Zertifizierung für sichere Cyber-Physikalische Systeme

Transkript

1 Zertifizierung für sichere Cyber-Physikalische Systeme Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund

2 Steigende Bedeutung von Zertifizierungen für Cyber-Physikalische Systeme Beispiele: Gesundheit: Medizinproduktegesetz (MPG) Pharma: Arzneimittelmarktneuordnungsgesetz (AMNOG) Branchenunabhängig: IT-Sicherheit (BSI-Grundschutz) Ggf.: Bundesdatenschutzgesetz (BDSG) (bei Verarbeitung personenbezogenen Daten) 2

3 Herausforderung Zertifizierungsmanagement Steigende Anzahl / wechselseitige Abhängigkeiten von Vorgaben. Zertifizierungen regelmäßig wiederholen => Analyse der Änderungen Erforderliche Daten schwer manuell erfassbar => automatisieren. Prüfung einzelner Eigenschaften bereits so komplex / umfangreich, dass manuell nicht durchführbar => Werkzeuge benötigt. Aggregation verschiedener Vorgaben bei komplexen IT-Systemen. Verteilung von Unternehmen über verschiedene Standorte Anbindung von Produkten von Zulieferern 3

4 Werkzeuggestütztes Zertifizierungsmanagement Werkzeugunterstützung für Zertifizierungsmanagement benötigt. Ziele: Bessere Überprüfbarkeit / Nachvollziehbarkeit der Zertifizierung. Kostenersparnis durch Integration mit Qualitätssicherungsaktivitäten. Idee: Unterstützung der Zertifizierung durch vorhandener Artefakte: automatisierte Analysen auf Basis von Textdokumenten, Software- und Systemmodellen, Log-Daten, Quellcode u.a.. => Expertensystem für Zertifizierung Zertifizierungs- Report Compliant: NEIN Verstöße: - Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M

5 Zertifizierungsmethodik: Überblick Abstrakte Gesetze und Regularien MPG GMP AMNOG Konkrete Sicherheits- Bestimmungen ISO 2700x BSI-Grundschutzhandbuch Werkzeuge Risk Finder Compliance pattern analyzer 5

6 Grundlage: Modellbasiertes Zertifizierungsmanagement Anforderungen Code-/ Testgen. Modelle Analysieren Reverse Engin. Implementierung Generieren Verifizieren Ausführen Evolution Konfiguration Einfügen Konfigurieren Laufzeitsystem [Jan Jürjens: Secure systems development with UML. Springer Chines. Übers. 2009] 6

7 Werkzeugunterstützung: Workflow [ CARiSMA Zertifizierungsdaten 7

8 Re-Zertifizierung bei Systemänderungen Bei Systemänderungen: Dokumentation und Implementierung konsistent halten, geändertes Modell re-verifizieren. Dafür änderungsbasierte Analyse im Werkzeug => erheblicher Effizienzgewinn. 8

9 Zusammenfassung: Zertifizierung für sichere Cyber-Physikalische Systeme Problem: Zertifizierung cyber-physikalischer Systeme zunehmende Herausforderung. Lösung: Automatische Werkzeuge: Unterstützung der Zertifizierung auf Basis von relevanten Artefakten (Textdokumente, Software-/ Geschäftsprozess-Modelle, Log-Daten, Quellcode) Unterstützung des Zertifizierungsprozesses Effiziente Rezertifizierung nach Systemänderung. Erfolgreicher Praxiseinsatz. Kontakt: Prof. Jan Jürjens, 9

10 10

11 Werkzeuge für Zertifizierungs-Management Manueller Nachweis aufwendig und kostenintensiv. Großer Bedarf an Werkzeugen zur Prüfung / Verwaltung Werkzeuge: bislang i.w. manuelle Dokumentation von Zertifizierungsprozess. Schwachpunkte: Integration mit IT-Infrastrukturen der Unternehmen für Geschäfts- und Produktionsprozesse (=> Daten z.b. für Nachverfolgbarkeit von Transaktionen / Produktbestandteilen). Überwachung von Compliancevorgaben an IT (z.b. Sicherheit dieser Daten; Schutz personenbezogener Daten (BDSG)). Integration effektiver Kontrollsysteme (Risiken / Missbrauch verhindern). Derzeitige Risiko-Bewertungsmethoden nicht ausreichend. 1 1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security

12 Werkzeugunterstützung Werkzeugunterstützung für: Analyse / Überwachung von Geschäftsprozessen auf Sicherheit und Compliance Möglichkeiten: Business process mining Untersuchung von Log-Daten Business process analysis 12

13 Vorgehen (1): Von Compliance nach IT-Sicherheit MaRisk VA Geschäftsprozess 7.2 (2) Materiell bedeutsame Einzelentscheidungen und Anweisungen von Führungsebenen unterhalb der Geschäftsleitung, die gegen die innerbetrieblichen Leitlinien verstoßen, sind schriftlich zu begründen, zu dokumentieren und der Geschäftsleitung zur Kenntnis vorzulegen. Unterschrift durch Sachbearbeiter Dokumentation über Begründung für eigene Unterschrift schreiben Unterschrift durch Unterschriftsberechtigten Rechtsgültiger Vertrag liegt vor Werkzeug-Repository: formalisierte Compliance-Anforderungen Dann: Begründung für Unterschrift dokumentieren d:unterschrift d:aushändigung Wenn: Ausnahme von innerbetrieblicher Leitlinie Aushändigung des Vertrags Jürjens et al., Journal on Software and System Modeling 10(3): (2011) 13

14 Vorgehen (2): Berücksichtigung von Sicherheitsstandards Werkzeuggestützte Annotation von GP-Modellen mit Risiken anhand des BSI-Grundschutzkataloges: Jürjens et al., Requirements Engineering Journal 15(1): (2010) 14

15 Vorgehen (3): Modell-basierte Compliance-Analyse Strukturanalyse eines Geschäftsprozesses auf Basis von Compliance- Mustern Beispiel: Für jedes Auftreten eines Vertragsabschlusses wird 4-Augen-Prinzip überprüft. Jürjens et al., Int. Journal on Intelligent Systems 25(8): (2010) 15

16 Vorgehen (4): Log-Daten-basierte Compliance-Analyse Beispiel: Überprüfung des 4-Augen-Prinzips anhand folgender Informationen: Request Ids stimmen überein Owner sind verschieden Auftrag wurde zum selben Zeitpunkt freigegeben Jürjens et al., Journal on Computers & Security 29(3): (2010) 16

17 Business Process Mining Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden A X C B Process ID Activity ID Consultant Time Stampe Ereignis- Daten 1 A John : A Mike : B Mike : C Carol :18.25 ERP SCM WfMS... CRM 17

18 Text-basierte Identifikation von Sicherheits- / Compliance-Risiken Ein neuer Klient kommt in ein Versicherungsbüro der privaten Krankenversicherung Gesundheit & Co zu einem Versicherungsagenten (VA) mit dem Ziel, eine neue, private Krankenversicherung abzuschließen. [ ] Der VA erfragt zuerst die Daten des Klienten; dies sind Name, Vorname, Geburtsdatum, Adresse, Bruttogehalt und den bisherigen Versicherungsstatus. Die Daten gibt der VA in seinen Computer ein, nachdem er ein entsprechendes Programm aufgerufen hat. Die Software berechnet nun aufgrund der eingegebenen Daten ein neues Versicherungsangebot. Dabei wird auch überprüft, ob sich der Klient überhaupt privat versichern darf. Hierzu wird eine Überprüfung durchgeführt; beträgt das Bruttoeinkommen mehr als Euro, so ist eine private Versicherung möglich, andernfalls nicht. Weiterhin wird eine Auskunft von der Schufa eingeholt. Hierzu wird mit dem Schufa-Server kommuniziert. Dabei werden die nötigen Daten Name, Vorname, Geburtsdatum übermittelt. Der Schufa-Server liefert als Antwort eine Zahl (Wertebereich 1 bis 10). Liegt die Zahl unter 5, so steht dem Abschluss einer Versicherung nichts mehr im Wege. Andernfalls ist kein Versicherungsabschluss möglich. [...] Der Klient prüft sie und unterschreibt. Die Antragsformulare werden zentral gesammelt und später an die Zentrale gefaxt. Aus Datenschutzgründen dürfen die Unterlagen niemals länger als zwei Stunden auf dem Sammelplatz liegen. In der Zentrale werden sie bearbeitet und die Versicherungspolice wird nach zwei Tagen an den Klienten geschickt. Risikobewertung [...] 18

19 Ausgabe/Ergebnis Relevante Pattern je Aktivität Grobe numerische Bewertung der Relevanz Aktivität [Kunde benötigt Cloud-Service (233)] 4 Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0), Internet(100.0)] 22 relevante Pattern: B_5.10 : Internet Information Server (300.0) G_2.96 : Veraltete oder falsche Informationen in einem Webangebot (200.0) G_3.13 : Weitergabe falscher oder interner Informationen (200.0) G_3.44 : Sorglosigkeit im Umgang mit Informationen Identifizierte (200.0) Ausdrücke [Dienstleister erhält Serviceanfrage (600)] 7 Relevante Worte: [Dienstleister(500.0), (500.0), Information(100.0), Internet(100.0), Service(100.0), Zulieferer(100.0), extern(100.0)] 16 relevante Pattern: Gefundene G_1.19 : Ausfall eines Dienstleisters oder Zulieferers (600.0) G_2.84 : Unzulängliche Pattern vertragliche Regelungen mit einem externen Dienstleister (600.0) [Kunde gibt Daten ein (667)] 19 Relevante Worte: [Daten(500.0), Datei(200.0), Information(200.0), Meldung(200.0), Nachricht(200.0), 59 relevante Pattern: M_2.205 : Übertragung und Abruf personenbezogener Daten (700.0) M_4.64 : Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen (700.0) B_1.15 : Löschen und Vernichten von Daten (600.0) G_2.61 : Unberechtigte Sammlung personenbezogener Daten (600.0) G_4.13 : Verlust gespeicherter Daten (600.0) 19 19

20 Textbasiertes Risiko-Mining: Experimentelle Resultate Industrielle Anforderungsdokumente Common Electronic Purse Specifications (epurse) Customer Premises Network specification (CPN) Global Platform Specification (GPS) Metriken für Information Retrieval: Recall: Trefferquote Precision: Genauigkeit F-Measure: Kombination P&R Baseline: Alle Anforderungen als security relevant klassifiziert K. Schneider, E. Knauss, S. Houmb, S. Islam, J. Jürjens: Enhancing Security Requirements Engineering by Organisational Learning. In: Requirements Engineering Journal (REJ) 20

21 Beispielergebnis: Abbildung MA-Risk VA auf Sicherheitsanforderungen Framework zur Abbildung von regulatorischer Compliance auf Security Policies Berücksichtigung von Cross-References ausgehend von MA-Risk VA 21

22 Textprocessors 22 22