Skip to main content
main-content

2015 | Buch

Cyber Attack Information System

Erfahrungen und Erkenntnisse aus der IKT-Sicherheitsforschung

herausgegeben von: Helmut Leopold, Thomas Bleier, Florian Skopik

Verlag: Springer Berlin Heidelberg

Buchreihe: Xpert.press

share
TEILEN
insite
SUCHEN

Über dieses Buch

In den letzten Jahren hat sich das Internet schnell zu einem massiven wirtschaftlichen Betätigungsfeld entwickelt, leider auch für illegale Unternehmungen. Das Ausnutzen von Schwachstellen in IKT-Systemen ist inzwischen ein profitables Geschäftsmodell. Das staatlich geförderte Forschungsprojekt CAIS beschäftigte sich deshalb mit der Implementierung eines Cyber Attack Information Systems auf nationaler Ebene mit dem Ziel, die Widerstandsfähigkeit der heutigen vernetzten Systeme zu stärken und ihre Verfügbarkeit und Vertrauenswürdigkeit zu erhöhen. Hauptziele dieses Projektes waren die Identifizierung der künftigen Cyber-Risiken und -Bedrohungen, die Untersuchung neuartiger Techniken zur Anomalieerkennung, die Entwicklung modularer Infrastrukturmodelle und agentenbasierter Simulationen zur Risiko- und Bedrohungsanalyse, und schließlich die Analyse und mögliche Umsetzung eines nationalen Cyber Attack Information Systems.

Inhaltsverzeichnis

Frontmatter
1. Einleitung zum Cyber Attack Information System
Zusammenfassung
Informations- und Kommunikationstechnologie (IKT) Infrastrukturen sind eine unverzichtbare Basis für die Modernisierung fast aller unserer Lebensbereiche geworden und müssen daher neben dem Stromnetz als die wesentliche kritische Infrastruktur unserer Gesellschaft betrachtet werden. Gleichzeitig hat sich das Bedrohungspotential durch Cyberangriffe auf diese Infrastrukturen im Ausmaß als auch in ihrer Professionalität derart verändert, dass es neue Ansätze braucht um die Widerstandsfähigkeit zukünftiger vernetzter IKT-Systeme gegenüber Cyberattacken zu erhöhen. Wir werden zukünftig Systeme nicht mehr alleine dadurch schützen können, einen unerlaubten „Zugriff“ zu verhindern, wie durch Firewalls und Virenschutz, sondern es braucht neue Funktionen, mit denen Cyberangriffe frühzeitig entdeckt, Risiken und deren potentielle Auswirkungen beurteilt und Gegenmaßnahmen vorrausschauend vorbereitet werden können. Es geht somit darum, ein wesentlich besseres Lageverständnis im Cyberspace für unsere vernetzten IKT-Systeme zu etablieren. Dies wird einerseits durch ein laufendes Beobachten des Systemverhaltens (Anomalieerkennung) und andererseits durch einen vertrauenswürdigen Informationsaustausch zwischen IKT-Dienstleistungserbringern erreicht. So erhält man ein modernes Cyber Attack Information System (CAIS) welches kritische IKT Infrastrukturen effektiv schützt.
Helmut Leopold, Florian Skopik, Thomas Bleier, Josef Schröfl, Mike Fandler, Roland Ledinger, Timo Mischitz
2. Cyber-Angriffsszenarien und wirtschaftliche Auswirkungen
Zusammenfassung
Für ein effektives Cyber Attack Information System (CAIS) gilt es einen erweiterten sozio-politischen Rahmen zu berücksichtigen. Eine erste Abschätzung über die Wirkung von Cyberangriffen bedarf in diesem Rahmen zunächst eines gemeinsamen Verständnisses über die sozio-ökonomische Relevanz des Internet. Ergänzend dazu ist jedoch auch ein detailliertes Bedrohungsbild über spezifische Cybergefahren vonnöten. Erst auf einer solchen Basis ist es sinnvoll, betreffend möglicher Maßnahmen, gezielt Empfehlungen an die Politik zu richten. Für eine erste Abschätzung möglicher Folgen eines großräumigen Cyberausfalls soll in Abschnitt 2.2 zunächst ein einfaches wirtschaftliches Modell erarbeitet werden (das „Warum?“). Darauf aufbauend wird in Abschnitt 2.3 in groben Umrissen ein gemeinsames Bedrohungsbild erstellt (das „Was?“). Die dabei identifizierten Cyber-Angriffsszenarien werden im abschließenden Abschnitt 2.4 beschrieben und ausgewertet, um daraus mögliche Empfehlungen an die Politik ableiten zu können (das „Wie?“)
Alexander Klimburg, Philipp Mirtl
3. Cyber Attack Information System: Gesamtansatz
Zusammenfassung
Das Architekturkonzept eines CAIS Cyber Attack Information Systems sieht die Etablierung einer zentralen Instanz, des Cyberlagezentrums vor, an welches Betreiber kritischer Infrastrukturen, d.h. unabhängige Einzelorganisationen, wichtige Meldungen über Sicherheitsvorfälle als auch allgemeine sicherheitsrelevante Informationen (Bedrohungen, Verwundbarkeiten von Standard-Komponenten), übermitteln. Das Cyberlagezentrum nutzt diese Informationen zur Etablierung eines umfassenden Lageverständnisses um einerseits staatliche Sicherungsaufgaben zu erfüllen und andererseits kritischen Infrastrukturanbietern Feedback zu aktuellen Cyber-Bedrohungen zu liefern. Auf diesem Weg soll einerseits der gezielte Austausch allgemeiner Bedrohungs- als auch sensitiver Informationen in einer vertrauensvollen Umgebung ermöglicht werden und darüber hinaus wird die Reaktionszeit auf neue Bedrohungen und Sicherheitslücken wesentlich verbessert werden. Die Diskussion vieler konkreter Detailfragen bzgl. Rollen, Verteilung von Verantwortlichkeiten, Attraktivierung der Zusammenarbeit und möglicher technischer Unterstützungen waren der Inhalt von konkreten Forschungstätigkeiten und werden in diesem Kapitel näher dargelegt.
Florian Skopik, Thomas Bleier, Roman Fiedler
4. Modellierung und Simulation kritischer IKT-Infrastrukturen und deren Abhängigkeiten
Zusammenfassung
Ohne funktionierende IT steht das öffentliche Leben still. Durch die zunehmende Vernetzung kritischer Infrastrukturprovider untereinander sowie deren Informations- und Kommunikationssystemen steigt die Bedrohung durch Cyber-Angriffe enorm. Eine konstante Aufrechterhaltung aller Services ist jedoch für das Gemeinwohl unerlässlich. Daher hat der Schutz vor Angriffen im Cyberraum hohe Priorität. Da es derzeit keine einheitliche Abbildung bestehender Abhängigkeiten gibt, können Konsequenzen von großflächigen Ausfällen nur erahnt werden. Um Prioritäten in der Verteidigung kritischer Infrastrukturen zu setzen, ist es notwendig die Wichtigkeit einzelner kritischer Knotenpunkte der nationalen Infrastrukturlandschaft zu kennen und deren Zusammenhänge zu skizzieren. In diesem Buchkapitel wird ein agentenbasierter Modellierungs- und Simulationsansatz beschrieben, welcher bei der Analyse komplexer Cyberabhängigkeiten kritischer Infrastrukturen unterstützt. Dabei ist es möglich Infrastrukturen verteilt zu modellieren und danach unterschiedliche Bedrohungsszenarien mit Hilfe des spieletheoretischen Ansatzes der Anticipation Games zu simulieren. Das gewonnene Wissen kann anschließend verwendet werden, um im Vorfeld Maßnahmen zu planen oder sogar während eines Angriffes Informationen über bevorstehende negative Implikationen zu erhalten. Am Ende des Kapitels wird dargestellt wie der theoretische Modellierungsansatz prototypisch umgesetzt wurde.
Simon Tjoa, Marlies Rybnicek
5. Erkennen von Anomalien und Angriffsmustern
Zusammenfassung
Nachdem Umfang und Dynamik von Cyberangriffen rasant zunehmen und vor allem moderne Bedrohungsszenarien, sogenannte Advanced Persistent Threats (APTs), die Grenzen herkömmlicher Schutzmechanismen wie Firewalls oder Virenscanner, vor allem beim Schutz kritischer Infrastrukturen, aufzeigen wurde für unser CAIS ein spezieller Anomalieerkennungsansatz entwickelt. Dabei werden die von den unterschiedlichen IT-Applikationen generierten Logging-Daten analysiert. Mit den verfügbaren Logging-Daten eines IT Systems wird zuerst ein Systemmodel aufgebaut, welches dann ständig gegen den aktuellen Logdatenstrom geprüft wird. Sobald eine signifikante Abweichung festgestellt wird – d.h. eine Anomalie - kann ein Administrator auf das Problem hingewiesen werden. Dieser Mechanismus funktioniert unabhängig davon ob die Ursache ein Angriff mit unbekanntem Schadcode, eine Manipulation mit gestohlenen Zugangsdaten oder eine technische Störung des Systems war. Da die verarbeiteten Logdaten oft auch personenbezogene Daten wie z.B. IP-Adressen oder eMailadressen enthalten können, muss das System auch rechtliche Datenschutzaspekte adäquat berücksichtigen. Deshalb wurde der entwickelte Algorithmus als auch die verarbeiteten Daten anhand der derzeit geltenden Rechtslage bewertet.
Roman Fiedler, Florian Skopik, Thomas Mandl, Kurt Einzinger
6. Evaluierung von CAIS im praktischen Einsatz
Zusammenfassung
Zur Evaluierung des entwickelten CAIS Systems wurde dieses sowohl mit generierten Daten als auch im Echtbetrieb bei T-Systems Austria getestet. Eine wichtige Aufgabe war dabei die einfache Integration in bestehende Netzwerk- und Sicherheitsarchitekturen des Unternehmens. Die Einbindung sollte daher möglichst stark auf de-facto Industriestandards aufbauen um eine einfache Integration zu ermöglichen. Schließlich wurde für einen Teil der Evaluierung die T-Systems Logging Infrastruktur an die CAIS Anomalieerkennung gekoppelt. Grundlegendes Ziel war es, dass nicht durch eine fehlende Systemintegration des CAIS Systems nicht ein Datengrab geschaffen wird und der Rückfluss in bestehende Ticket oder Security Information und Event Management Systeme möglich ist. Des Weiteren wurden bestehende Konfigurationsmanagement und Inventory-Daten in das Modellierungs- und Simulationstool integriert. Aufgrund des standardisierten Syslog-Protokolls wurde nur ein geringer Aufwand für die Integration benötigt. Ebenfalls wurden Schnittstellen zu bestehenden kommerziellen Werkzeugen betrachtet, wodurch die Effektivität weiter gesteigert werden kann. Die Plausibilität der erhaltenen Ergebnisse konnte durch einen Vergleich mit bekannten Fällen aus der Vergangenheit unter Beweis gestellt werden. Abgeschlossen wird dieses Kapitel durch die Beschreibung einer detaillierten Pilotstudie, die einen möglichen Einsatz in der Praxis widerspiegelt.
Herwig Köck, Martin Krumböck, Walter Ebner, Thomas Mandl, Roman Fiedler, Florian Skopik, Otmar Lendl
7. Datenschutzleitlinie für Forschungsprojekte
Zusammenfassung
Datenschutz, als der besondere Schutz personenbezogener Daten, ist integraler Bestandteil der IKT-Sicherheit. Dies trifft in besonderem Maße auf Informations- und Kommunikationssysteme (IKT) zum Schutz kritischer (Informations-) Infrastrukturen zu. Die hier vorliegenden Leitlinien enthalten eine Reihe von praktischen Empfehlungen und Erklärungen für Forschungsprojekte im IKT-Sicherheits-Bereich zu der Frage, wie die Verwendungen von Daten in ihnen konzipiert und betrieben werden sollen. Sachgerechte Datenverwendung unter Einhaltung der datenschutzrechtlichen Bestimmungen schon bei Konzeption und Design der Projekte wird als Grundvoraussetzung für erfolgreiche Projekte gesehen. Der vermeintliche Widerspruch zwischen Datenschutzanforderungen und Sicherheitsforschung kann ganz aufgehoben werden. Wenn die Datenverwendung pragmatisch auf Basis der beiden Grundsätze der Datenvermeidung beziehungsweise der Anonymisierung und der Verhältnismäßigkeit eingesetzt wird, wird sie den Forschungsanforderungen gerecht werden und zugleich die Privatsphäre und die Grundrechte achten. Die Verwendung personenbezogener Daten sollte intelligent und ausschließlich zur Lösung genau ermittelter Sicherheitsprobleme eingesetzt werden. Damit werden nicht nur Eingriffe in die Privatsphäre auf ein Minimum reduziert, sondern es ist zugleich auch gewährleistet, dass die Forschungsarbeit zielgerichteter und letztendlich auch effizienter bewerkstelligt werden kann.
Kurt Einzinger
8. Empfehlung an die Politik und Ausblick
Zusammenfassung
Heute sind beinahe alle Bereiche unseres täglichen Lebens von funktionierenden Informations- und Kommunikationstechnologien (IKT) abhängig. Neben staatlichen Stellen sind davon insbesondere auch Unternehmen und Bürger betroffen. In der Tat sind die meisten Sektoren unserer Volkswirtschaft auf einen möglichst reibungslosen, verlässlichen und durchgehenden Betrieb ihrer IKT angewiesen, was den Cyber-Raum letztlich nicht nur zu einer wichtigen Grundlage unseres Wirtschaftswachstums, sondern darüber hinaus auch zu einer besonders schützenswerten Domäne macht. Abgeleitet aus diesem Zusammenhang formuliert dieser Abschnitt konkrete Empfehlungen an die Politik. Dabei werden die Aufgaben, Anforderungen und möglichen Strukturen eines Nationalen Cyberlagezentrums diskutiert und die wichtigsten sicherheitspolitischen sowie datenschutzrechtlichen Aspekte erörtert.
Alexander Klimburg, Philipp Mirtl, Kurt Einzinger
Metadaten
Titel
Cyber Attack Information System
herausgegeben von
Helmut Leopold
Thomas Bleier
Florian Skopik
Copyright-Jahr
2015
Verlag
Springer Berlin Heidelberg
Electronic ISBN
978-3-662-44306-4
Print ISBN
978-3-662-44305-7
DOI
https://doi.org/10.1007/978-3-662-44306-4

Premium Partner