IT-Zeitschriften, Fachbücher, eBooks, digitale Magazine und vieles mehr - direkt im heise shop online kaufen

alle aktuellen Zeitschriften,

ausgewählte Fachbücher, eBooks und digitale Magazine

ab 15€ oder für Heise-Abonnenten versandkostenfrei

Warenkorb Ihr Warenkorb ist noch leer.
> Als eMagazin für 9,99 €* kaufen

iX Kompakt Security 2014

Zeitschrift

Bewerten Sie dieses Produkt als Erster

Highlights dieser Ausgabe:

  • Sicherheitsmanagment
  • Computerforensik
  • Sichere Cloud
  • Mobile Security
  • große Heft-DVD
Lieferung: 1-4 Tage
Anbieter: Heise Zeitschriften Verlag
Sprache: Deutsch
EAN: 4018837005545
Veröffentlicht: 02.10.2014

Verschlüsselung und kein Ende

Die älteste aller Sicherheitsmaßnahmen, die schon Cäsar bei der Übermittlung seiner Kriegsstrategien einsetzte, ist die Kryptografie. Ohne sie ist keine sichere Kommunikation möglich. Trotz aller Zertifikats-GAUs und Implementierungs-Katastrophen bleibt festzustellen: Sie ist sicher – nur manchmal sperrig. Eine Bestandsaufnahme
ab Seite 72


Allgegenwärtige und gefährliche Mobilgeräte

Die erste Welle mobiler Geräte, mit denen die Mitarbeiter aufs Firmennetz zugreifen wollten, haben die Mobile-Device-Management-Systeme weitgehend im Griff. Doch seit es für alles und jeden eine App gibt, gibt es auch eine neue Kategorie mobiler Gefährdungen. Was dagegen hilft,
ab Seite 104


Sicherheit mit System und Überblick

Zahlreiche Grundlagenwerke erlauben die Erhöhung und Einschätzung des Sicherheitsniveaus der eigenen Firma. Doch ohne Hilfestellungen für die Praxis sind viele im Vorschriftendickicht und Maßnahmenwust verloren. Zahlreiche pragmatische und alltagstaugliche Hinweise finden sich
ab Seite 142


IT-GEFÄHRDUNGEN

NSA & Co.

Datenschutz: Update dringend erforderlich!8

Cybercrime

Digitale Angriffe auf alles und jeden16

Informationsdiebstahl

Einblicke in die Wirtschaftsspionage20

Internetangriffe

Was man gegen Distributed-Denial-of-Service-Attacken tun kann20

Computerkriminalität

Prototypische IT-Bedrohungsszenarien32

TOOLS & STRATEGIEN

Internetzensus

Das Internet scannen und auf Schwachstellen untersuchen40

Browser-Sicherheit

Angriffsrisiken minimieren mit Security-Headern52

Active-Directory-Tools

Kerberos-Keytab-Management mit msktutil 46

Penetrationstests

Die Metasploit-Familie und der Virenschutz im Wettstreit60

Betriebssystemsicherheit

Security-Technik in Windows 8.1 und Windows Server 2012 R266

KRYPTOGRAFIE

Algorithmen

Verschlüsselung als Mittel gegen die Überwachung 72

SSL-Alternative

Umstrittene Allzweckwaffe: HTML-5-Verschlüsselung 77

SSL/TLS

Der Heartbleed-Bug in OpenSSL 80

Kommunikation

Revisited: E-Mail-Verschlüsselung für Unternehmen 82

IT-FORENSIK

Datenschutz

Herausforderung Personenbezug bei der Analyse von Unternehmensdaten90

Investigation Readiness

Vorbereitungen für IT-forensische Untersuchungen 94

Verhinderungsstrategien

Anti-Forensik: Angriffswege und Gegenmaßnahmen 99

MOBILE SECURITY

MDM

Mobiler Gerätewildwuchs im Griff 104

App-Tests

Strukturiertes Durchführen von Sicherheitstests mit Threat Modeling108

Einbruchstests

Penetrationstests für Smartphone-Apps 114

Softwareentwicklung

Apples neue Programmiersprache Swift 122

SICHERE CLOUD

Hosting

Daten speichern in der Wolke 128

Datenübertragung

Erfolgreich verschlüsseln trotz NSA, GCHQ & Co. 132

Qualitätsmanagement

Erstes BSI-Audit für Cloud-Provider 138

SICHERHEITSMANAGEMENT

Security-Status

Selbstbewertung im Unternehmen: Wie sicher sind wir? 142

Recht

Verantwortlichkeiten im Bereich IT-Sicherheit 148

IT-Grundschutz

Wie man IT-Sicherheit sinnvoll in die Praxis umsetzen kann 152

Gefährdungsanalyse

Risiken mit wenig Aufwand erkennen und abschätzen 158

SONSTIGES

Editorial 3
Auf der Heft-DVD 6
Inserentenverzeichnis 162
Impressum 162

Perfekte Welt?


In a perfect world, no one would be able to use anything“, sagt Mordac, der etwas sadistisch anmutende, für IT-Sicherheit zuständige Kollege Dilberts in einem der gleichnamigen Comic-Strips. Benutzbarkeit von Computern ist für ihn ein Fremdwort, alles ist dem hehren Ziel der Sicherheit untergeordnet. So weit wie Mordac muss man zwar nicht gleich gehen, Fakt ist aber, dass Bequemlichkeit und Sicherheit einander in der Regel ausschließen.

Im Internet funktionierten von Anfang an große Teile der Infrastruktur mit Open-Source-Betriebssystemen und -Programmen – etwa Linux oder der Webserver Apache. In anderen Bereichen war freie Software zunächst überwiegend technikaffinen und experimentierfreudigen Naturen vorbehalten.


Ganz ähnlich sieht es mit der Freiheit aus. Im Zuge der Terrorbekämpfung haben Politik und Gesetzgeber in den letzten 13 Jahren Regulierungen eingeführt, die sukzessive die Überwachungsbefugnisse der Behörden und Strafverfolger ausbauten – und zwar immer weniger einzelfall- oder verdachtsbezogen, sondern anlasslos und massenhaft. Ob der Kontrollwahn und die drohende Totalüberwachung durch in- und ausländische Behörden „nur“ dem Vermeiden von Ereignissen wie Nine Eleven dient oder – wie Sascha Lobo es in einer lesenswerten Kolumne interpretiert – generell dem gewünschten Vorhersagen menschlicher Reaktionen und Handlungsweisen à la Minority Report, sei dahingestellt.


Tatsache ist, dass das massive Erfassen und Sammeln von Daten jeder Art die Freiheit massiv bedroht. Und noch ein Beispiel. Unter Sicherheitsberatern ist es ein alter Witz, dem Kunden „sicher“, „billig“ und „bequem“ auf ein Blatt Papier zu schreiben und zu sagen: „Wählen Sie zwei!“ Wie man es dreht und wendet, alle drei gleichzeitig geht nicht. Während die Redakteurin sich noch über den Stellenwert von IT-Sicherheit Gedanken macht, beschäftigt schon ein neuer Fall von Sicherheitsleck die Nachrichtenticker: So wurden der amerikanischen Baumarktkette Home Depot bei einem Hackerangriff Daten von 56 Millionen Kreditkarten entwendet. Wie es scheint, hat das Management jahrelang Warnhinweise der Mitarbeiter auf mangelnde Sicherheitsmaßnahmen und die Angreifbarkeit der Systeme ignoriert – es hat sich offenbar für „bequem“ und „billig“ entschieden. Eines haben diese Beispiele alle gemein: Ein Übertreiben in die eine Richtung zieht immer einen gravierenden Verlust einer anderen Sache nach sich. Hüten wir uns also vor Extremen, die Wahrheit liegt häufig in der schon seit der Antike beschworenen „Aurea Mediocritas“, der goldenen Mitte. Auf IT-Sicherheit bezogen heißt das: Ein Zuwenig an Sicherheitsmaßnahmen hat genauso fatale Auswirkungen wie ein Zuviel. Unternehmen sollten keine Sicherheitsstrategien einführen, die die IT komplett unbenutzbar machen. Mitarbeiter könnten dann eine ungeahnte Kreativität zum Aushebeln der Strategien an den Tag legen. Ebenso wenig sollten sie vor den heutigen Bedrohungen resignieren oder diese gar ignorieren, aus falsch verstandener Sparsamkeit. Skandale kommen Unternehmen teuer zu stehen, und das nicht nur finanziell. Bleibt der Mittelweg: die bestehenden Risiken auszuloten und mit Pragmatismus und Augenmaß ein Sicherheitsbewusstsein und entsprechende Sicherheitsmaßnahmen im Unternehmen zu etablieren. Hilfestellungen und Anregungen gibt es glücklicherweise zahlreiche – einige in diesem Heft.



Ute Roos

Auf der Heft-DVD

Die dem Heft beigelegte DVD bietet eine Auswahl an bootfähigen Linux-Distributionen. Thematischer Schwerpunkt ist die Sicherheit von IT-Systemen, darüber hinaus findet sich dieses Mal auch ein Live-Betriebssystem darunter, das den Anwender vor der Neugierde Dritter schützen soll. Das auch „Snowden-DVD“ genannte Tails [a] beinhaltet zahlreiche Tools, die dem Nutzer helfen, verschlüsselt und möglichst unerkannt zu kommunizieren. So kann er mit der DVD einen beliebigen PC mit Internetanschluss in einen etwas sichereren Arbeitsplatz verwandeln



Des Weiteren befindet sich auf der DVD Kali [b], vormals Backtrack. Die Zusammenstellung ist speziell für die Untersuchung von IT-Systemen, Webanwendungen und Netzwerken auf Sicherheitsprobleme geeignet. Fast alle Open-Source-Tools, die man dafür benötigt, sind enthalten. Für das Retten eines Systems ist die auf der DVD enthaltene Distribution Grml [d] nützlich. Sie bringt Werkzeuge mit, die den Administrator beim Finden und Beheben von Fehlern auf Unix-Systemen unterstützen.



Auf der DVD befindet sich außerdem die für iX-Leser vorab verfügbare neue Version 1.5 des HOB MacGate (Sponsored Software). Die Software ermöglicht den Remote-Desktop-Zugriff auf Mac-Computer über ein Netzwerk – im LAN oder über das Internet. Dieser Zugriff ist von jeder beliebigen Client-Plattform möglich: Windows-PC, Linux-PC, Thin-Client oder von einem anderen Mac aus. In der beigefügten Datei findet sich ein bis zum 31.12.2014 gültiger Lizenzschlüssel nebst Kontakt zum Hersteller HOB, falls eine Verlängerung erwünscht ist.



Einblicke in die hohe Schule des Entwerfens von Krypto-Algorithmen gewährt Verschlüsselungsexperte Klaus Schmeh in der aktuellen Ausgabe seines Grundlagenwerkes „Kryptografie“ (erschienen im dpunkt-Verlag, Heidelberg, 5. erweiterte Auflage, 2013). Eine Leseprobe aus dem Kapitel „Chriffren-Design“ findet sich auf der DVD.


Tails

Die Privatsphäre der Bürger, aber auch der Regierungschefs, steht seit letztem Jahr verstärkt im Fokus der Berichterstattung. Die Veröffentlichungen von Edward Snowden haben gezeigt, dass Kommunikation sowohl im Internet als auch in privaten Netzen ohne Verschlüsselung nicht ausreichend geschützt ist und mehr Menschen mitlesen als nur die beabsichtigten Empfänger. Snowden nutzte für seine vertrauliche Kommunikation mit der Presse diese Distribution: Sie enthält alle Werkzeuge, die notwendig sind, Nutzerspuren maximal zu verwischen und die Inhalte der Kommunikation zu verschleiern.

Basis ist ein Debian-Linux, das von DVD oder USB auf einem beliebigen PC startet. Ohne Installation oder anderweitiges Verändern der Festplatte startet eine Arbeitsumgebung, die die Anonymisierungsfunktion des Tor-Projekts (The Onion Router) und die Verschlüsselung PGP (Pretty Good Privacy) bereitstellt. Theoretisch könnte man die Distribution auch für die tägliche Arbeit nutzen. Allerdings raten die selbst anonym agierenden Herausgeber davon ab, da jede Aktion das Risiko in sich trägt, zugeordnet zu werden, und daher die Nutzung von Tails ebenfalls „datensparsam“, sprich selten, erfolgen sollte.

Beim Start wird ein Minimum an notwendigen Daten abgefragt. Ein typischer Desktop erwartet den Benutzer und Tor ist bereits gestartet. Wer möchte, kann alternativ I2P (Invisible Internet Project) verwenden, einen anderen Onion Router. Tools zum Bearbeiten von Daten und zum Verschlüsseln sind installiert. Wer möchte, kann – sofern er Tails von einem USB-Stick gestartet oder installiert hat – auch einen Speicherbereich einrichten, der über mehrere Sitzungen hinaus bestehen bleibt.


Kali

Die bekannteste Linux-Distribution für Sicherheitsforscher ist ohne Zweifel Kali. Sie ist der Nachfolger von Backtrack und verfolgt die gleichen Ziele, das Überprüfen des Sicherheitsstatus eines Systems durch Einbruchstests. Die Entwickler haben alle für die Untersuchung von IT-Systemen frei verfügbaren Werkzeuge auf einer DVD zusammengefasst. Die neueren Versionen ergänzt eine umfangreiche Sammlung von Forensik-Werkzeugen.

Kali lässt sich direkt von der DVD starten oder lokal auf der Festplatte installieren. Nach dem Installieren kann der Benutzer es mit apt-get auf den neuesten Stand bringen. Nach dem Bootvorgang stellt es einen Arbeitsplatz für Sicherheits- und Einbruchstests gegen Webserver, Netzwerkinfrastruktur, Betriebssysteme sowie sonstige Angriffsziele zur Verfügung. Vom ersten Erforschen eines Netzwerks mit Portscannern wie nmap bis zum Ausführen von Exploits mit dem Angriffs-Framework Metasploit (zusätzlich separat auf der Heft-DVD) lassen sich alle Arbeitsschritte innerhalb der bereitgestellten Umgebung durchführen. Nur das Schreiben eines Berichts ist etwas eingeschränkt, da ein WYSIWYG-Editor fehlt. Im Lieferumfang ist nur Keep-Note und Vim enthalten, sogar Emacs fehlt.

Insgesamt ist Kali für Anfänger wie Profis eine gelungene Arbeitsplattform, die Sicherheitsberater auch gerne als Basis für ihr Audit-Notebook nutzen.

Christoph Puppe (ur)


Um bewerten zu können, melden Sie sich bitte an