dienen. Darüber hinaus
unterscheiden sich die Bewertungsfaktoren beispielsweise von subjektiven Einschätzungen
der Kompetenzen und Fähigkeiten unbekannter Angreifer dahin gehend, dass die
Bewertungsfaktoren transparent in den (automatisierten) Analyseprozess einfließen.
Das Beurteilungsprinzip der „Kritikalität“ ist es, die potentiellen Angriffsmuster danach zu
bewerten, wie „schwierig“ es ist, die Szenarien zu realisieren, d.h. einen entsprechenden
Angriff gegen die Zielanlage auszuführen. Im Gegensatz zu den in Kapitel 6.3 kritisierten
Metrikansätzen, die auf (nicht verfügbaren) empirischen Daten basieren, berücksichtigt der
Baustein „Kritikalität“ zwei wesentliche Analyseelemente:
An dieser Stelle sei nochmals auf die Bedeutung des Begriffes „Risikoakzeptanz“ im Kontext
der vorliegenden Arbeit hingewiesen (s. a. 5.4.2): Im Gegensatz zu den kritisierten
risikobasierten Analyseansätzen, denen Vermutungen bzw. Einschätzungen zu den
Erfolgsaussichten von Angreifern zugrunde liegen (4.2.4), soll die Risikoakzeptanz
nachvollziehbar darstellen, welche Angriffsszenarien der Betreiber aufgrund der
Angriffsvoraussetzungen als hinreichend unwahrscheinlich und mithin das damit verbundene
Betriebsrisiko als akzeptabel klassifiziert.
Die Kritikalität der Angriffsszenarien soll die Anzahl der potentiellen Angriffsmuster angeben,
die einer vorgegebenen Akzeptanzschwelle des Betreibers nicht genügen. Zu diesem Zweck
ist für die automatisierte Beurteilung der Angriffsszenarien, die Risikoakzeptanz des
Betreibers zu definieren und einer automatisierten Verarbeitung zugänglich zu machen. Dies
geschieht mit Hilfe des Tupel
Der RisikovektorBetreiber beschreibt, welches Risiko der Betreiber als akzeptabel einstuft.
Die Formel „Kritikalität“ gibt die Anzahl der kritischen Angriffsszenarien an, deren
Angriffsvoraussetzungen als geringer (d.h. „einfacher zu realisieren“) eingeschätzt werden
als die Risikoakzeptanz des Betreibers ( #KnowhowBetreiber, #EquipmentBetreiber,
#ZugangBetreiber ).
Aus der Annahme, dass der Betreiber bereit ist, die Risiken aus jenen Angriffsszenarien zu
akzeptieren, die einen physischen Zugang zu den Leittechnikkomponenten in den
verschlossenen Leittechnikschränken voraussetzen (Betreiber: „sehr schwierig“), ergibt sich
ein Wert für
Der Betreiber ist nun Lage, zu definieren, welche Risiken akzeptabel sind, wobei die Risiken
durch die vom Angreifer zu erfüllenden Angriffsvoraussetzungen beschrieben sind.
Die relative Kritikalität der Angriffsmuster gibt den Anteil der potentiellen Angriffsszenarien
an, die den Anforderungen des Betreiber-Risikovektors nicht genügen:
Die Kritikalität der potentiellen Angriffsszenarien stellt somit die Anzahl der kritischen
Szenarien dar, denen die Angriffsvoraussetzungen für eine erfolgreiche Umsetzung als
niedriger klassifiziert werden, als es der Risikoakzeptanz der Betreiber entspricht.
An dieser Stelle soll zur Illustration ein Beispiel für die Variablen „Kritikalität“ und „relative
Kritikalität“ dargestellt werden:
Betrachtet seien der Übersichtlichkeit wegen lediglich die Voraussetzungen für die
Zugänglichkeit zur Leittechnikanlage. Die Zugangsvoraussetzungen lassen sich
anlagentypisch folgendermaßen beschreiben.
Voraussetzung_Zutritt Bewertungsfaktor
Gelände 1
Gebäude 2
Leittechnikraum 3
Geräte in LT-Schrank 4
Tabelle 9: Beispiel für Bewertungsfaktoren "Zugang"
Die Zugang-Komponente des Risikovektors legt der Betreiber auf 3 fest. Dies bedeutet, der
Betreiber akzeptiert Risiken, die sich aus Angriffsszenarien ergeben, die einen Zugang zum
Leittechnikraum erfordern.
RisikovektorBetreiber (Zugang) = 3
Die Kritikalität gibt dann die Anzahl aller kritischen Szenarien an, die als
Angriffsvoraussetzungen nur Zugang zum Gelände oder Gebäude, jedoch nicht zum
Leittechnikraum erfordern. Für eine fiktive Anlage, die diesem Beispiel zugrunde liegt,
ergaben sich 59 Angriffsszenarien, deren Zugangsvoraussetzungen keinen physischen
Zugriff auf die Leitechnikkomponenten erfordert (#Zugang < 4).
Angesichts der Anzahl von 67 realisierbaren („kritischen“) Angriffsszenarien ergibt sich eine
relative Kritikalität von
An dieser Stelle sei auf den wesentlichen Unterschied zu den typischen Risikobetrachtungen
in der Literatur hingewiesen: während Risikoanalysen üblicherweise (mehr oder weniger
nicht begründbare) Vermutungen darüber anstellen, wie wahrscheinlich ein erfolgreicher
Angriff eines vollkommen unbekannten Angreifer unter unbekannten Randbedingungen ist,
leitet die vorliegenden Arbeit das Risiko ausschließlich aus den bekannten
Angriffsvoraussetzungen ab. Eine Vermutung („Wahrscheinlichkeit“) hinsichtlich den
Fähigkeiten oder Intentionen unbekannter Angreifer ist überflüssig. Die Einschätzung des
Betreibers hinsichtlich des akzeptierten Risikos kann keinesfalls aus Fakten abgeleitet
werden. Deshalb ist es zwingend notwendig, dass die Daten dieser Einschätzung in
transparenter und nachvollziehbarer Weise in die Beurteilung der IT-Sicherheit der
Leittechnikanlage einfließen.
Der vorangegangene Abschnitt beschrieb die Sicherheit leittechnischer Anlagen anhand der
folgenden Variablen:
Sicherheitsniveau
SCADA-Angriffsoberfläche
Kritische Angriffspunkte
Für die Darstellung des Verlaufes des Sicherheitsstatus der Leittechnikanlage über die
Betriebszeit sind zeitabhängige Metrikinhalte notwendig. Zu diesem Zweck lassen sich die
Werte der numerischen Variablen Kritikalität und relative Kritikalität in einem Zeitdiagramm
darstellen. Die Variablen SCADA-Angriffsoberfläche und kritische Angriffspunkte stellen
tabellarische Größen dar. Deshalb bietet es sich an, diese Inhalte bezüglich der
anzuzeigenden Analysezeitpunkte in tabellarischer Form gegenüberzustellen. An dieser
Stelle sei angemerkt, dass die Struktur der vorgeschlagenen Sicherheitsmetrik entweder
In Kapitel 8.2.3 werden Beispiele der statischen und dynamischen Metrikinhalte dargestellt.
Die beiden vorangestellten Abschnitte beschrieben die statische sowie die dynamische
Perspektive der vorgeschlagenen Sicherheitsmetrik. An dieser Stelle sollen nun die
Auswirkungen von Änderungen der bestimmenden Randbedingungen auf die resultierenden
Metriken qualitativ beschrieben werden. Bei in zeitlichem Abstand durchgeführten
Sicherheitsanalysen einer Anlage können Änderungen der Randbedingungen auftreten, die
Einfluss auf die Metrikdaten haben:
Grundlage der Betrachtung sind die vier grundlegenden Formeln für die Bildung der
Sicherheitsmetrik aus 6.5.1:
Ab : bekannte Angriffsszenarien
Die Betrachtung der Auswirkungen geht von zwei Sicherheitsanalysen zu den beiden
Zeitpunkten t = t1 und t = t2 aus. In zwei Teilschritten sollen zunächst die Auswirkungen von
Änderungen der Bedrohungslage und anschließend die Änderungen an der
Leittechnikstruktur untersucht werden.
Die veränderte Bedrohungslage wirkt sich auf die Sicherheitsanalyse dergestalt aus, dass
zusätzliche Angriffsszenarien zu berücksichtigen sind:
Die Änderung der Bedrohungslage von Zeitpunkt t1 nach t2 ist in zwei Varianten möglich:
Aus obiger Formel (1) ergeben sich für die Metrikgröße „Sicherheitsniveau“ aus den beiden
Varianten folgende Auswirkungen:
Variante 1)
Variante 2)
Aus obiger Formel (2) ergeben sich für die Metrikgröße „Angriffsoberfläche“ aus den beiden
Varianten folgende Auswirkungen:
Variante 1)
d.h. durch die neu bekannt gewordenen und ausführbaren Angriffsszenarien wird
die Angriffsoberfläche größer.
Variante 2)
Aus obiger Formel (3) ergeben sich für die Metrikgröße „Kritische Angriffspunkte“ aus den
beiden Varianten folgende Auswirkungen:
Variante 1)
Variante 2)
Aus obiger Formel (4) ergeben sich für die Metrikgröße „Kritikalität“ aus den beiden
Varianten folgende Auswirkungen:
Variante 1)
Variante 2)
Wie in Schritt 1 bilden die vier grundlegenden Formeln für die Bildung der Sicherheitsmetrik
aus 6.5.1 die Basis der Betrachtung:
Ab : bekannte Angriffsszenarien
für i Angriffsmuster
Aus obiger Formel (1) ergeben sich für die Metrikgröße „Sicherheitsniveau“ aus den beiden
Varianten folgende Auswirkungen:
Variante 1)
Variante 2)
Aus obiger Formel (2) ergeben sich für die Metrikgröße „Angriffsoberfläche“ aus den beiden
Varianten folgende Auswirkungen:
Variante 1)
Variante 2)
Aus obiger Formel (3) ergeben sich für die Metrikgröße „Kritische Angriffspunkte“ aus den
beiden Varianten folgende Auswirkungen:
Variante 1)
Variante 2)
Aus obiger Formel (4) ergeben sich für die Metrikgröße „Kritikalität“ aus den beiden
Varianten folgende Auswirkungen:
Variante 1)
d.h. die geringere Anzahl bekannter und ausführbaren Angriffsszenarien, die der
Risikotoleranz des Betreibers nicht genügen, reduziert die Kritikalität, ansonsten
bleibt die Kritikalität unverändert.
Variante 2)
Die beiden Schritte zur separaten Beurteilung der Auswirkung von veränderter
Bedrohungslage bzw. der Veränderung der Struktur der Leittechnikanlage zeigen, dass sich
die Änderungen konsistent auf die Metrikgrößen auswirken. Für die praktische Anwendung
der Metrik ergibt sich daraus die Schlussfolgerung, die Analyse ebenfalls in zwei Teilschritten
durchzuführen, um hinreichende Ursachentransparenz der auftretenden Änderungen an
Metrikdaten sicherzustellen.
Das Sicherheitsniveau stellt einen Indikator hinsichtlich der potentiellen Angreifbarkeit der
Anlage dar. In das Sicherheitsniveau fließen sowohl die allgemein bekannten
Angriffsszenarien ein, als auch die systemtechnisch bedingt gegen die Anlage ausführbaren
Angriffsszenarien. Somit reflektiert diese Größe die allgemeine Bedrohungslage (bekannte
Angriffsszenarien), aber auch die Wirksamkeit der aktuell wirksamen Schutzmaßnahmen
Die kritischen Angriffspunkte decken die Vielzahl der Angriffsmöglichkeiten gegen die
verschiedenen Systeme und Komponenten einer Leittechnikanlage auf. Damit lassen sich
Maßnahmen zur Verbesserung der Sicherheit auf jene Elemente konzentrieren, die für
Angreifer die meisten Schwachstellen bereithalten.
Die „Kritikalität“ der potentiellen Angriffsmuster visualisiert die Schwierigkeit im Sinne einer
Angriffshürde, die Angriffsszenarien zu realisieren, d.h. einen entsprechenden Angriff gegen
die Zielanlage auszuführen. Die Kenngröße basiert auf den Voraussetzungen Knowhow,
Ausrüstung und Zugangsmöglichkeit und zeigt dem Betreiber auf, wie sich für die Anlage
hinsichtlich dieser 3 Dimensionen Verbesserungspotential ergibt.
Die relative Kritikalität der Angriffsmuster zeigt auf, wie hoch der Anteil der potentiellen
Angriffsszenarien ist, die den Anforderungen des Betreiber-Risikovektors nicht genügen. Im
Zusammenspiel mit der (absoluten) Kritikalität sowie der Angriffsoberfläche lassen sich im
betrieblichen Entscheidungsprozess Verbesserungspotentiale und Schwachpunkte der
Leittechniksicherheit identifizieren.
Zu Beginn dieses Kapitels wurden Begriffe und aktuelle Ansätze für IT-Sicherheitsmetriken
skizziert. Es zeigten sich erhebliche Schwachstellen der recherchierten und vorgestellten
Metriken. Als wesentliche Defizite stellten sich heraus:
die Kennzahlen gängiger Sicherheitsmetriken bilden nur bedingt die IT-Sicherheit der
betrachteten Zielsysteme ab
die Metrik muss eine Aussage zur Sicherheit der Zielanlage liefern
dynamischer Metrikbereich
Der statische Metrikbereich liefert die Informationen hinsichtlich der Sicherheit der Zielanlage
zum Zeitpunkt der Analyse und umfasst folgende Sicherheitsaspekte:
SCADA-Angriffsoberfläche, d.h. eine Aussage über die Vielfalt mit der Varianten der
Angriffsszenarien in der Zieltopologie umsetzbar sind
Die Fortschreibung der statischen Metrikdaten über die Betriebszeit der Anlage hinweg aus
wiederkehrenden Anlagenanalysen liefert den zeitlichen Verlauf der IT-Sicherheit der
Leittechnikanlage.
Die vorgeschlagene Metrik liefert für Leittechniksysteme die Visualisierung des Status der IT-
Sicherheit unter Berücksichtigung:
Die Beachtung der skizzierten Randbedingungen, d.h. die Aussagen zur Systemsicherheit,
die Transparenz und Nachvollziehbarkeit der Abbildung, stellen
hinweg sicher. In die (automatisierte) Analyse der Zielanlage fließt die Struktur der
individuellen Zielanlage ein.
In diesem Kapitel soll die technische Vorgehensweise der Methode beschrieben werden.
Dies beginnt mit den Randbedingungen, die die Methode erfüllen muss, um eine effiziente
Analysedurchführung zu ermöglichen.
Methodeneffizienz
Die Effizienz der Methode, d.h. ein möglichst geringer Zeit- und Arbeitsaufwand,
insbesondere für die Datenerfassung der Angriffsszenarien und der
Zielanlagenbeschreibung, ist Voraussetzung für ihre regelmäßige betriebliche Anwendung.
Für die Effizienz der Methode spielt der Aufwand für die Datenerfassung eine entscheidende
Rolle. Hierbei sind zwei Perspektiven zu berücksichtigen:
Hierbei müssen allerdings zwei Fälle unterschieden werden: die erstmalige Analyse nach der
vorgeschlagenen Methodik und nachfolgende Wiederholungen. Im Rahmen der erstmaligen
Anwendung ist ein höherer Aufwand zur Beschaffung der Daten zulässig. Bei nachfolgenden
Wiederholungen ist der Aufwand auf ein Minimum zu reduzieren. Minimum soll in diesem
Kontext bedeuten, dass nur jene Daten neu zu erfassen sind, die Änderungen der
Bevor auf die datentechnische Umsetzung der vorgeschlagenen Methode eingegangen wird,
sollen kurz aus der Literatur bekannte Analyseverfahren hinsichtlich Methodik und
Anwendbarkeit dem vom Verfasser vorgeschlagenen Ansatz gegenübergestellt werden.
Unternehmens-IT-Systeme oder
SCADA-Systeme
Anwendungen
Betriebssystem
Schnittstellen
strukturieren. Des Weiteren sind – in einem erweiterten Sinne von „Peripherie“ – die
Untergruppen um die Kategorien „Cloud Services“ bzw. „Feldbereich“ zu ergänzen.
Neben der Abdeckung der IT- bzw. SCADA-Systemstruktur spielt die der Analyse
zugrundeliegende Methodik, d.h. analysierte Faktenbasis, eine zentrale Rolle. Berücksichtigt
wurden die Analysen
der Software-Schwachstellen
Schließlich ist für die Zielsetzung des vorliegenden Dokuments von Bedeutung, welche
Zielgruppe in der Lage ist, die Analyse durchzuführen. Aus diesen Überlegungen ergibt sich
das in Tabelle 10 dargestellte Beurteilungsschema.
Anwendbarkeit des
Methodenbasis
Verfahrens durch …
(semi-) automatisierte Analyseverfahren
für … Source Software- Hersteller / Anwender /
Code Schwachstellen Lieferant Betreiber
Anwendungen
Betriebssystem
IT-Systeme Schnittstellen
Netzwerkstruktur
Cloud Services
Anwendungen
Standard
Betriebssystem
SCADA- proprietär
Systeme
Schnittstellen
Netzwerkstruktur
Feldbereich
(Gutbrodt, 2007) schlägt die automatisierte Ausführung von Angriffen gegen die Feldebene
vor, um die Wirksamkeit von Schutzmechanismen auszuwerten. Potentielle
Angriffsrichtungen sind aus der Prozessleitebene auf die Feldebene oder durch direkte
Ankoppelung an die Feldebene.
(Bleikertz, 2010) beschreibt einen Ansatz zur Analyse von mehrschichtigen virtuellen
Infrastrukturen. Zu diesem Zweck wendet er die Ansätze für Schwachstellen-Assessments
traditioneller Rechnerumgebungen auf die Amazon Cloud-Infrastruktur an.
Zur Beurteilung der Sicherheit zieht der Autor die Erreichbarkeit von Systemen aufgrund der
IP-Adresse und der verwendeten Protokolle heran. Regelsätze beschreiben die zulässigen
Verbindungen.
The idea is to convert vulnerability ratings into probabilities, i.e., the probability an
attacker can and will execute a certain attack to change from one attack state to the
next.
Des Weiteren bilden die bekannten Schwachstellen von Systemdiensten („services“) die
Grundlage, um die Widerstandsfähigkeit gegen Angriffe hinsichtlich Aufwand und Zeitbedarf
zu bestimmen.
(Mohamed Almorsy, 2013) stellt einen Ansatz vor, der ausgehend von Angriffsszenarien und
dafür definierten Angriffssignaturen die Sicherheit eines Systems anhand verschiedener
Metriken beurteilt. Nachteil der Methode ist, dass die notwendigen Informationen zur Bildung
der Metriken Anwendern bzw. Betreibern nicht zur Verfügung stehen.
In (Mohammad Salim Ahmed, 2010) beschreiben die Autoren ein Framework zur
Quantifizierung wesentlicher Security-Risikofaktoren. Auf der Basis bekannter
Schwachstellen sowie der historischen Entwicklung von Schwachstellen, wird für
Systemdienste die Schwere zukünftiger Schwachstellen abgeschätzt. Ausgehend von den
aktuellen Schwachstellen eines Systems evaluiert das vorgeschlagene Framework das zu
erwartende Risiko zukünftiger Schwachstellen.
Wesentliche Probleme des Verfahrens sind, dass es auf den bekannten Schwachstellen der
vorhandenen Services beruht und die Abschätzung zukünftiger Schwachstellen aus
historischen Schwachstellen-Daten ableitet. Das Fehlen solcher historischer Daten bei
SCADA-Systemen beschränkt die Methode auf typische IT-Systeme.
Die US-Behörde „National Institute of Standards and Technology” (NIST) hat die
Unterstützung des Werkzeuges zur automatisierten Selbstbeurteilung der IT-Sicherheit
(Automated Security Self-Evaluation Tool, ASSET) 2007 eingestellt (aufgrund der Ersetzung
von NIST SP800-26 durch NIST SP 800-53 bzw. NIST SP 800-53A). Anwender konnten
Antworten zu vorgegebenen Fragelisten manuell in ein Datenbank-gestütztes Client-Server-
System eingeben. Die Fragenliste basierte auf dem NIST-Dokument NIST SP 800-26 /
Anhang A. Die Fragen sind allgemeingültig für die Themenbereiche Risikomanagement,
Schutzmaßnahmen, System life cycle, Berechtigungsprozesse, Security Plan,
Personalprozesse, physische Sicherheit, unterstützende IT-Betriebsfunktionen,
Notfallplanung, HW-/SW-Wartung, Maßnahmen zur Sicherstellung der Datenintegrität,
Dokumentation, Schulung, Ereignismanagement usw. Auf Basis der eingegebenen Daten
ließen sich Berichte für eine betrachtete Anlage oder Berichte über alle Anlagen hinweg
erzeugen.
Es fällt auf, dass mit einer Ausnahme (Zahid Anwar, 2008) keine Methode den Betreibern
von SCADA-Systemen die Beurteilung der IT-Sicherheit ihrer in Betrieb befindlichen Anlagen
ermöglicht. (Zahid Anwar, 2008) adressiert allerdings primär die Schwachstellen des
elektrischen Versorgungsnetzes (aus Sicht der Leitsysteme: Feldbereich). Für den Bereich
der SCADA-Komponenten mit proprietären Betriebssystemen sind ebenfalls keine
Analysemethoden veröffentlicht, die über die (vermutlichen) qualitätssichernden Maßnahmen
der Hersteller hinausgehen.
Eine allgemeingültige Methode für Leit- und Automatisierungssysteme ist somit auch nicht
gegeben.
Anwendbarkeit des
Methodenbasis
(semi-) automatisierte Verfahrens durch …
Analyseverfahren
für … Software- Hersteller / Anwender /
Source Code
Schwachstellen Lieferant Betreiber
(Mohamed
Almorsy, x ---
Anwendungen 2013)
(Mohammad Salim
x ---
Ahmed, 2010)
(Mohamed
IT- Almorsy, x ---
Systeme Betriebssystem 2013)
(Mohammad Salim
x ---
Ahmed, 2010)
Schnittstellen
Netzwerkstruktur
Cloud Services (Bleikertz, 2010) x (x)
(Mohamed
Anwendungen Almorsy, x ---
2013)
(Mohamed
Almorsy, x ---
Betriebs Standard 2013)
-system (Mohammad Salim
x ---
SCADA- Ahmed, 2010)
Systeme proprietär
Schnittstellen
Netzwerkstruktur
Auf Basis der vorgenannten Randbedingungen lassen sich die zu erfassenden Anlagendaten
in zwei Kategorien einordnen:
b) Daten, die systemtechnisch nicht verfügbar sind oder deren Erfassung nicht
automatisiert möglich ist
(teilweise) Geräte-Identifikationskennungen
Wie bereits in Kapitel 5.3.3 aufgezeigt, diente die Methode der „Attack Trees“ zur Herleitung
von Angriffsszenarien. Als Ergebnis liegen diese Szenarien als komponentenspezifisch
ausgeprägte Graphen vor, deren Wurzelknoten die betrachtete Komponente der
Leittechnikanlage bildet. Die Graphen-Endpunkte der einzelnen Graphen-Zweige liefern die
elementaren Voraussetzungen für die betrachteten Angriffsvarianten. Die Herleitung der
kritischen, d.h. tatsächlich möglichen Angriffsvarianten erfolgt durch Abbildung dieser
Voraussetzungen auf die Beschreibungen der Zielanlage. Der Analysealgorithmus stellt
somit das Suchen nach Lösungen dar, in denen die Voraussetzungen aus den Attack Tree-
Graphen mit den Systemeigenschaften übereinstimmen („Match“). Zur Implementierung
dieser Lösungssuche wird die Abbildung der Anlagen- und Szenario-Daten als Logik-
orientierte Wissensrepräsentation aufgefasst. Zur systemtechnischen Verarbeitung dient ein
PROLOG-System. Die PROLOG-Wissensbasis des Analysesystems besteht aus den
Fakten, die automatisiert oder manuell erfasst wurden sowie den PROLOG-Regeln, die der
Lösungssuche dienen.
1. Anlagendaten
2. Szenario-Daten
3. Analyseschritt #1
4. Analyseschritt #2
Auf Basis der möglichen Angriffsszenarien und der Voraussetzungen, die ein Angreifer
erfüllen muss (aus Szenario-Daten: Knowhow, Zugang, Equipment) bestimmt Analyseschritt
#2 automatisiert die Menge der Szenario-spezifischen Voraussetzungen.
5. Bewertungsschema
Das Bewertungsschema (siehe 6.5) wird als statisch betrachtet und manuell für die in Frage
kommenden Angriffsvoraussetzungen erstellt (im Wesentlichen einmalig; Ergänzungen nur
im Falle zusätzlicher Voraussetzungen).
6. Analyseschritt #3
Auf Basis der Menge der gefundenen Angriffsvoraussetzungen und mittels Verknüpfung mit
dem Bewertungsschema erstellt Analyseschritt #3 automatisiert die finale Sicherheitsmetrik
für die betrachtete Leittechnikanlage.
Die Programmausführung, d.h. das Suchen nach Lösungen für die kritischen
Angriffsszenarien (Abbildung der Angriffsszenarien auf die Beschreibung der Zielanlage) und
die Ableitung der Sicherheitsmetrik ist in Abbildung 23 dargestellt. Die Daten der
Angriffsszenarien sowie der Anlagenbeschreibung sind in PROLOG-Klauseln (= Fakten)
abgebildet. Funktionsklauseln bilden das eigentliche PROLOG-Programm. Sie
bewerkstelligen den Suchprozess nach Lösungen, d.h. das Matching von Szenario-Daten
und Systemeigenschaften.
Ausgehend von dieser Struktur erfolgten im Rahmen der Erprobung der Methodik an
Anlagenmodellen einige Optimierungsschritte. Zu diesem Zweck wurde der Analyseprozess
in einen PROLOG-Teil und einen Datenbankteil aufgespalten.
Ziel der Optimierung ist, eine eindeutige Trennung der Anlagendaten von der Struktur der
Datenhaltung sowie den verschiedenen Generierungsmechanismen herbeizuführen.
Aus Gründen der Handhabbarkeit im Rahmen einer praktischen Anwendung, wurden die
Datensätze, die bislang als PROLOG-Klauseln in Textdateien gehalten wurden, semantisch
gleichartig in Datenbanktabellen (hier: MS Access) überführt. Für die Anwendung in der
Praxis hat die Verwendung einer solchen Eingabeoberfläche Vorteile hinsichtlich der
Benutzerfreundlichkeit und der Vermeidung von Eingabefehlern. Nach Erfassung der Daten
in der Datenbank erfolgt - per definiertem Export-Algorithmus - der Export der Daten in
Textdateien mit PROLOG-Syntax. Somit stehen die Daten anschließend für die Analyse mit
Hilfe des PROLOG-Laufzeitsystems zur Verfügung.
Je nach Verfügbarkeit der originären Daten lassen sich die Datensätze manuell oder
automatisiert erfassen.
Als methodischer Vorteil kann erwähnt werden, dass die Generierung der PROLOG-Syntax
aus Datenbanktabellen erzwingt, dass die Zielsyntax ausschließlich in Abhängigkeit von den
betreffenden Datensatzinhalten abgeleitet wird (SQL-Abfragen). Der generische Charakter
der Datenbankabfragen eliminiert die Möglichkeit, einzelfall-typische Ergänzungen im
Rahmen der Makroprogrammierung.
Hinweise:
Die Migration der Datenhaltung (hier: Anlagendaten, Voraussetzungen für Angriffe) von
Einzeldateien auf eine Datenbank hat Auswirkung auf den Ablauf der Analyse der
Leittechnikanlage. Die tabellarischen Strukturen erleichtern den Aufbau einer
abschließenden Metrik. Aus diesem Grund wurde die PROLOG-basierte Analyse deutlich
vereinfacht. Mit Hilfe des PRLOG-Systems werden lediglich die sogenannten „kritischen
Szenarien“ gesucht. Die darauf aufbauende Metrik kann innerhalb der Datenbank mit den
vorhandenen Anlagen- und Szenario-Daten abgebildet werden (siehe Übersicht des
Programmablaufes in Abbildung 23).
Die „kritischen Szenarien“ ergeben sich aus der Abbildung der systemtechnischen
Voraussetzungen der Angriffsmuster auf die Anlagenbeschreibungen mit den Methoden der
Prädikatelogik. Als Ergebnis liefert die PROLOG-Analyse Datensätze der Form:
Das Programm führt das „Matching“ der Szenario-Daten auf die Anlagendaten unter
Verwendung von PROLOG-Klauseln aus, die in Abbildung 23 als Funktionsklauseln
bezeichnet werden. Die Bestimmung der kritischen Szenarien, d.h. jener Angriffsszenarien,
die aufgrund der Anlagenstruktur sowie den Gerätekonfigurationen möglich sind, ergibt sich
aus folgender Formel:
Nachfolgend sind beispielhaft die Makro-generierten Klauseln für das Szenario „1.1“
dargestellt:
...
...
scenario(SC):-
...
Die Klausel „scenarioD()“ enthält die Szenario-Kennung, das Angriffsziel (Systemtyp), den
Ausgangspunkt des Angriffs (Systemtyp), das Schutzziel gegen das sich der Angriff richtet
sowie die Bezeichnung der Angriffsart.
Die Klausel „scenarioA()“ enthält Fakten aus den Voraussetzungen, die der Angreifer zu
erfüllen hat: Equipment, Knowhow und notwendiger physischer Zugang.
Beispiele:
cdDvd(SS, SSID)
systemOperating(SS, SSID, L)
deviceType(SS, SSID, _)
Die Klausel „writeData(SC, A, TS, SSID, SID, L)” gibt die Daten in eine Datei aus.
Die Häufigkeit der PROLOG-basierten Anlagenanalyse hängt von der Häufigkeit der
Änderungen an den Anlagendaten bzw. Szenario-Beschreibungen ab. Betriebstypisch
dürften diese Analyse sowie die nachfolgenden Schritte in festen Zyklen erfolgen.
Die vorangegangenen Abschnitte beschrieben die Datenstrukturen der Datenbank für die
Erfassung der Anlagen- und Szenario-Daten sowie den Export in PROLOG-Klauseln. Die
nachfolgenden Abschnitte beschreiben nun die Datenstrukturen zum Import der Ergebnisse
der PROLOG-Analyse in die Datenbank und die Bildung der Metrik auf Basis dieser
Ergebnisse.
Mit Hilfe von Datenbankfunktion erfolgt der Import der Ergebnisse aus der PROLOG-Analyse
in eine Datenbanktabelle. Manuelle Datenmanipulationen sind nicht erforderlich. Der Import
stellt eine 1:1-Abbildung der PROLOG-Ergebnisse dar (Beispiel siehe Abbildung 25).
Die Häufigkeit des Datenimports hängt von der Häufigkeit der Analysedurchgänge ab. Die
Inhalte der Datenbanktabelle (Abbildung 25) entsprechen den Inhalten, die das PROLOG-
Laufzeitsystem als Suchergebnis liefert (Abbildung 24).
Die Bildung der Metrik über den Sicherheitsstatus der Leittechnikanlage erfolgt in zwei
Schritten:
Zunächst werden die gefundenen „kritischen Szenarien“ jeweils mit den Datenbanktabellen,
die die Voraussetzungen „Zugang“, „Equipment“ und „Knowhow“ enthalten, verknüpft. Als
Ergebnis erhält man drei Teil-Metriken für die drei Teilbereiche. Im zweiten Schritt werden
diese Teil-Metriken zu einer Gesamt-Metrik zusammengeführt.
Transformationsschritt Datenstruktur
Die Bildung der Teil-Metrik „Knowhow“ erfolgt in gleicher Weise wie die Teil-Metrik
„Equipment“. Die Bewertungsklassen hinsichtlich Knowhow sind „General“, „Specific“,
„Sensitiv“ und „Individual“ (siehe Beispiel in Abbildung 27).
Transformationsschritt Datenstruktur
Die Bildung der Teil-Metrik „Zugang“ erfolgt ebenfalls in der beschriebenen Weise. Die
Bewertungsklassen hinsichtlich Zugänglichkeit sind „Area“, „Building“, „Room“ und „Device“
(Beispiel siehe Abbildung 28).
Transformationsschritt Datenstruktur
Die Gesamtmetrik führt per Abfrage (View) für jedes Angriffsszenario die Bewertungen
hinsichtlich „Knowhow“, „Equipment“ und „Zugänglichkeit“ zusammen.
Transformationsschritt Datenstruktur
Die Datenbank liefert die Metrik-Daten über den View „Overview_Metric“ (siehe Abbildung
29). Die resultierende Sicherheitsmetrik wird im nachfolgenden Kapitel anhand eines
Beispiels dargestellt.
Dieses abschließende Kapitel soll die Analysemethode einer Erprobung im Rahmen einer
Beispielanlage unterziehen. Der Beurteilung der Methode liegen folgende Ansätze
zugrunde:
Für die Gegenüberstellung der in dieser Arbeit vorgeschlagenen Analysemethodik und einer
etablierten Methode soll eine praxisgerechte Beispielanlage einer Leittechnikanlage
zugrunde gelegt werden. Diese beispielhafte Zielanlage dient sowohl der
Methodenerprobung als auch dem Ergebnisvergleich beider Methoden.
Zum Zwecke der Anonymisierung der realen Anlage wurde die Anzahl der jeweiligen
Leittechnikkomponenten verändert. Die Leittechnikkomponententypen der Zielanlage blieben
erhalten. Abbildung 30 skizziert die räumliche Verteilung der Leittechnikkomponenten über
die wesentlichen Örtlichkeiten der Anlage.
In den Leittechnikräumen für den E-Filter sowie die Bekohlung sind HMI-Clients zur Vor-Ort-
Bedienung der Anlage als auch Automatisierungssysteme untergebracht. Diese
Leittechnikräume sind nicht permanent mit Personal besetzt.
In den Leittechnikräumen für den Flugaschen-Silo sowie die Schiffsentladung stehen nur
HMI-Clients zur Bedienung der Anlage zur Verfügung. Diese Räume sind nicht permanent
mit Personal besetzt.
Nachdem das vorangegangene Kapitel (8.1) eine typische Beispielanlage skizzierte, soll
dieses Kapitel die Anwendung verschiedener Analysemethoden auf diese Beispielanlage
beschreiben. Als erster Schritt ist die Auswahl eines geeigneten Standards hinsichtlich der
Beurteilung der IT-Sicherheit von Leittechnikanlagen zu treffen (8.2.1). Anschließend erfolgt
die Analyse der Beispielanlage auf Basis des ausgewählten Standards (8.2.2). Um einen
Methodenvergleich zu ermöglichen, wird danach die Beispielanlage mit der neu
vorgeschlagenen, faktenbasierten Analysemethode einer Beurteilung unterzogen. Im
abschließenden Schritt (8.3) folgt der Ergebnis- und Methodenvergleich.
Als mögliche Referenz zur Beurteilung der Sicherheit kommen mehrere SCADA-relevante
Standards in Betracht:
NERC CIP
NIST SP 800-30
NIST SP 800-55
VGB R175
ISO 27000
(NIST-SP800-30, 2012) ausgewählt, da dieser Standard sowohl in Europa als auch in den
USA als Grundlage für die Risikoanalyse auch für leittechnische Anlagen dient und im
Gegensatz zu den anderen Standards auf klassifizierbare Ergebnisse abzielt.
(NIST-SP800-30, 2012) stellt folgende Methodenansätze zur Analyse der Zielanlagen zur
Auswahl:
Analysis approaches differ with respect to the orientation or starting point of the risk
assessment, level of detail in the assessment, and how risks due to similar threat
scenarios are treated. An analysis approach can be:
1) threat-oriented
2) asset/impact-oriented or
3) vulnerability-oriented
Da im Rahmen der vorliegenden Arbeit die Beurteilung der IT-Sicherheit des SCADA-
Systems im Mittelpunkt steht, basiert die weitere Betrachtung auf der bedrohungsorientierten
Analyseansatz. Die weitere Betrachtung des Analyseprozesses gemäß (NIST-SP800-30,
2012) folgt dem Prozess wie in Abbildung 32 dargestellt.
Aufgrund des Ziels, eine standardisierte Methode zur Risikobeurteilung von SCADA-
Systemen mit der vom Verfasser vorgeschlagenen Methode zu vergleichen, beschränkt sich
die weitere Betrachtung auf die beiden Analyseschritte
Für den weiteren Analyseprozess leiten sich daraus die nachfolgend beschriebenen
Prozessschritte ab.
Für den angestrebten Methodenvergleich sollen nachfolgend die Aufgaben der einzelnen
Prozessschritte dargestellt werden.
Task 1-1
Identify the purpose of the risk assessment in terms of the information that the
assessment is intended to produce and the decisions the assessment is intended to
support.
Es ist das Ziel der Analyse auf Basis (NIST-SP800-30, 2012), verifizierbare Aussagen zum
Status der IT-Sicherheit der SCADA-Zielanlage zu erhalten.
Task 1-2
Identify the scope of the risk assessment in terms of organizational applicability, time
frame supported and architectural/technology considerations.
Task 1-3
Identify the specific assumptions and constraints under which the risk assessment is
conducted.
Die Analyse im Rahmen des Methodenvergleichs stützt sich auf folgende Annahmen:
Threat Sources
Vereinzelte Regelwerke, aber vor allem Ausschreibungen von Betreibern leittechnischer Anlagen erheben die
Forderung, dass Leitsysteme gegen den Zugriff nicht autorisierter Anwender geschützt sein müssen. Diese
Forderung beinhaltet sogar die missbräuchliche Verwendung von Benutzername und Passwort oder ID-Karte
berechtigter Anwender. Offensichtlich wird dabei nicht bedacht, dass ein Rechnersystem einen Anwender nur
anhand der vorgegebenen Identifikationsmerkmale („Credentials“), z.B. Benutzername / Passwort, identifizieren
und autorisieren kann. Bei missbräuchlicher Verwendung dieser Merkmale gilt ein Angreifer automatisch als
autorisierter Anwender. Da bei modernen Betriebssystemen alle Prozesse im Kontext eines System- oder
Benutzerkontos laufen, bewegt sich ein Angreifer nach erfolgreicher Anmeldung immer im Kontext eines
autorisierten Benutzers.
Threat Events
Folgende Angriffstypen aus (NIST-SP800-30, 2012) werden für die Analyse übernommen:
Anmerkung: Vor dem Hintergrund, dass die vorliegende Betrachtung die IT-Sicherheit der
SCADA-Systeme zum Ziel hat, werden Angriffe, die für nicht-computerbasierte Systeme in
gleicher Weise möglich sind (z.B. physische Zerstörungen, Unterbrechung von
Kabelverbindungen, Beeinflussung der Stromversorgung der Systeme etc.) nicht
berücksichtigt. Im Mittelpunkt der Betrachtung stehen Risiken, die durch Nutzung software-
basierter Systeme hinzukommen. Die nachfolgenden Tabellen aus dem zugrunde gelegten
Standard beschreiben die möglichen Bedrohungsszenarien. Durchgestrichen wurden jene
Szenarien, die aus Sicht des Verfassers für die betrachtete Zielanlage nicht relevant sind.
Perform network sniffing of exposed Adversary with access to exposed wired or wireless data
networks. channels used to transmit information uses network
sniffing to identify components, resources, and
protections.
Perform reconnaissance and Adversary uses various means (e.g., scanning, physical
surveillance of targeted organizations. observation) over time to examine and assess
organizations and ascertain points of vulnerability.
Perform malware-directed internal Adversary uses malware installed inside the organizational
reconnaissance. perimeter to identify targets of opportunity. Because the
scanning, probing, or observation does not cross the
perimeter, it is not detected by externally placed intrusion
detection systems.
Deliver malware by providing removable Adversary places removable media (e.g., flash drives)
media. containing malware in locations external to organizational
physical perimeters but where employees are likely to find
the media (e.g., facilities parking lots, exhibits at
conferences attended by employees) and use it on
organizational information systems.
Insert counterfeit or tampered hardware Adversary intercepts hardware from legitimate suppliers.
into the supply chain. Adversary modifies the hardware or replaces it with faulty
or otherwise modified hardware.
Insert malicious scanning devices (e.g., Adversary uses postal service or other commercial
wireless sniffers) inside facilities. delivery services to deliver to organizational mailrooms a
device that is able to scan wireless communications
accessible from within the mailrooms and then wirelessly
transmit information back to adversary.
Exploit physical access of authorized Adversary follows (“tailgates”) authorized individuals into
staff to gain access to organizational secure/controlled locations with the goal of gaining access
facilities. to facilities, circumventing physical security checks.
Exploit poorly configured or Adversary gains access through the Internet to information
unauthorized information systems systems that are not authorized for Internet connectivity or
exposed to the Internet. that do not meet organizational configuration
requirements.
Exploit known vulnerabilities in mobile Adversary takes advantage of fact that transportable
systems (e.g., laptops, PDAs, smart information systems are outside physical protection of
phones). organizations and logical protection of corporate firewalls,
and compromises the systems based on known
vulnerabilities to gather information from those systems.
Exploit vulnerabilities using zero-day Adversary employs attacks that exploit as yet unpublicized
attacks. vulnerabilities. Zero-day attacks are based on adversary
insight into the information systems and applications used
by organizations as well as adversary reconnaissance of
organizations.
Conduct wireless jamming attacks. Adversary takes measures to interfere with wireless
communications so as to impede or prevent
communications from reaching intended recipients.
Conduct attacks using unauthorized Adversary conducts attacks using ports, protocols, and
ports, protocols and services. services for ingress and egress that are not authorized for
use by organizations.
Conduct attacks leveraging traffic/data Adversary makes use of permitted information flows (e.g.,
movement allowed across perimeter. email communication, removable storage) to compromise
internal information systems, which allows adversary to
obtain and exfiltrate sensitive information through
perimeters.
Conduct targeted Denial of Service Adversary targets DoS attacks to critical information
(DoS) attacks. systems, components, or supporting infrastructures, based
on adversary knowledge of dependencies.
Conduct data scavenging attacks in a Adversary obtains data used and then deleted by
cloud environment. organizational processes running in a cloud environment.
Conduct non-targeted zero-day attacks. Adversary employs attacks that exploit as yet unpublicized
vulnerabilities. Attacks are not based on any adversary
Conduct supply chain attacks targeting Adversary targets and compromises the operation of
and exploiting critical hardware, software (e.g., through malware injections), firmware, and
software, or firmware. hardware that performs critical functions for organizations.
This is largely accomplished as supply chain attacks on
both commercial off-the-shelf and custom information
systems and components.
Obtain sensitive information through Adversary with access to exposed wired or wireless data
network sniffing of external networks. channels that organizations (or organizational personnel)
use to transmit information (e.g., kiosks, public wireless
networks) intercepts communications.
Cause deterioration/destruction of
critical information system components
and functions.
Anmerkung des Verfassers:
Cause integrity loss by creating, Diese Angriffsvariante ist nicht security-relevant
deleting, and/or modifying data on
publicly accessible information systems
(e.g., web defacement).
Cause integrity loss by polluting or Adversary implants corrupted and incorrect data in critical
corrupting critical data. data, resulting in suboptimal actions or loss of confidence
in organizational data/services.
Anmerkung des Verfassers:
Im Kontext der vorliegenden Arbeit wird diese Bedrohung
auf Leittechnik im Sinne von “Manipulation
betriebswichtiger Engineering-Daten“ (= „Corrupting
critical data”) interpretiert.
Cause integrity loss by injecting false Adversary injects false but believable data into
but believable data into organizational organizational information systems, resulting in suboptimal
information systems. actions or loss of confidence in organizational
data/services.
Coordinate a campaign
Die oben aufgeführten „Threat Events“ für physische oder logische Angriffe lassen sich
anhand der von den Angreifern angewandten Taktiken, Techniken und Methoden (Tactics,
techniques, and procedures, TTPs) klassifizieren. Der Relevanz von Bedrohungsereignissen
werden folgende Werte zugeordnet:
Value Description
Confirmed The threat event or TTP has been seen by the organization.
Expected The threat event or TTP has been seen by the organization’s peers or partners.
Anticipated The threat event or TTP has been reported by a trusted source.
Predicted The threat event or TTP has been predicted by a trusted source.
Possible The threat event or TTP has been described by a somewhat credible source.
The threat event or TTP is not currently applicable. For example, a threat event or
TTP could assume specific technologies, architectures, or processes that are not
present in the organization, mission/business process, EA segment, or information
N/A system; or predisposing conditions that are not present (e.g., location in a flood plain).
Alternately, if the organization is using detailed or specific threat information, a threat
event or TTP could be deemed inapplicable because information indicates that no
adversary is expected to initiate the threat event or use the TTP.
Qualitative Semi-Quantitative
Description
Values Values
Qualitative Semi-Quantitative
Description
Values Values
Applies to all organizational missions/business functions (Tier 1),
Very High 96-100 10 mission/business processes (Tier 2), or information systems (Tier
3).
Applies to most organizational missions/business functions (Tier
High 80-95 8 1), mission/business processes (Tier 2), or information systems
(Tier 3).
Applies to many organizational missions/business functions (Tier
Moderate 21-79 5 1), mission/business processes (Tier 2), or information systems
(Tier 3).
Applies to some organizational missions/business functions (Tier
Low 5-20 2 1), mission/business processes (Tier 2), or information systems
(Tier 3).
Applies to few organizational missions/business functions (Tier
Very Low 0-4 0 1), mission/business processes (Tier 2), or information systems
(Tier 3).
- Angriffsversuch
- Angriffsausführung und
- Schadenwahrscheinlichkeit im Falle eines Angriffs.
-
Qualitative Semi-Quantitative
Description
Values Values
Very High 96-100 10 Adversary is almost certain to initiate the threat event.
Very Low 0-4 0 Adversary is highly unlikely to initiate the threat event.
Qualitative Semi-Quantitative
Description
Values Values
Qualitative Semi-Quantitative
Description
Values Values
Für die Gesamteintrittswahrscheinlichkeit für einen Angriff gibt der Standard folgende
Kriterien an:
Die Kriterien zur Beurteilung der Schwere von Schäden durch Angriffe gibt der Standard wie
folgt an:
Qualitative Semi-Quantitative
Description
Values Values
Der Standard empfiehlt, im Rahmen der Vorbereitungsphase auch das vom Unternehmen
akzeptierte Risiko sowie die mit den Randbedingungen verbundenen Unsicherheiten
abzuschätzen. Auf diesen Schritt wird in der weiteren Analyse verzichtet, da die dafür
notwendigen Geschäftsinformationen den Leittechniklieferanten in der Regel nicht zur
Verfügung stehen.
Beurteilungsmethode
Quantitativ
Qualitativ
Semi-quantitativ
Analysemethode
Bedrohungsorientiert
Wert- oder Schadensorientiert
Schwachstellenorientiert
Für die weitere Betrachtung wird ein qualitativer, bedrohungsorientierter Ansatz gewählt.
Begründung:
Task 1-4
Für die weitere Risikoanalyse werden jene Informationen, über die der SCADA-Lieferanten
verfügt, zugrunde gelegt.
Task 1-5
Identify the risk model and analytic approach to be used in the risk assessment.
Das Ziel der Betrachtung ist es, die IT-Sicherheit des SCADA-Systems zu beurteilen.
Mangels direkter IT-Sicherheitsgrößen wird - in Abwandlung typischer kommerziell
orientierter Risikoabschätzungen im Sinne eines potentiellen Schadens - in der
nachfolgenden Analyse versucht, das Risiko einer Manipulation des SCADA-Systems
abzuschätzen.
Als Risiko wird nicht der kommerziell messbare Schaden eines Angriffes aufgefasst, sondern
die Wahrscheinlichkeit einer angriffsbedingten Fehlfunktion des SCADA-Systems.
Auf Basis der im vorangegangenen Kapitel dargestellten Schemata soll nun die
Anlagenanalyse der Beispielanlage erfolgen.
Zu diesem Zweck werden die Bedrohungsszenarien (siehe oben: Tabelle „Threat Events”)
auf die grundsätzliche Anwendbarkeit auf ein SCADA-System überprüft und gegebenenfalls
in die Checkliste „Bedrohungsszenarien“ übertragen (siehe Abbildung 33). Für die
Überprüfung einer Zielanlage wurde in die Checkliste die Spalte „Realisierbarkeit“
hinzugefügt, die angibt, ob die gegebenen Randbedingungen die Umsetzung des Szenarios
in der Zielanlage überhaupt ermöglichen.
Realisierbarkeit in Zielanlage
Bedrohungsrelevanz
Ausnutzbarkeit der Schwachstellen
Zur Berechnung der Szenario-Gesamtrelevanz liegt folgendes Schema zu Grunde, das sich
aus obigem NIST-Modell ableitet:
ja 1
Realisierbarkeit eines Szenarios
nein 0
Bestätigt 100
Erwartet 80
Angenommen 60
Bedrohungsrelevanz
Vorhergesagt 40
Möglich 20
High 95
Ausnutzbarkeit Moderate 79
Low 20
Very Low 4
Variable: Szenario-Relevanz
0 N/A
1 … 10 Very low
11 … 30 Low
31 … 59 Moderate
60 … 78 High
Der dritte Schritt einer Anlagenbeurteilung ordnet die realisierbaren Angriffsszenarien einer
Eintrittswahrscheinlichkeiten zu (siehe Abbildung 35).
Hierzu gehören
Da die Einschätzung der Wahrscheinlichkeit von Angriffsversuchen sehr stark von den
potentiellen Angreifer-Kategorien abhängt, über die einem Betreiber wenig bis keine
verlässlichen Informationen zur Verfügung stehen, wird diese Wahrscheinlichkeitsgröße in
der weiteren Betrachtung nicht berücksichtigt.
Wahrscheinlichkeit Erwartete
erfolgreicher Angriffe Eintrittshäufigkeit
High 1x je Monat
Moderate 1x je Jahr
Low 1x je 10 Jahre
Schadenswahrscheinlichkeit
Eintrittswahrscheinlichkeit
erfolgreicher Angriffe
High 80 – 95%
Moderate 21 – 79%
Low 5 – 20%
Very Low 0 – 4%
Die Bewertung der Schadensklassen nimmt der Verfasser wie folgt vor:
Wie anhand der in Kapitel 8.2.1 beschriebenen NIST-Schemata und den daraus abgeleiteten
Checklisten beschrieben, setzt sich der qualitative Risikowert eines Bedrohungsszenarios
aus folgenden Größen zusammen:
Szenario-Relevanz
Szenario-Schadensklassifikation
Szenario-Eintrittswahrscheinlichkeit
Diese drei Größen verfügen über den Wertevorrat „N/A / Very Low / Low / Moderate / High /
Very High”. Zum Zweck einer automatisierten Bestimmung des Gesamtrisikos erfolgt eine
Abbildung auf nummerische Werte. Folgendes lineare Transformationsschema diente dieser
Wandlung der qualitativen Aussagen in numerische Werte:
N/A 0
Very Low 20
Low 40
Moderate 60
High 80
Mit Hilfe dieses Transformationsschemas erfolgte die Bildung numerischer Werte für die drei
Größen. Das Szenario-spezifische Risiko bestimmt sich als Mittelwert dieser drei
numerischen Größen. falls die Szenario-Relevanz nicht „N/A“ ist:
Szenario-spezifisches Risiko = 0
Szenario-spezifisches Risiko =
0 N/A
21 ...40 Low
41 ...60 Moderate
61 ...80 High
Das Ergebnis der Analyse erhält man automatisch in der Auswertetabelle für eine Zielanlage
entsprechend Abbildung 37.
Zum Zwecke einer übersichtlicheren Darstellung des Anlagenrisikos können die 5 Gruppen
der NIST-Bedrohungsszenarien zur nachfolgend dargestellten Gesamtaussagen
zusammengefasst werden:
Bedrohungsszenarien Szenario-Risikowert
Conduct an attack
Low 34,3
(i.e., direct/coordinate attack tools or activities)
Achieve results
Moderate 43,5
(i.e., cause adverse impacts, obtain information)
Legende: Quantitativer Risikowert: Very High / High / Moderate / Low / Very Low / N/A
Qualitativer Risikowert: 0 ... 100
Einschränkungen
Bei der Herleitung der Checklisten ist zu berücksichtigen, dass NIST SP8000-30 zur
Risikobeurteilung von (allgemeinen) IT-Systemen dient. Der Standard ist nicht auf SCADA-
Systeme zugeschnitten. Eine Abgrenzung des Bedrohungskataloges auf jene Szenarien, die
für Leittechniksysteme in Frage kommen, ist unumgänglich. Aus diesem Grund fand eine
Reihe von Fragen des Standards keine Berücksichtigung in den Checklisten.
Diese Kapitel beschreibt die Analyse der gleichen Beispielanlage wie im vorangegangenen
Kapitel – jedoch anhand der in dieser Arbeit vorgeschlagenen Analysemethode.
Vorgehensweise
Die Analyse auf Basis der vorgeschlagenen neuen Szenario-basierter Analyse erfolgt in
folgenden Schritten:
Datenbanktabellen:
Devices
Net
Config
Staff
Switches
UserAccess
StaticARP
3. PROLOG-Analyse durchführen
Zum Zwecke der Darstellung des sogenannten dynamischen Teils der Security-Metrik wurde
eine der gefundenen Schwachstelle der Zielanlage virtuell beseitigt. (hier: DSL-Modem für
Remote Access für Servicezwecke) und die oben genannten Schritte 1 ... 5 mit der
abgeänderten Anlagenkonfiguration erneut durchgeführt. Auf diese Weise ergeben sich zwei
In Abbildung 41 sind die gefundenen Angriffspunkte („Top 10“) aufgelistet. Mit 218
Angriffsvarianten ist ein unbekanntes „malicious device“ aufgeführt. Diese Lösung ergab sich
aus der Anlagenbeschreibung, die die beiden generischen Geräte „external switch“,
angeschlossen an das DSL-Modem, sowie „malicious device“, angeschlossen an den
vorgenannten Switch im Internet, enthält. Auf diese Weise wurde ein unbekanntes Gerät
(Rechner) im Internet modelliert.
Für die Bestimmung der Kritikalität der Angriffsszenarien (siehe Kapitel 6.5.1) wurden
folgende Anforderungsfaktoren der Szenarien-Voraussetzungen festgelegt:
Risikowert 1 2 4 8
Risikowert 1 2 4 8
Risikowert 1 2 4 8
Anmerkung: Die Abbildung der Voraussetzungsklassen in numerische Werte soll lediglich die
nachfolgende Auswertung vereinfachen.
An dieser Stelle sei nochmals auf die Bedeutung des Begriffes „Risikowert“ im Kontext der
vorliegenden Arbeit hingewiesen (s. a. 5.4.2): Im Gegensatz zu anderen, risikobasierten
Analyseansätzen, soll der „Risikowert“ nachvollziehbar darstellen, welche
Angriffsvoraussetzungen im Sinne einer tolerierbaren Angriffshürde der Betreiber als
hinreichend unwahrscheinlich und mithin als akzeptabel klassifiziert.
Für die Bestimmung der Kritikalität der Angriffsszenarien wurde der Betreiber-Risikovektor
folgendermaßen angenommen, d.h. der Betreiber akzeptiert Szenarien deren
Voraussetzungen Angreifer-seitig mindestens folgende Anforderungsfaktoren zugeordnet
werden können (gemäß obigen Tabellen der Voraussetzungsklassen):
Betreiber-
Ausrüstung Knowhow Zugänglichkeit
Risikovektor
Anforderungsfaktor 6 10 10
Als Analyseergebnis zeigt sich, dass gemäß Betreiber-Risikovektor für die Zielanlage 89%
der Angriffsszenarien als kritisch eingestuft werden. Dies bedeutet, dass 80
Angriffsszenarien das vom Betreiber akzeptierte Risiko übersteigen (siehe Abbildung 42).
Die vorigen Abschnitte dokumentieren für die Zielanlage (gemäß Abbildung 30 / Abbildung
31) die statischen Analyseergebnisse zum Zeitpunkt der Untersuchung. Um die
dynamischen, d.h. über die Zeit veränderlichen, Inhalte der Sicherheitsmetrik darstellen zu
können, erfolgte (fiktiv) eine Änderung an der Zielanlage und anschließend eine erneute
Analyse. Die Vergleichsanalyse beruht auf der Annahme, dass sich aufgrund der
Erkenntnisse aus der Erstanalyse der Betreiber dazu entschlossen hat, das DSL-Modem aus
der Anlage zu entfernen.
Nachfolgend sind die Veränderungen der Kennzahlen der Sicherheitsmetrik aufgrund der
Veränderung der Zielanlagenkonfiguration dargestellt (dynamische Metrik-Elemente).
Nach der (angenommenen) Veränderung der Zielanlage förderte die PROLOG-Analyse noch
1087 kritische Szenarien zutage. Das Sicherheitsniveau der Anlage verbesserte sich um
28.9%. Anstelle der ursprünglich 90 Angriffsszenarien lassen sich nach der Modifikation nur
noch 64 Szenarien ausführen. (Abbildung 43)
Die Anzahl der möglichen Angriffsvarianten, die gegen die abgeänderte Zielanlage möglich
sind, hat sich um ca. 19% reduziert (Abbildung 44).
Aus Abbildung 45 ist ersichtlich, dass als kritische Komponente das Fremdgerät („malicious
device“) nicht mehr erscheint bzw. die mögliche Anzahl von Angriffen aufgrund dieser
Komponente auf null sinkt.
Deutlich verbessert ( -30% ) hat sich die Anzahl jener Angriffsszenarien, die vom Betreiber
als „kritisch“, d.h. als ‚zu einfach‘ realisierbare Angriffsszenarien eingestuft werden
(Abbildung 46).
Randbedingungen
Die Analyse auf einem PC (AMD Athlon 64 Dual Core Prozessor, MS Windows XP) benötigt
laut PROLOG-Statistik („time”) 8,31 sec.
Analyseergebnis
Die Analyse der Zielanlage auf Basis des Standards NIST SP 800-30 ergab folgendes
zusammengefasste Ergebnis:
Achieve results (i.e., cause adverse impacts, obtain information) Moderate 43,5
Vorteil der Analysemethode gemäß NIST SP 800-30 ist aus Sicht des Verfasser der
umfangreiche Katalog an Bedrohungsszenarien. Dieser Katalog ermöglicht, eine Fragenliste
/ Checkliste zu entwickeln, die auf die Zielanlage zugeschnitten ist. Bei Wiederverwendung
der Checklisten ist lediglich darauf zu achten, Veränderungen an der Anlage hinreichend zu
berücksichtigen.
Die Nachteile der Methode übersteigen die Vorteile jedoch bei Weitem.
jederzeit (d.h. auch: sofort) möglich ist. Die Übertragung statistischer Aussagen auf
Einzelereignisse liefert keine anlagenspezifischen Aussagen.
Verzichtet man auf die Interpretation der gewonnenen Ergebnisse im Sinne absoluter
Aussagen (gemäß a) ), dann stellt sich die Frage, ob die Ergebnisse relativen Charakter
haben und zu Vergleichen herangezogen werden können.
Bedrohungsszenario
Anlagenstruktur
Einschätzung der Auditoren
Analysiert man dieselbe Anlage zu verschiedenen Zeitpunkten, dann fließen
Anlagenänderungen, Änderungen der Bedrohungsszenarien und unterschiedliche
Einschätzungen der Auditoren (Erfahrungsgewinn / -verlust, veränderte
Teamzusammensetzung) in die Beurteilung ein. Welche Konsequenzen ein
Anlagenbetreiber aus den Ergebnisänderungen ziehen soll, ist völlig unklar.
Eine Automatisierung der Analyse ist mit Ausnahme der Datenaggregation nicht möglich,
da die Fragestellungen nicht in systemtechnische Abfragen abgebildet werden können.
Die NIST SP 800-30-basierte Methode stellt keine Ableitung von Handlungsoptionen aus
den Analyseergebnissen bereit.
Die Ergebnisse der Analyse liefern keine Aussage über den Sicherheitsstatus einer
betrachteten Leittechnikanlage, sondern lediglich wenig nutzbare Aussagen zu
fragwürdigen Risikowerten.
An der Methode der Szenario-basierten Analyse werden folgende Aspekte als vorteilhaft
eingeschätzt:
Als nachteilig werden derzeit lediglich die systemtechnische Handhabung von Datenbank
und PROLOG-System, d.h. unzureichende Benutzeroberfläche sowie die noch fehlende
Integration der beiden Komponenten angesehen.
Gering Hoch
Hängt vom Kreis der Auditoren Alle ergebnisbestimmenden
Reproduzierbarkeit ab, den zeitlichen Abständen Faktoren sind im System
zwischen Audits sowie hinterlegt; keine individuellen
technischen Änderungen Einschätzungen
Mittel – Hoch
Gering
Automatisierbarkeit (Zielsystemdaten, Analyse-ablauf,
(nur Aggregation der Input-Daten)
Sicherheitsmetrik)
Die Gegenüberstellung der Ergebnisse der beiden Methoden zeigt, dass die Standard-
basierte Analyse allgemeine Aussagen zum Risiko eines Cyber-Angriffes macht.
Wesentliche Defizite sind die individuellen Einschätzungen, die der Analyse zugrunde liegen,
sowie die Frage, welche Aussagekraft die resultierenden Risikowerte überhaupt haben.
Ausgehend von der Betrachtung der Begrifflichkeiten im Zusammenhang mit der IT-
Sicherheit leittechnischer Anlagen wurde die inhaltliche Fokussierung der vorliegenden
Arbeit festgelegt. Die begriffliche Unterscheidung zwischen funktionaler Sicherheit (engl.:
Safety) und IT-Sicherheit (engl.: Security) diente der Abgrenzung der weiteren Betrachtung:
Der Fokus liegt auf der Beurteilung der IT-Sicherheit, d.h. auf Schutzmaßnahmen für
SCADA-Systeme vor Angriffen aus der Systemumgebung.
„Risiko“ zurück. Diese Größe ist unbefriedigend hinsichtlich der zur Verfügung stehenden
Daten sowie den ableitbaren Handlungsoptionen für Anlagenbetreiber.
Die vorgestellte Analysemethode der IT-Sicherheit von SCADA-Systemen beruht auf einem
dreiteiligen Bedrohungsmodell aus den Elementen:
Angreifer
Zielsystem (SCADA-System)
Für die weitere Herleitung der neuen Analysemethode wurden die drei Einzelelemente des
Bedrohungsmodells im Einzelnen betrachtet:
Für das Analyseelement „Angreifer“ liegen den Betreibern leittechnischer Anlagen keine
Daten für eine auf Fakten basierende, reproduzierbare Ergebnisse liefernde
Analysemethode vor. Aus diesem Grund bleibt der Angreifer in den weiteren Überlegungen
zur Entwicklung einer neuen Analysemethode ausgeklammert.
Element des Bedrohungsmodells dar, für das Betreiber über fundierte Informationen
verfügen.
Nach der Diskussion wesentlicher Begriffe bzw. grundlegender Überlegungen zur IT-
Sicherheit leittechnischer Anlagen, standen gängige Analyseansätze zur Beurteilung der IT-
Sicherheit im Mittelpunkt der Betrachtung.
Die Beurteilung der IT-Sicherheit im Rahmen von Analyseverfahren erfolgt - wie bereits
erwähnt - in Ermangelung einer eindeutig bestimmbaren Größe „Sicherheit“ (im Sinne von
„security“) vielfach durch Ausweichen auf die Ersatzgröße „Risiko“. Im betrieblichen Umfeld
finden sowohl technisch-orientierte als auch betriebswirtschaftlich geprägte
Analysemethoden Anwendung zur Bestimmung jenes Risikos, das sich aus der Nutzung
leittechnischer Systeme im betrieblichen Kontext ergibt. Die Beurteilung der IT-Sicherheit im
Sinne einer Systemeigenschaft wird damit nur bedingt erreicht.
Aus der Kritik der dargestellten Analyseansätze lassen sich Kriterien für einen Analyseansatz
ableiten, der den Anforderungen der betrieblichen Praxis genügt: wesentliche
Randbedingungen sind Transparenz und Reproduzierbarkeit der Abbildung der
Teilautomatisierbare Analysemethode
Der skizzierte 5-stufige Analyseprozess liefert die notwendigen Fakten zur Beurteilung der
IT-Sicherheit der betrachteten Leittechnikanlage. Ausgehend von den Beschreibungen der
Angriffsszenarien und der Zielanlage läuft der Prozess vollautomatisch ab.
Attack Trees dienen der Beschreibung der Angriffsszenarien. Diese Methode hat den Vorteil,
dass bei wiederholter Betrachtung der Bedrohungsrisiken nur die zusätzlichen, d.h. neuen
Bedrohungsrisiken zu erfassen sind. Die Datenerfassung der Angriffsszenarien ist beliebig
erweiterbar, sowohl hinsichtlich der Anzahl als auch des Detaillierungsgrades der
berücksichtigten Szenarien.
Desgleichen gilt für die Beschreibung der Leittechnikanlage für die automatisierte Analyse:
Lediglich Änderungen am betrachteten Zielsystem ziehen Änderungen der
Anlagenbeschreibung nach sich. Die Datenbeschaffung ist – soweit die Daten
systemtechnisch vorliegen – automatisiert abfragbar.
Analyseergebnisse
Für eine IT-Sicherheitsmetrik, die die Abbildung der IT-Sicherheit der Leittechniksysteme
leistet, gelten folgende, wesentliche Randbedingungen:
die Metrik muss eine Aussage zur Sicherheit der Zielanlage liefern
die Transparenz der Abbildung von Basisgrößen auf die Sicherheitsmetrik muss
gegeben sein
die Konsistenz der Metrikbildung über die Zeit muss gewährleistet sein
die Metrik muss auch für singulär Anlagen (Einzelanlagen) anwendbar sein
Der statische Metrik-Bereich liefert die Informationen hinsichtlich der Sicherheit der
Zielanlage zum Zeitpunkt der Analyse und umfasst die folgenden Sicherheitsaspekte:
SCADA-Angriffsoberfläche, d.h. eine Aussage über die Vielfalt mit der Varianten der
Angriffsszenarien in der Zieltopologie umsetzbar sind
Die Beachtung der skizzierten Randbedingungen, d.h. die Aussagen zur Systemsicherheit,
die Transparenz und Nachvollziehbarkeit der Abbildung, stellen die Konsistenz der
Sicherheitsmetrik über die Zeit hinweg sicher.
Die Methode liefert konkrete, d.h. numerische Aussagen zum Sicherheitsstatus der
Zielanlage.
Die Gegenüberstellung der Ergebnisse einer Standard-basierten Methoden und dem hier
vorgestellten Analysemethode zeigt, dass die Standard-basierte Analyse allgemeine
Aussagen zum Risiko eines Cyber-Angriffes liefert. Wesentliche Defizite sind die
individuellen Einschätzungen, die der Analyse zugrunde liegen, sowie die Frage, welche
Aussagekraft die resultierenden Risikowerte überhaupt haben.
Ausblick
Während die Analyse sowie die Metrikbildung automatisch ablaufen, sind die Daten zur
Anlagenbeschreibung – je nach Zielsystemausprägung – teilweise manuell und teilweise
automatisiert aus den Leittechniksystemen und -komponenten auslesbar. Hinsichtlich Anzahl
und Art der Systeme haben Leittechnikanlagen einen eher statischen Charakter. Der
manuelle Aufwand bleibt damit grundsätzlich überschaubar und beschränkt sich bei
Wiederholungsanalysen auf die Änderungen an der Zielanlage seit der Analyse.
Wesentlicher Anteil der manuell zu erbringenden Arbeit ist die Beschreibung der
Angriffsszenarien. In der vorliegenden Arbeit wurde hierfür auf die Methode „Attack Tree”
zurückgegriffen.
Im Rahmen der Analyse kommen somit jene Angriffsszenarien in Betracht, die vom
Analyseteam mittels Attack Trees gefunden und beschrieben werden. Diese Methode stellt
zwar einen systematischen Ansatz zur Zusammenstellung anlagenspezifischer
Angriffsszenarien dar, jedoch bleiben weitere Quellen generischer Angriffsvarianten
unberücksichtigt. Eine mögliche Quelle generischer Angriffsszenarien stellen beispielsweise
die durch CERT-Organisationen publizierten Software-Schwachstellen dar. Diese
Publikationen enthalten in der Regel generische Methodenbeschreibungen zur Ausnutzung
der gemeldeten Software-Schwachstellen.
Als Erweiterung der in dieser Arbeit dargestellten Analysemethode ist es hilfreich, auch
andere Quellen generischer Angriffsszenarien zu berücksichtigen. Auf Basis der
umfassenden Beschreibung der SCADA-Anlage sollte eine Methode entwickelt werden, die
die Abbildung generischer Methodenbeschreibungen aus veröffentlichten Software-
Schwachstellen auf die Zielanlage ermöglicht. Zu diesem Zweck wäre es notwendig, einen
Algorithmus zu entwickeln, der aus den veröffentlichten Methodenbeschreibungen die
notwendigen Fakten und Randbedingungen im Sinne der Voraussetzungen „Equipment“,
„Zugang“ und „Knowhow“ gemäß Kapitel 5.2 extrahiert. Da die publizierten Software-
Schwachstellen sich auf dezidierte Software-Anwendungen (Name, Version) beziehen, wäre
das in der vorliegenden Arbeit vorgeschlagene Anlagen-Datenmodell um diese beiden
Datenelemente zu erweitern. Informationen über die installierten Software-Anwendungen
lassen sich in der Regel automatisiert aus den Zielsystemen auslesen.
erfüllt sind, lassen sich mögliche Konsequenzen publizierter Meldungen über Software-
Schwachstellen automatisiert gegen eine individuelle Zielanlage überprüfen.
Diese Prüfungen liefern Ergebnisse im Sinne der in dieser Arbeit vorgeschlagenen Methodik:
10 Verzeichnisse
10.1 Literaturverzeichnis
Baker, Arnold B., et al. 2002. A Scalable Systems Approach for Critical Infrastructure
Security. [Online] 2002. http://prod.sandia.gov/techlib/access-control.cgi/2002/020877.pdf.
Berinato, Scott. 2005. A Few Good Information Security Metrics. [Online] 2005.
http://www.csoonline.com/article/220462/a-few-good-information-security-metrics.
Bilge, Leyla; Dumitra, Tudor. 2012. Before we knew it: An empirical study of zero-day
attacks in the real world. ACM Conference on Computer and Communications Security.
Raleigh, NC : s.n., 2012. S. 833–844.
Bleikertz, Sören. 2010. Automated Security Analysis of Infrastructure Clouds. [Online] 2010.
http://openfoo.org/research/master.pdf.
Byres, Eric J., Franz, Matthew und Miller, Darrin . 2004. The Use of Attack Trees in
Assessing Vulnerabilities in SCADA Systems. [Online] 2004.
http://www.tofinosecurity.com/downloads/14.
Clark, Richard A. und Knacke, Robert K. 2011. World Wide War. Hamburg : Hoffmann &
Campe, 2011. S. 141.
Corbet, Jonathan, Kroah-Hartman, Greg und McPherson, Amanda. 2013. [Online] 2013.
www.linuxfoundation.org/publication/linux-foundation/who-writes-linux-2013.
Cornish, Paul , et al. 2011. Cybersecurity and the UK's Critical National Infrastructure.
[Online] 2011.
http://www.chathamhouse.org/sites/default/files/public/Research/International%20Security/r0
911cyber.pdf.
Dobson, J.E. und Randell, B. 2001. Building reliable secure computing systems out of
unreliable insecure components. Computer Security Applications Conference, ACSAC 2001.
2001. S. 164 - 173.
Eusgeld, et al. 2008. Dependability Matrix. [Hrsg.] Irene Eusgeld, Felic C. Freiling und Ralf
Reussner. Berlin, Heidelberg : Springer, 2008. Dagstuhl Seminar, 30.10. - 01.11.2005.
Fox, Dirk. 2011. Betriebswirtschaftliche Bewertung von Security Investments in der Praxis.
[Hrsg.] Secorvo Security Consulting GmbH. Datenschutz und Datensicherheit, Ausgabe
01/2011. 2011.
Gillils. 2013. Security as an Emergent System Property. MIT Geospatial Data Center.
[Online] 2013. Blog. http://cybersecurity.mit.edu/2013/09/security-as-an-emergent-system-
property/.
Gutbrodt, Felix. 2007. Automatisierte, systematische Evaluierung der IT-Sicherheit auf der
Feldebene von Automatisierungssystemen. Institut für Automatisierungs- und
Softwaretechnik (IAS), Universität Stuttgart. 2007. VDI-Bericht 1980.
Haimes, Yacov Y. 2009. Risk Modeling, Assessment, and Management. 3. Hobocken : John
Wiley & Sons, 2009.
Haimes, Yakov Y. 2009. Risk Modeling, Assessment, and Management. Hoboken : John
Wiley & Sons, 2009.
Hayden, Lance. 2010. IT Security Metrics. New York : The McGraw-Hill Companies, 2010.
ICS-CERT. 2012. ICS-Cert Incident Response Summary Report 2009-2011. [Online] 2012.
https://ics-cert.us-cert.goc/pdf/ICS-CERT_Incident_Response_Summary_Report_09_11.pdf.
ISA-62443-1-1. 2014. ISA99 Master Glossary. [Online] 2014. [Zitat vom: 14. 05 2014.]
http://isa99.isa.org/ISA99%20Wiki/Master-Glossary.aspx.
Juneja, Deepti , Arora, Kavita und Duggal, Sonia . 2011. Developing Security Metrics for
Information Security Measurement System. [Hrsg.] Manav Rachna International University,
Faridabad Faculty of Business and Computer applications. International Journal of Enterprise
Computing and Business Systems. 07 2011, Bd. 1, 2.
Kaeo, Merike. 2004. Designing Network Security. Inianapolis : Cisco Systems Inc., 2004.
Kroll, Lars; Peters, Alexander. 2012. Heute attackieren Cyberkriminelle mit System.
Karlsruhe : Symantec, 2012.
Masera, Marcelo und Fovino, Igor Nai. 2010. Security Metrics for Cyber Security
Assessment and Testing. Security Technology Assessment Unit. Ispra, Italy : Joint Research
Centre of the European Commission, 2010.
McIntyre, Annie , Becker, Blair und Halbgewachs, Ron . 2007. Security Metrics for
Process Control Systems. [Online] 2007. http://energy.sandia.gov/wp/wp-
content/gallery/uploads/McIntyre-SAND2007-2070P.pdf.
McQuee, Miles A., et al. 2006. Quantitative Cyber Risk Reduction Estimation Methodology
for a Small SCADA Control System. Proceedings of the 39th Hawaii International
Conference on System Sciences. 2006.
Mohammad Salim Ahmed, Ehab Al-Shaer, Mohamed Taibah, Latifur Khan. 2010.
Objective Risk Evaluation for Automated Security Management. Journal of Network and
Security Management. 2010.
Moily, Sowmya . 2011. Security for Critical Infrastructures: Security Metrics, Risk
Assessment and Standards. [Online] 2011.
http://www.academia.edu/652038/Security_for_Critical_Infrastructures_Security_Metrics_Ris
k_Assessment_and_Standards.
Moore, Andrew P., Ellison, Robert J. und Linger, Richard C. 2001. Attack Modeling for
Information Security and Survivability. [Online] 2001.
http://www.cert.org/archive/pdf/01tn001.pdf.
Nicholson, A., et al. 2012. SCADA security in the light of Cyber-Warfare. Journal of
Computer & Security. 2012, 31, S. 418 - 436.
Patel, Sandip C., Graham, James H. und Ralston, Patricia A.S. 2008. Quantitatively
assessing the vulnerability of critical information systems: A new method for evaluating
security enhancements. [Hrsg.] Elsevier. International Journal of Information Management.
2008, Bd. 28, S. 483 - 491.
Richardson, Robert. 2007. CSI Survey 2007: The 12th Annual Computer Crime and
Security Survey. [Online] 2007. www.GoCSI.com.
Rid, Thomas. 2013. Cyber War Will Not Take Place. Oxford : Oxfoed University Press,
2013.
Rieger, Frank. 2010. Der digitale Erstschlag ist erfolgt. Frankfurter Allgemeine Zeitung. 18.
02 2010.
Savolo, Reijo. 2008. A Novel Security Metrics Taxonomy for R&D Organisations.
Johannesburg, RSA : ISSA, 2008.
—. 2007. Towards a Security Metrics Taxonomy for the Information and Communication
Technology Industry. Oulu, Finland : IEEE, 2007.
—. 2007. Why the Human Brain Is a Poor Judge of Risk. [Online] 2007.
https://www.schneier.com/essay-162.html.
Sonnenreich, Wes, Albanese, Jason und Stout, Bruce. 2006. Return On Security
Investment (ROSI) - A Practical Quantitative Model. Journal of Research & Practice in
Information Technology. Vol. 38, 2006, 1, S. 45 - 56. SageSecure.
Sumner Lemon. 2007. Average zero-day bug has 348-day lifespan, exec says. [Online]
2007. http://www.computerworld.com/article/2542245/security0/average-zero-day-bug-has-
348-day-lifespan--exec-says.html.
Tsang, Rose. 2010. Cyberthreats, Vulnerabilities and Attacks on SCADA Networks. [Online]
2010. gspp.berkeley.edu/iths/Tsang_SCADA%20Attacks.pdf.
Wetter, Dirk und Koch, Werner. Passivität heißt, sich abzufinden - Interview mit Phil
Zimmermann. iX. 11.2013, S. 106f.
10.2 Abbildungsverzeichnis
Abbildung 1: Typische Funktionsebenen einer Leittechnikanlage ........................................................ 17
Abbildung 5: Bedrohungsmodell............................................................................................................ 36
Abbildung 10: Beispiel eines Attack Tree für ein einfaches Angriffsszenario ....................................... 83
Abbildung 11: Ausschnitt eines Attack Tree für ein HMI-Client-System ............................................... 89
Abbildung 17: Angriffe gegen SCADA-Systeme nach (Nicholson et.al. 2012) ................................... 121
Abbildung 32: Risikoanalyseprozess gemäß NIST SP800-30 (Quelle: NIST) .................................... 183
Abbildung 49: Datenbankoberfläche zum Import / Export von PROLOG-Daten ................................ 254
10.3 Abkürzungsverzeichnis
11 Anhang
Laut (Wikipedia, 2015) besteht der Linux-Kernel (Version: 3.2) aus 14.998.651 Zeilen
Quellcode (Source lines of code, SLOC):
(Werner, 2007) gibt für industrielle Software-Produkte eine Forderung von 0.3 … 2 Fehler je
100 Zeilen Quellcode an. In der Realität ist 1 Fehler je 100 Zeilen (eSLOC) Quellcode typisch:
Daraus ergibt sich für den Linux-Kernel (V 3.2) folgende vermutete Anzahl von Fehlern (nE)
im Quellcode:
Auf Basis von (Corbet, et al., 2012) und (Corbet, et al., 2013) ergeben sich für die Linux-
Kernel-Versionen 2.6 … 3.2 folgende Daten hinsichtlich „Total Updates“ und „Fixes“ (=
Anzahl der korrigierten Fehler):
tSYS = 15 a
eF = nP * nF * tSYS [6]
Das Einspielen von 1.125 Updates (Patches) über die Systemnutzungsdauer hinweg
reduziert die Anzahl der vermutlichen Systemfehler somit um 50.625 Fehler. Angesichts der
vermuteten Gesamtzahl von Fehler im Quellcode von 149.986 Fehlern ergibt sich eine
Reduzierung der ursprünglichen Produktfehlerzahl zu:
qred = eF / nE [7]
Die regelmäßige Aktualisierung des Linux-Kernels mit 1 … 2 Patches pro Woche über einen
Zeitraum von 15 Jahren belässt vermutlich 66,3 % (= 99.361 Fehler) der ursprünglichen, bei
erstmaliger Auslieferung vorhandenen Fehlern im Produkt.
Im Rahmen dieser Abschätzung der über die gesamte Lebensdauer des Betriebssystems
vorhandenen Software-Fehler blieben zwei Aspekte unberücksichtigt, die die Gesamtzahl
der in einem Computersystem vorhandenen Software-Fehler zusätzlich steigern:
2. Das Leitsystem besteht außer dem Betriebssystem noch aus weiteren Software-
Komponenten, wie z.B. Datenbanken, Browser, Middleware (Java) sowie der
eigentlichen Leitechnikanwendung. Auch diese Software-Produkte sind fehlerhaft und
erhöhen die Zahl der Fehler im Gesamtsystem.
Auf Basis der oben eingeführten Anzahl der jährlichen Software-Updates für den Linux-
Kernel
nP = 75 Patches p.a.
sowie der Abschätzung für die Anzahl der korrigierten Fehler je Patch (nF)
Diese Anzahl der korrigierten Fehler nkF kann man auch als die Anzahl der bekannten Fehler
auffassen – unabhängig von der Sicherheitsrelevanz.
Diese Anzahl der bekannten Fehler lässt sich die Anzahl der bekannten Software-
Schwachstellen gegenüberstellen. Diesem Zweck soll die National Vulnerability Database
(NIST) dienen. Für das betrachtete Betriebssystem gibt die NVD für die Zeit von 1997 bis
2014 folgende gemeldeten Schwachstellen an:
Die Mittelwertbildung über die Daten von 2005 bis 2012 ergibt die Anzahl der
bekanntgewordenen Schwachstellen p.a.
Aus den beiden Faktoren für die bekanntgewordenen Fehler nkF (= korrigierte Fehler) und
den bekanntgewordenen Schwachstellen nkV lässt sich das Verhältnis der Fehler zu den
(sicherheitsrelevanten) Schwachstellen nF/V bilden:
nF/V = nkF / nkV = 3.375 korrigierte Fehler p.a. / 103,5 Schwachstellen p.a. = 32,6 [10]
Dieser Faktor gibt an, dass unter ca. 33 Software-Fehlern eine sicherheitsrelevante
Schwachstelle zu erwarten ist (d.h. 3,06 % der Fehler sind sicherheitsrelevant).
Mit Hilfe dieses Faktors kann nun die Anzahl der nicht korrigierten Software-Schwachstellen
abgeschätzt werden. Aufgrund der Größe des Source Codes ergab sich oben die Anzahl der
Fehler im gesamten Software-Produkt zu:
Das Einspielen der Patches über die Systemnutzungsdauer von angenommen 15 Jahren
reduziert die Fehlerzahl um:
Die Anzahl der über die gesamte Systemnutzungsdauer nicht korrigierten Fehler ergibt sich
damit zu:
nuF = nE - eF [11]
Unter der Annahme, dass bei bekannten und unbekannten Software-Fehlern der Anteil der
sicherheitsrelevanten Fehler gleich groß ist, erhält man die Anzahl der niemals korrigierten
sicherheitsrelevanten Software-Schwachstellen mittels:
Der dieser Abschätzung zugrunde liegende Betriebssystemkern enthält demgemäß über die
gesamte Nutzungsdauer hinweg über 3.000 sicherheitsrelevante Software-Schwachstellen,
die niemals beseitigt werden und als potentielle Angriffsmöglichkeiten dienen können. An
dieser Stelle sei Phil Zimmermann zitiert: „man benötigt keine Hintertüren [in aktuellen
Betriebssystemen, Anm. d. Verf.], Zero Days reichen völlig aus – deren Vorrat ist nahezu
unerschöpflich“ (Wetter, et al.).
eine Datenbank zur Eingabe und Verwaltung der statischen Szenario- und
Anlagendaten sowie
Anlagendaten
Die Datenbanktabellen enthalten die Daten zur Beschreibung der Zielanlage. Diese Daten
sind in SCADA-Anlagen typischerweise sehr statisch. Je nach datentechnischer
Verfügbarkeit erfolgt der Import der Daten in die Datenbank manuell (z.B.
Personalinformationen) oder automatisiert (z.B. Konfigurationsdaten).
Szenariodaten
Transformationsabfragen
Export- / Importfunktionen
Die Exportfunktionen übertragen die Daten (PROLOG-Klauseln) in externe Dateien, auf die
das PROLOG-Laufzeitsystem zugreifen kann. Nach Durchlaufen der drei Analyseschritte #1
… #3 liegen die kritischen Szenarien und deren Angriffsvoraussetzungen vor.
Importfunktionen der Datenbank importieren die Ergebnisse der PROLOG-Auswertung. Die
Berechnung der tabellenartigen Sicherheitsmetrik hat sich mit den Mitteln einer Datenbank
als deutlich übersichtlicher herausgestellt, als die Implementierung mittels PROLOG-
Methoden.
Das Erfassen von Anlagendaten lässt sich mit Hilfe der Datenbankoberfläche (siehe Beispiel
in Abbildung 48) bewerkstelligen. Im Falle einer realen Anwendung wäre empfehlenswert,
von der Tabellenoberfläche auf eine Formulareingabe zu wechseln, um geeignete Prüfungen
der Eingabedaten hinterlegen zu können. Die Änderungshäufigkeit der realen
Konfigurationsdaten
Gerätedaten
Kommunikationsbeziehungen
Netzwerkstrukturinformationen
Personalpräsenz
Benutzerzugangsberechtigungen
COMMUNICATE(Source, Target)
NET(LanID, SwitchID)
STAFF(Location, State)
USERACCESS(Usergroup, Location)
STATICARP(Source, Destination)
Transformationsbeispiel
Transformationsschritt Datenstruktur
SELECT "config(" & [Type] & ", " & [DeviceID] & ", " & [Port] & ", " &
[HostID] & ")."
SQL-Transformation
AS Config
FROM Config;
Die Häufigkeit der Generierung der Klauseln hängt von der Änderungsrate der Anlagendaten
ab. Falls keine Änderungen an den Anlagendaten vorgenommen werden, ist auch keine
Generierung notwendig.
Mit Datenbankmitteln (MS Access) lässt sich der Export und Import von Daten nach bzw. aus
dem PROLOG-Laufzeitsystem (eigentlich: Dateisystem) in einfacher Weise bewerkstelligen
(siehe Abbildung 49).
Die Daten zur Beschreibung der Angriffsszenarien werden in die Datenbank importiert. Die
Daten basieren auf den Ergebnissen der Attack Tree-Analyse. Ergänzungen sind nur im
Falle von neuen Erkenntnissen hinsichtlich möglicher Angriffsszenarien notwendig und
können - ähnlich wie Änderungen an den Anlagendaten - per Datenbankoberfläche
eingegeben werden.
Die Daten der erfassten Angriffsszenarien werden aus den ursprünglichen MS Excel-
Tabellen in drei Datenbanktabellen importiert:
Voraussetzungen_SysTech
Voraussetzungen_Equipment
Voraussetzungen_Knowhow
Die Tabellen enthalten die Voraussetzungen für ein erfolgreiches Angriffsszenario als
Basisinformationen für die nachfolgende Analyse.
Tabellendefinitionen:
Anmerkung: Tabellenattribute, die mit dem Präfix „#“ versehen sind, haben einen
binären Wertevorrat (ja / nein).
Die durch die Angreifer zu erfüllenden Voraussetzungen (scenarioA) lassen sich mit Hilfe
des folgenden Datenbank-Konstrukts in PROLOG-Klauseln überführen:
Transformationsschritt Datenstruktur
VORAUSSETZUNGEN_EQUIPMENT(SzenarioID, Szenario,
Schutzziel, Zielsystem, #Cd, #UsbStick, #Fremdgeraet,
#Manipulations-Tool, #DoS-Tool, #App-spec-Malware)
Tabellendefinitionen
VORAUSSETZUNGEN_KNOWHOW(SzenarioID, Szenario,
Schutzziel, Zielsystem, #Besy-Knowhow, #App-Knowhow, #System-
Knowhow, Username, Password)
SCENARIO_A( Voraussetzungen_Equipment.Szenario-ID,
Voraussetzungen_Equipment.CD, R_CD,
Voraussetzungen_Equipment.USB-Stick, R_USB,
View-Definition Voraussetzungen_Equipment.Fremdgeraet, R_Fremdgeraet,
Voraussetzungen_Equipment.Manipulations-Tool, R_Manipulations-
Tool,
Voraussetzungen_Equipment.DoS-Tool, R_DoS-Tool,
Voraussetzungen_Equipment.App-spec-Malware, R_App-spec-
Malware,
Voraussetzungen_Knowhow.Besy-Knowhow, R_Besy-Knowhow,
Voraussetzungen_Knowhow.App-Knowhow, R_App-Knowhow,
Voraussetzungen_Knowhow.System-Knowhow, R_System-Knowhow,
Voraussetzungen_Knowhow.Username, R_Username,
Voraussetzungen_Knowhow.Passwort, R_Passwort,
join( Voraussetzungen_Equipment.Szenario-ID =
Voraussetzungen_Knowhow.SzenarioID )
Anmerkung: die View-Attribute mit Präfix „R_“ bilden den Inhalt des vorangestellten
Attributes auf einen binären Wertevorrat ab (ja / nein)
Die Laufzeitabfrage (View) „SCENARIO_A“ stellt die Daten zur Erzeugung der PROLOG-
Syntax bereit. Die Datenbankabfrage „PROLOG_ScenarioA“ bildet die Attribute-Werte aus
„SCENARIO_A“ auf das einzelne Attribut „PROLOG“ in „PROLOG_ScenarioA“ ab.
Transformationsschritt Datenstruktur
SCENARIO_A( Voraussetzungen_Equipment.Szenario-ID,
Voraussetzungen_Equipment.CD, R_CD,
Voraussetzungen_Equipment.USB-Stick, R_USB,
Voraussetzungen_Equipment.Fremdgeraet, R_Fremdgeraet,
Voraussetzungen_Equipment.Manipulations-Tool, R_Manipulations-
Tool,
Voraussetzungen_Equipment.DoS-Tool, R_DoS-Tool,
Tabellendefinition Voraussetzungen_Equipment.App-spec-Malware, R_App-spec-
Malware,
(Datenbank-View)
Voraussetzungen_Knowhow.Besy-Knowhow, R_Besy-Knowhow,
Voraussetzungen_Knowhow.App-Knowhow, R_App-Knowhow,
Voraussetzungen_Knowhow.System-Knowhow, R_System-Knowhow,
Voraussetzungen_Knowhow.Username, R_Username,
Voraussetzungen_Knowhow.Passwort, R_Passwort,
join( Voraussetzungen_Equipment.Szenario-ID =
Voraussetzungen_Knowhow.SzenarioID )
SELECT DISTINCT "scenarioA(" & [Szenario-ID] & ", " & [R_CD] & ", "
& [R_USB] & ", " & [R_Fremdgeraet] & ", " & [R_Manipulations-Tool] &
SQL-Transformation ", " & [R_DoS-Tool] & ", " & [R_App-spec-Malware] & ", " & [R_Besy-
Knowhow] & ", " & [R_System-Knowhow] & ", " & [R_Username] & ", "
& [R_Passwort] & "). " AS PROLOG FROM ScenarioA;
PROLOG_scenarioA(scenarioA(Szenario-ID, R_CD,
R_USB, R_Fremdgeraet, R_Manipulations-Tool,
View-Definition
R_DoS-Tool, R_App-spec-Malware, R_Besy-Knowhow,
R_System-Knowhow, R_Username, R_Passwort).)
Anmerkung: die Abfrage „SCENARIO_A“ dient ausschließlich als Hilfskonstrukt zur besseren
Kontrolle der Arbeitsschritte. Die Verknüpfungen wären auch in die Abfrage
„PROLOG_scenarioA“ integrierbar, so dass auf die Abfrage „SCENARIO_A“ verzichtet
werden könnte.
Die Beschreibungen der Angriffe (scenarioD) lassen sich mit Hilfe des folgenden Datenbank-
Konstrukts in PROLOG-Klauseln überführen:
Transformationsschritt Datenstruktur
SELECT VORAUSSETZUNGEN_SYSTECH.Szenario-ID
VORAUSSETZUNGEN_SYSTECH.Szenario,
VORAUSSETZUNGEN_SYSTECH.Schutzziel,
VORAUSSETZUNGEN_SYSTECH.Zielsystem,
Zielsystem,
IIf(ASPunkt_Zielsystem=True,1,0) AS R_SS_Target,
IIf(ASPunkt_Fremdsystem=True,2,0) AS R_SS_MalSystem,
IIf(ASPunkt_AnyClient=True,4,0) AS R_SS_AnyClient,
SQL-Transformation
R_SS_Target + R_SS_MalSystem + R_SS_AnyClient AS Summe,
IIf(Summe=0, "none",
(IIf(Summe=1,
(IIf([Summe]=2, malDevice", (IIf([Summe]=4, "anyClient", "xxx"))))))
AS SourceSystem FROM VORAUSSETZUNGEN_SYSTECH
"scenarioD(" & [Szenario-ID] & ", " & [Zielsystem] & ", " &
[SourceSystem] & ", " & [Schutzziel] & ", " & [Szenario] & ")." AS
Prolog
Transformationsschritt Datenstruktur
View-Definition PROLOG_scenarioD(Prolog)
Transformationsschritt Datenstruktur
SELECT VORAUSSETZUNGEN_SYSTECH.ID,
VORAUSSETZUNGEN_SYSTECH.Szenario-ID,
VORAUSSETZUNGEN_SYSTECH.Szenario,
VORAUSSETZUNGEN_SYSTECH.Schutzziel,
VORAUSSETZUNGEN_SYSTECH.Zielsystem,
VORAUSSETZUNGEN_SYSTECH.CD,
VORAUSSETZUNGEN_SYSTECH.USB,
VORAUSSETZUNGEN_SYSTECH.openSwitchPort,
VORAUSSETZUNGEN_SYSTECH.locProgSS,
VORAUSSETZUNGEN_SYSTECH.Netzverbindung,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_Zielsystem,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_Fremdsystem,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_AnyClient,
VORAUSSETZUNGEN_SYSTECH.Systembenutzung,
IIf([CD]=True,1,0) AS _CD, IIf(USB=True,2,0) AS _USB,
IIf(openSwitchPort=True,4,0) AS R_openSwitchPort,
SQL-Transformation IIf(locProgSS=True,8,0) AS R_locProgSS,
IIf(Netzverbindung=True,16,0) AS R_Netzverbindung,
IIf(ASPunkt_Zielsystem=True,32,0) AS R_ASPunkt_Zielsystem,
IIf(ASPunkt_Fremdsystem=True,64,0) AS R_ASPunkt_Fremdsystem,
IIf(ASPunkt_AnyClient=True,128,0) AS R_ASPunkt_AnyClient,
IIf(Systembenutzung=True,256,0) AS R_Systembenutzung,
IIf(Voraussetzungen_SysTech.Zielsystem="network",512,0) AS R_TS-
Netzwerk, IIf(Voraussetzungen_SysTech.Zielsystem="dhcpServer",1024,0)
AS R_TS-dhcp,
IIf(Voraussetzungen_SysTech.Zielsystem="switch",2048,0) AS R_TS-
switch,
R_CD + R_USB + R_openSwitchPort + R_locProgSS + R_Netzverbindung
+ R_ASPunkt_Zielsystem + R_ASPunkt_Fremdsystem +
R_ASPunkt_AnyClient + R_Systembenutzung + R_TS-Netzwerk + R_TS-
dhcp + R_TS-switch AS Summe
FROM VORAUSSETZUNGEN_SYSTECH;
SCENARIO_S(VORAUSSETZUNGEN_SYSTECH.Szenario-ID,
VORAUSSETZUNGEN_SYSTECH.CD, R_CD,
VORAUSSETZUNGEN_SYSTECH.USB, R_USB,
VORAUSSETZUNGEN_SYSTECH.OpenSwitchPort, R_OpenSwitchPort,
VORAUSSETZUNGEN_SYSTECH.LocProgSS, R_LocProgSS,
VORAUSSETZUNGEN_SYSTECH.Netzverbindung, R_Netzverbindung,
View-Definition VORAUSSETZUNGEN_SYSTECH.ASPunkt_Zielsystem,
R_ASPunkt_Zielsystem,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_Fremdsystem,
R_ASPunkt_Fremdsystem,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_AnyClient,
R_ASPunkt_AnyClient,
VORAUSSETZUNGEN_SYSTECH.Systembenutzung,
R_Systembenutzung)
Transformationsschritt Datenstruktur
SCENARIO_S(VORAUSSETZUNGEN_SYSTECH.Szenario-ID,
VORAUSSETZUNGEN_SYSTECH.CD, R_CD,
VORAUSSETZUNGEN_SYSTECH.USB, R_USB,
VORAUSSETZUNGEN_SYSTECH.OpenSwitchPort, R_OpenSwitchPort,
VORAUSSETZUNGEN_SYSTECH.LocProgSS, R_LocProgSS,
VORAUSSETZUNGEN_SYSTECH.Netzverbindung, R_Netzverbindung,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_Zielsystem,
Tabellendefinitionen R_ASPunkt_Zielsystem,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_Fremdsystem,
R_ASPunkt_Fremdsystem,
VORAUSSETZUNGEN_SYSTECH.ASPunkt_AnyClient,
R_ASPunkt_AnyClient,
VORAUSSETZUNGEN_SYSTECH.Systembenutzung,
R_Systembenutzung)
SZENARIO-DATEN(Kombination, Voraussetzungen)
View-Definition PROLOG_scenarioS(Prolog)
... 1 1 1 ...
... 0 1 1 ...
Bewertungsvektor = | 1 2 4 8 16 ... | = | Bn |
| Vij | * | Bn | = | Ci |
mit Ci = ∑𝑗 Vi,n * Bn
𝑛=1