492 DuD Datenschutz und Datensicherheit 7 | 2012

SCHWERPUNKT

1 Einleitung

Risikomanagement hat im Allgemein die Aufgabe, Betriebsver-mögen zu schützen sowie Kosten bei Betriebsausfällen zu mini-mieren und stellt somit ein zentrales Werkzeug für die Sicherheit innerhalb von Organisationen dar. In der Forschung wurden in den letzten Jahren eine Reihe von Konzepten, Algorithmen und

Werkzeugen für den Schutz von Security-Systemen entwickelt. Entsprechende Risikomanagement-Werkzeuge liefern aber bis-weilen nur unzureichende Lösungen, da die verwendeten Analy-se-Methoden oft nicht exakt auf bestehende Security-Architek-turen zugeschnitten sind und zumeist angepasst oder adaptiert werden müssen. Darüber hinaus sind die Ergebnisse der Analy-sen in vielen Fällen nicht einfach auf die Terminologien der Ent-scheidungsträger abbildbar, wodurch die Wichtigkeit der zu er-greifenden Maßnahmen teilweise nicht klar ersichtlich ist.

1.1 Risikomanagement-Methoden

Das Problem des Risikomanagements wurde in der Literatur be-reits in zahlreichen Artikeln behandelt. Die Wahl des richtigen Werkzeuges ist hierbei jedoch im Allgemeinen schwierig. Eine quantitative Bemessung von Risiko in monetären Kosten (vgl. [1, 2] sowie die EBIOS Methode und den ISO/IEC 27005:2009 Standard [3]) wird von vielen Werkzeugen (siehe [4] für eine um-fangreiche Aufstellung) nur durch die übliche Faustregel „Risiko = Schadenspotential Eintrittswahrscheinlichkeit“ unterstützt [5]. Je nach angewendeter Methode sind die Begriffe und Skalen für die Bemessung des Schadenspotentials und der Eintrittswahr-scheinlichkeiten fest vorgegeben (wie beispielsweise in der NIST-Richtlinie [6] oder bei der MEHARI-Methode [7]).

Die Auswahl des konkreten Risiko-Bewertungswerkzeuges er-folgt in der Realität daher oft nach praktischen Erwägungen, und abhängig davon inwieweit sich die real vorliegende Terminologie der Anwendung auf die fix vorgegebene Terminologie der Risiko-Bewertungsmethode abbilden lässt. So wird etwa in [8] ein Me-ta-Modell diskutiert, das sich auf die Beschreibung eines Systems in vordefinierten Begriffen stützt. Dies kann insofern problema-tisch sein, da die einzelnen Begriffe womöglich das reale System nicht vollständig oder nur unbefriedigend abbilden können. Zu-dem entsteht durch diese Abbildung zusätzlicher Aufwand bei der Modellbildung.

Der SERIMA-Ansatz, auf welchen wir im Folgenden detaillier-ter eingehen, basiert auf einer frei definierbaren Taxonomie für

Stefan Schauer, Benjamin Rainer, Rene Schmid

Ein spieltheoretischer Ansatz für das IT-Security-RisikomanagementErgebnisse des SERIMA-Projekts

Der Beitrag beschreibt die Entwicklung eines Systems für die Risikoanalyse der Kommunikation in Rechner-Netzwerken. Der Rückgriff auf spieltheoretische Ansätze für eine auf Abhörsicherheit bezogene Analyse der Kommunikationsinfrastruktur erlaubt eine systematische Optimierung der Kommunikationsbeziehungen für einen Betrieb mit minimalem Abhörrisiko. Als Nebenprodukt liefert die spieltheoretische Analyse auch optimale Angriffsszenarien und bietet so wertvolle Entscheidungshilfen für Verbesserungen an einer gegebenen Kommunikationsinfrastruktur.

Dr. Stefan Schauer

seit 2005 am AIT Austrian Institute of Technology GmbH. Schwerpunkt: Projekte zum Thema Security und Quantenkryptographie.

Email: Stefan.Schauer@ait.ac.at

Benjamin Rainer

studiert Informatik an der Alpen-Adria-Universität Klagenfurt, seit mehreren Jahren freier Mitarbeiter des AIT.

Email: b3rainer@edu.uni-klu.ac.at

Ing. Rene Schmid

bei der Stadtwerken Klagenfurt AG für Netzwerk-Sicherheit verantwortlich. Zuvor für SiteXs Databusiness IT-Solutions GmbH als Experte im Bereich Netzwerk-Sicherheit tätig.

Email: Rene.Schmid@stw.at

DuD Datenschutz und Datensicherheit 7 | 2012 493

SCHWERPUNKT

die Risikobewertung, welche in weiterer Folge auch für die Resul-tate der Analyse gilt. Somit kann direkt mit dem von der Anwen-dung vorgegebenen Begriffssystem gearbeitet werden und eine Abbildung auf allgemeine und fest vorgegebene Begriffe entfällt.

Um dem Problem der vordefinierten Taxonomien zu begeg-nen, existieren diverse Bestrebungen, allgemeingültige Reprä-sentationen des Wissens (sog. Ontologien) für Risiko-Bewertun-gen zu entwickeln [9, 10]. Das AURUM System [11] beispielswei-se stellt ein graphisches Werkzeug zur Modellbildung mittels sol-cher Ontologien dar. Es verwendet dafür einen Ansatz aus der Wahrscheinlichkeitstheorie, der auf dem Bayes’schen Theorem (ähnlich der in [12] vorgeschlagenen Methode) zur Bestimmung von Bedrohungswahrscheinlichkeiten beruht.

Dem Bayes’schen Ansatz steht der Minimax-Ansatz gegenüber, welcher teilweise auf der Spieltheorie basiert und ohne Angrei-fermodell und ohne Trainingsdaten auskommen kann. In die-sem Fall können objektiv nur Risiko-Abschätzungen bestimmt werden, während bei einem Bayes’schen Ansatz ein subjektives Element in Form eines a-priori Modells für den Angreifer nicht vermeidbar ist.

1.2 Spieltheorie

Ein auf der Spieltheorie beruhender Ansatz für Risikomanage-ment wird in [13] vorgeschlagen. Hierbei wird die Idee verfolgt, aus dem Verhalten von Hackern bei deren Angriffen auf Syste-me zu lernen und auf dieser Basis die Abwehrmechanismen lau-fend zu optimieren. Entscheidend bei diesem Ansatz ist die Tat-sache, dass das Verhalten bzw. der Erfolg eines Hackers beob-achtbar sein müssen.

Es liegt in der Natur der Sache, dass ein erfolgreicher heimlicher Lauschangriff nicht bemerkt wird (andernfalls wäre der Angriff gescheitert). Ein solcher Angriff kann somit nur durch seine Aus-wirkungen, d. h. den dadurch entstandenen Schaden, entdeckt wer-den, was häufig nur noch Maßnahmen zur Schadensbegrenzung zulässt. Eine Möglichkeit, das Verhalten von Hackern in der Praxis zu analysieren, sind Honeypots. Das sind Systeme, die keine wich-tigen Daten, jedoch einige Schwachstellen enthalten und für Ha-cker einen Köder darstellen sollen. Dringen Hacker in ein solches System ein, so ergibt sich die Möglichkeit, deren Verhalten in ei-ner kontrollierten Umgebung zu beobachten und aufzuzeichnen.

Ein spieltheoretischer Ansatz weicht derartigen Problematiken aus, indem explizit Worst-Case-Szenarien identifiziert werden, deren Schadenspotential als Risikobemessung dient. Somit wer-den jene Fälle zur Bewertung heran gezogen, welche die größt-mögliche Bedrohung für das System darstellen. Dieser Ansatz ist eng mit der Arbeit in [13] verwandt, beruht jedoch auf einer stark verallgemeinerten theoretischen Grundlage.

Durch den Einsatz der Spieltheorie liefert die Risikoanalyse nicht nur jene Knoten eines Netzwerks, die am gefährdetsten sind, son-dern zeigt zusätzlich auch optimale Angriffsstrategien auf das zu-grunde liegende Netzwerk auf. Somit ergibt sich aber zugleich aus dieser Angriffsstrategie eine analoge Strategie zur Abwehr sol-cher Angriffe. Im Detail bedeutet dies, dass die Risikoanalyse ei-nes Netzwerks zugleich die nötige Network-Provisioning-Strategie (Operational Level Agreement) liefert, mit der gefährdete Knoten im Netz bis zu einem gewissen Grad vermieden werden können.

Der in diesem Beitrag beschriebene Ansatz wurde im Zuge des Forschungsprojekts SERIMA gemeinsam vom Austrian Institute of Technology (AIT), der Alpen-Adria-Universität Klagenfurt und

der Firma SiteXs Databusiness entwickelt. Der SERIMA-Ansatz weicht von den klassischen Verfahren der Risikoanalyse ab und führt die Risikoanalyse mit Methoden der Spieltheorie durch. Dies hat den Vorteil, dass insbesondere die Absichten des An-greifers für die Analyse keine Rolle spielen und somit nicht mo-delliert werden müssen.

Die Analyse liefert neben Bedrohungspotentialen auch für den Gegner optimale Angriffs-Strategien, da Sender und Angreifer simultan analysiert werden. Entsprechende Gegenmaßnahmen fallen gleichermaßen als Ergebnis der Analyse an. Darüber hin-aus kann das Bewertungssystem der SERIMA-Methode indivi-duell angepasst werden, sodass die Ergebnisse auf die Bedürfnisse der Entscheidungsträger zugeschnitten werden können. Dadurch wird Unstimmigkeiten entgegen gewirkt und die Vor- und Nach-teile einer Investition im Security-Bereich können unter konkre-ten wirtschaftlichen, d. h. quantitativen, Gesichtspunkten gegen-einander abgewogen werden.

Im nächsten Abschnitt gehen wir genauer auf die Kombination von Risikomanagement und Elementen der Spieltheorie im SERI-MA-Ansatz ein. Die spieltheoretische Betrachtung fällt in diesem Kontext unter die Paradigmen der informationstheoretischen Si-cherheit und des Security-by-Design. Deren Vorteile gegenüber anderen Sicherheits-Modellen werden im Abschnitt 2.1 kurz skiz-ziert. In diesem Kontext gehen wir auf Mehr-Wege-Kommuni-kation für eine sichere Übertragung von Informationen ein. Da-rauf aufbauend beschreiben wir (skizzenhaft) die theoretischen Grundlagen der im SERIMA-Projekt verfolgten Methode, sowie deren technische Umsetzung in Form eines Risikoanalyse- und Bedrohungs-Abwehr-Systems.

2 Das SERIMA Projekt

Das Vertrauen in Sicherheitslösungen basiert oft auf Annahmen über die Schwierigkeit mathematischer Probleme. Ein bekannter Vertreter dieser Philosophie ist RSA, ein Public-Key-Kryptosys-tem, dessen Sicherheit auf der Annahme beruht, dass es nicht ef-fizient möglich ist, große Zahlen in ihre Primfaktoren zu zerle-gen. Eine andere Basis für das Vertrauen ist oft einfach das Feh-len einer erfolgreichen Angriffsstrategie, wie etwa beim AES-Ver-schlüsselungsstandard, der bis heute weder erfolgreich gebrochen noch mathematisch als sicher ausgewiesen wurde.

2.1 Informationstheoretische Sicherheit

Das Paradigma der informationstheoretischen Sicherheit wurde 1949 von Claude Shannon vorgeschlagen [14]. Das Konzept be-ruht auf dem Grundgedanken, dass ein Angreifer, der eine ver-schlüsselte Nachricht (Chiffrat) abfängt, nicht mehr Informatio-nen über die eigentliche Nachricht besitzen soll, als er vor Abfan-gen des verschlüsselten Textes hatte. Insbesondere bedeutet das, dass es für den Angreifer keine Möglichkeit gibt, aus dem ver-schlüsselten Text die eigentliche Nachricht zu extrahieren. Dies soll unabhängig von den technologischen oder theoretischen Möglichkeiten des Angreifers sein und bewiesen werden können. Somit bietet sich hier eine zweifelsfreie Sicherheit, die weder auf unbewiesenen mathematischen Annahmen noch auf dem ledig-lich vermuteten Fehlen von effektiven Angriffen basiert. Anders als bei Public-Key-Kryptographie bleibt somit kein nicht-quan-tifizierbares Restrisiko zurück.

494 DuD Datenschutz und Datensicherheit 7 | 2012

SCHWERPUNKT

Ein Beispiel für eine informationstheoretisch sichere Ver-schlüsselung ist der so genannte One-Time-Pad (OTP). Diese Me-thode wurde von G. Vernam im Jahre 1919 vorgeschlagen und von C. Shannon analysiert, der ihre informationstheoretische Si-cherheit bewies [14]. Beim OTP wird eine Nachricht mit einer zufälligen Bitfolge bitweise XOR-verknüpft, wodurch das Ergeb-nis keine Rückschlüsse mehr auf ursprüngliche Nachricht, zu-lässt. Wie aus der Literatur bekannt [15, 16, 17] ist Mehrwege-Kommunkation (MWK) das im Wesentlichen einzige klassische Verfahren, welches informationstheoretisch sichere Ende-zu-En-de Kommunikation mit herkömmlicher Technologie realisieren kann. Tatsächlich stellt das Verfahren der MWK eine Verallge-meinerung der üblichen symmetrischen Verschlüsselung dar, da Letztere als Spezialfall von MWK auftritt. Abbildung 1 illustriert diesen Vorgang, bei dem n+1 nicht kreuzende Pfade verwendet werden, um eine mit n Schlüsseln (z. B. durch OTP) verschlüs-selte Nachricht zu übertragen. Solange der Angreifer nicht alle Schlüssel abfängt (wie in Abbildung 1 dargestellt), besteht nach-weislich keine Möglichkeit, den Klartext aus dem Chiffrat zu er-mitteln. Herkömmliche symmetrische Verschlüsselung tritt hier-bei als Spezialfall auf, wenn nur zwei Pfade verwendet werden. In diesem Fall sind ein Pfad für die Übertragung des Chiffrats und ein getrennter (sicherer) Kanal für die Übertragung des Schlüs-sels notwendig. Wird nur ein Kanal abgehört, so kann ein An-greifer mit den abgefangenen Informationen nichts anfangen, da entweder das Chiffrat oder der Schlüssel fehlt.

Die Verwendung der MWK ist aufgrund ihrer guten Eignung zur Risiko-Abschätzung ein wesentlicher Baustein des SERIMA-Ansatzes für risiko-minimale Kommunikation. Die Sicherheit ist somit – anders als bei herkömmlichen Verschlüsselungsverfah-ren – informationstheoretisch abgesichert und beruht auf keinen unbewiesenen mathematischen Annahmen.

2.2 Methodik

In allen nachfolgenden Betrachtungen halten wir uns an die in der klassischen Kryptographie übliche Bezeichnung „Alice“ für den Sender einer Nachricht, und „Bob“ für den Empfänger.

Der Begriff „Risiko“ wird im Weiteren intuitiv als die Gefahr verstanden, dass ein Angreifer von einer zwischen der Senderin Alice und dem Empfänger Bob vertraulich kommunizierten In-formation Kenntnis erlangt. Da Alice (und Bob) dieses Risiko gleichermaßen tragen, beschränken wir uns bei der Bewertung von Risiko darauf, die Perspektive von Alice einzunehmen.

Um dieses Risiko mathematisch besser beschreiben zu können neh-men wir an, dass Alice mit erfolgrei-cher oder erfolgloser vertraulicher Übermittlung einer Information ei-nen Wert verknüpft. Alice erhält et-wa den Wert 1 für eine erfolgreiche Übertragung, und den Wert 0, falls die Nachricht abgehört wurde. Im ein-fachsten Fall kann Alice auf diese Wei-se die korrekt und vertraulich über-mittelten Nachrichten quasi „zählen“.

Alternativ kann sie mit der Nach-richt auch einen monetären Wert ver-binden, wie dies beispielsweise bei der Übertragung von Produkt-Informati-

onen (Blaupausen, Baupläne, etc.) der Fall wäre, da diese direk-tes Firmenkapital darstellen. Somit erlaubt die SERIMA-Metho-de bereits in dieser Phase eine entsprechende individuelle Bewer-tung des Verlustes von Informationen. Diese Bewertung zieht sich in weiterer Folge konsequent und konsistent durch die gesam-te Analyse.

In der Analyse-Phase werden nun Alices Aktionen, also der Versuch der erfolgreichen vertraulichen Übertragung der Infor-mationen, bewertet. Wie in Abschnitt 2.1 besprochen setzt Alice für die Übertragung eine Mehr-Wege-Kommunikation ein (siehe Abbildung 1), um die größtmögliche Sicherheit zu gewährleisten. Sie wählt hierfür eine Anzahl an Pfaden, über welche die Infor-mationen versendet werden sollen. Da der Erfolg dieser Übertra-gung wesentlich vom Verhalten des Angreifers abhängt, stellt die Bewertung des Erfolgs allerdings ein Problem dar. Das Verhalten des Angreifers ist eine Information, die Alice nicht zur Verfü-gung steht, nachdem das Abhören ein rein passiver Vorgang ist. Insbesondere gibt es für Alice keine verlässliche technische Mög-lichkeit, das Ereignis des „abgehört worden seins“ festzustellen.

Das tatsächliche Risiko, das sich aus der Analyse ergibt, wird als die mittlere Anzahl zu erwartende erfolgreicher Angriffsver-such definiert. Im SERIMA-Ansatz werden die verschiedenen Möglichkeiten der Pfade, die Alice für die Übertragung wählt, und der Knoten, die von einem Angreifer abgehört werden, ana-lysiert und der langfristige Durchschnitt der erfolgreichen An-griffe optimiert (minimiert).

Der wesentliche Nutzen des Risikos bei Entscheidungen liegt in der Möglichkeit, sein Verhalten so zu wählen, dass das Risiko, d. h. der erwartete Verlust, minimiert wird. Kennt man alle We-ge durch ein Netzwerk, über die eine Nachricht geschickt wer-den kann, und zusätzlich alle Knoten, die ein Angreifer abhören kann, so kann Alice eine optimale Übertragungsstrategie finden.

Optimal bedeutet in diesem Fall die Auswahl jener Übertra-gungsstrategie mit dem geringsten Abhörrisiko, unabhängig da-von, wie sich der Angreifer tatsächlich verhalten wird. Dies erspart somit – anders als bei alternativen Methoden – eine Modellierung bzw. Mutmaßungen über die Intentionen des Angreifers. Im Detail ist Alices Übertragungs-Strategie eine Menge an Pfaden und ent-sprechenden Wahrscheinlichkeiten, mit denen diese Pfade gewählt werden müssen. Da Alice das Verhalten des Angreifers nicht be-einflussen kann, muss sie ihr eigenes Verhalten so wählen, dass ihr Worst-Case-Risiko minimiert wird. Hierbei kommt die Spielthe-orie zum Einsatz, da dieses Problem durch den Einsatz von Null-summen-Matrix-Spielen elegant gelöst werden kann [18].

Abbildung 1 | Mehr-Wege-Kommunikation (schematisch)

DuD Datenschutz und Datensicherheit 7 | 2012 495

SCHWERPUNKT

Für unsere Risiko-Abschätzung identifizieren wir Alice mit der Rolle eines Spielers und den Angreifer mit der Rolle des Gegen-spielers. Um die vertrauliche Übertragung einer Nachricht von Alice zu Bob in Form eines Spiels zu beschreiben, benötigen wir die entsprechenden Auszahlungsmatrizen für beide Spieler. Die-se Matrix ist eine tabellarische Gegenüberstellung der Übertra-gungs- und Angriffsstrategien, zusammen mit einer Bewertung über den Erfolg bzw. das Scheitern der Übertragung in jedem Sze-nario. Für den Angreifer würden wir eine präzise Vorstellung sei-ner Absichten bzw. seines Erfolgs benötigen. Da diese Informati-on im Allgemeinen nicht verfügbar ist, kann ersatzweise von ei-nem Nullsummenspiel ausgegangen werden. Dies entspricht der Unterstellung, dass die Absicht des Angreifers das Verursachen von maximalem Schaden ist. Auf theoretischer Ebene erweist sich diese Annahme als durchaus begründet, da eine andere Strate-gie des Angreifers die Situation von Alice und Bob nur verbes-sern würde, wie bereits in [19] bewiesen wurde. Rein technisch bedeutet dies, dass beide Spieler dieselbe Auszahlungsmatrix ver-wenden, jedoch mit unterschiedlichen Vorzeichen. Anders ausge-drückt: Alices Schaden ist der Gewinn des Angreifers.

2.3 Aufbau des SERIMA-Systems

Die schematische Einordnung des SERIMA-Projektes in den zy-klischen Prozess des Security-Engineering ist in Abbildung 2 er-sichtlich. Die im Rahmen des SERIMA-Projekt entwickelte Me-thodik findet somit in drei von vier Phasen des Security-Enginee-ring-Zyklus Anwendungen.

Technisch gesehen ist das SERIMA-System ein Toolset, beste-hend aus zwei grundlegenden Komponenten (siehe Abbildung 3): dem Analyse&Reporting-Tool sowie der Defender-Komponen-te. Bei Letzterer handelt es sich um eine aktive Netzwerk-Kompo-nente (ähnlich einem Router), welche die Umsetzung der durch das Analyse&Reporting-Werkzeug ermittelte optimale Routing-Strategie transparent für die Applikationsschicht umsetzt. Um ei-ne Netzwerk-Topologie für die Analyse aufzubereiten, muss diese zuerst innerhalb des Analyse&Reporting-Tools modellhaft nach-gebildet werden. Hier können den einzelnen Knoten im Netzwerk individuelle Sicherheitseigenschaften zugeschreiben werden. Dies erleichtert die Abbildung der realen Gegebenheiten innerhalb des

Netzwerks und erlaubt, unterschiedliche Sicherheitsstrukturen direkt im Modell zu erfassen. Darüber hinaus kann die Taxono-mie (monetäre Werte, abstrakte Sicherheitsstufen, etc.), in der die Analyse durchgeführt werden soll, ebenfalls bereits in dieser Pha-se definiert werden. Das entstandene Modell wird an die Analy-se-Engine weiter gegeben.

Das Analyse-Tool steuert auch die eigentliche Berechnung des Risikos. Dies erfolgt mit der in Abschnitt 2.2 umrissenen Metho-dik, basierend auf Algorithmen der Spieltheorie. Die SERIMA-Me-thode ermöglicht insbesondere, hierarchische Netzwerke, also auch Subnetze zu modellieren und zu analysieren. Dadurch wird die An-zahl der zu betrachtenden Knoten drastisch reduziert und die Ana-lyse stark beschleunigt. Das Ergebnis ist einerseits der Sicherheits-report für die Entscheidungsträger und andererseits die Network-Provisioning-Strategie für die Defender-Komponente.

Der Defender ist die Soft- oder Hardware Komponente, welche die Regeln für die Übertragung von Informationen zwischen zwei Punkten im Netzwerk umsetzt. Diese Regeln, die sich voll-auto-matisch aus den Ergebnissen der Analyse ableiten lassen, gewähr-leisten, dass eine Mehr-Wege-Kommunikation mit dem garan-tiert geringsten Abhörrisiko durchgeführt wird. Dies wird durch die entsprechende Adaption der Einstellungen in den Switches und Routern im Netzwerk erreicht, welche die Defender-Hard-ware direkt und selbsttätig vornimmt.

3 Ergebnisse

Die Risikoanalyse nach der SERIMA-Methode liefert die optimale Strategie für Alice, die beschreibt, welche Pfade für eine Kommu-nikation mit Bob gewählt werden müssen, um das Abhörrisiko so gering wie möglich zu halten. Sie stellt somit ein Operational Level Agreement (OLA) dar, welches zur Einhaltung des ServiceLevel Ag-reements, d. h. der ermittelten Risiko-Schranke dient. Dieses OLA wird direkt von der Defender-Komponente als Network-Provisio-ning-Strategie umgesetzt. Durch entsprechende Konfiguration der Switches und Router im Netzwerk (durch die Defender-Hardware) wird sicher gestellt, dass die vorgegebenen Routen, und somit die Risiko-Garantie (SLA) auch eingehalten werden.

Abbildung 2 | Security-Engineering und das SERIMA-Projekt Abbildung 3 | Security-Engineering und das SERIMA-Projekt

496 DuD Datenschutz und Datensicherheit 7 | 2012

SCHWERPUNKT

Das zweite Ergebnis der SERIMA-Analyse ist eine optimale Pe-netrations-Strategie für einen Angreifer. Eine solche Strategie be-steht aus einer Liste von Knoten, die attackiert werden müssen, um den größtmöglichen Schaden zu verursachen. Dies bedeutet für den Betreiber eines Netzwerkes wiederum, dass diese Kno-ten neuralgische Punkte darstellen, die besonders geschützt wer-den müssen.

Hierbei ist zu bedenken, dass diese Strategien im Allgemeinen nicht eindeutig sind, d. h. es können neben den durch die Analy-se ermittelten Strategien noch weitere Angriffsszenarien existie-ren. Obgleich derartige Mehrdeutigkeiten nicht vermeidbar sind, garantiert die Spieltheorie, dass diese keinen größeren, als den durch die Analyse ermittelten, Schaden anrichten können. Die fehlende Kenntnis dieser Strategien kann also nicht zu einer fal-schen Risikobewertung führen.

4 Zusammenfassung

Ein effektives Risikomanagement ist vor allem für Entschei-dungsträger in Organisationen ein wichtiger Faktor, um einer-seits Betriebsvermögen zu schützen und andererseits Kosten zu reduzieren, sollte es zu Betriebsausfällen kommen.

Adäquate Werkzeuge für Risikoanalyse sind in der Praxis je-doch dünn gesät. Bedrohungen werden oft lediglich subjektiv spezifiziert und das Gefahrenpotential für das zu schützende Betriebsvermögen kann in vielen Fällen nur unzureichend bzw. heuristisch bemessen werden.

Der in diesem Beitrag vorgestellte Ansatz verbindet Elemente der Spieltheorie mit der Risikoanalyse in Netzwerken und stellt einen Schritt in Richtung einer „objektiven“ Risiko-Bemessungsmetho-de dar. Durch die mathematisch fundierte Grundlage werden op-timale Angriffsstrategien identifiziert und entsprechende Lösun-gen für diese Worst-Case-Szenarien vorgeschlagen. Dies ermög-licht einen Schutz gegenüber einem größtmöglichen Schaden, den ein Angreifer in einem analysierten Netzwerk verursachen kann.

Zusätzlich können die Analyse sowie die Ergebnisse in indivi-duell spezifizierbaren Bezugsgrößen formuliert werden. Dadurch kann etwa der direkte Bezug zu den monetären Kosten für das Un-ternehmen beim Eintritt einer bestimmten Bedrohung hergestellt werden. Alternativ können die Ergebnisse in abstrakten Skalen an-gegeben werden, die ebenfalls individuell gestaltet werden können.Für gewöhnlich werden Benchmarks herangezogen, um Vorge-hensweisen im Bereich des Risikomanagements quantitativ zu be-werten. Der SERIMA-Ansatz kann ebenfalls als ein solcher Se-curity Benchmark angesehen werden, da er eine quantitative Be-wertung eines definierten Sicherheitsziels darstellt. Mit Hilfe die-ses Benchmarks können in weiterer Folge auch Security Service Level Agreements (SLA) und zugehörige Operation Level Agree-ments (OLA) einfach formuliert werden. Diese bieten sowohl für Kunden als auch Betreiber eines Netzwerks eine objektive Ga-rantie über die Sicherheit und Verfügbarkeit eines Netzwerkes.

Da das SERIMA-Verfahren in den Bereich der informations-theoretisch sicheren Übertragung fällt, wird hierbei insbesonde-re keine herkömmliche Public-Key-Infrastruktur benötigt. Die Notwendigkeit des ansonsten üblichen Key-Managements ent-fällt somit, da diese Funktionalität gänzlich vom Defender über-nommen und transparent durchgeführt wird.

Die entwickelte Methodik ist keinesfalls auf die Abhörsicher-heit beschränkt. Das Modell kann auf die Betrachtung anderer

Angriffe wie Denial-of-Service oder die Authentifizierung aus-geweitet werden. Darüber hinaus können etwa auch der Bedarf an Bandbreite, Kosten, preispolitische Überlegungen o. ä. als Be-standteile in die Risikoanalyse einfließen. Die zugrunde liegen-de Modellierung ist entsprechend erweiterbar.

Danksagung

Die Autoren danken Christian Kollmitzer und Oliver Maurhart für aufschlussreiche Diskussionen und Denkanstöße, sowie Mat-thias Vavti für die Umsetzung der Modellierungssoftware. Diese Arbeit wurde von der österreichischen Forschungsförderungsge-sellschaft (FFG) als Projekt Nr. 829570 finanziert.

Literatur

[1] T. R. Peltier, Information security risk analysis, Auerbach Publications, 2001.

[2] S. E. Schechter, Computer security strength and risk: a quantitative ap-proach, Harvard University, 2004.

[3] ISO/IEC, The ISO27k FAQ. http://www.iso27001security.com/html/faq.ht-ml.

[4] European Network and Information Security Agency, Inventory of Risk Management / Risk Assessment Methods, 2010. http://rminv.enisa.eu-ropa.eu/rm_ra_methods.html.

[5] CCRA Working Group, Common Criteria for Information Technology Se-curity Evaluation, CCRA. http://www.commoncriteriaportal.org, 2006.

[6] G. Stoneburner, A. Goguen und A. Feringa, Special Publication 800-30: Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, 2002.

[7] Clusif Methods Commission, MEHARI V3 Risk Analysis Guide, 2004.[8] T. Sommestad, M. Ekstedt und P. Johnson, A probabilistic relational mo-

del for security risk analysis, Computers & Security, Bd. 29, Nr. 6, pp. 659-679, 2010.

[9] S. Kollarits, N. Wergles und H. Siegel et al., MONITOR - An ontological ba-sis for risk management, 2008. http://www.monitor-cadses.org.

[10] T. J. Chiang, J. S. Kouh und R. I. Chang, Ontology-based Risk Control for the Incident Management, International Journal of Computer Science and Network Security, Bd. 9, Nr. 11, p. 181, 2009.

[11] A. Ekelhart, S. Fenz und T. Neubauer, Automated Risk and Utility Manage-ment, Proceedings of the Sixth International Conference on Information Technology: New Generations, IEEE Computer Society, 2009, pp. 393-398.

[12] F. Foroughi, Information Security Risk Assessment by Using Bayesian Learning Technique, Proceedings of the World Congress on Enginee-ring, Bd. 1, International Association of Engineers, 2008, pp. 2-6.

[13] H. Cavusoglu, S. Raghunathan und W. T. Yue, Decision-Theoretic and Game-Theoretic Approaches to IT Security Investment, Journal of Ma-nagement Information Systems, Bd. 25, Nr. 2, pp. 281-304, 2008.

[14] C. Shannon, Communication Theory of Secrecy Systems, Bell System Technical Journal, Nr 28, pp. 656-715, 1949.

[15] M. Ashwin Kumar, P. R. Goundan, K. Srinathan und C. P. Rangan, On perfectly secure communication over arbitrary networks, Proceedings of the twen-ty-first annual symposium on Principles of distributed computing, 2002.

[16] Y. Wang und Y. Desmedt, Perfectly Secure Message Transmission Revisi-ted, IEEE Transactions on Information Theory, Bd. 54, Nr. 6, pp. 2582-2595, 2008.

[17] M. Fitzi, M. K. Franklin, J. Garay und S. H. Vardhan, Towards Optimal and Efficient Perfectly Secure Message Transmission, 2007.

[18] J. von Neumann und O. Morgenstern, Theory of games and economic be-havior, Princeton University Press, 1944.

[19] S. Rass. On Information-Theoretic Security: Contemporary Problems and Solutions, PhD thesis, Alpen-Adria Universität Klagenfurt, Institute of Applied Informatics, June 2009.