Beschreibung
Ziel einer Security-Risiko-Analyse ist es, Anforderungen an ein System und Maßnahmen an die Entwicklung/ den Betrieb aus Security-Sicht abzuleiten. Verschiedene Normen beschreiben hierfür meist sich ähnelnde Vorgehensmodelle. Präsentiert wird ein Überblick bestehender Normen (z.B. BSI, NIST, 27k, 62443). Ist das Vorgehensmodell eimal klar, Assets und Schutzziele definiert, das System strukturiert, benötigt man Gefahren und Bedrohungsmodelle, um auf die relevanten Risiken und deren Bewertung zu kommen.
Anhand eines praxisorientierten Vorgehens basierend auf der IEC 62443-3-2 wird die Durchführung einer Security-Risiko-Analyse vorgestellt. Hierbei wird auf die Nutzung existierender Datenbanken und Standards zur Berücksichtigung bekannter Bedrohungen, Gegenmaßnahmen und Risikoeinschätzung eingegangen. Im Verlauf der Analyse werden im Safety-Bereich bewährte Methoden für Security adaptiert. So wird z.B. der Aufbau und die Durchführung einer Security-FMEA und einer ATA/ ETA (Attack/ Event Tree Analysis) vorgestellt.
Referent*innen
Dr. Thomas Liedtke
Kugler Maag Cie