Fachartikel aus PROTECTOR 9/2018, S. 54 bis 55

Risikomanagement Schnittstellen Security – Functional Safety

Die Definition des Begriffs Cyber Security ist schwieriger als es auf den ersten Blick scheint. Es geht nicht nur um den Schutz von Informationen vor dem unberechtigten Zugriff Dritter, sondern auch von Applikationen im Umfeld des „Internet of Things“ (IoT), also der Vernetzung. Wie kann man nun technische Systeme sicherer machen, um mögliche Angriffe zu erschweren?

Bild: TÜV Nord
Betrachtungsschwerpunkte der Security-Norm (Bild: TÜV Nord)

Schnittstellen ermöglichen es, spezielle Funktionen in einem Auto über das Mobiltelefon zu steuern oder auch eine Industriesteuerung über einen Remotezugriff von der Ferne aus zu warten. Hacker können hier durch gezielte Angriffe hohen Schaden anrichten. Neben der Preisgabe von vertraulichen Informationen tritt hier die Gefahr auf, ganze Anlagen für längere Zeiträume abschalten zu können oder sogar Sicherheitsfunktionen zu manipulieren, um dabei das Leben von Menschen zu gefährden. Die Gefahr ist durchaus real, wie der Stuxnet-Angriff im Iran, der Angriff auf ein Kraftwerk in der Ukraine oder auch die Beeinflussung der Steuerung eines PKWs in den USA durch Hacker, zeigt. Die Dunkelziffer solcher Angriffe ist hoch, da viele Angriffe nicht gemeldet werden.

Spezielle Norm

Normen, die von erfahrenen Fachleuten definiert werden, sollen einen nötigen Mindestschutz bieten. Für das Thema Office-IT ist dies die Normenreihe IEC 2700X, die aber nur eingeschränkt auf die IoT-Geräte angewendet werden kann. Deswegen wurde für das industrielle Umfeld die Security Norm IEC 62443 entwickelt, die von der Risiko-Analyse, Ergänzungen zum Entwicklungsprozess von IoT-Geräten, Techniken und Maßnahmen (zum Beispiel Kryptographie) für Hardware und Software bis zur Vernetzung der Komponenten wichtige Hinweise gibt. Nach einer ausführlichen Risikoanalyse werden für die IoT-Geräte unter der Berücksichtigung des potentiellen Schadens, des Aufwands, den Angriff durchzuführen, und einer geschätzten Eintrittswahrscheinlichkeit ein Security Level (SL) im Bereich von eins bis vier definiert.

Bild: TÜV Nord
Risiko-Assessment gemäß IEC 62443-3-2. (Bild: TÜV Nord)
Umso höher der SL-Level ist, umso mehr aufwendige Techniken und Maßnahmen müssen in das Produkt integriert werden. Zusätzlich muss der bestehende Entwicklungsprozess erweitert werden. Security-Anforderungen müssen in Pflichtenheften definiert und die Wirksamkeit mit aufwendigen Tests (Penetrationstests) nachgewiesen werden. Da sich die Sicherheitsbedrohungen laufend ändern, müssen regelmäßige Risikobetrachtungen und Feldbeobachtungen durchgeführt werden. Im Falle einer neuen Bedrohung ist die Hardware beziehungsweise Software anzupassen. Somit muss es auch möglich sein, die Produkte im Feld upzudaten und ein gutes Patch-Management-Verfahren zu implementieren. Das Thema Security erhält noch zusätzliche Spannung durch das Thema Raubkopien. Es kann vorkommen, dass Konkurrenten versuchen, Produkte nachzubauen. Hier bietet die Security Möglichkeiten, den Nachbau erheblich zu erschweren.

Awareness-Schulungen

Der TÜV Nord beschäftigt sich mit der Prüfung und Zertifizierung von Produkten im Bereich funktionaler Sicherheit. Durch die zunehmende Vernetzung der Sicherheitskomponenten hat sich das Tätigkeitsfeld um das Thema Security erweitert. Um das Thema Security zu verstehen, wird empfohlen, für die betroffenen Mitarbeiter eine Awareness- Schulung durchzuführen, um folgende Fragen zu klären:

    Welche Gefahren gibt es?
  • Welche Normen sollte ich anwenden?
  • Wie kann die Gefährlichkeit systematisch geschätzt werden?
  • Welche Techniken und Maßnahmen sind geeignet, um einen Angriff zu erschweren?
  • Was muss bei der Entwicklung eines IoT beachtet werden?
  • Wie kann ich die Wirksamkeit der umgesetzten Maßnahmen prüfen?
Der TÜV Nord bietet zu diesen Themen eine Security-Schulung an. Die zentrale Frage dabei lautet, wie man mit begrenzten Hardware- und Software-Möglichkeiten durch den bestmöglichsten Einsatz von Ressourcen und Geld eine vernünftige Security- Lösung erreicht.

So empfiehlt zum Beispiel der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA), einen SL2 anzustreben, wobei ein Erfüllungsgrad von 80 Prozent auch akzeptabel ist. Es empfiehlt sich, eine Security for Safety (S4S) Risiko-Analyse durchzuführen, um systematisch alle Security Bedrohungen zu erfassen, zu bewerten und geeignete Gegenmaßnahmen abzuleiten. TÜV Nord hat deswegen hierfür ein leistungsstarkes Tool auf Basis von Microsoft Excel und Visual Basic entwickelt. Man geht von einem Angreifer mit vorgegebenen Qualifikationen und einer Bedrohung in Kombination mit einer Schwachstelle (zum Beispiel bekannter Softwarefehler) aus. Darauf basierend wird der maximale Schaden in Geld oder für Leib und Leben von Menschen abgeschätzt.

Dieser Wert wird mit einer geschätzten Eintrittswahrscheinlichkeit und dem Aufwand für einen Angriff in Verbindung gesetzt, um einen SL abzuleiten.

  • SL0: Keine Bedrohung
  • SL1: Schutz gegen ungewollten oder zufälligen Missbrauch
  • SL2: Schutz gegen gewollten Missbrauch unter Verwendung von einfachen Mitteln
  • SL3: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel
  • SL4: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel und erweiterter Ressourcen
Je nach SL werden danach Techniken und Maßnahmen definiert, die in der Anforderungsspezifikation festgehalten werden. Begleitend dazu sollte der Entwicklungsprozess nach den Vorgaben der IEC 62443 ergänzt werden. Die Überprüfung und Zertifizierung der Einhaltung des Prozesses kann auch durch den TÜV Nord durchgeführt werden. Der TÜV Nord arbeitet eng mit dem Institut „HSA_InnoS“ an der Fachhochschule Augsburg zusammen, die eine kompetente Bewertung von Security-Architekturen durchführen kann. Für die Ausführung von Penetrationstests zum Nachweis der Wirksamkeit der umgesetzten Techniken und Maßnahmen stehen auch Partner zur Verfügung. Gerade beim Thema Security ist es wichtig, ein Netzwerk von kompetenten Leuten zu haben, die das nötige Wissen mitbringen.

Dipl.-Ing. (FH). Martin Zeh, Sachverständiger für funktionale Sicherheit im Bereich IEC 61508, ISO 26262, ISO 13849 und IEC 61511 beim TÜV Nord, www.tuev-nord.de