Bedrohungsmodellierung

Worauf es beim Threat Modeling ankommt

| Autor / Redakteur: Thomas Ehrlich / Peter Schmitz

IT-Teams verbringen viele Arbeits­stunden damit, eine Sicherheitsstrategie und die entsprechende Bedrohungsmodellierung zu planen und beides im Lauf der Zeit immer wieder zu testen, zu überprüfen und zu verbessern.
IT-Teams verbringen viele Arbeits­stunden damit, eine Sicherheitsstrategie und die entsprechende Bedrohungsmodellierung zu planen und beides im Lauf der Zeit immer wieder zu testen, zu überprüfen und zu verbessern. (Bild: Pixabay / CC0)

Die Modellierung von Bedrohungen gehört mittlerweile fast schon zum Standard-Repertoire von IT-Sicherheitsteams. Dabei ist die Vorhersage von Bedrohungen und das Testen aller möglichen Varianten dieser Bedrohungen und Schwachstellen eine schwierige Aufgabe, mit der IT-Teams Hunderte von Arbeitsstunden verbringen. Worauf muss man hierbei achten? Welche Fehler sollten vermieden werden?

Die Grundlage einer erfolgreichen Bedrohungsmodellierung ist die Ermittlung potenzieller Bedrohungen. Darauf aufbauend erfolgt eine Analyse der Auswirkungen und hiermit verbunden eine Beurteilung, ob diese Bedrohung signifikant ist und entsprechende Abwehrstrategien notwendig sind. Da sich die Sicherheitsteams ständig neuen Bedrohungen ausgesetzt sehen, ist die Threat-Modellierung ein dynamischer, kontinuierlicher Prozess, der niemals abgeschlossen sein kann.

Wie funktioniert Threat-Modellierung?

Die Bedrohungsmodellierung stellt und beantwortet Fragen über das, was im Unternehmen geschützt werden muss, sei es die Infrastruktur oder etwa die Daten. Dabei kommt es darauf an, den Security-Alltag zu verlassen und sich stattdessen die Zukunft vorzustellen: Was könnte passieren? Welche Bedrohungen entwickeln sich gerade? Oftmals wird eine Threat-Modellierung bei der Implementierung neuer Systeme durchgeführt, während die Bedrohungsmodelle für die „älteren“ Systeme vernachlässigt werden – zum Teil sind sie gar nicht vorhanden oder schon seit geraumer Zeit nicht aktualisiert worden. So wie IT-Security im Allgemeinen ein ständiger Prozess ist, müssen auch die Bedrohungsmodelle stets aufs Neue angepasst werden. Dabei sollten neben Mitgliedern der IT-Sicherheitsabteilung auch weitere Personen einbezogen werden, etwa Administratoren, Systemarchitekten, Applikations-Verantwortliche sowie idealerweise auch Kunden und Partner. Bezieht man all diese unterschiedlichen Menschen mit ihren verschiedenen Sichtweisen, Bedenken und Lösungsansätzen in den Prozess mit ein, wird das Ergebnis wesentlich realitätsnäher sein.

Was könnte passieren – und was unternehmen wir dagegen?

Der Kern der Bedrohungsmodellierung sind „was wäre, wenn“-Fragen. Es sollten alle vorstellbaren Szenarien zunächst gesammelt werden. Was passiert, wenn ein Hacker das Konto von einem Mitarbeiter stiehlt? Was passiert, wenn jemand in die Datenbank eindringt? Was, wenn wir von einem Ransomware-Angriff getroffen werden? Hierbei sollte man kreativ vorgehen und auch gründlich recherchieren. So bieten etwa NIST und SANS Leitlinien zur Erstellung umfassender Cybersicherheitspläne, die als Inspirationsquelle dienen und die Grundlage für eigene Fragen bilden können.

Hat man diese Fragen beisammen, sollte jedes einzelne Szenario Schritt für Schritt durchgegangen werden: Welche Auswirkungen hat dieses Szenario? Wie ist es zu managen? Welche Schutzmaßnahmen sind erforderlich? Dabei kann es für einzelne Szenarien auch mehrere Bekämpfungsoptionen geben, gleichzeitig können Abwehrmaßnahmen auch bei mehreren unterschiedlichen Maßnahmen greifen.

Auch wenn man bei der Erstellung von Bedrohungsmodellen relativ frei vorgehen sollte, gilt es folgende (recht verbreitete) Fehler zu vermeiden:

Denken Sie wie ein Angreifer! Auch wenn dieser Rat oft gegeben wird und sicherlich zunächst gut klingen mag: Höchstwahrscheinlich sind Sie kein Hacker (wenngleich es durchaus sinnvoll ist, einen White Hat Hacker im Team zu haben) und können höchstwahrscheinlich nur erahnen oder erraten, wie ein Angreifer denkt und wie er vorgehen wird. Nutzen Sie Ihre Zeit lieber damit, die bekannten (oben erwähnten) Cybersicherheitsgrundlagen auf Ihre Szenarien anzuwenden.

Mein Bedrohungsmodell deckt alles ab. Man sollte nie davon ausgehen, dass sich das Modellierungs-Team tatsächlich jede einzelne potenzielle Bedrohung vorstellen kann, die irgendwann existieren wird. Gleichzeitig sollte aber die Einführung neuer Systeme nicht daran scheitern, dass womöglich ein minimales Risiko damit verbunden ist.

Nur zertifizierte Spezialisten sollen an der Bedrohungsmodellierung teilnehmen. Selbstverständlich schadet (nachgewiesene) Expertise keinesfalls. Man sollte jedoch dennoch versuchen, ein möglichst vielfältiges, diverses Team zusammenzustellen, um nicht in irgendwelche Muster zu verfallen. Je mehr unterschiedliche Stakeholder eingebunden werden, desto besser. Wie erwähnt, ist es ideal, auch Kunden einzubeziehen. Wo dies nicht möglich (oder praktikabel) ist, sollten Support-Mitarbeiter deren Rolle übernehmen, da sie am besten über die Bedürfnisse und Probleme der Kunden bescheid wissen.

Unser System läuft schon seit Jahren, dafür müssen wir kein Threat-Modell entwickeln. Dies ist wohl der gravierendste Fehler, den man machen kann. Wirft man einen Blick auf die großen Datenschutzverletzungen der jüngsten Zeit, wird man feststellen, dass gerade „erprobte“ Systeme kompromittiert wurden. Es ist wirklich sinnvoll, für jedes eingesetzte System ein Bedrohungsmodell zu entwickeln. Dies mag zwar eine enorme Aufgabe sein, aber die Risiken und potenziellen Kosten bei einem Vorfall sind aller Wahrscheinlichkeit nach höher.

Wir verfügen über genügend eigene Expertise und entwickeln alle Modelle grundsätzlich selbst. Neben den Leitlinien von NIST und SANS bieten zahlreiche Security-Anbieter umfassende, sofort einsatzbereite Bedrohungsmodelle. Sie sind meist vorkonfiguriert und verringern so deutlich die Zeit, die zur Erstellung der eigenen Modelle benötigt wird. Auf diese Weise lassen sich in der gleichen Zeit für wesentlich mehr Systeme (etwa auch alte) entsprechende Modellierungen erstellen.

Über den Autor: Thomas Ehrlich ist Country Manager DACH von Varonis Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45650577 / Risk Management)