Cybersecurity: TARA-Analysis in der Praxis

Ein Asset bezieht sich auf einen Gegenstand, der für einen Interessenvertreter wichtig und schützenswert ist. Beispiele für Assets sind Internet-Kommunikationskanäle, Verschlüsselungsschlüssel und Sicherheitsziele. Das Asset ist nicht nur für den Interessenvertreter, der von seiner Funktionalität profitiert, sondern auch für einen Bedrohungsakteur, der es zur Kompromittierung des Systems nutzen kann, wichtig.

Die erste Aufgabe besteht also darin, alle Ihre Assets aufzulisten. Ermitteln Sie dann systematisch die folgenden Cybersicherheitsattribute für jedes Asset:

• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Unbestreitbarkeit
• Authentizität
• Autorisierung

Als Nächstes identifizieren Sie die Schadensszenarien, indem Sie bewerten, was passieren könnte, wenn die Cybersicherheitseigenschaften der Anlagen beeinträchtigt werden.

In diesem Schritt werden die möglichen Schadensszenarien danach bewertet, welche Folgen sie für Ihre Interessengruppen haben könnten. Dazu gehören funktionale Sicherheit, Finanzen, Betrieb und Datenschutz. Die ISO 21434 bietet eine Anleitung zur Bestimmung des Schweregrads des Schadensszenarios. Wir können Ihnen Formeln und voreingestellte Vorlagen zur Verfügung stellen, die Sie bei der Berechnung der ISO 21434-Schweregradbestimmung unterstützen. Ein Schadensszenario wird nicht alle Beteiligten gleichermaßen treffen.

Damit wird auch das Ziel 1 erreicht: die Bewertung der Auswirkungen von Schäden.

In diesem Schritt werden die Assets erneut geprüft und ein mögliches Bedrohungsszenario ermittelt. Ein Bedrohungsszenario ist eine mögliche Art und Weise, wie ein Schadensszenario eintreten könnte. Bei der Analyse des Bedrohungsszenarios versuchen wir herauszufinden, was passieren könnte, wenn eine Sicherheitseigenschaft eines Vermögenswerts verletzt wird und ein Bedrohungsszenario eintritt. Es gibt mehrere Möglichkeiten, ein Schadensszenario zu ermitteln. Wenn wir zum Beispiel einen kompromittierten Schalter betrachten, könnte das Schadensszenario zu einem möglichen Bedrohungsszenario führen, nämlich durch Spoofing oder Fluten des Controller Area Network (CAN)-Busses.

Als Nächstes überlegen Sie, welchen Weg ein potenzieller Angreifer gehen muss, damit das Bedrohungsszenario eintritt. Dies wird als Angriffspfad bezeichnet. Der im vorherigen Schritt betrachtete gefährdete Schalter befindet sich beispielsweise in der Mitte des Fahrzeugs. Um den CAN-Bus zu kompromittieren, muss ein Angreifer einen Weg durch das System finden. Das Ziel dieses Schrittes ist es, diesen Weg zu erkennen.

ISO/SAE 21434 ignoriert den Eindringling und die mögliche Motivation. Stattdessen konzentriert sie sich auf die technischen Möglichkeiten eines Angriffs, indem sie nachvollzieht, wie ein Angriff auf ein kompromittiertes Cybersicherheitsobjekt konfiguriert sein müsste, um erfolgreich zu sein.

Die Regelungen UN R155 und R156 der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) enthalten eine Liste von Beispielen für Schwachstellen. Stellen Sie fest, ob diese Schwachstellen für Ihr System relevant sind, und ermitteln Sie zusätzliche Bedrohungsszenarien.

Nicht jeder theoretisch mögliche Angriff ist in der Praxis durchführbar. So kann beispielsweise eine Verschlüsselung einen möglichen Angriff unwahrscheinlich machen. In diesem Schritt bewerten wir das Potenzial des Angriffs unter Berücksichtigung von fünf Schlüsselparametern:

1. Verstrichene Zeit 
2. Erforderliche Fachkenntnisse  
3. Produkt-Know-how  
4. Erforderliche Ausrüstung  
5. Gelegenheit  

Sobald wir festgestellt haben, ob es für einen Angreifer möglich ist, einen erfolgreichen Angriff durchzuführen, haben wir Ziel 2 erreicht: die Bewertung der Durchführbarkeit eines Angriffs (auch „Leichtigkeit des Angriffs“ genannt).

In diesem Schritt kombinieren wir die Ergebnisse der Bewertung der Auswirkungen (die Auswirkungen des zugehörigen Schadensszenarios, Ziel 1) und der Bewertung der Durchführbarkeit der Angriffe (die Durchführbarkeit der Angriffspfade, Ziel 2):

Risikowert = Auswirkung × Durchführbarkeit des Angriffs

Da die Beteiligten Risiken unterschiedlich bewerten können, müssen wir für jeden Beteiligten einen anderen Risikowert ansetzen.

Mit diesem Schritt wird das Ziel 3 erreicht: die Ermittlung des Risikowertes.

Die Hersteller haben mehrere Möglichkeiten, mit den Risiken umzugehen:

• Vermeidung 
• Senkung 
• Weitergabe oder Übermittlung an Dritte 
• Akzeptanz 

Eine geeignete Methode zur Risikominderung ist die Festlegung einer Sicherheitskontrolle (technisch oder organisatorisch) oder die Einführung von Redundanz. An einer Risikoübertragung interessierte Drittparteien sind Versicherungsgesellschaften. Entscheiden Sie, wie Sie mit dem Risiko umgehen wollen.

Die Wirksamkeit einer Cybersicherheitskontrolle zu bestimmen, kann schwierig sein, ist aber eine der wichtigsten Aufgaben bei der Risikobewertung.

Die Cybersicherheitsziele und -forderungen ergeben sich aus den Ergebnissen der TARA und Ihren Entscheidungen über den Umgang mit den Risiken. Wenn Sie beschließen, ein Risiko zu vermeiden, können Sie eine alternative technische Lösung in Betracht ziehen.

Die Cybersicherheitsziele bilden Ziel 4 der TARA.

Das Cybersicherheitskonzept leitet sich von den Cybersicherheitszielen ab und beschreibt, wie die Cybersicherheitsziele in die Praxis umgesetzt werden können. Leiten Sie die Anforderungen aus den Zielen ab und ordnen Sie diese Ihrer Architektur, den relevanten Komponenten Ihrer Systeme und Ihrer Organisation, zu. Das Cybersicherheitskonzept beinhaltet diese Anforderungen und ihre Zuordnung zur Architektur.

Mit den Cybersicherheitskonzepten wird Ziel 5 erreicht: Erfassung aller Cybersicherheitsanforderungen und deren Zuordnung.

Dies sind die wesentlichen Schritte zur Durchführung einer TARA gemäß den Anforderungen der ISO/SAE 21434. Diese Norm erwartet von den Herstellern, dass sie regelmäßig eine TARA durchführen.