Zusammenfassung
Im folgenden Fallbeispiel wird das Risiko eines erstmaligen, erfolgreichen Einbruchs durch «Hacking»1 in ein Local Area Network einer Unternehmung aus dem Dienstleistungsbereich betrachtet, die mit nicht-sensitiven Datenbeständen arbeitet. Das Risiko wird unter Verwendung der imvierten Kapitel beschriebenen Methode quantifiziert, und es werden Portfolios zur Risikoreduktion unter Beachtung wirtschaftlicher Randbedingungen erwogen.
This is a preview of subscription content, log in via an institution.
Buying options
Tax calculation will be finalised at checkout
Purchases are for personal use only
Learn about institutional subscriptionsPreview
Unable to display preview. Download preview PDF.
Literatur
Unter «Hacking» im engeren Sinne werden unberechtigte Zugriffsversuche auf geschützte Datenbestände verstanden. Oft bedient sich ein Hacker Einrichtungen der öffentlichen Datenübertragung, um Zugang zu den meist entfernten Rechnern und der von ihnen verwalteten Daten zu erlangen. Merkmal eines «Hacks» ist die Überwindung logischer Zugriffsbarrieren, wie z.B. eines Passwortmechanismus, durch Unbefugte. «Hacking» im weiteren Sinne meint jeden Überwindungsversuch einer logischen Barriere, also z.B. auch die Anstrengungen eines Benutzers an Daten eines abwesenden Kollegen zu gelangen, die er dringend zur Fortführung seiner Arbeit benötigt. Im gewählten Beispiel wird jedoch die Sichtweise des «Hackings im engeren Sinne» herangezogen.Die Motivation eines Hackers für eine Einbruchsaktion in fremde Datenbestände kann die intellektuelle Herausforderung sein, der Wunsch nach Anerkennung Gleichgesinnter, Prestigedenken, krimineller Trieb, Vergeltung, Rache, «Leistungsdruck» durch Hackervereinigungen oder die Hoffnung auf eine Laufbahn als «Computer security consultant» [vgl. BAI87, BEI90, CCC88, LAN85, ST088, WON86]. Die bekannteste Hackervereinigung im deutschen Sprachraum ist der Computer Chaos Club mit Sitz in Hamburg.
„A feature built into a program such that the provision of specific input data allows the process executing the program to overcome the security policy, usually by directly returning to the calling program, completely bypassing all security guards.” [LEE89].
Als traditionelle Anfangswert-Methoden bieten sich hier die Kapitalwertmethode, Methode des Internen Zinsfusses und die Pay-back-Methode an.
Andere bestehende Modellierungssprachen sind z.B. AMPL [vgl. FGK87] und LPL [vgl. HÜK88]. EMP [vgl. SCH86] ist ein Expertensystem, das implizit eine Modellierungssprache benützt.
z. B. durch Einfügung einer zusätzlichen Restriktion in Form einer Ungleichung
Jede Modellierungssprache ist deklarativ.
Die Formulierung des vorliegenden Modells begann mit einem einfachen Kalkül zur Berechnung des Gesamtrisikos ähnlich einer Tabellenkalkulation. Dieses Kalkül wurde dann schrittweise zu einem Modell umgewandelt, in dem Faktoren durch Variablen ersetzt und Startwerte (z.B. fO) eingeführt wurden. Gleichzeitig mussten diese Variablen deklariert werden.
Ausgehend von der Annahme, dass die Summe der Portfolios nicht durch Ausschliessung bestimmter Massnahmenkombinationen beschränkt werden kann, ergeben sich bei 4 Einzelmassnahmen 16 Kombinationsmöglichkeiten. Erhöht sich die Menge r der effektiven Einzelmassnahmen auf nur 10, so wächst die Menge der Kombinationsmöglichkeiten N auf 1.024; bei 15 zu beurteilenden Massnahmen, sind 32.768 Variationsmöglichkeiten zu betrachten; wenn 20 Einzelmassnahmen herangezogen werden, ergeben sich 1,048.576 Kombinationen. Es gilt die Beziehung N = 2r.
„Goal setting for satisficing solutions is defined as the procedure of identifying a satisficing set S such that, whenever the decision outcome is an element of S, the decision maker will be happy and satisficed and is assumed to have reached the optimal solution” [YU85, p. 56].
Massnahme 12 reduziert die Back-up-Intervalle von 24 auf 6 Stunden, während Massnahme 3 die Back-up-Intervalle von 24 auf 12 Stunden senkt. Die beiden Massnahmen schliessen einander aus. Ebenso würde Massnahme 13 (Isolation von allen Netzen) in Kombination mit Massnahme 14 (Call-Back-Modems) völlig sinnlos sein.
Für nicht-lineare Programmierung [vgl. BRO88].
Es wurden daher drei Teilmodelle aufgestellt, MINRISK, MINCOST und MAXRATIO, die sich nur durch jeweils ein einziges Statement (Zeile 114, 117 bzw. 113, vgl. Anhang B) unterscheiden: „SOLVE RISK using NLP minimizing totrr” in MINRISK, bzw. „SOLVE RISK using NLP minimizing Cost” in MINCOST, und „SOLVE RISK using NLP maximizing effr” in MAXRATIO.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 1991 B. G. Teubner Stuttgart
About this chapter
Cite this chapter
Strauß, C. (1991). Fallstudie I: «Hacking» in einem Local Area Network-Ein quantitativer Ansatz. In: Informatik-Sicherheitsmanagement. Informatik und Unternehmensführung. Vieweg+Teubner Verlag, Wiesbaden. https://doi.org/10.1007/978-3-322-94696-6_5
Download citation
DOI: https://doi.org/10.1007/978-3-322-94696-6_5
Publisher Name: Vieweg+Teubner Verlag, Wiesbaden
Print ISBN: 978-3-519-02186-5
Online ISBN: 978-3-322-94696-6
eBook Packages: Springer Book Archive