II.

Risikobewertung

Risiko ist ein Schlüsselkonzept in der Cybersicherheit. Teils wird das Risiko in der Cybersicherheit mit folgender Formel definiert: A + T + V = Risk. Dabei steht A für Asset, T für Threat und V für Vulnerability.

• Asset – Vermögenswert: Assets sind sensible Daten oder Mittel, um auf solche Daten zuzugreifen. Dabei kann es sich um private Informationen, Geräte oder Systemkomponenten handeln, die für den Nutzer von Wert sind.

• Threat – Bedrohung: Eine Bedrohung kann ein böswilliger Hacker, ein Krimineller oder ein Insider sein, der Informationen stiehlt, genauso aber auch technische Fehler oder Benutzerfehler, die ein Risiko für die Daten (Assets) dastellen.

• Vulnerability – Schwachstelle: Eine Schwachstelle kann die Vermögenswerte kompromittieren, beschädigen oder zerstören. Im Fall von Software ist eine Schwachstelle üblicherweise ein Mangel im Programmiercode (ein Bug) oder ein Mangel bei der Datenzugriffsverwaltung.

Die Normenreihe ISO 27000 für die IT-Sicherheit ergänzt die Definition um das Konzept der Folgen (Impact). Bei der Folgenabschätzung geht es um eine Gewichtung der Risiken. Ein Risiko mit hoher Wahrscheinlichkeit aber geringen Folgen könnte auf der Risiko-Prioritätenliste weiter unten stehen, ein Risiko mit geringer Wahrscheinlichkeit aber sehr weitreichenden Folgen hingegen weiter oben. Fügt man Impact zur Definition hin, ergibt sich die Formel V x T x I = Risk, wodurch die zahlreichen Facetten der Risikobewertung miteinbezogen werden.

Die meisten europäischen Unternehmen setzen auf die Normenreihe ISO 27000. Diese Normen enthalten bewährte Praktiken für das IT-Sicherheitsmanagement, üblicherweise mithilfe eines Informationssicherheits-Managementsystems (ISMS).

Die Normenreihe ISO 9000 gibt Normen für Qualitätssicherung und Qualitätsmanagement vor und schafft einen breiteren Rahmen, an dem sich viele Unternehmen orientieren.

Man sollte beachten, dass eine Schwachstelle nicht zwingend ein unbeabsichtigter Mangel wie ein unverschlossenes Fenster sein muss, sondern dass es auch bewusst geschaffene Schwachstellen gibt, die bei Computern Backdoor (Hintertür) genannt werden.

Arten von Schwachstellen

Es gibt viele verschiedene Arten von Schwachstellen, die eine große Bandbreite von Zielen und Methoden abdecken. Beispiele für Schwachstellen sind schlecht eingerichtete Zugangskontrollen, unzureichende Eingabeverarbeitung oder die Ausnutzung einer bekannten Schwäche eines Computerchips. Eine allgemeingültige Kategorisierung von Schwachstellen fällt schwer. Eine mögliche Klassifizierung findet sich in ISO-Norm 27005. Diese unterscheidet Schwachstellen basierend auf dem Vermögenswert.

• Hardware

  • Anfälligkeit für Feuchtigkeit oder Staub

  • Anfälligkeit bei ungeschützter Lagerung

  • Verschleiß, der zu Versagen führt

  • Überhitzung

• Software

  • Unzureichende Prüfung

  • Unsichere Programmierung

  • Kein Prüfpfad

  • Designfehler

• Netzwerk

  • Ungeschützte Kommunikation (keine oder unzureichende Verschlüsselung)

  • Unsichere Netzwerkarchitektur

• Personal

  • Inadäquater Personalbeschaffungsprozess

  • Inadäquates Sicherheitsbewusstsein

  • Bedrohung durch Insider

• Physischer Standort

  • Von Naturkatastrophen bedrohtes Gebiet (z. B. Überschwemmungen oder Erdbeben)

  • Unterbrechung der Stromversorgung

• Organisationsstruktur

  • Mangel an regelmäßigen Prüfungen

  • Mangel an Kontinuitätsplanung

  • Mangel an Sicherheit

Es ist wichtig, zu begreifen, dass Menschen für erstaunlich viele Schwachstellen verantwortlich sind. Methoden wie Social Engineering (soziale Manipulation, um an Informationen zu kommen) sind teils der einfachste Weg, um Zugang zu vertraulichen oder geheimen Informationen zu erlangen. Die Schwachstellen in der Klassifizierung zeigen, dass nicht immer böswillige Absicht dahintersteckt, sondern es auch natürliche Ursachen gibt. Naturkatastrophen wie Erdbeben und Überschwemmungen können zu Informationsverlust führen, der genauso kritisch sein kann wie der Diebstahl vertraulicher Informationen, wenn es keine funktionierende Sicherung gibt.

In diesem Kurs besprechen wir einige Arten von Schwachstellen, aber angesichts der Fülle davon können wir nicht alle abdecken. Für weitere Informationen zu verschiedenen Arten von Schwachstellen besuchen Sie diese Website.

Backdoors

Laut Microsoft ist eine Backdoor (Hintertür) „ein geheimer Zugang zum Computersystem, durch den sich Sicherheitsvorkehrungen umgehen lassen“.

Denken Sie an ein offenes Fenster in einem ansonsten abgeschlossenen Gebäude oder einen Ersatzschlüssel, der im Blumentopf versteckt ist. Auf diesem Wege kann jemand trotz der Sicherheitsvorkehrungen Zugang erhalten und das oft ohne Spuren zu hinterlassen. Eine Backdoor sollte von unberechtigten Nutzern nicht gefunden werden können.

Manche Systeme und Dienste verfügen über Standard-Benutzerkonten mit öffentlich bekannten Passwörtern und wenn diese versehentlich nicht geändert werden, ist das System anfällig für Angriffe. Bei einem gut geschützten Administratorkonto hingegen ist das Passwort nicht allgemein bekannt.

Hardware-Backdoors

Hintertüren gibt es nicht nur in der Software. Sie können sich auch in der Hardware befinden, z. B. im Motherboard des Computers.

Unberechtigte Zugriffe sind auch möglich, wenn nicht die gesamte Lieferkette sorgfältig überwacht wird. In diesem Fall kann ein Angreifer an einem schwachen Glied in der Kette eine Backdoor einbauen, ohne dass der Hersteller dies überhaupt bemerkt. Diese Art von Hintertür wird Supply-Chain-Backdoor genannt. Dabei handelt es sich um mehr als eine theoretische Möglichkeit – der US-Geheimdienst NSA hat tatsächlich auf diese Weise schon eine Backdoor installiert.

Im Microsoft Digital Defense Report von September 2020 schätzt Microsoft, dass 7 % der Sicherheitswarnungen im Zusammenhang mit Supply-Chain-Angriffen stehen.

Das Problem mit Backdoors

Das Hauptproblem einer Backdoor ist, dass sie zwingend geheim bleiben muss. Dies nennt man Security through Obscurity, „Sicherheit durch Verschleierung“. Wenn ein Angreifer die Hintertür entdeckt, kann er sie genauso nutzen wie ein berechtigter Nutzer. Zur Zeit üben Regierungen und Nachrichtendienste viel Druck auf Technologieunternehmen aus, damit diese in ihren Produkten Backdoors vorsehen, über die Behörden bei Ermittlungen oder zur Terrorismusbekämpfung Zugang haben. Wenn aber solche Backdoors eingebaut werden, ist die Wahrscheinlichkeit hoch, dass Unberechtigte sie entdecken und sie dadurch zu einem enormen Risiko für den Datenschutz werden.

Bedrohungsmodelle zur Risikobewertung

Sicherheitsexperten setzen auf verschiedene Methoden zur Risikobewertung, um das Risikopotenzial und die Folgen eines möglichen Vorfalls abzuschätzen. Im Bereich IT-Sicherheit spricht man oft von Bedrohungsmodellen. Die Erstellung solcher Modelle zielt darauf ab, potenzielle Bedrohungen und Risikominderungsmaßnahmen zu erkennen und zu priorisieren, um Vermögenswerte wie vertrauliche Daten oder geistiges Eigentum zu schützen.

Ein bekannter Rahmen für Bedrohungsmodelle ist das von Microsoft entwickelte Modell STRIDE. STRIDE ist ein Akronym für folgende Begriffe:

• Spoofing – Identitätsverschleierung

• Tampering – Manipulation von Daten oder Code

• Repudiation – Verleugnung einer Handlung

• Information Disclosure – Zugänglichmachen von Informationen für Unberechtigte

• Denial of Service – Verweigerung oder Einschränkungen des Dienstes für den Nutzer

• Elevation of Privilege – Rechteausweitung ohne entsprechende Berechtigung

All diese verschiedenen Bedrohungen werden hinsichtlich möglicher Angriffsvektoren bewertet. Angriffsvektoren sind Prozesse, Datenspeicher, Schnittstellen und Vertrauensgrenzen des Systems. STRIDE ist Teil der Erstellung von Bedrohungsmodellen im Rahmen des Microsoft Secure Deployment Lifecycle (SDL, Sicherheitsentwicklungszyklus). Mehr Informationen zu STRIDE finden Sie hier.