Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

TU 1 KRITIS > Vortrag Wirschaftlichkeitsanforderungen > Flashcards

Vortrag Wirschaftlichkeitsanforderungen Flashcards

1
Q

Definition von Sicherheit

A
  • Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Nichtabstreitbarkeit
  • Risiko = Schadenshöhe * Eintrittswahrscheinlichkeit
  • Wirtschaftlichkeit der Maßnahme
  • Machbarkeit der Maßnahme
  • Sonderfall KRITIS:
    -> Pflichtleistungen vs. optionale Leistungen
    -> HILFE-Ereignisse: High Impact / Low Frequency
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Grundmodell für Risikobetrachtung: Bedrohungen, Schwachstellen, Gefährdungen, Risiko

A
  • Bedrohungen aus dem Systemumfeld
    -> Externe und interne Schadensakteure (Angreifer)
  • Schwachstellen ermöglichen Angriff
    -> Technische Sicherheitslücke
    -> Bestechung, Bedrohung, Erpressung
  • Gefährdung als Nutzung einer Schwachstelle
    -> Bedrohung wirkt auf Schwachstelle ein
  • Risiko als quantifizierte Gefährdung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Grundmodell für Risikobetrachtung: Maßnahmen, Restrisiko

A
  • Risiken wirken auf das System
    -> Senkung der Leistungskennzahlen
  • Maßnahmen wirken auf System und Risiken
    -> Reduktion Eintrittswahrscheinlichkeit und/oder Schadenshöhe
    -> Kosten für Einführung, Betrieb, Schulung, usw.
  • Restrisiko als Entscheidungsgrundlage
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Strategien für den Umgang mit Risiken im Fall KRITIS

A
  • Akzeptanz von Risiken
    -> Bei Versorgungssicherheit nur in engen Grenzen möglich
  • Transfer, Teilen, Verlagern von Risiken
    -> Gesetzlich nicht erlaubt bei KRITIS
  • Vermeidung von Risiken
    -> Risiken sind dem KRITIS-Betrieb oft inhärent
    -> Vermeidung mit Versorgungsauftrag oft unvereinbar
  • Outsourcing von Technologie und Risiken
    -> Risikomanagement bleibt beim KRITIS-Betreiber!
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Rechtliche Anforderungen: Maßnahmen als Vorgabe oder Branchenstandard

A
  • Vorgabe notwendiger Maßnahmen:
    -> BAIT (Banken)
    -> TKG Sicherheitskatalog (Telekommunikation)
  • Zertifizierung und Auditierung
    -> Pflicht der Auditierung nach Normen (gesetzlich oder vertraglich)
    -> ISO 27001 / BSI-IT Grundschutz
    -> Beurteilung akzeptabler Restrisiken bei Audit
  • Branchenstandards als Orientierung
    -> Konkretisierung rechtlicher Anforderungen (“Stand der Technik”)
    -> Oftmals fachliche Grundlage der Prüfer
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Baseline vs. spezifische Maßnahmen: Basishygiene und risikogetriebene Maßnahmen

A
  • Baseline-Maßnahmen:
    -> Grundsicherung der Einrichtung
    -> Geringe Kosten der Maßnahmen
    -> Durchführung unabhängig vom Restrisiko
    -> Auswahl aus Katalogen
    -> Bsp.: Passwortrichtlinien, Einsatz von Firewalls und Virenscannern
  • Spezifische Gegenmaßnahmen:
    -> Kosten-/Nutzen-Abwägung
    -> Individuell konzipiert
    -> Bsp.: 4-Augen-Prinzip bei kritischen Operationen, Blockade spezifischer Herstellerländer
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Kosten von Maßnahmen

A
  • Monetär:
    -> Einkaufskosten
    -> Betriebskosten
    -> Prüfungskosten
  • Komfortverlust:
    -> Produktivität
    -> Nutzerkomfort
  • Komplexität:
    -> Schulungsaufwand
    -> Nutzerkomfort
  • Umgehungsdruck:
    -> Nutzung ungesicherter/privater Systeme
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Security vs. Safety

A
  • Security:
    -> Sicherheit gegen bewusste Angreifer
    -> Zielgerichtete Akteure
  • Safety:
    -> Sicherheit gegen zufällige Ereignisse
    -> Nicht beeinflussbar
    -> Nur stochastisch vorhersagbar
  • Maßnahmen korrekt einordnen:
    -> Eintrittswahrscheinlichkeit senken bei Angreifern?
    -> Maßnahmen können widersprüchlich sein
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Schutzbedürftige Güter

A
  • Assets:
    -> Prozesse und Güter
    -> Ableitung aus Geschäftsprozessen
  • Primäre Assets:
    -> Geschäftstätigkeit
    -> Unmittelbare Wertschöpfung
  • Sekundäre Assets:
    -> Unterstützende Prozesse und Objekte
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Asset- und Prozess-Einschätzungen bei KRITIS

A
  • Irreversible Schäden an Assets bedenken:
    -> Personenschäden
    -> Umweltschäden
  • Externe Folgeschäden bedenken:
    -> Stromausfälle durch Kraftwerksschäden
    -> Nicht rein lokal monetär abbildbar (Vertragsstrafen)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Ungerichtete Angreifer: Eigenschaften & Ziele

A
  • Eigenschaften:
    -> konkretes Opfer irrelevant
    -> Skalierende Angriffe
    -> Möglichst viele Opfer
    -> Breite Angriffs-Kampagnen (Phishing Mails, IP-Scanning)
  • Ziele:
    -> Erpressung / Randsomware
    -> Versand von Spam
    -> Nutzung von Systemen für DDoS, Crypto Mining
  • Etablierung von Botnetzen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Ungerichtete Angreifer: Strategien

A
  • Angriffsstrategie:
    -> Erreichung wirtschaftlicher Ziele
    -> “Ernte der Schwächsten”
  • Verteidigungsstrategie:
    -> Nicht das einfachste Opfer sein
    -> Keine trivialen Angriffsziele bieten
    -> Wenn es schwierig wird oder sich nicht lohnt, geht er weiter zum nächsten Ziel
  • Partiell zielgerichtete Angriffe:
    -> Auswahl aus Äquivalenzklasse
    -> Alternativ auf rein technischer Basis
  • Auswahl aus Kompromittierung möglich:
    -> Höhe der Lösegeldforderung
    -> Abbruch bei nicht solventer Klientel
  • Prinzipiell trotzdem ungerichteter Angriff:
    -> Jedes Opfer ist ersetzbar
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Zielgerichteter Angreifer: Eigenschaften, Angriffs-/Verteidigungsstrategie

A
  • Eigenschaften:
    -> Ziel ist spezifisch ausgesucht
    -> Systeme hoher Relevanz
    -> Konkrete Bedeutung für den Angreifer
  • Angriffsstrategie:
    -> Detaillierte individuelle Analyse
    -> Einzelangriff selten wiederholbar
  • Verteidigungsstrategie:
    -> Unvermeidlich, es gibt kein Alternativziel
    -> Individuelle Analyse pro Angreifer & System
    -> Kosten und Komplexität erhöhen
    -> Sichtbarkeit, Attribution erhöhen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Zielgerichteter Angreifer: Details zu zielgerichteten Angreifern

A
  • Angriffe werden auf Graumarkt/Schwarzmarkt gehandelt
  • Mehrsstufiges Schutzkonzept muss implementiert werden: Vermeidung von Lateral Movement, Erkennung der Kompromittierung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Angriffe Dokumentation

A
  • ID
  • Status
  • Ziele
  • Intern oder extern?
  • Zugang zu Systemen
  • Technische Expertise
  • Finanzielle Möglichkeiten
  • Sensitivität für Nachweis
  • Gesamtbewertung Relevanz
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Zielgerichtete Angreifer bei KRITIS: Skalierung von Angriffen

A
  • Staatliche Akteuere als motivierte Angriffe
    -> Alternativ private Akteure als “Stellvertreter-Angreifer”
    -> Hybride Kriegsführung
    -> Deaktivierung kritischer Infrastruktur
  • Einzelangriff:
    -> Besonders sensitive Einzelanlagen
    -> Spezifisch entwickelte Angriffe
    -> Möglich auch als Demonstration von Fähigkeiten
  • Massenangriffe:
    -> Ziel z.B. großflächige Abschaltung der Stromversorgung
    -> Skalierung der Angriffe notwendig
  • Skalierung von Angriffen:
    -> Diversifikation von Software als Resilienzfaktor
17
Q

Komplexere Modelle für Angreifer

A
  • Hinderungsgründe bedenken:
    -> Nachweisbarkeit zwecks Strafverfolgung, politischen Maßnahmen
  • Kooperierende Angreifer
  • Risiken realistisch einschätzen
18
Q

Angriffsziele verstehen

A
  • Feared Events
    -> auch Kollateralschaden können Feared Events sein
  • Misuse Cases erzeugen Wert für den Angreifer
    -> Angreifersicht
19
Q

Wahrscheinlichkeiten ermitteln

A
  • Safety: Experimente
  • Security: Eintrittswahrscheinlichkeit
    -> Peer Group beleuchten
    -> Honeypots auswerten
    -> Eigenes SIEM auswerten
    -> pragmatisch: es wird passieren, p=1
  • Security: Erfolgswahrscheinlichkeit
    -> hier die Maßnahmen ansetzen
  • KRITIS Verpflichtungen:
    -> Meldepflichten
    -> Systeme zur Angriffserkennung
20
Q

Angriffswege modellieren

A
  • Angriffsbäume
    -> Wurzel: Ziel des Angreifers
    -> Kind-Knoten: Teilziele
    -> Bottom-Up-Ansatz: Jeden Angriffsschritt bewerten
    –> Einfache Wege finden und schließen
21
Q

Gegenmaßnahmen im Risikomodell

A
  • Algorithmus zur Etablierung von Gegenmaßnahmen
    -> Baum mit höchstem Risiko und Pfad mit höchster Wahrscheinlichkeit auswählen
    -> Gegenmaßnahme als Knoten einbringen
    -> Restrisiko berechnen und ggf. Verfahren wiederholen
22
Q

PCDA

A
  • Plan:
    -> Notwendigkeit für IT-Sicherheitsprozess herausstellen
    -> Strukturanalyse durchführen
    -> Kosten und Aufwände schätzen
  • Do:
    -> Leitlinie formulieren und etablieren
    -> Schutzbedarfsfeststellung durchführen und dokumentieren
    -> Verantwortung & Rollen festlegen
    -> Richtlinien entwickeln und freigeben
    -> Maßnahmen umsetzen
  • Check:
    -> Review und Audits
    -> Lieferanten- und Dienstleisteraudits
  • Act:
    -> Verbesserungsmaßnahmen
    -> Dokumentationsprozesse

TU 1 KRITIS (11 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions