und eine Entschuldigung vorweg: Mein Thema geht etwas am allgemeinen Diskussionsfaden vorbei, ein passenderes Brett habe ich aber nicht gefunden…
Im Rahmen meiner Diplomarbeit werde ich ein Programm entwickeln, mit dem die Sicherheit eines Unternehmens anhand eines Fragebogens (grob!) geprüft werden kann. Resultat der Prüfung soll unter anderem eine Art „Sicherheitsprofil“ sein, welches die eklatantesten Schwachstellen aufzeigt und den möglichen Schaden beziffert, der durch diese Schwachstellen verursacht werden kann (anhand von Indexkennzahlen und Benchmarks).
Ich habe inzwischen schon Informationen zur „Attack tree“-Methode von Bruce Schneier, zur „OCTAVE“-Methode der Carnegie Mellon University und zu der Herangehensweise über die „Annual loss expectancies“ (ALE), wie sie vor kurzem erst im Linux Journal erläutert wurde. Gibt es noch andere wichtige Methoden, die ich kennen sollte? Und kennt jemand gute Literatur oder Links zum Thema „Bewertung von Sicherheitsrisiken“?
Im Rahmen meiner Diplomarbeit werde ich ein Programm
entwickeln, mit dem die Sicherheit eines Unternehmens anhand
eines Fragebogens (grob!) geprüft werden kann. Resultat der
Prüfung soll unter anderem eine Art „Sicherheitsprofil“ sein,
welches die eklatantesten Schwachstellen aufzeigt und den
möglichen Schaden beziffert, der durch diese Schwachstellen
verursacht werden kann (anhand von Indexkennzahlen und
Benchmarks).
Mich würe intressieren, wie der Fragebogen aussehen soll. Und wie Du Dir vorstellst durch einen Fragebogen(!) auch nur grob die Sicherheit des Unternehmens bewerten zu wollen?
Wie soll sowas ein allgemeiner Fragebogen leisten können?
Mich würe intressieren, wie der Fragebogen aussehen soll. Und
wie Du Dir vorstellst durch einen Fragebogen(!) auch nur grob
die Sicherheit des Unternehmens bewerten zu wollen?
Wie soll sowas ein allgemeiner Fragebogen leisten können?
Fragen über Fragen… und die zu klären, wird die Hauptaufgabe meiner Diplomarbeit (die ich ja noch weitgehend vor mir habe). Die Idee sieht momentan folgendermassen aus: Das Programm enthält eine Datenbank mit den bekanntesten Vermögensgegenständen (nicht nur Hardware, sondern auch immaterielle Vermögensgegenstände wie „E-Mails“ und „Kundendaten“), Risiken (Verlust, Integrität, Vertraulichkeit, Zuverlässigkeit) und Schwachstellen (DoS-Attacken, Lauschangriffe, Viren, …). Im Rahmen der Befragung werden zunächst die schützenswerten Vermögensgegenstände ermittelt und die potenziellen Schäden durch bekannte Risiken berechnet. Zum Beispiel:
Vermögensgegenstand: E-Mail
Risiko: Zuverlässigkeit
Schwachstelle: DoS-Angriff auf SMTP-Gateway
pot. Schadenskosten: - benötigte Ressourcen zur Wiederherstellung
(einmalig) - Kosten durch verringerte Produktivität
- ...
pot. Schadenskosten: einmalige Kosten \* erwartete Häufigkeit
(geschätzt pro Jahr)
Diese Betrachtung wird für alle wichtigen Vermögensgegenstände des Unternehmens durchgeführt. Schliesslich werden die Hauptrisiken - geordnet nach potenzieller Schadenshöhe - aufgezeigt und mögliche Massnahmen zur Reduktion dieser Risiken genannt. Vorteil für den Kunden: Er hat „etwas in der Hand“, was ihm (und seinem Chef) zeigt, wie kostspielig vernachlässigte Sicherheit sein kann. Vorteil für die Firma, welche diese Befragung durchführt: Sie kann ihr Angebot genau abstimmen auf den Bedarf beim Kunden.
Mir ist klar, dass einige Zahlen in diesem Fragebogen ziemlich aus dem Trüben gefischt sein werden, und das viele kleinere Schwachstellen nicht in die Betrachtung mit einbezogen werden können. Darum geht es aber auch gar nicht. Sinn dieser Aktion soll es hauptsächlich sein, ein Bewusstsein für das mögliche Risiko beim Kunden zu wecken und den Vertrieblern ein Werkzeug an die Hand zu geben, mit dem sie ohne großes technisches Wissen eine halbwegs fundierte Sicherheitsberatung durchführen können.
Hi,
also ich kenne jemanden, der etwas Ähnliches für das BSI entwickelt hat. Es ist eine Software für Unix-Derivate, die ziemlich viele bekannten Sicherheitslöcher austestet und einen entsprechenden Bericht erstellt.
Bei bedarf kann ich mal den Kontakt vermitteln. Wohnt übrigens in Berlin.
(anhand von Indexkennzahlen und
Benchmarks).
Gibt es noch andere wichtige
Methoden, die ich kennen sollte? Und kennt jemand gute
Literatur oder Links zum Thema „Bewertung von
Sicherheitsrisiken“?
Erstmal: Das ist absolut das richtige Forum dafür, weil das absolut ein Sicherheitsthema ist.
An Standards empfehle ich Dir die ISO 17799 bzw BS 7799 (British Standard), die gibt’s aber leider nicht frei verfügbar, kann man sich aber als Student beim Patentamt kopieren. Zu Benchmarks ein Link:
Die beschäftigen sich nur mit sowas! Hast Dir aber ein super Thema ausgesucht, da gibt’s ne Menge Bedarf… Stell ich mir allerdings nicht ganz leicht vor. However, viel Spaß und Glück damit,