Bob

Chief Security Architect, RSA

IT Security: Root-Cause-Analysen als Risiko

Kürzlich nahm ich an einem vom Alan Turing Institute organisierten Workshop in London teil und hielt dort eine Rede. Mein Ziel war es aufzuzeigen, in welchen Bereichen der Cybersicherheit eine größere Forschungsarbeit nötig ist. Obwohl ich mich auf Sicherheitsanalytik konzentrierte, sprach ich auch über die Dringlichkeit, effektivere Modelle für das Verständnis und den Umgang mit IT-Sicherheitsrisiken zu entwickeln. Ich bezog mich dabei auf die Arbeit, die wir im von der EU finanzierten SPARKS-Projekt leisten, insbesondere unsere Bedrohungs- und Risikoanalysen (Threat and Risk Assessment Methodology document D2.2) sowie unsere Beiträge zu den Risikoanalyse-Methoden STAMP/STPA. Ich erwähnte aber auch neue Entwicklungen in der operativen Risikobewertung, wie die Unterstützung von Schadensereignis-Modellen in RSA Archer 6.0.

Als ich auf dem Flug zurück in die Schweiz über den Workshop nachdachte, wurde mir bewusst, dass sich die Teilnehmer einig waren über den Bedarf an einem Forschungsschwerpunkt “Sicherheitsanalytik“. Dieser umfasst Bereiche wie die vereinfachte Aufnahme höchst unterschiedlicher Datenbestände, eine kontinuierliche Entwicklung von Algorithmen für das Erkennung von Mustern und Anomalien, Verbesserungen bei Visualisierung, beim Erfassen von Informationen über den Kontext und bei der Evaluierung von Kritikalität sowie die Entwicklung von Technologien, die die Arbeit der IT-Security-Analysten effektiv ergänzt. Demgegenüber fand der ebenso wichtige Forschungsschwerpunkt „IT-Sicherheits- und Risikomanagement“ weitaus weniger Beachtung.

Das war schon zu Beginn des Workshops klar geworden, bei einer Präsentation zum Thema IT-Sicherheit in der pharmazeutischen Industrie. In diesem Vortrag wurde das Risikomanagement als ausgereifter, etablierter Wissensbereich gesetzt – besonders im Sinne einer Vermögensbestimmung (Asset Value Methodology), die mit dem Risiko des Diebstahls geistigen Eigentums ein wichtiges Anliegen dieser Branche reflektiert. Die Risikoevaluation wurde in einem Wahrscheinlichkeit-/ Wirkung-Schaubild dargestellt, das helfen sollte zu bestimmen, welche Informationswerte man zuerst schützen sollte. Mir fiel sofort auf, dass die Konzentration auf die Vermögenswerte andere Risikoaspekte vernachlässigte, welche ebenfalls beachtet werden sollten: etwa die Zerstörung von Produktionsbetrieben, die Integrität von operativen Daten, die Verfügbarkeit wichtiger Dienstleistungen und andere Bedrohungen, deren Auswirkungen nicht direkt mit dem Informationswert zusammenhängen, sondern mit dem Ausmaß des Verlustes – vor allem von operativen Fähigkeiten.

Im SPARKS-Projekt haben wir gesehen, dass das Risiko einer Unterbrechung oder Zerstörung der Grundversorgung ein Thema von größter Relevanz ist. Das gilt nicht nur für Smart Grids, sondern auch für die Energieversorgung im Allgemeinen, die Fertigung, die Telekommunikation sowie für Finanzdienstleistungen und E-Government. Der DDoS-Angriff im Dezember auf die 13 wichtigsten Root-Nameserver, der den Internetverkehr weltweit verlangsamte, ist nur ein aktuelles Beispiel für solche Attacken. Auch die Ölproduktion im Nahen Osten, die Stromversorgung in Pakistan und die Stahlproduktion in Deutschland waren bereits betroffen.

 

 

 

(Bild aus einem Youtube-Video, welches Johnny Adams zum Bericht über einen Cyberangriff auf ein deutsches Stahlwerk gepostet hat.)

Später im Workshop sprach noch ein weiterer Referent kurz über Risikomanagement und betonte, wie wichtig es sei, die Ursachen von Cybercrime zu identifizieren. Er sprach aber nur über technologische Themen wie das Schwachstellenmanagement. Doch selbst wenn man die Ursachen in weiteren Bereichen sucht und dabei die Strategie der Angreifer, deren Motivation, die Schwierigkeit des Angriffs, das Risiko entdeckt zu werden sowie die sozialen und psychologischen Motive erforscht, tendiert eine solche Analyse dazu, Ereignisse und Handlungen linear zu betrachten. Peter Senge hat es vor fünfundzwanzig Jahren so formuliert: „Die Wirklichkeit besteht aus Kreisen, doch wir sehen gerade Linien…Unsere gewohnte Sehweise produziert fragmentierte Ansichten und kontraproduktives Handeln“. (The Fifth Discipline, Seite 73)

Bob_Griffin_Bild_2

 

(Senge, The Fifth Discipline, Seite 393)

Eine große Stärke von auf der Systemtheorie basierenden Sicherheitsanalysetechniken wie der STAMP/STPA-Methode von MIT-Professorin Dr. Nancy Leveson ist, dass sie eine breite Palette von Ursachen bei einem bestimmten Schadensereignis in Betracht zieht. In ihrem Buch Engineering a Safer World beschreibt Dr. Leveson ausführlich einen Fall aus der pharmazeutischen Industrie; sie bezieht sich dabei auf eine Analyse von Matthieu Couturier. Dabei geht es um den finanziellen Verlust und die Rufschädigung, die das Unternehmen Merck mit der Einführung und der Rücknahme von Vioxx erlitten hatte (Engineering a Safer World, Seite 239). Der Rückruf von Vioxx erfolgte nicht aus technologischen Gründen oder wegen einer feindlichen Manipulation von Information oder von Prozessen. Vielmehr zeigte die Analyse einen Zusammenhang zwischen den Kontrollstrukturen für Arzneimittelsicherheit, den Erfordernissen und Beschränkungen der Systemsicherheit, den tatsächlichen Ereignissen und der Systemdynamik. Alles zusammen führte zur Unterdrückung der Daten der Arzneimittelprüfung, zu irreführender Konsumenteninformation und schließlich zu verunglimpfenden Angriffen auf einzelne Whistleblower. Das FDA entschloss sich schließlich zum Rückruf des Medikaments.

Es bedarf noch großer Anstrengungen, um effektive Methoden für das IT-Sicherheits- und Risikomanagement zu entwickeln. Deshalb war es mir wichtig, im Workshop des Turing Institute über dieses Thema sprechen zu können. Meine Kolleginnen und Kollegen und ich freuen uns, das Gespräch mit Ihnen zusammen im März 2016 im STAMP-Workshop des MIT fortsetzen zu dürfen.