Security Engineering - Prof. Dr. Christoph Karg
Systemsicherheit Lerneinheit 4: Security Engineering Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester 2015 19.5.2015 Einleitung Einleitung Diese Lerneinheit befasst sich mit dem Thema Security Engineering. Sie gliedert sich in folgende Abschnitte: • Entwicklungsprozess • Strukturanalyse • Schutzbedarfsermittlung • Bedrohungs- und Risikoanalyse • Sicherheitsarchitektur und Betrieb • Sicherheitsgrundfunktionen und deren Realisierung Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 2 / 58 Security Engineering Security Engineering • Ziel: Aufbau von Systemen, die trotz St¨orungen, Ungl¨ucken und vors¨atzlichen Manipulationen zuverl¨assig arbeiten • Entwicklung von Werkzeugen, Prozessen und Methoden um . sichere Systeme zu entwerfen, zu implementieren und zu testen ¨ . Systeme auf Anderungen in ihrer Umgebung anzupassen • Anforderungen: Interdisziplin¨are Kenntnisse . Kryptografie und IT-Sicherheit . F¨alschungssicherheit von Hardware . Formale Methoden . Betriebswirtschaftliche Kenntnisse . Angewandte Psychologie . Geltendes Recht Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 3 / 58 Zusammenh¨ ange Zusammenh¨ange Richtlinien Motivation Mechanismen Sicherheit Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 4 / 58 Zusammenh¨ ange Zusammenh¨ange (Forts.) Zusammenspiel von vier Aspekten: • Richtlinien: Was wollen wir erreichen? • Mechanismen: Welche Mechanismen (Verschl¨usselung, Zugangskontrolle, Berechtigungen, . . . ) sind zur Umsetzung der Richtlinien notwendig? • Sicherheit: Wie zuverl¨assig sind die ausgew¨ahlten Mechanismen? • Motivation: Welche Motivation haben . die Mitarbeiter, die unsere Systeme betreuen und bewachen? . die Angreifer, die unsere Richtlinien umgehen wollen? Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering Prozess Security Engineering 5 / 58 ¨ Ubersicht Security Engineering Prozess Problemstellung Verbesserung Anforderungen & Risiken Anpassen Planen Bewertung Maßnahmen Pr¨ ufen Ausf¨ uhren Messung & Validierung Implementierung Funktionsf¨ ahiges System Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 6 / 58 Security Engineering Prozess ¨ Ubersicht Security Engineering Prozess (Forts.) 1. Planen . Festlegung der funktionalen Anforderungen des zu entwickelnden Systems . Festlegung der Einsatzumgebung . Analyse und Bewertung der Bedrohungen und Risiken . Formulierung der Sicherheitsanforderungen . Entwurf der entsprechenden Sicherheitsarchitektur 2. Ausf¨uhren . Realisierung der Architektur durch Bereitstellung der passenden Maßnahmen, Dienste und Protokolle Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering Prozess Security Engineering 7 / 58 ¨ Ubersicht Security Engineering Prozess (Forts.) 3. Pr¨ufen . Evaluierung und Validierung des implementierten Systems hinsichtlich der gestellten Anforderungen 4. Anpassen . Durchf¨uhrung von weiteren Verbesserungen auf Basis des Evaluierungsergebnisses Wichtig: die Aufrechterhaltung eines angestrebten Sicherheitsniveaus erfordert einen dynamischen sich wiederholenden Prozess! Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 8 / 58 Security Engineering Prozess Entwicklungsphasen Entwicklungsphasen Einsatzgebiet Anforderungen überprüfen, revidieren Bedrohungsanalyse Analyse Risikoanalyse ergänzen, spezifizieren Sicherheitsstrategie Sicherheitsgrund− Modellierung funktionen Modell¨ uberpr¨ ufung Sicherheitsmodell Validierung Grobentwurf Integrationstest Feinentwurf Modul-Test Implementierung Code Inspektion Mechanismen SicherheitsArchitektur Protokolle Dienste Aufrechterhaltung im laufenden Betrieb Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering Prozess Security Engineering 9 / 58 Prinzipien bei der Konzeption von IT-Systemen Prinzipien bei der Konzeption von IT-Systemen • • • • • Erlaubnisprinzip (fail-safe defaults) Vollst¨andigkeitsprinzip (complete mediation) Prinzip der minimalen Rechte (need-to-know) Prinzip der Benutzerakzeptanz (economy of mechanism) Prinzip des offenen Entwurfs (open design) Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 10 / 58 Security Engineering Prozess Prinzipien bei der Konzeption von IT-Systemen Erlaubnisprinzip Erlaubnisprinzip (fail-safe defaults): • Jeder Zugriff auf das IT-System ist grunds¨atzlich zun¨achst verboten • Ein Zugriffsrecht wird durch eine explizite Erlaubnis gew¨ahrt Vorteil: Dieses Prinzip garantiert, dass bei einer Neuinstallation eines Betriebssystems keine verdeckten Zugriffe stattfinden k¨onnen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering Prozess Security Engineering 11 / 58 Prinzipien bei der Konzeption von IT-Systemen Vollst¨andigkeitsprinzip Vollst¨andigkeitsprinzip (complete mediation): Jeder Zugriff ist auf seine Zul¨assigkeit zu u¨berpr¨ufen Bemerkungen: ¨ • Ein System, dass nur beim Offnen einer Datei die Zugriffsberechtigungen u¨berpr¨uft, erf¨ullt dieses Prinzip nicht • Das Vollst¨andigkeitsprinzip erfordert, dass offene Dateien gesperrt werden, wenn dem Benutzer das Zugriffsrecht entzogen wird Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 12 / 58 Security Engineering Prozess Prinzipien bei der Konzeption von IT-Systemen Prinzip der minimalen Rechte Prinzip der minimalen Rechte (need-to-know): Jedes Subjekt erh¨alt genau die Zugriffsrechte, die es zur Erf¨ullung seiner Aufgaben ben¨otigt Bemerkung: Systeme, in denen es einen Super-User gibt, dessen Berechtigungen keinen Einschr¨ankungen unterliegen, erf¨ullt dieses Prinzip offensichtlich nicht Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering Prozess Security Engineering 13 / 58 Prinzipien bei der Konzeption von IT-Systemen Prinzip der Benutzerakzeptanz Prinzip der Benutzerakzeptanz (economy of mechanism): Die eingesetzten Sicherheitsmechanismen m¨ussen einfach zu benutzen sein und automatisch und routinem¨aßig angewendet werden Bemerkungen: • Die Benutzerakzeptanz ist ein wichtiger Bestandteil der Sicherheit des Gesamtsystems • Durch Awareness Schulungen k¨onnen Benutzer f¨ur Sicherheit sensibilisiert werden Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 14 / 58 Security Engineering Prozess Prinzipien bei der Konzeption von IT-Systemen Prinzip des offenen Entwurfs Prinzip des offenen Entwurfs (open design): • Die Verfahren und Mechanismen, die beim Entwurf eines Systems Verwendung finden, m¨ussen offen gelegt werden • Die Sicherheit des Systems darf nicht von der Geheimhaltung spezieller Verfahren abh¨angig sein (no security through obscurity) Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 15 / 58 BSI Sicherheitsprozess BSI Sicherheitsprozess • Die dargestellten Phasen eignen sich in erster Linie f¨ur die Entwicklung und Implementierung von neuen IT-Systemen • Herausforderung: Absicherung von bereits bestehenden IT-Systemen • Vorschlag des BSI: Sicherheitsprozess des IT-Grundschutzhandbuchs • Drei Ebenen . Strategische Ebene . Taktische Ebene . Operative Ebene • Rechtliche Grundlage: Teledienstegesetz Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 16 / 58 BSI Sicherheitsprozess Taktische Ebene Strategische Ebene BSI Sicherheitsprozess (Forts.) Iniitierung des IT−Sicherheitsprozesses Erstellen eines IT−Sicherheitskonzepts Operative Ebene Umsetzung Aufrechterhaltung im laufenden Betrieb Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 17 / 58 BSI Sicherheitsprozess BSI Sicherheitsprozess (Forts.) Schritte des Sicherheitsprozesses: • Initiierung des IT-Sicherheitsprozesses . Erstellung einer Sicherheitsleitlinie . Einrichtung des IT-Sicherheitsmanagements • Erstellen eines IT-Sicherheitskonzepts • Umsetzung . Realisierung fehlender Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallvorsorge . Sensibilisierung f¨ur IT-Sicherheit . Schulung zur IT-Sicherheit • Aufrechterhaltung Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 18 / 58 BSI Sicherheitsprozess Erstellen eines IT-Sicherheitskonzepts IT−Strukturanalyse Schutzbedarfsfestlegung niedriger Schutzbedarf hoher Schutzbedarf IT−Grundschutzanalyse Bedrohungsanalyse Risikoanalyse Maßnahmen Realisierungsplanung Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 19 / 58 BSI Sicherheitsprozess Erstellen eines IT-Sicherheitskonzepts (Forts.) • IT-Strukturanalyse . Erfassung der eingesetzten Hardware und Software . Gruppenbildung • Schutzbedarfsfestlegung . niedriger Schutzbedarf IT-Grundschutzanalyse . hoher Schutzbedarf Bedrohungsanalyse, Risikoanalyse und Einleitung entsprechender Maßnahmen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 20 / 58 BSI Sicherheitsprozess Erstellen eines IT-Sicherheitskonzepts (Forts.) • IT-Grundschutzanalyse . Modellierung nach IT-Grundschutz . Basis-Sicherheitscheck mit Soll-Ist Vergleich • Bedrohungsanalyse . Erfassung der bedrohten Objekte . Bestimmung der Grundbedrohungen . Bestimmung der Gef¨ahrdungen • Risikoanalyse . Bewertung der bedrohten Objekte . Bestimmung der H¨aufigkeit von Sch¨aden . Bestimmung von aktuellen Risiken Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 21 / 58 BSI Sicherheitsprozess Erstellen eines IT-Sicherheitskonzepts (Forts.) • Maßnahmen . Auswahl von Maßnahmen . Bewertung der Maßnahmen . Kosten-Nutzen-Betrachtung . Restrisikoanalyse • Realisierungsplanung . Konsolidierung der Maßnahmen . Umsetzungsplan Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 22 / 58 BSI Sicherheitsprozess Strukturanalyse Strukturanalyse: Spezifikation • Erfassung der funktionalen Eigenschaften des Systems, seiner Einsatzumgebung und seines Verwendungszwecks • Beschreibung der Systemkomponenten und -dienste sowie deren Funktionalit¨at • Erstellung eines Pflichtenhefts, in dem funktionale Anforderungen sowie Leistungs-, Zuverl¨assigkeits- und Sicherheitsanforderungen festgehalten werden Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 23 / 58 Strukturanalyse Strukturanalyse: Netztopologieplan • • • • Grafische Darstellung der Netzwerktopologie der IT-Infrastruktur Erfassung der eingesetzten Komponenten und deren Vernetzung Auflistung der Verbindungen nach außen Gruppierung von ¨ahnlichen Komponenten mit dem Ziel der Komplexit¨atsreduzierung • F¨ur jede Komponente werden deren Eigenschaften festgehalten. Ferner erh¨alt sie eine eindeutige Identifikationsnummer • Zuordnung von Anwendungen auf die IT-Systeme • Ermittlung der IT-Systeme, die sicherheitskritische Daten verarbeiten Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 24 / 58 BSI Sicherheitsprozess Schutzbedarfsermittlung Schutzbedarfsermittlung Ziel: Entscheidung u¨ber den Schutzbedarf einer Anwendung oder eines IT-Systems im Hinblick auf Vertraulichkeit, Integrit¨at und Verf¨ugbarkeit auf Basis m¨oglicher Sch¨aden und Beeintr¨achtigungen Herausforderung: Schutzbedarf ist schwer quantifizierbar Ansatz: Erstellung und Bewertung von Schadensszenarien auf Basis von Schutzbedarfskategorien Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 25 / 58 Schutzbedarfsermittlung Schutzbedarfskategorien Kategorien niedrig bis mittel hoch sehr hoch Prof. Dr. C. Karg (HS Aalen) Erl¨ auterungen Die Schadensauswirkungen sind begrenzt und u¨berschaubar Die Schadensauswirkungen k¨onnen betr¨achtlich sein Die Schadensauswirkungen k¨onnen ein existentiell bedrohliches, katastrophales Ausmaß annehmen Systemsicherheit Security Engineering 26 / 58 BSI Sicherheitsprozess Schadenszenarien Schadensszenarien Problem: Eine quantitative Bewertung des Schutzbedarfs ist schwierig Ansatz: Qualitative Bewertung auf Basis von Szenarien Hilfestellung: Das BSI IT-Grundschutzhandbuch beinhaltet g¨angige Schadensszenarien Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 27 / 58 Schadenszenarien Schadensszenarien (Forts.) Schadensszenario 1: Verstoß gegen Gesetze, Vorschriften, Vertr¨age • G¨angige Gesetze sind: . Grundgesetz . B¨urgerliches Gesetzbuch . Bundesdatenschutzgesetz/Datenschutzgesetze der L¨ander . Urheberrechtsgesetz • Vorschriften sind z.B. Dienstvorschriften, Verordnungen oder Nutzungsbedingungen • Vertr¨age regeln unter anderem die Geheimhaltung von Betriebsinternas Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 28 / 58 BSI Sicherheitsprozess Schadenszenarien Schadensszenarien (Forts.) Schadensszenario 2: Beeintr¨achtigung des informationellen Selbstbestimmungsrechts • Unzul¨assige Erhebung personenbezogener Daten • Unbefugte Weitergabe personenbezogener Daten • Nutzung von personenbezogenen Daten zu einem anderen als dem bei der Erhebung zul¨assigen Zweck • Verf¨alschung von personenbezogenen Daten Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 29 / 58 Schadenszenarien Schadensszenarien (Forts.) Schadensszenario 3: Beeintr¨achtigung der pers¨onlichen Unversehrtheit Relevante Systeme und Anwendungen: ¨ • Medizinische Uberwachungsund Diagnosesysteme • Verkehrsleitsysteme • Flugzeugsteuerungssysteme Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 30 / 58 BSI Sicherheitsprozess Schadenszenarien Schadensszenarien (Forts.) Schadensszenario 4: Beeintr¨achtigung der Aufgabenerf¨ullung • Fristvers¨aumnisse durch verz¨ogerte Bearbeitung von Verwaltungsvorg¨angen • Versp¨atete Lieferungen aufgrund verz¨ogerter Bearbeitung von Bestellungen • Fehlerhafte Produktion aufgrund falscher Steuerungsdaten Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 31 / 58 Schadenszenarien Schadensszenarien (Forts.) Schadensszenarien 5: Sch¨aden f¨ur die Reputation des Unternehmens • Sch¨aden, die zu Ansehensverlust f¨uhren • Gef¨ahrdung der gesellschaftlichen und wirtschaftlichen Stellung eines Unternehmens • Gesch¨aftssch¨adigendes Verhalten Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 32 / 58 BSI Sicherheitsprozess Schadenszenarien Schadensszenarien (Forts.) Schadensszenario 6: finanzielle Auswirkungen • Unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen • Manipulation von finanzwirksamen Daten in einem Abrechnungssystem • Ausfall eines Produktivsystems • Ausfall eine Webportals Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 33 / 58 Schutzbedarf Festlegung des Schutzbedarfs • Vorgehen: Beantworten von Fragen des Typs Was w¨are wenn ” . . .“ • Das BSI Grundschutzhandbuch liefert Hilfestellungen zur Bewertung der einzelnen Szenarien • Der ermittelte Schutzbedarf muss mit dem Ist-Zustand der IT-Infrastruktur verglichen werden Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 34 / 58 BSI Sicherheitsprozess Schutzbedarf Niedrige Einstufung Einstufung: niedrig bis mittel Szenario 1 2 Schaden und Folgen Verst¨oße gegen Gesetze haben nur geringf¨ugige Konsequenzen. Es kommt nur zu geringf¨ugigen Vertragsverletzungen Es liegt eine geringe tolerierbare Beeintr¨achtigung des informationellen Selbstbestimmungsrechts vor Ein Missbrauch personenbezogener Daten hat nur geringf¨ugige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verh¨altnisse des Betroffenen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 35 / 58 Schutzbedarf Niedrige Einstufung (Forts.) Einstufung: niedrig bis mittel Szenario 3 4 5 6 Schaden und Folgen Es gibt keine Beeintr¨achtigung der pers¨onlichen Unversehrtheit Die Beeintr¨achtigung der Aufgabenerf¨ullung ist tolerabel. Die maximal tolerierbare Ausfallzeit ist gr¨oßer als 24 Stunden Es ist eine geringe Beeintr¨achtigung des Ansehens und Vertrauens zu erwarten Der finanzielle Schaden ist tolerabel Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 36 / 58 BSI Sicherheitsprozess Schutzbedarf Sehr hohe Einstufung Einstufung: sehr hoch Szenario 1 2 Schaden und Folgen Es liegt ein fundamentaler Verstoß gegen Gesetze oder Richtlinien vor Es kommt zu Vertragsverletzungen, die mit sehr hohen Haftungssch¨aden verbunden sind Es kann zu einer großen Beeintr¨achtigung des informationellen Selbstbestimmungsrechts kommen. Ein m¨oglicher Missbrauch f¨uhrt f¨ur die betreffende Person zum gesellschaftlichen oder finanziellen Ruin Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 37 / 58 Schutzbedarf Sehr hohe Einstufung (Forts.) Einstufung: sehr hoch Szenario 3 4 5 6 Schaden und Folgen Es sind gravierende Beeintr¨achtigungen der pers¨onlichen Unversehrtheit m¨oglich. Es besteht Gefahr f¨ur Leib und Leben Die Beeintr¨achtigung der Aufgabenerf¨ullung wird als nicht tolerabel eingesch¨atzt. Die maximal tolerierbare Ausfall liegt unter 1 Stunde Es ist eine landesweite oder internationale Beeintr¨achtigung des Ansehens und Vertrauens m¨oglich Der finanzielle Schaden ist existenzbedrohend Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 38 / 58 BSI Sicherheitsprozess Schutzbedarf Bedrohungsanalyse • Ziel: Systematische Ermittlung der organisatorischen, technischen und benutzerbedingten Ursachen f¨ur Bedrohungen • Herausforderung: vollst¨andige Erfassung der Bedrohungen eines Systems • Voraussetzung: fundierte Kenntnisse u¨ber Sicherheitsprobleme und Schwachstellen von Betriebssystemen, Netzwerkkomponenten, . . . • Unterst¨utzung der methodischen Vorgehensweise durch . Bedrohungsmatrizen . Bedrohungsb¨aume Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 39 / 58 Schutzbedarf Bedrohungsmatrix • Eine Bedrohungsmatrix stellt die Beziehung zwischen m¨oglichen Bedrohungen und Subjekten als potentielle Gefahrenquelle dar • Die Zeilen enthalten die Bedrohungskategorien . Bedrohungen durch externe Angriffe . Bedrohungen der Datenintegrit¨at und der Informationsvertraulichkeit . Bedrohungen der Verf¨ugbarkeit und der Ressourcennutzung . Abstreiten durchgef¨uhrter Aktionen . Missbrauch erteilter Berechtigungen • Die Spalten enthalten die potentiellen Ausl¨oser der Bedrohungen . Administratoren . Programmierer . Interne Benutzer . Externe Benutzer Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 40 / 58 BSI Sicherheitsprozess Schutzbedarf Beispiel: Bedrohungsmatrix Bedrohung Angriff (extern) Angriff (intern) Verf¨ugbarkeit Programmierer Benutzer (intern) Denial of Ser- Beobachten vice der Passworteingabe Auslesen des Einschleusen Hauptspeichers von Malware SpeicherbeStart von Pronutzung zessen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Benutzer (extern) - Passwort knacken Erzeugen von Netzwerkverkehr Security Engineering 41 / 58 Schutzbedarf Bedrohungsbaum • Die Wurzel des Baums repr¨asentiert das Angriffsziel • Die internen Knoten stehen f¨ur die Teilaufgaben, die f¨ur einen erfolgreichen Angriff durchgef¨uhrt werden m¨ussen • Arten von Verkn¨upfungen . OR-Knoten eine der in den Kindknoten enthaltenen Angriffe muss ausgef¨uhrt werden . AND-Knoten alle in den Kindknoten enthaltenen Angriffe m¨ussen ausgef¨uhrt werden . Die Pfade von der Wurzel zu den Bl¨attern stellen verschiedene Angriffsarten dar, die letztlich das in der Wurzel festgelegte Ziel erreichen . Bedrohungsb¨aume werden auch Angriffsb¨aume genannt Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 42 / 58 BSI Sicherheitsprozess Schutzbedarf Beispiel: Bedrohungsbaum masquerade attack attack target decision node local login attack step remote login AND beyond technical scope valid login possession of the device login required without authentication stealing threaten owner blackmail owner appropriation AND auth data required auth token required without user’s assistance forgery stealing without biometrics with user’s assistance threaten owner Prof. Dr. C. Karg (HS Aalen) blackmail owner appropriation lost device unattended device threaten owner blackmail owner forgery disposed device Systemsicherheit BSI Sicherheitsprozess with biometrics Security Engineering 43 / 58 Risikoanalyse Risikobewertung • Formel: R = S × E , wobei . S H¨ohe des Schadens . E Eintrittswahrscheinlichkeit der Bedrohung • Arten von Sch¨aden . Prim¨arer Schaden Personalkosten, Kosten des Produktionsausfalls, Wiederbeschaffungskosten . Sekund¨arer Schaden Vertrauens- oder Imageverlust bei Kunden oder Gesch¨aftspartnern • Bestimmung der Eintrittswahrscheinlichkeit E . Komplexit¨at des Angriffs . Nutzen des Angriffs • Um E besser absch¨atzen zu k¨onnen, werden Penetrationtests eingesetzt • Einsatz von Angriffsb¨aumen zur Berechnung der Risiken Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 44 / 58 BSI Sicherheitsprozess Risikoanalyse Beispiel: Bedrohungsbaum sniffing of a user password Risk: very high MAX spy out the unencrypted access to stored terminal input network transmission password data Risk: low Risk: very high Risk: high Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 45 / 58 Risikoanalyse Empfehlungen des BSI • Die Durchf¨uhrung einer Risikoanalyse ist aufw¨andig und erfordert großen technischen und organisatorischen Sachverstand • Das BSI sieht aus diesem Grund die Risikoanalyse als erg¨anzende Maßnahme • Laut BSI sollte eine Risikoanalyse nur die Systemteile durchgef¨uhrt werden, deren Sicherheitsanforderungen hoch oder sehr hoch sind • F¨ur Systemteile mit niedrigen oder mittleren Sicherheitsanforderungen empfiehlt das BSI Standard-Sicherheitsmaßnahmen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 46 / 58 BSI Sicherheitsprozess Penetrationtests Penetrationtests • Penetrationtests werden durchgef¨uhrt, um die Erfolgsaussichten eines vors¨atzlichen Angriffs absch¨atzen zu k¨onnen • Vorgehen: Simulation des Angriffsverhaltens eines Innen- oder Außent¨aters • Zwei Ans¨atze: . Whitebox-Ansatz der Angreifer hat detaillierte Kenntnisse u¨ber die interne Struktur, Anwendungen und Dienste . Blackbox-Ansatz der Angreifer hat keine oder wenig Kenntnisse u¨ber die Internas des Unternehmens Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 47 / 58 Penetrationtests Aufbau eines Penetrationtests Typischerweise umfasst ein Penetrationtest folgende Arten von Angriffen: • Erraten von Passw¨ortern durch W¨orterbuchattacken • Aufzeichnen und Manipulieren des Netzwerkverkehrs • Einspielen gef¨alschter Datenpakete • Ausnutzen bekannter Software-Schwachstellen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 48 / 58 BSI Sicherheitsprozess Penetrationtests Vorgehensweise 1. Beschaffung von frei zug¨anglichen Informationen u¨ber das Zielobjekt 2. Ermittlung der angeboten Netzwerkdienste unter Einsatz von Portscannern oder ¨ahnlichen Werkzeugen 3. Einsatz von Fingerprinting, um Informationen u¨ber eingesetzte Betriebsysteme, Webserver, Webbrowser und sonstige Anwendungen zu gewinnen 4. Zugriff auf Schwachstellendatenbanken oder Internet-Ressourcen, um bekannte Schwachstellen zu ermitteln 5. Ausnutzen von identifizierten Schwachstellen, um systematisch unberechtigten Zugriff auf das Zielsystem zu erlangen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit BSI Sicherheitsprozess Security Engineering 49 / 58 Sicherheitsarchitektur und Betrieb Sicherheitsstrategie und -modell • Aus dem Ergebnis der Sicherheitsanalyse und der Risikobewertung werden die notwendigen Maßnahmen abgeleitet, um das IT-System vom aktuellen Ist-Zustand in den gew¨unschten Soll-Zustand zu u¨berf¨uhren • Die Maßnahmen werden in einer Sicherheitsstrategie m¨oglichst pr¨azise formuliert • Man kann auf Kriterienkataloge des BSI oder der EU (ITSEC) zur¨uckgreifen • Auf Basis der Sicherheitstrategie wird ein Sicherheitsmodell entworfen • Die Implementierung setzt die Vorgaben des Modells um • W¨ahrend und nach der Implementierung muss deren Korrektheit validiert werden Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 50 / 58 Sicherheitsgrundfunktionen Sicherheitsgrundfunktionen Sicherheitsgrundfunktionen sind g¨angige Maßnahmen zur Abwehr von Bedrohungen G¨angige Grundfunktionen sind: • Identifikation und Authentifikation • Rechteverwaltung • Rechtepr¨ufung • Beweissicherung • Wiederaufbereitung • Gew¨ahrleistung der Funktionalit¨at Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Sicherheitsgrundfunktionen Security Engineering 51 / 58 Identifikation und Authentifikation Identifikation und Authentifikation • Ziel: Abwehr von Maskierungsangriffen und unautorisierten Zugriffen • Anforderungen: . Subjekte m¨ussen eindeutig identifizierbar sein . Subjekte m¨ussen sich authentifizieren, um auf bestimmte Dienste zuzugreifen • Die Authentifizierung erfolgt mittels Passw¨ortern oder biometrischen Eigenschaften • Maßnahmen zur Abwehr systematischer Angriffsversuche sind beispielsweise Protokollierung von Verst¨oßen sowie Sperren des Accounts bei mehrmaligem gescheiterten Anmeldeversuchen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 52 / 58 Sicherheitsgrundfunktionen Rechteverwaltung Rechteverwaltung • Basis f¨ur die Abwehr von Bedrohung aufgrund unautorisierter Zugriffe • Ansatz: Der Zugriff eines Subjekts auf ein Objekt wird mit Berechtigungen geregelt • Die Vergabe von Zugriffsberechtigungen muss dynamisch sein • In der Regel wird ein rollenbasiertes Konzept angewandt, bei dem ein Subjekt die Berechtigungen erh¨alt, die seinem Aufgabengebiet zugeordnet sind • Owner Prinzip: der Eigent¨umer einer Datei darf die Zugriffsrechte vergeben Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Sicherheitsgrundfunktionen Security Engineering 53 / 58 Rechtepr¨ ufung Rechtepru¨fung • Die Kontrolle von Zugriffsberechtigung ist notwendig, um unautorisierte Zugriffe zu verhindern • Vollst¨andigkeitsprinzip: jeder Zugriff soll kontrolliert werden • Aber: vollst¨andige Kontrolle ist sehr aufw¨andig • Technische Umsetzung: File Handles oder File Descriptors, die den Zugriff legitimieren • Ausnahmen der Zugriffsregeln m¨ussen dokumentiert werden Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 54 / 58 Sicherheitsgrundfunktionen Beweissicherung Beweissicherung • Ziel: Sicherung von Beweisen . um die nachtr¨agliche Analyse von Systemen zu erm¨oglichen, bei denen Angriffe stattgefunden haben . um zu verhindern, dass Subjekte ausgef¨uhrte Aktionen im Nachhinein abstreite • Es ist festzulegen, welche Ereignisse protokolliert werden und welche Informationen dabei zu erfassen sind • G¨angige protokollierte Informationen sind: . Identit¨at des Subjekts . Ausgef¨uhrte Operationen . Dateizugriffe des Subjekts • Wichtig: es muss festgelegt werden, wer auf die Log-Dateien zugreifen darf Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Sicherheitsgrundfunktionen Security Engineering 55 / 58 Wiederaufbereitung Wiederaufbereitung • Ziel: Bereinigung von gemeinsamen, aber exklusiv benutzbaren Betriebsmitteln zur Verhinderung von Angriffen auf die Vertraulichkeit • Gemeinsam benutzte Betriebsmittel: . Hauptspeicher eines Computers . Festplattenspeicher und Netzwerklaufwerke . Gemeinsam benutzte Laptops • Bei Freigabe eines Betriebsmittels muss geregelt werden, wie es f¨ur die n¨achste Benutzung wiederaufbereitet wird Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 56 / 58 Sicherheitsgrundfunktionen Gew¨ ahrleistung der Funktionalit¨ at Gew¨ahrleistung der Funktionalit¨at • Ziel: Abwehr von Denial-Of-Service Angriffen • Ansatz: Festlegung, welche Funktionalit¨aten von welchen Systemkomponenten mit welcher Priorit¨at gew¨ahrleistet ist • Die Bereitstellung von redundanten Systemteilen verbessert die Verf¨ugbarkeit • Durch einen Notfallplan werden Prozesse festgelegt, die bei einem St¨orfall den operativen Betrieb aufrecht erhalten oder einen Notfallbetrieb erm¨oglichen Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 57 / 58 Zusammenfassung Zusammenfassung • Security Engineering besch¨aftigt sich mit der Entwicklung von Methodiken und Prozessen zur Etablierung von Sicherheitsmechanismen f¨ur IT-Infrastrukturen • Der Entwicklungsprozess besteht aus den Phasen Planen, Ausf¨uhren, Pr¨ufen und Anpassen • Das Grundschutzhandbuch des BSI liefert bew¨ahrte Ans¨atze f¨ur das Security Engineering • Security Engineering ist ein fortlaufender Prozess Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Security Engineering 58 / 58
© Copyright 2024