computerwoche.de

Archiv

Wissensbasiertes System erlaubt Verbesserung der Informationssicherheit

Asis analysiert Risiken und schaetzt Gegenmassnahmen ein

19.03.1993

Das Ziel des Projektes Asis (Anwenderanforderungen an die Sicherheit von Informationen und Informationssystemen/- komponenten) bestand in der Entwicklung eines wissensbasierten Systems durch die Siemens Nixdorf Informationssysteme AG zur Unterstuetzung von Risikoanalyse, Sicherheitsplanung und Risiko- Management. Als Entwicklungsgrundlage diente ein vom Betriebswirtschaftlichen Institut fuer Organisation und Automation an der Universitaet zu Koeln (Bifoa) erstelltes Modell, das alle relevanten Loesungsvorschlaege, moegliche alternative Realisierungsformen sowie Begruendungen fuer die gewaehlten Loesungswege eroertert.

Der Risiko-Management-Ansatz entwickelte sich aus dem wachsenden Beduerfnis grosser Industrieunternehmen, die Risiken im Bereich der Informationssicherheit systematischer zu handhaben. Risiko- Management soll die zu schuetzenden Vermoegenswerte ermitteln, Sicherheitsrisiken mit ihren Auswirkungen und Kosten identifizieren und beschreiben - zum Beispiel Schwachstellen des IT-Systems hinsichtlich Integritaet, Verfuegbarkeit und Vertraulichkeit -, geeignete Abhilfen vorschlagen und eine Kosten-Nutzen-Rechnung vornehmen, um dann die als notwendig und kosteneffizient erkannten Gegenmassnahmen zu realisieren.

Mit Asis lassen sich Entscheidungen des Risiko-Managements nachvollziehen (Revisionssicherheit). Asis dokumentiert und sichert das sicherheitstechnische Know-how des Anwenderunternehmens. Das System stellt sicher, dass unternehmensweit nach den gleichen Regeln entschieden und gearbeitet wird (konsistente Entscheidungsfindung).

Ein Risiko-Management-Ansatz wird in fuenf Hauptphasen umgesetzt:

- Initiierung: Die Unternehmensleitung muss ein Sicherheitsbewusstsein entwickeln. Es ist festzulegen, welche Prioritaet die Sicherheit der Informationsverarbeitung im Vergleich zu anderen Zielen des Unternehmens beziehungsweise der IV haben soll. Daraus gehen Umfang und Grenzen des Sicherheits-Managements hervor, so dassVerantwortungsbereiche vorlaeufig zugeteilt werden koennen.

- Implementierung: Sie beginnt mit derAnalyse von internem und externem Know-how. Verantwortungsbereiche koennen jetzt auf Dauer abgegrenzt werden. Bei den Mitarbeitern soll ein Bewusstsein fuer die konkretisierend beschriebenen Sicherheitsziele geschaffen werden. Obligatorische Sicherheitsstandards, Richtlinien und Hilfsmittel sind festzusetzen. Weitere Schritte sind: Analyse relevanter Rahmenbedingungen; Steuerung der operativen Taetigkeiten, also der Analysen von Sicherungsmoeglichkeiten und Risikohandhabung; Zuteilung von Ressourcen; Festlegung von Kontroll- und Revisionsstandards; Darstellung und Praesentation der Risiken vor den Entscheidungstraegern; Definition der jeweiligen Risikohandhabung (Akzeptanz, Vermeidung, Verminderung oder Ueberwaelzung des Risikos auf externe Schadenstraeger, zum Beispiel Versicherungen).

- Risikoanalyse: Sie gliedert sich in Risikoerkennung und Risikobewertung.

- Analyse der Sicherungsmoeglichkeiten: Sicherheitsmassnahmen muessen identifiziert und im Hinblick auf ihr Kosten-Nutzen-Potential bewertet werden.

Von ihren einzelnen Wirkungen und Funktionen abstrahierend, lassen sich folgende Grundtypen von Sicherungsmassnahmen unterscheiden: Gefahrendeckung, Gefahrenvermeidung und-verhinderung, Begrenzung der Eintrittswahrscheinlichkeit gefaehrdender Ereignisse, Begrenzung der Schadenspotentiale gefaehrdender Ereignisse, Begrenzung der potentiellen Konsequenzen und Schadensbehebung. Nach der Einschaetzung der Alternativen muessen sich die Verantwortlichen fuer die guenstigste entscheiden.

- Risikohandhabung: Sie umfasst Mitspracherecht und Ueberzeugung der Mitarbeiter und schliesst Schulungen ein, so dass die beschlossenen Massnahmen wirksam durchgefuehrt werden koennen.

Innerhalb dieses Fuenf-Stufen-Ansatzes unterstuetzt Asis einen Sicherheitsberater bei der Risikoanalyse und der Analyse der Sicherungsmoeglichkeiten, worauf nun im einzelnen einzugehen ist.

Eine Risikoanalyse laesst sich in zwei Hauptphasen gliedern, die Risikoerkennung und die Risikobewertung.

Der erste Schritt der Risikoerkennung besteht in der Erstellung eines Strukturmodells (Strukturmodellierung) . Diese soll zunaechst die sicherheitsrelevanten Elemente definieren und dann die zwischen ihnen bestehenden Beziehungen darstellen.

Sicherheitsrelevante Elemente werden in Asis als Objekte definiert und koennen folgenden Klassen zugeordnet werden: Hardware, Immobilien, Infrastruktur, Dokumentationen, Software, Dateien und Daten, IV-Prozesse, betriebliche Funktionen und Personen. Asis liefert dem Benutzerein Beschreibungsraster fuer die Elemente jeder Klasse. Zur Beschreibung dienen Attribute, die die sicherheitsrelevanten Elemente selbst sowie ihre Beziehungen kennzeichnen (vgl. Abbildung 1). Nach Abschluss der Strukturanalyse existiert ein Modell des zu untersuchenden Realitaetsausschnitts - zum Beispiel einer Abteilung eines Unternehmens -, welches jederzeit erweitert, verfeinert und korrigiert werden kann und die Basis fuer die folgenden Analysen darstellt.

Im weiteren Verlauf der Risikoerkennung koennen zwei Arten von Analysen unterschieden werden:

- Die Wirkungsanalyse versucht, alle denkbaren Schaeden, die von einer Gefahrenquelle ausgehen, zu untersuchen. Hierzu waehlt der Benutzer aus einer Liste die Gefahren aus, die in der aktuellen Analyse beruecksichtigt werden sollen, und laesst sie modellhaft auf die in der Strukturmodellierung beschriebenen sicherheitsrelevanten Elemente wirken. Ueber eine iterative Verfolgung der verschiedenen moeglichen Konsequenzen gefaehrdender Ereignisse (Kausalkette) kann auf das potentielle Ausmass der Schaeden geschlossen werden (vgl. Abbildung 2). Das Wissen zur Bildung solcher Kausalketten ist in Regeln abgelegt. Fragen, die im Rahmen der Wirkungsanalyse interessieren, sind zum Beispiel: Welche betrieblichen Funktionsprozesse koennen durch den Ausfall eines IV-Systems unterbrochen oder verzoegert werden? Welche Auswirkungen koennte die unerwuenschte Kenntnisnahme einer bestimmten Datei haben?

- Die Ursachenanalyse waehlt den umgekehrten Weg. Sie versucht, ausgehend von einem moeglichen Schaden beziehungsweise unerwuenschten Endzustand, dessen denkbare Ursache(n) zu ermitteln. Das System erlaubt es dem Benutzer, die Entstehungspfade (Kausalketten) des betreffenden Schadens bis zu seinen moeglichen Quellen zurueckzuverfolgen (vgl. Abbildung 3). Das Wissen zur Bildung solcher Kausalketten ist auch hier in Regeln abgelegt.

Ein unerwuenschter Endzustand kann etwa die Unterbrechung eines IV-Prozesses sein. Typische Fragen, die im Rahmen der Ursachenanalyse interessieren, sind: Welche Gefahren koennen zu einer Veraenderung des Programms A fuehren? Wodurch kann die Vertraulichkeit von Datei B gefaehrdet werden? Was kann die Verfuegbarkeit der Rechnungserstellung in Abteilung xy aufheben?

Nachdem die Risiken erkannt und in ihren Kausalzusammenhaengen beschrieben sind, kann sie der Benutzer im Rahmen der Risikobewertung qualifizieren. Die Bewertung beruecksichtigt sowohl die Eintrittswahrscheinlichkeiten als auch das jeweils zu erwartende Schadensausmass. Asis bewertet Risiken grundsaetzlich qualitativ. Der Benutzer kann konkrete Werte, wie etwa bestimmte Schadenspotentiale, dem System angeben, das sie dann in ordinale Werteskalen (mit Graden wie "hoch", "mittel", "niedrig") uebertraegt.

Die Risikobewertung zerfaellt in fuenf Abschnitte:

- Auswahl eines gefaehrdenden Ereignisses durch den Benutzer. Das System zeigt die laut Kausalkette denkbaren Konsequenzen an.

- Angabe der Eintrittswahrscheinlichkeiten fuer das Eintreten des gefaehrdenden Ereignisses und fuer jede vom System generierte Konsequenz. Die Wahrscheinlichkeiten werden mit Hilfe von Regeln kombiniert.

- Der Benutzer gibt die Schadenspotentiale der relevanten Gefahren an.

- Das System errechnet Risikokennziffern aus Eintrittswahrscheinlichkeit und Schadenspotential jedes gefaehrdenden Ereignisses. Das Wissen hierzu ist in Regeln abgelegt.

- Das System fasst die Risikokennziffern der einzelnen gefaehrdenden Ereignisse in einer Kausalkette zu einem Gesamtrisikowert zusammen.

Nachdem die Risiken entsprechend bewertet sind, muss eine Auswahl von Sicherungsmassnahmen getroffen werden, um die Gefahren zu reduzieren.

Der Benutzer kann einzelne gefaehrdende Ereignisse auswaehlen und sich dagegen sinnvolle Abwehrmittel vorschlagen lassen. Die bewerteten Kausalketten helfen herauszufinden, wo die Massnahmen sinnvollerweise ansetzen sollten und mit welcher Prioritaet sie zu verwirklichen sind. Hierzu kann der Anwender Informationen in Form von Prioritaetslisten und Balkendiagrammen anfordern, aus denen die Risikokennziffern der Gefahren je nach realisierbarer Sicherungsmassnahme sowie deren Kosten hervorgehen.

Asis wurde mit der Expertensystem-Shell Kappa-PC 2.0 der Firma Intellicorp entwickelt und ist auf MS-DOS-PCs unter MS-Windows 3.1 ablauffaehig. Es setzt sich aus einem Systemkern und dem Expertenwissen zusammen.

Der Systemkern umfasst zur Zeit 179 Funktionen, 48 Klassen, von denen neben den acht Hauptklassen sicherheitsrelevanter Objekte einige der Definition der Menuesteuerung und der Oberflaechendarstellung der Kausalbaeume dienen, 152 Instanzen und 176 Regeln.

Das Expertenwissen beinhaltet momentan 129 Klassen und 20 Instanzen. Damit werden das sicherheitstechnische Know-how und die unternehmensspezifischen Daten, wie Unterklassen der sicherheitsrelevanten Elemente, Gefahren, Sicherheitsmassnahmen und Schwachstellen, modelliert. Dieses Wissen kann von einem System- administrator erweitert und korrigiert werden.

Die Komponenten Systemkern und Expertenwissen bilden die Basis zur Erstellung beziehungsweise zum Laden eines benutzerspezifischen Strukturmodells, das von Sicherheitsberatern erstellt und gepflegt werden kann. Mit Bezug auf diese Modell koennen dann die oben beschriebenen Analysen durchgefuehrt werden.

*Andreas Brzoska ist Knowledge Engineer bei der Siemens Informationssysteme AG.

Abb. 1: Sicherheitsrelevante Objekte und ihre Relationen. Quelle: Siemens Informationssysteme

Abb. 2: Die Wirkungsanalyse schliesst von vorausgesetzten Gefahren auf moegliche Schaeden. Quelle: Siemens Informationssysteme

Abb. 3: Die Ursachenanalyse schlaegt den umgekehrten Weg ein: Von gedachten Schaeden ausgehend wird die Kausalkette zu den Gefahrenquellen zurueckverfolgt. Quelle: Siemens Informationssysteme