IT-Risk-Management. V14: Prozessorientierte Sicherheitsanalyse

Transkript

1 1 IT-Risk-Management V14: Prozessorientierte Sicherheitsanalyse R. Grimm / D. Simić-Draws Institut für Wirtschafts- und Verwaltungsinformatik Universität Koblenz R. Grimm 1 /46 Inhaltsübersicht 1. IT-Sicherheitsanalyse 2. Perspektiven auf die IT-Sicherheit 1. Organisation 2. Technik 3. Recht 4. Anwender 3. Die prozessorientierte Perspektive 4. Die ProSA -Vorgehensweise 5. Beispiele R. Grimm 2 /46 Seite 1

2 2 Wdh.: IT-Sicherheit (abstrakte Definition) Sicherheit ist die Eigenschaft eines Systems, die dadurch gekennzeichnet ist, daß die als bedeutsam angesehenen Bedrohungen, die sich gegen die schützenswerten Güter richten, durch besondere Maßnahmen so weit ausgeschlossen sind, daß das verbleibende Risiko akzeptiert wird. (REMO 1992) R. Grimm 3 /46 IT-Sicherheit(-sanalyse) IT-Sicherheit Eigenschaft eines IT-Systems: Zustände, Übergangsregeln Einbezug Anwendungskontext: Interpretation Sicherheitszustände durch Menschen IT-Sicherheitsanalyse Überprüfung, Bewertung, Optimierung Sichten: Organisation (ITGS) Technik / IT-System (CC, diverse Kryptostandards) Recht (KORA, Corporate Governance) Anwender (Social Engineering, Interessenkonflikte) Prozesse (ProSA) R. Grimm 4 /46 Seite 2

3 3 Grundsicht der IT-Sicherheitsanalyse (Security) Beispiele: Werte / Güter Angriffe / Bedrohungen Sicherheits- Anforderungen Dokumente, Verträge, Kontostände Verlust, Entstellung, Enthüllung, Nicht-rechtzeitige Zustellung, Ableugnung Integrität, Vertraulichkeit, Anonymität, Authentizität, Verfügbarkeit, Nicht-Abstreitbarkeit Sicherheits- Maßnahmen (od. Mechanismen) Organisatorische (Zugang) Technische (AC, Verschlüss., Redundanz, Digitale Signatur, Beweissicherung) R. Grimm 5 /46 1) Systemanalyse 2) Schützenswerte Güter identifizieren Taxonomie der Grundbegriffe 3) Bedrohungsanalyse 4) SRE 5) Maßnahmen entwickeln und umsetzen Aus: Referenzmodell für ein Vorgehen bei der IT-Sicherheitsanalyse Eine Taxonomie der grundlegenden Begriffe. (Grimm et al.2014) R. Grimm 6 /46 Seite 3

4 4 Inhaltsübersicht 1. IT-Sicherheitsanalyse 2. Perspektiven auf die IT-Sicherheit 1. Technik 2. Organisation 3. Recht 4. Anwender 3. Die prozessorientierte Perspektive 4. Die ProSA -Vorgehensweise 5. Beispiele R. Grimm 7 /46 (1) Technische Sichtweise der IT-Sicherheit Detaillierte Untersuchung eines klar abgegrenzten IT-Systems (z. B. Chipkarte), oder eines Teils davon (z. B. verwendete Kryptografie), oder auch von Verbünden verschiedener IT-Systeme (z. B. PC + Router) Sicherheitsbewertung / Zertifizierung von IT-Systemen siehe V04! Common Criteria Bsp. Common Criteria Abstraktion von der Umgebung durch Annahmen Dadurch klarer Fokus auf die Technik Sprachmodell für Sicherheitsanforderungen (sog. SFRs) R. Grimm 8 /46 Seite 4

5 5 (2) Organisatorische Sichtweise der IT- Sicherheit The Big Picture IT-Systeme unterstützen Menschen bei seinen Aufgaben Mensch und IT ist eingebettet in organisatorischen Kontext Auch: Rechtliche Vorgaben Soziotechnisches System Angelehnt an (Sydow1985) R. Grimm 9 /46 (2) Organisatorische Sichtweise der IT- Sicherheit Sicherheitsbewertung / Zertifizierung von Organisationen siehe V4! ISO/IEC27001, BSI Grundschutz Risikomanagement Information Security Management System (ISMS) Bsp. BSI Grundschutz: Vereinfachung für Anwender durch Katalogformat Aber: spezifische Vorgehensweise bei Auswahl von Bedrohungen und Maßnahmen fehlt Gefahren: Mit Kanonen auf Spatzen d.h. überdimensionierte Sicherheit bzw. ggfls. wichtige neuralgische Punkte werden nicht entdeckt R. Grimm 10 /46 Seite 5

6 6 (3) Rechtliche Sichtweise der IT-Sicherheit Gesetzl. Vorschriften: Unterstützung Risikomanagement KonTraG EuroSOX Bundesdatenschutzgesetz (BDSG) etc. Ausgehend von rechtlichen Grundlagen können IT-Produkte rechtskonform entwickelt werden Bsp. KORA (Konkretisierung rechtlicher Anforderungen) Klar strukturierte Vorgehensweise Zusammenführung von Recht und Informatik Anforderungen von beiden Seiten überprüfbar Aber: IT-Sicherheitsbewertung nur unzureichend möglich R. Grimm 11 /46 (4) Anwenderorientierte Sichtweise der IT- Sicherheit IT-Systeme bestehen nicht für sich alleine! IT-Sicherheit ist im Kontext der handelnden Menschen zu betrachten Sicherheitsrisiko durch interne Angriffe bewusstes Fehlverhalten vs. unbewusstes Fehlverhalten Modelle des menschlichen Zusammenlebens: Juristisch Ökonomisch Soziologisch etc. Bsp. Social Engineering Fallspezifisch (jeder reagiert in einer best. Situation anders) Technik bietet hier keinen Schutz R. Grimm 12 /46 Seite 6

7 7 Überblick: Sichtweisen der IT-Sicherheit R. Grimm 13 /46 Fazit: Sichtweisen der IT-Sicherheit IT-Sicherheitsanalyse was fehlt? Anwendungskontext Vorgaben über Ausprägung der einzelnen Vorgehensschritte Skalierbare Zwischensicht Differenzierter Einbezug des Menschen Dynamische Betrachtung Systematische Herleitung von Schwachstellen und Bedrohungen bzw. IT-Sicherheitsanforderungen Lösung: Einführen einer prozessorientierten Sichtweise R. Grimm 14 /46 Seite 7

8 8 Inhaltsübersicht 1. IT-Sicherheitsanalyse 2. Perspektiven auf die IT-Sicherheit 1. Technik 2. Organisation 3. Recht 4. Anwender 3. Die prozessorientierte Perspektive 4. Die ProSA -Vorgehensweise 5. Beispiele R. Grimm 15 /46 Prozessorientierte Sichtweise Fokus auf (Geschäfts-) Prozesse einer Organisation Teilmenge Organisation Teilmenge Technik Teilmenge Recht Teilmenge Anwender R. Grimm 16 /46 Seite 8

9 9 Prozessorientierte Sichtweise Vorteile: Kontext ist durch Prozess gegeben Priorisierung: Wertschöpfende Geschäftsprozesse Nachvollziehbare Abgrenzung von zu untersuchender Technik, Menschen Interaktion zwischen Anwender und IT und damit Sicherheitsprobleme werden sichtbar Betrug, Ableugnung Interessenkonflikte Ausnutzen techn. / orga. Schwachstellen Dynamik wie z. B. Transformation von Geschäftswerten R. Grimm 17 /46 Prozessorientierte Sichtweise R. Grimm 18 /46 Seite 9

10 10 Prozessorientierte Sichtweise Forschung bislang in zwei Bereichen: 1. Sicherheitsmodellierung V.a. Erweiterung bestehender GPM-Notationen (semantisch, syntaktisch) Black-Side-Notations vs. White-Side-Notations Visualisierung von sicherheitsrelevanten Aspekten 2. Schwachstellenanalyse auf Basis von Prozessen Datengrundlage für Sicherheitsmodellierung Untersuchung von Prozess auf Schwachstellen Forschungsgegenstand D. Simić-Draws! Beide Bereiche: Teile einer IT-Sicherheitsanalyse R. Grimm 19 /46 Inhaltsübersicht 1. IT-Sicherheitsanalyse 2. Perspektiven auf die IT-Sicherheit 1. Organisation 2. Technik 3. Recht 4. Anwender 3. Die prozessorientierte Perspektive 4. Die ProSA -Vorgehensweise 5. Beispiele R. Grimm 20 /46 Seite 10

11 11 ProSA ProSA = Prozessorientierte Sicherheitsanalyse Datengrundlage: kontrollflussbasierte Prozessmodelle BPMN EPK Sechs Schritte Idealfall: mehrfacher Durchlauf zur ständigen Verbesserung R. Grimm 21 /46 ProSA Übersicht R. Grimm 22 /46 Seite 11

12 12 ProSA 1. Schritt: Prozessziel und Interessen identifizieren (1/2) Voraussetzung: Prozessmodell liegt vor Prozessziel identifizieren Schützenswertes Gut Ist Bedrohungen (Schwachstellen + Interessenkonflikte) ausgesetzt R. Grimm 23 /46 ProSA 1. Schritt: Prozessziel und Interessen identifizieren (2/2) Akteure identifizieren Intern = am Prozess beteiligt Extern = nicht am Prozess beteiligt Interessen identifizieren Erwünscht: Kooperation Akteure zum Erreichen des Prozessziels Unerwünscht: Durchsetzung eigener Interessen, Gefährdung PZ R. Grimm 24 /46 Seite 12

13 13 ProSA 2. Schritt: Prozess auf Übergangsregeln untersuchen (1/2) Prozesse bestehen aus Ereignissen und Aktivitäten Ereignis = Meilenstein, löst Aktivität aus Aktivität = Regelsatz zum Erreichen von nachgelagertem Meilenstein Satz an Übergangsregeln: transformiert E n über Aktivität in E n+1 Ziel: Erreichen von Meilensteinen R. Grimm 25 /46 ProSA 2. Schritt: Prozess auf Übergangsregeln untersuchen (1/2) Übergangsregeln spezifizierte Wechselwirkungen zwischen Akteuren und Ressourcen (auch IT) Ausprägung von Übergangsregeln nicht vorhanden (Kreativ-, Ad-hoc-Prozesse) technisch unterstützt (ERP-Systeme) nicht technisch unterstützt (Corporate Governance) Mischformen möglich! Ausprägung ist Anwendungsfallspezifisch! Grundlage für Bedrohungsanalyse: Menge aller Übergangsregeln des zu untersuchenden Prozesses R. Grimm 26 /46 Seite 13

14 14 ProSA 3. Schritt: Schwachstellen in Übergangsregeln identifizieren (1/2) Übergangsregeln stellen korrekten Prozessverlauf sicher Aber: Eingesetzten IT-Systeme haben Schwachstellen Schwachstellen können von Akteuren ausgenutzt werden zur Durchsetzung eigener Interessen (!= Kooperationsziel) Bedrohung der Übergangsregeln Schwachstellen (techn., orga., rechtl., anwenderbezogen) Interessenkonflikte R. Grimm 27 /46 ProSA 3. Schritt: Schwachstellen in Übergangsregeln identifizieren (2/2) Achtung! Formal korrekter Betrug nicht Gegenstand der Vorgehensweise Z. B. versteckt ablaufende Prozesse wie MITM, Mitlauschen oder wenn Prozessziel trotz Regelbruch erreicht wird Regelsatz für Aktivität A n Regel aus Regelsatz Typ Schwachstelle Beschreibung Schwachstelle (existierend und behoben) R[A.n] R[A.n.m] T / O / R / A T t [A.n.m.x]: Unverschlüsselte Nachricht T o [A.n.m.x]: Fehlende Prüfinstanz T r [A.n.m.x]: rechtl. Grundlage fehlt T a [A.n.m.x]: Social Engineering R. Grimm 28 /46 Seite 14

15 15 ProSA 4. Schritt: Sicherheitsanforderungen und maßnahmen ableiten (1/2) Je Bedrohung >= 1 Sicherheitsanforderung Technisch Organisatorisch Rechtlich Anwenderbezogen Sicherheitsmaßnahmen Implementieren Sicherheitsanforderungen Bestehende Ist-Maßnahmen Vorschlag Soll-Maßnahmen R. Grimm 29 /46 ProSA 4. Schritt: Sicherheitsanforderungen und maßnahmen ableiten (2/2) Aber: Prozesse sind ja nicht zu 100% ungeschützt Möglichst alle Schwachstellen ermitteln: Menge akuter Schwachstellen, d.h. ohne Ist-Maßnahmen Menge bereits abgewehrter Schwachstellen, d.h. mit Ist-Maßnahmen Regelsatz für Aktivität A n Sicherheitsanforderungen Ist- Sicherheitsmaßnahme Soll- Sicherheitsmaßnahme R[A.n] R[A.n.1] R[A.n.2] R[A.n.m] M ext [A.n.1] M ext [A.n.2] M ext [A.n.m] M fut [A.n.1] M fut [A.n.2] M fut [A.n.m] R. Grimm 30 /46 Seite 15

16 16 ProSA 5. Schritt: Vollständigkeit und Widerspruchsfreiheit prüfen (1/2) Sicherheitsanforderungen: Vollständigkeit: bzgl. Interessenlagen Widerspruchsfreiheit: untereinander R. Grimm 31 /46 ProSA 5. Schritt: Vollständigkeit und Widerspruchsfreiheit prüfen (2/2) Achtung bei Prüfung möglicher Widersprüche Reihenfolge Ereignisse und Aktivitäten können Prozessziel sowohl unterstützen als auch gefährden Keine isolierte Betrachtung der Übergangregeln! Wenn Widersprüche vorhanden sind: Anpassen der Maßnahmen R. Grimm 32 /46 Seite 16

17 17 ProSA 6. Schritt: Umsetzung der Maßnahmen im Prozess Spezifische Maßnahmen für spezifischen Prozess Interessenkonflikte bleiben bestehen Maßnahmen stellen Einhaltung der Übergangsregeln sicher Damit Erreichen des Prozessziels Ständige Überwachung und Optimierung des Prozesses Ständige Verbesserung Reaktion z. B. auf bekannt gewordene Sicherheitslücken Der neue, sicherheitsoptimierte Prozess ist Ausgangspunkt für erneuten Durchlauf der Analyse! R. Grimm 33 /46 Inhaltsübersicht 1. IT-Sicherheitsanalyse 2. Perspektiven auf die IT-Sicherheit 1. Organisation 2. Technik 3. Recht 4. Anwender 3. Die prozessorientierte Perspektive 4. Die ProSA -Vorgehensweise 5. R. Grimm 34 /46 Seite 17

18 18 1. Schritt: Prozessziel und Interessen identifizieren Dieses Prozessmodell wird Analysten zur Verfügung gestellt R. Grimm 35 /46 1. Schritt: Prozessziel und Interessen identifizieren Als Ergebnis erhofft sich der Händler Vorschläge zur Verbesserung der Sicherheit seines Prozesses Akteure: Kunde Händler Prozessziel: Verkauf einer Ware über das Internet [E.1] und [E.4]: Gleichgewicht zwischen Akteuren [E.2] und [E.3]: Gleichgewicht zwischen Akteuren [E.2] und [E.4]: Ungleichgewicht zu Gunsten des Kunden R. Grimm 36 /46 Seite 18

19 19 1. Schritt: Prozessziel und Interessen identifizieren Interessenlagen (abstrakt) Erwünscht (grün): Prozess befördernde Motivation Neutral (gelb): Individuelle Interessen weichen von Prozessziel ab Abweichung ist aber nicht so groß, das Prozessziel gefährdet ist Unerwünscht (rot): Individuelle Interessen weichen von Prozessziel ab Durchsetzung eigenes Interesse entgegen des Prozessziels Händler misstraut dem Kunden; er strebt Absicherung von Fair-Exchange an! R. Grimm 37 /46 1. Schritt: Prozessziel und Interessen identifizieren Händler misstraut dem Kunden; er strebt Absicherung von Fair-Exchange an! Grad der Beteiligung am Prozess: ebenfalls Relevant! Einschätzung nach Interesse und Beteiligung Akteur Interessenlage Beteiligung am Prozess Kunde Prozessziel gefährdend 2/3 der Aktivitäten (hoch) Händler Prozessziel unterstützend 1/3 der Aktivitäten (mittel) R. Grimm 38 /46 Seite 19

20 20 2. Schritt: Prozess auf Übergangsregeln untersuchen (1/2) Aktivität Ware bestellen R. Grimm 39 /46 2. Schritt: Prozess auf Übergangsregeln untersuchen (2/2) Aktivität Ware bestellen Regelsatz (Bsp.): WENN EVENT[Anbieter= UND [Ware= TolleSchuhe ] DANN [Aktion= In Warenkorb legen ], [Aktion= Checkout ], [Aktion= Eingabe Kundendaten ], [Aktion= Zahlung auf Rechnung ], [Aktion= Vorgang abschließen ] EVENT[ Ware() bei Anbieter() bestellt ] Aktivität SONST Abbruch der Aktivität Wird durch zwei implizite Ereignisse gestartet Resultiert in einem impliziten Ereignis Ausprägung der Aktivität kann unterschiedlich sein! R. Grimm 40 /46 Seite 20

21 21 3. Schritt: Schwachstellen in Übergangsregeln identifizieren Aktivität Ware bestellen Regel aus Regelsatz: [Aktion= Eingabe Kundendaten] Was kann hier passieren? T t : SQL-Injection / Manipulation der Shop-Datenbank Technische Schwachstelle Ziel: Auf Kosten des Händlers an die gewünschte Ware zu gelangen Wertung des Angriffs: Prinzipiell möglich, aber das o.a. Ziel erreicht der Angreifer auch einfacher R. Grimm 41 /46 2. Schritt: Prozess auf Übergangsregeln untersuchen (1/2) Aktivität Ware bestellen R. Grimm 42 /46 Seite 21

22 22 3. Schritt: Schwachstellen in Übergangsregeln identifizieren Aktivität Paket retournieren Mögliche Regel aus Regelsatz: [Aktion= Inhalt prüfen ] Was kann hier passieren? T o : Kunde behauptet, Paket sei nicht angekommen T o : Kunde behauptet, Inhalt entspricht nicht seiner Bestellung T R : Kunde behauptet, Paket sei ohne Inhalt gewesen Ziel: Auf Kosten des Händlers an die gewünschte Ware zu gelangen Wertung des Angriffs: Fast alle gut durchführbar R. Grimm 43 /46 4. Schritt: Sicherheitsanforderungen und maßnahmen ableiten (1/2) T t : Manipulation Shop-DaBa Authentifizierung Anwender Integrität DaBa-Einträge Nachvollziehbarkeit Zugriffe und DaBa-Änderungen T o : Erhalt Paket abstreiten Authentifizierung Empfänger Nichtabstreitbarkeit Empfang T o : Inhalt abstreiten Authentizität Inhalt Nichtabstreitbarkeit Inhalt R. Grimm 44 /46 Seite 22

23 23 4. Schritt: Sicherheitsanforderungen und maßnahmen ableiten (2/2) T t : Manipulation Shop-DaBa Authentifizierung Anwender: Username + PW Integrität DaBa-Einträge: Protokollierung Nachvollziehbarkeit Zugriffe und DaBa-Änderungen: Protokollierung T o : Erhalt Paket abstreiten Authentifizierung Empfänger: Ausweisen bei Briefträger mittels PA Nichtabstreitbarkeit Empfang: Unterschrift und Prüfung durch Briefträger T o : Inhalt abstreiten Authentizität Inhalt:? Nichtabstreitbarkeit Inhalt:? R. Grimm 45 /46 5. Schritt: Vollständigkeit und Widerspruchsfreiheit prüfen Dafür müssen alle Anforderungen und Maßnahmen ermittelt sein! Beispiele für widersprüchliche Anforderungen Authentizität und Anonymität Nichtabstreitbarkeit und Anonymität Abhängig von definierter Menge R. Grimm 46 /46 Seite 23

24 24 6. Schritt: Umsetzung der Maßnahmen im Prozess Abwägung zwischen Aufwand und Nutzen Sicherheit geht oft zu Lasten der Usability Zusätzliche Kosten Angemessenheit von Maßnahmen ( Kanonen auf Spatzen ) Sicherheitsoptimierter Prozess Grundlage für erneuten Durchlauf der Analyse R. Grimm 47 /46 Literaturhinweise Schmelzer, Hermann J.; Sesselmann, Wolfgang (2010): Geschäftsprozessmanagement in der Praxis. 7. überarbeitete und erweiterte Auflage. Carl Hanser Verlag, München Wien. Freund, Jakob; Rücker, Bernd (2012): Praxishandbuch BPMN 2.0. Carl Hanser Verlag, München Wien. Simon, Carlo; Hientzsch, Bernd (2014): Prozesseigner. Wissen & Methoden für Manager von Unternehmensprozessen. Springer Vieweg Fachmedien, Wiesbaden. Simić-Draws, Daniela; Bräunlich, Katharina (2014): Prozessmodell und -analyse für die Stadtrats- und Kommunalwahl 2014 in Koblenz. In: Workshop 'Elektronische Wahlen: Unterstützung der Wahlprozesse mittels Technik' auf der 44. Jahrestagung der Gesellschaft für Informatik. Simić-Draws, Daniela (2014): Ein Vorgehensmodell zur Durchführung einer prozessorientierten Sicherheitsanalyse. In: Tagungsband Multikonferenz Wirtschaftsinformatik 2014 (MKWI2014). S Grimm, Rüdiger; Simić-Draws, Daniela; Bräunlich, Katharina; Kasten, Andreas; Meletiadou, Anastasia (2014): Referenzmodell für ein Vorgehen bei der IT-Sicherheitsanalyse. In: Informatik-Spektrum. S Simić-Draws, Daniela; Neumann, Stephan; Kahlert, Anna; Richter, Philipp; Grimm, Rüdiger; Volkamer, Melanie; Roßnagel, Alexander (2013): Holistic and Law Compatible IT Security Evaluation: Integration of Common Criteria, ISO 27001/IT-Grundschutz and KORA. In: International Journal of Information Security and Privacy Simić-Draws, Daniela; Grimm, Rüdiger; Ritter, Harald (2012): Process-based Derivation of IT-Security Objectives for a Common Criteria Protection Profile. In: Proceedings of the Norwegian Information Security Conference NISK Trondheim, Norwegen: S R. Grimm 48 /46 Seite 24

25 25 Beispielfragen 1. Definieren Sie den Begriff IT-Sicherheit 2. Nennen Sie die Perspektiven auf die IT-Sicherheit 3. Aus welchen Schritten besteht eine IT-Sicherheitsanalyse? 4. Nennen Sie Vorteile einer prozessorientierten Betrachtung 5. Nennen und erläutern Sie die sechs Schritte der ProSA-Vorgehensweise 6. Wie kann die Vollständigkeit einer Menge ermittelter Anforderungen sichergestellt werden? 7. Wie kann die Widerspruchsfreiheit einer Menge ermittelter Anforderungen sichergestellt werden? 8. Nennen Sie zwei Beispiele sich ausschließender Sicherheitsanforderungen und begründen Sie R. Grimm 49 /46 Seite 25