Risikostufen für Schwachstellen
Im Rahmen des CERT Verbund wurden in verschiedenen Projekten die Grundlagen für eine enge Kooperation deutscher CERTs geschaffen. Kernstück einer Infrastruktur zur gemeinsamen Erstellung und Verarbeitung von Security Advisories ist das Deutsche Advisory Format (DAF), ein speziell auf die Belange der deutschen CERT-Landschaft zugeschnittenes Austauschformat für Security Advisories, welches von CERT-Bund, DFN-CERT, PRESECURE und Siemens-CERT entwickelt und gepflegt wird. Darin wurde ein Klassifizierungsschema zur Schwachstellenbewertung vereinbart, das im Folgenden näher beschrieben wird.
Klassifizierungsschema für Schwachstellen
Der Abbildung 1 ist die schematische Darstellung des Schemas zu entnehmen. Eine gemeinsame Bewertung des Risikos einer Schwachstelle durch eine Gruppe von kooperierenden CERTs kann nur von allgemeiner Natur sein, da die lokalen Gegebenheiten der Zielgruppe in den meisten Fällen von CERT zu CERT unterschiedlich sein werden. Aus diesem Grund wird in DAF ein zweistufiger Prozess zur Schwachstellenbewertung verwendet. Im ersten Schritt werden zunächst die klientelspezifischen Faktoren ausgeklammert. In dieser Phase kann z.B. ein CERT eine vorgenommen Einschätzung eines anderen CERTs übernehmen oder zur Qualitätskontrolle mit eigenen Bewertungen vergleichen. Unterschiede in der Einschätzung des aktuellen Schadenspotenzials sind ein Indikator dafür, dass eventuell bestimmte Fakten übersehen oder in ihrer Relevanz anders eingeschätzt wurden. Erst in einem zweiten Schritt wird die allgemeine Bewertung mit den klientelspezifischen Faktoren zusammengeführt, um dem Empfänger einer Sicherheitsmeldung die Einstufung zu erleichtern. Als Grundlage für die Bewertung von Schwachstellen dienen Informationen über den Status einer Schwachstelle, Art ihrer Ausnutzung, die durch die Ausnutzung erzielbare Schadenswirkung sowie konkrete Angriffsvoraussetzungen.
Ermittlung des Eintrittspotenzials
Zur Ermittlung des Eintrittspotenzials werden grundsätzlich zwei Dimensionen in die Bewertung mit einbezogen: der Status der Schwachstelle sowie die Art der Schwachstelle (vergleiche Abbildung 1). Der Status einer Schwachstelle durchläuft einen Lebenszyklus, dessen vier Zustände nachfolgend exemplarisch beschrieben werden:
- theoretisch
In dieser Phase wird z.B. ein (Programmier-)Fehler entdeckt, der eventuell zu einem Sicherheitsloch führen kann. - ausnutzbar
Erfolgt ein Proof of Concept einer Sicherheitslücke, so spricht DAF von einer ausnutzbaren Schwachstelle. - aktiv
Gibt es Anzeichen dafür, dass die Schwachstelle bereits ausgenutzt wird, so handelt es sich um eine aktive Schwachstelle (es ist beispielsweise ein Exploit verfügbar). - exploit veröffentlicht
Diese Phase ist erreicht, wenn für die Schwachstelle ein Angriffstool veröffentlicht wurde. Es wird dann von einer Schwachstelle mit veröffentlichem Exploit gesprochen. Insgesamt sinkt der Angriffsaufwand.
Die Dimension der Art der Ausnutzung bildet die unterschiedlichen Arten ab, eine Schwachstelle ausnutzen zu können. Man unterscheidet hier manuelle, automatisierte oder eine selbstreplizierend Ausnutzung. Bei der manuellen Ausnutzung muss der Angreifer nicht-automatisierbare Schritte ausführen, um den Angriff auf die Gegebenheiten des Angriffsziels anzupassen. Automatisierte Angriffe hingegen erlauben es, dass eine Schwachstelle sozusagen auf Knopfdruck ausgenutzt werden kann. Selbstreplizierende Angriffe schließlich können z.B. durch Wurmprogramme und Bots durchgeführt werden, die nach einem erfolgreichen Angriff ein System übernehmen bzw. nutzen, um darüber weitere Systeme anzugreifen.
Aus den oben beschriebenen Dimensionen läßt sich ein Eintrittspotenzial (Dringlichkeit) ermitteln und wie folgt auf einer entsprechenden Skala von sehr gering bis sehr hoch abbilden. Die folgende Tabelle zeigt einen Überblick über die verschiedenen Kombinationen und enthält Vorschläge zur Ermittlung der Dringlichkeit bzw. des Eintrittspotenzials einer Schwachstelle.
| Status der Schwachstelle | Verbreitungsmethode | ||
|---|---|---|---|
| manuell | automatisch | replizierend | |
| theoretisch | sehr gering | gering | mittel |
| ausnutzbar | gering | mittel | hoch |
| aktiv | mittel | hoch | hoch |
| Exploit veröffentlicht | mittel | hoch | sehr hoch |
Ermittlung des Schadenspotenzials
Die Bewertung des Schadenspotenzials erfolgt in direkter Abhängigkeit von der durch die Ausnutzung der Schwachstelle erzielten Auswirkung. Die notwendigen Angriffsvoraussetzungen für ein erfolgreiches Ausnutzen einer Sicherheitslücke werden bei dieser Herangehensweise als gegeben (worst case - Ansatz) angesehen. Zur Bewertung des Schadenspotenials betrachtet DAF, welche Sicherheitsziele verletzt werden können und in welchem Kontext dies geschehen kann. Neben den häufig aus der Literatur bekannten Sicherheitszielen: Integrität, Vertraulichkeit und Verfügbarkeit werden hier zusätzlich Verletzungen in Bezug auf die Systemkontrolle (teilweise oder vollständige Kontrolle durch einen Angreifer) sowie die Umgehung von Sicherheitsdiensten - z.B. durch das Außerkraftsetzen einer Firewall - betrachtet. Sicherheitsverletzungen können auftreten in Bezug auf:
- Person (Benutzer)
- Dienst (Anwendung)
- IT-System
- Netzwerk
Die folgende Tabelle gibt einen Überblick über mögliche Kombinationen und enthält resultierend eine Bewertung des jeweiligen Schadenspotenzials.
| Verlust | Kontext | |||
|---|---|---|---|---|
| Benutzer | Dienst | System | Netzwerk | |
| Übernahme der Kontrolle | hoch | hoch | sehr hoch | sehr hoch |
| Übernahme von Berechtigungen | mittel | mittel | hoch | hoch |
| Integrität | gering | mittel | hoch | hoch |
| Vertraulichkeit | sehr gering | gering | mittel | hoch |
| Verfügbarkeit | sehr gering | gering | mittel | hoch |
| Umgehung von Sicherheitsmaßnahmen | sehr gering | gering | mittel | hoch |
Ermittlung des aktuellen Schadenspotenzials (Risikos)
Das aktuelle Schadenspotenzial berücksichtigt nun, in Abgrenzung zum oben beschriebenen allgemeinen Schadenspotenzial die in Abb.1 dargestellte Kombination der Faktoren "Eintrittspotenzial" und "Schadenspotenzial".
In unseren CERT-Bund Veröffentlichungen wird die klientel-unabhängige Bewertung als "Risikostufe" angegeben.
| Eintrittspotenzial | Schadenspotential* | ||||
|---|---|---|---|---|---|
| sehr gering | gering | mittel | hoch | sehr hoch | |
| sehr gering | sehr gering | sehr gering | gering | gering | mittel |
| gering | sehr gering | gering | gering | mittel | hoch |
| mittel | gering | gering | mittel | hoch | hoch |
| hoch | gering | mittel | hoch | hoch | sehr hoch |
| sehr hoch | mittel | hoch | hoch | sehr hoch | sehr hoch |
* Riskostufen
sehr gering = 1; gering =2; mittel = 3; hoch = 4; sehr hoch = 5
Ermittlung des klientel-spezifischen Risikos
Liegen einem CERT detaillierte Informationen über die örtlichen Gegebenheiten beim Empfänger einer Sicherheitsmeldung vor, kann eine zielgruppenspezifische Bewertung des Risikos erfolgen. Unter Berücksichtigung der Angriffsvoraussetzungen und der eingesetzten IT-Systeme kann die Wahrscheinlichkeit für einen erfolgreichen Angriff beim Empfänger abgeschätzt werden. Zusammen mit der durch DAF eingeführten Messgröße -- aktuelles Schadenspotenzial -- kann das spezifische Risiko, bezogen auf eine Schwachstelle, abgeleitet werden.
- Kurz-URL:
- https://www.bsi.bund.de/dok/9202084