PDF, Word 97 - bei DuEPublico - Universität Duisburg
Contents
1. berwachung Planung amp Organisation Betrieb amp Unterst tzung Beschaffung amp Implementierung CobiT Framework Domain Domain Domain Domain Planing amp Acquisition A Monitoring Organisation Implementation Delivery amp Supp rt Defi Ba Al1 DS1 M1 i Define Service Levels itori Information Techn Plan Identify Solutions Monitoring the Process M2 PO2 Al2 DS2 a Information Acquire and Maintain Manage Third Party mema Contre Architecture Application Software Services SS 0513 Manage Quality Managing Changes Manage Operations Provide ra Abbildung 32 CobiT Framework Zu jedem der 34 kritischen Prozesse 01 2 4 werden zwischen 3 und 30 Kontroll ziele zugeordnet die ber 30 nationale wie internationale Standards integrieren wodurch ein hoher Abstraktionsgrad der Kontrollziele existiert Hierdurch l sst sich die CobiT unab h ngig auf unterschiedliche Plattformen und Gesch ftsfelder anwenden Insgesamt wird Co 267 ISACA 1998 S 13 und Eloff Solms 2000 S 249 268 Vol Junginger Kremar 2002 S 363 269 Vgl Cobit 2001 Kapitel 270 Insgesamt 318 Kontrollziele in d2. heuristische Klassifikation Hypothesen SE pr ventive generierung Methoden RE Top Down Basis Inferenzen der heuristischen Klassifikation Strategie ER reaktive Hypothesen Methoden berpr fung hierarchische Modelle heuristische Klassifikation IS Sicherheits Boerse management Merkmalserkennung Seele Vorgabenmodelle Ursachen Diagnose reaktive Methoden Hypothesen Basis Inferenzen der Strategie pr ventive modellbasierten Diagnose kausale Modelle Methoden Hypothesen modellbasierte berpr fung Wirkungs Diagnose Probleml sungs IS Sicherheitsstrategien Basis Inferenzen konzepte Abbildung 72 Anwendungsorientierte IS Sicherheits Probleml sungsmethoden Die Basis Inferenz Merkmalserkennung basiert auf Vorgabenmodellen und wird f r Prob leml sungsmethoden der IS Sicherheitsstrategien bis auf ein pr ventives Bottom Up in gleicher Form verwendet Die pr ventive Bottom Up Strategie die auf einer Vorhersage von m glichen gef hrdenden Ereignissen basiert ben tigt zur Hypothesengenerierung keine klassische Merkmalserkennung da sie auf angenommenen Ursachen beruht und nicht auf erhobenen Merkmalen wie z B Wirkungen F r eine berpr fung der vorhergesagten Hypo thesen k nnen Merkmale erhoben werden welche die vorhergesagten Hypothesen best tigen oder
3. E Ge ei UONEIZOSSY x zuanbasuoy weg rekursive Verdachtsbewertung direkte assoziative Hypothesengenerierung Abbildung 110 Direkte Top Down Hypothesengenerierung und Verdachtsbewertung 198 Entwurfsmodell 4 3 2 1 2 Hierarchische Hypothesengenerierung und berpr fung Hierarchisch verkn pfte Assoziationen werden durch hierarchische Kapitel und Fragestruk turen sowie durch zus tzliche assoziative Ersetzungsregeln dargestellt Hiermit wird die Establish Refine Strategie auf Fragenkataloge angewendet Aufgrund von Antwortwerten werden verkn pfte Fragen durch Ersetzungsregeln automatisch beantwortet Dabei werden Verdachts Schwachstellen durch automatisch beantwortete Fragen und deren Antwortbau stein dargestellt Eine einfache hierarchische Hypothesen berpr fung kann durch offene automatisch beant wortete Schwachstellen Fragen erfolgen Die Verdachts Schwachstellen werden durch be antwortete Ma nahmen und Konsequenz Fragen aktiviert Diese aktivierten Verdachts Schwachstellen werden bei offenen Fragen dem Benutzer pr sentiert der dann den Verdacht best tigen oder durch Aktivierung einer anderen Antwortm glichkeit revidieren kann Es ist aber auch m glich die Verdachts Schwachstellen durch Antwortbaus
4. J ISLASU SSIM sup JIPON Jsaj1ueWw 5 sopuaua u s yzod H sal ue Belle AE e EE as Sale 11425 y esun D uses asayjodAH 4 u s yjod H ausge jshdey 28 8 8 uass m 911915 san yenjenb 1 2 8 A u s yod H uass m san yeyjuenb Duniauauab 5 assep DT Iyemsne sBunyysegoag u ssep 5 191 Entwurfsmodell 4 3 1 Merkmalserkennung Die eigentliche Differenzierung der Merkmalerkennung erfolgt durch unterschiedliche Vor gabenmodelle Das Vorgabenmodell besteht aus erfo
5. gt Y L t 7 We berpr fung P Ca e D KI 411 Als Erstes erfolgt die Beschreibung des Ziels der Diagnose L sungen werden auf Basis von Beobachtungen und Merkmalen hergeleitet Beschreibung der Diagnoseaufgabe Um dieses Ziel zu erreichen werden auf einer dom nenunabh ngigen Ebene Kontrollstrukturen be schrieben wie die Generate and Test oder Hypothesize and Test Strategie die auf der Gene rierung von Hypothesen und deren berpr fung basieren generische Kontroll bzw Aufga benmethoden zur Bew ltigung der Diagnoseaufgabe Die Kontrollmethoden werden in Teilaufgaben bzw Basis Inferenzen zerlegt die wiederum in Inferenz Strukturen aufgeteilt werden Der Unterschied zwischen Teil Aufgaben und der Inferenzebene besteht in der Verkn pfung mit dem Dom nenmodell W hrend die Aufgaben ebene weitgehend unabh ngig von dem Dom nenmodell ist besitzen Inferenz Strukturen Vgl Schreiber et al 2000 S 113 12 Schreiber et al 2000 S 112 126 Expertisemodell durch Wissens Rollen Schnittstellen zwischen der Probleml sung und der Dom ne Zusam menfassend enthalten Probleml sungsmethoden folgende wesentliche Bereiche e Aufgabenbeschreibung der Diagnose e Aufgaben bzw Kontrollmethoden sowie deren Basis Inferenzen Ovale u
6. beantwortete Frageb gen frageb gen qualitative quantitative Auswertung Auswertung Les Erkl rung Fragen und Kapitel Verkn pfungsregeln struktur und aktivierte Ersetzungsregeln Ablaufsteuerungsregel Generierungsregeln Generierungsregeln berpr fungs regeln HTML 100 Dokumente H 80 70 _ _ Wissensbasis Abbildung 134 Architektur der Diagnose Shell zur Erstellung von wissensbasierten Fragen katalogen Das WBS zur Erstellung wissensbasierter Fragenkataloge wird durch verschiedene Module realisiert die miteinander verkn pft sind Diese Module k nnen eigenst ndige Programme oder Teile eines gesamten Programmpakets darstellen wobei diese Module vielf ltige Inter dependenzen besitzen Bei der folgenden Betrachtung der Module des WBS ist eine Unter scheidung zwischen dom nenspezifischer und fallspezifischer Sicht n tig e Bei der Konstruktion des dom nenspezifischen IS Sicherheitswissens in Form von Fra genkatalogen wird versucht einen m glichst gro en Bereich des IS Sicherheits managements abzudecken e Aus fallspezifischer Sicht wird dieses umfangreiche Wissen auf den konkreten Fall ber f hrt und die erforderlichen Informationen erhoben 237 Implementierung e F r die Wissensnutzung werden beide Bereiche dom nen und fallspezifisches Wis
7. Konsequenz 2 sS Abbildung 76 Wirkungs und Ursachenanalyse Diese beiden Analysemethoden werden ebenfalls in der FMEA angewendet wobei sie hier als Fehlerbaumanalyse nach DIN 25424 und Ereignisablaufanalyse nach DIN 25419 be zeichnet werden Die Fehlerbaumanalyse kann inhaltlich mit der Ursachenanalyse und die Ereignisablaufanalyse mit der Wirkungsanalyse gleichgesetzt werden Beide Analysefor men basieren auf Systemmodellen wobei insbesondere deren kausale Abh ngigkeitskonzepte von Bedeutung sind Im Folgenden erfolgt eine Zusammenstellung der berf hrung der Basiskonzepte des Bot tom Up IS Sicherheitsmanagements auf die Wissens Rollen der spezifischen Probleml sungsmethode modellbasierte Diagnose 3 4 2 3 1 Reaktive Ursachen Probleml sung Die Ursachenanalyse versucht ausgehend von einem potentiellen Fehlzustand Konsequenz dessen m gliche Ursache zu analysieren Dadurch ist es m glich den Entstehungspfad des Schadens Konsequenz bis zur Quelle hin zu untersuchen Die Ursachenanalyse hat einen reaktiven Charakter da Fehlzust nde aufgetreten sind und deren Ursprung erkl rt werden soll 7 Vgl M ller Tietjen 2000 S 53 38 Vgl Stelzer 1993 S 218 148 Expertisemodell Basis Inferenzen der reaktiven modellbasierten Diagnose Reaktiv werden aufgetretene Konsequenzen
8. 46 2 2 1S Sicherheitspolitik 48 2 3 IS Sicherheitsstrategien s0ossossonneonneonnesnnssnssnnssonsnnnssnnsnnnenssonnennnennnssnnnsnnsnnssnnssnnssnnsnnnennnssnnssnnssnnsee 54 2 311 55 2 3 1 1 1 ege eigene de 56 2 3 1 2 EMEA Verfahren elek LEE 59 2 3 2 Top Down Ansal 61 2 3 2 1 IS Sicherheitskriterien EES 65 2 3 2 2 Sicherheits Schwachstellenanalyse GibasA 79 2239 Seed 83 2 4 Integriertes IS Sicherheitsmanagement u surs0r00s00n00n0000n0nnennsnnssnnsonsnnsonsnnsnnsnnssnssnnsnnsonsnnssnsnnsnnennn 88 3 EXPERTISEMODE 1 E 93 31 105 Een 94 311 en 94 3 1 2 Erfahrunge wissen 95 3 1 3 Explizites Erfahrungs Wissen enoei ennen ensav e oros or Ernir Er Ere nE CENDEK er erre eE nen 98 3 1 4 _ Explizites Vorschriften Wiss n iein oiean euena oon er SEENEN NEESS 100 3 2 Dom nenmodell der IS Sicherheitsstrategien sorssorssonsonssonsonnssnnssnsennnsnnnsnnsssns
9. 15 026 26 el eydnuy an zuenbasuoy _ yogu gt reaktive Bottom Up Hypothesen berpr fung reaktive Bottom Up Hypothesengenerierung Ersetzungsregeln 206 Abbildung 116 Reaktive Bottom Up Hypothesengenerierung und berpr fung basierend auf Entwurfsmodell Hypothesengenerierung und berpr fung basierend auf Generierungsregeln Ausgehend von den ermittelten Konsequenzen k nnen die Generierungsregeln ableiten wel che Ursachen eine Konsequenz berdeckt bzw erkl rt berdeckend bedeutet dass die Gene rierungsregeln und ihre Ursachen Vorbedingungen ausgew hlt werden welche die beobach teten Konsequenzen erkl ren k nnen Hierbei kann es zu Mehrfachl sungen kommen welche dann durch den Benutzer nachzupr fen sind Zur Strukturierungshilfe werden die jeweiligen Ursachen eines Ereignisses zusammengefasst Ist die Vorbedingung erf llt ist von einem ge f hrdenden Ereignis auszugehen In der Hypothesengenerierung werden Ursprungs Konsequenzen welche in der Merkmalser kennung noch nicht ber cksichtigt worden sind r ckw rtsorientiert aktiviert und erhoben Zur Darstellung von Zustands nderungen der Konsequenzen werden die logischen Ergebnisse Konklusionen in den Vorbedingungen anderer Generierungsregeln als Ursachen verwendet Die Ursprungs Konsequenzen best tigen oder widerlegen so
10. UOUDD J INEISIG 5 PIM 4 SIE 151 05 BunynidisgnussayjodAH uszuanbasuoy 1 nz u qoy y mzu nb suoy u zu nb suoy 1 1 205 1 51 6 yemsnes unynidisgn 4 2 usus p 7 yos rels 5 Bue sny u zu nb suoy 51 u zu nb suoy Geer A 55 geseit usyayb ueygy 4 N u zu nb suoy
11. 2 ewen Leyeypsua le sbunypegosg Spue snz l puejsnz awyeugeyy UOA 151 SIE 1 65 yalsjbleN 15 10 Bjoa Bunuusyussjeumuoyy lt uassea nz siseg uswueugey y 7 2 15 uswyeugeyy Bue sny lt 4 uswuyeugey 18105 2 jsse BS a uewyeugen en ENEE uswyeugeN d N pun JJ Hem pun SE 4 d jyemsne N er usyeyosua o sBunpegosg u wyeuyeN ays s aq
12. 4 _ u n yuybuiyuey u alalsyoemyag 26 zu nb suoy E Feel s ublelg GITT s pu p yg s u la13 osAjeues unyumM 5 UYUUOY 92 a ssellannz 91124 4 u zu nb suoy uaysesin u zu nb suoy ny 2 op ass u lelg pun u zu nb suoy 7 usyoy ueygqy sBunyum uoyoesiNn yos rels 5 5 pun uBysesiNn sIysepuen Bue sny zuanbasuoy 5
13. 161 41 Formalisierungsgrundlage f r sicherheitsrelevante Konzepte zursorsosssnsonessssnssnrsonsnnsonsnnsnnsnnenene 163 4 2 Wissensbasierte Fragenkataloge 170 4 3 berf hrung der Basis Inferenzen der IS Sicherheitsstrategien auf das fragenkatalogorientierte TEE 190 5 IMPLEMENTIERUNG ine 211 51 Architektur und Komponenten von wissensbasierten Systemen sursorsnssnssnessssnssnnsonsnnsnnsnnennnnnn 215 5 2 Vorstellung von ausgew hlten Realisierungsm glichkeiten 217 5 3 Prototypische Realisierung einer Diagnose Shell zur Erstellung von wissensbasierten Fragenkatalogen cuss0s0000ssonsnssnnsnnsnnsnnennssossnnsnnsnnsnnsnnsnnssnssnnsnnsnnssnsnnssnnsnssnnsnnsnnssnsnnssnssnssnnsnnsnnsnnnsnne 233 6 SCHLUSSBETRACHTUNG 22 225052250850200s2 202200 0209s0000280020 5nensses nesnsnssnossnensenssenesnndenne 255 6 1 255 6 2 257 6 3 ERT 259 ANHANG A E 261 ANHANG 267 1 7 272 Inhalts bersicht iv
14. 2 5 Ny 91120556 7 uoleIzossy 15 5 5 uswyueugeyy uogeizossy appes lt __ lt 02 zuenbasuoy Jeinep 4 2 5 A uoperzossy N Saup 4 4 2 ww u p m q 5 umoq doL 263 Anhang A yo bow 55 Jop 15 05
15. 5 u zu nb suoy p os uoperzossy N fa Saep anpinpge Buyuey SL N 327 EEE ueueyuyoyisig pun s ublalg zusnbosuoy zuenbesuoy 1 271 Literaturverzeichnis Ackoff 1968 Ackoff R L Management Misinformation Systems In Management Science Vol 14 4 1968 pp 147 156 Adam 1995 Adam U Einf hrung in die Datensicherheit W rzburg 1995 Alex 1998 Alex B K nstliche neuronale Netze in Management Informationssystemen Wiesba den 1998 Altenkr ger 1992 Altenkr ger D Wissensbasierte Systeme Braunschweig Wiesbaden 1992 Angele Fensel Studer 1998 Angele J Fensel D Studer R Vorgehensmodelle f r die Entwicklung wissensbasier ter Systeme In Kneuper R M ller Luschnat G Oberweis A Hrsg Vorgehens modelle f r die betriebliche Anwendungsentwicklung Teubner Reihe Wirtschaftsin formatik Ehrenberg D Seibt D Stucky W Hrsg Stuttgart Leipzig 1998 S 168 188 Atteslander 1995 Atteslander P Methoden der empirischen Sozialforschung 8 Aufl Berlin New York 1995 Bachem 1994 Bachem J Vorgehensmodelle
16. Systemmodell Fragen CW unternehmens spezifisches IS OOI Sicherheits z wissen zd E OO OOO hohe hohe Praktikabilit t Ausdrucksst rke Abbildung 86 Objektorientierte und fragenorientierte Formalisierung Beiden Repr sentationsformalismen ist gemeinsam dass sie auf einer Objekt Attribut Wert Struktur basieren Objekte stehen f r Gegenst nde oder Begriffe z B aus dem IS Sicherheitsbereich deren Eigenschaften in Form von Attributen beschrieben werden Die Eigenschaften k nnen Werte annehmen die den Auspr gungen der Attribute entsprechen Objekt Attribut Wert Regelung der vorhanden Benutzerberechtigung 3a organisatorische nat Personalschulung 1 Nein Ma nahme 9 ai Richtlinien f r vorhanden Teilweise Ausnahmef lle Abbildung 87 Einfache Objekt Attribut Wert Struktur 165 Entwurfsmodell In der Abbildung 88 ist ein Beispiel f r eine Objekt Attribut Wert Struktur Es werden organisatorische Ma nahmen durch drei Attribute beschrieben welche Werte wie vorhanden nicht vorhanden oder teilweise vorhanden annehmen Auch Fragen k nnen Objekte Attribute und deren Werte repr sentieren indem Fragen Antwortm glichkeiten zugeordnet werden Diese Antwortm glichkeiten k nnen Werte annehmen wodurch Fragen zugleich einen Merkmalsindikator darstellten Der Unterschied zwischen den be
17. Abbildung 100 Automatische Ablaufsteuerung Die Ursprungsfrage Frage 1 ermittelt ob z B ein sicherheitsrelevantes Element im Unter nehmen berhaupt existiert oder welches IS Sicherheitsniveau ben tigt wird Aufgrund der Beantwortung der Ursprungsfragen werden dann gezielt Fragen Fragen 2 4 als nicht rele vant markiert und bersprungen da sie z B f r eine berpr fung nicht ben tigt werden 4 2 3 2 Ersetzungsregeln Die Ersetzungsregeln dienen der automatischen Beantwortung von Fragen durch das System Eine Ersetzungsregel ver ndert durch ihre automatische Beantwortung zus tzlich den Zustand einer Frage auf Beantwortet Die automatisch beantwortete Frage kann f r den Benutzer verdeckt beantwortet werden oder in Form einer offenen beantworteten Frage Vorschlagsbe antwortung wobei die Vorschlagsantworten durch den Benutzer revidiert werden k nnen So besitzen verdeckte Fragen den Charakter einer sicheren L sung dagegen stellen offene Fra gen einen Vorschlag dar der durch den Benutzer best tigt oder widerlegt werden kann Automatisch beantwortete Frage verdeckt beantwortete Frage offen beantwortete Frage Antwortbaustein Antwortbaustein Verdeckte Abbildung 101 Formen automatisch beantworteter Fragen 77 Eine weitere M glichkeit der Erhebungssteuerung bietet das direkte Anspringen von Fragen aufgrund einer bestimmten Antwort der Ursprungsfrage Auf
18. IT Sicherheitskonzept defizit re Ma nahmen IT Grundschutz erstellen Abbildung 36 Zusammenhang zwischen IT System IT Baustein Ma nahmen und Gefahr Schutzbedarfsermittlung Schutzbedarfsfeststellung Zuerst werden alle vorhandenen und geplanten IT Systeme erfasst wobei gleichartige IT Systeme aus Komplexit tsreduktionsgr nden in Gruppen zusammengefasst werden An schlie end werden die laufenden und geplanten IT Anwendungen ermittelt und dargestellt Die ermittelten IT Anwendungen werden dem jeweiligen IT System zugeordnet i d R besitzt jedes IT System 1 bis Anwendungen Dabei werden die wichtigsten IT Anwendungen und deren Informationen aufgrund ihres vorl ufigen Schutzbedarfs vorsortiert F r eine detaillierte Analyse des Schutzbedarfs werden die Sch den und deren Konsequenzen ermittelt die bei Verlust von den drei Basiszielen Vertraulichkeit Integrit t und Verf gbarkeit je IT System und IT Anwendung auftreten k nnen Die erwarteten Sch den und ihre Konsequenzen wer den in drei Schutzbedarfskategorien eingeteilt niedrig bis mittel hoch und sehr hoch So sind bei niedrigem bis mittlerem Schutzbedarf die Konsequenzen begrenzt wohingegen bei hohem bis sehr hohem Schutzbedarf die Konsequenzen betr chtlich sein K nnen Die Sch den der einzelnen IT Anwendung die jedes IT System betreffen k nnen werden zusammenge fasst und in ihrer Gesamtheit ermittelt Es ist auf Abh ngigkeiten und Kumu
19. 5 5159 Ueleg M 9 paras uasnequomuy zu nb s UOY uiazsnequomuy JEN Swyeugey uiazsnequomuy 2 26 SIISYIEMYUIS SIUDERISA uasnequomuy 4 Dun usodi H lt i u yeyosu fi ES s mensne N II9POIN Le Bunjnid san E ee 2 98134 5 Anne ayas yalela y _ 2 9514 20556 1 2
20. D 2 Riskobewertung Risikobew ltigung Abbildung 21 Vorgehensmodell der Risikoanalyse In der Abbildung ist der iterative Prozess der Risikoanalyse beschrieben wobei die Validie rung bzw Kontrolle der Phasen als R ckkopplung dargestellt wird Zwischen den einzelnen Phasen besteht ein flie ender bergang teilweise lassen sich die Phasen nicht eindeutig tren nen Systemabgrenzung In dieser Phase werden die sicherheitsrelevanten Aspekte der Elemente und Beziehungen der zu analysierenden Informationssysteme systematisch identifiziert erfasst und dargestellt Der Detaillierungsgrad der Erhebung und Beschreibung kann den jeweiligen situativen Fakto ren wie Aufwand oder vorhandene Ressourcen angepasst werden Das Ergebnis der Erfas sung und Beschreibung wird als Systemmodell oder Strukturmodell bezeichnet das als Basis f r die folgenden Phasen dient Wenn ein sehr komplexes System entsteht k nnen die sicherheitsrelevanten Objekte eventuell nach Kriterien priorisiert werden Die Ergebnisse des ersten Schrittes gehen meist flie end in den zweiten Schritt die Risikoerkennung ber Risikoerkennung Auf Basis des Systemmodells erfolgt mit der Bedrohungsanalyse und Verwundbarkeitsanaly se oder Schwachstellenanalyse im engeren 5 92 eine inhaltliche Beschreibung der Risi ken Die Bedrohungs bzw Gef hrdungsanalyse dient der Ermittlung und Analyse von Be drohun
21. Ayej99 rel 5 5 out Ee E 7 bunpepiegn 2 d zusnbesuoy u dis 25 5 2 uaypesiN zuanbasuoy osAjeueuaysesiNn 265 Anhang A jq snejd sje UHUUOY u zu nb suoy SIE Ya z ll lan 2251 1 ap u zu nb suoy 20 puis u zu nb suoy yone SIE Ueysesin Iyansa u p m u zu nb suoy ANZ uszusnbesuoy Bu
22. E UONBIZOSSY 0 zusnbasuoy 5 6 hierarchische Hypothesen berpr fung hierarchische Hypothesengenerierung berpr fung Abbildung 111 Hierarchische Top Down Hypothesengenerierung und Komplexe Hypothesengenerierung und berpr fung 4 3 2 1 3 Die komplex verkn pften Assoziationen basieren auf Generierungsregeln Hierf r werden zwei getrennte Merkmals und Verdachtshierarchien erstellt deren Verkn pfung ber kom plexe Generierungsregeln erfolgt Im folgenden Beispiel werden verschiedene Antwortwerte und eventuell vorhergehende logische Aussagen Konklusionen als Vorbedingungen Pr 200 Entwurfsmodell missen abgebildet Diese Pr missen k nnen zu komplexen Pr missenverkn pfungen zusam mengefasst werden Falls die Ersatzregel feuert werden verdeckte Fragen automatisch be antwortet und deren Antwortbausteine werden aktiviert Das Ergebnis der Generierungsregeln Konklusion kann wiederum in anderen Regel Vorbedingungen als Pr misse verwendet wer den und die verkn pften Regeln aktivieren Bei der komplexen Hypothesen berpr fung werden ausgehend von der Verdachts Schwachstelle zun chst durch Verkn pfungsregeln zus tzliche Merkmalsfragen zur berpr fung aktiviert Die Erfassung Abstraktion und Merkmalserkennung erfolgt vergleichbar zu der Merkmalserhebung Wenn die Vorbedingung der berpr fungsregel fe
23. 52 ES 2 518 9 Bunynidisan Bunisusua Bunuuay o u s yjod H u s yjod H aeS aleg dn wonog umog doL stuswa euew 5 5 s p 137 Expertisemodell 3 4 1 IS Sicherheits Dom nenkonzepte Die Basis und Probleml sungskonzepte aus Kapitel 3 2 2 und Kapitel 3 2 3 werden im Fol genden erweitert 3 4 1 1 Dynamische Basiskonzepte Die Basiskonzepte enthalten das dynamische Dom nenwissen das f r die meisten Probleml sungsmethoden ben tigt wird Deshalb erfolgt die Beschreibung m glichst unabh ngig von spezifischen Probleml sungsmethoden im Gegensatz zu den Probleml sungskonzepten Das Basiswissen enth lt vor allem formalisierte und normierte Fachausdr cke wie Ma nahmen Schwachstellen Gefahren Konsequenzen usw Die Strukturierung der Basis Konzepte erfolgt h ufig mit Hilfe von Hierarchien Diese Basiskonzepte werden auf dynamische Eingangs und Ausgangs Wissens Rollen berf hrt 3 4 1 2 Anwendungsorientierte statische Probleml sungskonzepte Abh ngigkeitsmodelle Die Konzepte der Abh ngigkeitsmodelle werden von den spezifischen Abh ngigkeitskonzep ten zu deren jeweiligen Probleml sung verwendet indem sie in deren statische Wissens Rollen berf hrt werden Da diese s
24. UEN 5 USSAIEUSIEDDIDU 11 1 102890116490 EE Epo w Uess uoge uou 4 ueugt ac 5 5 ayapa piaz 2 gt S zyesuy Sail dr wopog Umog doL sap pun anrus estul USUUEUSEIWN ZEUISDUPLIE 151 05 aulajsneg L pun anpingsequ Bungunsspepaganuss usgneg j LI usuysusje pr ulsjeneg yaaan 51 105 Saar uoys payaya Sap 3 5 0 lt Sue 05 a443 5 5 apaguawnyop 2 1514105 3s leuy auals plepuels ajwesa ap muy agyag 5 yanp pan vs uruam
25. 153 ABBILDUNG 81 TEMPLATES DER BASIS INFERENZEN F R DIE IS SICHERHEITSSTRATEGIEN 154 ABBILDUNG 82 BERF HRUNG DER TOP DOWN UND BOTTOM UP PROBLEML SUNG AUF DIE BASIS INFERENZ TEMPLATES coira seinir E A EES 155 ABBILDUNG 83 PR VENTIVE TOP DOWN HYPOTHESEN BERPR FUNG ALS MABNAHMEN SIULI LEE 157 ABBILDUNG 84 GLEICHZEITIGE PROBLEML SUNG DER BOTTOM UP UND TOP DOWN IS SICHERHEITSSTRATEGIEN eau A 280 le 158 ABBILDUNG 85 AD QUATHEIT DER 161 ABBILDUNG 86 OBJEKTORIENTIERTE UND FRAGENORIENTIERTE FORMALISIERUNG 165 ABBILDUNG 87 EINFACHE OBJEKT ATTRIBUT WERT 5 2 224244242 22 165 ABBILDUNG 88 PRAKTIKABILIT T UND AUSDRUCKSSTARKE 166 ABBILDUNG 89 PROBLEME BEI DER BERF HRUNG VON REFERENZMODELLEN IN UNTERNEHMENSSPEZIFISCHE 5 22 169 ABBILDUNG 90 GRUNDSTRUKTUR EINES WISSENSBASIERTEN FRAGENKATALOGS 171 ABBILDUNG 91 WISSENSBASIERTER FRAGENKATALOG IN 171 ABBILDUNG 92 REPR SENTATION VON IS SICHERHEITSWISSEN IN FRAGENKATALOGEN 173 ABBILDUNG 93 ANTWORTTYPEN EINER FRACK 174 ABBILDUNG 94 ZUSTANDSFORMEN VON 175 ABBILDUNG 95 VERKN PFUNG ZWISCHEN MERKMALSINDIKATOR UND ANTWORTMERKMAL SEENEN EES ENEE
26. 1998 Entwurf einer Verordnung ber die technische und organisatorische Umsetzung von berwachungsma nahmen in der Telekommunikation Telekommunikations berwachungsverordnung TK V Stand 11 05 1998 Ver ffentlicht im Internet URL http www digital law net papers TKUEV html Stand 10 12 2002 TKV 2002 Telekommunikations Kundenschutzverordnung TKV vom 01 01 1998 Ver ffentlicht im Internet URL http www netlaw de gesetze tkv htm Stand 10 12 2002 Traummi ller Lenk Wimmer 2001 Traumm ller R Lenk K Wimmer M Wissensmanagement und E Government In Schnurr H P Staab S Studer R Stumme G Sure Y Hrsg Professionelles Wis sensmanagement Erfahrungen und Visionen Aachen 2001 S 381 392 Turban Aronson 1998 Turban E Aronson J E Decision Support Systems and Intelligent Systems 5 ed New Jersey 1998 Volz 2001 Volz R Eine kleine Einf hrung in Ontologien Vortragsfolien zum Workshop Be griffliche Formalisierung von Prozessen und Systemen an der TU Dresden vom 2 No vember 2001 Ver ffentlicht im Internet URL http math tu dresden de rudolph Dresden_Workshop ppt Stand 10 12 2002 Vo Gutenschwager 2001 Vo S Gutenschwager K Informationsmanagement Berlin u a 2001 298 Vo bein J 1999 Vo bein J Integrierte Sicherheitskonzeptionen f r Unternehmen Ingelheim 1999 Vo bein R 1994a Vo bein R Schwachstellenanalyse Ersatz oder Erg nzung
27. amp uasnequomuy ujoba sbuniouausg uaryale a y _ sonyejenb SEN 4 s ublaJg zusnbassuoy eydnuyan _ 4 2 9513 ajesney 1 1 N s ublaug zusnbasuoy _ 4 22 1 miD o Zei 00 c o 20 459 ar 22 1 o GE c o 29 _ Abbildung 118 Pr ventive Bottom Up Hypothesengenerierung 210 Implementierung 5 Implementierung Die Implementierung des WBS ist als eine Umsetzung des formalen Entwurfsmodells anzu sehen wobei diese Transformation einen flie enden bergang des Expertisemodells auf der Wissensebene hin zur Implementierung auf der Symbolebene darstellt Im Rahmen des KE wird neben dem Begriff wissensbasiertes System auch h ufig 293 verwen det wobei eine eindeutige Abgrenzung der Begriffe aufgrund eines b
28. zuenbasuoy uszuanbasuoy gt zuanbasuoy L PENINE 2 SS Se ap uejsneqpomuy uepnegpomuy uejsneqpomuy uejsneqpomuy u y s nN Juge MENEE gt Cg Sunyn d san Na SR ueseyodiy 7 1 929 BG 7 N us unyoegosg Pun Uesspig A 9 1 veweng 79 yo SE A 26 s u ie1g nz SE d Dumpepuent Stu 1a13 4 zu nb suoy __ __ A 5 7a 9 o OFS nn Z xc olo gt ac
29. 22 2 22 4 1 0 0 0 0000 24 ABBILDUNG 4 HISTORISCHE ENTWICKLUNG DES 26 ABBILDUNG 5 KERN EINES WBS DER ERSTEN GENERATION nen 27 ABBILDUNG 6 TRANSFER UND MODBLLIERUNOGSANS AT 28 ABBILDUNG 7 KONZEPT DER HEURISTISCHEN KI ASSIPIK ATION nenn 30 ABBILDUNG 8 GRUNDKONZEPT F R EINE STRUKTURIERTE DARSTELLUNG DER PROBLEML SUNGSMETHODEN DER DIAGNOSE NACH DEM TASK STRUCTURE ANSATZ 32 ABBILDUNG 9 GRUNDKONZEPT F R EINE STRUKTURIERTE DARSTELLUNG DER PROBLEML SUNGSMETHODEN DER DIAGNOSE NACH DEM CONFIGURABLE ROLE LIMITING METHODS ANSATZ 002 A 33 ABBILDUNG 10 BEISPIEL EINES EXPERTISEMODELLS F R DIE SCHWACHSTELLEN DIAGNOSE AUF BASIS DER PROBLEML SUNGSMETHODE HEURISTISCHE KLASSIFIKATION 35 ABBILDUNG 11 ENTWICKLUNGSRAHMEN DES KNOWLEDGE ENGINEERINGS F R DAS IS SICHERHEITSMANAGEMENT 22 desen 37 ABBILDUNG 12 KONZEPTIONELLE L CKE use 39 ABBILDUNG 13 ABGRENZUNG VON INFORMATION DATEN UND ZEICHEN An 41 ABBILDUNG 14 BERSICHT UND ABGRENZUNG DER RELEV ANTEN SICHERHEITSBEGRIFFE IM KONTEXT VON INFORMATIONSSYSTEMEN A 43 ABBILDUNG 15 ABGRENZUNG VON IT UND 15 5 45 ABBILDUNG 16 PHASEN DES 5 5 2 47 ABBILDUNG 17 ZUSAMMENHANG ZWISCHEN UNTERNEHMENS UND INFORMATIONSZIEL 51 ABBILDUNG 18 Z
30. gung gung wenn Gefahr DANN UND Ele Kg ment SE Schwach stelle berf hrt in kausale Ersetzungs und Generierungsregeln Antwortbaustein Ursache Antwortbaustein Ursache Ersetzungsregeln Ge Wirkung Ersetzungsregeln WENN DANN WENN DANN Antwortwert Antwortwert Antwortwert Antwortwert Antwortbaustein Antwortbaustein Antwortbaustein Antwortbaustein Merkmal Merkmal Ursache Ursache SN ER 9 gt enen SS WENN Merkmal DANN L sung Antwortwerte d WENN Ursache DANN Wirkung Tabelle 19 berf hrung der Probleml sungskonzepte in Regeln Kausale Regeln lassen sich einfacher angeben weil das Kausalit tsprinzip direkt vorw rts orientiert beschrieben werden kann Daf r ist die Auswertung bei kausalen Regeln schwieri ger da die Regeln im Gegensatz zu den assoziativen nicht direkt anwendbar sind Dies r hrt daher dass bei einer reaktiven Bottom Up Strategie von beobachteten Konsequenzen berdeckend r ckw rtsorientiert auf deren Ursachen geschlossen wird Die Anwendung der Probleml sungskonzepte auf die IS Sicherheitsstrategien wird durch das Kontrollsystem fest gelegt Hierbei wird insbesondere die Interpretationskomponente gesteuert die wiederum festlegt wie die Regeln abgearbeitet werden 4 Das gef
31. uswyeugenN 9 usysesin 37 In Anlehnung an M ller Tietjen 2000 S 49 und erweitert auf die IS Sicherheitsproblematik 115 Expertisemodell Kausalmodell des gef hrdenden Ereignisses In dem folgenden Kausalmodell wird die kausale Kette von der Gefahr ber das gef hrdende Ereignis bis zur Konsequenz dargestellt Im Schaubild werden die Ma nahmen auf Basis des Wirkungszeitpunktes differenziert eventuell R ckkopplung Tester gef hrdendes Ereignis direkte Sen Sen indirekte Gefahr sich rel Konse Konse quelle Bedrohung Element quenzen quenzen Sicherheitsma nahmen sich rel Element sicherheitsrelevantes Element Abbildung 51 Kausalmodell des gef hrdenden Ereignisses Durch diese Darstellung wird deutlich dass Ma nahmen in unterschiedlichen Abschnitten des Kausalmodells realisiert werden wobei eine Ma nahme am Anfang des Kausalmodells positivere Wirkung aufweist als Ma nahmen am Ende des Kausalmodells Das Kausalmo dell besitzt somit das Wissen um die Konsequenzen eines gef hrdenden Ereignisses vorher zusagen oder die Ursachen von Konsequenzen zu erkl ren Durch die modellhafte Abbildung der R ckkopplungen wird die Komplexit t der Beziehung zwischen den Sicherheitsaspekten deutlich So kann die Konsequenz Wirkung eines gef hrdenden Ereignisses wiederum eine Gefahr Ursach
32. Suel L 19189 lt 8 1 IsIeq 9 SES lt ER BE uoponpge N pet sasayjodAy Ze 4 4 N geg IFANS IS L pun ZunI FUnJ eIsIEPSSNIFUSIEA CO 8 s sou eip 6 jeuon ppe A s s y od y 5 s seygodiy_ uoNenIasgo Mm S 416 Vol Puppe Stoyan Studer 2000 S 620 47 Vgl Heijst 1995 S 14 18 Vol Benjamins 1993 5 49 128 Expertisemodell 3 3 2 Basis Inferenzen der Diagnose Es erfolgt eine Erl uterung der folgenden Basis Inferenzen Merkmals Hypothesen Hypothesen erkennung generierung berpr fung aus Beobachtungen die aus Merkmalen die Best tigung Herleitungen und die Ermittlung von oder Widerlegung Abstraktion von Hypothesen sowie Verfeinerung Merkmalen von Hypothesen Abbildung 64 Basis Inferenzen der Diagnose 3 3 2 1 Merkmalserkennung und Abstraktion In
33. 5 Orc o L Sb EZ To gt 1E Abbildung 117 Reaktive Bottom Up Hypothesengenerierung und berpr fung basierend auf Generierungsregeln 208 Entwurfsmodell 4 3 2 2 2 Pr ventive Bottom Up Hypothesengenerierung Die pr ventive Hypothesengenerierung basiert auf den gleichen Ersetzungs und Generie rungsregeln der reaktiven Hypothesengenerierung Die konsequente vorw rtsorientierte An wendung der Ersetzungs und Generierungsregeln erlaubt eine kausale Simulation Ausge hend von angenommenen Ursachen werden deren Konsequenzen vorhergesagt wobei auch Zustands nderungen von Konsequenzen ber cksichtigt werden k nnen 209 Entwurfsmodell Bunya m eysesin de 7 7 O 5 KI _zuenbasuoy zuenbesuoy Men _Zuenbesuoy_ u zu nb suoy 0 4 zu nb suoy C Jupe _ C go aen ei 2
34. Benjamins 1995 Benjamins V R Problem solving methods for diagnosis and their Role in Knowledge Acquisition In International Journal of Expert Systems Vol 8 2 1995 pp 93 120 Berger H ntschel 1996 Berger W W H ntschel I Erfolgreiches Sicherheitsmanagement Eine Fallstudie In Bauknecht K Karagiannis D Teufel S Hrsg Sicherheit in Informationssystemen Beitr ge der Fachtagung 51596 in Wien vom 21 22 M rz 1996 Z rich 1996 5 37 52 Borkowski 2001 Borkowski V Expertensystem Anwendung in der Betriebswirtschaft In Mertens P Hrsg Lexikon der Wirtschaftsinformatik 4 Aufl Berlin u a 2001 S 193 195 Borndorff Eccarius 1998 Borndorff Eccarius S Rechnergest tzte Wissensakquisition f r wissensbasierte Diag nosesysteme im Bereich dynamischer technischer Systeme Sankt Augustin 1998 Brandao 1996 Brandao R P IT Sicherheitskultur im Unternehmen In Bauknecht K Karagiannis D Teufel S Hrsg Sicherheit in Informationssystemen Beitr ge der Fachtagung 51596 in Wien vom 21 22 M rz 1996 Z rich 1996 S 1 20 Brenner Lux 2000 Brenner W Lux A Virtual Purchasing Die Revolution im Einkauf Leinfelden Echterdingen 2000 Britsch 1995 Britsch W Personelle Sicherheit in Unternehmen In Pohl H Weck G Hrsg Handbuch 2 Managementaufgaben im Bereich der Informationssicherheit M n chen Wien 1995 S 121 164 Brownlee Guttman 1998 Brownlee N Guttman E Expec
35. Sicherheitsniveau Im Rahmen der Sicherheitspolitik wird das gew nschte Sicherheitsniveau von der Unterneh mensleitung festgelegt Das Sicherheitsniveau ist eine strategische Richtgr e bzw eine langfristige Zielgr e des IS Sicherheitsmanagements f r die ganze Institution Es Kann als aggregierte Aussage der Sicherheitsziele aufgefasst werden wobei das st rkste oder h chste Sicherheitsziel das Niveau bestimmt So kann bei der Ausgestaltung des Sicher heitskonzepts das konkrete Sicherheitsniveau f r die einzelnen Unternehmensbereiche kurz oder langfristig differenzieren 38 Vgl Kerster 1995 S 78 59 Vgl Lippold 1992 S 916 40 Vgl Fox 2001 S 24 Vgl Kersten 1995 5 77 RSD 1999 23 Wolf 1999 5 36 37 R hrig Knorr Noser 2000 5 500 Hennig 2001 S 411 und Kubicek 2001 S 13 42 Vgl Rannenberg 2000 S 490 Vgl Pohl 1995 S 114 7 Z B wird im Rahmen des IT Grundschutzhandbuchs die konkrete Ausgestaltung des Sicherheitsniveaus als Schutzbedarf bezeichnet Als Ziel wird aber die Erreichung des angestrebten Sicherheitsniveaus f r das ganze Unternehmen angenommen 92 Informationssystemsicherheits Management Das gt schl gt im IT Grundschutzhandbuch folgende vier Sicherheitsniveaus vor Niveau Maximal Der Schutz vertraulicher Informationen muss gew hrleistet sein um in sicherheitskritischen Bereichen strengen Vertraulichkeitsanfor
36. cusssssorsssnsnssnsnnennssnssnnsonsnnsnnsnnsnnsnnssnnsonsnnsonsnnsnnsnnsnnsnnsnnssnssnssnnsnnsnnnsnn 37 2 INFORMATIONSSYSTEMSICHERHEITS MANAGEMENT csrscorssosssosssoossnusnasnne 41 2 1 Phasen des 15 6 1 46 2 2 IS Sicherheitspolitik 48 2 3 IS Sicherheitsstrategien 11 1 6 54 2 4 Integriertes IS Sicherheitsmanagement 4 1 0 88 3 52 5 sense 93 31 94 3 2 Dom nenmodell der IS Sicherheitsstrategien sorssorssonsonssonsennssnnennsensnsnnnnsssssnssonssonsnonsnnssnnssnne 101 3 3 Probleml sungsmethoden der Diagnose uesssesssssnssonssonssonsonssnnsennssnnssnnssnnsnnnsnnnsnnsnnnsssssonssonssonsnnne 125 3 4 Probleml sungsans tze f r IS Sicherheitsstrategien susoussersossnrsonsnnsonsnnnnnssnssnnsonsnnsonsnnsnnsnnnnene 135 4 ENTWURFSMODELEL
37. f gbarkeitsrelevante Vorf lle in Computer Systemen Computer Notf lle Auch gr ere Unternehmen und andere ffentliche Einrichtungen wie z B Universit ten betreiben CERT Einrichtungen Diese sind z T ffentlich zug nglich insbesondere CERT Einrichtungen von Unternehmen sind im Unterschied zum CERT Bund nur f r einen be schr nkten Nutzerkreis zug nglich Die notwendige Koordination zwischen den weltweit a gierenden CERT Einrichtungen erfolgt ber das FIRST Forum In der folgenden Tabelle werden wichtige deutsche CERT Einrichtungen zusammengefasst DFN RUS Secu Siemens Telekom Dienstleister Bund D Cert Cert FSC Cert 5 Cert S Cert Cert Cert Cert 7 7 DFN Fujitsu RZ Uni Spark Betreiber BSI T Systems Veran Stgt Gruppe Secunet Siemens Telekom P R P R P R P R P R P R P R P R P R P R Zwecke Wirtschaft P R P R ff Verw Buno P R P R P R ff Verw Land P R P R P Komm Banken und P R Versicherer SR Spark Forschung nehme P R P R P R Pr ventiv Reaktiv Tabelle 9 bersicht der deutschen CERT Einrichtungen Die Notwendigkeit einer pr ventiven und reaktiven Sichtweise hat sich auch in dem Business Continuity Management BCM durchgesetzt So hat sich seit Ende der 80er Jahre das Kon zept des Business Continuity Managements entwickelt das die Gew hrleistung der Funkti onsf higkeit des Business unter al
38. 262 Anhang A 5 1 a ssellennz SIE u zu nb suoy 2055 5 zu nb suoy 20556 UHJJOISYIEMYIS SIUIEPIAN u zu nb suoy s seg Im 391120856 7 uoNeIzossy 5 2 25 2 5 5 Bue sny zuanbasuoy oneizossy USLIENIM U9HUUOY pun ah ssellennz SE 15 UONEIZOSSY s iq jne
39. Entwurfsmodell 4 3 2 2 _ Bottom Up Probleml sung Mit Hilfe der Ersetzungs und Generierungsregeln wird das Kausalit tsprinzip des Bottom Up Ansatzes in wissensbasierte Fragenkataloge berf hrt Die Ursachen Element und Gefahr k nnen zu einer gef hrdenden Ereignis Frage zusammengefasst und zus tzlich durch kau sale Schwachstellen erweitert werden Die Zustands nderungen von Konsequenzen in Ge fahren f r andere sicherheitsrelevante Elemente werden mit Ersetzungs und Generierungs regeln abgebildet Prinzipiell lassen sich mit Ersetzungsregeln einfache kausale Abh ngigkei ten und Zustands nderungen erstellen F r komplexe kausale Zusammenh nge und Zustands nderungen sollten Generierungsregeln verwendet werden N Zustands nderung Br O Element Konse Gefahr d 9 Iran Ursathe Wirkungen S stelle Generierungsregeln A Generierungsregeln Abbildung 113 Abbildung des Kausalit tsprinzips Generierungsregeln Folgend wird auf die explizite Darstellung von kausalen Schwachstellen verzichtet da die daraus entstehende Kausalit t hnlich wie bei gef hrdendes Ereignis durch Ersetzungs und Generierungsregeln berf hrt wird In den Bottom Up Strategien erfolgt die Differenzierung
40. Fehlerbaumanalyse 3 Grundschutz spezifische kausale Probleml sungs spezifische assoziative Probleml sungsmethode methode Probleml sungsmethode Problem Problem l sung l sung Probleml sungs konzepte kausale Abh ngigkeitskonzepte assoziative Abh ngigkeitskonzepte Esc weitere Wissensquellen Kriterienwerke Ma nahme Schwachstelle Ursache verursacht Wirkung kausales Ursachen 2 3 Dom nenbasis Wirkungsmodell _ Abbildung 48 Probleml sungskonzepte Die Probleml sungskonzepte des IS Sicherheitsmanagements basieren auf folgenden kausa len und assoziativen Abh ngigkeitskonzepten Die kausalen Abh ngigkeitskonzepte erm glichen ausgehend von einer Ursache zuver l ssig eine Wirkung vorauszusagen bzw eine Wirkung durch eine Ursache zu erkl ren Grundlage f r diesen Probleml sungsprozess bilden die formalisierte und ein kau sales Ursachen Wirkungsmodell Die assoziativen Abh ngigkeitskonzepte erm glichen ausgehend von Ma nahmen Schwachstellen zu ermitteln Grundlage f r diesen Probleml sungsprozess bilden die SiS SA und der Grundschutz die allgemein g ltige Kriterienwerke verwenden Auf diesen Abh ngigkeitskonzepten werden ebenfalls andere Wissensquellen abgebildet wo bei hier insbesondere das individuelle kompi
41. Regeln Regelname Aktiviere Deaktiviere Fragen Beantworte automatisch Fragen Regeln Regelname Aktiviere Deaktiviere Fragen Beantworte automatisch Fragen Abbildung 91 Wissensbasierter Fragenkatalog in UML Notation Kapitel sind in Oberkapitel und Unterkapitel strukturiert und enthalten Fragen Die Kapitelei genschaften werden durch Attribute z B durch einen eindeutigen Kapitelnamen beschrie ben Die Frage besitzt einen eindeutigen Namen einen Fragetext und zugeordnete Antwort m glichkeiten wodurch die Antworten erhoben werden Die Antwortm glichkeiten enthalten Antwortbausteine welche Antworttexte erzeugen k nnen Regeln dienen der automatisierten Steuerung der Befragung und der Probleml sungsunterst tzung Regeln sind entweder Teil 171 Entwurfsmodell einer Frage aggregiert sie sind direkt mit einer Frage verbunden oder Regeln werden un abh ngig von Fragen repr sentiert Diese unabh ngigen Regeln k nnen komplexere Abh n gigkeiten zwischen Fragen beschreiben als die aggregierten Regeln Das Vererbungs Instanziierungsprinzip wird durch Fragenkataloge nicht unterst tzt Es k n nen zwar Fragen auf Basis einer Schablone erstellt werden welche aber nur eine Kopiervor lage f r die Frage und Antwortstruktur darstellt Eine Vererbung von Eigenschaften und Methoden wie bei der objektorientierten Repr sentation ist bei Fragenkatalogen nicht m g lich Hierdurch sind die Beschrei
42. Verdachtsursachen dar Bottom Up F r hochsensible Bereiche von Informations systemen ist eine Tiefenanalyse in Form einer Ereignisablaufanalyse bzw Wirkungsanalyse notwendig um individuelle Sicherheitsaspekte zu ber cksichtigen Dies beinhaltet insbeson dere die vorausschauende Analyse der Aus wirkungen eines negativen Vorfalls Eine Erkl rung des negativen Vorfalls erfolgt durch eine Ursachenanalyse Die Ursachen analyse kann auf Basis ihres Systemmodells kausale Erkl rungen in Form von Ursache f r den negativen Vorfall liefern Auf Basis der Erkl rungen k nnen gezielter Ma nahmen eingesetzt werden Kurzfristig werden korrigie rende und rekonstruierende Ma nahmen ein gesetzt wobei die Ergebnisse auch zur l n gerfristigen Analyse von pr ventiven Ma nahmen dienen Tabelle 10 Kombiniertes IS Sicherheitsmanagement 92 Expertisemodell 3 Expertisemodell Das Expertisemodell beinhaltet die Konzepte und die Organisation der Probleml sungspro zesse des IS Sicherheitsmanagements und wird in folgende Ebenen unterteilt IS Sicherheitsstrategien Pr ventive IS Sicherheits Reaktive management Top Down Bottom Up Aufgabenebene Expertisemodell des Inferenzebene IS Sicherheits z managements EEN Ee Konzepte des IS Sicherheitswissens Dom nenebene IS Sicherheitswissen Abb
43. im Sicherheitskonzept redun dante Ma nahmen auftauchen ein Baustein ist in mehreren IT Systemen vertreten werden diese Bausteine mit Hilfe von bergeordneten Komponenten verwaltet Es besteht auch die M glichkeit nachtr glich benutzerdefinierte IT System Typen und Bausteine zu erstellen Jedem IT System k nnen zus tzlich Informationen ber seinen Standort dessen Vernetzung und den Benutzer angegeben werden Den IT Systemen werden Anwendungen zugeordnet wobei als Anwendung die Fachaufgabe und nicht das Programm angesehen wird F r die Anwendungen wird der Schutzbedarf von niedrig bis sehr hoch ermittelt wobei dieser auch manuell eingegeben werden kann 59 Vgl BSI Tool Benutzerhandbuch 1999 S 10 227 Implementierung 1 IT Konzept ere Hamburg E bergeor nete Komponente VA DOS PC Ein User 2 bergeordnete Komponenten t TO Uni System rA or t 797 Tragbarer PC 3 T System Typen Schablonen f r konkrete Systeme 4 IT Systeme konkrete Systeme 4222 Persona 3 4 Datensicherungskonzept dik 3 5 Compuder Virenschudzkonzert d i Geb ude E64 2 Verkabelung 5 IT Anwendungen die auf den IT Systemen installiert sind 6 Bausteine zusammengefasste Ma nahmen D 45431 Brenn 1 15 Geschlossene Fenster uns 7 konkrete Ma nahmen E 1 23 Abgeschlossene Turen Abbildung 128 Grundstruktur des BSI Grundschutz Tools Die eigentliche Probleml sung
44. verursacht Gefahr Frage sicherheitsrelevante Element Frage berdecken vorhersagen Ursachen Fragen Wirkungs Fragen automatisch automatisch beantworten beantworten Konsequenz Frage Konsequenz Frage Dann Bl cke Dann Bl cke Regel Rahmen gef hrdendes Ereignis Regel Rahmen Konsequenzen Bereich Ergebnisse darstellen Ergebnisse darstellen Abbildung 145 Generierungsregeln f r kausale Ursachen Wirkungen Eine berpr fung von Wirkungen und Ursachen erfolgt durch weitere verkn pfte Wirkungen und Ursachen Somit k nnen Folge Konsequenzen und Ursprungs Ursachen ermittelt werden Hierbei ist zu beachten dass eine Gefahr Ursache in einem anderem Kontext eine Konse quenz Wirkung darstellen kann Eine Konsequenz Frage Wirkung kann somit in einem anderen Regel Rahmen als eine Ursache interpretiert werden Das Ergebnis eines Regel Rahmens zusammengesetzter Konsequenzen Bereich oder ein zusammengesetzter Ursachen Bereich kann in einem anderen Regel Rahmen verwendet werden Mit einer iterativen ber deckung sind die Ursprungs Ursachen darstellbar und mit einer iterativen Vorhersage die Fol ge Konsequenzen 248 Implementierung USIN Sunynid ogn 9 4 sysesiN 5 y91919g u zu nb suoy
45. 2 So kann die gleiche oder inhaltlich vergleichbare Frage X schon in Modul A gestellt worden sein ist aber auch in Modul B enthalten Oder durch eine Beantwortung einer Frage wird ein ganzer Frageblock berfl ssig 2 Vol Junginger Kremar 2002 S 361 27 Das IT Grundschutzhandbuch wird fortlaufend erweitert Die aktuelle Version kann unter http www bsi de Stand 10 12 2002 bezogen werden 298 Vol Weck 1995 S 13 16 299 X steht i d R f r Risikoanalyse 10 Vgl Abbildung 29 Informationsmanagement nach ISO 13335 301 Vgl BSI Grundschutzhandbuch 2000 Kapitel 2 1 S 2 83 Informationssystemsicherheits Management Schutzbedarfs RB gt IT Systeme mit feststellung IT Bausteinen abbilden Schutzbedarf der IT Systeme fest legen u Gefahr 1 4 Gefahr 2 Anwendung 1 Schutzbedarf Anwendung 2 Schutzbedarf gt Ar Gefahr n Anwendung 3 Schutzbedarf Schutzbedarf niedrig Anwendung 1 Schutzbedarf Sg Ma nahme 1 Anwendung 2 Schutzbedarf d Ma nahme 2 UNIX Server Schutzbedart Ma nahme n mittel Erhebung der erforderliche realisierten Ma nahmen Ma nahmen ermitteln Realisierte Soll Ist Vergleich Ma nahmen Ma nahmen der Ma nahmen empfehlungen
46. IS Sicherheit der konkreten Institution beschreibt und die Grundlage f r ein IS Sicherheitskonzept darstellt Bei dem Top Down Ansatz erfolgt dagegen die direkte Anwendung von IS Sicherheitskriterien durch wissensbasierte Fragenkataloge bzw Expertisesysteme und de ren Antworttexten welche einen Empfehlungs oder Sollcharakter darstellen Kern von Ex pertisesystemen ist das Textkonzept in dem vorformulierte L ckentexte mit Platzhaltern Textvaribalen f r Textpassagen oder Zahlen enthalten sind die meist abh ngig von der Da tenlage hier Antworten der Fragen regelbasiert eingef gt werden Wissensbasierte Fra gen bzw Checklisten k nnen im Rahmen von wissensbasierten Fragenkatalogen bzw Ex pertisesystemen eingesetzt werden welche eine Variante von WBS darstellen Expertenwissen wird im Beratungs und Pr fbereich eingesetzt wobei hier das Erkennen von Schwachstellen im Vordergrund steht Hierf r werden Expertisesysteme seit vielen Jah erfolgreich in betriebswirtschaftlichen Problemstellungen verwendet Die Expertisesys teme k nnen somit als ein Werkzeug der wissensbasierten Diagnose f r den betriebswirt schaftlichen Bereich interpretiert werden Als Beispiel ist das Expertisesystem Unterneh mensreport der DATEV zu nennen das bei den meisten deutschen Steuerberatern eingesetzt 93 Insgesamt werden bei Pr fungen wie bei einer Jahresabschlussanalyse oder bei Rechts und Sich
47. _ewyeugen 2 1 _ewyeugen H NNVA ereumuon N NN3M d d y Wepout y unjnudisgan e _ 1 S 1 aImynysyomjuy zuseg zuenbesuoy gt _awyeuge gt 9 uewen N KSE Baak e lt 20552 1 1 9 uessims unyomeg songenjenb zuanbasuoy 26 Ges eydnuy aa 8 gt 2 PEN komplexe assoz Hypothesengenerierung on 5 oc ie Si oe NO2 2 Ba v ek 8 X oo 5 2 gt D I O D T a 2 S L 55 2 D N on Bel lt
48. ba E E 3 E 0 UND mittel DANN mittel Aggregation der Konklusionsmengen Regel 3 hoch UND Erf llungsgrad 580 MB 18 Zugriffe pro Fl chen Minute schwerpunkt mittleres Risiko Abbildung 105 Prinzip des Fuzzy Controllers am Beispiel der 15 9 Wie der Abbildung dargestellt ergeben sich die Werte niedrig mittel und hoch als Kontinuum und berschneiden sich Die Variable Datenmenge wird mit dem gespeicherten Datenvolumen in MB bestimmt und die Variable Beanspruchung der Festplatte wird mit Hilfe der Zugriffe pro Minute angegeben 0 Erweitert in Anlehnung an Spies 1993 S 247 ff Vgl auch Lelke 1999 S 106 188 Entwurfsmodell Die Vorgehensweise des Fuzzy Controllers welcher das unsichere Wissen verarbeitet l sst sich in den folgenden Schritten beschreiben 1 Fuzzyfizierung Im ersten Schritt erfolgt die Umwandlung der Eingangswerte hier 580 MB und 18 Zugrif fe pro Tag in einen unscharfen Zustand Hierzu wird die Zugeh rigkeit des exakten Wer tes zu der entsprechenden linguistischen Variablen bestimmt 2 Inferenz Im ersten Teilschritt der Inferenz erfolgt die Aggregation der unscharfen Pr missen zu ei nem gesamten Erf llungsgrad der Regel In dem Beispiel existieren nur UND Verkn pfungen zwischen den Pr missen so dass als Aggregationsoperatoren das Mini mum der einze
49. ber verschiedene wissensbasierte Anwendungen hinweg zu vereinheitlichen Ontologien erm glichen eine explizite Konzeptualisierung der Semantik einer Dom ne durch folgende Punkte Die Spezifizierung von Ontologien ist aus syntaktischer und semantischer Sicht reichhal tiger als die traditionellen Datenbankans tze Die Beschreibung von Dom nenwissen durch Ontologien beinhaltet zus tzlich nat rlich sprachliche Auspr gungsformen e Ontologien beinhalten vereinheitlichte Ausdr cke Terminologien die einen Konsens f r einen bestimmten Bereich besitzen damit sie austauschbar sind 7 Vgl BDSG 2001 348 Vo Behrens 1997 S 27 29 39 Siehe dazu auch Datenschutzfreundliche Technologien Vgl Gundermann 1999 und Ernestus 1999 350 Anonymisieren ist das Ver ndern personenbezogener Daten derart da die Einzelangaben ber pers nliche oder sachliche Verh ltnisse nicht mehr oder nur mit einem unverh ltnism ig gro en Aufwand an Zeit Kosten und Arbeitskraft einer bestimmten oder bestimmbaren nat rlichen Person zugeordnet werden k nnen 6 BDSG 2001 31 Pseudonymisierung ist das Ver ndern personenbezogener Daten derart da die Einzelangaben ber per s nliche oder sachliche Verh ltnisse ohne Nutzung der Zuordnungsfunktion nicht oder nur mit einem unverh lt nism igen Aufwand einer bestimmten oder bestimmbaren nat rlichen Person zugeordnet werden k nnen Gundermann 1999
50. 1 10 0 000000000 138 3 4 1 2 Anwendungsorientierte statische Probleml sungskonzepte 138 3 42 Anwendungsorientierte Basis Inferenzen der IS Sicherheitsstrategien 141 3 4 2 1 Heuristische Klassifikation 4442 2nensennennnnnnnnnnnennennnennnennnnnnonsnonsnensennnnnnnnnn 144 3 4 2 2 Establish Refine Strategie hierarchische Klassifikation 147 3 4 2 3 Modellbasierte arr 148 3 4 2 3 1 Reaktive 148 3 4 2 3 2 Pr ventive Wirkungs Probleml sung 150 343 Wiederverwendungsorientierte Basis Inferenzen der IS Sicherheitsstrategien 152 4 ENTWURFSMODELL 0s220 002000000200n00n00n20000002002000200n00n000000000 000000000000 sasono E r sossa 161 4 1 Formalisierungsgrundlage f r sicherheitsrelevante Konzepte e esessssorsesesesceoosorsesesecoerosoeseseeeeoeseee 163 411 Anpassungsorientierte berf hrung ueessenessenenensenennennnnnnennnnenennnnennnnnnneenennnennn 167 4 1 2 _Anwendungsorientierte berf hrung 168 4 2 Wissensbasierte 170 4521 Kapitel nd SO ASSEN 172 4 2 2 Qualitative und quantitative Auswertung von Fragenkatalogen 175
51. 219 FIPS 180 1 1995 U S Department Of Commerce National Institute of Standards and Technology FIPS 180 1 Secure Hash Standard Gaithersburg 1995 Ver ffentlicht im Internet URL http csre nist gov publications fips fips180 1 fip180 1 pdf Stand 10 10 2002 FIPS 186 2 2000 U S Department Of Commerce National Institute of Standards and Technology FIPS 186 2 Digital Signature Standard DSS Gaithersburg 2000 Ver ffentlicht im Internet URL http csre nist gov publications fips fips186 2 fips186 2 changel pdf Stand 10 10 2002 FIPS 197 2001 U S Department Of Commerce National Institute of Standards and Technology FIPS 197 Announcing the Advanced Encryption Standard AES Gaithersburg 2001 Ver f fentlicht im Internet URL http csrc nist gov publications fips fips 197 fips 197 pdf Stand 10 10 2002 FIPS 46 3 1999 U S Department Of Commerce National Institute of Standards and Technology FIPS 46 3 Data Encryption Standard DES Gaithersburg 1999 Ver ffentlicht im Internet URL http csre nist gov publications fips fips46 3 fips46 3 pdf Stand 10 10 2002 Fleischhauer Rouette 1989 Fleischhauer P Rouette L Wissen Information und Daten In Computermagazin Wissen Sonderheft Informationsstrategie Jg 1989 H 101 S 8 9 Fox 2001 Fox d E Mail Sicherheit Kriterien Standards und L sungen In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungsband 7 Deu
52. 224 ABBILDUNG 127 GRUNDSTRUKTUR DER BERICHT 225 ABBILDUNG 128 GRUNDSTRUKTUR DES BSIORUNDSCHUTZTTOOLR nennen 228 ABBILDUNG 129 VISUALISIERUNG DES BSI GRUNDSCHUTZHANDBUCHS DURCH TOSCANA 229 ABBILDUNG 130 VERGLEICH DER AA 230 ABBILDUNG 131 ANPASSUNGS UND ANWENDUNGSORIENTIERTE BERF HRUNG 232 ABBILDUNG 132 ZUSAMMENHANG ZWISCHEN AUFWAND UND EINSATZGEBIET VON WBS 235 ABBILDUNG 133 ANWENDUNG EINER WIEDER VERWENDBAREN DIAGNOSE SHELL 236 ABBILDUNG 134 ARCHITEKTUR DER DIAGNOSE SHELL ZUR ERSTELLUNG VON WISSENSBASIERTEN ERAOGENKATALOOGEN AA 237 ABBILDUNG 135 BEISPIEL EINER SCHABLONE A 239 ABBILDUNG 136 BEISPIEL EINER KAPITRLSTRUKIUR nenne 240 ABBILDUNG 137 BEISPIEL EINER FRAGE MIT 241 ABBILDUNG 138 BEISPIEL EINER ANPASSUNGSFRAGE IN VERBINDUNG MIT VERKN PFUNGSREGEEN ss HERR 242 ABBILDUNG 139 BEISPIEL F R ERSETZUNGSREGELN 222 243 ABBILDUNG 140 KAUSALEERSETZUNGSREOGEIN A 244 ABBILDUNG 141 GRUNDSTRUKTUR EINER OGENERIERUNGSREOET AAA 245 ABBILDUNG 142 HIERARCHISCHE DARSTELLUNG DER MODUL RAHMEN 246 ABBILDUNG 143 GENERIERUNGSREGELN F R 55 SCHWACHSTELLEN 246 ABBILDUNG 144 TESTS MIT HILFE VON GENERIERUNGSREGELN 2 0 247 xii Abbildungsverzeichnis ABBILDUNG 145 GENERIERUNGSREGELN
53. 4 159 uswyey ja ay ssou eig 4 15 4 159 usyomuesg syn d sqn yasyewojne u m d qn 247 Implementierung Die Repr sentation der kausalen Abh ngigkeiten zwischen gef hrdenden Ereignissen und deren Konsequenzen mit Hilfe von Generierungsregeln k nnen f r eine Wirkungs und Ursa chenanalyse verwendet werden Hierf r werden m gliche Gefahren und sicherheitsrelevante Elemente mit Hilfe eines Regel Rahmens zusammengefasst Dieser Regel Rahmen entspricht einem gef hrdenden Ereignis Bei einer Wirkungsanalyse werden die entsprechenden Regel Rahmen als erf llt bzw als wahr angenommen und die verkn pften Konsequenz Fragen automatisch beantwortet Diese Vorgehensweise entspricht einer vorw rtsorientierten Vorher sage Im Rahmen der Ursachenanalyse k nnen die Generierungsregeln nicht direkt angewandt wer den Somit werden die gef hrdenden Ereignisse Ursachen gem der Generierungsregeln ausgew hlt die die erhobenen Konsequenzen Wirkungen erkl ren bzw berdecken Des Weiteren werden die zugeh rigen Gefahren und gef hrdenden Element Fragen automatisch beantwortet Diese Vorgehensweise entspricht einer r ckw rtsorientierten berdeckung
54. Bon N ge der Probleml sung Probleml sung 9 Nur der Programmierer kann die Das WBS kann den Probleml Probleml sung erkl ren sungsprozess erkl ren Erkl rungskomponente Wohl strukturierte Problemberei Semi bis schlecht strukturierte che meist quantitativer Number Problembereiche ne ee crunching Heterogen strukturierte Wis Homogen strukturierte Wissens senseinheiten formen einheiten Komplexit t entsteht durch Komplexit t entsteht durch Um Reichhaltigkeit der Wissens fang der Massendaten strukturen Tabelle 20 Zusammenfassung der Unterschiede zwischen konventioneller Datenverarbeitung und WBS Wenngleich Expertensysteme meist wissensbasiert konstruiert werden so liegen die Begriffe doch auf unterschiedlichen Ebenen 71 F r den Benutzer ist es unerheblich ob das XPS in tern auf wissensbasierten Techniken beruht oder eine konventionell programmierte Soft ware darstellt Entscheidend f r die Einordnung eines computergest tzten Informationssys tems als Expertensystem ist sein nach au en dokumentiertes Probleml sungsverhalten hn lich einem menschlichen Experten f r eine bestimmte Dom ne Des Weiteren wird nicht verlangt ein ad quates kognitives Modell eines Experten zu erschaffen sondern es wird ein k nstliches System Konstruiert welches angewandt auf einen beschr nkten Aufgabenbe reich hnliche Resultate erzeugt wie der menschliche Experte Da
55. Diese Funktionen unterst tzen eine verkn pfte Recherche z B von mehreren Krite rienwerken und Gesetzestexten 588 Staab et al 2001 S 27 559 Staab et al 2001 nennen diesen Ansatz Expertensystemorientierte Ans tze 50 ZB umfangreiche Abbildung einer konkreten Informationssystemstruktur und deren sicherheitsrelevanten Abh ngigkeiten 259 Schlussbetrachtung Wissensnutzung Wissensnutzung und zugriff modellbasierte fragenkatalog Ans tze basierte Ans tze C O EN ee formale 5 3 semiformale Repr sentation Wissenszugriff dokumenten basierte Ans tze nicht formale Repr sentation Abbildung 150 Erweiterung des fragenkatalogbasierten Ansatzes um einen modellbasierten und dokumentenbasierten Ansatz Wissensbasierte Fragenkataloge k nnen somit dahingehend erweitert werden dass sie eine Verkn pfung zu Systemmodellen und Textdokumenten aufweisen Hierbei sind folgende Vorteile zu erwarten k nnten die durch Fragenkataloge erhobenen Informationen in ein Systemmodell ein flie en Ergebnisse einer modellbasiert kausalen Diagnose k nnen zudem als automati siert erzeugte Ursachen oder Wirkungsantworten in einem Fragenkatalog verarbeitet werden Um die Ergebnisse einer fragenkatalogorientierten Diagnose zu untermauern k nnten Textpassagen direkt aus Kriterienwerken und Gesetzestexten in den Ergebnisbericht
56. EEN 176 ABBILDUNG 96 REKURSIVE BERECHNUNG VON KAPITEL UND 177 ABBILDUNG 97 FRAGEN UND 178 ABBILDUNG 98 KOMPONENTEN EINES 55 5 8 179 ABBILDUNG 99 BERBLICK DER AUSPR GUNGSFORMEN VON PRODUKTIONSREGELN F R WISSENSBASIERTE ERAOENKATATL OO 180 ABBILDUNG 100 AUTOMATISCHE ARLAUPSTEUERUNG 181 ABBILDUNG 101 FORMEN AUTOMATISCH BEANTWORTETER FRAGEN AAA 181 ABBILDUNG 102 PRINZIP DER AUTOMATISCHEN BEANTWORTUNG AAA 182 ABBILDUNG 103 ZUSAMMENHANG ZWISCHEN KOMPLEXIT T UND ANZAHL DER REGELN 183 ABBILDUNG 104 ERHEBUNGS UND AUSWERTUNGSSICHT EINES WISSENSBASIERTEN EC 184 ABBILDUNG 105 PRINZIP DES FUZZY CONTROLLERS AM BEISPIEL DER 15 5 188 xi Abbildungsverzeichnis ABBILDUNG 106 VEREINFACHTES 77 2 22 4 4 000000 190 ABBILDUNG 107 BERF HRUNG DER BASIS INFERENZEN AUF DAS FRAGENKATALOGORIENTIERTE 5 2 2 191 ABBILDUNG 108 BEOBACHTUNGSAUSWAHL UND MERKMALSERKENNUNG 193 ABBILDUNG 109 REAKTIVE UND PR VENTIVE TOP DOWN REORLN 196 ABBILDUNG 110 DIREKTE TOP DOWN HYPOTHESENGENERIERUNG UND VERDACHTSBEWERT UNG 282282 DE
57. Ereignisablaufanalyse Kausales Ursachen Wirkungs Modell Die Ursachen Wirkungs Kausalmodelle k nnen durch Fischgr ten Diagramme die nach sei nem Erfinder auch als Ishikawa Diagramm bezeichnet werden visualisiert werden Die Kausalmodelle stellen die Interdependenzen in allgemeiner Form dar die durch Belegung mit konkreten Werten eine Kausalkette bzw Ursachen Wirkungs Zusammenh nge repr sentie ren In dem folgenden Beispiel k nnen auf sicherheitsrelevante Elemente Gefahren negative Ursachen oder deren Gegenma nahmen positive Ursachen einwirken und zu einer negati ven oder positiven Wirkung f hren Damit Ursachen Wirkungsmodelle erfolgreich eingesetzt werden ist zuverl ssiges IS Sicherheitswissen notwendig damit eindeutige R ckschl sse gezogen werden k nnen Bei technischen Systemen welche gut verstanden sind ist dies m g lich wobei man sich hier auf die wesentlichen IS Sicherheitsfunktionen beschr nkt 3 In Anlehnung an Konrad 1998 S 179 und erweitert bzgl eines Ursachen Wirkungsmodells 114 Expertisemodell nz A A Bunyam D 251 5 5 Jap z nyos seyals lalsuas weIs g 251 5 5 sweIs g s p N 20
58. Expertisemodell assoziative Wissensbasis aufzubauen So kann es sinnvoll sein eventuell beide Formalis men gleichzeitig zu repr sentieren Wie im Folgenden gezeigt wird besitzen heuristische und modellorientierte Inferenz Strukturen berschneidungen die f r ein kombiniertes Probleml sungs Szenario verwendet werden k nnen Inferenz Templates Ziel des folgenden Abschnittes ist es eine Wiederverwendbarkeit und Kombination der Infe renz Strukturen und Wissens Rollen zu erreichen Die Grundlage f r die individuelle Anpas sung der Inferenz Strukturen an die IS Sicherheitsstrategien bilden Inferenz Schablonen bzw Templates welche die Inferenz Strukturen und Wissens Rollen auf einer Ebene zwischen den Basis Inferenzen der Diagnose und Inferenzen der IS Sicherheitsstrategien abbilden Hierbei werden zuerst die Aspekte der Dom nenebene weitgehend vernachl ssigt wobei die Templa tes schnell mit den Anforderungen an das Wissen der Dom nenebene insbesondere durch Abh ngigkeitskonzepte erg nzt werden k nnen Basis Inferenzen der Diagnose Merkmals erkennung Merkmalserkennungs Templates Inferenzen der IS Sicherheitsstrategien Pr ventives Ces Kombinieren Hypothesen generierung Hypothesengenerierungs Templates Hypothesen berpr fung Hypothesen berpr fungs Templates ez Probleml sungs Szenarien f r IS Sicherheitsstrategien Abbi
59. Hansen Neumann 2001 Hansen H R Neumann G Wirtschaftsinformatik I 8 Aufl Stuttgart 2001 Hansen Probst 2002 Hansen M Probst T Datenschutzsiegel aus technischer Sicht Bewertungskriterien des schleswig holsteinischen Datenschutzg tesiegels In B umler H Mutius A von Hrsg Datenschutz als Wettbewerbsvorteil DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 2002 S 162 179 Hare 1999a Hare C CIRT Responding to Attack In Tipton H F Krause M Eds Information Security Management Handbook A ed Boca Raton u a 1999 pp 549 568 282 Hare 1999b Hare C Improving Network Level Security Through Real time Monitoring and Intru sion Detection Tipton F Krause M Eds Information Security Management Handbook 4 ed Boca Raton u a 1999 pp 569 595 Harmon King 1989 Harmon P King D Expertensysteme in der Praxis 3 Aufl M nchen Wien 1989 Hartmann Karger 2001 Hartmann A Karger P Sicherheitskompetenz ein h ufig vergessener Baustein der Informationsgesellschaft In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungsband 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingel heim 2001 S 377 390 Haun 2000 Haun M Wissensbasierte Systeme Renningen 2000 Heijst 1995 Heijst G van The Role of Ontologies in Knowledge Engineering Amsterdam 1995 Heijst Schreiber Wielinga 19
60. Hypothesen Ursachen Hypothesen bewerten und gt Ranking lt Hypothesen Ursachen Weitere Merkmale bzw Ki 4 berpr fungs auswahl manifestierendes Modell Wirkungen Beobachtungs eigenschaften erwartete 7 erfassen und Beobachtungen _abstrahieren E verfeinern 2 Beobachtungen statische Wissens Rolle dynamische Wissens Rolle Schnittstellen Inferenz Templates der Basis Inferenzen f r die IS Sicherheitsstrategien Merkmalserkennung In der Beobachtungsauswahl werden die erwarteten Beobachtungen und Beobach tungseigenschaften festgelegt Im Rahmen der Merkmalserkennung wer den die erfassten und abstrahierten Beobach tungen mit den erwarteten Beobachtungen verglichen Auf Basis des Resultates werden die Merkmale bzw Wirkungen festgelegt Die Vorgabenmodelle f r die Beobach tungsauswahl sowie die Merkmalserkennung k nnen zu einem Modell zusammengefasst oder getrennt erstellt werden Hypothesenauswahl Aus den Merkmalen bzw Wirkungen werden durch die Hypothesengenerierung basie rend auf einem Generierungsmodell Hypo thesen bzw Ursachen abgeleitet Diese k nnen im Rahmen der Verdachts bzw Hypothesenbewertung eventuell zu s tzlich bewertet oder gerankt werden Hypothesen berpr fung In der berpr fungsauswahl werden die erwarteten Beobachtungen
61. Im Folgenden werden des halb die IS Sicherheitsans tze mit einer pr ventiven und reaktiven Sichtweise erweitert Die Differenzierung zwischen dem pr ventiven und reaktiven IS Sicherheitsmanagement e xistiert auch im 8 Ansatz den das deutsche BSI durch den CERT Bund im Jahre 2001 umgesetzt hat Der Bundesminister des Innern hat dessen Aufgaben wie folgt definiert Seine CERT Bund Aufgaben bestehen zum einen darin pr ventive Sicherheitsl cken in den Computersystemen des Bundes zu finden Zum anderen wird das CERT Bund in der Lage sein rund um die Uhr sieben Tage die Woche auf m gliche Gef hrdungen oder Angriffe zu 307 M hlen 1995 S 167 308 CERT Computer Emergency Response Team 39 Das erste CERT Team wurde durch die Defense Applied Research Projects Agency DARPA im Jahre 1988 gegr ndet nachdem der Morris Wurm 10 der am Internet beteiligten Computer au er Betrieb setzte Vgl Hare 1999a S 553 89 Informationssystemsicherheits Management reagieren und kurzfristige Gegenma nahmen zu ergreifen Der CERT Ansatz ist inhalt lich und strukturell in Anlehnung an RFC 2350 entstanden wobei hier die Internet Sicherheit im Vordergrund stcht TT Ziel der Einrichtung des CERT Bundes ist die Bereitstellung einer zentralen Anlaufstelle f r pr ventive Computer Security Incident Prevention und reaktive Notfallsituationen Computer Security Incident Response in Bezug auf sicherheits und ver
62. In Schnurr H P Staab S Studer R Stumme G Sure Hrsg Professionelles Wissensmanagement Erfahrungen und Visionen Aachen 2001 S 401 408 Eckert 2001 Eckert C IT Sicherheit M nchen Wien 2001 E COFC 1999 European Computer Manufactures Association Extended Commercially Oriented Func tionality Class for Security Evaluation E COFC Standard 271 PDF Version Genf 1999 Ver ffentlicht im Internet URL http www ecma ch Stand 10 10 2002 EG Datenschutzvorschlag 1999 Kommission der Europ ischen Gemeinschaft Vorschlag f r eine Verordnung des euro p ischen Parlaments und des Rates zum Schutz nat rlicher Personen bei der Verarbei tung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr 99 0153 COD Br ssel 1999 Ver ffentlicht im Internet URL http www europarl eu int dg hearings pdf 20000222 libe framework eplegs regulatio n en default pdf Stand 10 10 2002 EGG 2001 Entwurf eines Gesetzes ber rechtliche Rahmenbedingungen f r den elektronischen Gesch ftsverkehr Elektronischer Gesch ftsverkehr Gesetz EGG Stand 17 05 2001 Ver ffentlicht im Internet URL http dip bundestag de btd 14 060 1406098 pdf Stand 10 12 2002 E Government Handbuch Glossar 2002 Bundesamt f r Sicherheit in der Informationstechnik Hrsg E Government Handbuch Online Version Modul Glossar Bonn 2002 Ver ffentlicht im Internet URL http w
63. Zuerst erfolgt eine Erhebung der sicherheitsrele vanten Elemente und Gefahren Gefahrentypen und Gefahrenquellen bez glich der zu analy sierenden Institution Auf Basis der erhobenen Informationen wird im Folgenden die Instituti on auf m gliche Schwachstellen hin untersucht Die folgende Abbildung ist ein Beispiel f r eine Zuordnung eines sicherheitsrelevanten Elementes der Gefahren und Schwachstellen Vulnerability 1 Building contains of flammable liquid Threat 1 Fire Vulnerability 2 Building constructed of flammable walls Vulnerability m Asset eg Building Vulnerability 1 Building fas no drainage facilities Threat 2 Be Flood N gt N Vulnerability p Abbildung 121 Zuordnung zwischen einem sicherheitsrelevanten Element der Gefahren und Schwachstellen Werden die Schwachstellen f r die zu untersuchende Institution als zu vernachl ssigen ein gestuft bzw bewertet werden die Risikofaktoren nicht weiter betrachtet Sind die Schwach stellen f r die Institution von Interesse so werden diese qualitativ bewertet very low low medium high und very high Der Bewertung liegen z B der Verlust von Verk ufen Verlust von Kundenzufriedenheit oder Reputationsverlust zugrunde In welcher Form die Bewertung durchgef hrt werden soll wird nicht weiter beschrieben Werden durch den Benutzer die vor handenen Ma nahmen als ausreichend f r die ermittelten Schwachstellen eingesch tzt so werden
64. bersicht ber die Dom ne indem er den IS Sicherheitsexperten befragt Diese Interviewform ist ebenfalls f r die Einstiegsphase in das Gesamtprojekt dienlich um den Problemraum auf die wesentlichen Aspekte zu verkleinern Beim strukturierten Interview werden dagegen gezielt Fragen gestellt um detailliertes IS Sicherheitswissen zu erlangen Daf r kann entweder das unstrukturierte Interview oder eine vorgeschaltete Textanalyse als Interview Grundlage n tzlich sein Durch ein fokussierendes Interview werden einzelne ausgew hlte Aspekte tiefer durchdrungen um z B gezielt Prob leml sungsprozesse zu erheben Protokollanalyse Um das Probleml sungswissen zu ermitteln ist eine Protokollanalyse bzw Lautes Denken erforderlich Im Gegensatz zur Textanalyse und zum Interview werden bei der Protokollana lyse vor allem L sungsanweisungen erhoben Hiermit soll das Probleml sungsverhalten eines IS Sicherheitsexperten ermittelt werden indem der Probleml sungsprozess mit Hilfe von Lautem Denken verbal untersucht wird Die Protokollanalyse stellt somit eine wichtige Er g nzung zum Interview dar 316 Siehe f r weitere Erhebungsmethoden Lenz 1991 S 183 197 Gabriel 1992 S 210 222 und Schreiber et al 2000 S 187 214 317 Vgl Gabriel 1992 S 208 94 Expertisemodell Direkte oder indirekte Wissensakquisition Bei den Erhebungsmethoden ist zu beachten ob es sich um eine direkte oder indirekte Wis sensakquisition h
65. best tigt und die Schwachstellen Hypothese wird eventuell noch zus tzlich verfeinert 421 Erweitert in Anlehnung an Hoppe 1992 S 78 22 F r kausale Abh ngigkeitskonzepte erfolgt ein Zur ckschlie en von Wirkungen erhobenen Fehlzust nden auf Ursachen welche die Wirkungen verursacht bzw erm glicht haben 131 Expertisemodell 3 3 4 Inferenz Strukturen Die nicht weiter zerlegbaren Bestandteile des Probleml sungswissens werden als Inferenzen bezeichnet und bilden den zweiten Bereich der Probleml sungsmethoden Der grundlegende Prozess einer Inferenz ist durch Eingabe Ausgabe und das f r die Verarbeitung ben tigte L sungswissen gekennzeichnet Zur Darstellung des Eingangs Ausgangs und des ben tigten Wissens einer Inferenz werden Wissens Rollen verwendet Wissens Rollen bilden die Ver bindung bzw Schnittstelle zwischen Aufgabenwissen Inferenzwissen und Dom nenwissen Es wird zwischen dynamischen und statischen Wissens Rollen unterschieden e Dynamische Wissens Rollen bilden den Eingang und Ausgang einer Inferenz ab und nehmen unterschiedliche Konzepte der Dom ne an e Statische Wissens Rollen spezifizieren die Bereiche des dom nenspezifischen Wissens die f r die Probleml sung ben tigt werden Sie verwenden die Probleml sungskonzepte Abh ngigkeitskonzepte und sind w hrend des Probleml sungsprozesses weitgehend stabil Eine Kombination aus einzelnen Inferenzen und Wissens Rollen wird zusammenfasse
66. ckw rtsorientierten Kontroll strategien ist f r die Diagnose unzureichend und wurde durch den Hypothesize and Test Se lect and Test bzw die Generate and Test Strategie Kontrollstrategien 4 Bei dieser hypothetisch deduktiven Vorgehensweise werden durch abduktives Zur ckschlie en von Be obachtungen Merkmale Verdachtshypothesen hergeleitet zu deren Best tigung oder Aus schluss gezielt deduktiv weitere Merkmale angefordert werden Die folgende bersicht zeigt drei unterschiedliche Varianten der Generierung und Test Stra tegie die sich z B bei rzten beobachten lassen So werden aufgrund von erhobenen Merk malen wie z B erh hte Temperatur und ger tete Haut Verdachtshypothesen z B Masern aufgestellt Um den Verdacht des Arztes zu best tigen werden gezielt zus tzliche Untersu chungen durchgef hrt die weitere Merkmale erkennen lassen welche die Hypothese best ti gen oder widerlegen 13 Vgl Kapitel 1 Einleitung 14 Schreiber 2000 S 115 und Fensel 2000 S 14 45 Vgl Puppe Stoyan Studer 2000 5 619 127 Expertisemodell Gi 91891815 18 FUNASA 19 8 01 A 25 N an N Iyosuja Jangen SR uassypod H EES 2 2 Le
67. der beide Extrempositionen vereinigt Grundlage daf r bilden die IS Sicherheitsstrategien welche durch multifunktionale Probleml sungsmethoden beschrieben werden Diese Metho den ber cksichtigen in einem gewissen Rahmen auch eine Wiederverwendung der Dom nen Konzepte und Probleml sungsmethoden Die folgende Abbildung stellt einen Zusammenhang zwischen Basis Inferenzen Dom nen Konzepten und Inferenz Strukturen der folgenden Ka pitel dar Hierf r werden zun chst die anwendungsorientierten Basis Inferenzen beschrieben die im Weiteren um multifunktionale Inferenz Strukturen erweitert werden 830 Vgl Motta 1999 136 Expertisemodell 8 sofeuonyunjnfnur ouo 69 r ayas yejs SJdezuoyusuewog syayssydlg S E anpii E 4 nerzosse lt lt lt gt OH Steg USAINPYNIISZUSJ9JU
68. hrungsinformationssystemen In Behme W Schimmelpfeng K Hrsg F hrungsinformationssysteme Wiesbaden 1993 S 83 103 Pirlein 1995 Pirlein T Wiederverwendung von Commonsense Ontologien im Knowledge Enginee ring Sank Augustin 1995 Plate 1997 Plate A IT Sicherheitsmanagement in der internationalen Standardisierung In BSI Hrsg Mit Sicherheit in die Informationsgesellschaft Tagungsband 5 Deutscher IT Sicherheitskongre des BSI Ingelheim 1997 S 369 376 Poeck Gappa 1993 Poeck K Gappa U Making Role Limiting Shells more flexible In Aussenac N Boy G Gaines B Linster M Ganascia J G Kodratoff Y Eds Knowledge Acquisition for Knowledge Based Systems Lecture Notes in Artificial Intelligence LNAI 723 Berlin u a 1993 pp 103 122 Pohl 1995 Pohl H Verantwortung und Aufgaben des IV Sicherheitsbeauftragten In Pohl H Weck G Herg Handbuch 2 Managementaufgaben im Bereich der Informations sicherheit M nchen Wien 1995 S 103 120 Pongratz 1996 Pongratz M Verfahren zur Risikoanalyse in der Informatik Revision In Bauknecht K Karagiannis D Teufel S Hrsg Sicherheit in Informationssystemen Beitr ge der Fachtagung 51696 in Wien vom 21 22 M rz 1996 Z rich 1996 S 229 249 Preece et al 2001 Preece A Flett A Sleeman D Curry D Meany N Perry P Better Knowledge Management through Knowledge Engineering In IEEE Intelligent Systems Vol 16 1 2001 pp
69. menh nge exemplarisch dargestellt werden Dabei werden nicht alle sicherheitsrelevanten Aspekte eines Unternehmens dargelegt sondern nur die des Fallbeispiels Ist eine ber schneidung der Voraussagen und der historischen F lle vorhanden so sind die Voraussagen als gef hrlich zu bewerten Insgesamt ist eine umfangreiche Erstellung und Erhaltung von IS Sicherheit durch Fallbeispiele nicht m glich da die F lle nur auf sehr spezielle Bereiche be schr nkt sind und sich nicht immer per Analogieschluss auf andere F lle bertragen lassen Die folgende Tabelle stellt die Aspekte der jeweiligen Wissensarten und deren Anwendung in dem IS Sicherheitsmanagement zusammenfassend dar 405 Das Bewertungsproblem wurde im Rahmen der Risikoanalyse diskutiert 4 Vgl We 1996 5 19 407 Vgl Puppe et al 1996 8 129 und Bartsch Sp rl Lenz H bner 1999 5 67 08 Siehe zur Szenarioanalyse Sigesmund 1995 49 Vgl Stelzer 1995 S 122 121 Expertisemodell IS Sicherheitsmanagement Ziel der Probleml sung Sicherheitsstrategie Dom nenbasis heuristisches Erfahrungs assoziatives wissen basierend auf Exper la ermitteln und deren SISSA und Grund Diagnose ten und Kriterien schutz S SE Schwachstellen herlei wissen anwendungsorientierter fen Top Down Ansatz 2 Ansatz SE 2 3 Zuverl ssiges Wissen basie 5 kausales rend auf kausalen System Ermittlung von Gefah Diagnose modellen ren und Erkl
70. r die Hypothesengenerierung und berpr fung das gleiche Dom nenmodell verwendet werden wenn die Abh ngigkeitskonzepte in hierarchischen Strukturen vorliegen Die Establish Refine Strategie ist ein Spezialfall der Generierungs und Test Strategie und basiert auf hierarchischen Schwachstellen Ma nahmen Abh ngigkeiten Eine verd chtigte Schwachstelle A wird durch zus tzliche Ma nahmen 1 und 2 best tigt bzw etabliert und eventuell werden weitere Schwachstellen B und C verd chtigt die wiederum durch zus tzli che Ma nahmen best tigt werden k nnen Durch diese hierarchische berpr fung werden die Schwachstellen immer mehr verfeinert Diese Vorgehensweise entspricht hierarchischen Test Gruppen denen Verdachts Schwachstellen zugeordnet sind Schwachstelle A best tigen I Test Gruppen verd chtigen Schwachstelle B e best tigen verd chtigen Schwachstelle Schwachstelle Abbildung 75 Beispiel einer Schwachstellenhierarchie und ihre Anwendung durch die Establish Refine Strategie Um eine komplexere Hypothesen berpr fung innerhalb der Establish Refine Strategie zu erreichen kann die berpr fung mit manifestierenden Test Gruppen kombiniert werden 147 Expertisemodell 3 4 2 3 Modellbasierte Diagnose Bei der modellbasierten Diagnose wird zwischen der Wirkungs und Ursachenanalyse unter schieden
71. rung von Risikoerkennung 2 wissen gt abbildungsorientierter Konsequenzen 2 Ansatz Bottom Up Ansatz 5 Ce Wahrscheinlichkeiten und Bewertung von Risiken Statistisches hadensh hen basierend durch Eintrittswahr Risikobewertung 5 Diagnose ir a auf statistischen scheinlichkeiten und wissen S lt gen Schadensh hen SES eine schon bestehen fallorientier Fallwissen basierend auf de L sung f r das Risiko und Sena tes Diagno historischen Vorkommnissen i aktuelle Problem fin rioanalyse sewissen und L sungen S Tabelle 15 Vergleich der IS Sicherheitswissensarten Sicheres Diagnosewissen Diese Form des Wissens kann eine Erg nzung zu anderen diagnostischen Wissensarten dar stellen Das sichere Wissen Kann in Entscheidungsb umen oder Entscheidungstabellen abge bildet werden wodurch L sungen direkt hergeleitet werden k nnen Typisch sind JA Nein Fragen die die Knoten eines Entscheidungsbaums darstellen Dadurch ist die Abbildung von sicherem Diagnosewissen im Gegensatz zu den anderen Wissensarten deutlich einfacher da eine direkte berf hrung dieses Wissens in eine Implementierungsform Entscheidungsb u me oder tabellen m glich ist Dieses Wissen kann f r Bereiche des IS Sicherheitsmanagements verwendet werden wo eindeutige Regeln festgelegt werden k nnen 3 2 4 Schwachstellen Kausalmodell Eine Zusammenf hrung der kausalen und assoziativen Sicht in ein Schwachstellen Ka
72. s 5 Bue sny 18 5 uawyeuyen 6 Sunynudisan ussaypodiy lt SES 4 N uswyeugeyN Veuueugeht WII EE apen N ra zunn dien 5 Bunyn d sqnussayjodAH umoq doL 264 Anhang A UEUSNIY u zu nb suoy USUUOY USLSNIYOYISIH 2 2 5 yo nwi s 2 5 7 1 M yos re s 105 u zu nb suoy lt Bue sny uszuanbasuoy
73. tom Up Ansatz bildet somit eine detaillierte Modellierung von Sicherheitsaspekten des In formationssystems womit individuelle Gefahren erkannt und sofort Gegenma nahmen ent wickelt werden k nnen Hierdurch entsteht ein weitreichender reaktiver Bereich f r die Insti tution um auf negative Vorf lle zu reagieren 50 Vgl Konrad 1998 S 58 Vo bein J 1999 S 233 und Gerber Solms 2001 S 582 151 Die Begriffe Top Down und Bottom Up werden auch in der Systementwicklung als Entwicklungsstrategien Top Down schrittweise Verfeinerung bzw Spezialisierung Bottom Up schrittweise Verallgemeinerung bzw Generalisierung verwendet Dies ist inhaltlich nicht vollst ndig mit den in der IS Sicherheitskonzept erstellung verwendeten Top Down und Bottom Up Ans tzen gleichzusetzen da diese z T andere Aspekte besit zen 52 Vgl Stelzer 1995 S 117 und Konrad 1998 S 57 55 Informationssystemsicherheits Management bernahme der i Gef hrdung N Informations Erkennen system der Gef hrdung bernahme der Ma nahme in Entwicklung einer die Kataloge Gegenma nahme Zeitl cke reaktiver Bereich Abbildung 20 Zeitl cke beim gef hrdungsbasierten Sicherheitsbegriff Der Nachteil entsteht durch die hohe erforderliche Komplexit tsbildung und dem damit ver bundenen hohen Aufwand da f r jedes Informationssystem eine individuelle Analyse durch gef hrt wird Der Bottom Up Ansatz ist
74. u wyey 2 y ayoesin 0 abe zuanbasuoy abe 4 zuanbasuoy 1 yaIs sg usypesiN zu nb suoy u wyey 2 y gt A 9 9 sBunudsun sBunudsun og ue o uobeu4 sbunyam 14 9 2 Syueaajelspaylayd s 2 249 Implementierung Erfassungstool Bei einer wissensbasierten Frage ist zwischen externem Verhalten Interviewer und interner Sicht Aufbau der Wissensbasis zu unterscheiden Die interne Struktur wird durch den Schablonen und Fragengenerator sowie durch Generatoren zur Regel Erstellung bestimmt das Erfassungstool stellt f r den Interviewer die externe Sicht dar F r den Interviewer besitzt die Software Ergonomie w hrend der Befragung und Auswertung eine hohe Relevanz so dass sich der Interviewer nur noch auf die Erfassung beschr nkt Dies betrifft die einheitliche Darstellung der Fragen die individuelle Steuerbarkeit der Fragenabfolge oder die komfortable Beantwortung der Fragen durch eine grafische Oberfl che Weiterhin erh lt d
75. verschiedenen Kriterien stehen also z T miteinander in Konkurrenz Ist das eine Kriterium erf llt so k nnen andere Kriterien in ihrer Auspr gung geschw cht werden So stehen insbe sondere die ergonomischen und konomischen Kriterien in Konkurrenz zu den epistemologi schen und logisch formalen Kriterien Es existiert nicht die eine Form der Wissensrepr sen tation um das Wissen der verschiedenen Problemgebiete darzustellen Es ist vielmehr erfor derlich ein ausgeglichenes Verh ltnis zwischen der Problemstellung dem Nutzerkreis und dem Erstellungs und Pflegeaufwand der Wissensbasis zu finden Dies u ert sich in einer geeigneten Kombination aus Repr sentationsformen und Probleml sungsverfahren Daraus ergibt sich ein Kompromiss der oben angef hrten Es sind noch andere Einflussfaktoren wie z B die Vorkenntnisse des Konstrukteurs der Wis sensbasis oder die M glichkeit der direkten Wissenseingabe eines Fachexperten von Bedeu tung Auch werden h ufig Repr sentationsformen zu hybriden Sprachen zusammengef hrt wobei eine Kopplung von frame und regelbasierten orientierten Formalismen anzutreffen 1877 Konstruktionsad quanz Der Grundsatz der Konstruktionsad quanz fokussiert die problemangemessene Nachvollzieh barkeit der Modellkonstruktion Die Konstruktionsad quanz bringt zum Ausdruck dass Mo delle immer aus einer bestimmten Perspektive bzw einem bestimmten Standpunkt heraus entwickelt werden
76. yensge Re uesauegu ul SH 5 u zu nb suoy zuanbasuoy D zuanbosuoy s u lalg zuanbosuoy 21 5 2 25 5 Juswelg JYILSINIOA N 5 SIDD s uBle1g usyoesun nn sapusp yejo N agang 7 S zuonbasuoy N Dun uspamsg L I i sBunyiemeg u Bunpap san gt zuonbosuoy you guue 911935 28 926 E a dn woyog puejsnz Med je euyemsny uewen N _ sBunypegoag_ E 7 N 2 7 puejsnz We gt 7 269 Anhang B Multifunktionale Probleml sungs Szenarien Neben den monofunktionalen
77. z B Mitarbeiter und externe Gefahrenquelle z B Hacker er ist die einzige Gefahrenquelle welche bewusst Schaden verursachen kann Die meisten Sch den werden durch unbewusstes Handeln der Mitarbeiter wie z B durch Fehlbedienung oder Nachl ssigkeit verursacht Gegen Gefahren technischer Herkunft kann ein Unterneh men am effektivsten Einfluss 2 da sie meist innerhalb des eigenen Einflussbereichs liegen Dieser Einfluss ist aber zu relativieren da die Informationssysteme eine hohe Kom plexit t und einen hohen Integrationsgrad besitzen In der Tabelle 13 erkennt man dass vom Menschen die meisten Gefahren ausgehen Auf das Umfeld insbesondere die Natur oder h here Gewalt kann das Unternehmen am we nigsten Einfluss nehmen Es K nnen nur die Auswirkungen bek mpft werden da die Herkunft selbst nicht verhindert werden kann Daf r treten Gefahrenquellen aus Natur und Umfeld am seltensten auf Es k nnen neben der Natur weitere sehr schwer beeinflussbare Gefahren entstehen wie z B unklare Gesetze starke Einflussnahme von Regierungen Terrorismus oder Krieg 379 In der Arbeit schlie t der Begriff Gefahren inhaltlich den Begriff Bedrohungen mit ein 350 Vgl Stelzer 1993 S 30 und Vo bein J 1999 S 59 381 Vgl Vo bein J 1999 S 65 352 Vgl Konrad 1998 S 25 383 Vo Britsch 1995 S 124 und BSI Grundschutzhandbuch 2000 Kapitel 2 3 384 Siehe auch Britsch 1995 S 124
78. z Jogeyipui e Erfassung und Abstraktion und Merkmalserkennung 193 Abbildung 108 Beobachtungsauswahl und Merkmalserkennung Beobachtungsauswahl Entwurfsmodell 4 3 2 Hypothesengenerierung und berpr fung Bei der Hypothesengenerierung und berpr fung ist eine differenzierte berf hrung der IS Sicherheitsstrategien auf die Fragenkataloge und deren Regeln erforderlich Im Rahmen der Arbeit werden Probleml sungskonzepte durch folgende Auspr gungsformen beschrieben e Heuristische Regeln besitzen die Form Merkmale deutet auf L sung wohingegen kausale Regeln durch Ursache L sung verursacht Wirkung Merkmal gekennzeichnet sind Die folgende Tabelle stellt die berf hrung der assoziativen und kausalen Abh ngigkeitsfor men in Regeln dar 194 Entwurfsmodell Probleml sungskonzepte assoziative Abh ngigkeiten Merkmal deutet auf L sung Ma nahme fehlt deutetauf Konsequenz erfordert SS berf hrt U in assoziative Regeln Vorbe dingung gung WENN SEH DANN Schwach fehlt stelle Konse quenz berf hrt in assoziative Ersetzungs und Ge nerierungsregeln Antwortbaustein L sung Antwortbaustein Merkmal kausale Abh ngigkeiten verur Ursache Sch Wirkung gef hrdendes Ereig verur nis sacht Konse Schwachstelle SA SN licht berf hrt 1 in kausale Regeln Nach an
79. 13 80 Vgl Tinnefeld Ehmann 1998 5 3 Vgl Finne 2000 5 234 61 Informationssystemsicherheits Management oder sinkenden Preisen f r die Technologie Mit dem Siegeszug des PC erfolgte eine Ver teilung der Informationen und deren Verarbeitung auf viele Unternehmensbereiche eine um fangreiche Anzahl von Mitarbeitern erlangte Zugriff auf die Informationsverarbeitung Dies bezieht sich nicht nur auf die operative Ebene sondern auch verst rkt auf die Management aufgaben der taktischen und strategischen Ebenen die eine hohe qualitative Probleml sungs unterst tzung erwarten Die Informationsverarbeitung ist nicht mehr auf einen bestimmten Unternehmensbereich eingegrenzt zu dem nur ausgew hlte Mitarbeiter Zugang haben Des Weiteren sind die Komplexit t und Vernetzung der Informationsverarbeitung in berhaus hohem Ma e angestiegen Durch diese wachsende Integration der Informationsverarbei tung kann die Beeintr chtigung eines Teilsystems den Zusammenbruch des gesamten Systems zur Folge haben Eine beschr nkte Sicht auf Insell sungen ist nicht mehr m glich sondern es muss das gesamte System betrachtet 4 Durch die Kommunikation und der damit verbundenen Verlagerung wirtschaftlicher Aktivit ten auf die Informationsverarbeitung ist zus tzlich eine neue Dimension des Informationsaus tausches ber die Unternehmensgrenzen hinausgehend entstanden die sich durch Dienstleis tungen im Internet
80. 25448 genormt wurde und bis heute st ndig weiterentwickelt wird Die Methode wurde urspr nglich Anfang der 60er Jahre im Rahmen von Vorhaben der NASA entwickelt und ab den 80er Jahren insbesondere in der Automobilindustrie Kerntech nik und Luft und Raumfahrtechnik 98 Die Zielrichtung der Methode ist ausgehend vom Betrachtungsgegenstand das Aufdecken und Bewerten von m glichen Fehlerquellen sowie deren Ursachen Diese Methode wird haupt s chlich in technischen Bereichen eingesetzt dient der Qualit tssicherung und ist aufgrund der Normierung in einem gewissen Grad formalisiert Die Risikoanalyse bez glich der IS Sicherheit kann als ein angepasstes und spezialisiertes FMEA Verfahren angesehen werden Die folgende Schablone f r ein FMEA Formblatt strukturiert den Grundaufbau der FMEA 16 Vgl RSD 1999 S 109 166 Kerster 1995 S 84 und Heinrich 1999 S 278 167 Die Abk rzung FMEA wurde ins Deutsche als Fehler M glichkeits und Einflussanalyse bersetzt und steht auch f r den englischen Ausdruck Failure Mode und Effects Analysis Vgl M ller Tietjen 2000 S 2 168 FQS 1994 S 10 169 Vgl M ller Tietjen 2000 S 2 3 59 Informationssystemsicherheits Management 1 Stammdaten Auswahl der Untersuchungsinhalte und organisatorische Vorbereitung der FMEA 2 Untersuchungs gegenstand Beschreibung und Strukturierung des Untersuchungs gegenstandes bzgl seine
81. 4 2 2 1 Qualitative Auswertung von Fragsenkatalogen nenn 175 4 2 2 2 Quantitative Auswertung von Pragenkatalogen nenn 176 4 2 3 Regelbasierte Erweiterung des Frasenkataloge AA 178 4 2 3 1 einir nsere a nannte sn 180 4 2 3 2 Frsetzugngeregeln zeegt REESEN ERT bkeisckusishitesiein 181 4 2 3 3 3 80 00 an EE EE er nis 182 4 2 4 Repr sentationserweiterung f r unsicheres und vages Wissen 184 4 2 4 1 Unsicheres stochastisches oder probabilistisches Wissen 185 4 2 4 2 Unscharfes oder vages Wissen enres iTr 186 4 3 berf hrung der Basis Inferenzen der IS Sicherheitsstrategien auf das fragenkatalogorientierte Entwurfsmodell sussessesnesesnenneneonennenesnennenesnennenennennenennennenennennesennennenennennesesnennssennennssesnssensesnennssesnenane 190 4314 ensemble een 192 4 32 Hypothesengenerierung und Dberpr fung 194 4 3 2 1 Top Down Drobleml eung 196 4 3 2 1 1 Direkte Hypothesengenerierung und Verdachtsbewertung een 197 4 3 2 1 2 Hierarchische Hypothesengenerierung und berpr fung en 199 4 3 2 1 3 Komplexe Hypothesengenerierung und Dberpr fung 200 4 3 2 2 Bottom Up Probleml sung nano 203 4 3 2 2 1 Reaktive Bottom Up Hypothesengenerier
82. A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 1999 S 47 62 Sch nebeck 1994 Sch nebeck H Finanzmanagement auf Basis von Expertensystemen Schriftenreihe Controlling Band 4 Serfling K Hrsg Ludwigsburg Berlin 1994 294 Schreiber et al 2000 Schreiber G Akkermans H Anjewierden A de Hoog R Shadbolt N Van de Velde W Wielinga B Knowledge Engineering and Management Cambridge u a 2000 Schulte 1993 Schulte U Einf hrung in Fuzzy Logik M nchen 1993 Sch tte 1998 Sch tte R Grunds tze ordnungsm iger Referenzmodellierung Wiesbaden 1998 Schwarzer Krcmar 1996 Schwarzer B Kremar H Wirtschaftsinformatik Grundz ge der betrieblichen Daten verarbeitung Stuttgart 1996 Servatius 1991 Servatius K Empirische Forschung und Expertensysteme Frankfurt a M u a 1991 Sharp 2002 Sharp J Introduction The Development of Business Continuity Management In Wieczorek M Naujoks U Bartlett B Eds Business Continuity Berlin u a 2002 S IX XII Sienkiewicz 1994 Sienkiewicz B S Computersicherheit Bonn u a 1994 SigG 2001 Gesetz zur digitalen Signatur Signaturgesetz SigG vom 01 05 2001 Ver ffentlicht im Internet URL http www netlaw de gesetze sigg htm Stand 10 12 2002 Sigesmund 1995 Sigesmund M Konzepte auf der Basis von Szenario Studien In Vo bein R Hrsg Handbuch 3 Organisation sicherer Informationsverarbeit
83. Arbeit wurden unterschiedliche Modelle entwickelt die die Ergebnisse der jeweiligen Hauptkapitel widerspiegeln Hierbei bauen die Ergebnismodelle einerseits aufein ander auf wobei sie anderseits in sich abgeschlossen sind so dass sie z T unabh ngig von einander verwendet werden k nnen IS Sicherheitsstrategien des IS Sicherheitsmanagements Das Phasenmodell des IS Sicherheitsmanagements beschreibt zuerst unabh ngig von einer konkreten wissensbasierten Unterst tzung den Rahmen zur Schaffung der IS Sicherheit Den zentralen Aspekt der Arbeit bilden die IS Sicherheitsstrategien die zur Umsetzung des Si cherheitsniveaus und der IS Sicherheitsziele dienen und die Basis der Probleml sungsmetho den bilden Zur Beschreibung der wesentlichen Eigenschaften und Anforderungen von kon kreten IS Sicherheitsstrategien wird ein deskriptives Modell der IS Sicherheitsstrategien ent wickelt das auf Top Down und Bottom Up Ans tzen basiert Das Modell wird durch eine reaktive und pr ventive Sichtweise erweitert um ein weites Spektrum des IS Sicherheitsmanagements zu beschreiben Durch die Klassifikation der IS Sicherheitsstrategien werden die Voraussetzungen zur Auswahl der geeigneten diagnostischen Probleml sung geschaffen die sowohl die Basis f r die Konzepte als auch die Probleml sungsmethoden des Expertisemodells darstellen Expertisemodell des IS Sicherheitsmanagements Basierend auf dem Modell der IS Sicherheitsstrategien des integrierten I
84. B die fehlenden Ma nahmen auf Basis eines Soll Ist Vergleichs und zus tzliche Ma nah menempfehlungen 2 3 3 Hybrider Ansatz Einen hybriden Ansatz verbinden Teilaspekte des Bottom Up und Top Down Ansatzes Der folgende Ansatz des BSI Grundschutzes IT Grundschutzhandbuchs ist ein Beispiel f r ei nen hybriden Ansatz BSI Grundschutzhandbuch bzw IT Baseline Das BSI hat 1995 die erste Version des IT Grundschutzhandbuchs ver ffentlicht da das zuvor ver ffentlichte IT Sicherheitshandbuch in der Praxis Defizite in der Umsetzung erfah ren hat Der hohe Umsetzungsaufwand des Bottom Up gepr gten IT Sicherheitshandbuchs hat das BSI veranlasst eine Kombination der Top Down und Bottom Up Vorgehensweise in Form des IT Grundschutzhandbuchs zu entwickeln Der des IT Grund schutzhandbuchs bildet das hybride IT Sicherheitskonzept oder Grundschutz X was auf den General Management Guidelines for Information Security der ISO 13335 basiert Aufgrund einer zuvor durchgef hrten Schutzbedarfsfeststellung der einzelnen IT Anwendungen und IT Systeme wird entschieden ob diese nach dem IT Grundschutz oder nach einer Risikoanalyse weiterbearbeitet werden sollen Wenn ein niedriger bis mittlerer Schutzbedarf besteht wird nach dem IT Grundschutz weiter verfahren existiert ein h herer Schutzbedarf dann soll zus tzlich eine Risikoanalyse eingesetzt werden Im Folgenden werden die Schritte des BSI Grundschutzes dargestellt
85. Basistechnik und verfahren zur sicheren Speicherung Bearbeitung und bermittlung von Informationen zur Verf gung Zus tzlich ist ein politisches sowie aufbau und ablauforientiertes Umfeld n tig um ein System von Sicherheit zu gew hrleisten welches ber die system technischen Aspekte hinausgeht 102 Vgl Stickel Groffmann Rau 1998 S 340 103 Vgl Lenz 1991 S 41 und Zilahi Szab 1998 5 4 104 Vgl Schaurette 1999 5 239 15 Vgl Lippold 1992 S 913 R hm 2000 S 18 Hartmann Karger 2001 S 379 und Heinrich 2002 S 279 1 Vgl Vo bein J 1999 S 38 44 Informationssystemsicherheits Management Unternehmensumfeld z B politische Aspekte Aufbau und 7 Ablauforganisation IT System stechnikorientiert Abbildung 15 Abgrenzung von IT und IS Sicherheit Dies soll aber nicht dar ber hinwegt uschen dass die IS Sicherheit ohne die IT Sicherheit sinnlos ist da die Technik eine wesentliche Grundlage f r die IS Sicherheit darstellt Viel mehr ist die IT Sicherheit ein unverzichtbarer Bestandteil der IS Sicherheit Datenschutz Weitere Aspekte der IS Sicherheit bilden Gesetze und Verordnungen die insbesondere exter ne Anforderungen an die IS Sicherheit darstellen So sind Institutionen in gewissem Rah men durch Gesetze verpflichtet den Datenschutz mit bestimmten Ma nahmen Daten und Informationssicherung zu implementieren und aufrechtzuerhalten Betroffen sind
86. Bottom Up Ans tze angewandt werden Im Zusammenhang mit den IS Sicherheitsstrategien ist die pr ventive Sicht auf eine Verhinderung von negativen Vorf llen ausgerichtet wohin gegen e die reaktive Sicht erkl rungsorientiert ausgerichtet ist um Ursachen f r negative Vorf lle zu ermitteln In der folgenden Abbildung werden die IS Sicherheitsstrategien des integrierten IS Sicherheitsmanagements zusammenh ngend dargestellt Hierbei dient die Schwachstellenana lyse zur standardisierten pr ventiven Aufdeckung und reaktiven Breitensuche von Schwach stellen Durch das pr ventive Herleiten von Schwachstellen werden zuk nftige negative Vor f lle verhindert wohingegen bei aufgetretenen Vorf llen ermittelte Schwachstellen bzw feh lende Ma nahmen eine Erkl rung f r diese Vorf lle bieten F r eine umfassende Erkl rung der Ursachen die auch die gef hrdenden Ereignisse umfasst ist eine FMEA orientierte Risi koanalyse geeignet Die FMEA erkl rt einerseits reaktiv die Ursachen f r einen negativen Vorfall Anderseits k nnen auch pr ventiv die Auswirkungen eines negativen Vorfalls z B Auswirkungen von m glichen gef hrdenden Ereignissen antizipiert werden Pr ventiv Reaktiv verhinderungs erkl rungs orientiert orientiert a N SE en Fe Vorfall erkl ren ermiten w Ursachenanalyse PS Schwachste
87. Bun 18 2514 0 lt y sjuy 2 pun DIEU 08 sjlsuosiad z nyosz ijg 5 UOA 1 zjesulg 5 ayuepunpay Wou JoqJensBunzInN 2 5 9219595 apuayple nzun 5 s p sInyuoy Bun qnes us jessniyas Jen 391494 Soe eng S Bun apsa sjeuosJad s p Buninyas 154 ayllome un J SSeM Jene Zg kanal Bunuynysny uoa 5 7 yluyoe yssnmeq yssnmaqun yosuayy Yosua pun pJeH unjddoyyony sap pun SH uaysesiNn 22 N NG
88. Configurable Role Limiting Methods und Chandrasekaran und Task Structure Deren Ergebnisse finden sich in modernen Ans tzen des Knowledge Engineerings z B CommonKADS und MIKE wieder da sie f r die Analyse des Probleml sungswissens von herausragender Be deutung sind Gemeinsam ist diesen Ans tzen die Darstellung der wesentlichen Rolle von Probleml sungsmethoden f r die Erstellung von WBS Probleml sungsmethoden problem solving methods bestimmen wie Wissen zur Probleml sung verwendet wird Die Aufgabe der Probleml sungsmethoden besteht in der expliziten Beschreibung von Probleml sungsprozessen auf der Wissensebene Hierbei werden im Unter schied zum WBS der ersten Generation problemspezifische Methoden verwendet die nicht nur zur Auswertung von erworbenem Wissen dienen sondern zus tzlich die Akquisition und Strukturierung des Wissens unterst tzen Der Auswahl und Konstruktion von Probleml sungsmethoden wird somit eine besondere Rolle zugeteilt da sie sehr eng mit der Wissensak quisition verbunden ist Heuristische Klassifikation Die heuristische Klassifikation kann als erste umfassende Umsetzung der berf hrung einer Probleml sungsmethode auf die Wissensebene bezeichnet werden Clancey hat 1985 durch Untersuchung mehrerer WBS der ersten Generation festgestellt dass deren unterschiedliches Probleml sungsverhalten sich zu einer heuristischen Klassifikation ab
89. Der grunds tzliche Probleml sungsprozess der Diagnose basiert auf dem abduktiven Zur ck schlie en von Beobachtungen auf L sungen bzw Ursachen Meist werden unsichere Ver dachtshypothesen erzeugt die mit zus tzlichen Merkmalen zu berpr fen und zu verfeinern sind Die berpr fung und Verfeinerung ist ein deduktiv orientiertes Schlie en da aus allge meinen Verdachtshypothesen auf weitere speziellere Merkmale geschlossen wird welche zur berpr fung der Verdachtshypothesen dienen Hierbei ist aber die Hypothesen berpr fung 420 Vgl Peirce 1932 zit nach Heijst 1995 S 12 ff 130 Expertisemodell nicht ein deduktives Schlie en im Sinne von stets wahren oder korrekten Schlussfolgerungen sondern es soll die Orientierung vom Allgemeinen zum Speziellen darstellt werden Dies be deutet dass die Deduktion eine Form des Voraussehens der Vorausschau oder Voraussage prediction von weiteren m glichen Merkmalen ist welche die Hypothese best tigt oder wi derlegt Am Beispiel der heuristischen Klassifikation soll das diagnostische abduktive und deduktive Schlie en verdeutlicht werden Schwachstellen gt heuristische fehlende Ma nahmen p gt Hypothese Bewertung _ BE fehlende Firewall und nicht aktuelle Virenscanner abstrahieren ungesch tzter Zugang zum Internet vermutet BEE zus tzliche berpr fen Me
90. Dialogsteue rung in Verbindung mit pop up pull down Men s usw im Vordergrund Wissensnutzungssysteme Die Wissensnutzungssysteme werten das dom nen und fallspezifische Wissen aus und steu ern dessen Auswertung Das Nutzungssystem ist eng mit der Erhebungs und berf hrungs komponente verbunden Im klassischen Sinn besitzt die Probleml sungskomponente eine Interpretationsaufgabe des Dom nen und Fallwissens wie z B durch Vorw rts und R ck w rtsstrategien in der Auswertung von Regeln Die Probleml sungskomponente in modernen Systemen repr sentiert zudem einen bestimmten Probleml sungstypen und dessen Probleml sungsstrategien Die Komponente bestimmt somit auch Aufgabenziele der Probleml sung z B einer Diagnoseaufgabe Die Erkl rungskomponente leistet die Rekonstruktion und Darstellung der Schlussfolge rungsprozesse der Probleml sungskomponente f r Benutzer und Experten Diese Komponen te hat einen optionalen Charakter ist aber f r die Akzeptanz des Expertensystems von ent scheidender Bedeutung Der Benutzer soll immer in der Lage sein die Ergebnisse und Zwi schenergebnisse nachzuvollziehen und auch berpr fen zu k nnen 5 2 Vorstellung von ausgew hlten Realisierungsm glichkeiten In Stelzer 1993 M nch 1995 Ozier 1999 und Thoben 2000 werden mehrere bera tungsunterst tzende Werkzeuge f r die IS Sicherheit genannt und z T diskutiert Die quanti tativ orientierten Werkzeuge unterst tzen meis
91. Eingangs und Ausgangsports sowie logische Schnittstellen Interfaces F r jedes Krypto Modul existieren rollenbasierte Authentifizierungen und f r h here Sicher heitsstufen identit tsbasierte Erweiterungen Zus tzlich sollten Standarddienste wie z B eine 243 Engl Security Target 244 Vgl Mackenbrock 2001 5 344 25 Engl EAL Evaluation Assurance Level 246 Die Standards der FIPS sind unter der URL http csre nist gov publications fips ver ffentlicht 27 Vgl Churley 2002 S 75 248 Vol FIPS 46 3 1999 29 Vol FIPS 186 2 2000 250 Vgl FIPS 180 1 1995 21 Vgl FIPS 197 2001 22 Vol FIPS 140 1 1994 253 Vol FIPS 140 2 2001 254 In Snouffer Lee Oldehoeft 2001 sind die wesentlichen Ver nderungen der FIPS 140 2 erl utert 73 Informationssystemsicherheits Management Statusausgabe oder ein Selbsttest des Krypto Moduls angeboten werden Abh ngig von der Sicherheitsstufe des Krypto Moduls sollten physische Sicherheitsaspekte wie eine physische Ummantelung die einen unerlaubten Zugriff wahrnehmbar macht oder ein automatisches Zur cksetzen von sicherheitsrelevanten Informationen vorhanden sein Als Sicherheitsvor aussetzung werden zus tzlich ausreichende Tests Dokumentationen sowie Konfigurations und Installationsunterst tzungen vorausgesetzt Die Krypto Module sollten au erdem Angrif fe abschw chen k nnen die nicht w hrend der Entwicklung bekannt waren Die FIPS 140 bei
92. Einwilligung Sicherstellung der Zweck bindung sowie L schung nach Wegfall des Erfordernisses e Technisch organisatorische Ma nahmen wie z B umfangreicher Schutz vor unbefugter Datenverarbeitung e Rechte der Betroffenen wie z B Aufkl rung und Benachrichtigung sowie vollst ndige L schung Grunds tzlich ist eine bundesweite Einf hrung des Datenschutz G tesiegels zu erwarten da andere Bundesl nder wie Brandenburg Nordrhein Westfalen und Mecklenburg Vorpommern den Einsatz von datenschutzfreundlichen Technologien durch Vorschriften f rdern wollen Zudem regelt das Bundesdatenschutzgesetz das Audit und G tesiegel wenn auch noch ein entsprechendes Ausf hrungsgesetz fehlt 2 3 2 2 Sicherheits Schwachstellenanalyse SiSSA Die Sicherheits Schwachstellenanalyse kurz Schwachstellenanalyse oder SiSSA ist eine Weiterentwicklung und Anpassung der Schwachstellenanalysen aus der Organisationslehre Die SiSSA unterst tzt durch ihre Vorgehensweise den Top Down Ansatz Die SiSSA ver wendet hierf r Kriterien um mit deren Hilfe eine Analyse und Bewertung des Informations systems hinsichtlich seiner Schwachstellen durchzuf hren Des Weiteren k nnen verschie dene Aspekte der IS Sicherheit mit Hilfe der SISSA evaluiert und zertifiziert werden Die SiSSA ist nicht auf ein spezielles Kriterienwerk ausgelegt sondern sie kann die unterschiedli chen Inhalte der jeweiligen Kriterienwerke transparent verarbeiten Dadurch ist i
93. Erf llungsgrad 0 15 0 1000 10 832 Abbildung 106 Vereinfachtes Fuzzy Modell Dieses vereinfachte Vorgehen hat den Nachteil dass bei der Regelerstellung auf linguistische Variablen verzichtet wird So kann zwar die Aussage beschrieben werden dass bei einer stei genden Lebensdauer einer Festplatte das Risiko steigt jedoch die linguistischen Ausdr cke wie gering bis hoch werden nicht verwendet Zur Abbildung von wenigen Variablen und Regeln ist dieses vereinfachte Fuzzy Modell geeignet Das vereinfachte Fuzzy Modell Kann aber nicht komplexe aggregierte Regeln darstellen 4 3 berf hrung der Basis Inferenzen der IS Sicherheitsstrategien auf das fragenkatalogorientierte Entwurfsmodell Es folgt eine Anwendung des fragenkatalogorientierten Entwurfsmodells bzgl der Basis Inferenzen der IS Sicherheitsstrategien Hierf r werden die Basis Inferenzen aus dem Exper tisemodell durch das fragenkatalogorientierte Entwurfsmodell umgesetzt 43 Vgl Rw Eloff 1996 5 246 190 Entwurfsmodell assep u ssep u s yzod H IOHUSLIOSOTEIEJUSFEIF SEP 1 SuniynzIogN LOT 2
94. F R KAUSALE URSACHEN WIRKUNOGEN 248 ABBILDUNG 146 BERPR FUNG DER WIRKUNGEN UND URSACHEN 249 ABBILDUNG 147 BEISPIEL EINER FRAGE IM ERPASSUNOGSTOOL nee nennen 250 ABBILDUNG 148 AUSWERTUNG DURCH 2 252 ABBILDUNG 149 BEISPIEL EINER QUANTITATIVEN AUSWERTUNO AA 253 ABBILDUNG 150 ERWEITERUNG DES FRAGENKATALOGBASIERTEN ANSATZES UM EINEN MODELLBASIERTEN UND DOKUMENTENBASIERTEN ANS AT 260 xiii Tabellenverzeichnis Tabellenverzeichnis TABELLE 1 PROBLEMBEREICHE ZUR VERBESSERUNG DER IS SICHERHETT 49 TABELLE 2 STELLENWERT DER IS SICHERHEIT BEIM 49 TABELLE 3 FORMEN VON SICHERHEITSNIVEAUS 53 TABELLE 4 SCHEMATISCHER AUFBAU DES FMEA FORMBLATTES 60 TABELLE 5 DIFFERENZIERTE ZUSAMMENSTELLUNG DER 66 TABELLE 6 GEGEN BERSTELLUNG DER BS 7799 2 1998 BS 7799 2 2002 UND ISO 9001 2000 70 TABEELE 7 PHASEN DER 86156 Basen Ran EE 81 TABELLE 8 IS SICHERHEITSSTRATEGIEN DES IS SICHERHEITSMANAGEMENTS 87 TABELLE 9 BERSICHT DER DEUTSCHEN 0000000 0 90 TABELLE 10 KOMBINIERTES IS SICHERHEITSMANAGEMENT 92 TABELLE 11 DIFFERENZIERUNG ZWISCHEN BASIS UND PROBLEML SUNGSKONZEPTEN 10
95. Gruppierung Optiont Oder Fragenanzahl 9 7 Folgen der Einwilligungsverweigerur schriftliche Einwilligung M glichkeit zum Widerruf der Eirrwilli schriftliche Einwilligung Keine Verarbeitung bei Widerruf schriftliche Einwilligung 10 Besonderer Hinweis beimehreren schriftliche Einwilligung e D Bekanntheit der Pflicht zur Einholung 111 Einf gen 3 Pr fung der Notwendigkeit zur Einho 111 Cer Schriform bei der Einwilligungsers 111 Hinweis ber Verwendungszweck de LLI schrifliche Einwilligung _ Hinweis auf m gliche bertragung 1 11 schriftliche Einwilligung 11 1 111 111 111 Verkn pfungsregel zu berspringende Fragen Abbildung 138 Beispiel einer Anpassungsfrage in Verbindung mit Verkn pfungsregeln 242 Implementierung In obiger Abbildung ist ein Beispiel f r eine Verkn pfungsregel aufgezeigt die direkt der Auswahlfrage zugeordnet ist Ausgehend von einem Antwortobjekt einer Auswahlfrage z B Optionsk stchen 1 1 k nnen die zu berspringenden Fragen definiert werden Zur Strukturierung k nnen die Regeln zu Gruppen zusammengefasst werden Ersetzungsregelgenerator Ersetzungsregeln sind hnlich den Verkn pfungsregeln einer Auswahlfrage direkt zugeord net k nnen aber zus tzlich andere Fragen automatisch und verdeckt beantworten Sie die nen somit prim r einer einfachen Hypothesengenerierung und berpr fung Auswertu
96. Hypothesen berpr fung hierarchische Modelle Spezialisierung der assoziativen Abh ngigkeitskonzepte auf hierarchische Beziehungen kausale Konzepte Grundlage f r hierarchische Hypothesengenerierung und berpr fung Vorgabenmodelle Soll Ma nahmen Erkennung von fehlenden Ma nahmen Fehl bzw Normalzu st nde Grundlage f r Merkmalserkennung Erkennung von Konsequenzen Tabelle 16 Multifunktionale IS Sicherheits Dom ne 3 4 2 Anwendungsorientierte Basis Inferenzen der IS Sicherheitsstrategien In dem folgenden Kapitel folgt die berf hrung der IS Sicherheitsstrategien auf anwen dungsorientierte Basis Inferenzen der Diagnose Bei den Top Down Strategien wird pr ventiv auf Basis von Merkmalen in Form von er hobenen fehlenden Ma nahmen und reaktiv in Form von beobachteten Konsequenzen auf Schwachstellen Hypothesen assoziativ geschlossen welche eventuell durch weitere Merkmale best tigt oder verfeinert werden Durch die Bottom Up Strategien wird reaktiv ausgehend von beobachteten Wirkungen in Form von Konsequenzen auf deren Ursachen Hypothesen gef hrdende Ereignisse und kausale Schwachstellen geschlossen welche die Wirkungen kausal erkl ren Die Ursa chen werden eventuell durch weitere Beobachtungen Wirkungen best tigt oder verfei nert Pr ventiv wird ausgehend von gef hrdenden Ereignissen deren m gliche Konse quenzen vorausschauend ermittelt 141 Expertisemodell Zusammenfassend l sst sich die r
97. IS Sicherheit zu realisieren 145 BSI Bundesamt f r Sicherheit in der Informationstechnik Eine bersicht der Historie und Struktur des BSI bietet Heuser 2000 an 146 Grundschutzhandbuch 2000 Kapitel 1 2 5 6 147 Vgl Vo bein J 1999 S 260 148 Vol Lippold Stelzer Konrad 1992 5 372 53 Informationssystemsicherheits Management Eine sinnvolle Sicherheitszielsetzung ist nur zu erreichen wenn die Sicherheitsziele in Ver bindung mit dem ganzen Unternehmenszielsystem entwickelt und in IS Sicherheits strategien umgesetzt werden Dieser Gesamtzusammenhang wird in der folgenden Abbildung dargestellt Unternehmenszielsystem WBS Unternehmensziele Lee des IS Sicherheits 2 managements Informationssystem e Sicherheits bewusstsein Umsetzung der IS Sicherheitsziele Ziele Unterst tzung durch ein WBS gt Verf gbarkeit gt Integrit t gt Vertraulichkeit Ergebnis dokumentation IS Sicherheits konzept Sicherheitsniveau erforderlicher Aufwand und vorhandene Ressourcen Abbildung 19 IS Sicherheitsziele und strategien Die Ermittlung der IS Sicherheitsziele selbst kann durch das WBS meist nur indirekt unter st tzt werden da die Zielbildung einen stark kognitiven Charakter aufweist und sehr viele politische Einflussfaktoren besitzt Eine Formalisierung der politischen Ebene ist deshalb nur
98. IS Struktur nicht so hoch ist wie bei den Bottom Up Systemen Im Rahmen dieser Arbeit ist das WBS auf den Top Down Ansatz ausgerichtet wobei auch kausale Aspekte der Bottom Up Probleml sung ber cksichtigt werden Hierf r wird ein Diagnosesystem auf Basis des Entwurfsmodells entwickelt Es besteht eine Formalisierung des IS Sicherheitswissens durch wissensbasierte Fragenkataloge wobei der Formalisierungsgrad niedriger ist als bei Bottom Up gepr gten Systemen Historisch gesehen haben Diagnosesysteme den Ursprung in technischen Anwendungen sind aber auch in der Medizin stark vertreten Diagnosesysteme werden teilweise unterschied lich definiert und z T als Expertisesysteme bezeichnet So besitzen f r Kurbel Diagnose systeme nur die M glichkeiten Fehler zu erkennen sie bieten aber keine L sung Systeme die gleichzeitig eine L sung anbieten bezeichnet Kurbel als Systeme zur Fehleranalyse und behebung 81 Im Rahmen dieser Arbeit soll den wissensbasierten Diagnosesystemen neben der Fehlererkennung auch die L sungskomponente zugeordnet werden Mindestvorausset zung hierf r ist die Festlegung auf den Probleml sungstyp Diagnose Auspr gungsformen von WBS F r die Konstruktion von Diagnose Expertensystemen haben sich historisch gesehen folgende Auspr gungsformen von WBS entwickelt e Zuerst wurden KI Sprachen f r eine implementierungsnahe Ebene entwickelt die auf den Knowledge Engineer ausgerichtet waren e Sp ter w
99. ISACA 1998 S 7 und G tze T V 2002 S 11 Vgl Konrad 1998 und Eloff Solms 2000a S 250 Zieschang 2001 bietet z B ein Best Practice Ansatz f r den IS Sicherheitsbereich E Commerce 25 Vgl ISACA 1998 5 29 216 Vgl Gritzalis 1997 S 713 68 Informationssystemsicherheits Management Teil 1 der BS 77992 bzw ISO 17799718 beinhaltet einen Leitfaden zum Management von Informationssicherheit mit folgenden Ma nahmenbereichen Code of Practice 2 Gu Organisation der Einstufung und Sicherheitspolitik Sicherheit Kontrolle der Werte Sicherheit bei Personal Physische und Management der umgebungsbezogene Kommunikation und Zugangskontrolle Systementwicklung und 8 f Wartung Sicherheit des Betriebs Gesch fts Einhaltung der kontinuit tsplanung Verpflichtungen Abbildung 28 Struktur des BS 7799 1 Der zweite Teil des BS 7799 BS 7799 2 1998 dient zur Spezifikation eines Information Security Management Systems und bildet eine Zertifizierungsgrundlage wobei dieser Teil nicht in die ISO 17799 2000 eingegangen ist Im September 2002 wurde ein berarbeiteter und aktualisierter BS 7799 2 20022 ver ffentlicht der hinsichtlich der ISO 9001 2000 har moniert worden ist In der folgenden Tabelle erfolgt eine Gegen berstellung der BS 7799 2 19
100. Kontrol Kaptelquelle Fragenquelle Objektquele Regelmodu 2 Zahl Kaptelquele Fragenquelle Objektquee Bee scht Kergelaebe Fragenquelle Objekiqueiie Fragenobjekt 3 E Rahmen 2 ODER Kapkekquelle Fragenquelle Objektquele Fragenobyekt 4 Abbildung 142 Hierarchische Darstellung der Modul Rahmen Durch die Auswertung der Generierungsregeln k nnen direkte sowie komplexe Schwachstel len ermittelt werden Die Antworten der Ma nahmen Fragen oder Konsequenzen Fragen werden hierf r als Merkmale interpretiert Die jeweiligen Merkmale sind mit Dann Bl cken verkn pft die direkte Diagnosen bzw Schwachstellen darstellen Mehrere Merkmale k n nen mit Hilfe von Verkn pfungsoperatoren zu einem Regel Rahmen zusammengefasst wer den Die Ergebnisse der Dann Bl cke stellen die direkten Schwachstellen dar Deutet Schwachstellen Frage Schwachstellen Frage Ma nahme Frage Konsequenz Frage g g Fragen automatisch _ beantworten Fragen verdeckt oder offen automatisch beantworten Diagnose Diagnose Regel Rahmen komplexe Schwachstelle Ergebnisse Ergebnisse darstellen darstellen Dann Bl cke Dann Bl cke Regel Rahmen direkte Schwachstelle Abbildung 143 Generierungsregeln f r assoziative Schwachstellen F r komplexe Schwachstellen werden verkn pfte Generierungs
101. Ma nahme und Schwachstelle auf die Wissens Rollen und Inferenz Struktur der heuristischen Klassifikation berf hrt Inferenz Dom nen Mapping Der CommonKADS Ansatz erm glicht eine weitgehende Unabh ngigkeit zwischen der Do m ne und der Probleml sungsmethode Diese Sichtweise der Unabh ngigkeit der Dom ne von der Probleml sungsmethode und umgekehrt steht im Widerspruch zur Strong Interaction Problem Hypothesis der Configurable Role Limiting Methods orientierten Ans tze denn die Role Limiting Ans tze nehmen eine Abh ngigkeit zwischen der Struktur der Dom ne und der Probleml sungsmethode an Die von CommonKADS geforderte Unabh ngig zwischen den Ebenen wird durch die Relative Interaction Hypothesis relativiert die davon ausgeht dass z T gewisse Abh ngigkeiten bzw gegenseitige Anforderungen zwischen der Struktur des Dom nenwissens und dem Aufgabentyp bestehen So stellen Probleml sungsmethoden An forderungen an die Dom ne die nicht so einschr nkend sind wie bei den Strong Interaction Problem Hypothesis Ans tzen MIKE Der wurde um die Forschungsgruppe von Studer an der Universit t Karlsruhe entwickelt um die Phasen der WBS Entwicklung von der Wissenserhebung ber die Experti semodellierung bis hin zur Implementierung des WBS zu unterst tzen Das Vorgehensmodell besteht aus Aktivit ten und deren Ergebnissen die auch als Dokumente bezeichnet werden Die Zielsetz
102. NEN UND Le ET La EEN 137 ABBILDUNG 70 BERF HRUNG EINES FUNKTIONALEN MODELLS IN EIN KAUSALES MODELL EE 139 ABBILDUNG 71 REAKTIVE UND PR VENTIVE SICHTWEISE DES SCHWACHSTELLEN 5 EES EEN 142 ABBILDUNG 72 ANWENDUNGSORIENTIERTE IS SICHERHEITS PROBLEML SUNGSMETHODEN Abbildungsverzeichnis Eet teen EE ie 143 ABBILDUNG 73 BERF HRUNG DES REAKTIVEN UND PR VENTIVEN TOP DOWN IS SICHERHEITSMANAGEMENTS AUF DIE HEURISTISCHE 145 ABBILDUNG 74 MANIFESTIERENDE TEST ORUDDEN 146 ABBILDUNG 75 BEISPIEL EINER SCHW ACHSTELLENHIERARCHIE UND IHRE ANWENDUNG DURCH DIE ESTABLISH REFINE STRATEOIR 147 ABBILDUNG 76 WIRKUNGS UND 5 5 148 ABBILDUNG 77 BERF HRUNG DES REAKTIVEN BOTTOM UP IS SICHERHEITSMANAGEMENTS AUF DIE MODELLBASIERTE DIAONOSb 149 ABBILDUNG 78 HYPOTHESENGENERIERUNG UND BERPR FUNG MIT HILFE VON KAUSALEN getesselt Ee 150 ABBILDUNG 79 BERF HRUNG DES PR VENTIVEN BOTTOM UP IS SICHERHEITSMANAGEMENTS AUF DIE MODELLBASIERTE 152 ABBILDUNG 80 ZUSAMMENHANG ZWISCHEN INFERENZ TEMPLATES UND PROBLEML SUNGSMETHODEN DER IS SICHERHEITSSTRATEGIEN
103. Problem wurde lange vernachl ssigt und seine Bedeutung untersch tzt Grunds tzlich ist es erforderlich auf allen Unternehmensstufen ein IS Sicherheitsbewusstsein zu schaffen jedoch prim r auf der oberen F hrungsebene Die KES Studie von 2002 belegt mittlerweile dass das Problem bzgl des mangelnden IS Sicherheitsbewusstseins erkannt und als gravierend eingestuft worden ist 121 Vgl Brandao 1996 S 8 12 Vgl Hartmann Karger 2001 5 381 23 Vgl Vo bein R 1995b S 41 und Wehner 1995 S 27 124 Vgl Vo bein R Vo bein J 2002a und Vo bein R Vo bein J 2002b 48 Informationssystemsicherheits Management Welche Probleme behindern Sie am meisten bei der Verbesserung der ISi Mehrfachnennungen m glich Basis der Prozentuierung 260 Es fehlt an Bewusstsein bei den Mitarbeitern 65 Es fehlt an Bewusstsein beim mittleren Management 61 Es fehlt an Bewusstsein und Unterst tzung im Top Management 50 Es fehlt an Geld 46 Es fehlt an M glichkeiten zur Durchsetzung sicherheitsrelevanter Ma nahmen 38 Es fehlen verf gbare und kompetente Mitarbeiter 37 Die Kontrolle auf Einhaltung ist unzureichend 34 Es fehlen die strategischen Grundlagen Gesamt Konzepte 34 Anwendungen sind nicht f r ISI Ma nahmen vorbereitet 22 Es fehlen realisierbare Teil Konzepte 21 Die vorhandenen Konzepte werden nicht umgesetzt 20 Es fehlen geeignete Methoden und Werkzeuge 18 Es fehlen geeignete Produkte 12 Es fehlt
104. Probleml sungs Szenarien Durch Kombination der Basis Inferenzen k nnen Probleml sungs Szenarien entwickelt wer den die zusammengesetzte Probleml sungsstrategien auf einer epistemologischen Ebene be schreiben So besteht bei den reaktiven Top Down oder Bottom Up Probleml sungen die Problematik dass Schwachstellen ermittelt werden aber nicht die ben tigten Ma nahmen um diese Schwachstellen zu schlie en Hier kann eine zus tzliche Ma nahmen Suche die erforderlichen Ma nahmen ermitteln 156 Expertisemodell reaktive Top Down Bottom Up Hypothesengenerierung Hypothesengenerierung EE Schwachstellen fe berpr fungs N Ma nahmen N auswahl eigenschaften Schwachstellen erwartete re rfassen und SR Ma nahmen Abh ngigkeiten Ma nahmen _abstrahieren En erfasste berpr fung Ma nah verfeinern lt alsnahmen Y erforderliche Ma nahmen Abbildung 83 Pr ventive Top Down Hypothesen berpr fung als Ma nahmen Suche Diese zus tzliche Ma nahmen Suche kann durch eine hinzugef gte pr ventive Top Down Hypothesen berpr fung erfolgen die f r die ermittelten Schwachstellen nach erforderlichen Ma nahmen sucht In dem folgenden Beispiel ist ein umfangreicheres Probleml sungs Szenario dargestellt Durch die kombinierte Hypothesengenerierung werden assoziative und kausale Verdachts Schwachstellen ermittelt Es werden nur di
105. Probleml sungs Szenarien k nnen die Basis Inferenzen und IS Sicherheitsstrategien in vielf ltiger Form multifunktional kombiniert werden dem fol genden Beispiel werden durch eine Wirkungsanalyse Konsequenzen simuliert F r die Kon sequenzen werden durch reaktive Top Down Hypothesengenerierungen deren Verdachts Schwachstellen assoziiert Anschlie end erfolgt eine Top Down Hypothesen berpr fung der ermittelten Schwachstellen Basis Inferenzen Inferenz Strukturen Hypothesengenerierung Pr ventiver Bottom Up und reaktiver Top Down Hypothesen berpr fung pr ventiver Top Down 270 Anhang B TIUN u wyeuyeN i 4 es ueseyodiy 2 Sie A N wowyeugey uowyeugey 5 yemsne N Lei 5 gt 5 N Ja uoyameg Sn s unyemog 2700181208 oudnu lan anpe lt 4 1 umogq doL
106. Sicherheitsniveau ben tigen kann der aufwendige Bottom Up Ansatz in Form einer Tiefen suche angewandt werden Es ist zu beachten dass durch eine Priorisierung alle sicherheitsre levanten Unternehmensbereiche bei der Analyse ber cksichtigt werden Diese integrierte Vorgehensweise entspricht den Rahmenkonzepten des IS Sicherheitsmanagements der SiS SA dem BSI Grundschutzhandbuch und dem Informationsmanagement nach ISO 13335 Pr ventives und reaktives IS Sicherheitsmanagement Das beste IS Sicherheitsmanagement ist das pr ventive da negative Vorf lle erst gar nicht entstehen Aufgabe des pr ventiven IS Sicherheitsmanagements ist die Ermittlung von feh lenden Ma nahmen und die vorausschauende Analyse eines negativen Vorfalls um geeignete Ma nahmen einzusetzen Im reaktiven Fall ist der negative Vorfall schon aufgetreten das Ziel ist die Suche nach der Ursache dieses Vorfalls bzw die Erkl rung der negativen Konse quenz um reaktiv ad quate Ma nahmen zu ergreifen Da aber nicht alle sicherheitsrelevanten Aspekte antizipiert werden k nnen erm glicht erst eine Integration des pr ventiven und reak tiven IS Sicherheitsmanagements eine umfassende IS Sicherheit Dies bedeutet dass einer seits pr ventiv IS Sicherheitsaspekte ber cksichtigt werden um einen negativen Zustand in Form einer Konsequenz im Vorfeld pr ventiv zu verhindern Andererseits sollte auch die M glichkeit bestehen reaktiv auf negative Vorf lle zu reagieren
107. Ursachen und Wirkungen k nnen zu komplexen kausalen Modellen verkn pft werden wobei die Verkn pfung durch Zustands nderungen einer Konsequenz hin zu einer Gefahr f r ein anderes gef hrdendes Ereignis dargestellt wird Hierdurch k nnen weitere verkn pfte Ursachen bzw die Ursprungs Konsequenzen oder die Gefahr ermittelt werden die letztlich f r die beobachteten Konsequenzen verantwortlich sind Durch die Hypothesengenerierung werden eventuell Ursprungs Konsequenzen ermittelt welche Ausgangs Konsequenzen indi rekt best tigen Diese Strategie entspricht einer r ckw rtsverketteten Tiefensuche 4 Hierbei wird davon ausgegangen dass ein sicherheitsrelevanter Bereich der keine Schwachstellen besitzt Gefahren erfolgreich abwehren kann und somit keine Konsequenz erzeugen kann Sind aber Bereiche mit Schwachstellen ermittelt worden erm glichen diese dass eine negative Wirkung in Form einer Konsequenz entsteht Vgl Nosworthy 2000 5 599 149 Expertisemodell Hypothesengenerierung beobachtete Ausgangs ber ber ber Konsequenz deckung deckung deckung Ursprungs Gefahr einfache berdeckende Ursache Ursprungs Konsequenz weitere verkettete berdeckende Voraus er a gt 2 berpr fende Ursache sage weitere m gliche Konsequenz Fiypothesen berpr fun Abbildung 78 Hypothesengenerierung und berpr fung mit Hilfe von kausalen Modellen Zus tzlich k nnen
108. Vgl Puppe Stoyan Studer 2000 S 616 39 Informationssystemsicherheits Management 2 Informationssystemsicherheits Management Die Durchdringung der Informationsverarbeitung in Institutionen und die daraus erwachsene Abh ngigkeit von der IS Sicherheit ist in den letzten Jahren angewachsen Dadurch hat die Schaffung von IS Sicherheit kurz IS Sicherheitsmanagement sich in Institutionen zu einer Managementaufgabe entwickelt welche klassische Aufgabenbereiche beinhaltet wie z B Planung Organisation Entscheidung Kontrolle Kommunikation usw In diesem Kapitel er folgt zuerst eine begriffliche und inhaltliche Abgrenzung des Begriffs Informationssystemsi cherheit kurz IS Sicherheit welcher das zentrale T tigkeitsumfeld des IS Sicherheits managements beinhaltet Nutzenniveau von Information Im Rahmen dieser Arbeit wird die Informationssicherheit wie folgt in unterschiedliche Ebe nen differenziert N Information S Devisenkurs Kontext 1 DM 1 70 I Daten E a 1 70 gt lt lt SSC T N Zeichen gt 2 1 7 0 und SE lt Abbildung 13 Abgrenzung von Information Daten und Zeichen Auf der untersten Ebene sind die Grundelemente zur Informationsdarstellung in Form von Zeichen vorhanden Durch Anwendung von festgelegten Regeln werden die Zeichen zu Daten konvertiert und erlangen eine Struktur Syntax besitzen aber keinen Bezug zu einem Kon text Erst in ein
109. Vorf llen werden die wesentlichen Merkmale eines neuen Vorfalles in der Wissensbasis gespeichert und k nnen wiederum f r sp tere Auswertungen verwendet werden Die sicher heitsrelevanten Aspekte bzw Merkmale der Vorf lle die schon aus der Risikoanalyse be kannt sind und mit Aspekten des Electronic Commerce erweitert worden sind werden durch Regeln und Frames repr sentiert Common Criteria Toolbox CC Toolbox Die Toolbox unterst tzt einen automatisierten Prozess um IT Sicherheitserfordernisse in Verbindung mit der Common Criteria zu identifizieren Dies ist insbesondere bei der Ermitt lung von Schutzprofilen Protection Profile PP f r die zu erstellende Software Produktentwicklung n tzlich Schutzprofile auf Basis von CC Kriterien bieten eine anerkann te L sung zuz glich Erkl rungen f r Standard Sicherheitsprobleme einer Produktgruppe Sie 562 Vol Jung Han Suh 1999 S 65 563 Vgl dazu auch Opitz 1980 5 87 ff 564 CC Teil 1 2000 CC Teil 2 2000 und 3 2000 224 Implementierung sind zun chst implementierungsunabh ngig K nnen aber durch die daraus ableitbaren Si cherheitsvorgaben Security Target ST auf einen konkreten Evaluationsgegenstand EVG zugeschnitten werden Damit k nnen beispielsweise Wirtschafts und andere Interessensver b nde ihre Vorstellungen und Bed rfnisse bez glich der Sicherheit bestimmter IT Produktgruppen z B Firewalls Chipkartenanwendungen i
110. XPS h ufig auf Basis von WBS konstruiert werden und somit die Architektur und Prob leml sung des WBS bernommen wird verwischt h ufig in der Praxis die Differenzierung zwischen den beiden Systemen so dass in der Praxis nur noch ein System gesehen wird So haben manche Autoren die Auffassung dass der Begriff Expertensystem in WBS aufgehen sollte Somit w re keine differenzierte Bezeichnung zwischen dem Werkzeug bzw WBS und deren Ergebnisse bzw XPS m glich In der Arbeit wird zwischen den beiden Begriffen unterschieden wobei die Differenzierung z T flie end ist Im Weiteren wird davon ausge gangen dass ein XPS auf wissensbasierten Techniken beruht 5 Vgl Sch nebeck 1994 S 22 und Hansen Neumann 2001 S 471 51 Kurbel 1992 S 26 512 Vgl Kurbel 1991 S 26 und G ldenberg 1997 S 165 213 Vgl Busch et al 1994 S 4 und Schreiber et al 2000 5 6 212 Implementierung Einordnung von XPS in Management Support Systeme MSS werden als Oberbegriff f r alle Einsatzformen von Datenverarbeitungs Informati ons und Kommunikationstechnologien zur Unterst tzung des gesamten Unterst tzungsspekt rums von Managern verstanden Zusammenfassend lassen sich die Management Support Systeme in drei Gruppen unterteilen Auspr gung und Management Support Systeme Hierunter wird die reine Bereitstellung von Informationen verstanden Technolo gisch gesehen wird der Data Support durch Datenbank und Kommuni
111. an praxisorientierten Sicherheitsberatern 10 Sonstiges 6 Keine 4 Tabelle 1 Problembereiche zur Verbesserung der IS Sicherheit Die F hrungsebene bernimmt als origin re Aufgabe die Erreichung der Unternehmensziele Somit hat diese Ebene in letzter Konsequenz auch die Verantwortung f r die IS Sicherheit zu tragen Des Weiteren besitzt nur die F hrungsebene die Kompetenz einer globalen Sicht weise auf die Systemlandschaft was die Voraussetzung f r eine unternehmensinterne und externe Sichtweise f r die Abh ngigkeit des Unternehmens von der Informationsverarbei tung und dem damit verbundenen IS Sicherheitsproblem darstellt Trotz dieser Notwendigkeit ist die Sensibilit t der Unternehmensleitung f r die IS Sicherheit i d R nicht stark ausge 7 Dies dokumentiert die Studie in der ermittelt worden ist dass 57 der Unternehmen kein eigenes Budget f r IS Sicherheitsaufgaben bereitstellten und zum anderen dass nur 20 des Top Managements die IS Sicherheit als vorrangiges Ziel betrachten Welchen Stellenwert hat die ISi f r Ihr Top Management 1994 2000 2002 ISi ist ein vorrangiges Ziel der Informationsverarbeitung 16 23 20 ISi ist ein gleichrangiges Ziel der Informationsverarbeitung 49 46 50 ISi ist eher ein l stiges bel 35 30 29 Tabelle 2 Stellenwert der IS Sicherheit beim Top Management 125 Vgl Vo bein R Vo bein J 2002b 5 18 1 Vgl Stelzer 1993 S 75 Jaspers 1997
112. bilden die Grundlage f r die dynamischen Eingangs und Aus gangswissens Rollen Die kausalen und assoziativen Abh ngigkeitskonzepte dienen als stati sche Wissens Rollen f r die Inferenzen Dieses Prinzip ist in der folgenden Abbildung am Beispiel des BSI Grundschutzhandbuchs dargestellt 133 Expertisemodell dynamische Inferenz dynamische Eingangs Rolle Ausgangs Rolle Vergleich der Merkmal m realisierten und empfohlenen Hypothesen u Ma nahmen h statische Wissens Rolle y y Abh ngigkeitskonzepte Ma nahmen Schwachstelle Ile Dos Beschreibung Gefahren Ma nahmen Abbildung 67 Grundprinzip der Inferenz und Wissens Rollen am Beispiel des BSI Grundschutzhandbuchs Die IT Bausteine bilden das Dom nen Wissen in Form des BSI Grundschutzes ab und wer den auf Wissens Rollen berf hrt Auf der dynamischen Wissens Rolle Merkmale werden erhobene Ma nahmen abgebildet auf der dynamischen Wissens Rolle Hypothese werden Schwachstellen abgebildet Die statische Wissens Rolle L sungskonzepte beinhaltet das Abh ngigkeits bzw L sungswissen zwischen defizit ren Ma nahmen und Schwachstellen Die Probleml sungsmethode besteht in diesem Beispiel aus einer Soll Ist Vergleich Infe renz der realisierten Ma nahmen Merkmale und Ma nahmenempfehlungen 134 Expertisemodel
113. che 2 Erweitert in Anlehnung 021 2000 S 7 29 Vgl Pongratz 1996 S 233 und Schaurette 1999 S 237 f 210 Vgl Gerber Solms 2001 S 583 66 Informationssystemsicherheits Management Abbildung 26 Schichtenmodell des BSI Grundschutzhandbuchs Jedem IT Baustein des Schichtenmodells sind m gliche Gefahren und Gegenma nahmen zugeordnet Sind die geforderten Ma nahmen des Grundschutzes erf llt ist ein gewisses Ma an IS Sicherheit vorhanden Falls ein hoher Grad an IS Sicherheit f r die Bereiche der Infra struktur ben tigt wird k nnen die Risiken individuell ermittelt werden um Ma nahmen an zupassen Eine umfangreichere Beschreibung der Struktur und Anwendung des BSI Grundschutzes erfolgt im Kapitel 2 3 3 211 Ver ffentlicht im Internet URL http www bsi de gshb deutsch menue htm Stand 10 12 2002 67 Informationssystemsicherheits Management BS 7799 ISO 17799 Code of Practice CoP Der aus dem Bed rfnis von Handel und Industrie nach einfach einsetzbaren Sicherheitsstandards Dieser Code of Practice wurde in mehreren Schritten in einen British Standard BS 7799 umgesetzt und im Jahre 2000 als internationaler Standard ISO IEC 17799 ver ffentlicht SRI International SRI International Shell Best Survey of industry Baseline Controls Practices _ dE 22 Best Practices of BT Mark amp Spencer
114. chen Ursachen Konsequenz Fragen Abbildung 114 Reaktive und pr ventive Bottom Up Regeln Hierbei wird basierend auf den gleichen Dom nen Basiskonzepten die pr ventive und re aktive Probleml sung und ihre jeweiligen Probleml sungskonzepte durch unterschiedliche Aktivierung und Auswertung der Regeln repr sentiert Eine parallele reaktive und pr ventive Strategie ist von Vorteil da die Ermittlung beider Merkmalsformen die Probleml sung erh hen kann 4 3 2 2 1 Reaktive Bottom Up Hypothesengenerierung und berpr fung Hypothesengenerierung und berpr fung basierend auf Ersetzungsregeln Die nachfolgende Abbildung von gef hrdenden Ereignissen und deren Zustands nderungen dient als Grundlage f r die folgende Hypothesengenerierung und berpr fung vorausschauende Hypothesen berpr fi ypothesen berpr fung weitere Folge Ereignis 3 Zustands nderungen Konsequenz r ckw rtsorientierte Hypothesen berpr fung o ermittelte ER Ursprungs SE Ausgangs Ereignis 1 igni Konsequenz ul Konsequenz Abbildung 115 Zustands nderungen Bei der reaktiven Hypothesengenerierung erfolgt ausgehend von der ermittelten Konsequenz r ckw rtsorientiert die Herleitung der berdeckenden Ursachen Eine einfache Hypothesen berpr fung kann durch offene automatisch beantwortete Ursachen Fragen erfolgen Dieser generierte Verdacht wird dem Benutzer pr sentiert der den Verdacht best tigt
115. den damit zusammenh ngenden wissenschaftlichen Disziplinen wie Philosophie Psycholo gie Linguistik und den Neurowissenschaften Aber auch aus den vielf ltigen Anwendungsge bieten der wie z B Sprach und Bildverstehen Robotik neuronale Netze oder Software Agenten erw chst eine F lle von vielfachen Interdependenzen Management der Informationssystemsicherheit Das Management der Informationssystemsicherheit umfasst die gesamten Aktivit ten zur ge planten und dauerhaften Gestaltung der IS Sicherheit einer Institution Die Informationssys temsicherheit ist ein wichtiges Managementproblem das auf allen Ebenen des Unternehmens managements zu finden ist Grundlage f r die Probleml sungsprozesse des IS Sicherheitsmanagements bilden das IS Sicherheitswissen und die IS Sicherheitsmanagement strategien Die wissensbasierte Analyse des IS Sicherheitswissens und der IS Sicherheitsstrategien des IS Sicherheitsmanagements und deren explizite Beschreibung durch ein Expertisemodell bilden die Basis f r die Operationalisierung in einem wissensba sierten System Vgl Puppe Stoyan Studer 2000 S 599 2 G rz Wachsmuth 2000 S 1 3 Vgl Kurbel 1992 S 4 und Stickel Groffmann Rau 1998 S 403 Vgl Oppliger 1997 8 21 und Konrad 1998 S 46 Vgl Wehner 1995 S 27 Brandao 1996 S 1 Petzel 1996 S 9 Plate 1997 S 373 und Karger 1999 5 157 Vgl Hartmann Karger 2001 S 381 7 F r den B
116. der Antworttext unter schiedliche Inhalte besitzen kann werden diese durch Textfarben unterschieden Zu jeder Antwortm glichkeit kann noch ein Gewichtungsfaktor angegeben werden der bei einer quan titativen Auswertung verwendet wird Basierend auf dem Entwurfsmodell werden folgende Fragenkatalog Regeln verwendet um Abh ngigkeiten zwischen den Fragen herzustellen 241 Implementierung Verkn pfungsregelgenerator Verkn pfungsregeln werden zur Ablaufsteuerung und verfeinerten Anpassung des Fragenka talogs bei einer konkreten Situation angewandt So werden f r die jeweiligen IS Sicherheitsstrategien eventuell nur gewisse Bereiche der Fragen ben tigt Ist z B eine pr ven tive Top Down Strategie gew nscht so werden vor allem Ma nahmen erhoben oder nicht ben tigte Sicherheitsbereiche einer Institution werden nicht ber cksichtigt Die Anpassung an eine konkrete Situation ist eng mit dem Erhebungs Tool und den Verkn p fungsregeln verbunden da durch Auswahlfragen und regeln die ben tigten IS Sicherheitsbereiche des Katalogs ermittelt werden Aufgrund der Antworten werden durch Verkn pfungsregeln ganze Kapitel aktiviert oder deaktiviert bzw bersprungen Aufgrund des einfachen Aufbaus der Verkn pfungsregeln k nnen umfangreiche Teilbereiche innerhalb der Kapitel bersprungen werden um so eine differenziertere Anpassung zu erlangen Diese Verkn pfungsregeln haben Einfluss auf die Probleml sung da eventuell auf Grund ein
117. der Experte in der Lage Schablonen zu erstellen die als Vorlage f r die Fragen dienen Er bietet damit die M glichkeit unterschiedliche Fragetypen zu entwerfen Hierdurch wird die Erstellung von standardisierten Fragenkatalogen unterst tzt da alle Fragen auf den gleichen Schablonen bzw Fragetypen basieren wie z B Ja Nein oder Rating Fragen Der Vorteil ist dass die Fragen bei der Befragung auf dem gleichen Layout beruhen und die Flexibilit t eines variablen Fragenlayouts bei der Fragenerstellung gleichzei tig erhalten bleibt 588 Koolwijk 1974 S 41 Roth 1995 S 153 Stier 1996 S 184 585 M hrle Hoffmann 1994 S 244 238 Implementierung 3er Rating Platzhalter f r die sp tere Men Buttonleiste Platzhalter f r die sp tere Statusleiste Abbildung 135 Beispiel einer Schablone Die Schablone kann unterschiedliche Dialog und Bezeichnungsobjekte besitzen wobei die Bezeichnung bei dem konkreten Fragenkatalog mit konkreten Werten belegt wird Kapitel und Fragengenerator Die Grundlage des wissensbasierten Fragenkatalogs bilden Kapitel und deren Fragen welche Objekt Attribut Wert Strukturen repr sentieren Durch den Kapitel und Fragengenerator wer den die einzelnen Fragen entwickelt und zu einem Gesamtkatalog zusammengefasst Die Struktur der Kataloge wird mit Hilfe eines Kapitelbaums erzeugt indem zusammengeh rige Fragen zu Kapiteln zusammengefasst werden Die Entwicklung der Kapi
118. des Wissens in einem WBS durchgef hrt wird wird bei den modellorientierten Ans tzen zun chst ein Expertisemodell als Ergebnis der Wissensakquisiti on konstruiert das explizit das Probleml sungswissen und das Dom nenwissen beschreibt und eine Schnittstelle zur Wissensoperationalisierung darstellt CommonKADS KADS beschreibt eine Methodologie zur Erstellung von WBS die auf Forschungsarbeiten von Wielinga und Breuker der Universit t Amsterdam basiert und eine breite Akzeptanz ins besondere im europ ischen Raum erlangt hat Auf Basis des KADS I Ansatzes wurde 1990 das Folgeprojekt KADS IT ins Leben gerufen Das KADS Projekt endete 1994 dessen Er gebnis im kommerziellen Standard CommonKADS dargestellt ist Der CommonKADS An satz wird st ndig weiterentwickelt die Ergebnisse wurden von Schreiber zusammenfassend ver ffentlicht Das Grundverst ndnis des KADS Ansatzes basiert auf Abstraktions und Modellie rungsprozessen von der Wissensakquisition bis zur Implementierung des WBS Der KADS Ansatz erweiterte die oben genannten Ans tze durch ein umfangreiches Expertisemodell wo bei die differenzierte Darstellung der Aufgabenklassen und der Probleml sungsmethoden in den KADS Ansatz einflie t Der CommonKADS Ansatz erweitert den KADS Ansatz durch eine Anbindung an das Knowledge Management und mittels der einheitlichen Modellierung auf Basis der objektori entierten UML Notation Der CommonKADS Ansatz besitzt aber nicht
119. die Wissensbasis ein gewisses Basiswissen enthalten das angepasst und erweitert wird Wenn ein WBS die wesentlichen Aspekte des IS Sicherheitsmanagements beinhaltet kann das WBS in die jeweilige Institution eingebettet werden Fachexperte und Knowledge Engineer Im Rahmen des KE vertreten der Fachexperte und der Knowledge Engineer unterschiedliche Rollen Da Fachexperten typischerweise keinen berblick ber Expertisemodelle Probleml sungsmethoden und Entwicklungswerkzeuge haben ben tigen sie f r die Konstruktion eines fachspezifischen Expertisemodells und f r die Auswahl der Entwicklungswerkzeuge Unter st tzung eines Knowledge Engineers Nach der berf hrung des Expertisemodells in ein ma geschneidertes WBS ist es bei ausreichender F higkeit zur Selbstreflektion des Fachex perten durchaus m glich dass Fachexperten das IS Sicherheitswissen direkt eingeben und vor allem auch pflegen k nnen Hierdurch wird die Gefahr verhindert bei der Erstellung und Wartung der Wissensbasis von einem Knowledge Engineer abh ngig zu sein Dies hat Aus wirkungen auf die Auswahl der Wissensrepr sentationsform des WBS da der Fachexperte das IS Sicherheitswissen direkt eingeben soll Zusammenfassend sollen bei der Arbeit die Sicht und die Anforderungen des Fachexperten f r die Operationalisierung entscheidend sein und nicht die des Knowledge Engineers Somit wird die Gefahr verringert dass ein WBS auf Basis des Transferansatzes erstellt wird
120. die eine Risikoanalyse ben tigen hervorgehoben oder ausgeblendet Ma nahmen Die vorgesehenen Ma nahmen werden den Systemen automatisch ermitteln zugeordnet Durch bergeordnete Komponenten k nnen bergeordnete Strukturen abgebildet werden Durch Verweise auf Bausteine anderer IT Systeme oder bergeordnete Komponenten werden Redundanzen aufgel st Zu jeder bearbeitenden Ma nahme werden die Bearbeitungsdaten aufgenommen Berichte unterst tzen die Erfassung des Ist Zustandes ber Berichte wird die Zusammenstellung der noch zu realisierenden Ma nahmen unterst tzt Zu den Bearbeitungsdaten der Ma nahmen geh ren auch die Verant wortlichkeiten denen durch entsprechende Berichte Aufgaben zugeteilt werden Redundanzen und Verkn p fungen feststellen Soll Ist Vergleich Ma nahmenkatalog Aufsetzen des Sicherheitsmanagements Tabelle 22 bersicht der unterst tzten Funktionen betreffend des BSI Grundschutzhandbuchs durch das 1 1 Durch das BSI Tool werden das Sicherheitswissen und die Probleml sung des BSI Grundschutzhandbuchs auf ein computergest tztes System bertragen Die erfassten IT Systeme werden von vordefinierten IT System Typen abgeleitet und durch einen Hierarchie baum strukturiert Den IT System Typen sind bereits die erforderlichen Ma nahmen zuge ordnet die analog zu dem IT Grundschutzhandbuch zu Bausteinen zusammengefasst werden wobei ein IT System mehrere Bausteine beinhalten kann
121. durch Hypothesen berpr fung m gliche Konsequenzen vorhergesagt bzw vermutet werden die noch nicht erhoben worden sind Falls die vermuteten Konsequenzen beobachtet werden best tigen sie die Ursachen Konsequenz oder Gefahr und somit indirekt die Ausgangs Konsequenz Bei der Hypothesengenerierung und berpr fung k nnen neben den gef hrdenden Ereignissen auch kausale Schwachstellen ermittelt werden wobei die Schwachstellen die Ursachen indirekt erm glichen Hierbei ist zu beachten dass den sicher heitsrelevanten Elementen die kausalen Schwachstellen zuverl ssig als technische Fehler zugeordnet werden m ssen F r die Hypothesengenerierung und berpr fung kann das gleiche kausale Dom nenmodell verwendet werden Der Umgang mit Mehrfachl sungen und R ckkopplungen erschwert die Hypothesengenerierung und berpr fung in hohem Ma e Deshalb wird f r den Umgang dieser komplexen Problemstellungen h ufig auf Heuristiken zur ckgegriffen und die Auswahl 2 440 bei mehreren Verdachts Ursachen dem Benutzer berlassen 3 4 2 3 2 Pr ventive Wirkungs Probleml sung Die pr ventive Wirkungsanalyse besitzt nicht die charakteristische hypothetisch deduktive Vorgehensweise der Problemklasse Diagnose in welcher aus erhobenen Wirkungen auf Ursachen geschlossen wird und die Ursachen deduktiv berpr ft und verfeinert werden Die Wirkungsanalyse ist eher der Problemklasse Simulation zuzuordnen die als Aufgabe die Vorher
122. e oder eine Konsequenz Wirkung besteht nicht besteht 192 Entwurfsmodell spa yoBue uIS SNEQUOMJUY JOJEYIPUNEUNENN JOJEYIPUEUNEN _ 1 y 4 upeag DEE u z ypa eg Bunyoegoag zu9nbasuoy wyeuyen ur __ Keen aeunen 4 ger le uo 1oy Se gt _ 7 yomuy 4 ll ln JE 9098 Jugegosg
123. einer bin ren Antwortm glichkeit zwei Ant wortbausteine verkn pft Ist die Antwortm glichkeit A bzw B Antwort angeklickt wird Antwortbausteine_angeklickt aktiviert Ist die Antwortm glichkeit nicht angeklickt wird Antwortbausteine_nicht_angeklickt aktiviert Alle Antwortbausteine einer Frage werden zu einer Antwortgruppe zusammengefasst 175 Entwurfsmodell Kapitel m Frage 1 m Frage 2 Merkmalsindikatoren Antwort Frage 3 merkmale Frage 3 Sg 4 De 24 Antwortm glichkeit A Antwortwerte Antwortm glichkeit Antwortgruppe Antwortbausteine B Antwortbaustein_angeklickt Antwortbaustein_nicht_angeklickt Antwortbausteine A Antwortbaustein_angeklickt Antwortbaustein_nicht_angeklickt Abbildung 95 Verkn pfung zwischen Merkmalsindikator und Antwortmerkmal Antwortbausteine sind h ufig Textbausteine die zu einem Statusbericht der Erhebung zu sammengefasst werden k nnen Antwortbausteine k nnen zudem aktive Objekte darstellen wie z B Grafiken Videoclips oder kleine Programme Das Antwortmerkmal einer Frage setzt sich aus mehreren Antwortbausteinen zusammen die zu einem aktiven Dokument zusam mengefasst werden 4 2 2 2 Quantitative Auswertung von Fragenkatalogen Die oben erl uterte Antwortstruktur erm glicht eine qualitative Auswertung Es folgt eine quantitative Erg nzung wobei die quantitativen Auswertungen die qua
124. erfolgt mittels der Top Down Strategie d h durch einen Soll Ist Vergleich von erforderlichen Ma nahmen der Bausteine mit vorhandenen Ma nahmen Die Ma nahmen werden durch computergest tzte Frageb gen erhoben wobei eine benutzer definierte nderung des Fragelayouts nicht m glich ist Das Vergleichsergebnis wird in Form eines HTML Ma nahmenberichts dargestellt wobei in dem Ma nahmenbericht auch der Sta tus der Ma nahmenumsetzung und die verantwortlichen Personen notiert sind So ist eine permanente Kontrolle ber den Fortschritt der Ma nahmen gegeben IT Security Tool basierend auf TOSCANA Das folgende IT Security Tool basiert auf TOSCANA welches ein computergest tztes Sys tem f r die konzeptuelle Analyse und Erkundung von Daten darstellt So wurden ber 30 kon zeptuelle Informationssysteme im Bereich des Rechts der Dokumentenrecherche oder der Analyse von Flugereignissen implementiert TOSCANA wurde durch die Technische Uni versit t Darmstadt entwickelt Durch NAVICON Gesellschaft f r begriffliche Wissensverar beitung mbH und Security Engineering AG wurde TOSCANA der IS Sicher heitsmanagementproblematik angepasst Im Rahmen von TOSCANA wird ein Konzept durch dessen e Extension welche die Menge der Objekte die zum Konzept geh ren darstellt und e Intension die die Eigenschaften des Konzeptes angibt 572 beschrieben F r die Beschreibung der Konzepte wird das Tripel G M D verwendet G steht
125. eventuell zus tzlich durchgef hrten Risikoanaly sen und anderen Sicherheitskonzepten zu ber cksichti gen Die verschiedenen Ma nahmen sind untereinander und mit anderen Konzepten abzustimmen Tabelle 7 Phasen der 5155 297 Durchf hrung der SiSSA durch Fragenkataloge In der empirischen Sozialforschung wird zur Informationsgewinnung neben der Beobach tung 289 und der Inhaltsanalyse h ufig die Befragung eingesetzt Bedingt durch eine Reihe von Anwendungsgebieten und eine hohe Flexibilit t der einzelnen Befragungsmethoden ist 285 Hansen Probst 2002 286 Vol Tabelle 3 257 Vo bein 7 1999 S 258 288 Die Begriffe Fragenkatalog und Fragebogen werden im Rahmen der Arbeit synonym verwendet 259 Beobachten beinhaltet das systematische Erfassen Festhalten und Deuten eines Verhaltens zum Zeitpunkt seines Geschehens Vgl Atteslander 1995 S 87 290 Die Inhaltsanalyse besch ftigt sich mit der Analyse eines vorgegebenen Inhalts z B Text Bild um daraus einen Zusammenhang der Entstehung dieses Inhalts zu ermitteln Vgl Atteslander 1995 S 238 81 Informationssystemsicherheits Management eine betr chtliche Anzahl unterschiedlichster Befragungsformen entwickelt worden Im Rahmen der SiSSA erfolgt eine Befragung in Form eines strukturierten Interviews dem ein Fragebogen zugrunde liegt Das Interview wird durch den Interviewer aktiv gef hrt wobei der Befragte z T die M g
126. fr hzeitig bald sehr sp t oder gar nicht Abbildung 18 Zeitpunkt der Entdeckung des Verlustes eines Grundziels Somit bringt eine isolierte Sicht auf ein Basisziel nicht das gew nschte Ergebnis Die Ziele kommen erst in ihrer Summe dem eines sicheren Informationssystems n her Das Oberziel eines vollst ndigen sicheren Informationssystems ist aber in den meisten F llen nicht mit den zu erwartenden Kosten vereinbar es muss ein Restrisiko in Kauf genommen werden Des Weiteren sollten bei den Anforderungen an die Sicherheit von Informations systemen immer die Angemessenheit Bedienungsfreundlichkeit und Verf gbarkeit der Ma nahmen in Betracht gezogen werden Andernfalls werden berzogene Sicherungsma nah men die Akzeptanz des Informationssystems stark mindern In der Literatur werden h ufig weitere Sicherheitsziele oder deren Erweiterung beschrieben wie z B Vertraulichkeit oder Authentizit t die insbesondere in Verbindung mit der Kommu nikationssicherheit und dem E Commerce zu finden sind Es sind au erdem kontr re Si cherheitsziele zwischen Partnern zu beachten denn die beteiligten Partner k nnen z B bei einer Transaktion unterschiedliche Sicherheitsziele verfolgen Inwieweit es sinnvoll ist diese zus tzlichen Ziele zu ber cksichtigen und auf gleicher Ebene wie Basisziele zu behan deln ist von der jeweiligen Sichtweise abh ngig in der die IS Sicherheit betrachtet wird
127. herausgebildet die z B in Kriterienwerken manifestiert sind Die Merkmals und L sungsmuster des IS Sicherheitswissens werden zu Konzepten z B Risiken Sicherheits schwachstellen Ma nahmen Gefahren usw zusammengefasst die bei diagnostischen Prob leml sungsprozessen angewandt werden 1 2 Wissen und Information im Kontext des Knowledge Engineerings Wissen wird als Erkenntnis von Sachverhalten Mustern oder als Bewu tsein entsprechen der Denkinhalte definiert der Zweck von Wissen besteht in der Vorbereitung und Durchf h rung von Handlungen und Entscheidungen Wissen bildet somit die Grundlage f r das Ent scheiden z B in Form von Entscheidungsregeln oder explizit formulierten Entscheidungs modellen und Handeln wobei das Wissensmanagement den Entscheidungstr ger bei dem Erwerb Zugriff Nutzung und Weitergabe von Wissen unterst tzt Dabei verwendet das Wissensmanagement Methoden und computergest tzte Systeme des Knowledge Engineerings z B WBS um die Verwaltung des Wissens den Zugriff und die explizite Verarbeitung des Wissens zu gestalten Durch die facettenreiche Verwendung des Begriffs Wissen in unterschiedlichen Anwen dungsbereichen ist es ersichtlich dass eine eindeutige allgemeine akzeptierte Definition des Begriffs Wissen nicht m glich 1505 Um eine Einordnung f r die Arbeit zu erlangen dient die folgende Abbildung 10 Vgl Puppe 1990 S 43 l Vgl Vo bein 1994
128. hrleisten Gesetz der gro en Zahlen Diese Voraussetzung ist aber bei den ben tig ten Eintrittswahrscheinlichkeiten und den Schadensh hen meist nicht gegeben Es wird somit h ufig auf subjektive Sch tzungen zur ckgegriffen obwohl die Ergebnisse einer Risikoanaly se eine exakte Risikobewertung Insbesondere die Ermittlungen von Risiken mit sehr gro em kleinem Schadenpotential und geringer hoher Eintrittswahrscheinlichkeit ergeben h ufig keine sinnvollen Ergebnisse Um die oben aufgef hrten gravierenden Proble me zu mildern wurden die kardinalen Gr en teilweise oder vollst ndig durch ordinale Gr en ersetzt Die Eintrittswahrscheinlichkeiten und Schadensh hen werden zu Gruppen oder Klassen zusammengef gt wobei der Grad der Detaillierung variieren kann Die Risiken wer den mit Hilfe von Listen oder Matrizen ermittelt und nicht mehr exakt errechnet Insgesamt wird bei der kardinalen und ordinalen Risikobewertung versucht komplexe und schlecht strukturierte Problembereiche wie die IS Sicherheit mit wohlstrukturierten Model len zu beschreiben Hierbei entsteht aber eine deutliche Differenz zwischen dem realen Problem und der Problembeschreibung Risikobew ltigung und Kontrolle In der Risikobew ltigung erfolgt die schriftliche Fixierung der Ergebnisse der vorhergehen den Phasen und der erforderlichen Sicherheitsma nahmen in einem Sicherheitskonzept Dabei handelt es sich ni
129. ist TRAW Eine weitere wissensbasierte Risikoanalyse f r workflowbasierte Anwendungssysteme hat Thoben 2000 realisiert Das zentrale Ziel von TRAWS ist das Risiko Management mit der Entwicklung workflowbasierter Anwendungssysteme zu koppeln um somit einen Aufbau von sicheren workflowbasierten Anwendungssystemen zu unterst tzen Ein System Metamodell definiert ein konkretes Systemmodell durch Systemelementtypen und beschrei benden Attributtypen das selbst die Basis f r die Modellierung eines spezifischen Anwen dungssystems darstellt Das Systemmodell wird in ein konkretes Anwendungssystem ber f hrt indem konkrete Systemelemente Sicherheitsmechanismen sowie deren Beziehungen festgelegt werden 547 Stelzer 1993 S 321 548 Vgl Konrad 1998 S 131 5 GPOOS Gesch ftsproze orientiertes Simulations System 59 SIMSI SIMulation von InformationsSIcherheit gt Vgl Damm et al 1999 S 76 552 TRAW Knowledge Based Threat and Risk Analysis of Workflow Bases Applications 553 Vgl Thoben 2000 S 271 220 Implementierung Attributtyp Attribute Anwendungs Anwendungsmodell system 4 Systemmodell 1 1 l Sicherheits Sicherheits Systemelementtyp Systemelemente L 8 mechanismen mechanismentyp a Sch tz Sch tz Beziehungstyp 1 Beziehungen 1 Bez
130. mittel oder niedrig beschrieben werden Unsicheres Wissen kann in Kombination von Regeln und Fuzzy Technik abgebildet werden wobei Pr missen und Konklusion als linguistische Variable repr sentiert werden Dies hat den Vorteil dass eine bew hrte und verbreitete Repr sentationsform eine Erweiterung mit neuen Repr sentationstechniken findet Anhand des unten dargestellten Beispiels soll die grunds tzliche Funktionsweise eines Fuzzy Controllers dargestellt werden Die Wissensbasis besteht aus drei Regeln wobei die Pr missen Datenmenge Beanspruchung der Festplatte und die Konklusion Risiko des Verlustes an Verf gbarkeit aus linguistischen Variable bestehen Regel 1 WENN Datenmenge gering UND Beanspruchung der Festplatte niedrig DANN Risiko niedrig Regel 2 WENN Datenmenge mittel UND Beanspruchung der Festplatte mittel DANN Risiko mittel Regel 3 WENN Datenmenge hoch UND Beanspruchung der Festplatte mittel DANN Risiko hoch 489 Vol Sch nberg Thoben 1999 S 51 187 Entwurfsmodell Datenmenge Beanspruchung der Festplatte Risiko des Verlustes der Verf gbarkeit gering mittel hoch niedrig mittel hoch niedrig mittel hoch ba 3 UND DANN 0 Datenmenge MB 1000 0 Zugriffe pro Minute 100 0 Risiko in 100 Aggregation der Pr missen Variablen durch das Minimum des Erf llungsgrades Regel 1 gering UND niedrig DANN niedrig 1
131. nagel Pfitzmann Garstka 2001 5 13 20 16 Ver ffentlicht im Internet URL http www datenschutzzentrum de Stand 10 12 2002 N Vgl Wedde Schr der 2001 IT Pr fzeichen 2002 Vo bein R 2002 S 7 B umler 2002 Schaar Stutz 2002 S 330 Datenschutzsiegel 2002 und Dambeck 2003 S 32 18 Konrad 1998 S 46 Vgl auch Oppliger 1997 S 21 HS Vgl Welge Al Laham 1992 S 44 Kr ger 1992 S 1579 Hentze Brose Kammel 1993 S 65 Ber ger H ntschel 1996 S 38 und B hner 1999 S 19 46 Informationssystemsicherheits Management Politisches IS Sicherheitsmanagement gt Schaffung eines Sicherheitsbewusstseins gt Festlegung der Sicherheitsziele und des Sicherheitsniveaus gt Aufstellung des Sicherheits managementteams gt zentrale Verantwortlichkeit beim Top Management Konzeptuelles IS Sicherheitsmanagement Top Management gt Analyse und Bewertung der IS Sicherheit gt Entwicklung oder Modifikation eines IS Sicherheitskonzeptes IS Sicherheits strategien Hybride Operationelles IS Sicherheitsmanangement gt zentrale Verantwortung bei Sicherheits verantwortlichen Mittleres Management Kontinuierliche Kontrolle IS Kontrollmanagement gt Umsetzung der IS Sicherheits ma nahmen gt dezentrale Sicherheits verantwortung Unteres Management Abbildung 16 Phasen des Sicherheitsmanagements Die IS Sicherheitsstrategie ist das zentrale Instrum
132. oder durch Aktivierung einer anderen Antwortm glichkeit diesen widerlegt Aufgrund der engen Ver kn pfung zwischen Hypothesengenerierung und der folgenden berpr fung ist eine eindeuti ge Trennung der beiden Inferenzen nicht m glich 204 Entwurfsmodell In der r ckw rtsorientierten Hypothesen berpr fung werden weitere Ursprungs Konsequenz Fragen aktiviert welche nicht in der Merkmalserkennung ber cksichtigt worden sind Diese berpr fung erfolgt mit Hilfe von Ersetzungsregeln die die Zustands nderung von Konse 92 repr sentiert Hierbei werden die zus tzlichen Konsequenzen r ckw rtsorientiert ausgew hlt und beantwortet Konsequenz von Ereignis 1 Diese Ursprungs Konsequenz bes t tigt oder widerlegt somit indirekt deren Folge und beobachteten Konsequenzen Um m gliche Folge Konsequenzen zur Hypothesen berpr fung zu erhalten werden weitere vermutete oder m gliche Folge Konsequenzen vorausgesagt Konsequenz von Ereignis 3 die noch nicht erhoben worden sind Dies entspricht einer vorw rtsorientierten berpr fungs auswahl bzw Voraussage von m glichen Konsequenzen welche auch indirekt die Ursprungs Konsequenz best tigen oder widerlegen k nnen Die eigentliche berpr fung erfolgt durch die Beantwortung der zus tzlichen Konsequenz Fragen und durch die automatische Beant wortung der Ursprungs Konsequenzen 502 Konsequenzen k nnen wiederum Gefahren f r weitere sicherheitsrelevante Elemente
133. reaktiven Top Down IS Sicherheitsmanagements Beobachtete Fehlzust nde Wirkun Aufdeckung von m glichen Schwach Verdachts Schwachstellen sind durch gen abstrahieren und als Konse stellen die f r das Auftreten der Kon weitere Konsequenzen zu berpr fen quenzen erkennen sequenzen erforderlich sind und einzugrenzen Merkmalserkennung Hypothesengenerierung Hypothesen berpr fung Eingang Konsequenzen Merkmale Ausgang Schwachstellen Hypothesen Ziel Reaktiv wird von beobachteten Konsequenzen auf Schwachstellen gedeutet die f r die Konsequenzen erforderlich sind Basis Inferenzen der reaktiven Top Down Strategie Abbildung 73 berf hrung des reaktiven und pr ventiven Top Down IS Sicherheitsmanagements auf die heuristische Klassifikation Die Merkmalserkennung erfolgt durch Vergleich eines Vorgabenmodells und den abstrahier ten Beobachtungen Auf Grund der Interpretation des Vergleichsresultats k nnen Merkmale erkannt werden e Pr ventiv besteht das Vorgabenmodell aus erforderlichen Ma nahmen die h ufig in Kri terienwerken repr sentiert werden e Reaktiv sind vorgegebene Fehl und Normalzust nde in dem Vorgabenmodell repr sen tiert Die Strategie der heuristischen Hypothesengenerierung und berpr fung setzt sich aus dem assoziativen Schlie en von Merkmalen auf Hypothesen und deren Verfeinerung zusammen Dabei wird abduktiv von Merkmalen auf Hypothesen geschlossen Hypothesengenerierung diese Hypothesen werden durc
134. rigkeits funktionen der Problembereich abgebildet wird ist i d R eine umfangreichere Anzahl re dundanzfreien Regeln erforderlich um verwertbare Ergebnisse zu erlangen Die Komplexi t t eines solchen Modells wird analog zu der Repr sentation traditioneller Produktionsregeln sehr schnell un bersichtlich Des Weiteren ist die Entwicklung von den Zugeh rigkeitsfunk tionen insbesondere in den Maximum und Minimumbereichen nicht unproblematisch I d R werden lineare Funktionen verwendet da die Berechnung der Fl cheninhalte meist durch ein Integral erfolgt dies stellt bei nicht linearen Funktionen ein z T sehr komplexes Problem dar Vereinfachte Fuzzy Logik De Rw Eloff 1996 bestimmen ohne Verwendung von linguistischen Variablen aus drei un scharfen Mengen Festplattenalter Zugriffsgrad Mitarbeiterzufriedenheit einen Risikofaktor Bei der Berechnung des Risikos verzichten sie auf einen Teil der Fuzzyfizierung da keine linguistischen Variablen verwendet werden Die unscharfen Werte werden hier direkt von 491 Vgl Zimmermann 1993 S 93 ff 4 Vgl Spies 1993 S 247 189 Entwurfsmodell Eingangsgr en Festplattenalter 10 Risikofaktor 832 abgeleitet Eine Zuordnung zu entsprechenden linguistischen Variablen entf llt Eine Verkn pfung mehrerer unscharfer Mengen erfolgt durch Addition der jeweiligen Risikofaktoren wie z B der Zugriffsgrad und die Mitarbeiterzufriedenheit Festplattenalter Risikofaktor
135. sungsmethoden durch Wissens Rollen und Inferenzen spezi fiziert Das Expertisemodell bietet monofunktionale Probleml sungsmethoden an die stark von den Probleml sungskonzepten abh ngig sind Dies hat den Vorteil dass der Wissensak quisitionsprozess weitgehend durch die jeweilige Probleml sungsmethode gesteuert wird Um auch eine flexible Kombination der IS Sicherheitsstrategien zu erreichen wurde das Experti semodell durch multifunktionale Templates erweitert Die Templates beschreiben die wesent lichen Aspekte der Inferenz Strukturen der IS Sicherheitsstrategien weitgehend unabh ngig von den spezifischen Probleml sungs bzw Abh ngigkeitskonzepten Die Templates k nnen jedoch wiederum nachtr glich mit den ben tigten Abh ngigkeitskonzepten erg nzt werden Hierdurch lassen sich durch die Kombination von unterschiedlichen IS Sicherheitsstrategien umfangreiche Probleml sungs Szenarien auf einer Wissensebene aufzeigen Im vierten Kapitel wurden verschiedene Repr sentationsformen als Basis f r eine Operationa lisierung vorgestellt die entweder auf einer anpassungsorientierten oder anwendungsorien tierten berf hrung des unternehmensunabh ngigen IS Sicherheitswissens basieren Durch die anpassungsorientierte berf hrung k nnen unternehmensindividuell objektorientierte Systemmodelle der Systemlandschaft konstruiert werden die eine kausale Ursachen und Wirkungsanalyse unterst tzen Diese modellbasierte Diagnose wird insbesondere be
136. und Beobach tungseigenschaften von weiteren Merkmalen oder Wirkungen festgelegt welche Hypothe sen bzw Ursachen berpr fen sollen Die U berpr fungsauswahl basiert auf manifestie renden Modellen Die Hypothesen berpr fung erfolgt hnlich der Merkmalserkennung durch Vergleich der erfassten und abstrahierten Beobachtungen mit den erwarteten Beobachtungen Auf Basis des Resultates werden die Hypothesen bzw Ursachen best tigt oder widerlegt Durch berpr fung k nnen eventuell zus tzliche verfeinerte Hypothesen bzw Ursachen er mittelt werden Die manifestierenden Modelle f r die Uber pr fungsauswahl und Hypothesen berpr fung k nnen zu einem Modell zusammenge fasst oder getrennt erstellt werden Abbildung 81 Templates der Basis Inferenzen f r die IS Sicherheitsstrategien 154 Expertisemodell Die Templates bieten den Vorteil der Flexibilit t und Individualisierung der Inferenz Strukturen da diese unabh ngig von der spezifischen IS Sicherheitsstrategie erweitert oder ver ndert werden und schnell mit dem ben tigten kausalen und heuristischen Dom nenwissen erweitert werden k nnen Die mit kausalen und heuristischen Dom nenwissen spezifisierten Templates besitzen dann wieder einen anwendungsorientierten Charakter In der folgenden Abbildung werden die Inferenz Templates auf die Inferenzen der spezifischen Probleml sungsmethoden von IS Sicherheitsstrategien berf hrt und die Anforderungen an die Do
137. und deren Beziehungen z B ist Teil oder ist gespeichert auf und bildet somit die Basis f r das Gef hrdungsmodell Mit Hilfe der Gef hrdungsanalyse wird die Risikoerkennung durch Wirkungs und Ursachenana lyse unterst tzt Die Risikobewertung im Klassischen Sinne wird durch den Ansatz nicht un Das Konzept wurde teilweise in dem Beratungsunterst tzungssystem NASYS fr her ASIS von Siemens Nixdorf AG umgesetzt wobei wichtige Aspekte des Konzepts wie z B die Vi sualisierung von Objekten nicht ber cksichtigt wurden GPOOS Eine Weiterentwicklung des Ansatzes von Stelzer bildet die simulationsbasierte Risikoanaly GPOOS von Konrad 1998 GPOOS hat als Inhalt die semi formale Modellierung und inkrementelle Simulation sicherheitsrelevanter Zusammenh nge sowie die explizite Einbezie hung von Gesch ftsprozessen in Verbindung mit einer visualisierten Darstellung des Untersu chungsmodells und Simulationsergebnisses GPOOS wurde in ein prototypisches Simulati onswerkzeug SIMST umgesetzt welches auf Microsoft Visual Basic basiert Dieses Simu lationsmodell bzw das Werkzeug unterst tzt die Risikoanalyse in Verbindung mit Gesch fts prozessen indem das Verhalten eines Systems auf Risiken bzw Bedrohungen und den Ein satz von Ma nahmen simuliert wird Auch hier wurde die Risikobewertung nur unzureichend unterst tzt was ein grunds tzliches Problem von wissensbasierten Risikoanalysetools
138. und pr zise Kausalit t zulas sen Andere Bereiche mit z B menschlichen oder organisatorischen Schwachstellen k nnen nicht durch kausale Zustands nderungen dargestellt werden da sie als Grundlage heuristisches Wissen beinhalten Aufgabe der Top Down Strategie ist die Aufdeckung von m glichen Schwachstellen auf Basis von fehlenden Ma nahmen durch assoziatives Schlie en und nicht die kausale Darstellung von Zustands nderungen einer Schwachstelle oder Konsequenz 3 3 Probleml sungsmethoden der Diagnose Im Rahmen des KE beschreiben die Ontologien das Dom nenwissen eines WBS und die Probleml sungsmethoden das L sungsverhalten Die Beschreibung von L sungsprozessen der IS Sicherheitsstrategien durch Probleml sungsmethoden erfolgt im Expertisemodell auf einer epistemologischen Ebene Im Folgenden wird auf Probleml sungsmethoden der Diag nose eingegangen welche die IS Sicherheitsstrategien des Managements m glichst ad quat abbilden In der unteren Abbildung erfolgt die Zerlegung der Diagnose in Aufgaben und Infe renzen 125 Expertisemodell Aufgabe Aufgaben bzw Kontrollmethoden Basis Inferenzen Teilaufgaben Inferenz Strukturen Abbildung 60 bersicht der Bestandteile einer Diagnose Probleml sungsmethode SE ea S K erkennung Pr Diagnose m Merkmal Se RER Hypothese Generierung und berpr fung
139. werden werden spezialisierte oder gar neue Klas sen ben tigt die ber die Referenzklassen hinausgehen dies kann eine umfangreiche An passung erfordern Bei geringer Anpassung der Referenzklassen ist dies in einem gewis sen Rahmen durch den Fachexperten m glich bei umfangreicheren Anpassungen ist eine Unterst tzung durch einen Knowledge Engineer erforderlich Hiermit ist eine direkte Wartung des WBS durch einen IS Sicherheitsexperten stark eingeschr nkt Dies f hrt zu der berlegung dass Repr sentationsformen angewandt werden die e eine direkte Wissenseingabe des IS Sicherheitswissens durch den Fachexperten und e eine direkte Anwendung bzw Nutzung des repr sentierten IS Sicherheitswissens auf ein konkretes IS Sicherheitsproblem erm glichen Diese anwendungsorientierte Sicht verlangt eine direkt anwendbare Wissensrepr sentations sprache die sich ohne wesentlichen Anpassungsaufwand auf die sicherheitsrelevanten Aspek te des Informationssystems berf hren l sst was insbesondere konomische Vorteile in sich birgt Der Nachteil der direkten Wissenseingabe und Anwendung besteht im Verlust der syn taktischen und semantischen Pr zisierung der Repr sentationssprache gegen ber einer forma len Sprache Des Weiteren ist diese praktikabilit tsorientierte Umsetzung eine wesentliche Voraussetzung f r den Top Down Ansatz des IS Sicherheitsmanagements Bei diesem Ansatz werden unter nehmens unabh ngige Kriterienwerke direkt au
140. wesentlicher Bestandteil des WBS ist nicht nur die Repr sentation des expliziten offensichtlichen Wissens sondern auch des implizi ten verborgenen Wissens Explizites Wissen ist um ein Vielfaches einfacher in eine Wissensbasis zu berf hren als im plizites Wissen da der Vorgang der Explikation von implizitem unstrukturiertem Wissen oft nur schwer oder gar nicht m glich ist z B beim Allgemeinwissen Aber gerade dieses im plizite Wissen ist n tig um die Probleml sungsprozesse zu repr sentieren Eine zentrale Aufgabe des KE ist die berf hrung und Repr sentation des impliziten Probleml sungswis sens des IS Sicherheitsmanagements in explizite Probleml sungsmethoden von WBS 318 Vo Wolfertz 2001 S 457 95 Expertisemodell Theorien und Praktiken des TEE Fachgebiets praktisches Wissen Fachgebiet spezifische Fakten kein Wissen 55 De 55 kompiliertes 7 Wissen theoretisches Wissen Fachgebiet unabh ngige Definitionen y allgemeine Theorien Abbildung 41 Modell des kompilierten Expertenwissens im Zeitablaut Die Herkunft und Struktur des menschlichen Expertenwissens l sst sich mit Hilfe einer Zeit achse darstellen Grunds tzlich eignet sich das Individuum ber einen Zeitraum schrittweise 320 Wissen an wobei folgende Unterscheidung erfolgt Theoretisches Wissen Im Laufe des Lebens erlernt ein Individuum zuerst in S
141. ze yuequajeq jleg lyemsne N E Es zusnbosuoy u zu nb suoy ere EN gt Bunjnudisqn 5 ueeamodin lt zuanbasuoy ee Jyses n aa N u zu nb suoy SERGE zuanbasuoy a zusnbasuoy osAjeueuaysesiNn Bunynid sqnuassayjodAH dn wonog 1 4 sBunynudisgn 36 2 26 uoydesiN 266 Anhang B Anhang B Probleml sungs Szenarien Monofunktionale Probleml sungs Szenarien An den folgenden Szenarien soll dargestellt werden in welcher Form monofunktionale Prob leml sungen durch monofunktionale Probleml sungs Szenarien dargestellt werden e Als erstes erfolgt ein pr ventives IS Sicherheitsmanagement das auf dem Top Down An satz basiert Basis Inferenzen Inferenz Strukturen Merkmalserkennung pr ventiver Top Down Hypothesengenerierung pr ventiver Top Down Hypothesen berpr fung pr ventiver Top Down e Eine weitere monofunktionale Probleml sung stellt das reaktive IS Sicherheitsmanagement basierend auf dem Bottom Up Ansatz dar Basis Inferenzen Inferenz Strukturen Merkmalserkennung reaktiver Bottom Up Hypothesengenerierung reaktiver Bottom Up Hypothesen berpr fung reaktiver Bo
142. zu gew hrleisten Zudem wurden meist bestehende Sicherheitsma nahmen des Herstellers integriert Insgesamt lag kein planerisches und zielgerichtetes Handeln vor Die Risikoanalyse als Bottom Up Ansatz wurde im gleichen Zeitraum entwickelt Diese versucht die Infrastruk tur durch Modelle abzubilden um deren Risiken zu ermitteln und zu bewerten Der Bottom Up Ansatz war deshalb m glich da alle Elemente des IS und Personen die auf die Informati onsverarbeitung Einfluss hatten in einem sehr engen und berschaubaren Umfeld greifbar 7 Gerber 2001 et al bezeichnet diese Phase als Computer centric Information centric era Die Anforderungen f r die IS Sicherheit haben sich ab der 80er Jahre durch die anhaltende quantitative und qualitative Durchdringung der Informationsverarbeitung ver ndert wobei diese Phase als Information centric bezeichnet werden kann Insgesamt gewinnt der Produktionsfaktor und Wettbewerbsfaktor Information f r Institutionen immer mehr an Bedeutung M glich geworden ist diese Weiterentwicklung der Informationsverarbei tung durch die rasant steigende Leistungsf higkeit der Informationstechnologie bei gleichen Vgl Vo bein J 1999 S 219 und Horster Kraaibeek 2000 5 8 75 Vgl Becaulair 1968 S 135 76 Vgl Solms 1996 S 282 77 Vgl Scanlon 1999 S 271 78 Vgl Vo bein R 1995a S 10 11 7 Vgl Kremar 2000 5
143. zuanbasuoy 6 20 26 SEH EEN ayos ya1e aly yemsne N zuanbasuoy sBunynudisan 4 5 55 Jop 15 05 5 15461594 5 4 20 Sp uayen 151 06 1 ag u sse nz UAI uawyeugeyy 5 05 1 yemsnes unynidisgn ul 1 Sunynudisan Anz Slalom 7 yos e
144. zudem auch eine semantische Aus semiotischer Sicht erfolgt durch die Semantik eine Trennung zwischen dem Inhalt Daten und seiner Bedeutung Die Darstellung der Verwendung bzw Bedeu tung der nat rlich sprachlichen Ausdr cke innerhalb einer Ontologie erfolgt durch semantische Regeln Die Regeln legen fest wie aus expliziten nat rlich sprachlichen Ausdr cken das darin implizit enthaltene Wissen erschlossen wird bzw wie die implizit verborge nen Aspekte explizit formuliert werden Die Spezifikation von Ontologien erfolgt durch vielf ltige Beschreibungssprachen die forma len Charakter besitzen wobei eine explizite und formale Spezifikation von Ontologien ten denziell eine maschinell verarbeitende Sprache erfordert Die formale explizite Darstellung der Konzepte orientiert sich an Beschreibungssprachen der Wissensrepr sentation wie z B Frames mit Objekt Attribut Wert Strukturen Das Ziel der Spezifikation ist eine formal sprachliche Pr zision der flexiblen nat rlich sprachlichen Konzeptualisierungsebene Der Widerspruch zwischen nat rlich und formal sprachlicher Sicht der Ontologien l st sich infolge unterschiedlicher Ontologie Ebenen auf Auf der Ebene der Konzeptualisierung lassen Ontologien formal und nat rlich sprachliche Ausdr cke zu die die Grundlage der Spezifika tionsebene bilden Auf der Spezifikationsebene zeichnet sich somit eine Ontologie durch for male Semantik aus die in der zugrunde liegenden Konzep
145. zum Ba siswissen eng mit dem Probleml sungsprozess verbunden Die Repr sentation ist deutlich schwieriger als beim Basiswissen da das Bewertungs bzw L sungswissen h ufig nur in impliziter Form vorhanden ist Dies gilt insbesondere f r das implizite IS Sicherheitswissen 372 Erweitert in Anlehnung an Studer et al 2000 Kapitel 2 3 373 Ontologie Konzepte werden im Folgenden als Konzepte bezeichnet 374 Die Begriffe Probleml sungskonzepte L sungskonzepte und Bewertungskonzepte werden in der Ar beit synonym verwendet 105 Expertisemodell Dom nenwissen Konzepte des Basiswissens Konzepte der Probleml sung allgemeines in die Breite ausgelegtes spezifisches IS Sicherheitswissen f r Prob IS Sicherheitswissen leml sungsprozesse festlegen unabh ngig von dem Probleml sungsprozess abh ngig von dem Probleml sungsprozess h ufig schon in expliziter Form vorhanden meist nur in impliziter Form vorhanden definitorische nat rlich sprachliche und semi inferentielle nat rlich sprachliche und semi formale Beschreibung formale Beschreibung Explizierung durch Tabellen und Hierarchien Explizierung durch semantische Regeln Tabelle 11 Differenzierung zwischen Basis und Probleml sungskonzepten In dem folgenden Kapitel erfolgt eine Beschreibung der Basiskonzepte und Probleml sungs konzepte 3 2 2 Basiskonzepte des IS Sicherheitswissens Sicherheitsrelevante Bereiche Um die IS Sicherheit und ihre Ba
146. zwischen den Merkmalen und deren L sung ausdr ckt Durch die wissensbasierte Diagnose erfolgt eine explizite Beschreibung der Abh ngigkei ten von Merkmalen und L sungen Bei sicherem Wissen liegen meist eine oder mehrere 5 Im Rahmen der Arbeit wird der Begriff Diagnostik als Synonym f r den Begriff Diagnose verwendet 9 Vgl Puppe et al 1996 S 3 22 Einf hrung direkte verkn pfte L sungen vor Dies ist bei unsicherem Wissen nicht m glich da hier eine Unsicherheit zwischen den ermittelten Merkmalen und den verkn pften L sungen besteht Das Diagnoseproblem umfasst eventuell eine unvollst ndige Teilmenge an erhobenen Merkmalen das Ergebnis setzt sich aus einer oder mehreren L sungen zusammen Dieser Umgang mit Mehrfachl sungen stellt ein schwieriges Problem f r die Diagnostik dar Die Teilaufgabe der Diagnose ist zu bestimmen welche weiteren Merkmale zus tzlich ben tigt werden um die Qualit t der Diagnose bzw L sung zu verbessern Die Diagnose wird vielfach auf den Problemgebieten angewendet die zwar eine komplexe Struktur haben jedoch eine berschaubare Anzahl von h ufig wiederkehrenden stereotypi schen L sungsmustern besitzen Weite Bereiche des Problemtyps IS Sicherheit erf llen dieses Kriterium denn viele Merkmale und L sungen aus dem Bereich der IS Sicherheit sind ber 20 Jahre wohl bekannt Hierbei haben sich wiederkehrende stereotypische L sungsmus ter
147. 00 S 601 331 Der Konsens der Kriterien ist sicher nicht berall zu finden aber durch die Legitimation durch nationale und internationale anerkannte Gremien ist ein gewisses Ma an bereinkunft entstanden 332 Vol Lenz 1991 S 233 333 Vgl Puppe et al 1996 S 78 98 Expertisemodell 3 1 Organisation Gefahren Beschreibung In diesem Kapitel werden allgemeine und bergreifende Mi organisatorische Standardma nahmen zur Erreichung eine DOS PC ein Benutzer Ma nahmen organisstonischer Art die in unmattelbarem 21 Die Ma nahmen des IT Grundschutzhan LAN Administration werden den entsprechenden Kap Igenden Bausteinen zusammen Gef hrdungslage Beschreibung In diesem Kapitel werden f r den IT Grundschutz die folg Organisatorischer M ngel o G21 Fehlende oder unzureichende Regelungen 022 Unzureichende Kenntnis ber Regelungen G29 Mangelhafte Anpassung an Ver nderungen G210 Nicht fristgerecht verf gbare Datentr ger Menschliche enge Zur Realisierung des IT Grundschutzes wird empfohlen d Kapitel 2 3 und 2 4 beschrieben auszuw hlen Ma nahmen Nachfolgend wird das Ma nahmenb ndel f r den Bereich Organisation M 2 2 e 21 2 Festlegung von Verantwortlichkesten ug Betriebsmittelverwaltung 1 22 2 Betsiebsmittelverwaltung Beschreibung M2167 2 Sicheres L schen von Datentr gern M22000 1 Jahr 2000 F higkeit von
148. 117 ABBILDUNG 53 INTEGRIERTES KAUSALES UND ASSOZIATIVES ABH NGIGKEITSMODELL 118 ABBILDUNG 54 KAUSALES MODELL DES GEF HRDENDEN EREIONISSES 119 ABBILDUNG 55 SEKUND RE ASSOZIATIVE UND KAUSALE SEMANTISCHE 120 ABBILDUNG 56 SCHW ACHSTELLEN KAUSALMODELL u uunsuessenssessnesnnesnnesnnesnnennesnnennnennne nennen nn 123 ABBILDUNG 57 FORTPFLANZUNG VON TECHNISCHEN SCHWACHSTELLEN 124 ABBILDUNG 58 BEISPIEL EINER EINFACHEN UND ERWEITERTEN KAUSALEN ABH NGIG KELISKRTTIE 124 ABBILDUNG 59 BEISPIEL VON ZUSTANDSANDERUNOEN 2 125 ABBILDUNG 60 BERSICHT DER BESTANDTEILE EINER DIAGNOSE PROBLEMEOSUNGSMETHODE ins 126 ABBILDUNG 61 ITERATIVE DARSTELLUNG DER GENERIERUNG UND TEST STRATEGIE 128 ABBILDUNG 62 ABDUKTIVE DARSTELLUNG DER GENERIERUNG UND TEST STRATEGIE 128 ABBILDUNG 63 DATENFLUSSDARSTELLUNG DER GENERIERUNG UND TEST STRATEGIE 128 ABBILDUNG 64 BASIS INFERENZEN DER DIAONOSE AAA 129 ABBILDUNG 65 IS SICHERHEITSSTRATEGIE DURCH HEURISTISCHE KLASSIFIKATION 131 ABBILDUNG 66 GRUNDPRINZIP DER INFERENZ UND WISSENS ROLLEN AAA 133 ABBILDUNG 67 GRUNDPRINZIP DER INFERENZ UND WISSENS ROLLEN AM BEISPIEL DES BSI GRUNDSCHUTZHANDBUCHS AAA 134 ABBILDUNG 68 KNOWLEDGE INTERACTION PROBLEM A 135 ABBILDUNG 69 MONO UND MULTIFUNKTIONALES DOM
149. 198 ABBILDUNG 111 HIERARCHISCHE TOP DOWN HYPOTHESENGENERIERUNG UND BERPR FUNG e 200 ABBILDUNG 112 KOMPLEXE TOP DOWN HYPOTHESENGENERIERUNG UND BERPR FUNG 202 ABBILDUNG 113 ABBILDUNG DES KAUSALITATSDPRINZIPS 203 ABBILDUNG 114 REAKTIVE UND PR VENTIVE BOTTOM UP REGELN 204 ABBILDUNG 115 ZUSTANDS NDERUNGEN nimmer 204 ABBILDUNG 116 REAKTIVE BOTTOM UP HYPOTHESENGENERIERUNG UND BERPR FUNG BASIEREND AUF ERSETZUNGSREOGEIN AA 206 ABBILDUNG 117 REAKTIVE BOTTOM UP HYPOTHESENGENERIERUNG UND BERPR FUNG BASIEREND AUF OGENERIERUNGSREOGEIN AAA 208 ABBILDUNG 118 PR VENTIVE BOTTOM UP 210 ABBILDUNG 119 INFORMATIONS UND ENTSCHEIDUNGSORIENTIERTE SYSTEME 214 ABBILDUNG 120 ARCHITEKTUR EINES WISSENSBASIERTEN 5 5 65 2 2 22 2 2 215 ABBILDUNG 121 ZUORDNUNG ZWISCHEN EINEM SICHERHEITSRELEVANTEN ELEMENT DER GEFAHREN UND SCHWACHSTELILEN AA 218 ABBILDUNG 122 OBJEKTMODELL NACH STELZER AAA 219 ABBILDUNG 123 SYSTEM METAMODELL uuessesssessnesnnesnnesnnesnonsnonsensnnnnonnnonnnennnnnesnnesnnesnnnsnnnnnon nen 221 ABBILDUNG 124 RISIKOMODELL UND 221 ABBILDUNG 125 PHASEN DES RSD iane arar o e Edge dee idee dree 222 ABBILDUNG 126 CBR PROZESS ANGEPASST AN DIE 8 2 2 22 2 2 1
150. 1999 S 48 49 28 Vgl RSD 1999 S 48 und S 148 222 Implementierung schon ermittelte Werte vorausgesetzt Als Ergebnis werden die Risiken der einzelnen Dienste berechnet die in Relation zueinander in einer Matrix gesetzt werden Auf den Achsen sind jeweils der Verm genswert und die H ufigkeit des Schadeneintritts skaliert Die Wahrschein lichkeiten basieren auf Studien von Cohen des DoD Departement of Defense und AIFCW Air Force Information Warface Center Diese Angaben werden aber von den Entwicklern kritisch bewertet F r die Implementierung des RSD Expertensystems wurde das EMA XPS der Universit t Wuppertal verwendet Das hybride EMA XPS ist ein frei verf gbares grafisches Expertensys temwerkzeug Es erg nzt die hybride wissensverarbeitende Sprache Babylon der Gesell schaft f r Mathematik und Datenverarbeitung GMD um eine grafische Oberfl che auf der Basis von X Windows zu erstellen Babylon wurde auf Basis der KI Sprache CommonLISP entwickelt Case Based Reasoning Jung Han Suh 1999 haben ein Case Based Reasoning CBR auf Basis der Risikoanalyse entwickelt Hierf r wurde der CBR Prozess f r die Risikoanalyse angepasst indem das menschliche Nachdenken durch die Funktionen Erinnern Anwenden und Lernen beschrieben wird Durch die Erinnerungsfunktion werden auf Basis eines aktuellen Falles hnliche F lle in der Wissensbasis gesucht Falls entsprechende F lle gefunden werde
151. 22 49 Vgl Kurbel 1992 5 47 196 Entwurfsmodell der pr ventiven Sichtweise fehlende Ma nahmen Ma nahmen Frage erhoben werden Hier bei erfolgt die Auswertung der Regeln in hnlicher Art wobei die Vorbedingungen in Abh n gigkeit der pr ventiven und reaktiven Probleml sung variieren Eine parallele reaktive und pr ventive Strategie ist von Vorteil da die Ermittlung beider Merkmalsformen die Probleml sung erh hen kann 4 3 2 1 1 Direkte Hypothesengenerierung und Verdachtsbewertung Die direkte Assoziation erfolgt in entsprechender Weise wie bei der Merkmalserkennung wobei hier nicht nur die erhobenen Beobachtungen dokumentiert werden sondern bei einer fehlenden Ma nahme die zus tzliche Schwachstelle direkt zugeordnet wird Hierf r werden die Ma nahmen Antwortbausteine mit Schwachstellen erweitert Diese Zuordnung ist einfach anzugeben da keine zus tzlichen Ersetzungsregeln notwendig sind sie ist aber schnell be grenzt durch die einfache Repr sentation So kann nicht dargestellt werden ob vorhandene Ma nahmen durch fehlende Ma nahmen ersetzt werden oder zus tzlich ermittelte Konse quenzen Verdachts Schwachstellen verst rken k nnen Bei der Verdachtsbewertung und ranking werden durch eine rekursive Hochrechnung der Kapitel Fragen und Antwortwerte z B Schwachstellen gewichtet So k nnen die Schwach stellen durch gewichtete Frageergebnisse rot gelb gr n sortiert werden Die Kapitel bilden die
152. 36 43 Primio 1993 Primio F di Hybride Wissensverarbeitung Am Beispiel von BABYLON Wiesbaden 1993 291 Puppe 1990 Puppe F Probleml sungsmethoden in Expertensystemen Studienreihe Informatik Brauer W Goos Hrsg Berlin u a 1990 Puppe 1991 Puppe F Einf hrung in Expertensystem 2 Aufl Studienreihe Informatik Brauer W Goos G Hrsg Berlin u a 1991 Puppe 1998 Puppe F Knowledge reuse among diagnostic problem solving methods in the Shell Kit D3 In International Journal of Human Computer Studies Vol 49 4 1998 pp 627 649 Puppe et al 1996 Puppe F Gappa U Poeck K Bamberger S Wissensbasierte Diagnose und Infor mationssysteme Berlin Heidelberg 1996 Puppe Stoyan Studer 2000 Puppe F Stoyan H Studer R Knowledge Engineering In G rz G Rollinger C R Schneeberger J Hrsg Handbuch der K nstlichen Intelligenz 3 Aufl M n chen Wien 2000 5 599 641 Ralfs 1995 Ralfs D Wissensbasierte Konfiguration von Modellen f r Informationssysteme Aa chen 1995 Rannenberg 1998 Rannenberg K Zertifizierung mehrseitiger IT Sicherheit Kriterien und organisatori sche Rahmenbedingungen Braunschweig Wiesbaden 1998 Rannenberg 2000 Rannenberg K Mehrseitige Sicherheit Schutz f r Unternehmen und ihre Partner im Internet In Wirtschaftsinformatik 42 Jg 2000 H 6 S 489 499 Reimer 1991 Reimer U Einf hrung in die Wissensrepr sentation
153. 39 Vgl Heller 1996 S 23 und Fensel 2001 S 15 97 Expertisemodell 3 1 3 Explizites Erfahrungswissen Die Fachwissenschaften wie die IS Sicherheit besitzen i d R ein gut strukturiertes Beg riffssystem denn sie formulieren ihre Syntax und Semantik in ihrer Fachsprache Somit bie ten die Fachsprachen eine Grundlage f r die explizite Normierung einer Dom ne Dies soll nicht dar ber hinwegt uschen dass die Fachsprachen sich st ndig in Bewegung und Diskus sion befinden wodurch eine endg ltige Normierung nicht m glich ist Trotz dieser Ein schr nkungen ist eine normierte Konzeptionalisierung und Formalisierung einer Fachwissen schaft Dom ne 2 m glich IS Sicherheitskriterien Die IS Sicherheitskriterien weisen den Charakter von allgemeinem anerkanntem und kompi liertem Erfahrungswissen auf und stellen somit das Ergebnis einer Normierung der Dom ne IS Sicherheit dar welches in kommunizierbarer verst ndlicher und strukturierter Form vor liegt Disembodied Knowledge Im Rahmen der Arbeit bilden die IS Sicherheitskriterien eine wesentliche Grundlage f r explizit repr sentiertes Erfahrungswissen Da Fachbegriffe der Kriterienwerke in expliziter und strukturierter Form z B in Tabellen oder Listen vorliegen haben sie den Charakter eines Knowledge Dictionaries bzw Glossars Somit k nnen Kriterien h ufig direkt in ein elektronisches Glossar umgesetzt werden was eine technische Repr sentation der Fachs
154. 4 5 1995 S 449 463 Karger 1999 Karger P IT Sicherheitsbewu tsein Kommunizieren Ein Weg gegen Irrtum und Nachl ssigkeit In BSI Hrsg Zur Didaktik der IT Sicherheit Ingelheim 1999 S 153 171 Kersten 1997 Kersten H Sicherheitszertifizierung Stand und Perspektiven In BSI Hrsg Mit Sicherheit in die Informationsgesellschaft Tagungsband 5 Deutscher IT Sicherheitskongre des BSI Ingelheim 1997 S 323 324 Kerster 1995 Kerster H Sicherheit in der Informationstechnik 2 Aufl M nchen Wien 1995 Kimmel Vetter 2001 Kimmel M Vetter A Einbruch im Auftrag Eine Toolbox f r Penetrationstests In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungsband 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 73 86 Kingston 1998 Kingston J K C Designing knowledge based systems the CommonKADS design model In Knowledge Based Systems Vol 11 5 6 1998 pp 311 319 Kirchhoff 1994 Kirchhoff S Abbildungsqualit t von wissensbasierten Systeme Reihe Wirtschaftsin formatik Band 13 Seibt D Derigs U Mellis W Hrsg Bergisch Gladbach K ln 1994 K nigshofen 1997 K nigshofen T Die Arbeit des Konzern DSB In Vo bein R Hrsg Die Organisa tion der Arbeit des betrieblichen Datenschutzbeauftragten Frechen 1997 S 99 119 Konrad 1998 Konrad P Gesch ftsproze orientierte Simulation der Informationssicherheit Reihe Wirtschaftsinform
155. 6 TABELLE 12 KLASSIFIKATION VON GERAHRENOUELLEN 108 TABELLE 13 GRRAHRENRBEREICHE aa 109 TABELLE 14 BERSICHT DER SEMANTISCHEN BPGELN 121 TABELLE 15 VERGLEICH DER IS SICHERHEITISWISSENSARTEN 122 TABELLE 16 MULTIFUNKTIONALE IS SICHERHEITS DOM NE n nn 141 TABELLE 17 VERGLEICH DER UML UND ERMNOTATION 2 168 TABELLE 18 GEWICHTUNGSBERECHNUNG VON 177 TABELLE 19 BERF HRUNG DER PROBLEML SUNGSKONZEPTE IN REGELN 195 TABELLE 20 ZUSAMMENFASSUNG DER UNTERSCHIEDE ZWISCHEN KONVENTIONELLER DATENVERARBEITUNG UNDWBs nenn 212 TABELLE 21 UNTERST TZUNGSARTEN F R MANAGER una 213 TABELLE 22 BERSICHT DER UNTERST TZTEN FUNKTIONEN BETREFFEND DES BSI GRUNDSCHUTZHANDBUCHS DURCH DAS BSI TOOL 227 Definitionsverzeichnis GLEEICHUNG Y PRINZIE EINER EEN 178 GLEICHUNG 2 THEOREM VON BANES nen 185 Abk rzungsverzeichnis Abk rzungsverzeichnis AES AG AIFCW AktG ALE AOL ASIS Aufl BCM BDSG BS BSI DF Diagnose WBS DIN DoD DSB DSS DuD EAL ECMA E COFC E Commerce EDV EG EGG E Government EIS engl ERM ESS ETA EUS EVA EVG f Advanced Encryption Standard Aktiengesellschaft Air Force Information Warface Center Aktiengesetz Annualized Loss Expectancy American Online Anwenderanforderungen an die Sicherheit der Informationsverarbeitung Auflage Busi
156. 97 Heijst G van Schreiber A Th Wielinga B J Roles are not classes a reply to Nicola Guarino In International Journal of Human Computer Studies Vol 46 2 3 1997 pp 311 318 Heinrich 2001 Heinrich L H Wirtschaftsinformatik 2 Aufl M nchen Wien 2001 Heinrich 2002 Heinrich L H Informationsmanagement 7 Aufl M nchen Wien 2002 Heller 1995 Heller B Modularisierung und Fokussierung erweiterbarer komplexer Wissensbasen auf der Basis von Kompetenzeinheiten Sankt Augustin 1996 Hennig 2001 Hennig A Sicherheit in der Informationstechnik In Mertens P Hrsg Lexikon der Wirtschaftsinformatik 4 Aufl Berlin u a 2001 5 411 412 Hentze Brose Kammel 1993 Hentze J Brose P Kammel A Unternehmensplanung 2 Aufl Bern Stuttgart Wien 1993 Hepp 2001 Hepp M Datensicherheit In Mertens P Hrsg Lexikon der Wirtschaftsinformatik 4 Aufl Berlin u a 2001 S 148 150 Herbst 2001 Herbst T Datenschutz In Mertens P Hrsg Lexikon der Wirtschaftsinformatik 4 Aufl Berlin u a 2001 S 145 146 283 Herrmann 1997 Herrmann J Maschinelles Lernen und Wissensbasierte Systeme Berlin u a 1997 Hesse 2002 Hesse W Ontologie n In Informatik Spektrum 25 Jg 2002 H 6 S 477 480 Heuser 2000 Heuser A Das Bundesamt f r Sicherheit in der Informationstechnik BSI Aufgaben und Selbstverst ndnis In Geiger Hrsg Sicherheit der Informationsges
157. 98 BS 7799 2 2002 und ISO 9001 2000 27 Vgl BS 7799 1 1999 218 Vol ISO 17799 2000 29 Vol BS 7799 2 1998 20 Vgl Eloff Solms 2000 5 250 und c cure 2002 21 Vgl BS 7799 2 2002 22 Vgl c cure 2002 69 Informationssystemsicherheits Management BS 7799 2 1999 1 Scope 2 Terms and definitions 3 Information security management sys tem requirements 3 1 General 3 2 Establishing a management framework 3 3 Implementation 3 4 Documentation 3 5 Document control 3 6 Records 4 Detailed Controls 4 1 Security policy 4 2 Organisational security 4 3 Asset classification and control 4 4 Personnel security 4 5 Physical and environmental 4 6 Communications and operations management 4 7 Access control 4 8 System development and BS 7799 2 2002 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Information Security management system 4 1 General requirements 4 2 Establishing and managing the ISMS 4 2 1 Establish the ISMS 4 2 2 Implement and operate the ISMS 4 2 3 Monitor and review the ISMS 4 2 4 Maintain and improve the ISMS 4 3 Documentation requirements 4 3 1 General 4 3 2 Control of documents 4 3 3 Control of records 5 Management responsibility 5 1 Management commitment 5 2 Resource management 6 Management review 6 1 General 6 2 Review input 6 3 Review output 6 4 Internal ISMS audits 7 ISMS improvement 7 1 Continual improvement 7 2 Co
158. Aufgabenbereich vielmehr wird aufgrund situations und personenspezi fischer Umst nde entschieden welche Bestandteile des Allgemeinwissens Verwendung fin den So ist z B zum Verstehen der Bedeutung von Begriffen oder S tzen h ufig zus tzliches Allgemeinwissen notwendig Dies macht deutlich dass das komplette menschliche Allge meinwissen durch das WBS jederzeit verf gbar sein muss was noch nicht m glich Ier Die negativen Auswirkungen dieses Problems sind bei der Probleml sung durch ein WBS als Kliff und Plateau Effekt bekannt und bis heute nicht gel st So leisten WBS erfolgreiche Arbeit in eng eingegrenzten Aufgabengebieten sobald aber das WBS nur geringf gig au er halb seines Spezialgebietes angewandt wird erfolgt ein sehr starker Kompetenzabbruch und das WBS liefert keine qualifizierte L sung da Allgemeinwissen 8 Einen umfangrei chen Versuch zur Modellierung von Allgemeinwissen bildet das Projekt CYC indem sehr viele Konzepte mit logischen Axiomen und Regeln formalisiert werden Pirlein 1995 bie tet eine umfangreiche bersicht von Commonsense Ontologien an die eingesetzt werden k nnen um Allgemeinwissen abzubilden 322 Vgl Harmon King 1989 S 36 323 Vgl Thuy Schnupp 1989 S 65 324 Vo Wolfertz 2001 S 457 325 Vgl Puppe 1991 S 189 326 Siehe dazu das Beispiel in Strube et al 2000 S 50 52 37 Vgl Vo Gutenschwager 2001 S 355 328 Vgl Hoppe 1992 S 22
159. B Herrmann T Just K Rittenbruch M Systeme f r Experten statt Expertensysteme Sankt Augustin 1994 Buxmann K nig 1998 Buxmann P K nig W Das Standardisierungsproblem Zur konomischen Auswahl von Standards in Informationssystemen In Wirtschaftsinformatik 40 Jg 1998 H 2 S 122 129 Bylander Chandrasekaran 1988 Bylander T Chandrasekaran B Generic tasks for knowledge based reasoning the right level of abstraction for knowledge acquisition In Gains B Boose J Ed Knowledge Acquisition for Knowledge based Systems London u a 1988 S 65 77 c cure 2002 c cure BS 7799 History BS 7799 2 Information Security Management Systems Ver ffentlicht im Internet URL http www c cure org 7799history htm Stand 15 01 2003 CC Kurz 2001 Bundesamt f r Sicherheit in der Informationstechnik BSI Kurzinformationen zu aktu ellen Themen der IT Sicherheit Common Criteria ISO IEC 15408 Bonn 2001 Ver ffentlicht im Internet URL http www bsi de literat faltbl ppschutz html Stand 10 10 2002 CC Teil 1 2000 Bundesamt f r Sicherheit in der Informationstechnik Common Criteria Teil 1 Einf h rung und allgemeines Modell Deutsches bersetzung der Common Criteria Gemein same Kriterien PDF Version 2 1 am 29 09 2000 im Bundesanzeiger bekannt gemacht Ver ffentlicht im Internet URL http www bsi de cc cc1_21 pdf Stand 10 12 2002 275 CC Teil 2 2000 Bundesamt f r Sicherhei
160. B mittels Frames Fragenkataloge oder Produktionsregeln er folgt erst auf der Symbolebene 370 Heijst Schreiber Wielinga 1997 S 317 371 Vgl Schreiber et al 2000 S 92 104 Expertisemodell unstrukturierte und semistrukturiete 2 Kriterienwerke sonstige unstrukturierte und semistrukturierte Informationen N Knowledge Dictionary en gt Symbolebene Frames Regel N J 2 sonstige strukturierte ut Ontologie Konzepte des Wissens Basiswissens und der repr sentations Wissensquellen Probleml sung formalismen Abbildung 44 Zusammenhang zwischen Wissensquellen und 2 Die Ontologie Konzepte des Dom nenmodells werden wie folgt unterteilt e Konzepte des Basiswissens enthalten die Fachterminologie und definitorisches Wissen ber deren Beziehungen Die Formalisierung ist meist unproblematisch da diese z B durch Kriterien in expliziter und deklarativer Form vorliegt Das Basiswissen soll m g lichst unabh ngig vom Probleml sungsprozess modelliert werden e Konzepte der Probleml sung beinhalten die Grundlage f r das L sungswissen der spe zifischen Probleml sungsprozesse Diese Konzepte sind deshalb im Gegensatz
161. Basis der Antwort von Frage 1 werden die Frage 5 und eventuelle weitere Fragen direkt angesprungen Problem sind die zus tzlich erforderlichen R cksprungbedingungen wel che durch weitere Regeln anzugeben sind 181 Entwurfsmodell 4 2 3 3 Generierungsregeln Die Generierungsregeln besitzen hnliche Funktionen wie die Ersetzungsregeln werden aber von den Fragen getrennt repr sentiert Dies bedeutet dass die Ersetzungsregeln in eine Frage eingebettet und mit deren Antwortm glichkeiten direkt verkn pft sind wohingegen die Generierungsregeln getrennt von den Fragen repr sentiert werden Fragen k nnen wie Erset zungsregeln durch Generierungsregeln automatisch offen oder verdeckt beantwortet werden Automatische Beantwortung Prinzip einer Ersetzungsregel Prinzip einer Generierungsregel Antwortbaustein Frage ER E Ersetzungs Automatsiche regel Beantwortung Generierungsregeln Abbildung 102 Prinzip der automatischen Beantwortung Bei Generierungsregeln werden mehrere Antworten von Fragen zu einer Vorbedingung zu sammengefasst Mehrere automatische Beantwortungen bilden die Nachbedingungen Um Generierungsregeln zu verkn pfen k nnen Ergebnisse von Generierungsregeln in die Vorbe dingungen anderer Generierungsregeln als logische Aussage eingebunden werden Die Auf gabe der Generierungsregeln besteht insbesondere darin komplexe Zusammenh nge zu be schreiben Zusammenhang zwischen Komplex
162. Container f r Konzept Instanzen gesehen werden 93 Expertisemodell Im folgenden Kapitel werden die Probleml sungsmethoden und die Konzepte des IS Sicherheitswissens in einem Expertisemodell beschrieben Zuerst erfolgt eine bersicht der Erhebungsmethoden und Wissensquellen 3 1 Wissensquellen 311 Erhebungsmethoden Neben den folgenden Wissenserhebungsmethoden f r Wissensquellen existiert eine Vielzahl anderer Erhebungsmethoden die meist eine Weiterentwicklung bzw Spezialisierung der fol genden Methoden darstellen Im Rahmen der Arbeit soll auf die drei am h ufigsten ver wendeten Methoden eingegangen werden e Textanalyse e strukturiertes und unstrukturiertes Interview e Protokollanalyse Textanalyse Die Textanalyse ist geeignet um in neue Dom nen einzusteigen Der Knowledge Engineer versucht sich durch das Studium von einschl giger Fachliteratur Kriterien und Handb chern einen berblick zu verschaffen um in einem sp teren Interview gezielter Fragen stellen zu k nnen Die Textanalyse basiert auf schriftlichen Wissensquellen und dient somit der Ausar beitung von Taxonomiewissen Dabei k nnen auch Strukturen und Konzepte der IS Sicherheit ermittelt werden Interview Das Interview stellt eine verbreitete Form der indirekten Wissenserhebung Knowledge Engi neer und IS Sicherheitsexperte sind unterschiedliche Personen dar Beim unstrukturierten Interview gewinnt der Knowledge Engineer eine
163. Dabei stellt sich die Frage wie angemessen diese Perspektive ist Somit ist einerseits der Ausgangspunkt der Modellkonstruktion entscheidend anderseits wie die Repr sentation des Problems mit Hilfe einer Sprache vorzunehmen ist Hierbei entstehen kon flikt re Verh ltnisse zwischen Modellnutzer und dem Modellersteller Dieses Modellierungsverh ltnis bzw das Zusammenwirken erfolgt im Rahmen des KE zwi schen Fachexperten und dem Knowledge Engineer Da Fachexperten typischerweise keinen berblick ber Methoden und Techniken des KE besitzen ben tigen sie bei der Konstruktion eines fachspezifischen Expertisemodells und der Auswahl der Entwicklungswerkzeuge die Unterst tzung eines Knowledge Engineers Anders verh lt sich die Problematik bei der Ein gabe und Wartung des spezifischen IS Sicherheitswissens sowie bei der Konfiguration des WBS an die jeweilige Situation Hier sollte die Wissenseingabe direkt durch den Fachexper ten erfolgen ohne dass ein Knowledge Engineer ben tigt wird Diese Vorgehensweise besitzt folgende Motivation e Bei der indirekten Wissenseingabe durch den Knowledge Engineer besteht eine fachliche Distanz zwischen Fachexperten dom nenorientiert und dem Knowledge Engineer sys temorientiert was sich in vielf ltigen Missverst ndnissen u ern kann Hierdurch wird der Aufwand einer Wissenseingabe erheblich erh ht Die Gefahr einer ungewollten Ver f lschung des Expertenwissens durch den Knowledge Engineer
164. EITPUNKT DER ENTDECKUNG DES VERLUSTES EINES GRUNDZIETLS 52 ABBILDUNG 19 IS SICHERHEITSZIELE UND 54 ABBILDUNG 20 ZEITL CKE BEIM GEF HRDUNGSBASIERTEN SICHERHEITSBEGRIFF 56 ABBILDUNG 21 VORGEHENSMODELL DER RISIKOANALYSE 57 ABBILDUNG 22 STUFENWEISE RISIKOBEWALTIOGUNO 59 ABBILDUNG 23 GEGEN BERSTELLUNG DER UND 11 2 28 11 01000100000000000 0000044 42 60 ABBILDUNG 24 BEISPIEL EINER DATENVERARBEITUNG IBM 702 705 DER 60ER BIS 80ER EE 61 ABBILDUNG 25 ZEITL CKE BEIM MABNAHMENBASIERTEN SICHERHEITSBEGRIFF 65 ABBILDUNG 26 SCHICHTENMODELL DES BSI GRUNDSCHUTZHANDBUCHS 67 ABBILDUNG 27 ENTSTEHUNGSGESCHICHTE DES BS 7799 50 II I00 nenn 68 ABBILDUNG 28 STRUKTUR DES BS 7799 1 69 ABBILDUNG 29 INFORMATIONSMANAGEMENT NACH ISO 3338 71 ABBILDUNG 30 BERSICHT ZUR ENTSTEHUNGSGESCHICHTE DER COMMON CRITERIA 72 ABBILDUNG 31 HIERARCHISCHE KLASSEN DER ROObR nano 75 ABBILDUNG 32 AAA 77 ABBILDUNG 33 DAS 78 ABBILDUNG 34 AUFBAU DER SISSA 80 ABBILDUNG 35 COMPUTERGEST TZTE VORGEHENSWEISE DER gissA 82 1X Abbildungsverzeichnis ABBILDUNG 36 ZUSAMMENHANG ZWISCHEN IT SYS
165. Frage wird Frage offen aktiviert und kann durch verdeckt aktiviert und kann den Benutzer beantwortet durch das System beantwortet werden werden Automatisch beantwortete Frage Frage wird durch eine bestimmte Antwort einer anderen Frage Beantwortete automatisch beantwortet Beantwortete O Frage O Frage Die Antwort kann durch den Die Antwort kann durch den 7 i Benutzer dennoch ver ndert Benutzer nicht ver ndert wer 2 werden den SE Automatisch aktivierte und beantwortete Frage Sg ENTER SET Frage wird durch eine bestimmte Antwort einer anderen Frage Qeantwortete automatisch aktiviert und beantwortet beantwortete Frage 7 i Die Antwort kann durch den Keini eUe Ce d Benutzer nicht ver ndert wer Benutzer ver ndert werden dan Abbildung 94 Zustandsformen von Fragen 4 2 2 Qualitative und quantitative Auswertung von Fragenkatalogen Die direkte Auswertung ist eine wesentliche Funktion eines computergest tzten Fragenkata logs in der automatisch ein Statusbericht der Erhebung erstellt wird Hierbei l sst sich die qualitative Auswertung von der erg nzenden quantitativen Auswertung unterscheiden 4 2 2 1 Qualitative Auswertung von Fragenkatalogen Die Antwortbausteine dienen zur Darstellung von Antwortmerkmalen wie z B die Darstel lung von fehlenden Ma nahmen oder Konsequenzen Hierf r ist jede Antwortm glichkeit mit einem Antwortbaustein verbunden So sind bei
166. G Benefits from expert systems An explora tory investigation In Expert Systems with Applications Vol 11 1 1996 53 58 McNurlin Sprague 1998 McNurlin B C Sprague R H Information Systems Management in Practice 5 ed New Jersey 1998 Mertens 1989 Mertens P Expertisesystem als Variante der Expertensysteme zur F hrungsinformati on In zfbf 41 Jg 1989 H 10 S 835 854 Mertens 2001 Mertens P Expertisesystem In Mertens P Hrsg Lexikon der Wirtschaftsinforma tik 4 Aufl Berlin u a 2001 S 197 Mertens Borkowski Geis 1993 Mertens P Borkowski V Geis W Betriebliche Expertensystem Anwendungen 3 Aufl Berlin u a 1993 M hrle 1997 M hrle M G Ein Computerunterst tzter Dialogfragebogen in praktischer Erprobung In Wirtschaftsinformatik 39 Jg 1997 H 5 S 461 467 M hrle Hoffmann 1994 M hrle M G Hoffmann W Interaktives Erheben von Informationen im computerun terst tzten Dialogfragebogen In Wirtschaftsinformatik 36 Jg 1994 H 3 S 243 251 Motta 1999 Motta E Reusable Components for Knowledge Modelling Amsterdam u a 1999 M hlen 1995 M hlen R A H von Planung sicherer Rechenzentren In Pohl H Weck G Hrsg Handbuch 2 Managementaufgaben im Bereich der Informationssicherheit M n chen Wien 1995 S 165 201 M iller Tietjen 2000 M ller D H Tietjen T FMEA Praxis M nchen Wien 2000 M nch 1995 M nch P
167. Hrsg Wissensbasierte Systeme in der Betriebswirtschaft Reihe Betriebliche Informations und Kommunikationssysteme Band 15 Krallmann Hrsg Berlin 1990 S 185 196 Ernestus 1999 Ernestus W Datenschutzfreundliche Technologien In BSI Hrsg IT Sicherheit oh ne Grenzen Tagungsband 6 Deutscher IT Sicherheitskongre des BSI Ingelheim 1999 S 151 162 Fensel 2000 Fensel D Problem Solving Methods Lecture Notes in Artificial Intelligence LNAI 1791 Berlin u a 2000 Fensel 2001 Fensel D Ontologies A Silver Bullet for Knowledge Management and Electronic Commerce Berlin u a 2000 Fink Schneidereit Vo 2001 Fink A Schneidereit G Vo S Grundlagen der Wirtschaftsinformatik Heidelberg 2001 Finne 2000 Finne T Information Systems Risk Management Key Concepts and Business Proc esses In Computer amp Security Vol 19 3 2000 pp 234 242 FIPS 140 1 1994 U S Department Of Commerce National Institute of Standards and Technology FIPS 140 1 Security Requirements for Cryptographic Modules Gaithersburg 1994 Ver ffentlicht im Internet URL http csrc nist gov publications fips fips 140 1 fips1401 pdf Stand 10 10 2002 FIPS 180 1 1995 U S Department Of Commerce National Institute of Standards and Technology FIPS 180 1 Secure Hash Standard Gaithersburg 1995 Ver ffentlicht im Internet URL http csrc nist gov publications fips fips 180 1 fip180 1 pdf Stand 10 10 2002
168. Inhaltsverzeichnis Inhaltsverzeichnis INH LTSUBERSICHT 8 444 140 ero Estoe oS sS TE sesos ABBILDUNGSVERZEICHNIS u ss000s0ssonssossonsnnssnssonsonsnssnnsnnssnnsnnssnnsnnsnnssnnsnnsnnssnnsnnssnnsnnssonsnnsnnne IX TABELLENVERZEICHNIS 22020020000002002000000200000n000200000020020002002000000200000 000000000 AN DEFINITIONSVERZEICHNIS sssosssossonsonssnssnnsnnssnssnssnnnsnnsnnssnnsnnssnssnnsnnssnnsnnnsnnsnnsnnssnnsnnssnnsnnnnnn AN BK RZUNGSVERZEICHNIS u a 1 EINF HRUNG 21 11 Motivation 2 O E E NE 21 1 2 Wissen und Information im Kontext des Knowledge Engineerings sorsoorsonssnnssnnesnsessnsnenssnssonene 23 1 3 Entwicklungsmethodologien des Knowledge Engineerings s00ss0ss00nsonssonsoonsonssnnsonnssnnsnnnnnnnene 25 131 Probleml sungsmethodenorientierte Ansg tze 29 1 3 2 Expertisemodellorientierte Ansitze 34 1 4 Vorgehensmodell der Arbeit c ccsscssssssesssssssssnssonssonsonnsonssnnssnnssnnssnnennnssnnssnssonssonssnssonssonssnnsnnsssnnnnnnene 37 2 INFORMATIONSSYSTEMSICHERHEITS MANAGEMENT csrscrssosssorssonssnussnusnne 4 2 1 Phasen des 15 6
169. KNOWLEDGE ENGINEERING DES MANAGEMENTS DER INFORMATIONSSYSTEMSICHERHEIT ENTWICKLUNG EINER DIAGNOSE SHELL ZUR UNTERST TZUNG VON INFORMATIONSSYSTEMSICHERHEIT DISSERTATION ZUR ERLANGUNG DES AKADEMISCHEN GRADES EINES DOKTORS DER WIRTSCHAFTSWISSENSCHAFTEN DR RER POL DURCH DEN FACHBEREICH WIRTSCHAFTSWISSENSCHAFTEN DER UNIVERSIT T DUISBURG ESSEN STANDORT ESSEN VORGELEGT VON DiPL WIRT INFORM SVEN PETER WIEGAND GEBOREN IN LUANDA ANGOLA DISPUTATION 06 02 2004 ERSTGUTACHTER UNIV PROF DR G NTHER PERNUL ZWEITGUTACHTER UNIV PROF DR STEFAN EICKER Inhalts bersicht Inhalts bersicht INHALTSUBERSICHT EE 5 5 ABBIEDUNGSVERZEICHNIS steps eege SERA EES EES IX TABELEENVERZEICHNIS 222255es5322925022205808 0050 bannen AN 2 1 AN BK RZUNGSVERZEICHNNS nenn EE 1 EINF HRUNG seen ee 21 1 1 a VE 21 1 2 Wissen und Information im Kontext des Knowledge Engineerings sorsoorsonssnnssnnesnsessnsnenssensonene 23 1 3 Entwicklungsmethodologien des Knowledge 22 4 25 1 4 Vorgehensmodell der Arbeit
170. Knoten und die Zustands nderun gen durch Kanten dargestellt 124 Expertisemodell 2 5 4 5 st ruR geschlossene 18 2 Schwachstelle Ze gt ER DF Ein 578 Kommuni 5 5 2 D D richtungen 75 9 gt kation mit 5 8 3 SECH Po u Extemen lt Wil al verkn pfte 51 5 sl x 5 Server Abh ngigkeiten st ru Programme 2 Raum NS 281 e D ess direkte Abh ngigkeiten CR 99 7 a automatische N 57 D EE Daten 2 Rechner sicherung en Zustands E e kung Bi SH nderung 2 26 Abbildung 59 Beispiel von Zustands nderungen Die direkten Abh ngigkeiten bestehen zwischen den Konzepten in einem Kontext z B Raum oder System wohingegen die verkn pften Abh ngigkeiten eine Zustands nderung des Kon zeptes in Abh ngigkeit des Kontexts nach sich ziehen So ist die Konsequenz Zerst rung im Kontext Serverraum eine Gefahr im Kontext LAN Server Diese kausalen Zustands nde rungen werden insbesondere durch technische Schwachstellen Konsequenzen und gef hrdende Elemente beschrieben da diese eine zuverl ssige
171. Midland Nationwide amp Unilever Fa BR Shell Baseline Industriearbeitsgruppe ab Security Controls Januar 1993 e Code of September 1993 Leitfaden ractice Februar 1995 BS 7799 1 1995 BSI Standard Februar 1998 BS 7799 2 1998 BS 7799 April 1999 BS 7799 1 1999 September 2002 BS 7799 2 2002 Internationaler ISO November 2000 ISO 17799 2000 Standard vergleichbar mit BS 7799 1 1999 Abbildung 27 Entstehungsgeschichte des BS 7799 ISO 17799213 Der CoP bietet einen praxisorientierten und unternehmensunabh ngigen Ma nahmenkatalog der dem Best Practice Ansatz in der IS Sicherheit gen gt Es wird davon ausgegangen dass sich in der Praxis eine Vielzahl von bew hrten bzw vorbildlichen Praktiken bzw Ma nahmen entwickelt hat die die Grundlage f r andere Institutionen darstellt Durch die pragmatische praxis und ma nahmenbezogene Vorgehensweise des CoP Ansatzes liegt der Vorteil in der Umsetzbarkeit und der Einsparung von Kosten Die Hauptanwendung beruht auf der Erstellung eines Sicherheitskonzeptes was eine Studie vom Herbst 1997 der Informa tion Systems Audit and Control Association ISACA belegt hnliches erreicht der Base line Security Policy BSP Ansatz der auch auf Basis von bew hrten Management Regeln und Standard Kriterien ein Grundma an Sicherheit gew hrleisten will 22 ISACA 1998 S 7 213 Aktualisiert in Anlehnung an
172. Produkten Abbildung 42 Aufbau des HTML basierten BSI Grundschutzhandbuchs Weitere explizite Wissensquellen Es existieren weitere schriftliche Wissensquellen in vielf ltiger Auspr gung In den schriftli chen Wissensquellen wird neben deklarativem Wissen z B reine Begriffsdeklarationen auch prozedurales Wissen in Form von Handlungsanweisungen repr sentiert Bei diesen Wissens quellen ist nicht davon auszugehen dass eine allgemein akzeptierte Fachsprache verwendet wird In dem Bereich der IS Sicherheit lassen sich grob folgende schriftliche Wissensquellen bereiche differenzieren Fachwissen durch Fachzeitschriften Expertenwissen aus Fachzeitschriften wie z B die KES oder DuD wobei hier die ber f hrung dieses Expertenwissens in ein WBS auf Grund der Unstrukturiertheit schriftliche Form problematischer ist als bei Kriterienwerken Dieses schriftliche Expertenwissen hat daf r den Vorteil dass konkrete Handlungsanweisungen bzw Heuristiken weitergegeben werden k nnen Unternehmenseigene IS Sicherheitskonzepte Es hat sich in den letzten Jahrzehnten in der Praxis und in der Theorie ein vielf ltiges IS Sicherheitswissen ber Strukturen Abl ufe und Probleml sungsstrategien in Institutionen herausgebildet deren Resultate in IS Sicherheitskonzepten dokumentiert sind Die Prob lematik liegt in der Verf gbarkeit dieser IS Sicherheitskonzepte und in der starken Ver kn pfung mit der unternehmensindividuellen IS Sicherheit
173. R hm A Fox D Grimm R Schoder D Hrsg Sicherheit und Electronic Commerce DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 1999 S 63 77 Datenschutz Brosch re 2002 Unabh ngiges Landeszentrum f r Datenschutz Schleswig Holstein Welche Vorteile bringen mir Datenschutz Beh rdenaudit amp Datenschutz G tesiegel Kiel 2002 Ver f fentlicht im Internet URL http www datenschutzzentrum de download audsieeu pdf Stand 10 10 2002 Datenschutzsiegel 2002 Unabh ngiges Landeszentrum f r Datenschutz Schleswig Holstein Das schleswig holsteinische Datenschutzg tesiegel Version 1 0 2002 Ver ffentlicht im Inter net URL http www datenschutzzentrum de download dssiegel pdf Stand 10 10 2002 Diek 2002 Diek A C G tesiegel nach dem schleswig holsteinischen Landesdatenschutzgesetz In B umler H Mutius A von Hrsg Datenschutz als Wettbewerbsvorteil DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braun schweig Wiesbaden 2002 S 157 162 Dodenh ft 1995 Dodenh ft D Hybride Wissensrepr sentation durch enge Kopplung eines frame und regelbasierten Formalismus M nchen 1995 Dressler 1997 Dressler M Modellbasierte Navigationsstrategien in Executive Support Systems Wiesbaden 1997 277 Dridi Pernul Sabol 2001 Dridi F Pernul G Sabol T The Webocracy Project Overview and Security Aspects
174. Reihe Leitf den der angewandten Informatik Appelrath H J Z rich L R Stucky W Hrsg Stuttgart 1991 Reynaud Tort 1997 Reynaud C Tort F Using explicit ontologies to create problem solving methods In International Journal of Human Computer Studies Vol 46 2 3 1997 pp 339 364 Richards Simoff 2001 Richards D Simoff S J Design ontology in context a situated cognition approach to conceptual modelling In Artificial Intelligence in Engineering Vol 15 2 2001 pp 121 136 292 Risknews 2000 o V KonTraG Gesetzlich verordnetes RM In Risknews o Jg 2000 H 7 S 2 6 Ver ffentlicht im Internet URL http www risknet de Data Risknews07_2000 pdf Stand 10 12 2002 R hm 2000 R hm A W Sicherheit offener Elektronischer M rkte Reihe Electronic Commerce Band 4 Szyperski N Schmid F Scheer A W Pernul G Klein S Hrsg Loh mar K ln 2000 R hrig Knorr Noser 2000 R hrig S Knorr K Noser H Sicherheit von E Business Anwendungen Struktur und Quantifizierung In Wirtschaftsinformatik 42 Jg 2000 H 6 S 499 507 Ro nagel 2000 Ro nagel Datenschutzaudit DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel Hrsg Braunschweig Wiesbaden 2000 Ro nagel Pfitzmann Garstka 2001 Ro nagel A Pfitzmann A Garstka H Modernisierung des Datenschutzrechtes Gut achten im Auftrag des Bundesministeriums des Innern Berlin 2001 R
175. S Sicherheitsmanagements werden die Probleml sungsmethoden und das ben tigte IS Sicherheitswissen in einem Expertisemodell des IS Sicherheitsmanagements beschrieben Das Expertisemodell bildet somit den zentralen Aspekt des modellorientierten Knowledge Engi neerings da auf einer epistemologischen Ebene Probleml sungsprozesse und das Dom nen wissen beschrieben werden Hiermit wird im Gegensatz zu dem Transferansatz die Entwick lung des WBS durch das Expertisemodell bestimmt und nicht durch schon bestehende Repr sentationsformen Durch die Unabh ngigkeit des Modells von einer Symbolebene k nnen Probleml sungen der IS Sicherheitsstrategien einerseits unabh ngig von einer konkreten Ope rationalisierung dargestellt werden anderseits k nnen schon Anforderungen einer Operatio nalisierung der Dom nenbasis und Probleml sung aufgezeigt werden 257 Schlussbetrachtung Um eine von der Dom nenbasis unabh ngige Darstellung der Probleml sung der IS Sicherheitsstrategien zu erlangen werden Templates eingef hrt Diese beschreiben in einem ersten Schritt gemeinsame diagnostische Probleml sungsschritte der IS Sicherheitsstrategien unabh ngig von einer Dom nenebene Die Template Strukturen k nnen zudem aber wieder um schnell mit dem jeweiligen ben tigten Dom nenwissen und deren Abh ngigkeitskonzep ten erweitert werden Des Weiteren k nnen die Templates durch ihre Schnittstellen flexibel umfangreiche Probleml sungsszenarien von ko
176. S 146 und Vgl 6 a BDSG 2001 352 Vo Gundermann 1999 S 141 353 Vgl Chandrasekaran Josephson Benjamins 1999 S 21 354 Vgl Puppe Stoyan Studer 2000 S 622 355 Vo Fensel 2001 S 1 101 Expertisemodell e Ontologien liefern eine Dom nentheorie und nicht die Struktur eines Datencontainers Seit Anfang der 90 Jahre werden Ontologien in vielen Bereichen der KI Forschung einge setzt Ontologie kann als explicit specification of conceptualization definiert wer den Die Konzeptualisierung besitzt die Identifikation von Konzepten und deren Beziehungen in einer Dom ne bzw kann als eine abstrakte und vereinfachte Sichtweise auf Ph nomene eines Realit tsausschnitts verstanden werden der f r vorgegebene Erkenntniszwecke von Interesse ist Dies bedeutet dass die Konzeptualisierung eine zweck und auch subjektab h ngige Auszeichnung der Realit tsaspekte darstellt Die Ontologie Konzepte bilden das Ergebnis der Konzeptualisierung ab Sie werden als sprachliche Konstrukte ausgedr ckt und stellen deshalb auch eine begriffliche bzw nat rlich sprachliche Vorstrukturierung dar Dies wird durch die Bereitstellung einer vordefinierten bzw normierten Zusammenstellung von Begriffen einer Dom ne erreicht Ontologien werden deshalb als wieder verwendbare Beg riffe reusable terminologies bezeichnet Ontologien haben neben einer terminologischen und syntaktischen Dimension
177. S 159 Plate 1997 S 373 Konrad 1998 S 39 und BSI Grundschutzhandbuch 2000 Kapitel 1 1 5 1 127 Vgl Stelzer 1993 S 64 und Vo bein 7 1999 S 74 77 128 Budget 2001 Insgesamt wurden 431 Unternehmen befragt 12 Vgl Vo bein R Vo bein 7 2002a S 20 49 Informationssystemsicherheits Management Deshalb ist es erforderlich die F hrungsebene f r ihre Verantwortung gegen ber der Abh n gigkeit von Informationssystemen und deren Sicherheit zu sensibilisieren Diese Verantwor tung dr ckt sich in den Sicherheitszielen dem niveau und deren Umsetzung aus Es ist nicht zu erwarten dass die ausf hrenden Ebenen des Unternehmens ein umfangreiches Sicherheits bewusstsein entwickeln wenn dieses nicht in der F hrungsebene Vorrang hat F r eine erfolgreiche Durchsetzung der Sicherheitspolitik ist es erforderlich dass von der F hrungs ebene die Initiative f r die IS Sicherheit aus scht Ein WBS besitzt die M glichkeit die Sensibilit t f r die IS Sicherheit zu sch rfen da einer seits die Schwachstellen andererseits auch deren negative Konsequenzen f r das Unterneh men aufgezeigt werden Insbesondere wenn sich die Unternehmensleitung bewusst ist dass sie f r die aufgezeigten Konsequenzen die Verantwortung zu tragen hat ist die Motivation zur Erstellung eines IS Sicherheitskonzepts gewachsen Basissicherheitsziele Bei der Erreichung der Unternehmensziele existieren im gro en Umfang Interdep
178. Strategien Prinzipien Methoden Verfahren Techniken und Werkzeugen besch ftigt Sti ckel Groffmann Rau 1998 S 652 5 Vgl Preece et al 2001 S 36 20 Vgl Angele Fensel Studer 1998 5 169 f 27 Wissensingenieur wird in der Arbeit als Synonym f r Knowledge Engineer verwendet 28 Knowledge Engineer und Fachexperte k nnen eventuell die gleiche Person darstellen Vgl Zelewski 1989 S 19 und Kurbel 1992 S 17 30 Vgl Studer Benjamins Fensel 1998 S 162 25 Einf hrung WBS der zweiten Generation bezeichnet Verbunden mit dem Paradigmenwechsel existieren folgende Entwicklungsmethodologien f r das Knowledge Engineering transferorientierte Ans tze und e modellierungsorientierte Ans tze transferorientierte Ans tze modellorientierte Ans tze General regelbasierte Da expertisemodell Problem WBS der ersten nee orientierte Solver GPS Generation S Ans tze Ans tze 60er bis 80er Jahre 80er Jahre bis heute WBS der ersten WBS der zweiten Generation Generation Abbildung 4 Historische Entwicklung des KE Transferorientierte Ans tze Anfang der 50er bis Ende der 60er Jahre wurden erste WBS in Form eines General Problem Solvers GPS erstellt Das GPS sollte eine allgemeine Probleml sungsf higkeit umfassen um somit auf jedes Problem angewandt zu werden Die Probleml sung erfolgte durch geeig nete Operationen welche die Differenz zwischen dem Ausgangszustand und dem Zielzustand reduz
179. TEM IT BAUSTEIN UND GEFAHR russian Huren 84 ABBILDUNG 37 GRUNDSTRUKTUR VON BAUSTEINEN AAA 85 ABBILDUNG 38 BREITEN 89 ABBILDUNG 39 IS SICHERHEITSSTRATEGIEN DES INTEGRIERTEN IS 6 91 ABBILDUNG 40 ZUSAMMENFASSENDE DARSTELLUNG DES EXPERTISEMODELLTS 93 ABBILDUNG 41 MODELL DES KOMPILIERTEN EXPERTENWISSENS 96 ABBILDUNG 42 AUFBAU DES HTML BASIERTEN BSI GRUNDSCHUTZHANDBUCHS 99 ABBILDUNG 43 INTERDEPENDENZEN ZWISCHEN KRITERIEN UND 22222 101 ABBILDUNG 44 ZUSAMMENHANG ZWISCHEN WISSENSQUELLEN UND ONTOLOGIE Sai KA AR BEE 105 ABBILDUNG 45 UNTERSCHIEDE ZWISCHEN SICHERHEITSRELEVANTEN BEREICHEN UND ELEMENTEN ee EEN EE 107 ABBILDUNG 46 GEF HRDENDES EREIGNIS eennennenenennnenenensenenensennenennennnnn 109 ABBILDUNG 47 WIRKUNGSZEITPUNKTE VON SICHERUNGSMADNAHMEN 111 ABBILDUNG 48 PROBLEML SUNGSKONZEPTE 2 113 ABBILDUNG 49 TEILMENGE KAUSALER SICHERHEITSRELEVANTER ABH NGIGKEITEN 114 ABBILDUNG 50 PISCHOGRATEN KAUSALMODELL 115 ABBILDUNG 51 KAUSALMODELL DES GEF HRDENDEN ERBIONISSES eree 116 ABBILDUNG 52 ASSOZIATIVER MABNAHMEN SCHWACHSTELLEN ANSATZ
180. Tools und PC unterst tzte Instrumente In Vo bein R Hrsg Handbuch 3 Organisation sicherer Informationsverarbeitungssysteme M nchen Wien 1995 S 289 303 M nch 1999 M nch I Sicherheitsrevision Praktische Erfahrungen des BSI und theoretische An s tze In BSI Hrsg IT Sicherheit ohne Grenzen Tagungsband 6 Deutscher IT Sicherheitskongre des BSI Ingelheim 1999 5 355 360 289 M nch Niggemann 2001 M nch 1 Niggemann H Messbare IT Sicherheit das IT Grundschutz Zertifikat In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungsband 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 257 267 Murray 1999 Murray W H Enterprise Security Architecture In Tipton H F Krause M Eds Information Security Management Handbook ed Boca Raton u a 1999 215 230 Newell 1982 Newell A The Knowledge Level In Artificial Intelligence Vol 18 1 1982 pp 87 127 Nosworthy 2000 Nosworthy J D A practical Risk Analysis approach Managing BCM Risk In Computers amp Security Vol 19 7 2001 pp 596 614 Oppliger 1997 Oppliger R IT Sicherheit Grundlagen und Umsetzung in der Praxis Braun schweig Wiesbaden 1997 Opitz 1999 Opitz O Numerische Taxonomie Reihe Betriebswirtschaftslehre Grundwissen der Okonomik Bea F X Dichtl E Schweitzer M Hrsg Stuttgart New York 1980 Ozier 1999 Ozier W Risk Analysis a
181. Vo bein J 1999 S 68 und BSI Grundschutzhandbuch 2000 Kapitel 2 3 108 Expertisemodell Welche dieser Gefahrenbereiche haben in Ihrem Haus in den vergangenen beiden Jahren tats ch lich zu mittleren bis gr eren Beeintr chtigungen gef hrt Basis der Prozentuierung 260 Summe Prozent von Menschen direkt verursachte Gefahren 135 52 Irrtum und Nachl ssigkeit eigener Mitarbeiter 79 30 unbeabsichtigter Fehler von Externen z B Wartungstechnikern 23 9 Manipulation zum Zweck der Bereicherung 6 2 unbefugte Kenntnisnahme Informationsdiebstahl Wirtschaftsspionage 16 6 Sabotage 4 2 Hacking Vandalismus Probing Missbrauch 21 8 Malware Viren W rmer Trojanische Pferde usw 64 25 technische Defekte Qualit tsm ngel 85 33 Hardware bedingt 38 15 Software bedingt 50 19 M ngel der Dokumentation 8 3 h here Gewalt Feuer Wasser usw 8 3 Sonstige 17 7 Tabelle 13 Gefahrenbereiche Gef hrdendes Ereignis Der Zustand des Einwirkens einer Gefahr auf ein sicherheitsrelevantes Element wird als ge f hrdendes Ereignis bezeichnet Hierbei wird unter einem Ereignis Zustandsver n derung f r die es einen Ort und eine Zeitdauer oder einen Zeitpunkt verstanden Die sicherheitsrelevanten Elemente werden mit Hilfe eines Informationssystemmodells abgebil det die mit relevanten Gefahren aus einer Gefahrenliste erg nzt werden Aus d
182. aar P Stutz O Datenschutz G tesiegel f r Online Dienstleistungen In DuD 26 Jg 2002 H 6 S 330 334 Schaurette 1999 Schaurette K M The Building Blocks of Information Security In Tipton H F Krause M Eds Information Security Management Handbook 4 ed Volume 2 Boca Raton u a 1999 pp 221 240 Scheer 1998 Scheer A W Wirtschaftsinformatik Referenzmodelle f r industrielle Gesch ftspro zesse 7 Aufl Berlin u a 1998 Schefe 1986 _ Schefe P K nstliche Intelligenz berblick und Grundlagen Mannheim 1986 Scherdtfeger 1999 Schwerdtfeger A Probleme und Fragen zum Vertragsrecht In Scherdtfeger S Kreuzer A Peschel Mehner A Poeck T Cyberlaw Wiesbaden 1999 5 7 30 Scherdtfeger et al 1999 Scherdtfeger A Evertz S Kreuzer P A Peschel Mehner A Poeck T Cyberlaw Wiesbaden 1999 Schily 2001 Schily Bundesminister des Innern Kongress Effizienter Staat o Februar 2001 Ver ffentlicht im Internet URL http www bsi de certbund index html Stand 10 12 2002 Schmidtchen 1962 Schmidtchen G Der Anwendungsbereich betriebssoziologischer Umfragen Bern 1962 Sch nberg Thoben 1999 Sch nberg A Thoben W Ein unscharfes Bewertungskonzept f r die Bedrohungs und Risikoanalyse Workflow basierter Anwendungen In R hm A Fox D Grimm R Schoder D Hrsg Sicherheit und Electronic Commerce DuD Fachbeitr ge Pfitz mann
183. abylonischen Sprach wirrwarrs in der Literatur nicht existiert Diese Systeme lassen sich als informationsver arbeitende Automaten auffassen die sich wie folgt dadurch auszeichnen dass e der Benutzer den Automaten beauftragen kann ein Problem zu bew ltigen ohne hierbei zu beschreiben wie der Automat bei seiner Problembew ltigung vorgehen soll externer Aspekt der non prozeduralen oder deklarativen Benutzeroberfl che e der Automat bei seiner Problembew ltigung Wissen aus dem betroffenen Problembereich anwendet das in einer separaten Wissensbasis explizit dargestellt wird interner Aspekt der Wissensbasierung SE In dieser Arbeit werden die Begriffe wissensbasiertes System und Expertensystem basie rend auf Kurbels Definitionen wie folgt verwendet e wissensbasiertes System ist Softwaresystem bei dem das Fachwissen ber ein Anwendungsgebiet Domain knowledge explizit und unabh ngig vom allgemeinen Probleml sungswissen dargestellt wird 506 und e Expertensystem ist ein Programm das in einem eng abgegrenzten Anwendungsbe reich die spezifische Probleml sungsf higkeit eines menschlichen Experten zumindest an n hernd erreicht oder bertrifft Das wissensbasierte System wird in der Arbeit als wissensbasiertes Werkzeug f r ein Ex pertensystem verstanden Hierdurch wird die softwaretechnologische Ebene mit der expliziten Beschreibung des W
184. ace Sicherheit im Internet Tagungsband 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 211 225 Zilahi Szab 1998 Zilahi Szab M G Grundz ge der Wirtschaftsinformatik M nchen Wien 1998 Zimmermann 1993 Zimmermann H J Fuzzy Technologien Prinzipien Werkzeuge Potentiale D sseldorf 1993 301
185. achfrage f r einen ermittelten Verdacht Wie bei der Hypothesengenerierung ist zwischen assoziativen und kausalen manifestierenden Modellen zu unterscheiden e In den assoziativen manifestierenden Modellen wird festgelegt welche weitere vermutete fehlende Ma nahme die Schwachstellen Hypothese best tigen oder widerlegen k nnte In den kausalen manifestierenden Modellen wird festgelegt welche weitere Konsequenz das vermutete gef hrdende Ereignis erkl ren oder widerlegen k nnte Hierarchische Modelle Die hierarchischen Modelle werden f r die heuristische Hypothesengenerierung und Hypo thesen berpr fung hierarchische Klassifikation verwendet Sie k nnen als eine Spezialisie rung des assoziativen Abh ngigkeitskonzepts interpretiert werden Dies bedeutet dass auf Basis des hierarchischen Abh ngigkeitswissens zwischen den Basiskonzepten Verdachts hypothesen ermittelt werden Um z B eine Schwachstelle zu beschreiben k nnen in Form einer Hierarchie mehrere Ma nahmen und Konsequenzen zusammengefasst werden Fehlen die Ma nahmen und werden Konsequenzen beobachtet so kann auf eine Schwachstelle ge deutet werden F r die hierarchische Hypothesengenerierung und berpr fung wird h ufig die Establish Refine Strategie verwendet welche im Kapitel 3 4 2 2 erl utert wird Vorgabenmodelle Die Vorgabenmodelle werden vor allem in der Merkmalserkennung eingesetzt um z B eine Beobachtung auch als Konsequenz zu erken
186. achung der Durchf hrung von Transaktionen zwischen Akteuren bzw zu einem einfachen Austausch von Informationen 22467 f hrt Hierdurch erlangen Standards eine extensionale Auspr gung was eine nach au en dokumentierte und kommunikationsf hige IS Sicherheit erm g licht Hierbei sei die Problematik der gemeinsamen Verst ndigung erw hnt denn der Kon sens bzw die Akzeptanz eines Standards kann in Abh ngigkeit des jeweiligen Umfeldes vari ieren Um Ontologien f r die IS Sicherheit zu erstellen ist eine Konzeptualisierung und Spezifikati der Dom ne erforderlich Das Ergebnis dieser Wissensanalyse ist ein Dom nenmodell von relevanten Konzepten mit ihren Eigenschaften und Abh ngigkeiten die auf ein forma les WBS berf hrt werden Hierf r werden folgende Auspr gungsformen von Ontologien verwendet die jeweils eine spezifische Rolle in dem Knowledge Engineering spielen e Dom nenontologien erfassen das Wissen einer bestimmten Dom ne und sind somit nur f r diese Dom ne g ltig Diese Art der Ontologien bildet die Grundlage f r das Dom nenmodell des Expertisemodells Repr sentationsontologien spezifizieren die Ausdrucksm glichkeiten von Repr sentati onssprachen Diese Ontologien legen die Primitive von Wissensrepr sentationssprachen wie z B durch Frames Produktionsregeln und Fragenkataloge fest Als weitere Ontologieformen werden h ufig Aufgaben und Methodenontologien genannt wobe
187. and planning IT Security Genf 1997 180 13335 3 1998 International Organization for Standardization International Electrotechnical Commis sion ISO IEC 13335 3 1998 Information technology Guidelines for the manage ment of IT Security Part 3 Techniques for the management of IT Security Genf 1998 284 180 13335 4 2000 International Organization for Standardization International Electrotechnical Commis sion ISO IEC TR 13335 4 2000 Information technology Guidelines for the manage ment of IT Security Part 4 Selection of safeguards Genf 2000 180 13335 5 2001 International Organization for Standardization International Electrotechnical Commis sion ISO IEC TR 13335 5 2001 Information technology Guidelines for the manage ment of IT Security Part 5 Management guidance on network security Genf 2001 180 15408 1 1999 International Organization for Standardization International Electrotechnical Commis sion ISO IEC 15408 1 1999 Information technology Security techniques Evaluation criteria for IT security Part 1 Introduction and general model Genf 1999 1SO 15408 2 1999 International Organization for Standardization International Electrotechnical Commis sion ISO IEC 15408 2 1999 Information technology Security techniques Evaluation criteria for IT security Part 2 Security functional requirements Genf 1999 1SO 15408 3 1999 International Organization for Standardization International Elec
188. andelt Bei einer indirekten Erhebung ist i d R ein Interview erforderlich Bei der direkten Erhebung kann dies entfallen da der Knowledge Engineer und der IS Sicherheitsexperte die gleiche Person darstellen Eine Zwischenstufe stellt die Interviewsitua tion dar in der der Interviewer sich zwar als IS Sicherheitsexperte erweist jedoch nicht auf einem spezialisierten Bereich Da sich hier zwei Experten gegen berstehen z B allgemeiner IS Sicherheitsexperte und IS Sicherheitsexperte im Bereich E Commerce entsteht eher eine Konversation auf Expertenebene Zu Beginn des KE werden die vorhandenen Wissensquellen ermittelt und analysiert F r das IS Sicherheitsmanagement existieren folgende Wissensquellen Kategorien e Implizites Erfahrungswissen Menschliches Expertenwissen e Explizites Erfahrungswissen IS Sicherheitskriterien und weitere explizite Quellen e Explizites Vorschriftenwissen Gesetzliche Vorschriften 3 1 2 Implizites Erfahrungswissen Implizites Expertenwissen ist in den K pfen von menschlichen Experten gespeichert und schwer formalisierbar kommunizierbar und teilbar Embodied Knowledge Es beinhaltet subjektive Einsichten und ist tief in Handlungen und Erfahrungen von Individuen verankert wie z B Ideale Werte oder Gef hle Dieses implizite Wissen beinhaltet Wissensstrategien in Form von unbewussten angewendeten Verhaltensregeln bzw Probleml sungsmethoden die f r den L sungsprozess entscheidend sind Ein
189. apiteln verfeinert bzw spezialisiert werden Zweitens beschreibt die Kapitelstruktur die grundlegende Abfragerichtung der Merkmalserhebung Die se starre Abfragerichtung kann entweder durch verkn pfte Fragen automatisch durch das System ge ndert werden oder der Benutzer ndert manuell die Abfragereihenfolge 240 Implementierung Zugriffsrechte bzgl Aufgabenerf llung 3 3 Ma nahmen zur Integrit t uud 3 Werden Zugriffsrechte nur gem den Erfordemissen Aufgabenerf llung vergeben Vergabe der ausschbe ch den Erfordernassen der Abbildung 137 Beispiel einer Frage mit Antwortbausteinen Fragen abstrahieren Merkmale f r die bei einer Befragung konkrete Merkmalswerte ermittelt werden Die Fragen dienen gleichzeitig der Erhebung von Beobachtungen und als Merkmals indikatoren f r z B vorhandene oder nicht vorhandene Ma nahmen Daf r stehen verschie dene Fragetypen wie Alternative oder Ja Nein Fragen zur Verf gung Die Fragetypen k n nen auch miteinander kombiniert werden Jede einzelne Antwortm glichkeit wird entweder mit Ja angeklickt oder Nein nicht ange klickt markiert Entsprechend der bin ren Auspr gung der einzelnen Antwortm glichkeit sind zwei Antworttexte f r Ja oder Nein mit der jeweiligen Antwort verbunden Bei der sp teren Auswertung wird der jeweilige Antworttext ausgegeben Da
190. atenschutzgesetz Vgl Eckert 2001 S 3 3 Z B TDDSG 1997 oder TKG 1996 14 Vgl Behrens 1997 S 27 29 Behrens bezieht sich noch auf das alte BDSG 1997 Im BDSG 2001 wur den die alten 10 Gebote zu 8 Geboten zusammengefasst 45 Informationssystemsicherheits Management Ro nagel Pfitzmann Garstka 2001 haben umfangreiche Verbesserungsvorschl ge f r den Datenschutz erarbeitet die als Ziel die F rderung datenschutzfreundlicher Technologien und die St rkung der informationellen Selbstbestimmung beinhalten Hierf r ist eine h here Transparenz Vermeidung des Personenbezugs Zweckbindung der Datenverarbeitung orga nisatorische Unterst tzung des Datenschutzes und eine St rkung der Betroffenenrechte n tig Des Weiteren sollen Spezialregelungen bzgl des Datenschutzes die sich in anderen Gesetzen befinden in einem neuen BDSG zusammengefasst werden und die Datenschutzgrunds tze sollten gleicherma en auch f r nicht ffentliche Bereiche gelten Ein weiteres Ziel das durch das Unabh ngige Landeszentrum f r Datenschutz Schleswig Holstein 6 ULD SH gef rdert wird ist den Datenschutz zu einem Qualit tsmerkmal f r Institutionen zu etablieren Dieses Qualit tsmerkmal stellt einen Wettbewerbsvorteil f r diese Institutionen dar und f rdert somit auch datenschutzfreundliche Technologien e 2 1 Phasen des IS Sicherheitsmanagements Im Folgenden werden grundlegende Phasen des Manageme
191. atik Band 20 Seibt D Derigs U Mellis W Hrsg Lohmar K ln 1998 Koolwijk 1974 Koolwijk J van Erhebungsmethoden Die Befragung In Koolwijk J van Wieken Mayser M Hrsg Techniken der empirischen Sozialforschung Band 4 M n chen Wien 1974 286 Krallmann 1989 Krallmann H EDV Sicherheitsmanagement Integrierte Sicherheitskonzepte f r be triebliche Informations und Kommunikationssysteme Berlin 1989 Krallmann 2001 Krallmann H Management Support Systeme MSS In Mertens P Hrsg Lexikon der Wirtschaftsinformatik 4 Aufl Berlin u a 2001 S 287 288 2000 Kremar H Informationsmanagement 2 Aufl Berlin u a 2000 Kr ger 1992 Kr ger W Organisationsmethodik In Frese E Hrsg Handw rterbuch der Organi sation 3 Aufl Stuttgart 1992 S 1572 1588 Kruth 1995 Kruth W Probleme und L sungen in unterschiedlichen Systemstrukturen In Vo bein R Hrsg Handbuch 3 Organisation sicherer Informationsverarbeitungssysteme M nchen Wien 1995 S 53 99 Kubicek 2001 Kubicek H Die digitale Signatur zwischen B rger und Verwaltung Erleichterung oder Erschwernis In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Inter net Tagungsband 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 11 22 1992 Kurbel K Entwicklung und Einsatz von Expertensystemen 2 Aufl Berlin u a 1992 Kyas 1996 Kyas O Sicher
192. ative 1 DXAlternatie2 2 Ja Nein Typ Nur zwei Antwortm glichkeiten Ni Nein Abbildung 93 Antworttypen einer Frage Zustandsformen von Fragen Eine Frage besitzt vor der Befragung einen Zustand der sich w hrend der Frage dynamisch ver ndern kann Diese Zustandsver nderung der Fragen erfolgt entweder offen f r den Benut zer oder ist verdeckt durch das System Offene Fragen k nnen durch den Benutzer beantwor tet werden oder dem Benutzer werden schon w hrend der Erhebung z B automatisch beant wortete Fragen pr sentiert Verdeckte Fragen bleiben dem Benutzer w hrend der Erhebung verborgen und werden durch das System automatisch bzw autonom beantwortet 174 Entwurfsmodell Zustandsformen von Fragen Offene Frage Verdeckte Frage Frage ist offen und kann durch Frage ist f r den Benutzer ver Verdeckte das System automatisch und deckt und kann nur durch das durch den Benutzer beantwor System automatisch beantwor tet werden tet werden Deaktivierte Frage Offene Frage ist deaktiviert Verdeckte Frage ist deaktiviert und wird bei der Probleml und wird bei der Probleml sung nicht ber cksichtigt sung nicht ber cksichtigt Aktivierte Frage Feel Deaktivierte Frage wird durch eine bestimmte Antwort einer E Aktivierte kn pften Frage automatisch aktiviert o Aktivierte O Frage Die deaktivierte Frage wird Die deaktivierte
193. b S 64 2 Vo Gutenschwager 2001 S 24 Vgl Fink Schneidereit Vo 2001 S 78 und Staab et al 2001 S 27 me Vgl Schreiber et al 2000 S 82 und Preece et al 2001 S 37 5 Vgl Walter 1990 S 2 und Servatius 1993 S 34 23 Einf hrung H 4 Ke e Pu Verwendung zur Wissen Erzeugung neuer Lernen Informationen E Abstraktions 4 8 grad 4 Schnittstelle f r Information wissensbasierte Systeme 4 Interpretation t SEH odierung Daten Niedrig Abbildung 3 Daten Informationen und Wissen Aus Daten entstehen Informationen wenn diese in einem bestimmten Kontext interpretiert werden bzw Bedeutung erlangen Wissen und Information sind eng miteinander verbunden denn Wissen wird durch Aufnahme und Einbindung von Information in bestehendes Wissen aufgebaut bzw wird Information aus bestehendem Wissen mitgeteilt bzw Wissen besteht aus vielen Informationen sowie der Kenntnisse ber die Zusammenh nge der Informatio 19 5 5 20 nen Wissen kann folglich als eine verarbeitete Information angesehen werden Wissen besitzt zus tzlich eine Zweckorientierung wodurch Erwartungen bei der Auf nahme von Informationen in Wissen und bestimmte Absichten bei der Entnahme von Informa tionen aus Wissen vorhanden sein m ssen Durch die verkn pfte Aufnahme von meh reren Informationsbestandteilen entsteht Wissen was auch als Lernen bez
194. bedingt m glich Die Unterst tzung Kann z B durch Aufzeigen von erforderlichem Auf wand f r ein bestimmtes Sicherheitsniveau erfolgen 2 3 IS Sicherheitsstrategien Die Umsetzung des IS Sicherheitsniveaus bewusstseins und der ziele erfolgt durch die Aus wahl und Ausgestaltung der IS Sicherheitsstrategien So existieren Strategien die als Ziel ein hohes oder ein niedriges bis mittleres IS Sicherheitsniveau haben Das IS Sicherheits WBS unterst tzt die jeweiligen IS Sicherheitsstrategien wodurch eine indirekte Umsetzung der IS Sicherheitspolitik durch ein WBS erfolgt Die Zielgr en der Sicherheitspolitik werden als Eingangsgr en f r die IS Sicherheitsstrategie interpretiert deren Ergebnis das IS Sicherheitskonzept ist Das IS Sicherheitskonzept ist wiederum die Ausgangsgr e f r eine erfolgreiche Operationalisierung der IS Sicherheit im Unternehmen Die Ergebnisse des IS Sicherheitskonzepts sind grob eine Darstellung des Sicherheitszustandes und eine Erl uterung bzw Begr ndung der erforderlichen Umsetzungsma nahmen um ein gewisses Sicherheitsni veau zu erreichen Die IS Sicherheitsstrategie umfasst grob folgende Teilphasen 9 Vgl Stelzer 1993 S 60 54 Informationssystemsicherheits Management Erhebung und Abbildung der relevanten IS Sicherheitsaspekte Analyse und Bewertung des IS Sicherheitszustandes e Entwicklung erforderlicher Ma nahmen Hierf r lassen sich folgende generische IS Sicherheitsstrat
195. bein R Verfahren zur Auswahl von zertifizierten IT Systemen unter dem Aspekt der Wirtschaftlichkeit In Bauknecht K Karagiannis D Teufel S Hrsg Sicherheit Informationssystemen Beitr ge der Fachtagung 51596 in Wien vom 21 22 M rz 1996 Z rich 1996 S 269 289 Wolf 1999 Wolf G Generische attributierte Aktionsklassen f r mehrseitig sichere verteilte An wendungen In R hm A Fox D Grimm R Schoder D Hrsg Sicherheit und Elect ronic Commerce DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 1999 S 31 46 Wolfertz 2001 Wolfertz K Wissensmanagement bei Beratern mit Fuzzy Systems In Wirtschaftsin formatik 43 Jg 2001 H 5 S 457 466 Zelewski 1989 Zelewski S Einsatz von Expertensystemen in den Unternehmen Ehningen bei B b lingen 1989 300 Zelewski Sch tte Siedentopf 2001 Zelewski S Sch tte R Siedentopf J Ontologien zur Repr sentation von Dom nen In Schrey gg G Hrsg Wissen in Unternehmen Berlin 2001 S 183 221 Ziener 1997 Ziener K Betrieblicher Datenschutzbeauftragter und DV Revisor Kooperation oder Gegens tze In Vo bein R Hrsg Die Organisation der Arbeit des betrieblichen Datenschutzbeauftragten Frechen 1997 S 69 98 Zieschang 2001 Zieschang T Security Engineering im E Commerce Best Practice und Standardsi cherheitsma nahmen In BSI Hrsg 2001 Odyssee im Cybersp
196. berkapitel aus die Fragen der Unter kapitel gem der Kapitelstruktur nacheinander abgearbeitet werden Bei Fragenkatalogen ist grunds tzlich zwischen den e unternehmensunabh ngigen Fragen Merkmalsindikatoren und e deren unternehmensspezifischen Antworten erhobene Merkmale zu unterscheiden Das unternehmensunabh ngige IS Sicherheitswissen ist in den Inhalten der Struktur und den Abh ngigkeiten zwischen den Fragen repr sentiert wohingegen die beantworteten Fragen bzw das Ergebnis der Befragung das unternehmensabh ngige bzw spezifische IS Sicherheitswissen darstellen Eine Anpassung des Fragenkatalogs an die Unternehmensstruk tur ist ein Zwischenschritt zur Anwendung des Fragenkatalogs Dieser Zusammenhang ist in der folgenden Abbildung dargestellt 172 Entwurfsmodell C I des F katal 9 npassung des Fragenkatalogs ee Merkmals und Erhebung der Merkmale EN erhobene Er Ba O indikatoren O Mer Antworttexte Die Inhalte der Fragen basieren Die beantworteten Fragen und ihre auf unternehmens Antworttexte stellen das unabh ngigem unternehmensspezifische IS Sicherheitswissen IS Sicherheitswissen dar Abbildung 92 Repr sentation von IS Sicherheitswissen in Fragenkatalogen Typen von Antwortm glichkeiten Fragen abstrahieren Merkmale und sind gleichzeitig Merkmalsindikatoren die konkrete Mer
197. bewerteten Problembereiche ab Diese Form der rekursiven Verdachtsbewertung kann zur Bewertung der folgenden Hypothesen und Ursachen angewandt werden 197 Entwurfsmodell SS alas aueg zuanbasuoy 26 swyeugen 4 sn eIS ussnegquomuy 9 5 EE ales endea lt z em _ AMIO 5 zuanbas uoy Q UISISNEAUOMJUY 79 uossims unyamag en sinya 4 gt PUN oe rn U9LSISYUDEMUIS E 05 701 ZEN
198. blich beeintr chtigen m ssen jedoch erkenn oder vermeidbar sein L ngere Ausfallzeiten die zu Termin berschreitungen f hren sind nicht zu tolerieren Insgesamt gilt Sch den haben Beeintr chtigungen der Institution zur Folge Niveau Niedrig Vertraulichkeit von Informationen ist nicht gefordert Fehler k nnen toleriert werden solange sie die Erledigung der Aufgaben nicht v llig unm glich ma chen Dauernder Ausfall ist zu vermeiden l ngere Ausfallzeiten sind jedoch Insgesamt gilt Sch den haben nur eine unwesentliche Beeintr chtigung der Institution zur Folge Tabelle 3 Formen von Sicherheitsniveaus Es wird i d R ein h chst m gliches Sicherheitsniveau angestrebt Die Ern chterung kommt bei dem Klarwerden der Konsequenzen des hohen Sicherheitsniveaus das sich in einem fi nanziellen und personellen Aufwand widerspiegelt So ist bei der Bestimmung des Sicher heitsniveaus immer die Relation zwischen erwartetem Aufwand und den vorhandenen Res sourcen zu beachten Eine nur geringe Steigerung des Sicherheitsniveaus kann zu einem sehr starken Anstieg des erforderlichen Aufwands f hren Es lassen sich grob folgende Ressourcenklassen als Restriktionen f r das Sicherheitsniveau 148 differenzieren e qualifiziertes Personal e finanzielle Mittel besonders bei gr eren Investitionen in die IS Sicherheit e Verfahren und Produkte um die IS Sicherheit durchzusetzen e Zeit um die
199. bungsm glichkeiten von computergest tzten Fragenkatalo gen nicht so umfangreich wie bei der objektorientierten Repr sentation Daf r ist eine anwen dungsorientierte Umsetzung Wartung und Pflege zu realisieren so dass ein Fachexperte di rekte und eigenst ndige Ver nderungen in der Wissensbasis vornehmen kann Eine Beschrei bung der Abh ngigkeitskonzepte erfolgt durch nat rlich sprachliche Regeln In der Arbeit sollen auch Aspekte des Bottom Up Ansatzes auf Kapitel und Fragestrukturen berf hrt werden Aufgrund der eingeschr nkten syntaktischen und semantischen M glich keiten gegen ber objektorientierten Formalismen erfolgt lediglich eine berf hrung der kau salen Abh ngigkeiten zwischen den Konzepten Andere Abh ngigkeiten insbesondere Bezie hungen zwischen den sicherheitsrelevanten Elementen werden nicht ber cksichtigt Ein wissensbasierter Fragenkatalog l sst sich grob in zwei Bereiche einteilen e Kapitel Fragen und Antwortstrukturen die sich zur Erhebung von Beobachtungen und zur Strukturierung der Basiskonzepte eig nen und e Fragenkatalogregeln die sich zur Steuerung der Befragung und zur Beschreibung der Abh ngigkeitskonzepte eignen 4 2 1 Kapitel und Fragestruktur Die Kapitel dienen der Strukturierung des Problemgebiets und repr sentieren sicherheitsrele vante Bereiche die durch Unterkapitel verfeinert werden Durch die Kapitel und Fragestruk tur ist zudem der Befragungspfad vorgegeben da vom O
200. bzubildenden Problembereichs von Be deutung Mit der Ad quatheit einer Repr sentation wird die bereinstimmung zwischen der Wissensrepr sentation und dem zu repr sentierenden Anwendungsbereich bezeichnet In der folgenden Abbildung werden Kriterien f r die Bewertung der ad quaten Wissensrepr sen tation dargestellt Epistemologische Ad quatheit Logisch formale Ad quatheit Alle relevanten Objekte Subjekte mit ihren Eigenschaften und insbesondere deren Probleml sungsverhalten sollen abbildbar und zu verarbeiten sein Es sollen alle Sprachmittel korrekt vollst ndig und entscheidbar sein Auswahl von Wissensrepr sentation und Inferenz Algorithmische Ad quatheit Ergonomische Ad quatheit Die Repr sentationssprache soll leicht handhabbar und verst ndlich sein Der Formalismus soll in effizienter Weise zu verarbeiten sein konomische Ad quatheit Der Aufwand soll im Hinblick auf Repr sentation vertretbar sein Abbildung 85 Ad quatheit der Wissensrepr sentation 43 Vgl Schefe 1986 S 25 4 Vgl Frick 1998 S 101 45 Puppe Stoyan Studer 2000 S 600 46 Vgl Gabriel 1992 S 98 47 Vgl Lenz 1991 S 55 und 2000 5 40 42 161 Entwurfsmodell Die Repr sentation der IS Sicherheit soll im Idealfall alle Kriterien erf llen Dies ist in der Realit t mit den zeitlich und wirtschaftlich begrenzten Ressourcen i d R nicht m glich Die
201. ch re Attribute und das System y Klassen des betriebliche hetraffenen Svstems realisierte Ermittlung durch Strukturmodell j Sicherungs das System ma nahmen bekannte Ermittlung durch Schwachstellen das System prim re Ermittlung durch Konsequenzen das System Abbildung 122 Objektmodell nach Stelzer Im Objektmodell werden Gefahren sicherheitsrelevante Elemente und gef hrdende Ereignisse als Objekte repr sen tiert und e Schwachstellen Ma nahmen und Konsequenzen als deren Attribute und Methoden darge stellt 545 Vertrieben durch Intelligent Environments Ltd UK 546 Verk rzte Darstellung aus Stelzer 1993 S 207 und S 214 219 Implementierung Eine eindeutige Zuordnungsvorschrift der Konzepte als Objekt oder Attribut kann nicht ab schlie end definiert werden So k nnen z B Ma nahmen oder Konsequenzen in Form von Attributen einem sicherheitsrelevanten Element zugeordnet oder als eigenst ndige Objekte repr sentiert werden Stelzer hat in seiner Arbeit die Vor und Nachteile der Zuordnung von den jeweiligen IS Sicherheitskonzepten als Objekte oder Attribute beschrieben Das Konzept von Stelzer besitzt die wesentlichen Merkmale einer klassischen Systemab grenzung und Risikoerkennung im Rahmen einer Risikoanalyse Durch ein Strukturmodell erfolgt eine Systemabgrenzung des zu analysierenden Informationssystems Das Struktur modell repr sentiert die sicherheitsrelevanten Elemente
202. cherheitsmanagement bildet den Kontext des Knowledge Engineerings e Expertisemodell ist das Ergebnis der Wissensakquisition und e Wissensoperationalisierung erfolgt durch ein Entwurfsmodell und dessen Implementie rung durch ein WBS 88 Erweitert und angewandt auf das Knowledge Engineering des IS Sicherheitsmanagements in Anlehnung Lenz 1991 5 112 37 Einf hrung IS Sicherheitsmanagement F r eine erfolgreiche Einbettung des WBS in das IS Sicherheitsmanagement muss zuerst der Kontext verstanden werden Wird der Kontext bei der Konstruktion des Expertisemodells nicht ber cksichtigt erfolgt eine ungen gende Einbettung des WBS in die Organisation der Institution Daf r ist es n tig dass das WBS die unterschiedlichen Strategien des IS Sicherheitsmanagements unterst tzt und versteht um eine partielle oder vollst ndige Au tomatisierung wissensintensiver Aufgaben zu unterst tzen Die Probleml sungsprozesse des IS Sicherheitsmanagements werden auf der Kontextebene durch ein deskriptives Modell der IS Sicherheitsstrategien beschrieben welches zudem auch die Grundlage f r die Problem l sungsmethoden des Expertisemodells auf der Wissensebene darstellt Wissensakquisition Die Analyse und Interpretation im Rahmen der Wissensakquisition ist eine Form der Wis sensgewinnung durch das Zerlegen und Aufgliedern des IS Sicherheitsmanagements in seine Komponenten Es folgt eine Untersuchung der Eigenschaften un
203. cht nur um die simple Aufz hlung der Ergebnisse und Ma nahmen sondern um die Beschreibung der Vorgehensweisen und Zusammenh nge f r die folgende Umsetzung und Kontrolle Dabei soll das Konzept einen Charakter eines Handbuches oder Pflichtenheftes besitzen Die Risikobew ltigung folgt h ufig im folgenden Stufenverfahren 163 Risikograd Eintrittswahrscheinlichkeit erwartete Schadensh he Vgl BSI IT Sicherheitshandbuch 1992 S 44 Baer 1995 S 27 und Ozier 1999 S 249 E Vgl Theil 1995 S 79 94 Pongratz 1996 S 237 Ciechanowicz 1997 S 224 Oppliger 1997 S 25 Vo bein J 1999 S 239 und Damm et al 1999 S 76 58 Informationssystemsicherheits Management We 3 5 H x X GC Vermeiden ze x Reduzieren N 2 Zugang 2 Begrenzen cx Uberwalzen o Bewusstsein Ek Redundanz e Trainin SES Notfallplan Versicherung 3 Verzicht 5 9 EI DK 4 I 9 gt Selbst tragen Abbildung 22 Stufenweise Risikobew ltigung In Verbindung mit dem Risiko wird h ufig der Begriff Restrisiko verwendet das als das Risiko bezeichnet wird das nicht mehr durch Sicherungsma nahmen neutralisiert oder auf Versicherungen berw lzt werden kann oder soll 66 2 3 1 2 FMEA Verfahren Eine formalisierte Risikomethode ist das FMEA Verfahren das Anfang der 80er Jahre als Ausfalleffektanalyse DIN
204. chulen und durch Lesen von Lehr b chern fachgebiet unabh ngiges Wissen das als theoretisches Wissen oder Tiefenwissen bezeichnet wird Dieses Wissen liegt in Form von Definitionen Axiomen und Gesetz m igkeiten vor und ist meist gut formalisierbar strukturierbar und nachvollziehbar Zu dem ist theoretisches Wissen h ufig in Form von Basiswissen die Voraussetzung um sich fachgebiet spezifisches Wissen anzueignen Praktisches Erfahrungswissen Fachgebiet spezifische Probleme k nnen dagegen alleinig mit theoretischem Wissen nicht gel st werden da der L sungsraum f r eine umfassende Probleml sungssuche zu gro ist In seinem beruflichen Verlauf eignet sich ein Fachexperte zus tzlich fachgebiet spezifisches Erfahrungswissen an das als praktisches Wissen oder Oberfl chenwissen be zeichnet wird das praktische Wissen gewinnt im beruflichen Umfeld immer mehr an Be deutung 3D Vgl Harmon King 1989 S 38 Harmon King bezeichnet das theoretische Wissen als Tiefenwissen und das praktische Wissen als Oberfl chenwissen 520 Vgl Harmon King 1989 S 35 ff 321 Vgl Thuy Schnupp 1989 S 63 96 Expertisemodell Das praktische Wissen erm glicht es dem Individuum sich in einem Fachgebiet z B IS Sicherheit schnell auf die wesentlichen Aspekte eines Problems zu konzentrieren und die Zusammenh nge zu erkennen Es beinhaltet h ufig vages oder unvollst ndiges Wissen und wird meist durch Heuristiken und Daumenre
205. cke beim ma nahmenbasierten Sicherheitsbegriff Aus diesem Grund ist ein umfassender und aktueller Ma nahmenkatalog entscheidend f r die Anwendung des ma nahmenbasierten Sicherheitsbegriffs Ansonsten entsteht schnell eine Scheinsicherheit des Informationssystems Es ist permanent zu pr fen ob die standardisier ten Ma nahmen f r die jeweilige Institution ausreichen oder durch individuelle Ma nahmen erg nzt werden m ssen 2 3 2 1 IS Sicherheitskriterien In der Tabelle erfolgt eine Differenzierung der Kriterien nach folgender Struktur e Das Kriterienwerk bezieht sich auf ein einzelnes Produkt bzw auf eine Komponente oder die Sicht ist auf die Einsatzumgebung im Kontext des Gesamtsystems einer Institution ge richtet e Die Kriterien sind entweder auf technische oder auf nicht sicherheitsrelevante z B orga nisatorische Aspekte fokussiert 206 Erweitert in Anlehnung an Vo bein 1999 5 39 207 D21 2001 5 7 Eine hnliche Struktur findet sich bei Eloff Solms 2000b 65 Informationssystemsicherheits Management ISO 13335 Handreichungen f r das IS Sicherheitsmanagement 150 17799 BSI IT Best Practice Ansatz in der IS F Grundschutz Sicherheit grundlegende E Absicherung des ISO 9000 Gesamtsystems allgemeine Anforderungen an ein Quali 2 t tsmanagementsystem CobiT Etablierung eines geeigneten Kontrollum feldes BSI Tas
206. d Betrieb von IS IS bilden Voraussetzungen f r Durchsetzung von Unternehmenszielen Unternehmens Infomations IS Sicherheitsziele ziele UZ systeme IS UZ sind Gestaltungsrahmen IS ist Sa ang ahnen f r Informationssysteme f r IS Sicherheitsziele align Abbildung 17 Zusammenhang zwischen Unternehmens und Informationsziel Die komplement ren Bereiche wie Unternehmensziele Informationssysteme und IS Sicherheit beeinflussen sich gegenseitig So stellen die Unternehmensziele den Rahmen f r die Informationssysteme dar andererseits werden die Unternehmensziele erst durch Informa tionssysteme m glich Diese Interdependenz wird auf die Sicherheitsziele erweitert denn Sicherheitsziele dienen einerseits als Voraussetzungen f r eine erfolgreiche Entwicklung und dem Betrieb von Informationssystemen andererseits bilden die Informationssysteme den Ges taltungsrahmen f r die Sicherheitsziele Die Sichtweise der Interdependenz ist von dem jewei ligen Standpunkt Unternehmensziel Informationssystem oder IS Sicherheit abh ngig Da durch entsteht ein logischer Zirkel der nicht aufzul sen ist Ein hnliches Dilemma ist aus der Ziel Planung bekannt Dort sind Ziele einerseits Voraussetzung der Planung andererseits Er gebnis der Planung In der Literatur und Praxis haben sich Vertraulichkeit Integrit t und Verf gbarkeit als Basis sicherheitsziele der IS Sicherheit heraus gebildet Im Rahmen der Arbeit orienti
207. d der Zusammenh nge dieser einzelnen Komponenten Das Expertisemodell befindet sich dabei auf einem hohen abstrakten Niveau welches der Wissensebene entspricht Basis f r die Dom nenebene ist die Identifizierung von IS Sicherheitswissensquellen und deren Erhebung wobei als Ergebnis der Erhebung insbesondere terminologische und inhaltli che Aspekte der IS Sicherheit differenziert dargestellt werden Das Ergebnis beinhaltet die Konzeptstrukturen des IS Sicherheitswissens und deren Abh ngigkeiten in einem Dom nen modell Ausgangspunkt f r das Probleml sungswissen sind Strategien des IS Sicherheitsmanagements welche den Rahmen f r die Entwicklung und den Einsatz des WBS geben Ziel ist es die strukturierenden Eigenschaften und Probleml sungsvorg nge der IS Sicherheitsstrategien aufzudecken um die Probleml sungsprozesse des IS Sicherheitsmanagements durch ad quate Probleml sungsmethoden zu beschreiben Die Prob leml sungsmethoden ben tigen f r die Probleml sung ein Dom nenmodell des IS Sicherheitswissens Hierf r werden Wissens Rollen verwendet die eine berf hrung des Dom nenmodells in die Probleml sungsmethoden erlauben Ergebnis ist ein Expertisemodell des IS Sicherheitsmanagements welches aus einem Dom nenmodell und Probleml sungsmethoden besteht und weitgehend unabh ngig von einer Ope rationalisierung auf einer abstrakten Wissensebene beschrieben wird Das Expertisemodell soll zudem als zus tzliche Schich
208. darstellen 205 Entwurfsmodell zuanbasuoy zuanbasuoy sBunudsin zuanb RS suoy lt 7 en af E N SEN juewelg 5 SE 2 9 ES zuanbasuoy zuenb 5 6 Jugen zuanbasuoy zu nb 6 wewsg C UeupEsIn 14989098 Bunjnid san gt ussaypodiy 6 1 N ege Jun elo up P usys yensge N Ge A 2 5 5 Ek sbunjdnuyuaA sbunypegosg eh masan 4 EA 2 5 2 9514 sjesney uass ms unyamag
209. de Abk rzungsverzeichnis ff FIPS FIRST FMEA 5 GmbH GMD GPOSS GPS H Hrsg HTML HTTP 1 d R IEC IEC IS ISACA ISi ISO IT ITSEC IV Jg KADS KE KES KI KonTraG LAN LDSG SH LNAI MIKE MSS NASA NBS NIST nnb TDSV TKG fortfolgend Federal Information Processing Standards Forum of Incident Response and Security Teams Failure Mode und Effects Analysis Forschungsgemeinschaft Qualit tssicherung e V Fault Tree Analysis Fernmeldeverkehr berwachungs Verordnung Gesellschaft mit beschr nkter Haftung Gesellschaft f r Mathematik und Datenverarbeitung Gesch ftsproze orientiertes Simulations System General Problem Solver Heft Herausgeber Hypertext Markup Language Hypertext Transfer Protocol in der Regel International Electrotechnical Commission International Electrotechnical Commission Informationssystem Information Systems Audit and Control Association Informationssicherheit International Organization for Standardization Informationstechnik Trusted Computer Systems Evaluation Criteria Informationsverarbeitung Jahrgang Knowledge Acquisition and Documentation Structuring Knowledge Engineering Zeitschrift f r Kommunikations und EDV Sicherheit K nstliche Intelligenz Gesetz zur Kontrolle und Transparenz im Unternehmensbereichen Local Area Network Landesdatenschutzgesetz Schleswig Holstein Lecture Notes in Artificial Intelligence Model based and Incr
210. dell des IS Sicherheitsmanagements und dem Entwurfsmodell des wissensbasierten Fragenkatalogs dieser Arbeit Das WBS sollte m glichst viele Aspekte des Expertisemodells repr sentieren k nnen wobei prim r eine anwendungsorientierte Top Down Strategie unterst tzt wird Unabh ngig von einem speziellen Kriterienwerk k nnen durch das WBS Inhalte unterschiedlicher Kriterienwerke und Aspekte des Datenschutzes ver arbeitet werden Es k nnen aber auch unternehmensindividuelle IS Sicherheitsaspekte einge geben und verarbeitet werden sowie kausale Zusammenh nge repr sentiert werden um einen Bottom Up Ansatz zu unterst tzen wobei nicht die gleiche Abbildungsqualit t der vorwie gend Bottom Up gepr gten Systeme wie z B TRAW oder GOOPS erreicht wird Die Diagnose Shell besitzt den Charakter eines wieder verwendbaren Werkzeugkastens basie rend auf wissensbasierten Fragenkatalogen der die unterschiedlichen IS Sicherheitsstrategien zur Erstellung eines IS Sicherheitskonzepts unterst tzt und sich somit an die jeweilige Institu tion und deren IS Sicherheitspolitik anpasst Auf Basis der ausgew hlten IS Sicherheitsstrategie werden aus der Diagnose Shell die Probleml sungsmethoden und die ben tigten IS Sicherheitswissensbestandteile ausgew hlt 235 Implementierung wieder verwendbares Diagnose Werkzeug institutionsorientiertes Diagnose System Problem l sungsmethoden Auswahl und Konfiguration der Probleml sun
211. den Anspruch einer vollst ndigen Knowledge Management Methodologie sondern der Ansatz sieht sich als ein wichtiges Werkzeug f r die Umsetzung des Knowledge Managements 73 Puppe Stoyan Studer 2000 8 625 Vgl Frick 1998 5 295 und Studer Benjamins Fensel 1998 5 168 75 Vgl Heller 1996 S 75 76 Projektbezeichnung ESPRIT Projekt P5248 gl Schreiber et al 2000 Informationen ber CommonKADS auch im Internet URL http www commonKADS uva nl Stand September 2002 78 Vgl Hoppe 1992 S 60 79 Vgl Frick 1998 S 317 80 Vgl Schreiber et al 2000 S 82 34 Einf hrung Den entscheidenden Beitrag des CommonKADS bilden drei Ebenen des Expertisemodells die auch in anderen KE Ans tzen zu finden sind Die Aufgaben bzw Kontrollebene spezifiziert die zu l sende Aufgabe und deren Teil aufgaben Es ist notwendig neben den Inferenz Schritten die Probleml sungsmethoden durch Kontrollstrukturen zu erg nzen Die Kontrollstrukturen werden bis auf die Inferen zebene verfeinert Die Inferenzebene beschreibt den L sungsprozess mit Hilfe von Inferenzen und Wissens Rollen Die Abh ngigkeiten zwischen Inferenzen und Wissens Rollen werden durch eine Inferenz Struktur abgebildet Wissens Strukturen k nnen unterschiedliche Dom nen Konzepte z B aus der IS Sicherheit oder Medizin annehmen Auf der Dom nenebene wird das dom nenspezifische Wissen beschrieben das zur Prob leml sung ben tig
212. den besitzen weitgehend eine monofunktionale Auspr gung Die monofunktionale Auspr gung wird durch die Anfor derungen der heuristischen Klassifikation und der modellorientierten Diagnose bestimmt Um die Wiederverwendung der einzelnen Inferenz Strukturen zu erreichen sollten die spezifi schen Probleml sungsmethoden miteinander kombiniert werden k nnen So besitzen die as soziativen Probleml sungsmethoden die St rken im Erkennen von fehlenden Ma nahmen und deren Schwachstellen Modellorientierte Probleml sungsmethoden haben dagegen ihre Leistungsf higkeit in der Erkl rung von Konsequenzen oder Ermittlung von Wirkungen F r den Erkl rungsaspekt ist ein m glichst zuverl ssiges Wissen auf Basis von kausalen Sys temmodellen n tig Deshalb sinkt die Attraktivit t f r die berdeckende Diagnose betr cht lich wenn die kausalen Abh ngigkeiten berwiegend unsicher sind In diesem Fall kann heu ristisches Wissen verwendet werden um f r den gesamten Umfang der Informationssysteme Verdachtsdiagnosen aufzustellen Breitenanalyse Nur bestimmte sicherheitskritische Teilbe reiche werden mit Hilfe kausaler Inferenz Strukturen abgebildet Tiefenanalyse Der Vorteil liegt in der Kombination von unterschiedlichen Wissensformen und Inferenz Strukturen Des Weiteren ist der Aufwand vergleichsweise geringer einer heuristischen Wissensbasis berde ckendes kausales Wissen hinzuzuf gen oder umgekehrt als eine komplett neue kausale oder 152
213. der Merkmalserkennung werden die Beobachtungen abstrahiert als Merkmale erkannt und eventuell in normale oder abnormale Merkmale differenziert Die Erkennung Kann direkt durch den Benutzer oder durch den Vergleich von beobachteten und erwarteten Merkmalen erfolgen Wenn die Beobachtungen unmittelbar als abnormale Merkmale erkannt werden ist der Vergleich nicht n tig Ein wichtiges Prinzip beim Umgang mit Unsicherheiten bei der Merkmalserkennung ist die schrittweise Abstraktion von Merkmalen Durch die Abstraktion sollen Beobachtungen zu abstrahierten Merkmalen zusammengefasst werden welche f r das Schlie en auf eine L sung verwendet werden Die Datenabstraktion l sst sich in folgende Bereiche differenzieren e Durch arithmetische Berechnung z B durch Berechnung des Risikograds Abstraktion von quantitativen zu qualitativen Werten Risikograd gt 30 bedeutet hohes Risiko Dieses Verfahren verlangt h ufig eine linguistische Variable z B niedrig mittel und hoch die z B durch die Fuzzy Logik unterst tzt wird So kann z B bei mehr als drei Ausf llen eines Servers in einem Jahr von einem hohen Ausfallpotential des Servers abs trahiert bzw ausgegangen werden e Zusammenfassung bzw Zuordnung von Einzelbeobachtungen zu fach sprachlichen Abstraktionen aus der IS Sicherheit 3 3 2 2 Hypothesengenerierung Die Abbildung der Merkmalsabstraktionen auf L sungen bzw Diagnosen ist eine zentrale Basis Inferenz der Diag
214. der reaktiven und pr ventiven Sicht durch die Interpretationsrichtung der Regeln Es wird bei der reaktiven Sichtweise ausgehend von erhobenen Konsequenzen r ckw rtsorientiert auf Ursachen in Form von berdeckenden gef hrdenden Ereignissen Gefahren und Elementen und kausalen Schwachstellen geschlos sen Ausgangspunkt ist die Konklusion der Regeln welche die beobachteten Konsequenzen darstellen Es wird versucht die Regeln und somit die Ursachen Vorbedingungen zu finden die am besten die Konsequenzen Wirkungen berdecken bzw erkl ren Bei der pr ventiven Sichtweise werden dagegen Konsequenzen ausgehend von angenommenen Ursachen vor w rtsorientiert vorausgesagt bzw kausal simuliert 501 Im Beispiel ist aus Sicht von Ereignis 2 die Konsequenz von Ereignis 1 eine Gefahr f r Ereignis 2 203 Entwurfsmodell Bottom Up Ansatz Reaktiv Pr ventiv automatisch q ckw rtsorientierte Antwortwert vorw rtsorientierte automatisch beantwortet Interpretation Interpretation gt beantwortet Antwortbaustein Konsequenz Antwortbaustein Antwortbaustein Konsequenz Ursachen Antwortbaustein Ursachen Ursachen Ursachen d Ki Konsequenz Ersetzungsregeln Ersetzungsregeln Generierungsregeln Generierungsregeln Ursachen Wirkungen Ursachen Wirkungen Antwortbausteine von Fragen nach Kon Fragen nach Antwortbausteine von Ursachen Fragen sequenzen
215. derungen zu gen gen Vertraulichkeit Die Informationen m ssen im h chsten Ma e korrekt sein Integrit t Die zentralen Aufgaben der Institution sind ohne IT Einsatz nicht durchf hrbar Knappe Reaktionszei ten f r kritische Entscheidungen fordern st ndige Pr senz der aktuellen Informationen Ausfallzeiten sind nicht akzeptabel Verf gbarkeit Insgesamt gilt Der Ausfall der IT f hrt zum totalen Zusammenbruch der Institution oder hat schwer wiegende Folgen f r breite gesellschaftliche oder wirtschaftliche Bereiche Abh ngigkeitsgrad Niveau Hoch Der Schutz vertraulicher Informationen muss hohen gesetzlichen Anforderungen gen gen und in si cherheitskritischen Bereichen st rker ausgepr gt sein Die verarbeiteten Informationen m ssen korrekt sein auftretende Fehler m ssen erkennbar und ver meidbar sein In zentralen Bereichen der Institution laufen zeitkritische Vorg nge oder es werden dort Massenauf gaben wahrgenommen die ohne IT Einsatz nicht zu erledigen sind es k nnen nur kurze Ausfallzeiten toleriert werden Insgesamt gilt Im Schadensfall tritt Handlungsunf higkeit in zentralen Bereichen der Institution ein Sch den haben erhebliche Beeintr chtigungen der Institution selbst oder betroffener Dritter zur Folge Niveau Mittel Der Schutz von Informationen die nur f r den internen Gebrauch bestimmt sind muss gew hrleistet sein Kleinere Fehler k nnen toleriert werden Fehler die die Aufgabenerf llung erhe
216. die entsprechenden Risikofaktoren nicht weiter betrachtet Sind keine oder ungen gende Gegenma nahmen vorhanden erfolgt f r die Risikofaktoren eine qualitative Absch t zung der zu erwartenden Konsequenzen Im letzten Schritt werden die ben tigten Gegenma nahmen zur Verhinderung der Konsequenzen abgesch tzt In einem Ergebnisreport wird der IS Sicherheitsstatus der Organisation bzgl der Risikofaktoren ausgegeben und es werden Vorschl ge f r Gegenma nahmen und deren Implementierung angeboten 57 Vgl Kailay Jarratt 1995 538 RAMeX Risk Analysis and Management eXpert system 59 Engl Asset 50 Engl Threat 581 Engl Threat Source 542 Engl Vulnerability 583 Engl Countermeasure 54 Vgl Kailay Jarratt 1995 S 457 218 Implementierung Der RAMeX Prototyp wurde mit dem regelbasierten Expertensystem Shell Crystal erstellt Die Inferenz Einheit verf gt ber eine vorw rts und r ckw rtsorientierte Verarbeitung der Regeln wodurch eine datengetriebene Analyse und eine zielgetriebene Analyse der Regeln m glich ist Es existiert eine Schnittstelle f r den Knowledge Engineer Crystal Environ ment der die Wissensbasis mit den Risikofaktoren und deren Regeln auff llt sowie eine Be nutzerschnittstelle die auf einer strukturierten Befragung der relevanten Daten basiert Ansatz von Stelzer Ein Konzept einer kombinierten objektorientierten und regelbasierten Wissensrepr sentation von IS Sicherheitsw
217. durch Generierungsregeln repr sentiert werden Generierungsregelgenerator Die Generierungsregeln besitzen eine h here Flexibilit t gegen ber den Verkn pfungs und Ersetzungsregeln und k nnen somit komplexe Abh ngigkeiten repr sentieren daf r werden sie schnell un bersichtlich Generierungsregeln sind nicht an eine bestimmte Auswahlfrage gebunden sondern werden unabh ngig von Fragen repr sentiert 244 Implementierung Logische Aussage des Frage 1 Frage 2 Regel Rahmens 3 4 Antworttexte gt WW Ho 15 SU Generierungs regel e 7 0 1 automatisch een beantwortete eet G Frage Nachbedingungen Dann Bl cke direkte Ergebnis _ ausgabe Abbildung 141 Grundstruktur einer Generierungsregel Die Generierungsregel besteht aus einer Vorbedingung und einer Nachbedingung Die Quelle der Vorbedingung bilden die Antwortwerte der Dialogobjekte So ist bei einem Selektions oder Alternativobjekt eine Wahr Falsch Vorbedingungseigenschaft ausreichend wohinge gen bei Texteingaben weitere Vorbedingungseigenschaften wie z B gleich ungleich kleiner oder gr er m glich sind Die Vorbedingungen werden durch Verkn pfungsope ratoren wie z B Konjunktionen oder Disjunktionen zu Regel Rahmen zusammengefasst Logisc
218. durch Ursachen in Form von gef hrdenden Ereignissen und kausalen Schwachstellen erkl rt Die reaktiven Schwachstellen erm glichen die beobachteten Konse an quenzen Somit stellen Schwachstellen indirekte Verdachtsursachen wohingegen gef hrdende Ereignisse direkte Verdachtsursachen darstellen Eingang Konsequenzen Wirkungen Ausgang Gef hrdende Ereignisse und kausale Schwachstellen Ursachen Merkmalserkennung Hypothesengenerierung Hypothesen berpr fung beobachtete Fehlzust nde Wirkungen gef hrdendes Ereignis und Schwach Vorhersage von weiteren Konse abstrahieren und als Konsequenzen stelle werden als Erkl rung f r die quenzen um die Verdachtsursa erkennen Konsequenzen ermittelt chen zu berpr fen Der reaktive Bottom Up Ansatz basiert auf kausalem Abh ngigkeitswissen Hiermit ist eine Tiefenanalyse bzw suche f r bestimmte Ursachen m glich Dom ne des reaktiven Bottom Up IS Sicherheitsmanagements Ursachenanalyse verd chtiger Fehl und K SSES Ee kausale vorhergesagte Zustand Normalzust nde ed SEN Schwachstelle SEN Konsequenzen Konsequenz Konsequenz A A A kausales Vorgabenmodell Modell manifestierendes 5 Modell le e N SE SCH ae D Ke See Bes Erkl rende und zus tzliche o Initial Merkmals N Hypothe
219. e zifischen Angaben ber ein konkretes Problem erg nzt die mit Hilfe der Interviewkom ponente erhoben werden e Zwischen und Endergebnisse ergeben die abgeleitete Probleml sung basierend auf dem dom nen und fallspezifischen Wissen In diesem Zusammenhang wird auch vom dynamischen und statischen Wissen gesprochen So wird das dom nenspezifische Wissen w hrend des Inferenz Prozesses weitgehend nicht ver ndert und besitzt deshalb eine statische Form wohingegen das fallspezifische Wissen dynamisch ermittelt wird Die Zwischenergebnisse haben eine dynamische Natur da sie situa tionsbedingt abgeleitet werden Wissenserwerbssysteme Die Qualit t eines WBS und der Erfolg im praktischen Einsatz werden entscheidend durch den Aufbau der Wissensbasis und ihrer Unterst tzung durch die Wissenserwerbskomponente gepr gt Insbesondere die direkte Wissenseingabe und Wartung durch einen Fachexperten ohne Unterst tzung eines Knowledge Engineers ist ein Ansatz um Experten aktiv in die Ent wicklung und Nutzung von WBS langfristig einzubinden Es lassen sich folgende Wissens erwerbssysteme differenzieren Die Wissenserwerbskomponente erm glicht prim r den Aufbau und die Erweiterung des Dom nenwissens unter Verwendung von ad quaten Formalismen der Wissensrepr senta tion Es handelt sich i d R um intelligente und eventuell grafische Editoren die eine syn taktische und semantische Pr fung der Eingaben vornehmen und die Erste
220. e f r andere sicherheitsrelevante Elemente darstellen 3 2 3 2 Assoziative Abh ngigkeitskonzepte Eine andere Sichtweise hat das assoziative Abh ngigkeitskonzept das nicht auf dem Bottom Up Ansatz basiert sondern auf dem Top Down Ansatz Dies bedeutet dass nicht ein Kausal modell erstellt wird welches auf einer individualisierten System bzw Funktionsanalyse ba siert sondern dass allgemein anerkannte Kriterien als kompiliertes Erfahrungswissen direkt auf die Institution angewandt werden Es wird im Rahmen der SiSSA und des Grundschutzes durch assoziative Abh ngigkeitskonzepte auf Schwachstellen geschlossen Die Dom nenbasis f r assoziative Abh ngigkeitskonzepte bilden die Kriterienwerke In der Abbildung 52 ist die Grundlage f r den assoziativen Zusammenhang dargestellt F r Gefahren existieren jeweils eine oder mehrere Ma nahmen Wenn keine oder ungen gende relevante Ma nahmen vorhanden sind enthalten die betroffenen sicherheitsrelevanten Berei che Schwachstellen sofern die Ma nahmen relevant sind Andererseits k nnen sicherheitsre levante Elemente Schwachstellen in Form von negativen Eigenschaften bzw Fehlern besit zen welche auch durch Ma nahmen geschlossen werden k nnen In beiden F llen erm glicht 398 Erweitert in Anlehnung an Stelzer 1993 S 38 116 Expertisemodell erst eine ge ffnete Schwachstelle das Durchschlagen einer Gefahr und somit das Entstehen einer negativen Konsequenz Kriterien K
221. e Detaillierungstiefe beim kausalen Ansatz h her als beim assoziativen 802 Vgl Konrad 1998 S 200 403 Gef hrdendes Ereignis Gefahr trifft auf sicherheitsrelevantes Element 119 Expertisemodell Zus tzliche assoziative und kausale semantische Regeln Zus tzliche Abh ngigkeiten zwischen der Schwachstelle und Konsequenz werden durch wei tere semantische Regeln beschrieben Dadurch dass eine Schwachstelle eine Konsequenz indirekt erm glicht erfordert eine Konsequenz eine Schwachstelle Durch den assoziativen Bestandteil der Regel wird gedeutet dass eventuell eine Konsequenz entsteht wenn eine offene Schwachstelle existiert Hingegen werden Konsequenzen kausal durch Schwachstellen indirekt gegebenenfalls erm glicht verursacht erfordert deutet assoziative semantische Regeln fehlende Ma nahme S h Beobach Konse ES tung oueng technischer Fehler kausale semantische Regeln ee verursacht Abbildung 55 Sekund re assoziative und kausale semantische Regeln e Die assoziative Sicht geht von der Konsequenz aus die auf eine m gliche assoziative Schwachstelle hindeutet Konsequenz erfordert assoziative Schwachstelle Dieses Abh ngigkeitswissen beinhaltet nicht einen eindeutigen assoziativen Charakter wie fehlende Ma nahme deutet auf Schwachstelle da Konsequenzen ihren Ursprung in der kausalen Darstellung besitzen Deshalb wird diese Abh ngigkeitsform als Erg nzung und nicht als E
222. e Schwachstellen weiter berpr ft die in beiden Hypothesengenerierungen ermittelt worden sind 157 Expertisemodell Merkmals am reaktive Top Down erkennung verd chtiger Hypothesen Zustand generierung Konsequenz erfordert m Schwachstelle Zustands 7 Beobachtungs eigenschaften auswahl 2 7 N E 4 Ss Assoziation 2 erfassen und erwarteter EE 865 b 2 Zustand Normalzust nde Verdachts u Schwachstellen erfasster Differenz N Zustand Vergleich D EE gleiche Konsequenz Vergleich gt H _ 9 Schwachstellen gef hrdendes EEE WE Verdachts Konsequenz b _Uberdeckung 2 Schwachstellen Schwachstelle Bewertungs ach gef hrdendes bewerten und und erm glicht b s d und Rankingkriterien reaktive Bottom Up Gau Ereignis Ranking Risikokriterien Hypothesengenerierung Zar Verdachts reaktive Bottom Up pr ventive Top Down Ursachen Hypothesen berpr fung Verdachts Hypothesen Schwachstellen berpr fung des u Y berpr fungs Konsequenz eg auswahl 4 eigenschaften 7 berpr fungs Ma nahmen b auswahl eigenschaften Schwachstelle EE erm glic
223. e Verletzung dieser Organisationspflicht kann zur Schadenser satzpflicht f hren 93 Abs 2 AktG Dieses berwachungssystem beinhaltet die angemessene Gestaltung sicherer IS Systeme als wesentlichen Teil einer Risikostrategie Vgl Risknews 2000 S 3 und Vo bein 2001 5 75 4 Vgl EG Datenschutzvorschlag 1999 5 Vgl Sienkiewicz 1994 S 20 29 und Haaz 1997 S 35 36 Vgl Schwerdtfeger 1999 5 8 100 Expertisemodell Kriterien werke Ma nahmen Anlage 9 Kriterien Umsetzung Vorgaben Abbildung 43 Interdependenzen zwischen Kriterien und Gesetzen Das BDSG fordert in der Anlage zu 9 Satz 157 die Umsetzung der Gesetze durch Ma nah Diese Ma nahmen k nnen z B durch Kriterien gew hrleistet werden Bei der Entwicklung von Informationssystemen sollten weitere datenschutzrechtliche Aspekte ber cksichtigt werden So werden in 3a BDSG 2001 die Datenvermeidung und Datenspar samkeit sowie der Gebrauch der 50 und Pseudonymisierung als Gestal tungsanforderung f r Informationssysteme beschrieben 3 2 Dom nenmodell der IS Sicherheitsstrategien 3 2 1 Ontologien Eng verbunden mit der konzeptuellen Analyse und Konstruktion der IS Sicherheitsdom ne sind die Ontologien um eine Verteilung und Wiederverwendung von Wissen zu erm gli chen Im werden Ontologien eingesetzt um den Aufbau von Dom nenmodellen zu erleichtern und diese Modelle
224. e durch die CSC Ploenzke AG ein BSI Tool IT Grundschutz kurz BSI Tool entwickelt das die Erstellung eines Grundschutzkonzepts unterst tzen 501 Dieses Tool wurde in Java implementiert und besitzt Interbase Server 5 0 als Datenbank Das Tool unterst tzt alle Phasen des IT Grundschutzhandbuchs von der Schutzbedarfsfeststellung bis zur Konzepterstellung Das Tool bietet die M glichkeit gleich zeitig mehrere Sicherheitskonzepte zu verwalten In der folgenden Tabelle ist zusammenfas send dargestellt wie die einzelnen Funktionen des IT Grundschutzhandbuchs durch das Tool unterst tzt werden 557 Die CC Toolbox kann unter der URL http niap nist gov tools cctool html Stand 10 10 2002 bezogen werden 568 Informationen zum BSI Tool wird unter der URL http www bsi gstool index htm Stand 10 10 2002 ver ffentlicht 226 Implementierung BSI Grundschutzhandbuch BSI Tool IT Grundschutz Erfassen der IT Systeme Eintragen der IT Systeme in einen Hierarchiebaum Erfassen der Anwendungen Zuordnung der Anwendungen zu IT Systemen Schutzbedarf der Anwendung Detaillierten Schutzbedarf der Anwendungen eintragen Schutzbedarf des Automatische Erzeugung des Schutzbedarfs f r das IT System nach IT Systems dem Maximumprinzip M glichkeit der manuellen Anderung Durch die farbige Kennzeichnung der IT Systeme mit hohem oder sehr Grundschutz der hohem Schutzbedarf bzw dem Einsatz eines entsprechenden Filters Risikoanalyse werden IT Systeme
225. eaktive und pr ventive Sichtweise auf dem Schwachstellen Kausalmodell abbilden Durch die pr ventive Sichtweise werden basierend auf fehlende Ma nahmen die Schwachstellen geschlossen um Konsequenzen zu verhindern Reaktiv wer den aufgetretene Konsequenzen durch deren Ursachen erkl rt Wirkungsvolle Ma nahmen werden Ursachen von Konsequenzen ermittelt ermitteln Pr ventiv Reaktiv N Top Down SE Strategie E 52525 o D assoziativ ZS KEE 5 9 orientiert Bottom Up Strategie sicherheits relevantes Element sicherheits relevantes Element kausal orientiert Konsequenz Konsequenz Abbildung 71 Reaktive und pr ventive Sichtweise des Schwachstellen Kausalmodells Die folgende Abbildung stellt zusammenh ngend die ben tigten Probleml sungskonzepte in Verbindung mit den IS Sicherheits Probleml sungsmethoden dar Diese spezifischen Prob leml sungsmethoden heuristische Klassifikation und modellbasierte Diagnose werden als starke Probleml sungsmethoden bezeichnet da sie im Gegensatz zu den schwachen Problem l sungsmethoden einfache Vorw rts und R ckw rtsverkettung auf Angaben des spezifi schen Abh ngigkeitswissens assoziative oder kausale Anh ngigkeitskonzepte basieren 142 Expertisemodell Bottom Up ypothesen berpr fung Merkmals ypothesen erkennung ge generierung
226. eb gen sind die Evaluation und die Ergebnisse transparent und zug nglich Die Bewertung der Evaluationsergebnisse wird qualitativ und quantitativ unterst tzt e Durch die offene Struktur und die einfache Erweiterung mit Hilfe von Individualkriterien k nnen auch IS Sicherheitsaspekte der einzelnen Unternehmen ber cksichtigt werden Die Grundstruktur der SISSA basiert auf Modulen die flexibel erweitert werden k nnen um unterschiedliche Kriterienwerke zu repr sentieren und eine Anpassung an die unternehmens individuellen Aspekte zu erm glichen Das Basismodul umfasst einen Querschnitt von ver schiedenen Ma nahmenbereichen die i d R in jeder Institution ben tigt werden Die Spezial bereiche bauen auf dem Basismodul auf und beinhalten Ma nahmen f r verschiedene Berei che Die Spezialbereiche k nnen einen Querschnittscharakter f r alle IS Sicherheitsaspekte aufweisen z B Datenschutz oder nur bestimmte Funktionen z B spezifische Identifikation und Authentifizierung analysieren spezifische Kriterien TER Spezialmodul Spezialmodul Spezialmodul Spezialmodul Datenschutz SAP Internet Unternehmen Basismodul Basis Kriterien Kriterien werke II Kriterien werke Kriterien werke system bezogen technisch nicht technisch Abbildung 34 Modularer Aufbau der 5155 Eine Kombinat
227. egie Ans tze unterscheiden e Bottom Up Ansatz Top Down Ansatz 2 3 1 Bottom Up Ansatz Die Bottom Up Ans tze zerlegen das Informationssystem in einzelne Bestandteile um die se auf ihre Sicherheitsaspekte z B Gefahren Konsequenzen oder Risiken zu untersuchen Die Granularit t der Zerlegung und Beschreibung ist u a von dem konkreten Analyseinstru ment dem kontext der komplexit t der methode und dem erwarteten Aufwand abh ngig Auf Basis der ermittelten und bewerteten Sicherheitsaspekte werden die erforderlichen Ma nahmen festgestellt Bei diesem Ansatz ist es notwendig dass Beziehungen zwischen den sicherheitsrelevanten Elementen sowie deren Abh ngigkeiten dargestellt werden damit das jeweilige Risiko bzw der Risikograd ermittelt werden gt Eine h ufig anzutreffende Auspr gungsform dieses atomistischen Ansatzes ist die Risikoanalyse die in unterschiedli chen Formen existiert und im Kapitel 2 3 1 1 beschrieben wird Gef hrdungsorientierter IS Sicherheitsbegriff Der Bottom Up Ansatz ist durch den gef hrdungsorientierten IS Sicherheitsbegriff gepr gt da hier die Sicherheit ber das Erkennen und Verhindern von Gef hrdungen Bedrohungen Risiken oder die Beeintr chtigungen des jeweiligen Informationssystems definiert wird Im Vordergrund dieser Begriffsabgrenzung stehen vor der Durchf hrung von Sicherungsma nahmen zuerst die Analyse und Darstellung der Risikofaktoren Voraussetzung f r den Bot
228. egriff IS Sicherheitsmanagementstrategien wird im Rahmen der Arbeit verk rzt IS Sicherheits strategien verwendet 21 Einf hrung IS Sicherheits Expertisemode Knowledge management Engineering wissensbasiertes Diagnosesystem Abbildung 1 Motivation der Arbeit Die Motivation der Arbeit liegt in der Zusammenf hrung der Bereiche IS Sicherheits management und Knowledge Engineering deren Ergebnisse in einem Expertisemodell m n den und dessen Operationalisierung durch ein WBS erfolgt IS Sicherheitsmanagement als Diagnoseaufgabe In der Arbeit wird die Entwicklung des wissensbasierten Diagnosesystems Diagnose WBS zur Unterst tzung des IS Sicherheitsmanagements durch das KE bestimmt Diagnoseproble stellen einen wichtigen Anwendungsbereich des dar Ein wesentliches Charakteristi kum der wissensbasierten Diagnose ist dass Merkmale L sungen und deren L sungswissen explizit dargestellt sowie L sungen aus einer Menge vorgegebener Alternativen ausgew hlt werden Problemmerkmale Probleml sungen Abbildung 2 Grundprinzip der Diagnostik Der L sungsprozess der wissensbasierten Diagnose beruht auf Problemen mit folgenden grundlegenden Eigenschaften e Der Problembereich besteht aus Problemmerkmalen Merkmale Wirkungen und Pro bleml sungen L sungen Ursachen die voneinander getrennt sind Zwischen beiden Be reichen bestehen mehrstufige Abh ngigkeiten was sich als L sungswissen
229. egt P SID ist die Wahrscheinlichkeit des Symptoms bei der jeweiligen Diagnose P S ist die Wahrscheinlich keit mit der das Symptom vorliegt P D ist die Grundrate Neben dem grunds tzlichen Prob lem der Ermittlung von Wahrscheinlichkeiten das schon bzgl der Risikobewertung disku tiert worden ist bergen die folgenden Voraussetzungen des Bayes schen Ansatzes vielf ltige Probleme f r den Einsatz in der Praxis e Diagnosen schlie en sich gegenseitig aus und sind vollst ndig anzugeben e Unabh ngigkeit der Merkmale 78 Vgl Engelmann 1990 S 187 und Gabriel 1992 S 44 ff 49 Vgl Spies 1993 S 39 und Bamberger 1999 S 33 480 Vol Frank 1988 S 62 481 Vgl Altenkr ger 1992 S 82 und Bamberger 1999 S 32 185 Entwurfsmodell e ausreichende Anzahl an F llen pro L sung e eine vollst ndige Darstellung aller Wahrscheinlichkeiten f hrt zu einer Kombinatorischen Explosion Konfidenzfaktoren Das regelbasierte System Mycin das in dem Bereich der Medizin eingesetzt wird verwendet Sicherheits oder Konfidenz bzw Gewissheitsfaktoren cf um die Gewissheit des Arztes zu ber cksichtigen Hierbei werden einerseits Wahrscheinlichkeiten angegeben mit wel cher Wahrscheinlichkeit die vorliegenden Symptome auf eine Krankheit hindeuten WENN Symptom S DANN Krankheit K anderseits wird angegeben wie hoch die subjektive Wahr scheinlichkeit ist dass die unterstellte Krankheit auch be
230. ehen wir Bundesamt f r Si cherheit in der Informationstechnik die Nutzung elektronischer Informations und Kommuni kationstechnik zur Einbeziehung des Kunden in das Handeln von Regierung und ffentlicher Verwaltung Als Kunden einer Beh rde sind B rger Unternehmen und andere Partner Beh rden anzusehen So verpflichtet sich die Initiative Bund Online 2005 Dienstleitungen der Bundesverwaltung online verf gbar zu machen Bei der Realisierung von E Government sind IS Sicherheitsaspekte von entscheidender Bedeutung f r den Erfolg von Online Dienstleistungen Hierbei sind Funktionen wie z B Identifikation Authentisierung Vgl Vo bein R 19945 S 64 9 Vgl Rannenberg 1998 26 gt Vgl Kersten 1997 S 323 Mackenbrock 2001 S 341 Vgl Haaz 1997 S 33 9 Vgl G rtz 1997 S 321 R hrig Knorr Noser 2000 S 499 und Diek 2002 S 159 38 Vgl Traumm ller Lenk Wimmer 2001 5 381 und E Government Handbuch Vortrag 2001 99 E Government Handbuch Glossar 2002 5 3 2 Vgl Dridi Pernul Sabol 2001 8 406 63 Informationssystemsicherheits Management oder Public Key Verfahren n tig um ein hohes Ma an Sicherheit zu bieten Das E Government Handbuch bietet auf Basis der BSI Grundschutzma nahmen verschiedene Vor schl ge zum sicheren Internetauftritt bzgl des E Governments Durch den Top Down Ansatz werden unternehmensunabh ngig Kriterien aus unterschied l
231. eichnet sind und somit als datenschutzfreundliche Produkte beworben werden k nnen IT Produkt unabh ngiger Sachverst ndiger pr ft Produkt 7 zertifiziertes IT Produkt Einsatz im Einsatz in Beh rden Privatkundenbereich ffentlichen Stellen Datenschutz als zertifizierte Produkte sollen Wettbewerbsvorteil bevorzugt eingesetzt werden Abbildung 33 Das G tesiegel Verfahren Das G tesiegel legt insbesondere auf Datenvermeidung Datensparsamkeit auf Datensicher heit Revisionsf higkeit der Datenverarbeitung und auf Gew hrleistung der Rechte der Betrof fenen Wert Hief r wird der Anforderungskatalog in vier Komplex Bereiche gruppiert 272 Vgl Datenschutzsiegel 2002 23 Vgl Ro nagel 2000 5 1 und B umler 2001 274 Datenschutz Brosch re 2002 S 5 25 Der ULD SH versteht unter den zertifizierbaren IT Produkten sowohl Hard und Software als auch automati sierte Verfahren Vgl Datenschutz Brosch re 2002 S 11 76 Vgl 84 Abs 2 LDSG SH 2000 27 Vgl Datenschutz Brosch re 2002 S 10 78 Informationssystemsicherheits Management e Grunds tzliche technische Ausgestaltung von IT Produkten wie z B Datensparsamkeit fr hzeitiges L schen Anonymisieren oder Pseudonymisieren von Daten sowie Transpa renz und Produktbeschreibung e Zuverl ssigkeit der Datenverarbeitung wie z B
232. eichnet werden kann Wird das Wissen wiederum zweckorientiert angewendet k nnen in Kombination aus Wissen und bekannten Informationen neue Informationen extrahiert werden wobei das Wis sen hier als Informationsgenerator dient Diese Informationen k nnen z B als Entscheidungs grundlage dienen die dann wiederum als Daten codiert werden k nnen WBS befinden sich in der Schnittstelle zwischen Wissen und Information denn einerseits sollen WBS Wissen re pr sentieren andererseits sollen sie aus repr sentiertem Wissen neue Informationen generie ren Ein weiteres Unterscheidungsmerkmal von Information und Wissen ist der h here Abstrakti ons und Komplexit tsgrad von Wissen So unterscheidet Turban Information und Wissen durch die beiden Dimensionen Abstraktion und Quantit t wobei Wissen den h chsten Abstraktionsgrad und die niedrigste Menge aufweist da hier eine gro e Verdichtung in Folge der Vernetzung von Informationen erfolgt Dies bedeutet dass kleine Mengen an Wissen zu einer sehr gro en Informationsmenge f hren k nnen F r die Darstellung von Informationen in einem Datenformat wird wiederum eine gr ere Menge an Daten ben tigt de Vgl Turban Aronson 1998 S 203 und Fink Schneidereit Vo 2001 S 69 7 Vgl Kremar 2000 S 11 18 Heinrich 2001 S 131 19 Schwarzer Kremar 1996 5 9 20 Fink Schneidereit Vo 2001 5 69 21 Heinrich 2001 S 131 22 Vgl Turban 1998 S 203 24 E
233. ein gef gt werden Zudem k nnten Referenzen auf weitere Quellen hinweisen um f r eine tiefergehende Analyse einen direkten Zugang zu den ad quaten Wissensquellen zu ver schaffen 260 Anhang A Anhang A Basis Inferenzen der IS Sicherheitsstrategien 261 Anhang A zu nb suoy 1 zu nb suoy PIIM s ss uq zu 1 q s seg uSpuUeIsNnZeW loN 94 7 1 5 1 oi USPUEISNZ nz SUSMSPUEISNZ H P USyey9sus lsspuejsnz 7 s seg yemsnes unjysegoag 2 zuenbasuoy 7 917 5 15 7 zuanbasuoy 1 puesnz Zuele 2 puejsnz 7 pun 1434
234. eine Aktion ausgef hrt In dieser Vorgehensweise werden auf Grund von erhobenen Beobachtungen Ma nahmen und Konsequenzen Konklusionen Schwachstellen abgeleitet wenn die Vor bedingungen erf llt sind Pr missen k nnen als Vorbedingungen aufgefasst werden und mit Konjunktionen Und Verbindungen oder Disjunktionen Oder Verbindungen erweitert wer den Regeln k nnen zudem ber Konklusion miteinander verkn pft werden und bilden somit eine Ableitungskette bzw ein inferentielles Netz Top Down Ansatz Reaktiv Pr ventiv WENN automatisch WENN automatisch Antwortwert DANN beantwortet Antwortwert DANN beantwortet Antwortbaustein Antwortbaustein Konsequenz Schwach Ma nahme Schwach S stelle p s stelle Ersetzungs a KSE Tegein EE Ersetzungsregsl A Generierungsregeln Generierungsregeln L sungen L sungen Merkmale EE von von Fragen nach Konse Fragen nach fehlenden TEE Schwachstellen Mabrahmen Schwachstellen q Fragen Fragen Abbildung 109 Reaktive und pr ventive Top Down Regeln Die Differenzierung zwischen reaktiver und pr ventiver Top Down IS Sicherheitsstrategie erfolgt in der Aktivierung bzw Deaktivierung der zu erhebenden Merkmale Bei der reaktiven Sichtweise werden beobachtete Konsequenzen Konsequenz Frage erhoben wohingegen bei 6 Reimer 1991 S 55 497 Altenkr ger 1992 S 7 8 Vol Reimer 1991 S 55 und Altenkr ger 1992 5
235. eiterung Es ei Probleml sung expertise Darstellung der klassischer Erhebungs gt Statusbericht Beobachtungen Fragenkatalog komponente m Abbildung 90 Grundstruktur eines wissensbasierten Fragenkatalogs Die wissensbasierte Regelerweiterung der Fragenkataloge erm glicht zus tzlich die Repr sentation von Abh ngigkeitskonzepten basierend auf unterschiedlichen Fragenkatalog Regeln wodurch die Probleml sungen explizit beschrieben und angewendet werden k nnen Hierdurch kann das WBS selbstst ndig auf Basis der Erhebung eine spezifische Probleml sung durchf hren und ein IS Sicherheitskonzept erstellen wobei die Ergebnisse des Statusbe richtes in die L sungsexpertise einflie en Hierbei ist aber zu beachten dass diese L sungs expertise zwar eine deutlich h here L sungsqualit t als ein konventioneller Statusbericht hat aber trotzdem durch einen Fachexperten berarbeitet werden muss Eine vollst ndige Ersetzung des Fachexperten durch ein WBS ist noch nicht m glich In der folgenden Abbildung ist das Grundprinzip eines wissensbasierten Fragenkatalogs mit Hilfe der UML Notation dargestellt en Fragename Erhebe die Antwortm glichkeit Stelle die Antwortm glichkeiten dar Aktiviere den zugeh rigen Antwortbaustein Kapitelname Aktiviere Fragen Unterkapitel Folgefrage Antwortbausteine Erstelle den Antworttext
236. elle erm glicht 2 egeln Wissens zuverl ssiges kausales modellorientiertes grundlage IS Sicherheitswissen Tabelle 14 bersicht der semantischen Regeln Statistisches und fallbasiertes Diagnosewissen Die statistischen Bewertungsans tze finden im Rahmen der Risikobewertung Anwendung wobei hier Bewertungsprobleme bzgl der Eingangsgr en Eintrittswahrscheinlichkeit und Schadensh he bestehen Sollen komplexere statistische Ans tze z B Bayes Ansatz oder Dempster Shafer Ansatz benutzt werden bestehen Vorbedingen wie z B die Unabh ngig keit der Merkmale die im Rahmen des IS Sicherheitsmanagements meist nicht erf llt werden k nnen Auf Grund der meist unzureichenden Voraussetzungen kann das statistische Diagno sewissen nur als Bewertungserg nzung dienen wenn ausreichend zuverl ssige Falldaten vor handen sind Die fallbasierte Probleml sung beruht auf historischen Vorf llen Da Fallwissen nicht auf wenige statistische Werte abstrahiert wird beh lt das Wissen eine konkrete Fall Eigenschaft Hierbei werden Beobachtungen mit historischen F llen direkt verglichen um bei einer gewissen berschneidung die schon gewonnenen Ergebnisse des alten Falls zu ver wenden Auch k nnen durch eine Szenarioanalyse Fallbeispiele vorausschauend konstruiert werden die dann mit Hilfe von historischen Vorf llen verglichen werden Durch eine Szenario Analyse k nnen mit Unterst tzung von Fallbeispielen kausale Zusam
237. ellschaft Baden Baden 2000 S 108 116 Hoepner 1994 Hoepner G Computereinsatz bei Befragung Wiesbaden 1994 Hoppe 1992 Hoppe U Methoden des Knowledge Engineering Wiesbaden 1992 Horster Kraaibeek 2000 Horster P Kraaibeek P Grundlegende Aspekte der Systemsicherheit in Systemsi cherheit In Horster P Hrsg Systemsicherheit DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 2000 S 1 18 Humphreys 2002 Humphreys T Newly Revised Part 2 of 5 7799 2002 Ver ffentlicht im Internet URL http www gammassl co uk bs7799 The 20Newly 20Revised 20Part 202 200f 20BS 207799ver3a pdf Stand 15 01 2003 ISACA 1998 Information Systems Audit and Control Association CoP COBIT Marion IT Grundschutzhandbuch vier Methoden im Vergleich Z rich 1998 Ver ffentlicht im Internet URL http www isaca ch download igcop igcop_broschuere pdf Stand 15 01 2003 180 13335 1 1996 International Organization for Standardization International Electrotechnical Commis sion ISO IEC TR 13335 1 1996 Information technology Guidelines for the manage ment of IT Security Part 1 Concepts and models for IT Security Genf 1996 180 13335 2 1997 International Organization for Standardization International Electrotechnical Commis sion ISO IEC TR 13335 2 1997 Information technology Guidelines for the manage ment of IT Security Part 2 Managing
238. em bestimmten Kontext Devisenkurs erlangt die Zahl eine konkrete Bedeu tung Semantik F r das Unternehmen und ebenfalls f r die Konkurrenz entstehen aus den Daten Informationen wenn ein Verwendungsnutzen zu erkennen ist die Sicherheit der In formation erlangt an Bedeutung Eine Information kann somit in einem unterschiedlichen Kontext individuell eine andere Sicherheitsbedeutung erlangen Die Sicherheit von Informationen ist verbunden mit der Verwendungswirkung f r den Benut zer Wenn einerseits f r eine Person die Information bekannt ist jedoch diese keine Verwen dung findet dann ist die Information f r diese Person nutzlos Anderseits kann sie zum Wis senszuwachs z B Lernen oder als Entscheidungsgrundlage verwendet werden Dieses kontextorientierte Nutzenniveau von Information hat als Bewertungsma stab f r das Si Vgl Kremar 2000 S 11 41 Informationssystemsicherheits Management cherheitsniveau der Information eine entscheidende Bedeutung Auf Basis dieser Sicht r ckt das Sicherheitsbed rfnis f r Informationen durch den Grad des Verwendungszwecks bzw durch den Wirkungsgrad des Benutzers in den Vordergrund So sind Informationen f r einen Dieb nutzlose Daten solange er nicht deren Bedeutung bzw Wert erkennt und somit keine Verwendung f r die Daten hat Oder verliert ein Unternehmen Daten f r die es keine Ver wendung gibt oder deren Bedeutung unbekannt ist wird dieser Ver
239. emental Knowledge Engineering Management Support Systeme National Aeronautics and Space Administration National Bureau of Standard National Institute of Standards and Technology nicht n her bestimmt ohne Jahr ohne Jahrgang ohne Ortsangabe ohne Verfasser Personal Computer Protection Profile Redundant Array of Inexpensive Disks Risk Analysis and Management eXpert system Rapid Secure Development Rich Text Format Seite Secure Hash Standard Signaturgesetz Sichere Nutzung von Online Diensten Sicherheits Schwachstellenanalyse Structured Query Language Security Target Teledienstedatenschutzgesetz Teledienstgesetz Telekommunikations Datenschutzverordnung Telekommunikation Telekommunikationsgesetz xviii Abk rzungsverzeichnis TK V TKV TRAW T V u a ULD SH UML URL USA USV UZ Vgl WBS WWW XML XPS z B z T zfbf zit Entwurf eines Telekommunikations berwachungsverordnung Telekommunikations Kundenschutzverordung Knowledge Based Threat and Risk Analysis of Workflow Bases Applications Technischer berwachungsverein unter anderem Unabh ngige Landeszentrum f r Datenschutz Schleswig Holstein Unified Modeling Language Uniform Resource Locators Unites States of America Unterbrechungsfreie Stromversorgung Unternehmensziele Vergleiche Wissensbasiertes System World Wide Web Extensible Markup Language Expertensystem zum Beispiel zum Teil Schmalenbachs Zeitschrift f r betriebswirt
240. en Annahmen ber die Wissensstruktur und den Wissenstyp der Dom ne spezi fizieren Die Wissens Rollen repr sentieren einen festen Wissenstyp die in den Methoden unterschiedliche Rollen spielen F r die verschiedenen Teilaufgaben der Probleml sungsmethoden liegen vorgefertigte Modellvarianten vor aus denen bei der Spezifikation der aktuellen Probleml sungsmethode ausgew hlt werden kann Durch Zusammenstellung dieser 6 Teilaufgaben werden im weiteren Verlauf der Arbeit auch als Basis Inferenzen bezeichnet 71 Vgl Puppe 1996 S 78 7 Vgl Puppe 1998 S 639 33 Einf hrung Einzelprozeduren entsteht die konfigurierte L sung des Gesamtverfahrens Hierdurch ist es m glich konfigurierbare Werkzeuge zu erstellen denn durch diesen Ansatz kann eine konfi gurierte Probleml sungsmethode durch Kopplung von unterschiedlichen Methoden Modell varianten und Wissens Rollen abgebildet werden Die Probleml sungsmethode wird zusam mengesetzt indem eine passende Methode ausgew hlt und konfiguriert wird der Wissens Rollen zugeordnet sind Diese Wissens Rollen k nnen die Dom nenkonzepte aufnehmen bzw Dom nenwissen in Probleml sungsmethoden berf hren 1 3 2 Expertisemodellorientierte Ans tze Zentraler Bestandteil des heutigen KE ist das Expertisemodell das Wissen explizit auf der h heren Wissensebene beschreibt W hrend bei den Transferans tzen die Wissensakquisition implizit durch den Transfer
241. en folgende Grundstruktur WENN Vorbedingungen DANN Nachbedingungen Gleichung 1 Prinzip einer Regel Die Auspr gung der Vorbedingungen und Nachbedingungen ist abh ngig ob assoziative und kausale Regeln in einer Wissensbasis gespeichert sind Zudem haben die unterschiedlichen Probleml sungsmethoden Auswirkung auf die unterschiedliche Aktivierung der Vor oder Nachbedingungen einer Regel Die Wissensbasis besteht aus Fragenkatalogen und zugeh rigen Regeln die eine Umsetzung der Basis und Probleml sungskonzepte darstellen Die Basiskonzepte werden m glichst un abh ngig von den Probleml sungskonzepten und somit von dem sp teren Probleml sungs prozess formalisiert Die F llung der assoziativen Wissensbasis erfolgt durch standardisier te Ma nahmen Kriterien wohingegen die kausale Wissensbasis auf m glichst individualisier ten Ursachen Wirkungs Zusammenh ngen beruht 178 Entwurfsmodell Kontrollsystem Pr ventiv Reaktiv Top Down Bottom Up Interpretations komponente Ursachen Wirkungen kausale Regeln Merkmale assoziative L sungen Regeln Faktenbasis Regelbasis Kapitel apite Verkn pfungs regeln Ersetzungs Wissens regeln basis A Generierungs regeln assoziative kausale Abh ngigkeit
242. en mehreren unabh ngigen Institu tionen wobei eine geschlossene Nutzergruppe besteht denn an der Kommunikation k n nen nur Institutionen teilnehmen die eine vorher definierte Form der Gesch ftsvorg nge und Sicherheitsregeln akzeptieren e Bei der PB Klasse existiert keine geschlossene Nutzergruppe mehr da die Kommunikati on in einer offenen Umgebung erfolgt Diese Umgebung ist z B ein internetbasierter Marktplatz f r den Handel verschiedener G ter oder die Bereitstellung internetbasierter Dienstleistungen Abh ngig von der Sicherheitsklasse werden unterschiedliche Voraussetzungen bzgl der IS Sicherheit an den Evaluationsgegenstand gestellt Die Kriterien f r die aufbauenden Sicher heitsklassen werden in folgende Bereiche strukturiert 57 Es gibt ber 335 ECMS Standards und 85 technische Reports URL http www ecma ch Stand 03 02 2003 2585 Vol E COFC 1999 S 3 29 Vgl E COFC 1999 S 6 75 Informationssystemsicherheits Management Allgemeine kommerzielle Sicherheitsaspekte der jeweiligen Sicherheitsklassen e Gegen berstellung von Gefahren und m glichen Gegenma nahmen hnlich wie bei dem BSI Grundschutz der jeweiligen Sicherheitsklasse e Funktional orientierte IS Sicherheitsaspekte der jeweiligen Sicherheitsklasse die eine Erweiterung des funktional orientierten IS Sicherheitsstandards COFC bzw ECMA 205 darstellen Task Force Sicheres Internet des 5175 Die Aufgabe der Task Force ist die E
243. endenzen zwischen Informationssystemen und deren Sicherheit Die Abh ngigkeiten zwischen Unter nehmenszielen und Informationssystemen k nnen aus zwei Sichten betrachtet 72 e Einerseits bilden die Unternehmensziele die Vorgaben oder den Rahmen f r die Informa tionssysteme Davon werden die Sicherheitsziele abgeleitet und konkretisiert Die In formationssysteme werden in diesem Fall an den Unternehmenszielen ausgerichtet align So bildet z B das Unternehmensziel Einstieg in den E Commerce Vorgaben f r die Entwicklung und f r den Betrieb von neuen Informationssystemen Andererseits kann die Durchsetzung der Unternehmensziele erst durch den Einsatz von Informationssystemen m glich sein Hierbei bilden die Informationssysteme die Voraus setzung f r die Erreichung von Unternehmenszielen enable Dabei erlangt die Sicherheit von Informationssystemen einen entscheidenden Einfluss Erst bei Erf llung der Sicher heitsziele f r Informationssysteme ist eine Durchsetzung der Unternehmensziele gew hr leistet Hierbei wird die Abh ngigkeit der Unternehmensziele von den Informationssyste men und deren Sicherheit deutlich 130 Vgl Brandao 1996 S 9 BI Vgl Licht 1996 S 22 und Grundschutzhandbuch 2000 Kapitel 1 1 132 Vgl Kremar 2000 S 203 Vgl Berger H ntschel 1996 S 39 50 Informationssystemsicherheits Management IS Sicherheitsziele bilden Voraussetzung f r Entwicklung un
244. enen zus tzlich IT Bausteine zugeord net sind Im zweiten Schritt werden computergest tzte Frageb gen angewandt um realisierte Ma nahmen mit den erforderlichen Ma nahmen der jeweiligen IT Bausteine zu vergleichen TOSCANA bietet zudem eine skalierbare Visualisierung der Grundschutz Konzepte und de ren Abh ngigkeiten Die Differenz zwischen realisierten und erforderlichen Ma nahmen bil det die Basis f r den Ergebnisbericht Bei der CC Toolbox werden auf Basis von ermittelten IS Sicherheitszielen Anforderungen festgestellt Hierbei werden die IS Sicherheitsziele durch Erhebung der Einsatzumgebung definiert Das BSI Tool und die CC Toolbox haben gemeinsam dass sie nur ihr Kriterien werk repr sentieren bzw Aspekte anderer Kriterienwerke oder des Datenschutzes k nnen nur sehr bedingt hinzugef gt werden So ist die M glichkeit zur Erweiterung und Anpassung der Wissensbasis mit anderen Kriterienwerken sehr eingeschr nkt Die Datenschutz Werkzeuge sind nicht in die Abbildung 130 eindeutig einzuordnen da sie haupts chlich Retrieval Funktionen f r Gesetze sowie Ger te und Dateispezifikationen un terst tzen Des Weiteren sind sie f r den Problembereich Datenschutz ausgelegt was eine umfassendere Anwendung nur bedingt erm glicht berf hrungsaufwand aufgrund der IS Sicherheitsstrategie Bei dem Entwicklungsaufwand einer Wissensbasis sind nicht nur die Erstellungskosten des dom nenspezifischen IS Sicherheitswissens zu be
245. enerierungsregeln Bereiche Vorbedingungs Bereiche Nachbedingungs Bereich 1 hierarchie T Bereich 1 hierarchie Frage CD lt Frage ragem Bereich 2 2 m Frage Frage Antwoftbaustein Antybrtbaustein Antwortbaustein Frage Frage N 5 Frage Generierungsregel WENN Vorbedingung DANN Nachbedingung Abbildung 99 berblick der Auspr gungsformen von Produktionsregeln f r wissensbasierte Fragenkataloge 4 2 3 1 Verkn pfungsregeln Die Verkn pfungsregeln haben die Aufgabe den Zustand der verkn pften Fragen durch das System automatisch zu ver ndern So kann auf Grund einer bestimmten Beantwortung z B eine Frage aktiviert oder deaktiviert werden Die aktive Ver nderung der Abfragerichtung erfolgt auf Grund eines bestimmten Antwortwertes welcher veranlasst dass Fragen ber sprungen werden Die Verkn pfungsregeln k nnen insbesondere f r die gezielte Erhebung und Hypothesen berpr fung zus tzlich ben tigte Fragen aktivieren und nicht ben tigte Fra gen deaktivieren 180 Entwurfsmodell Frage 2 5 mit Frage 1 verkn pft Frage 2 Frage 3 Frage 4 Frage 5 Frage 1 ar Frage 2 4 werden bersprungen Frage 1 Frage 2 3 4 Frage 5 Q Q
246. ennung f r die Top Down und Bottom Up Probleml sung erfolgt in hnli cher Form So wird bei der Merkmalserkennung keine Unterscheidung zwischen Top Down und Bottom Up durchgef hrt sondern nur zwischen pr ventiver und reaktiver Merkmalser kennung F r die pr ventive Bottom Up Probleml sung wird keine Merkmalserkennung be n tigt da Ursachen als Merkmals Annahmen in eine Simulations Probleml sung eingehen F r die weitere Hypothesengenerierung und berpr fung ist eine differenziertere Unterschei dung zwischen Top Down und Bottom Up Probleml sung erforderlich Durch die Top Down Probleml sung werden berwiegend assoziative Schwachstellen aufge deckt die auf fehlenden Ma nahmen basieren Die Unterscheidung zwischen reaktiver und pr ventiver Sicht erfolgt im Wesentlichen durch die unterschiedliche berf hrung der IS Sicherheits Konzepte auf die Wissens Rollen Die Basis Inferenzen der Probleml sungen Hypothesengenerierung Merkmal deutet auf L sung und ebenso die Hypothesen berpr fung berpr fung der L sung durch weitere Merkmale bleiben bei reaktiver und pr ventiver Sicht gleich Das Konzept Schwachstelle bildet die Verbindung zwischen der reaktiven und pr ventiven Sicht In der Bottom Up Probleml sung wird die unterschiedliche Probleml sungsrichtung durch die reaktive und pr ventive Sicht bestimmt In der reaktiven Sicht werden ausgehend von Konsequenzen deren Ursachen berdeckend ermittelt Zur berpr f
247. ensatz zu dem assoziativen Ansatz basiert das modellbasierte Ursachen Wirkungs Diagnosewissen auf der Annahme dass eine Ursache zuverl ssig zu bestimmten Wirkungen f hrt Die Abbildung 54 zeigt ein kausales Modell das die kausalen Abh ngigkeiten zwischen einem gef hrdenden Ereignis Gefahr trifft auf sicherheitsrelevantes Element und der daraus resultierenden Konsequenz beschreibt gef hrdendes Ereignis sicherheits relevantes Element Konse quenz Gefahr Abbildung 54 Kausales Modell des gef hrdenden Ereignisses Der Detaillierungs und Komplexit tsgrad der kausalen Modelle kann stark variieren wobei insbesondere die R ckkopplungseffekte die Komplexit t erh hen Bezeichnend f r kausale semantische Regeln ist dass bestimmte Ursachen beobachtbare Wirkungen verursachen bzw bewirken Angewandt auf den abbildungsorientierten Bottom Up Ansatz l sst sich fol gende prim re kausale semantische Regel darstellen 403 gef hrdendes Ereignis Ursache verursacht Konsequenz Wirkung Das gef hrdende Ereignis stellt die Ursache dar die Konsequenz bildet die beobachtbare Wir kung ab Dieser Ansatz beschreibt die Kausalit t des spezifischen Informationssystems m glichst reali t tskonform Deshalb werden als Beschreibungsgrundlage haupts chlich greifbare sicher heitsrelevante Elemente verwendet was insbesondere auf der technisch physischen und logi schen Ebene m glich ist Insgesamt ist di
248. ent des IS Sicherheitsmanagements deren Ziele und Ergebnisse in einem IS Sicherheitskonzept dokumentiert werden Die IS Sicherheitsstrategie dient zur Umsetzung der IS Sicherheitspolitik und bildet die Grundlage f r die Verwirklichung der IS Sicherheit im Unternehmen In der Operationalisierungsphase erfolgt das Umsetzen des IS Sicherheitskonzeptes in konkrete Ma nahmen und deren Durch f hrung Das IS Sicherheitsmanagement wird im Laufe der Zeit einer permanenten Kontrolle unterzo gen da die Systemlandschaft einer st ndigen Ver nderung unterworfen ist So kann das IS Sicherheitsmanagement nicht als starres System angesehen werden sondern es wird den aktuellen Gegebenheiten st ndig angepasst Aus diesem Grund ist die Einbeziehung einer kontinuierlichen Kontrolle bzw einer IS Sicherheitsrevision in der Ablauforganisation ein entscheidender Faktor f r ein erfolgreiches IS Sicherheitsmanagement 120 Vgl M nch 1999 5 355 47 Informationssystemsicherheits Management 2 2 IS Sicherheitspolitik Die IS Sicherheitspolitik schafft die Grundlage f r die IS Sicherheit im Unternehmen und somit auch f r das IS Sicherheitskonzept Ohne IS Sicherheitspolitik ist die Konzepterstel lung ziellos und des Weiteren existiert kein Kontrollma f r den Durchf hrungsgrad des IS Sicherheitskonzeptes Die Sicherheitspolitik ermittelt u a auf der Grundlage der Sicherheits ziele das ben tigte Sicherheitsniveau das eine Ei
249. entation Abbildung 119 Informations und entscheidungsorientierte Systeme Entscheidungsmodelle Simulation XPS dienen auch der Entscheidungsvorbereitung und Informationsdarstellung f r das IS Sicherheitsmanagement und k nnen im betriebswirtschaftlichen Bereich somit als ein Ma nagement Support System MSS bezeichnet werden Diese zentrale Aufgabe der Entschei dungsunterst tzung eines XPS wird durch die empirische Studie von Mar tin Subramanian Yaverbaum 1996 belegt Auf die Frage welcher Nutzen von XPS f r das 2 2 Unternehmen zu erwarten ist ergaben sich die folgenden zusammengefassten Ergebnisse 3 e schnellere Entscheidungsunterst tzung e Verbesserung der Produktivit t e Verbesserung der Entscheidungsqualit t Ein XPS kann ebenfalls eine zus tzliche informationsorientierte Unterst tzung anbieten die vor allem eine verbesserte und gezielte Informationssuche und analyse als Ziel bar Eine Differenzierung zwischen XPS und klassischen MSS erfolgt in der Probleml sung und Wissensrepr sentation auf Basis von wissensbasierten Techniken aus der wobei hier die Anwendung von Heuristiken eine entscheidende Rolle innehat Klassische EUS verwenden zur Probleml sung vorwiegend quantitative Methoden aus dem Bereich der klassischen Da tenanalyse z B Operations Research Statistik und Tabellenkalkulation Im Unterschied zu EUS besitzen die XPS zus tzlich eine flexible und leis
250. enwerten Die Fragenwerte einer Ebene k nnen gewichtet zu einem Kapitelwert zusammengefasst wer den Die Kapitelwerte der unteren Ebenen werden rekursiv zu einem Kapitelwert Wurzel wert vereint wobei auch die Kapitelwerte jeweils gewichtet werden Da die Fragen und Ka pitelwerte zwischen 0 und 100 gewichtet sind k nnen Grenzen eingef hrt werden um Aussagen ber die Werte zu t tigen Im Folgenden werden zwei Grenzen eingef gt um in Anlehnung von Ampelfarben die Werte zu beurteilen 177 Entwurfsmodell 0 rot gelb gr n 100 Grenze 1 Grenze 2 Abbildung 97 Fragen und Kapitelgrenzen So besitzen Fragen und Kapitelwerte die sich im roten Bereich befinden eine besondere Aufmerksamkeit da hier z B eine Ma nahme fehlt Gelb k nnte bedeuten dass zwar Ma nahmen existieren diese aber eventuell durch weitere Ma nahmen zu erg nzen sind Fragen und Kapitel im gr nen Bereich beinhalten die erforderlichen Ma nahmen 4 2 3 Regelbasierte Erweiterung des Fragenkatalogs Der Statusbericht stellt zwar eine wesentliche Grundlage f r den IS Sicherheitsexperten dar wird aber durch regelbasierte Probleml sungskomponenten erweitert Regeln werden in vie len Formen als Repr sentationsform verwendet weil sie eine vertraute Wissensdarstellung repr sentieren Die Aufteilung des Wissens in viele kleine eigenst ndige Wissensst cke macht die Wissensbasis modular aber auch un bersichtlich Die Regeln hab
251. er 3 Edition 2000 71 Z B ITSEC ISO 9000 und Common Criteria Vgl ISACA 1998 S 16 72 Informationssystemsicherheits Management biT berwiegend in der Revision von Kontrollzielen bzw Sollvorgaben der IS Sicherheit ein gesetzt wohingegen eine detaillierte Beschreibung von Sicherheitsma nahmen nicht unter st tzt wird G tesiegel Produktaudit Schleswig Holstein Das Ziel den Datenschutz als Wettbewerbsvorteil zu etablieren wird durch das G tesiegel umgesetzt Das Unabh ngige Landeszentrum f r Datenschutz Schleswig Holstein bescheinigt mit seinem Datenschutz G tesiegel dem IT Produkt dass es mit den Vorschriften ber den Datenschutz und die Datensicherheit vereinbar ist Nach LDSG SH 2000 sol len Beh rden des Landes IT Produkte gt einsetzen die ein G tesiegel besitzen Nur in Ausnahmef llen d rfen nicht zertifizierte IT Produkte in Beh rden eingesetzt werden Eng damit ist das Datenschutz Beh rdenaudit verbunden wodurch das Datenschutzkonzept von Beh rden in einem f rmlichen Verfahren berpr ft und bewertet wird Voraussetzung f r die Erteilung eines erfolgreichen Auditzeichens f r die zu berpr fende Beh rde ist der be vorzugte Einsatz von Produkten welche ein G tesiegel besitzen Das G tesiegel hat eine po sitive Wirkung auf die Vermarktung in der Privatwirtschaft indem die zertifizierten IT Produkte durch das G tesiegel als datenschutzgerechte Produkte gekennz
252. er Hypothesen berpr fung schlie t sich die Diagnose Iteration Insgesamt ist die Hypo thesengenerierung und berpr fung stark miteinander verkn pft Eine eindeutige Trennung dieser Basis Inferenzen ist h ufig nicht m glich 3 3 3 Abduktives und deduktives Schlie en Im Rahmen der Diagnose wird f r die Beschreibung der Hypothesengenerierung und berpr fung das abduktive und deduktive Schlie en verwendet Peirce hat 1932 folgende Schlussfolgerungen klas 7 e Deduktion Bei deduktiven Schlie en werden aus allgemeinen Sachverhalten spezielle Aussagen abgeleitet Mit den deduktiven Schlussfolgerungen ist die Vorstellung verbunden dass es sich stets um wahre bzw korrekte Schlussfolgerungen handelt und vom Allgemeinen auf das Spezielle schlie t e Induktion Aus wiederholter Beobachtung von Einzelgegebenheiten k nnen Regeln bzw allgemeine Gesetzm igkeiten abgeleitet werden Dieses induktive Schlie en erfolgt z B beim tomatischen Lernen ist aber nicht Bestandteil der Arbeit e Abduktion Bei der Abduktion erfolgt ein Zur ckschlie en von Beobachtungen auf Merkmale Bei der Induktion und Abduktion ist im Unterschied zu der Deduktion das abgeleitete Wissen nicht notwendigerweise wahr oder korrekt bzw unterliegt keiner logisch zwingenden Schlussfolgerung So k nnen die beobachteten Wirkungen auf vielen Ursachen basieren Hierdurch besteht bei der Abduktion meist noch eine gewisse Unsicherheit
253. er Interviewer w hrend der Befragung zu den einzelnen Fragen Hilfestellung in Form eines Glossars Die Abbildung zeigt eine Frage im Erfassungstool und die wesentlichen Funktionen Systemfunk tionen wie Anmeldung Beendigung oder Drucken werden nicht weiter erl utert Bemerkungen zu der Glossar Hilfe Frage als jeweiligen Frage zur der Ignoriert manuelle hinzuf gen jeweiligen Frage bezeichnen Ablaufsteuerung A CIE 2 3 2 Ma nahmen zur Vertraulichkeit 25 Bestehen Richtlinien ber einen sicheren intern und au er Haus Transport von IT Datentr gem auch digitalen Nein Nur teilweise Vokst ndig Intern Auer Haus Abbildung 147 Beispiel einer Frage im Erfassungstool Der Grundverlauf des Interviews wird durch die Kapitel und Fragenstruktur und durch die Interpretation der Regel bestimmt Das Erfassungstool ist somit eng mit der Ablaufsteuerung die die automatische Auswahl von Fragen steuert verbunden Es sind auch manuelle bzw benutzerbedingte Spr nge innerhalb des Fragenkatalogs m glich wenn zus tzliche Informa tionen bei der Befragung auftauchen die eine Richtungs nderung erzwingen Der Benutzer hat auch die M glichkeit manuell Fragen zu ignorieren Diese Fragen flie en nicht in die Auswertung ein wodurch der Interviewer die Probleml sung direkt beeinflussen kann 250 Implementierung 5 3 2 Wissensnutzungskomponente Die Wissensnutz
254. er Kombinati on der Gefahren mit dem sicherheitsrelevanten Element erfolgt die Beschreibung des gef hr denden Ereignisses sicherheitsrelevante Gefahren Elemente sicherheits relevantes Element gef hrdendes Ereignis Abbildung 46 Gef hrdendes Ereignis 385 Vgl Vo bein R Vo bein J 2002a S 14 386 Reimer 1991 S 22 387 Erweitert in Anlehnung an Konrad 1998 S 188 109 Expertisemodell Gef hrdende Ereignisse bilden die Basis f r eine kausale Beschreibung mit deren Hilfe die Ursache in Form eines gef hrdenden Ereignisses und deren Wirkung als Konsequenz darge stellt wird Konsequenzen Die negativen Auswirkungen eines gef hrdenden Ereignisses werden als Konsequenzen be zeichnet Gefahren k nnen mehrere Konsequenzen z B Ausfall eines IT Systems verursa chen wobei der Verlust der Verf gbarkeit zuerst bemerkt wird Als ein besonderes Problem stellt sich das rechtzeitige Erkennen von Konsequenzen heraus deren Auswirkungen nicht sofort bemerkt werden wie z B der Verlust an Integrit t oder Vertraulichkeit So werden die se Konsequenzen meist zu sp t oder gar nicht erkannt Eine Konsequenz kann sich zu einer Gefahr f r andere sicherheitsrelevante Elemente entwi ckeln So besitzt ein Verlust der Verf gbarkeit einer Festplatte direkte Konsequenzen f r die Verf gbarkeit des Systems Diese R ckkopplung kann ber mehrere Ebenen erfolgen und gewinnt dadurch eine h
255. er be stimmten Antwort Fragen ausgelassen und diese bei der Auswertung ignoriert werden Durch den Aufbau von Verkn pfungsregeln k nnen viele einfache Abh ngigkeiten repr sentiert werden f r komplexe Abh ngigkeiten ist diese Form von Regeln nicht geeignet Kapitel Fragen fKapitelliste 1 Einholung einer Einwilligung L t Grundlage 2 Bekanntheit Ger zur Einh lung einer 1 1 Einwilligung 3 Pr fung Notwendigkeit zur Eiholung ei Et 4 Schriftform bei der Einwilligungserkl rung Auswahl amp 1 1 2 elektronische Einwilligung 5 Hinweis ber Verwendungszweck d r Date fi Pai 2 Datengeheimnis 6 Hinweis auf m gliche Ubertragung Eimpf r rage 3 Kontrollorgane des Datenschutzes 7 Folgen der Einwilligungsverweigerung O1 4 Stellenbeschreibungen 8 M gliche zum der Einwilligun 51 5 Algemeines 9 Keine Verarbeitung Widerruf F Rechtsgrundlagen der Datermerarbeitue 10 Besonderer Hinweis bei mehreren Einwil Technische und organisatorische Ma r Sonderformen der Datenwerarbeitung 1 1 1 schriftliche Einwilligung 5 der betroffenen Person 66 Schulung der Mitarbeiter D Sondervorschriten 1 Wird berhaupt daterschutzrochtliche Einw lligungsecki rung der betsoffenen Porson Mitarbeiter oic festlegen berspringen Beantwortung he Einwilligung Neue
256. eren sich die Definitionen der Basissicherheitsziele an dem BSI Grundschutzhandbuch e Vertraulichkeit soll sicherstellen da der Zugriff auf bestimmte Daten und Informatio nen nur berechtigten Benutzern erm glicht wird Integrit t bezeichnet die Korrektheit Manipulationsfreiheit und Unversehrtheit von Daten und Informationen e Verf gbarkeit charakterisiert ein IT System dessen Daten und Informationen Prozesse und IT Anwendungen zur rechten Zeit bereitstehen 7 Die Abh ngigkeit von Informationssystemen scheint prim r durch die Verf gbarkeit der Funktionalit t determiniert zu sein Dieser Eindruck wird durch die sehr schnellen Auswir kungen des Verlustes der Verf gbarkeit ausgel st Auf den zweiten Blick wird die Abh ngig 134 Erweitert in Anlehnung an Kremar 2000 S 203 135 Vgl Hentze Brose Kammel 1992 S 67 186 Vgl Baer 1995 5 55 Kruth 1995 S 54 Licht 1996 5 22 Vo bein R 1997 S 10 Schaurette 1999 5 223 Peltier 1999 S 197 Hammer 1999 8 187 Kubicek 2001 S 13 und Macz kowsky Rost K hntopp 2001 S 58 137 BSI Grundschutzhandbuch 2000 Kapitel 2 2 S 5 51 Informationssystemsicherheits Management keit der anderen Sicherheitsziele deutlich Der Verlust der Verf gbarkeit und Integrit t zieht eventuell einen Verlust der Vertraulichkeit nach sich Dieser Zusammenhang wird in folgen der Abbildung dargestellt Verf gbarkeit Integrit t Vertraulichkeit
257. erenzierung erm glichen 3 2 3 Probleml sungskonzepte der IS Sicherheitsstrategien Die Probleml sungskonzepte bilden in der Arbeit tendenziell die semantische Dimension von Ontologien auf einer nat rlich sprachlichen Ebene ab Nat rlich sprachliche Abh ngiskeits konzepte legen die Grundstruktur von Inferenz Regeln fest indem sie mittels nat rlich sprachlicher Ausdr cke das implizite semantische L sungswissen bzw Bedeutungswissen explizieren Diese Abh ngigkeitskonzepte hneln den Inferenz Regeln der formalen Logik hinsichtlich ihrer F higkeit implizites Wissen zu explizieren Die Abh ngigkeitskonzepte werten aber zus tzlich Wissen ber den Inhalt bzw Bedeutung der nat rlich sprachlichen Ausdr cke aus F r die Darstellung der Abh ngigkeitskonzepte ist eine differenzierte Sicht auf die IS Sicherheits Dom ne und die Probleml sungsprozesse der IS Sicherheitsstrategien notwendig da diese Abh ngigkeitskonzepte die Schnittstelle zwischen der spezifischen Prob leml sungsmethode des IS Sicherheitsmanagements und dem Dom nemodell bilden 91 Vgl Sch fer 1995 S 205 392 Vo Sch fer 1995 S 229 393 Vo BSI Grundschutzhandbuch 2000 Kapitel 2 3 394 Vgl Krallmann 1989 8 52 395 Vgl Krallmann 1989 S 85 ff 112 Expertisemodell Failure Mode und Effects SA Sicherheits Schwach Analysis FMEA IS Sicherheits stellenanalyse SISSA Ereignisablaufanalyse und management
258. erheitsfragen h ufig Expertisesysteme angewandt Die folgende Abbildung erstellt eine bersicht der grunds tzlichen Operationalisierungs m glichkeiten abh ngig von den IS Sicherheitsstrategien 4 56 Zelewski Sch tte Siedentopf 2001 S 194 457 Die Begriffe wissensbasierte Fragenkatalog Systeme und Expertisesystem werden im Rahmen der Arbeit synonym verwendet 58 Mertens 2001 S 197 49 Checklisten bestehen im Rahmen der Arbeit berwiegend aus einfachen Ja Nein Fragen 60 Vgl Puppe Stoyan Studer 2000 S 630 461 Vgl Heinrich 2002 S 528 62 Schon 1989 beschreibt Mertens 1989 viele Anwendungsbeispiele f r Expertisesysteme 463 Vgl Haase et al 1995 S 57 464 Mertens Borkowski Geis 1993 S 287 164 Entwurfsmodell anpassungsorientierte Umsetzung anwendungsorientierte Umsetzung als Basis f r den als Basis f r den Bottom Up Ansatz Top Down Ansatz Klassen wissens hierarchien basierte Fragen unternehmens unabh ngiges 101 IS Sicherheits wissen Sollkriterien werden durch Fragenkataloge direkt ange wendet objektorientierte Modellierungs grundlage f r das Systemmodell ei 5 E z 3 5 lt Informations system beantwortete objektorientiertes
259. erten und maschinem igen Charakter Die Datensicherung aus Sicht der Informatik beinhaltet alle Ma nahmen und Einrichtungen die die Datensicherheit herbeif hren oder erhalten wie regelm ige Sicherung der Daten Backup auf einem externen Datentr ger Die Datensicherheit beschreibt den Zustand in welchem Ma e Daten gesichert sind Die Sicherheit der Datenverarbeitung bzw die Daten sicherheit hat als Ziel den Verlust oder die Verf lschung von Daten durch technisch orientier te IT Systeme zu verhindern Die Datensicherheit beinhaltet zwei Ebenen die in enger Ab h ngigkeit zueinander stehen Es handelt sich um Systembestandteile der physischen Ebene z B RAID Systeme oder Streamer sowie um Anwendungsdaten und Programme der logi schen Ebene z B Backup Programme und deren Archivdaten 9 Vgl Fleischhauer Rouette 1989 5 9 10 Vgl Locarek Junge 1995 S 89 101 Vgl Ehmann 1993 5 72 43 Informationssystemsicherheits Management Informationssicherung Die Informationsverarbeitung Verarbeitung Speichern Erfassen und bertragen von Infor mationen ber cksichtigt aufgabenspezifische Verwendungszusammenh nge Dies bedeu tet dass aus Daten verarbeitung Informations verarbeitung entsteht sobald ein Bezug zu einem Handlungskontext erfolgt So werden funktionale Ma nahmen eingesetzt um einen kontext bzw personenbezogenen Zugang zu der Informationsverarbeitung herzustellen wie z B Zugangsma nahme
260. ertisemodell weitgehend unabh n gig von einer sp teren Operationalisierung beschrieben Hierf r wurden zuerst die wesentli chen Erhebungsmethoden dargestellt und Wissensquellen identifiziert wobei insbesondere das implizite Expertenwissen die expliziten IS Sicherheitskriterien und das Vorschriftenwis sen f r die Arbeit von Bedeutung sind Das Expertisemodell besteht aus der Aufgaben Infe renz und Dom nenebene in der die Dom nenebene die IS Sicherheitskonzepte des IS Sicherheitsmanagements darstellt Es wird zwischen Basiskonzepten wie z B Schwachstel len Gefahren oder Konsequenzen sowie kausalen und assoziativen Abh ngigkeits bzw Probleml sungskonzepten unterschieden Die Basiskonzepte werden weitgehend unabh ngig von einer Probleml sungsmethode beschrieben wohingegen die Probleml sungskonzepte der Dom nenebene eng mit der Aufgaben und Inferenzebene verkn pft sind denn der Top Down Ansatz verwendet heuristische Probleml sungsmethoden auf Basis von assoziativen und hierarchischen Probleml sungskonzepten e der Bottom Up Ansatz verwendet modellbasierte Probleml sungsmethoden auf Basis von kausalen Probleml sungskonzepten Die Probleml sungsmethode wird durch die Aufgabenebene und Inferenzebene des Experti semodells beschrieben Die Aufgabenebene des Expertisemodells stellt das Ziel sowie die generischen L sungsschritte der diagnostischen Probleml sung dar Auf einer Inferenzebene werden die konkreten Probleml
261. erverwendung der beiden Bereiche besteht Dem Extrem der Unabh ngigkeit stehen die Strong Knowledge Interaction Hypothesis orientierten Ans tze entgegen Diese Ans tze sind anwendungsorientiert usability da im Wesentlichen nur die passende Probleml sungsmethode des IS Sicherheitsmanagements ausgew hlt wird und die Wissensrepr sentation des Dom nenmodells bzw der IS Sicherheitskonzepte vordefiniert istf Diese Ans tze besagen dass die Repr sentation einer Dom ne durch die Probleml sungsmethode determiniert wird bzw der Akquisiti onsprozess des Dom nenwissens durch die Probleml sungsmethode bestimmt 25 Die Probleml sungsmethoden welche durch eine Wissensart z B sicheres heuristisches oder modellbasiertes Wissen spezialisiert bzw bestimmt werden werden als starke Prob leml sungsmethoden bezeichnet 5 Vgl 1999 S 40 26 Vgl Studer Benjamins Fensel 1998 S 170 27 Angele Fensel Studer 1998 S 173 28 Vgl Bylander Chandrasekaran 1988 S 67 und Reynaud Tort 1997 S 340 29 Vgl Puppe 1996 S 6 135 Expertisemodell Es w re aber von Interesse ein anwendungsorientiertes Dom nenmodell zu besitzen welches auf unterschiedliche Probleml sungsmethoden multifunktional angewandt werden kann Mit Hilfe von multifunktionalen Probleml sungsmethoden wird im Folgenden ein Kom promiss zwischen einem anwendungs und wiederverwendungsorientierten Ansatz entwickelt
262. es and Ontologies In IEEE Intelligent Systems Vol 16 1 2001 pp 26 34 Stelzer 1993 Stelzer D Sicherheitsstrategien in der Informationsverarbeitung Ein wissensbasier tes objektorientiertes System f r die Risikoanalyse Wiesbaden 1993 Stelzer 1995 Stelzer D Konzepte auf der Basis von Risikoanalysen In Vo bein R Hrsg Hand buch 3 Organisation sicherer Informationsverarbeitungssysteme M nchen Wien 1995 5 115 128 Stickel Groffmann Rau 1998 Stickel E Groffmann H D Rau K H Hrsg Gabler Wirtschaftsinformatik Lexikon Wiesbaden 1998 Stier 1996 Stier W Empirische Forschungsmethoden Berlin u a 1996 Strube et al 2000 Strube G Habel C Konieczny L Hemforth B Kognition In G rz G Rollinger C R Schneeberger J Hrsg Handbuch der K nstlichen Intelligenz 3 Aufl M n chen Wien 2000 S 19 72 Struss 2000 Struss P Modellbasierte Systeme und qualitative Modellierung In G rz G Rollinger C R Schneeberger J Hrsg Handbuch der K nstlichen Intelligenz 3 Aufl M nchen Wien 2000 5 431 490 296 Studer et al 2000 Studer R Decker S Fensel D Staab S Situation and Perspective of Knowledge En gineering In Cuena J Demazeau Y Garcia A Treur J Eds Knowledge Engineer ing and Agent Technologies 105 Series on Frontiers in Artificial Intelligence and Ap plication Vol 52 Amsterdam 2000 nnb Ver ffentlicht im Internet URL http w
263. es erforderlich dass die Infrastruktur fassbar ist was aber wegen des Durchdrin gungs Integrations und Komplexit tsgrades der Informationsverarbeitung in seiner G nze 82 Vgl Weck 1995 S 20 Vgl Murray 1999 S 219 54 Vgl Vo bein R 1997 S 14 gt Vgl Scanlon 1999 S 272 Lepschies 2000 S 2 4 und Brenner Lux 2000 86 Vgl Malley 2001 S 363 87 Vgl Rannenberg 1998 S 19 88 Pernul R hm Herrmann 1999 2 9 Rannenberg 1998 S 24 Engl Multilateral Security TT Vgl Pfitzmann 2001 S 165 62 Informationssystemsicherheits Management nicht m glich ist So wurden in den letzten Jahren allgemein akzeptierte IS Sicherheitskriterienwerke entwickelt um durch standardisierte Ma nahmen ein einheitliches IS Sicherheitsniveau von Produkten und Institutionen zu gew hrleisten Zudem erfordert die mehrseitige Sicherheit eine nach au en dokumentierte IS Sicherheit um sicherzustellen dass die angebotene IS Sicherheit den Sicherheitsanspr chen der Akteure gen gt Es sind folgende Anforderungen an Kriterien und Zertifizierung zu stellen e Ein umfassender Bereich der IS Sicherheit muss durch die Kriterien abgedeckt werden e Bei der Zertifizierung m ssen die Interessen aller beteiligten Partner ber cksichtigt wer den e Die Pr fergebnisse m ssen zug nglich und verst ndlich sein Zudem ist eine unabh ngige Evaluation und Zertifizierung auf Basis von Kriter
264. esentlichen Schritte zur Schaffung von IS Sicherheit beschreibt aber auch den Rahmen f r die IS Sicherheitsziele und die IS Sicherheitsstrategien vorgibt Die wesentlichen Aspekte der IS Sicherheitsstrategien werden durch ein deskriptives Modell des integrierten IS Sicherheitsmanagements aufgezeigt Die Beschreibung der IS Sicherheitsstrategie bildet die Grundlage f r die Probleml sungsmethoden des Expertisemo dells und dessen Operationalisierung Die IS Sicherheitsstrategien wurden in dieser Arbeit in Top Down und Bottom Up Ans tze eingeteilt die unterschiedliche Eigenschaften und Anforderungen besitzen Der Top Down Ansatz beruht auf der direkten Anwendung von unternehmensunabh ngigen IS Sicherheitskriterien auf einem Informationssystem wohingegen der Bottom Up Ansatz das unternehmensindividuelle Informationssystem durch ein Systemmodell abbildet um dann darauf kausale Ursachen Wirkungsmodelle anzuwenden Die beiden IS Sicherheitsstrategien wurden durch eine verhinderungsorientiert pr ventive und erkl rungsorientiert reaktive 255 Schlussbetrachtung Sichtweise f r die IS Sicherheit erweitert Die pr ventive Sichtweise erm glicht fehlende Ma nahmen im Vorfeld zu ermitteln Die reaktive Sichtweise erlaubt ad quat auf schon ein getretene gef hrdende Ereignisse zu reagieren Im dritten Kapitel sind die IS Sicherheitsstrategien durch diagnostische Probleml sungen und die daf r ben tigten IS Sicherheitskonzepte in einem Exp
265. estellt wodurch eine Probleml sungsmethoden Bibliothek entsteht Hierbei wird eine m glichst hohe Unabh ngigkeit der Probleml sungsmethode von einer konkreten Dom ne gefordert Ein Beispiel f r den Task Structure Ansatz bietet die Strukturierung der Diagnose in Teilaufgaben und Methoden nach Benjamins 1993 Symptom detection Hypothesis generation Hypothesis discrimination gt _Seleat Hypothesis gt Associate d Random Select Compare symptom detection gt nn a DI Generate expectation Classify symptom detection gt S Model based gt Colect data gt lt detection gt Find contributors Probe Symptom detection gt Abbildung 8 Grundkonzept f r eine strukturierte Darstellung der Probleml sungsmethoden der Diagnose nach dem Task Structure Ansatz Vgl Puppe et al 1996 8 1 67 Vgl Chandrasekaran Johnson Smith 1992 S 128 68 Vgl Fensel 2000 23 9 Verk rzte Zusammenfassung der Abbildung Benjamins 1995 5 97 98 und S 101 Vgl auch Fensel 2000 S 34 32 Einf hrung Die Teilaufgaben bzw Basis Inferenzen e Merkmalserkennung e Hypothesengenerierung e Hypothesen berpr fung werden im Rahmen des IS Sicherheitsexpertisemodells erl utert Configurable Role L
266. ete Ganzheit von zueinander in Beziehung stehenden Elementen Sti ckel Groffmann Rau 1998 S 696 92 Vgl Stickel Groffmann Rau 1998 5 336 Vgl Pohl 1995 5 105 Adam 1995 S 31 Skoudis 1999 S 453 Hare 1999b S 577 R hm 2000 S 18 BDSG 2001 Hepp 2001 S 148 und Eckert 2001 S 3 A Vgl Kersten 1995 S 12 und Horster Kraaibeek 2000 S 4 Vgl Abbildung 13 Abgrenzung von Information Daten und Zeichen 42 Informationssystemsicherheits Management Datensich mm nformationssicht Informationssysteme Management Informationsverarbeitung aspekte funktionsorientiert Datenverarbeitung IT System technikorientiert Sicherheit der Informations Informations Datensicherheit verarbeitung system durch durch Datensicherung Umfeld sicherung Datenschutz personenbezogenen Daten 08 rechtliche und gesellschaftliche Aspekte gesellschaftliche Sicht Abbildung 14 bersicht und Abgrenzung der relevanten Sicherheitsbegriffe im Kontext von Informationssystemen Datensicherheit und Datensicherung Die Erfordernisse einer formalen Datenverarbeitung haben zu einer syntaktisch orientierten Auffassung von Daten gef hrt Somit ist die Datenverarbeitung ein weitgehend mechani scher Verarbeitungsprozess von Daten nach dem EVA Prinzip Dieser formale Prozess ist losgel st von der Bedeutung des Dargestellten und hat einen vorwiegend automatisi
267. eugen H herer Aufwand mit Nutzung eines ei Referenzmodells als ohne Referenzmodell A Schlechtere Handhabbarkeit aufgrund hoher Komplexit t Zu wenig Mitarbeiter verf gen ber i Modellierungskenntnisse 2 Qualit t der ProzeBauswahlmatrizen bzw ch der abgebildeten Szenarien 1 Hoher Aufwand f r die Anpassung der Anwendungssysteme an nderungen im Modell 0 Legende Wie gravierend ist dieses Problem grunds tzlich Wie gut ist dieses Problem gel st Abbildung 89 Probleme bei der berf hrung von Referenzmodellen in unternehmensspezifi sche Informationsmodelle Insbesondere die langwierige Anpassung des Referenzmodells in unternehmensspezifische Systemmodelle stellt einen wesentlichen Aufwand bei der Erstellung und Wartung des IS Sicherheitswissens dar In Verbindung mit der berf hrung tauchen zus tzliche Problembe reiche auf die z T aus der Risikoanalyse bekannt sind F r die Spezialisierung m ssen die sicherheitsrelevanten Aspekte insbesondere die Ele mente identifiziert und fassbar sein Dies ist aber nur in beschr nktem Ma e bei bestimmten Bereichen wie Teilbereiche der Infrastruktur m glich 73 Vgl Sch tte 1998 S 79 169 Entwurfsmodell Solange standardisierte Elemente wie Standard DC Betriebssysteme oder Standardsoft ware vorhanden sind ist eine direkte Vererbung und Instanziierung m glich Sollen in dividualisierte Elemente beschrieben
268. ey can not be replaced by ontological concepts because they are of another epistemological 7 77 Konzepte des IS Sicherheitsmanagements im Expertisemodell Die IS Sicherheits Konzepte im Expertisemodell besitzen als Extension eine Menge von Rea lit tsausschnitten Objekte welche hnliche Eigenschaften haben Die Intension von IS Sicherheits Konzepten besteht in der nat rlichen und semiformalen Beschreibung von IS Sicherheitsaspekten auf einer epistemologischen Ebene Dieser Aspekt findet sich auch in Konzeptklassen des objektorientierten Ansatzes wieder Hierbei sind f r die Arbeit folgende Unterschiede zu beachten e Konzepte beinhalten keine Methoden Funktionen oder Operationen e Konzepte werden unabh ngig von der Symbolebene auf der Wissensebene explizit be schrieben Dies bedeutet dass Konzepte eine abstraktere epistemologische Sichtweise be sitzen als formale Klassen und Objekte e Konzepte k nnen semiformaler z B Hypertext oder sogar in nat rlich sprachlicher Form beschrieben werden Aber auch objektzentrierte Darstellungen wie semantische der inferentielle Netze sind m glich Umso formaler die Darstellung ist desto leichter l sst sie sich sp ter auf der Symbolebene repr sentieren Insgesamt werden durch das Expertisemodell die wesentlichen erkenntnistheoretischen Kon zepte explizit formuliert Die Konstruktion der Konzepte durch die typischen Wissensrepr sentationsformalismen wie z
269. f r die Entwicklung wissensbasierter Systeme Reihe Wirtschaftsinformatik Band 11 Seibt D Derigs W Mellis W Hrsg Bergisch Gladbach K ln 1994 Baer 1995 Baer R Informatik Sicherheit Konzept und Vorgehen In Pohl H Weck G Hrsg Handbuch 2 Managementaufgaben im Bereich der Informationssicherheit M n chen Wien 1995 S 25 101 Balzert 2001 Balzert H Lehrbuch der Software Technik Software Entwicklung 2 Aufl Heidel berg Berlin 2001 Bamberger 1999 Bamberger S Verteiltes Probleml sen mit wissensbasierten Diagnosesystemen Sankt Augustin 1999 272 Bartsch Sp rl Lenz H bner 1999 Bartsch Sp rl B Lenz M H bner A Case Based Reasoning Survey and Future Directions In Puppe F Eds XPS 99 Knowledge Based Systems 5th Biannual German Conference on Knowledge Based Systems W rzburg Germany March 3 5 1999 Proceedings Berlin u a 1999 pp 67 89 B umler 2001 B umler H Datenschutz als Wettbewerbsvorteil Er ffnungsrede anl lich der Sommerakademie 2001 Kiel 2001 Ver ffentlicht im Internet URL http www datenschutzzentrum de somak somak0 1 sakO 1bau htm Inhalt Stand 10 10 2002 B umler 2002 B umler H Der Konkurrenz einen Schritt voraus In B umler H Mutius A von Hrsg Datenschutz als Wettbewerbsvorteil DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 2002 S 1 11 BDSG 1997 Bundesdaten
270. f r eine Menge von Objekten M f r eine Menge von Attributen und I stellt die Relationen dar Diese Beschreibungsform wurde auf das BSI Grundschutzhandbuch bertragen indem durch G eine Menge von Gefahren eines sicherheitsrelevanten Objektes und durch M eine Menge von zu 570 Vgl Becker et al 2000 gt 7 Vgl Stumme 1999 S 275 572 Vgl dazu auch Reimer 1991 S 17 228 Implementierung geh rigen Ma nahmen abgebildet wird F r eine Visualisierung der Relationen dient eine skalierbare Gitterdarstellung des Konzeptes die eine Navigation der Datenbasis erlaubt Dies wird erreicht indem jeder Knoten des Gitters wiederum eine weitere Gitterstellung beinhalten kann womit eine skalierbare Kombination von Konzepten m glich ist So kann f r eine Ma nahme die einen Knoten darstellt eine verfeinerte Darstellung angeboten werden N v o fe J 56 Ma nahme 1 l N Ee Ma nahme 2 gt Gefahr 1 CH 7 Gefahr 2 Gefahr 1 x Gefahr m Ma nahme Gefahr 2 x x Verfeinerung Gefahr m x x Prinzip des BSI Grundschutzhandbuchs Visualisierung durch TOSCANA Abbildung 129 Visualisierung des BSI Grundschutzhandbuchs durch TOSCANA In dem Tool wird zwischen einem unternehmensunabh ngigen Gefahren und Ma nahmenka talog einerseits und einer unternehmensabh ngigen Strukturanalyse anderseits unterschieden Auf Basis de
271. f das unternehmensspezifische Informations system angewendet Eine Anpassung erfolgt durch Auswahl der ben tigten sicherheitsrele vanten Bereiche Diese Anpassung ist aber nicht so umfangreich wie bei einem unterneh mensspezifischen Systemmodell Die direkte Wissenseingabe und direkte Nutzung bzw An wendung der Wissensrepr sentation wird im Weiteren durch wissensbasierte Fragenkataloge erreicht 4 2 Wissensbasierte Fragenkataloge Grunds tzlich gilt zugespitzt f r einen Fragenkatalog nicht der Interviewer der Fra gebogen mu schlau sein gt Insbesondere f r die Erfassung von Beobachtungen und f r eine strukturierte Ergebnisausgabe in Form eines Statusberichtes sind computergest tzte Frageb gen geeignet Die wissensbasierten Fragenkataloge der Arbeit stellen eine wissensbasierte Erweiterung von computergest tzten Fragenkatalogen dar denn bei konventionellen Fragen katalogen bzw Checklisten ist das L sungswissen noch implizit in Fragen und Antworten enthalten Der Ergebnis Statusbericht eines computergest tzten Fragenkatalogs stellt zwar eine gute Arbeitsgrundlage dar aber die eigentliche Probleml sung erfolgt immer noch durch den Fachexperten 78 Die Begriffe Fragenkatalog und Fragebogen werden synonym verwendet 45 Schmidtchen 1962 S 9 zit nach Hoepner 1994 S 6 170 Entwurfsmodell Wissensbasierter Fragenkatalog wissensbasierte i anea L sungs regelbasierte ven Erw
272. f die Pflege und War tung der Wissensbasis Das wissensbasierte Diagnosesystem des IS Sicherheitswissens ben tigt eine st ndige Aktualisierung und Wartung des IS Sicherheitswissens Dies ist nur durch die Verbindung des Fachexperten und Knowledge Engineers in einer Person wirtschaftlich zu rechtfertigen denn f r ein Unternehmen ist es vorteilhaft wenn ein Fachexperte nach gerin ger Einarbeitungszeit die Wissensbasis selbstst ndig pflegen kann ohne sich die F higkeiten eines Knowledge Engineers anzueignen Erfolg versprechend ist deshalb die Entwicklung von wissensbasierten Shells welche auf der direkten Wissenseingabe basieren Somit wird prim r die Wissensrepr sentation und Prob leml sung durch die Operationalisierung des Expertisemodells bestimmt und nicht durch die formale Repr sentationsform einer KI Sprache Infolgedessen ist es m glich problemspezifi sche Werkzeuge bzw Shells zu erstellen welche auf spezifischen z B heuristischen oder modellbasierten Probleml sungsmethoden gt Die interne Struktur der Wissensbasis wird in eine Fachexperten Sprache abstrahiert was einem Experten nach kurzer Einarbei tungszeit erlaubt spezifische Expertensysteme selbstst ndig zu konstruieren Nachteil dieser Shells ist die Problemspezifizierung wodurch der Einsatzbereich einge schr nkt ist Hieraufhin wurden Shells mit konfigurierbaren Probleml sungsmethoden entwi ckelt welche eine h here Flexibili
273. fassend dargestellt Wissenserwerbssysteme Erhebungs berf hrungs Wissenserwerbs 6 komponente komponente komponente fall dom nen spezifisches spezifisches Wissen Wissen Probleml sungs komponente Wissensnutzungs systeme Erkl rungs komponente Zwischen und Endergebnisse Wissensbasis Abbildung 120 Architektur eines wissensbasierten Systems Erst durch die reibungslose Zusammenarbeit der einzelnen Komponenten kann ein effizientes System entstehen Es ist von Relevanz nicht jede Komponente isoliert zu betrachten sondern auch die Beziehungen zwischen den einzelnen Komponenten zu ber cksichtigen In einem realen System k nnen die logisch getrennten Komponenten zu einem Programm zusammen gefasst werden 528 Erweitert in Anlehnung an Puppe 1991 S 13 und Beierle Kern Isberner 2000 S 18 215 Implementierung Wissensbasis Die Wissensbasis besitzt fall und dom nenorientiertes Wissen das auf Basis der Herkunft differenziert werden kann e Dom nenspezifisches Wissen z B IS Sicherheitswissen wird mit Hilfe der Wissenser werbskomponente akquiriert Es repr sentiert das Wissen ber ein jeweiliges Aufgaben gebiet z B IS Sicherheit das auf ein konkretes Problem angewandt wird Das fallspezifische Wissen ist dom nenspezifisches Wissen das an institutionsindividuel le Aspekte angepasst bzw berf hrt worden ist Das angepasste Wissen wird mit fallsp
274. gehen dass der Bereich ein gewisses IS Sicherheitsniveau besitzt Hierdurch sind Kriterienwerke direkt auf das Informationssystem anzuwenden und unterst tzen somit die Top Down Strategie denn die Bereiche sind so weit wie m glich unternehmens und plattformunabh ngig Den Bereichen k nnen auch andere Konzepte wie z B Gefahren zugeordnet werden Sicherheitsrelevante Elemente Sicherheitsrelevante Elemente der Informationsverarbeitung sind alle Elemente die durch Gefahren f r die Informationsverarbeitung unmittelbar oder mittelbar beeintr chtigt werden k nnen 378 Sicherheitsrelevante Elemente versuchen somit das reale unternehmensspezifi sche Informationssystem so pr zise wie m glich in einem Informationssystemmodell abzu 375 Vgl Stelzer 1993 S 28 376 Vgl Krallmann 1989 S 93 und Rupietta 1996 S 57 37 Vgl Hartmann Karger 2001 S 379 378 Stelzer 1993 S 32 106 Expertisemodell bilden Dabei wird angenommen dass die konkreten sicherheitsrelevanten Elemente zu er mitteln bzw greifbar sind Dies ist wenn berhaupt f r IT Systeme auf physischer und logischer Ebene m glich wobei auch hier nur eine Approximation stattfindet Sicherheitsrelevante Elemente unterst tzen somit den Bottom Up orientierten Ansatz da eine Abbildung der Informationsverarbeitung in Form eines spezifischen Informationssystemmo dells des Unternehmens erfolgt Dadurch wird ein m glichst realistisches M
275. geln beschrieben und kann somit bei schlecht strukturierten Problemen eingesetzt werden Das praktische Wissen ist f r das Unternehmen ebenfalls f r den Experten selbst ein sehr wertvolles Gut das im Berufsleben z T unbewusst erworben wird und meist implizit im Kopf des Experten vorhanden ist Dieses Experten wissen macht einen Berater zu einem Berater da f r einen Klienten gerade dieses Exper tenwissen von Nutzen ist Die meisten wissensbasierten Systeme die auf Expertenwissen ausgelegt sind repr sentieren explizit das praktische Wissen um es f r eine konkrete Prob leml sung verf gbar zu gt Es kann zus tzlich eine Differenzierung zwischen Wissen von Fortgeschrittenen und Experten erfolgen Fortgeschrittene besitzen zwar ein fundiertes erlerntes Fachwissen jedoch fehlt es an praktischer Erfahrung Bei Absolventen eines Studienganges ist theoretisches Fachwis sen vorhanden das sie aber noch nicht angewandt haben Der Experte der z T ber mehrere Jahrzehnte praktisches Probleml sungswissen entwickelt hat verf gt vielleicht nicht ber das umfangreiche aktuelle Fachwissen kann aber durch seine Intuition praktische Probleme besser l sen als der Allgemeinwissen Die Repr sentation und Anwendung des Allgemeinwissens bzw Weltwissens stellt eine be sondere Problematik f r das WBS dar Das Allgemeinwissen hat keinen permanenten Bezug zu einem speziellen
276. gen bzw Gefahren Im Rahmen der Verwundbarkeitsanalyse werden Schwachstellen und Bedrohungen ermittelt und dem Systemmodell zugeordnet Im Rahmen der Risikoerken nung werden nicht nur die Gefahrenquellen f r die sicherheitsrelevanten Elemente identifi ziert sondern auch die Konsequenzen ermittelt und beschrieben Wenn eine Gefahr vorhan den ist und sicherheitsrelevante Elemente Schwachstellen besitzen ist von einem Risiko aus zugehen Der Risikograd wird in der folgenden Risikobewertung ermittelt 19 Vgl Jung Han Suh 1999 5 62 160 Oppliger 1997 S 24 161 Vgl Stelzer 1993 S 183 162 Aufgrund der Begriffsverwirrung von Schwachstellenanalyse als eigenst ndiges Analyseinstrument und der Schwachstellenanalyse im engeren Sinne als Teil der Risikoerkennung wird der Begriff Verwundbarkeitsanaly se verwendet 57 Informationssystemsicherheits Management Risikobewertung Die Risikobewertung hat zur Aufgabe das Ausma eines Risikos zu bestimmen Risikograd und in Relation zu anderen Risiken oder einem Risikoma stab zu setzen Kardinale Bewer tungsverfahren wie die Annualized Loss Expectancy ALE beruhen auf formalen Berech nungsvorschriften die als Variablen die Eintrittwahrscheinlichkeit und die erwartete Scha densh he einer Gefahr besitzen Hierbei besteht die Problematik dass f r dieses statistische Wissen eine umfangreiche Falldatenmenge ben tigt wird um eine Objektivit t der Ergebnisse zu gew
277. genstandes z B eines Informationssystems Es wird deutlich dass ein m glichst detailliertes Systemmodell erforderlich ist um die kausalen Ab h ngigkeiten zu modellieren 170 FQS 1994 S 19 ff und M ller Tietjen 2000 S 24 ff 1I Vgl Theil 1995 5 45 49 172 Engl Fault Tree Analysis 73 Engl Event Tree Analysis ETA 60 Informationssystemsicherheits Management 2 3 2 Top Down Ansatz Die Motivation f r den Top Down Ansatz liegt in der fortlaufenden Durchdringung der In formationsverarbeitung und den ver nderten Anforderungen an die IS Sicherheit Anfang der 60er Jahre bis zu den 80er Jahren hatten nur IT Spezialisten Zugriff auf die computergest tzte Informationsversorgung Zudem wurde die computergest tzte Verarbeitung in zentral abge schlossenen Bereichen durchgef hrt so dass Sicherheitsinseln und isolierte Teilkonzepte aus reichen In der unteren Abbildung ist ein Beispiel f r die typische Datenverarbeitung dieser Jahre dargestellt Abbildung 24 Beispiel einer Datenverarbeitung IBM 702 705 der 60er bis 80er Die entstandenen Sicherheitsinseln und Teilkonzepte sind auf kleine Unternehmensbereiche meist IV Bereichen und deren Infrastruktur beschr nkt Es existierten weitgehend propriet re Insell sungen und physische Schutzma nahmen wie z B stabile Zugangst ren oder ber wachungskameras wobei diese Ma nahmen ausreichten um ein hohes Ma an Sicherheit
278. griertes kausales und assoziatives Abh ngigkeitsmodell Assoziative semantische Regeln assoziatives Diagnosewissen Assoziatives Diagnosewissen und dessen semantische Regeln basieren auf heuristischem und kompiliertem Erfahrungswissen von IS Sicherheitsexperten welches durch Kriterien explizit dargestellt und somit in sicherheitsrelevanten Bereichen anwendungsorientiert repr sentiert wird Dadurch ist dieser anwendungsorientierte Ansatz auf die Problembereiche direkt bzw universell einsetzbar da der Ansatz deutlich schw chere Voraussetzungen hinsichtlich der Beschreibung eines konkreten Informationssystems besitzt als der kausale Ansatz Es k nnen 401 Vgl Puppe 1991 S 80 118 Expertisemodell auch bergeordnete sicherheitsrelevante Aspekte der organisatorischen und rechtlichen Ebene beschrieben werden Diese Aspekte k nnen f r gew hnlich nur unzureichend durch ein kon kretes Informationssystemmodell abgebildet werden Typisch f r assoziative semantische Regeln ist dass ausgehend von beobachteten Merkmalen auf Hypothesen hin gedeutet wird Angewandt auf den anwendungsorientierten Top Down Ansatz l sst sich folgende prim re assoziative semantische Regel darstellen fehlende Ma nahmen Merkmal deuten auf Schwachstellen Hypothese Die fehlenden Ma nahmen stellen die beobachteten Merkmale dar die Schwachstelle be schreibt die Hypothese Kausale semantische Regeln modellbasiertes Diagnosewissen Im Geg
279. gs methoden IS Sicherheits politik IS Sicherheits strategien Diagnose Expertensystem iers Wissens IS Sicher heits experte Erstellung eines spezifische XPS des IS Sicherheits managements Wissens eingabe Diagnose Shell IS Sicherheit konzept Auswahl und Konfiguration der eingabe Konzepte allgemeines Konzepte des IS fallspezifsiches IS Sicherheitswissen Sicherheitswissens IS Sicherheitswissen Abbildung 133 Anwendung einer wieder verwendbaren Diagnose Shell Durch die Diagnose Shell kann der IS Sicherheitsexperte selbstst ndig mit geringem ber f hrungsaufwand angepasste Diagnose XPS erstellen und Inhalte von vielf ltigen Kriterien werken und Aspekten des Datenschutzes durch wissensbasierte Fragenkataloge repr sentie ren ohne die Hilfe eines Knowledge Engineers zu beanspruchen Denn die IS Sicherheitspolitik und der IS Sicherheitsexperte sollen prim r das IS Sicherheitsniveau f r die Institution bestimmen und nicht die F higkeiten des Knowledge Engineers Dies erfolgt durch direkte Wissenseingabe und pflege von IS Sicherheitswissen durch einen IS Sicherheitsexperten e direkte Anwendung und Anpassung der Probleml sungsmethoden und des IS Sicherheitswissens auf die konkrete Problemstellung durch ein spezifisches Diagnose XPS Unterst tzung der pr ventiven und reaktiven Top Down und Bottom Up Strategie e Unabh ngigkeit von speziellen K
280. h deduktiv ermittelte zus tzliche Merkmale berpr ft und verfeinert Hypothesen berpr fung e Pr ventiv wird bei der Hypothesengenerierung ausgehend von fehlenden Ma nahmen auf Schwachstellen gefolgert wohingegen bei der e reaktiven Hypothesengenerierung von beobachteten Konsequenzen auf Schwachstellen geschlossen wird 145 Expertisemodell Das Ziel der anschlie enden Hypothesen berpr fung ist das berpr fen und Verfeinern von Schwachstellen Hypothesen durch weitere vermutete Merkmale wie z B Ma nahmen und oder Konsequenzen Hierbei kann ein Iterationsprozess entstehen da eventuell neue Schwachstellen ermittelt werden und weitere Merkmale zur berpr fung notwendig sind Die Hypothesen berpr fung kann mit Hilfe der R ckw rtsverkettung erfolgen wobei ausge hend von Verdachtshypothesen alle Regeln ausgewertet werden welche zur Erreichung bzw berpr fung der Schwachstelle Ziel beitragen k nnen Falls Vorbedingungen in den Regeln unbekannt sind werden diese rekursiv als Unterziele verkn pfte Schwachstelle hergeleitet oder vom Benutzer erfragt Diese Form der Hypothesen berpr fung hat den Nachteil dass die Anforderung zus tzlicher Merkmale implizit in den Regeln zur Hypothesengenerierung ent halten ist was zuverl ssiges kausales Wissen voraussetzt Dies ist bei der Top Down Prob leml sung meist nicht vorhanden und somit ist eine erforderliche r ckw rtsverkettete Tiefen suche nicht m glich Deshalb
281. he Aussagen von Regel Rahmen k nnen auch als Vorbedingung f r andere Generie rungsregeln verwendet werden Aufgrund der Vorbedingung die entweder erf llt oder nicht erf llt ist kann eine Nachbedin gung in Form eines Dann Blocks aktiviert werden Der Dann Block besteht aus einem True Block Vorbedingung erf llt und einem False Block Vorbedingung nicht erf llt hnlich wie bei den Ersetzungsregeln k nnen andere Fragen automatisch verdeckt beantwortet wer den aber auch andere direkte Aktionen wie z B Antworttexte oder Grafiken ausgeben ausgef hrt werden Es k nnen zudem schon bestehende Antworttexte von Schwachstellen Fragen mit dem entsprechenden Dann Block verkn pft werden Generierungsregeln bieten durch den flexiblen Dann Block eine Schnittstelle zu unformalen und semiformalen Doku menten an wie z B Kriteriendokumente oder relevante Gesetzesabschnitte Rahmen k nnen wiederum Rahmen besitzen wodurch eine Strukturierung bzw Klammerung entsteht Hierf r wird folgende hierarchische Darstellung verwendet Mit Hilfe des Regel Rahmens k nnen somit komplexe Regeln entwickelt werden 245 Implementierung Vorbedingung Regel Rahmen UND Fragenobjekt1 Fragenobjekt2 Regelmodul Rahmen2 ODER Fragenobjekt3 Fragenobjekt4 ZT Name Ast Kaptelquelle Fragequeiie Objektqueile E Fragenobiekt 1 7 7 Rahmen UND Kapkelquelle Fiagenquelle Objektquele EEE Fragenobjekt 2 EE Frogenobiekt1
282. hebung der Schwachstellen durch eine andere erhobene und vorhandene Ma nahme m glich 243 Implementierung festigen prgn Beantwortung Gel iuserdes 7 gt Auf m ra Ltr Oter gt Sim Beantwortung Orupplerung 4 mar schriftlich Eegen Gefahr True Pa Speknem Konsequenz NY Element BAubunghrke ez festlegen Uber zeen serdes sl Oruppierung zs Antani 7 Abbildung 140 Kausale Ersetzungsregeln Mit Ersetzungsregeln ist es m glich einfache kausale Zusammenh nge durch zusammenge setzte Ersetzungsregeln darzustellen In der Abbildung ist die Grundstruktur dargelegt wobei auf eine Ereignisfrage verzichtet werden kann wenn die Konsequenz Frage direkt durch Ge fahr und Element Ersetzungsregeln beantwortet wird Es ist zu beachten dass diese Darstellungsform bei komplexeren Kausaldarstellungen schnell an die Grenzen st t So k nnen kausale Abh ngigkeiten in Form von Konsequenz die wie derum als Eingangsgefahr f r ein anderes gef hrdendes Ereignis dient mit dieser Repr senta tionsform nur begrenzt dargestellt werden Aus diesem Grund sollten kausale Regeln
283. heit im Internet Bergheim 1996 LDSG SH 2000 Schleswig holsteinisches Gesetz zum Schutze personenbezogener Informationen vom 09 02 2000 Ver ffentlicht im Internet URL http www datenschutzzentrum de material recht ldsh neu ldsg neu htm Stand 10 12 2002 Lelke 1999 Lelke B Erkl rungen in Fuzzy Expertensysteme Aachen 1999 Lenz 1991 Lenz A Knowledge Engineering f r betriebliche Expertensysteme Wiesbaden 1991 Lepschies 2000 Lepschies G E Commerce und Hackerschutz 2 Aufl DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 2000 287 Licht 1996 Licht R Aufbau und Arbeitsweise einer Informationssicherheits IS Organiation in einem Unternehmen oder einer Beh rde In Bauknecht K Karagiannis D Teufel 5 Hrsg Sicherheit Informationssystemen Beitr ge der Fachtagung 51596 in Wien vom 21 22 M rz 1996 Z rich 1996 S 22 36 Lippold 1992 Lippold H Informationssicherheit In Frese E Hrsg Handw rterbuch der Organi sation 3 Aufl Stuttgart 1992 S 912 922 Lippold Stelzer Konrad 1992 Lippold H Stelzer D Konrad P Sicherheitskonzepte und ihre Verkn pfung mit Si cherheitsstrategie und Sicherheitsmanagement In Wirtschaftsinformatik 34 Jg 1992 H 4 S 367 377 Locarek Junge 1995 Locarek Junge H Probleme und L sungen in PC orientierten Konfigurationen In Vo bein R Hrsg Handbuch 3 Organisation s
284. heitsziele Security Objective Die Sicherheitsziele des EVG sollen in ihrer Einsatz umgebung definiert werden Die Sicherheitsziele m ssen detaillierte Angaben dar ber ma chen wie den Bedrohungen entgegengewirkt werden soll bzw wie die Sicherheitspolitik er 565 Vol CC Kurz 2001 gt 66 Vgl CC Tool User Manual Kapitel Introduction 225 Implementierung f llt werden soll F r eine relevante Bedrohung bzw f r jede Sicherheitspolitik wird mindes tens ein Sicherheitsziel empfohlen Um die Definition der Sicherheitsumgebung zu unterst t zen werden vordefinierte Politiken Bedrohungen Annahmen und Sicherheitsziele Pre defined Data in der CC Toolbox mitgeliefert Die Erhebung der erforderlichen Informationen erfolgt durch Interview Fragen Sicherheitsanforderungen Security Requirements Hier werden die Anforderungen an die Funktionalit t und an die Vertrauensw rdigkeit definiert denen der EVG gen gen muss da mit die Sicherheitsziele erf llt werden Es wird zun chst auf die Anforderungen der CC zu r ckgegriffen Bei Bedarf k nnen auch Anforderungen frei formuliert werden Der Zusam menhang zwischen Security Objective und Security Requirements wird durch die SO SR Map abgebildet Die CC Toolbox wurde durch das Unternehmen Sparta f r die National Security Agency NIST mit der Programmsprache Java entwickelt und ist kostenlos erh ltlich BSI Tool IT Grundschutz Auf Basis des BSI Grundschutzhandbuchs wurd
285. hrdende Ereignis wird durch eine UND Verkn pfung zwischen Gefahr und sicherheitsrelevantem Element abgebildet 45 Vgl Puppe et al 1996 S 117 Entwurfsmodell 4 3 2 1 Top Down Probleml sung Die Top Down Probleml sungskonzepte werden mit Hilfe von Produktionsregeln dargestellt Unter einer Produktionsregel versteht man eine mit einer Vorbedingung versehene Aktion Die Aktion gilt als ausf hrbar wenn die Vorbedingung erf llt ist Die Vorbedingungen beziehen sich auf eine Faktenbasis z B auf erhobene Antwortwerte Diese Systeme werden auch h ufig als Produktionssysteme bezeichnet da die Regeln ausgehend von Ursprungsfak ten neues Wissen in Form von neuen Fakten produzieren Auch wenn Parallelen zwischen Produktionsregeln und Implikationen aus der Pr dikatenlogik bestehen da Regeln als zedurale interpretierbare pr dikatenlogische Implikationen bezeichnet werden k nnen sollte beachtet werden dass Aktionen Handlungsanweisungen darstellen die sich ganz anders verhalten k nnen als ein logisches Kalk l das einen Wahrheitswert annehmen kann Pr missen und Konklusionen von Produktionsregeln k nnen logische Ausdr cke hnlich der Pr dikatenlogik sein wobei Konklusionen auch Aktionen bzw Handlungen wie z B weitere Merkmale erheben beinhalten k nnen Eine Regel Pr misse DANN Konklusion wird wie folgt interpretiert Wenn die Pr misse erf llt ist dann wird die Konklusion oder
286. ht y SE T mt erwartete erfassenund N hierarchische e p gef Ereignis Konsequenzen E erwartete erfassenund peure nn e Abh ngigkeiten Ma nahmen ha abstrahisren gt Verdachis KA Verdachts 26 berpr fung Erfasste Te erfasste nen Konsequenzen berpr fung e Ma nah Ee a verfeinern __ lt SES Basis Inferenzen Inferenz Strukturen Merkmalserkennung reaktiver Bottom Up Hypothesengenerierung reaktiver Bottom Up und Top Down zus tzlicher Vergleich der Verdachts Schwachstellen Hypothesen berpr fung reaktiver Bottom Up und pr ventiver Top Down Abbildung 84 Gleichzeitige Probleml sung der Bottom Up und Top Down IS Sicherheitsstrategien In dem obigen Probleml sungs Szenario werden nur gleiche Verdachts Schwachstellen be trachtet Die Hypothesen berpr fung der Ursachen erfolgt einerseits Bottom Up orientiert um durch weitere vermutete Konsequenzen die Ursachen zu berpr fen Andererseits werden durch die pr ventive Top Down Hypothesen berpr fung fehlende Ma nahmen ermittelt um Schwachstellen zu berpr fen Zugleich werden Ma nahmen gewonnen damit die ermittelten Schwachstellen geschlossen werden k nnen 158 Expertisemodell In dem Anhang B wurden umfangreiche Szenarien konstruiert um den multifunktionalen Charakter der Templates darzustellen Es wird zudem gezeigt wie u
287. i dem Bottom Up Ansatz verwendet Die anwendungsorientierte berf hrung beruht dagegen auf Fragenkatalogen die eine direkte Wissenseingabe und Wissensnutzung des IS Sicherheitswissens durch einen IS Sicherheitsexperten erm glichen 256 Schlussbetrachtung Im vierten Kapitel wurde ein Entwurfsmodell auf Basis von wissensbasierten Fragenkatalo gen und Regeln entwickelt das insbesondere den Top Down Ansatz unterst tzt In einem gewissen Rahmen k nnen aber auch kausale Abh ngigkeiten beschrieben werden Im f nften Kapitel wurden zuerst die wesentlichen Komponenten eines WBS er rtert und vorhandene computergest tzte Werkzeuge f r das IS Sicherheitsmanagement vorgestellt Die vorgestellten Werkzeuge stammen entweder aus dem wissenschaftlichen Umfeld und stellen meist prototypische Realisierungen dar oder sie sind im praktischen Umfeld entstanden Die Werkzeuge wurden in eine Top Down oder Bottom Up Strategieunterst tzung sowie in eine anpassungs oder anwendungsorientierte berf hrungsstrategie des unternehmensunabh ngi gen IS Sicherheitswissens eingeordnet Zum Abschluss des Kapitels wurden die Architektur und Komponenten einer konkreten prototypischen Implementierung eines Diagnose WBS beschrieben Das Diagnose WBS besitzt die Eigenschaft eines wieder verwendbaren wissens basierten Werkzeuges Shell das unterschiedliche F llungen durch wissensbasierte Fra genkataloge repr sentieren kann 6 2 Bewertung Im Rahmen der
288. i sich diese Formen der Ontologie im Konflikt mit den Wissens Rollen der Probleml sungsmethoden befinden Die Methodenontologien definieren die dom nenunabh ngigen Probleml sungskonzepte durch die Aufgabenontologien werden die Begrifflichkeiten ver schiedener Typen von Aufgaben definiert Durch die gleichzeitige Verwendung von der Auf gaben und Methodenontologien und Wissens Rollen der Probleml sungsmethoden entsteht ein begrifflicher Konflikt da die Ontologien und Wissens Rollen zwar h ufig die gleichen Bezeichnungen haben sich aber auf unterschiedlichen Ebenen befinden Dies wird durch fol gende Aussage von Heijst Schreiber Wielinga 1997 deutlich summary then we believe that knowledge roles are integral components of PSMs PSM Problem Solving Me 362 Puppe Stoyan Studer 2000 S 622 und siehe auch Gruber 1993 363 Vo Richards Simoff 2001 S 122 364 Vo Hesse 2002 S 478 365 Standards die von einer Standardisierungsorganisation verabschiedet wurden werden auch als Normen be zeichnet Somit ist der Begriff Norm eine Spezialisierung des Begriffs Standard und wird im Rahmen der Arbeit synonym verwendet Vgl Buxmann K nig 1998 S 122 10 Z B ISO 17799 oder ISO 15408 367 Buxmann K nig 1998 S 122 368 Commonsense Ontologien werden im Rahmen der Arbeit nicht behandelt 369 Guarino 1997 103 Expertisemodell thods Although they often have the same names th
289. ichen Ger te und Dateispezifikationen gespeichert werden Zus tzlich ist 573 Dieses Programm wurde durch die MEDIENHAFEN Dortmund mit Unterst tzung der CAREMACHINE entwickelt Weitere Informationen unter der Adresse http www caremachine de Stand 10 12 2002 578 Hersteller Herweg amp M thlein IT Management GmbH 50226 Frechen 229 Implementierung eine Sammlung der relevanten Rechtsvorschriften und Gerichtsentscheidungen durch eine Retrieval Funktion verf gbar Mahndaten k nnen durch eine Adressdatenbank verwaltet wer 7 Zusammenfassung In der folgenden Abbildung werden die vorgestellten computergest tzten IS Sicherheits management Werkzeuge auf Basis e der IS Sicherheitsstrategien und e der berf hrungs strategien differenziert IS Sicherheitsstrategie Top Down Bottom Up RAMeX 45 anpassungs TRAW D orientierte GPOOS 2 Umset 5 msetzung 2 BSI Tool TOSCANA gt _ orientierte Umsetzung aan CBR System Abbildung 130 Vergleich der Realisierungen Die Bottom Up Strategie Werkzeuge RAMeX TRAW und GPOOS werden haupts chlich in der Phase Systemabgrenzung und Risikoerkennung eingesetzt wobei TRAW auch f r die Risikobewertung verwendet werden kann Die Werkzeuge k nnen flexibel mit Wissen aus unterschiedlichen IS Sicherheitsaspekten erweitert werden Durch die Repr sentation des wieder verwendbaren IS Sicherheitswissens soll eine Strukturieru
290. ichen Wissens in einen k nstlichen Probleml ser werden ohne kritische Reflexion Annahmen ber Prinzi pien des menschlichen Probleml sers gemacht Daraus hat sich seit Mitte der 80er Jahre die berzeugung durchgesetzt dass die Entwicklung eines WBS nicht durch den Transfer des Wissens auf einer vorgefertigten Wissensbasis beruht sondern eine Modellierungsaktivit t darstellt Wissen vom Experten erwerben wird gesehen als Proze der Suche nach den an gemessenen Modellumrissen und der ingenieurm igen Konstruktion eines Probleml sungsmodells mit allen ben tigten Wissensbest nden Dieses Modell ist kein Modell im Sinne der Abbildung von existierender Realit t sondern ein Modell im Sinne von vereinfachter Konstruktion einer zuk nftigen Realit t 35 Vgl Kurbel 1991 S 18 36 Vgl Angele Fensel Studer 1998 S 187 37 Vgl Angele Fensel Studer 1998 S 169 38 Vgl Frick 1998 S 294 39 Vgl Pfeifer Rothenfluh 1994 5 44 0 Puppe Stoyan Studer 2000 S 603 Vgl auch Wedekind et al 1998 S 267 27 Einf hrung Wissen Wissen Konstruktion direkter DA Transfer des Wissens Expertisemodell Operatonalseruro Wissens Wissens repr sentation repr sentation Transferansatz Modellierungsansatz Abbildung 6 Transfer und Modellierungsansatz Im Rahmen der Arbeit wird ebenfalls der konstruktivorientierte Modellbegriff verwendet der im Gegensatz zu dem abbildungsorientierten Modellbegr
291. icherer Informationsverarbeitungssys teme M nchen Wien 1995 S 81 99 Mackenbrock 1999 Mackenbrock M Common Criteria Gemeinsame Kriterien f r die Pr fung und Be wertung der Sicherheit von Informationstechnik In BSI Hrsg IT Sicherheit ohne Grenzen Tagungsband 6 Deutscher IT Sicherheitskongre des BSI Ingelheim 1999 5 93 105 Mackenbrock 2001 Mackenbrock M Common Criteria Zertifizierung und Schutzprofile Ein Angebot f r IT Anwender In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungsband des 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 5 341 350 Maczkowsky Rost K hntopp 2001 Maczkowsky R Rost R K hntopp K Die Internet Anbindung des virtuellen Daten schutzb ros Open Source und innovative Internet Konzepte in der Verwaltung In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungsband 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 57 71 Malley 2001 Malley J Internet Kriminalit t Rahmenbedingungen zur Pr vention aus polizeilicher Sicht In BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Ta gungsband 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 363 367 Marcus 1998 Marcus S Eds Automating Knowledge Acquisition for Expert Systems Bos ton Dordrecht London 1988 288 Martin Subramanian Yaverbaum 1996 Martin B Subramanian G Yaverbaum
292. ichsten Bereichen auf die entsprechende Institution direkt angewendet indem die vergleich baren Kriterienbereiche ausgew hlt werden Im Gegensatz zu den Bottom Up Ans tzen bieten die Top Down Ans tze somit eine nach au en dokumentierte IS Sicherheit da der Ansatz auf anerkannten Kriterien basiert Dies bedeutet dass bei einer unabh ngigen Evaluation die IS Sicherheit zertifiziert werden kann IS Sicherheitskriterien sind daher eng verbunden mit der unabh ngigen Evaluation und Zertifizierung von Systemen und Produkten Dieses Zer tifikat kann durch Kunden oder B rger wahrgenommen werden die sich ein Bild ber die IS Sicherheit des Gegen bers machen k nnen Der Bottom Up Ansatz dagegen ist ein Indi vidualansatz der nicht nach au en dokumentiert werden kann da er nicht auf einer allgemein anerkannten Grundlage bzw auf allgemein anerkannten Kriterien basiert Ma nahmenorientierter IS Sicherheitsbegriff Der Top Down Ansatz ist durch den ma nahmenorientierten IS Sicherheitsbegriff gepr gt da die Sicherheit von der Existenz und Anwendung der entsprechenden Ma nahmen Kriterien abh ngt Hierbei wird auf eine detaillierte Dekomposition des Informationssystems wie bei dem Bottom Up Ansatz weitgehend verzichtet Es werden basierend auf IS Sicherheitskriterien erforderliche Ma nahmen ermittelt Der Ansatz beruht darauf dass wenn die erforderlichen Sicherungsma nahmen eingesetzt werden von einem zuve
293. iden e Dokumentenorientierte Ans tze die auf Basis impliziter und expliziter Klassifikation ei ner Dokumentensammlung deren Inhalte zug nglich machen e Wissensbasiert systemorientierte Ans tze die das Wissen in einer formalisierten Form bereitstellen um eine computergest tzte automatische Verarbeitung zu unterst tzen Bei den Ans tzen sollte die Ausgewogenheit zwischen Aufwand der Formalisierung des Wis sens und dem zu erreichenden Nutzen einer Formalisierung beachtet werden Sonst entsteht ein zu hoher Konstruktions und Wartungsaufwand Ein Kompromiss zwischen Anwend barkeit und formaler Abbildung erfolgte in der Arbeit durch die semiformale Repr sentation mit Hilfe von wissensbasierten Fragenkatalogen Ist ein hoher Abbildungsaufwand f r bestimmte Bereiche die z B ein sehr hohes Sicherheits niveau ben tigen gerechtfertigt bietet sich eine Erweiterung des fragenkatalogbasierten WBS in Form von objektorientierten Systemmodellen an Diese Modelle erm glichen eine umfang reiche modellbasierte und unternehmensindividuelle Ursachen Wirkungs Diagnose Es ist auch eine wenig bis nicht formale Repr sentationserweiterung f r Dokumente in un strukturierter bis strukturierter Textform z B HTML Dokumente denkbar so dass ein um fangreicher und direkter Zugriff auf unstrukturierte Wissensquellen m glich ist Hierbei steht insbesondere der Wissenszugriff basierend auf Information Retrieval Funktionen im Vorder grund
294. iden Darstellungsformen Fragenkataloge und objektorientierte Strukturen erfolgt in der Ausdrucksst rke und der Praktikabilit t bei der berf hrung des unternehmensunabh ngigen IS Sicherheitswissens in unternehmensspezifisches Wissen In der folgenden Abbildung wird eine Einordnung von wissensbasierten Fragenkatalogen in Wissensrepr sentationsformalis men dargestellt Ausdrucksst rke wissensbasierter Fragenkatalog mit objektorientierte Kataloge Thesauri Regelstrukturen Strukturen Objekt Attribut Wert Objekt Attribut Wert Su A Tupel ohne Vererbung Tupel mit Vererbung Pr dikaterlogik Praktikabilit t Abbildung 88 Praktikabilit t und Ausdrucksst rke 465 Vgl Erweitert in Anlehnung an Volz 2001 Folie 4 166 Entwurfsmodell Bei der berf hrung in ein unternehmensspezifisches IS Sicherheitsmodell werden folgende unterschiedliche Vorgehensweisen bzw folgende Umsetzungen angewandt e Anpassungsorientiert Klassenhierarchien und deren Instanzen bzw Objekte bilden durch ihre Objekt Attribut Wert Struktur weitgehend unternehmensunabh ngige sicherheitsrele vante Aspekte ab Die Anpassungsorientierung ist m glich da durch Klassen und Objekte formale Modelle repr sentiert werden k nnen welche eine hohe Ausdrucksst rke besit Die angepassten Klassen z B durch Vererbung und deren Instanzen repr sentie ren das unternehmensspezifische Wissen e Anwendungsorientiert Wissensbasierte Fragenka
295. ie CC beschreibt zudem wie f r alle g ngigen IT Produkte bzw Systeme Pr fungen in Form von Schutzprofilen oder Sicherheitsvorgaben zusammen gestellt werden k nnen In der unteren Abbildung ist die Entstehungsgeschichte der dargestellt Wie zu erkennen ist wurde die CC von Kriterien aus unterschiedlichen L ndern beeinflusst wie z B die TCSEC Orange Book USA ITSEC Deutschland und 36 Criteria CTCPEC Orange Book TCSEC 1985 _ Federal Draft 1993 Criteria 2 1 ISO Initatives 1999 1992 N _ 1993 N 1996 Common Common Criteria Projekt riteria 1 0 Deutsche Kriterien ITSK ISO 15408 V2 1 Britische 199 Confidence L Level Fa Franz sische Kriterien L 75 Abbildung 30 bersicht zur Entstehungsgeschichte der Common Criteria 66 Die ist in der Version 2 1 als eine internationale ISO 15408 verabschiedet worden die auf den folgenden drei Teilen der CC basiert Einf hrung und allgemeines gt Funktionale Sicherheitsanforderungen und Anforderungen an die Vertrauensw rdig keit In dem ersten Teil werden die CC allgemein und deren Anwendung beschrieben Hierf r werden implementierungsunabh ngige Schutzprofile eingef hrt die L sungen f r Standard Sicherheitsprobleme einer bestimmten Produktgruppe dar
296. ie Wir kungsanalyse auch als Lernmittel der IS Sicherheit bzw als vorausschauende pr ventive Probleml sung bezeichnet werden Auch dient die pr ventive Probleml sung zur Unterst t zung der Szenario Technik die einen vorausschauenden Charakter besitzt Hierf r wird ein Szenario von Schwachstellen Gefahren und sicherheitsrelevanten Elementen angenommen um deren Konsequenzen zu antizipieren Eine Hypothesen berpr fung kann erfolgen wenn f r die angenommenen Ursachen und vor ausgesagten Wirkungen vergleichbare historische F lle ermittelt werden k nnen Die hn lichsten historischen Ursachen und Wirkungen k nnen erstens die Voraussage best tigen und zweitens eventuell L sungsvorschl ge enthalten um die vorhergesagte Konsequenz zu ver hindern Hierf r werden die bekannten Vergleichsf lle in einer Datenbank gespeichert in der die wesentlichen Merkmale eines Falls wie z B Konsequenzen Gefahren sicherheitsrele vante Elemente und Schwachstellen repr sentiert sind Die klassische Merkmalserken nung im Rahmen der Hypothesengenerierung entf llt da Merkmale bzw Wirkungen durch die Wirkungsanalyse angenommen und nicht durch Beobachtungen ermittelt werden l Vgl Sigesmund 1995 S 128 151 Expertisemodell Basis Inferenzen der pr ventiven modellbasierten Diagnose Ausgehend von gef hrdenden Ereignissen und kausalen Schwachstellen Ziel werden pr ventiv deren K
297. ie bei der Risikoanalyse zu erreichen es wird jedoch eine Standard Sicherheit bzw Baseline Sicherheit auf Basis von Kriterien erm glicht Hybride Verfahren verkn pfen Aspekte des Top Down und Bottom Up Ansatzes Das BSI Grundschutzkonzept ist ein Beispiel f r ein hybrides Verfahren das in Abh ngigkeit des Schutzbedarfes der IT Systeme f r das weitere Vorgehen entweder den Top Down Ansatz oder den Bottom Up Ansatz einteilt Wird ein niedriger bis mittlerer Schutzbedarf ben tigt so werden mit Hilfe von IT Bausteinen Soll Ist Vergleiche der ben tigten Ma nahmen vergleichbar mit dem Vorgehen des Top Down An satzes durchgef hrt Mit einem kombinierten Einsatz der IS Sicherheitsstrategieans tze erfolgt ein integriertes IS Sicherheitsmanagement durch eine e Breiten und Tiefenanalyse sowie mittels einer e pr ventiven und reaktiven Sichtweise Breiten und Tiefenanalyse der IS Sicherheit Aufgrund des Top Down Ansatzes k nnen die einzelnen Unternehmensbereiche durch eine Breitensuche auf Schwachstellen hin untersucht werden die durch Standard Ma nahmen ge schlossen werden k nnen 3 Vol Stelzer 1995 S 126 88 Informationssystemsicherheits Management Breitensuche Tiefensuche Bottom Up Ansatz Abbildung 38 Breiten und Tiefenanalyse Der Top Down Ansatz kann ebenfalls als Selektionsinstrument f r hochsensible IS Sicherheitsbereiche verwendet werden F r die Bereiche die ein sehr hohes IS
298. iehungen Beziehungstyp Abbildung 123 5 gt F r die Risikoanalyse wird ein Risikomodell verwendet das z T auf dem Systemmodell ruht Im Risikomodell werden zus tzlich sicherheitsspezifische Aspekte ber cksichtigt wel che n tig sind um eine konkrete Risikoanalyse durchzuf hren In der folgenden Abbildung sind das Risikomodell und eine zus tzliche Beispielextension angegeben Sicherheits Risikomodell mechanismustyp Beispielsextension Sprinkleranlage Sicherheits Brass Sprinkleranlage Bedrohung vi Konsequenz gt menchanismustyp L Zerst rung PM Raum Zerst rung Schutz 9 Feuer Zerst rung Raum Systemelementtyp Propagierung Beziehungstyp 1 Raum Rechner Enth lt Rechner Enth lt 1 Zerst rung Abbildung 124 Risikomodell und Beispielsextension Anhand des Konzepts wurde das Werkzeug TRAW entwickelt das dem Anwender erm g licht Systemmodelle von Anwendungssystemen grafisch zu modellieren sowie Sicherheitsan forderungen zu spezifizieren Das Systemmodell wird durch die grafischen Meta Editoren ILOG Views und ASSUME erstellt Basierend auf dem Systemmodell und den Sicherheitsan forderungen k nnen Analysen durchgef hrt werden Die struktur und ablauflogikorientierten Sicherheitsanforderungen wurden mi
299. ien die Grund lage f r Vertrauen denn Zertifikate vermitteln eine nach au en orientierte IS Sicherheit Au erdem wird durch eine neutrale und unabh ngige Instanz weitgehend gew hrleistet dass wertvolles Know how das w hrend einer Zertifizierung ben tigt wird nicht in die H nde der Konkurrenz gelan SE Die Informations Gesellschaft stellt zus tzliche rechtliche Anforderungen bzgl der Be herrschbarkeit und Sicherheit der Informationstechnik Insbesondere der Anspruch auf infor mationelle Selbstbestimmung manifestiert im Datenschutzgesetz zeigt das gesellschaftliche Interesse an einer gesetzlichen Regelung Der Datenschutz wird durch die oben genannten Ver nderungen beeinflusst und muss Antworten auf die neu entstandenen Problemgebiete finden Ein G tesiegel f r datenschutzfreundliche Produkte auf Basis von Kriterien ist ein Ansatz den Datenschutz einer Institution nach au en zu dokumentierten Ist die Bewertung der Evaluationsergebnisse erfolgreich kann ein Zertifikat bzw G tesiegel vergeben werden Das Zertifikat oder G tesiegel ist ein nach au en dokumentiertes Datenschutzniveau und stellt ein Kaufkriterium bzw einen Wettbewerbsvorteil dad Auch die Beh rden verst rken ihre Initiativen um internetf hige Dienstleistungen online be Diese Aktivit ten werden unter dem Begriff E Government zusammenge fasst Unter Electronic Government E Government verst
300. ieren sollten Die Annahme eines generellen Probleml sers hat sich aber als unrealis tisch heraus gestellt In dem n chsten Jahrzehnt wurden WBS entwickelt die auf Produktionsregeln und Frames unter der Annahme basierten dass der menschliche Verstand mit vorw rts und r ckw rtsver ketteten Produktionsregeln funktioniert und die menschlichen Wissensstrukturen durch Fra mes abgebildet werden k nnen Der Experte wird somit nur systematisch ausgefragt um sein Wissen direkt in eine Wissensbasis zu bertragen was einem Transferansatz entspricht Diese Vorgehensweise wird durch das Prototyping unterst tzt da schnell funktionsf hige WBS erstellt werden k nnen Bei diesen Ans tzen wird nach Erhebung einer relativ kleinen Menge von Fallbeispielen ein WBS Prototyp erstellt der als ein ausf hrbares Modell definiert werden kann Nach weiteren Wissenserhebungen wird der jeweilige Prototyp iterativ erweitert und verfeinert bis er den an ihn gestellten Anforderungen gen gt Auf Basis dieser Vorgehensweise wurden in den 80er Jahren regelbasierte WBS erstellt die durch einen starren Regelinterpreter das Fachwissen auswerten Die Wissensbasis besteht i d R aus Frames und Produktionsregeln die durch einen vorw rts und r ck w rtsorientierten Regelinterpreter ausgewertet werden In der Abbildung 5 werden die beschriebenen Kompo nenten als typischer Kern eines WBS der ersten Generation dargestellt al Vgl Kirchhoff 1994 S 119 Borndo
301. ierte Benutzer autorisiert eine spezi fische Rolle einzunehmen Zus tzlich m ssen die Vertrauensw rdigkeitsstufen 3 EAL3 oder h her der CC erf llt werden e Erweiterte Manipulationssicherheit Aktives Erkennen und Reagieren gegen Manipulati onsversuche Sicherheitsstufe 4 Zus tzlich werden Gef hrdungen durch Umwelteinfl sse oder Ver nderungen der Ar beitsumgebung wie Spannung oder Temperatur erkannt und geeignete Gegenma nah men aktiviert Level 4 Module k nnen in Umgebungen eingesetzt werden die sonst kei nen physikalischen Schutz aufweisen Zus tzlich m ssen die Vertrauensw rdigkeitsstufen 4 EALA oder h her der CC erf llt werden CC Kriterien und die folgende E COFC decken im Vergleich zu den FIPS eine breitere Pro duktpalette sowie unterschiedlichere IS Sicherheitsaspekte ab wohingegen FIPS 140 2 auf die Evaluation von Krypto Modulen spezialisiert ist 255 Die physischen Ver nderungen k nnen z B durch einen physischen Zugriff und einer physischen Manipula tion an den Kryptographieschl sseln und den kritischen Sicherheitsparametern Critical Security Parameters CPS erfolgen 256 Vgl CC Teil 1 2000 Anhang 5 43 48 74 Informationssystemsicherheits Management E COFC Extended Commercially Oriented Functionality Class for Security Evaluation E COFC bzw ECMA 271 wird als kommerzieller IS Sicherheits Standard f r vernetzte Ge sch ftssysteme 1999 durch die European Computer Manufactu
302. iff nicht versucht die Realit t abzu bilden Die Konstruktion ist somit nicht eine Abbildung bzw Reproduktion eines realen Sys tems sondern die Wirklichkeit die ber die Erkenntnisleistung eines Subjektes wahrge nommen wird Dies bedeutet dass es keine subjektunabh ngige erkennbare Realit t gibt Hiermit wird dem abbildungsorientierten Modellbegriff die Grundlage entzogen die darauf aufbaut dass die Realit t ohne subjektive Wahrnehmungsleistung erkennbar 151 7 Somit erfolgt das KE des IS Sicherheitsmanagements in der Arbeit nicht auf Basis eines Transferprozesses von IS Sicherheitswissen direkt in die Regel oder und Frame Strukturen sondern durch die Konstruktion eines Expertisemodells welches konzeptuell und epistemolo gisch die IS Sicherheitsstrategien und das ben tigte IS Sicherheitswissen beschreibt Aufgabe ist es jedoch nicht ein kognitives abbildungsorientiertes Modell eines Experten zu erstellen da dieses wegen der subjektiven Wahrnehmung und wegen der fehlenden Struktur und Stoff lichkeit von Computern noch nicht m glich ist Aus diesem Grund werden Modelle kon struiert welche angewandt auf eine zuk nftige Realit t hnliche Resultate erzeugen wie der menschliche Experte Die Grundlagen der folgenden probleml sungsmethodenorientierten und expertisemodellori entierten Ans tze bilden die von Newell geforderte Trennung der Wissensebene von der sym bolischen Verarbeitung Diese Ans tze er
303. ildung 40 Zusammenfassende Darstellung des Expertisemodells Die Aufgabenebene spezifiziert die Ziele der zu l senden Aufgabe und deren generische L sungsschritte Ein Oberziel kann folglich die Etablierung eines gewissen IS Sicherheitsniveaus mit Hilfe der Diagnose sein Die Strategien des IS Sicherheitsmanagements bilden die Grundlagen f r die Aufgabenebene und somit die episte mologische Basis der Probleml sungsmethoden des Expertisemodells Die Aufgabenebene wird durch tiefere Ebenen in Teilaufgaben und in Inferenzen zerlegt Die Inferenzebene beschreibt die L sungsprozesse des IS Sicherheitsmanagements mittels Inferenzen und Wissens Rollen Die Wissens Rolle bildet die Verbindung zwischen der Do m nen und Probleml sungsmethode wobei die Inferenz Struktur in Abh ngigkeit von der jeweiligen IS Sicherheitsstrategie und deren Teilaufgaben variiert Die Inferenz und Aufga benebene bilden zusammen die Probleml sungsmethoden sie stellen dar die Dom nenebene im Probleml sungsprozess verwendet wird Die Dom nenebene spezifiziert Wissen ber Konzepte des IS Sicherheitsmanagements und deren Abh ngigkeiten Somit werden auf dieser Ebene grundlegende Konzepte z B Schwachstellen oder Ma nahmen und deren Abh ngigkeiten abstrahiert dargestellt Diese Konzepte bilden die Basis f r die Konstruktion der Wissensbasis die dann konkrete Instanzen der Konzepte beinhaltet Eine Wissensbasis kann sinngem vereinfacht als
304. im Fehlen des betrachteten Sym ptoms vorliegt WENN Symptom S fehlt DANN Krankheit Innerhalb der Regeln d rfen die Symptome miteinander korrelieren die Regeln als Ganzes m ssen aber unabh ngig sein Die Forderung der Unabh ngigkeit der Regeln ist ein Hauptkri tikpunkt des Mycin Systems Allgemein ist in der Herkunft Ermittlung und Aufbereitung von Wahrscheinlichkeiten und Konfidenzfaktoren die auf stochastischem Wissen basieren eine zentrale Schwachstelle der Methoden Wenn diese Werte im gro en Umfang auf subjek tiven Erwartungswerten oder Durchschnittswerten basieren ist dies problematisch Auch eine statistisch einwandfreie Erhebung von Wahrscheinlichkeiten wird mit steigender Zahl der zu untersuchenden Aussagen immer aufwendiger 4 2 4 2 Unscharfes oder vages Wissen Fuzzy Logik Rechnen mit unscharfen Mengen H ufig ist Expertenwissen nicht exakt und an der nat rlichen Sprache des Menschen ausge legt Aus diesem Grund wird diese Form als sprachliche oder linguistische Unsicherheit be zeichnet So sind Aussagen wie wir besitzen hohe Ausfallsicherheit oder wir haben ein umfangreiches Netzwerk nicht mit den konventionellen Repr sentationssprachen realisier bar denn die scharfe und zwei elementige Menge wahr falsch der klassischen Logik st t schnell an ihre Grenzen Hier bietet die mehrwertige oder Fuzzy Logik M glichkeiten welche aus einer Erweiterung der klassischen Mengentheorie besteht dieses W
305. imiting Methods Ansatz Der Configurable Role Limiting Methods Ansatz basiert ebenfalls auf der Zerlegung der Probleml sung einer Aufgabenklasse in Teilaufgaben und Methoden Der Ansatz beinhaltet zudem gemeinsame Methoden wie Datenauswahl Datenerfassung und Datenabstraktion die f r alle Probleml sungsmethoden von Relevanz sind Das verwendete gemeinschaftliche bzw kollektive Wissen der unterschiedlichen Diagnosemethoden bezeichnet Puppe als dia gnostisches Basiswissen Zus tzlich existieren spezifische Probleml sungsmethoden f r die Hypothesengenerierung und berpr fung heuristische oder berdeckende Bewertung die auf spezifischem diagnos tischem Probleml sungswissen z B auf sicherem heuristischem oder kausalem Wissen basieren Somit besitzen die spezifischen Diagnosemethoden Annahmen bzw Voraussetzungen bzgl der zugrunde liegenden Wissenstypen oder die Methode wird durch das bezeichnende Probleml sungswissen charakterisiert unsichere Diagnosebewertung uristische Bewertung gt berdeckende Bewertung gt Abbildung 9 Grundkonzept f r eine strukturierte Darstellung der Probleml sungsmethoden der Diagnose nach dem Configurable Role Limiting Methods Ansatz Die Unflexibilit t bei den reinen Role Limiting Methoden wird vermieden da die Problem l sungsmethoden konfigurierbar sind Weiterhin besteht eine gesteuerte Wissensakquisition da die Method
306. immer durchf h ren Wenn z B bei der Diagnostik mehrere L sungen ausgew hlt werden und diese vonein 62 Vgl Studer Benjamins Fensel 1998 5 167 Vgl Puppe et al 1996 S 1 und Schreiber et al 2000 S 125 64 Bei Puppe wird keine Differenzierung zwischen Klassifikation und Diagnose durchgef hrt Vgl dazu Puppe et al 1996 S 1 9 Vgl Schreiber et al 2000 S 124 31 Einf hrung ander abh ngig sind m ssen diese Teill sungen eventuell zu einer Gesamtl sung Kon werden Umgekehrt lassen sich manche Planungs und Konfigurationsprobleme als eine Hintereinanderschaltung von mehreren Auswahlproblemen interpretieren 66 Task Structure Ansatz Der Task Structure Ansatz stellt eine Weiterentwicklung des Generic Task Ansatzes dar in dem einer Aufgabenklasse mehrere alternative Probleml sungsmethoden zugeordnet werden die wiederum in mehrere Teilaufgaben zerlegt werden k nnen Eine Aufgabe wie z B die Diagnoseaufgabe wird durch deren Eigenschaften und Ziele beschrieben So kann eine IS Sicherheitsdiagnoseaufgabe als Eingangsmerkmale beobachtete Fehlfunktionen eines IS Sicherheitssystems haben Das Ziel der Aufgabe ist die Ursachen f r diese Fehlfunktionen zu ermitteln Der Diagnoseaufgabe sind verschiedene Methoden wie z B abstrahieren selektie ren oder verfeinern zugeordnet um die Aufgabe zu bew ltigen Diese Aufgaben und Me thoden Strukturen werden in Form von Hierarchien darg
307. indungstypen be zeichnet 32 31 Vgl Puppe et al 1996 S 117 32 Vgl Struss 2000 S 442 138 Expertisemodell Bei verhaltensorientierten Modellen wird auch von einem gut verstandenen Modell ausgegan gen welches aber zus tzlich das No Function in Structure Prinzip besitzt Dies bedeutet dass die Modelle keine Voraussetzung f r einen bestimmten Kontext besitzen Somit muss das vollst ndige Verhalten f r einen beliebigen Kontext modelliert werden Bei den funktio nalen und insbesondere bei verhaltensorientierten Modellen entsteht sehr schnell eine hohe Komplexit t besonders wenn komplexe Informationssysteme abgebildet werden Aus die sem Grund wird das Probleml sungsverhalten der verhaltensorientierten und funktionalen Modelle auf kausale Modelle berf hrt Die funktionalen Anh ngigkeiten werden somit durch kausale Ursachen und Wirkungs Abh ngigkeitskonzepte repr sentiert Eingangsmaterial Komponente Ausgangsmaterial 7 6 SaLBerehl vi DB Server EA Antwort ep Normalzustand Eigenschaft Antwort Verf gbarkeit sofort Verf gbarkeit sofort warten gef hrdendes Ereignis eingetreten Fehlzustand Antwort Verf gbarkeit warten funktionales Modell kausales Modell Ursache Zustand des Wirkung Verf gbarkeit der Antwort DB Servers Konsequenz als Differenz zwischen gef hrdendes Ereignis erwarteten sofort und eingetreten beobachte
308. inf hrung 1 3 Entwicklungsmethodologien des Knowledge Engineerings Voraussetzung f r eine erfolgreiche Entwicklung und Nutzung des WBS ist zuvor ein syste matischer Entwicklungsprozess der als Knowledge Engineering bezeichnet wird Der Begriff systematisch impliziert den Einsatz einer Entwicklungsmethodologie die sich auch an konomischen technischen Zielsystemen der Unternehmen und allgemeinen Prinzipien orientiert welche durch Methoden und Techniken realisiert und durch Werkzeuge unterst tzt werden Obwohl viele Parallelen zu der Entwicklung von traditionellen Softwaresyste men Software Engineering bestehen ist es aufgrund der speziellen Eigenschaften eines WBS erforderlich einen eigenst ndigen Entwicklungsprozess f r solche Systeme zu pr gen Folgende Punkte zeigen die Unterschiede zu dem Software Engineering auf e Die Probleme die mit WBS gel st werden k nnen als unvollst ndig spezifizierte Funk tion bezeichnet werden Es wird ausgedr ckt dass die Probleme sehr komplex sind oder noch nicht vollst ndig verstanden werden Somit kann ein solches System nicht vollst n dig vorab spezifiziert werden sondern die Spezifikation muss in enger Zusammenarbeit mit dem Knowledge Engineer Entwickler und Fachexperten erstellt werden e F r die zu l senden Probleme ist die Komplexit t des Problems i d R so gro dass nur kleine Probleminstanzen l sbar sind Dies bedeutet dass da
309. ingeleitet werden Korrigierende und rekonstruierende Ma nahmen sollen die negativen Folgen eines gef hr denden Ereignisses und den gef hrdenden Zustand soweit wie m glich abschw chen Typi sche Ma nahmen sind z B Backup oder ein Notfall und Wiederanlaufplan Dabei sind die Reaktionszeit und die G te der detektivischen Ma nahmen von entscheidender Bedeutung Wird das gef hrdende Ereignis schnell und vollst ndig erkannt und fr hzeitig eine Warnung ausgegeben ist ein schnelles Reagieren von korrigierenden Ma nahmen gegeben Korrigierende Ma nahmen haben einen reaktiven Charakter wohingegen rekonstruierende Ma nahmen einen Wiederherstellungscharakter z B in Form von Backup besitzen Korri gierende Ma nahmen versuchen direkte Konsequenzen wie z B den Verlust der Verf gbar keit direkt zu mindern wohingegen die rekonstruierenden Ma nahmen einen l ngeren Zeit raum ben tigen Eine eindeutige Abgrenzung von korrigierenden und rekonstruierenden Ma nahmen ist meist nicht m glich da sie oft ineinander greifen Weitere verfeinerte Klassifikationen von Ma nahmen bieten z B das BSI Grund schutzhandbuch oder Krallmann Welche Detaillierungstiefe man w hlt ist von dem konkreten Umfeld und der Analysetiefe abh ngig Eine Kombination von Klassifikationskri terien in Form einer n dimensionalen Matrix z B physikalische Ma nahmen mit pr ventiver und reaktiver Dimension erweitert kann eine detaillierte Diff
310. inn der Mitarheit Die Frage ist quantitativer und wurde beantwortet lt 3 Abbildung 149 Beispiel einer quantitativen Auswertung In der Abbildung ist ein Beispiel f r die quantitative Auswertung dargestellt Es wird ersicht lich dass sich die Quantifizierung rekursiv an der Kapitelstruktur orientiert was eine Erkl rungskomponente in sich birgt da die Wertberechnung nachvollziehbar ist Die Methoden der quantitativen Art besitzen das grundlegende Problem dass versucht wird auf ein schlecht strukturiertes Problem ein wohl strukturiertes bzw allgemeing ltiges Modell anzuwenden Die qualitative Auswertung bietet dagegen komplexere M glichkeiten um L sungen darzustellen Deshalb dient die quantitative Auswertung als Erg nzung und nicht als Ersatz f r die qualitative Probleml sung 5 3 3 Bewertung der Realisierung Die vorgestellte Realisierung stellt eine prototypische Operationalisierung des Expertisemo dells dar Wie bei dem Entwurfsmodell steht die Umsetzung des Top Down Ansatzes mit Hilfe eines wissensbasierten Fragenkatalogs im Vordergrund Dies beinhaltet insbesondere die Repr sentation vom heuristischen Erfahrungswissen und deren assoziativen Abh ngig keitskonzepten Der Prototyp erm glicht durch seine offene Struktur die Repr sentation von mehreren Kriterienwerken und Datenschutzaspekten Somit ist der Prototyp unabh ngig von einem Kriterienwerk Zudem lassen sich institutionsindividuelle IS Sicherheitsaspek
311. ion bildet die Basis f r die Probleml sung der Sicherheits Schwachstellenanalyse und des IT Grundschutzes nach dem BSI Die beiden Schwachstellendefinitionen schlie en sich aber nicht gegenseitig aus Denn beide Sichtweisen haben gemeinsam dass f r eine wirksame Schlie ung der Schwachstellen ad quate Ma nahmen ergriffen werden m ssen 388 Vo Stelzer 1993 5 212 und Konrad 1998 S 28 110 Expertisemodell Ma nahmen Um Gefahren und Schwachstellen zu vermindern oder gar zu verhindern k nnen Ma nahmen nach dem Wirkungszeitpunkt e pr ventiv e detektivisch e korrigierend rekonstruierend differenziert werden Zeitspanne vom Auftreten bis zum Erkennen des gef hrdenden Ereignisses t D D D D pr ventive a detektivische korrigierende bzw Ma nahmen 55 Ma nahmen rekonstruierende ze Ma nahmen 5 reaktive Ma nahmen Abbildung 47 Wirkungszeitpunkte von Sicherungsma nahmen In der Abbildung ist der Wirkungszeitpunkt dargestellt wobei pr ventive Ma nahmen die effektivsten sind da sie ein gef hrdendes Ereignis erst gar nicht aufkommen lassen Dies er fordert dass die Gefahrenquelle ausgeschaltet oder gemindert wird Ein v lliges Ausschalten der Gefahrenquelle im Bereich der Natur und des Menschen ist in den seltensten F llen m g lich Aus diesem Grund sind Ma nahmen erforderlich die reaktiv auf ein gef hrdendes Er eignis bzw dessen gef hrdende
312. ion von Kriterien ist sinnvoll sofern weite Bereiche der IS Sicherheit erfasst werden sollen Die ISO 17799 und die CobiT decken Aspekte des Managements der IS Sicherheit ab und stellen eher generische Ma nahmen bereit Um diese mit konkreten Ma nahmen zu f llen bietet sich z B das IT Grundschutzhandbuch Somit kann der IT Grundschutz ein Standard Niveau gew hrleisten und besonders sensible Sicherheitsbereiche 254 Vol Hange Moritz 2002 S 69 80 Informationssystemsicherheits Management aufdecken Diese k nnen zus tzlich durch Common Criteria zertifizierte Produkte gesch tzt werden datenschutzrechtliche Aspekte werden durch den Anforderungskatalog des ULD SH abgebildet 285 Phasen der Sicherheitsschwachstellenanalyse In der folgenden Abbildung sind die Phasen der Schwachstellenanalyse dargestellt Phase 0 Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Erkennung der Notwendigkeit zur Durchf hrung des SISSA Erarbeitung einer Sicherheitszielsetzung angestrebtes Si Niveau Auswahl der Analysegebiete und evtl Anpassung des SSA Instrumentes Abarbeiten der Spezial gebiete der Basis gebiete Auswertung der Erhebungsergebnisse Ermittlung des Restrisikos Ausarbeitung eines Schwachstellenanalyse konzeptes Ausarbeitung des Gesamtkonzeptes
313. ionsverarbeitung und darstellung Auswertungskomponente SISSA Ergebnisse als Ma nahmen konz onzept Gesamtkonzept Abbildung 35 Computergest tzte Vorgehensweise der 55547 Der Kern eines computergest tzten Fragebogensystems ist die Frage und Antwortkomponen te die die Ma nahmenkriterien enth lt Sie beinhaltet den eigentlichen Fragebogen mit seinen Antwortm glichkeiten Die Verzweigungs und Interaktionskomponente eines computerge st tzten Fragebogens soll dem Benutzer die M glichkeit geben manuell den Fragebogen an 21 Vgl Koolwijk 1974 S 15 22 Vgl Hoepner 1994 S 174 176 2 Vgl Hoepner 1994 5 7 2 Angepasst und erweitert in Anlehnung M hrle 1997 S 462 82 Informationssystemsicherheits Management zupassen und zu navigieren Aufgrund der engen Verkn pfung der Module ist es erforderlich Redundanzen und Abh ngigkeiten zwischen dem Basis und Spezialmodul sowie zwischen Spezialmodulen bei der Erhebung zu ber cksichtigen Es werden somit systembedingte Verzweigungen durchgef hrt um z B redundante oder nicht ben tigte Fragen zu vermeiden Die Antwortspeicherkomponente besitzt die M glichkeit die erhobenen Ma nahmen Antworten so zu speichern und zu verwalten dass eine sp tere Auswertung problemlos m g lich ist Die Auswertung soll die erhobenen Ma nahmen in Form eines Berichtes automatisch zusammenzufassen auswerten und anschlie end entsprechend darstellen Der Bericht enth lt z
314. is eingesetzt werden Prototypische Implementierung des Diagnose WBS Eine Vorl uferversion des fragenkatalogorientierten Diagnose WBS wird erfolgreich in der Berater Praxis eingesetzt und besitzt mittlerweile unterschiedliche F llungen mit mehreren tausend Fragen und umfangreichen Regelstrukturen die eine Analyse der IS Sicherheit ba sierend z B auf der BS 7799 und dem Datenschutz unterst tzt Das Diagnose WBS liefert qualitative sowie erg nzende quantitative Berichte die eine umfassende Arbeitsgrundlage f r ein IS Sicherheitskonzept darstellen Die direkte Wissenseingabe wird durch das WBS prakti ziert und zwar durch einen IS Sicherheitsexperten ohne Unterst tzung eines Knowledge En gineers Dies erm glicht eine anwendungsorientierte Umsetzung von IS Sicherheitskriterien und unterst tzt somit die wesentlichen Aspekte des Top Down Ansatzes Eine Umsetzung des Bottom Up Ansatzes ist in der vorliegenden Version nur in Ans tzen m glich da die Kon struktion eines umfangreichen individualisierten Systemmodells nicht m glich ist Hierbei sei aber auf die Diskussion der meist fehlenden Voraussetzungen eines Bottom Up Ansatzes und auf den folgenden Ausblick hingewiesen 258 Schlussbetrachtung 6 3 Ausblick Das fragenkatalogorientierte Diagnose WBS soll im Folgenden in einem erweiterten Rahmen Wissensmanagementl sungen betrachtet werden Es lassen sich hierf r fol gende Aspekte untersche
315. issen dar da sie eine Menge von Anwen dungsf llen manifestieren kann Referenzmodelle besitzen wie Ontologien eine semantische Dimension wobei Referenzmo delle zus tzlich eine normative Semantik aufweisen und somit eine empfehlenswerte Konzep tualisierung einer Dom ne spezifizieren Die Spezifikation der Referenzmodelle erfolgt durch eine Kombination aus nat rlich und formal sprachlichen Mitteln wohingegen die Spezifizie rung von Ontologien tendenziell durch formale Sprachen erfolgt Auch werden Referenzmo delle f r eine bestimmte Dom ne entwickelt hier IS Sicherheitsmanagement und entspre 52 Vol Gappa 1995 S 4 43 Vgl Puppe et al 1996 S 70 454 Vgl Sch tte 1998 S 81 455 Sch tte 1998 S 69 163 Entwurfsmodell chen bzgl des jeweiligen Betrachtungsspektrums somit den Dom nen Ontologien Ontolo gien werden dagegen auch f r weitere Gegenstandsbereiche wie Commonsense Aufgaben oder Methoden Ontologien verwendet Auf Grundlage der IS Sicherheitsstrategien werden an das Referenzmodell und an das darauf basierende WBS unterschiedliche Anforderungen gestellt Bei dem Bottom Up Ansatz steht die Konkretisierung von IS Sicherheits Referenzmodellen in unternehmensspezifischen Sys temmodellen durch objektorientierte Techniken im Vordergrund Ausgangspunkt sind Klas senhierarchien die dem konkreten Problem angepasst werden Als Ergebnis entsteht ein ob jektorientiertes Systemmodell das die spezifische
316. issen darzustellen Mit Fuzzy Control Systemen die seit Ende der 80er Jahre erfolgreich z B in Haushaltsanwen dungen Waschmaschinen Mikrowellen fen oder Video Kameras eingesetzt werden ist es m glich eine wissensbasierte Unsicherheitsverarbeitung zu unterst tzen Damit wird lin guistisch formuliertes Wissen repr sentiert Im Gegensatz zur traditionellen Logik wird bei der Fuzzy Logik die Zugeh rigkeit eines Ob jektes zu mehreren Mengen durch eine bestimmte Wahrscheinlichkeit festgelegt So kann bei der traditionellen Logik das Element A nur zur Menge X oder Menge Y geh ren Mit Hilfe 482 Engl certainty factors 483 Vgl Kurbel 1992 S 33 Konfidenzfaktoren werden auch als Gewissheitsfaktoren bezeichnet Vgl auch Spies 1993 5 49 4 Vgl Frank 1988 S 57 55 Vgl Puppe 1991 5 52 86 Zimmermann 1997 5 4 57 Vgl Schulte 1993 S 11 88 Vgl Lelke 1999 S 3 4 4 4 4 4 186 Entwurfsmodell von graduellen Zugeh rigkeitsfunktionen kann bei der Fuzzy Logik das Objekt A mit einer gewissen Wahrscheinlichkeit zur Menge X und Menge Y geh ren Die unscharfen Mengen z B linguistische Variablen k nnen mit Operatoren wie Vereinigung Durchschnitt oder Ne gation verarbeitet werden Linguistische Variablen besitzen als Auspr gungen Worte oder Ausdr cke der nat rlichen Sprache So kann der Grad an Vertraulichkeit durch eine linguis tische Variable mit den Werten hoch
317. issen wird in der Dissertation von Stelzer 1993 vorgestellt Im Objekt modell werden Gefahren sicherheitsrelevante Elemente und gef hrdende Ereignisse mit Hilfe von Objekten und deren Attributen und Methoden dargestellt Die Objekte werden in Form von Instanzen aus Klassen gebildet So kann das Objekt PC aus der Klasse Hardware oder das Objekt Anwendungssoftware aus der Klasse Software instanziiert werden Die folgende Tabelle basiert auf dem Konzept von Stelzer und stellt einen Ausschnitt f r ben tig te Objekte einer objektorientierten Wissensrepr sentation dar Aspekte der Darstellung Attribute Quellen der Realwelt im Svstem Attributwerte Gefahren Objekte Name im System vorgegeben Se u Gefahrenquellen im System ea a EN vorgegeben 9 Immo Infra betroffene im System struktur Elementklassen vorgegeben sicherheits Objekte identifizierende Benutzereingabe relevante Elemente Attribute gene Beziehungsattribute Benutzereingabe ware KSE relevante Gefahren im System vorgegeben gt speichert speichert 6505 realisierte Benutzereingabe E Informa E Sicherungs gramme ann ver ndern tionen ma nahmen wird gem verarbeitet mit bekannte Benutzereingabe BERT Uess wird ben tigt f r Schwachstellen N weg gef hrdende Objekte aktuelle Gefahr Ermittlung durch Proze Ereignisse das System identifizierende Ermittlung dur
318. issens in den Vordergrund gestellt Es ist zu beachten dass nicht das eine WBS existiert das mit seinen Repr sentationsformalismen alle Formen von Dom nen und deren Wissen verarbeiten kann Dies w re ein Versuch ein GPS nach dem Transferansatz zu entwickeln bei dem das Probleml sungsverhalten durch vorgegebene Repr sentationsfor men bestimmt wird Vielmehr wird in der Arbeit ausgehend vom Expertisemodell ein geeig netes WBS konstruiert wobei das Entwurfsmodell eine Zwischenstufe darstellt 503 XPS Expertensystem 7 Vgl Curth B lscher Raschke 1991 5 21 Hoppe 1992 5 6 Bachem 1994 5 15 18 und Wolfertz 2001 5 457 505 Zelewski 1989 S 16 506 Kurbel 1991 S 18 507 Kurbel 1991 S 22 5 Vol Kurbel 1992 5 26 211 Implementierung In der folgenden Tabelle werden die wesentlichen Hauptunterscheidungsmerkmale zwischen konventionellen und wissensbasierten Systemen dargestellt Es ist zu beachten dass es sich um eine sehr grobe Einteilung handelt es existiert ein breites Kontinuum zwischen den zwei Extremen Konventionelle Systeme Wissensbasierte Systeme en ne Wissensbasis und Probleml Wissensbasis und Probleml Probleml sungs sungskomponente sind miteinan sungskomponente sind weitge komponente der verzahnt hend getrennt Symbolische Repr sentations Formale mechanische Algorith formen und intelligente Infe men und Daten sind die Grundla renz sind die Grundlage der
319. ist es sinnvoll das assoziative Wissen zur berpr fung einer Hypothese explizit durch ein manifestierendes Modell getrennt vom Hypothesengenerierungs Wissen abzubilden Hypothese 5 986 assozilerte berpr fung vermutete weitere fehlende Ma nahmen Abbildung 74 Manifestierende Test Gruppen Hierzu werden zur berpr fung notwendige vermutete fehlende Ma nahmen zu Gruppen Tests zusammengefasst bzw assoziiert damit diese auch im jeweiligen Kontext zusammen h ngend erfragt werden Hierbei werden bei den Generierungs und Test Zyklen immer nur die berpr fungs Merkmale ausgew hlt die zur berpr fung notwendig sind Erst wenn die Schwachstelle verd chtigt wird werden die berpr fungs Ma nahmen aktiviert Diesen berpr fungs Gruppen kann eventuell das Kosten Nutzen Wissen hinzugef gt werden um den Aufwand der zus tzlichen Erhebung und dessen Nutzen abzusch tzen 36 Vgl Puppe 1991 S 79 146 Expertisemodell 3 4 2 2 Establish Refine Strategie hierarchische Klassifikation F r die berpr fung und Verfeinerung von Schwachstellen ist es besonders hilfreich wenn Abh ngigkeiten zwischen Schwachstellen und Ma nahmen zus tzlich durch hierarchische Modelle abgebildet werden k nnen Die vermuteten fehlenden Ma nahmen und Schwachstel len k nnen dann bersichtlich strukturiert werden und die Establish Refine Strategie ange wandt werden Ferner Kann f
320. ist gegeben Dieses Prob lem wird auch Knowledge Engineering genannt 48 Vol Kurbel 1992 S 36 9 Vgl Primio 1993 und Dodenh ft 1995 450 Vgl Sch tte 1998 S 114 S1 Vgl Kurbel 1992 5 70 162 Entwurfsmodell e Zudem ist der IS Sicherheitsexperte von einem hochbezahlten Knowledge Engineer ab h ngig was wiederum zu konomischen Problemen in der sp teren Erweiterung und Pflege des WBS f hrt wenn dies ausschlie lich durch einen Knowledge Engineer erfolgt Programmierer und auch der Knowledge Engineer sind gew hnt ihre Programme bzw Re pr sentationssprachen in Form von vorgegebener und formaler Syntax Programmcode ein zugeben Bei der direkten Wissenseingabe werden aber Fachexperten und der Knowledge Engineer in einer Person vereint F r eine solche direkte Form der Wissenseingabe durch ei nen Fachexperten ist eine Repr sentationssprache erforderlich welche die Ausdrucksformen des Fachexperten unterst tzt Visuelle Repr sentationssprachen unterst tzen die direkte Wis senseingabe durch einen IS Sicherheits Fachexperten sind aber nicht auf einen formalen Knowledge Engineer ausgerichtet Jedoch ist der Grad an grafischer Unterst tzung stark von der Komplexit t bzw von dem Umfang der Syntax abh ngig Grunds tzlich gilt Je ein geschr nkter die Syntax desto mehr grafische Unterst tzung ist m glich Diese anwenderfreundlichen und visuellen Repr sentations
321. it t und Anzahl der Regeln Regeln sind modular aufgebaut und k nnen unabh ngig von anderen Regeln und der Fakten basis hinzugef gt oder entfernt werden Durch diese Modularit t gewinnt der Kontrollfluss bei einer geringen Anzahl von Regeln sehr schnell eine hohe Komplexit t Schw chen liegen deshalb besonders in der Ineffizienz bei gro en Wissensbasen die zu komplexen und um fangreichen Regelstrukturen f hren Aus diesem Grund ist eine stufenweise Erstellung einer Regel Wissensbasis m glich Die Grundausrichtung besteht darin viele einfache Verkn p fungsregeln und wenige komplexe Generierungsregeln anzugeben 182 Entwurfsmodell Komplexit t der Regeln niedrig hoch 2 5 8 Generierungs D 5 regeln D g 5 Ersetzungs 2 8 Verkn pfungs regeln lt Abbildung 103 Zusammenhang zwischen Komplexit t und Anzahl der Regeln Auf der ersten Stufe werden nur Frage und Antwortstrukturen repr sentiert die zwar sehr schnell zu erstellen sind jedoch f r eine umfangreiche Probleml sung nicht ausreichen Mit Verkn pfungsregeln sind eine automatische Erhebungssteuerung und eine einfache Problem l sung m glich Durch den einfachen Aufbau von Verkn pfungsregeln kann eine hohe An zahl dieses Regeltyps repr sentiert werden F r eine umfangreiche Probleml sung sind Erset zungs und Generierungsregeln notwendig wobei insbesondere bei Generierungsregeln deren Komplexit t gegen ber Verkn pfungs
322. k Force Ma nahmenkatalog f r ein sicheres Datenschutzaudit Internet Common technische Pr fkriterien f r Produkte S und Systeme E NIST FIPS Validierung von Krypto Modulen 5 ECMA 5 Extended Commercially Oriented Functionality Class for Security Evalua tion technisch nicht technisch Tabelle 5 Differenzierte Zusammenstellung der Kriterienwerke Die Einteilung in produktorientierte und system bzw umgebungsorientierte Sicht zeigt die Extrempositionen f r den Einsatz von Kriterien Eine umfangreiche Verwendung von Krite rien erfolgt durch einen kombinierten bzw erg nzenden Einsatz der erforderlichen Bestand teile von Kriterienwerken So k nnen z B einzelne Verfahren bzw Prozesse in einer konkre ten Einsatzumgebung mit Hilfe von systembezogenen Kriterien analysiert werden oder zerti fizierte Produkte k nnen eine Voraussetzung f r eine sichere umgebungsorientierte Sicht bil den IT Grundschutz bzw IT Baseline des BSI Ziel des IT Grundschutzes ist es durch infrastrukturelle organisatorische personelle und technische Standard Sicherheitsma nahmen ein mittleres Sicherheitsniveau f r IT Systeme aufzubauen das auch f r sensible Bereiche ausbauf hig ist Zum Schutz der Infrastruktur sind Grundschutz bzw Baseline Ma nahmen h ufig ausreichend wenn es sich um standardi sierte IT Systeme handelt Das folgende Schichtmodell strukturiert die Ma nahmenberei
323. karan Josephson Benjamins 1999 Chandrasekaran B Josephson J R Benjamins V R What are Ontologies and why do we need them In IEEE Intelligent Systems Vol 14 1 1999 pp 20 26 Churley 2002 Churley A FIPS US Standards f r Informationssicherheit In KES Jg 2002 1 S 75 76 Ciechanowicz 1997 Ciechanowicz Z Risk analysis requirements conflicts and problems In Computers amp Security Vol 16 3 1997 pp 223 232 Clancey 1985 Clancey W J Heuristic Classification In Artificial Intelligence Vol 27 3 1985 pp 289 350 276 Cobit 2001 Information Systems Audit and Control Association ISACA CobiT 3rd edition Z rich 2001 Ver ffentlicht im Internet URL http www isaca ch download cobit cobit_broschuere_2001 pdf Stand 15 01 2003 Curth B lscher Raschke 1991 Curth A B lscher A Raschke B Entwicklung von Expertensystemen M n chen Wien 1991 D21 2001 Arbeitsgruppe 5 der Initiative D21 Sicherheit und Vertrauen im Internet IT Sicherheitskriterien im Vergleich 12 2001 Ver ffentlicht im Internet URL http www initiativeD21 arbeitsgruppen Ssicherheit leitfaden pdf Stand 10 12 2002 Dambeck 2003 Dambeck H Datenschutz In Magazin f r Computertechnik c t Jg 2003 H 1 S 32 Damm et al 1999 Damm D Schlienger T Teufel S Weidner H RSD XPS Ein Expertensystem f r die Internet Sicherheitskonzeption In
324. kations technologie realisiert Schon 1968 hat Ackoff auf die Problematik hingewiesen dass es nicht zu wenig sondern eine Informationsflut im Unternehmen exis tiert Die damaligen MSS waren nicht in der Lage dem Management ein wir kungsvolles computergest tztes Werkzeug zu bieten Aus diesen Problembe reichen sind die modernen MIS und weitere Formen von MSS entstanden Moderne MIS zeichnet sich durch einfach ergonomisch gestaltete Benutzerober fl chen aus Diese Uhnterst tzungsklasse basiert auf Standardfunktionen die meist in Form von Verkn pfungs und Verdichtungsoperatoren angeboten wer den In diese Klasse von MSS fallen die Management Information Systems MIS und f r die F hrungsebene vor allem die Executive Information Systems EIS Bei dieser Unterst tzungsklasse werden konkrete Entscheidungsprozesse wie Einzel oder Gruppenentscheidungen unterst tzt Decision Support basiert auf computergest tzten Methoden und Modellen die vom Entscheidungsvorbereiter auf das konkrete Entscheidungsmodell angewandt werden In diese Klassen lassen sich die Decision Support Systems EUS einordnen Es werden nicht bestimmte Entscheidungen betrachtet sondern sie sind auf die Entscheidungstr ger oder gruppen und auf den ben tigten Informationsbedarf ausgerichtet Diese Unterst tzungsklasse verlangt eine arbeitsplatzindividuelle Kombination aus Data und Decision Support Diese Systeme oder Konzepte werden als Executive Supp
325. kmalswerte ermitteln Die Antwortm glichkeiten sind von den Antworttypen abh ngig Diese Typen werden in folgende Kategorien eingeteilt wobei sie auch miteinander kombi niert und weiter spezialisiert werden k nnen e Identifikationstyp Fragen nach wer wo wann wie viele oder welche Diese Frage kann als offe ne Frage beliebiger Text kann eingegeben werden z B bestimmte Angaben der Name einer Person oder geschlossene Frage dargestellt werden die Frage bietet eine endliche Zahl an Alternativen an z B Betriebssysteme e Selektionstyp Alternativfrage Eine Frage dieses Typs stellt dem Befragten mehrere Antwortm glichkeiten zur Verf gung aus denen dieser eine oder mehrere Alternativen ausw hlen bzw selektieren kann Bei der Auswahl von alternativen Antwortm glichkeiten k nnen mehrere Alternativen markiert werden wohingegen bei selektiven Antwortm glichkeiten nur eine Alternative ausgew hlt werden kann e Ja Nein Typ Eine Ja Nein Frage ist ein h ufig verwendeter Spezialtyp von Selektionsfragen und besitzt als Antwort einen bin ren Wert 76 Vgl Atteslander 1995 S 180 ff 173 Entwurfsmodell Frage Antwortm glichkeiten Identifikationstyp Offen oder geschlossen Selektionstyp Nur eine Antwort kann ausgew hlt werden Alternative 1 X Alternative2 Alternative 2 Alternativtyp Mehrere Antworten k nnen ausgew hlt werden Altern
326. konzepte f r Wissensbasierte Systeme IBM Deutschland Wis senschaftliches Zentrum Institut f r Wissensbasierte Systeme Trier 1991 Weck 1995 Weck G Planung und Realisierung der Informationssicherheit In Pohl H Weck G Hrsg Handbuch 2 Managementaufgaben im Bereich der Informationssicherheit M nchen Wien 1995 S 9 24 299 Wedde Schr der 2001 Wedde P Schr der L Hrsg Das G tesiegel f r Qualit t im betrieblichen Daten schutz Quid Frankfurt a M 2001 Wedekind et al 1998 Wedekind H G rz G K tter R Inhetveen R Modellierung Simulation Visualisie rung Zu aktuellen Aufgaben der Informatik In Informatik Spektrum 21 Jg 1998 H 5 6 265 272 Wehner 1995 Wehner T Sichere Systeme als Einstellungs und Bewu tseinsproblem In Vo bein R Hrsg Handbuch 3 Organisation sicherer Informationsverarbeitungssysteme M n chen Wien 1995 S 25 40 Weissenfluh 1990 Weissenfluh A von Expertensysteme Berner betriebswirtschaftliche Schriften Band 5 Griese J K hn Hrsg Bern Stuttgart 1990 Welge Al Laham 1992 Welge M K Al Laham A Planung Prozesse Strategien Ma nahmen Wiesbaden 1992 Werner 1992 Werner L Entscheidungsunterst tzungssysteme Heidelberg 1992 We 1996 We S Fallbasiertes Probleml sen in wissensbasierten Systemen zur Entscheidungs unterst tzung und Diagnostik Sankt Augustin 1996 Winzler Holbein 1996 Winzler S Hol
327. l 3 4 Probleml sungsans tze f r IS Sicherheitsstrategien Ein zentrales Problem des Knowledge Engineerings ist das Knowledge Interaction Prob lem welches die Abbildung des Dom nenwissens auf das Probleml sungswissen und umge kehrt beinhaltet Wissenskomponenten anwendungsorientiert db Knowledge Interaction Hypothesis Knowledge Interaction Problem 2 IS Sicherheits IS Sicherheits Probleml sungs _ IS Sicherheits Konzepte Dom ne prozesse strategien S gmponenten Abbildung 68 Knowledge interaction problem Die Abbildung l sst sich durch folgende Extrempositionen beschreiben Durch die Unabh ngigkeit der beiden Wissenskomponenten Dom ne und Probleml sung ist eine Wiederverwendung reuse der jeweiligen Wissenskomponenten m glich Somit k nnen unterschiedliche Probleml sungsprozesse des IS Sicherheitsmanagements eine Repr sentation der IS Sicherheitsdom ne verwenden Mehrere Auspr gungsformen einer IS Sicherheitsrepr sentation k nnen durch einen Probleml sungsprozess angewandt werden Diese Unabh ngigkeit wird z B durch den KADS Ansatz gefordert wobei die vollst ndige Wiederverwendung durch die Relative Interaction Hypothesis relativiert 29 So bestehen in gewissem Umfang Abh ngigkeiten bzw Anforderungen zwischen Repr sentationen und Probleml sungsmethoden der Probleml sungsprozesse so dass keine vollst ndige Wied
328. lationseffekte der Sch den zu achten Dabei wird nach dem Maximumprinzip verfahren so dass der st rkste Schaden bzw die st rkste Konsequenz f r die Bestimmung des Schutzbedarfes ausschlagge bend ist Besitzt ein IT System niedrigen bis mittleren Schutzbedarf so ist der IT Grundschutz ausreichend Bei h herem Schutzbedarf sollte zus tzlich eine Risikoanalyse durchgef hrt werden 84 Informationssystemsicherheits Management Die Schutzbedarfsfeststellung ist Bottom Up gepr gt da wie in der Risikoanalyse die Infor mationssysteme erst in ihre Einzelbestandteile zerlegt werden und dann f r jedes einzelne IT System der Schutzbedarf nach dem Maximumprinzip ermittelt wird Das Ergebnis wird an schlie end in Form einer Tabelle dargestellt die f r jedes IT System den Schutzbedarf nach dem jeweiligen Sicherheitsbasisziel beschreibt IT Grundschutz erstellen Kern des Grundschutzhandbuchs bilden vordefinierte IT Bausteine sowie ein Ma nahmen und Gef hrdungskatalog wobei die IT Bausteine in einem Schichtenmodell strukturiert sind Mit den IT Bausteinen wird die zu analysierende Systemlandschaft durch Standard Bausteine abgebildet Mit den IT Bausteinen sind Soll Ma nahmen verkn pft die durch eine direkte Anwendung einen Grundschutz erstellen k nnen IT Baustein Kapitel Kurzbeschreibung des verkn pft IT Bausteins verkn pft Gef hrdungskataloge Ma nahmenkataloge Gefahren die auf den IT empfohlene Bau
329. ldung 80 Zusammenhang zwischen Inferenz Templates und Probleml sungsmethoden der IS Sicherheitsstrategien Die Templates sind unabh ngig von dem spezifischen Anh ngigkeits bzw Probleml sungs konzept oder der Dom nenbasis einer IS Sicherheitsstrategie sie haben aber schon die we sentlichen gemeinsamen Inferenz Strukturen der IS Sicherheitsstrategien Probleml sungs methoden Durch Kombination der Templates entstehen zusammengesetzte Probleml sungs methoden die als Probleml sungs Szenarien bezeichnet werden Bei Ver nderungen der Templates ist darauf zu achten dass die Schnittstellen der Wissens Rollen erhalten bleiben Die folgende Abbildung stellt die Templates dar 2 Vgl Puppe et al 1996 S 120 153 Expertisemodell Beobachtungs eigenschaften BE d erfassen und erfasste Beobachtungen Ergebnisse der Merkmals erkennung Merkmale Wirkungen Ergebnisse der Hypothesen generierung Hypothese Ursache manifestierendes Modell Problembereiche Zust nde a 7 Beobachtungs N _ auswahl erwartete Beobachtungen 4 Vorgabenmodelle Merkmals N erkennung Bewertungsmodell gt Hypothesen _ E Generierungsmodell La Vorgabenmodelle Merkmale Wirkungen sortierte
330. len Umst nden zum Ziel hat Insbesondere das Ziel der Verf gbarkeit stand im Vordergrund Hierbei waren und sind insbesondere Aspekte der IS Sicherheit von Bedeutung da immer mehr Gesch ftst tigkeiten von computergest tzten In formationssystemen und deren Sicherheit abh ngen Erste Realisierungsformen des BCM hatten berwiegend reaktive technische Implementierungen als L sung anzubieten Es wurde schnell erkannt dass diese reaktive Sicht durch eine antizipative bzw pr ventive Sichtweise der IS Sicherheit zu erg nzen war Zudem ist eine allein technisch orientierte Sichtweise nicht mehr ausreichend und wird durch zus tzliche organisatorische Aspekte der IS Sicherheit wie z B mittels Katastrophenpl ne erg nzt Somit definiert das Business Continuity Institute das BCM wie folgt as the act of anticipating incidents which will affect mission critical func tion and processes for the organisation and ensuring that it responds to any incident in a planned and rehearsed manner whilst the business recovers gt 310 Schily 2001 Vgl Brownlee Guttman 1998 312 Teaminfo 2001 Kapitel 3 1 313 FIRST Forum of Incident Response and Security Teams F r weitere Informationen URL http www first org Stand 10 10 2002 14 Vgl CERT Einrichtungen 2002 315 Sharp 2002 S XI 90 Informationssystemsicherheits Management Dieses pr ventive und reaktive IS Sicherheitsmanagement soll auf Top Down und
331. lichkeit hat das Interview zu beeinflussen Die Frageb gen k nnen ebenfalls in elektronischer Form vorliegen was eine Effizienz und Flexibilit tssteigerung gegen ber der manuellen Erhebung und Auswertung beinhaltet Die Vorteile liegen insbeson dere in der automatischen berwachung und Steuerung der Fragenreihenfolge der automati schen Antwortkontrolle der Vermeidung von bertragungsfehlern der Antwortzeitmessung und der Unterst tzung verschiedener Sprachen Ein computergest tzter Fragebogen ver wendet h ufig standardisierte geschlossene Fragen die die Antwortm glichkeiten vorgeben Durch standardisiert gestaltete Fragen ist gew hrleistet dass die Erhebung objekt und nicht personenbezogen erfolgt Offene Fragen werden zus tzlich verwendet wenn der Befragte inhaltliche Aussagen t tigt die nicht durch den Fragenkatalog abgedeckt sind Die folgende Abbildung zeigt den grunds tzlichen Aufbau eines computergest tzten Frage bogensystems in Verbindung mit der SISSA Informationsgewinnung Basis und Spezialmodule Kriterien werke _ Auswahl b gen Verzweigungs und und Interaktions Antwortbaustein baustein gt Erhebung der Schwachstellen A d NN gt Auswertung und Zusam speicher 2 baustein menf hrung der Ergebnisse optionale Risikoanalyse und andere Auswertungsbaustein Konzepte Informat
332. lierte Expertenwissen angef hrt werden soll Das zus tzliche individuelle menschliche Expertenwissen kann durch beide Abh ngigkeitskon zepte formalisiert werden Dabei ist zu beachten ob zuverl ssiges oder heuristisches Wissen vorliegt da im ersten Fall das kausale und im zweiten Fall das assoziative Abh ngigkeitskon zept vorzuziehen ist 3 2 3 1 Kausale Abh ngigkeitskonzepte Die zentrale Aufgabe des kausalen Abh ngigkeitskonzeptes ist aus dem Verhalten und den Funktionen der Informationssysteme die entscheidenden kausalen sicherheitsrelevanten Ab h ngigkeiten zu extrahieren 113 Expertisemodell Verhalten und Funktionen des Informationssystems He Teilmenge der kausalen sicherheitsrelevanten Abh ngigkeiten Wirkung Ursache Ereignisablaufanalyse Fehlerbaumanalyse Abbildung 49 Teilmenge kausaler sicherheitsrelevanter Abh ngigkeiten Diese sicherheitsrelevante Untermenge des Verhaltens und die Funktionen eines Informati onssystems in Form eines Ursachen Wirkungsmodells werden mittels des FMEA Verfahrens angewandt FMEA ist eine formalisierte Methode um e ausgehend von einem unerw nschten Zustand oder Ereignis des Systems z B Ausfall die daf r m glichen Ursachen zu ermitteln Fehlerbaumanalyse e ausgehend von einem Anfangsereignis bzw einer Ursache die Folgewirkung bzw Fehler fortpflanzung sowie den Endzustand im System zu ermitteln
333. litative Auswertung nicht ersetzen sondern erg nzen sollen Die Grundstruktur der Erweiterung ist in der fol genden Abbildung dargestellt 176 Entwurfsmodell u apitel 1 apitel 1 1 Ebene 0 Ebene 1 Kapitel 1 2 Gesamt Gesamtwert wert Gewicht Wert Kapitel 2 gt Kapitel Kapitelwert 1 Gewicht Wert Kapitel Kapitelwert Ebene 3 14 gt Gewicht Wert Kapitel Kapitelwert 2 Gewicht Wert Kapitelwert gt Gewicht Wert Frage Frage Frage gt Wert 0 schlechter Wert bis 100 guter Wert Frage n Frage na Berechnungsrichtung Abbildung 96 Rekursive Berechnung von Kapitel und Fragenwerten Jede quantifizierbare Antwortm glichkeit kann einen Wert annehmen Die Antwortwerte je der Frage werden addiert und wie folgt zus tzlich zu einem Fragenwert von 0 bis 100 gewichtet Gewichtungsalternativen von Fragenwerten Anzahl der beantworteten Antwortm glichkeiten aktueller Antwortwert gt Werte beantworteter Kontrollelemente Fragenwert maximaler Antwortwert Fragenwert Antwortm glichkeiten X Werte der Kontrollelemente 1 een Bei alternativen Antwortm glichkeiten k nnen mehrere werden S Alternativen ausgew hlt werden Tabelle 18 Gewichtungsberechnung von Frag
334. llen Auswirkungen erm glichen ermitteln Vorfall Wirkungsanalyse r Ke Schwachstellen Risikoanalyse analyse FMEA orientiert d Breitensuche Tiefensuche Kriterien oo werke i Informations systemmodell Abbildung 39 IS Sicherheitsstrategien des integrierten IS Sicherheitsmanagements Die Schwachstellenanalyse basiert im Wesentlichen auf allgemein g ltigen Kriterien die Ri sikoanalyse beruht auf einem Modell des Informationssystems das die unternehmensindivi duelle Infrastruktur abbilde Die folgende Tabelle fasst das integrierte IS Sicherheitsmanagement zusammen 91 Informationssystemsicherheits Management pr ventive reaktive Sichtweise Sichtweise Top Down Die pr ventive Sichtweise wird in erster Linie durch die 5155 unterst tzt da sie im Vor feld Schwachstellen von Informationssyste men aufdeckt und entsprechende pr ventive Ma nahmen empfiehlt Sie kann durch eine Breitenanalyse pr ventiv viele Bereiche der Institution abdecken da standardisierte Mo dule verwendet werden Die Schwachstellenanalyse erm glicht eine Breitensuche von Schwachstellen welche die negativen Vorf lle erm glicht haben Hierbei wird davon ausgegangen dass In formationssysteme die keine Schwachstel len besitzen Vorf lle verhindern k nnen Sind aber Schwachstellen ermittelt worden erm glichen diese dass ein negativer Vorfall entsteht Somit stellen Schwachstellen indi rekte
335. llierte Konstruktion eine individualisierte Tie fenanalyse f r die berf hrten Bereiche m glich Das Dom nenmodell des Top Down Ansatzes wird dagegen direkt auf die Institution ange wendet und beinhaltet somit einen geringen berf hrungsaufwand denn das fallspezifische Wissen wird mit Hilfe von Fragenkatalogen erhoben deren Antworten als Grundlage f r die Probleml sung dienen Es ist somit nur eine grobe Anpassung an die spezielle Unternehmens situation zu erwarten da hier keine Modellierung der unternehmensspezifischen Infrastruktur n tig ist wodurch auch eine Breitanalyse f r alle Bereiche erm glicht wird 232 Implementierung 5 3 Prototypische Realisierung einer Diagnose Shell zur Erstellung von wissensbasierten Fragenkatalogen Bei Wissenssysteml sungen soll die Balance zwischen dem Formalisierungsgrad des repr sentierten Wissens und dem damit verbundenen Erhebungsaufwand einerseits und dem er reichten Nutzen anderseits beachtet werden Bottom Up gepr gte Systeme besitzen einen hohen Formalisierungsgrad des IS Sicherheitswissens sowie eine individuelle Anpassung an die unternehmensorientierte IS Struktur Der damit verbundene hohe Aufwand ist nur in besonders sensiblen IS Bereichen gerechtfertigt wenn zudem das IS Sicherheitswissen pr zise formuliert werden kann Die Top Down Systeme dagegen orientieren sich an der Anwendbarkeit des verf gbaren IS Sicherheitswissens wobei der Anpassungsgrad an die individuelle
336. llung von Abh ngigkeiten der Wissenselemente erm glichen e Die berf hrungskomponente erm glicht das Dom nenwissen an eine spezifische Insti tution anzupassen Der berf hrungsgrad kann in Abh ngigkeit der jeweiligen Repr sen tationsform variieren So werden bei einem wissensbasierten Fragenkatalog die ben tigten Bereiche mit geringem Anpassungsaufwand direkt angewendet wohingegen die Anpas sung bei objektorientierten Systemmodellen an ein konkretes Informationssystem umfang reicher ist Die Erhebungskomponente bildet die Schnittstelle f r den Dialog zwischen Endbenutzern mit dem System Durch die Interviewkomponente werden Informationen ber einen be 59 Vgl Puppe 1991 S 12 530 Es ist zu beachten dass dom nenspezifisches Wissen nur w hrend des Inferenz Prozesses in statischer Form vorliegt Dom nenspezifisches Wissen kann w hrend der Wissenserwerbs und Wartungsphase ver ndert wer den und besitzt somit auch eine dynamische Komponente 531 Vgl Gabriel 1992 5 41 532 Vgl Kirchhoff 1994 S 2 ff 533 Vgl Puppe Stoyan Studer 2000 S 616 216 Implementierung stimmten Problemfall erhoben bzw erfragt Insbesondere wenn es sich um keinen versier ten Computerexperten handelt ist es erforderlich dass sich die Interviewkomponente in tuitiv bedienen l sst und eine umfangreiche Hilfeleistung anbietet Bei der Erhebungs komponente steht die Dialoggestaltung wie Fenstertechnik maus sensitive
337. lnen Erf llungsgrade der Pr missen angenommen wird So ist z B bei der zweiten Regel der Erf llungsgrad der ersten Pr missen Datenmenge niedriger als der der zweiten Pr missen Beanspruchung der Festplatte Aus diesem Grund wird der Erf llungsgrad der ersten Variablen verwendet Wenn eine ODER Verkn pfung vorliegt wird das Maximum des Erf llungsgrades als Aggregationsoperator angewandt Im zweiten Teilschritt Implikation wird aufgrund des ermittelten Erf llungsgrades die zugeh rige Konklusion hier das Risiko f r die jeweilige Regel ermittelt Der ermittelte Erf llungsgrad hier Minimum bildet den Grad der jeweiligen Konklusion ab Im dritten Teilschritt werden die einzelnen Konklusionsmengen aggregiert Als Ergebnis entsteht eine Vereinigung der Konklusionsmengen zu einer unscharfen Ergebnismenge 3 Defuzzyfizierung Aus dem ermittelten unscharfen Inferenz Ergebnis in Form der vereinigten Menge ist wieder ein scharfes Ergebnis zu ermitteln Dabei wird h ufig der Fl chenschwerpunkt der Menge wie im unteren Beispiel oder der Mittelwert der Maximalwerte verwendet Der ermittelte Wert im Beispiel 63 kann wiederum in einen linguistischen Wert umgewan delt werden So k nnen auf einer Skala die Risikowerte 1 bis 100 in niedrig mittel und hoch aufgeteilt werden Im Beispiel w re der Wert zwischen mittel und hoch einzustufen Obwohl mit wenigen quantitativen Regeln und sinnvoller Festlegung von Zugeh
338. lust als nicht besonders gravierend eingestuft oder gar nicht bemerkt z B der h ufig anzutreffende Datenfriedhof Daten und Informationssystemsicherheit Informationssysteme IS sind sozio technische Systeme mit menschlichen und technischen Komponenten Mensch Maschine Beziehung die als Ziel ein definiertes Informationsange bot bzw eine definierte Informationsnachfrage decken sollen S mtliche erforderliche Per sonen sowie eine Aufbau und Ablauforganisation und technische Komponenten Hard und Software bilden die Informationsinfrastruktur Die Sicherheit im Kontext der Begriffe Information und Informationssysteme wird in der Literatur mit facettenreichen Begriffsauspr gungen beschrieben So werden die Begriffe Da tenschutz Datensicherheit Informationssicherheit Computersicherheit Kommunikationssi cherheit Sicherheit der Informationsverarbeitung Informationssicherung usw im Kontext der sicheren Verarbeitung von computergest tzten Informationssystemen verwendet Die Be griffsauspr gungen werden h ufig synonym verwendet obwohl sie unterschiedliche Aspekte der Sicherheit im Kontext der Informationssysteme und verarbeitung widerspiegeln In der folgenden Abbildung erfolgt die Abgrenzung der Sicherheitsbegriffe auf der Grundlage der Differenzierung zwischen Daten und Informationen Es wird deutlich dass Aspekte der Teilmenge einen Bereich der Obermenge darstellen 5 Ein System ist eine geordn
339. m nenebene beschrieben Hierbei werden dynamische und statische Wissens Rollen der Templa tes durch konkrete Basis und Probleml sungskonzepte der IS Sicherheitsstrategien abgebil det assoziatives assoziatives Vorgabenmodell Generierungs manifestierendes Top Down Probleml sung Merkmals Hypothesen Hypothesen erkennung generierung ke berpr fung pr ventive Ma nahmen fehlende weitere fehlende Probleml sung bereich Ma nahmen Ma nahmen assoziative A Schwachstelle reaktive verd chtiger Konsequenz weitere vermutete Probleml sung Zustand Konsequenzen weitere Merkmale Problembereiche Hypothesen deren erwartete Beobachtungen Merkmale Ursachen Beobachtungen Bottom Up Probleml sung kausales kausales Vorgabenmodell Generierungs manifestierendes Modell Modell Merkmals Hypothesen Hypothesen Ee erkennung generierung berpr fung verd chtiger gef hrdendes weitere vorhergesagte reaktive Zustand Ereignis Konsequenzen Probleml sung kausale Zust nde Schwachstelle Beobachtungen Wirkungen Ursachen EE vorausgesagie historische Vorf lle Ereignis Konsequenzen pr ventive Probleml sung weitere Wirkungen kausale F lle und deren Schwachstelle erwartete Ursachen Wirkungen Beobachtungen Abbildung 82 berf hrung der Top Down und Bottom Up Probleml sung auf die Basis Inferenz Templates 155 Expertisemodell Die Merkmalserk
340. m glichen eine Beschreibung der Probleml sungsprozesse auf einer hohen abstrahierten Ebene Hiermit verbindet sich der Anspruch die Wissensinhalte und ihre Funktion f r einen Systemzweck ins Zentrum der Modellierungst tig keit zu stellen und zu abstrahieren von der Form der symbolischen Darstellung des Wissens und den symbolverarbeitenden Prozeduren die die Funktionalit t eines Systems hervor bringt Die Wissensebene beinhaltet somit eine abstrahierte Beschreibung der Dom ne Vgl Sch tte 1998 S 49 82 Vgl Lenz 1991 S 43 Vgl Studer Benjamins Fensel 1998 S 163 Vgl Newell 1982 46 G rz Wachsmuth 2000 5 8 28 Einf hrung mittels eines Expertisemodells auf einer epistemologischen Ebene unabh ngig von der sp te ren Operationalisierung auf der Symbolebene 1 3 1 Probleml sungsmethodenorientierte Ans tze Mitte der 80er Jahre entstanden die ersten methodischen Ans tze zur modellorientierten Ent wicklung von Probleml sungsmethoden Dabei standen nicht mehr die universellen Problem l sungen im Vordergrund sondern spezifische Probleml sungsmethoden die auf bestimmte Problemtypen ausgerichtet waren Heute existieren umfangreiche Sammlungen von Problem l sungsmethoden die auf das jeweilige Anwendungsgebiet berf hrt werden K nnen Pioniere der modellorientierten Ans tze waren u a Clancy heuristische Klassifikation Marcus McDermott und Puppe Role Limiting 8 und
341. mbinierten IS Sicherheitsstrategien beschrei ben Das Expertisemodell stellt insgesamt eine Schnittstelle zu der Operationalisierung dar um die konzeptuelle L cke zwischen der Akquisition des IS Sicherheitsmanagements auf der Wissensebene und deren Operationalisierung auf der Symbolebene zu verringern Entwurfsmodell f r das Diagnose WBS Die Konstruktion des Entwurfsmodells erfolgt unter der Pr misse einer direkten Wissensein gabe und Wissensnutzung durch einen IS Sicherheitsfachexperten ohne zus tzliche Hilfe ei nes Knowledge Engineers Durch Fragenkataloge und Regelstrukturen k nnen Kriterienwer ke die die Basis f r den Top Down Ansatz bilden ad quat und anwendungsorientiert abgebildet sowie direkt genutzt werden Durch die regelbasierte Erweiterung k nnen zudem Abh ngigkeiten dargestellt werden die jedoch nicht die gleiche Abbildungsqualit t von salen Systemmodellen erreichen Am Ende des Kapitels wird erl utert wie die diagnostischen Basis Inferenzen Merkmalser kennung Hypothesengenerierung und berpr fung der jeweiligen IS Sicherheitsstrategien des Expertisemodells auf das fragenkatalogorientierte Entwurfsmodell berf hrt werden Das Entwurfsmodell bietet zusammenfassend eine konzeptuelle Grundlage f r die sp tere Imple mentierung von Fragenkatalogen durch ein WBS Das Entwurfsmodell kann des Weiteren zur zus tzlichen Dokumentation im Rahmen einer Wartung und Pflege der fragenkatalogorien tierten Wissensbas
342. mfangreiche monofunkti onale Probleml sungsmethoden ebenfalls durch Inferenz Templates dargestellt werden k n nen 159 Entwurfsmodell 4 Entwurfsmodell Die Repr sentation von menschlichem Wissen kann als symbolische Rekonstruktion von Wissen in einer Wissensrepr sentationssprache verstanden Dies bedeutet Wissen wird in ad quaten formalorientierten Sprachen repr sentiert bzw die Wissensrepr sentation ist eine operationale Umsetzung der Wissensebene in eine Symbolebene Pup pe Stoyan Studer 2000 bezeichnen die Formalisierung als eine T tigkeit bei der eine nat rlich sprachliche Beschreibung der Welt oder eines Weltausschnitts in eine formal sprachliche Beschreibung berf hrt gt wobei f r die Arbeit das Management der IS Sicherheit den zu formalisierenden Weltausschnitt darstellt Das Entwurfsmodell formalisiert die Repr sentationsformen und Probleml sungsmethoden und bildet die Grundlage f r die folgende Implementierung des WBS Hier liegt ein Problem in der Abgrenzung zwischen formalem Entwurfsmodell und der eigentlichen Implementierung Das formale Entwurfs modell soll aber prinzipiell einen h heren Abstraktionsgrad besitzen als die Repr sentation auf der Implementierungsebene Ad quatheit der Wissensrepr sentation Um Kriterien f r die Auswahl einer Wissensrepr sentation und Probleml sung zu ermitteln ist deren Ad quatheit bez glich der Umsetzung des a
343. mit indirekt deren Folge bzw beobachtete Konsequenzen Um auch weitere m gliche Folge Konsequenzen zur Hypothe sen berpr fung zu erhalten werden denkbare Folge Konsequenzen durch eine vorw rtsorien tierte berpr fungsauswahl der Generierungsregeln vorausgesagt Es ist offensichtlich dass schon bei einer geringen Verkn pfungstiefe der Generierungsregeln die Komplexit t sehr schnell ansteigt besonders wenn Ursprungs und Folge Konsequenzen gleichzeitig auftreten Die damit verbundene indirekte berpr fung der beobachteten Konse quenz ist dann nicht mehr nachvollziehbar durchzuf hren Aus diesem Grund ist die aufwen dige Hypothesen berpr fung basierend auf komplexen Zustands nderungen nur auf sensible Sicherheitsbereiche anzuwenden 207 Entwurfsmodell o zu nb suoy zu nb suoy SNENLSNOSNEMYONI St zuenbasuoy sBunudsin Bunyum eyses n NNIM Bunyum eysesin NNIM z eysesin NNIM e Bunyum NNIM zu nb suoy BunyndisanussayjodAH zuenbasuoy sBunudsin SPUSNEYISSNEJOA Bunya m eysesin NN3M gt zuenbssuoy
344. mmiert werden Diese ermittelten Werte k nnen auf einer Skala z B 1 100 normiert und als Indikatoren f r potentiell sicher heitsrelevante Aspekte verwendet werden Die ermittelten Werte sind als Warnsignal f r eine Abweichung von dem Soll Wert gedacht hnlich der Ampeldarstellung Eine feinere Einteilung die mehr als drei Werte aufweist ist nicht sinnvoll da nur eine Tendenz aufge zeigt werden soll 586 So kann z B der Wert zwischen den Grenzen 1 33 Schwachstelle existiert zwischen 34 66 akzep table Schwachstelle und zwischen 67 100 keine Schwachstelle bedeuten 587 Ein hnliches quantitatives Bewertungsmodell f r den Datenschutz wird in K nigshofen 1997 beschrieben 252 Implementierung DS Quant Il 1 Vergabe von Zugrifisrechten 8 Grundlage Zeitliche Begrenzung von Zugrifisrechten 2 Rechtsgrundlagen der 3 Zugriffsrechte bzgl Aufgabenerf llung gt Technische und organi 4 Anpassung der Zugriffsrechte U 3 1 Grunds tzliches 5 Uherpr fung der Zugriffsrechte 32 Ma nahmen zu 5 Ubernr fung der Zugrifisberechtigung 3 3 Ma nahmen zu 3 4 Ma nahmen zu E 3 5 Ma nahmen zu 3 5 Ma nahmen zu 4 Anpassung der Zugsitssechte U 3 7 Ma nahmen zu 75 35 Schwachstellen Sonderformen der Date 59 81 5 Rechte der betroffenen Relatves Gewicht von 17 innerhalb Kapitel Ma nahmen zus Integr l A Schul
345. n F r die Bewertung der Vertrauensw rdigkeit werden sieben Ver trauensw rdigkeitsstufen EAL 1 7 verwendet die eine ansteigende Skala darstellen h her die Vertrauensw rdigkeitsstufen sind umso mehr Vertrauensw rdigkeitskomponenten sind erforderlich FIPS Federal Information Processing Standards Die von der NIST herausgegebenen FIPS haben die Validierung von Krypto Modulen als Ziel Da gewisse US Regierungsstellen den Einsatz von FIPS zertifizierten Produkten vor schreiben stellen FIP Standards auf dem US Markt eine hohe Bedeutung dar Vor allem fol gende FIP Standards sind von Relevanz FIPS 46 3 Data Encryption Standard DEST e FIPS 186 2 Digital Signature Standard DSS e FIPS 180 1 Secure Hash Standard SHA 0 FIPS 197 Advanced Encryption Standard Bei den vier Standards handelt es sich wesentlich um Implementierungsstandards f r kryp tographische Algorithmen Dagegen bilden die FIPS 140 12 und FIPS 140 225 einen Stan dard zur Evaluierung von Qualit t und St rke von kryptographisches Modulen kurz Krypto Module z B Hardware Sicherheitsmodule Im Jahre 1994 wurde die FIPS 1 ver ffentlicht und mit der FIPS 2 wurde 2001 ein berarbeiteter und erweiterter Standard pr sentiert Em Krypto Modul kann eine Hardware Software Firmware oder eine Kombination sein welche kryptographische Algorithmen und optional eine Schl sselgenerierung beinhaltet Es besitzt definierte physische
346. n Identifikations und Authentifizierungs Verfahren oder Ver schl sselungstechniken Informationssystemsicherheit und Informationssicherheit Durch den Begriff Informationssystemsicherheit bzw IS Sicherheit werden ber den funktionalen Charakter hinaus weitere Managementbereiche wie z B organisatorische per sonelle oder rechtliche Aspekte abgedeckt So sind zur Schaffung von Informationssys temsicherheit zus tzliche Gestaltungsaspekte wie z B die Erstellung von IS Sicherheitszielen und IS Sicherheitsstrategien notwendig Der Begriff Informationssicherheit umfasst das vollst ndige Spektrum der Informationssys temsicherheit wird aber in der Literatur aufgrund der teilweisen unsauberen Trennung zwi schen Daten und Informationsverarbeitung ausschlie lich mit Aspekten der Datensicherheit in Verbindung gebracht Im Rahmen dieser Arbeit sind die Begriffe Informationssicherheit und Informationssystemsicherheit inhaltlich gleichgesetzt und werden synonym verwendet IT Sicherheit Datensicht und IS Sicherheit Informationssicht In Anlehnung an die Datenverarbeitung und Informationsverarbeitung lassen sich die Begriffe e IT Sicherheit InformationsTechnische Sicherheit und IS Sicherheit InformationsSystem Sicherheit differenzieren Durch die Orientierung auf die technischen Systeme Hard und Software gelangt man zu dem Begriff IT Systeme Die Informations und Sicherheitstechnologie stellt die
347. n k n nen deren L sungen m glicherweise f r den aktuellen Fall angewandt werden Durch die Lernfunktion wird die Wissensbasis um weitere neue F lle und deren L sungen erweitert 59 Damm et al 1999 5 67 68 50 Vgl Damm et al 1999 S 74 56 BABYLON wurde von Primio 1993 beschrieben 223 Implementierung Current Problem of Risk gt Remember a Analysis Similar Case Problem of Risk Analysis Current Problem of Risk Analysis Apply 4 Current Problem of Risk Analysis Learn Casebase of Risk Analysis Abbildung 126 CBR Prozess angepasst an die Risikoanalyse Die Risikoanalyse wurde weiterhin f r den Bereich Electronic Commerce erweitert so dass auch das CBR System auf diesen Problembereich anzuwenden ist Durch das System werden aktuelle Vorf lle mit historischen Vorf llen verglichen und falls berschneidungen existie ren k nnen die schon vorhandenen L sungen des alten Falls verwendet werden Hierf r ist es n tig historische und aktuelle F lle in einer Wissensbasis zu repr sentieren F r den Ver gleich zwischen historischen und aktuellen F llen wird das Klassifikationsverfahren single lt lt 563 linkage bzw nearest neighbour aus der numerischen Taxonomie verwendet Durch den Probleml sungsvorgang mit Eingabe von neuen Vorf llen und deren Vergleich mit alten
348. n Elements Server bei einem Stromausfall nicht mehr gew hrleistet werden anf llige USV Verlust der Verf g barkeit Abbildung 57 Fortpflanzung von technischen Schwachstellen Die Fortpflanzung l sst sich als Zustands nderung von Basiskonzepten abbilden Ein si cherheitsrelevantes Element mit einer Schwachstelle kann somit in einem anderen Kontext die fehlende oder unzureichende anf llige Ma nahme darstellen Eine Fortpflanzung der Gefahren erfolgt durch Konsequenzen da sich eine Konsequenz f r ein anderes sicherheitsrelevantes Element zur Gefahr entwickeln Kann Bei dieser Form der Beschreibung stehen die kausalen Abh ngigkeiten zwischen der Gefahr dem sicherheitsrele vanten Element und der Konsequenz im Vordergrund Server Applikations raum Backup Verlust von Feuer Server Informationen Ausfall Abbildung 58 Beispiel einer einfachen und erweiterten kausalen Abh ngigkeitskette Auf der Ebene des kausalen Ursachen Wirkungs Wissens kann das Fortpflanzen der Konse quenzen auch als eine Zustands nderung dargelegt werden Dies bedeutet dass eine Konse quenz eines Elementes eine Gefahr f r ein anderes Element darstellt Um komplexere Abh n gigkeitsstrukturen aufzuzeigen sind Heterarchien oder multiple Hierarchien notwendig In der folgenden Abbildung ist ein komplexeres Beispiel f r eine kombinierte assoziierte und kausale Darstellung dargelegt Die Konzepte werden durch
349. n Form von Schutzprofilen aus dr cken und weltweite Standards setzen Durch die CC Toolbox werden Berichte von Sicherheitserfordernissen basierend auf den Vor gaben der CC erstellt Es werden allgemeine PP Berichte Schutzprofilberichte erstellt wel che eine implementierungsunabh ngige Menge von Sicherheitsanforderungen darstellen Sicherheitsvorgaben eines ST Berichtes enthalten angepasste und implementierungsabh ngi ge Sicherheitsanforderungen f r einen konkreten EVG Hierbei l sst sich ein PP Bericht leicht in einen ST Bericht berf hren da beide Berichtsformen auf dem gleichen Berichts modell basieren In der folgenden Abbildung ist die Grundstruktur der Berichte dargestellt d Environmental Considerations Security Objectives Security Requirements Mappings Be dao o o 50 58 Map Abbildung 127 Grundstruktur der Berichte 47 Sicherheitsumgebung Environmental Considerations In diesem Teil des Schutzprofils sol len die Sicherheitsaspekte der beabsichtigten Einsatzumgebung und die erwartete Art der Nutzung des EVG beschrieben werden In einem Schutzprofil werden die Annahmen die Bedrohungen und die organisatorische Sicherheitspolitik also die Sicherheitsumgebung den angestrebten Sicherheitszielen Security Objectives gegen bergestellt Dieser Zusammen hang Security Objectives und Environmental Considerations wird durch ein SO EC Map abgebildet Sicher
350. n Zustand reagieren Aber auch diese reaktiven Ma nahmen sollten im Vorfeld pr ventiv implementiert werden Detektivische Ma nahmen K nnen im Gegensatz zu den pr ventiven Ma nahmen ein gef hr dendes Ereignis bzw Zustand nicht verhindern sondern nur mit speziellen Indikatoren erken nen und eine Warnung ausgeben Aufgrund der Warnung k nnen automatische oder manuelle Aktionen initiiert werden Detektivische Ma nahmen sind z B Rauchmelder oder Virenscan ner Inwieweit detektivische Ma nahmen das Auftreten eines gef hrlichen Ereignisses sofort oder dies erst nach einem gewissen Zeitraum entdecken ist von der Art der Verletzung und der Qualit t des Indikators abh ngig So ist z B eine Verletzung der Verf gbarkeit schneller zu entdecken als der Verlust der Vertraulichkeit Erst im Zusammenspiel von detektivischen Ma nahmen mit darauf folgenden korrigierenden Ma nahmen werden die Gesamtma nahmen sinnvoll da eine Warnung ohne Reaktion das Sicherheitsproblem nicht beseitigt Insbesondere bei manuellen Aktionen durch den Men 359 Vo Vo bein J 1999 S 122 30 Erweitert in Anlehnung an Vo bein 7 1999 S 122 111 Expertisemodell schen sind diese durch zus tzliche aufbau und ablauforganisatorische Regelungen zu flankie So sollten bei einem erkannten Brand oder Wassereinbruch nach einem gewissen ganisatorischen Ablaufplan welcher die entsprechenden Schritte und Personen beinhaltet Gegenma nahmen e
351. n einem ge wissen Umfang eine Vergleichbarkeit zwischen Ergebnissen unterschiedlicher Kriterien m g lich was bei Methoden die auf ein Kriterienwerk ausgelegt sind nur bedingt m glich ist Aufgrund der Top Down Ausrichtung und der Verwendung von Kriterien l sst sich die Schwachstellenanalyse als eine standardisierte Methode f r die ganze Institution bezeichnen die an die individuellen Informationssystemstrukturen angepasst werden kann Hierdurch k nnen auch unternehmensindividuelle IS Sicherheitsaspekte verarbeitet werden was eine Anpassung an die Infrastruktur in einem gewissen Rahmen gestattet Die SISSA setzt folgen de Aspekte des Top Down Ansatzes um Durch die Modularisierung k nnen verschiedene Kriterienwerke und datenschutzorien tierte Gesetze in Modulen strukturiert werden So k nnen unterschiedliche Bereiche der IS Sicherheit und des Datenschutzes abgedeckt werden 278 Hansen Probst 2002 5 167 29 Vgl G tesiegel Anforderungskatalog 2002 20 Vol 9a BDSG 2001 und Schaar Stutz 2002 S 330 281 Die Phase Verwundbarkeitsanalyse der Risikoanalyse wird auch als Schwachstellenanalyse bezeichnet ist nicht mit der hier dargestellten SISSA vergleichbar da sie eine eigene Methode des IS Sicherheitsmanagements ist 20 Vol Vo bein 19945 S 64 283 Vol Haar Solms R 1993 7 79 Informationssystemsicherheits Management e Durch die Repr sentation der Kriterien mittels Frag
352. n gegr ndet worden ist ISACA ist heute eine weltweite Verbindung von ca 24 000 IS Fachleuten die sich mit der Revision Kontrolle und Sicherheit von der IS befassen CobiT ist ein Kontrollsystem f r das IS Management Es dient der Erreichung und Sicherstellung von Gesch ftszielen unter den klassischen Sicherheitsanforderungen Vertraulichkeit Integrit t Verf gbarkeit sowie 264 260 Vgl auch URL http www bsi de taskforce index htm Vgl Task Force DDoS 2000 262 Vgl Task Force Virenschutz 2000 203 Ist seit 2000 als 3 Edition verf gbar Vgl Cobit 2001 Kapitel 264 Vol auch URL http www isaca org 20 Stand 2001 26 Vgl Cobit 2001 76 Informationssystemsicherheits Management Wirtschaftlichkeit Wirksamkeit Einhaltung rechtlicher Erfordernisse und Zuverl s sigkeit Das CobiT Framework basiert auf einem IT Prozess der 34 zentrale IT Prozesse zu vier Do m nen zusammenfasst Durch die Umsetzung des CobiT Frameworks soll unter Ber cksich tigung der oben genannten Ziele eine Bereitstellung der Ressource Information sicherge stellt werden Kriterien Ziele Vertraulichkeit Verf gbarkeit Gesch ftsprozesse ZX Integrit t Verl sslichkeit Effektivit Effizienz Einhaltung SSES Daten IT Ressourcen Anwendungen Technologien Anlagen Personal
353. nd Inferenz Strukturen 3 3 1 Kontroll bzw Aufgabenmethoden der Diagnose Den ersten Bereich der Probleml sungsmethoden bilden die Kontroll bzw Aufgabenmetho den die unabh ngig von der jeweiligen Dom ne beschrieben werden sollen In den regelba sierten WBS der ersten Generationen existierten folgende klassische Kontrollstrategien die auch als schwache Probleml sungsmethoden bezeichnet werden e Vorw rtsverkettung Ausgehend von beobachteten Merkmalen werden alle anwendungs bereite Regeln ausgewertet und L sungen abgeleitet Dabei k nnen Ergebnisse entstehen die wiederum durch weitere Regeln ausgewertet werden Die Merkmalserhebung muss durch zus tzliches Wissen oder durch den Benutzer gesteuert werden Da mehrere Regeln durch Daten aktiviert werden k nnen ist eine Konfliktstrategie notwendig die bestimmt welche Regel feuert Diese Kontrollstrategie ist datengetrieben da die Merkmale be kannt sind Die R ckw rtsverkettung geht von einem Ziel z B einer Wirkung in Form eines Aus falls eines Servers aus Dabei werden alle Regeln interpretiert die zum Erreichen des Zieles beitragen k nnen Diese Strategie eignet sich zum gezielten Erfragen von notwen digen Fakten um weitere Regeln abzuleiten damit schlie lich die Ursache der erhobenen Wirkungen erkl rt wird Diese Auswertung wird auch als zielgetriebenes Schlie en be zeichnet Die alleinige Anwendung der beiden oben genannten vor und r
354. nd Assessment In Tipton H F Krause M Eds Informa tion Security Management Handbook 4 ed Boca Raton u a 1999 247 285 Peirce 1932 Peirce C S Collected Papers of Charles Saunders Peirce Vol 2 Element of Logic Cambridge 1932 Peltier 1999 Peltier T Security Awareness Program In Tipton H F Krause M Eds Informa tion Security Management Handbook 4 ed Boca Raton u a 1999 197 212 Pernu R hm Herrmann 1999 Pernul G R hm A W Herrmann G Trust for Electronic Commerce Transactions In Eder J Rozman I Welzer Eds Advances in Databases and Information Sys tems 3th East European Conference 15 99 in Maribor Slovenia September 13 16 Proceedings Berlin u a 1999 pp 1 13 Petzel 1996 Petzel E Management der Informationssicherheit Weiden Regensburg 1996 290 Pfeifer Rothenfluh 1994 Pfeifer R Rothenfluh T Trends in der Artificial Intelligence Anmerkungen zur Situ ation in der Schweiz In Coy W Cyranek G Hrsg Die maschinelle Kunst des Den kens Braunschweig Wiesbaden 1994 S 41 56 Pfitzmann 2001 Pfitzmann A Datenschutzfreundliche Techniken als Beitrag zur Mehrseitigen Sicher heit BSI Hrsg 2001 Odyssee im Cyberspace Sicherheit im Internet Tagungs band 7 Deutschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 165 180 Piechota 1993 Piechota 5 DWV Unterst tzung des Controllingss mit Hilfe von F
355. nd in einer Inferenz Struktur abgebildet In der folgenden Abbildung ist das Grundprinzip einer Inferenz abgebildet 23 Vgl Speel et al 2001 Kapitel 3 2 24 Probleml sungskonzepte und Abh ngigkeitskonzepte werden in der Arbeit synonym verwendet 132 Expertisemodell Eingangs 24 N Ausgangs Wissens Rolle E BW Wissens Rolle p a Inferenz statische Inferenz Dom nen Wissens Rollen Dom nen Abbildung 1 Abbildung Inferenz Dom nen Abbildung Konzepte Abh ngigkeiten Konzepte Grundprinzip der Inferenz und Wissens Rollen Merkmale Inferenz Dom nen Abbildung N Basis Sicherheits Konzepte E 5 2 gt i S u Inferenz gt Hypothese L sung Inferenzwissen D statische Wissens Rolle Probleml sungs konzepte Inferenz Dom nen l I Abbildung Inferenz Dom nen Abbildung kausale assoziative Abh ngigkeits Abh ngigkeits konzepte konzepte Kriterienwerke Dom nenwissen Abbildung 66 Grundprinzip der Inferenz und Wissens Rollen Die IS Sicherheits Konzepte
356. nen oder als eine fehlende Ma nahme zu identi fizieren Im Rahmen der Merkmalserkennung werden Vorgaben mit Beobachtungen vergli chen um auf Basis der Vergleichsergebnisse die Merkmale und Wirkungen zu abstrahieren Dabei lassen sich folgende Vorgabenbereiche unterscheiden e Ma nahmen Vorgaben Es wird auf Basis von erforderlichen Soll Ma nahmen durch Vergleiche der erhobenen Ma nahmen auf fehlende Ma nahmen geschlossen e Zustands Vorgaben Auf Basis von Fehl und Normalzustand wird im Vergleich mit den erhobenen Zust nden auf Konsequenzen geschlossen 45 Gef hrdendes Ereignis Gefahr trifft auf sicherheitsrelevantes Element 140 Expertisemodell Die Tabelle 16 stellt Basis und Probleml sungskonzepte zusammenh ngend dar dynamische Basiskonzepte Darstellung der wesentlichen Fachterminologien und deren definitorischen Beziehungen Grundlage f r dynamische Eingangs und Ausgangs Wissens Rollen statische Probleml sungskonzepte Abh ngigkeitsmodelle fehlende Ma nahme deutet auf Schwachstelle Konsequenz erfordert Schwachstelle gef hrdendes Ereignis verursacht Konsequenz Schwachstelle erm glicht Konsequenz Grundlage f r Hypothesengenerierung manifestierende Modelle Schwachstellen lassen weitere fehlende Ma nahmen oder erfassbare Konsequenzen vermuten kausale Konzepte assoziative Konzepte gef hrdende Ereignisse und kausale Schwachstellen sagen weitere Konsequenzen voraus Grundlage f r
357. ness Continuity Managements Bundesdatenschutzgesetz British Standard Bundesamt f r Sicherheit in der Informationstechnik Baseline Security Policy bez glich beziehungsweise Case Based Reasoning Common Criteria Central Computer and Telecommunications Agency Computer Emergency Response Team certainty factors Code Federal Regulations Control Objectives for Information and Related Technology Commercially Oriented Functionality Class for Security Evaluation Code of Practice Computer Systems Security Analyser and Configurator CCTA Risk Analysis and Management Method Canadian Trusted Computer Product Evaluation Criteria Critical Security Parameters Defense Applied Research Projects Agency Datenbank Digital Encryption Standard Datenver bertragung Wissensbasiertes Diagnosesystem Deutsches Institut f r Normung e V Departement of Defense Datenschutzbeauftragter Digital Signature Standard Datenschutz und Datensicherheit Evaluation Assurance Level European Computer Manufactures Association Extended Commercially Oriented Functionality Class for Security Evaluation Electronic Commerce Elektronische Datenverarbeitung Europ ische Gemeinschaft Elektronisches Gesch ftsverkehr Gesetz Electronic Government Executive Information Systems englisch Entity Relationship Model Excecutive Support Systems Event Tree Analysis Entscheidungsunterst tzendes System Eingabe Verarbeitung Ausgabe Evaluationsgegenstand folgen
358. ng bzw Komplexit tsreduk tion der Systemabgrenzung und Anpassung des Sicherheitsexpertenwissens im Rahmen der Risikoerkennung erreicht werden Das RSD XPS und das CBR System sind zwar risikoanalyseorientiert jedoch auf ein spezifi sches Problemgebiet Online Dienste bzw spezifische F lle ausgerichtet und somit direkt anwendbar Die Flexibilit t der oben genannten Werkzeuge ist durch die Spezialisierung ver loren gegangen Das RSD XPS basierend auf dem SINUS Konzept stellt ein fertiges XPS f r die Auswahl von Online Diensten dar Somit ist das XPS auf ein beschr nktes Anwen dungsgebiet ausgelegt und kann nicht als Werkzeug f r andere IS Sicherheitsaspekte verwen det werden Da alle Objekte zu Beginn einer berpr fung instanziiert sind kann es sofort angewendet werden Eine Erweiterung und Pflege des XPS f r einen IS Sicherheitsexperten 29 Vgl Jaspers 1997 S 160 167 gt 76 berf hrung des unternehmensunabh ngigen Dom nenwissens auf das fallspezifische Wissen 230 Implementierung ist ohne Kenntnisse in der KI Sprache Babylon nicht m glich Auch das CBR System erm g licht eine direkte Anwendung indem f r einen konkreten Fall auf historisch hnliche Vorf lle und deren L sungen zugegriffen wird ohne dass eine Anpassung im Rahmen einer System abgrenzung erforderlich ist Das BSI Tool wie auch TOSCANA als hybrider Ansatz verlangen im ersten Schritt die Aus wahl und Anpassung der vordefinierten IT Systeme d
359. ngangsgr e f r das IS Sicherheitskonzept darstellt Daf r ist in den meisten F llen erst eine Sensibilisierung des Managements f r die Sicherheitsproblematik notwendig Im Hinblick auf den Einsatz eines WBS im Rahmen des IS Sicherheitsmanagements stellt die IS Sicherheitspolitik die Anforderungen an das zu ent wickelnde WBS Die Schaffung der IS Sicherheitspolitik umfasst folgende Inhalte e Schaffung eines Sicherheitsbewusstseins der F hrungsebene als Voraussetzung f r die Ermittlung des erforderlichen Sicherheitsniveaus e Bildung von Sicherheitszielen z B Vertraulichkeit Integrit t und Verf gbarkeit e Bildung eines Sicherheitsmanagement Teams und Vergabe der Verantwortung f r die Erstellung und Realisierung des Sicherheitskonzepts e 1S Sicherheitspolitik ist auf einen l ngeren Zeitraum ausgelegt und sollte auch in der Ge samtpolitik des Unternehmens verankert werden e 1S Sicherheitspolitik besitzt einen hohen Abstraktionsgrad und soll Richtlinien f r die weiteren Phasen darstellen die dann konkretisiert werden Es sind Umwelteinfl sse und der erforderliche Aufwand bzgl der Umsetzung der IS Sicherheitsziele in Relation zu den vorhandenen Ressourcen des Unternehmens f r die IS Sicherheitspolitik zu beachten Schaffung des Sicherheitsbewusstseins Eine wesentliche Voraussetzung f r eine erfolgreiche Schaffung von IS Sicherheit ist die Sensibilisierung des Sicherheitsbewusstseins Dieses psychologische
360. ngstexie Angst 5 Jee d der Vergabe der Zee rechte vorhanden D e Es ed iamini zu erteilen da Vergabe der zur den Erfordertassen der Aufgabenttelung zu erfolgen hat Preap L t 2 zur Vertraubchieft 3 3 Mal nahmen zur 34 ne Verf gbarknt Aunwertungstoxie Mallnahmen zur 35 Ma nahmen zu Reusionsf hlgkeit 090000000 7 Mallnahmen zur Transparenz Es ist keien Schwachstelle beg der Vergabe der vorhanden 18 Schwachstellen Vergabe der Zuerg itze Mr erfolge gemal den Erfordernissen onderkomen Gat Daun tO Sondervorscheiften ES 3 und Kgl SC Vergabe won Auswahl Beantwortete frage 7 Neve Gruppierung Oder 7 True Abbildung 139 Beispiel f r Ersetzungsregeln Dieses Beispiel zeigt wie durch Ersetzungsregeln durch erhobene fehlende Ma nahmen und durch automatische Beantwortung von Fragen Schwachstellen ermittelt werden Im Ge gensatz zu dem Beispiel aus Abbildung 137 k nnen hier mehrere Fragen verkn pft werden Hierdurch ist eine sp tere Auf
361. nhalten folgende Anforderungs bzw Sicherheitsstufen e Grundlegende Sicherheit Sicherheitsstufe 1 Auf dieser Stufe werden die grundlegenden Anforderungen an ein Krypto Modul festge legt die auch ein Mindestma an Sicherheit bieten Diese Form der Sicherheit kann ein gesetzt werden wenn keine zus tzliche physisch netzwerk oder administrationsorien tierte Sicherheit verf gbar ist Ein Beispiel f r Produkte der Stufe 1 ist das encryption board von PC das aber keinen zus tzlichen physischen Schutz beinhaltet e Manipulationsnachweis durch physische Ummantelung Sicherheitsstufe 2 Es wird zus tzlich eine physische Ummantelung der Krypto Module verlangt Somit sind physische Ver nderungen erkennbar Es wird zudem eine rollenbasierte Authen tifizierung verlangt damit bestimmte sicherheitsrelevante Dienste angeboten werden k n nen Auch sollen die Anforderungen der CC an einen PP ber cksichtigt werden und die Vertrauensw rdigkeitsstufen 2 EAL2 oder h her der CC erf llt werden Manipulationssicherheit Das Modul wird gegen ber physischen Attacken aktiv gesch tzt Sicherheitsstufe 3 Es werden zus tzliche physische Ma nahmen ben tigt die einen physischen Angriff er kennen und aktive Gegenma nahmen einleiten wie z B die Zur cksetzung aller Klartext CPS zeroization Die rollenbasierte Authentifizierung wird durch eine identit tsbasierte Authentifizierung ersetzt die nur eindeutige identifiz
362. nostik Im Rahmen der Hypothesengenerierung wird auf Basis der ermittelten Merkmale mit Hilfe von Probleml sungskonzepten auf Hypothesen geschlossen Hierbei kann ein Merkmal mehrere Hypothesen besitzen abduktives Schlie en Falls m g lich K nnen Hypothesen nach einem oder mehreren Kriterien bewertet werden Es wird die L sung gew hlt die die h chste Gesamtbewertung auf Basis beobachteter Merkmale erzielt Als Ergebnis entsteht ein Ranking in welchem die Hypothesen nach der Schlussf higkeit 419 Vgl Bamberger 1999 S 28 129 Expertisemodell bzw Erkl rungsf higkeit oder z B deren Risikograd sortiert sind Insgesamt ist die Ver dachtsbewertung problematisch da h ufig auf unsichere empirische Daten oder subjektive Expertenmeinungen zur ckgegriffen werden muss 3 3 2 3 Hypothesen berpr fung Die Aufgabe der Hypothesen berpr fung besteht darin aus der Hypothesenmenge die richti gen L sungen Diagnosen herauszufiltern Auf Basis der Verdachts bzw Hypothesenbe wertung werden zus tzliche Merkmale ausgew hlt und erhoben um die Hypothesen zu best tigen oder zu verwerfen Somit werden ausgehend von einer Hypothese zus tzliche Erkl rungsmerkmale angefordert welche die Hypothesen berpr fen Diese zus tzlichen Merkma le generieren eventuell neue verfeinerte Hypothesen die wiederum berpr ft werden m ssen Hierbei ist auch der Erhebungsaufwand von zus tzlichen Merkmalen zu ber cksichtigen Mit d
363. nts der IS Sicherheit diskutiert Die Probleml sungsprozesse der IS Sicherheitsstrategien des IS Sicherheitsmanagements bilden einen Schwerpunkt des Kapitels da sie die Grundlage f r die Probleml sungsmetho den des KE darstellen Der Begriff IS Sicherheitsmanagement wird in der Arbeit als die Gesamtheit aller Akti zur geplanten und dauerhaften Gestaltung der Informationssicherheit in einem Unter nehmen oder einer Beh rde verstanden Der Gestaltungsprozess zur Schaffung von In formationssystemsicherheit bzw des IS Sicherheitsmanagements basiert auf der Grundlage der klassischen strategischen Planung und Organisationsplanung Diese betriebswirtschaftli chen Phasenmodelle bilden abgegrenzte Teilphasen welche die Zielbildung ber die Analyse bis zur Umsetzung umfassen Die Phasen bzw Aktivit ten des Sicherheitsmanagements lassen sich in folgende Bereiche differenzieren Abbildung 16 e Politisches Sicherheitsmanagement Top Management Festlegung der IS Sicherheitspolitik und e Sicherheitsmanagement Mittleres Management Analyse und Bewertung der IS Sicherheit unter Anwendung von IS Sicherheitsstrategien und Entwicklung eines IS Sicherheitskonzeptes e Sicherheitsmanagement Unteres Management Umsetzung der IS Sicherheitsma nahmen des IS Sicherheitskonzeptes e 1S Kontrollmanagement Kontrolle der vorhergehenden Phasen 15 Vgl Ro
364. nwen dungsspezifische Dom nenwissen einzugeben Diese Werkzeugk sten enthalten eine Sammlung von ausf hrbaren Probleml sungsmethoden die ber vorgefertigte Wissensrepr sentationsformen verf gen 38 Vgl Clancey 1985 5 296 Puppe 1990 5 21 und Hoppe 1992 5 78 59 Vgl Studer Benjamins Fensel 1998 S 164 Vgl Bylander Chandrasekaran 1988 5 66 Frick 1998 5 296 und Fensel 2000 5 22 4 Vgl Hoppe 1992 S 89 30 Einf hrung Dies vereinfacht zwar die Wissensakquisition die Wiederverwendung des repr sentierten Dom nenwissens wird jedoch f r andere Probleml sungsmethoden vermindert Des Weiteren beschreiben die Probleml sungsmethoden h ufig nur grob den realen Probleml sungspro zess der Dom ne da die Anpassung der Probleml sungsmethoden an die Dom ne nur in ei nem begrenzten Rahmen m glich ist Zudem ist h ufig eine Kombination von verschiedenen Probleml sungsmethoden n tig wobei die feste Struktur der Probleml sungsmethoden ins besondere bei dem Role Limiting Ansatz eine freie Kombination verhindert Konfigurierbare Aufgaben Probleml sungsmethoden Ans tze Aus den oben aufgef hrten Nachteilen wurden die Ans tze weiterentwickelt Die Grundlage der folgenden Ans tze ist die Trennung zwischen e Aufgabenklassen bzw Problemklassen welche den Problemtyp beschreiben und e unterschiedliche Methoden die Probleml sungen f r die jeweilige Aufgabenklassen bereit
365. nynidisan 7 yuequaeq Ie4 25 15 uszuanbasuoy Bue sny u9zuanbasuoy a esa sneuon 4 Bunndiegn UHUUOY UEYOBSIN SIUDEPIEN usyoes n Jop Yn d aqn sap s seg Iny Uep 1556 ua u zu nb suoy 1 u zu nb suoy jesney 1 4 M 3 INJA 5 pun Bunynidisan Anz Jus p seq 1 u zu nb suoy 5 7 920 yos rels 1 ayn d egan u zu nb suoy 1 2 5 uEysesin siydepieN J2ys luye lt stungen osAjeues unyum 4
366. odell bzgl der IS Sicherheit des jeweiligen Informationssystems nach modelliert das eine computergest tzte automatisierte Verarbeitung der individuellen IS Sicherheit erm glicht Be ee Abbildung 45 Unterschiede zwischen sicherheitsrelevanten Bereichen und Elementen Kriterien Informationssystemmodell 7 Kriterien Oberbereich Oberbereich l OO Unterbereich jL Unterbereich herheitsrelevant Unterbereich i Unterbereich IN anwenden abbilden 9 8 a n 1 Eine Abgrenzung zwischen sicherheitsrelevanten Elementen und Bereichen ist nicht eindeutig m glich denn es gibt Zwischenstufen wie sie bei den hybriden Ans tzen anzutreffen sind Die folgende Heuristik ist zur Differenzierung hilfreich e Erfolgt eine weitgehend allgemeine Sichtweise die unabh ngig von einem spezifischen Informationssystem ist werden sicherheitsrelevante Bereiche verwendet Bereiche werden insbesondere in der anwendungsorientierten Top Down IS Sicherheitsstrategie eingesetzt e Erfolgt eine konkrete Sichtweise auf ein spezifisches Informationssystem ist von sicher heitsrelevanten Elementen auszugehen welche in der abbildungsorientierten Bottom Up IS Sicherheitsstrategie Verwend
367. og sind diese zur Erhebungssteuerung besonders geeignet Zus tzlich dienen Ersetzungsregeln der automatischen Beantwortung von Fragen w hrend der Erhebung Generierungsregeln k nnen zwar die Erhebung beeinflussen sollten aber durch ihre Struktur nur bei komplexen Steue rungsproblemen eingesetzt werden Durch einen alleinigen Einsatz von Generierungsregeln bei der Erhebung w rde schnell eine nicht mehr berschaubare Steuerungskomplexit t ent stehen Grunds tzlich basiert die Auswertungssicht auf den Antworten und der Auswertung der Ant wortbausteine Die Auswertungssicht ist somit prim r abh ngig von der Struktur des Fragen katalogs und deren Antwortbausteine F r eine von der Fragenkatalogstruktur unabh ngige Auswertung sind die Generierungsregeln geeignet da sie von dem Fragenkatalog getrennt repr sentiert werden Die Auswertungssicht sollte aber auch die Beeinflussung der Ergebnisse durch Verkn pfungs und Ersetzungsregeln explizit darstellen denn diese Regeln beeinflus sen durch deren Erhebungssteuerung indirekt die Auswertungsergebnisse So ist es f r die Erkl rung der Ergebnisse hilfreich wenn die bersprungenen oder automatisch beantworteten Fragen im Auswertungsbericht besonders ber cksichtigt werden 4 2 4 Repr sentationserweiterung f r unsicheres und vages Wissen Die St rken von Regelsystemen liegen in der nat rlichen Wissensbeschreibung von Exper tenwissen und in einer offenen Struktur die sich durch K
368. ohe Komplexit t Ob eine negative Erscheinung eine Gefahr oder eine Konsequenz darstellt ist von der jeweiligen Sichtweise abh ngig So ist z B f r das sicher heitsrelevante Element A der negative Zustand Z eine Konsequenz wohingegen f r das si cherheitsrelevante Element B der negative Zustand Z eine Gefahr darstellt Schwachstellen Damit eine Konsequenz berhaupt auftreten kann ist eine Schwachstelle erforderlich So wird eine Konsequenz erst durch eine Schwachstelle erm glicht wobei dies eine indirekte Verursachung darstellt da erst gef hrdende Ereignisse die Konsequenzen direkt verursachen Eine offene Schwachstelle wird durch Ma nahmen geschlossen wodurch eine Gefahr nicht mehr negativ auf ein sicherheitsrelevantes Element einwirken kann und somit keine Konse quenz entsteht F r den Begriff Schwachstellen ergeben sich daraus folgende Sichtweisen Die Schwachstellen k nnen als eine konkrete negative Eigenschaft bzw Fehler in Ele menten oder im Bereich von Informationssystemen interpretiert werden Sie bilden somit erst die Voraussetzung dass eine Gefahr an einem sicherheitsrelevanten Element wirksam wird Diese Definition ber cksichtigt die kausale Sichtweise der FMEA Risikoanalyse e Schwachstellen k nnen auch durch das Fehlen von Sicherheitsma nahmen definiert wer den Wenn diese Ma nahmen fehlen oder diese ungen gend sind kann eine Gefahr auf ein sicherheitsrelevantes Element negativ einwirken Diese Definit
369. om 14 12 2001 Ver ffentlicht im Internet URL http www netlaw de gesetze tkg_l htm und http www netlaw de gesetze tdg htm Stand 10 12 2002 TDSV 2002 Telekommunikations Datenschutzverordnung TDSV vom 18 Dezember 2000 Ver ffentlichtt im Internet URL http www netlaw de gesetze tdsv htm Stand 10 12 2002 Teaminfo 2001 Bundesamt f r Sicherheit in der Informationstechnik CERT Bund Teaminfo Version 1 0 Bonn 2001 Ver ffentlicht im Internet URL http www bsi de certbund teaminfo cb2350de htm Stand 10 12 2002 297 Theil 1995 Theil M Risikomanagement f r Informationssysteme Schriftenreihe Forschungser gebnisse der Wirtschaftsuniversit t Wien Wien 1995 Thoben 2000 Thoben W Wissensbasierte Bedrohungs und Risikoanalyse Workflow basierter An wendungssysteme Teubner Reihe Wirtschaftsinformatik Ehrenberg D Seibt D Stucky W Hrsg Stuttgart Leipzig Wiesbaden 2000 Thuy Schnupp 1989 Thuy N H C Schnupp P Wissensverarbeitung und Expertensysteme Reihe Hand buch der Informatik Band 6 1 Endres A Krallmann H Schnupp P Hrsg M n chen Wien 1989 Tinnefeld Ehmann 1998 Tinnefeld M T Ehmann E Einf hrung in das Datenschutzrecht 3 Aufl M n chen Wien 1998 TKG 1996 Telekommunikationsgesetz vom 25 06 1996 Ver ffentlicht im Internet URL http www netlaw de gesetze tkg_l htm und http www netlaw de gesetze tkg_2 htm Stand 10 12 2002
370. ommonKADS Ansatz unterschiedliche Sta dien von Prototypen m glich da jede Phase einer Verfeinerung der vorhergehenden Phase entspricht 53 Vgl Puppe et al 1996 S 66 54 Vgl Studer Benjamins Fensel 1998 S 170 5 MIKE Model based and Incremental Knowledge Engineering 86 Vgl Angele Fensel Studer 1998 S 180 ff 57 Vgl Studer Benjamins Fensel 1998 S 171 36 Einf hrung 1 4 Vorgehensmodell der Arbeit Das Vorgehensmodell der Arbeit basiert auf den wesentlichen Aspekten der vorhergehenden Kapitel IS Sicherheitsmanagement kontextorientiert Umgebung und Rahmen f r die Entwicklung und Einsatz des WBS IS Sicherheits strategien Wissensoperationalisierung implementierungsorientiert Wissensakquisition modellorientiert Probleml sungs methoden Dom nenmodell Expertise modell Abstraktionsebene IS Sicherheits Konzepte und deren Abh ngigkeiten Entwurfsmodell WBS des IS Sicherheits managements Erhebungsmaterial bzw Wissens quellen Stadium der Systementwicklung Abbildung 11 Entwicklungsrahmen des Knowledge Engineerings f r das IS Sicherheitsmanagement Zentrale Aufgabe des Knowledge Engineerings in der Arbeit ist es die L sungsprozesse des IS Sicherheitsmanagements und das IS Sicherheitswissen in einem Expertisemodell explizit abzubilden und dieses in ein WBS zu operationalisieren Hierbei sind folgende Bereiche von Relevanz e 1S Si
371. onsequenzen Wirkungen vorhergesagt bzw simuliert Eingang angenommene gef hrdende Ereignisse und Schwachstellen Ursachen Ausgang vorhergesagte Konsequenzen Wirkungen Dom ne des pr ventiven Bottom Up IS Sicherheitsmanagements Wirkungsanalyse k Schwachstelle hnliche ausale SE Se Beer erm glicht Konsequenz historische F lle Ursachen und Konsequenz Wirkungen A 2068 E kausales Modell pal patennank 2 52 2 y PNE y 9 Ursachen 7 Hypothesen N Vorhergesagte 7 Hypothesen N 5 generierung 4 Wirkung hap cne Pr fung 4 Merkmale 5 5 A A 2 8 kausales Modell 1 gef hrdendes GE Ereignis verursacht Konsequenz Ereignis 9 Konsequenz Dom ne des pr ventiven Bottom Up IS Sicherheitsmanagements Wirkungsanalyse Abbildung 79 berf hrung des pr ventiven Bottom Up IS Sicherheitsmanagements auf die modellbasierte Diagnose Die Simulation versucht ausgehend von gef hrdenden Ereignissen und kausalen Schwachstellen deren Wirkungen in Form von Konsequenzen abzuleiten Diese Konsequen zen k nnen sich wiederum auf sicherheitsrelevante Elemente auswirken so dass durch iterati ve Verfolgung der Konsequenzen ein inferentielles Netz in Form eines Baumes entsteht 3 4 3 Wiederverwendungsorientierte Basis Inferenzen der IS Sicherheitsstrategien Die Inferenzen der anwendungsorientierten Probleml sungsmetho
372. opplung anderer Repr sentations formen wie unsicheres oder vages Wissen erweitern l sst So besitzt das Expertenwissen 184 Entwurfsmodell einen gewissen Grad an nicht sicherem Wissen Das nicht sichere Wissen wird in zwei Aus pr gungsformen differenzier Ms e unsicheres stochastisches oder probabilistisches Wissen und e unscharfes oder vages Wissen 4 241 Unsicheres stochastisches oder probabilistisches Wissen Wissen das sich nicht mit vollst ndiger Korrektheit darstellen l sst also nicht deterministisch ist wird mit Wahrscheinlichkeiten bewertet Die Darstellung von unsicherem Wissen kann wie folgt beschrieben werden e Theorem von Bayes Konfidenzfaktoren Theorem von Bayes Ein Ansatz um unsicheres Wissen durch bedingte Wahrscheinlichkeiten darzustellen ist das Theorem von Bayes Der Bayes sche Ansatz basiert auf der folgenden Gleichung P S 10 _ kausale Wahrscheinlichkeit Grundrate P S Wahrscheinlichkeit des Symptoms P DIS diagnostische Wahrscheinlichkeit Darstellung mit mehreren Symptomen P D P S 1D Pie ID PD IS A AS rlp Pls nl P S 1D Au unabh ngige Symptome bzw Merkmale D D wechselseitige ausschlie ende Diagnosen bzw L sungen Grundrate Wahrscheinlichkeit der Diagnose ohne Ber cksichtigung des Symptoms Gleichung 2 Theorem von Bayes P DIS stellt die bedingte Wahrscheinlichkeit dar wenn das Symptom vorli
373. optionale Phasen Durchf hrung einer Risikoanalyse Ermittlung des Restrisikos Il Ausarbeitung des Restrisikokonzeptes Phasen der SiSSA Die Inhalte der Phasen 0 und 1 entsprechen der IS Sicherheitspolitik Das angestrebte Sicherheitsniveau kann in Anlehnung an die Niveaustufen des Grundschutz handbuchs bernommen werden und bildet Eingangs gr en f r die weiteren Phasen In der Phase 2 werden auf Grund des modularen Aufbaus nur die relevanten Module ausgew hlt Eventuell werden diese an die individuellen Gegebenheiten angepasst In Phase 3 erfolgt die Erhebung der Schwachstellen mit Hilfe der ausgew hlten Basis und Spezialmodule Die Befragung erfolgt in Form von strukturierten Fragen die z B aus einfachen Ja Nein ber Rating Fragen bis hin zu offenen Fragen bestehen k nnen Meist werden die rele vanten Personen in einer Gruppe von einem Interviewer befragt Als Ergebnis der Auswertung werden in der Phase 4 die Schwachstellen dargestellt Grunds tzlich erfolgt die Aus wertung der Schwachstellen durch die Gegen berstellung von ermittelten und geforderten Ma nahmen Aufgrund der fehlenden Ma nahmen werden Schwachstellen als Differenz eines Soll Ist Vergleichs assoziiert Aufgrund der Phase 4 wird nun ein Schwachstellenkon zept erarbeitet und daraus resultierend ein Ma nahmen konzept das die Schwachstellen beseitigen soll Dabei ist die Abstimmung der Ergebnisse der Schwachstellenana lyse mit
374. ort Systems ESS bezeichnet Data Sup port Decision Support Executive Support Tabelle 21 Unterst tzungsarten f r den Manager Die Funktionen von MSS lassen sich auf Grund der vorhergehenden Betrachtungen in zwei Hauptbereiche einteilen e Der informationsorientierte Bereich durch MIS und EIS besitzt den Schwerpunkt in der Bereitstellung und Pr sentation von internen und externen Informationen e Der entscheidungsorientierte Bereich durch EUS unterst tzt die Phasen des Entschei dungsprozesses gt 14 MSS Management Support Systeme 55 Vgl Gluchowski Gabriel Chamoni 1997 S 65 516 Vgl Ackoff 1968 217 Vgl Werner 1992 S 36 218 Da das Akronym DSS schon f r Digital Signature Standard verwendet wird wird der Arbeit die deut sche Abk rzung EUS Entscheidungsunterst tzendes System statt f r Decision Support Systems DSS ver wendet a Vgl Frick 1997 S 41 und Krallmann 2001 S 287 Die einzelnen Systeme folgen auch einer historischen Dimension wobei die fr hen Systeme Dispositions und Administrationssysteme und MIS 50er bis 70er Jahre auf der unteren Ebene und die modernen Systeme EUS und EIS 80er bis heute auf der oberen Ebene zu finden sind Vgl Dressler 1997 S 36 und Alex 1998 S 29 520 Vgl Piechota 1993 S 85 und Alex 1998 S 45 213 Implementierung Datenanalyse Informationsverdichtung Informationsfilterung Informationspr s
375. otation im Vergleich mit dem datenorientierten Entity Relationship Model ERM Notation dargestellt Beide Methoden haben sich als Standardnotation durchgesetzt es existiert eine Vielzahl von computergest tz ten grafischen Werkzeugen f r deren Darstellung UML ERM UML ERM Objekt S DH Entit t Assoziation Beziehung lt Typ gt ein Objekt Assoziation Typ relationship ype Klasse Kardinalit t Kardinalit t Komplexit t Stetigkeit Klasse 0 1 1 Attribut Pe Entit tstyp M Operation 4 SCHER Entit tstyp ZN 14 Attribut d Attribut W is Attribut e Aggregation Wertebereich Dom ne Gen Aggregat Attributtyp Wertetypen domain Attribut 0 Aggregation f gt value set ist Teil von Beziehung Sp Schl sselattribut Teil Vererbung Verbindung link zwischen Objekten Beziehung j i Vererbung Klasse 1 Klasse 2 relationship ist ein Beziehung Tabelle 17 Vergleich der UML und ERM N 72 Die Anpassung bzw Konkretisierung kann durch eine Spezialisierung der Referenzklassen auf die unternehmensspezifischen IS Sicherheitsaspekte erfolgen Die Klassen dienen als Schablone f r konkrete Objekte Instanzen Ein Objekt ist z B eine konkrete Gefahr Kon seq
376. oth 1995 Roth E Sozialwissenschaftliche Methoden Lehr und Handbuch f r Forschung und Praxis Erwin Roth Hrsg 4 Aufl M nchen 1995 RSD 1999 Damm D Kirsch P Schlienger T Teufel S Weidner H Zurfluh U Rapid Secure Development Ein Verfahren zur Definition eines Internet Sicherheitskonzepts Projektbericht SINUS Sichere Nutzung von Online Diensten Universit t Z rich Institut f r Informatik 1999 Ver ffentlicht im Internet URL http www ifi unizh ch ikmw SINUS publications html Stand 10 12 2002 Ru Eloff 1996 Ru W G de Eloff J H P Risk analysis modelling with the use of fuzzy logic In Computer amp Security Vol 15 3 1996 pp 239 248 Rupietta 1996 Rupietta W Ein Modell zur organisationsbestimmten Verwaltung von Zugriffsrechen In Bauknecht K Karagiannis D Teufel S Hrsg Sicherheit in Informationssyste men Beitr ge der Fachtagung 51596 in Wien vom 21 22 M rz 1996 Z rich 1996 S 53 67 Scanlon 1999 Scanlon S World Wide Web Application Security In Tipton H Eds Information Security Management Handbook 4 ed Volume 2 Boca Raton u a 1999 pp 271 289 In KES Jg 2002 H 1 S 68 70 298 Sch fer 1995 Sch fer G Sicherheitsgewinn durch ablauforganisatorische L sungen In Vo bein R Hrsg Handbuch 3 Organisation sicherer Informationsverarbeitungssysteme M n chen Wien 1995 S 128 139 Schaar Stutz 2002 Sch
377. pezifischen Abh ngigkeitskonzepte die Probleml sung entscheidend pr gen werden die Abh ngigkeitskonzepte als spezifische Probleml sungskon zepte bezeichnet F r die Arbeit sind folgende Abh ngigkeitskonzepte von Bedeutung Heuristische Abh ngigkeitskonzepte der Art Merkmal deutet auf Hypothese L sung die auf assoziativem und heuristischem Erfahrungswissen basieren e Kausale Abh ngigkeitskonzepte der Art Ursache Hypothese L sung verursacht Wir kung Merkmal die auf Systemmodellen beruhen bei denen Ursachen zuverl ssig be stimmte Wirkungen hervorrufen berf hrung von funktionalen Modellen auf kausale Abh ngigkeitskonzepte F r die modellorientierte Diagnose k nnen neben kausalen Systemmodellen auch e funktionale Systemmodelle und verhaltensorientierte Systemmodelle als Grundlage dienen F r ein Funktionsmodell ist ein gut verstandenes Systemmodell n tig das den Normalzustand und Fehlzustand von einzelnen Komponenten darstellen kann Ein funktionales Modell ist meist komplexer als ein Kausales Modell da es zus tzlich detaillierte funktionale Zusammen h nge beschreibt wobei die Komponenten nur streng lokale Auswirkungen besitzen d rfen Die Begriffe Komponenten und Materialien werden abstrakt verwendet wobei die Kom ponenten meist feste Objekte mit vorhersagbarem Verhalten darstellen und Materialien passi ve Verbindungen zwischen Komponenten aufzeigen so dass sie als Verb
378. prachen darstellt Auch die bernahme aus anderen Wissensquellen in ein Glossar wird erleichtert da eine strukturierte Vorlage existiert Das Glossar beinhaltet aber nicht nur eine starre Auflistung der Fachbegriffe sondern es kann auch zus tzlich Abh ngigkeiten durch semantische Netze ber cksichtigen So wurden die semantischen Netze urspr nglich f r die strukturierte Wissensbeschreibung entwickelt und bieten die M glichkeit das Wissen in Netzstrukturen mit Hilfe von Kanten und Knoten abzu bilden Sie eignen sich besonders f r die Abbildung einer stabilen Taxonomie oder der Sprachanalyse Eine bew hrte Methode zur Strukturierung von Fachausdr cken ist die Bil dung von Netzen in Form von Hierarchien und Heterarchien da sie eine verst ndliche und bersichtliche Darstellung bieten Die syntaktische und semantische Normierung bildet eine Zwischenstufe f r die konzeptuelle Analyse und Repr sentation des IS Sicherheitswissens Ein Beispiel f r ein vernetztes Glossar bildet das Grundschutzhandbuch des BSI das Grund schutz Kriterien repr sentiert Die Systembestandteile eines konkreten Informationssystems werden durch IT Bausteine abgebildet die mit einem Gefahren und Ma nahmenkatalog ver kn pft sind Die Verkn pfungen werden durch Hyperlinks in einem HTML Dokument reali siert Die folgende Abbildung zeigt wie das BSI Grundschutzhandbuch mit Hilfe von HTMIL Strukturen repr sentiert wird 330 Vgl Puppe Stoyan Studer 20
379. r cksichtigen sondern auch deren Anpas sungsaufwand f r eine bestimmte Institution Der berf hrungsaufwand kann den Erstel lungsaufwand des dom nenspezifischen IS Sicherheitswissens im Laufe der Anwendungs dauer bertreffen 231 Implementierung hoch ba 9 5 z ka 8 9 Q S 5 8 niedrig gt anpassungsorientierte anwendungssorientierte fall Uberf hrung berf hrung Dom nen fall spezifisches Dom nen spezifisches g Wiesen Wissen 1 wissen Wissen ET d 212 I DO gn 2 5 Anpassung an das _ konkrete Informations LI Erhebung der relevanten IS Sicherheitsbereiche system objekt unbeant Anwen e beant orientiertes worteter dungs wortete modell Referenz Fragen Fragen modell katalog Zwischen und Endergebnisse Zwischen und Endergebnisse Abbildung 131 Anpassungs und anwendungsorientierte berf hrung Die Strategiewahl zur Erzeugung von IS Sicherheit beeinflusst den berf hrungsaufwand des dom nenspezifischen IS Sicherheitswissens auf das fallspezifische IS Sicherheitswissen Der Aufwand bei dem Bottom Up Ansatz ist h her als bei den Top Down Ans tzen da eine pr zise Nachbildung von individuellen IS Sicherheitsaspekten meist durch objektorientierte Techniken n tig ist Daf r ist durch die detai
380. r ventiv sollen basierend auf fehlenden Ma nahmen m gliche Schwachstellen vorausschauend aufge deckt werden um im Vorfeld Gefahren abzuwehren Eingang Ma nahmen Merkmale Ausgang Schwachstellen Hypothesen Merkmalserkennung Hypothesengenerierung Hypothesen berpr fung Fehlende Ma nahmen abstrahieren und Aufdeckung von m glichen Verdachts Schwachstellen sind durch erkennen Schwachstellen weitere Ma nahmen zu berpr fen Dom ne des pr ventiven Top Down IS Sicherheitsmanagements fehlende Ma nahme weitere vermutete erfasste erforderliche fehlende ar assoziative hierarchische Schwachstellen as Ma nahmen Ma nahmen SE Schwachstelle ae Abh ngigkeit 4 4 e Sb assoziatives Vorgabenmodell Modell manifestierendes 5 Model 59 y e 2 ert g 222 verd chtige und e zus tzliche DE sel PX Jet I HEI JH eem Kal HEI Merkmale 9 erke ung 4 gene ung 4 Hypothese als eich Vermutungen 52 A Cp assoziatives Vorgabenmodell ERSEHEIIES manifestierendes Modell A T verd chtiger Fehl und nr Konsequenz erfordert assoziative hierarchisch Schwachstellen weitere Zustand Normalzust nde 9 Schwachstelle Schwachstelle Konsequenz Abh ngigkeit vermutete Konsequenzen Dom ne des
381. r Funktionen und seines Aufbaus 4 Risiko minimierung Ermittlung der Ma nahmen um 3 Risikoanalyse Risikoerkennung und bewertung Fehlerbeschreibung des Untersu chungsgegenstandes durch poten tielle Fehlerfolge potentielle Fehler 2 ursache und Erfassung von h Schwachstellen Danach Bewertung ne der Ergebnisse sien Tabelle 4 Schematischer Aufbau des FMEA Formblattes Im Zusammenhang mit der FMEA sind folgende formalisierte Methoden von Bedeutung die besonders die Risikoanalyse bzgl der Fehlerwirkungen und deren Ursachen unterst tzen e Bei der Fehlerbaumanalyse 3 nach DIN 25424 werden ausgehend von einem un erw nschten Zustand oder Ereignis des Systems z B Ausfall die daf r m glichen Ursa chen ermittelt e Unterschied dazu werden bei der Ereignisablaufanalyse nach DIN 25419 ausgehend von einem Anfangsereignis bzw einer Ursache die Folgewirkung Konse quenz bzw Fehlerfortpflanzung und der Endzustand im System ermittelt Ursache _ gt Wirkung Ereignisablaufanalyse Fehlerbaumanalyse Abbildung 23 Gegen berstellung der FTA und ETA Die Analyse von kausalen Zusammenh ngen kann in Form einer Baumstruktur abgebildet werden Ausgehend von einer Ursache werden die Folgewirkungen in Form von Verzweigun gen dargestellt Voraussetzung f r solch eine kausale Modellierung ist eine System und Funktionsanalyse des Untersuchungsge
382. r Strukturanalyse werden notwendige Ma nahmen im Rahmen einer Checkliste erhoben Die Ma nahmen werden durch das Tool in Schl sselma nahmen die unbedingt notwendig sind und Nicht Schl sselma nahmen differenziert Hierdurch soll erreicht wer den dass besonders relevante Ma nahmen zuerst analysiert werden Die fehlenden Ma nah men k nnen durch verfeinerte Konzepte stufenweise tiefer gehend analysiert werden was eine weiterf hrende Ma nahmensuche und Gefahrenanalyse unterst tzt Datenschutz Werkzeuge Der DSB Supporter ist ein Software Tool das die gesetzlichen Aspekte des Datenschutzes in Form einer HTML Struktur wiedergibt Das Tool ist f r Datenschutzberater ausgelegt und soll die innerbeh rdliche bzw innerbetriebliche Mitarbeiterschulung unterst tzen Das Tool besitzt einen Werkzeugkasten der insbesondere Ma nahmen und Checklisten enth lt um sch tzenswerte Bereiche einer Beh rde oder eines Unternehmens aus Sicht des Datenschutzes zu berpr fen Des Weiteren gibt es den Schulungsbereich der die Erstellung von Schu lungsfolien unterst tzt Das Tool stellt eine Bibliothek zur Verf gung in der die relevanten Gesetze z B BDSG oder Telekommunikationsgesetze gespeichert sind Ein weiteres Tool das den Datenschutzbeauftragen unterst tzen soll ist das HMI DSBtool Zentraler Bereich des Tools ist eine Ger te und Dateiregisterfunktion Durch diese Funktion k nnen die wesentl
383. rderlichen Ma nahmen die zum Erkennen von feh lenden Ma nahmen dienen Das Vorgabenmodell wird zum Erkennen von vermuteten Zust nden als Wirkung ver wendet Die Merkmalserkennung wird des Weiteren in der Beobachtungsauswahl sowie Erfassung und Abstraktion getrennt Beobachtungsauswahl Die Grundstruktur der Beobachtungsauswahl wird prim r durch die Kapitel und ihrer Fra genstruktur vorgeben Zus tzlich werden Verkn pfungsregeln hinzugef gt um ausgew hlte Bereiche zu aktivieren oder zu deaktivieren Diese Grobauswahl des Problembereichs erfolgt durch Beantwortung von Auswahlfragen welche ganze Problembereiche aktivieren oder de aktivieren Die Frage hat zudem die Aufgabe eines Merkmalsindikators Die Antwortm g lichkeiten einer Frage z B offene Fragen oder Alternativ Frage k nnen bestimmte Beobach tungseigenschaften festlegen Erfassung und Abstraktion Die Erfassung von Beobachtungen erfolgt durch Beantwortung der Antwortm glichkeiten Auf Basis des Antwortwertes resultiert die Abstraktion durch Aktivierung des Antwortbau steins welcher mit dem Antwortwert verkn pft ist Durch Antwortbausteine werden die Beo bachtungen dargestellt Es werden die erwarteten und erfassten Merkmale Antwortbausteine in einem Statusbericht zusammenfassend aufgezeigt Wenn das erwartete Resultat angeklick te Merkmal gleich ungleich ist wird angezeigt dass die geforderte Ma nahme Merkmal vorhanden nicht vorhanden ist
384. regeln ausgewertet Die Dann Bl cke sind zu diesem Zweck mit einem anderen Regel Rahmen verkn pft Bei der Aktivierung des zugeh rigen Regel Rahmens Diagnose wird der Regel Rahmen erf llt bzw als wahr angenommen Die verbundenen Schwachstellen Fragen k nnen somit entweder verdeckt oder offen automatisch beantwortet werden F r Diagnosen die weitere Test Merkmale ben tigen werden Test Fragen aktiviert Die Ak tivierung der Test Fragen erfolgt ber Dann Bl cke Die zus tzlichen Test Fragen sind ent weder weitere Ma nahmen Fragen oder Konsequenzen Fragen die in einem Regel Rahmen 246 Implementierung Test Bereich zusammengefasst werden Auf Basis der Test Merkmale werden einerseits die verd chtigen Schwachstellen best tigt oder widerlegt anderseits werden eventuell zus tzlich verfeinerte Schwachstellen abgeleitet UJOFOISFTUNIILIAUIN 310 SISIL SunpfiggqV 4591 1 24 4 4 USPISM
385. regeln deutlich zunimmt Ersetzungs und Generie rungsregeln sollten deshalb in einer geringeren Anzahl repr sentiert werden Erhebungs und Auswertungssicht von Fragenkatalogen In der folgenden Abbildung sind die Komponenten eines wissensbasierten Fragenkatalogs aus einer Erhebungs und Auswertungssicht dargestellt Ein fragenkatalogbasiertes WBS sollte eine getrennte Sichtweise auf die Erhebung und die Auswertung besitzen denn Verkn pfungs Ersetzungs und Generierungsregeln beeinflussen z T gemeinsam die Erhe bungssteuerung und die Auswertung Zwar sind somit die Bereiche Erhebung und Auswer tung eng miteinander verbunden aber f r die Konstruktion eines fragenkatalogbasierten WBS und einer flexiblen Auswertung ist eine Trennung der beiden Sichtweisen hilfreich 183 Entwurfsmodell Erhebungssicht N or Auswertungssicht Verkn pfungs Ersetzungs Generierungs regeln regeln Antworten regeln Antwort m glichkeiten H Frage Frage Antwortbausteine Antwortbausteine Kapitel Wissensbasis Abbildung 104 Erhebungs und Auswertungssicht eines wissensbasierten Fragenkatalogs Die Fragenkatalogstruktur beeinflusst prim r die Erhebungssteuerung wobei diese zus tzlich durch Verkn pfungs und Ersetzungsregeln automatisiert werden kann Durch die einfache Struktur von Verkn pfungsregeln und deren enger Kopplung mit dem Fragenkatal
386. res Association ECMA ver ffentlicht und ist eine Erweiterung der 1993 ver ffentlichten COFC bzw ECMA 205 EC MA wurde 1961 gegr ndet und stellt einen Zusammenschluss von ber 20 festen Mitgliedern wie z B Apple Dell Hewlett Packard IBM Intel Microsoft oder Sony und weiteren assozi ierten und Not for profit Mitgliedern wie z B AOL Siemens NIST TU Dresden dar Die Aufgabe der ECMS besteht in der Erstellung von Standards und technischen Reports f r kommerzielle Informations und Kommunikations Technologien Das Ziel der E COFC besteht im sicheren Datenaustausch in einer kommerziellen Ge sch ftsumgebung wobei die Evaluation von IT Produkten auf Kriterien basiert welche unab h ngig von einer speziellen Hardware oder einer Softwareplattform erarbeitet worden sind Hierbei wird zwischen den folgenden Sicherheitsklassen von kommerziellen Umgebungen unterschieden E COFC Public Business Class PB Class beinhaltet CB EB Class und COFC Voraussetzungen Contract Business Class CB Class beinhaltet EB Class und COFC Voraussetzungen Enterprise Business Class EB Class beinhaltet COFC Voraussetzungen Abbildung 31 Hierarchische Klassen der E COFC e Bei der EB Klasse erfolgt die Kommunikation nur zwischen Mitarbeitern innerhalb einer Institution somit ist auch nur eine Instanz verantwortlich f r die Gesch ftsvorg nge e Bei der CB Klasse erfolgen Gesch ftsvorg nge zwisch
387. rff Eccarius 1998 S 34 Herrmann 1997 S 22 26 und Frick 1998 S 283 32 Vgl Reimer 1991 S 1 33 Vgl Puppe Stoyan Studer 2000 S 602 3 Angele Fensel Studer 1998 5 169 26 Einf hrung Fakten und Regelwissen Fachwissen ber ein Anwendungsgebiet Regelinterpreter Interpretiert das Fachwissen Abbildung 5 Kern eines WBS der ersten Generation Der Transferansatz auf dem die meisten WBS basieren geht davon aus dass menschliches Wissen nur erhoben und ohne Ver nderung in eine Wissensbasis berf hrt wird Dies impli ziert die Annahme ein Modell aus Produktionsregeln und Frames stelle den menschlichen Verstand und die Wissensstrukturen dar und lie e sich mit erhobenem Wissen auff llen Es erfolgt direkt eine Wissensoperationalisierung wobei die Analyse der Probleml sung ver nachl ssigt wird Das f hrt zur negativen Folge dass Probleml sungsprozesse nicht explizit modelliert sondern implizit in dem Regelinterpreter repr sentiert werden Es entstanden zwar erfolgreiche Prototypen mit kleinen Wissensbasen und experimentellem Charakter f r einen begrenzten Anwendungsfall jedoch bei einem praktischen Einsatz in gr erem Umfang scheitern diese Systeme Modellierungsorientierte Ans tze Im Laufe der Zeit haben sich die Annahmen das zu l sende Problem dem WBS anzupassen als problematisch erwiesen denn durch die direkte bertragung des menschl
388. riterien Gefahr Bedrohung tritt auf Gefahr Bedrohung tritt auf KE sicherheitsrelevanter s sicherheitsrelevanter s Bereich Element Bereich Element Schwach Sicherheits Ma nahme geschlossene Ma nahme stelle l cke wirkt Schwachstelle wirkt Konsequenzen entstehen Abbildung 52 Assoziativer Ma nahmen Schwachstellen Ansatz Die Grundlage bildet die Assoziation dass durch fehlende oder nicht geeignete Ma nahmen auf Schwachstellen gedeutet werden kann Zus tzlich wird die Assoziation erweitert indem Konsequenzen auf Schwachstellen deuten da f r die Aktivierung einer Konsequenz eine Schwachstelle erforderlich ist Um diese Schwachstelle zu schlie en werden die ben tigten Ma nahmen eingesetzt Da meist eine vollst ndige Elimination der Gefahrenquelle nicht m glich ist wie z B bei Menschen oder Umwelt besteht somit fast immer eine potentielle Kombination aus Gefahren und sicherheitsrelevanten Elementen Unter dem Aspekt von vorhandenen Ma nahmen ist dies nicht weiter bedrohlich da durch eine geschlossene Schwachstelle keine negative Kon sequenz erfolgt und somit die Wahrscheinlichkeit des Auftreffens einer Gefahr nicht von Re levanz 1500 Auf Basis dieser berlegung kann es ausreichend sein die Schwachstellen zu identifizieren ohne vorher eine komplexe Ursachen Wirkungsanalyse der spezifischen IS Sicherheitsumgebung im Rahmen einer Risikoanalyse zu erstellen Zudem lassen sich auf der asso
389. riterienwerken z B CC oder BSI Grundschutz und konkreten Institutionsformen z B Unternehmen oder Beh rden Die Arbeit des Fachexperten beinhaltet im Idealfall nur noch die Aktivierung und Konfigura tion der ben tigten Probleml sungsmethoden sowie F llung der Wissensbasis mit ben tig tem IS Sicherheitswissen Das daraus entstandene Diagnose XPS ist auf die jeweilige Institu tion ausgerichtet und kann die Erstellung von unternehmensindividuellen IS Sicherheits konzepten unterst tzen Architektur der prototypischen Diagnose Shell Die Architektur der prototypischen Diagnose Shell zur Erstellung eines wissensbasierten Fra genkatalogs ist in der folgenden Abbildung dargestellt 236 Implementierung Wissenserwerbs Regeln Fragenkatalog komponenten Anpassung Verkn pfungsregeln Schablonen Ersetzungsregeln gt Kapitel und Fragen Erhebung Generierungsregeln Antwortbaustein fall NEG dom nen spezifisches d aufsteuerung spezifisches Wissen Wissens Wissen nutzungs angepasste Frageb gen komponenten Basisfrage bogen Probleml sung Pr ventiv Reaktiv e gt Top Down Bottom Up Bereichs
390. rkmale verfeinern 7 Anfangs h ufig Virenbefall Merkmalsdaten externer Missbrauch Erhebungsdaten von Rechner ressourcen Schwachstellen ungesch tzter Zugang zum Internet durch erfassen gt Trojaner Abbildung 65 IS Sicherheitsstrategie durch heuristische Klassifikation Ausgangspunkt f r das abduktive Schlie en bilden Merkmale oder Wirkungen die durch die Merkmalserkennung erhoben und ermittelt worden sind Hierf r werden erhobene Merkmals daten abstrahiert so dass fehlende Ma nahmen erkannt werden Merkmalserkennung Die abduktive Hypothesengenerierung erfolgt f r assoziative Abh ngigkeitskonzepte durch das Schlie en von erhobenen fehlenden Ma nahmen auf Schwachstellen Hypothesen Basie rend auf assoziativem Abh ngigkeitswissen ist abduktiv davon auszugehen dass Schwach stellen im Zugang zum Internet vorhanden sind Hypothesengenerierung Ausgangspunkt f r das deduktive Schlie en bilden die Verdachtshypothesen die durch die Hypothesengene rierung ermittelt worden sind Auf Basis von Verdachtshypothesen werden zus tzliche de Merkmale z B weitere fehlende Ma nahmen oder Konsequenzen ermittelt bzw vorhergesagt die zur berpr fung der Verdachtshypothesen dienen Hypothesen berpr fung Die Schwachstelle im Internetzugang wird z B durch zus tzlich ermittelte Merkmals konsequenzen wie h ufiger Virenbefall oder externer Missbrauch von Rechnerressourcen
391. rl ssigen In formationssystem ausgegangen werden kann Werden Ma nahmen nicht vollst ndig und wir kungsvoll eingesetzt ist von Sicherheitsl cken bzw Schwachstellen auszugehen Dabei ist der Grad von Sicherheit nur eine Richtgr e da der Einfluss der Ma nahmen f r die Si cherheit nicht zuverl ssig determiniert werden kann Die IS Sicherheits Schwachstellen analyse SiSSA ist eine Methode f r diese Top Down Vorgehensweise Ein Nachteil der ma nahmenorientierten Sichtweise liegt in dem geringen reaktiven Bereich denn Ma nahmen werden h ufig erst beim Auftauchen von Gefahren entwickelt und die schon bestehenden Ma nahmen k nnen eventuell nicht vor den neuen Gefahren sch tzen Es ist ersichtlich dass in dieser Zeitl cke das Informationssystem der Gefahr schutzlos ausge setzt ist Dieser Zusammenhang wird in der folgenden Abbildung dargestellt 201 Vgl E Government Handbuch Internetauftritt 2002 202 Vgl Winzler Holbein 1996 S 269 203 Vgl Solms 1996 S 283 20 Vgl Stelzer 1993 S 212 und Vo bein J 1999 5 38 f 205 Eine Aussage dass beim Fehlen von 10 der Ma nahmen eine Sicherheit von 90 gegeben ist ist nicht m glich 64 Informationssystemsicherheits Management Entstehung einer d Gef hrdung bernahme der Ma nahme in das Informationssystem Erkennen der Gef hrdung bernahme der Ma nahme in Entwicklung einer die Kataloge Gegenma nahme Abbildung 25 Zeitl
392. rl ufige Risikoanalyse durchgef hrt wobei die Wertbe stimmung der Bestandteile des Informationssystems das Ziel darstellt Aufgrund der Wertbe stimmung erfolgt f r sensible Bereiche eine detaillierte Risikoanalyse und f r die anderen Bereiche wird ein Grundschutz entwickelt Auf Basis der Risikoanalyse und des Basisschut zes werden Ma nahmen identifiziert und implementiert Diese Vorgehensweise ist in dem BSI Grundschutzhandbuch bzw in der IT Baseline zu fin den die auch als Grundschutz X bezeichnet wird wobei X f r eine zus tzliche IS Sicherheitsanalyse z B durch Risikoanalyse steht Hierbei erfolgt eine Wertbestimmung die beim BSI Grundschutzhandbuch als Schutzbedarfsfeststellung bezeichnet wird Es folgt eine 27 Vgl ISO 13335 1 1996 28 Vgl ISO 13335 2 1997 29 Vgl ISO 13335 3 1998 20 Vgl ISO 13335 4 2000 21 Vgl ISO 13335 5 2001 22 Vol Plate 1997 S 370 23 Vgl RSD 1999 S 28 71 Informationssystemsicherheits Management Trennung in eine Risikoanalyse z B gem dem BSI Sicherheitshandbuch oder dem Grund schutz z B bez glich des BSI Grundschutzhandbuches Common Criteria CC Die CC Evaluationskriterien beinhalten Pr fverfahren f r sicherheitsrelevante Aspekte von IT Produkten und IT Systemen die als Evaluationsgegenst nde EVG bezeichnet werden Die EVG k nnen auf Basis der CC Kriterien strukturiert untersucht werden so dass die Er gebnisse nachvollziehbar sind D
393. rrective action 7 3 Preventive action Annex A Control objectives and controls A 1 Introduction A 2 Guidance an best practice A 3 Security policy A 4 Organisational security A 5 Asset classification and control A 6 Personnel security A 7 Physical and environmental security A 8 Communications and operations manage ment A 9 Access control A 10 System development and maintenance Annex B Guidance on the use of the standard Annex Correspondence between ISO 9001 2000 ISO 14001 1996 and BS 7799 Part 2 2002 ISO 9001 2000 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 QMS requirements 4 1 General requirements 4 2 Documentation requirements 4 2 1 General 4 2 3 Control of documents 4 2 4 Control of records 5 Management responsibility 5 1 Management commitment 6 Resource management 5 6 Management review 5 6 1 General 5 6 2 Review input 5 6 3 Review output 8 2 2 Internal audits 8 Improvement 8 5 1 Continual improvement 8 5 2 Corrective actions 8 5 3 Preventive actions Annex A Links between ISO 14001 and ISO 9001 Tabelle 6 Gegen berstellung der BS 7799 2 1998 BS 7799 2 2002 und ISO 9001 2000 Ziel der ISO 9000 Standard Serie ist es ein Pr fverfahren zu definieren in dem Forderun gen an ein Qualit tsmanagementsystem festgelegt werden Das Pr fverfahren dient zur Darle gung des Qualit tsmanagements einer Organisation zur Erf llung der Qualit tsforde
394. rsatz f r die typische assoziative Abh ngigkeit fehlende Ma nahmen deu tet auf Schwachstellen verstanden e Die kausale Sicht geht von einer kausalen Schwachstelle aus die eine Konsequenz er m glicht indirekt verursacht kausale Schwachstelle erm glicht Konsequenz bzw gef hrdendes Ereignis Diese Schwachstelle ist in diesem Kontext als negative Eigenschaft Fehler eines sicher heitsrelevanten Elementes zu interpretieren Dabei ist zu beachten dass nicht eine eindeu tige Kausalit t wie bei der Abh ngigkeit gef hrdendes Ereignis verursacht Konsequenz besteht da eine Schwachstelle die Konsequenz indirekt erm glicht Die beiden sekund ren semantischen Regeln Konsequenz erfordert Schwachstelle und Schwachstelle erm glicht Konsequenz erhalten ihren assoziativen bzw kausalen Charakter vor allem durch deren Verwendung in den Probleml sungsmethoden So werden vorwiegend die assoziativen Abh ngigkeitskonzepte in der heuristischen Klassifikation und die kausalen Abh ngigkeitskonzepte in der modellbasierten Diagnose angewandt In der Tabelle 14 sind die semantischen Regeln der Abh ngigkeitskonzepte zusammengefasst 120 Expertisemodell Merkmal L sung Se Ma nahme deutet assoziative Schwach semantische ee Regeln Konsequenz erfordert Wissens heuristisches Erfahrungswissen der grundlage IS Sicherheit Ursache Wirkung kausale gef hrdendes Ereignis verursacht Konsequenz rs kausale Schwachst
395. rstellung eines Ma nahmenkatalogs f r ein sicheres In ternet Insbesondere die Koordination von Ma nahmenkatalogen aus der Wissenschaft Wirt schaft und aus Beh rden ist die Aufgabe der Task Force Anfang 2003 standen folgende nahmenkataloge zur Verf gung e Empfehlung zum Schutz vor verteilten Denial of Service Angriffen im Internet e Empfehlungen zum Schutz vor Computer Viren aus dem Internet wobei die Empfehlun gen insbesondere f r den Schutz von Microsoft Windows und Office Produkten ausge legt sind Die Ma nahmenkataloge bieten zun chst eine Einf hrung in die oben genannten Problembe reiche und anschlie end konkrete Ma nahmen Empfehlungen an Die Ma nahmen sind un terteilt in e Endanwender Ma nahmen Private Nutzer die berwiegend Informationen aus dem In ternet abrufen um sie zu verarbeiten Administratoren Netzvermittler Ma nahmen Verwalter und Betreuer von Rechnern und Netz Infrastrukturen Software Hersteller Server Betreiber Ma nahmen Hersteller von Betriebssystem und Anwendungs Programmen sowie Betreiber von Diensten im Internet WWW Server DNS Server usw und e Inhalt Anbieter Ma nahmen Produzenten von redaktionellen Inhalten die im WWW bereitgestellt werden CobiT Control Objectives for Information and Related Technology CobiT wurde durch die Information Systems Audit and Control Association ISACA entwickelt welche 1969 unter dem Namen EDP Auditors Foundatio
396. rungen der Kunden sowie der Beurteilung und Dokumentation durch interne und externe Stellen Dieses Pr fverfahren l sst sich z T auf den IS Sicherheitsbereich anwenden siehe BS 7799 2 2002 7 23 Vgl Humphreys 2002 S 7 25 Vgl ISO 9000 2000 226 Vgl Solms 1996 S 284 70 Informationssystemsicherheits Management 180 13335 Die Suite gibt Handreichungen f r das IS Sicherheitsmanagement ohne bestimmte L sun gen zu erzwingen Es besteht aus folgenden Bereichen Konzepte und Modelle der IT Sicherheit Managen und Planen von IT Sicherheit Techniken f r das Management von IT Sicherheit Auswahl von Sicherheitsma nahmen und Netzwerksicherheit Die General Management Guidelines for Information Security der ISO 13335 beschreibt einen fortlaufenden Sicherheitsmanagementprozes 8257 Informations sicherheits Politik SEE dee vorl ufige AR 4 Risikoanalyse 4 7 Wert der 22 Information 2 8 5 5 detaillierte Grundschutz Risikoanalyse 5 y Ma nahmenidentifikation Ma nahmenimplementierung Abbildung 29 Informationsmanagement nach ISO 1333523 Ausgehend von der Informationssicherheits und Gesch ftspolitik wird f r das zu untersu chende Informationssystem eine vo
397. s Abh ngigkeits konzepte konzepte 7 Probleml sun Basis Konzepte hierarchisch strukturiert Kriterien werke Ba user Abbildung 98 Komponenten eines Produktionssystems Die Wissensbasis des Fragenkatalogs besteht im Kern aus folgenden Bestandteilen Die Faktenbasis besitzt gt statische Fakten in Form von Fragen sowie Antwortstrukturen als Platzhalter f r gt dynamische Fakten in Form von Antworten e Die Regelbasis speichert folgende Fragenkatalog Regeln gt Verkn pfungsregeln dienen der automatischen Steuerung der Befragung und der au tomatischen Zustandsver nderung von Fragen gt Ersetzungsregeln dienen der automatischen Beantwortung von Fragen gt Generierungsregeln dienen einer komplexen Probleml sung e Das Kontrollsystem entscheidet welche IS Sicherheitsstrategie angewandt wird Die Interpretationskomponente welche die unterschiedlichen Regelformen auswertet Die Interpretationskomponente hat den Charakter eines Regelinterpreters 179 Entwurfsmodell In der folgenden Abbildung ist eine Zusammenstellung der Auspr gungsformen von Fragen katalog Regeln dargestellt Verkn pfungsregeln Einfache Ersetzungsregeln Frage WENN DANN Vorbedingung Automatsiche Nachbedingung Beantwortung Zustandsver nderung der Fragen Komplexe G
398. s Problem eingeschr nkt ge l st wird bzw die L sung nur approximiert werden kann So werden Heuristiken ver wendet um eine L sung zu erreichen die aber h ufig nicht die Optimall sung oder ledig lich eine Teill sung beinhaltet Die traditionelle Software dagegen besitzt den Charakter eines Number crunching Systems das gro e Mengen von Daten durch einheitliche Al gorithmen verarbeitet e Im WBS wird das Wissen explizit repr sentiert wohingegen in konventionellen Program men das Wissen in Algorithmen bzw direkt im Programmcode implementiert bzw hin einprogrammiert ist Dies gilt insbesondere f r das Probleml sungswissen So erfordern in traditionellen Softwaresystemen nderungen oft umfangreiche Modifizierungen des Programmcodes Dies verursacht eine niedrige Flexibilit t gegen ber Ver nderungen des Wissens und zus tzlich eine starke Abh ngigkeit von den Programmierern des Systems Das Knowledge Engineering hat in den letzten Jahrzehnten einen Paradigmenwechsel von den Ans tzen des Wissenstransfers hin zu den Ans tzen der Wissensmodellierung erfahren Dieser Paradigmenwechsel wird auch als bergang vom WBS der ersten Generation hin zum 2 Vgl Hoppe 1992 S 30 Software Engineering ist der gesamte Bereich der sich auf der Basis der Software Technologie ingenieursm igen Entwerfen Entwickeln Validieren Anwenden und Warten von Software einschlie lich der damit verbundenen
399. sage von Auswirkungen von bestimmten Annahmen auf ein System hat bertragen auf die Begrifflichkeit der modellorientierten Diagnose wird ausgehend von Ursachen Hypo thesen auf deren Wirkungen Merkmale geschlossen 440 Vgl Puppe et al 1996 S 119 150 Expertisemodell Obwohl die Wirkungsanalyse nicht unmittelbar der Problemklasse Diagnostik zugeordnet wird soll die Probleml sung der Wirkungsanalyse im Rahmen der Diagnostik beschrieben werden Von Bedeutung ist dass nicht ein typisches und in den meisten F llen komplexes Simulationsmodell verwendet wird sondern ein kausales Simulationsmodell der Diagnose Hierbei ist anzumerken dass w hrend der Hypothesen berpr fung der modellbasierten Diag nose schon eine vereinfachte Form der Simulation stattfindet in welcher auf Basis von Ver dachts Ursachen weitere Wirkungen Merkmale vorhergesagt bzw simuliert werden um die Ursachen zu berpr fen Im Folgenden verwendet die kausale Simulation die kausalen Abh ngigkeitskonzepte der modellbasierten Hypothesengenerierung und berpr fung Hiermit k nnen zwar nicht die gleichen Verhaltenszust nde wie bei klassischen Simulationsmodellen generiert werden aber f r eine Wirkungssimulation mit einem experimentellen Charakter reichen die kausalen Abh ngigkeitskonzepte aus Somit k nnen durch Annahme in Form von gef hrdenden 12 nissen deren Auswirkungen bzw Konsequenzen betrachtet werden Deshalb kann d
400. schaftliche Forschung zitiert Einf hrung 1 Einf hrung 1 1 Motivation Motivation dieser Arbeit ist die Unterst tzung des Informationssystemsicherheitsmanage ments kurz IS Sicherheitsmanagement durch das Knowledge Engineering KE Mit Hilfe des KE entsteht ein tiefes und gr ndliches Verst ndnis der Probleml sungsprozesse des IS Sicherheitsmanagements auf verschiedenen Abstraktionsstufen auch wenn das Wissen in impliziter Form vorhanden ist Als Ergebnis des KE werden das IS Sicherheitswissen und die Probleml sungsprozesse des IS Sicherheitsmanagements explizit durch ein Expertisemodell beschrieben und mit Hilfe eines wissensbasierten Systems WBS operationalisiert Knowledge Engineering Das Knowledge Engineering ist ein Teilbereich der K nstlichen Intelligenz und beinhal tet alle T tigkeiten und berlegungen zur Erfassung Verwaltung und Verarbeitung gro er praxisrelevanter Wissensbest nde K nstliche Intelligenz ist eine wissenschaftliche Diszip lin die das Ziel verfolgt menschliche Wahrnehmungs und Verstandesleistungen zu operatio nalisieren und durch Artefakte kunstvoll gestaltete technische insbesondere informations verarbeitende Systeme verf gbar zu machen Obwohl die KI und somit auch das als Teilgebiet in der Informatik verankert sind besitzen sie einen stark ausgepr gten interdis ziplin ren Charakter Dies ergibt sich aus der kognitionswissenschaftlichen Komponente und
401. schutzgesetz BDSG vom 20 Dezember 1990 zuletzt ge ndert durch Art 2 Abs 5 des Begleitgesetzes zum Telekommunikationsgesetz vom 17 Dezember 1997 Ver ffentlicht im Internet URL http www netlaw de gesetze bdsg_alt htm Stand 10 10 2002 BDSG 2001 Bundesdatenschutzgesetz BDSG vom 20 Dezember 1990 zuletzt ge ndert durch Gesetz zur nderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18 Mai 2001 Ver ffentlicht im Internet URL http www netlaw de gesetze bdsg htm Stand 10 10 2002 Becaulair 1968 Becaulair W de Rechnen mit Maschinen Braunschweig 1968 Becker et al 2000 Becker K Stumme G Wille R Wille U Zickwolff M Conceptual Information Sys tems Discussed through an IT Security Tool In Dieng R Corby Eds Knowl edge Engineering and Knowledge Management 12th International Conference EKAW 2000 in Juan les Pins France October 2 6 Proceedings Lecture Notes in Artificial Intelligence LNAI 1937 Berlin u a 2000 pp 252 365 Behrens 1997 Behrens J Aufgaben des DSB und ihre Ver nderungen durch Vernetzung und verteilte Systeme In Vo bein R Hrsg Die Organisation der Arbeit des betrieblichen Daten schutzbeauftragten Frechen 1997 S 9 24 Beierle Kern Isberner 2000 Beierle C Kern Isberner G Methoden wissensbasierter Systeme Braun schweig Wiesbaden 2000 Benjamins 1993 Benjamins V R Problem solving methods for diagnosis Amsterdam 1993 273
402. sen ben tigt um Zwischen und Endergebnisse zu erlangen Es folgt eine Beschreibung der Realisierung bei der z T mehrere Module zu einem Pro grammpaket zusammengefasst wurden 5 3 1 Wissenserwerbskomponenten In Anlehnung an computergest tzte Fragenkataloge lassen sich Anforderungen an einen wis sensbasierten Fragenkatalog herleiten Insgesamt soll durch die Wissenserwerbskomponen te die Umsetzung der folgenden Anforderungen ohne Programmierkenntnis m glich sein Die optionalen Einstiegs und Ausstiegsfragen haben die Aufgabe den Befragten in die Befragung einzuf hren bzw einen abschlie enden berblick ber die Befragung zu ge ben e Im Rahmen der Gestaltung des Fragenkatalogs sind der Inhalt die Anzahl und die Reihen folge der Fragen festzulegen Fragen des gleichen Themengebietes werden zu einem Komplex zusammengefasst sensitive und heikle Fragen sollten erst am Schluss einer Befragung auftreten Die Fragen sollten einen einheitlichen graphischen Aufbau besitzen e Es sollten Ausstrahlungs und Plazierungseffekte vermieden werden d h der Befragte st tzt seine Antwort nicht nur auf die aktuellen sondern ggf auch auf bereits zuvor ge stellte Fragen e Die Einstreuung von Auswahlfragen soll verhindern dass berfl ssige Fragen in einem bestimmten Zusammenhang gestellt werden Somit soll einer m glichen Erm dung des Befragten vorgebeugt werden Schablonengenerator Mit dem Schablonengenerator ist
403. sen N 7 Hypothesen m Wirkung m berpr fte r i H Wirkungen g Beobachtungen erkennung gt generierung 4 Ursachen berpr fung Voraussagen ee z g i i kausales i Vorgabenmodell kausales Modell manifestierendes Sn wei EE Modell We 24 verd chtiger Fehl und E GAEIREINES ht gef hrdendes E DEER h vorhergesagte sand Normalzust nde Konsequenz reignis Soss reignis verursacht KNESET Konsequenz Dom ne des reaktiven Bottom Up IS Sicherheitsmanagements Ursachenanalyse Konsequenz Abbildung 77 berf hrung des reaktiven Bottom Up IS Sicherheitsmanagements auf die modellbasierte Diagnose Die Merkmalserkennung erfolgt durch das Vergleichen von erhobenen Zust nden mit Fehl und Normalzust nden aus dem Vorgabenmodell F r die Ursachenanalyse eignet sich die berdeckende Hypothesengenerierung und deren berpr fungen Ziel der berdeckenden Di agnose ist die abduktive Ermittlung von Ursachen welche die beobachteten Wirkungen am besten erkl ren bzw berdecken Im Rahmen der berdeckenden Hypothesengenerierung wird ausgehend von beobachteten Konsequenzen berdeckend auf deren Ursachen in Form von gef hrdenden Ereignissen geschlossen In der Hypothesen berpr fung werden f r die ermittelten Ursachen deduktiv weitere Wirkungen vorausgesagt welche die Ursachen zus tz lich erkl ren oder berpr fen k nnen Die
404. sensitive Daten von nat rlichen Personen in der Art dass durch deren Verarbeitung auf ihre Identit t der Personen geschlossen werden kann Der Datenschutz beinhaltet somit den Schutz von personenbezogenen Daten und erzielt aufgrund der steigenden Durchdringung von Informati onstechnologien auf gesellschaftlicher und politischer Ebene ein immer gr eres Interesse Das Grundrecht bzw B rgerrecht in Bezug auf informationelle Selbstbestimmung ist in man chen Staaten sogar als Menschenrecht anerkannt Nicht vom Datenschutz abgedeckt sind Daten ber e juristische Personen AG oder GmbH oder e reine Sachdaten Patente oder Betriebsgeheimnisse Der Datenschutz ist gesetzlich u a in dem BDSG geregelt Ebenfalls andere Gesetze wie z B die Telekommunikationsgesetze beeinflussen den Datenschutz Um den Datenschutz zu gew hrleisten sind neben rechtlichen Aspekten auch technische und organisatorische As pekte der IS Sicherheit von Bedeutung Dies kommt u a in der Anlage zu 9 Satz 1 BDSG zum Ausdruck die daf r sorgen soll dass die Regelungen des Datenschutzes durch techni sche und organisatorische Ma nahmen praktisch umgesetzt werden Diese gesetzliche For derung des Datenschutzes ist die Schnittmenge zwischen Datenschutz und IS Sicherheit 07 Vgl Kerster 1995 S 72 Vgl Ziener 1997 5 71 Vgl Tinnefeld Ehmann 1998 S 3 10 Vgl Ehmann 1993 S 73 und Herbst 2001 S 145 11 BDSG Bundesd
405. sg IT Sicherheit ohne Grenzen Tagungsband 6 Deutscher IT Sicherheitskongre des BSI Ingelheim 1999 S 137 149 G tesiegel Anforderungskatalog 2002 Unabh ngiges Landeszentrum f r Datenschutz Schleswig Holstein Anforderungskata log Version 1 0a vom 24 4 2002 Kiel 2002 Ver ffentlicht im Internet URL http www datenschutzzentrum de download anford pdf Stand 10 10 2002 Haase et al 1995 Haase M Krehl H Heidecker P Mertens P Unternehmensreport II ein umfassen der Ansatz zur wissensbasierten Unternehmensanalyse In K nstliche Intelligenz 9 Jg 1995 H 5 S 56 62 Haar Solms R 1993 Haar H van de Solms R von A Tool for Information Security Management In In formation Management amp Computer Security Vol 1 1 1993 4 10 Haaz 1997 Haaz H Das Anforderungsprofil des betrieblichen Datenschutzbeauftragten In Vo bein R Hrsg Die Organisation der Arbeit des betrieblichen Datenschutzbeauftrag ten Frechen 1997 S 33 45 Hammer 1999 Hammer V Verletzlichkeitsreduzierende Technikgestaltung Methodische Grundlagen f r die Anforderungsanalyse In Baumgart R Rannenberg K W hner D Weck G Hrsg Verl liche Informationssysteme DuD Fachbeitr ge Pfitzmann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 1999 S 187 202 Hange Moritz 2002 Hange M Moritz W R IT Sicherheitskriterien im Vergleich In KES o Jg 2002 H 1 S 68 70
406. sieren und somit eine Strukturierung bieten Somit besitzt das Dokument gleichzeitig ein Erkl rungsmodul da z B Schwachstellen mit deren fehlenden Ma nahmen einerseits oder Wirkungen mit deren Ursachen anderseits verkn pft sind In der Abbildung wird die Grundstruktur f r die HTML Darstellung einer pr ventiven Top Down und reaktiven Bottom Up Probleml sung dargelegt Beobachtungen Ma nahmen Schwachstelle Beobachtung Fehlende Ma nahme Schwachstelle Beobachtung Fehlende Ma nahme Schwachstelle Beobachtung Fehlende Ma nahme 1 Schwachstelle Beobachtung Ma nahme vorhanden Schwachstelle Beobachtung BEE eu Eet Beobachtungen Wirkung Ursache Beobachtung Wirkung Ursache Beobachtung Wirkung Ursache gt 2 Beobachtun oN Ursache Beobachtung sa S CO ege Abbildung 148 Auswertung durch HTML Dokumente Eine quantitative Auswertungserweiterung erfolgt durch Ermittlung von quantitativen Werten f r die jeweiligen Fragen Werden die Fragen in Kapitel und Unterkapitel strukturiert kann f r das jeweilige Kapitel auch ein Kapitelwert ermittelt werden wobei zus tzlich eine Ge wichtung der Fragen innerhalb des Kapitels erfolgt wodurch brisantere Fragen h her gewich tet werden Besteht eine Kapitelstruktur so k nnen wiederum die Unter Kapitelwerte ge wichtet und zu einem relativen Kapitelwert rekursive su
407. sikoanalyse von Konrad oder bei der workflowbasierten Risikoanalyse von 7 Objektorientierte Wissensrepr sentationen folgen Paradigmen die der objektorientierten Programmierung verwandt sind und auf dem Prinzip des abstrakten Datentyps basieren Die grundlegenden Elemente der objektorientierten Wissensrepr sentation sind Klassen und deren Instanzen die als Objekte bezeichnet werden Eine Klasse ist ein abstrakter Datentyp oder eine Art Schablone f r ein Objekt die die Eigenschaften und Verhaltensweisen der k nfti gen Objekte in Form von Attributen und Methoden bereitstellt Durch den Vorgang der In stanziierung werden aus den Klassen Objekte Instanzen gebildet Die Objekte k nnen ihre Eigenschaften kapseln und kommunizieren mit ihrer Au enwelt und untereinander mit Hil 46 Volz 2001 867 Vgl Zelewski Sch tte Siedentopf 2001 S 194 468 Vol Stelzer 1993 49 Vgl Konrad 1998 470 Vgl Thoben 2000 167 Entwurfsmodell fe von Nachrichten ber Schnittstellen k nnen interne Methoden des Objekts aktiviert wer den die eine bestimmte Reaktion bewirken Die Klassen werden in hierarchischen Verer bungsstrukturen bzw semantischen Netzen dargestellt wobei die Oberklasse der Unterklasse ihre Eigenschaften und Verhaltensweisen vererbt Klassen und Objekte k nnen durch die Unified Modeling Language UML Notation grafisch beschrieben werden In der folgenden Tabelle ist die UML N
408. sind nur einfache kausale Abh ngigkei ten zu beschreiben F r umfangreiche Bottom Up orientierte Ursachen und Wirkungsanaly sen ist eine kausale Erweiterung des wissensbasierten Fragenkatalogs denkbar die auf den Konzepten von Stelzer 1993 Konrad 1998 und Thoben 2000 basiert Hierbei kann der wissensbasierte Fragenkatalog die Aufgabe einer intelligent gesteuerten Erhebung und Aus gabe f r eine modellbasierte Diagnose bernehmen Eine weitere sinnvolle Erg nzung w rde eine fallbasierte Probleml sung darstellen die basie rend auf historischen Vorf llen und aktuell erhobenen Merkmalen eventuell schon erarbeitete L sungen anbieten kann Auf statistische Erg nzungen in Form einer klassischen Risikobe wertung wurde verzichtet da deren notwendigen Voraussetzungen meist nicht gegeben sind und dadurch Aussagen einer statistischen Auswertung problematisch sind 254 Schlussbetrachtung 6 Schlussbetrachtung 6 1 Zusammenfassung Die Wissensnutzung des IS Sicherheitswissens im Rahmen des IS Sicherheitsmanagements stand im Mittelpunkt der Arbeit Hierf r wurden Methoden des Knowledge Engineerings verwendet um die IS Sicherheitsstrategien durch Probleml sungsmethoden zu beschreiben Das ben tigte IS Sicherheitswissen wird durch IS Sicherheitskonzepte repr sentiert Als Er gebnisse der Arbeit sind Modelle auf unterschiedlichen Abstraktionsstufen entwickelt wor den Deren Ergebnisse sind in einen wissensbasierten Diagnose Proto
409. siskonzepte unabh ngig von einem speziellen Unternehmen zu strukturieren bzw zu klassifizieren werden sicherheitsrelevante Bereiche bzw Ebenen verwendet Stelzer 1993 hat zwischen den physischen logischen organisatorischen recht lich wirtschaftlichen Ebenen differenziert Die physische Ebene fasst die sicherheitstech nisch relevanten Bereiche der Informationssysteme z B Hardware Datenspeicher Netzwerk oder Geb ude zusammen wohingegen sich die logische Ebene auf sicherheitsrelevante Da ten und Programme bezieht In der organisatorischen und sozialen Ebene werden die organi satorischen Bereiche in Form von Aufbau und Ablauforganisation strukturiert F r die IS Sicherheit sind zus tzliche gesellschaftliche organisatorische und rechtlich wirtschaftliche Aspekte n tig um das vollst ndige Spektrum der Sicherheit zu beschreiben Die Kriterienwerke strukturieren die IS Sicherheitsaspekte in sicherheitsrelevante Bereiche wobei verschiedene Auspr gungsformen in unterschiedlichen Detaillierungsgraden existieren Das BSI Grundschutzhandbuch verwendet ein Schichtenmodell die BS 7799 ISO 17799 eine Kapitelstruktur die CC eine Klassen und Familienstruktur und das CobiT Framework Do m nen Prozesse Sicherheitsrelevante Kriterienwerk Bereiche sind eine anwendungsorientier te und unternehmensunabh ngige Strukturierung der IS Sicherheit denen Ma nahmen zugeordnet sind Sind diese Ma nahmen vorhanden ist davon auszu
410. somit in reiner Form meistens von theoretischem Charakter 2 3 1 1 Risikoanalyse Insbesondere in der USA hat die Risikoanalyse eine starke Verbreitung erfahren da dort das National Bureau of Standard NBS 1979 verbindlich eine Richtlinie zur Durchf hrung der Risikoanalyse f r Beh rden entwickelt Es existieren verschiedene Auspr gungen von Risikoanalysen die unterschiedliche Schwerpunkte auf die einzelnen Phasen setzen Manche Autoren verstehen unter dem Begriff Risikoanalyse nur die Phase Risikobewertung oder die Risikoerkennung in Form der Analyse der Wechselwirkungen von Schwachstellen und Bedrohungen Trotz der unterschiedlichen Ausgestaltungen l sst sich ein Rahmen f r die Risikoanalyse strukturieren die auf folgenden Phasen basiert In der Arbeit beinhaltet der Begriff Risikoanalyse die Systemabgrenzung Risikoerkennung Risikobewertung und Risi kobew ltigung 53 Erweitert in Anlehnung Vo bein J 1999 S 40 Vgl Kerster 1995 5 84 155 Vgl Oppliger 1997 S 22 156 Vgl Kerster 1995 5 79 und Oppliger 1997 S 24 157 Vgl Krallmann 1989 S 35 und Heinrich 2002 S 279 158 Vgl Stelzer 1995 S 199 und Kyas 1996 S 22 56 Informationssystemsicherheits Management Systemabgrenzung Risikoerkennung 5 deg 4 14 its 7 29 Bedrohungsanalyse an d analyse ___ 52
411. sonssonsnonsnnssnnsenne 101 3202 OntoJl gien EE 101 3 2 2 Basiskonzepte des IS Sicherheitswissens 106 3 2 3 Probleml sungskonzepte der IS Sicherheitsstrategien 112 3 2 3 1 Kausale Abh ngigkeitskonzepte 113 3 2 3 2 Assoziative Abb ngtgketskonzepte 116 3 2 3 3 Diagnostische Wissensarten der Abh ngigkeitskonzepte 118 3 24 Schwachatellen Kausalmodell onen 122 3 3 Probleml sungsmethoden der Diagnose uessssssssonssonssonsnonsnnssnnsonnssnnsnnsnsnnsnnnnnnnnsnsnsnssssssnssonssnnsnnne 125 3 3 1 Kontroll bzw Aufgabenmethoden der Diagnose 127 3 32 Basis Inferenzen der Diagnose 129 3 3 2 1 Merkmalserkennung und Abstraktion 129 3 3 2 2 Hypothesengenerler uns idee hen hai fshanserpinbhieeneenane 129 Inhaltsverzeichnis 3 3 2 3 Hypothesen berpr fung 130 3 3 3 Abduktives und deduktives Schlie en 010001000 130 3 3 4 _ Inferenz Str kt ren 2 22 32 Ee edd 132 3 4 Probleml sungsans tze f r 15 135 3 4 1 IS Sicherheits Dom nenkonzepte 138 3 4 1 1 Dynamische Basiskonzepte 2 2220
412. sprachen und deren WBS haben insgesamt den Vorteil einer problemorientierten Wissensakquisition ohne Ber cksichtigung eines kostenintensiven Knowledge Engineers Sie sind aber nur auf ein begrenztes Aufgaben gebiet ausgelegt und besitzen nicht die Universalit t bzw Problemunabh ngigkeit von forma len Sprachen wie z B Prolog oder Lisp Da im Rahmen der Arbeit der Fachexperte sein und anderes IS Sicherheitswissen direkt in ein WBS eingeben und warten soll sind Repr sen tationssprachen erforderlich welche ohne oder mit geringen Programmierkenntnissen zu be herrschen sind So hat ein IS Sicherheitsexperte nicht die zeitlichen Ressourcen sich in eine formale Repr sentationssprache einzuarbeiten er achtet eher auf die ergonomische Praktika bilit t bzw Anwendbarkeit und die konomischen Aspekte 4 1 Formalisierungsgrundlage f r sicherheitsrelevante Konzepte Das in einer Wissensbasis befindliche IS Sicherheitswissen stellt eine Art Referenzmodell dar Sch tte definiert ein Referenzmodell als das Ergebnis einer Konstruktion eines Modellierers der f r Anwendungssystem und Organisationsgestalter Informationen ber allgemeing ltige zu modellierende Elemente eines Systems zu einer Zeit als Empfehlungen mit einer Sprache deklariert so da ein Bezugspunkt f r ein Informationssystem geschaffen wird Die Wissensbasis f r das IS Sicherheitsmanagement stellt somit einen Bezugspunkt zum unternehmensspezifischen IS Sicherheitsw
413. sproblematik 99 Expertisemodell 3 1 4 Explizites Vorschriftenwissen Die Bereiche der gesetzlichen Regelungen haben einen Vorschriftencharakter und sind dem Bereich des Datenschutzes zuzurechnen Dieses Vorschriftenwissen ist relevant f r die Erstel lung von IS Sicherheitskonzepten weil davon auszugehen ist dass sich Institutionen an Ge setze halten wollen Somit sollte das WBS auch in der Lage sein Gesetzesverst e aufzude cken und L sungen anzubieten Als relevante Gesetze sind in erster Linie das BDSG und die Bundesl nderdatenschutzgesetze zu nennen Aber auch andere Gesetze und Verordnungen besitzen Relevanz im Bereich Datenschutz wie z B Teledienstedatenschutzgesetz 56 4 Fernmeldeverkehr berwachungs Verordnung Entwurf eines Elekt ronischen Gesch ftsverkehr Gesetzes EGG Entwurf einer Telekommunikations berwachungsverordnung TK V Telekommunikations Kundenschutzverordung TKV Telekommunikations Datenschutzverordnung TDSV Teledienstgesetz TDG Telekommunikationsgesetz Signaturgesetz 5100 und das Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen Konto Europ ische Vorschl ge zum Schutz personenbezogener und andere bereichspezifische Gesetze wie z B Steuergesetze Strafgesetze oder rztliche Schweigepflicht sind zus tzlich zu ber cksichti gen Auch das Internet ist kein rechtsfreier Raum wie viele in ihrer Begeister
414. stein wirken k nnen Sicherheitsma nahmen Abbildung 37 Grundstruktur von Bausteinen Die den Bausteinen zugeordneten Gefahren und Ma nahmen sind in f nf Gefahrenklassen z B h here Gewalt oder technisches Versagen bzw sechs Ma nahmenklassen z B Organi sation oder Notfallversorgung zusammengefasst und bei Bedarf mit dem jeweiligen Baustein verkn pft In den Bausteinen wird zus tzlich auf Querverbindungen zu anderen Bausteinen hingewiesen da diese teilweise bergreifende Eigenschaften wie z B Organisation Personal oder Datensicherungskonzepte besitzen Die Bausteine werden permanent durch das BSI aktualisiert und erweitert Es erfolgt ein Soll Ist Vergleich der Grundschutz Ma nahmen mit den vorhandenen Ma nahmen was einer Top Down Strategie entspricht Die Differenz zwischen Soll und Ist Zustand beschreibt die umzusetzenden Ma nahmen um einen IT Grundschutz zu erreichen Die ermittelten Ma nahmen sind teilweise als optional gekennzeichnet und sollten zudem priorisiert werden insbesondere wenn die erforderlichen Ressourcen begrenzt sind um eine Rangfolge der zu erf llenden Ma nahmen aufzustellen Die Ergebnisse des IT Grundschutzes und der eventuell durchgef hrten Risikoanalyse werden zu einem IT Sicherheitskonzept zusammengef gt Das Sicherheitskonzept sollte die erarbeite ten Ma nahmen enthalten aber auch Umsetzungs und Kontrollkonzepte aufweisen Als Er gebnis erh lt der Sicherheitsverantwortliche eine Liste
415. stellen Es existiert eine Vielzahl von unterschiedlichen Aufgabenklassen mit z T jeweils unter schiedlichen Inhalten Im Rahmen der Arbeit soll sich an die folgende Differenzierung von Puppe und Schreiber gehalten werden Diagnose bzw Analytic Task Generische Strategie Die L sung wird aus einer Menge vorgegebener Alternativen aus gew hlt e Konstruktion bzw Synthetic Task Generische Strategie Die L sung wird aus Bausteinen zusammengesetzt Prinzipiell gehen diagnostische bzw analytische Aufgabenklassen von einem bestehenden System z B Informationssysteme Unternehmensorganisation oder IS Sicherheitskonzept aus Die Diagnoseaufgabe hat als Eingang das bestehende System und produziert als Ergebnis bestimmte Eigenschaften des Systems Analyse Bei Konstruktiven bzw synthetischen Auf gabenklassen existiert noch kein System da die Aufgabe die Konstruktion eines Systems be inhaltet Synthese Der Eingang besteht i d R aus Anforderungen und Restriktionen f r das zu konstruierende System Konstruktive Probleme bzw Aufgaben sind im Allgemeinen schwerer zu l sen als diagnosti sche Probleme da der L sungsraum bei der Konstruktion wesentlich gr er ist Auch ist die Aufgabenklasse Konstruktion mit ihren eigenst ndigen Teilbereichen wie z B Planung Konfiguration oder Scheduling erheblich heterogener als die Diagnoseaufgabe Eine eindeu tige Differenzierung zwischen Diagnose und Konstruktion l sst sich nicht
416. stellen Die Sicher 28 Vgl Mackenbrock 1999 S 94 25 TCSEC Trusted Computer Systems Evaluation Criteria 236 CTCPEC Canadian Trusted Computer Product Evaluation Criteria 237 Erweitert in Anlehnung an http www commoncirteria org docs origins html Stand 10 12 2002 258 Vgl ISO 15408 1 1999 15408 2 1999 und 15408 3 1999 29 Vol CC Teil 1 2000 ISO 15408 1 1999 20 Vgl CC Teil 2 2000 ISO 15408 2 1999 21 Vgl CC Teil 3 2000 ISO 15408 3 1999 22 Engl Protection Profile 72 Informationssystemsicherheits Management heitsvorgaben 5773 dienen der Pr fung und Bewertung des konkreten EVG Die ST f r einen konkreten EVG k nnen durch Verweis auf ein PP oder direkt auf Basis von funktiona len Vertrauensw rdigkeitskomponenten der CC erstellt werden Der zweite Teil der CC beschreibt Funktionalit tsanforderungen die f r einen EVG spezifi ziert werden k nnen F r die Sicherheitsprotokollierung sind z B Kryptographische Unter st tzung Schutz der Benutzerdaten Zugriffskontrollpolitik Authentisierung oder Identifika tion zu nennen Der dritte Teil der CC stellt Anforderungen an die Vertrauensw rdigkeit und beruht auf fr here Kriterien wie die TCSEC oder ITSEC Die Anforderungen sind in Ver trauensw rdigkeitsklassen wie Konfigurationsmanagement Auslieferung und Betrieb Entwicklung Testen oder Handb cher eingeteilt die wiederum durch Vertrauensw rdigkeits familien verfeinert werde
417. strahieren l sst Damit war es zum ersten Mal m glich das Probleml sungsverhalten der heuristischen Klassifikation auf einer Wissensebene und zwar unabh ngig von der jeweiligen Repr sentationsform z B Pr dikatenlogik Produktionsregeln oder Frames zu beschreiben 47 Vgl Clancy 1985 48 Vgl Marcus 1988 und Puppe 1990 Vgl Poeck Gappa 1993 und Puppe et al 1996 So Vgl Chandrasekaran 1986 5 Vgl Chandrasekaran Johnson Smith 1992 55 KADS Knowledge Acquisition and Documentation Structuring KADS wurde z T sp ter auch als Akronym f r Knowledge Analysis and Design Support verwendet gt MIKE Model based and Incremental Knowledge Engineering 5 CommonKADS und MIKE werden in Kapitel 1 3 2 erl utert 55 Vgl Fensel 2000 8 7 56 Puppe Stoyan Studer 2000 8 617 57 Vgl Chandrasekaran Johnson Smith 1992 S 126 29 Einf hrung Merkmals abstraktion abstrahieren e C verfeinern gt SE GER Merkmale Datenwerte Diagnoseklasse Gene gt L sungsklasse L sung nferenz N Aktion Wissens Rolle Abbildung 7 Konzept der heuristischen Klas sifikation Am Beispiel der heuristischen Klassifikation sollen die wesentlichen Eigenschaften einer Probleml sungsmethode charakterisiert werden e Es werden die ben tigten Inferenz Aktionen und deren Abarbeitungsstruktur festgelegt e Die Wissens Rollen de
418. szertifizierung aus unterschiedlicher Sicht In BSI Hrsg Mit Sicherheit in die Informationsgesellschaft Tagungsband 5 Deutscher IT Sicherheitskongre des BSI Ingelheim 1997 S 321 322 G rz Wachsmuth 2000 G rz G Wachsmuth I Einleitung In G rz G Rollinger C R Schneeberger Hrsg Handbuch der K nstlichen Intelligenz 3 Aufl M nchen Wien 2000 S 1 16 G tze T V 2002 G tze S T V Informationstechnik GmbH Zertifizierung von Sicherheitsmanagement systemen nach BS7799 Vortrag Zertifizierungstag O 6 6 2002 Ver ffent licht im Internet URL http www secure trusted site de download veranstaltungen ZertTag ZertTag_2002_BS 7799 pdf Stand 10 12 2002 Gritzalis 1997 Gritzalis D A baseline security policy for distributed healthcare information systems In Computers amp Security Vol 16 8 1997 pp 709 719 Gruber 1993 Gruber T R A translation approach to portable ontology specifications In Knowled ge Acquisition Vol 5 2 1993 pp 199 220 Guarino 1997 Guarino N Understanding Building And Using Ontologies In International Journal of Human and Computer Studies Vol 46 2 3 1997 pp 293 310 G ldenberg 1997 G ldenberg S Wissensmanagement und Wissenscontrolling in lernenden Organisatio nen Wiesbaden 1997 281 Gundermann 1999 Gundermann L Datenschutzfreundliche Technologien in den Datenschutzgesetzen der 3 Generation In BSI Hr
419. t der Informationstechnik Common Criteria Teil 2 Funkti onale Sicherheitsanforderungen Deutsches bersetzung der Common Criteria Ge meinsame Kriterien PDF Version 2 1 am 29 09 2000 im Bundesanzeiger bekannt ge macht Ver ffentlicht im Internet URL http www bsi de cc cc2_21 pdf Stand 10 12 2002 CC Teil 3 2000 Bundesamt f r Sicherheit in der Informationstechnik Common Criteria Teil 3 Anforderungen an die Vertrauensw rdigkeit Deutsches bersetzung der Common Criteria Gemeinsame Kriterien PDF Version 2 1 am 29 09 2000 im Bundesanzeiger bekannt gemacht Ver ffentlicht im Internet URL http www bsi de cc cc3_21 pdf Stand 10 12 2002 CC Tool User Manual National Institute of Standards and Technology CC Toolbox User s Manual Version 6 0f Ver ffentlicht im Interne URL http niap nist gov tools CCTB60f Documentation UsersGuide UsersManual_FrameSet html cctool html Stand 10 10 2002 CERT Einrichtung 2002 O V Sicherheitsexperten suchen Kunden im Mittelstand In Computer Zeitung 32 Jg 2002 H 7 S 17 Chandrasekaran 1986 Chandrasekaran B Generic Tasks in Knowledge based Reasoning High level Build ing Blocks for Expert System Design In IEEE Expert Vol 1 3 1986 pp 23 30 Chandrasekaran Johnson Smith 1992 Chandrasekaran B Johnson T R Smith J W Task Structure Analysis for Knowl edge Modeling In Communications of the ACM Vol 35 9 1992 pp 124 137 Chandrase
420. t t haben um sich an spezifische Probleme anzupassen Auf Basis einer konfigurierbaren Shell k nnen Fachexperten anwendungsorientiert Experten systeme intuitiv erstellen und warten 582 Vol Sch nebeck 1994 5 23 553 Vol Puppe 1996 169 234 Implementierung Expertensystem f r IS Sicherheitsmanagement direkte Wissens Akquisition 9 indirekte niedriger Aufwand bei 2 Wissens der XPS Entwicklung a Akquisition und Pflege 5 2 IS Sicherheits hohe Beschr nkung 3 37 z experten des Aufgabengebietes e E 4 4 Wissens Knowlege IS Sicherheits E x z 5 Engineer SEIER basierte Shell Si 2 5 ze hoher Aufwand bei der XPS Entwicklung und H Pflege 4 x niedrige Beschr nkung 1 U des Aufgabengebietes KI Sprachen 2 gt Beschr nkung 4 des Einsatz U 8 konventionelle Programmiersprachen Abbildung 132 Zusammenhang zwischen Aufwand und Einsatzgebiet von WBS Inwieweit ein WBS selbst auf Basis einer KI Sprache oder eines anderen WBS entwickelt worden ist h ngt von der jeweiligen Sichtweise ab WBS k nnen aber auch ohne Einsatz von KI Sprachen in konventionelle Programmiersprachen z B C Pascal oder Java implemen tiert werden Diagnose Shell f r das IS Sicherheitsmanagement Die Implementierung der prototypischen Diagnose Shell des IS Sicherheitsmanagements ba siert auf dem Expertisemo
421. t Hilfe von BinProlog umgesetzt wobei der Hauptteil des Werkzeugs durch die Programmiersprache C implementiert worden ist Zus tzlich er m glicht das Werkzeug unscharfe Risikobewertungen mit Hilfe der Fuzzy Technologie wel che durch die Fuzzy Bibliothek StarFLIP implementiert worden ist Zur Datenhaltung wird das Oracle DBMS verwendet gt Thoben 2000 S 117 555 Vgl Thoben 2000 S 155 und S 156 221 Implementierung RSD Expertensystem An der Universit t Z rich wurde im Rahmen des Projektes SINU ein XPS zur Unterst t zung der sicheren Nutzung von Online Diensten entwickelt Das XPS soll die Entwicklung einer Internet Sicherheitskonzeption unterst tzen die auf einem Rapid Secure Development Konzept RSD basiert Das RSD Konzept umfasst folgende f nf Prozessschritte 556 455 e Nutzungskonzeption Ermittlung der funktionalen Anforderungen durch Szenarien e Dienstauswahl Ermittlung der Dienste und Protokolle die f r die Anforderungen ben tigt werden e Risikoanalyse Basierend auf den Nutzungsszenarien und den ermittelten Online Diensten werden Bedrohungen und Schwachstellen hergeleitet e Ma nahmen Ermittlung von geeigneten Ma nahmen um vor Risiken zu sch tzen Realisierung Gestaltung und Einsatz der erforderlichen Ma nahmen F r jede Phase des RSD wurde ein Frame entwickelt das wiederum die oben beschriebenen Objekte wie Gefahr oder Dienste beinhaltet Die Gemeinsamkeiten von S
422. t Risikoanalysemodelle die sich auf monet re und andere kardinale Werte beschr nken Diese Werkzeuge unterst tzen meist quantitative Methoden der klassischen Datenanalyse und lassen sich dem klassischen MSS oder dem Number cruncher System zuordnen Die qualitativen Werkzeuge basieren auf computerge st tzten bzw konventionellen Frageb gen die sich h ufig auf einfach strukturierte Ja Nein Fragen beschr nken Hierbei stellen die Ergebnisse zwar eine Arbeitsgrundlage dar die ei gentliche Probleml sung erfolgt aber weiterhin durch den Fachexperten Die meisten Werkzeuge die Stelzer 1993 und Thoben 2000 untersucht haben stammen aus der zwei ten H lfte der 80er Jahre und k nnen z T nicht als WBS bzw XPS bezeichnet werden da sie nicht auf wissensbasierten Techniken des basieren Im Folgenden werden weitere Werkzeuge exemplarisch vorgestellt welche die Ans tze des IS Sicherheitsmanagements unterst tzen 324 Vgl Gabriel 1992 S 74f Kurbel 1992 S 29 und Mertens Borkowski Geis 1993 S 4 535 Vgl Kapitel 1 2 536 Vgl Stelzer 1993 S 150 217 Implementierung RAMeX RAMeX ist ein Prototyp f r ein Expertensystem zur Unterst tzung der Risikoanalyse Die Wissensbasis besteht im Wesentlichen aus den Risikofaktoren sicherheitsrelevantes Ele ment Gefahrentyp Gefahrenquelle Schwachstelle und Gegenma nahme sowie Assoziationen zwischen den Risikofaktoren
423. t die konzeptionelle Distanz bzw L cke zwischen Akquisi tion auf der Wissensebene und Operationalisierung auf der Symbolebene verringern 59 Vgl Schreiber et al 2000 S 26 Vgl Kingston 1998 S 311 9 Vgl Lenz 1991 S 114 38 Einf hrung konzeptionelle L cke d methoden WB IS Sicherheits Bene management managements d modell Expertisemodell des IS Sicherheitsmanagements Abbildung 12 Konzeptionelle L cke Wissensoperationalisierung Unter der Wissensebene ist die Symbolebene angesiedelt die die Wissensoperationalisierung umfasst Die Wissensoperationalisierung ist durch die Entwicklungsschritte eines Entwurfs modells hin zu einem operativen System gekennzeichnet Das Entwurfsmodell formalisiert die Repr sentationsformen und Probleml sungsmethoden f r die folgende Implementierung Dazu z hlen Entwurfsentscheidungen sowie die Auswahl geeigneter Repr sentationsformen Als Ergebnis entsteht ein operatives Entwurfsmodell das im Gegensatz zum Expertisemodell implementierungsorientiert ist Das Entwurfsmodell wird zus tzlich als Dokumentationsbasis zur Wartung und Pflege des WBS eingesetzt Auf Basis des Entwurfsmodells wird das WBS konstruiert Das WBS kann als Werkzeugkas ten bzw Shell bezeichnet werden der das IS Sicherheitsmanagement unterst tzt und hierf r Repr sentationsformalismen und spezifische Probleml sungsmethoden anbietet In einem WBS kann eventuell
424. t wird Dabei werden Konzepte der Dom ne modelliert wie z B Schwachstellen oder Ma nahmen der IS Sicherheit die auf Wissens Rollen von Problem l sungsmethoden berf hrt werden In dem folgendem Beispiel wurde die Probleml sungsmethode heuristische Klassifikation auf das Problem der Schwachstellen Diagnose angewendet Aufgabe Diagnose Ziel Basierend von Beobachtungen auf L sungen schliessen Eingang Beobachtungen Ma nahmen Ausgang L sungen Schwachstellen Aufgaben Kontrollstruktur generiere und verfeinere L sungen 1 abstrahieren 2 abbilden 3 verfeinern Aufgabenebene Merkmals abbilden L sungsklasse abstraktion Diagnoseklassen D gt abstrahieren enen gt S Beobachtungen L sung Inferenz I Inferenz ebene i t Mapping fehlende deutet Schwachstelle Ma nahme Dom nenebene Abbildung 10 Beispiel eines Expertisemodells f r die Schwachstellen Diagnose auf Basis der Probleml sungsmethode heuristische Klassifikation 51 Vgl Studer Benjamins Fensel 1998 S 169 170 82 Erweitert in Anlehnung an Studer Benjamins Fensel 1998 S 169 und Schreiber et al 2000 S 107 35 Einf hrung Durch die Problemklasse Diagnose werden Schwachstellen auf Basis von erhobenen fehlen den Ma nahmen ermittelt Daf r werden die Konzepte
425. taloge enthalten eine hohe Praktikabili t t da eine direkte Anwendung und Wissenseingabe m glich ist Diese Form der Wis sensrepr sentation besitzt hingegen nicht die M glichkeiten einer Spezialisierung oder Vererbung die in der objektorientierten Formalisierung verwendet werden Fragen wen den ihre Objekt Attribut Wert Struktur direkt an um sicherheitsrelevante Aspekte des In formationssystems zu erheben Fragen besitzen Antwortm glichkeiten die eine bestimmte Antwort bzw einen bestimmten Wert annehmen k nnen Die beantworteten Fragen ent sprechen dem unternehmensspezifischen Wissen die durch Antworttexte ausgedr ckt werden Die Antworttexte erm glichen eine Textgenerierung wobei die Dokumente zu s tzlich weitere dynamische Objekte wie Grafiken oder XML basierte Dokumente besit zen k nnen 4 1 1 Anpassungsorientierte berf hrung Das Referenzmodell ist ein abstrahierter IS Sicherheitsspezifischer Modelltyp bzw Be zugspunkt aus dem durch Konkretisierung konkrete angepasste unternehmensspezifische Systemmodelle erstellt werden Diese Vorgehensweise wird bei dem Bottom Up Ansatz angewandt indem ein Referenzmodell im Kontext der IS Sicherheit als Modellierungsgrund lage f r die unternehmensspezifische Risikoanalyse verwendet wird Im Rahmen der Risikoanalyse werden h ufig objektorientierte Wissensrepr sentationen ver wendet wie z B beim Konzept zur Risikoanalyse von Stelzer beim Simulationsmodell der Ri
426. tations for Computer Security Incident Response Internet Best Current Practice o 1998 Ver ffentlicht im Internet URL http www ietf org rfe rfc2350 txt Stand 10 12 2002 BS 7799 1 1999 British Standard Institution BS 7799 1 1999 Information Security Management Part 1 Code of practice for information security management London 1999 BS 7799 2 1998 British Standard Institution BS 7799 2 1998 Information Security Management Part 2 Specification for information security management systems London 1998 BS 7799 2 2002 British Standard Institution BS 7799 2 2002 Information Security Management Specification with guidance for use London 2002 274 BSI Grundschutzhandbuch 2000 Bundesamt f r Sicherheit in der Informationstechnik Hrsg IT Grundschutzhandbuch CD ROM Version 2000 BSI IT Sicherheitshandbuch 1992 Bundesamt f r Sicherheit in der Informationstechnik Hrsg IT Sicherheitshandbuch Handbuch f r die sichere Anwendung der Informationstechnik Version 1 0 Bonn 1992 BSI Tool Benutzerhandbuch 1999 Bundesamt f r Sicherheit in der Informationstechnik Hrsg BSI Tool IT Grundschutz Benutzerhandbuch Version 2 0 Bonn 1999 Budget 2001 O V Wurde ein Budget f r IT Sicherheitsaufgaben aufgestellt In Computer Zeitung 31 Jg 2001 H 12 S 1 B hner 1999 B hner R Betriebswirtschaftliche Organisationslehre 9 Aufl M nchen Wien 1999 Busch et al 1994 Busch
427. te hinzu f gen Dieses umfangreiche IS Sicherheitswissen kann direkt auf eine IS Sicherheitsproblemstellung angewendet werden Mit den unterschiedlichen Auspr gungsformen von wissensbasierten Fragenkatalog Regeln ist es m glich die Basis Inferenzen Merkmalserkennung Hypothesengenerierung und Hypo thesen berpr fung der heuristische Klassifikation bzw Diagnose zu unterst tzen F r eine einfache direkte Merkmalserkennung und Hypothesengenerierung sind Verkn pfungsregeln ausreichend die sich durch ihren einfachen Aufbau auszeichnen Zudem sind Verkn pfungs regeln eng mit der Erhebungssteuerung verkn pft Um umfangreichere Hypothesengenerie rungen und berpr fungen zu Konstruieren k nnen erg nzend Ersetzungsregeln verwendet 253 Implementierung werden Eine komplexe Hypothesengenerierung und berpr fung ist mit den Generierungs regeln erreichbar die sich durch eine getrennte Repr sentation von Regeln und Fragen aus zeichnen Um die qualitativen Ergebnisse einer IS Sicherheitsanalyse mit quantitativen Aussagen zu erg nzen unterst tzt der Prototyp eine rekursive Auswertung von gewichteten Kapitel und Fragenwerten Dies erm glicht die Repr sentation von quantitativem Bewertungswissen Durch die Generierungsregeln ist eine Repr sentation von kausalen Abh ngigkeiten m glich die eine modellbasierte Diagnose unterst tzen Aber auf Grund einer schnell zunehmenden Komplexit t bei umfangreichen Generierungsregeln
428. teine von verdeckten Fragen ohne Best tigungsm glichkeit Aufgrund der engen Verkn pfung zwi schen der Hypothesengenerierung und der folgenden berpr fung ist eine eindeutige Tren nung der beiden Basis Inferenzen nicht m glich Bei einer komplexeren hierarchischen Hypothesen berpr fung werden ausgehend von Ver dachts Schwachstellen durch Verkn pfungsregeln zus tzliche berpr fungsmerkmale in Form von Ma nahmen und Konsequenzfragen aktiviert welche sich in einer tieferen Hierar chiestufe befinden Die Verdachts berpr fungsfragen werden in berpr fungsbereichen Tests zusammengefasst Die Erfassung Abstraktion und Merkmalserkennung erfolgt ver gleichbar zu der Merkmalserhebung Zur Hypothesen berpr fung wird basierend auf den Antwortwerten die Verdachts Schwachstelle durch Ersetzungsregeln automatisch best tigt oder widerlegt Bei der berpr fung werden eventuell zus tzlich verfeinerte Schwachstel len ermittelt welche wiederum durch zus tzliche Merkmale berpr ft werden k nnen usw 500 In der Abbildung sind beide Varianten verdeckte und offene Beantwortung dargestellt 199 Entwurfsmodell K swyeugeyy sdunndisan 2 91915 2495 3
429. telstruktur wird durch Oberkapitel und deren Unterkapitel unterst tzt Zus tzlich sind Antwortbausteine die zur Auswertung ben tigt werden einzugeben Die Gesamtheit der erstellten Kapitel und Fra gen bilden den Fragenkatalog Zur groben Anpassung des Fragenkatalogs an die jeweilige Problemstellung werden i d R vollst ndige Kapitel hinzugef gt oder gel scht wobei dieses Basis oder Spezialgebieten entspricht Eine verfeinerte spezifische Anpassung erfolgt z B durch Verkn pfungsregeln 239 Implementierung Kapitelbaum Fragen Kapitelliste Datenschutz 1 Yergabe von Zugriffsrechten amp 1 Grundlage B 2 Zeitliche Begrenzung von Zugriffsrechten 2 Rechtsgrundlagen der Datenverarbeitun 3 Technische und organisatorische Ma ns B 4 Anpassung der Zugriffsrechte A 3 1 Grunds tzliches 5 berpr fung der Zugriffsrechte 3 2 Ma nahmen zur Vertraulichkeit B 6 berpr fung der Zugriffsberechtigung Ma nahmen zur Integrit t 3 4 Ma nahmen zur Verf gbarkeit A 3 5 Ma nahmen zur Authentizit t amp 3 6 Ma nahmen zur Revisionsf higkeit amp 3 7 Ma nahmen zur Transparenz amp 4 Sonderformen der Datenverarbeitung 635 Rechte der betroffenen Person Cp Schulung der Mitarbeiter amp 7 Sondemorschriften Abbildung 136 Beispiel einer Kapitelstruktur Die Kapitel dienen erstens zur Strukturierung bzw Abstrahierung des Problemgebiets Es existieren Oberkapitel die zu Unterk
430. ten warten Werten Abbildung 70 berf hrung eines funktionalen Modells in ein kausales Modell Die berf hrung des funktionalen Modells in ein kausales Modell geschieht durch folgende 434 Zuordnungen In einem funktionalen Modell entspricht jede Diskrepanz zwischen dem zu erwartenden z B normale Zugriffszeit f r Informationen und dem tats chlich beobachteten Wert z B langsame Zugriffszeit f r Informationen einem Merkmal Wirkung Jeder abnorme Fehlzustand entspricht einer Komponente einer L sung Ursache Die Zust nde Normal oder Fehlzustand ergeben das Verhalten der Komponente und k nnen in Form von Regeln beschrieben werden WENN ein gef hrdendes Ereignis eingetreten ist DANN ist die Antwort nicht verf gbar Auf Basis der Merkmale lassen sich R ck schl sse auf die Komponente vornehmen die die Fehler verursacht 433 Vgl Struss 2000 S 450 34 Puppe et al 1996 S 123 139 Expertisemodell Manifestierendes Modell Die manifestierenden Modelle werden f r die Hypothesen berpr fung verwendet Ziel hierbei ist auf Basis einer Hypothese bzw einer Ursache zus tzliche Merkmale zu ermitteln die die Hypothese bzw Ursache berpr fen bzw verfeinern Im Unterschied zu der Hypothesengene rierung wird dieses Wissen nur aktiviert bzw ben tigt wenn die betreffende Hypothese auch verd chtigt wird Deshalb haben diese zus tzlichen Merkmale den Charakter einer detaillier ten N
431. terminieren die Rolle die das jeweilige Dom nenwissen f r die Inferenz Aktionen spielt Durch die Wissens Rollen k nnen dom nenunabh ngige gene rische Konzepte generiert werden Die Probleml sungsmethode beschreibt Inferenzen z B abstrahieren abbilden und verfei nern und Wissens Rollen z B Merkmale abstrahierte Merkmale L sungsklassen und L sungen unabh ngig von der jeweiligen Dom ne wodurch die Probleml sungsmethode auf verschiedene Problembereiche wie z B die Medizin oder das IS Sicherheitsmanagement anwendbar ist Role Limiting und Generic Task Ansatz Ab Mitte der 80er Jahre wurden der Role Limiting und Generic Task Ansatz auf den Erkennt nissen von Clancey entwickelt Die Probleml sungsmethoden dieser Ans tze basieren auf den vorgegebenen Inferenz Strukturen definieren aber zus tzlich die Repr sentationsform der Wissens Rollen Somit werden die Struktur der Inferenzen und die Repr sentationsform des Dom nenwissens festgelegt Strong Interaction Problem Hypothesis Die Eingabe des anwendungsspezifischen Dom nenwissens erfolgt dadurch dass Wissens Rollen mit entsprechenden Konzepten der Dom ne gef llt werden Somit steuern die Prob leml sungsmethoden den Prozess der Wissensakquisition indem festlegt wird welche Wis sensart ben tigt und in welcher Form das Wissen repr sentiert wird Die Anwendung besteht im g nstigen Fall darin eine ad quate Probleml sungsmethode auszuw hlen und das a
432. trotechnical Commis sion ISO IEC 15408 3 1999 Information technology Security techniques Evaluation criteria for IT security Part 3 Security assurance requirements Genf 1999 180 17799 2000 International Organization for Standardization International Electrotechnical Commis sion ISO IEC 17799 2000 Information technology Code of practice for information security management Genf 2000 180 9000 2000 International Organization for Standardization ISO 9000 2000 Quality Management Systems Fundamentals and vocabulary Genf 2000 IT Pr fzeichen 2002 O V Pr fzeichen IT Sicherheit wird offiziell besiegelt In Computer Zeitung 32 Jg 2002 H 7 S 1 Jaspers 1997 Jaspers J Organisatorische Hilfen und Tools zur Erleichterung der Arbeit des betrieb lichen Datenschutzbeauftragten In Vo bein R Hrsg Die Organisation der Arbeit des betrieblichen Datenschutzbeauftragten Frechen 1997 S 159 169 Jung Han Suh 1999 Jung C Han I Suh B Risk Analysis for Electronic Commerce Using Case Based Reasoning In International Journal of Intelligent Systems in Accounting Finance amp Management Vol 8 1999 pp 61 73 285 Junginger Krcmar 2002 Junginger M Kremar H IT Risk Management In WISU o Jg 2002 H 3 S 360 368 Kailay Jarratt 1995 Kailay P Jarratt RAMeX A prototype expert system for computer security risk analysis and management In Computers amp Security Vol 1
433. tschen IT Sicherheitskongre des BSI 2001 Ingelheim 2001 S 23 40 FOS 1994 Forschungsgemeinschaft Qualit tssicherung e V FQS Forschungsprojekt Rechner gest tzte wissensbasierte Erstellung von Fehlerm glichkeits und Einflu analysen FMEA FQS Schrift 85 02 Frankfurt a M Berlin 1994 Frank 1988 Frank U Expertensysteme Neue Automatisierungspotentiale im B ro und Verwal tungsbereich Wiesbaden 1988 Frick 1998 Frick D Die Akquisition betriebswirtschaftlichen Wissens zum Aufbau von wissens basierten Entscheidungsunterst tzungssystemen Frankfurt a M u a 1998 F V 1995 Verordnung ber die technische Umsetzung von berwachungsma nahmen des Fernmeldeverkehrs in Fernmeldeanlagen die f r den ffentlichen Verkehr bestimmt sind Fernmeldeverkehr berwachungs Verordnung F V vom 18 05 1995 Ver ffentlicht im Internet URL http www netlaw de gesetze fuev htm Stand 10 10 2002 280 Gabriel 1992 Gabriel R Wissensbasierte Systeme in der betrieblichen Praxis London u a 1992 Gappa 1995 Gappa U Grafische Wissensakquisitionssysteme und ihre Generierung Sank Augustin 1995 Gerber Solms 2001 Gerber M Solms R von From Risk Analysis to Security Requirements In Compu ters amp Security Vol 20 7 2001 pp 577 584 Gluchowski Gabriel Chamoni 1997 Gluchowski P Gabriel R Chamoni P Management Support Systeme Berlin u a 1997 G rtz 1997 G rtz H Sicherheit
434. ttom Up 267 Anhang B 7 L wi N 4 Uess _ uowyeugeiy u wyeuyenN uessene sjonemus N r uswyeugey sbunpudisan Bi 2 5 Dun t L 212089 _ N opgoe 7 i an uswyeugey 70016120883 naar Na 49191619A gt gt enpnpge 38108 22 DD u ons uswyeugjey 1 SS EE N _ 27 gt uswyeugjeiN eisene N Din 268 Anhang B uszuanbasuoy 27 a 6 ara
435. tualisierung nat rlich sprachlich beschrieben wird Hierdurch l sst sich eine formal sprachliche Pr zision auf der Spezifikati onsebene mit nat rlich sprachlicher Ausdrucksreichhaltigkeit und flexibilit t auf der Kon zeptionsebene kombinieren Eine weitere wesentliche Eigenschaft der Ontologie ist die geteilte shared Sicht auf eine Dom ne Ontologien stellen ein gemeinsames Verst ndnis einer Dom ne zur Verf gung und erm glichen so die zwischenmenschliche Kommunikation aber auch die Kommunikation zwi 356 Gruber 1993 8 199 357 Zelewski Sch tte Siedentopf 2001 S 187 28 Motta 1999 S 59 Vgl Kremar 2000 S 13 360 Vo Studer Benjamins Fensel 1998 S 188 361 Zelewski Sch tte Siedentopf 2001 S 192 102 Expertisemodell schen Anwendungssystemen und ihren Benutzern Aus dieser Eigenschaft ergibt sich dass Ontologien typischerweise in Kooperation zwischen mehreren Personen entwickelt werden mit dem Ziel einer Konsensfindung bei oftmals sehr unterschiedlichen Sichten auf eine Do Diese Ontologie Eigenschaft wird auch als ontological commitment bezeichnet Deshalb sind insbesondere Wissensquellen von Interesse die ein weitgehendes gemeinsames normiertes Verst ndnis f r die Dom ne IS Sicherheit beinhalten wobei dies insbesondere bei Kriterienwerken der Fall ist Kriterienwerke sind z T als Standards ver ffentlicht was zu einer Vereinf
436. tungsf higere Probleml sungsstrategie die eine unterschiedliche Bewertung von Alternativen erm glicht Eine eindeutige Unter scheidung ist nicht m glich da wissensbasierte Techniken in modernen MSS immer mehr aufgehen bzw miteinander gekoppelt werden Eine besondere Leistungssteigerung wird im Bereich der Entscheidungsunterst tzung durch die Erg nzung von EUS durch wissensbasierte Techniken erreicht 521 In Anlehnung an Alex 1998 S 47 und Piechota 1993 S 85 522 Vgl Borkowski 2001 S 193 523 Vgl Martin Subramanian Yaverbaum 1996 S 56 7 Vgl Gluchowski Gabriel Chamoni 1997 S 256 55 Vgl Wei enfluh 1990 S 176 und Kurbel 1992 S 171 326 Vgl Busch et al 1994 5 4 Gluchowski Gabriel Chamoni 1997 und 5 258 ff McNurlin Sprague 1998 5 440 und Vo Gutenschwager 2001 5 357 527 Vgl Werner 1992 S 142 und McNurlin Sprague 1998 5 436 214 Implementierung 5 1 Architektur und Komponenten von wissensbasierten Systemen Das Architekturmodell beschreibt in einer abstrakten Form den Aufbau eines wissensbasier ten Systems F r WBS bilden die Wissensbasis e das Wissenserwerbssystem und e das Wissensnutzungssystem den Kern des Systems Ist die Wissensbasis mit spezifischen Dom nenwissen gef llt und besitzt somit spezifische Probleml sungsf higkeit kann von einem XPS gesprochen werden In der folgenden Abbildung sind die Komponenten eines WBS zusammen
437. typ eingeflossen der zur Unterst tzung des IS Sicherheitsmanagements dient Grundlage f r den Entwicklungsprozess bildeten wissensbasierte Modellierungsans tze die vor der Operationalisierung die Konstruktion eines epistemologischen Expertisemodells auf der Wissensebene erfordern Hierf r wurde im ersten Kapitel ein Entwicklungsrahmen f r das Knowledge Engineering des IS Sicherheitsmanagements entwickelt Dieser stellt auch gleich zeitig den Grundaufbau der Arbeit dar Das IS Sicherheitsmanagement bildet den Rahmen f r die Wissensakquisition Als Ergebnis der Wissensakquisition werden Probleml sungen und Konzepte durch ein epistemologisches Expertisemodell auf einer Wissensebene beschrieben Dies geschieht unabh ngig von einer konkreten Repr sentationsform Das Expertisemodell stellt die Schnittstelle zu der Wissensoperationalisierung dar Die Wissensoperationalisierung beinhaltet als Ergebnis ein Entwurfsmodell und darauf basierend ein Diagnose WBS f r das IS Sicherheitsmanagement Nach der Konstruktion des WBS soll der Fachexperte weitgehend unabh ngig von einem Knowledge Engineer das IS Sicherheitswissen direkt eingeben pfle gen und nutzen k nnen Im zweiten Kapitel wurden zuerst die begrifflichen und inhaltlichen Grundlagen f r das IS Sicherheitsmanagement geschaffen wobei insbesondere die Beschreibung der IS Sicherheits strategien fokussiert ist Hierf r wurde ein Phasenmodell des IS Sicherheitsmanagements entwickelt das die w
438. uenz oder ein sicherheitsrelevantes Element des spezifischen Unternehmens Das Ergebnis ist ein Systemmodell der sicherheitsrelevanten Aspekte des unternehmensspezifischen Infor mationssystems 4 1 2 Anwendungsorientierte berf hrung Anhand der folgenden Abbildung werden die grunds tzlichen Probleme einer berf hrung des Referenzmodells in ein unternehmensspezifisches Informationsmodell bzw Systemmo dell dargestellt 71 Semantische Netze stammen urspr nglich aus dem Bereich der KI und wurden dort zum Verst ndnis und zur Verarbeitung nat rlicher Sprache eingesetzt Vgl Ralfs 1995 S 34 72 Verk rzt in Anlehnung an Balzert 2001 8 225 226 168 Entwurfsmodell Probleme bei der berf hrung von Referenzmodellen in ER unternehmensspezifische Informationsmodelle Anforderungen des Unternehmens zu wenig beachtet d Festlegung gemeinsamer Begriffe schwierig Anpassung der Referenzproze modelle ist Dy langwierig Anpassung der Referenzdatenmodelle ist oi langwierig Realit t ndert sich w hrend der Anpassung Integration bestehender Daten und Proze modelle ist schwierig 2 Fachabteilungen sind vom Nutzen eines e Datenmodells schwer zu berzeugen S Anwendungsentwicklung ist vom Nutzen eines Sa Datenmodells schwer zu berzeugen Fachabteilungen sind vom Nutzen eines Proze modells schwer zu berzeugen Anwendungsentwicklung ist vom Nutzen eines Datenmodells schwer zu berz
439. uert wird die Verdachts Schwachstelle durch eine Generierungsregel best tigt oder widerlegt Bei der berpr fung k nnen zudem neue Schwachstellen ermittelt werden die eine Verfeinerung der zu berpr fenden Schwachstelle darstellen 201 Entwurfsmodell NN3M v s yoemyas 29195 yoemyas atelsyoemyas ayn d san ulejsneduomuy Ste 24 Se 5 2 L 4919199 J z EINIG yoemyas ales Dem pe leben Glaspenps Z 49131989 Ca e sypemupg 4 4313199 Hoen abessny sZ uojsniyuoy wyeuyeN awyeugen 6 SwyeugeN SwyeugeN s Zuenbastoy gt gt gt sdunynJdisan
440. ug Andere Schwachstellen die sich nur durch das Fehlen von Ma nahmen darstellen lassen z B im organisatorischen Bereich K nnen unzureichend oder gar nicht auf die kausale Sicht berf hrt werden Vernetzte Abh ngigkeitskonzepte Bisher wurden einfache Abh ngigkeiten des Schwachstellen Kausalmodells dargestellt Das IS Sicherheitswissen besteht jedoch z T aus vernetzten Abh ngigkeitskonzepten Durch semantische Netze k nnen die vernetzten Abh ngigkeiten durch das Fortpflanzen von Schwachstellen und Konsequenzen dargestellt werden Das Fortpflanzen einer Schwachstelle basiert darauf dass ein fehlendes oder fehlerhaftes si cherheitsrelevantes Element eine unzureichende Ma nahme f r ein anderes sicherheitsrele vantes Element darstellt Zur Illustration dieser Abh ngigkeit dient das folgende Beispiel Um die Funktionsf higkeit des technischen sicherheitsrelevanten Elementes USV zu gew hr leisten ist die organisatorische Ma nahme Wartungsintervalle berpr fen notwendig Die USV bildet andererseits eine technische Ma nahme f r Server Werden nun die Wartungsin tervalle f r die USV nicht berpr ft entsteht eine Schwachstelle f r die USV da die Funkti onsf higkeit der USV nicht mehr gew hrleistet ist Dies stellt wiederum eine unzureichende technische Ma nahme Schwachstelle f r den Server dar Wenn die USV ausf llt kann die 123 Expertisemodell Verf gbarkeit des sicherheitsrelevante
441. um die Ablaufsteuerung des Erfassungstools wodurch das Erfassungstool den expliziten Ausdruck der Hypothesengenerierung und berpr fung darstellt Quantitative und qualitative Auswertung Bei der Erhebung wird der angepasste Fragenkatalog beantwortet Nach Beendigung erfolgt eine quantitative und qualitative Auswertung Die qualitative Auswertung bietet durch Ant wortbausteine M glichkeiten um L sungen darzustellen Hierdurch k nnen auf einer ersten Auswertungsstufe Statusberichte erzeugt werden Die Statusberichte basieren auf einem RTF Dokument das in Flie textform oder tabellarischer Form die ermittelten Beobachtungen so wie hergeleitete Merkmale und L sungen darstellt Um Beobachtungen Merkmale und L sungen auch optisch differenziert darzustellen k nnen die Ergebnisse frei formatiert werden z B Schriftfarbe gr e oder art Insgesamt besitzt der Statusbericht den Charakter einer vorstrukturierten Arbeitsgrundlage f r ein Sicherheitskonzept das z B Schwachstellen und erforderliche Ma nahmen in Textform wiedergibt Bemerkungen die w hrend der Erhebung vermerkt worden sind werden zus tzlich ausgegeben 251 Implementierung Um eine differenziertere qualitative Auswertung zu erlangen werden die assoziativen und kausalen Abh ngigkeiten explizit in einem Dokument abgebildet um auch den L sungspro zess nachzuvollziehen Hierf r werden HTML Dokumente verwendet welche auf Verkn p fungen der Antwortbausteine ba
442. ung ber das neue Medium anfangs glaubten Dies zeigt sich insbesondere wenn man die Rechtsbezie hungen zwischen Anbietern und Nutzern untersucht Das Internet beinhaltet Problemberei che bez glich der Online Vertr ge des Verbraucherschutzes der Gew hrleistung Haftung oder des Urheberrechts Eine bersicht von Problemstellungen bzgl des Online Rechts gibt es in Schwerdtfeger et al 1999 Zudem sind bei den oben genannten Gesetzen auch deren Verkn pfungen zu beachten Die Umsetzung der gesetzlichen Regelungen steht in einem Interdependenzverh ltnis mit den erforderlichen Ma nahmen So k nnen erst technische und organisatorische 15 Sicherheitsma nahmen eine Einhaltung der Gesetze gew hrleisten Andererseits geben die Gesetze Vorgaben f r die zu entwickelnden Ma nahmen vor Am folgenden Beispiel l sst sich die Verkn pfung zwischen den Bereichen darstellen 334 Vgl TDDSG 1997 335 Vgl F V 1995 9 336 Vo EGG 2001 Zielsetzung 337 Vgl TK V 1998 5 9 1 338 Vo 2002 6 2 13 3 14 und 21 39 Vgl TDSV 2002 30 Vol TDG 2001 4 Abs 4 Nr 10 31 Vgl TKG 1996 12 15 und elfter Teil des Gesetzes 32 Vol SigG 2001 14 33 Aufgrund des in Kraft getretenen KonTraG 1998 wurde 91 Abs 2 Aktiengesetz AktG ge ndert wo durch der Vorstand geeignete Ma nahmen zu treffen hat um ein berwachungssystem einzurichten damit ge f hrdende Entwicklungen fr h erkannt werden Di
443. ung der Verdachts Ursachen werden weitere vermutete Konsequenzen auf Basis des kausalen Modells festge stellt Dagegen werden bei der pr ventiven Sicht ausgehend von Ursachen Annahmen deren Wirkungen in Form von Hypothesen Konsequenzen simuliert womit die pr ventive Sicht einen vorausschauenden Charakter besitzt Eine pr ventive berpr fung erfolgt nicht auf Ba sis des kausalen Modells sondern durch den Vergleich der Voraussagen z B mit historischen Vorf llen bzw erhobenen Konsequenzen In der Top Down Probleml sung ist im Gegensatz zu den kausalen Modellen der Bottom Up Probleml sung kein kausales Ursachen Wirkungsmodell der konkreten Systeme not wendig So k nnen auch Schwachstellen ohne Einsatz eines komplexen Ursachen Wirkungsmodells ermittelt werden Durch die Bottom Up Probleml sung k nnen im Gegen satz zu der Top Down Probleml sung insbesondere technisch kausale Schwachstellen ermit telt werden wenn die Kausalit t in ein Ursachen Wirkungsmodell berf hrt werden kann Dieses Ursachen Wirkungsmodell bildet ein konkretes meist technisches Informationssys tem ab um die kausalen sicherheitsrelevanten Aspekte abzubilden Im Anhang A ist das Mapping bzw die berf hrung konkreter Dom nen Konzepte auf die generischen Templates dargestellt Hierbei wird gezeigt wie heuristische und modellbasierte Diagnosen durch die Erweiterung der Inferenz Templates mit konkretem Dom nenwissen beschrieben werden k nnen
444. ung finden Gefahrenquellen und Gefahren Bedrohungen Auf Basis von Gefahrenquellen entstehen Gefahren anders ausgedr ckt die Gefahren las sen sich auf Gefahrenquellen zur ckf hren Gefahrenquellen und deren Gefahren sind h ufig nicht offensichtlich und verursachen erst bei ihrer Aktivierung negative Auswirkungen Dies ist in den meisten F llen ein zu sp ter Zeitpunkt um Schaden zu verhindern 107 Expertisemodell Gefahrenquellen k nnen die Ursache f r 379 e beabsichtigte Gefahren oder e f r unbeabsichtigte bzw zuf llige Gefahren sein F r die Auswahl einer geeigneten Ma nahme um eine Gefahr zu verhindern oder zu reduzie ren ist die Kenntnis der Gefahr und ihrer Quelle bedeutend So k nnen bei bestimmten Ge fahren z B nat rliche Quellen wie Sturm oder Erdbeben nur detektivische und korrigie rende Ma nahmen eingesetzt werden Bei anderen Gefahren k nnen zus tzlich pr ventive Ma nahmen verwendet werden In der Abbildung k nnen die grau unterlegten Gefahren im Ansatz bek mpft werden Die anderen Gefahren befinden sich au erhalb des Wirkungsbe reichs von einem Unternehmen und es k nnen nur deren Auswirkungen bek mpft werden interne Quellen Mensch bewusst externe Quellen Natur Umfeld oder unbewusst Tabelle 12 Klassifikation von 59 Gefahrenquellen lassen sich zus tzlich in interne und externe Gefahrenquellen differenzieren Der Mensch bildet eine interne
445. ung und berpr fung 204 4 3 2 2 2 Pr ventive Bottom Up Hypothesengenerierung een 209 5 211 5 1 Architektur und Komponenten von wissensbasierten 215 5 2 Vorstellung von ausgew hlten Realisierungsm glichkeiten erssorsoossonssonsonssnnssnnsennssnnennnennnssnnne 217 5 3 Prototypische Realisierung einer Diagnose Shell zur Erstellung von wissensbasierten Frageukatalogen za vge iesukeeg esduegErebeedede gend gedoe Dee GEET 233 5 3 1 Wissgenserwerbskomponenten pee apren reason iia Reyren apio iesi 238 5 3 2 Wissensnutzungekomponente iisen e oinen keea apre Ea 251 2 322 oss eiee nr ag A ESTERE Nakos i 253 6 SCHLUSSBETRACHTUNG 0s220 00s000000200200n000200200n00n200000020020002002000000000000 0000000000000 255 6 1 RTE ET 255 6 2 257 6 3 D 259 ANHANG A 261 ANHANGB s A 267 vi Inhaltsverzeichnis EITERATURVERZEICHNTS nissen een 272 vii Abbildungsverzeichnis Abbildungsverzeichnis ABBILDUNG 1 MOTIVATION DER ARBEIT nn 22 ABBILDUNG 2 GRUNDPRINZIP DER 2 22 ABBILDUNG 3 DATEN INFORMATIONEN UND 155
446. ung von MIKE ist die Distanz zwischen dem menschlichen Wissen und dessen Repr sentation in einem WBS zu berwinden Der Wissensakquisitionsprozess beginnt mit der Erhebung des Anwendungswissens und des sen Probleml sungsprozesse z B IS Sicherheitswissen und strategien Die Ergebnisse der Erhebungen z B durch Interviews und Beobachtungen werden in nat rlich sprachlicher Form in einem Wissensprotokoll abgelegt Durch die Interpretation des Wissensprotokolls werden die relevanten Strukturen z B Datenabh ngigkeiten einzelner Probleml sungsschritte in einer informellen Beschreibungssprache dargestellt Damit wird eine Kom munikation zwischen Fachexperten und dem Knowledge Engineer erm glicht Die informelle Beschreibung stellt die Grundlage f r das KARL Modell dar Diese informelle Beschreibung hnelt dem Expertisemodell der CommonKADS In dem KARL Modell er folgt eine konzeptuelle Formalisierung und Operationalisierung des Strukturmodells Die Struktur bleibt erhalten die Komponenten aber werden mit einer formalen Sprache KARL Sprache beschrieben Durch das KARL Modell werden auch die funktionalen Anforderun gen abgedeckt wobei nicht funktionale Anforderungen wie Portabilit t Effizienz oder Wart barkeit zus tzlich durch das Entwurfsmodell beschrieben werden Das Entwurfsmodell wird anschlie end in ein lauff higes System implementiert Durch die fr he Operationalisierung der MIKE Modelle sind im Gegensatz zu dem C
447. ungskomponente hat folgende Aufgaben welche durch vielf ltige Interde pendenzen gepr gt sind e Festlegung der IS Sicherheitsstrategie e Ablaufsteuerung der Anpassung und Erhebung Hypothesengenerierung und berpr fung e qualitative und quantitative Auswertung e Erkl rung der Ergebnisse Probleml sungsgenerator Dieser Bereich nimmt eine zentrale Stellung innerhalb der Wissensnutzungskomponenten ein da es das dom nen und fallspezifische Wissen auswertet Das Probleml sungsmodul legt das Probleml sungsverhalten durch Konfiguration der jeweiligen Probleml sungsmethode fest die die IS Sicherheitsstrategie repr sentiert Auf Basis der IS Probleml sungsmethode wird festgelegt e welche Fragen ausgew hlt und erhoben werden welche Regeln f r die Hypothesengenerierung und berpr fung aktiviert und in welcher Form diese interpretiert werden Die Auswahl der Fragen sowie die Aktivierung und Interpretation der Regeln wurde im Ent wurfsmodell explizit beschrieben Aus klassischer Sicht erfolgt durch den Probleml sungsgenerator die Interpretation der Re geln auf Basis der gewonnenen Fakten bzw Antworten der Fragen Die Verkn pfungsregeln sowie die assoziativen Ersetzungs und Generierungsregeln k nnen direkt angewandt werden wohingegen bei der berdeckenden Diagnose die r ckw rtsorientierte Interpretation der Kau salen Ersetzungs und Generierungsregeln schwieriger ist Die Interpretation bestimmt wie der
448. ungssysteme M nchen Wien 1995 S 128 139 Skoudis 1999 Skoudis E Hacker Tools and Techniques In Tipton H F Krause M Eds Infor mation Security Management Handbook 4 ed Volume 2 Boca Raton u a 1999 pp 453 474 Snouffer Lee Oldehoeft 2001 Snouffer R Lee A Oldehoeft A A Comparison of Security Requirements for Cryp tographic Modules in FIPS 140 1 and FIPS 140 2 NIST Special Publication 800 29 Gaithersburg 2001 Ver ffentlicht im Internet URL http csre nist gov publications nistpubs 800 29 sp800 29 pdf Stand 10 10 2002 Sobirey 1999 Sobirey M Datenschutzorientiertes Intrusion Detection DuD Fachbeitr ge Pfitz mann A Reimer H Rihaczek K Ro nagel A Hrsg Braunschweig Wiesbaden 1999 295 Solms 1996 Solms R von Information Security Management The Second Generation In Compu ters amp Security Vol 15 4 1996 pp 281 288 Speel et al 2001 Speel P H Schreiber A Th Joolingen W van Heijst G van Beijer G J Conceptual Modelling for Knowledge Based Systems In Encyclopedia of Computer Science and Technology New York 2001 nnb Ver ffentlicht im Internet URL http www swi psy uva nl usr schreiber home html Stand 10 12 2002 Spies 1993 Spies M Unsicheres Wissen Wahrscheinlichkeit Fuzzy Logik neuronale Netze und menschliches Denken Heidelberg Berlin Oxford 1993 Staab et al 2001 Staab S Schnurr H P Studer R Sure Y Knowledge Process
449. uojug ua wyeuge opa 5 51 uawyeugep Bungayag anp uana py aap wyeu ge W os yanu og aaya 5 awaa umog doL 215 5 sap 5 lt 216 6 1 s seg 35 Uayeuas 3 1319 87 Informationssystemsicherheits Management 2 4 Integriertes IS Sicherheitsmanagement Im Folgenden bilden die vorgestellten Ans tze die Grundlage f r ein integriertes IS Sicherheitsmanagement wobei folgende Vor und Nachteile bedacht werden sollten Der Bot tom Up Ansatz gewinnt sehr schnell an Komplexit t da f r jedes einzelne Element oder Gruppe das jeweilige Risiko ermittelt werden muss Dies schreckt vor einem wiederholten Einsatz oft ab Aus diesem Grund wird h ufig gefordert den Bottom Up Ansatz nur auf be sonders kritische Bereiche einzugrenzen Die Durchf hrung des Top Down Ansatzes durch die SiSSA erfordert einen geringeren Aufwand als die Risikoanalyse da eine aufwendige in dividuelle Anpassung entf llt Durch den relativen kosteng nstigen Einsatz der SiSSA ist eine iterative Kontrollanalyse im Unternehmen leichter durchzusetzen als bei der aufwendigeren Risikoanalyse Aufgrund der Standardisierung ist nicht ein so hohes Sicherheitsniveau w
450. urden WBS im Zusammenhang mit dem Modellierungsansatz als konfigurierbare Shells konstruiert welche die abstraktere Wissensebene des Fachexperten als Grundlage besitzen und die direkte Wissenseingabe unterst tzen KI Sprachen sind in den Anfangsjahren der K nstlichen Intelligenz entstanden wobei zwi schen funktionalen Sprachen z B LISP und logischen Sprachen z B PROLOG zu unter scheiden ist Wissensverarbeitungssprachen z B OPS5 KAPPA oder SMART Ele ments verbinden KI Sprachans tze z T mit h heren Programmiersprachen Sie stellen vorde finierte Ausdrucksmittel der Wissensrepr sentation z B Produktionsregeln oder Frames und 57 Vgl Staab et al 2001 S 27 59 Z B z hlt das bekannte XPS Mycin zu den medizinischen Diagnosesystemen Vgl Kurbel 1992 S 139 580 Stickel Groffmann Rau 1998 S 261 581 Vgl Kurbel 1992 5 141 233 Implementierung Inferenz Strategien zur Verf gung und liegen auf einer sehr implementierungsnahen Ebene wodurch eine Kluft zwischen dem Knowledge Engineer und Experten entsteht So sind bei KI Sprachen die Realisierungsm glichkeiten flexibel jedoch ist der Realisierungsaufwand durch die indirekte Wissenseingabe hoch Diese KI Sprachen bergen des Weiteren eine Abh ngigkeit des Fachexperten von dem Know ledge Engineer in sich Durch die wachsende Aktualit tsproblematik innerhalb der Informati onstechnologie besitzt diese Abh ngigkeit negative Auswirkungen au
451. usalmodell ist h ufig problematisch da sicherheitsrelevante Bereiche assoziative Sicht und sicherheitsrelevante Elemente kausale Sicht auf unterschiedlichen Wissensarten bzw quellen basieren So haben die sicherheitsrelevanten Bereiche mit ihren Ma nahmen und Schwachstellen ihren Ursprung in unternehmensunabh ngigen Kriterien w hrend sicherheits relevante Elemente die kausale Infrastruktur einer Institution abbilden 10 Anlehnung an Puppe 1991 S 81 und erweitert bzgl des IS Sicherheitsmanagements 122 Expertisemodell Ma nahmen Pete stellen assoziative Sicht Bereich SE ae gef hrdendes Ereigni Schwachstellen Gefahr Konse Kausalmodell quenz kausale Sicht Abbildung 56 Schwachstellen Kausalmodell Das Schwachstellen Kausalmodell dient der abstrakten Beschreibung von Zusammenh ngen zwischen den Konzepten der assoziativen und kausalen Sicht Eine Zusammenf hrung der assoziativen und kausalen Sicht ist nur m glich wenn sich das sicherheitsrelevante Element im sicherheitsrelevanten Bereich wieder findet und eine Kausalit t sich pr zise beschreiben l sst Dann k nnen die assoziativen Schwachstellen als negative Eigenschaft in Form einer kausalen Schwachstelle einem sicherheitsrelevanten Element zugeordnet werden und in einem kausalen Ursachen Wirkungsmodell verwendet werden Diese Schwachstellen besitzen meist einen technischen Bez
452. von Ma nahmen deren Umsetzung 302 Vol BSI Grundschutzhandbuch 2000 Kapitel 2 2 S 16 303 Vgl Abbildung 26 Schichtenmodell des BSI Grundschutzhandbuchs 85 Informationssystemsicherheits Management erforderlich ist um ein mittleres Sicherheitsniveau zu erreichen Das IT Grundschutzhandbuch bietet vielf ltige Umsetzungsbeispiele f r das oben genannte Konzept das in jedem Schritt dem Sicherheitsverantwortlichen mit praktischen Beispielen zur Seite steht Dieser Ansatz wurde seitens der Beh rden und Unternehmen positiv angenommen so dass ein G tesiegel auf Basis des IT Grundschutzes vergeben wird Das G tesiegel ist auf ver schiedene Zielgruppen wie z B Wirtschaftsunternehmen E Commerce Anbieter oder Be h rden ausgelegt und soll nachweisen dass die IS Sicherheit nach dem IT Grundschutz um gesetzt ist und aufrechterhalten wird Die IT Grundschutz Evaluation weist drei Auspr gungsstufen auf d h von einer Selbsterkl rung des Unternehmens bis hin zum IT Grundschutz Zertifikat das durch eine unabh ngige Instanz vergeben wird Die folgende Tabelle stellt die IS Sicherheitsstrategien zusammenfassend dar 304 Vol BSI Grundschutzhandbuch 2000 Kapitel 2 4 2 5 35 Vgl M nch Niggemann 2001 5 257 86 Informationssystemsicherheits Management SUIWIFEULWSMOYIOYIIS ST SIP UFNEHSSNOYISYIIS SI 9 ALL 514 ANFANS EJU 4aU 3U215 5
453. von Risikoanalyse KES Jg 1994 H 1 S 34 40 Vo bein R 1994b Vo bein R Schwachstellenanalyse Ersatz oder Erg nzung von Risikoanalyse ID In KES Jg 1994 2 5 64 69 Vo bein R 1995a Vo bein R Organisation der IT Sicherheit Probleme und L sungen In Vo bein R Hrsg Handbuch 3 Organisation sicherer Informationsverarbeitungssysteme M n chen Wien 1995 S 9 24 Vo bein R 1995b Vo bein R IT Sicherheit Management Verantwortung und Akzeptanzprobleme In Vo bein R Hrsg Handbuch 3 Organisation sicherer Informationsverarbeitungssys teme M nchen Wien 1995 S 41 52 Vo bein 1997 Vo bein R Der Datenschutzbeauftragte Berufliche Endstation oder Entwicklungspo sition In Vo bein R Hrsg Die Organisation der Arbeit des betrieblichen Daten schutzbeauftragten Frechen 1997 S 9 24 Vo bein R 2001 Vo bein R H here Systemsicherheit durch Zertifikate In KES Jg 2001 1 S 74 75 Vo bein 2002 Vo bein R Datenschutz Controlling Ingelheim 2002 Vo bein R Vo bein J 2002a Vo bein R Vo bein J Lagebericht zur IT Sicherheit 1 KES KPMG Sicherheitsstudie 2002 In KES Jg 2002 3 5 14 23 Vo bein R Vo bein J 2002b Vo bein R Vo bein J Lagebericht zur IT Sicherheit 2 KES KPMG Sicherheitsstudie 2002 In KES o Jg 2002 H 4 S 16 24 Walter 1991 Walter B Datenbank
454. widerlegen Die anwendungsorientierte Hypothesengenerierung und berpr fung basiert auf unterschied lichen Probleml sungskonzepten Es erfolgt die heuristische Top Down Hypothesengenerierung und berpr fung auf assoziativen und hierarchischen Probleml sungskonzepten die modellbasierte Bottom Up Hypothesengenerierung und berpr fung gr ndet sich dagegen auf kausale Probleml sungskonzepte 143 Expertisemodell Durch Auswahl der IS Sicherheitsstrategie werden entsprechende Probleml sungsmethoden und deren spezifische Probleml sungskonzepte durch das anwendungsspezifische WBS an geboten um darauf basierend ein WBS zu konfigurieren Dies hat den Vorteil dass IS Sicherheitsexperten ein WBS ohne Hilfe eines Knowledge Engineerings erstellen k nnen da die Probleml sungsmethode und deren Wissensrepr sentation schon vorgegeben sind Der IS Sicherheitsexperte w hlt eine oder mehrere Probleml sungsmethoden aus und erzeugt nur Instanzen der Basis und Probleml sungskonzepte um die Wissensbasis zu f llen 3 4 21 Heuristische Klassifikation Im Folgenden erfolgt eine Zusammenstellung der berf hrung der Basiskonzepte des reakti ven und pr ventiven Top Down IS Sicherheitsmanagements auf die Wissens Rollen der spe zifischen Probleml sungsmethoden der e reaktiven und e pr ventiven heuristischen Klassifikation 144 Expertisemodell Basis Inferenzen der pr ventiven Top Down Strategie Ziel P
455. wie z B durch Versandhandel Dienstleistung und Auktionen festiert Hierdurch fordern nicht nur Systembetreiber und hersteller Sicherheit sondern auch deren Nutzer da menschliche Kommunikation immer h ufiger technisch vermittelt wird und diese Nutzer ihr Sicherheitsbed rfnis ber cksichtigt haben wollen So sind Verl ss lichkeit und Fairness Voraussetzungen f r das Sicherheitsbed rfnis der Teilnehmer des elektronischen Handels Der Anbieter wird keine Waren vertreiben wenn keine sichere Be zahlung garantiert ist und der Nutzer des Angebots will dass die Lieferung nach der Bezah lung garantiert 15 88 Dies erfordert eine mehrseitige Sicherheit wodurch unterschiedliche Sicherheitsanspr che gew hrleistet werden sollen Mehrseitige Sicherheit bedeutet die Be r cksichtigung der Sicherheitsanforderungen aller beteiligten Parteien Nach Pfitzmann besitzt die mehrseitige IS Sicherheit folgende Grunds tze mani e Jede Partei bzw Teilnehmer hat sein besonderes Schutz Ziel e Jede Partei bzw Teilnehmer formuliert sein Schutz Ziel e Sicherheitskonflikte werden erkannt und Kompromisse ausgehandelt e Jede Partei bzw jeder Teilnehmer f hrt seine Schutz Ziele innerhalb des ausgemachten Kompromisses durch Diesen neuen Anforderungen wird der Bottom Up Ansatz nicht gerecht da der Ansatz auf einer Abbildung der internen Infrastruktur basiert um Risiken zu ermitteln und zu bewerten Hierf r ist
456. ww aifb uni karlsruhe de FormschungsgruppeIWBS Publications pub2000 html Stand 10 12 2002 Studer Benjamins Fensel 1998 Studer R Benjamins V R Fensel D Knowledge Engineering Principles and meth ods In Data amp Knowledge Engineering Vol 25 1 2 1998 pp 161 197 Stumme 1999 Stumme G Acquiring Expert Knowledge for the Design of Conceptual Information Systems In Fensel D Studer R Eds Knowledge Acquisition Modeling and Man agement 11 European Workshop EKAW 1999 in Dagstuhl Castle Germany 26 29 Proceedings Lecture Notes in Artificial Intelligence LNAI 1621 Berlin u a 1999 pp 275 290 Task Force DDosS 2000 Bundesamt f r Sicherheit in der Informationstechnik Empfehlungen zum Schutz vor verteilten Denial of Service Angriffen im Internet Version 1 1 vom 20 06 2000 2000 Ver ffentlicht im Internet URL http www bsi de taskforce ddos htm Stand 10 12 2002 Task Force Virenschutz 2000 Bundesamt f r Sicherheit in der Informationstechnik Empfehlungen zum Schutz vor Computer Viren aus dem Internet Version 1 0 vom 18 05 2000 2000 Ver ffent licht im Internet URL http www bsi de taskforce viren htm Stand 10 12 2002 TDDSG 1997 Gesetz ber den Datenschutz bei Telediensten Teledienstedatenschutzgesetz TDDSG vom 01 08 1997 Ver ffentlicht im Internet URL http www netlaw de gesetze tddsg htm Stand 10 12 2002 TDG 2001 Teledienstgesetz TDG v
457. ww bsi bund de fachtheme gov download 6_EGloss pdf Stand 10 10 2002 E Government Handbuch Internetauftritt 2002 Bundesamt f r Sicherheit in der Informationstechnik Hrsg E Government Handbuch Online Version Modul Sicherer Internetauftritt im E Government Bonn 2002 Ver f fentlicht im Internet URL http www bsi bund de fachtheme gov download 4_IntAuf pdf Stand 10 10 2002 E Government Handbuch V ortrag 2001 Bundesamt f r Sicherheit in der Informationstechnik Hrsg E Government Handbuch Online Version Pr sentation E Government in unserer Beh rde Bonn 2002 Ver f fentlicht im Internet URL http www bsi bund de fachtheme gov download 6_Folien ppt Stand 10 10 2002 Ehmann 1993 Ehmann E Rechtliche Aspekte in Einf hrung in die Informationssicherheit In Pohl H Weck G Hrsg Handbuch 1 Einf hrung in die Informationssicherheit M n chen Wien 1993 S 52 84 278 Eloff Solms 2000a Eloff M M Solms S H von Information Security Management A Hierarchical Framework for Various Approaches In Computers amp Security Vol 19 3 2000 pp 243 256 Eloff Solms 2000b Eloff M M Solms S H von Information Security Management An Approach to Combine Process Certification And Product Evaluation In Computers amp Security Vol 19 3 2000 pp 698 709 Engelmann 1990 Engelmann R Integration nicht sicheres Wissen in Expertensysteme In Ehrenberg D Krallmann H Rieger B
458. zenarien Diensten Gefahren Gegenma nahmen und Realisierungsma nahmen werden als Frame zusammenge fasst Jede Phase kann erst begonnen werden wenn die vorhergehende beendet ist wobei der konkrete Endzustand einer Phase mit Hilfe von LISP Funktionen ermittelt wird Das Exper tensystem verf gt dar ber hinaus ber eine Erkl rungskomponente f r jede Phase FRAME Prolog Fakten Sicherheitskonzeption FRAME FRAME FRAME Regel Szenarien Kr Gefahren FRAME FRAME Gegenma Realisierungs nahmen ma nahmen Abbildung 125 Phasen des RSD Alle Objekte werden zu Beginn einer berpr fung instanziiert Die ben tigten Objekte wer den anschlie end durch den Benutzer oder das System nach Bedarf der Situation referenziert bzw aktiviert Die Aktivierung der Instanzen sowie das Wissen das beschreibt durch wel che Ursprungsinstanz die Aktivierung erfolgte wird in einer Prolog Faktenbasis dokumen tiert Die Risikoanalyse und bewertung basiert auf einer kardinalen Risikobewertung indem der Verm genswert mit der H ufigkeit des Schadeneintritts multipliziert wird Die Bestimmung der Verm genswerte wird nicht durch das Expertensystem unterst tzt sondern es werden 559 SINUS Sichere Nutzung von Online Diensten Projektinformationen ver ffentlicht im Internet URL http www ifi unizh ch ikm SINUS publications html Stand 10 12 2002 557 RSD
459. ziativen Basis neben technischen auch organisatorische Schwachstellen identifizieren die in Ursachen Wirkungsmodellen nur unzureichend zu beschreiben sind 3 Erweitert in Anlehnung Nosworthy 2000 5 600 800 Vgl Kailay Jarratt 1995 S 457 117 Expertisemodell 3 2 3 3 Diagnostische Wissensarten der Abh ngigkeitskonzepte Im Folgenden werden die oben dargestellten Abh ngigkeitskonzepte auf Wissensarten der Probleml sungsklasse Diagnostik abgebildet In der Diagnostik wird zwischen folgenden grundlegenden Wissensarten differenziert e sicheres Wissen e statistisches und fallbasiertes Wissen e heuristisches assoziatives Wissen und e modellbasiertes kausales Wissen Diese diagnostischen Wissensarten pr gen die sp tere Auswahl und Spezifikation der Prob leml sungsmethoden Das unten abgebildete Abh ngigkeitsmodell stellt die assoziativen und kausalen Abh ngigkeitskonzepte im Zusammenhang mit dem heuristischen und modellbasier ten Diagnosewissen dar heuristisches Diagnose deutet WISSEN assoziative semantische 144 Regeln organisatorische Ebene ment gt 275 1 logische Ebene teilweise 74 2 7 9 as Element fassbar modell basiertes verursacht __ Konse Diagnose kausale semantische Quenz wissen S e Regeln Gef hrdendes Ereignis Abbildung 53 Inte
Download Pdf Manuals
Related Search