Dieser Einstiegsartikel beschreibt die Grundlagen der Bedrohungsanalyse, auch bekannt als Threat Modeling.
Das Ziel von Threat Modeling ist Gefahren und Bedrohungen zu identifizieren, das mögliche Risiko zu bewerten und gegebenenfalls Handlungsoptionen zur Risikoreduktion abzuleiten.
Das Risiko setzt sich dabei aus der Eintrittswahrscheinlichkeit und der erwarteten Auswirkung/dem Schaden zusammen.
Threat Modeling möchte ich anhand des Grippe/Influenza Infektionsgeschehens beispielhaft einführen. Dieses allgemein bekannte und konkrete Bedrohungsbeispiel ermöglicht die Begriffe und Motivation der Bedrohungsanalyse mit bekanntem Wissen zu verknüpfen.
Ein Minimalbeispiel für ein Threat Model – Influenzainfektion
In diesem Minimalbeispiel ist die Bedrohung das Influenza-Virus.
Mit Influenza kann man sich auf unterschiedlichen Wegen infizieren. Zur Vereinfachung nehme ich die vollbesetzte Busfahrt zur Arbeit als die größte Eintrittswahrscheinlichkeit zur Infektion an. Außerdem rechne ich – basierend auf meinen persönlichen Erfahrungswerten – mit einem milden Krankheitsverlauf. Ich müsste im Krankheitsfall ein paar Tage das Bett hüten. Ich entscheide mich, dass mir das Risiko der Infektion zu hoch ist. Das Risiko reduziere ich indem ich vorerst mit dem Rad in die Arbeit fahre.
Solch geartete Bedrohungsanalysen führt jeder von uns bewusst oder unbewusst regelmäßig durch.
Daran erkennt man, dass man grundsätzlich keine speziellen Fähigkeiten benötigt, ein Threat Model zu erstellen. Die Qualität eines Threat Models steigt jedoch, je mehr Kenntnisse und Fachwissen man in der konkreten Bedrohungsanalyse hat. Je mehr ich über die Ansteckungsmöglichkeiten des Influenzavirus weiß, desto aussagekräftiger sind meine Bedrohungen. Auch die Rahmenbedingungen und äußere Einflussfaktoren sind von Bedeutung. Die Grippe-Infektionsgefahr ist auf dem Fahrrad geringer als bei der vollbesetzten Busfahrt zur Arbeit.
Erweiterung des Beispiels um Fachbegriffe
Die folgende Grafik verknüpft die üblichen Fachbegriffe mit dem Beispiel der Virusinfektion.
- Threat: Die Bedrohung – sie hat die das Potential Schaden beim Asset zu verursachen. Im Beispiel das Influenza-Virus.
- Likelihood: Die Eintrittswahrscheinlichkeit – sie gibt Auskunft, über die Wahrscheinlichkeit, dass die Bedrohung zur Wirkung kommt. Im Beispiel ordnen wir der Ansteckungsgefahr im vollbesetzten Bus zur Arbeit die Eintrittswahrscheinlichkeit hoch zu; der Fahrradfahrt niedrig.
- Asset: Der Gegenstand der Bedrohungsanalyse bzw. das zu schützende Subjekt. In unserem Beispiel bin das ich 👤.
- Vulnerability: Die Schwäche – sie wird vom Threat ausgenützt, um den Schaden zu verursachen. Im Beispiel ist das ein schwaches Immunsystem.
❗️Ein Threat nutzt mit einer bestimmten Likelihood eine Vulnerability aus.
- Impact: Das Ausmaß des tatsächlich verursachten Schadens. Im Beispiel nehmen wir einen milden „mittleren“ Krankheitsverlauf an.
❗️Der Threat fügt dem Asset einen bestimmten Impact zu.
- Risiko: Ist das Produkt, die Verbindung von Likelihood und Impact. Das Risiko kann beispielsweise über eine 3×3 Risiko-Matrix qualitativ abgebildet werden.
Take Aways
Threat Modeling ist der hochtrabende Begriff für etwas, was wir regelmäßig machen. In unserem Beispiel, überlegen wir uns:
- Wie hoch ist meine Influenza Ansteckungsgefahr, wenn ich heute mit dem Bus fahre?
- Ist das Risiko für mich tragbar?
- Wenn nicht, was mache ich, um mein Risiko zu verringern?
❗️Risiko = Likelihood x Impact
Threat Modeling ist ein zentraler Bestandteil in einem Secure Development Lifecycle, wie beispielsweise der IEC 62443-4-1.
Referenzen
In diesem Artikel sind meine beruflichen Erfahrungen, die Inhalte der IEC 62443-3-2, der NIST SP 800-30, und des Buchs Threat Modeling: Designing for Security von Adam Shostack geflossen.