This is an old revision of the document!


Bewertete Bedrohungsszenarien

Die Kombination von Eintretenswahrscheinlichkeit und Schadenspotential der Bedrohungsszenarien werden dreistufig bewertet (Skalen: selten, sporadisch, häufig bzw. gering, mässig, erheblich). Die Schadenssumme wird im Licht der formulierten Anforderungen betrachtet. Teilweise werden zusätzliche Massnahmen beschrieben, um das Schadenspotential zu verringern.

Diskutiert werden Datenintegrität im Sinne von Vollständigkeit des Datenbestands sowie Datensicherheit im Sinne von Zugriffsbefugnis.

Datenintegrität

Isolierter Datenverlust auf einem Endgerät (sporadisch/null)

Die Backup-Funktionalität erlaubt, bei Datenverlust infolge versehentlichen Löschens, Verlusts oder Diebstahls eines Endgeräts verlorene Daten wieder herzustellen. Die Latenzzeit beträgt - abhängig vom Zurückliegen des letzten Backups - im Idealfall wenige Stunden. Im Extremfall sollte sie höchstens einige wenige Tage betragen.

Entwendung des Heim-Servers (selten/Erheblich)

Bei Entwendung des NAS würde der Verlust von nicht-wiederherstellbaren Daten schwer wiegen. Gegen diese Bedrohung kann nur eine „off-site"-Replikation des gesamten Datenbestands schützen.

Verlust der Infrastruktur (selten/erheblich)

Bei Verlust der Infrastruktur infolge bspw. Feuerschaden besteht die Gefahr, dass das redundante System vollständig zerstört werden könnte, was in einem irreparablen Datenverlust von grossem Ausmass resultieren würde. Auch gegen diese Bedrohung schützt allein eine „off-site"-Replikation des gesamten Datenbestands.

Datensicherheit

Unbefugter Zugriff auf mobile Endgeräte (sporadisch/mässig)

Bei unbefugtem Zugriff auf ein Endgerät wäre der gesamte dort vorliegende Datenbestand gefährdet. Gegen diese Bedrohung müssen die üblichen Vorkehrungen auf den Endgeräten getroffen werden (verschlüsselte Datenverzeichnisse, starkes Anmeldepasswort, automatisches Sperren bei Untätigkeit etc.); dies betrifft sowohl Verlust des Geräts als auch unbefugtes Anmelden. Um die Auswirkungen zu mildern, ist es unabdingbar, dass alle sensiblen Daten stets verschlüsselt abgelegt werden.

Zugriff von einem entwendeten Endgerät aus (sporadisch/erheblich)

Als Erweiterung der vorhergehenden Bedrohung muss das Szenario betrachtet werden, dass von einem entwendeten Endgerät aus der Zugriff auf den Heim-Server auch Unbefugten möglich wäre. Damit läge potentiell der gesamte Datenbestand offen, auf welchen der betreffende Benutzer Zugriff hat. Diese Bedrohung muss dadurch entschärft werden, als der Zugriff von jedem Endgerät aus Server-seitig kontrolliert werden kann. Hierzu wird Zertifikats-basierte Authentifizierung mit Zertifikatwiderruflisten („certificate revocation lists”) verwendet.

Unbefugter Zugriff auf den Heim-Server (n.a./n.a.)

Aufgrund der Vorgabe, dass die Daten unverschlüsselt gespeichert werden, liegt bei unbefugtem Zugriff auf den Heim-Server der gesamte Datenbestand offen. Da sich das Gerät in einer vertrauenswürdigen Umgebung befindet, kann ein gezielter Missbrauch von den hier gemachten Überlegungen ausgeschlossen werden. Zusätzlich gilt das oben gesagte über verschlüsselte Speicherung sensibler Daten.

Entwendung des Heim-Servers (selten/gering)

Diese Bedrohung betrifft vor allem einen möglichen Einbruchdiebstahl. Bei Entwendung des NAS läge der gesamte Datenbestand offen. Es ist jedoch davon auszugehen, dass diese Daten für einen „zufälligen” Einbrecher wertlos sind, sofern die sensible Daten verschlüsselt abgespeichert sind. Weiter kann evtl. der physische Zugriff auf das Gerät gesichert werden.

Bei vorübergehender Abwesenheit kann das NAS abgeschaltet werden, und die Festplatten können an einem sicheren Ort aufbewahrt werden. Hiermit wäre jedoch der Zugriff auf die Datenbestände nicht möglich. Alternativ wäre es auch möglich, das Gerät vorübergehend an einem anderen vertrauenswürdigen Ort ans Netzwerk anzuschliessen.

Unbefugter Zugriff übers Netzwerk (häufig/Gering)

Sofern alle Netzwerkzugriffe mit sicherer Authentifizierung und Verschlüsselung geschehen, kann ein Schadenfall aus technischer Sicht faktisch ausgeschlossen werden. Unabdingbar ist allerdings die Kontrolle über die gesamthaft verwendeten Zertifikate und Schlüssel.

Konklusionen

Alle betrachteten Bedrohungsszenarien können durch eine Kombination der oben definierten Anforderungen sowie der folgenden zusätzlichen Anforderungen abgefangen werden.

Elementare Sicherheitsmassnahmen

Quasi als salvatorische Klausel muss auf die unabdingbare Wichtigkeit der Verschlüsselung sensibler Daten hingewiesen werden. Daneben ist dem Zugriffsschutz auf den mobilen Endgeräten besondere Beachtung zu schenken. Die diesbezügliche Verantwortung obliegt den einzelnen Benutzern.

Externe Replikation

Zusätzlich zu den oben definierten Anforderungen zeigt sich die Notwendigkeit der externen Replikation des gesamten Datenbestands, mithin des Heim-Server. Da die replizierten Dateien potentiell ausserhalb der vertrauenswürdigen Umgebung liegen, muss der replizierte Datenbestand verschlüsselt angelegt werden.

Vollständige Replikation

Soll der vollständige Datenbestand des Heim-Server periodisch repliziert werden, muss mit einem Datenvolumen von mehren Terabyte gerechnet werden. Dies bedingt ein entsprechendes Datenvolumen in einer entfernten Lokalität, welche übers Netzwerk zugänglich ist.

Aus Kostengründen kommen online-Speicherdienste eher nicht in Frage. Die kostengünstigste Lösung besteht in einem zweiten NAS1). Die periodische Replikation erfolgt automatisiert, und die Daten werden verschlüsselt repliziert.

Abgestufte Replikation

Alternativ zur vollständigen periodischen Replikation kann eine partielle Replikation bei Bedarf vorgenommen werden. Dabei wird nicht der gesamte Datenbestand des Heim-Server repliziert, sondern nur derjenige Teil, welcher nicht auch auf den persönlichen Endgeräten abgelegt ist, also das Datenarchiv.

Grundbedingung ist die prinzipielle Bereitschaft, einen Totalverlust des gesamten Datenbestands infolge eines möglichen Verlusts der Infrastruktur (bspw. infolge Elementarschadens) zu akzeptieren. Ein gleichzeitiger Verlust von Endgeräten und Heim-Server infolge Diebstahls wird aus der Risikobetrachtung ausgeschlossen. Insbesondere wird bei ferienhalber Abwesenheit davon ausgegangen, dass die persönlichen Endgeräte mitgeführt werden. Damit ist der Datenbestand in allen relevanten Szenarien vollständig redundant gesichert.

1) Eine kreative Lösung besteht darin, mit einem Bekannten die externe Replikation auf dem je gegenseitigen NAS abzulegen.

Navigation

Personal Tools