Sicherheitsprofil für Cloud Computing Schwerpunkt: CRM-Software nach dem SaaS-Modell - UAG 1 Sicheres Cloud Computing Arbeitsgruppe 4
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Arbeitsgruppe 4 Vertrauen, Datenschutz und Sicherheit im Internet UAG 1 · Sicheres Cloud Computing Sicherheitsprofil für Cloud Computing Schwerpunkt: CRM-Software nach dem SaaS-Modell
Sicheres Cloud Computing am Beispiel CRM (SaaS) Sicheres Cloud Computing am Beispiel CRM (SaaS)
Impressum Inhalt
Arbeitsgruppe 4 und UAG 1 . . . . . . . . 4
Dokumentation der Ergebnisse der AG 4,
Unterarbeitsgruppe 1 · Sicheres Cloud Computing Inhalte und Vorgehen . . . . . . . . . 5
zum Nationalen IT Gipfel 2013/2014
Akteure und Architektur . . . . . . . . 6
Leitung der Arbeitsgruppe:
Deutsche Telekom AG Bedrohungsklassifikation nach STRIDE . . . 7
Ansprechpartner Leitung der Arbeitsgruppe:
T-Systems International GmbH Profil-Verfeinerung / Fokussierung
80995 München Schautafel . . . . . . . . . . . . 8 + 9
http://www.t-systems.de
Mitgliederliste der Unterarbeitsgruppe 1 Steckbriefe
Alle Mitglieder auf der Umschlagrückseite Spoofing im
Gestaltung und Produktion: Access & Delivery Layer . . . . . . . . . . . . . . . . . . 11
Im Auftrag von: Tampering im
Deutsche Telekom AG Access & Delivery Layer . . . . . . . . . . . . . . . . . . 12
Hewlett-Packard GmbH Repudiation im
Access & Delivery Layer . . . . . . . . . . . . . . . . . . 13
Microsoft Deutschland GmbH
Denial of Service im
Inhalte: Access & Delivery Layer . . . . . . . . . . . . . . . . . . 14
Bundesamt für Sicherheit in der Informationstechnik Elevation of Privilege
Postfach 20 03 63 · 53133 Bonn im Access & Delivery Layer . . . . . . . . . . . . . . . . 15
https://www.bsi.bund.de Information Disclosure
im Access & Delivery Layer . . . . . . . . . . . . . . . . 16
Ausfall der externen
Kommunikationsverbindung . . . . . . . . . . . . . . . . 17
Tampering im
Cloud Service Layer . . . . . . . . . . . . . . . . . . . . 18
Information Disclosure
im Cloud Service Layer . . . . . . . . . . . . . . . . . . . 19
Tampering in der
Cloud Management Plane . . . . . . . . . . . . . . . . . 20
Elevation of Privilege in
der Cloud Management Plane . . . . . . . . . . . . . . . 21
Information Disclosure
im Resources Control Layer . . . . . . . . . . . . . . . . 22
Denial of Service im
Inhalte des Dokuments: Resources Control Layer . . . . . . . . . . . . . . . . . . 23
(Steckbriefe und Sicherheitsanforderungen)
© Bundesamt für Sicherheit in Anhang
der Informationstechnik 2014
Sicherheitsanforderungen . . . . . . . . . . . . . . 24
Prozessübersicht . . . . . . . . . . . . . . . . . 27
Diese Broschüre wird kostenlos abgegeben und ist nicht
zum Verkauf bestimmt. Nicht zulässig ist die Verteilung Umschlag
auf Wahlveranstaltungen und an Informationsständen Mitgliederliste der Unterarbeitsgruppe 1 . . . . . . . . . 28
der Parteien sowie das Einlegen, Aufdrucken oder
Aufkleben von Informationen oder Werbemitteln.
2 AG 4 · UAG 1 · Nationaler IT-Gipfel AG 4 · UAG 1 · Nationaler IT-Gipfel 3
Sicheres Cloud Computing am Beispiel CRM (SaaS) Sicheres Cloud Computing am Beispiel CRM (SaaS)
Arbeitsgruppe 4 Sicherheitsprofil für Cloud Computing: Inhalte und Vorgehen
Die Arbeitsgruppe 4 „Vertrauen, Datenschutz und Sicherheit im Internet“ stellt sich den Die UAG1 hat sich bei der Erarbeitung des Sicherheitsprofils der CRM-Software nach dem
Herausforderungen, die mit der Durchdringung unseres Alltags mit dem Internet verbunden sind. Software-as-a-Service-Modell als exemplarische Cloud-Computing-Anwendung gewidmet.
Sicherheit und Datenschutz sind die wesentlichen Grundlagen für die Schaffung von Vertrauen Als Customer Relationship Management (kurz: CRM, dt. Kundenbeziehungsmanagement) bezeichnet
im Internet. Etwa 80 Prozent aller Deutschen nutzen das Internet für geschäftliche und für private man die Software, Daten und Services, die ein Unternehmen nutzt, um die Kundenbeziehungsprozesse
Aktivitäten. Auch die wirtschaftliche Prosperität unseres Landes ist zunehmend mit dem Internet abzubilden und zu gestalten. CRM integriert unternehmensweit alle kundenbezogenen Prozesse in
verbunden: Die Geschäfte von 50 Prozent aller Unternehmen in Deutschland sind heutzutage mittel bis Marketing, Vertrieb, Kundendienst sowie Forschung und Entwicklung.
stark vom Internet abhängig.
CRM-Systeme basieren meist auf Standardsoftware: einer zugrundeliegenden Datenbank mit
Nicht zuletzt aus diesen Erwägungen heraus folgt die gemeinsame Verantwortung von Staat und den Kundendaten plus fest definierten Prozessen für die Arbeitsabläufe (Workflow). Für spezielle
Wirtschaft, den Cyber-Raum sicher zu gestalten. Die unterjährige Arbeit der AG 4 erfolgt dabei zum Anforderungen werden CRM-Systeme auch als Individuallösungen realisiert.
großen Teil in den jeweiligen Unterarbeitsgruppen (UAG), die sich mit Fragen des Cloud Computing, der
Sicherheit elektronischer Identitäten im Internet, mit der Stärkung der Providerverantwortung und mobiler CRM-Systeme zählen zu den ersten Anwendungen, die als SaaS-Dienstleistungen angeboten wurden
Sicherheit beschäftigen. (nach Webmail und Online-Speicher). Die Vorteile des Cloud Computing liegen hier auf der Hand:
Schnelle Skalierbarkeit auch in Spitzenlastzeiten (zum Beispiel im Weihnachtsgeschäft) und bei raschem
Wachstum des Unternehmens; gleichzeitig ist der Zugriff auf das CRM-System auch bei verteilten
Co-Vorsitzende
Standorten und für Unternehmen mit hoher Zahl von Außendienst- und externen Mitarbeiten (Vertrieb,
Dr. Thomas de Maizière · Bundesminister des Innern
Kundendienst, Dienstleister) möglich.
Dr. Walter Schlebusch · Vorsitzender der Geschäftsführung, Giesecke & Devrient GmbH
Vorgehensweise und berücksichtigte Sicherheitsstandards
Bei der Betrachtung der Bedrohungen für SaaS-Systeme am Beispiel eines CRM-Systems wurden –
aufbauend auf der Betrachtung, dass der CRM-Prozess in die 3 grundsätzlichen Schritte
LogIn > Aktion > LogOut zu unterteilen ist, – über 30 Prozesse analysiert und insgesamt
UAG 1 · Sicheres Cloud Computing 60 Angriffsmöglichkeiten ermittelt. Diese hohe Zahl ergibt sich aus der Komplexität der Bezugsgrößen:
(Leitung Deutsche Telekom AG) 5 berücksichtigte Sicherheitsstandards
Die Potenziale des Cloud Computing sind sowohl aus Anwendersicht als auch als Sicht der den 6 Angriffsarten aus dem STRIDE-Modell
Industrie immens. Dabei kommt es zunehmend darauf an, das geeignete regulatorische Umfeld für den insgesamt 5 Bereichen (Schichten),
Cloud Computing zu definieren. Über technische Standards hinaus werden dabei im Wesentlichen in denen es zu Angriffen kommen kann
Fragen des Datenschutzes und der IT-Sicherheit – und damit auch die Akzeptanz durch den sowie den 4 unterschiedlichen Akteuren, die
Nutzer – berührt. angegriffen werden können und die es zu schützen gilt
In der Unterarbeitsgruppe 1 wurde am Beispiel der Kundenbetreuung die Sicherheitsthematik Ausgehend von den Bedrohungsarten wurde ein spezielles Schichtmodell abgeleitet.
im Cloud Angebot durchleuchtet. Insbesondere kleinen und mittleren Unternehmen wird Die Arbeitsgruppe selektierte dann in einem weiteren Verfahrensschritt ein Profil
zusätzlich durch die Bereitstellung eines elektronischen Portals (technisches) Wissen von 13 Bedrohungen, welches in diesem Heft vorliegt.
in gebündelter Form zugänglich gemacht.
Dieses Infoblatt dient einer schnellen Übersicht und Abbildung der erarbeiteten 13 Steckbriefe.
4 AG 4 · UAG 1 · Nationaler IT-Gipfel AG 4 · UAG 1 · Nationaler IT-Gipfel 5
Akteure und Architektur Bedrohungsklassifikation nach STRIDE
Die Akteure
In CRM-Anwendungen nach dem SaaS-Modell sind Unternehmen, das das SaaS-Angebot in Anspruch Den Analysen zu Grunde liegen die Attacken des sogenannten STRIDE-Modells. Die Buch-
Akteure beteiligt, die man zum einen nach dem Schich- nimmt. Auf Seiten des Serviceanbieters sind hauptsäch- staben stehen für die sechs wichtigsten Bedrohungsarten:
tenmodell des IETF Cloud Stack unterscheidet und zum lich IT-Administratoren sowie Sub-Dienstleister beteiligt,
anderen danach, ob es sich um Provider (Serviceanbie- die die erforderliche Cloud-Umgebung bereitstellen und Spoofing (Vortäuschen und Missbrauch fremder Identitäten)
ter) oder Subscriber (Serviceabonnenten) handelt. überwachen. ABCDEF
123456
Spoofing gilt als eine der gravierendsten Be- weiterzugeben, mit Schadsoftware verse-
drohungen für Computernetze und Cloud hene Dokumente oder Webseiten zu öffnen
Zu den Serviceabonnenten zählt man die tatsächli- Die folgenden Schichten des IETF Cloud Stack sind von Computing. Spoofing ist meist Ausgangs- und so sein System mit Schadsoftware zu
chen Endnutzer und die IT-Administratoren bei dem den Bedrohungen betroffen: Spoofing
punkt für weiterreichende Angriffe, insbe- infizieren. Alternativ kann der Angreifer ver-
sondere auf dem Access and Delivery Layer suchen, über unbemerkte Man-in-the-Midd-
(ADL) – das typische Einfallstor für Angriffe. le-Attacken die Kontrolle über Kommunikati-
onswege und/oder Zugriff auf Ressourcen zu
Ein externer Angreifer versucht beim Spoo-
erlangen. Mit den beim Spoofing erlangten
Architektur fing, Nutzer durch gefälschte E-Mails, kom-
Authentifikationsdaten (Benutzername und
promittierte Webseiten oder auch Anrufe
Access and Delivery Layer Kennwort) kann er sich Zugriff auf die Infra-
dazu zu verleiten, entweder Informationen
Das Access and Delivery Layer (ADL) berechtigte Subscriber und Provider auf struktur und Daten verschaffen.
ist die Schicht der Cloud Architektur, die CRM-Anwendung zugreifen genau-
Tampering (Manipulieren von Daten)
A &D über die Verbindungen zur „Außenwelt“
(alle Akteure außerhalb des Cloud Ser-
so wie unberechtigte. Auf dieser Schicht
können alle sechs Angriffsarten des
Von Tampering spricht man, wenn ein An- gespeichert sind; das kann aber auch die
Access & Delivery greifer unberechtigterweise Daten verändert. Manipulation von Daten sein, die über ein
vice Providers) hergestellt werden. Aber STRIDE-Modells stattfinden; Angriffe
Das kann die Manipulation von Daten sein, Netzwerk übertragen werden. Häufig wird die
auch interne Akteure loggen sich über auf dieser Schicht können alle Akteure Tampering
die in einer Datenbank oder einem Dokument Manipulation erst erheblich später bemerkt.
diese Schicht ein. Diese Schicht ist betreffen.
eine kritische Komponente, da über sie Repudiation (Abstreiten)
Repudiation bedeutet, dass ein Angreifer eine Beispiel, weil die Möglichkeit fehlt, die Opera-
Externe Kommunikation nicht erlaubte Operation in einem System tion nachzuverfolgen. So kann er, sofern die
Darunter versteht man sämtliche Netz- ist ein Zugriff auf die Cloud ohne Netz- durchführt, ohne dass der Nachweis geführt Aktion doch entdeckt wird, die Tat abstreiten
Repudiation
ExC verbindungen. Sie sind kritisch für die
Nutzung der Cloud-Services, schließlich
verbindung nicht möglich. werden kann, dass a) die Operation stattge-
funden hat und b) er der Verursacher war – zum
(daher der Begriff Repudiation).
Ext. Communication
Information Disclosure (Vertraulichkeitsverlust)
Cloud Service Layer Dabei erlangen Personen Zugriff auf vertrau- während diese von einem System zu einem
Das „Cloud Service Layer“ bestimmt benötigten Ressourcen, Art, Zeitpunkt liche Daten, die dazu nicht berechtigt sind. anderen übertragen werden. Anders als bei
den Bedarf an Ressourcen, die für die und Dauer der Bereitstellung). Hier dro- Zwei Beispiele: Nutzer können Dokumente Tampering erhält der Angreifer „nur“ Lesezu-
CSL
Information Disclosure
zuverlässige Bereitstellung des Service hen Manipulationen, Rechteeskalation einsehen, für die sie keine Leseberechtigung griff; der Angriff wird häufig nicht bemerkt. Ty-
benötigt werden (Art und Umfang der sowie Vertraulichkeitsverlust. haben; ein Angreifer erlangt Zugriff auf Daten, pischer „Anwendungsfall“: Industriespionage.
Cloud Service Layer
Denial of Service (Dienstverweigerung)
Cloud Management Layer Denial-of-Service-Angriffe (DoS) bedrohen ist so für andere Nutzer nicht zugänglich.
Auf der Cloud-Management-Ebene Service, die Überwachung des opera- die Verfügbarkeit und verhindern, dass be- Gleichzeitig versucht der Angreifer häufig,
werden Funktionen für die Administrati- tiven und Alarmfunktionen bei sicher- rechtigte Nutzer Zugriff auf Ressourcen er- sich unberechtigten Zugriff auf den Server
CMg on und Überwachung der Cloud-Umge-
bung bereitgestellt. Dazu gehören u. a.
heitsrelevanten Ereignissen. Außerdem
werden hier die Sicherheitsservices der
Denial of Service
halten. Typischerweise wird dazu ein Web-
server durch eine sehr hohe Anzahl von (nicht
zu verschaffen, um dort zum Beispiel Daten
einzusehen oder sich höhere Zugriffsrechte
Cloud Management
die Einbindung der Cloud-Komponen- Cloud selbst verwaltet – Manipulationen gültigen) Zugriffsversuchen überlastet und zu verschaffen.
ten auf der Basis der Einsatzrichtlinien, und Rechteeskalation haben auf dieser
die Verwaltung und Registrierung von Ebene besonders gravierende Folgen. Elevation of Privilege (unzulässige Erweiterung von Rechten)
Dabei verschafft sich ein Angreifer erweiterte durchbricht ein Angreifer auf diese Weise
Zugriffsrechte und kann so unrechtmäßig auf sämtliche Schutzsysteme und wird Teil des
Ressource Control Ressourcen zugreifen und das System kom- vertrauenswürdigen Systems.
Elevation of Privileges
Der Ressourcen-Layer ist für die Verwal- Vertraulichkeitsverlust (Information Dis– promittieren oder stören. Im schlimmsten Fall
tung der verschiedenen Ressourcen des closure, Stichwort: Indus triespionage)
Res Ressourcenpools und die Zugriffe auf
physikalische sowie virtuelle Komponen-
oder auch Manipulation (Tampering)
führen – Ausfälle von Hardwarekompo-
Ressourcen
ten zuständig. Angriffe darauf können zu nenten zu Betriebsunterbrechungen.
6 AG 4 · UAG 1 · Nationaler IT-Gipfel AG 4 · UAG 1 · Nationaler IT-Gipfel 7
ABCDEF
123456
Sicheres Cloud Computing am Beispiel CRM (SaaS) A &D Steckbrief
Access & Delivery Spoofing
A &D
Spoofing im
Access & Delivery Layer
ABCDEF
123456
Access & Delivery
ExC
Spoofing
A &D Spoofing stellt für das Access & Delivery Layer (ADL) eine Noch näher zu betrachtende Bereiche
Ext. Communication
Access & Delivery Denial of Service der größten Bedrohungsflächen dar. Für Cloud-Systeme ist In Abhängigkeit von den Architekturkonzepten, Sicherheits-
Tampering die erfolgreiche Verwendung „vorgetäuschter“ oder manipu- konzepten und -richtlinien der einzelnen Akteure, sowie de-
CSL lierter Identitäten eine Methode, um an Kunden oder Kon-
Cloud Service Layer
ren Umsetzung und Kontrolle, lassen sich die noch genauer
figurationsdaten zu gelangen. Sobald ein Angreifer im ADL zu betrachtenden Bereiche wie folgt priorisieren:
CMg
Cloud Management
Repudiation
Vereinfachter ALARP erfolgreich spoofen konnte, ist er imstande Aktivitäten und
Transaktionen zu belauschen und Daten zu manipulieren. 1. Überprüfung der Sicherheitskonzepte und -richtlinien
Wahrscheinlichkeit und Erfolgreiches Spoofing ist überdies Ausgangspunkt für wei- aller Akteure auf der Grundlage einer validen Schutzbe-
Res tere Bedrohungen. darfsfeststellung und in Bezug auf die aktuell gegebene
Schadenshöhe in einer
Information Disclosure
Risiko- und Bedrohungslage. Dies beinhaltet die Funkti-
Ressourcen
kompakten Übersicht Im einfachsten Fall wird ein externer Angreifer versuchen, onen des Portal Gateways, Inter-Cloud Funktionalitäten
Denial of Service
mittels vorgetäuschter Kommunikationsverbindungen, wie mit Sub-Provider und die SLAs mit dem ISP.
zum Beispiel durch falsche E-Mails, (Support-) Websites 2. Etablierte Maßnahmen zur Reduzierung der Möglichkei-
oder Anrufe, den jeweiligen Akteur zur Aufdeckung bzw. ten für Angreifer, erfolgreich zu spoofen. Dies beinhaltet
Elevation of Privileges
Weitergabe dieser Informationen zu bewegen. Eine weite- unter anderem:
re Möglichkeit für Spoofing ist, mittels unbemerkter „Man-
01. Der sichere Umgang von Kennwörtern und Benutzerken-
In-The-Middle“-Attacken die Kontrolle über die Datenwege
bzw. den Zugriff auf entscheidende Systemkomponenten zu nungen. E-Mails, in denen zum Zugriff auf das CRM auf-
erlangen. gefordert wird oder die nach den Zugangsdaten fragen,
sollten gelöscht werden.
Besondere Spoofing-Attacken 02. Die strikte Trennung von Nutzern und die Beschränkung
auf ADL für SaaS CRM auf die die nötigsten Berechtigungen, sichere und zuver-
lässige Benutzer- und Berechtigungsverwaltung sowie
Für das Szenario „SaaS CRM“ kommen alle Akteure dieses sicheres Session Handling.
Profils in Betracht. Dabei lassen sich vor allem folgende
Spoofing-Einzelbedrohungsszenarien für das Access & De- Trotz umgesetzter technischer und organisatorischer Si-
livery Layer erkennen: cherheitsmaßnahmen, kann nicht endgültig verhindert
werden, dass einzelne Spoofing Attacken wie Blind Spoo-
1. Missbrauch von Zugriffsrechten mittels fremder bzw. fing, Non-Blind Spoofing (aus dem gleichen Sub-Netzwerk),
gefälschter Authentifikationsdaten bei der Anmeldung Referrer-Spoofing, Content-Spoofing (Pishing, DHTML Spoo-
(Login) der SaaS CRM-Anwendung fing, Website Spoofing, URL Spoofing) erfolgen und Man-in-
Akteure und Prozesse 01. die Anmeldung als „gespoofter“ SEU könnte den Zugriff the-middle-Attacken oder Denial of Service Attacken aus-
auf einzelne, nicht zuletzt auch vertrauliche Daten zur geführt werden.
Betroffene Prozesse sind mit roter Folge haben
Zahl, besonders wahrscheinliche
Sicherheits- Angriffsflächen mit rotem
02. die Anmeldung als „gespoofter“ SAD hat zusätzlich den Zugriff auf die Be-
nutzerverwaltung des SaaS CRM zur Folge Restrisiken
anforderungen Hintergrund gekennzeichnet. 03. die Anmeldung als „gespoofter“ CSP Administrator hat die mögliche Kom-
• u nsicherer Umgang mit Benutzerkennung auf der Seite des Subscribers und
promittierung des gesamten SaaS CRM aller Kunden zur Folge
Die betroffenen Normen Die einzelnen Akteure sind auf der des Sub-Providers
04. der Internet Service Provider (ISP) und der CSP Sub-Provider sollten in der
sind rot hervorgehoben. Schaugrafik Seite 8/9 erkennbar Regel über keine SaaS CRM-Benutzerkonten verfügen und werden daher • fahrlässiges sowie vorsätzlich böswilliges Verhalten auf der Seite des Sub-
Eine erste Übersicht dazu (SAD, SEU, CSP) hier nicht weiter betrachtet. scribers, des Sub-Providers, des ISP und durch die CSP Administrator
finden Sie im Anhang 2. Missbrauch ungeschützter bzw. nicht beendeter Sitzungen (Sessions) • u ngenügend bzw. unzureichend gesicherte Kommunikationsverbindungen
Eine Übersicht zu den hier
Seite 24-26. 01. Abgefangene Cookies (z. B. mit Wireshark) werden neu im Browser plat-
in der Verantwortung des Subscribers, des Sub-Providers und des ISP
referenzierten Prozessen
ziert, um SaaS Sessions neu zu laden, oder • ungenügend bzw. unzureichend gesicherte Systemkomponenten auf der
finden Sie auf Seite 27
02. es wird mit einem solchen Cookie unbemerkt auf Komponenten in der Seite des Subscribers, des Cloud Service Providers, des Sub-Providers und
dieser Broschüre. des ISP
Cloud Architektur zugegriffen.
Beispiele für die Benutzung und Zuordnung des Anhangs: 3. Abfangen des Datenverkehrs
01. durch Vortäuschung einer gefälschten Login-Website oder
AES-03: Die Anwendung setzt 02. durch Vortäuschung eines legitimierten Empfängers und somit Um- bzw.
eine sichere Identifikation Weiterleitung des Datenverkehrs in Richtung einer gefälschten Identität
und Authentisierung externer (z. B. mit SSL Strip).
Zugriffe durch. (...) 4. Weiterleitung des zuvor abgefangenen Datenverkehrs unter Verwendung
von gefälschten Identifikations- / Absendermerkmalen
01. Dieses Szenario stellt gegebenenfalls den bedrohlichsten zu erwartenden
PIM-03: Der CS-Anbieter legt
Fall dar, da es sich hierbei um einen unerkannten Teilnehmer auf dem Kom-
die Schnittstellen für den munikationsweg handelt. Dieser Angriff lässt sich allerdings nur sehr auf-
Datenaustausch und die wendig realisieren, wenn die Verbindung nicht hinreichend kryptografisch
Datenspeicherung offen. abgesichert ist. Bei nicht ausreichender Verschlüsselung besteht allerdings
das Risiko des Spoofings für alle Nutzer der SaaS CRM Anwendung und
kann zur Offenlegung aller Daten aller Nutzer führen.
10 AG 4 · UAG 1 · Nationaler IT-Gipfel AG 4 · UAG 1 · Nationaler IT-Gipfel 11
Steckbrief A &D A &D Steckbrief
Access & Delivery Tampering Access & Delivery Repudiation
Tampering im Repudiation im
Access & Delivery Layer Access & Delivery Layer
Tampering stellt für das Access & Delivery Layer (ADL) eine 4. Datenmanipulation auf Grund einer ungenügenden Tren- Repudiation stellt eine nicht zu unterschätzende Bedro- 4. Unzureichender Schutz von Protokolldaten
kritische Bedrohungsfläche dar, da es eine Gefährdung aller nung der Mandanten hungsfläche für das Access & Delivery Layer (ADL) dar. Im 01. Ein unzureichender Schutz von Protokolldaten erleich-
auf dem ADL befindlichen Konfigurations- und ggf. auch Au- 01. Eine unsichere Trennung der Systeme und Daten auf der ADL wird der maßgeblich vom Subscriber aufkommende tert deren Manipulation und damit die Verschleierung
thentifikationsdaten der Access- und Sicherheitssysteme, Seite des CSP ermöglicht oder erleichtert Mandanten die Datenverkehr angenommen. Im ADL erfolgt die Authentifi- fahrlässiger oder böswilliger Manipulationen.
wie beispielsweise der Service Gateways und der durch das Einsichtnahme (→Information Disclosure) und den Zu- zierung sowie nach erfolgreicher Anmeldung auch die Auto-
ADL ermöglichten Verwaltungsportale, wie beispielsweise griff auf die Daten eines anderen Mandanten. risierung der Nutzer bzgl. der Funktionalitäten und Zugriffe Noch näher zu betrachtende Bereiche
das User Portal, bedeutet. 02. Ein Angreifer gelangt aufgrund einer nicht hinreichend auf die SaaS CRM Anwendungen und den darin verarbeite- In Abhängigkeit von den Architekturkonzepten, Sicherheits-
gesicherten Verbindung mit dem SEU und der Daten ten/gespeicherten Daten. Werden diese Aktionen nicht aus-
Tampering ist vor allem eine Folge erfolgreicher →Spoo- reichend protokolliert (durch Logging der einzelnen Aktionen
konzepten und -richtlinien der einzelnen Akteure, sowie de-
fing-Attacken. Externe wie interne Angreifer erlangen unter haltungsschicht des CSP an die übermittelten Daten. ren Umsetzung und Kontrolle, lassen sich die noch genauer
und den handelnden Akteuren), ist ein Angreifer ggf. in der zu betrachtenden Bereiche wie folgt priorisieren:
Nutzung gefälschter Identitäten Zugriff auf Kommunikati- 5. Datenmanipulation durch nicht kommunizierte, nicht ab- Lage, seine eigentliche Identität und damit fahrlässige oder
onsverbindungen, Cloud-Systeme, Komponenten und An- gestimmte Prozesse auch böswillige Handlungen (→Tampering, →Information 1. Überprüfung und ggf. Anpassung der Sicherheitskon-
wendungen und sind anschließend in der Lage, Daten im 01. Im erweiterten Sinne kann auch ein nicht vorher mit Disclosure oder →Denial of Service) zu verschleiern. zepte und -richtlinien auf der Grundlage einer validen
ADL bzw. über das ADL in der nachgelagerten Cloud-Infra- dem Subscriber vereinbarte Datenwiederherstellung (im Schutzbedarfsfeststellung und in Bezug auf die aktuell
struktur zu manipulieren oder manipulierte Daten einbringen Rahmen eines Backup und Recovery Verfahrens) durch Repudiation wird möglich durch erfolgreiches →Spoofing gegebene Risiko- und Bedrohungslage durch die betrof-
zu können. Innentäter mit Administratorrechten können im den CSP den Anschein des Tamperings erwecken. Da- bzw. wenn es einem Angreifer gelingt das Logging oder fenen Akteure, d. h.:
Access und Delivery Layer insbesondere durch Manipulation durch erscheint dem SEU beim nächsten Login ein alter Log-Protokolle zu manipulieren oder durch Manipulation 01. das Cloud Architekturkonzept des CSP, insbesondere
der Konfigurationsdaten und der Sicherheitskomponenten Sachstand, der dem SEU zunächst wie ein veränderter zu umgehen, beispielsweise durch →Tampering der Konfi- bzgl. des User Portals und der Service Gateways sowie
Schaden anrichten. Ferner können Sie die Benutzerverwal- Sachstand erscheint. guration relevanter ADL-Komponenten. Ist kein lückenloser der Inter-Cloud Funktionalitäten,
tung im ADL manipulieren. Nachweis bzgl. erfolgter Anmeldungen, Zugriffe und erteilter
02. die Sicherheitskonzepte und IT-Sicherheitsrichtlinien
Noch näher zu betrachtende Bereiche Berechtigungen mittels eines geeigneten und strikten Log-
Die Bedrohung durch Tampering wird seitens der Cloud Se- gings sichergestellt, so kann nicht nachgewiesen werden, des CSP, des Subscribers und Sub-Providers, einschl.
curity Alliance im aktuellen Dokument „The Notorious Nine In Abhängigkeit von den Architekturkonzepten, Sicherheits- Berechtigungs- und Rollenkonzepte,
welcher Benutzer in der SaaS CRM Anwendung welche Tä-
Cloud Computing Top Threats 2013“ als eine kritische Be- konzepten und richtlinien der einzelnen Akteure, sowie de- 03. die Vertrags- und SLA-Gestaltung mit dem ISP durch die
tigkeiten wann durchgeführt hat und damit für welche Daten
drohung benannt. ren Umsetzung und Kontrolle, lassen sich die noch genauer einzelnen Akteure.
/ Datenveränderungen verantwortlich ist. Das unzureichen-
zu betrachtenden Bereiche wie folgt priorisieren:
de oder gar fehlende Logging und die ggf. nicht ausreichen- 2. Überprüfung der Logging- und der Protokollierungs
Besondere Tampering-Attacken bzgl. des 1. Überprüfung und ggf. Anpassung der Sicherheitskon- de Trennung der Systeme und Anwendungen auf der Seite Konzepte bzgl. aller in Frage kommender Verbindungs-,
ADL für SaaS CRM zepte und -richtlinien auf der Grundlage einer validen des CSP erleichtern es einem externen oder internen Angrei- System- (einschließlich relevanter Dienste) und Nutzerer-
Für das Szenario „SaaS CRM“ kommen als privilegier- Schutzbedarfsfeststellung und in Bezug auf die aktuell fer nach erfolgreichem →Spoofing unerkannt und ggf. auch eignissen, einschließlich der Konzepte und Prozesse bzgl.
te Tampering-Akteure der Subscriber End User (SEU), der gegebene Risiko- und Bedrohungslage durch die betrof- unbemerkt, Daten zu manipulieren (→Tampering) oder gar der Auswertung dieser Log-Daten und Protokolle, sowie
Subscriber Administrator (SAD) und der Cloud Service Pro- fenen Akteure, d. h.: zu löschen (→Denial of Service). bzgl. der bei Feststellung definierter, sicherheitsrelevan-
vider Administrator (CSA) oder auch Innentäter des ISP in 01. das Cloud Architekturkonzept des CSP, insbesondere ter Ereignisse erforderlichen Maßnahmen
Die Bedrohung durch Repudiation werden auch durch die
Betracht. Dabei lassen sich vor allem folgende Tampering bzgl. des User Portals und der Service Gateways sowie 3. Logging- und Log-Daten-Auswertungskonzepte (Aggre-
Cloud Security Alliance unter die „Notorious Nine Cloud
Einzelbedrohungsszenarien für das Access & Delivery Layer der Inter-Cloud Funktionalitäten, gation und Monitoring sicherheitsrelevanter Ereignisse)
Computing Top Threats 2013“ eingeordnet.
erkennen 02. die Sicherheitskonzepte und IT-Sicherheitsrichtlinien des CSP, des Subscri- des CSP
1. Veränderung der Konfigurationsdaten der ADL Komponenten bzw. der bers und Sub-Providers, einschl. Berechtigungs- und Rollenkonzepte Besondere Repudiation-Gefährdungen 4. Überprüfung der Umsetzung und der Funktionsweise des Loggings und der
Anwendungen 03. die Vertrags- und SLA-Gestaltung mit dem ISP durch die einzelnen Akteure. bzgl. des ADL für SaaS CRM Protokollierung auf den Systemen und Komponenten des Access & Delivery
01. Ein Angreifer erhält nach einer erfolgreichen Spoofing-Attacke Zugriff auf 2. Überprüfung der technischen Maßnahmen zur Validierung und Integritäts- Layers
Für das Szenario „SaaS CRM“ kommen als privilegierte Repudation-Akteure
Konfigurationsdaten der ADL-Komponenten oder Anwendungen. prüfung von persistenten Daten, sowie von Daten während des Transports der Subscriber End User (SEU), der Subscriber Administrator (SAD), der Cloud 5. Authentifizierungs- und Autorisierungskonzept des Subscribers und des
02. Er ist in der Folge in der Lage, mit einer Veränderung (Manipulation) von 3. Authentifizierungs- und Autorisierungskonzepte des Subscribers und des Service Provider Administrator (CSA), der Sub-Provider Administrator (SPA) CSP
Konfigurationsdaten nachfolgendes →Spoofing zu erleichtern, und damit CSP oder auch ein Innentäter des ISP in Betracht. Dabei lassen sich vor allem fol-
auch ein erneutes, ggf. auch wirkungsvolleres Tampering (gestützt auf Restrisiken
4. Logging- und Log-Daten-Auswertungskonzepte (Aggregation und Monito gende Repudiation-Einzelbedrohungsszenarien für das Access & Delivery Lay-
→Elevation of Privilege mit ggf. nachfolgendem →Information Disclosure), ring sicherheitsrelevanter Ereignisse) des CSP er erkennen. • enschliches Fehlverhalten durch ungenügende Schulung oder Sensibili-
m
aber auch die korrekte Ausführung bzw. die Verfügbarkeit des Service ins- sierung hinsichtlich sicherheitsrelevanter Sachverhalte der Mitarbeiter des
1. Unsichere Authentisierung
gesamt zu beeinträchtigen (→Denial of Service). Restrisiken Subscribers, des Sub-Providers, des ISP und des CSP,
01. Eine unsichere oder auch nur unzureichende Authentisierung erleichtert
2. Datenmanipulation durch Hacking der CSP Architektur unzureichende Integritätsprüfungen von Daten auf der Seite des Subscribers, Konfigurationsfehler der SAD und CSP Administratoren,
• →Spoofing, ggf. auch →Elevation of Privilege und damit die verschleierte •
01. Ein Angreifer gelangt entweder nach erfolgreichem →Spoofing oder über
• u ngenügende Sicherung der Architektur und Kommunikation auf der Seite oder abstreitbare Ausführung unzulässiger oder auch böswilliger Aktionen. • u nsicherer Umgang mit Benutzerkennung auf der Seite des Subscribers und
eine unzureichend gesicherte Architektur/Infrastruktur des CSP direkt an des Sub-Providers.
des Subscribers zum Übergabepunkt des CSP, 02. Eine unsichere oder auch nur unzureichende Authentisierung erleichtert
die Datenhaltungsschichten der einzelnen Layer (Hacking einer ungenü-
u nsicherer Umgang mit Benutzerkennung auf der Seite des Subscribers und die Umgehung von Sicherheitsmaßn. im Zugriff auf das ADL.
gend gesicherten und ohne ausreichende Identitätsprüfung von Außen er- •
reichbaren Datenhaltungsschicht), des Sub-Providers, 03. Eine unsichere oder auch nur unzureichende Authentisierung beteiligter
Komponenten, erleichtert den unbemerkten Austausch falsch oder auch
02. Dadurch ist es dem Angreifer möglich, Kenntnis von Kundendaten zu er- • fahrlässiges Fehlverhalten der Mitarbeiter des Subscribers, des Sub-Provi-
böswillig konfigurierter Komponenten.
halten (→Information Disclosure) und/oder Kundendaten zu manipulieren ders, des ISP und der CSP Administratoren,
(→Tampering). 2. Unzureichende Protokollierung
• Konfigurationsfehler der SAD und CSP Administroren,
3. Datenmanipulation durch Abhören der Verbindungen 01. Eine unzureichende Protokollierung von Zugriffen erleichtert die Bestrei-
• S zenarien „Höherer Gewalt“, welche den CSP zum sofortigen Handeln (Re- tung fahrlässiger oder auch böswilliger Aktionen.
01. ein Angreifer gelangt auf Grund einer unsicheren Verbindung zwischen covering von Daten) zwingen. 02. Eine unzureichende Protokollierung und Auswertung der Proto-
dem SEU, dem ADL und nachgelagerter Schichten des CSP an die übermit-
telten Daten (→Information Disclosure). kolle erschwert die unverzügliche und angemessene Reaktion auf
Sicherheitsvorfälle.
02. Dadurch ist es dem Angreifer nicht nur möglich, Kenntnis von Kundenda-
ten zu erhalten (→Information Disclosure), sondern ggf. darüber hinaus, 3. Unzureichender Schutz von Authentifikationsdaten
den Datenverkehr zwischen dem SEU und der Datenhaltungsschicht des 01. Er erleichtert →Spoofing und damit die Verschleierung fahrlässiger oder
CSP umzuleiten. Dadurch könnte der Angreifer mit einer falschen Identität auch böswilliger Aktionen.
(→ Spoofing) eines SEU die Daten anderer SEUs (in der Zeit, in der diese
inaktiv sind) manipulieren und so großen Schaden anrichten.
12 AG 4 · UAG 1 · Nationaler IT-Gipfel AG 4 · UAG 1 · Nationaler IT-Gipfel 13
Steckbrief A &D A &D Steckbrief
Access & Delivery Denial of Service Access & Delivery Elevation of Privileges
Denial of Service im Elevation of Privilege
Access & Delivery Layer im Access & Delivery Layer
Denial of Service stellt in zweierlei Hinsicht eine kritische Be- 3. Unsichere, nicht redundant gestaltete Architektur Elevation of Privilege ist eine Bedrohungsfläche für das Ac- Noch näher zu betrachtende Bereiche
drohungsfläche für das Access & Delivery Layer (ADL) dar. 01. Eine unsichere (nicht ausreichend vor DoS-Attacken cess & Delivery Layer (ADL) deren Risikopotenzial maßgeb- In Abhängigkeit von den Architekturkonzepten, Sicherheits-
Einerseits wird es bzgl. der stetig wachsenden und immer etc. geschützte) sowie nicht ausreichend redundant ge- lich von der Durchsetzung ausreichender und zuverlässiger konzepten und -richtlinien der einzelnen Akteure, sowie de-
komplexer werdenden Anforderungen für Cloud Service Pro- staltete Architektur/Infrastruktur auf der Seite des CSP Authentisierungs- und Autorisierungskonzepte und -maß- ren Umsetzung und Kontrolle, lassen sich die noch genauer
vider immer schwerer, dass Business Modell / den Business führen bereits bei einem einfachen technischen Ausfall nahmen, sowie der strikten Trennung von Zuständigkeiten zu betrachtenden Bereiche wie folgt priorisieren:
Case „Cloud“ in betriebswirtschaftlich sinnvollem Umfang zu einer zumindest partiellen Nichterreichbarkeit des (Separation of Duties) bestimmt wird. Erfolgr. Elevation of
mit der jeweils erforderlichen Hardware zu betreiben (hier SaaS CRM Service. Privilege ermöglicht oder erleichtert den unbefugten und 3. Überprüfung und ggf. Anpassung der Sicherheitskon-
wären zu nennen: Ausfälle auf Grund von Überlastung oder unbemerkten Zugriff auf beispielsweise Authentifikations- zepte und -richtlinien auf der Grundlage einer validen
4. Dienstverweigerung durch Sperrung von Benutzerkonten Schutzbedarfsfeststellung und in Bezug auf die aktuell
Inkompatibilität der Hardware) und andererseits sind Cloud daten von Nutzern, Kundendaten oder auch Konfigurations-
01. Fahrlässiges Fehlverhalten der SEU, beispielsweise ein gegebene Risiko- und Bedrohungslage durch die betrof-
Infrastrukturen zunehmend Ziel möglicher Angriffe (beispiels- daten von Komponenten des ADL und damit →Spoofing,
weise Ausfälle auf Grund von DoS Attacken). Davon betroffen mehrfach fehlerhaftes Login, kann für den SEU einen →Tampering, →Information Disclosure oder →Denial of fenen Akteure, d. h.:
sind im Umfeld des Access & Delivery Layers insbesondere technischen «Denial of Service» durch die Sperrung sei- Service . Für externe Angreifer ist Elevation of Privilege vor- 01. das Cloud Architekturkonzept des CSP, insbesondere
Netzwerkkomponenten und Kommunikationsendpunkte bzw. nes SaaS CRM-Benutzerkontos zur Folge haben. nehmlich Folge erfolgreichen →Spoofings. Für Innentäter bzgl. des User Portals und der Service Gateways sowie
Web-Komponenten (Webserver und Webanwendungen) auf 02. Fahrlässiges Fehlverhalten durch Administratoren des kommen sowohl böswillige und mittels →Spoofing ver- der Inter-Cloud Funktionalitäten,
der Seite des CSP. Subscribers oder CSP, beispielsweise bei einer Ände- schleierte Angriffe, aber auch fahrlässiges Verhalten in Be- 02. die Sicherheitskonzepte und IT-Sicherheitsrichtlinien des
rung vom Konfigurationsdaten, kann zu einer Sperrung tracht. Zu Letzterem gehört insbesondere die unzureichende CSP, des Subscribers und Sub-Providers, einschließlich
Abseits des Denial of Service auf Grund von Fehlkonfiguration von Benutzerkonten führen. Kontrolle der Zuweisung von Nutzerkonten und Zugriffsbe-
bzw. Fehlverhalten durch Innentäter oder logischer Attacken der Berechtigungs- und Rollenkonzepte,
03. Ebenso können böswillige Innentäter (des Subscri- rechtigungen. Nicht auszuschließen ist beispielsweise die 03. die Vertrags- und SLA-Gestaltung mit dem ISP durch die
durch externe Angreifer (entweder als reine DoS-Attacken nicht erfolgte Löschung der Benutzerkonten ausgeschie-
bers wie des CSP), auf der Basis eines erfolgreichen einzelnen Akteure.
oder Folge eines erfolgreichen →Spoofings), sind hierbei
→Spoofings und in der Folge eines →Elevation of Privi- dener Mitarbeitern oder auch die fahrlässige Preisgabe von
insbesondere auch Aspekte des physikalischen Zugriffs auf Authentifikationsinformationen. 4. Prozesse bzgl. der Verwaltung von Subscriber Mandan-
lege eine Sperrung von Benutzerkonten und damit eine
involvierte und relevante Komponenten sowie die ausrei- ten, insbesondere bzgl. der Änderung, Anpassung und
Nichtverfügbarkeit des Service herbeiführen.
chende dynamische Bereitstellung ausreichender Ressour- Eine unzulässige oder unbemerkte Erweiterung von Be- Kontrolle von Nutzerautorisierungen,
cen durch den CSP zu betrachten. Hinzu kommen mögliche 5. Ausfall durch nicht kommunizierte, nicht abgestimmte rechtigungen im ADL kann dazu führen, dass ein Angreifer
Prozesse 5. Überprüfung der Logging- und der Protokollierungs
Störungen oder Ausfälle der in der Verantwortung des ISP auf sicherheitsrelevante Komponenten und Daten zugreifen Konzepte bzgl. aller in Frage kommender Verbindungs-,
befindlichen Kommunikationswege. Insbesondere Innentäter 01. Die Durchführung von nicht vorher mit dem Subscri- kann. Eine solche Erweiterung von Berechtigungen erleich- System- (einschließlich relevanter Dienste) und Nutze-
mit Administratorrechten sind in besonderer Weise für den ber abgestimmten und vereinbarten Wartungsarbeiten tert oder ermöglicht also weitere Attacken wie beispielswei- rereignissen, einschließlich der Konzepte und Prozesse
Zutritt und den Zugriff auf die entsprechenden Komponenten durch den CSP haben können die Nichtverfügbarkeit se →Tampering, →Information Disclosure oder → Denial bzgl. der Auswertung dieser Log-Daten und Protokolle,
des ADL privilegiert. von Komponenten und Funktionen sowie ggf. der kom- of Service. sowie bzgl. der bei Feststellung definierter Ereignisse er-
pletten SaaS CRM-Anwendung für den SEU zur Folge forderlichen Maßnahmen,
Die Dienstverhinderung und der Datenverlust auf Grund von haben. Elevation of Privilege wird auch seitens der Cloud Security
Denial of Service-Bedrohungen sind auch seitens der Cloud Alliance mehrfach in „The Notorious Nine Cloud Computing 6. Logging- und Log-Daten-Auswertungskonzept (Aggre-
Security Alliance in „The Notorious Nine Cloud Computing Top Threats 2013“ als eine ernstzunehmende Bedrohung für gation und Monitoring sicherheitsrelevanter Ereignisse)
Top Threats 2013“ als zunehmende und häufig auftretende Cloud-Umgebungen benannt. des CSP,
Bedrohung benannt. 7. Überprüfung der Umsetzung und der Funktionsweise des Loggings und der
Noch näher zu betrachtende Bereiche Besondere Elevation of Privilege-Gefährdungen Protokollierung auf den Systemen und Komponenten des Access & Delivery
Besondere Denial of Service-Gefährdungen bzgl. des ADL In Abhängigkeit von den Architekturkonzepten, Sicherheitskonzepten und bzgl. des ADL für SaaS CRM Layers,
für SaaS CRM -richtlinien der einzelnen Akteure, sowie deren Umsetzung und Kontrolle, las- 8. Authentifizierungs- und Autorisierungskonzept des Subscribers und des
sen sich die noch genauer zu betrachtenden Bereiche wie folgt priorisieren: Für das Szenario „SaaS CRM“ kommen als privilegierte Elevation of Privile-
Für das Szenario „SaaS CRM“ kommen als privilegierte Denial of Service-Ak- ge-Akteure der Subscriber End User (SEU), der Subscriber Administrator (SAD), CSP.
teure der Subscriber End User (SEU), der Subscriber Administrator (SAD), der 1. Überprüfung und ggf. Anpassung der Sicherheitskonzepte und -richtlinien der Cloud Service Provider Administrator (CSA), der Sub-Provider Administrator
Cloud Service Provider Administrator (CSA), der Sub-Provider Administrator auf der Grundlage einer validen Schutzbedarfsfeststellung und in Bezug auf (SPA) in Betracht. Dabei lassen sich vor allem folgende Elevation of Privilege Restrisiken
(SPA) oder auch Innentäter des ISP in Betracht. Dabei lassen sich vor allem fol- die aktuell gegebene Risiko- und Bedrohungslage durch die betroffenen Einzelbedrohungsszenarien für das Access & Delivery Layer erkennen: • menschliches Fehlverhalten des SEU bzw. des SAD des Subscribers
gende Denial of Service-Einzelbedrohungsszenarien für das Access & Delivery Akteure, d. h.:
1. Missbrauch von Berechtigungen • f ehlende bzw. ungenügende Prozesse zur Erteilung, Genehmigung und Kon-
Layer erkennen: 01. das Cloud Architekturkonzept des CSP, insbesondere bzgl. des User Portals
01. Ein unbemerkter Missbrauch von Berechtigungen kann die Manipulation trolle von Nutzerkonten und Autorisierungen beim Subscriber,
1. Ausfall/Störung beim ISP und der Service Gateways sowie der Inter-Cloud Funktionalitäten,
von Benutzerkonten (→Tampering) oder die unbefugte Kenntnisnahme • f ehlende bzw. ungenügende Prozesse zur Erteilung, Genehmigung und Kon-
02. die Sicherheitskonzepte und IT-Sicherheitsrichtlinien des CSP, des Subscri-
01. Ein Ausfall oder eine Störung technischer Komponenten beispielsweise Kundendaten (→Information Disclosure) ermöglichen oder erleichtern. trolle von Nutzerkonten und Autorisierungen beim CSP,
durch Unwetter oder Wartungsarbeiten, führt bei einer unzureichenden bers und Sub-Providers, einschl. Berechtigungs- und Rollenkonzepte,
02. Ein unbemerkter Missbrauch von Berechtigungen kann den Zugriff auf
redundanten Auslegung der Netzinfrastruktur zwangsläufig zu einer Nicht- 03. die Vertrags- und SLA-Gestaltung mit dem ISP durch die einzelnen Akteure. • unzureichende Schulung des Personals bezüglich Social Engineering,
Authentifikations- oder Konfigurationsdaten (→Information Disclosure) er-
erreichbarkeit des SaaS CRM Service, 2. Disaster Recovery- und Notfallkonzepte des CSP, möglichen, ein →Tampering dieser Daten erleichtern und in der Folge zu • u nzureichende Trennung und Kontrolle von Zuständigkeiten (→Separation
02. Eine unzureichende kryptographische Sicherung von Kommunikationswe- 3. Konzepte des CSP bzgl. des Einsatzes von IDS- und IPS Systemen, einer Beeinträchtigung des Service (→Denial of Service) führen. of Duties).
gen und -endpunkten erleichtert DoS-Angriffe oder andere böswillige Stö- 4. Konzepte des CSP hinsichtlich der Aggregation und des Monitoring sicher- 03. Sollte ein SEU Zugriff auf die Benutzerverwaltung des (Self-Service) User
rungen der Kommunikation mit zwischen Serviceprovider und Subscriber. Portals haben oder erlangen und somit die eigenen Berechtigungen ver-
heitsrelevanter Ereignisse.
03. Eine unzureichende Bereitstellung von Netzwerkkapazitäten (beispielswei- walten können bzw. sich selber weitere Berechtigungen zuweisen können,
se Bandbreite, Router, etc.) kann bei einem erhöhten Zugriff von Nutzern Restrisiken so kann dieser SEU dann ggf. auf alle SaaS CRM-(Kunden)-Daten zugreifen
und/oder Mandanten des SaaS CRM Service zumindest zu einer partiellen und die diese verändern (→Tampering), veröffentlichen (→Information Di-
Nichtverfügbarkeit des Dienstes führen. • u nsichere Kommunikationsendpunkte auf der Seite des Subscribers (DoS sclosure) oder löschen (→Denial of Service).
Angriffe können sich auch gegen den Subscriber richten),
2. Ausfall von Komponenten im ADL 2. Aneignung unbegründeter Berechtigungen durch Social Engineering
01. Störungen oder der Ausfall der Funktion von Gateways oder Anwendun- • unzureichende Schulung von Mitarbeitern beim CSP und Subscriber, 01. Ein Innentäter kann unter Benennung fiktiver Begründungen den Helpdesk/
gen im ADL durch Konfigurationsfehler, Wartungsarbeiten, Programmfehler • unsichere oder fehlerhafte Konfiguration von Sicherheitskomponenten, User-Support davon überzeugen, dass ihm erweiterte Rechte zugewiesen
oder auch erfolgreich ausgeführte Attacken haben für den Subscriber eine werden und somit der unbefugte Zugriff auf sensible Kundendaten bzw.
• unzureichende Aggregation sicherheitsrelevanter Ereignisse beim CSP,
unerwartete Nichterreichbarkeit der SaaS CRM Dienstes zur Folge. andere sicherheitsrelevante Daten im ADL möglich wird.
• unzureichende oder fehlende Maßnahmen bzgl. Szenarien „Höherer Gewalt“,
• unzureichende Kommunikation zwischen CSP und Subscriber bezüglich
Wartungsmaßnahmen oder Änderung von Zugangsmechanismen.
14 AG 4 · UAG 1 · Nationaler IT-Gipfel AG 4 · UAG 1 · Nationaler IT-Gipfel 15
Steckbrief A &D ExC Steckbrief
Access & Delivery Information Disclosure Ext. Communication Denial of Service
Information Disclosure Ausfall der externen
im Access & Delivery Layer Kommunikationsverbindung
Information Disclosure ist hinsichtlich der zu erwartenden 3. Ungeeignetes Rechte- und Rollenkonzept Fällt die externe Kommunikationsverbindung zum Cloud-Ser- 04. Darüberhin. können auch fehlerhafte Konfigurationen
Risiken die wohl schwerwiegendste Bedrohungsfläche für 01. Auf Grund unzureichender oder unsicherer Rollen- und vice aus, können die Akteure des Kunden (SEU und SAD) auf den Komponenten bzgl. der durch den ISP bereit-
das Access & Delivery Layer (ADL). Denn, obgleich gemäß Berechtigungskonzepte, unzureichender Trennung von nicht auf den Cloud-Service zugreifen, auch wenn dieser gestellten Kommunikationslösung verursacht durch un-
der Definition der IETF im ADL keine Kunden- bzw. Produktiv Zuständigkeiten, erlangt ein Innentäter bzw. nach erfolg- selbst einwandfrei funktioniert. DoS ist dabei in mehrerer bewusst oder auch bewusst fahrlässiges Fehlverhalten
daten vorgehalten werden sollten, befinden sich im Access reichem →Spoofing auch ein externer Angreifer Nutzer- Hinsicht eine ernstzunehmende und mehrdimensionale Be- seitens der Administratoren des ISP zu Ausfällen führen.
& Delivery Layer Konfigurationsdaten der ADL-Komponenten berechtigungen, welche die uneingeschränkte Kenntnis- drohungsfläche für eine SaaS CRM L ösung. Einerseits müs- 2. Unsichere, nicht redundant gestaltete Architektur
und des User Portals. Diese Informationen sind, nicht nur nahme und Veröffentlichung von Kundendaten gestützt sen für eine valide Risikobewertung alle relevanten Aspekte 01. Eine unsichere (nicht ausreichend vor DoS-Attacken
hinsichtlich Information Disclosure, als besonders schüt- auf gestohlene oder gefälschte Identitäten erlauben. bzgl. der Sicherheit der Netzwerkkomponenten und Kom- etc. geschützte) sowie nicht ausreichend redundant
zenswert zu definieren. Eine unbefugte Kenntnisnahme darf 4. Fehlende Verschlüsselungsverfahren munikationsendpunkte auf den Seiten des Subscribers und gestaltete Architektur/Infrastruktur bzgl. der durch den
nicht möglich sein, da die Kenntnis und das Wissen um d iese des CSP betrachtet werden, andererseits sind alle in Frage ISP bereitgestellten Kommunikationslösung für den Sub-
01. Durch fehlende oder unzureichende Verschlüsselungs-
Informationen als Grundlage für weitere Bedrohung und Ge- kommenden Aspekte bzgl. der durch den ISP bereitgestell- scriber und/oder CSP führen bereits bei einem einfachen
fährdungen dienen kann (beispielsweise →Tampering oder verfahren auf der Kommunikations- oder Datenebene ten Kommunikationslösung von gleichrangiger Bedeutung.
wird es Angreifern ermöglicht, Daten auf diesen Ebenen technischen Ausfall zu einer zumindest partiellen Nicht-
gezieltes →Information Disclosure, →Repudiation, →De- Hierzu zählen nicht nur die Themen wie Redundanz und erreichbarkeit des SaaS CRM Service.
nial of Service, →Elevation of Privilege), um den Zugriff auf abzugreifen und für weitere Angriffe auf andere Kompo- Hochverfügbarkeit, Einsatz ausreichender und bzgl. der
die (Kunden) Daten in der Datenhaltungsschicht zu erlangen. nenten zu benutzen. Kommunikationsbedürfnisse geeigneter Hardware, Schutz 02. Darüberhin. kann auch eine ungeeignete Verkabelung zu
02. Dies betrifft insbesondere Administratoren des CSP und und Überwachung der relevanten Kommunikationskompo- einem DoS Bedrohungsszenario führen. So ist beispiels-
Information Disclosure / Data Breaches wird durch die Cloud des Sub-Providers, da diese ggf. einen privilegierten nenten, sondern auch die Details bzgl. der Vertrags- und weise eine zweite, separate Hauseinführung als Backup
Security Alliance in „The Notorious Nine Cloud Computing Zugriff auf Endgeräte und Datenspeicher im Physical SLA-Gestaltung für die genutzte Kommunikationslösung bzgl. der primär genutzten Kommunikationsverbindung
Top Threats 2013“ als schwerwiegendste und stark zuneh- Resource Layer haben. durch die jeweiligen Akteure (Vertragspartner). unzweckmäßig, wenn diese Backup-Leitung auf dem
mende Bedrohung auf Platz 1 geführt. gleichen APN der Primärverbindung angeschlossen
Noch näher zu betrachtende Bereiche Denial of Service kann sowohl eine Folge von logischen At- ist und keine eigene, von der Primärleitung getrenn-
Besondere Information Disclosure-Gefährdungen 1. In Abhängigkeit von den Architekturkonzepten, Sicher- tacken externer Angreifer (entweder als reine DoS-Attacken te Trassen- bzw. Wegführung aufweist, da bei Ausfall
bzgl. des ADL für SaaS CRM heitskonzepten und -richtlinien der einzelnen Akteu- oder Folge eines erfolgreichen →Spoofings) auf die relevan- dieses Anschlusspunktes des ISP dann auch die Back-
re, sowie deren Umsetzung und Kontrolle, lassen sich ten Komponenten des Subscribers, CSP oder ISP sein, aber up-Leitung betroffen wäre.
Für das Szenario „SaaS CRM“ kommen als privilegierte In- auch auf Grund von Fehlkonfiguration bzw. Fehlverhalten
formation Disclosure-Akteure alle Administratoren (der Sub- die noch genauer zu betrachtenden Bereiche wie folgt 3. Ausfall durch nicht kommunizierte, nicht abgestimmte
priorisieren: durch Innentäter, einschließlich der Berücksichtigung des Prozesse
scriber Administrator (SAD), der Cloud Service Provider Ad- physikalischen Zugriffs dieser auf involvierte und relevante
ministrator (CSA), der Sub-Provider Administrator (SPA)) in 01. Überprüfung und ggf. Anpassung der Sicherheitskon- 01. Die Durchführung von Wartungsarbeiten etc. durch den
Komponenten hin, auftreten. Darüberhin. kann DoS auch das
Betracht, da diese auf Grund der den Administratoren-Kon- zepte und -richtlinien auf der Grundlage einer validen ISP, welche vorher nicht mit den die bereitgestellte Kom-
Ergebnis von Szenarien höherer Gewalt bzw. nicht zu erwar-
ten zugeordneten Berechtigungen das Ausmaß dieser Ge- Schutzbedarfsfeststellung und in Bezug auf die aktuell munikationslösung nutzenden Akteuren abgestimmt und
tenden Ereignissen sein (beispielsweise ein Erdarbeitsgerät
fährdung auf alle Daten in der SaaS CRM Anwendung aus- gegebene Risiko- und Bedrohungslage durch die betrof- vereinbart worden sind. h.ben ggf. die Nichtverfügbar-
zerstört eine Verbindungsader des ISP oder durch Umwelter-
zudehnen vermögen. Das schließt natürlich nicht gezielte fenen Akteure, d. h.: keit der für den Subscriber entfernten Cloud-Services
eignisse sind relevante Verteilerknoten nicht mehr in Betrieb
Angriffe durch Subscriber End User (SEU) oder externe Täter 02. das Cloud Architekturkonzept des CSP, insbesondere
zur Folge.
bzw. einzelne Komponenten des ISP entlang dieser Kommu-
aus, sofern es ihnen gelingt, sich mit einem erfolgreichen bzgl. des User Portals und der Service Gateways sowie nikationsverbindung weisen eine Störung / einen Defekt auf
→Spoofing-Angriff besondere Zugriffsrechte anzueigenen (→Elevation of Pri- der Inter-Cloud Funktionalitäten, oder fallen aus unterschiedlichsten Gründen aus).
vilege). Es lassen sich vor allem folgende Information Disclosure-Einzelbedro- 03. die Sicherheitskonzepte und IT-Sicherheitsrichtlinien des CSP, des Subscri- Noch näher zu betrachtende Bereiche
hungsszenarien für das Access & Delivery Layer erkennen: Darüber hinaus sind Innentäter mit Administratorrechten in besonderer Weise
bers und Sub-Providers, einschl. Berechtigungs- und Rollenkonzepte, In Abhängigkeit von den Architekturkonzepten, Sicherheitskonzepten und
für den Zutritt und den Zugriff auf die entsprechenden Komponenten des ADL
1. Einsatz von ungeeignetem, nicht sicherheitsüberprüftem Personal 04. die Vertrags- und SLA-Gestaltung mit dem ISP durch die einzelnen Akteure. -richtlinien der einzelnen Akteure, sowie deren Umsetzung und Kontrolle, las-
privilegiert.
01. Der Einsatz von fachlich ungeeignetem und/oder unzureichend geschultem 2. Verschlüsselungskonzepte des Subscribers und des CSP sen sich die noch genauer zu betrachtenden Bereiche wie folgt priorisieren:
und/oder unzureichend sicherherheitsüberprüftem Personal an Schlüs- Die Dienstverhinderung und der Datenverlust auf Grund von Denial of Ser-
3. Authentifizierungs- und Autorisierungskonzepte des Subscribers und des 1. Überprüfung und ggf. Anpassung der Sicherheitskonzepte und -richtlinien
selpositionen (Administration von Hard- und Softwarekomponenten oder vice-Bedrohungen sind auch seitens der Cloud Security Alliance in „The No-
CSP auf der Grundlage einer validen Schutzbedarfsfeststellung und in Bezug auf
Kommunikationsverbindungen) birgt ein großes Gefahrenpotential und torious Nine Cloud Computing Top Threats ls häufig auftretende kommende
4. Logging- und Log-Daten-Auswertungskonzepte (Monitoring und Aggrega- die aktuell gegebene Risiko- und Bedrohungslage durch die betroffenen
Risiko beispielsweise im unsichereren Umgang mit vertraulichen, schüt- Bedrohung benannt.
tion von Zugriffen und anderen sicherheitsrelevanten Ereignissen) des CSP Akteure, d. h.:
zenswerten Daten, und
01. das Cloud Architekturkonzept des CSP, insbesondere bzgl. der Kommuni-
02. erleichtert böswillige interne Angriffe.
Besondere Denial of Service-Gefährdungen
Restrisiken kationsendpunkte im ADL,
03. Hinzu kommt, dass böswillige interne Angreifer ausgerüstet mit Admi- bzgl. der Kommunikationsverbindung SEU-ADL
• u nsicherer Umgang mit Benutzerkennung auf der Seite des Subscribers und 02. die Sicherheitskonzepte und IT-Sicherheitsrichtlinien des CSP und des
nistratorrechten viel leichter imstande sind, sich unbefugt zusätzliche Für das Szenario „SaaS CRM“ kommen als privilegierte Denial of Service-Ak- Subscribers bzgl. Redundanz, Hochverfügbarkeit und Ausfallsicherheit der
des Sub-Providers,
Rechte anzueignen (→Elevation of Privilege) oder Angriffe zu verschleiern teure der Subscriber Administrator (SAD), der Cloud Service Provider Adminis- Kommunikationsverbindungen,
(→Repudiation). • fahrlässiges sowie vorsätzlich böswilliges Verhalten auf der Seite des Sub- trator (CSA) oder auch Innentäter des ISP in Betracht. Dabei lassen sich vor
03. die Vertrags- und SLA-Gestaltung mit dem ISP durch die einzelnen Akteure
2. Unsichere Datenhaltungsnetzwerke und -systeme scribers, des Sub-Providers, des ISP und durch CSP Administratoren, allem folgende Denial of Service-Einzelbedrohungsszenarien für die Kommuni-
kationsverbindung SEU-ADL erkennen: 2. Disaster Recovery- und Notfallkonzepte des CSP und des ISP,
01. Ein Angreifer erlangt auf Grund unsicherer Datenhaltungsnetzwerke und • n icht aufgelöste Konflikte zwischen Compliance-Anforderungen und Daten-
-systeme des CSP, entweder unter Ausnutzung einer unwahren Identität schutzrichtlinien auf der Seite des Subscribers und den etablierten Sicher- 1. Ausfall/Störung beim ISP 3. Konzepte des ISP bzgl. Redundanz und Hochverfügbarkeit bzw.
(→Spoofing) oder durch Hacking bzw. Hijacking, Kenntnis von Kundenda- heitsmaßnahmen des CSP, Ausfallsicherheit
01. Ein Ausfall oder eine Störung techn. Komponenten (beispielsweise durch
ten (→Information Disclosure). fehlende bzw. ungenügende Anweisungen und Schulungen bzgl. des Um- technisches Versagen, Unwetter oder Wartungsarbeiten), führt bei einer un-
• Restrisiken
02. Angreifern ist es auf Grund unzureichender bzw. unsicherer Authentisie- gangs mit sensiblen Daten auf der Seite des Subscribers und des CSP, zureichenden redundanten Auslegung der Netzinfrastruktur zwangsläufig
rungs und Autorisierungsmaßnahmen durch →Spoofing möglich, unbefugt zu einer Nichterreichbarkeit des SaaS CRM Service. • u nsichere Kommunikationsendpunkte auf der Seite des Subscribers (DoS
• technisches Versagen der für die Verschlüsselung verantwortlichen Kompo- Angriffe können sich auch gegen den Subscriber richten),
Kenntnis von Kundendaten zu erlangen (→Information Disclosure), Daten nenten auf der Seite des Subscribers und des CSP. 02. Eine unzureichende kryptographische Sicherung von Kommunikationswe-
zu verändern (→Tampering), oder gar zu löschen (→Denial of Service). gen und -endpunkten erleichtert DoS-Angriffe oder andere böswillige Stö- • unsichere oder auch fehlerhafte Konfiguration von Sicherheits- und
rungen der Kommunikation mit zwischen Serviceprovider und Subscriber. Kommunikationskomponenten,
03. Eine unzureichende Bereitstellung von Netzwerkkapazitäten (beispielswei- • unzureichende oder fehlende Maßnahmen bzgl. Szenarien „Höherer Gewalt“,
se Bandbreite, Router, etc.) kann bei einem erhöhten Zugriff von Nutzern • u nzureichende Kommunikation zwischen ISP und CSP, sowie Subscriber
und/oder Mandanten des SaaS CRM Service zumindest zu einer partiellen bezüglich Wartungsmaßnahmen oder Änderung von Zugangsmechanismen.
Nichtverfügbarkeit des Dienstes führen.
16 AG 4 · UAG 1 · Nationaler IT-Gipfel AG 4 · UAG 1 · Nationaler IT-Gipfel 17
Sie können auch lesen
