Introduction

• Automatisierung

• Angriff kann entfernt stattfinden

• Verbreitung von Angriffstechniken

• Vermeintliche Anonymität

• Komplexität

• Nicht genügend Verständnis für die Notwendigkeit von IT-Sicherheit (Funktionsfähigkeit sei wichtiger, IT Sicherheit ist häufig schwer greifbar)

• Security vs. Usability → Security und Usability

• Projektumfeld: Termindruck, Funktionalität

• Ungenügend Kenntnisse über IT Sicherheit der Software Entwickler

• Komplexität der Software und IT Projekte

Sicherheit ist eine Sachlage, bei der das Risiko nicht größer als das Grenzrisiko ist.

-> Grenzrisiko: Größte zu vertretendes Risiko eines bestimmten technischen Vorgangs oder Zustands

-> Risiko: Schaden * Eintrittswahrscheinlichkeit

C - Confidentiality/ Vertraulichkeit

I - Integrity/ Vertrauchlichkeit

A - Availability/ Verfügbarkeit

Weitere:

• Authenitizität

• Nichtabstreitbarkeit

Potenzielle Verletzung der IT-Sicherheit

Aktion, die eine Bedrohung wahr werden lässt

-> Einbruch in ein System, um unberechtigt auf Daten zuzugreifen oder Aktionen auszulösen

1. Sammeln von Daten über Angriffsziele

2. Ausnutzen von gefundenen Sicherheitsproblemen

3. Aufrechterhaltung des Zugriffs

4. Verwischen von Spuren

Subjekt, der einen Angriff durchführt

Sicherheitsfehler im System, wlechen man für Angriff ausnutzen kann

Software, die eine Schwachstelle ausnutzt

• Gruppierung von Bedrohungen: nach

  • Zielobjekt

  • Urheber

  • Motivation/ Absicht

  • Eintrittswahrscheinlichkeit

  • Auswirkungen/ Kosten

• Auflistung der Bedrohungen

• Risikoanalyse/ -bewertung

• Maßnahmenkatalog

• Restrisikoabschätzung

• Security bereits in der Architektur berücksichtigen → Designprinzipien

  • Genau definierte Aufgaben und Schnittstellen

  • Verwendung von Standards

  • Testung auf Sicherheit

• Technische und Organisatorische Lösungen