On Tuesday 23 March 2004 11:18, Gert Doering wrote:
> Also bei mir weckt es nur die kriminelle Phantasie... "wie aufwaendig
> waere es, hier ein XYZ vorbeizuschmuggeln" - und die Antwort ist
> "hinreichend trivial fuer jemand, der es ernst meint, und damit
> hinreichend sinnlos".
Ich mache gerade die Erfahrung, da� das Thema "Risikomanagement" selbst f�r
Leute mit dem ausreichenden technischen Verst�ndnis irgendwie ungewohnt ist,
oder zumindest schwierig zu verstehen.
Die meisten Leute sind in der Lage, von sich aus Ma�nahmen vorzuschlagen, die
irgendwas bewirken sollen ("Wie w�re es, wenn wir den Mitarbeitern die ssh
Fingerprints unserer Maschinen zur Verf�gung stellen w�rden?").
Sie sind aber zum gr��ten Teil schon nicht in der Lage, von der Warte einer
Gef�hrdung auf das Thema zuzugehen ("Kenntnis des Fingerprints soll gegen
eine Man-in-the-Middle-Attacke sch�tzen. Das tut aber eine Kenntnis des
vollen Hostkeys auch, und wir w�ren auch in der Lage, den Mitarbeitern eine
vorbereitete known_hosts-Datei zur Verf�gung zu stellen. Das h�tte nicht nur
dieselbe Schutzwirkung, sondern w�rde zugleich die l�stige Nachfrage mit dem
manuellen Vergleich des Fingerprints vermeiden.").
Die K�r w�re nat�rlich, w�rden diese Personen mit einem Angreifermodell
arbeiten, um Gef�hrdungen zu gewichten und so die Notwendigkeit von Ma�nahmen
beurteilen zu k�nnen ("Unsere Maschinen im Produktionsnetz stehen hinter der
Firewall in einem Netz, das wir als sicher ansehen und dem wir in gewissem
Ma�e vertrauen. Ein Man-in-the-Middle in diesem Netz ist extrem
unwahrscheinlich. Wenn er dennoch auftr�te, h�tten wir neben dieser
Gef�hrdung auch noch weitere, dringendere Probleme. Es ist daher egal, ob wir
uns gegen dieses Problem verteidigen"), und die Kosten von Ma�nahmen dagegen
zu rechnen ("Au�erdem w�rde in diesem Fall jeder Auf- und Abbau einer
Maschine eine Rekonfiguration bei jedem User notwendig machen. Wir bauen
mehrmals jeden Tag Maschinen auf oder ab. Die Ma�nahme ist daher in diesem
Kontext sinnlos, und eine Ressourcenverschwendung.")
Dazu kommt nat�rlich noch, da� das untersuchte System eine
Mindestfunktionalit�t haben mu�, die es erbringen mu�, um seine Existenz zu
rechtfertigen. Sobald Sicherheitsma�nahmen diese Mindestfunktionalit�t so
weit einschr�nken, da� sie nicht mehr interessant ist, ist der Dienst in dem
existerenden Betriebsumfeld nicht mehr zu erbringen, weil die Betriebsrisiken
dies unm�glich machen.
Das Problem bei diesen �berlegungen sind nicht die Abw�gungen selber - die
sind oft trivial und mit gesundem Menschenverstand zu machen, sondern der
mentale Kontext "Risikomanagement", also Ma�nahmen im Umfeld zwischen
Gef�hrdung und Dienst zu sehen und zu beurteilen. Man sollte meinen, da� dies
eine naheliegende und nat�rliche Betrachtungsweise sei, aber bisher haben
z.B. die wenigsten neu eingestellten Sysadmins die oben angegebene
Fragestellung auf diese Weise beantworten und bewerten k�nnen.
*seufz*
Kristian
--
To unsubscribe, e-mail: [EMAIL PROTECTED]
For additional commands, e-mail: [EMAIL PROTECTED]
