Was für Aufgaben umfasst Security Engineering?
1. Sicheres Programmieren
2. Strukturanalyse
3. Schutzbedarfsermittlung
4. Bedrohungsanalyse
5. Risikoanalyse
6. Sicherheitsarchitektur und Betrieb
Was sind die acht Grundsätze des sicheren Programmierens?
1. Offener Entwurf (open design, no security through obscurity)
Gehen Sie davon aus, dass Angreifer die Quellen + Spezifikationen haben.
2. Ausfallsichere Standardeinstellungen (fail safe defaults)
Nur bei explizit vorhandenen Berechtigungen Zugriff zulassen. Sicher abstürzen.
3. Niedrigste Berechtigungsebene/Erlaubnis (PoP, default is deny)
Vergeben Sie keine höhere Berechtigungsebene als nötig.
4. Ökonomischer Mechanismus (economy of mechanism)
Halten Sie es so einfach und unkompliziert wie möglich (Entwickler Akzeptanz)
5. Trennung von Berechtigungsebenen (separation of privilige)
Jeder Zugriff muss von mehr als nur einer einzigen Bedingung abhängen.
6. Vollständige Interaktionskontrolle (complete mediation)
Prüfen Sie alles jedes Mal auf Zulässigkeit (je Zugriff).
7. Minimale gemeinsame Mechanismen (least common priviliges)
Hüten Sie sich vor gemeinsam (Benutzern) genutzten Sicherheitsmechanismen.
8. Psychologische Akzeptanz
Wird es tatsächlich korrekt genutzt werden? (Benutzer Akzeptanz)
Worauf sollte sicheres Progammieren basieren?
Sicherheitsprozess (für Entwicklung und Betrieb/taktische Ebene) und
Sicherheitsleitlinien (vom Management kommend/strategische Ebene)
Welche Gesetze sind für Unternehmen wichtig ?
Bundesdatenschutzgesetz Artikel 17 Absatz 1
„[…], dass der für die Verarbeitung Verantwortliche die geeigneten technischen und
organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder
unrechtmäßige Zerstörung, […] und gegen jede andere Form der unrechtmäßige Verbreitung
personenbezogener Daten erforderlich sind.“
Telemediengesetz §13 Absatz 3/3
„Der Diensteanbieter hat durch technische und Vorkehrungen sicherzustellen, dass, […] der Nutzer
Teledienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.!
Was für Bestandtteile sollten im Risikomanagementsystem etabliert sein?
Die konkrete Ausgestaltung wurde nicht bestimmt, lediglich sollten Elemente Bestandteil sein, wie
• Frühwarnsystem,
• interne Überwachung,
• Revision und
• Controlling.
Was ist Ziel und Vorgehen bei der Strukturanalyse?
Ziel der Strukturanalyse
-Erfassung der funktionalen Eigenschaften, der Einsatzumgebung und des Verwendungszwecks
eines Systems.
Vorgehen
• Netztopologieplan erstellen (HW-Komponenten mit Vernetzung)
inkl. techn. Charakteristika, welche Anwendungen darauf laufen und ob (wenn ja: welcher Art)
kritische Daten verarbeitet werden.
• Schutzbedarf für die einzelnen Systeme ermitteln
Auf Basis der Gefährdungslage und typischer Schadensszenarien
Was sind Schadensszenarien des Grundschutzhandbuchs?
1. Verstoß gegen Gesetze/Vorschriften/Verträge
2. Beeinträchtigung des informationellen Selbstbestimmungsrechts
3. Beeinträchtigung der persönlichen Unversehrtheit
4. Beeinträchtigung der Aufgabenerfüllung
5. Negative Auswirkung
6. Finanzielle Auswirkung
Welche zwei Ansätze zur Bedrohungsanalyse stehen zur Verfügung?
Bedrohungsmatrix
• Zunächst werden die Bedrohungsbereiche ermittelt. Diese bilden die Zeilen.
(bspw. interne/externe Angriffe, DoS, Abstreitbarkeit, Missbrauch, …)
• Dann werden die potentiellen Auslöser ermittelt. Diese bilden die Spalten.
(Programmierer, interner/externer Nutzer, Mobiler Code, …)
• In die Matrix werden dann die konkreten Angriffsszenarien geschrieben.
Bedrohungsbaum
• Jedes einzelne Angriffsziel definiert die Wurzel eines Angriffsbaums
(unauth. Datenzugriff, Identität vortäuschen, Verändern der OS SW, …)
• Innere Knoten sind Zwischenziele, die mittels UND/ODER Kanten einlaufen
• Blätter sind initiale Angriffsschritte
Wie lautet die Formel zur Risikoanalyse?
Risiko = Schadensausmaß • Eintrittswahrscheinlichkeit
Schadensausmaß
primäre Schäden: gut quantifizierbar wie bspw. Produktionsausfall, Wiederherstellung- /
Wiederbeschaffungskosten
sekundäre Schäden: schwer quantifizierbar, wie Imageverlust
Eintrittswahrscheinlichkeit
Einschätzung des Aufwands, den ein Angreifer betreiben muss. Dies wird häufig mittels
Penetrationstests getestet. Ein wichtiger Aspekt ist noch die Bewertung des Angriffsziels / der
Ertrag, dass der Quotient (Ertrag : Aufwand) für den Angreifer entscheidend ist.
Was ist die BSI Empfehlung zur Risikoanalyse?
Aufwand zur Risikoanalyse für alle Bedrohungen sehr hoch!
-Lediglich solche Bedrohungen explizit analysieren, deren Sicherheitsanforderungen sehr hoch sind
-Anwendung der Standardsicherheitsmaßnahmen für niedrige + mittlere Sicherheitsanforderungen aus dem BSI Handbuch
Was steht in dem Grundschutzhandbuch des BSI?
-Benennt für viele Systembausteine (in Schichten organisiert) typische Bedrohungen und beschreibt die Eintrittswahrscheinlichkeit
Was muss für den Aufbau einer Sicherheitsarchtiketur definiert werden?
-allgemeinen Sicherheitsgrundfunktionen eingeführt werden.
Anwendungen mit ähnlichen Sicherheitsbedürfnisse können so befriedigt werden
-dezidierten Anwendungsszenarien abgedeckt werden müssen.
Diese werden i.a. über Kriterienkataloge wie europäischen ITSEC-Kriterien oder die internationalen
Common Criteria bestimmt.
-Überdeckung der beiden vorliegt.
(wo allg. Grundfunktionen dezidierte Anwendungsszenarien bereits sichern)
-Daraufhin wird ein erster Architektur-Grobentwurf der Sicherheitsarchitektur erstellt, dieser schrittweise
verfeinert und getestet inkl. Codereviews etc.
->Tests müssen automatisiert wiederholbar sein + Ergebnisse bewertet werden.
Wie erfolgt der sicherere Betrieb der Sicherheitsarchtiketur?
Nach erfolgreichem Aufbau und Umsetzung der Sicherheitsarchitektur erfolgt der sichere Betrieb
indem…
-alle neuen SW-Releases vor Inbetriebnahme die automatisierten Tests durchlaufen müssen.
-die Testverfahren permanent aktualisiert und erweitert werden.
-permanent geprüft werden muss, inwieweit nicht doch ein Angriff erfolgreich war.
-entsprechende Notfallpläne definiert, aktualisiert und fortlaufend getestet werden.
Was sind zwei Sicherheitsgrundfunktionen?
Identifikation und Authentifikation
Einsatz von Standardverfahren wie Passwörter, Biometrie, 2 Faktoren-Authentifizierung,
Paketfiltern etc.
Wichtig: festlegen, was bei Misserfolg passiert (sperren, logg, verzögern...)
->Authentifizierung wird meist über längeren Zeitraum beibehalten und bei kritischen Aktionen
erneut / zumeist auf neuem Wege eingefordert.
Rechteverwaltung
Unterscheidung von statischen und dynamischen Rechte (verändernd) und unter welchen
Bedingungen Rechte gelten (Kontext). Möglichst je Dienst Rechte vergeben und die gemeinsame
Nutzung vermeiden (ambient authority). Möglichst die Standardverfahren der Betriebssysteme,
Dienste und Programmiersprachen & Frameworks nutzen!
Protokollierung von erfolgreichen sowie verwehrten Zugriffen wichtig! (Forensik)
Principle of least Privileges (POLP) grundlegend!
Zuletzt geändertvor einem Monat