Springe zum Hauptinhalt

2010-02: Sicher bis zum Stillstand

Angriff 1 – Justizministerin legt Justiz lahm

Jus­tiz­mi­nis­te­rin Bri­git­te Zy­pries en­ga­giert sich sehr für die In­ter­es­sen der Mu­sik­in­dus­trie. Sie setz­te denn auch de­ren An­spruch durch, Aus­kunft über die Be­nut­zer von IP­-­Adres­sen zu er­lan­gen. Das heh­re Ziel: Il­le­ga­len Ko­pie­rern soll das Hand­werk ge­legt wer­den. Doch für Jus­ti­tia ging der Schuss nach hin­ten los: In­zwi­schen lie­gen al­lein bei den 28 Kam­mern des Land­ge­richts Köln meh­re­re Zehn­tau­send Zi­vil­kla­gen ge­gen Tausch­bör­sen­be­nut­zer vor. Ein klas­si­scher DoS­-­Fall, denn bei die­sen Ge­rich­ten geht in nächs­ter Zeit ga­ran­tiert „gar nichts mehr“.

Angriff 2 – Notebook blockiert Flughafen

Im Ja­nu­ar „f­lüch­te­te“ ein Mann mit ver­däch­ti­gem Lap­top Rich­tung Gate­way – und ward nicht mehr ge­se­hen. Zahl­rei­chen In­ter­pre­ta­ti­o­nen zu­fol­ge woll­te er nur sei­nen Flug er­wi­schen. Aber er schaff­te es da­mit, den kom­plet­ten Münch­ner Flug­ha­fen auf Stun­den lahm zu le­gen. Ein DoS­-­An­griff wie aus dem Bil­der­buch mit mi­ni­ma­len Mit­teln.

Angriff 3 – Information Overflow

Die At­ta­cke des Un­ter­ho­sen­bom­bers an Weih­nach­ten ist eher ei­ner Ka­te­go­rie zu­zu­ord­nen, die je­der Ad­mi­nis­tra­tor ei­nes IDS un­schwer als „In­for­ma­ti­on over­flow“ er­kennt. Denn of­fen­sicht­lich läuft in­zwi­schen ei­ne sol­che Fül­le von Mel­dun­gen über „ge­fähr­den­de Sub­jek­te“ bei den Ge­heim­diens­ten ein, dass wich­ti­ge In­fos un­ter­ge­hen. Ter­ro­ris­ten sind gut be­ra­ten, noch ein paar In­fos mehr zu streu­en und da­mit ih­re Ge­heim­dienst­ge­gen­spie­ler we­gen In­for­ma­ti­ons­über­flu­tung gänz­lich aus­zu­schal­ten..

Clevere Terroristen

Cle­vere Ter­ro­ris­ten er­rei­chen al­so mit An­griffs­va­ri­a­n­ten der Sor­te „Se­cu­ri­ty 2.0“ ih­re Zie­le weit wir­kungs­vol­ler und sub­ti­ler als mit den bis­her üb­li­che Bra­chia­l­-­Me­tho­den per Spreng­stoff und Ma­schi­nen­pis­to­le – und mit weit we­ni­ger Ge­fahr für Leib und Le­ben: Da­für soll­ten sie sich bei un­se­ren si­cher­heits­fa­na­ti­scher Po­li­ti­kern und Be­am­ten be­dan­ken: De­ren Hy­pe­r­ak­ti­vi­tät mit Ein­tritt des ver­meint­li­chen Worst Case näm­lich, schafft es, die Ge­sell­schaft in kür­zes­ter Zeit lahm zu le­gen. Al­so, lie­be An­grei­fer: An­dro­hung ge­nüg­t, At­ta­cke roll­t.

Ich als Se­cu­ri­ty Con­sul­tant pos­tu­lie­re da­her ve­he­ment ein wei­te­res Schutz­ziel zu­sätz­lich zu de­nen der Ver­füg­bar­keit, Ver­trau­lich­keit und In­te­gri­tät: Die „Ver­füg­bar­keit von Recht“, al­so ei­ner Recht­spre­chung, oh­ne die ei­ne De­mo­kra­tie nicht funk­tio­nie­ren kann. Lei­der wird die­ses Schutz­ziel stän­dig durch schnell in­stal­lier­te Schutz­zie­le an­de­rer Ar­t, der „Ver­füg­bar­keit von Un­ter­neh­mens­ge­win­nen“ oder der „Bei­be­hal­tung ei­nes po­li­ti­schen Amts“ kon­se­quent ver­ei­tel­t.

Installation Instructions for CVSS Calculator

Managing Vulnerabilities using the Common Vulnerability Scoring System

Au­t­hor:

Hart­mut Go­ebel <h.­go­ebel@­go­ebel­-­con­sul­t.­de>

Co­py­right:

© 2009­-­2010 by Hart­mut Go­ebel

Ho­me­pa­ge:

htt­p://ww­w.­go­ebel­-­con­sul­t.­de/cvss/

Installation on Windows-Systems

For Win­dows it is re­com­men­ded to use the pro­vi­ded in­stal­ler packa­ge.

Al­ter­na­tive­ly you may fol­low the in­stal­la­ti­on in­struc­ti­ons be­low. But min­d: the­re is no soft­ware re­po­si­to­ry for Win­dows li­ke the­re is for Li­nux dis­tri­bu­ti­ons, thus col­lec­ting the re­qui­re­ments for Win­dows is trou­ble­so­me.

Installation on other Systems

Installation Requirements

CVSS Ma­na­ger re­qui­res

  • Py­thon 2.5 or 2.6 (2.7 is un­­tes­te­d; 2.4 does not work, neit­her does 3.x)

  • GTK 2.12

  • pygtk 2.0

  • Py­thon se­t­up­tools or dis­tri­­bu­te (see be­low).

On a ty­pi­cal Li­nux sys­tem, using a re­cent dis­tri­bu­ti­o­n, in­stal­ling the­se re­qui­re­ments should be as ea­sy as run­ning one of the­se com­man­ds:

yum install  pygtk2.0  python-setuptools # Redhat, Fedora
urpmi        pygtk2.0  python-setuptools # Mandriva
yast install pygtk2.0  python-setuptools # Suse, OpenSuse
apt get      pygtk2.0  python-setuptools # Debian, Ubuntu

If your sys­tem does not pro­vi­de py­thon­-­se­t­up­tool­s, you can ea­si­ly in­stall it using the­se com­man­ds:

wget http://peak.telecommunity.com/dist/ez_setup.py
python ez_setup.py --help    # get list of options
python ez_setup.py           # download and install

The Ea­sy­In­stall in­stal­la­ti­on in­struc­ti­ons ha­ve tips for de­aling with fi­re­walls as well as how to ma­nu­al­ly dow­n­load and in­stall se­t­up­tool­s.

Installation

On­ce you in­stal­led the re­qui­re­ment­s, you may in­stall CVSS Ma­na­ger by sim­p­ly run­ning:

easy_install cvssmanager   # system wide installation

This will dow­n­load and in­stall the ap­pro­pri­a­te ver­si­on of CVSS Ma­na­ger. If this does not work for you, ple­a­se re­fer to the Ea­sy­In­stall in­stal­la­ti­on in­struc­ti­ons for hel­p.

Tips

  • Cu­stom In­stal­la­ti­on Lo­ca­ti­ons:

    You may in­stall CVSS Ma­na­ger to an­o­ther lo­ca­ti­on you may use a com­mand li­ne li­ke this:

    # install into your Home directory
    easy_install -s ~/bin -d ~/lib/python cvssmanager
    

    For mo­re in­for­ma­ti­on about Cu­stom In­stal­la­ti­on Lo­ca­ti­ons ple­a­se re­fer to the Cu­stom In­stal­la­ti­on Lo­ca­ti­ons In­struc­ti­ons be­fo­re in­stal­ling CVSS Ma­na­ger.

  • Ma­nu­al Dow­n­load / By­pas­sing Fi­re­walls:

    If your fire­wall pro­hi­bits In­ter­net ac­cess by ea­sy_in­stall, sim­p­ly dow­n­load the packa­ge (.eg­g) ma­nu­al­ly and in­stall it li­ke this:

    easy_install ./cvssmanager-0.1-py2.6.egg
    

    You need to dow­n­load the packa­ge which mat­ches your Py­thon ver­si­on. To find out which ver­si­on of Py­thon is in­stal­led on your sys­tem, you may run py­thon -V.

Verteilte Massenscans mit OpenVAS

Für einen deut­schen Kon­zern ha­be ich ein Kon­zept ent­wi­ckel­t, um Schwach­stel­len­tests für Mas­sen von Ge­rä­ten durch­zu­füh­ren. Das Netz des Kon­zerns ent­hält zir­ka 130.000 Ge­rä­te, da­von ge­hö­ren ca. 80.000 zu dem Un­ter­neh­mens­be­reich, der mei­ne Ex­per­ti­se ein­ge­kauft hat.

Wie in Kon­zer­nen üb­lich, ha­ben wir ge­wach­se­ne Struk­tu­ren, sprich: wir ha­ben kei­ne ge­nau­en In­for­ma­ti­o­nen, wel­che Ge­rä­te nun zu die­sem Un­ter­neh­men­be­reich ge­hö­ren und wel­che nicht -- letz­te­re dür­fen wir dann auch nicht an­fas­sen, sonst gib­t­'s Är­ger. Er­schwert wird das noch durch mo­bi­le User, die teil­wei­se aus dem Aus­land kom­men. Net­work Ac­cess Con­trol (NAC) gibt es in dem Netz na­tür­lich nicht, das wä­re ja zu ein­fach ;-)

Ich ha­be nun ein zwei­stu­fi­ges Kon­zept ent­wi­ckel­t: In der ers­ten Stu­fe wer­den al­le be­kann­ten Ge­rä­te her­aus­ge­sucht -- das ist müh­sam, aber sonst nicht wei­ter in­ter­es­sant. In der zwei­ten Stu­fe wer­den die iden­ti­fi­zier­ten Ge­rä­te dann auf Schwach­stel­len gescannt. Das Kon­zept sieht fol­gen­de Punk­te vor:

  • We­b­in­ter­fa­­ce,

  • Da­ten­­bank mit den Ge­rä­ten, Ge­rä­te­a­r­ten, Stan­d­or­ten und Scan­­-­­Auf­trä­­gen,

  • Ge­rä­te kön­­nen nach ver­­­schie­­de­­nen Kri­te­ri­en aus der Da­ten­­bank se­lek­tiert wer­­den (Stan­d­or­t, IP­­-­­­Adres­­se, Ge­rä­te­­ty­­p, et­c.),

  • ver­­­schie­­den Scan­­-­­Pro­­fi­le, z.B. Ar­­beits­­platz­rech­­ner, Un­­ix­­-­­­Ser­­ver, Win­­dows-­­­Ser­­ver, Dru­cke­r,

  • im Un­­ter­­neh­­mens­­netz ver­­­teil­te "Sen­­so­ren­", und

  • Er­­ge­b­­nis­­se wer­­den zen­tral ge­­sam­­mel­t.

Als Scan­ner aus­ge­wählt wur­de Open­VAS. Zum Einen, weil kei­ne Li­zenz­kos­ten an­fal­len, zum An­de­ren, weil es sehr fle­xi­bel ist.

Lei­der soll das ver­teil­te Scan­nen erst im Herbst 2010 im­ple­men­tiert wer­den. Aber Open­VAS hat ein Ma­na­ge­ment­-­Schnitt­stel­le (OMP), über die sich Scan­-­Jobs an­le­gen und star­ten las­sen, und die Da­ten lan­den in ei­ne sq­li­te­-­Da­ten­bank. Da­mit wa­ren "nur" ein paar Skrip­te nö­tig, um die ge­wünsch­te Funk­ti­on zu im­ple­men­tie­ren.

Die Eck­punk­te sin­d: Ein Skript trägt die Scan­auf­trä­ge in die Da­ten­bank ein. Ein Cron­job sucht neue Scan­-­Auf­trä­ge, ver­teilt sie (per OMP) an die Sen­so­ren, holt dort die Re­ports der fer­tig­ge­stell­ten Auf­trä­ge ab und pflegt sie in die Open­VAS­-­Da­ten­bank auf dem "Mas­ter". Auf dem Mas­ter läuft eben­falls ein Open­VAS­-­Web­fron­tent (der gsa), um die Re­ports an­zu­se­hen.

2010-01: Der Weitblick für den Weitblick

Der Är­ger war groß, der Scha­den für vie­le Ge­schäfts­leu­te eben­so. Auch wenn fin­di­ge Mit­menschen fix ei­ne Lö­sung pa­rat hat­ten: Ein­fach den Chip über­kle­ben, der Kar­ten­le­ser liest den Ma­gnet­strei­fen statt des Chips aus und ratz­fatz klapp­t­'s wie­der mit der Kar­ten­zah­lung.

Die­se Idee fan­den dann die Ban­ken selbst so ge­ni­a­l, dass sie die Me­tho­de gleich groß­flä­chig über­nah­men: Sie „über­kle­ben“ so­zu­sa­gen in al­len Zahl­sta­ti­o­nen und Geld­au­to­ma­ten. Und sie­he da, es funk­tio­niert wie­der! Lei­der aber ganz mas­siv auf Kos­ten der Si­cher­heit: Denn mit die­sem Ge­ni­e­streich mach­ten die Ban­ken ei­ne Zeit­rei­se rü­ck­wärts – und ver­setz­ten ih­re Geld­au­to­ma­ten und Zahl­sta­ti­o­nen auf das Si­cher­heits­ni­veau von vor­ges­tern.

Al­so auf­ge­pass­t, lie­be Be­trü­ger. Kar­ten­be­trug ist jetzt so ein­fach wie schon lan­ge nicht mehr. Nutzt die Chan­ce, denn das Win­dow of Op­por­tu­ni­ty wird bald wie­der ge­schlos­sen sein.

Denn ers­tens funk­tio­niert die Me­tho­de im Aus­land nicht – denn dort sind Ma­gnet­strei­fen kaum mehr ak­zep­tier­t, weil sie als zu un­si­cher ein­ge­stuft wur­den. Und ab dem 30. Ju­ni 2010 dür­fen Ge­rä­te mit ei­nem der­art man­gel­haf­ten Si­cher­heits­sys­tem (Ma­gnet­strei­fen) ge­ne­rell nicht mehr am Gi­ro­card­-­Ver­fah­ren teil­neh­men. Die Deut­schen Ban­ken müs­sen sich al­so spu­ten, die Ur­sa­che zu be­sei­ti­gen. In den nächs­ten Wo­chen wer­den die Geld­au­to­ma­ten im Schnell­ver­fah­ren zu Chip­-­Pro­gram­mier­-­Sta­ti­o­nen um­funk­tio­niert und so die be­trof­fe­nen Chips mit neu­er Soft­ware ver­sorg­t. Schließ­lich sind ja „nur“ an die 30 Mil­li­o­nen Kar­ten be­trof­fen, sta­tis­tisch ge­se­hen al­so hat je­der drit­te Kar­ten­be­sit­zer ei­ne.

Wie­so aber kam es über­haupt zu die­ser Pein­lich­keit? Hät­te man nicht an­neh­men dür­fen, dass die Ex­per­ten, nach­dem sie die Jahr­tau­send­her­aus­for­de­rung ge­meis­tert ha­ben, nicht auch einen Zeh­ner­wech­sel gut hin­krie­gen? Müs­sen wir be­fürch­ten, dass in den nur zehn Jah­ren seit dem Jahr 2000 al­les Wis­sen über die Pro­ble­me bei Da­tums­wech­sel ver­lo­ren ge­gan­gen ist? Das ist Fak­tor 1 : 100. Und ist dann das nächs­te De­sas­ter am 6. Fe­bru­ar die­sen Jah­res zu er­war­ten?

Wohl eher nicht. Denn die Pro­gram­mie­rer sind Groß­teils die­sel­ben und si­cher­lich auch nicht düm­mer ge­wor­den. Aber: Die P der Soft­ware ste­hen un­ter Druck, die Dienst­leis­tung soll im­mer bil­li­ger wer­den, des­halb müs­sen zu we­ni­ge Pro­gram­mie­rer zu viel Code er­stel­len. Denn Pro­gram­mie­rer kos­ten Geld, gu­te Pro­gram­mie­rer noch mehr. Trotz al­ler Tools und Ent­wick­lungs­mo­del­le hat Soft­wa­re­ent­wick­lung nach wie vor sehr viel mit Er­fah­rung zu tun, die eben nur Ex­per­ten mit­brin­gen und die dann noch Zeit ha­ben müs­sen, kom­pli­zier­te Spe­zi­fi­ka­ti­o­nen zu ent­rät­seln.

Das Schei­tern die­ses Kos­ten­spar­mo­dells wur­de jetzt öf­fent­lich: Das ein­ge­spar­te Po­ten­zi­al fällt im Form von Scha­den­er­satz an – und den Image­-­GAU für die Bank­kun­den gibt es „kos­ten­los“ da­zu. Denn auch das ge­hört zu IT­-­Se­cu­ri­ty: Der Weit­blick für Fol­gen jen­seits der Tech­ni­k. Aber auch die­ser Weit­blick kos­tet und da­zu braucht das Ma­nage­ment den Weit­blick, dass es den Weit­blick braucht.

Quel­len:

2009-12: Schlechtes Systemmanagement gefährdet die Sicherheit

Neu­lich hat­te ich bei ei­nem Work­shop in Wet­zi­kon zu ver­an­stal­ten. Den Lap­top ans Netz an­ge­schlos­sen und nichts ging. Die IP­-­Adres­se, die ich per DH­CP be­kam, war im falschen Netz, denn mein Lap­top war an die­sem Stand­ort nicht be­kannt. Bis das Pro­blem ge­löst wa­r, ver­ging ei­ne hal­be Stun­de. Dann kam ich end­lich an mei­ne Da­ten­bank und der Work­shop konn­te be­gin­nen.

Ei­ni­ge Wo­chen vor­her hat­te ich Soft­ware be­an­trag­t, die ich für mei­nen Work­shop brau­che. Al­les, was nö­tig ist, gibt es prin­zi­pi­ell als fer­ti­ge Pa­ke­te in ei­nem Ka­ta­log im Fir­men­netz­werk. Al­ler­dings sind die Ver­si­o­nen teil­wei­se un­ver­ant­wort­lich alt und die Soft­ware muss man in ei­nem un­glaub­lich kom­pli­zier­ten Be­stell­por­tal an­for­dern, das nur we­ni­ge Be­ru­fe­ne be­herr­schen. Kein nor­ma­ler Mit­a­r­bei­ter ver­steht so rich­tig, wel­che Soft­ware er be­stel­len darf und des­halb muss er zum Be­stel­len im­mer zu ei­nem Be­stell­-­Be­auf­tra­gen lau­fen.

Nach die­sen Er­leb­nis­sen ha­ben mir die Kol­le­gen ge­ra­ten, zu Klaus­-­Pe­ter zu ge­hen. Klaus­-­Pe­ter ist zu­stän­dig für Aus­nah­me­ge­neh­mi­gun­gen für Ad­mi­nis­tra­tor­-­Rech­te. Er hilft ger­ne, da­mit die oben ge­nann­ten Pro­ble­me zu um­schif­fen. Lie­ber wür­de er zwar nur die Rech­te zur Netz­werk­ver­wal­tung ver­ge­ben, aber da­für gibt es kein For­mu­la­r. Die Leu­ten müs­sen schließ­lich ar­bei­ten. Al­so ver­gibt er an be­son­ders ver­trau­ens­wür­di­ge Kol­le­gen gleich Ad­mi­nis­tra­tor­-­Rech­te für ih­ren Rech­ner.

Auch ich ha­be in­zwi­schen die­se Aus­nah­me­ge­neh­mi­gung er­hal­ten. Frisch mit Ad­mi­nis­tra­tor­-­Rech­ten aus­ge­stat­tet, kann ich nun die Netz­werk­ein­stel­lun­gen selbst an den Stand­ort an­pas­sen, in dem ich ge­ra­de bin. Auch die Soft­wa­re, die mir ge­fäll­t, in­stal­lie­re ich ein­fach selbst. Um Up­dates küm­me­re ich mich dann, wenn ich mal dran den­ke. Und weil ich schon am Soft­wa­re­-­In­stal­lie­ren bin, kommt auch noch ein Tor­rent­-­Cli­ent auf mei­nen Rech­ner. Da motzt zwar der Vi­rens­can­ner, aber den schal­te ich ein­fach ab.

Na, schnackelt es?

2009-11: NAT bringt keine Sicherheit

Es gibt meh­re­re Va­ri­a­n­ten von NAT und auch meh­re­re Na­men da­für (z.B: PAT – Port Ad­dress Trans­la­ti­o­n). Bei mei­nen Aus­füh­run­gen hier be­zie­he ich mich aus­schließ­lich auf das so­ge­nann­te „dy­na­mi­sche NAT“. Denn die an­de­ren Va­ri­a­n­ten – ins­be­son­de­re sta­ti­sches NAT, al­so die di­rek­te 1:1­-­Um­set­zung von Adres­sen/­Ports – bie­ten noch we­ni­ger Si­cher­heit.

Wo­her kommt al­so die ver­brei­te­te Mei­nung, dass NAT zur Si­cher­heit ei­nes Netz­wer­kes bei­träg­t? Oder bes­ser ge­sag­t, vor wel­chen Ri­si­ken mei­nen die­se „Si­cher­heits­ex­per­ten­“, dass NAT über­haupt schüt­zen soll­te?

NAT verursacht zwei Dinge:

Ers­tens ver­hin­dert NAT, dass je­mand von au­ßen die Struk­tur ei­nes in­ter­nen Net­zes er­kennt. Doch es stellt sich un­ter dem Si­cher­heits­a­spekt die Fra­ge: In­wie­fern ist die To­po­lo­gie Ih­res Net­zes für einen An­grei­fer über­haupt wich­tig? Was hat ein An­grei­fer da­von, wenn er die To­po­lo­gie Ih­res Net­zes kennt? Und hät­ten Sie kein NAT, kä­me ein An­grei­fer dann wirk­lich so ein­fach an die In­for­ma­ti­o­nen zur Netz­to­po­lo­gie? Der Auf­wand ist auch oh­ne NAT da­für näm­lich ziem­lich groß – al­so viel Auf­wand für we­nig Nut­zen.

Aber neh­men wir den­noch mal an, die To­po­lo­gie Ih­res Net­zes wä­re höchst ver­trau­lich. Ist NAT dann wirk­lich das rich­ti­ge Mit­tel, die­se In­for­ma­ti­on zu schüt­zen? Ich be­haup­te: Nein, NAT ist da­für un­zu­rei­chen­d. Denn In­for­ma­ti­o­nen über die To­po­lo­gie Ih­res Net­zes kön­nen auch durch vie­le Sei­ten­ka­nä­le si­ckern. Am deut­lichs­ten wird dies in Mail­hea­dern.

Zum zwei­ten Punk­t, der oft als Ar­gu­ment für NAT an­ge­führt wird: Es er­schwert es NAT ei­nem An­grei­fer, ins Netz ein­zu­drin­gen: Dies ver­hin­dert näm­lich die Sta­tus­-­Ta­bel­le, die der Rou­ter für dy­na­mi­sches NAT be­nö­tig­t. Sie funk­tio­niert ähn­lich der State Ta­ble ei­ner Fi­re­wall, die un­be­kann­te Pa­ke­te nicht durch­läss­t. Da je­doch heut­zu­ta­ge je­der bil­li­ge WAN­-­Rou­ter ei­ne State­full Fire­wall ein­ge­baut hat – die mehr leis­tet –, ist NAT für die­sen Zweck ein­fach un­nö­tig.

So­weit zum an­ge­gli­chen Si­cher­heits­ge­winn durch NAT. Da­ge­gen steht, dass man für die­ses ge­rin­ge Mehr an Ver­trau­lich­keit mit NAT bei der Au­then­ti­zi­tät, der Sta­bi­li­tät und der Ver­füg­bar­keit In Kauf nimm­t. Denn NAT ist und bleibt ei­ne Not­lö­sung, ein Hack. Ei­ne gan­ze Rei­he wich­ti­ger Pro­to­kol­le ha­ben Pro­ble­me mit NAT: FT­P, SIP, H.323, IP­Sec. Um die­se Pro­to­kol­le über­haupt mit NAT nut­zen zu kön­nen, braucht es kom­ple­xe Soft­wa­re, bei IP­Sec so­gar einen auf­wän­di­ge Er­wei­te­rung wie NAT­-­Tra­ver­sa­l. Zwar ist für die ge­nann­ten Pro­to­kol­le das NAT­-­Pro­blem be­reits ge­löst, aber bei zu­künf­ti­gen Pro­to­kol­len wer­den Ent­wick­ler und Ad­mi­nis­tra­to­ren wie­der mit NAT zu kämp­fen ha­ben.

Sei­en wir al­so froh, wenn wir mit IP­v6 NAT end­lich Le­be­wohl sa­gen kön­nen.

Und wer die To­po­lo­gie sei­nes Net­zes un­be­dingt ver­ste­cken will, dem ra­te ich zu ei­nem Proxy. Der kann dann auch gleich Ca­chen und Vi­ren fil­tern.

Ist die IT-Security auf dem Holzweg?

Hart­mut Go­ebel beim Se­cu­ri­ty Pa­nels auf der it­-­sa in Nürn­berg

Hoch­ka­rä­ti­ge The­men, hoch­ka­rä­ti­ge Dis­ku­tan­ten: Ein High­light des Kon­gress­pro­gramms auf der it­-­sa – dem Treff­punkt des Who´s who der Si­cher­heits­bran­che – ist das Se­cu­ri­ty­-­Pa­nel des (ISC)² und des it­-­sa­-­Ver­an­stal­ters des Se­cu­Me­dia Ver­lags.

(ISC)² ver­steht sich als ei­ne Stan­des­or­ga­ni­sa­ti­on der Se­cu­ri­ty­-­Bran­che und ver­gibt das hoch­ka­rä­ti­ge Zer­ti­fi­kat der CISS­Ps (Cer­ti­fied In­for­ma­ti­on Sys­tems Se­cu­ri­ty Pro­fes­si­o­na­l). In der Ex­per­ten­run­de de­bat­tie­ren dem­nach fast durch­wegs CISS­Ps wie Hart­mut Go­ebel von Go­ebel Con­sul­t, die über fun­dier­te und lang­jäh­ri­ge Er­fah­rung in al­len Be­rei­chen der IT­-­Si­cher­heit zu Hau­se sind und die wis­sen, wo­von sie re­den.

In­halt der Dis­kus­si­on

Kaum ein Tag ver­geht oh­ne Mel­dun­gen über neue Si­cher­heits­lü­cken. DOS­-­An­grif­fe, Spam- und Mal­wa­re­-A­ta­cken über Bot­net­ze und Da­ten­klau über Web 2.0­-­An­wen­dun­gen ge­hö­ren zum All­tag der Si­cher­heits­ver­ant­wort­li­chen in den Un­ter­neh­men. Gleich­zei­tig pro­fes­si­o­na­li­siert sich die In­ter­net­-­Schat­ten­wirt­schaft, so­dass sich die Be­dro­hungs­la­ge wei­ter ver­schärft. Es stellt sich die Fra­ge, ob die IT­-­Se­cu­ri­ty so wei­ter­ma­chen kann wie bis­her bzw. mit wel­chen Kon­zep­ten sie den Wett­lauf mit Cy­ber­kri­mi­nel­len und In­si­der­-­Be­dro­hun­gen ge­win­nen will?

Ich möch­te Sie herz­lich ein­la­den, un­se­re Dis­kus­si­on bei dem Se­cu­ri­ty­-­Pa­nels auf der it­-­sa live zu ver­fol­gen.

Dienstag, den 13.10.2009, 14—15 Uhr
Security Messe it-sa
Messe Nürnberg
Auditorium in Halle 5

Nach der of­fi­zi­el­len Run­de bin ich ge­spannt auf Ih­re Fra­gen und freue ich mich, mit Ih­nen per­sön­lich wei­ter zu dis­ku­tie­ren.

2009-10: Schwarz-Gelb: Barrierefreier Datenzugang

Die nächs­ten vier Jah­re Bun­des­po­li­tik wer­den span­nen­d: Die Mehr­heit des Bun­des­tags be­steht nun aus CDU/C­SU und FD­P, die recht un­ter­schied­li­che An­sich­ten zu Per­sön­lich­keits­rech­ten, Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit ver­tre­ten. Die Süd­deut­sche Zei­tung for­mu­liert es in ih­rer Aus­ga­be vom 1. Ok­to­ber 2009 so: „Beim The­ma In­ne­re Si­cher­heit ver­bin­det die CDU/C­SU und die FDP rein gar nichts. Es gibt kei­ne ge­mein­sa­men Ele­men­te. Man nennt das ei­ne lee­re Men­ge“.

Die gro­ße Fra­ge ist nun, wie die­se lee­re Men­ge ge­füllt wer­den wird und wer sie fül­len wird. Auf der einen Sei­te steht die CDU, die sich in den letz­ten Jah­ren, ja schon Jahr­zehn­ten, um den Auf­bau ei­ner leis­tungs­fä­hi­gen Über­wa­chungs­-­In­fra­s­truk­tur sehr ver­dient ge­macht hat. Al­len vor­an der In­nen­mi­nis­ter, der mit gro­ßem Ei­fer al­le ver­füg­ba­ren Da­ten über uns Bür­ger hor­tet, dicht ge­folgt von ei­ner Fa­mi­li­en­mi­nis­te­rin, die – un­ter dem Deck­män­tel­chen des Kin­der­schut­zes – fa­na­tisch die Zen­sur­-­In­fra­s­truk­tur für das In­ter­net vor­an treib­t.

Auf der an­de­ren Sei­te die FDP – tief ge­spal­ten in der Fra­ge des Da­ten­schut­zes. Ver­tre­ten von der li­be­ra­len ehe­ma­li­gen Bun­des­jus­tiz­mi­nis­te­rin Sa­bi­ne Leutheus­ser­-­Schnar­ren­ber­g, die der­zeit wie­der für das Amt der Jus­tiz­mi­nis­te­rin ge­han­delt wird. Sie trat 1995 von ih­rem Amt zu­rück, da sie den Be­schluss des Gro­ßen Lausch­an­griff nicht mit ver­ant­wor­ten konn­te und woll­te. Eben die­se gro­ße At­ta­cke auf die Bür­ger­rech­te be­schloss je­doch eben je­ne FDP mit, die in ih­rem ak­tu­el­len Wahl­pro­gramm die Bür­ger­rech­te stär­ken will. Da sich ein sinn­vol­ler Da­ten­schutz je­doch für so man­ches Un­ter­neh­men als be­las­tend und hin­der­lich er­wei­sen kann, ist zu be­fürch­ten, dass FD­P­-­Front­mann Gui­do Wes­ter­wel­le die­se Maß­nah­men sei­nen Wirt­schafts­lieb­lin­gen ger­ne er­spa­ren wür­de.

Darf der deut­sche Bür­ger von der neu­en Ko­a­li­ti­on al­so eher er­war­ten, dass sei­ne Rech­te auf Schutz der per­sön­li­chen Da­ten künf­tig bes­ser ge­wahrt wer­den? Oder be­deu­tet Schwa­rz­-­Gelb einen weit­ge­hend „bar­rie­re­frei­en Zu­gang“ der Re­gie­rung auf al­les was Bür­ger­da­ten heißt?

Ich per­sön­lich be­fürch­te, in der Kon­stel­la­ti­on Schwa­rz­-­Gelb wird es eher nichts mit dem Ab­bau bun­des­wei­ter Da­ten­ban­ken, in de­nen Steu­er­num­mern, DNA, Ver­bre­cher, Ver­däch­ti­ge, Te­le­fon­ver­bin­dungs- und Stamm­da­ten en mas­se er­fasst wer­den. Al­les auf Vor­rat, al­les für al­le Fäl­le. Man weiß ja nie, wer der nächs­te Bö­se­wicht ist. Je­der ist ver­däch­tig!

Ich glau­be des­halb nicht an einen ver­bes­ser­ten Da­ten­schutz, weil man die Chan­ce ver­strei­chen ließ, die sich an­ge­sichts der Skan­da­le bei Bahn, Te­le­kom, Lid­l, Schle­cker oder Deut­scher Bank er­öff­net hat, die In­itia­ti­ve zu er­grei­fen. Da­mals wä­re das Ei­sen heiß, die Vor­fäl­le frisch und die Stim­mung güns­tig ge­we­sen, Ver­bes­se­run­gen des Da­ten­schut­zes durch­zu­set­zen. Doch die Furcht der un­ter­neh­mens­na­hen Flü­gel der gro­ßen Ko­a­li­ti­on war zu groß, ih­rer wirt­schaft­li­che Kli­en­tel zu ver­grät­zen. Mit der FDP in der Re­gie­rung wer­den die­se Un­ter­neh­men wohl noch mehr Ge­hör fin­den.

Schwa­rz­-­gelb be­deu­tet im Tier­reich üb­ri­gens „Vor­sicht, ge­fähr­lich“! Für den Da­ten­schutz, be­fürch­te ich, gilt das­sel­be.

2009-09: Backup allein genügt nicht

Wa­ren Sie schon ein­mal in Bre­men? Dort gibt es nicht nur das mit­tel­al­ter­li­che Schnoor­vier­tel, son­dern auch vie­le schö­ne Bür­ger­häu­ser. In die­sen Häu­sern mie­ten sich auch ger­ne Bü­ro­ge­mein­schaf­ten jun­ger, kre­a­ti­ver Un­ter­neh­men ein. Das sind wirk­lich Or­te, an de­nen man ger­ne ar­bei­tet.

In ei­nem die­ser Häu­ser wur­de letz­tes Jahr ein­ge­bro­chen – ge­nau ei­ne Wo­che nach der Bü­ro­ein­wei­hungs­fei­er. Ge­stoh­len wur­den al­le ED­V­-­Ge­rä­te: na­gel­neue iMacs, Rech­ner, Mo­ni­to­re. Ge­stoh­len wur­den lei­der auch die Ba­ck­up­-­Fest­plat­ten. Denn al­le fünf Fir­men hat­ten zwar brav und re­gel­mä­ßig ih­re Ba­ck­ups ge­zo­gen - doch die dann ne­ben den Rech­nern auf­be­wahr­t. Die Ba­ck­ups wa­ren al­so weg.

Fataler Denkfehler

Die Bre­menr Kre­a­ti­ven – wie üb­ri­gens vie­le an­de­re Un­ter­neh­men aus al­len Bran­chen – ein­fach nicht zu En­de ge­dacht: Sie sa­hen das Ba­ck­up le­dig­lich als Ab­si­che­rung ge­gen Hard­wa­re­-­Aus­fall und Da­ten­ver­lust. Über­se­hen ha­ben sie die K-­Fäl­le (Ka­ta­s­tro­phen­fäl­le) wie Dieb­stahl und Feu­er. Da­bei hät­te ein Blick auf das In­ter­net­-­Por­tal BSI für Bür­ger, Ab­schnitt Da­ten­si­che­rung ge­nüg­t. Dort wird ganz klar und ein­deu­tig emp­foh­len: „Be­wah­ren Sie [...] an un­ter­schied­li­chen Or­ten auf­.“

Da­bei wa­ren die Bre­mer Fir­men noch gut dran. Sie konn­ten sich das Gros ih­rer Wer­ke – zwar müh­sam, aber im­mer­hin - von ih­ren Kun­den wie­der­ho­len. Aber stel­len Sie sich ein klei­nes Buch­hal­tungs­bü­ro vor, oder einen Rechts­an­wal­t, Dienst­leis­ter, die sen­si­ble Kun­den­da­ten mit Auf­be­wah­rungs­fris­ten bei sich la­gern. Wenn da in der Woh­nung ne­ben dem Home Of­fice das Fett in Brand ge­rät, Lösch­was­ser und Rauch ins Bü­ro ne­be­n­an drin­gen – weg die Da­ten, aus die Maus!

Ganz einfache Lösung

Da­bei ist ge­ra­de für klei­ne Un­ter­neh­men die Ge­gen­maß­nah­me sehr ein­fach: Das Ba­ck­up wird re­gel­mä­ßig au­ßer­halb des Bü­ros ge­bracht - in ein Bank­schließ­fach oder beim Ge­schäfts­füh­rer/­In­ha­ber zu Hau­se. Ich ken­ne einen Soft­wa­re­ent­wick­ler, der das DAT­-­Band des Ba­ck­ups auf sei­nen Geld­beu­tel klebt und im­mer mit her­um trägt – zu­sätz­lich zur Wo­chen­-­Ko­pie im Bank­schließ­fach.

Ei­ne in­ter­es­san­te Er­gän­zung kön­nen auch (Gra­tis­-­)Web­diens­te für Ba­ck­up sein. Die Zeit­schrift c't hat erst eben im Au­gust ei­ni­ge ge­tes­tet. Be­den­ken Sie aber bit­te:

a) Prü­fen Sie die SLAs oder Ga­ran­ti­en, die der Dienst gib­t. Nur da­mit kom­men Sie im Not­fall auch schnell wie­der an Ihr Ba­ck­up. Ge­ne­rell gil­t: „Y­ou get what you pay for.“

b) Die Da­ten soll­ten bei Ih­nen ver­schlüs­selt wer­den. Nur so ver­hin­dern Sie ef­fek­ti­v, dass der Be­trei­ber auf die Da­ten zu­grei­fen kann. Al­ler­dings brau­chen Sie dann ein Ba­ck­up des Schlüs­sels (aus­dru­cken und ins Schließ­fach le­gen).

Für grö­ße­re Un­ter­neh­men emp­feh­le ich einen Blick in das Grund­schutz­hand­buch, spe­zi­ell die Bau­stei­ne B 1.4 Da­ten­si­che­rungs­kon­zept, B 2.5 Da­ten­trä­ge­r­a­r­chiv, und M 6.20 Ge­eig­ne­te Auf­be­wah­rung der Ba­ck­up­-­Da­ten­trä­ger.

Und privat?

Auch pri­vat ha­ben Sie si­cher Da­ten, die sie nicht ver­lie­ren möch­ten. Ei­ner der Web­diens­te könn­te ei­ne gu­te Lö­sung sein. Aber auch hier gil­t: über­le­gen Sie gut, wem und wie Sie die Da­ten an­ver­trau­en. Die Ko­pie des Ge­sund­heits­fra­ge­bo­gens zu Ih­rer letz­ten Ver­si­che­rung könn­te auch an­de­re in­ter­es­sie­ren.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de