Auflistung aller Beiträge aus der Kategorie

Veröffentlichungen

ψ² = Ps(i)²

Bestandteile des Business Case Information Security

UmfrageIn der aktuellen Ausgabe der <kes> finden Sie unter dem Titel “Business Case Information Security” einen Artikel von mir, der die Bestandteile dieser wirtschaftlichen Entscheidungsgrundlage aufzeigt. Im Vorfeld zu dem Artikel hatte ich eine Umfrage gestartet, welche Wirtschaftlichkeitsbetrachtungen in deutschen Unternehmen und der Verwaltung zum Einsatz kommen.

Das Ergebnis war ganz interessant. Immerhin 37% der Befragten gaben an derartige Entscheidungen aus dem Bauch heraus zu bewerten. Mich würde Ihre Einschätzung interessieren:

Wie gehen Sie die Sache an?

[SURVEYS 2]

Lesen Sie mehr →
ψ² = Ps(i)²

Ist der DROPS gelutscht?

Vor fünf Jahren wurde an der Uni Hannover ein Diskussionspapier vorgestellt, das unter dem handlichen Akronym DROPS einen Ansatz zur Modellierung der Sicherheit von Informationssystemen vorschlug. Das dimensions-relationale organisations- und problembezogene Sicherheitsmodell (DROPS) dient der Komplexitätsreduktion von Sicherheitsproblemen in betrieblichen Informationssystemen.

DROPS (Digital image content © 1997-2007 Hemera Technologies Inc., eine 100-prozentige Tochtergesellschaft von Jupiter Images Corporation. Alle Rechte vorbehalten.)

Nach der Beschreibung der Organisationssicht wird bei der Modellierung der Problemsicht die Komplexität schwachstellenbezogen reduziert. Dazu werden die beiden Sichten relational miteinander verbunden. ‘Was ist aus dem interessanten Ansatz geworden’, habe ich die Autoren Andreas Prieß und Dr. Gabriela Hoppe gefragt.

In einem Mailwechsel teilten mir die Autoren mit, dass es in den vergangen Jahren eher ruhig um ihren Ansatz geworden ist. Die zunächst angedachte Erweiterung des Modells um Elemente der Kosten- und Nutzenanalyse von Sicherheitsmaßnahmen wurde in dieser Zeit nicht  weiterverfolgt:

“Frau Hoppe und ich haben den DROPS-Ansatz nach der Veröffentlichung bisher nicht mehr weiterentwickelt. Hinsichtlich der Sicherheit von Informationssystemen lag der Fokus eher auf dem im DROPS-Artikel erwähnten Sicherheitskubus. (…)  Natürlich freuen wir uns, wenn Sie Gedanken aus DROPS aufgreifen und den Ansatz weiterentwickeln.”

Ist der DROPS also gelutscht? Was die wissenschaftliche Ausarbeitung angeht: Zum jetzigen Zeitpunkt ja! Trotz Allem lohnt sich ein Blick in das Ursprungsdokument, in dem auch der besagte Sicherheitskubus erwähnt wird. Im Buch “Sicherheit von Informationssystemen” der beiden Autoren wird der Ansatz detailierter vorgestellt (ISBN 978-3482525711).

Lesen Sie mehr →
ψ² = Ps(i)²

1.000.000$ Budget für ein Angreifer-Team

Wie kann man Information Security im Rahmen einer Wirtschaftlichkeitsbetrachtung bewerten? Eine Argumentation ist sicher besser als jede andere: Zahlen, Daten, Fakten.

In der nächsten <kes> wird unter dem Titel “Business Case Information Security” ein ausführlicher Artikel von mit zum diesem Thema erscheinen. Für die meisten Kennzahlen werden schlicht Einnahmen und Ausgaben gegenübergestellt. Beim ROISI-Ansatz werden jedoch auch die Kosten berücksichtigt, die ein Angreifer bereit ist auf sich zu nehmen.

Auch Richard Bejtlich hat sich der Frage mit einem Beitrag in seinem Blog von der Angreifer-Seite genähert.

“Ich will diese Frage aus einem anderen Winkel beleuchten, indem ich mir ausmale, was ein Black Hat mit einem Budget von einer Million Dollar anfangen würde,” schreibt Beytlich. Die Ideen hier sind grobe Annäherungen. Sie sind bestimmt kein Black-Hat-Businessplan. Ich empfehle niemandem so vorzugehen, obwohl ich sicher bin, das es Leute gibt, die diese Arbeit bereits erledigen.

Das klingt spannend. Und so sieht das Projekt und die zugehörige Ressourcenplanung aus:

Eckdaten:

Name des Projekts: Project Intrusion (PI)
Ziel des Projekts: Informationsdiebstahl und Verkauf an den Meistbietenden
Weitere Ziele: Tool-Entwicklung zur Erreichung des Projektziels und evtl. deren Verkauf
Budget: 1.000.000$

Personalplanung:

Anteil am Gesamtbudget: 750.000$
Team-Leiter (120.000$):
Erfahrung in Schwachstellen-Tests,  Exploit-Entwicklung, Penetration-Tests, Unternehmensverteidigung, Business Intelligence. Aufgabe: Vision für das Team entwickeln und Vertrieb.
3 Tool-Entwickler (110.000$):
Einer mit Schwerpunkt Windows Betriebssystem, Client und Applikationen; einer für Web-Applikationen und der dritte für Unix und Netzwerkinfrastruktur.
2 Angreifer (90.000$):
Aufgabe: Angriff der vom Team-Leader festgelegten Ziele mit den entwickelten Tools und Sicherstellung der benötigten Informationen.
Business-Intelligence-Koordinator (120.000$):
Aufgabe: Koordinierung der Angreifer und Auswertung/ Wertfeststellung der sichergestellten Informationen. Vertragsverhandlungen mit den Kunden.

Materialplanung:

Anteil am Gesamtbudget: 200.000$
Computer-Labor: Nachbildung der Angriffsobjekte
Angriffssysteme: Arbeitsplatzsysteme der Angreifer
Netzzugang und Hosting: Weltweit verteilt
Software-Ausstattung: Kein Grund zum cracken, das Budget ist groß genug!

Sonstiges:

50.000$ stehen für Reisekosten, Team-Boni etc. zur Verfügung. Wenn es gelingt, mit der Tool-Entwicklung Erlöse zu erzielen, werden diese in weitere Angreifer investiert, um einen 24/7-Betrieb sicherstellen zu können.

Und jetzt?

Jetzt steht ein Team, das nahezu jedes avisierte Ziel atackieren kann – mit eigenen Exploits, eigenen Tools und eigenen Methoden. Vergleichen Sie das PI-Team mit Ihrem Security-Team. Ähnlich gut ausgestattet? Wahrscheinlich nicht.

Und das PI-Team kann die einmal entwickelten Methoden in beliebig vielen Angriffen einsetzen. Dafür müssen nur zusätzliche Angreifer eingestellt werden. Wenn das Team (wie im Beitrag Für 55 Millionen Dollar kostenlos telefonieren beschrieben) Telefonanlagen angreift und die Zugänge über ein Call-Center vertreibt, ist es nur mit dieser einen Methode leicht möglich schwarze Zahlen zu schreiben und die Investitionskosten wieder reinzuholen.

Interessant vor Allem deshalb, weil es für Angreifer deutlich leichter ist einen Return zu erzielen als für die Verteidiger. Das leuchtet ein, wenn man bedenkt, das die Verteidiger in den seltensten Fällen ein Produkt haben, das sich verkaufen lässt. Hier könnte der Return on Information Security Investment ROISI nach Mizzi weiterhelfen. Stellt er doch das Security-Budget mit den Kosten für einen Angriff in einen Zusammenhang.

Haben Sie einen Angriff vom PI-Team zu befürchten? ROISI sagt Ihnen, ob Sie genug für Sicherheit investieren. Bedenken Sie: Solche Teams gibt es bereits! Geheimdienste und Armeen unterhalten solche Angriffseinheiten. Selbstredent, dass die ihre Erkenntnisse an die einheimische Wirtschaft – Ihre internationale Konkurrenz – weitergeben!

Der Frage der wirtschaftlichen Betrachtung von Informationssicherheit habe ich mich schon in diesen Beiträgen gewidmet:

Lesen Sie mehr →
ψ² = Ps(i)²

Was kostet die Verteidigung?

Diese Frage treibt mich wirklich um: Wie kann man Information Security im Rahmen einer Wirtschaftlichkeitsbetrachtung bewerten? Welche Argumentation ist besser als eine auf Grundlage wirtschaftlicher Erwägungen: Zahlen, Daten, Fakten.

In der nächsten <kes> wird unter dem Titel “Business Case Information Security” ein ausführlicher Artikel von mit zum diesem Thema erscheinen. Für die meisten Kennzahlen werden schlicht Einnahmen und Ausgaben gegenübergestellt. Beim ROISI-Ansatz werden jedoch auch die Kosten berücksichtigt, die ein Angreifer bereit ist auf sich zu nehmen.

Auch Richard Bejtlich hat sich dieser Frage in seinem Blog genähert. Die Höhe des Security-Budgets beleuchtete er in dem Artikel How Much to Spend on Digital Security.

“Ich denke nicht, dass man irgendeine Faustregel anwenden sollte, um zu entscheiden, wie viel ein Unternehmen für Sicherheit ausgibt,” schreibt Beytlich.

Er schlägt zwei Ungleichungen zur Diskussion vor, die mir gut gefallen. Der Wert der Unternehmensinformationen bildet zunächst eine Art logische obere Schranke für die Sicherheitsausgaben:

[1] Wert der Unternehmensinformationen ≥ Sicherheitsausgaben

Wenn die Sicherheitsausgaben als Teil des IT-Budgets gesehen werden, ergibt sich so eine weitere obere Schranke:

[2] IT-Budget ≥ Sicherheitsausgaben

Die Kombination aus Gleichung [1] und [2] impliziert gewissermaßen, dass die Unternehmensinformationen nicht mehr Wert sind, als das IT-Budget. Sinkt das IT-Budget, sinkt der theoretische Wert der Unternehmensinformationen. Welches Unternehmen kennt schon den praktischen Wert seiner Informationen?! Mit diesem Zusammenhang kann man jedoch die Frage stellen, ob der theoretische Wert wenigstens in der Nähe liegen könnte.

“Risikoberechnungen oder Return-on-Investment- Kalkulationen sind subjektiv und ein Witz. Alles was ich anbieten kann sind einige Leitlinien, sagt Beytlich. Seine Leitlinien in verkürzter Fassung:

  1. Fokussieren Sie auf Outputs, nicht Inputs. Es ist egal, wie viel Sie für Security ausgeben (Input), wenn das Unternehmen offen wie ein Scheunentor ist (Output).
  2. Zweitens ist Sicherheit ein IT-Problem, kein Problem der Sicherheitsleute. Je früher die Prozesseigner das verstehen und die Verantwortung für Ihre Systeme übernehmen, umso weniger Einbrüche wird es geben und umso größer ist die Chance digitale Erdbeben zu überstehen.
  3. Drittens, erzählen Sie jedem, der zuhört, was Sie benötigen um Ihren Job zu erledigen und was auf dem Spiel steht, wenn Sie dazu nicht in der Lage sind. Sie müssen Verbündete finden, die daran interessiert sind, die Wahrheit über die potemkinschen Dörfer an die Verantwortlichen zu berichten.

Diese Leitlinien sind ja ganz nett, aber helfen sie wirklich besser, wie Risikoberechnung und Return-Kalkulationen? Ich denke nicht! Die Leitlinien haben für mich leichte Züge einer Kapitulation vor dem Umfang eines gut ausgearbeiteten Business-Case, in dem ein ROSI nur eine Kennzahl von vielen darstellt und entsprechend ergänzt werden muss.

Der Frage der wirtschaftlichen Betrachtung von Informationssicherheit habe ich mich schon in diesen Beiträgen gewidmet:

Lesen Sie mehr →
ψ² = Ps(i)²

Manuskript zum Business Case Information Security fertiggestellt

Mein Artikel zum Thema Business Case Information Security – Modelle und Möglichkeiten einer Wirtschaftlichkeitsanalyse liegt endlich in der <kes>-Redaktion zur Bearbeitung. Mit fast 26000 Zeichen und 9 Abbildungen natürlich hoffnungslos zu lang. Ist irgendwie fast ‘ne Diplomarbeit draus geworden.

Themen: Wirtschaftlichkeitsprinzipien, Kosten-Nutzen-Analysen, Pareto-Prinzip nach BSI, Total Cost of Ownership (TCO), Total Benefit of Ownership (TBO), Return on Security Investment (ROSI), Return on Information Security Investment (ROISI), Software-Nutzen-Portfolio, Entscheidungsmatrix

Lesen Sie mehr →