Definition “Güter”, “Schutzziel” und “Bedrohung”
Güter (engl. Assets)
Materielle oder immaterielle Gegenstände (z.B. Daten) die für den Besitzer oder denAngreifer einen Wert besitzen oder anders relevant sind
Z.B.: Kundendatenbank, Webserver, Rezept für Medikament
Schutzziel
Anforderung, welche Eigenschaft eines Guts geschützt werden soll
Z.B.: Kundendaten sollen geheim bleiben, Webserver soll immer erreichbar sein, Rezept sollnicht manipuliert werden
Bedrohung
Ist eine Möglichkeit über die Ausnutzung von Schwachstellen ein Schutzziel zu beeinträchtigen
Welche Schutzziele gibt es?
Authentizität
Echtheit eines Objekts oder Subjekts. Überprüfbar anhand seiner Identität und charakteristischen Eigenschaften
Vertraulichkeit
Gewährleistet, dass die Information nicht unautorisierten Personen, Prozessen oder Geräten zugänglich wird.
Integrität
Gewährleistet, dass ein Gut (z.B. eine Information) nicht unautorisiert manipuliert werden kann.
Verhindern von Manipulation (starke Integrität) oft nicht möglich
Erkennen von Manipulation (schwache Integrität) einfacher
Verfügbarkeit
Gewährleistet, dass ein Gut (z.B. ein System) wie vorgesehen seine Funktion erfüllen kann
Was sind weitere Schutzziele?
Nicht-Abstreitbarkeit:
Verhindern, dass Vorgänge im Nachhinein gegenüber Dritten abgestritten werden können(z.B. Vertragsabschlüsse)
Abstreitbarkeit:
Verhindert, dass ein Vorgang im Nachhinein gegenüber Dritten bewiesen werden kann (z.B.getätigte Aussagen)
Datenschutz:
„Recht auf Informationelle Selbstbestimmung“
Anonymität / Pseudonymität:
Verhindern, dass Personen identifiziert werden können
Nicht-Erpressbarkeit:
Aus der Wahlforschung: Es darf nicht möglich sein zu beweisen, wie man abgestimmt hat
Reihenfolge der Schutzziele
Oft genannt:
Vertraulichkeit (Confidentiality)
Integrität (Integrity)
Verfügbarkeit (Availability)
Bei Industriesteuerung of umgekehrt:
Authentisierung vs. Authentifizierung vs. Autorisierung
Authentisierung
Ist der Nachweis einer Identität.
-> Zum Beispiel das Vorzeigen eines Personalausweises.
Authentifizierung
Ist der Vorgang zur Überprüfung der Echtheit einer behaupteten Authentisierung.
-> Zum Beispiel, wenn der Türsteher den Personalausweis überprüft und bestätigt, dass der Ausweis gültig ist und auch zu dieser Person gehört.
Autorisierung
Ist die Zuordnung von Rechten zu einer Identität.
-> Zum Beispiel prüft der Türsteher, ob eine Person im Club Zugang zum VIP-Bereich hat.
Welche Möglichkeiten der Authentifizierung gibt es?
Wissen
Besitz
Inhärenz
Single Sign-On
Authentifizierung - Wissen
Es existiert ein gemeinsames Geheimnis
Z.B. Passwort, PIN
Nutzer muss beweisen, dass er das Geheimnis kennt
Einfach: Geheimnis an Ressource schicken
Typische Angriffe:
Man-in-the-Middle kann Geheimnis mithören
Phishing: Geheimnis wird versehentlich dem Angreifer verraten
Malware: kann Eingabe des Passworts mitlesen
Authentifizierung - Besitz
Ressource kann die Präsenz eines Objekts prüfen
Z.B. Bankkarte am Geldautomat, Security Token am PC des Nutzers
Nutzer muss der Ressource beweisen, dass er das Objekt besitzt
Objekt kommuniziert mit der Ressource
Direkt oder via PC des Nutzers
Diebstahl des Objekts
Authentifizierung - Inhärenz
Ressource kennt biometrisches Merkmal des Nutzers
Z.B. Fingerabdruck, Iris-Scan
Nutzer muss Ressource beweisen, dass das biometrische Merkmal präsent ist
Einfach: Merkmal digitalisieren (z.B. Fingerabdruck scannen) und an Ressource schicken
Problem: Angreifer könnte dies kopieren und dann selbst nutzen
Alternativ: Überprüfung am PC des Nutzers
Problem: Ressource muss dem PC vertrauen, dass Überprüfung korrekt abläuft
Zum Freischalten von kryptographischen Schlüsseln sinnvoll nutzbar
Probleme
Merkmal in der physischen Welt einfach kopierbar
Foto von der Iris auch auf Distanz möglich
Fingerabdrücke an jedem Glas hinterlassen
Merkmal kann nicht geändert werden, wenn es kompromittiert wurde
Typische Angriffe
Physisches Kopieren des Merkmals
Kopieren der digitalen Repräsentation des Merkmals
Z.B. Phishing, Man-in-the-middle, etc
Authentifizierung – Kombination von Faktoren
Die Merkmalskategorien haben jeweils spezifische Angriffe gegen die Sie verwundbar sind
Kombination von Kategorien (UND Verknüpfung) schützt, wenn ein Faktor kompromittiert wurde
Beispiel Online-Banking:
Authentifizierung – Passwörter
Warum reicht am Geldautomat eine vierstellige PIN?
Warum werden für Passwörter mindestens 10 Zeichen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen empfohlen?
Nach bestimmter Anzahl Versuchen, wird die Karte gesperrt
72 Möglichkeiten pro Stelle, 10 Stellen
72^10 = 3.743.906.242.624.487.424 = 3,7 ∗ 10^18 mögliche Passwörter
Authentifizierung – Passwörter: Online Angriffe
Ein Angreifer sendet jeden Versuch einzeln an eine Ressource und erhält nur eine binäre Antwort (Erfolg / Misserfolg)
Ressource kann nach einer Anzahl von Fehlversuchen Maßnahmen ergreifen
Sperren des Accounts
Limitieren der Versuche pro Sekunde
Blocken der IP-Adresse
Angreifer können diese Maßnahmen für Angriffe nutzen (z.B. Sperren aller Accounts)
Authentifizierung – Passwörter: Offline Angriffe
Ein Angreifer hat alle Daten vorliegen um selbständig Passwortkandidaten zu testen
Z.B. Verschlüsseltes Dokument, Hash eines Passworts
Kann sehr gut parallelisiert werden
Abhängig von technischen Details: ~100.000 Versuche pro Sekunde realistisch
Wird oft als „Brute-force“ Angriff bezeichnet
Authentifizierung – Probleme
Wissensbasiert
Geheimnis oder Information um Geheimnis zu erkennen (z.B. Passwort Hash)
Besitzbasiert
Information um Objekt zu identifizieren (z.B. kryptographischer Schlüssel)
Inhärenzbasiert
Merkmal oder Informationen um Merkmal zu erkennen
=> Alle Ressourcen (z.B. Drucker) müssen die Nutzerdatenbank vorhalten
Datenbank muss mit allen Ressourcen synchronisiert werden
Oder: Nutzer brauchen für jede Ressource unterschiedliche Zugangsdaten
Datenbank muss auf allen Ressourcen vor Zugriff geschützt werden
Nutzer muss sich an jeder Ressource einzeln authentisieren
Lösung für Authentifizierung-Probleme
Idee:
Authentifizierung an einer zentralen Instanz
Diese Instanz bestätigt die Authentizität gegenüber anderen Ressourcen
Ressourcen müssen der zentralen Instanz vertrauen
Beispiel: Kerberos
Vor- und Nachteile von Single-Sign-On
Authentifizierungsinformationen der Nutzer nicht auf jeder Ressource
Kein Problem, wenn Ressource kompromittiert wird
Kein Synchronisierungsaufwand
Einheitliches Protokoll für alle Ressourcen
Kann auch eingesetzt werden wenn der Ressource nicht vollständig vertraut wird (z.B.einem Drittanbieter)
Single Point of Failure (Single Sign-On Server)
Alle Ressourcen müssen SSO Protokoll unterstützen
Angreifermodelle
Vor wem soll ein Schutzziel geschützt werden?
Helfen bei der Einschätzung von realistischen Angreifern
Merkmale:
Motivation
Ressourcen
Gezielt oder ungezielt
Motivation des Angreifers
Wie wichtig ist der Erfolg für den Angreifer? Durch welche Sicherheitsmechanismen oder Gesetze lässt er sich abschrecken?
Persönliche Motivation:
Rache, Erlangen von Ansehen, Spieltrieb
Finanzielle Motivation:
Angriff muss sich finanziell lohnen
Z.B. Erpressung, Verkauf von gefundenen Daten, Bitcoin-Mining
Politische oder strategische Motivation:
Politisches Ziel soll erreicht werden, Angriff muss sich nicht finanziell lohnen
Ressources des Angreifers
Finanzielle Ressourcen
Kauf von technischen Ressourcen oder Sicherheitslücken auf dem Schwarzmarkt
Personelle Ressourcen
Anzahl an Personen, Fähigkeiten
Technische Ressourcen
Rechenleistung, Netzwerkzugriff
(Insider-) Wissen
Domänenwissen (z.B. zu Industriesteueranlagen)
Wissen über die eingesetzten Schutzmechanismen
Zwischen welchen Angriffen wird unterschieden?
Angriff zielt auf Person oder Organisation
Z.B.: Industriespionage, Sabotage
Verteidigung entsprechend der Fähigkeiten/Ressourcen des Angreifers
Ziel des Angriffs nur grob eingegrenzt
Z.B. Phishing, Botnetz Aufbau, SPAM
Geringeres Verteidigungsniveau benötigt
„Man muss nicht schneller sein als der Bär, nur schneller als die langsamste Person“
Was für Angreifer gibt es?
Geheimdienste
Kriminelle
Derzeit häufig: kriminelle Banden
Script-Kiddies
Persönlich Motivierte
Aktivisten
Verärgerte (Ex-) Mitarbeiter & Whistleblower
Mobber & (Ex-) Beziehungspartner
Threat Modeling Allgemein
“Threat Modeling is the key to a focused defense.
Without threat models, you can never stop playingwhack-a-mole.”
Strukturierte Betrachtung eines Systems zur Identifikation von Sicherheitsrisiken
Grundlage für die Auswahl der Schutzmechanismen
Strukturiertes Brainstorming
Strategien des Threat Modellings
Kein direkter Zusammenhang zwischen Gütern undBedrohungen
Nicht alle Güter werden bedroht
Einzelne Angreifer decken nicht das ganze Spektrumder möglichen Attacken ab
Viele Annahmen über Angreifer notwendig
Bei existierenden Systemen oder Systementwürfen
Auf Grundlage von (UML-) Diagrammen
Systematisch jedes Element besprechen und potentielle Bedrohungen identifizieren
Bei jeder Nachricht prüfbar, dass Gesprächspartner und Nachricht „echt“ sind
Nur legitimer Empfänger soll die Nachricht lesen können
Nachrichten sollen unterwegs nicht manipulierbar sein
Abstreitbarkeit
Kein Teilnehmer kann beweisen, dass ein anderer etwas gesagt hat
Last changeda year ago
