Der kreative Geist eines Entwicklers, immer performantere Algorithmen zur Gefahrenabwehr zu konzipieren und Software interaktiv zu gestalten bis hin zur künstlichen Intelligenz, ist hier gefragt.
Mit der Einführung eines Planspiels zur Bedrohungs- und Risikoanalyse in Form eines Workshops kann das Entwickler- und Testteam mit einem Kartenspiel (siehe Abbildung 1) Schwachstellen in der Design-Phase ausfindig machen. Jede Karte beinhaltet unterschiedliche Hacker-Attacken und Bewertungskriterien zur Kritikalität bei erfolgreicher Attacke.
Abb. 1: Planspiel zur Bedrohungs- und Risikoanalyse
Einer der größten Software-Giganten – Microsoft – liefert mit dem sogenannten STRIDE die Basis für eine kreative und spielerische Lösung für Entwickler und Tester zum Absichern ihrer Software. STRIDE gliedert Bedrohungsvektoren in folgende Gruppen: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privileges (siehe Abbildung 2).
Abb. 2: Das STRIDE-Modell von Microsoft zur Kategorisierung der Bedrohungen
Funktionsweise der Bedrohungs- und Risikoanalyse
STRIDE ist nur ein Teilaspekt – genauer gesagt kommt STRIDE erst zum Schluss ins (Karten-)spiel. Im ersten Schritt werden die Informationswerte (Primary Assets) wie sensible Daten identifiziert, die es zu schützen gilt. Anschließend werden alle beteiligten Systemkomponenten, Applikationen/Software sowie die existierenden Verbindungen zwischen den Systemkomponenten (Supporting Assets) erfasst.
Im zweiten Schritt werden Schwachstellen und potenzielle Bedrohungen ermittelt, welche die Informationswerte bedrohen. Hier kommen die STRIDE-Karten ins Spiel: Anhand der Schwachstellen im System können unter allen STRIDE-Karten die Karten mit den relevanten Bedrohungen ausgewählt werden.
Compliance zu internationalen Sicherheitsstandards
In verschiedenen Beratungsprojekten ergab sich zusätzlich als Anforderung, auf eine elegante und effiziente Weise Compliance zu Standards wie ISO 27001 sowie BSI-Grundschutz zu erreichen. Dementsprechend wurde die Methode durch einen gesamtheitlichen Risikomanagement-Ansatz in der Entwicklung erweitert. Somit wird die Dokumentation der Bedrohungen, Schwachstellen und letztlich der Risiken umgesetzt, die problemlos einer Revision oder einem Audit standhält.
Bei der Bewertung der Bedrohungen für die eigentliche Risikobewertung des aktuellen Systems helfen die Karten mit Hinweisen. Hierbei wird auf Basis der Parameter „Eintrittswahrscheinlichkeit“ und „Auswirkung auf das System“ das aktuelle Risiko definiert. Anhand der Risikobewertung und der zugrunde liegenden Bedrohungen wird entschieden, ob und wie die Risiken behandelt werden.
Mit Kreativität und Spaß zu mehr IT-Sicherheit
Das Herausragende an diesem Vorgehen ist, dass es Kreativität und Spaß mit systematischem Vorgehen vereint. Die Vielfalt der Karten mit ihren Angriffen ermöglicht den Einsatz für unterschiedlichste Systeme – von kleinen Sensoren im Internet der Dinge bis hin zu großen Systemen für den Internet-Handel. Im praktischen Einsatz können fertige Templates für die Bedrohungs- und Risikoanalyse genutzt werden, die auf einer wissenschaftlichen Arbeit beruhen. Sie erleichtern und unterstützen die Analyse und werden in angepasster Form unter anderem auch für Business-Impact-Analysen im Umfeld des Notfallmanagements genutzt.