Konkrete Kritik an CVSS4
Marc Ruef
Im Bereich der Informationssicherheit werden eine Vielzahl an Kämpfen ausgetragen. Ein klassisches Beispiel ist die immerwährende Diskussion bezüglich Timeouts. Timeouts werden eingesetzt, um nach einer bestimmten Zeitdauer eine vordefinierte Aktion auszulösen. Im Sicherheitsbereich werden Timeouts vorzugsweise genutzt, um inaktive Sessions abzubauen. Da dadurch eine erneute Authentisierung erforderlich werden würde, kann damit die Sicherheit erhöht werden. Bestens bekannt sind derartige Timeouts in Form von passwortgeschützten Bildschirmschonern und bei Webdiensten (z.B. Ebanking).
Kurze Timeouts minimieren das Zeitfenster für erfolgreiche Angriffe. Und dies ganz besonders für Attacken, die einen hohen Zeitaufwand erfordern. Dazu gehören mitunter:
Die Sicherheit ist damit umso höher, desto kürzer ein Timeout ist. Ist die Lebensdauer einer aktiven Session und der damit verbundenen Session-ID auf n Minuten beschränkt, hat auch ein Angreifer nur eben diese maximale Zeitdauer zur Verfügung, um die Attacke erfolgreich durchzuführen (Herausfinden der ID, Re-Initiieren der bestehenden Sitzung, Missbrauch der Zugriffsmöglichkeiten, Verwischen der Spuren).
Ab einem gewissen Punkt wirken sich Timeouts jedoch negativ auf die Produktivität und Ergonomie einer Lösung aus. Nämlich dann, wenn das eigentliche Arbeiten durch das ungewollte Einsetzen der Timeouts unterbrochen oder verhindert wird. Das erneute Einloggen kann auf die Dauer mühsam werden.
Aus diesem Grund liegt die Kunst darin, einen Mittelweg zwischen Sicherheit und Komfort zu finden. Dieser liegt bei der minimalen Definiton eines Timeouts, ohne die Produktivität mehrheitlich zu verringern.
Die Wahl eines Timeouts ist in individueller Weise von der betroffenen Anwendung und den an diese gestellten Anforderungen abhängig. Grundsätzlich sind diese Eigenschaften zu berücksichtigen, um zu einem vertretbaren Ergebnis kommen zu können:
Eigenschaft | Arbeitsplatz | Int. CRM | Webforum | Ebanking |
---|---|---|---|---|
Typische max. Nutzungsdauer des Dienstes | 10-14h | 10-14h | 6-14h | 1-2h |
Durchschn. Anzahl Aktivitäten während Nutzung | 14 | 20 | 14 | 4 |
Min. Pause >3m zwischen Aktivitäten | 10m | 5m | 5m | 120m |
Max. Pause zwischen Aktivitäten | 120m | 60m | 120m | 20m |
Anforderung an Überbrückung max. Pausen | nein | ja | nein | nein |
Gewichtung der Sicherheit | gering | gering | gering | hoch |
Gewichtung des Komforts | mittel | hoch | mittel | mittel |
Empfohlenes Timeout | 15m | 75m | 180m | 20m |
Als Faustregel kann man sagen:
Ein Timeout sollte so gross sein, dass es im alltäglichen Betrieb nicht greifen kann. Sobald dieser aber endet, sollte es schnellstmöglich zur Anwendung kommen.
Generell kann gesagt werden, dass Timeouts grösser als die maximale Dauer eines Arbeitstags niemals sinnvoll sind. Ich würde behaupten, dass >16h nur in 0.01% aller Fälle gerechtfertigt werden kann. Ein 24h Timeout würde wohl nur am Wochenende greifen und wäre damit zu einem Grossteil der Zeit dem Ausbleiben eines Timeouts gleichzusetzen. Dann kann man eigentlich auch gleich ganz drauf verzichten.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!