Risikostufen für Schwachstellen

Im Rahmen des CERT Verbund wurden in verschiedenen Projekten die Grundlagen für eine enge Kooperation deutscher CERTs geschaffen. Kernstück einer Infrastruktur zur gemeinsamen Erstellung und Verarbeitung von Security Advisories ist das Deutsche Advisory Format (DAF), ein speziell auf die Belange der deutschen CERT-Landschaft zugeschnittenes Austauschformat für Security Advisories, welches von CERT-Bund, DFN-CERT, PRESECURE und Siemens-CERT entwickelt und gepflegt wird. Darin wurde ein Klassifizierungsschema zur Schwachstellenbewertung vereinbart, das im Folgenden näher beschrieben wird.

 

Klassifizierungsschema für Schwachstellen

Der Abbildung 1 ist die schematische Darstellung des Schemas zu entnehmen. Eine gemeinsame Bewertung des Risikos einer Schwachstelle durch eine Gruppe von kooperierenden CERTs kann nur von allgemeiner Natur sein, da die lokalen Gegebenheiten der Zielgruppe in den meisten Fällen von CERT zu CERT unterschiedlich sein werden. Aus diesem Grund wird in DAF ein zweistufiger Prozess zur Schwachstellenbewertung verwendet. Im ersten Schritt werden zunächst die klientelspezifischen Faktoren ausgeklammert. In dieser Phase kann z.B. ein CERT eine vorgenommen Einschätzung eines anderen CERTs übernehmen oder zur Qualitätskontrolle mit eigenen Bewertungen vergleichen. Unterschiede in der Einschätzung des aktuellen Schadenspotenzials sind ein Indikator dafür, dass eventuell bestimmte Fakten übersehen oder in ihrer Relevanz anders eingeschätzt wurden. Erst in einem zweiten Schritt wird die allgemeine Bewertung mit den klientelspezifischen Faktoren zusammengeführt, um dem Empfänger einer Sicherheitsmeldung die Einstufung zu erleichtern. Als Grundlage für die Bewertung von Schwachstellen dienen Informationen über den Status einer Schwachstelle, Art ihrer Ausnutzung, die durch die Ausnutzung erzielbare Schadenswirkung sowie konkrete Angriffsvoraussetzungen.

 

Abbildung 1: Klassifizierungsschema für Schwachstellen

Klassifizierungsschema für Schwachstellen

 

Ermittlung des Eintrittspotenzials

Zur Ermittlung des Eintrittspotenzials werden grundsätzlich zwei Dimensionen in die Bewertung mit einbezogen: der Status der Schwachstelle sowie die Art der Schwachstelle (vgl. Abb. 1). Der Status einer Schwachstelle durchläuft einen Lebenszyklus, dessen vier Zustände nachfolgend exemplarisch beschrieben werden:

     
  • theoretisch
    In dieser Phase wird z.B. ein (Programmier-)Fehler entdeckt, der eventuell zu einem Sicherheitsloch führen kann.  
  •  
  • ausnutzbar
    Erfolgt ein Proof of Concept einer Sicherheitslücke, so spricht DAF von einer ausnutzbaren Schwachstelle.  
  •  
  • aktiv
    Gibt es Anzeichen dafür, dass die Schwachstelle bereits ausgenutzt wird, so handelt es sich um eine aktive Schwachstelle (es ist beispielsweise ein Exploit verfügbar).
  •  
  • exploit veröffentlicht
    Diese Phase ist erreicht, wenn für die Schwachstelle ein Angriffstool veröffentlicht wurde. Es wird dann von einer Schwachstelle mit veröffentlichem Exploit gesprochen. Insgesamt sinkt der Angriffsaufwand.

 

Abbildung 2 : Lebenszyklus einer Schwachstelle

 

Die Dimension der Art der Ausnutzung bildet die unterschiedlichen Arten ab, eine Schwachstelle ausnutzen zu können. Man unterscheidet hier manuelle, automatisierte oder eine selbstreplizierend Ausnutzung. Bei der manuellen Ausnutzung muss der Angreifer nicht-automatisierbare Schritte ausführen, um den Angriff auf die Gegebenheiten des Angriffsziels anzupassen. Automatisierte Angriffe hingegen erlauben es, dass eine Schwachstelle sozusagen auf Knopfdruck ausgenutzt werden kann. Selbstreplizierende Angriffe schließlich können z.B. durch Wurmprogramme und Bots durchgeführt werden, die nach einem erfolgreichen Angriff ein System übernehmen bzw. nutzen, um darüber weitere Systeme anzugreifen.

Aus den oben beschriebenen Dimensionen läßt sich ein Eintrittspotenzial (Dringlichkeit) ermitteln und wie folgt auf einer entsprechenden Skala von sehr gering bis sehr hoch abbilden. Die folgende Tabelle zeigt einen Überblick über die verschiedenen Kombinationen und enthält Vorschläge zur Ermittlung der Dringlichkeit bzw. des Eintrittspotenzials einer Schwachstelle.

 

                                                       
Dringlichkeit / Eintrittspotenzial
Eintrittspotenzial Verbreitungsmethode
Status der Schwachstelle manuellautomatischreplizierend
theoretisch sehr geringgeringmittel
ausnutzbar geringmittelhoch
aktivmittelhochhoch
Exploit veröffentlicht mittelhochsehr hoch

 

Ermittlung des Schadenspotenzials

Die Bewertung des Schadenspotenzials erfolgt in direkter Abhängigkeit von der durch die Ausnutzung der Schwachstelle erzielten Auswirkung. Die notwendigen Angriffsvoraussetzungen für ein erfolgreiches Ausnutzen einer Sicherheitslücke werden bei dieser Herangehensweise als gegeben (worst case - Ansatz) angesehen. Zur Bewertung des Schadenspotenials betrachtet DAF, welche Sicherheitsziele verletzt werden können und in welchem Kontext dies geschehen kann. Neben den häufig aus der Literatur bekannten Sicherheitszielen: Integrität, Vertraulichkeit und Verfügbarkeit werden hier zusätzlich Verletzungen in Bezug auf die Systemkontrolle (teilweise oder vollständige Kontrolle durch einen Angreifer) sowie die Umgehung von Sicherheitsdiensten - z.B. durch das Außerkraftsetzen einer Firewall - betrachtet. Sicherheitsverletzungen können auftreten in Bezug auf:

  • Person (Benutzer)
  • Dienst (Anwendung)
  • IT-System
  • Netzwerk

Die folgende Tabelle gibt einen Überblick über mögliche Kombinationen und enthält resultierend eine Bewertung des jeweiligen Schadenspotenzials.

 

                                                                                           
Schadenspotenzial
Schadenspotenzial Kontext
VerlustBenutzerDienstSystemNetzwerk
Übernahme der Kontrolle hochhochsehr hochsehr hoch
Übernahme von Berechtigungen mittelmittelhochhoch
Integrität geringmittelhochhoch
Vertraulichkeit sehr geringgeringmittelhoch
Verfügbarkeit sehr geringgeringmittelhoch
Umgehung von Sicherheitsmaßnahmen sehr geringgeringmittelhoch

 

Ermittlung des aktuellen Schadenspotenzials (Risikos)

Das aktuelle Schadenspotenzial berücksichtigt nun, in Abgrenzung zum oben beschriebenen allgemeinen Schadenspotenzial die in Abb.1 dargestellte Kombination der Faktoren "Eintrittspotenzial" und "Schadenspotenzial". In unseren CERT-Bund Veröffentlichungen wird die klientel-unabhängige Bewertung als "Risikostufe" angegeben.

 

                                                                                             
aktuelles Schadenspotenzial
aktuelles Schadenspotenzial Schadenspotenzial
Eintrittspotenzial sehr geringgeringmittelhochsehr hoch
sehr gering sehr geringsehr geringgeringgeringmittel
geringsehr geringgeringgeringmittelhoch
mittelgeringgeringmittelhochhoch
hochgeringmittelhochhochsehr hoch
sehr hoch mittelhochhochsehr hochsehr hoch

 

Ermittlung des klientel-spezifischen Risikos

Liegen einem CERT detaillierte Informationen über die örtlichen Gegebenheiten beim Empfänger einer Sicherheitsmeldung vor, kann eine zielgruppenspezifische Bewertung des Risikos erfolgen. Unter Berücksichtigung der Angriffsvoraussetzungen und der eingesetzten IT-Systeme kann die Wahrscheinlichkeit für einen erfolgreichen Angriff beim Empfänger abgeschätzt werden. Zusammen mit der durch DAF eingeführten Messgröße -- aktuelles Schadenspotenzial -- kann das spezifische Risiko, bezogen auf eine Schwachstelle, abgeleitet werden.

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.