reudnetz/public-wiki
15
0
Fork 0
Code Issues 20 Pull requests Releases Wiki Activity

altes wiki durchsortiert zum veröffentlichen

Browse source
This commit is contained in:
amanita 2017-06-15 13:20:32 +02:00
commit 57b6e0e2d3
92 changed files with 4949 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

21
menschenzeugs/bnetza/sicherheitskonzept/angriffsdiagram.dot Normal file
View file

@ -0,0 +1,21 @@
digraph angriffsdiagramm {
rankdir = BT
node [shape="rect"]
"Fernmeldegeheimnis verletzen"
"Stören"
"Personenbezogene Daten erlangen"
node [shape=""]
"in Gebäude eindringen" -> "in Kabelschacht eindringen" -> "Kernnetz infiltrieren" -> "Fernmeldegeheimnis verletzen"
"in Kabelschacht eindringen" -> "Kernnetz stören" -> "Stören"
"in Gebäude eindringen" -> "in Räumlichkeit eindringen" -> "in Technikschrank eindringen" -> "Kernnetz infiltrieren"
"in Technikschrank eindringen" -> "Kernnetz stören"
"in Technikschrank eindringen" -> "INP stören" -> "Stören"
"in VDS-Gebäude eindringen" -> "in VDS-Räumlichkeiten eindringen" -> "in VDS-Technikschränk eindringen" -> "verschlüsselung überwinden" -> "Personenbezogene Daten erlangen"
node [style="dotted"]
"in Endnutzer-Gebäude eindringen" -> "ENP Stören" -> "Stören" [style="dotted"]
"in Endnutzer-Gebäude eindringen" -> "ENP Infiltrieren" -> "Fernmeldegeheimnis verletzen" [style="dotted"]
node [style=""]
}

130
menschenzeugs/bnetza/sicherheitskonzept/hacker Normal file
View file

@ -0,0 +1,130 @@
Systeme:
* Router
* Endkundenrouter
* Kernnetz
* VDS-Einrichtung
Szenarien:
* Störungen des Netzwerkes
* Aneignung schützenswerter Daten
personenbezogen
Fermeldegeheimnis
* Missbräuchliche Nutzung der Netzinfrastruktur zum Angriff weiterer Ziele (Vektor)
* Manipulation des Datenverkehrs
### start text
Als Hackerangriffe sind hier Bedrohungen der Systemsicherheit durch physisch von System getrennte Personen definiert, die durch Ausnutzung der imanenten Eingeschaften des Netzes und/oder seiner Komponenten, widerrechtlich für ihre Zwecke nutzen.
Motivation kann dabei finanzieller oder informationeller Vorteil aber auch spielerischer Ehrgeiz sein.
Darunter fallen sowohl gezielte Angriffe, an denen Menschen aktiv arbeiten und diese an unsere Infrastruktur anpassen, wie auch weniger gezielte Angriffe, die in Form von universellen Viren und Trojanischen Pferden im Netz kursieren um Computer für die Anwendungen des böswilligen Programierers zu versklaven.
====== Gesamtsystematische Betrachtungen ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Der gesamtsystematische Schutz des Fernmeldegeheimnisses besteht im Schutz der einzelnen Systemkomponenten.
==== Schutz Personenbezogener Daten ====
Der gesamtsystematische Schutz personenbezogener Daten besteht im Schutz der einzelnen Systemkomponenten.
==== Schutz gegen Störungen ====
Als Infrastuktureinrichtung muss das gesamte System möglichst unanfällig gegenüber Störungen einzelner Systemkomponenten sein.
==== Schutz gegen Nutzung als Angriffsvektor ====
Der gesamtsystematische Schutz personenbezogener Daten besteht im Schutz der einzelnen Systemkomponenten.
===== Sicherung gegen Störung
Alle kritischen Systemkomponenten sind redundant angelegt.
===== Sicherung gegen Fremdkontrolle
Vergangene Fälle, in denen Unternehmen nach Bekanntwerden von Sicherheitsdefiziten ihrerseits, durch Ignoration und Strafandrohung, Ausnutzung oder Veröffentlichung des Sicherheitsdefizites provoziert haben, legen nahe ein Kommuninationsorgan für solche Fälle anzulegen.
Als einfache strukturelle Maßnahme, Sicherheitsrisiken zu minimieren, richten wir eine Kommunikationsschnittstelle an die sich Personen wenden können,
die einen Sicherheitsmangel entdeckt haben und fordern explizit dazu auf, uns über derartige Vorfälle zu informieren.
====== Internetseitiger Netzabschlusspunkt ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Erlangt ein Angreifer Kontrolle über einen INP so kann er den gesamten unverschlüsselten Internetverkehr aller Nutzenden mitlesen und manipulieren. Schutzbedarf.
==== Schutz Personenbezogener Daten ====
Der INP verarbeitet keine personenbezogenen Daten.
==== Schutz gegen Störungen ====
Bei Störung des INP ist die Netzwerkanbindung aller Nutzenden beeinträchtigt. Dies ist ein kritsisches Szenario, das besonderer Schutzmaßnahmen bedarf.
==== Schutz gegen Nutzung als Angriffsvektor ====
Erlangt ein Angreifer Kontrolle über den INP so kann er diesen verwenden, um auf andere Komponenten des Kernetzes störend oder manipulativ einzuwirken. Genauso kann er den INP als Angriffswerkzeug für weitere Ziele im Internet verwenden. Schutzbedarf.
===== Sicherung gegen Störung
Aus dem Internet kann der INP Ziel von Angriffen durch extrem zahlreiche Anfragen (AdezA) werden. Gegen diese können wir uns nur bedingt schützen. Durch redundante Anbindungen um große Bandbreite lässt der Aufwand für eine derartige Störung stark erhöhen. Gleichzeitig ist das Risiko, eines solchen Angriffs eher gering und hinterlässt über die Dauer des Angriffes hinaus keine nachhaltigen Schäden. Die Einschränkung der Verbindungsqualität wärend eines sochen Angriffs ist jedoch mit [] auf ein Minimum zu reduzieren.
===== Sicherung gegen Fremdkontrolle
Auf dem INP, läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf das Kernnetz und die darin enthaltenen Geräte gesteuert und reglementiert.
====== Endverbraucherseitiger Netzabschlusspunkt ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Erlangt ein Angreifer Kontrolle über einen ENP so kann er den gesamten unverschlüsselten Internetverkehr eines Nutzenden mitlesen und manipulieren. Schutzbedarf.
==== Schutz Personenbezogener Daten ====
Der ENP verarbeitet keine personenbezogenen Daten.
==== Schutz gegen Störungen ====
Bei Störung des ENP ist die Netzwerkanbindung eines einzelnen Nutzenden beeinträchtigt. Dies ist zu vermeiden, bedeutet aber nur geringen Schutzbedarf.
==== Schutz gegen Nutzung als Angriffsvektor ====
Erlangt ein Angreifer Kontrolle über einen ENP so kann er diesen verwenden, um auf andere Komponenten des Kernetzes störend oder manipulativ einzuwirken. Genauso kann er den ENP als Angriffswerkzeug für weitere Ziele im Internet verwenden. Schutzbedarf.
===== Sicherung gegen Störung
===== Sicherung gegen Fremdkontrolle
====== Kernnetz ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Der Schutz des Fernmeldegeheimnisses ist für das Kernnetz relevant, da alle Endnutzerdatenverbindungen durch dieses laufen.
==== Schutz Personenbezogener Daten ====
Das Kernnetz verarbeitet keine personenbezogenen Daten.
==== Schutz gegen Störungen ====
Da ein ein größerer Ausfall des Kernnetzes auch einen größeren Ausfall, der über es zur Verfügung gestellten Dienstleistung nach sich ziehen würde, ist ein Schutz gegen Störungen relevant.
==== Schutz gegen Nutzung als Angriffsvektor ====
Erlangt ein Angreifer Kontrolle über Geräte des Kernnetzes so kann er diese verwenden, um auf andere Komponenten des Kernnetzes störend oder manipulativ einzuwirken. Genauso kann er die kontrollierten Komponenten als Angriffswerkzeug für weitere Ziele im Internet verwenden. Schutzbedarf.
===== Sicherung gegen Störung
===== Sicherung gegen Fremdkontrolle
Auf den Geräten des Kernenetzes, speziel den Hauptroutern, läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf das Kernnetz und die darin enthaltenen Geräte gesteuert und reglementiert.
====== VDS-Einrichtung ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Es läuft kein Netzwerkverkehr durch die VDS-Einrichtung, kein Schutzbedarf.
==== Schutz Personenbezogener Daten ====
Die VDS-Einrichtung verarbeitet personenbezogene Daten, damit muss sie besonders vor unauthorisiertem Zugriff geschützt werden.
==== Schutz gegen Störungen ====
Auch wenn der Betrieb einer VDS-Einrichtung für den Netzbetrieb vollkommen unbedeutend ist, ist der Nichtbetrieb mit gesetzlich unter Strafe gestellt, so dass wir verpflichtet sind die VDS-Einrichtung gegen Störungen zu sichern.
==== Schutz gegen Nutzung als Angriffsvektor ====
Das die VDS-Einrichtung nur einseitig mit dem Kernnetz verbunden ist, kann sie nicht als Engriffsvektor benutzt werden.
===== Sicherung gegen Störung
===== Sicherung gegen Fremdkontrolle
Durch öffentlich Dokumentation, der von uns eigensetzen Technik glauben wir einen Teil der
Auf den Geräten des Kernenetzes, speziel den Hauptroutern, läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf das Kernnetz und die darin enthaltenen Geräte gesteuert und reglementiert.
Alle Geräte des Kernnetzes sind in Einrichtungen untergebracht, die mehrere Ebenen von physikalischem Schutz ermöglichen. Sowohl die Räume wir auch die Geräte sind mit jeweils seperat verschlossen, Schlüssel sind nur bei den zugangsberechtigeten Personen vorhanden. Darüber hinaus verfügen die Eingesetzen Geräte, oder deren Schränke über eine elektronische Erkennung von Eindringlingen.
Darüber hinaus begegnen wir der Gefahr von physischem Datendiebstahl durch die Verwendung von aktueller Verschlüsseltungstechnologie auf allen Datenspeichern nach BSI TR-02102-1.
Gegen Angriffe durch extrem zahlreiche Anfragen (AdezA) können wir uns nur bedingt schützen. Durch redundante Anbindungen um große Bandbreite lässt der Aufwand für eine derartige Störung start erhöhen. Gleichzeitig ist das Risiko, eines solchen Angriffs eher gering und hinterlässt über die Dauer des Angriffes hinaus keinen nachhaltigen Schäden. Die Einschränkung der Verbindungsqualität wärend eines sochen Angriffs ist jedoch mit [] auf ein Minimum zu reduzieren.
Vergangene Fälle, in denen Unternehmen nach Bekanntwerden von Sicherheitsdefiziten ihrerseits, durch Ignoration und Strafandrohung, Ausnutzung oder Veröffentlichung des Sicherheitsdefizites provoziert haben, legen nahe ein Kommuninationsorgan für solche Fälle anzulegen.
Als einfache strukturelle Maßnahme, Sicherheitsrisiken zu minimieren, richten wir eine Kommunikationsschnittstelle an die sich Personen wenden können,
die einen Sicherheitsmangel entdeckt haben und fordern explizit dazu auf, uns über derartige Vorfälle zu informieren.
### end text
Trojaner, Viren, Rootkits
DDOS
WLAN-Störsender
Im MOment kann uns Jemand hacken, in dem er eine Antenne vom Dach pflückt, uns das WLAN-Passwort über die serielle Konsole extrahiert. Evtl. kommt man so auch ans Antennenpasswort.
Kein Passwort reuse
SOftware SIgnaturen
Verfügbarer Quellcode für Sicherheitsaudits
Exakt auf die Anwendungen zugeschnittene Softwareauswahl (minimale Systeme)
Intrusion Detection
Verschlüsselung nach aktuellem Stand der Technik
strukturell:
Transparente Vorgehensweise
Kontrollorgan für Entscheidungen
Keine Sicherheit durch Verschleierung
Kommunikationschnittstelle für MEnschen, die Fehler uns auf gemachte Fehler aufmerksam machen.

BIN
menschenzeugs/bnetza/sicherheitskonzept/logo.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 45 KiB

186
menschenzeugs/bnetza/sicherheitskonzept/logo.svg Normal file
View file

@ -0,0 +1,186 @@
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!-- Created with Inkscape (http://www.inkscape.org/) -->
<svg
xmlns:dc="http://purl.org/dc/elements/1.1/"
xmlns:cc="http://creativecommons.org/ns#"
xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"
xmlns:svg="http://www.w3.org/2000/svg"
xmlns="http://www.w3.org/2000/svg"
xmlns:sodipodi="http://sodipodi.sourceforge.net/DTD/sodipodi-0.dtd"
xmlns:inkscape="http://www.inkscape.org/namespaces/inkscape"
width="96.26902mm"
height="96.339195mm"
viewBox="0 0 341.1107 341.35935"
id="svg2"
version="1.1"
inkscape:version="0.92.0 r15299"
sodipodi:docname="logo.svg">
<defs
id="defs4">
<filter
id="filter4574"
inkscape:label="Clean Edges"
style="color-interpolation-filters:sRGB">
<feGaussianBlur
id="feGaussianBlur4576"
result="blur"
stdDeviation="0.455132" />
<feComposite
id="feComposite4578"
result="composite1"
operator="in"
in2="blur"
in="SourceGraphic" />
<feComposite
id="feComposite4580"
result="fbSourceGraphic"
operator="in"
in2="composite1"
in="composite1" />
<feColorMatrix
id="feColorMatrix4582"
values="0 0 0 -1 0 0 0 0 -1 0 0 0 0 -1 0 0 0 0 1 0"
in="fbSourceGraphic"
result="fbSourceGraphicAlpha" />
<feGaussianBlur
in="fbSourceGraphic"
result="blur"
stdDeviation="0.46"
id="feGaussianBlur4584" />
<feComposite
result="composite1"
operator="in"
in="fbSourceGraphic"
in2="blur"
id="feComposite4586" />
<feComposite
result="composite2"
operator="in"
in="composite1"
in2="composite1"
id="feComposite4588" />
</filter>
</defs>
<sodipodi:namedview
id="base"
pagecolor="#ffffff"
bordercolor="#666666"
borderopacity="1.0"
inkscape:pageopacity="0.0"
inkscape:pageshadow="2"
inkscape:zoom="0.25"
inkscape:cx="-82.455931"
inkscape:cy="-36.620536"
inkscape:document-units="px"
inkscape:current-layer="layer1"
showgrid="false"
inkscape:window-width="954"
inkscape:window-height="522"
inkscape:window-x="960"
inkscape:window-y="528"
inkscape:window-maximized="0"
fit-margin-top="0"
fit-margin-left="0"
fit-margin-right="0"
fit-margin-bottom="0" />
<metadata
id="metadata7">
<rdf:RDF>
<cc:Work
rdf:about="">
<dc:format>image/svg+xml</dc:format>
<dc:type
rdf:resource="http://purl.org/dc/dcmitype/StillImage" />
<dc:title></dc:title>
</cc:Work>
</rdf:RDF>
</metadata>
<g
inkscape:label="Ebene 1"
inkscape:groupmode="layer"
id="layer1"
transform="translate(-247.55145,-134.3622)">
<path
sodipodi:type="star"
style="opacity:1;fill:none;fill-opacity:1;stroke:#37c8ab;stroke-width:2.4000001;stroke-miterlimit:4;stroke-dasharray:none"
id="path4142"
sodipodi:sides="7"
sodipodi:cx="413.86658"
sodipodi:cy="309.83688"
sodipodi:r1="174.64433"
sodipodi:r2="157.34911"
sodipodi:arg1="1.0135008"
sodipodi:arg2="1.4622997"
inkscape:flatsided="true"
inkscape:rounded="0"
inkscape:randomized="0"
d="M 506.23472,458.05554 355.57516,474.46602 248.81023,366.90741 266.33609,216.37353 394.95542,136.21946 537.81523,186.80285 587.33918,330.03338 Z"
inkscape:transform-center-x="-4.2081291"
inkscape:transform-center-y="-4.4941427" />
<g
id="g4437"
transform="matrix(0.31100177,0,0,0.31100177,631.46715,393.33005)">
<path
style="fill:#f3871e"
d="m -826.44833,139.5583 a 129.87912,129.87912 0 0 0 -8.7657,-2.77082 129.87912,129.87912 0 0 0 -12.6686,-2.84149 129.87912,129.87912 0 0 0 -12.8889,-1.56213 129.87912,129.87912 0 0 0 -0.8046,-0.0164 c -3.1231,24.77513 -4.3501,34.48724 -7.124,56.48659 a 73.187004,73.187004 0 0 1 3.9279,0.0816 73.187004,73.187004 0 0 1 7.2636,0.87936 73.187004,73.187004 0 0 1 7.1374,1.60148 73.187004,73.187004 0 0 1 4.9404,1.56074 73.187004,73.187004 0 0 1 6.7608,2.79005 73.187004,73.187004 0 0 1 6.4504,3.45293 73.187004,73.187004 0 0 1 6.0726,4.07934 73.187004,73.187004 0 0 1 2.2059,1.82442 c 9.3896,-15.04875 18.4705,-29.59239 30.1141,-48.32326 a 129.87912,129.87912 0 0 0 -9.1746,-6.16417 129.87912,129.87912 0 0 0 -11.4474,-6.12612 129.87912,129.87912 0 0 0 -11.9993,-4.95212 z"
id="path4378-6"
inkscape:connector-curvature="0"
inkscape:export-xdpi="300"
inkscape:export-ydpi="300" />
<path
style="fill:#f3871e"
d="m -785.10493,23.213055 a 253.35071,253.35071 0 0 0 -17.0999,-5.40283 253.35071,253.35071 0 0 0 -24.7116,-5.54152 253.35071,253.35071 0 0 0 -19.2175,-2.3310403 c -3.9959,31.7155503 -4.2149,33.3977703 -7.8616,62.3308603 a 190.45009,190.45009 0 0 1 16.3986,1.98643 190.45009,190.45009 0 0 1 18.5753,4.1673 190.45009,190.45009 0 0 1 12.8552,4.06029 190.45009,190.45009 0 0 1 17.5958,7.26212 190.45009,190.45009 0 0 1 16.7847,8.9845 190.45009,190.45009 0 0 1 9.9233,6.664445 c 11.6356,-18.755485 20.903,-33.623055 33.1579,-53.406105 a 253.35071,253.35071 0 0 0 -10.6648,-7.16213 253.35071,253.35071 0 0 0 -22.3281,-11.95136 253.35071,253.35071 0 0 0 -23.4073,-9.66096 z"
id="path4372-7"
inkscape:connector-curvature="0"
inkscape:export-xdpi="300"
inkscape:export-ydpi="300" />
<path
style="fill:#f3871e"
d="m -742.59223,-96.422815 a 380.3168,380.3168 0 0 0 -25.6697,-8.112335 380.3168,380.3168 0 0 0 -37.0942,-8.3187 380.3168,380.3168 0 0 0 -24.6851,-2.99093 c -2.5444,19.613315 -5.2725,40.800085 -8.1725,63.462015 a 316.25134,316.25134 0 0 1 21.9785,2.66338 316.25134,316.25134 0 0 1 30.8465,6.91943 316.25134,316.25134 0 0 1 21.3453,6.74351 316.25134,316.25134 0 0 1 29.2206,12.06046 316.25134,316.25134 0 0 1 27.8697,14.9175597 316.25134,316.25134 0 0 1 11.3811,7.64263 c 11.6204,-18.7851397 22.6417,-36.4862797 33.7222,-54.4284997 a 380.3168,380.3168 0 0 0 -12.0853,-8.11674 380.3168,380.3168 0 0 0 -33.5176,-17.94018 380.3168,380.3168 0 0 0 -35.1395,-14.5016 z"
id="path4366-5"
inkscape:connector-curvature="0"
inkscape:export-xdpi="300"
inkscape:export-ydpi="300" />
<path
style="fill:#f3871e"
d="m -699.29863,-218.2561 a 509.61255,509.61255 0 0 0 -34.3957,-10.86695 509.61255,509.61255 0 0 0 -49.7066,-11.14856 509.61255,509.61255 0 0 0 -30.1491,-3.65571 c -1.988,14.98295 -5.7517,44.90719 -8.1712,63.46452 a 445.54709,445.54709 0 0 1 27.443,3.32632 445.54709,445.54709 0 0 1 43.456,9.74614 445.54709,445.54709 0 0 1 30.0717,9.50245 445.54709,445.54709 0 0 1 41.1679,16.98995 445.54709,445.54709 0 0 1 39.2645,21.01669 445.54709,445.54709 0 0 1 12.778,8.58257 c 10.0829,-16.36784 25.7488,-41.54514 33.6709,-54.46535 a 509.61255,509.61255 0 0 0 -13.4309,-9.01982 509.61255,509.61255 0 0 0 -44.913,-24.03748 509.61255,509.61255 0 0 0 -47.0855,-19.43477 z"
id="path4333-3"
inkscape:connector-curvature="0"
inkscape:export-xdpi="300"
inkscape:export-ydpi="300" />
<path
inkscape:connector-curvature="0"
id="path4140-5"
d="m -734.71681,-280.83421 15.09004,-40.52055 -21.67743,-48.96731 c -11.9226,-26.93203 -26.18703,-58.74161 -31.69862,-70.6879 l -10.0212,-21.72058 44.86717,-120.47962 44.86717,-120.47963 -4.13631,-8.5875 c -5.32376,-11.05294 -5.9206,-19.42474 -2.11975,-29.73558 10.88415,-29.52582 52.16144,-29.95002 63.36699,-0.65124 3.51998,9.20351 3.16969,18.22371 -1.05968,27.28744 -3.89968,8.35725 -9.24607,13.5005 -18.02897,17.34411 l -6.50939,2.84856 -42.90823,115.21938 -42.90822,115.21937 31.66807,70.73325 31.66798,70.73322 -17.54639,47.15371 -17.54639,47.15371 -15.2283,-5.67109 -15.2283,-5.67109 15.09004,-40.52056 z m 47.09491,6.06355 18.84285,-50.5978 -20.90349,-45.9491 -20.90349,-45.9491 24.56469,-65.96238 24.5647,-65.96239 -3.83961,-9.33005 c -6.33314,-15.38939 -3.43988,-29.68909 8.17612,-40.40847 9.69568,-8.94745 21.35953,-11.00081 34.64614,-6.09933 6.91301,2.55032 9.2458,4.06176 13.41242,8.69069 16.03206,17.81062 8.79288,46.60034 -13.89991,55.27941 l -7.20199,2.75443 -22.42144,60.2072 -22.42143,60.20719 20.76286,45.43127 20.76287,45.43127 -21.26377,57.09858 -21.26377,57.09856 -15.22831,-5.67109 -15.2283,-5.67109 z m 47.16063,9.46881 21.48999,-57.70601 24.90795,-11.36679 24.90795,-11.36679 38.94377,-104.5738 38.94377,-104.57379 -1.81767,-2.99813 c -7.25844,-11.97232 -8.38604,-21.34392 -3.98878,-33.15167 12.84237,-34.48498 62.76375,-27.5514 65.68939,9.12358 0.35329,4.42827 -0.37424,8.51631 -2.56015,14.38604 -3.8011,10.2069 -9.85046,16.64638 -19.26107,20.5033 l -6.65889,2.72908 -41.81802,111.34259 -41.81793,111.34263 -24.94227,11.51252 -24.94218,11.51256 -19.05462,51.16645 -19.05462,51.16643 -15.2283,-5.67109 -15.22831,-5.67109 z"
style="fill:#8ca23b"
inkscape:export-xdpi="300"
inkscape:export-ydpi="300" />
</g>
<path
style="fill:none;fill-opacity:1;fill-rule:evenodd;stroke:#37c8ab;stroke-width:1.20000005;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-dasharray:none;stroke-opacity:1"
d="m 266.5,215.8622 111,7.5 18,-86.5 111,321 -129,-234.5 -128,142.5 256,90.5 30.5,-269"
id="path4444"
inkscape:connector-curvature="0" />
<path
style="fill:#80ffe6;fill-opacity:0.25112107;fill-rule:evenodd"
d="m 267.5,216.3622 109.5,8 19,-90 z"
id="path4446"
inkscape:connector-curvature="0" />
<path
style="fill:#2affd5;fill-opacity:0.26008971;fill-rule:evenodd;stroke:none;stroke-width:1px;stroke-linecap:butt;stroke-linejoin:miter;stroke-opacity:1"
d="m 250,364.3622 127.5,-140.5 -111.5,-8 z"
id="path4450"
inkscape:connector-curvature="0" />
<path
style="fill:#2affd5;fill-opacity:0.29147985;fill-rule:evenodd;stroke:none;stroke-width:1px;stroke-linecap:butt;stroke-linejoin:miter;stroke-opacity:1"
d="m 250,365.8622 255.5,90 -129.5,-233 z"
id="path4452"
inkscape:connector-curvature="0" />
<path
style="fill:#2affd5;fill-opacity:0.29147985;fill-rule:evenodd;stroke:none;stroke-width:1px;stroke-linecap:butt;stroke-linejoin:miter;stroke-opacity:1"
d="m 249.5,366.3622 105.5,108 151,-16.5 z"
id="path4454"
inkscape:connector-curvature="0" />
</g>
</svg>
Side by side

After

Width:  |  Height:  |  Size: 10 KiB

BIN
menschenzeugs/bnetza/sicherheitskonzept/netzwerkdiagram.dia Normal file
View file

Binary file not shown.

BIN
menschenzeugs/bnetza/sicherheitskonzept/netzwerkdiagram.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 100 KiB

153
menschenzeugs/bnetza/sicherheitskonzept/sabotage Normal file
View file

@ -0,0 +1,153 @@
Content-Type: text/x-zim-wiki
Wiki-Format: zim 0.4
Creation-Date: 2016-09-02T10:39:18+02:00
====== sicherheitskonzept ======
Created Freitag 02 September 2016
Systeme:
* Router
* Endkundenrouter
* Kernnetz
* VDS-Einrichtung
Angriffsszenarien:
* Sabotage
* Innen
* Außen
* ??
Außerdem konzeptuelle netzansicht
{{./diagram.png?type=diagram}}
====== Sicherung gegen Sabotage von Innen ======
Für eine Sabotage von Innen muss ein Saboteur in die Organisation eingeführt werden.
Dieser könnte zwei Ziele verfolgen, direkte Sabotage der operativen Systeme, oder Lähmung der Organisation.
Reudnetz w.V. ist in seiner Organisationsstruktur als Verein mit offenen Anmeldungen gegenüber der Einführung von Saboteuren besonders gefährdet.
Zur direkten Sabotage muss der Saboteur Zugang zu Zugangsdaten zu den Operativen Systemen erlangen.
Dies wird verhindert, indem diese Zugangsdaten nur einer sehr begrenzten Personengruppe zugänglich gemacht werden, diese nur erweitert wird, wenn es aufgrund des Arbeitsaufwandes unabdingbar notwendig ist und alle Zugangsdaten ausgetauscht werden, sobald eine der berechtigten Personen ausgetauscht wird.
Im April 2016 beträgt die Größe der berechtigten Personengruppe Zwei, in Zahlen 2 Personen.
Zur indirekten Sabotage durch lähmung der Organisation ist es für den Saboteur ausreichend an Organisationstreffen und Mitgliederversammlungen teilzunehmen, wozu er bereits durch eine simple Mitgliedschaft berechtigt ist.
(Dieses Angriffsszenario ist allerdings irrelevant, da die genannten treffen plenarischer form stattfinden, also quasi selbst-lähmend sind)
Die Gegenmasnahme setzt an der Tatsache an, dass das Verhalten des Saboteurs sich zumindest subtil von dem eines konstruktiven Mitglieds unterscheiden muss. Sollte irgend einem Teilnehmer während einer Mitgleiderversammlung oder eines Organisationstreffens ein solches Verhalten auffallen, wird dieses einem Vorstandsmitglied gemeldet, welches dann Ermittlungen einleitet. Dieses Verfahren ist in der Geschäftsordnung geregelt.
Die Mitglieder werden basierend auf Geheimdienstdokumenten über sabotierende Verhaltensmuster aufgeklärt.
====== Internetseitiger Netzabschlusspunkt ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Der Schutz des Fernmeldegeheimnisses ist für den internetseitigen Netzabschlusspunkts (in folge INP) relevant,
da der gesamte Datenverkehr, welcher nicht zwischen zwei Netzteilnehmern abläuft durch selbigen läuft.
==== Schutz Personenbezogener Daten ====
Der INP verarbeitet keine personenbezogenen Daten, kein Schutzbedarf.
==== Schutz gegen Störungen ====
Da der INP eine kritische Komponente darstellt, deren Ausfall das Netz stark negativ beeinträchtigen würde ist eine Betrachtung des Schutzes gegen Störungen relevant.
===== Sicherung gegen Sabotage von Innen =====
Den Gesamtsystemischen Gegenmaßnahmen und Analysen ist nichts hinzuzufügen
===== Sicherung gegen Sabotage von Außen/Angriffe =====
Um Sabotage von innen oder einen terroristischen Angriff auf die Infrastruktur erfolgreich durchzuführen, muss der Angreifer direkten physischen Zugriff auf den INP erlangen.
Der INP befindet sich inerhalb eines abschließbaren Technikschranks.
Der Technikschrank befindet sich innerhalb eines abgeschlossenen Raumes.
Der Raum befindet sich innerhalb eines Stadthauses.
Um physichen Zugriff auf den INP zu erlangen, muss zunächst in den Raum eingedrungen werden.
Dies kann geschehen, indem die Tür aufgebrochen wird, oder der Angreifer Zugriff auf den Schlüssel erhällt.
Das Aufbrechen der Türe ist hinreichend erschwert, da das Stadthaus, in dem sich der Raum befindet ganzjährlich bewohnt ist, und sich somit schweres Gerät, wie es zum Aufbrechen der Türe notwendig wäre nicht unbemerkt antransportieren lässt. Auch die Geräuschentwickung erschwert ein unbemerktes Eindringen.
Das Erlangen eines Schlüssels wird verhindert indem alle Schlüssel bei Vorstandsmitgliedern verbleiben, und nur für konkrete Arbeiten an die Ausführenden vergeben werden.
Ein Angreifer, der in den Raum eingedrungen ist, muss weiter in den Technikschrank einbrechen.
Die Ausführungsmöglichkeiten und Gegenmaßnahmen sind die Gleichen wie zur Verhinderung eines Eindringens in den Raum.
Zusatzlich verfügt der Technikschrank über einen elektronischen Eindringlingsalarm, der über Vorfälle alarmiert.
// alarmanlage??
====== Endverbraucherseitiger Netzabschlusspunkt ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Der Schutz des Fernmeldegeheimnisses ist für den endverbraucherseitigen Netzabschlusspunkts (in folge ENP) relevant, da der Datenverkehr eines Endverbrauchers über diesen fließt.
==== Schutz Personenbezogener Daten ====
Der ENP verarbeitet keine personenbezogenen Daten, kein Schutzbedarf.
==== Schutz gegen Störungen ====
Da durch eine Störung lediglich die Nutzung durch einen einzigen Endverbraucher eingeschränkt wird, ist ein Schutz gegen Störungen notwendig, aber nicht kritisch.
===== Sicherung gegen Sabotage von Innen =====
Den gesamtsystemischen Analysen und Gegenmaßnahmen ist nichts hinzuzufügen.
===== Sicherung gegen Sabotage von Außen =====
Hier werden nur eindringende Szenarien betrachtet, die darauf abzielen das Fernmeldegeheimnis zu verletzen. Für Szenarien, in welchen lediglich Störungen das Ziel sind siehe "Sicherung gegen Angriffe".
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur Zugriff auf den ENP erhalten.
Dieser ist grundsätztlich nicht speziell gesichert, steht allerdings nicht im öffentlichen Raum, sondern in den Räumlichkeiten des Endnutzers, wodurch ein Zugriff einen Einbruch vorraussetzen würde.
Um die Auswirkungen eines potentiellen Zugriffs zu minimieren, wird die Erreichbarkeit aller ENPs permanent Überwacht und Eindringlingserkennungssysteme eingesetzt.
Außerdem werden alles eingesetzten Transportwegsverschlüsselungsschlüssel zwischen den ENPs und dem Kernnetz regelmäßig ausgetauscht.
===== Sicherung gegen Angriffe =====
Um den ENP Funktionsunfähig zu machen sind viele Angriffsszenarien denkbar, vom einfachen Eindringen und gezielt Zerstören bis zu einem vollständigen Angriff, bei welchem Brandsätze und/oder Explosivstoffe zur Zerstörung des eingestzt Standpunkts werden.
Die Gegenmaßnahme ist nicht eine Verhinderung dieser Zerstörungen, sondern eine schnelle Wiederherstellung der Funktionalität, indem ein ständiger Vorrat an ENPs gehalten wird, aus dem zerstörte ENPs innerhalb eines Werktages ersetzt werden können.
====== Kernnetz ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Der Schutz des Fernmeldegeheimnisses ist für das Kerrnnetz relevant, da alle Endnutzerdatenverbindungen durch dieses laufen.
==== Schutz Personenbezogener Daten ====
Das Kernnetz verarbeitet keine personenbezogenen Daten, kein Schutzbedarf
==== Schutz gegen Störungen ====
Da ein ein größerer Ausfall des Kernnetzes auch einen größeren Ausfall der über es zur Verfügung gestellten Dienstleistung nach sich ziehen würde, ist ein Schutz gegen Störungen relevant.
===== Sicherung gegen Sabotage von Innen =====
Den gesamtsystemischen Analysen und Gegenmaßnahmen ist nichts hinzuzufügen.
===== Sicherung gegen Sabotage von Außen =====
Hier werden nur eindringende Szenarien betrachtet, die darauf abzielen das Fernmeldegeheimnis zu verletzen. Für Szenarien, in welchen lediglich Störungen das Ziel sind siehe "Sicherung gegen Angriffe".
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur Zugriff auf das Kernnetz haben. Dazu müsste er mehrere physische Abgrenzungen durchdringen, von außen nach innen in ein Haus eindringen, in eine der abgeschlossenen Räumlichkeiten in denen das Kernnetz untergebracht ist, eindringen, in eine der abgeschlossenen Technikschränke, die die Geräte beinhalten, eindringen. Da das Kernnetz sich in einem ganzjährlich bewohnten Stadthaus befindet ist ein Einbruch so gut wie unmöglich unbemerkt ausführbar. Selbst wenn ein Eindringen in das Haus an für sich gelingt, muss das schwere Gerät, welches notwendig ist, um die Türen und Schränke aufzubrechen unbemerkt Transportiert werden, und danach die Türen und Schränke ohne große Geräuschentwicklung aufgebrochen werden, was sehr unwahrscheinlich ist.
Alternativ wäre es auch möglich die Schlüssel und Elektronischen Zugangskarten für alle Ebenen zu erlangen und diese zu nutzen um gewaltfrei einzudringen. Dies wird verhindert, indem die Schlüssel nur bei Vorständen liegen, und nur für konkrete Arbeitsvorgänge an authorisiertes Personal ausgegeben werden.
Sollte ein Eindringen dennoch erfolgreich sein, müsste der Saboteur eine Wanze an ein Kabel anbringen, Entweder in der Mitte eines Kabels, wo sich das Eindringen in die Technikschränke und Räumlichkeiten Erübrigen würde und statt dessen ein Eindringen in Kabelschächte notwendig wäre, oder zwischen eine Büchse und ein Kabel.
Beide Eingriffe würden jedoch in der Netzwerküberwachung auffallen, was eine Untersuchung des Kernnetzes, und eine Entfernung der Wanze nach sich ziehen würde.
// Transportwegsverschlüsselung auch auf lan?
===== Sicherung gegen Angriffe =====
//bleh
====== VDS-Einrichtung ======
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Es läuft kein Netzwerkverkehr durch die VDS-Einrichtung, kein Schutzbedarf.
==== Schutz Personenbezogener Daten ====
Die VDS-Einrichtung verarbeitet personenbezogene Daten, damit muss sie besonders vor unauthorisiertem Zugriff geschützt werden.
==== Schutz gegen Störungen ====
Auch wenn der Betrieb einer VDS-Einrichtung für den Netzbetrieb vollkommen unbedeutend ist, ist der Nichtbetrieb mit hohen Geldstrafen bewehrt, wir sind also gezwungen die VDS-Einrichtung gegen Störungen zu sichern.
===== Sicherung gegen Sabotage von Innen =====
Den gesamtsystemischen Analysen und Gegenmaßnahmen ist hinzuzufügen, dass die VDS-Einrichtung nur von zugangsberechtigten Personen bedient wird.
Dabei wird vorgeschriebene vier-Augen-Prinzip wird eingesetzt.
Des weiteren wird jeder Zugriff mit bewegungsaktivierten Überwachungskameras aufgezeichnet, so dass eine spätere Verfolgung eines Saboteurs erleichtert wird.
Unsere Sicherheitsprotokolle verbieten weiterhin die Mitnahme von elektronischen oder elektrischen Geräten in die VDS-Räume.
===== Sicherung gegen Sabotage von Außen =====
Die Überwachungsdaten liegen Vollverschlüsselt vor, außerdem ist das System in seiner Standardkonfiguration stromlos, und wird nur bei Einspielung neuer Daten oder dem Abruf der Überwachungsdaten durch staatliche Organe für die Dauer des Vorgangs aktiviert.
Dies macht Heiße und Kalte Angriffe quasi unmöglich. Der Raum wird schall- und funkisoliert, so dass unberechtigtes Abgreifen der Überwachungsdaten während eines authorisierten Vorganges erschwert wird.
===== Sicherung gegen Angriffe =====
Nach unserer Analyse ist die VDS-Einrichtung als Angriffsziel besonders gefährdet, da Personengruppen, insbesondere aus der linken Szene Leipzigs, welche vom Verfassungsschutz als gefährlichste Deutschlands eingestuft wird, Motivation haben könnten sich gewaltsam gegen die Vollüberwachung des ganzen Landes zur Wehr zu setzen.
Da die VDS-gesetze aus der gesamten Bevölkerung breiten Widerspruch erfahren haben, ist dies allerdings nicht das einzige plausible Angriffszenario.
Als Gegenmaßnahme werden besonders verstärkte Türen, in sowohl den Räumen, als auch den Technikschränken und ein stilles bewegungsaktiviertes Alarmsystem eingesetzt.
Des weiteren werden die Daten 3-fach redundant gespeichert, und es wird ein komplettes VDS-System auf Vorrat gehalten, um eventuelle Zerstörungen ohne Verzögerung durch Lieferzeiten ersetzen zu können.

BIN
menschenzeugs/bnetza/sicherheitskonzept/sicherheitsbeauftragte.odt Normal file
View file

Binary file not shown.

BIN
menschenzeugs/bnetza/sicherheitskonzept/sicherheitsbeauftragte.pdf Normal file
View file

Binary file not shown.

BIN
menschenzeugs/bnetza/sicherheitskonzept/sicherheitskonzept-1.1.pdf Normal file
View file

Binary file not shown.

BIN
menschenzeugs/bnetza/sicherheitskonzept/sicherheitskonzept.odt Normal file
View file

Binary file not shown.

BIN
menschenzeugs/bnetza/sicherheitskonzept/sicherheitskonzept.pdf Normal file
View file

Binary file not shown.

283
menschenzeugs/bnetza/sicherheitskonzept/sicherheitskonzept_14.10.16 Normal file
View file

@ -0,0 +1,283 @@
Einleitung
Das folgende Sicherheitskonzept unterteilt sich in generelle Sicherheitsrichtlinien die als grundlegendes Konzept in verschiedenen Szenarien angewendet werden. Dem folgt eine kurze Beschreibung der Systemstruktur sowie Definitionen der einzelnen Systemkomponenten.
Anschließend wird die Systemsicherheit in Bezug auf die zu erfüllenden Schutzziele ausgewertet. Dabei findet eine Bewertung des Schutzbedarfs der einzelnen Komponenten, in Verbindung mit den konkreten Gegenmaßnahmen statt.
Beschreibung der Systemstruktur
Definition der Systemkomponenten
Internetseitiger Netzabschlusspunk (im Folgenden INP)
Endkundenseitger Netzabschlusspunkt (im Folgenden ENP)
Kernnetz
Mindestspeicherfristerfüllungseinrichtung (im Folgenden MSFEE)
Sicherheitsrichtlinien
1. Datensparsamkeit
-> es ist immer nur die kleinstmögliche menge an Daten erhoben, mit denen der jeweilige Zweck erfüllbar ist
2. Systemtrennung
-> Seperat lösbare Probleme sind mithilfe von möglichst unabhängigen systemen zu lösen, so dass eine eventuelle Beeinträchtigung eines Systems kein anderes in Mitleidenschaft zieht.
3. Kleinhalten der Angriffsoberfläche
-> Zur lösung von Problemen und zur bereitstellung von Funktionalität ist immer das einfachste Werkzeug, welches diese Aufgabe erfüllt einzusetzen.
4. Beschränkung der Menschlichen Fehlerquelle
-> Zugrif auf systeme ist immer nur dem kleinstmöglichen Personenkreis, welcher in der lage ist das system funktionsfähig zu halten, zu gewähren
5. Verschlüsselung
-> Wo immer möglich ist Verschlüsselung einzusetzen, sowohl auf Transportwegen, als auch bei der Datenhaltung, um Angriffe zu erschweren. Sollten sich durch neue Technische entwicklungen, oder Mathematische Erkentnisse die eingesetzten Algorithmen als überholt herrausstellen sind diese Zeitnah durch Modernere Alternativen zu ersetzen
6. Ersetzbarkeit
-> Systeme sind so anzulegen, dass deren Einrichtung Einfach ist und schnell umgesetzt werden kann, so dass diese bei Ausfällen schnell ersetzt werden können.
7. Redundanz
-> Zentrale Systeme sind in mehreren Instanzen zu installieren, so dass bei Ausfall des Primärsystems das Sekundäre dessen Funktion übernehmen kann.
Evaluierung der Systemsicherheit
Die Evaluirung der Systemsicherheit wird anhand der Schutzziele gegliedert. Zu Beginn werden die nicht betroffenen Einheiten genannt. Danach folgt eine detaillierte Beschreibung der Sicherheitsrisiken und -vorkehrungen der betroffenen Einheiten.
= Schutz des Fernmeldegeheimnisses
Über die Netzwerküberwachung und die Mindestspeicherfristerfüllungseinrichtung (MSFEE) laufen keine Internetverbindungen, eine Verletzung des Fernmeldegeheimnisses ist also hier nicht möglich
== INP
=== Sabotage von Außen
Um Sabotage von außen auf die Infrastruktur erfolgreich durchzuführen, muss der Angreifer direkten physischen Zugriff auf den INP erlangen.
==== Gegenmaßnahmen
Der INP befindet sich inerhalb eines abschließbaren Technikschranks.
Der Technikschrank befindet sich innerhalb eines abgeschlossenen Raumes.
Der Raum befindet sich innerhalb eines Stadthauses.
Um physichen Zugriff auf den INP zu erlangen, muss zunächst in den Raum eingedrungen werden.
Dies kann geschehen, indem die Tür aufgebrochen wird, oder der Angreifer Zugriff auf den Schlüssel erhällt.
Das Aufbrechen der Türe ist hinreichend erschwert, da das Stadthaus, in dem sich der Raum befindet ganzjährlich bewohnt ist, und sich somit schweres Gerät, wie es zum Aufbrechen der Türe notwendig wäre nicht unbemerkt antransportieren lässt. Auch die Geräuschentwickung erschwert ein unbemerktes Eindringen.
Das Erlangen eines Schlüssels wird verhindert indem alle Schlüssel bei Vorstandsmitgliedern verbleiben, und nur für konkrete Arbeiten an die Ausführenden vergeben werden.
Ein Angreifer, der in den Raum eingedrungen ist, muss weiter in den Technikschrank einbrechen.
Die Ausführungsmöglichkeiten und Gegenmaßnahmen sind die Gleichen wie zur Verhinderung eines Eindringens in den Raum.
Zusatzlich verfügt der Technikschrank über einen elektronischen Eindringlingsalarm, der über Vorfälle alarmiert.
==== Installation einer Wanze
Sollte ein Angreifer Erfolgreich eindringen, könnte dieser eine Wanze auf dem Internetseitigen Kabel Installieren um den Datenstrom mitzulesen
===== Gegenmaßnahmen
Keine besonderen Gegenmaßnahmen
==== Offensichtliche Manipulation des INP
Der Angreifer könnte auch den INP selbst, beispielsweise durch Instalation eines alternativen Betriebssystems manipulieren, und den Datenstrom, oder Teile dessen mitlesen.
===== Gegenmaßnahmen
Sicherheitsrichtlinie: 5
Das Betriebssystem des INP ist Verschlüsselt, eine gezielte Manipulation des Betriebsystem in abgeschalteten Zustand also unmöglich. In angeschalteten Zustand ist sie durch restriktive Benutzerrechte und starke Passwörter unterbunden.
==== Subtile Manipulation des INP
Der Angreifer könnte statt das gesammte Betriebssystem zu ersetzen, den Teil ersetzen, welcher beim Start das Entschlüsselungspasswort entgegennimmt, und zwar in einer Weise, dass dieses das Entschlüsselungspasswort unverschlüsselt speichert oder ein alternatives Betriebssystem läd.
===== Gegenmaßnahmen
Aufgrund der großen physischen Hürden ist eine unbemerkt durchgeführte Manipulation für sehr schwierig und diese Restrisiko in Kauf zu nehmen.
Eine Mögliche Gegenmaßnahme wäre allerdings, das abtrennen des Bootloader vom Restsystem, um ihn sicher zu verwahren. Das Problemder SIcheren Verwahrung ist damit aber nicht gelöst.
=== Angriffe ohne physischen Zugang zu den Komponenten
Erlangt ein Angreifer Kontrolle über einen INP so kann er den gesamten unverschlüsselten Internetverkehr aller Nutzenden mitlesen und manipulieren. Erhöhter Schutzbedarf.
=== Angriffszenarien
==== Ein Angreifer nutzt eine Sicherheitslücke in der auf dem INP installierten Software aus.
Sicherheitsrichtlinien: 2, 3
Auf dem INP läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf den INP gesteuert und reglementiert. Desweiteren werden einzelne Anwendungen, soweit dies möglich ist, in unabhängige Virtuelle Server ausgelagert um manipulierter Software keinen Zugriff auf weitere Anwendungen zu geben.
==== Einem Angreifer gelingt es, den Zugangsschlüssel zum INP durch manipulative Kommunikation mit zugangsberechtigten Menschen zu erhalten
Sicherheitsrichtlinien: 4
Nur einer kleinen Personengruppe sind die Zugangsschlüssel bekannt.
Zusätzlich wird über die Gefahren von Angriffen solcher Art aufgeklärt.
==== Ein Angreifer erlangt den Zugangsschlüssel durch das Eindringen in ein Gerät, auf dem der Schlüssel hinterlegt ist.
Sicherheitsrichtlinie: 2,3,4,5
Die Zugangskennung wird nicht auf weiteren Systemkomponenten verwendent. Hauptrisiko stellt hier der Umgang der Personen mit dem Zugangsschlüssel, dieses lässt sich durch Informieren der Personen reduzieren.
==== Ein Angreifer greift den Netzwerkverkehr an der internetseitigen Anschlussschnittstelle des INP ab.
Fällt in den Zuständigskeitsbereicht, des mit uns verbundenen Internetserviceproviders.
==== Ein Angreifer greift den Netzwerkverkehr an der kernnetzseitigen Anschlussschnittstelle des INP ab.
Fällt unter "Schutz des Kernnetzes".
== Kernnetz
Der Schutz des Fernmeldegeheimnisses ist für das Kernnetz relevant, da alle Endnutzerdatenverbindungen durch dieses laufen. Erhöhter Schutzbedarf.
=== Sicherung gegen Sabotage von Außen
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur physischen Zugriff auf das Kernnetz haben um eine Wanze anzubringen, welche dann Datenströme (eventuell selektiv) ausleitet
==== Gegenmaßnamen
Sicherheitsrichtlinie: 4
Das Kernnetz befindet sich hinter mehreren physischen Schutzschichten; von außen nach innen: Ein Stadthaus, abgeschlossene Räumlichkeiten, abgeschlossene Technikschränke oder Ein Stadthaus, gemauerte Kabelschächte.
Ein unbemerkter Einbruch in das Stadthaus wird erschwert, da es ganzjährig bewohnt ist. Ebenso für Räume, Schränke und Mauerwerk.
Die Alternativmöglichkeit ist die Beschaffung sämtlicher elektronischer Zugangskarten und Schlüssel um gewaltfrei einzudringen.
Dies wird erschwert, indem die Schlüssel nur bei Vorständen liegen, und nur für konkrete Arbeitsvorgänge an authorisiertes Personal ausgegeben werden.
Der Saboteur müsste eine Wanze an ein Kabel anbringen, Entweder in der Mitte eines Kabels, wo statt eines Eindringens in die Technikschränke und Räumlichkeiten ein Eindringen in Kabelschächte notwendig wäre, oder zwischen eine Büchse und ein Kabel.
Beide Eingriffe würden jedoch in der Netzwerküberwachung aufgrund der kurzzeitigen Verbindungsunterbrechung auffallen, was eine Untersuchung des Kernnetzes, und eine Entfernung der Wanze nach sich ziehen würde.
Für eine weitere Erhöhung der Sicherheit wurde eine Transportwegverschlüsselung im gesamten Kernnetz evaluiert, aufgrund der geringen Wahrscheinlichkeit eines erfolgreichen angriffs und dem hohen technischen Aufwand jedoch verworfen.
=== Angriffe ohne physischen Zugang zu den Komponenten
==== Ein Angreifer nutzt eine Sicherheitslücke einer der im Kernetz verwendenten Komponenten aus.
Sicherheitsrichtlinien: 2, 3
Auf den Geräten des Kernnetzes, speziell den Hauptroutern, läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf das Kernnetz und die darin enthaltenen Geräte gesteuert und reglementiert.
==== Ein Angreifer greift den Netzwerkverkehr einem Knoten des Kernnetzes ab.
Entweder muss er dazu über eine ausnutzbare Sicherheitslücke einer Komponente oder einem physikalischen Zugang zu einem Teil des Kernnetzes verfügen.
Siehe Sabotage.
== ENP
=== Sabotage von Außen
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur direkten Physischen Zugriff auf den ENP erhalten. Da diese aufgrund von technischen Beschränkungen nicht verschlüsselt sind, könnte er das installierte Betriebssystem manipulieren und/oder Transportwegsverschlüsselungsschlüssel austauschen.
==== Gegenmaßname
Jeder ENP steht in den Räumlichkeiten des entsprechenden Endnutzers, also ins Besondere nicht im öffentlichen Raum. Die konkreten Sicherungen liegen somit auch im Einflussbereich des Nutzers.
Um die Auswirkungen eines potentiellen Zugriffs zu minimieren, wird die Erreichbarkeit aller ENPs permanent Überwacht und Eindringlingserkennungssysteme eingesetzt.
Außerdem werden alle eingesetzten symmetrischen, und damit auch auf den ENP gespeicherten, Transportwegsverschlüsselungsschlüssel zwischen den ENPs und dem Kernnetz regelmäßig ausgetauscht.
=== Angriffe ohne physischen Zugang zu den Komponenten
Erlangt ein Angreifer Kontrolle über einen ENP so kann er den gesamten unverschlüsselten Internetverkehr eines Nutzenden mitlesen und manipulieren. Schutzbedarf.
==== Ein Angreifer nutzt eine Sicherheitslücke in der auf dem ENP installierten Software aus.
Sicherheitsrichtlinien: 2, 3
Auf den ENP werden stets die aktuellen Sicherheitsaktualisierungen des Herstellers eingespielt. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf den ENP gesteuert und reglementiert. Dadurch wird ein Ausnutzen von Sicherheitslücken weiter erschwert.
==== Einem Angreifer gelingt es, den Zugangsschlüssel zum ENP zu erhalten durch manipulative Kommunikation mit zugangsberechtigten Menschen zu erhalten.
Sicherheitsrichtlinien: 4
Nur einer kleinen Personengruppe sind die Zugangsschlüssel bekannt.
Zusätzlich wird über die Gefahren von Angriffen solcher Art aufgeklärt.
==== Ein Angreifer erlangt den Zugangsschlüssel durch das Eindringen in ein Gerät, auf dem der Schlüssel hinterlegt ist.
Sicherheitsrichtlinie: 2, 3, 4, 5
Die Zugangskennung wird nicht auf weiteren Systemkomponenten verwendent. Hauptrisiko stellt hier der Umgang der Personen mit dem Zugangsschlüssel, dieses lässt sich durch Informieren der Personen reduzieren.
==== Ein Angreifer greift den Netzwerkverkehr an der kernnetzseitigen Anschlussschnittstelle des INP ab.
Fällt unter "Schutz des Kernnetzes".
= Schutz Personenbezogener Daten
Der INP, das Kernnetz, die ENP und die Netzwerküberwachung verarbeiten keine Personenbezogenen Daten.
== MSFEE
Die MSFEE verarbeitet personenbezogene Daten, damit muss sie besonders vor unauthorisiertem Zugriff geschützt werden.
=== Sicherung gegen Sabotage von Innen
Ein Saboteur könnte versuchen zur zugangsberechtigten Person erklärt zu werden, und so Daten zu extrahieren.
==== Gegenmaßnamen
Sicherheitsrichtlinie: 4, 5
Das vorgeschriebene vier-Augen-Prinzip wird eingesetzt, somit könnte ein unberechtigter Zugriff durch einen einzelnen Saboteur von der weiteren zugangsberechtigten Person verhindert werden.
Des weiteren wird jeder Zugriff mit bewegungsaktivierten Überwachungskameras aufgezeichnet, so dass eine spätere Verfolgung eines Saboteurs erleichtert wird.
Unsere Sicherheitsprotokolle verbieten weiterhin die Mitnahme von elektronischen oder elektrischen Geräten in die VDS-Räume, so dass die extraktion der Daten stark erschwert wird.
=== Sicherung gegen Sabotage von Außen
Ein Saboteur könnte auch als unberechtigter versuchen in die MSFEE einzudringen.
==== Gegenmaßnamen
Sicherheitsrichtlinie: 5
Die Überwachungsdaten liegen Vollverschlüsselt vor, außerdem ist das System in seiner Standardkonfiguration stromlos, und wird nur bei Einspielung neuer Daten oder dem Abruf der Überwachungsdaten durch staatliche Organe für die Dauer des Vorgangs aktiviert.
Heiße und Kalte Angriffe werden dadurch stark erschwert. Der Raum wird schall- und funkisoliert, so dass unberechtigtes Abgreifen der Überwachungsdaten während eines authorisierten Vorganges erschwert wird.
=== Angriffe ohne physischen Zugang zu den Komponenten
Zwischen der MSFEE und dem Kernnetz oder dem Internet existiert eine Luftlücke. Angriffe ohne physischen Zugang sind somit ausgeschlossen.
= Schutz gegen Störungen
== INP
Bei Störung des INP ist die Netzwerkanbindung aller Nutzenden beeinträchtigt. Dies ist ein kritisches Szenario, das besonderer Schutzmaßnahmen bedarf.
=== Angriffe ohne physischen Zugang zu den Komponenten
==== Um den INP zu dauerhaft zu stören, abzuschalten oder fremdgestuert zu verwenden, muss ein Angreifer Zugang zu den Funktionen des Gerätes erhalten. Hier gilt dasselbe wie für Angriffe auf Fernmeldedaten.
==== Aus dem Internet kann der INP Ziel von Angriffen durch extrem zahlreiche Anfragen (AdezA) werden. Gegen diese können wir uns nur bedingt schützen. Durch redundante Anbindungen um große Bandbreite lässt der Aufwand für eine derartige Störung stark erhöhen. Gleichzeitig ist das Risiko, eines solchen Angriffs eher gering und hinterlässt über die Dauer des Angriffes hinaus keine nachhaltigen Schäden. Die Einschränkung der Verbindungsqualität wärend eines sochen Angriffsjedoch auf ein Minimum zu reduzieren, lassen sich, auch in Abspreche mit weiteren Dienstleistern, Verbindungen von bestimmten Adressbereichen unterbinden.
== Kernnetz
Da ein ein größerer Ausfall des Kernnetzes auch einen größeren Ausfall, der über es zur Verfügung gestellten Dienstleistung nach sich ziehen würde, ist ein Schutz gegen Störungen relevant.
=== Physische/Terroristische Angriffe
TODO
=== ohne physischen Zugang zu den Komponenten
==== Um das Kernnetz dauerhaft zu stören, abzuschalten oder fremdgestuert zu verwenden, muss ein Angreifer Zugang zu den Funktionen eines Gerätes des Kernnetzes erhalten. Es gilt dasselbe wie für Angriffe auf Fernmeldedaten.
==== Um eine verübergehende Störung des Kernnetzes zu erreichen wäre ein Angriff durch extrem zahlreiche Anfragen denkbar, bei dem die Geräte durch zuviele Anfragen überlastet werden und vorübergehend nicht reagieren.
Als Gegenmaßnahme verhindert das netzwerktrennende Sicherheitselement Verbindungen zu Komponenten des Kernnetz aus dem Internet und dem kundenseitigen Netz.
== ENP
Bei Störung des ENP ist die Netzwerkanbindung eines einzelnen Nutzenden beeinträchtigt. Dies ist zu vermeiden, bedeutet aber nur geringen Schutzbedarf.
=== Sicherung gegen physische/terroristische Angriffe
Um den ENP Funktionsunfähig zu machen sind viele Angriffsszenarien denkbar, vom einfachen Eindringen und gezielt Zerstören bis zu einem vollständigen Angriff, bei welchem Brandsätze und/oder Explosivstoffe zur Zerstörung des Standpunkts eingesetzt werden.
==== Gegenmaßnahme
Sicherheitsrichtlinie 6
Es wird nicht versucht die Zerstörung zu verhindern, sondern eine schnelle Wiederherstellung der Funktionalität, indem ein ständiger Vorrat an Ersatz-ENPs gehalten wird, aus dem zerstörte ENPs innerhalb eines Werktages ersetzt werden können.
=== Angriffe ohne physischen Zugang zu den Komponenten
==== Um den ENP zu dauerhaft zu stören, abzuschalten oder fremdgestuert zu verwenden, muss ein Angreifer Zugang zu den Funktionen des Gerätes erhalten. Es gilt dasselbe wie für Angriffe auf Fernmeldedaten.
==== Um eine verübergehende Störung des ENP zu erreichen wäre ein Angriff durch extrem zahlreiche Anfragen denkbar, bei dem das Gerät durch zuviele Anfragen überlastet wird und vorübergehnd nicht reagiert.
Als Gegenmaßnahme verhindert das netzwerktrennende Sicherheitselement Verbindungen zum ENP aus dem Internet und dem kundenseitigen Netz.
== Netzwerküberwachung
=== Angriffe ohne physischen Zugang zu den Komponenten
== MSFEE
Auch wenn der Betrieb einer MSFEE für den Netzbetrieb vollkommen unbedeutend ist, ist der Nichtbetrieb mit hohen Geldstrafen bewehrt, wir sind also gezwungen die MSFEE gegen Störungen zu sichern.
=== Sicherung gegen physische/terroristische Angriffe
Ein Angreifer könnte versuchen durch physische gewalt, Brand- oder Sprengsätze die MSFEE zu beschädigen oder zu zerstören.
Insbesondere die linke Szene Leipzigs, welche vom Verfassungsschutz als gefährlichste Deutschlands eingestuft wird, könnte Motivation haben sich gegen diese Vollüberwachung gewaltsam zur Wehr zu setzen.
Da die Vorratsdatenspeicherungs und Mindestspeicherfristgesetze allerdings auch breiten wiederspruch aus der gesamten Bevölkerung erfahren, ist dies wahrscheinlich nicht die einzige Gruppierung, welche eine Angriffsmotivation haben könnte.
Wir halten aus den genannten Gründen dieses Angriffsszenario für wahrscheinlich.
==== Gegenmaßnahmen
Sicherheitsrichtlinien: 6, 7
Als Gegenmaßnahme werden besonders verstärkte Türen, in sowohl den Räumen, als auch den Technikschränken und ein stilles bewegungsaktiviertes Alarmsystem eingesetzt.
Des weiteren werden die Daten 3-fach redundant gespeichert, und es werden die Technischen Geräte für eine vollständige MSFEE auf Vorrat gehalten, um zerstörte Komponenten ohne Verzögerung durch Lieferzeiten ersetzen zu können.
=== Angriffe ohne physischen Zugang zu den Komponenten
Zwischen der MSFEE und dem Kernnetz oder dem Internet existiert eine Luftlücke. Störungen ohne physischen Zugang sind somit ausgeschlossen.
= Gesamtsystemische Analyse
== Sabotage von Innen
Für eine Sabotage von Innen muss ein Saboteur in die Organisation eingeführt werden.
Dieser könnte zwei Ziele verfolgen, direkte Sabotage der operativen Systeme, oder Lähmung der Organisation.
Reudnetz w.V. ist in seiner Organisationsstruktur als Verein mit offenen Anmeldungen gegenüber der Einführung von Saboteuren besonders gefährdet.
Zur direkten Sabotage muss der Saboteur Zugang zu Zugangsdaten zu den Operativen Systemen erlangen.
Dies wird verhindert, indem diese Zugangsdaten nur einer sehr begrenzten Personengruppe zugänglich gemacht werden, diese nur erweitert wird, wenn es aufgrund des Arbeitsaufwandes unabdingbar notwendig ist und alle Zugangsdaten ausgetauscht werden, sobald eine der berechtigten Personen ausgetauscht wird.
Im April 2016 beträgt die Größe der berechtigten Personengruppe Zwei, in Zahlen 2 Personen.
Zur indirekten Sabotage durch lähmung der Organisation ist es für den Saboteur ausreichend an Organisationstreffen und Mitgliederversammlungen teilzunehmen, wozu er bereits durch eine simple Mitgliedschaft berechtigt ist.
Die Gegenmasnahme setzt an der Tatsache an, dass das Verhalten des Saboteurs sich zumindest subtil von dem eines konstruktiven Mitglieds unterscheiden muss. Sollte irgend einem Teilnehmer während einer Mitgleiderversammlung oder eines Organisationstreffens ein solches Verhalten auffallen, wird dieses einem Vorstandsmitglied gemeldet, welches dann Ermittlungen einleitet. Dieses Verfahren ist in der Geschäftsordnung geregelt.
Die Mitglieder werden basierend auf Geheimdienstdokumenten über sabotierende Verhaltensmuster aufgeklärt.
== Angriffe ohne physischen Zugang zu den Komponenten
Abschlussbemerkung
Wir sind überzeugt, durch diese Maßnahmen das verbleibenden Restrisiko auf ein akzeptables Maß zu reduzieren. Besonders hohe Anforderungen stellt wir an ein ausgeprägtes Fehlerbewusstsein aller bei uns tätigen Technikerinnen. da gerade Fehleinschätzugen und Fahrlässigkeit eines der am schwierigsten zu bewertenden Sicherheitrisiken darstellen. Durch Aufklärung bezüglich der Auftretenden Risiken und Probleme h
======================================================================
Drunter: Draft, Drüber: Done
======================================================================
Gliederung:
schutzziel -> objekt -> angriffszenario
Schutzobjekte
Internetseitiger Netzabschlusspunkt
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Erlangt ein Angreifer Kontrolle über einen INP so kann er den gesamten unverschlüsselten Internetverkehr aller Nutzenden mitlesen und manipulieren. Schutzbedarf.
==== Schutz Personenbezogener Daten ====
Der INP verarbeitet keine personenbezogenen Daten.
==== Schutz gegen Störungen ====
Bei Störung des INP ist die Netzwerkanbindung aller Nutzenden beeinträchtigt. Dies ist ein kritisches Szenario, das besonderer Schutzmaßnahmen bedarf.
==== Schutz gegen Nutzung als Angriffsvektor ====
Erlangt ein Angreifer Kontrolle über den INP so kann er diesen verwenden, um auf andere Komponenten des Kernetzes störend oder manipulativ einzuwirken. Genauso kann er den INP als Angriffswerkzeug für weitere Ziele im Internet verwenden. Schutzbedarf.
===== Sicherung gegen Störung
Aus dem Internet kann der INP Ziel von Angriffen durch extrem zahlreiche Anfragen (AdezA (nicht DDOS?)) werden. Gegen diese können wir uns nur bedingt schützen. Durch redundante Anbindungen um große Bandbreite lässt der Aufwand für eine derartige Störung stark erhöhen. Gleichzeitig ist das Risiko, eines solchen Angriffs eher gering und hinterlässt über die Dauer des Angriffes hinaus keine nachhaltigen Schäden. Die Einschränkung der Verbindungsqualität wärend eines sochen Angriffs ist jedoch mit [] auf ein Minimum zu reduzieren.
===== Sicherung gegen Fremdkontrolle
Auf dem INP, läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf das Kernnetz und die darin enthaltenen Geräte gesteuert und reglementiert. Desweiteren werden einzelne Anwendungen, soweit dies möglich ist, in unabhängige Virtuelle Server ausgelagert um manipulierter Software keinen Zugriff auf weitere Anwendungen zu geben.
Endkundenrouter
Kernnetz
VDS-Einrichtung
Hacker:
* Störungen des Netzwerkes
* Aneignung schützenswerter Daten
personenbezogen
Fernmeldegeheimnis
* Missbräuchliche Nutzung der Netzinfrastruktur zum Angriff weiterer Ziele (Vektor)
* Manipulation des Datenverkehrs
Naturkatastrophen:
Die Bedrohungen der Systemsicherheit durch Naturkatastrophen setzen sich ausschließlich mit den am Betriebsort des Netzwerkes realistisch auftretenden Szenarien auseinander.
* Starkregenereignisse
Alle
Alle Komponenten sind mindesten 1m über dem Boden montiert. In Räumen auf Bodenniveau sind Pumpen vorhanden, um eindringendes Wasser schnellstmöglich zu entfernen.
* gefrierender Schneeregen
Kernnetz
* Blitzschlag
Vorallem ENP, Kernnetz
* Stromausfall
Alle
* Temperaturextrema
ENP, Kernnetz
Baumaßnahmen:
* Störung durch Baumaßnahmen
###Bearbsichtigte Veränderungen am Netz durch Baumaßnahmen.
Änderungen am Netz können zu Störung einzelner Teile oder des geamten Netzes führen.
Um dem entgegenzuwirken sind alle kritischen Systemkomponenten redundant ausgeführt und werden nacheinander umgebaut. Dadurch lassen sich Ausfallzeiten reduzieren oder vermeiden.
### Unbeasichtigte Störungen durch Baumaßnahmen dritter
Da Teile unserer Infrastruktur an Orten verbaut sind, an denen auch andere Aktuere tätig werden, sind Ausfälle durch Fehler während Baumaßnahmen dieser Akteure potentielle Sicherheitsrisiken.
Alle unser Infrastuktur ist deutlich gekennzeichnet und physisch möglichst stark von anderen Strukturen separeriert. Sollte es trotzdem zu Ausfällen kommen, werden diese durch die Netzwerküberwachung erkannt und durch die redundante Ausführung der Netzwerkkomponenten kompensiert. Ein Vorrat an Geräten der Netzwerkinfrastruktur macht ein schnelles Ersetzen möglich.
Gesamtsystematische Betrachtungen
Referenzen
Abschlussbemerkung