Allgemeinwissen

eine nicht-funktionale Eigenschaft. Schlechte Ereignisse, die in böser Absicht verursacht werden

(Sicherheit vs. Zuverlässigkeit)

schlechtes Ereignis, das eintreten könnte

Jemand verursacht absichtlich etwas Schlimmes, das passiert.

Schwachstelle in einem Informationssystem, die einen Angriff ermöglicht

Durchführung eines Angriffs

Wahrscheinlichkeit eines Angriffs * Schaden

Kombination von Telekommunikation und Informatik = Vernetzung verschiedener IT-Systeme und

die Möglichkeit, Informationen aus unterschiedlichen Quellen miteinander zu verknüpfen.

vernetzt alle Akteure des Gesundheitswesens im Bereich der gesetzlichen

Krankenversicherung und gewährleistet den sektoren- und systemübergreifenden sowie sicheren Austausch

von Infos. Sie ist ein geschlossenes Netz, zu dem nur registrierte Nutzer (Personen/Institutionen) mit einem

elektronischen Heilberufs- und Praxisausweis Zugang erhalten. Um allen Datenschutzanforderungen gerecht

zu werden und insbesondere die medizinischen Daten von Patienten zu schützen, wird auf starke

Infossicherheitsmechanismen gesetzt. Die sichere, verschlüsselte Kommunikation zwischen bekannten

Kommunikationspartnern sowie der Schutz vor dem Zugriff auf sensible Infos sind daher das Fundament der

Telematikinfrastr.

Einrichtungen/Organisationen, die für die Bereitstellung wesentlicher

Dienste für die Öffentlichkeit wichtig sind. Ein Verlust der Dienste hätte erhebliche Auswirkungen auf

die öffentliche Sicherheit.

Sektoren = Energie, IT, Telekommunikation, Wasser, Lebensmittel, Finanzen, Gesundheit, Verkehr

- Erhöhte Komplexität: leistungsfähigere Hardware, mehr Funktionen, mehr Entwickler, Lieferanten, Komponenten

- Nicht-vernetzt vernetzt: Änderung der Umgebung macht Annahmen während der

Entwicklung/Einführung ungültig, erhöhte Angriffsfläche.

- Integration: Datenfluss: Geräteüberwachung, Fernsteuerungsgeräte, Endnutzer Geräte Endnutzer

- Technische Prävention: Entwicklung von Systemen zur Verhinderung, Entmutigung und Abschwächung

(Lindern) von Angriffen (Wenn ein Angriff nicht verhindert werden kann, müssen die Kosten erhöht und der Schaden begrenzt werden)

- Erkennung und Reaktion: Erkennen von Angriffen und Ergreifen von Maßnahmen, um sie zu stoppen oder die

Schuldigen zu bestrafen

- In offenen Netzen finden ständig Angriffe statt, wir können zwar Port-Scans, Spam, Phishing usw. erkennen,

aber wenig tun, um sie zu stoppen oder die Angreifer zu bestrafen - technische Vorbeugung und

Schadensbegrenzung müssen die wichtigste Verteidigung sein.

- Um die Wirksamkeit der technischen Vorbeugung zu überwachen, ist jedoch ein Nachweis erforderlich.

- Ständiger Wettlauf zwischen Angreifern und Verteidigern (Angreifer sind kreativ)

- Keine Sicherheitsmechanismen können alle Angriffe stoppen; die Angreifer wechseln nur zu neuen

Methoden und Zielen. Einige Arten von Angriffen können eliminiert werden, aber andere werden an ihre Stelle treten. Vergleichen Sie mit der Kriminalitätsstatistik: Verringern Schlösser oder Gefängnisse langfristig die Kriminalität?

- Die Sicherheitsmechanismen werden versagen, und es werden neue Probleme auftreten. Überwachung und

Prüfung auf neue Angriffe. Notfallplanung: Wie man sich von einem Verstoß erholt.

- Intelligente Gegner, schwer vorhersehbares gegnerisches Verhalten. Schwer zu modellieren. Schwer zu

messen.

- CIA=Vertraulichkeit (Schutz von Geheimnissen), Integrität (nur autorisierte Änderung von Daten und

Systemkonfiguration), Verfügbarkeit (kein Denial-of-Service, Geschäftskontinuität) - Das CIA-Modell ist eine gute Ausgangsbasis, aber nicht alle:

- Privatsphäre = Kontrolle über persönliche Daten und Raum - Rechenschaftspflicht/Nichtabstreitbarkeit = Fähigkeit zu beweisen, dass Handlungen stattgefunden

haben - Hexad (Parker) = CIA + Kontrolle, Authentizität

- Rationale Angreifer vergleichen die Kosten eines Angriffs mit den Gewinnen. Rationale Verteidiger

vergleichen das Risiko eines Angriffs mit den Kosten für die Implementierung von Verteidigungsmaßnahmen (Lampson: "Perfekte Sicherheit ist der Feind der guten Sicherheit").

- Aber das menschliche Verhalten ist nicht immer rational: Die Angreifer folgen einander und scharen sich alle

um denselben Weg. Verteidiger erkaufen sich Seelenfrieden; sie vermeiden persönliche Haftung, indem sie tun, was alle anderen tun. Viele Dinge lassen sich besser durch Gruppenverhalten als durch rationale Entscheidungen erklären.

- Es gibt keine absolute Sicherheit (im Verhältnis zu den Fähigkeiten und Ressourcen des Gegners). Über die

Sicherheit eines Mechanismus lässt sich nichts Nützliches sagen, es sei denn im Zusammenhang mit einer bestimmten Anwendung und Umgebung. Geben Sie niemals mehr Geld für die Abschwächung eines Risikos aus, als Sie die Tolerierung des Risikos kostet. "Es gibt Managementlösungen für technische Probleme, aber keine technischen Lösungen für Managementprobleme".

- Wie man Sicherheit erreicht: Ethik, Gesetze, Regeln, Organisation, Management,

technische Kontrollen

- Interessengruppen: Nutzer, Unternehmen, Regulierungsbehörden, öffentliche Stellen usw.

- Kontext Nutzung (z. B. Standort, Anwendung, persönliche Daten) Online-Erfahrung und frühere

Datenschutzverletzungen Kultureller Hintergrund und Einstellung zum Datenschutz .

- Die Herausforderungen des individuellen Schutzes erfordern Aufwand, Wissen und Verständnis, sind nicht

unmittelbar lohnend und lassen sich nur schwer auslagern und automatisieren.

- Gesellschaftliche Perspektive: Grundlage der Demokratie und Redefreiheit

- Individuelle Perspektive: Freie persönliche Entfaltung, Eigentum an persönlichen Daten jeglicher Art

- Mit eingeschränkter/keiner Privatsphäre: Angst vor Beobachtung und Konsequenzen, Zögern, sich persönlich

zu entwickeln.

- Datenschutz (per Gesetz) Privacy by design (bereits zur planung wird privacy miteinbezogen) Technischer

Datenschutz

- Maßnahmen zum Schutz gespeicherter und übermittelter personenbezogener Daten vor Manipulation oder

Missbrauch BDSG in Deutschland seit 1978 (+Aktualisierungen) - Ursprünglich zum Schutz der Bürger vor staatlichen Institutionen - Unternehmen, die in Bezug auf einige Aspekte des Datenschutzes reguliert sind (z. B. Telekommunikation,

Gesundheitswesen) - Erhöhter Regulierungsbedarf aufgrund des zunehmenden Einsatzes von IT (+ ausreichende Mittel für die

Umsetzung) - Grundsätze: Datenminimierung (Der Dienst sollte mit einem Minimum an benötigten Daten angeboten

werden), Information der betroffenen Person (Die Person, deren Daten gespeichert werden, sollte wissen,

was gespeichert wurde), Akzeptanz mit Zustimmung

- Datenschutzrichtlinie (Richtlinie 95/46/EG) Richtlinie zum Schutz natürlicher Personen bei der

Verarbeitung personenbezogener Daten und zum freien Datenverkehr

- Richtlinie über den Schutz der Privatsphäre und elektronische Kommunikation (Richtlinie 2002/58) Richtlinie

über den Schutz der Privatsphäre und elektronische Kommunikation in Bezug auf Vorratsdatenspeicherung,

Spam und Cookies

- Die Richtlinien müssen durch nationale Gesetze umgesetzt werden.

Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

- Ausdrückliche vs. mutmaßliche Zustimmung (Art. 6-8)

- Recht auf Vergessenwerden (Verlangen, dass personenbezogene Daten gelöscht werden, wenn es keinen

Grund für ihre Aufbewahrung gibt; Art. 12,14,17)

- Erleichterter Zugang + Wechsel zu einem anderen Anbieter (Art. 20)

- Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25)

- Benachrichtigung über Datenschutzverletzungen (Art. 33, 34)

- Höhere Geldbußen, � max (20 Mio. €, 4% Umsatz) (Art. 83) Seit 2018 in Kraft, muss nicht von den Mitgliedsstaaten umgesetzt werden (Verordnung vs. Richtlinie)

- Die Verarbeitung personenbezogener Daten erfolgt zumindest teilweise automatisiert oder im Rahmen eines

Dateisystems.

Befreiung für die persönliche Tätigkeit von natürlichen

Personen. Befreiung für Behörden, die sich mit Straftaten

befassen.

- Niederlassung des für die Verarbeitung Verantwortlichen/Verarbeiters in der EU, auch wenn die Verarbeitung

außerhalb der EU stattfindet.

- Betroffene in der EU, auch wenn die Verarbeitung außerhalb der EU stattfindet, sofern

Waren/Dienstleistungen angeboten werden (unabhängig von der Bezahlung) oder das Verhalten überwacht

wird.

Eine Ausnahme ist eine Abweichung von den üblichen Präzedenzfällen, Regeln oder Gesetzen, die durch diese erlaubt ist. Eine Ausnahme ist ein Verstoß gegen den normalen Vorrang, die Regeln oder das Gesetz, der nicht üblich oder kodifiziert ist.

= alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (Datensubjekt) beziehen, haben Unternehmen keine Privatsphäre. Direkt oder indirekt durch Bezugnahme identifizierbar, z. B. Name, ID- Nummer, Standortdaten, Online-Kennung, physische, physiologische, genetische, psychische, wirtschaftliche, soziale Identifizierung

Verarbeitung: jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen, Ändern, Abrufen, Weitergeben, Einschränken, Löschen, Vernichten)

Art. 25 Data protection by design & default: Maßnahmen (z.B. Pseudonymisierung) zur Datenminimierung umsetzen, sicherstellen, dass standardmäßig nur notwendige personenbezogene Daten verarbeitet werden, Umfang, Speicherdauer, Zugänglichkeit. Begrenzt durch den Stand der Technik, die Kosten der Implementierung, den Kontext/Zweck der Verarbeitung. Grundsätze:

1. Proaktiv statt reaktiv; Vorbeugung statt Abhilfe

2. Datenschutz als Standardeinstellung

3. Datenschutz in Design eingebettet

4. Volle Funktionalität - Positiv-Summe, nicht Null-Summe

5. End-to-End-Sicherheit - Schutz über den gesamten Lebenszyklus

6. Sichtbarkeit und Transparenz - Keep it Open

7. Respekt für die Privatsphäre der Nutzer - Nutzerzentriertheit wahren

http://web.mit.edu/Saltzer/www/publications/protection/Basic.html <-- Gestaltungsgrundsätze "Die Erfahrung hat einige nützliche Grundsätze geliefert, die die Gestaltung leiten und zu einer Implementierung ohne Sicherheitsmängel beitragen können.

8+2 Gestaltungsprinzipien

1. Ökonomie des Mechanismus: Halten Sie die Konstruktion so einfach und klein wie möglich.

2. Ausfallsichere Standardeinstellungen: Zugriffsentscheidungen auf der Grundlage von Berechtigungen undnicht von Ausschlüssen.

3. Vollständige Mediation: Jeder Zugriff auf jedes Objekt muss auf seine Berechtigung geprüft werden.

4. Offenes Design: Das Design sollte nicht geheim sein.

5. Trennung der Privilegien: Wo es möglich ist, ist ein Schutzmechanismus, der zwei Schlüssel zum Entsperren

erfordert, robuster und flexibler als ein Mechanismus, der demjenigen, der nur einen einzigen Schlüssel

vorlegt, Zugang gewährt. Anwendung des Entwurfsprinzips: Vermeiden Sie hoch privilegierte Konten wie

root/administrator, die attraktive Ziele für Angriffe sind.

6. Geringste Berechtigung: Jedes Programm und jeder Benutzer des Systems sollte mit den

geringstmöglichen Rechten arbeiten, die für die Ausführung der Aufgabe erforderlich sind.

7. Der am wenigsten verbreitete Mechanismus: Minimierung der Anzahl der Mechanismen, die mehreren

Nutzern gemeinsam sind und auf die alle Nutzer angewiesen sind. Anwendung des Entwurfsprinzips:

Verringerung der Menge an privilegiertem Code in Bibliotheken, der überprüft werden muss

8. Psychologische Akzeptanz: Es ist wichtig, dass die Benutzerschnittstelle so gestaltet ist, dass sie einfach zu

bedienen ist, damit die Benutzer die Schutzmechanismen routinemäßig und automatisch richtig anwenden. 9. Faktor Arbeit: Vergleichen Sie die Kosten für die Umgehung des Mechanismus mit den Ressourcen eines

potenziellen Angreifers. - Anwendung des Entwurfsprinzips: Erhöhung der Kosten für das Auffinden und Ausnutzen von

Softwareschwachstellen (Kosten = Ausbildung, Fertigkeiten, Werkzeuge, Berechnungen, Hardware) - Aber: bei der Softwaresicherheit gilt das aufgrund der Automatisierung möglicherweise nicht. 10. Aufzeichnung der Kompromittierung: In Computersystemen werden Mechanismen, die zuverlässig

aufzeichnen, dass eine Kompromittierung stattgefunden hat, nur selten verwendet, da es schwierig ist,

eine Entdeckung zu garantieren, sobald die Sicherheit gebrochen wurde. Anwendung des Entwurfsprinzips:

Ermöglichung der Protokollierung und (automatische) Analyse der Protokolle zur Erkennung von Angriffen

Architektonische Grundsätze finden sich auch an anderer Stelle. Common Criteria, EAL2-EAL7 ADV_ARC Sicherheitsarchitekturbeschreibung (Auszug)

- Die Sicherheitsfunktionen können nicht umgangen werden.

- Schutz des EVG selbst vor Manipulationen durch nicht vertrauenswürdige aktive Einheiten.

- Beschreibung der von der TSF verwalteten Sicherheitsdomänen (EVG-Sicherheitsfunktionen) in

Übereinstimmung mit den SFR (funktionale Sicherheitsanforderungen). - Sicherer TSF-Initialisierungsprozess. --> Vollständige Mediation, geringste Rechte, Trennung von Rechten, ausfallsichere Standardwerte

Sicherheit ist ein menschliches Problem (Werte, Regeln, Technologie). Unterstützung durch das Top-Management empfohlen (Bewusstsein, Durchsetzung, Anreize, Strafen). Modellieren, messen, verwalten (Sicherheit zu messen ist schwierig, in vielen Fällen gibt es keine guten Metriken, Validierung schwierig, da Sicherheit nicht direkt gemessen wird).

- Kontext

- Risikoermittlung (betroffene Vermögenswerte EASY)

- Risikobewertung (Wahrscheinlichkeit HARD/IMPOSSIBLE, Schaden EASY)

- Risikobehandlung Vermeiden/Verhindern Verringern Akzeptieren Übertragen

- Plan zur Risikominderung

- Umsetzung

- Überprüfung und Bewertung

Ein systematischer Ansatz für die Verwaltung sensibler Unternehmensdaten, damit diese sicher bleiben. Umfasst Menschen, Prozesse, Dokumente und IT-Systeme durch Anwendung eines Risikomanagementprozesses.

Plan-Do-Check-Act-Zyklus:

Leitlinien für organisatorische Informationssicherheitsstandards und Managementpraktiken: Auswahl von Kontrollen bei der Implementierung eines ISMS - Implementierung allgemein anerkannter Kontrollen - Entwicklung eigener Richtlinien

Sicherheitskontrollen: 14 Gruppen, 114 Kontrollen

- Richtlinien zur Informationssicherheit: High-Level-Definition von sicherem Verhalten für eine Organisation

Ziele Einschränkungen für die Mitglieder der Organisation Einschränkungen für die Angreifer

- Organisation der Informationssicherheit: Verantwortung, Berichterstattung - Sicherheit der Humanressourcen: Eintritt und Austritt von Mitarbeitern

- Vermögensverwaltung: H/W-, S/W-Lebenszyklusmanagement; Prozesse

- Zugangskontrolle

- Kryptographie

- Physische und umgebungsbezogene Sicherheit: Einrichtungen, Ressourcen, auf physischen Medien gespeicherte Informationen

- Sicherheit im Betrieb

- Sicherheit der Kommunikation

- Erwerb, Entwicklung und Wartung von Systemen: SDLC (Software Development Lifecycle), Beschaffung

- Beziehungen zu Lieferanten: Outsourcing

- Management von Informationssicherheitsvorfällen: Antizipieren von und Reagieren auf

Sicherheitsverletzungen, Meldesysteme für Vorfälle, Lernen aus Vorfällen - Informationssicherheitsaspekte des Geschäftskontinuitätsmanagements: Wiederherstellung kritischer

Funktionen innerhalb einer bestimmten Zeit, Verlust von Personal, Ausrüstung, Daten

- Einhaltung: Gesetzliche, regulatorische und vertragliche Verpflichtungen

• Definition von Werten

• Aktueller Stand

• Schutzanforderungen

• Modellierung

• Analyse der Lücken

• Zusätzliche Sicherheitsanalyse, Risikoanalyse für ca. 20 % der Vermögenswerte; 80 % werden durch Konfigurationshandbücher abgedeckt.

• Konsolidierung der Kontrollen

• Überprüfung der angepassten Kontrollen - Einführung von Kontrollen

• Elementare Bedrohungen: Feuer, Wasser, lokale Ereignisse/Katastrophen, Ausfall von Diensten durch Lieferanten (z. B. Strom, Konnektivität), elektromagnetische Abstrahlung, Abhören, Spionage, Diebstahl, Zerstörung, Verlust von Geräten, Manipulation von Daten, Infrastruktur, Kommunikation, Fehlfunktionen, beabsichtigter Missbrauch, unbeabsichtigter Missbrauch von Systemen, Social Engineering, Identitätsdiebstahl, Missbrauch von persönlichen Daten

• Prozessbausteine

  • ISMS (Informationssicherheits-Management-System)

  • Organisation + Personal

  • Konzepte: Kryptographie, Datenschutz, Datensicherung, Auswahl von COTS-Software, Entwicklung und Einsatz von Anwendungen, kontrollierte Datenlöschung, Geschäftsreisen

  • Betrieb: IT-Kernbetrieb: IT-Administration, Patch + Change Management, Malware-Schutz, Logging, Softwaretest und -zertifizierung Weiterer IT-Betrieb: Archivierung, Datenaustausch, Telearbeit Beauftragung von IT-Dienstleistungen

  • Erkennung und Reaktion

• System-Bausteine

  • Anwendungen: Bürosoftware, Netzwerkdienste, Geschäftsanwendungen

  • IT-Systeme: Server, Desktops, mobile Geräte, eingebettetes IoT

  • Industrielle IT

  • Netzwerke und Kommunikation

  • Physische Infrastruktur

Verwaltung von Sicherheitsproblemen, wenn Mitarbeiter in ein Unternehmen eintreten, innerhalb des Unternehmens umziehen und es verlassen.

- Hintergrundüberprüfungen (Vorhersage von zukünftigem Verhalten auf der Grundlage der Vergangenheit)

- Persönliche Probleme, die die Sicherheit beeinträchtigen könnten (Schulden, Unzufriedenheit mit dem Arbeitgeber, geplanter Wechsel des Arbeitgebers)

- Zugriffsmanagement (Konfiguration von Zugriffsrechten entsprechend der aktuellen Aufgaben/Position)

Verhinderung und Abschreckung (Abschrecken) von Gegnern vor dem Zugriff auf Einrichtungen, Ressourcen oder Informationen, die auf physischen Medien gespeichert sind

- Zugang zu Gebäuden, Räumen, Ausrüstung (Wachen, Schlösser, Begleitpersonal, Überwachung)

- Einschränkung der Bewegungsfreiheit von Geräten, Speichermedien (Schlösser, Tracker)

IT - Betrieb

- Nutzung und Konfiguration der bestehenden Systeme.

- Maßgeschneiderte Software --> wenige Nutzer

- Kommerzielle COTS-Produkte --> viele Benutzer, die Informationen über Schwachstellen austauschen können.

- Produktversion? Produktkonfiguration? Umgebung?

CVE: Liste der Bezeichner und Beschreibungen für entdeckte Schwachstellen

- Systemadministratoren können feststellen, ob eingesetzte Systeme verwundbar sind (wenn es bekannte Verwundbarkeiten gibt)

1. Entdeckung einer potenziellen Schwachstelle oder Gefährdung

2. Zuweisung der CVE-ID durch die Nummerierungsbehörde

• CVE-yyyy-nnnn (die Sequenznummer kann länger als 4 Ziffern sein)

• Nummerierungsbehörden: CERTs (Computer Emergency Response Teams), Anbieter, Projekte,einzelne Forscher, Bug Bounty Programme

• Beschreibung

• Referenzen, z. B. Berichte, Empfehlungen

3. Einstellen des CVE-Eintrags in die Liste durch die primäre Nummerierungsbehörde

CVE-Eintrag Beispiel:

- Die CVE-Liste ist umfassend. Sie bietet Links zu anderen Ressourcen, DBs: Details zu Schwachstellen,

Folgenabschätzungen, Lösungen, Umgehungen

- Überwachung der installierten Systeme

- Reaktionen: Risiko akzeptieren, aktualisieren, rekonfigurieren, Zugriff beschränken, deaktivieren, ersetzen

- IT-Sicherheitsstandards und -prozesse: ISO 2700x, BSI-Basisschutz, Personelle Sicherheit, Physische Sicherheit

- Schwachstellen-Management

- Produktbeurteilungen nach Common Criteria

Beispiele für zertifizierte Produkte:

- Netzanschlüsse für E-Health

- Digitale Fahrtenschreiber

- Chipkarten

- Gateways für intelligente Messsysteme Common

- Kartenleser

- E-Reisepässe

SFRs: Funktionale Sicherheitsanforderungen (was/wie), z. B. Identifizierung und Authentifizierung, Audit, Krypto. SARs: Zuverlässigkeitsanforderungen (wie zu bewerten)

- ASE: Bewertung von ST (Sicherheitsvorgaben)

- ADV: Entwicklungsspezifikationen, Architektur, Zugang zu Entwicklungsartefakten

- AGD: Leitfäden

- ALC: Lebenszyklus, Konfigurationsmanagement, Werkzeuge, Fehlerbehebungsprozess

- ATE: Tests (Abdeckung, Tiefe, Unabhängigkeit)

- AVA: Schwachstellenanalyse

- Rahmen, in dem Sicherheitsanforderungen spezifiziert, gefordert und bewertet werden können.

- Evaluationsgegenstand (EVG): Produkt oder System, das Gegenstand der Evaluation ist, z.B. ,,MinuteGap

Firewall".

- Schutzprofil (PP): Dokument, das die für eine Benutzergemeinschaft relevanten Sicherheitsanforderungen für

ein bestimmten Zweck, z. B. ,,Firewall-Schutzprofil"

- Sicherheitsvorgaben (ST): Produktspezifikation, die erklärt, wie die Sicherheitsfunktionalität durch das Produkt

bereitgestellt wird, z. B.

,,MinuteGap Firewall ST" Kann eigenständig sein, kann mit einem oder mehreren PPs übereinstimmen

- Evaluations-Sicherheitsstufe (EAL): numerische Bewertung (1-7), die die während der Evaluation erfüllten Sicherheitsanforderungen widerspiegelt

- Kumulative Zuverlässigkeitsanforderungen Höhere Stufen schließen niedrigere Anforderungen ein

Höhere Stufen = höheres Vertrauen in das Evaluationsergebnis Häufig verwendet: EAL2, EAL4; für Smartcards auch >EAL4 häufig verwendet Beliebte Erweiterungen: AVA_VAN.5 - Schwachstellenanalyse mit hohem Angriffspotenzial, ALC_FLR - Fehlerbehebungsprozess für nach der Zertifizierung entdeckte Sicherheitsprobleme

EAL1 - funktional geprüft (,,geringe Sicherheit")

• Überprüfung von Funktions- und Schnittstellenspezifikationen

• Einige unabhängige Tests

EAL2 - strukturell geprüft (,,minimaler Schweregrad")

• Analyse von Sicherheitsfunktionen einschließlich High-Level-Design

• Unabhängige Tests, Überprüfung von Entwicklertests

• Penetrationstest mit Basis-Angriffspotenzial

EAL3

• methodisch getestet und geprüft

• Mehr Tests, einige Kontrollen der Entwicklungsumgebung

• Besichtigung von Entwicklungs-/Herstellungsstandorten

EAL4

• methodisch konzipiert, getestet und überprüft

• Überprüfung des Quellcodes

• Pentesting ,,Extended-basic" Angriffspotenzial

EAL5

• semiformal entworfen und getestet

• Formales Modell, modularer Aufbau

• Systematische Schwachstellensuche, Analyse des verdeckten Kanals

EAL6

• semiformal verifizierter Entwurf und getestet

• Strukturierter Entwicklungsprozess

• Pentesting mit hohem Angriffspotenzial

EAL7

formal verifizierter Entwurf und getestet

• Formale Darstellung der funktionalen Spezifikation

• Das Produkt- oder Systemdesign muss einfach sein

• Unabhängige Bestätigung von Entwicklertests

• EVG-Übersicht und EVG-Beschreibung

• EVG-Spezifikation (nur für STs)

• Definition des Sicherheitsproblems

• Zielsetzungen für das operative Umfeld

• Konformitätsansprüche ST PPs

Funktionsanforderungen ansehen (siehe weiter unten)

Nationale Behörde ermächtigt Bewerter

• Deutschland: Das BSI akkreditiert kommerzielle Organisationen. Für die Bewertung wird eine Gebühr erhoben.

Team von vier bis sechs Bewertern

• Arbeitsplan entwickeln. Zuerst die Sicherheitsvorgaben (ST) evaluieren. Bestätigung, daß der EVG die ST erfüllt, die durch die gemeinsame Evaluationsmethodik des CEM kontrolliert werden

  https://www.commoncriteriaportal.org/files/ccfiles/CEMV3.1 R5.pdf (400+

  Seiten) Teuer; ca. > 50 TEUREAL2, kann >1 MEUR EAL6 sein

(Beauftragung von Beratern zur Vorbereitung von Entwicklungseinrichtungen und -prozessen für die Bewertung)

• Antrag auf Zertifizierung, Kick-off

• Bewertung durch eine akkreditierte Einrichtung ASE, ADV, AGD, ALC dokumentationsbasiert, ca. 50%-80% des Gesamtaufwands In der Dokumentationsphase entwickelte Fehlerhypothesen ATE, AVA unabhängige Tests, Code-Inspektionen, ca. 20%-50% des Gesamtaufwands

• Zertifizierung auf der Grundlage von Evaluierungsergebnissen Alle Berichte mit dem Urteil PASS-Zertifikat ausgestellt (könnte Verpflichtungen in Bezug auf Umwelt/Verwendung des EVG beinhalten)

• AVA_VAN.5 - Schwachstellenanalyse für hohes Angriffspotential obligatorisch bei >=EAL6 Leitfaden für die Berechnung des Angriffspotentials im CEM Hohes Angriffspotential z.B. Mehrere Experten Nur öffentliche Kenntnis des EVG Leichter Zugang zum EVG (z.B. mit Internet verbunden) Nur Standardausrüstung Bis zu sechs Monate Aufwand zur Identifizierung und Ausnutzung

• Niedrigere EALs werden oft mit AVA_VAN.5 ergänzt.

• Schwachstellenanalyse für den Code des Entwicklers Schwachstellenhypothesen, Schnittstellen zu Sicherheitsfunktionen, Umgehung von Mechanismen, Korrektheit der Datenanalyse und des

  Kontrollflusses, kryptografische Mechanismen Detaillierte Hinweise/Empfehlungen für einige Mechanismen

• Schwachstellenanalyse für Bibliotheken von Drittanbietern CVE-Suche: Gibt es bekannte Sicherheitslücken für die spezifischen Versionen der integrierten Bibliotheken? Langfristige Unterstützung und Verfügbarkeit von Sicherheits-Patches?

• Anerkennungsvereinbarungen CCRA (<=EAL2), SOGIS-MRA (<=EAL4) Teil B Zertifizierungsergebnisse

• Besondere Aufmerksamkeit für Berichtskapitel

• B.2 Identifizierung der EVG-Produktversion, Hashes für Dateien

• B.4 Annahmen

• B.8 Ausgewertete Konfiguration

• B.10 Verpflichtungen und Hinweise für die Nutzung des EVG

- Ist der evaluierte EVG für meine Bedürfnisse geeignet?

- Hohe EAL = hohe Sicherheit (Vertrauen): Wie zuverlässig sind die Bewertungsergebnisse? Wie

gründlich waren die Tests?

- EAL hat nichts mit den funktionalen Sicherheitsanforderungen zu tun Man muss sich die SFR ansehen Es

ist möglich, dass nur sehr wenige Anforderungen (d.h. wenig Funktionalität) mit hoher EAL bewertet

werden, d.h. es ist sehr wahrscheinlich, dass die Anforderungen korrekt implementiert sind - Oft sind Gegner von PP/ST ausgeschlossen, gegen die man sich nur schwer schützen kann. Man muss

nach Annahmen und Zielen für die Umgebung suchen.

Es werden mehrere Annahmen über die physische Umgebung der Konfiguration der gemeinsamen Kriterien getroffen.

• Es wird davon ausgegangen, dass alle Systeme, mit denen die CC-evaluierte Konfiguration kommuniziert, sowie die Kommunikationspfade selbst unter derselben Verwaltung stehen wie die CC-Konfiguration und denselben Sicherheitsrichtlinien unterliegen.

- BSZ Beschleunigte Sicherheits-Zertifizierung 30 Personentage Pentesting, Workshop, PASS/FAIL

Schneller+billiger als CC; beschränkt auf Low Assurance Startet 2019, wenig nationale Erfahrung

- FIPS 140-2 ,,Sicherheitsanforderungen für kryptografische Module"

- PCI-DSS: Sammlung bewährter Verfahren für Finanzinstitute

- VDE, TÜV, LGA usw.: Bewertungen nach vertraulichen Kriterien; Kunden müssen der Marke des Bewerters vertrauen

Authentifizierung + Autorisierung

Überprüfung der behaupteten Identität Erstmalige/wiederholte Authentifizierung - Basierend auf (Multi-FA)

• etwas, das Sie kennen (z. B. PIN/Passwort)

• etwas, das Sie haben (z. B. ein physisches Token)

• etwas, das Sie sind/tun (biometrische Daten)

Unterscheidung: Mensch zu Maschine, Maschine zu Maschine (➔ Netzsicherheit)

Behauptung einer Identität

Passwort abfangen (anfangen), wenn ein neues Konto erstellt wird - Passwort erraten - vom Benutzer durch Phishing, Spoofing, Keylogging erlangen - vom System durch Lesen der Passwortdatei oder durch Social Engineering erlangen

• Das Ausspähen von Passwörtern im lokalen Netz war früher ein großes Problem, das meist durch kryptografische Authentifizierung gelöst wurde: - SSH, SSL, HTTP Digest Authentication, MS- CHAPv2

• Key Logger: Software oder Hardware, die alle auf einem Computer getippten Tastenanschläge speichert -war früher ein Problem bei öffentlich zugänglichen Computern, z. B. in Bibliotheken und Cafés - kann jetzt Malware auf jedem Computer sein.

Menschen neigen dazu, Dinge zu vergessen ➔ brauchen ein Verfahren zur Wiederherstellung nach einem Passwortverlust Wiederherstellungsmechanismen ermöglichen oft neue Angriffe - Was sind die Vor- und Nachteile der folgenden Maßnahmen Verwertungsmechanismen?

- Sicherheitsfrage oder Geheimnis, z. B.

Geburtsort

- Passwort per E-Mail an ein anderes

Benutzerkonto senden

- Physischer Besuch beim Helpdesk

- Gelber Aufkleber auf der Rückseite der Tastatur Wiederherstellung des Passworts

- USB-Speicherstick mit einer Datei zur Die Verwendung desselben oder verwandter Passwörter für mehrere Konten bedeutet, dass ein kompromittiertes System oder Konto zur Kompromittierung anderer Konten führen kann. Administrative Gegenmaßnahmen:

• Die Passwörter werden vom Dienst ausgewählt, nicht von den Benutzern festgelegt.

• Exotische Anforderungen an das Passwortformat - Single Sign-On, um nur ein Passwort zu aktivieren.

Persönliche Gegenmaßnahmen:

• Generierung von dienstspezifischen Passwörtern aus einem Master-Passwort

• Passwort-Wallet (z. B. auf dem Telefon), verschlüsselt mit einem Master-Passwort

Hohe Anzahl möglicher Passwörter (Problem: Werden die Passwörter zufällig gewählt, d. h. haben alle Passwörter die gleiche Wahrscheinlichkeit, gewählt zu werden?) + Länge schlägt Alphabetgröße

Wörterbuchangriff und andere intelligente Erraten vs. Brute-Force-Versuche - Gegenmaßnahmen gegen Erraten:

• Begrenzung der Anzahl oder Rate der Anmeldeversuche

• Mindestlänge und -komplexität des Passworts, Überprüfung der Passwortqualität

• Verhinderung der Wiederverwendung alter Passwörter

• Vom System generierte Zufallspasswörter

• Alterung von Passwörtern, d. h. obligatorische regelmäßige Änderung von Passwörtern (z. B. mehrmals im Jahr)