Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Die Bücher dieser Reihe gibt es/gab es über beim Verlag.

 

Informationssicherheit und das Eisbergprinzip

Hier finden sich eine Reihe von Texten aus den Büchern "Informationssicherheit und das Eisbergprinzip" und dem zweiten Band "Sicherheitsmanagement und das Eisbergprinzip", der im März 2004 herausgekommen ist (aber eigentlich immer noch aktuell ist). Das Zielpublikum dieser Bücher ist der KMU (kleine und mittelständische Unternehmer). Das Copyright aller Texte liegt bei den jeweiligen Autoren. Manche Texte wurden durch Links ergänzt, andere gründlich überarbeitet und erweitert.

Als 3. Band der Serie erschien das sehr umfassende Glossar der Informationssicherheit, eine gebundene Kurzfassung der hier verlinkten Online-Version (ständig erweitert, jetzt 2013 > 150 Seiten, > 1,5 MB, PDF). Band 4 ist eine Checklistensammlung "Basissicherheit und das Eisbergprinzip", die speziell für KMUs, die selbst ihren Sicherheitsstandard hinterfragen wollen, sehr zu empfehlen ist. Eine kurze Version einer solchen Checkliste (nur in Stichworten) gibt es hier online.

Gesamtinhaltsverzeichnis

die eigentlichen Texte sind zum Teil auf separaten Seiten (beim Drucken bitte beachten)

 

 

 

Herausforderung Informationssicherheit

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Autor: Philipp Schaumann

Informationssicherheit und IT-Sicherheit werden manchmal synonym gebraucht. In diesen Texten unterscheiden wir jedoch zwischen den beiden Begriffen. Informationssicherheit ist der Überbegriff und schließt die IT-Sicherheit ein. Informationssicherheit betrifft den gesamten Umgang mit betrieblichen Informationen, bis hin zu den Gerüchten aus der Mittagspause. Das heißt, bei der Informationssicherheit geht es um mehr als nur die Sicherheit der IT-Infrastruktur. Bei der gibt es zwar auch oft Schwachstellen, aber die IT-Abteilung ist sich (zumeist) bewusst, dass es ihre Aufgabe ist, dagegen etwas zu unternehmen. Sie setzt zumeist auf technische Implementierung, Sicherheitshardware oder -software. Aber ebenso wichtige (bzw. oft noch stärkere) Schwachstellen finden sich zumeist im

  • räumlichen Zugang zu sensiblen Bereichen im Unternehmen (IT, Rechnungswesen, Vorstandsbereiche, techn. Bereiche im Bereich Forschung und Entwicklung)
    • werden auch Hinterausgänge sicher verschlossen („Raucherausgang“)?
      wer hat am Wochenende Zutritt zum Vorstands- oder Finanzbereich?
  • Bewusstsein der Mitarbeiter für die Bedeutung von Informationen, seien sie technischer, finanzieller, verkaufstaktischer oder strategischer Art
    • Private Gespräche mit Ex-Kollegen, Freunden und Familienmitgliedern
      Business Gespräche mit potentiellen Kunden und Geschäftspartnern
      Gespräche mit Presse
      Gespräche mit Kollegen in der Öffentlichkeit (Flugzeug, Lokal, Zugfahrt)
      Telefonate in der Öffentlichkeit
  • organisatorische Schwachstellen in den Betriebsabläufen, z.B.
    • wer informiert die IT-Organisation über Veränderungen bei den Mitarbeitern?
      wer überprüft Ferialpraktikanten und richtet ihnen eigene Accounts ein?
      wer überprüft täglich den Erfolg der nächtlichen Datensicherungen?
      was passiert, wenn Notebooks gestohlen werden?
      wer ist verantwortlich für die Vorbereitung auf eine Wiederherstellung im Katastrophenfall?

Eine Checkliste zur Härtung der Firmen-IT befindet sich an anderer Stelle dieser Website.

 

 

 

Die Erstellung eines Sicherheitskonzepts / Sicherheitsrichtlinie (Security Policy)

Autor: Philipp Schaumann

In einer Sicherheitspolicy (auch Security Policy oder Sicherheitspolitik genannt) gibt die Geschäftsleitung generelle Richtlinien für die Implementierung von Sicherheit im Unternehmen. Deswegen wären Sicherheitskonzept oder Sicherheitsrichtlinie ebenfalls gute Beschreibungen. Diese gibt die grundlegenden Regeln vor und bestimmt, welchen Grad von Sicherheit das Unternehmen implementieren möchte. Dies kann durchaus unterschiedlich sein. So kann die eine Firma entscheiden, dass sie wegweisend und vorbildhaft sein möchte, eine andere kann aber durchaus auch klarstellen, dass eine Einhaltung der gesetzlichen Bestimmungen für dies Unternehmen ausreichend ist. [Hier finden Sie übrigens eine Liste einiger für den Schutz von Vertraulichkeit, Privatsphäre und personenbezogenen Daten relevante Gesetze in Österreich. Wo man in Österreich die Gesetzestexte findet ist in den Links.]

Der folgende Text wird sich auf die Informationssicherheit konzentrieren. Eine Sicherheitspolicy kann sich sehr wohl auch mit der Sicherheit der Produktion oder anderer Geschäftsaspekte beschäftigen. Brandschutz und Arbeitnehmerschutz wären weitere Beispiele dafür. Auf Grund der großen Abhängigkeit aller Geschäftsprozesse von der EDV spielt diese bei der Sicherheit eine wichtige Rolle. Es geht um Informationssicherheit und das ist mehr als IT-Sicherheit. Informationssicherheit ist auch verantwortlich für Informationen, die nicht in der EDV verarbeitet werden, d.h. z.B. auch Papierarchive und die Geschäftsdokumente auf den Schreibtischen und in den Papierkörben.

 

Worum geht es bei der Informationssicherheit?

  • Vertraulichkeit (sicherstellen, dass die Informationen nur denen zur Verfügung stehen, die die Erlaubnis dafür haben)
  • Integrität (sicherstellen, dass die Informationen nicht gelöscht oder unberechtigt verändert werden)
  • Verfügbarkeit (sicherstellen, dass die Informationen und EDV-Anwendungen wenn sie für einen Geschäftsprozess benötigt werden, wirklich zur Verfügung stehen)
  • Authentizität (sicherstellen, dass der wirkliche Absender von Informationen bekannt und sicher identifiziert ist)

Um diese Anforderungen zu erfüllen, müssen eine ganze Reihe von Maßnahmen, technischer und organisatorischer Art, getroffen werden. Die Beschreibung dieser Maßnahmen ist der Inhalt der Information Security Policy. (Es gibt übrigens eine Reihe von Vorlagen, die für die Erarbeitung genutzt werden können. Einige werden weiter hinten vorgestellt).

 

Wie beginne ich, eine solche Policy zu erstellen?

Der wichtigste Punkt ist, dass ein solches Projekt nur gelingen kann, wenn die Geschäftsleitung hinter diesem Unterfangen steht, und zwar deutlich sichtbar. Sie muss nicht nur das nötige Budget sicherstellen und erreichen, dass alle betroffenen Abteilungen ihre Arbeitszeit einbringen, sie muss auch deutlich und öffentlich dokumentieren, dass sie hinter diesem Projekt steht, das nämlich vermutlich auch etwas unpopuläre Maßnahmen mit sich bringen wird.

Wie umfangreich sollte die Policy sein? Das hängt ganz von den Umständen ab. Ein kurzer Text von wenigen Seiten ist besser als gar kein Text. Ein sinnvoller Umfang liegt wohl zwischen 30 und 60 Seiten. Vertiefende Einzelheiten werden dann in separaten Dokumenten niedergelegt.

Es empfiehlt sich eine gewisse Standardstruktur für die Policy. Oft werden 3 verschiedene Teile unterschieden:

Oft wird in einem ersten Schritt erst mal nur das dritte Dokument erstellt. Dies sollte nicht länger als höchstens 10 Seiten sein. Es ist sinnvoll, dieses Dokument so zu konzipieren, dass alle Mitarbeiter dieses Dokument unterschreiben. Dies hat nicht nur einige rechtliche Aspekte, es hat auf jeden Fall auch einen starken psychologischen Aspekt, wenn die Mitarbeiter ausdrücklich auf gewisse Regeln hingewiesen werden.

 

Sicherheitsgrundlagen und Sicherheitsorganisation im Unternehmen

Dieser Teil der Policy folgt auf die Einleitung der Policy, in der die Ziele und den Grad an Sicherheit die es zu erzielen gilt vorgegeben werden und behandelt die Struktur des Sicherheitsmanagements.

Jedes Unternehmen sollte über einen Sicherheitsbeauftragten verfügen. Dies kann eine hauptamtliche Stelle sein, in kleinen Unternehmen wird dies jedoch kaum möglich sein. Diese Person hat folgende Aufgaben:

  • sie ist verantwortlich für die Erstellung und Pflege der Sicherheitspolicy
  • sie sollte sich ein Gremium zur Unterstützung aufbauen, z.B. Sicherheits-Forum
  • sie ist zuständig für die Bewusstseinsbildung und die kontinuierliche Information aller Mitarbeiter
  • sie ist zuständig für die Organisation von Audits
  • sie sollte die erste Anlaufstelle („Security Helpdesk“) für alle Fragen der Informationssicherheit im Unternehmen sein
  • Informeller Ansprechpartner und Vertrauensperson in beiden Richtungen

Diese Stelle ist optimal unter der Geschäftsführung aufgehängt, aber in vielen kleinen Unternehmen wird sie Teil der EDV-Organisation sein. Dies ist nicht optimal, aber immerhin besser als diese Funktion gar nicht zu besetzen.

Um im Unternehmen wirken zu können, braucht diese Person ein Gremium, mit dessen Hilfe sie Probleme erörtern und in den Entscheidungsprozess des Unternehmens einbringen kann. Dies kann z.B. ein Sicherheitsforum sein, bestehend aus Vertretern der Fachabteilungen des Unternehmens. Dies können die Abteilungsleiter sein, aber oft ist es sinnvoller, wenn dort Personen sitzen, die sich speziell für dieses Thema interessieren. Dieses Gremium

  • diskutiert und einigt sich über Methoden und Prozesse
  • fördert die Informationssicherheit in allen Bereichen des Unternehmens
  • wird über Sicherheitsvorfälle informiert und bespricht Lösungen

Für einzelne Systeme und Anwendungen im Unternehmen sollte es sogenannte Informationsverantwortliche geben. Dies werden oft die Fachvorgesetzten sein, so z.B. der Chef der Buchhaltung oder des Einkaufs. Diese Personen haben folgende Aufgaben:

  • bestimmt den Schutzbedarf der jeweiligen Daten und Systeme auf Grund von Geschäftsprozessen und -prioritäten, d.h. setzt fest wie vertraulich die Informationen zu behandeln sind und welche Verfügbarkeitsanforderungen für diese Systeme nötig sind. 100% Verfügbarkeit setzt dann aber auch voraus, dass ein entsprechend hohes Budget zur Verfügung gestellt werden kann
  • er vergibt Zugriffsrechte für „seine“ Anwendung oder „sein“ System. D.h. dies sollte die Stelle sein, die über die Rechte der einzelnen Benutzer entscheiden darf

Er kann (und wird in der Regel) die Verarbeitung der Daten an einen Treuhänder delegieren. Dieser Treuhänder wird in vielen Fällen das betriebseigene Rechenzentrum sein, in manchen Fällen sind dies jedoch auch externe Dienstleister, speziell für Aufgaben wie Web-Anbindung. Egal wer dieser Treuhänder ist, auf jeden Fall sollte zwischen dem Informationsverantwortlichen und dem Treuhänder ein Vertrag bestehen, ein sog. SLA (Service Level Agreement). Hierin wird geregelt, welche Erwartungen, z.B. in Bezug auf Verfügbarkeit, die Fachabteilung und damit das Unternehmen an den internen oder externen Dienstleister hat.

 

Welchen Schutzbedarf haben die Daten, Anwendungen und Systeme?

Dies führt zur Frage des Schutzbedarfes der Daten und auch der einzelnen Anwendungen und Systeme. Bevor man diese sinnvoll schützen kann, muss man eine Vorstellung über den jeweiligen Schutzbedarf haben, hauptsächlich bezüglich Vertraulichkeit und Verfügbarkeit.

Bei der Frage der Vertraulichkeit könnten folgende Kriterien hilfreich sein:

    Sehr hoch:
    Verletzung der Vertraulichkeit kann zu Verlust der persönlichen Unversehrtheit führen, Gefahr für Leib und Leben, schwerwiegende juristische Konsequenzen, Verlust von Kunden oder zukünftigem Umsatz, ruinöse Haftungsschäden, möglicher Missbrauch von personenbezogen Daten der zu gesellschaftlichen oder wirtschaftlichen Ruin führen kann

    Hoch:
    Verletzung der Vertraulichkeit kann zu erheblichem Schaden für das Unternehmen und budgetüberschreitenden Kosten führen, erhebliche juristische Konsequenzen, direkte Auswirkungen auf Umsatz, Imageverlust kann eintreten, möglicher Missbrauch von personenbezogenen Daten kann Auswirkung auf gesellschaftliche Stellung und wirtschaftliche Verhältnisse haben

    Mittel:
    Verletzung der Vertraulichkeit kann zu geringem finanziellen Schaden und geringem, vorübergehenden Imageverlust führen, nur geringfügige juristische Konsequenzen, ein möglicher Missbrauch personenbezogener Daten hat nur geringe Auswirkungen

    Niedrig:
    Öffentlich zugängliche Daten

Das ist zumindest das, was man in den einschlägigen Lehrbüchern und Sicherheitsstandards findet. Ich habe einen etwas anderen Ansatz, denn Vertraulichkeit ist kontextbezogen (Mehr zur Theorie der Privatsphäre hier). Was ich damit sagen will sind 2 Punkte.

    1. Nur die Abteilung selbst (d.h. die "Information Owner") kann letztendlich entscheiden, was bei ihnen welche Vertraulichkeit braucht, weil nur die Mitarbeiter selbst wissen, welche Informationen anfallen (nicht nur in der IT, sondern auch in den Köpfen) und welche Schäden durch einen Vertraulichkeitsverlust entstehen können

    2. Kontextabhängig heißt ganz konkret, dass in jedem Einzelfall entschieden werden muss, wer welche Information braucht und/oder haben darf. Dies betrifft Kunden, Partner und auch Kollegen. Den einen Kunden kann man über zukünftige Pläne informieren, weil er schweigen kann, bei einem anderen Kunden weiß man, dass er alles zur Konkurrenz trägt. Und für den einen Kunden ist es für seine Entscheidung wichtig, eine gewisse Information zu haben, in anderen Fällen ist es nicht relevant.

D.h. jeder Mitarbeiter muss eine Selbstverantwortung für die Vertraulichkeit der Informationen übernehmen, mit denen er zu tun hat. Dies ist sinnvoller und effektiver, als eine unternehmensweite Definition, mit der im konkreten Fall dann niemand was anfangen kann. Ich führe zu diesem Zweck Workshops in den verschiedenen Abteilungen durch, in denen ich z.B. frage, welche Informationen die Mitarbeiter gern über die Konkurrenz hätten, welchen Wert diese Informationen für Sie hätten, etc. Dadurch, dass ich mich in die Position eines Angreifers begebe, verstehe ich besser, welchen Wert oder welches Schadenspotential eine Information hat.

 

Bei der Verfügbarkeit hängen die Anforderungen ganz stark von der Art der Geschäftstätigkeit ab. Daher muss eine Erhebung der Geschäftsabläufe des Unternehmens immer der erste Schritt sein. Ich führe zu diesem Zweck Workshops mit den verschiedenen Abteilungen durch (am besten alle gemeinsam: Einkauf, Verkauf, Produktionsplanung, Produktion, Logistik, etc.). An einem Flipchart kann man die Abläufe durchspielen und bald erkennt man, welche Abhängigkeiten bestehen. Die große Frage ist dann immer: Wie lange können Sie ohne größere Schäden ohne die Unterstützung der anderen Abteilungen, Anwendungen oder IT-Systeme auskommen? Und wie groß darf der Datenverlust bei einem Ausfall sein?

Im nächsten Schritt muss dann die EDV-Landschaft des Unternehmens analysiert werden. Je nach Größe des Unternehmens und Tiefe der Erhebung kann dies zwischen 2 Tagen und mehreren Monaten dauern. Dabei sollten nicht nur der Schutzbedarf, sondern auch die Verantwortlichkeiten für die einzelnen Systeme und Anwendungen erhoben werden. Eine Regelung könnte z.B. so aussehen

    Sehr hoher Verfügbarkeitsbedarf:
    Ausfall führt zu Stillstand der Produktion, maximal bis 1 Stunde tolerierbar, Ausfall von mehreren Tagen gefährdet die Existenz des Unternehmens

    Hoher Verfügbarkeitsbedarf:
    Bearbeitung von Hand nur schwer möglich, bis zu 24 Stunden tolerierbar, Ausweichgeräte müssen erst installiert werden

    Niedrig bis mittel:
    Bearbeitung von Hand möglich, andere Geräte können eingesetzt werden

Diese Werte können erheblich schwanken. Es gibt Unternehmungen, bei denen ein Ausfall von einer Stunde bereits nicht tolerabel ist. In diesem Fall müssen entsprechend hochverfügbare Systeme eingesetzt werden. Eine Forderung noch so hoher Verfügbarkeit ist natürlich nur sinnvoll, wenn die Geschäftsprozesse eine entsprechende Budgetzuweisung für diese zum Teil sehr teuren Maßnahmen rechtfertigen. Mit der Frage der Verfügbarkeit müssen wir uns im Bereich der Business Continuity und Disaster Recovery noch eingehender beschäftigen. Ein sehr hilfreiches Schema, das sich bei vielen Unternehmen mittlerer Größe im aktiven Einsatz bewährt hat, findet sich in dieser Vorlage für eine DR-Konzept Detailanalyse.

 

Was sind die Policy-Themen der EDV-Organisation?

Sicherheit der technischen Infrastruktur:
Hier geht es darum, dass kritische EDV-Installation gegen Ausfall von Strom, Klima und die Folgen von Blitzschlägen (auch indirekte Schäden durch Induktion) geschützt werden müssen.

Wie schützen Sie sich gegen Diebstahl von EDV-Geräten, speziell Laptops? Sind Sie versichert? Haben Sie die Daten auf den Festplatten verschlüsselt? Könnten Sie wieder gefundene Geräte sicher identifizieren.

Zutritt zu kritischen Bereichen:
Wie ist der Zutritt zum Rechenzentrum oder anderen Bereichen mit wichtigen EDV-Installationen geschützt. Dies betrifft z.B. auch Netzwerkgeräte außerhalb des Rechnerraums.

Patch Management und Schwachstellen Management:
Gibt es klare und dokumentierte Zuweisungen für die Verantwortung? Ist sichergestellt, dass alle Server einen angemessenen Sicherheitsstand haben? Wer ist dafür verantwortlich zu entscheiden, ob Patches auf Systemen eingefahren werden? Werden Patches getestet, bevor sie installiert werden? Werden alle Systeme gehärtet, z.B. durch Entfernen von Default-Accounts, Programmbeispielen und ungenutzten Diensten?

Vulnerability Checks
(d.h. ein Überprüfung auf bekannte Schwachstellen in der installierten Software) müssen regelmäßig durchgeführt werden. Dafür stehen Produkte und auch externe Services zur Verfügung. In der Policy müssen Sie festlegen, wie oft welche Systeme mit welchen Tools überprüft werden sollen. Diese Aufstellung enhält interessante wissenschaftliche Papiere zu
Schwachstellen und Patches.

NIST Standards sind immer hilfreich, dies ist der neu-überarbeitete NIST SP800-40v2 - Patch and Vulnerability Management.

Ein anderer Sicherheitstest sind die sog. Pen Tests. Dabei wird jemand beauftragt, ein System so zu prüfen, wie das ein Angreifer auch tun würde. Aus solchen Tests lernt man wichtige Informationen über den eigenen Sicherheitsstand.

Reparatur und Entsorgung:
Was geschieht bei der externen Reparatur von Geräten? Werden Festplatten vorher entfernt, bevor ein Laptop als Garantiefall eingeschickt wird? Verlassen die Geräte für die Reparatur den EU-Raum?

Vernichtung von Altsystemen und Altpapier:
Gibt es klare Regeln die sicherstellen, dass vernichtete oder verkaufte Altsysteme keine vertraulichen Daten mehr enthalten (ein Formatieren der Festplatte reicht dafür nämlich nicht aus). Wird Altpapier, z.B. Programmlisten, so entsorgt, dass diese nicht in falsche Hände fallen können?

 

Netzwerkpolicy

Wie ist Ihr Internet-Anschluss abgesichert? Ist Ihr Web-Server für das Unternehmen so wichtig, dass er redundant ausgelegt werden muss? Sollten Sie auch eine redundante Anbindung an das Internet haben?

Wo steht Ihr Web Server (hoffentlich nicht innen im LAN, sondern entweder in einem separaten Netzsegment des Firewalls, der sog. DMZ, oder an einem speziellen Interface des Routers, das über Filterregeln abgesichert ist). Oder steht Ihr Web-Server bei einem Provider? In diesem Fall ist zu fragen, wie es dort mit der Sicherheit bestellt ist? Fast nie stellen Provider eine Firewall zur Verfügung!

Wer ist für die Inhalte auf dem Web-Server verantwortlich? Wie werden diese freigegeben? Ist sichergestellt, dass keine internen Informationen dort veröffentlicht werden? Falls Ihr Web-Server Daten sammelt, z.B. Registrierungsdaten oder sogar Kreditkarteninformationen, haben sie dafür gesorgt, dass diese sensiblen Daten nicht auf dem Web-Server selbst gespeichert werden?

Haben Sie FunkLANs (wireless LAN, WLAN) im Einsatz? Diese können selbst mit Verschlüsselung und Authentifizierung noch ein Sicherheitsrisiko darstellen. Mehr dazu im separaten Kapitel zu WLAN.

Trennen Sie interne Netzbereiche voneinander ab oder kann jeder in Ihrem LAN jeden Rechner erreichen? Die nachfolgende Grafik stellt eine logische Segmentierung in einem komplexen Netzwerk dar. Alle diese Firewallfunktionalitäten können, speziell bei kleineren Unternehmen, auch durch einen einzigen Firewall abgedeckt werden. Diese Auftrennung der Netzbereiche lässt sich sehr schön mit Hilfe von Switches implementieren, die VLAN (Virtual LAN)-fähig sind.

Trennung in separate Netze mittels VLAN

Wie wird bei Ihnen die Fernwartung durchgeführt? Ist das sicher genug? Wählen sich Ihre Systemadministratoren von zu Hause ins Unternehmen ein? Wie stellen Sie sicher, dass dadurch keine Gefahren entstehen.

Wie tauschen Sie Daten mit Geschäftspartnern aus? Haben Sie dafür einen separaten Extranetbereich? Wie authentifizieren Sie die Zugriffe Ihrer Geschäftspartner?

Haben Sie Mitarbeiter, die im Home-Office arbeiten? Wie stellen Sie sicher, dass diese Rechner auch einen angemessenen Sicherheitsstandard haben? Wie stellen Sie eine sichere Verbindung zwischen diesen Rechnern und Ihren internen Systemen her (VPN, CITRIX Metaframe, Zugriff über speziellen Web-Server)?

Wie administrieren sie ihre Firewall(s)? Gibt es klare Verantwortlichkeit bezüglich wer dort die Regeln verändern kann? Werden diese Veränderungen dokumentiert und regelmäßig überprüft und hinterfragt? Mehr Details zu Firewalls

Mehr Details zu Web-Servern

 

Archivierungsfragen

Es gibt zwei Gründe, Daten langfristig zu archivieren. Erstens gibt es für bestimmte Daten gesetzliche Verpflichtungen für eine Aufbewahrung von entweder 7 oder oft auch 30 Jahren (z.B. Patientendaten). Zum anderen werden Daten archiviert, um diese auf kostengünstigere Datenmedien auszulagern. In beiden Fällen muss man die Haltbarkeit betrachtet. So sind Magnetbänder nur für eine recht begrenzte Zeit, oft nur 1 Jahr, garantiert, viele Technologien wie WORM oder verschiedene Typen von Magnetbändern haben die Problematik, dass die Lesegeräte extrem schnell veralten und oft dann nicht mehr nachgekauft werden können, wenn das Gerät ausfällt. Wie stellen Sie sicher, dass Sie Ihren Verpflichtungen hier nachkommen?

In Fällen, in denen eine lange Datenverfügbarkeit aus juristischen oder praktischen Gründen notwendig ist, werden heute spezielle Hardware-Archivierungssysteme eingesetzt, die das unvermeidbare Umkopieren auf neue Datenträger vollständig automatisieren. Grund für das Umkopieren sind

  • das Ablaufdatum für das jeweilige Medium,
  • Nicht-mehr-Verfügbarkeit der Lesegeräte für das alte Medium
  • Bessere Speicherausnutzung durch Verwendung neuer Technologien

Solche Systeme erreichen eine vollständige Automatisierung und ermöglichen auch eine automatische Auslagerung an andere Standorte.

 

Verschlüsselungspolicy

Vertrauliche Daten, speziell auf Laptops oder beim Versenden, sollten immer verschlüsselt sein. Zu diesem Zweck stehen Festplattenverschlüsselung, Dateiverschlüsselung, E-Mailverschlüsselung und ähnliche Technologien zur Verfügung. Aber auch hier gibt es eine ganze Reihe von Fragen zu klären. Z.B. die Fragen, ob sie eine spezifische Lösung für ein Teilproblem, oder eine integrierte Lösung suchen?

Bedenken Sie auch, dass auf die Firmendaten auch dann noch zugegriffen werden muss, wenn der Mitarbeiter aus irgendwelchen Gründen nicht mehr zur Verfügung steht. Dafür gibt es Technologien (Schlüssel-Recovery, Key Escrow), die es einem oder mehreren Administratoren (4-Augen-Prinzip) erlauben, auch ohne den Mitarbeiter auf die Daten zuzugreifen. Ähnliche Methoden werden auch benötigt, wenn der Mitarbeiter das Passwort vergessen hat.

Wenn Sie die Verschlüsselung wirklich sicher haben wollen, so verwenden Sie eine starke a href="#auth" class="int" >Authentisierung mit Smart-Card oder USB-Stick mit einem digitalen Zertifikat oder One-Time-Passwort Token.

Eine kostenlose Festplattenverschlüsselung, auch für Firmen, gibt es übrigens von CE-Infosys. Aber die Anschaffungskosten sind bei weitem nicht die einzigen Kosten einer solchen Verschlüsselung. Die Administration der Schlüsselverwaltung ist z.B. ein ganz erheblicher Kostenfaktor (Neu-Einrichten von Schlüsseln, Helfen, wenn der Mitarbeiter das Passwort oder den Token vergessen hat und das auch dann, wenn er im Ausland ist).

Mehr zu Verschlüsselung.

 

Smartphones (und andere mobile Geräte)

Wie halten Sie es im Unternehmen mit Smartphones? Erlauben Sie das Speichern von Firmendaten (z.B. Termine oder Adressen) auf privaten Geräten - was heute oft unter BYoD läuft (Bring your own Device)?

Smartphones können einiges an vertraulichen Daten speichern, z.B. die Adressen der Kunden und auch die E-Mails. Erlauben sie das Speichern von Unternehmensdaten (E-Mails) auf solchen Geräten? Falls ja, bieten Sie Ihren Mitarbeitern zumindest Sicherheitssoftware wie z.B. Verschlüsselung und Power-On Schutz mit Passworteingabe an? Und gibt es einen zentralen Support für diese Geräte, d.h. haben die Mitarbeiter jemanden, der ihnen Sicherheitstipps geben kann und der ihnen hilft, die Geräte sicher zu konfigurieren?

Setzen Sie evt. Bluetooth ein? - Das eröffnet eine ganze Reihe von Angriffsmöglichkeiten. Wissen Ihre Mitarbeiter, dass ein Gerät mit dem sie einmal ein sog. "Pairing" durchgeführt haben, immer wieder auf ihr Gerät zugreifen kann? Und dass es mittlerweile auch Viren für Smartphones gibt und dass sie deswegen nicht auf OK klicken dürfen, wenn attraktive Dateinamen "nackte Tatsachen" versprechen?

Eine Sicherheitspolicy für mobile Geräte sollte regeln

Im Zweifel sollten Sie sich von Profis helfen lassen. Hier ein Übersichtsartikel zu mobiler Kommunikation.

 

Malicious Code (Viren, Würmer, Trojaner u.ä.)

Dies stellt eine sehr kostspielige Gefahrengruppe dar, in jedem Unternehmen treten diese Probleme auf. Wie stellen Sie sicher, dass die Mitarbeiter über sicheren Umgang mit Attachments in E-Mails informiert sind? Haben Sie einen mehrstufigen Virenschutz, der automatisch täglich auf den neusten Stand gebracht wird? Verhindern sie bei MS-Office-Anwendungen das automatische Ausführen von Macros? Sind die Web-Browser der Anwender sicher eingestellt? Bieten Sie Ihren Mitarbeitern alternative Web-Browser, die zum Teil sicher sind (z.B. den Firefox)? (Aber auch diese Software hat leider Schwachstellen und muss regelmäßig aktualisiert werden).

Hier gibt es mehr Hintergründe zur großen Problematik der Schadsoftware.

 

Zugriffsrechte und Benutzeraccounts

Wer ist für die Vergabe von Zugriffsrechten und Benutzeraccounts zuständig? Wie stellen Sie sicher, dass auch beim Ausscheiden eines Mitarbeiters und sogar bei einer Veränderung der Aufgabenbereiche die Zugriffsrechte gesperrt oder angepasst werden? Haben Sie Prozeduren, die sicherstellen, dass Zugriffsrechte regelmäßig überprüft und hinterfragt werden? Arbeiten mehrere Benutzer mit denselben Accounts? Wie stellen Sie sicher, dass die Passworte sicher sind?

 

Authentifizierung der Anwender

Ein wichtiger Aspekt der Informationssicherheit ist die Authentifizierung der Anwender. Die traditionelle Technik dafür ist die Kombination von Benutzername und Passwort. Passworte sind einfach, sehr gut akzeptiert, aber haben eine Reihe von Problemen. Eines der Probleme ist, dass jeder moderne Mensch einfach zu viele davon hat und dass es daher kaum möglich ist, sich diese alle zu merken. Zusammen mit den PINs für Kredit- und Bankomatkarte und den vielen Web Sites auf denen man sich registrieren muss kommt man spielend auf 20 bis 50 Passworte. Und das führt dazu, dass Abkürzungen benutzt werden, z.B. so viel Passworte wie möglich gleich lautend zu halten. Oder die Passworte werden eben doch notiert, auch wenn davon überall dringend abgeraten wird. Andererseits könnte sich niemand so viele unterschiedliche merken. Wenn Passworte notiert werden, dann aber auf jeden Fall an einem sicheren Ort und nicht unter der Tastatur oder gar mit gelbem Sticker am Bildschirm. Ein Zettel in der Geldbörse oder verschlüsselt im PDA sind mögliche Alternativen.

Besser jedoch wäre, zumindest im Unternehmen die Zahl der Passworte zu minimieren, z.B. durch ein Single-Signon System. Dabei muss der Benutzer sich nur einmal anmelden und authentifizieren, alle anderen Anmeldungen führt das System selbstständig durch. Ein solches Single-Signon System sollte aber nicht mit einfachen Passworten betrieben werden. Dafür gibt es sicherere Alternativen.

 

Welche besseren Methoden der Authentifizierung gibt es?

Prinzipiell können für die Authentifizierung folgende Techniken verwendet werden:

  • Etwas, was ich weiß (Passwort, PIN)
  • Etwas, was ich besitze (Token, Smart-Card)
  • Eine Eigenschaft des Anwenders (Biometrie, d.h. Stimme, Gesicht, Fingerabdruck, Retina)

Bei wirklich sicheren Systemen wird eine Kombination von 2 dieser Verfahren gewählt.

Eine einfache Methode, die erheblich sicherer ist als das einfache Passwort sind sog. One-Time Passwords (OTP). Dieses Verfahren vermeidet das Problem, dass jemand der eine Leitung abhört, das Passwort kennt und wieder verwenden kann. Dies ist bei Einmalpassworten nicht möglich. E-Banking Nutzer kennen das Prinzip von den TANs. Eine TAN-Liste ist eine Liste von Einmalpassworten. Für den täglichen Betrieb im Unternehmen sind TAN-Listen nicht sehr praktikabel, daher gibt es sog. Token, die Einmalpassworte dynamisch erzeugen.

Diese Geräte zeigen alle 60 Sekunden ein neues Passwort an. Dies wird in der Regel mit einer PIN kombiniert. Bei manchen Geräten wird die PIN direkt auf dem Gerät eingegeben, bei anderen wird die PIN an die automatisch generierte Zahl angehängt. Auch ein Einsatz ohne PIN ist möglich. Vorteil dieser Geräte ist, dass keinerlei zusätzliche Hardware oder Software bei den Systemen der Anwender benötigt werden.

Ein weiteres Verfahren, das sich durch Benutzerfreundlichkeit auszeichnet, ist die Biometrie. Hierbei werden unveränderliche Eigenschaften des Nutzers erfasst und verglichen. Dies können Fingerabdrücke, Retinamuster, Gesichtsform oder auch die Stimme sein. Auch diese Verfahren werden mit einem PIN kombiniert.

Eine andere Möglichkeit sind X.509-Zertifikate, entweder direkt auf der Platte oder auf einer Smart-Card gespeichert. Auch diese werden wieder über eine zusätzliche PIN abgesichert. Solche Zertifikate und Smart-Cards können entweder im Unternehmen selbst mit Hilfe einer PKI erzeugt werden, oder sie können über Stellen wie A-Trust bezogen werden.

 

Wie identifizieren und authentisieren Sie Ihre Anwender?

Das Passwort ist nicht unbedingt die sicherste Methode zur Authentisierung, speziell wenn das Passwort über das Internet eingegeben wird, es gibt heute bessere Methoden wie z.B. One-time-passwort Token, die alle 60 Sekunden ein neues Passwort anzeigen, oder Smart-Cards. Solche Systeme sind insbesondere zu empfehlen, wenn Single-Signon Systeme eingesetzt werden. Dabei meldet sich der Anwender nur einmal an und das System gibt dann automatisch den Zugriff auf alle jene Systeme frei, für die dieser Anwender validiert ist. In diesem Fall muss natürlich der Zugriff noch besser abgesichert werden.

Und wie stellen Sie sicher, dass Ihre Kunden und Partner authentisiert werden? Hier können bei Web-Zugriffen z.B. Client-Zertifikate eingesetzt werden.

 

Systemaccounts

Wie organisieren Sie Ihre Systemaccounts sicher? Vergeben Sie separate Systemaccounts für jedes Mitglied des Administrationsteams? Falls nicht, wie stellen Sie sicher, dass nach dem Ausscheiden eines Admin-Mitarbeiters Ihre Rechner noch sicher sind? Woher können Sie Ihre Admins im Notfall kontrollieren, wenn alle mit dem selben Benutzeraccount arbeiten? Haben alle Ihre Desktop- Systeme und Laptop ein und dasselbe lokale Administrator-Passwort (hoffentlich nicht)? Hinterlegen Sie die Admin-Passworte in einem Safe, so dass diese auch im Katastrophenfall verfügbar wären?

Die Lösung: Verwenden Sie für Windows Systeme persönliche Domain-Passworte für jeden Administrator und für UNIX/Linux ebenfalls persönliche Accounts (umschalten mit su -). Root sollte nur in Notfällen und von der lokalen Konsole aus benutzt werden. Die lokalen Administrator- und Root-Passworte sollten für jeden Rechner unterschiedlich sein und liegen für Notfälle in verschlossenen Umschlägen bereit.

 

Systementwicklung und -beschaffung, Quellcodeverwaltung

Bei jedem Ihrer Projekte muss die Sicherheitsproblematik von Anfang an berücksichtigt werden. D.h. schon im Projektantrag sollte ein Absatz über die zu implementierende Sicherheit stehen. Im Projektdesign muss Sicherheit dann ein eigenes Kapitel sein. Und das muss sich durchziehen bis zu den Abnahmekriterien. Wie kann das sichergestellt werden? Entweder ist der Sicherheitsbeauftragte in allen solchen Projekten von Anfang an involviert oder jeder Projektmanager hat die Aufgabe, darauf zu achten, dass Sicherheit ein Kernbestandteil jedes Projektes ist.

Bei der Durchführung von EDV-Projekten muss sichergestellt werden, dass eine Testumgebung zur Verfügung steht die sicherstellt, dass die Produktionssysteme vom Testen nicht betroffen werden. Und wenn sensitive Daten, z.B. Personendaten, verarbeitet werden, müssen Testdaten erstellt werden, die anonymisiert sind.

Um eine sichere Programmentwicklung durchführen zu können, brauche ich eine Quellcodeverwaltung die dokumentiert, welche Änderung von wem, wann und warum gemacht wurde. Sie muss in der Lage sein, Änderungen jederzeit wieder rückgängig machen zu können.

Hier gibt es einige Glossen, aber auch ernsthafte Informationen zum Thema Software-Entwicklung und sogar einen Test für das Entwicklungsteam.

Um zu verhindern, dass Hintertürchen oder offensichtliche Programmfehler eingebaut werden, sollte in Entwicklungsprojekten genügend Zeit für Code Reviews vorgesehen werden. Dies ist speziell dann wichtig, wenn betriebsfremde Kräfte bei der Entwicklung mithelfen.

Bei der Mitarbeit von betriebsfremden Kräften sollte auch geregelt sein, dass diese nie die Systempassworte kennen, dass Vertraulichkeitserklärungen unterschrieben werden und dass diese externen Mitarbeiter nie allein in sensiblen Bereichen arbeiten dürfen.

Hier einige Glossen, die sich mit dem Thema Software Qualität beschäftigen.

Der Wahn nach Features und warum das oft zu lausiger Software führt, Haftung für Software und Tipps bez. Softwarekauf.

Ein anderer wichtiger Aspekt der Qualität der EDV betrifft die Integrität der Daten. Hier eine Glosse: Datenschrott - Ich fürchte mich vor falschen Daten

 

Change Management

Die Durchführung von Änderungen an EDV-Systemen sollte ein Prozess sein, bei dem es keine Ausnahmen gibt. Allzu oft haben winzige und harmlose Änderungen, "bei denen nun wirklich nichts schief gehen kann", die EDV-Anwendungen zum Teil für längere Zeit lahm gelegt oder zu Datenverlusten geführt.

Die Durchführung der Änderung wird nur dann genehmigt, wenn die Änderungen dokumentiert, begründet und getestet sind und wenn ein Plan vorliegt, wie die Installation bei Misserfolg wieder rückgängig gemacht werden kann (Change Management Prozedur). Hier ein Beispiel für ein Change Coordination Sheet.

 

Haben Sie ein Datensicherungskonzept?

Daten können aus vielfältigen Gründen verloren gehen, selbst dann wenn Sie z.B. Datenspiegelungen einsetzen. Niemand kommt um eine Datensicherung herum. Hier einige wichtige Fragen, die sich jeder stellen muss.

  • Wie werden bei Ihnen die Daten gesichert?
  • Wissen die Mitarbeiter, welche Daten (z.B. lokale Laufwerke) nicht gesichert werden?
  • Wie lange werden die Datensicherungen aufbewahrt?
  • Reicht das aus, um auch spät entdeckte Verluste wiederherstellen zu können?
  • Haben Sie geeignete Datensicherungsprozeduren für Datenbanken (die mit Standardsicherungsprogrammen nicht gesichert werden können, weil diese immer im schreibenden Zugriff sind)?
  • Wie oft testen Sie das Zurückladen der Sicherungen?
  • Wie schnell geht eine Wiederherstellung einer Datenbank?
  • Ist das schnell genug?
  • Wo lagern Sie Ihre Datensicherungen aus?
  • Ist das weit genug entfernt?
  • Sind die Sicherungskassetten dort sicher?
  • Werden auch wirklich alle Systeme gesichert (auch z.B. die Systeme in der DMZ)?

Hier gibt es detaillierte Hinweise bezüglich Datensicherung für KMUs.

 

Notfallpläne, Business Continuity und Desaster Recovery

Auch dieses Thema sollte Teil einer umfassenden Sicherheitspolicy sein. Die Problematik wird im Kapitel Desaster Recovery ausführlicher behandelt.

 

Personalsicherheit

In diesem Kapitel der Security Policy geht es darum, wie personelle Sicherheitsfragen angegangen werden sollen. Dazu gehört z.B., dass schon bei der Einstellung einige grundlegende Überprüfungen stattfinden. So sollte die Korrektheit des Lebenslaufes durch Anrufe bei früheren Arbeitgebern überprüft werden. Zeugnisse und Abschlüsse gehören in die Personalakte, und bei sicherheitskritischen Stellen sollte auch das Anfordern eines polizeilichen Führungszeugnisses erwogen werden.

Alle Mitarbeiter sollten eine Vertraulichkeitserklärung und die Kenntnisnahme der Nutzungsregeln für EDV-Nutzer unterschreiben.

Auch die Verantwortung für die kontinuierliche Weiterbildung und Schulung auf dem Gebiet der Sicherheit und des Schutzes muss hier verankert werden.

Auch das Thema Motivation und Mitarbeiterzufriedenheit spielt als Sicherheitsfaktor eine große Rolle. Nur Firmen mit zufriedenen und loyalen Mitarbeitern können ein hohes Sicherheitsniveau erreichen. Entsprechende Umfragen und aktive Verbesserungsmaßnahmen sind notwendig, um dies sicherzustellen.

Weiters müssen Regeln getroffen werden, wie auch die betriebsfremden Mitarbeiter, z.B. Reinigungspersonal überprüft und überwacht werden können.

Mehr zum Thema Regeln für Mitarbeiter.

 

Audit und Revision

Sicherheit im Unternehmen ist keine statische Angelegenheit. Sie müssen sicherstellen, dass der Sicherheitsstand kontinuierlich, z.B. jährlich überprüft wird. Regeln Sie in der Policy wer, wann und mit welcher Detailtiefe diese Überprüfung durchführen wird.

 

Juristisches zum Thema Fernwartung

(der folgende Abschnitt ist dem empfehlenswerten Newsletter der ARGE DATEN übernommen, der Link hier führt zu den Details und hilfreichen Vorlagen)

Was ist Fernwartung?
Im modernen EDV-Alltag kommt es regelmäßig vor, dass Computersysteme nicht mehr lokal, sondern per Internet aus der Ferne bedient werden. Erfolgt die Fernwartung von Systemen dabei durch Fremdfirmen (Wartungsfirmen), müssen einige Punkte beachtet werden.

Fernwartung als datenschutzrechtliche Dienstleistung
Unabhängig von sonstigen vertraglichen Vereinbarungen, liegt ein datenschutzrechtliches Dienstleistungsverhältnis vor, sobald für eine Wartungsfirma eine Zugriffsmöglichkeit auf personenbezogene Daten besteht. Beispielsweise bei Übernahme des Betriebs, der Wartung, oder der Sicherung der von EDV-Systemen auf denen sich personenbezogene Daten befinden.

 

Auf welche Standards kann sich die Sicherheitspolicy beziehen?

Es gibt eine Reihe von Best-Practise Dokumenten, die unterschiedlichen Status und Format haben. Am wichtigsten ist für mich (P.S.) ISO 17799 und das bundesdeutsche Grundschutzhandbuch, bzw. die österreichische Variante davon. Mehr zu diesem Thema unter Best-Practise, wo auch ITIL und CoBIT kurz dargestellt werden.

 

Critical Success Factors nach ISO 17799

Am Schluss dieses ISO Standards werden auch einige Grundlagen genannt, ohne die eine umfassende Sicherheitspolicy in einem Unternehmen nicht implementiert und vor allen Dingen „gelebt“ werden kann.

Diese sind

 

Zurück zum Inhaltsverzeichnis

 

 

Der Umgang der Mitarbeiter mit betrieblichen Informationen - Benutzerpolicy - Benutzerrichtlinien

Autor: Philipp Schaumann

Dieser Teil der Informationssicherheitspolicy richtet sich an alle Mitarbeiter, entweder in ihrer Rolle als Nutzer der IT, aber auch in ihrer Rolle als Mitarbeiter, die Zugang zu internen Informationen haben, und sei es nur das Telefonverzeichnis oder die Gerüchte beim Mittagessen. Auch Mitarbeiter, die keinen Computer benutzen, können Firmengeheimnisse verraten, aus Versehen oder als Opfer von geschicktem Social Engineering).

Dieser Teil regelt, wie die Anwender die EDV-Systeme einsetzen sollen, bzw. noch allgemeiner, wie ALLE Mitarbeiter mit Informationen umgehen sollen. Das heißt, hier steht drin, was die Mitarbeiter dürfen und was sie nicht dürfen.

Menschen lassen sich aber nur sehr ungern etwas verbieten. Aber manchmal muss es eben sein. Leider geht es hier um gewisse Privilegien und da ist es recht leicht, Empfindlichkeiten zu wecken. Regeln schränken ein, sie mindern meine Freiheit, meine Entfaltungsmöglichkeiten, meinen Status und mein Selbstwertgefühl.

Internetzugang, möglichst unkontrolliert, E-Mail-Nutzung, auch privat, werden von den meisten Mitarbeitern als Privilegien verstanden, die sie nur sehr ungern hergeben. Ebenso die sog. "Admin-Rechte" auf den Windows Systemen der Benutzer, d.h. das Recht, selbstständig Software zu installieren. Wenn dieses Privileg genommen wird, dann stellen Viren, Würmer und Trojaner [siehe Glossar der Informationssicherheit (pdf, 630KB)] nur noch eine viel kleinere Gefahr dar.

Die Durchsetzbarkeit von Regeln setzt Verständnis und Bereitschaft von Seiten der Mitarbeiter voraus. Dies zu erreichen kann ein langwieriger Weg sein. Der wichtigste Aspekt ist sicher die Vorbildwirkung des Managements. Nur wenn das Management sichtbar bereit ist, sich auch an die Regeln zu halten, kann ich eine entsprechende Bereitschaft in der Belegschaft erwarten.

An anderer Stelle finden sich daher einige Gedanken zur Problematik Psychologie von Benutzerrechten (PDF, 271 KB) und ausführliche Vorschläge, wie eine Umsetzung geplant und durchgeführt werden kann.

Die Durchsetzbarkeit von solchen Regeln setzt auch voraus, dass sie praktikabel sind. Wenn Sie z.B. sagen, dass Passworte nicht weitergegeben werden können, dann müssen Sie gleichzeitig geeignete Regeln aufstellen, wie im Krankheitsfall oder anderen Abwesenheiten mit den Daten und den E-Mails der abwesenden Mitarbeiter verfahren werden soll.

In den Benutzerregeln wird z.B. auch definiert, in welchem Umfang die Rechner der Firma für private Zwecke (E-Mail, Internetnutzung) genutzt werden können. Ein vollständiges Verbieten der Privatnutzung ist vermutlich in Österreich nur dann durchzusetzen, wenn den Mitarbeitern Alternativen, z.B. ein Internet-Café im Pausenbereich, angeboten werden. Mehr dazu im Juristischen Teil.

Auch werden in den Benutzerrichtlinien die Virenschutzaspekte beschrieben, die für den Endbenutzer relevant sind, so z.B. dass keine Attachments geöffnet werden, die nicht klar zu identifizieren sind.

Weiters wird erklärt, in wie weit eine Nutzung von Privatgeräten (z.B. PDAs) erlaubt ist.

Die Benutzer müssen auch über den Umgang mit Copyright-Fragen aufgeklärt werden. Das Herunterladen von Raubkopien ist nicht nur illegal, sondern auch mit erheblichen Sicherheitsproblemen verbunden (die sind nämlich heute fast alle infiziert, z.B. mit sog. Trojanern die Passworte ausspähen und weitermelden, oder zumindest mit Werbeprogrammen, die ständig neue Werbefenster öffnen und dadurch nerven.

Ein ausdrücklicher Hinweis auf die Vertraulichkeit von Firmen- und Kundendaten kann in diesem Zusammenhang nicht schaden, auch nicht ein Hinweis auf gesetzliche Bestimmungen.

Viele Firmen weisen auch explizit auf die Konsequenzen von Verstößen gegen die Sicherheitspolicy hin.

Es kann auch sehr sinnvoll sein, eigene oder erweiterte Richtlinien für Administratoren einzuführen (z. B. was darf/muss man mit persönlichen Daten machen, die einem aus technischen Gründen bekannt werden).

 

Wie kann man einfache Passworte sicherer gestalten?

Ein weiteres wichtiges Thema der Benutzerrichtlinie sind Passwortregeln. Im Rahmen der Sicherheitsrichtlinien und der Schulungen muss den Mitarbeitern erklärt werden, wie ein gutes Passwort aufgebaut ist. Hier einige "Tricks", wie der Anwender ein Passwort erstellen kann, das sowohl einfach zu merken ist, aber doch auch sicher.

An anderer Stelle erkläre ich, Wie man aus schwachen starke Passworte erzeugt.

Mehr Beispiele zu sicheren Passworten gibt es auch in diesen Slides zum Thema Passworte (PDF, 91 KB) und dann gibt es noch eine ganze Seite von mir zum Thema Passworte. Dort gibt es Statistiken zu Benutzer-Passworten, Berichte über die Vorfälle der letzten Jahre bei denen Benutzernamen und Passworte entwendet wurden, Tipps für Web-Entwickler und auch für Internetnutzer zum Thema "sichere Passworte" (speziell dabei die Empfehlung Passwort-Safes zu nutzen).

 

Benutzersensibilisierung

Glauben Sie eigentlich, dass die Mitarbeiter Ihres Unternehmens motiviert sind, Sicherheitsprobleme zu berichten? Ob das der Fall ist hängt von ihrer Unternehmenskultur ab und ob die Mitarbeiter glauben, dass so etwas der eigenen Karriere förderlich wäre. Tatsache ist, dass die meisten Mitarbeiter (evt. sogar zu recht) davon ausgehen, dass es nicht gut ist, Probleme im Unternehmen aufzuzeigen.

Wenn diese Fragen für Sie von Interesse sind, so gibt es hier noch mehr Details zu Business Ethik und Trainingsvorschläge zu Informationssicherheit und Benutzersensibilisierung.

Alle diese Regeln bilden auch die Grundlage der Mitarbeiterschulungen in Bezug auf Informationssicherheit. Dafür ist es wichtig, dass Sie die Regeln in eine Form bringen, die auch vermittelbar ist, also keine langen konvoluten Textformulierungen in juristischer Diktion, sondern knackige klare Formulierungen. Solche vermittelbaren Formulierungen lassen sich oft am besten in Workshops mit Anwendern selbst finden. In diesem Zusammenhang ist es auch psychologisch gut, wenn die Mitarbeiter diesen Teil durch Unterschrift zur Kentntnis nehmen.

 

Schutz gegen Social Engineering Angriffe

Dieser Text findet sich jetzt separat unter Social Engineering.

 

Zurück zum Inhaltsverzeichnis

 

 

Technische Sicherheitsinfrastruktur

Autor: Christian Reiser

Anmerkung: Zu allen diesen Themen gäbe es auf technischer Ebene noch viel mehr zu sagen. Die Zielgruppe dieses Textes sind technische Laien. Falls doch noch Begriffe unverständlich bleiben, so empfehle ich das Glossar der Informationssicherheit (pdf, > 550 KB).

Die Unterkapitel

Firewall

Sobald man ein firmeninternes Netzwerk, ein LAN, am Internet anschließt, ist das Minimum an technischen Sicherheitsvorkehrungen auf jeden Fall der Einsatz einer Firewall. Dabei ist es unerheblich, ob dieser Anschluss über ISDN, ADSL, ein Kabelnetz oder eine Standleitung erfolgt.

Der Firewall kontrolliert den Verkehr mit dem Internet:
Internet - Router - Firewall - internes Netz

Eine Firewall ist ein Gerät, das nur einen klar definierten Datentransport zwischen internem Netzwerk und dem Internet zulässt, wobei auf einer Firewall keines der Standard-Betriebssysteme installiert sein darf. Eine Firewall muss entweder mit einem speziell für Firewalls entwickelten oder zurechtgeschneiderten Betriebssystem laufen oder sollte überhaupt kein Betriebssystem haben.

2015: Hier der Link zu aktuellen Texten über Firewalls und andere Technologien zum Schutz von Netzwerken: Defensible network architecture

Der Grund dafür ist sehr einfach. Alle Standard-Betriebssysteme beinhalten viel mehr Funktionalität, als eine Firewall je braucht. Jede zusätzliche Funktionalität bedeutet auch zusätzliche Programme, und jedes zusätzliche Programm bringt weitere Programmfehler (Bugs) auf das System. Geht man davon aus, dass zusätzliche Bugs auch zusätzliche sicherheitskritische Fehler bedeuten - und davon muss man ausgehen - so bedeutet weniger Funktionalität auf der Firewall auch weniger Risiko, sicherheitskritische Fehler auf der Firewall zu haben.

Die Firewall steht zwischen dem internen Netzwerk und dem Internet, um wie ein Portier zu überprüfen, ob wirklich nur berechtigte Verbindungen aufgebaut werden. Das bedeutet aber auch, dass es keine anderen Wege zwischen den beiden Netzen geben darf, da diese sonst die Sicherheitsvorkehrungen der Firewall umgehen würden.

Weiters darf es im internen Netz natürlich auch keine Einwahlmodems oder Modems geben, mit denen man sich ins Internet einwählen kann. Die einzigen erlaubten Modems sind solche, die ausschließlich für Fax verwendet werden können.

Zu beachten ist noch, dass eine klassische Firewall nicht die Inhalte der transportierten Daten überprüft. Sie schaut nicht darauf, ob in den Daten Viren, Trojaner oder andere böse Software enthalten sind, und überprüft auch nicht, ob unerwünschte Wörter vorkommen. Es gibt zwar das ein oder andere Produkt, dass rudimentäre Überprüfungen durchführen kann, aber eigentlich ist die Überprüfung der Inhalte Aufgabe des Content-Security-Systems.

Aber Achtung ! ! ! Schlecht oder falsch konfigurierte Firewalls (PDF) sind leider auch in Großunternehmen die Regel, wie eine isrealische Studie zeigt.

Web-Server

Der Web-Server sollte entweder extern oder in einer DMZ stehen, nie jedoch im internen Firmennetz

Es gibt vier Netzwerkbereiche, wo man einen Web-Server anschließen kann. An einem weiteren Interface der Firewall, im Netzwerkbereich zwischen Firewall und externem Router, an einem weiteren Interface des Routers oder bei einem Provider.

2014: Mittlerweile ist auf Grund der 2014 bekannt gewordenen Schwächen in einigen Verschlüsselungsalgorithmen (siehe Snowden Enthüllungen) das Konfigurieren der Verschlüsselung eines Webservers nicht mehr so einfach. Hier ein OpenSSL-Cookbook.

Ebenfalls sehr empfehlenswert sind die ENISA Hilfestellungen: ENISA guidelines on Cryptographic solutions.

Grundsätzlich ist es wohl am vernünftigsten, die Web-Seiten zu einem Provider auszulagern. Damit wird nicht nur die eigene Internetanbindung, sondern auch die hausinterne Computer-Infrastruktur entlastet. Außerdem ist der Web-Server sehr oft beim Provider besser mit Notstrom und Klima versorgt und mit einer schnelleren Verbindung ans Internet angebunden.

Trotzdem gibt es besonders bei den EDV-Technikern immer wieder die Tendenz, dass sie ihre Babies (Rechner) bei sich haben wollen. Sollte der Web-Server wirklich in den eigenen Rechnerräumlichkeiten stehen, so kann er an einem weiteren Interface des externen Routers, im Netzbereich zwischen Router und Firewall oder an einem Interface der Firewall angeschlossen werden (solche Bereiche wurden früher oft DMZ genannt). Von der reinen technischen Sicherheit ist das ziemlich egal, allerdings bringt ein Anschluss an der Firewall den Vorteil des besseren Loggings (Mitschreiben der Vorgänge) und daher auch des einfacheren Erkennens von Einbrüchen.

Es gibt genau eine Stelle, wo ein externer, öffentlicher Web-Server sicher nie angeschlossen werden darf: im internen Netzwerk. Es gab immer wieder Fehlfunktionen in der Web-Server-Software, die es einem Hacker erlaubt haben, über den eigentlichen Web-Port Zugriff auf den Web-Server zu bekommen. Dagegen konnten auch keine Firewalls helfen. Von einem so gehackten Web-Server konnte man sich dann zu anderen Rechnern weiterbewegen. Wäre so ein Server im internen Netzwerk, hätte der Hacker Zugriff auf alle anderen internen Rechner, und damit zu allen elektronischen Geheimnissen.

Hier weitere Aspekte zum Thema Sicherheit eines Web-Servers.

Virtuelles privates Netzwerk (VPN)

Ein VPN ermöglicht bei korrekter Konfigurierung einen sicheren Kommunikationskanal durch das unsichere Internet

Jedes Unternehmen steht heute vor der Herausforderung, Außendienstmitarbeitern, Mitarbeitern auf Reisen und Heimarbeitsplätzen Zugang zu Firmenanwendungen, zum Beispiel E-Mail, zu ermöglichen. Eine beliebte Methode dafür stellt das VPN dar. Dabei wird die Verbindung zum firmeneigenen internen Netzwerk über das Internet realisiert.

Damit sind zwei wichtige Sicherheitsfunktionen abgedeckt. Einerseits muss gewährleistet sein, dass die transportierten Daten nicht abgehört werden können, viel wichtiger ist aber andererseits, dass wirklich nur berechtigte Personen den Zugriff in das interne Netzwerk bekommen, und ein Hacker nicht vorspielen kann, er sei so eine berechtigte Person.

Bei dem Einsatz eines VPNs wird der Computer des externen Mitarbeiters mit einem sogenannten VPN-Client ausgestattet. Das ist ein Stück Software, das sich einerseits um die Authentifizierung des Benutzers, andererseits um die Verschlüsselung der transportierten Daten kümmert. Auf der Firewall der Zentrale wird das entsprechende Gegenstück installiert.

Will der externe Mitarbeiter nun auf interne Daten zugreifen, so startet er seinen Computer und baut eine Verbindung zum Internet auf. Im nächsten Schritt authentifiziert er sich der VPN-Software gegenüber und hat dann die gleichen Zugriffsmöglichkeiten, als wäre er im internen Netzwerk angeschlossen. Bei manchen Produkten ist es auch möglich, einem Mitarbeiter, der sich über VPN ins interne Netz verbindet, eingeschränkter Zugriffsrechte zu geben.

Man sollte jedoch beachten, dass der Computer des externen oder mobilen Mitarbeiters außerhalb des Firmennetzes nicht von der Firmenfirewall geschützt ist. Das erfordert den Einsatz einer Personal Firewall auf seinem Rechner. Allerdings darf der Benutzer die Sicherheits-Levels nicht verringern oder die Firewall-Funktionalität abschalten. Es gibt auch VPN-Clients, die zumindest während einer offenen VPN-Verbindung zur Firma jeden weiteren Datenverkehr mit dem Internet unterbinden. Dies behindert zwar das Arbeiten ein wenig, bietet aber dafür erhöhten Schutz.

Allerdings darf nicht auf die Gefahr des Verlusts eines Laptops vergessen werden. Insbesondere reisende Mitarbeiter der Geschäftsleitung haben sehr oft sensible Daten auf der Festplatte ihres Laptops. Kommt dieses Gerät abhanden, so sind weder BIOS-Passwort noch das Passwort des Betriebssystems ein ausreichender Schutz. Die Festplatte kann ausgebaut und in einen anderen Computer eingebaut werden. Dort sind dann alle Daten zugänglich. Der einzige Schutz dagegen stellt die Verschlüsselung von Files, ganzen Plattenbereichen oder überhaupt der gesamten Festplatte dar.

Auch Außenstellen können mittels VPN sicher angeschlossen werden

Anbindung von Außenstellen

Will man Außenstellen mit dem LAN der Zentrale verbinden, so kann man auch dies über das Internet realisieren. Dazu verwendet man die gleiche Technologie, wie sie auch für die externen Mitarbeiter eingesetzt wird, nämlich Virtuelle Private Netzwerke (VPN).

Im Idealfall setzt man auch in der Außenstelle eine Firewall ein, und baut einen verschlüsselten, authentifizierten Kanal zwischen dieser und der Firewall der Zentrale auf. Die Sicherheit der transportierten Daten und dass sie wirklich aus der Außenstelle kommen, ist somit gewährleistet.

Man muss allerdings ein paar andere Aspekte beachten. Die Sicherheit eines derartigen Gesamtnetzes ist so hoch, wie die Sicherheit der schwächsten Außenstelle. Auch dort gilt es, die physische Sicherheit und die Sicherheit des lokalen Personals (inklusive Hausmeister und Reinigung) zu beachten.

Einbindung von Content-Security

Einige Firmen, die für ihre Mitarbeiter Internetanschlüsse zur Verfügung stellen benutzen Software die nach Themen oder Wörtern sucht, die anzeigen, dass Web Sites besucht werden, die sicher nicht für die Arbeit relevant ist. Diese Seiten sollen dann gesperrt werden, typischer Weise mit der Begründung, das die Mitarbeiter ihre wertvolle Arbeitszeit nicht vergeuden sollen.

Derartige Systeme zum Sperren von Web-Seiten sind eine technische Lösung für ein Management-Problem, die nur eingeschränkt wirksam ist. Wenn Mitarbeiter nicht arbeiten (wollen) und ihre Zeit mit Web-Surfen verbringen, dann werden sie ohne Web-Surfen einen anderen, vielleicht unauffälligeren Zeitvertreib während der Arbeit finden. Man sollte auch nicht den Motivations-Wert von ein paar Minuten Surfen zur Entspannung unterschätzen. Jedenfalls bringt der Einsatz derartiger Systeme in der Regel eine Einsparung an Bandbreite auf der Verbindung zum Internet.

Will man derartige Sperrsysteme einsetzen, weil Mitarbeiter auf gar keinen Fall Zugriff zu bestimmten Daten haben dürfen, so funktioniert das nur eingeschränkt. Es gibt Studien, die deutlich besagen, dass derartige Filter nicht mehr als 80% des unerwünschten Materials erkennen, und damit sperren können. Sehr oft wird es dann zum firmeninternen Sport mancher Mitarbeiter Material zu finden, das eigentlich gesperrt sein sollte, und von Zeit zu Zeit haben sie Erfolg.

Eine recht unangenehme Form von unerwünschten Inhalten stellen unerwünschte (Massen-)E-Mails dar, die in Österreich auch illegal sind. Derartiger Spam kostet Zeit der Mitarbeiter, Bandbreite und Plattenplatz.

Sogenannte Spam-Filter, wie sie zum Beispiel als Zusatzprogramme für Mail-Server oder Viren-Scanner angeboten werden, sind aber nur eingeschränkt hilfreich. Sie versuchen durch bestimmte Merkmale in der E-Mail zu erkennen, ob es sich dabei um Spam handelt, oder nicht. Der Benutzer läuft dabei aber immer Gefahr, dass auch legitime Mails als Spam qualifiziert werde.

Sinnvoller ist es, den Mail-Server so zu konfigurieren, dass er Mails von Systemen mit bestimmten Eigenschaften oder von Rechnern, die auf einer der Spam-Listen aufscheinen, nicht annimmt. Je nach Server-Software ist das ohne zusätzlichen Kosten für Software möglich.

[Mehr zum Thema Spam aus der Sicht der Endbenutzer befindet sich in den Tipps für Heim-PCs und Apple Rechner. Mehr Hintergrund zum Thema Spam findet sich hier auf der Website. P.S.]

Intrusion Detection Systeme (IDS)

Vergleicht man die bisher beschriebenen technischen Netzwerk-Sicherheitsvorkehrungen mit der Alarmanlage eines Hauses, so stellen sie Glasbruch-Melder oder Tür-Öffnungs-Melder dar. Wer diese Barriere überwunden hat, wird nicht mehr erfasst. Genauso werden Angreifer, die innerhalb Ihres internen Netzwerkbereiches agieren, auch nicht erkannt.

Der nächste logische Schritt ist daher eine Überwachung des internen Netzwerks mit einem sogenannten Intrusion Detection System (IDS). Diese Systeme kennen ähnlich wie Virenscanner Muster, die sie als böse identifizieren und Alarm schlagen. Allerdings suchen sie diese Muster nicht in Files oder E-Mails, sondern am Netzwerk. Sie arbeiten entweder wie Sniffer, die am LAN mitlauschen, welche Datenpakete übertragen werden, oder sind auf den Netzwerkkomponenten wie Server, Router und Clients installiert, um hier verdächtige Aktivitäten zu erkennen.

Intrusion Detection Systeme können allerdings nur dann sinnvoll eingesetzt werden, wenn vorher genau definiert ist, was im LAN erlaubt und verboten sein soll, und wenn es Personal gibt, das auf vom IDS generierte Alarme entsprechend reagieren kann. Die laufenden Änderungen der Anforderungen an die Hard- und Software im firmeninternen Netzwerk führen auch dazu, dass das IDS immer wieder angepasst wird. Dadurch ist der Einsatz derartiger Systeme durchaus wartungsintensiv, was dazu führt, dass derzeit noch viele Organisationen davor zurück schrecken.

An anderer Stelle behandele ich das Thema WLAN im privaten Bereich

Spezialaspekt WLAN

Aktualisiert 2016

Wireless LAN ist eine sehr praktische Technologie. Durch die Erweiterung des internen Netzwerkes über Funk spart man sich das Verlegen von Kabeln und ist mobil. Allerdings kann es signifikante Sicherheitsprobleme bringen. Ganz wichtige Grundregel: WLAN-Netze, die für Privatgeräte, z.B. Gäste oder auch die Smartphones der Mitarbeiter genutzt werden, dürfen nie direkt in das Firmennetz führen. Zwischen dem WLAN und dem Firmennetz muss IMMER ein Gateway ligen, auf dem sich der WLAN-Nutzer sicher authentisieren muss. Es ist nämlich nur mit sehr großen Aufwand möglich, eine WLAN wirklich sicher zu implementieren (Stichwort ist z.B. X.509-basierte Zertifikate auf den Firmengeräten und dann IEEE 802.1X im Access Point).

Was sind denn eigentlich Access Points, SSIDs, WiFi, etc.?

Die Sicherheit von WLAN
Der heute (2016) verwendete Verschlüsselungsstandard WPA2 ist eigentlich ziemlich sicher. Bei korrekter Installation sind Angriffe nur mit erheblichen Aufwand möglich. Aber oft werden die im WLAN vorhandenen Sicherheitsvorkehrungen nicht aktiviert (oder falsch konfiguriert, z.B. zu kurze und
leicht zu knackende Schlüsselworte verwendet, bzw. diePassworte für die im Gerät voreingestellt sind, nicht geändert), und jeder, der im Funkbereich ist (und das nötige Know-How hat), kann sich dann in das interne Netz verbinden und hat dann oft Zugang zu den Rechnern des Unternehmens. Damit kann er (falls das Firmennetz direkt mit dem WLAN verbunden ist, auf andere, eigentlich durch eine Firewall geschützte Rechner zugreifen, oder den Mail-Server verwenden, um Spam zu versenden.

Viele interessante Infos zu WLAN finden sich auf NetStumpler. Auf der Titelseite (Stand 2016) ist eine sehr schöne Animation, die zeigt, warum es oft so schwierig ist, für einen Access Point eine Stelle in der Wohnung (oder Büro) zu finden, an der überall Empfang ist. Dies zeigt, dass für die Ausstattung eines Büros oder einer Firma spezialsierte Firmen anzuraten sind, die über ihre Messgeräte in der Lage sind, die optimalen Positionen für die Access Points optimal zu planen.

Ursprünglich war es notwendig, dass zum Knacken einer verschlüsselten WLAN-Verbindung (d.h. zum Eindringen in das WLAN-Netz) das Gerät aktiv sein muss, d.h. es mussten viele Daten fließen. Es gibt eine Reihe von Tools, die Daten-Pakete sammeln und wenn genügend Daten beobachtet wurden (ca. 3 Mb) eine Entschlüsselung beginnen, z.B. über eine brute force attack mit einem Programm wie unsichere Verschlüsselung knacken.

Fazit zu WLAN

Neuere Geräte verwenden den verbesserten WLAN-Standard WPA2. Wireless LAN kann man sicherer machen, wenn man den Access Point in ein eigenes Interface der Firewall einbindet (bzw. ein VLAN-Segment dafür einrichtet) und ihn nur in Verbindung mit einem Gateway und dann über eine Verschlüsselung durch einen VPN-Kanal in das wirkliche Fimennetz lässt. Außerdem gehört in ein Firmen-WLAN eine spezielle WLAN-Intrusion Prevention Funktionalität, die in der Lage ist, z.B. Fake-Access Points (die die SSID des korrekten Netzes imitieren) zu erkennen und aktiv zu stören. Außerdem muss das Netz so konfiguriert sein, dass auf Layer 2 eine Separierung der einzelnen Nutzer-Geräte erfolgt, d.h. dass keine ARP-basierten Angriffe auf diesem Netz möglich sein dürfen.

Eine systematische Vorgehensweise zur Absicherung von WLANs findet sich auf der Website des bundesdeutschen BSI.

 

Zurück zum Inhaltsverzeichnis

 

 

Web Security: Wie mache ich einen Webserver sicherer?

Autor: Philipp Schaumann

2013: Eine interessante Initiative in Deutschland: Unternehmen können ihren Webauftritt automatisiert kostenlos gegen gewissen Unsicherheiten testen: Initiative-S. Initiative-S ist ein Projekt der 2011 eingerichteten Task Force "IT-Sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Technologie.

An anderer Stelle erkläre ich, warum auch scheinbar unkritische Webauftritte, z.B. mit mehr oder weniger öffentlichen Inhalten, der gleichen Sorgfalt bedürfen wie Webauftritte mit vertraulichen oder kritischen Daten, z.B. ein Webshop.

Eine längere Anleitung für die Absicherung von Systemen für eCommerce-Anbieter (d.h. Webshops) hat das bundesdeutsche BSI veröffentlicht (PDF).

Im Kapitel “Netze” wird ausführlich besprochen, wo innerhalb der IT-Landschaft ein Webserver am besten platziert werden sollte. Daneben gibt es aber noch eine Reihe von anderen Aspekten, die für die Sicherheit von Webservern wichtig sind. Studien zeigen, dass Angriffe auf Websites immer professioneller werden und dass die Angreifer dabei sogar Suchmaschinen ausnutzen, um verwundbare Sites zu finden (z.B. mit älteren Versionen von PHP). Die Hauptreferenz für alles was mit der Sicherheit und der korrekten Programmierung von Websites zu tun hat findet sich bei der OWASP-Organisation. Die Website gibt einen guten Überblick über die wichtigsten Probleme der Web-Programmierung, z.B. SQL-Injection, Cross-Site-Scripting (XSS), etc.

Ein Webserver soll normalerweise für alle Internetbenutzer verfügbar sein. Dies bedeutet, dass er an einer relativ exponierten Stelle positioniert sein muss (aber natürlich immer hinter einem Firewall oder durch Filterregeln im Router abgesichert). Der Webserver ist dadurch immer einer der ersten Angriffspunkte von externen Hackern. Um mich dagegen zu schützen muss ich z.B. dafür sorgen, dass dieser Rechner keine der bekannten Schwachstellen hat. Von diesen Schwachstellen werden täglich neue entdeckt. Um informiert zu sein muss sich der zuständige Administrator auf entsprechende Verteiler setzen lassen (z.B. US-CERT, bzw. näher bei us: CERT.AT, dort kann man sich auf einen sehr empfehlenswerten täglichen Newsletter setzen lassen). Wenn neue Patches zur Verfügung stehen, so müssen diese auf dem Webserver so bald wie möglich implementiert werden. Daneben muss ich dafür sorgen, dass die Verzeichnisse mit Programmbeispielen und nicht benötigte Benutzeraccounts entfernt werden.

Auf keinen Fall sollten vertrauliche Daten, z.B. die Anmeldedaten von registrierten Benutzern oder gar Kreditkarteninformationen auf dem Webserver selbst gespeichert werden. Die korrekte Implementierung einer solchen Datenbank ist immer außerhalb der ersten DMZ mit dem Webserver. Dies kann in einer zweiten DMZ sein, oder auch im internen Netz selbst. Der Webserver selbst greift dann kontrolliert auf die Daten zu und selbst bei einem Einbruch in den Webserver sind die Daten noch immer nicht exponiert.

An anderer Stelle gibt es ganz viel zu den (aktuellen, 2012 / 2013) Herausforderungen im Bereich HTTPS.

Ein ganz wichtiger Punkt dabei ist, dass zumindest das Login, die Möglichkeit der Passwort-Rücksetzung bei Vergessen und die Passwortänderungsseite mittels HTTPS abgesichert werden müssen. Wenn man aber bereits so weit ist, dass man sowieso ein SSL-Zertifikat braucht, dann kann man auch den ganzen Inhalt der Website mittels HTTPS anbieten, der zusätzliche Resourcen-Aufwand ist minimal und die Programmierung wird sogar einfacher, wenn alle Inhalte mittels HTTPS ausgeliefert werden.

Wenn es wichtig ist, dass der Inhalt des Webservers auf keinen Fall unbefugt verändert wird, so kann man einen 2. Server implementieren, der eine Kopie aller Daten des Webservers enthält und ständig überprüft, ob jemand auf dem Webserver Veränderungen vorgenommen hat. Falls ja, so werden die Änderungen einfach überschrieben. Kommerzielle Software zu diesem Zweck ist erhältlich.

Aber auch auf ganz anderem Wege kann ein Webserver vertrauliche Daten verraten, nämlich wenn einer der Mitarbeiter aus Versehen oder durch Unbedachtheit solche Informationen ganz offiziell auf der Website zur Verfügung stellt. Dies können z.B. Presseerklärungen sein, die schon vor dem Veröffentlichungsdatum öffentlich verfügbar sind. Um dies zu verhindern sollte der Webserver ein Content Management System enthalten, wo jede Veröffentlichung einer formalen Genehmigung bedarf und mit einem Embargodatum versehen ist.

Speziell wenn der Webserver eine interaktive Funktionalität bietet, z.B. einen Warenkorb oder eine Möglichkeit zur Online-Bestellung, so gibt es vielfältige Angriffsmöglichkeiten auf einen solchen Webserver. Noch in Link: bei dem Kongress des Chaos Computer Clubs in Dez. 2004 wurde ein Vortrag gehalten, wie ein Hacker über Google verwundbare Webserver (pdf) findet.

Ein guter Artikel zu dem Unterthema XSS (cross-site scripting) befindet sich bei joelonsoftware.com. Bei XSS handelt es sich um das leider sehr häufige Problem, dass ein Web-Server eine Kundeneingabe ungeprüft wieder ausgibt. Beispiel: eine Website hat ein Gästebuch und was ein Benutzer dort einträgt, wird allen anderen Benutzern angezeigt. Wenn jetzt der erste Benutzer bösartig ist, so gibt er dort HTML-Code oder Javascript ein und auch das wird den anderen Benutzern präsentiert. Auf diese können die anderen Benutzer auf andere Websites geschickt werden, auf die sie nie wollten und dort evt. infiziert werden oder es können die Cookies ausgelesen und an den Autor des Codes weitergegeben werden. eBay hat(te) ein solches Problem, dass nämlich Anbieter in den Beschreibungen ihres Angebotes auch "bösen" HTML-Code eingeben können/konnten. Die erste Reaktion von eBay, das eben einfach zu verbieten - nun ja. Besser ist es, dass alles was die Benutzer eingeben auf Korrektheit überprüft wird und dass sichergestellt wird, dass kein "böser Code" dabei ist, ein leider recht mühsamer Schritt, aber notwendig.

Genauso gefährlich ist, wenn Benutzereingaben direkt in Systemkommandos eingesetzt werden. In diesem Fall kann der Code den der Benutzer eingibt, direkt auf der Maschine ausgeführt werden, und dabei z.B. Datenbankabfragen oder Systemkommandos durchführen.

Das Spezialthema der Implementierung der Benutzerverwaltung mit Passwort-Hashing gibt es unter diesem Link.

Weitere juristische Aspekte beim Betrieb eines öffentlichen Webservers werden im juristischen Kapitel angesprochen.

Microsoft bietet auf seiner Website sehr gute Tipps bezüglich einer Risikomanagement Vorgehensweise ("Threat Modelling"), die dort an Hand einer Web-Applikation erklärt wird. Hier die Liste der Bedrohungen einer Web-Anwendung und hier die detaillierte Vorgehensweise, die zu so einem Ergebnis führen könnte.

 

Zurück zum Inhaltsverzeichnis

 

 

Kryptographie - Die Kunst der Verschlüsselung

Autor: Christian Reiser

Die Unterkapitel

Die Kryptographie - die Kunst, Inhalte für unberechtigte Dritte zu verbergen - ist schon über 5000 Jahre alt. Bereits von den alten Ägyptern ist überliefert, dass sie spezielle "verschlüsselte" Hieroglyphen hatten. (Literaturhinweis "Geheime Botschaften", Simon Singh, übersetzt von Klaus Fritz, 2. Auflage, Deutscher Taschenbuch Verlag 2002, ISBN 3-423-33071-6).

[Eine sehr gute Einführung in Die Mathematik hinter symmetrischen Verschlüsselungsverfahren hat Susan Landau geschrieben (ich habe zumindest kleine Teile davon verstanden, englisch). P.S.]

[Hier eine kleine Sammlung von Links zum Thema Der erste Link zu einer Java Animation der legendären Verschlüsselungsmaschine Enigma (englisch). Noch mal Enigma-Animation (französisch) und wieder Enigma (englisch) und zum letzten Mal Enigma (englisch). P.S.]

Historisch gesehen steht die Kryptographie nicht allein. Sie war immer begleitet von der Kryptologie, der Kunst, verschlüsselte Botschaften zu knacken. Der Wettlauf zwischen diesen beiden Künsten stellt dabei fast einen Krimi dar.

Für moderne Verschlüsselungsalgorithmen gelten folgende Paradigmen:

  • Sie arbeiten nicht mit Buchstaben, sondern mit Zahlen, die umgerechnet werden, oder einfach mit als Zahlen interpretierten Textmuster. Die Schlüssel sind auch digitale Bitfolgen.
  • Gute Algorithmen sind offen gelegt, und jeder kann wissen, wie sie funktionieren.
  • Die Sicherheit des Algorithmus liegt ausschließlich im Schlüssel. [Dies wird als Kerckhoffs' law bezeichnet. Sein klassischer Text ist La cryptographie militaire aus dem Jahr 1883 - P.S.]
  • Jeder kann wissen, wie ein Algorithmus geknackt werden könnte, nur ist der Aufwand für das Knacken ohne Schlüssel so hoch, dass er sich nicht auszahlt.
  • Im Sicherheitskonzept werden dem Gegner umfassende Fähigkeiten zugestanden: Er ist in der Lage jede Nachricht abzufangen, zu verändern und wiederholt einzuspielen. Bei manchen Überlegungen geht man sogar davon aus, dass der Gegner eine Nachricht im Original und in verschlüsselter Version hat, oder noch strenger, dass der Gegner (beliebig viele) Nachrichten seiner Wahl vorlegen kann, und diese verschlüsselt wieder bekommt. Trotzdem darf es nicht möglich sein, daraus auf den Schlüssel zu schließen.

Verschlüsselungsverfahren - symmetrisch und asymmetrisch

Derzeit sind zwei unterschiedliche Gruppen von Algorithmen im Einsatz, die symmetrischen und die asymmetrischen.

Bei symmetrischen Algorithmen wird der selbe Schlüssel zum Verschlüsseln wie zum Entschlüsseln verwendet. Das bringt gewisse Probleme im Zusammenhang mit der Schlüsselverwaltung. Zunächst muss der verwendete Schlüssel sicher vom Sender zum Empfänger gebracht werden. Dazu kann man nicht das Kommunikationsmedium verwenden, das man absichern möchte. Daher müssen diese Schlüssel im Extremfall sogar mittels sicherem Boten transportiert werden.

Verwenden mehr als zwei Teilnehmer einer Kommunikation symmetrische Verschlüsselung, entstehen noch weitere Schwierigkeiten. Wird der Schlüssel eines der Teilnehmer kompromittiert so muss man davon ausgehen, dass dieser Schlüssel dem Gegner in die Hände gefallen sein könnte. Damit ist nicht nur die Kommunikation mit diesem Teilnehmer gefährdet, sondern die aller anderen in dieser Gruppe auch.

Und innerhalb der Gruppe kann es auch zu Schwierigkeiten kommen. Da alle Teilnehmer den selben Schlüssel verwenden, kann man aufgrund der Kryptographie nicht unterscheiden, welcher Teilnehmer eine Nachricht verfasst hat. Innerhalb der Gruppe könnte jeder behaupten, ein anderes Mitglied zu sein.

Die Nachteile im Schlüsselhandling werden aber durch höhere Geschwindigkeit und deutlich kürzere Schlüssel als bei den in der Folge beschriebenen asymmetrischen Algorithmen wett gemacht.

Bei asymmetrischen Algorithmen hat jeder Teilnehmer ein eigenes Schlüsselpaar. Diese zwei Schlüssel stehen so in einem mathematischen Zusammenhang, dass zwar der eine Schlüssel nicht aus dem anderen errechnet werden kann, dass aber alles, was mit dem einen Schlüssel verschlüsselt wird, nur mit dem anderen Schlüssel wieder lesbar gemacht werden kann. Der eine Schlüssel wird möglichst weit publik gemacht, zum Beispiel über Web-Seiten oder spezielle Key-Server, der andere sehr gut geheim gehalten.

Susi und Erich kommunizieren mittels Public Key Verschlüsselung

Wollen nun Susi und Erich miteinander kommunizieren, wobei Susi die Nachricht sendet, und Erich sie empfängt (siehe auch Graphik), so verwendet Susi Erichs öffentlichen Schlüssel, um die Informationen zu verschlüsseln. Erich ist der einzige, der den zugehörigen geheimen Schlüssel hat, und somit der Einzige, der die Nachricht wieder lesbar machen kann. Nicht einmal Susi selbst kann die verschlüsselte Nachricht wieder entschlüsseln.

Mit asymmetrischen Algorithmen lässt sich aber noch zusätzliche Funktionalität realisieren. Nehmen wir an, Susis Nachricht braucht nicht geheim zu bleiben, aber es ist wichtig, dass man überprüfen kann, ob die Nachricht wirklich von Susi ist. In diesem Fall "verschlüsselt" Susi ihre Nachricht mit ihrem geheimen Schlüssel. Jeder, der diese Nachricht mit Susis öffentlichen Schlüssel wieder lesbar machen kann weiß dann, dass diese Nachricht wirklich von Susi ist. Das entspricht einer elektronischen Unterschrift.

In der Praxis werden die schnellen symmetrischen Algorithmen mit den langsamen asymmetrischen kombiniert. Zum Geheimhalten generiert man einen zufälligen Schlüssel für den symmetrischen Algorithmus, und verschlüsselt damit die Nachricht. Dieser zufällige Schlüssel, der natürlich deutlich kürzer ist, als die gesamte Nachricht, wird in der Folge mittels asymmetrischer Verschlüsselung gesichert transportiert.

Für die elektronische Unterschrift wird auch nicht das gesamte Dokument asymmetrisch verschlüsselt, sondern nur sein Hash. Ein Hash ist ein eindeutig einem Dokument zuordbarer Wert, der aber deutlich kürzer ist, als das ganze Dokument. Sobald sich auch nur ein einziges Zeichen im Dokument ändert, stimmt der Hash nicht mehr. Dadurch hat man auch den Vorteil, dass das Dokument selbst nicht verändert wird, und für Personen, die nicht die entsprechende Software haben, trotzdem lesbar bleibt. Sie können nur nicht die Unterschrift überprüfen. [Eine interessante Präsentation der amerikanischen Standard-Behörde NIST zu Hash P.S.]

Durch die Kombination von symmetrischen und asymmetrischen Algorithmen und die Verwendung von Hashes nützt man die Vorteile der jeweiligen Algorithmen aus, um die gegenseitigen Nachteile auszumerzen.

Einsatzbereiche

Kryptographie wird eingesetzt, um Inhalte geheim zu halten, dabei ist es unerheblich, ob diese Inhalte transportiert werden, wie zum Beispiel in E-Mails, oder ob sie irgendwo gespeichert sind, zum Beispiel auf einer Festplatte. Darüber hinaus kann man mit Kryptographie noch sicherstellen, dass man den Urheber einer Information identifiziert, und dass die Information nicht verfälscht wurde. Auch diese Features können sowohl beim Transport, als auch bei der Speicherung angewandt werden.

In der Praxis wird man sich beim Einsatz von Kryptographie allerdings nicht darüber den Kopf zerbrechen, welche Algorithmen beziehungsweise welche Kombination von Algorithmen eingesetzt wird. Die Verwendung ist in der Regel sehr einfach.

Verschlüsselte Kommunikation

In der Kommunikation sind viele Internet-Benutzer bis zu einem gewissen Maß schon an die Verwendung von Kryptographie gewohnt. Betrachtet man eine Secure Web-Seite, so werden die Daten zwischen Web-Client und dem Server mit dem SSL-Protokoll verschlüsselt und zumindest der Server authentifiziert sich dem Client gegenüber. Wie bei jedem anderen Einsatz von Kryptographie sollte aber auch klar sein, was hier gesichert wird, nämlich ausschließlich der Transport der Informationen. Am Server werden sie sofort nach Einlangen wieder entschlüsselt.

Benutzer eines Virtuellen Privaten Netzwerks (siehe Kapitel VPN) setzen auch Kryptographie ein. Hier wird in der Regel die Kommunikation zwischen dem VPN-Client und der Firewall beziehungsweise zwischen beiden Firewalls verschlüsselt und die jeweiligen Endpunkte authentifizieren sich gegenseitig. Bei fast allen Produkten ist hier IPsec im Einsatz.

Im Bereich der E-Mails ist es leider noch nicht so einfach, Verschlüsselung und Authentifizierung einzusetzen. Es gibt zwar das am Internet relativ weit verbreitete Paket Pretty Good Privacy (PGP, Links im Linkteil) in mehreren Geschmacksrichtungen, unter anderem auch als allgemein gratis verfügbare Version aus Deutschland genannt GPG, das auch für mehrere E-Mail-Clients eine sehr gute Integrationen hat, allerdings kann man leider noch nicht davon ausgehen, dass der jeweilige Empfänger der Mail auch damit umgehen kann.

Im Zusammenhang mit der Einführung der rechtlich anerkannten digitalen Signatur ist noch damit zu rechnen, dass andere Programme Verwendung finden werden. Wie gut deren Integration mit der E-Mail-Software sein wird, bleibt noch abzuwarten. Grundsätzlich sollte folgender Ablauf das Ziel sein:

Der Benutzer schreibt eine Mail und gibt beim Absenden an, dass diese Mail verschlüsselt und/oder signiert werden soll. Wenn sie auch signiert wird, wird der Computer zumindest die Möglichkeit bieten, den Text, der signiert wird, nochmals anzuzeigen und nach der Signaturchipkarte fragen. Diese wird man dann in einen Kartenleser mit Tastatur geben, seinen PIN eintippen, und wieder entfernen. Dann kann die verschlüsselte und signierte Mail auf Reisen gehen.

Verschlüsseltes Speichern

Aus Sicht der Kryptographie ist es unerheblich, ob die verschlüsselten Daten gesichert transportiert oder gesichert gespeichert werden. Manche Programme, wie zum Beispiel das oben erwähnte PGP-Paket können auch beides. Die Handhabung der Verschlüsselung unterscheidet sich nur etwas.

Will man Daten zum Beispiel auf seinem Laptop gesichert aufbewahren, sodass sie auch bei Verlust des Geräts für Unberechtigte unbrauchbar sind, so kann man unterscheiden, ob man nur einzelne Files, einzelne Verzeichnisse, einzelne Partitionen oder die ganze Platte verschlüsseln möchte. Diese Unterscheidung hängt auch vom Produkt ab, und wird in der Regel von den Administratoren getroffen. Der Benutzer muss sich dann nur noch entscheiden, ob bestimmte Information verschlüsselt werden sollen oder nicht (außer die ganze Platte wird automatisch verschlüsselt, dann hat er gar nicht mehr die Möglichkeit, im Klartext abzuspeichern).

Bei der Verwendung sieht das in der Regel so aus, dass man sich vor dem verschlüsselten Zugriff authentifizieren muss um sicherzustellen, dass nur Berechtigte den Zugriff bekommen, und unter Umständen danach wieder den gesicherten Bereich schließt. Der damit verbundene Aufwand ist marginal.

Public Key Infrastructure/Zertifizierungsstellen

Asymmetrische Verschlüsselung bietet, wie oben beschrieben, sowohl die Möglichkeit, Informationen dediziert für einen bestimmten Empfänger zu verschlüsseln, als auch die Identität eines Benutzers festzustellen, der Urheber einer bestimmten Information ist. Damit lassen sich auch Zutrittsberechtigungen zu Computersystemen realisieren.

Genau genommen wird zunächst aber nur der Zusammenhang zu einem definierten öffentlichen Schlüssel festgestellt. Ob ein bestimmter öffentlicher Schlüssel wirklich einer bestimmten Person oder auch einem bestimmten Computer(programm) gehört, muss auf anderem Weg sichergestellt werden. Dazu setzt man sogenannte Public Key Infrastrukturen oder Zertifizierungsstellen ein.

Im Prinzip macht eine Zertifizierungsstelle nicht viel mehr, als mit ihrer eigenen digitalen Signatur zu bestätigen, dass ein bestimmter öffentlicher Schlüssel wirklich zu einem bestimmten Objekt (zum Beispiel Computer oder Person) gehört. Damit beschränkt sich das Problem, festzustellen, wem ein öffentlicher Schlüssel wirklich gehört, darauf, festzustellen, ob die Signatur der Zertifizierungsstelle echt ist. Dazu muss man nur einen öffentlichen Schlüssel überprüfen - den der Zertifizierungsstelle.

 

Ergänzung P.S.: Das deutsche Bundesamt für Informationssicherheit hat eine technische Richtlinie „Kryptographische Verfahren: Algorithmen und Schlüssellängen“ veröffentlicht. Sehr empfehlenswert wenn man sich um Dschungel der Algorithmen und Schlüssellängen nicht wirklich auskennt.

 

Zurück zum Inhaltsverzeichnis

 

 

 

Katastrophen- und Notfallpläne für den Mittelstand - Stichwort: Business Continuity

Wie überlebt Ihr Unternehmen einen Katastrophenfall? - Business Continuity und Disaster Recovery

Dieses Kapitel findet sich jetzt auf einer eigenen Seite.

 

 

 

Outsourcing von Security

Autor: Christian Reiser

Auch wenn in anderen Bereichen der Security, wie zum Beispiel dem Objektschutz, Outsourcing durchaus üblich ist, so ist Outsourcing von Information-Security doch ein zweischneidiges Schwert. Die grundlegende Frage ist, wie sehr man dem Dienstleister traut, der diese Aufgaben übernimmt. Dazu kommt aber auch noch der Aspekt, dass gewisse Aufgaben der Security nicht von externen übernommen werden können. Die laufende Sensibilisierung der Mitarbeiter, die Berechtigungsvergabe, die interne Kommunikation muss jedenfalls in der Verantwortung eines eigenen Mitarbeiters liegen.

Outsourcing von Security macht auf jeden Fall im Bereich der einmaligen Dienstleistungen Sinn. Bevor man sich die Mühe macht, selbst Personal so weit auszubilden, dass sie eine Firewall frisch aufsetzen und konfigurieren können, sollte man sich jemand holen, der das gemeinsam mit dem eigenen Personal erledigt. Ähnliches gilt auch beim erstmaligen Erstellen von Security-Policies, User-Richtlinien und anderen organisatorischen Konzepten.

Für den laufenden Betrieb sieht das etwas anders aus. Laufende Anpassungen von Policies können eigentlich nur von internem Personal durchgeführt werden, da ein Externer die damit verbundenen Änderungen meist gar nicht feststellen kann. Was man eventuell auslagern kann ist der technische Betrieb.

Dabei darf man aber nicht vergessen, dass man nicht nur den Schlüssel zur Eingangstür des Unternehmens aus der Hand gibt, sondern den zum Safe mit den wertvollsten Eigentümern auch noch. Die Techniker dieses Dienstleisters können im Prinzip fast überall zugreifen. Und ein Hacker, dem es gelingt, beim Dienstleister einzudringen, der kann auch auf alle seine Kunden kommen.

Sollte man aber kein Personal haben, dass in der Lage ist, den technischen Betrieb der Security-Infrastruktur zu gewährleisten, ist es immer noch besser, diese Arbeiten auszulagern, als die Geräte nicht zu betreuen. Die Abwägung des Risikos in diesem Bereich ist sehr sorgfältig zu treffen.

Ebenfalls zum Thema Outsourcing die juristischen Ratschläge hier und hier.



Zurück zum Inhaltsverzeichnis


Home

Philipp Schaumann, http://sicherheitskultur.at/

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.