Schlagwort-Archive: Requirements

Threat Modeling in Action

After the videos on threat modeling an example seems in order. Securology provides us with a good one in Selecting a Pistol Safe as (part of) the basis of a procurement decision. This is his set of requirements:

So, I needed a way to „securely“ (that’s always a nebulous word) store a firearm– namely a pistol– such that it could meet the following criteria:

  1. Keep children’s and other family members‘ hands off of the firearm
  2. Stored in, on, or near a nightstand
  3. Easily opened by authorized people under stress
  4. Easily opened by authorized people in the dark
  5. Not susceptible to power failures
  6. Not susceptible to being „dropped open“
  7. Not susceptible to being pried open
  8. Not opened by „something you have“ (authentication with a key) because the spouse is horrible at leaving keys everywhere.
  9. For sale at a reasonable cost
  10. An adversary should not know (hear) when the safe was opened by an authorized person

But I didn’t care a lot about the ability to keep a dedicated thief from stealing the entire safe with or without the firearm inside.

Read on at Securology to see how various products fail to fulfill this set of requirements. This example is illustrative in that it addresses several distinct threat aspects and tradeoffs. The pistol is not simply an asset needing protection, it is also by itself a security mechanism against certain threats. The resulting optimization problem is pretty interesting: keeping (some) unauthorized people from accessing the pistol while maintaining availability to the authorized in a practical sense.

»Hinreichende Sicherheit« ohne Anforderungsanalyse?

Heise berichtete am 4. Mai über eine Kleine Anfrage im Bundestag und die Antwort des Innenministeriums darauf. Es geht um Wahlcomputer und Zweifel an ihrer Brauchbarkeit. Das Ministerium hält die Geräte für hinreichend manipulationssicher. Die Sicherheit werde durch technische und organisatorische Maßnahmen gewährleistet, absolute Sicherheit sei auch bei Wahlen mit Stimmzettel und Stift nicht gegeben und überhaupt sei Wahlfälschung ja auch verboten.

Das Original der Antwort liegt leider nur den Heise-Redakteuren vor. Was in deren Bericht auffällt und in der Antwort des Ministeriums vermutlich nicht anders ist: mit den Sicherheitsanforderungen setzt man sich nicht auseinander. Ohne die aber ist Sicherheit ein leerer Begriff. Wenn ich nicht weiß, was ich vor wem schützen möchte, wie kann ich dann von hinreichender Sicherheit reden?

»Hinreichende Sicherheit« ohne Anforderungsanalyse? weiterlesen