Sie sind auf Seite 1von 50

LIEBE HAKIN9 LESER,

das Hauptthema der Juli Ausgabe ist Cloud Computing.


Cloud Computing ist gerade das heißeste Eisen in der IT Branche. Die
Grundbausteine sind Technologien der Virtualisierung und der verteilten Systeme,
die dazu dienen unterschiedliche Services on-demand zur Verfügung zu stellen.
Die IT Industrie sieht darin das Potential einen neuen Paradigmenwechsel zu
generieren. In unserem Heft finden Sie einen einführenden Beitrag zu diesem
hochinteressanten Thema.
Des Weiteren lesen Sie im Artikel Der Penetrationstest – Vorgehen und
Tools eines Testers über mögliche Vorgehen und Mittel, die eingesetzt werden,
damit ein optimales Ergebnis erzielt werden kann.
Zu weiteren Highlights unserer aktuellen Ausgabe gehören: Know-How
Schutz, Antiviren-Programme, E-Mail-Verschlüsselung und Rechtliche Aspekte
der Spamfilterung.
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts ein-
facher als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
vorfinden. Jede Ausgabe wird nämlich automatisch an unsere Subscriber ver-
schickt.

Viel Spaß mit der Lektüre!

Adrianna Witkowska
Chefredakteurin

Umschlagsentwurf: Przemysław Banasiewicz Anmerkung!


herausgegeben vom Verlag: Werbung: adv@software.com.pl
Software Press Sp. z o. o. SK Die in der Zeitschrift demonstrierten Techniken sind
Anschrift: AUSSCHLIEßLICH in eigenen Rechnernetzen zu
Geschäftsführer: Paweł Marciniak Software Press Sp. z o.o. SK testen!
ul. Bokserska 1, 02-682 Warszawa, Poland Die Redaktion übernimmt keine Haftung für
Herausgeber: Ewa Łozowicka Tel. +48 22 427 36 56, Fax +48 22 244 24 59 eventuelle Schäden oder Konsequenzen, die aus
ewa.lozowicka@software.com.pl www.hakin9.org/de der
unangemessenen Anwendung der beschriebenen
Chefredakteur: Adrianna Witkowska Die Redaktion bemüht sich, dafür Sorge zu Techniken entstehen. Die Anwendung der darge-
adrianna.witkowska@software.com.pl tragen, dass die in der Zeitschrift sowie auf den stellten Techniken kann auch zum Datenverlust
begleitenden Datenträgern erhaltenen Informationen führen!
Redaktion/Betatester: Karolina Sokolowska, und Anwendungen zutreffend und funktionsfähig hakin9 erscheint in folgenden Sprachversionen und
Thomas Höhn, Helmut Kaufmann, Andreas Wisler, sind, übernimmt jedoch keinerlei Gewähr für derer Ländern:
Marko Rogge, Michael Heinzl, Ulrike Peter, Peer Geeignetheit für bestimmte Verwendungszwecke. Alle deutsche Version (Deutschland, Schweiz, Österreich,
Heinlein Markenzeichen, Logos und Handelsmarken, die sich Luxemburg), französische Version (Frankreich,
in der Zeitschrift befinden, sind registrierte oder nicht- Kanada, Belgien, Marokko), spanische Version
Produktion: Andrzej Kuca registrierte Markenzeichen der jeweiligen Eigenümer (Spanien, Portugal), polnische Version (Polen), eng-
DTP: Przemysław Banasiewicz und dienen nur als inhaltliche Ergänzungen. lische Version (Kanada, USA)
5/2009 HAKIN9 4
6/2010

INHALTSVERZEICHNIS

FÜR EINSTEIGER Was man heutzutage über


Antivirenprogramme wissen muss 34
Heimnetzwerk – Router einrichten 6 Michael Heinzl
Thomas Höhn Unerfahrene Computernutzer erkundigen sich oft-
Das eigene Heimnetzwerk einzurichten und den Rou- mals nach einer guten Antivirenlösung. Empfehlungen
ter richtig konfigurieren. Darum geht es in diesem Arti- stützen sich hierbei häufig auf persönliche Präferenzen
kel. Danach wird WLAN konfiguriert und der PC WLAN- und Erfahrungen, nur selten werden Kriterien erfragt,
fähig gemacht. Eine Anleitung für Einsteiger. welche für den Fragenden wichtig sein könnten.

Cloud Computing – Ein Überblick 10


Helmut Kaufmann DATENSCHUTZ
Cloud Computing ist gerade das „heißeste Eisen“ in Trend der E-Mail-Verschlüsselung:
der IT Branche. Die Grundbausteine sind Technologien Anwenderfreundlichkeit im Fokus 36
der Virtualisierung und der verteilten Systeme, die da- Ulrike Peter
zu dienen unterschiedliche Services „on-demand“ zur Milliarden ungesicherte E-Mails werden täglich über
Verfügung zu stellen. Die IT Industrie sieht darin das das Internet transferiert. Insbesondere Verwaltungen,
Potential einen neuen Paradigmenwechsel zu generie- Wirtschaftsprüfer, Notare und andere Unternehmen,
ren. die auf elektronischem Weg hochsensible Daten aus-
tauschen, sind jedoch gesetzlich zum Datenschutz
verpflichtet.
ANGRIFF
Der Penetrationstest – Vorgehen Rechtliche Aspekte der Spamfilterung für Un-
und Tools eines Testers 14 ternehmen und Administratoren 40
Andreas Wisler Peer Heinlein
Der Penetrationstest ist ein Mittel, um mögliche Fehler Internet Service Provider, Arbeitgeber und Administra-
zu erkennen und damit die IT-Sicherheit zu erhöhen. toren haben beim Einsatz von Spam- und Virenfiltern
Dieser Beitrag zeigt ein mögliches Vorgehen und er- viele rechtliche Details zu beachten.
wähnt Mittel, die eingesetzt werden können, damit ein
optimales Ergebnis erzielt werden kann.

ABWEHR
Know-How-Schutz mit
Unterstützung schafft mehr Sicherheit 24
Marko Rogge
Know-How Schutz ist ein zentrales Thema, wenn es Im Zusammenhang mit den Änderungen, die in
um den Schutz von Wissen und Daten in Verbindung letzter Zeit in dem deutschen Recht stattgefunden
geht. Grundsätzlich ist es bedeutend, dass Unterneh- haben und die IT-Sicherheit betreffen, möchten wir
men sich mit der Sicherheit der Daten befassen, die ankündigen, dass hakin9-Abwehrmethoden Magazin
für geschäftliche Prozessabläufe relevant sind. Aber seinem Profil treu bleibt.
auch das geistige Eigentum von Unternehmen gilt es Unser Magazin dient ausschließlich den Er-
zu schützen und das nachhaltig. kenntniszwecken. Alle im Magazin präsentierten
Methoden sollen für eine sichere IT fungieren. Wir
Warum Unternehmens- und IT-Sicherheit stu- legen einen großen Wert auf die Entwicklung von ei-
dieren? - FH Offenburg 30 nem sicheren elektronischen Umsatz im Internet und
der Bekämpfung von IT Kriminalität.

4 6/2010
×%*'4
)+$6'5Ü$'4#..T

z.B. Unachtsamkeit in Immer und überall mobil am PC und im Inter-


der Öffentlichkeit net arbeiten zu können, hat nicht nur Vorteile.
Vor allem dann, wenn man sich der Öffent-
lichkeit nicht bewusst ist, können allzu neugierige Blicke
schnell zur Gefahr für sensible Daten werden. Dabei lässt
sich bereits mit wenig Aufwand die Gefahr gut bannen.

Wir spüren die Datenschutz-Löcher in Ihrem Unterneh-


men auf, entwickeln praxistaugliche Lösungen, schulen
Ihre Mitarbeiter und helfen bei der Einhaltung der daten- Datenschutz-Dienstleistungen für Unternehmen
schutzrechtlichen Bestimmungen. Entlastung · Resultate · Mehrwert

Sie wollen mehr wissen?


Tel.: +49 (0) 98 56 - 92 19 991 · www.blossey-partner.de
FÜR EINSTEIGER

Heimnetzwerk – Router einrichten


Thomas Höhn

Das eigene Heimnetzwerk einzurichten und den Router


richtig konfigurieren. Darum geht es in diesem Artikel.
Danach wird WLAN konfiguriert und der PC WLAN-fähig
gemacht. Eine Anleitung für Einsteiger.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Die schrittweise Anleitung und die richtige Einrichtung eines • Wo ich das Netzwerkkabel einstecken muss und wo meine Te-
Routers für Ihr Heimnetzwerk. lefondose ist.

Welchen Router soll ich nehmen? mmen Sie stets unterschiedliche Antworten und sind da-
Welches Gerät das Beste für einen persönlich ist, ist nach mit der Beantwortung der Frage kein Stück weiter.
entweder ganz einfach zu beantworten oder nur sehr Für diesen Artikel habe ich mich für eine Fritz!Box Fon
schwierig. WLAN 7270 entschieden. Dieser Router hat ein DSL-
Die einfache Variante ist: Ich nehme den, den mir Modem mit an Bord, so dass auch nur ein Gerät aufge-
mein Internetprovider zur Verfügung stellt. stellt werden muss.
Die schwierige Variante ist: Es gibt unzählige Modellva-
rianten auf dem Markt. Mit DSL- oder Kabelmodem, mit
WLAN oder ohne, sehr günstige oder sehr teure, mit einer
einfachen Benutzeroberfläche oder einer unübersichtli-
chen. Wenn ich Kinder habe, kann ich im Router das In-
ternet für meine Kinder zeitlich konfigurieren? Und, und,
und. Wenn Sie jemanden fragen, sei es einen Verwandten,
Bekannten oder einen Fachberater im Einzelhandel, beko-

Abbildung 1. Fritz!Box 7270 Abbildung 2. IP Adresse automatisch beziehen

6 6/2010
Heimnetzwerk – Router einrichten

Vorbereitung Online
Bevor wir den Router anschließen und einrichten, mü- Wir müssen uns nun anmelden. Auch hier gibt es Stan-
ssen ein paar (wenige) Vorbereitungen getroffen wer- dardanmeldeprozeduren. Beispielsweise benötigt die
den: Fritz! Box nur ein Kennwort, welches wir schon jetzt
vergeben können. Bei D-Link ist es als Benutzername
• für DSL: Benutzername und Passwort für den Inter- admin und das Passwortfeld bleibt leer. Ein eigenes
netzugang bereit legen Kennwort ist der erste Schutz und MUSS eingestellt
• Kenntnis über meinen Internettarif werden.
• vorhandene Einwahlsoftware auf dem PC deinsta- Das Kennwort ist nun gesetzt und wir befinden uns
llieren auf der Oberfläche des Routers. Nahezu alle Router ha-
• Netzwerkkabel vom PC abziehen ben heutzutage Assistenten an Bord, die einen Schritt
für Schritt durch die Einrichtung führen. Wir verlassen
Überprüfung LAN-Verbindung diesen aber an dieser Stelle, da wir ja eine persönliche
Zunächst müssen wir die LAN-Verbindung überprüfen, Konfiguration vornehmen möchten.
ob diese auf „automatisches Beziehen der IP-Adre- Zunächst wählen wir den Menüpunkt WLAN aus und
sse“ eingestellt ist. Das ist notwendig, damit wir auch nehmen den Haken bei WLAN-Funknetz aktiv heraus
den Router nachher zur Einrichtung ansprechen kö- und klicken auf Übernehmen. Danach erlischt auch die
nnen. Klicken Sie dazu auf das Symbol Netzwerkumge-
bung auf Ihrem Desktop oder auf START und dann auf
Netzwerkumgebung. Es öffnet sich ein neues Fenster.
Unter Netzwerkaufgaben (links) befindet sich der Punkt
Netzwerkverbindungen anzeigen, auf den Sie klicken.
Dann klicken Sie mit der rechten Maustaste auf „LAN-
Verbindung“ und wählen den Punkt Eigenschaften aus.
Dann noch in dem neuen Fenster Internetprotokoll
TCP/IP auswählen und den Button Eigenschaften an-
klicken.
Sollte dort eine IP Adresse eingetragen sein, dann
die Punkte IP Adresse automatisch beziehen und DNS-
Serveradresse automatisch beziehen anklicken. Mit OK
bestätigen und alle weiteren Fenster ebenfalls mit OK
bestätigen und schließen.

Der Router – das unbekannte Wesen


WICHTIG: Einstellungen am Router nimmt man immer
dann vor, wenn der PC per Netzwerkkabel mit dem Rou-
ter verbunden ist. Aus Sicherheitsgründen NIEMALS
per WLAN!
Nun kommen wir zur Routereinrichtung. Das Gerät
schließen wir als erstes an den Strom an. Danach ver-
binden wir den Router mit einem Netzwerkkabel mit
dem PC. Der PC bekommt nun vom Router eine IP
Abbildung 3. Router IP
Adresse zugewiesen und wir können dadurch auf die
Routeroberfläche zugreifen. Dieses tun wir mit einem
Internet Browser (z.B. Internet Explorer, Firefox oder
Opera). Wenn dieser geöffnet ist, geben wir die IP des
Routers ein. In unserem Fall http://192.168.178.1. Die
IP Adresse Ihres Routers steht in der beiliegenden An-
leitung. AVM benutzt z.B. die 192.168.178.1, hingegen
benutzt z.B. D-Link die Standardadresse 192.168.0.1.
Sie können die IP auch auf Ihrem PC nachschauen.
Klicken Sie dazu doppelt auf das Computer-Icon auf
Ihrer START-Leiste und dann auf den Karteikartenreiter
Netzwerkunterstützung. Dort steht die IP des Routers
unter Standardgateway.
Abbildung 4. Keine Verbindung – Fehlerhaftes Passwort?

hakin9.org/de 7
FÜR EINSTEIGER

WLAN-Lampe am Router. Keine Angst, kabellos werden Wir testen es aber auf andere Weise, in dem wir un-
wir selbstverständlich surfen, aber zunächst müssen wir seren Browser öffnen und die Adresse http://www.ho-
online gehen können. Und ein nicht abgesichertes WLAN- ehn-it-service.de eingeben.
Netz oder ein vorgegebenes abgesichertes WLAN-Netz Der Router ist nun für den Internetzugang eingerich-
ist mir nicht sicher genug. Der WLAN-Schlüssel muss tet. Wir werden aber nun unsere Eingaben noch sichern.
absolut individuell sein, aber dazu später mehr. Dazu gehen wir über Erweiterte Einstellungen und Sys-
Wir klicken nun auf den Menüpunkt Einstellungen tem zu dem Punkt Einstellungen sichern.
und dann auf Erweiterte Einstellungen und auf Internet, Schnell noch auf Einstellungen sichern klicken, einen
dann können wir den Punkt Zugangsdaten auswählen. Speicherort auswählen (am Besten ein eigener Ordner)
Wir setzen den Haken bei Zugangsdaten verwenden und unsere Eingaben sind gesichert.
und geben den Benutzernamen und unser Passwort
ein. Bleibt nun noch die Auswahl, ob die DSL-Verbin- Wir verlegen ein WLAN-Kabel – Kabellos
dung dauerhaft sein soll oder ob die Verbindung nach Surfen
einer bestimmten Zeit getrennt werden soll. Es ist zu Da wir jetzt online sind, ein wenig gesurft haben und
empfehlen, dass man spätestens jetzt nochmal einen noch schnell die E-Mails abgerufen haben, wollen wir
Blick auf den abgeschlossenen Tarif wirft, da es sonst WLAN einrichten.
bei Internetverbindung dauerhaft halten sehr teuer wer- Wir gehen wieder mit http://192.168.178.1 auf den Rou-
den kann, wenn man keine Flatrate abgeschlossen hat. ter und gehen über Erweiterte Einstellungen zu dem
Der Klick auf Übernehmen speichert unsere Eingaben. Punkt WLAN. Hier setzen wir den Haken bei WLAN-
Jetzt verbinden wir den Router mit dem Internet. Da- Funknetz aktiv und klicken auf Übernehmen. Dann än-
zu verbinden wir das beiliegende Kabel und klicken auf dern wir den Namen (SSID) ab. Wir können hier frei
DSL-Information. wählen, es sollte aber kein langer Satz sein, sondern
Die Aktualisierung und Anmeldung des integrierten kurz und prägnant. Dieser Name ist auch von anderen
Modems kann ein paar Minuten dauern. Sobald die Ver- Leuten zu sehen und schon alleine aus diesem Grund
bindung hergestellt ist, sehen wir das auf der Übersicht sollte man auf Bezeichnungen wie meinwilderhase17
unter DSL-Informationen. verzichten.
Wir wählen nun den Punkt Sicherheit aus und über-
prüfen, ob der Punkt WPA-Verschlüsselung aktiviert ist.
Der WPA-Modus sollte auf WPA-WPA2 stehen. Wir ver-

Abbildung 5. Online Abbildung 7. WLAN

Abbildung 6. Einstellungen sichern! Abbildung 8. WLAN Kanal

8 6/2010
Im Internet
• http://www.hoehn-it-service.de - Homepage des Autors
• http://www.conwertho.de – Homepage Conwertho Gm-
bH
• http://www.avm.de/de/Service/Service-Portale/Labor/in-
dex.php – Link zum Fritz! Labor

Verwendete Geräte und Software:


AVM Fritz!Box Fon WLAN 7270 mit der Firmware Version
74.04.80
PC mit Windows XP SP3

geben nun einen individuellen WLAN-Netzwerkschlü-ssel.


Der bereits vorhandene steht bei der Fritz! Box auch auf
einem Aufkleber unter der Fritz! Box. Dadurch, dass die-
ser bereits ab Werk eingetragen ist, ist der Schlüssel nicht
mehr sicher. Wir vergeben einen neuen. Sie können dazu
Buchstaben und Zahlen benutzen. Man kann sich diesen
vorher auf ein Blatt Papier schreiben oder auch wild auf
der Tastatur tippen. Er muss nur sicher sein. Verzichten
Sie daher auf einen Schlüssel, der nur 1 enthält oder nur
den Buchstaben a. Auch sind Geburtstage ungeeignet.
Zum Abschluss auch hier auf Übernehmen klicken.
Als letzten Akt zur WLAN Einrichtung gehen wir zum
Punkt Funkkanal. Aktivieren Sie Funkkanal-Einstellun-
gen anpassen und setzen den Haken bei Störeinflü-
ssen einblenden. Wählen Sie einen Kanal, der möglichst
wenig Störeinflüsse hat und bestätigen Sie mit Über-
nehmen.
Voilá. WLAN ist auf dem Router eingerichtet. Wir kö-
nnen den Browser nun schließen.

Den PC WLAN-fähig machen


Um nun auch wireless surfen zu können, müssen
wir der WLAN-Netzwerkkarte auf dem PC auch noch
den Netzwerkschlüssel mitteilen. Dazu klicken wir auf
START - Einstellungen - Systemsteuerung - Netzwerk-
verbindungen und wählen die WLAN-Karte aus (Dra-
htlose Netzwerkverbindung). Klicken Sie dann auf
Netzwerkliste aktualisieren und wählen Ihr Netzwerk
aus. Dann der Klick auf Verbinden und Sie werden zur
Eingabe des Netzwerkschlüssels aufgefordert. Geben
Sie diesen ein und verbinden Sie sich. Nun können Sie
kabellos surfen.

THOMAS HÖHN
Der Autor ist Microsoft Certified Technology Specialist und
Geschäftsführer der Conwertho GmbH. Er ist u.a. für das Ver-
sicherungsgeschäft und den IT-Bereich zuständig. Als ge-
lernter Versicherungskaufmann verfügt er über mehr als 14
Jahren Erfahrung in der Versicherungsbranche und hat zahl-
reiche Firmen begleitet. Ebenso betreut er als Netzwerk-
techniker zahlreiche Kunden selbst, um die Praxis nicht zu
“verlernen“.
Kontakt mit dem Autor: thomas.hoehn@conwertho.de

hakin9.org/de 9
FÜR EINSTEIGER

Cloud Computing – Ein Überblick


Helmut Kaufmann

Cloud Computing ist gerade das heißeste Eisen in der


IT Branche. Die Grundbausteine sind Technologien der
Virtualisierung und der verteilten Systeme, die dazu dienen
unterschiedliche Services on-demand zur Verfügung zu
stellen. Die IT Industrie sieht darin das Potential einen neuen
Paradigmenwechsel zu generieren.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Was man unter Cloud Computing versteht; • Kein Vorwissen nötig.
• Über die verschiedenen Definitionsansätze des Cloud Compu-
tings.

I
m Vordergrund steht die Fortführung des bereits Wenn man zwei Experten befrägt dann bekommt man
eingeschlagenen Weges der Virtualisierung und der drei Meinungen.
Ansatz von Service Oriented Architectures (SOA). Es folgt nun der Versuch ausgehend von den Defini-
Das dadurch erreichbare Konsolidierungspotential soll tionen der ENISA (European Network and Information
durch die Weiterentwicklung in die Cloud noch gestei- Security Agency) einen Überblick über die wichtigsten
gert werden. Wobei Cloud Computing weit mehr be- Begriffe und Eigenschaften aus architektonischer Sicht
deutet als reine Virtualisierung. Es entsteht ein Risiko, zu erstellen (siehe Anhang: 2):
wenn man den Sicherheitsaspekt bei der Sicherheit
der Virtualisierung sieht und dort auch enden lässt. • Service on demand, verbunden mit pay as you go
Der Name Cloud Computing ist eine Methapher (sie- (siehe Anhang: 3) Prinzip
he Anhang: 1), die zur Beschreibung des zugrundelie-
genden verteilten Ansatzes auf die Bezeichnungsweise
und bildliche Darstellung des Internets zurückgreift,
welches oft als Wolke repräsentiert wird. Leider ver-
stehen nicht alle unter Cloud Computing dasselbe. Iro-
nisch gesagt, kann man dies auf einen Satz reduzieren:

Abbildung 2. 11 Domänen, die für Unternehmen rentabel


Abbildung 1. Definitionsansatz: Cloud Computing eingesetzt werden

10 6/2010
Cloud Computing – Ein Überblick

• Geteilte Ressourcen wie Storage, Datenbanken, hier Amazons EC2 und S3 genannt sowie Rack-
Hardware… space Cloud und Terremark Enterprise Cloud.
• Ressourcen as a Service (RaaS) – Weiterentwick-
lung des SOA Ansatzes über Firewallgrenzen hin- Eine weitere Möglichkeit, Clouds zu charakterisieren
weg (siehe Anhang: 4) und zu kategorisieren und sich in der gängigen Litera-
• Pragmatisches Management tur vielfach widerspiegeln, ist die folgende:
• Nahezu unmittelbare Provisionierung
• Nahezu unmittelbare und flexible Skalierbarkeit • Public Cloud: Öffentlich zugängliche Services, wo
• Hoher Abtrahierungsgrad jedes Unternehmen oder Privatmann/-frau ein Ser-
• Lokalisationsunabhängiger Ressourcenpool vice mieten bzw. kaufen kann.
• Private Cloud: Von einer private Cloud spricht man
Grundsätzlich kann man das Cloud Computing in drei dann, wenn die Services nach den Grundprinzipien
Kategorien einteilen. und den architektonischen Eigenheiten des Cloud
Computings aufgebaut sind, aber nur über ein pri-
• Software as a Service (SaaS): Dabei wird Software vates Netzwerk zugreifbar und nutzbar gemacht
normalerweise von einem Software Provider – im werden.
Regelfall ein Drittanbieter – als Service on Demand • Hybrid Cloud: Die Cloud Infrastruktur setzt sich aus
angeboten, welches üblicherweise über das Inter- einer oder mehreren Clouds zusammen, die sowohl
net konfigurierbar und verfügbar gemacht wird. Als public als auch private sein können. Diese erstreckt
Beispiele dazu seien hier die Textverarbeitung und sich somit unter Umständen über die Firewallgren-
die Tabellenkalkulation von „Google docs“ genannt. zen eines Unternehmens hinweg. Ein möglicher
• Platform as a Service (PaaS): Genutzt um z.B. neue Einsatz dafür sind Load Balancer zwischen Clouds.
Applikationen zu erstellen. Dabei werden on demand • Partner Cloud oder Community Cloud: Dabei werden
die notwendigen Entwicklungswerkzeuge zur Verfü- die Services von einer limitierten Anzahl von Benu-
gung gestellt. Diese Plattformen bieten neben den tzern eingesetzt, die denselben Bedürfnissen unter-
eigentlichen Entwicklungswerkzeugen auch Dienste liegen und so gegenseitiges Einverständnis erzielen,
für das Configuration Management und den Vertei- welche z.B. die Sicherheitsanforderungen betreffen
lungsprozess an. Als Beispiel sei hier auf Microsoft´s und damit einem wohl definierten Benutzerkreis zur
Azur und Google´s Apps hingewiesen. Verfügung gestellt werden. Im weitesten Sinne ver-
• Infrastructure as a Service (IaaS): Bietet virtuelle gleichbar mit den Outsourcing-Prinzipien.
Systeme sowie andere virtualisierte Hardware und
Betriebssysteme an, die über Service APIs on de- In einem Satz ausgedrückt kann man Cloud Compu-
mand kontrolliert werden. Als Beispiel dafür seien ting so zusammenfassen: Cloud Computing ist die zur

Enterprise Application Local Storage Enterprise Application

Internet Internet

Storage-as-a-Service Information-as-a-Service
Provider Provider

Remote Storage Remote Storage Information Information

Abbildung 3. Storage-as-a-Service Abbildung 4. Information-as-a-Service

hakin9.org/de 11
FÜR EINSTEIGER

Verfügungstellung von jeglichen Computerressourcen mmen nichts anderes als ein Teil eines SAN (Storage
durch ein Web-Service-Interface auf einer as-needed Aera Network), welches nicht notwendigerweise im ei-
Basis (siehe Anhang: 5). genen Netzwerk lokalisiert ist. Die Speicher können von
David S. Linthicum (siehe Anhang: 6) greift die Archi- jedem Rechner bzw. von jeder Applikation angefordert
tekturkomponenten, die in Business Applikationen in werden und dies on-demand.
einem Unternehmen eingesetzt werden und verbindet Ein besonderer Vorteil besteht darin, dass man den
darauf den SOA Ansatz mit einer möglichen Cloud Ar- Speicher bei Bedarf flexibel skalieren kann. Die Kosten
chitektur. Er kategorisiert folgende 11 Domänen, die für sind für Speicherkapazitäten auf z.B. Projektlaufzeiten
Unternehmen rentabel eingesetzt werden: einschränkbar und somit muss in keine Anlagenbestände
investiert werden und es muss kein Anlagenvermögen
• Storage as a Service aufgebaut werden. Des Weiteren übernimmt der Storage
• Database as a Service as a Service Anbieter auch die notwendige Verantwortung
• Information as a Service und Schritte für Backup und Recovery bzw. für das De-
• Process as a Service saster Recovery der solcherart gespeicherten Daten. Wie
• Application as a Service die Daten allerdings gegen unbefugten Zugriff bzw. gegen
• Plattform as a Service Offenlegung oder anderweitige unrechtmäßige Verwen-
• Integration as a Service dung geschützt werden, sind im Einzelfall zu analysieren
• Security as a Service bzw. durch geeignete Methoden z.B. durch Einsatz von
• Management/Governance as a Service Verschlüsselungssoftware, selbst durchzuführen.
• Testing as a Service
• Infrastructure as a Service Information as a Service
Hier soll die Möglichkeit geschaffen werden, unterschied-
Es sollen nun exemplarisch einige Domains näher be- lichste Medienmeldungen durch standardisierte API´s
trachtet werden. zugänglich zu machen. Beispielsweise Meldungen der
APA, DPA, der internationalen Stock Exchange u.v.m.
Storage as a Service: Unter programmableweb.com findet man mit Stand Mai
Wie der Name schon vermuten lässt, versteht man da- 2010 in etwa 1600 dieser API´s.
runter einen remote zur Verfügung gestellten und ver- Somit wird es möglich, Informationen von unterschied-
walteten Speicherplatz, welcher aber logisch gesehen lichsten Quellen und Informationsanbietern zu sammeln
als lokaler Speicher behandelt wird. Im Grunde geno- und zu analysieren. Die großen Nachrichtenagenturen

salesforce.com
SOAP/
SOAP/ HTTP
HTTP XML/HTTPS Oracle

FTP
IMI (Direct Mail)
SOAP/
HTTP California
SMTP/FTP
Lithographers
(Brochures, Printing)
SFTP

Business processes peoplemetrics


SOAP
between partners are easlly (Surveys)
shared through the network

Address Validation Service


(Third-Party Service)

Abbildung 5. Cloud Computing Architektur

12 6/2010
Cloud Computing – Ein Überblick

der Welt arbeiteten noch vor dem Hype Cloud Compu-


ting – zwar properitär – aber schon lange auf ähnliche ANHANG
Art und Weise zusammen, um den Informationsfluss 1. Vergl. Anthony T. Velte et al; „Cloud Computing: A Practi-
bzw. den Nachrichtenaustausch zu garantieren. Nun cal Approach“; S3-4 ; McGraw Hill 2010
bietet sich dies aber auch für Unternehmen jeder Grö- 2. Vergl. „Cloud Computing: Benefits, risks and recommen-
ße an, da man die Applikation nur gegen die entspre- dations for Information Security“ ; S14-15; November
2009; ENISA
chenden API´s binden muss. Eventuelle Lizenzkosten
3. Vergl. „Cloud Computing: Benefits, risks and recommen-
und Reprogrammierung von Business Applikationen dations for Information Security“ ; S14-15; November 2009;
sind natürlich zu beachten. Die meisten Angebote für ENISA und http://de.wikipedia.org/wiki/Pay_as_you_go
die Nutzung von Web-APIs zur Nutzung als Information 4. Vergl. David S. Linthicum; „Cloud Computing and SOA
as a Service sind aber kostenfrei verfügbar. Convergence in Your Enterprise“ S7-8 ; Addison Wesly,
Pearson Education 2010
Diese Informationsgewinnung ermöglicht einen um-
5. Vergl. Eucalyptus Systems, Inc; Cloud Computing Platform
fassenden Datamining Ansatz für die Wissensgenerie- Administration Guide V1.6; S7; Eucalyptus Systems, Inc
rung im Unternehmen. Die Verschmelzung unterschied- 2010
lichster Informationsquellen – auch in unterschiedlichen 6. Vergl. David S. Linthicum; „Cloud Computing and SOA
Formaten und deren Standardisierung und Kategorisie- Convergence in Your Enterprise“ S38ff ; Addison Wesly,
rung, ermöglicht vielfältige Einsatzmöglichkeiten wie die Pearson Education 2010
Fortführung und Anwendung im Prozess as a Service.
Aber auch die Möglichkeiten, Anomalien (Fraud-Detec- und Intrusion Prevention mittels Anomalieerkennung.
tion, Data-Loss-Prevention, Maleware-Frühwarnungen) Gerade hier bietet zur Früherkennung der verteilte
frühzeitig zu erkennen, steigen dadurch stark an. Strukturansatz des Cloud Computings große Chancen.

Plattform as a Service: Resümee:


Hierbei versteht man die ganzheitliche Integration vom Allerdings gibt man bei Cloud Computing einiges aus
Storage über Application bis zu Testing as a Service. der Hand. Wie sieht es z.B. bei einem Netzwerkausfall
David S. Linthicum bezeichnet Plattform as a Service mit der Verfügbarkeit der Daten aus? Man gibt dabei ein
mit dem Vergleich eines One Stop Shops für Application Stück Selbstbestimmung auf und „verläßt“ sich auf die
Developer und die dazugehörige Verteilung bzw. Ver- Qualität, Verfügbarkeit und die Sicherheit der angebote-
breitung derselben. Ein aktuelles Beispiel dafür sind die nen Services. Ebenso kritisch muss auch der Parameter
Google Apps API´s und Applikationen. Performance betrachtet werden. Insbesondere, da die zu
verarbeitenden Daten ein immer schnelleres Wachstum
Security as a Service: aufweisen. Im Speziellen, wenn man hochdatenintensive
Dabei wird der Gedanke verfolgt, Sicherheitsanwen- Bereiche wie Video-/Bild- und Ton verarbeitet. Ebenso
dungen und Dienstleistungen als Service letztendlich sollte sorgfältig überlegt werden, welche Daten wie und
zum Endanwender zu transportieren. Dieser Bereich ist wo gespeichert werden, um den örtlichen Datenschutz-
ein noch sehr rudimentär ausgeprägtes Tätigkeitsfeld, gesetzen gerecht werden zu können. Auch wenn dies
wobei immer interessantere Themen wie z.B. Identitäts- nicht jeder Cloud Provider zur Verfügung stellen wird und
management entwickelt und angeboten werden. Viele kann, denn einer der Grundsätze ist ja das verteilte Rech-
Unternehmen, die im Sicherheitsbereich tätig sind, ver- nen und damit die verteilte Speicherung. Nicht zuletzt ist
wenden bereits technologische Ansätze, die sich sehr aber die Sicherheit im Cloud Computing mehr als nur die
gut in die Cloud transformieren lassen. Insbesondere Sicherheit von virtualisierten Services. Einer sicherheits-
im Bereich der Malwareerkennung in Web- und GUI kritischen Betrachtung müssen nicht nur die technischen
Applikationen oder im Bereich der Intrusion Detection Aspekte unterzogen werden, sondern genauso muss
das Augenmerk auf organisatorische und administrative
Belange gerichtet sein. Eine entsprechende Einbettung
in das Risikomanagement ist dabei unabdingbar. Wobei
der Ansatz des technisch realisierbaren vor dem organi-
satorisch machbaren den Vorrang haben sollte.

HELMUT KAUFMANN
Der Autor ist stellvertretender Studiengangsleiter IT Security
an der FH St. Pölten. Er arbeitet zur Zeit an folgenden Projek-
Abbildung 6. Unter programmableweb.com findet man ca. 1600 ten: Digitale Unterschrift, Notebookverschlüsselung und Port
der API´s Security.

hakin9.org/de 13
ANGRIFF

Der Penetrationstest – Vorgehen und Tools


eines Testers
Andreas Wisler

Der Penetrationstest ist ein Mittel, um mögliche Fehler


zu erkennen und damit die IT-Sicherheit zu erhöhen.
Dieser Beitrag zeigt ein mögliches Vorgehen und erwähnt
Mittel, die eingesetzt werden können, damit ein optimales
Ergebnis erzielt werden kann.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Wie ein Penetrationstester vorgeht; • Kein Vorwissen notwendig.
• Welche Werkzeuge er einsetzt;
• Wo mögliche Schwachstellen sind.

D
er IT Alltag ist oft von Hektik und Stress be- Das BSI (Bundesamt für Sicherheit in der Informa-
gleitet. Sehr schnell kann es geschehen, meist tionstechnik, http://www.bsi.de) hat in Zusammenarbeit
unabsichtlich, dass eine Härtungsmassnahme mit der BDO Visura und Ernst & Young einen Leitfaden
nicht geht oder eine Testregel in der Firewall verge- zur Organisation und Durchführung von Penetrations-
ssen wird. Ebenfalls gehören ständige Änderungen und tests mit dem Titel „Durchführungskonzept für Pene-
Erweiterungen am Netzwerk zum täglichen Business. trationstests“ erstellt. Zusätzlich werden die rechtlichen
Sollte dann ein Mitarbeiter zusätzlich die Firma verla- Rahmenbedingungen dargestellt, die im Umfeld von
ssen, geschieht die Übergabe aus unserer Erfahrung Penetrationstests zu beachten sind. Die Studie stellt
oft nicht optimal. Dass dabei die Dokumentation gerne keine Anleitung zum Hacken von Netzen und Systemen
vernachlässigt wird, zeigen diverse Studien. Nicht ver- dar, daher wurde bewusst auf detaillierte technische
gessen werden dürfen die regelmässigen Änderungen Anleitungen und Beschreibung von Werkzeugen, die in
an Hard- und Software durch Patches und Updates. Aus Penetrationstests verwendet werden, verzichtet (Down-
diesen Gründen lautete bereits 1993 der Usenet-Aus- load unter https://www.bsi.bund.de/ContentBSI/Publi-
spruch von Dan Farmer und Wietse Venema Improving kationen/Studien/pentest/index_htm.html).
the security of your site by breaking into it. Vom US-amerikanischen National Institute of Standards
and Technology (NIST) wurde der Technical Guide to In-
Informationen formation Security Testing erstellt und befindet sich seit
Im Gegensatz zu IT-Revisionen gibt es zur Durchfüh- November 2007 im Draft-Status (Download unter csrc.
rung von Penetrationstests weder gesetzliche Vorgaben nist.gov/publications/nistpubs/800-115/SP800-115.pdf).
noch Richtlinien. Somit sind der Ablauf, die Methodik Vom EC-Council steht zudem die Möglichkeit zur Ver-
und die Art der Dokumentation offen. Seit einigen Ja- fügung, sich als Ethical Hacker zertifizieren zu lassen.
hren gibt es Versuche, diesen Missstand zu beheben. Informationen zu den Ausbildungen sind hier zu finden:
Zu den bekanntesten Verfahren gehört sicherlich das http://www.eccouncil.org/
Open Source Security Testing Methodology Manual
OSSTMM (http://www.osstmm.org). Das OSSTMM ist be- Schritte eines Penetrationstests
züglich technischen Security Audits kompatibel zu gängigen Der Ablauf eines Penetrationstests sieht in etwa immer
Standards und Weisungen wie ISO/IEC 27001/27002, IT gleich aus: Workshop – Testphase – Bericht – Präsen-
Grundschutzhandbuch, SOX und Basel II. Auf Grund der tation.
Praxisorientierung und der Standardkonformität erfreut es In einem ersten Workshop werden die Ziele der Tests
sich international wachsender Beliebtheit. definiert. Hier muss auch klar die Motivation festgehalten

14 6/2010
Der Penetrationstest – Vorgehen und Tools eines Testers

werden, die ein potentieller Hacker aufwenden kann. Zu- von Google oder Social Networking Plattformen. Auch
dem wird festgehalten, wie weit die beauftragten Hacker Webseiten zur Stellensuche sind eine gute Quelle.
gehen dürfen. Die Möglichkeiten eines gezielten Angriffs Sucht die Firma zum Beispiel nach Oracle Spezialisten,
umfassen ein Blackbox-Hacking von Aussen, ein Hacking wird vermutlich auch Oracle als Datenbanklösung ein-
mit teilweisem oder komplettem Wissen über die interne gesetzt. Das Internet vergisst dabei nichts. Wurde in
Infrastruktur (White- oder Grey-Hacking) und können einem Forum eine Frage platziert, kann diese auch nach
durch netzwerkinterne Tests inkl. Social Engineering Jahren noch abgerufen werden. Ebenfalls sind Namen
erweitert werden. Wichtig sind hier die rechtlichen Spiel- von Personen, evtl. sogar mit einer E-Mail-Adresse ver-
regeln und die Vertraulichkeitsvereinbarung. sehen, ideal für die weiteren Angriffe.
Die Testphase wird anschliessend ausführlich be-
schrieben. Daher hier nur zwei Bemerkungen. Wichtig
ist es, nie das Ziel der Tests aus den Augen zu verlie-
ren. Schnell kann es in der Flut von Informationen ge-
schehen, dass ein falscher Weg eingeschlagen wird. Im
Gegensatz dazu steht, dass die Kreativität der Angriffe
nicht ausser Acht gelassen werden darf. Ein stures Vor-
gehen nach Checklisten zeigt oft nicht das ganze Bild.
Der anschliessende Bericht zeigt das Vorgehen, die
eingesetzten Tools sowie die Erkenntnisse aus den
Ergebnissen. Sollten Schwachstellen ersichtlich sein,
sind diese mit Massnahmen zu versehen und in einer
Prioritätenliste festzuhalten. Soweit möglich sind Zusa-
mmenhänge aufzuzeigen und in einem gesamtheit-
lichen Bild darzustellen.
Die Präsentation ist analog aufgebaut. Da Penetra-
tionstests oft auch von der Geschäftsleitung in Auftrag
gegeben werden, sollte dies für die Präsentation beach-
tet und entsprechend umgesetzt werden. Es hilft nicht,
Ergebnisse schön zu malen, sondern nüchtern und ohne
Bewertung wiederzugeben. Es liegt im Ermessen und dem
notwendigen Fingerspitzengefühl des Prüfers, mit dieser Abbildung 1. OSSTMM
Situation umzugehen. Schlussendlich geht es immer da-
rum, die Verbesserung der IT-Sicherheit voranzutreiben.

Vorgehen

Werkzeuge
An dieser Stelle ist es nicht möglich, auf alle zur Ver-
fügung stehenden Werkzeuge einzugehen. Praktisch
für jeden möglichen und unmöglichen Zweck steht ein Abbildung 2. BSI
Programm oder ein Tool bereit. Täglich stossen neue
dazu. Bei der Beschreibung des Vorgehens wird jeweils
auf ein Programm hingewiesen, viele davon stammen
aus der Open Source Szene. An dieser Stelle erwäh-
nenswert sind sicherlich die sogenannten Exploit Fra-
meworks. Sie beinhalten eine Sammlung von diversen
Werkzeugen unter einer einheitlichen Oberfläche, mei-
stens direkt bootbar von einer Standalone CD-ROM.
Eines davon ist das Metasploit Framework (http://www.
metasploit.com/), welches kostenlos verfügbar ist.

Informationssuche
Der erste Schritt des Penetrationstests umfasst die In-
formationssuche. Welche Informationen sind im Internet
verfügbar, sei dies auf der Homepage des Unterneh-
mens oder via einer Suchmaschine wie zum Beispiel Abbildung 3. NIST

hakin9.org/de 15
ANGRIFF

Weitere Informationen liefern WHOIS und DNS. Was der Firma bekannt. Interessant sind sicherlich A Einträge
sind für Angaben zu den IP-Adressen festgehalten? Ver- zu Web- und Mailserver. Der MX Eintrag zeigt, welchen
fügt das Unternehmen über weitere IP-Adressen? Wel- Weg die E-Mails ins Unternehmen nehmen. Ein SPF
che Informationen stehen in den DNS-Einträgen? Kann (Sender Policy Framework) zeigt zusätzlich, ob Mails
gar ein kompletter Zonentransfer ausgeführt werden? via andere Wege ins Internet gelangen (zum Beispiel im
Ist dies der Fall, sind auf einen Blick alle Anlaufstellen Falle eines Backup-Mailservers). Ein Tool zur einfachen

Abbildung 4. Scan-Programm - NMap

Abbildung 5. Vulnerability Scanner - Nessus

16 6/2010
ANGRIFF

Abbildung 6. PacketStorm – Hier können passende Angriffstools gefunden werden

Abbildung 7. LC5 (L0phtCrack)

18 6/2010
Der Penetrationstest – Vorgehen und Tools eines Testers

Informationssuche bildet SamSpade (http://samspade. oder nicht. Falls nicht, sind vermutlich bereits Tools im
org/), welches Funktionen zu WHOIS, Ping, Traceroute Internet verfügbar, die gegen diese Schwachstelle ein-
und DNS in einer grafischen Oberfläche bietet. Alles ist gesetzt werden können (sogenannte Exploits). Zu den
zwar auch von der Kommandozeile möglich, aber mit gängigsten Scan-Programmen gehört sicherlich NMap
diesem Tool geht es doch etwas einfacher. (http://www.nmap.org), welches auch unbemerkt IP-
und Portscans durchführen kann. Ein Aufruf könnte zum
Angriffsziel Beispiel „nmap –sS –O –p1-65535 <IP>“ lauten. Damit
Nachdem bereits viele Informationen zur Verfügung ste- wird der Test im Stealth Scan Modus durchgeführt (d.h.
hen, gilt es das Angriffsziel einzuschränken. Ein IP- und der TCP Verbindungsaufbau wird nicht komplett durch-
Portscan liefert die dazu notwendigen Informationen. Es geführt und somit evtl. auf der angegriffenen Seite auch
soll geklärt werden, welche IP-Adressen auf Anfragen nicht geloggt), mit –O wird zusätzlich versucht, das
reagieren und welche offenen Ports im Internet ersich- Betriebssystem herauszufinden. Der letzte Parameter
tlich sind. Daraus leiten sich die interessanten Ziele ab. sagt aus, dass alle 65‘535 Ports gescannt werden.
In der Regel antworten die Standardports (d.h. Ports,
die bekannt sind, oft unter 1024). Die Erfahrung zeigt, Vulnerability Scanner
dass sich viele spannende Ports auch oberhalb der Als weitere Möglichkeit stehen Vulnerability Scanner auf
50‘000-Grenze befinden. Es lohnt sich, trotz grossem der Liste. Diese verursachen jedoch einen grossen Lärm.
Zeitbedarf, alle 65‘535 möglichen Ports durchzusehen. Je nachdem, ob alle Personen der zu untersuchenden
Gleichzeitig mit dem offenen Port sollten die Header- Firma Bescheid wissen, können diese bereits zu einem
Informationen ausgelesen werden. Viele Systeme sind frühen Zeitpunkt eingesetzt werden. Sie dienen dazu,
sehr auskunftsfreudig und teilen mit, wer sie sind und nebst den bereits erwähnten Ports auch Informationen
vor allem in welcher Version sie vorliegen. Eine erneu- zum Betriebssystem, Banner (Antworten auf Anfragen),
te Suche im Internet zeigt, ob sich das antwortende Kontrolle von bekannten Sicherheitslücken, Verbesse-
Programm auf dem aktuellsten Softwarestand befindet rungsvorschlägen und automatisch generierten Berich-

Abbildung 8. SQLPing

hakin9.org/de 19
ANGRIFF

ten zu erstellen. Eines dieser Programme ist Nessus, erhöhen die Angriffsfläche eines Systems. Zudem gilt,
welches im Client-/Server-Prinzip funktioniert. Dabei dass das Patchen oft vernachlässigt und dadurch einem
wird der Server auf einem Unix-System installiert. Der potentiellen Angreifer die Arbeit unnötig erleichtert wird.
Client kann via SSL eine Verbindung darauf aufbauen Wenn dann in einer Firewall zu viele Ports geöffnet sind,
und die entsprechenden Routinen starten. Mit zusä- wird die Gefahr einer erfolgreichen Attacke erhöht.
tzlichen Plug-ins lassen sich diverse Sicherheitslücken Wie bereits erwähnt, gibt der Portscan die ersten
des Betriebssystems bzw. der Dienste, die auf dem Informationen auf mögliche Schwachstellen bekannt.
zu scannenden Host laufen, finden. Wichtig: Bei allen Sind typische Windows-Ports offen, wie Kerberos (88),
Programmen kann es zu Fehlalarmen kommen. Eine RPC und Netbios (135-139), LDAP (389), SMB/CIFS
manuelle Nachkontrolle ist daher zwingend notwendig. (445), SQL Server (1433), AD Global Catalog (3268) und
Sind nun mögliche Angriffspunkte erkannt worden, gilt Terminal Services (3389) kann eine genauere Analyse
es, diese genauer zu untersuchen. Nachfolgend wollen weitere Informationen liefern. Hier lohnt sich der Einsatz
wir dies für die beiden Betriebssysteme Windows und eines umfassenden Scanners wie Nessus oder der GFI
Unix etwas genauer beschreiben. Abgerundet wird un- Languard Network Security Scanner (http://www.gfisoft-
ser „Angriffsversuch“ auf Web-Applikationen. ware.de/lannetscan). Sind Lücken in den eingesetzten
Versionen bekannt, geben dies die beiden Programme
Schwachstellen in Windowssystemen an. Nun muss nur noch im Internet das entsprechende
Obwohl dem Betriebssystem von Microsoft oft Angriffstool gefunden werden. Google hilft hier sicherlich
schlechtes nachgesagt wird, kann es doch sehr sicher am schnellsten weiter, jedoch auch spezialisierte Seiten
betrieben werden. Die Erfahrung zeigt, dass die meisten wie PacketStorm liefern oft ein passendes Programm.
Schwachstellen durch installierte Dienste verursacht Kann ein Zugriff auf die Anmeldeseite aufgebaut wer-
werden. Jeder Dienst, vor allem die nicht benötigten, den, sollten zuerst die möglichen Ziele identifiziert wer-

Abbildung 9. WFetch

20 6/2010
Der Penetrationstest – Vorgehen und Tools eines Testers

den. In der Regel werden Accounts nach einer gewissen verfügbar, die Brute Force Attacken auf diesen Port
Anzahl Fehlversuchen gesperrt. Davon ausgenommen durchführen können. TSGrinder ist ein solches Tool,
ist jedoch immer der Administrator. Der Administrator welches Terminal Server Verbindungen öffnet und ein
ist aber kein ideales Angriffsziel, da er (hoffentlich) Passwort nach dem anderen aus einer Textdatei an
gut überwacht wird. Ein Tool, das bei der Suche nach die Gegenseite schickt (http://www.hammerofgod.com/
einem geeigneten Angriffsziel weiterhelfen kann, ist download.html). Die Empfehlung ist daher eindeutig:
enum. Es nützt die Möglichkeit von Windows aus, sich Terminal Services dürfen nur via VPN erreichbar sein.
mittels einer NULL Session auf einen Server zu verbin- Eine weitere Sünde ist der direkte Zugriff auf den
den. Damit ist es möglich, ohne Benutzernamen und SQL Server. Sobald der Port 1433 offen ist, kann eine
Passwort einige Details abzufragen. Die Abfrage enum Attacke gefahren werden. Als ideal erweist sich das
–P <IP> liefert als erstes die Passwortpolicy. Sind kei- Tool forceSQL: forceSQL.exe <IP> SA –b 5. Damit wird
ne Einschränkungen vorhanden, d.h. kein Sperren bei eine Brute-Force Attacke auf den Benutzer SA (System
einer gewissen Anzahl fehlerhafter Passwörter, kann Administrator) mit einer maximalen Passwortlänge von
jeder beliebige Account verwendet werden. Mit enum fünf Zeichen ausgeführt. Grafisch kann diese Arbeit
–U <IP> werden die vorhandenen Benutzer-Accounts auch an SQLPing delegiert werden (http://www.sqlse-
angezeigt. Mit –G werden auch die Gruppenzugehörig- curity.com/Tools/FreeTools/tabid/65/Default.aspx).
keiten aufgeschlüsselt. Der Angriff erfolgt schlussend-
lich mit enum –D –u <Account> -f pwd.txt <IP>. pwd. Schwachstellen in Unixsystemen
txt enthält eine Liste von Passworten. Eine Brute-Force Auch unter Unix sind Schwachstellen vorhanden. Ty-
Attacke ist mit enum nicht möglich. Hier hilft aber das pische Ports, die als Angriffsziel interessant sein kö-
grafische Tool LC5 (L0phtCrack) weiter. nnen, sind: ssh (22), telnet (23), finger (79), exec (512),
Immer wieder geschieht es, dass für die Serveradmi- login (513) und shell (514).
nistration der Port 3389 (Terminal Services) auch durch Ist finger geöffnet, kann als erstes abgefragt werden,
die Firewall hindurch geöffnet wird. So kann der exter- welche Benutzer gerade am System angemeldet sind:
ne Support jederzeit auf den Server zugreifen. Dieses finger @<IP> liefert diese Antwort. Das Tool hydra kann
grob fahrlässige Vorgehen öffnet einem Hacker einen anschliessend einen Angriff auf das Passwort starten.
optimalen Zugang zum System. Im Internet sind Tools Dazu wird zum Beispiel eine Verbindung auf den Tel-

Abbildung 10. Achilles Web-Proxy

hakin9.org/de 21
ANGRIFF

netserver gestartet: hydra –l <Benutzer> -P <Passwort- Alternativ kann dies auch mit nmap geschehen (nmap
liste> <IP> <Dienst>. Als Dienst können auch weitere –sSRUV <IP>). Mit diesem Aufruf stehen alle notwendigen
eingesetzt werden. Informationen für einen weiteren Angriff zur Verfügung. Um
Sind Freigaben auf dieses System vorhanden, kö- welches System handelt es sich? Welche Applikationen
nnen diese mit showmount –e <IP> angezeigt werden. sind installiert? Sind Schwachstellen dafür bekannt?
Ein Anziehen dieser Freigaben kann dann anschlie-
ssend mit mount geschehen. Schwachstellen in Web-Anwendungen
RPC basierte Dienste sind ein beliebtes Angriffsziel. Da- Die Betriebssysteme werden immer sicherer. Daher
her liefert das Tool rpcinfo –p <IP> genauere Informationen. verlagern sich die Angriffe auf „leichtere“ Ziele. Zu den

Abbildung 11. Absinthe

22 6/2010
Der Penetrationstest – Vorgehen und Tools eines Testers

Click Me!

(1) Verwundbare Webseite


des Shops wind geladen,
dargestellt und Javascript
wird ausgeführt
(2) Javascript lädt Code von
einem Server des Angreifers nach

(5) Account-Daten werden


zum Angreifer gesendet

(3) Code integriet einen Login-Screen (6) Script auf dem Server
in die Webseite des Web-Shops des Angreifers nimmt die
Account-Daten entegen
(4) “Gutgläubiger” Benutzer gibt seine
Account-Daten an und klickt auf login

Abbildung 12. Quelle: Marc Rennhard, ZHAW, goSecurity Forum #6

beliebtesten gehören Web-Anwendungen. Immer mehr Ein Tool, das hier grafisch weiterhilft, ist Absinthe
Applikationen bieten einen zusätzlichen Zugriff via HTTP (http://www.0x90.org/releases/absinthe/)
(oder HTTPS). Aufgrund der Limitationen des zugrunde lie- Eine weitere Gefahr ist Cross Site Scripting (XSS). Hier
genden Protokolls ist es auch für erfahrene Programmierer werden jedoch nicht Daten ausgelesen, sondern frem-
nicht einfach, sichere Webanwendungen zu entwickeln. der Code in die echte Seite eingeschleust. Wiederum
Alle Daten werden als ASCII Text übermittelt (in beide geschieht dies über schlecht ausgewertete Formular-
Richtungen). Ein Abfangen und Senden ist daher nicht felder. Ob die Seite dafür anfällig ist, lässt sich leicht mit
besonders schwer. Ein Tool, das dabei behilflich sein <script>Alert(´XSS Test´)</script> testen. Öffnet sich
kann, ist WFetch. Damit lassen sich alle Parameter ein zusätzliches Fenster, ist die Seite anfällig auf Cross
eines HTTP-Requests beeinflussen. Das Tool kann von Site Scripting. Das gefährliche daran ist, dass sich ein
der Microsoft Homepage heruntergeladen werden. Benutzer auf der richtigen Seite befindet, jedoch einen
Damit eine Webseite und die übertragenen Daten ein- „falschen“ Inhalt angezeigt bekommt. Werden so ver-
fach untersucht werden können, lohnt sich der Einsatz trauliche Informationen eingegeben, gelangen diese an
eines Proxys. Achilles Web-Proxy ist ein sehr populärer den Angreifer und nicht an die Webseite.
Web-Proxy, der die Daten vor dem Versenden anzeigt
und die Möglichkeit bietet, Modifikationen vorzunehmen Fazit
(http://www.mavensecurity.com/achilles). Dies ist vor Diese Tests sind in der Regel nicht in einem Tag
allem dann interessant, wenn in Formularen sogenannte durchzuführen. Zu vielfältig sind die möglichen An-
Hidden-Felder übertragen werden. Diese können so noch griffsflächen. Neben der Definition der eigenen Sicher-
verändert werden, was oft die Möglichkeit bietet, auf frem- heitsbedürfnissen gehört zu einem funktionierenden
de Daten zuzugreifen. Für schnelle Tests kann auch ein Sicherheits-Regelkreis das kritische Hinterfragen, ob
entsprechendes Plugin in Firefox verwendet werden. die definierten Ziele mit den getroffenen Massnahmen
Der erste Angriffspunkt sind oft Formulare. Handelt es erreicht wurden. Der Penetrationstest liefert dabei eine
sich um Loginfelder, hilft das Tool Brutus weiter, welches unparteiische Drittmeinung. Das strukturiere Vorgehen
Benutzernamen und Passwort an die Webseite schickt. hilft, mögliche Schwachstellen zu erkennen und geeig-
Leider gibt es aber für Formular-basierte Authentifizie- nete Massnahmen zur Behebung zu treffen.
rung kein Universal-Tool, da die Web-Entwicklerspra-
chen oft leicht voneinander abweichen.
Trotz vielen Fachberichten und Warnungen gibt es im-
mer noch Formularfelder, welche den eingegebenen Inhalt
ungeprüft an Datenbanken weiterreichen. SQL Injection
heisst dieses Angriffsszenario, welches versucht, diese
Anfragen zu manipulieren. Ein Aufruf mit ´or 1=1 -- liefert ANDREAS WISLER
ein Ergebnis, das immer wahr ist. Wird dies direkt weiter- Dipl. IT Ing. FH, CISSP, ISO 27001 Lead Auditor, MCITP Enter-
gereicht, können alle Antworten unabhängig des Suchbe- prise Server Administrator.
griffs ausgelesen werden. Klappt dies, kommen weitere Andreas Wisler ist Geschäftsführer der GO OUT Production
Abfragen zum Zug, mit dem Ziel, herauszufinden, welche GmbH, welche sich mit ganzheitlichen und produktneutralen
SQL Server Version eingesetzt wird, welche Datenbanken IT-Sicherheitsüberprüfungen und -beratungen auseinander-
existieren sowie wie die genauen Inhalte anzuzeigen. Di- setzt. Penetrationstests und Social Engineering runden das
es erfolgt in der Regel mit dem Aufruf von union. Profil ab.

hakin9.org/de 23
ABWEHR

Know-How Schutz mit Unterstützung


schafft mehr Sicherheit
Marko Rogge

Know-How Schutz ist ein zentrales Thema, wenn es um den


Schutz von Wissen und Daten in Verbindung geht. Grundsätzlich
ist es bedeutend, dass Unternehmen sich mit der Sicherheit der
Daten befassen, die für geschäftliche Prozessabläufe relevant
sind. Aber auch das geistige Eigentum von Unternehmen gilt es
zu schützen und das nachhaltig.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Was wird unter Know-How Schutz verstanden; • Kein Vorwissen nötig;
• Wie wird Know-How Schutz umgesetzt. • Bereitschaft, Unternehmenssicherheit als Prozess zu sehen.

O
ftmals geht es bei solchen Daten um Erfindun- Aber auch der §18 [2] des UWG kann in Bezug auf
gen, Patente, Rezepturen oder andere Allein- Know-How Schutz Anwendung finden, da es sich hierbei
stellungsmerkmale im Markt, die elektronisch um anvertraute Vorlagen handelt. Diese können Know-
verarbeitet werden. Eine entscheidende Unterstützung How darstellen. Im technischen Bereich ist Know-How
stellt dabei die Software 8Man dar, die in diesem Artikel überwiegend in Form von Daten durch das Strafge-
mitbeschrieben und vorgestellt wird. setzbuch geschützt. Hierbei handelt es sich um die
§202a,b und c, die das Ausspähen, Abfangen und Vorbe-
Know-How Schutz reiten von Daten unter Strafe stellen. §303a und b stellen
Die Grenze zwischen dem Datenschutz und dem tech- unter Strafe, Datenveränderung vornimmt oder Compu-
nischen Schutz von wichtigen Daten ist sehr schwam- tersabotage durchführt. Dies kann in Zusammenhang
mig. Gerade wenn es um technische Unterstützung von Know-How durchaus in der Praxis vorkommen.
geht, sollte man bei der Umsetzung den Datenschutz Auch der Versuch ist strafbar.
beachten und personenbezogene Daten ebenso Gesetzlich betrachtet und in Zusammenhang mit
schützen, wie technische oder betriebliche Daten. Know-How Schutz findet auch das UrhG (Urheber-
Know-How Schutz versteht sich eher als praktischer rechtsgesetz) Anwendung und definiert, was unter dem
Ansatz, der jedoch auch rechtlich Bedeutung findet und Urheber und deren Werk zu verstehen ist und welche
bei Verstößen geahndet werden kann. gesetzlichen Sanktionen bei Verstoß drohen können.
Als Know-How kann verstanden werden, dass sämtliche Es sieht jedoch häufig in der Praxis eher so aus,
Kenntnisse, die ein Inhaber an Wissen hat, zu einem tech- dass ein Verstoß gegen Know-How Schutz kaum oder
nischen oder wirtschaftlichen Ergebnis führen. Dies wäre gar nicht bemerkt wird. Sollte es dann doch bemerkt
im Falle von Know-How dem Inhaber sonst nicht möglich werden, ist es sehr oft schon zu spät, um noch einen
gewesen. Entsprechend dem kann Know-How ein Patent, Täter ermitteln zu können. Ermittlungen in der digitalen
ein technisches Wissen, Kundenlisten, Produktentwicklun- Beweissicherung sind kompliziert durchzuführen und
gen oder rein geschäftliches Wissen darstellen. die Täter verwischen häufig die Spuren. [3]
Für den Know-How Schutz direkt gibt es kein Gesetz,
welches darauf speziell angewendet wird. Technische Umsetzung
Im §17 des UWG (Gesetz gegen den unlauteren Wettbe- Eine Mischung aus technischen Mitteln und menschli-
werb) wird der Verrat von Betriebs- und Geschäftsgeheim- chen Verstand und den dazu gehörigen Maßnahmen
nissen gesetzlich geregelt. Besonders schwere Fälle werden sollten helfen, effektiven Know-How Schutz umzuset-
gar mit Freiheitsentzug bis zu 5 Jahren geahndet. [1] zen. In der Ausgabe 04/2010 von Hakin9 wurden alle

24 6/2010
Know-How Schutz mit Unterstützung schafft mehr Sicherheit

Themen der Unternehmenssicherheit angesprochen Der Bereich Wirtschaftsspionage ist hierbei eines
und aufgezeigt. Auch alle Bereiche der Unternehmenssi- der wichtigen Themen, das durch eine entsprechende
cherheit haben vollständige Anwendung für den Schutz Risikoanalyse ermittelt werden kann. In sehr vielen
des eigenen Know-Hows. So ist es für ein Unterneh- Unternehmen ist Know-How vorhanden, welches aber
men wichtig zu wissen, dass entsprechende Gesetze nicht ausreichend geschützt ist, da keine exakte Risiko-
geltende Anwendung in Bezug auf Compliance haben, analyse durchgeführt wurde.
auch wenn es um Know-How Schutz geht. Wichtig ist es für den Schutz des Know-Hows im
So beispielsweise ist es wichtig, sich an die Gesetze Unternehmen, dass Schutzziele definiert werden, um
des Datenschutzes (BDSG) zu halten, wenn Know-How diese dann auch umzusetzen.
Schutz umgesetzt werden soll. Im einzelnen kann das Dies trifft in diesem Fall auf zu verarbeitende Daten zu:
bedeuten, dass eine Überwachung von Mitarbeitern
zulässig oder nicht zulässig ist. Sofern die Persönlich- • Verfügbarkeit: Stabilität von Datenzugriffen und von
keitsrechte am Arbeitsplatz eingehalten werden, können Systemen und die Zusicherung von Zugriffen auf
auch Maßnahmen zur Sicherstellung von Know-How Daten innerhalb eines zugesicherten Zeitrahmens.
Schutz greifen und der Arbeitgeber ist abgesichert. Da- Verhinderung von Ausfällen einzelner oder ganzer
tenschutz ist auch bei der technischen Umsetzung mit- EDV Einheiten.
tels 8Man gegeben, sofern man sich an betriebliche Ve- • Integrität / Authentizität: Die Zusicherung, dass Da-
reinbarungen und/oder Zusätze zu einem Arbeitsvertrag ten nicht unbemerkt oder nicht nachvollziehbar
hält. Im Zweifelsfall wäre es ratsam, den Datenschutz- verändert werden dürfen.
beauftragten zu befragen oder sich mit dem Betriebsrat • Vertraulichkeit: Zugriffsmöglichkeiten auf Daten nur
in Verbindung zu setzen. durch entsprechend autorisierte Personen oder
Bei der Betrachtung von Daten in Bezug auf Know- Gruppen bei der Datenverarbeitung.
How Schutz greift auch das Risikomanagement, sofern • Nichtabstreitbarkeit: Das Abstreiten einer unzulässi-
dies vorhanden ist und gepflegt wird. Denn, eine en- gen Handlung ist nicht möglich.
tsprechende Risikoanalyse kann hervorbringen, welche
Risiken auf das Unternehmens-Know-How wirken kön- In der technischen Umsetzung findet Know-How Schutz
nen und wie diese zu bewerten sind. noch immer keine ausreichende Beachtung, oftmals

Abbildung 1. Einblick in 8Man und dem zu überwachenden Active Directory

hakin9.org/de 25
ABWEHR

zum Schaden des Unternehmens. So wird in vielen Un- es sollte transparent verdeutlicht werden, dass diese
ternehmen noch nicht ausreichend auf das Rechtema- Schutzmaßnahmen dienlich zur Erhaltung des Unter-
nagement oder auch auf die Zugriffsrechte von Usern nehmens und deren Werte sowie der Arbeitsplätze sind.
geachtet. So wird es kaum notwendig sein, dass ein Mi- Damit ist der Mitarbeiter Teil einer entsprechenden Um-
tarbeiter aus der Buchhaltung auch Zugriff auf die Da- setzung von Maßnahmen zum Schutz von Know-How.
teien und Ordner der Forschungsabteilung haben muss. Mittel zur Umsetzung und Unterstützung von Aware-
Häufig fehlt dann auch noch eine entsprechende Nach- ness können kleine Workshops in Gruppen sein, oder
weisführung, die darstellen kann, wer zu welchem Zeit- kleinere Vorträge, die das Thema beleuchten. Dabei
punkt auf welche Daten zugegriffen hat. sollte der technische Hintergrund weniger dargestellt
Gerade die Verknüpfung unterschiedlicher Me- werden. Vielmehr geht es um die Vermittlung des Wis-
chanismen zur Unternehmenssicherheit bietet einen sens, wie wichtig der Schutz des Unternehmens mit
höheren Know-How Schutz, so auch Maßnahmen der Hilfe der Mitarbeiter ist.
physikalischen Sicherheit. Dahingehend eine geeignete In der Vergangenheit sind ausreichend prominente
Zutrittskontrolle einzuführen, ist in besonders sensiblen Fälle bekannt geworden, in denen Know-How Schutz
Bereichen von großer Bedeutung. So kann es in großen nicht gegriffen hat und Daten unkontrolliert das Unter-
Konzernen durchaus sinnvoll sein, eine Zutrittskontrolle nehmen verlassen haben. Auch hier ist häufig nicht
zur Vorstandsetage einzurichten, um einen entspre- bekannt, wer dafür verantwortlich ist und entsprechend
chenden Personenschutz von Geheimnisträgern zu den Gesetzen belangt werden muss. Grundsätzlich ist
erreichen, die wohl auch Know-How in sich verbergen. auch hier die Frage der Haftung des Unternehmers zu
Aber auch ein Zutritt zu einem Forschungslabor sollte betrachten. Die grundsätzliche Verantwortung liegt nach
nur für befugte Personen ermöglicht werden. wie vor bei dem Unternehmer, die in wenigen Fällen auf
Bei der Umsetzung von offensichtlichen Maßnahmen IT-Leiter abgegeben werden kann.
im Zuge von Know-How Schutz ist es empfehlenswert, Es ist wichtig zu beachten, dass gewerbliche Schut-
dass eine Awareness für die Mitarbeiter ausgearbeitet zrechte, Informationsschutz und Urheberrecht ineinander
wird, die diese als Teil der Umsetzung betrachtet. Die wirken und ein Schutzsystem bilden können. Das erfor-
Mitarbeiter eines Unternehmens sollten sich nicht als die dert konsequentes Handeln. Eine Verletzung im Sinne
überwachten Personen betrachten oder fühlen, sondern von Know-How Schutz wird häufig weder angezeigt

Abbildung 2. Gruppen und deren Verschachtelungen innerhalb des Active Directory und deren Rechtemanagement

26 6/2010
Das Ziel für
IT-Sicherheits-
Verantwortliche:

it·sa Nürnberg,
19.-21.Okt.2010

it-sa 2010:
Treffpunkt der IT-Security Branche
+ONGRESSE 4AGUNGEN 7ORKSHOPS 3EMINARE

!USSTELLERMIT,¾SUNGENZU)NFORMATIONS
3ICHERHEIT $ATENSCHUTZ (ARDWARE 3ICHERUNGUND
3ECURITY !WARENESS

.ON 3TOP 6ORTRAGSPROGRAMMAUFGRO¨EN&OREN


MIT+URZREFERATEN 0ODIUMSDISKUSSIONEN 
,IVE $EMOSUND"EST 0RACTICE "EITR­GEN

'UIDED4OURSVONUNABH­NGIGEN#ONSULTANTS

.EUE4HEMENÈ­CHEa$ASPERFEKTE2ECHEN Nürnberg,
ZENTRUM 0LANUNG "AU 4ECHNIKk 19.- 21.Okt. 2010

*ETZTINFORMIERENUND
6ERANSTALTER3ECU-EDIA6ERLAGS 'MB( .EWSLETTERANFORDERN
0OSTFACH $ )NGELHEIM 
4ELEFON   &AX  WWWIT SADE
ABWEHR

noch verfolgt, da diese Vorfälle nicht gemeldet werden. mehr als unterstützend sein kann für die Administration
Unternehmer sollten sich darüber bewusst sein, dass von Zugriffsrechten über das Active Directory.
Absatz- und Umsatzverluste nach einer Zeit eintreten Hier greift das System 8Man [4] ein, um Administra-
und das Unternehmen nachhaltig schädigen. Man darf toren und IT-Verantwortlichen ein Tool in die Hand zu
nicht darauf vertrauen, dass Kunden stets das Original- geben, mit dem eine Überwachung und Auswertung
Produkt kaufen würden, wenn vergleichbar ein Plagiat deutlich vereinfacht wird. Aber nicht nur die reine Ve-
für deutlich weniger Geld am Markt vorhanden wäre. reinfachung ist von Bedeutung, sondern das Berech-
tigungsmanagement ist effektiver möglich. So besteht
8Man hilft, Know-How Schutz zu verbessern die Möglichkeit der grafischen Darstellung von Nutzer-
Anders ist es im technischen Bereich, wo häufig noch rechten und Zugriffsrechten aller Benutzer, die in einem
sehr nachlässig mit dem vorhandenen Know-How umge- Active Directory eingetragen sind. Das ist übersichtli-
gangen wird, welches ja für viele Unternehmen faktisch cher und meist auch verständlicher für die Anwender.
das Kapital bedeutet und eine Existenz am Markt sichert. Besonders attraktiv in 8Man ist unter anderem, dass
Häufig greifen hier technische Mittel, die dem Schutz alle Eingriffe in das Berechtigungsmanagement eines
von Daten mit den Systemen mitgeliefert werden, jedoch Active Directorys aufgezeichnet und dokumentiert wer-
zeitgemäß nicht mehr ausreichend sind. den, nebst einer entsprechenden Nachweispflicht für
In sehr vielen Unternehmen kommen Windows Server den Berechtigten, der eine entsprechende Veränderung
zum Einsatz, die durch das Active Directory eine prak- durchführt.
tikable Lösung anbieten, Userrechte auf Dateien und Hier muss exakt begründet werden, warum eine
Ordner zu vergeben und diese zu verwalten. Was jedoch Berechtigung geändert wird, bevor diese aktiv werden
schwer möglich ist, ist die vollständige Überwachung der kann. Im Zusammenhang mit dem Schutz von Know-
tatsächlichen Zugriffe mit den entsprechenden Rechten How ist dies eine technische Raffinesse, die eine „Übe-
und welche Rechte sich auch verändert haben. Ebenso rwachung“ praktikabel und sehr übersichtlich macht.
ist eine vollständige Auditierung für einen Administrator Selbst wenn Außendienstmitarbeiter oder externe Be-
oder Verantwortlichen schwer zu bewerkstelligen. rater im Hause sind, hat 8Man hier eine Lösung parat,
Gerade im Zusammenhang mit Know-How Schutz zeitlich begrenzt das Berechtigungsmanagement zu
ist eine technische Lösung dann interessant, wenn sie steuern und entsprechend zu überwachen.

Abbildung 3. Strukturübersicht in 8Man

28 6/2010
Know-How Schutz mit Unterstützung schafft mehr Sicherheit

Es kann in manchen Unternehmen wichtig sein, dass 8Man setzt hierbei auch auf das bekannte Integrated
ein externer Berater für einige Zeit auf bestimmte Ve- Data Security Management, mit dem ein automatisier-
rzeichnisse und Ordner zugreifen muss. In der Praxis tes Berechtigungsmanagement ermöglicht wird.
vieler Unternehmen wird dann dieser externe Berater in
das Active Directory aufgenommen und schnell ist ver- Fazit
gessen, diesen Berater nach Beendigung seiner Tätigke- Im Zuge der zunehmenden Wirtschaftskriminalität und der
it wieder zu deaktivieren oder zu löschen. Solche aktiven ansteigenden Wirtschaftsspionage ist es von großer Bedeu-
Verstöße werden in Unternehmen häufig erst zu spät tung, das Kapital eines Unternehmens in Form von Know-
entdeckt und eine Überwachung ist auch kaum möglich. How nachhaltig zu schützen. Nicht nur die reine menschliche
Eine leicht zu bedienende, grafische Oberfläche bietet Betrachtung sollte dabei im Vordergrund stehen, sondern
dem Berechtigten des Systems eine schöne Übersicht, vielmehr auch der Einsatz technischer Lösungen, die den
schnell und effektiv in das Berechtigungsmanagement Versuch des Diebstahls von Know-How unterbinden. Auch
einzugreifen und so Ordnung in den Zugriffsrechten zu wenn Unternehmen für sich nicht feststellen können, dass
schaffen. Aktiv unterstützt dabei 8Man derzeit das Mic- Know-How im Unternehmen vorhanden ist, so besteht die
rosoft Active Directory der Windows Server Umgebun- Möglichkeit, dass Wettbewerber und/oder Konkurrenten
gen, Fileserver, Sharepoint oder Microsoft Exchange. ein besseres Bild darüber haben. Sei es durch vorheriges
Wichtig ist auch die ausgezeichnete Unterstützung der Ausspähen von Mitarbeitern oder Abfangen von Informatio-
Sprachen Deutsch, Englisch und Russisch. nen durch Zulieferer oder externe Mitarbeiter. Damit steigt
Bei der Visualisierung wurde darauf geachtet, dass ein- auch die Gefahr und das Bedrohungspotential, Opfer von
fach und übersichtlich auch erkennbar ist, in welcher Be- Wirtschaftsspionage und Know-How Diebstahl zu werden.
ziehung Active Directory User zu Verzeichnissen stehen Technische Lösungen wie 8Man bieten hier eine ausge-
und man kann Vergleiche zwischen beiden herstellen. zeichnete Möglichkeit, ein bestehendes Active Directory
So ist es möglich, dass der berechtigte Anwender von deutlich einfacher, zeitlich geringer und übersichtlicher zu
8Man zwischen unterschiedlichen Darstellungen wählen administrieren und auch zu überwachen.
kann. So ist eine Baumansicht, dynamische Grafik oder Bei dem Einsatz von Software auf Server- und Clientbasis
auch Listenansicht verfügbar, die gewählt werden kann. sollte darauf geachtet werden, welche bestehenden oder
Aktuelle Neuerungen sind unter anderem die Unter- anzupassenden Datenschutzregeln zu beachten sind.
stützung für Multidomänen, was in größeren Umge- Der Schutz personenbezogener Daten ist ein wichti-
bungen durchaus sinnvoll ist und für mehr Transparenz ger Bestandteil und sollte nicht zwingend den rein wir-
sorgen kann. Fileserver Systeme wie NetApp werden tschaftlichen Interessen eines Unternehmens weichen.
auch unterstützt und geben 8Man eine große Vielfältig- Ein Datenschutzberater dürfte hier eine Hilfestellung
keit an Einsatzmöglichkeiten. Grundsätzlich sei gesagt, bieten, wenn Unsicherheit herrschen sollte und nicht
dass der Einsatz des 8Man Systems je Active Directory klar ist, ob eine Regelung im Unternehmen ausreichend
User in Lizenz gestellt wird und so unnötige Lizenzen erscheint. Es muss besonders hervorgehoben werden,
oder überteuerte Gebühren nicht anfallen. dass eine entsprechende Einführung einer Software
Hat man 8Man im laufenden Betrieb, ist man damit im- wie 8Man von einer Awareness-Kampagne begleitet
mer auf dem aktuellen Stand von Usern und Verzeichnis- werden kann, da dies zur Stabilität der Sicherheit und
sen innerhalb eines Berechtigungsmanagements des da- Sensibilität der Mitarbeiter führt.
für eingebundenen Active Directorys. Durch die ständige Auch das Verständnis für Maßnahmen im Zuge von
Überwachung und Aufzeichnung von Veränderungen oder Know-How Schutz, gerade durch den Einsatz von pro-
Vererbungen kann es durchaus unübersichtlich werden. fessioneller Software wie 8Man, wird durch Awareness
Recht schnell kann man auch nachträglich mittels 8Man deutlich verstärkt.
die erforderlichen Veränderungen vornehmen und dabei
als Verantwortlicher die wertvolle Arbeitszeit sparen. MARKO ROGGE
Grundsätzlich spielt die Zeit bei der Administration Marko Rogge ist Senior Security Consultant bei der Leading Se-
von Rechten eines Active Directorys eine wesentliche curity Experts GmbH und kann auf viele Jahre Erfahrung als Ana-
Rolle und kann durch 8Man deutlich verkürzt werden. lyst, Penetration Tester, Referent und Autor zu Themen der IT-Si-
cherheit zurückblicken. Schwerpunkte seines Engagements sind
IT-Grundschutz, IT-Sicherheitsüberprüfungen, IT-Security, Da-
Verweise:
tenschutz und Zertifizierungen in Unternehmen sowie die Inter-
• [1]: http://dejure.org/gesetze/UWG/17.html netzensur. Marko Rogge ist Kooperationspartner der Leiner &
• [2]: http://dejure.org/gesetze/UWG/18.html Denzer GmbH und ist Spezialist in der Erstellung von ganzheitli-
• [3]: Spurensuche in Linuxsystemen: http://www.tecchan- chen Sicherheitsstrukturen, der Durchführung von IT-Sicherheit-
nel.de/server/linux/2024733/linux_angriffe_entdecken_sy-
süberprüfungen sowie Ereignismanagement in Fällen von Beein-
steme_und_netzwerk_ueberwachen/
• [4]: 8Man http://www.protected-networks.com/ trächtigungen der Geschäftstätigkeiten durch IT–Kriminalität.
Kontakt: marko.rogge@lsexperts.de, www.lsexperts.de

hakin9.org/de 29
UNTERNEHMENS- UND IT-SICHERHEIT STUDIEREN

Warum Unternehmens-
und IT-Sicherheit
studieren?

D
ie Sicherheit von Computer-Systemen und Da- einem Dach. Der siebensemestrige Bachelor bietet ei-
ten wird in der digitalen Informationslandschaft ne umfassende Ausbildung für Sicherheitsmaßnahmen
immer mehr zu einem zentralen Problem. Beim im Zusammenhang mit der Organisation und dem Be-
elektronischen Geldverkehr, der Verwaltung elektro- trieb von Computersystemen und Netzwerken sowie
nischer Dokumente und dem Umgang mit personen- der Übertragung, Speicherung und Archivierung von
bezogenen Datenbeständen sind Sicherheit, Schutz elektronischen Daten und zur Sicherstellung der Infor-
vor nicht autorisiertem Zugriff und Missbrauch von vi- mationssicherheitsprozesse in Unternehmen und Ver-
talem Interesse. Hier entsteht daher ein großer Markt waltungen.
für Experten, die sowohl die technischen Kenntnisse
für einen sicheren IT-Betrieb beherrschen, aber auch Kernkompetenzen
mit betriebswirtschaftlichem Denken und Management- Die Studierenden erlangen in diesem Studiengang un-
Aufgaben vertraut sind. Dazu gehören Risikoanalysen, ter anderem die folgenden gefragten Qualifikationen:
die Erstellung von Sicherheitspolicies, Mechanismen
zur Zugangskontrolle, Backup und Desaster Recove- • Solide technisch-naturwissenschaftliche Grundla-
ry, sowie ein organisiertes IT-Incident Management für gen
Unternehmen und deren kritische IT-abhängige Struk- • Fundiertes Know-how in moderner Computertech-
turen. nik und Informatik
IT-Sicherheitsexperten müssen über ein fundiertes • Expertenwissen auf dem Gebiet der IT-Sicherheit
Spezialwissen verfügen, um sich auf wechselnde Ein- und Neuer Medien im digitalen Zeitalter der Wi-
satzgebiete und Aufgaben einzustellen. Globale Verne- ssensgesellschaft
tzung, wachse nder internationaler Datenaustausch • Betriebswirtschaftliches Denken
und die Offenheit des Internets erfordern geeignete Si- • Unternehmensorganisation und -kommunikation
cherheitsmaßnahmen. • Personalführung, Projektmanagement
Neben Qualifikationen zu Problemlösungen im tech- • Konzeption, Konfiguration und Betrieb sicherer
nischen Bereich müssen Bewusstseinsbildung, Gru- Computernetze durch detaillierte Kenntnisse im
ppendynamik und prozessorientierte Umsetzung erfasst Bereich modernster Software-, Computer und Ko-
und Mitarbeitern sowie Management entsprechend mmunikationstechnologien
kommuniziert werden. Projektmanagement, Contro- • Praktische Kenntnisse von Methoden und Tools zu
llingaktivitäten und Rechtssicherheit runden das Be- Schwachstellenanalysen und der Entwicklung von
rufsbild ab. Software für sichere IT-Systeme

Ziel und inhaltliche Ausrichtung Den Studierenden wird ein anwendungsbezogenes,


Einzigartig an einer deutschen Hochschule realisiert herstellerunabhängiges und produktübergreifendes
der Bachelor-Studiengang Unternehmens- und IT-Si- Know-how in den Bereichen Daten- und Prozesssi-
cherheit die Verschmelzung der Kompetenzfelder Be- cherheit, IT-Schutzmechanismen, sowie deren Inte-
triebswirtschaft, Informatik und IT-Sicherheit unter gration in den Unternehmensworkflow vermittelt. Die

30 6/2010
UNTERNEHMENS- UND IT-SICHERHEIT STUDIEREN

Abbildung 1. Beste Aussichten: exzellente Studienbedingungen im Medien-Neubau

hierbei erworbenen Fähigkeiten ermöglichen ihnen • in leitender Position für Sicherheit sowie
im späteren beruflichen Einsatz branchenunabhän- Management-Positionen in Unternehmen
gig die sicherheitsrelevanten Erfordernisse für ein • in der System- und Sicherheitsadministration bei
Unternehmen zu erkennen und anzuwenden.Zudem allen Formen von Online-Diensten, E-Commerce
werden die wesentlichen Aspekte aus Technik, Ma- Betreiber, Banken, Internet Service Provider,
nagement und Recht in praktischen Übungen ange- Landes- und Bundesbehörden wie BSI, LKAs, BKA
wendet und vertieft. Englisch als zusätzliche Fach- • bei der Konzeption und Realisierung von Informations-
sprache, Persönlichkeitsbildung und die Ausprä- systemen zur Verarbeitung von sensiblen Daten, z.B.
gung sozialer Kompetenz und Kommunikationsfähig- im Justizbereich, Gesundheits- und Sicherheitswesen
keit durch praktische Teamarbeit, Gruppenarbeit in • in Positionen im schnell wachsenden Feld der IT-
Laboren, Praktika und Seminaren sind wichtige be- Sicherheitsberatung, z.B. Unternehmenszertifizie-
gleitende Elemente während der gesamten Ausbil- rungen (ISO 27001, BSI IT-Grundschutz, etc.
dungsdauer. • als IT-Security Coordinator, Netzwerk- und Securi-
ty-Spezialist oder als Technology Solution Architect
Berufsfelder und Karrierechancen IT Security
Die Verbindung von Kenntnissen im Bereich IT-Sicher- • als Systemingenieur/in bzw. Softwareentwickler/in
heit und wirtschaftlichem Know-how prädestiniert die IT-Security, System-Administrator im Security-Um-
Studierenden dieses Studiengangs für projektübergrei- feld
fende berufliche Aufgaben. Erworbenes Wissen und • bei der Realisierung von Online-Mediensystemen,
Fertigkeiten garantieren den Absolventen herausra- z.B. PayTV, Video-On-Demand
gende Arbeitsmarktbedingungen mit zahlreichen Be- • bei der Konzeption und Realisierung von Langzeit-
schäftigungsfeldern, z.B. archiven, z.B. Bild, Ton- und Filmarchive, Doku-
mente, Akten, Prozessdaten, Prüfprotokolle, etc.
• als Verantwortliche bei der Realisierung von Sicher-
heitskonzepten für vernetzte Informationssysteme Informationen zum Studiengang
(Internet, Intranet, Extranet) http://portal.mi.fh-offenburg.de/mi_site_docs/bachelor/
• bei der Verfolgung, Beweissicherung und Aufklä- units_allgemein.php
rung von Computerkriminalität

32 6/2010
ABWEHR

Was man heutzutage über


Antivirenprogramme wissen muss
Michael R. Heinzl

Unerfahrene Computernutzer erkundigen sich oftmals


nach einer guten Antivirenlösung. Empfehlungen stützen
sich hierbei häufig auf persönliche Präferenzen und
Erfahrungen, nur selten werden Kriterien erfragt, welche für
den Fragenden wichtig sein könnten.

A
uch die grundsätzlichen Funktionsweisen eines sweise bestimmte Befehlsfolgen und Eigenschaften,
Antivirenprogramms sind dem Fragenden oft- mögliche Schadsoftware erkannt, auch wenn sie noch
mals unklar, obwohl eine kurze Recherche und nicht explizit in einer Datenbank erfasst wurde. Die-
Einarbeitung in dieses Thema womöglich viele Fragen se Methodik stellt sich als immer wichtiger heraus, da
bereits im Vorfeld beantworten könnte. die Zeiträume, in denen neue Viren oder Abwandlun-
Zunächst wäre interessant zu wissen, für welche gen von bereits existierenden Viren erscheinen, immer
Plattform bzw. Betriebssystem eine Lösung gesucht kürzer werden. Eine gute Heuristik ist dennoch schwie-
wird und wie in etwa die Hardwarespezifikationen aus- rig, da Autoren von Schadsoftware meist ihre Entwi-
sehen. Für einen sehr alten Rechner kommen eventu- cklungen gegen die gängigsten Lösungen testen und
ell andere Antivirenprogramme in Frage, als für einen derartig modifizieren, dass sie nicht mehr erkannt wer-
neuen Computer oder Server. Auch wäre interessant zu den können.
wissen, ob tatsächlich nur ein Antivirenprogramm ge- Eine andere Technologie zur Erkennung von noch
sucht wird oder aber eine umfassendere Lösung, be- unbekannten Schadprogrammen ist eine Sandbox. Ei-
ispielsweise eine Suite, welche auch eine Firewall be- ne Sandbox simuliert, vereinfacht ausgedrückt, einen
reitstellt. Computer in einem Computer. Eine verdächtige Datei
Weitere Einschränkungen in einer guten Empfehlung wird in der Sandbox ausgeführt und analysiert. Hierbei
können getroffen werden, wenn man weiß, ob es sich kann untersucht werden, welche Routinen die Datei au-
um eine kostenlose Lösung handeln soll oder ob auch sführt und welcher Schaden womöglich auf einem rich-
ein kommerzielles Produkt in Frage kommt. tigen System verursacht worden wäre.
Ein 'gutes' Antivirenprogramm sollte möglichst viele Eine weitere Technologie, ähnlich wie Heuristik und
der oben genannten Kriterien erfüllen, aber auch häu- Sandbox, untersucht ebenfalls typische Verhaltens-
fige Updates und Aktualisierungen sind für den Endan- weisen und wird passend als Verhaltensanalyse bez-
wender wichtig. Eine hohe Erkennungsrate ist wohl mi- eichnet. Diese Technologie kommt nur bei Echtzeitü-
tunter einer der wichtigsten Kriterien für einen Benutzer. berwachung zum Einsatz, wobei die Aktionen eines
Hierbei gibt es verschiedene Methoden, wie ein Antivi-
renprogramm Schadsoftware erkennen kann.
Grundsätzlich vergleicht ein Antivirenprogramm po-
tenzielle Schadsoftware mit einer Signaturen-Daten-
bank, in der sehr viele bereits bekannte Viren und deren
'Familien' eingetragen sind. Diese Methode funktioniert
sehr schnell und einfach, erkennt aber leider nicht un-
bekannte, modifizierte oder neue Viren. Deshalb haben
sich Entwickler von Antivirenprogrammen neue Metho-
den einfallen lassen, um höhere Erkennungsraten zu
erzielen.
Eine Methode davon ist die sogenannte Heuristik.
Hierbei wird durch gewisse Charakteristiken, beispiel-

34 6/2010
Was man heutzutage über Antivirenprogramme wissen muss

Programms auf dem tatsächlichen Computer durchge- dend gesehen werden.


führt werden. Durch bestimmte Regeln, beispielswei- Ein Antivirenprogramm stellt kein Allheilmittel dar
se dem Überschreiten einer bestimmten Reizschwelle und man sollte sich nie gänzlich alleine auf ein solches
(Überschreiben von bestimmten Dateien, Durchführung verlassen. Dennoch bieten Antivirenprogramme einen
von ‘verdächtigen‘ Aktionen etc.) kann eingeschritten zusätzlichen Schutz und helfen vor allem auch oftmals
und Maßnahmen getroffen werden. unerfahrenen Nutzern, welche noch keine Erfahrung
Nachteilig bei den genannten Methoden ist eine oder ein Gefühl für Awareness besitzen.
höhere Fehlalarmquote, d.h. dass auch nicht-bösar-
tige Software fälschlicherweise als solche eingestuft
und behandelt werden kann. Die Sandbox-Technologie
stellt sich zudem als relativ ressourcenintensiv und ver-
gleichsweise langsam dar, weshalb sie überwiegend in
Labors von Antiviren-Herstellern zum Einsatz kommt.
Ein gutes Antivirenprogramm sollte Viren und Malwa-
re im Allgemeinen nicht nur erkennen, sondern natür-
lich auch entsprechend darauf reagieren können. Aus
Endanwender-Sicht vermag dies durchaus als Selb-
stverständlichkeit betrachtet werden, dennoch gibt es
vereinzelt auch Lösungen, welche Probleme mit einer
sauberen und kompletten Entfernung des Schädlings MICHAEL R. HEINZL
haben. Natürlich unterscheiden sich Schädlinge oftmals Der Autor beschäftigt sich mit IT-Security, insbesonde-
grundlegend untereinander, dennoch säubern manche re mit Penetration Testing und Reverse Engineering. Kon-
Antivirenprogramme schlichtweg besser und gründli- taktmöglichkeit besteht über das österreichische Securitypor-
cher als andere. Es sollte demnach nicht als selbstre- tal www.defense.at od. über www.awesec.com

w e r b u n g

Was Sie schon immer über


E-Mail-Security
Compliance Anti-Spam
Anti-Malware E-Mail-Archivierung
E-Mail-Sicherheit am Gateway & Desktop
wissen wollten ...
NEU! n los dow
nloaden
:
k o s t e
Jetzt .de/
w .S e a rc hSecurity
ww ium/
Kompend

hakin9.org/de 35
DATENSCHUTZ

Trend der E-Mail-Verschlüsselung:


Anwenderfreundlichkeit im Fokus
Ulrike Peter

Milliarden ungesicherte E-Mails werden täglich über


das Internet transferiert. Insbesondere Verwaltungen,
Wirtschaftsprüfer, Notare und andere Unternehmen, die auf
elektronischem Weg hochsensible Daten austauschen, sind
jedoch gesetzlich zum Datenschutz verpflichtet.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Welchen Datenschutzrichtlinien Unternehmen hinsichtlich • Kein spezielles Vorwissen.
E-Mail-Sicherheit unterliegen;
• Wie sich Unternehmen schützen können und den gesetzli-
chen Richtlinien gerecht werden;
• Wohin sich der Trend in der E-Mail-Verschlüsselung entwi-
ckelt.

I
n der Vergangenheit scheiterte die Umsetzung der fischen Bestimmungen den Umgang mit personen-
Sicherheitsrichtlinien oft an der Tatsache, dass bezogenen Informationen, die in IT-Systemen oder
die meisten E-Mail-Verschlüsselungslösungen zu manuell verarbeitet werden. Hierzu gehören alle Ein-
komplex sind und IT-Infrastrukturen als Voraussetzung zelangaben über persönliche oder sachliche Verhält-
erfordern, über die viele Unternehmen nicht verfügen. nisse einer bestimmten natürlichen Person wie u. a.
Der Trend geht daher mittlerweile klar in Richtung an- der Name, das Alter, die Adresse, das Geburtsdatum
wenderfreundliche Konzepte. sowie das Einkommen. Hiervon stark betroffen sind
Um gesetzeskonform zu handeln und die Privatsphä- die persönlichen Daten von Mandanten, Kunden,
re und die Integrität sowie gleichzeitig das Vertrauen Patienten und Lieferanten. Die persönlichen Daten
von Kunden, Lieferanten, Klienten etc. zu gewährlei- von juristischen Personen werden hingegen nicht
sten, müssen sich Unternehmen zunehmend mit dem geschützt.
Thema IT-Sicherheit auseinandersetzen. Hierzu zählen Personen besitzen ferner das Recht auf Auskunft
neben den notwendigen Sicherheitsmaßnahmen ver- ihrer Daten, Benachrichtigung, Sperrung, Berichti-
schiedene Organisationspflichten und in bestimmten gung oder Löschung, Widerspruch und darüber hi-
Branchen Geheimhaltungspflichten (z.B. bzgl. Bank-, naus können sie einen Schadensanspruch geltend
Mandanten-, Patienten- und TK-Geheimnis). Betreiber machen. Für die Durchsetzung ihrer Rechte kann die
von Telekommunikationsanlagen, die dem geschäfts- Person sich an die Datenschutzaufsichtsbehörde, an
mäßigen Einbringen von TK-Diensten dienen, sind ein Zivilgericht oder an die Strafverfolgungsbehörde
laut dem Telekommunikationsgesetz ebenfalls dazu wenden. Bei Nichtbeachten können verschiedene
verpflichtet, angemessene technische Vorkehrungen Maßnahmen wie ein Bußgeldverfahren oder ein Straf-
oder sonstige Maßnahmen zu treffen, um personenbe- antrag die Folge sein. Demzufolge legt der Gesetz-
zogene Daten zu sichern. geber Wert darauf, dass die datenschutzrechtlichen
Vorgaben in allen nicht öffentlichen Bereichen auch
Personen im Recht umgesetzt werden.
Eines der wichtigsten Gesetze in diesem Umfeld ist
das deutsche Bundesdatenschutzgesetz (BDSG). Es Datenschutz auf allen Ebenen
regelt gemeinsam mit den Datenschutzgesetzen der Um die rechtlichen Anforderungen in vollem Umfang
einzelnen Bundesländer und anderen bereichsspezi- erfüllen zu können und gesetzeskonform zu handeln,

36 6/2010
sollten Unternehmen sowohl ein Augenmerk auf die E-Mail-Verschlüsselung erfüllt rechtliche
Kommunikationsläufe intern als auch extern legen. Anforderungen
Dies beginnt im organisatorischen Bereich zumeist Der Versand personenbezogener Daten durch un-
mit der Ernennung eines Datenschutzbeauftragten, verschlüsselten E-Mail-Verkehr stellt einen Verstoß
der sich diesem Thema ausführlich widmet. Die gegen die Verpflichtung durch das BDSG zur Geheim-
externe Kommunikation mit Kunden, Lieferanten haltung bzw. der vertraulichen Behandlung von per-
etc. erfolgt zum größten Teil über das schnelle und sönlichen Daten dar. Da es sich beim Übertragungs-
einfach zu handhabende Medium E-Mail. Der größte medium Internet um ein offenes Netz handelt, in dem
Teil der E-Mail-Kommunikation geht unverschlüs- Daten leicht einsehbar sind, ist E-Mail-Verschlüsse-
selt über das Internet und stellt dadurch ein hohes lung für den Schutz unabdingbar. Täglich werden mil-
unternehmenskritisches Risiko dar. Dies ist eine oft liardenfach ungeschützte Nachrichten auf Basis des
unterschätzte Gefahr. Die strafrechtlichen Risiken E-Mail-Protokolls SMTP (Simple Mail Transfer Proto-
sind häufig nicht bekannt. Sind im Unternehmen col) versendet. Daher kann man als Absender einer
beispielsweise die erforderlichen IT-Sicherheits- E-Mail ohne zusätzliche Schutzmechanismen wie Si-
strukturen nicht oder unzureichend implementiert gnatur und Verschlüsselung nie sicher sein, ob der In-
worden, so riskiert der IT-Verantwortliche die Haf- halt der elektronischen Nachricht nach ihrem Versand
tung des Unternehmens und seiner eigenen Person, mitgelesen oder verändert wird.
d.h. er muss ggf. mit seinem Privatvermögen für Die vielfache Hilflosigkeit im Bereich Datenschutz
entstandene Schäden aufkommen. Anders als im beim Kontakt von Unternehmen insbesondere mit ex-
Strafrecht haftet der IT-Verantwortliche im Zivilrecht ternen Kommunikationspartnern zeigt sich zum größten
auch für Fahrlässigkeit. Teil dadurch, dass die Verantwortung durch Klauseln in

w e r b u n g

hakin9.org/de 37
DATENSCHUTZ

den Verträgen auf die Kunden bzw. Mandanten abge- Die allgemein bekanntere und gängige Methode, die
wälzt wird – und dies, obwohl die E-Mail-Verschlüsse- sich für vertraulichen E-Mail-Austausch mit Empfän-
lung durch IT-Lösungen längst auf einfache Weise zu gern und entsprechender Public Key Infrastructure eig-
bewältigen ist. net, ist die PKI-Verschlüsselung. Diese basiert auf den
Eine Möglichkeit, um den gesamten ausgehenden beiden international etablierten Standards für E-Mail-
E-Mail-Verkehr zu verschlüsseln und zu signieren, stellt Verschlüsselung und -Signatur S/MIME und OpenPGP.
der Einsatz einer zentral gesteuerten IT-Lösung dar. Sie stehen für Secure Multipurpose Internet Mail Exten-
Um den administrativen Aufwand so gering wie möglich sions sowie Open Pretty Good Privacy.
zu halten, muss die zentrale Lösung auch eingehende Auf Grund der zunehmend starken Vereinfachung
Nachrichten entschlüsseln und eine Signaturüberprü- und Anpassung an die Anforderungen von Unterneh-
fung der signierten E-Mails durchführen. Hierzu gibt men jeglicher Größenordnung eignen sich E-Mail-
es andererseits clientbasierte IT-Lösungen, die sich Verschlüsselungslösungen sowohl für SOHOs als
allerdings auf Grund des extrem hohen administrativen auch KMUs und Großunternehmen. Hersteller wie
Aufwands und der umständlichen Bedienung nicht als die Zertificon Solutions GmbH stellen sich auf diese
alltagstauglich erwiesen haben. Demzufolge haben sich Entwicklung ein und richten ihre Lösungen für E-Mail-
die zentral gesteuerten IT-Lösungen, die eine Passwort- Sicherheit an den unterschiedlichen Bedürfnissen
oder die PKI-basierte Verschlüsselung ermöglichen, aus. Die „Z1 SecureMail“-Produktfamilie beinhaltet
durchgesetzt. sowohl Lösungen mit den klassischen PKI-Verfahren
als auch mit der Passwort-basierenden Methode.
Trend: Einfache Verschlüsselung via PDF Vorteile wie Hochverfügbarkeit, Skalierbarkeit und
Um mit einer zentralen, Server-basierenden oder einer Modularisierung tragen dazu bei, dass sich derartige
Client-basierenden IT-Lösung verschlüsselte E-Mails zu Systeme in unterschiedlichen Branchen wie Gesund-
versenden, ist es in der Regel erforderlich, ein digitales heitswesen, Energieversorgung, aber auch beispiels-
Zertifikat (vergleichbar mit einem digitalen Personalaus- weise bei Rollouts von Bundesländern durchgesetzt
weis) des Empfängers der verschlüsselten Nachricht haben.
zu besitzen. Das digitale Zertifikat, auch öffentlicher
Schlüssel genannt, wird durch ein vertrauenswürdiges Fazit
Trust Center ausgestellt und bestätigt. Die Bestätigung Unternehmen sind verpflichtet, die Privatsphäre
ist notwendig, um zu garantieren, dass der verwendete ihrer Kunden ausreichend zu sichern. Insbeson-
öffentliche Schlüssel auch zum designierten Empfän- dere Anwaltskanzleien, Banken, TK-Unternehmen
ger gehört. Das Trust Center agiert dabei als eine Art etc. verfügen über sensible und vertrauenswürdige
Meldeamt und stellt sicher, dass das erstellte Zertifikat Kundendaten, die es zu schützen gilt. Nicht zuletzt,
eindeutig der Person oder dem Unternehmen zuzuord- weil dies durch den Gesetzgeber geregelt ist, sollten
nen ist. diese ihrer Verantwortung nachkommen. Durch
Probleme entstanden hierbei in der Vergangenheit, Lösungen für einen vertraulichen/verschlüsselten
da nicht jeder potenzielle Empfänger einer E-Mail ein E-Mail-Austausch über das Internet können Unter-
eigenes vertrauenswürdiges Zertifikat besitzt. Dieses nehmen das Recht ihrer Kunden auf Privatsphäre
Problem kann durch einfache Passwort-basierende und Integrität sichern. Durchsetzen werden sich
Verschlüsselungslösungen behoben werden. Die- dabei insbesondere anwenderfreundliche Konzepte
se erfordern keine Zertifikate mehr, um vertrauliche wie die Passwort-basierende Verschlüsselung auf
E-Mails verschlüsselt über das Internet zu externen PDF-Basis.
Kommunikationspartnern zu befördern, und etablie-
ren sich derzeit mehr und mehr als Server-basierte
Lösungen mit vollautomatisiertem Passwort-Manage-
ment in Unternehmen jeglicher Größen. Die Nachricht
wird dabei als Passwort-verschlüsselte PDF-Datei per
E-Mail oder über SSL-Verschlüsselung (Secure So-
ckets Layer) via HTTPS ausgetauscht. Diese Pass- ULRIKE PETER
wort-basierenden IT-Lösungen ermöglichen es Un- Der Autorin ist freie Journalistin und seit zehn Jahren für un-
ternehmen, auf einfache Weise mit ihren Mandanten, terschiedliche Unternehmen und Medien in der IT-Branche
Kunden und Lieferanten sensible Informationen und tätig. Ihre Spezialisierung liegt hierbei auf den Themenberei-
Daten auf dem schnellsten Wege via E-Mail auszutau- chen ICT-Security, Netzwerke und Telekommunikation. Ihre
schen. Denn das automatisierte Passwortmanagement Veröffentlichungen erstrecken sich über renommierte Medien
zentraler Lösungen ersetzt für die externen Empfänger aus der Fachpresse bis hin zu Tages-, Online- und Wirtschafts-
den komplexen Zertifikats-Ausstellungsprozess bei medien sowie vertikaler Branchenpresse.
Trust Centern. Kontakt z autorem: gal.anonim@software.com.pl

38 6/2010
Studium

Bachelor-Studiengang ITSecurity
Master-Studiengang Information Security
IT-Infrastruktur sichern und managen.
Das Studium vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruk-
tur. Die Kombination aus Technik- und Managementwissen ist in Österreich einzigartig.
Sie bildet die Grundlage für die zukünftigen Security-ExpertInnen im Unternehmen, die
sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb beherrschen als auch
mit Management-Aufgaben vertraut sind.

Immer mehr Prozesse eines Unternehmens werden Der Master-Studiengang Information Security ist
EDV-unterstützt abgebildet und abgewickelt. als konsekutiver Studiengang auf dem Bachelor-
Computerviren, Hacker, Datenverluste, Webattacken Studiengang IT Security aufgebaut.
usw. stellen somit eine Bedrohung für die IT-Infra- Im Masterstudiengang wird der praktische Kompe-
struktur eines Unternehmens dar. Immer wieder hört tenzerwerb durch fächerübergreifende Problemstel-
man, dass hochsensible Daten verloren gehen oder lungen, Forschungsseminare, Projekte und der
in falsche Hände geraten. Bei einem Ausfall der wissenschaftlichen Abschlussarbeit (Diplomarbeit)
IT-Infrastruktur können wichtige Tätigkeiten nicht sichergestellt.
mehr erledigt werden, was zu einem beträchtlichen Diese 2-stufige Ausbildung macht die Absolvent-
finanziellen Schaden für das Unternehmen führen Innen zu gefragten ExpertInnen.
kann.
Daraus resultierend ergibt sich eine große Nachfrage Berufsfelder:
an Security-ExpertInnen, die sowohl die technischen J Sicherheitsbeauftragte/r (Chief Information-
Kenntnisse für einen sicheren IT-Betrieb aufweisen, Security-Officer)
als auch mit Management-Aufgaben vertraut sind. J Compliance Officer, Risikomanager
J IT-Governance ExpertIn
Ausbildungschwerpunkte: J Datenschutzbeauftragte/r
J AuditorIn
J IT-Betrieb
J IT Security Solution Engineer/Architect
J Netzwerktechnik
J Security-Consultant
J Sicherheitstechnologien
J IT Infrastructure Engineer
J Sicherheitsmanagement und Organisation
J Security Quality Assurance ManagerIn
J Transferable Skills
J Software Architect
J Software-Engineering
J IT-Solution Architect

Zertifizierungen Die AbsolventInnen sind qualifiziert, leitende und


planende Tätigkeiten auszuführen.
Im Rahmen des Studiums können folgende
Zertifizierungen erworben werden:
 CCNP – CISCO Career Certifications & Paths
 PHSE – PHION Security Engineer Get certified and
 MCITP – Microsoft Certified IT Professional you‘re on the spot!
 ITIL V3

Mit dieser Kombination aus Technik- und Management-


wissen zum/zur gesuchten SicherheitsexpertIn!

Fachhochschule St. Pölten GmbH


Matthias Corvinus-Straße 15, 3100 St. Pölten, Austria
T: +43/2742/313 228 - 632, E: is@fhstp.ac.at, I: www.fhstp.ac.at
DATENSCHUTZ

Rechtliche Aspekte der Spamfilterung für


Unternehmen und Administratoren
Peer Heinlein

Internet Service Provider, Arbeitgeber und Administratoren


haben beim Einsatz von Spam- und Virenfiltern viele
rechtliche Details zu beachten.

S
cheint der Einsatz entsprechender Filtermecha- Begriff der ”Sendung“ umfasst dabei auch E-Mails
nismen vordergründig selbstverständlich und ([TROEND06], x206 Rn. 13).
notwendig zu sein, droht dem Administrator die Geschäftsmäßig ist der Anbieter schon dann, wenn er
Strafbarkeit und dem Unternehmen die Haftungsfalle. den Dienst nur nachhaltig betreibt, auf eine Gewinner-
Arbeitsrechtliche Vorschriften machen den Einsatz von zielungsabsicht kommt es nicht an ([TROEND06], x206
Filtern innerhalb eines Betriebes zum aufwändig abzu- Rn. 2). Auch Gratis-Dienste und geschlossene Benu-
stimmenden Unterfangen. tzergruppen werden demnach vom Anwendungsbe-
reich des x206 II StGB erfasst. In der Praxis muss da-
Grundlagen her beim Betreiber eines Mailservers sehr schnell von
Für die nachfolgende Betrachtung der rechtlichen Pro- einem geschäftsmäßigen Telekommunikationsanbieter
bleme müssen die verschiedenen Rechtsgebiete sau- ausgegangen werden, so dass x206 StGB prinzipiell
ber voneinander getrennt werden: anwendbar ist.
Anvertraut ist eine Nachricht, wenn der Absender
• Das Strafrecht, mit dem der Staat den allgemeinen davon ausgehen kann, dass der nächste Server die
Rechtsfrieden sichert, indem besondere als sozial- E-Mail sicher empfangen hat und zustellen wird. In der
schädlich erachtete Verhaltensweisen sanktioniert technischen Praxis ist dies dann der Fall, wenn der
werden. Das Strafrecht wirkt sich damit nur indi- empfangende Server die erfolgreiche Übertragung der
rekt auf das allgemeine Zusammenleben der Bür- E-Mail mit dem SMTP-Statuscode ”250 OK“ quittiert
ger aus. und das einliefernde System daraufhin die E-Mail aus
• Das Zivilrecht, das das Verhältnis zwischen Kunde seiner Mailqueue gelöscht hat. Ein Anvertrauen ist im
und Anbieter regelt, also der Nutzungsvertrag und Umkehrschluss dann zu verneinen, wenn das empfan-
damit die Frage, ob der Anbieter seine Leistung gene System durch einen entsprechenden Fehlercode
vertragsgerecht erbringt und demzufolge auch An- (4xx bzw. 5xx) kenntlich gemacht hat, dass die Mail-
spruch auf angemessene Bezahlung hat. übertragung aus welchen Gründen auch immer nicht
• Das Öffentliche Recht, das nur unter Umständen erfolgreich war.
eine gewisse Rolle bei Spamfilterungen innerhalb Unterdrückt wird eine Nachricht dann, wenn sie ge-
eines Unternehmens spielt, beispielsweise wenn löscht, fehlgeleitet oder zurückgehalten wird ([TRO-
arbeits- und datenschutzrechtliche Vorschriften zu END06], x206 Rn. 15). Das einfache Verwerfen von
beachten sind. erkannten Spam und Virennachrichten (”DISCARD”)
verbietet sich demnach, während das Einfügen eines
Strafrechtliche Probleme SPAM-TAGs im Betreff oder ein Bounce an den Absen-
Auf Grund der Tatsache, dass die Sanktionierung im der keine Unterdrückung im Sinne des x206 II StGB
Strafrecht neben Geld- auch Haftstrafen für jeden Ein- darstellt. Das Parken einer solchen E-Mail in einem
zelnen nach sich ziehen kann, muss Konflikten mit dem Quarantäne-System ist wohl dann keine Unterdrü-
Strafgesetzbuch besondere Aufmerksamkeit geschenkt ckung, wenn der Empfänger darüber informiert wird und
werden. jederzeit leicht die Auslieferung der E-Mail veranlassen
x206 II StGB bedroht die unbefugte Unterdrückung kann. Allerdings sanktioniert x206 II StGB lediglich die
anvertrauter Sendungen für Inhaber und Beschäftigte ”unbefugte“ Unterdrückung anvertrauter Nachrichten.
von geschäftsmäßigen Telekommunikationsanbietern Es ist das gute Recht des Empfängers, darüber zu ent-
mit bis zu fünf Jahren Gefängnis oder Geldstrafe. Der scheiden, wie mit seinem Eigentum – den Nachrichten

40 6/2010
Rechtliche Aspekte der Spamfilterung für Unternehmen und Administratoren

– umgegangen werden soll. Liegt das Einverständnis Dritte verifizierte IP-Sperrlisten (RBL) mag je nach Aus-
des Empfängers vor, ist selbst das spurlose Löschen legung darunter fallen.
der Nachrichten zulässig. Um die Rechtssicherheit zu steigern, sollte der Anbie-
ter unbedingt entsprechende Klausen zum Eigenschutz
Zivilrechtliche Probleme in den Individualvertrag oder die allgemeinen Nutzungs-
bedingungen (AGBs) aufnehmen.
Zwischen Nutzer und Anbieter Ob in den AGBs eines Anbieters die grundsätz-
Zwischen Provider und Nutzer liegt i.d.R. ein -wie liche Festlegung einer allgemeinen Zustimmung
auch immer gearteter- Dienstvertrag vor, wonach der zur Spam- und Virenfilterung auch nach inhaltsbe-
Provider den Mailtransport zu erbringen hat. Filtert der wertenden Methoden zulässig ist, ist umstritten. Im
Provider ohne Einverständnis des Nutzers Spam und Zweifel sollte hier jeweils eine individuell vertrag-
Viren heraus, könnte dies prinzipiell als mangelhafte liche Vereinbarung (Opt-In) angestrebt werden.
Dienstleistung des Anbieters zu bewerten sein. Sofern Diese sollte sprachlich so gestaltet sein, dass der
der Nutzer nicht explizit einer entsprechenden Filterung Anbieter nicht einfach nur Spam herausfiltern darf,
zugestimmt hat, könnte er theoretisch vom Anbieter ein sondern etwas weiter formuliert die Erlaubnis er-
filterfreies Postfach fordern. hält, Spam- und Virenfilter einzusetzen. Ansonsten
Andererseits muss anerkannt werden, dass der Be- könnte gut argumentiert werden, dass sich das Ein-
trieb eines komplexen Netzwerkes wie dem Internet verständnis des Nutzers lediglich auf echten Spam
nur mit klaren Regeln, technisch sauber eingehaltenen bezogen hat. Das versehentliche Filtern einer echten
Protokollen und einigen Schutzmaßnahmen sicherzu- E-Mail (false positive) wäre sonst nicht vom Einver-
stellen ist. Die Grundlage dafür bilden die so genannten ständnis des Nutzers gedeckt gewesen.
”Request for Comments“ (RFC), die auch festlegen, wie
E-Mails übertragen werden und wie Mailserver konfigu- Zwischen Empfänger und Absender
riert sein müssen. Eine umfangreiche Beleuchtung aller Häufig werden als Spam erkannte Nachrichten von den
Details liefert [HEINL04]. Servern angenommen und lediglich markiert an den
Spam-Versender verstoßen häufig absichtlich oder Empfänger weitergeleitet. Auch echte E-Mails können
unabsichtlich gegen diese RFCs, beispielsweise weil so versehentlich in den Spamverdachts-Ordner ge-
DNS-Daten der Botnetze falsch konfiguriert sind oder langen. Wird auf Empfängerseite der Verdachtsordner
weil sich der einliefernde Mailserver zur Tarnung mit nicht richtig kontrolliert oder wird die als Spam markierte
einem falschen Namen anmeldet. Es ist unbestritten, E-Mail pauschal gelöscht, sind zivilrechtliche Haftungs-
dass Mailserver nicht alle E-Mail annehmen können, probleme zwischen Empfänger und Absender denkbar,
gleich wie regel- und protokollwidrig sich der einlie- wenn der Absender von einer erfolgreichen Zustellung
fernde Mailclient verhält. Spätestens wenn die tech- ausgehen durfte.
nische Kommunikation zwischen Client und Mailserver
nicht mehr funktioniert, wird der Mailserver die Nach- Besonderheiten bei Unternehmens-
richt nicht mehr empfangen können. Netzwerken
Das Recht des Nutzers auf Empfang seiner E-Mails
findet demnach seine Grenzen in den technisch not- Filterung ausschließlich geschäftlich
wendigen Anforderungen zum Betrieb des Netzwerkes genutzter E-Mail-Postfächer
und damit dem Schutz einzelner Server, aber auch der Relativ unproblematisch ist die Spam-Filterung ge-
Allgemeinheit seiner Nutzer. Es ist nicht unumstritten, schäftlicher E-Mails. Nicht der einzelne Mitarbeiter
aber gut nachvollziehbar, dass Mailserver bei eklatanten ist juristischer Eigentümer der empfangenen E-Mails,
RFC-Verstößen die Annahme von E-Mails auch verwei- sondern der Geschäftsinhaber oder Dienstherr als
gern können müssen, selbst wenn technisch gesehen Stellvertreter der juristischen Person. Ein Einver-
der Empfang der E-Mail noch möglich wäre. Auch im ständnis zur Filterung der geschäftlichen E-Mails
normalen Postverkehr wird analog der Transport von ist demnach einfach zu erteilen und juristisch un-
Sendungen mit Sicherheitsrisiken (Beispiel: Chemika- problematisch. Sofern vorhanden ist allerdings der
lien) oder bei fehlender Transportfähigkeit (Beispiel: Betriebs- oder Personalrat mit einem Kontrollrecht
fehlende Verpackung) vom Postdienstleister abgelehnt einzubeziehen, um einen Missbrauch der Filterfunkti-
werden dürfen. onen auszuschließen.
Der Nutzer kann damit mitnichten von seinem Anbie-
ter unumstößlich und unbegrenzt den Empfang aller Filterung auch privat genutzter E-Mail-Postfächer
E-Mails fordern, sofern der Anbieter im Rahmen der Ab- Bei privater Mail-Nutzung am Arbeitsplatz ist der
wägung beider Interessen nachvollziehbare und objek- Arbeitgeber i.d.R. als ”geschäftsmäßiger Telekom-
tiv überprüfbare technische Kriterien vorbringen kann. munikationsanbieter“ mit allen geschilderten Aus-
Die Prüfung des Clients gegen einschlägige und durch wirkungen anzusehen. Dies gilt auch dann, wenn

hakin9.org/de 41
DATENSCHUTZ

der Arbeitnehmer für die Nutzung kein Entgelt zu ternen juristischen Sachverstand zurückgegriffen wer-
entrichten hat. Der Nutzer müsste einer Filterung den, um die Beteiligten abzusichern. Eine gute Über-
seiner privaten E-Mails zustimmen. Ist eine kla- sicht bietet [STROEM02].
re technische Trennung zwischen privaten und
geschäftlichen E-Mails nicht mehr möglich, wird Quintessenz
dem Arbeitgeber ggf. die Filterung seiner eigenen Um die zivilrechtlichen Haftungsrisiken und strafrecht-
E-Mails zu versagen sein, sollte der Nutzer seine lichen Probleme zu vermeiden, sollten Spam und Viren
Zustimmung verweigern. vom Mailserver gar nicht erst erfolgreich angenommen
Eine Filterung nach Viren und anderer Schadsoftware werden. Auch das allseits beliebte Markieren der Spam-
muss auf Grund des vorrangigen Schutzes des Unter- Nachrichten (Tagging) schafft keine ausreichende
nehmensnetzwerkes stets möglich sein. Rechtssicherheit.
Filtertechniken wie Greylisting ([HEINL04a]) oder
Die betriebliche Praxis RBL können diese Überprüfungen in Echtzeit leisten.
bezüglich privater E-Mail-Nutzung Auch gute Anti-Spam-Software kann schon jede E-Mail
Oft fehlen Regelungen zur privaten E-Mail-Nutzung am während des Annahmeprozesses in Echtzeit filtern
Arbeitsplatz. Sollten innerhalb eines Betriebes tatsäch- ([HEINL04]). Erkannter Spam kann dann direkt gegen-
lich keinerlei Regelungen zur privaten E-Mail-Nutzung über dem einliefernden Mailserver mit einem SMTP-
vorhanden sein, ist grundsätzlich von einem Verbot Code 4xx, bzw. 5xx abgelehnt werden.
auszugehen. Der Arbeitgeber müsste die private Nut- Auch für Absender und Empfänger ist das Ablehnen
zung seiner Infrastruktur erlauben. der E-Mails im Falle eines false positive am erstre-
Doch auch bei einem schriftlich fixierten Verbot benswertesten, da der Absender dann umgehend eine
ist die aktuell ausgeübte betriebliche Praxis ent- Unzustellbar-Meldung erhält und über die nicht erfolgte
scheidend: Auch schriftliche Regelungen können Zustellung seiner Nachricht eindeutig informiert ist.
durch schlüssiges konkludentes Handeln fortlaufend Im Weiteren ergeben sich bei privater Nutzung einer
abgeändert werden. Das Verbot muss demnach ein- geschäftlichen E-Mail-Adresse nicht abzuwägende
gehalten und durchgesetzt werden. Vorgesetzte und Risiken für den Arbeitgeber, die zum Verlust seines
IT-Verantwortliche dürfen eine private Nutzung nicht Handlungsspielraumes führen können. Auch außerhalb
schweigsam dulden, geschweige denn fördern, sonst der Spam- und Virenfilterung hat die erlaubte private
ist alsbald von einer erlaubten privaten Nutzung aus- Nutzung schwerwiegende Konsequenzen: Aus daten-
zugehen. schutzrechtlichen Erwägungen wird der Zugriff des
Arbeitgebers auf Mitarbeiterpostfächer selbst bei langer
Arbeitsrechtliche Probleme für den Administrator Krankheit oder einem Ausscheiden des Arbeitnehmers
Ebenso wie bei anderen Straftaten – wie Diebstahl oder zu verneinen sein. Auch die neuerdings geforderte re-
Totschlag – kann der Administrator gegen x206 StGB visionssichere Archivierung aller ein- und ausgehenden
nicht anführen, er habe ”lediglich auf Anweisung seines Handelsbriefe kann nicht mehr umgesetzt werden, wenn
Vorgesetzten” gehandelt. Denn ob Anweisung, oder die Gefahr besteht, dass auch private E-Mails archiviert
nicht: Was strafrechtlich durch den Staat verboten ist, werden könnten.
kann nicht durch Anweisung eines Vorgesetzten legali- Hier kann einem Arbeitgeber nur geraten werden, die
siert werden. Rechtswidrigen Anweisungen des Vorge- private E-Mail-Nutzung zu untersagen und durchzuse-
setzten müsste sich der Administrator verweigern, was tzen, oder aber eine weitere technisch klar getrennte
zu schweren Konflikten im Arbeitsleben führen kann. Mailserver-Infrastruktur ausschließlich für die private
Dabei kann von keinem Beteiligten ein umfassendes Nutzung durch seine Mitarbeiter zu installieren und da-
Rechtswissen verlangt werden. Hier muss ggf. auf ex- mit eine klare Trennung vorzunehmen.

Literatur
• [TROEND06] Herbert Tröndle, Thomas Fischer, Strafgesetz-
buch, Beck Juristischer Verlag,
• München 2006
• [STROEM02] Tobias H. Strömer, Online-Recht, dpunkt.verlag,
Heidelberg 2002
• [HEINL04] Peer Heinlein, Das Postfix-Buch, Open Source
Press, München 2004
• [HEINL04a] Peer Heinlein, Verzögerungstaktik, Linux-Maga- ÜBER DEN AUTOR
zin 09/04, Linux New Media, Peer Heinlein (Dipl.Jur.) - Heinlein Professional Linux Support
• München 2004 GmbH
Kontakt: p.heinlein@heinlein-support.de

42 6/2010
Das Ziel für
IT-Sicherheits-
Verantwortliche:

it·sa Nürnberg,
19.-21.Okt.2010

it-sa 2010:
Treffpunkt der IT-Security Branche
+ONGRESSE 4AGUNGEN 7ORKSHOPS 3EMINARE

!USSTELLERMIT,¾SUNGENZU)NFORMATIONS
3ICHERHEIT $ATENSCHUTZ (ARDWARE 3ICHERUNGUND
3ECURITY !WARENESS

.ON 3TOP 6ORTRAGSPROGRAMMAUFGRO¨EN&OREN


MIT+URZREFERATEN 0ODIUMSDISKUSSIONEN 
,IVE $EMOSUND"EST 0RACTICE "EITR­GEN

'UIDED4OURSVONUNABH­NGIGEN#ONSULTANTS

.EUE4HEMENÈ­CHEa$ASPERFEKTE2ECHEN Nürnberg,
ZENTRUM 0LANUNG "AU 4ECHNIKk 19.- 21.Okt. 2010

*ETZTINFORMIERENUND
6ERANSTALTER3ECU-EDIA6ERLAGS 'MB( .EWSLETTERANFORDERN
0OSTFACH $ )NGELHEIM 
4ELEFON   &AX  WWWIT SADE
Recommended Sites

Datenschutz ist EU-weit gesetzliche Anforde- Dieses Projekt hat sich zum Ziel gesetzt, durch Die Seed Forensics GmbH bietet für Strafver-
rung. Wir sorgen für die Erfüllung rechtlicher ein unabhängiges Informationsangebot möglichst folgungsbehörden professionelle Unterstützung
Vorschriften und kümmern uns um ein ange- viel relevantes Wissen über Betriebssysteme in den Bereichen der Datensicherstellung und
messenes Datenschutzniveau in Ihrem Unter- bereitzustellen. Dazu werden möglichst viele Datenträgerauswertung. Selbstverständlich
nehmen, auch international. Informationsquellen einbezogen. entsprechen unsere Mitarbeiter, unser tech-
www.blossey-partner.de www.operating-system.org nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de

Securitymanager.de ist eine Produktion des


Online-Verlag FEiG & PARTNER. Seit dem Happy-Security ist ein neues Portal mit Secu- Anonmail bietet Sie frei verschlüsselte und
Start hat sich Securitymanager.de zu einem rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- sichert webmail an. Wir kombinieren den Kom-
führenden Online-Informationsportal in media-Center & vielen weiteren Features. fort von webmail mit maximaler Sicherheit.
Deutschland entwickelt und versteht sich als www.happy-security.de www.anonmail.de
unabhängiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de

JMIT bietet Ihnen individuelle Lösungen für Ihr AV-Comparatives geht hervor aus dem Inns-
Pericom base camp IT-Security: Unser Ziel ist Unternehmen an. Angefangen von Instand- brucker Kompetenzzentrum und gilt als eines
es, unsere Kunden vor möglichen Gefahren haltung und Wartung von einer EDV-Infrastruktur der bekanntesten unabhängigen Testhäuser
für Ihre IT-Infrastruktur bestmöglich zu schüt- bis hin zur Entwicklung von Software. Die Sicher- für Antiviren-Software.
zen. Neben der Analyse von Risikopotentia- heit Ihrer Daten wird bei den Tätigkeiten genau www.av-comparatives.org
len durch Security Audits bieten wir, durch berücksichtigt.
die Implementierung von Security-Lösungen, www.johannesmaria.at
Schutz vor konkreten Gefahren.
www.pericom.at

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org


Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
Administratoren und Netzwerkprofis.

www.easy-network.de

Hier findest Du alles, was das Herz eines


Computerfreaks höher schlagen lässt: Geek
Wear mit intelligenten Sprüchen, eine riesige
Auswahl Gadgets und natürlich auch viele
Hacker Tools.
www.getDigital.de
Recommended Companies

Mabunta secXtreme GmbH


Die mabunta GmbH agiert als hoch- schützt Ihre Web-Anwendungen bis
spezialisierter und kompetenter Partner auf Applikationsebene. Dazu gehört
rund um IT-Security- und Netzwerk-Lö- sowohl die Prüfung von Applikationen
sungen. Wir unterstützen bei IT-Sicher- (Pentests und Code-Reviews) als auch
heitsfragen in allen Unternehmens- Beratungsleistungen für Sicherheit im
bereichen, verbinden Wachstum mit Entwicklungsprozess und Schutzlö-
sicherer Kommunikation. sungen (Web Application Firewalls) bei
Alles in allem- mabunta „one-face-to- Großunternehmen und dem gehobenen
the-customer“, Ihr Spezialist in Fragen Mittelstand.
der IT-Sicherheit.
www.sec-Xtreme.com
www.mabunta.de

SEC Consult x-cellent technologies


SEC Consult ist der führende Berater x-cellent technologies ist als IT-Dienst-
SEC Consult für Information Security Consulting in leister und Beratungsunternehmen mit
den Schwerpunkten IT-Security, Netz-
Zentraleuropa. Die vollständige Unab-
hängigkeit von SW- und HW-Herstellern werkmanagement und Anwendungs-
macht uns zum echten Advisor unserer entwicklung tätig. Unsere IT-Security-
Kunden. Unsere Dienstleistungen umfa- Leistungen sind:Audits, Penetrationstests,
ssen externe/interne Sicherheitsaudits, IT-Securitymanagement, IT-
(Web-) Applikationssicherheit (ONR 17- Grundschutz, ISO 27001
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com www.x-cellent.com

Tele-Consulting GmbH B1 Systems


Vom BSI akkreditiertes Prüflabor für IT- Die B1 Systems ist international tätig
Sicherheit, hakin9 und c’t Autoren, jah- in den Bereichen Linux/Open Source
relange Erfahrung bei der Durchführung Consulting, Training und Support. B1
von Penetrationstests und Security-Au- Systems spezialisiert sich in den Be-
dits, eigener Security Scanner „tajanas”, reichen Virtualisierung und Cluster.
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte info@b1-systems.de
ISO 27001-Auditoren, VoIP-Planung www.b1-systems.de
und -Security

www.tele-consulting.com

art of defence GmbH Blossey & Partner


art of defence entwickelt Lösungen im Consulting Datenschutzbüro
Bereich der Web-Anwendungs-Sicher- Datenschutz ist EU-weit gesetzliche An-
heit. Unsere Software schützt Websites forderung. Wir sorgen für die Erfüllung
und Datenbanken gegen Hacker-An- rechtlicher Vorschriften und kümmern
griffe auf Anwendungs-Ebene wie z.B. uns um ein angemessenes Daten-
Phishing. Damit schließen wir die derzeit schutzniveau in Ihrem Unternehmen,
größte Sicherheitslücke von E-Business- auch international. Wir erledigen alle er-
Systemen. Egal ob Web-Farm oder klei- forderlichen Aufgaben, die Fäden behal-
ner Online-Shop. ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.artofdefence.com
www.blossey-partner.de

Protea Networks secadm


Protea ist spezialisiert auf IT-Security- secadm ist durchtrainierter Spezialist für
Lösungen: Verschlüsselung, Firewall/ Airbags, ABS und Sicherheitsgurte in der
VPN, Authentifizierung, Content-Filte- IT. Zehn IT-Sicherheitsexperten mit 70
ring, etc. Wir bieten umfassende Bera- Mannjahren Erfahrung beraten, entwi-
tung, Vertrieb von Security-Hard- und ckeln und implementieren IT-Lösungen
Software, Installation und umfangreiche für Kunden weltweit. Der Fokus liegt da-
Dienstleistungen (z. B. Konzeption, Trai- bei auf Themen wie Prozess-Optimierung
nings). Protea setzt auf Lösungen der und Security-Management. Risiko-Analy-
Markt- und Technologieführer und hält se, die Sicherheitsberatung, Auditing, Se-
dafür direkten inhouse-Support bereit. curity-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.proteanetworks.de www.secadm.de
Recommended Companies

NESEC Compass Security AG


NESEC ist Ihr Spezialist für Penetra- Das Dienstleistungsunternehmen hat
tionstests, Sicherheitsanalysen und sich auf Security-Assessments zur Ver-
IT-Security Counsulting. Das NESEC traulichkeit, Verfügbarkeit und Integrität
Pentest-Team unterstützt Sie bei Si- von Unternehmensdaten spezialisiert.
cherheitsprüfungen Ihrer Netzwerke Mittels Penetrationstests, Ethical Ha-
und Webapplikationen sowie bei Sour- ckings und Reviews beurteilt Compass
ce Code Audits. Bei Bedarf optimieren ICT-Lösungen hinsichtlich Sicherheits-
wir Ihre Policy, sensibilisieren Ihre risiken präventiv, spürt vorhandene
Mitarbeiter und zertifizieren Ihr Unter- Schwachstellen auf und unterstützt bei
nehmen nach ISO 27001. deren Beseitigung.

www.nesec.de www.csnc.ch

Seed Forensics GmbH m-privacy GmbH


Die Seed Forensics GmbH bietet IT-Sicherheitslösungen – funktional und
für Strafverfolgungsbehörden profe- einfach zu bedienen!
ssionelle Unterstützung in den So präsentieren sich die von m-privacy
Bereichen der Datensicherstellung entwickelten TightGate™-Server, z.B.
und Datenträgerauswertung. Selbst- TightGate™-Pro mit Datenschutz-Gü-
verständlich entsprechen unsere tesiegel. Es bietet als erstes System
Mitarbeiter, unser technisches Equip- weltweit einen kompletten Schutz vor
0ment und auch unsere Räumlichkeiten Online-Spionage, Online-Razzien und
den notwendigen Anforderungen. gezielten Angriffen!

www.seed-forensics.de www.m-privacy.de

Omicron
Omicron ist auf Sicherheit und Analysen OPTIMAbit GmbH
von Netzwerken und Systemen spe- Wir sind Spezialisten für Entwicklung
zialisiert und pflegt ein sehr sorgfältig und Security. Wir sichern Java, .NET
zusammengestelltes Service- und Lö- und Mobile Applikationen gegen Angriffe
sungsportfolio, um Firmen bei zentralen externer und interner Art. Unsere Diens-
und sicherheitskritischen Problemstellun- te umfassen Audits, Code Reviews, Pe-
gen kompetent unterstützen zu können. netrationstest, sowie die Erstellung von
Entsprechende Kurse und Ausbildungen Policies. Zusätzlich bieten wir Seminare
ergänzen das Angebot. zu sicherheitsrelevanten Themen.

www.omicron.ch www.optimabit.com

SecureNet GmbH, München underground_8


Als Softwarehaus und Web Application
secure computing gmbh
Security Spezialist bieten wir Expertise
Wir entwickeln und vertreiben security
rund um die Sicherheit von Webanwen-
appliances für die Bereiche Unified
dungen: Anwendungs-Pentests, Sour-
Threat Management, Traffic Shaping
cecodeanalysen, Secure Coding Gui-
und Antispam. Unsere Lösungen sind
delines, Beratung rund um den Software
hardwarebasiert und werden über Dis-
Develoment Lifecycle. Tools: Application
tributoren, Reseller und Systemintegra-
Firewalls, Application Scanner, Fortify
toren implementiert und vertrieben.
SCA/Defender/Tracer.
www.underground8.com
www.securenet.de
? Klar, am 21. &
22.08.2010
in Sankt Augustin!
Call for Papers
12.4. bis 23.5.

Deutschlands drittgrößte Free and Open Source


Software Conference feiert ihr 5jähriges Jubiläum!
Highlights dieses Jahr sind:

Hochkarätige Talks, Projekte und Workshops


Große Geburtstagsparty am Samstagabend
Hüpfburg
Creative Contest und vieles mehr

Weitere Infos auf www.froscon.de und auf twitter