dynamischen Risikoportfolioberechnung mithilfe von dynSRM
5.2. Diskussion der Bedrohungsszenarien f¨ ur die medizinischen Forschungsnetze
Die Analyse der Bedrohungssituation hat eine systematische Identifikation und Absch¨atzung der f¨ur ein Forschungsnetz relevanten Bedrohungen als Ziel. Die Bedrohungsrelevanz ist maßgeblich f¨ur die Ausrichtung einer Sicherheitspolitik. Als zwei m¨ogliche Vorgehenswei-sen der Risikoanalyse werden im Abschnitt 4.3
”Qualitative Bewertung der Bedrohungs-und Risikosituation“ der schutzbedarfsorientierte Bedrohungs-und der bedrohungsorientierte Ansatz vorgestellt.
5.2.1. Schutzbedarfsorientierter Ansatz
Bei der schutzbedarfsorientierten Betrachtung erfolgt im ersten Schritt eine Einsch¨atzung der Kernprozesse bzw. Dienste in einem Forschungsnetz im Hinblick auf die Einhaltung der Sicherheitskriterien.16 Eine ¨ahnliche Vorgehensweise wird h¨aufig in der Industrie f¨ur die Einsch¨atzung des Schutzbedarfs von Arbeitsprozessen eingesetzt. Dabei werden die Prozesseinzelschritte und bestimmte kritische Ressourcen oder Daten17 in einer Matrixform gegen¨ubergestellt. Auf je mehr solche Ressourcen ein Prozess zugreift, desto kritischer wird dieser eingesch¨atzt und umso mehr Augenmerk auf seine Absicherung ist erforderlich (vgl. [M¨ul11, S. 162 f.]). Da die untersuchten Dienste bzw. Prozesse fast ausschließlich auf die gleich kritischen Ressourcen zugreifen, wird zus¨atzlich – basierend auf der im Anhang D”Qualifizierung von Sicherheitskriterien“ erstellten Aufteilung – der Schutzbedarf der Prozesse ermittelt. Die Einteilung erfolgt u. a. auf der Basis der Ausf¨uhrungen in [Die08], [DC06], [RDSP06], [SPR+06] und [SSS06]. Trotz der vorgenommenen Begr¨undung f¨ur die abgegebenen Einsch¨atzungen bleiben die Bewertungen der Prozesskritikalit¨aten subjektiv und sollen nur nach einer Anpassung der Qualifizierung an die Gegebenheiten des jeweiligen Forschungsnetzes f¨ur die Schutzbedarfsermittlung ¨ubernommen werden.
In Wirklichkeit k¨onnen die f¨ur ein Forschungsnetz zu ber¨ucksichtigenden Risiken oft miteinander kaum verglichen werden. Eine umfassende Aufz¨ahlung und Klassifikation der Gefahren f¨ur diverse Infrastrukturen k¨onnen [bsi11d] entnommen werden. Nur ein kleiner Teil der in diesen Katalogen beschriebenen Angriffe ist f¨ur ein Forschungsnetz tats¨achlich relevant.
So wird ein Forschungsnetz i. d. R. (bzw. zum gr¨oßten Teil) von der ¨offentlichen Hand finanziert, was zwar den Geldzufluss einschr¨ankt, seine H¨ohe jedoch im Voraus planbar macht. In Verbindung mit einem festen Budget eliminiert diese Finanzierungsform die meisten Liquidit¨ats- und Bonit¨atsrisiken. Ein Forschungsnetz f¨uhrt keinen wirtschaftlichen
16Untersuchte Sicherheitskriterien: Authentizit¨at, Integrit¨at, Konformit¨at, Robustheit, Verbindlichkeit, Verf¨ugbarkeit und Vertraulichkeit.
17Beispielsweise Zugang zum Kreditorenkonto, Zugriff auf Personaldaten, vertrauliche Vertragsinformatio-nen etc.
Betrieb; auch die volkswirtschaftlichen Risiken wie ¨Anderung des Kreditzinsniveaus oder der Bev¨olkerungsstruktur haben keinen direkten Einfluss auf den Forschungsnetzbetrieb.
Die sonstigenmarktwirtschaftlichen Risiken (Patentstreits, Nachfrage¨anderung etc.) haben ebenfalls eine geringe Relevanz f¨ur ein Forschungsnetz. Die personellen Risiken (z. B.
fluktuationsbedingter Know-how-Verlust, l¨angere Krankheit der Administrationskr¨afte) k¨onnen kaum zum Einstellen des Forschungsbetriebs f¨uhren. Politische Ver¨anderungen k¨onnen dagegen den Forschungsnetzbetrieb stark beeinflussen. Dazu z¨ahlen u. a. Geset-zes¨anderungen, die die Sammlung und Auswertung von personenbezogenen Daten betreffen bzw. einschr¨anken, und der Einfluss von Sicherheitsbeh¨orden, die z. B. eine permanente Kontrolle ¨uber die Forschungsnetzdaten verlangen k¨onnen, was einen datenschutzrechtlich unbedenklichen Forschungsbetrieb unm¨oglich machen w¨urde. Schwierig zu l¨osen ist auch das Problem der Weiterf¨uhrung der Forschung nach dem Auslaufen der F¨orderung, wenn die maximale F¨orderdauer von acht Jahren erreicht worden ist und die Kosten auf die anderen laufenden Projekte nicht weitergegeben werden k¨onnen (vgl. [Rie04]). Da in einem Forschungsnetz nur die f¨ur die Forschung notwendigen Daten gesammelt werden, ein Forschungsnetz nicht die Gesetzgebung beeinflussen kann und auch – aufgrund der
¨
offentlichen Finanzierung – nicht in ein anderes Land ausweichen kann, sind solche Risiken f¨ur die Bewertung der Risikostruktur eines Forschungsnetzes irrelevant. Die negativen Anderungen auf diesen Gebieten k¨¨ onnten zwar zum Einstellen des Forschungsbetriebs f¨uhren, man verf¨ugt jedoch ¨uber keinerlei Mittel, um dieser Entwicklung entgegenzuwirken.
5.2.2. Bedrohungsorientierter Ansatz
F¨ur die Identifikation der m¨oglichen Angriffsszenarien gilt ein rational handelnder Angrei-fer18 mit Gewinnerzielungsabsicht i. d. R. als Annahme und ist bei der Konstruktion von Angriffsb¨aumen19 ublich (vgl. [BLP¨ +06]). Die Gestaltung bedrohungsorientierter Modelle ist i. d. R. einfacher als die der schutzbedarfsorientierten Modelle. Dies h¨angt mit der
¨okonomischen Rationalit¨at der Angreifer sowie dem meist damit verbundenen Bekanntwer-den der Folgen dieser Angriffe zusammen (vgl. [Chr11]). Auch die h¨aufig aus Geltungsdrang handelnden – insbesondere jugendlichen – Angreifer sind bei der durchgef¨uhrten Analyse ber¨ucksichtigt, um das Szenario zu vervollst¨andigen. Bei der Einsch¨atzung der wahrschein-lichsten von Kriminellen ausgehenden Angriffe wird die Suche nach potenziellen Opfern sowie die Erpressung einzelner Patienten als m¨oglich betrachtet.
Eine Meldung von
”The Washington Post“ im Mai 2009 [Kre09] hat die praktische Relevanz eines vorher als absurd angesehenen Angriffsszenarios bewiesen. Im geschilderten Fall wollten die Angreifer die Daten von ¨uber acht Millionen amerikanischen Schmerzpatienten
18Die Angreiferrolle k¨onnen auch wirtschaftliche Organisationen bzw. Beh¨orden etc. ¨ubernehmen. In diesen F¨allen kann die Motivation der Angreifer abweichen.
19Die Beschreibung einzelner Angriffsszenarien in Form eines Angriffsbaums, ist in der Abbildung 22 auf der Seite 245 visualisiert.
sowie ¨uber 35 Millionen Rezepte vom Server des
”Virginia Prescription Monitoring“-Programms gegen ein L¨osegeld in H¨ohe von zehn Millionen US-Dollar eintauschen. Dabei wurden s¨amtliche Patientendaten auf den Servern der Betreiber verschl¨usselt und die Backups gel¨oscht. Die Angreifer hinterließen ein Erpresser-Schreiben mit der Angabe einer E-Mail-Adresse und versprachen, das Passwort f¨ur die verschl¨usselte Datenbankkopie nach der L¨osegeldzahlung auszuliefern (vgl. [wik09]).
Zwar wurde das oben beschriebene Angriffsszenario bei der Erstellung des Angriffsbaums diskutiert, jedoch als unwahrscheinlich und als praktisch irrelevant abgelehnt. Zu unglaub-lich erschien ein derlei aussichtsloser Erpressungsversuch aufgrund des f¨ur die Erpresser nicht l¨osbaren Problems der Geld¨ubergabe: Die l¨ander¨ubergreifend zusammen arbeitenden Ermittlungsbeh¨orden und Provider lassen den Kriminellen keine Hoffnung, mit der Beute spurlos entkommen zu k¨onnen. Auch die grundlegende Frage, ob L¨osegelder bei einem solchen Erpressungsversuch gezahlt worden w¨aren, ist angebracht. Schließlich besteht keine Garantie, dass die Kriminellen ihr Versprechen einhalten und das Passwort nach dem Erhalt des L¨osegeldes tats¨achlich herausgeben. Zus¨atzlich hatten die Kriminellen den Zugriff auf die unverschl¨usselten Daten, sind noch im Datenbesitz und k¨onnten, die Daten sp¨ater an die pharmazeutische Industrie bzw. Banken oder Versicherungen zu verkaufen versuchen.
Der zweifelhafte Anreiz f¨ur die Beh¨orden, die L¨osegeldforderung der Kriminellen zu erf¨ullen bzw. das ungel¨oste Problem der Geld¨ubergabe k¨onnten den Erpressungsversuch als dilettan-tisch erscheinen lassen. Gleichwohl kann diese Erpressung auch andere Motive als Ursache haben. So k¨onnten die Angreifer beispielsweise versucht haben, mit ihrer ¨offentlichen Erpressung die Aufmerksamkeit auf die Problematiken der Handhabung von vertraulichen medizinischen Daten im Netz zu lenken. Auch eine Handlung aus Geltungsdrang ist nicht auszuschließen, wobei hier ebenfalls die Erregung der ¨offentlichen Aufmerksamkeit als Intention dienen k¨onnte. Abschließend bleibt festzuhalten, dass dieser Vorfall in Anbetracht der aktuell ¨offentlich verf¨ugbaren Informationen eher als eine Kuriosit¨at erscheint, die keinen Aufschluss ¨uber die tats¨achliche Angreifermotivation zul¨asst. Es bleibt zu hoffen, dass in naher Zukunft zus¨atzliche Informationen verf¨ugbar sein werden, die zu einem besseren Verst¨andnis dieses Vorfalls beitragen.
Die aus den beiden Blickperspektiven20durchgef¨uhrten Analysen geben einen Eindruck ¨uber die m¨oglichen Schadensszenarien, erlauben jedoch keine objektive Beantwortung der Frage, die Implementierung welcher der m¨oglichen Sicherheitsmaßnahmen den gr¨oßten Nutzen f¨ur das Sicherheitsniveau eines Forschungsnetzes bringen w¨urde. Eine Analyse etablierter Ans¨atze zur Bewertung des Nutzens von Sicherheitsmaßnahmen wurde durchgef¨uhrt, um die L¨osungsm¨oglichkeiten f¨ur diese Problemstellung zu identifizieren.
20Angreifer und Verteidiger.
5.3. Diskussion der Ans¨ atze des Sicherheits- und Risikomanagements in medizinischen
Forschungsnetzen
Das Verst¨andnis der Informationssicherheit ver¨anderte sich im Laufe der vergangenen Jahre.
Aus dem notwendigen ¨Ubel wurde ein unentbehrlicher Erfolgsfaktor. Maßgebend f¨ur diese Ver¨anderung sind nicht nur die aktualisierten rechtlichen Anforderungen, sondern auch diverse marktwirtschaftliche Anreize f¨ur das Anbieten von sicheren Diensten und Systemen (vgl. [AM06]). Die vielz¨ahligen Sicherheits-Frameworks sollen helfen, das Sicherheitsniveau
einer Organisation messen und erh¨ohen zu k¨onnen. Im Abschnitt 4.1
”Verwendung von S&R-Ans¨atzen in der medizinischen Forschung“ werden die in der Praxis ihre Verwendung findenden und auch f¨ur den praktischen Einsatz geplanten bzw. diskutierten Sicherheits-und Risikomanagementans¨atze beschrieben. Im Abschnitt A.1
”Untersuchung der Wirk-samkeitsbewertung von Sicherheitsmaßnahmen mithilfe von etablierten S&R-Frameworks“
erfolgt eine Deskription, wie die Bewertung der Wirksamkeit von Sicherheitsmaßnahmen durchgef¨uhrt werden kann. Dabei werden sowohl die zuvor f¨ur die medizinische Forschung aufgelisteten als auch weitere in der Praxis außerhalb der medizinischen Forschung etablier-ten Ans¨atze analysiert. Die Untersuchung der Wirksamkeit von Sicherheitsmaßnahmen ist insbesondere im Hinblick auf die Einsch¨atzung des Zustandes eines Risiko- und Sicher-heitsportfolios und f¨ur die damit unmittelbar zusammenh¨angende Entscheidung f¨ur die Umsetzung eines Sicherheitsmaßnahmenkatalogs relevant (vgl. [Als10, S. 8]).
Die dargestellte Vielfalt der Ans¨atze sowie die Erkenntnis, dass kein einheitlicher, von allen Parteien anerkannter, Standard f¨ur die Untersuchung der Wirksamkeit von Si-cherheitsmaßnahmen existiert, spiegelt die Komplexit¨at der Materie sowie die Sachlage wider, dass es den g¨angigen Kennzahlensystemen oft an Aussagekraft, Interpretierbarkeit und offenbar an Objektivit¨at mangelt. Die Sicherheit als Gr¨oße ist abstrakt und nur schwer messbar. Dementsprechend problematisch ist die Ermittlung belastbarer Kenn-zahlen f¨ur die Bewertung der Notwendigkeit bzw. Sinnhaftigkeit von Sicherheitsmaßnah-men (vgl. [Fen10], [HV10], [Jan09], [NV09], [SA09], [SPK09], [Trc09], [Wei09], [AAP08], [PJAS06], [TSSS06], [irc05, S. 31 f.]).
Die Sicherheitskennzahlensysteme k¨onnen grunds¨atzlich in zwei Kategorien eingeteilt werden. Die erste Kategorie betrachtet die Sicherheit aus der Prozessperspektive. Die Kennzahlen solcher Systeme orientieren sich an die Vollst¨andigkeit der Prozessbeschrei-bung, die Prozesseffektivit¨at sowie deren Einhaltung. Die zweite Kategorie orientiert sich an den Ergebnissen der Risikoanalysen und -bewertungen. Da die Kennzahlen prim¨ar als Werkzeuge zur Prozesssteuerung zu verstehen sind, bedarf es hierf¨ur der Definition von Sollwerten. Durch die Messung und Interpretation der Abweichung zwischen den Soll- und den Ist-Werten kann der Bedarf f¨ur die ¨Anderung der Prozesse abgeleitet werden. Diese Uberlegung liegt der Vielzahl der offiziellen Standards zugrunde, wie beispielsweise den¨
zuvor in dieser Arbeit beschriebenen NIST 800-55 oder ISO 27004 (s. a. Abschnitt A.1).
Man betrachtet die Messung der Effektivit¨at von Sicherheitsmaßnahmen und leitet daraus eine fortw¨ahrende ¨Uberwachung und Verbesserung des Sicherheitsniveaus ab. Die Mehrheit der aktuellen Standards beschr¨ankt sich auf triviale Kennzahlenbeispiele und bewertet die Systemsicherheit nicht anhand von einzelnen technischen Systemeigenschaften, sondern aus der Sicht der Prozesse und Policies (vgl. [Str10], [SW10]). Die untersuchten Frameworks enthalten eine generische Anleitung zur Auswahl bzw. Erstellung von Sicherheitsmetriken, jedoch keine Methodik zur Unterst¨utzung der Organisation bei der Metrikauswahl, die am besten den sicherheitstechnischen Zielen dieser Organisation entsprechen (vgl. [FBTW10]).
Im Abschnitt B.2 ist eine Reihe weiterer Arbeiten und Ans¨atze zur Messung der Wirk-samkeit von Sicherheitsmaßnahmen aufgelistet, die im Rahmen einer systematischen Literaturrecherche analysiert wurden (s. a. Abschnitt 2.1.1.4).
Die eine Vielzahl von unterschiedlichen Ans¨atzen der Risikobewertung verwendenden SIEM-Produkte erm¨oglichen die zentralisierte Sammlung, Speicherung und Auswertung von Sicherheitsinformationen. Trotzdem beklagt man oft die geringe Substanz solcher Systeme bzw. der von ihnen verwendeten Messans¨atze. Ein beliebter Kritikpunkt besteht darin, dass ein SIEM-System keine Kennzahlen erzeugen kann, die nicht ohne das System zu ermitteln w¨aren. Eine weitere Herausforderung besteht in der Interpretation der teil-weise unzusammenh¨angenden Sicherheitsmetriken, die von unterschiedlichen Teilen der Organisation auf der operativen Ebene gesammelt werden (vgl. [Str10], [BMGS09]). Die damit verbundene resultierende fehlende strategische Sichtweise auf die Sicherheits- und Risikopolitik der Organisation wird oft als ein weiterer Kritikpunkt gesehen (vgl. [Fen10].) Die SAS-Systeme haben mit den gleichen Herausforderungen wie dieSIEM-Produkte zu k¨ampfen. Insbesondere f¨ur die Auswertungen der Vulnerability-Scanner ist es oft nicht ersichtlich, ob die Ergebnisse der Scans mit der Sicherheitspolicy ¨ubereinstimmen. Die G¨ute der Ergebnisse ist von dem Umfang und der Qualit¨at der Vulnerability-Datenbank abh¨angig und kann im Zusammenhang mit den bereits eingesetzten Sicherheitsprodukten an Aussagekraft verlieren. Die Anwendung aktiver Scanning-Methoden kann zudem den Betrieb erheblich st¨oren (vgl. [KS05]).