Dies bedeutet das professionelle und intelligente Management von Cybersicherheitsrisiken im Zusammenhang mit dem Vorhandensein, der Nutzung, der Verarbeitung, der Speicherung und der Übertragung aller Arten von Informationen (unkodierte Daten, verarbeitete Daten, Wissen, Erfahrung usw.) und Ressourcen/Vermögenswerten. Cybersicherheit im internetbasierten E-Business bietet Unternehmen eine wachsende Zahl von Vorteilen, wie z. B. den Schutz des Geschäftsbetriebs, die Sicherung von Vermögenswerten, die Gewährleistung der Notfallwiederherstellung, die Unterstützung bei der Einhaltung gesetzlicher Bestimmungen, die Vermeidung peinlicher Offenlegungen aufgrund von Sicherheitslücken (sei es durch Vorsatz, Fahrlässigkeit, Unwissenheit, physische/logische Fehler, Naturkatastrophen usw.), den Schutz des Unternehmensrufs, die Steigerung der Online-Reichweite und vieles mehr. In der Geschäftswelt beobachten wir eine zunehmende Anzahl von Projekten, die über Crowdfunding (finanzielle Beiträge von Einzelpersonen, die an deren Förderung interessiert sind) finanziert werden.
Vorteile der Cybersicherheit im E-Business:
Die Bedeutung der Cybersicherheit im E-Business/Cyber-Business ist entscheidend, da finanzielle Verluste durch skrupellose Angreifer/Konkurrenten, Online-Wirtschaftsspionage, Kundendiebstahl (z. B. durch Pharming, Phishing), Pay-per-Click-Betrug (Ausnutzung legitimer Marken zum eigenen Vorteil, was die Kosten für seriöse Werbetreibende in die Höhe treibt) und viele andere Cyberkriminalitätsformen die Geschäftstätigkeit weltweit zunehmend beeinträchtigen. Das Computer Security Institute (CSI) schätzt die jährlichen Gesamtverluste durch Computerkriminalität auf über zehn Billionen US-Dollar, hauptsächlich aufgrund von Finanzbetrug und Diebstahl/Leak von Unternehmensinformationen. Obwohl Cybersicherheit Kosten verursacht, gibt es immer mehr Gründe für ihre Implementierung: (i) Potenzielle Verluste (Kundenstamm, Umsatz, Know-how, Innovation usw.). (ii) Potenzieller Schaden für den Ruf/das Image eines Unternehmens. (iii) Wettbewerbsvorteil. (iv) Es handelt sich um eine gesetzliche und regulatorische Verpflichtung usw. 100%ige Cybersicherheit ist praktisch unmöglich, da Systeme in der realen Welt komplex sind. Cybersicherheit ist keine Produktfunktion, sondern Teil eines Prozesses zum Management von Cyberrisiken. Die Planung von E-Business-Lösungen beinhaltet stets eine Abwägung zwischen Kosten und Nutzen. Unternehmen sind naturgemäß gewinnorientiert, und die Implementierung einer Cybersicherheitsinfrastruktur im E-Business erfordert nicht nur, dass die Kosten gerechtfertigt sind, sondern auch, dass sie den Bedürfnissen des Unternehmens und seiner Nutzer entsprechen. Kosten entstehen aus verschiedenen Quellen. Ist die Belastung durch Cybersicherheit für die Nutzer zu hoch und beeinträchtigt sie deren Produktivität, werden Cybersicherheitsfunktionen umgangen, was die Effektivität des Schutzsystems verringert. Laut einer aktuellen Oracle-Umfrage ist einer der Hauptgründe für den Abbruch einer Online-Transaktion (z. B. beim Online-Kauf von Artikeln), dass der Prozess zu lange dauert; die Menschen priorisieren Geschwindigkeit gegenüber anderen Faktoren.
Arten von Cybersicherheitskennzahlen im E-Business. Klassifizierung von Cyberbedrohungen.
Ziel von Cybersicherheitskennzahlen ist es, Organisationen/Unternehmen die notwendigen Informationen zur Prävention von Cyberangriffen bereitzustellen, indem eine quantitative Grundlage für die Messung der Cybersicherheit geschaffen wird. Kennzahlen ermöglichen den Vergleich verschiedener Alternativen. Sie verändern sich im Laufe der Zeit und ermöglichen Benchmarking von Organisationen. Es lassen sich verschiedene Arten von Kennzahlen unterscheiden: (1) ROI-Kennzahlen (Return on Investment). Diese messen den ROI von Maßnahmen zur operativen, IT-, personellen und physischen Cybersicherheit, um Investitionen zu steuern. (2) Compliance-Kennzahlen. Diese messen die Einhaltung geltender Cybersicherheitsvorschriften, Gesetze und Standards wie SOX, GLBA, LOPD-RMS, HIPAA usw. (3) Resilienzkennzahlen. Sie dienen der Messung der Resilienz von Kontrollen in Bezug auf physische, personelle, Informations- und Kommunikationstechnologie sowie operative Cybersicherheit, sowohl vor als auch nach der Implementierung eines Systems, Produkts oder Netzwerks.
Die Klassifizierung und Priorisierung von Cyberbedrohungen ermöglicht die Messung des Schutzniveaus eines Systems. Zur Priorisierung von Cyberbedrohungen können verschiedene Systeme und Modelle herangezogen werden: (1) IIMF-Modell. Dieses Modell klassifiziert potenzielle Cyber-Schwachstellen in vier Kategorien: Abfangen (eine unbefugte Partei erlangt Zugriff auf ein Informationsgut, z. B. durch Kompromittierung vertraulicher Daten mit einem Packet Sniffer), Störung (ein Gut wird unbrauchbar, nicht verfügbar oder geht verloren, z. B. durch einen DoS/DDoS-Angriff auf eine Website), Modifizierung (eine unbefugte Partei verändert ein Gut, z. B. durch einen Defacement-Angriff auf eine Website) und Fälschung (ein Gut wurde gefälscht, z. B. durch Spoofing-Angriffe auf ein Netzwerk). (2) STRIDE-System. Es ermöglicht die Klassifizierung von Cyberbedrohungen; es versucht nicht, Cyber-Schwachstellen zu priorisieren oder in eine Rangfolge zu bringen, sondern sie zu klassifizieren: Spoofing, Manipulation, Abstreiten, Offenlegung von Informationen, Denial-of-Service und Rechteausweitung. Viele Cybersicherheitslücken können sich überschneiden, und einige stellen Schwellenangriffe dar, die zu weiteren führen. (3) CIA-AN-System. Es ermöglicht die Klassifizierung potenzieller Cybersicherheitslücken anhand der Verletzung der gewünschten Systemeigenschaften (z. B. des Informationssystems einer Organisation): Vertraulichkeit (Gewährleistung, dass Informationen nicht an Unbefugte weitergegeben werden), Integrität (Schutz vor unbefugter Änderung oder Zerstörung von Informationen; Informationen sind vollständig und unversehrt), Verfügbarkeit (zuverlässiger und zeitnaher Zugriff auf Daten und Informationsdienste für autorisierte Benutzer; autorisierte Benutzer haben Zugriff), Authentifizierung (Cybersicherheitsmaßnahmen zur Feststellung der Gültigkeit einer Übertragung, einer Nachricht (PDU) oder des Absenders; Informationen sind authentisch), Nichtabstreitbarkeit (Gewährleistung, dass der Absender einen Nachweis über die Datenzustellung und der Empfänger einen Nachweis über die Identität des Absenders hat, sodass sie die Durchführung der Datenverarbeitungsaktivitäten später nicht abstreiten können). Manchmal kommen noch drei weitere kritische Aspekte hinzu: Genauigkeit (die Informationen sind fehlerfrei und haben den erwarteten Wert), Nützlichkeit (die Informationen haben einen Wert für den vorgesehenen Zweck) und Besitz (die Daten befinden sich in autorisiertem Besitz und unter autorisierter Kontrolle).
Datenverfall bezeichnet den Umstand, dass Daten in einer Datenbank mit der Zeit an Wert und Aktualität verlieren und veralten. Dies ist ein zentrales Problem, das beispielsweise CRM-Datenbanken (Customer Relationship Management) von Unternehmen betrifft. (4) DREAD-System. Dieses System ermöglicht nicht nur die Klassifizierung, sondern auch die Rangfolge potenzieller Cyberbedrohungen. Es berechnet fünf potenzielle Aspekte für jede Cyber-Schwachstelle auf einer Skala von eins bis zehn. Diese Aspekte sind: Potenzieller Schaden, Reproduzierbarkeit/Zuverlässigkeit, Ausnutzbarkeit, Betroffene Benutzer und Auffindbarkeit (dieser Aspekt ist umstritten und wurde kritisiert). Für jede Schwachstelle werden die Werte der fünf Aspekte addiert und durch fünf geteilt. (5) CVSS (Common Vulnerability Scoring System). Dies ist eine gängige Metrik zur Bewertung von Schwachstellen. Sie wurde von einem Konsortium aus Organisationen wie Cisco, eBay, MITRE, IBM, Microsoft, CMU-CERT usw. entwickelt und wird von FIRST (Forum of Incident Response and Security Teams) gepflegt. Sie ermöglicht die Bewertung jeder Cyber-Schwachstelle anhand einer komplexen Formel in drei Dimensionen auf einer Skala von null bis zehn. Diese drei Dimensionen sind: (i) Basisgleichungen. Sie geben die Merkmale des Schwachstellenziels an. (ii) Zeitmarkierung. Sie gibt an, wie sich das Risiko im Laufe der Zeit verändern kann. (iii) Umgebungsmarkierung. Sie gibt an, wie sich die spezifische Schwachstelle auf Ihr Unternehmen auswirkt. Einer der Online-CVSS-Rechner ist unter der URL der NVD (National Vulnerability Database) verfügbar: http://nvd.nist.gov/cvss.cfm?calculator. (4) CWE-System (Common Weakness Enumeration). Es handelt sich um eine Liste von Software-Schwachstellen wie beispielsweise: SQL-Injection (CWE-89), Buffer Overflow (CWE-120), Verlust der Verschlüsselung sensibler Daten (CWE-311), Integer Overflow (CWE-190), Verwendung eines fehlerhaften oder schwachen kryptografischen Algorithmus (CWE-327), CSRF/Cross-Site Request Forgery (CWE-352) usw. MITRE veröffentlicht in Zusammenarbeit mit dem SANS Institute jedes Jahr die 25 gefährlichsten CWEs.
Die wichtigsten Cyberbedrohungen für Informationen im E-Business. Informationskriegsführung
Rauschen sind rohe, ungefilterte Daten mit unbekanntem Kodierungssystem. Daten sind rohe, ungefilterte Daten mit bekanntem Kodierungssystem. Information sind verarbeitete Daten, denen Relevanz und Zweck verliehen wurden. Die Umwandlung von Daten in Information erfordert Wissen. Wissen besteht aus anerkannten Fakten, Prinzipien oder allgemeinen Regeln, die für bestimmte Bereiche nützlich sind. Wissen kann aus Schlussfolgerungen und Implikationen gewonnen werden, die aus einfachen Informationen abgeleitet werden. Die Hauptmerkmale von Information sind Genauigkeit, Konsistenz, Verfügbarkeit, Überprüfbarkeit, Vollständigkeit und Aktualität (d. h. keine Kopie). Die wichtigsten Cyberbedrohungen für Informationen im E-Business sind: (1) Diebstahl elektronischer/physischer Güter. Der Verlust elektronischer Güter ist schwieriger zu erkennen als der Verlust physischer Güter. (2) Menschliche Fehler oder Versäumnisse. Dies sind Fehler von autorisierten Benutzern, die die Informationssicherheit gefährden können. (3) Gefährdung geistigen Eigentums. Wie z. B. Softwarepiraterie, Verstöße gegen Softwarelizenzen, unautorisierte Vervielfältigung usw. (4) Unautorisierter Zugriff/unerlaubter Zugriff auf Systeme. Im Folgenden lassen sich drei Unterkategorien unterscheiden: (i) Industriespionage. Unternehmen sammeln Wettbewerbsinformationen von anderen Unternehmen. Dies kann die Beteiligung nationaler Nachrichtendienste beinhalten. (ii) Datensammlung und Müllsuche. Hierbei handelt es sich um die opportunistische Beschaffung weggeworfener Informationen (Festplatten im Müll) oder Informationen, die nicht ordnungsgemäß gespeichert wurden. (iii) Angreifer. Sie verfügen über Techniken und Werkzeuge (z. B. Sniffer, Keylogger, unethisches Hacking), um Schwachstellen aufzuspüren und zu identifizieren und sich so unbefugten Zugriff zu verschaffen. (5) Erpressung. Nach dem Diebstahl von Vermögenswerten (z. B. Kreditkartennummern, sensible Dateien, Passwörter, kompromittierende Fotos) wird dem Opfer (natürliche oder juristische Person) eine Erpressungsnachricht zugesandt, in der die Zahlung gefordert wird. Erfolgt die Zahlung nicht, können die Vermögenswerte an andere Kriminelle verkauft werden. (6) Sabotage. Die häufigste Form ist die Verunstaltung von Webseiten. Gefährlicher ist die Beschädigung von Kontrollsystemen kritischer Infrastrukturen wie Telekommunikation, Verkehrssteuerung, Feuerwehr, Wasserversorgung, Verteidigung usw. (7) Softwareangriffe mittels Malware. Computerviren, Würmer, Trojaner und DoS/DDoS-Angriffe kommen zum Einsatz. (8) Naturgewalten (vorsätzlich oder versehentlich). Großkatastrophen wie Brände (vorsätzlich oder versehentlich – Fahrlässigkeit – Kurzschlüsse), Überschwemmungen, Tsunamis, Erdbeben (die in geologisch sensiblen Gebieten durch Sprengstoffe ausgelöst werden können), Blitzeinschläge, Starkregen, Tornados, Hurrikane, Flutwellen, Vulkanausbrüche, Erdrutsche usw. Ihre Auswirkungen lassen sich durch Versicherungen und geeignete bauliche Maßnahmen (erdbebensichere Gebäude) abmildern. Kleinflächige Angriffe wie Staub, leitfähige Verschmutzung, Nagetiere, elektrostatische Entladungen und nukleare Neutronenexplosionen in der Atmosphäre, die verheerende elektromagnetische Impulse in der elektronischen Infrastruktur erzeugen können usw. (9) Hardware- und Softwarefehler. (10) QoS-Probleme. Dienstanbieter (Strom, Netzwerkverbindungen) können Ausfälle oder Qualitätseinbußen erleiden, die Unternehmen beeinträchtigen. Backup-Dienste können helfen, die schädlichsten Auswirkungen zu minimieren. Beispielsweise die Nutzung mehrerer Telekommunikations- oder Stromanbieter oder von USV-Anlagen. (11) Einsatz veralteter Technologie. Dies kann aufgrund fehlender Ersatzteile oder adäquater Updates zu Wartungsproblemen führen. Im Bereich der Informationskriegsführung (die auf Unternehmens-/Organisationsebene, auf individueller Ebene oder auf Ebene von Staaten geführt werden kann, basierend auf den drei Achsen Motiv, Mittel und Gelegenheit) gibt es eine offensive Komponente in Form von Informationsoperationen und eine defensive Komponente in Form von Informationssicherheit. Drei Hauptebenen lassen sich identifizieren: (i) Ebene I. Hierbei geht es um die Manipulation der Wahrnehmung des Gegners durch Täuschung und psychologische Operationen, auch als Wahrheitsprojektion bezeichnet. (ii) Ebene II. Hierbei geht es um die Unterdrückung, Zerstörung, Beeinträchtigung oder Verzerrung der Informationsflüsse des Gegners, um dessen Fähigkeit zur Durchführung und/oder Koordination von Operationen zu stören. (iii) Ebene III. Informationsgewinnung durch Ausnutzung der Informationssysteme des Gegners/Konkurrenten. Angreifer gegen Organisationen können unterschiedlicher Art sein: (1) Insider. Beispielsweise Mitarbeiter, Auftragnehmer, ehemalige Mitarbeiter usw. Diese Gruppe stellt die größte Bedrohung dar. (2) Angreifer. Sie verschaffen sich unbefugten Zugang zu Informationssystemen oder durchbrechen deren Sicherheitsvorkehrungen, um Geld zu erlangen, sich zu rächen, Macht zu erlangen, zu erpressen usw. (3) Kriminelle. Ihr Ziel sind Informationen, die für sie von Wert sein könnten, wie z. B. Bankkonten, Kreditkarteninformationen, geistiges Eigentum usw. (4) Unternehmen. Sie sammeln aktiv Informationen über Wettbewerber oder stehlen Geschäftsgeheimnisse. (5) Regierungen und Behörden. Sie suchen nach wirtschaftlichen, diplomatischen und militärischen Geheimnissen ausländischer Regierungen, Unternehmen und Gegner. Sie können auch inländische Gegner ins Visier nehmen. (6) Terroristen. Typischerweise politisch und religiös motiviert, versuchen sie, maximalen Schaden an Informationsinfrastrukturen anzurichten und so Leben und Eigentum zu gefährden.
Domänen und Ebenen der Cybersicherheit. Schutzmaßnahmen.
In der Cybersicherheit lassen sich mehrere Domänen unterscheiden: (1) Operative Cybersicherheit. Diese umfasst die Implementierung standardisierter operativer Cybersicherheitsverfahren, die Art und Häufigkeit der Interaktion zwischen Benutzern, Systemen und Systemressourcen definieren. Ziel ist es, jederzeit einen bekannten sicheren Systemzustand zu erreichen und aufrechtzuerhalten sowie den versehentlichen und/oder vorsätzlichen Diebstahl, die Weitergabe, Zerstörung, Veränderung, den Missbrauch und die Sabotage von Systemressourcen zu verhindern. (2) Physische Cybersicherheit. Diese bezieht sich auf den Schutz von Hardware, Software und Daten vor physischen Bedrohungen, um Betriebsunterbrechungen und den Verlust von Vermögenswerten zu reduzieren oder zu verhindern. (3) IT-Cybersicherheit. Diese integriert die Funktionen und technischen Merkmale, die zu einer IT-Infrastruktur beitragen, welche Vertraulichkeit, Integrität, Verfügbarkeit, Nachvollziehbarkeit/Prüfbarkeit, Authentizität, Zuverlässigkeit usw. gewährleistet. (4) Personensicherheit im Bereich Cybersicherheit. Cybersicherheit umfasst eine Reihe von Maßnahmen zur Reduzierung der Wahrscheinlichkeit und des Schweregrades von Veränderung, Zerstörung, widerrechtlicher Aneignung, Missbrauch, Fehlkonfiguration, unbefugter Weitergabe und Nichtverfügbarkeit der physischen und logischen Ressourcen einer Organisation infolge von Handlungen oder Unterlassungen interner oder externer Personen, wie z. B. Geschäftspartner, externe Angreifer usw. Verschiedene Komponenten interagieren in der Cybersicherheit: Technologie, Netzwerke, Daten, Aktivitäten und Menschen. Cybersicherheitsmaßnahmen lassen sich in zwei Kategorien einteilen: (1) Technische Maßnahmen. Dazu gehören physische/logische Zugriffskontrolle, Identifizierung/Authentifizierung/IAM (Federated Identity Management), Kryptografie/Steganografie, IDS/IPS, DLP, Antivirensoftware, Firewalls, VPNs usw. (2) Nicht-technische Maßnahmen. Dazu gehören betriebliche und Managementkontrollen (Sicherheitsrichtlinien), Betriebsabläufe, Umwelt-, physische und personelle Cybersicherheit usw.
Es gibt drei Möglichkeiten, in Cybersicherheit zu investieren: (i) Abschluss einer Cyberversicherung. (ii) Zahlung nach Eintritt eines Ereignisses oder Vorfalls. (iii) Kauf und Verwaltung eigener Cybersicherheitslösungen und/oder Outsourcing. In einer Kosten-Nutzen-Analyse der Cybersicherheit für ein Unternehmen entspricht der Nutzen dem Wert, der durch den Einsatz von Kontrollen und Gegenmaßnahmen im Zusammenhang mit relevanten Schwachstellen, Bedrohungen und Risiken erzielt wird. Einige Kennzahlen in diesem Bereich sind: (i) SLE (Single Loss Expectancy). Dies ist der Verlust, der entsteht, wenn eine Schwachstelle ausgenutzt wird. Der SLE ist das Produkt aus dem Wert des Assets und dem Expositionsfaktor. Der Expositionsfaktor beschreibt die Auswirkungen des Risikos auf das Asset bzw. den prozentualen Assetverlust. Der SLE entspricht den potenziellen Kosten, beispielsweise 50.000.000 € bei Diebstahl. (ii) ARO (Annualized Rate of Occurrence). Dies gibt an, wie oft der Angriff pro Jahr stattfindet. Es handelt sich um die Inzidenz/Wahrscheinlichkeit, beispielsweise 0,005. (iii) ALE (Annualisierter erwarteter Verlust). Dies ist das Produkt aus SLE (Standardisierter Verlust) und ARO (Annualisierter erwarteter Verlust). Beispiel: 50.000.000 x 0,005 = 250.000 Euro. (iv) Das Kosten-Nutzen-Verhältnis ergibt sich, indem die Kosten der Gegenmaßnahmen vom ALE vor deren Implementierung abgezogen werden. (v) ROI (Return on Investment). Dieser Wert dient dem Vergleich von Investitionen in Cybersicherheit. Eine mögliche Formel für das Verhältnis von Nutzen zu Kosten über einen Zeitraum von drei Jahren lautet: ROI = ((a/(1+b)) + (a/(1+b)(1+b)) + a/(1+b)(1+b)(1+b)) / c, wobei a der Nutzen, b der Diskontsatz und c die anfänglichen Kosten sind. Laut Security-500 (14. Februar 2011) verbringen IT-Sicherheitsmitarbeiter in kleinen und mittleren Unternehmen monatlich 127 Stunden mit der Verwaltung ihrer eigenen Sicherheitsinfrastruktur. Zuverlässigkeit ist die Wahrscheinlichkeit, dass ein System (z. B. ein Webserver) seine Funktion unter gegebenen Bedingungen innerhalb eines festgelegten Zeitraums erfüllt. Die System-/Organisationsverfügbarkeit wird berechnet, indem die mittlere Betriebsdauer zwischen Ausfällen (MTBF) durch die Summe aus MTBF und mittlerer Reparaturzeit (MTTR) dividiert wird. Ziel der MTTR nach einem Angriff ist die Reduzierung der Ausfallkosten. Amazon schätzte im Jahr 2000 den Verlust durch Ausfallzeiten nach einem Angriff/Ausfall auf 180.000 US-Dollar pro Stunde. Eine Verfügbarkeit von 99,999 % (fünf Neunen) entspricht fünf Minuten Ausfallzeit pro Jahr. Die operative Verfügbarkeit muss die Zeit zwischen Wartungsarbeiten berücksichtigen, nicht nur Ausfälle/Angriffe und die durch Wartung bedingten Ausfallzeiten.
Abschließende Betrachtungen:
Cybersicherheit hat im E-Commerce und E-Business höchste Priorität – nicht nur im Hinblick auf Compliance, die Tragfähigkeit eingesetzter Geschäftsmodelle und das Reputationsmanagement, sondern auch, um agile und intelligente Veränderungs- und Verbesserungsprozesse zu ermöglichen, ohne die damit verbundenen erhöhten und schwerwiegenden Risiken in Kauf nehmen zu müssen. Unsere Forschungsgruppe beschäftigt sich seit zwanzig Jahren mit dem Schutz von E-Business/E-Commerce.
Dieser Artikel ist Teil der Aktivitäten des LEFIS-Themennetzwerks.
Autor:
Prof. Dr. Javier Areitio Bertolín – E-Mail:
Professor an der Fakultät für Ingenieurwissenschaften.
Leiter der Forschungsgruppe Netzwerke und Systeme. Universität Deusto
Literaturverzeichnis:
Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2012.
Areitio, J. „Evolution of Threats and Trends in Network Security in the Web Context“. Conectrónica Magazine. Nr. 142. November 2010.
Areitio, J. „Identification and Analysis of Web Application Protection“. Conectrónica Magazine. Nr. 143. Januar 2011.
Schneier, B. „Economics of Information Security and Privacy“. Springer. 2011.
Nicastro, FM „Security Patch Management“. CRC Press. 2011.
Norman, TL „Risk Analysis and Security Countermeasure Selection“. CRC Press. 2009.
