Information Security Incident Management an der HAW Hamburg

Abstract

Die vorliegende Arbeit befasst sich mit der Implementierung eines Information Security Incident Managements an der HAW Hamburg. Das Ziel der Arbeit ist es einen Incident Handling Prozess auf Basis der ISO/IEC 27035 zu konzipieren. Um das Incident Handling zu modellieren, wurden im ersten Schritt die Meldepflichten sowie freiwillige Meldepraktiken der Hochschule betrachtet. Des Weiteren wurde in der vorliegenden Arbeit eine Methode entwickelt, um Information Security Incidents bezüglich ihrer Schweregrade zu kategorisieren. Die Kriterien Ausmaß der Vorfallsart, Schutzbedarf und Wiederherstellungsaufwand wurden dabei herangezogen. Die Modellierung des Incident Handlings beginnt mit der Benennung der am Prozess beteiligten Rollen. Diese werden anschließend in Bezug zum CSIRT Services Roles and Competencies von FIRST gesetzt. Die Darstellung des Prozesses erfolgte in mehreren BPMN-Diagrammen. Die einzelnen Aktivitäten in den Phasen des Incident Handlings wurden mit Hilfe von RASCI-Matrizen den identifizierten Rollen zugeordnet. Dadurch sollte eine klare und eindeutige Zuordnung gewährleistet sowie Kompetenzkonflikten vorgebeugt werden. Des Weiteren wurde in der vorliegenden Arbeit untersucht, an welchen Stellen und aus welchem Grund von den Empfehlungen der ISO/IEC 27035 abgewichen wurde. Die Evaluierung des Prozesses erfolgte anhand zweier exemplarischer Szenarien. Zum einen wurde eine Phishing Attacke untersucht, zum anderen Datenexfiltration über DNS Tunneling. Es konnte nachgewiesen werden, dass der Prozess eine geeignete und tragfähige Konzeption darstellt, um an der HAW Hamburg Incident Handling systematisch durchzuführen und zu implementieren. Im Rahmen der Evaluierung wurden jedoch auch mehrere Verbesserungspotenziale für den Incident Handling Prozess identifiziert, die bei der Implementierung umgesetzt werden müssen.

This thesis deals with the implementation of an Information Security Incident Management at the HAW Hamburg. The aim of the thesis is to design an incident handling process based on the ISO/IEC 27035. In order to model the incident handling process, the reporting obligations and voluntary reporting practices of the university were considered in the first step. Furthermore, a method was developed in this thesis to categorize information security incidents according to their severity. The criteria type of incident, Schutzbedarf and recovery effort were used. The modeling of incident handling begins with naming the roles involved in the process. These are then set in relation to the CSIRT Services Roles and Competencies of FIRST. The process was visualized in several BPMN diagrams. The individual activities in the incident handling phases were assigned to the identified roles with the help of RASCI matrices. This was intended to ensure a clear and unambiguous assignment and prevent conflicts of competence. Furthermore, this thesis examined where and for what reason the requirements of ISO/IEC 27035 were deviated from. The process was evaluated using two exemplary scenarios. Firstly, a phishing attack was examined, and secondly, data exfiltration via DNS tunneling. It was demonstrated that the process is a suitable and viable concept for systematically carrying out and implementing incident handling at HAW Hamburg. However, the evaluation also identified several potential improvements to the incident handling process that need to be realized during implementation.