Entwicklung eines integrierten softwaregestützten Werkzeuges zur nutzergeführten Sicherheitsanalyse von Automatisierungsanlagen - INSA

Im Rahmen des vom Bundesministerium für Wirtschaft und Technologie geförderten Forschungsprojektes INSA sollen wichtige Beiträge zur Verbesserung der IT-Sicherheit von Produktionsanlagen insbesondere in kleinen und mittelständischen Unternehmen (KMU) realisiert und erprobt werden. Die IT-Sicherheit von Produktionsanlagen wird zu einer immer wichtigeren Komponente des Schutzes von Unternehmen gegen Cyber-Attacken. Neben Angriffen aus dem Internet sind dabei interne Angriffsquellen in Betracht zu ziehen. Gängige Vorgehensmodelle, wie z. B. die VDI-Richtlinie 2182, setzen dabei unter anderem auf eine wiederkehrende Analyse der Bedrohungen und auf die Implementierung entsprechender Schutzmaßnahmen. Die Durchführung einer solchen wiederkehrenden Gefährdungsanalyse ist mit einem wiederkehrenden manuellen Aufwand verbunden, weshalb kleine und mittlere Unternehmen die Durchführung dieser Maßnahmen häufig meiden. Ziel des Projektes ist die Unterstützung kleiner und mittlerer Unternehmen bei der Durchführung entsprechender Bedrohungsanalysen zu unterstützen. Der Ansatz des Projektes beruht auf der automatisierten bzw. teilautomatisierten Erfassung der installierten Automatisierungskomponenten (Assets). Danach kann für bekannte Standardkomponenten durch die Verwendung wissensbasierter Methoden eine Beurteilung der Bedrohung einer Automatisierungsanlage erfolgen. Hierfür wird fachspezifisches Wissen erfasst und verarbeitet wird. Diese Methoden können bei Bedarf in die Engineering-Oberfläche einer Automatisierungsanlage intergiert werden.

Zusammenfassung: Für die Durchführung einer IT-Sicherheitsanalyse sind die Informationen über die zu betrachtende Anlage von zentraler Bedeutung. Neben den Anlageninformationen wird relevantes IT-Sicherheitswissen (z. B. Bedrohungen, Schutzmaßnahmen usw.) benötigt. Dieses setzt als Grundlage Informationen über die zu analysierende Anlage voraus. In diesem Beitrag werden auf Basis des IT-sicherheitsrelevanten Wissens die für eine IT-Sicherheitsanalyse benötigten Anlageninformationen ermittelt. Darauf aufbauend werden mögliche Informationsquellen im Engineering identifiziert und diskutiert.

Um so gut wie möglich gegen Cyber-Attacken gewappnet zu sein, sind Sicherheits-analysen ein Muss. Diese sind aber nicht nur zeitaufwendig, sie brauchen auch ein tief-greifendes Wissen über IT und Maschine. Bisherige Software-Werkzeuge, die bei der Analyse helfen sollen, verringern diesen Aufwand jedoch kaum. Ein Forschungsprojekt soll dabei helfen, Aufwand und notwendiges Vorwissen weiter zu reduzieren.

Sicherheitsanalysen sind zentraler Bestandteil bei der Absicherung von automatisierungstechnischen Anlagen. Diese Analysen erfolgen vielfach manuell. Das bedeutet angesichts immer komplexerer Anlagen einen großen Aufwand. Im Beitrag werden, am Beispiel einer IT-Sicherheitsanalyse, Lösungsansätze zur Automatisierung der einzelnen Schritte aufgezeigt. Dazu dient ein wissensbasiertes System, das einen Großteil des dafür benötigten Wissens bereitstellt. Dadurch wird die Erstellung und Pflege von IT-Sicherheitskonzepten stark beschleunigt. Ferner behandeln die Autoren eine Kombination von Safety- und IT-Sicherheitsanalysen, die potenziell ein abgestimmtes Sicherheitskonzept ermöglicht.