Sicherheitsprofil für eine SaaS Collaboration Plattform Teil 2: Bedrohungs- und Risikoanalyse
CSC Deutschland Solutions GmbH Abraham-Lincoln.Park1 65189 Wiesbaden www.csc.com/de Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn E-Mail: cloudsecurity@bsi.bund.de Internet: https://www.bsi.bund.de/cloud Bundesamt für Sicherheit in der Informationstechnik 2014
Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung... 5 2 Bedrohungs- und Risikopotentiale... 8 2.1 Die signifikantesten Cloud Computing Bedrohungen...8 2.2 Cloud Computing Schwachstellen... 9 2.2.1 Organisatorische Schwachstellen... 9 2.2.2 Technische Schwachstellen und Sicherheitslücken...10 3 Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform...13 3.1 Akteure... 15 3.1.1 Enduser Service Subscriber... 15 3.1.2 IT-Administrator Subscriber... 15 3.1.3 IT-Administrator Provider... 15 3.1.4 Sub-Provider... 16 3.2 Komponenten... 16 3.2.1 Access und Delivery Layer... 16 3.2.2 Cloud Service Layer... 16 3.2.3 Cloud Management Plane... 17 3.2.4 Resource Control Layer... 17 3.3 Kommunikation Subscriber Cloud Service Provider...18 3.4 Vorgehen... 18 Abbildungsverzeichnis Abbildung 1: Sicherheitsthemen im Kontext Collaboration...13 Abbildung 2: Übersicht über im SaaS Collaboration Modell involvierte Akteure und Komponenten...14 Abbildung 3: Sicherheitsaspekte im Resource Control (Composition & Orchestration) Layer...17 Tabellenverzeichnis Tabelle 1: Bedrohungen und Sicherheitseigenschaften...5 Tabelle 2: Neun sicherheitskritische Bedrohungen für Cloud Computing...8 Tabelle 3: Muster der Bedrohungs-und Risikosteckbriefe...18 Tabelle 4: ALARP Graph... 19 Bundesamt für Sicherheit in der Informationstechnik 3
Einleitung 1 1 Einleitung Die Nutzung einer als Software-as-a-Service (SaaS) bereitgestellten Collaboration Platform bedeutet für den Cloud-Service-Abonnenten die Inanspruchnahme von Rechen- und Speicherkapazitäten sowie IT-Infrastrukturen für eine unternehmensweite oder auch unternehmensübergreifende Kommunikationsplattform. Ziel ist die Nutzung eines Netzwerk-gestützten Kommunikationsraums für den Austausch von Ideen und Informationen oder die gemeinsame Erstellung von Dokumenten einer verteilten, im Allgemeinen aber geschlossenen Benutzergruppe. Grundsätzlich ist dabei davon auszugehen, dass eine unbefugte Kenntnisnahme, eine Manipulation oder auch ein Verlust der ausgetauschten Informationen das Ansehen und die Geschäftstätigkeit des Serviceabonnenten mindestens beeinträchtigt und in der Folge auch zu einem Ansehens- und Vertrauensverlust des Serviceproviders führt. Vor diesem Hintergrund wurden in Teil 1 dieses Dokuments - Sicherheitsanforderungen - der Schutzbedarf hinsichtlich der Vertraulichkeit und Integrität sowohl für die über die Plattform ausgetauschten Informationen wie auch für die Nutzerkontodaten des Cloud-Service-Abonnenten als hoch eingestuft. Für den Cloud-Service-Provider erwächst hieraus die Verantwortung, durch geeignete technische und organisatorische (Sicherheits-)Maßnahmen dafür Sorge zu tragen, dass eine unbefugte Kenntnisnahme, eine Manipulation oder auch ein Verlust der ihm anvertrauten Daten des Cloud-Service-Abonnenten nach Maßgabe zu erwartender Gefährdungen zuverlässig ausgeschlossen und die Collaboration Platform mit der vereinbarten Leistungsgüte bereitgestellt werden kann. In diesem Dokument werden Bedrohungen für das Einsatzszenario Collaboration Platform als SaaS in einer Cloud Computing Umgebung (gemäß IETF Cloud Stack) nach dem STRIDE-Modell beschrieben. Dafür wird das Akteursmodel aus dem ersten Teil zur Grundlage genommen und für die involvierten Komponenten, Akteure und Verbindungen Bedrohungen nach STRIDE ermittelt. STRIDE ist ein Akronym und steht für Spoofing (nachahmen, Vortäuschen einer Identität), Tampering (fälschen, manipulieren von Daten), Repudiation (Abstreiten einer Handlung), Information Disclosure (aufdecken, veröffentlichen von Informationen), Denial of Service (Dienstverweigerung) und Elevation Privilege (unzulässige Erweiterung von Rechten). STRIDE wurde 2002 von Microsoft für die Klassifizierung von Angriffsmustern entwickelt. Das Angriffsmuster Spoofing zielt vor allem auf Schwachstellen in der Authentifizierung. Tampering fokussiert vornehmlich auf die Veränderung (Manipulation) von persistenten Daten, wie Log-Dateien, oder Angriffen auf die Integrität von Daten, die über Netze transportiert werden. Ziel von Repudiation ist die Verschleierung (Bestreiten) böswilliger oder auch fahrlässiger Handlungen, in einer Collaboration Platform beispielsweise die Manipulation von Ressourcen, was dazu führt, das Vertrauen in die Plattform zu beschädigen. Information Disclosure bezeichnet nicht autorisierte Zugriffe auf Datenbanken oder die unbefugte Weitergabe ausgetauschter Informationen. Zu den Denial of Service Angriffen gehören die Überlastung netzbasierter Infrastrukturen oder auch die Manipulation von Konfigurationsdaten, mit dem Ziel eine Störung oder einen Ausfall der Verfügbarkeit eines Dienstes, hier der Collaboration Platform, herbeizuführen. Elevation of Privilege klassifiziert Angriffe, die bspw. mittels Buffer-Overflows oder SQL-Injections darauf abzielen, eigene Berechtigungen im Umgang mit der Collaboration Platform zu erhöhen. Die folgende Tabelle ordnet Bedrohungen den Eigenschaften zu, die davor schützen. Tabelle 1: Bedrohungen und Sicherheitseigenschaften 1 Bedrohung Spoofing Tampering (Datenmanipulation) Repudiation (Abstreitung) Information disclosure (Veröffentlichung von Sicherheitseigenschaft Authentifizierung Integrität Nichtabstreitbarkeit Vertraulichkeit 1 Quelle: Hernan, S., Lambert, S., Ostwald, T., Shostack, A.: Aufdecken von Fehlern im Sicherheitsentwurf mithilfe des STRIDE-Ansatzes, abgerufen unter http://msdn.microsoft.com/de-de/magazine/cc163519.aspx am 05.09.2013 Bundesamt für Sicherheit in der Informationstechnik 5
1 Einleitung Bedrohung Sicherheitseigenschaft Informationen) Denial of Service (Dienstverhinderung) Verfügbarkeit Elevation of Privilege (Rechteerweiterung) Autorisierung Auf der Grundlage der STRIDE Klassifikation wird in den Anlagen zu diesem Dokument in Form von Steckbriefen exemplarisch aufgezeigt, wie eine Bedrohungs- und Risikoanalyse für die Akteure, Komponenten und Kommunikationsverbindungen einer als SaaS bereitgestellten Collaboration Platform aus der Perspektive des IETF Cloud Computing Stack durchgeführt werden kann. Darüber hinaus werden Restrisiken und Bereiche für detailliertere Untersuchungen benannt, die Gegenstand für weitere Analysen sein sollten. Rein kombinatorisch ergeben sich aus den vier Cloud-Komponenten (Access & Delivery Layer, Cloud Service Layer, Cloud Management Layer, Ressource Assignment), den internen und externen Kommunikationsverbindungen und den 6 STRIDE-Kategorien 6*6=36 Risiken, die für die vier Akteure (Subsciber End User, Subscriber User Admin, CSP Admin, Sub-Provider) insgesamt 4*36=144 Risikoausprägungen ergeben. Einige von den Ausprägungen fallen jedoch weg, da bestimmte Akteure nicht auf alle Komponenten zugreifen können. Auf Grundlage der folgenden Überlegungen werden die Risiken (und 120 Risikoausprägungen) noch weiter konsolidiert: Für dieses Dokument wird davon ausgegangen, dass der Abonnent (in den verschiedenen Rollen als Benutzer und Administrator) ein eigenes ISMS betreibt. Daher werden die gemäß STRIDE klassifizierten Bedrohungen bei ihm hier nicht näher betrachtet. STRIDE Angriffsmuster der externen Kommunikationswege lassen sich, bis auf die Verfügbarkeit durch den Internet-Service-Provider, alle auf die nach STRIDE klassifizierten Bedrohungen des Access und Delivery Layer zurückführen und werden dort mit betrachtet (verbleiben 5*6+1=31 Risiken). Die gemäß STRIDE klassifizierten Bedrohungen der internen Kommunikationswege lassen sich alle (bis auf Verfügbarkeit) auf STRIDE Angriffsmuster der internen Komponenten abbilden und werden dort mit betrachtet. Da Verfügbarkeit von externen und internen Verbindungen das gleiche Risiko ist, werden beide Risiken zusammen betrachtet (verbleiben 4*6+1=25 Risiken). Grundsätzlich lässt sich die Abstreitung von Handlungen durch Logging und Monitoring der jeweiligen Komponenten erledigen. Daher wird die Abstreitung nur einmal betrachtet (verbleiben 4*5+1+1=22 Risiken). Die Bedrohungen von Sub-Providern bzw. Ketten von Sub-Providern und die damit einhergehenden Risiken können, mit einer entsprechenden Vertragsgestaltung, auf die Sub-Provider übertragen werden. Die Bedrohungen nach STRIDE im Cloud Service Layer bedingen, dass zuvor eine Bedrohung im Access und Delivery Layer eingetreten ist. Dessen ungeachtet, stellen die Manipulation (Tampering), die auch die Rechteeskalation als einen besonderen Fall der Manipulation umfasst, und Information Disclosure durch ungenügende oder fehlerhafte Mandantentrennung hier ernsthafte Bedrohungen dar (verbleiben 3*5+1+1+2=19 Risiken). Im Cloud Management Layer werden auch die Sicherheitsdienste des Cloud Providers selbst verwaltet. Daher sind hier besonders die Manipulation und die Rechteeskalation wichtig. Alle weiteren STRIDE Angriffsmuster werden mit den nach STRIDE klassifizierten Bedrohungen des Access und Delivery Layer mit behandelt (verbleiben 2*5+1+1+2+1=16 Risiken). Die gemäß STRIDE klassifizierten Bedrohungen des Ressource Assignment Layers lassen sich nahezu vollständig durch STRIDE Angriffsmuster im Access und Delivery Layer oder im Cloud Management Layers abbilden, da der Zugriff nur über den Access & Delivery-Layer oder den Cloud Management-Layer geschehen kann. Lediglich der Vertraulichkeitsverlust und die Verfügbarkeit werden hierfür näher betrachtet (verbleiben 5+1+1+2+2+2=13 Risiken). Insgesamt bleiben so dreizehn Bedrohungen übrig: für das Access & Delivery Layer: Spoofing, Tampering, 6 Bundesamt für Sicherheit in der Informationstechnik
Einleitung 1 Repudiation, Information Disclosure, Denial of Service und Elevation of Privilege, für das Cloud Service Layer: Tampering und Information Disclosure für die Cloud Management Plane: Tampering und Elevation of Privilege für das Cloud Ressource & Orchestration Layer: Information Disclosure und Denial of Service für die Kommunikation des Serviceabonnenten mit der Access & Delivery Layer Denial of Service. Die gemäß STRIDE Klassifikation ausführliche Beschreibung möglicher Bedrohungen für das Access & Delivery Layer begründet sich daher vornehmlich aus der Einschätzung, dass es sich hierbei um eine sehr kritische Komponente handelt, da über diese Komponente sowohl berechtigte als auch unberechtigte Nutzer und Administratoren Zugriff auf die Cloud Services und Daten nehmen können. Die Bedrohungs- und Risikoanalyse nimmt dabei vornehmlich Gefährdungen in den Blick, denen die im IETF Cloud Stack benannten Schichten und Komponenten nach heutigem Kenntnisstand ausgesetzt sind. Ziel ist es nicht, mögliche oder auch nur vorstellbare Angriffsszenarien zu beschreiben. In Teil 3 dieses Dokuments werden technische, organisatorische und personelle Maßnahmen beschrieben, die geeignet sind, den im diesem zweiten Teil beschriebenen Bedrohungen angemessen zu begegnen. Eine Bedrohungs- und Risikoanalyse für die darunter liegenden Cloud Computing Services, also Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), ist nicht Gegenstand der Betrachtung. Bundesamt für Sicherheit in der Informationstechnik 7
2 Bedrohungs- und Risikopotentiale 2 Bedrohungs- und Risikopotentiale Alljährlich veröffentlicht die Cloud Security Alliance, eine Non-Profit-Organisation mit 48.000 Mitgliedern weltweit, eine Rangliste von Sicherheitsbedrohungen für Cloud Computing. Nicht alle davon sind neu, die meisten sind schon aus dem klassischen IT-Outsourcing Umfeld bekannt. Neu ist die Anzahl und die Wechselwirkung von Herausforderungen und Risiken für die IT in der Cloud, verursacht vor allem durch die dynamische Skalierung und die Virtualisierung physischer Ressourcen. Das gilt natürlich auch für Software-as-a-Service Dienstleistungen. 2.1 Die signifikantesten Cloud Computing Bedrohungen Für das Jahr 2013 benennt die Cloud Security Alliance neun sicherheitskritische Bedrohungen für Cloud Computing: 2 Tabelle 2: Neun sicherheitskritische Bedrohungen für Cloud Computing 1. Dateneinbrüche: ermöglicht durch die ungenügende oder unsichere Trennung von Daten und Anwendungen, eine ungenügende Authentifikation und Autorisierung beim Zugriff auf Daten und Anwendungen, die inkonsistente Nutzung von Verschlüsselungsmaßnahmen oder die Aufdeckung von Schlüsselmaterial, mit dem die Daten in der Cloud gesichert werden sollen. Nach dem Bericht kann die Aufdeckung und der Missbrauch von Schlüsselmaterial auch über virtuelle Maschinen hinweg, die auf demselben physikalischen Server zum Einsatz kommen, nicht ausgeschlossen werden. 2. Datenverlust: durch böswillige Angriffe, fahrlässiges Verhalten des Providers, eine ungenügende Absicherung beherrschbarer physischer Ereignisse, aber auch ein unsicherer Umgang des Serviceabonnenten mit Schlüsselmaterial. 3. Account oder Service Traffic Hijacking: durch Fälschung, Diebstahl und Missbrauch von Authentifikations- und Autorisierungsdaten 4. Unsichere Schnittstellen: Cloud computing stellt den Nutzern eine Reihe komplexer Schnittstellen für das Management des Service zur Verfügung. Dieselben Schnittstellen werden ggf. auch durch den Serviceprovider für die Bereitstellung, das Management, die Orchestrierung und Überwachung der Dienstleistung und die Inanspruchnahme von Dienstleistungen Dritter genutzt. Unsichere Authentisierungs- und Autorisierungsmaßnahmen, unzureichendes Monitoring und Protokollierung (logging) der Nutzung dieser Schnittstellen oder auch unbekannte, unentdeckte Abhängigkeiten bedrohen die Vertraulichkeit, STRIDE Klassifikation Information disclosure Repudiation Denial of Service Spoofing Tampering Repudiation Information disclosure Elevation of privilege Tampering Repudiation Information disclosure Elevation of privilege 2 https://cloudsecurityalliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013/ abgerufen am 01.09.2013 8 Bundesamt für Sicherheit in der Informationstechnik
Bedrohungs- und Risikopotentiale 2 Integrität und Verfügbarkeit der Anwendung. 5. Dienstverhinderung: durch Distributed Denial of Service (DDoS) Attacken, aber auch zunehmend asymmetrische Angriffe auf Schwachstellen von Webservern, Datenbanken oder anderen Cloud Ressourcen. 6. Böswillige Insider: die Schadenswirkungen durch böswillige Aktionen von Mitarbeiten des Cloud Dienstleister werden verstärkt durch die Konvergenz von IT-Dienstleistungen seitens des Providers und der Servicekonsumenten unter einer gemeinsamen Managementdomäne sowie dem generellen Mangel an Transparenz der Prozesse und Abläufe des Dienstleisters. Unzureichende Sicherheitsüberprüfungen oder Zugriffskontrollen auf sicherheitskritische Bereiche steigern die Attraktivität der Möglichkeiten interner Angriffe nicht nur für Hobbyhacker. 7. Missbrauch: durch ungenügende oder unsichere Registrierungsprozesse sowie eine unzureichende Überwachung des Netzverkehrs und der Nutzung von Cloud Dienstleistungen. Cloud Provider bieten ihren Kunden die Hoffnung auf unbegrenzte Rechenleistung, Netz- und Speicherkapazität in Kombination mit einem reibungslosen Anmeldeprozess. Jedermann mit einer gültigen Kreditkarte kann sich registrieren und sofort beginnen, die Cloud Dienstleistung zu nutzen. Der mögliche Missbrauch relativer Anonymität in Kombination mit der Nutzung gemeinsamer Ressourcen durch unterschiedliche Serviceabonnenten erleichtert das Hosting und die Ausführung von Schadcode und damit die Kompromittierung von Anwendungen und Daten. 8. Unzureichende Sensibilisierung und Bewertung (Audits) von Sicherheitsrisiken sowie unsichere Wahrnehmung und Reaktionsfähigkeit auf sicherheitskritischer Ereignisse 9. Technologische Bedrohungen: durch Technologien oder Anwendungen, die für eine strikte Isolierung in Mandanten-fähigen Umgebungen ungeeignet sind. Nur eine Anwendungsschwachstelle oder falsche Konfiguration reicht aus, um die gesamte Dienstleistung zu gefährden. Denial of Service Spoofing Tampering Information disclosure Elevation of privilege Spoofing Information disclosure Information disclosure Elevation of privilege 2.2 Cloud Computing Schwachstellen In ihrem Bericht weist die Cloud Security Alliance ausdrücklich darauf hin, dass für ein erfolgreiches Risikomanagement ein Verständnis der Art der Bedrohungen, möglicher Ursachen oder Angriffspunkte unabdingbar ist. Eine wichtige Grundlage hierfür ist die Wahrnehmung und angemessene Berücksichtigung bekannter Schwachstellen und möglicher Sicherheitslücken im operativen Cloud Computing Modell. Dazu gehören: 2.2.1 Organisatorische Schwachstellen (1) Informationssicherheits-Management: Ein fehlendes oder unzureichendes Informationssicherheits-Management fußt in der Regel auf einer unzulänglichen Bewertung organisatorischer und technischer Risiken und führt zwangsläufig zu einem unzureichenden Risikomanagement sowie fehlenden oder unzureichenden Sicherheitsrichtlinien und einer angemessenen Kontrolle ihrer Umsetzung. Bundesamt für Sicherheit in der Informationstechnik 9
2 Bedrohungs- und Risikopotentiale (2) Sicherheitsrichtlinien: Fehlende oder unzureichende Sicherheitsrichtlinien sowie die ungenügende Kontrolle ihrer Umsetzung begünstigen die fahrlässige oder beabsichtigte Umgehung von Sicherheitsmaßnahmen, den fahrlässigen oder böswilligen Umgang mit sicherheitsrelevanten Informationen. (3) Trennung von Zuständigkeiten: Fehlende oder ungenügende Trennung von Zuständigkeiten (least privilege) erleichtern die fahrlässige oder auch böswillige Eskalation von Zugriffsrechten. (4) Konfigurations- und Änderungsmanagement: Fehlende oder unzureichende Test- und Freigabeverfahren für Konfigurations-, Software- und Hardwareänderungen, Updates und Patches, begünstigen das Eintreten von Fehlfunktionen sowie externe Angriffe durch nicht entdeckte oder noch nicht behobene Schwachstellen und Abhängigkeiten. (5) Management kryptografischer Infrastrukturen: Sicheres Cloud Computing erfordert ein sicheres Management kryptografischen Materials zur Verschlüsselung von Kommunikationskanälen und gespeicherter Daten, zur zuverlässigen Authentisierung von Serviceprovidern und Servicenutzern oder (geographisch) verteilten physischen Ressourcen. Das Management und die zuverlässige Replikation kryptographischer Infrastrukturen, bspw. von Hardware-Sicherheits-Modulen (HSM) in verteilten Umgebungen ist eine besondere Herausforderung und demzufolge auch mit einer Reihe besonderer Risiken behaftet. (6) Schulungsmaßnahmen: Fehlende oder ungenügende Schulungen von Mitarbeitern begünstigen die fahrlässige Administration und Konfiguration der Cloud Plattform und führen ggf. zu unangemessenen oder unzureichenden Reaktionen auf sicherheitsrelevante Ereignisse. (7) Sicherheitsüberprüfung: Fehlende oder unzureichende regelmäßige Sicherheitsüberprüfungen erleichtern Angriffe durch böswillige Insider. (8) Zutrittskontrolle: Fehlende oder unzureichende Zutrittskontrollen zu sicherheitsrelevanten Betriebsräumen erleichtern den Diebstahl oder die Beschädigung von Geräten und Infrastrukturen sowie den nicht autorisierten Zugriff auf Medien. (9) Planung von Ressourcen: Eine ungenügende oder fehlerhafte Planung der Ressourcennutzung kann zu einer unerwarteten Erschöpfung virtueller und physischer Ressourcen und damit zu einer (partiellen) Nichtverfügbarkeit der angebotenen Dienstleistung führen. (10) Backup: Eine fehlende oder unzureichende Vorsorge für beherrschbare physische Ereignisse wie Stromausfall, Feuer oder Wassereinbruch kann zu einem Totalverlust gespeicherter Daten führen. (11) Kundenmanagement: Eine fehlende oder unzureichende Identifikation und Prüfung von Serviceabonnenten erleichtert externen Angreifern den Zugriff auf gemeinsam genutzte Ressourcen und damit gegebenenfalls den unbefugten Zugang zu Informationen. (12) Kundenmanagement: Nicht aufgelöste Konflikte zwischen Sicherheitsanforderungen von Serviceabonnenten und der verfügbaren Cloud Umgebung können zu einem erhöhten Sicherheitsrisiko für die Daten des Serviceabonnenten führen. (13) Management von Sub-Dienstleistern: Unzureichende oder fehlende Überwachung zugesicherter Leistungen durch Subdienstleister können die Verfügbarkeit des Services gefährden. (14) Mangelnde Transparenz: Mangelnde Transparenz über die Spiegelung von Daten oder die Inanspruchnahme von Rechenleistung an verteilten Standorten unterschiedlicher Rechtshoheit kann für den Serviceabonnenten zu einer fahrlässigen Verletzung rechtlicher Regelungen führen und in der Folge ziviloder strafrechtliche Konsequenzen nach sich ziehen. 2.2.2 Technische Schwachstellen und Sicherheitslücken (1) IAA: Unsichere Identifikations-, Authentifikations- und Autorisierungsmechanismen erleichtern den nicht autorisierten Zugriff auf Daten und Ressourcen, die Eskalation von Zugriffsrechten, die 10 Bundesamt für Sicherheit in der Informationstechnik
Bedrohungs- und Risikopotentiale 2 Verschleierung des Missbrauchs von Ressourcen und behindern die Entdeckung sicherheitsrelevanter Ereignisse. (2) Unsichere Managementinterfaces: Die unsichere oder unzureichende Überwachung von Managementschnittstellen begünstigt die Eskalation von Zugriffsrechten, die fahrlässige oder auch böswillige Manipulation von Konfigurationsdaten, den fahrlässigen oder auch böswilligen Missbrauch von virtuellen oder physischen Ressourcen. (3) Unsichere Kommunikationskanäle: Die ungenügende kryptographische Sicherung von Kommunikationsendpunkten, -kanälen und -protokollen erleichtert das Abhören und die Übernahme von Kommunikationssitzungen. Begünstigt wird ein solcher Angriff durch unsichere Authentifikationsmechanismen oder die Akzeptanz selbst-signierter Software-Zertifikate. (4) Unzureichende Datenverschlüsselung: Fehlende oder unzureichende Verschlüsselung bewegter und gespeicherter Daten erleichtert die Aufdeckung und den Missbrauch von Informationen. (5) Unsichere Ressourcentrennung: Die unsichere Trennung (Segregation) von Ressourcen und Anwendungen erleichtert den nicht autorisierten Zugriff auf Information sowie den Missbrauch von Ressourcen. (6) Unsicheres Kryptographisches Schlüsselmaterial: Die Erzeugung und der Einsatz von Verschlüsselungsmaterial ungenügender Entropie erleichtert die Aufdeckung verschlüsselter Informationen. (7) Ressourcenerschöpfung: Fehlerhafte Ressourcenallokationsalgorithmen und -prozeduren können eine unerwartete Ressourcenerschöpfung zur Folge haben. (8) SIEM: Das Fehlen oder eine unzureichende Aggregation und Korrelation von Systemaktivitäten in einem zentralen Informationssicherheitsmonitor (SIEM) behindern die rechtzeitige Entdeckung und Abwehr des Missbrauchs von Ressourcen oder externer Angriffe. (9) Unzureichende Forensische Fähigkeiten: Unzureichende forensische Mittel und Fähigkeiten behindern die Entdeckung und Abwehr externer Angriffe. (10) Unzureichende Schwachstellentests: Unzureichende oder unregelmäßige Schwachstellentests erhöhen die Gefahr der Ausnutzung von Schwachstellen der Konfiguration und Topologie der Cloud Plattform. (11) Unsicheres Orchestration Management: Ein unsicheres Resource Orchestration Management oder eine Kompromittierung der Resource Orchestration Management Schnittstelle erhöht die Gefahr eines unsicheren oder unzuverlässigen Zusammenspiels der in die Dienstleistung involvierten Services und des Missbrauchs der involvierten Ressourcen. (12) Unsichere Konfiguration: Eine unsichere Konfiguration durch die fehlerhafte Bedienung oder ungenügende Überwachung der Nutzung von Management Schnittstellen kann externe Angriffe erleichtern oder Fehlfunktionen und den Ausfall beteiligter Komponenten auslösen. (13) Unsichere Hypervisoren: Die erfolgreiche Ausnutzung von Schwachstellen in Hypervisoren bedeutet einen erfolgreichen Angriff auf sämtliche virtuellen Maschinen, die unter ihrer Kontrolle laufen. (14) Unsichere Migration: Die unsichere Migration oder Replikation virtueller Maschinen erleichtert die feindliche Übernahme virtueller Maschinen. (15) Fehlende Standards: Fehlende oder unzureichende Standards können ebenso wie der fehlende oder unzureichende Einsatz von Standardtechnologien und Standardlösungen Inkompatibilitäten, neue und unentdeckte Schwachstellen sowie ein unerwünschtes lock-in zu einem Provider zur Folge haben. (16) Unsicherer Einsatz von HIDS: Der unzureichende oder unsichere Einsatz (die unsichere Konfiguration) von Host-based Intrusion Detection Systemen behindert die Entdeckung und Abwehr lokaler Angriffe. Bundesamt für Sicherheit in der Informationstechnik 11
2 Bedrohungs- und Risikopotentiale (17) Unsicherer Einsatz von NIDS: Der unzureichende oder unsichere Einsatz (die unsichere Konfiguration) von Netzwerk Intrusion Detection Systemen verhindert die sichere Überwachung des Netzverkehrs mit der Cloud Plattform bzw. verteilt eingesetzten Komponenten. (18) Unzureichende Härtung: Die unzureichende oder unsichere Härtung von Betriebssystemen erleichtert lokale bzw. Netzwerk-basierte Angriffe. (19) Unzureichende Redundanz: Eine ungenügende redundante Auslegung virtueller und physischer Ressourcen kann zu einer unerwarteten Erschöpfung von Ressourcen oder der Nicht-Verfügbarkeit des Service im Falle des Eintritts unerwarteter physischer Ereignisse (wie Stromausfall, Brand, oder Wassereinbruch). (20) Unzureichende Wartung: Unregelmäßige Wartungsmaßnahmen, wie das unregelmäßige Einspielen von Sicherheitsupdates oder -patches erleichtert die Ausnutzung neuer Softwareschnittstellen durch externe Angreifer. 12 Bundesamt für Sicherheit in der Informationstechnik
Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform 3 3 Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform Für eine Cloud Collaboration Platform lassen sich eine Reihe unterschiedlicher Gefährdungen erkennen. Dazu zählen elementare Ereignisse ebenso wie technisches Versagen, Fehlverhalten und vorsätzliche Angriffe. Entgegen der öffentlichen Wahrnehmung sind dabei interne Gefährdungen (Fehlverhalten oder vorsätzliche Handlungen) mindestens ebenso wahrscheinlich, wie folgenreich. Für den Austausch sensibler Informationen über eine Cloud Umgebung ist deshalb gerade auch der Schutz gegenüber internen Gefährdungen von nicht zu unterschätzender Bedeutung. Dabei geht es sowohl um physische wie auch logische Schutzmaßnahmen. Zu den logischen Schutzmaßnahmen gehören vor allem die strikte Durchsetzung von Zugriffsrechten und adäquaten Zugriffskontrollen auf Datenobjekte, Server und Datenträger auf der Grundlage sicherer Authentifikationsprozesse und der Verschlüsselung der Speichermedien. Abbildung 1: Sicherheitsthemen im Kontext Collaboration Die Sicherheit der Collaboration beginnt mit der Nutzung sicherer Anwendungen auf der Nutzerseite, insbesondere beim Zugriff über (W)LAN und WAN. Durch die Cloud Umgebung muss daher vor allem eine sichere Authentisierung und Segregation unterschiedlicher Serviceabonnenten durchgesetzt werden. Quelle: Schulz, G.: Cloud and Virtual Data Storage Networking, CRC Press Boca Raton FL 2012, p. 76 Ein besonderes Gewicht im Kontext einer Collaboration Platform erhält die sichere Trennung der Mandanten im Access & Delivery Layer sowie dem Resource Control und Orchestration Layer und dem Resource Abstraction und Virtualization Layer des IETF Cloud Stacks. In Abhängigkeit von der Schutzbedürftigkeit bewegter und gespeicherter Daten muss spätestens hier die Frage beantwortet werden, ob eine Bundesamt für Sicherheit in der Informationstechnik 13
3 Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform Trennung in separate logische Einheiten (LUNs) ausreichend oder eine Kombination mit Soft- oder Hardzoning erforderlich ist oder gar separate physische und logische Netzwerke, Server und Speichersysteme notwendig sind. Nicht zuletzt aus diesem Grund erfordert der Schutz bewegter und gespeicherter Daten in der Cloud Umgebung die Implementierung mehrfacher und differenzierter Schutzzonen, vor allem für Kommunikationsstrecken und -endpunkte, aber auch für den Zutritt und den Zugang zu Datenträgern. Eine weitere Herausforderung sind unaufgelöste Konflikte zwischen gesetzlichen Regelungen, denen ein Serviceabonnent hinsichtlich des Datenschutzes unterworfen ist und den durch den CSP tatsächlich vorgesehenen Sicherheitsmaßnahmen. Ein Thema, das insbesondere im Zusammenhang mit den geographischen Standorten dynamisch allozierter physischer Speicherressourcen von Bedeutung ist. Ein wesentlicher Aspekt hierbei ist die Frage, welchen rechtlichen Randbedingungen ein CSP am physischen Ort des Rechenzentrums unterworfen ist. Gesetzliche Regelungen können einen Zugriff auf Daten des Nutzers vorsehen, ohne dass der CSP den Nutzer darüber informieren muss bzw. darf. Solche gesetzlichen Regelungen gelten in der Regel unabhängig davon, was CSP und Kund vertraglich vereinbart haben. Für die in den Anlagen zu diesem Dokument ausgeführten Bedrohungs- und Risikoanalysen gemäß dem STRIDE Modell werden die in Teil 1 dieses Dokuments identifizierten Akteure, Komponenten und (externen) Kommunikationsverbindungen, die Aktivitäten sowie der IETF Cloud Stack zugrunde gelegt (siehe hierzu auch die folgende Abbildung). Abbildung 2: Übersicht über im SaaS Collaboration Modell involvierte Akteure und Komponenten. In der Bedrohungsanalyse nach dem STRIDE Modell werden die betrachteten Komponenten auf ihre logischen Einheiten (Layer) gemäß dem IETF Cloud Stack generalisiert. 14 Bundesamt für Sicherheit in der Informationstechnik
Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform 3 3.1 Akteure 3.1.1 Enduser Service Subscriber Auf der Seite der Serviceabonnenten (subscriber) sind wenigstens zwei Gruppen von Akteuren direkt in die Nutzung der als SaaS bereitgestellten Collaboration Platform involviert. Da sind zunächst die Endnutzer des Abonnenten, die den Service für den Austausch von Daten und Informationen nutzen. Sie greifen über das Access & Delivery Layer auf die im Cloud Service Layer bereitgestellte Collaboration Platform zu. Für diesen Zugriff müssen sie sich im Access & Delivery Layer authentisieren (Login) und können abhängig von der für sie im Access & Delivery Layer hinterlegten Autorisierung auf Funktionen und Daten zugreifen. Hieraus folgt unmittelbar, dass beginnend im Access & Delivery Layer eine zuverlässige Authentisierung und Trennung von Mandanten (unterschiedlichen Serviceabonnenten) durchgesetzt werden muss, um bspw. ein Spoofing, d. h. die Vortäuschung falscher Identitäten, mit dem Ziel einer Eskalation von Zugriffsrechten oder einer Datenmanipulation, zu unterbinden. Authentifiktions- und Autorisierungsdaten sind deshalb in besonderem Maße vor unbefugten Zugriffen oder auch Diebstahl zu schützen. Da der Zugriff in der Regel über das Internet erfolgt (in Abbildung 2 als ComPath1 und ComPath2 veranschaulicht) müssen die Endpunkte der Kommunikationsverbindung(en) zwischen Cloud Service Provider und Cloud Service Abonnenten ausreichend kryptographisch geschützt werden. 3.1.2 IT-Administrator Subscriber Der IT-Administrator des Serviceabonnenten (ein mit Administrationsrechten ausgestatteter Subscriber User Admin der Benutzergruppe) erhält ebenfalls über die Anmeldung am Access & Delivery Layer (ComPath 2 in Abbildung 2) und der für ihn hinterlegten Authentifikations- und Autorisierungsdaten Zugriff auf die Collaboration Platform, um Nutzerkonten inklusive der benötigten Berechtigungen anzulegen, zu verändern oder auch zu löschen. Über ein logisch im Access & Delivery Layer bereitgestelltes Management Interface erhält er zudem Zugriff auf die Cloud Mangement Plane, um unterstützt durch ein Self-Service Portal - nutzerspezifische Konfigurationen der in der Plattform genutzten Anwendung(en) sowie die Allokation zusätzlicher Ressourcen (bspw. Rechenleistung oder Speicher) vornehmen zu können. Fahrlässiges oder böswilliges Verhalten eines IT-Administrators auf der Seite des Subscribers können sowohl zu einer unerwarteten Erschöpfung erforderlicher Ressourcen (Denial of Service) oder zu einer un befugten Kenntnisnahme (Information Disclosure) und Manipulation von Kundendaten oder Nutzerkonten (Tampering) führen. 3.1.3 IT-Administrator Provider Relevante Akteure auf der Seite des Providers sind vor allem IT-Administratoren, die - vornehmlich über die Cloud Management Plane - die Administration und Überwachung der für die Erbringung des Dienstleistung erforderlichen virtuellen und physischen Cloud Services und Komponenten im Access & Delivery Layer, im Cloud Service Layer, im Composition & Orchestration Layer, im Resource Abstraction & Virtualization Layer sowie im Physical Resource Layer auf der Grundlage von Konfigurationsdaten und Einsatzrichtlinien steuern. Die Cloud Management Plane stellt administrative Funktionen für die Konfiguration und das Aufsetzen von Cloud Services, die Bereitstellung und Entlastung von IT-Resourcen, die Überwachung (Monitoring) des Cloud Service Status, der Nutzung und Performanz, das Management von Benutzerkonten, Sicherheitsnachweisen, Authentifizierungs- und Autorisierungsdaten, die Überwachung interner und externer Zugriffe auf bereitgestellte IT-Resourcen, Bundesamt für Sicherheit in der Informationstechnik 15
3 Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform die Planung und Überprüfung der Bereitstellung von IT-Resourcen sowie die Steuerung und Überwachung der Bereitstellung technischer Ressourcen (Netze, Rechenleistung oder Speicherkapazitäten) durch Dritte bereit. Fahrlässiges oder auch böswilliges Verhalten haben an dieser Stelle unmittelbare Auswirkungen auf die Vertraulichkeit und Integrität von Daten sowie die Verfügbarkeit der Collaboration Platform. IT-Administratoren des Cloud Service Providers sollen daher regelmäßig einer Sicherheitsüberprüfung unterzogen werden und ausreichend geschult sein. Das gilt insbesondere vor dem Hintergrund, dass die Cloud Management Plane auch Überwachungs- und Alarmfunktionen hinsichtlich des operativen Zustands der Cloud Umgebung, des Zugriffs und des Eintritts sicherheitsrelevanter Ereignisse steuert. Eine Umgehung oder auch Kompromittierung sicherheitsrelevanter Funktionen muss nach Maßgabe erwartbarer Bedrohungen ausgeschlossen werden können. 3.1.4 Sub-Provider Relevante Akteure auf der Seite des Sub-Providers sind vor allem IT-Administratoren, die ggf. über die Cloud Management Plane die Administration und Überwachung der für die Erbringung des Dienstleistung erforderlichen Sub-Services im Access & Delivery Layer, im Cloud Service Layer, im Composition & Orchestration Layer, im Resource Abstraction & Virtualization Layer sowie im Physical Resource Layer auf der Grundlage von Konfigurationsdaten und Einsatzrichtlinien steuern. Fahrlässiges oder auch böswilliges Verhalten kann an dieser Stelle unter Umständen vor allem die Verfügbarkeit der Dienstleistung gefährden. 3.2 Komponenten 3.2.1 Access und Delivery Layer Das Access and Delivery Layer auf der Seite des Serviceproviders stellt Funktionen und allgemeine Infrastrukturkomponenten bereit, die dem Serviceabonnenten den Zugriff und die Nutzung des Service er möglichen. Dazu gehören sowohl Nutzerportale wie auch Servicegateways zur Steuerung und Kontrolle der Zugriffe. So genannte Inter-Cloud Funktionen stellen Infrastrukturen und Komponenten bereit, um verteilte Ressourcen oder auch die Kommunikation mit Cloud Service Drittanbietern zu ermöglichen und zu steuern. Da die Nutzung überwiegend über das Internet erfolgt, umfasst diese Schicht im Allgemeinen auch Netzwerkkomponenten, die in der Regel durch Netzprovider als beteiligte Dritte zur Verfügung gestellt werden. Ein erfolgreiches Spoofing im Access und Delivery Layer ermöglicht den Zugriff auf Kontodaten und damit auch auf gespeicherte Unternehmensdaten, es erleichtert darüber hinaus gegebenenfalls weitergehende und zudem verschleierte Angriffe, wie die Manipulation oder Fälschung von Nutzerkonten, oder gar die Umleitung von SaaS Endnutzern auf nicht legitimierte Webseiten. 3.2.2 Cloud Service Layer Das Cloud Service Layer als unmittelbare Laufzeitumgebung der Collaboration Platform steuert den Bedarf an funktionalen virtuellen und physischen Ressourcen, die für die Ausführung der in der Collaboration Platform verknüpften Anwendungen und Dienste benötigt werden, d. h. neben dem Ressourcentyp (CPU, Arbeitsspeicher, Festplattenspeicher usw.) sowie Leistungsfähigkeit und Umfang der benötigten Ressourcen, insbesondere auch die Art der Bereitstellung (ausschließlich reserviert für einen Abonnenten oder gemeinsam nutzbar, Kommunikationsverbindungen und Datenmedien, usw.). Damit betrifft eine Gefährdung bspw. durch Information Disclosure im Cloud Service Layer nicht nur Konfigurations- und Prozessdaten der Anwendung, sondern auch die in der Anwendung verarbeiteten und über Schnittstellen kommunizierten Daten. Vor dem Hintergrund, dass ein erfolgreiches Information Disclosure im Cloud Service Layer auch durch eine unzureichende oder unsichere Trennung von Mandanten ermöglicht oder auch erleichtert werden kann, muss das Cloud Service Layer Sicherheitsfunktionen bereithalten, die vor allem bei ge 16 Bundesamt für Sicherheit in der Informationstechnik
Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform 3 meinsam genutzten Ressourcen - eine strikte Segregation von Mandanten-bezogenen Anwendungen und Daten gewährleisten. 3.2.3 Cloud Management Plane Die Cloud Management Plane stellt Funktionen für die Administration und Überwachung der Cloud Umgebung bereit. Dazu gehören vor allem: die automatische Einbindung (der Einsatz) verschiedener Cloud Komponenten auf der Grundlage von Konfigurationsdaten und Einsatzrichtlinien, die Registrierung und Verwaltung von Services, Überwachungs- und Alarmfunktionen hinsichtlich des operativen Zustands der Cloud Umgebung, d. h. der Nutzung des Cloud Service, der Einhaltung der vereinbarten Leistungsparameter sowie des Zugriffs und des Eintritts sicherheitsrelevanter Ereignisse. Vor dem Hintergrund, dass eine unzulässige oder auch nur unbemerkte Erweiterung von Berechtigungen (Elevation of Privilege) in der Cloud Management Plane ggf. den Zugriff auf die Konfiguration von Cloud Sicherheitsdiensten gestattet, erleichtert oder ermöglicht erfolgreiches Elevation of Privilege die Vorbereitung und Ausführung weiterer Attacken, wie bspw. Tampering, Information Disclosure oder Denial of Service. 3.2.4 Resource Control Layer Das Resource Control (Composition & Orchestration) Layer orchestriert die Bindung der über das Abstraction & Virtualization Layer virtualisierten physischen Ressourcen an mandantenbezogene Anwendungen, Konfigurationen und Daten. Die Orchestrierung beginnt mit der Anforderung eines Services, einer Anwendung oder einer Funktion im Access & Delivery Layer und endet mit der Koordination verschiedener IT-Schichten und Komponenten, die direkt oder auch indirekt in die vom Endnutzer angeforderte Leistung involviert sind. Aus sicherheitstechnischer Perspektive ist die Orchestrierung ein prozessualer Verbund von Komponenten, die in einer sicheren und zuverlässigen Art und Weise zusammenarbeiten müssen. Zu den für die Orchestrierung zu beachtenden Sicherheitsaspekten gehören (siehe auch Abbildung 3): Abbildung 3: Sicherheitsaspekte im Resource Control (Composition & Orchestration) Layer Bundesamt für Sicherheit in der Informationstechnik 17
3 Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform sichere Serviceübergabeschnittstellen, d. h. geeignete Sicherheitsmaßnahmen, mit denen der Ende-zu-Ende Lebenszyklus des Services überwacht werden kann, sichere Ressourcenbereitstellung, d. h. ein Sicherheitsdesign aus operativer Perspektive der prozessual orchestrierten Bindung von Ressourcen sowie ein sicheres Management der Orchestrierung, denn die Managementschnittstellen für die Orchestrierung bestimmen maßgeblich die Verfügbarkeit und Sicherheit der gesamten SaaS Cloud Umgebung und müssen daher in besonderer Weise geschützt werden, ein zuverlässiges Sicherheitsmonitoring der Orchestrierung zur Laufzeit, so dass verdächtiges, oder auch nur außergewöhnliches Verhalten im Orchestrierungsprozess nicht unentdeckt bleibt. Das Resource Control Layer koordiniert und verbindet je verschiedene Schichten von Anwendungen, Netzen, virtuellen Maschinen und Hypervisoren, Betriebssystemen und Speicherbereichen und ist deshalb aus sicherheitstechnischem Blickwinkel ein besonders kritischer Bereich und lukratives Ziel sowohl für Information Disclosure wie auch Denial of Service Attacken. Von Information Disclosure bedroht sind im Resource Control Layer vornehmlich Konfigurationsdaten (von FC Switches oder HBA's ), weil durch sie die Segmentierung der (virtuellen) Ressourcen maßgeblich bestimmt und über ihre Kenntnisnahme ein direkter Zugriff auf Kundendaten möglich wird. Im Kontext vernetzter Datenspeicher bspw. genügt der Snapshot eines SAN's, um Kenntnis einer LUN oder LUN-Gruppe und damit der Adresse gespeicherter Daten zu erhalten. 3.3 Kommunikation Subscriber Cloud Service Provider Die Sicherheit der Netzwerkkommunikation ist die Grundlage für die Sicherheit der Cloud insgesamt. Das Access & Delivery Layer muss deshalb imstande sein, eine vertrauenswürdige Kommunikationsverbindung mit dem Serviceabonnenten aufzubauen, um bspw. die Übernahme von Kommunikationsverbindungen (session riding oder hijacking) zu verhindern. Das schließt die Prüfung der Gültigkeit und der Integrität des Datenaustausches zwischen Cloud Service Provider und Cloud Service Abonnenten ebenso ein, wie die Bereitstellung von Firewalls, Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) auf Netzwerkebene, um Bedrohungen der Netzwerkkommunikation zuverlässig zu erkennen und abwehren zu können. 3.4 Vorgehen Der Aufbau der als Anlagen zu diesem Dokument beigefügten Bedrohungs- und Risiko- Steckbriefe folgt dem nachfolgend dargestellten Muster: Tabelle 3: Muster der Bedrohungs-und Risikosteckbriefe Komponente Bedrohung Name und Kurzbeschreibung der Komponente für die Bedrohungs- und Risikoanalyse gemäß STRIDE Klassifikation ausgeführt wird Bedrohung gemäß STRIDE Klassifikation Beschreibung der Bedrohung An dieser Stelle erfolgt eine kurze Beschreibung der Bedrohung vor allem auch hinsichtlich möglicher, nach STRIDE klassifizierter Folgebedrohungen wie bspw. Information Disclosure oder Tampering. Beschreibung besonderer Bedrohungsszenarien An dieser Stelle werden für die betroffene Komponente erkennbare Einzelbedrohungsszenarien beschrieben. Eintrittswahrscheinlichkeit Schadenswirkung Risikobewertung Eine qualitative Bewertung der Eintrittswahrscheinlichkeit Eine qualitative Bewertung der Schadensauswirkungen Eine qualitative Bewertung des Risikos 18 Bundesamt für Sicherheit in der Informationstechnik
Bedrohungs- und Risikoanalyse für eine Cloud Collaboration Platform 3 Prozesse, die von der Bedrohung direkt betroffen sind: Hier werden die im Teil 1 dieses Dokuments beschriebenen Prozesse benannt, die von einer erfolgreichen Verwirklichung der Bedrohung direkt betroffen wären. Prozesse, bei welchen die Bedrohungen am ehesten zu erwarten sind: Hier werden die im Teil 1 dieses Dokuments beschriebenen Prozesse benannt, in denen eine erfolgreiche Verwirklichung der Bedrohung am ehesten erwartet werden kann. Referenzen auf die Sicherheitsanforderungen gemäß BSI Eckpunktepapier (siehe dazu Teil 1 dieses Dokuments) Restrisiken An dieser Stelle werden Restrisiken benannt, die ggf. trotz eingeleiteter Schutzmaßnahmen zur Abwehr der Bedrohung, beachtet und bewertet werden sollten. Bereiche, die noch näher betrachtet werden sollten: Hier werden Themenfelder benannt, die ggf. Gegenstand weitergehender Analysen werden sollten. Die Risikobewertung folgt im Wesentlichen dem BSI Standard 100-4. Da eine aussagekräftige Abschätzung der Schadensauswirkungen bei Eintritt eines Risikos mittels einer Business Impact Analyse (BIA) vor dem Hintergrund aktueller Erfahrungen kaum möglich ist, werden mögliche Schadenswirkungen mittels qualitativer Begriffe niedrig, normal, hoch, sehr hoch bewertet. Das gilt auch für Beschreibung der Eintrittswahrscheinlichkeit mit den Begriffen häufig, wahrscheinlich, gelegentlich, vorstellbar, unwahrscheinlich und unvorstellbar. Die Kombination von Schadenswirkungen und Eintrittswahrscheinlichkeiten ergibt ein qualitatives Maß für die Abschätzung des Risikoniveaus, wie beispielsweise in dem folgenden Risikographen in Tabelle 4 dargestellt. Dabei kann jedoch die letztendliche Bewertung eines Risikos durchaus von Zuordnung des Graphen abweichen, wenn bspw. die Bewertung der möglichen Schadenswirkung aus der Perspektive des Serviceabonnenten zu einer anderen Einschätzung zwingt. Tabelle 4: ALARP Graph 3 WAHRSCHEINLICHKEIT häufig ALARP Inakzeptabel Inakzeptabel Inakzeptabel wahrscheinlich ALARP Inakzeptabel Inakzeptabel Inakzeptabel gelegentlich ALARP ALARP Inakzeptabel Inakzeptabel vorstellbar Akzeptabel ALARP ALARP Inakzeptabel unwahrscheinlich Akzeptabel Akzeptabel ALARP ALARP unvorstellbar Akzeptabel Akzeptabel Akzeptabel Akzeptabel AUSWIRKUNGEN NIEDRIG NORMAL HOCH SEHR HOCH Den Bedrohungen werden die in Teil 1, Kapitel 5 dieses Dokuments identifizierten Sicherheitsanforderungen zugeordnet. Im Anschluss werden Restrisiken benannt, die akzeptiert werden können oder müssen, auf den Serviceabonnenten verlagert werden können oder auch gegebenenfalls unter anderen Umständen und Bedingungen zu nicht akzeptablen Risiken werden können. Abschließend erfolgt eine kurze Beschreibung von Themenfeldern, die ggf. Gegenstand weitergehender und detaillierterer Untersuchungen sein sollten. 3 ALARP ist ein Akronym und steht für: As Low As Reasonable Practicabel (so niedrig, wie vernünftigerweise praktikabel) Quelle: Klipper, S.: Information Security Risk Management Risikomanagement mit ISO/IEC 27001, 27005 und 3110, Vieweg & Teubner, Wiesbaden 2011, S. 151 Bundesamt für Sicherheit in der Informationstechnik 19