public-wiki/menschenzeugs/bnetza/sicherheitskonzept/sicherheitskonzept_14.10.16

283 lines
26 KiB
Text

Einleitung
Das folgende Sicherheitskonzept unterteilt sich in generelle Sicherheitsrichtlinien die als grundlegendes Konzept in verschiedenen Szenarien angewendet werden. Dem folgt eine kurze Beschreibung der Systemstruktur sowie Definitionen der einzelnen Systemkomponenten.
Anschließend wird die Systemsicherheit in Bezug auf die zu erfüllenden Schutzziele ausgewertet. Dabei findet eine Bewertung des Schutzbedarfs der einzelnen Komponenten, in Verbindung mit den konkreten Gegenmaßnahmen statt.
Beschreibung der Systemstruktur
Definition der Systemkomponenten
Internetseitiger Netzabschlusspunk (im Folgenden INP)
Endkundenseitger Netzabschlusspunkt (im Folgenden ENP)
Kernnetz
Mindestspeicherfristerfüllungseinrichtung (im Folgenden MSFEE)
Sicherheitsrichtlinien
1. Datensparsamkeit
-> es ist immer nur die kleinstmögliche menge an Daten erhoben, mit denen der jeweilige Zweck erfüllbar ist
2. Systemtrennung
-> Seperat lösbare Probleme sind mithilfe von möglichst unabhängigen systemen zu lösen, so dass eine eventuelle Beeinträchtigung eines Systems kein anderes in Mitleidenschaft zieht.
3. Kleinhalten der Angriffsoberfläche
-> Zur lösung von Problemen und zur bereitstellung von Funktionalität ist immer das einfachste Werkzeug, welches diese Aufgabe erfüllt einzusetzen.
4. Beschränkung der Menschlichen Fehlerquelle
-> Zugrif auf systeme ist immer nur dem kleinstmöglichen Personenkreis, welcher in der lage ist das system funktionsfähig zu halten, zu gewähren
5. Verschlüsselung
-> Wo immer möglich ist Verschlüsselung einzusetzen, sowohl auf Transportwegen, als auch bei der Datenhaltung, um Angriffe zu erschweren. Sollten sich durch neue Technische entwicklungen, oder Mathematische Erkentnisse die eingesetzten Algorithmen als überholt herrausstellen sind diese Zeitnah durch Modernere Alternativen zu ersetzen
6. Ersetzbarkeit
-> Systeme sind so anzulegen, dass deren Einrichtung Einfach ist und schnell umgesetzt werden kann, so dass diese bei Ausfällen schnell ersetzt werden können.
7. Redundanz
-> Zentrale Systeme sind in mehreren Instanzen zu installieren, so dass bei Ausfall des Primärsystems das Sekundäre dessen Funktion übernehmen kann.
Evaluierung der Systemsicherheit
Die Evaluirung der Systemsicherheit wird anhand der Schutzziele gegliedert. Zu Beginn werden die nicht betroffenen Einheiten genannt. Danach folgt eine detaillierte Beschreibung der Sicherheitsrisiken und -vorkehrungen der betroffenen Einheiten.
= Schutz des Fernmeldegeheimnisses
Über die Netzwerküberwachung und die Mindestspeicherfristerfüllungseinrichtung (MSFEE) laufen keine Internetverbindungen, eine Verletzung des Fernmeldegeheimnisses ist also hier nicht möglich
== INP
=== Sabotage von Außen
Um Sabotage von außen auf die Infrastruktur erfolgreich durchzuführen, muss der Angreifer direkten physischen Zugriff auf den INP erlangen.
==== Gegenmaßnahmen
Der INP befindet sich inerhalb eines abschließbaren Technikschranks.
Der Technikschrank befindet sich innerhalb eines abgeschlossenen Raumes.
Der Raum befindet sich innerhalb eines Stadthauses.
Um physichen Zugriff auf den INP zu erlangen, muss zunächst in den Raum eingedrungen werden.
Dies kann geschehen, indem die Tür aufgebrochen wird, oder der Angreifer Zugriff auf den Schlüssel erhällt.
Das Aufbrechen der Türe ist hinreichend erschwert, da das Stadthaus, in dem sich der Raum befindet ganzjährlich bewohnt ist, und sich somit schweres Gerät, wie es zum Aufbrechen der Türe notwendig wäre nicht unbemerkt antransportieren lässt. Auch die Geräuschentwickung erschwert ein unbemerktes Eindringen.
Das Erlangen eines Schlüssels wird verhindert indem alle Schlüssel bei Vorstandsmitgliedern verbleiben, und nur für konkrete Arbeiten an die Ausführenden vergeben werden.
Ein Angreifer, der in den Raum eingedrungen ist, muss weiter in den Technikschrank einbrechen.
Die Ausführungsmöglichkeiten und Gegenmaßnahmen sind die Gleichen wie zur Verhinderung eines Eindringens in den Raum.
Zusatzlich verfügt der Technikschrank über einen elektronischen Eindringlingsalarm, der über Vorfälle alarmiert.
==== Installation einer Wanze
Sollte ein Angreifer Erfolgreich eindringen, könnte dieser eine Wanze auf dem Internetseitigen Kabel Installieren um den Datenstrom mitzulesen
===== Gegenmaßnahmen
Keine besonderen Gegenmaßnahmen
==== Offensichtliche Manipulation des INP
Der Angreifer könnte auch den INP selbst, beispielsweise durch Instalation eines alternativen Betriebssystems manipulieren, und den Datenstrom, oder Teile dessen mitlesen.
===== Gegenmaßnahmen
Sicherheitsrichtlinie: 5
Das Betriebssystem des INP ist Verschlüsselt, eine gezielte Manipulation des Betriebsystem in abgeschalteten Zustand also unmöglich. In angeschalteten Zustand ist sie durch restriktive Benutzerrechte und starke Passwörter unterbunden.
==== Subtile Manipulation des INP
Der Angreifer könnte statt das gesammte Betriebssystem zu ersetzen, den Teil ersetzen, welcher beim Start das Entschlüsselungspasswort entgegennimmt, und zwar in einer Weise, dass dieses das Entschlüsselungspasswort unverschlüsselt speichert oder ein alternatives Betriebssystem läd.
===== Gegenmaßnahmen
Aufgrund der großen physischen Hürden ist eine unbemerkt durchgeführte Manipulation für sehr schwierig und diese Restrisiko in Kauf zu nehmen.
Eine Mögliche Gegenmaßnahme wäre allerdings, das abtrennen des Bootloader vom Restsystem, um ihn sicher zu verwahren. Das Problemder SIcheren Verwahrung ist damit aber nicht gelöst.
=== Angriffe ohne physischen Zugang zu den Komponenten
Erlangt ein Angreifer Kontrolle über einen INP so kann er den gesamten unverschlüsselten Internetverkehr aller Nutzenden mitlesen und manipulieren. Erhöhter Schutzbedarf.
=== Angriffszenarien
==== Ein Angreifer nutzt eine Sicherheitslücke in der auf dem INP installierten Software aus.
Sicherheitsrichtlinien: 2, 3
Auf dem INP läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf den INP gesteuert und reglementiert. Desweiteren werden einzelne Anwendungen, soweit dies möglich ist, in unabhängige Virtuelle Server ausgelagert um manipulierter Software keinen Zugriff auf weitere Anwendungen zu geben.
==== Einem Angreifer gelingt es, den Zugangsschlüssel zum INP durch manipulative Kommunikation mit zugangsberechtigten Menschen zu erhalten
Sicherheitsrichtlinien: 4
Nur einer kleinen Personengruppe sind die Zugangsschlüssel bekannt.
Zusätzlich wird über die Gefahren von Angriffen solcher Art aufgeklärt.
==== Ein Angreifer erlangt den Zugangsschlüssel durch das Eindringen in ein Gerät, auf dem der Schlüssel hinterlegt ist.
Sicherheitsrichtlinie: 2,3,4,5
Die Zugangskennung wird nicht auf weiteren Systemkomponenten verwendent. Hauptrisiko stellt hier der Umgang der Personen mit dem Zugangsschlüssel, dieses lässt sich durch Informieren der Personen reduzieren.
==== Ein Angreifer greift den Netzwerkverkehr an der internetseitigen Anschlussschnittstelle des INP ab.
Fällt in den Zuständigskeitsbereicht, des mit uns verbundenen Internetserviceproviders.
==== Ein Angreifer greift den Netzwerkverkehr an der kernnetzseitigen Anschlussschnittstelle des INP ab.
Fällt unter "Schutz des Kernnetzes".
== Kernnetz
Der Schutz des Fernmeldegeheimnisses ist für das Kernnetz relevant, da alle Endnutzerdatenverbindungen durch dieses laufen. Erhöhter Schutzbedarf.
=== Sicherung gegen Sabotage von Außen
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur physischen Zugriff auf das Kernnetz haben um eine Wanze anzubringen, welche dann Datenströme (eventuell selektiv) ausleitet
==== Gegenmaßnamen
Sicherheitsrichtlinie: 4
Das Kernnetz befindet sich hinter mehreren physischen Schutzschichten; von außen nach innen: Ein Stadthaus, abgeschlossene Räumlichkeiten, abgeschlossene Technikschränke oder Ein Stadthaus, gemauerte Kabelschächte.
Ein unbemerkter Einbruch in das Stadthaus wird erschwert, da es ganzjährig bewohnt ist. Ebenso für Räume, Schränke und Mauerwerk.
Die Alternativmöglichkeit ist die Beschaffung sämtlicher elektronischer Zugangskarten und Schlüssel um gewaltfrei einzudringen.
Dies wird erschwert, indem die Schlüssel nur bei Vorständen liegen, und nur für konkrete Arbeitsvorgänge an authorisiertes Personal ausgegeben werden.
Der Saboteur müsste eine Wanze an ein Kabel anbringen, Entweder in der Mitte eines Kabels, wo statt eines Eindringens in die Technikschränke und Räumlichkeiten ein Eindringen in Kabelschächte notwendig wäre, oder zwischen eine Büchse und ein Kabel.
Beide Eingriffe würden jedoch in der Netzwerküberwachung aufgrund der kurzzeitigen Verbindungsunterbrechung auffallen, was eine Untersuchung des Kernnetzes, und eine Entfernung der Wanze nach sich ziehen würde.
Für eine weitere Erhöhung der Sicherheit wurde eine Transportwegverschlüsselung im gesamten Kernnetz evaluiert, aufgrund der geringen Wahrscheinlichkeit eines erfolgreichen angriffs und dem hohen technischen Aufwand jedoch verworfen.
=== Angriffe ohne physischen Zugang zu den Komponenten
==== Ein Angreifer nutzt eine Sicherheitslücke einer der im Kernetz verwendenten Komponenten aus.
Sicherheitsrichtlinien: 2, 3
Auf den Geräten des Kernnetzes, speziell den Hauptroutern, läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf das Kernnetz und die darin enthaltenen Geräte gesteuert und reglementiert.
==== Ein Angreifer greift den Netzwerkverkehr einem Knoten des Kernnetzes ab.
Entweder muss er dazu über eine ausnutzbare Sicherheitslücke einer Komponente oder einem physikalischen Zugang zu einem Teil des Kernnetzes verfügen.
Siehe Sabotage.
== ENP
=== Sabotage von Außen
Um das Fernmeldegeheimnis zu verletzen muss der Saboteur direkten Physischen Zugriff auf den ENP erhalten. Da diese aufgrund von technischen Beschränkungen nicht verschlüsselt sind, könnte er das installierte Betriebssystem manipulieren und/oder Transportwegsverschlüsselungsschlüssel austauschen.
==== Gegenmaßname
Jeder ENP steht in den Räumlichkeiten des entsprechenden Endnutzers, also ins Besondere nicht im öffentlichen Raum. Die konkreten Sicherungen liegen somit auch im Einflussbereich des Nutzers.
Um die Auswirkungen eines potentiellen Zugriffs zu minimieren, wird die Erreichbarkeit aller ENPs permanent Überwacht und Eindringlingserkennungssysteme eingesetzt.
Außerdem werden alle eingesetzten symmetrischen, und damit auch auf den ENP gespeicherten, Transportwegsverschlüsselungsschlüssel zwischen den ENPs und dem Kernnetz regelmäßig ausgetauscht.
=== Angriffe ohne physischen Zugang zu den Komponenten
Erlangt ein Angreifer Kontrolle über einen ENP so kann er den gesamten unverschlüsselten Internetverkehr eines Nutzenden mitlesen und manipulieren. Schutzbedarf.
==== Ein Angreifer nutzt eine Sicherheitslücke in der auf dem ENP installierten Software aus.
Sicherheitsrichtlinien: 2, 3
Auf den ENP werden stets die aktuellen Sicherheitsaktualisierungen des Herstellers eingespielt. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf den ENP gesteuert und reglementiert. Dadurch wird ein Ausnutzen von Sicherheitslücken weiter erschwert.
==== Einem Angreifer gelingt es, den Zugangsschlüssel zum ENP zu erhalten durch manipulative Kommunikation mit zugangsberechtigten Menschen zu erhalten.
Sicherheitsrichtlinien: 4
Nur einer kleinen Personengruppe sind die Zugangsschlüssel bekannt.
Zusätzlich wird über die Gefahren von Angriffen solcher Art aufgeklärt.
==== Ein Angreifer erlangt den Zugangsschlüssel durch das Eindringen in ein Gerät, auf dem der Schlüssel hinterlegt ist.
Sicherheitsrichtlinie: 2, 3, 4, 5
Die Zugangskennung wird nicht auf weiteren Systemkomponenten verwendent. Hauptrisiko stellt hier der Umgang der Personen mit dem Zugangsschlüssel, dieses lässt sich durch Informieren der Personen reduzieren.
==== Ein Angreifer greift den Netzwerkverkehr an der kernnetzseitigen Anschlussschnittstelle des INP ab.
Fällt unter "Schutz des Kernnetzes".
= Schutz Personenbezogener Daten
Der INP, das Kernnetz, die ENP und die Netzwerküberwachung verarbeiten keine Personenbezogenen Daten.
== MSFEE
Die MSFEE verarbeitet personenbezogene Daten, damit muss sie besonders vor unauthorisiertem Zugriff geschützt werden.
=== Sicherung gegen Sabotage von Innen
Ein Saboteur könnte versuchen zur zugangsberechtigten Person erklärt zu werden, und so Daten zu extrahieren.
==== Gegenmaßnamen
Sicherheitsrichtlinie: 4, 5
Das vorgeschriebene vier-Augen-Prinzip wird eingesetzt, somit könnte ein unberechtigter Zugriff durch einen einzelnen Saboteur von der weiteren zugangsberechtigten Person verhindert werden.
Des weiteren wird jeder Zugriff mit bewegungsaktivierten Überwachungskameras aufgezeichnet, so dass eine spätere Verfolgung eines Saboteurs erleichtert wird.
Unsere Sicherheitsprotokolle verbieten weiterhin die Mitnahme von elektronischen oder elektrischen Geräten in die VDS-Räume, so dass die extraktion der Daten stark erschwert wird.
=== Sicherung gegen Sabotage von Außen
Ein Saboteur könnte auch als unberechtigter versuchen in die MSFEE einzudringen.
==== Gegenmaßnamen
Sicherheitsrichtlinie: 5
Die Überwachungsdaten liegen Vollverschlüsselt vor, außerdem ist das System in seiner Standardkonfiguration stromlos, und wird nur bei Einspielung neuer Daten oder dem Abruf der Überwachungsdaten durch staatliche Organe für die Dauer des Vorgangs aktiviert.
Heiße und Kalte Angriffe werden dadurch stark erschwert. Der Raum wird schall- und funkisoliert, so dass unberechtigtes Abgreifen der Überwachungsdaten während eines authorisierten Vorganges erschwert wird.
=== Angriffe ohne physischen Zugang zu den Komponenten
Zwischen der MSFEE und dem Kernnetz oder dem Internet existiert eine Luftlücke. Angriffe ohne physischen Zugang sind somit ausgeschlossen.
= Schutz gegen Störungen
== INP
Bei Störung des INP ist die Netzwerkanbindung aller Nutzenden beeinträchtigt. Dies ist ein kritisches Szenario, das besonderer Schutzmaßnahmen bedarf.
=== Angriffe ohne physischen Zugang zu den Komponenten
==== Um den INP zu dauerhaft zu stören, abzuschalten oder fremdgestuert zu verwenden, muss ein Angreifer Zugang zu den Funktionen des Gerätes erhalten. Hier gilt dasselbe wie für Angriffe auf Fernmeldedaten.
==== Aus dem Internet kann der INP Ziel von Angriffen durch extrem zahlreiche Anfragen (AdezA) werden. Gegen diese können wir uns nur bedingt schützen. Durch redundante Anbindungen um große Bandbreite lässt der Aufwand für eine derartige Störung stark erhöhen. Gleichzeitig ist das Risiko, eines solchen Angriffs eher gering und hinterlässt über die Dauer des Angriffes hinaus keine nachhaltigen Schäden. Die Einschränkung der Verbindungsqualität wärend eines sochen Angriffsjedoch auf ein Minimum zu reduzieren, lassen sich, auch in Abspreche mit weiteren Dienstleistern, Verbindungen von bestimmten Adressbereichen unterbinden.
== Kernnetz
Da ein ein größerer Ausfall des Kernnetzes auch einen größeren Ausfall, der über es zur Verfügung gestellten Dienstleistung nach sich ziehen würde, ist ein Schutz gegen Störungen relevant.
=== Physische/Terroristische Angriffe
TODO
=== ohne physischen Zugang zu den Komponenten
==== Um das Kernnetz dauerhaft zu stören, abzuschalten oder fremdgestuert zu verwenden, muss ein Angreifer Zugang zu den Funktionen eines Gerätes des Kernnetzes erhalten. Es gilt dasselbe wie für Angriffe auf Fernmeldedaten.
==== Um eine verübergehende Störung des Kernnetzes zu erreichen wäre ein Angriff durch extrem zahlreiche Anfragen denkbar, bei dem die Geräte durch zuviele Anfragen überlastet werden und vorübergehend nicht reagieren.
Als Gegenmaßnahme verhindert das netzwerktrennende Sicherheitselement Verbindungen zu Komponenten des Kernnetz aus dem Internet und dem kundenseitigen Netz.
== ENP
Bei Störung des ENP ist die Netzwerkanbindung eines einzelnen Nutzenden beeinträchtigt. Dies ist zu vermeiden, bedeutet aber nur geringen Schutzbedarf.
=== Sicherung gegen physische/terroristische Angriffe
Um den ENP Funktionsunfähig zu machen sind viele Angriffsszenarien denkbar, vom einfachen Eindringen und gezielt Zerstören bis zu einem vollständigen Angriff, bei welchem Brandsätze und/oder Explosivstoffe zur Zerstörung des Standpunkts eingesetzt werden.
==== Gegenmaßnahme
Sicherheitsrichtlinie 6
Es wird nicht versucht die Zerstörung zu verhindern, sondern eine schnelle Wiederherstellung der Funktionalität, indem ein ständiger Vorrat an Ersatz-ENPs gehalten wird, aus dem zerstörte ENPs innerhalb eines Werktages ersetzt werden können.
=== Angriffe ohne physischen Zugang zu den Komponenten
==== Um den ENP zu dauerhaft zu stören, abzuschalten oder fremdgestuert zu verwenden, muss ein Angreifer Zugang zu den Funktionen des Gerätes erhalten. Es gilt dasselbe wie für Angriffe auf Fernmeldedaten.
==== Um eine verübergehende Störung des ENP zu erreichen wäre ein Angriff durch extrem zahlreiche Anfragen denkbar, bei dem das Gerät durch zuviele Anfragen überlastet wird und vorübergehnd nicht reagiert.
Als Gegenmaßnahme verhindert das netzwerktrennende Sicherheitselement Verbindungen zum ENP aus dem Internet und dem kundenseitigen Netz.
== Netzwerküberwachung
=== Angriffe ohne physischen Zugang zu den Komponenten
== MSFEE
Auch wenn der Betrieb einer MSFEE für den Netzbetrieb vollkommen unbedeutend ist, ist der Nichtbetrieb mit hohen Geldstrafen bewehrt, wir sind also gezwungen die MSFEE gegen Störungen zu sichern.
=== Sicherung gegen physische/terroristische Angriffe
Ein Angreifer könnte versuchen durch physische gewalt, Brand- oder Sprengsätze die MSFEE zu beschädigen oder zu zerstören.
Insbesondere die linke Szene Leipzigs, welche vom Verfassungsschutz als gefährlichste Deutschlands eingestuft wird, könnte Motivation haben sich gegen diese Vollüberwachung gewaltsam zur Wehr zu setzen.
Da die Vorratsdatenspeicherungs und Mindestspeicherfristgesetze allerdings auch breiten wiederspruch aus der gesamten Bevölkerung erfahren, ist dies wahrscheinlich nicht die einzige Gruppierung, welche eine Angriffsmotivation haben könnte.
Wir halten aus den genannten Gründen dieses Angriffsszenario für wahrscheinlich.
==== Gegenmaßnahmen
Sicherheitsrichtlinien: 6, 7
Als Gegenmaßnahme werden besonders verstärkte Türen, in sowohl den Räumen, als auch den Technikschränken und ein stilles bewegungsaktiviertes Alarmsystem eingesetzt.
Des weiteren werden die Daten 3-fach redundant gespeichert, und es werden die Technischen Geräte für eine vollständige MSFEE auf Vorrat gehalten, um zerstörte Komponenten ohne Verzögerung durch Lieferzeiten ersetzen zu können.
=== Angriffe ohne physischen Zugang zu den Komponenten
Zwischen der MSFEE und dem Kernnetz oder dem Internet existiert eine Luftlücke. Störungen ohne physischen Zugang sind somit ausgeschlossen.
= Gesamtsystemische Analyse
== Sabotage von Innen
Für eine Sabotage von Innen muss ein Saboteur in die Organisation eingeführt werden.
Dieser könnte zwei Ziele verfolgen, direkte Sabotage der operativen Systeme, oder Lähmung der Organisation.
Reudnetz w.V. ist in seiner Organisationsstruktur als Verein mit offenen Anmeldungen gegenüber der Einführung von Saboteuren besonders gefährdet.
Zur direkten Sabotage muss der Saboteur Zugang zu Zugangsdaten zu den Operativen Systemen erlangen.
Dies wird verhindert, indem diese Zugangsdaten nur einer sehr begrenzten Personengruppe zugänglich gemacht werden, diese nur erweitert wird, wenn es aufgrund des Arbeitsaufwandes unabdingbar notwendig ist und alle Zugangsdaten ausgetauscht werden, sobald eine der berechtigten Personen ausgetauscht wird.
Im April 2016 beträgt die Größe der berechtigten Personengruppe Zwei, in Zahlen 2 Personen.
Zur indirekten Sabotage durch lähmung der Organisation ist es für den Saboteur ausreichend an Organisationstreffen und Mitgliederversammlungen teilzunehmen, wozu er bereits durch eine simple Mitgliedschaft berechtigt ist.
Die Gegenmasnahme setzt an der Tatsache an, dass das Verhalten des Saboteurs sich zumindest subtil von dem eines konstruktiven Mitglieds unterscheiden muss. Sollte irgend einem Teilnehmer während einer Mitgleiderversammlung oder eines Organisationstreffens ein solches Verhalten auffallen, wird dieses einem Vorstandsmitglied gemeldet, welches dann Ermittlungen einleitet. Dieses Verfahren ist in der Geschäftsordnung geregelt.
Die Mitglieder werden basierend auf Geheimdienstdokumenten über sabotierende Verhaltensmuster aufgeklärt.
== Angriffe ohne physischen Zugang zu den Komponenten
Abschlussbemerkung
Wir sind überzeugt, durch diese Maßnahmen das verbleibenden Restrisiko auf ein akzeptables Maß zu reduzieren. Besonders hohe Anforderungen stellt wir an ein ausgeprägtes Fehlerbewusstsein aller bei uns tätigen Technikerinnen. da gerade Fehleinschätzugen und Fahrlässigkeit eines der am schwierigsten zu bewertenden Sicherheitrisiken darstellen. Durch Aufklärung bezüglich der Auftretenden Risiken und Probleme h
======================================================================
Drunter: Draft, Drüber: Done
======================================================================
Gliederung:
schutzziel -> objekt -> angriffszenario
Schutzobjekte
Internetseitiger Netzabschlusspunkt
===== Schutzziele =====
==== Schutz des Fernmeldegeheimnisses ====
Erlangt ein Angreifer Kontrolle über einen INP so kann er den gesamten unverschlüsselten Internetverkehr aller Nutzenden mitlesen und manipulieren. Schutzbedarf.
==== Schutz Personenbezogener Daten ====
Der INP verarbeitet keine personenbezogenen Daten.
==== Schutz gegen Störungen ====
Bei Störung des INP ist die Netzwerkanbindung aller Nutzenden beeinträchtigt. Dies ist ein kritisches Szenario, das besonderer Schutzmaßnahmen bedarf.
==== Schutz gegen Nutzung als Angriffsvektor ====
Erlangt ein Angreifer Kontrolle über den INP so kann er diesen verwenden, um auf andere Komponenten des Kernetzes störend oder manipulativ einzuwirken. Genauso kann er den INP als Angriffswerkzeug für weitere Ziele im Internet verwenden. Schutzbedarf.
===== Sicherung gegen Störung
Aus dem Internet kann der INP Ziel von Angriffen durch extrem zahlreiche Anfragen (AdezA (nicht DDOS?)) werden. Gegen diese können wir uns nur bedingt schützen. Durch redundante Anbindungen um große Bandbreite lässt der Aufwand für eine derartige Störung stark erhöhen. Gleichzeitig ist das Risiko, eines solchen Angriffs eher gering und hinterlässt über die Dauer des Angriffes hinaus keine nachhaltigen Schäden. Die Einschränkung der Verbindungsqualität wärend eines sochen Angriffs ist jedoch mit [] auf ein Minimum zu reduzieren.
===== Sicherung gegen Fremdkontrolle
Auf dem INP, läuft eine auf die Anwendung zugeschnittene Softwareauswahl, die über Signaturen eindeutig für Sicherheitsaudits verfügbarem Quellcode zugeordnet werden kann. Durch einen großen Umfang an Software ist auch die Anzahl an möglichen Fehlerquellen und Angriffvektoren groß. Eine Gegenmaßnahme stellt die Beschränkung auf notwendige Programme dar, die stets mit aktuellen Sicherheitsaktualisierungen versorgt werden. Durch ein Netzwerkstrennendes Datensicherheitselement werden mögliche Zugriffe auf das Kernnetz und die darin enthaltenen Geräte gesteuert und reglementiert. Desweiteren werden einzelne Anwendungen, soweit dies möglich ist, in unabhängige Virtuelle Server ausgelagert um manipulierter Software keinen Zugriff auf weitere Anwendungen zu geben.
Endkundenrouter
Kernnetz
VDS-Einrichtung
Hacker:
* Störungen des Netzwerkes
* Aneignung schützenswerter Daten
personenbezogen
Fernmeldegeheimnis
* Missbräuchliche Nutzung der Netzinfrastruktur zum Angriff weiterer Ziele (Vektor)
* Manipulation des Datenverkehrs
Naturkatastrophen:
Die Bedrohungen der Systemsicherheit durch Naturkatastrophen setzen sich ausschließlich mit den am Betriebsort des Netzwerkes realistisch auftretenden Szenarien auseinander.
* Starkregenereignisse
Alle
Alle Komponenten sind mindesten 1m über dem Boden montiert. In Räumen auf Bodenniveau sind Pumpen vorhanden, um eindringendes Wasser schnellstmöglich zu entfernen.
* gefrierender Schneeregen
Kernnetz
* Blitzschlag
Vorallem ENP, Kernnetz
* Stromausfall
Alle
* Temperaturextrema
ENP, Kernnetz
Baumaßnahmen:
* Störung durch Baumaßnahmen
###Bearbsichtigte Veränderungen am Netz durch Baumaßnahmen.
Änderungen am Netz können zu Störung einzelner Teile oder des geamten Netzes führen.
Um dem entgegenzuwirken sind alle kritischen Systemkomponenten redundant ausgeführt und werden nacheinander umgebaut. Dadurch lassen sich Ausfallzeiten reduzieren oder vermeiden.
### Unbeasichtigte Störungen durch Baumaßnahmen dritter
Da Teile unserer Infrastruktur an Orten verbaut sind, an denen auch andere Aktuere tätig werden, sind Ausfälle durch Fehler während Baumaßnahmen dieser Akteure potentielle Sicherheitsrisiken.
Alle unser Infrastuktur ist deutlich gekennzeichnet und physisch möglichst stark von anderen Strukturen separeriert. Sollte es trotzdem zu Ausfällen kommen, werden diese durch die Netzwerküberwachung erkannt und durch die redundante Ausführung der Netzwerkkomponenten kompensiert. Ein Vorrat an Geräten der Netzwerkinfrastruktur macht ein schnelles Ersetzen möglich.
Gesamtsystematische Betrachtungen
Referenzen
Abschlussbemerkung