METHODIK: IEC 62559 UND MISUSECASE-
4.3 Misuse Case Template
Das Misuse Case (MUC) Template baut auf dem Use Case Template nach IEC 62559 auf, befasst sich aber mit missbräuchlichem Verhalten in dem entsprechenden Anwendungsfall. Dieser Abschnitt gibt einen Überblick über die Misuse Case (MUC) Methode, die das MUC Template verwendet und beschreibt zunächst die Motivation und Entstehung des MUC Templates. Das MUC Template beruht auf verschiedenen bestehenden Ansätzen zu diesem Themenfeld, die zusammen
gefügt wurden. Verwendet wird das MUCTemplate
↳Teil 3 definiert Artefakte für das Use Case Template in XML-Format (IEC 62559-3:2017 Edition 1.0 (2017-12-13) Use case methodology – Part 3: Definition of use case template
artefacts into an XML serialized format); und
↳Teil 4 definiert die Prozesse und Best Practices. (IEC SRD 62559-4:2020 Edition 1.0 (2020-03-27) Use case methodology – Part 4:
Best practices in use case development for IEC standardization processes and some examples for application outside standardization).
Der Standard IEC 62559 bietet ein standardisier
tes und strukturiertes Verfahren zum Dokumentie
ren von Anwendungsfällen mit ihren verschiede
nen Aspekten. Das dort entwickelte Template hat insgesamt acht Abschnitte, von denen die ersten beiden eine Kurzversion – das sogenannte Basis
template – bilden. Die Abschnitte umfassen folgende Abschnitte
1. Beschreibung des Anwendungsfalls (Bestandteil Basistemplate)
2. Diagramme des Anwendungsfalls (Bestandteil Basistemplate) 3. Technische Einzelheiten
4. Schrittweise Analyse des Anwendungsfalls 5. Ausgetauschte Informationen
6. Anforderungen (optional)
7. Allgemeine Begriffe und Definitionen 8. Benutzerdefinierte Informationen (optional)
mit verschiedenen Unterabschnitten. Das Basis
template der ersten zwei Abschnitte liefert eine kurze, wenig technische Übersicht über die
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
für einen bestimmten Anwendungsfall, an dem die Sicherheitsanalyse von Bedrohungen, die von Stakeholdern identifiziert wurden, durchgeführt werden soll.
Das Konzept der Misuse Cases sollte an dem Punkt nach der Anwendungsfallerfassung ansetzen, wobei nicht nur die gewünschte, sondern auch die unerwünschten Funktionalitäten im Mittelpunkt steht. Misuse Cases beschreiben anomales Verhal
ten und damit Systembedrohungen – im Vergleich zu den Anwendungsfällen, die die Funktionalität des Systems beschreiben. Es werden negative Szenarien modelliert, in denen z. B. unab
sichtliches Verhalten, Unfälle oder Angriffe auf das System zu einer Sicherheitsverletzung führen könnten (Kure et al. 2018). Mit der MUC Methode werden solche Szenarien in grafischer Form dargestellt. Es ist auch hilfreich, sich in die Lage der Angreifer zu versetzen. Durch Analysieren und Erfassen aller möglichen Wege, die zu einem Systemausfall oder einem unerwarteten Fehler führen können, können die Entwickler das System
design ändern, um die Auswirkungen des Ausfalls abzuschwächen (Peterson und Steven 2006).
Das Template wird auch für die Analyse verwendet, welche Maßnahmen zur Vermeidung ergriffen werden sollten, um diese unerwünschte Funktio
nalität zu unterbinden. Für die Entwicklung der MUC Methode und des Templates wird hauptsäch
lich die Arbeit von Sindre und Opdahl (2005) betrachtet, die das Konzept der Misuse Cases für die Sicherheitsanalyse entwickelt haben. Weiterhin wird die Definition von Jacobson verwendet
(Jacobson et al. 1995), der die Misuse Cases als eine Reihe von Interaktionen zwischen einem oder mehreren Akteuren definiert hat. Dabei definiert eine dieser Interaktionen ein Systemverhalten, das das gewünschte Ergebnis des Akteurs erreichen soll. Sindre und Opdahl erweitern diese Definition und definieren einen Misuse Case in der gleichen Weise, wie eine Funktion, die das System NICHT umsetzen soll. Das sollte es auch ermöglichen, den MisAkteur (analog zum Akteur) als eine Person
oder ein System zu definieren, das – absichtlich oder unabsichtlich – einen Misuse Case hat, den das System nicht unterstützt.
Darüber hinaus wurde das IEC 62559Template erweitert, um Misuse Cases erfassen zu können.
Damit können nun zusätzliche Informationen zu gewonnen werden, was ein wichtiger Aspekt beim Systementwurf ist. Fehler im Prozess, z. B. bei einem Rollout eines bestimmten Dienstes im Smart Grid – mit harmlosen oder bösartigen Ursachen – können sowohl zu operationalen als auch physischen Konsequenzen führen. Um die Ursache eines (un)beabsichtigten Missbrauchs herauszufinden, wurde im Misuse Case Template eine objektorientierte Modellierungstechnik (OOM) auf der Grundlage der Unified Modeling Language (UML) verwendet, gerade auch, um die Fehlerfolgen und ihre Ursachen zu analysieren, die auf dem tatsächlichen Modell basiert.
Mit der MUC Methode ist es nun möglich, brauch
bare Sicherheitsanforderungen zu ermitteln, um sicherere Systeme zu bauen, indem man die Informationen aus MUCTemplate zur Sicherheits
analyse verwendet, um Sicherheitsrisiken zu mindern. Insgesamt geht es darum – als Bestand
teil der Risikoanalyse – Bedrohungen zu modellie
ren und damit zu klären WAS soll VOR WEM und WIE LANGE geschützt werden.
Das Misuse Case Template (MUCTemplate) beruht auf dem UCTemplate aus dem IEC 62559 und besteht aus den folgenden Abschnitten:
1. Beschreibung des Misuse Cases (MUC): Der erste Abschnitt des MUCTemplates ist im Großen und Ganzen gleich, wie das UC
Template. Nur KPIs finden im MUC-Template keine Anwendung.
2. Diagramme des MUC: Auch dieser Abschnitt ist bei UC und MUCTemplate gleich gestaltet.
Es macht hier evtl. Sinn andere Diagramm formen
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
5. Anforderungen
6. Allgemeine Begriffe und Definitionen 7. Benutzerdefinierte Informationen (optional)
Für die Zukunft ist es geplant ein gemeinsames Template für Use und Misuse Cases zu entwerfen, um direkt Angriffsszenarien und Fehlerfälle bei der Systementwicklung berücksichtigen zu können.
Das MUCTemplate wird im Anhang in → Kapitel 7.2 auf den in → Kapitel 7.1 beschriebenen An wendungsfall angewendet, was zum besseren Verständnis des MUCTemplates beitragen soll.
4.4 Gefährdungskatalog nach BSI-Grundschutz
Um innerhalb der Risikoanalyse eine Gefährdungs
oder Bedrohungsanalyse durchführen zu können, wird (mindestens) ein Katalog benötigt, der entsprechende Gefährdungen und Bedrohungen auflistet und beschreibt. In diesem Beitrag wird aufgrund des deutschen Kontextes der Ge
fährdungskatalog für Elementare Gefährdungen nach BSIGrundschutz verwendet.
Die im Folgenden aufgelisteten und beschriebenen elementaren Gefährdungen, werden in den in dieser Studie untersuchten Gefährdungsszenarien verwendet. Alle elementaren Gefährdungen nach BSIGrundschutz sind im Anhang in → Abschnitt 7.1 aufgelistet, genauere Erklärungen zu den einzelnen Gefährdungen, siehe (BSI 2020):
↳G 0.14 Ausspähen von Informationen (Spionage): „Mit Spionage werden Angriffe bezeichnet, die das Ziel haben, Informationen über Unternehmen, Personen, Produkte oder andere Zielobjekte zu sammeln, auszuwerten und aufzubereiten. Die aufbereiteten Informa-tionen können dann beispielsweise eingesetzt werden, um einem anderem Unternehmen bestimmte Wettbewerbsvorteile zu verschaffen, zur Unterstützung der Analyse der Angriffs
szenarien zu wählen. Das Zusammenspiel zwischen Use Cases und Misuse Cases, Actors und Misactors beispielsweise als UML Diagramm kann gut graphisch dargestellt werden. Dabei sollte auf die graphische Unterscheidung zwischen bösartigen und üblichen Komponenten ge achtet werden.
3. Technische Details: Hier wird zu den regulären Akteuren eine Tabelle zu den MisAkteuren hinzugefügt. Der weitere Abschnitt zu „Referen
zen“ bleibt wie im UCTemplate bestehen
4. Schritt für Schritt Analyse des MUC: In diesem Abschnitt ist der Unterschied der beiden
Templates am größten. Um zwischen absichtli
chen und unabsichtlichen Situationen zu unter
scheiden, werden hier zwei unterschiedliche Tabellen, zum einen für Fehlerszenarien und zum anderen für Angriffsszenarien, angeboten.
Der → Abschnitt 5 zu „ausgetauschte Informatio
nen“ aus dem UC-Template findet im
MUC Template keine Anwendung, da es keinen absichtlichen Austausch von Informationen in diesen Szenarien gibt. Daher wird dieser
→ Abschnitt 5 aus dem UCTemplate ausgelassen.
Aus diesem Grund hat die Tabelle zu den Szenarioschritten auch keine Spalten zu den Infor mationsobjekten, sowie zu Sendern und Em pfängern, stattdessen aber ein Feld für die Dokumentation der Angriffe. Weiterhin können als präventive Maßnahme „Capture Points“ in einer zusätzlichen Tabelle eingesetzt werden.
Die drei letzten Abschnitte sind wiederum identisch mit denen des UCTemplates und werden nur entsprechend ihrer Nummerierung angepasst. Daher bedürfen sie hier keiner weiteren Erläuterung.
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
erst nach Jahren bemerkt wird und eine Überprüfundann oft nicht mehr möglich ist.“14
↳G 0.40 Verhinderung von Diensten (Denial of Service): „Es gibt eine Vielzahl verschie-dener Angriffsformen, die darauf abzielen, die vorgesehene Nutzung bestimmter Dienst-leistungen, Funktionen oder Geräte zu verhin-dern. Der Oberbegriff für solche Angriffe ist „Verhinderung von Diensten“ (englisch:
„Denial of Service“). Häufig wird auch die Bezeichnung „DoS-Angriff“ verwendet.
Solche Angriffe können unter anderem von verärgerten Mitarbeitern oder Kunden, aber auch von Mitbewerbern, Erpressern oder politisch motivierten Tätern ausgehen. Das Ziel der Angriffe können geschäftsrelevante Werte aller Art sein. Typische Ausprägungen von DoS-Angriffen sind
• Störungen von Geschäftsprozessen, z. B.
durch Überflutung der Auftragsannahme mit fehlerhaften Bestellungen,
• Beeinträchtigungen der Infrastruktur, z. B. durch Blockieren der Türen der Institution,
• Herbeiführen von IT-Ausfällen, indem z. B. Dienste eines Servers im Netz gezielt überlastet werden.
Diese Art von Angriffen steht häufig im Zusam-menhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen so stark in Anspruch nimmt, dass sie den eigentlichen Nutzern nicht mehr zur Verfügung stehen.
Bei IT-basierten Angriffen können z. B. die fol genden Ressourcen künstlich verknappt
14 Vgl. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/
ITGrundschutzKompendium/elementare_gefaehrdun
gen/G_0_22_Manipulation_von_Informationen.html.
Personen zu erpressen oder ein Produkt nach-bauen zu können.
Neben einer Vielzahl technisch komplexer Angriffe gibt es oft auch viel einfachere Methoden, um an wertvolle Informationen zu kommen, beispielsweise indem Informationen aus mehreren öffentlich zugänglichen Quellen zusammengeführt werden, die einzeln un-verfänglich aussehen, aber in anderen Zusam-menhängen kompromittierend sein können.
Da vertrauliche Daten häufig nicht ausrei-chend geschützt werden, können diese oft auf optischem, akustischem oder elektronischem Weg ausgespäht werden.“13
↳G 0.22 Manipulation von Informationen:
„Informationen können auf vielfältige Weise manipuliert werden, z. B. durch fehlerhaftes oder vorsätzlich falsches Erfassen von Daten, inhaltliche Änderung von Datenbank-Feldern oder von Schriftverkehr. Grundsätzlich betrifft dies nicht nur digitale Informationen, sondern beispielsweise auch Dokumente in Papier form.
Ein Täter kann allerdings nur die Informa-tionen manipulieren, auf die er Zugriff hat.
Je mehr Zugriffsrechte eine Person auf Dateien und Verzeichnisse von IT-Systemen besitzt bzw. je mehr Zugriffsmöglichkeiten auf Infor-mationen sie hat, desto schwerwiegendere Manipula tionen kann sie vornehmen. Falls die Manipulationen nicht frühzeitig erkannt werden, kann der reibungslose Ablauf von Geschäftsprozessen und Fachaufgaben dadurch empfindlich gestört werden.
Archivierte Dokumente stellen meist schüt-zenswerte Informationen dar. Die Manipula-tion solcher Dokumente ist besonders schwerwiegend, da sie unter Umständen
13 Vgl. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/
ITGrundschutzKompendium/elementare_gefaehrdun
gen/G_0_14_Aussp%C3%A4hen_von_Informationen__
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
aus dem Konzept von Entwurfsmustern ab, die eher in einem konstruktiven als in einem destrukti
ven Kontext, wie bei Angriffsmustern, angewendet werden. Weiterhin wurden sie mit einer tiefgehen
den Analyse zusammen mit spezifischen realitäts
nahen Beispielen generiert.
Jedes Angriffsmuster beinhaltet das Wissen darüber, wie bestimmte Teile eines Angriffs entwor
fen und ausgeführt wurden, und gibt Hinweise darauf, wie die Effektivität des Angriffs verringert werden kann. Die Angriffsmuster helfen denjenigen, die Anwendungen entwickeln oder cybergestützte Einsatzfelder verwalten, die spezifischen Elemente eines Angriffs besser zu verstehen und zu erkennen und außerdem den Erfolg des Angriffs zu ver
hindern.17 Für eine bessere Übersicht und Sortie
rung wurden die Angriffe in verschiedene Kategorien sortiert: zum einen die „Domänen des Angriffs“
(domains of attack18), die u.a. die Kategorien
„Software“, „Hardware“ und „Kommunikation“
umfasst, und zum anderen die „Mechanismen des Angriffs“ (mechanism of attack19), die zum Beispiel die Kategorien „Missbrauch von Funktionalitäten“,
„Manipulation von Datenstrukturen“ oder „Informa
tionen sammeln und analysieren“ umfasst.
Die in dieser Studie verwendeten Angriffsvektoren aus dem CAPECKatalog sind im Anhang in
→ Abschnitt 7.5 aufgelistet.
4.6 Gesamtmethodik
Dieser Abschnitt fasst die hier vorher beschrie
benen Bestandteile in einer Gesamtmethodik zusammen. Diese Gesamtmethodik ist in → Abbil-dung 6 schrittweise dargestellt und wird anhand
17 Siehe auch https://capec.mitre.org/about/.
18 Die CAPEC „Domänen des Angriffs“ sind unter https://ca
pec.mitre.org/data/definitions/3000.html aufgeführt.
19 Die CAPEC „Mechanismen des Angriffs“ sind unter https://
capec.mitre.org/data/definitions/1000.html aufgeführt.
werden: Prozesse, CPU-Zeit, Arbeitsspeicher, Plattenplatz, Übertragungskapazität.“15
Anhand dieser Auswahl wurden für die Analyse Szenarien erarbeitet, die einige Gefährdungen beispielhaft untersucht haben.
Weiterhin können für Angriffe auf Webapplikationen die Gefährdungen nach OWASP oder für eine über
geordnete Betrachtung der Sicherheitsstandard IEC 62351116, der sich mit „Daten und Kommunika
tionssicherheit“ in der Energiedomäne befasst und einen guten Überblick zu Bedrohungen auf Basis der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit gibt, herangezogen werden.