| Danksagung | 7 |
| Inhaltsverzeichnis | 8 |
| Zusammenfassung | 12 |
| Abbildungsverzeichnis | 14 |
| Tabellenverzeichnis | 16 |
| Abkürzungen | 17 |
| 1 Einleitung | 21 |
| 1.1 Motivation und Zielsetzung | 21 |
| 1.2 Forschungsfragen | 23 |
| 1.3 Forschungsmethodik | 24 |
| 1.4 Aufbau der Arbeit | 24 |
| 2 Begriffe, Grundlagen und Bezugsrahmen | 27 |
| 2.1 Quanti.zierung und Metriken | 27 |
| 2.2 Sicherheit | 28 |
| 2.2.1 IT-Sicherheit und Informationssicherheit | 28 |
| 2.2.2 Schutzziele | 29 |
| 2.2.3 Mehrseitige Sicherheit | 30 |
| 2.2.4 Angreifermodelle | 30 |
| 2.2.5 Vertrauen | 31 |
| 2.3 Sicherheitsmanagement | 31 |
| 2.3.1 Informationssicherheitsmanagement | 31 |
| 2.3.2 Informationssicherheitsmanagementsystem (ISMS) | 33 |
| 2.4 Risiko und Risikomanagement | 35 |
| 2.4.1 Risikobegriff | 35 |
| 2.4.2 Risikomanagement | 37 |
| 2.5 Begriffsmodell | 38 |
| 2.5.1 Assets | 38 |
| 2.5.2 Schwachstellen | 39 |
| 2.5.3 Angreifer und Angriff | 40 |
| 2.5.4 Bedrohungen | 40 |
| 2.5.5 Sicherheitsvorfalle¨ | 40 |
| 2.5.6 Management von Sicherheitsvorfallen¨ | 41 |
| 2.5.7 Schaden | 42 |
| 2.5.8 Sicherheitsmaßnahmen | 42 |
| 2.5.9 Beispiel | 43 |
| 2.6 Kosten und Nutzen von Informationssicherheit | 44 |
| 2.7 Ok¨ onomische Aspekte der Informationssicherheit | 45 |
| 3 Informationssicherheitsmanagement als Risikomanagementaufgabe | 49 |
| 3.1 Ein.usse¨ auf das Informationssicherheitsmanagement | 49 |
| 3.1.1 IT-Abhangigkeit¨ und Bedrohungslage | 49 |
| 3.1.2 Wirtschaftlichkeitsgebot | 51 |
| 3.1.3 IT-Governance und IT-Compliance | 53 |
| KonTraG | 54 |
| Basel II | 55 |
| Solvency II | 56 |
| Sarbanes-Oxley Act | 57 |
| EuroSOX | 58 |
| Weitere Regelwerke | 59 |
| Fazit | 59 |
| 3.1.4 Internationale Standards und Normen | 60 |
| 3.2 Management von Informationssicherheitsrisiken | 63 |
| 3.2.1 Standards und Vorgehensmodelle | 64 |
| 3.2.2 Phasen des Risikomanagementkreislaufs | 67 |
| 3.2.3 Klassi.kation von Werkzeugen und Methoden | 73 |
| 4 Einsatz quantitativer Daten für das Risikomanagement | 77 |
| 4.1 Notwendigkeit quantitativer Daten | 77 |
| 4.2 Risikomaße | 79 |
| 4.2.1 Jahrlic¨ he Verlusterwartung | 79 |
| 4.2.2 Value at Risk | 83 |
| 4.2.3 Ermittlung der Verlustverteilung | 85 |
| 4.2.4 Sonstige Ansatz¨ e | 87 |
| 4.2.5 Weitere Anwendungsmoglic¨ hkeiten | 87 |
| 4.2.6 Fazit | 89 |
| 4.3 Metriken und Regeln zur Risikosteuerung | 89 |
| 4.3.1 ROSI-basierte Konzepte | 89 |
| 4.3.2 Nettokapitalwert-basierte Konzepte | 93 |
| 4.3.3 Anwendungshinweise und Fazit | 95 |
| 4.4 Quellen fur¨ quantitative Daten | 96 |
| 4.4.1 Verfugbarkeit¨ quantitativer Daten | 97 |
| 4.4.2 Moglic¨ he Quellen | 98 |
| Expertensch¨atzungen | 99 |
| Historische Vorfallsdaten | 100 |
| Marktmechanismen | 102 |
| Simulationen | 105 |
| 4.4.3 Fazit | 106 |
| 4.5 Empirische Uberpr¨ ufung¨ des Status Quo | 106 |
| 4.5.1 Untersuchungsdesign und Vorgehen | 106 |
| 4.5.2 Ergebnisse und Implikationen | 108 |
| 5 Grundkonzept eines überbetrieblichen Vorfallsdatenaustauschs | 113 |
| 5.1 Notwendigkeit historischer Daten | 113 |
| 5.2 Basiskonzept | 115 |
| 5.2.1 Zu erfassende Vorfallsdaten | 115 |
| 5.2.2 Architektur und Akteure | 116 |
| 5.2.3 Aufgaben der zentralen Plattform | 117 |
| 5.2.4 Auswertungsmoglic¨ hkeiten | 118 |
| 5.3 Nutzenbetrachtung | 119 |
| 5.3.1 Direkte Effekte auf Ebene der Einzelorganisation | 119 |
| 5.3.2 Aus Marktmodellen abgeleitete Effekte | 120 |
| 5.3.3 Uber¨ greifende Aspekte | 122 |
| 5.4 Abgrenzung zu existierenden Ansatz¨ en | 123 |
| 5.4.1 CERTs und CSIRTs | 124 |
| 5.4.2 Information Sharing Analysis Centers (ISACs) | 125 |
| 5.4.3 Internet Storm Center (ISC) | 126 |
| 5.4.4 CarmentiS | 126 |
| 5.4.5 Leurrecom.org Honeynet Project | 127 |
| 5.4.6 mwcollect Alliance | 128 |
| 5.4.7 Sonstige verwandte Initiativen | 128 |
| 5.4.8 Fazit | 129 |
| 5.5 Empirische Evaluation des Basiskonzepts | 130 |
| 6 Anforderungen und Lösung en | 133 |
| 6.1 Ergebnisaufbereitung | 133 |
| 6.1.1 Auswertungen fur¨ die Risikobewertung | 134 |
| 6.1.2 Selektionskriterien | 136 |
| 6.1.3 Arten der Ergebnisdarstellung | 137 |
| 6.1.4 Formen der Datenbereitstellung | 137 |
| 6.1.5 Weitere Auswertungsmoglic¨ hkeiten | 140 |
| 6.1.6 Fazit | 143 |
| 6.2 Vergleichbarkeit der Vorfalle¨ | 143 |
| 6.2.1 Problemstellung und Anforderungen | 143 |
| 6.2.2 Bestehende Klassi.kationskonzepte fur¨ Sicherheitsvorfalle¨ | 147 |
| Taxonomie von Landwehr et al. | 148 |
| Taxonomie von Howard und Longstaff | 149 |
| ISO/IEC TR 18044 | 151 |
| Taxonomie von Hansman und Hunt | 153 |
| The Incident Object Description Exchange Format (IODEF) | 155 |
| Fazit | 157 |
| 6.2.3 Taxonomie zur Vorfallsbeschreibung | 160 |
| 6.2.4 Erfassung der Schaden/A¨ uswirkungen | 163 |
| Betrachtungen ¨ uber Sch¨aden | 163 |
| Erarbeitung eines Begriffskonzepts | 167 |
| 6.2.5 Erfassung relevanter Organisationsparameter als Bezugsgroßen¨ | 169 |
| 6.2.6 Fazit und moglic¨ he Erweiterungen | 172 |
| 6.3 Sicherheit | 174 |
| 6.3.1 Grundmodell | 174 |
| Akteure und Bedeutung der Schutzziele | 174 |
| Angreifermodell | 176 |
| Bedrohungen | 177 |
| Maßnahmen | 178 |
| 6.3.2 Erweiterung1–Teilnehmer als Angreifer auf technischer Ebene | 180 |
| Erweiterungen und neue Bedrohungen | 180 |
| Maßnahmen | 181 |
| 6.3.3 Erweiterung2–Teilnehmer als Angreifer auf inhaltlicher Ebene | 182 |
| Erweiterungen und neue Bedrohungen | 182 |
| Anonymit¨ at im vorliegenden Kontext | 183 |
| Maßnahmen | 185 |
| Fazit | 189 |
| 6.3.4 Erweiterung 3 – Minimales Vertrauen in den Plattformbetreiber | 190 |
| Pseudonymisierung | 191 |
| Verteilte Datenspeicherung | 194 |
| Mehrparteienberechnungsprotokolle | 195 |
| 6.3.5 Fazit | 200 |
| 6.4 Fairness | 201 |
| 6.4.1 Fairness und kooperatives Verhalten | 202 |
| 6.4.2 Free-Riding-Problem | 203 |
| 6.4.3 Truth-Telling-Problem | 205 |
| 6.4.4 Ansatz¨ e zur Verhinderung unfairen Verhaltens | 208 |
| 6.4.5 Bausteine eines Anreizsystems | 212 |
| Grad der Kooperation | 213 |
| Grad der Nutzung | 215 |
| 6.5 Fazit | 216 |
| 7 Prototyp | 219 |
| 7.1 Zielsetzung | 219 |
| 7.2 Technisches Konzept und Systemarchitektur | 220 |
| 7.3 Umsetzung der Anforderungen aus Kapitel 6 | 223 |
| 7.3.1 Auswertungen und Reports | 223 |
| 7.3.2 Abbildung der Taxonomie | 224 |
| 7.3.3 Sicherheitskonzept | 226 |
| 7.3.4 Anreizsystem | 229 |
| 7.3.5 Minimierung des Aufwands | 230 |
| 7.4 Ausgewahlte¨ Funktionalitaten¨ der Anwendung | 231 |
| 7.5 Integration weiterer Datenquellen | 232 |
| 7.6 Bewertung und Erweiterungsmoglic¨ hkeiten | 233 |
| 8 Integration in die Organisation | 236 |
| 8.1 De.nition eines Incident Reporting Prozesses | 236 |
| 8.1.1 Status Quo der Behandlung von Sicherheitsvorfallen¨ | 236 |
| 8.1.2 Erweiterter Prozess zur Behandlung von Sicherheitsvorfallen¨ | 237 |
| 8.1.3 Rollen und Datenquellen | 239 |
| 8.2 Integration in den Risikomanagementprozess | 241 |
| 8.2.1 Risikoidenti.kation | 242 |
| 8.2.2 Risikobewertung | 244 |
| 8.2.3 Risikosteuerung | 248 |
| 8.2.4 Risikouberwac¨ hung | 249 |
| 8.2.5 Fazit | 250 |
| 8.3 Bezug¨ e zum Business Engineering | 251 |
| 9 Zusammenfassung und Ausblick | 256 |
| 9.1 Uberpr¨ ufung¨ der Forschungsfragen | 256 |
| 9.2 Anregungen fur¨ die zukunftig¨ e Forschung | 259 |
| 9.3 Ausblick | 262 |
| Anhang | 265 |
| A Interviewleitfaden | 266 |
| Erfassung allgemeiner Daten | 266 |
| Eingangsstatement und allgemeine Informationen | 266 |
| Themenblock 1 – Status Quo und Datenbedarf (ca. 10 - 15 Min.) | 267 |
| Themenblock 2 – Austausch von Informationenuber Sicherheitsvorfalle | 267 |
| Standardisierte Fragen | 269 |
| Gesprächsabschluss | 269 |
| B Taxonomien für Informationssicherheitsvorf¨ alle | 270 |
| Taxonomie von Landwehr et al. | 270 |
| Taxonomie von Howard und Longstaff | 271 |
| Taxonomie aus ISO TR 18044 | 272 |
| Taxonomie von Hansman et al. | 274 |
| C Begriffsmodell zur Vorfallserfassung | 276 |
| Begriffsmodel | 276 |
| Erlauterungen zum Begriffsmodell | 276 |
| Angriffsziel | 276 |
| Vorgehen | 278 |
| Schwachstelle | 280 |
| Angreifer | 281 |
| Allgemeine Informationen | 282 |
| Vorfallsbehandlung | 282 |
| D Systematik zur Schadenserfassung | 289 |
| Erlauterung der Schadenskategorien | 289 |
| Literaturverzeichnis | 292 |
| Referenzierte Standards | 317 |
