Sichere und ergonomische Timeouts

Sichere und ergonomische Timeouts

Marc Ruef
von Marc Ruef
Lesezeit: 5 Minuten

Im Bereich der Informationssicherheit werden eine Vielzahl an Kämpfen ausgetragen. Ein klassisches Beispiel ist die immerwährende Diskussion bezüglich Timeouts. Timeouts werden eingesetzt, um nach einer bestimmten Zeitdauer eine vordefinierte Aktion auszulösen. Im Sicherheitsbereich werden Timeouts vorzugsweise genutzt, um inaktive Sessions abzubauen. Da dadurch eine erneute Authentisierung erforderlich werden würde, kann damit die Sicherheit erhöht werden. Bestens bekannt sind derartige Timeouts in Form von passwortgeschützten Bildschirmschonern und bei Webdiensten (z.B. Ebanking).

Kurze Timeouts minimieren das Zeitfenster für erfolgreiche Angriffe. Und dies ganz besonders für Attacken, die einen hohen Zeitaufwand erfordern. Dazu gehören mitunter:

Die Sicherheit ist damit umso höher, desto kürzer ein Timeout ist. Ist die Lebensdauer einer aktiven Session und der damit verbundenen Session-ID auf n Minuten beschränkt, hat auch ein Angreifer nur eben diese maximale Zeitdauer zur Verfügung, um die Attacke erfolgreich durchzuführen (Herausfinden der ID, Re-Initiieren der bestehenden Sitzung, Missbrauch der Zugriffsmöglichkeiten, Verwischen der Spuren).

Ab einem gewissen Punkt wirken sich Timeouts jedoch negativ auf die Produktivität und Ergonomie einer Lösung aus. Nämlich dann, wenn das eigentliche Arbeiten durch das ungewollte Einsetzen der Timeouts unterbrochen oder verhindert wird. Das erneute Einloggen kann auf die Dauer mühsam werden.

Aus diesem Grund liegt die Kunst darin, einen Mittelweg zwischen Sicherheit und Komfort zu finden. Dieser liegt bei der minimalen Definiton eines Timeouts, ohne die Produktivität mehrheitlich zu verringern.

Die Wahl eines Timeouts ist in individueller Weise von der betroffenen Anwendung und den an diese gestellten Anforderungen abhängig. Grundsätzlich sind diese Eigenschaften zu berücksichtigen, um zu einem vertretbaren Ergebnis kommen zu können:

Eigenschaft Arbeitsplatz Int. CRM Webforum Ebanking
Typische max. Nutzungsdauer des Dienstes 10-14h 10-14h 6-14h 1-2h
Durchschn. Anzahl Aktivitäten während Nutzung 14 20 14 4
Min. Pause >3m zwischen Aktivitäten 10m 5m 5m 120m
Max. Pause zwischen Aktivitäten 120m 60m 120m 20m
Anforderung an Überbrückung max. Pausen nein ja nein nein
Gewichtung der Sicherheit gering gering gering hoch
Gewichtung des Komforts mittel hoch mittel mittel
Empfohlenes Timeout 15m 75m 180m 20m

Als Faustregel kann man sagen:

Ein Timeout sollte so gross sein, dass es im alltäglichen Betrieb nicht greifen kann. Sobald dieser aber endet, sollte es schnellstmöglich zur Anwendung kommen.

Generell kann gesagt werden, dass Timeouts grösser als die maximale Dauer eines Arbeitstags niemals sinnvoll sind. Ich würde behaupten, dass >16h nur in 0.01% aller Fälle gerechtfertigt werden kann. Ein 24h Timeout würde wohl nur am Wochenende greifen und wäre damit zu einem Grossteil der Zeit dem Ausbleiben eines Timeouts gleichzusetzen. Dann kann man eigentlich auch gleich ganz drauf verzichten.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv