Dieser Artikel wurde maschinell übersetzt.
Das Konzept der Sicherheit durch Obscurity (STO) beruht auf der Idee, dass ein System sicher bleiben kann, wenn die Schwachstellen geheim oder versteckt sind. Wenn ein Angreifer die Schwachstellen nicht kennt, kann er sie nicht ausnutzen. Die Kehrseite der Medaille ist, dass die IT nicht mehr sicher ist, sobald diese Schwachstelle aufgedeckt wird. Es wird allgemein angenommen, dass Sicherheit durch Verschleierung nur dann wirksam ist, wenn sie als eine Integration der Sicherheit und nicht als gesamtes Sicherheitssystem verwendet wird. STO ist ein kontroverses Thema in der IT-Welt. Für die IT allein ist die IT eine ineffektive Sicherheitsmaßnahme.
Was ist Sicherheit durch Verschleierung?
Unklarheit bedeutet Unbekanntes. Sicherheit durch Unklarheit zielt darauf ab, ein System sicher zu halten, indem das Wissen über die IT geheim gehalten wird. Die inneren Mechanismen und die Funktionsweise eines Systems werden nur denjenigen bekannt gegeben, die es unbedingt wissen müssen. Wenn niemand außerhalb der Kerngruppe davon oder von den Schwachstellen Kenntnis hat, kann das System sicher bleiben. Theoretisch funktioniert das, aber die Fehlerquote ist groß. Bei einem Leck kann das gesamte System kompromittieren.
Geschichte von STO
Das Konzept der Sicherheit durch Verdunkelung hat eine lange Geschichte, mit frühen Gegnern, die bis in die 1850er Jahre zurückreichen. In der IT ging es um das Konzept der Veröffentlichung, wie man ein damals hochmodernes Schloss erfolgreich knackt. Obwohl es viel Empörung gab, wurde das Argument vorgebracht, dass die Leute, die daran arbeiten, einzubrechen, bereits wissen, wie es geht, und dass das Aufdecken von Fehlern im Design sie nicht wirklich anfälliger für Angriffe macht. STO ist ein traditioneller Aspekt der Verschlüsselung bei Regierungsbehörden wie der NSA (National Security Agency), die Kryptographen beschäftigen, deren Arbeit geheim gehalten wird. Auf der anderen Seite besagt das Kerckhoffsche Prinzip vom Ende des 19. Jahrhunderts, dass das kryptographische System so lange sicher sein sollte, wie der Schlüssel geheim gehalten wird, auch wenn alles andere über das System bekannt ist.
Unklarheit in Architektur vs. Technik
Sicherheit durch Verschleierung ist im Wesentlichen ein unsicheres Konzept, da die IT bedeutet, dass das verborgene Geheimnis oder die unbekannte Entität der Schlüssel zur Entschlüsselung des gesamten Systems ist. In diesem Fall hat der Feind, sobald er diesen Schlüssel hat, Zugriff auf alles. In der Technik ist Sicherheit durch Verschleierung ein unsicheres Konzept, wenn es isoliert verwendet wird. Wenn sie als Teil der Architektur eines Systems und als eigenständige Integration verwendet wird, kann Sicherheit durch Verschleierung eine wirksame Sicherheitsmaßnahme sein. Zum Beispiel ist Tarnung eine hilfreiche Sicherheitsmaßnahme, aber wenn Sie durch die IT hindurchsehen können, ist die IT nicht mehr effektiv, es sei denn, es gibt einen zusätzlichen Schutz unter der getarnten Integration.<
Gute Obskurität im Vergleich zu schlechter Obskurität
STO als einzige Methode zum Schutz Ihrer Assets ist eine schlechte Idee, aber wenn es in Verbindung mit anderen Sicherheitsmaßnahmen verwendet wird, kann die IT ein nützliches Werkzeug sein. Sicherheit durch Verschleierung dient dazu, die Aufklärung vor Angreifern und unbefugten Benutzern zu erschweren. Sie werden es schwerer haben, Schwachstellen von etwas auszunutzen, das sie gar nicht erst sehen können. Dies sind Beispiele aus der Praxis für Sicherheit durch Verschleierung:
- Die Tür ist verschlossen, aber der Schlüssel ist unter der Fußmatte versteckt.
- Setzen Sie Köderautos um das Asset herum ein, das Sie zu schützen versuchen, wobei nur die Hauptakteure wissen, in welchem Auto sich das Asset befindet.
- Verwendung eines Closed-Source-Systems, bei dem nur bestimmte Personen über Kenntnisse zur Funktionsweise der IT verfügen.
- Schreiben Sie Ihr Passwort auf ein Blatt Papier und verstecken Sie IT unter Ihrer Computertastatur.
Eine gute STO besteht darin, die Schlüssel zu Ihrem System weniger sichtbar zu halten und gleichzeitig sicherzustellen, dass sie ordnungsgemäß geschützt sind.
Kritik an STO
Die IT-Umgebung wird immer komplexer und mehr Benutzer benötigen Zugriff, wodurch die Zahl der „Eingeweihten“ steigt. Immer mehr Benutzer verfügen über umfassende Kenntnisse zur Funktionsweise von Systemen, wodurch es für sie leicht sein kann, die zurückgehaltenen Informationen zu erraten. Aus diesen Gründen wird STO oft als ineffektive Methode kritisiert, insbesondere wenn es als primäre oder einzige Sicherheitsformel verwendet wird. Wenn STO die einzige Methode zum Schutz der IT ist, ist das System außerdem nach Entdeckung des Schlüssels offen und anfällig für Angriffe. Einmal entdeckt, besteht kein Schutz mehr. Open-Source-Code wird regelmäßig verwendet und ist weithin verfügbar. Sogar das US-amerikanische National Institute of Standard and Technology (NIST) empfiehlt nicht, Closed Source zur Sicherung von Software zu verwenden. Geheimhaltung ist nicht unbedingt gleichbedeutend mit Sicherheit – zumindest nicht in Bezug auf die IT allein.
Keine eigenständige Sicherheitsmethode
Kurz gesagt, Sicherheit durch Verschleierung durch die IT ist kein gutes Konzept. Die IT dient dazu, die tatsächliche Sicherheit durch Geheimhaltung zu ersetzen, d.h. wenn jemand, wie z.B. ein Angreifer, den Schlüssel oder Trick zum System erfährt, ist die IT nicht mehr sicher. Sicherheit durch Verschleierung kann eine gute Ergänzung zur Sicherheit sein, wenn sie zusammen mit anderen Sicherheitstools und -maßnahmen verwendet wird. Die IT sollte niemals als einzige Methode verwendet werden, um die Sicherheit Ihres Systems zu gewährleisten, aber die IT kann einen zusätzlichen integrierten Schutz hinzufügen, indem sie Dinge versteckt und weniger sichtbar hält. Sicherheit durch Verschleierung wirkt als Wahrscheinlichkeitsreduzierung und hält die Wahrscheinlichkeit, dass Ihr System gehackt oder kompromittieren wird, geringer. Dies unterscheidet sich von der Aufprallreduzierung, die zusätzliche Panzerung gegen Sicherheitskompromittieren hinzufügt. Insgesamt ist STO ein kontroverses Thema, das einige Vorzüge hat, aber nur, wenn es richtig eingesetzt wird und mit zusätzlichen Sicherheitsmaßnahmen auf höherer Ebene verbunden ist.
Referenzen
Sicherheit durch Verschleierung (STO). (Juli 2013). Techopedia.
Kerckhoffsches Prinzip. (2020). Krypto-IT.
Sicherheit durch Obskurität: Das Gute, das Schlechte, das Hässliche. (Mai 2020). Der Cyber-Patch.
