Auflistung aller Beiträge aus der Kategorie

Verteidigung

ψ² = Ps(i)²

FOKUS 002 – BSI Grundschutz

FOKUS 002

Unter dem Stichwort FOKUS stelle ich hier im Blog regelmäßig Maßnahmen aus den Grundschutzkatalogen des BSI vor. Im FOKUS 002 geht es um die Maßnahme

M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen

Ein Sicherheitsvorfall entsteht meist durch eine Verkettung verschiedener Probleme. Daraus ergibt sich die Frage, in welcher Reihenfolge die Probleme angegangen werden sollen. Zur Festlegung der Prioritäten muss man sich die folgenden Fragen stellen:

  • Welche Schadenskategorien sind relevant?
  • In welcher Reihenfolge sollten Schäden behoben werden?

Bei der Bearbeitung der Fragen greift man auf die Schutzbedarfsfeststellung zurück. Dort sind die relevanten Schadenskategorien definiert. Im Zusammenspiel mit den finanziellen Schadensauswirkungen lässt sich so eine Prioritäten-Matrix wie in der folgenden Tabelle festlegen:

Schadenskategorie Schaden mittel/ kleiner 25.000€ Schaden hoch/ höher als 25.000€ Schaden sehr hoch/ höher als 5.000.000€
Verstoß gegen Gesetze, Vorschriften oder Verträge 13 12 11
Beeinträchtigung des informationellen Selbstbestimmungsrechts 8 6 3
Beeinträchtigung der persönlichen Unversehrtheit 5 2 1
Beeinträchtigung der Aufgabenerfüllung 15 14 7
Negative Außenwirkung 17 9 4
Finanzielle Auswirkungen 18 16 10

Tabelle 1: Beispieltabelle mit Prioritätenreihenfolge

Diese Tabelle muss durch die Geschäftsführung in Kraft gesetzt werden. Sie ist Grundlage bei der Behandlung von Sicherheitsvorfällen.

Angenommen wird, dass es in der obigen Beispiel-Stadtverwaltung einem Hacker gelungen ist, die Informationen auf dem Internet-Informationsserver zu manipulieren, so dass die Stadtverwaltung verunglimpft wird. Dies wird frühzeitig bemerkt, das IT-Sicherheitsmanagement eingeschaltet und die obige Schadenseinschätzung durchgeführt. Diese hätte zum Ergebnis, dass folgende Schäden zu erwarten sind:

Schadenskategorie Schaden mittel/ kleiner 25.000€ Schaden hoch/ höher als 25.000€ Schaden sehr hoch/ höher als 5.000.000€
Verstoß gegen Gesetze, Vorschriften oder Verträge 13 S1 12 11
Beeinträchtigung des informationellen Selbstbestimmungsrechts 8 6 3
Beeinträchtigung der persönlichen Unversehrtheit 5 2 1
Beeinträchtigung der Aufgabenerfüllung 15 S2 14 7
Negative Außenwirkung 17 9 4 S3
Finanzielle Auswirkungen 18 S4 16 10

Tabelle 2: Einordnung der Schadensbestandteile

Man leitet nun die folgende Prioritätenreihenfolge ab:

  1. S3 = 4
  2. S1 = 13
  3. S2 = 15
  4. S4 = 18

Auf diesem Weg ist es möglich schnell zu einer Entscheidung über das weitere Vorgehen zu kommen. Umso besser ist es, wenn man für die anstehenden Schritte bereits Checklisten und Pläne vorhält. Für die Schadenskategorie negative Außenwirkung sollte man bereits vorgeschriebene Pressemitteilungen parat haben. Eine abgestimmte Krisen-PR kann hier schlimmeres verhindern.

Lesen Sie mehr →
ψ² = Ps(i)²

1.000.000$ für Security-Team

Richard Beijtlich hat sich in seinem Blog TaoSecurity dem Thema gewidmet, was man in Sachen Security mit 1.000.000$ anfangen kann. Zunächst hat er in seinem Beitrag Black Hat Budgeting die Angreiferseite unter die Lupe genommen (1.000.000$ für Angreifer-Team). Im Blog-Beitrag White Hat Budgeting betrachtet er nun die Seite der Verteidiger.

Und so sieht die Projekt- und Ressourcenplanung aus:

Eckdaten:

Name des Projekts: Project Intrusion Prevention
Ziel des Projekts: Informationsdiebstahl verhindern
Budget: 1.000.000$

Personalplanung:

Anteil am Gesamtbudget: 850.000$
Das sind 100.000$ mehr als im Angreifer-Team
Team-Leiter (120.000$):
Erfahrung in der Verteidigung von Enterprise-Systemen. Sollte sich mit allen Fachgebieten des Teams auskennen. Aufgabe: Vision für das Team entwickeln, Management und Strategie-Planung.
3 Incident-Response-Experten (110.000$)
Einer mit Schwerpunkt Windows Betriebssystem, einer für Unix und einer für die Aspekte der Netzwerkinfrastruktur.
Security-Operator (80.000$)
Entwicklung und Anwendung von Gegenmaßnahmen. Steht den anderen Team-Mitgliedern für Unterstützung zur Verfügung.
Bedrohungs-Analyst (120.000$)
Reverse Engineering von Schadsoftware und Überwachung von Aktivitäten in der Angreifer-Szene. Wissensmanagement innerhalb des gesamten Teams.
2 Analysten (200.000)
Zwei Analysten spielen in simulierten Umgebungen Angriffe auf die genutzten Systeme durch.

Materialplanung:

Anteil am Gesamtbudget: 100.000$
Kostenlose Add-Ons: Bei diesem knappen Budget geht kein Weg daran vorbei, auf alle verfügbaren On-Board-Mittel zurückzugreifen und nur an den Stellen zu investieren, wo keine Tools zur Verfügung stehen.
Open-Source: An den Stellen, an denen keine On-Board-Mittel mitgeliefert werden muss zunächst auf Open-Source zurückgegriffen werden.
Hardware: Ein gewisser Anteil des Budgets muss zunächst in Hardware fließen – da geht kein Weg vorbei. Möglicherweise können Teile der Datenhaltung auf kostenlosen Speichern ausgelagert werden. So bleibt mehr Geld für andere Hardware.
Die Materialplanung muss mit wenig Geld zurecht kommen – Know How ist wichtiger!

Sonstiges:

50.000$ stehen für Schulungen, Reisekosten, Team-Boni etc. zur Verfügung.

“Mit so einem kleinen Team gibt es keine Möglichkeit für eine 27/7-Schichtfähigkeit. Eine 40-Stunden-Woche ist alles was man bekommen kann. Die Fähigkeit des Teams Angriffe zeitnah zu entdecken und darauf zu reagieren sinkt proportional zum Wachstum der Firma. Ein Team aus acht Verteidigern kommt an seine Grenzen, wenn die Firma mehr als 10.000 Mitarbeiter hat”, schreibt Richard Beijtlich zu den Fähigkeiten des zusammengestellten Teams.

Stellt man die beiden Ansätze für ein Security-Team und für ein Angreifer-Team nebeneinander, fällt schnell auf: Die Angreifer schöpfen scheinbar aus dem Vollen und können sogar Gewinne erzielen, während die Verteidiger schnell an die finanziellen Grenzen stoßen. Wenn die Verteidiger 99% der Schwachstellen schließen und 1% übersehen, dann waren sie erfolglos. Wenn die Angreifer 99% der Schwachstellen übersehen und nur 1% ausnutzen, haben sie ihr Ziel erreicht. Wenn nicht beim einen Unternehmen, dann eben bei einem anderen.

Der Frage der wirtschaftlichen Betrachtung von Informationssicherheit habe ich mich schon in diesen Beiträgen gewidmet:

Lesen Sie mehr →
ψ² = Ps(i)²

FOKUS 001 – BSI Grundschutz

FOKUS 001

Unter dem Stichwort FOKUS möchte ich hier im Blog regelmäßig Maßnahmen aus den Grundschutzkatalogen des BSI vorstellen. Im FOKUS 001 geht es um die Maßnahme

M 4.89 Abstrahlsicherheit

In meinem Beitrag Abhören über die Stromversorgung habe ich eine Möglichkeit vorgestellt, wie kompromittierende Abstrahlung aufgefangen werden kann. In dem zugrunde liegenden Testaufbau werden noch in einer Entfernug von 15 Metern Daten abgefangen, die  über die Erdungsleitung der Tastatur emittiert werden. Solche Angriffe werden regelmäßig vorgestellt. Heise berichtete z.B. 2008 von einem ähnlichen Versuchsaufbau zum Angriff auf Tastatureingaben. Diese Art der Spionage wird auch als Van-Eck-Phreaking bezeichnet. Sie ist benannt nach dem niederländischen Wissenschaftler Wim van Eck , der dieses Szenario 1985 zum ersten Mal beschrieb.

Der Grundschutz unterscheidet folgende Formen der Abstrahlung:

  • elektromagnetische Wellen im freien Raum
  • Abstrahlung entlang metallischer Leiter (Kabel, Rohre)
  • Überkoppeln auf parallele Datenkabel
  • akustische Abstrahlung, z. B. bei Nadel-Druckern (Bericht)
  • akustische Überkopplung auf andere Geräte
  • manuell erzeugte bloßstellende Abstrahlung (z.B. durch Bestrahlung von außen)

“In allen Fällen hat die Installation, also die Verkabelung der Geräte untereinander und mit dem Stromversorgungsnetz, einen wesentlichen Einfluss auf die Ausbreitung und damit auch auf die Reichweite der Abstrahlung”

Das BSI schlägt verschiedene Maßnahmen vor, die ohne größere Kostensteigerung vor bloßstellender Abstrahlung schützen. Dies macht die Maßnahmen auch dann attraktiv, wenn Sie für sich keine unmittelbare Bedrohung sehen, auf diese Art und Weise angegriffen zu werden.

  1. Zonenmodell

    2. Das Zonenmodell berücksichtigt die Abschwächung der Abstrahlung auf ihrem Weg vom verursachenden IT-Gerät zum potentiellen Empfänger und teilt den Raum so in Gefährdungszonen ein. Je nach Zone muss handelsübliches oder besonders abstrahlarmes Gerät eingesetzt werden. Im freien Raum entsprechen 0-20 Meter Zone 0, 20-100 Meter Zone 1 und mehr als 100 Meter Zone 2. Die Dämpfungseigenschaften von Gebäuden verringern diese Entfernungen in der Regel (Maßnahmen zur elektromagnetischen Schirmung von Gebäuden). Sie können durch Leitungen und Rohre innerhalb des Gebäudes – sogenannte Zufallsleiter – auch verschlechtert werden! Für jeden Betriebsraum nimmt man im Rahmen des Zonenmodells eine Zuordnung vor, aus der sich eine Empfehlung für die zu beschaffenden Geräte ableitet:

  2. Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte

    3. Die Zonenzuordnung gibt es vor: In Zone 1 Räumen kommt Zone 1 Gerät zum Einsatz u.s.w. Ob an den Geräte bereits bei der Neuentwicklung oder erst nach der Herstellung eine Minimierung der Störstrahlung vorgenommen wurde ist dabei unerheblich. Eine sogenannte Mustervermessung oder ein Kurzmessverfahren erlaubt, die Abstrahlsicherheit mit geringem Aufwand sicherzustellen. Nähere Informationen zu diesen Verfahren und eine Liste mit abstahlgeprüftem Gerät finden sie in der Technischen Leitlinie TL 03305 des BSI. Dort finden Sie auch eine Liste der Anbieter, die solche Prüfungen durchführen. In den meisten Fällen müssen die Geräte an einigen Stellen mit abschirmender Folie beklebt werden; An den Strom- und Datenkabeln werden oft sogenannte Ferritkerne angebracht, die die Abstrahlung der Leitungen minimieren. Die Firma GBS TEMPEST und Service GmbH bietet eine schöne Broschüre zum Download an, in der auch Abbildungen der Messanlagen enthalten sind.

Es gibt jedoch auch zwei ganz einfache Regeln, die das Abstrahlverhalten positiv beeinflussen. Erstens: Legen Sie den Aufstellungsort von besonders schützenswerten IT-Anlagen möglichst ins Gebäudeinnere oder zumindest auf die Gebäudeseite, von der ein “Lauschangriff” am wenigsten zu vermuten ist. Und zweitens: Verlegen Sie die Datenleitungen und andere Leitungen (Strom, Heizung, etc) nie parallel und mit möglichst großem Abstand. Lassen Sie Abstand zwischen Wänden und dem Aufstellungsort.

Paranoid? Das hängt vom zuvor ermittelten Schutzbedarf ab. Ist der groß genug, gilt: Vorsicht ist die Mutter der Porzelankiste.

Lesen Sie mehr →