Security Engineering - Prof. Dr. Christoph Karg

Transcription

Security Engineering - Prof. Dr. Christoph Karg
Systemsicherheit
Lerneinheit 4: Security Engineering
Prof. Dr. Christoph Karg
Studiengang Informatik
Hochschule Aalen
Sommersemester 2015
19.5.2015
Einleitung
Einleitung
Diese Lerneinheit befasst sich mit dem Thema Security Engineering.
Sie gliedert sich in folgende Abschnitte:
• Entwicklungsprozess
• Strukturanalyse
• Schutzbedarfsermittlung
• Bedrohungs- und Risikoanalyse
• Sicherheitsarchitektur und Betrieb
• Sicherheitsgrundfunktionen und deren Realisierung
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
2 / 58
Security Engineering
Security Engineering
• Ziel: Aufbau von Systemen, die trotz St¨orungen, Ungl¨ucken und
vors¨atzlichen Manipulationen zuverl¨assig arbeiten
• Entwicklung von Werkzeugen, Prozessen und Methoden um
. sichere Systeme zu entwerfen, zu implementieren und zu
testen
¨
. Systeme auf Anderungen
in ihrer Umgebung anzupassen
• Anforderungen: Interdisziplin¨are Kenntnisse
. Kryptografie und IT-Sicherheit
. F¨alschungssicherheit von Hardware
. Formale Methoden
. Betriebswirtschaftliche Kenntnisse
. Angewandte Psychologie
. Geltendes Recht
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
3 / 58
Zusammenh¨
ange
Zusammenh¨ange
Richtlinien
Motivation
Mechanismen
Sicherheit
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
4 / 58
Zusammenh¨
ange
Zusammenh¨ange (Forts.)
Zusammenspiel von vier Aspekten:
• Richtlinien: Was wollen wir erreichen?
• Mechanismen: Welche Mechanismen (Verschl¨usselung,
Zugangskontrolle, Berechtigungen, . . . ) sind zur Umsetzung der
Richtlinien notwendig?
• Sicherheit: Wie zuverl¨assig sind die ausgew¨ahlten Mechanismen?
• Motivation: Welche Motivation haben
. die Mitarbeiter, die unsere Systeme betreuen und
bewachen?
. die Angreifer, die unsere Richtlinien umgehen wollen?
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering Prozess
Security Engineering
5 / 58
¨
Ubersicht
Security Engineering Prozess
Problemstellung
Verbesserung
Anforderungen & Risiken
Anpassen
Planen
Bewertung
Maßnahmen
Pr¨
ufen
Ausf¨
uhren
Messung & Validierung
Implementierung
Funktionsf¨
ahiges System
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
6 / 58
Security Engineering Prozess
¨
Ubersicht
Security Engineering Prozess (Forts.)
1. Planen
. Festlegung der funktionalen Anforderungen des zu
entwickelnden Systems
. Festlegung der Einsatzumgebung
. Analyse und Bewertung der Bedrohungen und Risiken
. Formulierung der Sicherheitsanforderungen
. Entwurf der entsprechenden Sicherheitsarchitektur
2. Ausf¨uhren
. Realisierung der Architektur durch Bereitstellung der
passenden Maßnahmen, Dienste und Protokolle
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering Prozess
Security Engineering
7 / 58
¨
Ubersicht
Security Engineering Prozess (Forts.)
3. Pr¨ufen
. Evaluierung und Validierung des implementierten Systems
hinsichtlich der gestellten Anforderungen
4. Anpassen
. Durchf¨uhrung von weiteren Verbesserungen auf Basis des
Evaluierungsergebnisses
Wichtig: die Aufrechterhaltung eines angestrebten Sicherheitsniveaus
erfordert einen dynamischen sich wiederholenden Prozess!
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
8 / 58
Security Engineering Prozess
Entwicklungsphasen
Entwicklungsphasen
Einsatzgebiet
Anforderungen
überprüfen, revidieren
Bedrohungsanalyse
Analyse
Risikoanalyse
ergänzen, spezifizieren
Sicherheitsstrategie
Sicherheitsgrund−
Modellierung
funktionen
Modell¨
uberpr¨
ufung
Sicherheitsmodell
Validierung
Grobentwurf
Integrationstest
Feinentwurf
Modul-Test
Implementierung
Code Inspektion
Mechanismen
SicherheitsArchitektur
Protokolle
Dienste
Aufrechterhaltung im laufenden Betrieb
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering Prozess
Security Engineering
9 / 58
Prinzipien bei der Konzeption von IT-Systemen
Prinzipien bei der Konzeption von IT-Systemen
•
•
•
•
•
Erlaubnisprinzip (fail-safe defaults)
Vollst¨andigkeitsprinzip (complete mediation)
Prinzip der minimalen Rechte (need-to-know)
Prinzip der Benutzerakzeptanz (economy of mechanism)
Prinzip des offenen Entwurfs (open design)
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
10 / 58
Security Engineering Prozess
Prinzipien bei der Konzeption von IT-Systemen
Erlaubnisprinzip
Erlaubnisprinzip (fail-safe defaults):
• Jeder Zugriff auf das IT-System ist grunds¨atzlich zun¨achst
verboten
• Ein Zugriffsrecht wird durch eine explizite Erlaubnis gew¨ahrt
Vorteil: Dieses Prinzip garantiert, dass bei einer Neuinstallation eines
Betriebssystems keine verdeckten Zugriffe stattfinden k¨onnen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering Prozess
Security Engineering
11 / 58
Prinzipien bei der Konzeption von IT-Systemen
Vollst¨andigkeitsprinzip
Vollst¨andigkeitsprinzip (complete mediation):
Jeder Zugriff ist auf seine Zul¨assigkeit zu u¨berpr¨ufen
Bemerkungen:
¨
• Ein System, dass nur beim Offnen
einer Datei die
Zugriffsberechtigungen u¨berpr¨uft, erf¨ullt dieses Prinzip nicht
• Das Vollst¨andigkeitsprinzip erfordert, dass offene Dateien
gesperrt werden, wenn dem Benutzer das Zugriffsrecht entzogen
wird
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
12 / 58
Security Engineering Prozess
Prinzipien bei der Konzeption von IT-Systemen
Prinzip der minimalen Rechte
Prinzip der minimalen Rechte (need-to-know):
Jedes Subjekt erh¨alt genau die Zugriffsrechte, die es zur
Erf¨ullung seiner Aufgaben ben¨otigt
Bemerkung: Systeme, in denen es einen Super-User gibt, dessen
Berechtigungen keinen Einschr¨ankungen unterliegen, erf¨ullt dieses
Prinzip offensichtlich nicht
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering Prozess
Security Engineering
13 / 58
Prinzipien bei der Konzeption von IT-Systemen
Prinzip der Benutzerakzeptanz
Prinzip der Benutzerakzeptanz (economy of mechanism):
Die eingesetzten Sicherheitsmechanismen m¨ussen einfach zu
benutzen sein und automatisch und routinem¨aßig
angewendet werden
Bemerkungen:
• Die Benutzerakzeptanz ist ein wichtiger Bestandteil der
Sicherheit des Gesamtsystems
• Durch Awareness Schulungen k¨onnen Benutzer f¨ur Sicherheit
sensibilisiert werden
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
14 / 58
Security Engineering Prozess
Prinzipien bei der Konzeption von IT-Systemen
Prinzip des offenen Entwurfs
Prinzip des offenen Entwurfs (open design):
• Die Verfahren und Mechanismen, die beim Entwurf eines
Systems Verwendung finden, m¨ussen offen gelegt werden
• Die Sicherheit des Systems darf nicht von der Geheimhaltung
spezieller Verfahren abh¨angig sein (no security through
obscurity)
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
15 / 58
BSI Sicherheitsprozess
BSI Sicherheitsprozess
• Die dargestellten Phasen eignen sich in erster Linie f¨ur die
Entwicklung und Implementierung von neuen IT-Systemen
• Herausforderung: Absicherung von bereits bestehenden
IT-Systemen
• Vorschlag des BSI: Sicherheitsprozess des
IT-Grundschutzhandbuchs
• Drei Ebenen
. Strategische Ebene
. Taktische Ebene
. Operative Ebene
• Rechtliche Grundlage: Teledienstegesetz
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
16 / 58
BSI Sicherheitsprozess
Taktische
Ebene
Strategische
Ebene
BSI Sicherheitsprozess (Forts.)
Iniitierung des IT−Sicherheitsprozesses
Erstellen eines IT−Sicherheitskonzepts
Operative
Ebene
Umsetzung
Aufrechterhaltung im laufenden Betrieb
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
17 / 58
BSI Sicherheitsprozess
BSI Sicherheitsprozess (Forts.)
Schritte des Sicherheitsprozesses:
• Initiierung des IT-Sicherheitsprozesses
. Erstellung einer Sicherheitsleitlinie
. Einrichtung des IT-Sicherheitsmanagements
• Erstellen eines IT-Sicherheitskonzepts
• Umsetzung
. Realisierung fehlender Maßnahmen in den Bereichen
Infrastruktur, Organisation, Personal, Technik,
Kommunikation und Notfallvorsorge
. Sensibilisierung f¨ur IT-Sicherheit
. Schulung zur IT-Sicherheit
• Aufrechterhaltung
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
18 / 58
BSI Sicherheitsprozess
Erstellen eines IT-Sicherheitskonzepts
IT−Strukturanalyse
Schutzbedarfsfestlegung
niedriger Schutzbedarf
hoher Schutzbedarf
IT−Grundschutzanalyse
Bedrohungsanalyse
Risikoanalyse
Maßnahmen
Realisierungsplanung
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
19 / 58
BSI Sicherheitsprozess
Erstellen eines IT-Sicherheitskonzepts (Forts.)
• IT-Strukturanalyse
. Erfassung der eingesetzten Hardware und Software
. Gruppenbildung
• Schutzbedarfsfestlegung
. niedriger Schutzbedarf
IT-Grundschutzanalyse
. hoher Schutzbedarf
Bedrohungsanalyse, Risikoanalyse
und Einleitung entsprechender Maßnahmen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
20 / 58
BSI Sicherheitsprozess
Erstellen eines IT-Sicherheitskonzepts (Forts.)
• IT-Grundschutzanalyse
. Modellierung nach IT-Grundschutz
. Basis-Sicherheitscheck mit Soll-Ist Vergleich
• Bedrohungsanalyse
. Erfassung der bedrohten Objekte
. Bestimmung der Grundbedrohungen
. Bestimmung der Gef¨ahrdungen
• Risikoanalyse
. Bewertung der bedrohten Objekte
. Bestimmung der H¨aufigkeit von Sch¨aden
. Bestimmung von aktuellen Risiken
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
21 / 58
BSI Sicherheitsprozess
Erstellen eines IT-Sicherheitskonzepts (Forts.)
• Maßnahmen
. Auswahl von Maßnahmen
. Bewertung der Maßnahmen
. Kosten-Nutzen-Betrachtung
. Restrisikoanalyse
• Realisierungsplanung
. Konsolidierung der Maßnahmen
. Umsetzungsplan
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
22 / 58
BSI Sicherheitsprozess
Strukturanalyse
Strukturanalyse: Spezifikation
• Erfassung der funktionalen Eigenschaften des Systems, seiner
Einsatzumgebung und seines Verwendungszwecks
• Beschreibung der Systemkomponenten und -dienste sowie deren
Funktionalit¨at
• Erstellung eines Pflichtenhefts, in dem funktionale
Anforderungen sowie Leistungs-, Zuverl¨assigkeits- und
Sicherheitsanforderungen festgehalten werden
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
23 / 58
Strukturanalyse
Strukturanalyse: Netztopologieplan
•
•
•
•
Grafische Darstellung der Netzwerktopologie der IT-Infrastruktur
Erfassung der eingesetzten Komponenten und deren Vernetzung
Auflistung der Verbindungen nach außen
Gruppierung von ¨ahnlichen Komponenten mit dem Ziel der
Komplexit¨atsreduzierung
• F¨ur jede Komponente werden deren Eigenschaften festgehalten.
Ferner erh¨alt sie eine eindeutige Identifikationsnummer
• Zuordnung von Anwendungen auf die IT-Systeme
• Ermittlung der IT-Systeme, die sicherheitskritische Daten
verarbeiten
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
24 / 58
BSI Sicherheitsprozess
Schutzbedarfsermittlung
Schutzbedarfsermittlung
Ziel: Entscheidung u¨ber den Schutzbedarf einer Anwendung oder
eines IT-Systems im Hinblick auf Vertraulichkeit, Integrit¨at und
Verf¨ugbarkeit auf Basis m¨oglicher Sch¨aden und Beeintr¨achtigungen
Herausforderung: Schutzbedarf ist schwer quantifizierbar
Ansatz: Erstellung und Bewertung von Schadensszenarien auf Basis
von Schutzbedarfskategorien
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
25 / 58
Schutzbedarfsermittlung
Schutzbedarfskategorien
Kategorien
niedrig bis mittel
hoch
sehr hoch
Prof. Dr. C. Karg (HS Aalen)
Erl¨
auterungen
Die Schadensauswirkungen sind begrenzt
und u¨berschaubar
Die Schadensauswirkungen k¨onnen betr¨achtlich sein
Die Schadensauswirkungen k¨onnen ein
existentiell bedrohliches, katastrophales
Ausmaß annehmen
Systemsicherheit
Security Engineering
26 / 58
BSI Sicherheitsprozess
Schadenszenarien
Schadensszenarien
Problem: Eine quantitative Bewertung des Schutzbedarfs ist schwierig
Ansatz: Qualitative Bewertung auf Basis von Szenarien
Hilfestellung: Das BSI IT-Grundschutzhandbuch beinhaltet g¨angige
Schadensszenarien
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
27 / 58
Schadenszenarien
Schadensszenarien (Forts.)
Schadensszenario 1: Verstoß gegen Gesetze, Vorschriften, Vertr¨age
• G¨angige Gesetze sind:
. Grundgesetz
. B¨urgerliches Gesetzbuch
. Bundesdatenschutzgesetz/Datenschutzgesetze der L¨ander
. Urheberrechtsgesetz
• Vorschriften sind z.B. Dienstvorschriften, Verordnungen oder
Nutzungsbedingungen
• Vertr¨age regeln unter anderem die Geheimhaltung von
Betriebsinternas
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
28 / 58
BSI Sicherheitsprozess
Schadenszenarien
Schadensszenarien (Forts.)
Schadensszenario 2: Beeintr¨achtigung des informationellen
Selbstbestimmungsrechts
• Unzul¨assige Erhebung personenbezogener Daten
• Unbefugte Weitergabe personenbezogener Daten
• Nutzung von personenbezogenen Daten zu einem anderen als
dem bei der Erhebung zul¨assigen Zweck
• Verf¨alschung von personenbezogenen Daten
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
29 / 58
Schadenszenarien
Schadensszenarien (Forts.)
Schadensszenario 3: Beeintr¨achtigung der pers¨onlichen
Unversehrtheit
Relevante Systeme und Anwendungen:
¨
• Medizinische Uberwachungsund Diagnosesysteme
• Verkehrsleitsysteme
• Flugzeugsteuerungssysteme
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
30 / 58
BSI Sicherheitsprozess
Schadenszenarien
Schadensszenarien (Forts.)
Schadensszenario 4: Beeintr¨achtigung der Aufgabenerf¨ullung
• Fristvers¨aumnisse durch verz¨ogerte Bearbeitung von
Verwaltungsvorg¨angen
• Versp¨atete Lieferungen aufgrund verz¨ogerter Bearbeitung von
Bestellungen
• Fehlerhafte Produktion aufgrund falscher Steuerungsdaten
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
31 / 58
Schadenszenarien
Schadensszenarien (Forts.)
Schadensszenarien 5: Sch¨aden f¨ur die Reputation des
Unternehmens
• Sch¨aden, die zu Ansehensverlust f¨uhren
• Gef¨ahrdung der gesellschaftlichen und wirtschaftlichen Stellung
eines Unternehmens
• Gesch¨aftssch¨adigendes Verhalten
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
32 / 58
BSI Sicherheitsprozess
Schadenszenarien
Schadensszenarien (Forts.)
Schadensszenario 6: finanzielle Auswirkungen
• Unerlaubte Weitergabe von Forschungs- und
Entwicklungsergebnissen
• Manipulation von finanzwirksamen Daten in einem
Abrechnungssystem
• Ausfall eines Produktivsystems
• Ausfall eine Webportals
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
33 / 58
Schutzbedarf
Festlegung des Schutzbedarfs
• Vorgehen: Beantworten von Fragen des Typs Was w¨are wenn
”
. . .“
• Das BSI Grundschutzhandbuch liefert Hilfestellungen zur
Bewertung der einzelnen Szenarien
• Der ermittelte Schutzbedarf muss mit dem Ist-Zustand der
IT-Infrastruktur verglichen werden
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
34 / 58
BSI Sicherheitsprozess
Schutzbedarf
Niedrige Einstufung
Einstufung: niedrig bis mittel
Szenario
1
2
Schaden und Folgen
Verst¨oße gegen Gesetze haben nur geringf¨ugige
Konsequenzen. Es kommt nur zu geringf¨ugigen
Vertragsverletzungen
Es liegt eine geringe tolerierbare Beeintr¨achtigung des informationellen Selbstbestimmungsrechts vor
Ein Missbrauch personenbezogener Daten hat
nur geringf¨ugige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen
Verh¨altnisse des Betroffenen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
35 / 58
Schutzbedarf
Niedrige Einstufung (Forts.)
Einstufung: niedrig bis mittel
Szenario
3
4
5
6
Schaden und Folgen
Es gibt keine Beeintr¨achtigung der pers¨onlichen
Unversehrtheit
Die Beeintr¨achtigung der Aufgabenerf¨ullung ist
tolerabel. Die maximal tolerierbare Ausfallzeit
ist gr¨oßer als 24 Stunden
Es ist eine geringe Beeintr¨achtigung des Ansehens und Vertrauens zu erwarten
Der finanzielle Schaden ist tolerabel
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
36 / 58
BSI Sicherheitsprozess
Schutzbedarf
Sehr hohe Einstufung
Einstufung: sehr hoch
Szenario
1
2
Schaden und Folgen
Es liegt ein fundamentaler Verstoß gegen Gesetze oder Richtlinien vor
Es kommt zu Vertragsverletzungen, die mit
sehr hohen Haftungssch¨aden verbunden sind
Es kann zu einer großen Beeintr¨achtigung
des informationellen Selbstbestimmungsrechts
kommen. Ein m¨oglicher Missbrauch f¨uhrt f¨ur
die betreffende Person zum gesellschaftlichen
oder finanziellen Ruin
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
37 / 58
Schutzbedarf
Sehr hohe Einstufung (Forts.)
Einstufung: sehr hoch
Szenario
3
4
5
6
Schaden und Folgen
Es sind gravierende Beeintr¨achtigungen der
pers¨onlichen Unversehrtheit m¨oglich. Es besteht Gefahr f¨ur Leib und Leben
Die Beeintr¨achtigung der Aufgabenerf¨ullung
wird als nicht tolerabel eingesch¨atzt. Die maximal tolerierbare Ausfall liegt unter 1 Stunde
Es ist eine landesweite oder internationale Beeintr¨achtigung des Ansehens und Vertrauens
m¨oglich
Der finanzielle Schaden ist existenzbedrohend
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
38 / 58
BSI Sicherheitsprozess
Schutzbedarf
Bedrohungsanalyse
• Ziel: Systematische Ermittlung der organisatorischen,
technischen und benutzerbedingten Ursachen f¨ur Bedrohungen
• Herausforderung: vollst¨andige Erfassung der Bedrohungen eines
Systems
• Voraussetzung: fundierte Kenntnisse u¨ber Sicherheitsprobleme
und Schwachstellen von Betriebssystemen,
Netzwerkkomponenten, . . .
• Unterst¨utzung der methodischen Vorgehensweise durch
. Bedrohungsmatrizen
. Bedrohungsb¨aume
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
39 / 58
Schutzbedarf
Bedrohungsmatrix
• Eine Bedrohungsmatrix stellt die Beziehung zwischen m¨oglichen
Bedrohungen und Subjekten als potentielle Gefahrenquelle dar
• Die Zeilen enthalten die Bedrohungskategorien
. Bedrohungen durch externe Angriffe
. Bedrohungen der Datenintegrit¨at und der
Informationsvertraulichkeit
. Bedrohungen der Verf¨ugbarkeit und der Ressourcennutzung
. Abstreiten durchgef¨uhrter Aktionen
. Missbrauch erteilter Berechtigungen
• Die Spalten enthalten die potentiellen Ausl¨oser der Bedrohungen
. Administratoren
. Programmierer
. Interne Benutzer
. Externe Benutzer
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
40 / 58
BSI Sicherheitsprozess
Schutzbedarf
Beispiel: Bedrohungsmatrix
Bedrohung
Angriff
(extern)
Angriff
(intern)
Verf¨ugbarkeit
Programmierer Benutzer
(intern)
Denial of Ser- Beobachten
vice
der Passworteingabe
Auslesen des
Einschleusen
Hauptspeichers von Malware
SpeicherbeStart von Pronutzung
zessen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Benutzer
(extern)
-
Passwort
knacken
Erzeugen von
Netzwerkverkehr
Security Engineering
41 / 58
Schutzbedarf
Bedrohungsbaum
• Die Wurzel des Baums repr¨asentiert das Angriffsziel
• Die internen Knoten stehen f¨ur die Teilaufgaben, die f¨ur einen
erfolgreichen Angriff durchgef¨uhrt werden m¨ussen
• Arten von Verkn¨upfungen
. OR-Knoten
eine der in den Kindknoten enthaltenen
Angriffe muss ausgef¨uhrt werden
. AND-Knoten
alle in den Kindknoten enthaltenen
Angriffe m¨ussen ausgef¨uhrt werden
. Die Pfade von der Wurzel zu den Bl¨attern stellen
verschiedene Angriffsarten dar, die letztlich das in der
Wurzel festgelegte Ziel erreichen
. Bedrohungsb¨aume werden auch Angriffsb¨aume genannt
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
42 / 58
BSI Sicherheitsprozess
Schutzbedarf
Beispiel: Bedrohungsbaum
masquerade
attack
attack target
decision node
local
login
attack step
remote
login
AND
beyond technical scope
valid
login
possession of
the device
login
required
without
authentication
stealing
threaten
owner
blackmail
owner
appropriation
AND
auth data
required
auth token
required
without user’s
assistance
forgery
stealing
without
biometrics
with user’s
assistance
threaten
owner
Prof. Dr. C. Karg (HS Aalen)
blackmail
owner
appropriation
lost
device
unattended
device
threaten
owner
blackmail
owner
forgery
disposed
device
Systemsicherheit
BSI Sicherheitsprozess
with
biometrics
Security Engineering
43 / 58
Risikoanalyse
Risikobewertung
• Formel: R = S × E , wobei
. S H¨ohe des Schadens
. E Eintrittswahrscheinlichkeit der Bedrohung
• Arten von Sch¨aden
. Prim¨arer Schaden
Personalkosten, Kosten des
Produktionsausfalls, Wiederbeschaffungskosten
. Sekund¨arer Schaden
Vertrauens- oder Imageverlust bei
Kunden oder Gesch¨aftspartnern
• Bestimmung der Eintrittswahrscheinlichkeit E
. Komplexit¨at des Angriffs
. Nutzen des Angriffs
• Um E besser absch¨atzen zu k¨onnen, werden Penetrationtests
eingesetzt
• Einsatz von Angriffsb¨aumen zur Berechnung der Risiken
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
44 / 58
BSI Sicherheitsprozess
Risikoanalyse
Beispiel: Bedrohungsbaum
sniffing of a
user password
Risk: very high
MAX
spy out the
unencrypted
access to stored
terminal input
network transmission
password data
Risk: low
Risk: very high
Risk: high
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
45 / 58
Risikoanalyse
Empfehlungen des BSI
• Die Durchf¨uhrung einer Risikoanalyse ist aufw¨andig und
erfordert großen technischen und organisatorischen Sachverstand
• Das BSI sieht aus diesem Grund die Risikoanalyse als erg¨anzende
Maßnahme
• Laut BSI sollte eine Risikoanalyse nur die Systemteile
durchgef¨uhrt werden, deren Sicherheitsanforderungen hoch oder
sehr hoch sind
• F¨ur Systemteile mit niedrigen oder mittleren
Sicherheitsanforderungen empfiehlt das BSI
Standard-Sicherheitsmaßnahmen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
46 / 58
BSI Sicherheitsprozess
Penetrationtests
Penetrationtests
• Penetrationtests werden durchgef¨uhrt, um die Erfolgsaussichten
eines vors¨atzlichen Angriffs absch¨atzen zu k¨onnen
• Vorgehen: Simulation des Angriffsverhaltens eines Innen- oder
Außent¨aters
• Zwei Ans¨atze:
. Whitebox-Ansatz
der Angreifer hat detaillierte
Kenntnisse u¨ber die interne Struktur, Anwendungen und
Dienste
. Blackbox-Ansatz
der Angreifer hat keine oder wenig
Kenntnisse u¨ber die Internas des Unternehmens
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
47 / 58
Penetrationtests
Aufbau eines Penetrationtests
Typischerweise umfasst ein Penetrationtest folgende Arten von
Angriffen:
• Erraten von Passw¨ortern durch W¨orterbuchattacken
• Aufzeichnen und Manipulieren des Netzwerkverkehrs
• Einspielen gef¨alschter Datenpakete
• Ausnutzen bekannter Software-Schwachstellen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
48 / 58
BSI Sicherheitsprozess
Penetrationtests
Vorgehensweise
1. Beschaffung von frei zug¨anglichen Informationen u¨ber das
Zielobjekt
2. Ermittlung der angeboten Netzwerkdienste unter Einsatz von
Portscannern oder ¨ahnlichen Werkzeugen
3. Einsatz von Fingerprinting, um Informationen u¨ber eingesetzte
Betriebsysteme, Webserver, Webbrowser und sonstige
Anwendungen zu gewinnen
4. Zugriff auf Schwachstellendatenbanken oder
Internet-Ressourcen, um bekannte Schwachstellen zu ermitteln
5. Ausnutzen von identifizierten Schwachstellen, um systematisch
unberechtigten Zugriff auf das Zielsystem zu erlangen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
BSI Sicherheitsprozess
Security Engineering
49 / 58
Sicherheitsarchitektur und Betrieb
Sicherheitsstrategie und -modell
• Aus dem Ergebnis der Sicherheitsanalyse und der
Risikobewertung werden die notwendigen Maßnahmen abgeleitet,
um das IT-System vom aktuellen Ist-Zustand in den
gew¨unschten Soll-Zustand zu u¨berf¨uhren
• Die Maßnahmen werden in einer Sicherheitsstrategie m¨oglichst
pr¨azise formuliert
• Man kann auf Kriterienkataloge des BSI oder der EU (ITSEC)
zur¨uckgreifen
• Auf Basis der Sicherheitstrategie wird ein Sicherheitsmodell
entworfen
• Die Implementierung setzt die Vorgaben des Modells um
• W¨ahrend und nach der Implementierung muss deren Korrektheit
validiert werden
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
50 / 58
Sicherheitsgrundfunktionen
Sicherheitsgrundfunktionen
Sicherheitsgrundfunktionen sind g¨angige Maßnahmen zur Abwehr von
Bedrohungen
G¨angige Grundfunktionen sind:
• Identifikation und Authentifikation
• Rechteverwaltung
• Rechtepr¨ufung
• Beweissicherung
• Wiederaufbereitung
• Gew¨ahrleistung der Funktionalit¨at
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Sicherheitsgrundfunktionen
Security Engineering
51 / 58
Identifikation und Authentifikation
Identifikation und Authentifikation
• Ziel: Abwehr von Maskierungsangriffen und unautorisierten
Zugriffen
• Anforderungen:
. Subjekte m¨ussen eindeutig identifizierbar sein
. Subjekte m¨ussen sich authentifizieren, um auf bestimmte
Dienste zuzugreifen
• Die Authentifizierung erfolgt mittels Passw¨ortern oder
biometrischen Eigenschaften
• Maßnahmen zur Abwehr systematischer Angriffsversuche sind
beispielsweise Protokollierung von Verst¨oßen sowie Sperren des
Accounts bei mehrmaligem gescheiterten Anmeldeversuchen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
52 / 58
Sicherheitsgrundfunktionen
Rechteverwaltung
Rechteverwaltung
• Basis f¨ur die Abwehr von Bedrohung aufgrund unautorisierter
Zugriffe
• Ansatz: Der Zugriff eines Subjekts auf ein Objekt wird mit
Berechtigungen geregelt
• Die Vergabe von Zugriffsberechtigungen muss dynamisch sein
• In der Regel wird ein rollenbasiertes Konzept angewandt, bei
dem ein Subjekt die Berechtigungen erh¨alt, die seinem
Aufgabengebiet zugeordnet sind
• Owner Prinzip: der Eigent¨umer einer Datei darf die
Zugriffsrechte vergeben
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Sicherheitsgrundfunktionen
Security Engineering
53 / 58
Rechtepr¨
ufung
Rechtepru¨fung
• Die Kontrolle von Zugriffsberechtigung ist notwendig, um
unautorisierte Zugriffe zu verhindern
• Vollst¨andigkeitsprinzip: jeder Zugriff soll kontrolliert werden
• Aber: vollst¨andige Kontrolle ist sehr aufw¨andig
• Technische Umsetzung: File Handles oder File Descriptors, die
den Zugriff legitimieren
• Ausnahmen der Zugriffsregeln m¨ussen dokumentiert werden
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
54 / 58
Sicherheitsgrundfunktionen
Beweissicherung
Beweissicherung
• Ziel: Sicherung von Beweisen
. um die nachtr¨agliche Analyse von Systemen zu erm¨oglichen,
bei denen Angriffe stattgefunden haben
. um zu verhindern, dass Subjekte ausgef¨uhrte Aktionen im
Nachhinein abstreite
• Es ist festzulegen, welche Ereignisse protokolliert werden und
welche Informationen dabei zu erfassen sind
• G¨angige protokollierte Informationen sind:
. Identit¨at des Subjekts
. Ausgef¨uhrte Operationen
. Dateizugriffe des Subjekts
• Wichtig: es muss festgelegt werden, wer auf die Log-Dateien
zugreifen darf
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Sicherheitsgrundfunktionen
Security Engineering
55 / 58
Wiederaufbereitung
Wiederaufbereitung
• Ziel: Bereinigung von gemeinsamen, aber exklusiv benutzbaren
Betriebsmitteln zur Verhinderung von Angriffen auf die
Vertraulichkeit
• Gemeinsam benutzte Betriebsmittel:
. Hauptspeicher eines Computers
. Festplattenspeicher und Netzwerklaufwerke
. Gemeinsam benutzte Laptops
• Bei Freigabe eines Betriebsmittels muss geregelt werden, wie es
f¨ur die n¨achste Benutzung wiederaufbereitet wird
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
56 / 58
Sicherheitsgrundfunktionen
Gew¨
ahrleistung der Funktionalit¨
at
Gew¨ahrleistung der Funktionalit¨at
• Ziel: Abwehr von Denial-Of-Service Angriffen
• Ansatz: Festlegung, welche Funktionalit¨aten von welchen
Systemkomponenten mit welcher Priorit¨at gew¨ahrleistet ist
• Die Bereitstellung von redundanten Systemteilen verbessert die
Verf¨ugbarkeit
• Durch einen Notfallplan werden Prozesse festgelegt, die bei
einem St¨orfall den operativen Betrieb aufrecht erhalten oder
einen Notfallbetrieb erm¨oglichen
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
57 / 58
Zusammenfassung
Zusammenfassung
• Security Engineering besch¨aftigt sich mit der Entwicklung von
Methodiken und Prozessen zur Etablierung von
Sicherheitsmechanismen f¨ur IT-Infrastrukturen
• Der Entwicklungsprozess besteht aus den Phasen Planen,
Ausf¨uhren, Pr¨ufen und Anpassen
• Das Grundschutzhandbuch des BSI liefert bew¨ahrte Ans¨atze f¨ur
das Security Engineering
• Security Engineering ist ein fortlaufender Prozess
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
58 / 58