Advertisement

Erhebung von Informations- und Datenquellen für Cyber-Lagebilder

  • Timea PahiEmail author
  • Florian Skopik
  • Peter Kieseberg
  • Maria Leitner
Chapter

Zusammenfassung

Ein Cyber-Lagezentrum ist eine zentrale Organisationseinheit, in der alle relevanten Informationen über Sicherheitsvorfälle zur Aufarbeitung und Bewertung zusammenlaufen. In diesem Zusammenhang sind die richtigen Informations- und Datenquellen unverzichtbare Bestandteile bei der Erstellung von Cyber-Lagebildern. Durch die Auswertung von zahlreichen Informationen und Daten kann das Situationsbewusstsein über den Zustand kritischer und wesentlicher Infrastrukturen auf unterschiedlichen Ebenen entstehen. Dazu ist es essenziell, die relevanten Quellen nutzbar zu machen.

Die Etablierung der Lagebilder benötigt die Kombination und Korrelation eines breiten Spektrums unterschiedlicher Daten. Daher wird in diesem Kapitel eine Kategorisierung von Informationen und Daten für Cyber-Lagebilder eingeführt. Informationen werden entweder zum Kernlagebild oder zum Kontext gezählt. Das Kernlagebild umfasst großteils kontextlose Daten und „Informationsbausteine“, wie etwa Beobachtungen, Indikatoren, Zwischen- und Störfälle, TTPs, Kampagnen, Akteure, Schwachstellen und Angreifer-Vorgehensweisen. Das Kernlagebild besteht aus Kerndaten (zum Beispiel von Sensoren) und Kerninformationen (zum Beispiel wesentliche Informationen über Netzstrukturen und Asset Management kritischer Betreiber), welche die Grundlage zur Erstellung des Lagebildes bilden. Die Kontextinformationen des Lagebildes hingegen decken all jene weiteren Informationen ab, welche für die zweckmäßige Interpretation des Kernlagebildes auf nationaler Ebene erforderlich sind.

Die erforderlichen Informationen für Lagebilder und Situationsbewusstsein werden aus unterschiedlichen Quellen gewonnen. Durch Analyse und Korrelation der unterschiedlichen Daten werden wertvolles Wissen und Erkenntnisse erzeugt. Die Quellen können nach verschiedenen Aspekten kategorisiert werden, wie z. B. nach Zugänglichkeit, Eigentümer der Information, Erfassungsart oder Strukturierung der Daten und Informationen, oder Relevanz für Entscheidungsebenen, nur um einige Beispiele zu nennen.

In Cyber-Lagezentren basieren die Entscheidungen auf der Auswertung von ständig wachsenden Datenbeständen bei zunehmend komplexer werdenden Datenstrukturen. Fehlentscheidungen, aufgrund nicht korrekter Informationen, können erheblichen Schaden verursachen. Daher ist die Bestimmung der Qualität von Daten und Informationen ein zentraler Themenbereich für Cyber-Lagezentren. Die Daten- und Informationsqualität bildet außerdem einen kritischen Aspekt im Bereich der nationalen Sicherheit. Beispielsweise haben Daten minderer Qualität beim Air France Vorfall 2013 im Einsatz zu einem falschen Alarm geführt. Auch die Anschläge bei 9/11 zeigten eine weitere Schwierigkeit der wachsenden Datenmenge, nämlich die rechtzeitige Datenaggregation und Korrelation. Laut dem Abschlussbericht von 9/11 gehören die inkonsequente Prioritätensetzung bei der Datenaggregation und die schlechten oder nicht vorhandenen Kommunikationswege zwischen den Behörden zu den kritischsten Bereichen. Um eine bestimmte Daten- und Informationsqualität gewährleisten zu können, ist eine konsequente Qualitätsbewertung essenziell. Daher beinhaltet das Kapitel eine Liste von Qualitätskriterien, die als Anforderungskatalog für die Informationssammlung für Cyber-Lagebilder dienen kann. Die weiteren Abschnitte setzen die bis dahin dargestellten theoretischen Modelle in die Praxis um und zeigen sowohl eine beispielhafte Evaluierung verschiedener Informationsquellen basierend auf einem Muster-Bewertungsschema als auch eine beispielhafte Auswahl von Informationen für Lagebilder zur Beurteilung spezieller Angriffsszenarien.

Literatur

  1. Alavi, M., & Leidner, D. E. (2001). Knowledge management and knowledge management systems: Conceptual foundations and research issues. MIS quarterly, 107-136.CrossRefGoogle Scholar
  2. Bantukul, A., & Marsico, P. J. (2015). U.S. Patent No. 9,043,451. Washington, DC: U.S. Patent and Trademark Office.Google Scholar
  3. BKA. (2013) Österreichische Strategie für Cyber Sicherheit. https://www.bundeskanzleramt.gv.at/cyber-sicherheit-egovernment (Letzter Zugriff: 21.05.2018)
  4. Bundesamt für Sicherheit in der Informationstechnik. (2012). Abwehr von DDoS-Angriffe, https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_002.pdf?__blob=publicationFile&v=2 (Letzter Zugriff: 21.05.2018)
  5. Bundesministerium des Innern. (2009). Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). https://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Nat-Strategie-Kritis_PDF.pdf?__blob=publicationFile (Letzter Zugriff: 21.05.2018)
  6. Cavusoglu, H., Cavusoglu, H., & Raghunathan, S. (2005). Emerging Issues in Responsible Vulnerability Disclosure. In WEIS.Google Scholar
  7. CERT.at. (2017). NIS-Richtlinie: Umsetzung aus österreichischer Sicht, https://www.cert.at/reports/report_2016_chap04/content.html (Letzter Zugriff: 21.05.2018)
  8. Conroy, N. J., Rubin, V. L., & Chen, Y. (2015). Automatic deception detection: Methods for finding fake news. Proceedings of the Association for Information Science and Technology, 52(1),1-4.CrossRefGoogle Scholar
  9. Eckerson, W. (2002) Data Quality and the Bottom Line: Achieving Business Success through a Commitment to High Quality Data/The Data Warehousing Institute. 2002.Google Scholar
  10. Eis, D., & Wolf, U. (2008). Qualitätssicherung beim Lymphozytentransformationstest–Addendum zum LTT-Papier der RKI-Kommission „Methoden und Qualitätssicherung in der Umweltmedizin“. 51, 1070-1076.Google Scholar
  11. English, L. P. (2005). Information quality: Critical ingredient for national security. Journal of Database Management, 16(1), 18.CrossRefGoogle Scholar
  12. ENISA. (2015). Guideline on Threats and Assets - Technical guidance on threats and assets in Article 13a, https://resilience.enisa.europa.eu/article-13/guideline_on_threats_and_assets (Letzter Zugriff: 21.05.2018)
  13. Europäische Kommission. (2001) Sicherheitsvorschriften der Kommission. (2001). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:317:0001:0055:DE:PDF (Letzter Zugriff: 21.05.2018)
  14. Europäisches Parlament. (2016).Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016L1148 (Letzter Zugriff: 21.05.2018)
  15. Ferstl, O. K., & Sinz, E. J. (2001). Grundlagen der Wirtschaftsinformatik (Vol. 5). München: Oldenbourg. S.131Google Scholar
  16. Deshpande, Tushar, et al. "Formal analysis of the DNS bandwidth amplification attack and its countermeasures using probabilistic model checking". High-Assurance Systems Engineering (HASE), 2011 IEEE 13th International Symposium on. IEEE, 2011.Google Scholar
  17. John Walker, S. (2014). Big data: A revolution that will transform how we live, work, and think.CrossRefGoogle Scholar
  18. Kim, D., & Kim, S. (2015). Design of quantification model for ransom ware prevent. World Journal of Engineering and Technology, 3(03), 203.CrossRefGoogle Scholar
  19. Köck, H., Krumböck, M., Ebner, W., Mandl, T., Fiedler, R., Skopik, F., & Lendl, O. (2015). Evaluierung von CAIS im praktischen Einsatz. In Cyber Attack Information System (pp. 119-147). Springer Vieweg, Berlin, Heidelberg.Google Scholar
  20. Kuratorium Sicheres Österreich. (2012). Cyber Sicherheit in Österreich. https://kuratorium-sicheres-oesterreich.at/wp-content/uploads/2015/02/Cyberrisikoanalyse.pdf (Letzter Zugriff: 21.05.2018)
  21. Layadi, A. (2000). Kosovokrieg und die Rolle der NATO & UNO.Google Scholar
  22. Lee, J., Bagheri, B., & Kao, H. A. (2015). A cyber-physical systems architecture for industry 4.0-based manufacturing systems. Manufacturing Letters, 3, 18–23.CrossRefGoogle Scholar
  23. Luo, X., & Liao, Q. (2007). Awareness education as the key to ransomware prevention. Information Systems Security, 16(4),195–202.CrossRefGoogle Scholar
  24. Machanavajjhala, A., Kifer, D., Abowd, J., Gehrke, J., & Vilhuber, L. (2008). Privacy: Theory meets practice on the map. In Proceedings of the 2008 IEEE 24th International Conference on Data Engineering (pp. 277–286). IEEE Computer SocietyGoogle Scholar
  25. MELANI. (2016). Technical Report about the Malware used in the Cyberespionage against RUAG. https://www.melani.admin.ch/melani/en/home/dokumentation/reports/technical-reports/technical-report_apt_case_ruag.html (Letzter Zugriff: 21.05.2018)
  26. National Commission On Terrorist Attacks Upon the Unites States. (2014) The 9/11 Commission Report, http://www.9-11commission.gov/report/911Report_Exec.htm (Letzter Zugriff: 21.05.2018)
  27. Naumann, K. (2004). Die Organisation der Sicherheit unter neuen Herausforderungen und die Zukunft der Bundeswehr. In Herausforderung Terrorismus (pp. 99-135). VS Verlag für Sozialwissenschaften.Google Scholar
  28. Ntanos, C., Botsikas, C., Rovis, G., Kakavas, P., & Askounis, D. (2014). A context awareness framework for cross-platform distributed applications. Journal of Systems and Software, 88, 138–146.CrossRefGoogle Scholar
  29. NIST Special Publication 800-53. (2013). http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf (Letzter Zugriff: 21.05.2018)
  30. Pahi T., Leitner M., Skopik F. (2017). Data Exploitation at Large: Your Way to Adequate Cyber Common Operating Pictures, Academic Conferences and Publishing International Limited Reading, UK, ISBN 978-1-911218-43-2Google Scholar
  31. Spiegel Online. (2007). Wer steckt hinter dem Cyberangriff auf Estland?, http://www.spiegel.de/spiegel/print/d-51644730.html (Letzter Zugriff: 21.05.2018)
  32. Steinhoff, C. (2008). Quantifizierung operationeller Risiken in Kreditinstituten: eine Untersuchung unter besonderer Berücksichtigung von Szenarioanalysen im Rahmen von Verlustverteilungsmodellen. Cuvillier Verlag.Google Scholar
  33. Sweeney, L. (2002). k-anonymity: a model for protecting privacy'International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10, 5 (2002) 557–570.Google Scholar
  34. Symantec. (2016). Internet Security Threat Report, Volume 21. Version: April 2016, https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf, Daten aus der Symantic Quelle abgebildet (Letzter Zugriff: 21.05.2018)
  35. TrendMicro. (2015). Below the Surface: Exploring the Deep Web, TrendLabs Research Paper. https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_below_the_surface.pdf (Letzter Zugriff: 21.05.2018)
  36. U.S. Department of Homeland Security. (2013). NIPP 2013 – Partnering for Critical Infrastructure Security and Resilience, https://www.dhs.gov/sites/default/files/publications/NIPP%202013_Partnering%20for%20Critical%20Infrastructure%20Security%20and%20Resilience_508_0.pdf (Letzter Zugriff: 21.05.2018)
  37. US-CERT. (2017). UDP-Based Amplification Attacks. https://www.us-cert.gov/ncas/alerts/TA14-017A (Letzter Zugriff: 21.05.2018)
  38. Wichowski, D. E., & Kohl, L. E. (2012). Establishing Credibility in the Information Jungle: Blogs, Microblogs, and the CRAAP Test. Online Credibility and Digital Ethos: Evaluating Computer-Mediated Communication, 229-251.Google Scholar
  39. Ye, Hua, WeiChao Dai, and Xiaodong Huang. (2016). „File backup to combat ransomware“. U.S. Patent 9,317,686, issued April 19Google Scholar
  40. Zargar, S.T., Joshi, J., Tipper, D. (2013) A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks. IEEE Communications Surveys & Tutorials, vol.15, no.4, pp.2046,2069.CrossRefGoogle Scholar

Copyright information

© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2018

Authors and Affiliations

  • Timea Pahi
    • 1
    Email author
  • Florian Skopik
    • 2
  • Peter Kieseberg
    • 3
  • Maria Leitner
    • 4
  1. 1.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  2. 2.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  3. 3.SBA ResearchWienÖsterreich
  4. 4.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich

Personalised recommendations