Risikobewertung von identifizierten Schwachstellen

Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Wir sollten dabei jedoch nie unser eigentliches Ziel aus den Augen verlieren: die Identifikation aller Einstiegspunkte bzw. Sicherheitslücken unserer Zielsysteme. Die Liste von Schwachstellen kann sehr lang und unübersichtlich werden. Um unserem Auftraggeber aber mitzuteilen, welche Schwachstellen er zuerst adressieren bzw. beheben sollte, müssen wir die ermittelten Schwachstellen nach ihrem Risiko ordnen. Das Risiko einer Schwachstelle können wir dabei aus ihrer Eintrittswahrscheinlichkeit bzw. der Wahrscheinlichkeit ihrer Ausnutzung und aus dem zu erwartenden Schadensausmaß ableiten.

Grundsätzlich stehen uns zwei Möglichkeiten zur Verfügung, um das Risiko einer Schwachstelle darzustellen. Wir können entweder einen konkreten Zahlenwert ermitteln (bspw. 1.034,99 €) oder eine Aussage über die Schwere des Risikos treffen (wie gering, mittel, hoch). Der konkrete Zahlenwert ist das Ergebnis einer quantitativen Risikoanalyse. Diese eignet sich beispielsweise zur Bestimmung des Risikos eines Festplattenausfalls, da Festplatten einen konkreten Preis und eine durchschnittliche Lebensdauer haben. Im Gegensatz dazu liegen uns bei Schwachstellen von IT-Systemen normalerweise nicht genug Informationen dieser Art vor, sodass diese Form der Risikoanalyse für einen Pentester nicht empfehlenswert ist. Stattdessen können wir aber eine qualitative Risikoanalyse vornehmen, da wir immer Aussagen über die Eintrittswahrscheinlichkeit und das mögliche Schadensausmaß einer Schwachstelle treffen und somit die Schwere des Risikos abschätzen können.

Natürlich wird eine SQL-Injection instinktiv immer ein höheres Risiko zugewiesen bekommen als eine PHPInfo-Seite. Wie wird aber beispielsweise das Risiko einer SQL-Injection im Vergleich zu einer Cross-Site-Scripting-Schwachstelle zu sehen sein? Für eine nachvollziehbare Schwachstellenpriorisierung benötigen wir ein Bewertungsschema, welches die Eintrittswahrscheinlichkeit und das mögliche Schadensausmaß von Schwachstellen in Schweregrade unterteilt und einer Risikoangabe zuordnet:

Eintrittswahrscheinlichkeit

[ Hoch ] Die Schwachstelle ist offensichtlich oder Exploits sind frei verfügbar.

[ Mittel ] Die Schwachstelle ist in angemessener Zeit zu entdecken, Exploits müssen eventuell angepasst werden.

[ Gering ] Die Schwachstelle ist aufwendig zu finden und Exploits müssen erstellt werden.

Mögliches Schadensausmaß

[ Hoch ] Verletzung der Sicherheitsziele in Bezug auf Informationen oder IT-Systeme

[ Mittel ] Umgehung von Schutzmechanismen

[ Gering ] Informationslücke

Risiko = max( Eintrittswahrscheinlichkeit, Schadensausmaß)

Das obige Beispielschema stuft den höchsten Schweregrad aus der Ermittlung von Eintrittswahrscheinlichkeit und Schadensausmaß (gering, mittel, hoch) als das Risiko einer Schwachstelle ein. Betrachten wir einmal folgendes Szenario: Eine fehlerhafte Autorisierung erlaubt es, als Merchant über direkte Seitenaufrufe administrative Änderungen im Backend des Payment-Gateways der Dubius Payment Ltd. vorzunehmen. Für eine Ausnutzung der Schwachstelle wären somit Kenntnisse der administrativen Oberfläche im Backend notwendig, mittels derer die Schwachstelle in angemessener Zeit gefunden werden könnte (mittlere Eintrittswahrscheinlichkeit). Da unautorisiert administrative Änderungen vorgenommen werden können, werden Sicherheitsziele wie die Integrität von Daten verletzt (hohes Schadensausmaß). Folglich wäre diese Schwachstelle mit einem hohen Risiko zu bewerten, da der Schweregrad vom Schadensausmaß (hoch) den Schweregrad der Eintrittswahrscheinlichkeit (mittel) überwiegt.

Wie bewertest du unser Beispielschema zur Risikobewertung von Schwachstellen? Findest du vielleicht Schwachstellen der Dubius Payment Ltd., welche nach unserem Schema eine zu hohe Bedeutung erhalten würden, und kannst es zweckmäßig anpassen?