Definition der Sicherheitslandschaft

Sicherheitshandbuch Windows 2000 - Einführung

Aktualisiert: 22. Mrz 2004
Auf dieser Seite
Modulübersicht Modulübersicht
Zielsetzung Zielsetzung
Betrifft Betrifft
Der Nutzen dieses Moduls Der Nutzen dieses Moduls
Komponenten der Sicherheitsrisikenverwaltung Komponenten der Sicherheitsrisikenverwaltung
Ressourcen Ressourcen
Beziehung zwischen Bedrohungen, Sicherheitslücken und Gegenmaßnahmen Beziehung zwischen Bedrohungen, Sicherheitslücken und Gegenmaßnahmen
Klassifizierung von Bedrohungen Klassifizierung von Bedrohungen
Ausnutzen von Schwächen Ausnutzen von Schwächen
Angriffsmethoden Angriffsmethoden
Sicherheitslücken Sicherheitslücken
Risiken Risiken
Gegenmaßnahmen Gegenmaßnahmen
Zusammenfassung Zusammenfassung
Weitere Informationen Weitere Informationen

Modulübersicht

Dieses Modul bietet eine Einführung in die wesentlichen Fragen der Unternehmenssicherheit. Es werden zahlreiche Gefährdungen und Risiken im Bereich Sicherheitsverletzung charakterisiert und analysiert sowie geeignete Gegenmaßnahmen aufgezeigt. Dieses Modul stellt die Terminologie vor, die zur Beschreibung und Analyse von Sicherheitsrisiken verwendet wird, und zeigt Ihnen, wie Sie eine vorläufige Sicherheitsanalyse durchführen.

Zielsetzung

Darstellung der Zusammenhänge zwischen Bedrohungen, Sicherheitslücken sowie entsprechende Gegenmaßnahmen.

Erklärung der Terminologie zur Beschreibung und Analyse von Sicherheitsrisiken.

Bestimmung wesentliche Fragen bei der Analyse von Sicherheitsrisiken und -richtlinien.

Durchführen einer vorläufigen Sicherheitsanalyse.

Betrifft

Die Informationen in diesem Modul gelten für folgende Produkte und Technologien:

Die gesamte IT-Infrastruktur

Der Nutzen dieses Moduls

Dieses Modul enthält Informationen, die Ihnen das Verständnis für Themen der Sicherung bestimmter IT-Komponenten erleichtert. Dieses Modul dient als Grundlage und Referenz.

Komponenten der Sicherheitsrisikenverwaltung

Strategien

Sicherheit ist eine Gratwanderung zwischen Zugriffssteuerung und der einfachen Verwendbarkeit von Ressourcen in der Organisation. Ein Sicherheitsprogramm, das sowohl die Verwaltung Benutzer ein-, als auch Angriffe beschränkt, kann zeitaufwendig und kostenintensiv sein. Ein sehr strenges Sicherheitsprogramm mit zu vielen Richtlinien kann für die Arbeitseffektivität der Benutzer hinderlich sein.

Demgegenüber kann ein zu nachlässiges Sicherheitsprogramm dazu führen, dass die Benutzer die Wichtigkeit der Sicherheitsaspekte am Arbeitsplatz unterschätzen und dadurch weitere Schwachstellen für Angreifer bieten. Die Aufklärung über die Bedeutung der Sicherheit in der Organisation ist unbedingt notwendig, um weitere politische Fragen zu vermeiden. Wenn Sicherheitsprivilegien, -richtlinien und -pläne nur halbherzig implementiert werden, sind künftige Probleme vorprogrammiert. Wenn Qualität bei IT-Projekten ein wesentliches Merkmal darstellt, während Null-Fehlertoleranz als Prinzip gilt, so sollten bei der Sicherung der Organisation die gleichen Prinzipien greifen.

Einen entscheidenden Erfolgsfaktor für den Aufbau einer sicheren Infrastruktur stellt die Entwicklung einer effektiven Verwaltung für Sicherheitsrisiken dar. Durch eine effektive Identifizierung, Beurteilung, Verwaltung, Reduzierung und Beseitigung von Risiken sowie durch Notfallpläne kann die Wahrscheinlichkeit verringert werden, dass ein bestimmtes Risiko auftaucht. Darüber hinaus können Auswirkungen und Folgen minimiert werden, sollte das Sicherheitsrisiko erkannt werden.

Eine sicherheitsspezifische Risikoanalyse legt kritische Sicherheitsfragen offen, auf die geachtet werden muss, und die entsprechende Maßnahmen erfordern. Ein Sicherheitsrisiko tritt auf, wenn eine Bedrohung eine Sicherheitslücke ausnutzt, die eine Ressource in der Organisation beschädigen kann. Das Erstellen von Plänen zur Risikoreduzierung und Notfallplänen ermöglicht das Entwerfen von Sicherheitsrichtlinien und -verfahren, um eine proaktive und reaktive Verwaltung von Sicherheitsrisiken zu ermöglichen.

Die Bedeutung der Implementierung, Durchführung und ständigen Optimierung der Sicherheitspläne in der Organisation nimmt ständig zu, da sich die Technologie weiterentwickelt und neue Methoden zum Ausnutzen der Schwächen gefunden werden. Die Sicherheitsprogramme müssen im Laufe der Zeit geändert werden, da kontinuierlich auf die Überwachung ihrer Effektivität geachtet und ermittelt werden muss, wann neue Richtlinien und Verfahren erforderlich sind. Sicherheitsprogramme müssen in Reaktionsplänen für Zwischenfälle zudem mögliche rechtliche Faktoren berücksichtigen. Diese müssen sich an der Firmenumgebung orientieren, weil eine gerichtliche Verfolgung aufgrund fehlender Sicherheit ein schwerwiegendes Problem darstellen kann.

Die entstehenden Kosten lassen sich einfach durch eine sorgfältige und detaillierte Ressourcenbewertung ermitteln. Die Investitionskosten für die Risikoreduzierung müssen auch im Hinblick auf die möglichen Auswirkungen abgewogen werden, die bei der Beschädigung oder Gefährdung einer Ressource entstehen. Das Erreichen dieses Ziels wird im Modul "Einführung in die Sicherheitsrisikenverwaltung (SRMD - Security Risk Management Discipline)" beschrieben. Dort finden Sie hilfreiche Informationen darüber, wie Ihre Organisation die geeignete Balance zwischen Kosten und Risiko finden kann.

Wenn der Verlust vertraulicher Firmendaten in Ihrer Organisation die Produktivität oder den Gewinn erheblich beeinträchtigt, können die erforderlichen Investitionen in deren Schutz beträchtlich sein. Wenn der Verlust von Daten keinen Schaden für die Organisation verursacht, benötigen solche Daten nur einen minimalen Schutz, womit auch die Investitionskosten geringer ausfallen.

Bei der Einschätzung von Sicherheitsrisiken müssen die folgenden acht grundlegenden Faktoren berücksichtigt werden:

Sicherheitsanforderungen für Ressourcen. Definieren Sie alle Komponenten der Organisationsinfrastruktur, die in irgendeiner Hinsicht geschützt werden müssen, zum Beispiel Systeme, Netzwerke, Anwendungen und Unternehmensdaten. Die Ressourcenbewertung muss quantitativ und qualitativ erfolgen, um Gegenmaßnahmen oder Vorsichtsmaßnahmen richtig zu planen.

Bedrohungsanalyse. Stellen Sie eine Liste mit den bekannten Möglichkeiten auf, Schwächen auszunutzen, und ermitteln Sie die Wahrscheinlichkeit der jeweils entstehenden möglichen Bedrohung. Eine Schwäche kann von einer Bedrohung dazu verwendet werden, eine Sicherheitslücke in der Umgebung auszunutzen. Für eine korrekte Bedrohungsanalyse muss eine Liste der größten Bedrohungen in der Umgebung zusammengestellt werden. Eine Bedrohung bildet eine potenzielle Gefahr für Daten oder Systeme in der Umgebung. Bei der Bedrohung handelt es sich um eine Person oder einen Prozess, die beziehungsweise der das Netzwerk über einen verwundbaren Port in der Firewall angreift, oder um einen Prozess, der beim Datenzugriff eine Sicherheitsrichtlinie verletzt.

Identifikation der Gefährdungen. Analysieren Sie den prozentualen Ressourcenverlust, der durch jede offen gelegte Bedrohung verursacht wird. Das Identifizieren und Definieren des potenziellen Wertverlusts jedes Angriffs ist ein wesentlicher Bestandteil der Analyse von Sicherheitsrisiken.

Einschätzung der Verwundbarkeit. Entwickeln Sie eine umfassende Liste aller Sicherheitslücken, die für die betreffenden Ressourcen in Frage kommen. Bei einer Sicherheitslücke handelt es sich um eine Schwachstelle in einem Informationssystem oder in dessen Komponenten (zum Beispiel Sicherheitsverfahren im System, Hardware- und Softwaredesign, interne Steuerelemente und so weiter), die ausgenutzt werden kann.

Entwicklung von Gegenmaßnahmen. Entwickeln Sie für alle Sicherheitsrisiken geeignete Gegenmaßnahmen, die im Unternehmen sinnvoll sind, das heißt, die die Ressourcen in der Organisation kostengünstig schützen.

Simulation von Eindringversuchen (Penetration Test). Identifizieren Sie mit Hilfe solcher Tests die Möglichkeiten, mit denen eine unberechtigte Person Zugriff auf die Organisation erlangen kann. Zu den gebräuchlichen Methoden für solche Testverfahren zählen:

Externes Scannen von Ressourcen, um mögliche Ziele festzustellen, die gefährdet werden können.

Identifizieren ungeschützter IP-Adressen anhand der IP-Ermittlung. Durch die IP-Ermittlung zu Angriffszwecken (War Pinging) kann ein Hacker einen IP-Adressbereich suchen und feststellen, welche Adressen verwendet werden beziehungsweise in der festgelegten Zeit antworten. Die Ergebnisse können als CSV-Dateien gespeichert und in Datenbanken importiert werden.

Die Suche nach Personen, die dazu verleitet werden könnten, ihre Passwörter oder andere Sicherheitsinformationen offen zu legen, die versehentlich klassifizierte Informationen zur Verfügung stellen können.

Das Eindringen in Gebäude, um festzustellen, ob der physische Zugang zu den Einrichtungen leicht möglich ist.

Diese Tests sind nützlich, um die Beachtung zu erhöhen, die eine Organisation den Sicherheitsrichtlinien widmet. Eine wesentliche Überlegung bei Penetration Tests besteht darin, eine vertrauenswürdige externe Person für die Durchführung der Tests zu finden.

Reaktion auf Zwischenfälle. Ein guter Reaktionsplan für Zwischenfälle enthält spezielle Vorgehensweisen, die bei einem Angriff auf die Organisation befolgt werden müssen. In der Regel bestimmen die spezifischen Angriffssymptome die Reihenfolge, in der die im Sicherheitsprogramm definierten Verfahren durchgeführt werden müssen. Um möglichst zeitnah auf einen Zwischenfall zu reagieren, sind die unmittelbaren Verfahren den zeitaufwendigeren Szenarien vorzuziehen.

Umfang der Arbeitsaufwendungen für den Schutz von Ressourcen. Definieren Sie den erforderlichen Gesamtarbeitsumfang, zum Beispiel Zeit, Aufwand und Kosten, um eine "ausreichende" Sicherheit zu gewährleisten und die Gesamtinfrastruktur aus der Sicht von Supportpersonal und Endbenutzern der Organisation nutzbar zu gestalten. Auf der Grundlage einer ordnungsgemäßen Analyse von Sicherheitsrisiken in Verbindung mit der Ressource sollte eine Kosten-Nutzen-Analyse für eine bestimmte Sicherheitsmaßnahme in Bezug auf die Gesamtbetriebskosten (Total Cost of Ownership oder TCO) beziehungsweise die Kapitalrendite (Return On Investment oder ROI) der Organisation erarbeitet werden.

Ressourcen

Der Begriff Ressource deckt alles in der Unternehmensumgebung ab, das einen gewissen Schutz benötigt. Dabei kann es sich um Bestandswerte wie Softwareanwendungen oder Hardware sowie um Sachwerte wie Daten oder sogar Personen handeln. Das Ziel der Sicherheit besteht darin, eine Gefährdung von Ressourcen zu verhindern und die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu schützen. Alle Unternehmen sind vielen Risiken ausgesetzt, die Schäden verursachen und zu einer Manipulation von Daten führen können, so dass die Integrität der Unternehmensdaten beeinträchtigt wird.

Ein wesentlicher Aspekt bei der Verwaltung von IT-Sicherheitsrisiken ist das Ermitteln des Werts der wichtigsten Ressourcen in der Organisation, des Werts der in den einzelnen Ressourcen enthaltenen Daten und die gegenseitige Beziehung der einzelnen Ressourcen in der Umgebung. Wenn beispielsweise kritische Unternehmensdaten auf dem Webserver einer Firma gefährdet werden, kann der Unternehmenswert sinken. Ein gefährdeter Router kann von allen Zweigniederlassungen der Firma Verbindungen zum Rechenzentrum der Firma herstellen.

Der den einzelnen Ressourcen zugeordnete Gesamtwert hängt vom erforderlichen Sicherheitsniveau ab und bestimmt Zeit, Aufwand und Kosten für einen adäquaten Schutz der Ressource. Bedenken Sie, dass eine Abhängigkeit von gewissen Ressourcen besteht. Betrachten Sie die Authentifizierung dieser Ressourcen oder die Autorisierung des Zugriffs von Benutzern auf die einzelnen Ressourcen und die gefährdeten Daten. Ein unsicheres Passwort auf dem tragbaren Computer des Leiters der Technologieabteilung kann beispielsweise zu einem bedeutenden finanziellen Risiko führen, wenn das Kennwort gefährdet ist.

Die Ressourcen selbst müssen gemäß den jeweils erforderlichen Schutzmaßnahmen ebenfalls klassifiziert werden. Diese Maßnahmen umfassen:

Prävention : Maßnahmen, die eine Beschädigung, eine Änderung oder einen Diebstahl von Ressourcen verhindern. Präventive Maßnahmen reichen von einer verschlossenen Serverraumtür bis hin zu übergeordneten Sicherheitsrichtlinien.

Erkennung : Maßnahmen, die eine Erkennung von Beschädigung, Änderung, Diebstahl oder anderweitiger Gefährdung ermöglichen. Erkennungsmaßnahmen umfassen auch Mechanismen zum Ermitteln, wie eine Ressource kompromittiert und wodurch der Schaden verursacht wurde. Es stehen verschiedene Tools zur Verfügung, die die Erkennung von Störungen, Schäden, Änderungen und Viren unterstützen.

Reaktion : Maßnahmen, die die Wiederherstellung der Ressourcen ermöglichen, auch wenn eine Ressource verloren oder beschädigt wurde.

Diese Klassifikation von Schutzmaßnahmen muss mit den verschiedenen Arten von Gegenmaßnahmen abgestimmt werden. Gegen- oder Schutzmaßnahmen helfen dabei, das Risiko der Gefährdung einer Ressource zu reduzieren. Eine Gegenmaßnahme soll eine Sicherheitslücke beseitigen oder das Risiko einer Bedrohung reduzieren, dass eine verwundbare Stelle in einer Computerumgebung ausgenutzt wird.

Um Gegenmaßnahmen zum Schutz der Organisationsressourcen zu schaffen, müssen Sie zunächst wissen, wie die Ressourcen der Organisation gefährdet werden können, indem die relevanten Bedrohungen und Risiken definiert werden. Die folgende Liste enthält fünf Grundsätze, die bei der Entwicklung eines Sicherheitsprogramms für den Schutz der Unternehmensressourcen beachtet werden müssen. Die einzelnen Grundsätze müssen gemäß den Firmenanforderungen bewertet werden.

Vertraulichkeit. Vertraulichkeit wird aufrechterhalten, indem nur Personen mit entsprechenden Berechtigungen Zugriff auf die Daten erhalten. Vertraulichkeit stellt sicher, dass an allen Verbindungsstellen der Datenverarbeitung die erforderliche Geheimhaltung durchgesetzt wird, um eine nicht autorisierte Offenlegung zu verhindern. Ein Beispiel für unzureichende Sicherheitsmaßnahmen wäre das Zulassen des anonymen Zugriffs auf vertrauliche Daten, zum Beispiel die Freigabe von Dateien der Personalabteilung.

Integrität. Integrität bedeutet Schutz der Genauigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden. Die Integrität wird gewährleistet, wenn die Genauigkeit und Zuverlässigkeit der Informationen in der Systemumgebung aufrechterhalten und die nicht autorisierte Änderung von Daten verhindert wird. Die Speicherung falscher Daten im System kann genauso schädlich sein wie der Verlust von Daten.

Authentifizierung. Authentifizierung bezeichnet die Überprüfung der vorgegebenen Identität von Benutzern bei der Systemanmeldung. In der Regel wird diese Authentifizierung durch Benutzernamen und Kennwörter erreicht. Zu den komplexeren Authentifizierungsmethoden zählen Smartcards oder biometrische Authentifizierungstools, zum Beispiel Fingerabdrücke und Abtasten der Netzhaut.
Die Authentifizierung gewährt dem Benutzer keine Zugriffsrechte auf Ressourcen. Dies erfolgt durch die Autorisierung. Bei fehlender Authentifizierung kann nicht festgestellt werden, welche Person auf die Ressource zugreift.

Autorisierung. Autorisierung ist das Recht, das Personen oder Prozessen gewährt wird, das System und die darin gespeicherten Daten zu verwenden. Die Autorisierung wird normalerweise von einem Systemadministrator eingerichtet und durch einen Computer in der Umgebung anhand einer Benutzerkennung überprüft, zum Beispiel PIN, Codenummer oder Passwort.
Bei einem Autorisierungsvorgang wird anhand der entsprechenden Sicherheitsautorität ermittelt, ob ein Benutzer auf Ressourcen zugreifen darf. Bei fehlender Autorisierung kann nicht festgestellt werden, welche Person auf die Ressource zugreift.

Beziehung zwischen Bedrohungen, Sicherheitslücken und Gegenmaßnahmen

Wenn ein Angreifer (Person oder Programm) Anlass zu einer Bedrohung gibt und eine Sicherheitslücke ausnutzt, führt der Angriff zu einer möglichen Gefährdung der Sicherheit. Der Angriff kann dann die Ressource beschädigen, indem deren Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt wird. Der Angriff führt daher möglicherweise zu Unternehmensverlusten. Diese Gefährdungen können jedoch durch den Einsatz von Gegenmaßnahmen minimiert werden. Wenn in einem Unternehmen beispielsweise nur auf den Servern eine Antivirensoftware installiert ist und die Virensignaturen nicht auf dem aktuellen Stand sind, entsteht eine Sicherheitslücke. Das Unternehmen wird durch Virenangriffe und die Bedrohung eines auftretenden Virus in der Umgebung, der die Produktion unterbricht, verwundbar.
Das Risiko liegt in der Wahrscheinlichkeit, dass ein Virus in der Umgebung auftritt und Schaden verursacht. Da die Möglichkeit besteht, dass Daten durch einen Virusangriff verloren gehen oder beschädigt werden, ist das Unternehmen gefährdet. In dieser Situation muss durch Gegenmaßnahmen sichergestellt werden, dass Antivirensoftware auf allen Computern in der Umgebung installiert ist und die Signaturen auf allen Computern auf dem aktuellen Stand sind.

Die Begriffe der Sicherheitsverwaltung sind bisweilen schwer verständlich. Die folgende Tabelle enthält daher eine Übersicht über die wichtigsten Sicherheitskomponenten der Sicherheitsverwaltung.

Tabelle 1: Wichtige Sicherheitskomponenten

Komponente Definition

Bedrohung

Eine Bedrohung ist eine Gefahr für Informationen oder Systeme.

Angreifer

Die Person oder der Prozess, die beziehungsweise der das Netzwerk über einen verwundbaren Port in der Firewall angreift, oder ein Prozess, der beim Datenzugriff eine Sicherheitsrichtlinie verletzt.

Sicherheitslücken

Eine Sicherheitslücke ist eine Schwachstelle in Software, Hardware oder Verfahren, die einem Angreifer die Möglichkeit bietet, in einen Computer oder ein Netzwerk einzudringen und nicht autorisierten Zugriff auf Ressourcen in der Umgebung zu erlangen.

Risiko

Ein Risiko ist die Wahrscheinlichkeit, dass ein Angreifer eine Sicherheitslücke ausnutzt. Ein Risiko ist die Möglichkeit von Verlusten oder die Wahrscheinlichkeit, dass eine Bedrohung eine verwundbare Stelle ausnutzt.

Gefährdung

Ein Angreifer legt eine Unternehmensressource für einen potenziellen Verlust offen. Eine Sicherheitslücke kann dazu führen, dass eine Organisation möglichen Schäden ausgesetzt ist.

Gegenmaßnahme

Eine Gegen- oder Schutzmaßnahme reduziert ein Risiko. Gegenmaßnahmen umfassen Softwarekonfigurationen, Hardware oder Verfahren, die eine Sicherheitslücke beseitigen oder das Risiko reduzieren, dass Angreifer eine verwundbare Stelle ausnutzen.

Die Beziehung zwischen Bedrohungen, Sicherheitslücken und Risiken kann zunächst schwer verständlich sein. Alle Bedrohungen und Sicherheitslücken, die in Ihrer Organisation festgestellt werden, müssen qualifiziert und mit einem einheitlichen Bewertungssystem versehen werden (zum Beispiel gering, mittel, hoch). Das Bewertungssystem variiert je nach Organisation und manchmal sogar innerhalb einer Organisation. Die Bedrohung durch ein Erdbeben ist für Büros in der Nähe einer Verwerfungslinie größer als anderswo. Gleichermaßen ist die Verwundbarkeit durch einen physischen Geräteschaden bei Organisationen sehr groß, die empfindliche und zerbrechliche Elektronik herstellen, während die gleiche Verwundbarkeit für eine Baufirma geringer ist.

Die Risikomanagementmatrix unterstützt Sie bei der Auswertung von Bedrohungen und deren Auswirkung auf Ihre Organisation. Das Risiko in Ihrer Organisation steigt proportional zu Bedrohung und Verwundbarkeit (siehe folgende Abbildung).

Matrix zur Risikobewertung

Abbildung 1
Matrix zur Risikobewertung

Die Risikomanagementmatrix kann wie nachfolgend beschrieben als Tool verwendet werden. Ihre Firma verfügt beispielsweise über zwei verschiedene Arten von Websites: eine reine Informationssite ohne Profitorientierung sowie eine Transaktionssite für Finanzdienstleistungen, die Ihren Kunden durchgängige Kauftransaktionen ermöglicht.

Jede Website weist ein unterschiedliches Risikoniveau auf. Das Bedrohungsniveau der Informationswebsite ist gering, da sie keine Informationen enthält, die für einen funktionierenden Geschäftsbetrieb ausschlaggebend sind. Durch Verlust oder Beschädigung dieser Daten wird der Geschäftsbetrieb nicht wesentlich beeinträchtigt. Reine Informationswebsites verfügen auch über eine geringe Verwundbarkeit, sofern die aktuellen Service Packs und Hotfixes auf den Servern installiert sind. Die Informationswebsite gehört daher in den Quadranten Geringes Risiko.

Die Website für Finanzdienstleistungen wird demgegenüber in den Quadranten Mittleres Risiko oder Hohes Risiko eingruppiert. Die Angreifer können umfassend profitieren, wenn die Finanzdaten offen gelegt oder gestohlen werden, so dass die Bedrohung groß ist. Wenn auf den Webservern jedoch die entsprechenden Service Packs und Hotfixes installiert sind, ist diese Website weniger verwundbar, und die Webseite wird in den Quadranten Mittleres Risiko zurückgestuft. Fehlen auf den Webservern die aktuellen Service Packs und Hotfixes, ist die Website sehr verwundbar und wird höher eingestuft in den Quadranten Hohes Risiko.

In der folgenden Abbildung ist ein theoretisches Modell dargestellt, mit dem die verschiedenen Bedrohungen, Motive sowie Ziele, Methoden und Möglichkeiten zum Ausnutzen von Schwächen und Sicherheitslücken ermittelt werden können, die bei einem Angriff auf Ihre Organisation verwendet werden können.

Der Weg zur Gefährdung einer Ressource

Abbildung 2
Der Weg zur Gefährdung einer Ressource

In der obigen Abbildung wird die Gefährdung von Ressourcen durch Angreifer einfach und logisch veranschaulicht. Links im Bild sind die drei Bedrohungsarten klassifiziert. Die Klassifizierung der Bedrohung kennzeichnet die Angreifer, die den Angriff einleiten. Dazu zählen unbeabsichtigte Bedrohungen, böswillige Bedrohungen und Katastrophen.

Angreifer verfolgen bestimmte Motive und Ziele, die bei der Gefährdung von Ressourcen erreicht werden sollen, zum Beispiel ein finanzieller Ertrag. Die Angreifer verwenden spezifische Tools, Techniken und Methoden, um bestimmte verwundbare Stellen in der Sicherheit der Ressourcen auszunutzen. Die Pfeile in der Abbildung verdeutlichen den Weg, den ein Angreifer bei einem Gefährdungsversuch einer Ressource nehmen kann, und die Sicherheitslücken, die ausgenutzt werden können.

Klassifizierung von Bedrohungen

Bei einer Bedrohung handelt es sich um eine Person, einen Standort oder einen Gegenstand mit potenziellem Zugriff auf Ressourcen, der Schaden verursachen kann. Für Bedrohungen gibt es zwei Hauptquellen: Menschen und Katastrophen. Bedrohungen durch Menschen können in zwei Kategorien unterteilt werden: böswillig oder unbeabsichtigt. Unbeabsichtigte "Angriffe" entstehen normalerweise durch Benutzer und Mitarbeiter, die über keine ausreichende Computerkenntnisse verfügen und sich der verschiedenen Bedrohungen der Computersicherheit nicht bewusst sind. Böswillige Angriffe kommen normalerweise von externen Personen oder verärgerten Beschäftigten beziehungsweise ehemaligen Mitarbeitern, die bestimmte Ziele verfolgen.

Tabelle 2: Bedrohungstypen

Bedrohung Beispiele

Katastrophen

Brände, Überschwemmungen, Stürme, Erdbeben, Stromausfälle, terroristische Angriffe

Nicht böswillige Person

Unwissende Mitarbeiter und Benutzer

Böswillige Person

Angreifer, Wirtschaftsspione, Regierungen, Bestechungsversuche und Social Engineering

Katastrophen

Alle Ereignisse, die auf extreme Wettersituationen, auftretende Naturereignisse oder Katastrophen zurückzuführen sind, können schwerwiegende Schäden in der Infrastruktur einer Organisation verursachen. Neben der Unterbrechung wesentlicher Dienste besteht die Gefahr, dass Daten und Hardware beschädigt werden oder verloren gehen und damit die Produktion zum Erliegen kommt.

Leider können nur wenige Präventivmaßnahmen implementiert werden, um das Risiko von möglichen Katastrophen zu reduzieren. Im optimalen Fall sind für diese Bedrohungstypen Wiederherstellungs- und Notfallpläne vorhanden, um die Auswirkung von Ausfällen zu minimieren. Durch das Vorhandensein und die sofortige Verfügbarkeit dieser Pläne kann eine Organisation den "vorherigen Zustand" wiederherstellen und den normalen Geschäftsbetrieb möglichst schnell wieder aufnehmen. Zusätzlich werden in diese Kategorie Ausschreitungen aufgenommen, da es schwierig sein kann, effektive Notfallpläne für den Schutz gegen den Ausfall von Informationsressourcen bei Ausschreitungen zu entwerfen.

Technisches Versagen

Diese Bedrohungen werden oftmals übersehen. Dazu zählen Strom- und Netzwerkausfälle sowie Hardwarefehler. Eine Vorbeugung vor Sicherheitslücken, die durch diese Bedrohungen entstehen, ist oftmals durch eine richtige Planung möglich.

Hardware-Cluster, redundante Stromversorgungsanlagen für Rechenzentren und ein stabiler Netzwerkaufbau können Einzelpunktversagen aufgrund von technischem Versagen in der Organisation verhindern. Die Implementierung dieser Gegenmaßnahmen kann jedoch extrem kostenintensiv sein. Deshalb sollten solche Gegenmaßnahmen sorgfältig ausgewertet werden, damit der Wert einer Ressource auch den Einsatz rechtfertigt.

Die Reduzierung technischer Bedrohungen kann weitere Sicherheitsrisiken offen legen, da die Angriffsfläche durch die Reduzierungsschritte vergrößert werden kann. Die Angriffsfläche ist die Sichtbarkeit der Ressource in Bezug auf die Anzahl der potenziellen Einstiegspunkte in das System. Durch das Hinzufügen von Features oder Funktionalität zu einer Computerressource können neue verwundbare Stellen die Sicherheit gefährden. Technische Bedrohungen dieser Art haben jedoch traditionell gesehen keine große Bedeutung für ein Sicherheitsprojekt und werden daher in diesem Leitfaden nicht behandelt.

Menschliche Bedrohungen

Menschliche Bedrohungen treten in zwei Varianten auf: böswillig oder unbeabsichtigt. Unbeabsichtigte Bedrohungen können durch normale Benutzerfehler zu größeren Problemen bei der Datenintegrität führen. Softwarefehler, Fehler bei der Dateneingabe und administrative Fehler fallen in diese Kategorie.

Böswillige Angriffe

Böswillige Bedrohungen entstehen durch verärgerte oder böswillige Mitarbeiter und ehemalige Mitarbeiter beziehungsweise Personen außerhalb der Organisation. Eingeweihte Personen verfolgen bestimmte Ziele und verfügen in der Regel auch über einen legitimierten Zugriff auf die Systeme in der Umgebung. Besonders vertraut mit den Computern und Anwendungen einer Firma sind die Mitarbeiter, denn sie kennen die Möglichkeiten zum Ausnutzen von Schwächen und Sicherheitslücken, die den meisten Schaden in der Organisation verursachen können. Dieser Angriffstyp ist extrem schwer zu ermitteln oder abzuwehren.

Böswillige Insider verfolgen bestimmte Ziele und verfügen in der Regel über einen legitimierten Zugriff auf das System. Ein Angriff durch diesen Personenkreis kann sich auf alle Komponenten der Computersicherheit und alle Anwendungen auswirken. Weitere Verbrechen gegen die Sicherheit, die von böswilligen Insidern angestiftet werden, entstehen durch Bestechungsversuche oder das Beeinflussen von Mitarbeitern.

Dies soll Personen dazu zu verleiten, ihre Kennwörter oder andere Sicherheitsinformationen offen zu legen. Diese Aktionen bleiben oftmals unerkannt, da Überwachungslisten ungeeignet sind oder nicht überprüft werden können.

Ein böswilliger Angreifer kann auch Mitarbeiter täuschen und Zugang zur Umgebung erhalten. Ein Angreifer kann sich beispielsweise als Administrator ausgeben und Kennwörter und Benutzernamen erfragen. Unzureichend geschulte und nicht sicherheitsbewusste Mitarbeiter können auf diese Täuschungen hereinfallen.

Verärgerte Mitarbeiter können in einer Organisation im besten Fall Unannehmlichkeiten bereiten, im schlimmsten Fall sogar Sabotage durchführen. Aktuell Beschäftigte können sogar mehr Schaden verursachen als ehemalige Mitarbeiter.

Unbeabsichtigte Angriffe

Eine Organisation kann nicht nur durch Angreifer geschädigt werden. Die Hauptbedrohung für die Datenintegrität entsteht durch autorisierte Benutzer, die sich nicht über ihre durchgeführten Aktionen im Klaren sind. Fehler und Unterlassungen können zu Verlust, Beschädigung oder Änderung wertvoller Daten in der Organisation führen.

Fehler und Unterlassungen bilden eine bedeutsame Bedrohung der Datenintegrität. Fehler entstehen nicht nur durch Angestellte innerhalb der Datenerfassung, die täglich Hunderte von Transaktionen verarbeiten, sondern durch alle Benutzer, die Daten erstellen und bearbeiten. Bei vielen Programmen, insbesondere Programmen für PC-Benutzer, fehlen geeignete Maßnahmen zur Qualitätskontrolle. Aber selbst die komplexesten Programme bieten keinen Schutz gegen alle Arten von Eingabefehlern oder Unterlassungen.

Die Schwere von Programmierungs- und Entwicklungsfehlern, der so genannten "Bugs", reicht von irritierend bis katastrophal. Diese Bedrohung wurde zwar durch eine höhere Softwarequalität reduziert, aber nicht beseitigt. Installations- und Wartungsfehler können ebenfalls zu Sicherheitsproblemen führen.

Organisationen gehen oft von der falschen Annahme aus, dass die Informationsverarbeitungsprogramme auf ihren Computersystemen fehlerfrei sind. Durch Implementieren von Sicherheitsrichtlinien wird in vielen Organisationen versucht, Fehler und Unterlassungen in den Programmen für Computersicherheit, Softwarequalität und Datenqualität zu verhindern.

Bedrohungskategorien

Es gibt unzählig viele Möglichkeiten, die Bedrohungen in Kategorien einzuteilen. Von Microsoft wurde die STRIDE-Methode entwickelt, um die folgenden böswilligen Bedrohungstypen zu kategorisieren: STRIDE steht für S poofing identity (Nachahmen der Identität), T ampering with data (unbefugte Änderung von Daten), R epudiation (Abstreitbarkeit), I nformation disclosure (Informationsenthüllung), D enial of service (Dienstverweigerung ) und E levation of privilege (Erhöhung der Berechtigungen). Die einzelnen Komponenten der Methode werden nachstehend definiert.

Spoofing-Identität

Bedrohungen durch das Nachahmen der Identität (Spoofing) umfassen die illegale Beschaffung der oder den illegalen Zugriff auf die Authentifizierungsinformationen einer anderen Person, zum Beispiel Benutzername oder Kennwort.

Unbefugte Änderung von Daten

Die Bedrohungen durch die unbefugte Änderung von Daten umfassen die böswillige Änderung von Daten. Dazu gehören zum Beispiel nicht autorisierte und dauerhafte Veränderungen oder Beschädigungen von Daten auf einer Website oder in einer Datenbank sowie das Ändern von Daten während der Übertragung zwischen zwei Computern in einem offenen Netzwerk.

Abstreitbarkeit

Bedrohungen durch Abstreiten bezieht sich auf Benutzer, die das Durchführen einer Aktion verweigern, wobei andere Teilnehmer keine andere Möglichkeit haben, dies nachzuweisen. Ein Beispiel wäre das Durchführen einer illegalen Operation in einem System, in dem die Möglichkeit zum Protokollieren des verbotenen Prozesses fehlt. Unleugbarkeit bezieht sich auf die Möglichkeit eines Systems, Bedrohungen durch Abstreiten zu begegnen. Ein Benutzer, der einen Artikel kauft, muss beispielsweise den Empfang der Ware schriftlich bestätigen. Der Verkäufer kann dann anhand der unterschriebenen Quittung beweisen, dass der Benutzer das Paket erhalten hat.

Informationsenthüllung

Bedrohungen durch die Enthüllung von Informationen umfasst das Offenlegen von Informationen gegenüber Personen, die eigentlich keinen Zugriff darauf haben. Beispielsweise können Benutzer Dateien lesen, für die kein Zugriff gewährt wurde, oder ein Eindringling kann Daten bei der Übertragung zwischen zwei Computern lesen.

Denial-of-Service

Denial-of-Service-Angriffe (DoS oder Dienstverweigerung) machen die Nutzung eines Diensts für zugelassene Benutzer unbrauchbar. Ziel eines DoS-Angriffs kann beispielsweise sein, einen Webserver zeitweilig nicht verfügbar oder unbrauchbar zu machen. Durch den Schutz vor bestimmten DoS-Bedrohungen können die Verfügbarkeit und die Zuverlässigkeit eines Systems verbessert werden.

Erhöhung der Berechtigungen

Bei diesem Bedrohungstyp erhält ein unberechtigter Benutzer privilegierten Zugriff, der die Gefährdung oder eventuelle Zerstörung einer ganzen Systemumgebung ermöglicht. Zu diesen Bedrohungen zählen Situationen, in denen alle Abwehrmaßnahmen eines Systems von einem Angreifer effektiv durchdrungen wurden, um das System zu gefährden und zu beschädigen.

Ausnutzen von Schwächen

Über eine Bedrohung, die eine Sicherheitslücke in der Umgebung einer Organisation ausnutzt, ist der Zugriff auf eine Ressource möglich. In der folgenden Tabelle sind Beispiele für die drei wichtigsten Typen der Ausnutzung von Schwächen aufgeführt.

Tabelle 3: Ausnutzungsmethode

Methode Beispiel

Ausnutzen technischer Sicherheitslücken

Brute Force-Angriff
Pufferüberlauf
Konfigurationsfehler
Replay-Angriff
Übernahme von bestehenden Verbindungen (Session-Hijacking)

Sammeln von Informationen

Adressidentifikation
Durchforsten von Dokumenten (Grinding)
Identifikation des Betriebssystems
Abtasten der Ports (Scanning)
Reaktionsanalyse
Social Engineering
Untersuchen von Diensten und Anwendungen
Aufzählen von Benutzern
Suchen von Sicherheitslücken
Leck im Funknetz

Denial-of-Service (DoS)

Physische Beschädigung
Entfernen von Ressourcen
Ändern von Ressourcen
Sättigung von Ressourcen
Pufferüberlauf

Beispiel: Ausnutzen von Schwächen durch böswillige Angreifer

Löschen und Ändern von Informationen

Böswillige Angreifer, die Informationen löschen oder ändern, möchten in der Regel eine Theorie beweisen oder sich für ein Vorkommnis revanchieren. Böswillige Insider handeln normalerweise aus Trotz gegenüber der Organisation, da sie über irgendetwas verärgert sind. Outsider greifen oftmals an, um die Möglichkeit eines Angriffs zu beweisen, oder lediglich aus Genugtuung, damit prahlen zu können.

Betrug und Informationsdiebstahl

Die Informationstechnologie wird zunehmend zugleich Werkzeug als auch Ziel für Betrug und Diebstahl. Einwandfrei aufgebaute und kontrollierte Finanzsysteme sind in der Lage, die erforderlichen Anforderungen hinsichtlich Gesetzgebung oder Berichterstattung zu unterstützen und Betrug zu vermeiden. Dieser Missbrauch ist aber nicht auf Umgebungen mit Finanzsystemen begrenzt. Weitere Firmenziele sind Umgebungen, die den Zugriff auf persönliche Informationen steuern, zum Beispiel Behörden, Bildungseinrichtungen, Kreditbüros, Personenvermittlungen oder Warensysteme sowie Buchungs- und Abrechnungssysteme von Telefongesellschaften.

Da viele Computer relativ klein und wertvoll sind, ist ein physischer Diebstahl einfach. Die Hardware selbst kann ersetzt werden. Aber die enthaltenen Daten können wesentlich wertvoller sein, falls diese Kreditkartennummern oder medizinische Aufzeichnungen von Patienten enthalten. Diebstähle zu verhindern ist in der Praxis unmöglich. Zum Schutz der Investitionen in die Geräte können Computer in der Organisation mit Maßnahmen wie Schreibtischschlössern gesichert werden. Der Schaden bei einem Computerdiebstahl wird begrenzt, wenn der Dieb die enthaltenen Daten und Informationen nicht lesen oder löschen kann. Durch eine Verschlüsselung sind die gestohlenen Informationen für den Dieb nahezu nutzlos, wenn gleichzeitig sichergestellt ist, dass der Dieb keinen Zugriff auf den Schlüssel erhält, der zur Entschlüsselung der Daten erforderlich ist.

Unterbrechung des normalen Geschäftsbetriebs

Angreifer verfolgen möglicherweise das Ziel, den normalen Geschäftsbetrieb zu unterbrechen. Dies kann aus Rache erfolgen, wenn ein verärgerter Mitarbeiter beispielsweise die Arbeit verweigert, weil er bei einer Beförderung nicht berücksichtigt wurde.

Externe Angreifer versuchen möglicherweise, den Geschäftsbetrieb zu unterbrechen, um in einer wettbewerbsgesteuerten Welt eigene Wettbewerbsvorteile zu erlangen. Es ist auch möglich, dass die Täter einfach aus Spaß angreifen. In allen diesen Situationen verfolgt der Angreifer ein bestimmtes Ziel, dessen Erreichen eine gewisse Befriedigung und Belohnung für ihn bedeutet. Für DoS-Angriffe können Angreifer mehrere Methoden verwenden. Der Abschnitt "Bedrohungsanalyse" im Modul "Einführung in das Sicherheitsrisikomanagement (SRMD - Security Risk Management Discipline)" erläutert die Methoden, Tools und Verfahren für DoS-Angriffe.

Angriffsmethoden

Motiv + Methode + Sicherheitslücke = Angriff

Die Methode in dieser Formel nutzt die Verwundbarkeit einer Organisation bei der Abwehr von Angriffen (siehe Abbildung 2) aus. Böswillige Angreifer haben viele Möglichkeiten, um Zugriff zu erhalten oder Dienste unbrauchbar zu machen, zum Beispiel:

Viren, Trojanische Pferde und Würmer

Knacken von Passwörtern

DoS-Angriffe

E-Mail-Hacking

Bösartiger Code

Wiederholung von Paketen (Replay-Angriffe)

Änderung von Paketen

Lauschangriffe

Social Engineering

Eindringangriffe

IP-Spoofing und Session-Hijacking

Sicherheitslücken

Eine Sicherheitslücke ist eine Stelle, an der eine Ressource anfällig für eine Bedrohung ist. Sie kann auch als Schwachstelle angesehen werden. Sicherheitslücken können durch Technologien, Personen oder Prozesse entstehen. Sie werden oftmals als technologische Fehler in der Implementierung von Software oder Hardware beziehungsweise in Design und Architektur eines Systems angesehen. Unzureichend definierte und kommunizierte Organisationsrichtlinien und Verfahren bilden ebenfalls verwundbare Stellen.

Weitere verwundbare Stellen sind Schwachstellen oder Lücken in der Sicherheit, die ein böswilliger Angreifer ausnutzt, um Zugriff auf das Netzwerk oder auf Ressourcen im Netzwerk zu erhalten. Der entscheidende Punkt ist, dass nicht der Angriff selbst die verwundbare Stelle darstellt, sondern die Schwachstelle, die ausgenutzt wird.

Mögliche Sicherheitslücken sind in der folgenden Liste aufgeführt. Sie stellen lediglich einen kleinen Teil der vorhandenen Stellen dar und umfassen Beispiele aus den Bereichen physische Sicherheit, Datensicherheit und Netzwerksicherheit.

Tabelle 4: Typen von Sicherheitslücken

Sicherheitslücken Beispiele

Physisch

Unverschlossene Türen

Natürlich

Errichtung des Firmengebäudes auf einer Verwerfungslinie

Hardware und Software

Veraltete Antivirussoftware und Betriebssystempatches

Medien

Elektrische Interferenzen

Kommunikation

Unverschlüsselte Protokolle

Menschlich

Unzureichend definierte Verfahren und mangelhaft geschriebene Anwendungen

Risiken

Ein Risiko ist die Wahrscheinlichkeit, dass ein Angreifer eine Sicherheitslücke ausnutzt, und das daraus entstehende Verlustpotenzial (beziehungsweise die Wahrscheinlichkeit, dass diese verwundbare Stelle von einer Bedrohung ausgenutzt wird). Bei mehreren geöffneten Ports in einer Firewall besteht ein erhöhtes Risiko, dass ein Eindringling einen dieser Ports verwendet, um durch eine unrechtmäßige Methode auf das Netzwerk zuzugreifen.

Wenn die Benutzer in Ihrer Umgebung nicht in den Prozessen und Verfahren geschult sind, besteht ein erhöhtes Risiko, dass ein Mitarbeiter einen Fehler macht und unbeabsichtigt Daten zerstört. Wenn in einem Netzwerk kein System zur Erkennung von Eindringversuchen implementiert ist, besteht ein erhöhtes Risiko, dass ein Angriff unbemerkt vollzogen wird. Wenn die Sicherheitslücken oder die möglichen Angreifer minimiert werden, wird das Risiko reduziert.

Gegenmaßnahmen

Gegen- oder Schutzmaßnahmen reduzieren ein Risiko. Eine Gegenmaßnahme ist jede Maßnahme, zum Beispiel Softwarekonfiguration, Hardware oder Verfahren, die einer Bedrohung und einer Sicherheitslücke entgegenwirkt, um das Risiko in einer Computerumgebung zu reduzieren.

Gegenmaßnahmen sind beispielsweise starke Passwörter, Wachpersonal, Zugriffssteuerungsmechanismen in einem Betriebssystem, die Implementierung von BIOS-Kennwörtern und Schulungen bezüglich des Sicherheitsbewusstseins.

Wenn in einem Unternehmen beispielsweise nur auf den Servern Sicherheits-Hotfixes installiert sind oder die Hotfixes nicht auf dem aktuellen Stand sind, entsteht eine Sicherheitslücke. Die Bedrohung ist ein böswilliger oder nicht böswilliger Benutzer, der in der Umgebung auftritt und die Produktion unterbricht. Ohne aktuelle Hotfixes ist ein System nicht ausreichend geschützt. Durch diese Gefährdung besteht die Möglichkeit von Datenverlust oder -schäden. Die entsprechende Gegenmaßnahme besteht darin, auf sämtlichen Computern in der Organisation alle erforderlichen Service Packs zu installieren und anschließend die Computer mit allen Hotfixes zu aktualisieren, die nicht in den Service Packs enthalten sind. Die Beziehung zwischen Bedrohungen, Sicherheitslücken und Gegenmaßnahmen ist in der folgenden Abbildung dargestellt.

Beziehungen zwischen Sicherheitskomponenten

Abbildung 3
Beziehungen zwischen Sicherheitskomponenten

In der Computer-Intrusion-Squad-Untersuchung, die von Computer Security Issues (CSI) und der Niederlassung in San Francisco des Federal Bureau of Investigation (FBI) veröffentlicht wurde, werden die verschiedenen Arten der Computerkriminalität ausführlicher behandelt. Die Ergebnisse der Untersuchung von CSI und FBI können als grobe Anhaltspunkte verwendet werden. Diese Untersuchungen bilden eine Quelle mit aktuellen Informationen zu den sich abzeichnenden Trends der Cyberkriminalität.

Zusammenfassung

In diesem Modul wurde eine Übersicht über die bedeutendsten Komponenten der Sicherheitsanalyse und die wichtigsten erforderlichen Prozesse für deren Umsetzung in einer Firmenumgebung gegeben. Die Kenntnis der Beziehung zwischen Bedrohungen, Offenlegungen, Sicherheitslücken und Gegenmaßnahmen ist von entscheidender Bedeutung, um effektive Sicherheitsmaßnahmen in Ihrer Organisation einzuführen.

Weitere Informationen

Informationen zu Computerkriminalität finden Sie unter: http://www.gocsi.com/press/20020407.html (englischsprachig).

Informationen zur Bedrohungsanalyse finden Sie in: "Threat Assessment of Malicious Code and Human Threats" (englischsprachig) von Lawrence E. Bassham & W. Timothy Polk: National Institute of Standards and Technology Computer Security Division unter: http://csrc.nist.gov/publications/nistir/threats/index.html (englischsprachig).

Informationen zu Informationssicherheit finden Sie unter: http://www.iso-17799.com/ (englischsprachig).

Informationen zum Thema "Hacking" finden Sie unter: http://www.hackingexposed.com/ (englischsprachig).

Informationen zu Sicherheitsbedrohungen finden Sie im Microsoft TechNet unter: http://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx (englischsprachig).

Informationen zur Bewertung von Ressourcen finden Sie auf den Seiten des National Institute of Standards and Technology unter: http://csrc.nist.gov/asset/ (englischsprachig).


**
**

Download des

Sicherheitshandbuch Windows 2000