Das Käsescheiben-Model in der IT Security

Hi…

Da ich es in letzter Zeit des Öfteren erzählt habe, hier mal ein Erwähnung des Käsescheiben-Models. Ich habe es kennengelernt, als ich meinen Master an der University of Liverpool gemacht habe. Im Kurs „Security Engineering“ haben wir Ross Andersons Buch zu dem Thema durchgearbeitet. Eine Buch, das ich für einen absoluten Meilenstein halte und das es mittlerweile hier http://www.cl.cam.ac.uk/~rja14/book.html zum Lesen gibt.

Das Käsescheiben-Model kommt eigentlich aus der Luftfahrt-Technik. Übrigens ein Bereich, der sich mit der Sicherheit von Systemen früh beschäftigen musste und daher einen gewissen Vorsprung hat. Das Model beschäftigt sich mit der Zusammenarbeit unterschiedlicher Sicherheitssysteme. Es lautet wie folgt:

Jedes Sicherheitssystem ist vergleichbar einer Käsescheibe. Sie hat geschlossene Flächen aber auch Löcher. Manche mehr und manche weniger. Und jeweils an hoffentlich unterschiedlichen Stellen. Ein Loch steht für ein Sicherheitsproblem. Die Aufgabe der Ingenieure ist es nun, ausreichend viele Käsescheiben so aufeinander zu legen, dass alle Löcher verdeckt werden.

Käsescheibenmodel

Anbei habe ich mal zwei Käsescheiben übereinander gelegt. Man erkennt, dass zwei Wege offengeblieben sind. Falls wir hier einen Angriff haben würden, würde dieser erfolgreich beide Sicherheitsschichten durchdringen.

Was lernen wir daraus?

  • Man sollte jedes Sicherheitssystem per se als „löcherig“ betrachten. Es gibt kein perfektes System!! Noch schlimmer: Sicherheit ist immer temporär. Jeden Tag werden neue Möglichkeiten entdeckt und billigere Rechenleistung zwingt zu längeren Schlüsseln.
  • Die Kombination der Sicherheitssysteme ist extrem wichtig. Sie müssen sich so ergänzen, dass sie gegenseitigen Schwächen (aka Löcher) aufheben (aka zudecken).
  • Wir alle wissen, dass man mit unendlich viel Käsescheiben dann auch eine absolute Abdeckung erreichen. Wir alle wissen auch, dass zu viel Käse fett macht. Ziel muss also sein, bei minimaler Menge Käse maximale Abdeckung zu erreichen. Hier kommt das Schlagwort Risiko-Management in’s Spiel.

CU

0xff

Leave a Reply

Your email address will not be published. Required fields are marked *