iX Kompakt Security 2014

Verschlüsselung und kein Ende

Die älteste aller Sicherheitsmaßnahmen, die schon Cäsar bei der Übermittlung seiner Kriegsstrategien einsetzte, ist die Kryptografie. Ohne sie ist keine sichere Kommunikation möglich. Trotz aller Zertifikats-GAUs und Implementierungs-Katastrophen bleibt festzustellen: Sie ist sicher – nur manchmal sperrig. Eine Bestandsaufnahme
ab Seite 72

Allgegenwärtige und gefährliche Mobilgeräte

Sicherheit mit System und Überblick

Zahlreiche Grundlagenwerke erlauben die Erhöhung und Einschätzung des Sicherheitsniveaus der eigenen Firma. Doch ohne Hilfestellungen für die Praxis sind viele im Vorschriftendickicht und Maßnahmenwust verloren. Zahlreiche pragmatische und alltagstaugliche Hinweise finden sich
ab Seite 142

IT-GEFäHRDUNGEN

NSA & Co.

Cybercrime

Informationsdiebstahl

Internetangriffe

Computerkriminalität

TOOLS & STRATEGIEN

Internetzensus

Browser-Sicherheit

Active-Directory-Tools

Penetrationstests

Betriebssystemsicherheit

KRYPTOGRAFIE

Algorithmen

SSL-Alternative

SSL/TLS

Kommunikation

IT-FORENSIK

Datenschutz

Investigation Readiness

Verhinderungsstrategien

MOBILE SECURITY

MDM

App-Tests

Einbruchstests

Softwareentwicklung

SICHERE CLOUD

Hosting

Datenübertragung

Qualitätsmanagement

SICHERHEITSMANAGEMENT

Security-Status

Recht

IT-Grundschutz

Gefährdungsanalyse

SONSTIGES

In a perfect world, no one would be able to use anything“, sagt Mordac, der etwas sadistisch anmutende, für IT-Sicherheit zuständige Kollege Dilberts in einem der gleichnamigen Comic-Strips. Benutzbarkeit von Computern ist für ihn ein Fremdwort, alles ist dem hehren Ziel der Sicherheit untergeordnet. So weit wie Mordac muss man zwar nicht gleich gehen, Fakt ist aber, dass Bequemlichkeit und Sicherheit einander in der Regel ausschließen.

Im Internet funktionierten von Anfang an große Teile der Infrastruktur mit Open-Source-Betriebssystemen und -Programmen – etwa Linux oder der Webserver Apache. In anderen Bereichen war freie Software zunächst überwiegend technikaffinen und experimentierfreudigen Naturen vorbehalten.

Ganz ähnlich sieht es mit der Freiheit aus. Im Zuge der Terrorbekämpfung haben Politik und Gesetzgeber in den letzten 13 Jahren Regulierungen eingeführt, die sukzessive die Überwachungsbefugnisse der Behörden und Strafverfolger ausbauten – und zwar immer weniger einzelfall- oder verdachtsbezogen, sondern anlasslos und massenhaft. Ob der Kontrollwahn und die drohende Totalüberwachung durch in- und ausländische Behörden „nur“ dem Vermeiden von Ereignissen wie Nine Eleven dient oder – wie Sascha Lobo es in einer lesenswerten Kolumne interpretiert – generell dem gewünschten Vorhersagen menschlicher Reaktionen und Handlungsweisen à la Minority Report, sei dahingestellt.

Tatsache ist, dass das massive Erfassen und Sammeln von Daten jeder Art die Freiheit massiv bedroht. Und noch ein Beispiel. Unter Sicherheitsberatern ist es ein alter Witz, dem Kunden „sicher“, „billig“ und „bequem“ auf ein Blatt Papier zu schreiben und zu sagen: „Wählen Sie zwei!“ Wie man es dreht und wendet, alle drei gleichzeitig geht nicht. Während die Redakteurin sich noch über den Stellenwert von IT-Sicherheit Gedanken macht, beschäftigt schon ein neuer Fall von Sicherheitsleck die Nachrichtenticker: So wurden der amerikanischen Baumarktkette Home Depot bei einem Hackerangriff Daten von 56 Millionen Kreditkarten entwendet. Wie es scheint, hat das Management jahrelang Warnhinweise der Mitarbeiter auf mangelnde Sicherheitsmaßnahmen und die Angreifbarkeit der Systeme ignoriert – es hat sich offenbar für „bequem“ und „billig“ entschieden. Eines haben diese Beispiele alle gemein: Ein Übertreiben in die eine Richtung zieht immer einen gravierenden Verlust einer anderen Sache nach sich. Hüten wir uns also vor Extremen, die Wahrheit liegt häufig in der schon seit der Antike beschworenen „Aurea Mediocritas“, der goldenen Mitte. Auf IT-Sicherheit bezogen heißt das: Ein Zuwenig an Sicherheitsmaßnahmen hat genauso fatale Auswirkungen wie ein Zuviel. Unternehmen sollten keine Sicherheitsstrategien einführen, die die IT komplett unbenutzbar machen. Mitarbeiter könnten dann eine ungeahnte Kreativität zum Aushebeln der Strategien an den Tag legen. Ebenso wenig sollten sie vor den heutigen Bedrohungen resignieren oder diese gar ignorieren, aus falsch verstandener Sparsamkeit. Skandale kommen Unternehmen teuer zu stehen, und das nicht nur finanziell. Bleibt der Mittelweg: die bestehenden Risiken auszuloten und mit Pragmatismus und Augenmaß ein Sicherheitsbewusstsein und entsprechende Sicherheitsmaßnahmen im Unternehmen zu etablieren. Hilfestellungen und Anregungen gibt es glücklicherweise zahlreiche – einige in diesem Heft.

Ute Roos

Auf der Heft-DVD

Die dem Heft beigelegte DVD bietet eine Auswahl an bootfähigen Linux-Distributionen. Thematischer Schwerpunkt ist die Sicherheit von IT-Systemen, darüber hinaus findet sich dieses Mal auch ein Live-Betriebssystem darunter, das den Anwender vor der Neugierde Dritter schützen soll. Das auch „Snowden-DVD“ genannte Tails [a] beinhaltet zahlreiche Tools, die dem Nutzer helfen, verschlüsselt und möglichst unerkannt zu kommunizieren. So kann er mit der DVD einen beliebigen PC mit Internetanschluss in einen etwas sichereren Arbeitsplatz verwandeln

Des Weiteren befindet sich auf der DVD Kali [b], vormals Backtrack. Die Zusammenstellung ist speziell für die Untersuchung von IT-Systemen, Webanwendungen und Netzwerken auf Sicherheitsprobleme geeignet. Fast alle Open-Source-Tools, die man dafür benötigt, sind enthalten. Für das Retten eines Systems ist die auf der DVD enthaltene Distribution Grml [d] nützlich. Sie bringt Werkzeuge mit, die den Administrator beim Finden und Beheben von Fehlern auf Unix-Systemen unterstützen.

Auf der DVD befindet sich außerdem die für iX-Leser vorab verfügbare neue Version 1.5 des HOB MacGate (Sponsored Software). Die Software ermöglicht den Remote-Desktop-Zugriff auf Mac-Computer über ein Netzwerk – im LAN oder über das Internet. Dieser Zugriff ist von jeder beliebigen Client-Plattform möglich: Windows-PC, Linux-PC, Thin-Client oder von einem anderen Mac aus. In der beigefügten Datei findet sich ein bis zum 31.12.2014 gültiger Lizenzschlüssel nebst Kontakt zum Hersteller HOB, falls eine Verlängerung erwünscht ist.

Einblicke in die hohe Schule des Entwerfens von Krypto-Algorithmen gewährt Verschlüsselungsexperte Klaus Schmeh in der aktuellen Ausgabe seines Grundlagenwerkes „Kryptografie“ (erschienen im dpunkt-Verlag, Heidelberg, 5. erweiterte Auflage, 2013). Eine Leseprobe aus dem Kapitel „Chriffren-Design“ findet sich auf der DVD.

Tails

Die Privatsphäre der Bürger, aber auch der Regierungschefs, steht seit letztem Jahr verstärkt im Fokus der Berichterstattung. Die Veröffentlichungen von Edward Snowden haben gezeigt, dass Kommunikation sowohl im Internet als auch in privaten Netzen ohne Verschlüsselung nicht ausreichend geschützt ist und mehr Menschen mitlesen als nur die beabsichtigten Empfänger. Snowden nutzte für seine vertrauliche Kommunikation mit der Presse diese Distribution: Sie enthält alle Werkzeuge, die notwendig sind, Nutzerspuren maximal zu verwischen und die Inhalte der Kommunikation zu verschleiern.

Basis ist ein Debian-Linux, das von DVD oder USB auf einem beliebigen PC startet. Ohne Installation oder anderweitiges Verändern der Festplatte startet eine Arbeitsumgebung, die die Anonymisierungsfunktion des Tor-Projekts (The Onion Router) und die Verschlüsselung PGP (Pretty Good Privacy) bereitstellt. Theoretisch könnte man die Distribution auch für die tägliche Arbeit nutzen. Allerdings raten die selbst anonym agierenden Herausgeber davon ab, da jede Aktion das Risiko in sich trägt, zugeordnet zu werden, und daher die Nutzung von Tails ebenfalls „datensparsam“, sprich selten, erfolgen sollte.

Beim Start wird ein Minimum an notwendigen Daten abgefragt. Ein typischer Desktop erwartet den Benutzer und Tor ist bereits gestartet. Wer möchte, kann alternativ I2P (Invisible Internet Project) verwenden, einen anderen Onion Router. Tools zum Bearbeiten von Daten und zum Verschlüsseln sind installiert. Wer möchte, kann – sofern er Tails von einem USB-Stick gestartet oder installiert hat – auch einen Speicherbereich einrichten, der über mehrere Sitzungen hinaus bestehen bleibt.

Kali

Die bekannteste Linux-Distribution für Sicherheitsforscher ist ohne Zweifel Kali. Sie ist der Nachfolger von Backtrack und verfolgt die gleichen Ziele, das Überprüfen des Sicherheitsstatus eines Systems durch Einbruchstests. Die Entwickler haben alle für die Untersuchung von IT-Systemen frei verfügbaren Werkzeuge auf einer DVD zusammengefasst. Die neueren Versionen ergänzt eine umfangreiche Sammlung von Forensik-Werkzeugen.

Kali lässt sich direkt von der DVD starten oder lokal auf der Festplatte installieren. Nach dem Installieren kann der Benutzer es mit apt-get auf den neuesten Stand bringen. Nach dem Bootvorgang stellt es einen Arbeitsplatz für Sicherheits- und Einbruchstests gegen Webserver, Netzwerkinfrastruktur, Betriebssysteme sowie sonstige Angriffsziele zur Verfügung. Vom ersten Erforschen eines Netzwerks mit Portscannern wie nmap bis zum Ausführen von Exploits mit dem Angriffs-Framework Metasploit (zusätzlich separat auf der Heft-DVD) lassen sich alle Arbeitsschritte innerhalb der bereitgestellten Umgebung durchführen. Nur das Schreiben eines Berichts ist etwas eingeschränkt, da ein WYSIWYG-Editor fehlt. Im Lieferumfang ist nur Keep-Note und Vim enthalten, sogar Emacs fehlt.

Insgesamt ist Kali für Anfänger wie Profis eine gelungene Arbeitsplattform, die Sicherheitsberater auch gerne als Basis für ihr Audit-Notebook nutzen.

Christoph Puppe (ur)