Tag Archives: RoSi

Ransomware in der Automatisierungstechnik. RoSI in der Praxis.

6. Mai 2021

Nach der kurzen Einführung in die Theorie von RoSI nun ein Praxisbeispiel.

Szenario

Ein Unternehmen betreibt an 2 Standorten prozesstechnische Anlagen. Jede Anlage besteht aus 5 Teilanlagen. Insgesamt werden pro Standort 100 Workstations und 20 Server betrieben. Die Standorte sollen im Rahmen eines Digitalisierungsprojektes enger mit der Forschungs- Entwicklungsabteilung sowie den Produktionsplanungssystemen und der Office-Cloud vernetzt werden. Vorab führt das Produktionsmanagement eine Risikoanalyse durch.

Die Risikoanalyse ermittelt ein hohes Risiko in Bezug auf eine Malware-Infektion, die zu einem Stillstand an beiden Standorten führen könnte. Der Produktionsmanager schätzt, dass eine Infektion mit Ransomware im ungünstigsten Fall zu einem Produktionsausfall von 5 Tagen führen könnte. Ein Tag Produktionsausfall kostet das Unternehmen 200T€.

Die Geschäftsleitung macht klar, dass unter der geschätzten Auslastung für die nächsten 36 Monate ein Ausfall von max. 1,5 Tagen pro Jahr akzeptabel ist. Das ermittelte Risiko ist nicht akzeptabel ist. Die OT-Security erhält die Aufgabe, die wirtschaftlich beste Lösung zur Reduktion des Risikos um 70% (von 1Mio. € auf 300T€) zu ermitteln.

Damit sind die Randbedingungen für die RoSI-Betrachtung festgelegt:

KE: Die Kosten des Sicherheitsereignisses KE belaufen sich auf KE = 1 Mio. €.

SR%: Sicherheitsmaßnahme S soll das Risiko um SR% = 70% reduzieren.

KES: Die Kosten des Sicherheitsereignisses sollen reduziert werden auf KES <= 300T€

Design der Maßnahmen

Das Unternehmen setzt in der Produktion noch keine Antimalware-Lösung ein. Zur Risikoreduzierung werden 3 traditionelle Ansätze verfolgt, die auf Sicherheitslösungen beruhen, die vom Hersteller der Automatisierungslösung freigegeben sind.

Alt1: Antimalware-Lösung McAfee Endpoint Protection

Alt2: Antimalware-Lösung McAfee Endpoint Protection plus Microsoft AppLocker

Alt3: Antimalware-Lösung McAfee Endpoint Protection plus McAfee Application Control

Microsoft AppLocker ist eine Application-Directory-Allow-Listing-Lösung, die von vielen Herstellern von Automatisierungslösungen zur Grundhärtung der Systeme empfohlen wird. AppLocker ist seit Windows 7 in der Enterprise-Version des Betriebssystems verfügbar. McAfee Application Control ist eine system-basierte Application-Whitelisting-Lösung, die von vielen Herstellern von Automatisierungslösungen zum Schutz vor bekannter und neuer Malware empfohlen wird. Sie kann auch Crypto-Würmer wie WannaCry und NotPetya, die sich im Systemkontext von System zu System bewegen, abwehren.

Bewertung der Effektivität der Lösungsansätze

IT- und OT-Security führen eine Bewertung der Effektivität der verschiedenen systemtechnischen Ansätze durch. Daraus ergibt sich folgendes Bild:

Bewertung der Effektivität der Lösungen. Zum Vergrößern klicken.

Die klassische Antimalware-Lösung „pattern-based Antivirus“ hat mit 38% eine unzureichende Schutzwirkung, ebenso wie die Lösung „Application Directory Allow Listing“ und die Kombination aus AV.Trad und AWL.DIR.

Die „system-basierte Application-Whitelisting-Lösung“ kommt bereits sehr nahe (64%) an die geforderte Risikoreduzierung SR% = 70% heran.

Die Kombination aus AV.Trad und AWL.SYS kommt am nächsten an die geforderte Risikoreduzierung von 70% heran.

Die Details zur Bewertung stehen hier bereit.

Kostenbetrachtung

Die Kosten aller Lösungen wurden untersucht. Lizenz- und Betriebskosten wurden über einen Zeitraum von 3 Jahren betrachtet. Die Kosten für die Erstinstallation wurden berücksichtigt. Bei den Lizenzkosten wurden Lizenzstaffeln (101-250 Workstations und 26-50 Server) berücksichtigt. Preise wurden per Internet-Recherche ermittelt. Das Kostenmodell steht hier zum Download verfügbar.

RoSI

Die Berechnung von RoSI über 3 Jahre ergibt folgendes Bild:

RoSI der Lösungen im Vergleich. Zum Vergrößern klicken.

Alle Lösungen haben ein positives RoSI. Die Optionen Alt1: AV.Trad und Alt2: AV.Trad + AWL-DIR scheiden aus, da das Restrisiko KES deutlich höher ist als die geforderten 900T€

RoSI: Vergleich der Alternativen. Zum Vergrößern klicken.

Alternative Alt3: Antimalware-Lösung McAfee Endpoint Protection plus McAfee Application Control und McAfee Application Control führen zu einer ähnlichen Risikoreduktion. Alt3 hat jedoch deutlich höhere Kosten.

Für welche Lösung wird sich die Produktionsleitung entscheiden?

Dies ist der letzte Post aus der Ransomware/RoSI-Reihe. Mehr zu RoSI gibt es beim IMI Virtuellen Dialog „Costs and Benefits of Security“ am 11.05.2021. Neben praktischen Anwendungsbeispielen von ABB und Fortinet erweitere ich diese Analyse um eine moderne EDR-Lösung.

Viel Erfolg mit RoSI!

Ransomware in der Automatisierungstechnik. Was ist RoSI?

5. April 2021

Bevor ich weiter auf das Thema Ransomware in der Automatisierungstechnik eingehe, ist eine kurze Einführung in RoSI erforderlich.

Die Return-on-Security-Invest-Methode (RoSI)(1,2) erlaubt analog zur Return-on-Invest-Methode (RoI) eine Bewertung der Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen.

Der RoI zeigt das Verhältnis von erwartetem Gewinn G aus einer Investition und dem dafür eingesetzten Kapital (Kosten) K in einem bestimmten Zeitraum an. Im einfachsten Fall ist der Gewinn G gleich dem Umsatz U, der aus der Investition generiert wird, minus den Kosten K für die Investition: G = U – K

Damit ergibt sich RoI = G / K = U – K / K

Ist der RoI größer Null, so ist die Investition rentabel.

Die Übertragung des RoI-Konzeptes auf IT-Sicherheitsmaßnahmen ist nicht ohne Anpassung möglich. Christian Dreyer machte das Dilemma klar: „Es gibt keinen positiven Nutzen von Sicherheitsinvestitionen. Investitionen in Informationssicherheit vermeiden lediglich Wertabflüsse. Das ist die Crux der ganzen Sache.“ Zitiert aus Stöwer, Wirtschaftlichkeitsbetrachtungen zu IT -Sicherheitsinvestitionen.(3)

Ein Sicherheitsereignis E erzeugt Kosten KE. Da die Kosten KE nicht geplant sind, verringern sie den Gewinn G des Unternehmens. Durch eine Sicherheitsmaßnahme S wird versucht, die Kosten KE des Sicherheitsereignisses um SR% zu verringern. S vermeidet also Kosten KV = KE x SR%. Mit Maßnahme S sind Toolkosten TS verbunden.

RoSI setzt die vermiedenen Kosten KV in Bezug zu den Toolkosten TS:

RoSI = ( KV – TS ) / TS

Solange RoSI einen Wert > 0 hat ist die Sicherheitsmaßnahme S “rentabel”.

Beispiel

Die erwarteten Kosten eines Sicherheitsereignisses werden auf KE = 1,5 Mio. € geschätzt.

Die Sicherheitsmaßnahme S reduziert die Kosten um SR% = 60%. => KV = 900 T€.

Die Toolkosten belaufen sich auf TS = 100 T€.

RoSI = ( KV – TS ) / TS = (900 T€ – 100 T€) / 100 T€ = 800%

Fakten zu RoSI

  • Nach Implementierung der Sicherheitsmaßnahme S reduzieren sich die Kosten KE des Sicherheitsereignisses auf KES = KE – KV.
  • Der Gewinn G des Unternehmens reduziert sich dauerhaft um die Toolkosten TS der Maßnahme S.
  • KE = TS + KES + RoSI
  • RoSI = KV – TS
RoSI

Wann kommt RoSI zum Einsatz?

RoSI sollte spätestens beim Design von risiko-reduzierenden Maßnahmen zum Einsatz kommen. Wurde ein Sicherheitsrisiko identifiziert, das über der Risikotragfähigkeit einer Organisation liegt, so sollten geeignete Maßnahmen ergriffen werden, um das Risiko unter diesen Wert zu reduzieren. Prinzipiell kann damit SR% bestimmt werden.

RoSI Ziele

RoSI dient dazu, verschiedene Sicherheitsmaßnahmen oder -lösungen, die das Risiko um SR% reduzieren können, miteinander zu vergleichen. Das Vergleichskriterium sind die Toolkosten TS. Die Toolkosten sollten über einen Zeitraum von 3 Jahren betrachtet werden. Primäres Ziel ist, eine Lösung zu finden, die RoSI optimiert, also die Toolkosten zu minimieren.

Toolkosten umfassen mindestens die Anschaffungskosten und die Kosten für die Implementierung und den Betrieb der Lösung. Hat die Lösung Auswirkungen auf die Produktivität der Mitarbeiter, so sollten zusätzlich Opportunitätskosten berücksichtigt werden. Zudem sollten Effektivitätsverluste berücksichtigt werden.

Die Implementierungskosten umfassen alle Kosten, die für das Roll-Out der Lösung im Unternehmen erforderlich sind. Ist eine Ramp-up-Phase notwendig, so sollten die Kosten mindestens über die Ramp-Up-Phase plus 3 Jahre betrachtet werden.

Eine Ramp-Up-Phase über mehrere Jahre muss im Detail geplant werden. Bereits im ersten Jahr sollte ein möglichst großer Teil (z.B. 80%) des geplanten Sicherheitsgewinns SR% erzielt werden, damit der erwartete Schaden von Beginn an effektiv reduziert werden kann.

Die Betriebskosten umfassen alle Kosten zur Wartung der Lösung, die Kosten für den Betrieb der Lösungsinfrastruktur und die Personalkosten zum Betrieb der Lösung.

In den Kosten sollten Effektivitätsverluste berücksichtigt werden:

  1. Der geplante Sicherheitsgewinn SR% wird in der Regel nicht erzielt. Das kann technische und organisatorische Ursachen haben. Auf jeden Fall sinkt die Effektivität der Lösung, damit KV und somit RoSI. Dies sollte bereits bei der Auswahl einer Lösung berücksichtigt werden.
  2. Die Effektivität von Sicherheitsmaßnahmen sinkt über die Zeit. Angriffswerkzeuge werden verbessert; neue Schwachstellen werden entdeckt, die die Wirksamkeit der Sicherheitsmaßnahme reduzieren. Ausnahmen müssen zugelassen werden, damit die Produktivität nicht sinkt. Unter Umständen muss nach wenigen Jahren eine weitere Sicherheitslösung implementiert werden, um das Risiko wieder auf den Wert SR% zu reduzieren, was wiederum die Kosten erhöht.

Wichtig! Die Planung und Vorbereitung von Security-Projekten dauert bei Verwendung von RoSI länger, da viele Fragen vorab beantwortet werden müssen, die im Normalfall erst während der Implementierung geklärt werden. Der Vorteil ist, dass die Erfolgsaussichten steigen und teurere Lessons Learned vermieden werden können.

Mehr zur Effektivität von Application Whitelisting Lösungen und RoSI im nächsten Post.

Referenzen

  1. ENISA. Introduction to Return on Security Investment [Internet]. 2012 [zitiert 21. März 2021]. Verfügbar unter: https://www.enisa.europa.eu/publications/introduction-to-return-on-security-investment
  2. Sonnenreich W. Return On Security Investment (ROSI): A Practical Quantitative Model [Internet]. Verfügbar unter: http://infosecwriters.com/text_resources/pdf/ROSI-Practical_Model.pdf
  3. Stöwer M. Wirtschaftlichkeitsbetrachtungen zu IT- Sicherheitsinvestitionen [Internet]. 2010 [zitiert 21. März 2021]. Verfügbar unter: https://docplayer.org/61999306-T-i-s-p-community-meeting-2010-koeln-03.html