DE102018216887A1 - Automatisches Abschätzen von Informationssicherheitsrisiken - Google Patents

Automatisches Abschätzen von Informationssicherheitsrisiken Download PDF

Info

Publication number
DE102018216887A1
DE102018216887A1 DE102018216887.3A DE102018216887A DE102018216887A1 DE 102018216887 A1 DE102018216887 A1 DE 102018216887A1 DE 102018216887 A DE102018216887 A DE 102018216887A DE 102018216887 A1 DE102018216887 A1 DE 102018216887A1
Authority
DE
Germany
Prior art keywords
attack
topology
information
probability
elements
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018216887.3A
Other languages
English (en)
Inventor
Sebastian Kurowski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Original Assignee
Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV filed Critical Fraunhofer Gesellschaft zur Forderung der Angewandten Forschung eV
Priority to DE102018216887.3A priority Critical patent/DE102018216887A1/de
Priority to JP2021518184A priority patent/JP7333814B2/ja
Priority to PCT/EP2019/076586 priority patent/WO2020070122A1/de
Priority to US17/281,556 priority patent/US20210367962A1/en
Publication of DE102018216887A1 publication Critical patent/DE102018216887A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum automatischen Abschätzen von Informationssicherheitsrisiken, insbesondere zum automatischen Abschätzen von Informationssicherheitsrisiken in einer Informationstechnik-, IT-, Infrastruktur, sowie ein entsprechendes System zum automatischen Abschätzen von Informationssicherheitsrisiken.

Description

  • Die Erfindung betrifft ein Verfahren zum automatischen Abschätzen von Informationssicherheitsrisiken, insbesondere zum automatischen Abschätzen von Informationssicherheitsrisiken in einer Informationstechnik-, IT-, Infrastruktur, sowie ein entsprechendes System zum automatischen Abschätzen von Informationssicherheitsrisiken.
  • Motivation
  • Das Abschätzen der Informationssicherheit ist ein Unterfangen, welches sowohl die Komplexität der betrachteten Informationstechnik-, IT-, und (Computerprogramm-) Anwendungsverbünde, als auch die vielfältig mögliche Einschätzung von Gefahren berücksichtigen muss. So muss im Zuge von Risikobewertungen die Identifikation möglicher Schadenszenarien oder Schadensereignisse, also einer möglichen Schadenshöhen oder einer möglichen Schadensschwere und deren jeweiliger Wahrscheinlichkeiten vorgenommen werden. Entsprechend zielen Ansätze zur Risikobewertung hauptsächlich auf eine Reduktion der Komplexität der betrachteten Topologie durch Aggregation und Abstraktion ab. Der Vorgang dieser Aggregation oder Abstraktion ist jedoch häufig nur unzureichend dokumentiert, so dass dabei getätigte Fehlentscheidungen später nicht nachvollziehbar sind. Die Konsequenz hieraus ist eine Ab- oder Überbewertung von Risiken und damit verbundene überzogene oder nicht getätigte Maßnahmen zur Risikoadressierung oder Verringerung des Informationssicherheitsrisikos.
  • Die interpretivistische Natur von Risikoanalysen bedingt darüber hinaus, dass Schadenshöhen und Eintrittswahrscheinlichkeiten individuell unterschiedlich abgeschätzt werden können (vgl. hierzu R. Baskerville, „Risk analysis as a source of professional knowledge", in: Computers & Security, 10, 8 (1991), S. 749-764). Während dabei jedoch je nach Art der betrachteten Infrastruktur große Einigkeit zwischen der Bewertung unterschiedlicher Schadenshöhen besteht, zeigt sich jedoch professions- und tätigkeitsbedingt eine unterschiedliche Bewertung der Materialisierungswahrscheinlichkeit eben dieser Schäden in Abhängigkeit des subjektiven Erwartungshorizonts der mit der Bewertung beschäftigten Person (vgl. E. Albrechtsen und J. Hoven, „The information security digital divide between information security managers and users“, in: Computers & Security, 28, 6 (September 2009), S. 476-490). Durch den hohen Abstraktionsgrad können diese Wahrscheinlichkeiten in der Regel nur schwer nachvollziehbar dokumentiert und diskutiert werden. So ist beispielsweise der Erfolg einer bestimmten Netzwerkattacke in einen Informationstechnik (IT)-Verbund oder die Wahrscheinlichkeit des Aufbrechens einer Bürotür anhand konkreter Beispiele diskutierbar, während die Materialisierungswahrscheinlichkeit, beispielsweise des Abflusses von Kundendaten, durch vielfältige Faktoren und Kausalitäten geprägt sein kann, und entsprechend aufwändig und schwer diskutierbar ist. Dies sorgt auch dafür, dass die getroffenen Gegenmaßnahmen stark von Hintergrund, Expertise und Prioritäten des jeweiligen Risikoassessors und nicht von tatsächlich existierenden Angriffsmöglichkeiten abhängen.
  • Zwar ermöglichen Risikoanalysen auf der Basis von Angriffsbäumen die Risikobewertung für Angriffsschritte in einer Infrastruktur, beispielsweise einem IT-Verbund, jedoch sind diese Ansätze nur mit einem entsprechend hohen Aufwand an Dokumentation und Analyse durchführbar. Somit sind diese Ansätze bei der Betrachtung von IT-Verbünden wenig brauchbar. Weiterhin führt die verstärkte Forderung von risikobasierenden Informations- und Datensicherheitsansätzen, wie sie auch durch Legislativen wie die EU-Datenschutzgrundverordnung (EU-DSGVO) oder das Bundesdatenschutzgesetz (BDSG), als auch von industriellen Rahmenwerken wie dem VDA Information Security Assessment v4 gefordert werden, zu einer Verschärfung der beschriebenen Problematik. Dabei werden häufig die regelmäßige Durchführung von Risikobewertung, sowie Neubewertung bei Änderung in der Infrastruktur, beispielsweise des IT-Verbunds, gefordert.
  • Technisches Problem
  • Risikoanalysen stellen wie beschrieben die grundlegende Rechtfertigung für jegliche strukturierte organisatorische Implementation von der Informationssicherheitsmaßnahmen dar. Jede Anschaffung, jedes Programm, jede Maßnahme ist letztlich immer durch die Adressierung eines antizipierten oder abgeschätzten Risikos der Informationssicherheit gerechtfertigt. Ein Risiko umfasst dabei die Korrelation von zu erwartenden Schäden mit deren Materialisierungs- oder Eintrittswahrscheinlichkeit.
  • Dabei werden zu erwartende Schäden und Materialisierungswahrscheinlichkeiten unter Anwendung eines Schadensszenarios oder Schadensereignisses antizipiert. Die Materialisierungswahrscheinlichkeiten können jedoch stark variieren, denn die dahinterliegenden möglichen Angriffspfade, die zur Materialisierung eines Schadens führen können, sind in der Regel vielfältig. So kann beispielsweise ein Abfluss von Kundendaten in einem Unternehmen sowohl über Schwächen im IT-Verbund, dem Anwerben von Mitarbeitern, Spearphishing, durch das Eindringen in den physischen Perimeter der Organisation oder durch eine Kombination dieser Schritte erreicht werden. All diese Schritte und deren Kombinationen können jeweils einen eigenen Angriffspfad darstellen.
  • Bisheriger Lösungsansatz
  • Aktuelle Ansätze der Risikoanalyse nutzen in der Regel Top-Down Ansätze, in welchen die Materialisierungswahrscheinlichkeit mit variierenden Dokumentationsgrad und variierenden Experteneinbezug durch Konsensfindung bestimmt wird. Dies hat jedoch zur Folge, dass die ermittelte Materialisierungswahrscheinlichkeit stark von den Präferenzen der bestimmenden Experten, der Risikoassessoren, abhängt. Weiterhin ist eine nachvollziehbare Dokumentation in diesen Ansätzen mit hohem Aufwand verbunden. Diese Schwäche teilen alle Ansätze, wie der Facilitated Risk Analysis Process (FRAP), NIST SP800-30, OCTAVE, oder Risikoanalyseansätze nach ISO/IEC 27005.
  • Auf der anderen Seite stehen Ansätze, die einen hohen Formalisierungsgrad einher bringen. So können beispielsweise durch die Failure Mode Error Analysis (FMEA) jeweils die zu einem Schadensereignis führenden Vorbedingungen mit dokumentiert werden. Dieses Verfahren ist jedoch nur in der Lage Angriffspfade in Form abstrahierter Vorbedingungen eines Schadensereignisses zu berücksichtigen. Verfahren mit einem noch höheren Formalisierungsgrad wie beispielsweise die Modellierung von Fehlerbäumen (Fault Tree Analysis; FTA) beziehungsweise die Modellierung von Angriffsbäumen beziehungsweise Angriffspfaden gehen jeweils mit einem enorm hohen Dokumentationsaufwand einher.
  • Gerade die Modellierung der Angriffspfade ermöglicht dabei jedoch eine fundierte, präzise und nachvollziehbare Diskussion der Wahrscheinlichkeiten, denn sie wird nicht über die Materialisierungswahrscheinlichkeit eines Schadensereignisses geführt, sondern über die Erfolgswahrscheinlichkeit eines Angriffsschritts. Somit kann die Diskussion wesentlich präziser und knapper geführt und dokumentiert werden. Beispielsweise fällt es leichter sich über die Wahrscheinlichkeit, dass ein Angreifer ein bestimmtes Türschloss einer bestimmten Marke knackt zu unterhalten, als über die Wahrscheinlichkeit des wesentlich abstrakteren Abflusses von Kundendaten.
  • Jedoch nutzen Risikoanalysen (oder Risikoabschätzungen) in Unternehmen diesen Ansatz aufgrund des schier unendlichen Dokumentationsaufwands nicht, sondern greifen auf abstrakte Methoden wie FRAP, NIST SP800-30, OCTAVE oder Ansätzen nach ISO/IEC 27005 zurück. Der reduzierte Formalisierungsgrad hat jedoch nachteilige Konsequenzen:
    • - Erschwerte Nachvollziehbarkeit von Veränderungen Aufgrund des hohen Abstraktionsgrads können Veränderungen der betrachteten Topologie, beispielsweise der IT-Infrastruktur und/oder der Prozess- oder Ablaufstruktur und/oder der Gebäudeinfrastruktur und/oder der Bedrohungslage und/oder von getroffenen Gegen- oder Sicherheitsmaßnahmen, nur erschwert eingearbeitet werden. Durch den hohen Abstraktionsgrad besteht hierbei ein großes Fehlerrisiko. Oft können die Folgen dieser Veränderungen gar nicht berücksichtigt werden.
    • - Erschwerte Nachvollziehbarkeit von Risiko-ein-oder-abschätzungen Aufgrund der starken Subjektivität des Ansatzes können die Einschätzungen der Wahrscheinlichkeiten und somit die Einschätzungen des Risikos stark zwischen den bei der Analyse Beteiligten schwanken. Diese Einschätzungen sind oft nicht oder nur schwer nachvollziehbar und können kaum angepasst werden.
  • Um dies zu umgehen nutzt die EP 2 816 773 A1 Angriffspfade um ein Risiko abzuschätzen. Allerdings beziehen sich diese Angriffspfade ausschließlich auf Netzwerkelemente. So beinhaltet ein Angriffsschritt in einem Angriffspfad Ein- und Ausgangsinformationen bspw. IP und Port und die jeweilige ausgenutzte Verwundbarkeit. Diese Verwundbarkeiten werden in die Netzwerkknoten modelliert. Außerdem wird zur Risikoabschätzung die Abschätzung eines quantitativen Schwierigkeitsgrads benötigt. Das benötigt der beanspruchte Ansatz nicht, wie unten ausgeführt.
  • Die US 2006 021 048 A ermittelt mögliche Angriffspfade indem Verwundbarkeiten mit Netzwerkelementen verknüpft werden. Anschließend kann die Ausnutzung der entsprechenden Netzwerkelemente ermittelt werden. Ein Angriffspfad ist hier die Summe aller ausgenutzten Verwundbarkeiten. Anschließend wird ein Time-to-Defeat-Wert ermittelt. Dieses Verfahren ist nicht in der Lage Angriffspfade jenseits von Netzwerkelementen abzubilden, also beispielsweise den Einfluss von Eigenschaften eines Türschlosses. Außerdem erfolgt keine Risikoabschätzung auf Basis des Angriffspfads.
  • Die US 2005 193 430 A nutzt Informationen zur Verwundbarkeit und zu einem bestehenden Computernetzwerk, um in diesem mögliche Angriffe zu simulieren. Hierdurch soll die Wahrscheinlichkeit ermittelt werden, mit welcher durch die Verwundbarkeiten ein Angriff materialisiert werden kann. Durch die Zuweisung von Verwundbarkeiten ist das Verfahren jedoch auf Schwachstellen von IT-Netzwerken und IT-Netzwerkkomponenten begrenzt. Das beschriebene Verfahren wird ausschließlich zur Analyse von IT-Netzwerken herangezogen. Außerdem kann das Verfahren nur mit strukturellen Informationen in IT-Netzwerken (Verbindungen zwischen Geräten) umgehen.
  • In der US 2017 046 519 A werden keine Angriffspfade ermittelt. Vielmehr werden hier Verwundbarkeiten in einem Netzwerk detektiert. Diese werden in Abhängigkeit zueinander gebracht. Hieraus wird ein Hidden Markov Model erzeugt. Damit kann dann eine Kette von Verwundbarkeiten genutzt werden um eine Angriffswahrscheinlichkeit abzuschätzen. Hierdurch ist das Patent jedoch auch auf den Einsatz von spezifischen Verwundbarkeiten in IT-Netzwerken beschränkt.
  • Der Erfindung liegt somit die Aufgabe zu Grunde, die bestehenden Probleme bekannter Verfahren zu überwinden und ein flexibles, mit geringem Aufwand an veränderte Bedingungen anpassbares Abschätzen von Risiken zu ermöglichen.
  • Diese Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen ergeben sich aus den abhängigen Patentansprüchen, der Beschreibung und den Figuren.
  • Um die beschriebene Problematik zu adressieren, wird daher im Folgenden ein automatisierter Ansatz zur Entwicklung von Angriffsbäumen, sowie darauf aufbauend ein Ansatz zur Ermittlung der Eintritts- oder Materialisierungswahrscheinlichkeit von Schadensereignissen oder Schadenszenarien bereitgestellt. Dem beschriebenen Ansatz liegt dabei die Erkenntnis zugrunde, dass es vorteilhaft ist, die Logik oder Annahmen eines Angriffs, also die Angriffslogik, von der Modellierung der Topologie, welche dem jeweils betrachteten System oder der jeweils betrachteten Infrastruktur zugrunde liegt, zu trennen. Hierdurch kann das Abschätzen der Informationssicherheitsrisiken auch als dezentraler Prozess organisiert werden, beispielsweise zwischen Unternehmen oder Unternehmensteilen ausgetauscht werden, da beispielsweise die Angriffslogik zentral durch entsprechend spezialisiertes IT-Sicherheitspersonal bereitgestellt werden kann, und zwar unabhängig von der Topologie, auf welche sie dann angewandt wird. Der beschriebene Ansatz sieht dementsprechend wie im Folgenden genauer beschrieben, die folgenden Schritte vor: Modellierung der Topologie, Modellierung der Angriffslogik, Modellierung der Risikoannahmen, Durchführen der Risikoanalyse, das heißt Abschätzen des Informationssicherheitsrisikos.
  • Ein Aspekt betrifft ein Verfahren zum automatischen Abschätzen von Informationssicherheitsrisiken in einer Infrastruktur, insbesondere zum automatischen Abschätzen von Informationssicherheitsrisiken in einer Infrastruktur, welche eine Informationstechnik (IT)-Infrastruktur beinhaltet oder eine solche ist, mit einer Reihe von Verfahrensschritten. Die Infrastruktur kann also insbesondere eine IT-Infrastruktur und zusätzlich eine von der IT-Infrastruktur verschiedene Infrastruktur, beispielsweise eine physische Infrastruktur wie eine Gebäudeinfrastruktur umfassen.
  • Ein erster Verfahrensschritt ist dabei ein Bereitstellen einer Topologie-Information an eine Abschätzeinheit, wobei die Topologie-Information mehrere vorgegebene technische Topologie-Elemente der Infrastruktur, beispielsweise eine Tür oder ein Router, mit jeweils zumindest einer von mehreren vorgegebenen technischen Eigenschaften, beispielsweise ein Türschloss eines bestimmten Typs oder eine auf dem Router laufende spezifische Software oder eine Version des Routers, definiert. Die dem jeweiligen Topologie-Element zugeordnete Eigenschaft oder Eigenschaften können somit auch durch den Typ des Topologie-Elements implizit vorgegeben oder definiert sein. Der Typ kann sich dabei auf eine Art, beispielsweise Tür oder Router, beziehen, oder aber auch auf eine unterschiedliche Version eines Elements der gleichen Art, beispielsweise Router Typ A, Router Typ B.
  • Ein weiterer Verfahrensschritt ist ein Zuordnen zumindest eines Schadensereignisses oder Schadensszenarios mit einem vorgegebenen Schadensschwere-Indikatorwert, welcher eine Schadenshöhe repräsentieren kann, zu zumindest einem der Topologie-Elemente. Ein Schadensereignis oder Schadensszenario kann dabei auch mehrere Einzel-Schadensereignisse umfassen.
  • Ein nächster Verfahrensschritt ist das Bereitstellen einer Angriffslogik-Information an die Abschätzeinheit, wobei die Angriffslogik-Information mehrere vorgegebene technische Angriffsschritte definiert. Jeder Angriffsschritt kann hier eine Manipulation repräsentieren, welche an entsprechende Eigenschaften, welche den Topologie-Elementen zugeordnet sein können, geknüpft ist. So ist beispielsweise ein Angriffsschritt „Schloss (Typ A) aufbrechen“ an die Eigenschaft „Schloss (Typ A)“ geknüpft. Ein derartiger Angriffsschritt kann dann eine von der Eigenschaft abhängige Erfolgswahrscheinlichkeit umfassen, beispielsweise kann die Wahrscheinlichkeit eines erfolgreichen Angriffsschritts „Schloss (Typ A) aufbrechen“ geringer sein als die Erfolgswahrscheinlichkeit eines Angriffsschritts „Schloss (Typ B) aufbrechen“.
  • Entsprechend beziehen sich die Angriffsschritte jeweils auf zumindest eine der mehreren vorgegebenen Eigenschaften, wie beispielsweise dem Schloss, wobei die Eigenschaften ihrerseits wiederum bestimmten Topologie-Elementen zugeordnet sein können, und umfassen jeweils eine Erfolgswahrscheinlichkeit, welche insbesondere von der oder den jeweiligen Eigenschaften, auf welche der jeweilige Angriffsschritt sich bezieht, abhängig ist. Dadurch kann unabhängig von der Topologie-Information auch eine Angriffsschritt-Bibliothek erzeugt werden, bei welcher unabhängig von dem tatsächlichen späteren Gebrauch in dem Verfahren für eine Reihe von vorgegebenen Eigenschaften, beispielsweise verschiedenen Schlosstypen von Türen oder verschiedenen Routertypen oder unterschiedlichen Software-Komponenten eines Routers und dergleichen, Angriffsschritte mit jeweiligen Erfolgswahrscheinlichkeiten hinterlegt sind. Somit können bei dem weiter unten erfolgenden beschriebenen Erzeugen von Angriffspfaden ausgehend von der Topologie-Information anhand der dort für die jeweiligen Topologie-Elemente vorgegebenen Eigenschaften die passenden Angriffsschritte automatisch ausgewählt und bei dem automatischen Abschätzen des Informationssicherheitsrisikos berücksichtigt werden.
  • Ein weiterer Verfahrensschritt ist dabei ein Vorgeben oder Festlegen einer Methode einer Wahrscheinlichkeitspropagation, insbesondere ein Auswählen einer von mehreren vorgegebenen Methoden einer Wahrscheinlichkeitspropagation, für das Kombinieren der Erfolgswahrscheinlichkeiten von miteinander (beispielsweise über eine oder mehrere Topologie-Elemente) verknüpften oder miteinander (beispielsweise innerhalb eines Topologie-Elementes) wechselwirkenden Angriffsschritten. Miteinander wechselwirkende Angriffsschritte, also Angriffsschritte, welche beispielsweise erst durch einen anderen Angriffsschritt ermöglicht werden, können auch als einander bedingende Angriffsschritte bezeichnet werden.
  • Durch die Wahl oder das Festlegen der Methode der Wahrscheinlichkeitspropagation wird hier vorgegeben, wie die Erfolgswahrscheinlichkeiten der einzelnen Angriffsschritte bei dem weiter unten beschriebenen Berechnen der Gesamtwahrscheinlichkeit seriellen Abfolge von Angriffsschritten oder von parallel durchführbaren Angriffsschritten, welche miteinander wechselwirken, berechnet wird. So kann beispielsweise festgelegt und damit ausgewählt werden, dass einer Erfolgswahrscheinlichkeit, welche an einem Punkt eines Angriffspfades, beispielsweise in einem Topologie-Element vorliegt, das ein Maximalsicherheits-Prinzip gewählt wird, also jeweils die größere Erfolgswahrscheinlichkeit der gemäß dem Angriffspfad erforderlichen vorangehenden Angriffsschritte berücksichtigt wird (beispielsweise bei einer „or“ oder „xor“-Propagierung) oder beispielsweise eine Multiplikation oder ein Mittelwertbilden der unterschiedlichen Erfolgswahrscheinlichkeiten erfolgt (beispielsweise bei einer „and“-Propagation).
  • Ist beispielsweise eine Tür A mit Schloss von Typ A zu durchdringen, bevor eine Tür B mit Schloss vom Typ B überwunden werden muss und ist die Erfolgswahrscheinlichkeit des Überwindens eines Schloss vom Typ A gering, während die des Überwindens eines Schloss vom Typ B hoch ist, so wäre nach dem Maximalsicherheits-Prinzip die Erfolgswahrscheinlichkeit Tür B zu überwinden ebenfalls gering, da hierfür zunächst Tür A mit einem Schloss von Typ A überwunden werden müsste. Alternativ könnte beispielsweise auch der Mittelwert der beiden Erfolgswahrscheinlichkeiten für das Überwinden der Schlösser gebildet und der berechnete Mittelwert dann im Folgenden als jeweilige Erfolgswahrscheinlichkeit genutzt werden.
  • Schließlich erfolgt als weiterer Schritt das automatische Abschätzen des Informationssicherheitsrisikos durch die Abschätzeinheit. Unter automatisch kann hier verstanden werden, dass bei erfolgreichem Abschluss der zuvor beschriebenen Verfahrensschritte durch eine Bedienperson keine weitere Eingabe an die Abschätzeinheit erforderlich ist, um das geschätzte Informationssicherheitsrisiko zu erhalten oder einen entsprechenden Vorschlag für eine technische Anpassung der Infrastruktur.
  • Ein Teil des Abschätzens ist hier ein (bevorzugt automatisches) Erzeugen einer Vielzahl von Angriffspfaden, insbesondere aller logisch und/oder kombinatorisch möglichen Angriffspfade oder zumindest von einem Angriffspfad, basierend auf der bereitgestellten Topologie-Information und der bereitgestellten Angriffslogik-Information. Dabei verknüpft ein Angriffspfad zumindest ein Topologie-Element und ein weiteres Topologie-Element durch zumindest einen Angriffsschritt, welcher sich auf die vorgegebenen jeweiligen Eigenschaften der Topologie-Elemente des Angriffspfads bezieht. Ein Angriffspfad kann also beschreiben, mit welcher Erfolgswahrscheinlichkeit ein Angreifer von einem Topologie-Element zu einem über einen entsprechenden Angriffsschritt mit dem Topologie-Element verknüpften weiteren Topologie-Element gelangen kann. Dabei kann ein Angriffspfad auch eine Reihe von Angriffsschritten, welche eine Reihe von Topologie-Elementen verknüpfen, umfassen.
  • Angriffspfade können sich auch kreuzen oder miteinander verschmelzen, beispielsweise, wenn ein Angreifer erst von einer öffentlich zugänglichen Tür über einen Angriff in einen hinter der Tür liegenden Raum gelangen muss, in welchem beispielsweise ein Router steht, um dort einen gewissen weiteren Angriffsschritt durchführen zu können, welcher die physische Präsenz des Angreifers am Ort des Routers erfordert. Entsprechend können sich Angriffspfade auch aufspalten, beispielsweise indem der Angreifer, so er in dem beschriebenen Beispiel einmal am Ort des Routers ist, sich entweder von dort weiter in einen Rechner einhackt, auf welchem sensible Daten gespeichert sind, oder aber vom Ort des Routers sich physisch zum Ort des Rechners begibt und dort die sensible Information ausliest.
  • Auch Teil des automatischen Abschätzens ist ein bevorzugt automatisch erfolgendes jeweiliges Überprüfen der erzeugten Angriffspfade dahingehend, ob der jeweilige Angriffspfad ein Topologie-Element betrifft, zu welchem ein Schadensereignis zugeordnet wurde. Bei einem positiven Überprüfungsergebnis, insbesondere nur bei einem positiven Überprüfungsergebnis, kann dann ein bevorzugt automatisches Berechnen einer Eintrittswahrscheinlichkeit oder Gesamtwahrscheinlichkeit für das Schadensereignis des Topologie-Elementes, welches von dem Angriffspfad betroffen ist, in Abhängigkeit der Erfolgswahrscheinlichkeiten der Angriffsschritte, welche gemäß dem jeweiligen Angriffspfad, oder den jeweiligen Angriffspfaden, welche das Topologie-Element mit dem zugeordneten Schadensereignis betreffen, entsprechend der ausgewählten Methode der Wahrscheinlichkeitspropagation. Über die Wahl der Wahrscheinlichkeitspropagation kann somit eine allgemeine Tendenz in der Abschätzung beeinflusst werden, beispielsweise tendenziell höhere Erfolgswahrscheinlichkeiten stärker berücksichtigt werden als geringere oder umgekehrt.
  • Weiterhin Teil des automatischen Abschätzens ist ein bevorzugt automatisches Ausgeben des geschätzten Informationssicherheitsrisikos in Abhängigkeit von der berechneten Gesamtwahrscheinlichkeit und dem Schadensschwere-Indikatorwert. Beispielsweise kann das Informationssicherheitsrisiko als proportional zu einem Produkt der Gesamtwahrscheinlichkeit mit dem Schadensschwere-Indikatorwert abgeschätzt und ausgegeben werden. Das Ausgeben kann ein Anzeigen auf einer Anzeigeeinrichtung, ein Abspeichern auf einem Datenträger, oder ein sonstiges Bereitstellen umfassen.
  • Alternativ oder ergänzend zu dem Ausgeben kann das automatische Abschätzen auch ein bevorzugt automatisches Vorschlagen einer oder mehrerer Eigenschaften eines oder mehrerer Topologie-Elemente für eine technische Anpassung umfassen und/oder ein bevorzugt automatisches Anpassen einer oder mehrerer Eigenschaften eines der mehreren Topologie-Elemente, um das Informationssicherheitsrisiko zu verringern. Beispielsweise kann dies durch Bereitstellen einer Bibliothek von Gegenmaßnahmen erfolgen, welche mit jeweiligen Angriffsschritten verknüpft sind. Die Abschätzeinheit kann dann beispielsweise anhand der Angriffsschritte, deren Erfolgswahrscheinlichkeit am meisten zu der Gesamtwahrscheinlichkeit beiträgt, ein oder mehrere Gegenmaßnahmen vorschlagen oder einleiten, welche folglich am stärksten dazu beitragen, die Gesamtwahrscheinlichkeit und damit das Informationssicherheitsrisiko zu verringern.
  • Dabei kann zumindest einer der beschriebenen Verfahrensschritte, also ein, mehrere oder alle beschriebenen Verfahrensschritte, auf einem Computer durchgeführt werden.
  • Dieser Ansatz löst die eingangs beschriebenen Probleme indem die Modellierung der Angriffsschritte und damit der Angriffslogik (Was muss ein Angreifer tun um zu einem Ziel zu kommen) von der Modellierung der Topologie (Auf was kann sich ein Schritt beziehen) abgrenzt.
  • Das hat den Vorteil, dass IT-Sicherheitsexperten generische Angriffsschritte und damit Angriffspfade modellieren können. Innerhalb der generischen Angriffsschritte oder Angriffspfade werden die Erfolgswahrscheinlichkeiten der Angriffsschritte festgelegt. Die Modellierung der Topologie kann dann beispielsweise durch spezifische Fachbereiche vorgenommen werden. Mithilfe des vorgeschlagenen Verfahrens werden nun die generischen Angriffsschritte auf die modellierte Topologie angewendet. Dabei wird geprüft, ob ein Angriffsschritt zu einem bestimmten Zeitpunkt auf ein Element der Topologie angewendet werden kann (Beispielsweise kann das Erraten von Passwörtern lediglich auf, durch Passwort geschützte Elemente der Topologie angewendet werden oder das Knacken eines Schlosses lediglich auf Elemente mit einem Schloss). Ist dies der Fall, wird ein entsprechender Angriffspfad aufgebaut. Mündet dieser Angriffspfad in einem Schadensszenario, so kann dieser Angriffspfad für das Abschätzen des Informationssicherheitsrisikos weiter berücksichtigt werden, beispielsweise gespeichert und dargestellt werden. Die Abschätzeinheit prüft dabei die erstellten Angriffspfade und ermittelt die Gesamtwahrscheinlichkeit für das Schadensereignis oder - szenario aus den Erfolgswahrscheinlichkeiten der angewendeten Angriffsschritte. Somit ergeben sich nach erfolgter Durchführung des Verfahrens:
    • - Angriffspfade, die unter den aktuellen Annahmen (beispielsweise über generische Angriffspfade) zutreffend sind Die modellierten (generischen) Angriffspfade zeigen die Annahmen auf, unter welchen die Analyse durchgeführt wurde. Werden beispielsweise nur informationstechnische oder nur physische Angriffe angenommen, so spiegelt sich dies in den Angriffspfaden wieder. Die aus der Analyse erstellten Angriffspfade zeigen nun die tatsächlich auf die Topologie zutreffenden Angriffe auf und können zur Auswahl und Priorisierung von Gegenmaßnahmen genutzt werden.
    • - Informationssicherheitsrisiken, die auf die aktuelle Topologie mit den aktuellen Gegenmaßnahmen zutreffend sind Durch die automatische Erarbeitung zutreffender Angriffspfade, sowie der Ermittlung der Erfolgswahrscheinlichkeit eines Angriffs, beziehungsweise Gesamtwahrscheinlichkeit können gemeinsam mit den angenommenen Schadenshöhen zur Darstellung der Informationssicherheitsrisiken genutzt werden.
  • Da die Modellierung der Topologie von der Modellierung der Angriffsschritte getrennt wird, kann dieses Verfahren mit einem geringeren Aufwand durchgeführt werden. Durch die automatisierte Ermittlung der anwendbaren Angriffspfade können die modellierten Angriffsschritte (beispielsweis in Form von generischen Angriffspfaden) wiederverwertet werden, wodurch wiederum der Aufwand sinkt und die Flexibilität steigt.
  • Weiterhin zeigt das Verfahren somit nachvollziehbar die möglichen Materialisierungsarten eines Risikos, sowie die ermittelte Materialisierungs- oder Gesamtwahrscheinlichkeit auf. Änderungen der (generischen) Angriffspfade, beispielsweise durch Veränderungen in der Bedrohungslandschaft, oder Veränderungen der Topologie und Gegenmaßnahmen können direkt in den jeweiligen Modellen nachvollzogen werden. Deren Einfluss auf die Veränderung der ermittelten Risiken und Angriffspfade wird direkt ersichtlich.
  • Das Verfahren bietet somit:
    1. 1. Ein automatisiertes Verfahren zur angriffspfadorientierten Risikoanalyse, welches in der Lage ist mit geringem Aufwand nachvollziehbar Risiken und Veränderungen dieser Risiken durch Veränderungen in der Topologie, Bedrohungslandschaft, Gegenmaßnahmen, oder sich verändernden Annahmen der Risikoanalyse darzustellen.
    2. 2. Ein Verfahren, welches die automatisierte Wahrscheinlichkeitsbewertung von durch die Angriffspfade gebildeten Angriffsbäumen ermöglicht
    3. 3. Ein Verfahren, dass Arbeitsteilung und Sacharbeit in der Risikoanalyse und der Priorisierung von Sicherheitsmaßnahmen ermöglicht, indem sicherheitsspezifische Modellierungsaspekte von topologie- bzw. fachspezifischen Modellierungsaspekten getrennt sind.
    4. 4. Ein Verfahren, welches sich leicht in bestehende Risikoanalyseansätze integrieren lässt
  • Im Vergleich zu dem bisher bekannten Verfahren bietet der beschriebene Ansatz somit die folgenden Vorteile:
  • Steigerung der Nachvollziehbarkeit und Zurechenbarkeit von Risikoabschätzungen oder Analysen
  • Durch das beschriebene Verfahren werden Topologie und Annahmen der Risikoanalyse, also Annahmen bezüglich der Angriffslogik und Risikoannahmen voneinander getrennt, wohingegen diese bei bisherigen Verfahren in der Regel in Textform gemeinsam dokumentiert werden. Diese Trennung ermöglicht es, entstehende Angriffspfade und somit die Entscheidungsgrundlage der Risikoanalyse auf Veränderungen in der Angriffslogik, den Risikoannahmen oder der Topologie isoliert zurückzuführen. Dadurch können auch neue entstehende Angriffspfade und damit verbundene wirksame Gegenmaßnahmen eindeutig begründet werden.
  • Übertragbarkeit von Ergebnissen
  • Da der Betrachtungsgegenstand, also die Topologie, welche beispielsweise eine Infrastruktur beschreibt, und die Annahmen, also vorliegend die Angriffslogik und die Risikoannahmen, voneinander getrennt modelliert werden, können Ergebnisse übertragen werden. So können gleichartige Topologien mit dem gleichen Topologie-Modell analysiert werden. Die modellierte Angriffslogik kann ihrerseits für verschiedene Topologien genutzt werden. So kann beispielsweise eine unternehmensweite Angriffslogik durch eine zentrale Geschäftseinheit oder einen externen Dienstleister oder eine Einzelperson modelliert und dokumentiert werden. Diese Logik kann nun dem jeweiligen Verantwortlichen für die Topologie, beispielsweise einem Service-Owner, zur Analyse bereitgestellt werden. Schließlich ermöglicht die Modellierung der Risikoannahmen den Vergleich und die Verfeinerung bereits bestehender Ansätze, wie die Implementierungen der ISO/IEC 27005, NIST SP800-30, oder OCTAVE.
  • Reduzierung der Reaktionszeit bei Umwelt- und Sachänderungen
  • Durch Trennung der unterschiedlichen Modellierungsaspekte und durch die automatisierte Angriffspfaderzeugung kann die Risikoanalyse oder Risikoabschätzung präventiv oder ad-hoc nach Umwelt- oder Sachveränderungen durchgeführt werden. So kann die Angriffslogik beispielsweise bei neu entstehenden Angriffen wie Exploits oder der zunehmenden Verbreitung von WiFi-Auditing-Plattformen angepasst werden. Da durch neu entstehende Angriffspfade und sich verändernde Risiken, beispielsweise durch einen Anstieg der Materialisierungswahrscheinlichkeit eines Schadensszenarios, können nun automatisch ermittelt werden. So können beispielsweise Auslöseereignisse vorgesehen sein, welche das automatische Abschätzen eines Informationssicherheitsrisikos durch die Abschätzeinheit starten, beispielsweise wenn eine aktualisierte Angriffslogik-Information bereitgestellt wird.
  • Gleiches gilt für die Modellierung neuer Schwachstellen in der Topologie oder für Veränderungen durch Hinzufügen oder Entfernen von Topologie-Elementen oder Topologie-Verbindungen. Beispielsweise kann so automatisch bei Neuanmietung eines zusätzlichen Gebäudes die Topologie-Information aktualisiert werden, und automatisch mit Bereitstellen der aktualisierten Topologie-Information das Informationssicherheitsrisiko neu abgeschätzt werden. Durch die automatische Durchführung und der Möglichkeit, Änderungen getrennt in der Topologie-Information und der Angriffslogik-Information zu modellieren, kann das Risiko von Umwelt- oder Sachänderungen, schneller, kostengünstiger und einfacher abgeschätzt werden. Hierdurch kann schneller auf diese Änderungen seitens der Informationssicherheit reagiert werden.
  • Drastische Reduzierung der Aufwände zur Durchführung einer Risikoabschätzung oder Risikoanalyse
  • Aktuelle Ansätze zur Durchführung einer Risikoanalyse wie das NIST SP800-30, OKTAVE, FRAP oder Implementierungen der ISO/IEC 27005 sehen aktuell entweder das Zusammenführen von Experten aus unterschiedlichen Geschäftsbereichen außerhalb der Informationssicherheit, die Durchführung mehrerer Meetings oder die Erstellung mehrseitiger Dokumente vor. Das beschriebene Verfahren benötigt lediglich eine kontinuierliche Anpassung der Angriffslogik sowie eine Anpassung oder, bei Einführung, eine erstmalige Modellierung der zu betrachtenden Topologie, beispielsweise einer Gebäudeinfrastruktur und/oder einer IT-Infrastruktur. Hierdurch ist eine kontinuierliche Durchführung der Analyse kostengünstig und arbeitsteilig möglich.
  • Damit unterscheidet sich der Ansatz maßgeblich von beispielsweise der EP 2 816 773 A1 , da wir die logische Abhängigkeit zwischen Angriffsschritten modellieren, wobei ein Angriffsschritt eine Tätigkeit oder Manipulation sein kann, die in An- oder Abwesenheit bestimmter Eigenschaften eines Topologie-Elements angewendet werden kann. Diese Eigenschaften beinhalten neben möglichen Schwachstellen oder Verwundbarkeiten auch die Existenz einer bestimmten Version, oder die Ab- beziehungsweise Anwesenheit einer bestimmten Sicherheitsmaßnahme. Den Topologie-Elementen wird zu keinem Zeitpunkt eine Verwundbarkeit oder dergleichen zugewiesen, dies erfolgt vielmehr entkoppelt von den Topologie-Elementen über die Vorgabe Angriffsschritte in der Angriffslogik-Information.
  • Zum einen ist erst hierdurch Arbeitsteilung möglich (Topologie wird gesondert von den Angriffsschritten modelliert). Zum Anderen ist das Verfahren damit nicht nur auf Netzwerkelemente beschränkt sondern kann beispielsweise auch Gebäude-Elemente oder sonstige Infrastruktur-Elemente umfassen. Ein Angriffspfad ist im beschriebenen Verfahren nicht die Menge der ausgenutzten Schwachstellen der Netzwerkelemente, sondern die Menge oder Verknüpfung möglicher Angriffsschritte auf Elementen einer beliebigen Topologie, insbesondere einer beliebigen Infrastruktur. Da das Verfahren sämtliche Angriffspfade ermitteln kann, ohne dass hierzu Verwundbarkeiten in Relation zueinander gesetzt werden müssen, ist das Verfahren auch nicht auf IT-Netzwerke beschränkt.
  • So kann mit dem hier beschriebenen Verfahren beispielsweise auch (ergänzend oder alternativ) das physische Eindringen in einen Sicherheitsbereich durch Verfolgen eines Mitarbeiters und das anschließende Einspielen von Schadsoftware abgebildet werden. Des Weiteren kann das beschriebene Verfahren die Kommunikation zwischen Netzwerkelementen und (IT-)Diensten berücksichtigen. Somit kann beispielsweise der Austausch von Accountdaten zwischen IT-Komponenten über verschiedene Subnetze hinweg ebenfalls abgebildet werden. Außerdem benötigt der beschriebene Ansatz zur Risikoabschätzung keine Abschätzung eines quantitativen Schwierigkeitsgrads, da vorliegend qualitative Risiken gemäß frei definierbarer Vorgaben abgeschätzt werden können.
  • In einer vorteilhaften Ausführungsform ist dabei vorgesehen, dass das Bereitstellen der Topologie-Information unabhängig und/oder gesondert und/oder getrennt von dem Bereitstellen der Angriffslogik-Information erfolgt. Das hat, wie oben auch eingängig beschrieben, den Vorteil der erhöhten Flexibilität und des verringerten Anpassungsaufwandes bei Änderungen in Topologie oder möglichen Angriffen.
  • In einer anderen vorteilhaften Ausführungsform ist vorgesehen, dass die Topologie-Information ein Informationstechnik-Netzwerk, insbesondere ein Informationstechnik-Netzwerk mit zumindest einem Router und/oder zumindest einem Rechner als Topologie-Elementen, und/oder einen Kabelbaum, insbesondere mit zumindest einem Anschluss und/oder einer Verzweigung als Topologie-Elemente, und/oder einen Gebäudekomplex, welcher ein einziges oder auch mehrere Gebäude umfassen kann, insbesondere mit zumindest einem Raum und/oder einer Tür und/oder zumindest einem Gang als Topologie-Elemente, und/oder ein Computer-(oder Anwendungs-)programm-Netzwerk, insbesondere mit zumindest einem Computer-(oder Anwendungs)programm und/oder einer Computer-(oder Anwendungs-)programm-Schnittstelle als Topologie-Elemente, und/oder ein sonstiges Produkt, beispielsweise ein Hardware-Produkt und/oder ein Software-Produkt oder allgemein ein als Graph darstellbares Produkt, beispielsweise ein Kraftfahrzeug, insbesondere mit zumindest einem Produktbestandteil als Topologie-Element, repräsentiert. Die Topologie-Information kann auch ein IT-Dienstenetzwerk und/oder Organisationen und/oder Organisationseinheiten und/oder ein soziotechnisches Informationssystem, beispielsweise mit Anwendungen (oder Anwendungsprogrammen) als Topologie-Elementen, repräsentieren.
  • Das hat den Vorteil, dass die beschriebene Flexibilität hinsichtlich der Bezugstopologie ausgenutzt wird und ein Informationssicherheitsrisiko für unterschiedliche der Topologie-Information zugrunde liegenden Infrastrukturen oder Produkte, sowie Kombinationen von qualitativ unterschiedlichen Infrastrukturen, insbesondere, wenn sie miteinander verwoben sind, genutzt werden können.
  • In einer weiteren vorteilhaften Ausführungsform ist vorgesehen, dass die Eigenschaften der Topologie-Elemente eine vorgegebene, insbesondere technische, Schwachstelle und/oder eine Typenbezeichnung, beispielsweise eine Versionsnummer und/oder einen Systemtyp, und/oder ein Vorhanden- oder Nichtvorhandensein einer vorgegebenen Sicherheitsmaßnahme repräsentieren. Das hat den Vorteil, dass die Angriffs-Schritte besonders effektiv den Eigenschaften und damit mittelbar den Topologie-Elementen zugeordnet werden können.
  • In einer besonders vorteilhaften Ausführungsform ist vorgesehen, dass die Topologie-Informationen durch die Abschätz-Einheit (bevorzugt automatisch) aufbereitet wird, indem ausgehend von den Topologie-Elementen eines vorgegebenen Typs, beispielsweise mit vorgegebenen Eigenschaften wie einer Tür, welche öffentlich zugänglich ist, über ein oder mehrere, bevorzugt alle, anderen Topologie-Elemente eine Tiefen- und/oder Breitensuche und/oder ein bekanntes ähnliches oder gleichwertiges Suchverfahren solange durchgeführt wird, bis sämtliche Kombinationen mit den Topologie-Elementen des vorgegebenen Typs, bei welchen es sich auch nur um ein einziges Topologie-Element handeln kann, unter Berücksichtigung der Angriffslogik-Information auf ihre Gültigkeit überprüft wurden. Dabei ist eine Kombination gültig, wenn die jeweiligen Topologie-Elemente der Kombination über Angriffsschritte verknüpfbar sind, welche sich jeweils auf zumindest eine der Eigenschaften derjenigen Topologie-Elemente beziehen, die sie verknüpfen.
  • Entsprechend werden dann bei dem Erzeugen der Angriffspfade durch die Abschätzeinheit die Angriffspfade entsprechend den gültigen und nicht den nicht gültigen Kombinationen erzeugt. Ausgehend von dem oder den Topologie-Elementen des vorgegebenen Typs wird also überprüft, welcher Angriffsschritt in welchem Topologie-Element (initial des vorgegebenen Typs) möglich ist und welches weitere Topologie-Element von dort mit dem passenden Angriffsschritt aus angegriffen werden kann. Die gültigen Kombinationen umfassen also eine Reihe von Topologie-Elementen, von welchen man durch zu den jeweiligen Topologie-Elementen passende Angriffe zu dem jeweils folgenden Topologie-Element der Kombination oder Reihe gelangen kann. So kann beispielsweise ein Angreifer über eine Tür im öffentlichen Raum mit einem Schloss knacken als Angriffsschritt in einen hinter der Tür liegenden privaten Raum gelangen, von wo aus er möglicherweise weitere Angriffsschritte zu weiteren Topologie-Elementen ausführen kann.
  • Das hat den Vorteil, dass die Anzahl der möglichen Kombinationen an Topologie-Elementen, welche realen Bedrohungs- bzw. Schadensszenarien entsprechen, ausgefiltert und berechnet werden, so dass insgesamt die Effizienz des Verfahrens gesteigert wird.
  • In einer weiteren besonders vorteilhaften Ausführungsform ist vorgesehen, dass jeder Angriffsschritt eine Manipulation repräsentiert, welche in An- oder Abwesenheit der Eigenschaft oder der Eigenschaften des Topologie-Elements, auf welche sich der Angriffsschritt bezieht, in oder an dem entsprechenden Topologie-Element durchgeführt werden kann. Dabei ist insbesondere jedem Angriffsschritt (attack step) ein Angriffsursprung (attack origin) zugeordnet, der bezeichnet, welche Eigenschaft oder Eigenschaften ein bestimmtes Topologie-Element (topology node) eines Angriffspfads aufweisen muss, damit der entsprechende Angriffsschritt in oder an dem einen Topologie-Element ausgeführt werden kann und daher mit dem bestimmten Topologie-Element als Teil des Angriffspfads verknüpft werden kann, wobei der genannte Angriffspfad das eine bestimmte und ein weiteres Topologie-Element durch den genannten entsprechenden Angriffsschritt verknüpft. Alternativ oder ergänzend kann dabei jedem Angriffsschritt auch ein Angriffsziel (attack goal) zugeordnet sein, das bezeichnet, welche Eigenschaft oder Eigenschaften ein weiteres Topologie-Element des Angriffspfads aufweisen muss, damit der entsprechende Angriffsschritt mit dem weiteren Topologie-Element als Teil des Angriffspfads verknüpft werden kann und/oder das bezeichnet, welches Schadensereignis dem bestimmten oder weiteren Topologie-Element zugeordnet sein muss, damit der Angriffsschritt das Schadensereignis mit der zugeordneten Erfolgswahrscheinlichkeit auslösen kann.
  • Das hat den Vorteil, dass die Angriffspfade besonders effizient und unabhängig von der Topologie als solcher vorgegeben werden können. Durch das Zuordnen von Angriffsursprung und Angriffsziel werden auch die für einen Angriffspfad in Frage kommenden Topologie-Elemente anhand ihrer entsprechenden Eigenschaften eindeutig und damit besonders effizient miteinander verknüpft, so dass das Verfahren besonders schnell durchgeführt werden kann.
  • In einer weiteren vorteilhaften Ausführungsform ist vorgesehen, dass mehrere Methoden der Wahrscheinlichkeitspropagation für das Kombinieren der Erfolgswahrscheinlichkeiten von verknüpften Angriffsschritten vorgegebenen sind und eine „UND-(„AND“)-Propagation und/oder eine „ODER“-(„OR“)-Propagation und oder eine „ENTWEDER-ODER“-(„X-OR“)-Propagation und/oder eine „BEDINGT“-(„REQUIRED“)-Propagation umfassen. Wahrscheinlichkeitspropagation kann hierbei die Anpassung der Angriffswahrscheinlichkeit eines (auf ein Topologie-Element) angewendeten Angriffsschritts unter Berücksichtigung der Wahrscheinlichkeiten vorangehender Angriffsschritte oder vorangehender Kombinationen von Angriffsschritten in einem ermittelten Angriffspfad bezeichnen. Hierdurch kann die tatsächliche Eintrittswahrscheinlichkeit der Angriffsschritte auf die Topologie-Elemente und schließlich die Erfolgswahrscheinlichkeit eines Angriffspfads abgeschätzt werden. So müssen beispielsweise bei einer „UND“-Propagation mehrere vorangehende Angriffsschritte eintreten, damit der Angriffspfad erfolgreich ist. Bei einer „ODER“-Propagation hingegen kann es genügen, wenn einer der vorangehenden Angriffsschritte eintritt, damit der Angriffspfad erfolgreich ist. Bei einer „ENTWEDER-ODER“-Propagation schließen sich vorliegend die entsprechenden vorangehenden Angriffsschritte aus. In einem Angriffspfad können auch unterschiedliche Propagationen kombiniert werden. Bei einer „BEDINGT“-Propagation ist ein bestimmter Angriffsschritt nur möglich, wenn zuvor ein anderer Angriffsschritt erfolgreich war.
  • Das hat den Vorteil, dass mit geringem Aufwand eine allgemeine Tendenz des Überschätzens bzw. Unterschätzens eines Informationssicherheitsrisikos gewählt werden kann.
  • In einer weiteren Ausführungsform ist vorgesehen, dass die Topologie-Information und/oder die Angriffslogik-Information als Graph bereitgestellt wird. Das hat den Vorteil, dass die Angriffspfade besonders effizient automatisch erstellt werden können, insbesondere eine Tiefen-und/oder Breitensuche besonders effizient durchgeführt werden kann. Die Tiefen-/Breitensuche kann hier als die bekannte DFS (depth-first search) oder BFS (breadth-first search) verstanden werden.
  • In einer weiteren vorteilhaften Ausführungsform ist vorgesehen, dass das automatische Abschätzen in vorgegebenen Zeitintervallen und/oder nach Bereitstellen einer aktualisierten Topologie-Information und/oder nach Bereitstellen einer aktualisierten Angriffslogik-Information und/oder nach einem sonstigen Auslösekriterium automatisch durchgeführt wird. Das hat den Vorteil, dass die Risikoabschätzung automatisch auf aktuellem Stand gehalten wird, das heißt nicht veraltet und stets eine relevante Einschätzung abgibt.
  • Ein weiterer Aspekt betrifft ein Computerprogramm oder Computerprogrammprodukt, welches Befehle umfasst, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das automatische Abschätzen in einer der beschriebenen Ausführungsformen auszuführen. Zusätzlich kann das Computerprogramm den Computer auch veranlassen, das Bereitstellen der Topologieinformation und/oder das Zuordnen des Schadensereignisses und/oder das Bereitstellen der Angriffslogik-Information und/oder das Auswählen einer Methode der Wahrscheinlichkeitspropagation auszuführen. Die Vorteile ergeben sich entsprechend den vorherigen Ausführungen.
  • Ein anderer Aspekt betrifft ein System zum automatischen Abschätzen von Informationssicherheitsrisiken, insbesondere zum automatischen Abschätzen von Informationssicherheitsrisiken in einer Informationstechnik-Infrastruktur.
  • Das System weist dabei eine erste Bereitstellungseinheit zum Bereitstellen einer Topologie-Information, welche mehrere vorgegebene Topologie-Elemente mit jeweils zumindest einer von mehreren vorgegebenen Eigenschaften definiert, auf, sowie eine Zuordnungseinheit zum Zuordnen zumindest eines Schadensereignisses mit einem vorgegebenen Schadensschwere-Indikatorwert zu zumindest einem der Topologie-Elemente. Desweiteren weist das System eine zweite, bevorzugt von der ersten verschiedene Bereitstellungseinheit zum Bereitstellen einer Angriffslogik-Information auf, welche mehrere vorgegebene Angriffsschritte definiert, wobei die Angriffsschritte sich jeweils auf zumindest eine der mehreren vorgegebenen Eigenschaften beziehen und jeweils eine Erfolgswahrscheinlichkeit umfassen. Auch umfasst das System eine Auswahleinheit zum Festlegen einer Methode der Wahrscheinlichkeitspropagation (oder zum Auswählen einer von mehreren vorgegebenen Methoden der Wahrscheinlichkeitspropagation) für das Kombinieren der Erfolgswahrscheinlichkeiten von mit einer verknüpften oder miteinander wechselwirkenden Angriffsschritten, sowie eine Abschätzeinheit zum automatischen Abschätzen eines Informationssicherheitsrisikos.
  • Dabei ist die Abschätzeinheit ausgebildet zum Erzeugen von einer Vielzahl von Angriffspfaden basierend auf der von der ersten Bereitstellungseinheit bereitgestellten Topologie-Information und der von der zweiten Bereitstellungseinheit bereitgestellten Angriffslogikinformation, wobei ein Angriffspfad zumindest ein Topologie-Element und ein weiteres Topologie-Element durch zumindest einen Angriffsschritt, welcher sich auf die vorgegebenen Eigenschaften der Topologie-Elemente des Angriffspfads bezieht, verknüpft. Die Abschätzeinheit ist desweiteren ausgebildet zum jeweiligen Überprüfen der erzeugten Angriffspfade dahingehend, ob der jeweilige Angriffspfad ein Topologie-Element betrifft, zu welchem ein Schadensereignis zugeordnet ist, sowie, bei einem positiven Überprüfungsergebnis, zum Berechnen einer Gesamtwahrscheinlichkeit für das Schadensereignis in Abhängigkeit der Erfolgswahrscheinlichkeiten der Angriffsschritte entsprechend der ausgewählten Methode der Wahrscheinlichkeitspropagation. Schließlich ist die Abschätzeinheit auch ausgebildet zum Ausgeben des geschätzten Informationssicherheitsrisikos in Abhängigkeit von der berechnenden Gesamtwahrscheinlichkeit und dem Schadensschwere-Indikatorwert.
  • Vorteil und vorteilhafte Ausführungsformen des beschriebenen Systems entsprechen hier Vorteilen und vorteilhaften Ausführungsformen des beschriebenen Verfahrens.
  • Die vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen, sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen verwendbar, ohne den Rahmen der Erfindung zu verlassen. Es sind somit auch Ausführungen von der Erfindung als umfasst und offenbart anzusehen, die in den Figuren nicht explizit gezeigt und erläutert sind, jedoch durch separierte Merkmalskombinationen aus den erläuterten Ausführungen hervorgehen und erzeugbar sind. Es sind auch Ausführungen und Merkmalskombinationen als offenbart anzusehen, die somit nicht alle Merkmale eines ursprünglich formulierten unabhängigen oder abhängigen Anspruchs aufweisen. Es sind darüber hinaus Ausführungen und Merkmalskombinationen, insbesondere durch die oben dargelegten Ausführungen, als offenbart anzusehen, die über die in den Rückbezügen der Ansprüche dargelegten Merkmalskombinationen hinausgehen oder von diesen abweichen.
  • Technisches Anwendungsgebiet
  • Das Verfahren kann in der Abschätzung von Informationssicherheitsrisiken angewendet werden. Dies kann als verfeinerndes Verfahren beispielsweise in unternehmensweiten, abstrakten Risikoanalyseansätzen wie NIST SP800-30, ISO/IEC 27005, OKTAVE oder FRAP, als auch in Sicherheitsmanagementansätzen wie BSI Grundschutz, ISO 27001 oder NIST SP800-53 verwendet werden. Die Verfeinerung kann dabei auf beliebigen Betrachtungsebenen oder über verschiedene Betrachtungsebenen hinweg erfolgen. So ist sowohl eine Betrachtung sämtlicher Unternehmensaspekte wie auch die isolierte Betrachtung von Einzelaspekten, beispielsweise einer IT-Infrastruktur, möglich. Aus diesem Grund kann das Verfahren auch als alleiniges Verfahren für eine beispielsweise unternehmensweite Analyse und Bewertung von Risiken genutzt werden.
  • Ausführungsbeispiele der Erfindung werden nachfolgend anhand schematischer Zeichnungen näher erläutert. Es zeigen:
    • 1: eine beispielhafte Ausführungsform eines Systems zum automatischen Abschätzen von Informationssicherheitsrisiken;
    • 2: einen beispielhafte Aufbau einer Angriffslogik mit ihrer Relation zu einem zugehörigen Topologie-Element; und
    • 3 einen schematischen Ablauf einer beispielhaften Ausführungsform eines Verfahrens zum automatischen Abschätzen von Informationssicherheitsrisiken.
  • In den verschiedenen Figuren werden dabei gleiche oder funktionsgleiche Elemente mit den gleichen Bezugszeichen versehen.
  • 1 zeigt ein System 1 zum automatischen Abschätzen von Informationssicherheitsrisiken mit einer ersten Bereitstellungseinheit 2, einer Zuordnungseinheit 3, einer zweiten Bereitstellungseinheit 4, einer Auswahleinheit 5 und einer Abschätzeinheit 6.
  • Die erste Bereitstellungseinheit 2 ist dabei zum Bereitstellen einer Topologie-Information ausgebildet, wobei die Topologie-Information mehrere vorgegebene Topologie-Elemente mit jeweils zumindest einer von mehreren vorgegebenen Eigenschaften definiert. Die Zuordnungseinheit 3 ist dem Zuordnen von zumindest einem Schadensereignis mit einem vorgegebenen Schadensschwere-Indikatorwert zu zumindest einem der Topologie-Elemente ausgebildet. Vorliegend ist die Zuordnungseinheit 3 mit der ersten Bereitstellungseinheit 2 gekoppelt, sie kann aber auch direkt mit der Abschätzeinheit 6 gekoppelt sein.
  • Die zweite Bereitstellungseinheit 4 ist zum Bereitstellen einer Angriffslogik-Information ausgebildet, wobei die Angriffslogik-Information mehrere vorgegebene Angriffsschritte definiert, wobei die Angriffsschritte sich jeweils auf zumindest eine der mehreren vorgegebenen Eigenschaften beziehen und jeweils eine Erfolgswahrscheinlichkeit umfassen.
  • Die Auswahleinheit 5 ist zum Auswählen einer von mehreren vorgegebenen Methoden der Wahrscheinlichkeitspropagation für das Kombinieren der Erfolgswahrscheinlichkeiten von miteinander verknüpften oder miteinander wechselwirkenden Angriffsschritten ausgebildet.
  • Die Abschätzeinheit 6 ist schließlich ausgebildet zu einem Erzeugen von einer Vielzahl von Angriffspfaden basierend auf der von der ersten Bereitstellungseinheit 2 bereitgestellten Topologie-Information und der von der zweiten Bereitstellungseinheit 4 bereitgestellten Angriffslogik-Information, wobei ein Angriffspfad zumindest ein Topologie-Element und ein weiteres Topologie-Element durch zumindest einen Angriffsschritt, welcher sich auf die vorgegebenen Eigenschaften der Topologie-Elemente des Angriffspfads bezieht, verknüpft. Ausgebildet, sowie zum jeweiligen Überprüfen der erzeugte Angriffspfade dahingehend, ob der jeweilige Angriffspfad ein Topologie-Element betrifft, zu welchem ein Schadensereignis zugeordnet ist und hier bei einem positiven Prüfungsergebnis eine Gesamtwahrscheinlichkeit für das Schadensereignis in Abhängigkeit der Erfolgswahrscheinlichkeiten der Angriffsschritte entsprechend der ausgewählten Methode der Wahrscheinlichkeitspropagation zu berechnen und schließlich das geschätzte Informationssicherheitsrisiko in Abhängigkeit von der berechneten Gesamtwahrscheinlichkeit und dem Schadensschwere-Indikatorwert auszugeben.
  • In 2 ist der Zusammenhang zwischen einer beispielhaften Angriffslogik-Information 7, welche in gezeigtem Beispiel aus Gründen der Übersichtlichkeit lediglich einen einzigen Angriffsschritt 8 umfasst, in ihrem Zusammenwirken mit einem beispielhaften Topologie-Element 9 dargestellt. Die Angriffslogik-Information 7 umfasst dabei den Angriffsschritt 8, mit welchem vorliegend ein Angriffsursprung 10 zugeordnet ist sowie ein Angriffsziel 11. Der Angriffsschritt 8 umfasst dabei auch eine Erfolgswahrscheinlichkeit 12. Mit dem Angriffsursprung wird der Angriffsschritt 8 über eine Eigenschaft 13 mit dem Topologie-Element 9 verknüpft. Dem Topologie-Element 9 ist dabei vorliegend ein Schadensereignis 14 zugeordnet. Das Schadensereignis 14 weist dabei einen Schadensschwere-Indikatorwert 15 auf. Durch das Angriffsziel 11, welches im vorliegenden Beispiel dem Angriffsschritt 8 zugeordnet ist, verknüpft im gezeigten Beispiel zusätzlich den Angriffsschritt 8 mit dem Schadensereignis 14. Dieses Schadensereignis 14 ist mit dem Schadensschwere-Indikatorwert 15 wiederrum mit dem geschätzten Informationssicherheitsrisiko 16 verknüpft.
  • Zur Modellierung der Angriffslogik 7 wird daher im gezeigten Beispiel zwischen dem möglichen Ursprung eines Angriffs, Angriffsursprung 10 oder Attack Origin, den daraufhin initiierten Angriffsschritt 8, Attack Step, den kurzfristig materialisierten (Zwischen-)Zielen 11, Attack Goal, und dem gegebenenfalls herbeigeführten Schadensereignis oder Schadensszenario 14, Damage Scenario, unterschieden. Der Angriffsursprung 10 ist dabei vorliegend die grundlegendste Annahme für einen Angriff. Er zeigt an, in welcher logischen oder physischen Position sich ein Angreifer befinden muss um den ersten Schritt eines Angriffs 8 auszuführen. Entsprechend kann ein Angriffsursprung 10 auf alle Elemente 9 einer betrachteten Topologie mit einer bestimmten Eigenschaft 13 oder alternativ auf spezifische Topologie-Elemente 9 angewandt werden. Im letzten Fall ist der entsprechende Angriffsursprung 10 mit einem spezifischen Topologie-Element 9 assoziiert.
  • Der Angriffsschritt 8 bezieht sich hier immer auf eine oder mehrere bestimmte Eigenschaften 13 der Topologie-Elemente 9. Hierdurch können Angriffe auch über verschiedene Topologie-Arten hinweg modelliert werden. Dabei ist der Angriffsschritt 8 hier auch mit mindestens einem Angriffsziel 11, Attack Goal, assoziiert. Das Angriffsziel 11 zeigt an, welche (Zwischen-) Ziele auf einen Angriffsschritt 8 folgen können. Diese (Zwischen-) Ziele können mit Bedingungen versehen sein, die entweder exklusiv gelten oder nicht gelten, oder gemeinsam mit anderen Bedingungen gelten oder nicht gelten müssen, damit das jeweilige (Zwischen-) Ziel erreicht werden kann.
  • Beispielsweise kann ein Angriffsziel 11 eines Angriffs 8 einen anderen Angriff, der ebenfalls oder zuvor ausgeführt werden muss, voraussetzen. Zusätzlich zu dem (Zwischen-) Ziel ist hier mit dem Angriffsschritt 8, und damit mit dem Angriffsziel 11 auch eine Erfolgswahrscheinlichkeit 12, welche auch als Wahrscheinlichkeitsklasse oder Probability Class bezeichnet werden kann, assoziiert. Diese Erfolgswahrscheinlichkeit 12 zeigt beispielsweise eine qualitative, ordinalskalierte Wahrscheinlichkeit an, mit welcher die Erreichung eines (Zwischen-) Ziels nach dem gegebenen Angriffsschritt 8 erwartet wird. Dabei können mehrere (Zwischen-) Ziele auch über logische Operatoren zusammengefasst werden. Treten die assoziierten (Zwischen-Ziele) dem gewählten logischen Operator entsprechend ein, folgt der mit dem logischen Operator assoziierte Angriffsschritt. Ein (Zwischen-) Ziel kann jedoch auch die Materialisierung eines Schadensereignisses 14, Damage Scenario, mit sich führen. Ein Schadensereignis 14 ist dabei mindestens einem Topologie-Element 9 zugeordnet und ist mit einer vorliegenden qualitativen ordinal skalierten Schadenshöhe, dem Schadensschwere-Indikatorwert 15, Impact Class, assoziiert.
  • Bei der Modellierung der Angriffslogik kann zusätzlich auch eine weitere Komponente genutzt werden, welche neue Angriffe aus Quellen wie von RSS Feeds, Security Incident and Event Monitoring-Systemen (SIEM) oder Datenbanken zur Verwundbarkeit und Exploits wie National Vulnerability Database (NVD), Common Vulnerabilities and Exposures (CVE) und andere extrahiert und zur Annotation aufbereitet. Über Natural-Language-Processing(NLP) - Verfahren kann diese weitere Komponente die (Zwischen-) Ziele, darauf zutreffende Attribute, vorangehende (Zwischen-) Ziele und Angriffsschritte extrahieren. Diese können dann durch den Nutzer in die vorhandene Angriffslogik eingebunden werden. Bevorzugt wird die Angriffslogik schließlich als Graph in einer Datenbank abgelegt.
  • Der beschriebene Ansatz ermöglicht die manuelle Modellierung einer Topologie unterschiedlicher Abstraktionsgrade und über diverse Topologie-Ebenen hinweg. Da die modellierten (Zwischen-) Ziele einer Angriffslogik frei auf wählbare Attribute anwendbar sind, können die Ausprägungen der Attribute in den jeweiligen Topologie-Elementen ebenfalls frei gewählt werden. Dies gilt auch für die Angriffsursprünge und Angriffsschritte. Somit können die Topologie-Elemente frei nach Bedarf definiert werden. Beispielsweise sind solche modellierbaren Topologien IT-Netzwerke, Anwendungen in einer Organisation, Räume, Gänge, Türen und dergleichen, Organisationen, Organisationseinheiten, Kabelbäume, Produktbestandteile und eine Kombination aus verschiedenen Schichten der aufgeführten Einzeltopologien. Diese Liste ist dabei nicht abschließend.
  • Zusätzlich kann durch eine semiautomatische Komponente eine Aufbereitung einer bereitgestellten Topologie-Information und damit der bereitgestellten Topologie erfolgen. Dabei können vorhandene Informationsquellen wie Netzpläne, Anwendungstopologien, Raum- und Gebäudedokumentation oder Configuration Management Datenbanken (CMDB) genutzt werden, um die entsprechenden Topologie-Elemente zu extrahieren. Weiterhin kann die semiautomatische Komponente Informationen aus CERT RSS-Feeds, SIEM-System oder Verwundbarkeitsdatenbanken wie Full DB, NVD, CVE usw. nutzen um vorhandene Topologie-Elemente hinsichtlich neuer entdeckter Eigenschaften und damit auf das vorhandene Topologie-Element mögliche Angriffe zu aktualisieren und neue Schritte der Angriffslogik zu erstellen. Bevorzugt wird die modellierte Topologie als Graph in einer Datenbank abgelegt, so dass die Topologie-Information besagten Graphen enthält.
  • Da sich das Verfahren in seinem Ansatz von mehrschichtigem abstrahierenden Ansätzen entfernt und eine detaillierte Risikoanalyse bei begrenztem Aufwand bietet, ist die Integration in unternehmensweit angewendete abstrakte Ansätze insbesondere bei der Kommunikation mit Dritten, Unternehmenspartnern, Geschäftsführung oder Auditoren besonders vorteilhaft. Um diese Kommunikation sicherzustellen sieht das Verfahren vor, dass die in modernen Risikoanalyseansätzen geläufige qualitative ordinal skalierte Variablen für die Wahrscheinlichkeit (propability class) und die Schwere (impact class) eines Risikos verwendet werden. Das sich aus der Wahrscheinlichkeit und Schwere berechnende Risiko (risk class) kann dabei in geläufigen Ansätzen wie Risiko-Matrizen dargestellt in unternehmensweiten Risikoansätzen genutzt werden.
  • Aufgrund der Verwendung qualitativer, ordinal skalierter Variablen ist eine Risikoabschätzung entlang der generierten Zugriffspfade üblicherweise nicht mathematisch überprüfbar durchführbar. So existieren beispielsweise mit der DIN 25424-2:1990-04 Vorgaben zur quantitativen Zusammenführung von Fehlermaterialisierungswahrscheinlichkeiten in UND- bzw. ODER-Verknüpfungen, eine direkte Übertragung dieser Vorgehensweisen auf ordinal-skalierte Variablen ist jedoch mathematisch nicht möglich und kann je nach Ausprägung, Aussagekraft, Nachvollziehbarkeit und Menge der ordinalskalierten Variablen die Aussage der Analyse verfälschen (vgl. DIN 1990: Fehlerbaumanalyse, Handrechenverfahren zur Auswertung eines Fehlerbaumes (Technical Report, #DIN25424-2:1990:04.DIN).
  • Daher können mit dem vorliegenden Verfahren beispielsweise unternehmensspezifische Annahmen zur Wahrscheinlichkeitspropagierung gewählt und abgebildet werden. Dazu kann zwischen den Fällen AND (UND), OR (ODER) und XOR (Ausschließendes ODER) unterschieden werden. Die Annahmen zur Wahrscheinlichkeitspropagierung können nun durch Spezialisierung der entsprechenden Klassenpropagationen, propagation class, AND, OR und XOR genutzt werden. Während der automatisierten Risikoanalyse können die entsprechenden Spezialisierungen durch den Propability Propagator geladen und zur Wahrscheinlichkeitspropagierung herangezogen werden. Zusätzlich kann in den spezialisierten Klassen, Propagation Classes, AND, OR und XOR jeweils die Klasse festgelegt werden, welche genutzt werden soll, wenn etwaige (Zwischen-)Ziele nicht durch logische Operatoren verbunden sind.
  • Dies ermöglicht eine weitgehende Flexibilität der Wahrscheinlichkeitsbewertung ermittelter Angriffspfade. Beispiele für die Wahrscheinlichkeitspropagierungen können Multiplikation, Mittel der Bildung und Runden der Skalenwerte bei AND sowie Verwendung des Maximumprinzips bei OR und XOR sein.
  • Automatische Aufbereitung von logischen Informationsflüssen an statischen Netzwerken
  • Je nach gegebener Topologie bzw. Topologie-Information kann es ggf. notwendig sein, logische Abläufe aus statischen Strukturen zu extrahieren. Dies ist beispielsweise bei der Betrachtung eines IT-Netzwerk-Diagramms der Fall. Logische Abläufe in einem solchen Netzwerk können anzeigen, welche Komponenten bzw. Topologie-Elemente aufgrund gegebener Filter- und Routing-Regeln in unterschiedlichen Schichten, beispielsweise OSI-Schichten, miteinander kommunizieren. Dies ist beispielsweise notwendig, um die Etablierung von Man-in-the-middle-Angriffen in der Angriffslogik auf eine gegebenen Topologie anwenden zu können.
  • In diesem Fall kann das Verfahren die zusätzliche Assoziation eines Topologie-Elementes mit einem Information Flow Center oder einem Information Flow Controller vorsehen. Handelt es sich bei einem Topologie-Element um ein mit einem Information Flow Controller assoziierten Topologie-Element, so zeigt die Assoziation an, dass das entsprechende Element Informationsflüsse kontrolliert. Dies kann beispielsweise durch eine Firewall, eine statische Routing-Tabelle oder einen Switch gegeben sein.
  • Je nach gegebener Topologie bzw. Topologie-Information kann es gegebenenfalls notwendig sein, logische Abläufe aus statischen Strukturen zu extrahieren. Dies ist beispielsweise bei der Betrachtung eines IT-Netzwerk-Diagramms der Fall. Logische Abläufe in einem solchen Netzwerk können anzeigen, welche Komponenten bzw. Topologie-Elemente aufgrund gegebener Filter- und Routing-Regeln in unterschiedlichen Schichten, beispielsweise Open System Interconnection-(OSI-)Schichten, miteinander kommunizieren. Dies ist beispielsweise notwendig, um die Etablierung von Man-in-the-middle-Angriffen in der Angriffslogik auf eine gegebene Topologie anwenden zu können.
  • In diesem Fall kann das Verfahren die zusätzliche Assoziation eines Topologie-Elementes mit einem Information-Flow-Center oder einem Information-Flow-Controller vorsehen. Handelt es sich bei einem Topologie-Element um ein mit einem Information-Flow-Controller assoziierten Topologie-Element, so zeigt die Assoziation an, dass das entsprechende Element Informationsflüsse kontrolliert. Dies kann beispielsweise durch eine Firewall, eine statische Routing-Tabelle oder einen Switch gegeben sein. Die entsprechenden Regeln, mit welcher die Kontrolle des Informationsflusses durchgeführt wird, kann in einem Filterattribut hinterlegt werden. Ist ein Topologie-Element hingegen mit einem Information-Flow-Center assoziiert, so handelt es sich bei dem Topologie-Element um ein zentrales Routing-Element. Dies kann beispielsweise ein Router, ein L3- bzw. L4-Switch sein, jedoch keine Firewall. Ein Topologie-Element kann mit einem Information-Controller, einem Information-Flow-Center oder beidem assoziiert sein.
  • Sind diese Attribute den entsprechenden Topologie-Elementen zugewiesen, können vor der Durchführung der Risiko-Analyse die logischen Informationsflüsse aus der gegebenen Topologie automatisch extrahiert werden. Dabei kann wie folgt vorgegangen werden.
    1. 1. Eine Tiefen- und/oder Breitensuche, DFS und/oder BFS, wird über die Topologie-Elemente eines vordefinierten Typs ausgehend von allen betroffenen Topologie-Elementen durchgeführt.
      1. a) Die DFS oder BFS kann dabei zunächst nach einem Information-Flow-Center suchen. Die Suche kann abgebrochen werden, wenn nicht innerhalb einer vordefinierten Schrittzahl ein Information-Flow-Center gefunden wird.
      2. b) Trifft die DFS oder BFS auf ein Information-Flow-Controller, so werden die Informationsflusskontrollregeln, beispielsweise die Regeln einer Firewall, ausgelesen. Anschließend wird geprüft, ob der bisher genommene Verlauf unter den im Verlauf der DFS oder BFS gesammelten Regeln durchführbar ist. Ist dies nicht der Fall, wird die DFS oder BFS abgebrochen.
      3. c) Trifft die DFS oder BFS auf ein Topologie-Element, wird geprüft, ob der genommene Verlauf unter den im Verlauf der DFS oder BFS gesammelten Regeln durchführbar ist. Ist dies nicht der Fall, wird die DFS oder BFS abgebrochen. Ist dies der Fall, wird ein neues Topologie-Element eines für Informationsflüsse vorab festgelegten Typen erzeugt. Dieses Topologie-Element wird entsprechend mit sämtlichen Topologie-Elementen auf dem gefundenen Pfad der DFS oder BFS assoziiert.
    2. 2. Die DFS oder BFS wird solange durchgeführt, bis die Kombination sämtlicher Topologie-Elemente des vordefinierten Typs auf ihre Gültigkeit hin überprüft wurden.
  • 3 zeigt nun einen beispielhaften Ablauf eines automatisierten Abschätzens eines Informationssicherheitsrisikos. Zum Durchführen der Risikoabschätzung werden vorliegend die Angriffslogik-Information 305 und die Topologie-Information 310 in Form von Datenbanken bereitgestellt. Die Risikoabschätzung läuft dabei vorliegend automatisiert ab und kann sowohl mit Änderungen der Angriffslogik-Information 305 und/oder der Topologie-Information 310, auf regelmäßiger zeitlicher Basis, oder ad hoc durch einen Nutzer ausgeführt werden.
  • Dabei wird vorliegend zunächst ein die Angriffslogik 305 beschreibender Graph aus der entsprechenden Datenbank ausgelesen und jeder Angriffsursprung der erhaltenen Logik gewählt, Schritt 313. Für jeden dieser Angriffsursprünge wird nun geprüft, ob dieser jeweils mit einem oder mehreren Topologie-Elementen oder nur mit einem Topologie-Element-Typ assoziiert ist, Schritt 314. Ist ein Angriffsursprung mit einem oder mehreren Topologie-Elementen assoziiert, so werden im Angriffsursprung verknüpfte Angriffsschritte auf das jeweilige Topologie-Element der Topologie-Information 310 ausgeführt, Schritt 315.
  • Ist der Angriffsursprung lediglich mit einem Topologie-Element-Typ assoziiert, so werden vorliegend zunächst sämtliche Topologie-Elemente des betreffenden Typs aus der Topologie-Information 310 abgerufen und anschließend die mit dem Angriffsursprung assoziierten Angriffsschritte auf die erhaltenen Topologie-Elemente ausgeführt, Schritt 316. Zeigt der Angriffsschritt an, dass sich das nachfolgende (Zwischen-)Ziel auf das Topologie-Element der aktuellen Iteration bezieht, so wird geprüft, ob das (Zwischen-)Ziel auf das Topologie-Element der aktuellen Iteration angewendet werden kann, Schritt 317.
  • Bezieht sich der Angriffsschritt jedoch nicht auf das Topologie-Element der aktuellen Iteration, so wird der Typ ermittelt, auf welchen sich der Angriffsschritt bezieht. Anschließend wird aus der Datenbank 310 das mit dem Topologie-Element der aktuellen Iteration verbundene Element abgerufen. Nun wird geprüft, ob die mit dem Angriffsschritt verknüpften (Zwischen-)Ziele auf das entsprechende Element angewendet werden kann, Schritt 317. Sofern ein (Zwischen-)Ziel mit einem Schadensereignis assoziiert ist, wird geprüft, ob das Topologie-Element der aktuellen Iteration einem der mit dem Schadensereignis assoziierten Topologie-Elemente entspricht. Ist dies der Fall, wird ein Angriffspfad erstellt, dessen letztes Element das Schadensereignis und dessen erstes Element der mit dem Angriffsursprung assoziierte Angriffsschritt darstellt. Der Angriffspfad beinhaltet somit sämtliche (Zwischen-)Ziele, deren bedingende bzw. für diese vorausgesetzte Angriffsschritte, gegebenenfalls angewendete logische Operatoren der Angriffslogik und betroffene Topologie-Elemente. Diese sich ergebenden Pfade werden als Graphen in einer Datenbank 318 abgelegt.
  • Abschließend wären die erhaltenen Angriffspfade aus der Datenbank 318 vorliegend mit einem DFS- und/oder BFS-Verfahren von den jeweiligen Angriffsursprüngen aus durchlaufen, um die Wahrscheinlichkeitspropagierung durchzuführen, Schritt 319. Hierbei wird für jedes in den Angriffspfaden enthaltene (Zwischen-)Ziel unter Verwendung der hinterlegten Regeln der Probability Class AND, OR bzw. XOR die Wahrscheinlichkeit eines (Zwischen-)Ziels unter Verwendung der vorangegangenen (Zwischen-)Ziele angepasst. Analog wird die Materialisierungswahrscheinlichkeit der Schadensszenarien durch die sie bedingenden (Zwischen-)Ziele in den Angriffspfaden ermittelt. Da die Schadenshöhe der Schadensszenarien, also der Schadensschwere-Indexwert eines Schadensereignisses bereits bekannt ist, kann somit die entsprechende Risikoklasse bzw. das Informationssicherheitsrisiko dargestellt werden. Daraus kann beispielsweise ein Risikoprofil 320 abgeleitet werden, welches in Form einer Risikomatrix dargestellt werden kann und die für die Topologie zutreffenden Risiken anzeigt. Darüber hinaus können die erhaltenen Angriffspfade 321 anzeigen, welche Verwundbarkeiten mit welchem Risiko einhergehen. Dies kann zur Auswahl und Priorisierung sowie zur nachvollziehbaren und kosteneffektiven Gestaltung einer Sicherheitsarchitektur genutzt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 2816773 A1 [0011, 0044]
    • US 2006021048 A [0012]
    • US 2005193430 A [0013]
    • US 2017046519 A [0014]
  • Zitierte Nicht-Patentliteratur
    • R. Baskerville, „Risk analysis as a source of professional knowledge“, in: Computers & Security, 10, 8 (1991), S. 749-764 [0003]

Claims (10)

  1. Verfahren zum automatischen Abschätzen von Informationssicherheitsrisiken (16), insbesondere zum automatischen Abschätzen von Informationssicherheitsrisiken (16) in einer Informationstechnik-Infrastruktur, mit den Verfahrensschritten: a) Bereitstellen einer Topologie-Information (310), welche mehrere vorgegebene Topologie-Elemente (9) mit jeweils zumindest einer von mehreren vorgegebenen Eigenschaften (13) definiert, an eine Abschätzeinheit (6); b) Zuordnen zumindest eines Schadensereignisses (14) mit einem vorgegebenen Schadensschwere-Indikatorwert (15) zu zumindest einem der Topologie-Elemente (9); c) Bereitstellen einer Angriffslogik-Information (7, 305), welche mehrere vorgegebene Angriffsschritte (8) definiert, an die Abschätzeinheit (6), wobei die Angriffsschritte (8) sich jeweils auf zumindest eine der mehreren vorgegebenen Eigenschaften (13) beziehen und jeweils eine Erfolgswahrscheinlichkeit (12) umfassen; d) Festlegen einer vorgegebenen Methode einer Wahrscheinlichkeitspropagation für das Kombinieren der Erfolgswahrscheinlichkeiten (12) von miteinander verknüpften oder miteinander wechselwirkenden Angriffsschritten (8); e) Automatisches Abschätzen eines Informationssicherheitsrisikos (16) durch die Abschätzeinheit (6), mit einem: - Erzeugen von einer Vielzahl von Angriffspfaden basierend auf der bereitgestellten Topologie-Information (310) und der bereitgestellten Angriffslogik-Information (7, 305), wobei ein Angriffspfad zumindest ein Topologie-Element (9) und ein weiteres Topologie-Element (9) durch zumindest einen Angriffsschritt, welcher sich auf die vorgegebenen Eigenschaften (13) der Topologie-Elemente (9) des Angriffspfads bezieht, verknüpft; -jeweiligen Überprüfen der erzeugten Angriffspfade dahingehend, ob der jeweilige Angriffspfad ein Topologie-Element (9) betrifft, zu welchem in Verfahrensschritt b) ein Schadensereignis (14) zugeordnet wurde; - bei einem positiven Überprüfungsergebnis: Berechnen einer Gesamtwahrscheinlichkeit für das Schadensereignis (14) in Abhängigkeit der Erfolgswahrscheinlichkeiten (12) der Angriffsschritte (8) entsprechend der ausgewählten Methode der Wahrscheinlichkeitspropagation; - Ausgeben des geschätzten Informationssicherheitsrisikos (16) in Abhängigkeit von der berechneten Gesamtwahrscheinlichkeit und dem Schadensschwere-Indikatorwert (15).
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Bereitstellen der Topologie-Information (310) unabhängig und/oder gesondert von dem Bereitstellen der Angriffslogik-Information (7, 305) erfolgt.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Topologie-Information (310) ein Informationstechnik-Netzwerk, insbesondere mit zumindest einem Router und/oder einem Rechner als Topologie-Elemente (9), und/oder einen Kabelbaum, insbesondere mit zumindest einem Anschluss und/oder einer Verzweigung als Topologie-Elemente (9), und/oder einen Gebäudekomplex, insbesondere mit zumindest einem Raum und/oder einer Tür und/oder einem Gang als Topologie-Elemente (9), und/oder ein Computerprogramm-Netzwerk, insbesondere mit zumindest einem Computerprogramm und/oder einer Computerprogrammschnittstelle als Topologie-Elemente (9), und/oder ein Produkt, insbesondere mit zumindest einem Produktbestandteil als Topologie-Element, repräsentiert.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Eigenschaften (13) der Topologie-Elemente (9) eine vorgegebene technische Schwachstelle und/oder eine Typenbezeichnung und/oder ein Vorhanden- oder Nichtvorhandensein einer vorgegebenen Sicherheitsmaßnahme repräsentieren.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Topologie-Information (310) durch die Abschätzeinheit (6) aufbereitet wird, indem ausgehend von den Topologie-Elementen (9) eines vorgegebenen Typs, beispielsweise mit vorgegebenen Eigenschaften (13), über ein oder mehrere, bevorzugt alle, anderen Topologie-Elemente (9) eine Tiefen- und/oder Breitensuche solange durchgeführt wird, bis sämtliche Kombinationen mit den Topologie-Elementen (9) des vorgegebenen Typs unter Berücksichtigung der Angriffslogik-Information (7, 305) auf ihre Gültigkeit überprüft wurden, wobei eine Kombination gültig ist, wenn die jeweiligen Topologie-Elemente (9) der Kombination über Angriffsschritte (8) verknüpfbar sind, welche sich jeweils auf zumindest eine der Eigenschaften (13) derjenigen Topologie-Elemente (9) beziehen, die sie verknüpfen, und bei dem Erzeugen der Angriffspfade in Verfahrensschritt e) die Angriffspfade entsprechend den gültigen Kombinationen erzeugt werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jeder Angriffsschritt eine Manipulation repräsentiert, welche in An- oder Abwesenheit der Eigenschaft (13) des Topologie-Elements, auf welche sich der Angriffsschritt bezieht, in oder an dem entsprechenden Topologie-Element (9) durchgeführt werden kann, wobei insbesondere jedem Angriffsschritt - ein Angriffsursprung (10) zugeordnet ist, der bezeichnet, welche Eigenschaft (13) ein bestimmtes Topologie-Element (9) eines Angriffspfads aufweisen muss, damit der entsprechende Angriffsschritt in oder an dem einen Topologie-Element (9) ausgeführt werden kann und daher mit dem bestimmten Topologie-Element (9) als Teil des Angriffspfads verknüpft werden kann; und - ein Angriffsziel (11) zugeordnet ist, das bezeichnet, welche Eigenschaft (13) ein weiteres Topologie-Element (9) des Angriffspfads aufweisen muss, damit der entsprechende Angriffsschritt mit dem weiteren Topologie-Element (9) als Teil des Angriffspfads verknüpft werden kann und/oder bezeichnet, welches Schadensereignis (14) dem bestimmten Topologie-Element (9) zugeordnet sein muss, damit der Angriffsschritt das Schadensereignis (14) mit der zugeordneten Erfolgswahrscheinlichkeit (12) auslösen kann.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass mehrere Methoden der Wahrscheinlichkeitspropagation für das Kombinieren der Erfolgswahrscheinlichkeiten (12) von verknüpften Angriffsschritten (8) vorgegebenen sind und eine „UND“-, „AND“-, Propagation und/oder eine „ODER“-, „OR“-, Propagation und/oder eine „Entweder-Oder“-, „XOR“-, Propagation und/oder eine „BEDINGT“-, „REQUIRED“-, Propagation umfassen.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das automatische Abschätzen gemäß Verfahrensschritt e) in vorgegebenen Zeitintervallen und/oder nach Bereitstellen aktualisierter Topologie-Information (310) und/oder nach Bereitstellen aktualisierter Angriffslogik-Information durchgeführt wird.
  9. Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, den Verfahrensschritt e) nach Anspruch 1 auszuführen, insbesondere entsprechend den vorteilhaften Ausführungsformen der Ansprüche 2 bis 8.
  10. System (1) zum automatischen Abschätzen von Informationssicherheitsrisiken (16), insbesondere zum automatischen Abschätzen von Informationssicherheitsrisiken (16) in einer Informationstechnik-Infrastruktur, mit: - einer ersten Bereitstellungseinheit (2) zum Bereitstellen einer Topologie-Information (310), welche mehrere vorgegebene Topologie-Elemente (9) mit jeweils zumindest einer von mehreren vorgegebenen Eigenschaften (13) definiert; - einer Zuordnungseinheit (3) zum Zuordnen zumindest eines Schadensereignisses (14) mit einem vorgegebenen Schadensschwere-Indikatorwert (15) zu zumindest einem der Topologie-Elemente (9); - einer zweiten Bereitstellungseinheit (4) zum Bereitstellen einer Angriffslogik-Information (7, 305), welche mehrere vorgegebene Angriffsschritte (8) definiert, wobei die Angriffsschritte (8) sich jeweils auf zumindest eine der mehreren vorgegebenen Eigenschaften (13) beziehen und jeweils eine Erfolgswahrscheinlichkeit (12) umfassen; - einer Auswahleinheit (5) zum Festlegen einer vorgegebenen Methode der Wahrscheinlichkeitspropagation für das Kombinieren der Erfolgswahrscheinlichkeit (12)en von miteinander verknüpften oder miteinander wechselwirkenden Angriffsschritten (8); einer Abschätzeinheit (6) zum automatisches Abschätzen eines Informationssicherheitsrisikos (16), welche ausgebildet ist zu einem: - Erzeugen von einer Vielzahl von Angriffspfaden basierend auf der von der ersten Bereitstellungseinheit (2) bereitgestellten Topologie-Information (310) und der von der zweiten Bereitstellungseinheit (4) bereitgestellten Angriffslogik-Information (7, 305), wobei ein Angriffspfad zumindest ein Topologie-Element (9) und ein weiteres Topologie-Element (9) durch zumindest einen Angriffsschritt, welcher sich auf die vorgegebenen Eigenschaften (13) der Topologie-Elemente (9) des Angriffspfads bezieht, verknüpft; -jeweiligen Überprüfen der erzeugten Angriffspfade dahingehend, ob der jeweilige Angriffspfad ein Topologie-Element (9) betrifft, zu welchem ein Schadensereignis (14) zugeordnet ist; - bei einem positiven Überprüfungsergebnis: Berechnen einer Gesamtwahrscheinlichkeit für das Schadensereignis (14) in Abhängigkeit der Erfolgswahrscheinlichkeiten (12) der Angriffsschritte (8) entsprechend der ausgewählten Methode der Wahrscheinlichkeitspropagation; - Ausgeben des geschätzten Informationssicherheitsrisikos (16) in Abhängigkeit von der berechneten Gesamtwahrscheinlichkeit und dem Schadensschwere-Indikatorwert (15).
DE102018216887.3A 2018-10-02 2018-10-02 Automatisches Abschätzen von Informationssicherheitsrisiken Pending DE102018216887A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102018216887.3A DE102018216887A1 (de) 2018-10-02 2018-10-02 Automatisches Abschätzen von Informationssicherheitsrisiken
JP2021518184A JP7333814B2 (ja) 2018-10-02 2019-10-01 情報セキュリティリスクの自動評価
PCT/EP2019/076586 WO2020070122A1 (de) 2018-10-02 2019-10-01 Automatisches abschätzen von informationssicherheitsrisiken
US17/281,556 US20210367962A1 (en) 2018-10-02 2019-10-01 Automatic information security risk assessment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018216887.3A DE102018216887A1 (de) 2018-10-02 2018-10-02 Automatisches Abschätzen von Informationssicherheitsrisiken

Publications (1)

Publication Number Publication Date
DE102018216887A1 true DE102018216887A1 (de) 2020-04-02

Family

ID=68159091

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018216887.3A Pending DE102018216887A1 (de) 2018-10-02 2018-10-02 Automatisches Abschätzen von Informationssicherheitsrisiken

Country Status (4)

Country Link
US (1) US20210367962A1 (de)
JP (1) JP7333814B2 (de)
DE (1) DE102018216887A1 (de)
WO (1) WO2020070122A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102023106449A1 (de) 2023-03-15 2024-09-19 Bayerische Motoren Werke Aktiengesellschaft Sicherheitsbewertung eines Computersystems

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6710716B2 (ja) * 2018-03-27 2020-06-17 日本電信電話株式会社 脅威情報評価装置、脅威情報評価方法およびプログラム
JP2021039754A (ja) * 2019-08-29 2021-03-11 ダークトレース リミテッドDarktrace Limited 電子メール用の機械学習サイバー防御システムのエンドポイント・エージェント拡張
US20220360597A1 (en) * 2019-08-29 2022-11-10 Darktrace Holdings Limited Cyber security system utilizing interactions between detected and hypothesize cyber-incidents
US12034767B2 (en) * 2019-08-29 2024-07-09 Darktrace Holdings Limited Artificial intelligence adversary red team
CN111582673B (zh) * 2020-04-23 2023-03-31 北京邮电大学 一种配电自动化系统主站的攻击风险评估方法及装置
RU202083U1 (ru) * 2020-07-22 2021-01-29 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Устройство моделирования заражения компьютерным вирусом локальной компьютерной сети
CN114793182B (zh) * 2022-06-21 2022-09-02 湖南前行科创有限公司 一种智慧园区分布式网络安全风险评估方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6952779B1 (en) 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US20060021048A1 (en) 2004-07-22 2006-01-26 Cook Chad L Techniques for determining network security using an attack tree
US8539586B2 (en) * 2006-05-19 2013-09-17 Peter R. Stephenson Method for evaluating system risk
JP2009070084A (ja) * 2007-09-12 2009-04-02 Hitachi Ltd システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム
JP2013152095A (ja) 2012-01-24 2013-08-08 Sony Corp 時刻制御装置、時刻制御方法、およびプログラム
US10425429B2 (en) * 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
EP2816773B1 (de) 2013-06-18 2018-10-03 Alcatel Lucent Verfahren zur Berechnung und Analyse von Risiken und zugehörige Vorrichtung
JP6307453B2 (ja) * 2015-02-04 2018-04-04 株式会社日立製作所 リスク評価システムおよびリスク評価方法
US20160379326A1 (en) * 2015-06-25 2016-12-29 Marie N. Chan-Gove Risk modeling system
US10185832B2 (en) 2015-08-12 2019-01-22 The United States Of America As Represented By The Secretary Of The Army Methods and systems for defending cyber attack in real-time
US10148679B2 (en) * 2015-12-09 2018-12-04 Accenture Global Solutions Limited Connected security system
US10108803B2 (en) * 2016-03-31 2018-10-23 International Business Machines Corporation Automatic generation of data-centric attack graphs
US10015186B1 (en) * 2016-04-12 2018-07-03 Servicenow, Inc. Method and apparatus for reducing security risk in a networked computer system architecture
JP6253862B1 (ja) * 2017-01-18 2017-12-27 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A Weakest-Adversary Security Metric for Network Configuration Security Analysis, Oktober 30, 2006 [recherchiert am 11.07.2019]. Im Internet: <URL: https://dl.acm.org/citation.cfm?id=1179502> *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102023106449A1 (de) 2023-03-15 2024-09-19 Bayerische Motoren Werke Aktiengesellschaft Sicherheitsbewertung eines Computersystems

Also Published As

Publication number Publication date
WO2020070122A1 (de) 2020-04-09
US20210367962A1 (en) 2021-11-25
JP7333814B2 (ja) 2023-08-25
JP2022504140A (ja) 2022-01-13

Similar Documents

Publication Publication Date Title
DE102018216887A1 (de) Automatisches Abschätzen von Informationssicherheitsrisiken
DE60115845T2 (de) System und verfahren zur beurteilung der verletzlichkeit der netzsicherheit mit fuzzy logik regeln
EP1330685B1 (de) Prüfverfahren und prüfvorrichtung zur inbetriebnahme von mittels einer programmlogik gesteuerten systemen
DE102012102770B4 (de) System und Verfahren zur Fehlereingrenzung und Fehlerabschwächung basierend auf einer Netzwerkmodellierung
DE112018007373T5 (de) Sicherheits-evaluationssystem, sicherheits-evaluationsverfahren, und programm
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
EP3480672B1 (de) Verfahren zum erkennen und anzeigen von operator-zugriffen auf prozessobjekte sowie operator-system
DE102004045716A1 (de) Verfahren und maschinenlesbares Medium zur Verwendung von Matrizen zur automatischen Analyse von Netzereignissen und -objekten
DE10393571T5 (de) Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken
DE102022201746A1 (de) Verwaltung von rechenzentren mit maschinellem lernen
WO2004083983A2 (de) Vergleich von modellen eines komplexen systems
WO2006133865A1 (de) Dynamische priorisierung von prüfschritten in der werkstattdiagnose
WO2004083982A2 (de) Modellierung eines komplexen systems
EP3699704A1 (de) System und verfahren zum überprüfen von systemanforderungen von cyber-physikalischen systemen
CH701481B1 (de) Prozessmanagement.
EP1624614B1 (de) Automatische Planung von Netzwerkkonfigurationen
DE102005027977A1 (de) System und Verfahren zur Hochkapazitätsfehlerkorrelation
DE202023100942U1 (de) System für sichere Datenkommunikation in Smart Home-Umgebungen durch maschinelles Lernen
EP3508928A1 (de) Verfahren zum verarbeiten von alarmen in einem prozessleitsystem sowie operator-system
EP1717651A2 (de) Verfahren und Vorrichtung zum Auswerten von Ereignissen aus dem Betrieb eines Fahrzeuges
WO2010026151A1 (de) Verfahren zur einräumung einer zugriffsberechtigung auf ein rechnerbasiertes objekt in einem automatisierungssystem, computerprogramm und automatisierungssystem
DE102022114484A1 (de) Verfahren und System zur Reduzierung operationeller Risiken in einer Unternehmensarchitektur
EP0874321A2 (de) Relationales Speicher- und Datenverarbeitungssystem
EP4345665A1 (de) Detektieren eines angriffs auf ein zu schützendes computersystem
EP1736870A1 (de) Aktualisierungs-Management-System und Verfahren zum Bereitstellen von Aktualisierungs-Dateien unter Berücksichtigung von Nutzungsintensitätsdaten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0019000000

Ipc: G16Z0099000000

R016 Response to examination communication