Allgemeine Bedrohungen

Abbildung 27: Strukturelle Auswirkungen.

Die strukturellen Auswirkungen können auch zeitlich versetzt auftreten, nämlich dann wenn ein Element unerkannt geschädigt bzw. kompromittiert ist. So wird beispielsweise ein mit einem Schad-programm (Virus, Trojanisches Pferd, Wurm, usw.) befallenes digitales Objekt in ein digitales Langzeitarchiv aufgenommen, ohne dass der Virus detektiert worden ist, weil z.B. kein Antiviren-programm aktiv ist oder dieses das SchadAntiviren-programm nicht erkannt hat. Das SchadAntiviren-programm ist nun so programmiert, dass es erst nach einer bestimmten Zeit aktiv wird. So wird das vermeintlich saubere Objekt zum Trägerelement, von dem der strukturelle Schaden ausgeht und sich auf andere Elemente im Archiv überträgt. Dies stellt eine der größten Bedrohungen im digitalen Langzeitarchiv dar.

Beispiel Virus

Als Beispiel sei hier die Archivierung eines digitalen Objekts aufgeführt, das mit einem Virus befallen ist. Dies stellt eine Verkettung von Auswirkungen dar. Zunächst ist davon auszugehen, dass das primär schadhafte Element, also das Objekt, in seiner Funktionalität eingeschränkt ist. Davon aus-gehend verbreitet sich der Virus in dem ganzen Netzwerk und kann im schlimmsten Falle das gesamte Netzwerk befallen. Somit wären die IT-Sicherheitsaspekte verletzt und das Archivsystem nicht mehr vertrauenswürdig einsatzfähig.

5.1.4 Allgemeine Bedrohungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Gefährdungen in fünf unter-schiedliche Gefährdungskataloge [BSI06] aufgeteilt:

G 1: Höhere Gewalt

G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen

Vorsätzliche Handlungen (Gefährdung G 5): Risiken und Angriffe

In digitalen Systemen, die durch das Internet oder Netzwerke verbunden sind, herrscht ein ständiger Informationsfluss und Austausch. Vernetzte digitale Kommunikationssysteme bieten eine breite

5. Integration von Sicherheitstechnologien 85 Angriffsfläche und bergen je nach Ziel und Intention des Angreifers unterschiedliche Risiken bzgl. der IT-Sicherheitsaspekte.

In diesem Zusammenhang soll zunächst zwischen Safety und Security unterschieden werden. Safety ist der Zustand sicher bzw. geschützt zu sein vor Gefahr, Schaden, Verletzungen verursacht durch zufällige, unbeabsichtigte und hauptsächlich unvorhersehbare Einflüsse und Einwirkungen. Safety beinhaltet dabei Mechanismen zur Schadensbehebung- und Vermeidung und Wiederherstellung zufälliger, unbeabsichtigter Schäden und Verletzungen. Zu solchen Gefahren zählen zum Beispiel Naturkatastrophen oder technische Störungen. In Eckert wird Safety definiert: „Unter Funktions-sicherheit (Safety) eines Systems verstehen wir die Eigenschaft, dass die realisierte Ist-Funktionalität der Komponenten mit der spezifizierten Soll-Funktionalität übereinstimmt. Ein funktionssicheres System nimmt keine funktional unzulässigen Zustände an. Anders herum verstehen wir unter der Funktionssicherheit eines Systems, dass es unter allen (normalen) Betriebsbedingungen funktioniert.“

[Eck06]

Im Kontext der digitalen Langzeitarchivierung wird Safety in dieser Expertise weniger berücksichtigt.

Vielmehr geht es darum, die Security zu betrachten, d.h. vorhersehbare und gezielte Angriffe vorzu-beugen, sie zu identifizieren und den Schaden einzugrenzen bzw. die Information wiederherzustellen.

Sicherheit (Security) kann als Risikomanagement-Prozess angesehen werden.

Angreifer entwickeln ständig neue Angriffsvorgehen (Aktivitäten) und Strategien, um sich un-autorisierten Zugang zu Accounts, Information, Prozessen, Computersystemen, Netzwerken und Internetnetzwerken zu verschaffen, diese zu manipulieren und dadurch letzten Endes den dahinter stehenden Identitäten (Personen, Firmen, Regierung, usw.) Schaden zuzufügen. Es gibt jedoch gleichermaßen Angreifer mit einer schadensabwendenden Intention, nämlich solche, die im Auftrag einer Schadensbeurteilung vielmehr Schaden abwenden als welchen anrichten wollen.

Generell lässt sich sagen, dass ein Angreifer immer ein bestimmtes Endziel bzw. eine Absicht hat, einen Grund weswegen er den Angriff startet. Er greift auf bestimmte Werkzeuge zurück und nutzt Schwachstellen im System aus. Je nach Angriffsziel und dem damit verbundenen Ergebnis, das er er-reichen will, geht der Angreifer unterschiedlich vor. Dies ist in Abbildung 28 schematisch und all-gemein dargestellt.

Ein Ereignis ist eine Aktivität, eine Handlung, die an einem bestimmten Ziel/ Gegenstand ausgerichtet ist, mit der Absicht bzw. dem gewünschten Ergebnis, den Zustand des Ziels/ Gegenstands zu ändern.

(IEEE96:373) Ein Benutzer führt die Aktivität Authentifizieren aus mit der Absicht, sich in seinen Account einzuloggen. Die Aktivität startet einen Prozess (Login-Programm), damit der Benutzer sich einloggen kann.

86 Vertrauenswürdige und abgesicherte Langzeitarchivierung multimedialer Inhalte

Abbildung 28: Computer und Netzwerk Störungsvorgang Taxonomie (CERT) mit Erweiterung Sicherheit.

In Bezug auf Angriffe und IT-Sicherheit muss zwischen autorisierten und unautorisierten Vorgehen/

Handlungen innerhalb eines Ereignisses unterschieden werden. Ein Benutzer loggt sich in einen Account ein. Dies ist grundsätzlich ein autorisiertes Vorgehen. Verfügt ein Benutzer nun über das Wissen der Account-Zugangsdaten eines ihm eigentlich nicht zugänglichen Accounts, so wird er vom System als der vermeintlich richtige Benutzer erkannt, ist es aber in Wirklichkeit nicht. Das System kann in diesem Fall nicht zwischen autorisierten und nicht autorisierten Benutzern unterscheiden. Dies ist dann ein unautorisiertes Vorgehen. Im Kontext der IT-Sicherheit muss klar getrennt werden können, wie an der Angreifer an die Information gelangt ist, da so der bzw. die betroffenen Sicherheitsaspekte bestimmt und zugeordnet werden können, das Schadensausmaß geschätzt werden kann und entsprechend brauchbare Mechanismen ausgewählt werden können.

Für Angriffe werden die Schwachstellen von Systemen genutzt. Laut CERT Taxonomie [HoLo03]

werden drei Klassen von Schwachstellen unterschieden, wobei als vierte Klasse der Mensch hinzu-gefügt werden sollte (siehe Abbildung 28), wie dies bereits in [KLD07] ähnlich beschrieben ist.

1. Design

2. Implementierung 3. Konfiguration 4. Mensch

Ein Angreifer analysiert zunächst diese Schwachstellen beispielsweise mittels verschiedener (Sondierungs-)Tests. Aus Sicht eines Angreifers will dieser sich immer autorisiert erscheinenden Zu-gang verschaffen. Diesbezüglich steht das „Wie“ immer im Mittelpunkt eines Angreifers. Es gibt dem-nach verschiedene Aktivitäten, mit denen sich ein Angreifer autorisierten Zugang verschafft, um dadurch einer Identität oder einem System Schaden zuzufügen. Zu diesen Aktivitäten zählen:

(Sondierungs-)Tests, Scannen, Überfluten, Überbrücken, Spoofen, Lesen, Kopieren, Stehlen, Modifizieren/ Neuerstellen und Löschen. In Tabelle 10 ist der Einfluss dieser Aktivitäten den

IT-5. Integration von Sicherheitstechnologien 87 Sicherheitsaspekten gegenübergestellt. Je nach Art der Aktivität können die einzelnen IT-Sicherheits-aspekte verletzt werden.

Tabelle 10: Potentielle Auswirkungen von Aktivitäten auf Sicherheitsaspekte.

Verfügbarkeit Integrität Authentizität Vertraulichkeit Nachweisbarkeit Testen

Angriffe dienen grundsätzlich dazu, unautorisierten Identitäten Zugang zu Information, Einrichtungen oder Ressourcen zu verschaffen. In Bezug auf digitale Kommunikationssysteme verfolgen Angreifer dabei unterschiedliche Strategien, die in den folgenden Abbildungen aufgeführt und verdeutlicht sind.

Die Angriffe sind auf die Aktivitäten vgl. Abbildung 28 zurückzuführen.

Zunächst ist immer von einem normalen Datenfluss auszugehen. Ein Datenpaket wird von einer Informationsquelle zu einem Informationsziel gesendet und erreicht dieses unbeschadet. Die IT-Sicherheitsaspekte werden nicht verletzt. Bei der Unterbrechung erreicht das von einer Informations-quelle gesendete Informationspaket das Informationsziel nicht. Unterbrechungen können zum einen technischen Ursprungs sein, wie z.B. Übertragungsprobleme. Zum anderen können Unterbrechungen auch gezielt durch einen Angreifer inszeniert werden.

Normaler Datenfluss

Abbildung 29: a) Normaler Datenfluss (links) und b) Unterbrechen (rechts).

Testen & Sondieren

Abbildung 30: a) Testen und Sondieren (links) und b) Überfluten (rechts).