Fortgeschrittene Risikoanalysemethoden für kritische Infrastrukturen, Lieferketten

und komplexe Abhängigkeiten

Dr. Stefan Schiebeck, MSc Austrian Institute of Technology

Vorstellung • Zertifizierter ethischer Hacker, Auditor &

Risikomanager • Sicherheitsberater, Leiter Informationssicherheit • Promotion an der Universität Wien

– RiskSense, Methoden & Prototypentwicklung

• KIRAS Sicherheitsforschung – MetaRisk, Weiterentwicklung, Meta-Modell

Agenda

• Modellierungsbasis • Risikosteuerung • Modell & Analyse • Kollaboration & Kontinuität • Analysemethoden

Modellierungsbasis

• Unternehmenswert – Module

• Prozesse, Infrastruktur, IT-Systeme, etc. exponieren

– Gefährdungen • behandelt durch

priorisierte – Maßnahmen

• geplant / implementiert durch

– Rollen

Modell-Subset: IT-Grundschutz

Risikosteuerung • Analysetiefe, Detailgrad, Personalressourcen • Reifegrade & Gefährdungstoleranzen, akzeptable Restrisiken

– Dyn. Systemaggregation & Normalisierung

• Taxonomien & Kreuzreferenzierungen bestehender Standards & Best Practices erweitern Steuerungsbereiche – ISO 27001: Einzelanforderungen, High-Level Controls – IT-Grundschutz: Module, Typen – COBIT 5: Stakeholder Needs, Enterprise/IT-related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen, High-Level Prozesse – CSF, NIST 800 53, SANS 20, TIA-942, etc.

Model & Analyse

• Basismodell – Unternehmenswert

• Szenariomodell – Struktur & BIA – Vererbungsregeln

• Gesamtrisikomodell – Sensitivitätsanalyse

Basismodell Unternehmenswert

Szenario-Modell

Gesamtrisiko-Modell

• Gesamtsicht der Unternehmenswerte – Modul-spezifische Risikofaktoren – Szenario-Expositionen

• Sensitivitätsanalyse – Maßnahmen, Gefährdungen, Module, … mit

größtem Einfluss auf Gesamtmodell – Ressourcenoptimierung

Kollaboration & Kontinuität

• Einbindung aller verantwortlicher Rollen/Benutzer – Bewertungszyklen

• Einbindung von Kennzahlen durch automatische Sensoren – Interne Risikofaktoren

Kollaboration & Kontinuität

Kollaboration & Kontinuität

• Einbindung aller verantwortlicher Rollen/Benutzer – Bewertungszyklen

• Einbindung von Kennzahlen durch automatische Sensoren – Interne Risikofaktoren – Externe Risikofaktoren

• Branchenkennzahlen, Early Warning Services, Global Incident Maps, Big Data Analytics, etc.

Funktionale Beziehungen

• Systemdekomposition • Aggregationsfunktionen

– Summe – Maximum – Produkt – Minimum – Energetische Summe

Künstliche neuronale Netze

• Lernfähiges System – Training / Verifikation

• System zu komplex für funktionale Darstellung – Bildverarbeitung, Musterkennung – Zeitreihenanalysen, z.B. Wetter – Text & Audioverarbeitung

Bayes‘sche Entscheidungsnetze

• Gerichteter Graph – Zusammenhängende Systemzustände mit

bedingten Wahrscheinlichkeiten – Mehrere Inferenztypen

• Kausal, Diagnostisch, Inter-Kausal

– Ideal bei Kombination von Vorwissen mit verifizierbaren Daten

Fuzzy Logic

• Regelbasiertes System • Terme als graphische Indikatoren

– Keine mathematische Systembeschreibung möglich / sinnvoll

– Robuster, leicht handhabbarer Ansatz • Automatisierungstechnik, Betriebswirtschaft, Medizin,

Elektronik, etc.

Soziale Netzwerkanalyse

• Analyse der Unternehmensorganisation & Kommunikation – Maßzahlen

• Zentralität, Dichte, Cliquen – Einfach anwendbare Disziplin

• Interaktionen zwischen Objekten gleichen Typs – Anwendungsgebiete

• Terrorismus-, Betrugs- & Korruptions-Analysen • Business/Military Intelligence

Petri-Netze

• Zeitabhängige Systeme mit mehreren Zuständen – Abhängigkeiten mit zeitversetzten Auswirkungen – Geschäftsprozessmodellierung – Incident Mangement / Disaster Recovery

Simulationen

System Dynamics • Sozio-ökonomisches Weltmodell

– Population, industrielle Produktion, Umweltverschmutzung und natürliche Ressourcen

• Modellsimulation dynamischer Systeme – Qualitativ & quantitativ – Geschlossene Wirkungsketten mit Feedback Loops

• Anwendung besonders im sozio-ökonomischen Bereich – Controlling- & High-Level-Risikofaktoren – Szenarioanalysen

Danke für Ihre Aufmerksamkeit!