Risikomanagementgrundsätze, Risikomanagementmaßnahmen, Risikoanalyse und ‑bewertung – gleich ob NIS 2, Cyber Resilience Act oder Maschinenverordnung: Sie sind überall grundlegende Anforderungen. Es ist dabei essentiell, die Risiken zu kennen. Mehr zu „Know your Risks“ finden Sie in der vorherigen Ausgabe. Ich möchte diese Gelegenheit nutzen ein Thema zu adressieren, das dringend kommuniziert werden muss, insbesondere an Unternehmen, die bei funktionaler Maschinensicherheit im Sinne von Safety zwar inzwischen routiniert sind, bisher aber keine intrinsische oder gesetzlich induzierte Notwendigkeit hatten, IT- und OT-basierte Risiken zu beurteilen.
Security-Risikobeurteilungen sind aufwendiger als Safety-Risikobeurteilungen.
Es liegt an der Komplexität und Vielfalt der Risiken. In der Safety haben wir in der EN ISO 12100, in Anhang B, Beispiele für Gefährdungen, Gefährdungssituationen und Gefährdungsereignisse – wie angegeben nicht vollständig und priorisiert, jedoch ist die Richtung der Betrachtung und Denkweise erkennbar. Mechanische, elektrische, thermische und ergonomische Gefährdungen sowie Gefährdungen durch Lärm, Vibrationen und Strahlung sind die übergeordneten Gruppen. Sie können zu Folgen führen wie z.B. Quetschen, Schneiden, Einziehen, Fangen, Erfassen, Abschürfen, Verbrennungen, Stromschläge, etc. Man denke an einen Aktor, der frei zugängliche Zahnräder antreibt. Mögliche Folgen daraus: Quetschen und Einziehen durch bewegliche Teile. Nachvollziehbar wie die thermische Gefährdung an einer heißen Herdplatte. Damit ist meistens ein solches „Asset-Pendant“ auch schon erledigt und es wird zur nächsten Gefahrenstelle übergegangen. Aus der Perspektive der Security betrachte man einen Frequenzumrichter und die Steuerung. Was gilt es hierbei zu bewerten/schützen (=Asset)? Wichtig sind das Programm, die Firmware, der Prozess selbst, die Datenflüsse, die Zeiterfassung für die Logs, die Logs selbst, etc. Die Bedrohungen, welchen man ausgesetzt ist? Die Anwendung des Akronyms S.T.R.I.D.E. ist international üblich und anerkannt. Es steht für Spoofing (Identitätsverschleierung), Tampering (Manipulation), Repudiation (Nichtanerkennung), Information disclosure (Veröffentlichung von Informationen), Denial of Service (Verweigerung des Dienstes), sowie Elevation of privilege (Erhöhung von Rechten). Daneben gibt es noch die 47 elementaren Gefährdungen für die IT -Grundschutz-Methodik des deutschen Bundesamtes für Sicherheit in der Informationstechnik. Doch das ist bei weitem noch nicht alles. Die Common Attack Pattern Enumeration and Classification (CAPEC™) von MITRE, ebenfalls branchenweit anerkannt, umfasst derzeit 559 Angriffsvektoren. Davon werden mindestens 46 „Attack Pattern“ ICS, also Industrial Control Systems, direkt zugordnet.
Security-Risikobeurteilungen sind als komplexer als Safety-Risikobeurteilungen anzusehen, da sie eine breitere und dynamischere Bedrohungslandschaft berücksichtigen müssen. Die Breite spiegeln die zuvor genannten Gefährdungen und Angriffsvektoren wider. Die Safety befasst sich weitgehendst mit dem Schutz vor unabsichtlichen bzw. zufälligen Gefahren und Unfällen, die durch technische Fehler oder menschliches Versagen verursacht werden. Die Dynamik wird beeinflusst durch die Gefahr von absichtlichen, böswilligen Angriffen gepaart mit der Unvorhersehbarkeit und Vielfalt dieser Bedrohungen. Diese Angriffe können von Cyberkriminalität über Sabotage bis hin zu Spionage reichen und erfordern daher eine kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen.
Security-Risikobeurteilungen müssen zudem oft komplexe IT-Infrastrukturen und Netzwerke miteinbeziehen, was zusätzliche technische Expertise und Ressourcen erfordert.
erschienen in der Austromatisierung | Ausgabe 06-2024 | September 2024