Trau, schau wem! - Newsletter 04 / 2012 - m-privacy GmbH

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 1 von 12
Trau, schau wem! - Newsletter 04 / 2012
Werte Leserinnen und Leser,
dieser Tage jährt sich eine der größten Schiffskatastrophen aller Zeiten. Genau vor 100 Jahren versank
ein weltbekannter Luxusliner durch eine Verkettung unglücklicher Umstände im Nordatlantik. Seitdem
wurde die Aussage von der „unsinkbaren Titanic“ zum geflügelten Wort für unhaltbare Werbeaussagen.
Letztere sind überall dort weit verbreitet, wo ein gutes Geschäft lockt. Zwar geht es zum Glück in der
Regel nicht um Menschenleben. Doch der Kunde ist letztlich der Geprellte und merkt zu spät, dass ein
Produkt nicht hält, was die Werbung versprach. Nicht immer haben Anwender die Chance, die Manöver
der Anbieter zu durchschauen - und nicht immer helfen unabhängige Testorganisationen dabei. Die
seriöse IT-Sicherheitsbranche macht leider keine Ausnahme von der unrühmlichen Regel. Ob vermeintlich
zuverlässige Virenscanner, hoffentlich ausbruchssichere Browser-Sandboxes oder „kosteneffektives
sorgenfreies Surfen“ mit lokalen Virtualisierungslösungen: man buhlt allerorten um Vertrauen.
Es sollte kein blindes sein.
Informative Lektüre wünscht
Patrick Leibbrand
Presse und Öffentlichkeitsarbeit
P.S.:
Fragen? Anregungen? Rückmeldung? Gerne!
Schreiben Sie an: p.leibbrand@m-privacy.de. Ich freue mich auf Ihre Nachricht!
Der m-privacy-Newsletter im April 2012:
1. Top-Thema: Trennung von Ausführungsumgebungen - sinnvoll und praktisch
2. Aus der Entwicklungsabteilung: Mehr Leistung mit weniger Bandbreite
3. ReCoBS - das unbekannte Wesen. Wissen Sie Bescheid?
4. Betriebssysteme: Was heißt hier eigentlich „gehärtet“?
5. Tipps & Tricks: Server überwachen mit Nagios
6. Stichwort des Monats: Appliance
7. Termine und Veranstaltungen
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 2 von 12
1 . Top-Thema: Trennung der Ausführungsumgebung - sinnvoll und praktisch
Steigender Angriffsdruck, zunehmende Vernetzung und Dienstintegration bei zugleich schwierigeren
wirtschaftlichen Rahmenbedingungen erforderten neue Überlegungen. Glücklicherweise wurde der
Gedanke von der Trennung der Ausführungsumgebungen nie ganz begraben. Die derzeit beste
Kombination aus der hohen Schutzwirkung einer physikalischen Trennung der Ausführungsumgebung
und möglichst aufwandsökonomischer Systemintegration ist das dedizierte Remote-Controlled Browser
System (ReCoBS).
2 . Aus der Entwicklungsabteilung: Mehr Leistung mit weniger Bandbreite
Dedizierten ReCoB-Systemen wird gelegentlich ein gar zu generöser Umgang mit Netzwerkbandbreite
nachgesagt. Das stimmt jedoch nur eingeschränkt: Bei ruhendem Desktop werden kaum Daten übertragen.
Ändert sich dagegen der Bildschirminhalt häufig, belegt jedes Übertragungsverfahren vergleichsweise
viel Bandbreite, da die zu übermittelnden Informationen nur begrenzt komprimierbar sind.
Doch es gibt Optimierungspotenzial, das sich nutzen lässt ...
3 . ReCoBS - das unbekannte Wesen. Wissen Sie Bescheid?
Bis Remote-Controlled Browser Systems so selbstverständlich sind wie etwa Internetbrowser, wird
noch einige Zeit vergehen. Noch immer machen viele Missverständnisse, Gerüchte und Halbwahrheiten
die Runde. Interessierte Sicherheits- und Systemverantwortliche tun sich schwer, an fundierte
Informationen zu gelangen, auf deren Basis sich sachgerechte Entscheidungen treffen lassen. Wir
wollen dazu beitragen, dass sich der Nebel lichtet und präsentieren unsere Top-10 der Irrtümer und
Missverständnisse zu ReCoBS.
4 . Betriebssysteme: Was heißt hier eigentlich „gehärtet“?
Bestimmt haben Sie auch schon einmal von einem „gehärteten“ IT-System gehört. Ebenso oft, wie der
Begriff in Werbepublikationen auftaucht, bleiben die tatsächlich seitens der Entwickler ergriffenen
Maßnahmen im Dunkeln. Der eine oder andere Entscheider mag sich über die willkommene Entlastung
von gar zu viel „Tech-Talk“ freuen, dennoch gilt: Mehr „Härte“ kostet auch mehr Geld. Und „hart“ ist sehr
relativ, genaues Hinsehen zahlt sich aus.
5 . Tipps und Tricks: Server überwachen mit Nagios
Insbesondere die Fernüberwachung spielt beim Servermonitoring eine Hauptrolle, denn die Geräte sind
räumlich in der Regel mehr oder minder stark verteilt, so dass Prüfungen an lokalen Konsolen auf
Ausnahmefälle beschränkt bleiben müssen. Stattdessen wird spezielle Fernüberwachungssoftware
eingesetzt. Unter den zahlreichen kommerziellen und freien Produkten hat Nagios eine weite Verbreitung
gefunden. Bei uns sogar noch vielseitiger mit unseren speziellen Modulen!
6 . Stichwort des Monats: Appliance
Eine Appliance ist nichts Anderes als eine werksseitig vorinstallierte und konfigurierte Kombination aus
Hardware und dazugehöriger Software. Aufstellen, anschließen, läuft - so könnte man das Anwendungsmuster
einer Appliance beschreiben. Natürlich könnte man auch „Komplettsystem“ sagen -
doch der englische Terminus „Appliance“ hat sich so etabliert wie „Cursor“ oder „Touchscreen“. Was ist
der Vorteil einer Appliance?
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 3 von 12
7 . Termine und Veranstaltungen
Die m-privacy GmbH freut sich, anlässlich der folgenden Veranstaltungen mit Ihnen in Kontakt zu
treten:
25. / 26. September 2012 / Berlin, dbb forum berlin
PITS - Public IT Security
Kongress und Messe mit begleitender Fachausstellung speziell für IT-Sicherheit in der öffentlichen
Verwaltung.
Wir freuen uns auch über Ihren Besuch an unserem Informationsstand im Rahmen der begleitenden
Fachausstellung. Die Teilnahme ist für Angehörige öffentlicher Einrichtungen und Behörden kostenfrei.
Veranstalter: Behörden Spiegel / ProPress Verlagsgesellschaft mbH
Weitere Informationen: http://www.public-it-security.de
16. - 18. Oktober 2012 / Nürnberg, NürnbergMesse
it-sa - Die IT-Security-Messe
Veranstalter: NürnbergMesse in Kooperation mit der SecuMedia Verlags-GmbH
Weitere Informationen: http://www.it-sa.de
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 4 von 12
1 . Top-Thema: Trennung von Ausführungsumgebungen - sinnvoll und praktisch
Nicht immer sind es nur die technischen Probleme, deren Lösung die Markteinführung eines viel versprechenden
Produkts verzögern. Typisch menschliche Versuche, Bewährtes zu erhalten, ökonomische
Betrachtungen oder auch schlichtweg mangelndes Bewusstsein hinsichtlich der Notwendigkeit
einer Neuerung können mindestens ebenso hinderlich sein. Zum Trost kann man fast sicher davon
ausgehen, dass sich probate Lösungen schlussendlich immer durchsetzen. Gerade der „Early Adopter“
profitiert dabei weitaus eher von besonderen Vorteilen neuer Technologien als etwa ein Mitbewerber.
Das Konzept der Trennung der Ausführungsumgebung angriffsgefährdeter Applikationen vom PC-
Arbeitsplatz ist ein gutes Beispiel. Schon bald nach dem Wandel des Internets von der wissenschaftlichen
Spezialität zum Massenphänomen kam es zu zahlreichen Sicherheitsproblemen infolge von
Lücken in internetgebunden Applikationen, die sich zu Attacken gegen Arbeitsplatzrechner und Netzwerke
ausnutzen ließen. Parallel versuchte man, diese Bedrohungen automatisiert zu erkennen und mit
geeigneten Filtern von der eigenen Infrastruktur fernzuhalten. Das hatte mäßigen Erfolg, wie wir seit
Längerem wissen.
Institutionen mit hohem Schutzbedürfnis sind von Anfang an einen anderen Weg gegangen: Sie vermieden
jede Verbindung ihrer internen Netzwerke mit dem offenen Internet. Eine solche Konnektivität
war nur ausgewählten Maschinen vorbehalten, die wiederum mit internen Ressourcen in keinerlei
Kontakt standen - die Idee von der Trennung der Ausführungsumgebung war erstmalig technisch
implementiert. Sowohl Angriffe aus dem Internet als auch unkontrollierter Datenabfluss aus internen
Netzwerken wurden zuverlässig unterbunden. Doch der Preis für Investitionen in zusätzliche Hardware
und aufwandsbedingte Produktivitätsverluste war hoch und wird es dort bleiben, wo dieses Prinzip bis
heute angewandt wird.
Steigender Angriffsdruck, zunehmende Vernetzung und Dienstintegration bei zugleich schwierigeren
wirtschaftlichen Rahmenbedingungen erforderten neue Überlegungen. Glücklicherweise wurde der
Gedanke von der Trennung der Ausführungsumgebungen nie ganz begraben. Unter dem Eindruck der
letztlich prinzipbedingt begrenzten Wirksamkeit filternder Schutzmaßnahmen in Form von Malware-Scannern
oder Firewalls entwickelte man die Sandbox-Konzepte. Es gibt sie heute in vielerlei
Gestalt für Internetbrowser wie Google Chrome ebenso wie für Hilfsapplikationen wie Adobe Flash.
Doch die damit erreichbare Trennung der Ausführungsumgebung erwies sich als vergleichsweise leicht
überwindbar. Immer wieder gelingt es Angreifern bzw. deren Schadcode, aus dem rein softwaretechnisch
„umzäunten Sandkasten“ auszubrechen.
Mit den derzeit propagierten lokalen Virtualisierungslösungen dürfte das Sandbox-Prinzip seinen vorläufigen
Höhepunkt erreicht haben. Dabei wird nicht nur eine Applikation - also etwa der Internetbrowser
- in einer Sandbox gekapselt. Stattdessen wird eine komplette Systemumgebung in einer
virtuellen Maschine gestartet, die nur über restriktiv konfigurierte Schnittstellen mit dem Betriebssystem
des Arbeitsplatz-PCs kommunizieren darf. Prominenter Vertreter dieser Gattung ist der Browser-in-the-
Box (BitBox) der Sirrix AG, der im Auftrag des Bundesamts für Sicherheit in der Informationstechnik
(BSI) entwickelt wurde.
Es sei deutlich darauf hingewiesen, dass auch der BitBox „nur“ eine Variation des Sandbox-Prinzips
darstellt. Letzteres weist einige bemerkenswerte, systemimmanente Schwachstellen auf, die rein softwaretechnisch
nicht kompensierbar sind. Host- und Gastbetriebssystem (in der virtuellen Maschine)
befinden sich auf demselben Rechner. Sie nutzen denselben Arbeitsspeicher und bedienen die
gleichen physikalischen Schnittstellen. Ähnlich wie etwa bei der Sandbox des Chrome-Browsers erfolgt
die Trennung ausschließlich programmtechnisch.
Grundlegende Probleme etablierter Betriebssysteme wie etwa die generell zu grobmaschige Zugriffsrechtekontrolle
machen diese Art der Absicherung besonders problematisch. Im Grunde kann softwareseitig
gar nicht sichergestellt werden, dass ein Angreifer aus dem Internet tatsächlich keinen Weg
findet, aus der virtuellen Maschine des BitBox auszubrechen und auf den Arbeitsplatzrechner zu gelangen
bzw. sich dessen Schnittstellen zu bemächtigen. Es existiert in konventionellen Systemen
schlicht kein Berechtigungssystem mit entsprechenden Abstufungen, das eine feingranulare
Konfiguration herstellerseitig zuließe.
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 5 von 12
Derzeit muss man davon ausgehen, dass es nicht in einer besonderen Schutzwirkung des BitBox-
Ansatzes begründet liegt, dass noch nichts zu dessen Überwindung bekannt wurde. Wahrscheinlich
wurden noch keine diesbezüglichen Versuche unternommen. An der grundsätzlichen Verwundbarkeit
der Methode ändert das nichts - ungeachtet ihres Charmes hinsichtlich einer Trennung der Ausführungsumgebung
unter Verwendung ohnehin vorhandener Ressourcen des Arbeitsplatzrechners.
Doch was nützt einerseits eine einfache Lösung, die Defizite hinsichtlich der Sicherheit aufweist?
Welche Marktchancen wird man andererseits einer Implementierung einräumen, welche die
physikalische Trennung der Ausführungsumgebung mittels getrennter Geräte und Netzwerke zwar
perfekt realisiert, aber unangemessenen Aufwand erfordert?
Die derzeit beste Kombination aus der hohen Schutzwirkung einer physikalischen Trennung der Ausführungsumgebung
und möglichst aufwandsökonomischer Systemintegration ist das dedizierte
Remote-Controlled Browser System (ReCoBS). Die zu sichernde internetgebundene Applikation, beispielsweise
der Browser, wird dabei nicht mehr auf dem Arbeitsplatzrechner ausgeführt. Sie wird auf
ein vorgeschaltetes Schutzsystem ausgelagert. Dennoch sind keine separaten „Internet-PCs“ und
womöglich ein getrenntes, „unreines“ Netzwerk erforderlich. Der derzeitige Stand der ReCoBS-Technik
wird durch TightGate -Pro markiert, dem dedizierten ReCoB-System mit maximalem Eigenschutz für
Internetnutzung am Arbeitsplatz ohne funktionale Einschränkungen.
TightGate -Pro übernimmt anstelle des Arbeitsplatzrechners die Ausführung des Browsers und ruft die
angeforderten Web-Daten aus dem Internet ab. Dem Rechner des Anwenders wird lediglich die Bildschirmausgabe
über ein grafikbasiertes Protokoll zugeleitet. Auch aktive Inhalte einschließlich Java,
JavaScript oder Adobe Flash sind gefahrlos nutzbar. Selbst neueste Bedrohungen werden konzeptbedingt
vorbeugend neutralisiert. TightGate -Pro ist umfassend multimediafähig und entspricht vollumfänglich
dem Schutzprofil PP 0040 „ReCoBS“ des Bundesamts für Sicherheit in der Informationstechnik
(BSI). Damit leistet TightGate -Pro auch hinsichtlich seiner Spezifikation entscheidend mehr als
der ebenfalls durch das BSI beauftragte Browser-in-the-Box (BitBox).
Damit nicht genug: Das speziell unter Sicherheitsaspekten grundlegend erweiterte und mit einer feingranularen
Zugriffsrechtekontrolle ausgerüstete Betriebssystem von TightGate -Pro sorgt für ausgezeichneten
Eigenschutz des ReCoBS-Servers. Es handelt sich explizit nicht um ein „Opfersystem“ -
vielmehr ist TightGate -Pro die massive Barriere gegen Angriffe aus dem Internet und unbefugten
Datenabfluss, widersteht auch höchstem Angriffsdruck und gewährleistet IT-Sicherheit ebenso wie Betriebssicherheit.
Nicht zuletzt unter betriebswirtschaftlichen Aspekten ist TightGate -Pro als dedizierte Appliance mehr
als nur eine Überlegung wert. Das leicht administrierbare Komplettsystem wird mit umfassendem
Kundendienstpaket angeboten und spielt insbesondere in größeren Infrastrukturen seine Vorteile aus.
Dabei sollte bedacht werden, dass auch lokale Virtualisierungslösungen wie der BitBox nicht gänzlich
ohne Hardware-Komponenten auskommen und merkliche laufende Kosten verursachen. Dieser Umstand
relativiert zusammen mit der geringeren Schutzwirkung den vermeintlich günstigeren Einstandspreis
im Vergleich zum dedizierten ReCoBS TightGate -Pro deutlich.
Nebenbei: TightGate -Pro ist vielfach praxisbewährt, speziell in sicherheitskritischen Umgebungen.
Namhafte Bundes- und Landesbehörden nutzen den Schutz und profitieren von einfacher Verwaltung
und großem Funktionsumfang. Auch Verwaltungseinrichtungen, Banken und Industriebetriebe haben
die Vorteile von TightGate -Pro erkannt.
Wie bei vielen anderen Innovationen vergrößert sich der Kreis der Eingeweihten auch bei TightGate -
Pro im Lauf der Zeit. Sie gehören dazu - nutzen Sie Ihren Vorsprung!
Erfahren Sie mehr:
Alles über TightGate -Pro:
http://www.m-privacy.de/produkte/tightgate-pro/
Die TightGate -Technologie: Was steckt dahinter?
http://www.m-privacy.de/unternehmen/technologie
Browser in The Box - BitBox der Sirrix AG
http://www.sirrix.de/content/pages/BitBox.htm
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 6 von 12
2 . Aus der Entwicklungsabteilung: Mehr Leistung mit weniger Bandbreite
Es ist letztlich die physikalische Trennung des internen Firmen- oder Behördennetzwerks vom Internet,
die TightGate -Pro so sicher macht. Rein softwaretechnisch lässt sich das nicht erreichen, es bedarf
zwingend eines weiteren Servers. Dieser ReCoBS-Server führt alle Internetbrowser sämtlicher
Arbeitsplatzrechner stellvertretend aus, nach dem Prinzip: Browser hier - Arbeitsplatz dort. Und dazwischen
ist … nichts! Jedenfalls für einen Außenstehenden, denn elektrisch gesehen gibt es natürlich
durchaus eine Leitungsverbindung. Für einen Angreifer aus dem Internet sind die Arbeitsplatzrechner
aber nicht mit dem Internet verbunden und damit unerreichbar für jegliche Kompromittierungsversuche.
Möglich wird das durch das verwendete Protokoll, es überträgt ausschließlich Bilddaten, Maus- und
Tastatursignale. Wir bezeichnen es als funktionsspezifisch, denn es kann nur, was es können muss -
und das ist nicht eben viel. Aber die Fähigkeiten dieses „dummen“ Protokolls genügen hier vollauf und
senken die Möglichkeiten eines Angreifers hinsichtlich der missbräuchlichen Verwendung der Übertragungswege
faktisch auf Null. Steuerkommandos oder Dateisystemoperationen etwa, die beim zu
ähnlichen Zwecken verbreiteten Remote Desktop Protocol (RDP) immer wieder Sicherheitsprobleme
aufwerfen? Fehlanzeige!
Die geringe „Intelligenz“ des Übertragungsprotokoll schützt vor Angriffen und unbefugtem Datenabfluss
in das Internet. Leider benötigen solche Übertragungsverfahren auch mehr Netzwerkbandbreite als
höher entwickelte, „mächtigere“ Protokolle. Die Folge ist ein größeres Datenaufkommen innerhalb der
zu schützenden Netzwerke. In heutigen Gigabit-Infrastrukturen ist zwar in der Regel kein Engpass zu
erwarten, doch auch andere Anwendungen zeichnen sich durch wachsenden Bandbreitenbedarf aus.
Bei weitläufigen Topologien mit entfernten Außenstellen gibt es bisweilen Einschränkungen hinsichtlich
der erreichbaren Übertragungsraten, weswegen der effiziente Umgang mit dieser Ressource nach wie
vor geboten erscheint.
Dedizierten ReCoB-Systemen wird gelegentlich ein gar zu generöser Umgang mit Netzwerkbandbreite
nachgesagt. Das stimmt jedoch nur eingeschränkt: Bei ruhendem Desktop werden kaum Daten übertragen.
Ändert sich dagegen der Bildschirminhalt häufig, belegt jedes Übertragungsverfahren vergleichsweise
viel Bandbreite, da die zu übermittelnden Informationen nur begrenzt komprimierbar sind.
Dieser Zusammenhang ist auch auf die parallel stattfindende Audioübertragung anwendbar, weswegen
alternative Protokolle dem bei TightGate -Pro verwendeten Verfahren in Sachen Effizienz kaum Vorteile
für sich verbuchen. Klar unterlegen sind sie dagegen in Sachen Sicherheit.
So haben wir uns entschieden, das bislang ungenutzte Optimierungspotenzial zu erschließen, das in
unserem seit vielen Jahren bewährten Protokoll steckt. Zu unserem Erstaunen ließ sich der Bandbreitenbedarf
im Durchschnitt deutlich reduzieren, ohne dass die Darstellungsqualität insbesondere bei
kritischen, bewegten Inhalten merklich leidet. Das Ergebnis: Ein Maß an Sicherheit und Effizienz, das
keinen Vergleich mit weit weniger sicheren Alternativen zu scheuen braucht! Gar nicht so dumm, oder?
Erfahren Sie mehr:
ReCoB-Systeme in der Praxis:
http://www.m-privacy.de/unternehmen/technologie/recobs
TightGate-Pro im Detail:
http://www.m-privacy.de/produkte/tightgate-pro
3 . ReCoBS - das unbekannte Wesen. Wissen Sie Bescheid?
Bis Remote-Controlled Browser Systems so selbstverständlich sind wie etwa Internetbrowser, wird
noch einige Zeit vergehen. Noch immer machen viele Missverständnisse, Gerüchte und Halbwahrheiten
die Runde. Interessierte Sicherheits- und Systemverantwortliche tun sich schwer, an fundierte
Informationen zu gelangen, auf deren Basis sich sachgerechte Entscheidungen treffen lassen. Wir
wollen dazu beitragen, dass sich der Nebel lichtet und präsentieren unsere
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 7 von 12
Top-10 der Irrtümer und Missverständnisse zu ReCoBS:
1. ReCoB-Systeme sind unverhältnismäßig teuer.
Nein, bei sachgerechter Berechnung der Vollkosten nicht. Ein professionelles, dediziertes ReCoB-
System wie TightGate -Pro wird als betriebsfähige Appliance mit umfassenden Kundendienstpaket geliefert.
Die Installation ist in kürzester Zeit erledigt, komplexe Konfigurations- oder Testprozesse sind in
der Regel nicht notwendig. Zusammen mit der einfachen Administration im laufenden Betrieb spart
TightGate -Pro letztlich mehr als filternde Systeme oder Eigenbaulösungen bei wesentlich höherer
Schutzwirkung.
2. ReCoB-Systeme sind umständlich zu installieren.
Ein hartnäckiges Gerücht - und völlig falsch. TightGate -Pro kann von jedem Systemverantwortlichen
binnen Minuten in Betrieb genommen werden. Ausführliche Begleitunterlagen, deutschsprachige
Menüführung und ein kompetenter Kundendienst sorgen dafür, dass alles reibungslos abläuft.
3. ReCoB-Systeme sind schwer zu verwalten.
Im Gegenteil - die Administration geht nach kurzer Gewöhnung ausgesprochen leicht von der Hand.
Das eingängige Rollenkonzept sorgt nicht nur für ein hohes Maß an zusätzlicher Systemsicherheit,
sondern kommt auch der Benutzerfreundlichkeit zugute. Bitte weitersagen!
4. Ein ReCoBS kann man auch selbst bauen.
Stimmt, wenn Sie viel Zeit und Geld mitbringen und nicht allzu viel Wert auf IT- und Betriebssicherheit
legen. Konzeption, Auswahl der Basistechnologie, Auslegung, Implementierung, Konfiguration: all das
haben wir schon für Sie erledigt. Und zwar bis hinunter auf die Kernelebene des Betriebssystems,
damit das ReCoBS auch stärkstem Angriffsdruck aus dem Internet widersteht. Last but not least sind
unsere Systeme vielfach getestet und seit Jahren in unterschiedlichsten Umfeldern praxisbewährt. Alles
Out-of-the-Box. Eigenkreationen bieten meist weniger, kosten aber insgesamt deutlich mehr.
5. Ein ReCoBS belastet das Netzwerk zu stark.
Zum Glück nicht. Das verwendete Übertragungsprotokoll überträgt kaum Daten zwischen dem
Arbeitsplatzrechner und dem ReCoBS-Server, wenn sich der Bildschirminhalt nur wenig ändert.
Lediglich bei Videosequenzen steigt der Bandbreitenbedarf an. Intelligente Kompressionsverfahren
sorgen dafür, dass das Protokoll trotz hoher Sicherheit ähnlich effizient arbeitet wie wesentlich weniger
sichere Verfahren. In modernen Firmen- und Behördennetzwerken ist generell kein Bandbreitenengpass
zu erwarten.
6. Ein ReCoBS bedeutet Einschränkungen beim Surfen.
Längst nicht mehr. Sie können alle Web-Inhalte darstellen, auch aktive Inhalte mit Java, JavaScript
oder Adobe Flash sind kein Problem. Audio- und Videoübertragungen sind ebenso möglich wie Up- und
Downloads. Alles einfach wie gewohnt und ohne „schlechtes Gefühl“ bezüglich der allgegenwärtigen
Gefahr durch Malware oder Datenspione. Surfen Sie wie immer - aber sicher!
7. Ein ReCoBS arbeitet nicht mit Windows.
Korrekt, aber davon bekommt der Anwender nichts mit. TightGate -Pro ist plattformübergreifend nutzbar.
Als Benutzer sieht man denselben Browser, den man auch aus Microsoft Windows, Mac OS X oder
Linux kennt: Mozilla Firefox, mit allen Möglichkeiten der Personalisierung und Erweiterung. Wer bislang
den Internet Explorer verwendet hat, kann Bookmarks und Lesezeichen mit wenigen Handgriffen importieren
und profitiert von da an von noch mehr Bedienkomfort und Flexibilität. Übrigens: Auf die Darstellung
der Internetinhalte hat die Wahl des Browsers heute keinen nennenswerten Einfluss mehr.
Sites, die den IE zwingend voraussetzen, haben mittlerweile Seltenheitswert - und sie werden bald
ganz verschwunden sein.
8. „Browser in the Box“ ist billiger als ein ReCoBS und schützt genauso gut.
Schön wär‘s - doch das käme der unerreichbaren Quadratur des Kreises gleich. Der BitBox ist eine
lokale Virtualisierungslösung und damit letztendlich nichts anderes als ein Sandbox-System. Dieses
Konzept hat sich in der Vergangenheit stets früher oder später als kompromittierbar herausgestellt. Das
ist an sich auch kein Wunder, denn die Trennwirkung, die ein physikalisch abgesetzter Serverrechner
entfaltet, kann rein softwaretechnisch auf einer gemeinsamen Hardwareplattform für Host- und Gastbetriebssystem
nicht nachgebildet werden. Wo sich zwei Systeme denselben Speicher teilen und auf
dieselben Schnittstellen zugreifen, sind An- und Übergriffsszenarien nicht zuletzt infolge der schwachen
Zugriffsrechtekontrolle etablierter Betriebssysteme regelrecht vorprogrammiert. Hinzu kommt: Auch der
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 8 von 12
BitBox kommt nicht ganz ohne dedizierte Hardware aus und ist in der kommerziellen Version mit
laufenden Kosten verbunden. Last but not least gibt es nach unserem derzeitigen Kenntnisstand noch
wenig Erfahrung mit dem System in professionell genutzten Infrastrukturen, aus denen sich dessen
Verwendbarkeit in bestimmten Anwendungsszenarien ableiten ließe. TightGate -Pro kennt diese
Probleme nicht: Das System schützt perfekt durch physikalische Trennung, funktionsspezifisches
Protokoll ins interne Netzwerk und kernelseitige Hochsicherheit für das Serversystem. Es ist vielfach
praxisbewährt und überzeugt auch kritische Anwender in sicherheitsrelevanten Umgebungen - und
zwar ohne verwirrendes Preis- und Lizenzmodell.
9. Ein ReCoBS ist nur etwas für Großkonzerne und Behörden.
Wer sagt das? Ein TightGate -Pro-System bringt bereits Anwendergruppen ab 10 Arbeitsplätzen
kosteneffizient ins Internet. Generell genügen für bis zu 50 Arbeitsplätze handliche Einzelsysteme; erst
darüber hinaus sind leistungsstärkere Rechnerverbünde (Clustersysteme) erforderlich. Die meisten
unserer Kunden arbeiten seit Jahren unterbrechungs- und störungsfrei mit ihrer TightGate -Installation.
Für uns eines der schönsten Komplimente: Man hört nichts, man sieht nichts - TightGate -Pro
funktioniert einfach und schützt tagein, tagaus!
10. Ein ReCoBS passt nicht in unsere Firmen-IT.
Probieren geht über Studieren. Fordern Sie völlig unverbindlich eine Teststellung an! Gegen einen
Kostenbeitrag erhalten Sie eine betriebsbereit vorkonfigurierte TightGate -Appliance für einen zu vereinbarenden
Zeitraum zu Ihrer freien Evaluierung. Ein Mitarbeiter unseres technischen Kundendienstes
installiert das Gerät bei Ihnen vor Ort und weist Sie in alle Aspekte zur Bedienung und Administration
ein. Nach einer ausführlichen Testphase können Sie abschätzen, inwiefern TightGate -Pro unmittelbar
eingesetzt werden kann und wo Anpassungen notwendig wären. Letztere sind für uns als Hersteller
natürlich gar kein Problem. Was wider Erwarten wirklich nicht passt, wird passend gemacht!
Sie haben etwas Interessantes über ReCoBS gehört und wissen nicht, was Sie davon halten
sollen?
Dann fragen Sie uns. Informationen aus 1. Hand sind durch nichts zu ersetzen!
Erfahren Sie mehr:
So funktioniert der Angriff via Webbrowser:
http://www.m-privacy.de/produkte/tightgate_pro/szenario
Die TightGate -Technologie: Was steckt dahinter?
http://www.m-privacy.de/unternehmen/technologie
4 . Betriebssysteme: Was heißt hier eigentlich „gehärtet“?
Bestimmt haben Sie auch schon einmal von einem „gehärteten“ IT-System gehört. Ebenso oft, wie der
Begriff in Werbepublikationen auftaucht, bleiben die tatsächlich seitens der Entwickler ergriffenen
Maßnahmen im Dunkeln. Der eine oder andere Entscheider mag sich über die willkommene Entlastung
von gar zu viel „Tech-Talk“ freuen, dennoch gilt: Mehr „Härte“ kostet auch mehr Geld. Und „hart“ ist sehr
relativ.
Genaues Hinsehen zahlt sich also aus, und das in doppelter Hinsicht. Einerseits vermeidet man unnötige
Investitionen, die schließlich weit weniger halten, als die Produktbroschüre verspricht.
Andererseits bieten tatsächlich umfassend und fachgerecht gehärtete IT-Systeme ein deutliches Plus
an Sicherheit, auf das man insbesondere bei unternehmenskritischen Internetanwendungen keinesfalls
verzichten sollte.
Gerade Rechner- oder Betriebssysteme aus dem Bereich der IT-Sicherheit werden vielfach als „gehärtet“
angepriesen. Entsprechend einer Definition des Bundesamts für Sicherheit in der Informationstechnik
(BSI) kann es dazu ausreichen, alle unnötigen Programme und Dienste von einem Server zu
entfernen. Für gewiefte Werbestrategen ist das System damit „gehärtet“, aus unserer Sicht sind derlei
selbstverständliche und eher banale Vorkehrungen allenfalls die Grundlage für eine wesentlich weitergehende,
grundlegende Absicherung.
Unsere Appliances der TightGate -Produktlinie stehen an „vorderster Front“, wenn es um die Nutzung
des offenen Internets in professionell genutzten Infrastrukturen geht. Sie müssen dem ständig
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 9 von 12
steigenden Angriffsdruck aus dem Internet dauerhaft standhalten können, ohne infolge der Aktivitäten
unzähliger Cyberkrimineller zu Betriebsstörungen oder zu Ausfällen zu tendieren. Dieser hohe Anspruch
ist nicht leicht erfüllbar, denn selbst bei Beschränkung der vorhandenen Programme und
Dienste auf einem Serverrechner auf das unumgängliche Maß sind die Möglichkeiten für ausnutzbare
Fehler in diesen Softwarekomponenten schier unendlich.
Eine wirkungsvolle „Härtung“ eines ReCoBS-Servers wie TightGate -Pro erstreckt sich daher bei uns
auf sämtliche Applikationen sowie auf das Basisbetriebssystem bis hinunter zur Kernelebene. Dort
haben wir die herkömmliche Zugriffsrechtekontrolle um die so genannte Rule-Set Based Access
Control (RSBAC) erweitert. Es handelt sich dabei um ein weltweit führendes Konzept der feingranularen,
rollenbasierten Rechtekontrolle zur Reglementierung aller Zugriffe im gesamten System.
Programme oder Dienste entscheiden nicht mehr selbst oder nach Wunsch des Entwicklers über die
Nutzung von Ressourcen, sondern RSBAC prüft als übergeordnete Instanz sämtliche Anfragen anhand
restriktiver Positivlisten. Jeder nicht explizit erlaubte Zugriff wird unterbunden.
Das rollenbasierte Zugriffsrechtemodell ist auch deshalb so wirkungsvoll, weil es die einzelnen
Systemprogramme und Serverdienste nicht im Rechtekontext eines Benutzers und schon gar nicht mit
Administratorprivilegien ausführt. Stattdessen gibt es für wichtige Funktionen eigene Rollen, dies betrifft
vor allem zentrale und oft angegriffene Komponenten wie den Internetbrowser. Die dedizierte
„Browserrolle“ ist von der Rolle des angemeldeten Benutzers völlig unabhängig. Sie verfügt über einen
anwendungsspezifischen Satz an Berechtigungen - wobei RSBAC dafür sorgt, dass der Browser auch
im Fall eines Angriffs nicht „aus der Rolle fällt“.
Auf diese Weise werden alle Programme und deren Prozesse in eigenen „Rechtekäfigen“ gekapselt.
Sollte es infolge eines Programmfehlers zu einer Sicherheitslücke kommen, bleiben die gängigen illegalen
Zugriffsversuche auf eigentlich nicht vorgesehene Ressourcen wie Speicherbereiche, Verzeichnisse
oder Schnittstellen erfolglos. Ein potenzieller Angreifer ist faktisch handlungsunfähig, die
Auswirkung seines Tuns auf den Betrieb des so gesicherten Systems gleich Null. Der Schutz kann
auch nicht ohne Weiteres umgangen werden, denn er ist als Teil des Kernels tief im System verankert.
Ein weiterer wichtiger Aspekt der Härtung von Systemen für sicherheitskritische Anwendungen ist ein
möglichst weitgehender Schutz vor Buffer Overflows. Zahlreichen Angriffen auf IT-Systeme aus dem
Internet, bei denen es zur Einschleusung und Ausführung von Schadcode kommt, gehen auf einen
solchen Pufferüberlauf zurück. Das Grundprinzip ist immer dasselbe: Der Angreifer versucht, zu viele
Daten in einen zu kleinen Speicherbereich zu schreiben - und ein fehlerhaftes Programm auf dem
Server lässt das zu. Die Folge: Ein Teil dieser Daten verlässt den Datenbereich und landet womöglich
im Programmbereich des Systems. Dort können vermeintliche Daten, die eigentlich Schadprogramme
sind, ausgeführt werden: es kommt zur Infektion.
Unsere Entwicklungsabteilung begegnet diesem Problem mit einem ganzen Bündel aufeinander abgestimmter
Maßnahmen. Zunächst werden alle Bestandteile des Betriebssystems neu kompiliert - und
zwar so, dass sie beliebig im Speicher platziert werden können. Auf diese Weise lassen sich freie Bereiche
schwer erraten - die Gefahr einer erfolgreichen Ausführung eingeschleuster Programme infolge
eines Fehlers sinkt. Weiterhin heben wir das klassische Von-Neumann-Prinzip der kombinierten Anordnung
von Daten- und Programmbereichen weitgehend auf. Datenpuffer sind in unseren Systemen
grundsätzlich keine Bereiche, in denen Code aufgeführt werden darf, was potenziellen Angreifern in
dieser Hinsicht einmal mehr die Hände bindet.
Darüber hinaus setzen wir bei der Neuübersetzung der Programmquellen auch bei Verfügbarkeit entsprechender
Binärpakete auf konsequente Aktivierung der compilerseitig vorgesehenen Sicherheitsoptionen.
Diese schützen kritische Pufferbereiche zusätzlich und können sogar handfeste Fehler in
Programmen neutralisieren, indem sie kritischen Programmcode gegen weniger problematischen austauschen.
Leider sind einige Applikationen dann nicht mehr lauffähig und müssen manuell durch Eingriffe
in den Quelltext bereinigt werden. Dies erklärt, weswegen viele Systemanbieter auf derlei aufwendige
Operationen verzichten, um ihre Produkte wirkungsvoll zu härten. Des weiteren sind die notwendigen
Kompetenzen bin hinunter zur Kernelebene nicht in jeder Software entwickelnden
Organisation gleichermaßen vorhanden.
Aus unserer Sicht lohnt sich der Aufwand aber in jedem Fall. Die TightGate -Systeme sind bestmöglich
gegen die missbräuchliche Verwendung ihrer Funktionen gesichert. Verbotene, da potenziell gefähr-
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 10 von 12
liche Operationen werden zuverlässig unterbunden, wodurch sowohl das Klientennetzwerk als auch der
Server selbst geschützt bleibt. Das kommt der angestrebten IT-Sicherheit, jedoch auch der Betriebssicherheit
zugute. Denn mehr „Härte“ bedeutet zugleich weniger Abstürze bzw. Ausfälle.
Wenn also wieder der Begriff vom „gehärteten“ System fällt, dann denken Sie daran: Nur die (wirklich)
Harten kommen in den Garten!
Erfahren Sie mehr:
So funktioniert der Angriff via Webbrowser:
http://www.m-privacy.de/produkte/tightgate_pro/szenario
Die TightGate -Technologie: Was steckt dahinter?
http://www.m-privacy.de/unternehmen/technologie
5 . Tipps und Tricks: Server überwachen mit Nagios
Vertrauen ist gut - Kontrolle ist besser. Diese Binsenweisheit hat vor allem in der IT-Systemadministration
ihre Berechtigung. Administratoren müssen über den aktuellen Zustand der durch sie
betreuten Systeme immer genau informiert sein. Ein Ausnahme- oder gar Fehlerfall kann binnen
Sekunden eintreten und den Betrieb der Systeme nachhaltig beeinträchtigen. Von einer Störung oder
einem Ausfall können tausende Benutzer betroffen sein. Damit es möglichst gar nicht erst so weit
kommt und der Verantwortliche bei einer Havarie umgehend die richtigen Gegenmaßnahmen einleiten
kann, werden Serverrechner und die von ihnen bereitgestellten Dienste rund um die Uhr überwacht.
Wirtschaftlichkeitsüberlegungen haben schnell zu Konzepten geführt, die es erlauben, sehr viele
Rechner zugleich effizient während des laufenden Betriebs zu kontrollieren. Insbesondere die Fernüberwachung
spielt eine Hauptrolle, denn die Geräte sind räumlich in der Regel mehr oder minder stark
verteilt, so dass Prüfungen an lokalen Konsolen auf Ausnahmefälle beschränkt bleiben müssen.
Stattdessen wird spezielle Fernüberwachungssoftware eingesetzt. Unter den zahlreichen
kommerziellen und freien Produkten hat Nagios eine weite Verbreitung gefunden.
Nagios arbeitet modular. Jeder zu prüfende Aspekt eines Serverrechners, sei es eine Temperatur, die
Prozessorlast oder der „Füllstand“ der Festplatte, wird durch ein dafür vorgesehenes Softwaremodul
erfasst. Aus sämtlichen Messwerten generiert Nagios eine webbasierte Übersicht, die sich der Administrator
über jeden Internetbrowser bequem von seinem Arbeitsplatz aus ansehen kann. Dabei
werden die Parameter nicht nur aufgelistet, sondern auch anhand vordefinierter Schwellwerte bewertet
und farblich gekennzeichnet. Befindet sich ein Wert im Normbereich, wird er grün dargestellt. Abweichungen
werden gelb hinterlegt und kritische Systemzustände leuchten in auffälligem Rot.
So sieht man auf einen Blick, ob alles in Ordnung ist. Doch Nagios kann noch mehr. Es stellt bei Bedarf
Detailinformationen zu jedem überwachten Systemparameter zur Verfügung und alarmiert den
Systemverwalter auf unterschiedlichen Wegen, beispielsweise per E-Mail oder SMS. So erreicht der
Hilferuf eines heiß gelaufenen Internet-Gateways seinen Betreuer auch im Urlaub oder am Wochenende.
Viele der Module, die mit Nagios standardmäßig installiert werden, sind für die meisten gängigen
Serversysteme und die in diesem Zusammenhang anfallenden Überwachungsaufgaben von Nutzen.
Unsere ReCoBS-Server aus der TightGate -Pro-Produktlinie weisen jedoch einige Besonderheiten auf,
die ebenfalls einem Monitoring unterliegen sollten. Zu diesem Zweck hat unsere Entwicklungsabteilung
einige spezielle Nagios-Module erstellt, die wir unseren Kunden gerne kostenfrei zur Verfügung stellen.
Damit lassen sich auch komplexe Prüfungen, etwa auf korrekte Funktion des Verbunddateisystems bei
Clustersystemen, in die zumeist ohnehin vorhandene Nagios-Fernüberwachung aufnehmen.
Nagios ist ein wichtiges Hilfsmittel zur Sicherstellung des reibungslosen Betriebs komplexer IT-Systeme
für größere Benutzergruppen. Auch bei TightGate -Pro weiß der Administrator dank der speziellen
Prüfmodule mit einem Blick: „Alles im grünen Bereich.“
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 11 von 12
Erfahren Sie mehr:
Wikipedia: Nagios
http://de.wikipedia.org/wiki/Nagios
6 . Stichwort des Monats: Appliance
Aufstellen, anschließen, läuft. So könnte man das Anwendungsmuster einer Appliance beschreiben.
Natürlich könnte man auch „Komplettsystem“ sagen - doch der englische Terminus „Appliance“ hat sich
so etabliert wie „Cursor“ oder „Touchscreen“.
Eine Appliance ist nichts Anderes als eine werksseitig vorinstallierte und konfigurierte Kombination aus
Hardware und dazugehöriger Software. TightGate -Pro ist geradezu ein Paradebeispiel für eine solche
Appliance. Auf der Basis eines bedarfsgerecht dimensionierten Markenservers installieren unsere
Techniker die eigentliche TightGate -Software, also das Basisbetriebssystem und die notwendigen
Hilfsapplikationen. Da wir die verwendete Hardware genau kennen, können wir deren Besonderheiten
von Anfang an beispielsweise durch geeignete Treiber berücksichtigen. Unsere Kunden bleiben damit
von diversen „Startschwierigkeiten“ verschont - das spart Zeit und Geld.
Appliances, also Komplettsysteme aus einem Guss, haben aber nicht nur unter Komfortaspekten die
Nase vorn. Auch in Sachen Betriebssicherheit punkten sie mit hoher Stabilität und besonders wenig
Erfordernis zur manuellen Nacharbeit. Wir liefern unsere Appliances nicht nur vorinstalliert, sondern
auch vorkonfiguriert aus - individuell je nach den Bedürfnissen des jeweiligen Auftraggebers. Die Inbetriebnahme
des ReCoBS-Servers TightGate -Pro ist damit im Idealfall in wenigen Minuten bewerkstelligt.
Falls Sie Ihre Serverhardware regelmäßig aus entsprechenden Rahmenverträgen beziehen oder
bereits vorhandene Server umnutzen möchten, müssen Sie auf die Vorteile einer Appliance nicht verzichten.
Stellen Sie uns einfach ein Mustergerät zur Verfügung. Wir konzipieren den optimalen
Installationsprozess für die TightGate -Betriebssoftware sowie die notwendige Treiberausstattung.
Damit können alle vorgesehenen TightGate -Systeme bei Ihnen vor Ort durch unsere erfahrenen
Techniker fast so schnell installiert werden wie in unserer firmeneigenen Systemintegration.
Wie Sie sich auch entscheiden: TightGate -Pro ist das führende, dedizierte ReCoB-System zur
sicheren Anbindung von Rechnerarbeitsplätzen an das Internet. Natürlich auch als Appliance - für das
optimale „Geht sofort!“-Erlebnis.
Erfahren Sie mehr:
Wikipedia: Appliance
http://de.wikipedia.org/wiki/Appliance
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334

m-privacy Newsletter - auch im Internet unter www.m-privacy.de/presse Seite 12 von 12
7 . Termine und Veranstaltungen
Die m-privacy GmbH freut sich, anlässlich der folgenden Veranstaltungen mit Ihnen in Kontakt zu
treten:
25. / 26. September 2012 / Berlin, dbb forum berlin
PITS - Public IT Security
Kongress und Messe mit begleitender Fachausstellung speziell für IT-Sicherheit in der öffentlichen
Verwaltung.
Wir freuen uns auch über Ihren Besuch an unserem Informationsstand im Rahmen der begleitenden
Fachausstellung. Die Teilnahme ist für Angehörige öffentlicher Einrichtungen und Behörden kostenfrei.
Veranstalter: Behörden Spiegel / ProPress Verlagsgesellschaft mbH
Weitere Informationen: http://www.public-it-security.de
16. - 18. Oktober 2012 / Nürnberg, NürnbergMesse
it-sa - Die IT-Security-Messe
Veranstalter: NürnbergMesse in Kooperation mit der SecuMedia Verlags-GmbH
Weitere Informationen: http://www.it-sa.de
m-privacy GmbH Am Köllnischen Park 1 10179 Berlin info@m-privacy.de +49 30 24342334