Cyber Threat Modelling für Geschäftsprozesse

Master-Studiengang Information Security

Dipl.-Ing. Maximilian Höchtl, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Organisationen haben heute viele Herausforderungen effektiv zu lösen, um den operativen Betrieb in Unternehmen aufrecht zu erhalten. Darunter fällt, wie man auf Bedrohungsszenarien richtig eingeht. Eine durchdachte Bedrohungsanalyse ist für Organisationen nicht mehr wegzudenken: Einerseits muss sichergestellt werden, wie diese Risiken zu vermeiden bzw. zu minimieren sind, andererseits muss für den Ernstfall auch evaluiert werden, welchen Einfluss ein möglicher Angriff auf die Geschäftsprozesse der Organisation hat. Angriffe auf Geschäftsprozesse sind allgegenwärtig, wie bereits Vorfälle in der Finanzbranche zeigten. Der 4,9 Milliarden-Euro-Betrug der französischen Geschäftsbank Société Général ist nur ein Beispiel, welches aufzeigt, dass diese Vorfälle nicht nur einen enormen finanziellen Schaden verursachen, sondern auch eine Gefahr für die Reputation der Organisation sind. Oftmals fokussieren sich Bedrohungsmodelle wie STRIDE oder DREAD sehr auf die IT-Infrastruktur bzw. gehen speziell auf Applikationen ein. Es ist jedoch genauso wichtig, den Business-Aspekt von Bedrohungen zu betrachten. Diese Arbeit beschäftigt sich mit Threat Modeling für Business-Prozesse, also wie es Organisationen gelingen kann, Bedrohungen für Geschäftsprozesse zu modellieren und dadurch für den Ernstfall gewappnet zu sein.

Ziel

Es wird auf diverse Modelle eingegangen. Weiters wird das durchaus bedeutende Thema Cyber Threat Intelligence näher erläutert, welches sich damit beschäftigt, wie Bedrohungen erkannt bzw. überwacht werden können. Anschließend werden erste Schritte vorgestellt, um diese Modelle für ein Threat Model für Business Prozesse einzusetzen.

Ergebnis

Im Zuge dieser Arbeit konnte eine umfassende Übersicht von state-of-the-art Threat Modellen erstellt sowie das Thema Cyber Threat Intelligence näher erläutert werden. Anschließend wurde aufbauend auf diesen Analysen ein erstes praktisches Modell vorgestellt, um Organisationen zu helfen, Cyber Threats zu modellieren.

Ausblick

Weitere Arbeiten aufbauend auf dieser könnten beispielsweise einen Auditfragenkatalog erstellen, um die zu behandelnden Themen möglichst genau abzudecken und zu erfragen. Weiters wäre es denkbar, dass die vorgestellte Methodik als Ausgangsbasis für eine Software dienen könnte, welche dabei unterstützen soll, Bedrohungen zu modellieren.