A model to quantitatively assess the security of organizations [Elektronische Ressource] = Ein Modell zur quantitativen Bewertung der Sicherheit von Organisationen / vorgelegt von (Oliver) Steffen Weiß

friedrich-alexander-universitat_erlangen-nurnberg - Steffen Moritz

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

448 pages

Deutsch

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

A propos
Informations
Extrait

Description

Sujets

Management

Informations

Publié par	friedrich-alexander-universitat_erlangen-nurnberg
Publié le	01 janvier 2009
Nombre de lectures	29
Langue	Deutsch
Poids de l'ouvrage	16 Mo

Extrait

A model to
quantitatively assess
the security of organizations
Ein Modell zur
quantitativen Bewertung der
Sicherheit von Organisationen

Der Technischen Fakultät
der Universität Erlangen-Nürnberg
zur Erlangung des Grades

D O K T O R – I N G E N I E U R

vorgelegt von
(Oliver) Steffen Weiß
Erlangen – 2009

Als Dissertation genehmigt von
der Technischen Fakultät der
Universität Erlangen-Nürnberg

Tag der Einreichung: 21. 11. 2008
Tag der Promotion: 20. 02. 2009
Dekan: Prof. Dr.-Ing. habil. Johannes Huber
Berichterstatter: Prof. Dr. Klaus Meyer-Wegener,
Prof. Dr. Felix Freiling

Zusammenfassung
Wegen der zunehmenden Bedrohungen und regulativen Anforderungen fragen viele Firmen
nach angemessenen Maßnahmen gegen Sicherheitsvorfälle. Typischer Weise drücken sie das in
Fragen wie „Macht es Sinn in X zu investieren?“ aus, wobei X eine Maßnahme ist, welche die
Firma schützen kann.
Auf den ersten Blick erscheint diese Frage relativ einfach zu beantworten, die tiefere Bedeutung
des Wortes „angemessen“ ist aber nicht so einfach zu definieren. So sind die Mitarbeiter der
Firma und speziell das Management normalerweise an geringen Kosten interessiert, um hohen
Gewinn zu erzielen. Kosten, welche auf Sicherheitsmaßnahmen zurückzuführen sind, sind
normalerweise besser sichtbar als Kosten welche durch Sicherheitsvorfälle entstehen. Daher
tendieren die Firmen dazu, Investitionen in zusätzliche Sicherheitsmaßnahmen nicht
durchzuführen.
Die Meinung von Sicherheitsexperten ist aber oft anders. Sie leben meist davon, Maßnahmen zu
installieren. Daher tendieren sie dazu, die Lage entsprechend bedrohlich einzuschätzen und
wenn irgendwie sinnvoll Maßnahmen zu installieren.
Wichtig ist also eine Objektivität der Bewertung. Viele Ansätze wurden entwickelt, welche
Firmen das Gefühl einer solchen Objektivität geben sollen. Beispiele sind die ISO/IEC 27001-
Serie, die deutschen Grundschutzkataloge und Risiko-Management-Ansätze in verschiedenen
Formen (z.B. NIST SP 800-30 und Mehari). Die Ansätze sind jedoch qualitativ und Objektivität
ist immer noch schwer zu erreichen.
Für Investitionsentscheidungen ist jedoch eine fundierte Basis notwendig. Von realen Projekten
ist bekannt, dass das größte Problem darin liegt, dass Ansätze fehlen, mit denen die Auftrittsrate
und die durchschnittlichen Kosten von Sicherheitsvorfällen bestimmt werden können.
Daher wird ein Ansatz benötigt, mit welchem die Kosten, welche durch Sicherheitsvorfälle
entstehen und die Auftrittsrate dieser Vorfälle für ganzheitliche reale Firmen auf eine
nachvollziehbare, statistische und numerische Weise bestimmt werden können.
Ziel dieser Arbeit ist die Bewertung der aktuellen Situationen – wobei die Installation
verschiedener Maßnahmenbündel betrachtet wird. Die Vorhersage der Kosten für zukünftige
Perioden wäre eine weitere Schwierigkeit, welche hier aber nicht adressiert wird. Das hier
vorgestellte Modell kann aber als Grundlage für die Bewertung zukünftiger Perioden
herangezogen werden.
Die Grundidee des hier vorgestellten Ansatzes ist die Trennung zwischen drei
verschiedenartigen Typen von Information, die momentan nicht unterschieden werden:
• Strukturelle Information, das ist die Definition der existierenden Angriffe und
Maßnahmen sowie der Verknüpfungen zwischen ihnen.
• Statistische Information, welche die strukturelle Information dadurch verfeinert, dass
Information über Auftreten und Wahrscheinlichkeit hinzugefügt werden. Diese
Information beschreibt zum Beispiel die Auftrittsrate von verschiedenen Angriffen.
• Individuelle Information, welche die individuellen Einflüsse der Firma beschreibt,
welche einer Bewertung unterzogen wird. Ein Beispiel sind die Maßnahmen, welche
eine Firma installiert hat.
- iii - Wenn keine Trennung dieser verschiedenen Informationen stattfindet, muss alles von jeder
Firma, welche Sicherheitsbewertungen durchführt, selbst zusammengetragen werden. Durch die
vorgeschlagene Trennung können strukturelle und statistische Information von einer zentralen
Organisation bereitgestellt werden und nur die individuelle Information muss von der Firma
selbst bereitgestellt werden.
Um diese Idee umzusetzen, wird in dieser Arbeit ein UML Klassendiagramm mit 19 Klassen
vorgeschlagen. Es definiert, welche Information genau benötigt wird und welche davon zu
welchem der oben genannten drei Informationstypen gehört. Zudem werden Formeln
vorgeschlagen, welche beschreiben, wie die Ergebnisse aus den Eingabewerten (welche getrennt
nach Informationstyp vorliegen) berechnet werden.
Neben dem Vorschlag für das Model wurde auch untersucht, ob die drei verschiedenen
Informationstypen bereitgestellt werden können. Es zeigte sich, dass
• Strukturelle Information bereits in vielen Fällen existiert.
• Statistische Information ermittelt werden kann, dass jedoch Inkonsistenzen existieren,
welche es schwierig machen, diese Information einfach wieder zu verwenden. Das
Modell hilft dabei, diese Inkonsistenzen zu entdecken und auch zu lindern. Bisher
wurden diese Inkonsistenzen normalerweise nicht erkannt, beeinflussten aber die
Qualität der Ergebnisse negativ.
• Individuelle Information ist (fast) nur die Auswahl von passenden Werten, daher ist die
Bereitstellung dieser Information nicht problematisch.
Eine Validierung oder gar eine Verifikation des Modells ist nicht möglich, da keine belastbaren
Referenzwerte angegeben werden können, gegen die man die Ergebnisse des Modells
vergleichen kann. Allerdings ist eine Evaluierung des Modells möglich. Daher wurde eine
solche ausgeführt. Sie zeigt, dass
• Reale Situationen modelliert werden können
• Die Existenz der notwendigen statistsichen Daten gegeben ist
• Grundlegende Prinzipien des Modells von Experten akzeptiert werden
• Die Ergebnisse den Erwartungen der Experten entsprechen
• Nachvollziehbarkeit gegeben ist
Insgesamt sind das Konzept und das zugehörige Modell, welche hier vorgeschlagen werden, ein
erster, wichtiger Schritt in eine neue Forschungsrichtung: Schäden und Auftreten von
Sicherheitsvorfällen werden nicht mehr als Black Box betrachtet. Stattdessen werden die
Einflüsse auf diese Werte beschrieben und Nachvollziehbarkeit der Ergebnisse wird erreicht.
- iv - Abstract

Due to growing threats and regulatory requirements, many organizations ask for an adequate
protection against security incidents. Typically speaking, it is expressed in a question like: “Is it
worth it investing into X?” while X stands for a control protecting the organization.
This question seems rather trivial on first sight, however, the deeper meaning of “adequate” is
not easy to define. The organization’s staff and particularly management are normally interested
in low costs to receive good profit margins. Costs which are due to security mechanisms are
usually better visible than costs due to security incidents. As a result, there is the tendency to
decline investments in additional security controls. However, the security consultants’ opinion
is usually different. They usually earn a living from the installation of controls. Thus, they tend
to view the situation as being worse and install controls whenever possible.
Thus, objectivity of assessment is important. Many approaches have been developed, which
should give organizations the feeling of objectivity, for example the ISO/IEC 27001-series, the
German Baseline Protection Manual and risk assessment approaches in various forms (e.g.
NIST SP 800-30 and Mehari). However, the approaches are qualitative and objectivity is still
difficult to achieve.
However, a substantiated basis for investment decisions is necessary. It is known from real
world situations that the biggest problem is the lack of approaches to assess the rate of
occurrence and the average costs of security incidents.
Thus, an approach is required allowing traceable statistical and numeric assessment of
costs arising due to security incidents and the rates of occurrence of these incidents for
whole real world organizations.
The goal of this work is the assessment of the current situation—while the installation of
different sets of controls is discussed. The prediction of costs in future periods would be an
additional difficulty and is not addressed here. However, the model provided here can serve as
basis for assessment of future periods.
The basic idea of the suggested approach is the separation of three types of information which
are currently not being distinguished:
• Structural information, which is the definition of the existing attacks, existing controls,
and the associations between them.
• Statistical information, which refines structural information by adding information
about occurrence and probability. It describes e.g. the rate of occurrence of the different
attacks.
• Individual information, which d