Um für eine Vorlesung einen Überblick über gängige Security Standards und Methodologien zu geben, habe ich mir eine Mindmap dazu erstellt. Die Perspektive hierzu ist im wesentlichen Deutschland/Europa, andere nationale Standards/Guidelines habe ich nur selektiv aufgelistet, wo ich einen praktischen Mehrwert für den Alltag sehe. Ebenso habe ich weitgehend auf Branchen-spezifische Standards/Guidelines verzichtet.

Die Mindmap erhebt keinerlei Anspruch auf Vollständigkeit. Sollte jemand Anregungen oder Ergänzungsvorschläge haben, dann bitte einfach Kontakt aufnehmen. Ich empfehle die Nutzung des Freemind-Formats, da hier die Standards/Guidelines direkt verlinkt sind.

Download: Freemind-Format; PDF-Format
Lizenz: Creative Commons CC BY-SA

PCI-DSS is the Payment Card Industry Data Security Standard. If you are accepting credit cards for payment, you are probably aware of this standard and its requirements. In order to comply with PCI-DSS you have to be compliant with over 200 requirements. These requirements are partly very technical/specific and  partly very general.

One approach (the most often seen one) to implementing PCI-DSS is to get the requirements document, and

• compile a huge check list, one item per requirement
• find for each requirement the cheapest/easiest solution
• hire a PCI-QSA (Qualified Security Assessor – your external auditor) to attest compliance

Jede Firma hat Sicherheits-Schwachstellen, das dürfte unbestritten sein. Firmen, die ein Informationssicherheits-Management-System (ISMS) etabliert haben, haben damit in der Regel auch einen geordneten Prozess, wie mit den Schwachstellen umzugehen ist. Spätestens bei den Fragen “Wie schlimm ist es denn?” und “Was soll zuerst beseitigt werden?” treten dann aber Probleme auf. Hat man unterschiedliche Quellen, die einem Schwachstellen melden (externe Penetration Tester, interne Tester, Security-Listen  …) , dann hat jede dieser Quellen meist auch ihr eigenes System, um die Schwachstelle zu bewerten. Für fundierte Entscheidungen genügt dies nicht (ist “Nebenabweichung” schlimmer als “Mittelschwere Schwachstelle”  …?).

Manche Organisationen haben daher ein eigenes Scoring-System entwickelt, um etwaige Schwachstellen zu klassifizieren. Beispiele hierfür sind Microsoft und das US-CERT. Deren Scores sind aber nur jeweils in ihrem eigenen Kontext verwendbar, sie können nicht zur Klassifizierung beliebiger Schwachstellen verwendet werden. Aus diesem Grund wurde vor einigen Jahren das Common Vulnerability Scoring System (CVSS) entwickelt. Dieses stellt ein Framework zur Verfügung, um Schwachstellen einheitlich zu bewerten. Diverse Hersteller von Produkten (z.B. Vulnerability Scanner) verwenden mittlerweile diesen Score, um gefundene Schwachstellen zu bewerten. CVSS ist bereits in der Version 2.0 angekommen, hier wurden einige grundlegende Probleme angepasst. Seit das PCI (Payment Card Industry) Council den CVSS Score im Rahmen von ASV (Approved Scanning Vendor) Vulnerability Scans als Entscheidungskriterium für PCI-DSS (Data Security Standard) Compliance heranzieht, hat CVSS endgültig seinen Durchbruch geschafft und kann als etablierter Standard betrachtet werden.

CVSS bewertet Schwachstellen mit drei aufeinander aufbauenden Scores (mit einem Werte von jeweils 1-10, wobei 10 ein sehr hohes Risiko darstellt):

• Base Score: Wie der Name sagt, wird hier der Basis-Score für die Schwachstelle berechnet
• Temporal Score: Hier wird der Base Score mit zeitlichen Parametern bewertet. Beispielsweise ist hier relevant, ob gerade mal ein “Proof-of-Concept”-Code zur Verfügung steht, oder ob bereits ein Wurm die Schwachstelle vollautomatisch ausnutzt.
• Environmental Score: Der letzte Score bewertet das eigene Umfeld, aufbauend auf den Temporal Score. Hier wird zum Beispiel der Verbreitungsgrad der Schwachstelle im Unternehmen in betracht gezogen.

Hersteller von Sicherheits-Produkten können daher immer nur maximal den Temporal Score zur Verfügung stellen, der Environmental Score muss von jedem Unternehmen selbst berechnet werden.

In der Praxis hat CVSS seine Tücken, denen man sich bewusst sein sollte. Beispielsweise wird der Temporal Score durch einen Parameter namens “Remediation Level” beeinflusst. Hier wird der Score gesenkt (also, das Risiko geringer bewertet), wenn der Hersteller eines anfälligen Produkts beispielsweise schon einen Patch bereitgestellt hat. In der Praxis hilft das natürlich wenig (sprich: gar nicht), das Risiko zu minimieren, solange der Patch nicht eingespielt wurde. Wenn der Patch dann eingespielt wurde und wirksam ist, dann benötigt man wiederum keinen CVSS Score mehr, denn dann ist die Schwachstelle ja bereits geschlossen … Daher ist im Alltag zu empfehlen, diesen Parameter zu ignorieren, indem man ihn auf “n/a” setzt.
Ebenfalls sollte beachtet werden, dass sich CVSS nur zum Scoring von technischen Schwachstellen in Software eignet. Andere Schwachstellen können damit nicht bewertet werden. Daher sollte man nicht versuchen, CVSS als allgemeines Risiko-Scoring im Rahmen von Risiko-Analysen zu verwenden. Allerdings kann man CVSS sehr gut verwenden, um technische Software-Schwachstellen über eine geeignete Metrik in das eigene Risiko-Management einfließen zu lassen.

Was lässt sich nun in der Praxis mit CVSS anfangen? Ein guter Weg ist, CVSS in eine Policy für Vulnerability Management einzubetten. In dieser Policy beschreibt man die Prozesse zum Umgang mit Schwachstellen im Unternehmen. Der CVSS Score kann dann herangezogen werden, um Aktivitäten abhängig vom Score abzuleiten. Beispielsweise kann ein sehr hoher CVSS Score eine  Sondersitzung des Security Councils als nächsten Schritt nötig machen. Ebenso kann diese Policy mit einer Risiko-Management-Policy verlinkt werden, um, abgeleitet aus dem CVSS Score, eine Normierung auf einen Risiko-Index durchzuführen (für alle oder für ausgewählte Scores).

Zur praktischen Berechnung eines CVSS Scores sollte entweder ein geeignetes Hilfs-Tool (z.B. ein Excel-Sheet) erstellt werden, oder ein Online-Rechner herangezogen werden. Bei Online-Rechnern sollte beachtet werden, dass manche alten Rechner nur die Version 1 des CVSS berechnen und damit nicht mehr eingesetzt werden sollten.

Seit kurzem gibt es neben CVSS noch ein zweites, unabhängiges Scoring System: Das Common Weakness Scoring System (CWSS). Mehr dazu in einem Folge-Artikel.

Gerade habe ich das Buch “Konfliktmanagement für Sicherheitsprofis” zu Ende gelesen. Ich bin mir nicht wirklich sicher, ob ich das Buch weiterempfehlen kann. Ich habe auch als “altgedienter Veteran” einige Ideen und Anregungen mitgenommen, die ich bei Gelegenheit einmal ausprobieren möchte. Aber dafür ist mir der Preis von 39,95 EUR eigentlich zu hoch.

Das Buch könnte sich vom Preis-Leistungs-Verhältnis für frischgebackene DSBs und Information Security Officer eignen, die noch nicht viel Alltags-Erfahrung haben und sich noch nie mit Konflikmanagement auseinandergesetzt haben. Prinzipiell werden in dem Buch klassische Ansätze aus dem Konflikt-Management genommen und für den Alltag eines InfoSec-Exterten angepasst. Da bleibt es nicht aus, dass sich das Buch stellenweise etwas wie ein Lehrbuch für Erstsemester Psychologie-Studenten liest.

Alles in allem finde ich das Buch für die Menge an interessantem Inhalt zu teuer. Von mir 3 von 5 Sterne.

Manchmal bietet es sich an, neben der rein verbalen Beschreibung eines Prozesses diesen auch grafisch abzubilden. Ich habe in den letzten Jahren dazu verschiedene Tools ausprobiert. Gefrustet von den obligatorischen Visio-Zeichnungen habe ich mich dann mal BPMN (Business Process Modelling Notation) zugewandt. Diese ist einerseits standardisiert und andererseits auch relativ intuitiv für Nicht-Eingeweihte zu verstehen. Als Tool kann ich dafür den kostenlosen Modeler von BizAgi empfehlen. Allerdings sollte man darauf achten, nicht zu viele Elemente in einen Prozess zu verwenden, sonst wird die Positionierung etwas anstrengend zu verwalten.

Eine gute Quelle für Dokumentvorlagen rund um das Thema ISO27000 ist das ISO27K Toolkit. Die Dokumente sollten natürlich nicht einfach blind übernommen werden, eignen sich aber hervorragend als Ideensammling. Die Dokumente sind im Wesentlichen in Englisch.