iX Kompakt Security 2014
12,90 €*
Diese Auswahl steht nicht zur Verfügung
- Sicherheitsmanagment
- Computerforensik
- Sichere Cloud
- Mobile Security
- große Heft-DVD
Verschlüsselung und kein Ende
Die älteste aller Sicherheitsmaßnahmen, die schon Cäsar bei der Übermittlung seiner Kriegsstrategien einsetzte, ist die Kryptografie. Ohne sie ist keine sichere Kommunikation möglich. Trotz aller Zertifikats-GAUs und Implementierungs-Katastrophen bleibt festzustellen: Sie ist sicher – nur manchmal sperrig. Eine Bestandsaufnahme
ab Seite 72
Allgegenwärtige und gefährliche Mobilgeräte
Die erste Welle mobiler Geräte, mit denen die Mitarbeiter aufs Firmennetz zugreifen wollten, haben die Mobile-Device-Management-Systeme weitgehend im Griff. Doch seit es für alles und jeden eine App gibt, gibt es auch eine neue Kategorie mobiler Gefährdungen. Was dagegen hilft,ab Seite 104
Sicherheit mit System und Überblick
Zahlreiche Grundlagenwerke erlauben die Erhöhung und Einschätzung des Sicherheitsniveaus der eigenen Firma. Doch ohne Hilfestellungen für die Praxis sind viele im Vorschriftendickicht und Maßnahmenwust verloren. Zahlreiche pragmatische und alltagstaugliche Hinweise finden sich
ab Seite 142
IT-GEFäHRDUNGEN
NSA & Co.
Datenschutz: Update dringend erforderlich!8Cybercrime
Digitale Angriffe auf alles und jeden16Informationsdiebstahl
Einblicke in die Wirtschaftsspionage20Internetangriffe
Was man gegen Distributed-Denial-of-Service-Attacken tun kann20Computerkriminalität
Prototypische IT-Bedrohungsszenarien32TOOLS & STRATEGIEN
Internetzensus
Das Internet scannen und auf Schwachstellen untersuchen40Browser-Sicherheit
Angriffsrisiken minimieren mit Security-Headern52Active-Directory-Tools
Kerberos-Keytab-Management mit msktutil 46Penetrationstests
Die Metasploit-Familie und der Virenschutz im Wettstreit60Betriebssystemsicherheit
Security-Technik in Windows 8.1 und Windows Server 2012 R266KRYPTOGRAFIE
Algorithmen
Verschlüsselung als Mittel gegen die Überwachung 72SSL-Alternative
Umstrittene Allzweckwaffe: HTML-5-Verschlüsselung 77SSL/TLS
Der Heartbleed-Bug in OpenSSL 80Kommunikation
Revisited: E-Mail-Verschlüsselung für Unternehmen 82IT-FORENSIK
Datenschutz
Herausforderung Personenbezug bei der Analyse von Unternehmensdaten90Investigation Readiness
Vorbereitungen für IT-forensische Untersuchungen 94Verhinderungsstrategien
Anti-Forensik: Angriffswege und Gegenmaßnahmen 99MOBILE SECURITY
MDM
Mobiler Gerätewildwuchs im Griff 104App-Tests
Strukturiertes Durchführen von Sicherheitstests mit Threat Modeling108Einbruchstests
Penetrationstests für Smartphone-Apps 114Softwareentwicklung
Apples neue Programmiersprache Swift 122SICHERE CLOUD
Hosting
Daten speichern in der Wolke 128Datenübertragung
Erfolgreich verschlüsseln trotz NSA, GCHQ & Co. 132Qualitätsmanagement
Erstes BSI-Audit für Cloud-Provider 138SICHERHEITSMANAGEMENT
Security-Status
Selbstbewertung im Unternehmen: Wie sicher sind wir? 142Recht
Verantwortlichkeiten im Bereich IT-Sicherheit 148IT-Grundschutz
Wie man IT-Sicherheit sinnvoll in die Praxis umsetzen kann 152Gefährdungsanalyse
Risiken mit wenig Aufwand erkennen und abschätzen 158SONSTIGES
Editorial 3Auf der Heft-DVD 6
Inserentenverzeichnis 162
Impressum 162
Perfekte Welt?
In a perfect world, no one would be able to use anything“, sagt Mordac, der etwas sadistisch anmutende, für IT-Sicherheit zuständige Kollege Dilberts in einem der gleichnamigen Comic-Strips. Benutzbarkeit von Computern ist für ihn ein Fremdwort, alles ist dem hehren Ziel der Sicherheit untergeordnet. So weit wie Mordac muss man zwar nicht gleich gehen, Fakt ist aber, dass Bequemlichkeit und Sicherheit einander in der Regel ausschließen.
Im Internet funktionierten von Anfang an große Teile der Infrastruktur mit Open-Source-Betriebssystemen und -Programmen – etwa Linux oder der Webserver Apache. In anderen Bereichen war freie Software zunächst überwiegend technikaffinen und experimentierfreudigen Naturen vorbehalten.
Ganz ähnlich sieht es mit der Freiheit aus. Im Zuge der Terrorbekämpfung haben Politik und Gesetzgeber in den letzten 13 Jahren Regulierungen eingeführt, die sukzessive die Überwachungsbefugnisse der Behörden und Strafverfolger ausbauten – und zwar immer weniger einzelfall- oder verdachtsbezogen, sondern anlasslos und massenhaft. Ob der Kontrollwahn und die drohende Totalüberwachung durch in- und ausländische Behörden „nur“ dem Vermeiden von Ereignissen wie Nine Eleven dient oder – wie Sascha Lobo es in einer lesenswerten Kolumne interpretiert – generell dem gewünschten Vorhersagen menschlicher Reaktionen und Handlungsweisen à la Minority Report, sei dahingestellt.
Tatsache ist, dass das massive Erfassen und Sammeln von Daten jeder Art die Freiheit massiv bedroht. Und noch ein Beispiel. Unter Sicherheitsberatern ist es ein alter Witz, dem Kunden „sicher“, „billig“ und „bequem“ auf ein Blatt Papier zu schreiben und zu sagen: „Wählen Sie zwei!“ Wie man es dreht und wendet, alle drei gleichzeitig geht nicht. Während die Redakteurin sich noch über den Stellenwert von IT-Sicherheit Gedanken macht, beschäftigt schon ein neuer Fall von Sicherheitsleck die Nachrichtenticker: So wurden der amerikanischen Baumarktkette Home Depot bei einem Hackerangriff Daten von 56 Millionen Kreditkarten entwendet. Wie es scheint, hat das Management jahrelang Warnhinweise der Mitarbeiter auf mangelnde Sicherheitsmaßnahmen und die Angreifbarkeit der Systeme ignoriert – es hat sich offenbar für „bequem“ und „billig“ entschieden. Eines haben diese Beispiele alle gemein: Ein Übertreiben in die eine Richtung zieht immer einen gravierenden Verlust einer anderen Sache nach sich. Hüten wir uns also vor Extremen, die Wahrheit liegt häufig in der schon seit der Antike beschworenen „Aurea Mediocritas“, der goldenen Mitte. Auf IT-Sicherheit bezogen heißt das: Ein Zuwenig an Sicherheitsmaßnahmen hat genauso fatale Auswirkungen wie ein Zuviel. Unternehmen sollten keine Sicherheitsstrategien einführen, die die IT komplett unbenutzbar machen. Mitarbeiter könnten dann eine ungeahnte Kreativität zum Aushebeln der Strategien an den Tag legen. Ebenso wenig sollten sie vor den heutigen Bedrohungen resignieren oder diese gar ignorieren, aus falsch verstandener Sparsamkeit. Skandale kommen Unternehmen teuer zu stehen, und das nicht nur finanziell. Bleibt der Mittelweg: die bestehenden Risiken auszuloten und mit Pragmatismus und Augenmaß ein Sicherheitsbewusstsein und entsprechende Sicherheitsmaßnahmen im Unternehmen zu etablieren. Hilfestellungen und Anregungen gibt es glücklicherweise zahlreiche – einige in diesem Heft.
Ute Roos
Auf der Heft-DVD
Die dem Heft beigelegte DVD bietet eine Auswahl an bootfähigen Linux-Distributionen. Thematischer Schwerpunkt ist die Sicherheit von IT-Systemen, darüber hinaus findet sich dieses Mal auch ein Live-Betriebssystem darunter, das den Anwender vor der Neugierde Dritter schützen soll. Das auch „Snowden-DVD“ genannte Tails [a] beinhaltet zahlreiche Tools, die dem Nutzer helfen, verschlüsselt und möglichst unerkannt zu kommunizieren. So kann er mit der DVD einen beliebigen PC mit Internetanschluss in einen etwas sichereren Arbeitsplatz verwandeln
Des Weiteren befindet sich auf der DVD Kali [b], vormals Backtrack. Die Zusammenstellung ist speziell für die Untersuchung von IT-Systemen, Webanwendungen und Netzwerken auf Sicherheitsprobleme geeignet. Fast alle Open-Source-Tools, die man dafür benötigt, sind enthalten. Für das Retten eines Systems ist die auf der DVD enthaltene Distribution Grml [d] nützlich. Sie bringt Werkzeuge mit, die den Administrator beim Finden und Beheben von Fehlern auf Unix-Systemen unterstützen.
Auf der DVD befindet sich außerdem die für iX-Leser vorab verfügbare neue Version 1.5 des HOB MacGate (Sponsored Software). Die Software ermöglicht den Remote-Desktop-Zugriff auf Mac-Computer über ein Netzwerk – im LAN oder über das Internet. Dieser Zugriff ist von jeder beliebigen Client-Plattform möglich: Windows-PC, Linux-PC, Thin-Client oder von einem anderen Mac aus. In der beigefügten Datei findet sich ein bis zum 31.12.2014 gültiger Lizenzschlüssel nebst Kontakt zum Hersteller HOB, falls eine Verlängerung erwünscht ist.
Einblicke in die hohe Schule des Entwerfens von Krypto-Algorithmen gewährt Verschlüsselungsexperte Klaus Schmeh in der aktuellen Ausgabe seines Grundlagenwerkes „Kryptografie“ (erschienen im dpunkt-Verlag, Heidelberg, 5. erweiterte Auflage, 2013). Eine Leseprobe aus dem Kapitel „Chriffren-Design“ findet sich auf der DVD.
Tails
Die Privatsphäre der Bürger, aber auch der Regierungschefs, steht seit letztem Jahr verstärkt im Fokus der Berichterstattung. Die Veröffentlichungen von Edward Snowden haben gezeigt, dass Kommunikation sowohl im Internet als auch in privaten Netzen ohne Verschlüsselung nicht ausreichend geschützt ist und mehr Menschen mitlesen als nur die beabsichtigten Empfänger. Snowden nutzte für seine vertrauliche Kommunikation mit der Presse diese Distribution: Sie enthält alle Werkzeuge, die notwendig sind, Nutzerspuren maximal zu verwischen und die Inhalte der Kommunikation zu verschleiern.
Basis ist ein Debian-Linux, das von DVD oder USB auf einem beliebigen PC startet. Ohne Installation oder anderweitiges Verändern der Festplatte startet eine Arbeitsumgebung, die die Anonymisierungsfunktion des Tor-Projekts (The Onion Router) und die Verschlüsselung PGP (Pretty Good Privacy) bereitstellt. Theoretisch könnte man die Distribution auch für die tägliche Arbeit nutzen. Allerdings raten die selbst anonym agierenden Herausgeber davon ab, da jede Aktion das Risiko in sich trägt, zugeordnet zu werden, und daher die Nutzung von Tails ebenfalls „datensparsam“, sprich selten, erfolgen sollte.
Beim Start wird ein Minimum an notwendigen Daten abgefragt. Ein typischer Desktop erwartet den Benutzer und Tor ist bereits gestartet. Wer möchte, kann alternativ I2P (Invisible Internet Project) verwenden, einen anderen Onion Router. Tools zum Bearbeiten von Daten und zum Verschlüsseln sind installiert. Wer möchte, kann – sofern er Tails von einem USB-Stick gestartet oder installiert hat – auch einen Speicherbereich einrichten, der über mehrere Sitzungen hinaus bestehen bleibt.
Kali
Die bekannteste Linux-Distribution für Sicherheitsforscher ist ohne Zweifel Kali. Sie ist der Nachfolger von Backtrack und verfolgt die gleichen Ziele, das Überprüfen des Sicherheitsstatus eines Systems durch Einbruchstests. Die Entwickler haben alle für die Untersuchung von IT-Systemen frei verfügbaren Werkzeuge auf einer DVD zusammengefasst. Die neueren Versionen ergänzt eine umfangreiche Sammlung von Forensik-Werkzeugen.
Kali lässt sich direkt von der DVD starten oder lokal auf der Festplatte installieren. Nach dem Installieren kann der Benutzer es mit apt-get auf den neuesten Stand bringen. Nach dem Bootvorgang stellt es einen Arbeitsplatz für Sicherheits- und Einbruchstests gegen Webserver, Netzwerkinfrastruktur, Betriebssysteme sowie sonstige Angriffsziele zur Verfügung. Vom ersten Erforschen eines Netzwerks mit Portscannern wie nmap bis zum Ausführen von Exploits mit dem Angriffs-Framework Metasploit (zusätzlich separat auf der Heft-DVD) lassen sich alle Arbeitsschritte innerhalb der bereitgestellten Umgebung durchführen. Nur das Schreiben eines Berichts ist etwas eingeschränkt, da ein WYSIWYG-Editor fehlt. Im Lieferumfang ist nur Keep-Note und Vim enthalten, sogar Emacs fehlt.
Insgesamt ist Kali für Anfänger wie Profis eine gelungene Arbeitsplattform, die Sicherheitsberater auch gerne als Basis für ihr Audit-Notebook nutzen.
Christoph Puppe (ur)
Anmelden