Sichere Software-Architektur

Wenn das Sitzungszimmer zum Sicherheitsrisiko wird

bbv-Sicherheitsexperte Markus Burri erklärt, wie möglichst viele Sicherheitslücken im IT-System eines Unternehmens gefunden werden können. Besser sei es aber, die Implementierung von IT-Sicherheit bereits entwicklungsbegleitend vorzunehmen.

29.09.2022Text: tnt-graphics0 Kommentare
Cyber Security

Die Bedrohungslage für Unternehmen ist grösser als je zuvor. Weil die Sicherheitslücken überall im IT-System versteckt sein können, werden kaum je alle gefunden. Gemäss einer Studie von Kaspersky nimmt nicht nur die Anzahl von Cyberangriffen auf Unternehmen zu, sondern auch deren Schwere. Demnach wurden im Jahr 2021 14 % der Angriffe als schwerwiegend eingestuft. 2020 waren es noch 9 %. Die häufigsten Ursachen für kritische Vorfälle waren zielgerichtete Angriffe (40,7 %), Malware mit kritischen Auswirkungen (14 %), Ausnutzung öffentlich zugänglicher kritischer Schwachstellen (13 %) und Social Engineering (5,5 %). «Ein hundertprozentiger Schutz vor solchen Angriffen ist zwar nicht möglich, doch lassen sich mit den richtigen Massnahmen viele Fälle verhindern», sagt Markus Burri, Software-Architect Embedded bei bbv.

Unerkannte Lücken – schwerwiegende Folgen

Die Gründe für eine aktive Bedrohung können mannigfaltig sein. Vielleicht ist eine Warnmeldung im Spam-Ordner gelandet, die Verantwortlichkeiten sind nicht korrekt definiert oder – und darauf legt bbv-Experte Markus Burri den Finger – wurde keine eingehende Sicherheitsanalyse vorgenommen. Oft würden die Analysen wegen der Kosten nicht gemacht. «Dabei kommt es am Ende meist um ein Vielfaches teurer, wenn im Nachhinein ein Schaden behoben werden muss», sagt Markus Burri. Er nennt ein Beispiel einer unscheinbaren Schwachstelle, an die in einem Unternehmen niemand gedacht hat: «Um jeweils zu erfahren, ob ein Sitzungszimmer gerade frei oder besetzt ist, kam in besagtem Unternehmen jemand auf die Idee, einen praktischen Sensor zu installieren, der die Verfügbarkeit des Raumes anzeigt. Der Sensor war direkt mit Outlook verbunden, sodass alle Mitarbeitenden über die Raumverfügbarkeit Bescheid wussten. Da der Sensor nicht ausreichend gesichert war, diente er als offenes Einfallstor, sodass Hacker ins System eindringen konnten.» Ähnliche, oft vergessene Lücken sind etwa vergessene Rechner oder Server, die kaum jemand verwendet, eine vernetzte Kaffeemaschine oder vergessene Updates.

Wie man versteckte Lücken und Risiken findet

«Es geht darum, in einer Sicherheitsanalyse möglichst viele potenzielle Einfallstore zu finden», so Markus Burri. Gerade die nicht offensichtlichen Schwachstellen bergen oft grosse Risiken. «Wichtig ist es, dass man das ganze System gut kennt und sich bewusst ist, was man schützen möchte – also, welches die relevanten Daten und Infrastrukturen sind und welche Gefahren man vermeiden möchte.» Um möglichst viele Schwachstellen im IT-System zu finden, hat Microsoft die Methode STRIDE entwickelt. Damit werden möglichst alle potenziellen Gefahren per systematischer Risikoanalyse aufgelistet und klassifiziert. Das Sicherheitsmodell STRIDE beinhaltet folgende 6 Kategorien:

  • Spoofing Identity: Vortäuschen einer falschen Identität, unberechtigte Zugriffe.
  • Tampering with Data: Manipulation von Daten.
  • Repudiation: Nichtanerkennung einer illegalen Aktion. Man kann nicht beweisen, was ein Angreifer getan hat.
  • Information Disclosure: Unerlaubte Veröffentlichung von Informationen. Ein Angreifer sieht Daten, die er nicht sehen soll
  • Denial of Service (DoS): Störung der Verfügbarkeit einer Anwendung
  • Elevation of Privileges: Erhöhung von Rechten, z. B. wenn ein Angreifer seine Berechtigungen erhöhen kann.

Markus Burri erklärt die wichtigsten Schritte in der Anwendung von STRIDE: «Es geht darum, alle möglichen Bedrohungen zu benennen und in die spezielle, sehr umfassende STRIDE-Tabelle einzutragen. Danach wird jede Gefahr klassifiziert, sodass das Ausmass eines potenziellen Schadens und der möglichen Kosten definiert werden kann.» Im Folgenden soll abgewogen werden, wie hoch das Risiko ist, dass ein einzelner Fall eintritt: Welche Fälle können vernachlässigt werden? Welche Fälle gilt es unbedingt zu verhindern? Welche Fälle verursachen die grössten Schäden? Solche Lücken müssen zwingend präventiv gestopft werden.

Dabei ist es zielführender, wenn nicht nur eine Person mögliche Gefahren sucht und auflistet, sondern ein Team sich darum kümmert, um so mit einem Mehraugenprinzip möglichst viele potenzielle Fälle abzudecken. «Diese Analysen müssen unbedingt bereits während der Entwicklung und iterativ gemacht werden, um sogleich die nötigen Gegenmassnahmen anwenden zu können. Denn wenn man die Security-Vorkehrungen am fertigen Produkt implementieren will, ist der Aufwand oft um ein Vielfaches grösser.» Abgesehen davon verweist Markus Burri auf zwei mögliche Strategien und Vorgehensweisen, wie man die IT-Sicherheit im Unternehmen generell hoch halten kann Multiline of defence und Zero Trust:

Multiline of defense

Lediglich eine möglichst sichere Mauer um sein System zu bauen, um dahinter sämtliche Server, Rechner und Anwendungen schrankenlos miteinander zu vernetzen, ist keine gute Idee. «Viel besser ist eine gestaffelte Verteidigung. Das heisst, sich nicht auf eine einzige Firewall zu verlassen, sondern auch dahinter Schutzmechanismen einzubauen, um verschiedene Zonen oder Teilnetzwerke zu erstellen und diese mit unterschiedlichen Sicherheitsstufen zu schützen», so Markus Burri. Auf diese Weise lassen sich wichtige Geschäftsdaten auch dann schützen, wenn es Cyberkriminellen gelingen sollte, die erste Schranke zu überwinden und teilweise ins System einzudringen. Dies bietet der Verteidigung Zeit, um den Angriff zu detektieren und darauf zu reagieren. Zudem ist mit einer mehrstufigen Sicherheit davon auszugehen, dass bei einem Angriff nicht das ganze Unternehmen, sondern nur ein einzelner Bereich betroffen ist.

Zero Trust

Grundsätzlich niemandem zu vertrauen ist gemäss Markus Burri eine weitere gute Methode, seine Systeme zu schützen: «Man soll nur jene Zugriffe zulassen, die unbedingt notwendig sind. Und diese Zugriffe sollten so gut wie möglich überprüft werden.» Der Architekturansatz «Zero Trust» sieht zum Beispiel vor, dass die Benutzer nur so viel Rechte zugewiesen werden, wie sie wirklich benötigen. Dabei hat selbst der CEO nicht auf alle Bereiche Zugriff. «Ein häufiges Problem in Unternehmen besteht darin, dass Administratoren ihr Admin-Login auch für Aufgaben verwenden, die nichts mit der Administration zu tun haben. Öffnet eine solche Person beispielsweise aus Versehen ein Phishing-Mail, kann der Schaden ungleich grösser sein, als wenn sie dies als normal eingeloggter User getan hätte.

Hohes Schutzlevel mit der Industrienorm IEC 62443

Ein weiteres Instrument sind die Security-Zertifizierungen der Normenreihe IEC 62443. Diese stammt aus der Industrial Automation and Control Systems (IACS) und verfolgt einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. Damit wurden ursprünglich sowohl Hardware- als auch Softwarekomponenten für einen zuverlässigen und sicheren Betrieb von automatisierten Produktionsanlagen analysiert. Doch sie unterstützen auch die Sicherheit in Systemen. Um ein gewisses Schutzlevel mit IEC 62443 zu erreichen, müssen  definierte Requirements bezüglich System, Komponenten und Prozesse in verschiedenen Bereichen  erfüllt werden. Die Industrienorm ist gemäss Markus Burri  ein hilfreiches Instrument, die Cybersecurity zu verbessern.

Fazit: Stringente Analyse und entwicklungsbegleitendes Handeln

Die Einhaltung der genannten Methoden kann die Cybersicherheit verbessern und dabei helfen, Schwachstellen zu identifizieren und zu beheben. Damit kann das Risiko von kompromittierten Informationen oder Produktionsausfällen stark reduziert werden. «Mit diesen Methoden und Prozessen hat man einen guten Werkzeugkasten, um möglichst strukturiert viele Schwachstellen  zu identifizieren», sagt Markus Burri. «Viele Unternehmen scheuen sich davor, bereits präventiv Geld auszugeben, um mögliche Gefahren zu bannen. Doch steht fest: Mit dem Verhindern von Schwachstellen kommt man sicher günstiger als mit dem nachträglichen Beheben von Schäden.»

Der Experte

Markus Burri

Markus Burri ist Senior Software-Ingenieur Embedded bei bbv. Das Thema «Sicherheit» steht bei ihm im Fokus – besonders in Bezug auf die Applikationsentwickung in C++ für Embedded-Systeme und bei Netzwerken. Markus Burri leitet zudem die Security Community von bbv.

Transformationsbeschleuniger Künstliche Intelligenz

Keine Strategie ist auch keine Lösung

AI/KI
Erkenntnisse des Swiss AI Impact Reports 2024

Die 3 Typen im Umgang mit generativer KI

AI/KI
Sichere und ethische Verwendung von KI

Der AI Act: rechtliche Rahmenbedingungen für Künstliche Intelligenz

AI/KI

Beachtung!

Entschuldigung, bisher haben wir nur Inhalte in English für diesen Abschnitt.