Sie sind auf Seite 1von 60

LIEBE HAKIN9 LESER,

jetzt ist es soweit. Wir haben die Ehre, Ihnen unsere erste Online Hakin9 Ausgabe
zu präsentieren. Ein paar Wörter über das neue Konzept: Hakin9 wird ab Mai
2010 als Monatsmagazin und freie Digital-Publikation erscheinen.
Von nun an hat jeder Leser die Möglichkeit, unser Heft jeden Monat kosten-
los downzuloaden. Um das Magazin beziehen zu können, müssen Sie sich für
unseren Newsletter auf www.hakin9.org/de registrieren. Bei jedem Download
tragen Sie Ihre E-Mail-Adresse ein und Sie werden zum direkten Download wei-
tergeleitet. Nichts einfacher!
Wir möchten Sie gleichzeitig informieren, dass das Monatsmagazin 60
Seiten zählen wird; der Inhalt und Charakter der Hakin9 Ausgabe werden sich
aber nicht ändern.
Das Hauptthema unserer ersten Online Ausgabe ist Unternehmenssi-
cherheit. In dieser Hakin9 Ausgabe finden Sie interessante Beiträge über u.a.
Honeynet-Systeme, Disclosure Policies, Absicherung mobiler Datenträger.
Wir hoffen, dass unsere neue Online Ausgabe Ihre Zustimmung findet.
Jegliche Anmerkungen und Anregungen richten Sie bitte an: hakin9@org.de

Vielen Dank für Ihre Unterstützung!

Adrianna Witkowska
Chefredakteurin

Umschlagsentwurf: Agnieszka Marchocka Anmerkung!


herausgegeben vom Verlag: Werbung: adv@software.com.pl
Software Press Sp. z o. o. SK Die in der Zeitschrift demonstrierten Techniken sind
Anschrift: AUSSCHLIEßLICH in eigenen Rechnernetzen zu
Geschäftsführer: Paweł Marciniak Software Press Sp. z o.o. SK testen!
ul. Bokserska 1, 02-682 Warszawa, Poland Die Redaktion übernimmt keine Haftung für
Herausgeber: Ewa Łozowicka Tel. +48 22 427 36 56, Fax +48 22 244 24 59 eventuelle Schäden oder Konsequenzen, die aus
ewa.lozowicka@software.com.pl www.hakin9.org/de der
unangemessenen Anwendung der beschriebenen
Chefredakteur: Adrianna Witkowska Die Redaktion bemüht sich, dafür Sorge zu Techniken entstehen. Die Anwendung der darge-
adrianna.witkowska@software.com.pl tragen, dass die in der Zeitschrift sowie auf den stellten Techniken kann auch zum Datenverlust
begleitenden Datenträgern erhaltenen Informationen führen!
Redaktion/Betatester: Karolina Sokolowska, und Anwendungen zutreffend und funktionsfähig hakin9 erscheint in folgenden Sprachversionen und
Michael R. Heinzl, Marko Rogge, Chris John Riley, sind, übernimmt jedoch keinerlei Gewähr für derer Ländern:
Dr. Stefan M. Ritter, Kerstin Blossey, Ernst Hofmann Geeignetheit für bestimmte Verwendungszwecke. Alle deutsche Version (Deutschland, Schweiz, Österreich,
Markenzeichen, Logos und Handelsmarken, die sich Luxemburg), französische Version (Frankreich,
Produktion: Andrzej Kuca in der Zeitschrift befinden, sind registrierte oder nicht- Kanada, Belgien, Marokko), spanische Version
registrierte Markenzeichen der jeweiligen Eigenümer (Spanien, Portugal), polnische Version (Polen), eng-
DTP: Przemysław Banasiewicz und dienen nur als inhaltliche Ergänzungen. lische Version (Kanada, USA)
5/2009 HAKIN9 4
4/2010

InhaltsverzeIchnIs

Kurznachrichten 6 Datenschutz
Interessante Nachrichten aus der Welt der IT-Sicherheit Heißes Eisen nicht nur aus Datenschutz-Sicht:
Die Absicherung mobiler Datenträger 46
Kerstin Blossey
Für Einsteiger Jeder kennt sie, jeder benutzt sie: mobile Datenträger
Disclosure Policies 10 („mobile devices“). Sie sind aus der digital-globalen
Michael R. Heinzl Kommunikation nicht mehr wegzudenken und überdies
Wie am Besten mit gefundenen Sicherheitslücken umge- ungemein nützlich und vielfach handlich. Doch je han-
gangen werden sollte und welche bzw. wie viele Informatio- dlicher, desto größer ist die Gefahr, so ein niedliches
nen diesbezüglich veröffentlicht werden sollten, gilt seit je- Teil irgendwo zu vergessen, zu verlieren oder zu ver-
her als umstrittenes Thema und zweischneidiges Schwert. legen.

Unternehmenssicherheit Das Honeynet-Systeme – quattroSEC GmbH 52


Ergebnis komplexer Prozesse 14
Marko Rogge
Unternehmenssicherheit sollte als Ganzes betrach-
tet werden. Der entscheidende Ansatz hierbei ist, dass
ein Unternehmen existiert, um Gewinne zu erwirtschaf-
ten und am Markt positioniert zu bleiben, ein Geschäfts-
zweck. Daraus resultieren Geschäftsabläufe, die vollstän-
dig durch die EDV gestützt und durchführbar sind. Ohne
die EDV (Elektronische Daten Verarbeitung) wären viele
Unternehmen heute nicht am Markt und würden auch
keine starke Marktposition inne haben.

Angriff
User Enumeration mit Burp Suite 22
Chris John Riley
Es vergeht scheinbar kein Tag, ohne dass Webseiten
gefunden werden, welche gegen User Enumeration At-
tacken verwundbar sind. Egal, ob es sich dabei um klei-
nere oder größere Webapplikationen handelt, viele We-
bentwickler sind sich des Unterschiedes nicht bewusst,
den Anwendern bei Fehlern hilfreiche Rückmeldungen
oder zu viel Information preis zu geben.

Im Zusammenhang mit den Änderungen, die in


Abwehr letzter Zeit in dem deutschen Recht stattgefunden
Quanten-Kryptografie (Teil 3) haben und die IT-Sicherheit betreffen, möchten wir
Schlüsselaustausch-Protokolle 38 ankündigen, dass hakin9-Abwehrmethoden Maga-
Dr. Stefan M. Ritter zin seinem Profil treu bleibt.
Schlüsselaustausch-Protokolle der Quanten-Kryp- Unser Magazin dient ausschließlich den Er-
tografie beruhen auf zwei verschiedenen Prinzipien, kenntniszwecken. Alle im Magazin präsentierten
zum Einen auf der Präparierung/Messung von Qubits Methoden sollen für eine sichere IT fungieren. Wir
und zum Anderen auf der Verschränkung eines Qubit- legen einen großen Wert auf die Entwicklung von
Paares. BB84, als Vertreter der ersten Kategorie, ist das einem sicheren elektronischen Umsatz im Internet
erste und immer noch wichtigste Quanten-Protokoll. und der Bekämpfung von IT Kriminalität.

 4/2010
��������������������������
����������������������������������������������������
������������������������������������������� �������������������������������������������������
������������������������������������������� ������������������������ �����������������������������������
������������������������������������������ ����������������������� ��������������������������������������������
����������������������������������������������� ������������������������� ��������������������������������������
���������������������������������������������� ��������������������������������������������
��������������������������������������������
�������������������������
������������������������������������������������ ���������������������� ��������������������������������������������
����������������������������������������������� ���������������������� ��������������������������������������������
����������������������������������������� ��������������������� �������������������������������������������������
���������������������������������������������� ������ ���������������������������������������������������
������������������������������������������������� �����������������������������������������
����������������������������������������������� ���������������������������������������������
�������������������������������������������������� ������������������������������������������������
������������������������������������������� ����������������������������������������������
��������������������������������������������� �������������������������������������������
��������������������������������������������� �������������������������������������������
��������������� ��������������������������������������������
����������������������������������������
���������������������������� ����������������������������������������������
�������������������������������������������� ���������������������������������������������
����������������������������������������� ������������������������������������������������
������������������������������������������ ������������������������������������������������
���������������������������������������� ���������������������������������������������
���������������������������������������� ���������������������������������������
��������������������������������������������� �����������������
��������������������������������������������������
������������������������������������������� ����������������������
������������������������������������������ ��������������������������������������������
������������������������������������������ ������������������������������������������
��������������������������������������������� �������������������������������������������
������������������������������������������� ���������������������������������������
�������������������������������������������������� ��������������������������������������������
���������������������������������������� ����������������������������������������������
������������������������������������������������� ������������������������������������������
������������������������������������������������� ��������������������������������������������������
����������������������������������������������� �������������������������������������������
������������������������������������������������ �������������������������������������
��������������������������������������������� �������������������������������������������
������������������������������������������ ���������������������������������������������
�������������������������������������������� �������������������������������������
�������������������������

������������������������������
���������������������������������������������
������������������������������������������������� �����������������������������������
����������������������������������������������� ������������
������������������������������������������ ������������
����������������������������������������������� �����������������������
����������������������������������������������� ���������������������
������������������������������������������������� ��������������������������������
���������������������������������������������� ���������������������������
����������������������������������������������� ����������������������������
News

Workshop zum sicheren Unternehmen unerwünscht. Sie halten die Mitarbeiter


Einsatz von RFID-Technik von der Arbeit ab und stellen mit der Möglichkeit, Da-
Das BSI erweitert die Technischen Richtlinien für den teien auszutauschen, ein Risiko für jedes Firmennetz
sicheren RFID-Einsatz um das Einsatzgebiet „elektro- dar. Skype ist dabei ein besonders hartnäckiger Mes-
nischer Mitarbeiterausweis“ senger, da er auf proprietären Protokollen basiert, die
Bonn, 28.04.2010. Am 19. Mai 2010 veranstaltet das sich unter anderem durch ihre Verschlüsselung der In-
Bundesamt für Sicherheit in der Informationstechnik (BSI) spektion durch Proxys und Firewalls entzieht.
einen weiteren öffentlichen Workshop zur Reihe der „Tech- Skype ist bekannt dafür, durch Firewalls und NAT-
nischen Richtlinien für den sicheren RFID-Einsatz“. In der Gateways arbeiten zu können. Für die Administratoren
Veranstaltung wird der Entwurf einer neuen Richtlinie zum ist es seit jeher ein Kampf Skype zu blockieren. Da für
Einsatzgebiet „elektronischer Mitarbeiterausweis“ vorge- die Installation von Skype keine Administrationsrechte
stellt. Der Workshop findet von 10.00 bis 14.00 Uhr im Bon- erforderlich sind, ignorieren die meisten Mitarbeiter die
ner Gustav-Stresemann-Institut (www.gsi-bonn.de) statt. Sicherheitsvorgaben des Unternehmens und nutzen
Innerhalb der letzten Jahre hat sich der Einsatz der so Skype ohne die IT-Abteilung zu informieren. Dies hat
genannten Radio Frequency Identification Technologie zur Folge, dass die Unternehmen faktisch keine Kontrol-
(RFID) stark verbreitet. Zur Erhöhung des IT-Sicherhe- le über die via Skype übermittelten Daten haben, sagt
itsniveaus für typische RFID-Einsatzfelder hat das BSI Dennis Monner, Vorstandsvorsitzender der gateProtect
Technische Richtlinien (TR) formuliert, die Maßnahme- AG. Für die Verbindung ins Internet nutzt Skype Port 80
nempfehlungen für den jeweiligen Technikeinsatz enthal- (HTTP) und Port 443 (HTTPS), die für das Surfen no-
ten. Die TR betreffen das Ticketing beim Zutritt zu Veran- twendig und deshalb oft freigeschaltet sind. Ein anderer
staltungen und bei der Nutzung öffentlicher Verkehrsmittel, Weg führt Skype über hohe Ports (>1024) ins Internet.
den Einsatz von Elektronischen Produktcode-konformen gateProtect Aktiengesellschaft Germany
Transpondern in der Handelskette sowie in der neusten Die gateProtect Aktiengesellschaft Germany ist ein
Version auch elektronische Mitarbeiterausweise. führender Hersteller von IT-Sicherheitslösungen im
Ziel des Workshops ist es, die Arbeitsergebnisse ei- Bereich der Netzwerksicherheit. Die primären Produkte
ner interessierten Öffentlichkeit vorzustellen und den sind xUTM Applliance-, Firewall-, Managed-Security-
Teilnehmern die Möglichkeit zur Kommentierung der sowie VPN-Client-Systeme.
Richtlinienwerke zu geben. Dazu können die Teilne-
hmer mit den Autoren der Richtlinien diskutieren und Spam-Belastung in Unternehmen steigt
Fragen stellen. Die englische Entwurfsfassung der TR Deutsche Unternehmen setzen zur Spam-Bekämpfung
„Electronic Employee ID Card“ wird den interessierten zunehmend auf Managed Services – Fast 50 Prozent
Teilnehmern vorab auf den Internetseiten des BSI zum haben durch Spam bereits wichtige E-Mails verloren
Download bereitgestellt: Berlin, 7. April 2010 – Die Spam-Belastung in deu-
https://www.bsi.bund.de/cae/servlet/contentblob/ tschen Unternehmen ist im letzten Jahr deutlich ge-
991434/publicationFile/62786/TG_03126_5_Applica- stiegen. Dies ergab eine Umfrage, die der führende
tion_area_Electronic_Employee_ID_Card.pdf deutsche E-Mail-Sicherheitsspezialist eleven im Rah-
Die Teilnahme an der Veranstaltung ist kostenfrei, um men der CeBIT unter mehr als 500 IT-Verantwortlichen
Anmeldung per E-Mail wird bis zum 12. Mai 2010 an deutscher Unternehmen durchführte. 63,6 Prozent der
rfid@bsi.bund.de gebeten. Befragten gaben an, ihr Spam-Aufkommen habe sich in
den vergangenen 12 Monaten deutlich erhöht. Im Vor-
Skype-Blocker: gateprotect veröffentlicht jahr waren nur 44,2 Prozent dieser Meinung. Lediglich
neues Sicherheits-Patch 6,7 Prozent berichteten von einem rückläufigen Spam-
Zum Schutz des Firmennetzes Aufkommen (2009: 15,7 Prozent).
Bei der Bekämpfung von Spam geht der Trend klar
Hamburg, 22.04.2010 – Die gateProtect AG hat jetzt ein in Richtung Outsourcing: Gab 2009 nur rund ein Drittel
Sicherheits-Patch für seine Unified Threat Management (35,1 Prozent) der Befragten an, ihre Anti-Spam-Lö-
(UTM)-Appliances veröffentlicht, mit dem sich zuverlässig sung als Managed Service ausgelagert zu haben oder
die Nutzung von Skype blockieren lässt. Damit verhindern dies innerhalb der nächsten 12 Monate zu planen, ist es
Unternehmen unerwünschtes Chatten und Telefonieren 2010 bereits mehr als die Hälfte (53,3 Prozent). Bei der
während der Arbeitszeit und schließen gleichzeitig ein Auswahl der richtigen Lösung zählt neben der Spam-
mögliches Einfallstor für Schadprogramme. Das Patch un- Erkennungsrate vor allem die False-Positive-Rate (31,0
ter der Bezeichnung HU-01050 ist ab sofort verfügbar und Prozent). Eine zunehmend wichtigere Rolle spielen aber
wird automatisch auf allen gateProtect-Firewall-Systemen auch wirtschaftliche und Kostenaspekte: So nannten
ab Version 8.6 über den Update-Server eingespielt. 23,8 Prozent die Verringerung des Wartungs- und Pfle-
Die Nutzung von Instant Messaging-Programmen wie geaufwands und 23,4 Prozent die Schonung der IT-
Skype, ICQ oder AOL Instant Messenger ist in fast allen Ressourcen als zentrale Entscheidungskriterien.

 4/2010
+++ w w w. p s w. n e t +++ w w w. p s w. n e t +++ w w w. p s w. n e t +++

Erkennen Sie den Unterschied?


News

Weitere Ergebnisse der Umfrage: und IT-Compliance mit internen Policies und externen
Vorschriften demonstrieren. „IT-Governance-, Risiko-
• 46,5 Prozent haben bereits einmal eine geschäft- und Compliance-Management kann die Zuordnung von
srelevante E-Mail verloren, beispielsweise auf Kontrollen zu spezifischen IT-Ressourcen erleichtern
Grund fehlerhafter Spam-Filter und die Sammlung und Bereitstellung von Informatio-
• (2009: 40,1 Prozent). nen automatisieren, die zeigen, inwieweit diese Kon-
• Als größte Gefahr von Spam betrachten 40,5 Prozent trollen durchgeführt werden“, so eine Gartner-Studie.
die Verringerung der Produktivität der Mitarbeiter. Daher kann es genutzt werden, um Unternehmen bei
• 34,6 Prozent befürchten, aufgrund von Spam wich- externen Prüfungen zu besserem Abschneiden zu ver-
tige E-Mails zu verlieren. helfen, die Kosten der Compliance-Berichterstattung zu
reduzieren und die Fähigkeit des Unternehmens zum
eleven - E-Mail-Sicherheit Made in Germany Umgang mit IT-Risiken zu verbessern.
eleven ist führender E-Mail-Sicherheitsanbieter aus Deu- IT Policy Compliance for Dummies beschreibt den
tschland und bietet mit der Technologie eXpurgate einen Compliance-Prozess in fünf Abschnitten:
weltweit einzigartigen Spam-Filter und E-Mail-Kategorisie-
rungsdienst, der zuverlässig vor Spam- und Phishing-E- • Stepping Into the World of IT Policy Compliance
Mails schützt, potenziell gefährliche E-Mails erkennt und gibt eine grundlegende Einführung in die Bedeu-
darüber hinaus zwischen individuellen Nachrichten und je- tung von Policy Compliance und ihre Beziehung zur
glicher Art von Massen-E-Mails unterscheidet. Zusätzlich Informationstechnologie.
bietet eXpurgate umfangreiche Virenschutzoptionen und • Defining the Problem of IT Policy Compliance führt
eine leistungsfähige E-Mail-Firewall. die Leser durch das Dickicht der Vorschriften und
Mehr als 30.000 Unternehmen jeder Größe nutzen Standards und zeigt auf, welche Bedeutung sie für
den eXpurgate Dienst. Täglich werden über 1 Milliarde die Policy Compliance haben.
E-Mails von eXpurgate geprüft und kategorisiert. Zu den • Best Practices for IT Policy Compliance Manage-
Kunden gehören neben Internet Service Providern und ment bietet einen schnellen Überblick über die Ker-
Telekommunikationsdienstleistern wie T Online, O2 und npunkte der IT Policy Compliance, einschließlich
freenet zahlreiche namhafte Unternehmen und öffentli- zehn Best Practices.
che Einrichtungen, darunter Air Berlin, der Bundesver- • Looking at Automation in IT Policy Compliance
band deutscher Banken, DATEV, die Freie Universität zeigt den Lesern, wie Automatisierung ihrem Unter-
Berlin, die Landesbank Berlin, Mazda, RTL, Thyssen- nehmen helfen kann, Compliance-Anforderungen
Krupp oder die Tobit Software AG. Mehr Informationen zu erfüllen und gleichzeitig Geld zu sparen.
unter http://www.eleven.de. • Ten Tips for IT Policy Compliance beschreibt die
Schritte, die notwendig sind, um die Einhaltung von
Qualys veröffentlicht „IT Policy Compliance Vorschriften und Standards gewährleisten.
for Dummies“
Der umfassende Leitfaden hilft den Lesern, IT Policy Dieses Buch basiert auf Best Practices in der IT-Bran-
Compliance zu verstehen und umzusetzen che, die wir im Rahmen unserer Zusammenarbeit mit
San Francisco, Kalif. – 01. April 2010 – Qualys®, Inc., Unternehmen bei IT-Compliance-Initiativen zusammen-
der führende Anbieter von On-Demand-Lösungen für das tragen konnten, so Alderman und Creech. Wir hoffen,
Management von IT-Sicherheitsrisiken und Compliance, dass der Band als wertvolle Ressource dienen wird, die
hat jetzt mit „IT Policy Compliance for Dummies“ einen Unternehmen zu einem besseren Verständnis für IT Po-
anschaulichen Leitfaden für IT- und Sicherheitsmanager licy Compliance verhilft und ihnen die Einleitung der nö-
herausgebracht, die sich zum Thema IT-Compliance infor- tigen Schritte erleichtert, um Audits zu denjenigen Vor-
mieren möchten. Das neueste Handbuch des Unterneh- schriften zu bestehen, die sie erfüllen müssen.
mens, das in Zusammenarbeit mit dem Verlag John Wiley IT Policy Compliance for Dummies ist der dritte Band,
& Sons erscheint, wurde von den Qualys-Mitarbeitern den Qualys in der Dummies-Reihe von John Wiley &
Jason Creech und Matt Alderman verfasst. Es erklärt in Sons veröffentlicht. Um mehr über diese Publikationen
leicht verständlicher Weise, was IT-Compliance bedeutet zu erfahren oder kostenlose Exemplare herunterzula-
und welche Schritte ein Unternehmen durchführen muss, den, besuchen Sie bitte:
um die Einhaltung von Richtlinien gegenüber einem unab-
hängigen Prüfer nachzuweisen. Ein kostenloses Exemplar • IT Policy Compliance for Dummies: http://www.qua-
des Buchs steht unter http://www.qualys.com/itpcfordum- lys.com/itpcfordummies
mies zum Download zur Verfügung. • PCI Compliance For Dummies: http://www.qualys.
Da der weitaus größte Teil aller Geschäfte heute via com/pcifordummies
oder mittels IT geführt wird, müssen Unternehmen je- • Vulnerability Management for Dummies: http://www.
der Größe die geltenden Branchenstandards einhalten qualys.com/dummies

 4/2010
Welche Website ist echt?

B
Für Einsteiger

Disclosure Policies
Michael R. Heinzl

Wie am Besten mit gefundenen Sicherheitslücken


umgegangen werden sollte und welche bzw. wie viele
Informationen diesbezüglich veröffentlicht werden sollten,
gilt seit jeher als umstrittenes Thema und zweischneidiges
Schwert.

In diesem Artikel erfahren Sie... Was Sie vorher wissen/können sollten...


• Grundlegende Vorgehensweisen bezüglich gefundenen Si- • Für diesen Artikel werden keine besonderen Vorkenntnisse
cherheitslücken sowie benötigt.
• einige Vor- bzw. Nachteile dieser.

E
ine Frage, auf die es häufig keine falsche oder Bei Full Disclosure wird häufig davon ausgegan-
richtige Antwort zu geben scheint und oftmals gen, dass Black-Hats ohnehin bereits in Kenntnis der
einer näheren Untersuchung bedarf, ehe man konkreten Schwachstelle sind und diese auch aktiv
strikt einem bestimmten Schema folgen kann. Ob- ausnutzen. Durch Bekanntgabe aller Details an die
wohl verschiedene Prozeduren sich dieser Thematik Öffentlichkeit, kann jede Partei frühzeitig reagieren
annehmen, wurde bisher kein Weg gefunden, der alle und selbst Vorkehrungen treffen, welche das Aus-
Seiten zufrieden stellen konnte. Im Folgenden wer- nützen erschweren oder nicht mehr ermöglichen,
den deshalb die gängigsten Verfahren näher erläutert solange kein Patch verfügbar ist. Maßnahmen hier-
und einige der Vor- und Nachteile, welche in Disku- bei können beispielsweise die Deaktivierung eines
ssionen zu diesem Thema häufig auftreten, aufgegri- anfälligen Services sein oder eine Konfigurations-
ffen. änderung, je nach Szenario und Schwachstelle.
Idealerweise soll Full Disclosure auch dazu führen,
Full Disclosure dass Softwarehersteller grundsätzlich mehr Arbeit
Bei Full Disclosure werden alle Informationen zu und Zeit in Qualitätssicherung investieren und nicht
einer bestimmten Schwachstelle offengelegt und der Endkunden als letzte Instanz des Beta-Testings be-
Öffentlichkeit frei zugänglich gemacht. Hierbei wird trachten.
nicht nur die Information selbst, nämlich dass eine Gegner des Full Disclosure kritisieren häufig die Tat-
konkrete Schwachstelle in einem bestimmten Pro- sache, dass Hersteller erst zeitgleich mit der allgeme-
dukt gefunden wurde, veröffentlicht, sondern auch inen Öffentlichkeit über eine bestehende Schwachste-
genaue Informationen zur Auffindung und Ausnu- lle informiert werden und so ein enormer Zeitdruck für
tzung dieser. Dadurch sollen Produkthersteller ge- Hersteller und Entwickler entsteht. Dadurch, dass alle
zwungen werden, möglichst schnell einen Patch oder Person zur selben Zeit die Informationen erhalten, er-
eine andere Lösung bereitzustellen, welche die Si- gibt sich eine garantierte Zeitspanne, in der ein System
cherheitslücke schließt. Andernfalls sind entspre- angreifbar ist, selbst wenn unmittelbar danach an einer
chende Systeme nicht nur länger angreifbar, sondern Lösung gearbeitet wird. Zusätzlich erscheinen häufig
auch eine erhebliche Rufschädigung und damit ein- mit oder kurz nach Bekanntgabe der Informationen au-
gehend auch Kunden- bzw. Geldverlust möglich. Die tomatisierte Exploitingtools, welchen es auch Scriptkid-
Sicherheit soll also dahingehend erhöht werden, als dies ermöglichen, entsprechende Systeme erfolgreich
dass die Zeitspanne, in der ein System angreifbar ist, anzugreifen, selbst wenn der Hintergrund und die Funk-
verkürzt wird. tionsweise nicht verstanden werden.

10 4/2010
Richtig!
Bei B handelt es sich um die echte, bei A um eine gefälschte Website.

Dank der grünen Adressleiste ist es für einen Websitebesucher einfacher


zu erkennen, ob er sich auch wirklich auf der echten Website befindet.

Steigern Sie das Vertrauen Ihrer Besucher und erwerben Sie bei uns ein
Zertifikat mit grüner Adressleiste.

Sie erhalten 10% Rabatt auf Zertifikate der VeriSign-Gruppe


(RapidSSL, GeoTrust, Thawte, VeriSign).

Geben Sie bei der Bestellung unter www.psw.net einfach den Rabattcode

HAKMAG10 an.
Für Einsteiger

Non-Disclosure ller als auch Forscher allgemein über eine gefundene


Non-Disclosure stellt im Wesentlichen das genaue Ge- Schwachstelle schweigen, wird das eigentliche Pro-
genteil von Full Disclosure dar. Es wird also ein Ansatz blem dadurch nicht gelöst werden und Systemadmi-
verfolgt, bei dem gefundene Schwachstellen vor der nistratoren können ihre Systeme nicht schützen. Un-
Öffentlichkeit geheim gehalten werden und besten- glücklicherweise implizieren manche Hersteller, dass
falls in einem ausgewählten Kreis, häufig intern in einer es ausreichend ist, eine Sicherheitslücke erst dann zu
Gruppe, geteilt wird. schließen, wenn sie von Dritten gefunden und nähere
In der Vergangenheit konnte beobachtet wer- Details hierzu veröffentlicht wurden.
den, dass einige Hersteller und Forscher diese Phi-
losophie angestrebt haben bzw. nach wie vor daran Limited Disclosure
festhalten, wenngleich sie dafür starke Kritik erhalten Limited Disclosure verfolgt zunächst einen ähnlichen
haben. Aus Sicht der Hersteller wird dadurch versucht, Ansatz wie Non-Disclosure, wobei versucht wird, die
die Schwachstelle solange geheim zu halten, bis ein Bekanntgabe aller Details einer Schwachstelle nur
Patch entwickelt wurde, der die Lücke schließt. Hier- den wichtigsten Personen mitzuteilen. Häufig handelt
bei ergibt sich allerdings eine große Problematik, näm- es sich hierbei um den Entdecker der Schwachstelle,
lich die Auswahl der Personen, die informiert werden den Hersteller des betroffenen Produkts und eventuell
sollten. Ist es ausreichend, dass nur interne Entwickler einer unabhängigen dritten Partei, welche als Vermi-
darüber in Kenntnis sind, oder sollten auch Betreiber ttler zwischen Entdecker und Hersteller fungiert. Der
von sehr kritischen Systemen davon in Kenntnis ge- Öffentlichkeit wird lediglich bekannt gegeben, dass
setzt werden (beispielsweise Krankenhäuser, Atom- eine Schwachstelle in einem bestimmten Produkt ge-
kraftwerke, etc.)? Wer garantiert dafür, dass die geteil- funden wurde, nähere Details werden aber nicht er-
ten Informationen nicht von jemandem weiter geteilt läutert. Üblicherweise wird selbst dann auf eine Pub-
oder gar veröffentlicht werden bzw. schlimmer, zum lizierung der genauen technischen Details verzichtet,
privaten Nutzen verwendet werden? nachdem der Hersteller einen Fix bereitgestellt hat.
Es darf zudem auch hier nicht davon ausgegan- Das Ziel von Limited Disclosure ist es also, nur jene
gen werden, dass niemand anderes bereits dieselbe Informationen zu veröffentlichen, die dazu ausreichen,
Schwachstelle gefunden hat, nur weil dahingehend ein System abzusichern. Aus Sicht der Limited Disclo-
noch nichts publiziert wurde. Wenn sowohl Herste- sure würde die Veröffentlichung der genauen techni-
schen Hintergründe in erster Linie nur Black-Hats die-
nen, weshalb darauf verzichtet wird.
Auch bei diesem Ansatz ergeben sich ähnliche
Problemstellungen wie bei den anderen Veröffentli-
chungspolitiken. Zunächst muss wieder darauf vertraut
werden, dass die Informationen nur an (auf)richtige
Personen weitergeleitet werden, welche diese nicht zu
ihren persönlichen Gunsten ausnutzen. Auch besteht
kaum Druck für den Hersteller, die Schwachstelle in
einer möglichst kurzen Zeit zu schließen, da die breite
Öffentlichkeit zunächst nicht in Kenntnis der Schwach-
stelle ist. Da nur eine sehr oberflächliche Bekanntgabe
der Schwachstelle erfolgt, sehen sich zudem viele Sy-
stemadministratoren eventuell nicht in der Lage, dass
System solange selbst abzusichern, bis eine Lösung
seitens Hersteller angeboten wird. Letztlich kann auch
hier wieder nicht davon ausgegangen werden, dass
die Black-Hat Community nicht bereits in Kenntnis der
konkreten Schwachstelle ist und sie aktiv ausnutzt.

Responsible Disclosure
Eine häufig angewandte Policy ist die sogenannte Re-
sponsible Disclosure. Hierbei wird als erstes der En-
twickler bzw. Hersteller kontaktiert, ehe die vollständi-
gen Informationen auch der Öffentlichkeit zugänglich
gemacht werden. Dadurch soll gewährleistet werden,
Abbildung 1. How much should be disclosed? (Quelle: John dass dem Hersteller eine konkrete Zeitspanne ge-
Schriener, http://illustrationonline.com/)

12 4/2010
Disclosure Policies

Verwendete Quellen und weitere informationen:


• http://www.schneier.com/crypto-gram-0002.html#PublicizingVulnerabilities - Crypto-Gram Newsletter, February 15, 2000, Bru-
ce Schneier
• http://www.schneier.com/crypto-gram-0111.html#1 - Crypto-Gram Newsletter, November 15, 2001, Bruce Schneier
• http://www.wiretrip.net/rfp/policy.html - RFPolicy v2.0
• http://www.securityfocus.com/columnists/66 - 'Responsible Disclosure' Draft Could Have Legal Muscle
• http://www.sans.org/reading_room/whitepapers/threats/define-responsible-disclosure_932 – How do we define Responsible
Disclosure?
• http://labs.idefense.com/vcp/ - Vulnerability Contributor Program
• http://www.zerodayinitiative.com/ - Zero Day Initiative
• http://www.securityfocus.com/archive/ - BugTraq
• http://www.cve.mitre.org/ - Common Vulnerabilities and Exposures
• http://osvdb.org/ - The Open Source Vulnerability Database
• http://secunia.com/ - Secunia
• http://oss-security.openwall.org/wiki/mailing-lists/vendor-sec - vendor-sec
• http://wikileaks.org/ - WikiLeaks
• http://en.wikipedia.org/wiki/Full_disclosure#History – Full disclosure history

währt wird, in der er sich dem Problem annehmen Abschluss


kann, die Öffentlichkeit aber dennoch ebenfalls alle Der Markt für Exploits und deren Erwerb, insbesondere
Details erhält, wenn auch etwas verzögert. Im Gegen- für 0-Day-Exploits, scheint ein kontinuierliches Wachs-
satz zu Full Disclosure wird hierbei allerdings häufig tum zu genießen und es darf davon ausgegangen wer-
auf einen beigelegten Exploit-Code verzichtet, allge- den, dass dieser noch um ein Vielfaches anwachsen
meine Informationen, technische Details und idealer- wird. Eine einheitliche Policy, welche alle Parteien voll-
weise ein Patch werden aber dennoch veröffentlicht. ends gerecht wird, wäre zwar wünschenswert, wird es
Wie viel Zeit solch einem Ultimatum zugeordnet aber wohl nur in einer Utopie geben.
wird, unterscheidet sich von Fall zu Fall, üblich sind Für welche Veröffentlichungsmethode man sich
häufig einige Wochen bis Monate. Unabhängig davon, letztlich entscheidet, muss jeder für sich selbst bean-
welche Frist gesetzt wird, sollte diese aber nicht stän- tworten. Viele der existierenden Verfahren haben schein-
dig verlängert werden, da manche Hersteller dadurch bar ihre Daseinsberechtigung und für manche Szena-
versuchen das Problem vor sich herzuschieben, bis es rien werden einige Methoden vermutlich erst gar nicht
beispielsweise nicht mehr von Relevanz ist oder sich in Frage kommen.
eine andere Lösung ergeben hat, es also nicht als pri- Das eigentliche Problem, nämlich das Auftreten von
märes Ziel gehandhabt wird, die Sicherheitslücke zu Sicherheitslücken, könnte bereits erheblich verringert
schließen. werden, wenn Hersteller und Entwickler mehr Geld und
Unglücklicherweise betrachten manche Entwickler Aufwand in Sichere Programmierung und einer besse-
und Hersteller es als persönlichen Angriff oder gar Belei- ren Qualitätssicherung stecken würden (bzw. oftmals
digung, wenn ihnen jemand von einer Sicherheitslücke auch könnten). Die Umsetzung scheint allerdings oft-
in einem ihrer Produkte berichtet. Nicht selten kommt mals schwierig, wenngleich alle beteiligten Parteien von
es in Folge dessen vor, dass Meldungen einfach igno- möglichst sicherer und fehlerfreier Software profitieren
riert werden oder schlimmer, dass gegen den Entdecker würden.
mit einer Klage gedroht wird. Dass diese beiden An-
sätze nicht zielführend sein können, mag für viele Leser
offensichtlich sein, dennoch ist dies leider in der Rea-
lität immer wieder zu beobachten. In diesem Fall wird
dann üblicherweise die Information einfach der Öffen-
tlichkeit zugänglich gemacht, ohne sich weiter dem Her-
steller anzunehmen.
Die Idee von Responsible Disclosure besteht also
darin, zunächst nur den Hersteller zu informieren, so-
dass dieser möglichst rasch einen Patch bereitstellen MiCHAEL r. HEinZL
kann, und erst mit etwas Verzögerung die allgemeine Der Autor beschäftigt sich mit IT-Security und den meisten
Öffentlichkeit. Veröffentlicht sollten dennoch alle Infor- damit verbundenen Themen seit einigen Jahren, insbeson-
mationen werden, die nötig sind, um ein System abzu- dere mit Penetration Testing und Reverse Engineering. Kon-
sichern, idealerweise bereits mit einem mitgelieferten taktmöglichkeit besteht über das österreichische Securitypor-
Patch seitens des Herstellers. tal https://defense.at.

hakin9.org/de 13
FÜR EINSTEIGER

Unternehmenssicherheit: Das Ergebnis


komplexer Prozesse
Marko Rogge
Unternehmenssicherheit sollte als Ganzes betrachtet werden. Der
entscheidende Ansatz hierbei ist, dass ein Unternehmen existiert,
um Gewinne zu erwirtschaften und am Markt positioniert zu
bleiben, ein Geschäftszweck. Daraus resultieren Geschäftsabläufe,
die vollständig durch die EDV gestützt und durchführbar sind.
Ohne die EDV (Elektronische Daten Verarbeitung) wären viele
Unternehmen heute nicht am Markt und würden auch keine starke
Marktposition inne haben.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Welche relevanten Aspekte bei der Unternehmenssicherheit • Bereitschaft, Sicherheit als Prozess zu sehen.
zum Tragen kommen.

D
ie Sicherheit wird dabei häufig vernachläs- • Informationssicherheit
sigt. Die Sicherheit des Unternehmens, resul- • Krisenmanagement
tierend aus dem Risikomanagement und den • Know-How Schutz
Anforderungen, sollte eine größere Bedeutung haben, • Zutrittskontrolle / Physikalische Sicherheit
als bei vielen Unternehmen bisher vorhanden. • Awareness
Zunächst ist es entscheidend für ein Unternehmen, sich • Datenschutz
der Bedrohungen und Risiken bewusst zu werden und
diese zu analysieren. Daraus resultierend werden en- Compliance
tsprechende Maßnahmen entwickelt, die ein Unterneh- Grundsätzlich sprechen wir von Compliance, wenn
men absichern und die Geschäftsprozesse fördern. Die sich ein Unternehmen dazu entschlossen hat, Vorge-
Forderung der Unternehmensleitung sollte sein, dass die hensweisen, Verhaltensmaßregeln, Richtlinien und
Sicherheit der Datenverarbeitung resultierend aus dem Ri- Gesetze in Unternehmensprozessen einzuhalten.
sikomanagement oberste Priorität genießt. Welche Fakto- Dies kann sich im Bereich der Betriebswirtschaft aber
ren, Begrifflichkeiten, Prozesse und Zusammenhänge da- auch im Bereich der EDV (IT-Compliance) ereignen.
bei zu betrachten sind, zeigen die folgenden Seiten. Dabei spielen die Prozesse eine wesentliche Rolle,
Alle Prozesse, die unter sicherheitsrelevanten Aspek- da diese definieren, wie Compliance eingeführt und
ten betrachtet werden sollten, müssen hier ineinander eingehalten wird. Der betriebswirtschaftliche Bereich
greifen, wenn es um Sicherheit geht. Mit diesem Arti- ist dabei fast immer organisatorisch und strategisch
kel wird aufgezeigt, welche Bereiche hierbei in Betracht zu betrachten und sollte mit der Compliance einher-
gezogen werden und wie man strategisch vorgehen soll- gehen, die für die EDV gilt. So wird in der Compliance
te, um gesamte Unternehmenssicherheit zu erreichen. z.B. geregelt, wie nationale und internationale Regeln
Bei der Betrachtung der Unternehmenssicher- und Gesetze behandelt werden, wenn eine krimine-
heit kommt es darauf an, alle Bereiche, die für die Wirt- lle Handlung im Unternehmen bekannt wird. Dabei
schaftlichkeit eines Unternehmens von Bedeutung sind, kann es sich beispielsweise um Geldwäsche, Insi-
in Zusammenhang zu sehen. Im Wesentlichen sind hier derhandel, Erpressung oder Veruntreuung handeln.
die folgenden Bereiche zu beachten, die einen hohen Die Compliance deckt aber auch Verhaltensregeln
Stellenwert einnehmen sollten: der Unternehmensführung ab. In der EDV Complian-
ce sprechen wir untergeordnet von der grundlegen-
• Compliance den Unternehmens-Compliance die Themen an, die
• Risikomanagement durch die Unternehmens-Compliance gefordert wer-

14 4/2010
Unternehmenssicherheit: Das Ergebnis komplexer Prozesse

den, wenn diese eine Berührung mit der EDV haben. deren Steuerung. Dabei wird natürlich unterschieden,
Die wichtigsten Kernpunkte der Compliance für die um welche Risiken es sich handelt und aus welchen
EDV sind Datenschutz, Verfügbarkeit, Informations- Bereichen die Risiken bewertet werden sollten. Als Bei-
sicherheit und Aufbewahrung von Daten und ande- spiele können genannt werden: Risiken aus dem Fi-
ren, elektronischen Informationen. Ein wesentlicher nanz- und Bankbereich, Risiken im Personalbereich,
Punkt hierbei ist die E-Mail Archivierung, die nach Risiken bei Naturkatastrophen, Versicherungen oder
wie vor keine ausreichende Bedeutung hat. In Deu- auch Risiken rein technischer Natur. Nur um ein paar
tschland ist dies jedoch gesetzlich geregelt und muss Beispiele zu nennen, die betrachtet werden sollten bei
durchgeführt werden. Aus der Umsetzung der EDV der Analyse von Risiken. Die Bereiche Wirtschaftsspio-
Compliance ergeben sich auch deutliche Vorteile für nage, Korruption und Sabotage nehmen besonders in
Unternehmensbewertungen, wenn es um die Verga- den letzten Jahren stark zu und sollten daher auch in
be von Krediten z.B. nach BASEL II geht. Als Anfor- Betracht gezogen werden.
derung ist die Umsetzung einer höheren IT-Sicher- Sehr wichtig sollte es für Unternehmen sein, die eige-
heit vorgeschrieben. Daraus resultierend geht auch nen Risiken korrekt zu bewerten.
einher, dass Geschäftsführer und Vorstände haftbar Dabei sind in der Analyse die Betrachtungen von Ge-
gemacht werden können, sofern gesetzliche Vorga- fahren und Schwachstellen wichtig, um daraus ein Be-
ben nicht eingehalten werden. In der Regel können drohungspotential zu erkennen. Bei diesem Beispiel
das zivilrechtliche aber auch strafrechtliche Konse- kommen Faktoren wie Eintrittswahrscheinlichkeit und
quenzen sein. Wenn wir von Compliance sprechen, Schadenspotential hinzu und bilden am Ende ein Ri-
ist es unabdingbar, dass Maßnahmen und Umsetzun- siko, welches zu bewerten ist. Bei der Beurteilung und
gen der Prozesse dokumentiert werden, um eine Bewertung ist es wichtig zu unterscheiden, ob ein Ri-
Nachvollziehbarkeit sicherzustellen. Dies gilt natü- siko für ein Unternehmen tragbar ist, vermindert oder
rlich nicht nur für den Bereich Compliance, sondern vermieden werden sollte oder gar auf andere übertra-
es empfiehlt sich generell, für Prozesse der Unter- gen werden kann.
nehmenssicherheit eine Dokumentation zu pflegen. Gesetze, in denen sich Risikomanagement nieder-
Weitere Gesetze, die entsprechende IT-Sicherheit schlägt, z.B.:
fordern und in Compliance berücksichtigt werden soll-
ten (national, international): • § 43 Abs. 1 und 2 GmbH-G (GmbH Gesetz)
• § 91 Abs. 2 AktG (Aktiengesetz)
• Handelsgesetzbuch, § 239 Abs. 4 HGB • § 317 Abs. 4 HGB (Handelsgesetzbuch)
• Bundesdatenschutzgesetz, § 9 BDSG • Sarbanes-Oxley Act (SOX)
• Aktiengesetz, § 91 II und § 116 AktG
• KonTraG Informationssicherheit
• GmbH-Gesetz, § 43 GmbHG, §§ 91 II, 116 AktG Für die Umsetzung der Informationssicherheit als Pro-
• Basel II (wie erwähnt) zess sollten unter anderem Normen und Zertifizierun-
• SOX, Section 404 gen zur Hilfe genommen werden, da diese sich bewährt
• CobiT haben und optimiert auf sicherheitskritische Prozesse
• ISO 2700x entwickelt wurden. In Deutschland ist hierbei das BSI
• SAS 70 bedeutend, da es Standards entwickelt hat, um Un-
ternehmen ausreichend Hilfe an die Hand zu geben.
Im Übrigen können Verstöße, sofern diese entdeckt Maßgeblich sind hierbei die Grundschutzkataloge und
werden, auch geahndet werden und können unter- die Standards BSI 100-1, 100-2, 100-3 und 100-4 zu
schiedliche Folgen haben. Es könnten Haftungsklagen nennen.
an die Geschäftsleitung und/oder das Management Nach Angaben des BSI sind diese Standards kompa-
folgen. Bei Basel II wäre eine Folge, dass die Schwä- tibel zur ISO-IEC 2700x. Weitere wichtige Normen hier-
chung am Markt eintritt, da Engpässe in der Liquidität bei sind:
die wirtschaftliche Position schwächen. SOX sanktio-
niert zum Beispiel Verstöße mit Zugangsbarrieren am • ITIL (IT Infrastructure Library) dazu gehörig ISO-
Markt und Geldbußen sind zudem ebenfalls möglich. IEC 20000
• ISO-IEC 2700x
Risikomanagement, IT-Risikomanagement • ISO-IEC 15408 (Common Criteria for Information
Als der wesentliche Prozess bei der Unternehmens- Technology Security Evaluation)
sicherheit sollte hier das Risikomanagement genannt • ISO-IEC 27001
werden, gleich auf mit Compliance. Dabei handelt es • ISO-IEC 13335
sich um die Erfassung von Risiken, deren Bewertung • COBiT (Control Objectives for Information and Re-
und daraus ableitend entsprechende Reaktionen und lated Technology)

hakin9.org/de 15
FÜR EINSTEIGER

Die Informationssicherheit ist jedoch auch nur als ein tor an der Umsetzung von Informationssicherheit ver-
Teilbereich der ganzheitlichen Unternehmenssicher- steht.
heit zu betrachten. Aus den Anforderungen der Infor-
mationssicherheit, resultieren die Maßnahmen der IT- Krisenmanagement
Sicherheit und stellen somit ein Qualitätsmerkmal dar. Da es weder für die Betriebswirtschaft noch für die
Die IT-Sicherheit ist hierbei beispielsweise ein Be- EDV eine Sicherheit von 100% gibt, sollten Unterneh-
standteil der Informationssicherheit, die alle Bereiche men sich mit dem Gedanken an ein Krisenmanage-
betrachtet und abbildet, die für die Verarbeitung von ment tragen. Darin unter anderem enthalten, wie ein
Daten relevant sind. Im Wesentlichen kann man hier die Unternehmen vorgehen sollte, wenn eine Krise das
3 Eckpfeiler der Informationssicherheit nennen, auf die Unternehmen bedroht. Aber auch vorbeugende Maß-
es bei der Umsetzung ankommt und die als Schutzziele nahmen sind hier von großer Bedeutung, da ein Krisen-
definiert werden: plan das Handeln deutlich vereinfachen und vorschrei-
ben kann. Wie bereits im Bereich Risikomanagement,
• Verfügbarkeit: Stabilität von Datenzugriffen und von sollte auch das Krisenmanagement ineinander greifen
Systemen und die Zusicherung von Zugriffen auf mit allen Aspekten der Unternehmenssicherheit. Häu-
Daten innerhalb eines zugesicherten Zeitrahmens. fig kommen Aspekte des Krisenmanagements auch im
Verhinderung von Ausfällen einzelner oder ganzer Risikomanagement vor, sollten sich jedoch beide ge-
EDV Einheiten. genseitig ergänzen und unterstützen. Die strategische
• Integrität / Authentizität: Die Zusicherung, dass Da- und analytische Vorgehensweise ist der erste Ansatz
ten nicht unbemerkt oder nicht nachvollziehbar bei der Umsetzung eines Krisenmanagements. Das
verändert werden dürfen. Krisenmanagement kann für Teilbereiche eines Unter-
• Vertraulichkeit: Zugriffsmöglichkeiten auf Daten nur nehmens angewendet werden, wenn besonders hohe
durch entsprechend autorisierte Personen oder Eintrittswahrscheinlichkeiten vermutet werden, die in
Gruppen bei der Datenverarbeitung. anderen Bereichen des Unternehmens nicht anzuneh-
• Nichtabstreitbarkeit: Das Abstreiten einer unzulässi- men sind. Diese Bewertung kann aus dem Risikoma-
gen Handlung ist nicht möglich. nagement resultieren. Einer Krise geht grundsätzlich
immer ein Ereignis voraus, welches der Auslöser sein
Die IT-Sicherheit versteht sich eher auf den techni- kann. Entscheidend ist bei der Einführung eines Kri-
schen Ansatz, Daten und Kommunikationswege zu senmanagements, welche Krisen möglich sind und
schützen und zu sichern. Dabei kommen sehr häufig welche Eintrittswahrscheinlichkeit angenommen wer-
Firewalls, Anti-Viren Systeme für Clients aber auch den kann. Dabei unterscheidet man grundlegend zwi-
für Server zum Einsatz. Je nachdem, welche Re- schen 3 Krisen, die eintreten können:
levanz die interne Kommunikationsstruktur hat, wird
diese mittels IPsec verschlüsselt, um so mehr Si- • Veränderungskrisen; allgemein begrifflich dafür,
cherheit zu erreichen. Eine solche technische Maß- wenn organisatorische Veränderungen eintreten,
nahme resultiert in der Regel aus einem Bedürfnis an die jedoch als Prozess im Unternehmen nicht grei-
Sicherheit, welches durch einen Prozess in der Risi- fen. Damit können entsprechende Ziele nicht er-
koanalyse herausgearbeitet wurde. Hierzu zählt aber reicht werden, die durch eine Veränderung erreicht
auch das Patch-Management, da es wichtig ist, ei- werden sollten. Dies kann die wirtschaftliche Situa-
nen Prozess zu etablieren, wann und welche Sicher- tion bedrohen und eine Krise könnte daraus resul-
heitspatches eingespielt werden müssen oder dür- tieren.
fen. Sollte vorher ein Test durchgeführt werden oder • Steuerungskrisen; ergeben sich fast immer aus
vertraut man dem Anbieter des Patches. Es empfiehlt Fehlentscheidungen oder Problemen, die durch
sich in diesem Fall, auf das bewährte „Ampel-Verfah- das Management eintreten können. Auch hierdurch
ren“ zurückzugreifen, mit dem man eine Einstufung kann es zu einer eintretenden Krise kommen, wel-
vornehmen kann. Dabei gilt grün für weniger bis gar che dem Unternehmen großen Schaden bereiten
nicht kritisch und rot für gefährlich oder kritisch, wenn kann.
eine Sicherheitslücke die Systeme bedrohen kann. • Überlebenskrisen; hier werden alle Ereignisse ein-
Sollte in der Einstufung „rot“ ein Alert ausgelöst wer- geschlossen, die das Unternehmen in eine Krise
den, kann die Maßnahme sein, dass ein Sicherheit- stürzen können, welche die Existenz der Firma be-
spatch sofort eingespielt werden muss, nachdem die- drohen.
ser auf die stabile Funktionalität geprüft wurde. Die
Bewertung kann auch in Verbindung mit dem Risiko- Beim Krisenmanagement sollten natürlich auch z.B.
management erfolgen, da beide Prozesse ineinander Punkte der Produkterpressung, Kidnapping (Ge-
greifen und sich absichern sollten. IT-Sicherheit ist schäftsleitung), Naturkatastrophen oder Wirtschafts-
demnach ein Prozess, der sich als technischer Fak- pionage betrachtet werden. Dabei gilt es exakt zu

16 4/2010
Unternehmenssicherheit: Das Ergebnis komplexer Prozesse

analysieren, welche der Ereignisse relevant in der Be- nisch dafür sorgen, dass besonders sensible oder ge-
trachtung hinsichtlich des Krisenmanagements sind heime Daten geschützt werden. Nachvollziehbar kann
und welche Bedrohung sie darstellen. Daraus resul- technisch umgesetzt werden, dass Daten oder Da-
tierend sollte mit Experten ein Krisenplan ausgear- teien nur von bestimmten Personen eingesehen und
beitet werden, der die entsprechende Vorgehenswei- bearbeitet werden dürfen. Jede Person würde dabei
se beim Eintreten eines Ereignisses definiert und vor- einen Fingerprint hinterlassen, wenn er eine bestimm-
gibt. Wichtig dabei ist unter anderem die Krisenko- te, schützenswerte Datei bearbeitet. Damit wäre eine
mmunikation: Wer mit wem und zu welchem Zeitpunkt Nachvollziehbarkeit gegeben und Know-How Schutz
in Kommunikation treten muss. Aber auch die Ko- greift als Prozess und in der technischen Umsetzung.
mmunikation von Ereignissen in die Öffentlichkeit ist Gerade deswegen ist es sehr bedeutend, dass Sicher-
von Bedeutung. Durch das Zusammenspiel von Com- heit nicht auf einen Bereich betrachtet wird, sondern
pliance, Krisenmanagement und auch Risikomanage- ineinandergreifend durch alle Prozesse des Unterneh-
ment, können Ereignisse besser im Vorfeld erkannt mens.
werden und Krisen können vom Unternehmen abge- Mögliche Maßnahmen, die getroffen werden können,
wendet werden. Sollte jedoch ein Ereignis das Unter- um sein Know-How zu schützen, bevor ein Produkt die
nehmen treffen, so ist eine professionelle Vorgehens- Marktreife erreicht hat:
weise durch ein Krisenmanagement und einen Kri-
senplan definiert. • Geschmacksmuster
• Topographien
Know-How Schutz: • Patente
Grundlegend sprechen wir beim Know-How Schutz • Gebrauchsmuster
von Betriebs- und Geschäftsgeheimnissen, die ge- • Marken
heimhaltungsbedürftig gegenüber der Öffentlichkeit • Schutz durch das Urheberrechtsgesetz
oder auch Wettbewerbern gelten. Dabei gilt das Wi-
ssen, welches ein Unternehmen am Markt positionie- Aber auch die restriktive Umsetzung der Maßnahmen
ren lässt, als das Kapital. Nicht allein, aber maßgeb- aus der Informationssicherheit und der physikalischen
lich. Man unterscheidet hier auch die kaufmännischen Sicherheit kann deutlich zur Erhöhung des Know-How
und technischen Geheimnisse. Häufig liest man Daten Schutzes beitragen. So kann über entsprechende Ab-
und Fakten aus dem Bereich der Wirtschaftsspionage, sicherung der Zugänge einzelner Mitarbeiter verhin-
wo ein unfreiwilliger Know-How Transfer statt gefun- dert werden, dass jeder Zugriff auf Patentdaten oder
den hat. In diesen Fällen greift kein Know-How Schutz Entwicklungspläne hat. Die gezielte Ausgrenzung der
und sollte dringend überdacht werden. Es kann aber Zugriffsmöglichkeiten ist entscheidend und sollte da-
auch bereits dann zu spät sein, wenn es sich um Tech- her auch mit der Geschäftsleitung abgesprochen wer-
nologien handelt, die das gesamte Unternehmen wirt- den. Ebenso gilt hier die Möglichkeit, dass in einem
schaftlich gemacht haben und nun nicht mehr vorhan- Forschungslabor über ein Zutrittskontrollsystem bei-
den sind. Eine Insolvenz ist hierbei leider oftmals die spielsweise mittels RFID Karten kontrolliert und gere-
Folge davon, da Know-How Schutz nicht vorhanden gelt wird, dass nur befugte Personen Zugang erhal-
war. Eine mögliche Ursache hierbei kann ebenfalls ten.
sein, dass Risikomanagement und IT-Sicherheit nicht
ausreichend bestimmt waren. Als eine weitere Ursache Physikalische Sicherheit
kann aber auch menschliches Versagen in Betracht Dahinter verbirgt sich die Absicherung gegen äußerli-
kommen, denn hier können gezielte Angriffe durchaus che Einwirkungen auf das Unternehmen. Dabei kann
Prozesse und Mechanismen des Risikomanagements es sich um die Absicherung Sturm handeln, wenn ein
oder der IT-Sicherheit aushebeln. Hier gibt es beson- Unternehmen in einem gefährdeten Gebiet angesie-
dere gesetzliche Bestimmungen, die strafrechtlich von delt ist. Dabei ist darauf zu achten, dass die entspre-
Bedeutung sind. §§17 UWG (Unlauterer Wettbewerb) chende Bausubstanz für Gebäude darauf ausgerich-
und §§203 des Strafgesetzbuches finden hier Anwen- tet ist und Dächer besonders diesen Ansprüchen
dung. genüge tragen. Auch hierbei gilt es, einen entspre-
Der Schutz von Betriebsgeheimnissen ist elementar chenden Schutzbedarf zu ermitteln, um die korrek-
wichtig, wenn es sich um Patente oder Gebrauchsmu- ten Maßnahmen einleiten zu können. In der EDV sind
ster handelt, aber auch bei Herstellungsverfahren oder beispielsweise Einwirkung von Staub, elektromagne-
Rezepten in der Lebensmittelherstellung. Es muss in tischen Strahlen, Wassereinbruch oder gar mecha-
Abwägung geraten, welchen Schutzbedarf ein Un- nische Einwirkung zu berücksichtigen. In vielen Un-
ternehmen hat und welcher Aufwand dafür betrieben ternehmen werden dazu eigene Räume eingerichtet,
werden muss. Ein ausgewogenes Verhältnis sollte das die gegen Brand und/oder Blitzeinschlag abgesichert
Resultat hierbei sein. So kann die IT-Sicherheit tech- werden. Entsprechende Löschsysteme sorgen dafür,

hakin9.org/de 17
FÜR EINSTEIGER

dass selbst im Fall eines Brandes, nicht die ganze oder abgedichtete Schränke dafür sorgen, dass die
Hardware oder gar die darin enthaltenen Daten ver- EDV nicht unnötig beschädigt oder verschmutzt und
nichtet werden. Mechanische Einwirkung kann auch somit unbrauchbar wird.
sein, dass Mitarbeiter unbewusst Hardware beschä-
digen oder gänzlich zerstören. In der Verbindung zum Awareness
Risikomanagement für die EDV kann hier bereits im Dieses Thema gewinnt immer mehr an Bedeutung
Vorfeld für Absicherung gesorgt werden, in dem Aus- und wird in vielen Unternehmen bereits umgesetzt.
tauschgeräte schnell verfügbar sind. Dies jedoch in Die Sensibilisierung der Mitarbeiter aber auch der
einem Maße, wie es durch eine Risikoanalyse ermi- Führungsebene ist wichtig, um Maßnahmen der Si-
ttelt wurde. So kann es in einem Unternehmen fatal cherheit zu stabilisieren und als Prozess umzusetzen.
sein, wenn die Server ausfallen, da diese im Produk- Dabei gilt es, das Bewusstsein zu schärfen und für
tionsprozess integriert sind. Entsprechend der hohen das Thema Sicherheit mehr Aufmerksamkeit zu beko-
Anforderung sollte sofort eine Maßnahme geben, die mmen. Gerade im Bereich der Datenverarbeitung ist
ein Backup an Hardware zur Verfügung stellt in ei- es wichtiger denn je, dass Awareness umgesetzt wird,
ner definierten Zeitspanne. In anderen Unternehmen da sich die Bedrohungslage in den letzten Jahren ver-
kann dies von geringer Bedeutung sein. Dafür aber schärft hat und Unternehmen immer häufiger Opfer von
möglicherweise, dass ein Labor physikalisch so ab- gezielten Angriffen werden, aber auch Opfer von Wir-
gesichert ist, dass nur Mitarbeiter Zutritt haben, die tschaftsspionage durch eigene Mitarbeiter. Entschei-
dafür autorisiert sind. Dementsprechend sollte aber dend ist hier der angemessene Umgang der Mitarbei-
auch daran gedacht werden, das Zutrittskontrollsy- ter, aber auch der Führungspersonen mit den Daten,
stem gegen Ausfälle, Beschädigung oder Manipula- die Ihnen anvertraut sind. Für die Sicherheit von Daten
tion abzusichern. werden in sehr vielen Unternehmen bereits technische
Zutrittskontrollsysteme können aber auch die Lö- Maßnahmen getroffen und Firewalls zum Internet auf-
sung dafür sein, dass unberechtigt niemand Zutritt zu gestellt, Anti-Virus Appliances hindern Würmer und
Serverräumen oder gar zu einem Rechenzentrum hat. Trojaner, sich auszubreiten und Proxyserver achten
Auch der Zutritt zum Gelände eines Unternehmens kann auf den Datenstrom, der das Unternehmen verlässt.
durch Zutrittskontrollsysteme geregelt werden, was be- Die Betrachtung des Menschen ist jedoch dabei häufig
reits häufig der Fall ist. Damit kann gewährleistet wer- nur unterschwellig. Noch immer finden sich in den mei-
den, dass nur autorisierte Personen das Werksgelän- sten Studien Menschen als größtes Gefahrenpotential
de betreten dürfen. Auch das Verlassen eines Geländes wieder. So gehen die meisten Schäden durch Daten-
kann sinnvoll protokolliert werden, denn das Thema diebstahl hervor, die häufig noch nicht einmal entdeckt
Identitätsdiebstahl wird für Kriminelle immer intere- werden. Das Eintreten eines Schadens bemerken Un-
ssanter, wenn es um Wirtschaftsspionage geht. Bei der ternehmen Monate später, die Tatsache, dass sie ei-
Umsetzung solcher Maßnahmen ist es jedoch wichtig, nem Datendieb erlegen sind und Patentunterlagen
dass die Einhaltung des Datenschutzes gegeben ist. In oder Kalkulationen das Unternehmen verlassen ha-
Deutschland greift hierbei das Bundesdatenschutzge- ben. Unter forensischen Aspekten ist es nach so ei-
setz und in vielen Unternehmen zusätzlich noch eine ner langen Zeit kaum noch nachvollziehbar, wer Daten
interne Policy. über welche Wege aus einem Unternehmen transpor-
Ebenfalls ist die Absicherung des Zugangs eines tiert hat.
Unternehmens zum Internet als physikalische Si- Was ist zu tun, wenn die EDV durch Datendiebstahl
cherheit zu betrachten, da hier Hardware zum Ein- kompromittiert wurde:
satz kommen sollte. Softwarefirewalls reichen lan-
ge nicht aus, um eine Sicherheit gegen Angriffe von • 1. Es ist wichtig, dass Sie Ruhe bewahren und
innen und außen zu bieten. Eine Hardware Firewall den Zustand der EDV und Daten unberührt la-
in Verbindung mit einem Überwachungssystem (In- ssen. Es ist von erheblicher Bedeutung, dass kei-
trusion Detection System) wäre angebracht; diese ne Veränderungen an der Hardware, Software
bietet einen ersten Schutzwall gegen Angriffe durch sowie an den betroffenen Daten vorgenommen
Botnets oder Angreifer. Zusätzlich sollte eine Ap- werden.
pliance (Hardware) gegen Würmer und Trojaner • 2. Das betroffene System sollte nicht aus- oder ein-
schützen, da eine Firewall dafür nicht ausreichend geschaltet werden. Auch ist es wichtig, dass zu die-
sein muss. Häufig bieten Hersteller eine Mis- sem Zeitpunkt keine Patches mehr eingespielt wer-
chung aus beiden Komponenten an. Weitere Maß- den. Dadurch können Veränderungen am System
nahmen sollten z.B. dann getroffen werden, wenn vorgenommen werden, die eine Auswertung er-
Thin-Clients in einer Produktionsanlage stehen und schweren oder unbrauchbar machen.
zusätzlich vor Staub und Schmutz geschützt werden • 3. Informieren Sie umgehend die verantwortlichen
müssen. Hier sollten entsprechende Abdeckungen Personen der IT Abteilung, der Geschäftsleitung

18 4/2010
Unternehmenssicherheit: Das Ergebnis komplexer Prozesse

oder des Vorstandes. Bitte im Vorfeld bereits die die daraus resultierend in der Umsetzung gefordert
Zuständigkeiten klären. werden. Wie im Bereich der physikalischen Sicher-
• 4. Die Einhaltung des Datenschutzes ist hier we- heit kann auch hier hinterfragt werden: Wer hat wann
sentlich und es sollten alle Schritte dokumentiert Zugriff, auf welche Informationen und ist ein Zu-
werden, bis der Sachverständige, Forensiker oder griffsschutz nicht manipulierbar? Ist nachvollziehbar,
Experte eingetroffen ist. Kommunizieren Sie den wer exakt welche Daten eingegeben, gelöscht oder
Vorfall. verändert hat?
In der Regel bezieht sich der Datenschutz auf die Er-
Bei vielen Mitarbeitern ist das Thema Informations- hebung, Nutzung und Verarbeitung von personenbezo-
verarbeitung oftmals noch ein hinderliches Thema in genen Daten. Hierbei gilt es zu definieren:
der alltäglichen Arbeit. Um genau das zu ändern, ist
es hilfreich und ratsam, eine Awareness Kampagne • Erhebung personenbezogener Daten: Beschaffung
im Unternehmen zu etablieren. Diese kann durch- dieser Daten
aus auch als ein Qualitätsmerkmal für das Unter- • Nutzen von personenbezogenen Daten: Nutzung
nehmen in der Kommunikation nach außen genut- • Verarbeiten von personenbezogenen Daten: Spei-
zt werden. Da das Thema Awareness noch kei- chern, Verändern, Übermitteln, Sperren, Löschen
ne große Durchdringung gefunden hat, ist es wich-
tig, die richtige Ansprache bei den Mitarbeitern zu Dabei gilt es, die Grundprinzipien des Datenschu-
finden. Zum Einen ist darauf zu achten, dass bei tzes zu beachten und einzuhalten. Diese wären
einer solchen Kampagne ein gewisses Grundwi- grundsätzlich die Sparsamkeit und Vermeidung
ssen vermittelt wird, um das Verständnis zu ver- an Daten sowie die dazugehörige Erforderlich-
be-ssern. Auf der anderen Seite ist es nicht unwe- keit und Zweckbindung. Daraus resultiert für den
sentlich, wie dieses Wissen vermittelt wird. Die „Bil- Datenschutz, dass entsprechende technische und
dersprache“ stellt hier eine hervorragende Möglich- organisatorische Maßnahmen getroffen werden
keit dar und ist einfach umzusetzen. Awareness be- müssen, wenn Daten anfallen, die personenbezo-
zieht sich keinesfalls rein auf die Informationssicher- gen sind. Dies kann durch die IT-Sicherheit (tech-
heit oder reine IT-Sicherheit, sondern kann in allen nisch) gewährleistet werden, aber auch durch en-
Bereichen der Unternehmenssicherheit angewendet tsprechende Maßnahmen aus dem Risikomanage-
werden. So sind entsprechende Awareness Kampa- ment und dem Krisenmanagement (organisatorisch).
gnen in Unternehmen umgesetzt worden, als ein Zu- Auch sollte organisatorisch und/oder technisch der
trittskontrollsystem eingeführt wurde. Dabei war es Zugriff auf personenbezogene Daten geregelt sein.
wichtig, dass Mitarbeiter im Unternehmen den Aus- Dabei ist es zwangsweise häufig so, dass nur die
weis sichtbar an der Kleidung tragen. So ist dem Si- Personalbuchhaltung Zugriff auf die vollständigen
cherheitsdienst schneller möglich zu erkennen, ob Personaldaten hat. Entsprechende Lösungen fin-
fremde Personen sich im Hause aufhalten, die zuvor den sich dann in der Vernichtung von Daten und In-
nicht identifiziert wurden. Bei der Umsetzung einer formationen, wenn diese nicht mehr benötigt wer-
Awareness Kampagne ist es wichtig darauf zu ach- den. Hierbei gilt es aber zu beachten, dass in Deu-
ten, dass niemand einen Alleingang macht, durch- tschland eine E-Mail Archivierung gesetzlich vorge-
weg alle Abteilungen und Personen miteinbezogen schrieben ist. Aus diesem Grunde sollte man sich
werden und das dieses Vorhaben ausdrücklich von dahingehend auch mit dieser Thematik befassen,
der Geschäftsführung unterstützt und kommuniziert wenn man ordnungsgemäß Daten vernichten möch-
wird. te. Was in diesem Zusammenhang nicht vergessen
werden darf, ist das Recht von Personen (Betroffe-
Datenschutz ne) Auskunft darüber zu erhalten, welche Daten ge-
Der Datenschutz in Unternehmen ist ein sehr kriti- speichert, verarbeitet, verändert oder gar gelöscht
sches Thema und wird häufig nicht ausreichend be- wurden. International gelten Prinzipien, die eine ent-
achtet. Zum Einen, weil es sehr komplex ist und vie- sprechende Unabhängigkeit auch für Unterneh-
le Verstöße nicht geahndet und auch nicht bemerkt men und Arbeitnehmer durch eine unabhängige Da-
werden. In Deutschland ist hierfür das Bundesda- tenschutzaufsicht gewähren sollen.
tenschutzgesetz erlassen worden, welches sich auch Die Bedeutung, was genau personenbezogene Daten
auf den Bereich der Datenverarbeitung von perso- sind, wird in §3 des BDSG genauer erläutert.
nenbezogenen Daten auswirkt. In den meisten Un- (http://bundesrecht.juris.de/bdsg_1990/__3.html)
ternehmen werden diese personenbezogenen Daten
über die IT-Infrastruktur verarbeitet. So werden in §9 Abschluß, Fazit, Zusammenfassung
des BDSG (Bundesdatenschutzgesetz) klare techni- In der Betrachtung der ganzheitlichen Unternehmens-
sche und organisatorische Maßnahmen beschrieben, sicherheit sind hier die Eckpfeiler aufgezeigt, die ein

hakin9.org/de 19
FÜR EINSTEIGER

hohes Maß an Sicherheit für ein Unternehmen bie- in. Oft fordern Unternehmen die Verschlüsselung der
ten. Dies stellt sicherlich keine Vollständigkeit dar. Es E-Mail Kommunikation zwischen den Kooperations-
kommen je nach Branche noch unterschiedliche Ge- partnern oder die reine Verschlüsselung von Daten,
setze in Anwendung, die es in Zusammenhang mit der die dann auch sicherer via E-Mail ausgetauscht wer-
Unternehmenssicherheit zu beachten gibt. So regeln den können. Die technische Umsetzung ist dahinge-
bestimmte Vorschriften und Gesetze, wie in der Le- hend sehr vielseitig und bietet ausreichend Möglichke-
bensmittelindustrie zu verfahren ist, wenn es um die iten. Auch sollte über eine mehrschichtige Sicherheit
Herstellung von Lebensmitteln geht. Daran angelehnt auf technischer und organisatorischer Ebene nachge-
werden dann die entsprechenden Maßnahmen aus den dacht werden. So ist es zwar sinnvoll, eine Firewall
o.g. Teilbereichen umgesetzt. So ist es nicht unerheb- und Anti-Virus im Netz integriert zu haben, jedoch kö-
lich, als Lebensmittelhersteller einen Krisenplan und nnen gezielte Angriffe (z.B. Aurora) unerkannt ihr Un-
ein Krisenmanagement zu haben, sofern eine Erpre- wesen treiben, da hierfür meistens Schadcode entwic-
ssung auf die Vergiftung von Lebensmitteln eintritt. Ein kelt wird, der den Anti-Virus Herstellern erst viel später
solches Ereignis kann zu einer Krise führen, wenn das bekannt ist. Abhilfe könnte hier ein Intrusion Detection/
betroffene Unternehmen keine entsprechenden Maß- Prevention System (IDS/IPS) bieten, da diese speziell
nahmen im Vorfeld getätigt hat, um in einem Ereigniss- auf Anomalien entwickelt wurden und eine deutlich
fall korrekt und professionell vorzugehen. Dabei ist es höhere Sicherheit bieten können. Auf der organisato-
besonders wichtig, dass eine ausreichend geplante rischen Seite sollten Überlegungen getätigt werden,
und geübte Krisenkommunikation vorhanden ist. Wer Krisenmanagement und Risikomanagement in Kombi-
muss exakt wen benachrichtigen und wer darf sich mit nation auf die Organisation eines Unternehmens und
welchen Worten an die Öffentlichkeit wenden. Auch ist auf die EDV Infrastruktur anzuwenden. Zum Schluß
es nicht unerheblich, welches Medium dafür verwen- soll darauf hingewiesen werden, dass es durchaus
det werden soll, wenn es heißt, die Öffentlichkeit sollte entscheidend für den Wettbewerb ist, wenn alle ge-
informiert werden. troffenen Maßnahmen regelmäßig überprüft werden.
Sofern sich ein Unternehmen entschlossen hat, So z.B. die IT-Sicherheit mittels Penetration Tests in
alle Prozesse unter Sicherheitsaspekten zu betrach- überschaubaren Abständen. Aber auch die Prozesse
ten, kann von einem Marktvorteil gesprochen werden. sollten ständig überprüft und überwacht werden, damit
In der Kommunikation mit Zulieferern kann dies be- hier kein Stillstand eintritt. Unternehmenssicherheit ist
deutend sein, da große Konzerne maßgebliche Vor- ein Prozess und Chefsache.
gaben bereits eingeführt haben. Die bessere Aufstel-
lung der eigenen Unternehmenssicherheit gegenüber
dem Wettbewerb kann bedeuten, dass Auftraggeber
sich darauf berufen, dass eine entsprechende IT-Si-
cherheit vorhanden sein muss, wenn Daten zwischen
den Kooperationspartnern digital über das Internet au-
sgetauscht werden sollen. Das kann von einer schnel-
len Internetanbindung (Produktivität) bis hin zur Anbin-
dung eines VPN (Virtual Private Network, Sicherheit)
entscheidend für den Zuschlag eines Auftrages se-

Prinzip der:
• Richtigkeit MARKO ROGGE
• Transparenz Der Autor ist Senior Security Consultant der Leading Securi-
• Zweckgebundenheit ty Experts GmbH und kann auf viele Jahre Erfahrung als Ana-
• Nicht-Diskriminierung
lyst, Penetration Tester, Referent und Autor zu Themen der IT-
• Verhältnismäßigkeit
• unabhängigen Überwachung / gesetzlicher Sanktionen Sicherheit zurückblicken. Schwerpunkte seines Engagements
• Zulässigkeit und Rechtmäßigkeit der Erhebung und Ver- sind IT-Grundschutz, IT-Sicherheitsüberprüfungen, IT-Secu-
arbeitung der Daten rity, Datenschutz und Zertifizierungen in Unternehmen, so-
• individuellen Mitsprache und namentlich der Garantie wie die Internetzensur. Marko Rogge ist Kooperationspartner
des Zugriffsrechts für die betroffenen Personen
der Leiner & Denzer GmbH und ist Spezialist in der Erstellung
• Sicherheit
• Haftung von ganzheitlichen Sicherheitsstrukturen, der Durchführung
• des angemessenen Schutzniveaus bei grenzüberschrei- von IT-Sicherheitsüberprüfungen sowie Ereignismanagement
tendem Datenverkehr in Fällen von Beeinträchtigungen der Geschäftstätigkeiten
durch IT–Kriminalität. Sie erreichen den Autor: marko.rogge@
lsexperts.de, www.lsexperts.de

20 4/2010
Angriff

User Enumeration mit Burp Suite


Chris John Riley

Es vergeht scheinbar kein Tag, ohne dass Webseiten gefunden


werden, welche gegen User Enumeration Attacken verwundbar
sind. Egal ob es sich dabei um kleinere oder größere
Webapplikationen handelt, viele Webentwickler sind sich des
Unterschiedes nicht bewusst, den Anwendern bei Fehlern hilfreiche
Rückmeldungen oder zu viel Information Preis zu geben.

S
icher, wir alle wollen gerne wissen, ob wir unseren Welche Schwachstellenliste könnte außerdem vollstän-
Benutzernamen oder das Passwort falsch einge- dig sein, ohne dabei Apple zu nennen. In diesem Fall
geben haben, aber manchmal ist schon diese scheint das AppleID Formular auf deren Webseite die-
Information zu hilfreich für einen potentiellen Angreifer: ses Problem, auf den ersten Blick, nicht aufzuweisen
welcher Anwender könnte nicht auch Interesse daran ha- (Sie können es gerne selbst testen, wenn sie mir nicht
ben, eine Liste mit allen Benutzernamen abzurufen? glauben). Weitere Recherche zeigt aber, dass die Pas-
Diese Art von Information ist schließlich der erste swort vergessen Funktion dieses Problem schon anhaf-
Schritt in Vorbereitung eines zielgerichteten Angriffs, tet – es kann einem nämlich kein Erinnerungsmail schi-
sollte der Benutzername zusätzlich der E-Mailadresse cken, wenn die E-Mailadresse nicht registriert ist. Also
des Anwenders entsprechen, ist er von doppeltem Nut- kann genau das für Enumeration missbraucht werden.
zen, gerade wenn der jeweilige Benutzer bei mehreren Obwohl dieser Angriff User Enumeration erlaubt, wer-
Webapplikationen mit denselben Anmeldedaten regi- den alle gültigen Benutzer eine E-Mail, die sie an ihr
striert ist. Wenn der Benutzername eine E-Mailadres- AppleID Passwort erinnert, von Apple bekommen. Es ist
se ist, möchte man fast jede Wette eingehen, dass das daher keine subtile Attacke, als Nebeneffekt könnte aber
für den Webmail Account verwendete Passwort dassel- zusätzlich ein DoS des Apple Mailservers entstehen. Für
be (oder zumindest ein Ähnliches) ist, außer es handelt einen Angreifer würde das vielleicth einen Pluspunkt dar-
sich dabei natürlich um einen IT-Sicherheitsfachmann. stellen, für einen Penetration Tester nicht wirklich.
Der würde einen solchen Fehler natürlich nicht bege- Diese Schwachstelle ist aber ein ausgezeichnetes
hen. Sicher?! Beispiel dafür, warum User Enumeration ein derarti-
Um dafür ein paar Beispiele anzuführen, folgen ein ges Problem darstellt. Man stelle sich folgendes Sze-
paar Auszüge aus einem Vortrag, welchen ich auf der nario vor: Ein Angreifer will nur bestimmte Benutzer
IT-SecX in Österreich gehalten habe. Ich würde gerne in Form einer „spear phishing“ Attacke (also eine ge-
sagen, dass ich das Internet stundenlang nach diesen zielt durchgeführte Phishing Attacke, bei der dem An-
durchforstet habe, aber leider muss man offen zuge- greifer sein Opfer zumindest teilweise bekannt ist) er-
ben, dass schon die ersten paar Seiten, die ich probiert fassen. In diesem Fall hätte der Angreifer schon eine
habe, dieses Problem aufwiesen. Damit sich die betro- ausreichend lange Liste an E-Mailadressen, aber er
ffenen Betreiber etwas besser fühlen können: Ich habe hätte keine Möglichkeit, sicherzustellen, ob mit diesen
deren Seiten nicht absichtlich hier angeführt, es waren E-Mailadressen eine AppleID verknüpft ist (ich glaube
nur die Ersten, die ich gefunden habe. es ist offensichtlich, wohin das führt). Weil Apple die
Allen voran ist die bekannte Seite wordpress.com mit E-Mailadresse als Benutzername verwendet, kann der
hervorragenden Beispielen, wie es nicht gemacht wer- Angreifer nun diese Attacke einfach ausführen, indem
den sollte, zu nennen: Man kann nicht nur einfach er- er die seine Datenbank an E-Mailadressen verwendet
kennen, ob der Benutzername gültig ist, es wird sogar und prüft, für welche davon eine AppleID existiert. Ei-
Auskunft darüber gegeben, ob das Passwort stimmt, nen Schritt weiter gedacht, kann der Angreifer nun ein
was ein wenig zu hilfreich ist. Die Antworten des Ser- Phishing-Mail zu allen gültigen Benutzern auf seiner
vers können sehr einfach in Enumeration Attacks aus- Liste senden und sie (fälschlicherweise) informieren,
gewertet werden. dass die Erinnerungsnachricht, welche sie bekommen

22 4/2010
User Enumeration mit Burp Suite

haben, Teil eines Angriffs auf deren Account gewesen in Cookieinhalten durchführen kann, welche ansonsten
wäre und sie jetzt einen beigefügten Link anklicken wahrscheinlich unentdeckt bleiben würden. Sie sollten
sollten, um ihr Passwort zurückzusetzen. Mit großem auch sicherstellen, jegliche Passwort-Rücksetzfunktionali-
Erfolg könnte nun also ein Angreifer ausnutzen, wozu täten und bei Internet-Foren gerade die Instant Messaging
Benutzer jahrelang in Form von „Security Awareness Funktionen auf diese Schwachstelle zu überprüfen. Wenn
Programmen“ sensibilisiert wurden: umgehend auf aut- Sie einen gültigen Account besitzen (und bei einem Pene-
hentische Sicherheitsmeldungen und –warnungen zu tration Test sollten sie doch einige zur Hand haben) und
reagieren. mit anderen Benutzern interagieren können, könnten In-
Wenn also auch professionelle Webapplikationen die- stant Messaging und Chat-Funktionen die Nadel im Heu-
se Schwachstelle aufweisen, welche Hoffnung besteht haufen sein, nach der Sie suchen. Alles, worin sie einen
noch für die Vielzahl von einfachen Webseiten? Ich fin-
de viele solche Seiten oft im Zuge von Penetration Tests
oder beim einfachen Surfen durchs Web, wenn möglich
nehme ich auch Kontakt zum Betreiber auf (wenn es
auch manchmal schwer ist, ihm das Problem klar zu
machen). Führt man keinen Penetration Test mit schrift-
licher Erlaubnis durch, dann kann man kaum mehr tun,
als das Problem aufzuzeigen und weiter zu gehen. Hat
man aber die Erlaubnis (wie gesagt: schriftlich), dann
kann man ein paar einfache Scripts verwenden, um
schnell eine Auflistung aller Benutzerkonten durchzu-
führen und im Endbericht aufzuzeigen. Nur theoretisch
über Probleme zu sprechen ohne Ergebnisse aufwei-
sen zu können, wird einen nicht weit bringen, eine Liste
mit allen Benutzernamen beginnend mit dem Buchsta-
ben ‚A’ in petto zu haben, verschafft einem dagegen die
unmittelbare Aufmerksamkeit so mancher Kunden.

Ok. Ich bin überzeugt. Wie kann ich es testen?


Wow, ich freue mich, dass Sie fragen. Es gibt viele Möglich-
keiten, eine Enumeration von Benutzerkonten durch-
zuführen, ganz abhängig von Ihren Scripting-Kenntni-
ssen und verfügbaren Applikationen. Man könnte etwas in Abbildung 1.
Python schreiben, ein Shellscript mit cURL benutzen etc.
Um die Sache aber für diejenigen, welche im Scripting
nicht so gut sind (wie auch ich selbst), einfacher zu gestal-
ten werde ich im Folgenden Burp Suite’s Intruder Funktion
verwenden und zeigen, wie sie für User Enumeration im
Zuge eines Penetration Test verwendet werden kann.
Zuerst werden Sie aber eine Webapplikation benöti-
gen, die unterschiedliche Fehlermeldungen ausgibt, je
nachdem, ob ein Benutzer existiert. Typischerweise wird
diese Applikation eine Fehlermeldung der Art „Benutzer-
name konnte nicht gefunden werden“ oder „Falsches Pas-
swort“ produzieren, dann ist sie auf jeden Fall verwund-
bar. Man könnte auch nach unterschiedlichen URL Pa-
rametern, Cookie Werten, Redirects oder geringfügigen
Änderungen im HTML Code selbst Ausschau halten. Der
Schlüssel zum Erfolg ist hier die Dokumentation jeglichen
Verhaltens der Webapplikation vor und nach einem An-
meldeversuch. Burp Suite leistet gerade dabei hilfreiche
Dienste. Genauer gesagt kann das Comparer Tool dazu
verwendet werden, die Serverantworten zu untersuchen
und Veränderungen festzustellen. Dies funktioniert auch
für Veränderungen in Cookies, da Burp Suite einen wort-
oder bytebasierten Vergleich zur Erkennung von Mustern Abbildung 2.

hakin9.org/de 23
Angriff

Benutzernamen und ein Passwort eingeben können, kann PHP Scripts verwenden ein einfaches Array, welche Be-
ein möglicher Ausgangspunkt für Enumeration sein. nutzernamen und Passwörter beinhalten.
Beginnen wir aber mit ein paar Hintergrundinformatio-
Der Angriff in Aktion nen und dem Rahmen des Penetration Test. Gikacom ist
Da Sie nun wissen, wie Sie nach dieser Schwachstel- eine kleine, aber aufstrebende, Firma auf dem Markt der
le im Zuge eines Penetration Test suchen, will ich nun Accessoires für Mobiltelefone (sie produzieren individu-
einen beispielhaften Angriff mit ein paar einfachen PHP elle Gehäuse für iPhone und Blackberry Geräte, die bei
Login-Scripts durchgehen. Wenn Sie dieses Beispiel Stars sehr beliebt sind). Nachdem mehrere verdächtige
selbst testen wollen, können Sie die verwendeten Scripts Log-Einträge auf deren Webserver auffällig wurden, wur-
und Wörterbücher (28 mögliche Benutzernamen) unter de das Penetration Testing Team Ihrer Firma beauftragt,
http://www.c22.cc/hakin9_burp.html herunterladen. Die mehrere Tests der Website durchzuführen, um si-

Abbildung 3.

Abbildung 4.

24 4/2010
User Enumeration mit Burp Suite

cherzustellen, dass Angreifer nicht deren Firmengeheim- transparenten Proxy, sehe ich, dass beide Seiten ein eine
nisse stehlen oder auf deren Kundendaten zugreifen. einfache Login-Maske bereitstellen und keine weiteren
Der Test muss von außerhalb deren Firmennetzwerks Informationen gegeben werden, was sich wirklich dahin-
stattfinden und nur die öffentlich zugänglichen Bereiche ter befindet. Beide Seiten scheinen vollständig identisch
der Webseite dürfen getestet werden. Client-seitige An- zu sein. Um sicherzugehen, dass ich nichts übersehe,
griffe, Social Engineering und Denial of Service wurden lade ich jede Antwort des Servers in Burp Comparer und
explizit aus dem Testrahmen außen ausgeschlossen. suche nach Unterschieden.
Vor dem eigentlichen Test beginnen wir mit ein Burp zeigt, dass beide Seiten abgesehen von unter-
paar Reconnaissance Überprüfungen der Firma und de- schiedlichen Response Timestamps (was durchaus lo-
ren Webserver, um herauszufinden, welche möglichen gisch ist) ident sind, vielleicht handelt es sich dabei aber
Informationen gesammelt werden können. Die whois- nur um einen Entwicklerfehler und beide Scripten sind
Ergebnisse der DNS-Domäne gikacom.at geben ein- identisch, haben aber unterschiedliche Namen. Ich gebe
geschränkte Informationen über technische Ansprech- ein paar Testbenutzerdaten („test“ und „test“) in die Lo-
partner (john@gikacom.at und paul@gikacom.at). gin-Maske der beiden Scripts ein und warte auf die Reak-
Diese Information könnte später nützlich sein. Jegliche tion. Login.php gibt eine Meldung „username not found“
andere Information von Google, Google Code Suche, aus, dagegen leitet mich login2.php direkt auf die Login-
Newsgroups und regionaler Nachrichtenquellen erwei- Seite um, ohne irgendeine Fehlermeldung auszugeben.
sen sich als wenig hilfreich. Gehen wir weiter zur aktiven Bei genauerer Betrachtung fällt auf, dass login2.php ei-
Reconnaissance, beginnen wir mit Spidering der Websi- nen Parameter „Errorcode=09001“ nach der Anmeldung
te mit Hilfe der Burp Suite und DirBuster, wobei wir sehr mit dem Testbenutzer übergibt. Diese Reaktion der Web-
bald etwas möglicherweise Nützliches finden. Zwei Da- applikation ist interessant, wir werden nun mit unserer Li-
teien, auf die nicht von der eigentlichen Webapplikation ste möglicher Benutzer aus der Reconnaissance Phase
verlinkt wird, die aber mit /admin/login.php und /admin/lo- login2.php erneut aufrufen und den ersten Namen „john“
gin2.php direkt aufgerufen werden können. Werden diese und ein Testpasswort in Erwartung auf die entsprechen-
beiden Testziele auf das Team aufgeteilt, kann jedes der de Reaktion eingeben. Perfekt, dieses mal antwortet die
Teammitglieder damit beginnen, weitere nützliche Infor- Webapplikation mit einem 302 Redirect, um den Brow-
mationen zu suchen. Wie immer in solchen Tests, finden ser dazu zu bringen, login2.php mit einem zusätzlichen
sich die üblichen Verdächtigen: detaillierte Informationen
über die auf dem Server eingesetzte Softwareversion
in den Response-Headern und Kommentare im Java-
script-Quellcode, welche Informationen über 3 mögli-
che Entwickler Preis geben (Paul Grady, Mary Kirby, Tim
Billington). Schließlich müssen noch alle E-Mailadressen
notiert werden, welche im Zuge des Spiderings gefun-
den werden konnten, und die Metadaten aller gefunde-
nen Office-Dokumente, PDF-Dateien oder JPG-Dateien
auf der Webseite nach Informationen durchsucht wer-
den. Die Metadaten bestätigen einige der schon gefun-
denen Namen und auch die Software-Versionen, die lo-
kal auf Clients verwendet werden, insgesamt führt das
aber zu keiner neuen Spur. Da clientseitige Angriffe auch
außerhalb des Testrahmens sind, können wir die aus
den Metadaten lukrierten Informationen nicht vollständig
ausnutzen.
Da es sich nur um eine kleine Website handelt,
konnten diese Informationen relativ einfach manuell
gesammelt werden. Bei größeren Websites hätten wir
wahrscheinlich ein Script oder ein Tool wie CeWL ver-
wendet, um diesen Prozess zu automatisieren.
Da wir nun eine Liste von Mitarbeiternamen und
E-Mailadressen haben können wir beginnen, Schwach-
stellen der Webapplikation auszunutzen. Während die
anderen Teammitglieder sich mit der eigentlichen We-
bapplikation beschäftigen, werde ich im ersten Schritt
die beiden Scripte login.php und login2.php genauer un-
tersuchen. Gehe ich auf die Seiten durch Burp Suite’s Abbildung 5.

hakin9.org/de 25
Angriff

Parameter „Errorcode=10001“ zu laden. Nach weiteren binationen wie den Vornamen alleine (john), Vorname.
Versuchen bestätigt sich der Verdacht, dass der PHP- Nachname(john.stclare), oder der Initial des Vornamens.
Code in login2.php einen unterschiedlichen ErrorCode Nachname (jstclare). Der Vollständigkeit halber füge ich
Parameter zurückgibt, abhängig davon, ob der eingege- der Liste auch noch für uns besonders interessante Be-
bene Benutzername korrekt ist. Das eignet sich erstkla- nutzernamen hinzu wie root, admin, administrator, ma-
ssig für eine User Enumeration Attacke und, wenn kein nager, sysop, system, backup und god. Wenn das keine
Lockout Mechanismus implementiert ist, auch für eine brauchbaren Ergebnisse liefert, wäre der nächste Schritt
Brute-Force Attacke gegen diejenigen Benutzernamen, die Groß- und Kleinschreibung zu verändern. Insgesamt
welche tatsächlich existieren. haben wir nun also 28 Möglichkeiten für den Test in die-
Ich lade den login2.php Request in den Intruder von ser ersten Phase, keineswegs zu viele.
Burp Suite und wähle aus dem POST Request den Da das PHP-Skript mit einer 302 Redirect Meldung
Teil mit dem Benutzernamen, um gegen diesen Wert ei- antwortet, gehe ich in Burp Intruder unter Options und
ne Sniper-Attacke durchzuführen. Das Passwort ist für setze die grep Parameter so, dass sie der HTTP Re-
mich derzeit noch nebensächlich, da ich nur eine Liste sponse und deren ErrorCode= Parameter im Header
aller gültigen Benutzernamen bekommen will. Als Pay- entsprechen. Um sicherzustellen, dass der Header
load verwende ich unsere Liste von Benutzernamen von auch untersucht wird, entferne ich die Selektierung von
der Webseite, whois und den Metadaten. Ohne zu wi- exclude HTTP headers und setzte die maximum captu-
ssen, wie die interne Namenskonvention aussieht, muss re length auf 1, da die erste Ziffer des ErrorCode aus-
ich die Liste aber erweitern: die Liste enthält nun Kom- reicht, um zu unterscheiden, ob ein Benutzer existiert

Abbildung 6.

Abbildung 7.

26 4/2010
User Enumeration mit Burp Suite

oder nicht (0 für einen falschen Benutzernamen, 1 für dem sechs gültige Benutzernamen gefunden wurden,
ein falsches Passwort). Es würde ja keinen Sinn erge- darunter auch ein „admin“ Benutzer, mache ich einen
ben, den ganzen ErrorCode Parameter zu vergleichen, Screenshot und der Ergebnisse und notiere mir die gül-
wenn deren einziges Unterscheidungsmerkmal in die- tigen Benutzernamen für später. Diese Liste wäre nun
sem Fall die erste Ziffer ist. ideal für Brute-Forcing Angriffe gegen deren Passwort,
Im Intruder ist es nach Beginn des Angriffs schon wenn dies im Testrahmen vereinbart worden ist. Sie
offensichtlich, dass die interne Namenskonvention dem kann aber auch dann hilfreich sein, wenn wir Zugriff auf
kleingeschriebenen Vornamen des jeweiligen Benutzers einen Server bekommen und eine Liste möglicher loka-
entspricht, was zwar in vielen kleinen Unternehmen so ler Linux Benuzterkonten zum Testen brauchen.
üblich ist, aber sehr bald nur mehr schwer zu verwalten Nun ist es aber an der Zeit, unsere Aufmerksam-
ist. Trotzdem, wir bekommen unsere gewünschten Er- keit auf login.php zu richten. Anders als login2.php gibt
gebnisse aus Burp Intruder, welche auch für die Entwi- diese Seite dem Benutzer den jeweiligen Fehler direkt
ckler bei Gikacom zu einem Umdenken führen werden, im Klartext aus. Fast einfacher als zuvor also. Da wir
wie sie in Zukunft ihre Webapplikationen testen. Nach- nun wieder einen Angriffvektor für eine User Enume-

Abbildung 8.

Abbildung 9.

hakin9.org/de 27
Angriff

ration Attacke gefunden haben, müssen wir nur Burp finieren. Wenn Sie ohnehin schon zu der zu testenden
Suite entsprechend konfigurieren, um einen solchen Webapplikation durch den Proxy navigiert haben, be-
Test auf login.php durchzuführen. Dieses mal werde ich kommen Sie eine Liste möglicher Ziele in der site-map
den Vorgang Schritt-für-Schritt erklären. und können per Kontext-Menü über den Eintrag add item
to scope die entsprechenden Einträge auswählen. Ach-
Schritt für Schritt ten Sie dabei aber darauf, sowohl HTTP als auch HTTPS
Öffnen Sie den Browser Ihrer Wahl und konfigurieren Sie Sites auszuwählen, da Burp Suite diese getrennt behan-
ihn so, dass er Burp als Proxy verwendet (dies ist übli- delt. Befindet sich Ihr Ziel dagegen nicht in der site-map
cherweise localhost, Port 8080, kann aber in den Einste- Liste, dann können Sie die URL in die include in scope
llungen von Burp geändert werden). Es ist wichtig, dass Liste direkt aufnehmen. Setzen Sie dazu den Protokoll-
Sie das Portswigger SSL Zertifikat akzeptieren, wenn typ (all, http oder https) und geben Sie den Domainna-
ihre Testziel HTTPS verwendet. Ich würde empfehlen, men/IP-Adresse und die gewünschte Portnummer ein.
das Zertifikat nur für die jeweilige Sitzung zu akzeptieren, Der zweite Schritt besteht darin, Burp Suite so zu kon-
um mögliche zukünftige Gefährdungen abzuwenden, au- figurieren, dass nun wirklich nur mehr der Traffic aus
ßer Sie wollen eine Man-in-the-Middle Attacke auf sich dem oben definierten „scope“ untersucht werden soll,
selbst ausführen, wenn Sie z.B.: das nächste Mal E-Ban- indem die entsprechenden intercept if Regeln erstellt
king Anwendungen verwenden. Als Nächstes gehen Sie und ausgewählt werden. Hier werden Sie zusätzlich die
auf die Seite login.php und drücken Sie den „intercept and URL is in target scope Regeln sowohl für clientse-
traffic“ Button in Burp Suite. Ab diesem Zeitpunkt können itige Requests als auch serverseitige Responses akti-
Sie jeglichen Traffic zwischen Ihnen und der Webappli- vieren wollen, um sicher zu gehen, dass sie die ganze
kation in Burp Suite untersuchen und verändern, bevor Client-/Serverkommunikation einsehen können. Um die
er abgeschickt wird. In der Standardeinstellung wird Burp Untersuchung des Traffics schnell ein-/auszuschalten,
Suite jeden Traffic, der von Ihrem Browser kommt, einse- können Sie dann den Button im proxy intercept Reiter
hen, was aber, abhängig vom Testrahmen, nicht in allen verwenden.
Situationen wünschenswert ist. Daher werden wir in Burp ANMERKUNG: Gehen Sie vorsichtig damit um, Burp
Suite’s Proxy über den Reiter Options und Target Scope Suite auf einen einzelnen Host zu beschränken, denn
die Einstellungen so vornehmen, dass Traffic von und für auch wenn es sinnvoll sein kann, um ungewünschte
andere Webapplikationen, die nicht im Testrahmen defi- Einsicht des Traffics durch den Proxy zu verhindern,
niert sind, unverändert durchgeschleift wird. kann es trotzdem zur Folge haben, dass Sie möglicher-
Der erste Schritt besteht darin, Burp Suite zu sagen, weise interessanten Traffic zu anderen Webseiten über-
welcher Traffic für unseren Test interessant ist. Im Rei- sehen. Stellen Sie daher auf jeden Fall sicher, dass die
ter Target können wir auf zwei Arten den Testrahmen de- Regeln den Testrahmen vollständig umfassen.

Abbildung 10.

28 4/2010
Studium

Bachelor-Studiengang ITSecurity
Master-Studiengang Information Security
IT-Infrastruktur sichern und managen.
Das Studium vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruk-
tur. Die Kombination aus Technik- und Managementwissen ist in Österreich einzigartig.
Sie bildet die Grundlage für die zukünftigen Security-ExpertInnen im Unternehmen, die
sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb beherrschen als auch
mit Management-Aufgaben vertraut sind.

Immer mehr Prozesse eines Unternehmens werden Der Master-Studiengang Information Security ist
EDV-unterstützt abgebildet und abgewickelt. als konsekutiver Studiengang auf dem Bachelor-
Computerviren, Hacker, Datenverluste, Webattacken Studiengang IT Security aufgebaut.
usw. stellen somit eine Bedrohung für die IT-Infra- Im Masterstudiengang wird der praktische Kompe-
struktur eines Unternehmens dar. Immer wieder hört tenzerwerb durch fächerübergreifende Problemstel-
man, dass hochsensible Daten verloren gehen oder lungen, Forschungsseminare, Projekte und der
in falsche Hände geraten. Bei einem Ausfall der wissenschaftlichen Abschlussarbeit (Diplomarbeit)
IT-Infrastruktur können wichtige Tätigkeiten nicht sichergestellt.
mehr erledigt werden, was zu einem beträchtlichen Diese 2-stufige Ausbildung macht die Absolvent-
finanziellen Schaden für das Unternehmen führen Innen zu gefragten ExpertInnen.
kann.
Daraus resultierend ergibt sich eine große Nachfrage Berufsfelder:
an Security-ExpertInnen, die sowohl die technischen  Sicherheitsbeauftragte/r (Chief Information-
Kenntnisse für einen sicheren IT-Betrieb aufweisen, Security-Officer)
als auch mit Management-Aufgaben vertraut sind.  Compliance Officer, Risikomanager
 IT-Governance ExpertIn
Ausbildungschwerpunkte:  Datenschutzbeauftragte/r
 AuditorIn
 IT-Betrieb
 IT Security Solution Engineer/Architect
 Netzwerktechnik
 Security-Consultant
 Sicherheitstechnologien
 IT Infrastructure Engineer
 Sicherheitsmanagement und Organisation
 Security Quality Assurance ManagerIn
 Transferable Skills
 Software Architect
 Software-Engineering
 IT-Solution Architect

Zertifizierungen Die AbsolventInnen sind qualifiziert, leitende und


planende Tätigkeiten auszuführen.
Im Rahmen des Studiums können folgende
Zertifizierungen erworben werden:
 CCNP – CISCO Career Certifications & Paths
 PHSE – PHION Security Engineer Get certified and
 MCITP – Microsoft Certified IT Professional you‘re on the spot!
 ITIL V3

Mit dieser Kombination aus Technik- und Management-


wissen zum/zur gesuchten SicherheitsexpertIn!

Fachhochschule St. Pölten GmbH


Matthias Corvinus-Straße 15, 3100 St. Pölten, Austria
T: +43/2742/313 228 - 632, E: is@fhstp.ac.at, I: www.fhstp.ac.at
Angriff

Um die Informationen, die wir benötigen, in Burp Su- est entfernen, da er nicht mehr länger benötigt wird. Wir
ite zu bekommen, müssen wir uns in der Webapplika- wissen ohnehin schon, dass die Antwort von login.php
tion als Testbenutzer anmelden (oder versuchen, das username not found oder password incorrect sein wird.
Passwort zurückzusetzen, eine IM zu versenden oder Für den weiteren Verlauf des Tests verwenden wir nun
was auch immer als Schwachstelle in der zu testenden den Intruder Reiter.
Webapplikation gefunden werden konnte). In diesem Burp Intruder hat vier weitere Reiter, welche es er-
Fall geben wir test und test in der Anmeldemaske von möglichen, die Testeinstellungen entsprechend Ihrer
login.php ein und senden die Eingaben an die Webap- Bedürfnisse anzupassen. Im Gegensatz zum „Target“
plikation. Wenn Sie Burp Suite korrekt konfiguriert ha- Reiter (erklärt sich von selbst) werden wir uns den „Po-
ben, sollte es nun Ihren Request untersuchen und für sitions“ Reiter vornehmen, da wir dort festlegen kön-
Sie im proxy intercept Reiter zur Einsicht und Verände- nen, an welcher Stelle im Request welche Ersetzungen
rung wie gewünscht bereit halten. Wie Sie in Burp se- vorgenommen werden müssen bzw. den Angriffstyp
hen können, senden wir einen POST Request mit den ändern können (auch wenn die Oberfläche anfangs
Parametern „username“ und password, beide auf test ein bisschen verwirrend ist). Abhängig von der Web-
gesetzt, zu login.php. Um die Informationen aus die- applikation wird Burp Suite versuchen, die nahe lie-
sem Request im Burp Intruder zu übernehmen, klicken gendsten Punkte zum Einfügen von Daten für unse-
Sie auf den Action Button wählen Sie Send to Intruder. re Tests selbst auszuwählen. In unserem Test wollen
Jetzt können Sie mittels Drop Button den Logon-Requ- wir aber keine Brute-Force Attacke auf alle Felder dur-
chführen, daher löschen wir diese automatisch ausge-
wählten Punkte mit dem „Clear §“ Button. Wenn der
Bildschirm nun frei von roten Markierungen ist, suchen
wir nach der Stelle im Request, wo der Testbenutzer-
name aufscheint. Der Request wird zwar bei jeder
Webapplikation anders sein, wird aber höchstwahrs-
cheinlich ein POST Request sein, die Parameter wer-
den also am Ende des Requests übergeben (dies ist
auch bei login.php der Fall). Wenn die Webapplika-
tion aber einen GET Request verwendet, werden die
Parameter an der URI am Beginn des Request ange-
hängt. Für die Sicherheit der Webapplikation ist das
eine denkbar schlechte Idee, wird aber im Internet
trotzdem gerne verwendet. Haben Sie dann den Test-
benutzernamen im Request gefunden, setzen Sie den
Abbildung 11. Cursor davor und drücken Sie den „add §“ Button und
wiederholen Sie den Vorgang am Ende des Testbe-
nutzernamens noch einmal, um den Punkt, wo Daten
eingefügt werden müssen korrekt auszuwählen. Burp
wird nun alles, was sich zwischen diesen Markierun-
gen befindet, mit den entsprechenden Werten aus der
Liste möglicher Benutzernamen ersetzen. Bevor Sie
aber weitermachen, vergessen Sie nicht die Option „at-
tack style“ korrekt zu wählen: in diesem Fall verwenden
wir die „Sniper“ Attacke, da wir nur dieses eine Ziel ha-
ben. Die anderen Optionen können Sie nach ihren Be-
lieben ausprobieren, da sich hier noch einiges mehr als
nur einfache User Enumeration realisieren lässt. Burp
ist ein sehr mächtiges Werkzeug zum Testen von We-
bapplikationen und User Enumeration bedarf nur weni-
ger Funktionen davon.
Nachdem wir nun die notwendigen Ersetzungen im
Request konfiguriert haben, gehen wir weiter zum „Pay-
loads“ Reiter und legen fest, was wir in den Request
einfügen wollen. Was Sie hier genau benötigen, wird
stark von der Art des durchzuführenden Tests abhän-
gen. Sie konfigurieren Burp Intruder nun so, dass er die
Abbildung 12. Eingaben aus einer Datei bezieht, durch „Preset List“

30 4/2010
User Enumeration mit Burp Suite

und „load“, um die gewünschte Liste auszuwählen. Die- llen, dann ist die Option „Brute Forcer“ das Richtige für
se Liste sollte pro Zeile je ein Wort enthalten, um feh- Sie. Sie können den Zeichensatz und die minimale/ma-
lerfrei eingelesen zu werden. Für das login.php Beispiel ximale Länge entsprechend auswählen. Das kann auch
können Sie sehr einfach ein Wörterbuch erstellen, le- nützlich sein, wenn man Kontonummern oder numeri-
sen Sie einfach aus dem PHP-Code die gültigen Be- sche Anmeldedaten auflisten will. Es gibt auch noch
nutzernamen aus und erstellen Sie eine Liste davon. eine Fülle weiterer Optionen, aber für einfache User
Natürlich haben Sie ansonsten fast nie 100% genaue Enumeration sind diese nicht notwendig. Am Ende
Ergebnisse, oder, gerade wenn sie diese haben, ma- des „Payloads“ Tab können wir festlegen, ob speziel-
chen Sie vielleicht etwas falsch und sollten die Markie- le Zeichen URL-kodiert übertragen werden sollen, was
rungen für die Ersetzungen überprüfen. aber sicherlich von der Art ihres Angriffs und der jeweili-
Natürlich gibt es aber eine Reihe anderer Quellen für gen Webapplikation abhängt. Aber wie schon oben ge-
Wörterbücher (sie finden so manche gute Quelle bei sagt, wir machen nun eine Sniper Attacke.
den Links). Im Endeffekt ist aber ihr verwendetes Wör- Das letzte Puzzlestück ist der „Options“ Reiter. Die mei-
terbuch, egal ob fertig heruntergeladen oder selbst er- sten Leute werden über diesen hinweg sehen, aber wer-
stellt, stark abhängig von der zu testenden Webapplika- den dort die Einstellungen nicht entsprechend gesetzt,
tion. Ein guter Anfang ist aber sicherlich damit gelegt, ist es unmöglich zu wissen, ob ein Benutzer tatsächlich
wenn Sie die Website nach Kontaktdaten (E-Mailadre- existiert oder nicht. Burp kann schließlich nicht wissen,
ssen und Metadaten von Dokumenten sind hier beson- welche Mustervergleiche es in der Server Response ma-
ders nützlich) absuchen und daraus ihr Wörterbuch er- chen soll. Am Ende des „Options“ Reiter finden Sie die
stellen. Wie sie das machen, ist auch Ihnen überlassen, „grep“ Einstellungen, die schon eine Liste mit Standard-
Sie können dazu entweder ein Script schreiben oder einstellungen von Burp enthält, jedoch nicht die für un-
auch ein Tool wie CeWL (Custom Word List Generator) sere Tests notwendige Option enthält (denken Sie an die
von DigiNinja verwenden. Die Erstellung von passen- Reconnaissance Phase). In unserem Beispiel suchen
den Wörterbüchern würde aber einen eigenen Artikel wir nach dem Text „password incorrect“. Bei einer ande-
füllen, daher lasse ich Ihnen die Wahl, welche Methode ren Webapplikation kann das aber ein spezifischer HT-
Sie verwenden wollen. Verwenden Sie am besten wget ML-Tag, URL-Parameter (zb.: ?logon= oder ?ErrorCo-
und ein paar Filter (sort, uniq) für bessere Ergebnisse. de=) oder ein einfacher Textstring wie hier sein.
Zurück aber zu den Burp Intruder Optionen. Wenn Beginnen Sie damit, die Standardeinstellungen aus
Sie einfach eine Brute-Force Attacke durchführen wo- der Liste mit Hilfe des „Clear“ Button zu entfernen, fü-

Abbildung 13.

hakin9.org/de 31
Angriff

gen Sie ihre gewünschten Mustervergleiche mit Strings Test mit einer lizenzierten Version von Burp durch-
aus der HTTP Response in die „add“ Box ein und über- führen und sensible Produktivumgebungen testen müs-
nehmen Sie diese anschließend mit einem Klick auf sen. Dann können Sie die produzierte Last für den Ser-
„add“ in die Liste. Versuchen Sie aber, dies so genau ver oder die Verbindung zwischen Ihnen und dem Ser-
als möglich zu definieren und achten Sie dabei auch ver begrenzen, um nicht den Server, den Router oder
auf Groß- und Kleinschreibung bzw. ob Sie auch HTTP die Leitung mit HTTP Requests zu überlasten. Denial of
Header Optionen inkludieren wollen. Wenn Sie näm- Service befindet sich ja nur sehr selten innerhalb eines
lich einen URL Parameter prüfen wollen wie beim An- Testrahmens in Produktivumgebungen.
griff auf login2.php notwendig, müssen Sie die Au- Haben wir einmal alle diese Optionen gesetzt, können
swahlbox „exclude HTTP headers“ deselektieren oder wir mit der User Enumeration beginnen. In der obersten
Sie bekommen keine Ergebnisse. Wie auch bei vielen Menüleiste finden Sie einen Eintrag „Intruder“, den Sie
anderen Applikationen gibt es eine Reihe weiterer Pa- einfach anklicken. Diejenigen von Ihnen, die die freie
rameter, die Sie hier verändern könnten, Sie könnten Version verwenden, werden jetzt einen Hinweis beko-
Cookie Werte, Redirect Optionen und Timingwerte, mmen, dass der Intruder nur eine Demo-Funktion ist und
je nach Webapplikation und Testkriterien setzen. Ti- die lizenzierte Version eine Reihe weiterer Funktion be-
ming ist ganz besonders interessant, wenn Sie den inhaltet. Ich selbst habe lange Zeit mit der freien Version

Abbildung 14.

32 4/2010
User Enumeration mit Burp Suite

gearbeitet (über ein Jahr) und fand sie perfekt für ein- kennen die Konventionen für die Zusammensetzung des
fache Proof-of-Concept Enumeration wie diese. Die Ge- Benutzernamens, auch beispielsweise von einer Kon-
schwindigkeit der lizenzierten Version und die zusätzli- taktliste heraus, dann ist es durchaus nicht unmöglich
chen Scanner Funktionalitäten machen einem das Leben alle verwendeten Benutzernamen zu finden.
als professioneller Penetration Tester aber dennoch ein- Wie zuvor erwähnt ist Burp Suite ein mächtiges Tool,
facher, das sollten einem die ₤125 für eine 12monatige wenn es um Tests bei Webapplikationen geht, und defi-
Lizenz von Version 1.2 schon wert sein. Alleine schon die nitiv nicht nur auf User Enumeration beschränkt. Der In-
zusätzlichen Intruder Funktionen machen es wert, aber truder kann auch für Password Brute-Forcing oder ein-
wie gesagt, das liegt bei Ihnen. Verwenden Sie die freie fache Fuzzing Angriffe verwendet werden. Insgesamt
Version sollte der Scan mit einer Liste von 128 Namen würde ich jedem Penetration Tester von Webapplikatio-
etwas weniger als 5 Minuten dauern, mit der lizenzierten nen empfehlen, sich die Funktionen von Burp Suite ge-
Version erledigen Sie ihn dagegen in 10 Sekunden. nauer anzusehen.
Also zurück zur Enumeration. Abhängig von Ihrem Wör-
terbuch kann das also eine Weile dauern (ganz besonders, Andere Angriffsvektoren
wenn Sie die freie Version verwenden), wenn Sie aber Neben der Enumeration von Informationen aus der Web-
erwarten, dass Sie ein Wörterbuch mit 10.000 Wör-tern applikation heraus kann ein potentieller Angreifer auch
verwenden können und unmittelbar danach Ergebnisse direkt an die Quelle gehen, um dort Benutzernamen zu
bekommen, werden Sie enttäuscht sein. Einerseits wird ermitteln. Sie fragen sich nun vielleicht, wie das möglich
nämlich das Unternehmen, für das Sie den Test durch- sein soll? Indem er direkt vom Apache Webserver die
führen, eine Reihe von fehlerhaften Login-Versuchen in Benutzerkonten des darunter liegenden Betriebssystem
deren Server- und Applikationsprotokollen finden, ande- abfragt und diese wertvolle Information zwar nicht direkt
rerseits werden Sie nun in Burp eine Liste bekommen, zur Exploitation, wohl aber im Zuge der Post-Exploita-
welche Ihre Payload, die Status Message (ca. 200 bei lo- tion verwenden kann. Sie kennen vielleicht das Apache
gin.php) und Ihren Mustervergleich (in diesem Fall „pas- Modul mod_userdir, welches gerne vor allem von Schu-
sword incorrect“) enthält. Ihre Ergebnisse können hier len und Universitäten zur Bereitstellung von Webspa-
variieren, ganz abhängig von Ihrer gewählten Payload, ce für ihre Studenten verwendet wird, auf diesen kön-
z.B.: werden Sie bei einem reinen Brute-Force Angriff nen sie dann mit der URI /~username zugreifen. Auch
auch eine geraume Zeit auf das Ende der Tests warten viele Unternehmen verwenden, wenn auch manchmal
müssen (die Brute-Force Attacke kann hier zwar oft in- aus einem Irrtum heraus, diese Funktionalität. Mit einer
teressante Ergebnisse bringen, ist aber üblicherweise Liste möglicher Benutzernamen (root, ftp, guest, etc …)
nicht die Methode erster Wahl). Wenn Sie dagegen ein können wir anhand der Responses wieder eine Enu-
sorgfältig zusammengestelltes Wörterbuch verwenden meration Attacke durchführen und die gültigen Benu-
bekommen Sie wahrscheinlich bessere, vor allem aber tzernamen herausfiltern. Der einzige Unterschied für
schnellere Ergebnisse. Noch besser wäre natürlich, Sie Sie dabei ist, dass Sie nun nicht einen Mustervergleich

Abbildung 15.

hakin9.org/de 33
Angriff

„OK“ und beweist, dass der Request einen gültigen URI


enthalten hat und dieser abgerufen werden kann. Der
Status Code „403“, „Access Forbidden“, zeigt an, dass
die URI aus dem Request zwar existiert, wir darauf aber
nicht ohne Weiteres zugreifen dürfen. Ein Status Code
„404“ wird zu „Not Found“ und zeigt an, dass eine URI
Abbildung 16. nicht existiert. Für einen vollständigen Überblick über
alle Status Codes sei aber auf RFC-2616 verwiesen.
auf den Inhalt der HTTP Response anwenden, sondern Wann immer wir also einen „200 OK“ oder eine „403
direkt anhand des Status Code (200, 404, 403, 302, …) Access Forbidden“ Status Code erhalten, können wir
sehen, ob ein Benutzername existiert oder nicht. davon ausgehen, dass der Benutzer auf dem jeweili-
Wie Sie anhand des obigen Bildes erkennen kö- gen Server existiert. Bei einer HTTP Response „200 OK“
nnen, haben wir eine Reihe möglicher Benutzerkonten können wir den Inhalt ohne jegliche Authentifizierung
auf dem Server gefunden. Um ein genaueres Bild zu sehen. „403“ dagegen weist darauf hin, dass die Re-
bekommen, müssen Sie die HTTP Status Codes ke- ssource zwar existiert, wir auf diese aber nicht zugreifen
nnen. Von den drei unterschiedlichen Codes, die Sie dürfen. Es gibt bei diesem Status Code noch ein paar
zurückbekommen, hat der Code „200“ die Bedeutung Ausnahmen (wie z.B.: die Verwendung von mod_securi-

Abbildung 17.

34 4/2010
User Enumeration mit Burp Suite

ty zur Zugriffsbeschränkung), aber üblicherweise werden auf diesem System für spätere Verwendungszwecke wie
wir damit die benötigten Informationen erhalten. Es zahlt Brute-Force Angriffe, Social Engineering oder eine Reihe
sich zusätzlich aus, alle HTTP Responses mit Status Co- anderer möglicher Angriffsvektoren zu erstellen.
de „200“ zu untersuchen, um festzustellen, welche Art Wie bei vielen Beispielen auch erwähnt, gibt es vie-
von Information hier frei zugänglich gemacht wird. Wie le andere Tools, mit denen Enumeration von Informa-
auch immer, das Ziel hier ist aber eine Liste der Benutzer tionen durchgeführt werden kann, für das mod_userdir

Abbildung 18.

Abbildung 19.

hakin9.org/de 35
Angriff

Beispiel würde sich wahrscheinlich das TheDirBuster zu umgehen. Sogar die Captchas können mit etwas kom-
Projekt von OWASP genauso eignen, da es eine Liste plexeren Scripts umgangen werden, wie Beispiele aus
gängiger Benutzernamen enthält und auch die Möglich- der Vergangenheit (Yahoo, Google) beweisen. Außerdem
keit bietet, per Brute-Force schwer zu findende kann es mit Captchas auch zu Problemen der Bedienbar-
Ressourcen und Verzeichnisse aufzulisten. keit kommen, aber das ist eine ganz andere Geschichte.
Was können nun Wordpress oder Apple tun, um die
Zusammenfassung gezeigten Schwachstellen zu bereinigen?
Was können also Ihre Webentwickler nun tun, um Ihre Im Fall von Wordpress reicht es aus, einfach die Mel-
Applikationen vor solchen Attacken zu schützen? Wie dung an den Benutzer so zu verändern, dass „Userna-
bei vielen Schwachstellen in Webapplikationen ist auch me/Password incorrect“ keinen Rückschluss auf die
diese einfach zu besprechen, aber nicht einfach zu ver- Gültigkeit des Benutzernamens erlaubt. Ich glaube aber
hindern. In einfachen Worten gesprochen, müssen Ihre dennoch, dass hier eher ein geschäftlicher als ein tech-
Webentwickler nur sicherstellen, dass jegliche Informa- nischer Hintergrund besteht, darum ist auch ein SDLC
tion, die dem Benutzer zurückgegeben wird (sichtbar im (Secure Developement Lifecycle) so wichtig. Man kann
HTML-Code oder im HTTP-Header) unabhängig von eine ständig weiterentwickelte Webapplikation nicht an-
der serverseitigen Reaktion vollkommen gleich ist. Wie ders schützen, als durch ständige Sicherheitsüberprüfung
wir gezeigt haben, gibt es eine Reihe von Punkten, wo schon während der Entwicklung. Wird eine Applikation
ein Penetration Tester hier ansetzen kann (URL Para- einmal der Öffentlichkeit zugänglich gemacht, könnte es
meter, HTML Inhalte, Cookie Werte), die Liste ist lang. schon zu spät für viele Änderungen sein. Wären aber die
Sogar anhand geringfügiger Unterschiede der jeweili- Fehler vor Veröffentlichung gefunden worden, wäre es
gen Antwortzeit des Servers kann, so die Theorie, auf- wahrscheinlich einfacher gewesen, die Rückmeldungen
grund der längeren Antwortzeit der Backend-Datenbank für den Benutzer sicherer zu gestalten. Schlussendlich
(Millisekunden) festgestellt werden, ob ein Benutzer- wird ein Benutzer niemals eine Funktionalität vermissen,
name korrekt ist oder nicht. Dieser Angriffsvektor kann die niemals in einer öffentlichen Version verfügbar war.
aber viel schwerer ausgenutzt werden, da hier eine Im Fall von Apple ist die Situation um Einiges komplizier-
Reihe von Komponenten involviert sind, aber es ist den- ter. Da sich die Lücke in der Funktionalität zum Zurück-
noch möglich. Manche Blind SQL Injection Techniken ba- setzen des Passworts befindet, müsste Apple’s Websei-
sieren auf derselben Theorie bezüglich der Antwortzeit. te immer eine Erfolgsmeldung anzeigen, auch wenn die
Jeglicher Unterschied kann also verwendet werden, um eingegebene E-Mailadresse nicht korrekt ist. Dies würde
Gültigkeit oder Ungültigkeit von übermittelten Werten zu dann die Auflistung aller gültigen E-Mailadressen (durch
verifizieren, Benutzernamen sind dafür nur ein Beispiel. jeden Angreifer, Spammer oder Phisher) verhindern,
Das Geheimnis liegt also darin, einen Kompromiss zwi- aber auch Benutzer treffen, die ihre E-Mailadresse falsch
schen Webapplikationssicherheit und –bedienbarkeit zu eingegeben haben. Die Verwendung eines Captchas
finden, was eigentlich im Sicherheitsumfeld in allen Be- könnte nun auch vor möglichen Angriffen schützen, den-
reichen der Fall ist. Wenn Sie also die Meldungen für Be- noch muss hier wieder Sicherheit und Benutzbarkeit in
nutzer aus bestimmten Gründen nicht verändern können, die Waagschale gelegt werden: mehr als oft wird daher
dann sollte es reichen, eine Verifikation mit „Captchas“ das Risiko verbunden mit derartigen Attacken akzeptiert.
zusätzlich nach z.B.: drei falschen Anmeldeversuchen Schlussendlich können wir nur versuchen, die Dinge
zu implementieren, um User Enumeration zu verhindern. besser zu machen. You can lead a horse to water, but
Stellen Sie dabei nur sicher, dass der Auslöser für diese you cannot make him drink - John Heywood
erweiterte Verifikation nicht selbst wieder eine erkennbare
Veränderung darstellt, keinesfalls also ein URL Parame-
ter, Cookie Wert oder ein anderer Wert ist, den ein An-
greifer nur verändern bzw. entfernen muss, um die Sache

Links
Burp Suite --> www.portswigger.net
IT-SecX (DE) --> http://itsecx.fhstp.ac.at/includes/archiv_2008/
unterlagen_2008.html
Wordlists --> http://www.cotse.com/tools/ CHriS JOHn riLEY
CeWL --> http://www.digininja.org/cewl.php Der Autor ist ein IT Security Analyst bei der Security Compe-
Apache Mod_userdir -- > http://httpd.apache.org/docs/2.2/ tence Center der Raiffeisen Informatik GmbH, Österreich.
mod/mod_userdir.html Chris gehört zu den aktiven Bloggern (www.22.cc) und Sie
DirBuster --> http://www.owasp.org/index.php/Category: können Ihn auch auf Twitter finden (twitter.com/ChrisJohn-
OWASP_DirBuster_Project
Riley). Vielen Dank an Bernhard Thaler für die Unterstützung
HTTP/1.1 Server Response Codes --> http://www.w3.org/Pro-
tocols/rfc2616/rfc2616-sec10.html bei der Übersetzung dieses Artikels für die Veröffentlichung in
der deutschen Ausgabe.

36 4/2010
splunk> Googlelize your logs.
Hi Nerds, hi Admins! Tired searching logs by hand?

Suchen auch Sie jeden Tag in Hunderten von Gigabyte


Logs herum, um Probleme zu lösen? Träumen Sie dabei Splunk Offers a New Approach
jedesmal von einem geeigneten Werkzeug? Wir haben es No schema, no RDBMS, all your IT data.
für Sie: splunk>.

splunk> ist das effiziente Werkzeug für Ihre Log-Analyse.


Sie können damit alle Logformate Volltext-Indexieren
und an einem zentralen Punkt erfassen, in Echtzeit
durchsuchen, analysieren, visualisieren, reporten und
alerten.

Mit splunk> reduzieren Sie deutlich Ihren Zeitaufwand


zur Fehlererkennung, gewinnen Transparenz, steigern
Verfügbarkeit und IT-Sicherheit. Und Sie können ent-
spannen und pünktlich nach Hause gehen.

10 % Extra Rabatt * und


kostenloser Support während der Testzeit
* auf den empfohlenen EVP gültig bis 31.07.2010

splunk> Testwochen
Discover New Intelligence from Business & IT Data

splunk> - Highlights
Business Systems » Erfassung von Logdaten beliebiger Betriebssyste-
Customers me, Anwendungen, Netzwerkgeräte, Sicherheitslö-
Sales sungen, JMX and J2EE stack traces - in Echtzeit
Tariffs » Vordefinierte Dashboards, Searches, Reports, Alerts,
Finance Correlations
» Skalierbare, flexible, verteilbare Systemarchitektur
für alle gängigen OS
Operations Systems » Performante, skalierbare Indexierung bis 5 TB/Tag
» Intelligente und verteilte Suchfunktionen
Applications
Servers » Erkennung von Spikes, Anomalien und Trends
Network Devices » Integration mit Verfügbarkeits-Monitoring, Incident
Virtual Machines Management und Trouble Ticketing Systemen

splunk> Needle. Haystack. Found.


Jetzt registrieren:
splunk@it-cube.net
>> www.it-cube.net/splunk
Phone: +49 (0)89 2000 148 00
Abwehr

Quanten-Kryptografie (Teil 3) –
Schlüsselaustausch-Protokolle
Dr. Stefan M. Ritter

Schlüsselaustausch-Protokolle der Quanten-Kryptografie beruhen


auf zwei verschiedenen Prinzipien, zum Einen auf der Präparierung/
Messung von Qubits und zum Anderen auf der Verschränkung eines
Qubit-Paares. BB84, als Vertreter der ersten Kategorie, ist das erste
und immer noch wichtigste Quanten-Protokoll.

In diesem Artikel erfahren Sie... Was Sie vorher wissen/können sollten...


• Was Prepare&Measure Protokolle sind; • Mathematische Grundkenntnisse;
• Was Verschränkungs-Protokolle sind; • Grundkenntnisse der Quanten-Kryptografie.
• Funktionsweise des BB84 Protokolls;
• Lauschstrategien gegen BB84;
• Funktionsweise des E91 Protokolls.

D
urch die Präparation von Qubits in bestimmten beide Kommunikationspartner jeweils eines erhalten
zufälligen Zuständen lässt sich erreichen, dass und Messungen durchführen.
das Abhören der übertragenen Schlüsselbits Die beiden bekanntesten Protokolle sind BB84
durch einen Angreifer zwangsläufig in einer erhöhten (Prepare&Measure) und E91 (Entanglement), die im
Fehlerrate resultiert und damit feststellbar wird. Der In- Folgenden vorgestellt werden. Aufgrund seiner großen
formationsgewinn eines Angreifers kann dadurch be- Bedeutung liegt der Schwerpunkt dabei auf BB84, das
liebig verringert werden. E91 dagegen verwendet das im Jahr 1984 von Bennett und Brassard entwickelt wur-
Prinzip der Verschränkung, um ebenfalls maximale de (daher auch der sprechende Name).
Sicherheit beim Schlüsselaustausch zu erreichen. Dieses Protokoll wurde zum ersten Mal 1991 mit pola-
In den ersten beiden Teilen dieser Reihe über Quan- risierten Photonen praktisch umgesetzt, wobei ein Quan-
ten-Kryptografie (QC, [1] und [2]) wurde neben einer ten-Schlüssel über eine Strecke von 32 cm übertragen
allgemeinen Einführung in die Grundprinzipien der QC wurde, 2001 gelang dies über etwa 23 Kilometer. Mit
auch der Formalismus vorgestellt, der die Basis für QC- heutigen Techniken sind über Glasfaser und Free-To-
Protokolle bildet. In der QC geht es im Wesentlichen Air Entfernungen von über 100 Kilometer möglich und
um die Lösung des Problems des sicheren Schlüsse- kommerziell verfügbar.
laustauschs, bezeichnet als Quantum Key Distribution Obwohl die Sicherheit von BB84 inzwischen formal be-
(QKD). wiesen ist, ist es lohnenswert, mögliche Angriffsstrategien
Grundsätzlich gibt es heute zwei verschiedene Kate- (Lauschstrategien) genauer zu betrachten, da man so ein
gorien von QKD-Protokollen, die auf folgenden Grund- besseres Verständnis des Protokolls an sich gewinnt.
prinzipien beruhen: E91, das 1991 von Ekert unabhängig von BB84-Pro-
tokoll entwickelt wurde, basiert auf etwas komplizierte-
• Präparierung&Messung (Prepare&Measure) ren physikalischen Grundlagen (Stichwort Bell-Unglei-
• Verschränkung (Entanglement) chung). Ohne hier zu tief in die Details zu gehen, wird
zumindest der Ablauf des Protokolls dargestellt, um den
Bei ersteren werden vom Sender einzelne Qubits in Unterschied zu BB84 zu verdeutlichen.
bestimmten Zuständen erzeugt (präpariert), die dann
auf Empfängerseite gemessen werden. Verschrän- Das BB84-Protokoll
kungsprotokolle hingegen verwenden eine Quelle, die BB84 besteht aus folgenden Bestandteilen/Akteuren:
verschränkte Qubit-Paare erzeugt, von denen dann Einem Sender, Alice, einem Empfänger, Bob, einem

38 4/2010
Schlüsselaustausch-Protokolle

Quantenkanal zur Übertragung der Qubits sowie einem Die Zustände |0> bzw. |+> entsprechen also dem klassis-
klassischen Kanal zur Kontrolle und letztlichen Festle- chen Bitwert 0, entsprechend |1> bzw. |-> dem Bitwert 1.
gung der zu verwendenden Schlüsselbits. Dieser kla- Liegt der Zustand |+> bzw. |-> vor und man misst bzgl.
ssische Kanal ist erforderlich und muss authentifiziert Basis A, so ergibt sich mit gleicher Wahrscheinlichkeit
sein, damit kein Man-in-the-Middle Angriff möglich ist |0> oder |1>, während eine Messung bzgl. Basis B mit
und Alice und Bob den ausgetauschten Nachrichten Sicherheit den Zustand |+> bzw. |-> ergibt. Eine Mes-
vertrauen können. Es wird jedoch nicht verlangt, dass sung bzgl. Basis B bedeutet, dass man auf das vorlie-
klassischer und Quanten-Kanal vertraulich (verschlü- gende Qubit mit der Hadamard-Transformation in Basis
sselt) sind, die dort übertragenen Daten sind also prin- A überführt und anschließend bzgl. Basis A misst.
zipiell öffentlich. Analog ergibt sich mit gleicher Wahrscheinlichkeit |+>
Hinzu kommt üblicherweise noch ein Angreifer, Eve, oder |->, wenn der Zustand |0> bzw. |1> vorgelegen hat.
die versucht, die übertragenen Schlüsselbits in irgend-
einer Form abzuhören, um zumindest eine partielle bb84 ohne rauschen
Kenntnis des Schlüssels zu erlangen. Zum besseren Verständnis werden wir zunächst das
Das Ziel von BB84 ist nicht die Realisierung einer BB84 Protokoll idealisiert betrachten, i.e. ohne Rauschen
Verschlüsselung, sondern der sichere Austausch von auf der Leitung. In der Praxis können Übertragungsfeh-
Schlüsselbits, die anschließend zum Beispiel für ein ler auftreten, die zu einer Modifizierung des Protokolls
One-Time Pad genutzt werden können. führen, was weiter unten besprochen werden wird.
Typischerweise wird als Träger der Qubits die Polari-
sation von Photonen verwendet, es gibt aber auch an-
Infobox: Qubits & Co
dere Realisierungsmöglichkeiten. Qubits
Das Entscheidende an diesem Protokoll ist die Tat- Das, was in der klassischen Informationstheorie die Bits
sache, dass ein Mithören durch Eve für Alice und Bob sind, sind in der Quantenwelt die sogenannten Qubits. Sie
feststellbar ist, oder zumindest der Informationsgewinn sind die Träger der Quanteninformation und können physi-
Eves beliebig klein gemacht werden kann. Grundlage kalisch auf vielfältige Weise realisiert werden, zum Beispiel
über die Polarisation von Photonen oder den Spin von Teil-
dafür bilden keine komplexen mathematischen Prob- chen. Man fasst Qubits als Elemente eines 2-dimensionalen
leme, sondern Eigenschaften der Natur selber. Eigen- speziellen Vektorraums (Hilbertraum) auf, mit den beiden
schaften wie Superposition und Unschärfe, die man aus Grundzuständen |0> und |1>, entsprechend den klassischen
der klassischen Kryptografie so nicht kennt. Bitwerten 0 und 1. Die Menge {|0>,|1>} wird als Standardba-
Im Folgenden wird BB84 in einer Form präsentiert, sis dieses Vektorraums bezeichnet.
Im Gegensatz zu Bits können sich Qubits in einer Überlage-
die unabhängig von der konkreten Umsetzung ist. Auf
rung, einer Superposition dieser beiden Zustände befinden:
einen Transfer auf die Praxis wird dann am Ende dieses |ψ> = α|0> + β|1>. α und β sind komplex-wertige Zahlen, be-
Beitrags eingegangen, indem zum Beispiel die Polari- zeichnet als Wahrscheinlichkeitsamplituden. Führt man ei-
sation des Lichts als Träger der Qubits verwendet wird. ne Messung an einem Qubit durch, so ergibt sich mit der
Im BB84-Protokoll werden die Qubits in vier verschie- Wahrscheinlichkeit |α|2 der Zustand |0>, mit Wahrschein-
denen Zuständen kodiert, wobei jeweils zwei dieser lichkeit |β|2 der Zustand |1>. Damit die Wahrscheinlichkeit
insgesamt 1 ergibt, gilt die Rahmenbedingung |α|2 + |β|2 =
Zustände zu einer Basis gehören. Die beiden Zustands- 1.
vektoren einer Basis sind zueinander orthogonal (ma- Bras und Kets
thematisch ausgedrückt ergibt ihr Skalarprodukt Null). Das Symbol |ψ> geht auf Dirac zurück und wird als ket be-
Betrachtet man jedoch zwei Zustandsvektoren, die je- zeichnet, entsprechend heißt <ψ| bra, abgeleitet von en-
weils zu einer anderen Basis gehören, so stehen die- glisch bracket. Für zwei Qubits ist ein Skalarprodukt defi-
niert: <Φ,ψ>, das den Anteil von ψ in Richtung von Φ aus-
se nicht orthogonal zueinander. Diese Eigenschaft ist
drückt. Zwei Qubits heißen orthogonal, wenn ihr Skalarpro-
wichtig für die Sicherheit von BB84. dukt 0 ergibt.
Letztere Eigenschaft bedeutet nämlich, dass die Me- Hadamard-Transformation
ssung eines Basisvektors in der anderen Basis maxi- Änderungen des Qubit-Zustand bildet man mathematisch
mal unbestimmt ist (siehe zum Beispiel [2]) oder anders mit speziellen Matrizen ab, sogenannten unitären Matrizen.
ausgedrückt: man kann den Zustand eines Qubits nicht Ein wichtiges Beispiel ist die Hadamard-Matrix H, die die
Standardbasis in eine andere Basis des Qubit-Vektorraums
gleichzeitig genau bzgl. beider Basen bestimmen. überführt:
Die Standardbasis A={|0>,|1>} sowie die Hadamard-
Basis B={|+>,|->} erfüllen diese Voraussetzung, wobei H = 1/
folgende wichtige Beziehungen gelten:
H |0> = 1/ (|0> + |1>) = |+>
H |1> = 1/ (|0> - |1>) = |->
|+> = 1/ (|0> + |1>) (Bitwert 0) Diese beiden neuen Vektoren werden mit |+> und |-> be-
|-> = 1/ (|0> - |1>) (Bitwert 1) zeichnet und bilden ebenfalls eine Basis des 2-dimensiona-
|0> = 1/ (|+> + |->) (Bitwert 0) len Qubit-Vektorraums.
|1> = 1/ (|+> - |->) (Bitwert 1)

hakin9.org/de 39
Abwehr

Das idealisierte BB84 besteht aus folgenden Phasen Die Grundidee von BB84 besteht darin, dass Alice
(siehe Abbildung 1a): den Zufall entscheiden lässt, bzgl. welcher Basis sie die
einzelnen Qubits präpariert. Bob auf der Empfängersei-
• Kommunikation über den Quantenkanal und te wählt ebenfalls zufällig eine Basis aus und führt bzgl.
Bestimmung des raw key dieser eine Messung durch. Haben sie jeweils die glei-
• Bestimmung sifted key über den klassischen Kanal che Basis gewählt, erhalten beide das gleiche Ergeb-
• Detektierung eines Angreifers nis, wenn nicht, stimmt, wie wir gesehen haben, das
• Festlegung des secret key Ergebnis nur noch in der Hälfte der Fälle überein, es
kommt also eine feststellbare Abweichung ins Spiel.
Ziel ist es, einen geheimen Schlüssel zu erstellen Nachdem Alice ihre Qubits zufällig in 0 oder 1 präpa-
(secret key), von dem die Sender und Empfänger hin- riert hat (bzgl. Basis A oder B), schickt sie diese an Bob,
reichend sicher sein können, dass ein Angreifer keine der sie seinerseits bzgl. einer zufällig gewählten Ba-
oder nur minimale Kenntnis davon besitzt. Dies erfolgt sis misst. Damit ergibt sich auf beiden Seiten ein raw
über Zwischenschlüssel (raw und sifted key), wie noch key, der jedoch nicht notwendigerweise übereinstimmt.
deutlich werden wird. Die nachfolgend beschriebenen Denn die Ergebnisse können nur dann genau korrelie-
einzelnen Phasen sind in der Infobox zum BB84-Pro- ren, wenn beide jeweils die gleiche Basis verwenden,
tokoll zusätzlich in übersichtlicher Form dargestellt. andernfalls gibt es zufällige Abweichungen. Da beide

Abbildung 1: Das BB84-Protokoll

40 4/2010
Schlüsselaustausch-Protokolle

statistisch in 50% der Fälle gleiche Basen verwenden, Durch den Austausch der Information, welche Basis jewe-
messen sie in diesen Fällen mit 100% Wahrscheinlich- ils genutzt wurde, müssen im idealisierten BB84-Protokoll
keit das Gleiche. In den anderen 50% der Fälle verwen- nun alle Bits übereinstimmen, sofern kein Angreifer Eve im
den Alice und Bob jedoch verschiedene Basen. Dann Spiel ist. Greift Eve jedoch ein, kommt es zu Abweichungen
entscheidet der Zufall und in der Hälfte dieser Fälle im sifted key. Warum ist das so? Aufgrund des No-Cloning
messen beide das gleiche Ergebnis. Insgesamt ergibt Theorems ist es im Allgemein unmöglich, perfekte Kopien
sich somit eine statistische Gesamtübereinstimmung von Qubits anzulegen, ein großer Unterschied zu klassis-
von 75% (½ + ½ * ½ = ¾). Abbildung 2 zeigt die Ergeb- chen Bits. Folglich kann Eve die übertragenen Qubits nicht
nisse für die möglichen Fälle. einfach kopieren. Alternativ kann Eve die Qubits messen,
Als Beispiel betrachten wir das dritte und vierte übertra- den festgestellten Zustand auf neue Qubits präparieren
gene Qubit aus Abbildung 2. Das dritte Bit wird von Alice in und diese dann an Bob weiter schicken. In der Quanten-
Basis A als |1> kodiert, was einem Bitwert 1 entspricht. Bob welt verändert eine Messung aber die Zustände der Qubits,
wählt ebenfalls Basis A und misst dann mit Sicherheit eben- weshalb Bob und Alice Abweichungen feststellen werden,
falls den Wert 1. Beim vierten Qubit hingegen wählt Bob Ba- die eigentlich nicht auftreten dürften.
sis B und misst somit zufällig entweder 0 oder 1. Korreliert Welchen Fehler Eve genau verursachen würde, wer-
ist also das dritte Qubit, das vierte hingegen nicht. den wir weiter unten in möglichen Lauschstrategien be-
Um dieses Problem zu lösen, kommunizieren Alice trachten.
und Bob im zweiten Schritt für jedes Bit, welche Basis
sie jeweils verwendet haben. Da bei gleicher Basis die bb84 mit rauschen
Ergebnisse gleich sein müssen, können sie diese Bits Das bislang betrachtete Szenario ist in der Praxis unre-
behalten und reduzieren damit den Schlüssel etwa auf alistisch, da auf dem Quantenkanal Übertragungsfeh-
die Hälfte. Diesen Schlüssel bezeichnet man als sifted ler auftreten können, wodurch es auch ohne Einwirken
key, im Gegensatz zum raw key, der auch nicht über- Eves zu Abweichungen in den übertragenen Bits ko-
einstimmende Bits enthalten kann. mmen kann, was dann fälschlicherweise als Angriff be-

Abbildung 2: BB84 idealisiert: Bits und Basen

hakin9.org/de 41
Abwehr

wertet würde. Es gibt jedoch Möglichkeiten, diese Pro-


Infobox 2: bb84-Protokoll blematik zu berücksichtigen.
Alice und Bob verwenden zwei komplementäre Basen:
Die Standard-Basis A = {|0>, |1>} sowie die Hadamard-Basis Das angepasste Protokoll besteht aus folgenden Pha-
B = {|+>, |->}. sen (siehe Abbildung 1b):
BB-84 ohne Rauschen (Abbildung 1a)
• Kommunikation über einen Quantenkanal und
• Alice wählt zufällig eine der beiden Basen A oder B und
präpariert Bitwerte 0 oder 1 bzgl. der jeweils gewählten
Bestimmung des raw key
Basis. Die präparierten Qubits werden über den Quan- • Bestimmung des sifted key über den klassischen Kanal
tenkanal an Bob verschickt. • Bestimmung der Fehlerrate QBER
• Bob empfängt die Qubits und führt jeweils Messun- • Fehlerkorrektur, falls QBER nicht zu groß
gen bzgl. der ebenfalls zufällig gewählten Basis A oder • Festlegung des secret key durch Privacy Amplification
B durch. Als Ergebnis haben Bob und Alice einen raw
key, der nicht notwendigerweise übereinstimmt.
• Bob teilt Alice über den klassischen Kanal mit, welche Der raw key und der sifted key werden zunächst ge-
Basis er bei den einzelnen Qubits verwendet hat. Ali- nauso bestimmt wie im BB84-Protokoll ohne Störung.
ce antwortet ihrerseits, welche Bob-Basis mit der von Nun ist jedoch klar, dass die Fehlerrate QBER (Quan-
ihr verwendeten Basis übereinstimmt. Bei Übereinsti- tum Bit Error Rate) in der Regel immer größer als 0
mmung behalten Bob und Alice das entsprechende Bit sein wird, da es neben Eves potentiellen Eingriffen auch
und erhalten so den sifted key.
zu Fehlern in der Übertragung kommen kann und wird.
• Bob und Alice tauschen m zufällige Bits des sifted key
über den klassischen Kanal aus und prüfen die Fehlerra- Deshalb wird zunächst der Wert von QBER bestimmt.
te QBER (Quantum Bit Error Rate), die durch die abwei- Es lässt sich zeigen, dass das BB84-Verfahren si-
chende Bits geteilt durch m gegeben ist. Ist sie größer cher ist, wenn QBER nicht zu groß ist (typischerweise
Null, wurden die Bits abgehört und der gesamte Schlü- <=11%). Indem Alice und Bob über den klassischen Ka-
ssel wird verworfen. Ansonsten verwerfen Bob und Ali-
nal eine Teilmenge ihrer Bits vergleichen, können sie
ce die übertragenen m Bits und erhalten aus den restli-
chen Bits den reduzierten secret key. den Wert von QBER abschätzen.
Nach dem Verwerfen der dabei ausgetauschten Bits
BB84 mit Rauschen (Abbildung 1b) sind Alice und Bob im Besitz eines reduzierten sifted
key, von dem sie jedoch ausgehen müssen, dass Eve
• Alice wählt zufällig eine der beiden Basen A oder B und
präpariert Bitwerte 0 oder 1 bzgl. der jeweils gewählten partielle Kenntnis besitzt. Im nächsten Schritt wird nun
Basis. Die präparierten Qubits werden über den Quan- eine klassische Fehlerkorrektur durchgeführt (z.B. über
tenkanal an Bob verschickt. Parity-Berechnungen), der zu einem korrigierten recon-
• Bob empfängt die Qubits und führt jeweils Messungen ciled key führt. Selbst nach dieser Korrektur kann nicht
bzgl. der zufällig gewählten Basis A oder B durch. Als ausgeschlossen werden, dass Eve noch immer partielle
Ergebnis haben Bob und Alice einen raw key, der nicht
notwendigerweise übereinstimmt. Kenntnis des Schlüssels besitzt.
• Bob teilt Alice über den klassischen Kanal mit, welche Um diese Kenntnis zu minimieren, wird abschließend
Basis er bei den einzelnen Qubits verwendet hat. Ali- ein Prozess namens Privacy Amplification durchgeführt.
ce antwortet ihrerseits, welche Bob-Basis mit der von Zum Beispiel können sich Alice und Bob auf zwei Posi-
ihr verwendeten Basis übereinstimmt. Bei Übereinsti- tionen in ihrem Schlüssel verständigen und verwenden
mmung behalten Bob und Alice das entsprechende Bit
statt der beiden Bits deren XOR-Wert als Bit des da-
und erhalten so den sifted key.
• Bob und Alice tauschen m zufällige Bits des sif- durch entstehenden secret key. Kennt Eve nur eines
ted key über den klassischen Kanal aus und besti- der beiden Bits, hilft ihr das nichts für die Kenntnis des
mmen die Fehlerrate QBER. Ist QBER nicht zu groß, re- XOR-Werts. Statt zwei Bits zu verwenden kann man
duzieren Bob und Alice den sifted key um die ausge- auch allgemein m Bits nehmen und deren XOR berech-
tauschten Bits und erhalten einen reduzierten sifted key. nen. Kennt Eve nur eines dieser m Bits nichts, kennt sie
Ist QBER zu groß, verwerfen Alice und Bob den gesam-
ten Schlüssel. auch das XOR-Ergebnis nicht. Dies ist sicherer als die
• Mittels klassischer Verfahren (XOR, Parities,...) wird über Verwendung eines XOR auf zwei Bits, reduziert aber
den klassischen Kanal eine Fehlerkorrektur durchge- auch den secret key, da mehr Bits verbraucht werden.
führt. Dies ergibt den reduzierten reconciled key, der mit Natürlich sind auch komplexere Methoden als hier be-
hoher Wahrscheinlichkeit fehlerfrei ist, von dem Eve je- schrieben möglich; entscheidend ist jedoch, dass durch
doch partielle Information haben kann.
diesen Prozess der Informationsgewinn Eves beliebig
• Um den Informationsgehalt von Eve zu verringern, wird
eine Privacy Amplification durchgeführt, indem zum Bei- klein gemacht werden kann. Am Ende dieses Proze-
spiel von Teilmengen der Bits Parity-Werte berechnet sses steht also ein zwischen Alice und Bob vereinbarter
werden, die dann als secret key dienen. Zum Beispiel ein geheimer Schlüssel, der secret key.
einfaches XOR zweier Bits kann als neues Bit des secret
key verwendet werden. Angriffsstrategien: Abfangen und weiterleiten
Es ist von Fehlern die Rede gewesen, die Eve verur-
sachen würde und die für die Beurteilung der Sicher-

42 4/2010
Schlüsselaustausch-Protokolle

heit von BB84 wichtig sind. Der exakte Nachweis der Fehler auf. Die Wahrscheinlichkeit, dass Eves Mithören
Sicherheit des BB84-Verfahren kann aufgrund der zu- nicht auffällt, beträgt dann (1-p/4)m, sofern wie zuvor m
grunde liegenden Komplexität hier nicht dargestellt wer- Bits des sifted key zur Fehlerbestimmung ausgetauscht
den, statt dessen beschränken wir uns auf zwei nahe werden.
liegende Angriffsszenarien: Mithören und Verschrän- Diese Wahrscheinlichkeit lässt sich also auch in die-
kung. Der Einfachheit halber betrachten wir den ideali- sem Fall beliebig klein machen, allerdings auf Kosten
sierten Fall (ohne Rauschen). einer erhöhten Austauschzahl von Bits.
Beginnen wir damit, dass Eve die übertragenen Qubits
abfängt, selber misst und das Ergebnis auf neue Qubits Angriffsstrategien: Verschränkung
präpariert, die sie dann an Bob weiter schickt. Zusammen fassend lässt sich also feststellen, dass die
Welchen Fehler würde Eve verursachen? Wenn sie einfache Mess-Strategie nicht funktioniert, da Eve durch
messen möchte, muss sie sich für eine Basis entschei- ihre Aktivität zwangsläufig Spuren hinterlässt. Kommen
den, A oder B. Da sie keine Information darüber besitzt, wir aber zu einer anderen, auf den ersten Blick viel ver-
welche Basis Alice gewählt hat, muss sie den Zufall ent- sprechenden Strategie:
scheiden lassen. In der Hälfte der Fälle wählt sie stati- Eve könnte versuchen, die originalen Qubits von Alice
stisch die falsche Basis, dann wiederum führt die an- mit ihren eigenen zu verschränken. Dann könnte Eve
schließende Messung bei Bob in der Hälfte der Fälle zu warten, bis Bob und Alice ihre gewählten Basen durch-
einem anderen Ergebnis als bei Alice. Das ergibt insge- geben, und anschließend ihrerseits ihr verschränktes
samt beim sifted key eine Fehlerrate QBER durch Eve Qubit entsprechend messen. Die Idee dabei ist, die In-
von 25%, wenn man annimmt, dass Eve jedes übertra- formation über den Zustand des Alice-Qubits auf das
gene Qubit misst. Anders ausgedrückt bleibt Eves Ab- Eve-Qubit zu übertragen, ohne das Alice-Qubit wirklich
hören in 75% der Fälle unbemerkt. zu messen und damit zu verändern. Dieser Angriff wird
Um Eves Aktivität festzustellen, wählt Alice m ihrer Bits als entangling-probe attack bezeichnet.
aus und teilt diese über den klassischen Kanal an Bob Es lässt sich allgemein zeigen, dass dieser Angriff
mit. Bob vergleicht diese Bits mit den seinen und bestim- ebenfalls nicht funktioniert, also der Informationsgewinn
mt die Anzahl der nicht übereinstimmenden Bits. Ist die Eves beliebig minimierbar ist. Eine einfache Illustration
dadurch gewonnene Fehlerrate > 0, schließen Bob und möge dies verdeutlichen:
Alice daraus, dass Eve die Qubits abgehört hat und bre- In [2] wurde gezeigt, wie sich mit Hilfe der CNOT-Trans-
chen die Schlüsselerzeugung ab. Wenn die Fehlerrate formation Qubits miteinander verschränken lassen. Dazu
QBER jedoch 0 ist, ist es statistisch dennoch möglich,
dass Eve unbemerkt mitgehört hat. Die Wahrscheinlich-
keit dafür ist aber je nach Wert von m sehr klein: Infobox 3: Das e91-Protokoll
• Eine (nicht notwendigerweise vertrauenswürdige) dritte
P(Eve bleibt unbemerkt) = (¾)m Stelle erzeugt verschränkte Qubits a (zum Beispiel po-
larisierte Photonen) im Zustand 1/ (|10> - |01>). Eines
Bei einem Wert m=100 ist diese Wahrscheinlichkeit davon erhält Alice, das andere Bob.
• Alice wählt zufällig eine Messbasis und misst ihr Qubit.
zum Beispiel etwa 10-13.
Bob wählt ebenfalls zufällig eine Messbasis und misst
Die übertragenen Bits müssen natürlich aus dem sif- seinerseits sein Qubit.
ted key entfernt werden, da sie über den öffentlichen • Über den klassischen Kanal tauschen sich Bob und Alice
Kanal übertragen wurden und damit bekannt sind. Ins- darüber aus, welche Basis sie jeweils verwendet haben.
gesamt ergibt sich also ein reduzierter secret key, der a) Stimmen die Basen überein, so wird das Messergebnis
mit beliebig hoher Wahrscheinlichkeit nicht abgehört Teil des sifted key.
b) Andernfalls dienen die Messergebnisse dazu, eine Be-
wurde. dingung aus der CHSH-Ungleichung zu überprüfen. Ist
Bislang wurde davon ausgegangen, dass Eve jedes diese Bedingung nicht erfüllt, ist dies ein Hinweis auf ei-
einzelne Qubit abhört. Dabei entsteht eine Fehlerrate nen Angreifer und der gesamte sifted key wird verwor-
QBER von 25%. Um die Angriffsaktivität zu verschle- fen.
iern, könnte Eve die Strategie dahingehend ändern, • Genau wie bei BB84 wird eine Abschätzung der Fehler-
rate QBER durchgeführt, eine klassische Fehlerkorrektur
dass sie nicht mehr jedes Qubit abhört, sondern nur
sowie eine Privacy Amplification durchgeführt. Am Ende
noch einen Bruchteil. Naturgemäß wird dann die Feh- steht dann ein secret key.
lerrate sinken.
Im idealisierten Fall ohne Übertragungsfehler lässt Die CHSH-Ungleichung (benannt nach Clauser, Horne, Shi-
sich das leicht erfassen: Angenommen, Eve misst je- mony und Holt) ist eine spezielle Form einer sogenannten
Bell-Ungleichung. Damit lässt sich feststellen, ob Qubits ma-
des einzelne Qubit mit einer Wahrscheinlichkeit p ximal verschränkt sind, was sie im Falle eines Eingreifens
(0<=p<=1). Die Fehlerrate im sifted key beträgt dann durch Eve (oder einer Manipulation durch die sie erzeugen-
allgemein p/4. Mit p=1 ergibt sich die Fehlerrate ¼, die de Partei) nicht mehr wären.
wir bereits kennen, mit p=0 tritt kein überhaupt kein

hakin9.org/de 43
Abwehr

initialisiert man ein 2-Qubit-Register mit |0,0>, wendet die wie Alice (Bitwert 0), in der anderen Hälfte der Fälle je-
Hadamard-Transformation auf das erste Qubit an, ans- doch nicht, obwohl beide die gleiche Basis gewählt ha-
chließend CNOT auf beide Qubits. Zur Erinnerung: die ben.
Hadamard-Transformation führt die Standardbasis A={|0>, 2b) Alice wählt Basis B und sendet |x> = 1/ ( |0>
|1>} in die Hadamard-Basis B={|+>, |->}ineinander über. - |1>)
CNOT ist die Entsprechung des klassischen XOR, wobei Analog wie zuvor stimmen die Ergebnisse von Bob
im Gegensatz zum XOR keine Information verloren geht: und Alice bei gleicher Basis nur in der Hälfte der Fälle
überein.
CNOT |x,y> = |x,x y> Insgesamt ergibt sich also, dass bei Verschränkung mi-
ttels CNOT ein Fehler im sifted key von 25% auftaucht,
Das erste Qubit bleibt also unverändert, im zweiten Qubit genau wie zuvor beim einfachen Messen durch Eve. Vor-
wird der XOR-Wert der beiden Qubits gespeichert. liegendes Beispiel ist kein vollständiger Beweis, sollte je-
Man könnte also versucht sein, die CNOT Operation doch deutlich machen, dass eine Verschränkung durch
dazu zu benutzen, um eine Verschränkung des Alice- Eve das Messergebnis von Bob direkt beeinflusst, wo-
Qubit |x> mit einem Eve-Qubit |e>, das sich im Zustand durch Alice und Bob die Aktivität Eves aufdecken können.
|0> befindet, herzustellen. Klar ist, dass nur die Fälle zu
betrachten sind, in denen Bob und Alice jeweils die glei- Photon number Splitting Attack
che Basis wählen, da nur dann die zugehörigen Bits für Die Funktionsweise des BB84-Protokolls wurde in all-
den sifted key genutzt werden. gemeiner Form eingeführt, indem auf die beiden Basen
Es können folgende Fälle auftreten: A={|0>, |1>} und B={|+>, |->} zurückgegriffen wurde. In
1a) Alice wählt Basis A und sendet |x> = |0> der Praxis greift man meist auf Polarisationszustände
Eve verschränkt die beiden Qubits mit CNOT: |x>|e> des Licht zurück.
= |0>|0> → |0>|0>. Anschließend wartet Eve, bis Bob Als Basen wählt man einmal horizontale und vertika-
über den klassischen Kanal mitteilt, welche Basis er für le Polarisation (0 bzw. 90 Grad), zum anderen eine um
seine Messung des ersten Qubits gewählt hat. Ist es 45 Grad verschobene Polarisation, also 45 Grad und
Basis A, so messen sowohl Bob als auch Eve das Bit 135 Grad. Dann lässt sich das zuvor Gesagte einfach
0, was mit dem Bit von Alice übereinstimmt. Eve erfährt übertragen, indem man als Träger der Qubits einzelne
also das korrekte Bit und bleibt unbemerkt. Lichtquanten (Photonen) benutzt. Auch andere Realisie-
1b) Alice wählt Basis A und sendet |x> = |1> rungen sind möglich, wichtig ist nur, dass die Zustände
Eve verschränkt die beiden Qubits mit CNOT: |x>|e> = der einen Basis nicht gleichzeitig genau mit den Zustän-
|1>|0> → |1>|1>. Genau wie zuvor erfährt sie bei Über- den der anderen Basis messbar sind, die Basen mü-
einstimmung der Basen von Alice und Bob das Bit 1 und ssen also komplementär sein.
fällt nicht auf. Bei dieser Einsatzmethode tritt jedoch ein Problem
2a) Alice wählt Basis B und sendet |x> = 1/ (|0> + auf, das zu einem ernst zu nehmenden Angriff genutzt
|1>) werden kann. Denn in der Praxis ist es schwierig, ein-
Eve verschränkt mit CNOT: |x>|e> → 1/ (|00> + zelne Photonen zu erzeugen, daher arbeitet man in
|11>). Um bzgl. der Basis B zu messen, führt Bob ei- der Praxis meist mit schwachen Laserpulsen, die eine
ne Hadamard-Transformation des ersten Qubits durch gewisse Wahrscheinlichkeit dafür haben, mehr als ein
und misst anschließend bzgl. Basis A. Die Hadamard- Photon zu beinhalten. Ist dies der Fall, kann durch Eve
Transformation des verschränkten Qubit-Paares be- ein sogenannter PNS-Angriff durchgeführt werden, ein
wirkt Folgendes: Photon Number Splitting Attack.
Denn wenn zum Beispiel zwei Photonen statt einem
H(|x>)|e> = H(1/ (|00> + |11>)) übertragen werden, könnte Eve einfach das zweite Pho-
= 1/ (H(|0>)|0> + H(|1>)|1>) ton abfangen und das erste an Bob weiter schicken. Wenn
= 1/2 (|00> + |10> + |01> - |11>) dann Bob und Alice über den öffentlichen Kanal ihre Ba-
= 1/2 (|00> + |01> + |10| - |11>) siswahl bekannt geben, kann Eve bzgl. dieser Basis das
zweite Qubit messen und erhält das gleiche Ergebnis wie
Wenn nun Bob das erste Qubit misst (bzgl. Basis A), Bob, ohne dass ihre Präsenz aufgefallen ist. In der Praxis
erhält er in der Hälfte der Fälle das gleiche Ergebnis ist dies etwas schwieriger zu realisieren als hier beschrie-
ben ist, das Grundproblem bleibt jedoch bestehen.
Literatur. Man kann diesem Problem auf verschiedene Weisen
begegnen: zum einen versucht man, möglichst gute 1-
• [1] Quanten-Kryptografie (Teil 1) – eine Einführung;
hakin9 2010-02. Photon-Quellen zu konstruieren, zum anderen gibt es
• [2] Quanten-Kryptografie (Teil 2) – der Formalismus; verschiedene Weiterentwicklungen von BB84.
hakin9 2010-03. Bei der decoy state Variante werden absichtlich zusätz-
liche Pulse anderer Intensität in die Übertragung einge-

44 4/2010
Schlüsselaustausch-Protokolle

schleust. Diese zusätzlichen Pulse dienen dazu, die Prä- zwei Qubits eines verschränkten Paares verwendet,
senz eines Angreifers zu entdecken, da dieser diese Pul- von denen eines Alice, das andere Bob erhält. Die
se nicht von den normalen Pulsen unterscheiden kann. Qubits, die nicht für den eigentlichen Schlüssel verwen-
Im SARG-Protokoll verwendet man zwei Mengen det werden können (weil unterschiedliche Messbasen
von jeweils zwei Zuständen, die nicht mehr zueinander verwendet wurden), dienen dazu, die Verschränkung
orthogonal sind, also zum Beispiel {|0>, |+>} und {|1>, |- der Qubits zu testen, indem man eine aus der Quan-
>}. Anstatt wie beim BB84-Protokoll die jeweils verwen- tenphysik hergeleitete Bedingung testet, die auf der so-
dete Basis bekannt zu geben, teilt Alice lediglich ein genannten CHSH-Ungleichung beruht. Diese Unglei-
Paar von Vektoren mit, von denen einer der ist, den Ali- chung gestattet es, den Grad der Verschränkung zu
ce tatsächlich verwendet hat. Es lässt sich zeigen, dass prüfen. Alle Angriffsversuche Eves führen dazu, dass
SARG gegen PNS-Angriffe signifikant weniger anfällig letztlich diese Bedingung verletzt wird. Genau wie bei
ist als die Implementation des reinen BB84-Protokoll. BB84, wird man für ein realistisches Protokoll etwaige
Übertragungsfehler berücksichtigen müssen (QBER-
Protokolle mit Verschränkung Abschätzung) sowie das Verfahren der Privacy Ampli-
Während BB84 insgesamt vier verschiedene Zustände fication einsetzen, um den Informationsgewinn Eves zu
nutzt, zeigte Bennett 1992, dass es ausreicht, lediglich minimieren.
zwei nicht-orthogonale Zustände zu benutzen, aller- Was die Sicherheit des E91-Protokolls angeht, sind
dings wird dieses Protokoll in der Praxis nicht verwen- BB84 und E91 mathematisch gesehen äquivalent.
det, da es andere Nachteile mit sich bringt und eher als
theoretischer Nachweis dient, dass für ein QKD-Proto- Zusammenfassung
koll zwei Zustände ausreichen. Wie deutlich wurde, erlaubt das BB84-Protokoll auch
Daneben gibt es auch ein Protokoll mit sechs Zustän- unter realistischen Bedingungen die sichere Aushan-
den, die drei Basen konstituieren. Dabei benutzen Alice dlung eines geheimen Schlüssels. Zwar ist es durchaus
und Bob zwar nur noch in 1/3 der Fälle die gleiche Ba- möglich, dass die Aktivität eines Angreifers bei einzelnen
sis, aber dafür ist die Sicherheitsanalyse einfacher. Bits unbemerkt bleibt, aber durch geeignete Verfahren
Eine andere Klasse bilden die sogenannten Ver- kann der Informationsgewinn eines Angreifers beliebig
schränkungs-Protokolle, bei denen Alice und Bob je ein minimiert werden. Methoden wie die Privacy Amplifica-
Qubit eines verschränkten Paares erhalten. Ekert ent- tion sind dabei von großer Bedeutung. Grundlage für
warf 1991 ein solches Protokoll, bezeichnet als E91. die Sicherheit des Verfahrens sind Eigenschaften der
Verschränkung beschreibt das quantenphysikalische physikalischen Systeme, die auch einem noch so gut
Phänomen, dass es nicht möglich ist, bei einem ver- ausgestatteten Angreifer Grenzen setzen. Allerdings ist
schränkten Quantensystem den Quantenzustand der zu berücksichtigen, dass unter Umständen Rahmenbe-
einzelnen Objekte losgelöst voneinander zu beschrei- dingungen wie zum Beispiel schlechte 1-Photon-Que-
ben. Ein solches System ist also nur als Ganzes fass- llen weitere Angriffe erlauben, die jedoch die Sicherheit
bar, die ihm innewohnende Information verteilt sich auf des BB84-Protokolls an sich nicht betreffen und denen
die einzelnen Bestandteile. Letzteres ist umso bemer- Rechnung getragen werden kann.
kenswerter, als der gegenseitige Abstand dieser Einzel- Protokolle mit Verschränkung wie E91 beruhen da-
bestandteile keine Rolle spielt. rauf, dass ein Angreifer die Verschränkung von Qubits
Man stelle sich als Beispiel zwei verschränkte Licht- stört, was wiederum festgestellt werden kann. Auch
quanten vor, von denen man nur weiß, dass ihre jewei- sie können dazu dienen, Schlüssel sicher über einen
lige Polarisation genau entgegengesetzt ist (also etwa Quantenkanal auszutauschen.
horizontal und vertikal polarisiert). Die exakte Orientie- Grundsätzlich sind Verfahren der Quantenkryptogra-
rung der Polarisation eines einzelnen Photons ist bis zur fie heutigen ähnlichen klassischen Verfahren in der Hin-
Messung vollkommen unbestimmt, misst man jedoch ei- sicht überlegen, dass sie nicht auf der (vermeintlichen)
nes der Photonen, so liegt die Polarisation des anderen Komplexität mathematischer Probleme (wie etwa der
sofort mit Sicherheit fest – egal wie weit sie auch vonei- Faktorisierung großer Zahlen bei RSA) beruhen, son-
nander getrennt sind. Das Bemerkenswerte daran ist, dern physikalische Eigenschaften nutzen, die auch in
dass trotz dieser Kopplung die Messung der Polarisation Zukunft für Sicherheit garantieren.
an den einzelnen Quanten zufällig ist. Die Quanten sche-
inen also miteinander verbunden zu sein und trotz der
Zufälligkeit der Messung an einem der Quanten führt das
Messergebnis der Polarisation an einem Lichtquant un- Dr. Stefan M. Ritter
mittelbar dazu, dass das Messergebnis an anderen Lich- Der Autor, promovierter Mathematiker und TISP zertifiziert,
tquant sofort mit Sicherheit feststeht. arbeitet im Bereich Systemadministration und Sicherheit von
Infobox 3 skizziert den grundsätzlichen Ablauf des Online-Applikationen. Daneben gilt sein Hauptinteresse kryp-
E91-Protokolls. Im Unterschied zu BB84 werden hier tologischen Fragestellungen.

hakin9.org/de 45
Datenschutz

Heißes Eisen nicht nur aus Datenschutz-


Sicht: Die Absicherung mobiler Datenträger
Kerstin Blossey, Blossey & Partner

Jeder kennt sie, jeder benutzt sie: mobile Datenträger („mobile


devices“). Sie sind aus der digital-globalen Kommunikation nicht mehr
wegzudenken und überdies ungemein nützlich und vielfach handlich.
Doch je handlicher, desto größer ist die Gefahr, so ein niedliches Teil
irgendwo zu vergessen, zu verlieren oder zu verlegen.

In diesem Artikel erfahren Sie... Was Sie vorher wissen/können sollten...


• Was mobile Datenträger sind und welche gern übersehen • Keine spezifischen Vorkenntnisse erforderlich;
werden; • Die Grundbegriffe des Datenschutzes aus den Artikeln der
• Welche Anforderungen der Datenschutz an die verarbeitende vorherigen Ausgaben sollten geläufig sein. Alternativ kann auf
Stelle hat; das Glossar von Blossey & Partner (http://blossey-partner.de/
• Was Sie als Nutzer solcher handlichen Geräte sofort tun showpage.php?SiteID=11&lang=1) zurückgegriffen werden.
können.

P
einlich im Privatleben, geschäftsschädigend Unter die Sonderfälle fallen zum einen mobile Daten-
im Berufsalltag – und darüber hinaus sind alle träger, auf denen zugleich Daten verarbeitet werden
Stellen, die personenbezogene Daten nicht zu können, die also keine reinen Speichermedien sind.
rein privaten Zwecken verarbeiten, verpflichtet, diese Zum anderen zählen hierzu Datenträger, die in an-
mobilen Geräte entsprechend den Maßgaben der gel- deren Geräten verborgen sind, zum Beispiel Festplat-
tenden Datenschutzgesetzeslage abzusichern! ten für die Zwischenspeicherung zu bearbeitender Da-
Anmerkung in eigener Sache: Dieser Artikel gibt keinen ten in Hochleistungskopierern, Faxgeräten und Dru-
vollständigen Überblick über alle Einzelaspekte, die in ckern, Kartenlesegeräte mit Speichereinheiten, digita-
der Praxis relevant sein können, sondern greift aufgrund le Diktiergeräte, Autotelefone (besonders in Leihwägen
der komplexen Thematik häufige Alltagsfragen auf. Die und Firmenfahrzeugen) und vieles mehr, womit man
Inhalte werden zudem nicht juristisch behandelt, sondern außerhalb einer festen Installation im Büro und Ho-
ganzheitlich-interdisziplinär betrachtet und dargestellt. meoffice Daten und Informationen bearbeiten kann.
Solche Speichermöglichkeiten werden in der Praxis
Die Welt der mobilen Datenträger gern vergessen, weil sie kleine stille Helfer sind, über
Unter mobile Datenträger zählen wir grundsätzlich alle die man sich für gewöhnlich keine weiteren Gedanken
Geräte und Arbeitsmittel, die unter eine der folgenden macht.
Gruppen einsortiert werden können:
Datenschutz für mobile Datenträger
• a) mobile Computer (Laptops, Note- und Net- Das BDSG stellt einige Datenschutz-Grundprinzipien
books, Tablet-PCs – also alle Geräte, die das Haus auf, die der verarbeitenden Stelle dabei helfen sollen,
verlassen können) personenbezogene Daten angemessen und wirksam
• b) mobile Kommunikationsgeräte (Smartphones, zu erfassen und zu schützen. Diese nachfolgend grob
Handhelds, Blackberries, iPhones, Navigations- dargestellten Prinzipien gelten auch für die Entwicklung
geräte, Autotelefone) eines geeigneten Schutzniveaus für mobile Daten-
• c) mobile Datenspeicher (sämtliche USB-Speicher- träger.
medien, DVD-ROMs, Bänder, Kassetten etc.) Grundsätzlich dreht sich alles bei der automatisier-
• d) Sonderfälle mobiler Datenträger (z.B. digitale Ka- ten Verarbeitung personenbezogener Daten um die
meras, Chipkarten) Zulässigkeit der Datenverarbeitung und Nutzung. Die

46 4/2010
Die absicherung mobiler Datenträger

Einwilligung jedes Betroffenen bzw. seine Benachrichti- die Laptops bei der Einreise zu überprüfen. Unter Um-
gung, sofern seine Einwilligung nicht vorliegt bzw. nicht ständen müssen dann sogar verschlüsselte Daten les-
eingeholt werden kann, sollte der normale Weg sein. bar gemacht werden. Über den Schutz personenbezo-
Gekoppelt damit ist die Datenvermeidung und Daten- gener – und gegebenenfalls unternehmenssensibler –
sparsamkeit, nicht zuletzt dabei die Erhebung und Ver- Daten muss man sich vor der Einreise Gedanken ge-
arbeitung von Informationen ausschließlich zum Ge- macht haben. Einige Stellen geben ihren Außendienst-
schäftszweck, für den die Daten verarbeitet werden mitarbeitern inzwischen sogar reine Reiselaptops mit,
sollen, sofern keine staatlichen bzw. gesetzlichen In- die jeweils nur mit den Informationen und Datenbestän-
teressen vorliegen, die eine solche Verarbeitung so- den ausgerüstet sind, die für diese Reise erforderlich
gar erfordern. Das bedeutet, personenbezogene Daten sind. Über geschützte Datenräume werden dann vor
dürfen nicht grundlos und wahllos beschafft und genutzt Ort weitere Daten nachgeladen oder online verfügbar
werden, sondern dies muss zweckgebunden gesche- gemacht. Aber auch bei dieser Methode ist Datenschutz
hen. Pflicht: die sorgfältige Auswahl des Anbieters oder auch
Ein weiteres Grundprinzip – in Verbindung mit Daten- die Kommunikationsstruktur der Datenübertragungs-
sparsamkeit ist die geregelte Löschung oder Vernich- wege müssen geprüft und entsprechend abgesichert
tung nicht mehr benötigter Daten. Für einige Informa- sein, um die zu schützenden Daten tatsächlich da-
tionen und Unterlagen (auch digitale Versionen) gelten tenschutzkonform mobil zu behandeln. Auch die Hand-
gesetzliche Aufbewahrungsfristen. So sind beispiels- habung im Rahmen einer Auftragsdatenverarbeitung
weise E-Mails, die relevante Geschäftskorrespondenz muss nach klaren gesetzlichen Regelungen erfolgen.
enthalten, nach Handelsgesetzbuch (HGB) aufzube- Insbesondere bei Datenträgern, die nicht nur als rei-
wahren. Hierfür sind zusätzlich Formvorschriften zu be- ne Speichermedien sondern zur direkten Bearbeitung
achten, zugleich muss die Wahrung der Privatsphäre der Daten dienen, ist § 6c BDSG zu berücksichtigen.
der Mitarbeiter sichergestellt sein, wenn die Nutzung Hierunter zählen etwa RFID-Kommunikation, Unterneh-
des personalisierten geschäftlichen E-Mail-Accounts mensausweise und Chipkarten. Der Gesetzestext sagt
nicht geregelt oder grundsätzlich erlaubt ist. Ebenso Folgendes:
gibt es in vielen Unternehmen einen wahren Wildwuchs (1) Die Stelle, die ein mobiles personenbezogenes
von exportierten Datenbeständen, zum Beispiel im ver- Speicher- und Verarbeitungsmedium ausgibt oder ein
trieblichen Bereich Exporte aus der Kundendatenbank Verfahren zur automatisierten Verarbeitung personen-
bzw. dem Customer Relationship Management System bezogener Daten, das ganz oder teilweise auf einem
(CMS) für die lokale Nutzung außer Haus. Vielfach wer- solchen Medium abläuft, auf das Medium aufbringt, än-
den überholte Exportdateien nie gelöscht, sondern ein- dert oder hierzu bereithält, muss den Betroffenen
fach neue Dateien hinzugefügt, so dass auch die Rech-
nersysteme unnötig belastet werden (Speicherbedarf, • 1. über ihre Identität und Anschrift,
Indexierung etc.). Die geregelte Löschung, beispiels- • 2. in allgemein verständlicher Form über die Funk-
weise in einem bestimmten Turnus oder eine Vereinba- tionsweise des Mediums einschließlich der Art der
rung, wie lokale Daten von Außendienstmitarbeitern in zu verarbeitenden personenbezogenen Daten,
das zentrale Datensystem einzupflegen und danach die • 3. darüber, wie er seine Rechte nach den §§ 19, 20,
lokalen Daten zu entfernen sind, nützen der Sicherstel- 34 und 35 ausüben kann, und
lung aller Datenschutzziele: der Verfügbarkeit, der Inte- • 4. über die bei Verlust oder Zerstörung des Me-
grität und der Vertraulichkeit der Informationen. diums zu treffenden Maßnahmen unterrichten, so-
Technische und organisatorische Maßnahmen zum weit der Betroffene nicht bereits Kenntnis erlangt
Schutz der Daten auf den Datenträger nach § 9 BDSG hat.
sind obligatorisch. Hier sind angemessene Maßnahmen
zur Kontrolle des Zutritts, Zugangs und Zugriffs ebenso (2) Die nach Absatz 1 verpflichtete Stelle hat dafür
zu treffen wie zur Weitergabe-, Eingabe-, Verfügbar- Sorge zu tragen, dass die zur Wahrnehmung des Aus-
keits- und Auftragskontrolle. Das Trennungsgebot soll kunftsrechts erforderlichen Geräte oder Einrichtungen
schließlich die Verarbeitung der personenbezogenen in angemessenem Umfang zum unentgeltlichen Ge-
Daten gemäß dem Zweck ihrer Erhebung sicherstellen, brauch zur Verfügung stehen.
zum Beispiel die Trennung der Kundendaten von den
Personaldaten. ! Praxistipp:
Die Bereitstellung oder Übermittlung von Daten aus Notieren Sie sich ganz bewusst einen Monat lang alle per-
dem oder in das Ausland sowie an über- und zwischen- sonenbezogenen Daten, die Sie verwenden und notieren
Sie sich auch, was sie mit diesen Daten machen (speichern,
staatliche Stellen ist ebenfalls datenschutzkonform zu löschen, verändern, weitergeben, archivieren etc.). Auf die-
gestalten. Dies spielt für mobile Datenträger unter an- se Weise können sie sich schnell einen realistischen Überblick
derem bei Auslandsreisen eine Rolle, wenn sich die verschaffen.
Behörden des Ziellandes vorbehalten, beispielsweise

hakin9.org/de 47
Datenschutz

(3) Kommunikationsvorgänge, die auf dem Medium twendet werden, dahinter steckt in der Regel ein beab-
eine Datenverarbeitung auslösen, müssen für den Be- sichtigter unbefugter Zugriff, der meist eine sehr zielo-
troffenen eindeutig erkennbar sein. rientierte Vorbereitung und damit verbunden ein hohes
Für alle relevanten Verfahren gilt auch die Meldepflicht Schadenspotential aufweist, insbesondere ist bei sol-
nach § 4d f. BDSG. Nur dokumentierte Verfahrenswei- chen „Pannen“ oft Wirtschaftsspionage anzunehmen.
sen können der Transparenz der Geschäftsprozesse Dies gilt auch für die beabsichtigte oder unbeabsich-
und damit der vom Gesetz angestrebten Wahrung der tigte Manipulation mobiler Datenträger, etwa mit Hil-
Recht der Betroffenen dienen. fe von Schadsoftware oder Anwendungen bzw. Tech-
Nach dem sehr fundierten Ansatz des Grundschutzka- niken zum Ausspionieren der Geräte und Kommunika-
taloges des Bundesamtes für Sicherheit in der Infor- tionsverbindungen (Spyware). Schlussendlich kann es
mationstechnik (BSI) werden nachfolgende typische auch zur Zerstörung des Datenträgers kommen, da je
Gefährdungslagen bei der Nutzung von mobilen Daten- nach Art des Geräts unterschiedliche Einflüsse (Mag-
trägern unterschieden: netismus, mechanische Einwirkung etc.) den Daten ge-
fährlich werden können.
• Von „höherer Gewalt“ wird ausgegangen, wenn ein Eingetretene Schadensfälle, in der Regel als Da-
Datenverlust durch starke Magnetfelder oder etwa tenschutz-Pannen bezeichnet, ziehen konkrete Konse-
durch wechselnde Einsatzumgebung zustande quenzen nach sich. Die Information aller Betroffenen,
kommt. unter Umständen durch Bekanntmachung in bundes-
• Organisatorische Mängel, wie unzureichende weiten Tageszeitungen (!) ist seit der Novelle II des
Kenntnis über Regelungen oder Prozesslücken bei BDSG, die zum 01.09.2009 in Kraft getreten ist, obliga-
der Gewährleistung von fristgerechter Verfügbar- torisch. Des weiteren entstehen so gut wie immer Kosten
keit. und die Bindung weiterer Ressourcen (Personal) zur
• Vertraulichkeits-/Integritätsverlust von Daten, die internen Schadensbegrenzung und Fehlerbehebung.
Nichtbeachtung von IT-Sicherheitsmaßnahmen Bußgelder und Haftstrafen (bis zu 300.000 €, das Buß-
oder gar der sorglose Umgang mit Informationen geld soll seit 01.09.2009 jedoch „den wirtschaftlichen
ist in der Regel auf ein menschliches Fehlverhalten Vorteil, den der Täter aus der Ordnungswidrigkeit gezo-
zurückzuführen. gen hat, übersteigen. Reichen die in Satz 1 genannten
• Technisches Versagen bei defekten Datenträgern Beträge hierfür nicht aus, so können sie überschritten
oder Verlust beim mobilen Einsatz führt häufig zu werden“ (§ 43 Absatz 3 Satz 2 f. BDSG). Wie kostenin-
Datenverlust. tensiv sich der mit der Panne einhergehende Image-
• Als vorsätzliche Handlungen wird die Manipulation/ schaden und die weiteren Kosten zur möglichen Reha-
Zerstörung von IT-Geräten, Zubehör, Daten oder bilitation in der Gesellschaft und Öffentlichkeit auswir-
Software betrachtet. Im Weiteren wird Diebstahl, ken können, haben die in den vergangenen zwei Jah-
die unberechtigte IT-Nutzung, Computer-Viren, Ver- ren in der Presse diskutierten Fälle großer deutscher
breitung von Schadprogrammen oder Datendieb- Konzerne eindrucksvoll verdeutlicht. Der wirtschaftliche
stahl über mobile Datenträger entsprechend bewer- bzw. Wettbewerbs-Schaden (z. B. durch Wirtschaftss-
tet. pionage) lässt sich vielfach gar nicht beziffern, da In-
novation in vielen Fällen und unterschiedlichen Entwi-
Das Gefahrenpotential bei mobilen Datenträgern ist cklungsstadien kaum messbar ist.
also vielfältig. Man kann solche Geräte verlegen (un-
ternehmensintern, im Homeofficebereich oder bei dri- Datenschutz-Maßnahmen für mobile
tten Stellen), man sie leicht vergessen (bei Kolle- Datenträger
gen am Rechner, bei unbefugten Dritten, zu hause), Vorgelagert zu allen Datenschutzmaßnahmen für mobi-
man kann sie verlieren und ermöglichst damit beliebi- le Datenträger sollte immer ein Konzept für den sicheren
gen Dritten den unbefugten Zugriff, evtl. sogar Weiter- Umgang erstellt werden, in welchem die verschiedenen
verkauf). Die beliebten Geräte können jedoch auch en- Arten von mobilen Datenträgern, Risiken und Sicher-
heitsmaßnahmen aufgezeigt werden. Nachfolgend ha-
! Praxistipp: ben wir einige arbeitstaugliche Aspekte zusammenge-
Viele Programme und Geräte bieten von Haus aus die stellt, die jeder umsetzen kann und sollte.
Möglichkeit, eine Unmenge von Daten einzupflegen und zu
unterschiedlichsten Zwecken zu verwenden. Hier muss die • Jeder kennt gewisse einschlägige Möglichkei-
verarbeitende Stelle klare Regeln aufstellen, welche Daten
ten, mit denen man mobile Datenträger schützen
tatsächlich zu erfassen und nutzen sind. Sind Daten erst ein-
mal im System, ist es vielfach kompliziert oder bedeutet zu- könnte. Einem Laptop kann man vielfach ein Ken-
mindest unnötigen Zusatzaufwand, um sie wieder zu entfer- sington-Schloss verpassen, ein gesetzter Geräte-
nen. PIN, der Einsatz eines Dongels sowie eine Grund-
verschlüsselung des genutzten Mediums kö-

48 4/2010
Die absicherung mobiler Datenträger

nnen unbefugte Einsichtnahme verhindern. An- lustabsicherung die Kontrolle, dass keine Unterneh-
wendungspasswörter oder andere Zugriffsschut- mensdaten (insbesondere keine personenbezogenen
zmechanismen regeln die Befugnisse der Verarbe- Informationen) durch Unbefugte (ausgeschiedener Mit-
itung und Nutzung der Daten. Verschlüsselte Da- arbeiter, dem das Gerät zugeordnet wurde, der es nach
tencontainer entsprechen dem Datentrennungsge- seinem Ausscheiden aber nicht zurückgegeben hat) auf
bot nach BDSG. Ortungs- und „Selbstzerstörungs“- den freien Markt gelangen können. Nur durch eine ent-
Dienste, z.B. für Smartphones, sind zwar leider sprechende schriftliche Dokumentation kann die IT-Ad-
meist kostenpflichtig und mit einer konkreten Or- ministration in diesem Fall Regelung der Geräteausga-
tungsmöglichkeit der Person verknüpft, was Bewe- be und Rückgabe für die Beschäftigten nachweisen und
gungsprofile ermöglicht. Dafür kann man bei einem daher disziplinarische Maßnahmen gegen sich selbst
Verlust des Geräts zumindest die Daten unbrauch- vermeiden.
bar machen – wenn man schnell genug ist. Grundsätzliche Schutzmaßnahmen

Infrastruktur • Zu den grundsätzlichen Schutzmaßnahmen zählt,


In der Praxis kämpfen datenverarbeitende Stellen oft dass der Beschäftigte sich darüber bewusst sein
mit der Vielfalt unterschiedlichster mobiler Endgeräte muss, dass er ein leicht einsehbares und leicht ver-
mit verschiedenen Basisausstattungen, was Betriebs- lierbares Gerät mit Unternehmens- und personen-
systeme, Bedienung und Kompatibilität betrifft. Eine sol- bezogenen Daten erhält, für das er – samt Inhalten
che Vielfalt ermöglicht zwar ein breites Erfahrungsspek- – solange die Verantwortung trägt, wie das Gerät in
trum bezüglich der Geräte und ihrer Eigenheiten, es seinem Besitz ist;
erschwert aber zugleich die zentrale Absicherung und • Auch der Sichtschutz ist eine grundsätzliche Schutz-
Verwaltung solcher Produkte. Dies gilt insbesondere für maßnahme. Einige Anbieter haben z.B. Folien ent-
die unter Punkt 1. c) aufgeführten mobilen Kommuni- wickelt, die vor den Monitor gespannt werden kö-
kationsgeräte. Daher raten wir zu einer Konzentration nnen und die dann jegliche Einsichtnahme, die nicht
solcher Hilfsmittel auf ein Produkt, das möglichst alle direkt durch den davor Sitzenden erfolgt, unmöglich
wirklich erforderlichen Anforderungen aus dem Arbeits- macht. Dies ist eine wichtige und einfache Maßnah-
alltag erfüllen kann. Die Nutzung eigener (privater) me sowohl im Bereich des Kundenservice als auch
Geräte ist höchstens nach Freigabe durch die IT und (im für das digitale Arbeiten unterwegs (ein Hersteller
Zweifelsfall) in Rücksprache mit dem DSB zu gestatten, ist z.B. 3M);
besser wäre jedoch eine saubere Trennung geschäftli- • Die Geräte-PIN (zum Beispiel bei Mobiltelefon),
cher und privater Infrastruktur, um die Datentrennung Funktions-PIN (zum Beispiel bei Telefonfuntionen,
nach § 9 BDSB (Anlage) gewährleisten zu können. Je- Bluetooth oder WLAN) oder ein Geräte-Dongel bie-
des fremde Gerät erhöht die Vielzahl unterschiedlicher ten entsprechende Einschränkungen bei Nutzerbe-
Geräte und damit den Verwaltungsaufwand für das rechtigungen;
Unternehmen! • Der Personenbezogene Login und ein siche-
Oft stellt sich bei einer ernsthaften Auseinander- res Passwort sind eine wirksame Barriere, um die
setzung mit den Features und Anwendungen eines sol- grundsätzliche Nutzung des Geräts zu verhindern,
chen Geräts heraus, dass auf manche Anforderung gut sofern ein Zugriff auf sensible Daten möglich wäre
verzichtet werden kann – auch in der Chefetage. Ein- (temporäre Dateien, Anruflisten, E-Mail-Postfächer
heitliche Geräte für alle (ohne Ausnahmen!) fördern etc.);
Überblick (Inventarisierung), die Auswahl und fachge- • Bei der Remote-Löschfunktion bieten inzwischen
rechte Realisierung von geeigneten Schutzmaßnah- viele Kommunikationsmedien Möglichkeiten an, die
men und die Kontrolle der Wirksamkeit getroffener Geräte registrieren zu lassen und so bei Verlust ein
Maßnahmen. Zugleich erleichtern sie auch die Über- Löschen der Daten oder ähnliches zu ermöglichen,
wachung der ordnungsgemäßen Nutzung durch den je- möglichst bevor unbefugte Dritte Zugriff nehmen
weils zugeordneten Beschäftigten, etwa die private Ver- können;
wendung des geschäftlichen E-Mail-Accounts oder das • Arbeitsrechtliche Regelungen können den Beschäf-
Teilen personenbezogener User-Accounts. tigten klare Vorgaben liefern, wo er Verantwortung
Um eine geregelte Inventarisierung gewährleisten zu zu tragen hat und was er bei Verlust eines Gerätes
können, die auch die gesetzlich vorgeschriebene Trans-
parenz zur Wahrung der Betroffenenrechte berücksich-
tigt, müssen alle verwendeten Geräte nach Geräteart, ! Praxistipp:
Bitte vergewissern Sie sich vorher, dass es nicht bereits Rege-
Typ, Hersteller, Version, Benutzer und Sicherheitsmaß- lungen und Verfahrensanweisungen in Ihrem Unternehmen
nahmen lückenlos aufgelistet werden. Die Zuordnung dazu gibt, damit Sie eventuell bestehende Maßnahmen nicht
zwischen inventarisiertem Produkt und dem zugeteil- außer Gefecht setzen!
ten Benutzer erleichtert neben der wirtschaftlichen Ver-

hakin9.org/de 49
Datenschutz

zu tun hat. Darüber hinaus kann er dazu verpflich- Dies gilt auch für die Daten unterschiedlicher Kun-
tet werden, eine entsprechende Verlustmeldung den, wenn deren Datenbestand sensibel ist oder
zu tätigen. Ferner informieren diese Regelungen entsprechende Verschwiegenheitsvereinbarungen
den Beschäftigten darüber, welche Sanktionen bei (NDA’s) getroffen wurden;
Nichtbeachtung geltend gemacht werden können. • Auch die Verschlüsselung von E-Mails ist inzwi-
Regelungen dieser Art müssen ausnahmslos für schen leicht und unkompliziert mit einem entspre-
alle Hierarchieebenen und Nutzer solcher Geräte chenden Programm lösbar. Benötigt werden in der
im Unternehmen gelten. Führungspersonal hat hier Regel ein Schlüsselpaar, wobei der private Key
Vorbildfunktion; möglichst vertraulich angelegt und aufbewahrt wer-
den muss, und eine Passphrase (längeres Pass-
Schutz der enthaltenen Inhalte wort). Der Vorteil eines solchen Programms ist, das
E-Mails damit nicht nur verschlüsselt, sondern auch
• Durch die Verschlüsselung des kompletten Geräts einfach nur digital unterschrieben (signiert) werden
kann der Zugriff auf sämtliche, auch in Systemda- können, wodurch die Authentizität des Absenders
teien oder temporär vorgehaltene Daten ausge- und die Integrität des gesendeten Inhalts sicherge-
schlossen werden. Dies gilt sogar bei einer Ver- stellt werden können;
wendung von so genannten Live-CDs, die z.B. mit • Ferner sollten auch Viren- und Trojanerscans für mo-
einem mobilen Linuxsystem Windowspasswörter bile Kleingeräte obligatorisch sein. Zusätzlich kann
nutzlos machen und so vielfach Vollzugriff auf alle eine Regelung im Umgang mit Daten unbekannter
Inhalte bieten; Absender das Risiko einer Infizierung vermindern;
• Nach BDSG dürfen keine personenbezogenen Da- • Personenbezogene Daten müssen anonymisiert
ten verarbeitet werden, die nicht benötigt werden! (oder wenigstens pseudonymisiert) verarbeitet und
Datensparsamkeit ist hier gefordert. Außerdem gespeichert werden, soweit das möglich ist. So ist
schont diese Überlegung gerade bei mobilen Tele- es nützlich, Kunden generell ein Kürzel zu geben,
fonen die Speicherkapazität und nicht zuletzt damit statt ihren Klartextnamen zu verwenden, wenn nicht
die Performance; unbedingt jeder wissen soll, welche Kunden das Un-
• Die Ablage aller Inhalte in verschlüsselten Parti- ternehmen betreut. Dasselbe gilt für Personalda-
tionen bietet den Benutzern eine einfache und ef- ten: Einsatzpläne benötigen in den seltensten Fä-
fiziente Schutzmaßnahme. Es gibt jede Menge llen die vollen Namen und die Personalnummer.
Programme (OpenSource ebenso wie propreri- Meist genügt die Personalnummer oder gar ei-
täre), die eine Ablage in solchen „Datencontainern“ ne völlig gesonderte Nummer. Bei Personen sollte
ohne große Mühe für den Benutzer erlauben. Das man auf Initialen und andere geeignete Kürzel zu-
Programm startet automatisch mit der Betriebsbe- rückgreifen. Dies gilt insbesondere für Protokolle und
reitschaft des Gerätes. Die Eingabe eines wirksa- ähnliches, wo volle Namen nicht erforderlich sind.
men Passwortes reicht dann in der Regel aus, um
den Container zu öffnen. Die meisten Programme sensibilisierung der Beschäftigten
bieten die Nutzung mehrere solcher Container ge- Sowohl Behörden als auch Unternehmen setzen zu-
trennt voneinander, so dass z.B. für unterschiedli- nehmend unterschiedlichste Arten mobiler Datenträger
che Kunden oder Geschäftszwecke die Daten sau- ein. Dies sind oftmals auch Geräte, die in ihrer ersten
ber getrennt aufbewahrt werden können; Einschätzung keine offensichtliche Funktion als mobiler
• Personenbezogene Daten, die zu unterschiedlichen Datenträger aufweisen. Dadurch steigt sowohl die Zahl
Zwecken verarbeitet werden, z.B. Personal- und der Verbreitungswege für Informationen als auch die
Kundendaten, sollten getrennt aufbewahrt werden. Zahl möglicher Sicherheitslücken. Zwar können einige
dieser Sicherheitslücken technisch minimiert werden,
! Praxistipp: aber ohne die Einbeziehung verantwortungsbewusster
Damit Ihnen der Anfang leichter fällt, haben wir die wichtig- Mitarbeiter in den sicheren und sachgerechten Umgang
sten Aspekte aus diesem Artikel in einer Checkliste zusam- mit mobilen Datenträgern kann diesem Umstand kaum
mengestellt. Diese erhalten Sie unter http://blossey-partner. zielführend gerecht werden.
de/showpage.php?SiteID=6&lang=1. Auf dieser Seite bitten Spätestens bei Übergabe an den Mitarbeiter ist die-
wir Sie (freiwillig und ohne Registrierung) um ein paar Anga-
ser möglichst vollumfänglich über die Art und die Ein-
ben zu Ihnen als Leser/Interessent: Ihre Altersgruppe, Beruf,
Position, Bundesland; über diese Infos würden wir uns sehr satzmöglichkeiten seines mobilen Datenträgers aufzu-
freuen, um uns einmal einen groben Überblick über unsere klären und auf den sorgsamen Umgang zu verpflichten.
Leser verschaffen zu können. Wenn Sie keine Daten angeben Dies schließt Informationen über die Bauform, die
möchten, kreuzen Sie einfach die entsprechende Option an. Gerätevariante, sämtliche Nutzungsmöglichkeiten und
Herzlichen Dank im Voraus! deren potentielle Risiken und Probleme bei Fehlnutzung
ein. Zudem sollte der Beschäftigte insbesondere über

50 4/2010
Veranstalter:
SIGS DATACOM GmbH
Anja Keß, Lindlaustraße 2c,
D-53842 Troisdorf,
Tel.: +49 (0) 22 41 / 23 41-201
Fax: +49 (0) 22 41 / 23 41-199
aktueller Rückblick zu den Datenschutz- Email: anja.kess@sigs-datacom.de

schlagzeilen in der Online-Presse:


Das Redaktionsteam von Blossey & Partner stellt jede Wo- ■ Die ultimative Hacking-Akademie
che neu die Schwerpunktthemen rund um die heißen Da-
■ Erfolgreiche Abwehr von Hacker-Angriffen
tenschutzthemen für Sie zusammen unter http://www.blos-
sey-partner.de (News, unten rechts). Klicken Sie doch mal hi- und sicherer Schutz Ihres Netzwerks
nein, das Archiv reicht inzwischen bis 2005 zurück und bietet Klaus Dieter Wolfinger
sogar eine Suchfunktion. Viel Spaß beim Stöbern. 20. – 22. September 2010, Frankfurt / Main 2.150,- € zzgl. MwSt.

die Grenzen der unternehmensseitig eingesetzten Si-


■ Secure Coding mit Java EE
cherheitsmaßnahmen aufgeklärt werden. Neu erkannte
Gefahrenpotentiale und Aspekte zur Nutzung der mo- ■ Entwicklung einbruchssicherer und Web-
bilen Datenträger und Geräte können dem Mitarbeiter anwendungen Webservices unter Java EE
fortlaufend, z.B. durch entsprechende Artikel im Intranet Mirko Richter
des Unternehmens, zugänglich gemacht werden. 12. – 13. Juli 2010, München
Arbeitsanweisungen oder Betriebsvereinbarungen re- 26. – 27. Oktober 2010, Düsseldorf 1.590,- € zzgl. MwSt.
geln den richtigen Umgang mit mobilen Datenträgern
und Geräten, deren richtige Führung und Aufbewah-
rung und beugen damit einem Verlustfall vor. Weiter- ■ Best Practices für sichere
führend wird dabei das richtige Verhalten bei Verlust Web-Anwendungen
des Gerätes erläutert, sowie eine entsprechende Dar- ■ Sicherheitslücken ind Webanwendungen
stellung der Konsequenzen bei Zuwiderhandlungen auf- vermeiden, erkennen und schließen –
geführt. Es empfiehlt sich zudem die Art der Daten, die gemäß Empfehlung des BSI
auf dem mobilen Datenträger gespeichert werden dür- Thomas Schreiber
fen zu definieren. Insbesondere ein wirksamer Schutz 14. – 15. Juni 2010, Köln
vor unbefugtem Zugriff, Manipulation oder Datenver- 25. – 26. Oktober 2010, Düsseldorf 1.590,- € zzgl. MwSt.
lust, z. B. durch Geräte-PIN, ist hier anzuweisen.
Bei Rückgabe/Wechsel des Gerätes ist sicherzuste-
llen, dass alle personenbezogenen und unternehmens- ■ Web Applikation Firewall Starter
sensiblen Daten wirksam, das heißt nicht mit normalem ■ Essentielles Web Application
Aufwand wiederherstellbar, gelöscht werden. Firewall Grundwissen
Achim Hoffmann
Fazit 17. November 2010, München 990,- € zzgl. MwSt.
Ein angemessener Schutz mobiler Datenträger ist auch mit
einfachen Mitteln schnell zu erreichen. Entscheidend ist ne-
ben all den genannten Aspekten, dass die Benutzer den ■ Advanced Web Application
Sinn realisierter Maßnahmen nachvollziehen können und Security Testing
sich bewusst sind, dass Pannen aufgrund der mangelnden ■ Professionelle Sicherheitsuntersuchungen von
Compliance des Beschäftigten Konsequenzen hat. Enterprise-Webanwendungen durchführen
Thomas Schreiber
KeRstIn BLOsseY, BLOsseY & PaRtneR 01. – 02. Dezember 2010, München 1.590,- € zzgl. MwSt.
Der Autorin ist Dipl. Sozialpädagogin (FH), Dipl. Informa-
tions-Wirtin (FH) und Gründerin von Blossey & Partner, ei-
■ Sicherheit mit
nem kleinen Unternehmensberatungshaus, das sich ganz auf
den unternehmerischen Datenschutz spezialisiert hat. Zum
WebService-Infrastrukturen
Kundenkreis zählen deutsche wie international angesiedel- Jörg Bartholdt
te mittelständische Unternehmen, Konzerne und Einrichtun- 25. – 26. Oktober 2010, München
gen des öffentlichen Dienstes aus so unterschiedlichen Bran- 1.590,- € zzgl. MwSt.
chen wie Druck & Medien, IT- Anwendungen & IT-Sicherheit,
Telekommunikation, Verlagswesen, Softwareindustrie, Auto-
motive, Gesundheitswesen, Forschung, Tourismus, produ-
■ TCP / IP-Netze, -Dienste und Security
zierendes Gewerbe und die öffentliche Hand. In gelegentli- Prof. Dr. Kai-Oliver Detken
chen Fachbeiträgen und Vorträgen vermittelt die Autorin 10. – 12. Mai 2010, Berlin
schwerpunktmäßig wirtschaftlich angemessene und arbeits- 18. – 20. Oktober 2010, Frankfurt 1.990,- € zzgl. MwSt.
taugliche Möglichkeiten und Wege des praxisorientierten Da-
tenschutzes. www.sigs-datacom.de

hakin9.org/de
Honeynet-Systeme

HONEYNET – Systeme
Ernst Hofmann

Mit Speck fängt man Mäuse, mit Honeynets Angreifer – und


hält sie damit von Ihren wichtigen Systemen fern.

Ä
hnlich wie echte Honigtöpfe in freier Natur Bären dung zwischen "gutem" und "bösem" Netzwerkverkehr zu
anlocken, handelt es sich bei einem Honeynet entschärfen. Informationsüberflutung, unbekannte Vor-
um dedizierte Systeme, deren einziges Ziel darin gänge, falsche Positive und falsche Negative können die
besteht, Informationen über Angriffsmuster und -verhalten Analyse und Bewertung der Aktivitäten erheblich ersch-
aufzuzeichnen, um den Angreifer zu kompromittieren. weren. Im Gegensatz zu den in der Praxis oft wenig bis
Es ist möglich, produktive Netzwerke vollständig nach- gar nicht brauchbaren Systemen erlaubt der Einsatz eines
zubilden und die Auswirkungen eines erfolgreichen An- Honeynets die ausführliche Aufbereitung von Vorfällen.
griffs zu analysieren. Erfolgt ein Zugriff auf einen virtu- Ein Honeynet-System zeigt Stärke vor allem bei der Au-
ellen Dienst des Honeynet-Systems, werden alle damit fzeichnung von Spuren nach gezielten Angriffen auf das
verbundenen Aktionen protokolliert und falls notwendig geistige Eigentum Ihres Unternehmens.
ein Alarm abgesetzt. Zur Überwachung wird eine spe-
zielle Software eingesetzt, die vom Kernelspace aus alle Kann die Installation eines Honeynet-Systems
Programme überwacht und die anfallenden Logdaten an die Sicherheit Ihres Netzwerks erhöhen?
einen lokalen Management-Server bzw. an ein Security- Ein Honeynet kann zur Qualitätssicherung der bereits
Operation-Center zur Analyse übermittelt. eingesetzten Sicherheitssysteme verwendet werden.
Obwohl der primäre Zweck darin besteht, Informatio- Es erlaubt die Überwachung der Wirksamkeit Ihrer Si-
nen über Angriffsmethoden und -motive zu sammeln, cherheitssysteme und die Analyse von Taktiken und
kann man auch auf andere Art davon profitieren, indem Vorhaben eines Eindringlings (Intruder).
der Angreifer von produktiven Ressourcen abgelenkt Die Verwendung eines dedizierten Honeynets bietet
wird. Ein Angreifer soll natürlich nicht wissen und auch Vorteile gegenüber herkömmlicher Systeme, da das
nicht ahnen können, dass er überwacht wird. Oft ist es Datenaufkommen der Intrusion-Systeme in der produk-
sinnvoll, einem scheinbar lohnenden Ziel weitere Anrei- tiven Umgebung hier oft unüberschaubar wird oder un-
ze zu bieten. Gerade im Firmenumfeld können absich- ter Umständen kritische Pakete verloren gehen können.
tlich platzierte Dokumente auf einem Honeynet-System Dies erschwert die spätere Analyse erheblich und es
für eine detaillierte Aufklärung von Spionagefällen hel- gehen wichtige Aspekte für die Aufklärung verloren.
fen. Anwendungen in einem Honeynet enthalten oft viel- Ein Honeynet-System wird im aktiven Betrieb nicht für re-
versprechende Namen wie zum Beispiel "Faktura" oder ale Dienste eingesetzt, daher wird nur eine geringe Menge
"Personal" um den Angreifer in die Falle zu locken. an Daten gesammelt, somit löst es das Problem der Daten-
Gerade bei Produktivsystemen muss der Administrator flut durch Einfachheit. Ein Honeynet-System ist geschaffen,
im Fall eines Angriffs die Ausfallzeit zur Kostenminimierung um zu kompromittieren, nicht um realen Netzwerkverkehr
so kurz wie möglich halten. Wichtige Informationen gehen weiterzuleiten. Jeder Verkehr im Honeynet ist per Definition
dann meist verloren und der idente Vorfall kann nach Wie- verdächtig, jede hergestellte Verbindung ist sehr wahrschein-
derherstellung der Echtsysteme erneut auftreten. Obwohl lich ein Test, ein Einbruch oder eine sonstige Form von kri-
Firewalls oder gar Intrusion-Detection-Systeme bzw. Intru- mineller Aktivität. Das Konzept, dass das Netz keinen Pro-
sion-Prevention-Systeme im Einsatz sind, sind die wichti- duktivverkehr aufweist, vereinfacht das Sammeln und Ana-
gen Fragen über das Vorgehen eines Angriffs meist nicht lysieren von wichtigen Fakten erheblich.
mehr zu beantworten. Die größte Herausforderung für Die bedeutendste Hilfe stellt ein Honeynet bei der Reak-
die meisten Organisationen ist die Unterscheidung zwis- tion auf den Einbruch dar. Nach einem Einbruch haben der
chen "normalem" Netzwerkverkehr und böswilligen Akti- Wiederaufbau des Systems und seine erneute Verfügbar-
vitäten in den riesigen Informationsmengen. Werkzeuge keit häufig höchste Priorität. Für die forensische Analyse
und Techniken wie Intrusion-Detection-Systeme, forensis- der Vorgehensweise des Angreifers und der ausgenutzten
che Methoden oder Systemprotokollanalysen versuchen Sicherheitslücke bleibt meist nur wenig bis keine Zeit. Ein
dieses Problem durch Einsatz von Datenbanken mit be- Honeynet-System kann im Anschluss eine sehr nützliche
kannten Angriffsmustern und Algorithmen zur Unterschei- Hilfe bei der Analyse der Ereignisse sein und wertvolle

52 4/2010
HONEYNET – Systeme

Hinweise für die Sicherung des Systems geben. Die da- det. Dazu wurden Server eingerichtet, welche gaben
raus resultierenden Erkenntnisse können die Sicherheit vor, Kinderpornografie zum Download anzubieten. Tat-
der Systeme oder des Netzwerks stark erhöhen. sächlich wurden strafrechtlich irrelevante Daten angebo-
Ein Honeynet ist also ein Sicherheitsinstrument, das ten, die Zugriffe protokolliert und anschließend Strafver-
Angriffe oder Einbrüche erkennt und Sie in Echtzeit alar- fahren gegen die zugreifenden Personen eingeleitet.
miert. Ein Honeynet stellt jedoch in keinster Weise eine Neben der Administration und der an unterschied-
durch ein System hervorgerufene Verteidigung dar, die- lichsten Stellen erzeugten Logdaten, die normalerwei-
se soll professionell durch Spezialisten abgewehrt bzw. se erst manuell zueinander in Beziehung gebracht wer-
aufbereitet werden. den müssen, wenden sich unerfahrene Administratoren
Das Honeynet-System hat seine Stärken vor allem meist von einem solch wichtigen System ab.
auch bei der Beantwortung von Fragen nach geziel- Hier setzt die quattroSEC GmbH an: Wir sammeln an
ten Angriffen auf das eigene Netzwerk. Wie kam es zentraler Stelle, in unserem Rechenzentrum, die Logdaten
überhaupt zu der erfolgreichen Übernahme? Welche der unterschiedlichen Quellen des Honeynets. Die Daten
Schwachstelle hat der Angreifer ausgenutzt, um Zu- zu aggregieren übernimmt die quattroSEC GmbH und gibt
gang zum System zu erlangen und zu welchem Zweck Ihnen im Falle eines Einbruchs umgehend Bescheid, ähn-
hat der Intruder den Angriff durchgeführt? Natürlich ist lich eines Sicherheitsdienstleisters im Facility-Bereich. Das
auch der zeitliche Verlauf nicht unbedeutend und lässt Honeynet-System ist natürlich durch geeignete Maßnah-
sich im Nachhinein genau analysieren. men abgesichert um hier weitere Straftaten des Intruders
vorzubeugen. Wie auch eine Alarmanlage Ihr Gebäude
Verbreitung der Honeynet-Systeme überwacht, so sichert das Honeynet-System ständig Ihre
Obwohl Honeynet-Systeme äußerst mächtige und wich- wichtigen Informationen und somit Ihre Kronjuwelen.
tige Werkzeuge beim Umgang mit Sicherheitsvorfällen Wir installieren Ihnen ein unternehmenseigenes Ho-
sind, halten sich vor allem Unternehmen durch Unwis- neynet-System, die Betreuung und Analyse wird durch
senheit mit deren Einsatz noch immer sehr zurück. Ho- das Team der quattroSEC GmbH durchgeführt, somit
neynets sind bereits seit einiger Zeit als effektive Sicher- können Sie sich beruhigt auf Ihre Kernkompetenzen
heitskomponenten bekannt und werden bei größeren konzentrieren.
Unternehmen und im Behörden- und Hochschulumfeld
seit Jahren erfolgreich eingesetzt. Ernst Hofmann
Es wurde beispielsweise mit Hilfe von einer Art Honey- Geschäftsführer der quattroSEC GmbH
net nach Konsumenten von Kinderpornografie gefahn- A-1100 Wien

hakin9.org/de 53
Recommended Sites

Datenschutz ist EU-weit gesetzliche Anforde- Dieses Projekt hat sich zum Ziel gesetzt, durch Die Seed Forensics GmbH bietet für Strafver-
rung. Wir sorgen für die Erfüllung rechtlicher ein unabhängiges Informationsangebot möglichst folgungsbehörden professionelle Unterstützung
Vorschriften und kümmern uns um ein ange- viel relevantes Wissen über Betriebssysteme in den Bereichen der Datensicherstellung und
messenes Datenschutzniveau in Ihrem Unter- bereitzustellen. Dazu werden möglichst viele Datenträgerauswertung. Selbstverständlich
nehmen, auch international. Informationsquellen einbezogen. entsprechen unsere Mitarbeiter, unser tech-
www.blossey-partner.de www.operating-system.org nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de

Securitymanager.de ist eine Produktion des


Online-Verlag FEiG & PARTNER. Seit dem Happy-Security ist ein neues Portal mit Secu- Die Web-basierende Secure Data Exchange-
Start hat sich Securitymanager.de zu einem rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- Lösung „FileBox” ermöglicht einen komforta-
führenden Online-Informationsportal in media-Center & vielen weiteren Features. blen und sicheren Dokumentenaustausch. Sie
Deutschland entwickelt und versteht sich als www.happy-security.de richtet sich dabei an alle Zielgruppen, die auf
unabhängiger Informationsdienstleister der einen geschützten Datentransfer mit Kunden
IT- und Information-Security-Branche. oder Geschäftspartnern angewiesen sind.
www.securitymanager.de www.filebox-solution.com/info/

JMIT bietet Ihnen individuelle Lösungen für Ihr AV-Comparatives geht hervor aus dem Inns-
Pericom base camp IT-Security: Unser Ziel ist Unternehmen an. Angefangen von Instand- brucker Kompetenzzentrum und gilt als eines
es, unsere Kunden vor möglichen Gefahren haltung und Wartung von einer EDV-Infrastruktur der bekanntesten unabhängigen Testhäuser
für Ihre IT-Infrastruktur bestmöglich zu schüt- bis hin zur Entwicklung von Software. Die Sicher- für Antiviren-Software.
zen. Neben der Analyse von Risikopotentia- heit Ihrer Daten wird bei den Tätigkeiten genau www.av-comparatives.org
len durch Security Audits bieten wir, durch berücksichtigt.
die Implementierung von Security-Lösungen, www.johannesmaria.at
Schutz vor konkreten Gefahren.
www.pericom.at

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org


Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
Administratoren und Netzwerkprofis.

www.easy-network.de

Hier findest Du alles, was das Herz eines


Computerfreaks höher schlagen lässt: Geek
Wear mit intelligenten Sprüchen, eine riesige
Auswahl Gadgets und natürlich auch viele
Hacker Tools.
www.getDigital.de

Anonmail bietet Sie frei verschlüsselte und si-


chert webmail an. Wir kombinieren den Kom-
fort von webmail mit maximaler Sicherheit.
www.anonmail.de
? Klar, am 21. &
22.08.2010
in Sankt Augustin!
Call for Papers
12.4. bis 23.5.

Deutschlands drittgrößte Free and Open Source


Software Conference feiert ihr 5jähriges Jubiläum!
Highlights dieses Jahr sind:

Hochkarätige Talks, Projekte und Workshops


Große Geburtstagsparty am Samstagabend
Hüpfburg
Creative Contest und vieles mehr

Weitere Infos auf www.froscon.de und auf twitter


Recommended Companies

Mabunta secXtreme GmbH


Die mabunta GmbH agiert als hoch- schützt Ihre Web-Anwendungen bis
spezialisierter und kompetenter Partner auf Applikationsebene. Dazu gehört
rund um IT-Security- und Netzwerk-Lö- sowohl die Prüfung von Applikationen
sungen. Wir unterstützen bei IT-Sicher- (Pentests und Code-Reviews) als auch
heitsfragen in allen Unternehmens- Beratungsleistungen für Sicherheit im
bereichen, verbinden Wachstum mit Entwicklungsprozess und Schutzlö-
sicherer Kommunikation. sungen (Web Application Firewalls) bei
Alles in allem- mabunta „one-face-to- Großunternehmen und dem gehobenen
the-customer“, Ihr Spezialist in Fragen Mittelstand.
der IT-Sicherheit.
www.sec-Xtreme.com
www.mabunta.de

SEC Consult x-cellent technologies


SEC Consult ist der führende Berater x-cellent technologies ist als IT-Dienst-
SEC Consult für Information Security Consulting in leister und Beratungsunternehmen mit
den Schwerpunkten IT-Security, Netz-
Zentraleuropa. Die vollständige Unab-
hängigkeit von SW- und HW-Herstellern werkmanagement und Anwen-
macht uns zum echten Advisor unserer dungsentwicklung tätig. Un-
Kunden. Unsere Dienstleistungen umfa- sere IT-Security-Leistungen
ssen externe/interne Sicherheitsaudits, sind: Audits, Penetrationstests,
(Web-) Applikationssicherheit (ONR 17- IT-Securitymanagement, IT-
700), Sicherheitsmanagement-Prozesse Grundschutz, ISO 27001
(ISO 27001) etc.
www.sec-consult.com

Tele-Consulting GmbH B1 Systems


Vom BSI akkreditiertes Prüflabor für IT- Die B1 Systems ist international tätig
Sicherheit, hakin9 und c’t Autoren, jah- in den Bereichen Linux/Open Source
relange Erfahrung bei der Durchführung Consulting, Training und Support. B1
von Penetrationstests und Security-Au- Systems spezialisiert sich in den Be-
dits, eigener Security Scanner „tajanas”, reichen Virtualisierung und Cluster.
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte info@b1-systems.de
ISO 27001-Auditoren, VoIP-Planung www.b1-systems.de
und -Security

www.tele-consulting.com

art of defence GmbH Blossey & Partner


art of defence entwickelt Lösungen im Consulting Datenschutzbüro
Bereich der Web-Anwendungs-Sicher- Datenschutz ist EU-weit gesetzliche An-
heit. Unsere Software schützt Websites forderung. Wir sorgen für die Erfüllung
und Datenbanken gegen Hacker-An- rechtlicher Vorschriften und kümmern
griffe auf Anwendungs-Ebene wie z.B. uns um ein angemessenes Daten-
Phishing. Damit schließen wir die derzeit schutzniveau in Ihrem Unternehmen,
größte Sicherheitslücke von E-Business- auch international. Wir erledigen alle er-
Systemen. Egal ob Web-Farm oder klei- forderlichen Aufgaben, die Fäden behal-
ner Online-Shop. ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.artofdefence.com
www.blossey-partner.de

Protea Networks secadm


Protea ist spezialisiert auf IT-Security- secadm ist durchtrainierter Spezialist für
Lösungen: Verschlüsselung, Firewall/ Airbags, ABS und Sicherheitsgurte in der
VPN, Authentifizierung, Content-Filte- IT. Zehn IT-Sicherheitsexperten mit 70
ring, etc. Wir bieten umfassende Bera- Mannjahren Erfahrung beraten, entwi-
tung, Vertrieb von Security-Hard- und ckeln und implementieren IT-Lösungen
Software, Installation und umfangreiche für Kunden weltweit. Der Fokus liegt da-
Dienstleistungen (z. B. Konzeption, Trai- bei auf Themen wie Prozess-Optimierung
nings). Protea setzt auf Lösungen der und Security-Management. Risiko-Analy-
Markt- und Technologieführer und hält se, die Sicherheitsberatung, Auditing, Se-
dafür direkten inhouse-Support bereit. curity-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.proteanetworks.de www.secadm.de
Recommended Companies

NESEC Bytesemotion Kammerlander


NESEC ist Ihr Spezialist für Penetra- & Tsengelidis GbR
tionstests, Sicherheitsanalysen und Die Firma ist Lösungs- und Service-
IT-Security Counsulting. Das NESEC anbieter für IT Technologie. Unsere
Pentest-Team unterstützt Sie bei Si- Kernkompetenzen sind: IT Projekt-
cherheitsprüfungen Ihrer Netzwerke management, Datenschutzbeauftragten-
und Webapplikationen sowie bei Sour- Dienste nach BDSG, Publishing, Content
ce Code Audits. Bei Bedarf optimieren Management Systems. Dennoch
wir Ihre Policy, sensibilisieren Ihre erweitern wir für Sie mühelos durch die
Mitarbeiter und zertifizieren Ihr Unter- Zusammenarbeit mit nationalen und
nehmen nach ISO 27001. internationalen work- spaces und groups.

www.nesec.de www.bytesemotion.de

Seed Forensics GmbH m-privacy GmbH


Die Seed Forensics GmbH bietet IT-Sicherheitslösungen – funktional und
für Strafverfolgungsbehörden profe- einfach zu bedienen!
ssionelle Unterstützung in den So präsentieren sich die von m-privacy
Bereichen der Datensicherstellung entwickelten TightGate™-Server, z.B.
und Datenträgerauswertung. Selbst- TightGate™-Pro mit Datenschutz-Gü-
verständlich entsprechen unsere tesiegel. Es bietet als erstes System
Mitarbeiter, unser technisches Equip- weltweit einen kompletten Schutz vor
0ment und auch unsere Räumlichkeiten Online-Spionage, Online-Razzien und
den notwendigen Anforderungen. gezielten Angriffen!

www.seed-forensics.de www.m-privacy.de

Omicron
Omicron ist auf Sicherheit und Analysen OPTIMAbit GmbH
von Netzwerken und Systemen spe- Wir sind Spezialisten für Entwicklung
zialisiert und pflegt ein sehr sorgfältig und Security. Wir sichern Java, .NET
zusammengestelltes Service- und Lö- und Mobile Applikationen gegen Angriffe
sungsportfolio, um Firmen bei zentralen externer und interner Art. Unsere Diens-
und sicherheitskritischen Problemstellun- te umfassen Audits, Code Reviews, Pe-
gen kompetent unterstützen zu können. netrationstest, sowie die Erstellung von
Entsprechende Kurse und Ausbildungen Policies. Zusätzlich bieten wir Seminare
ergänzen das Angebot. zu sicherheitsrelevanten Themen.

www.omicron.ch www.optimabit.com

SecureNet GmbH, München underground_8


Als Softwarehaus und Web Application
secure computing gmbh
Security Spezialist bieten wir Expertise
Wir entwickeln und vertreiben security
rund um die Sicherheit von Webanwen-
appliances für die Bereiche Unified
dungen: Anwendungs-Pentests, Sour-
Threat Management, Traffic Shaping
cecodeanalysen, Secure Coding Gui-
und Antispam. Unsere Lösungen sind
delines, Beratung rund um den Software
hardwarebasiert und werden über Dis-
Develoment Lifecycle. Tools: Application
tributoren, Reseller und Systemintegra-
Firewalls, Application Scanner, Fortify
toren implementiert und vertrieben.
SCA/Defender/Tracer.
www.underground8.com
www.securenet.de
Löcher
gibt es überall.

z.B. unerlaubtes Videoüberwachung, Mitschneiden von


Bespitzeln der Telefongesprächen, Auswertungen besuchter
Internetseiten am Arbeitsplatz sind nur nur
eigenen Mitarbeiter ein paar wenige Beispiele wie eigentlich sinn-
volle und wichtige Kontrolle missbräuchlich eingesetzt
wird. Dabei könnten Sie den strafbewehrten Tatbestand
durch gesetzeskonforme Gestaltung leicht vermeiden.

Wir spüren die Datenschutz-Löcher in Ihrem Unterneh-


men auf, entwickeln praxistaugliche Lösungen, schulen
Ihre Mitarbeiter und helfen bei der Einhaltung der daten- Datenschutz-Dienstleistungen für Unternehmen
schutzrechtlichen Bestimmungen. Entlastung · Resultate · Mehrwert

Sie wollen mehr wissen?


Tel.: +49 (0) 98 56 - 92 19 991 · www.blossey-partner.de