Zusammenfassung
Jedes informationsverarbeitende System ist in seiner Qualität sehr stark von der Verarbeitung der gesammelten Informationen abhängig. Speziell zur Konstruktion eines sinnvollen Lagebilds ist die Bewertung und Aggregierung von Daten von besonderer Bedeutung, um Muster und Gemeinsamkeiten scheinbar isolierter Incidents erkennen und darstellen zu können. Zusätzlich wird durch die potenzielle Einbindung automatisiert gesammelter Informationen, wie bspw. durch Sensoren in kritischen Netzabschnitten und wichtigen Infrastrukturen, die Informationsmenge exponentiell erhöht.
Im Rahmen dieses Kapitels stellen wir eine Architektur vor, die den Ansprüchen eines modernen Lagezentrums genügt, wobei auch auf österreichische Spezifika, wie die Einbindung von sog. „First Respondern“, Rücksicht genommen wird. Die vorgestellte Architektur integriert dabei die Informationssammlung direkt bei den Zuständigen in den kritischen Infrastrukturen mit der Unterstützung durch die First Responder bei der Behandlung von Incidents, sowie die weitere Anreicherung erhobener Daten und Informationen in den Lagezentren. Dazu werden die benötigten Datenartefakte spezifiziert, sowie die Kommunikationsschnittstelle definiert. Basierend auf den Rahmenbedingungen wird die grundlegende Architektur, sowie die Informationswege und Datenverarbeitung vorgestellt, wobei besonders auf die frühzeitige Integration von Security-Mechanismen Wert gelegt wird. Speziell die Datenanreicherung des in diesem Kapitel vorgestellten Systems zielt nicht auf eine lediglich rein durch manuelle (Pflicht-)Meldungen entstehende Datenbasis ab, sondern dient der effizienten Einbindung potenziell großer Mengen an sensorischer Information. Zusätzlich zu diesen originären Informationen, ist auch die Einbindung von Hintergrundinformationen und Expertenwissen vorgesehen, womit nicht nur die Generierung eines rein reaktiven, Incident-basierten, sondern eines proaktiven wissensbasierten Lagebilds ermöglicht wird. Dies ermöglicht es den Zuständigen, nicht nur rein auf der Basis von gemeldeten Angriffen Entscheidungen zu treffen, sondern auf der einen Seite die eigenständige Erkennung von Angriffen auf kritische Komponenten und Systeme, sowie, auf der anderen Seite, die Einschätzung der Sicherheitslage in Bezug auf mögliche Angriffe und Schwachstellen, die potenzielle Auswirkungen auf kritische Infrastrukturen nach sich ziehen, durchzuführen.
Wesentlich für die effiziente Generierung eines Lagebilds ist nicht nur die reine Sammlung und Aggregierung von Informationen, sondern der gesamte Datenlebenszyklus, speziell auch die Erkennung und Entfernung widersprüchlicher alter oder falscher Informationen aus dem System. Zusätzlich müssen einfache Hilfsmittel zur schnellen Spezifikation neuer Auswertungsstrategien definiert werden können, die es ermöglichen, dynamisch auf neue Bedrohungsszenarien eingehen zu können.
Des Weiteren stellt ein derartiges System selbst auch ein wesentliches Ziel für mögliche Angreifer dar, wobei vor allem die unbemerkte Einflussnahme auf Entscheidungsträger durch Manipulation des Lagebilds der wesentlichste betrachtete Angriffsvektor ist. Essenziell ist daher auch die Absicherung des Systems auf architektonischer Ebene gegen diese Art der Manipulation. Dabei muss sowohl auf extern Angreifer Rücksicht genommen werden, die bspw. durch gefälschte Daten Einfluss auf das Ergebnis zu erlangen versuchen als auch auf interne Angreifer, die direkt die Datenbasis zu manipulieren versuchen könnten. Letztere sind speziell problematisch, da sie auch Ergebnisse von Anreicherungsprozessen entsprechend manipulieren können. Zusätzlich unterstützt das vorgestellte System das im Rahmen der Datenschutzgrundverordnung (DSGVO) „Regulation 2016/679“ und abgeleiteter nationaler Regularien geforderte „Recht auf Vergessen“, d. h. die Löschung etwaiger sensibler Daten Unbeteiligter.
Abgerundet wird das Kapitel durch einen Ausblick auf weitere erforderliche Arbeiten in diesem Forschungsfeld, wobei speziell die tatsächliche Rechtsprechung zur DSGVO und abgeleiteten nationalen Gesetzen wesentliche Inputgeber sind.
This is a preview of subscription content, log in via an institution.
Buying options
Tax calculation will be finalised at checkout
Purchases are for personal use only
Learn about institutional subscriptionsNotes
- 1.
Computer Emergency Response/Readiness Teams
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
Atomicity, Consistency, Isolation und Durability
- 8.
- 9.
Literatur
(Balboni, 2013) Balboni, Paolo, and Milda Macenaite. “Privacy by Design and anonymisation techniques in action: Case study of Ma3tch technology”. Computer Law & Security Review 29, no. 4 (2013): 330-340.
(Barnum, 2012) Barnum, Sean. “Standardizing cyber threat intelligence information with the Structured Threat Information eXpression (STIX™)”. MITRE Corporation 11 (2012): 1-22.
(Bragg, 2004) Bragg, R., 2004. Hardening windows systems. McGraw-Hill/Osborne.
(Case, 1990) Case, Jeffrey D., Mark Fedor, Martin L. Schoffstall, and James Davin. Simple network management protocol (SNMP). No. RFC 1157. 1990.
(Daemen, 2013) Daemen, Joan, and Vincent Rijmen. The design of Rijndael: AES-the advanced encryption standard. Springer Science & Business Media, 2013.
(Dierks, 2008) Dierks, Tim. “The transport layer security (TLS) protocol version 1.2”. (2008).
(Directive 2016/1148) Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union
(Downward, 1980) Downward, J. G. SYSLOG: an accounting and performance measurement system for RSX11M V3. 2. No. KMSF-U-970; CONF-800414-4. KMS Fusion, Inc., Ann Arbor, MI (USA), 1980.
(Fasan, 2012) Fasan, Oluwasola Mary, and Martin Olivier. “Reconstruction in database forensics”. In IFIP International Conference on Digital Forensics, pp. 273-287. Springer, Berlin, Heidelberg, 2012.
(Frühwirt, 2010) Frühwirt, Peter, Marcus Huber, Martin Mulazzani, and Edgar R. Weippl. “Innodb database forensics”. In Advanced Information Networking and Applications (AINA), 2010 24th IEEE International Conference on, pp. 1028-1036. IEEE, 2010.
(Frühwirt, 2012) Frühwirt, Peter, Peter Kieseberg, Sebastian Schrittwieser, Markus Huber, and Edgar Weippl. “Innodb database forensics: Reconstructing data manipulation queries from redo logs”. In Availability, Reliability and Security (ARES), 2012 Seventh International Conference on, pp. 625-633. IEEE, 2012.
(Frühwirt, 2013) Frühwirt, Peter, Peter Kieseberg, Sebastian Schrittwieser, Markus Huber, and Edgar Weippl. “InnoDB database forensics: Enhanced reconstruction of data manipulation queries from redo logs”. Information Security Technical Report 17, no. 4 (2013): 227-238.
(Fruehwirt, 2014) Peter Fruehwirt and Peter Kieseberg and Katharina Krombholz and Edgar R. Weippl, “Towards a forensic-aware database solution: Using a secured database replication protocol and transaction management for digital investigations,” Digital Investigation, vol. 11, pp. 336-348, 2014
(Gerhards, 2009) Gerhards, Rainer. “The syslog protocol”. (2009).
(Haerder, 1983) Haerder, Theo, and Andreas Reuter. “Principles of transaction-oriented database recovery”. ACM Computing Surveys (CSUR) 15, no. 4 (1983): 287-317.
(Heady, 1990) Heady, Richard, George F. Luger, Arthur Maccabe, and Mark Servilla. The architecture of a network level intrusion detection system. University of New Mexico. Department of Computer Science. College of Engineering, 1990.
(Johnson, 2001) Johnson, Don, Alfred Menezes, and Scott Vanstone. “The elliptic curve digital signature algorithm (ECDSA)”. International Journal of Information Security 1, no. 1 (2001): 36-63.
(Knuth, 1997) Knuth, Donald E. “The art of computer programming, volume 2: seminumerical algorithms”. Chapter 3 “Random Numbers” (1997).
(Krombholz, 2015) Krombholz, Katharina, Heidelinde Hobel, Markus Huber, and Edgar Weippl. “Advanced social engineering attacks”. Journal of Information Security and applications 22 (2015): 113-122.
(Kroon, 2013) Kroon, Udo. “Ma3tch: Privacy and knowledge:‘Dynamic networked collective intelligence’”. In Big Data, 2013 IEEE International Conference on, pp. 23-31. IEEE, 2013.
(Lau, 2000) Lau, Felix, Stuart H. Rubin, Michael H. Smith, and Ljiljana Trajkovic. “Distributed denial of service attacks”. In Systems, Man, and Cybernetics, 2000 IEEE International Conference on, vol. 3, pp. 2275-2280. IEEE, 2000.
(Lee, 1998) Lee, Wenke, and Salvatore J. Stolfo. “Data mining approaches for intrusion detection”. In USENIX Security Symposium, pp. 79-93. 1998.
(Luiijf, 2015) Luiijf, H. A. M., and A. C. Kernkamp. Sharing Cyber Security Information: Good Practice Stemming from the Dutch Public-Private-Participation Approach. TNO, 2015.
(Menezes, 1996) Menezes, Alfred J., Paul C. Van Oorschot, and Scott A. Vanstone. Handbook of applied cryptography. CRC press, 1996.
(Mepham, 2014) Mepham, Kevin, Panos Louvieris, Gheorghita Ghinea, and Natalie Clewley. “Dynamic cyber-incident response”. In Cyber Conflict (CyCon 2014), 2014 6th International Conference On, pp. 121-136. IEEE, 2014.
(Monshizadeh, 2014) Monshizadeh, Maliheh, Prasad Naldurg, and V. N. Venkatakrishnan. “Mace: Detecting privilege escalation vulnerabilities in web applications”. In Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, pp. 690-701. ACM, 2014.
(Provos, 2003) Provos, Niels, Markus Friedl, and Peter Honeyman. “Preventing Privilege Escalation”. In USENIX Security Symposium. 2003.
(Rahm, 2000) Rahm, Erhard, and Hong Hai Do. “Data cleaning: Problems and current approaches”. IEEE Data Eng. Bull. 23, no. 4 (2000): 3-13.
(Regulation 2016/679) Regulation (Eu) 2016/679 Of The European Parliament And Of The Council Of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
(Richtlinie 2013/36/EU) RICHTLINIE 2013/36/EU DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG
(Rosen, 2011) Rosen, Jeffrey. “The right to be forgotten”. Stan. L. Rev. Online 64 (2011): 88.
(Sarbanes, 2002) Sarbanes, Paul. “Sarbanes-oxley act of 2002”. In The Public Company Accounting Reform and Investor Protection Act. Washington DC: US Congress. 2002.
(Schneier, 1998) Schneier, Bruce, John Kelsey, Doug Whiting, David Wagner, Chris Hall, and Niels Ferguson. “Twofish: A 128-bit block cipher”. NIST AES Proposal 15 (1998).
(Tadda, 2006) Tadda, George, John J. Salerno, Douglas Boulware, Michael Hinman, and Samuel Gorton. “Realizing situation awareness within a cyber environment”. In Multisensor, Multisource Information Fusion: Architectures, Algorithms, and Applications 2006, vol. 6242, p. 624204. International Society for Optics and Photonics, 2006.
(Tadda, 2010) Tadda, George P., and John S. Salerno. “Overview of cyber situation awareness”. Cyber situational awareness (2010): 15-35.
(Thonnard, 2012) Thonnard, Olivier, Leyla Bilge, Gavin O’Gorman, Seán Kiernan, and Martin Lee. “Industrial espionage and targeted attacks: Understanding the characteristics of an escalating threat”. Research in attacks, intrusions, and defenses (2012): 64-85.
(Villaronga, 2017) Villaronga, Eduard Fosch, Peter Kieseberg, and Tiffany Li. “Humans forget, machines remember: Artificial intelligence and the right to be forgotten”. Computer Law & Security Review (2017).
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Abkürzungsverzeichnis
Abkürzungsverzeichnis
- A&C:
-
Audit & Control
- ACID:
-
Atomicity, Consistency, Isolation and Durability
- CERT:
-
Computer Emergency Response Team
- CSA:
-
Cyber Situation Awareness
- CVE:
-
Common Vulnerabilities and Exposures
- DDOS:
-
Distributed Denial of Service
- DSGVO:
-
Datenschutzgrundverordnung
- FR:
-
First Responder
- IDS:
-
Intrusion Detection System
- K-Wert:
-
Kritikalitätswert
- KI:
-
Kritische Infrastruktur
- LZ:
-
Lagezentrum
- PoC:
-
Point of Contact
- SIEM:
-
Security Information and Event Management
- SOX:
-
Sarbanes-Oxley Act
- STIX:
-
Structured Threat Information eXpression
- TAXII:
-
Trusted Automated eXchange of Indicator Information
- TLP:
-
Traffic Light Protocol
- TTL:
-
Time to Live
Rights and permissions
Copyright information
© 2018 Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature
About this chapter
Cite this chapter
Kieseberg, P., Skopik, F., Pahi, T., Leitner, M., Fiedler, R. (2018). Informationsanalysekonzept zur Erstellung von Cyber-Lagebildern in PPPs. In: Skopik, F., Páhi, T., Leitner, M. (eds) Cyber Situational Awareness in Public-Private-Partnerships. Springer Vieweg, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-56084-6_7
Download citation
DOI: https://doi.org/10.1007/978-3-662-56084-6_7
Published:
Publisher Name: Springer Vieweg, Berlin, Heidelberg
Print ISBN: 978-3-662-56083-9
Online ISBN: 978-3-662-56084-6
eBook Packages: Computer Science and Engineering (German Language)