Einheitliche Methoden der Informationssicherheit Bedrohungs- und Schwachstellenanalyse in der Telematikinfrastruktur Version: 1.1.0 Revision: \main\rel_online\16 Stand: 30.05.2013 Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gemmeth_bedr] Seite 1 von 43
Dokumentinformationen Änderungen zur Vorversion Einarbeitung Kommentare LA Dokumentenhistorie Version Datum Kap./ Seite Grund der Änderung, besondere Hinweise Bearbeitung 1.0.0 15.10.12 freigegeben gematik Einarbeitung Kommentare LA P77 1.1.0 RC 30.05.13 zur Freigabe empfohlen PL P77 1.1.0 06.06.13 freigegeben gematik Seite 2 von 43
Inhaltsverzeichnis Dokumentinformationen...2 Inhaltsverzeichnis...3 1 Einordnung des Dokuments...5 1.1 Zielsetzung...5 1.2 Zielgruppe...6 1.3 Geltungsbereich...6 1.4 Abgrenzungen...6 1.5 Methodik...6 2 Methodenbeschreibung...7 2.1 Überblick...7 2.2 Ausgangsüberlegungen...8 2.3 Bedrohungen...9 2.4 Schwachstellen...15 2.5 Angreifer...16 2.6 Angriffsszenarien...17 2.6.1 Kombination aus Schwachstellen und Bedrohungen...17 2.6.2 Kombination von Bedrohungen, Schwachstellen und Angreifern...18 2.6.3 Verfeinerung der Angriffsszenarien...19 2.7 Ermittlung des Angriffspotentials für Angriffsszenarien...20 2.7.1 Bestimmung des Angriffspotentials...21 2.7.1.1 Benötigte Angriffszeit...21 2.7.1.2 Benötigtes Expertenwissen...22 2.7.1.3 Verfügbare Informationen...22 2.7.1.4 Bestehende Angriffsmöglichkeit...23 2.7.1.5 Benötigte Ausrüstung...23 2.7.1.6 Werte für die Berechnung des Angriffspotentials...24 2.8 Unterstützung zur Ermittlung der Angriffsszenarien...25 2.9 Fazit...25 3 Beispiele zur Anwendung der Methode...27 3.1 Beispiel 1...27 3.1.1 Situationsbeschreibung und Vorgehen...27 3.1.2 1. Ausgangsüberlegungen...28 Seite 3 von 43
3.1.3 2. Bedrohung, Schwachstelle, Angreifer...29 3.1.4 3. Angriffsszenario mit Angriffspotential...34 4 Zusatzinformationen...40 4.1 Aufwand zur Durchführung...40 4.2 Qualitätssicherung...40 4.3 Lernmittel...40 4.4 Häufig gestellte Fragen (FAQs)...40 Anhang A...42 A1 Abkürzungen...42 A2 Glossar...42 A3 Abbildungsverzeichnis...42 A4 Tabellenverzeichnis...42 A5 - Referenzierte Dokumente...43 A5.1 Dokumente der gematik...43 A5.2 Weitere Dokumente...43 Seite 4 von 43
1 Einordnung des Dokuments 1.1 Zielsetzung Zweck der Bedrohungs- und Schwachstellenanalyse ist es, eine Methodik zur Verfügung zu stellen, mit der für jede Entwicklungsphase und jeden Betrachtungsgegenstand Angriffsszenarien ermittelt werden können, an Hand derer in der Sicherheitsanalyse die Güte der Sicherheitsfunktionen bewertet werden kann. Die Bedrohungs- und Schwachstellenanalyse ist Voraussetzung für die Durchführung der Sicherheitsanalyse innerhalb der Sicherheitskonzeption und liefert Angriffsszenarien mit zugeordneten Angriffspotentialen, siehe Abbildung 1. Methodik der Sicherheitskonzeption Bedrohungs- und Schwachstellenanalyse Übergreifende Festlegungen Sicherheitsanalyse Risikoanalyse Schutzbedarfsfeststellung Umgebungsannahmen Sicherheitsfunktionen Abbildung 1: Methodik der Sicherheitskonzeption Die Anwendung der vorliegenden Methode Bedrohungs- und Schwachstellenanalyse in der Telematikinfrastruktur wird von der Methode Sicherheitsanalyse in der Telematikinfrastruktur gesteuert. Informationen zum Ineinandergreifen der in der Abbildung gezeigten Methoden und Rahmenbedingungen sind in [gemmeth_sichanalyse] zu finden. Zur Anwendung der Methode sollten die folgenden Punkte bekannt sein und beschrieben werden können: Betrachtungsgegenstand (Informationsobjekt, Anwendungsprozess, Komponenten und Dienste etc.), Entwicklungsphase, Umgebungsannahmen und betroffene Schutzziele. Des Weiteren müssen zur Durchführung der Methode Fachexperten zur Verfügung stehen, die die Methode anwenden und Angriffsszenarien beurteilen können. Das Ergebnis der vorliegenden Methode sind spezifische, ausformulierte Angriffsszenarien mit Angriffspotentialen, die für die Sicherheitsanalyse genutzt werden müssen. Seite 5 von 43
1.2 Zielgruppe Das Dokument richtet sich an Verfasser von Spezifikationen und Sicherheitskonzepten für Fachanwendungen der TI oder Produkte der TI. 1.3 Geltungsbereich Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des Deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z.b. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben. 1.4 Abgrenzungen In diesem Dokument wird nur die Durchführung der Bedrohungs- und Schwachstellenanalyse zur Ermittlung von Angriffsszenarien mit ihren jeweiligen Angriffspotentialen beschrieben. Die Durchführung und Anwendung der Methoden zur Schutzbedarfsfeststellung [gemmeth_schutzbed], Sicherheitsanalyse [gemmeth_sichanalyse] und Risikoanalyse [gemmeth_risk] werden in gesonderten Dokumenten beschrieben. Anhand eines Beispiels wird die Anwendung der Methode aufgezeigt. Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der TI. 1.5 Methodik Das durch die Anwendung der Methodik erstellte Sicherheitskonzept ist ein zur Spezifikation begleitendes informelles Dokument, welches die in der Spezifikation getroffenen Maßnahmen der Informationssicherheit aufbereitet dokumentiert. Im Sicherheitskonzept werden keine Anforderungen bzgl. der Informationssicherheit definiert. Dies erfolgt in den Spezifikationsdokumenten. Zur Unterstützung der Methode existiert des Weiteren ein spezielles Excel-Tool (Einheitl_Methoden_Angriffsszenarien.xls). Das Excel-Tool wurde zusätzlich für die Dokumentation des Beispiels genutzt. Seite 6 von 43
2 Methodenbeschreibung 2.1 Überblick Es ist davon auszugehen, dass die TI Angriffen ausgesetzt ist, die zu Schäden führen können und somit Risiken begründen. Bei Entwicklung und Fortschreibung der TI ist es daher von Bedeutung, möglichst alle denkbaren Angriffsszenarien zu identifizieren und zu bewerten. Die Angriffsszenarien hängen von der Entwicklungsphase der TI, den Umgebungsannahmen und dem Betrachtungsgegenstand ab. Angriffszenarien resultieren aus der Bedrohung eines Betrachtungsgegenstandes unter Ausnutzung einer Schwachstelle durch einen Angreifer. Das Ziel dieser Methode ist es, systematisch alle relevanten Kategorien für Angriffsszenarien abzuleiten, auszuformulieren, Angriffspotentialen zuzuordnen und diese als Eingangsparameter für die Sicherheitsanalyse zur Verfügung zu stellen. Die Methodik liefert eine Menge von Bedrohungen, Schwachstellen und Angreifern, die in Abhängigkeit von der Entwicklungsphase durch die Anwender der Methode ausgewählt werden können und dann individuell verfeinert werden müssen. In der folgenden Abbildung ist der Zusammenhang zwischen Ausgangsüberlegungen, Bedrohungen, Schwachstellen und Angreifern bis hin zur Identifikation von Angriffsszenarien dargestellt. Seite 7 von 43
Abbildung 2: Übersicht der Bedrohungs- und Schwachstellenanalyse 2.2 Ausgangsüberlegungen Die Definition von Angriffsszenarien hängt im Wesentlichen von den zu Grunde liegenden Ausgangsüberlegungen ab. Mit Ausgangsüberlegungen sind in diesem Dokument alle Annahmen gemeint, die vorhanden sein sollten, um die Bedrohungs- und Schwachstellenanalyse effizient durchzuführen. Würden alle möglichen Kombinationen zwischen Bedrohungen, Schwachstellen und Angreifern betrachtet, ergeben sich eine sehr große Anzahl von Angriffsszenarien für einen Betrachtungsgegenstand. Die Ausgangsüberlegungen sind deshalb wesentlich, um die theoretisch möglichen Angriffsszenarien einzugrenzen und speziell auf die betrachtete Situation zuzuschneiden. Es müssen die folgenden Punkte dokumentiert werden: Betrachtungsgegenstand (Informationsobjekt, Anwendungsprozess etc.) Entwicklungsphase 1 Umgebungsannahmen Betroffene Schutzziele Schwerpunkt der Betrachtung Durch die Dokumentation des Betrachtungsgegenstands wird nachvollziehbar, für was Angriffsszenarien ermittelt werden sollen. Es muss nachvollziehbar und genau dokumentiert werden, welcher Gegenstand mit welchem Funktionsumfang genau betrachtet werden soll. Die Dokumentation der Entwicklungsphase dient als Anhaltspunkt für die gesamte Anwendung der Methode. In jedem Prozessschritt dieser Methode muss hinterfragt werden, welche Entwicklungsphase betrachtet wird und welche spezifischen Fragestellungen sich daraus ergeben. Umgebungsannahmen sind Rahmenbedingungen, die vorausgesetzt werden und insofern nicht mehr hinterfragt werden müssen. Sollten bspw. nur Entwickler Zugriff auf den Betrachtungsgegenstand haben können, so können andere Innentäter oder Außentäter von der Betrachtung ausgeschlossen werden. Umgebungsannahmen sollten so frühzeitig wie möglich in die Betrachtung einbezogen werden (und nicht am Schluss), um die Komplexität in späteren Schritten gering zu halten. Für jeden Betrachtungsgegenstand sollte eine Schutzbedarfsfeststellung vorliegen (vgl. Einheitliche Methode zur Schutzbedarfsfeststellung [gemmeth_schutzbed]). Aus der Schutzbedarfsfeststellung leiten sich die betroffenen Schutzziele ab. In jedem Prozessschritt dieser Methode muss hinterfragt werden, welche Schutzziele betroffen sind und 1 Anzahl und Ausprägung von Entwicklungsphasen lassen sich nicht standardisieren, sie sind von Art und Umfang des Projektvorhabens und weiteren Rahmenbedingungen abhängig. Sie werden daher hier in der vorliegenden Methode nicht weiter konkretisiert. Seite 8 von 43
welche spezifischen Fragestellungen sich daraus ergeben. Es ist hilfreich für die Anwendung der Methode, wenn eine Schutzbedarfsfeststellung vorliegt, es ist jedoch nicht zwingend notwendig. Durch die Kombination der Ausgangsüberlegungen ergibt sich ein Schwerpunkt der Betrachtung für die Durchführung der Bedrohungs- und Schwachstellenanalyse. Dieser Schwerpunkt sollte von den Autoren ausformuliert werden und so den roten Faden für die Anwendung der Methode liefern. 2.3 Bedrohungen Bedrohungen sind der erste wesentliche Teil zur Definition eines Angriffsszenarios. Im Folgenden werden alle relevanten Bedrohungen für die TI strukturiert. Bedrohungen, die die Gesellschaft der Bundesrepublik Deutschland in Gänze in einem Maß bedrohen, dass bei einem von ihnen induzierten Schaden die Mehrheit der Bevölkerung nicht mehr den Erhalt der Funktionalität der TI erwartet, werden nicht betrachtet (z.b. kosmische Ereignisse, Auflösung der gesellschaftlichen rdnung). Definition: Eine Bedrohung ist eine ernste Gefährdung mit der bloßen Möglichkeit, dass ein Schaden am bjekt (Mensch, Unternehmen, Gegenstand) oder ein Eintritt der Gefährdung des angegriffenen Rechtsgutes entstehen kann. Bedrohungen setzen sich aus Ursachen und Aktionen zusammen und folgen daher der Beschreibung: Bedrohung = [Ursache] bedroht durch [Aktion] das [Schutzziel] In Abhängigkeit von den Ausgangsüberlegungen müssen die relevanten Ursachen für Bedrohungen gefunden werden. Diese können auf die Schutzziele wirken und sollen betrachtet werden. Es werden vier Kategorien von Ursachen vorgegeben, die mit Ausnahme der Kategorie technisches Versagen der Umgebung durch Ausprägungen verfeinert sind. Tabelle 1: Übersicht der Ursachen (für Bedrohungen) Ursache Außeneinwirkung Elementarereignis Ausprägung der Ursache Staub Verschmutzung Hitze Kälte Feuchtigkeit Feuer Leitungswasser Überschwemmung und Hochwasser Blitzschlag, Sturm, Hagel Erdbeben, Erdrutsch Seite 9 von 43
Ursache Mensch Technisches Versagen der Umgebung Ausprägung der Ursache Schneedruck, Lawine Epidemie (insbesondere massiver Personalausfall) Terrorismus und Kriegshandlungen Unterlassenes Handeln Schädigendes Handeln n/a Die Bedrohung geht initial von der Ursache aus. Beim menschlichen Handeln wird zwischen schädigendem Handeln und unterlassenem Handeln unterschieden, damit letzteres mit der notwendigen Gewichtung betrachtet wird. Die Sicherheit der TI ist in hohem Maße davon abhängig, dass aktiv gehandelt wird. Die möglichen Bedrohungen durch unterlassenes Handeln reichen vom Unterlassen der Planung elementarer Prozesse (wie z. B. das Handeln beim Ablauf von Zertifikaten) bis zur Nichtbefolgung von einzelnen Vorschriften. Bei den Elementarereignissen wird besonders deutlich, dass sich die gleiche Bedrohung gegen unterschiedlichste Schwachstellen und Ebenen der TI richten kann, so führt eine Epidemie möglicherweise zu einem Mangel an verfügbaren Administratoren als auch zu einer höheren Systemlast der TI aufgrund vermehrter Arztbesuche. Durch die in Tabelle 1 abgebildeten Ursachen wird eine vollständige Liste mit möglichen Ursachen vorgegeben. Die relevanten Ursachen müssen in Abhängigkeit von den Ausgangsüberlegungen ausgewählt werden. Eine Bedrohung besteht neben einer Ursache immer auch aus einer Aktion. Die Aktionen können sich auf Informationen, Hard- bzw. Software und Prozesse beziehen. In der folgenden Tabelle 2 sind die möglichen Aktionen für Bedrohungen vorgegeben. Tabelle 2: Übersicht der Aktionen (für Bedrohungen) Bezug der Aktion Information Ausprägung der Aktion Löschen Kopieren Modifizieren Profilbildung Kenntnisnahme Seite 10 von 43
Bezug der Aktion Ausprägung der Aktion ffenbarung 2 Modifizieren Hardware / Software Prozesse Entfernen, Zerstörung, Ausfall, Außerbetriebnahme Überlastung Unberechtigte Nutzung Verändern Verbergen 3 Unbefugtes Ausführen Verhinderung In Abhängigkeit von den Ausgangsüberlegungen müssen die relevanten Aktionen gewählt werden, die zu betrachten sind. Aus der Kombination von Ursachen und Aktionen ergeben sich die vollständigen Bedrohungen 4, wie in der folgenden Tabelle 3 abgebildet. 2 Im Unterschied zur (aktiven) Kenntnisnahme ist eine ungerichtete Publikation von Informationen mit der (reinen) Möglichkeit, dass dadurch Unberechtigte hiervon Kenntnis erlangen, eine ffenbarung. Kenntnisnahme bezieht sich auf den Konsumenten und ffenbarung dagegen auf den Produzenten von Informationen. 3 Durch Verbergen wird die Ausführung eines Anwendungsprozesses nicht verhindert, es handelt sich hierbei lediglich um ein Verstecken von Funktionalität; beispielsweise durch Manipulation der Nutzerschnittstelle, so dass der Anwender fehlgeleitet wird. 4 Die betroffenen Schutzziele fließen in die Überlegungen zur Auswahl ein, siehe Tabelle 4, werden an dieser Stelle jedoch nicht als zusätzliche Dimension dargestellt. Seite 11 von 43
Tabelle 3: Bedrohungsmatrix 5 Hardware / Software Information Ursachen / Aktionen Modifizieren Überlastung Entfernen, Zerstörung, Ausfall, Außerbetriebnahme Unberechtigte Nutzung Löschen Kopieren Modifizieren Profilbildung Kenntnisnahme ffenbarung Verändern Verbergen Unbefugtes Ausführen Verhinderung Mensch Unterlassenes Handeln Schädigendes Handeln Technisches Versagen der Umgebung Staub Verschmutzung Hitze Kälte Feuchtigkeit Feuer Leitungswasser Überschwemmung und Hochwasser Anwendungsprozesse Außeneinwirkung Elementarereignis Blitzschlag, Sturm, Hagel Erdbeben, Erdrutsch Schneedruck, Lawine Epidemie Terrorismus und Kriegshandlungen Die Kombination der gewählten Ursachen und Aktionen muss dokumentiert werden. Insgesamt wurden aus allen möglichen Kombinationen zwischen Ursachen und Aktionen im Vorfeld bestimmte Kombinationen ausgeschlossen, ausgegraut. Bspw. wurde die Zuordnung zwischen Außeneineinwirkung (Ursache) und Information (Aktion) nicht 5 Die Tabelle ist aus dem begleitenden Excel-Tool zur Bedrohungs- und Schwachstellenanalyse übernommen bedeutet ausgewählt. Die grauen Bereiche werden nicht zugeordnet. Seite 12 von 43
zugeordnet, da durch Außeneinwirkungen in erster Linie Hardware und Software und erst als Konsequenz Informationen betroffen sind. Diese Einschränkung dient als Vereinfachung, muss jedoch nicht eingehalten werden. Die Auswahl der Kombinationen aus Ursachen und Aktionen wird des Weiteren von den betroffenen Schutzzielen beeinflusst. Grundsätzlich beziehen sich die Schutzziele Vertraulichkeit, Integrität und Authentizität auf die Betrachtungsgegenstände Informationen sowie die Schutzziele Nichtabstreitbarkeit und Verfügbarkeit auf die Prozesse. Für die Betrachtungsgegenstände Hard- und Software werden nur die Schutzziele Integrität und Verfügbarkeit berücksichtigt. Ein Angriff auf die Vertraulichkeit oder Authentizität würde nicht die Hard- und Software selbst als Ziel haben, sondern die auf der Hardund Software gespeicherten bzw. durch diese verarbeiteten Informationsobjekte. Ebenso würde ein Angriff auf die Nichtabstreitbarkeit auf den Prozess, nicht aber auf die Hardund Software abzielen. Angriffe können sich jedoch direkt an die Integrität oder Verfügbarkeit der Hard- und Software richten. Innerhalb der Zuordnungen zwischen Schutzzielen und Bedrohungen sind weitere Einschränkungen möglich. Wird bspw. das Schutzziel Integrität im Zusammenhang mit dem Betrachtungsgegenstand Information betrachtet, so kann die Aktion Kopieren von vornherein ausgeschlossen werden, da diese Aktion nur das Schutzziel Vertraulichkeit bedroht. In Tabelle 4 sind die Zuordnungen zwischen den Schutzzielen und den Betrachtungsgegenständen sowie den Aktionen für Bedrohungen dargestellt. Kombinationen, die für eine Betrachtung nicht in Frage kommen, sind grau dargestellt. Für Kombinationen, die möglich sind, ist in den Zellen zusätzlich die Bedrohungsursache (A Außeneinwirkung, E Elementarereignis, T Technisches Versagen, H Schädigendes Handeln, U Unterlassenes Handeln) abgebildet, wobei nur Kombinationen aus Tabelle 3 auftreten können (z.b. Außeneinwirkung und Elementarereignisse können nur durch Entfernen, Zerstörung, Ausfall, Außerbetriebnahme und Überlastung auf Hard- und Software einwirken). Seite 13 von 43
Tabelle 4: Zuordnung von Schutzzielen zu Bedrohungen Schutzziele Betrachtungsgegenstand Aktionen für Bedrohungen Vertraulichkeit Integrität Authentizität Nichtabstreitbarkeit Verfügbarkeit Informationen Hardware / Software Prozesse Löschen Kopieren TH THU Modifizieren THU THU Profilbildung Kenntnisnahme ffenbarung TH TH THU Modifizieren THU THU Überlastung AETH U AETH U Entfernen, Zerstörung, Ausfall, Außerbetriebnahme AETH U AETH U Unberechtigte Nutzung THU THU Verändern THU THU Verbergen THU THU Unbefugtes Ausführen TH TH Verhinderung THU Legende: A Außeneinwirkung E Elementarereignis T Technisches Versagen H Schädigendes Handeln U Unterlassenes Handeln In Abhängigkeit von den Ausgangsüberlegungen und besonders den bedrohten Schutzzielen müssen die relevanten Bedrohungen (Kombination aus Ursachen und Aktionen) gewählt werden, die betrachtet werden sollen. Seite 14 von 43
2.4 Schwachstellen Schwachstellen sind der zweite wesentliche Teil zur Definition eines Angriffsszenarios. Damit ein Schaden entsteht, muss eine Schwachstelle durch eine Bedrohung ausgenutzt werden. Definition: Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder der Teil eines Systems, der unter Belastung zuerst versagt. Die folgende Tabelle 5 stellt die Kategorisierung der Schwachstellen dar. Insgesamt werden vier Schwachstellentypen definiert und weiter ausgeprägt. Tabelle 5: Übersicht der Schwachstellentypen und -ausprägungen Schwachstelle - Schwachstellentyp Technisch Verfahrensbezogen rganisatorisch Menschliches Fehlverhalten Ausprägung Konträre fachliche Anforderung Konzeptionsfehler Spezifikationsfehler Programmierfehler Konfigurationsfehler Mangelnde Resistenz der Hardware Mangelnde physische Sicherheit der Umgebung Fehlerhafte Verfahrensmodellierung Fehlerhafte Verfahrensbeschreibung Fehlerhafte Verfahrensumsetzung Fehlerhafte Rollen- oder Rechtezuweisung Unzureichende Koordination und Kooperation ffenheit für Social Engineering Mangelnde Kenntnis Mangelnde Sorgfalt, Fahrlässigkeit Fehlbarkeit In Abhängigkeit von den Ausgangsüberlegungen müssen diejenigen Schwachstellen gewählt werden, die für den Betrachtungsgegenstand als relevant angesehen werden und deshalb betrachtet werden sollen. Seite 15 von 43
2.5 Angreifer Schäden können nur entstehen, wenn Schwachstellen bestehen, diese bedroht werden und durch Angreifer auch tatsächlich ein erfolgreicher Angriff durchgeführt wird. In Abhängigkeit von der Rolle und der Motivation des Angreifers, sind unterschiedlich starke Sicherheitsfunktionen notwendig, um den Eintritt von Schäden zu verhindern. Soll ein System bspw. gegen Anwender geschützt werden, die auf Grund von irrtümlichen Fehleingaben Schäden herbeiführen, werden die resultierenden Sicherheitsfunktionen andere sein, als wenn das System gegen hoch motivierte und gut ausgerüstete Angreifer (Hacker) von außen geschützt werden soll. Die Dimension Angreifer ist somit der dritte wesentliche Bestandteil für die Definition von Angriffsszenarien. Grundsätzlich wird bei Angreifern zwischen den Angreifertypen Person und physikalischer Prozess unterschieden. Personen können als Innen- oder Außentäter angreifen und verfügen über verschiedene Motivationen. Der physikalische Prozess wird in diesem Modell nicht weiter verfeinert und es wird keine Rolle oder Motiv unterstellt. Die möglichen Kombinationen von Angreifer und Motiv sind in der folgenden Tabelle 6 abgebildet. Tabelle 6: Übersicht über die möglichen Angreifer Typ Angreifer Motiv Schaden herbeiführen Bereicherung Innentäter als Benutzer, Administrator oder Entwickler Aufsehen erregen Vertuschung Bequemlichkeit mangelnde Kenntnisse Person Irrtum Schaden herbeiführen Bereicherung Aufsehen erregen Außentäter Vertuschung Bequemlichkeit mangelnde Kenntnisse Irrtum Physikalischer Prozess Seite 16 von 43
Eine unvollständige Identifikation möglicher Angreifer wird zu unvollständigen Angriffsszenarien und damit zu nicht identifizierten Risiken führen. Deswegen ist eine Vollständigkeit sowohl in der Dimension Rolle als auch Motiv von großer Bedeutung. Gerade die Identifikation der möglichen Motive, Schwachstellen der Systeme auszunutzen, ist nur im Zuge einer umfassenden fachlichen Analyse des Betrachtungsgegenstandes und seiner Nutzergruppen möglich. 2.6 Angriffsszenarien Für die Ermittlung von Angriffsszenarien müssen die 3 Dimensionen Bedrohung, Schwachstelle und Angreifer verknüpft werden. Generisch ausgedrückt ergibt sich aus dieser Verknüpfung in Verbindung mit den Ausgangsüberlegungen die folgende Satzstruktur zur Beschreibung von Angriffsszenarien: Angriffszenario = [AngreiferTyp] als [Rolle] nutzt die [Schwachstelle] aus, um den [Betrachtungsgegenstand] aus dem [Motiv] mit [Bedrohung] anzugreifen 2.6.1 Kombination aus Schwachstellen und Bedrohungen In Abhängigkeit von den Ausgangsüberlegungen müssen die relevanten Kombinationen aus Schwachstellen und Bedrohungen ausgewählt werden, die betrachtet werden sollen. Es müssen nicht zwingend alle theoretisch möglichen Kombinationen betrachtet werden, es sollte jedoch nachvollziehbar dokumentiert werden, warum bestimmte Kombinationen von der Betrachtung ausgeschlossen werden. In der folgenden Tabelle 7 wurden beispielhaft 8 Bedrohungen und 3 Schwachstellen ausgewählt. Insgesamt ergeben sich aus dieser Auswahl 24 mögliche Kombinationen aus Schwachstellen und Bedrohungen. Durch die Fachexperten wurde beschlossen, 10 Kombinationen zu betrachten (Ergebnis der Anwendung der Methode), die Auswahl ist mit einem markiert. Tabelle 7: Angriffsszenarien (Ergebnis der Methode) Bedrohungen / Schwachstellen Modifizieren von Hardware / Software durch unterlassenes Handeln (Mensch) Überlastung von Hardware / Software durch unterlassenes Handeln (Mensch) Entfernen, Zerstörung, Ausfall, Außerbetriebnahme von Hardware / Software durch unterlassenes Handeln (Mensch) Technisch Mangelnde Resistenz der Hardware Mangelnde physische Sicherheit Verfahrensbezogen Fehlerhafte Verfahrensbeschreibung Seite 17 von 43
Bedrohungen / Schwachstellen Unberechtigter physischer Zugriff von Hardware / Software durch unterlassenes Handeln (Mensch) Modifizieren von Hardware / Software durch schädigendes Handeln (Mensch) Überlastung von Hardware / Software durch schädigendes Handeln (Mensch) Überlastung von Hardware / Software durch Staub (Außeneinwirkung) Überlastung von Hardware / Software durch Verschmutzung (Außeneinwirkung) Technisch Mangelnde Resistenz der Hardware Mangelnde physische Sicherheit Verfahrensbezogen Fehlerhafte Verfahrensbeschreibung 2.6.2 Kombination von Bedrohungen, Schwachstellen und Angreifern Zur vollständigen Auswahl der Angriffsszenarien, die betrachtet werden sollen, müssen den ausgewählten Kombinationen von Bedrohungen und Schwachstellen zusätzlich Angreifer zugeordnet werden. Bei der Auswahl der Angreifer sollten wieder die Ausgangsüberlegungen herangezogen und überlegt werden, gegen welche Angreifer das System untersucht werden soll. In der folgenden Tabelle 8 werden die 10 im obigen Beispiel ausgewählten Kombinationen aus Bedrohungen und Schwachstellen zwei Angreifern mit jeweils einem Motiv gegenübergestellt. Die Auswahl der Angreifer ist mit einem gekennzeichnet. Tabelle 8: Kombination aus Bedrohung, Schwachstelle und Angreifer Bedrohung Schwachstelle Innentäter als Administrator, Motiv Irrtum Innentäter als Benutzer, Motiv schädigendes Handeln Modifizieren von Hardware / Software durch unterlassenes Handeln (Mensch) Mangelnde Resistenz der Hardware Modifizieren von Hardware / Software durch unterlassenes Handeln (Mensch) Mangelnde physische Sicherheit Modifizieren von Hardware / Software durch unterlassenes Handeln (Mensch) Fehlerhafte Verfahrensbeschreibung Überlastung von Hardware / Software durch unterlassenes Handeln (Mensch) Mangelnde physische Sicherheit Seite 18 von 43
Bedrohung Schwachstelle Innentäter als Administrator, Motiv Irrtum Innentäter als Benutzer, Motiv schädigendes Handeln Entfernen, Zerstörung, Ausfall, Außerbetriebnahme von Hardware / Software durch unterlassenes Handeln (Mensch) Mangelnde physische Sicherheit Unberechtigter physischer Zugriff von Hardware / Software durch unterlassenes Handeln (Mensch) Mangelnde physische Sicherheit Modifizieren von Hardware / Software durch schädigendes Handeln (Mensch) Mangelnde physische Sicherheit Überlastung von Hardware / Software durch schädigendes Handeln (Mensch) Mangelnde physische Sicherheit Überlastung von Hardware / Software durch Staub (Außeneinwirkung) Mangelnde physische Sicherheit Überlastung von Hardware / Software durch Verschmutzung (Außeneinwirkung) Mangelnde physische Sicherheit Aus der Kombination der ausgewählten Bedrohungen und Schwachstellen (10) und zwei Angreifern mit jeweils einem Motiv (2) ergeben sich theoretisch 20 verschiedene Angriffsszenarien. Durch die Fachexperten muss ausgewählt werden, welche Angriffsszenarien tatsächlich betrachtet werden sollen. Wie in Tabelle 8 abgebildet sind 10 Kombinationen aus Bedrohungen, Schwachstellen und Angreifern (mit einem markiert) ausgewählt. Diese 10 Angriffsszenarien können nun verfeinert werden. 2.6.3 Verfeinerung der Angriffsszenarien Durch Anwendung der Methode Bedrohungs- und Schwachstellenanalyse können Kategorien von Angriffsszenarien bzw. generische Angriffsszenarien bedarfsgerecht identifiziert werden. Unter Nutzung des generellen Satzes für Angriffsszenarien ergibt sich für das erste Angriffsszenario aus dem Beispiel des vorherigen Kapitels (vgl. 3.6.2) folgendes: Generisches Angriffszenario (Kategorie): Ein Innentäter als Administrator nutzt die mangelnde Resistenz der Hardware aus, um das [Asset] irrtümlich durch Modifizieren von Hardware/Software durch unterlassenes Handeln (Mensch) anzugreifen. Durch diesen Satz und die Kombination der einzelnen Elemente (Bedrohung, Schwachstelle, Angreifer) wird eine Kategorie eines Angriffsszenarios beschrieben. Diese Kate- Seite 19 von 43
gorie liefert noch keine genauen Umstände für den Angriff, benennt konkret die bestehende Schwachstelle oder skizziert, worin der Irrtum bestehen könnte. Es wird hingegen eine Schublade oder Richtung für eine Kategorie von Angriffen geliefert, gegen die ein System gefeit sein sollte. Erst durch die Verfeinerung und Konkretisierung der relevanten Kategorien von Angriffsszenarien werden diese mit Leben gefüllt. Diese generischen Angriffsszenarien müssen nun durch die Anwendung der Methode Sicherheitsanalyse [gemmeth_sichanalyse] zu konkreten Angriffsszenarien verfeinert werden. 2.7 Ermittlung des Angriffspotentials für Angriffsszenarien Nach der Ermittlung der Kategorien für Angriffsszenarien und der Verfeinerung der Angriffsszenarien mit konkreten Beispielen stellt sich die Frage, was für ein spezifisches Angriffspotential von jedem einzelnen Angriffsszenario ausgeht. Damit die Angriffsszenarien genutzt werden können, um die Güte oder Wirksamkeit von Sicherheitsfunktionen beurteilen zu können, müssen den Angriffsszenarien Angriffspotentiale zugeordnet werden. Angriffspotentiale sollen es für die Anwender der Methode und die Autoren der Sicherheitskonzepte transparent machen, wie gefährlich ein Angriffsszenario tatsächlich ist und angenommen wird. Für die Definition von Angriffspotentialen werden die Vorgaben der Common Criteria (CC) 6 Anhang B.4 genutzt. Gemäß CC werden 5 Gruppen von Angriffspotentialen unterschieden, die in Tabelle 9 abgebildet sind. Tabelle 9: Definition der Angriffspotentiale Angriffspotential Definition 7 Sehr niedrig Niedrig Mittel Hoch Sehr Hoch Weniger als Niedrig. Es muss erkennbar sein, dass der Mechanismus Schutz gegen zufälliges, unbeabsichtigtes Eindringen bietet, während er durch schachkundige Angreifer überwunden werden kann Es muss erkennbar sein, dass der Mechanismus Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln bildet. Es muss erkennbar sein, dass der Mechanismus nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmittel verfügen, wobei ein solcher Angriff als nur sehr schwer durchführbar bewertet wird. Mehr als Hoch. 6 Stand Juli 2009, Version 3.1 Revision 3, Final. Die CC lagen bei der Erstellung dieser Methode nur in Englischer Sprache vor und wurden durch die Autoren frei übersetzt. 7 Siehe, IT Sicherheit auf Basis der Common Criteria ein Leitfaden Seite 20 von 43
Hinweis: Je höher das Angriffspotential ist, desto schwieriger ist der Angriff. Zwischen dem Angriffspotential und der Schadensschwere besteht kein Zusammenhang. 2.7.1 Bestimmung des Angriffspotentials Das Angriffspotential setzt sich aus den Dimensionen Erfahrung, Ressourcen und Motivation zusammen. Die Bestimmung des Angriffspotentials korrespondiert immer mit dem Aufwand der betrieben werden muss, um einen Angriff durchzuführen oder zu zeigen, dass ein Angriff durchgeführt werden kann. Das Angriffspotential drückt somit den Aufwand aus, den Angreifer aufbringen müssen, um eine Schwachstelle tatsächlich auszunutzen. Dieser Aufwand kann durch die folgenden fünf Faktoren bestimmt werden: Elapsed Time - Benötigte Zeit zur Identifikation und Ausnutzung einer Schwachstelle (Benötigte Angriffszeit) Spezialist Expertise - Benötigte Expertise oder Expertenwissen (Vorhandenes Expertenwissen) Knowledge of the Asset - Informationen zum Design und zur Funktionsweise die verfügbar sind (Verfügbare Informationen) Window of opportunity (Bestehende Angriffsmöglichkeit) IT hardware/software or other equipment - Welche Ausrüstung oder spezielles Equipment wird für den Angriff benötigt (Benötigte Ausrüstung) Die Bewertung der einzelnen Faktoren kann auch durch Abhängigkeiten zwischen den Faktoren beeinflusst werden. Sehr teure und spezielle Ausrüstung kann einem Angreifer bspw. auch mehr Zeit verschaffen. Im Folgenden werden die einzelnen Kategorien im Detail erklärt. 2.7.1.1 Benötigte Angriffszeit Die Angriffszeit ist die Zeit, die ein Angreifer benötigt, um eine Schwachstelle zu identifizieren, einen Angriff gegen die Schwachstelle zu entwickeln und den Angriff durchzuführen. Für die Schätzung der Angriffszeit sollte vom ungünstigsten Fall also der geringsten realistisch möglichen Angriffszeit ausgegangen werden. Die Einteilung ist wie folgt: a) Kleiner als ein Tag b) Kleiner als eine Woche c) Kleiner als zwei Wochen d) Kleiner als ein Monat e) Kleiner als zwei Monate Seite 21 von 43
f) Kleiner als drei Monate g) Größer als sechs Monate 2.7.1.2 Benötigtes Expertenwissen Das benötigte Expertenwissen drückt aus, über welches Wissen und welche Fähigkeiten der Angreifer verfügt. a) Laie, hat kein spezielles Wissen b) Geübte Person, hat spezielles Wissen über die Sicherheitsfunktionen des Systems oder Produkttyps c) Experte, hat sehr umfangreiches Wissen über die betreffenden Algorithmen, Protokolle, Hardware, Strukturen, Sicherheitsfunktionen, Prinzipien und Konzepte und verfügt über Techniken und Tools, um klassische Angriffe durchzuführen. d) Umfassender Experte, hat übergreifendes und umfassendes Wissen. Anmerkung: Es kann vorkommen, dass für manche Angriffe unterschiedliche Level von Expertenwissen notwendig sind. Es sollte immer der höhere Level für die Bewertung gewählt werden. Der umfassende Experte sollte nur in speziellen Fällen gewählt werden, wenn sehr spezielles Wissen, wie bspw. auf dem Gebiet der Hardware-Manipulation oder Kryptographie, vorhanden sein muss. 2.7.1.3 Verfügbare Informationen Durch diesen Faktor wird ausgedrückt, inwieweit Informationen über den Betrachtungsgegenstand verfügbar sind oder wie schwierig der Zugriff auf diese Informationen ist. Mit diesen Informationen ist nicht generell verfügbares Wissen gemeint. a) Öffentliche Informationen, die Informationen sind öffentlich und bspw. über das Internet zu erlangen. b) Begrenzte Informationen, die Informationen werden von den Entwicklern kontrolliert und stehen weiteren rganisationen zur Verfügung. c) Sensitive Informationen, die Informationen stehen nur bestimmten Teams innerhalb der Entwicklerorganisation zur Verfügung und nur diese Teammitglieder erhalten Zugriff. d) Streng vertrauliche Informationen, die Informationen sind nur sehr wenigen Personen zugänglich und werden nur nach dem Wer-muss-es-wissen-Prinzip verteilt und kontrolliert. Die verfügbaren Informationen über einen Betrachtungsgegenstand können sehr variieren und können auch von Betrachtungsgegenstand zu Betrachtungsgegenstand unterschiedlich bewertet werden. In manchen Fällen werden Informationen zum Design einfach veröffentlicht und sind dann öffentliche Informationen, in anderen Fällen sind dieselben Informationen geschützt und müssen dem zu Folge anders bewertet werden (bspw. begrenzte Informationen). Seite 22 von 43
Sollten die für einen Angriff benötigten Informationen unterschiedlich schwer zugänglich sein, so sollte die Information gewählt werden, die am schwersten zugänglich ist. 2.7.1.4 Bestehende Angriffsmöglichkeit Das Window of opportunity (mit bestehende Angriffsmöglichkeit übersetzt) ist wichtig für die Ermittlung des Angriffspotentials und steht in Verbindung mit der benötigten Angriffszeit. Manche Angriffe benötigen sehr viel Zeit zur Vorbereitung und das erhöht die Wahrscheinlichkeit, entdeckt zu werden. In anderen Fällen wird eine bestimmte Anzahl von Proben 8 (bspw. Hardwarekomponenten) benötigt, die der Angreifer in seinen Besitz bringen muss. Diese Proben können auch zerstört werden und müssten dann erneut beschafft werden. Die bestehende Angriffsmöglichkeit drückt somit aus, was der Angreifer für Möglichkeiten hat, Schwachstellen auszunuten oder wie viele samples (Beispiele) er in seinen Besitz bringen kann. a) Unbegrenzt, der Angreifer muss kein Risiko eingehen, um den Angriff auszuführen. b) Leicht, der Angreifer benötigt einen Tag Zugang und weniger als 10 Beispiele für seinen Angriff. c) Moderat, der Angreifer benötigt einen Monat Zugang und weniger als 100 Beispiele für seinen Angriff. d) Schwer, der Angreifer benötigt mehr als einen Monat Zugang und über 100 Beispiele für seinen Angriff. e) Keine, das mögliche Zeitfenster reicht nicht aus für einen Angriff oder es können nicht genügend Beispiele gesammelt werden. 9 2.7.1.5 Benötigte Ausrüstung Welche Ausrüstung wird für einen Angriff benötigt und wie speziell oder teuer muss diese sein. a) Standard, diese Ausrüstung steht bereits zur Verfügung und kann einfach eingesetzt werden. b) Spezial, diese Ausrüstung steht nicht sofort zur Verfügung, sondern muss erst durch den Angreifer angeschafft und eingerichtet werden. c) Maßgeschneidert, diese Ausrüstung muss speziell für den Angriff eingerichtet, programmiert oder hergestellt werden. 8 Hierbei handelt es sich um produktive Systembestandteile der TI (beispielsweise ein Kartenterminal, Firmware oder kryptographisches Material). 9 Dieser Punkt des Standards ist unter Experten umstritten. In der Methode werden durch diese Auswahl null Punkte vergeben, andere Experten sind der Meinung, dass bei Auswahl dieses Punktes insgesamt kein Angriffspotential besteht. Seite 23 von 43
d) Vielfach-maßgeschneidert, diese Ausrüstung muss speziell für den Angriff hergestellt werden und kann mehrere Angriffe umfassen. 2.7.1.6 Werte für die Berechnung des Angriffspotentials Jeder Ausprägung der fünf Faktoren ist, wie in der folgenden Tabelle 10 abgebildet, ein Wert zugeordnet. Tabelle 10: Wertetabelle für die Ausprägungen von Angriffspotentialen Benötigte Angriffszeit Werte kleiner 1 Tag 0 kleiner 1 Woche 1 kleiner 2 Wochen 2 kleiner 1 Monat 4 kleiner 2 Monate 7 kleiner 3 Monate 10 kleiner 4 Monate 13 kleiner 5 Monate 15 kleiner 6 Monate 17 größer 6 Monate 19 Benötigtes Expertenwissen Laie 0 Geübte Person 3 Experte 7 Umfassender Experte 11 Verfügbare Informationen Öffentlich 0 Begrenzt 1 Sensitiv 4 Streng vertraulich 11 Bestehende Angriffsmöglichkeit Unbegrenzt, kein Risiko für den Angreifer 0 Leicht 1 Moderat 4 Schwer 10 Nicht möglich 0 Seite 24 von 43
Benötigte Ausrüstung Standard 0 Spezial 4 Maßgeschneidert 7 Vielfach - maßgeschneidert 9 Für jedes Angriffsszenario müssen nach der Bewertung der fünf Faktoren die erzielten Punkte addiert werden. Aus der Addition lässt sich das Angriffspotential für jedes Angriffsszenario an Hand des Wertebereichs ablesen und einordnen. Die nachfolgende Tabelle 11 erweitert Tabelle 9 um den Wertebereich. Tabelle 11: Wertebereiche der Angriffspotentiale Angriffspotential Wertebereich Definition 10 Sehr niedrig 0-9 Weniger als Niedrig. Niedrig 10-13 Es muss erkennbar sein, dass der Mechanismus Schutz gegen zufälliges, unbeabsichtigtes Eindringen bietet, während er durch sachkundige Angreifer überwunden werden kann Mittel 14-19 Es muss erkennbar sein, dass der Mechanismus Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln bildet. Hoch 20-24 Es muss erkennbar sein, dass der Mechanismus nur von Angreifern überwunden werden kann, die über sehr gute Fachkenntnisse Gelegenheiten und Betriebsmittel verfügen, wobei ein solcher Angriff als nur sehr schwer durchführbar bewertet wird. Sehr Hoch => 25 Mehr als Hoch. 2.8 Unterstützung zur Ermittlung der Angriffsszenarien Zur einfacheren Anwendung der Methode wird ein Excelsheet zur Verfügung gestellt, in dem die einzelnen Bestandteile der Methode hinterlegt sind und an Hand dessen die Methode der Bedrohungs- und Schwachstellenanalyse halb-automatisch durchgeführt werden kann. 2.9 Fazit Die Methode Bedrohungs- und Schwachstellenanalyse in der Telematikinfrastruktur bietet ein strukturiertes Vorgehen zur Ermittlung und Bewertung von Angriffspotentialen. Der 10 Siehe, IT Sicherheit auf Basis der Common Criteria ein Leitfaden Seite 25 von 43
Ansatz ist die einzelnen Parameter (Bedrohungen, Schwachstellen, Angreifer) zur Ermittlung von Angriffsszenarien vorzugeben und die Anwender der Methode entscheiden zu lassen, welche Angriffsszenarien für die jeweilige Phase oder Situation relevant sind. Die Verfeinerung der auf diese Weise ermittelten Angriffsszenarien ist notwendig und erleichtert die Ermittlung des Angriffspotentials. Durch das Angriffspotential wird für jedes Angriffsszenario nachvollziehbar die Güte des Angriffs dokumentiert. Das Ergebnis dieser Methode ist ein Eingangsparameter für die Anwendung der Methode Sicherheitsanalyse. In der Sicherheitsanalyse werden die Sicherheitsfunktionen der TI den identifizierten Angriffsszenarien entgegengestellt, die Resistenz bewertet und entschieden, ob noch weitere Maßnahmen zur Abwehr ergriffen werden müssen. Seite 26 von 43
3 Beispiele zur Anwendung der Methode Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der TI. 3.1 Beispiel 1 3.1.1 Situationsbeschreibung und Vorgehen Situationsbeschreibung: Durch eine fiktive Fachanwendung wird die Übermittlung von unverschlüsselten E-Mails zwischen Ärzten zur Verfügung gestellt. Die E-Mail-Nachrichten werden unter Nutzung der TI-Plattform übertragen und nach der Übertragung bei einem zentralen Dienstleister gespeichert. Die E-Mail-Nachrichten werden somit bei den Ärzten und dem zentralen Dienstleister gespeichert. Über die Inhalte der E-Mails kann keine Aussage gemacht werden, außer dass es nicht ausgeschlossen ist, dass personenbezogene medizinische Daten damit übertragen werden. Die Methodik der Bedrohungs- und Schwachstellenanalyse wird in der Designphase angewendet, wenn definiert wird, wie die zukünftige Lösung technisch umgesetzt werden soll. Es wird angenommen, dass die rte an denen die Nachrichten gespeichert werden sicher sind 11 (Dienstleister und Standorte der Ärzte) und die Nachrichten nur während der Übertragung angegriffen werden können. Vorgehen: Zur Ermittlung der Angriffsszenarien wird die Methode zur Bedrohungs- und Schwachstellenanalyse angewendet, wie in Abbildung 3 dargestellt. Des Weiteren werden alle Informationen zur Ermittlung der Angriffsszenarien im Excelsheet Einheitl_Methoden_Bedrohungen und Schwachstellen_Beispiel_1.xls dokumentiert. 11 Diese Umgebungsannahme dient lediglich zur Vereinfachung des Beispiels Seite 27 von 43
1. 2. 3. Abbildung 3: Vorgehen zur Bedrohungs- und Schwachstellenanalyse, Beispiel 3.1.2 1. Ausgangsüberlegungen Vorgehen: Überlegungen: Zusammenarbeit von Fachexperten zur Beschreibung der Ausgangsüberlegungen Dokumentation der Ausgangsüberlegungen im Excel-Tool, Arbeitsmappe 1. Betrachtung Die Fachexperten müssen eindeutig definieren für welches Szenario und unter welchen Gesichtspunkten Angriffsszenarien über die Bedrohungs- und Schwachstellenanalyse ermittelt werden sollen. Dazu werden die Kategorien Betrachtungsgegenstand, Entwicklungsphase, Umgebungsannahmen, Betroffene Schutzziele und Schwerpunkt der Betrachtung beschrieben. Ergebnis: Betrachtungsgegenstand: Entwicklungsphase: E-Mail-Nachrichten, die durch die Fachanwendung zwischen Ärzten versendet werden. Design Seite 28 von 43
Umgebungsannahmen: Die Standorte der Ärzte und dort arbeitenden Personen sind vertrauenswürdig. Der externe Dienstleister zur Speicherung der Daten wird als vertrauenswürdig eingeschätzt, Angriffe von Innen werden nicht erwartet. Alle für die E-Mail-Übertragung benötigten technischen Komponenten funktionieren normal und Außeneinwirkungen sowie Elementarereignisse treten nicht auf. Es werden keine Anwendungsprozesse betrachtet. Betroffene Schutzziele: Schwerpunkt der Betrachtung: Vertraulichkeit Die Betrachtung soll auf den Transport der E-Mail- Nachrichten beschränkt werden. 3.1.3 2. Bedrohung, Schwachstelle, Angreifer Vorgehen: Zusammenarbeit von Fachexperten zur Kombination der Bedrohungsursachen und Bedrohungsaktionen, Auswahl der Schwachstellen, Kombination der Bedrohungen und Schwachstellen, Auswahl der Angreifer. Dokumentation der Kombination der Bedrohungsursachen und Bedrohungsaktionen im Excel-Tool, Arbeitsmappe 2. Bedrohungsbestimmung Dokumentation der Auswahl der Schwachstellen im Excel-Tool, Arbeitsmappe 3. Schwachstellenbestimmung Dokumentation der Kombination der Bedrohungen und Schwachstellen im Excel-Tool, Arbeitsmappe 4. Zuord. Bedr. Zu Schwach. Dokumentation der Auswahl der Angreifer im Excel-Tool, Arbeitsmappe 5. Auswahl der Angreifer. Überlegungen zur Kombination von Bedrohungsursachen und aktionen: Welche Ursachen könnten dazu führen, dass Nachrichten durch einen Angreifer auf dem Transportweg abgehört werden? Mensch: Tech. Versagen der Umgebung: Ja, denn es wird unterstellt, dass jemand schädigend die Nachrichten abhört. Nein, es wird für die Betrachtung davon ausgegangen das die Technik normal funktioniert (siehe Umgebungsannahme). Seite 29 von 43
Außeneinwirkung: Elementarereignis: Nein, es wird für die Betrachtung davon ausgegangen das die Außeneinwirkung keine Rolle spielt. Nein, es wird für die Betrachtung davon ausgegangen das keine Elementarereignisse auftreten. Welche Aktionen können dazu führen, dass Nachrichten durch einen Angreifer auf dem Transportweg abgehört werden? Hardware / Software: Information: Prozesse: Es wird für die Betrachtung davon ausgegangen, dass nur Software modifiziert und überlastet werden kann, da die Hardware nicht zugänglich ist. Ja, es wird für die Betrachtung davon ausgegangen, dass zum Verlust der Vertraulichkeit Informationen zur Kenntnis gelangen oder kopiert werden. Nein, es wird für die Betrachtung davon ausgegangen, dass keine Prozesse betroffen sind. Ergebnis der Kombination von Bedrohungsursachen und aktionen: Die eingangs getroffenen Umgebungsannahmen waren nicht vollständig und müssen angepasst werden, Technik funktioniert normal und Außeneinwirkungen sowie Elementarereignisse treten nicht auf. Auswahl der Ursachen, Mensch und schädigendes Handeln Auswahl der Aktionen, Information und Profilbildung und Kenntnisnahme Kombination der Bedrohungsaktionen und ursachen: Tabelle 12: Beispiel 1, Kombination von Bedrohungsursachen und aktionen Hardware / Software Information Anwendungs -prozesse Ursachen / Aktionen Modifizieren Überlastung Entfernen, Zerstörung, Ausfall, Außerbetriebnahme Unberechtigte Nutzung Löschen Kopieren Modifizieren Profilbildung Kenntnisnahme ffenbarung Verändern Verbergen Unbefugtes Ausführen Verhinderung Mensch Unterlassenes Handeln Seite 30 von 43
Schädigendes Handeln Seite 31 von 43
Überlegungen zur Auswahl der Schwachstellen: Welche Schwachstellentypen und ausprägungen könnten durch schädigendes Handeln betroffen werden? Technisch: Verfahrensbezogen: rganisatorisch: Menschliches Fehlverhalten: Ja, technische Fehler könnten ausgenutzt werden, besonders Konfigurationsfehler und Spezifikationsfehler. Nein, Es wird davon ausgegangen, das alle Verfahren richtig beschrieben wurden. Ja, besonders die Fehlerhafte Rollen- oder Rechtezuweisung Nein, Es wird in der Betrachtung nicht davon ausgegangen, dass menschliches Fehlverhalten vorliegt. Ergebnis der Auswahl der Schwachstellen: Anpassung der Umgebungsannahmen, Alle Verfahren sind richtig beschrieben Auswahl der Schwachstellen, Technisch, Konfigurations- und Spezifikationsfehler rganisatorisch, Fehlerhafte Rollen- und Rechtezuweisung Tabelle 13: Beispiel 1, Auswahl der Schwachstellen Schwachstellen Auswahl Technisch rganisatorisch Konträre fachliche Ausprägung Konzeptionsfehler Spezifikationsfehler Programmierfehler Konfigurationsfehler Mangelnde Resistenz der Hardware Mangelnde physische Sicherheit Fehlerhafte Verfahrensumsetzung Fehlerhafte Rollen- oder Rechtezuweisung Unzureichende Koordination und Kooperation Seite 32 von 43
Überlegungen zur Kombination der Bedrohungen und Schwachstellen: Welche Bedrohungen und Schwachstellen sollen kombiniert werden? Müssen sämtliche theoretisch möglichen Kombinationen betrachtet werden? Insgesamt ergeben sich aus den gewählten Bedrohungen und Schwachstellen sechs mögliche Kombinationen. Da alle Kombinationen plausibel sind, wird keine Kombination von der Betrachtung ausgeschlossen. Ergebnis der Kombination aus Bedrohungen und Schwachstellen: Tabelle 14: Beispiel 1, Auswahl der Schwachstellen Bedrohungen / Schwachstellen Spezifikationsfehler Konfigurationsfehler Fehlerhafte Rollenoder Rechtezuweisung Profilbildung von Information durch schädigendes Handeln (Mensch) Kenntnisnahme von Information durch schädigendes Handeln (Mensch) Überlegungen zur Auswahl der Angreifer: Welche Angreifer könnten die Nachrichten auf dem Übertragungsweg abfangen? Welche Angreifer kommen gar nicht in Betracht? Innentäter als Benutzer: Innentäter als Entwickler: Innentäter als Administrator: Außentäter: Physikalischer Prozess: Nein, es wird von einem vertrauenswürdigen Nutzer ausgegangen (siehe Umgebungsannahme). Nein, in der Betrachtung wird von einem externen Angreifer ausgegangen. Nein, in der Betrachtung wird von einem externen Angreifer ausgegangen. Ja, dem Außentäter wird unterstellt, dass er die TI schädigen und Aufsehen erregen will. Nein, in der Betrachtung wird nicht von technischem Versagen ausgegangen. Seite 33 von 43
Ergebnis der Auswahl der Angreifer: Tabelle 15: Beispiel 1, Auswahl der Angreifer Angreifer Motiv Auswahl Außentäter Schaden herbeiführen Bereicherung Aufsehen erregen Vertuschung Bequemlichkeit mangelnde Kenntnisse Irrtum 3.1.4 3. Angriffsszenario mit Angriffspotential Vorgehen: Generische Angriffsszenarien: Zusammenarbeit von Fachexperten und Dokumentation der Kombination von Bedrohungen, Schwachstellen und Angreifern (Excel-Tool, Arbeitsmappe 6. Zuord_Ang_Bed_Schwach.xls und Arbeitsmappe 7. Angriffsszenarien generisch ). Verfeinerte Angriffsszenarien: Zusammenarbeit von Fachexperten zur Verfeinerung der generischen Angriffsszenarien (Excel-Tool, Arbeitsmappe 8. Angriffsszenarien detail ). Angriffspotential der Angriffsszenarien: Ermittlung der Angriffspotentiale pro Angriffsszenario durch die Fachexperten (Excel-Tool, Arbeitsmappe 9. Angriffspotential ). Überlegungen zur Kombination von Bedrohungen, Schwachstellen und Angreifern: Welche Kombinationen von Bedrohungen, Schwachstellen und Angreifern sind sinnvoll? Müssen alle Kombinationen betrachtet werden, lassen sich Kombinationen zusammenfassen? Welche Bedrohungen und Schwachstellen könnten durch welche Motivationen der Angreifer besonders betroffen sein? Seite 34 von 43
Zur Definition der generischen Angriffsszenarien wurde entschieden, dass ein Angreifer der Schaden herbeiführen will sich nicht mit der bloßen Kenntnisnahme von Informationen zufrieden gibt, sondern dieser Angreifer zielt darauf ab Informationen zu verändern. Ein Angreifer hingegen der Aufsehen erreichen will, erreicht dieses Ziel schon, wenn er von Informationen Kenntnis erlangt, die ihm nicht zugänglich sein sollten. Tabelle 16: Beispiel 1, Kombination der Bedrohungen, Schwachstellen und Angreifer Bedrohung Schwachstelle Schaden herbeiführen Aufsehen erregen Profilbildung von Information durch schädigendes Handeln (Mensch) Spezifikationsfehler Kenntnisnahme von Information durch schädigendes Handeln (Mensch) Spezifikationsfehler Profilbildung von Information durch schädigendes Handeln (Mensch) Konfigurationsfehler Kenntnisnahme von Information durch schädigendes Handeln (Mensch) Konfigurationsfehler Profilbildung von Information durch schädigendes Handeln (Mensch) Fehlerhafte Rollenoder Rechtezuweisung Kenntnisnahme von Information durch schädigendes Handeln (Mensch) Fehlerhafte Rollenoder Rechtezuweisung Ergebnis der Kombination von Bedrohungen, Schwachstellen und Angreifern: Aus der Auswahl der Angreifer und der Zuordnung zu Bedrohungen und Schwachstellen ergeben sich insgesamt die folgenden 6 generischen Angriffsszenarien. Die Formulierung der Angriffsszenarien orientiert sich an dem Satz: Angriffszenario = [AngreiferTyp] als [Rolle] nutzt die [Schwachstelle] aus, um den [Betrachtungsgegenstand] aus dem [Motiv] mit [Bedrohung] anzugreifen. Durch das Excel-Tool (Arbeitsmappe 7. Angriffsszenarien generisch ) wird der Satz automatisch zusammengestellt. Leichte grammatikalische Anpassungen sind jedoch nicht zu vermeiden und sollten durch die Anwender der Methode vorgenommen werden. Tabelle 17: Beispiel 1, Angriffsszenarien generisch Nr. A 1 Angriffsszenarien generisch Ein Außentäter nutzt Spezifikationsfehler aus, um E-Mail-Nachrichten, die durch eine fiktive Anwendung zwischen Ärzten versendet werden aus dem Motiv Schaden herbeiführen durch Profilbildung von Informationen durch schädigendes Handeln (Mensch) Seite 35 von 43