Ein gutes Bedrohungsmodell erleichtert die Verteidigung, indem es gezielte Sicherheitsmaßnahmen ermöglicht. Das demonstrieren uns Ladeninhaber, die ihre Alarmanlagen mit Nebelmaschinen koppeln. Diese Idee ist vermutlich gut: Einbrecher kommen mit dem Ziel, schnell und einfach eine gewisse Menge Waren mitzunehmen, ohne dabei gefasst zu werden. Dichter Nebel stört dabei. Er verhindert zwar nichts, verlangsamt aber Vorgänge: das Auffinden der Beute, das Heraustragen und gegebenenfalls auch die Flucht, was das Risiko der Täter erhöht. Außerdem kostet Nebel nicht viel, gewiss weniger als eine strikt präventive Ausstattung des gesamten Gebäudes mit einbruchshemmenden Maßnahmen. Alle Schäden verhindert er nicht, aber zur Reduktion taugt er allemal.

Was macht ein Bedrohungsmodell brauchbar? Das ergibt sich daraus, wozu man dieses Modell braucht: man möchte im Modell die mutmaßliche Wirksamkeit und Eignung von Sicherheitsmaßnahmen diskutieren, einschätzen und vergleichen. Die so begründeten Entscheidungen sollen später mit hoher Wahrscheinlichkeit den Realitätstest überstehen.

Ein einfaches Bedrohungsmodell ist die Generalparanoia. Man listet alle vorstellbaren Angriffe und Schadensfälle auf und verlangt maximalen Schutz gegen jeden davon. Um der Vollständigkeit möglichst nahe zu kommen, bemüht man sich, an jede noch so entfernte Möglichkeit zu denken. Dieses Modell scheitert jedoch schnell und gründlich, denn die Umsetzung der so bestimmten Sicherheitsmaßnahmen wird stets zu teuer sein. Wir sehen Resultate dieses Ansatzes deshalb vorwiegend in Hollywood-Filmen – zusammen mit dem einen Angriffsszenario, das die Entwickler leider übersehen haben.

Eine naheliegende und übliche Reaktion darauf ist, den Schutzbedarf einzelner Wertgegenstände einerseits und die Wahrscheinlichkeit der Schadensfallszenarien andererseits zu bewerten. Maßnahmen ergreift man dann nur dort, wo die Werte hoch und Schäden wahrscheinlich sind. Ein Elektronikhändler handelt nach diesem Prinzip, wenn er teure Kleingeräte in Vitrinen einschließt, denn die wären ein attraktives Ziel für Ladendiebe.

Mit solchen Erwägungen landen wir im Reich der Angreifermodellierung. Die ist heikel, denn ein Angreifer ist intelligent und sucht sich selbständig einen Weg, sein Ziel zu erreichen. Man muss deshalb aufpassen, dass man sich nicht in die Tasche lügt und mit den im Modell unvermeidlichen Annahmen und Vereinfachungen wichtige Aspekte ausschließt. Der Angreifer handelt später nicht im Modell, sondern in der Realität und damit am Gesamtsystem.

Zum Beispiel wäre es ein Fehler, Angreifermodelle nur auf die bereits vorhandenen Sicherheitsmaßnahmen zu stützen und nach ausnutzbaren Schwächen in diesen Maßnahmen zu suchen. Die Angriffsmöglichkeiten neben den Maßnahmen, die einem Angreifer vielleicht auf den ersten Blick auffallen, übersieht man damit systematisch. Zertifizierungsansätze wie die Common Criteria for Information Technology Security Evaluation (kurz: Common Criteria oder CC) beruhen auf dieser Idee und scheitern (nicht nur) daran.

Angreifermodelle sind also eine Unterklasse der Bedrohungsmodelle: sie modellieren zielgerichtet, dynamisch, adaptiv und intelligent handelnde Bedrohungen. Wir beschäftigen uns also nicht mehr mit dem Hochwasser, das unser Rechenzentrum bedroht, ohne es spezifisch auf unsere Server abgesehen zu haben. Sondern Gegenstand des Angreifermodells ist zum Beispiel der Buntmetalldieb, für den unser Kabelsalat einen Wert von n Euro hätte, wenn er herankäme, und der gezielt nach Möglichkeiten sucht.

Was bringt uns diese Verfeinerung? Angreifermodelle ermöglichen uns zum Beispiel, zwischen einem hochwertigen Gadget im Elektronikkaufhaus und einer hochwertigen Schrankwand im Möbelhaus zu unterscheiden. Abstrakt betrachtet sind beide vielleicht gleich wertvoll und stehen gleichermaßen ungeschützt in Geschäftsräumen mit Publikumsverkehr herum. Dennoch wird sich jeder vernünftige Dieb, sofern er die Wahl hat, lieber an der Digitalkamera vergreifen als an der Schrankwand, denn das ist in vielerlei Hinsicht einfacher. (Und wenn sich die Priorität umkehrt, ist der Elektronikhändler – vorerst – sicher.)

Die spezifische Schwierigkeit der Angreifermodellierung liegt darin, vereinfachende Annahmen so zu treffen, dass man dabei nicht versehentlich und willkürlich wichtige Aspekte des Angreiferhandelns ausblendet. Ein Kriterium ist vielleicht (ich muss es selbst erst noch ausprobieren) die Abgeschlossenheit der betrachteten Angreiferklassen gegenüber vernünftigem Handeln. Das bedeutet Angreifer so zu klassifizieren, dass die wahrscheinlichen Ziele, Interessen und Handlungen dieser Angreifer klasseninvariant sind. Eine vernünftige Nutzung des Handlungsspielraumes, den ein Angreifer hat, soll ihn also nicht – oder jedenfalls nicht auf einfache Weise – aus dem Definitionsbereich der Angreiferklasse oder gar aus dem Geltungsbereich des Angreifermodells herausführen. Ein gutes Angreifermodell müsste dann auf Angreiferklassen beruhen, die abgeschlossen und minimal sind, d.h. teilbare abgeschlossene Klassen würde man auf ihre Komponenten zurückführen.

Wenn man diese Anforderungen der Abgeschlossenheit und der Minimalität in handhabbare Regeln gießen könnte, bekäme man vermutlich Angreifermodelle, die als Basis Klassen wie Ladendieb, Einbrecher oder Selbstmordattentäter enthalten, nicht jedoch Krimineller (nicht minimal) oder jemand, der eine D90 klauen will (nicht abgeschlossen) verwenden. Darauf könnte man sich dann noch eine Algebra definieren, um auch über Kombinationen reden zu können, etwa über den Einbrecher, der hinterher Feuer legt, um seine Spuren zu verwischen.