TY - THES A1 - Meinig, Michael T1 - Bedrohungsanalyse für militärische Informationstechnik T1 - Threat analysis for military information technology N2 - Risiken für Cyberressourcen können durch unbeabsichtigte oder absichtliche Bedrohungen entstehen. Dazu gehören Insider-Bedrohungen von unzufriedenen oder nachlässigen Mitarbeitern und Partnern, eskalierende und aufkommende Bedrohungen aus aller Welt, die stetige Weiterentwicklung der Angriffstechnologien und die Entstehung neuer und zerstörerischer Angriffe. Informationstechnik spielt mittlerweile in allen Bereichen des Lebens eine entscheidende Rolle, u. a. auch im Bereich des Militärs. Ein ineffektiver Schutz von Cyberressourcen kann hier Sicherheitsvorfälle und Cyberattacken erleichtern, welche die kritischen Vorgänge stören, zu unangemessenem Zugriff, Offenlegung, Änderung oder Zerstörung sensibler Informationen führen und somit die nationale Sicherheit, das wirtschaftliche Wohlergehen sowie die öffentliche Gesundheit und Sicherheit gefährden. Oftmals ist allerdings nicht klar, welche Bedrohungen konkret vorhanden sind und welche der kritischen Systemressourcen besonders gefährdet ist. In dieser Dissertation werden verschiedene Analyseverfahren für Bedrohungen in militärischer Informationstechnik vorgeschlagen und in realen Umgebungen getestet. Dies bezieht sich auf Infrastrukturen, IT-Systeme, Netze und Anwendungen, welche Verschlusssachen (VS)/Staatsgeheimnisse verarbeiten, wie zum Beispiel bei militärischen oder Regierungsorganisationen. Die Besonderheit an diesen Organisationen ist das Konzept der Informationsräume, in denen verschiedene Datenelemente, wie z. B. Papierdokumente und Computerdateien, entsprechend ihrer Sicherheitsempfindlichkeit eingestuft werden, z. B. „STRENG GEHEIM“, „GEHEIM“, „VS-VERTRAULICH“, „VS-NUR-FÜR-DEN-DIENSTGEBRAUCH“ oder „OFFEN“. Die Besonderheit dieser Arbeit ist der Zugang zu eingestuften Informationen aus verschiedenen Informationsräumen und der Prozess der Freigabe dieser. Jede in der Arbeit entstandene Veröffentlichung wurde mit Angehörigen in der Organisation besprochen, gegengelesen und freigegeben, so dass keine eingestuften Informationen an die Öffentlichkeit gelangen. Die Dissertation beschreibt zunächst Bedrohungsklassifikationsschemen und Angreiferstrategien, um daraus ein ganzheitliches, strategiebasiertes Bedrohungsmodell für Organisationen abzuleiten. Im weiteren Verlauf wird die Erstellung und Analyse eines Sicherheitsdatenflussdiagramms definiert, welches genutzt wird, um in eingestuften Informationsräumen operationelle Netzknoten zu identifizieren, die aufgrund der Bedrohungen besonders gefährdet sind. Die spezielle, neuartige Darstellung ermöglicht es, erlaubte und verbotene Informationsflüsse innerhalb und zwischen diesen Informationsräumen zu verstehen. Aufbauend auf der Bedrohungsanalyse werden im weiteren Verlauf die Nachrichtenflüsse der operationellen Netzknoten auf Verstöße gegen Sicherheitsrichtlinien analysiert und die Ergebnisse mit Hilfe des Sicherheitsdatenflussdiagramms anonymisiert dargestellt. Durch Anonymisierung der Sicherheitsdatenflussdiagramme ist ein Austausch mit externen Experten zur Diskussion von Sicherheitsproblematiken möglich. Der dritte Teil der Arbeit zeigt, wie umfangreiche Protokolldaten der Nachrichtenflüsse dahingehend untersucht werden können, ob eine Reduzierung der Menge an Daten möglich ist. Dazu wird die Theorie der groben Mengen aus der Unsicherheitstheorie genutzt. Dieser Ansatz wird in einer Fallstudie, auch unter Berücksichtigung von möglichen auftretenden Anomalien getestet und ermittelt, welche Attribute in Protokolldaten am ehesten redundant sind. N2 - Risks to cyber resources can arise from unintentional or deliberate threats. These include insider threats from dissatisfied or negligent employees and partners, escalating and emerging threats from around the world, the evolving nature of attack technologies, and the emergence of new and destructive attacks. Information technology now plays a decisive role in all areas of life, including the military. Ineffective protection of cyber resources can facilitate security incidents and cyberattacks that disrupt critical operations, lead to inappropriate access, disclosure, alteration or destruction of sensitive information, and endanger national security, economic welfare and public health and safety. However, it is often unclear which threats are present and which of the critical system resources are particularly at risk. In this dissertation different analysis methods for threats in military information technology are proposed and tested in real environments. This refers to infrastructures, IT systems, networks and applications that process classified information/state secrets, such as in military or governmental organizations. The special characteristic of these organizations is the concept of classification zones in which different data elements, such as paper documents and computer files, are classified according to their security sensitivity, e.g. „TOP SECRET“, „SECRET“, „CONFIDENTIAL“, „RESTRICTED“ or „UNCLASSIFIED“. The peculiarity of this work is the access to classified information from different classification zones and the process of releasing it. Each publication created during the work was discussed, proofread and approved by members of the organization, so that no classified information is released to the public. The dissertation first describes threat classification schemes and attacker strategies in order to derive a holistic, strategy-based threat model for organizations. In the further course, the creation and analysis of a security data flow diagram is defined, which is used to identify operational network nodes in classification zones, which are particularly endangered due to the threats. The special, novel representation makes it possible to understand permitted and prohibited information flows within and between these classification zones. Based on the threat analysis, the message flows of the operational network nodes are analyzed for violations of security policies and the results are presented anonymously using the security data flow diagram. By anonymizing the security data flow diagrams, it is possible to exchange information with external experts to discuss security problems. The third part of the dissertation shows how extensive log data of message flows can be examined to determine whether a reduction in the amount of data is possible. The rough set theory from the uncertainty theory is used for this purpose. This approach is tested in a case study, also taking into account possible anomalies, and determines which attributes are most likely to be redundant in the protocol data. KW - Informationsraum KW - classification zone KW - Bedrohungsmodell KW - threat model KW - Informationsflüsse KW - information flows KW - sichere Datenflussdiagramme (DFDsec) KW - secure data flow diagrams (DFDsec) KW - Informationsraumverletzungen KW - classification zone violations KW - grobe Protokolle KW - rough logs KW - Bedrohungsanalyse KW - threat analysis Y1 - 2019 U6 - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:kobv:517-opus4-441608 ER -