1Einführung: Die Erweiterung des Fokus bei der Untersuchung von Informationssicherheit
Der Schutz von IT-Systemen1 ist ein Anliegen, nicht erst seit Mitte des 20. Jahrhunderts Computer langsam ihren Einzug in die Geschäftswelt fanden. Sicherheit bezog sich zu-nächst darauf, Rechner und deren Peripherie in einer Umgebung mit beschränktem Zutritt unterzubringen. Der Ausbau von Sicherheitsmaßnahmen orientierte sich schon zu damaliger Zeit an der technologischen Entwicklung der Informationssysteme: Als Stand-Alone-Systeme von mehreren Anwendern verwendet wurden, erfolgte eine Reglementierung über Zugangs- und Zugriffskontrollmechanismen. Als schließlich die vernetzten Systeme aufkamen, wurde auch Netzsicherheit ein Thema (Kemmerer 2001).
Eine erste Zusammenfassung von Sicherheitsmechanismen für Computersysteme erfolgte 1970 im so genannten „Ware Report“ (Ware 1979); die Geheimhaltung dieses Dokuments wurde 1979 aufgehoben. Eine Sammlung von IT-Sicherheitsstandards zur Bewertung und Zertifizierung wurde zwischen 1980 und 1990 unter dem Namen „Color Books“ vom US-Verteidigungsministerium herausgebracht. Von diesen ist insbesondere das sog. Orange Book2 (Department of Defense 1985) von Bedeutung, welches gemeinsam mit anderen regionalen Standards3 in den Common Criteria (Common Criteria 2012) aufgegangen ist.
Bei Betrachtung der Entwicklung der IT-Sicherheit über die vergangenen Jahrzehnte lässt sich also feststellen, dass sich Bestrebungen, IT-Systeme sicherer zu machen, zunächst auf technische Maßnahmen fokussiert haben. Ergänzt wurden diese dann durch organisatorische Maßnahmen wie beispielsweise dem Seperation-of-Duty-Prinzip, welche den Menschen aktiv mit einbeziehen. Dennoch werden Schutzmaßnahmen, deren Entwicklung und Einführung häufig kostenintensiv ist, häufig von Anwendern „als überwiegend negativ und störend empfunden“ (Fox 2003, S. 677). Plakativ gesprochen kann daher durchaus das Folgende behauptet werden: Der Mensch ist von Natur aus bequem und wird technische Verfahren, die ihm umständlich und vor allem sinnlos erscheinen, umgehen wollen. Empfindet er z. B. Mindestanforderungen an die Länge und den Aufbau eines Passworts als übertrieben, so ist anzunehmen, dass er sich dieses beispielsweise auf einem Zettel notieren wird. Im ungünstigsten Falle wird dieser Zettel dann – für jeden sichtbar – am Monitor angebracht sein. Solche oder ähnlich gelagerte Fälle – auch wenn diese auf den ersten Eindruck überspitzt dargestellt wirken sollten – führen das Sicherheitsbestreben einer Organisation somit ad absurdum.
Damit IT-Sicherheit funktionieren kann, ist also die Integration des Menschen unabdingbar. In Bezug auf die IT-Sicherheit kann der Mensch in den folgenden drei Rollen betrachtet werden: Wie bereits im vorangehenden Absatz dargelegt worden ist, kann der Mensch selbst eine Schwachstelle sein. Die damit verbundene Rolle des Sicherheitsrisikos kann sowohl durch ein bewusstes als auch ein unbewusstes Fehlverhalten eingenommen werden. Im ersten Fall wird dem Menschen nicht mehr ein vertrauenswürdiges Verhalten zugestanden, sondern es wird ihm unterstellt, dass er bequem, korrumpierbar, opportunistisch, erpressbar, etc. ist. Er versucht also, sein eigenes (unberechtigtes) Interesse mitunter ohne Rücksicht durchzusetzen. Im organisatorischen Kontext führt ein solches Verhalten zu Konflikten zwischen berechtigten und unberechtigten Interessen, von denen Bedrohungen ausgehen. Insbesondere das bewusste Fehlverhalten gilt nicht nur für den normalen Anwender. Es sind hierbei auch diejenigen Menschen bzw. Organisationen zu bedenken, die hinter der Idee, Entwicklung und Vermarktung eines IT-Produkts stehen und denen bis vor kurzem – also vor Bekanntwerden der globalen Überwachungsaffäre 2013 – noch großes Vertrauen entgegen gebracht wurde (Hof 2014). Das unbewusste Fehlverhalten hingegen wird von mangelndem Sicherheitsbewusstsein (sog. Awareness) verursacht. Menschen mit unzureichend vorhandener Awareness sind somit leichtes Opfer für Angriffe vielfältiger Natur wie z. B. Social-Engineering-Attacken, Phishing, Sabotage, etc.
Die zweite Rolle, die der Mensch einnehmen kann und die gegenteilig zu der oben genannten ersten Rolle ist, ist die des Sicherheitsträgers: Ein Mensch in dieser Rolle weist Awareness auf und bezieht diese bei der Ausführung seiner Tätigkeiten – also im Rahmen des Tagesgeschäfts – mit ein. Beispielsweise ist diese Rolle bei der Umsetzung des Seperation-of-Duty-Prinzips4 erforderlich. Ein Sicherheitsträger kann aufgrund seines Sicherheitsbewusstseins in eine Sicherheitsanalyse mit einbezogen werden. Er tritt also in die dritte mögliche Rolle – die des Kenntnisträgers – ein. Die Kenntnisse eines Menschen in dieser Rolle betreffen dabei nicht nur sicherheitsrelevante Aspekte wie z. B. technische Schwachstellen, sondern umfassen darüber hinaus implizites – also nicht dokumentiertes – Wissen. Die Erfassung und Berücksichtigung dieses Wissens im Rahmen einer Sicherheitsanalyse kann sich wiederum positiv auf die ermittelten Ergebnisse auswirken.
Die Betrachtung einzelner Menschen reicht jedoch noch nicht aus, sondern muss auf die umgebende Organisation ausgeweitet werden, da diese die übergeordnete Geschäftssicht liefert. Der Mensch in der Rolle des Sicherheitsrisikos verhält sich fehl. Ob dies nun mit Vorsatz oder unbewusst geschieht, ist hierbei irrelevant. In beiden Fällen führt das Fehlverhalten in Kombination mit systemseitigen Schwachstellen zu Bedrohungen, welche im schlimmsten Falle die Organisation in der Erreichung ihrer Ziele dermaßen behindert, so dass sie nachhaltig geschädigt wird. Es müssen also auch die übergeordnete Geschäftssicht und die damit verbundenen Geschäftswerte mit in die Untersuchung einbezogen werden.
Die aufgeführten Komponenten – also IT-Systeme, Menschen und die Organisation – bestehen jedoch nicht unabhängig voneinander. Vielmehr stehen sie in Wechselwirkung zueinander, indem z. B. die Organisation den beteiligten Menschen das zu erreichende Ziel vorgibt und ihnen entsprechende Betriebsmittel – zu denen auch die IT-Systeme zu zählen sind – sowie Ablaufpläne zur Verfügung stellt. Eine umfassende Sicherheitsbetrachtung kann also erst dann erfolgen, wenn diese Wechselwirkungen (Dynamik) sichtbar gemacht und berücksichtigt werden. Beispielsweise ist es nicht möglich, Gefährdungen von Protokollabläufen wie dem fairen Aushandeln5 mittels einer statischen Betrachtung sichtbar zu machen. Andere Beispiele, die eine dynamische Betrachtung erfordern, sind das Unterbrechen oder Verzögern von Prozessen, das Auslassen von notwendigen Prozessschritten, das Einfügen schädlicher Prozessschritte, protokollarisch korrekte Man-in-the-Middle-Angriffe, etc.
Aus den genannten Gründen liegt es daher nahe, bei einer IT-Sicherheitsanalyse die Betrachtung von statischen IT-Systemen auszuweiten auf die beteiligten Menschen, die von ihnen genutzten IT-Systeme, die übergeordnete Geschäftssicht und die daraus entstehende Dynamik. Einen Vorschlag, wie mit dieser Herausforderung umgegangen werden kann, soll die vorliegende Arbeit liefern.
2Zielsetzung und Vorgehensweise
In diesem Abschnitt wird zunächst die Problemstellung und somit die Motivation für die vorliegende Forschungsarbeit konkretisiert. Daraus kann eine Reihe von Forschungsfragen abgeleitet werden, welche sich mit Hilfe des gestaltungsorientierten Design-Science-Research nach (Hevner u. a. 2004) beantworten lassen sollen.
2.1Problemstellung / Motivation
Die „klassische Sicht“ der IT-Sicherheit „erlaubt eine Formalisierung eines Sicherheitsproblems in einem abgeschlossenen Modell“ (Grimm 1994); d.h. Sicherheit wurde zunächst ausschließlich innerhalb eines Systems gesucht. Beispielsweise formuliert das 1973 entwickelte Bell-LaPadula-Sicherheitsmodell (Bell u. a. 1973) formal „sichere Systemzustände“ und Zugriffsregeln. Dabei gehen sichere Zustände – das folgende ist die Voraussetzung – unter Einhaltung der spezifizierten Zugriffsregeln immer wieder in sichere Zustände über. IT-Sicherheit wird hier also als „Eigenschaft eines IT-Systems“ (Grimm u. a. 2014, Eckert 2014) verstanden; der Anwendungskontext ist hier also noch nicht berücksichtigt. Da IT-Sicherheit nicht ausschließlich als systeminterner Aspekt verstanden werden soll, erfordert die Durchsetzung von IT-Sicherheit nicht nur die Analyse eines abgeschlossenen Systems, sondern darüber hinaus die Analyse der Anwendungsumgebung (Grimm 1994, S. 10ff.). Die inhaltliche Interpretation von Systemzuständen erfolgt dabei durch ökonomische und gesellschaftliche Argumente. Das Clark-Wilson-Modell (Clark u. a. 1987) berücksichtigte erstmals diese Verbindung zwischen System und Wirklichkeit, indem dort ein nicht-formaler Aspekt hinzugeführt wurde. Dieser repräsentiert die Anwendungsumgebung und beschreibt Verfahren zur inhaltlichen Interpretation der Sicherheitszustände im laufenden Betrieb. Hier kommt also erstmalig der Faktor Mensch6 zum Tragen, da dieser sowohl für die zentrale Kontrolle als auch für die Interpretation verantwortlich ist7. Was das Clark-Wilson-Modell noch nicht zu leisten vermag ist u.a. die Durchsetzung von Sicherheitsanforderungen in offenen Kommunikationssystemen. Hier setzt das Gleichgewichtsmodell nach (Grimm 1994) an: Dieses geht von der Annahme aus, dass es mehrere Systembetreiber und einen offenen – nicht unbedingt vertrauenswürdigen – Kreis von Teilnehmern gibt. Es werden hier also Interessenkonflikte angenommen. Das Gleichgewichtsmodell zielt auf das verantwortliche Handeln der Benutzer in Kooperationen ab. Das Gleichgewichtsmodell ist ein Sicherheitsmodell für verbindliche Kommunikation, das gegenseitige Verpflichtungen der Teilnehmer an fälschungssichere Beweise knüpft, welche auch gegenüber Dritten Gültigkeit haben, also als rechtssicher aufzufassen sind.
Es ist also zu erkennen, dass der Mensch schrittweise in die zuvor aufgeführten Sicherheitsmodelle integriert wurde: Im Rahmen des streng formalen Bell-LaPadula-Sicherheitsmodells wurde IT-Sicherheit als eine rein technische Systemeigenschaft angesehen. Eine Erweiterung um einen nicht-formalen Aspekt nahmen anschließend Clark und Wilson für die Entwicklung ihres Sicherheitsmodells vor. Hier geschieht der Einbezug des Menschen, indem dieser die Verifikation formaler Systemzustände geschlossener Kommunikationssysteme durch inhaltliche Interpretation vornimmt. Das Gleichgewichtsmodell schließlich geht von offenen Kommunikationssystemen aus und forciert eine verbindliche Kommunikation. Es ermöglicht dies, indem es an jeder Stelle im Kooperationsprozess deutlich macht, welche Partei den nächsten Schritt zum Eingehen bzw. Auflösen von Verpflichtungen auszuführen hat und welche Beweismittel der jeweiligen Partei zu welchem Zeitpunkt zur Verfügung zu stellen sind.
Die in dieser Arbeit entwickelte Vorgehensweise betrachtet ebenfalls die verbindliche – d.h. (prozess-) zielorientierte Kooperation in offenen Kommunikationssystemen und setzt somit auf dem Gleichgewichtsmodell nach (Grimm 1994) auf. Hierbei wird der Mensch weiter in den Sicherheitsbegriff integriert, indem er schon bei der Anforderungsermittlung und darüber hinaus in unterschiedlichen Rollen8 mit berücksichtigt wird.
Die Sicherheit eines IT-Systems kann überprüft, bewertet und optimiert werden, indem auf unterschiedliche Methoden zur Durchführung von IT-Sicherheitsanalysen zurückgegriffen wird. Hierbei ist ein systematisches Vorgehen erforderlich, um zu nachvollziehbaren Ergebnissen zu gelangen. Zwar existiert eine Reihe etablierter Vorgehensweisen zur Durchführung von IT-Sicherheitsanalysen wie z. B. die Common Criteria (Common Criteria 2012), oder der von der ISO/IEC 27001 abgeleitete IT-Grundschutz (Bundesamt für Sicherheit in der Informationstechnik 2014). Jedoch ist bei diesen die spezifische Ausprägung der einzelnen Vorgehensschritte unzureichend. Es werden also keine Vorgaben darüber gemacht, mit welchen Methoden beispielsweise die Ermittlung von Bedrohungen gegenüber einem IT-System zu erfolgen hat. Dieser Umstand birgt unter Umständen die Gefahr, dass – je nach Wahl der Methode – unterschiedliche Analyseergebnisse entstehen, die nicht mehr sinnvoll miteinander verglichen werden können. Damit verbunden ist auch das Problem, dass keine Systematik zur Herleitung von IT-Sicherheitsanforderungen vorgegeben ist und somit deren Herleitung beispielsweise auf Erfahrun...