UMGANG MIT SICHERHEITSRISIKEN

Transkript

1 UMGANG MIT SICHERHEITSRISIKEN BEIM BETRIEB KRITISCHER INFRASTRUKTUREN Dr. Dominik Herrmann Universität Siegen & Universität Hamburg Folien:

2 Inzwischen gibt es zahlreiche gut dokumentierte Sicherheitsvorfälle bei kritischen Infrastrukturen

3 Kritische Infrastrukturen gibtes in vielenbranchen. KPMG (2016): IT-Sicherheit gesetzeskonform? Die Umsetzung des IT-Sicherheitsgesetzes in Kritischen Infrastrukturen 3

4 Kritische Infrastrukturen gibtes in vielenbranchen. KPMG (2016): IT-Sicherheit gesetzeskonform? Die Umsetzung des IT-Sicherheitsgesetzes in Kritischen Infrastrukturen 4

5 Autonome Fahrzeuge werden vielleicht bald zu einer kritischen Infrastruktur. Kritische Infrastrukturen IT-Sicherheitsgesetz (DE, 2015) Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeintra chtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Sto rungen der o ffentlichen Sicherheit oder andere dramatische Folgen eintreten wu rden. Kriterium: > Betroffene Transport/Verkehr: noch nicht geregelt Betreiber müssen Mindestsicherheitsstandards umsetzen und erhebliche IT-Vorfa lle melden. Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen 5

6 Aktuelle Sicherheitsvorfälle bei autonomen Fahrzeugen Tesla Jeep VW 6

7 Aktuelle Sicherheitsvorfälle bei autonomen Fahrzeugen Tesla Jeep VW 7

8 Aktuelle Sicherheitsvorfälle bei autonomen Fahrzeugen 8

9 Aktuelle Sicherheitsvorfälle bei herkömmlichen Fahrzeugen 9

10 Wie werden Sicherheitsrisiken in kritischen Infrastrukturen behandelt? Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen 10

11 Zur strukturierten Behandlung von Sicherheitsrisiken orientieren sich die meisten Standards am Risikomanagement-Kreislauf. Identifikation Überwachung Bewertung Steuerung 11

12 1. Identifikation von Bedrohungen: Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant? Methoden & Werkzeuge Checklisten und Workshops Fehler- und Angriffsbäume Best Practices und Historische Daten Fahrzeugkamera stören Datenkabel trennen Stromzufuhr unterbrechen Software manipulieren mit Laserpointer blenden gezielte Manipulation Bedienfehler über CAN-Bus über das Mobilfunknetz 12

13 1. Identifikation von Bedrohungen: Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant? Methoden & Werkzeuge Checklisten und Workshops Fehler- und Angriffsbäume Best Practices und Historische Daten Fahrzeugkamera stören Datenkabel trennen Stromzufuhr unterbrechen Software manipulieren mit Laserpointer blenden gezielte Manipulation Bedienfehler über CAN-Bus über das Mobilfunknetz 13

14 Die drei grundlegenden Schutzziele berücksichtigen die wesentlichen Risiken, die durch regelwidriges Verhalten entstehen. Vertraulichkeit Integrität Verfügbarkeit Schutz vor unbefugter Modifikation J. Anderson: Information Security in a Multi-User Computer Environment, Advances in Computers, V12, 1973, 1 35; Voydock & Kent: Security Mechanisms in High- Level Network Protocols, ACM Comp. Surveys 1983, ; NIST Computer Security Handbook (1995). 14

15 Die drei grundlegenden Schutzziele berücksichtigen die wesentlichen Risiken, die durch regelwidriges Verhalten entstehen. Vertraulichkeit Integrität Schutz vor unbefugter Modifikation Verfügbarkeit Schutz vor unbefugter Beeinträchtigung der Funktionalität J. Anderson: Information Security in a Multi-User Computer Environment, Advances in Computers, V12, 1973, 1 35; Voydock & Kent: Security Mechanisms in High- Level Network Protocols, ACM Comp. Surveys 1983, ; NIST Computer Security Handbook (1995). 15

16 Die drei grundlegenden Schutzziele berücksichtigen die wesentlichen Risiken, die durch regelwidriges Verhalten entstehen. Schutz vor unbefugtem Informationsgewinn Vertraulichkeit Integrität Schutz vor unbefugter Modifikation Verfügbarkeit Schutz vor unbefugter Beeinträchtigung der Funktionalität 16

17 Die meisten Bedrohungen gefährden die Safety, nur wenige die Security. SAFETY SECURITY Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen 17

18 Systematisierung von Bedrohungen Bedrohungen natürliche Ursache menschliche Ursache z.b. Feuer, Stromausfall gutartige Absicht böswillige Absicht menschl. Versagen zufällig gezielt z.b. Schadcode auf einer Webseite Social Engineering 18

19 Systematisierung möglicher Angreifer Außenstehende, Benutzer des Systems, Kommunikationspartner, Betreiber des Systems, Wartungsdienst Produzenten des Systems, Entwerfer des Systems, Produzenten der Entwurfs- und Produktionshilfsmittel, Entwerfer der Entwurfs- und Produktionshilfsmittel, Produzenten der Entwurfs- und Produktionshilfsmittel der Entwurfs- und Produktionshilfsmittel, Entwerfer der... 19

20 1. Identifikation von Bedrohungen: Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant? Herausforderung: Vollständige Erfassung aller Bedrohungen STRIDE Threat Model (und weitere) Spoofing: Tampering: Repudiation: Information disclosure: Denial of service: Elevation of privilege: Fälschen der eigenen Identitaẗ Fälschen oder Verändern von Daten Anwenden von Verschleierungstaktiken Unbefugte Preisgabe vertraulicher Informationen Unbefugte Beeinträchtigung der Funktionalität Unbefugtes Erlangen von Berechtigungen 20

21 2. Bewertung von Risiken: Wie groß sind Eintrittswahrscheinlichkeit und Schadenshöhe eines Schadensereignisses? Herausforderung: fundierte Bewertung Bewertung seltener Risiken und Risiken mit extremen Schäden erfolgt oft irrational. Überschätzung bei geringer Vertrautheit, fehlender Erfahrung oder hohen Schäden (Terrorismus, Flugzeugabsturz) Unterschätzung bei großer Vertrautheit mit dem Schaden (Bluthochdruck, Rauchen, Unfälle im Straßenverkehr, UV-Strahlung) Schadenshöhe Schadenswahrscheinlichkeit low med high low med high Risiko 21

22 3. Steuerung der Risiken: Welche Risiken sollen wie behandelt werden? Gesamtrisiko Risikovermeidung Schutzmaßnahmen Risikoanalyse Schadensbegrenzung Sicherheitsarchitektur Überwälzung Katastrophenplan Versicherungen Restrisiko nach Schaumüller-Bichl (1992) 22

23 Mechanismen gängiger Schutzmaßnahmen verhindern prevent Firewalls, Kryptographie, abschrecken deter drohende Strafverfolgung PRÄVENTIV ablenken deflect Attraktivität anderer steigern abschwächen mitigate Schadenshöhe verringern erkennen detect währenddessen oder danach REAKTIV erholen recover Notfallplan, Krisenmanagement 23

24 Die Priorisierung von Sicherheitsmaßnahmen sollte die Kosten möglicher Angriffe berücksichtigen. 24

25 3. Steuerung der Risiken: Welche Risiken sollen wie behandelt werden? Gesamtrisiko Risikovermeidung Schutzmaßnahmen Risikoanalyse Schadensbegrenzung Sicherheitsarchitektur Überwälzung Katastrophenplan Versicherungen Restrisiko nach: Schaumüller-Bichl (1992) 25

26

27 4. Überwachung der Risiken und Maßnahmen: Waren die Maßnahmen effektiv und effizient? Methode: Kennzahlen, Scorecards jährliche Verlusterwartung Reduktionsfaktor durch Schutzmechanismus Return on Security Investment 0,5 4 1 Mio. Mio. 50% 50% Mio Mio. Herausforderungen die richtigen Kennzahlen verwenden Kennzahlen richtig ermitteln Kennzahlen aktuell halten 27

28 Detaillierte Regulierung autonomer Fahrzeuge ist notwendige Voraussetzung für gewünschtes (?) Datenschutz- und Sicherheitsniveau. aber nicht hinreichend! 28

29 Wunsch: Verpflichtung zum Einsatz von Mechanismen des sog. technischen Datenschutzes zur Berücksichtigung aller Interessen. Beispiel: System zur Erkennung von Innentätern 29

30 Erkennung von Anomalien in Log-Daten :06: pmeier User logged in :06: pmeier User mounted share \\server\buchhaltung :07: pmeier User copied bytes (8 files) :07: pmeier User logged out. Alert pmeier hat Urlaub! Alert ungewöhnliche IP-Adresse für pmeier! Alert große Datenmenge! Ziel: zuverlässige Erkennung von Innentätern, aber keine vollständige Überwachung aller Mitarbeiter. 30

31 Alternative 1: Verschlüsselung der Log-Daten :06: pmeier User logged in :06: pmeier User mounted share \\server\buchhaltung :07: pmeier User copied bytes (8 files) :07: pmeier User logged out. Anwendung eines geeigneten kryptographischen Verfahrens (z.b: RSA + AES) vpkmvvgargt4b93u42h+vtb7lystc/9qakzzkqdjgxtzbq legozip5jipib4l98x2gofpfuhmegcftjaddbx2axxhherqotqh8aytkoectqsot8ftm KpbuyaqIep95+7fBpQN6+fiHvo0/pdx1OSCEgYAM69HV6XySIzDXBI2iDwyxg Y7DQEZ+jzQ6IlwX7iNHd6k3evdkg0qHP+jX4TVY+2hhm0i Deterministische Verschlüsselung einzelner Felder :06: U42h User logged in :06: U42h User mounted share \\server\buchhaltung :07: U42h User copied bytes (8 files) :07: U42h User logged out. 31

32 Alternative 2: Pseudonymisierung Eva sieht: Peter meldet sich um 9:15 Uhr an. Pseudonym Identifier :06:11 08:06:40 08:07:10 08:07: pmeier pmeier pmeier pmeier User logged in. IP User mountedip2 share \\server\buchhaltung User copied bytes (8 files). User16 pmeier User logged out. User84 mrichter :06:11 08:06:40 08:07:10 08:07:23 IP1 IP1 IP1 IP1 User16 User16 User16 User16 User logged in. User mounted share \\server\buchhaltung. User copied bytes (8 files). User logged out :15:11 IP1 User16 User logged in :17:23 IP1 User16 User mounted share \\server\peters-home Herausforderung: Inferenzangriffe durch den Betreiber verhindern 32

33 Alternative 3: Verschleierung user staff Aug 17:14 results.xlsx user staff Jan 2016 rltutorial.pdf user staff Mai v2-1.pdf user staff Mär 2015 sensorik.pdf user staff Jul 20:17 shmat_www15ar.pdf user staff Jul 12:09 sorted-graphs.txt user staff Jul 12:10 datensatz.pdf user staff Aug 13:47 worksheets2015.zip Summe ist oft charakteristisch Mittwoch 08:06:11 06:00:00 IP1 User16 User logged in :06:40 IP1 User16 User mounted share \\server\buchhaltung :07:10 IP1 User16 User copied ca bytes (8 files) :07:23 IP1 User16 User logged out. Aber ganz so einfach ist es nicht: Wenn Administratorin Eva weiß, dass sich Peter am Montag um 6 Uhr, am Dienstag um 12 Uhr, aber am Mittwoch überhaupt nicht angemeldet hat, kann sie inferieren, welches Pseudonym zu Peter gehört. 33

34 UMGANG MIT SICHERHEITSRISIKEN BEIM BETRIEB KRITISCHER INFRASTRUKTUREN Verletzlichkeitsparadoxon: In dem Maße, in dem ein Land in seinen Versorgungsleistungen weniger sto ranfa llig ist, wirkt sich jede Sto rung umso sta rker aus. Dr. Dominik Herrmann Folien: