DREAD Modell (risk assessment model)

Steht für Damage Reproducibility Exploitability Affected users Discoverability und wird in der IT für das einschätzen des Risikos von Sicherheitslücken, Exploits oder Malware bezeichnet. Die Bewertung erfolgt anhand von Punkten.

  • Damage: Schadenspotential, der Schwachstellen

Unwichtige Daten werden bekannt.
Wichtige Daten werden bekannt.
Der Angreifer erlangt Administratorrechte.
  • Reproducibility: Schwierigkeit zur Angriffs-Reproduktion

Selbst mit Kenntnis der Schwachstelle ist es schwer zu wiederholen.
Nur mittels Zeitfenster und „raceconditions“ wiederholbar.
Es ist stets reproduzierbar.
  • Exploitability: Schwierigkeit, einen Angriff durchzuführen

Nur ein sehr erfahrener Programmierer kann den Angriff verüben.
Mit einem Werkzeug ist es durchführbar.
Selbst dem Laien ist es(unbewusst)möglich.
  • Affected: Einschätzung wie groß der Kreis der potentiell betroffenen Benutzer ist

Kein Benutzer ist betroffen.
Nur ein Benutzer ist betroffen.
Eine ganze Benutzergruppe ist betroffen.
  • Discoverability: Schwierigkeitsgrad, mit dem die Sicherheitslücke aufgedeckt werden kann.

Bei normalem Gebrauch der Software fast nicht zu entdecken.
Dem Nutzer könnte es auffallen.
Der Angriff ist direkt aus den Protokolldaten ersichtlich
  • Ggf.: Reputation“(dt.„guter Ruf“)stellen:

Was steht auf dem Spiel?
Besteht die Gefahr das Vertrauendes Nutzers zu verlieren?

Für jedes DREAD-Kriterium erfolgt eine Qualifizierung nach

  • hoch (3), bei Risiko-Wert zwischen 12 und 15
  • mittel (2), bei Risiko-Wert zwischen 8 und 11
  • gering (1), bei Risiko-Wert zwischen 5 und 7

Risikobewertung: Summe der Einzelbewertungen

Add a Comment