Security sollte über den gesamten Lebenszyklus von Produktionssystemen mitberücksichtigt werden, insbesondere im Systemdesign. Wie Security Risiken identifiziert werden können und was es zu berücksichtigen gilt, haben wir beim Cyber Physical Risks Workshop der EG Security und Safety am 15. Feber durch Vorträge von SBA Research, TÜV und AIT erfahren.
Nachdem man Security Risiken identifiziert hat, muss man diese bewerten, qualitativ oder quantitativ, bevor man Maßnahmen einleitet. Matthias Eckhart, SBA Research, hat dazu Modelle präsentiert, wie automatisiert cyber-physische Risiken in den Designartefakten der Anlagen erkannt werden können. Security Risiken sollten laut Matthias Eckhart auch aus Sicht der Produktqualität betrachtet werden, denn Security-Maßnahmen können diese erhöhen. Die SBA Research bietet hierfür die Methode einer Risikoanalyse, welche, integriert im Produktionsprozess, automatisiert anzeigt, welche Produkteigenschaften potenziell manipuliert werden können, aufgrund von Schwachstellen im System, und welche Kaskadeneffekte sich daraus ergeben.
Beim Safe Secure Systems Lab, welches Thomas Doms von TÜV präsentiert hat, wo eine Architektur mit verschiedenen industriellen Komponenten, Protokollen und Use Cases aufgebaut wird, um das Verhalten von Angreifern zu analysieren. Die TÜV hat mit der TU Wien vor zwei Jahren eine Faculty für Security und Industry gegründet. Mit an Bord sind auch Stakeholder, die mit Ihrer Erfahrung bei der Formulierung praxisrelevanter Use Cases unterstützen.
Stefan Schauer vom AIT sprach über die Berücksichtigung von Kaskadeneffekten in einem modernen Risikomanagement für kritische Infrastrukturen. In einer gesamtheitliche Risikobetrachtung muss man u.a. die Abhängigkeiten der Kaskadeneffekte in der Lieferkette und die Verlagerung von Prozessen in die Cloud, und somit zusätzliche Dienstleister, beachten, um einen Überblick über eine mögliche Bedrohungslandschaft zu bekommen.