Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 4. POLICY, VORFALLSBEARBEITUNG, SCHWACHSTELLENANALYSE<br />
Wenn dies alles geschehen ist, kann mit der Schwachstellen- und Risiko-Analyse begonnen werden.<br />
4.4.3 Risiko- und Schwachstellenanalyse<br />
Bevor e<strong>in</strong>e Policy (Schutz-)Maßnahmen def<strong>in</strong>ieren kann, muß klar se<strong>in</strong>, was geschützt werden soll,<br />
welche Gefahren bestehen, bzw. welche Ereignisse e<strong>in</strong>treten können und wie groß die Wahrsche<strong>in</strong>lichkeit<br />
des E<strong>in</strong>tretens und der entstehende Schaden jeweils s<strong>in</strong>d.<br />
Um diese Daten zu sammeln, ist e<strong>in</strong>e Risiko- und Schwachstellen-Analyse notwendig, <strong>in</strong> der diese<br />
Fragen Schritt für Schritt geklärt werden.<br />
Was soll geschützt werden?<br />
Wie groß ist das Schutzbedürfnis im e<strong>in</strong>zelnen?<br />
Am Anfang steht e<strong>in</strong>e Bestandsaufnahme an bestehenden <strong>Systemen</strong>, Daten und sonstigen schützenswerten<br />
Gütern, soweit dies nicht schon beim anfänglichen Zusammentragen von Informationen geschehen<br />
ist. Dabei sollten die Systeme und ihre Daten <strong>in</strong> Gruppen mit jeweils gleicher Sensitivität<br />
e<strong>in</strong>geteilt werden. Es werden „<strong>Sicherheit</strong>s-Zonen“ erstellt. Abbildung 4.1 zeigt e<strong>in</strong>e E<strong>in</strong>teilung e<strong>in</strong>es<br />
Netzwerkes <strong>in</strong> e<strong>in</strong> <strong>in</strong>ternes Netz, e<strong>in</strong> externes Netz, das Internet sowie die verb<strong>in</strong>denden Komponenten.<br />
Für jede dieser e<strong>in</strong>zelnen Zonen wird nun festgestellt, wie kritisch deren <strong>Sicherheit</strong> für den<br />
Gesamtbetrieb jeweils ist. Dabei ist auch von Bedeutung, wie sich e<strong>in</strong> <strong>Sicherheit</strong>s-Bruch <strong>in</strong> e<strong>in</strong>er Zone<br />
gegebenenfalls auf andere Zonen auswirkt.<br />
hal<br />
deepthought<br />
holly<br />
earth<br />
Wahlzugänge<br />
Netz 1<br />
Internet<br />
<strong>in</strong>ternes Netz<br />
hydra<br />
janus<br />
<strong>in</strong>terne Firewall<br />
Internet<br />
merkur<br />
delphi<br />
Netz 2<br />
charon<br />
externes Netz<br />
externe Firewall<br />
Abbildung 4.1: E<strong>in</strong>teilung der Systeme (l<strong>in</strong>ks) <strong>in</strong> Zonen (rechts).<br />
Welche Risiken bestehen jeweils?<br />
Als nächster Schritt muß für jedes der Systeme bzw. der Zonen ermittelt werden, welche möglichen<br />
Brüche von <strong>Sicherheit</strong> bzw. sonstigen Risiken für deren Betrieb bestehen. Schäden durch böswillige<br />
E<strong>in</strong>wirkung (Sabotage, Spionage) s<strong>in</strong>d hier genauso von Interesse wie solche durch Unfälle, Fehler<br />
<strong>in</strong> der Benutzung oder „höhere Gewalt“ (Stromausfall, Feuerschaden). Neben materiellen Schäden<br />
spielen auch immaterielle Schäden wie zum Beispiel Image- oder Vertrauensverlust e<strong>in</strong>e Rolle.<br />
Zu jedem der betrachteten Schäden sollte möglichst genau die Wahrsche<strong>in</strong>lichkeit des Auftretens<br />
<strong>in</strong> e<strong>in</strong>em bestimmten Zeitraum und der tatsächliche Schaden, beziehungsweise die Kosten für e<strong>in</strong>e<br />
Wiederherstellung des Ursprungszustandes ermittelt oder geschätzt werden.<br />
62 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>