Security by Obscurity
Was ist Security by Obscurity?
Security by ObscurityAnsatz, der auf Geheimhaltung von Design, Implementierung oder Standort eines Systems als primarer Schutz baut, statt auf intrinsische Sicherheit.
Security by Obscurity nimmt an, dass Angreifer scheitern, weil sie nicht wissen, wie ein System funktioniert, wo es lauft oder welches Verfahren es nutzt. Das Kerckhoffs-Prinzip (1883) widerspricht: Ein Kryptosystem muss auch dann sicher bleiben, wenn ausser dem Schlussel alles offen ist. Versteckte Admin-URLs, proprietare Eigenkryptografie, unpublizierte Ports oder Rebranding-"Sicherheit" zerbrechen an Scannern, Leaks, Reverse Engineering und Insidern. NIST und ISO sehen Obscurity bestenfalls als Defense-in-Depth-Schicht: ein kleiner Mehraufwand fur den Angreifer, kein Ersatz fur starke Authentifizierung, authentifizierte Verschlusselung, Hardening, Monitoring und Patching.
● Beispiele
- 01
Admin-Panel auf /supersecret-admin verstecken und gleichzeitig schwache Authentifizierung lassen.
- 02
Eigene "Verschlusselung" erfinden statt AES-GCM zu verwenden.
● Häufige Fragen
Was ist Security by Obscurity?
Ansatz, der auf Geheimhaltung von Design, Implementierung oder Standort eines Systems als primarer Schutz baut, statt auf intrinsische Sicherheit. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Security by Obscurity?
Ansatz, der auf Geheimhaltung von Design, Implementierung oder Standort eines Systems als primarer Schutz baut, statt auf intrinsische Sicherheit.
Wie funktioniert Security by Obscurity?
Security by Obscurity nimmt an, dass Angreifer scheitern, weil sie nicht wissen, wie ein System funktioniert, wo es lauft oder welches Verfahren es nutzt. Das Kerckhoffs-Prinzip (1883) widerspricht: Ein Kryptosystem muss auch dann sicher bleiben, wenn ausser dem Schlussel alles offen ist. Versteckte Admin-URLs, proprietare Eigenkryptografie, unpublizierte Ports oder Rebranding-"Sicherheit" zerbrechen an Scannern, Leaks, Reverse Engineering und Insidern. NIST und ISO sehen Obscurity bestenfalls als Defense-in-Depth-Schicht: ein kleiner Mehraufwand fur den Angreifer, kein Ersatz fur starke Authentifizierung, authentifizierte Verschlusselung, Hardening, Monitoring und Patching.
Wie schützt man sich gegen Security by Obscurity?
Schutzmaßnahmen gegen Security by Obscurity kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- compliance№ 299
Defense in Depth
Sicherheitsstrategie, die unabhangige Kontrollen schichtet, sodass beim Versagen einer Schicht andere weiterhin verhindern, erkennen oder eindammen.
- cryptography№ 249
Kryptographie
Wissenschaft, die Informationen mit mathematischen Verfahren gegen Angreifer schützt und Vertraulichkeit, Integrität, Authentizität sowie Nichtabstreitbarkeit gewährleistet.
- appsec№ 982
Sicheres Programmieren
Praxis, Quellcode so zu schreiben, dass Sicherheitsmängel minimiert werden — durch defensive Muster, sprachspezifische Regeln und anerkannte Leitlinien.
- appsec№ 1150
Bedrohungsmodellierung
Strukturierte Analyse, die Assets, Bedrohungen, Schwachstellen und Gegenmaßnahmen eines Systems identifiziert, damit Sicherheit im Design verankert und nicht nachträglich ergänzt wird.
- identity-access№ 854
Prinzip der geringsten Rechte
Sicherheitsprinzip, das jedem Nutzer, Prozess oder Dienst nur jene Rechte gewährt, die er zwingend für seine Aufgabe benötigt — nicht mehr.