Schweregrade und Risiken - Zusammenhänge und Unterschiede

Schweregrade und Risiken

Zusammenhänge und Unterschiede

Tomaso Vasella
von Tomaso Vasella
am 12. März 2020
Lesezeit: 10 Minuten

Keypoints

Das unterscheidet Schweregrad von Risiko

  • Sicherheitstests identifizieren Schwachstellen und beurteilen diese anhand von Schweregraden
  • Die Unterscheidung zwischen Schweregraden und Risiken ist wichtig und setzt eine sorgfältige Betrachtung der Sachverhalte und des Kontexts voraus
  • Schweregrade widerspiegeln die Qualität und die Wirksamkeit des Sicherheitsdispositivs
  • Risiken berücksichtigen den Kontext einer Schwachstelle, die Bedrohungen, die möglichen Auswirkungen und die Eintrittswahrscheinlichkeit

Das Testen und Beurteilen des Sicherheitszustands von IT-Systemen macht einen grossen Teil der Arbeiten unseres Red Teams aus. Dabei werden Applikationen, Dienste und Infrastrukturkomponenten aus Sicherheitssicht analysiert und nach Schwachstellen untersucht, je nach Auftragsart mit anschliessendem Ausnutzen der gefundenen Schwachstellen. Das Resultat ist in der Regel ein ausführlicher Bericht, der alle Feststellungen detailliert beschreibt und geeignete Gegenmassnahmen vorschlägt.

Wesentlicher Bestandteil des Berichts sind die Bewertungen der gefundenen Schwachstellen aus Sicherheitssicht. Doch was ist die Bedeutung dieser Bewertungen und wie soll der Ergebnisempfänger damit umgehen? Eine Frage, die immer wieder zu Diskussionen und Unsicherheiten führt, besonders im Zusammenhang mit dem Risikomanagement. Diese Zusammenhänge und ein pragmatischer Ansatz für den Umgang mit den Bewertungen der Schwachstellen werden im Folgenden vorgestellt.

Bewertung von Schwachstellen

Die Einschätzung von Testresultaten bei Sicherheitsprüfungen erfolgt typischerweise anhand einer Skala mit mehreren Stufen, wie im folgenden Beispiel illustriert.

Beispiel von Schweregraden

Diese Schweregrade widerspiegeln pro Testfall die Qualität und die Wirksamkeit des Sicherheitsdispositivs. Sie reichen von Kontrollen können nicht umgangen werden bis zu Kontrollen können direkt umgangen werden, Vertraulichkeit, Integrität und Verfügbarkeit sind nicht gewährleistet. Die Einstufung gibt also den Schweregrad einer Schwachstelle wieder oder anders ausgedrückt, ist ein Mass für die Zulänglichkeit der vorhandenen Schutzmassnahmen. Diese Bewertungen beziehen sich nur auf die durchgeführten Testfälle und das festgestellte Verhalten der Prüfobjekte; sie beziehen meistens keine zusätzlichen umgebungsspezifischen Faktoren ein.

Risiken

Für den Begriff Risiko existieren viele Definitionen, von denen hier zwei für Cyber Security relevante herausgegriffen und im Original wiedergegeben sind.

ISO/IEC 27005:

The potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization. It is measured in terms of a combination of the probability of occurrence of an event and its consequence.

NIST Glossary:

A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of: (i) the adverse impacts that would arise if the circumstance or event occurs; and (ii) the likelihood of occurrence.

Ein Risiko ist also mehr als eine blosse Einstufung einer Schwachstelle. Risiken berücksichtigen den Kontext einer Schwachstelle und die möglichen Auswirkungen. In die Einstufung von Risiken fliessen neben dem Schweregrad einer Schwachstelle und dem Ausmass möglicher negativer Folgen auch die relevanten Bedrohungen, bereits vorhandene, risikomindernde Massnahmen und die Wahrscheinlichkeit ein, dass die Schwachstelle auch tatsächlich ausgenützt wird. Für die qualitative Einschätzung von Risiken (z.B. klein, mittel, gross) anhand des Schadensausmasses und der Eintrittswahrscheinlichkeit wird üblicherweise eine entsprechende Risikomatrix verwendet, wie im nachfolgenden Beispiel dargestellt.

Beispiel einer Risikomatrix

Schweregrad versus Risiko

Der Schweregrad einer Schwachstelle ändert sich nur, wenn das Prüfobjekt selbst verändert oder die Schwachstelle behoben wird, beispielsweise durch einen Bugfix oder eine Konfigurationsänderung. Hingegen ist der Kontext einer Schwachstelle, also die umgebungsspezifischen Faktoren, zeitlich praktisch nie konstant. Eine Risikoeinstufung ist deshalb eine Momentaufnahme und kann sich über die Zeit verändern, sogar auch ohne eine Änderung des Schweregrads der zugrunde liegenden Schwachstelle.

Dazu ein Beispiel: Nehmen wir an, im Rahmen eines Penetration Tests wurde eine Schwachstelle in einem Netzwerkdienst gefunden und es ist durch deren Ausnutzen leicht möglich, unautorisiert sensitive Daten aus dem betroffenen System zu exfiltrieren. Der Schweregrad dieser Schwachstelle wird damit wahrscheinlich als high oder vielleicht sogar als emergency eingestuft. Nun befindet sich dieses System aber in einem internen, isolierten Netzwerk mit strikter Zugangskontrolle und sehr kleinem Benutzerkreis. Die Wahrscheinlichkeit, dass die Schwachstelle durch einen Übeltäter tatsächlich ausgenützt wird, ist deshalb viel kleiner, als wenn sich das System ungeschützt im Internet befände. Das mit dieser Schwachstelle verbundene Risiko würde damit wahrscheinlich nicht höchstmöglich eingeschätzt, sondern entsprechend des spezifischen Kontexts tiefer. Wird dieses System nun aber in einem anderen, weniger gut geschützten Netzwerksegment platziert, kann sich das Risiko entsprechend erhöhen. Damit wird klar, dass die Einschätzung von Risiken und der Umgang damit nicht ein einmaliger, abgeschlossener Vorgang ist, sondern im Rahmen eines kontinuierlichen Prozesses erfolgen muss.

Die nachfolgende Tabelle fasst die wichtigsten Unterschiede zwischen Schweregrad und Risiko zusammen.

Schweregrad Risiko
Einschätzung einer Schwachstelle eines Prüfobjekts ohne Einbezug des Kontexts Einschätzung von Ausmass und Wahrscheinlichkeit unter Einbezug des relevanten Kontexts (Bedrohungen, Auswirkungen, vorhandene Massnahmen, usw.)
Kann sich durch Veränderungen am Prüfobjekt ändernKann sich durch Veränderungen am Prüfobjekt oder durch Veränderungen des Kontexts ändern
Gibt Auskunft über die Zulänglichkeit der vorhandenen Sicherheitsmassnahmen Gibt Auskunft über das mögliche Schadensausmass und über die Wahrscheinlichkeit, dass ein Schaden eintritt
Kann durch einen externen Tester geschätzt werden Erfordert zusätzliche, über das Prüfobjekt hinausgehende Informationen und kann in der Regel nicht durch einen externen Tester eingeschätzt werden

Vom Schweregrad zum Risiko

Im Rahmen des Risikomanagements berücksichtigen Organisationen häufig auch Cyberrisiken oder sind aus gesetzlichen oder regulatorischen Gründen dazu verpflichtet. Dabei stellt sich häufig die Frage, wie man aus Sicht des Risikomanagements mit Schwachstellen und ihren Einstufungen umgehen soll. Dabei hat sich folgender pragmatischer Ansatz bewährt, um von einem Schweregrad zu einer qualitativen Einschätzung eines Cyberrisikos zu gelangen:

Das resultierende Risiko ergibt sich dann anhand der Risikomatrix. Häufig lohnt es sich, die Überlegungen zum Schadensausmass und zur Eintrittswahrscheinlichkeit anhand von Risikoszenarien vorzunehmen und fachlich zu diskutieren. Man geht dabei in Gedanken den gesamten Ablauf eines bestimmten Angriffs durch und beschreibt diesen Vorgang mit genügend Details, um ihn auch Dritten verständlich und nachvollziehbar darlegen zu können.

In der Praxis ist der beschriebene Ablauf häufig nicht ganz so einfach und direkt umsetzbar und es können angeregte Diskussionen über Wahrscheinlichkeiten und Risikoschwellen entstehen. Der Mensch ist von Natur aus schlecht im Schätzen von Wahrscheinlichkeiten und die eigene Intuition führt uns dabei leicht in die Irre. In der erlebten Welt haben wir es mit Häufigkeiten zu tun, nicht mit Wahrscheinlichkeiten und unsere Wahrnehmung neigt dazu, sich unbewusst beeinflussen zu lassen (kognitive Verzerrung, siehe dazu auch Kognitive Fallgruben beim Beurteilen von Risiken). Umso wichtiger ist es, beim Management von Cyberrisiken auf die Fakten zu fokussieren, die Situation genau zu analysieren und sich des Kontexts der Risikoeinschätzung bewusst zu sein. Externe Experten können hierbei beratend zur Seite stehen und die identifizierten Sachverhalte nachvollziehbar erklären. Die tatsächliche Risikoschätzung muss aber in den allermeisten Fällen der Organisation selbst überlassen werden, denn nur sie verfügt über ausreichende Kontextinformationen.

Die manchmal auftretende scheinbare Diskrepanz zwischen der Einstufung einer Schwachstelle und dem entsprechenden Risiko führt regelmässig zu Diskussionen. Für Schweregrade und für Risiken werden häufig ähnliche Begriffe und Farben verwendet, beispielsweise rot oder hoch. Es kann durchaus vorkommen, dass eine Schwachstelle als hoch (rot) beurteilt wird, das damit verbundene Risiko aber als mittel (gelb) eingestuft wird. Dies kann zu Erklärungsbedarf führen, da vermeintlich die Beurteilung des Prüfers im Prozess der Risikoeinschätzung abgeändert wurde, tatsächlich aber nur der Unterschied zwischen Schweregrad und Risiko übersehen wurde. Auch hier muss darauf geachtet werden, durch geeignete Darstellungsweisen für Transparenz zu sorgen und die Fakten sprechen zu lassen.

Fazit

Ein externer Sicherheitstest fördert Schwachstellen zutage und beurteilt sie anhand von Schweregraden. Die Unterscheidung zwischen Schweregraden und Risiken ist wichtig und setzt eine sorgfältige Betrachtung der Sachverhalte und der Testfälle voraus. Die Beurteilung von Risiken anhand von Schwachstellen und Schweregraden kann nur unter Einbezug des Kontexts vorgenommen werden; ein Prozess, der in der Regel durch die jeweilige Organisation selbst durchgeführt werden muss.

Schliesslich darf man nicht vergessen, dass sowohl die Resultate von Sicherheitsprüfungen als auch die Beurteilung entsprechender Risiken immer eine Momentaufnahme sind. Angesichts der heutigen Dynamik in der Cybersecurity sind regelmässige Sicherheitsprüfungen und ein kontinuierliches Risikomanagement deshalb Pflicht.

Über den Autor

Tomaso Vasella

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

Haben Sie Interesse an einem Penetration Test?

Unsere Spezialisten kontaktieren Sie gern!

×
Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Offerten erstellen

Offerten erstellen

Tomaso Vasella

Microsoft Teams Security

Microsoft Teams Security

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv