tools - Bites, Bytes and my 5 cents

11/2010INHALTSVERZEICHNISFÜR EINSTEIGER06 Passwort Cracking Angriff– und AbwehrmethodenPatrick SchmidPasswort Cracking beschreibt ein Prozess, wie man einunbekanntes Passwort herausbekommen kann. Wiegenau das funktioniert, welche Methoden es gibt oderwelche Tools uns dabei unterstützen können, wird indiesem Artikel erläutert.PRAXIS10 Auf der Suche nach Einheitlichkeit– Benutzerüberprüfung als heikles Problemim E-CommerceTaher ElgamalAuf den ersten Blick scheinen die beiden folgenden Aspekteauseinander zu streben: das Bedürfnis nach einerzuverlässigen Benutzer-Authentifizierung einerseitsund die Forderung nach größtmöglicher Usability andererseits.Möglicherweise entsteht das Problem abererst, weil jeder Websitebetreiber sein eigenes Süppchenkocht. Dieser Artikel ist eine strategische Bestandsaufnahmezum Thema SSL. Er wirft einen Blick zurück undskizziert die Notwendigkeit, zu einem einheitlichen Standardbei der Benutzerüberprüfung zu kommen.DATENSCHUTZ14 Der neue Personalausweis (nPA)– Röntgenblicke durch die DatenschutzbrilleKerstin Blossey und Christian Blossey,Blossey & PartnerDie Einführung des neuen Personalausweises läuftauf Hochtouren und seit 1. November 2010 ist es nunsoweit. Mit diesem Stichtag wird der bisherige Personalausweis,wie man ihn in Deutschland und Europakannte, schrittweise durch ein zeitgemäßes und neuartigesInstrument abgelöst – den neuen Personalausweis(nPA).herausgegeben vom Verlag:Software Press Sp. z o. o. SKGeschäftsführer: Paweł MarciniakManaging Director: Ewa Łozowickaewa.lozowicka@software.com.plChefredakteurin: Ilona Przybysławskailona.przybyslawska@software.com.plRedaktion/Betatester: Patrick Schmid,Taher Elgamal, Kerstin Blossey, ChristianBlossey, Dr. Danilo Kardel, Ulrike Peter,Christian Wojner, Christian Stockhorst,Robert LommenProduktion: Andrzej KucaDTP: Przemysław BanasiewiczUmschlagsentwurf: Przemysław BanasiewiczWerbung: adv@software.com.plAnschrift:Software Press Sp. z o.o. SKul. Bokserska 1, 02-682 Warszawa, PolandTel. +48 22 427 36 56, Fax +48 22 244 24 59www.hakin9.org/deDie Redaktion bemüht sich, dafür Sorge zutragen, dass die in der Zeitschrift sowie aufden begleitenden Datenträgern erhaltenenInformationen und Anwendungen zutreffendund funktionsfähig sind, übernimmt jedochkeinerlei Gewähr für derer Geeignetheit fürbestimmte Verwendungszwecke. Alle Markenzeichen,Logos und Handelsmarken, diesich in der Zeitschrift befinden, sind registrierteoder nicht-registrierte Markenzeichender jeweiligen Eigenümer und dienen nur alsinhaltliche Ergänzungen.Anmerkung!Die in der Zeitschrift demonstrierten Technikensind AUSSCHLIEßLICH in eigenen Rechnernetzenzu testen! Die Redaktion übernimmtkeine Haftung für eventuelle Schäden oderKonsequenzen, die aus der unangemessenenAnwendung der beschriebenen Technikenentstehen. Die Anwendung der dargestelltenTechniken kann auch zum Datenverlust führen!hakin9 erscheint in folgenden Sprachversionenund Ländern: deutsche Version (Deutschland,Schweiz, Österreich, Luxemburg), französischeVersion (Frankreich, Kanada, Belgien, Marokko),spanische Version (Spanien, Portugal),polnische Version (Polen), englische Version(Kanada, USA)4 6/2010

FÜR EINSTEIGERPasswort CrackingAngriff- und AbwehrmethodenPatrick SchmidPasswort Cracking beschreibt ein Prozess, wie man einunbekanntes Passwort herausbekommen kann. Wie genaudas funktioniert, welche Methoden es gibt oder welcheTools uns dabei unterstützen können, wird in diesem Artikelerläutert.IN DIESEM ARTIKEL ERFAHREN SIE...• welche Methoden es gibt, um ein Passwort zu knacken• wie unsicher ein simples Passwort sein kann• wie Windows das cracken von Passwörtern unterstützt• wie man sich schützen kann• was bei Passwörtern beachtet werden mussWAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• keine speziellen Vorkenntnisse nötigDie dabei gängigsten Methoden sind:Brute ForceDie Methode, welche theoretisch immer funktioniert, nenntsich Brute Force. Das bedeutet, dass einfach jede möglichePasswortkombination simpel durchprobiert wird.Rein theoretisch muss dies früher oder später zumErfolg führen. Rein praktisch jedoch, kann auch nicht jedesPasswort mit dieser Methode geknackt werden, daaufgrund fehlender Rechenleistung, der gesamte Vorgangschlicht und einfach ausserhalb des vertretbarenZeitrahmens liegen würde. Dies ist besonders bei sehrlangen, oder aber sehr kreativen Passwörtern der Fall.WörterbuchEine schnellere Methode zum Knacken eines Passwortesbasiert auf einem Wörterbuch. Dabei wir die Tatsacheausgenutzt, dass die meisten Benutzer bei derWahl ihres Passwortes ein einfaches und simples Wortmit Sinn wählen. Somit ist es üblich, dass das Passwortselbst auch in einem Wörterbuch auftauchen würde.Die Wahrscheinlichkeit, dass ein Passwort auch geknacktwerden kann, ist zwar im Gegensatz zur BruteForce-Methodik nicht ganz so hoch, jedoch wird diesdurch den immensen Zeitgewinn wieder wettgemacht.Social EngineeringDie erfolgreichste und meist einfachste Methode ist SocialEngineering. Dabei wird keine übermässige Rechenleistungbenötigt, um innert ein paar Minuten einauch noch so langes Passwort herauszufinden.Social Engineering nutzt dabei die wahrscheinlichgrösste Sicherheitslücke der Informatik aus: derMensch selbst!Das Problem ist, dass die meisten Menschen einfachzu leichtgläubig sind, wenn die Person am anderenEnde des Telefons sich als Systemadministratorausgibt und gerade ein Problem überprüfen willund deshalb nach dem Benutzernamen und dem zugehörigenPasswort fragt. Wenn man dies so liest,denkt sich jeder natürlich, so etwas würde ich selbstnie machen - doch wie sieht es aus, wenn die Personam anderen Ende gerade in einem Dilemmasteckt und die letzte Abrechnung unbedingt in 10 Minutenabgegeben werden muss. Dummerweise hatder Hilfesuchende sein Passwort verloren und fragtnach Ihrem Passwort. Wenn er dabei auch noch denNamen des Abteilungsleiters nennt, wer würde daschon den hilfesuchenden „Mitarbeiter“ hängen lassen…Rainbow TablesDiese Methode wurde im Jahre 1980 vom Kryptografie-ExperteMartin Hellman entwickelt. Er hatsich dabei Gedanken gemacht, wie man die BruteForce-Methode effektiver gestalten kann. Als Ergebnisdaraus entstand das „Time-Memory Trade-off“--Konzept.611/2010

Passwort Cracking – Angriff- und AbwehrmethodenWie der Name schon sagt, geht es darum, einenKompromiss (trade-off) zwischen Zeit (time) und Leistung(memory) zu finden.Dieses Konzept spart dabei viel Zeit indem nicht einPasswort selbst gespeichert und abgeglichen wird, sonderndas Passwort im Vorfeld in einen Hash umgewandeltund so abgespeichert wird.Eine Weiterentwicklung davon gab es rund 20 Jahrespäter von Philippe Oechslin in Form der Rainbow Tables.Anhand einer mathematischen Formel wird dabeiein gehashtes Passwort reduziert und erneut gehasht.Dieser Vorgang wird immer und immer wieder wiederholt,wodurch viel Speicherplatz gespart wird.Schlechte BeispieleMeist aber ist es gar nicht nötig, das gesamte Passwortzu knacken. So bietet Windows selbst das beste Beispiel.Das Kontopasswort eines jeden Accounts wird in derSAM-Datei als LM-Hash gespeichert. Dieser hat aberden nützlichen Vorteil, dass ein Passwort von mehr alssieben Zeichen Länge in zwei Hälften unterteilt wird,wodurch immens an Zeit und Rechenleistung gespartwerden kann.Oder aber der Benutzer selbst ist sich nicht bewusst,dass ein Passwort aus nur 6 Kleinbuchstaben, meistnoch ein einzelnes, einfaches Wort, ein sehr schlechtesPasswort darstellt!ToolsTools um Passwörter zu knacken gibt es wie Sandam Meer. Für Windowssysteme ist das bekanntesteProgramm, eine Lösung aus der Schweiz, Ophcrack[1].Etwas umfangreicher und mehr Verschlüsselungstypenbietet das Programm Cain and Able[2].Dies kann neben lokalen Passwörtern auch gleichnoch im lokalen Netzwerk sniffen und so weitere Passwörterergattern.Wer noch mehr Verschlüsselungstypen knacken will,der muss auf das altbekannte Konsolenprogramm Johnthe Ripper[3] zurückgreifen.Weiter gäbe es da noch Aircrack[4] für WEP/WPAVerschlüsselung von WLANs und viele mehr. Eine Listemit den Top 10 Applikationen kann auf der Webseitevon sectools.org[5] gefunden werden.Die ZukunftDie Zukunft versucht dem Hauptproblem von PasswortCracking entgegen zu wirken. Meist scheitert eine erfolgreicheAttacke an der Tatsache, dass der Computer und dessenverfügbare Leistung schlicht und einfach zu schwachsind. Somit würde das knacken eines mehr oder wenigerkomplexen Passwortes mehrere Jahre andauern, was natürlichausserhalb jedes vertretbaren Zeitrahmens liegt.Deshalb versucht man seit kurzem, die Berechnungenvon der mittelmässig schnellen CPU auf dieAbbildung 1. Opcrack im Einsatzhakin9.org/de 7

FÜR EINSTEIGERmeist weitaus leistungsfähigere GPU zu verlagern,wodurch die Rate von Berechnungen pro Sekundegesteigert und dadurch der Zeitaufwand verkürztwerden kann.Jedoch gibt es aktuell nur sehr wenige Applikationen,welche während den Berechnungen tatsächlich auf dieGPU zurückgreifen.Ein RechenbeispielWie oben erwähnt gehen wir von einem Passwort mit 6Zeichen, aus lauter Kleinbuchstaben aus. Aus somit 26möglichen Zeichen pro Stelle ergäben sich 26 6 Möglichkeiten,was etwas mehr als 300 Millionen entspricht.Für einen handelsüblichen Computer mit einem DualCore mit 2 GHz und 2 GB RAM erreicht man mit Johnthe Ripper eine Rate von etwa 3‘000‘000 Berechnungenpro Sekunde bei einem LM-Hash.Für das Passwort in unserem Beispiel würden wir alsonicht mal 2 Minuten brauchen.Wenn man nun bedenkt, dass ein Quad Core heutzutagebereits zum Standard in neueren Computern gehört,so kann man sich ausmalen, wie sicher das Passwortnoch ist…Wird das Passwort nun aber komplexer, wir gehenmal von 8 Zeichen aus, diesmal aber aus Gross- undKleinbuchstaben. Somit haben wir nun 52 8 Möglichkei-ten, wofür man mit selbigem Computer zum Knackenschon Jahre brauchen würde.AbwehrmethodenDie einfachste und trotzdem effektivste Abwehrmethodeist es, die Komplexität des Passwortes zu erhöhen. Dabeimuss beachtet werden, dass das eigene Passwortnicht aus Tatsachen wie dem eigenen Namen oder demGeburtsdatum bestehen soll. Auch der Namen der Kinder,oder des Haustieres ist nicht sehr hilfreich.Damit man sich ein Passwort aber immer noch einfachmerken kann, kann man sich Eselsbrücken bauen.So erstellt man ein komplexes und sicheres Passwortaus mehreren Tatsachen.BeispielHans Muster nimmt für sein Beispiel die ersten beidenBuchstaben aus seinem Vor- und seinem Nachnamen.Zusätzlich kommen noch sein Geburtsjahr und der Monatsamt Tag dazu:• Ha• Mu• 1950• November• 01Abbildung 2. Cain and Able811/2010

Tabelle 1. Änliche ZahlenBuchstabeA 4B 8E 3L 7O 0ZahlWerden die einzelnen Teile nun beliebig gruppiert, soergibt sich ein komplexes aber immer noch logischesPasswort, welches sich ein Eingeweihter einfach merkenkann.Auch ist es immer effektiv, in seinem Passwort einzelneBuchstaben durch Zahlen zu ersetzen. In der Tabelle1 gibt es eine Zusammenstellung von ähnlichen Zahlenund Buchstaben. Das Passwort Ha1950Mu01Novemberwürde somit zu H41950Mu01N0v3m83r, was zwarsehr kompliziert aussieht, sich jedoch problemlos herleitenlässt.Natürlich ist das kein garantierter Schutz, denn wennder Authentifikationsvorgang auf Applikationsebenekompromittiert wurde, so hilft auch das beste Passwortnicht. Hierbei hilft es aber, wenn man für unterschiedlicheDienste auch unterschiedliche Passwörter verwendet!Träte nun der Fall ein, dass eine Applikation gehacktwerden könnte, so wäre nur das Konto von einem Dienstbetroffen, wodurch sich der Schaden in Grenzen hält.Auch ist es ratsam, seine Passwörter besonders beiheiklen Anwendungen und Benutzerkonten in regelmässigenAbständen zu ändern, wodurch erfolgreicheEindringlinge wieder ausgesperrt werden.Im Internet[1] http://ophcrack.sourceforge.net/[2] http://www.openwall.com/john/[3] http://www.oxid.it/cain.html[4] http://www.aircrack-ng.org/[5] http://sectools.org/crackers.html[6] http://blog.encodingit.ch/2010/11/gedanken-zur-passwortverwaltung/PATRICK SCHMIDDer Autor ist System Engineer im Bereich Linux / Unix undunterstützt nebenbei die Entwicklung und Verbreitung von Linuxund Opensource im privaten wie auch im professionellenUmfeld.Kontakt mit dem Autor unter patrick.schmid@seicon.chhakin9.org/de

PRAXISAuf der Suche nach Einheitlichkeit- Benutzerüberprüfung als heiklesProblem im E-CommerceTaher ElgamalAuf den ersten Blick scheinen die beiden folgendenAspekte auseinander zu streben: das Bedürfnis nach einerzuverlässigen Benutzer-Authentifizierung einerseits unddie Forderung nach größtmöglicher Usability andererseits.Möglicherweise entsteht das Problem aber erst, weil jederWebsitebetreiber sein eigenes Süppchen kocht.IN DIESEM ARTIKEL ERFAHREN SIE...• welche wesentlichen Entwicklungen sich in den letzten 15Jahren seit der Einführung von SSL vollzogen haben• mit welchen grundsätzlichen (Sicherheits)Herausforderungendie Akteure des E-Commerce sich befassen müssen und worindie Ursachen dafür zu suchen sind• eine grundlegende Einschätzung zu den Konsolidierungsbestrebungenfür die unterschiedlichen AuthentifizierungsmechanismenWAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• ein grundlegendes Verständnis von und für SSL• eine Sichtweise, die es ihnen erlaubt, die richtige Balance zwischenSicherheitsanliegen einerseits und Managementherausforderungenandererseits zu findenDieser Artikel ist eine strategische Bestandsaufnahmezum Thema SSL. Er wirft einen Blick zurückund skizziert die Notwendigkeit, zu einemeinheitlichen Standard bei der Benutzerüberprüfung zukommen.SSL im E-Commerce muss sich vor allen Dingen mitzwei Problemen befassen: zum einen der Offenheitdes Internets, also der Tatsache, dass jeder alles lesenkann, und zum anderen der Frage, wie sich die Beteiligtenuntereinander authentifizieren können.Heute, 15 Jahre nach seiner Geburtsstunde, sichert SSLjährlich mehr als 300 Milliarden US Dollar an E-Commerce-Umsatz,den B2B-Umsatz nicht mit eingerechnet. KeineAnwendung verwendet jedoch die in SSL gegossenePKI-Unterstützung, um Kunden in SSL zu authentifizieren.Unverkennbare Fortschritte,aber keine EinheitlichkeitKaum überraschen kann die Tatsache, dass Betrug imE-Commerce deutlich öfter als in den Transaktionender „realen, physikalischen“ Welt anzutreffen ist. Dasliegt aber vielleicht auch an der mangelhaften Authentifizierungbei Online-Zahlungen. Damit stellt sich aberfast zwangsläufig die Frage: Ist dieser Mangel die Folgeeiner Reaktion auf die Kosten, die mit Benutzer-Authentifizierungverbunden sind? Gibt es vielleicht dieBefürchtung, dass durch die Umsetzung der Zuspruchder Verbraucher leiden könnte? Wie auch immer dieSache liegt, klar ist dass man in Fragen der Authentifizierungin den letzen 15 Jahren erhebliche Fortschrittegemacht hat.Von Anfang an haben große Online-Händler wie Amazonoder eBay natürlich deshalb Kundenkonten ange-Abbildung 1. Key puzzle piece.1011/2010

Auf der Suche nach Einheitlichkeitmit Phishing oder Wörterbuch-Attacken an die Kennwörtervon Benutzern herankommt, werden zunehmendauch andere Faktoren überprüft – zum Beispielob die IP-Adresse des Benutzers, mit der er sich anmeldet,dieselbe ist, die ihm der Händler zugeordnet hat.Natürlich werden E-Commerce-Händler immer einKontensystem für ihre Kunden verwenden, jedoch ergebensich bei einem derartigen System eben immergewisse sicherheitsrelevante Probleme, wenn es übermehrere Ebenen hinweg umgesetzt werden soll. Dasaugenfälligste ist etwa die Tatsache, dass die Benutzermeist dasselbe Kennwort für mehrere zugangsbeschränkteSeiten verwenden. Damit haben Shop-Betreiberaber auch die Möglichkeit – und zwar vollkommenunnötigerweise – auf einen beträchtlichen Teil der persönlichenInformationen von Benutzern zuzugreifen.Abbildung 2. Key.Auch im Online-Bankingtickten die Uhren lange andersSelbst in Bereichen wie dem Online-Banking gab eseine Zeit lang keine weiteren Maßnahmen als die Benutzername-Kennwort-Konvention.Erst als die Anzahlder Phishing-Attacken exponentiell in die Höhe schoss,reagierte die Finanzindustrie und etablierte eine auszwei Faktoren bestehende Benutzerüberprüfung. Nurbefand jede Bank selbst, welche Faktoren dafür herangezogenwerden, denn bis heute gibt es keine einheitlilegt,um sich des Problems mit der Authentifizierung anzunehmenund eine enge Beziehung mit ihren Kundenzu pflegen. Aus diesem Grund hat heute jeder Internetnutzerdutzende von Kundenkonten im gesamten Web,die meisten folgen dabei einem Standard, der einer Benutzernamen-Kennwort-Konventionfolgt. Aber da manAbbildung 3. Risks ahead.hakin9.org/de 11

PRAXISche Technologie dafür – und zwar weder im E-Commercenoch im Online-Banking.Ein ganz normaler Anmeldevorgang auf der Websiteeiner Bank kann diesen zweigliedrigen Vorgang illustrieren:Wird das Laptop, von dem aus sich ein Benutzeranmeldet, als dasselbe Laptop erkannt, von dem er sichbereits zuvor angemeldet hat, ist alles in Ordnung. Wenner jedoch einen neuen Rechner oder vielleicht einen PCim Büro verwendet, verhält sich die Sache anders. Dannmuss er sich zum Beispiel einer Reihe von Fragen unterziehen– eine standardisierte wissensbasierende Taktik.Diese Idee lässt sich in etwa so zusammenfassen:Wenn der Site-Betreiber nicht weiß, ob das Laptop wirklichJohn Smith gehört, stellt er seinem gegenwärtigenBenutzer einige Fragen. Wenn der all diese Fragen korrektbeantwortet, vertraut der Betreiber darauf, dass essich bei dem Nutzer in der Tat um John Smith handelt.Aber auch eine so etablierte Verbindung (Session)kann immer noch durch Malware in Beschlag genommenwerden. Deshalb benötigt man eine zweite Schichtder Überprüfung auf Transaktionsbasis: Wenn manzum Beispiel Geld aus einem Konto auf ein anderesüberweist, erscheint eine sekundäre Authentifizierungsboxund fordert den Benutzer dazu auf, ein CAPTCHAzu tippen oder ein Kennwort nochmals einzugeben.Das soll Malware davon abhalten, Transaktionen währendeiner überprüften Sitzung zu Lasten der Benutzerzu verschicken.Das Ergebnis ist, dass es heute eine recht große Zahlvon verschiedenen Authentifizierungsmechanismengibt, die die Benutzer im Web über sich ergehen lassenmüssen, um sich gegenüber unterschiedlichen Websiteszu authentifizieren.Der Konsolidierungsgedanke ist nicht neuNatürlich gibt es schon seit geraumer Zeit einige Bestrebungen,den Authentifizierungsprozess im E-Commercezu konsolidieren oder wenigstens etwas zu vereinheitlichen– zum Beispiel die Ideen der Identity Federationund die Bemühungen der Liberty Alliance. Diesesind auch allesamt gut, jedenfalls aus technischerSicht. Das Problem ist, dass die Geschäftsmodelle einfachim Weg stehen.So wollen Anbieter nicht notwendigerweise, dass andereAnbieter wissen, wer ihre Kunden sind. Eine Identitätetwa von einer Bank an einen Webshop weiterzuleiten,ist ein eindeutiger Hinweis darauf, dass die fraglichePerson ein Kunde der Bank ist – und genau dieseInformationen will niemand gerne teilen.Also kann man festhalten, dass geschäftliche Interessender Idee eines Identitäten-Bündnisses im Webim Wege stehen. Eben das war jedoch das mit der LibertyAlliance verfolgte Ziel, als sie vor Jahren trotz derOpen-ID-Ansätze, Microsoft-Konzepte oder sonstigerIdeen zur Konsolidierung im E-Commerce ins Lebengerufen wurde.Noch immer schützt SSL 100 Prozent des E-Commerce-Aufkommens,eine faszinierende Tatsache. Unddennoch gibt es keine SSL-Authentifizierung oder sonstigeeinheitliche E-Commerce-Benutzerüberprüfung.Wenn aber die Benutzerüberprüfung ein Teil der Infrastrukturstatt nur eine Funktion einer spezifischenWebsite würde, dann würde auch das Vertrauen inden E-Commerce und davon angetrieben auch seinWachstum deutlich zulegen. Und da es E-Commercenun schon seit einiger Zeit gibt, gibt es möglicherweiseauch Wege, Benutzer nur über das Web zu identifizierenohne sie selbst wieder und wieder mit einzubinden.Irgendwie schienen auch die Schwierigkeiten, dieman in den frühen Tagen von PKI feststellte, nahezulegen,dass es ein beträchtliches Problem sein müsste,ein digitales Zertifikat für Benutzer auszustellen. Wennman diese Herausforderung aus heutiger Sicht untersucht,kommt man möglicherweise zu dem Ergebnis,dass sich das Problem verhältnismäßig einfach lösenlässt, indem man den Benutzern eine starke, aber einfachzu verwendende Authentifizierungstechnologie andie Hand gibt, eine Technologie also von der alle profitierenkönnen.DR. TAHER ELGAMALDer Author gilt in der IT-Welt als der „Erfinder“ von SSL undkümmerte sich zum Beispiel um die SSL-Bestrebungen bei Netscape.Zudem schrieb er das SSL-Patent und setzte sich in verschiedenenGremien der Branche für SSL als Internetsicherheitsstandardein. Ferner erfand Dr. Elgamal mehrere Branchen-und Regierungsstandards für Datensicherheit und digitaleSignaturen – zum Beispiel DSS. Der gebürtige Ägypter istfür zahlreiche Unternehmen als Beirat und für Axway, die BusinessInteraction Networks Company,als Chief Security Officertätig. Seine Promotion erlangte Taher Elgamal an der renommiertenStanford University.1211/2010

Einfachsichersurfen.Abstand schafft Sicherheit!Angriffe auf Daten und Systeme überSchwachstellen in internetgebundenenApplikationen drohen täglich.Halten Sie die Gefahren des Internets aufDistanz – mit Remote Controlled BrowserSystems (ReCoBS) der m-privacy GmbH.m-privacy GmbHAm Köllnischen Park 110179 BerlinFon: +49 30 243423-34Fax: +49 30 243423-36info@m-privacy.dewww.m-privacy.deSehen wir uns?Fünfter Nationaler IT-Gipfel7. Dezember 2010Internationales Congress Center Dresdenwww.m-privacy.de/presse/veranstaltungen

DATENSCHUTZDer neue Personalausweis (nPA) –Röntgenblicke durch die DatenschutzbrilleKerstin Blossey und Christian Blossey, Blossey & PartnerDie Einführung des neuen Personalausweises läuft auf Hochtourenund seit 1. November 2010 ist es nun soweit. Mit diesem Stichtagwird der bisherige Personalausweis, wie man ihn in Deutschlandund Europa kannte, schrittweise durch ein zeitgemäßes undneuartiges Instrument abgelöst – den neuen Personalausweis(nPA).IN DIESEM ARTIKEL ERFAHREN SIE...• was der nPA ist• Klischees und Gerüchte um den nPA• was Sie beim Umgang mit dem nPA beachten solltenWAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• keine spezifischen Vorkenntnisse erforderlich.Aber nicht nur der Ausweis erscheint damit inneuem Gesicht, sondern begleitend tritt auchein neues Personalausweisgesetz (PAuswG)in Kraft. Dieses neue Gesetz über Personalausweiseund den elektronischen Identitätsnachweis löst damitdas bisher geltende Personalausweisgesetz des Bundesund die 16 Landespersonalausweisgesetze ab.Aus den verschiedensten Quellen werden seit einigenWochen Kritik und Zweifel an den Sicherheitsstandardsbekundet. Gesetzliche Aspekte, die sich aus dem neuenPAuswG ergeben, wurden dabei zumeist fast völligunter den Tisch gekehrt, frei nach dem Grundsatz– Eins nach dem Andern. Dabei geht es weniger umstrategische Informationspolitik als vielmehr um einevoll umfängliche Aufklärung zu allen Aspekten rund umden nPA.Jede Einführung neuer Regelungen oder Produkte wirdmeistens von polarisierenden Meinungsäußerungen begleitet.Dazu bedienen sich jeweilige Meinungsvertreterverschiedenster Kommunikationswege, und häufig erweckendann Äußerungen in den Medien öffentlichesInteresse, also die Aufmerksamkeit all jener, die sichbislang entweder nur vage mit dem Thema auseinandergesetzthaben oder sich spontan vom alarmierenden Inhalteiner Überschrift zum Weiterlesen animiert fühlen.Auf Basis des in der Regel nicht alle Seiten umfassendenInformationsgehalts entstehen folglich neue Meinungenauf Basis (mit-)geteilter Teilerkenntnissen, welche wiederumals vollständige Fakten weitergetragen und soam Ende als gesundes - oder unter Fachleuten eher alsungesundes - Halbwissen bewertet werden müssen.Klischees und Fakten zum nPAÄhnlich symptomatisch verhielt es sich im Vorfeld der Einführungdes neuen Personalausweises (kurz „nPA“), undauch nach der Einführung werden immer wieder Stimmenlaut, welche Aspekte zur Sicherheit, die Funktionalität odergar das Gesamtkonzept des nPA grundsätzlich in Fragestellen und damit nicht aufklären, sondern im Ergebnis vielmehrzu Verunsicherungen beim Bürger beitragen. Dasshierbei häufiger Klischees kommuniziert werden als Faktenzur eigentlichen Thematik, dürfte selbst dem nicht allzu Interessiertenin den vergangenen Wochen aufgefallen sein.Wird der Nutzung biometrischer Daten, beispielsweiseFingerabdruckdaten, im Rahmen der Anschaffung einesneuen Personalausweises zugestimmt, würden diesepersönlichen Fingerabdrücke vollumfänglich beim jeweiligenEinwohnermeldeamt dauerhaft gespeichert - somehrfach gehört und gelesen. In diesem Kontext wird gerneauf bisherige Datenpannen bei Behörden oder anderenöffentlichen Stellen hingewiesen, beispielsweise dieVeröffentlichung von Einwohnermeldedaten im Internet(ARD-Magazin „Report München 2008“). Schnell wird Kritiklaut und die datenschutzgerechte Nutzung der biometrischenDaten infrage gestellt. Die dadurch entstehendeUnsicherheit veranlasst schließlich den Beantragenden,keine biometrischen Daten auf dem Ausweis zu hinterlegen,obgleich diese die Identifikation des Inhabers des1411/2010

Der neue Personalausweis (nPA) – Röntgenblicke durch die DatenschutzbrilleAusweises beschleunigen würden. Eine nützliche Anwendungwäre hierzu beispielsweise die zügigere Abfertigungam Flughafen – möglicherweise ein entscheidender Vorteilfür Geschäftsleute, die sich angesichts der akuten Terrorismusbedrohung,die derzeit in den deutschen Medienbekannt gemacht wird, auf deutlich längere Wartezeitenbei den Kontrollen einstellen müssen.Die Prüfung veröffentlichter Inhalte zur Thematik istunerlässlich, um sich eine fundierte Meinung bilden zukönnen. Im Bezug auf die Speicherung der Fingerabdruckdatenbeim Einwohnmeldeamt ist klarzustellen,dass bei Antragstellung eines Personalausweises mitfreiwillig gewünschter Speicherung der Fingerabdrückeauf dem Sicherheitschip des Ausweises die Speicherungder Fingerabdruckdaten nur so lange bei der Behörde erfolgt,bis der Bürger seinen neuen Ausweis abholt. Dannwerden die Fingerabdruckdaten unwiderruflich gelöschtund sind nur noch auf dem Ausweis gespeichert. Auchdie Bundesdruckerei, welche den Ausweis herstellt, speichertdie Ausweisdaten nicht, da eine Speicherung vonAusweisdaten in Deutschland untersagt ist. (Quelle:http://www.bundesdruckerei.de/de/produkte/produkte_dokument/dok_personala/dok_faq/index.html)Hinzu kommt, dass die eigentlichen Fingerabdrückenicht im Klartext hinterlegt werden, sondern entsprechendeSchutzmechanismen die Vertraulichkeit dieserbiometrischen Daten auf dem Chip sicherstellen. Undschließlich ist ausschließlich eine hoheitliche Nutzungdieser Daten zulässig, d.h. diese dürfen nur von festgelegtenBehörden zu ebenfalls klar festgelegten Zweckenverwendet werden.„Es gibt noch keine wirklich sicheren Klasse-3-Lesegerätefür den nPA.“ Um auf diese verbreitete Meinung entsprechendAntwort zu geben, ist es notwendig, sich den Aufbauund die Funktion eines solchen Komfortlesegerätes zubetrachten. Anforderungen an diese Lesegeräte, die sogenanntenChipkartenlesegeräte der Klasse Cat-K, also multifunktionaleChipkartenlesegeräte oder Kartenterminalsgenannt, sind nicht nur ausgerichtet auf die Anwendungin Verbindung mit dem nPA, sondern zugleich für weitereChipkarten, wie die VDV-Karte (Ticketmedium des Verbandesdeutscher Verkehrsunternehmen), Gesundheitskarte,Signaturkarte, Bankkarte und Geldkarte nutzbar. ImZusammenhang mit diesen Geräten spricht man u.a. vonder sogenannten „sicheren PIN-Eingabe“ für kontaktloseund kontaktbehaftete Chipkarten. Was bedeutet hierbei jedoch„sichere PIN-Eingabe“? Bei Komfortlesegeräten wirdein Verfahren, das sogenannte PACE-Verfahren, direkt imLesegerät ausgeführt, dessen Sicherheitsmechanismenauf den Protokollen der „Extended Access Control“ (EAC)des ePass basieren. Dieses Verfahren ist in mehreren Prozessschrittenfür die sichere und verschlüsselte Verbindung(Tunnelverbindung) zwischen dem Chip des nPA und demE-Government-/E-Business-Dienstleister verantwortlich.Bei Basislesegeräten, d.h. ohne Möglichkeit der direktenPIN-Eingabe und Nachvollziehbarkeit ausgetauschter Datenmit Hilfe eines Displays am Lesegerät selbst, wird PACEam selbstgewählten PC ausgeführt. Dies kann bei ungesichertenSystemen zu entsprechenden Risiken führen,wenn ein solcher Computer nicht umsichtig abgesichert ist(z.B. Firewall, Nutzung des PCs mit einem Standard-Benutzerprofilohne Administrationsrechte, verantwortungsbewussterUmgang mit Anmeldedaten wie Benutzernameund Passwort, regelmäßig aktualisierter Virenscanner). DerKomfortkartenleser gewährleistet dagegen die authentischeAnzeige von Berechtigtem und Berechtigungen imDisplay , so dass eine weitere Kontrolle durch den Bedienendenund den nPA-Inhaber ermöglicht wird. Wurde durchdas PACE-Verfahren, welches zur Authentifizierung durchEingabe des PIN auffordert, eine sichere Verbindung aufgebaut,löscht das Lesegerät schließlich sämtliche Daten,welche einen Rückschluss auf die PIN zulassen. VorgenannteAspekte bilden die „sichere PIN Eingabe“, die basierendauf den technischen Anforderungen des Lesegerätes, derentsprechenden Berechtigungen (Zertifikate), der Eingabeder PIN am Gerät selbst und schließlich dem erfolgten verschlüsseltenVerbindungsaufbau zur Ausführung kommt.Im diesem Zusammenhang können Cat-K-Leser die Geheimhaltungder PIN des nPA garantieren und die authentischeAnzeige von Berechtigtem und Berechtigungen beider eID-Funktion übernehmen. Unter dem Strich könnenKomfortlesegeräte, die den technischen Anforderungen derRichtlinie TR-03119 des BSI entsprechen und dazu vomBSI zertifiziert sind bzw. In nächster Zeit werden, zusammenfassendals wirklich sichere Kartenleser bezeichnetwerden, obgleich in letzter Konsequenz natürlich immer eingeringes Restrisiko verbleibt (Quelle: Richtlinie des BSI).• Aktualisierte Liste zertifizierter Lesegeräte: http://www.ccepa.de/public/kartenleser.htm• Weiterführende Einzelheiten zum PACE-Verfahrenund der Richtlinie des BSI: https://www.bsi.bund.deDer nPA ist Eigentum der Bundesrepublik Deutschland.Der Inhaber eines Ausweises führt diesen grundsätzlichzum Zwecke der Identifizierung mit sich - undin der erweiterten Nutzung auch zur Abwicklung vonOnlineaktivitäten in Verbindung mit dem Computer undeinem Kartenlesegerät. Auf die Frage, ob der nPA kaputtgehen oder gar aktiv zerstört werden kann, kursierenebenfalls unterschiedlichste Aussagen und sogarHandlungsempfehlungen hinsichtlich der Deaktivierungdes Chips, der die Daten, die über den eigentlichen„Ausweis“ hinaus gehen, enthält. Eine mutwilligeZerstörung des Ausweises kann jedoch strafrechtlicheFolgen haben, da es sich in der Tat um eine Zerstörungstaatlichen Eigentums handelt. Die Beweislagein solch einem Fall dürfte für den Inhaber nicht einfachsein, schließlich stellt sich die Frage, warum überhaupteine mutwillige Zerstörung angestrebt wird?hakin9.org/de 15

DATENSCHUTZAuf dem Ausweis befindet sich ein Chip, welcher dieAusweisdaten vorhält und welcher nur von entsprechendberechtigter Stelle ausgelesen werden darf. DieBiometriefunktionen sind dabei ausschließlich für hoheitlicheKontrollen an Grenzen und im Inland vorgesehenund dienen der Sicherheit als Reisedokument. SogenannteE-Business/E-Government-Diensteanbieterwerden künftig mittels Berechtigungszertifikaten, welchemit strengen Sicherheitsbestimmungen und Einschränkungenhinsichtlich des Umfanges der auslesbarenDaten behaftet sind, autorisiert und kontrolliert.Im Prozess der Datenübermittlung wird dem Inhaberzusätzlich die Möglichkeit gegeben, die zu übermittelndenDaten nach eigenem Dafürhalten zusätzlich einzuschränkenoder auch zu erweitern. Dies wird entwederüber das Display eines Komfort-Lesegerätes ermöglichtoder erfolgt über die AusweisApp direkt am Computer.Die sogenannte „passive Authentifizierung“ dient dazu,die Echtheit und die Unverfälschtheit der Daten auf demChip des Ausweisdokumentes zu prüfen. Dabei werden dieDaten bis zum sogenannten CSCA-Zertifikat (Country SignerCertificate Authority) zurückverfolgt, welches nur vondem offiziell beauftragten Passhersteller der ausstellendenNation zur Verfügung steht. Diese Daten können weder verändert,gelöscht noch ergänzt werden, ohne dass dies beieiner Überprüfung offensichtlich würde. Zuletzt bleibt nochder Schutz des Zugriffs auf den Chip mittels der persönlichenPIN, welche nur dem Inhaber bekannt ist und welchebei entsprechend sicherer Eingabe, beispielsweise mittelseines Komfortkartenlesegerätes, auch keine Sicherheitslückenoffen lässt; insbesondere dann nicht, wenn diesePIN in regelmäßigen Abständen gewechselt wird. Ganz zerstörtist der Ausweis nicht, wenn der Chip untauglich gemachtwurde, denn dann fungiert er immer noch im konventionellenSinn der Identifizierung durch das Dokumentan sich und das aufgedruckte Passbild. Selbstverständlichist das Dokument nicht feuerfest und würde beispielsweiseauch Mikrowellen nicht standhalten.Es wird zudem die Meinung vertreten, dass durch denEinsatz des Ausweises in Verbindung mit Onlinedienstender Mensch zum gläsernen Menschen wird und dass Datenvermehrt und unkontrolliert in Umlauf geraten. Dazu wurdeneben anderen, teils hier schon dargestellte, Kontrollmechanismen,welche zudem durch den Inhaber des Ausweisesselbst verifiziert werden können, auch die sogenannte„Pseudonymfunktion“ etabliert. Hier errechnet der im nPAenthaltene Chip aus einem im Berechtigungszertifikat desInternetanbieters enthaltenen öffentlichen Schlüssel undeinem auf dem Personalausweis gespeicherten geheimenSchlüssel die „restricted Identifikation“. Nur dieses Pseudonymwird dann an den Diensteanbieter im Bereich desE-Commerce übermittelt, anhand dessen bei wiederholtemLogin eine richtige Zuordnung zu einem Account erfolgenkann, ohne die lästige wiederholte Eingabe aller erforderlichenProfildaten. Wird ausschließlich die Pseudonymfunktiongenutzt, erhält der Diensteanbieter keinerlei sonstigeDaten des betreffenden Bürgers. Zudem wird für jeden Internetanbieterein neues und damit unterschiedliches Pseudonymgeneriert , weshalb sich keine anbieterübergreifendenNutzerprofile anlegen lassen (Quelle: https://www.bsi-fuer-buerger.de). Aus Datenschutzsicht empfiehlt sichdiese Funktion sogar, insbesondere für Bürger, die eineVielzahl von Onlinediensten nutzen.Wenn über den eigenen Rechner Angriffe mittels Virenoder Schadsoftware erfolgen und jemand so auf AusweisdatenZugriff erlangt, dann liegt die Verantwortung nichtbeim Inhaber. Das neue Personalausweisgesetz sowiedie Personalausweisverordnung nehmen hierzu klarStellung und übertragen dem Inhaber des Ausweisessehr wohl weitreichende Verantwortung im Hinblick aufdie Nutzung der elektronischen Funktionen seines nPA.:• informationstechnische Systeme mit geeignetenAbwehrmaßnahmen gegen Sicherheitslücken nachdem Stand der Technik;• Lesegeräte, die durch das Bundesamt für Sicherheitin der Informationstechnik zertifiziert wordensind;• Software zur Nutzung des eletronischen Identitätsnachweises,die durch das Bundesamt für Sicherheitin der Informationstechnik zertifiziert wordensind.“Das BSI empfiehlt dazu konkrete Maßnahmen, wie dieSicherung des eigenen Computers mit einer aktuellenVirenschutzsoftware in Verbindung mit einer Firewallsowie regelmäßige Sicherheitsupdates. Darüberhinaus sollte der Ausweis nur für die zur Durchführungder Authentifizierung notwendige Zeit in Funktionsreichweitedes Lesegerätes vorgehalten werden, wobeiausdrücklich nur zertifizierte Lesegeräte sowie diezertifizierte Software („AusweisAPP“) zur Nutzung allerFunktionen des Personalausweises empfohlen werden.Bislang sind noch keine Vorfälle bekannt, die imZusammenhang mit einer missbräuchlichen Nutzungaufgrund der vom Ausweisinhaber unzureichend getroffeneSicherheitsmaßnahmen erfolgten. Daher istnoch unklar, wie sich juristische Folgen für den Verantwortlichengestalten, aber es wird deutlich, dass derBürger sich hier in die Pflicht genommen sehen muss.Bevor wir uns nachfolgend den Möglichkeiten desnPA und seinen Funktionen zuwenden, gestatten Sieuns hier ein kleines, nachdenkliches und persönlichesFazit als Datenschutzbeauftragte aus der Auseinandersetzungmit Kollegen, die für die Realisierung des neuennPA zuständig waren und sind.Was die Berichterstattung und die „Kinderkrankheiten“des neuen Systems betrifft, wäre es – vor allem aus derSicht der Entwickler und Hersteller – wünschenswert gewesen,wenn bei einem so wichtigen Verfahren alle In-1611/2010

Der neue Personalausweis (nPA) – Röntgenblicke durch die Datenschutzbrilleteressierten an einem Strang hätten ziehen können. Sohätten beispielsweise aktuell sehr laut gewordene Kritikerim Vorfeld die Zeit sehr sinnvoll zum Allgemeinwohl nutzenkönnen, wenn sie sich für Tests und Optimierungsvorschlägeeingesetzt hätten – zusätzlich zu denjenigen,die an solchen Tests aus dienstlichen und wirtschaftlichenInteressen an den natürlich stattgefundenen Anwendungsteststeilgenommen haben. Bei aktivem Nachfragen aufentsprechend renommierten Fachveranstaltungen konntebeispielsweise jedoch kaum ein Referent aus den BereichenDatenschutz und Datensicherheit im Vorfeld adäquateAntworten geben. Als Entschuldigung war immerwieder zu hören, „dass man den neuen Ausweisgern mal auseinander nehmen würde“. Das hättensich die produzierenden Stellen sicherlich auch imVorfeld gewünscht: produktiv orientierte Feldtests durchvöllig unbeteiligte Stellen, sehr gerne und gerade auchdurch kritisch eingestellte Interessenten, die ruhig bis andie Härtegrenzen hätten gehen dürfen. Auf diese Weisehätte man die eine oder andere Lücke, die nun doch nochzutage tritt, von vorne herein vielleicht identifizieren undbeheben können. Dass ein neuer Personalausweis kommenwürde, ist bereits seit Jahren hinlänglich bekannt,Testkarten waren problemlos zu bekommen, ebenso diejeweils aktuelle Version der AusweisApp. Doch echtesEngagement hat kaum jemand von den jetzigen Kritikerngezeigt, denn wer sich eingebracht hat, wurde einbezogen.Jetzt müssen wir daher alle zusammen die Feinheitenim produktiven System gemeinsam justieren, undwenn möglicherweise daraus Folgekosten und Unannehmlichkeitenfür uns alle entstehen, liegt das zu einemgroßen Teil daran, dass rechtzeitig vorher kaum Interesseam nPA bestand.Doch wenden wir uns nun in der zweiten Hälfte desArtikels einigen Möglichkeiten und Grenzen zu, die dernPA bieten kann.Ausgewählte Funktionenund deren Nutzen im ÜberblickImmer mehr Unternehmen, sowohl aus dem Bereichdes E-Business als auch des E-Government, verfügenüber entsprechende Zertifikate, welche den Einsatz desnPA in deren Geschäftsprozessen erlauben und demLinks mit weiterführenden InformationsquellenKunden, also dem Inhaber eines nPA, dadurch eineerleichterte Abwicklung beispielsweise von Onlinegeschäftenbzw. Antragstellung ermöglichen. Derzeit gibtes 43 Diensteanbieter, die schon ein solches Berechtigungszertifikatder VfB (Vergabestelle für Berechtigungszertifikate)erhalten haben. Die Liste dieser Anbieter,darunter die Bundesagentur für Arbeit, Datev eG,Schufa Holding AG, Allianz Deutschland AG, StadtverwaltungMünster, Fujitsu Technology Solution GmbH,Stadt Hagen oder auch das Bayerische Landesamt fürSteuern, ist unter http://www.personalausweisportal.deveröffentlicht. Wir haben nachfolgend ein paar beispielhafteMöglichkeiten des nPA für Sie zusammengestellt.Nützliche Funktionen im Überblick• Mit dem nPA kann der Inhaber des Dokuments seineIdentität elektronisch nachweisen und schütztsich damit vor dem zunehmenden Identitätsdiebstahlim Internet. Nicht nur der Inhaber, sondernbeide an einem Online-Service beteiligten Stellenkönnen nun ihre Identität nachweisen. Das schafftmehr Sicherheit für beide beteiligte Parteien undfördert zudem das Vertrauen bei der Nutzung imE-Government und E-Business.• Adressenverifizierung, Plausibilitätsüberprüfungund andere Standardüberprüfungsprozesse werdenschneller realisierbar und dadurch wirtschaftlicher.• Mittels einer qualifizierten Signatur auf dem nPA istes dem Inhaber möglich, Vorgänge medienbruchfreielektronisch abzuwickeln, die sonst eine Unterschriftund damit das physische Aufsuchen einerentsprechend berechtigten Stelle voraussetzen,z.B. im PostIdent-Verfahren.• Aufgrund des auf dem nPA geschützt enthaltenenAlters des Inhabers ist im Bedarfsfall die Überprüfungdes erforderlichen Altersnachweises im Internetund an Automaten so einsetzbar, dass einMissbrauch ausgeschlossen werden kann.• Mit Hilfe der biometrischen Daten, wie Foto oderFingerabdruckdaten, wird dem Inhaber eine zuverlässigeund schnelle Personenkontrolle etwa bei• Personalausweisportal: http://www.personalausweisportal.de/cln_093/DE/Neue-Moeglichkeiten/Das-brauchen-Sie/das-brauchen--sie_node.html• Bundesamt für Sicherheit in der Informationstechnik: https://www.bsi-fuer-buerger.de/cln_136/BSIFB/DE/Themen/Personalausweis/TechnischeGrundlagen/technischegrundlagen_node.html• Bundesministerium des Inneren http://www.bmi.bund.de/cln_156/DE/Themen/Sicherheit/PaesseAusweise/ePersonalausweis/ePersonalausweis_node.html• Ausweis Portal – das Portal, wenn Sie unternehmerische nPA-Lösungen anstreben: http://www.ausweis-portal.de/index.php/personalausweis• Weitere Informationen und direkte Beratung finden Sie zusätzlich bei der jeweiligen Ausweisbehörde des für Sie zuständigenBürgeramteshakin9.org/de 17

DATENSCHUTZAuslandsreisen ermöglicht. Zusätzlich schützen sieden Inhaber zusätzlich vor Identitätsmissbrauch.Kritische Funktionen – Sicherheitsrelevantes• Im Zusammenhang mit der freiwilligen Speicherungder biometrischen Daten, wie etwa der Fingerabdruckdaten,ist die Nutzung des nPA bei Auslandsreisenaus Datenschutzsicht durchaus auch kritischzu bewerten. Insbesondere in Drittstaaten ist nichtsichergestellt, wie diese Daten nach dem Auslesengespeichert oder weiterverarbeitet werden, da hiernicht dieselbe Gesetzesgrundlage herrscht wie inder Bundesrepublik Deutschland. Daher sollte jederBetroffene gerade in diesem Punkt für sich Nutzenund Risiken im Ausland abwägen.• Um mit dem nPA über den eigenen PC Online-Servicedienstein Anspruch nehmen können, benötigtder Inhaber ein Lesegerät und eine entsprechendeAnwendungssoftware (AusweisApp). So genannte„Basis“ – und „Standard“-Lesegeräte könnenaus Datenschutzsicht nicht empfohlen werden. Zursicheren Nutzung empfehlen wir dringend den Einsatzeines Komfortlesegerätes mit eigenem PIN-Eingabfeld und Display im Kartenleser zur Verifizierung.Zudem sollte immer die aktuellste Version derAusweisApp auf dem PC verwendet werden. Andieser Stelle sei ausdrücklich vor billigen Lesegerätengewarnt!• Verwendet der Ausweisinhaber das Signaturzertifikatzur Nutzung der Unterschriftfunktion, muss erbei einem Verlust des Ausweises neben der sofortigenMeldung an die Behörde den Verlust auch anden Zertifikatsanbieter melden, da dies nicht automatischerfolgt.• Laut § 1 Absatz 1 Personalausweisgesetz ist zumeinen jeder Bundesbürger verpflichtet, einen Ausweiszu besitzen, „den er auf Verlangen einer zurFeststellung der Identität berechtigten Behörde vorlegenmuss“. Zum anderen – und das dürfte durchausfür viele künftige nPA-Inhaber neu sein – darfvom Ausweisinhaber „nicht verlangt werden, denPersonalausweis zu hinterlegen oder in sonstigerWeise in Gewahrsam aufzugeben“. Dies gilt miteiner Ausnahme, nämlich nicht für die „Identitätsfeststellungberechtigte Behörden sowie in den Fällender Einziehung und Sicherstellung“. Im Klartextbedeutet das, dass kein Hotel und kein Geschäftden Personalausweis als Pfand verlangen darf.Das AntragsverfahrenWie und wo wird der nPA beantragt?Der neue Personalausweis kann seit 01.11.2010 bei derAusweisbehörde des zuständigen Bürgeramtes beantragtwerden. Eine Umtauschpflicht vor Ablauf der Gültigkeitdes bisherigen Ausweises besteht nicht. Sämtliche bisherigeAusweise behalten ihre Gültigkeit bis zum aufgedrucktenAblaufdatum. Ein vorzeitiger Umtausch ist gegen entsprechendeGebühr jederzeit möglich. Die Beantragungerfolgt mittels altem Reisepass oder Personalausweis,altem Kinderausweis, Kinderpass oder Geburtsurkundesowie Einverständniserklärung beider Erziehungsberechtigtenoder dem Sorgerechtsnachweis bei nur einemErziehungsberechtigten. Anforderungen an das Lichtbildentsprechen den bisherigen. Die Gültigkeitsdauer für Personenunter 24 Jahren beträgt sechs (6) Jahre, bei Personenüber 24 Jahren zehn (10) Jahre. Der Personalausweisist grundsätzlich persönlich zu beantragen und auchpersönlich nach einer durchschnittlichen Bearbeitungszeitvon etwa 3 Wochen persönlich entgegenzunehmen.Praxistipps zum nPA• Beantragen Sie die von Ihnen gewünschten Zusatzfunktionen gleich zusammen mit dem Ausweis, da nachträglich Kosten anfallenwürden.• Verwenden Sie ausschließlich durch das BSI zerfitifizierte Komfortkartenleser, d.h. mit eingebautem PIN-Pad und Display.• Sorgen Sie dafür, dass der PC, den Sie gegebenenfalls mit dem nPA nutzen wollen, sicher ist. Tipps hierfür finden Sie auf denSeiten des BSI (www.bsi-fuer-buerger.de).• Achten Sie bei der Auswahl einer Zertifizierungsstelle für die Nutzung der digitalen Unterschrift auf deren Zulassung (Liste derBundesnetzagentur).• Nutzen sie für Online-Geschäfte möglichst zertifizierte Anbieter in Verbindung mit dem nPA, da Sie auf diese Weise einen geprüftenGeschäftspartner wählen.• Verwahren Sie Ihren nPA sowie die zugehörige PIN sorgsam vor unbefugter Einsichtnahme und vor Verlust (so wie Ihre Kredit-/Bankkarte) und wechseln Sie die PIN von Zeit zu Zeit.• Wenn Sie die Funktion der digitalen Unterschrift nutzen, melden Sie den Verlust Ihres nPA nicht nur der Behörde, sondernauch der Ihrer Zertifikatsstelle.• Machen Sie sich nicht sich nicht strafbar, indem Sie den nPA oder seine Bestandteile missbrauchen oder gar unbrauchbar machen,denn das Dokument ist Staatseigentum. Wenn Sie die digitalen Funktionen nicht nutzen möchten, tun Sie es einfachnicht. Genügt Ihnen das nicht, nutzen Sie produktive Schutzmechanismen, die ebenfalls im Internet zu finden sind.• Kontrollieren Sie die grundsätzlich immer die Auswahl der zu übertragenden Daten, auch bei Behördengängen online.• Geben Sie Ihren nPA nicht aus der Hand, da dies keine Stelle von Ihnen verlangen darf (Ausnahme: behördliche Stellen zurIdentitätsfeststellung oder Einziehung des nPA).1811/2010

Der neue Personalausweis (nPA) – Röntgenblicke durch die DatenschutzbrilleAktueller Rückblick zu den Datenschutz-Schlagzeilen in der Online-Presse:Das Redaktionsteam von Blossey & Partner stellt jede Woche neu die Schwerpunktthemen rund um die heißen Datenschutzthemenfür Sie zusammen unter http://www.blossey-partner.de („News“, unten rechts). Klicken Sie doch mal hinein, das Archiv reichtinzwischen bis 2005 zurück und bietet sogar eine Suchfunktion. Viel Spaß beim Stöbern.Wie und wo wird ein Signaturzertifikat erworben?Das Signaturzertifikat zur Nutzung der Unterschriftfunktionkann bei einem zugelassenen Anbieter freierWahl erworben werden. Eine Liste der authorisiertenAnbieter befindet sich auf der Website der Bundesnetzagentur.Die Kosten für ein Zertifikat unterscheidensich je nach Laufzeit der Anbieter. Bei Verlust des Ausweisesmuss der Inhaber neben der sofortigen Meldungan die Behörde den Verlust auch an den Zertifikatsanbietermelden, da dies nicht automatisch erfolgt.Fazit & AusblickIm Vorfeld des nPA war es bemerkenswert still im Lagerder üblichen Kritiker und den Stellen, von denen wirals interessierte Bundesbürger gewohnt sind, zu hören.Schlagzeilen wie „Rentner knackt den nPA“ schürten dieStimmung wenige Wochen vor der Einführung des neuenAusweises ein wenig an, doch wer lesen kann undsich die Mühe gemacht hat, mehr als nur die ketzerischeSchlagzeile zu lesen, war dann wenig beeindruckt davon,dass besagter Mitbürger die Karte einfach durchgebrochenhat. Mit Sicherheitslücken hat das nichts zu tun. Derzeitdominieren Berichte über tatsächliche Sicherheitslückendie Medienlandschaft, und das war vorauszusehen,da der nPA durchaus ein Gegenstand des öffentlichen Interessesist.Wendet man sich daher von diesen Nachrichten ab,hin zu den Perspektiven, die der nPA durch die Integrationdes RFID-Chips bietet und in Zukunft bietenkann, wird schnell viel Potential für künftige Anwendungensichtbar. Heute noch herrscht vielfach Unsicherheitbei der Einführung eines neuen Mediums,doch morgen dürfen wir gerade im Hinblick auf die derzeitdiskutierten Rahmenbedingungen zur vollumfänglichenNutzung des elektronischen Personalausweises,insbesondere der Nutzung mit Lesegerät, AusweisApp(und Fingerabdruck, soweit gewünscht), gespannt sein,wie sich die Angebotspalette der Online-Servicediensteentwickeln wird.Einige innovativ orientierte Unternehmen beschäftigtensich schon jetzt mit der Frage, welchen Nutzen sie ihrenKunden bzw. Klienten durch die Nutzung des nPA anbietenkönnen. So hat beispielsweise ein großer Direktversichererin den letzten Tagen Ausweis-Kits (leider mit den staatlichgeförderten Lesegeräten, die eben nicht sicher sindund daher nicht verwendet werden sollen) an interessierteKunden ausgegeben, zusammen mit nützlichen Begleitinformationen.Einen anderen namhaften Konzern beschäftigenderzeit unternehmensinterne Anwendungsmöglichkei-ten, die für alle Beschäftigten ein Plus an Sicherheit unddabei weniger Aufwand im Arbeitsalltag bedeuten könnten.Für alle Unternehmen, die diesen Markt für sich noch entdecken,erforschen und gegebenenfalls gewinnbringendnutzen wollen, steht inzwischen auch ein interdisziplinäresTeam aus Herstellern, Entwicklern, Datenschutzexpertender freien Wirtschaft und Unternehmensberater zur Projektberatungund -begleitung zur Verfügung. Sie finden diesesTeam, in welchem Blossey & Partner den Bereich des betrieblichenDatenschutzes federführend abdeckt, im Ausweis-Portalunter www.ausweis-portal.de.KERSTIN BLOSSEY UND CHRISTIAN BLOSSEYKerstin Blossey ist Dipl. Informations-Wirtin (FH), Dipl. Sozialpädagogin(FH), nach dem Ulmer Modell geprüfte fachkundigeDatenschutzbeauftragte und Gründerin von Blossey& Partner, einem kleinen Unternehmensberatungshaus, dassich ganz auf den unternehmerischen Datenschutz spezialisierthat. Zum Kundenkreis zählen deutsche wie internationalangesiedelte mittelständische Unternehmen, Konzerne undEinrichtungen aus so unterschiedlichen Branchen wie Druck& Medien, IT- Anwendungen & IT-Sicherheit, Telekommunikation,Verlagswesen, Softwareindustrie, Automotive, Gesundheitswesen,Forschung & Lehre, Tourismus, produzierendesGewerbe und die öffentliche Hand. In Fachbeiträgen und Vorträgenvermittelt die Autorin schwerpunktmäßig wirtschaftlichangemessene und arbeitstaugliche Möglichkeiten undWege des praxisorientierten Datenschutzes. Ihre persönlicheLeidenschaft ist das interdisziplinäre Schnittstellenmanagementim betrieblichen Datenschutz.Christian Blossey ist geprüfter Datenschutzbeauftragter (IHK)und QM-Auditor (ISO 9000 ff., KTQ). Von seinen weitgehendenErfahrungen in Führungspositionen in einflussreichen Branchenwie Konstruktion & Bau, Energiewirtschaft oder Direktmarketingprofitieren die Unternehmen, die er seit 2008 berät.Als erfahrener Prozessanalytiker widmet er sich schwerpunktmäßigder Identifizierung von Geschäftsprozessen, demAufspüren möglicher Datenschutzlücken sowie dem Entwurfpraxisverträglicher Maßnahmen zur wirksamen nachhaltigenRisikoreduzierung in privatwirtschaftlichen Unternehmen.Seine Leidenschaft ist das Finden individueller angemessenerLösungswege für den unternehmerischen Datenschutz in privatwirtschaftlichenUnternehmen und der öffentlichen Hand.hakin9.org/de 19

ABWEHRKammerkonzert im GroßenSaal – IT Sicherheit für KMUDr. Danilo KardelAuch kleine und mittlere Unternehmen (KMU) brauchenIT-Sicherheit. Aber die gängigen Managementmodelle sindfür größere Unternehmen konzipiert. Solche komplexenPartituren sind in kleineren Besetzungen oft nichtaufführbar.IN DIESEM ARTIKEL ERFAHREN SIE...• wie IT-Risikomanagement und IT-Sicherheitsmanagementauch von kleineren Unternehmen praktiziert werden kann.• wie man gängige IT-Managementmodelle vereinfachen undfür KMU nutzbar machen kann.WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Grundlegendes Verständnis der IT und der IT-Sicherheit inUnternehmen.• Denkweise in Unternehmensprozessen.Dieser Artikel zeigt, wie man aus vorhandenenFrameworks das Beste kombinieren und mit angemessenemAufwand System in die KMU-ITbringt.Auch in kleineren Unternehmen besteht der Bedarf ankompetentem Risikomanagement und IT-Sicherheitsmanagement.Diese Notwendigkeit ergibt sich sowohlaus konkreten Bedrohungen als auch aus gesetzlichenVorgaben. So sind Unternehmen z.B. zur Datensicherungund zu einem sorgsamen Umgang mit Informationenverpflichtet. Auch die Datenschutzbestimmungengelten für jedes Unternehmen, egal wie groß und in welcherBranche.Nun gibt es zwar eine ganze Reihe von Managementmodellenmit dem Zweck einer fundiertenAnalyse von Risiken und Bedrohungen in der Informationstechnik,auch mit Möglichkeiten, geeigneteStrategien und Maßnahmen zu entwickeln.Bloß sind diese Frameworks in aller Regel für größereUnternehmen konzipiert und darum sehr umfangreich.Kleinere Unternehmen haben oft keineChance, die notwendigen personellen und finanziellenRessourcen bereitzustellen. Um die großenUnterschiede in der Wirtschaftskraft von Unternehmenstatistisch zu veranschaulichen: Nach Zahlendes Instituts für Mittelstandsforschung (IfM) inBonn sind in Deutschland 65,8% aller sozialversicherungspflichtigenBeschäftigten in KMU tätig, erwirtschaftetwerden dort aber nur rund 37,5% allerUmsätze. Unternehmensleitungen von kleinerenUnternehmen müssen also oft sparsam haushalten,und es gibt wenig Spielraum für Maßnahmen zurEntwicklung eines strategischen IT-Managements.Gerade in kleinen Unternehmen mit 50 Mitarbeiternoder weniger wird darum oft darauf vertraut,mit dem Einsatz der gängigen Techniken das Nötigegetan zu haben. Das klingt dann ungefähr so:"Wir haben doch eine Firewall, auch Virenscanner!Und der Server hat ein RAID und ist auch noch garnicht so alt."Zum AuftaktKein Wunder, dass bei den Geschäftsleitungen kleinererFirmen oft ein gewisses Unbehagen herrscht.Ohne jedem Vertriebler von IT-Security Lösungenjede Horrorgeschichte zu glauben: IT-Sicherheit istvon verschiedenen Seiten gefährdet, nur ist oft nichtanalysiert und klar definiert worden, was wo und wodurchbedroht ist. Dabei hängen fast alle Unternehmenmehr oder weniger direkt von der Sicherheit ihrerIT ab, von den berühmten drei Grundwerten derIT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integritätder Daten. Einfach nur zu hoffen, es werdeschon nichts passieren, ist als Position auf Daueretwas schwach. Gesetzliche Anforderungen unterschiedlicherArt kommen gerüchteweise dazu.Es ist gut, ganz nüchtern folgende Fragen konkret zubeantworten:2011/2010

Kammerkonzert im Großen Saal – IT Sicherheit für KMU• Welche betrieblichen assets (Information, Kernkompetenz,oder Kapital) sind überhaupt vorhanden?• Wodurch werden assets bedroht, und wie hoch istihr Schutzbedarf?Das wäre schon in einfacher Form das, was man eineRisikoanalyse nennt. Und man kann gleich weitermachenmit diesen Fragen:• Wie lässt sich ein systematischer Überblick überdie IT-Einrichtungen und Prozesse gewinnen?• Wie kann die Qualität der einzelnen IT-Prozessebewertet werden?• Wie kann die IT im Ganzen beurteilt werden? Wasfehlt, und wie schlimm ist das?Das TrioDieser Artikel zeigt Wege auf, das Management derIT in kleineren Umgebungen auf eine solide Basis zustellen, und zwar mit vertretbarem Aufwand und ohnedafür allzu starre Formalismen zu bemühen. Die notwendigeRisikoanalyse sowie das Schema zur systematischenErfassung aller Elemente einer IT müssenmöglichst wenig abstrahiert sein, die Bewertungskriterienpraxisnah und eine Verbesserung in überschaubareProjekte unterteilbar. Drei frei verfügba-re Methoden in vereinfachter Form lassen sich dazuverknüpfen:• Die Risikoanalysemethode OCTAVE-S kann in kleinerenUnternehmen eingesetzt werden, um assetsund ihren Schutzbedarf zu identifizieren.• Die Systematik der Grundschutzkataloge des BSIist gut geeignet, die Komponenten einer IT-Landschaftzu kategorisieren. Mit wenigen Änderungenund Erweiterungen kann aus den "ÜbergreifendenAspekten" der Grundschutzkataloge eine Listederjenigen Komponenten erstellt werden, die essentielleBedeutung für eine Unternehmens-IT haben.• Das Reifegradmodell CMMI for Services (CMMI-SVC) erlaubt die praxisnahe Bewertung von Prozessen.Es zielt im ersten Reifegrad auf die Definitionspezifischer Prozessziele, im zweiten Reifegradauf die langfristige Stabilität der Prozesse.Risikoanalyse mit OCTAVE-SOCTAVE ist eine Risikomanagementmethode zur Identifizierungbetrieblicher assets (das können Informationen,Kernkompetenzen oder anderes betriebliches"Kapital" sein) und deren Bedrohungen. Die OCTA-VE Methode erlaubt außerdem die Entwicklung einerSchutz- oder Gefahrenminderungsstrategie. Das Risi-Abbildung 1. Die Prozessreifegrade des CMMI.hakin9.org/de 21

ABWEHRkomanagement für kleinere Unternehmen in der VarianteOCTAVE-s beinhaltet fünf Prozessschritte:• Identifizieren betrieblicher Information• Entwurf von Bedrohungsprofilen• Untersuchung der IT Infrastruktur in Bezug auf kritischeassets• Identifizieren und Analysieren der Risiken• Entwicklung einer Schutzstrategie und eines Planszur Gefahrenminderung.Für die Anwendung von OCTAVE-S als Risikoanalysewerkzeugim Rahmen eines IT-Checks für kleine undmittlere Unternehmen kann man diesen Ansatz auf einenKriterienkatalog entsprechend den ersten vierProzessschritten reduzieren.Infrastrukturanalyse mit den BSIGrundschutzkatalogenMit den Grundschutzkatalogen hat das Bundesamt fürSicherheit in der Informationstechnologie (BSI) eineneinheitlichen Standard für die Beschreibung der IT-Komponenten in einem Unternehmen entwickelt. Dadie Kataloge für alle Unternehmensgrößen und Branchenanwendbar sein sollen, sind sie allerdings sehrumfangreich. Aus den "Übergreifenden Aspekten"kann man ein vereinfachtes Schema für kleinere undmittlere IT-Umgebungen ableiten, das so aussieht:• IT-Sicherheitsmanagement• Organisation• Personal• Notfallvorsorgekonzept• Datensicherungskonzept• Datenschutz• Schutz vor Schadprogrammen• Kryptokonzept• Behandlung von Sicherheitsvorfällen• Hard- und Software-Management• Standardsoftware• Outsourcing• Archivierung• IT-Sicherheitssensibilisierung und -schulung• NetzwerkkomponentenAbbildung 2. Die Drei wichtigen Dimensionen des CMMI Modells.2211/2010

2010www.sigs-datacom.deKontakt: Anja Keß, · Lindlaustraße 2c, D-53842 Troisdorf,Tel.: +49 (0) 22 41 / 23 41-201 · Fax: +49 (0) 22 41 / 23 41-199 · Email: anja.kess@sigs-datacom.deErfolgreich durch Wissens vermittlung aus 1. Handn Die ultimative Hacking-Akademien Erfolgreiche Abwehr von Hacker-Angriffen undsicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger 2.150,- € zzgl. MwSt.n Best Practices für sichere Web-Anwendungenn Sicherheitslücken in Webanwendungen vermeiden,erkennen und schließen –gemäß Empfehlung des BSIThomas Schreiber1.590,- € zzgl. MwSt.n Sicherheit mit WebService-InfrastrukturenJörg Bartholdt1.590,- € zzgl. MwSt.n Cloud Computing im praktischen EinsatzArnd Kleinbeck & Stefan Tilkovn iPhone Grundlagen und EntwicklungHendrik Schreiber990,- € zzgl. MwSt.1.590,- € zzgl. MwSt.n NEU – jetzt 3-tägig:CSM Certified ScrumMaster Coursen Voraussetzung für die Zertifizierungzum Scrum MasterSabine Canditt2.150,- € zzgl. MwSt.n Secure Coding mit Java EEn Entwicklung einbruchssicherer Webanwendungenund Webservices unter Java EEMirko Richter1.590,- € zzgl. MwSt.n Web Application Firewall Startern Essentielles Web Application Firewall GrundwissenAchim Hoffmann990,- € zzgl. MwSt.n Advanced Web Application Security Testingn Professionelle Sicherheitsuntersuchungen vonEnterprise-Webanwendungen durchführenThomas Schreiber1.590,- € zzgl. MwSt.Alle Termine und Themen finden Sie immer aktuell unter: www.sigs-datacom.dewww.sigs-datacom.dewww.sigs-datacom.de

ABWEHRMit Hilfe diese 15 Kategorien kann ermittelt werden, oballe wesentlichen Komponenten einer Unternehmens-IT implementiert sind.Prozessoptimierung mit CMMIDas Prozessreifegradmodell CMMI for Services (CM-MI-SVC) umfasst fünf Reifegrade und einen umfangreichenSatz von unterstützenden Prozessen. InZusammenhang mit der Bewertung kleinerer IT-Umgebungenreichen die beiden ersten Reifegrade aus. Imersten der beiden Reifegrade des CMMI Modells sinddie Ziele und Praktiken eines Prozesses definiert bzw.eingeführt; ein solcher Prozess heißt durchgeführt. Imzweiten Reifegrad ist der Prozess so geführt oder gemanagt,dass er langfristig und auch unter Belastungstabil ablaufen kann. In der Sprache des CMMI Modellsheißt so ein Prozess auch institutionalisiert.Ganz simpel ausgedrückt:• Reifegrad 1 heißt "Es gibt den Prozess."• Reifegrad 2 heißt "Der Prozess ist stabil angelegt."Es hapert manchmal schon an der klaren Definitioneines Prozesses. Aber insbesondere der Übergangvon Reifegrad 1 nach Reifegrad 2 wird in vielenkleineren Unternehmen nicht vollzogen, weilman glaubt, mit der Einrichtung einer IT-Komponenteoder eines Prozesses die Aufgabe abgeschlossenzu haben. Langfristige Stabilität und Zuverlässigkeiterreicht man aber nur durch kontinuierlichesKümmern, managen eben. Keiner kann sich auf seinGlück verlassen, dass Prozesse zufällig jahrelangstabil laufen.Es kommt noch etwas dazu. Dem CMMI Modell folgendhaben Prozesse drei Dimensionen, die auf einanderabgestimmt werden müssen:• Prozessebene: Verfahren und Methoden, die dieAbhängigkeiten zwischen Aufgaben definieren• Technische Ebene: Tools und Ausstattung• Anwenderebene: Kompetentes, geschultes undmotiviertes PersonalDiese Drei werden im CMMI "Die Drei wichtigenDimensionen" genannt. Bei jeder Betrachtung einerIT sollte der Aspekt gegenwärtig sein, dass esnicht nur um Prozessbeschreibungen und geeigneteWerkzeuge geht, sondern auch um die Menschen,die die Werkzeuge einsetzen, die Prozesse führenund optimieren, und die letztlich die Produktivität erzeugen.Das Konzert kann beginnenMit dieser methodischen Dreistimmigkeit kann ein harmonischerIT-Check in vier Sätzen aufgeführt werden. Erbeginnt mit der Vorbereitung und dem Zusammentragenbzw. Bereitstellen von Information über die IT. Es hängtvom bisherigen IT-Management ab, ob das ein langsamerSatz ist oder ob er allegro molto gespielt werdenkann. Es folgen zwei Analyseteile: Die Risikoanalyseund die technische und organisatorische Evaluierung.Das Finale bilden die Auswertung der Ergebnisse unddas Erarbeiten von Handlungsempfehlungen.Für die Risikoanalyse ist es notwendig, die betrieblichenassets des Unternehmens konkret zu benennenund ihre Bedeutung für das Unternehmen sowie mög-Abbildung 3. Ablauf des IT-Checks.2411/2010

Kammerkonzert im Großen Saal – IT Sicherheit für KMUliche Risiken abzuschätzen. Im einfachen Fall gilt fürsämtliche assets eines Unternehmens ein geringer bismittlerer Schutzbedarf. Dann müssen lediglich grundlegendeAnforderungen erfüllt werden, etwa die unternehmerischeSorgfaltspflicht in Bezug auf die Datensicherheit,die gesetzlichen Vorgaben des Datenschutzesund ggf. Vertraulichkeitsvereinbarungen mit Kooperationspartnern.Für den Fall, dass betriebliche assets kritische Bedeutunghaben und deren Verlust oder Offenlegungkatastrophale Folgen für das Unternehmen nach sichziehen kann, sind erweiterte Sicherheitsmaßnahmenerforderlich. Das Gleiche gilt bei besonderen Anforderungenan die Verfügbarkeit an Systeme, z.B. beim Betriebvon Webshops.Im nächsten Teil werden alle oben genannten 15 Kategoriender BSI Grundschutzkataloge durchgearbeitet.Dabei fällt in kleineren Unternehmen die Antwort fürmanche Gebiete vielleicht ganz kurz aus. Zum Beispielbraucht keine explizite Archivierung sämtlicher Datenstattzufinden, wenn alle Daten im LAN verfügbar sindund die Datensicherung gut organisiert ist. Es gilt rechtlichder Grundsatz, Unterlagen "geordnet aufzubewahren"(genau wie für altmodische Aktenordner auch).In jeder der 15 Kategorien können Kriterien des CM-MI Reifegradmodells für einen geführten Prozess angewandtwerden. Wie bereits beschrieben, ist der grundlegendeUnterschied zwischen einem durchgeführtenund einem geführten Prozess der, dass im ersten Falllediglich Prozessziele festgelegt sind und der Prozesseingerichtet wurde, im zweiten Fall außerdem Funktionund "Sinnhaftigkeit" des Prozesses regelmäßig geprüftwerden. Maßnahmen zum Erreichen des Prozessreifegrads2 sind:• Systeme und Einrichtungen gut planen (z.B. mitLeitlinien, Zuweisung von Ressourcen, Aufbau vonKompetenz)• Gute Kommunikation mit Beteiligten (sowohl Anwendernals auch Vorgesetzten der IT-Abteilung)• Prozesse sorgfältig überwachen und regelmäßigbewertenCMMI Reifegrad 1Beim Reifegrad 1 werden Arbeitsabläufe gewöhnlich ad hocund chaotisch durchgeführt. Der Erfolg hängt in solchen Organisationenvon der Kompetenz und dem Engagement derMitarbeiter ab und nicht vom Einsatz eines bewährten Prozesses.Trotz dieses Durcheinanders bringen Organisationenmit dem Reifegrad 1 häufig funktionierende Produkte undDienstleistungen hervor. Allerdings überschreiten sie oft dasBudget und halten ihre Termine nicht ein.Organisationen mit dem Reifegrad 1 zeichnen sich aus durcheine Neigung, sich zu viel zuzumuten, zur Vernachlässigungvon Arbeitsabläufen in Krisenzeiten und die Unfähigkeit, Erfolgezu wiederholen.Es ist die Erfahrung in vielen kleineren Unternehmen,dass dem Management von IT-Prozessen zu wenigAufmerksamkeit geschenkt wird.Der letzte Teil des IT-Checks, die Auswertung, ist derinteressanteste und anspruchsvollste Teil, weil dabei dieZusammenhänge zwischen Unternehmen, Zielsetzung,organisatorischen Vorgaben und den technischen undpersonellen Möglichkeiten hergestellt werden müssen.Den Ergebnissen der Risikoanalyse folgend haben dieverschiedenen IT-Komponenten unterschiedlich großeBedeutung. Instabilitäten oder Unsicherheiten einzelnerProzesse stellen unterschiedlich große Bedrohungenfür das Unternehmen dar. Es müssen vorhandeneMaßnahmen bewertet und ggf. bessere Methodenentwickelt werden. Dafür sind Erfahrung, Überblick undEinschätzungsvermögen nötig, kurz: Da ist Urteilskraftgefragt.Mit diesem IT-Check erhält man so nicht nur einenÜberblick über alle Komponenten der IT, sonderndazu auch eine systematische und objektiveBewertung der Prozesse, nebst praktischen Handlungsempfehlungen,um die Unternehmensrisikenzu vermindern.Es lohnt sich, in dieses Kammerkonzert zu gehen!Im Internet• http://www.kardel-it.de/download.html – Weitere Informationenzur Optimierung von IT-Prozessen in KMU mit Beschreibungeines Auditprogramms und ausführlichemFragenkatalog;• http://www.cert.org/octave/octaves.html – Risikomanagementnach OCTAVE®-S;• https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/itgrundschutz_node.html– IT Grundschutz desBundesamtes für Sicherheit in der Informationstechnik;• http://www.sei.cmu.edu/library/abstracts/reports/09tr001.cfm – CMMI Website des SEI: CMMI for Services, Version1.2.DR. DANILO KARDELDer Autor ist freiberuflicher IT-Berater mit Schwerpunkt IT-Sicherheitin kleinen und mittelständischen Unternehmen. Erarbeitet unter anderem im Rahmen regionaler Wirtschaftsförderungsmaßnahmenals Auditor für KMU und als Autor fürdas Fachjournal iX des Heise Verlags.Kontakt mit dem Autor: dk@kardel-it.dehakin9.org/de 25

NEWSAntares NetlogiX launcht HONEYAPPSehr anziehend – mit einem Honigtopf auf BärenjagdMit der bereits zweiten Software-Eigenentwicklung lässt AntaresNetlogiX am IT Security Markt aufhorchen. Mit dieser Honigtopf-Falleist es nun erstmals mit einem kommerziellen Tool möglich, Trojanerund Bots im Netz festzustellen, ohne danach aktiv suchen zu müssen.Das low-interaction-Konzept sieht vor, dass der HONEYAPP Diensteemuliert und so von Trojanern und Botnetzen gefunden werden.Sobald er „kontaktiert“ oder gescannt wird, ist die Sachlageklar: Keine Applikation oder Datenbank würdeihn jemals aufrufen, somit muss es sich um eine illegaleSoftware oder einen Eindringling handeln, der IhreAV Lösungen umgangen, Ihre Firewall am falschen Fußerwischt und Ihre IDS Lösung mit etwas Zeitvorsprung abgehängthat.Eindringlinge wie Stuxnet abwehrenMit herkömmlicher Software ist man immer „hintennach“und erst nach Updates und Hot Fixes wieder sicher– bei dieser Lücke. Jedoch hatte Stuxnet gleichvier dieser Lücken ausgenutzt – zwei sind immer nochoffen… HONEYAPP erkennt sämtliche Angriffsversuche,da jede Anomalie des Netzes oder jede zwangsläufigeBot-Aktivität gemeldet wird. In hochkritischenNetzen können Sie sich auch via Email oder SMS inEchtzeit alarmieren lassen – mit dem Alert MessagingServer von Antares NetlogiX.Auch im internen Netz ist somit rasch klar, woherdiese unerwünschten Anfragen kommen, wodurch dieSuche nach der „Quelle“ wesentlich erleichtert wird.Es sind viele Szenarien denkbar, in denen eine Honigtopf-Falleausgelegt werden sollte, abhängig von denmöglichen Bedrohungen oder tatsächlichen Anforderungen.Auf alle Fälle stehen auch hierbei die IT Spezialistenvon Antares NetlogiX zur Verfügung.Abwehrmaßnahmen für den OstenHohes Kundeninteresse an derartigen subversiven Abwehr-und Erkennungsmethoden haben vor allem Unternehmenund Institutionen gezeigt, die global und hiervor allem in Asien und Osteuropa tätig sind. AntaresNetlogiX spricht für höchste Qualität und bietet weitereVorteile als Hersteller: eine Supportmannschaft, besteReferenzen im Sicherheitsbereich und steht für höchsteVertraulichkeit. Natürlich können Sie auch gerne –im Gegensatz zu jedem anderen Security-Hersteller –im Notfall auf die Sicherheitsspezialisten von AntaresNetlogiX zurückgreifen oder diese Lösung als ManagedService Rund-um-die-Uhr betreuen lassen.www.netlogix.ws2810/2010

Potenzial für De-Mail zur rechtsverbindlichen GeschäftskommunikationPotenzial für De-Mailzur rechtsverbindlichenGeschäftskommunikationUlrike PeterWährend die einen sagen, De-Mail wird die digitale Geschäftsweltrevolutionieren, wollen die anderen die bis Ende des Jahres geplanteEinführung verhindern. Sicherheitsbedenken und zu hohe Kostenwerden ins Feld geführt.IN DIESEM ARTIKEL ERFAHREN SIE...• Fakten zu De-Mail: Vor- und Nachteile• Wie professionelle E-Mail-Verschlüsselungslösungen und De--Mail sinnvoll vereint werden könnenWAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Kein spezielles VorwissenIT-Security-Spezialist Dr. Burkhard Wiegel, Geschäftsführerbei Zertificon, sieht jedoch wesentlicheVorteile für Behörden und Firmen, um bisherpapiergebundene Kommunikation rechts-verbindlichund unkompliziert auf elektronischem Weg abwickelnzu können. Das Unternehmen entwickelt daherderzeit für ihre E-Mail-Verschlüsselungslösung„Z1 SecureMail Gateway“ eine Anbindung an De-Mail.Das rechtsverbindliche und vertrauliche Versendenvon geschäftlichen Dokumenten und Nachrichten überdas Internet war bis dato ohne den Einsatz einer professionellenE-Mail-Verschlüsselungs lösung nicht möglich.Ändern soll dies ab Ende des Jahres der neue Dienstder Bun desregierung: De-Mail. Wo sonst umständlicherBriefverkehr oder Einschreiben erforderlich waren,reicht künftig der Knopfdruck auf den Versand-Buttoneiner E-Mail.Die neue Variante für elektronische Post ermöglichtin erster Linie den Identitäts- und Zustellungsnachweis,was die Geschäftskommunikation vonUnternehmen und Behörden beschleunigen bzw.optimieren wird. Diese Tatsache sieht auch Dr. BurkhardWiegel, Geschäftsführer bei Zertificon, als wesentlichenVorteil an: „Mit De-Mail wird der rechtsverbindlicheE-Mail-Austausch auf einfache Weisemöglich. Auch für unsere Kunden ergeben sich interessanteOptionen, um bis her papier gebundene Geschäftsprozesseeffizient über De-Mail elektronischabzuwickeln.“(Un)sicherheit beim AnwenderIn puncto „Sicherheit“ ist der proklamierte Zugewinnallerdings mit Tücken verbunden, was derzeit vielepotenzielle De-Mail-Nutzer verunsichert. Das Grundproblembesteht darin, dass die verschickten Dateienauf ihrem Weg vom Versender zum Empfänger nichtdurchgängig verschlüsselt sind. Sie werden auf demMailserver des Providers entschlüsselt und für denVersand wieder verschlüsselt. In dieser Zwischenstationliegen sie also als Klartext vor und können dahermitgelesen, im Ernstfall sogar manipuliert werden.„Wer echte Vertraulichkeit benötigt, kommt über kurzoder lang an einer professionellen Ver schlüs selungs lösungmit Standards wie S/MIME und OpenPGP sowiePasswort-basierenden Mechanismen wie PDF-Containerund WebSafe nicht vorbei“, ergänzt Dr. Wiegel.Zertificon rät juristischen Personen aus diesem Grunddazu, die Vorteile, die klar in der Rechtsverbind lichkeitzu finden sind, zu nutzen. Das Unternehmen befindetsich daher in der Entwicklungsphase einer einfachenAnbindungsmöglichkeit an De-Mail, die problemlos mitder bewährten Verschlüsselungs technologie von Zertificonkombiniert werden kann. Die neue Komponentenennt sich „Z1 De-Mail-Connector“ und wird für das „Z1SecureMail Gateway“ verfügbar sein, sobald der Dienstder Bundesregierung gestartet ist.Vor dem Startschuss Fallstricke lösenBevor derartige Anbindungen die Arbeit aufnehmenkönnen, steht die Bundesregierung jedoch vor der Auf-hakin9.org/de 29

gabe, Stolpersteine aus dem Weg zu räumen und dieVoraussetzungen für den Dienst zu schaffen. Dr. BurkhardWiegel dazu: „Der Launch un serer neuen Komponentehängt von verschiedenen Faktoren ab, allen vorandie bis Ende des Jahres geplante Verabschiedungdes Bürgerportalgesetzes.“ Es regelt die Einrichtungeiner sicheren Kommunikations plattform (Bürgerportal),deren Sicherheitsstandards seitens BSI überwachtwerden. Geplant ist dabei beispielsweise ein „elektronischerSafe“, in dem Dateien sicher abgelegt werdenkönnen.Ferner steht die Zertifizierungsphase der entsprechendenProvider aus. Nur zertifizierte Anbieter, die diestrengen Sicherheitsanforderungen erfüllen, dürfen De-Mail offerieren. Des Weiteren befinden sich die technischenDe-Mail-Schnittstellen spezifikationen bis datoim Entwurfsstatus und patentrechtliche Hürden sindnoch zu meistern. Letzterer Fallstrick bezieht sich aufdie Tatsache, dass die US-Firma RPost ein europaweitesSoftware-Patent (EP1476995B1) auf elektronischeEinschreiben besitzt. Wie bereits beim SchweizerDe-Mail-Pendant „Incamail“ geschehen, ist eine Patentverletzungs klage durch RPost auch für De-Mail eineschwebende Gefahr. Swisspost hat sich mittlerweile mitRPost geeinigt – vermutlich auf Lizenzzahlungen. Ebensolche könnten auch De-Mail bzw. den Providern bevorstehen.„Eine adäquate und im europäischen Geiste wünschenswerteBeseitigung dieser Patentbedrohung kannin unseren Augen nur sein, dass dieses eigentlich trivialeSoftwarepatent von den europäischen Staaten gekipptwird“, erklärt Dr. Wiegel und fährt fort: „Wir sindjedoch guter Dinge, dass die Einführung von De-Mailtrotz allem wie geplant statt findet. Zertificon wird dannumgehend reagieren und den Z1 SecureMail Gateway-Kunden den Dienst schnellst möglich zugänglich machen,damit sie Investitions sicherheit haben.“ Ergo: AllerSicherheitsbedenken zum Trotz – in Kombinationmit einer professionellen Verschlüsselungslösung kannsich De-Mail durchaus zu einer erleichternden und lohnenswertenKommunikationslösung in der Geschäftsweltentwickeln.ULRIKE PETERDer Autorin ist freie Journalistin und seit zehn Jahren fürunterschiedliche Unternehmen und Medien in der IT-Branchetätig. Ihre Spezialisierung liegt hierbei auf den ThemenbereichenICT-Security, Netzwerke und Telekommunikation. IhreVeröffentlichungen erstrecken sich über renommierte Medienaus der Fachpresse bis hin zu Tages-, Online- und Wirtschaftsmediensowie vertikaler Branchenpresse.30

Minibis. Eine automatisierte Malware-Analyseumgebung geht in die 2.1. Runde.Minibis. Eine automatisierte Malware-Analyseumgebung geht in die 2.1. Runde.Christian WojnerMinibis heißt die vollkommen flexibel konfigurier- undautomatisierbare Malware-Analyseumgebung des ComputerEmergency Response Team Austria (CERT.at). Frei unter derISC-Lizenz erhältlich, stellt sie eine attraktive Alternative zurkostspieligen und zumeist sehr auf einen Teilbereich fokussiertenKonkurrenz dar.IN DIESEM ARTIKEL ERFAHREN SIE...• wie eine automatisierte Malware-Analyseumgebung funktioniert.• wie man selbst eine voll automatisierte Malware-Analyseumgebunginstallieren, konfigurieren und betreiben kann.WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Installation und Konfiguration einer Linux-Distribution (z.B.:Ubuntu);• Installation und Konfiguration von Windows XP;• Kenntnisse im Monitoring von Aktivitäten (Verhaltensanalyse)unter Windows und der entsprechenden Tools (Windump,Procmon, ...) sind von Vorteil.• Grundlegendes Wissen, Konzepte und Ideen die hinter virtuellenMaschinen stecken. Erfahrung in der Bedienung selbigerwäre wünschenswert.Dieser Artikel befasst sich einerseits mit demGrundkonzept als auch mit den massiven Neuerungender gerade erschienenen Beta-Versionvon Minibis 2.1.Stellen Sie sich vor, Sie bekämen die Aufgabe,3000 Samples von Schadsoftware zu überprüfen,welches die Lieblingsmethode der Autoren ist, diesebei jedem Bootvorgang von Microsoft Windowsautomatisch starten zu lassen. Eine Aufgabe, dieSie, so Sie den Plan haben, diese manuell durchzuführen,zum einen die nächsten paar Monate anIhr Malware-Labor fesseln und zum anderen, spätestensnach dem fünften Sample nach einer Möglichkeitzur Automatisierung dieser Aufgabe suchenlassen wird.Vor gut einem Jahr hätten Sie noch so gut wiekeine Möglichkeit gehabt, ohne selbst in die Tastenzu greifen, diese Aufgabe zu lösen. Insbesondere,wenn Sie die Samples und das ermittelte Ergebnis(vorerst) auch noch für sich behalten wollten.Selbst für finanzschwere Unternehmen, mit der Bereitschaft,die dafür notwendigen finanziellen Mittel– vier- bis fünfstellige Eurobeträge – aufzubringen,böte sich diesbezüglich keine nennenswert größereAuswahl an Anbietern in diesem eng fokussiertenMarkt.Aus einer ähnlichen Situation heraus, habe ich michdamals einem generischen Lösungsansatz für solchgeartete Problemstellungen gewidmet. Herausgekommenist aber etwas, das zu wesentlich mehr im Standeist. Genau genommen, liegt es lediglich in den Händendes Benutzers, wenn es darum geht die Grenzen derAutomationsmöglichkeiten auszuloten. Doch nennenwir das Kind beim Namen: „Darf ich vorstellen, Minibis“.MINIBIS - Ein generischer AnsatzInitial ist Minibis, so wie es von der Website des österreichischenComputer Emergency Response Teams(CERT.at) bezogen werden kann, auf die Analyse vonSchadsoftware ausgelegt. Genau genommen handeltes sich bei Minibis aber eher um ein praktisches(!=theoretisch) Framework, mit dem unterschiedlichsteAutomationsszenarien bedient werden können. UmMinibis Potential beurteilen und vollends ausschöpfenzu können, ist es daher notwendig, dessen zugrundeliegendesKonzept zu verstehen. Glücklicherweise istdazu aber kein Multi-Doktorat notwendig.hakin9.org/de 31

TOOLSDas Herz von MinibisMinibis macht sich einen der klassischen Ansätze vonVirtualisierung zu Nutze, bei dem ein physischer Rechner,also physische Hardware mit einem „handelsüblichen“Betriebssystem, einen (oder auch mehrere) reinvirtuellen Rechner betreibt. Typische Anbieter in diesemMarktsegment sind zum Beispiel VMware Inc., ORAC-LE oder Parallels, um nur die bekanntesten Vertreterzu nennen. Dabei erfindet Minibis das Rad aber nichtaufs Neue, sondern bedient sich vielmehr der Lösungenletzterer.Der „Unterbau“, also der physische Rechner wird imFach-Jargon auch (VM-)Host genannt; der darauf „aufsetzende“virtuelle Rechner hingegen entsprechendanalog (VM-)Guest.Abbildung 1 zeigt eine Standard-Minibis-Installation.Will man kostengünstig unterwegs sein, im aktuellenFall sogar kostenlos, entscheidet man sich beider verwendeten Virtualisierungslösung zum Beispielfür Virtual Box (VBox) von ORACLE, was auch diepräferierte Konfiguration von Minibis analog der Installationsanleitungvon CERT.at darstellt. Als VM-Host fungiert eine Linuxdistribution auf Debian-Basis,beispielsweise Ubuntu – abermals fallen keinerleiKosten an. Lediglich beim verwendeten VM-Guest –sinnvollerweise eine Microsoft Windows Version (ambesten XP 32 Bit) – fallen Kosten für eine entsprechendeLizenz an, aber vielleicht besitzen Sie ja nochdie eine oder andere aus „alten“ Tagen. Minibis selbstist unter einer ISC-Lizenz, ebenso kostenlos, beziehbar.Wie schon eingangs erwähnt, liegen Minibis Wurzelnin der Analyse von Schadsoftware bzw. potentiellschädlicher Software – dies erklärt auch sein Grundkonzeptauf Basis von Virtualisierung (Abbildung 1). Esist eine typische Vorgehenssweise, bei der Analyse vonpotentiell gefährlicher Software, auf virtuelle Maschinenzu setzen. Es gibt keine einfachere Möglichkeit, eineInfektion (einen aktuellen Zustand) wieder rückgängigzu machen, als eine virtuelle Maschine auf einen zuvorgesicherten, sauberen Zustand (Snapshot im Fach-Jargon)zurückzusetzen.Researcher und Proband?Es gibt zwei Begrifflichkeiten, die in Minibis rege Verwendungfinden. Da diese nicht unbedingt jedermanneingängig sind, seien jene an dieser Stelle kurz nähererläutert.Unter Proband ist in Minibis die virtuelle Maschine(VM-Guest) zu verstehen. Also eben jene, die wirzu infizieren gedenken. Der Name Proband soll dabeianalog zu einem Labor die Rolle eines „Versuchskaninchens“verdeutlichen.Als Researcher ist wiederum der schon zuvor beschriebeneUnterbau (VM-Host), also der Platz, an demdie Steuerung der virtuellen Maschine (der Proband)ResearcherProbandVM-GuestVM-HostAbbildung 1. Der grundlegende Aufbau von Minibis.3211/2010

Minibis. Eine automatisierte Malware-Analyseumgebung geht in die 2.1. Runde.Was ist eine virtuelle Maschine (VM)?Eine virtuelle Maschine ist die Simulation eines vollständigen Computers – Hardware, wie auch Software. Dies wird durch entsprechendeVirtualisierungssoftware, die unter dem Betriebssystem des physischen Computers (VM-Host) läuft, erreicht. Auf durchschnittlichenDesktop-Computern können heutzutage bereits mehrere solcher virtuellen Maschinen (VM-Guests) parallel zueinander betrieben werden.Was bedeutet Verhaltensanalyse?Unter Verhaltensanalyse (auch bekannt als Behavorial Analysis oder Systemlevel-Analysis) versteht man im Zusammenhang mitder Analyse von Schadsoftware das Aufzeichnen deren Systemaktivitäten zu dessen Laufzeit auf einem infizierten Computer. Inden meisten Situationen in der Analyse von Schadsoftware ist die Verhaltensanalyse bereits absolut ausreichend. Will man allerdingsim Detail herausfinden, wie eine Schadsoftware genau funktioniert oder zu welchen Aktivitäten sie im Stande ist, greift manauf das deutlich kompliziertere Reverse Engineering (Codelevel-Analysis) zurück.stattfindet, zu verstehen. Der Name Researcher solldabei abermals analog zu einem Labor die Rolle des„Wissenschaftlers“ zum Ausdruck bringen.VerhaltensanalyseIn Abhängigkeit von den Anforderungen, reicht es üblicherweisevollends aus, die Aktivitäten der betreffenden(Schad-)Software während und nach einer Infektionaufzuzeichnen, um eine entsprechende Aussageüber das gegenständliche Sample treffen zu können.Man nennt diese Vorgangsweise auch Verhaltensanalyseund es ist auch genau der Ansatz, der unsim eingangs beschriebenen Problem (Analysiere 3000Samples hinsichtlich Autostart-Vorlieben …) zum Zielführen wird.Im Detail müsste also für jedes Sample folgende manuelleProzedur durchgeführt werden:Man nehme eine virtuelle Maschine, infiziere sieund zeichne dabei jegliche Aktivitäten in selbiger auf.Nachdem die Schadsoftware genug Zeit bekommenhat, sich richtig „auszutoben“, sind nur noch die Aufzeichnungender Aktivitäten von der virtuellen Maschineauf einen sicheren Platz zu speichern (als sichererPlatz wird dabei immer gerne eine Linux-Distributionals Unterbau für die virtuelle Maschine angesehen).Sind die Aufzeichnungen erst einmal gesichert, kanndie virtuelle Maschine wieder zurückgesetzt und somitdesinfiziert werden.Minibis automatisiert alle diese Tätigkeiten und bietetIhnen dabei maximalen Spielraum.ResearcherCPRFTPDProbandMANAGE VIRTUELLE M A SC HINECPPFTPAbbildung 2. Der Kommunikationsfluss in Minibis.hakin9.org/de 33

TOOLSVon der Handarbeit zum FließbandDie generelle Idee hinter Minibis ist es also, die manuellenAktivitäten eines Malware-Analysten nachzuahmen.Dabei wird aber erst bei näherer Betrachtungklar, dass man es hierbei früher oder später mit einemSynchronisations- und Kommunikationsproblemzu tun bekommen wird. Der Malware-Analyst bedienteinfach beide Seiten, Researcher und Proband. AusSicht der Software handelt es sich hierbei allerdingsum zwei absolut getrennte, ja sogar isolierte Systeme.Minibis löst dieses Problem durch den Einsatz einerautonom agierenden Software auf dem Researcher(CPR, minibis-cpr) und dem Proband (CPP, minibis-cpp).Der Kommunikationsfluss zwischen den beiden wirddabei über das altbewährte FTP-Protokoll mittels Dateienrealisiert.Wie die Abbildung 2 zeigt, wird ein Sample in den Probandtransferiert, in diesem ausgeführt und alle Aufzeichnungender Systemaktivitäten zurücktransferiert. Bei mehrerenSamples wird dieser Ablauf natürlich analog solangewiederholt, bis alle Samples abgearbeitet wurden.Abbildung 3. Die Minibis-GUI.Abbildung 4. Allgemeine Einstellungen.3411/2010

Minibis. Eine automatisierte Malware-Analyseumgebung geht in die 2.1. Runde.EvolutionUpdate für Update wurde bei Minibis immer mehrdas Ziel verfolgt, maximale Benutzerdefinierbarkeitzu erreichen, um es für beliebige Analyse-Szenarieneinsetzen zu können. Trotzdem sollte Minibis für dendurchschnittlich begabten IT-Security Specialist verwendbarbleiben. Dieser Spagat zwischen absoluterFreiheit und „Plug-And-Play“ wurde durch eine entsprechendumfangreiche Pre-Konfiguration erreicht,die, für sich gesehen, bereits den meisten Ansprüchengenügen, aber auch eine aussagekräftige exemplarischeErweiterungsbasis für „Tüftler“ bieten sollte.Minibis per DefaultInstalliert man Minibis analog der auf CERT.at’s Websiteenthaltenen Anleitung, ist es im Stande alle „üblichen“Prozessaktivitäten im Proband aufzuzeichnen.Erreicht wird dies durch die Verwendung zweier klassischer,frei erhältlicher Tools, nämlich Windump undProcmon (Process Monitor von Sysinternals). Darüberhinaus ist auch ein Screenshot-Utility an Board,das den letzten visuellen Zustand des Probandenfesthält.Als Samples können die klassischen Windows Executables(PE) wie .exe und .dll Dateien, aber auch ApplikationsbezogeneDateien wie zum Beispiel Flash-Dateien (.swf) Acrobat Reader Dokumente (.pdf)verwendet werden. Darüber hinaus kann außerdem dieAusführung von JavaScript-Code (.js), aber auch (derBesuch von) URLs selbst aufgezeichnet werden.Tischlein deck dich – Minibis FeaturesKommen wir aber nun zur Leistungsschau von Minibis.Folgende Features werden geboten:• Voll automatisiertes Aufzeichnen von Systemaktivitäteneines oder mehrerer Samples innerhalb einervirtuellen Maschine (beliebig erweiterbar).• Frei wählbare Virtualisierungslösung.• Benutzerdefiniertes Scripting (Bash) des Researcher(VM-Host) anhand der Event-Trigger• „Vor dem Start des Proband (VM-Guest)“,• „Während der Proband läuft (periodisch)“ sowie• „Nach dem Stopp des Proband (vor oder nachdem Zippen der Aufzeichnungen)“.• Benutzerdefiniertes Scripting (Batch) des Proband(VM-Guest) anhand der Event-Trigger• „Vor dem Start des Samples“ und• „Nach dem Stopp des Samples“.• Benutzerdefinierbare Sampletypen (die wichtigstensind als Beispiel bereits vorkonfiguriert).Abbildung 6. Proband Scripting.hakin9.org/de 35

TOOLS• Beliebige Varianten pro Sampletyp für Vergleiche(z.B.: zwischen mehreren Browsern).• Kommandozeilen-Modus.• Beliebige Anzahl an Scan-Konfigurationen (Szenarien).• GUI für die komfortable Erstellung und Wartungvon Scan-Konfigurationen.• Intelligente Organisation (Speicherung) der retourniertenAufzeichnungen.• Voll automatisierte sowie benutzerdefinierbare(Bash-Script-Plugins) Auswertung der retourniertenAufzeichnungen.• Durchsatz: Je nach Konfiguration bis zu 1000 Samplespro Tag.• Lauffähig auf Standard-Desktop-Hardware.Pimp my MinibisWie bereits hinreichend oft erwähnt, lässt Sie Minibisüber jegliches Was, Wie, Wo und Wann frei entscheiden.Erreicht wird dies vollständig über die damit verbundeneGUI, die auf dem Researcher per minibis-guiaufgerufen wird. Mit ihrer Hilfe können Sie auch diverseunterschiedliche Konfigurationen in separaten Konfigurationsdateien– Dateien mit dem Suffix „.pref“ unter /home/user/.minibis – abspeichern. Abbildung 3 zeigtdas Management- und Status-Fenster von Minibis.Will man selbst Hand anlegen und die aktuelle Konfigurationverändern, oder vielleicht auch nur in selbigerlesen, so kann dies durch einen Klick auf den Config-Button (siehe Abbildung 3) geschehen.Das daraufhin erscheinende Konfigurations-Fensterunterteilt sich per Tabs in vier thematisch separierteTeilbereiche.General SettingsHier (Abbildung 4) treffen Sie alle Entscheidungen hinsichtlichder zu verwendenden Virtualisierungslösungsowie der Pfade für die FTP-Kommunikation und derAblage für die retournierten Aufzeichnungen. Deutlichersichtlich ist hierbei, dass die präferierte Virtualisierungs-Lösung(nach wie vor) Virtual Box ist.Researcher ScriptingHier (Abbildung 5) definieren Sie Bash-Skripte, die aufdem Researcher entsprechend ihrer Ereignis-Zugehörigkeit,ausgeführt werden.Proband ScriptingHier (Abbildung 6) werden Windows Batch-Skripte definiert,die auf dem Proband entsprechend ihrer Ereignis-Zugehörigkeit,ausgeführt werden. An dieser Stellewerden auch die vom Researcher zum Proband zuAbbildung 5. Researcher Scripting.3611/2010

Minibis. Eine automatisierte Malware-Analyseumgebung geht in die 2.1. Runde.transferierende Tools definiert und die Dateien der eigentlichenAufzeichnungen (der Systemaktivitäten), dieretourniert werden sollen.Sample-TypesSie können beliebig viele (weitere) Sampletypendefinieren (Abbildung 7). Neben dem eigentlichenBatch-Script, das letztlich für die Ausführung desSamples verantwortlich sein wird, muss mit Filterndas entsprechend passende Sample „formuliert“werden.Erwähnenswert dabei ist auch folgendes Feature:Pro Sample wird von Minibis jede aktivierte (Auswahldurch Häkchen) Sampletyp-Definition überprüft,ob diese aktuell zutreffend ist, und im positivenFalle diese zur Ausführung verwendet. Wennalso mehrere Sampletyp-Definitionen zutreffen, sowird das Sample mehrmals überprüft. Das machtdurchaus Sinn, will man zum Beispiel die Reaktionunterschiedlicher Browser auf eine „bösartige“ URLvergleichen.And the Winner isBezugnehmend auf unser eingängliches Beispiel (wirerinnern uns, „Analysiere 3000 Samples hinsichtlichAutostart-Vorlieben …“), hätten wir nach Einwurf jener3000 Samples nun eine Datenbasis, die sich aus denMitschnitten der entsprechenden Systemaktivitäten definiert.Die CSV-Varianten der Mitschnitte von Windumpund Co können jetzt mit unseren Lieblings-Kommandozeilentools,wie zum Beispiel grep für Linux-User oderfind für Windows-User (nach kurzem Vertrautmachenmit dem CSV-Format) leicht extrahiert werden. Hat manmitunter auch schon die eine oder andere Zeile Bash-Script oder Perl geschrieben, sollten auch die kompliziertestenAuswertungen keinerlei Problem darstellen.Um nur festzustellen, welche der untersuchtenSamples tatsächlich schädlich zu sein scheinen,kann man aber auch auf das von CERT.at mitgelieferte,erweiterbare Auswertungstool postminibis zurückgreifen.Da sich der Output von postminibis in seinem „Auslieferungszustand“bereits perfekt für unsere Problemstellungeignet, werden wir im folgenden nun davon Gebrauchmachen.Zunächst schauen wir uns die Ausgabe des folgendenKonsolenkommandos an:./postminibis ~/Minibis/Results/2010/11/10/120000/ |grep ";a;" | grep "registry"Abbildung 7. Sample-Typen.hakin9.org/de 37

TOOLSEine Zeile der Ausgabe könnte dabei umgebrochenfolgendermaßen aussehen:aeaa4c427afd27ee9eb78629f561bfd5;2010/09/30-14:39:15;;a;Setting autostartregistry-key"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi9" =>,"SUCCESS","Type: REG_SZ, Length:104, Data: C:\DOKUME~1\winxp\LOKALE~1\Temp\nchy.bak 2yDDEDOFNF"Wichtig dabei ist die fünfte Spalte, der Name des entsprechendenAutostart-Registrykey’s.Leitet man dieses Ergebnis anstatt es auszugebenwie folgt weiter, ist die gegenständliche Aufgabe auchschon gelöst:EinsatzbeispieleAbschließend möchte ich Ihnen noch ein paar Anregungenbieten, wie Minibis verwendet werden könnte:• On-Demand-Analyse eines Samples• On-Demand-Analyse mehrerer Samples• Verarbeitung von Malicious URLs incl. direktemEinwurf in ein Ticketsystem• Online-Malwareanalyse-Service analog Anubis undCo.• Screenshot-Utility für die Anzeige von Webseitenauf unterschiedlichen Browsern• usw../postminibis ~/Minibis/Results/2010/11/10/120000/ |grep ";a;" | grep "registry" | cut-d\; -f 5 | cut -f 2 -d'"' | sort |uniq -c | sort -rnUnd voila, hier ist die Top-5 der beliebstesten Autostart-Registrykeys,zumindest, was jene 3000 Samplesbetrifft:1161 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run887 HKLM\System\CurrentControlSet\Services113 HKCU\Software\Microsoft\Windows\CurrentVersion\Run101 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit85 HKLM\Software\Microsoft\Windows\CurrentVersion\Vorteile des Minibis:Explorer\Browser Helper Objects• Kostenlos (mit Ausnahme des Microsoft Gast-OS)• Geringe Hardware-Anforderungen• Maximale Benutzerdefinierbarkeit• Beliebig erweiterbar per Plugins (Shell-Skripte)• Einfach in automatisierte Abläufe integrierbar• Offline verfügbar (im Gegensatz zu web-basierten Analyzern)Im Internet• http://cert.at/downloads/software/minibis_en.html - die englischsprachigeoffizielle Informations- und Downloadseitevon Minibis;• http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx - die englischsprachige offizielle Informations- undDownloadseite von Process Monitor;• http://www.winpcap.org/windump/install/default.htm - dieenglischsprachige offizielle Informations- und Downloadseitevon WinDump;• http://www.winpcap.org/install/default.htm - die englischsprachigeoffizielle Informations- und Downloadseite vonWinPcap;• http://www.purebasic.com/ - die Programmiersprache, inder Minibis entwickelt wird.Nachteile des Minibis:• Relativ komplexe Installation• Basiswissen über die Betriebssysteme Linux und Windowszur Installation notwendig• Englischsprachig (keine sonstigen Lokalisationen)• Sourcecode derzeit nicht offen• Keine Malware-Samples mitgeliefertCHRISTIAN WOJNERDer Autor beschäftigt sich seit Jahren mit unterschiedlichstenFacetten der IT-Security. Mit Malware-Analyse als sein „Steckenpferd“ist er beim Computer Emergency Response TeamAustria (CERT.at) als Malware-Analyst und Reverse-Engineertätig. Ferner ist er der Entwickler von Minibis selbst sowie vielerweiterer IT-Security relevanter Software.3811/2010

12-11-2010Die IT-Security Community Xchange ist DIE Weiterbildungsnacht fürSystemadministratorInnen, Lehrbeauftragte, StudentInnen, Schüler-Innen, ExpertInnen und GeeksThemen:• Biometrie• Penetration Testing• Hackz und Crackz• Privacy• Forensische Analyse• Intrusion Prevention, Malwarededection• Rootkits und deren ErkennungJetzt noch schnellanmelden unter:http://itsecx.fhstp.ac.atDie Teilnahme ist kostenlos!Freitag, 12. November 2010, 17 – 24 UhrFachhochschule St. PöltenMatthias Corvinus-Straße 15, 3100 St. PöltenT: +43/2742/313 228, E: office@fhstp.ac.atI: www.fhstp.ac.at

TOOLSRSMangler – Einstiegin Wortlisten GenerierungChristian StockhorstIn diesem Artikel wird beschreiben wie mit Hilfe des Open SourceTools RSMangler, geeignete Benutzerlisten und Passwortlisten erstelltwerden. Mit diesen Listen und spezieller Software wie Ncrack oderTHC-Hydra können dann BruteForce-Angriffe gegen ausgewählteDienste in einem Netzwerk vorgenommen werden.IN DIESEM ARTIKEL ERFAHREN SIE...• wie Sie einfache und komplexe Passwort- /Namenslisten generierenund manipulieren• eventuelle Anpassungen am Manipulationsprozess der die Listeerstellt vorgenommen werdenWAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• einfache Grundkonzepte der Programmierung• eventuelle Kenntnisse in Ruby• einfache Kenntnisse eines Betriebssystems (Linux, Windowsoder Mac)Beim erstellen dieser Listen liegen zwei Problemschwerpunktezugrunde. Die erste Problematikist es an spezifisch Daten zu kommen, die dasZiel betreffen, welches angegriffen werden soll und soentsprechende Listen zu erstellen. Danach folgt dasProblem der Komplexität, die erstellten Listen werdenschnell zu groß und somit nicht mehr sinnvoll für dieNutzung solcher Angriffe.RSMangler ist ein Tool zur Erstellung von Wortlisten.Entwickelt von Robin Wood ist es momentan in Version1.1 unter den Creative Commons Attribution-ShareAlike 2.0 Lizenz verfügbar. Das Copyright hält die FirmaRandomStorm Limite. Alle Infos zum Download und deraktuellen Version finden Sie auf der offiziellen Random-Storm Homepage.Das Tool ermöglicht es modifizierte oder manipulierteWortlisten aus anderen Wortlistendateien zu generieren.Die STDIN Pipe kann ebenfalls als Eingangverwendet werden um daraus eine Liste zu erstellen.Auf beide Varianten sind verschiedenste Parameter anwendbar,die die Anfangsliste in eine manipulierte Ausgangslisteschreiben.Bei der Software handelt es sich um ein Programmmit ca. 290 Zeilen Programmcode, ein Vorteil dieserSoftware, denn dadurch wird sie sehr überschaubar.Es ist vollständig in Ruby geschrieben, wodurch eseine Art Plattformunabhängigkeit erhält. Den Rubyist für die Betriebssystemversionen Windows, Linux,Mac, verfügbar. Die Datei kann einzeln kopiert werdenund auf dem jeweiligem System als Skript in derForm ruby rsmanger.rb oder ./rsmangler.rb aufgerufenwerden.Dadurch ist die einzige aber klare Voraussetzung fürdie Ausführung des Programms die Installation von Ruby.Der Autor empfiehlt die Ruby Version 1.8 zu verwenden.Eine Übersicht der Installation von Ruby wird ineinem separatem Abschnitt behandelt.Brute Force: Wofür brauchen wir solche Wortlisten?Die Frage die sich wohl der eine oder andere Leser stellt.Manchmal muss einfach die Brechstange angesetzt werdenund Gewalt ausgeübt werden, um die Sicherheit seinesSystems bzw. der Benutzerpasswörter zu überprüfen.Hier kommt der Ansatz Brute-Force, Methode derrohen Gewalt oder auch erschöpfenden Suche zum Einsatz.Dieser Angriff trägt den Namen, da durch stumpfesdurchprobieren, aller möglichen Kombinationen eine entsprechendeLösung gefunden werden soll.Dies betrifft in unserem Fall bezogen auf spezielleDienste und Services, dass ausprobieren von Namenund entsprechenden Passwörtern.Es stellt sich an dieser Stelle relativ schnell die Frage,wo bekomme ich Benutzer- und Passwortlisten her.Eine Möglichkeit wäre es diese Listen aufwendig in Eigenarbeitzu erstellen, was aber eine enorme Mengean Zeit voraussetzt. Eine weitere Frage sollte sein, wieaufwendig muss diese Liste eigentlich sein, um eventuelleinen im System bestehenden Benutzer und daspassende Passwort zu finden.Oft geben Systemrichtlinien oder UnternehmensrichtlinienVorgaben für Passwörter vor, so wäre z.B. ein4010/2010

RSMangler – Einstieg in Wortlisten GenerierungAbbildung 1. BruteForce KombinationenPasswort mit 8 Stellen und min. einem Sonderzeichenbzw. einer Zahl denkbar.Durch solche Richtlinien sollen Passwörter komplexerwerden und somit für den Angreifer schwerer zu erratensein. Wenn diese Richtlinien in einem Netzwerkbestand haben, dann ist ein Brute-Force Angriff quasizwecklos, da es unendlich viele Möglichkeiten gibt.Denn die Anzahl der Kombinationen ist unter anderemabhängig von den eingesetzten Zeichen sowie derPasswortlänge (Abbildung 1). Es sei denn, es sind sehrspezifische Informationen über das Ziel bekannt. Dannlassen sich Passwörter mit Hilfe von Tools, die entsprechendePasswortlisten erstellen eventuell knacken.Viele Benutzer halten sich jedoch nicht an die Vorgaben,bzw. benutzen Passwörter die direkt mit ihnen inVerbindung stehen. Durch gezieltes Sammeln von Informationenlassen sich so Listen erstellen, welche gezieltfür einen Angriff eingesetzt werden können.Diese erstellten Listen eignen sich hervorragend umBruteForce-Angriffe gegen Dienste wie ftp, ssh, pop3,imap, etc. durch spielen zu können.Installation von RubyEine Installation der benötigten Rubykomponentenist nicht wirklich schwierig und lässt sich in ein biszwei Schritten, abhängig vom Betriebssystem (BS)installieren. Ruby kann unter folgender Adresse he-runtergeladen werden: http://www.ruby-lang.org/de/downloads/Linux: Unter Debian und dessen Derivaten lässt sichRuby, jeweils mit dem Befehl: sudo apt-get install Ruby-Full für die Version 1.8, sowie sudo apt-get install Ruby-1.9.1-Full installieren. Als Betriebssystem für den Aufrufewurde ein Debian 5.06 amd64 in einer virtuellenUmgebung verwendet.Windows: Für Windows gibt es neben den Binärpaketeneinen eigenständigen Ruby-Installer, welcherin zwei Schritten installiert werden kann. Wichtigfür den späteren Aufruf des Programms ist der Installationsortvon Ruby, da die Ruby.exe sich im Binärordnerbefindet und nur unter diesem aufgerufenwerden kann.Mac OS X: Wie viele andere Programme auch, kannRuby für Mac über Port installiert werden. Hierzu gibtes den Befehl port ruby install. Da Mac OS X aufUnix basiert ist eine Installation genauso schnell überden Quellcode möglich. Dieser steht in einer Unix-Variante auf der offiziellen Ruby-Seite zum Downloadbereit.Nach dem die Installation von Ruby fertiggestellt ist,kann das eigentliche Programm RS Mangler 1.1 heruntergeladenwerden. Der am Ende des Artikels angegebenLink zum Download von Ruby, gilt für die hier vorgestelltenBetriebssystemversionen.Abbildung 2. AusgangswortlisteAbbildung 3. Manipulierte Wortlistehakin9.org/de 41

TOOLSRSMangler BeispielIm folgendem Textabschnitt werden einige Beispiel aufgezeigtwie und mit welchen Parametern RSMangleraufgerufen werden kann. Schritt eins beschreibt dasErstellen einer entsprechenden Wortliste welche die zumanipulierenden Worte enthält und in eine neue überführtwerden.Um nun eine neue Wortliste zu erstellen, wird z.B.auf Linux der Editor Vim oder im Bereich Windows dasProgramm Textedit genutzt. Beispielhaft wird eine Listewordlist.txt mit 3 Vornamen, wie in Abbildung 1 zu sehenerstellt.Wie im Readme File beschrieben, sind im Standardalle Parameter eingeschaltet. Es sollte jedoch zwingendbei jeder Ausführung , darauf geachtet werdenwelche Parameter genutzt werden. Denn bereits eineAusgangsliste von nur drei Wörtern lässt eine manipulierteListe von 5345 Wörtern entstehen. Vor allem derParameter für die Permutation sollte deshalb mit Vorsichtgenutzt werden und lediglich dann Anwendung findenwenn die Liste sehr klein ist. Die darin enthaltenInformationen sollten sehr spezifisch bzw. verdichtet inRichtung Ziel sein.An der soeben erstellten Liste werden wir nun das Programmmit einigen ausgewählten Parametern anwenden.Dazu werden wir folgenden Aufruf verwenden: ./rsmangler.rb -f wordlist.txt -p -d -e -i --pna - -pnb - -na –nb > mod_wordlist.txt. Mittels dieses Aufrufes, wird das Programmaufgerufen mit den Parametern: reverse, leet ,capital, upper,lower, swap, punctuation, years, acronym, common.Eine Liste mit 301 Elementen wird erstellt und ist im Editorunter dem Namen mod_wordlist.txt abrufbar.Für die Erklärung einiger der oben genutzten Parameter,lesen Sie bitte den nächsten Abschnitt. In die-Listing 1. Punctuation/* *///Codeabschnitt Punctuationfor i in („!@€$%^&*()".scan(/./))results

RSMangler – Einstieg in Wortlisten Generierungsem, werden einige Parameter anhand des Quellcodesbeschrieben.Veränderungen am ProgrammcodeIn diesem Abschnitt werden einige Möglichkeiten beschriebenwie Anpassungen am Quellcode des Programmsvorgenommen werden können. Es werdennicht alle im Programm vorhandenen Parameter bzw.deren Quellcode in diesem Abschnitt durchgesprochen.Es werden die Parameter beschrieben die wohl amhäufigsten Anwendung finden.Mit dem Codeabschnitt Punctuation werden die,in dem Code definierten Zeichen, an das Ende desWortes angefügt. Die vom Programm anzufügendenZeichen lassen sich natürlich beliebig modifizieren.So ist im eigentlich Quellcode anstelle des Euro-Zeichenein Pfund-Zeichen. Der in Listing 1. gezeigteAusschnitt zeigt eine Liste von Elemente an denendie Punctuation mit den Zeichen +, -, _, * durchgeführtworden ist.Wenn der Parameter Years aktiviert ist, werden dieJahre ab 1990 pro Wort jeweils einmal am Anfang undam Ende angefügt.Leet im allgemeinen, beschreibt das ersetzen vonZahlen durch Buchstaben in Passwörtern. Im Beispielcodeist zu sehen, wie unter anderem der Buchstabee in die Zahl 3 überführt wird. Aus diesem StückCode lassen sich wiederum beliebig viele Erweiterungenanfügen. Bereits vom Beispielcode abweichendsind die Leetoperationen für t = 7 und b = 8 eingefügtworden.So wäre es auch denkbar nicht nur Zahlen einzufügen,sondern auch Buchstaben durch ausgewählteSonderzeichen ersetzen zu lassen.Best PracticesWie im oberem Abschnitt bereits beschrieben werdendie Listen selbst mit wenigen Wörtern schnell sehrgroß. Sobald einige Modifikationen oder Erweiterungenim Quellcode angefügt werden, können diese Listen inAbhängigkeit von den ausgewählten Startparameternsogar ganz leicht noch schneller wachsen. Daher gilt,geeignete Parameter zu identifizieren und diese aufListen anzuwenden, welche durch zusammenfügen vonInformationen aus bestimmten Quellen erstellt wurden.Namenslisten: Informationen zum erstellen einer Namenslisteerhalten sie z.B. durch Sammeln von Daten,welche durch die Web-Präsenz, Suchmaschinen, Web-Groups, Webseiten von angestellten Mitarbeitern, derSuche im P2P Netzwerk, in Jobdatenbanken, in Newsgruppen,Infomationen des Domänenverwalters, überDNS Lookup oder WHOIS Informationen.Um entsprechende Namenslisten zu generieren empfiehltes sich den Parameter der Permutation zu nutzen.Umso die entsprechend gesammelten Informationen zuverknüpfen und eine Liste zu bekommen, welche passendeNamen für einen Angriff enthält. Wichtig ist, wirklichnicht zu viele Elemente in diese Liste aufzunehmendenn durch die Permutation wird schnell die Kapazitätsgrenzeihres Rechners erreicht. Bei Listen die mehr als5 Elemente enthalten, muss der Parameter - -force gesetztwerden.Passwortlisten: Um eine entsprechende Passwortlistezu erstellten, empfiehlt es sich die im vorherigenSchritt vorbereitet Namensliste als Grundlage zu verwenden.Es sollte nun jedoch mit allen Parametern gearbeitetwerden, die vom Programm angeboten werden,ausgeschlossen der Permutation.Vorteile:• Aufwendiges manuelles erstellen von großen NamensundPasswortlisten entfällt• Programm ist sehr klein und überschaubar, daher sind Anpassungenam Programmcode kein Problem• Es kann jegliche Datei als Input verwendet werden, sowiedie STDIN Pipe um manipulierte Listen zu erstellen• Ruby, die benötigte Hauptkomponente gibt es für vieleBetriebssysteme. Das Programm ist daher leicht portierbar• Programm steht frei zum Download zur Verfügung• Eine PermutationsfunktionIm Internet• http://www.randomstorm.com/rsmangler-security-tool.php• http://www.ruby-lang.org/de/downloads/• http://notepad-plus-plus.org/download• http://www.vim.org/download.phpNachteile:• Listen werden schnell größer als 3GByte und somit nichtmehr gut verwaltbar vom System• Programm enthält noch einige kleiner Fehler bzw. Bugs• Ruby ist eine nicht unbedingt weit verbreitete Programmiersprache,daher ist die Weiterentwicklung innerhalbder Community fragwürdig.CHRISTIAN STOCKHORSTDer Autor beschäftigt sich seit längerem schon mit Skriptsprachenwie Python oder VisualBasic, aber auch Sprachen wieRuby zählen zu seinem Repertoire. Die ersten Schritte in derProgrammierung hat er jedoch in C,C++ gemacht. Er arbeitetmomentan im Bereich Netzwerktechnik, IT - Sicherheit undClient-/Serversoftware bei der KDT GmbH.Kontakt mit dem Autor: Christian@Stockhorst.bizhakin9.org/de 43

Interview mit Vijay MadanEine deutsch-indischeGeschichte über Unterschiedeund Parallelen zweier Kulturenin der IT-WeltInterview mit Vijay Madan, Head of DACH der NIITTechnologies GmbHhakin9: Herr Madan, bitte erzählen Sie uns einwenig über sich und ihren Bezug zu Deutschlandund Indien.Vijay Madan: Ich bin sowohl in Deutschland als auchin Indien aufgewachsen. Zwei Länder und Kulturen,wie sie einerseits nicht unterschiedlicher sein könnten,andererseits gibt es aber auch Gemeinsamkeiten.Wenn man die Unterschiede und Synergien richtignutzt, können beide Länder stark voneinander profitieren.Meine Nähe zu beiden Ländern hat sich seitmeiner Kindheit wie ein roter Faden durch mein Lebengezogen. Ich habe eine deutsche Mutter, mein Vaterist Inder, ich fühle mich in beiden Kulturen zu Hause.Heute arbeite ich als Head of DACH für die NIIT TechnologiesGmbH, ein Global Sourcing-Anbieter – unteranderem mit Fokus auf IT-Security. Das Unternehmenhat seinen Hauptsitz in Indien und Niederlassungenin Deutschland, Österreich und der Schweiz. UnserePhilosophie ist es, die Stärken beider Kulturen zu vereinen.hakin9: Welche Vorteile hat das weltweiteAuslagern von IT-Services, das Global Sourcing?Vijay Madan: Die Märkte verändern sich, die Welt wird internationaler,Unternehmen stehen unter Druck, Mehrwertezu liefern – und das schneller und flexibler als der Wettbewerb.Diese Entwicklung bewegt Unternehmen schlichtwegdazu, die besten Ressourcen zu nutzen, unabhängigdavon, wo auf der Welt sie sich befinden. Früher waren diewichtigsten Treiber für Global Sourcing Ressourcenmangelund Kostendruck. Heute sind es Innovationsfähigkeit undEffizienzsteigerung in der Wertschöpfungskette. Früherwurden eher einfache Aufgaben ausgelagert, heute gehtman dazu über, ganze Prozesse outzusourcen. Damit sparendie Firmen Kosten, erhöhen die Qualität, reduzierenhakin9: Was zeichnet Indien als Region aus?Vijay Madan: Indien hat sich in den vergangenenJahren zum Dreh- und Angelpunkt der IT-Welt entwickelt.Eine solche Konzentration von IT-Entwicklungscenterngibt es nirgendwo sonst auf der Welt.Das Spektrum von IT-Know-how ist immens. Mit jährlich75.000 IT-Absolventen sehe ich Indien als eineTalentschmiede. Die Inder verfügen über eine hoheinterkulturelle Kompetenz und sind an der deutschenSprache und Kultur sehr interessiert. So ist Deutschan immer mehr Schulen ein offizielles Unterrichtsfach.Und die Inder lernen diese Sprache nicht inerster Linie, um auszuwandern, sondern um Beziehungenzu pflegen und im Geschäftsleben in der Landesspracheihrer Kommunikations partner agieren zukönnen. So besteht beispielsweise die Möglichkeit,Kunden in perfektem Deutsch zu beraten und Dienstenach Indien auszulagern.hakin9.org/de 45

die Time-to-market, steigern die Flexibilität und verschaffensich damit Wettbewerbsvorteile.hakin9: Welche Stärken haben beide Länder inder bilateralen Zusammenarbeit?Vijay Madan: Unser lokales Frontend in Deutschlandhat Verständnis für die Anforderungen der Kunden undist dadurch besser in der Lage, Planung, Analyse, Design,Organisation und Qualitätssicherung nach hiesigenMaßstäben durchzuführen – die Umsetzung erfolgtin Indien. Die Inder sind Meister der Improvisation, nehmenalle Herausforderungen sofort an und haben einesehr hohe Bereitschaft, Aufgaben sofort in die Tat umzusetzen.Sie sind flexibler und scheuen sich nicht davor,auch am Wochenende zu arbeiten, um Terminvereinbarungenzu treffen. Aufgrund ihrer stark ausgeprägtenTeamfähigkeit sind sie in der Lage, auch große Projekteeffizient umzusetzen. Bündelt man diese beiden Mentalitäten,so erhält man den idealen Mix.hakin9: Sind die Inder auch risikofreudigerals Deutsche, wenn ja, wie ist es dann um dasSicherheitsbewusstsein bestellt?Vijay Madan: Inder sind risikofreudiger wenn es um Innovationengeht und wenn es darum geht, neue Wegezu beschreiten, aber keinesfalls im Sinne von „nachlässigarbeiten“. In Indien existieren genauso Compliance--Vorgaben wie es sie in Deutschland gibt. Es wird eingroßer Wert auf IT-Sicherheit und Datenschutz gelegt.Gerade in den vergangenen Jahren ist dieses Themaverstärkt in den Fokus gerückt. Denn Indien war bereitsmehrfach mit Spionageversuchen konfrontiert. Aus diesemGrund plant der indische Staat derzeit die Entwicklungeines eigenen Betriebssystems, um Hackerangriffeabzuwehren und die Sicherheit nachhaltig zu erhöhen.hakin9: Gibt es oft Konflikte in Ihrenmultikulturellen Teams?Vijay Madan: Es gibt viel Konfliktpotenzial in multikulturellenTeams, man muss diese richtig händeln unddie konstruktive Energie positiv nutzen. Wir haben dieErfahrung gemacht, dass unsere deutschen und indischenMitarbeiter zwar nicht immer einer Meinung sind,aber offen und kompromissbereit zusammenarbeiten.Genau diese Tatsache ist fruchtbar für ein gutes Ergebnis.Wir führen interkulturelle Trainings durch, die es fördern,die andere Kultur besser zu verstehen.hakin9: Bitte ziehen Sie ein Fazit.Vijay Madan: In jeder Kultur gibt es sowohl positive alsauch negative Aspekte. Wenn man sich auf die jeweiligenStärken konzentriert, erschließt man sich hohe Potenziale,um Großes zu bewegen.46

Recommended SitesDatenschutz ist EU-weit gesetzliche Anforderung.Wir sorgen für die Erfüllung rechtlicherVorschriften und kümmern uns um ein angemessenesDatenschutzniveau in Ihrem Unternehmen,auch international.www.blossey-partner.deDie Netzwerktechnik steht auf www.easy-network.deim Mittelpunkt. Artikel, Tutorials undein Forum bieten genügen Stoff für kommendeAdministratoren und Netzwerkprofis.www.easy-network.deDie Seed Forensics GmbH bietet für Strafverfolgungsbehördenprofessionelle Unterstützungin den Bereichen der Datensicherstellung undDatenträgerauswertung. Selbstverständlichentsprechen unsere Mitarbeiter, unser technischesEquipment und auch unsere Räumlichkeitenden notwendigen Anforderungen.www.seed-forensics.deSecuritymanager.de ist eine Produktion desOnline-Verlag FEiG & PARTNER. Seit demStart hat sich Securitymanager.de zu einemführenden Online-Informationsportal inDeutschland entwickelt und versteht sich alsunabhängiger Informationsdienstleister derIT- und Information-Security-Branche.www.securitymanager.deHappy-Security ist ein neues Portal mit Security-Challanges,IT-Quiz, Web-Bibliothek, Multimedia-Center& vielen weiteren Features.www.happy-security.deHier findest Du alles, was das Herz einesComputerfreaks höher schlagen lässt: GeekWear mit intelligenten Sprüchen, eine riesigeAuswahl Gadgets und natürlich auch vieleHacker Tools.www.getDigital.dePericom base camp IT-Security: Unser Ziel istes, unsere Kunden vor möglichen Gefahrenfür Ihre IT-Infrastruktur bestmöglich zu schützen.Neben der Analyse von Risikopotentialendurch Security Audits bieten wir, durchdie Implementierung von Security-Lösungen,Schutz vor konkreten Gefahren.www.pericom.atCloudSafe stellt seinen Nutzern eine Plattformzur kryptographisch sicheren Ablage und Verwaltungvon sensiblen Daten zur Verfügung: Nutzerkönnen auf CloudSafe beliebig viele Dokumentein virtuellen Safes ablegen. Es können weiterenPersonen individuelle Zugriffsrechte auf dieSafes eingeräumt und somit ein sicherer Datenaustauschermöglicht werden.www.cloudsafe.comAV-Comparatives geht hervor aus dem InnsbruckerKompetenzzentrum und gilt als einesder bekanntesten unabhängigen Testhäuserfür Antiviren-Software.www.av-comparatives.orgWollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org

Recommended CompaniesMabuntaDie mabunta GmbH agiert als hochspezialisierterund kompetenter Partnerrund um IT-Security- und Netzwerk-Lösungen.Wir unterstützen bei IT-Sicherheitsfragenin allen Unternehmensbereichen,verbinden Wachstum mitsicherer Kommunikation.Alles in allem- mabunta „one-face-tothe-customer“,Ihr Spezialist in Fragender IT-Sicherheit.www.mabunta.desecXtreme GmbHschützt Ihre Web-Anwendungen bisauf Applikationsebene. Dazu gehörtsowohl die Prüfung von Applikationen(Pentests und Code-Reviews) als auchBeratungsleistungen für Sicherheit imEntwicklungsprozess und Schutzlösungen(Web Application Firewalls) beiGroßunternehmen und dem gehobenenMittelstand.www.sec-Xtreme.comSEC ConsultSEC ConsultSEC Consult ist der führende Beraterfür Information Security Consulting inZentraleuropa. Die vollständige Unabhängigkeitvon SW- und HW-Herstellernmacht uns zum echten Advisor unsererKunden. Unsere Dienstleistungen umfassenexterne/interne Sicherheitsaudits,(Web-) Applikationssicherheit (ONR 17-700), Sicherheitsmanagement-Prozesse(ISO 27001) etc.www.sec-consult.comB1 SystemsDie B1 Systems ist international tätigin den Bereichen Linux/Open SourceConsulting, Training und Support. B1Systems spezialisiert sich in den BereichenVirtualisierung und Cluster.info@b1-systems.dewww.b1-systems.deTele-Consulting GmbHVom BSI akkreditiertes Prüflabor für IT-Sicherheit, hakin9 und c’t Autoren, jahrelangeErfahrung bei der Durchführungvon Penetrationstests und Security-Audits,eigener Security Scanner „tajanas”,Sicherheitskonzepte, Risikoanalysen,IT-Grundschutz-Beratung, 3 lizenzierteISO 27001-Auditoren, VoIP-Planungund -Securitywww.tele-consulting.comBlossey & PartnerConsulting DatenschutzbüroDatenschutz ist EU-weit gesetzliche Anforderung.Wir sorgen für die Erfüllungrechtlicher Vorschriften und kümmernuns um ein angemessenes Datenschutzniveauin Ihrem Unternehmen,auch international. Wir erledigen alle erforderlichenAufgaben, die Fäden behaltenSie in der Hand. Nutzen Sie unserErstberatungsgespräch.www.blossey-partner.de

Recommended CompaniesNESECNESEC ist Ihr Spezialist für Penetrationstests,Sicherheitsanalysen undIT-Security Counsulting. Das NESECPentest-Team unterstützt Sie bei SicherheitsprüfungenIhrer Netzwerkeund Webapplikationen sowie bei SourceCode Audits. Bei Bedarf optimierenwir Ihre Policy, sensibilisieren IhreMitarbeiter und zertifi zieren Ihr Unternehmennach ISO 27001.www.nesec.dem-privacy GmbHIT-Sicherheitslösungen – funktional undeinfach zu bedienen!So präsentieren sich die von m-privacyentwickelten TightGate-Server, z.B.TightGate-Pro mit Datenschutz-Gütesiegel.Es bietet als erstes Systemweltweit einen kompletten Schutz vorOnline-Spionage, Online-Razzien undgezielten Angriffen!www.m-privacy.deSeed Forensics GmbHDie Seed Forensics GmbH bietetfür Strafverfolgungsbehörden professionelleUnterstützung in denBereichen der Datensicherstellungund Datenträgerauswertung. Selbstverständlichentsprechen unsereMitarbeiter, unser technisches Equip-0ment und auch unsere Räumlichkeitenden notwendigen Anforderungen.www.seed-forensics.deOPTIMAbit GmbHWir sind Spezialisten für Entwicklungund Security. Wir sichern Java, .NETund Mobile Applikationen gegen Angriffeexterner und interner Art. Unsere Diensteumfassen Audits, Code Reviews,Penetrationstest, sowie die Erstellungvon Policies. Zusätzlich bieten wir Seminarezu sicherheitsrelevanten Themen.www.optimabit.comProtea NetworksProtea ist spezialisiert auf IT-Security-Lösungen: Verschlüsselung, Firewall/VPN, Authentifizierung, Content-Filtering,etc. Wir bieten umfassende Beratung,Vertrieb von Security-Hard- undSoftware, Installation und umfangreicheDienstleistungen (z. B. Konzeption, Trainings).Protea setzt auf Lösungen derMarkt- und Technologieführer und hältdafür direkten inhouse-Support bereit.www.proteanetworks.desecadmsecadm ist durchtrainierter Spezialist fürAirbags, ABS und Sicherheitsgurte in derIT. Zehn IT-Sicherheitsexperten mit 70Mannjahren Erfahrung beraten, entwickelnund implementieren IT-Lösungenfür Kunden weltweit. Der Fokus liegt dabeiauf Themen wie Prozess-Optimierungund Security-Management. Risiko-Analyse,die Sicherheitsberatung, Auditing, Security-Leitfäden,Software-Entwicklung,Reporting bis zum Training.www.secadm.deSecureNet GmbH, MünchenAls Softwarehaus und Web ApplicationSecurity Spezialist bieten wir Expertiserund um die Sicherheit von Webanwendungen:Anwendungs-Pentests, Sourcecodeanalysen,Secure Coding Guidelines,Beratung rund um den SoftwareDeveloment Lifecycle. Tools: ApplicationFirewalls, Application Scanner, FortifySCA/Defender/Tracer.www.securenet.deunderground_8secure computing gmbhWir entwickeln und vertreiben securityappliances für die Bereiche UnifiedThreat Management, Traffic Shapingund Antispam. Unsere Lösungen sindhardwarebasiert und werden über Distributoren,Reseller und Systemintegratorenimplementiert und vertrieben.www.underground8.com