Advertisement

Evaluierung des Cyber Lagebildkonzepts im praktischen Einsatz

  • Miriam KaundertEmail author
  • Louis Ziegler
  • Timea Pahi
  • Florian Skopik
  • Maria Leitner
  • Peter Kieseberg
  • Bernhard Schwanzer
  • John Kojo Ampia-Addison
Chapter

Zusammenfassung

Der im Rahmen des CISA Projektes erstellte technische Demonstrator wurde in einer eintägigen, iterativen Planspielübung analysiert und für einen möglichen Realeinsatz evaluiert. Die praktische Anwendung des Demonstrators durch die Teilnehmenden stellte einen Abgleich der entwickelten Cyber Incident Situational Awareness (CISA) -Definition mit einer möglichen Anwendungsrealität dar und agierte als Feuerprobe für die Nützlichkeit der dargestellten Datentypen und -verknüpfungen zur Lagebeurteilung durch Identifikation von Schwachstellen in den verwendeten Visualisierungsoptionen. Diese Tauglichkeitsprüfung soll zur Schärfung der Bedürfnisse – einerseits für die Nutzung von Daten zur Lagebeurteilung, andererseits für die Schulung zukünftiger Operateure – beitragen. Hierbei wurde vor allem der Bedarf nach intensivem Training und klarer Rollendefinition einerseits für die Operateure eines Lagezentrums, andererseits für das Lagezentrum selbst, aufgezeigt. Eine der Kernbeobachtungen waren die unterschiedlichen Wünsche einerseits nach „mehr“ Daten und mehr Information und andererseits nach aggregierterer Darstellung und ausgeprägterer Interpretation durch die Software. Der Umgang mit Informationsunsicherheit in der Lagebeurteilung wird daher einen besonders prominenten Fokus für zukünftige Operateure darstellen. Eine vollautomatisierte Darstellung eines Lagebildes, in welcher das Softwaretool selbst eine Beurteilung der Lage erstellt und ausgibt, konnte mit den vorliegenden Mitteln nicht erreicht werden und es muss in Zukunft beurteilt werden, in welchem Ausmaß eine maschinelle Interpretation von Daten zur Lagebilderstellung einerseits möglich und andererseits erwünscht ist. Nach Auswertung des durchgeführten Planspiels ist die Aufwendung menschlicher „Übersetzungsleistung“ für die Entwicklung einer Lageeinschätzung unabdingbar.

Literatur

  1. Andrews, F. M. (1984) ‘Construct Validity and Error Components of Survey Measures: A Structural Modeling Approach’, Public Opinion Quarterly, 48 (2): 409–42.MathSciNetCrossRefGoogle Scholar
  2. Anonymous (2017a) ‘Cyber-attack was about data and not money, say experts’, BBC, 29.06. Online @: http://www.bbc.com/news/technology-40442578 (Letzter Zugriff: 21.05.2017)
  3. Anonymous (2017b) Virus ist gefährlicher als Wanna Cry‘, Tagesanzeiger, 28.06. Online @: https://www.tagesanzeiger.ch/ausland/europa/hacker-greifen-firmen-in-ganz-europa-an/story/16538414 (Letzter Zugriff: 21.05.2017)
  4. Anonymous (2017c) ‘Cyber-Attacke Petya war kein Erpressungstrojaner - sondern Schlimmeres‘, die Presse, 26.06. Online @: https://diepresse.com/home/techscience/internet/5243277/CyberAttacke-Petya-war-kein-Erpressungstrojaner-sondern-Schlimmeres (Letzter Zugriff: 21.05.2017)
  5. Anonymous (2017d) ‚Cyberattacke: Österreichische Unternehmen betroffen‘, Kurier, 28.06. Online @: https://kurier.at/politik/ausland/cyberattacke-oesterreichische-unternehmen-betroffen/272.263.310 (Letzter Zugriff: 21.05.2017)
  6. Anonymous (2017e) ‚Petya verursacht Millionenschaden in Österreich‘, futurezone, 29.06. Online @: https://futurezone.at/digital-life/petya-verursacht-millionenschaden-in-oesterreich/272.456.403 (Letzter Zugriff: 21.05.2017)
  7. Bagozzi, R. P. (1980), Causal Models in Marketing, New York: WileyGoogle Scholar
  8. Boin, A., Kofman-Bos, C. und Overdijk, W. (2004) ‘Crisis Simulations: Exploring Tomorrow’s Vulnerabilities and Threats’, Simulation and Gaming, 35 (3): 378-393.CrossRefGoogle Scholar
  9. Bundesamt für die Sicherheit in der Informationstechnik (BSI) (2008): BSI-Standard 100-4 – Notfallmanagement. Bonn, Online @ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1004.pdf?__blob=publicationFile&v=1 (Letzter Zugriff: 21.05.2017)
  10. Bundesamt für die Sicherheit in der Informationstechnik (BSI) (2014): IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen. Bonn: Geschäftsstelle der UP KRITIS, Online @ https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Notfall_Krisen%C3%BCbung.pdf?__blob=publicationFile (Letzter Zugriff: 21.05.2017)
  11. Bundesamt für Sicherheit in der Informationstechnik (BMI) (2017), Schutz Kritischer Infrastrukturen. Online @:https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Schutz-Kritischer-Infrastrukturen-ITSig-u-UP-KRITIS.pdf?__blob=publicationFile&v=7 (Letzter Zugriff: 02.08.2018)
  12. Bundesministerium des Innern (BMI) (2008): Anlagen zum Konzept für Notfall und- Krisenübungen in Kritischen Infrastrukturen. Umsetzungsplan Kritis, Berlin, 12/2008; Online @: http://docplayer.org/10002239-Anlagen-zum-konzept-fuer-notfall-und-krisenuebungen-in-kritischen-infrastrukturen.html (Letzter Zugriff: 21.05.2018)
  13. Campbell, D. T. und Fiske, D. W. (1959) ‘Convergent and discriminant validation by the multitrait-multimethod matrix’, Psychological Dashin, 56 (2): 81–105.CrossRefGoogle Scholar
  14. Clarke, K. (1999), Getting Started with GIS, 2nd ed., Prentice Hall Series in Geographic Information Science, ed. Kieth Clarke. Upper Saddle River, NJ: Prentice Hall, 1999, 2–3Google Scholar
  15. della Porta, D. und Keating, M. (2008) Approaches and Methodologies in the Social Sciences: A Pluralist Perspective, Cambridge: Cambridge University PressGoogle Scholar
  16. Dunbar, C., Rodriguez, D., und Parker, L. (2001) ‚Race, Subjectivity and the Interview Process‘ in J. F. Gubrium und J. A. Holstein (Hg.) Handbook of Interview Research: Context and Method, Thousand Oaks/London/New Delhi: Sage Publications:279-298Google Scholar
  17. Frenkel, S, Scott M. und Mozur, P. (2017) ‘Mystery of Motive for a Ransomware Attack: Money, Mayhem or a Message’, The New York Times, 28.06. Online @: https://www.nytimes.com/2017/06/28/business/ramsonware-hackers-cybersecurity-petya-impact.html (Letzter Zugriff: 21.05.2018)
  18. Hay Newman, L. (2017) ‚Latest Ransomware Hackers Didn’t Make WannaCry’s Mistakes‘, Wired, 27.06. Online @ https://www.wired.com/story/petya-ransomware-wannacry-mistakes/(Letzter Zugriff: 21.05.2018)
  19. Hofinger, G., Heimann, R., und Kranaster, M. (2016) ‚Ausbildung und Training von Stäben‘, in G. Hofinger und R. Heimann (Hg.) Handbuch Stabsarbeit: Führungs- und Krisenstäbe in Einsatzorganisationen, Berlin, Heidelberg: Springer: 235-241CrossRefGoogle Scholar
  20. Iaorissi, G. (2006) The Power of Survey Design, Washington: The World BankGoogle Scholar
  21. Krosnick, J. A. und Fabrigar, L. R. (1997) ‚Designing Rating Scales for Effective Measurement in Surveys‘, in L. Lyberg, P. Biemer, M. Collins, E. de Leeuw, C Dippo, N. Schwarz und D. Trewin (Hg.) Survey Measurement and Process Quality, New York: John Wiley: 141-164CrossRefGoogle Scholar
  22. Krosnick, J. A., Narayan, S., und Smith, W. R. (1996) ‚Satisficing in surveys: Initial evidence’, in M. T. Braverman und J. K. Slater (Hg.), Advances in survey research, San Francisco: Sage: 29-44CrossRefGoogle Scholar
  23. Likert, R. (1932) A Technique for the Measurement of Attitudes, New York: Columbia University PressGoogle Scholar
  24. Madden, T. M., und Klopfer. F. J. (1978) ‚The “cannot decide” option in Thurstone-typic attitude scales’, Educational and Psychological Measurement, 38: 259-264.CrossRefGoogle Scholar
  25. Mayring, P. (2000) ‚Qualitative Content Analysis‘, Forum: Qualitative Social Research, 1 (2): Art. 20. Online @: http://nbnresolving.de/urn:nbn:de:0114-fqs0002204, letzter Zugriff am 08.02.2018
  26. Murdoch, B. B. (1962) ‘The serial position effect of free recall’, Journal of Experimental Psychology, 64 (5): 482-488. Online @: https://pdfs.semanticscholar.org/f518/20619ca42c5799f3c5acc3855671b905419c.pdf (Letzter Zugriff: 21.05.2018)CrossRefGoogle Scholar
  27. North Atlantic Treaty Organisation (NATO) (2013) 75-3 Collective Training and Exercise Directive. 10/2013; Online @: http://www.act.nato.int/images/stories/structure/jft/bi-sc-75-3_final.pdf (Letzter Zugriff: 21.05.2018)
  28. National Institute of Standards and Technology (2013) ‘Security and Privacy Controls for Federal Information Systems and Organizations’, NIST Special Publication 800-53, Revision 4. Online @: http://dx.doi.org/10.6028/NIST.SP.800-53r4 (Letzter Zugriff: 21.05.2018)
  29. Peter, J. P. (1981) ‚Construct Validity: A Review of Basic Issues and Marketing Practices‘, Journal of Marketing Research, 28: 133-145.CrossRefGoogle Scholar
  30. Thurstone, L. L., und Chave, E. J. (1929) The Measurement of Attitudes, Chicago: University of Chicago PressGoogle Scholar

Copyright information

© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2018

Authors and Affiliations

  • Miriam Kaundert
    • 1
    Email author
  • Louis Ziegler
    • 2
  • Timea Pahi
    • 3
  • Florian Skopik
    • 4
  • Maria Leitner
    • 5
  • Peter Kieseberg
    • 6
  • Bernhard Schwanzer
    • 7
  • John Kojo Ampia-Addison
    • 8
  1. 1.Infraprotect, Gesellschaft für RisikoanalyseNotfall- und Krisenmanagement GmbHWienÖsterreich
  2. 2.Infraprotect, Gesellschaft für RisikoanalyseNotfall- und Krisenmanagement GmbHWienÖsterreich
  3. 3.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  4. 4.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  5. 5.Center for Digital Safety & SecurityAIT Austrian Institute of TechnologyWienÖsterreich
  6. 6.SBA ResearchWienÖsterreich
  7. 7.Thales AustriaWienÖsterreich
  8. 8.Thales AustriaWienÖsterreich

Personalised recommendations