Uber die Anwendung von Sicherheitsmanagement ¨ Systemen, Policies und Spieltheorie zur
Unternehmensabsicherung
Wolfgang Boehmer
wboehmer@cdc.informatik.tu-darmstadt.de
Technische Universit¨at Darmstadt, Morneweg Str. 30, CASED building, 64293 Darmstadt, Germany
Abstract:Mit der massiven Verbreitung der Informationstechnologie in den Unterneh- men und in privaten Haushalten Mitte der 90-er Jahre, begann alsbald die Diskussion um deren Absicherung mittels IT/Inf.-Sicherheitskonzepten. Inzwischen haben sich im Bereich der Unternehmensabsicherung (Enterprise Security) weltweit Management Systeme, gem¨aß dem Deming Zyklus – gegen¨uber den anf¨anglich verwendeten Poli- cies – durchgesetzt, um IT/Inf.-Sicherheitskonzepte zu erstellen. Es handelt sich um standardisierte, risikoorientierte Management Systeme wie z.B. dem ISMS (Informati- on Security Management System) gem¨aß ISO 27001 und dem BCMS (Business Con- tinuity Management System) gem¨aß BS 25999 oder auch dem ITSMS (Information Technology Service Management System) gem¨aß ISO 20000. Es werden in diesem Beitrag die Einsatzm¨oglichkeiten von Policies gegen¨uber Management Systemen dis- kutiert und eine Zuordnung hinsichtlich ihrer Anwendbarkeit bzgl. des zu betrach- tenden Systems vorgenommen. Ferner wird gezeigt wie die formale Beschreibung von Sicherheitsmanagement Systemen mittels der Systemtheorie zur Entwicklung von IT/Inf.-Sicherheitskonzepten vorgenommen werden kann. Am Beispiel des Infektions- weges des Stuxxnet Virus wird der Einsatz von spieltheoretischen ¨Uberlegungen zur Erg¨anzung von Sicherheitskonzepten diskutiert.
Systemtheorie, Policies, ISMS, BCMS, ITSM, Diskrete Event Systeme (DES)
1 Einf ¨uhrung
Zur Absicherung von Firmen und Industrieanlagen haben sich Sicherheitskonzepte von jeher etabliert. Dabei lassen sich gute Sicherheitskonzepte nicht auf eine reine Aufz¨ahlung von Maßnahmen reduzieren, sondern die in den Sicherheitskonzepten aufgef¨uhrten Maß- nahmen gehen immer auf eine Vorgehensweise bzw. Methodik zur¨uck. In der Literatur sind eine Vielzahl von Artikeln ¨uber die Entwicklung von Sicherheitskonzepten zu fin- den, die hier aufgef¨uhrten sind stellvertretend zu nennen [AC08, SOk07, DF06, TCP+06, CC04, Lin95]. Die in Sicherheitskonzepten verfolgten Schutzziele werden in der Literatur
320