 |
| Die Bücher dieser Reihe gibt es über eisberg:group (Publikationen anklicken) |
|
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Informationssicherheit und das Eisbergprinzip
Hier finden sich eine Reihe von Texten aus den Büchern "Informationssicherheit und das Eisbergprinzip" und dem zweiten Band "Sicherheitsmanagement und das Eisbergprinzip", der im März 2004 herausgekommen ist. Das Zielpublikum dieser Bücher ist der KMU (kleine und mittelständische Unternehmer). Das Copyright aller Texte liegt bei den jeweiligen Autoren. Manche Texte wurden durch Links ergänzt, andere gründlich überarbeitet und erweitert.
Als 3. Band der Serie erschien das sehr umfassende Glossar der Informationssicherheit, eine gebundene Kurzfassung der hier verlinkten Online-Version (ständig erweitert, jetzt > 100 Seiten, > 1MB, PDF). Band 4 ist eine Checklistensammlung "Basissicherheit und das Eisbergprinzip", die speziell für KMUs, die selbst ihren Sicherheitsstandard hinterfragen wollen, sehr zu empfehlen ist. Eine ganz kurze Version einer solchen Checkliste (nur in Stichworten) gibt es hier online. Eine längere Anleitung für die Absicherung von Systemen für eCommerce-Anbieter (d.h. Webshops) hat das bundesdeutsche BSI veröffentlicht (PDF).
Gesamtinhaltsverzeichnis
die eigentlichen Texte sind zum Teil auf separaten Seiten (beim Drucken bitte beachten)
Herausforderung Informationssicherheit
Autor: Philipp Schaumann
Informationssicherheit und IT-Sicherheit werden manchmal synonym gebraucht. In diesen Texten unterscheiden wir jedoch zwischen den beiden Begriffen. Informationssicherheit ist der Überbegriff und schließt die IT-Sicherheit ein. Informationssicherheit betrifft den gesamten Umgang mit betrieblichen Informationen, bis hin zu den Gerüchten aus der Mittagspause. Das heißt, bei der Informationssicherheit geht es um mehr als nur die Sicherheit der IT-Infrastruktur. Bei der gibt es zwar auch oft Schwachstellen, aber die IT-Abteilung ist sich (zumeist) bewusst, dass es ihre Aufgabe ist, dagegen etwas zu unternehmen. Sie setzt zumeist auf technische Implementierung, Sicherheitshardware oder -software. Aber ebenso wichtige (bzw. oft noch stärkere) Schwachstellen finden sich zumeist im
- räumlichen Zugang zu sensiblen Bereichen im Unternehmen (IT, Rechnungswesen, Vorstandsbereiche, techn. Bereiche im Bereich Forschung und Entwicklung)
- werden auch Hinterausgänge sicher verschlossen („Raucherausgang“)?
- wer hat am Wochenende Zutritt zum Vorstands- oder Finanzbereich?
- Bewusstsein der Mitarbeiter für die Bedeutung von Informationen, seien sie technischer, finanzieller, verkaufstaktischer oder strategischer Art
- Private Gespräche mit Ex-Kollegen, Freunden und Familienmitgliedern
- Business Gespräche mit potentiellen Kunden und Geschäftspartnern
- Gespräche mit Presse
- Gespräche mit Kollegen in der Öffentlichkeit (Flugzeug, Lokal, Zugfahrt)
- Telefonate in der Öffentlichkeit
- organisatorische Schwachstellen in den Betriebsabläufen, z.B.
- wer informiert die IT-Organisation über Veränderungen bei den Mitarbeitern?
- wer überprüft Ferialpraktikanten und richtet ihnen eigene Accounts ein?
- wer überprüft täglich den Erfolg der nächtlichen Datensicherungen?
- was passiert, wenn Notebooks gestohlen werden?
- wer ist verantwortlich für die Vorbereitung auf eine Wiederherstellung im Katastrophenfall?
Eine Checkliste zur Härtung der Firmen-IT befindet sich an anderer Stelle dieser Website.
Die Erstellung eines Sicherheitskonzepts / Sicherheitsrichtlinie (Security Policy)
Autor: Philipp Schaumann
In einer Sicherheitspolicy (auch Security Policy oder Sicherheitspolitik genannt) gibt die Geschäftsleitung generelle Richtlinien für die Implementierung von Sicherheit im Unternehmen. Deswegen wären Sicherheitskonzept oder Sicherheitsrichtlinie ebenfalls gute Beschreibungen. Diese gibt die grundlegenden Regeln vor und bestimmt, welchen Grad von Sicherheit das Unternehmen implementieren möchte. Dies kann durchaus unterschiedlich sein. So kann die eine Firma entscheiden, dass sie wegweisend und vorbildhaft sein möchte, eine andere kann aber durchaus auch klarstellen, dass eine Einhaltung der gesetzlichen Bestimmungen für dies Unternehmen ausreichend ist. [Hier finden Sie übrigens eine Liste einiger für den Schutz von Vertraulichkeit, Privatsphäre und personenbezogenen Daten relevante Gesetze in Österreich. Wo man in Österreich die Gesetzestexte findet ist in den Links.]
Der folgende Text wird sich auf die Informationssicherheit konzentrieren. Eine Sicherheitspolicy kann sich sehr wohl auch mit der Sicherheit der Produktion oder anderer Geschäftsaspekte beschäftigen. Brandschutz und Arbeitnehmerschutz wären weitere Beispiele dafür. Auf Grund der großen Abhängigkeit aller Geschäftsprozesse von der EDV spielt diese bei der Sicherheit eine wichtige Rolle. Es geht um Informationssicherheit und das ist mehr als IT-Sicherheit. Informationssicherheit ist auch verantwortlich für Informationen, die nicht in der EDV verarbeitet werden, d.h. z.B. auch Papierarchive und die Geschäftsdokumente auf den Schreibtischen und in den Papierkörben.
Worum geht es bei der Informationssicherheit?
- Vertraulichkeit (sicherstellen, dass die Informationen nur denen zur Verfügung stehen, die die Erlaubnis dafür haben)
- Integrität (sicherstellen, dass die Informationen nicht gelöscht oder unberechtigt verändert werden)
- Verfügbarkeit (sicherstellen, dass die Informationen und EDV-Anwendungen wenn sie für einen Geschäftsprozess benötigt werden, wirklich zur Verfügung stehen)
- Authentizität (sicherstellen, dass der wirkliche Absender von Informationen bekannt und sicher identifiziert ist)
Um diese Anforderungen zu erfüllen, müssen eine ganze Reihe von Maßnahmen, technischer und organisatorischer Art, getroffen werden. Die Beschreibung dieser Maßnahmen ist der Inhalt der Information Security Policy. (Es gibt übrigens eine Reihe von Vorlagen, die für die Erarbeitung genutzt werden können. Einige werden weiter hinten vorgestellt).
Wie beginne ich, eine solche Policy zu erstellen?
Der wichtigste Punkt ist, dass ein solches Projekt nur gelingen kann, wenn die Geschäftsleitung hinter diesem Unterfangen steht, und zwar deutlich sichtbar. Sie muss nicht nur das nötige Budget sicherstellen und erreichen, dass alle betroffenen Abteilungen ihre Arbeitszeit einbringen, sie muss auch deutlich und öffentlich dokumentieren, dass sie hinter diesem Projekt steht, das nämlich vermutlich auch etwas unpopuläre Maßnahmen mit sich bringen wird.
Wie umfangreich sollte die Policy sein? Das hängt ganz von den Umständen ab. Ein kurzer Text von wenigen Seiten ist besser als gar kein Text. Ein sinnvoller Umfang liegt wohl zwischen 30 und 60 Seiten. Vertiefende Einzelheiten werden dann in separaten Dokumenten niedergelegt.
Es empfiehlt sich eine gewisse Standardstruktur für die Policy. Oft werden 3 verschiedene Teile unterschieden:
- Eine allgemeine Beschreibung der Sicherheitsgrundlagen und Sicherheitsorganisation des Unternehmens
- Implementierungsregeln für die einzelnen Aspekte der Sicherheitspolicy
- Regeln für die Endnutzer der EDV-Systeme (Anleitungen hierfür finden sich in Kapitel Was darf der Anwender?)
Oft wird in einem ersten Schritt erst mal nur das dritte Dokument erstellt. Dies sollte nicht länger als höchstens 10 Seiten sein. Es ist sinnvoll, dieses Dokument so zu konzipieren, dass alle Mitarbeiter dieses Dokument unterschreiben. Dies hat nicht nur einige rechtliche Aspekte, es hat auf jeden Fall auch einen starken psychologischen Aspekt, wenn die Mitarbeiter ausdrücklich auf gewisse Regeln hingewiesen werden.
Sicherheitsgrundlagen und Sicherheitsorganisation im Unternehmen
Dieser Teil der Policy folgt auf die Einleitung der Policy, in der die Ziele und den Grad an Sicherheit die es zu erzielen gilt vorgegeben werden und behandelt die Struktur des Sicherheitsmanagements.
Jedes Unternehmen sollte über einen Sicherheitsbeauftragten verfügen. Dies kann eine hauptamtliche Stelle sein, in kleinen Unternehmen wird dies jedoch kaum möglich sein. Diese Person hat folgende Aufgaben:
- sie ist verantwortlich für die Erstellung und Pflege der Sicherheitspolicy
- sie sollte sich ein Gremium zur Unterstützung aufbauen, z.B. Sicherheits-Forum
- sie ist zuständig für die Bewusstseinsbildung und die kontinuierliche Information aller Mitarbeiter
- sie ist zuständig für die Organisation von Audits
- sie sollte die erste Anlaufstelle („Security Helpdesk“) für alle Fragen der Informationssicherheit im Unternehmen sein
- Informeller Ansprechpartner und Vertrauensperson in beiden Richtungen
Diese Stelle ist optimal unter der Geschäftsführung aufgehängt, aber in vielen kleinen Unternehmen wird sie Teil der EDV-Organisation sein. Dies ist nicht optimal, aber immerhin besser als diese Funktion gar nicht zu besetzen.
Um im Unternehmen wirken zu können, braucht diese Person ein Gremium, mit dessen Hilfe sie Probleme erörtern und in den Entscheidungsprozess des Unternehmens einbringen kann. Dies kann z.B. ein Sicherheitsforum sein, bestehend aus Vertretern der Fachabteilungen des Unternehmens. Dies können die Abteilungsleiter sein, aber oft ist es sinnvoller, wenn dort Personen sitzen, die sich speziell für dieses Thema interessieren. Dieses Gremium
- diskutiert und einigt sich über Methoden und Prozesse
- fördert die Informationssicherheit in allen Bereichen des Unternehmens
- wird über Sicherheitsvorfälle informiert und bespricht Lösungen
Für einzelne Systeme und Anwendungen im Unternehmen sollte es sogenannte Informationsverantwortliche geben. Dies werden oft die Fachvorgesetzten sein, so z.B. der Chef der Buchhaltung oder des Einkaufs. Diese Personen haben folgende Aufgaben:
- bestimmt den Schutzbedarf der jeweiligen Daten und Systeme auf Grund von Geschäftsprozessen und -prioritäten, d.h. setzt fest wie vertraulich die Informationen zu behandeln sind und welche Verfügbarkeitsanforderungen für diese Systeme nötig sind. 100% Verfügbarkeit setzt dann aber auch voraus, dass ein entsprechend hohes Budget zur Verfügung gestellt werden kann
- er vergibt Zugriffsrechte für „seine“ Anwendung oder „sein“ System. D.h. dies sollte die Stelle sein, die über die Rechte der einzelnen Benutzer entscheiden darf
Er kann (und wird in der Regel) die Verarbeitung der Daten an einen Treuhänder delegieren. Dieser Treuhänder wird in vielen Fällen das betriebseigene Rechenzentrum sein, in manchen Fällen sind dies jedoch auch externe Dienstleister, speziell für Aufgaben wie Web-Anbindung. Egal wer dieser Treuhänder ist, auf jeden Fall sollte zwischen dem Informationsverantwortlichen und dem Treuhänder ein Vertrag bestehen, ein sog. SLA (Service Level Agreement). Hierin wird geregelt, welche Erwartungen, z.B. in Bezug auf Verfügbarkeit, die Fachabteilung und damit das Unternehmen an den internen oder externen Dienstleister hat.
Welchen Schutzbedarf haben die Daten, Anwendungen und Systeme?
Dies führt zur Frage des Schutzbedarfes der Daten und auch der einzelnen Anwendungen und Systeme. Bevor man diese sinnvoll schützen kann, muss man eine Vorstellung über den jeweiligen Schutzbedarf haben, hauptsächlich bezüglich Vertraulichkeit und Verfügbarkeit.
Bei der Frage der Vertraulichkeit könnten folgende Kriterien hilfreich sein:
Sehr hoch:
Verletzung der Vertraulichkeit kann zu Verlust der persönlichen Unversehrtheit führen, Gefahr für Leib und Leben, schwerwiegende juristische Konsequenzen, Verlust von Kunden oder zukünftigem Umsatz, ruinöse Haftungsschäden, möglicher Missbrauch von personenbezogen Daten der zu gesellschaftlichen oder wirtschaftlichen Ruin führen kann
Hoch:
Verletzung der Vertraulichkeit kann zu erheblichem Schaden für das Unternehmen und budgetüberschreitenden Kosten führen, erhebliche juristische Konsequenzen, direkte Auswirkungen auf Umsatz, Imageverlust kann eintreten, möglicher Missbrauch von personenbezogenen Daten kann Auswirkung auf gesellschaftliche Stellung und wirtschaftliche Verhältnisse haben
Mittel:
Verletzung der Vertraulichkeit kann zu geringem finanziellen Schaden und geringem, vorübergehenden Imageverlust führen, nur geringfügige juristische Konsequenzen, ein möglicher Missbrauch personenbezogener Daten hat nur geringe Auswirkungen
Niedrig:
Öffentlich zugängliche Daten
Das ist zumindest das, was man in den einschlägigen Lehrbüchern und Sicherheitsstandards findet. Ich habe einen etwas anderen Ansatz, denn Vertraulichkeit ist kontextbezogen (Mehr zur Theorie der Privatsphäre hier). Was ich damit sagen will sind 2 Punkte.
1. Nur die Abteilung selbst (d.h. die "Information Owner") kann letztendlich entscheiden, was bei ihnen welche Vertraulichkeit braucht, weil nur die Mitarbeiter selbst wissen, welche Informationen anfallen (nicht nur in der IT, sondern auch in den Köpfen) und welche Schäden durch einen Vertraulichkeitsverlust entstehen können
2. Kontextabhängig heißt ganz konkret, dass in jedem Einzelfall entschieden werden muss, wer welche Information braucht und/oder haben darf. Dies betrifft Kunden, Partner und auch Kollegen. Den einen Kunden kann man über zukünftige Pläne informieren, weil er schweigen kann, bei einem anderen Kunden weiß man, dass er alles zur Konkurrenz trägt. Und für den einen Kunden ist es für seine Entscheidung wichtig, eine gewisse Information zu haben, in anderen Fällen ist es nicht relevant.
D.h. jeder Mitarbeiter muss eine Selbstverantwortung für die Vertraulichkeit der Informationen übernehmen, mit denen er zu tun hat. Dies ist sinnvoller und effektiver, als eine unternehmensweite Definition, mit der im konkreten Fall dann niemand was anfangen kann. Ich führe zu diesem Zweck Workshops in den verschiedenen Abteilungen durch, in denen ich z.B. frage, welche Informationen die Mitarbeiter gern über die Konkurrenz hätten, welchen Wert diese Informationen für Sie hätten, etc. Dadurch, dass ich mich in die Position eines Angreifers begebe, verstehe ich besser, welchen Wert oder welches Schadenspotential eine Information hat.
Bei der Verfügbarkeit hängen die Anforderungen ganz stark von der Art der Geschäftstätigkeit ab. Daher muss eine Erhebung der Geschäftsabläufe des Unternehmens immer der erste Schritt sein. Ich führe zu diesem Zweck Workshops mit den verschiedenen Abteilungen durch (am besten alle gemeinsam: Einkauf, Verkauf, Produktionsplanung, Produktion, Logistik, etc.). An einem Flipchart kann man die Abläufe durchspielen und bald erkennt man, welche Abhängigkeiten bestehen. Die große Frage ist dann immer: Wie lange können Sie ohne größere Schäden ohne die Unterstützung der anderen Abteilungen, Anwendungen oder IT-Systeme auskommen? Und wie groß darf der Datenverlust bei einem Ausfall sein?
Im nächsten Schritt muss dann die EDV-Landschaft des Unternehmens analysiert werden. Je nach Größe des Unternehmens und Tiefe der Erhebung kann dies zwischen 2 Tagen und mehreren Monaten dauern. Dabei sollten nicht nur der Schutzbedarf, sondern auch die Verantwortlichkeiten für die einzelnen Systeme und Anwendungen erhoben werden. Eine Regelung könnte z.B. so aussehen
Sehr hoher Verfügbarkeitsbedarf:
Ausfall führt zu Stillstand der Produktion, maximal bis 1 Stunde tolerierbar, Ausfall von mehreren Tagen gefährdet die Existenz des Unternehmens
Hoher Verfügbarkeitsbedarf:
Bearbeitung von Hand nur schwer möglich, bis zu 24 Stunden tolerierbar, Ausweichgeräte müssen erst installiert werden
Niedrig bis mittel:
Bearbeitung von Hand möglich, andere Geräte können eingesetzt werden
Diese Werte können erheblich schwanken. Es gibt Unternehmungen, bei denen ein Ausfall von einer Stunde bereits nicht tolerabel ist. In diesem Fall müssen entsprechend hochverfügbare Systeme eingesetzt werden. Eine Forderung noch so hoher Verfügbarkeit ist natürlich nur sinnvoll, wenn die Geschäftsprozesse eine entsprechende Budgetzuweisung für diese zum Teil sehr teuren Maßnahmen rechtfertigen. Mit der Frage der Verfügbarkeit müssen wir uns im Bereich der Business Continuity und Disaster Recovery noch eingehender beschäftigen. Ein sehr hilfreiches Schema, das sich bei vielen Unternehmen mittlerer Größe im aktiven Einsatz bewährt hat, findet sich in dieser Vorlage für eine DR-Konzept Detailanalyse.
Was sind die Policy-Themen der EDV-Organisation?
Sicherheit der technischen Infrastruktur:
Hier geht es darum, dass kritische EDV-Installation gegen Ausfall von Strom, Klima und die Folgen von Blitzschlägen (auch indirekte Schäden durch Induktion) geschützt werden müssen.
Wie schützen Sie sich gegen Diebstahl von EDV-Geräten, speziell Laptops? Sind Sie versichert? Haben Sie die Daten auf den Festplatten verschlüsselt? Könnten Sie wieder gefundene Geräte sicher identifizieren.
Zutritt zu kritischen Bereichen:
Wie ist der Zutritt zum Rechenzentrum oder anderen Bereichen mit wichtigen EDV-Installationen geschützt. Dies betrifft z.B. auch Netzwerkgeräte außerhalb des Rechnerraums.
Patch Management und Schwachstellen Management:
Gibt es klare und dokumentierte Zuweisungen für die Verantwortung? Ist sichergestellt, dass alle Server einen angemessenen Sicherheitsstand haben? Wer ist dafür verantwortlich zu entscheiden, ob Patches auf Systemen eingefahren werden? Werden Patches getestet, bevor sie installiert werden? Werden alle Systeme gehärtet, z.B. durch Entfernen von Default-Accounts, Programmbeispielen und ungenutzten Diensten?
Vulnerability Checks
(d.h. ein Überprüfung auf bekannte Schwachstellen in der installierten Software) müssen regelmäßig durchgeführt werden. Dafür stehen Produkte und auch externe Services zur Verfügung. In der Policy müssen Sie festlegen, wie oft welche Systeme mit welchen Tools überprüft werden sollen. Diese Aufstellung enhält interessante wissenschaftliche Papiere zu Schwachstellen und Patches.
NIST Standards sind immer hilfreich, dies ist der neu-überarbeitete NIST SP800-40v2 - Patch and Vulnerability Management.
Ein anderer Sicherheitstest sind die sog. Pen Tests. Dabei wird jemand beauftragt, ein System so zu prüfen, wie das ein Angreifer auch tun würde. Aus solchen Tests lernt man wichtige Informationen über den eigenen Sicherheitsstand.
Reparatur und Entsorgung:
Was geschieht bei der externen Reparatur von Geräten? Werden Festplatten vorher entfernt, bevor ein Laptop als Garantiefall eingeschickt wird? Verlassen die Geräte für die Reparatur den EU-Raum?
Vernichtung von Altsystemen und Altpapier:
Gibt es klare Regeln die sicherstellen, dass vernichtete oder verkaufte Altsysteme keine vertraulichen Daten mehr enthalten (ein Formatieren der Festplatte reicht dafür nämlich nicht aus). Wird Altpapier, z.B. Programmlisten, so entsorgt, dass diese nicht in falsche Hände fallen können?
Netzwerkpolicy
Wie ist Ihr Internet-Anschluss abgesichert? Ist Ihr Web-Server für das Unternehmen so wichtig, dass er redundant ausgelegt werden muss? Sollten Sie auch eine redundante Anbindung an das Internet haben?
Wo steht Ihr Web Server (hoffentlich nicht innen im LAN, sondern entweder in einem separaten Netzsegment des Firewalls, der sog. DMZ, oder an einem speziellen Interface des Routers, das über Filterregeln abgesichert ist). Oder steht Ihr Web-Server bei einem Provider? In diesem Fall ist zu fragen, wie es dort mit der Sicherheit bestellt ist? Fast nie stellen Provider eine Firewall zur Verfügung!
Wer ist für die Inhalte auf dem Web-Server verantwortlich? Wie werden diese freigegeben? Ist sichergestellt, dass keine internen Informationen dort veröffentlicht werden? Falls Ihr Web-Server Daten sammelt, z.B. Registrierungsdaten oder sogar Kreditkarteninformationen, haben sie dafür gesorgt, dass diese sensiblen Daten nicht auf dem Web-Server selbst gespeichert werden?
Haben Sie FunkLANs (wireless LAN, WLAN) im Einsatz? Diese können selbst mit Verschlüsselung und Authentifizierung noch ein Sicherheitsrisiko darstellen. Mehr dazu im separaten Kapitel zu WLAN.
Trennen Sie interne Netzbereiche voneinander ab oder kann jeder in Ihrem LAN jeden Rechner erreichen? Die nachfolgende Grafik stellt eine logische Segmentierung in einem komplexen Netzwerk dar. Alle diese Firewallfunktionalitäten können, speziell bei kleineren Unternehmen, auch durch einen einzigen Firewall abgedeckt werden. Diese Auftrennung der Netzbereiche lässt sich sehr schön mit Hilfe von Switches implementieren, die VLAN (Virtual LAN)-fähig sind.
 |
| Trennung in separate Netze mittels VLAN |
Wie wird bei Ihnen die Fernwartung durchgeführt? Ist das sicher genug? Wählen sich Ihre Systemadministratoren von zu Hause ins Unternehmen ein? Wie stellen Sie sicher, dass dadurch keine Gefahren entstehen.
Wie tauschen Sie Daten mit Geschäftspartnern aus? Haben Sie dafür einen separaten Extranetbereich? Wie authentifizieren Sie die Zugriffe Ihrer Geschäftspartner?
Haben Sie Mitarbeiter, die im Home-Office arbeiten? Wie stellen Sie sicher, dass diese Rechner auch einen angemessenen Sicherheitsstandard haben? Wie stellen Sie eine sichere Verbindung zwischen diesen Rechnern und Ihren internen Systemen her (VPN, CITRIX Metaframe, Zugriff über speziellen Web-Server)?
Wie administrieren sie ihre Firewall(s)? Gibt es klare Verantwortlichkeit bezüglich wer dort die Regeln verändern kann? Werden diese Veränderungen dokumentiert und regelmäßig überprüft und hinterfragt? Mehr Details zu Firewalls
Archivierungsfragen
Es gibt zwei Gründe, Daten langfristig zu archivieren. Erstens gibt es für bestimmte Daten gesetzliche Verpflichtungen für eine Aufbewahrung von entweder 7 oder oft auch 30 Jahren (z.B. Patientendaten). Zum anderen werden Daten archiviert, um diese auf kostengünstigere Datenmedien auszulagern. In beiden Fällen muss man die Haltbarkeit betrachtet. So sind Magnetbänder nur für eine recht begrenzte Zeit, oft nur 1 Jahr, garantiert, viele Technologien wie WORM oder verschiedene Typen von Magnetbändern haben die Problematik, dass die Lesegeräte extrem schnell veralten und oft dann nicht mehr nachgekauft werden können, wenn das Gerät ausfällt. Wie stellen Sie sicher, dass Sie Ihren Verpflichtungen hier nachkommen?
In Fällen, in denen eine lange Datenverfügbarkeit aus juristischen oder praktischen Gründen notwendig ist, werden heute spezielle Hardware-Archivierungssysteme eingesetzt, die das unvermeidbare Umkopieren auf neue Datenträger vollständig automatisieren. Grund für das Umkopieren sind
- das Ablaufdatum für das jeweilige Medium,
- Nicht-mehr-Verfügbarkeit der Lesegeräte für das alte Medium
- Bessere Speicherausnutzung durch Verwendung neuer Technologien
Solche Systeme erreichen eine vollständige Automatisierung und ermöglichen auch eine automatische Auslagerung an andere Standorte.
Verschlüsselungspolicy
Vertrauliche Daten, speziell auf Laptops oder beim Versenden, sollten immer verschlüsselt sein. Zu diesem Zweck stehen Festplattenverschlüsselung, Dateiverschlüsselung, E-Mailverschlüsselung und ähnliche Technologien zur Verfügung. Aber auch hier gibt es eine ganze Reihe von Fragen zu klären. Z.B. die Fragen, ob sie eine spezifische Lösung für ein Teilproblem, oder eine integrierte Lösung suchen?
Bedenken Sie auch, dass auf die Firmendaten auch dann noch zugegriffen werden muss, wenn der Mitarbeiter aus irgendwelchen Gründen nicht mehr zur Verfügung steht. Dafür gibt es Technologien (Schlüssel-Recovery, Key Escrow), die es einem oder mehreren Administratoren (4-Augen-Prinzip) erlauben, auch ohne den Mitarbeiter auf die Daten zuzugreifen. Ähnliche Methoden werden auch benötigt, wenn der Mitarbeiter das Passwort vergessen hat.
Wenn Sie die Verschlüsselung wirklich sicher haben wollen, so verwenden Sie eine starke a href="#auth" class="int" >Authentisierung mit Smart-Card oder USB-Stick mit einem digitalen Zertifikat oder One-Time-Passwort Token.
Eine kostenlose Festplattenverschlüsselung, auch für Firmen, gibt es übrigens von CE-Infosys. Aber die Anschaffungskosten sind bei weitem nicht die einzigen Kosten einer solchen Verschlüsselung. Die Administration der Schlüsselverwaltung ist z.B. ein ganz erheblicher Kostenfaktor (Neu-Einrichten von Schlüsseln, Helfen, wenn der Mitarbeiter das Passwort oder den Token vergessen hat und das auch dann, wenn er im Ausland ist).
Mehr zu Verschlüsselung.
PDA Policy (und andere mobile Geräte)
Wie halten Sie es im Unternehmen mit PDAs (Personal Digital Assistant, Palm, etc.)? Erlauben Sie das Speichern von Firmendaten (z.B. Termine oder Adressen) auf privaten Geräten?
PDAs und Handys wachsen heute immer mehr zusammen, werden zu Smartphones. Und diese können einiges an vertraulichen Daten speichern, z.B. die Adressen der Kunden und auch die E-Mails. Erlauben sie das Speichern von Unternehmensdaten (E-Mails) auf solchen Geräten? Falls ja, bieten Sie Ihren Mitarbeitern zumindest Sicherheitssoftware wie z.B. Verschlüsselung und Power-On Schutz mit Passworteingabe an? Und gibt es einen zentralen Support für diese Geräte, d.h. haben die Mitarbeiter jemanden, der ihnen Sicherheitstipps geben kann und der ihnen hilft, die Geräte sicher zu konfigurieren?
Setzen Sie evt. Bluetooth ein? - Das eröffnet eine ganze Reihe von Angriffsmöglichkeiten. Wissen Ihre Mitarbeiter, dass ein Gerät mit dem sie einmal ein sog. "Pairing" durchgeführt haben, immer wieder auf ihr Gerät zugreifen kann? Und dass es mittlerweile auch Viren für Smartphones gibt und dass sie deswegen nicht auf OK klicken dürfen, wenn attraktive Dateinamen "nackte Tatsachen" versprechen?
Ein neuer Angriff (Juni 2005) erlaubt es noch einfacher, auf Bluetooth-Geräte zuzugreifen.
Eine Sicherheitspolicy für mobile Geräte sollte regeln
- Welche Geräte eingesetzt und unterstützt werden
- Welche Daten dort gespeichert werden dürfen
- Wie diese gegen Diebstahl und Verlust geschützt werden
- Welche Kommunikationsmethoden zum Firmennetz erlaubt werden (falls überhaupt)
- Wie diese abgesichert werden (VPN oder ähnliche Software)
- Wie die Authentisierung des Gerätes UND des Mitarbeiters UND des Firmennetzes sichergestellt werden kann (siehe MITM-Angriffe)
- Wie die Geräte, wenn sie außerhalb des Firmennetzes genutzt werden und sich ins Internet verbinden (öffentlicher Hotspot, Hotel-LAN, Kabelnetz zu Hause), trotzdem geschützt werden können
Im Zweifel sollten Sie sich von Profis helfen lassen. Hier ein Übersichtsartikel zu mobiler Kommunikation.
Malicious Code (Viren, Würmer, Trojaner u.ä.)
Dies stellt eine sehr kostspielige Gefahrengruppe dar, in jedem Unternehmen treten diese Probleme auf. Wie stellen Sie sicher, dass die Mitarbeiter über sicheren Umgang mit Attachments in E-Mails informiert sind? Haben Sie einen mehrstufigen Virenschutz, der automatisch täglich auf den neusten Stand gebracht wird? Verhindern sie bei MS-Office-Anwendungen das automatische Ausführen von Macros? Sind die Web-Browser der Anwender sicher eingestellt? Bieten Sie Ihren Mitarbeitern alternative Web-Browser, die zum Teil sicher sind (z.B. den Firefox)? (Aber auch diese Software hat leider Schwachstellen und muss regelmäßig aktualisiert werden).
Hier gibt es mehr Hintergründe zur großen Problematik der Schadsoftware.
Zugriffsrechte und Benutzeraccounts
Wer ist für die Vergabe von Zugriffsrechten und Benutzeraccounts zuständig? Wie stellen Sie sicher, dass auch beim Ausscheiden eines Mitarbeiters und sogar bei einer Veränderung der Aufgabenbereiche die Zugriffsrechte gesperrt oder angepasst werden? Haben Sie Prozeduren, die sicherstellen, dass Zugriffsrechte regelmäßig überprüft und hinterfragt werden? Arbeiten mehrere Benutzer mit denselben Accounts? Wie stellen Sie sicher, dass die Passworte sicher sind?
Authentifizierung der Anwender
Ein wichtiger Aspekt der Informationssicherheit ist die Authentifizierung der Anwender. Die traditionelle Technik dafür ist die Kombination von Benutzername und Passwort. Passworte sind einfach, sehr gut akzeptiert, aber haben eine Reihe von Problemen. Eines der Probleme ist, dass jeder moderne Mensch einfach zu viele davon hat und dass es daher kaum möglich ist, sich diese alle zu merken. Zusammen mit den PINs für Kredit- und Bankomatkarte und den vielen Web Sites auf denen man sich registrieren muss kommt man spielend auf 20 bis 50 Passworte. Und das führt dazu, dass Abkürzungen benutzt werden, z.B. so viel Passworte wie möglich gleich lautend zu halten. Oder die Passworte werden eben doch notiert, auch wenn davon überall dringend abgeraten wird. Andererseits könnte sich niemand so viele unterschiedliche merken. Wenn Passworte notiert werden, dann aber auf jeden Fall an einem sicheren Ort und nicht unter der Tastatur oder gar mit gelbem Sticker am Bildschirm. Ein Zettel in der Geldbörse oder verschlüsselt im PDA sind mögliche Alternativen.
Besser jedoch wäre, zumindest im Unternehmen die Zahl der Passworte zu minimieren, z.B. durch ein Single-Signon System. Dabei muss der Benutzer sich nur einmal anmelden und authentifizieren, alle anderen Anmeldungen führt das System selbstständig durch. Ein solches Single-Signon System sollte aber nicht mit einfachen Passworten betrieben werden. Dafür gibt es sicherere Alternativen.
Welche besseren Methoden der Authentifizierung gibt es?
Prinzipiell können für die Authentifizierung folgende Techniken verwendet werden:
- Etwas, was ich weiß (Passwort, PIN)
- Etwas, was ich besitze (Token, Smart-Card)
- Eine Eigenschaft des Anwenders (Biometrie, d.h. Stimme, Gesicht, Fingerabdruck, Retina)
Bei wirklich sicheren Systemen wird eine Kombination von 2 dieser Verfahren gewählt.
Eine einfache Methode, die erheblich sicherer ist als das einfache Passwort sind sog. One-Time Passwords (OTP). Dieses Verfahren vermeidet das Problem, dass jemand der eine Leitung abhört, das Passwort kennt und wieder verwenden kann. Dies ist bei Einmalpassworten nicht möglich. E-Banking Nutzer kennen das Prinzip von den TANs. Eine TAN-Liste ist eine Liste von Einmalpassworten. Für den täglichen Betrieb im Unternehmen sind TAN-Listen nicht sehr praktikabel, daher gibt es sog. Token, die Einmalpassworte dynamisch erzeugen.
Diese Geräte zeigen alle 60 Sekunden ein neues Passwort an. Dies wird in der Regel mit einer PIN kombiniert. Bei manchen Geräten wird die PIN direkt auf dem Gerät eingegeben, bei anderen wird die PIN an die automatisch generierte Zahl angehängt. Auch ein Einsatz ohne PIN ist möglich. Vorteil dieser Geräte ist, dass keinerlei zusätzliche Hardware oder Software bei den Systemen der Anwender benötigt werden.
Ein weiteres Verfahren, das sich durch Benutzerfreundlichkeit auszeichnet, ist die Biometrie. Hierbei werden unveränderliche Eigenschaften des Nutzers erfasst und verglichen. Dies können Fingerabdrücke, Retinamuster, Gesichtsform oder auch die Stimme sein. Auch diese Verfahren werden mit einem PIN kombiniert.
Eine andere Möglichkeit sind X.509-Zertifikate, entweder direkt auf der Platte oder auf einer Smart-Card gespeichert. Auch diese werden wieder über eine zusätzliche PIN abgesichert. Solche Zertifikate und Smart-Cards können entweder im Unternehmen selbst mit Hilfe einer PKI erzeugt werden, oder sie können über Stellen wie A-Trust bezogen werden.
Wie identifizieren und authentisieren Sie Ihre Anwender?
Das Passwort ist nicht unbedingt die sicherste Methode zur Authentisierung, speziell wenn das Passwort über das Internet eingegeben wird, es gibt heute bessere Methoden wie z.B. One-time-passwort Token, die alle 60 Sekunden ein neues Passwort anzeigen, oder Smart-Cards. Solche Systeme sind insbesondere zu empfehlen, wenn Single-Signon Systeme eingesetzt werden. Dabei meldet sich der Anwender nur einmal an und das System gibt dann automatisch den Zugriff auf alle jene Systeme frei, für die dieser Anwender validiert ist. In diesem Fall muss natürlich der Zugriff noch besser abgesichert werden.
Und wie stellen Sie sicher, dass Ihre Kunden und Partner authentisiert werden? Hier können bei Web-Zugriffen z.B. Client-Zertifikate eingesetzt werden.
Systemaccounts
Wie organisieren Sie Ihre Systemaccounts sicher? Vergeben Sie separate Systemaccounts für jedes Mitglied des Administrationsteams? Falls nicht, wie stellen Sie sicher, dass nach dem Ausscheiden eines Admin-Mitarbeiters Ihre Rechner noch sicher sind? Woher können Sie Ihre Admins im Notfall kontrollieren, wenn alle mit dem selben Benutzeraccount arbeiten? Haben alle Ihre Desktop- Systeme und Laptop ein und dasselbe lokale Administrator-Passwort (hoffentlich nicht)? Hinterlegen Sie die Admin-Passworte in einem Safe, so dass diese auch im Katastrophenfall verfügbar wären?
Die Lösung: Verwenden Sie für Windows Systeme persönliche Domain-Passworte für jeden Administrator und für UNIX/Linux ebenfalls persönliche Accounts (umschalten mit su -). Root sollte nur in Notfällen und von der lokalen Konsole aus benutzt werden. Die lokalen Administrator- und Root-Passworte sollten für jeden Rechner unterschiedlich sein und liegen für Notfälle in verschlossenen Umschlägen bereit.
Systementwicklung und -beschaffung, Quellcodeverwaltung
Bei jedem Ihrer Projekte muss die Sicherheitsproblematik von Anfang an berücksichtigt werden. D.h. schon im Projektantrag sollte ein Absatz über die zu implementierende Sicherheit stehen. Im Projektdesign muss Sicherheit dann ein eigenes Kapitel sein. Und das muss sich durchziehen bis zu den Abnahmekriterien. Wie kann das sichergestellt werden? Entweder ist der Sicherheitsbeauftragte in allen solchen Projekten von Anfang an involviert oder jeder Projektmanager hat die Aufgabe, darauf zu achten, dass Sicherheit ein Kernbestandteil jedes Projektes ist.
Bei der Durchführung von EDV-Projekten muss sichergestellt werden, dass eine Testumgebung zur Verfügung steht die sicherstellt, dass die Produktionssysteme vom Testen nicht betroffen werden. Und wenn sensitive Daten, z.B. Personendaten, verarbeitet werden, müssen Testdaten erstellt werden, die anonymisiert sind.
Um eine sichere Programmentwicklung durchführen zu können, brauche ich eine Quellcodeverwaltung die dokumentiert, welche Änderung von wem, wann und warum gemacht wurde. Sie muss in der Lage sein, Änderungen jederzeit wieder rückgängig machen zu können.
Hier gibt es einige Glossen, aber auch ernsthafte Informationen zum Thema Software-Entwicklung und sogar einen Test für das Entwicklungsteam.
Um zu verhindern, dass Hintertürchen oder offensichtliche Programmfehler eingebaut werden, sollte in Entwicklungsprojekten genügend Zeit für Code Reviews vorgesehen werden. Dies ist speziell dann wichtig, wenn betriebsfremde Kräfte bei der Entwicklung mithelfen.
Bei der Mitarbeit von betriebsfremden Kräften sollte auch geregelt sein, dass diese nie die Systempassworte kennen, dass Vertraulichkeitserklärungen unterschrieben werden und dass diese externen Mitarbeiter nie allein in sensiblen Bereichen arbeiten dürfen.
Hier einige Glossen, die sich mit dem Thema Software Qualität beschäftigen.
Der Wahn nach Features und warum das oft zu lausiger Software führt, Haftung für Software und Tipps bez. Softwarekauf.
Ein anderer wichtiger Aspekt der Qualität der EDV betrifft die Integrität der Daten. Hier eine Glosse: Datenschrott - Ich fürchte mich vor falschen Daten
Change Management
Die Durchführung von Änderungen an EDV-Systemen sollte ein Prozess sein, bei dem es keine Ausnahmen gibt. Allzu oft haben winzige und harmlose Änderungen, "bei denen nun wirklich nichts schief gehen kann", die EDV-Anwendungen zum Teil für längere Zeit lahm gelegt oder zu Datenverlusten geführt.
Die Durchführung der Änderung wird nur dann genehmigt, wenn die Änderungen dokumentiert, begründet und getestet sind und wenn ein Plan vorliegt, wie die Installation bei Misserfolg wieder rückgängig gemacht werden kann (Change Management Prozedur). Hier ein Beispiel für ein Change Coordination Sheet.
Haben Sie ein Datensicherungskonzept?
Daten können aus vielfältigen Gründen verloren gehen, selbst dann wenn Sie z.B. Datenspiegelungen einsetzen. Niemand kommt um eine Datensicherung herum. Hier einige wichtige Fragen, die sich jeder stellen muss.
- Wie werden bei Ihnen die Daten gesichert?
- Wissen die Mitarbeiter, welche Daten (z.B. lokale Laufwerke) nicht gesichert werden?
- Wie lange werden die Datensicherungen aufbewahrt?
- Reicht das aus, um auch spät entdeckte Verluste wiederherstellen zu können?
- Haben Sie geeignete Datensicherungsprozeduren für Datenbanken (die mit Standardsicherungsprogrammen nicht gesichert werden können, weil diese immer im schreibenden Zugriff sind)?
- Wie oft testen Sie das Zurückladen der Sicherungen?
- Wie schnell geht eine Wiederherstellung einer Datenbank?
- Ist das schnell genug?
- Wo lagern Sie Ihre Datensicherungen aus?
- Ist das weit genug entfernt?
- Sind die Sicherungskassetten dort sicher?
- Werden auch wirklich alle Systeme gesichert (auch z.B. die Systeme in der DMZ)?
Hier gibt es detaillierte Hinweise bezüglich Datensicherung für KMUs.
Notfallpläne, Business Continuity und Desaster Recovery
Auch dieses Thema sollte Teil einer umfassenden Sicherheitspolicy sein. Die Problematik wird im Kapitel Desaster Recovery ausführlicher behandelt.
Personalsicherheit
In diesem Kapitel der Security Policy geht es darum, wie personelle Sicherheitsfragen angegangen werden sollen. Dazu gehört z.B., dass schon bei der Einstellung einige grundlegende Überprüfungen stattfinden. So sollte die Korrektheit des Lebenslaufes durch Anrufe bei früheren Arbeitgebern überprüft werden. Zeugnisse und Abschlüsse gehören in die Personalakte, und bei sicherheitskritischen Stellen sollte auch das Anfordern eines polizeilichen Führungszeugnisses erwogen werden.
Alle Mitarbeiter sollten eine Vertraulichkeitserklärung und die Kenntnisnahme der Nutzungsregeln für EDV-Nutzer unterschreiben.
Auch die Verantwortung für die kontinuierliche Weiterbildung und Schulung auf dem Gebiet der Sicherheit und des Schutzes muss hier verankert werden.
Auch das Thema Motivation und Mitarbeiterzufriedenheit spielt als Sicherheitsfaktor eine große Rolle. Nur Firmen mit zufriedenen und loyalen Mitarbeitern können ein hohes Sicherheitsniveau erreichen. Entsprechende Umfragen und aktive Verbesserungsmaßnahmen sind notwendig, um dies sicherzustellen.
Weiters müssen Regeln getroffen werden, wie auch die betriebsfremden Mitarbeiter, z.B. Reinigungspersonal überprüft und überwacht werden können.
Mehr zum Thema Regeln für Mitarbeiter.
Audit und Revision
Sicherheit im Unternehmen ist keine statische Angelegenheit. Sie müssen sicherstellen, dass der Sicherheitsstand kontinuierlich, z.B. jährlich überprüft wird. Regeln Sie in der Policy wer, wann und mit welcher Detailtiefe diese Überprüfung durchführen wird.
Auf welche Standards kann sich die Sicherheitspolicy beziehen?
Es gibt eine Reihe von Best-Practise Dokumenten, die unterschiedlichen Status und Format haben. Am wichtigsten ist für mich (P.S.) ISO 17799 und das bundesdeutsche Grundschutzhandbuch, bzw. die österreichische Variante davon. Mehr zu diesem Thema unter Best-Practise, wo auch ITIL und CoBIT kurz dargestellt werden.
Critical Success Factors nach ISO 17799
Am Schluss dieses ISO Standards werden auch einige Grundlagen genannt, ohne die eine umfassende Sicherheitspolicy in einem Unternehmen nicht implementiert und vor allen Dingen „gelebt“ werden kann.
Diese sind
- Die Sicherheitspolicy und -maßnahmen müssen im Einklang mit der Geschäftspolitik sein
- Das Vorgehen muss im Einklang mit der Unternehmenskultur stehen
- Deutlich sichtbare Unterstützung durch das Management ist erforderlich
- Ebenso ein gutes Verständnis der Sicherheitsanforderungen und des Risikomanagements (mehr zu Risikomanagement)
- Weiters ein effektives Marketing der Sicherheit an alle Manager und Mitarbeiter
- Informationen müssen an alle Mitarbeiter (intern, extern) und Partner verteilt werden
- Nur ausreichende Schulungen sichern die Kommunikation der Sicherheitsaspekte
- Ein umfassendes und ausgewogenes System von Kontrollen, mit Rückmeldungen für stete Verbesserungen machen aus der Policy ein lebendes Dokument
Der Umgang der Mitarbeiter mit betrieblichen Informationen - Benutzerpolicy - Benutzerrichtlinien
Autor: Philipp Schaumann
Dieser Teil der Informationssicherheitspolicy richtet sich an alle Mitarbeiter, entweder in ihrer Rolle als Nutzer der IT, aber auch in ihrer Rolle als Mitarbeiter, die Zugang zu internen Informationen haben, und sei es nur das Telefonverzeichnis oder die Gerüchte beim Mittagessen. Auch Mitarbeiter, die keinen Computer benutzen, können Firmengeheimnisse verraten, aus Versehen oder als Opfer von geschicktem Social Engineering).
Dieser Teil regelt, wie die Anwender die EDV-Systeme einsetzen sollen, bzw. noch allgemeiner, wie ALLE Mitarbeiter mit Informationen umgehen sollen. Das heißt, hier steht drin, was die Mitarbeiter dürfen und was sie nicht dürfen.
Menschen lassen sich aber nur sehr ungern etwas verbieten. Aber manchmal muss es eben sein. Leider geht es hier um gewisse Privilegien und da ist es recht leicht, Empfindlichkeiten zu wecken. Regeln schränken ein, sie mindern meine Freiheit, meine Entfaltungsmöglichkeiten, meinen Status und mein Selbstwertgefühl.
Internetzugang, möglichst unkontrolliert, E-Mail-Nutzung, auch privat, werden von den meisten Mitarbeitern als Privilegien verstanden, die sie nur sehr ungern hergeben. Ebenso die sog. "Admin-Rechte" auf den Windows Systemen der Benutzer, d.h. das Recht, selbstständig Software zu installieren. Wenn dieses Privileg genommen wird, dann stellen Viren, Würmer und Trojaner [siehe Glossar der Informationssicherheit (pdf, 630KB)] nur noch eine viel kleinere Gefahr dar.
Die Durchsetzbarkeit von Regeln setzt Verständnis und Bereitschaft von Seiten der Mitarbeiter voraus. Dies zu erreichen kann ein langwieriger Weg sein. Der wichtigste Aspekt ist sicher die Vorbildwirkung des Managements. Nur wenn das Management sichtbar bereit ist, sich auch an die Regeln zu halten, kann ich eine entsprechende Bereitschaft in der Belegschaft erwarten.
An anderer Stelle finden sich daher einige Gedanken zur Problematik Psychologie von Benutzerrechten (PDF, 271 KB) und ausführliche Vorschläge, wie eine Umsetzung geplant und durchgeführt werden kann.
Die Durchsetzbarkeit von solchen Regeln setzt auch voraus, dass sie praktikabel sind. Wenn Sie z.B. sagen, dass Passworte nicht weitergegeben werden können, dann müssen Sie gleichzeitig geeignete Regeln aufstellen, wie im Krankheitsfall oder anderen Abwesenheiten mit den Daten und den E-Mails der abwesenden Mitarbeiter verfahren werden soll.
In den Benutzerregeln wird z.B. auch definiert, in welchem Umfang die Rechner der Firma für private Zwecke (E-Mail, Internetnutzung) genutzt werden können. Ein vollständiges Verbieten der Privatnutzung ist vermutlich in Österreich nur dann durchzusetzen, wenn den Mitarbeitern Alternativen, z.B. ein Internet-Café im Pausenbereich, angeboten werden. Mehr dazu im Juristischen Teil.
Auch werden in den Benutzerrichtlinien die Virenschutzaspekte beschrieben, die für den Endbenutzer relevant sind, so z.B. dass keine Attachments geöffnet werden, die nicht klar zu identifizieren sind.
Weiters wird erklärt, in wie weit eine Nutzung von Privatgeräten (z.B. PDAs) erlaubt ist.
Die Benutzer müssen auch über den Umgang mit Copyright-Fragen aufgeklärt werden. Das Herunterladen von Raubkopien ist nicht nur illegal, sondern auch mit erheblichen Sicherheitsproblemen verbunden (die sind nämlich heute fast alle infiziert, z.B. mit sog. Trojanern die Passworte ausspähen und weitermelden, oder zumindest mit Werbeprogrammen, die ständig neue Werbefenster öffnen und dadurch nerven.
Ein ausdrücklicher Hinweis auf die Vertraulichkeit von Firmen- und Kundendaten kann in diesem Zusammenhang nicht schaden, auch nicht ein Hinweis auf gesetzliche Bestimmungen.
Viele Firmen weisen auch explizit auf die Konsequenzen von Verstößen gegen die Sicherheitspolicy hin.
Es kann auch sehr sinnvoll sein, eigene oder erweiterte Richtlinien für Administratoren einzuführen (z. B. was darf/muss man mit persönlichen Daten machen, die einem aus technischen Gründen bekannt werden).
Wie kann man einfache Passworte sicherer gestalten?
Ein weiteres wichtiges Thema der Benutzerrichtlinie sind Passwortregeln. Im Rahmen der Sicherheitsrichtlinien und der Schulungen muss den Mitarbeitern erklärt werden, wie ein gutes Passwort aufgebaut ist. Hier einige "Tricks", wie der Anwender ein Passwort erstellen kann, das sowohl einfach zu merken ist, aber doch auch sicher.
Auch bei Passworten gibt es Möglichkeiten, die Sicherheit zu erhöhen.
- Mindestlänge 6 Zeichen, besser 8 (sofern nicht produktspezifisch anders vorgegeben)
- Keine Namen und keine Worte, die in einem Wörterbuch stehen (Kombinationen von Worten sind jedoch gut, speziell wenn die Kombination der Begriffe eher bizarr ist, z.B. Kürbisschraube. Noch besser ist es, wenn das gewählte Passwort auch Zahlen und Sonderzeichen enthält, auch Umlaute sind eine gute Sache, wenn das jeweilige System diese in Passworten akzeptiert)
- Keine Geburtsdaten, Autokennzeichen und ähnliches verwenden
- Sofortiger Wechsel des Passwortes, wenn der Verdacht besteht, dass dieses anderen Personen bekannt ist
- Passwortwechsel nach maximal 90 Tagen, danach darf nicht wieder das alte Passwort reaktiviert werden
- Die Anzahl der möglichen ungültigen Anmeldeversuche muss begrenzt sein, danach muss der Account vom Administrator wieder freigeschaltet werden
Es gibt einige Tricks, wie man zu Passworten kommt, die einfach zu merken sind und doch sicher. Sinnlose Buchstabenkombinationen kann man sich leichter merken, wenn es sich um die Anfangsbuchstaben der Worte eines Liedes oder Gedichtes handelt.
Zusätzlich lässt sich die Qualität jedes Passworts stark erhöhen, wenn Groß- und Kleinschreibung berücksichtigt wird und einige der Buchstaben durch Sonderzeichen ersetzt werden. So kann man ein O durch 0 (Null) oder () (Klammer auf, Klammer zu) ersetzen. Oder die l wird zu !, das S zu $, das a zu @. Auf diese Weise kann aus "Kürbisschraube" z.B. "Kürbi$$chraube" werden oder auch "Kürb!s$chraube".
An normale Worte oder Namen einige Zahlen anzuhängen (z.B. erwin123) erzeugt leider keine sicheren Passworte. Aber Rechenaufgaben lassen sich als sichere Passworte verwenden, z.B. 3*4=12.
Die Durchsetzbarkeit von Regeln für die Mitarbeiter setzt aber voraus, dass diese Regeln auch praktikabel sind. Wenn Sie z.B. sagen, dass Passworte nicht weitergegeben werden können, dann müssen Sie gleichzeitig geeignete Regeln aufstellen, wie im Krankheitsfall oder anderen Abwesenheiten mit den Daten und den E-Mails der abwesenden Mitarbeiter verfahren werden soll. Dafür gibt es z.B. Delegationsmöglichkeiten in den E-Mail-Systemen oder feste Vertretungsregelungen, die andere Mitarbeitern einen lesenden Zugriff auf die Mailboxen ihrer VertreterInnen geben.
Mehr Beispiele zu sicheren Passworten gibt es in diesen Slides zum Thema Passworte (PDF, 91 KB) und hier gibt es Statistiken zu Benutzer-Passworten.
Benutzersensibilisierung
Glauben Sie eigentlich, dass die Mitarbeiter Ihres Unternehmens motiviert sind, Sicherheitsprobleme zu berichten? Ob das der Fall ist hängt von ihrer Unternehmenskultur ab und ob die Mitarbeiter glauben, dass so etwas der eigenen Karriere förderlich wäre. Tatsache ist, dass die meisten Mitarbeiter (evt. sogar zu recht) davon ausgehen, dass es nicht gut ist, Probleme im Unternehmen aufzuzeigen.
Wenn diese Fragen für Sie von Interesse sind, so gibt es hier noch mehr Details zu Business Ethik und Trainingsvorschläge zu Informationssicherheit und Benutzersensibilisierung.
Alle diese Regeln bilden auch die Grundlage der Mitarbeiterschulungen in Bezug auf Informationssicherheit. Dafür ist es wichtig, dass Sie die Regeln in eine Form bringen, die auch vermittelbar ist, also keine langen konvoluten Textformulierungen in juristischer Diktion, sondern knackige klare Formulierungen. Solche vermittelbaren Formulierungen lassen sich oft am besten in Workshops mit Anwendern selbst finden. In diesem Zusammenhang ist es auch psychologisch gut, wenn die Mitarbeiter diesen Teil durch Unterschrift zur Kentntnis nehmen.
Schutz gegen Social Engineering Angriffe
Dieser Text findet sich jetzt separat unter Social Engineering.
Technische Sicherheitsinfrastruktur
Autor: Christian Reiser
Anmerkung: Zu allen diesen Themen gäbe es auf technischer Ebene noch viel mehr zu sagen. Die Zielgruppe dieses Textes sind technische Laien. Falls doch noch Begriffe unverständlich bleiben, so empfehle ich das Glossar der Informationssicherheit (pdf, > 550 KB).
Die Unterkapitel
- Firewall
- Webserver
- Virtuelles privates Netzwerk (VPN)
- Anbindung von Außenstellen
- Einbindung von Content-Security
- Intrusion Detection Systeme (IDS)
- Spezialaspekt WLAN
Firewall
Sobald man ein firmeninternes Netzwerk, ein LAN, am Internet anschließt, ist das Minimum an technischen Sicherheitsvorkehrungen auf jeden Fall der Einsatz einer Firewall. Dabei ist es unerheblich, ob dieser Anschluss über ISDN, ADSL, ein Kabelnetz oder eine Standleitung erfolgt.
 |
|
Der Firewall kontrolliert den Verkehr mit dem Internet: Internet - Router - Firewall - internes Netz |
Eine Firewall ist ein Gerät, das nur einen klar definierten Datentransport zwischen internem Netzwerk und dem Internet zulässt, wobei auf einer Firewall keines der Standard-Betriebssysteme installiert sein darf. Eine Firewall muss entweder mit einem speziell für Firewalls entwickelten oder zurechtgeschneiderten Betriebssystem laufen oder sollte überhaupt kein Betriebssystem haben.
Der Grund dafür ist sehr einfach. Alle Standard-Betriebssysteme beinhalten viel mehr Funktionalität, als eine Firewall je braucht. Jede zusätzliche Funktionalität bedeutet auch zusätzliche Programme, und jedes zusätzliche Programm bringt weitere Programmfehler (Bugs) auf das System. Geht man davon aus, dass zusätzliche Bugs auch zusätzliche sicherheitskritische Fehler bedeuten - und davon muss man ausgehen - so bedeutet weniger Funktionalität auf der Firewall auch weniger Risiko, sicherheitskritische Fehler auf der Firewall zu haben.
Die Firewall steht zwischen dem internen Netzwerk und dem Internet, um wie ein Portier zu überprüfen, ob wirklich nur berechtigte Verbindungen aufgebaut werden. Das bedeutet aber auch, dass es keine anderen Wege zwischen den beiden Netzen geben darf, da diese sonst die Sicherheitsvorkehrungen der Firewall umgehen würden.
Weiters darf es im internen Netz natürlich auch keine Einwahlmodems oder Modems geben, mit denen man sich ins Internet einwählen kann. Die einzigen erlaubten Modems sind solche, die ausschließlich für Fax verwendet werden können.
Zu beachten ist noch, dass eine klassische Firewall nicht die Inhalte der transportierten Daten überprüft. Sie schaut nicht darauf, ob in den Daten Viren, Trojaner oder andere böse Software enthalten sind, und überprüft auch nicht, ob unerwünschte Wörter vorkommen. Es gibt zwar das ein oder andere Produkt, dass rudimentäre Überprüfungen durchführen kann, aber eigentlich ist die Überprüfung der Inhalte Aufgabe des Content-Security-Systems.
Aber Achtung ! ! ! Schlecht oder falsch konfigurierte Firewalls (PDF) sind leider auch in Großunternehmen die Regel, wie eine isrealische Studie zeigt.
Web-Server
 |
| Der Web-Server sollte entweder extern oder in einer DMZ stehen, nie jedoch im internen Firmennetz |
Es gibt vier Netzwerkbereiche, wo man einen Web-Server anschließen kann. An einem weiteren Interface der Firewall, im Netzwerkbereich zwischen Firewall und externem Router, an einem weiteren Interface des Routers oder bei einem Provider.
Grundsätzlich ist es wohl am vernünftigsten, die Web-Seiten zu einem Provider auszulagern. Damit wird nicht nur die eigene Internetanbindung, sondern auch die hausinterne Computer-Infrastruktur entlastet. Außerdem ist der Web-Server sehr oft beim Provider besser mit Notstrom und Klima versorgt und mit einer schnelleren Verbindung ans Internet angebunden.
Trotzdem gibt es besonders bei den EDV-Technikern immer wieder die Tendenz, dass sie ihre Babies (Rechner) bei sich haben wollen. Sollte der Web-Server wirklich in den eigenen Rechnerräumlichkeiten stehen, so kann er an einem weiteren Interface des externen Routers, im Netzbereich zwischen Router und Firewall oder an einem Interface der Firewall angeschlossen werden (solche Bereiche wurden früher oft DMZ genannt). Von der reinen technischen Sicherheit ist das ziemlich egal, allerdings bringt ein Anschluss an der Firewall den Vorteil des besseren Loggings (Mitschreiben der Vorgänge) und daher auch des einfacheren Erkennens von Einbrüchen.
Es gibt genau eine Stelle, wo ein externer, öffentlicher Web-Server sicher nie angeschlossen werden darf: im internen Netzwerk. Es gab immer wieder Fehlfunktionen in der Web-Server-Software, die es einem Hacker erlaubt haben, über den eigentlichen Web-Port Zugriff auf den Web-Server zu bekommen. Dagegen konnten auch keine Firewalls helfen. Von einem so gehackten Web-Server konnte man sich dann zu anderen Rechnern weiterbewegen. Wäre so ein Server im internen Netzwerk, hätte der Hacker Zugriff auf alle anderen internen Rechner, und damit zu allen elektronischen Geheimnissen.
Hier weitere Aspekte zum Thema Sicherheit eines Web-Servers.
Virtuelles privates Netzwerk (VPN)
 |
| Ein VPN ermöglicht bei korrekter Konfigurierung einen sicheren Kommunikationskanal durch das unsichere Internet |
Jedes Unternehmen steht heute vor der Herausforderung, Außendienstmitarbeitern, Mitarbeitern auf Reisen und Heimarbeitsplätzen Zugang zu Firmenanwendungen, zum Beispiel E-Mail, zu ermöglichen. Eine beliebte Methode dafür stellt das VPN dar. Dabei wird die Verbindung zum firmeneigenen internen Netzwerk über das Internet realisiert.
Damit sind zwei wichtige Sicherheitsfunktionen abgedeckt. Einerseits muss gewährleistet sein, dass die transportierten Daten nicht abgehört werden können, viel wichtiger ist aber andererseits, dass wirklich nur berechtigte Personen den Zugriff in das interne Netzwerk bekommen, und ein Hacker nicht vorspielen kann, er sei so eine berechtigte Person.
Bei dem Einsatz eines VPNs wird der Computer des externen Mitarbeiters mit einem sogenannten VPN-Client ausgestattet. Das ist ein Stück Software, das sich einerseits um die Authentifizierung des Benutzers, andererseits um die Verschlüsselung der transportierten Daten kümmert. Auf der Firewall der Zentrale wird das entsprechende Gegenstück installiert.
Will der externe Mitarbeiter nun auf interne Daten zugreifen, so startet er seinen Computer und baut eine Verbindung zum Internet auf. Im nächsten Schritt authentifiziert er sich der VPN-Software gegenüber und hat dann die gleichen Zugriffsmöglichkeiten, als wäre er im internen Netzwerk angeschlossen. Bei manchen Produkten ist es auch möglich, einem Mitarbeiter, der sich über VPN ins interne Netz verbindet, eingeschränkter Zugriffsrechte zu geben.
Man sollte jedoch beachten, dass der Computer des externen oder mobilen Mitarbeiters außerhalb des Firmennetzes nicht von der Firmenfirewall geschützt ist. Das erfordert den Einsatz einer Personal Firewall auf seinem Rechner. Allerdings darf der Benutzer die Sicherheits-Levels nicht verringern oder die Firewall-Funktionalität abschalten. Es gibt auch VPN-Clients, die zumindest während einer offenen VPN-Verbindung zur Firma jeden weiteren Datenverkehr mit dem Internet unterbinden. Dies behindert zwar das Arbeiten ein wenig, bietet aber dafür erhöhten Schutz.
Allerdings darf nicht auf die Gefahr des Verlusts eines Laptops vergessen werden. Insbesondere reisende Mitarbeiter der Geschäftsleitung haben sehr oft sensible Daten auf der Festplatte ihres Laptops. Kommt dieses Gerät abhanden, so sind weder BIOS-Passwort noch das Passwort des Betriebssystems ein ausreichender Schutz. Die Festplatte kann ausgebaut und in einen anderen Computer eingebaut werden. Dort sind dann alle Daten zugänglich. Der einzige Schutz dagegen stellt die Verschlüsselung von Files, ganzen Plattenbereichen oder überhaupt der gesamten Festplatte dar.
 |
| Auch Außenstellen können mittels VPN sicher angeschlossen werden |
Anbindung von Außenstellen
Will man Außenstellen mit dem LAN der Zentrale verbinden, so kann man auch dies über das Internet realisieren. Dazu verwendet man die gleiche Technologie, wie sie auch für die externen Mitarbeiter eingesetzt wird, nämlich Virtuelle Private Netzwerke (VPN).
Im Idealfall setzt man auch in der Außenstelle eine Firewall ein, und baut einen verschlüsselten, authentifizierten Kanal zwischen dieser und der Firewall der Zentrale auf. Die Sicherheit der transportierten Daten und dass sie wirklich aus der Außenstelle kommen, ist somit gewährleistet.
Man muss allerdings ein paar andere Aspekte beachten. Die Sicherheit eines derartigen Gesamtnetzes ist so hoch, wie die Sicherheit der schwächsten Außenstelle. Auch dort gilt es, die physische Sicherheit und die Sicherheit des lokalen Personals (inklusive Hausmeister und Reinigung) zu beachten.
Einbindung von Content-Security
Einige Firmen, die für ihre Mitarbeiter Internetanschlüsse zur Verfügung stellen benutzen Software die nach Themen oder Wörtern sucht, die anzeigen, dass Web Sites besucht werden, die sicher nicht für die Arbeit relevant ist. Diese Seiten sollen dann gesperrt werden, typischer Weise mit der Begründung, das die Mitarbeiter ihre wertvolle Arbeitszeit nicht vergeuden sollen.
Derartige Systeme zum Sperren von Web-Seiten sind eine technische Lösung für ein Management-Problem, die nur eingeschränkt wirksam ist. Wenn Mitarbeiter nicht arbeiten (wollen) und ihre Zeit mit Web-Surfen verbringen, dann werden sie ohne Web-Surfen einen anderen, vielleicht unauffälligeren Zeitvertreib während der Arbeit finden. Man sollte auch nicht den Motivations-Wert von ein paar Minuten Surfen zur Entspannung unterschätzen. Jedenfalls bringt der Einsatz derartiger Systeme in der Regel eine Einsparung an Bandbreite auf der Verbindung zum Internet.
Will man derartige Sperrsysteme einsetzen, weil Mitarbeiter auf gar keinen Fall Zugriff zu bestimmten Daten haben dürfen, so funktioniert das nur eingeschränkt. Es gibt Studien, die deutlich besagen, dass derartige Filter nicht mehr als 80% des unerwünschten Materials erkennen, und damit sperren können. Sehr oft wird es dann zum firmeninternen Sport mancher Mitarbeiter Material zu finden, das eigentlich gesperrt sein sollte, und von Zeit zu Zeit haben sie Erfolg.
Eine recht unangenehme Form von unerwünschten Inhalten stellen unerwünschte (Massen-)E-Mails dar, die in Österreich auch illegal sind. Derartiger Spam kostet Zeit der Mitarbeiter, Bandbreite und Plattenplatz.
Sogenannte Spam-Filter, wie sie zum Beispiel als Zusatzprogramme für Mail-Server oder Viren-Scanner angeboten werden, sind aber nur eingeschränkt hilfreich. Sie versuchen durch bestimmte Merkmale in der E-Mail zu erkennen, ob es sich dabei um Spam handelt, oder nicht. Der Benutzer läuft dabei aber immer Gefahr, dass auch legitime Mails als Spam qualifiziert werde.
Sinnvoller ist es, den Mail-Server so zu konfigurieren, dass er Mails von Systemen mit bestimmten Eigenschaften oder von Rechnern, die auf einer der Spam-Listen aufscheinen, nicht annimmt. Je nach Server-Software ist das ohne zusätzlichen Kosten für Software möglich.
[Mehr zum Thema Spam aus der Sicht der Endbenutzer befindet sich in den Tipps für Heim-PCs und Apple Rechner. Mehr Hintergrund zum Thema Spam findet sich hier auf der Website. P.S.]
Intrusion Detection Systeme (IDS)
Vergleicht man die bisher beschriebenen technischen Netzwerk-Sicherheitsvorkehrungen mit der Alarmanlage eines Hauses, so stellen sie Glasbruch-Melder oder Tür-Öffnungs-Melder dar. Wer diese Barriere überwunden hat, wird nicht mehr erfasst. Genauso werden Angreifer, die innerhalb Ihres internen Netzwerkbereiches agieren, auch nicht erkannt.
Der nächste logische Schritt ist daher eine Überwachung des internen Netzwerks mit einem sogenannten Intrusion Detection System (IDS). Diese Systeme kennen ähnlich wie Virenscanner Muster, die sie als böse identifizieren und Alarm schlagen. Allerdings suchen sie diese Muster nicht in Files oder E-Mails, sondern am Netzwerk. Sie arbeiten entweder wie Sniffer, die am LAN mitlauschen, welche Datenpakete übertragen werden, oder sind auf den Netzwerkkomponenten wie Server, Router und Clients installiert, um hier verdächtige Aktivitäten zu erkennen.
Intrusion Detection Systeme können allerdings nur dann sinnvoll eingesetzt werden, wenn vorher genau definiert ist, was im LAN erlaubt und verboten sein soll, und wenn es Personal gibt, das auf vom IDS generierte Alarme entsprechend reagieren kann. Die laufenden Änderungen der Anforderungen an die Hard- und Software im firmeninternen Netzwerk führen auch dazu, dass das IDS immer wieder angepasst wird. Dadurch ist der Einsatz derartiger Systeme durchaus wartungsintensiv, was dazu führt, dass derzeit noch viele Organisationen davor zurück schrecken.
Spezialaspekt WLAN
Wireless LAN ist eine sehr praktische Technologie. Durch die Erweiterung des internen Netzwerkes über Funk spart man sich das Verlegen von Kabeln und ist mobil. Allerdings kann es signifikante Sicherheitsprobleme bringen.
Oft werden die im WLAN vorhandenen Sicherheitsvorkehrungen nicht aktiviert (oder falsch konfiguriert, zu kurze und leicht zu knackende Schlüsselworte verwendet), und jeder, der im Funkbereich ist, kann sich dann in das interne Netz verbinden und hat dann oft Zugang zu den Rechnern des Unternehmens. Damit kann er auf andere, eigentlich durch eine Firewall geschützte Rechner zugreifen, oder den Mail-Server verwenden, um seinen Spam zu versenden. Ein spezielles (kostenloses) Programm zum "Knacken" von WLAN-Verschlüsselungen ist z.B. der NetStumpler. netagent.at zeigt auf Stadtkarten von Österreich, wo alles offene und oft unverschlüsselte Netze zu finden sind. Hier wird demonstriert, wie schnell ein WLAN-Angriff trotz 128-bit-WEP-Verschlüsselung geht.
Bisher war es nötig, dass zum Knacken einer mittels WEP verschlüsselten Verbindung diese aktiv sein muss, d.h. es mussten viele Daten fließen. Es gibt eine Reihe von Tools, die WEP Pakete sammeln und wenn genügend Daten beobachtet wurden (ca. 3 Mb) eine Entschlüsselung beginnen, z.B. über eine brute force attack mit einem Programm wie WEPCRACK. Es gibt allerdings heute (Ende 2004) auch Angriffstools (active attack vectors), die den nötigen Verkehr selbst erzeugen und dadurch auch bei inaktiven Netzen schnell auch eine 128-bit Verschlüsselung knacken. securityfocus.com.
Fazit
Neuere Geräte verwenden den verbesserten WLAN-Standard WPA. Wireless LAN kann man sicherer machen, wenn man den Access Point in ein eigenes Interface der Firewall einbindet (bzw. ein VLAN-Segment dafür einrichtet) und ihn nur in Verbindung mit einer Verschlüsselung durch einen VPN-Kanal verwendet.
Eine systematische Vorgehensweise zur Absicherung von WLANs findet sich auf der Website der bundesdeutschen BSI.
Web Security: Wie mache ich einen Webserver sicherer?
Autor: Philipp Schaumann
Im Kapitel “Netze” wird ausführlich besprochen, wo innerhalb der IT-Landschaft ein Webserver am besten platziert werden sollte. Daneben gibt es aber noch eine Reihe von anderen Aspekten, die für die Sicherheit von Webservern wichtig sind. Studien zeigen, dass Angriffe auf Websites immer professioneller werden und dass die Angreifer dabei sogar Suchmaschinen ausnutzen, um verwundbare Sites zu finden (z.B. mit älteren Versionen von PHP). Hier ein guter Überblick über die wichtigsten Probleme der Web-Programmierung.
Ein Webserver soll normalerweise für alle Internetbenutzer verfügbar sein. Dies bedeutet, dass er an einer relativ exponierten Stelle positioniert sein muss (aber natürlich immer hinter einem Firewall oder durch Filterregeln im Router abgesichert). Der Webserver ist dadurch immer einer der ersten Angriffspunkte von externen Hackern. Um mich dagegen zu schützen muss ich z.B. dafür sorgen, dass dieser Rechner keine der bekannten Schwachstellen hat. Von diesen Schwachstellen werden täglich neue entdeckt. Um informiert zu sein muss sich der zuständige Administrator auf entsprechende Verteiler setzen lassen (z.B. CERT). Wenn neue Patches zur Verfügung stehen, so müssen diese auf dem Webserver so bald wie möglich implementiert werden. Daneben muss ich dafür sorgen, dass die Verzeichnisse mit Programmbeispielen und nicht benötigte Benutzeraccounts entfernt werden.
Auf keinen Fall sollten vertrauliche Daten, z.B. die Anmeldedaten von registrierten Benutzern oder gar Kreditkarteninformationen auf dem Webserver selbst gespeichert werden. Die korrekte Implementierung einer solchen Datenbank ist immer außerhalb der ersten DMZ mit dem Webserver. Dies kann in einer zweiten DMZ sein, oder auch im internen Netz selbst. Der Webserver selbst greift dann kontrolliert auf die Daten zu und selbst bei einem Einbruch in den Webserver sind die Daten noch immer nicht exponiert.
Wenn es wichtig ist, dass der Inhalt des Webservers auf keinen Fall unbefugt verändert wird, so kann man einen 2. Server implementieren, der eine Kopie aller Daten des Webservers enthält und ständig überprüft, ob jemand auf dem Webserver Veränderungen vorgenommen hat. Falls ja, so werden die Änderungen einfach überschrieben. Kommerzielle Software zu diesem Zweck ist erhältlich.
Aber auch auf ganz anderem Wege kann ein Webserver vertrauliche Daten verraten, nämlich wenn einer der Mitarbeiter aus Versehen oder durch Unbedachtheit solche Informationen ganz offiziell auf der Website zur Verfügung stellt. Dies können z.B. Presseerklärungen sein, die schon vor dem Veröffentlichungsdatum öffentlich verfügbar sind. Um dies zu verhindern sollte der Webserver ein Content Management System enthalten, wo jede Veröffentlichung einer formalen Genehmigung bedarf und mit einem Embargodatum versehen ist.
Speziell wenn der Webserver eine interaktive Funktionalität bietet, z.B. einen Warenkorb oder eine Möglichkeit zur Online-Bestellung, so gibt es vielfältige Angriffsmöglichkeiten auf einen solchen Webserver. Ein Überblick über die Probleme befindet sich in der Präsentation. Noch in Link: bei dem Kongress des Chaos Computer Clubs in Dez. 2004 wurde ein Vortrag gehalten, wie ein Hacker über Google verwundbare Webserver (pdf) findet.
Ein guter Artikel zu dem Unterthema XSS (cross-site scripting) befindet sich bei joelonsoftware.com. Bei XSS handelt es sich um das leider sehr häufige Problem, dass ein Web-Server eine Kundeneingabe ungeprüft wieder ausgibt. Beispiel: eine Website hat ein Gästebuch und was ein Benutzer dort einträgt, wird allen anderen Benutzern angezeigt. Wenn jetzt der erste Benutzer bösartig ist, so gibt er dort HTML-Code oder Javascript ein und auch das wird den anderen Benutzern präsentiert. Auf diese können die anderen Benutzer auf andere Websites geschickt werden, auf die sie nie wollten und dort evt. infiziert werden oder es können die Cookies ausgelesen und an den Autor des Codes weitergegeben werden. eBay hat(te) ein solches Problem, dass nämlich Anbieter in den Beschreibungen ihres Angebotes auch "bösen" HTML-Code eingeben können/konnten. Die erste Reaktion von eBay, das eben einfach zu verbieten - nun ja. Besser ist es, dass alles was die Benutzer eingeben auf Korrektheit überprüft wird und dass sichergestellt wird, dass kein "böser Code" dabei ist, ein leider recht mühsamer Schritt, aber notwendig.
Genauso gefährlich ist, wenn Benutzereingaben direkt in Systemkommandos eingesetzt werden. In diesem Fall kann der Code den der Benutzer eingibt, direkt auf der Maschine ausgeführt werden, und dabei z.B. Datenbankabfragen oder Systemkommandos durchführen. Gute Beispiele dafür, wie das gemacht wird finden sich in diesem Whitepaper zu SQL Injection (PDF).
Weitere juristische Aspekte beim Betrieb eines öffentlichen Webservers werden im juristischen Kapitel angesprochen.
Microsoft bietet auf seiner Website sehr gute Tipps bezüglich einer Risikomanagement Vorgehensweise ("Threat Modelling"), die dort an Hand einer Web-Applikation erklärt wird. Hier die Liste der Bedrohungen einer Web-Anwendung und hier die detaillierte Vorgehensweise, die zu so einem Ergebnis führen könnte. Eine ganz wichtige Ressource zu diesem Thema ist OWASP
Kryptographie - Die Kunst der Verschlüsselung
Autor: Christian Reiser
Die Unterkapitel
- Verschlüsselungsverfahren - symmetrisch und asymmetrisch
- Einsatzbereiche
- Verschlüsselte Kommunikation
- Verschlüsseltes Speichern
- Public Key Infrastructure/Zertifizierungsstellen
Die Kryptographie - die Kunst, Inhalte für unberechtigte Dritte zu verbergen - ist schon über 5000 Jahre alt. Bereits von den alten Ägyptern ist überliefert, dass sie spezielle "verschlüsselte" Hieroglyphen hatten. (Literaturhinweis "Geheime Botschaften", Simon Singh, übersetzt von Klaus Fritz, 2. Auflage, Deutscher Taschenbuch Verlag 2002, ISBN 3-423-33071-6).
[Eine sehr gute Einführung in Die Mathematik hinter symmetrischen Verschlüsselungsverfahren hat Susan Landau geschrieben (ich habe zumindest kleine Teile davon verstanden, englisch). P.S.]
[Hier eine kleine Sammlung von Links zum Thema Der erste Link zu einer Java Animation der legendären Verschlüsselungsmaschine Enigma (englisch). Noch mal Enigma-Animation (französisch) und wieder Enigma (englisch) und zum letzten Mal Enigma (englisch). P.S.]
Historisch gesehen steht die Kryptographie nicht allein. Sie war immer begleitet von der Kryptologie, der Kunst, verschlüsselte Botschaften zu knacken. Der Wettlauf zwischen diesen beiden Künsten stellt dabei fast einen Krimi dar.
Für moderne Verschlüsselungsalgorithmen gelten folgende Paradigmen:
- Sie arbeiten nicht mit Buchstaben, sondern mit Zahlen, die umgerechnet werden, oder einfach mit als Zahlen interpretierten Textmuster. Die Schlüssel sind auch digitale Bitfolgen.
- Gute Algorithmen sind offen gelegt, und jeder kann wissen, wie sie funktionieren.
- Die Sicherheit des Algorithmus liegt ausschließlich im Schlüssel. [Dies wird als Kerckhoffs' law bezeichnet. Sein klassischer Text ist La cryptographie militaire aus dem Jahr 1883 - P.S.]
- Jeder kann wissen, wie ein Algorithmus geknackt werden könnte, nur ist der Aufwand für das Knacken ohne Schlüssel so hoch, dass er sich nicht auszahlt.
- Im Sicherheitskonzept werden dem Gegner umfassende Fähigkeiten zugestanden: Er ist in der Lage jede Nachricht abzufangen, zu verändern und wiederholt einzuspielen. Bei manchen Überlegungen geht man sogar davon aus, dass der Gegner eine Nachricht im Original und in verschlüsselter Version hat, oder noch strenger, dass der Gegner (beliebig viele) Nachrichten seiner Wahl vorlegen kann, und diese verschlüsselt wieder bekommt. Trotzdem darf es nicht möglich sein, daraus auf den Schlüssel zu schließen.
Verschlüsselungsverfahren - symmetrisch und asymmetrisch
Derzeit sind zwei unterschiedliche Gruppen von Algorithmen im Einsatz, die symmetrischen und die asymmetrischen.
Bei symmetrischen Algorithmen wird der selbe Schlüssel zum Verschlüsseln wie zum Entschlüsseln verwendet. Das bringt gewisse Probleme im Zusammenhang mit der Schlüsselverwaltung. Zunächst muss der verwendete Schlüssel sicher vom Sender zum Empfänger gebracht werden. Dazu kann man nicht das Kommunikationsmedium verwenden, das man absichern möchte. Daher müssen diese Schlüssel im Extremfall sogar mittels sicherem Boten transportiert werden.
Verwenden mehr als zwei Teilnehmer einer Kommunikation symmetrische Verschlüsselung, entstehen noch weitere Schwierigkeiten. Wird der Schlüssel eines der Teilnehmer kompromittiert so muss man davon ausgehen, dass dieser Schlüssel dem Gegner in die Hände gefallen sein könnte. Damit ist nicht nur die Kommunikation mit diesem Teilnehmer gefährdet, sondern die aller anderen in dieser Gruppe auch.
Und innerhalb der Gruppe kann es auch zu Schwierigkeiten kommen. Da alle Teilnehmer den selben Schlüssel verwenden, kann man aufgrund der Kryptographie nicht unterscheiden, welcher Teilnehmer eine Nachricht verfasst hat. Innerhalb der Gruppe könnte jeder behaupten, ein anderes Mitglied zu sein.
Die Nachteile im Schlüsselhandling werden aber durch höhere Geschwindigkeit und deutlich kürzere Schlüssel als bei den in der Folge beschriebenen asymmetrischen Algorithmen wett gemacht.
Bei asymmetrischen Algorithmen hat jeder Teilnehmer ein eigenes Schlüsselpaar. Diese zwei Schlüssel stehen so in einem mathematischen Zusammenhang, dass zwar der eine Schlüssel nicht aus dem anderen errechnet werden kann, dass aber alles, was mit dem einen Schlüssel verschlüsselt wird, nur mit dem anderen Schlüssel wieder lesbar gemacht werden kann. Der eine Schlüssel wird möglichst weit publik gemacht, zum Beispiel über Web-Seiten oder spezielle Key-Server, der andere sehr gut geheim gehalten.
 |
| Susi und Erich kommunizieren mittels Public Key Verschlüsselung |
Wollen nun Susi und Erich miteinander kommunizieren, wobei Susi die Nachricht sendet, und Erich sie empfängt (siehe auch Graphik), so verwendet Susi Erichs öffentlichen Schlüssel, um die Informationen zu verschlüsseln. Erich ist der einzige, der den zugehörigen geheimen Schlüssel hat, und somit der Einzige, der die Nachricht wieder lesbar machen kann. Nicht einmal Susi selbst kann die verschlüsselte Nachricht wieder entschlüsseln.
Mit asymmetrischen Algorithmen lässt sich aber noch zusätzliche Funktionalität realisieren. Nehmen wir an, Susis Nachricht braucht nicht geheim zu bleiben, aber es ist wichtig, dass man überprüfen kann, ob die Nachricht wirklich von Susi ist. In diesem Fall "verschlüsselt" Susi ihre Nachricht mit ihrem geheimen Schlüssel. Jeder, der diese Nachricht mit Susis öffentlichen Schlüssel wieder lesbar machen kann weiß dann, dass diese Nachricht wirklich von Susi ist. Das entspricht einer elektronischen Unterschrift.
In der Praxis werden die schnellen symmetrischen Algorithmen mit den langsamen asymmetrischen kombiniert. Zum Geheimhalten generiert man einen zufälligen Schlüssel für den symmetrischen Algorithmus, und verschlüsselt damit die Nachricht. Dieser zufällige Schlüssel, der natürlich deutlich kürzer ist, als die gesamte Nachricht, wird in der Folge mittels asymmetrischer Verschlüsselung gesichert transportiert.
Für die elektronische Unterschrift wird auch nicht das gesamte Dokument asymmetrisch verschlüsselt, sondern nur sein Hash. Ein Hash ist ein eindeutig einem Dokument zuordbarer Wert, der aber deutlich kürzer ist, als das ganze Dokument. Sobald sich auch nur ein einziges Zeichen im Dokument ändert, stimmt der Hash nicht mehr. Dadurch hat man auch den Vorteil, dass das Dokument selbst nicht verändert wird, und für Personen, die nicht die entsprechende Software haben, trotzdem lesbar bleibt. Sie können nur nicht die Unterschrift überprüfen. [Eine interessante Präsentation der amerikanischen Standard-Behörde NIST zu Hash P.S.]
Durch die Kombination von symmetrischen und asymmetrischen Algorithmen und die Verwendung von Hashes nützt man die Vorteile der jeweiligen Algorithmen aus, um die gegenseitigen Nachteile auszumerzen.
Einsatzbereiche
Kryptographie wird eingesetzt, um Inhalte geheim zu halten, dabei ist es unerheblich, ob diese Inhalte transportiert werden, wie zum Beispiel in E-Mails, oder ob sie irgendwo gespeichert sind, zum Beispiel auf einer Festplatte. Darüber hinaus kann man mit Kryptographie noch sicherstellen, dass man den Urheber einer Information identifiziert, und dass die Information nicht verfälscht wurde. Auch diese Features können sowohl beim Transport, als auch bei der Speicherung angewandt werden.
In der Praxis wird man sich beim Einsatz von Kryptographie allerdings nicht darüber den Kopf zerbrechen, welche Algorithmen beziehungsweise welche Kombination von Algorithmen eingesetzt wird. Die Verwendung ist in der Regel sehr einfach.
Verschlüsselte Kommunikation
In der Kommunikation sind viele Internet-Benutzer bis zu einem gewissen Maß schon an die Verwendung von Kryptographie gewohnt. Betrachtet man eine Secure Web-Seite, so werden die Daten zwischen Web-Client und dem Server mit dem SSL-Protokoll verschlüsselt und zumindest der Server authentifiziert sich dem Client gegenüber. Wie bei jedem anderen Einsatz von Kryptographie sollte aber auch klar sein, was hier gesichert wird, nämlich ausschließlich der Transport der Informationen. Am Server werden sie sofort nach Einlangen wieder entschlüsselt.
Benutzer eines Virtuellen Privaten Netzwerks (siehe Kapitel VPN) setzen auch Kryptographie ein. Hier wird in der Regel die Kommunikation zwischen dem VPN-Client und der Firewall beziehungsweise zwischen beiden Firewalls verschlüsselt und die jeweiligen Endpunkte authentifizieren sich gegenseitig. Bei fast allen Produkten ist hier IPsec im Einsatz.
Im Bereich der E-Mails ist es leider noch nicht so einfach, Verschlüsselung und Authentifizierung einzusetzen. Es gibt zwar das am Internet relativ weit verbreitete Paket Pretty Good Privacy (PGP, Links im Linkteil) in mehreren Geschmacksrichtungen, unter anderem auch als allgemein gratis verfügbare Version aus Deutschland genannt GPG, das auch für mehrere E-Mail-Clients eine sehr gute Integrationen hat, allerdings kann man leider noch nicht davon ausgehen, dass der jeweilige Empfänger der Mail auch damit umgehen kann.
Im Zusammenhang mit der Einführung der rechtlich anerkannten digitalen Signatur ist noch damit zu rechnen, dass andere Programme Verwendung finden werden. Wie gut deren Integration mit der E-Mail-Software sein wird, bleibt noch abzuwarten. Grundsätzlich sollte folgender Ablauf das Ziel sein:
Der Benutzer schreibt eine Mail und gibt beim Absenden an, dass diese Mail verschlüsselt und/oder signiert werden soll. Wenn sie auch signiert wird, wird der Computer zumindest die Möglichkeit bieten, den Text, der signiert wird, nochmals anzuzeigen und nach der Signaturchipkarte fragen. Diese wird man dann in einen Kartenleser mit Tastatur geben, seinen PIN eintippen, und wieder entfernen. Dann kann die verschlüsselte und signierte Mail auf Reisen gehen.
Verschlüsseltes Speichern
Aus Sicht der Kryptographie ist es unerheblich, ob die verschlüsselten Daten gesichert transportiert oder gesichert gespeichert werden. Manche Programme, wie zum Beispiel das oben erwähnte PGP-Paket können auch beides. Die Handhabung der Verschlüsselung unterscheidet sich nur etwas.
Will man Daten zum Beispiel auf seinem Laptop gesichert aufbewahren, sodass sie auch bei Verlust des Geräts für Unberechtigte unbrauchbar sind, so kann man unterscheiden, ob man nur einzelne Files, einzelne Verzeichnisse, einzelne Partitionen oder die ganze Platte verschlüsseln möchte. Diese Unterscheidung hängt auch vom Produkt ab, und wird in der Regel von den Administratoren getroffen. Der Benutzer muss sich dann nur noch entscheiden, ob bestimmte Information verschlüsselt werden sollen oder nicht (außer die ganze Platte wird automatisch verschlüsselt, dann hat er gar nicht mehr die Möglichkeit, im Klartext abzuspeichern).
Bei der Verwendung sieht das in der Regel so aus, dass man sich vor dem verschlüsselten Zugriff authentifizieren muss um sicherzustellen, dass nur Berechtigte den Zugriff bekommen, und unter Umständen danach wieder den gesicherten Bereich schließt. Der damit verbundene Aufwand ist marginal.
Public Key Infrastructure/Zertifizierungsstellen
Asymmetrische Verschlüsselung bietet, wie oben beschrieben, sowohl die Möglichkeit, Informationen dediziert für einen bestimmten Empfänger zu verschlüsseln, als auch die Identität eines Benutzers festzustellen, der Urheber einer bestimmten Information ist. Damit lassen sich auch Zutrittsberechtigungen zu Computersystemen realisieren.
Genau genommen wird zunächst aber nur der Zusammenhang zu einem definierten öffentlichen Schlüssel festgestellt. Ob ein bestimmter öffentlicher Schlüssel wirklich einer bestimmten Person oder auch einem bestimmten Computer(programm) gehört, muss auf anderem Weg sichergestellt werden. Dazu setzt man sogenannte Public Key Infrastrukturen oder Zertifizierungsstellen ein.
Im Prinzip macht eine Zertifizierungsstelle nicht viel mehr, als mit ihrer eigenen digitalen Signatur zu bestätigen, dass ein bestimmter öffentlicher Schlüssel wirklich zu einem bestimmten Objekt (zum Beispiel Computer oder Person) gehört. Damit beschränkt sich das Problem, festzustellen, wem ein öffentlicher Schlüssel wirklich gehört, darauf, festzustellen, ob die Signatur der Zertifizierungsstelle echt ist. Dazu muss man nur einen öffentlichen Schlüssel überprüfen - den der Zertifizierungsstelle.
Ergänzung P.S.: Das deutsche Bundesamt für Informationssicherheit hat eine technische Richtlinie „Kryptographische Verfahren: Algorithmen und Schlüssellängen“ veröffentlicht. Sehr empfehlenswert wenn man sich um Dschungel der Algorithmen und Schlüssellängen nicht wirklich auskennt.
Katastrophen- und Notfallpläne für den Mittelstand - Stichwort: Business Continuity
Wie überlebt Ihr Unternehmen einen Katastrophenfall? - Business Continuity und Disaster Recovery
Dieses Kapitel findet sich jetzt auf einer eigenen Seite.
Outsourcing von Security
Autor: Christian Reiser
Auch wenn in anderen Bereichen der Security, wie zum Beispiel dem Objektschutz, Outsourcing durchaus üblich ist, so ist Outsourcing von Information-Security doch ein zweischneidiges Schwert. Die grundlegende Frage ist, wie sehr man dem Dienstleister traut, der diese Aufgaben übernimmt. Dazu kommt aber auch noch der Aspekt, dass gewisse Aufgaben der Security nicht von externen übernommen werden können. Die laufende Sensibilisierung der Mitarbeiter, die Berechtigungsvergabe, die interne Kommunikation muss jedenfalls in der Verantwortung eines eigenen Mitarbeiters liegen.
Outsourcing von Security macht auf jeden Fall im Bereich der einmaligen Dienstleistungen Sinn. Bevor man sich die Mühe macht, selbst Personal so weit auszubilden, dass sie eine Firewall frisch aufsetzen und konfigurieren können, sollte man sich jemand holen, der das gemeinsam mit dem eigenen Personal erledigt. Ähnliches gilt auch beim erstmaligen Erstellen von Security-Policies, User-Richtlinien und anderen organisatorischen Konzepten.
Für den laufenden Betrieb sieht das etwas anders aus. Laufende Anpassungen von Policies können eigentlich nur von internem Personal durchgeführt werden, da ein Externer die damit verbundenen Änderungen meist gar nicht feststellen kann. Was man eventuell auslagern kann ist der technische Betrieb.
Dabei darf man aber nicht vergessen, dass man nicht nur den Schlüssel zur Eingangstür des Unternehmens aus der Hand gibt, sondern den zum Safe mit den wertvollsten Eigentümern auch noch. Die Techniker dieses Dienstleisters können im Prinzip fast überall zugreifen. Und ein Hacker, dem es gelingt, beim Dienstleister einzudringen, der kann auch auf alle seine Kunden kommen.
Sollte man aber kein Personal haben, dass in der Lage ist, den technischen Betrieb der Security-Infrastruktur zu gewährleisten, ist es immer noch besser, diese Arbeiten auszulagern, als die Geräte nicht zu betreuen. Die Abwägung des Risikos in diesem Bereich ist sehr sorgfältig zu treffen.
Ebenfalls zum Thema Outsourcing die juristischen Ratschläge hier und hier.
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.