RACOMAT – Risiko Assessment kombiniert mit automatischen Sicherheitstests
Die Herausforderung: Risiken komplexer ICT-Systeme
Die Idee
Risiko Assessment und Security Testing kombinieren
RACOMAT
Das Tool
RACOMAT ist ein bei Fraunhofer FOKUS entwickeltes Werkzeug für das Risiko-Management, welches insbesondere das Risiko Assessment mit Sicherheitstests kombiniert. Das Sicherheitstesten kann dabei unmittelbar in Ereignis-Simulationen eingebunden werden, welche das RACOMAT Tool zur Berechnung von Risiken nutzt.
Das RACOMAT Tool ermöglicht eine weitgehende Automatisierung von der Risikomodellierung bis hin zum Sicherheitstesten. Bestehende Datenbanken etwa von bekannten Bedrohungsszenarien werden vom RACOMAT Tool genutzt, um ein hohes Maß an Wiederverwendung sicherzustellen und Fehler zu vermeiden.
Mit dem RACOMAT-Tool wird ein komponentenbasiertes, kompositionales Risiko Assessment unterstützt. Dabei werden im Tool intuitiv verständliche Risikographen verwendet, um ein Bild der Risikolage zu modellieren und zu visualisieren. Für die Risikoanalyse können bekannte Verfahren wie Fault Tree Analysis (FTA), Event Tree Analysis (ETA) und die CORAS Methode in Kombination eingesetzt werden, um von den verschiedenen Stärken der einzelnen Verfahren profitieren zu können.
Ausgehend von einem Gesamtbudget für das Risiko Assessment berechnet das RACOMAT Tool, wie viel Aufwand für das Security Testen sinnvoll ist, um die Qualität des Risikobildes durch Reduktion von Unsicherheiten zu verbessern. Das Tool gibt Empfehlungen, wie diese Mittel eingesetzt werden sollen. Dafür identifiziert RACOMAT relevante Tests und priorisiert diese.
Automatisches Security Testing
RACOMAT unterstützt das Zuordnen von potenziellen Schwachstellen und Gefährdungen mit vorhandenem Expertenwissen aus bestehenden Bibliotheken wie MITRE CAPEC und CWE oder BSI IT-Grundschutz. Erfahrungswerte für wichtige Sicherheitseigenschaften – wie Wahrscheinlichkeiten und Konsequenzen – sind darin bereits enthalten. Je nach Interface und Technologie sind verschiedene potenzielle Schwachstellen und Bedrohungen relevanter. Das RACOMAT Tool schlägt für identifizierte Threat Interfaces automatisch jeweils die relevantesten Schwachstellen und Bedrohungsszenarien vor. So muss der Analyst nur eine handhabbare Checkliste durchgehen, um sicherzustellen, dass nichts übersehen wird.
Automatisches oder zumindest semi-automatisches Testen realisiert das RACOMAT Tool mithilfe von Security Test Pattern. Für typische Bedrohungsszenarien (Attack Pattern) bietet RACOMAT einen Katalog mit vordefinierten Test Pattern, welche ohne manuellen Aufwand instanziiert werden können, um ausgewählte Komponenten zu testen. Wenn noch keine passenden Test Pattern existieren, können im RACOMAT Tool neue Test Pattern erstellt werden.
Die beobachteten Testergebnisse werden insbesondere dafür benutzt, um Wahrscheinlichkeiten dafür zu berechnen, dass Angreifer bestimmte ungewollte Ereignisse auslösen können.
Abhängigkeiten und Simulationen von Ereignissen

Der RACOMAT Prozess
Das RACOMAT Tool legt eine iterative Vorgehensweise beim Risiko-Assessment nahe. Ein initiales, grobes Risikobild wird dabei in mehreren Runden schrittweise verbessert. Die Konzepte Risk-Based Security Testing (RBST, also die Optimierung des Sicherheitstestens mithilfe des Risiko Assessments) und Test-Based Risk Assessment (TBRA, also die Verbesserung des Risiko Assessments mithilfe von Sicherheitstests) werden dabei vereint:
1. Initiales Risikomodell basierend auf Literatur, Erfahrungswerten und Experteneinschätzungen entwickeln
2. Ereignissimulationen nutzen, um die Konsequenzen und Gesamtrisiken von Bedrohungen zu berechnen
3. Bedrohungsszenarien mit den größten Unsicherheiten auswählen, welche mithilfe von Sicherheitstests genauer analysiert werden sollen
4. Erforderliche Testfälle generieren
5. Tests ausführen und mithilfe der Ergebnisse das Risikomodell verbessern
6. Mit verbessertem Risikomodell erneut Ereignissimulationen durchführen, um Gesamtrisiken genauer zu ermitteln
Weiter mit Schritt 3, bis das Budget für die Risikoanalyse aufgebraucht ist
7. Finale Risikoevaluation und Maßnahmen zur Reduktion unakzeptabel hoher Risiken
Unterstützung des höheren Managements
Domainspezifische Assistenz durch RACOMAT
Die Nutzung von domainspezifischen Informationen bietet weitergehende Möglichkeiten zur Unterstützung für große Organisationen. So wurde bereits für den Finanz- und Bankenbereich ein Plug-In entwickelt, welches die Modellierung der Business Szenarien in BPMN und die Assoziation mit der domainspezifischen technischen Infrastruktur aktiv unterstützt.
In Zukunft sollen auch für andere Domains entsprechende Assistenten als Plug-Ins für das RACOMAT Tool entwickelt und bereitgestellt werden.