SSL-Zertifikate

Einkaufen ist Vertrauenssache -

online und offline!
Ihre Vorteile

90
Vertra u Sie au en f über
Jederzeit

Bis zu

Tage
längere Laufzeit*

Erfahr
unSERE PRodukTE
• Domain Validation (DV)-Zertifikate • Organization Validation (OV)-Zertifikate • Extended Validation (EV)-Zertifikate • Single-Zertifikate • Wildcard-Zertifikate • Multidomain (MDC)-Zertifikate • Unified Communication / Subject Alternative Name (UCC/SAN)-Zertifikate • Server Gated Cryptographie (SGC)-Zertifikate

Jahre
ung

kostenloser Austausch
Zusätzliche Lizenzen

ohne Aufpreis*
Unkomplizierte Lieferung

auf Rechnung**
Persönlicher Support
in deutsch, englisch, spanisch und polnisch
* in den Produktlinien Lite, Silver und Gold ** bei Pay-as-you-Go

LIebe HAKIN9 LeSeR!
das Hauptthema der November Ausgabe ist Cloud Computing. Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Verschiedene Implementierungen und Produkte führen zu einem undurchsichtigen Konstrukt. Des Weiteren lesen Sie im Artikel Sicherheit von Cloud Computing Zu weiteren Highlights der aktuellen Ausgabe gehören: Sicheres Surfen im Internet, Automatische verhaltensbasierte Malware-Analyse, IT-Compliance mit dem Unified Compliance Framework UCF, Sicher durch die Cloud, Der Androide im Auto – IT-Sicherheit beim Fahren. Falls Sie Interesse an einer Kooperation hätten oder Themenvorschläge, wenden Sie sich bitte an unsere Redaktion.

Viel Spaß mit der Lektüre! Karolina Sokołowska

5/2009 HAKIN9

4

11/2011

InhaltsverzeIchnIs
INTERNETSICHERHEIT
7 Sicheres Surfen im Internet
Kateryna Kogan Man muss nicht mehr auf den Seiten mit fragwürdigen Inhalten surfen oder dubiose E-Mails in gebrochener Sprache öffnen, um seinen PC mit Viren zu gefährden…

DATENSICHERHEIT
13 Sicherheit von Cloud Computing
Marc Ruef Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Die Greifbarkeit dessen ist aufgrund unterschiedlicher und schwammiger Definitionen nicht einfach. Verschiedene Implementierungen und Produkte führen zu einem undurchsichtigen Konstrukt, das damit ebenfalls in Bezug auf die gegebene Sicherheit schwierig handzuhaben ist.

Produktion: Andrzej Kuca herausgegeben vom Verlag: Software Press Sp. z o. o. SK Geschäftsführer: Paweł Marciniak Managing Director: Justyna Książek justyna.ksiazek@software.com.pl Chefredakteurin: Karolina Sokołowska karolina.sokolowska@software.com.pl Redaktionsassistentin: Ewa Strzelczyk ewa.strzelczyk@software.com.pl Redaktion: Christian Heutger, Geschäftsführer der PSW GROUP, Kateryna Kogan, Marc Ruef, Robert Luh, Paul Tavolato, Vicente Diaz, Robert Lommen, Michael Schratt 4 DTP: Przemysław Banasiewicz Umschlagsentwurf: Przemysław Banasiewicz Werbung: adv@software.com.pl Anschrift: Software Press Sp. z o.o. SK ul. Bokserska 1, 02-682 Warszawa, Poland Tel. +48 22 427 36 56, Fax +48 22 244 24 59 www.hakin9.org/de Die Redaktion bemüht sich, dafür Sorge zu tragen, dass die in der Zeitschrift sowie auf den begleitenden Datenträgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfähig sind, übernimmt jedoch keinerlei Gewähr für derer Geeignetheit für bestimmte Verwendungszwecke. Alle Mar-

kenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenümer und dienen nur als inhaltliche Ergänzungen. Anmerkung! Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEßLICH in eigenen Rechnernetzen zu testen! Die Redaktion übernimmt keine Haftung für eventuelle Schäden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der dargestellten Techniken kann auch zum Datenverlust führen! hakin9 erscheint in folgenden Sprachversionen und Ländern: deutsche Version (Deutschland, Schweiz, Österreich, Luxemburg), polnische Version (Polen), englische Version (Kanada, USA)

6/2010

Inhaltsverzeichnis

ABWEHR

23 Automatische verhaltensbasierte Malware-Analyse

Robert Luh, Paul Tavolato Automatisierte verhaltensbasierte Malware-Analyse ist ein Weg zur schnellen Ersteinschätzung eines verdächtigen Code-Samples und zielt in erster Linie darauf ab, Malware-Analytiker bei ihrer Arbeit zu unterstützen. Es wird ein verhaltensbasierter Malware-Erkennungsalgorithmus beschrieben, der implementiert wurde und dessen Tauglichkeit durch Tests bewiesen werden konnte.

BETRIEBSSICHERHEIT

Georg Disterer und Michael Wittek Die IT-Unterstützung von Geschäftsprozessen ist so bedeutend, dass Störungen oder Unterbrechungen im IT-Betrieb große Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien ausreichende Sorgfalt und Vorsorge, um einen störungs- und unterbrechungsfreien Betrieb zu gewährleisten. IT-Compliance strebt nachweisbar regelkonformes Handeln im IT-Bereich an und umfasst alle Maßnahmen zur Einhaltung entsprechender Vorgaben wie Gesetze, Vorschriften, Normen u.ä. Die Anzahl entsprechender Vorgaben ist groß, deren Art und Umfang höchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu können, ist ein systematisches Vorgehen sinnvoll. Als ein Hilfsmittel steht das Unified Compliance Framework (UCF) zur Verfügung. Nachfolgend werden Aufbau und Funktionsweise des UCF am Beispiel der IT-Sicherheit erläutert, um dann die wesentlichen Steuerungs- und Kontrollmaßnahmen für den Wirkbereich der technischen Sicherheit aus dem Framework abzuleiten.

29 IT-Compliance mit dem Unified Compliance Framework UCF

35 Sicher durch die Cloud

Cloud-Computing ist vielen Unternehmen suspekt, denn sie wittern ein Sicherheitsrisiko für ihre Daten. Doch es gibt auch eine andere Seite der Wolke: Clouds können auch mehr Sicherheit für Unternehmen bieten und IT-Kosten sparen.

KASPERSKY LAB

37 Der Androide im Auto – IT-Sicherheit beim Fahren

Vicente Diaz Technik ist Teil unseres Alltags. Sie ist in allen möglichen Geräten gegenwärtig, verhilft uns zu einem leichteren Leben und einer vereinfachten täglichen Routine. Dies trifft besonders auf die Automobil-Welt zu, in der alle Verbesserungen, die während der vergangenen Jahre vorgenommen wurden, in eindrucksvollen Features münden, die für unsere Eltern, als sie ihre alten Modelle gefahren sind, undenkbar waren. Doch natürlich hat sich die Welt komplett verändert: Vor 30 Jahren haben wir gerade erst angefangen, PacMan zu spielen!

Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden Magazin seinem Profil treu bleibt. Unser Magazin dient ausschließlich den Erkenntniszwecken. Alle im Magazin präsentierten Methoden sollen für eine sichere IT fungieren. Wir legen einen großen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Bekämpfung von IT Kriminalität.

hakin9.org/de

5

Was erwartet Sie in diesem Kurs:
Die Wiederherstellung verlorener Passwörter Das Abfangen von Informationen in lokalen Netzwerken Das Abfangen von verschlüsselten Daten Angriff auf eine SSL-Sitzung Backdoor - die "Hintertür" als Tor zum System Dateien und Verzeichnisse mit Hilfe des Kernels 2.6 verstecken Angriffe vom Typ Buffer-Overflow Angri Angriffe vom Typ Heap-Overflow Format-String-Angriffe Das Überschreiben des Datenstrom-Zeigers (File Stream Pointer Overwrite) Fehler im Systemkernel Die Verwendung des ICMP-Protokolls aus der Sicht des Hackers Identifizierung eines Netzwerkcomputers Netfilter im Dienste der Systemsicherheit Systemsiche Absichern des Betriebssystems Schritt für Schritt Sicherheitsscanner Kernelpatches zur Erhöhung der Sicherheit Intrusion Detection System (IDS) Angriff mit Hilfe eines Webservers Shellcode-Erstellung in der Win32-Umgebung

72888

Sicheres Surfen im Internet

Sicheres Surfen im Internet
kateryna kogan
Man muss nicht mehr auf den Seiten mit fragwürdigen Inhalten surfen oder dubiose E-Mails in gebrochener Sprache öffnen, um seinen PC mit Viren zu gefährden…

In DIeSem ArtIkel erfAhren SIe…
• Wie man mit einfachen Schritten sich vor Gefahren im Netz schützt

WAS SIe VOrher WISSen SOllten…
• Keine besonderen Kenntnisse notwendig

D

ie Online-Bedrohungen haben explosionsartig dort zugenommen, wo man wirklich viele Menschen findet – z.B. in den sozialen Netzwerken. Die Viren verstecken sich in den Links, Videos oder als Phishing und Malware in den Apps, die permanent von eigenen Freunden auf der Pinnwand oder in den Nachrichten verteilt werden. Auch Spam-Mails werden immer raffinierter und weisen originale Layouts der besuchten Webseiten, Online-Shops oder Zahlungssysteme auf, sodass man sie nicht mehr vom Original unterscheiden kann. Vorsicht ist von allen Seiten geboten – denn die Aktivitäten der Cyber-Kriminellen weisen eine immer mehr zunehmende Professionalität in der Struktur und Arbeitsweise der Internetverbrecher auf. Sich vom Internet abzuwenden, ist natürlich keine Lösung – es gibt ein Paar wichtige Punkte, die das Leben am PC einfacher gestalten können.

Das A und O – ein ausgereiftes Anti-Viren-Programm:

Man muss nicht unbedingt das teuerste Produkt kaufen, um geschützt zu sein. Sparsamkeit an einer falschen Stelle ist aber auch nicht ratsam. Überlegen Sie sich genau, was Sie im Internet tun – ist das nur ein wenig surfen und E-Mails checken, vielleicht ein Paar Videos anschauen, Downloads starten oder gehört sogar Online-Shopping und -Banking dazu. Einer der größten Antivirenhersteller AVG bietet z.B. verschie-

dene Produkte an, die auf jegliche Bedürfnisse zugeschnitten sind. Die AVG Free Version bietet Schutz beim Surfen im Internet und in den Sozialen Netzwerken an. AVG Anti-Virus 2012 geht weiter und überprüft die Downloads aus dem Internet – was beim genaueren Betrachten öfter vorkommt als man denkt – es geht ja nicht nur um Videos oder Musik, sondern auch um Software oder Dokumente, mit den man täglich arbeiten muss. Auch Schutz des E-Mail-Postfachs vor unerwünschten und gefährlichen Nachrichten, wie Spam, Phishing-Mails oder Viren ist enthalten. Wenn ein zusätzlicher Schutz beim Online-Shopping, Online-Banking, Firewall und weitere Sicherheitsfeatures gebraucht werden, muss ein AVG Internet Security 2012 her. Die Software kann den kompletten Rechner nach Viren durchsuchen, oder auch nur einzelne Dateien, Ordner, Archive, CDs/DVDs und sogar USB-Sticks – damit spart man Zeit und Rechnerkapazitäten, während des Scanns. Zusätzlich kann man mit AVG Internet Security 2012 eine Rettungs-CD erstellen – dies ist jederzeit und für jeden empfehlenswert. Auf der CD sind dann die wichtigsten Systemdateien sowie das SOS-Programm gespeichert. Im Notfall kann man damit den virenbefallenen Rechner starten. Schnellere Scanns, weniger Speicherplatznutzung, die man auch merkt – die Prüfung einer kompletten Festplatte läuft damit bis zu 50 Prozent schneller als noch beim Vorgänger.

hakin9.org/de

7

InternetSIcherheIt

Ein weiteres Goodie ist das integrierte AVG Accelerator. Dieser optimiert die Geschwindigkeit für einen schnelleren Dateidownload, reduziert die Downloadzeit von Videos um 30-50%, minimiert Verzögerungen beim Anschauen der Youtube-Videos und erhöht damit das Nutzererlebnis. In nur neun Sekunden lassen sich z.B. 2-3-minütige Youtube-Videos downloaden.

ren. An dieser Stelle einfach eine kleine Pause machen und den PC mit den neuesten Updates versorgen. Stellen Sie also sicher, dass die Sicherheits-Software, Betriebssystem, Dienstprogramme und Anwendungen immer „up to date“ sind. Das schließt viele Lücken und macht den PC einfach sicherer.

Automatische Updates aktivieren:

Passwörter:

Natürlich können die Updates nervig sein – da sitzt man an seiner Arbeit und auf einmal poppt ein Fenster auf, dass es an der Zeit ist, etwas Neues für sein Betriebssystem oder Anwenderprogramme zu installie-

Egal, was man online tut – höchstwahrscheinlich braucht man dafür ein Passwort. Vielleicht hat man eins, zwei oder sogar drei Standard-Passwörter, die dann in verschiedenen Onine-Shops oder auf den Internetseiten verwendet werden. Passwörter sind das

Abbildung 1. AVG Internet Security 2012 – der Komplettschutz für alle Online-Aktivitäten

Abbildung 2. AVG Accelerator im Einsatz – in 9 Sekunden das 3-minütige Video laden

8

11/2011

Sicheres Surfen im Internet

Leid jedes Sicherheitsexperten, denn z.B. 123456 noch immer zu den am meisten genutzten Passwörtern gehört. Das nächste auf der Beliebtheitsskala ist 1234567… Heutzutage empfehlen die Sicherheitsexperten für jede einzelne Seite ein eigenes starkes Passwort (mind. 8 Zeichen, bestehend aus Sonderzeichen, Buchstaben und Zahlen) zu generieren und

sollte man dieser Empfehlung wirklich folgen, hat man als aktiver Nutzer leicht über 100 Passwörter. Viele Menschen notieren sich also ihre Zugangsdaten auf einem Stück Papier, das sie mit sich tragen oder es direkt an ihr Monitor kleben. Andere erstellen auf dem PC eine Datei, um schnell auf alle Informationen zugreifen zu können. Während diese beiden Optionen

Abbildung 3. AVG Link Scanner – Sichere Suchergebnisse werden mit einem grünem Stern gekennzeichnet

Abbildung 4. AVG Link Scanner – Unsichere Suchergebnisse kriegen ein rotes Warnzeichen

hakin9.org/de

9

InternetSIcherheIt

einfach und bequem sind, sind sie weit davon entfernt, sicher zu sein – das Stück Papier könnte verloren oder geklaut werden, oder, sollte das Passwort öffentlich herumliegen, kann es von Dritten verwendet werden. Eine Datei mit seinen Passwörtern auf dem Computer zu speichern, ist auch kein Allheilmittel – sollte der Computer z.B. mit Malware infiziert sein, durchsucht diese den Computer gezielt nach solchen Dateien. Selbst wenn die Passwort-Datei durch ein weiteres Passwort geschützt ist, kann dieser mit Leichtigkeit geknackt werden. Die schlimmsten Übeltäter sind aber Keylogger – das bösartige Programme, die Tastatureingaben tracken, jedes Mal, wenn man seinen Benutzernamen und Passwort eintippt. Also, wie hält man seine Passwörter sicher und hat trotzdem jederzeit einen einfachen Zugang zu seinen Benutzerdaten? Heutzutage haben die meisten Browser ein PasswortManagement-System, das bereits eingegebene Passwörter und Benutzernamen speichert und eine gute

Basis für die Kennwörter-Verwaltung bietet. Bei einer größeren Anzahl an Zugangsdaten gibt es eine Reihe von Programmen, die die Passwort-Management-Kontrolle übernehmen, wie z.B. Roboform, Lastpass oder Keepass. Diese Anwendungen können u.a. auch starke Passwörter für jeden einzelnen Online-Zugang generieren und loggen sich auf den Webseiten automatisch ein. Zusatzfeatures, wie das automatische ausfüllen der Online-Formulare, könnte beim Online-Shopping sehr hilfreich sein.

Surfen, suchen, klicken:

Es ist nicht immer empfehlenswert, bei der Suche im Web den Top-Treffern zu vertrauen, die als Erste erscheinen. Es gibt mittlerweile genügend Wege, diesen Prozess zu beeinflussen. Dass jemand an erster Stelle aufgelistet wird, bedeutet nicht, dass er das beste Produkt anbietet oder, dass der Link sicher ist. Natürlich ist es für uns schneller die ersten Paar Suchresultate an-

Abbildung 5. AVG Mobilation – Umfassender Schutz vor Viren, Spam und Scam oder Diebstahl

Abbildung 6. AVG Mobilation Tuneup – überwacht die Akkulaufzeit, die Arbeitsspeicherauslastung oder den Speicherplatz und hilft dabei die Akkulaufzeit zu sparen

10

11/2011

Sicheres Surfen im Internet

zuklicken – Angreifer wissen das und nutzen es aus. Sie brechen in häufig besuchte Webseiten ein und stehlen dann private Informationen, Zugangsdaten und wertvolle persönliche Dateien von den PCs der Besucher. Man kann aber nicht wissen, was sich hinter dem Link verbirgt – gestern war es noch sicher, heute nicht mehr. Die Prüfung der Links sollte man also den Profis überlassen. In allen Sicherheitsprodukten von AVG ist ein LinkScanner enthalten, der jedes Suchergebnis und jeden Link auf Bedrohungen prüft – direkt vor und beim Mausklick. Er findet Gefahren, bevor sie zum Problem werden und schützt die User davor.

le Benutzer wählen frei verfügbare WLAN-Netze. Im schlimmsten Fall wird man direkt mit dem Computer eines Hackers verbunden. Erschwerend kommt hinzu, dass der Netzwerkname (SSID), der zur Beschreibung und Identifizierung eines drahtlosen Netzwerkes dient, auf dem System gespeichert wird. Der PC wird dann automatisch mit jedem Netzwerk verbunden, das diesen gespeicherten Namen enthält. So können sich Cyber-Kriminelle unbegrenzten Zugang zu den PCs verschaffen. Auch hier kann man sich schützen. Anbei ein Paar hilfreiche Tipps: netzwerkeinstellungen überprüfen Vor der Nutzung des öffentlichen Internetzugangs sollten Surfer unbedingt die Netzwerkeinstellungen des eigenen Betriebssystems überprüfen. Die Funktion „Dateifreigabe“ ist zu deaktivieren. Dafür klickt man im Windows-Betriebssystem das Verzeichnis „C:\Dokumente und Einstellungen\Eigene Dateien“ mit der rechten Maustaste an und wählt den Menüpunkt „Freigabe und Sicherheit“ aus. Andere Hotspot-Nutzer können ansonsten unter Umständen auf die gespeicherten Dateien des Rechners zugreifen. hotspot manuell auswählen Die Anmelde- und Zugangsdaten des Hotspots müssen stimmen. Daher sollten Surfer den Hotspot grundsätzlich manuell auswählen. Eine automatische Verbindungsaufnahme durch das Betriebssystem ist nicht zu empfehlen. Verbindungsdauer so kurz wie möglich halten Keine WLAN-Verbindung aktivieren, wenn man nicht plant, eine Website aufzurufen. Das schützt nicht nur vor Cybercrime, sondern schont auch die Batterie. Vorsicht bei sensiblen Daten Man sollte sich sehr gut überlegen, welche Informationen man an den öffentlichen Orten zugänglich machen möchte. Selbst scheinbar harmlose Anmeldungen auf Web-E-Mail oder Social-Networking-Konten können Cyber-Kriminellen Zugriff auf die Daten geben. Wer dennoch per Hotspot Geld überweisen muss, sollte auf die Verschlüsselung der Verbindung achten. In der Adressleiste des Browsers sollte dann „https://“ statt „http://“ vor der eigentlichen Adresse stehen. Zudem ist ein Schloss-Symbol erkennbar.

Surfen mit Smartphones:

Mit dem zunehmenden Einsatz von Smartphones steigt auch bei dieser Zielgruppe das Risiko, Opfer von Online-Attacken zu werden. Zu hoffen, dass einem nichts passiert, nur weil es sich ursprünglich um ein Telefon handelt, ist mehr als naiv. Smartphones sind Computer, dort sind persönliche Informationen gespeichert – und das heißt, sie sind ein lukratives Ziel für Cyber-Attacken. Betroffen ist die am meisten verbreitete Plattform – Android. Im Angesicht dessen gibt es auch hier Lösungen wie z.B. „AVG Mobilation for Android“. Die Sicherheitssoftware blockiert durchschnittlich 100.000 Spam- und Phishing-SMS pro Tag. Die Lösung scannt Apps, Einstellungen und Dateien in Echtzeit nach Viren und anderer Malware. Mit Hilfe der Lokalisierungssoftware ist es dem Nutzer außerdem möglich, ein verlorenes Tablet oder Smartphone wiederzufinden und zu sperren, sensible Daten zu löschen sowie dem Finder eine Nachricht auf dem Bildschirm zu übermitteln. Diese Backup-Funktion gilt ebenso für Kontakte, Anruflisten, Lesezeichen, Nachrichten und installierte Anwendungen auf der SDKarte. Mit der Passwortsicherung „App Locker“ können gezielt Anwendungen und Daten auf dem Handy/ Smartphone geschützt werden.

WlAn:

Was tut man, wenn man z.B. in einem Kaffee sitzt, die WLAN-Liste öffnet und es werden mehrere verfügbare drahtlose Netzwerke angezeigt? Ganz ehrlich. Vie-

Im Internet
• • • • •

http://avg.de/de-de/virenschutz-privatanwender.html - Virenschutz für Privatanwender http://www.roboform.com - Passwort-Manager, automatischer Login auf den Webseiten sowie automatische Ausfüllung der Fomulare bei der Registrierung https://lastpass.com - Passwort-Manager, automatischer Login auf den Webseiten sowie automatische Ausfüllung der Fomulare bei der Registrierung http://keepass.info - Passwort-Tresor http://avg.de/de-de/antivirus-fuer-android-mit-mobilation. html - AVG Mobilation für Android Smartphones

kAterYnA kOGAn
Beschäftigt sich seit Jahren mit Online-Paymentsystemen, sie ist E-Commerce Kennerin und die Sicherheitsbeauftragte von AVG.

hakin9.org/de

11

Sicherheit von Cloud Computing

Sicherheit von Cloud Computing
marc ruef
Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Die Greifbarkeit dessen ist aufgrund unterschiedlicher und schwammiger Definitionen nicht einfach. Verschiedene Implementierungen und Produkte führen zu einem undurchsichtigen Konstrukt, das damit ebenfalls in Bezug auf die gegebene Sicherheit schwierig handzuhaben ist.
In dIESEm ArtIkEl ErfAhrEn SIE…
• über Cloud-Computing • über Implementierungen

WAS SIE vorhEr WISSEn SolltEn…
• kein spezielles Vorwissen

N

ach einer allgemeinen Einführung in das Thema werden in diesem Artikel unterschiedliche Implementierungen aufgezeigt. Dabei werden an konkreten Produkten die Möglichkeiten und Mechanismen dieser illustriert, um im dritten Teil die damit einhergehenden Sicherheitsmerkmale und Herausforderungen an die Informationssicherheit aufzeigen zu können.

Grundsätzlich ist Cloud Computing ansich nichts Neues, verbindet es doch in erster Linie klassische Aspekte von: • Software as a Service (SaaS) • Computing on Demand • Distributed Computing Und so sind es dann auch hauptsächlich wirtschaftliche Aspekte, die den Vorteil des Cloud Computing ausmachen. Skalierbarkeit und flexible Vertriebsmodelle sollen dabei helfen, die Kosten möglichst gering zu halten und ein Höchstmass an Flexibilität gewährleisten zu können. Dabei wer-

Einführung

Der Begriff des Cloud Computing und damit auch dessen Inhalt sind umstritten. Mitunter hat das Fehlen einer akkuraten Begriffsdefinition dazu geführt, dass das Thema oftmals eher als Marketing-Instrument denn als echte technologische Möglichkeit verstanden wird.

Abbildung 1. Cloud Computing als Trend

hakin9.org/de

13

dAtEnSIChErhEIt

den gerne grundlegende Aspekte der Informationssicherheit ausser Acht gelassen oder bewusst vernachlässigt. Dies ist in erster Linie auf das fehlende Verständnis für die zugrundeliegenden Mechanismen zurückzuführen.

vertriebsmodelle

Im Rahmen des Cloud Computing werden drei verschiedene Vertriebsmodelle unterschieden, die nachfolgend im Detail vorgestellt werden sollen: • Mit SaaS werden abstrahierte Applikationen zur Verfügung gestellt. • PaaS geht da einen Schritt weiter und gewährt den Zugriff auf Plattformen, wodurch beispielsweise Entwicklungsumgebungen realisiert werden können. • Das Höchstmass an Eigenverantwortung wird mit IaaS erreicht, wobei eine komplette Infrastruktur und damit die dedizierte Nutzung von HardwareRessourcen möglich werden. Das Akronym SaaS steht für Software as a Service. Es handelt sich dabei um eine Dienstleistung, die ebenfalls unter dem Namen ASP (Application Service Provider) bekannt ist. Sie stellt eine im Zeitalter des Mobile Computing immer stärker vorangetriebene Art des Software-Vertriebs dar. Eine Software soll damit zentral bereitgestellt und möglichst vielen Benutzern zugänglich gemacht werden.

Begriff des Cloud Computing

Der Begriff des Cloud Computing ist nicht einheitlich definiert und so finden sich dann auch unterschiedliche Formulierungen, was konzeptionell und technologisch darunter zu verstehen ist. Vielerorts wird gerne die Begriffsdefinition von Forrester Research zitiert: Cloud Computing steht für einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und falls erforderlich nach Gebrauch abgerechnet werden kann. Diese Formulierung zeigt das grundlegende Problem des Cloud Computing auf: Es ist nicht einfachso greifbar. Sie fasst jedoch die allgemeinen Konzepte eines solchen Systems zusammen. Im Mittelpunkt steht ein Dienst, der Funktionen zur Verfügung stellt. Diese Funktionen sind modular aufgebaut, so dass sie nur bei Bedarf durch einen Kunden genutzt werden können. Damit wird es möglich, dass nur die effektive Nutzung abgerechnet wird. Der Kunde muss damit nicht für etwas bezahlen, das er nicht benutzt. Dies ist tendenziell bei eigens angeschaffter Hardware und bereitgestellten Systemen nicht der Fall. Die administrativen Aspekte der über Cloud Computing bezogenen Dienstleistungen verschieben sich damit im Normalfall gänzlich zum Anbieter. Der Kunde muss sich nicht um die Anschaffung neuer Hardware sowie das Aufsetzen und Betreuen der Systeme kümmern. Gerade bei kleineren Unternehmen (KMU), die keine eigenständige IT-Abteilung haben oder der Unterhalt einer solchen finanziell nicht gerechtfertigt ist, können damit direkte wirtschaftliche Vorteile für sich erschliessen. Wir pflegen eine sehr reduzierte und einfache Definition von Cloud Computing zu vertreten. Diese lautet wie folgt: Cloud Computing ist ein modulares System, in dem Ressourcen für den Endanwender transparent sowie dynamisch zugewiesen und verarbeitet werden.

SaaS (Software as a Service)

Abbildung 2. Aufbau der Cloud-Vertriebsmodelle

Abbildung 3. Dropbox-Client für iPhone

14

11/2011

Sicherheit von Cloud Computing

Der Hauptnutzen von SaaS ist das Anbieten des Zugriffs auf eine Applikationsplattform. Der zentrale Aspekt dieses Modells ist, dass der Kunde keine Kosten für Systeme, Lizenzen und Personal (Administration) aufwenden muss. Es obliegt gänzlich der Pflicht des Anbieters, dass die Plattform fachgerecht bereitgestellt werden kann. Damit wird eine klare Trenning zwischen dem traditionellen Outsourcing vorgenommen, bei dem der Kunde für Hardware und Wartung sowie weiterführende Investitionen verantwortlich bleibt. SaaS-Clouds sind sowohl bei Anbietern als auch Kunden besonders beliebt, da sie ein minimales Mass an Komplexität erwarten. So gibt es mittlerweile eine Vielzahl populärer Dienste, die diesem Modell zuzuordnen sind. Beispielsweise können mit Apple MobileMe, Dropbox und Evernote sehr einfach und komfortabel Daten auf unterschiedlichen Systemen genutzt und bearbeitet werden. Zur Nutzung dieser Dienste sind in der Regel proprietäre Clients erforderlich. Diese werden jenachdem für verschiedene Plattformen zur Verfügung gestellt. Die drei zuvor genannten Beispiele bieten Clients im Web (browserbasiert), als eigenständige Applikationen und für verschiedene mobile Plattformen (iPhone, Android, BlackBerry, etc.). Beim Aufstarten eines Clients wird durch diesen automatisch und für den Benutzer weitestgehend Transparent eine Synchronisation des lokalen Datenbestands des Clients und des zentralen Datenbestands beim Cloud-Anbieter vorgenommen. Fehlende Objekte werden ausgetauscht und kürzlich bearbeitete Objekte aktualisiert. Dadurch wird auf allen Endpunkten stets der gleiche aktuelle Datenbestand bereitgestellt. Im Falle von Apple MobileMe sind dies verschiedene Daten, wie zum Beispiel Adressbuch und Kalender. Dropbox gewährt die Synchronisation beliebiger Dateien. Und Evernote fokussiert sich auf multimediale Notizen (Text, Bilder, Audio, etc.).

wickler müssen nur noch über einen Netzwerkzugang zur Cloud verfügen, um ihrer Tätigkeit nachgehen zu können. Das ständige Warten der Entwicklungsumgebung und das eigenständige Synchronisieren der Codebasis fallen damit weg. Zudem kann auf die Anschaffung kostenintensiver Client-Hardware (z.B. zur aufwendigen Kompilierung) verzichtet und stattdessen auf kostengünstige Endpunkte (Thin-Clients) gesetzt werden. Populäre PaaS-Lösungen werden durch Microsoft Azure und Google App Engine (GAE) bereitgestellt. Microsoft sieht für ihre Umgebung die Nutzung von .NET vor, um eigene Applikationen entwickeln und ausführen zu lassen. Damit wird es für bestehende WindowsEntwickler besonders einfach, auf diese Plattform zu wechseln. Im Gegenzug fokussiert sich Google auf hochskalierbare Webapplikationen, die hauptsächlich in Python geschrieben werden oder auf Java VM lauffähig sind.

IaaS (Infrastructure as a Service)

IaaS steht für Infrastructure as a Service. Und so wird dann auch die effektive Infrastruktur durch den CloudAnbieter zur Verfügung gestellt. Der Kunde kann auf grundlegende Komponenten wie Rechenzeit, Speicherplatz oder Netzwerkanbindung zurückgreifen, um beispielsweise eigene Betriebssysteme und Applikationen zu betreiben. Damit wird ein Höchstmass an Eigenverantwortung im Cloud-Umfeld verlangt. Im Gegenzug kann der dedizierte Ressourcen-Bezug in klar definierter Weise abgerechnet werden. Der bekannteste IaaS-Dienst ist Amazon Web Services (AWS), in dem verschiedene Betriebssysteme aufgesetzt und betrieben werden können. Die Cloud wird damit quasi als dynamische Housing-Umgebung wahrgenommen, in der die eigenen Systeme integriert werden können.

PaaS (Platform as a Service)

Cloud-Infrastrukturen

PaaS steht für Platform as a Service. Dadurch wird eine ganzheitliche Plattform bereitgestellt, auf der eigene Software ausgeführt oder im Rahmen der dargebotenen Entwicklungsumgebung betrieben werden kann. Es wird also ein zusätzliches Fundament zum zuvor genannten SaaS gewährleistet. Zwar kann auch hier der Benutzer keinen Einfluss auf die darunterliegende Infrastruktur ausüben. Jedoch erschliessen sich ihm im Gegensatz zu SaaS zusätzliche Kontrollmöglichkeiten der eingesetzten Software. Damit wird dann vor allem bei Software-Entwicklung ein Mehr an wirtschaftlicher Effizienz erreicht, denn es kann auf den Aufbau und die Betreuung umfangreicher Entwicklungsplattformen verzichtet werden. Ent-

Unabhängig der Vertriebsmodelle gibt es verschiedene Arten von Clouds. Dabei kann zwischen drei Varianten unterschieden werden: • Private Clouds • Öffentliche Clouds • Hybride Clouds Sie definieren die Art und Weise sowie welche Benutzergruppen in welcher Form auf die Dienste zugreifen können. Hierbei wird unterschieden zwischen: • Internen Benutzer • Externe Benutzer

hakin9.org/de

15

dAtEnSIChErhEIt

Als intern werden alle Benutzergruppen angesehen, die in einer direkten Geschäftsbeziehung mit dem Unternehmen stehen. Dazu gehören alle Mitarbeiter, aber auch vertraglich gebundene Partnerunternehmen. Als extern werden alle Benutzer angesehen, die in keiner direkten Geschäftsbeziehung stehen. Die Kombination dieser Infrastrukturvarianten und der verschiedenen Benutzergruppen wird nachfolgend im Detail erklärt. Private Clouds bieten ausschliesslich Dienste für interne Benutzer an, wobei die Prinzipien des Cloud Computings durchgängig berücksichtigt werden (z.B. Skalierbarkeit, Transparenz). Sie werden entweder unternehmensintern durch eine eigene Abteilung oder durch ein nahes Partnerunternehmen bereitgestellt. So befindet sich die genutzte Hardware physisch im Besitz des Unternehmens (Inhouse) oder Partners. Der Vorteil privater Clouds ist, dass sich die Benutzergruppe sehr klar definieren lässt. Zudem besteht – mindestens vertraglich – eine enge Vertrauensbeziehung zwischen Cloud-Anbieter und Nutzern. Traditionsgemäss ist diese Vertrauensbeziehung aber auch als latentes Risiko zu werten, denn so wird gerne darauf verzichtet, ausserhalb und innerhalb der Cloud zusätzliche Schutzmechanismen zu implementieren. Es wird angenommen, dass die vertrauenswürdigen Benutzer sich zu benehmen wissen und keine Gefahr darstellen. Dies ist jedoch äusserst zweifelhaft und spätestens dann widerlegt, wenn die Kompromittierung eines legitimen Kontos stattgefunden hat und dieses zur Weiterführung eines Angriffs (Hopping-Attacken) missbraucht wurde. In privaten Clouds muss also mindestens das gleiche Sicherheitsniveau erreicht werden, wie dies auch bei einer traditionellen internen Netzwerkumgebung (DMZ) der Fall war. Eine Netwzerksegmentierung samt Firewalling ist genauso wünschenswert wie eine strenge Authentisierung und umfassendes Logging für unternehmenskritische Dienste.

Private Clouds

Öffentliche Clouds bieten in erster Linie Dienste für externe Benutzer an, wobei auch hier die Prinzipien des Cloud Computings eingehalten werden. Derlei Clouds werden ebenfalls unternehmensintern oder durch ein Partnerunternehmen betrieben, wodurch sich die Hardware in ihrem physischen Besitz befindet. Öffentliche Clouds sollten gleich wahrgenommen werden, wie alle anderen öffentlichen Dienste auch (z.B. Webseiten, Mailserver). Entsprechend findet auch hier eine Erweiterung des Perimeters statt. Dies ist natürlich mit zusätzlichen Aufwänden verbunden, die gerade bei einem komplexen und schwierig zu definierenden Konstrukt wie einer Cloud nicht einfach ausfällt. Das Etablieren von Zugriffskontrollen (z.B. Firewalling, Authentisierung, Access Control Lists) ist zwingend erforderlich, um öffentliche Clouds in sicherer Weise betreiben und nutzen zu können. Die erfolgreiche Umsetzung einer sicheren öffentlichen Cloud erfordert deshalb ein hohes Verständnis für die eingesetzten Technologien sowie ein gewisses Mass an Flexibilität dieser. Weitsichtige Entscheide auf strategischer Ebene sind dabei also genauso wichtig wie die Berücksichtigung der zukünftigen technischen Anforderungen.

Öffentliche Clouds

hybride Clouds

Hybride Clouds kombinieren die Funktionalität von privaten und öffentlichen Clouds, wodurch die Dienste sowohl für externe als auch für interne Benutzer bereitgestellt werden. Derlei hybride Konstrukte sind sicherheitstechnisch schwierig zu rechtfertigen, ja eigentlich gar zu vermeiden. So müssen in der gleichen Infrastruktur Benutzer unterschiedlicher Einstufungen zugelassen werden. Da diese voraussichtlich nicht die gleichen Zugriffsrechte beigemessen bekommen sollen, müssen unterschiedliche Regulierungen durchgesetzt werden. Dies schafft die paradoxe Situation, dass innerhalb eines Konstrukts zur Vermengung eine Trennung eingeführt wird. Eigentlich müssten also zwei Clouds – sowohl eine private als auch eine öffentliche – betrieben und klare Übergänge zwischen diesen definiert werden. Dies ist jedoch oft-

Abbildung 4. Struktur einer privaten Cloud

Abbildung 5. Struktur einer öffentlichen Cloud

16

11/2011

Sicherheit von Cloud Computing

mals aus kostengründen nicht gewollt und deshalb die potentiellen Sicherheitsrisiken des hybriden Ansatzes bewusst in Kauf genommen. Ein Phänomen, das leider auch Voice-over-IP (VoIP) tendenziell zu schaffen macht. Vor der Umsetzung bzw. Nutzung einer hybriden Cloud sollte eine umfassende Risikoanalyse angestrebt werden, um die potentiellen und effektiven Risiken frühstmöglich ausmachen, kalkulieren und adressieren zu können. Gerade bei grossen und schwerfälligen Konstrukten wird es sehr wichtig, die mitgeführten Sicherheitsaspekte frühstmöglich adequat zu berücksichtigen.

weder werden die Risiken unbewusst übersehen oder absichtlich übergangen. Dies ist ein grosser Fehler, denn sowohl die einzelnen Teilkonzepte als auch die Cloud als Ganzes müssen den klassischen Anforderungen der Informationssicherheit Folge leisten. Nachfolgend sollen einzelne Aspekte, ihre Gefahren und mögliche Massnahmen betrachtet werden. Dabei wird sich teilweise am Beitrag 10 sicherheitsrelevante Gründe gegen Cloud Computing orientiert.

kontrolle

Externe verwaltung

Bei extern verwalteten Clouds handelt es sich um eine spezielle Form der vorgestellten Infrastrukturtypen. Zwar befinden sich die Clouds noch immer im Besitz eines Unternehmens, wodurch in direkter oder indirekter Weise der physische Zugriff auf die Hardware gewährleistet wird. Jedoch werden die jeweiligen Komponenten durch ein externes Unternehmen betreut. Es erfolgt also ein Outsourcing des CloudDienstes. Das Angehen einer externer Verwaltung eines Cloud-Dienstes ist mit den gleichen Anforderungen verbunden, wie ein anderweitiges Outsourcing auch. Auch hier müssen vertragliche Einigungen erzielt werden, die ebenfalls technische, sicherheitsbezogene und juristische Aspekte zu berücksichtigen in der Lage sind.

Sicherheitsaspekte

Wie gezeigt wurde, kombiniert Cloud Computing eine Vielzahl unterschiedlicher, bisweilen altbekannter Konzepte. In der Euphorie der damit erschlossenen Möglichkeiten werden gerne die sicherheitstechnischen Aspekte entsprechender Lösungen vernachlässigt. Ent-

Cloud Computing ist eine spezielle Form des Outsourcings. Bei diesem werden gewisse Ressourcen oder Prozesse an den Cloud-Partner ausgelagert. Eine in zentraler Weise sicherheitskritische Eigenschaft des Outsourcings ist der Verlust der Kontrolle über die Weiterverarbeitung (z.B. Auswertung und Verkauf der anfallenden Daten). Man sieht sich einerseits nicht mehr in der Lage, die eigenen Erwartungen durchzusetzen. Die hohen Anforderungen einer spezifischen Branche des Kunden müssen nicht zwingend denen des Cloud-Anbieters entsprechen. Eine Verschiebung der Anforderungen kann zu einer unliebsamen Angleichung und damit zur Verringerung des erwarteten Sicherheitsstands führen. Dies passiert sehr schnell, wenn der Kunde aus einem Hochsicherheitsumfeld stammt (z.B. Finanzbranche). Andererseits hat man auch keine Möglichkeit, eine direkte Prüfung des Einhalts von Erwartungen und Abmachungen vorzunehmen. Ein Cloud-Anbieter kann sich zwar auf das Einhalten vordefinierter Anforderungen einigen. Ob und inwiefen diesen wirklich Folge geleistet wird, ist nur mit Hilfe des Dienstleisters zu eruieren. Und gerade in kritischen Situationen kann man nicht erwarten, dass sich diese in kooperativer Weise um eine Aufklärung bemühen wird.

Abbildung 6. Struktur einer hybriden Cloud

hakin9.org/de

17

dAtEnSIChErhEIt

Sollen beispielsweise in regelmässigen Abständen Sicherheitsüberprüfungen der genutzten Cloud-Infrastruktur umgesetzt werden, kann sich das als enorm aufwendig herausstellen. Auf technischer Ebene können die Komplexität der Infrastruktur und der schwierig nachvollziehbare Datenfluss dafür verantwortlich sein. Bei der Analyse von Prozessen, bei denen beispielsweise Interviews mit den zuständigen Personen geführt werden sollen, kann die fehlende Unterstützung ebenfalls zu einer schwierig überwindbaren Hürde führen.

rizont ausgerichtet sind, lassen sich voraussichtlich planen. Der Umgang mit hektischen Situationen lässt sich hingegen nicht voraussagen. Zu diesen gehören beispielsweise: • Security Incidents (z.B. elektronischer Einbruch, DDoS-Attacken) • Ausfall von systemkritischen Komponenten (z.B. Hardware-Defekt eines Routers) Durch das klare Definieren der Schnittstellen wird es möglich, diese möglichst effizient auszuwerten. Gerade für Szenarien, die ein hohes Mass an Flexibilität erfordern, sollten klare Abmachungen bezüglich Kompetenzbereichen samt Service Level Agreement (SLA) getroffen werden. Diese Szenarien sollten zudem regelmässig durchgespielt und den aktuellen Geschehnissen (laufende wirtschaftliche und technische Entwicklungen) angepasst werden. Durch eine solche regelmässige Prüfung wird verhindert, dass die in den jeweiligen Situationen erforderliche Qualität nicht gewährleistet werden kann. Innerhalb der Cloud können verschiedene Objekte miteinander vermengt sein. Dabei kann es sich um Daten, Systeme oder gar Kunden handeln. Eine klare Trennung von Objekten ist nicht per se ohne zusätzliche Aufwände durchgesetzt. Dies führt dazu, dass unbeabsichtigt sicherheitstechnisch unterschiedlich klassifizierte Objekte miteinander vermengt werden können. Sind zum Beispiel Computersysteme mit unterschiedlicher Exponiertheit und Kritikalität in der gleichen Cloud gehostet und es findet die Kompromittierung eines Hosts (Sicherheitsstufe 2) statt, kann dies direkten Einfluss auf die Sicherheit des anderen Hosts (Sicherheitsstrufe 1) haben. Diese Vermengung unterschiedlicher Einstufungen resultiert in einem Herabstufen der höher gewichteten Objekte. Damit kann im schlimmsten Fall für alle Objekte lediglich das Sicherheitsniveau des am schlechtesten geschützten Objekts garantiert werden. Um diesen Effekt der Herabstufung durch das schwächste Glied zu verhindern, sollten eine klare Formulierung der Einstufungen sowie eine strikte Umsetzung dieser stattfinden. Objekte unterschiedlicher Einstufungen sollten nicht in den gleichen Objektgruppen zusammengefasst werden. Hierbei gilt es dem gleichen Credo der hybriden Clouds zu folgen, die ihrerseits auch das Risiko einer unerwünschten Vermengung – in jenem Fall jedoch bezüglich privater und öffentlicher Benutzergruppen – mit sich führt. Als Grundsatz gilt, dass Objekte unterschiedlicher Einstufungen in Bezug auf Kritikalität und Exponiertheit nicht

transparenz

Ein grundlegendes Risiko des Outsourcings ist, dass einem Partner Vertrauen entgegengebracht werden muss. Diesem wird Kompetenz beigemessen und zwecks Interaktionsmöglichkeiten Schnittstellen definiert. Da die Einsicht der Objekte bzw. Prozesse nur noch bis zu diesen Schnittstellen funktioniert, verliert die Zusammenarbeit bzw. die Weiterverarbeitung an Transparenz (z.B. Kommunikation von Incidents). Die Cloud muss ebenfalls als spezielle Form des Outsourcings von Ressourcen bzw. weiter zu verarbeitenden Daten verstanden werden. Der Kunde sollte darum bemüht sein, ein Höchstmass an Transparenz im Zusammenhang mit der bezogenen Dienstleistung erreichen zu können. Einerseits sollten klare Anforderungen an den Cloud-Partner gestellt werden, in welcher Form und wie Einsicht in die Verarbeitung gehalten werden kann. Dazu gehören ebenfalls Einsichten in die Bereiche: • Weiterverarbeitung von Daten • Interne Verarbeitung von Objekten (z.B. kundenbezogene Informationen) • Zugriffe auf Protokollierung und Logging • Zugriffe auf Backup und Restore • Revisionstechnische Zugriffsmöglichkeiten (z.B. zwecks Auditing) Andererseits sollten die vereinbarten Schnittstellen klar geregelt sein, um die Übergänge wohldefiniert etablieren und sich derer sowie ihrer Einschränkungen bewusst zu sein. Nur so kann eine durchdachte Risikokalkulation umgesetzt werden.

trennung von objekten

Unabhängigkeit

Durch das Auslagern von Aufgaben und Prozessen büsst man stets ein gewisses Mass an Unabhängigkeit ein. Man ist nicht mehr alleiniger Herr über den Sachverhalt und stattdessen auf die Zuwendigkeit des Partners angewiesen. Situationen, die ein hohes Mass an Flexibilität und Dynamik erwarten, werden damit schwieriger zu bewältigen. Strategische Entscheidungen des Managements, die auf einen langfristigen Ho-

18

11/2011

Sicherheit von Cloud Computing

in ein und der Selben Objektgruppe zusammengefasst werden sollten.

datensicherung und datenwiederherstellung

Das Umsetzen einer Datensicherung wird beim Cloud Computing oftmals direkt durch den Anbieter selbst angeboten. Dieser ist sowohl für das Erstellen der Datensicherung (Backup) als auch für die Wiederherstellung bei einem Datenverlust (Restore) verantwortlich. In der Vergangenheit sind jedoch immerwieder Ausfälle von Cloud-Diensten bekannt geworden, bei denen sich ein Anbieter nicht oder nur ungenügend um die Datensicherung bemüht hat. Zudem kann es durch einen Kunden wünschenswert sein, dass dieser zusätzlich eine eigene Datensicherung anfertigen kann. Die Sicherung der Daten in einer Cloud kann sich jedoch als relativ schwierig herausstellen. Dies kann schon nur alleine damit beginnen, dass oftmals nicht ganz klar ist, wo in einer Cloud die Daten genau abgelegt sind. Zusätzlich bieten viele Cloud-Dienste gar keine klaren Schnittstellen, um ein externes oder gar autonomes Backup/Restore durchzuführen. Verschiedene Anbieter auf dem Markt haben diese Schwierigkeiten erkannt und bieten zusätzliche Sicherungsdienste für verschiedene Cloud-Produkte und -Technologien an. Dadurch ist natürlich ein Mehr an Ausgaben zur Gewährleistung der zusätzlichen Bedürfnisse erforderlich, deren Ausbleiben in erster Linie die Umsiedlung der Daten in die Cloud gerechtfertigt hatten. Spätestens hier wird also der wirtschaftliche Vorteil der Kerndienste durch zusätzliche Bedürgnisse negiert. Zudem wird mit dem Einspannen einer neuen Lösung wiederum die unliebsame Komplexität des gesamten Konstrukts erhöht. Es ist deshalb wichtig sich darüber Gedanken zu machen, ob und inwiefern eine eigene DatensicherungsStrategie innerhalb einer Cloud verfolgt werden will und technologisch auch verfolgt werden kann. Mehrkosten, die bei einer solchen Lösung anfallen können, müssen in die initiale Kalkulation miteinbezogen werden, um sich vor unliebsamen zukünftigen Betriebskosten schützen zu können. Viele Lösungen, die in Bezug auf die Kostenersparnis sehr attraktiv angeboten werden, beinhalten nämlich versteckte Mehrkosten, die sich erst bei einer längeren Nutzung des Dienstes als solche zu erkennen geben.

Zweck müssen die in der alten Cloud abgelegten Objekte ähnlich wie bei einer Datensicherung extrahiert werden, um sie dann in der neuen Cloud wieder einzuspielen. Auch hier besteht nun das Problem, dass fehlende Schnittstellen diesen Prozess massgeblich erschweren können. Ein Cloud-Anbieter ist im Grunde gar nicht darum bemüht, für diese Zwecke effiziente Mechanismen, klare Schnittstellen und kompatible Technologien anzubieten. Denn durch das Ausbleiben dieser kann er eine Kundenbindung auf technischer Ebene erzwingen. Die Trägheit des Kunden wird verhindern, dass dieser beim Auftauchen des ersten Bedürfnisses die bestehende Geschäftsbeziehung löst und zu einem anderen Anbieter wechselt. Stattdessen wird der damit einhergehende Aufwand immensen Ausmasses gescheut werden. Dadurch erhält der Anbieter ein Mehr an Handlungsspielraum, um im Rahmen der Kundenbeziehung die zu seinen Gunsten arbeitenden Modalitäten zu diktieren. Dies kann sich also im schlimmsten Fall langfristig auf die Qualität eines Angebots (z.B. Reaktionszeiten, Kooperationsbereitschaft) niederschlagen. Auch hier gilt es deshalb frühzeitig abzuklären, ob und inwiefern Migrationsmöglichkeiten bestehen. Nur dadurch kann ein Mindestmass an Unabhängigkeit gewährleistet werden, das dringend erforderlich ist, um den eigenen Handlungsspielraum nicht vollends zu beschneiden.

migrationsmöglichkeiten

In eine ähnliche Kategorie wie das Herstellen und Wiedereinspielen von Datensicherungen ist die Möglichkeit einer Migration. Bei einer solchen wird sich darum bemüht, von einem Cloud-Anbieter oder –System zu einem anderen zu wechseln bzw. eine eigene Lösung wiederzubetreiben (Insourcing). Zu diesem

Ein Hauptmerkmal des Cloud Computings ist, dass durch dieses eine transparente Dezentralisierung der Objekte (in den meisten Fällen hauptsächlich Daten) stattfinden kann. Für den Benutzer wird es irrelevant zu wissen, wo sich die von ihm bearbeiteten Daten gerade befinden. Dieses fehlende Wissen um die grundlegenden Gegebenheiten führt jedoch das Risiko der Verletzung juristischer Anforderungen mit sich. In verschiedenen Belangen ist die Verarbeitung von Daten gesetzlichen Bestimmungen unterworfen. So betrifft zum Beispiel das Thema Datenschutz sämtliche Unternehmen. Manche von ihnen sind branchenspezifischen Anforderungen unterworfen (z.B. im Finanzsektor). Eine geografisch verschiedene Länder umfassende Cloud führt zum Beispiel das Risiko ein, dass hier plötzlich unterschiedliche juristische Rahmenbedingunen für die gleichen Datensätze gelten können. Die Datenschutzbestimmungen sind voraussichtlich nicht gleich, jenachdem in welchem Land sich die Daten gerade befinden. Alleine Deutschland und die Schweiz pflegen gänzlich unterschiedliche Anforderungen an den Schutz persönlicher Daten zu stellen.

Juristische Anforderungen an den datenschutz

hakin9.org/de

19

dAtEnSIChErhEIt

Oder gewisse Datenschutzbestimmungen verbieten gar, dass Daten ein bestimmtes Land verlassen dürfen. Dies ist zum Beispiel oftmals bei kundenbezogenen Daten – vor allem im Finanzumfeld – der Fall. So ist es nicht ohne weiteres erlaubt, dass diese im Ausland gelagert oder über einen externen Server weitergereicht werden. Es gilt also vor der Nutzung eines geografisch verteilten Dienstes zu klären, ob und inwiefern dessen Nutzung mit den auferlegten juristischen Bestimmungen vereinbar ist. Die Anbieter weltweit umspannender Clouds haben diese Problematik erkannt und bieten bisweilen technologische Möglichkeiten an, die geografische Verteilung der Daten zu limitieren. Amazon hat zu diesem Zweck die Availability Zones eingeführt. Besteht keine Möglichkeit, die geografische Ausbreitung sensitiver Daten durch die Konfiguration der Cloud-Struktur einzuschränken, müssen prozesstechnische oder zusätzliche technische Mechanismen genutzt werden, um keine Verletzung der Sorgfaltspflicht anzugehen. Dies kann beispielsweise das Anonymisieren oder Verschlüsseln von Daten bei der Übermittlung in andere Länder (z.B. bei Test-Daten) der Fall sein.

Aufbau und Wahrung von knowhow

Juristische Eigenverantwortung

Die juristischen Schwierigkeiten sind nicht nur in Bezug auf die Anforderungen an den Datenschutz beschränkt. Oftmals wird davon ausgegangen, dass mit einer Auslagerung in eine Cloud die juristische Eigenverantwortung vollumfänglich an den Anbieter übertragen wird. Von nun an sei dieser dazu verpflichtet, wie nationalen und branchenspezifischen Anforderungen zu erfüllen. Dies ist jedoch Wunschdenken, denn die juristische Eigenverantwortung lässt sich oftmals nicht einfach so auf eine andere (juristische) Person übertragen. Nur weil ein Kunde (z.B. Finanzunternehmen) durch eine vertragliche Regelung ein Outsourcing zentraler Dienste an einen Cloud-Partner vornimmt, ist von nun an der Kunde nicht mehr nicht für die Sorgfaltspflicht der Datenverarbeitung verantwortlich bzw. mitverantwortlich. Jenachdem ist es dem Kunden gar nicht erlaubt, die Herrschaft über die Daten ohne weiteres weiterzugeben. Und falls eine Weitergabe dennoch möglich ist, dann muss sich jenachdem der Kunde um die Einhaltung und Prüfung der auferlegten Regeln bemühen. Doch gerade das Durchsetzen und Kontrollieren von Anforderungen ist aufgrund der fehlenden Transparenz und Schnittstellen vieler Cloud-Anbieter nicht oder nur mit erheblichem Aufwand durchführbar. Unter dem Strich ist es in Bezug auf diese weiterführenden Probleme oftmals unbestritten, dass eine eigenständige Bearbeitung der Daten einfacher und kostengünstiger umsetzbar bliebe.

In den allermeisten Fällen wird die Auslagerung eines Dienstes vorgenommen, um dadurch Kosten zu sparen. So kann auf die Anschaffung teurer Hardware und den Einsatz geschulten Personals verzichtet werden. Mit einer erfolgreichen Auslagerung geht also auch oftmals ein Stellenabbau in den betroffenen Bereichen einher. Im Fall des Cloud Computing wird somit jeweils in Bereichen der IT-Administration (Administratoren, Entwickler, Support) abgebaut. Mit dem Abbau von Personal geht aber auch immer Knowhow verloren. Sind keine Administratoren oder Entwickler mehr zugegen, wird es für ein Unternehmen immer schwieriger, das Verständnis für die genutzten Technologien zu wahren. Die Zusammenarbeit mit einem Cloud-Partner kann dadurch massgeblich erschwert werden, da dieser mit seiner Übermacht an technischem Verständnis die Ausrichtung eines Gesprächs diktieren kann. Im schlimmsten Fall kann er durch falsche oder halbwahre Aussagen die Entscheidungen des Kunden zu seinen Gunsten beeinträchtigen. Der Kunde ist auf sich alleine gestellt und kann damit nicht mehr intelligent agieren oder reagieren. Im besten Fall sollte also trotz Nutzung von CloudDiensten auf den rigorosen Abbau von fachtechnischem Personal verzichtet werden. Es sollte von jedem Fachbereich mindestens eine Person bestehen bleiben, die sich in technische Gespräche einschalten und zu Gunsten des Kunden argumentieren kann. Diese Person sollte als stabstechnische Kompetenzstelle agieren und andere Bereiche durch ihr Wissen und Verständnis profitieren können. Ist das Aufrechterhalten eines solchen KnowhowPools nicht möglich, muss sich auf externe Berater verlassen werden. Diese sollten bei strategisch und technisch schwierigen Situationen herbeigezogen werden, um durch ihre Empfehlungen den Handlungsspielraum des Kunden aufrechterhalten oder erweitern zu können. Nur so lässt sich frühzeitig eine Einengung durch den Cloud-Partner, zum Beispiel durch das Einwilligen von unvorteilhaften Vereinbarungen, verhindert.

dezentralisierung

In vielen Fällen wird das Cloud Computing als Dezentralisierung verstanden. Damit wird die Möglichkeit erschlossen, dass die Datenbestände in unterschiedlichen Bereichen und verschiedenen geografischen Lokalitäten aufbewahrt bleiben. Dies wird als positiver Effekt wahrgenommen, da dadurch theoretisch eine erhöhte Ausfallsicherheit erreicht werden kann. Dennoch entspricht Cloud Computing nicht per se einer Dezentralisierung. Genau genommen kann durch die Auslagerung in eine Cloud gar das Gegen-

20

11/2011

Sicherheit von Cloud Computing

teil stattfinden. Werden sämtliche Daten eines Unternehmens in die Cloud übertragen, stellt sie selbst einen Single Point of Failure dar. Ein Ausfall der Cloud führt nämlich ebenfalls zum kompletten Ausfall des Dienstes bzw. der Verfügbarkeit der Daten. Eine Cloud muss explizit so konstruiert sein, dass sie selbst in sich eine Dezentralisierung darbietet, um dennoch ein Mindestmass an Ausfallsicherheit (FailOver) gewährleisten zu können. Theoretisch kann ein als Cloud bezeichnetes Konstrukt lediglich aus einem einzigen Server (und dazugehörige transparente Schnittstellen) bestehen. Für Angreifer wird eine Cloud als eigenständige Entität also umso interessanter. Denn weiss ein Angreifer darum, dass ein Kunde die Dienste eines spezifischen Anbieters nutzt, kann er sich auf den Angriff auf diese Cloud konzentrieren. Cloud-Anbieter tragen aus verkaufstechnischen Gründen gerne technische Details zu ihren Lösungen nach Aussen, was einem Angreifer entscheidende Vorteile verschaffen kann. Jenachdem wie die Vermengung von Kunden und die internen Zugriffsbeschränkungen des Cloud-Anbieters umgesetzt sind, kann ein Angriff dann gar einfacher ausfallen, als dies bei einer eigenständigen IT-Umgebung der Fall gewesen wäre. Es ist deshalb wichtig abzuklären, wie die Struktur und Topologie einer Cloud genau aussieht. Dabei darf sich nicht einfach auf die Definition der undefinierten Wolke verlassen und dies als Vorteil für den Kunden – da einfacher zu verstehen – verstanden werden. Das Verständnis muss über diese PR-technische Simplifizierung hinausgehen. Die Ausfallsicherheit innerhalb der Cloud muss sodann genauso gewährleistet sein, so wie dies bei einer dedizierten IT-Infrastruktur der Fall gewesen ist. Redundant betriebene Komponenten sind dabei genauso wichtig wie schnelle Reaktionszeiten bei Betriebsunterbrüchen. Und auch hier ist es deshalb wichtig, dass die Vermengung von Objekten nicht rigoros zugelassen wird. Stattdessen sollte auf eine klare Trennung sowie strikte Zugriffslimitierungen gesetzt werden. Dadurch können Birthday- und Hopping-Attacken verhindert werden. Die Kompromittierung der Cloud eines Kunden hat damit nicht zwangsläufig die Kompromittierung der Cloud eines anderen Kunden zur Folge.

Dabei gibt es verschiedene Vertriebsmodelle. Beim SaaS (Software as a Service) wird eine Applikation zur Verfügung gestellt, die sich oftmals durch verschiedene Clients auf unterschiedlichen Systemen nutzen lässt. Zum Beispiel können so Datenbestände zwischen verschiedenen Plattformen synchronisiert werden. Einen Schritt weiter geht PaaS (Platform as a Service), bei der ein ganzheitliches Framework zur eigenen Entwicklung und Nutzung von Software dargeboten wird. Dieser Ansatz ist vor allem bei Entwicklungsumgebungen interessant. Umfassende Kontrolle wird hingegen erst bei IaaS (Infrastructure as a Service) erlangt, bei der ein Kunde direkten Zugriff auf Hardware-Komponenten hat und somit im Sinne eines Housing seine eigene ServerFarm betreiben kann. Dabei unterscheidet man zwischen verschiedenen Infrastrukturformen. Eine private Cloud bietet Dienste für interne Benutzer an. Hierbei handelt es sich in erster Linie um die Mitarbeiter eines Unternehmens, denen damit ihre Arbeitswerkzeuge bereitgestellt werden. Im Gegensatz können bei einer öffentlichen Cloud auch externe Benutzer auf die Dienste zugreifen. Dies ist vor allem dann wünschenswert, wenn damit ein spezifisches Produkt verkauft und verteilt werden will. Die Kombination privater und öffentlicher Clouds wird als hybride Clouds bezeichnet. Grundsätzlich gibt es verschiedene Sicherheitsaspekte, die bei der Umsetzung und Nutzung von Cloud Computing berücksichtigt werden müssen. Greift man auf die Dienste eines externen Cloud-Partners zurück, entspricht dies einer speziellen Form des Outsourcings. Mit diesem gehen verschiedene altbekannte Risiken – wie zum Beispiel der Verlust von Transparenz und Kontrolle – einher. Es gibt aber auch technische Risiken, wie die Schwierigkeit der Umsetzung einer eigenständigen Datenwiederherstellung oder die Durchführung einer Migration. Hinzu kommen juristische Bedenken, die gerade bei globalem Cloud Computing und in bestimmten Branchen nicht zu vernachlässigen sind. Diese Risiken müssen frühzeitig berücksichtigt und entsprechende Massnahmen ergrifen werden, um sie berechenbar und eliminierbar zu machen. Die sichere Umsetzung von Cloud Computing vermag möglich zu sein, auch wenn damit ein hohes Mass an Aufwand eingehen wird.

Zusammenfassung

Cloud Computing ist ein komplexes Thema, das sich auf verschiedene Technologien abstützt. Dabei werden bisweilen teilweise altbekannte Mechanismen miteinander kombiniert, um einen modularen und transparenten Dienst gewährleisten zu können. Auf wirtschaftlicher Ebene wird ein flexibles Kostenmodell als entscheidender Vorteil verstanden.

mArC rUEf
Marc Ruef startete im Jahr 1998 mit www.computec.ch das grösste deutschsprachige Portal zum Thema Computersicherheit. In seinen Arbeiten steht das Entwickeln neuer Methoden und Systeme zur Umsetzung und Erleichterung von Sicherheitsüberprüfungen im Mittelpunkt. Sicherheitsüberprüfungen, namentlich Penetration Tests, stehen also seit jeher im Mittelpunkt seiner Tätigkeit. Seite: http://www.computec.ch/mruef/

hakin9.org/de

21

Automatische verhaltensbasierte Malware-Analyse

Automatische verhaltensbasierte Malware-Analyse
Robert Luh, Paul Tavolato
Automatisierte verhaltensbasierte Malware-Analyse ist ein Weg zur schnellen Ersteinschätzung eines verdächtigen Code-Samples und zielt in erster Linie darauf ab, MalwareAnalytiker bei ihrer Arbeit zu unterstützen. Es wird ein verhaltensbasierter Malware-Erkennungsalgorithmus beschrieben, der implementiert wurde und dessen Tauglichkeit durch Tests bewiesen werden konnte.

U

m ein bestmögliches Ergebnis zu erzielen, bewertet der Algorithmus sowohl bösartiges als auch gutartiges Verhalten getrennt. Der erste Teil des Algorithmus vergleicht Systemobjekte, mit denen das Code-Sample interagiert, mit einer zu diesem Zweck zusammengestellten Liste von Systemobjekten. Der zweite Teil verfolgt Objektnamen über den Ablauf des Code-Sample hinweg und sucht nach verdächtiger Wiederverwendung der Objekte während des Ablaufs.

Aktuelle Situation

Malware (malicious Software, bösartige Software, Schadsoftware) ist zweifelsohne eine der größten Gefahren, denen die heutige IT- und Internet-Infrastruktur ausgesetzt ist. Unter Malware soll hier Software verstanden werden, die schädigende Absichten eines Angreifers ausführt. Das fasst alle Arten von unerwünschtem Code zusammen: Am häufigsten treten Trojaner, Würmer, Viren, Spyware, Dropper und Adware auf. Malware tritt in vielen Erscheinungsformen auf: Angefangen von einem Code, der befallene System außer Gefecht setzt, über einen Code, der heimlich sensible Informationen ausspäht oder über fremde Rechner massenhaft Spam versendet bis zum Kapern ganzer System, um sie als Teil eines Botnets für irgendwelche finsteren Zwecke zu benutzen. Dabei hat sich die Szene in den letzten Jahren zunehmend kommerzialisiert: Malware ist ein alltägliches Werkzeug beim digitalen Diebstahl, für Firmen- und Staatsspionage, zur Verteilung von Spam sowie bei Angriffen gegen die Infrastruktur eines feindliche Unternehmens, einer feindlichen Gruppe oder eines Staates geworden. Um die Malware ins Zielsystem einzuschleusen wird entweder eine Schwachstelle des

angegriffenen Systems ausgenutzt (Exploit: unpatched Software Bug oder ein Design Fehler in der Software) oder man verlässt sich auf unüberlegte Aktionen eines vertrauensseligen Users (social engineering). Die Antivirenindustrie kämpft einen unaufhörlichen Kampf um den Schutz der IT-Infrastruktur ihrer Kunden. Täglich sind sie mit einer stets zunehmenden Anzahl von verdächtigen Code-Samples konfrontiert, die in kurzer Zeit korrekt eingestuft werden müssen, um entsprechende Maßnahmen setzen zu können. Bislang arbeiten Antivirenprogramme vornehmlich signaturbasiert: Von einem als Schadsoftware eingestuften Code-Sample wird eine Signatur (ein charakteristischer Teil des Codes oder ein spezifischer Hash) gewonnen, in die Signatur-Datenbank aufgenommen und zur Identifizierung der Schadsoftware verwendet. Zusätzlich werden heuristische Verfahren als Ergänzung eingesetzt. Allerdings haben sich die Malware-Produzenten angepasst: Methoden wurden entwickelt, um einer signaturbasierten Erkennung zu entkommen. Neben Verschlüsselung und Runtime-Packaging (die für sich genommen signaturbasiertes Erkennen noch nicht ausschließen) werden zunehmend polymorphe Techniken (bei jeder Kopie der Malware wird die Verschlüsselung geändert, womit das Aussehen des Codes verändert wird und ein einfacher Vergleich mit einer Signatur aus der Datenbank nur mehr schwer möglich ist) und metamorphe Techniken (bei jeder Kopie wird der Code selbst derart verändert, dass er völlig anders aussieht, seine Funktionalität aber beibehält). Die erforderliche Analysearbeit zur Erkennung und Klassifizierung neuer Malware ist der erste wichtige

hakin9.org/de

23

AbwehR

Schritt im Kampf gegen die zunehmende Bedrohung. Der Kampf wird nicht nur immer komplexer, sondern wird auch durch die schiere Menge der neu auftretenden Schadsoftware zunehmend schwieriger zu bewältigen. McAfee schätzt etwa, dass bis Ende 2011 die Anzahl von 75.000.000 bekannten Malware-Samples erreicht werden wird. Allein im März 2011 sind weltweit etwa 2,2 Millionen neuer Samples aufgetaucht. Die Anzahl zu untersuchender potentieller Code-Samples, mit denen die Analyseabteilung einer Antivirenfirma heute pro Monat befasst wird, ist bereits vierstellig. MalwareAnalysten sind daher auf eine sinnvolle Vorauswahl angewiesen, um aus der rieseigen Menge potentiell gefährlicher Samples jene herauszufiltern, die vorrangig genauer analysiert werden müssen. Die Fragestellung lautet also: Gegeben ein CodeSample unbekannter bzw. dubioser Herkunft – wie groß ist die Wahrscheinlichkeit, dass es sich dabei um Malware handelt?

Verhaltensbasierte Analyse

Um das Verhalten eines beliebigen Code-Samples analysieren zu können, muss es in einer geschützten Umgebung ausgeführt werden. Dabei werden mit Hilfe von Tools Aufzeichnungen über die Aktivitäten des Codes gesammelt (das reicht von einer Zusammenfassung der abgesetzten System Calls bis zu einem detaillierten Disassembly). Diese Aufzeichnungen können dann gespeichert, eventuell die Ergebnisse verschiedener Tools kombiniert, analysiert und bewertet werden. Der bewertungsalgorithmus Die Auswertung der Verhaltensdaten erfolgt mit Hilfe eines Algorithmus zur Bewertung der Aktivitäten eines Samples. Dabei wird jede Aktivität als entweder potentiell bösartig (gefährlich) oder potentiell gutartig (harmlos) eingestuft und jeweils Punkte für das Ausmaß der Bösartigkeit bzw. Gutartigkeit vergeben. So erhält man zum Schluss zwei Werte, deren Differenz

Abbildung 1. Zusammenhang der Aktivitäten über Objektnamen

24

11/2011

Automatische verhaltensbasierte Malware-Analyse

eine Abschätzung der Gefährlichkeit des Code-Samples darstellt. Der Bewertungsalgorithmus besteht aus 2 Teilen: Im ersten Teil werden die Aktivitäten mit einer langen Liste von „heiklen“ Objekten verglichen, die von Malware oft verwendet werden. Dazu gehören ausgesuchte Systemdateien, Registry Keys, Devices, blacklisted IP Adressen und noch andere Objekte. Im zweiten Teil werden zudem Abhängigkeiten zwischen Aktivitäten bewertet: Dabei werden Objektnamen (zB Dateinamen) über die Analyse hinweg verfolgt, um zu veranschaulichen, wie sich die Aktivitäten des Samples im System fortpflanzen. Die Liste von zu bewertenden Objekten und Zusammenhängen kann aus verschiedenen Quellen zusammengestellt werden: Verschiedene Microsoftdokumente, die Security Software Liste killav.rb von BackTrack und einige IP Blacklists. Ergänzen kann man die Liste natürlich aus den eigenen Erfahrungen. Zu den wesentlichen Aktivitäten, die im Zusammenhang mit potentiell gefährlichem Verhalten zu betrachten sind, gehören: • • • Control Communication Aktivitäten bezüglich Device- und Dateiinteraktionen. Dateiaktivitäten insbesondere, wenn sie sich auf heikle Systemdateien oder Systemverzeichnisse beziehen. Registry Key Aktivitäten und Registry Value Aktivitäten, insbesondere, wenn sie sich auf sensible Ereignisse beziehen, wie etwa die Beeinflussung des Autostart-Verhaltens, die Internet-Einstellungen oder die Steuerung von Einstellungen von Antiviren-Programmen. Prozess Aktivitäten wie Beenden eines Prozesses, Erzeugen eines Threads und dergleichen, vor al-

• • •

lem wenn sie sich auf Prozesse beziehen, die sich explizit mit Sicherheitsproblematik befassen. Service Aktivitäten im Zusammenhang mit sensiblen Services. Dialogaktivitäten, die verdächtige Userinteraktionen durchführen. Netzwerkaktivitäten wie TCP/UDP Verbindungsversuche und Konversationen, DNS Queries, Ping Requests, Socket-Verbindungen und Address-Scans, vor allem wenn sie sich auf zweifelhafte (blacklisted) IP-Adressen beziehen.

Die Zusammenhänge, die sich aus der Verfolgung der Objekte ergeben, können in einem Graphen dargestellt werden: Dieser Graph zeigt die möglichen Wiederverwendungen eines Objektnamens. Typische Malware Verhaltensmuster Analysiert man eine große Anzahl bekannter Malware Samples, so erhält man Einsicht in typische Verhaltensmuster, wie sie von Malware an den Tag gelegt werden. Eine Auswahl der häufigsten dieser Muster sieht etwa so aus: • Das Programm registriert sich selbst als neues COM Objekt über den CLSID Subkey-Unterbaum in der Registry; dazu müssen Registryaktivitäten wie Registry Key Erzeugen und Registry Value Ändern ausgeführt werden. Erzeugen neuer Prozesse insbesondere im Windows-Systemverzeichnis und Registrierung derselben unter einer neuen CLSID. Ein erzeugter Prozess erzeugt seinerseits wieder ein Service, das so konfiguriert wird, dass es beim

• •

Abbildung 2. Bewertungsergebnisse für bösartige Samples

Abbildung 3. Bewertungsergebnisse für gutartige Samples

hakin9.org/de

25

AbwehR

• • • • • • • • • • •

Systemstart automatisch hochgefahren wird. Außerdem wird das Service gleich gestartet. Das Service oder der Prozess modifiziert das Systemlog und startet weitere Prozesse und/oder Services. Das Programm beendet “normale“ Prozesse. Antivirusprogramme werden gestoppt. Das Programm kopiert sich in andere Dateien (klassisches Infektionsverhalten). Das Programm ändert Interneteinstellungen. Das Programm versucht über Device Control Communication Netzwerkverbindungen aufzubauen. Eine Vielzahl von Sockets wird geöffnet. DNS Queries werden an verschiedene IP-Adressen versendet. Es werden Pings an eine Vielzahl von IP-Adressen abgesetzt. Verbindungen werden zu einigen der erfolgreich angepingten Adressen aufgebaut. Und so weiter…

der Analyse ausgeschlossen werden, weil sie keinerlei nennenswerte Aktivitäten entfalteten, das heißt sie haben sich sofort beendet bzw. sind sofort abge-stürzt. Mehr als 81% der Samples wurde korrekt als „high risk“ eingestuft; 6 % wurden als unklar eingestuft und Rest wurde fälschlicherweise als unbedenklich gewertet. Die Anwendung des Algorithmus auf 100 Samples harmloser Software lieferte in 90% der Fälle eine korrekte Einstufung. Die 10% falscher Einstufungen stammen ausnahms-los von invasiven Installationsroutinen, die eine große Zahl an Veränderungen im Be-triebssystem vorgenommen haben. Im Vergleich des doppelten Bewertungsalgorithmus mit einem einfachen (der nur das bösartige Verhalten bewertet) ergibt sich ein klar besseres Ergebnis für die doppelte Bewertung: Im Vergleich zu den 81% korrekt als Malware eingestufter Samples konnten mit einfacher Bewertung nur 72% korrekt eingestuft werden.

Zusammenfassung

Um im zweiten Teil der Bewertung sensible Objekte durch die Analyse verfolgen zu können, muss das Vorkommen sensibler Objektnamen in bestimmten Positionen (Registry Values, Service Parameter und ähnliches) gesucht werden. Werden sie vorgefunden, wird in Abhängigkeit des Fundortes ein bestimmtes Verhalten angenommen und die Bewertung entsprechend verändert. Doppelte bewertung Bewertet man nur bösartiges Verhalten, kommt man häufig auf sehr hohe Werte, die in keinem Verhältnis zur Bewertung anderer Samples stehen und es so schwierig machen, Grenzwerte für „bösartig“ vs. „gutartig“ zu definieren. Das liegt im Wesentlichen daran, dass Malware Samples üblicherweise eine sehr viel größere Anzahl an Aktivitäten entfalten als harmlose Programme. Um dieses Problem zu überwinden, kann man das genannte doppelte Bewertungsverfahren verwenden, bei dem neben der „Bösartigkeit“ auch die „Gutartigkeit“ eines Samples bewertet wird. Die endgültige Bewertung ergibt sich dann als die Differenz aus dem Bösartigkeitswert und dem Gutartigkeitswert. Je größer dieser Wert, desto bösartiger das Sample. Aus den Erfahrungen mit einer Vielzahl an Analysen können dann Grenzwerte definiert werden. Ab einem bestimmten Grenzwert kann man dann davon ausgehen, dass das Sample jedenfalls bösartiges Verhalten aufweist und daher mit an Sicherheit grenzender Wahrscheinlichkeit als Malware einzustufen ist. erste ergebnisse Dieser Algorithmus wurde auf einen Satz von 400 Malware Samples angewendet; davon mussten 112 von

Verhaltensbasierte Analyse stellt eine wichtige Arbeit des Malware-Analysten dar. Bislang war das ein mühsamer manueller Vorgang, der zwar durch diverse Tools unterstützt werden kann, nichtsdestoweniger aber ein zeitraubendes Unterfangen darstellt. Daher ist der Versuch einer Automatisierung eine lohnende Aufgabe. Auch wenn die manuelle Analyse letztendlich nicht vollständig ersetzt werden kann, so kann durch eine automatisierte Vorgangsweise immerhin eine sinnvolle Vorselektion erfolgen, die es dem Analysten ermöglicht, sein Arbeit zu priorisieren. Dies umso mehr, als die Arbeitslast der Analysten durch eine immer steigende Anzahl von neu auftauchenden Malware Samples Ausmaße annimmt, die kaum mehr zu bewältigen sind. Mit Hilfe des hier beschriebenen Algorithmus ist eine solche Vorselektion möglich. Insbesondere die Verwendung einer doppelten Bewertung (sowohl bösartiges als auch gutartiges Verhalten wird getrennt bewertet) hat sich als Verbesserung gegenüber herkömmlichen Bewertungsverfahren, die sich ausschließlich auf das Bewerten bösartigen Verhaltens beschränken, bewiesen. Weitere Verbesserungen des Algorithmus sind natürlich möglich; insbesondere eine Vorauslese der Samples scheint sinnvoll, um Samples die keine oder kaum Aktivität entfalten vorab ausschließen zu können (über sie kann einfach keine Aussage getroffen werden). Auch spezielle Unterschiede zwischen dem Verhalten von Malware und dem Verhalten von Installationsroutinen müssen noch herausgearbeitet werden, um solche Installationsroutinen nicht als Malware zu brandmarken. Schlussendlich muss ein solcher Bewertungsalgorithmus ständig an die sich laufend ändernde MalwareLandschaft anpasst werden.

26

11/2011

FH St. Pölten

Interview
Worüber erfahren Ihre Studenten während des Studiums? - Fach IT Security Das Bachelorstudium IT Security vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruktur. Das Besondere – und in Österreich Einzigartige – daran ist die Kombination aus Technik- und Managementwissen. Als künftige IT Security ExpertInnen bereitet das Studium auf den IT Security Alltag in Unternehmen vor - organisatorische und Managementaufgaben inklusive. Die Ausbildung besteht aus vier Schwerpunkten: • • • • IT-Betrieb Netzwerktechnik Sicherheitstechnologien Sicherheitsmanagement und Organisation chen, praxisbezogenen Inhalten wird großer Wert auf die Vermittlung sozialer Kompetenz und das Erlernen von Fremdsprachen gelegt. Das Studium zeichnet sich durch individuelle Betreuung und das Arbeiten in Kleingruppen aus. Pro Jahr werden nur 30 BewerberInnen aufgenommen. Die Übungen erfolgen in Gruppen á 15 Personen. Die praxisnahe Forschung nimmt einen hohen Stellenwert ein. Die frühzeitige Einbindung der Studierenden in Forschungsvorhaben mit Unternehmen ist der FH St. Pölten wichtig und ermöglicht jungen WissenschaftlerInnen Erfahrungen zu sammeln. Welche zusätzliche Schulungen bieten Sie für die Studenten? Während des Studiums können die Studierenden unter anderem durch selbstgewählte Vertiefungsrichtungen und Freifächer ihre persönlichen Ausbildungsschwerpunkte setzen, sowie unterschiedliche, international anerkannte Zertifikate erwerben. Folgende Zertifikate stehen derzeit zur Auswahl: • • • • • • • CCNA – Cisco Certified Network Associate CCNP – Cisco Career Certifcations & Paths PHSE – PHION Security Engineer MCITP – Microsoft Certified IT Professionalg ITIL V3 ACE – Access Data Certified Examiner D-Level Projektmanagement

Ab dem 3. Semester wird zusätzlich ein Wahlpflichtmodul ausgewählt, das eine individuelle Ausbildung in den Schwerpunkten IT Infrastruktur, Sicherheitsmanagement und Beratung sowie Malware Analyse ermöglicht. Der Masterstudiengang „Information Security“ folgt dem Bachelorstudiengang „IT Security“ und baut auf diesem auf. Der Masterstudiengang Information Security vermittelt eine Kombination aus technischen Kenntnissen und Management Know-how, die in keinem anderen Bildungszweig in dieser Tiefe angeboten wird. Information Security bildet ExpertInnen aus, die den stetig zunehmenden Anforderungen im ITBereich gewachsen sind. Die praxisorientierte Ausbildung bereitet die AbsolventInnen darauf vor, die Sicherheit von Gesamtsystemen zu garantieren und Informationssicherheit im Unternehmen zu verankern. Womit unterscheidet sich Ihre Hochschule von der anderen? Die Fachhochschule St. Pölten steht für qualitätsvolle Hochschulausbildung, Praxisbezug und Internationalität. Über 1.900 Studierende lernen und leben am Campus der FH St. Pölten. Das Studium ist berufsfeldbezogen und beinhaltet ein verpflichtendes Berufspraktikum; ebenso ist ein Auslandsaufenthalt möglich und gewünscht. Neben fachli-

Wie sind die Berufsaussichten nach dem Studium? Die derzeitige aktuelle Lage zeigt, dass SicherheitsexpertInnen immer wichtiger werden. Computerviren, Hacker, Datenverluste, Webattacken usw. stellen eine massive Bedrohung für die IT-Infrastruktur eines Unternehmens dar. Verschärft wird die Situation auch dadurch, dass immer mehr Prozesse eines Unternehmens EDV-unterstützt abgebildet und abgewickelt werden. Hier entsteht daher ein großer Markt für ExpertInnen, die sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb beherrschen, aber auch mit Management-Aufgaben vertraut sind. AbsolventInnen werden in allen Branchen (Industrie, Gewerbe, Dienstleistungen, Öffentliche Verwaltung),

hakin9.org/de

27

wo ein sicherer IT-Betrieb gewährleistet sein muss, dringendst benötigt. Eine Studie zum Thema Security-Software der Gartner Group unterstreicht den Bedarf an AbsolventInnen: Die jährlichen Wachstumsraten in der Security-Branche liegen bei 15 % pro Jahr bis 2012. Wo können die zukünftigen IT-Experten arbeiten? AbsolventInnen des Bachelorstudiengangs IT Security beherrschen die technischen Grundlagen für einen sicheren IT-Betrieb. AbsolventInnen werden nach entsprechender Berufserfahrung als Führungskräfte sowie als MitarbeiterInnen auf unterschiedlichen Ebenen des mittleren Managements eingesetzt. Beispiele: • • • • Chief Security Officer (CSO) Netzwerk- und BetriebssystemadministratorIn IT-ForensikerInnen Penetration TesterIn

AbsolventInnen des Masterstudiengangs Information Security sind in der Lage, sichere Gesamtsysteme zu entwickeln bzw. vorhandene Systeme auf Schwachstellen zu untersuchen und geeignete Gegenmaßnahmen sowohl technischer als auch organisatorischer Natur zu entwerfen. Die AbsolventInnen kommen in allen sicherheitsrelevanten Tätigkeitsfeldern bei informationsverar-beitenden Prozessen zum Einsatz. Insbesondere sind sie qualifiziert, leitende und planende Tätigkeiten auszuführen. Berufsfelder (Beispiele) • Sicherheitsbeauftragte/r (Chief Information-Security-Officer) • IT Security Solution Engineer/Architect • Security-Consultant • IT-Solution Architect Vielseitige, attraktive Berufsperspektiven in anspruchsvollen Tätigkeitsbereichen in Industrie, Handel, Versicherungen, Dienstleistungen, Unternehmensberatung, öffentlicher Verwaltung und nicht zuletzt in der Forschung erwartet die AbsolventInnen. Vielen Dank für das Gespräch!

28

11/2011

IT-Compliance mit dem Unified Compliance Framework UCF

IT-Compliance mit dem Unified Compliance Framework UCF
Georg disterer und michael Wittek
Die IT-Unterstützung von Geschäftsprozessen ist so bedeutend, dass Störungen oder Unterbrechungen im IT-Betrieb große Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien ausreichende Sorgfalt und Vorsorge, um einen störungs- und unterbrechungsfreien Betrieb zu gewährleisten.
In dIeSem ArTIkel erFAhren SIe…
· · · Grundlagen zu IT-Compliance UCF als Hilfsmittel zur Steuerung und Kontrolle Maßnahmen zur technischen Betriebssicherheit

WAS SIe vorher WISSen SollTen…
• kein spezielles Vorwissen

I

T-Compliance strebt nach weisbar regel konformes Handeln im IT-Bereich an und umfasst alle Maßnahmen zur Einhaltung entsprechender Vorgaben wie Ge setze, Vorschriften, Normen u.ä. Die Anzahl entsprechender Vor gaben ist groß, deren Art und Umfang höchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu können, ist ein systematisches Vor gehen sinn voll. Als ein Hilfsmittel steht das Unified Compliance Frame work (UCF) zur Verfügung. Nachfolgend werden Auf bau und Funktionsweise des UCF am Bei spiel der IT-Sicherheit erläutert, um dann die wesent lichen Steuerungsund Kontroll maß nahmen für den Wirkbereich der technischen Sicherheit aus dem Framework abzulei ten.

IT-Sicherheit im Fokus der IT-Compliance

Informationstechnologie (IT) ist ein wesentliches Werkzeug zur Abwicklung betrieblicher Prozesse. Die Abhängigkeit vieler Prozesse von der IT-Unterstützung ist teilweise so erheblich, dass IT vielerorts zur strategischen Ressource geworden ist. Entsprechender Aufwand muss betrieben werden, um den vielfältigen Gefahren zu begegnen (Disterer 2009 S. 74-75), wie etwa Angriffen in Form vorsätzlicher und gezielter Handlungen, missbräuchliche Nutzungen, irrtümliche oder versehentliche Handlungen, höhere Gewalt, technische Mängel und technisches Ver-

sagen, Funktions- und Organisationsmängel. Umfangreiche Steuerungs- und Kontrollmaßnahmen sind zum Schutz notwendig, um Störungen und Unterbrechungen des IT-Betriebs zu vermeiden. Eine zentrale Rolle spielt das IT-Sicherheitsmanagement, das für die IT die Planung, Umsetzung, Steuerung, Kontrolle und kontinuierliche Weiterentwicklung physischer und technischer Sicher heitsmaßnahmen umfasst. Ziel des IT-Sicherheits manage ments ist die Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und IT-Systemen (BSI 2011). Mit der zunehmenden Bedeutung von IT steigen auch gesetzliche und regulatorische Vorgaben, die den Einsatz von IT im Unternehmen regeln, wie z.B. die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG), den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) oder aus den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPDU). Nachweisbar regelkonformes Handeln im IT-Bereich wird als IT-Compliance bezeichnet (Böhm 2008 S. 17, Rath/Sponholz 2009 S. 25). Insgesamt ist die Anzahl derartiger Auflagen und Vorgaben groß, deren Art und Umfang höchst unterschiedlich. Zu beachten sind etwa Vorgaben für spezielle Branchen (Banken, Versicherungen, Gesundheitswesen u.ä.) und für spezielle Funktionsbereiche (Rechnungswesen, Logistik u.ä.) sowie übergreifende (z.B. Datenschutzrecht) sowie nationale und inter-

hakin9.org/de

29

BeTrIeBSSICherheIT

nationale Vorgaben. Viele der Vorgaben betreffen die IT-Sicherheit, d.h. das IT-Sicherheitsmanagement ist nicht in das Belieben eines Unternehmens gestellt, sondern muss vielerlei Auflagen erfüllen. Wegen der Vielzahl und Vielfalt der Auflagen und Vorgaben besteht die Gefahr der Intransparenz der zu beachtenden Vorgaben. Die Vorgaben sind teilweise redundant oder überlappend und unterscheiden sich in der Form oder dem Regelungstyp. Entsprechend ist Aufwand zu betreiben, um alle relevanten Vorgaben zu kennen und zu verstehen sowie Redundanzen und Überlappungen aufzudecken, um somit ein abgestimmtes Bündel von Maßnahmen

statt eine - gegebenenfalls große - Anzahl von Einzelmaßnahmen zu betreiben. Eine IT-gestützte Systematik dabei kann den Aufwand reduzieren und die Fehlerquote mindern. Eine derartige Systematik bietet das Unified Compliance Framework (UCF), das ein Hilfsmittel zur nachweisbaren Einhaltung von IT-Compliance-Anforderungen darstellt und hier am Beispiel der Sicherheitsanforderungen erläutert wird.

Aufbau und Funktionsweise des UCF

UCF wurde als Rahmenwerk für IT-Compliance von Vertretern des Beratungsunternehmen Network Fron-

Abbildung 1. Aufbau des UCF

30

11/2011

IT-Compliance mit dem Unified Compliance Framework UCF

tiers sowie der Anwaltskanzlei Latham & Watkins entwickelt und im Jahr 2005 erstmals publiziert (UCF 2011a). Das Rahmenwerk bietet eine umfassende Sammlung regulatorischer Anforderungen, adäquater Steuerungs- und Kontrollmaßnahmen sowie weiterer Hilfsmittel zur Umsetzung der Maßnahmen an. Das Rahmenwerk besteht aus mehreren Tabellen, die über Verknüpfungen der Einträge zueinander in Relation stehen. Umgesetzt sind die Tabellen mit Excel-Tabellen, die mit Links untereinander und mit Quellen aus dem Web verbunden sind. Daneben stehen eine Anzahl von Dokumentvorlagen sowie eine ausführliche Dokumentation. Struktur und Inhalte des UCF sind in Abbildung 1 dargestellt. In das Rahmenwerk sind aktuell rund 1.000 Gesetze und Auflagen aufgenommen worden, bekanntere davon sind zum Beispiel: • Gesetze für börsennotierte Unternehmen (z.B. Sarbanes Oxley Act) • Bankenrelevante Richtlinien (z.B. Basel II, Gramm Leach Bliley Act) • Regelungen im Gesundheitswesen (z.B. HIPAA, NIST, CMS) • Richtlinien für Kreditkartentransaktionen (z.B. PCI DSS, Visa CISP)
Tabelle 1. Wirkbereiche des UCF

• Datenschutzgesetze (z.B. Data Privacy Act für U.S.A., Bundesdatenschutzgesetz für Deutschland) • Internationale Gesetze/Richtlinien (z.B. 8. EURichtlinie) • Nationale Gesetze/Richtlinien (z.B. IT-Grundschutz) • Standards und Normen (z.B. ITIL, ISO 13335, ISO 27001) Alle ausgewerteten regulatorischen Dokumente sind in einer Tabelle aufgelistet. Die Einträge der Dokumente werden durch zusätzliche Informationen ergänzt: Name des Gesetzes bzw. der Auflage, herausgebende Institution, Datum der Veröffentlichung sowie eine kurze Beschreibung. Zusätzlich ist ein Link gesetzt zu Webseiten, auf denen das OriginalDokument von jeweiligem Gesetz oder Auflage ver fügbar ist. Resultat der Auswertung der Gesetze und Auflagen sind rund 4.300 Steuerungs- und Kontrollmaßnahmen, die eine nachweisbare Einhaltung gewährleisten sollen. Die Steuerungs- und Kontrollmaßnahmen sind sortiert und in verschiedene Tabellen zerlegt nach 14 unterschiedlichen IT-relevanten Wirkbereichen - siehe Tabelle 1 (vgl. Rath/Sponholz 2009 S. 196).

Nr.

Wirkbereich (Impact Zone)

Anzahl der Maßnahmen (controls)
24 104 88 2.103 156 112 76 249 279 144 581 122 107 187 4.332

1 2 3 4 5 6 7 8 9 10 11 12 13 14

Beschaffung von Technologie und Dienstleistungen (Acquisition of facilities, technology, and services) Prüfung und Risikomanagement (Audits and risk management) Compliance und Governance Formrichtlinien (Compliance and governance manual of style) Konfigurationsmanagement (System hardening through configuration management) Entwurf, Entwicklung und Einführung von IT-Systemen (Systems design, build, and implementation) Management des IT-Personalwesens (Human resources management) Unternehmensführung und Unternehmensziele (Leadership and high level objectives) Überwachen und Messen (Monitoring and measurement) Betriebsführung (Operational management) Physische Sicherheit und Perimeterschutz (Physical and environmental protection) Daten- und Informationsschutz (Privacy protection for information and data) Datensicherung und -archivierung (Records Management) Wiederanlauf (Systems Continuity) Technische Sicherheit (Technical Security) Summe

hakin9.org/de

31

BeTrIeBSSICherheIT

IT-Sicherheit wird dabei vor allem von den Bereichen Technische Sicherheit („technical security“), Physische Sicherheit und Perimeterschutz („physical and environmental protection“), Daten- und Informationsschutz („privacy protection for information and data“) und Datensicherung/-archivierung („records management“) abgedeckt. Diese vier Wirkbereiche beinhalten ca. ein Viertel der Steuerungs- und Kontrollmaßnahmen des UCF. Die Tabellen, die die Steuerungs- und Kontrollmaßnahmen der einzelnen Wirkbereiche enthalten, geben eine hierarchische Struktur der Maßnahmen wieder. Auf der obersten Ebene werden die Steuerungs- und Kontrollmaßnahmen als „top level controls“ bezeichnet, die den Namen des Wirkbereichs als Bezeichnung tragen. Auf den niedrigeren Ebenen werden die Maßnahmen als „supporting and supported controls“ bezeichnet. Der Aufbau einer derartigen Tabelle sowie die enthaltenden Elemente sind in Abbildung 2 am Beispiel des Wirkbereichs Technische Sicherheit skizziert und mit Ziffern zur Erläuterung versehen: (1) Eine Spalte mit den hierarchisch geordneten Maßnahmen; (2) Eine Spalte mit eindeutiger Maßnahmen-ID, unterlegt mit einem Link auf die UCF-Website, wo detaillierte Informationen zu der Maßnahme vorgehalten werden; (3) Mehrere Spalten mit UCF-Kategorien, die die einzelnen regulatorischen Dokumente inhaltlich

(z.B. nach Branchen) zusammenfassen. In den entsprechenden Feldern ist die Anzahl der Verweise zwischen den regulatorischen Dokumenten und den abgeleiteten Maßnahmen angegeben; (4) Mehrere Spalten mit den Bezeichnungen der regulatorischer Dokumente, in denen die einzelnen Verweise zwischen den abgeleiteten Maßnahmen und regulatorischen Dokumenten vermerkt sind. (5) Eine Spalte für Verweise auf interne Richtlinien, die unternehmensspezifische Vorgaben enthalten. Für die Implementierung von Steuerungs- und Kontrollmaßnahmen stellt UCF eine Reihe vorgefertigter Hilfsmittel bereit, die unternehmspezifisch angepasst oder erweitert werden können (siehe Abbildung 1). Hierzu zählen standardisierte Kennzahlen („metric standards“), Dokumentvorlagen („compliance documents“), De nition von Rollen („role definitions“), Klasfi sifizierungsschemata für In or a io en („information f m t n classification“) und standardisierte Vorgehensweisen für das Kon gurationsmanagement („configuration mafi nagement“). Für UCF wird eine quartalsweise Aktualisierung angeboten, die vor allem die Berücksichtigung neuer und veränderter Gesetze und Regularien enthält. Dadurch wird das Rahmenwerk kontinuierlich aktualisiert und erweitert.

Abbildung 2. Aufbau einer Tabelle im UCF

32

11/2011

IT-Compliance mit dem Unified Compliance Framework UCF

Steuerungs- und kontrollmaßnahmen für technische IT-Sicherheit

Um die Grundwerte der IT-Sicherheit der Vertraulichkeit, Integrität und Integrität zu gewährleisten sind geeignete physische und technische Maßnahmen notwen dig. Die entsprechenden technischen Maßnahmen gelten dem Zugang zu Systemen und

dem Zugriff auf Daten. Dazu gehören etwa die Erstellung und Etablierung von Sicherheitsrichtlinien und -anweisungen, die Umsetzung von Rollenund Berechtigungskonzepten sowie der Einsatz von Firewalls, Virenscannern und Verschlüsselungstechniken. Für den Wirkbereich technische Sicherheit sieht UCF insgesamt 187 Steuerungs- und Kon-

Tabelle 2. Maßnahmen und deren Herkunft aus regulatorischen Dokumenten

Healthcare & Life Science

System Configuration
3

Record Management

US Internal Revenue

MaßnahmenID

Banking & Finance

Maßnahmen (controls) der obersten Ebene

Beschreibung

Sarbanes Oxley

General

NIST

ITIL
1 1

ISO

EU

UCF ID 00509

Establish and maintain an access classification scheme standard Establish and maintain access policies and access procedures

Entwurf, Durchsetzung und Pflege eines generellen Konzepts für Zugang und Zugriff Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren zur Sicherstellung von Identifikation, Authentifikation und Zugriffsberechtigung Steuerung und Überwachung aller Netzwerkkomponenten inkl. deren Konfigurationen 5

2

3

3

4

UCF ID 00512

5

5

2

2

10

7

UCF ID 00529

Identify and control all network access and control points

4

2

2

1

1

4

4

UCF ID 00551

Secure access to each Sicherung des Zugangs/Zusystem component griffs auf Betriebssysteme aller Operating System Komponenten Control all methods of remote access and teleworking Manage the use of encryption and cryptographic controls to protect information Establish and maintain a process to prevent malicious code attacks Enforce information flow policies inside the system and between interconnected systems Establish and maintain an application security policy Establish and maintain virtual environment and shared resources security policies and procedures Steuerung und Kontrolle aller Fernzugriffe auf Systeme und Komponenten Einsatz geeigneter Verschlüsselungstechniken zum Schutz der Informationen Einsatz/Pflege von Systemen zur Vermeidung von Angriffen mit Schadsoftware Entwurf, Durchsetzung und Pflege von Richtlinien zum Informationsfluss innerhalb und zwischen Systemen Erstellung und Pflege einer Sicherheitsrichtlinie für Anwendungen Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren für virtuelle Umgebungen und verteilte Ressourcen

1

3

1

UCF ID 00559

3

3

1

1

4

3

UCF ID 00570

2

3

5

1

1

6

5

UCF ID 00574

2

2

5

1

7

5

UCF ID 01410

2

3

2

2

1

2

3

UCF ID 06438

1

UCF ID 06551

hakin9.org/de


33

BeTrIeBSSICherheIT

trollmaßnahmen vor. Diese Maßnahmen sind zehn Gruppen zugeordnet, von denen manche weiter untergliedert sind. Tabelle 2 zeigt die zehn Gruppen sowie die Angabe, wie viele der zugrunde liegenden regulatorischen Dokumente diese Maßnahmen auslösen (UCF 2011b). Dabei wird verdeutlicht: Zwischen den regulatorischen Dokumenten sowie den Steuerungs- und Kontrollmaßnahmen, die durch die Vorgaben und Auflagen ausgelöst werden, existiert eine n:m-Beziehung, da Gesetze und andere Regularien meist nicht aufeinander abgestimmt sind und teilweise überlappende Vorgaben und Auflagen enthalten (Böhm 2008 S. 22f). Das Aufdecken dieser inhaltlichen Übereinstimmungen verschiedener regulatorischer Dokumente bzgl. spezieller Anforderungen - hier nach technischer Sicherheit - ist wesentlicher Vorteil des Einsatzes von UCF, da damit redundante Steuerungs- und Kontrollmaßnahmen vermieden werden können. Daneben enthält UCF einige Werkzeuge, die vor allem die organisatorische Verankerung der Steuerungs- und Kontrollmaßnahmen erleichtern sollen. So wird eine Dokumentvorlage für die Textverarbeitung bereitgestellt, die eine unternehmensweit einheitliche und strukturierte Darstellung von Vorgaben unterstützt. Grundsätze und Ziele einer Sicherheitsrichtlinie werden beispielhaft aufgeführt. Ein Gliederungsvorschlag kann zur Erstellung einer zentralen und generellen Sicherheitsrichtlinie sowie ergänzender spezifischer Richtlinien (z.B. Passwort-Policy, Email-Policy) genutzt werden. Dokumentvorlagen für die Beschrei-

bung spezieller Rollen im IT-Sicherheitsmanagement unterstützen die Einheitlichkeit und Konsistenz, etwa bei der Definition von Aufgaben, Verantwortlichkeiten und Befugnissen, z.B. für Security Manager und Change Manager. Für einige der erwähnten Steuerungs- und Kontrollmaßnahmen sind in UCF Vorschläge für Kennzahlen enthalten, die zur Messung der Wirksamkeit der Maßnahmen zu nutzen sind. Zur Dokumentation und zum Berichten der Messergebnisse hält UCF eine Reihe konfektionierter Dateien in Formaten von Tabellenkalkulationen und Geschäftsgrafiken bereit. Mit diesen Dateien kann ein teil-automatisiertes Berichtswesen zum Controlling der Umsetzung der Maßnahmen aufgebaut werden. Alle Vorlagen und Muster sehen eine Versionsverwaltung und ähnliche Vorkehrungen vor, so dass eine Revisionssicherheit der Unterlagen erreicht werden kann.

Fazit

literatur

• • •

[Böhm 2008] Böhm, M., IT-Compliance als Triebkraft von Leistungssteigerung und Wertbeitrag der IT, in: Handbuch der modernen Datenverarbeitung HMD, 2008, Nr. 263, S. 15-29. [BSI 2011] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), IT-Grundschutz - Basis für Informationssicherheit, in: Internet www.bsi.bund.de/ContentBSI/ grundschutz/kataloge/allgemein/einstieg/01001.html; Zugriff am 2010-10-14. [Disterer 2009] Disterer, G., Angriffe auf betriebliche IT-Systeme, in: Litzcke, S. M. Müller-Enbergs H. (Hrsg.), Sicherheit in Organisationen (Band 2 der Schriftenreihe Intelligence Collection and Intelligence Analysis), Verlag für Polizeiwissenschaft: Frankfurt a.M., 2009, 73-111. [Rath/Sponholz 2009] Rath, M., Sponholz, R., IT-Compliance - Erfolgreiches Management regulatorischer Anforderungen, Schmidt: Berlin, 2009. [UCF 2011a] Unified Compliance Framework (Hrsg.), Why Choose the UCF?, in: Internet www.unifiedcompliance. com/about; Zugriff am 2010-10-14. [UCF 2011b] Unified Compliance Framework (Hrsg.), Technical security, in: Internet www.unifiedcompliance. com/matrices/live/00508.html; Zugriff am 2010-10-14.

Ob der großen Bedeutung der IT-Unterstützung der Geschäftsprozesse haben sogar nationale und internationale Gesetzgeber die Notwendigkeit gesehen, Unternehmen mit diversen Gesetzen und Regularien die dezidierte Steuerung und Kontrolle der IT vorzugeben. Im Rahmen von IT-Compliance wird ein Vorgehen angestrebt, das zu diesen Gesetzen und Regularien nachweisbar konform ist. Die Anzahl und Unterschiedlichkeit der Vorgaben erzwingen zur Sicherung der Effektivität ein systematisches Vorgehen, zur Sicherung der Effizienz ist der Einsatz geeigneter Hilfsmittel geboten. Mit dem Rahmenwerk UCF steht ein derartiges Hilfsmittel zur Verfügung, das hier am Bespiel der IT-Sicherheit, speziell der technischen Sicherheit vorgestellt und diskutiert wurde.

GeorG dISTerer, mIChAel WITTek
Georg Disterer, Prof. Dr. lehrt Wirtschaftsinformatik an der Fachhochschu­ le Hannover und arbeitet auf den Gebieten In­ formationsmanagement, Projektmanagement, Wissensmanagement. Daneben ist er als öffent­ lich bestellter und vereidigter Sachverständiger für Informati­ onssysteme tätig. georg.disterer@fh­hannover.de Michael Wittek, M.Sc. arbeitet als wissenschaftlicher Mitarbeiter an der Fakultät für Wirtschaft und Informatik der Fach­ hochschule Hannover. Sein Arbeitsschwerpunkte liegen in der Wirtschaftsinformatik, insbesondere IT Service Management und IT­Risikomanagement. michael.wittek@fh­hannover.de

34

11/2011

Sicher durch die Cloud

Sicher durch die Cloud
kaspersky lab
Cloud-Computing ist vielen Unternehmen suspekt, denn sie wittern ein Sicherheitsrisiko für ihre Daten. Doch es gibt auch eine andere Seite der Wolke: Clouds können auch mehr Sicherheit für Unternehmen bieten und IT-Kosten sparen.
In dIeSem ArtIkel erfAhren SIe…
• über Cloud-Computing im Betrieb

WAS SIe vorher WISSen Sollten…
• was Cloud-Computing ist

D

ie IT-Bedrohungen für Firmen nehmen zu und werden immer variabler [1]. Für die IT-Verantwortlichen heißt das, dass sie ihre IT-Sicherheitsstrategie anpassen und auch die Schutzsysteme darauf einstellen müssen. Da das für alle Unternehmen quer durch alle Branchen und auch unabhängig von der Mitarbeiterzahl gilt, kommen vor allem kleine Unternehmen und Mittelständler in Schwierigkeiten. Schutztechniken aus der Cloud können hier eine elegante Lösung sein. Um das Rennen gegen Hacker und Datendiebe zu gewinnen, setzt zum Beispiel SchutzSoftware von Kaspersky Lab auf die Hilfe der Cloud. Sie kombiniert lokale Sicherheitsmechanismen auf dem Computer mit Cloud-basierter Sicherheit durch das Kaspersky Security Network (KSN). Hintergrund: Trotz immer komplexerer Bedrohungen soll der Malware-Schutz die Computer-Systeme nicht bremsen, trotzdem aber auch einen Sofortschutz selbst gegen unbekannte Bedrohungen bieten. Dieser Wunsch der Nutzer ist auch in Zeiten von mehreren Gigabyte Arbeitsspeicher und Mehrkern-Prozessoren noch ganz oben auf der Liste.

einzelnen PCs zu finden. Solche sogenannten Singletons sind oft stark mutierende Würmer oder für einen ganz bestimmten Zweck programmierte Viren. Da niemand mehrere Gigabyte an Signatur-Datenbanken auf dem Computer speichern will, werden im KSN alle Informationen über aktuelle Bedrohungen gesammelt. An zentraler Stelle sammelt eine Datenbank von Kaspersky sicherheitsrelevante Daten von Millionen Computern auf der ganzen Welt. Taucht irgendwo ein neuer Schädling auf, dann reagiert das Expertennetzwerk sofort und erfasst die schädliche Datei. Alle Nutzer mit Sicherheitsprodukten von Kaspersky Lab sind dann nach wenigen Sekunden auch gegen den Schädling geschützt. Um festzustellen, ob eine Datei mit Malware infiziert ist, startet Kaspersky Lab automatisch eine Abfrage beim KSN. In wenigen Sekunden erhält man die Antwort aus der Cloud. Ist alles in Ordnung,

fast facts:
• • • •

Schnell auf neue Bedrohungen reagieren

Wichtig ist den Nutzern vor allem, dass der MalwareSchutz schnell auf neue Bedrohungen reagiert. Für Security-Experten von Kaspersky Lab ist das eine Grundvoraussetzung, schließlich tauchen pro Tag rund 35.000 neue Schädlinge auf, die abgewehrt werden müssen. Dazu kommen pro Monat 200 Millionen Angriffe übers Netzwerk und pro Jahr rund 2000 Sicherheitslücken in Programmen. Viele Schädlinge sind mittlerweile nur noch auf

Die IT-Bedrohungen für Unternehmen nehmen zu und werden immer ausgefuchster [1] Vor allem kleine und mittelständische Unternehmen mit begrenzten Ressourcen können schnell Security-Probleme bekommen Moderne Security-Lösungen setzen auf zusätzliche Schutzmodule, die mit Cloud-Technik arbeiten. Zeichen: 4.425 mit Leerzeichen

Cloud-Computing sorgt derzeit für viele Sicherheitsdebatten. Doch Cloud-Technik kann man auch für besseren IT-Schutz für Unternehmen einsetzen. Der Artikel zeigt die Vorteile von zusätzlichen Schutzmodulen aus der Cloud.

hakin9.org/de

35

BetrIeBSSICherheIt

Im Internet:

[1] http://www.securelist.com/en/analysis/204792186/IT_ Threat_Evolution_Q2_2011

Abfrage beim KSN geprüft. Ist die Seite sauber, dann geht es ohne Verzögerung für den Nutzer weiter. Befinden sich Schädlinge auf der Webseite, dann blockiert die Kaspersky-Software den Zugriff.

Other useful links: • • www.securelist.com/en/analysis www.kaspersky.com

vor unbekannten Schädlingen schützen

dann kann die Datei gefahrlos geöffnet werden. Andernfalls wird der Zugriff blockiert.

reputation von Webseiten prüfen

Das KSN kommt auch beim Schutz vor infizierten Webseiten ins Spiel. Es reicht heute schon der Besuch einer Webseite aus, um sich mit Malware zu infizieren. Klar ist, dass die Prüfung von Webseiten in der Praxis rasend schnell gehen muss, da die Nutzer sonst bei jedem Aufruf einer Webseite eine unnötige Verzögerung spüren. Auch hier ist das Kaspersky Security Network die Waffe Nummer 1. Bevor ein mit KasperskySoftware geschützter Nutzer eine bestimmte Webseite besuchen darf, wird vorher deren Zustand über eine

Doch was tun, wenn weder die lokalen Signaturen noch das Security Netzwerk einen Schädling erkennt? Dieser Fall kommt zwar nicht häufig vor, aber er ist nicht auszuschließen. Moderne Antivirensoftware hat aber auch darauf die passende Antwort. Im Fall von Kaspersky gibt es zum einen die sogenannten Heuristiken: Sie sind Muster für die Erkennung von Malware. Selbst wenn es keine Signaturdatei gibt, die 1:1 auf einen Schädling passt, so kommt man einem Großteil der Viren auch über Ähnlichkeiten auf die Spur. Hilft auch das nichts, dann gibt es auch noch die verhaltensbasierte Erkennung. Hier beobachtet ein Modul der Schutz-Software das Verhalten von Programmen. Versucht eine Malware beispielsweise Passwörter zu stehlen, muss sie zuerst Daten von einem anderen Programm lesen, dann die Firewall öffnen und danach Daten versenden. Die Verhaltenserkennung bemerkt dies aber schnell und unterbindet einen solchen Datenklau.

W e

r b

u

n

g

Bildschirme: 10 3D Full-HD (1920x1080) Plasma-Bildschirme Panasonic TX-P65VT20E Grafikkarten: 6 NVidia QuadroPlex 7000 mit Fermi-Architektur für Grafik und 6 Tesla C2070 CUDAGrafikkarte für Simulationsdaten Computer: 6 Dual-Quad-Core mit je 24 GB RAM und 8 TB Festplatte

Der Großraum München ist eine der größten IT-Standorte weltweit. Wir konzentrieren uns auf die IT-Szene der Münchener Region und berichten detailliert über Macher, Innovationen und Veranstaltungen. 36

• Jobs • Standort • Hochschule • Portrait • Veranstaltungen und Arbeitskreise ... und viele andere interessante Themen.

11/2011

Der Androide im Auto – IT-Sicherheit beim Fahren

IT-Sicherheit beim Fahren Der Androide im Auto
vicente Diaz
Technik ist Teil unseres Alltags. Sie ist in allen möglichen Geräten gegenwärtig, verhilft uns zu einem leichteren Leben und einer vereinfachten täglichen Routine. Dies trifft besonders auf die Automobil-Welt zu, in der alle Verbesserungen, die während der vergangenen Jahre vorgenommen wurden, in eindrucksvollen Features münden, die für unsere Eltern, als sie ihre alten Modelle gefahren sind, undenkbar waren.
In DIeSem ArTIkel erFAhren SIe…
• Automobil-Welt

WAS SIe vorher WISSen SollTen…
• Kein spezielles Vorwissen

D

och natürlich hat sich die Welt komplett verändert: Vor 30 Jahren haben wir gerade erst angefangen, PacMan zu spielen! Wenn wir darüber nachdenken, wie die Technik unser Fahrerlebnis verbessert hat, sind die Ergebnisse ganz erstaunlich. Täglich fahren wir damit: Einparkhilfe, Erkennung der Außenbedingungen, GPS, Freisprechanlage, Aufprallschutz-Systeme… Doch das ist erst der Anfang. Automobil-Hersteller grübeln intensiv darüber, wie wir unsere Internet-Erfahrung am besten auch fürs Fahren nutzen könnten. Natürlich brächte dies eine Menge Vorteile in Unterhaltung, Information, Kommunikation und zusätzlichen Diensten. Eigentlich freue ich mich darauf, all diese schönen Features in meinem Auto zu haben. Ein Beispiel für diese neue Technologie-Generation, die Applikationen, eine Internetverbindung, Soziale Netzwerke, eine Android-ähnliche Benutzeroberfläche zur Auto-Verwaltung und viel mehr bietet, finden wir im Saab iQon Infotainment System (Abbildung 1.). Eigentlich sind alle diese schönen Features Schlüssel-Strategien für zukünftiges Marketing. Laut Dominic Tavassoli, Director von IBM Rational, ist das, was in Wettbewerben den über Sieg entscheidenden Unterschied macht, die Software – in Autos gleichermaßen wie in Mobiltelefonen (Quelle: http://www.wired.com/ autopia/2011/04/the-growing-role-of-software-in-ourcars/).

Allerdings sind diese Apparaturen und Applikationen noch Neulinge in der Welt der Automobil-Technologie. Viele Fahrer der alten Schule möchten diese computerartige Hardware vielleicht gar nicht in ihrem Auto haben. Das haben sie jedoch bereits, auch wenn sie es meist gar nicht merken! Ein durchschnittliches Auto verfügt über etwa 100 verschiedene Steuergeräte (weitere Informationen hierzu finden Sie unter http://de.wikipedia.org/wiki/ Steuerger%C3%A4t). Dabei handelt es sich im Grunde um programmierbare Einheiten, die an eine Reihe von Sensoren und Auto-Teile angeschlossen sind und mit ihnen gemäß einem vorgegebenen Algorithmus abhängig vom Dateninput interagieren. Einfach gesprochen repräsentieren sie viele Computer, die mit Teilen Ihres Autos zusammenarbeiten. Die Existenz von Steuergeräten stellt einen erheblichen Vorteil für unser Fahrerlebnis und unsere Fahrsicherheit dar. Im Prinzip gestattet sie Fahranfängern, einen Sportwagen zu fahren – doch sie hilft uns auch, eine Kurve schneller zu nehmen, als wir sollten, oder unser Auto auch während einer Notbremsung kontrollieren zu können. Die Möglichkeiten dieser altgedienten Technologie sind abzusehen, wenn man sie mithilfe der heutigen IT verbessert. In diesem Fall ermöglicht das Hinzufügen weiterer Sensoren und das Koordinieren der gesamten Steuergeräte-Interaktion mit dem zentralen Computer Projekte wie das Google-Auto (http://googleblog.

hakin9.org/de

37

kASperSky lAb

blogspot.com/2010/10/what-were-driving-at.html), das eigenständig fahren kann: „Wir haben eine Technologie entwickelt, die Autos selbstständig fahren lässt… Während dieses Projekt noch sehr stark in den experimentellen Kinderschuhen steckt, ermöglicht es uns einen Einblick, wie Transport dank fortgeschrittener Computerwissenschaft in Zukunft einmal aussehen könnte. Und diese Zukunft ist sehr aufregend.“

Technik und Sicherheit

Automobil-Hersteller sind verschieden und benutzen eigene Systeme und Technologien, um so effizient wie möglich zu arbeiten. Es gibt in der Industrie wenige Standards unter den Herstellern, und manche Konzepte sind Überbleibsel der Vergangenheit. Dennoch können wir Ähnlichkeiten und ein architektonisches Grunddesign in den meisten Fahrzeugen feststellen. Um all die Steuergeräte koordinieren zu können, ist es notwendig, einen gebräuchlichen Kommunikationsweg zu gewährleisten. Stellen Sie sich das wie ein LAN-Netzwerk vor. Es bedarf keiner Kommunikation aller vorhandener Geräte miteinander, dennoch wird aus Gründen der Effizienz (und Wirtschaftlichkeit) eine sachgemäße Netzwerk-Segmentierung oft nicht vorgenommen. Die Steuergeräte werden einfach an den gemeinsamen Übertragungsweg angeschlossen. Allerdings ist es üblich, zwei verschie-

dene Wege zu nutzen: einen für hochempfindliche Geräte (etwa Motoren), der als der „sichere Weg“ bezeichnet wird und gleichzeitig auch der Hochgeschwindigkeitsweg ist, und einen weiteren für den Rest. Nun haben wir eine grobe Vorstellung, welche Geräte-Arten in einem Auto vorzufinden sind und wie sie miteinander verbunden sind. Lassen Sie uns einen Blick in die Software werfen: Auch hier finden wir eine höchst heterogene Landschaft vor. Jeder Hersteller benutzt bislang sein eigenes System – und erhält üblicherweise seinen Support über die entsprechenden Software-Firmen. Microsoft beispielsweise entwickelte das SYNC-System, das von Ford benutzt wird. In diesem Fall wurde die Sicherheit in der Gestaltung des Systems berücksichtigt – das heißt, Verschlüsselung, Netzwerk-Segmentierung und sogar eine Firewall werden benutzt. Doch wie komplex kann die Software, die in einem Auto läuft, werden? Bei den vielen Modellen ist das schwer zu sagen, doch es gibt Beispiele: Im Falle des Chevrolet Volt werden 10 Millionen Zeilen Quellcode verwendet. Bei Windows NT 4.0 sind es 12 Millionen. Es muss also auch bei Autos von hoher Komplexität ausgegangen werden. Es ist auch ganz normal, verschiedene Betriebssysteme innerhalb eines Autos vorzufinden, die für gewöhnlich verschiedene Untersysteme kontrollieren. Auch hier wiederum nutzt jeder Hersteller das Betriebssystem

Abbildung 1. Saab IQon: Android-ähnliche Oberfläche und die Möglichkeit, selbst Apps zu installieren

38

11/2011

Der Androide im Auto – IT-Sicherheit beim Fahren

seiner Wahl und wechselt es sogar binnen verschiedener Fahrzeug-Versionen. Die erst Generation des iDrive, das von BMW benutzt wird, basiert auf Windows CE. Doch die iDrive-Professional-Navigation mittlerweile heute auf VxWorks. Als IT-Sicherheitsexperte, der mit den verschiedenen Betriebssystemen dieser Modelle vertraut ist, möchte ich natürlich herausfinden, ob sie Schwachstellen besitzen, und wie dies möglicherweise Untersysteme im Auto beeinflussen könnte, die von den Steuergeräten kontrolliert werden. Mit Sicherheit gibt es Schwachstellen in Windows CE, jedoch auch bei

VxWorks, das sogar in den bekannten Penetrationstests von Metasploit (www.metasploit.com) enthalten ist (Abbildung 3.). Der Mangel an einer optimalen Abgrenzung zwischen den verschiedenen internen Netzwerken ist ein potentielles Problem. Für den Fall, dass eines der Betriebssysteme im Auto infiziert wird, könnte dies zu unerwarteten Fehlern in den Untersystemen führen. Diese wurden nicht unter Berücksichtigung des Sicherheitsfaktors erstellt und sie laufen unter ungünstigen Umständen nicht stabil. Es gibt eine bemerkenswerte Untersuchung der University of Washington und

Abbildung 2. Beim Chevrolet Volt sind 10 Millionen Zeilen Quellcode zu finden

Abbildung 3. Metasploit der Automobilwelt

hakin9.org/de

39

kASperSky lAb

der University of California San Diego, die aufzeigt, wie durch Fuzzing-Techniken volle Kontrolle über alle möglichen Untersysteme eines Autos erlangt, Schadcode in die Telematik-Einheit eingebettet und jeder rudimentäre Netzwerk-Schutzmechanismus umgangen werden konnte (http://www.autosec.org/pubs/cars-oakland2010.pdf).

einblick in mögliche bedrohungen und Fazit

Wie sehen also die potentiellen Bedrohungen aus? Wie bei jeder anderen Technologie wäre die erste Überlegung, wie man auf den Zielrechner zugreifen könnte. Sämtliche Autohersteller denken bereits darüber nach, wie Internetzugriff und die Interaktion mit allen möglichen Geräten in ein Auto zu integrieren sind. Angriffe aus der Ferne, unbeabsichtigte Infektionen, gezielte Attacken und geräteübergreifende Angriffe werden somit möglich. Und es gibt auch bereits die ersten Proofs of Concept: So wurde ein Exploit für einen Audio-Player in einer MP3-Datei versteckt, mit dem dann wiederum ein Auto infiziert wurde. Und schon heute ist klar, dass in naher Zukunft vom Auto aus über das Internet auf Musik zugegriffen werden kann. Die Einführung neuer ausgefallener Geräte stellt einen weiteren potentiellen Angriffsvektor dar. Da sich hier noch alles in der Entwicklung befindet, lässt sich nicht genau sagen, welche Technologien die Hersteller implementieren werden. Es erscheint allerdings plausibel, davon auszugehen, dass sie bekannte, bestehende Technologien, die bereits erfolgreich auf dem Markt sind, weiterhin benutzen werden – etwa das AndroidBetriebssystem.

In diesem Fall brauchen wir nur auf die Situation bei Smartphones schauen: Schädliche Apps werden immer wieder auch in den offiziellen Märkten platziert und infizieren alle Geräte, auf denen sie installiert werden. Wenn nun Autos das gleiche Betriebssystem benutzen, ist die Möglichkeit geräteübergreifender Infektionen schnell gegeben. Ein weiteres Szenario sind gezielte Attacken. Denn ein Auto ist ein perfektes Spionage-Werkzeug, das einem Angreifer ermöglicht, den genauen Aufenthaltsort, Fahrweise und weitere Gewohnheiten eines Opfers herauszufinden. Tatsächlich gibt es ein aktuelles Beispiel dafür, wie beim Nissan Leaf mit Carwings-System all diese Informationen per RSS-Feed weitergeleitet wurden (Quelle: http://seattlewireless.net/~casey/?p=97 ). Und auch die Systeme in einem Polizeiwagen konnten bereits gehackt werden (Quelle: http://blogs.computerworld.com/18226/hacking_to_pwn_a_cop_car). Außerdem besteht natürlich die eher banale Option des simplen Diebstahls, falls es irgendeine Möglichkeit gibt, Kontrolle über die Sicherheitsmaßnahmen des Autos zu erlangen. Wir sehen also wieder einmal, wie allgegenwärtig IT in unserem alltäglichen Leben ist. Die Vernetzung wird weiter voranschreiten. Gleichzeitig bedeutet eine neue Technologie meist auch höhere Komplexität: Etablierte Systeme interagieren mit neuen Geräten und Technologien. All dies wird in Geräten und technischen Spielereien verpackt, die wir täglich benutzen und denen wir täglich vertrauen. Natürlich unterstütze ich die Nutzung neuer Technologien, allerdings ist es heutzutage ein Muss, auf die Sicherheit zu achten. Ich glaube zwar nicht, dass es schon in Kürze dedizierte Malware für Autos geben wird, aber es könnte unerwartete Komplikationen geben, wenn sich Malware versehentlich in IT-Systemen einiger Auto-Modelle einnistet. Da alle möglichen Systeme dort die mechanischen Teile einer 1,5-TonnenMaschine kontrollieren, die sich mit Insassen auf der Straße bewegt, halte ich es für eine gute Idee zu überprüfen, ob alle Security-Methoden angewendet, alle Systeme richtig gesichert und alle Sicherheitsmechanismen implementiert wurden, bevor all diese neuen schicken Features unseren Fahrzeugen hinzugefügt werden.

vIcenTe DIAz
Virus Analyst, Kaspersky Lab

40

11/2011

Fallstricke beim Einsatz von SSL-Zertifikaten

Fallstricke beim Einsatz von SSL-Zertifikaten

Christian heutger, PSW GroUP, und mIt Sicherheit

Die Besucher einer Website oder eines Online-Shops erwarten mittlerweile, dass sensible Daten wie Passwörter, Kontodaten oder personenbezogene Informationen sicher verschlüsselt zum Anbieter übertragen werden. Für diesen Vorgang bieten SSL-Zertifikate eine etablierte Sicherheitstechnik. Doch die Absicherung scheitert immer wieder an der fahrlässigen Einrichtung von Zertifikaten beziehungsweise dem falschem Umgang seitens des WebsiteBetreibers mit diesen.
In dIESEm ArtIkEL ErFAhrEn SIE…
• welche Fehler in der Praxis besonders häufig zu beobachten sind. • wann Wildcard-Zertifikate eingesetzt werden sollten. • wie mit ablaufenden Zertifikaten umzugehen ist.

WAS SIE vorhEr WISSEn SoLLtEn…
• kein spezielles Wissen

uch wenn sich die Bezeichnung SSL-Zertifikate durchgesetzt hat, basieren diese heute nicht mehr auf dem Secure Socket Layer (SSL)Protokoll sondern auf dem Transport Layer Security (TLS)-Protokoll, ein etabliertes und fortgeschrittenes Verschlüsselungsprotokoll zur Übertragung sensibler Inhalte. Genutzt wird TLS mittlerweile in beliebigen Anwendungen, beispielsweise beim Versand von E-Mails via SMTP oder aber eben auch bei der Nutzung von Websites. SSL-Zertifikate garantieren für die Kommunikation zwischen Client und Server die Vertraulichkeit und Integrität von Daten sowie die Authentizität des Kommunikationspartners. Daher weist sich der WebServer beim Aufbau einer HTTPS-Verbindung gegenüber dem zugreifenden Browser des Clients mit einem SSL-Zertifikat aus. Dieses Zertifikat kann der Browser dann anhand einer Public Key Infrastructure (PKI) auf Gültigkeit überprüfen. Dazu verfügen die Browser bereits von Hause aus über Stammzertifikate bekannter Zertifizierungsstellen – so genannte Certificate Authorities (CA) wie Comodo, GeoTrust, thawte, VeriSign beziehungsweise Symantec und GlobalSign. Den Bezug zwischen eingesetztem SSL-Zertifikat und dem jeweiligen Stammzertifikat zwecks Gültigkeits- beziehungsweise Echtheitsüberprüfung kann der Browser allerdings nicht unmittelbar herstellen

A

sondern neuerdings nur, in dem er der gesamten Zertifikatskette folgt. Denn hatten die Zertifizierungsstellen die von ihnen ausgegebenen SSL-Zertifikate lange Zeit mit ihrem Stammzertifikat signiert, sind sie aus Sicherheitsgründen dazu übergegangen die Signierung mit einem anderen Zertifikatstyp zu tätigen. So fallen auch Schlüssel- oder Algorithmusupdates künftig leichter. Und beim Auftreten etwaiger Sicherheitsprobleme – wie jüngst der Debian-OpenSSL-Schwachstelle – können die Zertifizierungsstellen flexibler reagieren. Doch nicht nur der Web-Server weist sich mit einem Zertifikat aus. Auch der Browser des Clients identifiziert sich mit einem Client-Zertifikat beim Server. Dabei handelt es sich jedoch nicht um ein SSL-Zertifikat sondern in den meisten Fällen um ein x.509Zertifikat. Dieser Zertifikatstyp kennt unterschiedliche Anwendungsszenarien: So wird er häufig zur Server- und Clientauthentifizierung aber auch bei der E-Mail-Verschlüsselung und –Signierung sowie dem Code-Signing verwandt. Beide Kommunikationspartner – Client und Server – einigen sich schließlich auf die Übertragungsparameter wie das Verschlüsselungsverfahren und die bei der Übertragung genutzten symmetrischen Chiffrierungsschlüssel. Dabei spielt eine entscheidende Rolle, welche Parameter der Browser unterstützt und der Server schließlich auch bereitstellen kann. Ausschlaggebend sind hier

www.psw.net

41

die so genannten CipherSuites, eine standardisierte Sammlung kryptographischer Algorithmen, über die Browser und Server verfügen. Werden hier alte CipherSuites von einer der Seiten bereitgestellt, kann das dazu führen, dass die Sicherheit fragwürdig wird – gerade wenn diese Sammlungen nur eine 40 BitVerschlüsselung gewährleisten können.

nur die schutzwürdigen daten verschlüsseln

Die Einrichtung und Verwaltung von SSL ist mit manuellem Aufwand verbunden. Daher treten in der Praxis immer wieder Fehlkonfigurationen auf. Zunächst einmal sollten Website-Betreiber, bevor es an die eigentliche Einrichtung geht, planen, welche Daten, die die Website beim Nutzer anfragt, überhaupt verschlüsselt übertragen werden sollten. Dabei sollten sich Anbieter an den gesetzlichen Bestimmungen zum Datenschutz orientieren, nach denen grundsätzlich alle personenbezogenen Daten besonders schutzbedürftig sind. Die Verschlüsselung sollte somit nicht nur bei Authentifizierungsprozessen wie Passworteingaben, sondern schon bei Registrierungsvorgängen beziehungsweise allen Abfragen eingesetzt werden, bei denen der Nutzer persönliche Informationen über sich preisgibt. Vor allem Zahlungsinformationen gilt es zu verschlüsseln, da Nutzer mittlerweile derart sensibilisiert sind, dass sie Prozesse sogar abbrechen, wenn eine Absicherung der Datenübertragung per SSL-Zertifikat für sie nicht ersichtlich ist. Natürlich kann auch die gesamte Kommunikation über die Website per SSL-Zertifikat gesichert– sprich: beim Aufruf einer jeden Seite eine SSL-Verbindung erzwungen werden. Um beispielsweise unter dem Web-Server Apache 2 stets eine SSL-Verbindung zu erzwingen, genügt es die folgende Zeile in die Konfigurationsdatei „httpd.conf“ innerhalb des Eintrags „<VirtualHost>“ einzufügen: redirect permanent / https://www.meinewebsite.de/ Generell ist von der „Komplett-Verschlüsselung“ einer Website jedoch abzuraten. Denn mit dem Einsatz von per SSL-Zertifikate gesicherten Datenübertragungen müssen Abstriche bei der Verbindungsgeschwindigkeit hingenommen werden. Im Zeitalter des mobilen Internet kann dies das Nutzungserlebnis einer Website gravierend beeinträchtigen. Daten-Verschlüsselung gilt es daher nur ganz gezielt dort einzusetzen, wo sie erforderlich ist. Auf trust Level und Zertifizierungsstelle kommt es an Bei der Auswahl des SSL-Zertifikats für den eigenen Web-Server gilt es Eines grundsätzlich zu betonen: Mit einem selbst generierten Zertifikat ist es nicht getan. Denn dessen Echtheit kann vom Client nicht zuverläs-

sig geprüft werden. Bei der Auswahl eines SSL-Zertifikats ist somit neben dem Trust Level – das gewünschte Sicherheitsniveau – auch die Wahl der Zertifizierungsstelle, von der das Zertifikat bezogen wird, entscheidend. Hinsichtlich des Trust Levels existieren drei primäre Klassen. Da gäbe es das Domain Validation (DV)-Zertifikat, bei dem vor Vergabe geprüft wird, ob der Website-Betreiber auch tatsächlich der Besitzer der Domain ist, für die er das Zertifikat anfordert. Dieser SSL-Zertifikatstyp ist demnach Domain-bezogen, während Organization Validation (OV)-Zertifikate darüber hinaus auch unternehmensgebunden sind. Hier muss der Betreiber der Website nicht nur nachweisen, dass er sich im Besitz der Domain befindet, sondern auch dass sein Unternehmen tatsächlich existiert. Im Browser ist das OV-Zertifikat allerdings nicht auf Anhieb vom DV-Zertifikat zu unterscheiden. Hier besteht – anders als beim Extended Validation (EV)-Zertifikat – noch Nachholbedarf bei der Browserentwicklung. Jedoch gibt es Plug-ins wie Calomel SSL Validation, die sich Nutzer zusätzlich installieren und die das OV-Zertifikat visualisieren können. Bei dem EV-Zertifikat werden die Prüfungen im Rahmen der Zertifikatsausgabe weiter verschärft: Unter anderem werden die offiziellen Einträge des beantragenden Unternehmens geprüft. Voraussetzung ist natürlich, dass die eigene Organisation auch in einem öffentlichen Register wie dem Handelsregister verzeichnet ist. Allen anderen Organisationen steht das EV-Zertifikat nicht zur Verfügung. Für Website-Besucher erscheint das Zertifikat besonders vertrauenswürdig. In aktuellen Browsern färbt sich – sofern das Zertifikat gültig ist – die Adressleiste grün ein und zeigt den Namen des Unternehmens an, das die Website betreibt. Grundsätzlich ist – auch wenn es etwas teurer ist – die Investition in ein EV-Zertifikat zu empfehlen, da es direkt anzeigt, dass hinter einer Website ein seriöses Unternehmen steht. Hinsichtlich der Zertifizierungsstelle haben Website-Betreiber die Qual der Wahl. Das primäre Auswahlkriterium bei einem SSL-Zertifikat für eine öffentliche Website sollte die Kompatibilität sein. Denn nur wenn der Browser der Nutzer in der Lage ist über die Zertifikatskette den Bezug zum Stammzertifikat der jeweiligen Zertifizierungsstelle herzustellen, kann eine Prüfung des eingesetzten SSL-Zertifikats erfolgen. Internet Explorer, Firefox und Chrome unterstützen derzeit beispielsweise die Zertifizierungsstellen Comodo, Equifax, GeoTrust, GlobalSign, TC Trust Center und VeriSign. Eine Liste der CAs für den Firefox ist unter http://www. mozilla.org/projects/security/certs/included/ und für den Internet Explorer unter http://support.microsoft.com/ kb/931125 verfügbar.

42

11/2011

Fallstricke beim Einsatz von SSL-Zertifikaten

Wichtig bei der Beantragung eines Zertifikats ist übrigens die richtige Angabe des Common Name (CN) der Domain, für den das Zertifikat gelten soll (z.B. www. psw.net). Denn nur für den exakten Domainnamen erfolgt die Absicherung durch das SSL-Zertifikat. Hierzu werden bei diesem 1:1 Zeichen für Zeichen mit der Eingabe im Browser abgeglichen. Wird demnach nicht das www vor dem Domainnamen angegeben, wird in der Regel das www. auch nicht mit unterstützt – es funktioniert also nur psw.net – und umgekehrt. Auch wenn man sich die IP zertifizieren lässt, wird nicht automatisch jede Website auf dieser IP mit dem Zertifikat abgesichert. Es hat ohnehin keinerlei Bezug zur IP-Adresse, solange diese nicht zertifiziert wurde. Ob dahinter CNAME-Einträge, IP-Adressen oder ähnliches gesetzt oder geändert werden, ist für das Zertifikat nicht von Relevanz.

Wildcard-Zertifikate mit Bedacht einsetzen

Bei der Auswahl eines Zertifikats sollte daher besonders auf die Domain-Unterstützung geachtet werden. In der Regel wird die Website unter genau einer Subdomain (www.ihredomain.de) erreichbar gemacht. In diesem Fall muss auch nur ein SSL-Zertifikat für diese Domain ausgestellt werden. Besonderer Beliebtheit erfreuen sich mittlerweile aber darüber hinaus die so genannten Wildcard-Zertifikate. Sie sind häufig teurer als die Single- oder Multi-Domain-Zertifikate, aber unterstützen dafür beliebige Subdomains zu einer Domain. Zu empfehlen ist ein Einsatz der Wildcard-Zertifikate aber erst wenn um die zehn Subdomains SSL-gesichert werden sollen. Bei mehreren Domains empfiehlt sich ansonsten das Multi-DomainZertifikat, bei Exchange und entsprechenden internen Namen ein Unified Communications-Zertifikat. Das gilt auch für den Fall, dass mehrere TLDs mit unterschiedlichen Länderkennungen in einem Zertifikat berücksichtigt werden sollen. Auch für Hoster mit nur einer IP empfiehlt es sich nur ein domainvalidiertes Multidomainzertifikat zu nutzen, weil nur eine Identität angegeben werden kann. Zudem müsste andernfalls jeder Hosting-Kunde per Domain Release Letter zustimmen, in dem Zertifikat aufzutauchen. Die Folge: Die Liste aller Hosting-Kunden wäre einsehbar. Mit SNI und IPv6 wird das Problem aber obsolet.

key) zu dem öffentlichen Schlüssel (public key) des Zertifikates besitzt. Dabei kommt ein asymmetrisches Verfahren zum Tragen. Es können sich somit mathematisch aufgrund eines privaten Schlüssels – basierend auf dessen öffentlichen Schlüssel signiert – seitens einer Zertifizierungsstelle dann mehrere mögliche Zertifikate ergeben. Umgekehrt jedoch ist es mathematisch und aufgrund des Verfahrens unmöglich, aus einem Zertifikat beziehungsweise dessen öffentlichen Schlüssel-Anteil einen privaten Schlüssel zu errechnen. Das Verfahren ist mit den Primzahlen vergleichbar. Das Produkt zweier großer Primzahlen könnte durchaus das gleiche Ergebnis haben, jedoch können aufgrund des Ergebnisses keine Rückschlüsse auf die verwandten Primzahlen gezogen werden. Beispielsweise ergibt 1 x 15 = 15, aber auch 3 x 5 und 5 x 3 führen zu demselben Ergebnis. Es müssten also alle Kombinationen durchprobiert werden, um auf die ursprünglichen Zahlen schließen zu können. Bei hohen Primzahlen ist das nicht wirklich möglich, weil es zu viele in Frage kommende Kombinationen gibt. Der private Schlüssel ist beim Einsatz eines SSLZertifikats in der Regel in einer .key-Datei gespeichert, während das Zertifikat selbst als .crt- beziehungsweise .pem-Datei vorliegt. Die Datei erhält der Website-Betreiber in der Regel von der Zertifizierungsstelle. Der Pfad zu beiden Dateien muss in der SSL-Konfiguration des Web-Servers angegeben werden, zum Beispiel unter Apache 2 mit „mod_ssl“ wie folgt:
<VirtualHost *:443> SSLEngine on SSLCertificateFile /root/ssl/website.crt …

SSLCertificateKeyfile /root/ssl/website.key

Fehlerhafte SSL-Installationen machen datenübertragungen unsicher

Die .key-Datei sollte grundsätzlich besonders geschützt werden. Sie ist geheim zu halten, da Angreifer mit ihr die gesamte Verschlüsselung der SSL-Verbindung aushebeln können. Allerdings ist es nicht ratsam, die Datei so zu schützen, dass sie bei jedem Serverstart mit einem Passwort zu versehen ist. Viel mehr empfiehlt sich eine Grundsicherung des gesamten Systems durch einen PCI-Scan, der zugleich den hohen Sicherheitsanforderungen der Kreditkartenindustrie Rechnung trägt.

Mit dem Zertifikat weist der Server gegenüber dem Client der Besucher einer Website nach, dass er für die angeforderte Domain zuständig ist. Dass der Server das SSL-Zertifikat rechtmäßig verwendet, weist er nach, in dem er den geheimen Schlüssel (private

Ablaufende SSL-Zertifikate

Nachdem die SSL-gesicherte Verbindung auf Websites erst einmal eingerichtet ist, passiert meist lange Zeit nichts mehr – oftmals bis das Zertifikat abgelaufen ist. Dieser Fehler tritt in der Praxis besonders häufig auf, da Website-Betreiber den Ablauf des

www.psw.net

43

Zertifikats regelmäßig schlichtweg vergessen. Bei den Besuchern der Website wird diese Nachlässigkeit allerdings mit einer Warnmeldung quittiert, was zu Imageschäden aber auch zu Umsatzeinbußen führen kann. Allerdings informieren gute SSL-Zertifikats-Anbieter ihre Kunden über den Ablauf. Obacht aber vor der automatischen Verlängerung eines Zertifikats mit dem alten CSR. Davon ist, trotz eines zusätzlichen Aufwands, nur abzuraten. Denn je länger der private Schlüssel mit dem CSR im Einsatz ist, desto größer die Gefahr, dass er doch geknackt wird. Denn jedes auf mathematische Zusammenhänge beruhendes, logisches Verfahren ist theoretisch knackbar. Darüber hinaus hätte das CSR irgendwann – womöglich unbemerkt – gestohlen werden können oder es setzt noch auf ältere, nicht mehr dem Stand der Entwicklung entsprechende Verfahren. So haben sich in den letzten Jahren Hashalgorithmen, Schlüssellängen als auch Basissoftware verändert, die eine Neugenerierung des CSR anraten. Analog dazu wird auch nicht ohne Grund alle paar Jahre eine neue ECKarte samt PIN ausgetauscht. Außerdem sind Tools, die private Schlüssel und Zertifikate direkt bei der Zertifizierungsstelle erzeugen, fragwürdig. Schließlich weiß man nicht, ob die Zertifizierungsstelle nicht auch den privaten Schlüssel besitzt, was aufgrund

der Sicherheit, die durch eine per SSL-Zertifikat bewerkstelligte Verschlüsselung gewährleistet werden soll, als mehr als fragwürdig anzusehen ist. Auch hier greift die Analogie zur EC-Karte: Die PIN eines Kunden gehört nicht in die Hände eines Bankangestellten. Um abgelaufene Zertifikate zu vermeiden, sollten Website-Betreiber entweder eine Erinnerung in ihrem Kalender hinterlegen, die sie rechtzeitig vor Ablauf eines Zertifikats erinnert, oder aber ein Script wie sslcert-check zur regelmäßigen Prüfung auf dem Server einsetzen. Es bietet sich aber auch an, eine Gültigkeitsüberwachung in einer Monitoring-Software wie serverguard24 zu aktivieren und sich im Falle eines drohenden Ablaufs frühzeitig alarmieren zu lassen. Auch das Firefox-Addon Expiry Canary ist zu empfehlen.

ChrIStIAn hEUtGEr
Christian Heutger ist Geschäftsführer der PSW GROUP GmbH & Co. KG und verfügt über mehr als elf Jahre Erfahrung in der Branche für SSL-Zertifikate. Sein Wissen über IT-Sicherheit vermittelt er als Lehrbeauftragter für den DV-Bereich am Fachbereich Wirtschaft der Hochschule Fulda und im Rahmen seiner nebenberuflichen Tätigkeit als Informatiklehrer am Marianum Fulda.

W e

r b

u

n

g

Downloaden Sie frei jede Ausgabe! Mehr unter: http://de.hakin9.org/

44

11/2011

Recommended Companies
Mabunta
Die mabunta GmbH agiert als hochspezialisierter und kompetenter Partner rund um IT-Security- und Netzwerk-Lösungen. Wir unterstützen bei IT-Sicherheitsfragen in allen Unternehmensbereichen, verbinden Wachstum mit sicherer Kommunikation. Alles in allem- mabunta „one-face-tothe-customer“, Ihr Spezialist in Fragen der IT-Sicherheit. www.mabunta.de

secXtreme GmbH

schützt Ihre Web-Anwendungen bis auf Applikationsebene. Dazu gehört sowohl die Prüfung von Applikationen (Pentests und Code-Reviews) als auch Beratungsleistungen für Sicherheit im Entwicklungsprozess und Schutzlösungen (Web Application Firewalls) bei Großunternehmen und dem gehobenen Mittelstand. www.sec-Xtreme.com

SEC Consult

B1 Systems

SEC Consult

SEC Consult ist der führende Berater für Information Security Consulting in Zentraleuropa. Die vollständige Unabhängigkeit von SW- und HW-Herstellern macht uns zum echten Advisor unserer Kunden. Unsere Dienstleistungen umfassen externe/interne Sicherheitsaudits, (Web-) Applikationssicherheit (ONR 17700), Sicherheitsmanagement-Prozesse (ISO 27001) etc. www.sec-consult.com

Die B1 Systems ist international tätig in den Bereichen Linux/Open Source Consulting, Training und Support. B1 Systems spezialisiert sich in den Bereichen Virtualisierung und Cluster. info@b1-systems.de www.b1-systems.de

Tele-Consulting GmbH

Vom BSI akkreditiertes Prüflabor für ITSicherheit, hakin9 und c’t Autoren, jahrelange Erfahrung bei der Durchführung von Penetrationstests und Security-Audits, eigener Security Scanner „tajanas”, Sicherheitskonzepte, Risikoanalysen, IT-Grundschutz-Beratung, 3 lizenzierte ISO 27001-Auditoren, VoIP-Planung und -Security www.tele-consulting.com

Blossey & Partner Consulting Datenschutzbüro

Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern uns um ein angemessenes Datenschutzniveau in Ihrem Unternehmen, auch international. Wir erledigen alle erforderlichen Aufgaben, die Fäden behalten Sie in der Hand. Nutzen Sie unser Erstberatungsgespräch. www.blossey-partner.de

Recommended Companies
NESEC
NESEC ist Ihr Spezialist für Penetrationstests, Sicherheitsanalysen und IT-Security Counsulting. Das NESEC Pentest-Team unterstützt Sie bei Sicherheitsprüfungen Ihrer Netzwerke und Webapplikationen sowie bei Source Code Audits. Bei Bedarf optimieren wir Ihre Policy, sensibilisieren Ihre Mitarbeiter und zertifizieren Ihr Unternehmen nach ISO 27001. www.nesec.de

m-privacy GmbH

IT-Sicherheitslösungen – funktional und einfach zu bedienen! So präsentieren sich die von m-privacy entwickelten TightGate™-Server, z.B. TightGate™-Pro mit Datenschutz-Gütesiegel. Es bietet als erstes System weltweit einen kompletten Schutz vor Online-Spionage, Online-Razzien und gezielten Angriffen! www.m-privacy.de

Seed Forensics GmbH

Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden professionelle Unterstützung in den Bereichen der Datensicherstellung und Datenträgerauswertung. Selbstverständlich entsprechen unsere Mitarbeiter, unser technisches Equip0ment und auch unsere Räumlichkeiten den notwendigen Anforderungen. www.seed-forensics.de

OPTIMAbit GmbH

Wir sind Spezialisten für Entwicklung und Security. Wir sichern Java, .NET und Mobile Applikationen gegen Angriffe externer und interner Art. Unsere Dienste umfassen Audits, Code Reviews, Penetrationstest, sowie die Erstellung von Policies. Zusätzlich bieten wir Seminare zu sicherheitsrelevanten Themen. www.optimabit.com

Protea Networks

Protea ist spezialisiert auf IT-SecurityLösungen: Verschlüsselung, Firewall/ VPN, Authentifizierung, Content-Filtering, etc. Wir bieten umfassende Beratung, Vertrieb von Security-Hard- und Software, Installation und umfangreiche Dienstleistungen (z. B. Konzeption, Trainings). Protea setzt auf Lösungen der Markt- und Technologieführer und hält dafür direkten inhouse-Support bereit. www.proteanetworks.de

secadm

secadm ist durchtrainierter Spezialist für Airbags, ABS und Sicherheitsgurte in der IT. Zehn IT-Sicherheitsexperten mit 70 Mannjahren Erfahrung beraten, entwickeln und implementieren IT-Lösungen für Kunden weltweit. Der Fokus liegt dabei auf Themen wie Prozess-Optimierung und Security-Management. Risiko-Analyse, die Sicherheitsberatung, Auditing, Security-Leitfäden, Software-Entwicklung, Reporting bis zum Training. www.secadm.de

SecureNet GmbH, München

Als Softwarehaus und Web Application Security Spezialist bieten wir Expertise rund um die Sicherheit von Webanwendungen: Anwendungs-Pentests, Sourcecodeanalysen, Secure Coding Guidelines, Beratung rund um den Software Develoment Lifecycle. Tools: Application Firewalls, Application Scanner, Fortify SCA/Defender/Tracer. www.securenet.de

underground_8 secure computing gmbh

Wir entwickeln und vertreiben security appliances für die Bereiche Unified Threat Management, Traffic Shaping und Antispam. Unsere Lösungen sind hardwarebasiert und werden über Distributoren, Reseller und Systemintegratoren implementiert und vertrieben. www.underground8.com

Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern uns um ein angemessenes Datenschutzniveau in Ihrem Unternehmen, auch international. www.blossey-partner.de

Die Netzwerktechnik steht auf www.easy-network.de im Mittelpunkt. Artikel, Tutorials und ein Forum bieten genügen Stoff für kommende Administratoren und Netzwerkprofis. www.easy-network.de

Recommended Sites

Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden professionelle Unterstützung in den Bereichen der Datensicherstellung und Datenträgerauswertung. Selbstverständlich entsprechen unsere Mitarbeiter, unser technisches Equipment und auch unsere Räumlichkeiten den notwendigen Anforderungen. www.seed-forensics.de

Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen für ist eine Produktion des Securitymanager.de die Erfüllung rechtlicher Vorschriften und kümmern uns um ein angeOnline-Verlag FEiG & PARTNER. Seit dem messenessich Securitymanager.de zu UnterStart hat Datenschutzniveau in Ihrem einem nehmen, auchOnline-Informationsportal international. führenden in www.blossey-partner.de Deutschland entwickelt und versteht sich als unabhängiger Informationsdienstleister der IT- und Information-Security-Branche. www.securitymanager.de

Die Netzwerktechnik steht auf www.easy-network.de im Mittelpunkt. Artikel, Tutorials und Happy-Security ist ein neues Portal mit Secuein Forum bieten genügen Stoff für kommende rity-Challanges, IT-Quiz, Web-Bibliothek, MultiAdministratoren und Netzwerkprofis. media-Center & vielen weiteren Features. www.happy-security.de www.easy-network.de

Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden professionelle Unterstützung Hier findest Du alles, was das Herz eines in den Bereichen der Datensicherstellung und Computerfreaks höher schlagen lässt: Geek Datenträgerauswertung. Selbstverständlich Wear mit intelligenten Sprüchen, eine riesige entsprechen unsere Mitarbeiter, auch viele Auswahl Gadgets und natürlich unser technisches Equipment und auch unsere RäumliHacker Tools. chkeiten den notwendigen Anforderungen. www.getDigital.de www.seed-forensics.de

Securitymanager.de ist eine Produktion des Online-Verlag camp IT-Security: Unser Ziel ist Pericom base FEiG & PARTNER. Seit dem Start hat sich Securitymanager.de zu einem es, unsere Kunden vor möglichen Gefahren führenden Online-Informationsportal in für Ihre IT-Infrastruktur bestmöglich zu schütDeutschland der Analyse von Risikopotentiazen. Neben entwickelt und versteht sich als unabhängiger Informationsdienstleisterdurch der len durch Security Audits bieten wir, IT- und Information-Security-Branche. die Implementierung von Security-Lösungen, www.securitymanager.de Schutz vor konkreten Gefahren. www.pericom.at

Happy-Security seinen Nutzern eine Plattform CloudSafe stellt ist ein neues Portal mit Security-Challanges, IT-Quiz, Web-Bibliothek, Multizur kryptographisch sicheren Ablage und Verwalmedia-Center & vielen weiteren Features. tung von sensiblen Daten zur Verfügung: Nutzer www.happy-security.de können auf CloudSafe beliebig viele Dokumente in virtuellen Safes ablegen. Es können weiteren Personen individuelle Zugriffsrechte auf die Safes eingeräumt und somit ein sicherer Datenaustausch ermöglicht werden. www.cloudsafe.com

Hier findest Du geht was aus dem InnsAV-Comparatives alles, hervordas Herz eines Computerfreaks höher schlagen lässt: eines brucker Kompetenzzentrum und gilt als Geek Wear mit intelligenten Sprüchen, Testhäuser der bekanntesten unabhängigen eine riesige Auswahl Gadgets und für Antiviren-Software. natürlich auch viele Hacker Tools. www.av-comparatives.org www.getDigital.de

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org

Pericom base camp IT-Security: Unser Ziel ist es, unsere Kunden vor möglichen Gefahren für Ihre IT-Infrastruktur bestmöglich zu schützen. Neben der Analyse von Risikopotentialen durch Security Audits bieten wir, durch die Implementierung von Security-Lösungen, Schutz vor konkreten Gefahren. www.pericom.at

CloudSafe stellt seinen Nutzern eine Plattform zur kryptographisch sicheren Ablage und Verwaltung von sensiblen Daten zur Verfügung: Nutzer können auf CloudSafe beliebig viele Dokumente in virtuellen Safes ablegen. Es können weiteren Personen individuelle Zugriffsrechte auf die Safes eingeräumt und somit ein sicherer Datenaustausch ermöglicht werden. www.cloudsafe.com

base-camp IT-Security & Solutions: dem InnsAV-Comparatives geht hervor aus Unser Ziel ist es, unsere Kunden vor möglicheneines brucker Kompetenzzentrum und gilt als Gefahren für Ihre IT-Infrastruktur bestmöglich der bekanntesten unabhängigen Testhäuser zu schützen. Neben der Analyse von Risikofür Antiviren-Software. potentialen durch Security Audits bieten wir, www.av-comparatives.org durch die Implementierung von SecurityLösungen, Schutz vor konkreten Gefahren. www.base-camp.cc

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org