Stadt, Land, K-Fall, …?! : Methodik zur Durchführung einer urbanen Cyberrisikoanalyse

Unternehmen und öffentliche Institutionen bauen in Deutschland ihre Cyberrisikoanalysen meist auf Standards des BSI oder der ISO/IEC auf. Gerade für Organisationen, die vorrangig innerhalb Deutschlands agieren, sind die BSI-Publikationen besonders relevant – speziell die Publikationsreihe zum IT-Grundschutz, da sie Methoden und Anleitungen für Unternehmen und öffentliche Institutionen als Unterstützung zur Absicherung der IT-Systeme, Daten und Informationen liefert.

Das internationale Äquivalent, die ISO/IEC-27000-Reihe, bietet mit ihren über 20 Normen ebenfalls eine Reihe von Standards zur Informationssicherheit an: Speziell beschreibt ISO/IEC 27005:2018(E) eine Vorgehensweise für ein Informationssicherheits-Risikomanagement beschrieben. Die ISO/IEC 27005:2018(E) ist dabei ein Anwendungsstandard und beschreibt Aktionen zu den in ISO 31000:2018(en) Risk Management – Guidelines beschriebenen Richtlinien für den zugehörigen Risikomanagement-Prozess. Der Standard bietet eine Orientierung für eine strukturierte, organisationsinterne Risikoanalyse sowie das ihr folgende Risikomanagement (vgl. etwa [1]).

Zusätzlich zu diesen in Deutschland häufig genutzten Standards existiert noch eine Reihe weiterer Risikomanagement-Rahmenwerke: Die europäische Cybersicherheitsagentur ENISA hat aktuell eine Zusammenfassung hierzu veröffentlicht [2] und bietet auch generell auf ihrer Website Hilfestellungen zum Informationssicherheitsrisikomanagement für Organisationen an [3].

Während es zahlreiche Methoden und Rahmenwerke für Organisationen zum IT-Risikomanagement gibt, fehlen doch Ansätze auf einer höheren Organisationsebene, wie einer ganzen Stadt. Diese müssten sowohl Aspekte des IT-Sicherheitsrisikomanagements als auch aus dem Bevölkerungsschutz umfassen. Für Risikoanalysen im Bevölkerungsschutz gibt es seit 2010 einen methodischen Vorschlag des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK), um eine szenarienbasierte Analyse durchzuführen (siehe [4]). Dieses Verfahren fand schon vielfach Anwendung, zuletzt beispielsweise mit dem Szenario „Erdbeben“ – auch das Szenario eines IT-Störfalls wäre hier möglich.

Allerdings bietet der BBK-Ansatz kein systematisches Vorgehen, das kompatibel mit den gängigen organisationsinternen Risikoanalysen wäre und auch deren Wissen sowie eine übergeordnete Sichtweise mit einbezieht. Es bräuchte daher eine Methode, mithilfe dessen man Cybersicherheitsrisiken für eine Kommune, eine Stadt, ein Bundesland, Land oder ein Staatenverbund systematisch analysieren könnte. Diese müsste breit anwendbar sein und gleichzeitig spezifische Risiken identifizieren können – ähnlich der im National Infrastructure Protection Plan (NIPP) der USA schon 2006 ([5], siehe auch www.dhs.gov/nipp) vorstellten Methode einer Risikoanalysemethode für Einrichtungen, Systeme, Netzwerke, einzelne Sektoren sowie auch für ein sektorübergreifendes und internationales Level.

Im Zuge einer Literaturrecherche durch das Digital Society Institute wurden zahlreiche Datenbanken umfassend durchsucht. Und obwohl Cyberrisiken in der Wissenschaft präsent sind, gibt es kein Modell und keinen Modellvorschlag für eine systematische Analyse von Cybersicherheitsrisiken für eine Stadt, eine Kommune, ein Land oder einen Staatenverbund wie die Europäische Union. Daher wurde das im Folgenden vorgestellte Modell einer Cyberrisikoanalyse für eine Stadt entwickelt. Motivation für ein spezifisch urbanes Modell ist zum einen die besonders hohe Vernetzung innerhalb einer Stadt und zum anderen die iterative Entwicklung im Zusammenhang mit der Methodenanwendung auf Berlin.

Eine neue Methode: UCR

In den künftig stetig vernetzteren, komplexeren Strukturen einer Stadt ist die systematische Erfassung von Risiken besonders wichtig, da das Potenzial der Schädigung im Falle einer Störung von zentraler IKT-Infrastruktur besonders hoch ist. Außerdem werden Cyberrisiken auf der UR Europe Conference (https://understandrisk.org/event/ur-europe/) neben Pandemien oder extremer Hitze in Europa als ein zentrales Zukunftsrisiko klassifiziert – damit würden sie auch eine gesellschaftliche Bedrohung darstellen [6].

Städte, die gleichzeitig Bundesländer sind, können mithilfe dieser Methode ihrer Verantwortung für die Katastrophenschutzvorsorge besser nachkommen – um katastrophale Folgen aus IT-Störfällen für ein Land zu vermeiden, müsste es Risiken strukturiert eruieren und behandeln. Mithilfe der Methode würden zudem Public-Private-Partnerships entwickelt und gestärkt.

Ihre Urheber haben die neue Methode „Urbane Cyberrisikoanalyse“ (UCR) getauft – definiert als Methode zur Erfassung und Evaluation der Cybersicherheitsrisiken, die eine Stadtgesellschaft negativ beeinträchtigen könnten. Mithilfe einer UCR lassen sich Risiken strukturiert erfassen, bewerten und evaluieren, um darauf anschließend Risiko-Mitigationsmaßnahmen aufzubauen.

Methodische Anlehnung an ISO/IEC 27005

Die Schritte der UCR können sich an ISO/IEC 27005 anlehnen, müssten allerdings abgewandelt werden: Während im Standard eine Organisation das Objekt der Betrachtung ist, ist das bei einer UCR eine Stadt. Daraus folgt eine veränderte Vorgehensweise, die im Folgenden genauer beschrieben wird. Die Risikobehandlung der Stadt erfolgt aufbauend auf einer UCR. Falls die Analyse noch nicht aussagekräftig genug für die Priorisierung und Behandlung der Risiken war, würde man sie einfach mit Anpassungen noch einmal wiederholen.

Abbildung 1 veranschaulicht die methodische Vorgehensweise der UCR: Im Prinzip werden die IT-Risiken für eine Stadt erfasst, indem man zuerst erörtert, was für sie eine Cyber-Bedrohung ist, welche Schutzmaßnahmen vorhanden sind und wo Schwachstellen liegen. Anschließend werden die Risiken evaluiert und man kann Priorisierungen treffen, um im nächsten Schritt die Behandlung der Risiken anzuschließen.

UCR-Rahmenbedingungen

Initiiert würde die Analyse von der für Cybersicherheit und bestenfalls auch für den Katastrophenschutz zuständigen Behörde. Im ersten Schritt der UCR würden von ihr die Rahmenbedingungen festgelegt: Dazu zählen die Basiskriterien, der Anwendungsbereich sowie die Einbindung von Akteuren. In diesem Zusammenhang ist es auch wichtig, den genauen Grund der Risikoanalyse zu bestimmen – beispielsweise: IT-Sicherheitslage und damit einhergehende Bedrohungen für die Versorgungssicherheit

Vorbereitung eines Business-Continuity- oder Countrywide-Continuity-Plans Vorbereitung eines landesweiten Incident-Response-Plans Festlegung von Mindestanforderungen der Informationssicherheit für spezielle Infrastrukturen

Basiskriterien

Die Basiskriterien für die Risikoevaluation lassen sich vom Schutzziel ableiten: Schutzziele der IT-Sicherheit sind die Aufrechterhaltung der Integrität, Verfügbarkeit und Vertraulichkeit von Informationssystemen. Für eine UCR sind sinnvolle Schutzziele die Gewährleistung der Versorgungssicherheit sowie Sicherheit und Ordnung in Zusammenhang mit den IT-Schutzzielen (Vertraulichkeit, Integrität und Verfügbarkeit) zu bringen. Demnach müsste mittels einer UCR das Risiko vermindert werden, dass ein IT-Störfall die Versorgungssicherheit oder Sicherheit und Ordnung der Bevölkerung gefährden könnte.

Dieses Schutzziel ergibt sich aus der Definition besonders schützenswerter kritischer Infrastrukturen (KRITIS) – gemäß der Definition aus der KRITIS-Strategie von 2009: „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ [7]. Die Kritikalität ist ein „relatives Maß für die Bedeutsamkeit einer Infrastruktur in Bezug auf die Konsequenzen, die eine Störung oder ein Funktionsausfall für die Versorgungssicherheit der Gesellschaft mit wichtigen Gütern und Dienstleistungen hat“.

Gemäß der KRITIS-Strategie gelten Infrastrukturen „als ‚kritisch‘, wenn sie für die Funktionsfähigkeit moderner Gesellschaften von wichtiger Bedeutung sind und ihr Ausfall oder ihre Beeinträchtigung nachhaltige Störungen im Gesamtsystem zur Folge hat“. Schlussfolgernd wäre es Ziel einer UCR den Schutz einer Stadt vor den Auswirkungen von Beeinträchtigungen ihrer kritischen Informations- und Operationssysteme zu erhöhen.

Anwendungsbereich

Der Anwendungsbereich der Analyse ergibt sich ebenfalls aus der KRITIS-Definition. Zudem sollte man hier auch weitere gesetzliche Rahmenbedingungen (z. B. IT-Sicherheitsgesetze) einbeziehen, woraus sich gegebenenfalls weitere Sektoren ableiten lassen, welche die Analyse einschließen sollte.

Einbindung von Akteuren

Außerdem wären vorab Akteure zu identifizieren, die einbezogen werden sollten. Zum einen sind das die IT-Sicherheitsverantwortlichen oder im Falle ihrer Nicht-Existenz die IT-Verantwortlichen in den Organisationen, die kritische Dienstleistungen für die Stadt erbringen – zum anderen Aufsichts- und Sicherheitsbehörden.

Teilweise könnten auch Verbände einbezogen werden. Die Identifikation der einzubeziehenden Organisationen steht zwar prinzipiell erst im nächsten Schritt an, ließe sich allerdings auch schon hier in einer ersten Festlegung potenziell wichtiger Organisationen bewerkstelligen.

Datenerhebung

Die Datenerhebungsmethode ist abhängig von der gewählten Risikobewertungsmethode. Laut Tobias Ackermann gibt es drei Methoden zur Risikoidentifikation [8]:

• Datenerhebungs-Methoden (z. B. Checklisten, Expert:inn:en-Interviews)
• Kreativ-Methoden (z. B. Brainstorming, Delphi-Methode, Design-Thinking),
• analytische Methoden (z. B. Pen-Testing, Attack-Trees)

Zu Datenerhebungsmethoden zählen beispielsweise Checklisten oder Expert:inn:en-Interviews, die Daten anhand einer vordefinierten Liste oder eines Fragebogens sammeln – die Risiken müssten hierbei schon überwiegend bekannt sein. Eine andere Methode wäre die Analyse von Vorfällen, um herauszufinden, welche Risiken welche Einrichtung traf oder treffen könnte. Analytische Methoden nutzen die bestehende IT-Infrastruktur und ihre technische Charakteristik, um Bedrohungen und Schwachstellen, beispielsweise mittels Pentesting, zu finden oder zu clustern.

Kreativ-Ansätze lassen sich hingegen nutzen, um künftige unvorhersehbare Risiken zu antizipieren, da beispielsweise Brainstorming- oder Delphi-Methoden auf Prozessen basieren, in denen unterschiedliche Menschen mit divergierenden Interessen und Erfahrungshintergründen
zusammenkommen.

Für eine UCR sollte man idealerweise alle drei Methoden entlang definierter Prozessschritte zur Risikoidentifikation kombinieren, um einen detaillierten und umfassenden Überblick zu erlangen. Analytische Methoden sind dabei allerdings auf Organisationsebene anzusetzen, weswegen ihre Ergebnisse nur sekundär (im Zuge der Auswertung der Betreiberbefragung) in die UCR einfließen können.

Risikoanalyse

Wurde der Rahmen festgelegt, beginnt die eigentliche Analysephase: Risiken werden identifiziert, bewertet und evaluiert. Vorab sollte man entscheiden, ob die Risikobewertung quantitativ, teilweise quantitativ oder qualitativ erfolgen soll. Für eine Bewertungsmethode kann man sich an den Beispielen der ISO/IEC 27005 orientieren, wo im Annex E auch zwei Methoden auf Organisationsebene detaillierter beschrieben sind – dazu gehört die Informationssicherheitsanalyse auf hohem Level und die „detaillierte Analyse“, die sich mithilfe von Skalenwerten und einer Risikomatrix auswerten ließe.

Auf Grundlage der Datenerhebungs- und Risikobewertungsmethode kann man die Auswahl der Akteure und die Art ihrer Einbeziehung abschließend entscheiden.

Risikoidentifikation

Eine detaillierte Risikobetrachtung kann angelehnt an ISO/IEC 27005 in fünf Schritten erfolgen:

• Identifikation der Sektoren, Organisationen und Einrichtungen
• Identifikation der Bedrohungen
• Identifikation der Schwachstellen
• Identifikation der Schutzmaßnahmen
• Identifikation der Auswirkungen

Wesentlicher Unterschied zum Standard ist hier die Identifikation der Sektoren, Organisationen und Einrichtungen: Innerhalb einer Organisation würden die „Assets“ in diesem Teil identifiziert, während die UCR aus der Perspektive einer Stadt erfolgt und daher auch sektorale, branchenspezifische oder Risiken aufgrund starker einseitiger Abhängigkeiten einer Organisation einbeziehen sollte. Ratsam ist, die UCR dreimal durchzuführen: In einem Durchgang würden die Sektoren betrachtet, in einer weiteren die Organisationen und in einer noch detaillierteren UCR die Einrichtungen (Anlagen, Systeme oder Teile davon).

Während Bedrohungen globaler Natur sind, lassen sich Schwachstellen und Schutzmaßnahmen nur lokal bewerten – hier bewirkt die Betrachtungsebene daher ein unterschiedliches Vorgehen gegenüber dem Standard. Die Identifikation der Schwachstellen und Schutzmaßnahmen müsste drei Perspektiven einnehmen: erstens die Identifikation auf Meta-Ebene aus der Perspektive einer Stadt, dann die Makro-Ebene aus der Perspektive einer Organisation sowie drittens die Mikro-Ebene aus einer rein technischen Perspektive. Diese drei Perspektiven ergeben zusammen einen Eindruck, inwiefern sich Schwachstellen und Schutzmaßnahmen auf Organisationsebene auf das Meta-Schutzziel auswirken können: Auswirkungen könnten entweder nur die Makro-Ebene treffen oder eben auch die Meta-Ebene und damit das Schutzziel der Stadt negativ beeinflussen.

Risikobewertung

Die ISO versteht ein Risiko als die „Auswirkung von Ungewissheit auf Ziele“. Häufig zieht man auch die Formel von Barry W. Boehm heran [9]: „Risk Exposure (RE) is the probability (P) of an unsatisfactory outcome (UO) times the loss (L) to the parties if the outcome is unsatisfactory“ – oder kurz RE = P(UO) × L(UO). Wie schon im Abschnitt zu den Rahmenbedingungen angesprochen, existieren unterschiedliche Methoden zur Bewertung von Risiken. Welche Risikobewertungsmethode zur Evaluation herangezogen wird, ist abhängig vom vorhandenen Datensatz und dem Ziel der Analyse. Beginnen könnte man in einer UCR mit einer qualitativen Betrachtung der Risiken – diese wird meist genutzt, um die größten Risiken zu identifizieren und einen ersten Eindruck zu gewinnen.

Möglich wäre es auch, im Risikobewertungsteil eine Teilquantifizierung vorzunehmen: Dazu würden diejenigen Bedrohungen herausgenommen, die aktuell am größten erscheinen. Betrachtet würde dann, welche Schwachstellen diese Bedrohungen ausnutzen könnten, um zu einer Beeinflussung des Schutzziels zu führen. Falls vorhandene Schutzmaßnahmen die Bedrohung nicht davon abhalten würden einen Schaden anzurichten, würde man das Szenario anschließend mittels Größe der Auswirkung und Wahrscheinlichkeit des Eintreffens einschätzen. Vorab wären dazu noch Sektoren, Organisationen oder Einrichtungen anhand ihrer Kritikalität und den Erkenntnissen aus der Risikoidentifikationsphase zu bewerten.

Risikoevaluation

Der letzte Schritt dient der Feststellung, welche Bedrohungen, Schwachstellen oder Risiken priorisiert behandelt werden sollten. Hier könnte zum Beispiel – aufbauend auf der Risikobewertung – eine Liste mit Risiken entstehen, die nach Prioritäten der Behandlung sortiert wäre. Falls die Risikoanalyse jedoch kein adäquates Ergebnis für das Risikomanagement liefert, wären entweder in den Basiskriterien oder einem anderen Prozessschritt Modifikationen vorzunehmen.

Fazit

Die UCR ist ein Instrument zur Erhöhung der Resilienz einer Stadt gegenüber Cyberrisiken. Eine Stadtverwaltung könnte mit der Anwendung der Methode einen verbesserten Überblick über die Risiken bekommen, die von einem IT-Störfall ausgehen. Aufbauend auf die Analyse ließen sich Risiken anschließend zur Behandlung priorisieren. Die Methode orientiert sich in ihrer Vorgehensweise am Anwendungsstandard für ein organisationsinternes Risikomanagement ISO/IEC 27005, doch verändert sie die im Standard beschriebenen Handlungsschritte so, dass sie auf eine größere Organisationseinheit, in diesem Fall eine Stadt, anwendbar sind.

Durch die detaillierte Identifikation der Bedrohungen, Schwachstellen und Schutzmaßnahmen ist es möglich, in jedem dieser Schritte anschließend Risiko-Mitigationsmaßnahmen aufzubauen. Zudem unterstützt die Perspektiven-Teilung bei der Zuordnung von Maßnahmen entweder unter die Verantwortung einer Stadt oder eines KRITIS-Betreibers. Zudem wird ersichtlich, wie sich IT-Störungen der KRITIS auf eine Stadt auswirken könnten und auf welcher Ebene prioritär agiert werden müsste, um diese Störungen zu minimieren.

Die beschriebene Methode wurde iterativ entwickelt und zum ersten Mal in einem Forschungsprojekt des Digital Society Institute der European School for Technology und Management (ESMT) Berlin im Auftrag des Lands Berlin auf die Stadt beziehungsweise das Land Berlin angewendet. Die Tiefe der Analyse und die Art der Risikobewertung können, wie im Abschnitt zu Prozessschritten beschrieben, variieren. Ein gleichartige Analyse ließe sich auch auf der Ebene von Kommunen, anderen Bundesländern, Ländern oder Staatenverbunden übertragen.

Lola Attenberger ist Forscherin und Projektleiterin am Digital Society Institute der European School for Technology und Management (ESMT) in Berlin.

Literatur

[1] Sebastian Klipper, Information Security Risk Management, Risikomanagement mit ISO/IEC 27001, 27005 und 31000, Springer Vieweg Ed. <kes>, Februar 2015, ISBN 978-3-658-08773-9, https://doi.org/10.1007/978-3-658-08774-6
[2] European Union Agency for Cybersecurity (ENISA), Compendium of Risk Management Frameworks with Potential Interoperability, Report, Januar 2022, www.enisa.europa.eu/publications/compendium-of-risk-management-frameworks
[3] European Union Agency for Cybersecurity (ENISA), Risk Management, Portalseite, www.enisa.europa.eu/topics/threat-risk-management/risk-management/
[4] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Risikoanalysen Bund und Länder, Portalseite,
www.bbk.bund.de/DE/Themen/Risikomanagement/Risikoanalysen-Bund-Laender/risikoanalysen-bundlaender_node.html
[5] US Department of Homeland Security, National Infrastructure Protection Plan, Juni 2006, https://irp.fas.org/agency/dhs/nipp.pdf
[6] Cristina Stefan, Rosmarie DeWit, Mark Gallivan, Bogdan Carlescu, Assessing and managing the threat of emerging risks (cyber threats, pandemics, extreme heat), in: Understanding Risk Europe, Innovate for Resilience, Proceedings from the 2019 UR Europe Conference, April 2020, www.gfdrr.org/en/publication/understanding-riskeurope-proceedings
[7] Bundesministerium des Innern und für Heimat (BMI), Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), Juni 2009, www.bmi.bund.de/Shared-Docs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis.html
[8] Tobias Ackermann, IT Security Risk Management: Perceived IT Security Risks in the Context of Cloud Computing, Springer Vieweg, Dezember 2012, ISBN 978-3-658-01114-7, https://link.springer.com/book/10.1007/978-3-658-01115-4
[9] Barry W. Boehm, Software risk management: principles and practices, in: IEEE Software, Vol. 8 No. 1, S. 32, Januar 1991, https://doi.org/10.1109/52.62930