Untersuchungen zeigen, dass nicht alle Sicherheitsausgaben das Sicherheitsniveau einer Organisation positiv ver¨andern. Vielmehr geht man davon aus, dass etwa ein Drittel der Sicherheitsausgaben keine nennenswerte positive Beeinflussung des
Sicherheitsnive-aus bewirkt (vgl. [BRT07]). Ein gut durchdachter, gezielter Einsatz des verf¨ugbaren Sicherheitsbudgets ist daher von immenser Bedeutung.
Im Abschnitt 4.4
”Herleitung eines Konzeptes f¨ur das quantitative dynamische Sicherheits-und Risikomanagement“ wird – aufbauend auf den Konzepten der Risikomatrix Sicherheits-und des Nettorisikos nach [M¨ul11] – ein Konzept zur Bewertung der Risikotragbarkeit und Optimierung des Risikoportfolios entwickelt. Die Einf¨uhrung der zus¨atzlichen Risikobe-wertungskomponente
”Schwachstellenpotenzial“ erm¨oglicht eine Berechnung der Effizienz von Sicherheitsmaßnahmen in Abh¨angigkeit vom individuellen Risikoportfolio. Das vorge-stellte Konzept hat die Optimierung des Risikoportfolios eines Forschungsnetzes zum Ziel, worunter eine effizientere Ressourcenverteilung zwecks Erreichung eines m¨oglichst hohen Sicherheitsniveaus zu verstehen ist.
Das im Rahmen dieser Arbeit ausgearbeitete und im Abschnitt 4.4 vorgestellte Konzept erm¨oglicht eine investitionsorientierte Bewertung der Sicherheitsprozesse in einem For-schungsnetz. Im Gegensatz zu der weit verbreiteten oft subjektiven Sch¨atzung der Relevanz eines Schadensszenarios und dessen H¨ohe, die ihre Schw¨achen sp¨atestens bei der Sch¨atzung der Eintrittswahrscheinlichkeit offenbart (vgl. [BLP+06]), er¨offnet die vorgestellte erwei-terte Betrachtungsweise neue Optimierungsm¨oglichkeiten f¨ur das Sicherheits- und Risiko-portfolio. Das Basiskonzept
”dynSRM“ ist im Zusammenhang mit der Sicherheits- und Risikoportfolio-Bewertung generisch anwendbar; seine Anwendungsfelder k¨onnen auch au-ßerhalb der medizinischen Forschung liegen. Das Konzept bietet breite Einsatzm¨oglichkeiten durch die potenzielle Verwendbarkeit unterschiedlicher Datenquellen f¨ur die Bestimmung von Risikovektoren und Sicherheitsmaßnahmen sowie durch die vielf¨altigen M¨oglichkeiten f¨ur die Ableitung von quantitativen Sicherheitsmetriken.
Eine sinnvolle praktische Realisierung des Konzeptes erfordert eine m¨oglichst objektive Bestimmung der Risikovektoren |m(r1~r2)|. So kann die L¨ange eines Vektors durch eine Vielzahl von ms beeinflusst werden, die nicht nur unterschiedliche Ans¨atze der Risiko-bek¨ampfung, sondern auch unterschiedliche Produkte, Ausbaustufen und Konfigurationen eines Ansatzes sein k¨onnen.
Zeitgem¨aße medizinische Forschung und Versorgung setzen auf solche kollaborative Techno-logien wie Netzwerke von Dienstleistern (
”networks of care providers“) und GRID-Systeme, sodass eine Vielzahl unterschiedlicher Institutionen und unabh¨angiger Forscher sowie die von ihnen verwendeten Ressourcen auf mehrere Standorte aufgeteilt sein k¨onnen, wobei diese Aufteilung oft transparent bzw. kaum zentral kontrollierbar ist (vgl. [KBB+09], [MR-WC09], [OK09], [Pfe09], [Win09]). Die Anwendbarkeit des in dieser Arbeit vorgestellten Risikobetrachtungsansatzes bei der Verwendung solcher kollaborativen Technologien bedarf weiterer Untersuchungen.
5.5. Einordnung des vorgeschlagenen Konzeptes zur Effizienzbewertung von Sicherheitsmaßnahmen
Im Abschnitt 5.3
”Diskussion der Ans¨atze des Sicherheits- und Risikomanagements in medizinischen Forschungsnetzen“ wird eine Einteilung der Ans¨atze f¨ur die Messung der Informationssicherheit in zwei Kategorien vorgenommen. Der in dieser Arbeit unterbreite-ter Vorschlag zur dynamischen Messung des Sicherheitsniveaus geh¨ort zu der Kategorie der Messans¨atze, die sich mit der Risikoanalyse und -bewertung befassen. Im Mittel-punkt des vorgeschlagenen Ansatzes steht eine einheitliche Basis an Risikovektoren, die f¨ur eine Vielzahl von Forschungsnetzen gelten sollen. Nach der Parametrisierung dieser Datenbasis mit individuellen Daten eines Forschungsnetzes wie beispielsweise Datenart-und -menge, Angaben zu den verwendeten Plattformen, Einsatz von Outsourcing etc.
erfolgt die Berechnung einer individuellen Gef¨ahrdungslage. Durch die Umsetzung von Sicherheitsmaßnahmen kann diese nun ver¨andert werden, wobei bei der Entscheidung f¨ur den umzusetzenden Sicherheitsmaßnahmenkatalog die Notwendigkeit, die Wirksamkeit und die Verh¨altnism¨aßigkeit von Maßnahmen ber¨ucksichtigt werden m¨ussen. Das gesetzte Ziel dieser Betrachtung ist die Erf¨ullung s¨amtlicher maßgeblichen Anforderungen unter einer m¨oglichst effektiven Verwendung des zur Verf¨ugung stehenden Sicherheitsbudgets.
Als Ausgangsbasis f¨ur die Definition von Risikovektoren werden im Abschnitt 4.4
” Herlei-tung eines Konzeptes f¨ur das quantitative dynamische Sicherheits- und Risikomanagement“
die BSI-Gef¨ahrdungskataloge vorgeschlagen. In dieser Konstellation beruht das Konzept des dynamischen Sicherheit- und Risikomanagements auf einem soliden Fundament, das sich im praktischen Einsatz bew¨ahrt hat. In gewisser Hinsicht bietet das Konzept sogar eine logische Weiterentwicklung des BSI-Modells, in dem die Effizienz von Maßnahmen-kombinationen bewertet wird. Die Beschr¨ankung der untersuchten Zielgruppe auf die medizinischen Forschungsnetze in Deutschland stellt sicher, dass der betrachtete Komplex einen ¨uberschaubaren Umfang an vergleichbaren Bedingungen aufweist. Dazu geh¨oren beispielsweise die rechtlichen Rahmenbedingungen f¨ur die Verarbeitung von personenbezo-genen Daten sowie die durch die Arbeiten der Arbeitsgruppe Datenschutz der TMF e.V.
und in durchgef¨uhrten Rechtsgutachten ermittelten Anforderungen an die teilweise gemein-sam verwendeten Dienste und Produkte.21 Diese Gemeinsamkeiten erlauben die Definition wichtigster Komponenten und der f¨ur diese Komponenten notwendigen Sicherheitskriterien f¨ur ein Forschungsnetz, die nun im Hinblick auf ihre Erf¨ullung bewertet werden k¨onnen.
Das vorgeschlagene Konzept stellt eine quantitative Bewertungsmethode f¨ur die Sicherheit einer Forschungsnetzinfrastruktur dar. Der Ansatz erf¨ullt die aus [Wey88] abgeleiteten vier Kriterien der Sicherheitsmetriken, die in der Publikation
”Information Security Models and Metrics“ [Wan05] in Form von Axiomen aufgestellt wurden und als formale Min-destanforderung an die Sicherheitsmetriken gelten. Die Kriterien sind im vorliegenden
21Beispielsweise Pseudonymisierungsdienst, PID-Generator etc.
Fall wie folgt zu interpretieren: differenzierte Sicherheitsbewertungen f¨ur unterschiedliche Infrastrukturen, gleiche Bewertung f¨ur die gleichen Infrastrukturen, Ber¨ucksichtigung externer Faktoren, die Abh¨angigkeit der Bewertung von der Reihenfolge der Komponenten bzw. der Maßnahmen. Dies korrespondiert mit den in [Wil09, S. 9 .ff] und [CSS+08, S. viii]
geforderten Qualit¨atskriterien Messbarkeit, Bedeutung, Konsistenz und Wiederholbarkeit sowie Beeinflussbarkeit22. ¨Ahnlich lautende Anforderungen werden in [Jaq07] definiert. Die zus¨atzliche Anforderung nach mehreren Messkriterien23 kann durch die Definition mehrerer Zielfunktionen erf¨ullt werden (vgl. [SA10]). Auch die durch manche Experten verlangte
”Ubersichtlichkeit“¨ 24 kann im Konzept durch die Auswahl eines angemessenen Detaillie-rungsgrades leicht erreicht werden (vgl. [BKY11, S. 6 f.], [Fab10, S. 19 f.], [XWZ+09, S. 428 f.], [Hec08], [LA05, S. 8], [Man05], [MR05]).
Aufgrund des generischen, modularen Aufbaus des Konzeptes ist die Verwendung von mehreren Metriksystemen m¨oglich. Bei Bedarf erlaubt dies einen zweck- und zielgruppen-spezifischen Einsatz von Sicherheitsmetriken, da davon auszugehen ist, dass kein Metriksys-tem s¨amtliche Anforderungen hinsichtlich Informationsbedarf und -gehalt, Verf¨ugbarkeit, Vollst¨andigkeit etc. erf¨ullen kann (vgl. [PC10, S. 52], [Bro09, S. 77], [Pir07]).
Das vorgeschlagene Bewertungskonzept ber¨ucksichtigt die ISO 27004-Empfehlung f¨ur den Metrik-Aufbau (s. a. Abschnitt A.1.1
”ISO-Normenreihe (ISO 2700X)“) und passt in das vom ISO-Standard empfohlene Metrik-Modell (siehe Abbildung 16 auf der Seite 204): Das Konzept sieht die Anreicherung der Basismetriken durch die organisationsspezifischen Informationen und die Erstellung der spezifischen abgeleiteten Risikovektoren vor; die variablen Risikoportfoliobewertungsfunktionen Gn ubernehmen im vorgestellten Modell¨ die Korrelierungsfunktion und erlauben die Berechnung der Risikoportfoliog¨ute (vgl.
[KLR+10b]).
22Im Sinne der Eignung bzw. Verwendbarkeit der Metriken, um auf ihrer Basis Entscheidungen zur Verbesserung des Sicherheitsniveaus treffen zu k¨onnen.
23At least one unit of measure.
24Succinctness.