content:arbeitsschutz

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
content:arbeitsschutz [2025/06/10 17:19] – [2. Security] approvecontent:arbeitsschutz [2025/07/16 07:35] (aktuell) – [2.2 Security] zeh
Zeile 232: Zeile 232:
 Da boshafte oder nicht autorisierte Handlungen dazu führen können, dass die Sicherheitsfunktionen zur Risikominderung nicht mehr wie vorgesehen funktionieren und das Risiko dementsprechend nicht mehr mindern können, ist Security eine grundlegende Voraussetzung für die Gewährleistung der Funktionalen Sicherheit. Da boshafte oder nicht autorisierte Handlungen dazu führen können, dass die Sicherheitsfunktionen zur Risikominderung nicht mehr wie vorgesehen funktionieren und das Risiko dementsprechend nicht mehr mindern können, ist Security eine grundlegende Voraussetzung für die Gewährleistung der Funktionalen Sicherheit.
  
-==== 2.2 Security ==== +__false__
- +
-Bei einer Risikoanalyse werden grundsätzlich die zu schützende Werte (sogenannte Assets) bestimmt. Danach wird das Schadensausmaß bewertet, welches beim Verlust des Wertes eintreten kann. Dabei kann der potenzielle Schaden in unterschiedliche Kategorien eingeteilt werden, beispielsweise: +
- +
-  * Finanzieller Verlust +
-  * Verlust von Ansehen (Image) +
-  * Verletzung von rechtlichen Vorgaben (z.B. Datenschutz) +
-  * Personenschäden bzw. Tod von Personen, Umweltschäden +
- +
-Diese Informationen sind Ausgangpunkt für die eigentliche Risikoanalyse, für die es verschiedene Ansätze gibt. Drei davon sollen im Folgenden kurz vorgestellt werden: +
- +
-**1) BSI-Grundschutz Standard 200-3 (Bundesamt für Sicherheit in der Informationstechnik (BSI), 2017) **  Zur Vorbereitung der Risikoanalyse werden die Assets einer Schutzbedarfsfeststellung unterzogen. Hierfür wird jedem Asset ein Schutzbedarf (normal, hoch, sehr hoch) für jeden der Werte (Verfügbarkeit, Integrität, Vertraulichkeit) zugewiesen. Die Art und Höhe der Kriterien sind dabei aber nicht verpflichtend festgelegt, sie müssen aber einer systematischen Überprüfung standhalten (logischer Aufbau und aufbauend auf belastbare Hintergründe). Für Elemente mit einem hohen oder sehr hohen Schutzbedarf ist eine Risikoanalyse verpflichtend. Für den Schutzbedarf „normal“ obliegt die Entscheidung, ob eine Risikoanalyse durchgeführt werden soll, der Verantwortung des Durchführenden. +
- +
-**Schritt 1**: Erstellung einer Gefährdungsübersicht Zunächst wird eine Gefährdungsübersicht erstellt. Dazu dient eine vorgegebene Liste mit elementaren Gefährdungen, welche aus dem IT-Grundschutz entnommen wurden. Zu jeder elementaren Gefährdung sind die hauptsächlich betroffenen Grundwerte angegeben (Vertraulichkeit, Integrität und Verfügbarkeit). Ziele der Gefährdungsübersicht sind damit: +
- +
-  * Zusammenstellung einer Liste von möglichen elementaren Gefährdungen in Abhängigkeit ihrer Auswirkungen auf die jeweiligen Assets +
-  * Ermittlung zusätzlicher Gefährdungen, die über die elementaren Gefährdungen hinausgehen und sich aus dem spezifischen Einsatzszenario ergeben +
- +
-Abbildung 3: Gefährdungen (Auszug) und ihr möglicher Einfluss auf die Grundwerte, aus BSI-Standard 200-3 +
- +
-**Schritt 2**: Risikoeinstufung Die Einstufung des Risikos ist in zwei Schritte eingeteilt, die Einschätzung und die Bewertung des Risikos. +
- +
-**Risikoeinschätzung** +
- +
-Es werden die Risiken ermittelt, welche von den festgestellten Gefährdungen ausgehen. Diese hängen von Eintrittshäufigkeit und Höhe des Schadens ab. Die Schadenshöhe kann dabei durch die durchführende Institution nur selbst eingeschätzt werden. Dabei müssen die direkten Schäden, finanzieller oder anderer Art, und auch Folgeschäden berücksichtigt werden. Auch die Abschätzung der Aufwände bezüglich der Schadensbehebung sollten berücksichtigt werden. Die Schadenshöhe wird in 4 Kategorien eingeteilt: +
- +
-  * Vernachlässigbar +
-  * Begrenzt +
-  * Beträchtlich +
-  * Existenzbedrohend +
- +
-Die Eintrittshäufigkeit kann nur durch Fachpersonal mit entsprechender Expertise eingeschätzt werden. Dabei wird hauptsächlich auf Erfahrungswerte zurückgegriffen, wenn verfügbar können auch konkrete Statistiken zur Hilfe gezogen werden. Die Eintrittshäufigkeit wird in 4 Kategorien eingeteilt: +
- +
-  * Selten (< 1x / 5 Jahre) +
-  * Mittel (alle 1 bis 5 Jahre) +
-  * Häufig (< 1x / Monat) +
-  * Sehr häufig (mehrmals pro Monat) +
- +
-**Risikobewertung** +
- +
-Anhand z.B. einer Risikomatrix werden die Risiken bewertet. Dazu dienen die ermittelten Werte für Schadenshöhe und Eintrittshäufigkeit. Eine Beispielmatrix ist in Abbildung 4 gezeigt. Die durchführende Institution muss diese jedoch den eigenen Bedürfnissen anpassen. Die Bewertung erfolgt auf Basis von 4 Risikokategorien: +
- +
-  * Gering +
-  * Mittel +
-  * Hoch +
-  * Sehr hoch +
- +
-Abbildung 4: Matrix zur Einstufung von Risiken aus BSI-Standard 200-3 +
- +
-**Schritt 3**: Risikobehandlung Abhängig von der jeweiligen Institution müssen die Risiken im nächsten Schritt behandelt werden. Dies kann dabei abhängig z.B. vom Risikoappetit der Institution sein. Zur Behandlung der verbleibenden Risiken ergeben sich dabei 4 Möglichkeiten: +
- +
-  * Risikovermeidung, z.B. durch Ausschluss der Ursache +
-  * Risikoreduktion, z.B. durch zusätzliche Sicherheitsmaßnahmen +
-  * Risikotransfer, Übertragung auf Dritte +
-  * Risikoakzeptanz, bewusstes Akzeptieren aus geschäftlichem Interesse +
- +
-Der BSI-Standard 200-3 sieht darüber hinaus das Konzept der „Risiken unter Beobachtung“ vor. Dies gilt für akzeptierte Risiken, von denen jedoch zu erwarten ist, dass diese sich in der Zukunft erhöhen werden. Für diese sollten bereits ergänzende Sicherheitsmaßnahmen erarbeitet werden, welche dann gezielt in Betrieb genommen werden können. +
- +
-**Schritt 4**: Konsolidierung des Sicherheitskonzepts Wurden anhand der Risikoanalyse ergänzende Maßnahmen hinzugefügt, welche noch nicht Teil des bestehenden Sicherheitskonzepts waren, müssen diese in dieses integriert werden. Diese Konsolidierung besteht dabei aus mehreren Punkten: +
- +
-  * Eignung: Sind die Maßnahmen wirklich geeignet alle relevanten Gefährdungen vollständig abzudecken? +
-  * Zusammenwirkung: Unterstützen sich die verschiedenen Maßnahmen oder gibt es Widersprüche bei Maßnahmen? +
-  * Benutzerfreundlichkeit: Wie berücksichtigen die Maßnahmen Bedienungsfehler und vermeiden eine Umgehung durch Betroffene? +
-  * Angemessenheit: Sind die Maßnahmen wirklich angemessen, z.B. im Vergleich zu den Kosten und Aufwänden der Umsetzung? +
- +
-Auf Grundlage dieser Fragestellungen sollen die Maßnahmen bereinigt (durch Verwerfen und Ersetzen, Auflösen von Widersprüchen oder durch Überarbeitung) und final in das Sicherheitskonzept integriert werden. +
- +
-**2) IEC 62443-Reihe:** +
- +
-Die verschiedenen Teile der IEC 62443 Normen-Familie an Cybersicherheitsstandards richten sich an verschiedene beteiligte Rollen und definieren die Aufgaben und Pflichten dieser Rollen. Dazu gehören Hersteller, Integratoren und Betreiber. Ein zentraler Bestandteil, besonders auf der Kommunikation zwischen den Rollen, sind dabei die sogenannten Sicherheitslevel (SL) von 1 bis 4, siehe Tabelle 1 Sicherheitslevel (SL) nach IEC 62443. Ähnlich zu den SIL-Stufen der funktionalen Sicherheit (IEC 61508) kann hiermit ein bestimmter Schutzbedarf ausgedrückt werden. Die Grundlage zur Bestimmung unterscheidet sich aber von den SIL-Stufen. Die SL-Stufen unterscheiden dabei, wie in Tabelle 1 gezeigt, auch explizit zwischen absichtlichen und unabsichtlichen Verstößen bzw. Angriffen. Im Rahmen der 62443-Reihe wird der SL auch in Form des SL-C (Security Level-Capability) als Beschreibung der durch ein System oder eine Komponente zu erreichenden Sicherheitsanforderungen und -funktionen verwendet. Dafür gibt es, beispielsweise in 62443-3-3 und 62443-4-2, Zuordnungen zwischen konkreten technischen Anforderungen und jeweiligen SLs. +
- +
-Tabelle 1 Sicherheitslevel (SL) nach IEC 62443 +
- +
-^SL^Beschreibung| +
-|1|Schutz vor zufälligen, unabsichtlichen Verstößen| +
-|2|Schutz vor absichtlichen Verstößen mit einfachen Mitteln, geringem Aufwand, allgemeinen Fähigkeiten und geringer Motivation| +
-|3|Schutz vor absichtlichen Verstößen mit fortgeschrittenen Mitteln, mäßigem Aufwand, speziellen Fähigkeiten und mäßiger Motivation| +
-|4|Schutz vor absichtlichen Verstößen mit fortgeschrittenen Mitteln, erheblichem Aufwand, speziellen Fähigkeiten und hoher Motivation| +
- +
-Risiko- und Bedrohungsanalysen sind ein wichtiger Bestandteil der 62443-Reihe. In der 62443-3-2 wird ein eigener Risikoanalyseprozess beschrieben, der im Besonderen die Konzepte der 62443-Reihe mit aufnimmt, darunter beispielsweise die SL und das Konzept der Sicherheitszonen und -conduits. Eine Sicherheitszone ist definiert als eine Gruppierung logischer oder physische Assets, die gemeinsame Sicherheitsanforderungen haben, basierend auf Faktoren wie Kritikalität und Folgen eines Angriffs. Die Schnittstellen zwischen de Sicherheitszonen werden „conduits“ genannt. +
- +
-{{  :content:industrieanlagen_abbildung5.svg  }}Abbildung 5: Sicherheitszonen mit „conduits“ einer Aufzugssteuerung mit Fernwartung +
- +
-Quelle: SGS TÜV Saar +
- +
-Als Risiko, die für Sicherheitszonen bestimmt wird, bezeichnet die 62443-Reihe dabei auch die Kombination aus Eintrittswahrscheinlichkeit und Auswirkung, wobei die Eintrittswahrscheinlichkeit noch weiter aufgeteilt wird in Bedrohung und Schwachstelle, und somit zu folgender Risikodefinition führt: +
- +
-Risiko = Bedrohung x Schwachstelle x Auswirkung +
- +
-{{ :content:industrieanlagen_abbildung6.svg |}} +
- +
-{{  :content:industrieanlagen_abbildung.svg?nolink&  }}Abbildung 6: Security Risiko Betrachtung Quelle: SGS TÜV Saar CS3 - Security for Safety Schulung +
- +
-Die bedeutet, ein Risiko kann nur bestehen, wenn neben einer Bedrohung (z.B. ein motivierter Angreifer), eine oder mehrere Schwachstellen vorhanden sind. +
- +
-{{  :content:industrieanlagen_abbildung7.svg  }} +
- +
-Abbildung 7: Motivationen und Fähigkeiten von unterschiedlichem Angreifer-Typen Quelle: SGS TÜV Saar CS3 - Security for Safety Schulung +
- +
-Daher müssen bei der Risiko-Betrachtung bzw. bei den Gegenmaßnahmen zur Verminderung des Risikos explizit mögliche Schwachstellen betrachtet werden. Zusätzlich können Maßnahmen zur Erkennung eines Angriffs (z.B. Intrusion-Detection) das Risiko senken. +
- +
-In Abbildung 5 werden mögliche Security Bedrohungen nach der Microsoft Stride Methode aufgelistet. Die IEC 62443-3-3 und IEC 62443-4-2 definieren eine Anzahl von Gegenmaßnahmen für diese Bedrohungen. Um so höher der Security Level ist, um so mehr Gegenmaßnahmen müssen implementiert werden. +
- +
-{{  :content:industrieanlagen_abbildung8.svg  }}Abbildung 8: Security Bedrohungen nach der STRIDE-Methode mit Assets Quelle: SGS TÜV Saar CS3 - Security for Safety Schulung +
- +
-[[https://en.wikipedia.org/wiki/STRIDE_model|https://en.wikipedia.org/wiki/STRIDE_model]] +
- +
-Schwachstellen findet man in der CVE-Sicherheitslückendatenbank [[https://www.cvedetails.com/|https://www.cvedetails.com/]]. +
- +
-Die Bestimmung der Eintrittswahrscheinlichkeit ist nicht eindeutig qualitativ oder quantitativ erfassbar. Man greift hier auf Hilfsmittel zurück und schätzt diese ab. Hierzu müssen beispielsweise die Motivation des möglichen Angreifers, sein Fachwissen und seine verfügbaren Mittel abgeschätzt werden. Zudem werden die Verfügbarkeit von Systemkenntnissen, die Möglichkeit eines Zugriffs auf das anzugreifende Objekt (Physical Security) und die benötigten Zugriffsrechte, angelehnt an die EVITA-Methode (SAE J3061), mit bewertet. Hinzu kommt die Abschätzung des Ausnutzbarkeit von Schwachstellen des Systems. +
- +
-{{  :content:industrieanlagen_abbildung9.svg  }} +
- +
-Abbildung 9: Abschätzung der Eintrittswahrscheinlichkeit eines Angriffs Quelle: SGS TÜV Saar CS3 - Security for Safety Schulung +
- +
-In Abbildung 6 werden unterschiedliche mögliche Schäden aufgelistet. Der hauptsächliche Schaden wird von finanzieller Natur sein. Die IEC 62443 unterscheidet hier fünf verschiedene Schweregrade, die je nach Firmengröße festgelegt werden müssen. Ein Großkonzern hat eine andere Schmerzgrenze wie ein Kleinbetrieb. +
- +
-{{  :content:industrieanlagen_abbildung10.svg  }} +
- +
-Abbildung 10: Unterschiedliche mögliche Schäden Quelle: SGS TÜV Saar CS3 - Security for Safety Schulung +
- +
-Aus dem Schadenindex und der Eintrittswahrscheinlichkeit kann ein Risiko berechnet werden. +
- +
-{{  :content:industrieanlagen_abbildung11.svg  }} +
- +
-Abbildung 11: Bestimmung des Security Risikos Quelle: SGS TÜV Saar CS3 - Security for Safety Schulung +
- +
-Innerhalb der Risikoanalyseprozesse der 62443-3-2 gibt es dabei auch einige Besonderheiten: +
- +
-  * Die Risikoanalyse wird in mehreren Zyklen durchgeführt. Zunächst wird mit einer initialen Risikobeurteilung begonnen, welches sich auf Worst-Case-Szenarien konzentriert und eine Grundlage der weiteren Einteilung des analysierten Systems („System under Consideration“ SUC) darstellt. +
-  * Im Rahmen der zunächst festgestellten Bereiche werden dann detailliertere Risikobeurteilungen durchgeführt. Hierbei ist besonders ein Zwischenschritt bedeutsam, bei dem vorhandene Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit nicht mit betrachtet werden. Das daraus folgende „ungeminderte“ Cybersicherheits-Risiko kann dann zur Festlegung eines Security Level-Ziels (SL-T, Security Level-Target) verwendet werden, welche bestimmte technische Mindestanforderungen nach sich zieht. +
-  * Erst darauf werden Maßnahmen betrachtet bzw. weitere Maßnahmen im Rahmen der Risikobehandlung bestimmt. +
-  * Für die Entwicklung von Geräten mit Security Level (SL) muss ein geeigneter Entwicklungsprozess nach IEC 62443-4-1 vorhanden sein. Die Implementierung des Prozesses wird ähnlich zu CMMI mit Reifegraden (maturity level) bewertet. Die IEC 62443 gibt aber keine Mindestreifegrad für einen vorgegeben Security-Level vor. +
-  * Eine gute Ergänzung wäre eine Betrachtung der Kosten, für die Umsetzung von Gegenmaßnahmen. Eventuell kann man mit dem Risiko leben und eventuelle finanzielle Risiken in Kauf nehmen. Das gilt aber nicht für ein Safety-Risiken. +
- +
-__Hinweis__: Darüber hinaus gibt die IEC TR 63069 ein Mapping der IEC 61508 zur IEC 62443. +
- +
-**3) Checkliste nach NA 163** +
- +
-In Anbetracht des relativ großen Arbeits- und Zeitaufwandes, den „normale“ Risikoanalysen erfordern, gibt es gerade bei einfacheren Systemen die Bestrebung diese durch checklistenartige Verfahren zu ersetzen. In Bezug auf die Anlagensicherheit ist dies u.a. im Arbeitsblatt NAMUR NA 163 festgehalten, siehe „IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen“ (NAMUR, 2017). Ziel der NA 163 ist es niederkomplexe Automatisierungsfunktionen in Hinblick auf die IT-Security in möglichst kurzer Zeit mit möglichst wenig (externer) Fachexpertise sicher zu gestalten. Um dies zu erreichen, wurden diverse Annahmen getroffen, die für die meisten einfachen Automatisierungsfunktionen generell zutreffend sind, siehe Abbildung 10 Schritt 1 bis 4c. +
- +
-Abbildung: Struktur einer Risikobeurteilung mit den durch NA 163 vordefinierten Schritten (Kruschitz, 2017)+
  
 ===== 3 Domänenübergreifende Zusammenführung ===== ===== 3 Domänenübergreifende Zusammenführung =====
  • content/arbeitsschutz.txt
  • Zuletzt geändert: 2025/07/16 07:35
  • von zeh