Fehlerursachen als Risiko

Cybersecurity-Experte Bob Griffin sprach am renommierten Alan Turing Intitute über Sicherheitsanalytik und den Umgang mit Risiko.

Kürzlich sprach ich, an einem vom  Alan Turing Institute organisierten Workshop, in London. Mein Ziel war es, die Bereiche rund um Cybersicherheit zu bestimmen in denen größere Forschungsarbeit nötig ist. Obwohl ich mich auf Sicherheitsanalytik konzentrierte, referierte ich auch über die Dringlichkeit, effektivere Modelle für das Verständnis und den Umgang mit Risiko zu entwickeln. Ich bezog mich dabei auf die Arbeit, die wir im von der EU finanzierten SPARKS Projekt leisten, insbesondere unsere Bedrohungs- und Risikoanalysen (Threat and Risk Assessment Methodology document (D2.2)) sowie unsere Beiträge in STAMP/STPA methodologies. Ich erwähnte aber auch neuere Entwicklungen in der operativen Risikobewertung im speziellen die Unterstützung von Verlustereignis-Modellen in RSA Archer 6.0.

Auf dem Rückflug in die Schweiz habe ich den Workshop Revue passieren lassen. Dabei ist mir das große Bedürfnis nach dem Forschungsschwerpunkt Sicherheitsanalytik aufgefallen. Dieser umfasst Bereiche wie die vereinfachte Aufnahme von äußerst verschiedenen Datenspeichern, eine kontinuierliche Entwicklung von Algorithmen für die Erkennung von Mustern und von Anomalien, sowie Verbesserungen bei der Visualisierung, beim Zusammenstellen von Kontext, bei der Evaluierung von kritischen Momenten und weitere Bereiche. Diese führen zu effektiven Erleichterungen für den Nutzer. Weitaus weniger Beachtung fand der Forschungsschwerpunkt Risiko, der für die IT-Industrie ebenso unentbehrlich ist.

Die gleiche Lücke war mir zu Beginn des Workshops in einer Präsentation zum Thema pharmazeutische Industrie aufgefallen. In diesem Vortrag wurde das Risiko-Management – vor allem im Sinne einer asset value methodology, einer Vermögensbestimmung –als ausgereiftes, etabliertes Wissen gesetzt. Die Risiko-Evaluierung wurde in einem Wahrscheinlichkeit/ Wirkung-Schaubild dargestellt. Das wiederum sollte dazu dienen, herauszufinden, welche Informationswerte man zuerst schützen sollte und welche Werte erst später.

Cyberangriff auf ein Stahlwerk

Mir ist aufgefallen, dass die Konzentration auf den Substanzwert andere Risiko-Aspekte vernachlässigt wurden, welche man ebenfalls beachten sollte. Etwa die Zerstörung von Produktionsbetrieben, die Integrität von operativen Daten, die Verfügbarkeit wichtiger Dienstleistungen und anderen Bedrohungen, die nicht direkt mit dem Informationswert zusammenhängen, sondern mit dem Ausmaß des Verlustes, vor allem von operativen Fähigkeiten. Im SPARKS-Projekt haben wir erkannt, dass die Zerstörung von Leistungsvermögen ein wichtiges Anliegen sein muss.

Es ging nicht nur um Störungen im Smartgrid, sondern auch um Störungen bei der Produktion, der Telekommunikation, bei den finanziellen Dienstleistungen, in elektronischen Staatsgeschäften und weiteren Bereichen. Der DDoS-Angriff neulich auf die 13 wichtigsten Root-Nameserver, welcher den Internetverkehr weltweit verlangsamte, ist nur das aktuellste Beispiel für solche Attacken, welche unter anderem die Ölproduktion im Nahen Osten, die elektrische Energieversorgung in Pakistan und die Stahlproduktion in Deutschland getroffen haben.

„Die Wirklichkeit besteht aus Kreisen, doch wir sehen gerade Linien…“

Das Thema „Risiko“ kam leider viel zu kurz im Workshop. Ich denke, man kann zusätzlich nach Fehlerursachen in weiteren Bereichen suchen und dabei die Strategie der Angreifer und ihre Motivation für den Angriff selbst analysieren. Man kann auch die Schwierigkeit des Angriffs, das Risiko entdeckt zu werden und die sozialen und psychologischen Antriebe erforschen. Doch alle diese Ansätze tendieren dazu, Ereignisse und Handeln linear zu betrachten. Peter Senge hat es vor 25 Jahren so formuliert: „Die Wirklichkeit besteht aus Kreisen, doch wir sehen gerade Linien…Unsere gewohnte Sehweise produziert fragmentierte Ansichten und kontraproduktives Handeln“. (The Fifth Discipline, Seite 73)

Senge, The Fifth Discipline, Seite 393
Senge, The Fifth Discipline, Seite 393

Es ist eine große Stärke der Verlustereignis-Methodik, wie der STAMP/STPA methodology wie sie von MIT-Professorin Dr. Nancy Leveson vertreten wird, dass sie eine möglichst breite Palette von Risiko-Ursachen bei einem bestimmten Ereignisverlust-Szenario in Betracht zieht. In ihrem Buch Engineering a Safer World beschreibt Leveson ausführlich einen Fall aus der pharmazeutischen Industrie; sie bezieht sich dabei auf eine Analyse von Matthieu Couturier. Es geht um den finanziellen Verlust und die Rufschädigung, die das Unternehmen Merck mit der Einführung und der Rücknahme von Vioxx erlitten hatte (Engineering a Safer World, Seite 239).

Der Rückruf von Vioxx erfolgte nicht aus technologischen Gründen oder wegen einer feindlichen Manipulation von Information oder von Prozessen. Vielmehr zeigt die Analyse einen Zusammenhang zwischen mangelhaften Kontrollstrukturen für Medikamentensicherheit, den Erfordernissen und Beschränkungen der Systemsicherheit, den tatsächlichen Ereignissen und der Systemdynamik, die alle zusammen zu einer Unterdrückung von Arzneimittelversuchsdaten, zu irreführender Konsumenteninformation und schließlich zu verunglimpfenden Angriffen auf einzelne Whistleblowers führten. Das FDA entschloss sich zum Rückruf des Medikaments.

Die Entwicklung effektiverer Risikomethodik bedarf noch großer Anstrengungen. Es war mir wichtig, an der Tagung des Turing Institute über dieses Thema sprechen zu können. Meine Kolleginnen und Kollegen und ich freuen uns, das Gespräch mit Ihnen zusammen im März 2016 am MIT STAMP Workshop fortsetzen zu dürfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.