Volltextdatei(en) vorhanden
Titel: Datenschutzfreundliche Erkennung und Abwehr von Insiderbedrohungen
Sonstige Titel: Privacy-friendly Detection and Prevention of Insider Threats
Sprache: Deutsch
Autor*in: Zimmer, Ephraim
Schlagwörter: Insider Systematisierung; Insider Bedrohungen; Aktivitätenüberwachung; Datenschutzfreundliche Event-Pseudonymisierung; Insider Threats; Activity Monitoring; Privacy-friendly Event Pseudonymisation
Erscheinungsdatum: 2020
Tag der mündlichen Prüfung: 2020-10-06
Zusammenfassung: 
Insider spielen für ihre Umgebung eine zentrale Rolle bei der Erfüllung von Aufgaben, Erbringung von Leistungen oder Aufrechterhaltung von Diensten. Spezielle Fähigkeiten, die Insidern eine herausgehobene Stellung gegenüber Outsidern verleihen, können allerdings auch einen gewollten oder versehentlichen negativen Einfluss ausüben. Diese gleichzeitige Notwendigkeit auf der einen und Gefahr auf der anderen Seite, die sich in Insidern vereinen, eröffnen ein komplexes Themenfeld, dass in seiner Problematik und Tragweite zunehmend an Bedeutung gewinnt.

In dieser Dissertation wird aufgezeigt, welche grundlegenden Probleme in der Forschung und Entwicklung von Lösungsansätzen vorliegen, die Verbesserungen der Insiderproblematik im Weg stehen. Dafür werden zunächst neue Erkenntnisse im Grundlagenbereich der Insiderthematik erarbeitet und zu einer Insiderontologie zusammengeführt. Diese beinhaltet die Identifizierung der fünf speziellen Insidercharakteristiken Credentials, Knowledge, Privileges, Trust sowie Uncertainty, mit denen die erwähnten Fähigkeiten von Insidern explizit benannt werden können. Die Insidercharakteristiken begründen jeweils unabhängige Insidertypen, die miteinander kombiniert eine eindeutige Beschreibung verschiedener Insider erlauben. Aus der Kombination von Insidertypen ergibt sich eine natürliche Insidertaxonomie, die als Grundlage für die Systematisierung von existierenden und zukünftigen Forschungsarbeiten dienen kann. Gleichzeitig wird der Unterschiedlichkeit von Insidern in verschiedenen Umgebungen Rechnung getragen, indem eine dynamische Insidermodellierung definiert wird. Aus den entwickelten Grundlagen, die sich zunächst allein auf Insider im Allgemeinen beziehen, wird anschließend der Aspekt einer Insiderbedrohung im Detail herausgearbeitet, von welchem Insidertyp welche Art von Insiderbedrohung ausgeht. Dafür werden die Insiderbedrohungen zunächst in drei verschiedene Bedrohungsklassen strukturiert. Anschließend erfolgt eine detaillierte Betrachtung des Einflusses jeder Insidercharakteristik auf jede Insiderbedrohungsklasse. Die Ergebnisse erlauben eine Zuordnung der Insiderbedrohungen zu den Insidertypen der entwickelten Insidertaxonomie.

Neben den Grundlagen bezüglich Insidern und Insiderbedrohungen befasst sich die Dissertation auch mit Erkennungs- und Abwehrmaßnahmen von Insiderbedrohungen. Zunächst erfolgt ausgerichtet auf die Insidertaxonomie und die identifizierten Klassen von Insiderbedrohungen eine Zuordnung grundlegender Sicherheitsmechanismen zu den Bedrohungen durch einzelne Insidertypen. Darüber hinaus wird ein neuer Ansatz zur detaillierten Erfassung und Analyse von Insideraktivitäten in IT-Umgebungen entworfen und umgesetzt. Dieser basiert auf Ereignisnachrichten aus der Systemaufrufebene von Betriebssystemen. Die Ereignisnachrichten werden in eine neuartige Graphenstruktur überführt, die eine signaturbasierte Erkennung und eine anschließende Abwehr von bedrohlichen Insideraktivitäten ermöglicht. Anhand von realen Angriffsproben wird zusätzlich ein definiertes Insiderbedrohungsszenario ausgeführt und die neue Erkennungs- und Abwehrtechnik damit evaluiert. Die Ergebnisse zeigen Erkennungsraten von Insiderangriffsaktivitäten im Bereich von 99,97% und 100%, wenn zuvor in einer Trainingsphase ähnlich gelagerte Aktivitäten aufgezeichnet wurden.

Die in der Dissertation betrachteten Bedrohungsaspekte umfassen nicht nur solche, die von Insidern ausgehen, sondern auch jene, die auf Insider einwirken, wenn sie Erkennungs- und Abwehrtechniken ausgesetzt sind. Der dabei im Mittelpunkt stehende Insiderdatenschutz wird rechtlich eingeordnet und abschließend durch ein neu entwickeltes Pseudonymisierungsverfahren in die umgesetzte Erkennungs- und Abwehrtechnik integriert. Dabei liegt der Fokus sowohl auf der Erhaltung der Funktionalität, welche die Verkettbarkeit verschiedener Ereignisse sowie die Identifizierung von Akteuren anhand der Ereignisse umfasst, als auch auf einer technischen Durchsetzbarkeit der wichtigsten Datenschutz-Grundprinzipien, wie etwa der Datenminimierung, der Speicherbegrenzung sowie der Zweckbindung. Zum Einsatz kommen dabei kryptographische Funktionen, deren Kombination neu definierte Pseudonymisierungs-Schutzziele bereitstellen. Dazu zählen beispielsweise die Vertraulichkeit der personenbeziehbaren Daten, die pseudonymisiert werden sollen, oder die Limitierung der Verkettbarkeit verschiedener Ereignisse anhand der gewählten Pseudonyme. Darüber hinaus werden auch schutzwürdige Aspekte herausgearbeitet, die sich erst aus der praktischen Umsetzung einer Pseudonymisierung ergeben.

Mithilfe der Ergebnisse dieser Dissertation können existierende und zukünftige Forschungs- und Entwicklungsarbeiten auf dem Gebiet der Insiderthematik systematisch aufbereitet und somit besser koordiniert werden. Daran ausgerichtet können weitere grundlegende Erkenntnisse erarbeitet und Synergieeffekte sowie Verbesserungen hervorgehoben werden. Die entwickelten Techniken zeigen darüber hinaus neue Wege für die Erkennung und Abwehr von Insiderbedrohungen auf. Gleichzeitig würdigen sie den Insiderdatenschutz und verdeutlichen, dass beides als mehrseitige Interessen und Pflichten ausbalanciert werden muss.

For their environment insiders play a central role regarding the completion of tasks and the performance or the maintenance of services. However, special capabilities, which put insiders into an enhanced position compared to outsiders, can have an intended or accidental negative effect. This combined necessity on the one hand and danger on the other opens a complex topic area regarding its difficulty and scope and that is acquiring greater importance.

This thesis uncovers basic problems in the area of research and development of solution approaches which are barriers to improvements of the insider topic. Therefore, new insights in basic research are acquired and combined to an insider ontology. Those insights contain the identification of five particular insider characteristics Credentials, Knowledge, Privileges, Trust, and Uncertainty. These characteristics allow an explicit description of the mentioned insiders capabilities. Moreover, each characteristic defines an independent insider type and also a clear and unambiguous allocation of different insider types when combined with each other. This combination leads to a natural insider taxonomy serving as foundation for a systematisation of existing and future research. At the same time specifying a dynamic way to create insider models account for the existence of various different insiders in different environments. With those developed foundations, which at first solely focus on insiders in general, insider threats are subsequently identified and focussed upon. It is described in more detail, which insider threat emanates from which insider type. For this investigation, insider threats are structured into three different threat classes followed by a precise consideration of the influence of every insider characteristic on each class of insider threats. The results allow the allocation of insider threats to the insider types of the developed insider taxonomy.

Alongside the foundations regarding insiders and insider threats, this thesis deals with mechanisms of insider threat detection and prevention. To begin with, an allocation of basic security mechanisms to threats of individual insider types is performed, which is orientated towards the insider taxonomy as well as the identified insider threats. Furthermore, a new and in depth approach for acquiring and analysing insider activities in an IT based environment is designed and developed. This approach is based on event messages at the level of system calls from operating systems. The event messages are conveyed into newly created graph structures, which allow a signature based detection and subsequent prevention of threatening insider activities. Based on real attack samples, a defined insider threat scenario is run in order to evaluate the new detection and prevention mechanism. The results of the evaluation show a detection rate of insider attack activities in the area of 99,97% to 100%, in case similar activities have been acquired in a training phase beforehand.

The considered threat aspects in this thesis not only comprise those which emanate from insiders, but also those which affect insiders when they are imperilled by detection and prevention mechanisms. Insider privacy is hereinafter focussed upon and legally classified according to the current law in Germany and finally integrated into the implemented detection and prevention mechanism via a newly designed and developed pseudonymisation procedure. In the course of this, the focus is put on two contrary objectives. On the one hand, the functionality of the detection and prevention mechanisms shall be preserved, which includes the linkability of different event messages as well as the identification of actors with the help of those event messages. On the other hand, important privacy principles shall be technically enforceable. These privacy principles include data minimisation, storage limitation, and purpose limitation. For these objectives, cryptographic techniques are combined and deployed, which achieve the protection of newly defined pseudonymisation protection goals. These include for example confidentiality of personal identifiable or quasi-identifiable data, which shall be pseudonymised, or the limitation of linkability of various event messages. On top of that, more subtle aspects, which are worthy of being protected and which emerge as a result of the deployment of pseudonymisation itself are identified and dealt with.

With the contributions of this thesis, existing and future research and development in the area of the insider topic can be systematically treated and superiorly coordinated. Additional fundamental insights can be acquired and synergy effects as well as improvements can be emphasised. Moreover, the herein designed and developed techniques show new ways to detect and prevent insider threats as well as to protect the privacy of insiders. It becomes clear, that both, functionality and privacy, need to be appreciated and balanced as a multilateral conflict of duties and interests.
URL: https://ediss.sub.uni-hamburg.de/handle/ediss/8860
URN: urn:nbn:de:gbv:18-ediss-90571
Dokumenttyp: Dissertation
Betreuer*in: Federrath, Hannes
Gollmann, Dieter
Enthalten in den Sammlungen:Elektronische Dissertationen und Habilitationen

Dateien zu dieser Ressource:
Datei Beschreibung GrößeFormat  
2020-11-16_Dissertationsschrift_Buchdruck_Ephraim_Zimmer.pdf4.55 MBAdobe PDFÖffnen/Anzeigen
Zur Langanzeige

Diese Publikation steht in elektronischer Form im Internet bereit und kann gelesen werden. Über den freien Zugang hinaus wurden durch die Urheberin / den Urheber keine weiteren Rechte eingeräumt. Nutzungshandlungen (wie zum Beispiel der Download, das Bearbeiten, das Weiterverbreiten) sind daher nur im Rahmen der gesetzlichen Erlaubnisse des Urheberrechtsgesetzes (UrhG) erlaubt. Dies gilt für die Publikation sowie für ihre einzelnen Bestandteile, soweit nichts Anderes ausgewiesen ist.

Info

Seitenansichten

40
Letzte Woche
Letzten Monat
geprüft am 07.03.2021

Download(s)

34
Letzte Woche
Letzten Monat
geprüft am 07.03.2021
Werkzeuge

Google ScholarTM

Prüfe