Systemsicherheit (Kapitel 1)

Nach FIPS 199 werden (potentielle) Störungen in der IT-Sicherheit in drei Kategorien eingeteilt:

1. Niedrig (Low):
   Störungen in der IT-Sicherheit führen zu leicht nachteiligen Effekten bei der Produktion, bei betrieblichen Gütern oder beim Personal.
2. Mittel (Moderate):
   Störungen in der IT-Sicherheit führen zu ernsthaften Verlusten hinsichtlich der Produktion, betrieblichen Gütern oder des Personals.
3. Hoch (High):
   Störungen in der IT-Sicherheit haben katastrophale Auswirkungen auf die Produktion, die betrieblichen Güter und das Personal. Die Unternehmung ist nicht mehr in der Lage, die betrieblichen Aufgaben zu erfüllen.

Funktionssicherheit:

Ziel: Schutz vor Schäden durch Fehlfunktionen des IT-Systems.

Gründe für das Fehlen der Funktionssicherheit:

• Technisches Versagen: Alterung, Stromausfall, Schmutz
• Menschliches Versagen: Dummheit, mangelnde Ausbildung, Fahrlässigkeit
• Höhere Gewalt: Feuer, Blitzschlag etc.

=> Schutz vor einem IT-System

IT-Sicherheit:

Ziel: Schutz vor Schäden durch zielgerichtete Angriffe auf IT-Systeme (z.B. Wirtschaftsspionage, Terrorismus, Vandalismus etc.)

=> Schutz eines IT-Systems

• Nichttechnische Schwachstellen
• Technische Schwachstellen

Unter nichttechnischer Schwachstellen wird die Gefahr einer unbefugten Weitergabe von Unternehmensinterna verstanden. Nichttechnische Schwachstellen können nicht auf technische Komponenten zurückgeführt werden. Vielmehr beruhen diese Schwachstellen auf organisatorischen Mängeln. Häufige Ursachen sind vor allem Spezifikationsfehler bei der Verwendung bzw. Planung von Sicherheitsmechanismen oder verdeckte, d.h. intransparente Informationsflüsse.

Technische Schwachstellen beschreiben Unzulänglichkeiten bzw. Sicherheitslücken in den IT-Systemen. Technische Schwachstellen können weiterhin in konzeptionelle Schwächen und Schwächen in der Implementierung (z.B. in Software, Hardware oder Firmware) unterteilt werden.

• Ausnutzung technischer Schwachstellen
  • Schwachstellen in den Systemen (z.B. Implementierungsfehler, konzeptionelle Schwächen)
  • Sachstellen in Netzwerken
• Ausnutzung nichttechnischer Schwachstellen (z.B. Weitergabe von Informationen an den Freund oder die Tochter; phishing)

• Trojanische Pferde
• Würmer, Wurmsegmente

Programme, die neben ihrer bekannten Funktion auch eine weitere, verborgene Funktion besitzen, werden als trojanische Pferde bezeichnet. Trojanische Pferde lassen sich in folgende Kategorien einteilen:

• Computerviren:
  Computerviren sind Codesequenzen in trojanischen Pferden, die eine Modifikations- und Vervielfältigungsfunktion enthalten. Bei Computerviren handelt es sich häufig um Schadsoftware.
• Logische Bomben:
  Bei logischen Bomben handelt es sich um Codesequenzen in trojanischen Pferden, deren Aktivierung an konkrete Ereignisse gebunden ist.
• Hintertüren (backdoors):
  Backdoors sind Codesequenzen in trojanischen Pferden, deren Aktivierung an den Aufruf an einer verborgenen Funktion gebunden ist (z.B. login, ssh).

Würmer sind autonome Programme, die sich selbst vervielfältigen. Sie wurden ursprünglich zur Nutzung freier Rechenkapazität in Netzen entwickelt.

Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem infizierten System installiert wird, um zukünftige Anmeldevorgänge des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken. Das Ziel besteht darin, die vollständige, unsichtbare und nachhaltige Kontrolle über ein IT-System zu erlangen. Es enthält eine Werkzeugsammlung für vollautomatisch ablaufende Angriffe. Im Werkzeugkasten enthalten sind:

• Werkzeuge für die vollautomatische Analyse technischer Schwachstellen
• Werkzeuge für ein vollautomatisches Angriffsmanagement
• Werkzeuge für die vollautomatische Installation von Hintertüren
• Werkzeuge für ein vollautomatisches Tarnsystem

Der Angriff mit einem Rootkit erfolgt in zwei Schritten:

1. Schritt: Schwachstellenanalyse:

Im ersten Schritt werden Werkzeuge zur Suche nach technischen Schwachstellen ausgeführt. Die Suche erfolgt in aktiven privilegierten Diensten und Dämonen über port scans, in Konfigurationsdateien (z.B. nach schwachen Passwörtern) oder über bekannte Implementierungsfehler im Betriebssystem. Bei der Schwachstellenanalyse wird auf eine umfangreiche Schwachstellendatenbank zurückgegriffen.

2. Schritt: Angriffsmanagement

In diesem Schritt wird eine Reihe von Maßnahmen eingeleitet, damit auf dem System Code des Angreifers mit Root-Privilegien ausgeführt wird. Dieser Code installiert Nebelbomben zum Verstecken des Angriffs und tauscht originale Softwarekomponenten durch eigene Komponenten aus.

• hochprivilegierter Zugang zum System innerhalb von Bruchteilen von Sekunden
• System wird durch Softwarekomponenten des Angreifers modifiziert
• Installieren wirkkungsvolle Nebelbomben zum Verbergen der Modifikationen

• Reinigung von Logfiles (Löschen von Einträgen des Rootkits)
• Modifizierte Systemkomponenten
  • Prozessmanagement (Verbergen laufender Rootkit Prozesse)
  • Dateisystem (Verbergen von Rootkit Dateien)
  • Netzwerk (Verbergen aktiver Rootkit Verbindungen)
• Austausch von Komponenten des Betriebssystems (Verbergen laufender Root Kit Prozesse, Dateien, Verbindungen)

Eine reaktive Beseitigung von Rootkit Schäden ist nicht möglich! Aber es kann proaktiv mittels Security Engineering vorgebeugt werden, um Schäden zu vermeiden. Dabei führt man neue Paradigmen (politikgesteuerte Systeme), Sicherheitsmodelle und Sicherheitsarchitekturen ein, um potentielle Schäden möglichst wirkungsvoll zu bekämpfen.

Security Engineering ist eine methodische Vorgehensweise zur Entwicklung sicherer IT-Systeme. Dabei beinhaltet Security Engineering folgende 4 Schritte:

1. Die Definition von Sicherheitszielen (Sicherheitsanforderungen=
2. Strategien bzw. Regelmengen zur Erreichung dieser Ziele (Sicherheitspolitik)
3. Methoden zur Formulierung der Sicherheitsstrategien (Sicherheitsmodelle)
4. Methoden zur Integration in IT-Systeme (Sicherheitsmechanismen und –architekturen)