MOSES3

In ihrem betrieblichen Leistungserstellungsprozess sind Unternehmen heute in hohem Maße auf Informationssysteme angewiesen. Parallel zu deren kritischer Bedeutung nimmt auch die Häufigkeit bzw. die Komplexität der Bedrohungen für diese Systeme dramatisch zu. Da die Wirtschaftlichkeit und/oder die Vertrauenswürdigkeit eines Unternehmens und damit unter Umständen seine Existenz auf dem Spiel stehen, ist die Sicherstellung von Informationssicherheit zu einem zentralen Anliegen geworden. Die dafür verantwortlichen Manager stehen dabei vor der schwierigen Entscheidung, aus einer Vielzahl an möglichen Maßnahmen zur Erhöhung der Sicherheit (z.B. Virenscanner, Firewalls, Intrusion Detection Systeme, Authentifizierungssysteme, Trainingsmaßnahmen etc.) die ihren Präferenzen nach "geeignetste" Kombination auszuwählen. Mangels geeigneter Entscheidungsunterstützung beschränken sie sich derzeit jedoch häufig darauf, lediglich auf akute Probleme zu reagieren. Dabei werden die zur Verfügung stehenden (knappen) Ressourcen typischerweise ineffizient eingesetzt.

Das Projekt MOSES3 beschäftigt sich mit der sowohl aus praktischer Sicht relevanten wie vor allem auch aus theoretischer Sicht herausfordernden Fragestellung der Auswahl eines Portfolios von Maßnahmen zur Erhöhung der Informationssicherheit unter Berücksichtigung mehrfacher (monetärer und nicht-monetärer) Zielsetzungen. Dazu wird ein Verfahren entwickelt, das auf Informationssicherheits-Ontologien, die dynamische Generierung von Angriffsbäumen, stochastische Simulation von Angriffen, Meta-Heuristiken zur Identifikation von effizienten Maßnahmen-Portfolios, sowie ein interaktives Entscheidungsunterstützungssystem aufbaut. Im Gegensatz zu einer individuellen Beurteilung einzelner möglicher Maßnahmen, bei der Interaktionen zwischen den Effekten von Maßnahmen keine Berücksichtigung finden, beruht der vorgeschlagene Ansatz auf einer holistischen Bewertung von Maßnahmenbündeln. Des Weiteren können Charakteristika des betreffenden Unternehmens, seiner Informationsinfrastruktur sowie der erwarteten individuellen Bedrohungen explizit einbezogen werden. Letzteres wird insbesondere durch die Modellierung von Angreifern als rationale, zielorientierte Agenten und die entsprechende Simulation ihres Verhaltens ermöglicht. Die dazu erforderliche Ableitung von Angriffspfaden sowie die Erzeugung individueller Angriffsbäume auf Basis von Motivation, Zielen, Fähigkeiten, und Angriffspunkten eines Angreifers erfolgt aus einer ontologischen Wissensbasis.

Das im Rahmen des Projektes entwickelte Verfahren soll zu besseren Investitionsentscheidungen und damit zu einer Erhöhung der Informationssicherheit beitragen. Dazu verfolgen wir einen interdisziplinären Forschungsansatz mit Beiträgen aus den Fachgebieten der Betriebswirtschaft, des Operations Research sowie der Informatik. Für Evaluierungszwecke erfolgt im Rahmen des Projektes eine prototypische Implementierung des vorgeschlagenen Ansatzes sowie eine erste Untersuchung des Einsatzes im Rahmen einer Fallstudie.

• Secure Business Austria (SBA)
• Fakultät für Wirtschaftswissenschaften (Universität Wien)
• Lehrstuhl für Innovations- und Technologiemanagement(Universität Bielefeld)

09.2011 - 08.2015

• Dr. Andreas Ekelhart
  (Projektmitarbeiter)
  aekelhart@sba-research.org
• Bernhard Grill
  (Projektmitarbeiter)
  bgrill@sba-research.org
• Elmar Kiesling, PhD
  elmar.kiesling@tuwien.ac.at
• Prof. Dr. Christine Strauß
  (Projektleiterin)
  christine.strauss@univie.ac.at
• Prof. Dr. Christian Stummer 
  (Kooperationspartner)
  christian.stummer@uni-bielefeld.de

Zeitschriftenaufsätze

Kiesling E., Ekelhart A., Grill B., Strauss C., Stummer C. (2016) Selecting security control portfolios: A multi-objective simulation-optimization approach. EURO Journal on Decision Processes, 4 (1-2), 85-117

Ekelhart A., Kiesling E., Grill B., Strauss C., Stummer C. (2015) Integrating attacker behavior in IT security analysis: A discrete-event simulation approach. Information Technology and Management, 16 (3), 221-233

Sammelbandbeiträge

Kiesling E., Ekelhart A., Grill B., Stummer C., Strauss C. (2015) Multi-objective evolutionary optimization of computation-intensive simulations: The case of security control selection. In: Proceedings of the 11^th Metaheuristics International Conference (MIC 2015), 1-3

Ekelhart A., Grill B., Kiesling E., Strauss C., Stummer C. (2014) Komplexe Systeme, heterogene Angreifer und vielfältige Abwehrmechanismen: Simulationsbasierte Entscheidungsunterstützung im IT-Sicherheitsmanagement. In: Katzenbeisser S., Lotz V., Weippl E. (eds). Proceedings of the GI-Meeting Sicherheit 2014: Sicherheit, Schutz und Zuverlässigkeit. GI-Edition Lecture Notes in Informatics (LNI), Vol. P-228, Gesellschaft für Informatik, 345-361

Kiesling E., Ekelhart A., Grill B., Stummer C., Strauss C. (2014) Evolving secure information systems through attack simulation. In: Proceedings of the Hawaii International Conference on System Sciences (HICSS-47). IEEE Computer Society, 4868-4877

Kiesling E., Ekelhart A., Grill B., Strauss C., Stummer C. (2013) Simulation-based optimization of information security controls: An adversary-centric approach. In: Pasupathy R., Kim S.-H., Tolk A., Hill R., Kuhl M.E. (eds). Proceedings of the Winter Simulation Conference (WSC 2013). Omnipress, 2054-2065

Kiesling E., Ekelhart A., Grill B., Strauss C., Stummer C. (2013) Simulation-based optimization of IT security controls: Initial experiences with metaheuristic solution procedures. In: Fink A., Geiger M.J. (eds). Proceedings of the 14^th EU/ME Workshop. 18-20

Kiesling E., Strauss C., Stummer C. (2012) A multi-objective decision support framework for simulation-based security control selection. In: Proceedings of the 7^th International Conference on Availability, Reliability and Security (ARES 2012), IEEE CPS, 454-462

Kiesling E., Ekelhart A., Grill B., Stummer C., Strauss C. (2015) Multi-objective evolutionary optimization of computation-intensive simulations: The case of security control selection. 11^th Metaheuristics International Conference (MIC 2015), Agadir, Marocco, June 7-10

Ekelhart A., Grill B., Kiesling E., Strauss C., Stummer C. (2014) Komplexe Systeme, heterogene Angreifer und vielfältige Abwehrmechanismen: Simulationsbasierte Entscheidungsunterstützung im IT-Sicherheitsmanagement. GI-Meeting Sicherheit 2014, Vienna, Austria, March 19-21

Kiesling E., Ekelhart A., Grill B., Stummer C., Strauss C. (2014) Evolving secure information systems through attack simulation. Hawaii International Conference on System Sciences (HICSS-47), Big Island, USA, Jan. 6-9

Kiesling E., Ekelhart A., Grill B., Strauss C., Stummer C. (2013) Simulation-based optimization of information security controls: An adversary-centric approach. Winter Simulation Conference (WSC 2013), Washington, USA, Dec. 8-11

Kiesling E., Ekelhart A., Grill B., Strauss C., Stummer C. (2013) A simulation-optimization approach for information security risk management. International Conference on Operations Research (OR 2013), Rotterdam, Netherlands, Sept. 3-6

Kiesling E., Ekelhart A., Grill B., Strauss C., Stummer C. (2013) Multi-objective decision support for IT security control selection. EURO-INFORMS European Conference on Operational Research (EURO XXVI), Rome, Italy, July 1-4

Kiesling E., Ekelhart A., Grill B., Strauss C., Stummer C. (2013) Simulation-based optimization of IT security controls: Initial experiences with metaheuristic solution procedures. 14^th Workshop of the EURO Working Group on Metaheuristics (EU/ME), Hamburg, Germany, Feb. 28 - Mar. 01

Kiesling E., Strauss C., Stummer C. (2012) A multi-objective decision support framework for simulation-based security control selection. 7^th International Conference on Availability, Reliability and Security (ARES 2012), Prague, Czech Republic, Aug. 20-24