08T01 Threat Modelling – Angriffsvektoren in komplexen Systemen sichtbar machen
Der Beitrag stellt zwei Ansätze zur Schwachstellenanalyse von komplexen IT-Infrastrukturen gegenüber: Auf der einen Seite der klassische Ansatz mit Penetrationstests, auf der anderen Seite der Ansatz der computergestützten Bedrohungsanalyse. Dabei werden die Vor- und Nachteile beider Herangehensweisen herausgearbeitet. Als Beispiel für die automatisierte Analyse wird die im Rahmen des EU-Förderprojekts CyberWiz entwickelte Software securiCAD herangezogen. von: |
1 Informationssicherheit – eine gesellschaftliche Aufgabe
Schutz von Systemen
Die Sicherheit von Informationen und Informationsflüssen zu gewährleisten, gehört zu den großen Herausforderungen, denen sich Unternehmen und sogar ganze Gesellschaften heutzutage stellen müssen. Insbesondere für (System-)Architekturen, deren Ausfall katastrophale Auswirkungen u. U. sogar für die Bevölkerung haben kann, die sogenannten kritischen Infrastrukturen (KRITIS), ist es von höchster Wichtigkeit, zuverlässigen Schutz für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Die Sicherheit von Informationen und Informationsflüssen zu gewährleisten, gehört zu den großen Herausforderungen, denen sich Unternehmen und sogar ganze Gesellschaften heutzutage stellen müssen. Insbesondere für (System-)Architekturen, deren Ausfall katastrophale Auswirkungen u. U. sogar für die Bevölkerung haben kann, die sogenannten kritischen Infrastrukturen (KRITIS), ist es von höchster Wichtigkeit, zuverlässigen Schutz für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Theorie und Praxis
Und auch wenn dies von unterschiedlichsten Seiten und nicht zuletzt auch von der Politik immer wieder postuliert wird, ist die Gewährleistung dieser drei Grundprinzipien in der Theorie oftmals leichter gesagt, als in der Praxis getan.
Und auch wenn dies von unterschiedlichsten Seiten und nicht zuletzt auch von der Politik immer wieder postuliert wird, ist die Gewährleistung dieser drei Grundprinzipien in der Theorie oftmals leichter gesagt, als in der Praxis getan.
Transparenz durch Analyse
Ein wesentlicher Aspekt zur Gewährleistung von Sicherheit sollte immer eine Sicherheitsanalyse der vorhandenen IT-Infrastruktur sein, durch die eine entsprechende Transparenz geschaffen wird. Denn nur wenn eine entsprechende Transparenz vorhanden ist, kann man als Verantwortlicher die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten bzw. der Infrastruktur ergreifen. Eine solche Analyse kann auf vielfältigste Art und Weise durchgeführt werden. Es existieren diesbezüglich unterschiedliche Möglichkeiten und Herangehensweisen, die jedoch ihre Stärken und Schwächen haben.
Ein wesentlicher Aspekt zur Gewährleistung von Sicherheit sollte immer eine Sicherheitsanalyse der vorhandenen IT-Infrastruktur sein, durch die eine entsprechende Transparenz geschaffen wird. Denn nur wenn eine entsprechende Transparenz vorhanden ist, kann man als Verantwortlicher die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten bzw. der Infrastruktur ergreifen. Eine solche Analyse kann auf vielfältigste Art und Weise durchgeführt werden. Es existieren diesbezüglich unterschiedliche Möglichkeiten und Herangehensweisen, die jedoch ihre Stärken und Schwächen haben.