Bob

Chief Security Architect, RSA

Risiken von Smart Grids – sind Ontologien der Weg zur Lösung?

Beim letzten RSA Archer Summit war ich nicht nur Redner. Ich konnte auch mehrere Präsentationen zum Thema Risikomanagement mitverfolgen. Diesen Bereich erforschen wir gerade im SPARKS-Projekt (siehe meinen letzten Blog-Beitrag über Risikomanagement und Smart Grids). Der Archer Summit war eine gute Gelegenheit, um mit Experten über Risiken und Lösungen zu sprechen. Dabei ist mir aufgefallen, wie unterschiedlich wir Risiken beschreiben. Und wie unterschiedlich wir diese bewerten.

Kurz nach dem Archer Summit war ich zu Besuch beim GRC Technical Centre des University College Cork. Ich habe dort mit den Wissenschaftlern über die Entwicklung von Ontologien für Finanzunternehmen gesprochen. Die GRCTC-Forschungsgruppe entwickelt zurzeit eine Reihe von Ontologien. Sie sollen die OMG/EDM Financial Industry Business Ontology (FIBO) ergänzen und die Kommunikation verbessern, beispielsweise bei der Einhaltung der Vorschriften für die Finanzindustrie.

Die spannende Frage ist: Können Ontologien in ähnlicher Weise bei der Kommunikation über Cyber-Risiken helfen? Zum Beispiel, indem sie das Gespräch zwischen Betriebs- und Sicherheits-Personal verbessern. Ist es möglich, dass  Experten im Betrieb und in der Sicherheit enger zusammenarbeiten, um das Risiko eines Smart Grid besser zu verstehen? Risiken für Smart Grids können Ereignisse wie die Explosion eines Umspannwerks sein (siehe Grafik unten). Das kann verschiedene Ursachen haben: ein Betriebssystemausfall oder auch ein Cyberangriff.


Wichtiges für die Entwicklung von Ontologien für die Cybersicherheit ist bereits geleistet worden. Aber wie Riku Nykänen und Tommi Kärkkäinen im Juli 2014 in ihrem Fachartikel „Comparison of Two Specifications to fulfill Security Control Objectives“ (erschienen in Proceedings of the 13th European Conference on Cyber Warfare and Security) schrieben, fehlt immer noch „eine breit akzeptierte gemeinsame Ontologie der grundlegenden Konzepte und Beziehungen” der Sicherheit (S. 151). Trotzdem ist die Arbeit der GRCTC ermutigend. Sie bietet genau das „kollaborative Umfeld, um gemeinsam zu lernen und Wissen zu teilen”, wie David Walter auf dem Archer Summit umschrieb. Wir müssen gemeinsam unser Verständnis von Risiko vorantreiben und Taxonomien, Ontologien, Frameworks und andere Werkzeuge entwickeln, um eine wirksame Kommunikation aufzubauen.