Misuse Case Template

Das Misuse Case (MUC) Template baut auf dem Use Case Template nach IEC 62559 auf, befasst sich aber mit missbräuchlichem Verhalten in dem entsprechenden Anwendungsfall. Dieser Abschnitt gibt einen Überblick über die Misuse Case (MUC) Methode, die das MUC Template verwendet und beschreibt zunächst die Motivation und Entstehung des MUC Templates. Das MUC Template beruht auf verschiedenen bestehenden Ansätzen zu diesem Themenfeld, die zusammen­

gefügt wurden. Verwendet wird das MUC­Template

↳Teil 3 definiert Artefakte für das Use Case Template in XML-Format (IEC 62559-3:2017 Edition 1.0 (2017-12-13) Use case methodology – Part 3: Definition of use case template

artefacts into an XML serialized format); und

↳Teil 4 definiert die Prozesse und Best Practices. (IEC SRD 62559-4:2020 Edition 1.0 (2020-03-27) Use case methodology – Part 4:

Best practices in use case development for IEC standardization processes and some examples for application outside standardization).

Der Standard IEC 62559 bietet ein standardisier­

tes und strukturiertes Verfahren zum Dokumentie­

ren von Anwendungsfällen mit ihren verschiede­

nen Aspekten. Das dort entwickelte Template hat insgesamt acht Abschnitte, von denen die ersten beiden eine Kurzversion – das sogenannte Basis­

template – bilden. Die Abschnitte umfassen folgende Abschnitte

1. Beschreibung des Anwendungsfalls (Bestandteil Basistemplate)

2. Diagramme des Anwendungsfalls (Bestandteil Basistemplate) 3. Technische Einzelheiten

4. Schrittweise Analyse des Anwendungsfalls 5. Ausgetauschte Informationen

6. Anforderungen (optional)

7. Allgemeine Begriffe und Definitionen 8. Benutzerdefinierte Informationen (optional)

mit verschiedenen Unterabschnitten. Das Basis­

template der ersten zwei Abschnitte liefert eine kurze, wenig technische Übersicht über die

4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne

für einen bestimmten Anwendungsfall, an dem die Sicherheitsanalyse von Bedrohungen, die von Stakeholdern identifiziert wurden, durchgeführt werden soll.

Das Konzept der Misuse Cases sollte an dem Punkt nach der Anwendungsfallerfassung ansetzen, wobei nicht nur die gewünschte, sondern auch die unerwünschten Funktionalitäten im Mittelpunkt steht. Misuse Cases beschreiben anomales Verhal­

ten und damit Systembedrohungen – im Vergleich zu den Anwendungsfällen, die die Funktionalität des Systems beschreiben. Es werden negative Szenarien modelliert, in denen z. B. unab­

sichtliches Verhalten, Unfälle oder Angriffe auf das System zu einer Sicherheitsverletzung führen könnten (Kure et al. 2018). Mit der MUC Methode werden solche Szenarien in grafischer Form dargestellt. Es ist auch hilfreich, sich in die Lage der Angreifer zu versetzen. Durch Analysieren und Erfassen aller möglichen Wege, die zu einem Systemausfall oder einem unerwarteten Fehler führen können, können die Entwickler das System­

design ändern, um die Auswirkungen des Ausfalls abzuschwächen (Peterson und Steven 2006).

Das Template wird auch für die Analyse verwendet, welche Maßnahmen zur Vermeidung ergriffen werden sollten, um diese unerwünschte Funktio­

nalität zu unterbinden. Für die Entwicklung der MUC Methode und des Templates wird hauptsäch­

lich die Arbeit von Sindre und Opdahl (2005) betrachtet, die das Konzept der Misuse Cases für die Sicherheitsanalyse entwickelt haben. Weiterhin wird die Definition von Jacobson verwendet

(Jacobson et al. 1995), der die Misuse Cases als eine Reihe von Interaktionen zwischen einem oder mehreren Akteuren definiert hat. Dabei definiert eine dieser Interaktionen ein Systemverhalten, das das gewünschte Ergebnis des Akteurs erreichen soll. Sindre und Opdahl erweitern diese Definition und definieren einen Misuse Case in der gleichen Weise, wie eine Funktion, die das System NICHT umsetzen soll. Das sollte es auch ermöglichen, den Mis­Akteur (analog zum Akteur) als eine Person

oder ein System zu definieren, das – absichtlich oder unabsichtlich – einen Misuse Case hat, den das System nicht unterstützt.

Darüber hinaus wurde das IEC 62559­Template erweitert, um Misuse Cases erfassen zu können.

Damit können nun zusätzliche Informationen zu gewonnen werden, was ein wichtiger Aspekt beim Systementwurf ist. Fehler im Prozess, z. B. bei einem Rollout eines bestimmten Dienstes im Smart Grid – mit harmlosen oder bösartigen Ursachen – können sowohl zu operationalen als auch physischen Konsequenzen führen. Um die Ursache eines (un­)beabsichtigten Missbrauchs herauszufinden, wurde im Misuse Case Template eine objektorientierte Modellierungstechnik (OOM) auf der Grundlage der Unified Modeling Language (UML) verwendet, gerade auch, um die Fehlerfolgen und ihre Ursachen zu analysieren, die auf dem tatsächlichen Modell basiert.

Mit der MUC Methode ist es nun möglich, brauch­

bare Sicherheitsanforderungen zu ermitteln, um sicherere Systeme zu bauen, indem man die Informationen aus MUC­Template zur Sicherheits­

analyse verwendet, um Sicherheitsrisiken zu mindern. Insgesamt geht es darum – als Bestand­

teil der Risikoanalyse – Bedrohungen zu modellie­

ren und damit zu klären WAS soll VOR WEM und WIE LANGE geschützt werden.

Das Misuse Case Template (MUC­Template) beruht auf dem UC­Template aus dem IEC 62559 und besteht aus den folgenden Abschnitten:

1. Beschreibung des Misuse Cases (MUC): Der erste Abschnitt des MUC­Templates ist im Großen und Ganzen gleich, wie das UC­

Template. Nur KPIs finden im MUC-Template keine Anwendung.

2. Diagramme des MUC: Auch dieser Abschnitt ist bei UC­ und MUC­Template gleich gestaltet.

Es macht hier evtl. Sinn andere Diagramm formen

4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne

5. Anforderungen

6. Allgemeine Begriffe und Definitionen 7. Benutzerdefinierte Informationen (optional)

Für die Zukunft ist es geplant ein gemeinsames Template für Use und Misuse Cases zu entwerfen, um direkt Angriffsszenarien und Fehlerfälle bei der Systementwicklung berücksichtigen zu können.

Das MUC­Template wird im Anhang in → Kapitel 7.2 auf den in → Kapitel 7.1 beschriebenen An wendungsfall angewendet, was zum besseren Verständnis des MUC­Templates beitragen soll.

4.4 Gefährdungskatalog nach BSI-Grundschutz

Um innerhalb der Risikoanalyse eine Gefährdungs­

oder Bedrohungsanalyse durchführen zu können, wird (mindestens) ein Katalog benötigt, der entsprechende Gefährdungen und Bedrohungen auflistet und beschreibt. In diesem Beitrag wird aufgrund des deutschen Kontextes der Ge­

fährdungskatalog für Elementare Gefährdungen nach BSI­Grundschutz verwendet.

Die im Folgenden aufgelisteten und beschriebenen elementaren Gefährdungen, werden in den in dieser Studie untersuchten Gefährdungsszenarien verwendet. Alle elementaren Gefährdungen nach BSI­Grundschutz sind im Anhang in → Abschnitt 7.1 aufgelistet, genauere Erklärungen zu den einzelnen Gefährdungen, siehe (BSI 2020):

↳G 0.14 Ausspähen von Informationen (Spionage): „Mit Spionage werden Angriffe bezeichnet, die das Ziel haben, Informationen über Unternehmen, Personen, Produkte oder andere Zielobjekte zu sammeln, auszuwerten und aufzubereiten. Die aufbereiteten Informa-tionen können dann beispielsweise eingesetzt werden, um einem anderem Unternehmen bestimmte Wettbewerbsvorteile zu verschaffen, zur Unterstützung der Analyse der Angriffs­

szenarien zu wählen. Das Zusammenspiel zwischen Use Cases und Misuse Cases, Actors und Misactors beispielsweise als UML Diagramm kann gut graphisch dargestellt werden. Dabei sollte auf die graphische Unterscheidung zwischen bösartigen und üblichen Komponenten ge achtet werden.

3. Technische Details: Hier wird zu den regulären Akteuren eine Tabelle zu den Mis­Akteuren hinzugefügt. Der weitere Abschnitt zu „Referen­

zen“ bleibt wie im UC­Template bestehen

4. Schritt für Schritt Analyse des MUC: In diesem Abschnitt ist der Unterschied der beiden

Templates am größten. Um zwischen absichtli­

chen und unabsichtlichen Situationen zu unter­

scheiden, werden hier zwei unterschiedliche Tabellen, zum einen für Fehlerszenarien und zum anderen für Angriffsszenarien, angeboten.

Der → Abschnitt 5 zu „ausgetauschte Informatio­

nen“ aus dem UC-Template findet im

MUC­ Template keine Anwendung, da es keinen absichtlichen Austausch von Informationen in diesen Szenarien gibt. Daher wird dieser

→ Abschnitt 5 aus dem UC­Template ausgelassen.

Aus diesem Grund hat die Tabelle zu den Szenarioschritten auch keine Spalten zu den Infor mationsobjekten, sowie zu Sendern und Em pfängern, stattdessen aber ein Feld für die Dokumentation der Angriffe. Weiterhin können als präventive Maßnahme „Capture Points“ in einer zusätzlichen Tabelle eingesetzt werden.

Die drei letzten Abschnitte sind wiederum identisch mit denen des UC­Templates und werden nur entsprechend ihrer Nummerierung angepasst. Daher bedürfen sie hier keiner weiteren Erläuterung.

4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne

erst nach Jahren bemerkt wird und eine Überprüfundann oft nicht mehr möglich ist.“¹⁴

↳G 0.40 Verhinderung von Diensten (Denial of Service): „Es gibt eine Vielzahl verschie-dener Angriffsformen, die darauf abzielen, die vorgesehene Nutzung bestimmter Dienst-leistungen, Funktionen oder Geräte zu verhin-dern. Der Oberbegriff für solche Angriffe ist „Verhinderung von Diensten“ (englisch:

„Denial of Service“). Häufig wird auch die Bezeichnung „DoS-Angriff“ verwendet.

Solche Angriffe können unter anderem von verärgerten Mitarbeitern oder Kunden, aber auch von Mitbewerbern, Erpressern oder politisch motivierten Tätern ausgehen. Das Ziel der Angriffe können geschäftsrelevante Werte aller Art sein. Typische Ausprägungen von DoS-Angriffen sind

• Störungen von Geschäftsprozessen, z. B.

durch Überflutung der Auftragsannahme mit fehlerhaften Bestellungen,

• Beeinträchtigungen der Infrastruktur, z. B. durch Blockieren der Türen der Institution,

• Herbeiführen von IT-Ausfällen, indem z. B. Dienste eines Servers im Netz gezielt überlastet werden.

Diese Art von Angriffen steht häufig im Zusam-menhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen so stark in Anspruch nimmt, dass sie den eigentlichen Nutzern nicht mehr zur Verfügung stehen.

Bei IT-basierten Angriffen können z. B. die fol genden Ressourcen künstlich verknappt

14 Vgl. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/

ITGrundschutzKompendium/elementare_gefaehrdun­

gen/G_0_22_Manipulation_von_Informationen.html.

Personen zu erpressen oder ein Produkt nach-bauen zu können.

Neben einer Vielzahl technisch komplexer Angriffe gibt es oft auch viel einfachere Methoden, um an wertvolle Informationen zu kommen, beispielsweise indem Informationen aus mehreren öffentlich zugänglichen Quellen zusammengeführt werden, die einzeln un-verfänglich aussehen, aber in anderen Zusam-menhängen kompromittierend sein können.

Da vertrauliche Daten häufig nicht ausrei-chend geschützt werden, können diese oft auf optischem, akustischem oder elektronischem Weg ausgespäht werden.“¹³

↳G 0.22 Manipulation von Informationen:

„Informationen können auf vielfältige Weise manipuliert werden, z. B. durch fehlerhaftes oder vorsätzlich falsches Erfassen von Daten, inhaltliche Änderung von Datenbank-Feldern oder von Schriftverkehr. Grundsätzlich betrifft dies nicht nur digitale Informationen, sondern beispielsweise auch Dokumente in Papier form.

Ein Täter kann allerdings nur die Informa-tionen manipulieren, auf die er Zugriff hat.

Je mehr Zugriffsrechte eine Person auf Dateien und Verzeichnisse von IT-Systemen besitzt bzw. je mehr Zugriffsmöglichkeiten auf Infor-mationen sie hat, desto schwerwiegendere Manipula tionen kann sie vornehmen. Falls die Manipulationen nicht frühzeitig erkannt werden, kann der reibungslose Ablauf von Geschäftsprozessen und Fachaufgaben dadurch empfindlich gestört werden.

Archivierte Dokumente stellen meist schüt-zenswerte Informationen dar. Die Manipula-tion solcher Dokumente ist besonders schwerwiegend, da sie unter Umständen

13 Vgl. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/

ITGrundschutzKompendium/elementare_gefaehrdun­

gen/G_0_14_Aussp%C3%A4hen_von_Informationen__

4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne

aus dem Konzept von Entwurfsmustern ab, die eher in einem konstruktiven als in einem destrukti­

ven Kontext, wie bei Angriffsmustern, angewendet werden. Weiterhin wurden sie mit einer tiefgehen­

den Analyse zusammen mit spezifischen realitäts­

nahen Beispielen generiert.

Jedes Angriffsmuster beinhaltet das Wissen darüber, wie bestimmte Teile eines Angriffs entwor­

fen und ausgeführt wurden, und gibt Hinweise darauf, wie die Effektivität des Angriffs verringert werden kann. Die Angriffsmuster helfen denjenigen, die Anwendungen entwickeln oder cybergestützte Einsatzfelder verwalten, die spezifischen Elemente eines Angriffs besser zu verstehen und zu erkennen und außerdem den Erfolg des Angriffs zu ver­

hindern.¹⁷ Für eine bessere Übersicht und Sortie­

rung wurden die Angriffe in verschiedene Kategorien sortiert: zum einen die „Domänen des Angriffs“

(domains of attack¹⁸), die u.a. die Kategorien

„Software“, „Hardware“ und „Kommunikation“

umfasst, und zum anderen die „Mechanismen des Angriffs“ (mechanism of attack¹⁹), die zum Beispiel die Kategorien „Missbrauch von Funktionalitäten“,

„Manipulation von Datenstrukturen“ oder „Informa­

tionen sammeln und analysieren“ umfasst.

Die in dieser Studie verwendeten Angriffsvektoren aus dem CAPEC­Katalog sind im Anhang in

→ Abschnitt 7.5 aufgelistet.

4.6 Gesamtmethodik

Dieser Abschnitt fasst die hier vorher beschrie­

benen Bestandteile in einer Gesamtmethodik zusammen. Diese Gesamtmethodik ist in → Abbil-dung 6 schrittweise dargestellt und wird anhand

17 Siehe auch https://capec.mitre.org/about/.

18 Die CAPEC „Domänen des Angriffs“ sind unter https://ca­

pec.mitre.org/data/definitions/3000.html aufgeführt.

19 Die CAPEC „Mechanismen des Angriffs“ sind unter https://

capec.mitre.org/data/definitions/1000.html aufgeführt.

werden: Prozesse, CPU-Zeit, Arbeitsspeicher, Plattenplatz, Übertragungskapazität.“¹⁵

Anhand dieser Auswahl wurden für die Analyse Szenarien erarbeitet, die einige Gefährdungen beispielhaft untersucht haben.

Weiterhin können für Angriffe auf Webapplikationen die Gefährdungen nach OWASP oder für eine über­

geordnete Betrachtung der Sicherheitsstandard IEC 62351­1¹⁶, der sich mit „Daten­ und Kommunika­

tionssicherheit“ in der Energiedomäne befasst und einen guten Überblick zu Bedrohungen auf Basis der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit gibt, herangezogen werden.

4.5 Attack Pattern Classifi-

Im Dokument Digitalisierung, Daten und Sicherheit: Herausforderungen für Unternehmen in der EnergiewirtschaftBerlin, Mai 2021Kompendium (Seite 128-132)