RACOMAT – Risiko Assessment kombiniert mit automatischen Sicherheitstests

Die Herausforderung: Risiken komplexer ICT-Systeme

Vernetzte Informations- und Kommunikationssysteme (ICT) erobern unseren Alltag und verändern die Industrie. Kritische Infrastrukturen, wie etwa Stromnetze oder das Bankensystem, sind von ihnen bereits heute hochgradig abhängig. Die Bedeutung von ICT-Systemen wird mit autonomen Transportmitteln (z. B. autonomen Autos und Zügen, Drohnen) in naher Zukunft weiter steigen. Das unmittelbare, existenzielle Wohl von Personen wird damit verstärkt Informations- und Kommunikationssystemen anvertraut. Entsprechend hoch sind die Anforderungen an deren Sicherheit und Zuverlässigkeit.
Um die Risiken zu erfassen und zu minimieren, sollten sicherheitskritische ICT-Systeme einem sorgfältigen Risiko Management nach dem etablierten Industrie-Standard ISO 31000 unterworfen werden. Für komplexe Systeme kann das Risiko Management jedoch sehr aufwendig und schwierig sein. Während die subjektive Einschätzung erfahrener Experten im Kleinen eine akzeptable Methode zur Risikoanalyse sein kann, müssen bei zunehmender Größe und Komplexität andere Ansätze gewählt werden. Eine Möglichkeit zu einer objektiveren Analyse besteht im Einsatz von Security Testing nach ISO 29119. Jedoch kann das Testen an sich auch kompliziert und teuer sein, insbesondere wenn ungewolltes, unbekanntes Verhalten analysiert werden soll. Selbst höchst unsichere Systeme liefern viele unbedenklich scheinende Testergebnisse, sofern die „falschen“ Testfälle erstellt und ausgeführt werden.

Die Idee

Risiko Assessment und Security Testing kombinieren

Eine Möglichkeit, mit diesen Schwierigkeiten umzugehen, besteht darin, die verschiedenen Ansätze zu kombinieren und zu versuchen, jeweils die Stärken zu nutzen. Konkret bietet es sich bei einem komplexen System an, zunächst von Experten eine High-Level-Abschätzung der Risiken basierend auf Erfahrung und Literatur durchführen zu lassen. Um dieses initiale Risiko-Assessment genauer zu machen, kann versucht werden, Security Testing genau dort einzusetzen, wo das erste High-Level-Risikobild die größten Unsicherheiten aufweist. Die objektiven Testergebnisse können dann benutzt werden, um das bisherige Risikobild zu erweitern, zu verfeinern oder zu korrigieren. Wirtschaftlich anwendbar für große komplexe ICT-Systeme wird diese Methode jedoch erst mit angemessener Tool-Unterstützung.

RACOMAT

Das Tool

RACOMAT ist ein bei Fraunhofer FOKUS entwickeltes Werkzeug für das Risiko-Management, welches insbesondere das Risiko Assessment mit Sicherheitstests kombiniert. Das Sicherheitstesten kann dabei unmittelbar in Ereignis-Simulationen eingebunden werden, welche das RACOMAT Tool zur Berechnung von Risiken nutzt.

Das RACOMAT Tool ermöglicht eine weitgehende Automatisierung von der Risikomodellierung bis hin zum Sicherheitstesten. Bestehende Datenbanken etwa von bekannten Bedrohungsszenarien werden vom RACOMAT Tool genutzt, um ein hohes Maß an Wiederverwendung sicherzustellen und Fehler zu vermeiden.

Mit dem RACOMAT-Tool wird ein komponentenbasiertes, kompositionales Risiko Assessment unterstützt. Dabei werden im Tool intuitiv verständliche Risikographen verwendet, um ein Bild der Risikolage zu modellieren und zu visualisieren. Für die Risikoanalyse können bekannte Verfahren wie Fault Tree Analysis (FTA), Event Tree Analysis (ETA) und die CORAS Methode in Kombination eingesetzt werden, um von den verschiedenen Stärken der einzelnen Verfahren profitieren zu können.

Ausgehend von einem Gesamtbudget für das Risiko Assessment berechnet das RACOMAT Tool, wie viel Aufwand für das Security Testen sinnvoll ist, um die Qualität des Risikobildes durch Reduktion von Unsicherheiten zu verbessern. Das Tool gibt Empfehlungen, wie diese Mittel eingesetzt werden sollen. Dafür identifiziert RACOMAT relevante Tests und priorisiert diese.

Automatisches Security Testing

Um ein risikobasiertes Testen automatisieren zu können, ist ein Low-Level Risiko Assessment nah an der Technik erforderlich. Dazu erlaubt RACOMAT, Relationen zwischen Artefakten aus der Risikoanalyse und Elementen des untersuchten Systems zu modellieren. Konkret nutzt das Tool dazu Threat Interfaces. Diese können Komponenten mit ihren Eingabe- und Ausgabeschnittstellen sowie den zugehörigen potenziellen Schwachstellen und Gefährdungen repräsentieren.

RACOMAT unterstützt das Zuordnen von potenziellen Schwachstellen und Gefährdungen mit vorhandenem Expertenwissen aus bestehenden Bibliotheken wie MITRE CAPEC und CWE oder BSI IT-Grundschutz. Erfahrungswerte für wichtige Sicherheitseigenschaften – wie Wahrscheinlichkeiten und Konsequenzen – sind darin bereits enthalten. Je nach Interface und Technologie sind verschiedene potenzielle Schwachstellen und Bedrohungen relevanter. Das RACOMAT Tool schlägt für identifizierte Threat Interfaces automatisch jeweils die relevantesten Schwachstellen und Bedrohungsszenarien vor. So muss der Analyst nur eine handhabbare Checkliste durchgehen, um sicherzustellen, dass nichts übersehen wird.

Automatisches oder zumindest semi-automatisches Testen realisiert das RACOMAT Tool mithilfe von Security Test Pattern. Für typische Bedrohungsszenarien (Attack Pattern) bietet RACOMAT einen Katalog mit vordefinierten Test Pattern, welche ohne manuellen Aufwand instanziiert werden können, um ausgewählte Komponenten zu testen. Wenn noch keine passenden Test Pattern existieren, können im RACOMAT Tool neue Test Pattern erstellt werden.

Die beobachteten Testergebnisse werden insbesondere dafür benutzt, um Wahrscheinlichkeiten dafür zu berechnen, dass Angreifer bestimmte ungewollte Ereignisse auslösen können.

Abhängigkeiten und Simulationen von Ereignissen

Durch das intuitive Drag and Drop Userinterface können mit dem RACOMAT Tool direkt Relationen zwischen Artefakten der Risikoanalyse und des Systemmodells erschaffen werden. Für bekannte Artefakte können typische Relationen auch zur vollautomatischen Erweiterung des Modells genutzt werden. Eine präzise Modellierung von Abhängigkeiten zwischen ungewollten Ereignissen ist mit dem RACOMAT Tool möglich. Um auszudrücken, wie Basisereignisse andere Ereignisse auslösen können, stehen gewichtete Relationen und Gates zur Verfügung.
Um für abhängige Ereignisse Wahrscheinlichkeiten des Eintritts zu berechnen, verwendet das RACOMAT Tool Monte Carlo Simulationen. Dabei werden zufällig verteilte Eingabewerte in einer großen Anzahl von einfachen Ereignis-Simulationen verwendet, um auch bei komplexen dynamischen Zusammenhängen Näherungswerte für abhängige Eintrittswahrscheinlichkeiten bestimmen zu können – selbst, wenn das exakte Berechnen der Lösung zu schwierig wäre.
Iteratives Risiko Management
Iteratives Risiko Management Fraunhofer FOKUS

Der RACOMAT Prozess

Das RACOMAT Tool legt eine iterative Vorgehensweise beim Risiko-Assessment nahe. Ein initiales, grobes Risikobild wird dabei in mehreren Runden schrittweise verbessert. Die Konzepte Risk-Based Security Testing (RBST, also die Optimierung des Sicherheitstestens mithilfe des Risiko Assessments) und Test-Based Risk Assessment (TBRA, also die Verbesserung des Risiko Assessments mithilfe von Sicherheitstests) werden dabei vereint:

1. Initiales Risikomodell basierend auf Literatur, Erfahrungswerten und Experteneinschätzungen entwickeln

2. Ereignissimulationen nutzen, um die Konsequenzen und Gesamtrisiken von Bedrohungen zu berechnen

3. Bedrohungsszenarien mit den größten Unsicherheiten auswählen, welche mithilfe von Sicherheitstests genauer analysiert werden sollen

4. Erforderliche Testfälle generieren

5. Tests ausführen und mithilfe der Ergebnisse das Risikomodell verbessern

6. Mit verbessertem Risikomodell erneut Ereignissimulationen durchführen, um Gesamtrisiken genauer zu ermitteln

Weiter mit Schritt 3, bis das Budget für die Risikoanalyse aufgebraucht ist

7. Finale Risikoevaluation und Maßnahmen zur Reduktion unakzeptabel hoher Risiken

Unterstützung des höheren Managements

Ereignissimulationen sind beim RACOMAT Tool nicht auf technische sicherheitskritische Ereignisse beschränkt. Das Tool eignet sich auch, um Businessprozesse zu simulieren. Im Risiko Assessment kann dies insbesondere sinnvoll sein, um die indirekten Auswirkungen technischer Vorfälle auf die Geschäftsprozesse zu analysieren.
Für ein weitergehendes Risiko Management, also für die Risikobewertung und Risikobehandlung, ist eine kompaktere Darstellung mit Fokussierung auf die wirtschaftlichen Aspekte sinnvoll. Das RACOMAT Tool bietet dem Management dazu ein Dashboard und Funktionen, um auch die Risikobehandlung zu planen und zu kontrollieren. Final werden die Risiken als Kosten pro Zeit ausgedrückt, sodass sie auch für nicht-technische Manager greifbar werden.

Domainspezifische Assistenz durch RACOMAT

Die Nutzung von domainspezifischen Informationen bietet weitergehende Möglichkeiten zur Unterstützung für große Organisationen. So wurde bereits für den Finanz- und Bankenbereich ein Plug-In entwickelt, welches die Modellierung der Business Szenarien in BPMN und die Assoziation mit der domainspezifischen technischen Infrastruktur aktiv unterstützt.

In Zukunft sollen auch für andere Domains entsprechende Assistenten als Plug-Ins für das RACOMAT Tool entwickelt und bereitgestellt werden.