Integrated Safety and Security Knowledge Modeling

Abstract

Das Ziel des Dissertationsvorhabens "Integrated Safety and Security Knowledge Modeling" ist die Identifizierung von Vorgehensweisen, um sichere System-Architekturen im industriellen Umfeld zu modellieren. Das resultierende Modell soll sowohl Anforderungen der Cyber-Sicherheit als auch der funktionalen Sicherheit erfüllen. Zu schützende Assets (z.B.: kritische Geräte, Operatoren bzw. Bediener, Produktionsanlagen) werden durch einen risikobasierten Ansatz identifiziert, da der Ausfall eines sicherheitskritischen Gerätes einen höheren Schaden, als der Ausfall eines E-Mail-Servers in der gesamten Architektur verursachen kann. Es werden Angriffsvektoren und Bedrohungen der Assets identifiziert, welche die Kommunikation zwischen Maschinen (Machine-to-Machine Communication) und die Integration von IT (Information Technology) mit OT (Operational Technology) berücksichtigt. IT und OT haben sich unterschiedlich entwickelt, wodurch Herausforderungen bei der Verschmelzung beider Gebiete entstehen. Die IT fokussiert sich auf Schutzziele hinsichtlich der Cyber-Security. Vertraulichkeit und Integrität werden priorisiert behandelt, da ein temporärer Ausfall eines Geräts oder Dienstes von einigen Minuten keinen erheblichen Schaden in einer typischen IT-Architektur verursacht. Im Gegensatz dazu kann in einer OT-Architektur der Verlust der Verfügbarkeit kritischen Schaden verursachen, welcher die funktionale Sicherheit beeinflusst. Ein schwaches IT- Sicherheitsniveau kann die funktionale Sicherheit beeinträchtigen, wie folgendes Beispiel verdeutlicht: Eine Maschine soll in einen sicheren Zustand wechseln, sobald ein Lichtgitter aktiviert wurde. Wegen schwacher oder fehlender IT-Sicherheitsmaßnahmen konnte das System manipuliert werden und die Daten des Lichtgitters können nicht mehr ausgewertet werden. Folglich wurde die funktionale Sicherheitsfunktion deaktiviert und die Maschine führt ihren Betrieb auch in einer gefährlichen Situation fort. Um die gewünschte sichere Architektur zu modellieren, werden klassische IT-Bedrohungsmodelle (z.B.: STRIDE, Attack Trees) und Bedrohungsmodelle, welche für die funktionale Sicherheit relevant sind, überarbeitet, adaptiert und kombiniert. Abhängig von den entdeckten Bedrohungen entsteht ein Bedrohungsmodell, welches das Gesamtrisiko abschätzt. Basierend auf den identifizierten Bedrohungen wird ein Katalog mit Schutzmaßnahmen erstellt, welcher das vorhandene Niveau der Cyber-Sicherheit und der funktionalen Sicherheit für OT-Systeme evaluiert. Es werden internationale Standards (zB.: IEC 62443, IEC 61508) verwendet, um das Architektur-Modell zu erstellen.

The aim of the dissertation project "Integrated Safety and Security Knowledge Modeling" is to identify procedures for modeling safe system architectures in an industrial environment. The resulting model should meet both cyber security and functional safety requirements. Assets to be protected (e.g. critical devices, operators, production facilities) are identified using a risk-based approach, as the failure of a safety-critical device can cause greater damage than the failure of an e-mail server in the entire architecture. At- tack vectors and threats to assets are identified, considering the communication between machines (machine-to-machine communication) and the integration of IT (information technology) with OT (operational technology). IT and OT have developed differently, which creates challenges when merging the two areas. IT focuses on protection goals regarding cyber security. Confidentiality and integrity are prioritized, as a temporary failure of a device or service lasting a few minutes does not cause significant damage in a typical IT architecture. In contrast, in an OT architecture, the loss of availability can cause critical damage that affects functional safety. A weak IT security level can impair functional safety, as the following example illustrates: A machine is supposed to switch to a safe state as soon as a light curtain is activated. Due to weak or missing IT security measures, the system could be manipulated and the data from the light curtain can no longer be evaluated. Consequently, the functional safety function was deactivated, and the machine continues to operate even in a dangerous situation. To model the desired secure architecture, classic IT threat models (e.g., STRIDE, Attack Trees) and threat models that are relevant to functional security are revised, adapted, and combined. Depending on the threats detected, a threat model is created that estimates the overall risk. Based on the identified threats, a catalog of protective measures is created, which evaluates the existing level of cyber security and functional safety for OT systems. International standards (e.g. IEC 62443, IEC 61508) are used to create the architecture model.