Zusammenfassung
Ein Cyber-Lagezentrum ist eine zentrale Organisationseinheit, in der alle relevanten Informationen über Sicherheitsvorfälle zur Aufarbeitung und Bewertung zusammenlaufen. In diesem Zusammenhang sind die richtigen Informations- und Datenquellen unverzichtbare Bestandteile bei der Erstellung von Cyber-Lagebildern. Durch die Auswertung von zahlreichen Informationen und Daten kann das Situationsbewusstsein über den Zustand kritischer und wesentlicher Infrastrukturen auf unterschiedlichen Ebenen entstehen. Dazu ist es essenziell, die relevanten Quellen nutzbar zu machen.
Die Etablierung der Lagebilder benötigt die Kombination und Korrelation eines breiten Spektrums unterschiedlicher Daten. Daher wird in diesem Kapitel eine Kategorisierung von Informationen und Daten für Cyber-Lagebilder eingeführt. Informationen werden entweder zum Kernlagebild oder zum Kontext gezählt. Das Kernlagebild umfasst großteils kontextlose Daten und „Informationsbausteine“, wie etwa Beobachtungen, Indikatoren, Zwischen- und Störfälle, TTPs, Kampagnen, Akteure, Schwachstellen und Angreifer-Vorgehensweisen. Das Kernlagebild besteht aus Kerndaten (zum Beispiel von Sensoren) und Kerninformationen (zum Beispiel wesentliche Informationen über Netzstrukturen und Asset Management kritischer Betreiber), welche die Grundlage zur Erstellung des Lagebildes bilden. Die Kontextinformationen des Lagebildes hingegen decken all jene weiteren Informationen ab, welche für die zweckmäßige Interpretation des Kernlagebildes auf nationaler Ebene erforderlich sind.
Die erforderlichen Informationen für Lagebilder und Situationsbewusstsein werden aus unterschiedlichen Quellen gewonnen. Durch Analyse und Korrelation der unterschiedlichen Daten werden wertvolles Wissen und Erkenntnisse erzeugt. Die Quellen können nach verschiedenen Aspekten kategorisiert werden, wie z. B. nach Zugänglichkeit, Eigentümer der Information, Erfassungsart oder Strukturierung der Daten und Informationen, oder Relevanz für Entscheidungsebenen, nur um einige Beispiele zu nennen.
In Cyber-Lagezentren basieren die Entscheidungen auf der Auswertung von ständig wachsenden Datenbeständen bei zunehmend komplexer werdenden Datenstrukturen. Fehlentscheidungen, aufgrund nicht korrekter Informationen, können erheblichen Schaden verursachen. Daher ist die Bestimmung der Qualität von Daten und Informationen ein zentraler Themenbereich für Cyber-Lagezentren. Die Daten- und Informationsqualität bildet außerdem einen kritischen Aspekt im Bereich der nationalen Sicherheit. Beispielsweise haben Daten minderer Qualität beim Air France Vorfall 2013 im Einsatz zu einem falschen Alarm geführt. Auch die Anschläge bei 9/11 zeigten eine weitere Schwierigkeit der wachsenden Datenmenge, nämlich die rechtzeitige Datenaggregation und Korrelation. Laut dem Abschlussbericht von 9/11 gehören die inkonsequente Prioritätensetzung bei der Datenaggregation und die schlechten oder nicht vorhandenen Kommunikationswege zwischen den Behörden zu den kritischsten Bereichen. Um eine bestimmte Daten- und Informationsqualität gewährleisten zu können, ist eine konsequente Qualitätsbewertung essenziell. Daher beinhaltet das Kapitel eine Liste von Qualitätskriterien, die als Anforderungskatalog für die Informationssammlung für Cyber-Lagebilder dienen kann. Die weiteren Abschnitte setzen die bis dahin dargestellten theoretischen Modelle in die Praxis um und zeigen sowohl eine beispielhafte Evaluierung verschiedener Informationsquellen basierend auf einem Muster-Bewertungsschema als auch eine beispielhafte Auswahl von Informationen für Lagebilder zur Beurteilung spezieller Angriffsszenarien.
This is a preview of subscription content, log in via an institution.
Buying options
Tax calculation will be finalised at checkout
Purchases are for personal use only
Learn about institutional subscriptionsNotes
- 1.
OASIS-STIX Projekt 2.0, https://oasis-open.github.io/cti-documentation/stix/intro (Letzter Zugriff: 21.05.2018)
- 2.
ISO 17799 – Security Techniques – Code of practice for information security management
- 3.
Eine Sammlung von Best-Practise Methoden zum systematischen Organisieren aller Tätigkeiten im Bereich Service Management und Servicesupport für Informationssystem
- 4.
ISACA, www.isaca.org (Letzter Zugriff: 21.05.2018)
- 5.
Tor Project, https://www.torproject.org/ (Letzter Zugriff: 21.05.2018)
- 6.
Die Presse, Deep Web: In den dunklen Ecken des Internets, http://diepresse.com/home/techscience/internet/3825043/Deep-Web_In-den-dunklen-Ecken-des-Internets (Letzter Zugriff: 21.05.2018)
- 7.
Eigenschaften von Datenbanksystemen, http://gisbsc.gis-ma.org/GISBScL4/de/html/GISBSc_VL4_V_lo2.html (Letzter Zugriff: 21.05.2018)
- 8.
CVE, https://cve.mitre.org/cve/ (Letzter Zugriff: 21.05.2018)
- 9.
CVE Details, www.cvedetails.com/ (Letzter Zugriff: 21.05.2018)
- 10.
NIST, https://www.nist.gov/ (Letzter Zugriff: 21.05.2018)
- 11.
Metasploit, https://www.metasploit.com/ (Letzter Zugriff: 21.05.2018)
- 12.
Exploit DB, https://www.exploit-db.com/ (Letzter Zugriff: 21.05.2018)
- 13.
APWG Phishing Mailinglist, www.antiphishing.org/report-phishing (Letzter Zugriff: 21.05.2018)
- 14.
Shodan, www.shodan.io (Letzter Zugriff: 21.05.2018)
- 15.
Tor Projekt, https://www.torproject.org/ (Letzter Zugriff: 21.05.2018)
- 16.
Recorded Future, https://www.recordedfuture.com/ (Letzter Zugriff: 21.05.2018)
- 17.
Heise.de, http://www.heise.de/security/ (Letzter Zugriff: 21.05.2018)
Literatur
Alavi, M., & Leidner, D. E. (2001). Knowledge management and knowledge management systems: Conceptual foundations and research issues. MIS quarterly, 107-136.
Bantukul, A., & Marsico, P. J. (2015). U.S. Patent No. 9,043,451. Washington, DC: U.S. Patent and Trademark Office.
BKA. (2013) Österreichische Strategie für Cyber Sicherheit. https://www.bundeskanzleramt.gv.at/cyber-sicherheit-egovernment (Letzter Zugriff: 21.05.2018)
Bundesamt für Sicherheit in der Informationstechnik. (2012). Abwehr von DDoS-Angriffe, https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_002.pdf?__blob=publicationFile&v=2 (Letzter Zugriff: 21.05.2018)
Bundesministerium des Innern. (2009). Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). https://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Nat-Strategie-Kritis_PDF.pdf?__blob=publicationFile (Letzter Zugriff: 21.05.2018)
Cavusoglu, H., Cavusoglu, H., & Raghunathan, S. (2005). Emerging Issues in Responsible Vulnerability Disclosure. In WEIS.
CERT.at. (2017). NIS-Richtlinie: Umsetzung aus österreichischer Sicht, https://www.cert.at/reports/report_2016_chap04/content.html (Letzter Zugriff: 21.05.2018)
Conroy, N. J., Rubin, V. L., & Chen, Y. (2015). Automatic deception detection: Methods for finding fake news. Proceedings of the Association for Information Science and Technology, 52(1),1-4.
Eckerson, W. (2002) Data Quality and the Bottom Line: Achieving Business Success through a Commitment to High Quality Data/The Data Warehousing Institute. 2002.
Eis, D., & Wolf, U. (2008). Qualitätssicherung beim Lymphozytentransformationstest–Addendum zum LTT-Papier der RKI-Kommission „Methoden und Qualitätssicherung in der Umweltmedizin“. 51, 1070-1076.
English, L. P. (2005). Information quality: Critical ingredient for national security. Journal of Database Management, 16(1), 18.
ENISA. (2015). Guideline on Threats and Assets - Technical guidance on threats and assets in Article 13a, https://resilience.enisa.europa.eu/article-13/guideline_on_threats_and_assets (Letzter Zugriff: 21.05.2018)
Europäische Kommission. (2001) Sicherheitsvorschriften der Kommission. (2001). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:317:0001:0055:DE:PDF (Letzter Zugriff: 21.05.2018)
Europäisches Parlament. (2016).Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016L1148 (Letzter Zugriff: 21.05.2018)
Ferstl, O. K., & Sinz, E. J. (2001). Grundlagen der Wirtschaftsinformatik (Vol. 5). München: Oldenbourg. S.131
Deshpande, Tushar, et al. "Formal analysis of the DNS bandwidth amplification attack and its countermeasures using probabilistic model checking". High-Assurance Systems Engineering (HASE), 2011 IEEE 13th International Symposium on. IEEE, 2011.
John Walker, S. (2014). Big data: A revolution that will transform how we live, work, and think.
Kim, D., & Kim, S. (2015). Design of quantification model for ransom ware prevent. World Journal of Engineering and Technology, 3(03), 203.
Köck, H., Krumböck, M., Ebner, W., Mandl, T., Fiedler, R., Skopik, F., & Lendl, O. (2015). Evaluierung von CAIS im praktischen Einsatz. In Cyber Attack Information System (pp. 119-147). Springer Vieweg, Berlin, Heidelberg.
Kuratorium Sicheres Österreich. (2012). Cyber Sicherheit in Österreich. https://kuratorium-sicheres-oesterreich.at/wp-content/uploads/2015/02/Cyberrisikoanalyse.pdf (Letzter Zugriff: 21.05.2018)
Layadi, A. (2000). Kosovokrieg und die Rolle der NATO & UNO.
Lee, J., Bagheri, B., & Kao, H. A. (2015). A cyber-physical systems architecture for industry 4.0-based manufacturing systems. Manufacturing Letters, 3, 18–23.
Luo, X., & Liao, Q. (2007). Awareness education as the key to ransomware prevention. Information Systems Security, 16(4),195–202.
Machanavajjhala, A., Kifer, D., Abowd, J., Gehrke, J., & Vilhuber, L. (2008). Privacy: Theory meets practice on the map. In Proceedings of the 2008 IEEE 24th International Conference on Data Engineering (pp. 277–286). IEEE Computer Society
MELANI. (2016). Technical Report about the Malware used in the Cyberespionage against RUAG. https://www.melani.admin.ch/melani/en/home/dokumentation/reports/technical-reports/technical-report_apt_case_ruag.html (Letzter Zugriff: 21.05.2018)
National Commission On Terrorist Attacks Upon the Unites States. (2014) The 9/11 Commission Report, http://www.9-11commission.gov/report/911Report_Exec.htm (Letzter Zugriff: 21.05.2018)
Naumann, K. (2004). Die Organisation der Sicherheit unter neuen Herausforderungen und die Zukunft der Bundeswehr. In Herausforderung Terrorismus (pp. 99-135). VS Verlag für Sozialwissenschaften.
Ntanos, C., Botsikas, C., Rovis, G., Kakavas, P., & Askounis, D. (2014). A context awareness framework for cross-platform distributed applications. Journal of Systems and Software, 88, 138–146.
NIST Special Publication 800-53. (2013). http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf (Letzter Zugriff: 21.05.2018)
Pahi T., Leitner M., Skopik F. (2017). Data Exploitation at Large: Your Way to Adequate Cyber Common Operating Pictures, Academic Conferences and Publishing International Limited Reading, UK, ISBN 978-1-911218-43-2
Spiegel Online. (2007). Wer steckt hinter dem Cyberangriff auf Estland?, http://www.spiegel.de/spiegel/print/d-51644730.html (Letzter Zugriff: 21.05.2018)
Steinhoff, C. (2008). Quantifizierung operationeller Risiken in Kreditinstituten: eine Untersuchung unter besonderer Berücksichtigung von Szenarioanalysen im Rahmen von Verlustverteilungsmodellen. Cuvillier Verlag.
Sweeney, L. (2002). k-anonymity: a model for protecting privacy'International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10, 5 (2002) 557–570.
Symantec. (2016). Internet Security Threat Report, Volume 21. Version: April 2016, https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf, Daten aus der Symantic Quelle abgebildet (Letzter Zugriff: 21.05.2018)
TrendMicro. (2015). Below the Surface: Exploring the Deep Web, TrendLabs Research Paper. https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_below_the_surface.pdf (Letzter Zugriff: 21.05.2018)
U.S. Department of Homeland Security. (2013). NIPP 2013 – Partnering for Critical Infrastructure Security and Resilience, https://www.dhs.gov/sites/default/files/publications/NIPP%202013_Partnering%20for%20Critical%20Infrastructure%20Security%20and%20Resilience_508_0.pdf (Letzter Zugriff: 21.05.2018)
US-CERT. (2017). UDP-Based Amplification Attacks. https://www.us-cert.gov/ncas/alerts/TA14-017A (Letzter Zugriff: 21.05.2018)
Wichowski, D. E., & Kohl, L. E. (2012). Establishing Credibility in the Information Jungle: Blogs, Microblogs, and the CRAAP Test. Online Credibility and Digital Ethos: Evaluating Computer-Mediated Communication, 229-251.
Ye, Hua, WeiChao Dai, and Xiaodong Huang. (2016). „File backup to combat ransomware“. U.S. Patent 9,317,686, issued April 19
Zargar, S.T., Joshi, J., Tipper, D. (2013) A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks. IEEE Communications Surveys & Tutorials, vol.15, no.4, pp.2046,2069.
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Abkürzungsverzeichnis
Abkürzungsverzeichnis
- CDR:
-
Call Detail Records
- CERT:
-
Computer Emergency Response Team
- CobiT:
-
Control Objectives for Information and Related Technologies
- COMINT:
-
Communication Intelligence
- CVE:
-
Common Vulnerabilities and Exposures
- DDoS:
-
Distributed Denial of Service
- DHS:
-
U.S. Department of Homeland Security
- DNS:
-
Domain Name Server
- EDA:
-
Europäische Verteidigungsagentur
- ELINT:
-
Electronic Signals Intelligence
- ENISA:
-
European Network and Information Security Agenc<
- FISINT:
-
Foreign Instrumentation Signals Intelligence
- HTTP:
-
Hypertext Transfer Protocol
- HUMINT:
-
Human Intelligence
- IDS:
-
Intrusion Detection System
- IKT:
-
Informations- und Kommunikationstechnologie
- IPS:
-
Intrusion Prevention System
- ISO:
-
International Organization for Standardization
- ITIL:
-
IT Infrastructure Library
- KI:
-
Kritische Infrastrukturen
- KSÖ:
-
Das Kuratorium Sicheres Österreich
- LDAP:
-
Lightweight Directory Access Protocol
- MNP:
-
Mobile Rufnummermitnahme/Mobile Number Portability
- MSC:
-
Mobilvermittlungszentrum/Mobile Switching Centre
- NIS:
-
Netz- und Informationssicherheit
- NIST:
-
National Institute of Standards and Technology
- NVD:
-
National Vulnerability Database
- NW:
-
Netzwerk
- OSINT:
-
Open Source Intelligence
- PSTN:
-
Public Switched Telephone Network
- RTR:
-
Rundfunk und Telekom Regulierung
- SCADA:
-
Supervisory Control and Data Acquisition
- SIGINT:
-
Signals Intelligence
- STIX:
-
Structured Threat Information Expression
- TECHINT:
-
Technical Intelligence
- TOR:
-
The Onion Router
- TTP:
-
Tactics, Techniques, and Procedures
Rights and permissions
Copyright information
© 2018 Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature
About this chapter
Cite this chapter
Pahi, T., Skopik, F., Kieseberg, P., Leitner, M. (2018). Erhebung von Informations- und Datenquellen für Cyber-Lagebilder. In: Skopik, F., Páhi, T., Leitner, M. (eds) Cyber Situational Awareness in Public-Private-Partnerships. Springer Vieweg, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-56084-6_6
Download citation
DOI: https://doi.org/10.1007/978-3-662-56084-6_6
Published:
Publisher Name: Springer Vieweg, Berlin, Heidelberg
Print ISBN: 978-3-662-56083-9
Online ISBN: 978-3-662-56084-6
eBook Packages: Computer Science and Engineering (German Language)