Security-Bausteine, Teil 4: Drei Werte – CIA or DIE

Inhaltsverzeichnis

Jede abgespaltene Gemeinschaft, jede Religion, jede Ingroup basiert auf einer Urlüge, deren Akzeptanz als Wahrheit es bedarf, um dazuzugehören oder aufgenommen zu werden. Im Christentum ist es die Idee, dass alle Menschen in Sünde geboren sind. Die Longevity-Bewegung glaubt an die prinzipielle Unendlichkeit unseres biologischen Lebens. Und in der Security ist es CIA – Vertraulichkeit, Integrität, Verfügbarkeit (Confidentiality, Integrity, and Availability).

David Fuhr

David Fuhr ist Cofounder und CTO der intcube GmbH.

Besonders sektenhafte Gruppen zeichnen sich dadurch aus, dass sie ihre Urlüge "Definition" nennen. Das macht es noch schwieriger, sie infrage zu stellen, denn damit oute ich mich nicht nur als Ungläubiger, sondern außerdem noch als unwissend, renitent und dumm.

Inhalt der Artikelreihe "Security-Baukasten"

Theoretische Einführungen in und umfangreiche Standards zur IT-Sicherheit gibt es viele. Wenn man den Gedanken dieser sechsteiligen Miniartikelreihe folgt, entsteht unterwegs die Basis für ein schlankes und schlagkräftiges Securityprogramm.

• Teil 1: Null Vertrauen: Zero-Day und Zero Trust
• Teil 2: Ein Passwort: Assets und Zugriff
• Teil 3: Zwei Faktoren: Authentifizierung und Backup
• Teil 4: Drei Werte: CIA or DIE
• Teil 5: Vier Levels: Risiko und Security-Levels
• Teil 6: Fünf Bedrohungen: Threats und Models

Häretiker:innen!

Dabei ist einiges fragwürdig an der Idee, die Grundlagen unseres Felds, der Informationssicherheit, an diesem zwar historisch gewachsenen und somit nicht ganz willkürlichen, andererseits aber auch nicht unveränderbaren Dreieck aufzuhängen. So ist längst den meisten klar, dass die eine gewisse Priorisierung implizierende Reihenfolge der Werte der Informationssicherheit vielleicht häufig in der Enterprise IT, selten jedoch in der OT gilt.

Hier gilt eher AIC oder sogar – auch wenn das Nachdenken über wirklich geschickte, gezielte Manipulationen an Kraft- oder Stellwerken sowie sonstigen KRITIS schnell gruselig wird – IAC.

Auch hat sich vielerorts herumgesprochen, dass die drei "Dimensionen" C, I und A nicht unabhängig voneinander sind. In der klassischen Darstellung als Dreieck ist das zwar bereits angedeutet. Trotzdem lohnt es, sich einmal klarzumachen, auf wie viele Arten und Weisen sich unsere drei Parameter gegenseitig beeinflussen können, positiv wie negativ. Drei Beispiele: Komplett korrupte Daten sind nicht so schnell wieder verfügbar zu bekommen. Verschlüsselung hilft der Vertraulichkeit, kann aber meine Integrität (Schlüssel verloren) oder meine Verfügbarkeit (Zertifikat abgelaufen) ruinieren.

Schlimmer noch: Die Werte haben indirekten Einfluss aufeinander. So sichert das Schützen der Vertraulichkeit eines Schlüssels offensichtlich die Vertraulichkeit (des Schlüssels und potenziell aller mit ihm verschlüsselter Dinge), aber häufig auch die Integrität und Verfügbarkeit ganzer Systeme und Infrastrukturen, deren Eingang der Schlüssel bewacht.

CIA ist tot

Auch Zehntausende hohle, weil redundante oder sinnlose Begründungsfelder in Schutzbedarfsfeststellungen deuten darauf hin, dass unsere Urlüge der methodischen Weiterentwicklung des Felds nicht unbedingt hilft. Sinnvolle Skalierung unmöglich beziehungsweise extreme Arbeitsbeschaffungsmaßnahme. Was muss stattdessen her?

Das neuere DIE-Sicherheitsmodell (Distributed, Immutable, Ephemeral) ist ein Konzept in der Informationssicherheit, das auf die drei Aspekte Verteilung, Unveränderlichkeit und Vergänglichkeit von Daten abzielt.

Der erste Aspekt bezieht sich auf die Verteilung von Daten auf verschiedene Orte, um das Risiko eines Verlusts oder einer unerkannten Manipulation zu verkleinern. Bei Unveränderlichkeit geht es darum, dass bestimmte Daten nicht unerkannt manipuliert werden können. Vergänglichkeit zielt darauf ab, dass viele Daten nur für einen begrenzten Zeitraum existieren sollten, um das Risiko von unbefugtem Zugriff und Datenmissbrauch zu minimieren. Nach dem Ablauf der Lebensdauer sollten sie automatisch gelöscht werden, um sicherzustellen, dass keine veralteten oder unnötigen Informationen verfügbar bleiben.

Verschiedene Betrachtungswinkel

Anstatt also wie bei CIA jedes Datum einzeln auf sein Schadenspotenzial zu bewerten, wird bei DIE versucht, alle Daten grundsätzlich "richtig" zu behandeln: Sind die Daten verteilt, um Skalierbarkeit zu ermöglichen und Abhängigkeit von einer einzelnen Zone zu vermeiden? Können veränderte Kopien von unveränderlichen Daten oder Komponenten bei einem Problem entsorgt und ersetzt werden, zum Beispiel durch Infrastructure as Code (IaC)? Wie lange dauert die Neubereitstellung des Systems, und werden flüchtige Assets ausreichend schnell entwertet?

Das DIE-Modell hat gegenüber CIA viele Vorteile: Es kann die Vertraulichkeit der Daten verbessern, indem es sie von einer flüchtigen und austauschbaren Architektur trennt. Es kann die Integrität der Daten gewährleisten, indem es Methoden zur Überprüfung und Wiederherstellung bereitstellt. Und es kann die Verfügbarkeit der Daten erhöhen, indem es eine verteilte und skalierbare Infrastruktur einfordert, die Ausfälle vermeidet oder verkürzt.

Wird mit DIE alles besser? Nein. Sollten wir es endlich großflächig anwenden? Ja! Allein schon, um zu schauen, was es uns an Ideen, Gedankenstürzen und Strategien bringen kann, um die Security voranzubringen.

(ur)