-
Nachdem ich immer noch nicht weiß woher ich mir einen Spion (Gator)
eingefangen hab, machte ich mich auf die Suche und bin auf eine Interessante
Seite gestoßen. Hier ein Auszug! Den ganzen Inhalt könnt ihr Hier
nachlesen
-
Die Frage nach Sicherheit,
zieht sofort die Gegenfrage "Wogegen?" nach sich. Wie schützt man
ein System gegen bspw. Fehlbedienung?
Der Begriff Sicherheit bezieht sich auf ein
bestimmtes Szenario und ist dort binär: Entweder ein System ist gegenüber
genau diesem Szenario sicher oder eben nicht.
Trotzdem hört man immer wieder davon, etwas
"sicherer" zu machen. Dies bezieht sich auf die Gesamtmenge aller
denkbaren Szenarien und versucht den Prozentsatz der Szenarien zu ermittlen,
in denen das System sicher ist. Da aber ein unsicheres Szenario genügt, um
ein System zu kompromittieren, ist diese Denkweise höchst gefährlich. Es
gibt überabzählbar unendlich viele Szenarien, man kann sich aber nur gegen
konkrete Szenarien schützen. Das Maß der so entstehenden Gesamtsicherheit
ist aber nicht zwangsweise Null, da man sich gegen Sicherheitsklassen schützen
kann (Pufferüberläufe, Rechner wegtragen, Stromausfall bis zu einer
Stunde).
Erstes Fazit: Man braucht eine Liste von
Szenarien, in denen man Sicherheit erreichen will. => Ein Konzept.
Was ist aber nun sicher? Es gibt viele
Antworten, meine ist: "Sicher ist ein System genau dann, wenn die
Kosten des Angriffs den erzielbaren Nutzen niemals unterschreiten."
Diese Definition gestattet es, die Sicherheit von Systemen zu ermitteln, da
man theoretische Untergrenzen des Aufwandes ermitteln kann und somit weiß,
wieviel Wert man einem solchen System anvertrauen kann. Z.B. ist der Wert
einer Pressemitteilung auf die Zeit vor deren Veröffentlichung begrenzt.
Ein Schutz, der mit einem Aufwand von einer Mio EUR nicht unter einem Monat
zu brechen ist, reicht also, um wöchentliche Meldungen zu schützen, aus
denen man weniger Nutzen ziehen kann.
Andere Definitionen befassen sich mit der
Wahrscheinlichkeit möglicher Schäden und setzen das in Verhältnis zum
getriebenen Aufwand. Dies ist besonders in der Versicherungsbranche üblich
und eine rein betriebswirtschaftliche Kalkulation über die Menge aller möglichen
Szenarien. Es ist keine Aussage zur Sicherheit in einem Szenario, sondern
Eine zur Gesamtsicherheit. Viele Industrieversicherer bieten eine von den
Schutzvorkehrungen abhängige Prämie. Dies ist einer der besten Tests für
eine Firewall.
crust
Soulmann63
