Security Engineering (was: [FYI] Mehr Überwachung gewünscht

[Kristian Köhntopp <kris@xn--khntopp-90a.de>]

On Tuesday 23 March 2004 11:18, Gert Doering wrote:
> Also bei mir weckt es nur die kriminelle Phantasie...  "wie aufwaendig
> waere es, hier ein XYZ vorbeizuschmuggeln" - und die Antwort ist
> "hinreichend trivial fuer jemand, der es ernst meint, und damit
> hinreichend sinnlos".

Ich mache gerade die Erfahrung, daß das Thema "Risikomanagement" selbst für 
Leute mit dem ausreichenden technischen Verständnis irgendwie ungewohnt ist, 
oder zumindest schwierig zu verstehen.

Die meisten Leute sind in der Lage, von sich aus Maßnahmen vorzuschlagen, die 
irgendwas bewirken sollen ("Wie wäre es, wenn wir den Mitarbeitern die ssh 
Fingerprints unserer Maschinen zur Verfügung stellen würden?"). 

Sie sind aber zum größten Teil schon nicht in der Lage, von der Warte einer 
Gefährdung auf das Thema zuzugehen ("Kenntnis des Fingerprints soll gegen 
eine Man-in-the-Middle-Attacke schützen. Das tut aber eine Kenntnis des 
vollen Hostkeys auch, und wir wären auch in der Lage, den Mitarbeitern eine 
vorbereitete known_hosts-Datei zur Verfügung zu stellen. Das hätte nicht nur 
dieselbe Schutzwirkung, sondern würde zugleich die lästige Nachfrage mit dem 
manuellen Vergleich des Fingerprints vermeiden."). 

Die Kür wäre natürlich, würden diese Personen mit einem Angreifermodell 
arbeiten, um Gefährdungen zu gewichten und so die Notwendigkeit von Maßnahmen 
beurteilen zu können ("Unsere Maschinen im Produktionsnetz stehen hinter der 
Firewall in einem Netz, das wir als sicher ansehen und dem wir in gewissem 
Maße vertrauen. Ein Man-in-the-Middle in diesem Netz ist extrem 
unwahrscheinlich. Wenn er dennoch aufträte, hätten wir neben dieser 
Gefährdung auch noch weitere, dringendere Probleme. Es ist daher egal, ob wir 
uns gegen dieses Problem verteidigen"), und die Kosten von Maßnahmen dagegen 
zu rechnen ("Außerdem würde in diesem Fall jeder Auf- und Abbau einer 
Maschine eine Rekonfiguration bei jedem User notwendig machen. Wir bauen 
mehrmals jeden Tag Maschinen auf oder ab. Die Maßnahme ist daher in diesem 
Kontext sinnlos, und eine Ressourcenverschwendung.")

Dazu kommt natürlich noch, daß das untersuchte System eine 
Mindestfunktionalität haben muß, die es erbringen muß, um seine Existenz zu 
rechtfertigen. Sobald Sicherheitsmaßnahmen diese Mindestfunktionalität so 
weit einschränken, daß sie nicht mehr interessant ist, ist der Dienst in dem 
existerenden Betriebsumfeld nicht mehr zu erbringen, weil die Betriebsrisiken 
dies unmöglich machen.


Das Problem bei diesen Überlegungen sind nicht die Abwägungen selber - die 
sind oft trivial und mit gesundem Menschenverstand zu machen, sondern der 
mentale Kontext "Risikomanagement", also Maßnahmen im Umfeld zwischen 
Gefährdung und Dienst zu sehen und zu beurteilen. Man sollte meinen, daß dies 
eine naheliegende und natürliche Betrachtungsweise sei, aber bisher haben 
z.B. die wenigsten neu eingestellten Sysadmins die oben angegebene 
Fragestellung auf diese Weise beantworten und bewerten können.

*seufz*

Kristian

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de