Security by Design (eBook)

Vorwort 6
Inhaltsverzeichnis 8
Abkürzungen 12
Kapitel 1 Was ist das Problem? 14
1.1 Dimension 15
1.2 Vertrauen 16
1.3 Komplexität 16
1.4 Struktur des Cyber-Raums 17
1.5 Asymmetrie der Cyber-Sicherheit 19
1.6 Technologische Abhängigkeiten 20
1.7 Missverständnisse 22
1.8 Nutzer 23
1.9 Analyse-Placebo 23
1.10 Murphy’s Gesetz 25
Literaturverzeichnis 26
Kapitel 2 Zum Stand der Dinge 28
2.1 Hardwaresicherheit 31
2.2 Das Betriebssystem 36
2.3 Tatort Software 43
2.4 Sicherheitsstrategien 51
2.4.1 Zugriffe kontrollieren 52
2.4.2 Privilegien minimieren 58
2.4.3 Informationsfluss kontrollieren 60
2.4.3.1 Paketfilter 61
2.4.3.2 Anwendungs-Gateways 64
2.4.3.3 Verbindungs-Gateways 64
2.4.3.4 Unified Threat Management 65
2.4.3.5 Sicherheits-Proxy 66
2.4.4 Systemhärtung 67
2.4.5 Was noch offen ist 69
2.4.5.1 Vulnerability Management 69
2.4.5.2 Sichere Updates 69
2.4.5.3 Eingabedaten validieren 70
2.4.5.4 Vertraulichkeit wahren 70
2.4.5.5 Verantwortlichkeiten aufteilen 71
2.5 Hoffen auf KI 71
2.6 IT-Sicherheit in der Industrie 4.0 79
2.7 Das schwächste Glied 85
Literaturverzeichnis 88
Kapitel 3 Security Engineering ist Systems Engineering 91
3.1 Der Lebenszyklus technischer Systeme 92
3.2 Ideen und Konzepte des Security Engineerings 97
3.2.1 Die CIA Triade 98
3.2.2 Ein konzeptionelles Koordinatensystem 102
3.3 Security Engineering im Systemlebenszyklus 113
3.3.1 Security Engineering in der Konzeptionsphase 116
3.3.2 Security Engineering in der Entwicklungsphase 117
3.3.3 Security Engineering in der Bereitstellung 121
3.3.4 Security Engineering für den Betrieb 121
3.3.5 Security Engineering für Wartung und Support 122
3.3.6 Security Engineering in der Außerbetriebnahme 123
3.3.7 Iteratives Security Engineering 124
Literaturverzeichnis 126
Kapitel 4 Modell-basiertes Design 128
4.1 Am Anfang steht ein Konzept 129
4.2 Die Funktion von Modellen im Systems Engineering 131
4.3 Modellierung informationstechnischer Systeme 135
4.3.1 Strukturmodelle 137
4.3.2 Verhaltensmodelle 142
4.3.3 Petri-Netze 153
4.4 Modellierung von Bedrohungen – Threat Modeling 156
4.4.1 Modellierung von Bedrohungen mit BPMN 157
4.4.2 Misuse Cases 160
4.4.3 Datenfluss-Diagramme 163
4.4.4 Angriffsbäume – Attack Trees 165
4.4.5 Angriffs-Graphen – Attack Graphs 167
4.4.6 PASTA - Risiko-orientierte Bedrohungsmodellierung 171
4.4.7 CORAS – Modell-basierte Risikomodellierung 177
4.4.8 ATT& CK
Literaturverzeichnis 193
Kapitel 5 Die SmartFit AG 195
5.1 Die Geschäftsidee 195
5.2 Worum geht es? 197
5.3 Anwendungsfälle 198
5.3.1 Anwendungsfälle des SmartFit Health Produkts 200
5.4 Systemstruktur 203
5.5 Sicherheitsprobleme verstehen und analysieren 207
5.5.1 Sicherheitsproblem und Lebenszyklus 209
5.5.2 Die Beschreibung des Sicherheitsproblems 211
5.5.2.1 Systembeschreibung 212
5.5.2.2 Akteure 212
5.5.2.3 Werte 212
5.5.2.4 Annahmen 213
5.5.2.5 Bedrohungen 214
5.5.2.6 Organisatorische Sicherheitsmaßnahmen 214
5.5.3 Die Werte der SmartFit AG 215
5.5.4 Angreifer und Bedrohungen 219
5.5.5 Annahmen und Abhängigkeiten 223
5.5.5.1 Der Zufallszahlengenerator in Windows 2000 und Windows XP 225
5.5.5.2 Java und die Implementierung von SecureRandom 226
5.6 Das Teilsystem Smart Watch 230
5.6.1 Die Angreifercharakterisierung 230
5.6.2 Betroffene Werte 233
5.6.3 Annahmen 234
5.6.4 Bedrohungsszenarien 234
5.6.4.1 Bedrohungsszenario S1: Auslesen gespeicherter Daten 235
5.6.4.2 Bedrohungsszenario S2: Hardware-Manipulation 235
5.6.4.3 Bedrohungsszenario S3: Protokollmanipulationen 236
5.6.4.4 Bedrohungsszenario S4: Firmware-Manipulation 237
5.6.5 Schadenspotential 239
5.7 Das Verhältnis zwischen Sicherheitsproblem und Sicherheitszielen 240
5.7.1 Sicherheitsziele des Systems und der Systemumgebung 240
5.7.2 Die Disposition der Verantwortung 241
5.8 Anforderungen und Systems Engineering 242
5.9 Die Charakteristik von Sicherheitsanforderungen 246
5.9.1 Modellierung von Sicherheitsanforderungen 248
5.9.1.1 UML und SysML 248
5.9.1.2 Modellierung mit CORAS 249
5.9.1.3 Threat Modeling nach Shostack 249
5.9.1.4 Funktionale Sicherheitsanforderungen der Common Criteria 249
5.9.2 Integration in den Entwicklungsprozess 251
5.10 SmartFit Health und Sicherheitsanforderungen 251
5.11 Exemplarische Sicherheitsanforderungen an die Smart Watch 255
5.11.1 Physischer Schutz 255
5.11.1.1 Erkennen von Manipulationsversuchen 256
5.11.1.2 Erschweren von Angriffen 256
5.11.1.3 Angriffsflächen gering halten 257
5.11.2 Schutz der Schnittstellen 258
5.11.2.1 Schutz der Benutzerschnittstelle 258
5.11.2.2 Schnittstelle GPS-Signal 259
5.11.2.3 Schnittstelle zum Mobiltelefon 259
5.11.3 Erweiterung der Sicherheitsstrategie 262
5.11.3.1 Schutz lokal gespeicherter Daten 262
5.11.3.2 Software-Updates 263
5.11.3.3 Selbsttest 263
5.11.3.4 Statische und dynamische Verschlüsselung 264
5.12 Schlussbemerkungen 265
Literaturverzeichnis 266
Kapitel 6 Fragile Kryptografie 268
6.1 Kryptografie und sichere Systeme 268
6.1.1 Plattformintegrität 270
6.1.2 Authentische und vertrauliche Kommunikation in Netzen 273
6.1.3 Authentizität elektronischer Daten 276
6.2 Normen und Richtlinien 277
6.2.1 Common Criteria Schutzprofile 278
6.2.2 Technische Richtlinien des BSI 278
6.2.3 Request for Comments (RFCs) 279
6.2.4 ETSI 281
6.2.5 National Institute of Standards and Technology – NIST 282
6.3 Kryptografie und Systemdesign 283
6.3.1 Schnittstellen 283
6.3.2 Einbindung von Bibliotheken 287
6.3.3 Bibliotheken und Sicherheit 290
6.4 Krypto-Agilität 292
6.5 Fehlerhafte Nutzung 294
6.5.1 Private Schlüssel in Firmware 295
6.5.2 Private Schlüssel in Log-Daten 296
6.5.3 Zertifikatsprüfung 298
6.5.4 Krypto-Downgrade 299
6.5.5 Kryptografische Geheimnisse 301
6.5.6 Organisatorisches Versagen 304
6.6 Sicherheit und Kryptografie 308
Literaturverzeichnis 310
Kapitel 7 Verifikation und Validierung 312
7.1 Sicherheitsschulden - Security Debts 314
7.2 Security Requirements Engineering 318
7.3 Die Spezifikation von Software 324
7.3.1 Was ist eine Spezifikation? 325
7.3.2 Warum spezifizieren? 325
7.3.3 Was spezifizieren? 326
7.3.4 Wann spezifizieren? 327
7.3.5 Wie spezifizieren? 328
7.3.5.1 Spezifikationsstil 329
7.3.5.2 Der Grad der Formalisierung 331
7.4 Software-Verifikation – Doing it right 336
7.4.1 Code Reviews 337
7.4.2 Model-Checking 342
7.4.3 Symbolische Programmausführung 349
7.5 Software - Validierung – Doing the right thing 352
7.5.1 Validierung der Spezifikation 352
7.5.2 Validierung des Designs 353
7.5.3 Validierung des Produkts durch Tests 356
7.5.3.1 Terminologische Klarstellungen 357
7.5.3.2 Spezifikationsbasiertes Testen 358
7.5.3.3 Modellbasiertes Testen 360
7.5.3.4 Codebasierte Tests 363
7.5.4 Sicherheitstests 366
7.5.4.1 Risiken erkennen und bewerten 367
7.5.4.2 Fehlerbasiertes Testen 367
7.5.4.3 Modellbasierte Sicherheitstests 368
7.5.4.4 Risikobasierte Sicherheitstests 370
7.5.4.5 Testverfahren 371
7.5.5 Evaluierung der IT-Sicherheit 374
7.5.5.1 EU Cybersecurity Act 376
7.5.5.2 ISO/IEC 270xx und IT-Grundschutz 377
7.5.5.3 Common Criteria 379
7.5.5.4 FIPS 140-2 382
Literaturverzeichnis 384
Kapitel 8 Die Vermessung der (Un-)Sicherheit 389
8.1 Placebo-Analyse mit Risikomatrizen 392
8.2 Statistik mit Microsoft Excel 395
8.3 Bedingte Wahrscheinlichkeiten 398
8.4 Schlussfolgern mit Bayes 400
8.5 Bayes’sche Netze 404
8.6 Entscheidungsbäume 409
Literaturverzeichnis 413
Epilog 414
Stichwortverzeichnis 416