Cybersicherheit Was ist Cybersicherheit? Risikobewertung

II.

Risikobewertung

Risiko ist ein Schlüsselkonzept in der Cybersicherheit. Teils wird das Risiko in der Cybersicherheit mit folgender Formel definiert: A + T + V = Risk. Dabei steht A für Asset, T für Threat und V für Vulnerability.

  • Asset – Vermögenswert: Assets sind sensible Daten oder Mittel, um auf solche Daten zuzugreifen. Dabei kann es sich um private Informationen, Geräte oder Systemkomponenten handeln, die für den Nutzer von Wert sind.

  • Threat – Bedrohung: Eine Bedrohung kann ein böswilliger Hacker, ein Krimineller oder ein Insider sein, der Informationen stiehlt, genauso aber auch technische Fehler oder Benutzerfehler, die ein Risiko für die Daten (Assets) dastellen.

  • Vulnerability – Schwachstelle: Eine Schwachstelle kann die Vermögenswerte kompromittieren, beschädigen oder zerstören. Im Fall von Software ist eine Schwachstelle üblicherweise ein Mangel im Programmiercode (ein Bug) oder ein Mangel bei der Datenzugriffsverwaltung.

Die Normenreihe ISO 27000 für die IT-Sicherheit ergänzt die Definition um das Konzept der Folgen (Impact). Bei der Folgenabschätzung geht es um eine Gewichtung der Risiken. Ein Risiko mit hoher Wahrscheinlichkeit aber geringen Folgen könnte auf der Risiko-Prioritätenliste weiter unten stehen, ein Risiko mit geringer Wahrscheinlichkeit aber sehr weitreichenden Folgen hingegen weiter oben. Fügt man Impact zur Definition hin, ergibt sich die Formel V x T x I = Risk, wodurch die zahlreichen Facetten der Risikobewertung miteinbezogen werden.

Die meisten europäischen Unternehmen setzen auf die Normenreihe ISO 27000. Diese Normen enthalten bewährte Praktiken für das IT-Sicherheitsmanagement, üblicherweise mithilfe eines Informationssicherheits-Managementsystems (ISMS).

Die Normenreihe ISO 9000 gibt Normen für Qualitätssicherung und Qualitätsmanagement vor und schafft einen breiteren Rahmen, an dem sich viele Unternehmen orientieren.

Beispiel

Um einen Vergleich zur realen Welt zu ziehen: Ein Vermögenswert ist etwas Wertvolles bei Ihnen Zuhause, z. B. ein neuer Fernseher, eine Schwachstelle ist wie eine offene Tür, und eine Bedrohung ist ein Krimineller, der die Schwachstelle ausnutzt, was den Diebstahl Ihres Fernsehers zur Folge hat.

Ein Beispiel aus Online-Welt wäre, wenn man ein schwaches Passwort (Schwachstelle) nutzt, um sein Facebook-Konto (Asset) vor jemand zu schützen, der sich einloggen und Ihre Identität stehlen will (Bedrohung). Die Folge wäre in diesem Fall der Verlust Ihres Kontos und der darin enthaltenen Informationen.

In beiden Fällen existiert das Risiko nur, weil es einen Vermögenswert, eine Schwachstelle, eine Bedrohung und Folgen gibt.

Man sollte beachten, dass eine Schwachstelle nicht zwingend ein unbeabsichtigter Mangel wie ein unverschlossenes Fenster sein muss, sondern dass es auch bewusst geschaffene Schwachstellen gibt, die bei Computern Backdoor (Hintertür) genannt werden.

Arten von Schwachstellen

Es gibt viele verschiedene Arten von Schwachstellen, die eine große Bandbreite von Zielen und Methoden abdecken. Beispiele für Schwachstellen sind schlecht eingerichtete Zugangskontrollen, unzureichende Eingabeverarbeitung oder die Ausnutzung einer bekannten Schwäche eines Computerchips. Eine allgemeingültige Kategorisierung von Schwachstellen fällt schwer. Eine mögliche Klassifizierung findet sich in ISO-Norm 27005. Diese unterscheidet Schwachstellen basierend auf dem Vermögenswert.

  • Hardware

    • Anfälligkeit für Feuchtigkeit oder Staub

    • Anfälligkeit bei ungeschützter Lagerung

    • Verschleiß, der zu Versagen führt

    • Überhitzung

  • Software

    • Unzureichende Prüfung

    • Unsichere Programmierung

    • Kein Prüfpfad

    • Designfehler

  • Netzwerk

  • Personal

  • Physischer Standort

    • Von Naturkatastrophen bedrohtes Gebiet (z. B. Überschwemmungen oder Erdbeben)

    • Unterbrechung der Stromversorgung

  • Organisationsstruktur

    • Mangel an regelmäßigen Prüfungen

    • Mangel an Kontinuitätsplanung

    • Mangel an Sicherheit

Es ist wichtig, zu begreifen, dass Menschen für erstaunlich viele Schwachstellen verantwortlich sind. Methoden wie Social Engineering (soziale Manipulation, um an Informationen zu kommen) sind teils der einfachste Weg, um Zugang zu vertraulichen oder geheimen Informationen zu erlangen. Die Schwachstellen in der Klassifizierung zeigen, dass nicht immer böswillige Absicht dahintersteckt, sondern es auch natürliche Ursachen gibt. Naturkatastrophen wie Erdbeben und Überschwemmungen können zu Informationsverlust führen, der genauso kritisch sein kann wie der Diebstahl vertraulicher Informationen, wenn es keine funktionierende Sicherung gibt.

In diesem Kurs besprechen wir einige Arten von Schwachstellen, aber angesichts der Fülle davon können wir nicht alle abdecken. Für weitere Informationen zu verschiedenen Arten von Schwachstellen besuchen Sie diese Website.

Ein Laptop mit offener Hintertür auf der Rückseite des Bildschirms
Ein Laptop mit offener Hintertür auf der Rückseite des Bildschirms

Backdoors

Laut Microsoft ist eine Backdoor (Hintertür) „ein geheimer Zugang zum Computersystem, durch den sich Sicherheitsvorkehrungen umgehen lassen“.

Denken Sie an ein offenes Fenster in einem ansonsten abgeschlossenen Gebäude oder einen Ersatzschlüssel, der im Blumentopf versteckt ist. Auf diesem Wege kann jemand trotz der Sicherheitsvorkehrungen Zugang erhalten und das oft ohne Spuren zu hinterlassen. Eine Backdoor sollte von unberechtigten Nutzern nicht gefunden werden können.

Manche Systeme und Dienste verfügen über Standard-Benutzerkonten mit öffentlich bekannten Passwörtern und wenn diese versehentlich nicht geändert werden, ist das System anfällig für Angriffe. Bei einem gut geschützten Administratorkonto hingegen ist das Passwort nicht allgemein bekannt.

Hardware-Backdoors

Hintertüren gibt es nicht nur in der Software. Sie können sich auch in der Hardware befinden, z. B. im Motherboard des Computers.

Unberechtigte Zugriffe sind auch möglich, wenn nicht die gesamte Lieferkette sorgfältig überwacht wird. In diesem Fall kann ein Angreifer an einem schwachen Glied in der Kette eine Backdoor einbauen, ohne dass der Hersteller dies überhaupt bemerkt. Diese Art von Hintertür wird Supply-Chain-Backdoor genannt. Dabei handelt es sich um mehr als eine theoretische Möglichkeit – der US-Geheimdienst NSA hat tatsächlich auf diese Weise schon eine Backdoor installiert.

Im Microsoft Digital Defense Report von September 2020 schätzt Microsoft, dass 7 % der Sicherheitswarnungen im Zusammenhang mit Supply-Chain-Angriffen stehen.

Beispiel

Supply-Chain-Angriffe betreffen nicht nur Hardware. Eine möglicherweise noch schädlichere Methode besteht darin, den Dienst eines Unternehmen zu kapern und die Softwareaktualisierungen zu verändern, die an die Nutzer geliefert werden. Eine solche Attacke wurde im Dezember 2020 aufgedeckt, als SolarWinds (ein Unternehmen für Netzwerkmanagement-Lösungen) gehackt wurde. Dabei wurde in die Software des Unternehmens eine Backdoor eingebaut, über die der Angreifer oder jeder mit Kenntnis davon Zugang zu allen Unternehmen hatte, die die Softwareaktualisierung installiert hatten. Wie SolarWinds zugab, hatten knapp 18.000 Unternehmen das Update installiert.

Zu den wichtigsten Kunden – und wahrscheinlich wahren Zielen – gehörte die Mehrzahl von US-Regierungsbehörden und deren Netzwerke. Auch das US-Verteidigungsministerium war betroffen. Es wird vermutet, dass eine russische APT-Gruppe namens Cozy Bear hinter dem Angriff steckte, doch dies konnte nicht nachgewiesen werden.

Das Problem mit Backdoors

Das Hauptproblem einer Backdoor ist, dass sie zwingend geheim bleiben muss. Dies nennt man Security through Obscurity, „Sicherheit durch Verschleierung“. Wenn ein Angreifer die Hintertür entdeckt, kann er sie genauso nutzen wie ein berechtigter Nutzer. Zur Zeit üben Regierungen und Nachrichtendienste viel Druck auf Technologieunternehmen aus, damit diese in ihren Produkten Backdoors vorsehen, über die Behörden bei Ermittlungen oder zur Terrorismusbekämpfung Zugang haben. Wenn aber solche Backdoors eingebaut werden, ist die Wahrscheinlichkeit hoch, dass Unberechtigte sie entdecken und sie dadurch zu einem enormen Risiko für den Datenschutz werden.

Note

Tipps für den Umgang mit Backdoors

Es ist extrem schwierig, sich vor einer Backdoor zu schützen, wenn man gar nicht weiß, ob sie existiert. Auf jeden Fall empfiehlt es sich, das Standardpasswort von Geräten wie WLAN-Routern zu ändern. Zudem sollten Sie die Gästekonten, die einige Betriebssysteme bieten, deaktivieren.

Bedrohungsmodelle zur Risikobewertung

Sicherheitsexperten setzen auf verschiedene Methoden zur Risikobewertung, um das Risikopotenzial und die Folgen eines möglichen Vorfalls abzuschätzen. Im Bereich IT-Sicherheit spricht man oft von Bedrohungsmodellen. Die Erstellung solcher Modelle zielt darauf ab, potenzielle Bedrohungen und Risikominderungsmaßnahmen zu erkennen und zu priorisieren, um Vermögenswerte wie vertrauliche Daten oder geistiges Eigentum zu schützen.

Ein bekannter Rahmen für Bedrohungsmodelle ist das von Microsoft entwickelte Modell STRIDE. STRIDE ist ein Akronym für folgende Begriffe:

  • Spoofing – Identitätsverschleierung

  • Tampering – Manipulation von Daten oder Code

  • Repudiation – Verleugnung einer Handlung

  • Information Disclosure – Zugänglichmachen von Informationen für Unberechtigte

  • Denial of Service – Verweigerung oder Einschränkungen des Dienstes für den Nutzer

  • Elevation of Privilege – Rechteausweitung ohne entsprechende Berechtigung

All diese verschiedenen Bedrohungen werden hinsichtlich möglicher Angriffsvektoren bewertet. Angriffsvektoren sind Prozesse, Datenspeicher, Schnittstellen und Vertrauensgrenzen des Systems. STRIDE ist Teil der Erstellung von Bedrohungsmodellen im Rahmen des Microsoft Secure Deployment Lifecycle (SDL, Sicherheitsentwicklungszyklus). Mehr Informationen zu STRIDE finden Sie hier.

Part summary

Nach Abschluss von Kapitel 1 sollten Sie in der Lage sein:

  • die Grundlagen der Cybersicherheit einschließlich deren Definition und Bedeutung zu erläutern;

  • zu erklären, was ein Hacker ist;

  • zu verstehen, was der Begriff „Risiko“ in der Cybersicherheit bedeutet.

You reached the end of Chapter 1

Correct answers

0%

Exercises completed

0/0

Next Chapter
2. Identität und Datenschutz

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Dieser Kurs entstand im Rahmen der Initiative Digital SkillUp, dem Markennamen für die Ergebnisse des Projekts European Digital Academy, das von der Europäischen Kommission mit Unterstützung des Europäischen Parlaments gefördert wird. Ziel des Projekts ist es, Bürgern und KMU Grundkenntnisse zu neu entstehenden Technologien zu vermitteln. Es umfasst einen Online-Lernbereich für alle mit Inhalten und Angeboten zu Themen wie KI, Blockchain, Robotik, Cybersicherheit und Internet der Dinge.

Dieses Projekt wurde durch die Europäische Union gefördert. Diese Mitteilung stellt lediglich die Meinung des Autors dar. Es stellt nicht die Meinung der Europäischen Kommission dar und die EK ist nicht verantwortlich für die Nutzung der darin enthaltenen Informationen.