„Wir wollen Bedrohungsanalysen automatisiert erstellen“
In Unternehmen ist nicht nur die Sicherheit der Büro-IT wichtig, sondern auch die Sicherheit der Produktionsanlagen. Wie Software bei der Anlagensicherheit unterstützen kann, damit beschäftigt sich das it’s OWL Projekt ‚Software-basierte Unterstützung von Security-Risikobeurteilungen in der Industrie (kurz SUSI)‘. Wir haben mit Dimitri Harder, IT/OT-Security-Berater, von der rt-solutions.de GmbH über die Herausforderungen und erste Erkenntnisse des Projekts gesprochen. Zudem erklärt Harder, wie auch andere Unternehmen von den Ergebnissen des Projekts profitieren können.
Welche konkreten Herausforderungen wollen Sie mit dem Projekt in Ihrem
Unternehmen lösen?
Dimitri Harder: Security-Risikobeurteilungen sind zeitaufwändig und kostenintensiv. Täglich kommen neue Bedrohungen hinzu. Deshalb ist die Durchführung der Risikobeurteilung keine einmalige Aufgabe, sie muss ständig aktualisiert werden. Zudem wird ein enormes Fachwissen benötigt, damit Risikominderungen auch dem Stand der Technik genügen. Wir als rt-solutions.de GmbH verfolgen mit dem Projekt einen softwarebasierten Ansatz, der basierend auf einer konkreten Wissensbasis eine erste automatisierte Analyse und Beurteilung durchführt, die von einem Experten-Team verfeinert wird. Dadurch wird der Zeitaufwand der Bedrohungsanalyse reduziert, in dessen Folge auch die Kosten sinken.
Welche ersten Erkenntnisse konnten Sie bereits im Projekt erzielen?
Dimitri Harder: Aktuell befinden wir uns in den letzten Zügen der Anforderungsanalyse. Es wird jetzt schon deutlich, dass standardisierte Prozesse mit maschinenlesbaren Eingangsinformationen benötigt werden, um logische Schlussfolgerungen hinsichtlich der möglichen Risiken zu erzielen. Mit unseren Projektpartnern müssen wir dafür auch die passenden Datenquellen auswählen und ein einheitliches Format für die automatisierte Verarbeitung definieren.
Inwieweit hilft es Ihnen die Herausforderungen im Rahmen eines it’s OWL Projekts zu
lösen?
Dimitri Harder: In der Regel besitzt ein Partner nicht alle Kompetenzen, um eine komplexe Problemstellung angehen und lösen zu können. Die Validierung im realen Anwendungskontext ist eine weitere Herausforderung. Das Projekt SUSI bietet uns hier die richtigen Randbedingungen, unsere Kompetenzen mit denen unserer Projektpartner zu ergänzen, um eine umfassende Lösung zu erarbeiten, die während des Projekts auch in der Praxis erprobt wird.
Wie genau können andere Unternehmen von den Ergebnissen des Projekts
profitieren?
Dimitri Harder: Durch die Öffentlichkeitsarbeit wird es so sein, dass die Projektergebnisse von anderen Unternehmen eingesehen und benutzt werden können. Risikobeurteilungen können dann auch in anderen Industriezweigen kostengünstiger, in einer kürzeren Zeit und mit einer höheren Qualität durchgeführt werden. Es ist vorstellbar, dass Risikobeurteilungen dadurch häufiger angewendet werden und so mittelfristig die Security-Situation allgemein deutlich verbessert wird.