Konzeption eines Systems zur überbetrieblichen Sammlung und Nutzung von quantitativen Daten über Informationssicherheitsvorfälle (eBook)

Dr. Thomas Nowey promovierte am Lehrstuhl Management der Informationssicherheit bei Prof. Dr. Hannes Federrath. Er ist für das Information Security Management bei einem Maschinen- und Anlagenbauer verantwortlich.

Danksagung 7
Inhaltsverzeichnis 8
Zusammenfassung 12
Abbildungsverzeichnis 14
Tabellenverzeichnis 16
Abkürzungen 17
1 Einleitung 21
1.1 Motivation und Zielsetzung 21
1.2 Forschungsfragen 23
1.3 Forschungsmethodik 24
1.4 Aufbau der Arbeit 24
2 Begriffe, Grundlagen und Bezugsrahmen 27
2.1 Quanti.zierung und Metriken 27
2.2 Sicherheit 28
2.2.1 IT-Sicherheit und Informationssicherheit 28
2.2.2 Schutzziele 29
2.2.3 Mehrseitige Sicherheit 30
2.2.4 Angreifermodelle 30
2.2.5 Vertrauen 31
2.3 Sicherheitsmanagement 31
2.3.1 Informationssicherheitsmanagement 31
2.3.2 Informationssicherheitsmanagementsystem (ISMS) 33
2.4 Risiko und Risikomanagement 35
2.4.1 Risikobegriff 35
2.4.2 Risikomanagement 37
2.5 Begriffsmodell 38
2.5.1 Assets 38
2.5.2 Schwachstellen 39
2.5.3 Angreifer und Angriff 40
2.5.4 Bedrohungen 40
2.5.5 Sicherheitsvorfalle¨ 40
2.5.6 Management von Sicherheitsvorfallen¨ 41
2.5.7 Schaden 42
2.5.8 Sicherheitsmaßnahmen 42
2.5.9 Beispiel 43
2.6 Kosten und Nutzen von Informationssicherheit 44
2.7 Ok¨ onomische Aspekte der Informationssicherheit 45
3 Informationssicherheitsmanagement als Risikomanagementaufgabe 49
3.1 Ein.usse¨ auf das Informationssicherheitsmanagement 49
3.1.1 IT-Abhangigkeit¨ und Bedrohungslage 49
3.1.2 Wirtschaftlichkeitsgebot 51
3.1.3 IT-Governance und IT-Compliance 53
KonTraG 54
Basel II 55
Solvency II 56
Sarbanes-Oxley Act 57
EuroSOX 58
Weitere Regelwerke 59
Fazit 59
3.1.4 Internationale Standards und Normen 60
3.2 Management von Informationssicherheitsrisiken 63
3.2.1 Standards und Vorgehensmodelle 64
3.2.2 Phasen des Risikomanagementkreislaufs 67
3.2.3 Klassi.kation von Werkzeugen und Methoden 73
4 Einsatz quantitativer Daten für das Risikomanagement 77
4.1 Notwendigkeit quantitativer Daten 77
4.2 Risikomaße 79
4.2.1 Jahrlic¨ he Verlusterwartung 79
4.2.2 Value at Risk 83
4.2.3 Ermittlung der Verlustverteilung 85
4.2.4 Sonstige Ansatz¨ e 87
4.2.5 Weitere Anwendungsmoglic¨ hkeiten 87
4.2.6 Fazit 89
4.3 Metriken und Regeln zur Risikosteuerung 89
4.3.1 ROSI-basierte Konzepte 89
4.3.2 Nettokapitalwert-basierte Konzepte 93
4.3.3 Anwendungshinweise und Fazit 95
4.4 Quellen fur¨ quantitative Daten 96
4.4.1 Verfugbarkeit¨ quantitativer Daten 97
4.4.2 Moglic¨ he Quellen 98
Expertensch¨atzungen 99
Historische Vorfallsdaten 100
Marktmechanismen 102
Simulationen 105
4.4.3 Fazit 106
4.5 Empirische Uberpr¨ ufung¨ des Status Quo 106
4.5.1 Untersuchungsdesign und Vorgehen 106
4.5.2 Ergebnisse und Implikationen 108
5 Grundkonzept eines überbetrieblichen Vorfallsdatenaustauschs 113
5.1 Notwendigkeit historischer Daten 113
5.2 Basiskonzept 115
5.2.1 Zu erfassende Vorfallsdaten 115
5.2.2 Architektur und Akteure 116
5.2.3 Aufgaben der zentralen Plattform 117
5.2.4 Auswertungsmoglic¨ hkeiten 118
5.3 Nutzenbetrachtung 119
5.3.1 Direkte Effekte auf Ebene der Einzelorganisation 119
5.3.2 Aus Marktmodellen abgeleitete Effekte 120
5.3.3 Uber¨ greifende Aspekte 122
5.4 Abgrenzung zu existierenden Ansatz¨ en 123
5.4.1 CERTs und CSIRTs 124
5.4.2 Information Sharing Analysis Centers (ISACs) 125
5.4.3 Internet Storm Center (ISC) 126
5.4.4 CarmentiS 126
5.4.5 Leurrecom.org Honeynet Project 127
5.4.6 mwcollect Alliance 128
5.4.7 Sonstige verwandte Initiativen 128
5.4.8 Fazit 129
5.5 Empirische Evaluation des Basiskonzepts 130
6 Anforderungen und Lösung en 133
6.1 Ergebnisaufbereitung 133
6.1.1 Auswertungen fur¨ die Risikobewertung 134
6.1.2 Selektionskriterien 136
6.1.3 Arten der Ergebnisdarstellung 137
6.1.4 Formen der Datenbereitstellung 137
6.1.5 Weitere Auswertungsmoglic¨ hkeiten 140
6.1.6 Fazit 143
6.2 Vergleichbarkeit der Vorfalle¨ 143
6.2.1 Problemstellung und Anforderungen 143
6.2.2 Bestehende Klassi.kationskonzepte fur¨ Sicherheitsvorfalle¨ 147
Taxonomie von Landwehr et al. 148
Taxonomie von Howard und Longstaff 149
ISO/IEC TR 18044 151
Taxonomie von Hansman und Hunt 153
The Incident Object Description Exchange Format (IODEF) 155
Fazit 157
6.2.3 Taxonomie zur Vorfallsbeschreibung 160
6.2.4 Erfassung der Schaden/A¨ uswirkungen 163
Betrachtungen ¨ uber Sch¨aden 163
Erarbeitung eines Begriffskonzepts 167
6.2.5 Erfassung relevanter Organisationsparameter als Bezugsgroßen¨ 169
6.2.6 Fazit und moglic¨ he Erweiterungen 172
6.3 Sicherheit 174
6.3.1 Grundmodell 174
Akteure und Bedeutung der Schutzziele 174
Angreifermodell 176
Bedrohungen 177
Maßnahmen 178
6.3.2 Erweiterung1–Teilnehmer als Angreifer auf technischer Ebene 180
Erweiterungen und neue Bedrohungen 180
Maßnahmen 181
6.3.3 Erweiterung2–Teilnehmer als Angreifer auf inhaltlicher Ebene 182
Erweiterungen und neue Bedrohungen 182
Anonymit¨ at im vorliegenden Kontext 183
Maßnahmen 185
Fazit 189
6.3.4 Erweiterung 3 – Minimales Vertrauen in den Plattformbetreiber 190
Pseudonymisierung 191
Verteilte Datenspeicherung 194
Mehrparteienberechnungsprotokolle 195
6.3.5 Fazit 200
6.4 Fairness 201
6.4.1 Fairness und kooperatives Verhalten 202
6.4.2 Free-Riding-Problem 203
6.4.3 Truth-Telling-Problem 205
6.4.4 Ansatz¨ e zur Verhinderung unfairen Verhaltens 208
6.4.5 Bausteine eines Anreizsystems 212
Grad der Kooperation 213
Grad der Nutzung 215
6.5 Fazit 216
7 Prototyp 219
7.1 Zielsetzung 219
7.2 Technisches Konzept und Systemarchitektur 220
7.3 Umsetzung der Anforderungen aus Kapitel 6 223
7.3.1 Auswertungen und Reports 223
7.3.2 Abbildung der Taxonomie 224
7.3.3 Sicherheitskonzept 226
7.3.4 Anreizsystem 229
7.3.5 Minimierung des Aufwands 230
7.4 Ausgewahlte¨ Funktionalitaten¨ der Anwendung 231
7.5 Integration weiterer Datenquellen 232
7.6 Bewertung und Erweiterungsmoglic¨ hkeiten 233
8 Integration in die Organisation 236
8.1 De.nition eines Incident Reporting Prozesses 236
8.1.1 Status Quo der Behandlung von Sicherheitsvorfallen¨ 236
8.1.2 Erweiterter Prozess zur Behandlung von Sicherheitsvorfallen¨ 237
8.1.3 Rollen und Datenquellen 239
8.2 Integration in den Risikomanagementprozess 241
8.2.1 Risikoidenti.kation 242
8.2.2 Risikobewertung 244
8.2.3 Risikosteuerung 248
8.2.4 Risikouberwac¨ hung 249
8.2.5 Fazit 250
8.3 Bezug¨ e zum Business Engineering 251
9 Zusammenfassung und Ausblick 256
9.1 Uberpr¨ ufung¨ der Forschungsfragen 256
9.2 Anregungen fur¨ die zukunftig¨ e Forschung 259
9.3 Ausblick 262
Anhang 265
A Interviewleitfaden 266
Erfassung allgemeiner Daten 266
Eingangsstatement und allgemeine Informationen 266
Themenblock 1 – Status Quo und Datenbedarf (ca. 10 - 15 Min.) 267
Themenblock 2 – Austausch von Informationenuber Sicherheitsvorfalle 267
Standardisierte Fragen 269
Gesprächsabschluss 269
B Taxonomien für Informationssicherheitsvorf¨ alle 270
Taxonomie von Landwehr et al. 270
Taxonomie von Howard und Longstaff 271
Taxonomie aus ISO TR 18044 272
Taxonomie von Hansman et al. 274
C Begriffsmodell zur Vorfallserfassung 276
Begriffsmodel 276
Erlauterungen zum Begriffsmodell 276
Angriffsziel 276
Vorgehen 278
Schwachstelle 280
Angreifer 281
Allgemeine Informationen 282
Vorfallsbehandlung 282
D Systematik zur Schadenserfassung 289
Erlauterung der Schadenskategorien 289
Literaturverzeichnis 292
Referenzierte Standards 317