Was war besonders an Stuxnet?
- Schadsoftware verlässt digitalen Raum
Erstens greift Stuxnet Steuerungssysteme (SCADA-Systeme von Siemens) an und ist
damit in der Lage, physischen Schaden an Industrieanlagen anzurichten. Bis dahin haben Schadprogramme die IT-Systemebene nicht verlassen. - Verwendung mehrerer ZeroDays
Zweitens ergaben Analysen, dass für Stuxnet vier bis dahin unveröffentlichte Sicherheitslücken (sog. ZeroDays) verwendet wurden. Solche Lücken werden für sehr viel
Geld auf dem Schwarzmarkt gehandelt. Bisher kannte man Schadprogramme, die ein
oder zwei solcher Lücken verwendeten.
-Extrem komplexe Schadsoftware
Drittens ist insgesamt der notwendige personelle und finanzielle Aufwand, einen solchen Schädling gezielt zu entwickeln, so gewaltig, dass davon auszugehen ist, dass eine
Gruppe mit sehr großen finanziellen Ressourcen dahinter steht
ISO Standard 270001
ISO 270001
- Maßnahmenkatalog
- spezifiziert die Anforderungen an Information Security Management System (ISMS) und ist Grundlage zur Zertifizierung von Organisationen in diesem Bereich.
- Herstellung, Einführung, der Betrieb, die Überwachung, Wartung und Verbesserung eines Informationssicherheitssystems berücksichtigt.
- Das primäre Ziel ist die Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung der Informationssicherheit.
Safety und Security
Safety bezieht sich meist auf die Zuverlässigkeit und Ausfallsicherheit von Systemen oder auf die Unversehrtheit von Menschen. Auf der systemtechnischen Ebene bezieht sich Safety also auf die Zuverlässigkeit und Betriebssicherheit von Systemen, indem das System stabile und überprüfbar korrekte Ergebnisse liefert und eine gewisse Fehlertoleranz aufweist.
Security wird häufig mit Angriffssicherheit übersetzt, also dem Schutz vor beabsichtigten Angriffen. Dementsprechend definiert auch die International Standards Organisation (ISO) Security als die “Minimierung der Verwundbarkeit von Werten und Ressourcen” (Eckert 2014 ). Auf der systemtechnischen Ebene geht es bei der Security also um den Schutz vor Angriffen wie z. B. die Störung der Funktionalität durch Schadsoftware, das unbefugte Auslesen oder Manipulieren von Daten oder das Abfangen von Daten bei deren Übertragung.
Sicherheitsdifferenzierung nach Eckert
Funktionssicherheit (safety) im Sinne erwartungskonformer Funktionalität,
Informationssicherheit (security)
Datensicherheit (protection).
Unterscheidung zur Bewertung von Systemen in …
… zwischen Schwachstellen, Bedrohungen und Risiken
Schwachstelle Definition
beschreibt eine Eigenschaft eines Systems, die einen Missbrauch ermöglicht,
also eine Eigenschaft, die das System verwundbar macht
Zero-day Vulnerability, Zero Days oder 0days.
Ausnutzung einer Lücke am gleichen Tag
Bedrohung (threat)
beabsichtigte oder unbeabsichtigte Einwirken auf ein System, eine Ressource oder auch auf eine Person mit unerwünschten Effekten (Schaden).
Das BSI-GS spricht von einem “Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann”.
Beispiele für Bedrohungen:
- Zufällige Ereignisse (z. B. höhere Gewalt); diese sind der Sicherheit im Sinne der Safety zuzuordnen.
- Unbeabsichtigte Fehler (z. B. Übertragungs- oder Bedienungsfehler) beziehen sich auf die Zuverlässigkeit eines Systems und sind ebenfalls der Safety zuzuordnen.
- Passive Angriffe ohne Änderung am laufenden IT-System (z. B. Abhören oder Mitlesen).
- Aktive Angriffe mit Änderungen am Daten-Zustand des Systems (z. B. Datenverfälschung).
Risiko
die Wahrscheinlichkeit, dass ein Schaden durch eine Bedrohung eintritt, als auch die Höhe des Schadens, also die unerwünschten Folgen selbst.
Das Risiko umfasst also auch eine “Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist
- ergibt sich aus einer Schwachstelle, dem Bedrohungspotential und der Schadenshöhe, wodurch Risiko die Relevanz eines bestimmten Schadensszenarios beschreibt
5 Schutzziele
- Integrität
- Authentizität
- Verfügbarkeit
- Verbindlichkeit
- Vertraulichkeit
Integrität (von Daten oder Ressourcen)
dass diese unverfälscht sind, d.h. sie nicht geändert oder gelöscht wurden, oder ihnen etwas hinzugefügt wurde.
Authentizität
Echtheit der Quellen
von Daten, also dass die (übertragenen) Daten vom angegebenen Absender oder System stammen.
Integrität
dass diese unverfälscht sind, d.h. sie nicht geändert oder gelöscht wurden, oder ihnen etwas hinzugefügt wurde.
Authentizität
Die Authentizität (engl. authenticity) beschreibt hauptsächlich die Echtheit der Quellen von Daten, also dass die (übertragenen) Daten vom angegebenen Absender oder System stammen.
Authentizität kann sich damit einerseits auf Personen beziehen: Bei der Übertragung von Nachrichten, zum Beispiel per Mail, bedeutet Authentizität dann, dass die Mail tatsächlich von der Person gesendet wurde, die als Absender eingetragen ist.
Verbindlichkeit
dass ein bestimmtes Ereignis oder eine bestimmte Aktion stattgefunden hat und dass diese einer (natürlichen oder juristischen) Person zurechenbar ist. Manche Autoren sprechen hier auch von Nicht-Abstreitbarkeit (engl. non-repudiation).
Vertraulichkeit
stellt die Geheimhaltung von Informationen gegenüber unberechtigten Dritten sicher
Wer Vertraulichkeit gewährleistet, verhindert eine “unautorisierte Informationsgewinnung
Verfügbarkeit
Verfügbarkeit (engl. availability) von Ressourcen wie Daten oder Dienste ist gewährleistet, wenn sie erreichbar und erwartungskonform nutzbar sind.
Schützenswerte Daten
- Personenbezogene Daten
- Maschinendaten
- Metadaten
Aufgaben Identity Management
- Identität von Personen und deren Rechte mit technischen Mitteln prüfen
- Schutz von Systemen, Systemfunktionen und Daten
wer eigentlich befugt ist für was, und wie sichergestellt werden kann, dass sich unbefugte Personen nicht als befugte ausgeben können
Identität
- (technische) Repräsentation einer Person, aber auch ein Objekt
- braucht Eigenschaften zum Wiedererkennen
5 Komponenten Authentifizierungsprozess
- ein Satz Daten zur Authentisierung (A), also mit denen Personen ihre Identität nachweisen;
- ein Satz im System gespeicherter Referenzdaten (R), mit denen die Authentisierungsdaten abgeglichen werden;
- eine Extraktionsfunktion (FE), mit der die Authentisierungsdaten in die Referenzdaten überführt werden können;
- Vergleichsfunktion (FV), mit der die Identität nachgewiesen wird;
- Änderungsfunktionen S, mit denen eine Person Authentifzierungsdaten erstellen oder ändern kann.
Autorisierung
erfolgreiche Zuweisung von Rechten zu Identitäten
Recht auf informationelle Selbstbestimmung
zu bestimmen,
wann und in welchem Umfang er persönliche Lebenssachverhalte preisgeben möchte und
zu welchem Zweck sie verwendet werden dürfen.
Schützenswerte Daten
- personenbezogene Daten
das sind Einzelangaben über persönliche oder sachliche Eigenschaften einer identifizierten oder identifizierbaren natürlichen Person.
Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen oder der Personalnummer, Pseudonyme. - Maschinendaten:
enthalten Informationen über den Zustand von Maschinen oder auch über Prozessabläufe in Industrieanlagen, zum Beispiel Temperatur, Schwingungen, Drehzahl o.ä. - Metadaten:
strukturierte Daten, die Inhaltsdaten beigeordnet sind und etwas über diese aussagen[3]. Metadaten gibt es überall dort, wo Daten beschrieben werden. Bei der E-Mail wäre das der Text oder die Anhänge, die versandt wurden, bei dem Buch das Buch selbst. Metadaten können sowohl personenbezogen also auch nicht-personenbezogen sein.
