Die S4 in Florida (USA) ist die weltweit größte Konferenz für OT-Security. Viele neue Ideen und große Neuerungen werden dort erstmals präsentiert. Eine dieser Ideen war in diesem Jahr eine kostenlose, frei verfügbare Web-Applikation, mit der Security-Entscheider technische Systeme in wenigen Schritten durchdringen und die wichtigsten Security-Maßnahmen finden können. Als Ergebnis erhalten sie ein „Cyber Decision Diagram“, das auf einer Seite schnell verständlich die wichtigste Systemfunktion, das schlimmstmögliche Ereignis, den wahrscheinlichsten Angriffsvektor und die relevantesten Security-Maßnahmen zeigt.
Die Cyber Decision Diagrams werden von der deutschen Cybersecurity-Firma admeritia entwickelt, bereitgestellt und gepflegt. Sie sind ein Ergebnis des BMBF-geförderten Forschungsprojekt „IDEAS“ zu Security by Design in der Automatisierungstechnik, das im letzten Jahr abgeschlossen wurde.
Das Projekt war auch die Basis für die Dissertation „Cybersecurity Decision Diagrams“ von Sarah Fluchs, IDEAS-Projektleiterin und CTO der admeritia.
Strukturierte Entscheidungsfindung für industrielle Cybersecurity
Website Cyber-Decision-Diagrams.com
Die Cyber Decision Diagrams leiten den Anwender in fünf Schritten zum eigenen Diagramm:
- Das schlimmstmögliche Ereignis in seinem Unternehmen identifizieren,
- die Cyber-Komponente definieren, an der sich dieses Ereignis manifestiert,
- die einflussreichste Funktion dieser Cyber-Komponente modellieren,
- den wahrscheinlichsten Angriffspfad zeichnen und
- die relevantesten Security-Anforderungen im Diagramm kennzeichnen.
Für alle Schritte bietet die Applikation Vorlagen und Beispiele.
Ein Kernidee der Cyber-Diagramme ist der visuelle, funktionsbasierte Ansatz für die Modellierung des zu schützenden Systems. „Das kommt Ingenieuren, die Denken in Funktionen und technischen Zeichnungen gewohnt sind, sehr entgegen”, erklärt Sarah Fluchs, „sie können so effizient ihr wertvolles Wissen in für jedermann einfach verständliche Diagramme gießen.“ Damit kann das Ingenieurwissen, das für informierte OT-Security-Entscheidungen notwendig ist, für Security-Teams zugänglich gemacht werden.
Webbasiert, kostenlos und praxisvalidiert
Die Cyber Decision Diagrams sind als frei zugängliche Webanwendung konzipiert. Sie laufen direkt im Browser und speichern alle Daten ausschließlich lokal im Cache, ohne Nutzeraktivitäten zu verfolgen oder Informationen auf externen Servern abzulegen. Ergebnisse können als PDF exportiert werden. Auch diese werden nicht gespeichert und Nutzer können sie lokal ablegen.
Die Cyber Decision Diagrams kann man auf cyber-decision-diagrams.com erstellen, das eigene Diagramm auch als PDF herunterladen und frei weiterverwenden. „Dear Cybersecurity Community: this is for you”, sagte Fluchs bei der S4, als sie das Tool ankündigte – und die Community scheint es gut anzunehmen. „Wir haben erste Rückmeldungen, dass die Diagramme in Cybersecurity-Trainings und in Entscheider-Meetings mit Erfolg verwendet wurden“, erzählt sie begeistert. „Ich freue mich tierisch über jede E-Mail mit Erfahrungen und erstellten Zeichnungen, die uns erreicht.“
Für Unternehmen, die eine tiefere Integration in bestehende Cybersecurity-Strategien anstreben, bietet admeritia das Security Engineering Tool (SET) als kommerzielle Lösung auf Basis der Cyber Decision Diagrams an.
Weitere Informationen und den kostenlosen Zugang zur Anwendung finden Sie unter:
