Vertraulichkeit

In der Luftfahrtindustrie ist ein klemmendes Push-to-Talk-Mikrofon in der Sendeposition ein erhebliches Problem für die Vertraulichkeit. In mehreren gut dokumentierten Fällen hat ein verklemmtes Mikrofon private Gespräche zwischen Piloten im Cockpit übertragen, was eine Verletzung der Vertraulichkeit darstellt. In diesem Fall handelt es sich nicht um einen böswilligen Angreifer: Ein Fehler in der Zuverlässigkeit der Hardware führt dazu, dass das Gerät sendet, obwohl der Pilot dies nicht beabsichtigt.

Integrität

Auch bei der Kompromittierung der Datenintegrität muss kein aktiver Angreifer beteiligt sein. Im Jahr 2015 stellten die Google Site Reliability Engineers (SREs) fest, dass die kryptografischen Integritätsprüfungen einiger Datenblöcke fehlschlugen. Da einige der Rechner, die die Daten verarbeiteten, später Anzeichen von unkorrigierbaren Speicherfehlern aufwiesen, beschlossen die SREs, eine Software zu schreiben, die die Integritätsprüfung für jede Version der Daten mit einem einzigen Bit-Flip (eine 0 wird zu einer 1 oder umgekehrt) vollständig berechnet. Auf diese Weise konnten sie sehen, ob eines der Ergebnisse mit dem Wert der ursprünglichen Integritätsprüfung übereinstimmte. Es stellte sich heraus, dass es sich bei allen Fehlern tatsächlich um einen Ein-Bit-Flip handelte, und die SREs konnten alle Daten wiederherstellen. Interessanterweise war dies ein Fall, in dem eine Sicherheitstechnik bei einem Zuverlässigkeitsvorfall zur Hilfe kam. (Googles Speichersysteme verwenden ebenfalls nicht kryptografische End-to-End-Integritätsprüfungen, aber andere Probleme hinderten die SREs daran, die Bitumkehrungen zu erkennen).

Verfügbarkeit

Schließlich ist die Verfügbarkeit natürlich sowohl ein Zuverlässigkeits- als auch ein Sicherheitsaspekt. Ein Angreifer könnte die Schwachstelle eines Systems ausnutzen, um das System zum Stillstand zu bringen oder den Betrieb für autorisierte Nutzer/innen zu beeinträchtigen. Oder er kontrolliert eine große Anzahl von Geräten, die über die ganze Welt verteilt sind, um einen klassischen verteilten Denial-of-Service-Angriff (DDoS) durchzuführen, bei dem die vielen Geräte angewiesen werden, ein Opfer mit Datenverkehr zu überfluten.

Denial-of-Service (DoS)-Angriffe sind ein interessanter Fall, weil sie sich zwischen den Bereichen Zuverlässigkeit und Sicherheit bewegen. Aus Sicht des Opfers kann ein bösartiger Angriff nicht von einem Designfehler oder einer legitimen Datenverkehrsspitze unterschieden werden. Ein Software-Update aus dem Jahr 2018 führte beispielsweise dazu, dass einige Google Home- und Chromecast-Geräte große synchronisierte Spitzen im Netzwerkverkehr erzeugten, als die Geräte ihre Uhren umstellten, was zu einer unerwarteten Belastung des zentralen Zeitdienstes von Google führte. Ähnlich kann eine große Eilmeldung oder ein anderes Ereignis, das Millionen von Menschen zu nahezu identischen Eingabeaufforderungen veranlasst, einem herkömmlichen DDoS-Angriff auf Anwendungsebene ähneln. Wie in Abbildung 1-1 dargestellt, wurde die Google-Infrastruktur in der San Francisco Bay Area mitten in der Nacht im Oktober 2019 durch ein Erdbeben der Stärke 4,5 mit einer Flut von Anfragen überschwemmt.

Abbildung 1-1. Webverkehr, gemessen in HTTP-Anfragen pro Sekunde, der die Google-Infrastruktur erreicht, die Nutzer in der San Francisco Bay Area bedient, als ein Erdbeben der Stärke 4,5 die Region am 14. Oktober 2019 erschütterte

Unsichtbarkeit

Verlässlichkeit und Sicherheit sind meist unsichtbar, wenn alles gut läuft. Aber eines der Ziele von Zuverlässigkeits- und Sicherheitsteams ist es, das Vertrauen von Kunden und Partnern zu gewinnen und zu erhalten. Eine gute Kommunikation - nicht nur in schwierigen Zeiten, sondern auch, wenn alles gut läuft - ist eine solide Grundlage für dieses Vertrauen. Es ist wichtig, dass die Informationen so ehrlich und konkret wie möglich und frei von Plattitüden und Fachjargon sind.

Leider bedeutet die Unsichtbarkeit von Zuverlässigkeit und Sicherheit in Abwesenheit von Notfällen, dass sie oft als Kosten betrachtet werden, die man ohne unmittelbare Folgen reduzieren oder aufschieben kann. Doch die Kosten für Ausfälle in den Bereichen Zuverlässigkeit und Sicherheit können erheblich sein. Medienberichten zufolge könnten Datenschutzverletzungen dazu geführt haben, dass der Preis, den Verizon für die Übernahme des Internetgeschäfts von Yahoo! im Jahr 2017 gezahlt hat, um 350 Millionen Dollar gesunken ist. Im selben Jahr führte ein Stromausfall dazu, dass wichtige Computersysteme bei Delta Airlines ausfielen, was zu fast 700 Flugausfällen und Tausenden von Verspätungen führte und den Flugdurchsatz von Delta an diesem Tag um etwa 60 % reduzierte.

Bewertung

Da es in der Praxis nicht möglich ist, eine perfekte Zuverlässigkeit oder Sicherheit zu erreichen, kannst du risikobasierte Ansätze verwenden, um die Kosten negativer Ereignisse sowie die Vorab- und Opportunitätskosten für die Vermeidung dieser Ereignisse zu schätzen. Allerdings solltest du die Wahrscheinlichkeit von negativen Ereignissen für Zuverlässigkeit und Sicherheit unterschiedlich bewerten. Du kannst über die Zuverlässigkeit einer Systemzusammensetzung nachdenken und die Entwicklungsarbeit entsprechend den gewünschten Fehlerbudgets planen,¹ Zumindest teilweise, weil du davon ausgehen kannst, dass die einzelnen Komponenten unabhängig voneinander ausfallen. Die Sicherheit einer solchen Zusammensetzung ist schwieriger zu beurteilen. Die Analyse des Entwurfs und der Implementierung eines Systems kann ein gewisses Maß an Sicherheit bieten. Angreifer-Tests - simulierte Angriffe, die in der Regel aus der Perspektive eines bestimmten Angreifers durchgeführt werden - können auch dazu verwendet werden, die Widerstandsfähigkeit eines Systems gegen bestimmte Arten von Angriffen, die Wirksamkeit von Mechanismen zur Erkennung von Angriffen und die möglichen Folgen von Angriffen zu bewerten.

Einfachheit

Ein möglichst einfacher Systementwurf ist eine der besten Methoden, um die Zuverlässigkeit und Sicherheit eines Systems zu beurteilen. Ein einfacheres Design reduziert die Angriffsfläche, verringert das Potenzial für unvorhergesehene Systeminteraktionen und macht es für Menschen einfacher, das System zu verstehen und darüber nachzudenken. Verständlichkeit ist besonders in Notfällen wertvoll, wenn sie den Einsatzkräften hilft, die Symptome schnell zu lindern und die mittlere Reparaturzeit (MTTR) zu verkürzen. Kapitel 6 geht näher auf dieses Thema ein und erörtert Strategien wie die Minimierung von Angriffsflächen und die Isolierung der Verantwortung für Sicherheitsinvarianten in kleinen, einfachen Subsystemen, die unabhängig voneinander durchdacht werden können.

Resilienz

Natürlich sollte ein Problem mit der Arbeitsspeicherauslastung nicht zu einem globalen Ausfall des Dienstes geführt haben. Systeme sollten so konzipiert sein, dass sie auch unter ungünstigen oder unerwarteten Umständen belastbar sind. Aus Sicht der Zuverlässigkeit werden solche Umstände oft durch unerwartet hohe Last oder Komponentenausfälle verursacht. Die Auslastung ist eine Funktion des Volumens und der durchschnittlichen Kosten der Anfragen an das System. Du kannst also Ausfallsicherheit erreichen, indem du einen Teil der eingehenden Last abwirfst (weniger verarbeitest) oder die Verarbeitungskosten für jede Anfrage reduzierst (billigere Verarbeitung). Um Ausfällen von Komponenten entgegenzuwirken, sollte das Systemdesign Redundanz und verschiedene Fehlerdomänen vorsehen, damit du die Auswirkungen von Ausfällen durch das Umleiten von Anfragen begrenzen kannst. In Kapitel 8 werden diese Themen näher erörtert und in Kapitel 10 wird insbesondere auf DoS-Abwehrmaßnahmen eingegangen.

Wie widerstandsfähig die einzelnen Komponenten eines Systems auch sein mögen, sobald es komplex genug ist, kannst du nicht mehr ohne Weiteres nachweisen, dass das gesamte System immun gegen Kompromisse ist. Dieses Problem lässt sich zum Teil durch "Defense in Depth" und unterschiedliche Fehlerdomänen lösen. Defense in depth" bedeutet, dass mehrere, manchmal redundante, Verteidigungsmechanismen eingesetzt werden. Unterschiedliche Fehlerdomänen begrenzen den "Radius" eines Fehlers und erhöhen damit auch die Zuverlässigkeit. Ein gutes Systemdesign schränkt die Möglichkeiten eines Angreifers ein, einen kompromittierten Host oder gestohlene Anmeldedaten auszunutzen, um sich seitlich zu bewegen oder seine Rechte zu erweitern und andere Teile des Systems zu beeinflussen.

Du kannst verschiedene Fehlerdomänen einrichten, indem du die Berechtigungen aufteilst oder den Geltungsbereich der Anmeldeinformationen einschränkst. Die interne Infrastruktur von Google unterstützt zum Beispiel Zugangsdaten, die explizit auf eine bestimmte geografische Region beschränkt sind. Solche Funktionen können die Möglichkeiten eines Angreifers einschränken, der einen Server in einer Region kompromittiert und seitlich auf Server in anderen Regionen zugreifen kann.

Die Verwendung unabhängiger Verschlüsselungsebenen für sensible Daten ist ein weiterer gängiger Mechanismus für die Tiefenverteidigung. Auch wenn Festplatten eine Verschlüsselung auf Geräteebene bieten, ist es oft sinnvoll, die Daten auch auf der Anwendungsebene zu verschlüsseln. Auf diese Weise reicht selbst eine fehlerhafte Implementierung eines Verschlüsselungsalgorithmus in einem Laufwerks-Controller nicht aus, um die Vertraulichkeit der geschützten Daten zu gefährden, wenn ein Angreifer physischen Zugriff auf ein Speichergerät erhält.

Während die bisher genannten Beispiele von externen Angreifern ausgehen, musst du auch potenzielle Bedrohungen durch böswillige Insider in Betracht ziehen. Obwohl ein Insider vielleicht mehr über potenzielle Missbrauchsvektoren weiß als ein externer Angreifer, der zum ersten Mal die Anmeldedaten eines Mitarbeiters stiehlt, unterscheiden sich die beiden Fälle in der Praxis oft nicht sehr. Das Prinzip der geringsten Privilegien kann Insider-Bedrohungen eindämmen. Es besagt, dass ein Benutzer nur über die minimalen Rechte verfügen sollte, die für die Ausübung seiner Tätigkeit erforderlich sind. Mechanismen wie sudo von Unix unterstützen zum Beispiel fein abgestufte Richtlinien, die festlegen, welche Benutzer welche Befehle in welcher Rolle ausführen dürfen.

Bei Google verwenden wir außerdem eine Mehrparteien-Autorisierung, um sicherzustellen, dass sensible Vorgänge von bestimmten Gruppen von Mitarbeitern überprüft und genehmigt werden. Dieser Mehrparteien-Mechanismus schützt sowohl vor böswilligen Insidern als auch vor unschuldigen menschlichen Fehlern, einer häufigen Ursache für Zuverlässigkeitsmängel. Least Privilege und Mehrparteienautorisierung sind keine neuen Ideen - sie wurden bereits in vielen Szenarien außerhalb der Computerwelt eingesetzt, von Atomraketen bis hin zu Banktresoren. In Kapitel 5 werden diese Konzepte eingehend behandelt.

Vom Entwurf zur Produktion

Sicherheits- und Zuverlässigkeitsaspekte sollten auch bei der Umsetzung eines soliden Entwurfs in ein vollständig eingesetztes Produktionssystem berücksichtigt werden. Schon bei der Entwicklung des Codes gibt es Möglichkeiten, potenzielle Sicherheits- und Zuverlässigkeitsprobleme durch Codeüberprüfungen zu erkennen und sogar ganze Klassen von Problemen zu vermeiden, indem gemeinsame Frameworks und Bibliotheken verwendet werden. In Kapitel 12 werden einige dieser Techniken erläutert.

Bevor du ein System in Betrieb nimmst, kannst du mit Tests sicherstellen, dass es sowohl in normalen Szenarien als auch in den Kantenfällen, die sich typischerweise auf die Zuverlässigkeit und Sicherheit auswirken, korrekt funktioniert. Egal, ob du Lasttests verwendest, um das Verhalten eines Systems bei einer Flut von Anfragen zu verstehen, Fuzzing, um das Verhalten bei potenziell unerwarteten Eingaben zu untersuchen, oder spezielle Tests, um sicherzustellen, dass kryptografische Bibliotheken keine Informationen preisgeben - Testen spielt eine entscheidende Rolle, um sicherzustellen, dass das System, das du tatsächlich gebaut hast, deinen Designabsichten entspricht. In Kapitel 13 werden diese Ansätze eingehend behandelt.

Und schließlich können einige Ansätze für die tatsächliche Bereitstellung von Code (siehe Kapitel 14) das Sicherheits- und Zuverlässigkeitsrisiko begrenzen. Canaries und langsame Rollouts können zum Beispiel verhindern, dass das System für alle Nutzer gleichzeitig kaputt geht. Auch ein Verteilungssystem, das nur ordnungsgemäß geprüften Code akzeptiert, kann das Risiko verringern, dass ein Insider eine bösartige Binärdatei in die Produktion einschleust.

Systeme und Logging untersuchen

Bisher haben wir uns auf Konstruktionsprinzipien und Implementierungsansätze konzentriert, um sowohl Zuverlässigkeits- als auch Sicherheitsmängel zu verhindern. Leider ist es meist unpraktisch oder zu teuer, perfekte Zuverlässigkeit oder Sicherheit zu erreichen. Du musst davon ausgehen, dass Präventivmechanismen fehlschlagen werden, und einen Plan ausarbeiten, um Fehler zu erkennen und zu beheben.

Wie wir in Kapitel 15 besprechen, ist eine gute Protokollierung die Grundlage für die Erkennung von und die Vorbereitung auf Ausfälle. Im Allgemeinen gilt: Je vollständiger und detaillierter die Logs sind, desto besser - aber diese Richtlinie hat einige Einschränkungen. Bei ausreichender Größe verursacht das Log-Volumen erhebliche Kosten, und eine effektive Analyse der Logs kann schwierig werden. Das YouTube-Beispiel weiter oben in diesem Kapitel zeigt, dass die Protokollierung auch zu Problemen mit der Zuverlässigkeit führen kann. Sicherheitsprotokolle stellen eine zusätzliche Herausforderung dar: Protokolle sollten in der Regel keine sensiblen Informationen enthalten, wie z. B. Authentifizierungsdaten oder personenbezogene Daten, damit die Protokolle selbst nicht zu einem attraktiven Ziel für Angreifer werden.

Krisenreaktion

Bei einem Notfall müssen die Teams schnell und reibungslos zusammenarbeiten, denn Probleme können unmittelbare Folgen haben. Im schlimmsten Fall kann ein Vorfall ein Unternehmen innerhalb von Minuten zerstören. Im Jahr 2014 zum Beispiel legte ein Angreifer den Code-Hosting-Dienst Code Spaces innerhalb weniger Stunden lahm, indem er die Verwaltungstools des Dienstes übernahm und alle Daten, einschließlich aller Backups, löschte. Eine gut eingespielte Zusammenarbeit und ein gutes Incident Management sind entscheidend für rechtzeitige Reaktionen in solchen Situationen.

Die Organisation der Krisenbewältigung ist eine Herausforderung, daher ist es am besten, einen Plan zu haben, bevor ein Notfall eintritt. Wenn du einen Vorfall entdeckst, tickt die Uhr vielleicht schon seit einiger Zeit. In jedem Fall arbeiten die Einsatzkräfte unter Stress und Zeitdruck und (zumindest anfangs) mit einem begrenzten Situationsbewusstsein. Wenn ein Unternehmen groß ist und der Vorfall eine 24/7-Reaktionsfähigkeit oder eine Zusammenarbeit über Zeitzonen hinweg erfordert, erschwert die Notwendigkeit, den Status zwischen den Teams aufrechtzuerhalten und das Vorfallsmanagement an den Grenzen der Arbeitsschichten abzugeben, den Betrieb zusätzlich. Bei Sicherheitsvorfällen besteht in der Regel auch ein Spannungsverhältnis zwischen dem Wunsch, alle wichtigen Beteiligten einzubeziehen, und der Notwendigkeit - oft aufgrund gesetzlicher oder behördlicher Vorschriften -, die Weitergabe von Informationen auf eine "Need-to-know"-Basis zu beschränken. Außerdem kann der erste Sicherheitsvorfall nur die Spitze des Eisbergs sein. Die Untersuchung könnte über die Unternehmensgrenzen hinausgehen oder die Strafverfolgungsbehörden einbeziehen.

In einer Krise sind eine klare Befehlskette und ein solider Satz von Checklisten, Spielbüchern und Protokollen unerlässlich. Wie in den Kapiteln 16 und 17 beschrieben, hat Google die Krisenreaktion in einem Programm namens Incident Management at Google (IMAG) kodifiziert, das einen einheitlichen Standard für den Umgang mit allen Arten von Vorfällen - von Systemausfällen bis hin zu Naturkatastrophen - festlegt und eine effektive Reaktion organisiert. Das IMAG wurde nach dem Vorbild des Incident Command System (ICS) der US-Regierung entwickelt, einem standardisierten Ansatz für die Leitung, Kontrolle und Koordination von Notfallmaßnahmen zwischen den Einsatzkräften verschiedener Behörden.

Wenn die Einsatzkräfte nicht mit dem Druck eines laufenden Ereignisses konfrontiert sind, gibt es in der Regel lange Zeiträume mit wenig Aktivität. In dieser Zeit müssen die Teams ihre Fähigkeiten und ihre Motivation aufrechterhalten und die Prozesse und die Infrastruktur in Vorbereitung auf den nächsten Notfall verbessern. Das Disaster Recovery Testing Programm (DiRT) von Google simuliert regelmäßig verschiedene interne Systemausfälle und zwingt die Teams, mit solchen Szenarien umzugehen. Häufige offensive Sicherheitsübungen testen unsere Verteidigung und helfen, neue Schwachstellen zu identifizieren. Google setzt die IMAG auch bei kleineren Zwischenfällen ein, was uns zusätzlich dazu auffordert, regelmäßig Notfallwerkzeuge und -prozesse zu üben.

Erholung

Die Behebung einer Sicherheitslücke erfordert oft das Patchen von Systemen, um eine Schwachstelle zu beheben. Intuitiv möchtest du, dass dieser Prozess so schnell wie möglich abläuft und Mechanismen verwendet werden, die regelmäßig geübt werden und daher zuverlässig sind. Die Fähigkeit, Änderungen schnell zu veröffentlichen, ist jedoch ein zweischneidiges Schwert: Während diese Fähigkeit dazu beitragen kann, Sicherheitslücken schnell zu schließen, kann sie auch Bugs oder Leistungsprobleme einführen, die großen Schaden anrichten. Der Druck, Patches schnell zu veröffentlichen, ist größer, wenn die Sicherheitslücke weithin bekannt oder schwerwiegend ist. Die Entscheidung, ob die Patches langsam verteilt werden sollen - und damit mehr Sicherheit besteht, dass es keine unbeabsichtigten Nebenwirkungen gibt, aber das Risiko besteht, dass die Schwachstelle ausgenutzt wird - oder ob sie schnell verteilt werden sollen, hängt letztlich von einer Risikobewertung und einer geschäftlichen Entscheidung ab. So kann es zum Beispiel akzeptabel sein, etwas Leistung zu verlieren oder die Ressourcennutzung zu erhöhen, um eine schwerwiegende Sicherheitslücke zu schließen.

Entscheidungen wie diese unterstreichen den Bedarf an zuverlässigen Wiederherstellungsmechanismen, die es uns ermöglichen, notwendige Änderungen und Aktualisierungen schnell durchzuführen, ohne die Zuverlässigkeit zu beeinträchtigen, und die auch potenzielle Probleme erkennen, bevor sie einen weitreichenden Ausfall verursachen. Ein robustes Flottenwiederherstellungssystem muss zum Beispiel eine zuverlässige Darstellung des aktuellen und des gewünschten Zustands jeder Maschine haben und muss außerdem Backstops bereitstellen, um sicherzustellen, dass dieser Zustand nie auf eine veraltete oder unsichere Version zurückgesetzt wird. Kapitel 9 befasst sich mit diesem und vielen anderen Ansätzen, und in Kapitel 18 geht es darum, wie man Systeme tatsächlich wiederherstellt, wenn ein Ereignis eingetreten ist.