E-Book, Deutsch, 302 Seiten, eBook
Nowey Konzeption eines Systems zur überbetrieblichen Sammlung und Nutzung von quantitativen Daten über Informationssicherheitsvorfälle
2011
ISBN: 978-3-8348-9873-9
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
E-Book, Deutsch, 302 Seiten, eBook
ISBN: 978-3-8348-9873-9
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
Thomas Nowey entwirft das Konzept einer Plattform zur Sammlung und Nutzung von quantitativen Daten über Informationssicherheitsvorfälle.
Dr. Thomas Nowey promovierte am Lehrstuhl Management der Informationssicherheit bei Prof. Dr. Hannes Federrath. Er ist für das Information Security Management bei einem Maschinen- und Anlagenbauer verantwortlich.
Zielgruppe
Research
Autoren/Hrsg.
Weitere Infos & Material
1;Danksagung;7
2;Inhaltsverzeichnis;8
3;Zusammenfassung;12
4;Abbildungsverzeichnis;14
5;Tabellenverzeichnis;16
6;Abkürzungen;17
7;1 Einleitung;21
7.1;1.1 Motivation und Zielsetzung;21
7.2;1.2 Forschungsfragen;23
7.3;1.3 Forschungsmethodik;24
7.4;1.4 Aufbau der Arbeit;24
8;2 Begriffe, Grundlagen und Bezugsrahmen;27
8.1;2.1 Quanti.zierung und Metriken;27
8.2;2.2 Sicherheit;28
8.2.1;2.2.1 IT-Sicherheit und Informationssicherheit;28
8.2.2;2.2.2 Schutzziele;29
8.2.3;2.2.3 Mehrseitige Sicherheit;30
8.2.4;2.2.4 Angreifermodelle;30
8.2.5;2.2.5 Vertrauen;31
8.3;2.3 Sicherheitsmanagement;31
8.3.1;2.3.1 Informationssicherheitsmanagement;31
8.3.2;2.3.2 Informationssicherheitsmanagementsystem (ISMS);33
8.4;2.4 Risiko und Risikomanagement;35
8.4.1;2.4.1 Risikobegriff;35
8.4.2;2.4.2 Risikomanagement;37
8.5;2.5 Begriffsmodell;38
8.5.1;2.5.1 Assets;38
8.5.2;2.5.2 Schwachstellen;39
8.5.3;2.5.3 Angreifer und Angriff;40
8.5.4;2.5.4 Bedrohungen;40
8.5.5;2.5.5 Sicherheitsvorfalle¨;40
8.5.6;2.5.6 Management von Sicherheitsvorfallen¨;41
8.5.7;2.5.7 Schaden;42
8.5.8;2.5.8 Sicherheitsmaßnahmen;42
8.5.9;2.5.9 Beispiel;43
8.6;2.6 Kosten und Nutzen von Informationssicherheit;44
8.7;2.7 Ok¨ onomische Aspekte der Informationssicherheit;45
9;3 Informationssicherheitsmanagement als Risikomanagementaufgabe;49
9.1;3.1 Ein.usse¨ auf das Informationssicherheitsmanagement;49
9.1.1;3.1.1 IT-Abhangigkeit¨ und Bedrohungslage;49
9.1.2;3.1.2 Wirtschaftlichkeitsgebot;51
9.1.3;3.1.3 IT-Governance und IT-Compliance;53
9.1.3.1;KonTraG;54
9.1.3.2;Basel II;55
9.1.3.3;Solvency II;56
9.1.3.4;Sarbanes-Oxley Act;57
9.1.3.5;EuroSOX;58
9.1.3.6;Weitere Regelwerke;59
9.1.3.7;Fazit;59
9.1.4;3.1.4 Internationale Standards und Normen;60
9.2;3.2 Management von Informationssicherheitsrisiken;63
9.2.1;3.2.1 Standards und Vorgehensmodelle;64
9.2.2;3.2.2 Phasen des Risikomanagementkreislaufs;67
9.2.3;3.2.3 Klassi.kation von Werkzeugen und Methoden;73
10;4 Einsatz quantitativer Daten für das Risikomanagement;77
10.1;4.1 Notwendigkeit quantitativer Daten;77
10.2;4.2 Risikomaße;79
10.2.1;4.2.1 Jahrlic¨ he Verlusterwartung;79
10.2.2;4.2.2 Value at Risk;83
10.2.3;4.2.3 Ermittlung der Verlustverteilung;85
10.2.4;4.2.4 Sonstige Ansatz¨ e;87
10.2.5;4.2.5 Weitere Anwendungsmoglic¨ hkeiten;87
10.2.6;4.2.6 Fazit;89
10.3;4.3 Metriken und Regeln zur Risikosteuerung;89
10.3.1;4.3.1 ROSI-basierte Konzepte;89
10.3.2;4.3.2 Nettokapitalwert-basierte Konzepte;93
10.3.3;4.3.3 Anwendungshinweise und Fazit;95
10.4;4.4 Quellen fur¨ quantitative Daten;96
10.4.1;4.4.1 Verfugbarkeit¨ quantitativer Daten;97
10.4.2;4.4.2 Moglic¨ he Quellen;98
10.4.2.1;Expertensch¨atzungen;99
10.4.2.2;Historische Vorfallsdaten;100
10.4.2.3;Marktmechanismen;102
10.4.2.4;Simulationen;105
10.4.3;4.4.3 Fazit;106
10.5;4.5 Empirische Uberpr¨ ufung¨ des Status Quo;106
10.5.1;4.5.1 Untersuchungsdesign und Vorgehen;106
10.5.2;4.5.2 Ergebnisse und Implikationen;108
11;5 Grundkonzept eines überbetrieblichen Vorfallsdatenaustauschs;113
11.1;5.1 Notwendigkeit historischer Daten;113
11.2;5.2 Basiskonzept;115
11.2.1;5.2.1 Zu erfassende Vorfallsdaten;115
11.2.2;5.2.2 Architektur und Akteure;116
11.2.3;5.2.3 Aufgaben der zentralen Plattform;117
11.2.4;5.2.4 Auswertungsmoglic¨ hkeiten;118
11.3;5.3 Nutzenbetrachtung;119
11.3.1;5.3.1 Direkte Effekte auf Ebene der Einzelorganisation;119
11.3.2;5.3.2 Aus Marktmodellen abgeleitete Effekte;120
11.3.3;5.3.3 Uber¨ greifende Aspekte;122
11.4;5.4 Abgrenzung zu existierenden Ansatz¨ en;123
11.4.1;5.4.1 CERTs und CSIRTs;124
11.4.2;5.4.2 Information Sharing Analysis Centers (ISACs);125
11.4.3;5.4.3 Internet Storm Center (ISC);126
11.4.4;5.4.4 CarmentiS;126
11.4.5;5.4.5 Leurrecom.org Honeynet Project;127
11.4.6;5.4.6 mwcollect Alliance;128
11.4.7;5.4.7 Sonstige verwandte Initiativen;128
11.4.8;5.4.8 Fazit;129
11.5;5.5 Empirische Evaluation des Basiskonzepts;130
12;6 Anforderungen und Lösung en;133
12.1;6.1 Ergebnisaufbereitung;133
12.1.1;6.1.1 Auswertungen fur¨ die Risikobewertung;134
12.1.2;6.1.2 Selektionskriterien;136
12.1.3;6.1.3 Arten der Ergebnisdarstellung;137
12.1.4;6.1.4 Formen der Datenbereitstellung;137
12.1.5;6.1.5 Weitere Auswertungsmoglic¨ hkeiten;140
12.1.6;6.1.6 Fazit;143
12.2;6.2 Vergleichbarkeit der Vorfalle¨;143
12.2.1;6.2.1 Problemstellung und Anforderungen;143
12.2.2;6.2.2 Bestehende Klassi.kationskonzepte fur¨ Sicherheitsvorfalle¨;147
12.2.2.1;Taxonomie von Landwehr et al.;148
12.2.2.2;Taxonomie von Howard und Longstaff;149
12.2.2.3;ISO/IEC TR 18044;151
12.2.2.4;Taxonomie von Hansman und Hunt;153
12.2.2.5;The Incident Object Description Exchange Format (IODEF);155
12.2.2.6;Fazit;157
12.2.3;6.2.3 Taxonomie zur Vorfallsbeschreibung;160
12.2.4;6.2.4 Erfassung der Schaden/A¨ uswirkungen;163
12.2.4.1;Betrachtungen ¨ uber Sch¨aden;163
12.2.4.2;Erarbeitung eines Begriffskonzepts;167
12.2.5;6.2.5 Erfassung relevanter Organisationsparameter als Bezugsgroßen¨;169
12.2.6;6.2.6 Fazit und moglic¨ he Erweiterungen;172
12.3;6.3 Sicherheit;174
12.3.1;6.3.1 Grundmodell;174
12.3.1.1;Akteure und Bedeutung der Schutzziele;174
12.3.1.2;Angreifermodell;176
12.3.1.3;Bedrohungen;177
12.3.1.4;Maßnahmen;178
12.3.2;6.3.2 Erweiterung1–Teilnehmer als Angreifer auf technischer Ebene;180
12.3.2.1;Erweiterungen und neue Bedrohungen;180
12.3.2.2;Maßnahmen;181
12.3.3;6.3.3 Erweiterung2–Teilnehmer als Angreifer auf inhaltlicher Ebene;182
12.3.3.1;Erweiterungen und neue Bedrohungen;182
12.3.3.2;Anonymit¨ at im vorliegenden Kontext;183
12.3.3.3;Maßnahmen;185
12.3.3.4;Fazit;189
12.3.4;6.3.4 Erweiterung 3 – Minimales Vertrauen in den Plattformbetreiber;190
12.3.4.1;Pseudonymisierung;191
12.3.4.2;Verteilte Datenspeicherung;194
12.3.4.3;Mehrparteienberechnungsprotokolle;195
12.3.5;6.3.5 Fazit;200
12.4;6.4 Fairness;201
12.4.1;6.4.1 Fairness und kooperatives Verhalten;202
12.4.2;6.4.2 Free-Riding-Problem;203
12.4.3;6.4.3 Truth-Telling-Problem;205
12.4.4;6.4.4 Ansatz¨ e zur Verhinderung unfairen Verhaltens;208
12.4.5;6.4.5 Bausteine eines Anreizsystems;212
12.4.5.1;Grad der Kooperation;213
12.4.5.2;Grad der Nutzung;215
12.5;6.5 Fazit;216
13;7 Prototyp;219
13.1;7.1 Zielsetzung;219
13.2;7.2 Technisches Konzept und Systemarchitektur;220
13.3;7.3 Umsetzung der Anforderungen aus Kapitel 6;223
13.3.1;7.3.1 Auswertungen und Reports;223
13.3.2;7.3.2 Abbildung der Taxonomie;224
13.3.3;7.3.3 Sicherheitskonzept;226
13.3.4;7.3.4 Anreizsystem;229
13.3.5;7.3.5 Minimierung des Aufwands;230
13.4;7.4 Ausgewahlte¨ Funktionalitaten¨ der Anwendung;231
13.5;7.5 Integration weiterer Datenquellen;232
13.6;7.6 Bewertung und Erweiterungsmoglic¨ hkeiten;233
14;8 Integration in die Organisation;236
14.1;8.1 De.nition eines Incident Reporting Prozesses;236
14.1.1;8.1.1 Status Quo der Behandlung von Sicherheitsvorfallen¨;236
14.1.2;8.1.2 Erweiterter Prozess zur Behandlung von Sicherheitsvorfallen¨;237
14.1.3;8.1.3 Rollen und Datenquellen;239
14.2;8.2 Integration in den Risikomanagementprozess;241
14.2.1;8.2.1 Risikoidenti.kation;242
14.2.2;8.2.2 Risikobewertung;244
14.2.3;8.2.3 Risikosteuerung;248
14.2.4;8.2.4 Risikouberwac¨ hung;249
14.2.5;8.2.5 Fazit;250
14.3;8.3 Bezug¨ e zum Business Engineering;251
15;9 Zusammenfassung und Ausblick;256
15.1;9.1 Uberpr¨ ufung¨ der Forschungsfragen;256
15.2;9.2 Anregungen fur¨ die zukunftig¨ e Forschung;259
15.3;9.3 Ausblick;262
16;Anhang;265
16.1;A Interviewleitfaden;266
16.1.1;Erfassung allgemeiner Daten;266
16.1.2;Eingangsstatement und allgemeine Informationen;266
16.1.3;Themenblock 1 – Status Quo und Datenbedarf (ca. 10 - 15 Min.);267
16.1.4;Themenblock 2 – Austausch von Informationenuber Sicherheitsvorfalle;267
16.1.5;Standardisierte Fragen;269
16.1.6;Gesprächsabschluss;269
16.2;B Taxonomien für Informationssicherheitsvorf¨ alle;270
16.2.1;Taxonomie von Landwehr et al.;270
16.2.2;Taxonomie von Howard und Longstaff;271
16.2.3;Taxonomie aus ISO TR 18044;272
16.2.4;Taxonomie von Hansman et al.;274
16.3;C Begriffsmodell zur Vorfallserfassung;276
16.3.1;Begriffsmodel;276
16.3.2;Erlauterungen zum Begriffsmodell;276
16.3.2.1;Angriffsziel;276
16.3.2.2;Vorgehen;278
16.3.2.3;Schwachstelle;280
16.3.2.4;Angreifer;281
16.3.2.5;Allgemeine Informationen;282
16.3.2.6;Vorfallsbehandlung;282
16.4;D Systematik zur Schadenserfassung;289
16.4.1;Erlauterung der Schadenskategorien;289
17;Literaturverzeichnis;292
18;Referenzierte Standards;317
