Was ist ein Bedrohungsmodell?

Kurt Baker - Januar 18, 2023

Was ist ein Bedrohungsmodell?

Man kann den Eindruck bekommen, dass es jeden Tag eine neue IT-Sicherheitsbedrohung gibt: Hacker, DoS-Angriffe, Ransomware, unberechtigte Weitergabe von Informationen usw. Die Frage ist: An welcher Stelle soll Ihr Unternehmen anfangen? Und wann ist es ausreichend geschützt? Bedrohungsmodellierung kann Ihnen dabei helfen.

Ein Bedrohungsmodell identifiziert und priorisiert Risiken. Obwohl sie oft mit Informationstechnologie in Verbindung gebracht werden, können Bedrohungsmodelle zur Bestimmung zahlreicher Arten von Risiken dienen. Mit einem solchen Modell können zum Beispiel Hurrikans als Risiko für Grundstückseigentümer im Südosten der USA identifiziert werden. Nach der Ermittlung der Risiken hilft das Bedrohungsmodell, diese zu priorisieren und die Kosten für die Risikominimierung und die dadurch entstehenden Vorteile abzuwägen. Ein Bedrohungsmodell, das beispielsweise bessere Fenster und sturmsicheren Fensterschutz gegeneinander abwägt, käme möglicherweise zu dem Schluss, dass der Fensterschutz das Risiko stärker verringert.

Im IT-Bereich dient ein Bedrohungsmodell dazu, ein Profil möglicher Angreifer anzulegen und zudem die wahrscheinlichsten Angriffswege sowie die Hard- und Software zu identifizieren, die am ehesten angegriffen wird. Danach können die Verteidiger ermitteln, welche Sicherheitskontrollen nötig sind, um das System vor Bedrohungen zu schützen, und anhand der jeweiligen Kosten und Vorteile über die Implementierung entscheiden.

Die Zwecke von Bedrohungsmodellierungen

Die Bedrohungsmodellierung bewertet Bedrohungen und Risiken für Computersysteme, berechnet die Wahrscheinlichkeit, dass Bedrohungen erfolgreich eindringen können, und beurteilt, wie gut das Unternehmen auf die jeweiligen identifizierten Bedrohungen reagieren kann.

1. Identifizierung von Sicherheitsanforderungen und Schwachstellen

Im Rahmen des Prozesses zur Bedrohungsmodellierung müssen Sicherheitsanforderungen und -schwachstellen identifiziert werden. Sicherheitsschwachstellen sollten am besten von externen Experten bestimmt werden. Häufig ist ein externer Experte der kostengünstigste Weg zur Bewertung von Sicherheitskontrollen.

Visualisieren Sie zunächst mithilfe eines Diagramms die Datenflüsse innerhalb des Systems: wo die Daten ins System gelangen, wie darauf zugegriffen wird und wer auf sie zugreifen darf. Erstellen Sie eine Liste aller Anwendungen im System und identifizieren Sie die Systemarchitektur.

Ermitteln Sie dann mithilfe der Bedrohungsmodellierung potenzielle Bedrohungen für das System. Gibt es zum Beispiel Terminals im öffentlichen Raum, die nicht durch ein Kennwort geschützt sind? Befindet sich der Server in einem frei zugänglichen Raum? Sind vertrauliche Daten verschlüsselt?

2. Quantifizierung der Gefährlichkeit von Bedrohungen und Schwachstellen

Ein normales IT-System ist möglicherweise anfällig für Tausende, wenn nicht gar Millionen potenzieller Bedrohungen. Unternehmen können es sich nicht leisten, alle Bedrohungen gleich zu behandeln oder alle zu ignorieren. Ebenso wenig können sie es sich leisten, jede potenzielle Bedrohung als existenzgefährdend zu behandeln. Da Geld und Zeit begrenzt sind, müssen ernsthafte Bedrohungen Vorrang vor weniger gefährlichen Bedrohungen haben.

Das Common Vulnerability Scoring System (CVSS) stuft potenzielle Bedrohungen auf einer Skala von eins bis zehn ein und berücksichtigt dabei den Schweregrad und die Ausnutzungshäufigkeit einer Schwachstelle seit ihrer Entdeckung. Ein CVSS-Wert von 10 weist auf die schwerwiegendste Bedrohung hin, ein CVSS-Wert von 1 wiederum auf die schwächste Bedrohung. Mit dem CVSS-Bewertungssystem haben Sicherheitsexperten Zugang zu zuverlässigen Bedrohungsanalysen, die von Dritten durchgeführt wurden.

Der bloße CVSS-Wert berücksichtigt nicht den Kontext einer Schwachstelle oder ihren Platz innerhalb des IT-Systems. Zudem kann der Schweregrad einer Schwachstelle von Unternehmen zu Unternehmen unterschiedlich sein.

3. Priorisierung der Behebungsmethoden

Wenn feststeht, welchen Schweregrad die Schwachstellen für Ihr Unternehmen haben, können Sie bestimmen, welche zuerst behoben werden müssen. Bei diesem Prozess, der als Bedrohungsanalyse bezeichnet wird, werden die Schwachpunkte im System und die potenzielle Gefahr durch Angriffe identifiziert, die durch die Ausnutzung der Schwachstellen entsteht. Die kritischsten Schwachstellen müssen möglicherweise sofort mit Sicherheitskontrollen abgesichert werden, während die harmloseren Schwachstellen eventuell ignoriert werden können, da sie wahrscheinlich nicht ausgenutzt werden – oder im Falle einer Ausnutzung keine große Gefahr besteht.

WEITERE INFORMATIONEN

Erfahren Sie auf unserer CrowdStrike Falcon® Insight XDR-Produktseite, wie die Lösung die Bedrohungssuche und -analyse beschleunigen kann. Mehr erfahren: CrowdStrike Falcon® Insight XDR: Schutz über Endgeräte hinaus >

Wie sollte eine Bedrohungsmodellierung durchgeführt werden?

Es gibt mehrere Ansätze zur Bedrohungsmodellierung. Um die passende Herangehensweise zu wählen, ist ein genaues Verständnis dieses Prozesses erforderlich.

Grundlegendes zum Prozess der Bedrohungsmodellierung

Die Bedrohungsmodellierung ermittelt die Arten von Bedrohungen für eine Software-Anwendung oder ein Rechnersystem. Idealerweise wird die Bedrohungsmodellierung während der Entwicklungsphase durchgeführt, sodass Schwachstellen beseitigt werden können, bevor die Software oder das System in der Produktionsumgebung eingesetzt wird. Änderungen an der Software, Infrastruktur und Bedrohungsumgebung stellen eine weitere günstige Gelegenheit dar, Bedrohungsmodelle zu überarbeiten.

Meist besteht eine Bedrohungsmodellierung aus den folgenden fünf Schritten:

  1. Festlegen der Ziele für die Analyse
  2. Erstellung eines visuellen Modells des Systems, das analysiert werden soll
  3. Ermittlung der Bedrohungen für das System mithilfe des visuellen Modells
  4. Ergreifen von Maßnahmen zum Beheben der Bedrohungen
  5. Überprüfung, ob Bedrohungen minimiert wurden

Die Unterschiede der Herangehensweisen zur Bedrohungsmodellierung

Bei der Bedrohungsmodellierung werden Bedrohungen identifiziert und der Fokus dabei entweder auf potenzielle Angriffe, System-Assets oder auf die eigentliche Software gesetzt. Die assetorientierte Bedrohungsmodellierung konzentriert sich auf die System-Assets und die Folgen für das Unternehmen durch den Verlust der jeweils betroffenen Assets. Dabei geht es zum Beispiel darum, wie es sich auf das Unternehmen auswirken würde, wenn ein Hacker den Zugriff auf das Verwaltungssystem für Online-Bestellungen blockieren würde. Die Antwort ist möglicherweise, dass dies schwerwiegende Auswirkungen hätte. Dagegen hätte ein Virus, das eine Anwendung zur Erfassung des Status ortsfester Assets infiziert, kaum geschäftliche Folgen, da der Status dieser Assets auch auf Papier festgehalten wird.

Die angriffsorientierte Bedrohungsmodellierung identifiziert die Bedrohungen für ein System, die die größten Erfolgschancen haben. Diese Bedrohungsmodellierung fragt beispielsweise, wie wahrscheinlich es ist, dass Hacker das Verwaltungssystem für Online-Bestellungen erfolgreich mit einem DoS-Angriff lahmlegen. Dabei könnte herauskommen, dass die Wahrscheinlichkeit dafür sehr hoch ist, da das System eine bekannte Schwachstelle besitzt.

Bei der systemorientierten Bedrohungsmodellierung geht es darum, vor der Bewertung von Bedrohungen zunächst das zu modellierende System zu verstehen. Am Anfang könnte hier zum Beispiel die Frage stehen, wo die Daten im Online-Bestellsystem gespeichert sind und wie bzw. von wo auf das System zugegriffen wird.

Wahl der besten Methodik zur Bedrohungsmodellierung

Die passende Herangehensweise zur Bedrohungsmodellierung für Ihr System hängt davon ab, welche Bedrohungsarten Sie modellieren möchten. Folgendes sollten Sie dabei berücksichtigen:

  1. Die Arten von Bedrohungen und Risiken, die bei anderen Unternehmen in der Branche häufig auftreten
  2. Die Zahl und Kompetenz Ihrer Mitarbeiter
  3. Die verfügbaren finanziellen und sonstigen Ressourcen
  4. Ihre Risikotoleranz

CROWDSTRIKE GLOBAL THREAT REPORT 2022

Jetzt herunterladen und mehr über die wichtigsten Ereignisse und Bedrohungen der Cybersicherheit erfahren.

Jetzt herunterladen

Beispiele für Frameworks zur Bedrohungsmodellierung

Dies sind einige Beispiele der beliebtesten Methodiken zur Bedrohungsmodellierung:

Attack Trees

Attack Trees (engl. für „Angriffsbäume“) basieren auf Entscheidungsbaum-Diagrammen. Die Wurzel oder der Fuß des Baums repräsentiert das Ziel der Angreifer. Die Äste und Blätter des Attack Tree stellen die Wege zum Erreichen des Ziels dar. Mit Attack Trees lässt sich erkennen, dass Angreifer ihr Ziel häufig auf mehreren Wegen erreichen können.

STRIDE

STRIDE wurde von Microsoft entwickelt, um systematisch eine breite Palette an potenziellen Bedrohungen für ihre Produkte zu identifizieren. STRIDE ist eine Abkürzung für sechs potenzielle Bedrohungen:

  • Spoofing identity (Identität fälschen): Ein Angreifer kann Zugriff auf ein System erlangen, indem er sich als berechtigter Systembenutzer ausgibt.
  • Tampering with data (Daten manipulieren): Ein Angreifer kann ohne Berechtigung Daten im System verändern.
  • Repudiation (Leugnen): Die Angreifer übernehmen keine Verantwortung für eine Aktion, was wahr ist sein kann oder auch nicht.
  • Information disclosure (Veröffentlichung von Informationen): Die Angreifer geben Informationen an unbefugte Personen weiter.
  • Denial-of-Service (DoS): Die Angreifer überlasten die Ressourcen für die Bereitstellung von Services an legitime Benutzer.
  • Elevation of privilege (Erweiterung der Zugriffsrechte): Die Angreifer führen Aktionen durch (z. B. Zugriffe auf vertrauliche Daten), zu denen sie nicht berechtigt sind.

PASTA

PASTA steht für Process for Attack Simulation and Threat Analysis (Prozess zur Angriffssimulation und Bedrohungsanalyse) und betrachtet die Anwendung aus der Sicht eines Angreifers. Dieser Prozess besteht aus sieben Schritten:

  1. Ermittlung der Unternehmensziele, der Sicherheitsanforderungen an das System und der Auswirkungen verschiedener Bedrohungen auf das Unternehmen
  2. Ermittlung des technischen Umfangs der Umgebung sowie der Abhängigkeiten zwischen der Infrastruktur und der Software
  3. Grafische Darstellung der Datenflüsse innerhalb der Anwendung
  4. Simulation von Angriffen auf das System
  5. Zuordnung von Bedrohungen zu bestehenden Schwachstellen
  6. Erstellung von Attack Trees
  7. Analyse der daraus entstehenden Risiken und Entwicklung kostengünstiger Gegenmaßnahmen

Trike

Trike nutzt Bedrohungsmodelle, um Risiken zu verwalten, anstatt diese zu beseitigen. Dabei wird die Risikotoleranz für verschiedene Asset-Typen festgelegt. Trike zeigt für alle System-Assets und Systembenutzer die Benutzerzugriffsrechte für die jeweiligen Assets (Erstellen, Lesen, Aktualisieren und Löschen) und gibt an, ob der Benutzer die jeweilige Aktion immer, zeitweise oder niemals ausführen kann.

VAST

Visual, Agile and Simple Threat (VAST) ist ein automatisierter Prozess zur Bedrohungsmodellierung, der sich auf Anwendungsbedrohungen oder operative Bedrohungen anwenden lässt. Um Anwendungsbedrohungen zu modellieren, stellt VAST die Bedrohung gegenüber der Systemarchitektur dar. Um operative Bedrohungen zu modellieren, stellt VAST die Bedrohung aus Sicht des Angreifers dar.

CVSS

Das Common Vulnerability Scoring System (CVSS) ordnet jeder Schwachstelle einen Schweregradwert zu, der die eigentliche Schwachstelle, ihre zeitliche Entwicklung und den Sicherheitsstatus des Unternehmens kombiniert.

WEITERE INFORMATIONEN

Lesen Sie unseren Artikel über Schwachstellenverwaltung und erfahren Sie, wie Schwachstellen anhand des CVSS-Standards eingestuft und kategorisiert werden. Weitere Informationen >

INFORMATIONEN ZUM AUTOR

Kurt Baker ist Leiter des Produkt-Marketings für Falcon Intelligence bei CrowdStrike. Er hat mehr als 25 Jahre Erfahrung in leitenden Positionen und sich dabei auf aufstrebende Software-Firmen spezialisiert. Seine Expertise erstreckt sich auf Cyberbedrohungsdaten, Sicherheitsanalysen, das Sicherheitsmanagement und den Schutz vor komplexen Bedrohungen. Bevor er zu CrowdStrike kam, hat Kurt Baker in technischen Positionen bei Tripwire gearbeitet und mit Partnern Startups in verschiedenen Märkten gegründet – von Unternehmenssicherheitslösungen bis hin zu mobilen Geräten. Er besitzt einen Abschluss als Bachelor of Arts der University of Washington und wohnt jetzt in Boston (Massachusetts).