Ich sage gerne: „Security ist ein »moving target«.“
Und ich wurde damit schon des Öfteren zitiert. Welche Methoden gibt es jedoch konkret, um diese dynamische Bedrohungslandschaft und Risiken in den Griff zu bekommen?
Ganzheitliches Risikomanagement, bestehend aus proaktivem Monitoring und kontinuierlicher Risiko - beurteilung mitsamt Milderungsmaßnahmen – man kann es als vierphasigen Regelkreis beschreiben, bei denen die Phasen jedoch auch
überkreuzt miteinander in Verbindung stehen.
Vorweg, der Vollständigkeit halber: Ein Asset-Inventory, oder das darauf aufbauende Asset-Management, ist nicht mit ganzheitlichem Risikomanagement gleichzusetzen. Es ist einer der ersten Schritte und ein Teilgebiet eines ganzheitlichen Risikomanagements.
Die erste Phase des Risikomanagements ist Datenerfassung in Form eines aussagekräftigen Asset-Inventory. Das reicht von manuell mittels Schaltplänen und Tabellenkalkulationsprogrammen über Traffic-Exfiltration mit Export-Scripts bis hin zu Asset-Management-Lösungen,
die das Netzwerk permanent überwachen. Für Maschinentopologien, die nicht verändert werden, möge ein Tabellenkalkulations-Programm auf den ersten Blick akzeptabel wirken. Allerdings müssen neu entdeckte Schwachstellen manuell recherchiert, zugewiesen
und das Risiko neu beurteilt werden. Diese kontinuierlich durchzuführenden Nacharbeiten führen bei manuellen Tools zu einem massiven Aufwand.
In der zweiten Phase ist die Topologie zu modellieren. Aus der Inventarauflistung wird eine Landkarte, in der ersichtlich wird, welche Komponenten miteinander mit welchen Protokollen kommunizieren. Möglich ist die statische Modellierung ebenso mit Office-üblichen
Tools. Asset-Management-Tools können dabei zwar deutlich komfortabler unterstützen, bieten jedoch meist keine Möglichkeit, die Architektur mitsamt Konsequenzen im Zuge von Risikomilderungs-Maßnahmen umzumodellieren und vorausblickend neu zu beurteilen.
Die dritte Phase ist die Risikobeurteilung. Es werden Angriffsvektoren ermittelt, analysiert und beurteilt sowie die Auswirkungen und das Schadensausmaß bei erfolgreicher Korrumpierung fest gestellt. Bei nichtakzeptablen Risiken werden Milderungsmaß nahmen im
Modell implementiert, die Angriffsvektoren erneut beurteilt und das gemilderte Risiko quantifiziert sowie dokumentiert.
In der vierten Phase widmet man sich der Überwachung von Zuständen, Kommunikationen, Auslastungen – Operabilität allgemein. Zusätzlich zu den operativen Kennwerten wird auch kontinuierlich die Angriffsoberfläche im Auge behalten. Als Erweiterung zu generischen
Bedrohungen und Schwachstellen in der Risikobeurteilung werden bei der Überwachung reale Exploits aus Datenbanken, gegebenenfalls auch aus im Darknet umlaufenden Informationen, auf die individuell im Einsatz befindlichen Komponenten übertragen
und so ein reales Bedrohungsbild dargestellt. Dieses kann mitunter eine Anpassung des Systems erforderlich machen, womit der Zyklus erneut startet.
erschienen in der Austromatisierung | Ausgabe 07-2024 | Oktober 2024