Projektbeschreibung

Projekthintergrund

Das Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) ist eines von deutschlandweit drei Kompetenzzentren für Cybersicherheit, die vom Bundesministerium für Bildung und Forschung (BMBF) im März 2011 initiiert wurden. Unter dem Motto "Nachvollziehbare Sicherheit in der vernetzten Welt" stellt sich KASTEL den Herausforderungen, die durch eine fortschreitende Vernetzung bisher isolierter Systeme entstehen. KASTEL bündelt Kompetenzen rund um die IT-Sicherheit am Forschungsstandort Karlsruhe. Ziel ist die Entwicklung eines umfassenden Ansatzes anstelle isolierter Teillösungen. Dabei soll die Gesamtsicherheit in konkreten Anwendungsbereichen, wie beispielsweise Stromnetzen oder intelligenten Fabriken, im Fokus stehen. Um diese Sicherheit zu gewährleisten, müssen neue Bedrohungen modelliert, Sicherheitsziele beschrieben und neue Methoden entwickelt werden. Dies kann nur durch die Zusammenarbeit von Kryptographen, IT-Sicherheitsspezialisten, Software-Ingenieuren, Netzwerkexperten, Juristen und Wirtschafts- und Sozialwissenschaftlern erreicht werden.
 

Teilprojektziele des IIP in KASTEL

Das IIP beschäftigt sich im Rahmen von KASTEL mit ökonomischem Risikomanagement. Risikomanagement allgmein umfasst die systematische Analyse organisationsinterner Risiken sowie die Entwicklung von Maßnahmen zur Risikoreduktion zum Zwecke des langfristigen Schutzes der Organisation. Die Handhabung und Beherrschung von IT-Risiken setzt nicht nur voraus, dass Organisationen über die dafür notwendigen Technologien und Prozesse verfügen, sondern auch, dass diese wirtschaftlich sinnvoll und realisierbar sind. Durch die immer stärkere informationstechnische Verknüpfung industrieller Wertschöpfungsketten und dem damit verbundenen wachsenden Aufwand, der nötig ist um diese Strukturen vor Angriffen und technischen Fehlern zu schützen, erfährt das ökonomisch ausgerichtete Risikomanagement daher eine immer stärkere Bedeutung. Ökonomisches Risikomanagement bezieht sich dabei nicht nur auf die Wirtschaftlichkeit des IT-Risikomanagements, sondern auch auf die wirtschaftlichen Folgen eines Ausfalls von IT-Systemen (bspw. Betriebsunterbrechung). Mit Blick auf die Entwicklung skalierbarer und quantifizierbarer Sicherheitskonzepte ist es möglich, materielle und immaterielle Konsequenzen in der Risikobewertung zu berücksichtigen. Zudem berücksichtigt eine ökonomische Risikoanalyse auch das Verhalten der Akteure sowie die Opportunitätskosten risikoreduzierender Maßnahmen und damit die Zielkonflikte von Sicherheitsinvestitionen. Daraus lassen sich die folgenden Teilprojektziele ableiten:

 

  • Kategorisierung von Angreiferprofilen und Identifizierung von Angriffsstrategien zur Ermöglichung einer gezielten Abwehr gegenüber systemexternen Angreifern (Außentätern)
  • Identifikation von systeminternen Angreifern (Innentätern) sowie Analyse und Design organisationsinterner Anreize zur Risikoreduktion
  • Beschreibung von Anforderungen an eine organisationsinterne Sicherheitskultur zur Reduzierung von "Nachlässigkeit und menschlichen Fehlern" als Gefahrenquellen
  • Bewertung direkter/indirekter materieller und immaterieller Schäden