Industrial Cyber Security Personas

Was ist eine Persona überhaupt? Eine Persona ist z.B. Applikationsentwickler, Reinigungskraft, oder ein Versicherungsvertreter. Also eine Person mit Begriffs-typisch zugeordneten charakteristischen Eigenschaften, Verhalten und Fähigkeiten.

Für uns in der Industrieautomatisierung mit Fokus Cyber Security bilden Personas ein hilfreiches Werkzeug Security Betrachtungen greifbar anzustellen. Dieser Artikel schildert den Nutzen von Personas und beschreibt eine Auswahl von Personas am Beispiel Threat Modeling.

Nutzen von Personas

Stellen wir uns das folgende Beispielszenario vor. Ein Operator authentisiert sich über einen klassischen Benutzername und Passwort Login-Dialog an einem HMI-Panel, um die verbundene Maschine zu bedienen. Das HMI-Panel befindet sich in einem abschließbaren Schaltschrank in einer Werkshalle auf einem Firmengelände mit Zutrittsschutz. Das Panel ist in der Schaltschranktür verbaut und von außen bedienbar.

Bei der Erstellung des Threat Models wird die folgende Frage mit der Persona Reinigungskraft aufgeworfen: Über welche Wege ist eine Reinigungskraft in der Lage das Operatorbenutzerkonto des HMI-Panels (temporär) zu sperren?

Durch die Verwendung einer Persona, wird ein Bedrohungsszenario automatisch durch folgende Informationen angereichert:

  • Welcher Akteur löst die Aktion aus?
    • In unserem Beispiel eine Reinigungskraft, die berechtigten Zutritt zur Werkshalle hat.
  • Welche Expertise ist für die Durchführung der Aktion (mindestens) notwendig?
    • Das Ausprobieren verschiedener Passwortkombinationen erfordert beispielsweise kein besonderes Fachwissen. Dieser Angriffsvektor kann plausibel auch von einer Reinigungskraft durchgeführt werden.
  • Zu welchen Zeitpunkten im Lebenszyklus ist diese Aktion bedeutsam?
    • Der Angriffsvektor ausgelöst von der Reinigungskraft ist mindestens im laufenden Betrieb denkbar, vermutlich auch in den anderen Lebenszyklusphasen.

Würden wir im obigen Bedrohungsszenario nun die Persona durch z.B. einen Wartungstechniker tauschen ändern sich mindestens die Anzahl der möglichen Angriffswege und die dafür notwendigen Zutritts- und Zugriffsberechtigungen.

Dieses Beispiel illustriert den Vorteil des Werkszeugs Personas beim Threat Modeling. Die Frage: „Wer macht wann was?“ wird gleich mit in das Bedrohungsszenario eingeflochten. Es entsteht so eine umfassende Landkarte von Bedrohungen und beteiligten Akteuren. Das steigert schließlich die Qualität des erstellten Threat Models. Ein hochwertiges Threat Model ermöglicht wiederum die Cyber Security Resilienz des zu entwickelnden Produktes bzw. Systems zu steigern. Es profitieren letztlich alle Kunden und der Ersteller der Lösung.

Auswahl an Personas

Im Folgenden gibt es eine Auswahl an möglichen Personas. Diese sind Ideengeber zu verstehen und geben ein Ausgangsset an die Hand. Je nach Bedarf können Personas ergänzt und weiter konkretisiert werden.

Die hier vorgestellten Persona-Beschreibungen sind beispielhaft und können offenbar bei unterschiedlichen Maschinenbauern und Anlagenbetreibern abweichend sein. Diese Individualität, ergibt sich unter anderem aus der Unternehmensgröße, lokaler Produktionsstätten oder der spezifischen Zusammenarbeit mit externen Partnern.

Die folgenden Personas sind nicht notwendigerweise in jedem Stadium des Produkt- und Systemlebenszyklus zu berücksichtigen.

Operator

Industrial Cyber Security Persona Operator

Ein Operator oder Anlagenbediener betreut die Maschine beim Anlagenbetreiber vor Ort im laufenden Betrieb. Dabei soll die essenzielle Funktionalität der Maschine störungsfrei gewährleistet werden. Dazu kann es notwendig sein, über z.B. angeschlossene HMI-Paneele zu interagieren. Anlagenbediener haben oft physikalischen und logischen Zugang zur Anlage. Sie sind im technischen Umgang mit der Maschine geschult, kennen deren Schnittstellen und können einfache Störungen beheben.

Wartungstechniker

Industrial-Personas-Service-Technician

Wartungstechniker oder Service Technician betreut und behebt Fehler der Maschine beim Anlagenbetreiber vor Ort im Wartungsfall. Der Wartungsfall einer Maschine kann geplant oder ungeplant eintreten. Ein Wartungstechniker kennt die physikalische und logische Konfiguration der Maschine, die Softwarekomponenten und kann so Änderungen an der Konfiguration vornehmen. Er hat üblicherweise Zugang zu den Schnittstellen der Maschine. Außerdem verfügen Wartungstechniker üblicherweise über fundiertes Fachwissen der Industrieautomatisierung bei Hard- und Software.

Cyber Security Governance

Industrial Cyber Security Persona Cyber Security Governance

IT und OT Governance Mitarbeiter des Anlagenbetreibers definieren Cyber Security Regulatorien über alle Stadien des Maschinenlebenszyklus hinweg. Die Regulatorien beschreiben unter anderem Passwort-Policies, Lieferantenbewertungen, und Patch- und Schwachstellenmanagement des Anlagenbetreibers. Governance Mitarbeiter verfügen beispielsweise über fundiertes Wissen im Bereich der Cyber Security Prozesse, wie z.B. IEC 62443- oder ISO 2700-Serie und sind über aktuelle Entwicklungen bei Cyber Security Normen informiert. Governance Mitarbeiter verfügen normalerweise nicht über Zugänge zur Maschine.

IT-Administrator

Industrial Personas IT-Administrator

IT-Administratoren erfüllen verschiedene Aufgaben beim Anlagenbetreiber über alle Stadien des Maschinenlebenszyklus hinweg. So implementieren sie z.B. Cyber Security Vorgaben des Anlagenbetreibers, konfigurieren IT-Infrastruktur und pflegen IT-Dienste wie DNS, DHCP, und Benutzerverwaltung. Sie sind auch dann involviert, wenn IT- und OT-Infrastruktur miteinander interagieren. IT-Administratoren verfügen über fundiertes Wissen der IT-Infrastruktur beim Anlagenbetreiber und kennen Schnittstellen zur OT-Infrastruktur. Sie verfügen mindestens über physikalischen und logischen Zugriff auf den von ihnen verwalteten Komponenten, z.B. Domain Controller.

Applikationsentwickler

Industrial Cyber Security Persona Applikationsentwickler

Applikationsentwickler programmieren die Maschine die beabsichtigte Funktionalität bereitzustellen. Üblicherweise geschieht dies in der Installations- und Kommissionierungsphase entweder beim Maschinenbauer und/oder beim Anlagenbetreiber. Sie verfügen über physikalischen und logischen Zugriff auf Maschinen. Applikationsentwickler haben umfassendes Wissen über die Hard- und Softwarebestandteile der Maschine und kennen die einzelnen Komponenten im Detail.

Reinigungspersonal

Industrial-Personas-Cleaning

Das Reinigungspersonal sorgt für eine saubere Arbeitsumgebung beim Anlagenbetreiber vor Ort über alle Stadien des Maschinenlebenszyklus hinweg. Physikalischer Zugang zur Maschine ist nicht auszuschließen. Typischerweise verfügt das Reinigungspersonal nicht über Fachwissen der Industrieautomatisierung oder der konkreten Maschine.

Der Blick nach links und rechts

Personas sind vielseitig einsetzbar

Dieser Artikel hat den Fokus auf Personas beim Threat Modeling gesetzt. Offenbar sind Personas auch bei der Formulierung von User Stories (Anforderungsformulierung aus der agilen Softwareentwicklung), der Beschreibung von Referenzarchitekturen, oder zur Illustrierung in Kundengesprächen hilfreich.

Ich persönlich verwende Personas gerne in Beispielen, um Realitätsbezug herzustellen und die Konkretheit zu steigern.

Der vermutlich noch wichtigere Aspekt ist eine möglichst vollständige Landkarte einer Problemstellung zu zeichnen (unabhängig von Cyber Security). Wenn ich beteiligte Akteure/Personas und den Lebenszyklus bei der Problemanalyse betrachte bekomme ich ein Verständnis der elementar wichtigen Fragen: Wer? und Wann?

Wie unterscheidet dieser Artikel Rollen und Personas?

Bei Prozessdefinitionen und beim Rechtemanagement stößt man unweigerlich auf Rollen.

In diesem Cyber Security Kontextverständnis fast eine Rolle Personen zusammen, die gleiche Aufgaben erfüllen und dafür entsprechende Berechtigungen benötigen.

Mit Personas möchte ich neben der sprachlichen Abgrenzung zu Rollen insbesondere auf den individuellen Charakter/der Biografie der Figur zu Illustrierung von Beispielsszenarien kommen.