Konferenz Blog

Risikobehandlungsplan

Bitte warten...

1. Einleitung

Ein detaillierter Risikobehandlungsplan (DRTP) dient dem Zweck, die einzelnen notwendigen technischen und organisatorischen Maßnahmen betriebsverträglich und mit Blick auf das Risiko- und Sicherheitsmanagement als Maßnahmenbündel zu planen und umzusetzen. Die Erstellung eines solchen Behandlungsplans ist besonders für Unternehmen aus der Industrie von großer Bedeutung. Die nachfolgende Darstellung richtet sich nach der Vorgehensweise aus dem Industrie-Standard IEC 62443, sie kann jedoch auch in allen anderen Branchen angewandt werden. Daher wird im Folgenden die Konzeption, Erstellung und Umsetzung eines DRTP auf Basis einer detaillierten Risikoeinschätzung nach dem Standard IEC 62443-2-1 beschrieben.

2. Risikomanagement

Die IT-Sicherheit in der vernetzten Automatisierung wird in der Regel risikobasiert gesteuert, hierbei ist ein kontinuierliches Risikomanagement unausweichlich, welches mit Hilfe einer initialen und weiterer regelmäßigen sowie anlassbezogenen Risikoanalysen sichergestellt wird.

Ein Informationssicherheits-Managementsystem (ISMS), dessen zentrales Element ein Risikobehandlungsplan bildet, ist im Standard IEC 62443 nicht vorgesehen, er beschreibt stattdessen ein Cyber Security Management System (CSMS). Unabhängig davon, ob ein Managementsystem aufgebaut wird oder nicht, ist der Unternehmer in der Pflicht, etwaige Risiken zu behandeln. Daher empfiehlt sich ein detaillierter Risikobehandlungsplan, welcher auch über den im ISMS geforderten RTP hinausgeht. Dieser sollte aus dem Grund verwendet werden, da er nicht nur die Maßnahmen nennt, welche umzusetzen sind, sondern ausführlich auf jede einzelne Maßnahme Bezug nimmt und dabei miteinbezieht, womit und auf welche Weise die Maßnahmen umzusetzen sind.

Der Kern des Risikomanagements ist in den Risikobehandlungsplänen zu sehen, da hier neben der Erkennung der einzelnen Risiken die grundsätzlichen Risikostrategien Reduzierung, Transfer, Akzeptanz und Vermeidung gewählt werden und durch Auswahl konkreter Maßnahmen zum Tragen kommen. Risikobehandlungspläne bestehen aus technischen und organisatorischen Maßnahmen. Das vorherrschende Betriebsregime ist so zu berücksichtigen, dass die Maßnahmen von der Betriebsführung akzeptiert, gelebt und betrieben werden können. Die Betriebsverträglichkeit muss u. a. durch die konsistenten Verfahren und Betriebsprozesse sichergestellt werden.

2.1 Risikoeinschätzung / -bewertung

Eine für die meisten Fälle geeignete Risikoeinschätzungsmethodik ruht auf einem szenarienorientierten Threat-Agent-Model, in dem Threat-Agents für Systemgruppen (Asset-Gruppen) in Abhängigkeit ihrer Kritikalitäten bzw. Schutzbedarfe über Angreifereigenschaften (Zugang, Fähigkeiten, Ressourcen) ermittelt werden. Das geschieht über eine einfach zu parametrierende Modellierung der vorgenannten Relationen. Eine solche Risikoeinschätzungsmethodik entspricht den in der IEC 62443-2-1 geforderten Detailed Risk Assessments. Abgerundet wird die Risikoeinschätzungsmethodik durch verifizierende Untersuchungen, wie z. B. Firewall Reviews, Netzwerkverkehrsanalysen und ggf. sogar technische Auditierungen und Security Tests, deren Ergebnisse und Findings in die Methodik eingespeist werden können.

2.2 Risikostrategie / Risikobehandlungsoptionen

Für den Risikobehandlungsplan werden alle ermittelten Risiken gesammelt dargestellt. Im Anschluss erfolgt die Festlegung, mit welcher Risikostrategie sie behandelt werden. So wird die Vermeidungsstrategie gewählt, wenn es keine Rechtfertigung für das System oder den Service gibt, der dem Risiko zugrunde liegt. Gerade in Betriebsumgebungen mit „Shared Services“ wird die Transferstrategie angewendet. Soll die Akzeptanzstrategie gewählt werden, ist es von großer Bedeutung, dass der Risikoeigentümer das akzeptierte Risiko auch formal, z. B. durch Unterschrift übernimmt. Die häufigste Risikostrategie ist die Reduzierung des Risikos, für die die Eintrittswahrscheinlichkeit bzw. die Auswirkungen bei einem Ereignis durch entsprechende Maßnahmen reduziert werden müssen.

2.3 Ermittlung von detaillierten Maßnahmen

Unabhängig davon, welche Maßnahme zur Reduzierung aus den gängigen Standards gewählt wird, ist es äußerst wichtig, die Maßnahme operativ betreiben zu können, sie sollte daher rückwirkungsfrei auf den Betrieb sein.
Für das Sicherheitsmanagement ist es bedeutsam, die Maßnahme in eine Vorgabe zu wandeln, z. B. in eine Policy oder in ein Regelungsdokument eines Sicherheits-Managementsystems. Dies verhindert auch die Wiederholung der Auffälligkeiten zu einem späteren Zeitpunkt, da die Ursächlichkeit des Fehlers prozessual behoben wurde.

Abb. 1: Struktur des Risikobehandlungsplans

Um die Maßnahme für die operative Sicherheit so zu gestalten, dass sie nachhaltig implementiert und im Betrieb aufrechterhalten werden kann, muss sie sowohl organisatorisch als auch technisch aufeinander abgestimmt konzeptioniert und implementiert werden.

2.3.1 Organisatorische Maßnahmen

Der organisatorische Maßnahmenstrang erstreckt sich über die Prozess- und Verfahrensebene, in denen die Vorgaben aus den Richtlinien der entsprechenden Maßnahme (Control) betriebsgerecht definiert und niedergeschrieben bzw. angepasst werden müssen.

So muss jeder aus einer Maßnahme abgeleitete Prozess mit entsprechenden Parametern wie Dauer, Häufigkeit und Verantwortlichkeiten dokumentiert werden.

Auch in den Verfahren muss genau beschrieben werden, wie welche Aufgabe oder Aktivität durchzuführen sind. Des Weiteren muss das Verfahren entsprechende Formulare oder Checklisten bereithalten. Für den erleichterten Nachweis der später erfolgenden Auditierung können Letztere für die Aufzeichnungen zu Dokumentationszwecken dienen.

2.3.2 Technische Maßnahmen

Für die technischen Aspekte der gewählten Maßnahme muss unter Berücksichtigung der betrieblichen Rahmenbedingungen, technischen Gegebenheiten und der Anforderungen an die Lösung zuerst die Technologie bestimmt werden. Diese birgt meist eine entsprechende Hard- und Software Anforderung für die benötigten Werkzeuge in sich. Hierbei bietet es sich an mehrere Maßnahmen zu bündeln. Für eine sichere Verzahnung von Technik und Vorgabedokumenten muss die ausgewählte Lösung entsprechend sicher konfiguriert und das Ergebnis im organisatorischen Strang dokumentiert werden.

3. Betriebsorganisation

Für die betriebsverträgliche Regelung kann der Betriebsorganisationsleitsatz herangezogen werden: „WER mach WAS WOMIT WIE (oft) und nach WELCHEN REGELN?“

Abb. 2: Betriebsorganisation

Es empfiehlt sich, die einzelnen Elemente der Betriebsorganisation zunächst in ihrer Ausgangslage und somit im vorherrschenden Betriebsregime zu betrachten. In aller Regel unterliegt das dominierende Betriebsregime Handlungszwängen und Restriktionen, welche die Machbarkeiten bestimmter Maßnahmen eingrenzen. Das Verständnis des Betriebsregimes ist unabdingbar für den nachhaltigen Erfolg des Risikobehandlungsplans. Der nachfolgende Ansatz orientiert sich am Automatisierungsumfeld, er lässt sich jedoch leicht für andere nicht-industrielle Umfelder ableiten.

Zuerst wird mit der Frage nach dem Wer? untersucht, welche personellen Kräfte für den operativen Betrieb der Sicherheitsmechanismen bereitstehen und wie die Sicherheitsmechanismen in der Ist-Situation administriert und betrieben werden. Es empfiehlt sich, das vorhandene Rollenmodell zu beschreiben, mit dem die derzeitigen Betriebsabläufe bewältigt werden. In den allermeisten Fällen dürfte kein zusätzliches Personal bereitgestellt werden können, so dass die Maßnahmen des Risikobehandlungsplans mit dem vorhandenen Rollenmodell abgedeckt werden müssen.

Die Antwort auf die Frage nach dem Was? bilden die Maßnahmen. Diese sollten auf der
organisatorischen Ebene mit Prozessen und Verfahren untersetzt sein. Hieraus ergeben sich die Aufgaben und Aktivitäten, welche durch das Rollenmodell abgedeckt sein müssen.

Für die Durchführung der Tätigkeiten müssen im Unterpunkt Womit? alle relevanten Technologien und Lösungen definiert werden sowie die Tools und notwendige Software sowie die erforderliche Hardware bekannt sein.

Die Prozesse können hinsichtlich des Wie oft? in unterschiedlichen Notationen definiert sein. Dabei ist insbesondere an den Schnittstellen zwischen den unterschiedlichen Verantwortlichkeiten sicherzustellen, dass die richtigen Informationen und Ergebnisse bereitgestellt werden. In den Verfahren sollten neben den rein verfahrenstechnischen Punkten auch die Aspekte Frequenz und Dauer des Verfahrens und die personellen und finanziellen Ressourcenanforderungen des Verfahrens geregelt sein. Dabei sind auch die spezifischen Gegebenheiten der jeweiligen Umgebung zwingend zu berücksichtigen. Die Workflows unterscheiden sich häufig in Abhängigkeit von den involvierten Systemen/Assets in ihrem Ablauf. Auch die Dauer sowie die Frequenz aller Prozesse hängen von den spezifischen Rahmenbedingungen ab und sind entsprechend zu definieren. Zuletzt werden im Schritt nach welchen Regeln? die Regularien betrachtet. Liegt bereits ein Regelwerk vor, so werden die vorangegangenen Punkte auf dieses Regelwerk hin abgestimmt. Sofern eine Änderung der betrieblichen Strukturen technisch oder organisatorisch nicht möglich ist, muss ggf. das Regelwerk angepasst werden. Häufig sind jedoch im Managementsystem geregelte Ausnahmen vom Regelwerk notwendig. Die Ausnahmen sollten befristet und dokumentiert sowie ein Prozess mitsamt Verantwortlichkeiten definiert sein, wie die Ausnahmen genehmigt werden.
Sollte noch kein entsprechendes Regelwerk bestehen, kann dieses auf Basis des detaillierten Risikobehandlungsplans und der bestehenden Betriebsorganisation erstellt werden.

4. Empfohlene Vorgehensweise

Als Grundlage für die Erstellung eines detaillierten Risikobehandlungsplans sollte immer eine detaillierte Risikoeinschätzung dienen. Die Erkenntnisse und die darauf basierenden, festzulegenden Maßnahmen betreffen eine Vielzahl von Stakeholdern im Unternehmen. Dazu hören i. d. R. mindestens die Verantwortlichen der Governance und des Betriebs, als auch der Anlagenerrichter und ggf. Dienstleister, die entweder bei der Risikoeinschätzung oder bei der Planung und Umsetzung der Maßnahmen unterstützen.

Eine Workshop-basierte Vorgehensweise ist hierbei zu empfehlen, um diese Menge an Personen effizient und in direkter Abstimmung gemeinsam an den detaillierten Maßnahmen arbeiten zu lassen. Nach einem initialen Resolution-Workshop, in dem die Anforderungen und Rahmenbedingungen an eine Lösung von allen Seiten dargestellt wurden, kann es individuelle Arbeitsphasen der Stakeholder geben, in denen Vorschläge ausgearbeitet werden. Diese müssen in einem abschließenden Solution-Workshop abgestimmt und im detaillierten Risikobehandlungsplan finalisiert werden.

 

Gastartikel der admeritia GmbH

Edit post

5. Kölner IT-Security-Konferenz am 22.11.2019

Jetzt Ticket sichern