« | Home | »

Kneisel/Oppitz: Sicherheit messbar machen

Von Ulrich Schniedermeier | 8.Januar 2021

Eine Rezension von Kapitel 34 „Sicherheit messbar machen“ von Magnus Kneisel und Helmut Oppitz im Buch Social Credit Rating: Reputation und Vertrauen beurteilen“, herausgegeben von Dr. Oliver Everling im Springer Verlag. Verfasser: Ulrich Schniedermeier, Geschäftsführer der 2U Agentur für InformationsTechnologie GmbH (2U-IT), München.

So unterschiedlich die verschiedenen Kreditsysteme auch sind, allen ist gemein, dass es in ihnen um das Management von Risiken geht. Wirtschaftliche Risiken, technische Risiken, Risiken durch Cyber Attacks und viele Risiken mehr, es sind immer Risiken zu erkennen, zu bewerten, und diesen Risiken ist, hoffentlich rechtzeitig genug, zu begegnen, um Sicherheit zu schaffen.

Für die dabei involvierten Datenverarbeitungs-Komponenten „IT (Information Technology) und OT (Operational Technology)“ befasst sich 2U-IT seit ihrer Gründung im Jahre 2004 mit Schutzmaßnahmen zur Risikominimierung und Sicherheitsgenerierung. Dabei ist die Zeitkomponente ganz entscheidend, denn Risiko-Minimierung muss rechtzeitig erfolgen. Hier gilt das Motto: „Krisen meistert man am besten, indem man ihnen zuvor kommt.“ (Zitat W. Whitman Rostow, US-amerikanischer Wirtschaftshistoriker)

Bevor man sich dem spannenden und Gewinn wie Schutz bringenden Thema der Beurteilung zukünftiger Risiken widmen kann, sind zunächst Wege zu finden, Risiken messbar zu machen. Diesem Thema haben sich die Autoren Magnus Kneisel und Helmut Oppitz in ihrem Kapitel „Sicherheit messbar machen“ gewidmet.

Ich stimme den Autoren zu, dass die übliche Risikoklassifizierung in niedrige / mittlere / hohe Risiken ungenügend ist und zudem meistens auch nur auf Schätzungen beruht, die einer gemessenen mathematisch exakten Risikobewertung unterlegen ist. Was und wie kann man denn bei IT/OT -Risiken oder der zugehörigen Sicherheit messen?

Die Autoren gehen einen praxisgerechten Weg und führen einen Wert ein, den sie „Time to Compromise“, also „Zeitspanne, die bis zum erfolgreichen Angriff verstreichen wird“, nennen.

Dieser Wert ist wahrhaft universell, denn er kann bezogen sein auf Hardware wie auf Software – Strukturen, er kann die errechnete Zeit bis zur Kompromittierung eines ganzen Netzwerks angeben, etc. Eines ist selbsterklärend: ein TTC-Wert 1,5 Jahre ist nur halb so gut wie ein Wert 3,0 Jahre.

Egal was wir untersuchen, der TTC Wert gibt eine klare Auskunft über das Angriffs- und Beschädigungs-Risiko des zu bewertenden Systems auch im Vergleich mit anderen Systemen, vorausgesetzt … man kann diesen Wert mathematisch exakt berechnen. Wäre das nicht möglich, wäre man wieder bei den Schätzungen, von denen man ja weg will und weg muss.

Die Autoren zeigen eine Lösung dieser Anforderung auf, indem sie auf eine schwedische Software hinweisen, die den Messwert TTC errechnet, und zwar aus der Korrumpierungswahrscheinlichkeit (Max Success Rate) und den statistischen Aufwänden eines Angreifers (Days) , die benötigt werden, um das jeweilige IT-/OT-Asset zu korrumpieren. Dabei errechnet sich ein statistischer Wert, der zwar keinen Aufschluss darüber gibt, wie lange ein Angreifer in genau diesem Moment tatsächlich benötigen würde, um das Asset zu korrumpieren, der aber dafür wertvolle Hinweise auf die Infrastruktur-Resilienz liefert. Vor allem lässt der statistische Wert TTC Vergleiche mit anderen IT-/OT-Assets innerhalb der IT-/OT-Infrastruktur zu, um beispielsweise eine priorisierte Abarbeitung von anstehenden Schutz-Maßnahmen abzuleiten.

Dadurch bietet securiCAD die Möglichkeit, Risiken, auch neue bzw. künftige Risiken, vorherzusagen und zu bewerten, um u.a. Gegenmaßnahmen gegen neue und künftige Gefahren möglichst schon vor deren Entstehen und somit rechtzeitig zu ergreifen. Sowohl die Vorhersage als auch die Bewertung erfolgen bei securiCAD durch die Nutzung neuer und hoch entwickelter Algorithmen.

Mit dieser Lösung lassen sich virtuelle Angriffssimulationen auf Modelle z.B. von IT-Architekturen durchführen und auswerten, aktuelle Schwachstellen aufzeigen und sogar künftige Bedrohungen vorhersagen. Nicht zuletzt ermöglicht es securiCAD, Risikobewertungen von isolierten technischen Problemen auf einen ganzheitlichen Ansatz zur Messung der Risikoexposition einer gesamten IT-Infrastruktur auszuweiten.

Einen großen praktischen Vorteil sehe ich darin, dass dieser neuartige Ansatz eine unabhängige „zweite Sicht“ auf ein Bedrohungsszenario liefert und es so ermöglicht, anhand eines und desselben Netzwerkmodells verschiedene Angriffsszenarien in Varianten durchzuspielen und dadurch sehr schnell effiziente Entscheidungshilfen zu liefern, welche Verteidigungsmaßnahmen am effektivsten und wirtschaftlich am günstigsten sind und am ehesten geeignet sind, Sicherheit zu verbessern..

Informationen sind die wesentliche „Währung des 21. Jahrhunderts“, deshalb macht die Sicherheit von Informationen den entscheidenden Unterschied zwischen Gewinnern und Verlierern aus. Die Möglichkeit zur vorbeugenden Reaktion auf Risiken der Zukunft ist ein neues und aus meiner Sicht erstrebenswertes Sicherheitsniveau gerade in Zeiten sich schnell potenzierender CYBER-Angriffe, die weltweit alle betreffen und die auch für die chinesische Finanzwirtschaft eine stetige Herausforderung sind und sein werden.

Themen: Rezensionen, Sozialkreditrating | Kein Kommentar »

Kommentare

Sie müssen eingelogged sein um einen Kommentar zu posten.