Lukas Petrič

Aus IT-Forensik Wiki

Master Thesis, Hochschule Wismar,September 2024

Autor: Denis Kiffer

Titel: Umsetzbarkeit der OH-SzA des BSI mittels Open Source Lösungen

Abstrakt

In dieser Arbeit soll die Umsetzbarkeit der OH-SzA des BSI mittels FOSS Lösungen evaluiert und praktisch geprüft werden. Um dies zu erreichen, wird nach einer Beschreibung von Grundlagen und einer Anforderungsanalyse der OH-SzA eine Auswahl an FOSS Lösungen theoretisch gegen die Anforderungen geprüft. Die geeignetsten Systeme werden in einem an die Recplast GmbH angelehnten Prototyp implementiert sowie organisatorische Maßnahmen beschrieben. Der Prototyp wird anhand des Umsetzungsgradmodells der OH- SzA geprüft und erreicht den Umsetzungsgrad 4. Zum Vergleich mit kommerziellen SzA wird ein Interview mit Splunk geführt und auf dessen Basis sowie den gewonnenen Erkenntnissen aus dem Prototyp Empfehlungen für die Umsetzung der OH-SzA in realen KMU gegeben. Dabei sollte nicht nur die Entscheidung zwischen kommerziellen und FOSS SzA, sondern auch für Betriebsmodelle der Systeme und deren Nutzung auf Basis von Vollkostenbetrachtung und unter Berücksichtigung von Strategie und Motivation des Unternehmens erfolgen.

Abstract

This document seeks to evaluate and practically test the feasibility of implementing the German BSI‘s OH-SzA using FOSS. To achieve this, a selection of FOSS tools is first evaluated theoretically against the requirements after a description of related basics and requirements analysis of the OH-SzA. The most fitting systems are implemented in a prototype based on the Recplast GmbH and organizational measures are described. The prototype is evaluated using the implementation level model of the OH-SzA, achieving an level of 4. For comparison with commercial attack detection systems, an interview is conducted with Splunk and recommendations for the implementation of the OH-SzA in real small and medium sized companies are made on the basis of this interview and the knowledge gained from the prototype. The decision should not only be made between commercial and FOSS attack detection systems, but also for operating models of the systems and their use on the basis of full cost consideration, taking into account the strategy and motivation of the company.

Download PDF-Dokument

Download PDF-Folien