Bewertung von Sicherheitsanforderungen
- Art: Diplomarbeit
- Autor: Wolfgang Schneider
- Abgabedatum: September 2006
- Umfang: 86 Seiten
- Dateigröße: 2,1 MB
- Note: 1,3
- Institution / Hochschule: Technische Universität München Deutschland
- Bibliografie: ca. 16
- ISBN (eBook): 978-3-8366-0106-1
-
ISBN (Paperback) :
978-3-8366-0106-1 P - ISBN (CD) :978-3-8366-0106-1 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Schneider, Wolfgang September 2006: Bewertung von Sicherheitsanforderungen, Hamburg: Diplomica Verlag
- Schlagworte: Return on Investment, ROI, IT-Sicherheit, Kennzahl, Sicherheitsanalyse
In den Warenkorb
74,00 €
Diplomarbeit von Wolfgang Schneider
Problemstellung:
Durch die immer stärkere Vernetzung der Computer, erhöht sich die Anzahl der Angriffe immer mehr. Da die Computer für das Überleben eines Unternehmens immer wichtiger und die Schäden durch die Angriffe immer größer werden, muss sich jedes Unternehmen Gedanken über Sicherheitsanforderungen machen.
Leider berücksichtigen viele Unternehmen die IT-Sicherheit viel zu wenig, da Investitionen in die IT-Sicherheit meistens sehr teuer sind und keine direkten Einnahmen bringen. Die Sicherheitsinvestitionen werden deshalb häufig nur als Kostenfaktor angesehen. Andere Projekte mit direkten Einnahmen werden meistens bevorzugt.
Daher ist eine Methode, mit der die Sicherheitsanforderungen bewertet werden können, notwendig.
In dieser Arbeit werden zuerst die Grundlagen vorgestellt und dann eine Methode entwickelt, mit der die Sicherheitsanforderungen bewertet werden können. Zuerst wird dargestellt, was Design Patterns und Security Patterns sind. Außerdem wird aufgezeigt, wie der Return on Investment (RoI) und der Return on Security Investment (RoSI) berechnet werden. Es werden dann auch noch Angriffsbäume beschrieben.
Die entwickelte Methode zur Bewertung von Sicherheitsanforderungen baut auf dem Return on Security Investment (RoSI) auf. Der RoSI ist die am weitesten verbreitete Kennzahl für Investitionen in die IT-Sicherheit.
Es wird aufgezeigt, wie man sowohl einzelne Security-Patterns als auch ganze Security-Pattern-Systeme bewerten kann. Für die vorgestellten Methoden werden umfangreiche Beispiele gezeigt.
Inhaltsverzeichnis:
| Zusammenfassung | III | |
| Inhaltsverzeichnis | IV | |
| Abbildungsverzeichnis | VII | |
| Tabellenverzeichnis | VIII | |
| Abkürzungsverzeichnis | X | |
| 1. | Problemstellung und Aufbau der Arbeit | 1 |
| 1.1 | Problemstellung | 1 |
| 1.2 | Aufbau der Arbeit | 2 |
| 2. | Begriffliche Grundlagen | 3 |
| 2.1 | Design Patterns | 3 |
| 2.1.1 | Aufbau von Design Patterns | 3 |
| 2.2.2 | Vorteile von Design Patterns | 5 |
| 2.2.3 | Nachteile von Design Patterns | 5 |
| 2.2 | Security Patterns | 6 |
| 2.2.1 | Aufbau von Security Patterns | 6 |
| 2.2.2 | Vorteile von Security Patterns | 6 |
| 2.2.3 | Nachteile von Security Patterns | 7 |
| 2.3 | Return on Security Investment (RoI) | 8 |
| 2.3.1 | Berechnungsmethode | 8 |
| 2.3.2 | Vorteile des RoI | 9 |
| 2.3.3 | Nachteile des RoI | 9 |
| 2.4 | Return on Security Investment (RoSI) | 10 |
| 2.4.1 | Berechnungsmethoden | 10 |
| 2.4.1.1 | An der University of Idaho entwickelter RoSI | 10 |
| 2.4.1.1.1 | Berechnungsmethode | 10 |
| 2.4.1.1.2 | Beispiel | 11 |
| 2.4.1.1.3 | Vorteile der Berechnungsmethode | 12 |
| 2.4.1.1.4 | Nachteile der Berechnungsmethode | 12 |
| 2.4.1.2 | Von Scott Berinato entwickelter RoSI | 13 |
| 2.4.1.2.1 | Berechnungsmethode | 13 |
| 2.4.1.2.2 | Beispiel | 14 |
| 2.4.1.2.3 | Vorteile der Berechnungsmethode | 15 |
| 2.4.1.2.4 | Nachteile der Berechnungsmethode | 16 |
| 2.4.1.3 | Von Spenneberg entwickelter RoSI | 16 |
| 2.4.1.3.1 | Berechnungsmethode | 16 |
| 2.4.1.3.2 | Beispiel | 18 |
| 2.4.1.3.3 | Vorteile der Berechnungsmethode | 19 |
| 2.4.1.3.4 | Nachteile der Berechnungsmethode | 19 |
| 2.4.1.4 | Von Wes Sonnenreich, Jason Albanese und Bruce Stout vorgestellter RoSI | 19 |
| 2.4.1.4.1 | Berechnungsmethode | 20 |
| 2.4.1.4.2 | Beispiel | 20 |
| 2.4.1.4.3 | Vorteile der Berechnungsmethode | 21 |
| 2.4.1.4.4 | Nachteile der Berechnungsmethode | 21 |
| 2.4.2 | Probleme bei der Berechnung des RoSI | 21 |
| 2.5 | Angriffsbäume | 23 |
| 2.5.1 | Methode | 23 |
| 2.5.2 | Beispiel | 23 |
| 2.5.3 | Vorteile von Angriffsbäumen | 24 |
| 2.5.4 | Nachteile von Angriffsbäumen | 24 |
| 3. | Bewertung von Sicherheits-Anforderungen | 26 |
| 3.1 | Problem | 26 |
| 3.2 | Berechnungsmethode | 27 |
| 3.2.1 | Ermittlung der RoSI von den Voraussetzungen | 27 |
| 3.2.2 | Bedrohungsanalyse | 28 |
| 3.2.3 | Angriffsbaum | 28 |
| 3.2.4 | Risikoanalyse, Berechnung der Schadenskosten und der Einsparungen | 29 |
| 3.2.5 | Kostenmodell | 29 |
| 3.2.6 | Berechnung des RoSI | 30 |
| 3.2.7 | Ermittlung der Referenzen | 30 |
| 3.3 | Beispiel: Firewall | 32 |
| 3.3.1 | Abhängigkeiten | 32 |
| 3.3.2 | RoSI der Voraussetzungen | 33 |
| 3.3.2.1 | Identifikation und Authentisierung | 33 |
| 3.3.2.2 | Identitätsbasierte Zugriffskontrolle | 37 |
| 3.3.2.3 | Audit | 42 |
| 3.3.2.4 | Erkennen von Angriffen | 46 |
| 3.3.2.5 | Aktivierung von Logging-Mechanismen | 46 |
| 3.3.3 | RoSI des Security Patterns Firewall | 50 |
| 3.3.3.1 | Bedrohungsanalyse | 50 |
| 3.3.3.2 | Lösungen | 51 |
| 3.3.3.3 | Angriffsbäume | 51 |
| 3.3.3.4 | Risikoanalyse | 53 |
| 3.3.3.5 | Ermittlung der Schadenskosten | 54 |
| 3.3.3.6 | Berechnung der Einsparungen | 54 |
| 3.3.3.7 | Berechnung der Kosten | 54 |
| 3.3.3.8 | Berechnung der ALE | 56 |
| 3.3.3.9 | Berechnung des RoSI | 56 |
| 3.3.4 | Referenzen | 57 |
| 4. | Bewertung eines Security-Pattern-Systems | 58 |
| 4.1 | Problem | 58 |
| 4.2 | Lösung | 59 |
| 4.3 | Beispiel | 60 |
| 4.3.1 | Berechnung des RoSI nach der in Kapitel 3 vorgestellten Methode | 60 |
| 4.3.1.1 | Mehrschichtige Verteidigung | 60 |
| 4.3.1.2 | Passierstelle | 64 |
| 4.3.1.3 | RoSI des gesamten Security-Pattern-Systems | 67 |
| 4.3.2 | Berechnung des RoSI nach der neuen Methode | 67 |
| 4.3.2.1 | Berechnung der RoSI für die einzelnen Security Patterns | 68 |
| 4.3.2.2 | Berechnung des RoSI für das gesamte Security-Pattern-System | 70 |
| 5. | Fazit | 71 |
| 6. | Ausblick | 72 |
| 6.1 | Auf der Kapitalwertmethode aufbauende Kennzahl für Sicherheitsinvestitionen | 73 |
| 6.1.1 | Berechnungsmethode | 73 |
| 6.1.2 | Beispiel | 73 |
| 6.2 | Auf der Internen-Zinsfuß-Methode aufbauende Kennzahl für Sicherheitsinvestitionen | 75 |
| 6.2.1 | Berechnungsmethode | 75 |
| 6.2.2 | Beispiel | 75 |
| Literaturverzeichnis | 76 |
Inhaltsverzeichnis:
| Zusammenfassung | III | |
| Inhaltsverzeichnis | IV | |
| Abbildungsverzeichnis | VII | |
| Tabellenverzeichnis | VIII | |
| Abkürzungsverzeichnis | X | |
| 1. | Problemstellung und Aufbau der Arbeit | 1 |
| 1.1 | Problemstellung | 1 |
| 1.2 | Aufbau der Arbeit | 2 |
| 2. | Begriffliche Grundlagen | 3 |
| 2.1 | Design Patterns | 3 |
| 2.1.1 | Aufbau von Design Patterns | 3 |
| 2.2.2 | Vorteile von Design Patterns | 5 |
| 2.2.3 | Nachteile von Design Patterns | 5 |
| 2.2 | Security Patterns | 6 |
| 2.2.1 | Aufbau von Security Patterns | 6 |
| 2.2.2 | Vorteile von Security Patterns | 6 |
| 2.2.3 | Nachteile von Security Patterns | 7 |
| 2.3 | Return on Security Investment (RoI) | 8 |
| 2.3.1 | Berechnungsmethode | 8 |
| 2.3.2 | Vorteile des RoI | 9 |
| 2.3.3 | Nachteile des RoI | 9 |
| 2.4 | Return on Security Investment (RoSI) | 10 |
| 2.4.1 | Berechnungsmethoden | 10 |
| 2.4.1.1 | An der University of Idaho entwickelter RoSI | 10 |
| 2.4.1.1.1 | Berechnungsmethode | 10 |
| 2.4.1.1.2 | Beispiel | 11 |
| 2.4.1.1.3 | Vorteile der Berechnungsmethode | 12 |
| 2.4.1.1.4 | Nachteile der Berechnungsmethode | 12 |
| 2.4.1.2 | Von Scott Berinato entwickelter RoSI | 13 |
| 2.4.1.2.1 | Berechnungsmethode | 13 |
| 2.4.1.2.2 | Beispiel | 14 |
| 2.4.1.2.3 | Vorteile der Berechnungsmethode | 15 |
| 2.4.1.2.4 | Nachteile der Berechnungsmethode | 16 |
| 2.4.1.3 | Von Spenneberg entwickelter RoSI | 16 |
| 2.4.1.3.1 | Berechnungsmethode | 16 |
| 2.4.1.3.2 | Beispiel | 18 |
| 2.4.1.3.3 | Vorteile der Berechnungsmethode | 19 |
| 2.4.1.3.4 | Nachteile der Berechnungsmethode | 19 |
| 2.4.1.4 | Von Wes Sonnenreich, Jason Albanese und Bruce Stout vorgestellter RoSI | 19 |
| 2.4.1.4.1 | Berechnungsmethode | 20 |
| 2.4.1.4.2 | Beispiel | 20 |
| 2.4.1.4.3 | Vorteile der Berechnungsmethode | 21 |
| 2.4.1.4.4 | Nachteile der Berechnungsmethode | 21 |
| 2.4.2 | Probleme bei der Berechnung des RoSI | 21 |
| 2.5 | Angriffsbäume | 23 |
| 2.5.1 | Methode | 23 |
| 2.5.2 | Beispiel | 23 |
| 2.5.3 | Vorteile von Angriffsbäumen | 24 |
| 2.5.4 | Nachteile von Angriffsbäumen | 24 |
| 3. | Bewertung von Sicherheits-Anforderungen | 26 |
| 3.1 | Problem | 26 |
| 3.2 | Berechnungsmethode | 27 |
| 3.2.1 | Ermittlung der RoSI von den Voraussetzungen | 27 |
| 3.2.2 | Bedrohungsanalyse | 28 |
| 3.2.3 | Angriffsbaum | 28 |
| 3.2.4 | Risikoanalyse, Berechnung der Schadenskosten und der Einsparungen | 29 |
| 3.2.5 | Kostenmodell | 29 |
| 3.2.6 | Berechnung des RoSI | 30 |
| 3.2.7 | Ermittlung der Referenzen | 30 |
| 3.3 | Beispiel: Firewall | 32 |
| 3.3.1 | Abhängigkeiten | 32 |
| 3.3.2 | RoSI der Voraussetzungen | 33 |
| 3.3.2.1 | Identifikation und Authentisierung | 33 |
| 3.3.2.2 | Identitätsbasierte Zugriffskontrolle | 37 |
| 3.3.2.3 | Audit | 42 |
| 3.3.2.4 | Erkennen von Angriffen | 46 |
| 3.3.2.5 | Aktivierung von Logging-Mechanismen | 46 |
| 3.3.3 | RoSI des Security Patterns Firewall | 50 |
| 3.3.3.1 | Bedrohungsanalyse | 50 |
| 3.3.3.2 | Lösungen | 51 |
| 3.3.3.3 | Angriffsbäume | 51 |
| 3.3.3.4 | Risikoanalyse | 53 |
| 3.3.3.5 | Ermittlung der Schadenskosten | 54 |
| 3.3.3.6 | Berechnung der Einsparungen | 54 |
| 3.3.3.7 | Berechnung der Kosten | 54 |
| 3.3.3.8 | Berechnung der ALE | 56 |
| 3.3.3.9 | Berechnung des RoSI | 56 |
| 3.3.4 | Referenzen | 57 |
| 4. | Bewertung eines Security-Pattern-Systems | 58 |
| 4.1 | Problem | 58 |
| 4.2 | Lösung | 59 |
| 4.3 | Beispiel | 60 |
| 4.3.1 | Berechnung des RoSI nach der in Kapitel 3 vorgestellten Methode | 60 |
| 4.3.1.1 | Mehrschichtige Verteidigung | 60 |
| 4.3.1.2 | Passierstelle | 64 |
| 4.3.1.3 | RoSI des gesamten Security-Pattern-Systems | 67 |
| 4.3.2 | Berechnung des RoSI nach der neuen Methode | 67 |
| 4.3.2.1 | Berechnung der RoSI für die einzelnen Security Patterns | 68 |
| 4.3.2.2 | Berechnung des RoSI für das gesamte Security-Pattern-System | 70 |
| 5. | Fazit | 71 |
| 6. | Ausblick | 72 |
| 6.1 | Auf der Kapitalwertmethode aufbauende Kennzahl für Sicherheitsinvestitionen | 73 |
| 6.1.1 | Berechnungsmethode | 73 |
| 6.1.2 | Beispiel | 73 |
| 6.2 | Auf der Internen-Zinsfuß-Methode aufbauende Kennzahl für Sicherheitsinvestitionen | 75 |
| 6.2.1 | Berechnungsmethode | 75 |
| 6.2.2 | Beispiel | 75 |
| Literaturverzeichnis | 76 |
Textprobe:
Kapitel 2.4.1.4.3, Vorteile der Berechnungsmethode: Der größte Vorteil der Berechnungsmethode ist, dass eine Verhältniszahl berechnet wird und keine absolute Kennzahl. Dadurch kommt der auf diese Weise berechnete RoSI dem RoI viel näher. Die Entscheidungsträger in den Unternehmen erwarten bei einer auf dem RoI aufbauenden Kennzahl eine Verhältniszahl. Daher wird ein nach dieser Methode berechneter RoSI viel stärker akzeptiert werden.
Ein weiterer Vorteil ist, dass der auf diese Weise berechnete RoSI die Rendite darstellt. Dadurch ist die Aussage dieselbe wie beim RoI. Wenn der RoSI höher ist als der Vergleichszins, ist eine Investition sinnvoll.
Es ist auch vorteilhaft, dass die Berechnung sehr einfach ist und sich leicht nachvollziehen lässt. Eine nachvollziehbare Berechnungsmethode erhöht die Akzeptanz einer Kennzahl. Außerdem können mit dieser Kennzahl mehrere Projekte miteinander verglichen werden. Das Projekt mit dem höchsten RoSI ist am sinnvollsten. Bei dieser Kennzahl macht ein Vergleich sogar mehr Sinn, als bei einer absoluten Kennzahl, da hier der Gewinn durch die Schadensverminderung schon im Verhältnis zu den Kosten dargestellt ist.
Auch vorteilhaft ist, dass mit dieser Methode der Nutzen einzelner Investitionsentscheidungen berechnet werden kann. Man muss nicht alle Sicherheitsprojekte des Unternehmens kennen, um den RoSI eines Projekts berechnen zu können.
Ein Nachteil ist, dass bei dieser Berechnungsmethode die Manipulationsmöglichkeiten immer noch vorhanden sind. Die einzelnen Werte sind schwer zu ermitteln und können leicht manipuliert werden. Ein weiterer Nachteil ist, das die Zuverlässigkeit des RoSI überschätzt werden kann. Beim RoI werden einfach die Werte aus der Bilanz und der GuV (Gewinn- und Verlustrechnung) benutzt. Dadurch ist die Manipulationsmöglichkeit so gut wie nicht gegeben. Die Gefahr besteht jetzt, dass dieser Kennzahl die gleiche Zuverlässigkeit zugetraut wird, wie dem RoI. Allerdings müssen beim RoSI die Zahlen häufig geschätzt werden und es liegen der Berechnung längst nicht so zuverlässige Quellen, wie die Bilanz oder die GuV, zugrunde.
Das größte Problem beim RoSI ist, dass die meisten Firmen nicht wissen, welchen potentiellen Risiken sie ausgesetzt sind. Meistens wissen die Firmen gar nicht, welche Risiken auftreten können und wie hoch die Wahrscheinlichkeit ist, dass diese Risiken auftreten. Es ist auch meistens schwer abzuschätzen, wie hoch der potentielle Schaden einer solchen Bedrohung ist. Das macht die Berechnung des RoSI ziemlich schwierig.
In den Warenkorb
74,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783836601061
Arbeit zitieren:
Schneider, Wolfgang September 2006: Bewertung von Sicherheitsanforderungen, Hamburg: Diplomica Verlag
Schlagworte:
Return on Investment, ROI, IT-Sicherheit, Kennzahl, Sicherheitsanalyse
Entdecken Sie mehr zum Thema
