Vorlesung 6

Kenntnis nur bei Bedarf: Das Need-to-know Prinzip ist ein Sicherheitsziel für vertrauliche Informationen. Auch wenn ein

Subjekt grundsätzlich Zugriff hat wird der Zugriff verboten, wenn das Objekt nicht unmittelbar für die Erfüllung der konkreten Aufgabe benötigt wird.

Mithilfe des Discretionary Access Control (DAC)

-universell: den Subjekten werden große Freiheitsgrade gewährt, wie sie bspw. von Betriebssystemen/OS für Dateien gewährt werden.

-objektspezifisch: Ermöglichen die Vergabe von Rechten in Bezug auf die von einem Objekt in einem Kontext durchzuführende Operation.

-einfach: Wenn für den Zugriff das Subjekt einfach nur das entsprechende Recht besitzen muss (i.a. systemseitig realisierbar).

-komplex: Wenn zu dem Recht weitere Faktoren hinzukommen, wie bspw. Uhrzeit, Häufigkeit der Operation je Zeiteinheit (i.a. per Anwendung umgesetzt).

Zugriffskontrollstrategien

Informationsflussstrategien

Zugreifender Benutzer/Prozesse(grob bis feingranular modelliert= Subjekt

Zu schützende Einheiten = Objekt

Subjekt sendet Anfrage auf Referenzmonitor und Referenzmonitor gewährt Objekt

Discretionary Access Control( DAC)

Mandatory Access Control (MAC)

Das Zugriffsmatrix-Modell (englisch: Access Matrix Model) ist ein grundlegendes Konzept in der IT-Sicherheit und im Rechtemanagement. Es beschreibt, welche Subjekte (z. B. Benutzer oder Prozesse) welche Rechte auf Objekte (z. B. Dateien, Geräte oder Ressourcen) haben.

Die Zugriffsmatrix ist eine zweidimensionale Tabelle, in der:

• Zeilen die Subjekte (z. B. Benutzer, Prozesse) darstellen,

• Spalten die Objekte (z. B. Dateien, Datenbanken, Drucker),

• und die Einträge an den Schnittpunkten die Rechte (z. B. Lesen, Schreiben, Ausführen) angeben, die ein Subjekt auf ein Objekt hat.

Positiv:

-Sehr einfaches, intuitives Modell

-Einfach zu implementieren

Negativ:

− Skaliert schlecht bei dynamischen Mengen von Subjekten, z.B. im Web-Umfeld

− Rechtevergabe ist an Subjekte, nicht an deren Aufgaben orientiert.

Problem: Szenarien mit gleichen Subjekten, die über die Zeit wechselnde Aufgaben erfüllen,

sind kaum modellierbar

− Ungeeignet für Unternehmens- oder Verwaltungsumgebungen

Zugriffsberechtigung wird gesteuert über

i. die Identität des Akteurs (= Benutzer oder Prozess),

ii. die Identität des Objektes/Ressource, auf das zugegriffen werden soll, und

iii. über zusätzliche Regeln, die direkt in das System eingearbeitet sind.

Wird typischerweise vom Betriebssystem, DBMS, etc. systemtechnisch erzwungen und zentral

verwaltet.

Herkunft: Verhindern des Ausnutzens von Insiderinformationen bei Banken.

Idee: aktuelle Zugriffe abhängig machen von Zugriffen in der Vergangenheit.

Prinzip:

• Objekte werden in Interessenskonfliktklassen angeordnet (Objektbaum).

• Jeder Zugriff wird (inkl. Form r/w) pro Subjekt geloggt.

• Es wird je zu betrachtenden Zeitpunkt t geschaut, ob bereits ein Zugriff auf die Konfliktklasse (anderes

Unternehmen) durch dasselbe Subjekt erfolgte.

Ein Subjekt s darf zu einem Zeitpunkt t nur dann lesend/ausführend auf ein Objekt o zugreifen,

wenn das Subjekt im Zustand t die Rechte besitzt, es bis dahin nur auf Objekte o‘ desselben Unternehmens ODER anderer Konfliktklassen als o ODER öffentlicher Informationen zugegriffen hat.

-In Worten: Ein Subjekt s darf zu einem Zeitpunkt t nur dann schreibend auf ein Objekt o zugreifen,

wenn s zum Zeitpunkt das Schreibrecht besitzt und es bis zu t nur Lesezugriffe auf Objekte o' hatte,

die entweder demselben Unternehmen wie o angehören oder frei zugängliche Informationen beinhalten.

-Schreibregel verhindert unerwünschten Informationsfluss zwischen Objekten unterschiedlicher

Unternehmen aber gleicher Konfliktklasse (da man sonst über Zwischenstationen Informationen

weitergeben könnte, sofern nur die Leseregel inkl. der Berechtigung zu Schreiben gelten würde).

positiv

-Grob-/Feinkörnigkeit der Objekte & Hierarchie wählbar

-bestimmbare Strategie

-Einfache, universelle Zugriffsrechte (restriktiv)

negativ

-Keine Möglichkeit, anwendungsbezogen erlaubte oder verbotene Kanäle zu dem Modell

hinzuzufügen (unflexibel)

-Keine strengen Datenintegritätsanforderungen umsetzbar

-Aufhebung von Mauern nicht vorgesehen  Historie (Mauer) wächst unbegrenzt

Es schützt vertrauliche Informationen in einem Computersystem.Besonders wichtig bei Regierung, Militär oder Unternehmen.

Es regelt, wer was lesen oder schreiben darf, je nachdem wie „geheim“ eine Info ist.

Jede Person (Subjekt) und jede Datei (Objekt) hat:

• eine Sicherheitsstufe (z. B. geheim, vertraulich, öffentlich)

• und Kategorien (z. B. Personal, Finanzen, Technik)

Diese werden als Sicherheitsklasse gespeichert: 👉 z. B. (geheim, {Finanzen, Personal})

R = {read-only, append, execute, read-write, control}

Nur anhängen, aber nicht lesen oder löschen.

Ausführen, aber nicht lesen oder ändern.

Du darfst lesen und schreiben.

Du darfst die Zugriffsrechte ändern, also bestimmen, wer sonst noch Zugriff bekommt.

No-Read up Regel:

In Worten: Lese/Execute Zugriff nur dann möglich, wenn Subjekt s das Zugriffsrecht r auf Objekt o besitzt und die Objektklassifikation kleiner/gleich seiner Subjekt-Clearance ist.

(beachte „≤“: Objekt-Sicherheitskategorie ⊆ Subjekt-Sicherheitskategorie)

No-Write Down Regel:

In Worten: ein append-Zugriff ist auf ein Objekt o durch Subjekt s nur dann erlaubt, wenn die

Objektklassifikation mindestens so hoch ist wie Clearance des Subjekts UND das ein Lese-Schreib-Zugriff

nur dann erlaubt ist, wenn die Objektklassifikation gleich der Clearance des Subjekts s ist.

positiv

 Grob-/Feinkörnigkeit der Objekte & Subjekte & Regeln wählbar

 bestimmbare Strategie

 Einfache, universelle Zugriffsregeln (einfach implementierbar)

negativ

 Systembestimmte Festlegungen verbieten viele Zugriffe, die eigentlich keine Verletzung der Strategie

beinhalten (insb. durch die Komb. von S-Kategorien)

Einsatzspektrum stark eingeschränkt

 strenge Datenintegritätsanforderungen schlecht umsetzbar

(wg. universelle Rechten und einfache Regeln)

 Problematisch ist das blinde Schreiben an höher eingestufte Objekte (append)  „Biba Modell“

Empfohlen oder verpflichtend für:

• Unternehmen mit sensiblen Kundendaten (z. B. Banken, Versicherungen).

• Unternehmen der kritischen Infrastruktur (z. B. Energie, Wasser, Verkehr).

• IT-Dienstleister und Cloud-Anbieter.

• Hersteller mit hohem Schutzbedarf für Entwicklungsdaten.

• Unternehmen, die an Ausschreibungen teilnehmen oder internationale Partner

haben.

Ziel:

• Vertrauenswürdigkeit gegenüber Kunden und Geschäftspartnern.

• Minimierung von Sicherheitsrisiken.

Ziel:

• Alle wichtigen Unternehmen (z. B. Energie, Transport,

Gesundheitswesen) müssen:

• Angriffe melden.

• IT-Sicherheit verbessern.

• Strafen riskieren, wenn sie unsicher sind.

Warum wichtig?

• Stromausfälle, Zugausfälle oder Krankenhausprobleme könnten direkt

unser Leben beeinflussen.

NIS2 = EU-Richtlinie für mehr Cybersicherheit

Gilt für:

• Betreiber kritischer Infrastrukturen (z. B. Strom, Wasser, Verkehr, Gesundheit).

• Digitale Dienste und Anbieter (z. B. Cloud-Dienste).

• Mittelständische und große Unternehmen in risikobehafteten Bereichen.

Warum in Deutschland noch nicht umgesetzt?

• Nationale Umsetzung (deutsches Gesetz) in Arbeit.

• Diskussion über konkrete Pflichten und Sanktionen.

• Voraussichtlich ab Ende 2025 in Kraft.

Ziel:

• Einheitliche, starke IT-Sicherheitsregeln in der EU

Im Unternehmen:

• Passwörter nicht weitergeben.

• Unbekannte Mails und Anhänge vermeiden.

• Software-Updates ernst nehmen.

Privat:

• Starkes Passwort.

• Zwei-Faktor-Authentifizierung (z. B. SMS-Code).

• Keine unnötigen Apps installieren.