Data Security Threats Sources: An Empirical Examination of Institutional Characteristics

Driven by the difficulty in achieving complete security with technical tools, business investigators are looking into organizational and behavioral issues that could help make systems more secure. This chapter looks at the security of systems from the organizational perspective. Specifically, this study attempts to identify if different organizations have different predisposition to particular type(s) of security threat sources. Using publicly available security breach data from a privacy rights clearinghouse to investigate which organizational characteristics predisposes an institution to an external or internal threat source, it was concluded that as size of organization and the number of its valuable documents increase by one unit, the organization\u27s probability of suffering an internal attacks decrease. Furthermore, when executive members have a business degree rather than information-security-related degrees, the likelihood of suffering an internal attack increases. Also, the probability of an organization suffering an internal or external attack is not based on its industry type

Towards a Decision Support Tool for Assessing, Managing and Mitigating Seismic Risk of Electric Power Networks

Recent seismic event worldwide proved how fragile the electric power system can be to seismic events. Decision Support Systems (DSSs) could have a critical role in assessing the seismic risk of electric power networks and in enabling asset managers to test the effectiveness of alternative mitigation strategies and investments on resilience. This paper exemplifies the potentialities of CIPCast, a DSS recently created in the framework of the EU-funded project CIPRNet, to perform such tasks. CIPCast enables to perform risk assessment for Critical Infrastructures (CI) when subjected to different natural hazards, including earthquakes. An ad-hoc customization of CIPCast for the seismic risk analysis and management of electric power networks is featured in this paper. The international literature describes effective and sound efforts towards the creation of software platforms and frameworks for the assessment of seismic risk of electric power networks. None of them, unfortunately, achieved the goal of creating a user-friendly and ready available DDS to be used by asset managers, local authorities and civil protection departments. Towards that and building on the international literature, the paper describes metrics and methods to be integrated within CIPCast for assessing the earthquake-induced physical and functional impacts of the electric power network at component and system level. The paper describes also how CIPCast can inform the service restoration process

Entwicklung einer spatial-temporalen Vulnerabilitätsanalyse für die initiale Krisenbewältigung von Stromausfällen

Wird durch einen Stromausfall der kontinuierliche Betrieb von so genannten Kritischen Infrastrukturen wie Krankenhäuser, Trinkwasserwerke oder Dialysekliniken gefährdet, drohen dramatische Konsequenzen für die Bevölkerung. Entsprechend bedarf es an einer effektiven Katastrophenvorsorge. In der vorliegenden Arbeit wird für diesen Zweck eine spatial-temporale Vulnerabilitätsanalyse entwickelt, mit der eine sachgerechte Beurteilung der Dringlichkeit und der Erheblichkeit von stromausfallbedingten Gefahren für einen beliebigen Landkreis oder eine beliebige kreisfreie Stadt samt einer Priorisierung der dort verorteten Kritischen Infrastrukturen bzw. ihrer Stadtteile oder Gemeinden für verschiedene Szenarios möglich wird. Grundlage der Vulnerabilitätsanalyse ist ein indikatorenbasierter Ansatz mit modifizierten multiattributiven Analysen. Hierfür wurden Indikatoren entwickelt, mithilfe derer auf die Kritikalität und die Bewältigungskapazität von den in einem Landkreis oder einer kreisfreien Stadt befindlichen Kritischen Infrastrukturen und damit auf das raumzeitliche Gefahrenpotential eines Stromausfalls geschlossen wird. Zur Abschätzung des Gefahrenpotentials anhand dieser Indikatoren wurden Workshops mit Entscheidungsträgern der Gefahrenabwehr und des Katastrophenschutzes durchgeführt. Die in den Ergebnissen anhaftende Subjektivität der Abschätzungen und die sich daraus ergebene Parameterunschärfe wird mithilfe einer Monte-Carlo-Simulation als Streuung im Ergebnis berücksichtigt. Darüber hinaus wurde für eine zeitliche Differenzierung einzelne Indikatoren dynamisiert und ein modifiziertes Delphi-Verfahren entwickelt, mit dem Gruppenentscheide in Führungs- und Verwaltungsstäben unterstützt werden. Die Vulnerabilitätsanalyse wurde in die Entscheidungsprozesse der Bedarfsplanung und der akuten Krisenbewältigung in Deutschland eingebettet. Für die Beurteilung stromausfallbedingter Gefahren in einem Landkreis oder einer kreisfreien Stadt werden mehrere Vulnerabilitätsaggregationen und Bewertungsverfahren verwendet. Hierdurch ergeben sich verschiedenartige raum-zeitliche Auflösungen der Gefahrenpotentiale und der örtlich individuellen Stromausfallfolgen, die Rückschlüsse über die Bedeutung von einzelnen Kritischen Infrastrukturen und Stadtteilen bzw. Gemeinden für die lebensnotwendige Versorgung der Bevölkerung, den schwerwiegendsten und den mildesten Stromausfallverlauf, die Erfüllung von Schutzzielansprüchen, örtliche Vulnerabilitätsdichten und die potentiellen Wirkung von zu erwägenden Maßnahmen ermöglichen. Hierdurch wird der Handlungsbedarf unterhalb der Ebene der Landkreise und kreisfreien Städten identifiziert, was ebenso die Zusammenarbeit zwischen Behörden und Betreibern Kritischer Infrastrukturen als auch die Bildung eines einheitlichen Gefahrenverständnisses im Rahmen von Sicherheitspartnerschaften fördert. Beispielhaft wurde das Verfahren unter Verwendung realitätsnaher Daten auf die Stadtkreise Mannheim und Karlsruhe angewendet. Neben der Bedarfsplanung und der akuten Krisenbewältigung kann die Anwendung des Analyseverfahrens und seine Ergebnisse die Erfüllung der strategischen Ziele des Sendai Framework for Disaster Risk Reduction, denen sich die Bundesregierung verpflichtet hat, unterstützen. Ebenso kann die sachgerechte Priorisierung und prioritäre Versorgung von Kritischen Infrastrukturen oder Gebietskörperschaften anhand eines objektiven Vulnerabilitätsmaßes sowohl bei der Umsetzung des Gesamtkonzeptes Notstrom der Konzeption Zivile Verteidigung als auch im Kaskadeprinzip der VDE-AR-N 4140 bei kritischen Netzsituationen Anwendung finden. Der methodischen Entwicklung einer solchen präskriptiven Entscheidungsunterstützung gingen grundlegende entscheidungsnormative Auseinandersetzungen voraus, in deren Ergebnis nicht nur die Grundlagen des Risiko- und Krisenmanagements betrachtet wurden, sondern auch stromausfallbedingte Gefahren schutzgutorientiert spezifiziert, plausible Stromausfallszenarien systematisch reflektiert, Lokale Kritischen Infrastrukturen definiert, Standards für KRITIS-Kataster erstellt, ein Bemessungsstromausfall als auslegungsrelevanter kritischer Stromausfall festgelegt und Schutzziele zur bedarfsorientierten Dimensionierung von Vorsorge- und Bewältigungsmaßnahmen betrachtet wurden. Da hierdurch bisherige Lücken in der Debatte zum Schutz Kritischer Infrastrukturen und in der sachgerechten Entscheidungsfindung bei der Vorbereitung auf Stromausfälle auf kommunaler Ebene geschlossen werden konnten, bilden diese Ergebnisse, neben der entwickelten Vulnerabilitätsanalyse, einen wertvollen Beitrag in der normativen Entscheidungsunterstützung