interview - Hackner Security Intelligence

�������������������
Das Hauptthema dieser Ausgabe von Hakin9 ist Online-Banking. Es ist einfach,
komfortabel und schnell: PC, Laptop oder Smartphone einschalten,
Verbindung zur Hausbank herstellen und online die Geldgeschäfte erledigen.
Aber wissen Sie welchen Phishing-Gefahren Sie beim Online-Banking ausgesetzt
sind? Darüber erfahren Sie im Artikel von Ulrike Peter „Online-Banking:
Wenn Phisher Daten angeln“.
Was die Angriffsmethoden angeht, lesen Sie unbedingt den Artikel „USB
Hacking: Nichts ist mehr sicher – neue Angriffswelle durch USB-Sticks.“,
in dem Henrik Heigl erklärt, wie Sie mit einfachen und günstigen Mitteln einen
Arduino basierenden USB Stick selbst für Ihre eigenen Bedürfnisse als
Administrationswerkzeug oder Penetrations Testingtool erstellen können.
In der Rubrik Abwehr warten auf Sie solche Artikel wie „ Web Application
Firewall-Technologie dWAF: Schutz von Web-Infrastrukturen in verteilten, virtualisierten
und Cloud-Umgebungen“ von Richard Wieneke und „Einführung eines
Sicherheitsprozesses nach ISO/IEC 27001 – Nur für Großunternehmen?“ von
Andreas Lentwojt.
Wo liegen typische Fehler in der Unternehmenssicherheit? Auf was sollten
Firmen besonders achten? Wie entwickelt sich heutzutage die Welt von SSL-
�������������� ���� ������ ���� ������������ ��������� ���� ������������ ���� ����
IT-Sicherheitsbranche aus? Wer und was ist CloudSafe? Auf diese und viele
andere Fragen aus dem Bereich der Unternehmenssicherheit antworten unsere
Gesprächspartner in Interviews, die in dieser Ausgabe von hakin9 besonders
zu empfehlen sind.
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts einfacher
als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
����������� ����� �������� ���� �������� ������������ ��� ������� ���������������
schickt.
Ich hoffe, dass wir mir dieser Ausgabe Ihren Herausforderungen gewachsen
sind.
Viel Spaß beim Lesen!
�������������������
5/2009 HAKIN9
4

INHALTSVERZEICHNIS
FÜR EINSTEIGER
6 Hosting – Übersicht & Einführung
Thomas Höhn
Hosting ist durch Outsourcing bei Firmen erst richtig
bekannt geworden. Wesentlich bekannter ist das Web-
Hosting, welches auch im Privatbereich durch die Domainregistrierung
populär geworden ist. „to host“ bedeutet
beherbergen oder aufnehmen.
ABWEHR
10 Web Application Firewall-Technologie dWAF:
Schutz von Web-Infrastrukturen in verteilten,
virtualisierten und Cloud-Umgebungen
Richard Wieneke
Web Application Firewalls sind fester Bestandteil von
Compliance-Vorgaben oder Best Practises für die
Absicherung von Web-Applikationen (1) . Auch Unternehmen
mit einer virtualisierten Web-Infrastruktur
können auf diesen State-of-the-art-Schutz nicht verzichten.
Wie Unternehmen ihre WAFs (Web Application
Firewall) mithilfe der dWAF (distributed WAF)-
Technologie erfolgreich virtualisieren, und wie sie
alle Vorteile der Virtualisierung – Skalierbarkeit, Flexibilität
und optimale Ressourcennutzung – auch für
den WAF-Bereich nutzen können, erklärt der folgende
Artikel.
herausgegeben vom Verlag:
Software Press Sp. z o. o. SK
Geschäftsführer: ���������������
Managing Director: ��������������
ewa.lozowicka@software.com.pl
Chefredakteur:��������������������
ilona.przybyslawska@software.com.pl
Redaktion/Betatester:������������������������
Thomas Höhn, Richard Wieneke, Andreas
Lentwojt, Henrik Heigl, Ulrike Peter, Patrick
Schmid, Michael Schratt, Klaus M. Rodewig,
Michael Heinzl, Robert Lommen
Produktion: Andrzej Kuca
DTP: ����������������������
Umschlagsentwurf: ����������������������
Werbung: adv@software.com.pl
Anschrift:
Software Press Sp. z o.o. SK
ul. Bokserska 1, 02-682 Warszawa, Poland
Tel. +48 22 427 36 56, Fax +48 22 244 24 59
www.hakin9.org/de
Die Redaktion bemüht sich, dafür Sorge zu
tragen, dass die in der Zeitschrift sowie auf
den begleitenden Datenträgern erhaltenen
Informationen und Anwendungen zutreffend
und funktionsfähig sind, übernimmt jedoch
keinerlei Gewähr für derer Geeignetheit für
bestimmte Verwendungszwecke. Alle Markenzeichen,
Logos und Handelsmarken, die
sich in der Zeitschrift befinden, sind registrierte
oder nicht-registrierte Markenzeichen
der jeweiligen Eigenümer und dienen nur als
inhaltliche Ergänzungen.
9/2010
14 Einführung eines Sicherheitsprozesses
nach ISO/IEC 27001
Nur für Großunternehmen?
Andreas Lentwojt
Immer mehr Unternehmen müssen sich mit dem Thema
Security beschäftigen – sei es freiwillig, weil sie die
Notwendigkeit eingesehen haben, oder weil sie von
ihrem Marktumfeld (Kunden, Lieferanten, Gesetzgebung)
dazu gezwungen werden.
ANGRIFF
20 USB Hacking: Nichts ist mehr sicher – neue
Angriffswelle durch USB-Sticks
Henrik Heigl
Es sieht aus wie ein normaler USB Stick und kann innerhalb
von wenigen Sekunden einen Computer infiltrieren
ohne entdeckt oder geblockt zu werden. Was
mancher Administratoren in Firmen oder Internet Cafés
einen kalten Schauer über den Rücken fahren lässt ist
nun Wirklichkeit geworden.
Anmerkung!
Die in der Zeitschrift demonstrierten Techniken
sind AUSSCHLIEßLICH in eigenen Rechnernetzen
zu testen! Die Redaktion übernimmt
keine Haftung für eventuelle Schäden oder
Konsequenzen, die aus der unangemessenen
Anwendung der beschriebenen Techniken
entstehen. Die Anwendung der dargestellten
Techniken kann auch zum Datenverlust führen!
hakin9 erscheint in folgenden Sprachversionen
und Ländern: deutsche Version (Deutschland,
Schweiz, Österreich, Luxemburg), französische
Version (Frankreich, Kanada, Belgien, Marokko),
spanische Version (Spanien, Portugal),
polnische Version (Polen), englische Version
(Kanada, USA)
4 6/2010

INTERVIEW
25 Interview mit Thomas Hackner
Durchführung und Nutzen von Sicherheitsanalysen
in österreichischen Firmen. Was sind Tiger Team Assessments?
Die technische Sicherheit von Gebäudesteuerungssystemen.
Darüber erfahren Sie aus dem
Interview mit Thomas Hackner - Geschäftsführer von
HACKNER Security Intelligence.
ANGRIFF
29 Online-Banking:
Wenn Phisher Daten angeln
Ulrike Peter
Es ist einfach, praktisch und schnell – PC, Laptop
oder Smartphone an, Verbindung zur Hausbank herstellen
und rasch online die Geldgeschäfte erledigen.
Was soll schon passieren? Ein Trugschluss! Denn in
Deutschland nehmen die Betrugsfälle im Zusammenhang
mit Online-Banking drastisch zu. Eine Ursache:
Sicherheit wird als selbstverständlich vorausgesetzt
und den Bankinstituten zugeschrieben, eigene
Schutzmaßnahmen ergreifen die wenigsten – eine
verhängnisvolle Sorglosigkeit, die Hacker und Datendiebe
antreibt.
INTERVIEW
32 Interview mit Christian Heutger
„Ssl-Zertifikate sind eine Möglichkeit, den Gefahren im
Internet wirkungsvoll zu begegnen“
Mehr erfahren Sie aus dem Interview mit Christian
Heutger Geschäftsführer und Gründer der PSW Group
GmbH & Co. KG.
InhaltsverzeIchnIs
36 Interview mit Alexander Graf
„Security ist immer ein ganzheitlicher Ansatz, hinter
dem ein Konzept stehen muß und beginnt meist mit einer
Ist-Erhebung, also einem harten IT Audit“
Mehr erfahren Sie aus dem Interview mit Alexander
Graf – einem der beiden Gründer von Antares NetlogiX
und verantwortlich für Vertrieb & Technologie.
39 Interview mit Robert Valerio
„Fast alle Anbieter legen Nutzerdaten unverschlüsselt
ab. Das ist sicherlich einfacher in der Handhabe und
spart auch Ressourcen – aber damit sind die Daten nur
so sicher, wie der Anbieter es schafft, interne und externe
Zugriffe auf die Daten zu unterbinden.“ Mehr erfahren
Sie aus dem Interview mit Robert Valerio – Geschäftsführer
der Firma ClousSafe GmbH, Betreiber
der Plattform cloudsafe.com
ANGRIFF
42 Java Applet Attacke mit SET
Patrick Schmid
Ein Angriff mit Java ist nicht nur dank plattformübergreifender
Lauffähigkeit, sondern auch dank weiter
Verbreitung sehr beliebt. Dank SET wird die Vorbereitung
und die Ausführung einer Java Applet Attacke
nun zu einem Kinderspiel.
Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem
deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen,
möchten wir ankündigen, dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Erkenntniszwecken.
Alle im Magazin präsentierten Methoden sollen für eine sichere IT
fungieren. Wir legen einen großen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Bekämpfung
von IT Kriminalität.
hakin9.org/de 5

6
FÜR EINSTEIGER
Hosting – Übersicht & Einführung
Thomas Höhn
Hosting ist durch Outsourcing bei Firmen erst richtig
bekannt geworden. Wesentlich bekannter ist das Web-
Hosting, welches auch im Privatbereich durch die
Domainregistrierung populär geworden ist. „to host“
bedeutet beherbergen oder aufnehmen.
IN DIESEM ARTIKEL ERFAHREN SIE...
��� ����������������������������������������������������������chen
Betrieb.
Viele geschäftliche Anwendungen, die Firmen
in ihrer täglichen Arbeit benötigen, werden gehostet.
Dem User fällt es oftmals gar nicht auf,
dass die Webapplikation nicht auf den eigenen Firmenservern
läuft, sondern auf fremden Servern eines externen
Dienstleisters.
Outsourcen
Um als Dienstanbieter „Hosting“ anbieten zu können, ist
zu nächst einmal ein eigenes Rechenzentrum nötig. In
diesem werden dann die Server oder die Serverfarm (je
nach Größe) betrieben. Dieses Rechenzentrum sollte
WAN
Abbildung 1. Firmennetzwerk vereinfacht
Firewall
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
��� ��������������������������
natürlich den Anforderungen des Kunden genügen. Also
von Maßnahmen zum Feuerschutz, Backups und die
Lagerung außerhalb desselben Gebäudes, Ausfallzeiten
der bereit gestellten Server bis hin zu den verwendeten
Operating Systems (Windows, Unix, etc.), Firewalls
sollte dies den Anforderungen entsprechen. Zu
beachten sind natürlich auch die Sicherheiten zum Datenschutz
(Stichwort: Industriespionage) als auch die
Datenschutzrichtlinien des Landes, wo die Server in
Betrieb sind. Es ist also relativ simpel „Outsourcing“ zu
befürworten und damit die Firmenkosten (z.B. im Gegensatz
zum eigenen Betrieb von Servern) wünschens-
Server
Server
Server
Server
Client
Client
Client
Client
Client
9/2010

Abbildung 2. Hosting vereinfacht
wert zu senken, allerdings ist die Umsetzung hingegen
nicht so simpel, will man den richtigen Dienstleister für
dieses Vorhaben finden.
Was passiert im Einzelnen?
In Firmenumgebungen werden heutzutage Netzwerke
eingesetzt, um User, Clients und auch Anwendungen
zu verwalten. Dieses ist allgemein bekannt. Nun wird
z.B. die Applikation, die bisher auf selbst betriebenen
Servern den Usern für die tägliche Arbeit bereit gestellt
wurde, auf die Server des externen Dienstleisters
„ausgelagert“. Der Server des externen Dienstleisters
wird also mit den Daten des Kunden bespielt.
Nun greifen die User nicht mehr beim Start der Applikation
auf die eigenen Server zu sondern auf die
des Hosters. Dabei ist allerdings zu beachten, dass
z.B. auch genügend Bandbreite zur Verfügung gestellt
wird und die Applikation, die der Firma den Umsatz
(und das Überleben) sichert, nicht zum Boomerang
und zum Flaschenhals wird. Im schlechtesten
Fall kann kein Mitarbeiter mehr arbeiten. Dabei geht
es nicht allein um die Bandbreite, die der externe
Dienstleister zur Verfügung stellt, sondern auch um
die, die man sich selbst bei seinem Provider einkauft.
Die Idee ist also recht einfach und gut, aber die Umsetzung
dagegen umso schwieriger, will man es richtig
machen. Dem User selbst ist egal, ob sein PC oder
Laptop auf die eigenen Server zugreift oder nicht. Für
ihn ist es nur wichtig, dass es auf die Applikation in
akzeptabler Geschwindigkeit zugreift.
Im Internet
Firewall
Hosting – Übersicht & Einführung
WAN
Server Server Server
Server Server
��http://www.hoehn-it-service.de����������������������
Ebenso ist bei einer Umstellung zu bedenken, dass
alle Clients bearbeitet werden müssen, in dem z.B. die
Verlinkung zur Applikation geändert werden muss. Wo
ein funktionierendes und gepflegtes Netzwerk vorhanden
ist, ist hier eindeutig im Vorteil. Auch sind solche
Kosten der Umstellung bei den Berechnungen für oder
gegen eine Ausgliederung mit einzukalkulieren.
Hinzu kommt auch noch, wie die Daten zwischen den
Servern und den Clients übertragen werden. Kaum eine
international agierende Firma wird seine Daten unverschlüsselt
durch das Netz schicken.
Angebote
Die Hoster bieten Ihre Dienstleistung angepasst für jeden
Kunden an. Neben Standardangeboten von z.B.
Webhosting (Domains) im Privatbereich bis hin zu Komplettlösungen
lässt sich alles finden. Natürlich findet
man „sein“ Angebot für seine Firma nicht bei den Standardangeboten,
sondern ist gezwungen über die individuellen
Dienstleistungen zu verhandeln, um seinen
selbst gesteckten Anforderungen gerecht zu werden.
Fazit
Alles in allem eine schon lange praktizierte Möglichkeit,
um Dienstleistungen im IT-Bereich extern einzukaufen
bzw. auszulagern. Allerdings ist die Suche nach dem für
sich passenden Anbieter langwierig und sollte gut überlegt
sein, aber wer den Weg konsequent geht, findet am Ende
eine individuelle Dienstleistung speziell für seine Firma.
hakin9.org/de 7
Firewall
Server
Server
Client
Client
Client
Client
Client
THOMAS HÖHN
Der Autor ist Microsoft Certifed Technology Specialist und IT-
Freelancer.
Kontakt mit dem Autor: thomas.hoehn@hoehn-it-service.de

8
Um neben der Secure Sockets Layer (SSL)-Technologie
den Schutz bei Online-Geschäften zu gewährleisten,
hält die PSW GROUP VeriSign Identity
Protection for Mobile (VIP Mobile) bereit. VIP Mobile
begegnet durch eine Zwei-Faktor-Authentifizierung der
zunehmenden Vorsicht von Verbrauchern aufgrund des
ständig steigenden Online-Betrugs. Bei der Zwei-Faktor-
Authentifizierung bestätigen Benutzer ihre Identität anhand
zweier Faktoren. Zum einen durch etwas, was ihnen
bekannt ist, wie Benutzername oder Passwort, und
durch etwas, das sich in ihrem Besitz befindet, etwa ein
Gerät, welches ein Einmalpasswort generiert. Mit VIP
Mobile stellt die PSW GROUP nun eine kostengünstige
und einfache Zwei-Faktor-Authentifizierung zur Verfügung.
Diese Anwendung verwandelt ein Mobiltelefon in
ein mobiles Token, welches absolut sichere Transaktionen
mit entsprechenden Unternehmen ermöglicht.
In Zusammenarbeit mit der Mentana Claimsoft AG bietet
die PSW GROUP zudem ab 0,045 € pro Signatur / Verifikation
einen ASP-Dienst für qualifizierte elektronische
Signaturen (QES) an. Der ASP-Dienst dient primär der
Erfüllung geltender deutscher Rechtsvorschriften nach §
14 UStG bezüglich der Übermittlung elektronischer Rechnungen
mit qualifizierter digitaler Signatur. Darüber hinaus
erfordert ein ASP-Dienst keine zusätzliche Software, keinen
Kartenleser und keine Signaturkarten, sondern lediglich
einen Mailclient bzw. eine Web- / SOAP-Schnittstelle.
Ein weiterer Vorteil des Anwendungsdienstes ist die Möglichkeit,
die Verifikation der jeweiligen Signatur durch eine
dritte Person ausliefern zu lassen. Eine eigene Auslieferung
einer Verifikation wäre sonst rechtlich nicht zulässig.
Höchste Sicherheit gepaart mit modernster Server-Technologie
liefert ab 0,40 € pro GB Datentransfer auch das Secure
Content Delivery Network (Secure CDN). Ein CDN ist
ein Geflecht über das Internet verbundener Server, das eine
Auslieferung statischer Inhalte wie Grafiken, Bilder und
JavaScripts vom nächstgelegenen Server aus ermöglicht.
Die Folge: Schnelleres Laden großer Datenaufkommen erhöht
nicht nur den Spaß des Users auf der Site, sondern
führt auch zu einer besseren Indizierung der Websites
durch Suchmaschinen. Da die Auslieferung solcher Inhalte
zumeist für Onlineshops oder ähnlich geartete Seiten erfolgt,
beinhaltet das Secure CDN der PSW GROUP eine
NEWS
Höchste IT-Sicherheit gepaart mit
modernster Server-Technologie
PSW GROUP GmbH & Co. KG
Fulda, 27. September 2010. Das IT-Securityunternehmen
PSW GROUP GmbH & Co. KG aus Fulda bietet ab sofort
abrundend zu SSL-Zertifikaten mehrere Dienstleistungen
und Produkte für Hoster zum Weiterverkauf an.
sichere Auslieferung der Inhalte mittels HTTPS. Mit dem
Local Presence Service für Österreich, Schweiz und den
Niederlanden hält die PSW GROUP ab 10 € pro Monat zudem
eine Lösung bereit, in auch dynamisch generierte Inhalte
von lokalen Servern auszuliefern, als hätte man Präsenzen
in den jeweiligen Ländern vor Ort.
Bereits eine Stufe vor der SSL-Zertifizierung stellt das sogenannte
DNSSEC (Domain Name System Security Extensions)
sicher, dass man auf den richtigen Server zugreift
und nicht von einem DNS-Spoofing - also einer entsprechenden
Verfälschung - auf eine Site gelenkt wird, die nicht
der tatsächlichen entspricht, um Informationen abzufangen.
Bei DNSSEC werden die Einträge im DNS (Domain Name
System) mittels eines privaten Schlüssels (private Key) signiert.
Die Teilnehmer des Domain Name Systems (DNS)
können anschließend diese Unterschrift mit Hilfe des öffentlichen
Schlüssels (public Key) des Besitzers validieren und
damit umgehend und zweifelsfrei deren Authentizität und
Integrität überprüfen. Um die Möglichkeit von DNSSEC
(Domain Name System Security Extensions) entsprechend
realisieren zu können, bietet die PSW GROUP ab 0,25 €
pro DNS-Zone neben den eigentlichen DNSSEC-fähigen
DNS-Servern nun einen Dienst an, mit dem sich DNS-Einträge
synchronisieren und signieren lassen.
Zu äußerst attraktiven Preisen ab einem Betrag von 2,-
Euro brutto verkauft die PSW GROUP zudem Mietlizenzen
für Parallels-Software, dem Marktführer im Bereich Virtualisierung
und Automatisierung. Unter diesen Parallels-Lizenzen
finden sich Confixx-Lizenzen ab 4,- €, Plesk-Lizenzen
ab 2,- € und Plesk Sitebuilder-Lizenzen ab 12,- €.
Weitere Informationen finden Sie auch unter www.psw.net
Kontakt
kreativ³…die Werbemacher -Agentur für Kommunikation
Thomas Schmitt
Am Kreuzweg 18, 97724 Bad Neustadt
Tel.: 09733 / 7 83 89 14
Mail: info@kreativhochdrei.com
PSW GROUP GmbH & Co. KG
Christian Heutger
Flemingstraße 20, 36041 Fulda
Tel.: 0661 / 480276-10
Mail: support@psw.net
9/2010

2010
www.sigs-datacom.de
Kontakt: Anja Keß, · Lindlaustraße 2c, D-53842 Troisdorf,
Tel.: +49 (0) 22 41 / 23 41-201 · Fax: +49 (0) 22 41 / 23 41-199 · Email: anja.kess@sigs-datacom.de
Erfolgreich durch Wissensvermittlung aus 1. Hand
� Die ultimative Hacking-Akademie
� Erfolgreiche Abwehr von Hacker-Angriffen und
sicherer Schutz Ihres Netzwerks
Klaus Dieter Wolfinger
20. – 22. September 2010
03. – 05. November 2010, Frankf./M. 2.150,- € zzgl. MwSt.
� Best Practices für sichere Web-Anwendungen
� Sicherheitslücken in Webanwendungen vermeiden,
erkennen und schließen – gemäß Empfehlung des BSI
Thomas Schreiber
25. – 26. Oktober 2010, Düsseldorf
08. – 09. Dezember 2010, München 1.590,- € zzgl. MwSt.
� Sicherheit mit WebService-Infrastrukturen
Jörg Bartholdt
25. – 26. Oktober 2010,
22. – 23. November 2010, München 1.590,- € zzgl. MwSt.
� Cloud Computing im praktischen Einsatz
Arnd Kleinbeck & Stefan Tilkov
24. Oktober 2010, München
10. Dezember 2010, Köln 990,- € zzgl. MwSt.
� iPhone Grundlagen und Entwicklung
Hendrik Schreiber
11. – 12. Oktober 2010, Köln
11. – 12. Dezember 2010, Köln 1.590,- € zzgl. MwSt.
www.sigs-datacom.de
� NEU – jetzt 3-tägig:
CSM Certified ScrumMaster Course
� Voraussetzung für die Zertifizierung zum Scrum Master
Sabine Canditt
25. – 27. Oktober 2010, München
07. – 09. Dezember 2010, München 2.150,- € zzgl. MwSt.
� Secure Coding mit Java EE
� Entwicklung einbruchssicherer Webanwendungen
und Webservices unter Java EE
Mirko Richter
26. – 27. Oktober 2010,
06. – 07. Dezember 2010, München 1.590,- € zzgl. MwSt.
� Web Application Firewall Starter
� Essentielles Web Application Firewall Grundwissen
Achim Hoffmann
17. November 2010, München 990,- € zzgl. MwSt.
� Advanced Web Application Security Testing
� Professionelle Sicherheitsuntersuchungen von
Enterprise-Webanwendungen durchführen
Thomas Schreiber
01. – 02. Dezember 2010, München 1.590,- € zzgl. MwSt.
www.sigs-datacom.de

10
Virtualisierung: der Kostensenker im
Rechenzentrum
Virtualisierung senkt die Gesamtbetriebskosten für Rechenzentren
enorm, da vorhandene Hardware-Ressourcen
besser ausgenutzt werden. Zusätzlich sinken
die Folgekosten wie Raummiete, Strom, Kühlung und
so weiter. Dazu kommen noch Verbesserungen beim
Verwalten und Managen der IT. Als Nachteil ist zu bedenken,
dass eine virtualisierte Infrastruktur komplexer
sein kann als eine nicht-virtualisierte. Damit steigt die
Gefahr von Fehlkonfigurationen, und bei Problemen
nimmt die Fehlersuche mehr Zeit in Anspruch. Um dem
entgegenzuwirken, ist es wichtig, bei der Auswahl der
zu virtualisierenden Bausteine auf Managebarkeit zu
achten – ein Imperativ, der für große Rechenzentren
oder verteilte Web-Infrastrukturen bereits gilt.
Grundsätzlich kann man sagen: Je mehr Infrastrukturelemente
virtualisiert werden, desto höher ist der
Kostenvorteil. Leider gibt es noch nicht für alle Komponenten
der IT-Infrastruktur ausgereifte Lösungen
am Markt; das gilt besonders für Appliance-basierte
IT-Sicherheitskomponenten, also auch Web Application
Firewalls (WAF). WAFs erkennen unter anderem
Angriffsversuche im Payload von Requests und schließen
damit eine Lücke, die IT-Sicherheitstechnologien
wie Netzwerk-Firewalls oder IPS (Intrusion-Prevention-Systeme)
offen lassen. Dabei setzen sie meist auf
Kombinationen aus Whitelist-/Blacklist- und Greylist-
Verfahren, Mustererkennung bekannter Angriffe und
ABWEHR
Web Application Firewall-Technologie dWAF:
Schutz von Web-Infrastrukturen in verteilten, virtualisierten
und Cloud-Umgebungen
Web Application Firewalls sind fester Bestandteil von Compliance-Vorgaben
oder Best Practises für die Absicherung von Web-Applikationen (1) Richard Wieneke
. Auch
Unternehmen mit einer virtualisierten Web-Infrastruktur können auf diesen
State-of-the-art-Schutz nicht verzichten. Wie Unternehmen ihre WAFs (Web
Application Firewall) mithilfe der dWAF (distributed WAF)-Technologie
erfolgreich virtualisieren, und wie sie alle Vorteile der Virtualisierung –
Skalierbarkeit, Flexibilität und optimale Ressourcennutzung – auch für den
WAF-Bereich nutzen können, erklärt der folgende Artikel.
IN DIESEM ARTIKEL ERFAHREN SIE...
�� ����������������������������������������������������������alisierten
Infrastrukturen
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
�� ���������������������������������������������������
statistische Methoden, aber auch auf die Analyse einzelner
Sessions, um Auffälligkeiten zu entdecken. Zudem
übernehmen einige der am Markt befindlichen Lösungen
weitere Sicherheitsfunktionen wie ein sicheres
Session-Management oder die sogenannte URL-Encryption.
Wenn auch WAFs virtualisiert werden, bringt
dies weitere Einsparungen bei Hardware und Lizenzkosten.
Ein Beispiel: Steigt der zu verarbeitende Web-Traffic,
weil eine E-Commerce-Applikation stärker als erwartet
genutzt wird, fallen für nicht-virtualisierte WAFs
unter Umständen deutlich höhere Lizenzkosten an;
oderWAFs müssen erneuert werden, um Performance-
Engpässe durch den berühmten Flaschenhals auszuräumen.
Die Folgen: höhere Hardware- und Lizenzkosten,
interne Kosten für das Migrationsprojekt und
potenzielle Mehrarbeit für neue WAF-Regelwerke.
dWAF-Technologie: der Grundgedanke
Mit der dWAF-Technologie gibt es eine erprobte WAF-Technologie
für verteilte und virtualisierte Infrastrukturen (2) . Basis
der dWAF-Technologie ist der verteilte WAF-Ansatz
– dWAF steht für distributed WAF. Die Grundidee ist eine
modulare Software-Architektur, deren Komponenten
auf mehreren Systemen verteilt implementiert sind,
aber durch ein zentrales Management gesteuert werden
können. Damit transportiert der Begriff dWAF mehr
als das Konzept einer WAF als virtuelle Appliance: Eine
WAF als „Virtual Appliance“ ist in einer virtuellen Umge-
9/2010

ung lauffähig; diese virtuelle Instanz muss dabei allerdings
alle notwendigen Aufgaben einer WAF ausführen
und ist damit in der Regel ressourcenintensiv. Im Unterschied
dazu steht der verteilte dWAF-Ansatz, bei dem
pro virtuelle Instanz der passenden Web-Infrastruktur-
Komponente – beispielsweise dem Webserver – nur ein
kleines Modul aufgeschaltet wird. Größere und rechenintensivere
Funktionen der WAF sind dagegen auf eine
andere Komponente ausgelagert.
dWAF-Technologie: Kernmodule als
Grundlage für verteiltes WAF-Deployment
Die Kernfunktionen von Web Application Firewalls sind
im dWAF-Konzept strikt in drei Kernmodule getrennt:
Der „Enforcer“ ist ein sehr kleines Modul, das sich
als Software-Plug-in in eine Komponente der Web-Infrastruktur
integrieren lässt. Das kann ein Web-Server,
Application Server, Reverse Proxy, Load Balancer oder
eine Netzwerk-Firewall sein. Er leitet alle Security-relevanten
Bestandteile von Anfragen und Antworten, die via
Web-Anwendung zwischen User und Backend-System
ausgetauscht werden, an den sogenannten „Decider“
weiter; anschließend gibt er die Entscheidung des Decider
an die jeweilige Infrastuktur-Komponente zur Umsetzung
zurück. Der Enforcer fungiert so als das Bindeglied
zwischen der Web-Infrastruktur und den Entscheidungskomponenten.
Zu wahrnehmbaren Verzögerungen in der
Request-Verarbeitung kommt es dabei nicht: Die Latenzzeit
für die Kommunikation zwischen Enforcer- und Decider-Instanzen
innerhalb derselben Cloud-Infrastruktur
liegt bei circa 20 bis 60 Millisekunden.
Der „Decider“ ist eine separate Instanz, die die Security-Policys
pro Web-Applikation überwacht. Er erhält
Informationen zu eingehenden Requests vom Enforcer
und entscheidet, wie mit den User-Requests und Backend-Responses
verfahren wird. Die getroffene Entscheidung
gibt er zur Umsetzung an den Enforcer zurück.
Für die Entscheidung greift der Decider unter anderem
auf Blacklists zu bekannten Angriffen, speziell definierte
Whitelists und applikationsspezifische Rule Sets
zurück. Jeder Request/Response durchläuft dabei im
Decider eine Kette von Handlern, die verschiedene Teilbereiche
der Request/Response-Daten überprüfen. Ein
Handler kann dabei etwas Einfaches prüfen, zum Beispiel
sicherstellen, dass nur HTTP/1.1 verarbeitet werden
soll. Ein etwas komplexerer Handler kann sich um
Cookies oder Session-IDs kümmern. Somit kann zum
Beispiel die aktuelle Schwachstelle im AES-Algorithmus
des ASP.NET-Frameworks ([MSA-2416728]/[CVE-
2010-3332] – s. (3) – einfach und elegant abgeschirmt
werden, indem die Session-Daten durch eine hyperguard-eigene
Session ohne vertraulichen Inhalt ersetzt
werden. Der Decider arbeitet dabei transparent für Client
und Server und tauscht im Request- und Response-
Fall die jeweiligen Session-Daten aus.
Web Application Firewall-Technologie dWAF
Der Decider ist der ressourcenintensivste Teil in der
WAF-Architektur. Seine Anforderungen an die physische
oder virtuelle Maschine, auf der er installiert ist, hängen
direkt von Art und Anzahl der Requests, also vom Traffic,
sowie von den jeweils konfigurierten Security-Policys
ab. In der praktischen Umsetzung ist der Decider
hochgradig skalierbar: So lässt er sich beispielsweise
auf einem oder vielen Prozessoren gleichzeitig einsetzen,
oder mehrere Decider-Instanzen können parallel
auf verschiedenen physikalischen oder virtuellen Maschinen
arbeiten und so eine verteilte Infrastruktur abdecken.
Besonders ressourcenschonend ist die dWAF-Architektur,
da mehrere Enforcer-Module mit einer Decider-
Instanz sprechen können: Die Enforcer benötigen dabei
nur wenig Leistung auf ihren jeweiligen Host-Systemen,
die CPU-intensiven Prozesse des Decider fallen dagegen
nur für die deutlich geringere Zahl an zentralen
oder dezentralen Instanzen an. Als sogenannte „Decider
Cloud“ kann die Anzahl der Entscheidungskomponenten
in einer geeigneten virtuellen Infrastruktur zudem
je nach Bedarf vergrößert und – bei geringerer
Auslastung – wieder verkleinert werden.
Als drittes Modul schließlich läuft auch die „Administration“
unabhängig von Enforcer und Decider. Sie
kann je nach Bedarf auf einem zentralen Server installiert
oder dezentral auf mehrere verteilt sein. Die WAF-
Administration setzt die Enterprise-Anforderungen
an WAF-Einrichtung und -Pflege, Monitoring und Reporting
um: Der für den Schutz einer Web-Applikation
Verantwortliche kann damit zentral Policies für alle
WAF-Decider definieren oder anpassen, Regelwerke
für einzelne Applikationen überprüfen und auf weitere
Anwendungen verteilen. Dank der Multi-Admin-Fähigkeit
können die zuständigen WAF-Admins rollenbasiert
zudem Zugriffsrechte auf granularer Ebene an die entsprechenden
Verantwortlichen vergeben, damit zum
Beispiel Applikationsverantwortliche selbst Security-Policies
anwendungsspezifisch anpassen oder Auditoren
Enforcer
Decider
Abbildung 1. Kernmodule einer WAF
hakin9.org/de 11
Admin

12
leicht Einsicht nehmen können. Cloud-Anbieter können
die Administration für Endkunden über REST-basierte
Schnittstellen einbinden und zum Beispiel Abrechnungsdaten
abrufen.
Wem nutzt die dWAF-Technologie?
Erstens profitieren Unternehmen von der dWAF-Technologie,
die ihre physikalischen Infrastrukturen ganz
oder teilweise auf eine virtualisierte Umgebung umstellen.
Mit einer möglichst durchgehenden Virtualisierung
der Infrastruktur erreichen sie größere Kosten- und
Ressourceneinsparungen. Unternehmen, die ihre Infrastruktur
bereits virtualisiert haben, könnten die dWAF-
Technologie mittelfristig in einer zweiten Virtualisierungswelle
einsetzen, damit IT-Security-Komponenten
bei steigendem Traffic nicht zu Flaschenhälsen werden.
Nach der Logik des Skaleneffektes wird die dWAF-
Technologie natürlich umso interessanter, je größer
die Web-Infrastruktur ist; besonderes Einsparpotenzial
gibt es deswegen auch für Unternehmen, die intern eine
sogenannte „Private Cloud“ aufbauen wollen – dafür
ist ein virtualisiertes Rechenzentrum die technische
Grundlage. Für Outsourcing-Anbieter beziehungsweise
Hosting- oder Cloud-Provider lohnt sich der Einsatz von
dWAFs deswegen besonders.
Und jenseits von virtualisierten Infrastrukturen gedacht:
Auch Unternehmen mit nicht-virtualisierten Infrastrukturen
profitieren von der dWAF-Technologie
Enforcer
Enforcer
Enforcer
Enforcer
ABWEHR
Decider
Decider
Decider
– selbst wenn sie keine Virtualisierungspläne haben.
Schließlich sind einfache Skalierbarkeit und hohe Flexibilität
der WAF-Umgebung auch in großen oder verteilten
Infrastrukturen erstrebenswert.
Wenn nicht nur der Traffic, sondern auch die Anzahl
der Web-Applikationen im Unternehmen steigt, ist die
Web-Infrastruktur mit einer dWAF ebenfalls gut erweiterbar:
Hier greift der Vorteil, dass sie viele Regelwerke
verwalten kann und damit die Ausbaufähigkeit sichert.
Da die dWAF auch in sehr heterogenen Umgebungen
„lebt“ und mit vielen Komponenten zusammenarbeitet,
passt sie sich der jeweils existierenden Infrastruktur an.
Damit bringt sie auch Unternehmen, die eine gemischte
Software- oder Hardwarebasis haben oder für die ein
Virtualisierungsprojekt mittelfristig eine Option ist, deutliche
Vorteile.
Hinzukommt: Aufgrund der hohen Anforderungen verfügt
eine dWAF über eine sehr mächtige Administration,
die beim zentralen Management von vielen „klassischen“
WAF-Instanzen ebenso ihre Vorzüge ausspielt.
Und schließlich ist es möglich, die Decider-Cloud auf
fest definierter und entsprechend dimensionierter Hardware
laufen zu lassen, was auch in nicht-virtualisierten
Umgebungen Skalierbarkeit und Flexibilität erhöht.
Der modulare Ansatz erlaubt es zudem, zum Beispiel
einige WAF-Instanzen als Hardware-Appliances
und einige als virtualisierte Instanzen zu betreiben. Dabei
können alle diese Instanzen zentral von dezidierten
Decider
Decider
Decider
Admin
Admin
Enforcer
Abbildung 2. Distributed Web Application Firewall (dWAF) hyperguard – Beispiel der Amazon-Cloud-Implementierung
9/2010

WAF- beziehungsweise Applikationsverantwortlichen
administriert werden – besonders interessant für IT-Infrastrukturen,
die über eigene Rechenzentren und weitere
Hosting- oder Outsourcing-Partner verteilt sind.
dWAF – Gerüstet für die Zukunft
Zusammenfassend lässt sich sagen, dass eine WAF-
Infrastruktur auf Basis der dWAF-Technologie ein sehr
flexibles WAF-Deployment ermöglicht. Sie ist problemlos
skalierbar, beispielsweise wenn Web-Anwendungen
mit niedrigerer Priorität ebenfalls WAF-Schutz bekommen
sollen; wenn über die nächsten Jahre neue Online-
Angebote hinzukommen, die bei der Anschaffung der
WAF noch nicht vorgesehen waren; oder wenn Cloud-
Service-Provider ihren Kundenstamm ausbauen und
die Infrastruktur erweitern. Dank dieser Skalierbarkeit
bildet die WAF bei steigendem Traffic keinen Flaschenhals,
und es entstehen keine zusätzlichen Kosten für
neue Sicherheits-Hardware.
Ein möglichst hohes Sicherheitsniveau ist sicherlich
eine der Grundvoraussetzungen, damit Virtualisierung,
Private Clouds oder Services aus der Public Cloud in
Deutschland Anerkennung finden. Technologien wie
der dWAF-Ansatz sind ein Baustein, um die Datensicherheit
in Applikationen zu gewährleisten.
Nachweise:
(1) siehe hier:
��� ����������� �������� ��������������������� ��� ��������� ���
BSI-Forum 3-2010, abrufbar als pdf (https://www.bsi.
��������������������������������������������������
�������������������������������������������
��� ����������������������������������������������
��� ��������������������������������������������������������
�����������������������������������������������������������
ce.org/guidance/csaguide-dom10-v2.10.pdf )
��������������������������������������������������������
�����������������������
(3) [MSA-2416728] https://www.microsoft.com/technet/security/
advisory/2416728.mspx� ����������������� http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3332
RICHARD WIENEKE
Der Autor ist Head of Sales bei art of defence. Das Regensburger
Unternehmen bietet Sicherheitsprodukte für den gesamten
Applikationslebenszyklus von Web-Anwendungen an.
hakin9.org/de

14
Kapitel 1 – Einführung
Häufig ist der erste Gedanke: "Ich habe doch eine
Firewall und Anti-Viren-Programme in Einsatz", doch
Security im Unternehmen geht weit über diesen technischen
Aspekt hinaus. Wer das Thema Security in seinem
Unternehmen ganzheitlich angehen will, kommt
nicht umhin, sich mit einem ISMS – einem Information
Security Management System – zu beschäftigen. Ein
ISMS regelt umfassend, was in einer Organisation er-
ABWEHR
Einführung eines Sicherheitsprozesses
nach ISO/IEC 27001
Nur für Großunternehmen?
Andreas Lentwojt
Immer mehr Unternehmen müssen sich mit dem Thema
Security beschäftigen – sei es freiwillig, weil sie die
Notwendigkeit eingesehen haben, oder weil sie von ihrem
Marktumfeld (Kunden, Lieferanten, Gesetzgebung) dazu
gezwungen werden.
IN DIESEM ARTIKEL ERFAHREN SIE...
�� ����� ���� ����������� ������ ��������������������� ����� ��������
27001 im Unternehmen
Abbildung 1. IT-Governance-Pyramide (Bildquelle: InfoGuard)
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
�� ����������� ���� ������������ ��������� ����������� ��������
(ISMS)
laubt ist und was nicht, wer welche Aufgaben hat und
wie diese umzusetzen sind. Ein ISMS ist ein umfangreiches
Führungsinstrument, dessen Prozess aus zahlreichen
Einzelschritten besteht. Nicht zuletzt dient das
ISMS der Unternehmensführung dazu, wichtige Haftungsrisiken
aufgrund von Organisationsverschulden
(Compliance-Verstoß) zu verringern oder sogar ganz
auszuschließen. Letztendlich ist ein ISMS integraler
Bestandteil der IT-Governance-Pyramide.
9/2010

Einführung eines Sicherheitsprozesses nach ISO/IEC 27001
Kapitel 2 – Der Standard
Für ein ISMS gibt es sowohl nationale, wie auch internationale
Richtlinien. In Deutschland stellt das BSI (Bundesamt
für Sicherheit in der Informationstechnik) mit den im
IT-Grundschutz formulierten Standards 100-1 bis 100-4
ein recht unfassendes Regelwerk zur Verfügung, mit dem
sowohl das aktuelle Sicherheitsniveau ermittelt, als auch
die Maßnahmen zur Verbesserung durchgeführt werden
können. Ein Zertifikat nach BSI ist aber für international
agierende Unternehmen i.d.R. nicht brauchbar, hier wird
nach dem international gültigen Standard ISO/IEC 27001
verlangt. Dabei ist der Aufwand bei der Implementierung
deutlich geringer als beim Grundschutz, da der Schwerpunkt
auf der Organisation selbst und den Prozessen liegen
und nicht auf den technischen Maßnahmen.
Der Standard basiert auf 11 Kapiteln („Controls“), welche
in der folgenden Grafik dargestellt sind.
Wie diese „Controls“ gehandhabt werden, wird in Kapitel
3 näher beschrieben.
In der ISO/IEC 27001 wird die Verantwortung der Unternehmensführung
beschrieben. Die Informationen
werden hier als Teil der Vermögenswerte (Assets) von
Unternehmen beschrieben, wobei alle Arten von Informationen
Berücksichtigung finden:
�� ����������
�� �����������������
�� ��������������������������
�� �������������������������������������
�� ��������������������������������������
�� ������
Abbildung 2. Deming-Zyklus (Bildquelle: Wikipedia)
Der Ansatz der ISO/IEC 27001 ist stark Risiko- und
Prozess-orientiert. Generische Ansätze zur Umset-
����������������������������������������������������
����� ��� ������ ���� ���� ������ ��������������������
��� ���� ������� ������ ���� ����� ���������� ���� ����
��������������� �������������� ������� ���� ���� ���� �����
27001.
Ein ISO 27001-Zertifikat kann ausschließlich
durch akkreditierte Zertifizierungsinstitutionen (u.a.
TÜV, Dekra) erteilt werden, welche international anerkannt
sind. Das Zertifikat ist 3 Jahre gültig. Während
der Gültigkeitsdauer werden zwischenjährliche
Überprüfungen (Überwachungs-Audits) durchgeführt.
Kapitel 3 – Die Phasen
Was muss nun eine Organisation alles unternehmen,
um ein ISMS einzuführen? Ausgangsbasis sind die definierten
Schutzziele.
Bei der Informations-Sicherheit werden drei Schutzziele
in den Vordergrund gestellt:
�� Vertraulichkeit: Sicherstellen, dass nur autorisierte
Personen/Systeme Zugang zu den Informationen
bekommen
�� Integrität: Schützen der Genauigkeit und Vollständigkeit
der Informationen und der Verarbeitungsmethoden
�� Verfügbarkeit: Sicherstellen, dass autorisierte
Nutzer Zugang zu den Informationen und zugehörigen
Systemen bekommen, wenn dieser benötigt
wird
hakin9.org/de 15

16
Ein weiteres Schutzziel, welches in der Norm immer
wieder genannt wird ist die
�� Authentizität: Sicherstellen der Echtheit von Informationen
über deren Lebenszyklus hinaus.
Zudem wird – wie in den meisten Managementsystemen
– ein kontinuierliches Verbesserungssystem implementiert,
welches die Erreichung und Beibehaltung
der Sicherheitsziele gewährleisten soll.
Dabei verwendet der Standard den Deming-Zyklus
(Plan – Do – Check – Act, auch PDCA-Modell genannt),
um die ISMS-Prozesse zu strukturieren.
Die Tätigkeiten in den einzelnen Phasen sind in der
Norm geregelt, z.B.:
�� Plan:� ����������� ���� ������������������� �������zierung
der Unternehmenswerte (Assets) Risiko-
������������������������������������������������ganisatorischen
und technischen Maßnahmen.
�� Do: Feinplanung und Implementierung der Maß-
������������������������������������������������
Wirksamkeit des ISMS
�� Check: Überwachung und Überprüfung des ISMS
durch interne Audits, Neubewertung der Risikolage
�� Act: Initiierung von Korrektur- und Vorbeugemaßnahmen.
Die Einführung des Sicherheitsprozesses läuft in den
genannten 4 Phasen ab.
Planung (PLAN)
Zunächst muss das Management des Unternehmens
die Entscheidung treffen, ein ISMS einzuführen und
einen Verantwortlichen benennen. Dieser sollte der
oberen Führungsebene angehören und entscheidungsbefugt
sein. Danach werden der Geltungsbereich
und die Grenzen des ISMS festgelegt. Beide
Angaben sind wichtig, um die betroffenen Bereiche
(die ganze Organisation, einzelne Teile davon oder
einzelne Standorte) von dem "Rest" zu trennen und
klare Verantwortlichkeiten zu schaffen. Mit der Definition
der ISMS- und Informationssicherheitsleitlinie
und der Freigabe durch Unternehmensführung wird
die Umsetzung gestartet.
Der zweite Schritt in dieser Phase behandelt den Themenkomplex
„Risiko“. Es erfolgen die Festlegungen, mit
welcher Methode die Risikoeinschätzung durchgeführt
wird und die der Risikoklassen. Hieran schließt sich
ein sehr komplexer Prozess an, die Identifizierung, Abschätzung,
Bewertung und Behandlung eines jeden erkannten
Risikos. Gemeint ist nicht das „Doing“, sondern
die Beschreibung des Prozesses. Der Themenkomplex
wird mit der Bestimmung von Maßnahmenzielen
und Maßnahmen sowie der Akzeptanz des Restrisikos
durch das Management abgeschlossen.
ABWEHR
Letzte Aktion in dieser Phase ist ein konkreter Auftrag
zur Einführung und Betrieb des ISMS (nach Ermittlung
Kosten und Ressourceneinsatz).
Umsetzen und Durchführen (DO)
Der erste Schritt in dieser Phase ist das Formulieren
und Umsetzen eines Risikobehandlungsplans. Hierbei
werden Ressourcen und Verantwortlichkeiten benannt
und Prioritäten vergeben. Der "Plan" ist also bereits eine
"Durchführungsverordnung" (z.B. Angebotseinholung
für bestimmte Leistungen, Vergabe von Aufträgen,
Kontrolle der Ergebnisse, etc.). Parallel hierzu sollte bereits
mit der Sensibilisierung und Schulung der Mitarbeiter
begonnen werden. Das Management sollte insbesondere
vermitteln, warum das ISMS eingeführt wird
und welche Vorteile für das Unternehmen sich daraus
ergeben. Jeder einzelne Mitarbeiter muss verstehen,
was von ihm konkret verlangt wird und wie dies umzusetzen
ist.
Die Beschreibung der Verwaltung und des Betriebs
des ISMS soll dafür sorgen, dass alle vom Standard
verlangten Maßnahmen vorhanden sind, beobachtet
und ggf. angepasst werden. Beim Betrieb eines ISMS
sind alle vorgesehenen Maßnahmen in den täglichen
Arbeitsablauf einzubinden. Weiterer Bestandteil ist das
Reporting an das Management.
Die Ressourcenplanung ist keine einmalige Sache.
Die Planung von Personen und finanziellen Mitteln zum
Betrieb und Verbesserung des ISMS, also das Ressourcenmanagement,
soll als wiederkehrender Posten
in die jährliche Planung eingehen.
Bei der Erkennung und dem Management von Sicherheitsvorfällen
(Security Incidents) steht die Prämisse im
Vordergrund, dass man sie nicht ausschließen kann.
Somit benötigt man einen Plan, nachdem Sicherheitsvorfälle
klassifiziert und entsprechend dieser Klassi-
���������� ��������������� ���� �������� ������� ����������
werden. Die höchste Stufe dieser Klassifizierung ist der
Notfall. Zum Management von Sicherheitsvorfällen gehört
auch der Wiederanlauf (Disaster Recovery), der regelmäßig
trainiert werden sollte.
Beobachten / Überwachen (CHECK)
Nachdem das ISMS in Betrieb genommen wurde, muss
es regelmäßig überwacht und überprüft werden. Dieser
Teil des Regelkreises ist der umfangreichste, da hier
viele Aufgaben zusammenlaufen. Durch Beobachtung
und Überwachung sollen Fehler in der Datenverarbeitung
erkannt werden, sowohl versuchte als auch erfolgte
Sicherheitsvorfälle möglichst schnell erkannt und
bearbeitet werden, sicherheitskritische Tätigkeiten beobachtet
werden, ob sie von den Beauftragten wie erwartet
ausgeführt werden, und Indikatoren für die Früherkennung
von Sicherheitsvorfällen festgelegt werden.
Aber nicht nur das ISMS selbst, sondern auch dessen
Wirksamkeit muss regelmäßig überprüft werden.
9/2010

Einführung eines Sicherheitsprozesses nach ISO/IEC 27001
Die Wirksamkeit eines ISMS drückt sich durch folgende
Kriterien aus:
�� ����������������������������������
�� ��������������������������������������
�� ����������������������������������������������
Die Bewertung der Wirksamkeit des ISMS erfolgt i.d.R.
in der regelmäßigen Managementbewertung. Außer
�������������������������������������������������������nisse
aus durchgeführten Sicherheitsaudits und früheren
Managementbewertungen, die Vorschläge zur Verbesserung
des ISMS, sonstige Rückmeldungen aus der
Praxis (Mitarbeiter sowie Lieferanten oder Dienstleister,
���� ������������� ��������� ��� ������� ���� ����� ����nommen
bzw. übertragen bekommen haben).
In diesem Zusammenhang muss auch erwähnt werden,
dass alle Sicherheitsvorfälle, nicht nur interne,
sondern auch Sicherheitsvorfälle bei Lieferanten oder
Dienstleistern, die Auswirkungen auf das eigene Geschäft
hatten, ausgewertet werden müssen.
Neben dem gesamten ISMS muss auch die Wirksamkeit
von einzelnen Maßnahmen überprüft werden. Hierbei
handelt es sich um eine Abschätzung und Bewertung
zwischen dem verbundenen Aufwand und dem möglichen
Schaden, den eine nicht ausreichende Wirksamkeit von
Maßnahmen nach sich ziehen kann. Diese Überprüfung
sollte in regelmäßigen Abständen vorgenommen, die jeweiligen
Ergebnisse dokumentiert und ein zusammenfassender
Bericht an die die für die Überwachung und Überprüfung
zuständige Stelle weitergeleitet werden.
Die Ergebnisse der Risikoabschätzung (siehe auch unter
Kapitel 1 - PLAN) müssen in Abständen, die von der
Organisation festgelegt werden, regelmäßig wiederholt
werden. In der Regel erfolgt dieses jährlich, dabei sind Änderungen
in der Organisation und der eingesetzten Technik,
vor allem jedoch Änderungen an den Geschäftszielen
und bei den betroffenen Geschäftsprozessen zu untersuchen.
Weiterhin hat die Organisation die Möglichkeit, eine
anlaßbezogene Wiederholung der Risikoeinschätzung
vorzunehmen (z.B. nach einem Sicherheitsvorfall).
Regelmäßige interne Audits werden für eigene Zwecke
der Organisation durchgeführt. Diese reichen von
der Erfassung des erreichten IST-Zustands des ISMS
bis hin zur Vorbereitung eines externen Audits, welches
für eine Zertifizierung durchgeführt wird. Was geprüft
werden soll und in welchen Abständen, wird im Auditplan
festgelegt. Für das interne Audit wird ein Auditbericht
angefertigt, der
�� ���� �������������� ������������ ���� ���� ������ ��grunde
lag,
�� ���� �������� ���� ������� ���� ���� ������������ �����nen
angibt,
�� ����������������������������������������������������hält
und
�� ��������������������������������������������������stellungen
�� �����������
Die regelmäßige Managementbewertung des ISMS
verfolgt zwei Ziele:
�� ������������ ���� �������������������� ���� �����
und
�� ������������ ���� ��������������� ���� ��������zesses.
Ersteres Ziel dient dazu, um die Angemessenheit sicherzustellen,
das zweite Ziel ist ein typischer TQM-
Prozess, wie er in allen Qualitätsmanagementsystemen
implementiert ist. Üblicherweise wird die Managementbewertung
jährlich durchgeführt.
In den Sicherheitsplänen werden alle Handlungen,
die mit Vorfällen und deren Abläufen zu tun haben (Incident-Management),
also Schwachstellen, Notfall-Pläne,
Business Continuity, Disaster Recovery, etc. untersucht
und die Sicherheitspläne ggf. aktualisiert.
Letztendlich werden alle Handlungen und Ereignisse,
die einen Einfluss auf die Wirksamkeit des ISMS haben,
dokumentiert. Hierzu gehören u.a. Ressourcenplanungen,
Schulungsnachweise, interne und externe Audits,
Sicherheitsvorfälle und Managementbewertungen.
Pflegen und Verbessern (ACT)
In den vorherigen Phasen sind Informationen angefallen,
aus denen Verbesserungen für das ISMS abgeleitet
werden können. In der Managementbeurteilung sind diese
beschlossen und priorisiert worden. Nun werden die
identifizierten Verbesserungen mit den zur Verfügung gestellten
Ressourcen (Mensch und Material) umgesetzt.
Da es sich bei den Verbesserungsvorschlägen grundsätzlich
um Erwartungen handelt, muss auch wiederum die
Methodik zur Wirksamkeit von Maßnahmen (regelmäßig)
angewendet werden. In einem internen Audit kann dann
der aktuelle Stand der Implementierung überprüft werden.
Verbesserungsvorschläge von Mitarbeitern sind in
besonderem Maße wichtig, da sie das Interesse der
Mitarbeiter an ihrer Organisation zeigen.
Aus Sicherheitsvorfällen soll gelernt werden. Deshalb
ist es wichtig, Maßnahmen, die sich bei einem Sicherheitsvorfall
nicht bewährt haben, geeignet zu korrigieren
und wenn nötig durch eine neue Maßnahme zu ersetzen.
Dabei sollten nicht nur auf Erfahrungen der eigenen
Organisation zurückgegriffen werden, sondern auch auf
die anderer Organisationen, z.B. der gleichen Branche.
Es ist durchaus üblich, dass sich die Sicherheitsverantwortlichen
bestimmter Branchen in Arbeitskreisen treffen
und Sicherheitsprobleme und -maßnahmen diskutieren.
Weiterhin sollen vorbeugende Maßnahmen ergriffen
werden, mit denen bestimmte Vorfälle von vornherein
vermieden werden sollen.
hakin9.org/de 17

18
Veränderungen sollten frühzeitig im Unternehmen
kommuniziert werden, um den Betroffenen Gelegenheit
zu geben, ihre Meinung zu äußern und ggf. noch Anregungen
in die Planung einzubeziehen. Die Akzeptanz
von Veränderungen hängt in besonderem Maße auch
von der Art und Weise der Kommunikation ab.
Während es kein Problem sein sollte, wenn nur das eigene
Unternehmen betroffen ist, stellen sich besondere
Herausforderungen ein, wenn externe Partner zu den betroffenen
Parteien gehören. Hierbei muss zunächst herausgearbeitet
werden, welche Maßnahmen und in welcher Art
und Weise sie das Vertragsverhältnis berühren (z.B. SLA’s).
In diesem Fall müssen ggf. Vertragsergänzungen vorgenommen
oder die Verträge nachverhandelt werden.
Die Durchführung der Erfolgskontrolle von Verbesserungen
ist eine permanente Aufgabe des Managements.
Daher sollte das Management bereits bei jeder
Entscheidung über geplante Verbesserungsmaßnahmen
festlegen, wie und wann die Erfolgskontrolle
durchzuführen ist.
Bei dieser recht ausführlichen Beschreibung der einzelnen
Phasen gibt es natürlich Überschneidungen von
Aufgaben, die jedoch den entsprechenden Phasen zugeordnet
werden können.
Die Anforderungen an die Dokumentation unterscheiden
sich bei der ISO 27001 kaum von denen anderer
��������������������������������������������������
Abbildung 3. Aufbau des Standards
ABWEHR
14000. Als Mindestumfang sieht die Norm die folgenden
Dokumente und Aufzeichnungen vor:
�� ������������������������������
�� ������������������
�� ����������������������������������������������
ISMS (z.B. ein Dokumentenmanagementsystem
zur Lenkung der Dokumente)
�� �����������������������������������������������zung
und
�� ���� ����������� ���� ������������������� �����������
�������������������������������������������
�� �������������������������
�� ������ �������� ��������������� ������ ���������������
Protokolle, Log-Dateien, etc.)
Was außer den Dokumenten, die die Norm fordert,
noch an Aufzeichnungen verlangt wird, bestimmen die
Maßnahmen, die Bestandteil des ISMS sind.
Kapitel 4 – Nutzen
Sie sehen also, der Aufwand ist zwar nicht unerheblich,
hält sich aber noch in Grenzen. Welchen Nutzen bringt
nun eine Zertifizierung nach ISO/IEC 27001?
Der interne und externe Aufwand für den Aufbau
und Betrieb eines ISMS sind stark abhängig von den
Rahmenbedingungen und dem gewählten Vorgehen.
9/2010

Taffel 1. Die ISO 27000-Familie
Einführung eines Sicherheitsprozesses nach ISO/IEC 27001
������������� ��������������������������������������������������������������������������������������
������������� ����������������������������������������������������������������������������������������������zierbare
Norm dieser Reihe.
������������� ���������������������������������������������������������������������������������������
������������� �������������������������������������������������������������������������������������������������tlicht).
������������� �����������������������������������������������������������������������������������������������-
����������������������������������������������������������������������������
������������� behandelt das Thema IS Risikomanagement und ist im Juni 2008 in Kraft getreten.
������������� regelt die Kriterien, nach denen Stellen arbeiten müssen, die Informationssicherheits- und Manage-
��������������������������������������������������������������
������������� �������������������������������������������������������������������������������������������-
��������������������������������
������������� beinhaltet Leitfäden, wie man Information Security Management Systeme (ISMS) auditiert (befindet
��������������������������
���������������������������������������������������������������������������������������������������������������������������
sind.
Grundsätzlich kann gesagt werden, dass Unternehmen,
die bereits ein Qualitätsmanagement-System im
�������������������������������������������������������
da ihnen die Prozess-orientierte Denkweise und das
strukturierte Vorgehen bereits vertraut sind. Die Durchlaufzeit
bis zur Zertifizierung beträgt erfahrungsgemäß
vier bis acht Monate. Beachtet werden muss hierbei,
dass zwar externe Unterstützung durch Berater bei
der Einführung eines ISMS angefordert werden kann –
was auch durchaus sinnvoll ist –, aber der Betrieb eines
ISMS intern durch eigene Mitarbeiter bewerkstelligt
werden sollte. Hierfür sind also Ressourcen zu planen.
Ein ISMS bringt dem Unternehmen i.d.R. folgenden
Nutzen:
�� �����������������������
�� ����������������������������������������������sikopotenzials,
�� ����������������������������������������������ment,
�� ��������������������������������������������������ne
ganzheitliche Betrachtung der Sicherheitsstrategie,
�� ��������������� ���� ������������� ���� ��������������
Grundlagen (Outsourcing etc.),
�� ������������������������������������������������schneidungen,
weniger Lücken,
�� ���� ������������ ���� ������������� ����� �����������
Technische Maßnahmen alleine reichen nicht aus,
auch Prozesse werden betrachtet,
�� ����������� ���������� ��������� �������������� ��������
Ertragsausfälle,
�� ������������������������������������������������ness
Continuity Management,
�� ���������������������������������������������partnern
und Lieferanten durch gelebte Sicherheit,
�� ���������������������������������������������������
belegbare Informationssicherheit mit internationaler
Anerkennung als zusätzliches Qualitätsgütesiegel
geschaffen und wird somit ein Wettbewerbsfaktor
(„Sicherheit schafft Vertrauen“),
�� ��� ��������� ���� ������������� ����� ���� ������������
im selben Bereich zu messen (Benchmarking).
Kapitel 5 – Fazit
Die Einführung eines ISMS nach ISO/IEC 27001 kann
auch für kleinere und mittelständische Unternehmen
sinnvoll sein. Besonders gilt dieses, wenn gesetzliche
Anforderungen oder die Werte (Assets) im Unternehmen
hoch sind (z.B. Personendaten) oder sehr komplexe
Geschäftsprozesse gemanaged werden müssen. Es
muss auch nicht gleich das gesamte Unternehmen untersucht
werden, man kann mit einem Bereich oder einem
Prozess anfangen und das ISMS sukzessive weiter
ausbauen.
ANDREAS LENTWOJT
Der Autor, Managementberater, CEO und Inhaber „ALConsult“
Nach dem Studium der Betriebswirtschaft mit den
Schwerpunkten Organisation und IT arbeitete er langjährig
bei Banken und Finanzdienstleistern als Organisations-/IT-Leiter
und später als Security-Officer. 2004 gründete er das Beratungsunternehmen
ALConsult mit den Schwerpunkten Security
und Prozessmanagement. Er ist zertifizierter ISO 27001-Auditor
und besitzt weitere Zertifikate wie CObIT und ITIL. Der
Schwerpunkt der Beratung liegt im organisatorischen Bereich
und den Prozessen, nicht auf der Technik.
hakin9.org/de 19

20
ANGRIFF
USB Hacking:
Nichts ist mehr sicher - neue Angriffswelle durch USB-Sticks
Henrik Heigl
Es sieht aus wie ein normaler USB Stick und kann innerhalb
von wenigen Sekunden einen Computer infiltrieren
ohne entdeckt oder geblockt zu werden. Was mancher
Administratoren in Firmen oder Internet Cafés einen kalten
Schauer über den Rücken fahren lässt ist nun Wirklichkeit
geworden.
IN DIESEM ARTIKEL ERFAHREN SIE...
��� ���� ���� ���� ���������� ���� ���������� �������� ������ ��������
basierenden USB Stick selbst für Ihre eigenen Bedürfnisse als
Administrationswerkzeug oder Penetrations Testingtool erstellen
können.
Vor einiger Zeit als USB Speichersticks mit U3
Technologie angesagt waren, gab es schon einmal
einen Anlauf [2] Computer mit Sniffern, Viren
und anderen Spionagetechniken zu attackieren. Allerdings
waren die Abwehrmaßnahmen hier relativ einfach.
Abbildung 1. Teensy Board so wie er geliefert wird.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
������������������������������������������������������������
wendig. Die dazu notwendigen Programmierkenntnisse sind
gering und werden innerhalb der Programmierumgebung
schnell klar und anwendbar.
Man sagt seinem Computer einfach, das er nicht automatisch
alles ausführen soll, was von dem angesteckten
USB Stick kommt und immer erstmal neue Wechseldatenträger
auf Viren überprüft. Somit war dies nur ein kleiner
erster Test für die Sicherheit eines Computers.
9/2010

Nichts ist mehr sicher - Bedrohung durch USB Sticks
Nun gibt es aber ein neues, kleines Spielzeug für
Penetrationstester, den Teensy [1] , welches physikalische
Penetration in ein komplett neues Licht rückt.
Der Teensy ist ein kleines Arduino Board, welches so
klein wie ein USB Stick ist und vom Computer eben
nicht als USB-Speichermedium, sondern als Tastatur
oder angeschlossene Computermaus erkannt wird.
Dieses Arduino Board ist als Entwickler Board konzipiert
und ist daher ziemlich frei programmierbar und
gut dokumentiert.
Da der Teensy auch einen kleinen Prozessor und
Speicher mitbringt, kann dieser nun Programme ausführen
wie zum Beispiel eine Abfolge von Tastenkombinationen
absetzen. Der Vorteil dabei liegt auf der
Hand: Die bis dato angewandten Sicherheitsmechanismen
für USB-Sticks greifen hier nicht mehr, da ja
eine Tastatur bzw. Maus immer an einem Computer
funktionieren muss und somit auch nicht als potentiell
gefährlich eingestuft werden kann.
Für meine Testumgebung habe ich einen Teensy 2.0
(ohne ++) vorliegen, welcher für $18,- erhältlich ist. Dieser
wird lediglich mit einer kleinen Karte mit der Pinbelegung
und einigen Links zu den Downloadseiten
geliefert und ist auch vollkommen ausreichend für den
Abbildung 2. Teensy incl. USB-Adapter im Vergleich zu einem USB-Speicherstick
Anfang. Der Teensy besitzt einen 16Mhz ATMEGA32U4
Prozessor, 1024 Bit EEPROM und 32KByte Flash Speicher,
um kleine Programme zu beherbergen und ausführen
zu lassen. Die Teensy++ Version mit einem
AT90USB1286 Prozessor und 130Kyte hat somit noch
etwas mehr Arbeitsspeicher in welchem man dann auch
wieder die „Ergebnisse“ seiner Programme zurück speichern
kann.
Um die Programme auf den Teensy zu bringen gibt
es ein kleines Tool, den Teensy Loader, der nichts weiter
macht als das vorher erstellte Programm auf das
Board zu kopieren. Das Programm oder auch mehrere
Programme in einer Libary laufen dann selbstständig
Zeit- oder Event gesteuert ab. Die Programme
kann man zum Beispiel mit dem WinAVR C Compiler
oder Teensyduino, einem Add-On für Arduino IDE,
programmieren. Es ist allerdings auch jedes andere
Programmiertool, welches Arduino [3] unterstützt,
möglich. Die angesprochene Arduino Programmieroberfläche
inklusive des Teensyduino Add-Ons kann
unter Linux, Windows und Mac OS installiert und verwendet
werden.
Anhand des folgenden Beispiels und einiger Snippets
möchte ich nur ganz kurz auf die relativ leichte Program-
hakin9.org/de 21

22
mierung des Teensy mittels Teensyduino eingehen:
/*
Blink von David Cuartielles ist eines der Beispiel
Programme innerhalb
der Arduino Programmierumgebung, die bereits
mitgeliefert werden
*/
int ledPin = 13; // LED ist mit dem PIN13 des Teensy
verbunden
// Die setup() Routine läuft einmal beim Start durch
void setup() {
// initialisiert den digitalen Pin13 als Output
pinMode(ledPin, OUTPUT);
}
// die loop() Methode läuft solange durch,
// wie das Arduino bzw. teensy Board Strom hat
void loop()
{
digitalWrite(ledPin, HIGH); // LED einschalten
delay(1000); // Wartet eine Sekunde
digitalWrite(ledPin, LOW); // LED ausschalten
delay(1000); // wartet eine Sekunde
}
ANGRIFF
Anhand dieses Beispiels wird die relative einfache Programmierlogik
klar. Nun können Programmteile wie
zum Beispiel der Aufruf einer URL eingebaut werden:
CommandAtRunBar ( "cmd /c start http://http://hakin9.
org/de " ) ;
An diese URL (welche natürlich auch eine FTP-Site
oder eine SSH Verbindung sein kann) lassen sich
dann Dateien ablegen oder -rufen. Da der Teensy 2.0
selbst keinen Speicher besitzt (der Teensy ++ 2.0 besitzt
zwar etwas Speicherplatz, aber ggf. sind die Daten
etwas größer und man benötigt extra Speicherplatz)
kann dies sehr nützlich sein.
Oder man lässt z.B. unter einem Windows Betriebssystem
ein Laufwerk mit einer bestimmten Bezeichnung
wie z.B. GDRIVE, DROPBOX oder in diesem Fall
KINGSTON suchen um auf diesem ein Script TheScript.
bat auszuführen:
CommandAtRunBar("cmd /c for /F %i in ('WMIC logicaldisk
�������������������������������������������������������
do
%i\TheScript.bat");
Abbildung 3. Arduino Programmierumgebung samt Teensyduino Add-On und das Commandline Tool SET innerhalb der Backtrack 4 R1
9/2010

Nichts ist mehr sicher - Bedrohung durch USB Sticks
Man kann aber auch ein Programm öffnen lassen und
hier z.B. in einem Texteditor einen Text schreiben lassen:
CommandAtRunBar("notepad.exe");
delay(1000);
������������������������������������������
Oder unter Facebook ein Posting absetzen...
CommandAtRunBar ( "cmd /c start http://m.facebook.com"
);
delay ( 6000 );
��������������������������������
�������������������������������������������������������
);
��������������������������������
����������������������������������
Dies sind nur einige kleine Beispiele was man als Programm
alles in den Teensy laden kann. Man kann an
den Teensy auch einen kleinen DIP-Switch an die Platine
anschließen um eine Kombination von Programmen,
je nach der Umgebung in der man sich gerade
�������������������������������������������������������
Linux) ablaufen lassen.
// festlegen der DIP-Schalterstellungen am Anfang
�����������������
�����������������
�����������������
�����������������
�����������������
�����������������
�����������������
�����������������
[…]
�����������������������������������
digitalWrit e ( ledPi n , HIG H ) ; // LED einschalte n
CommandAtRunBa r ( "notepad.exe " ) ;
dela y ( 100 0 ) ;
��������������������������������������������������������
;
}
Als praktische Anwendung ließe sich das Sammeln
von Daten auf Computersystemen relativ leicht bewerkstelligen:
��������������������������������������������������������
������������������
������� http://www.pjrc.com/
��������http://www.hak5.org/usb-switchblade
��������http://www.arduino.cc/en/Main/Software
��������������������������������������������������
// welche Netzwerklaufwerke verbunden sind; Pfad ggf.
anpassen
��������������������������������������������
Das Auslesen von Registrykeys oder ähnlichem ist hier
natürlich ebenso möglich. Der Phantasie sind hier wenig
Grenzen gesetzt.
In der neuen Backtrack 4 Release 1 ist zum Beispiel
das Tool „Set – Social Engineering Toolkit“ enthalten,
welches den Teensy auch unterstützt, sodass man hier
einen Attack Vector relativ leicht aufsetzen und umsetzen
kann. Die Arduino / Teensyduino Umgebung samt
den Teensyloader ist bei mir in der virtuellen Maschine
(VM) von Backtrack installiert, sodass ich diese Penetrations-Testumgebung
samt Programmierumgebung
getrennt von meinem Arbeitsplatz verwalten, sichern
und mitnehmen kann.
Nun ist die Latte für Angriffe wieder einmal etwas
höher gelegt worden, dem Teensy kann man sogar
vorgeben welche USB Version und Seriennummer
hier verwendet werden soll um zum Beispiel eine
Cherry Tastatur oder eine Logitech Maus zu emulieren.
Es sei allerdings noch erwähnt, das es (noch) schwer
ist eine gelockte Arbeitsstation mit Programmen vom
Teensy zu füttern, da immernoch oder wenigstens meistens
die Eingabe eines Passwortes notwendig ist.
Wer noch mehr mit dem Teensy anstellen möchte wie
z.B. das ansteuern eines LCD-Displays oder Ansteuerung
einiger LEDs als VU-Meter oder Lichtorgel kann
dieses z.B. über die Verwendung eines Breadboards
oder ähnlicher Laboraufbauten erledigen. Auch die Ansteuerung
von Photodioden oder Temperatur- und anderer
Sensoren ist hier möglich.
HENRIK HEIGL
Der Autor ist System Engineer im Bereich Managed Services
bei einer IT-Security Firma in Ludwigshafen und beschäftigt
sich zusätzlich als Assurer bei CAcert.org mit der Verbreitung
frei erhältlicher digitaler Zertifi kate, ist langjähriges Mitglied
beim CCC und ehemaliges Vorstandsmitglied des ERFA Darmstadt
sowie beim Fedoraproject als Ambassador aktiv im Bereich
FLOSS unterwegs.
hakin9.org/de 23

24
NEWS
Wetten, dass ... Ihr größtes
Betriebsgeheimnis ungeschützt ist?
Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage,
was ist unser größtes Betriebsgeheimnis: Die Kundenlisten,
die Projektdokumentationen und Strategiepapiere, die Zahlen
auf den Bankkonten oder gar die private Telefonnummer vom
Vorstandsvorsitzenden? Schlussendlich sind es die Passwörter
und Zugangsberechtigungen auf sämtliche Anwendungen und
Datenbanken in jedem Unternehmen oder Organisation.
Tausende Passwörter von Usern und
Administratoren sind im Umlauf
Man stelle sich komplexe IT Landschaften vor, die geografisch
verteilt sind und viele Mitarbeiter, die in verschiedene
„Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur
Zugang zu standardisierten Anwendungen, sondern auch
zum Internetbanking, der FIBU Software und anderen
kaufmännischen Programmen wie SAP. Interessant und
zunehmend komplex wird es bei den IT Administratoren.
Natürlich können sich diese, von vielen für ihre mathematischen
Fähigkeiten bewunderten, auch nicht dutzende
von Passwörtern merken, sondern helfen etwas nach: Pro
Anwendung wird ein Passwort vergeben, das sich diese
dann für längere Zeit im Gedächtnis behalten. Mit dieser
Feststellung wird die gesamte Problematik sofort offenbar,
ohne in technische Details gehen zu müssen: ein Passwort
... für längere Zeit ... im Gedächtnis.
Guter Rat ist teuer - und umsonst
Richtlinien zur Passwortgestaltung gibt es unzählige und
viele sind gut gemeint: Die Länge wird vorgegeben und
auch die zu verwendenden Zeichen, die alle 4 Wochen
zu ändern sind und natürlich nicht auf einem Post-It unter
der Tastatur kleben sollen. Selbst wenn dies eingehalten
wird, vergisst man sein neues Passwort spätestens,
wenn man 2 Wochen auf Urlaub war und auch der Help-
Desk freut sich, dass man wieder zurück ist. Auch der
Auditor ist zumindest milde gestimmt, wenn die zentralen
Passwörter zumindest in einer gesicherten Excel Liste
zusammengefasst sind. Von IT Security sollte man aber
dabei besser nicht sprechen, da jeder Administrator auf
alle Passwörter zugreifen kann. Spätestens bei automatisierten
(unattended) Passwörtern, die via Skript fixiert
sind und auf eine Anwendung oder Datenbank zugreifen,
sind verhaltensorientierte Ansätze obsolete.
Passwortstruktur ist unbekannt
Kaum ein IT Verantwortlicher hat verlässliche Informationen
über die Strukturen und Verbreitungsgrade von
Passwörtern in einer Organisation. Bei Implementie-
rung eines automatisierten Passwort-Managements
wird oft erst festgestellt, dass zehntausende privilegierte
Administratorkonten vorhanden sind, aber nur 20%
davon als Administratorkonten dienen. Der überwiegende
Teil der Passwörter sind Application-to-Application
(A2A) und Application-to-Database (A2D) Konten, die
in Skripts den Zugriff ermöglichen. Und natürlich nur in
seltensten Fällen geändert werden und somit immer eine
Hintertüre, auch für den Ex-Mitarbeiter, offenlassen.
Die Passwort Autorität: Freiwilligkeit und
Empfehlungen sind nicht angebracht
Die Zugangsberechtigungen sind als Schlüssel für Safes
mit allen Geheimnissen der Organisation anzusehen.. Das
Ergebnis einer Reflektion der Problematik „Passwörter“
kann nur sein, dass ein automatisiertes und auditierbares
Software-Werkzeug in Frage kommen kann. Die Durchsetzung
der Passwörter Policies, Zuteilung von Einmal-Passwörtern
und vor allem eine sichere Authentifizierung und
Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten
wie diesen, sollte es auf Knopfdruck möglich sein, einen Administrator
zu sperren oder zeitlich begrenzte Passwörter
für externe Dienstleister ausstellen zu können.
Antares NetlogiX empfiehlt nach eingehender Analyse
- des sehr überschaubaren Marktes - die Lösung
„Cloakware Password Authority“. Die ersten erfolgreichen
Referenzprojekte und Kundenmeinungen haben
diese Meinung weiter verstärkt.
9/2010

Interview mit Thomas Hackner
„Jeder Mensch sollte Zugang zu all jenen Informationen haben,
die ihm helfen sich selbst und sein Eigentum zu schützen.“
Interview mit Thomas Hackner
Thomas Hackner ist Geschäftsführer von HACKNER
Security Intelligence, dem Spezialisten für ganzheitliche
Sicherheitsaudits und Tiger Team Assessments.
Nebenberuflich ist er Lehrbeauftragter für „Mechanische
Einbruchssicherheit” an der FH Hagenberg und leitet
aktiv ehrenamtlich Projekte zur Verbesserung der IT- und
physischen Sicherheit in Österreich.
hakin9: Wir beobachten ein konstantes
Wachstum des internationalen IT-
Sicherheitsmarktes. Produkte und
Dienstleistungen überhäufen sich und
man würde denken, dass der Markt keine
Lücken mehr lässt. Wo erkennen Sie als als
Geschäftsführer einer jungen Firma neues
Entwicklungspotential des Marktes und auch
Notwendigkeiten für unsere Unternehmen?
Thomas Hackner: Wie Sie schon sagen, deckt der
IT-Sicherheits-Markt bereits eine breite Palette an Anforderungen
von Unternehmen ab. Kunden werden
im Aufbau von Sicherheitsmanagementsystemen, bei
der Durchführung von Risikoanalysen, Einhaltung von
Richtlinien aller Art und auch bei der Absicherung ihrer
IT-Infrastruktur und einzelner Applikationen unterstützt.
Zwar werden in einigen IT-Sicherheitsstandards,
wie dem ISO 27001-Standard, IT-Sicherheit und physische
Sicherheit bereits verknüpft, jedoch trifft man eine
Zusammenarbeit dieser Abteilungen in der Praxis leider
nur selten an. Oft findet man hier getrennte Budgets
und Verantwortliche vor, die nur in unbedingt notwendigen
Fällen miteinander kommunizieren. Ziel sollte es
sein diese beiden Parteien in Einklang zu bringen und
eine funktionierende Kommunikationsplattform für beide
zu etablieren. Nur so ist es auch möglich eine ganzheitliche
und echte Sicherheit für Unternehmen und für
deren überlebenswichtige Kerninformationen sicher zu
stellen.
hakin9: Doch auch heute schon unterstützt die IT-
Sicherheitsabteilung bei der Absicherung gegen
elektronische Angriffe während sich das Facility
Management bereits um die Absicherung von
Gebäuden und Räumen bemüht. Ist dies denn
nicht genug?
Thomas Hackner: Leider muss man diese Frage in
den meisten Fällen mit nein beantworten. Grundsätzlich
arbeiten beide Abteilungen zum Schutz des Unternehmens
und der Wahrung und Unterstützung der Unternehmensziele.
Zu schützende Informationen können
sein Pläne, Forschungsergebnisse, Produktdetails oder
Informationen in Form von Wissen und Erfahrung, die
diese konkreten Unternehmen von ihren Konkurrenten
unterscheiden und geschützt werden müssen, sein. Mitarbeiter
der IT-Sicherheit und der physischen Sicherheit
hakin9.org/de 25

26
müssen als Team arbeiten und an einem gemeinsamen
Strang ziehen. Eine physische Absicherung des Server-
Raums ist für das IT-Sicherheitsteam ebenso wichtig,
wie aktuelle Informationen zu Benutzern und deren Berechtigungen
für Zugangskontrollen im physischen Bereich
wichtig sind.
hakin9: In welcher Art und Weise können
ganzheitliche Sicherheitsanalysen durchgeführt
werden und welchen Mehrwert bringen sie für
Unternehmen?
Thomas Hackner: Ein guter Ansatz ist dies im Zuge
der Implementierung des ISO 27001-Standards
zu adressieren. Sicherheitskonzepte sollten dabei
immer über das ganze Unternehmen erstellt und geplant
werden und somit sowohl elektronische, als
auch physische Sicherheit beinhalten. Eine Zertifizierung
nach ISO 27001 ist nicht in allen Unternehmen
möglich. Deshalb sei an dieser Stelle empfohlen eine
Sicherheitsüberprüfung und Erhebung der Ist-Situation,
IT- und physische Sicherheit mit eingeschlossen,
durchzuführen. Anschließend sollten die spezifischen
Kundenanforderungen ermittelt werden. Es empfiehlt
sich Mindest- und gewünschten Anforderungen für
das Unternehmen zu definieren. In diesen Vorgang
müssen IT-Systeme und physische Systeme mit einbezogen
werden, um ein ganzheitliches Bild erlangen
zu können. Der große Vorteil von derartigen Überprüfungen
ist, dass mit einem ganzheitlichen Bild das Sicherheitsbudget
höchst effizient zur Absicherung und
zum Schutz des Unternehmens eingesetzt werden
kann. Ein kurzes Beispiel: Werden Investitionen von
hunderten tausend Euro in eine Lösung zur Erkennung
von internen Angriffen im Netzwerk getätigt, so
können diese sinnlos sein, wenn es intern möglich ist,
ohne Alarmmeldung Sicherungsbänder zu entnehmen
und nach Hause zu tragen. Eine ganzheitliche
Überprüfung stellt somit die einzige Möglichkeit dar,
ein Gesamtbild der Sicherheit des eigenen Unternehmens
zu erlangen.
hakin9: Könnten Sie bitte kurz näher ausführen,
wie Unternehmen eine derartige Überprüfung
durchführen könnten?
Thomas Hackner: Kommunikation ist eines der wichtigsten
Mittel. IT-Sicherheitsverantwortliche und physische
Sicherheitsverantwortliche müssen gemeinsame
Mindestanforderungen und Ziele definieren. Die Ist-
Analyse selbst kann durch eine Begehung und das Testen
durch interne Teams erfolgen. Für eine Erstanalyse
möchte ich jedoch zu einer Überprüfung durch Externe
raten. Eine zusätzliche, neutrale Person kann durch
eine objektive Sicht und Branchenerfahrung Diskussionen
zu Anforderungen zielgerichtet leiten und Sicherheitsüberprüfungen
ohne Gefahr der Betriebsblindheit
ausführen. Spezialisierte Unternehmen bringen zudem
INTERVIEW
entsprechendes Expertenwissen über aktuelle Angriffe
und möglichen Absicherungsmaßnahmen mit.
hakin9: Sind derartige Überprüfungen für
österreichische Firmen, die hauptsächlich
Kleinunternehmer sind, überhaupt leistbar?
Welchen Nutzen tragen diese davon?
Thomas Hackner: Ja, wir haben in unserem Fall beispielsweise
zielgerichtete Pakete für Klein-, Mittel– und
Großkunden geschnürt. Während Kleinunternehmer
mit einem preisgünstigen Pauschalpreis Unterstützung
bei der physischen und elektronischen Absicherung gegen
die häufigsten Angriffe erhalten, werden für Hochsicherheitsunternehmen
Individuallösungen angeboten,
die bis zur Durchführung von Tiger Team Assessments
reichen.
hakin9: Was sind Tiger Team Assessments?
Thomas Hackner: In derart spezialisierten Überprüfungen
werden realistische Spionage- und Angriffstechniken
nachgespielt und das Unternehmen zielgerichteten
Angriffen ausgesetzt. Soll die Sicherheit von geheimen
Dokumenten in abgeschotteten IT-Systemen sicher gestellt
werden, so dringt unser Tiger Team beispielsweise
nachts in das Zielgebäude ein und stellt im internen
Netzwerk realistische Angriffe über das IT-System nach.
So werden physische und elektronische Sicherheitsmaßnahmen
auf ihr Äußerstes getestet und der Kunde
erhält eine detaillierte Beschreibung seiner Schwachstellen,
die oft erst im normalen Betrieb ersichtlich wird.
Anschließend werden mit dem Kunden selbstverständlich
entsprechende Abwehrmaßnahmen erarbeitet.
hakin9: Wo liegen Ihrer Meinung nach typische
Fehler in der Unternehmenssicherheit? Auf was
sollten Firmen besonders achten?
Thomas Hackner: Ohne nun direkt auf spezielle
Schwachstellen eingehen zu wollen, ist mein Anliegen,
dass sich Verantwortliche und im speziellen Geschäftsführer
von Unternehmen Gedanken darüber machen
sollten, welchen Risiken sie gegenüber stehen und täglich
zu tragen haben. Sie müssen bereit sein diese auf
sich zu nehmen, sollte etwas schief gehen. Es gibt genug
Firmen und Experten, die mit Rat und Tat zur Seite
stehen, das Risiko für das Bestehen und das Funktionieren
des Unternehmens tragen am Ende des Tages
jedoch immer noch die Verantwortlichen in der Firma
selbst.
hakin9: Sie schreiben in Ihrer Masterarbeit
über die technische Sicherheit von
Gebäudesteuerungssystemen. Welchen Einfluss
haben diese auf die Gesamtsicherheit des
Unternehmens?
Thomas Hackner: Gebäudesteuerungssysteme bilden
einen integralen Bestandteil des gesamten Sicher-
9/2010

heitskonzeptes. Neben weniger risikoreichen Applikationen,
wie die Lichtsteuerung in Gebäuden, werden
sie oft verwendet, um Zutrittskontrollsysteme zentral
steuern zu können. Würde ein Angreifer Zugang zum
System erlangen, wäre es ihm also potentiell möglich
ohne großen zusätzlichen Aufwand sich Zugang
zu streng geschützten Bereichen zu erlangen. Der
Einsatz derartiger Systeme erstreckt sich zudem von
U-Bahn- und Verkehrsleitsystemen bis hin zu Atomkraftwerken.
Fehler in diesen Einsatzgebieten kann
die Gesundheit von Menschen gefährden und sollten
unbedingt behoben werden, bevor es zu Zwischenfällen
kommen kann. Ein Problem, mit dem wir in der
heutigen Zeit aus Sicht der Sicherheit kämpfen, ist der
unbedachte Einsatz von sich rasant entwickelnden
Technologien. Ehemals autonome proprietäre Systeme
erfahren innerhalb kürzester Zeit eine Öffnung und
werden nun über Smartphones über das Internet steuerbar,
so auch bei Gebäudesteuerungssystemen. Diese
Entwicklung ist grundsätzlich nicht als schlecht zu
betrachten, man muss sich jedoch der neuen Risiken
bewusst sein und entsprechend neue Sicherheitsvorkehrungen
treffen.
hakin9: Diese Off enheit der Systeme können
wir auch in der Entwicklung Richtung Cloud
Computing beobachten. Was wäre Ihrer Meinung
nach die richtige Möglichkeit an dieses Thema
heran zu treten?
Thomas Hackner: Ich lese immer wieder von Unternehmen,
die technische Lösungen, wie Firewalls und
End-to-End-Verschlüsselung für Services als vollständige
Sicherheitsmaßnahme, anbieten. Nicht abstreitbar
ist, dass diese einen wichtigen Baustein zur Absicherung
darstellen, doch geschützt werden müssen
im Grunde die darüber übertragenen Informationen.
Durch die Vielzahl an möglichen Kombinationen der
Services, wäre der richtige Weg sich über die Geschäftsprozesse
hinweg Anforderungen zu überlegen
und von diesen auf die benötigten technischen Maßnahmen
zu schließen. Dies würde ein Mehrfaches an
Sicherheit und Flexibilität erlauben, ist jedoch auch
mit einem entsprechend höheren finanziellen Aufwand
verbunden.
hakin9: Diese Diskussion führt uns direkt zum
Thema Schutz der eigenen Daten. Unternehmen
kämpfen zunehmens mit Plattformen, wie
Facebook, und sperren den Zugang zu diesen. Ist
dies der richtige Weg damit umzugehen?
Thomas Hackner: Ich denke nicht, dass es eine generelle
Lösung zu dieser Thematik gibt, die für alle Unternehmen
gültig ist. Bevor man jedoch seinen Kampf
gegen Facebook & Co antritt, sollte man sich auch
der Auswirkungen bewusst sein, da man hier ein nicht
mehr rein technisches, sondern auch für viele Mitar-
Interview mit Thomas Hackner
beiter sehr persönliches Thema aufgreift. Das Sperren
derartiger sozialer Netzwerke für Mitarbeiter kann
durchaus eine sehr vernünftige Maßnahme sein. Man
sollte sich dann aber auch Gedanken über die Verwendung
dieser Netzwerke über Firmenhandys machen.
Vor allem für kleinere Unternehmen stellt sich
die Frage, ob derartige soziale Netzwerke nicht aktiv
genutzt werden sollten. Durch die weite Verbreitung
und die stark persönliche Umgebung ist es möglich
vielen Menschen auf einer sehr persönlichen Ebene
zu begegnen. Dies wäre auf konventionellem Wege
ohne entsprechende finanzielle Mittel überhaupt nicht
möglich. Facebook & Co sind nicht per-se negative
Entwicklungen. Es sollten jedoch die Chancen und Risiken
für jedes Unternehmen abgewogen und im Einzelfall
entschieden werden, wie man dieser Thematik
gegenüberstehen will.
hakin9: Als Geschäftsführer einer jungen Firma
und unabhängiger Security Researcher, welche
Pläne die IT-Sicherheit Branche betreff end haben
Sie noch vor?
Thomas Hackner: Jeder Mensch sollte Zugang zu all
jenen Informationen haben, die ihm helfen sich selbst
und sein Eigentum zu schützen. HACKNER Security
Intelligence unterstützt Unternehmen in jeder Größe
in Form von Beratungen, Planungen und hochspezialisierten,
beauftragten Angriffen auf das eigenen
Unternehmen, um auch gegen zielgerichtete Angriffe,
wie in Fällen der Industriespionage, geschützt
zu sein. Unser Ziel ist es in den nächsten 3 Jahren
zu einem der führenden Anbieter von ganzheitlichen
Sicherheitsaudits und hochspezialisierten Sicherheitsüberprüfungen
in Österreich zu avancieren. Mit
ehrenamtlichen Projekten, wie OpenLocks, Securitypitfalls.org
und Defense.at arbeite ich mit Freunden
aus verschiedensten Bereichen daran Menschen für
IT- und physische Sicherheit zu sensibilisieren. Ich
hoffe auf diesem Wege auch jene zu erreichen, die
sich eine professionelle Beratung nicht leisten können.
Wir bedanken uns für das Gespräch!
Geführt wurde dieses Interview mit Thomas Hackner,
dem Geschäftsführer von HACKNER Security Intelligence.
Für weitere Fragen oder Diskussionen ist er unter der E-Mail
Adresse t.hackner@hackner-security.com bzw. über die Webseite
http://www.hackner-security.com zu erreichen.
hakin9.org/de 27

Achtung beim Online-Banking: Wenn Phisher Daten angeln
Online-Banking:
Wenn Phisher Daten angeln
Ulrike Peter
Es ist einfach, komfortabel und schnell: PC, Laptop oder Smartphone
einschalten, Verbindung zur Hausbank herstellen und online die
Geldgeschäfte erledigen. Was soll schon passieren? Ein Trugschluss.
Denn in Deutschland nehmen die Betrugsfälle im Zusammenhang
mit Online-Banking drastisch zu. Eine Ursache: Sicherheit wird
als selbstverständlich vorausgesetzt und den Finanzinstituten
zugeschrieben, eigene Schutzmaßnahmen ergreifen die wenigsten
– eine verhängnisvolle Sorglosigkeit, die Hacker und Datendiebe
antreibt.
IN DIESEM ARTIKEL ERFAHREN SIE...
�� ��������������������������������������������������������setzt
sind.
�� ����������������������������������
Phishing ist das Stichwort. Dabei ist das ‚Abfischen‘
von individuellen Zugangsdaten und persönlichen
Informationen nichts anderes als der
alte Haustür-Trick, der die Arglosigkeit des Gegenübers
ausnutzt. Er findet im IT-Zeitalter eben im Internet statt.
Denn das World Wide Web nutzen immer mehr Menschen,
gerade auch für ihre Finanzen.
Fast 26 Millionen Deutsche erledigen ihre Bankgeschäfte
mittlerweile online. Das sind, so hat es im Mai
2010 der Bundesverband Informationswirtschaft, Telekommunikation
und neue Medien e.V. (BITKOM) ermittelt,
rund zwei Millionen mehr als im vergangenen
Jahr. Damit nutzen derzeit 41 Prozent aller Bundesbürger
quer durch alle Altersklassen (von 16 bis 74
Jahren) Online-Banking. 2003 waren es erst 21 Prozent.
Angst vor Hackern, aber kaum Eigeninitiative
Aber die Medaille hat zwei Seiten: 49 Prozent der Deutschen
haben Angst vor kriminellen Übergriffen, wenn
sie ihre Bankgeschäfte im Internet erledigen. Für jeden
fünften Kontoinhaber ist dies Grund genug, komplett
auf Online-Banking zu verzichten.
Und obwohl Datenschutz und -sicherheit ganz oben
auf der Anforderungsliste der Nutzer stehen, sind sie
kaum bereit bzw. sehen keine Veranlassung, selbst
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
�� �������������������������
aktiv zu werden. Eigene Schutzmaßnahmen ergreifen
die wenigsten – geschweige denn, dass sie sich
über die Risiken oder Sicherheitslösungen informieren.
So ist beispielsweise der sichere Standard –
die mobile TAN-Technik (mTAN) – den meisten gar
nicht bekannt. Nicht einmal jeder zehnte Bankkunde
schätzt das Sicherheitsniveau des modernen Verschlüsselungssystems
richtig ein. Dies förderte die
Anfang September 2010 veröffentlichte Studie „Online-Banking“
des Hamburger Software- und Beratungshauses
PPI zu Tage.
So klafft die Lücke zwischen denen, die aus Angst die
Finger ganz von Finanztransaktionen im Internet lassen
und denen, die die Einstellung vertreten „Die Bank
wird’s schon richten“. Diese Haltung könnte jedoch zum
Verhängnis werden.
Phishing nimmt bundesweit zu
Eigeninitiative scheint mehr denn je anbracht, betrachtet
man die Anfang August 2010 in der „Financial Times
Deutschland“ (FTD) veröffentlichten Zahlen. So verzeichnete
das Bayerische Landeskriminalamt (LKA) für
das erste Halbjahr 2010 laut FTD eine Verdopplung der
Phishing-Attacken. Die bislang gemeldeten 770 Fälle
liegen bereits heute über Vorjahresniveau mit 736
Anzeigen. Und es werden weitere Bundesländer zi-
hakin9.org/de 29

30
tiert: „Wir haben schon jetzt die Zahlen des Vorjahrs
erreicht”, soll ein Sprecher des Berliner LKA bestätigt
haben (2009: rund 500 Fälle). Auf FTD-Anfrage hätten
ebenfalls die Sprecher des Hessischen und des Baden-
Württembergischen LKA angegeben, dass die Tendenz
stark steigend sei.
Kein Wunder, dass Bundeskriminalamt (BKA) und
Bundesamt für Sicherheit in der Informationstechnik
(BSI) zur Vorsicht raten: Aktuell verbreitet sich eine
völlig neue Variante von Schadsoftware, die Kreditkarten-
und Online-Banking-Daten ausspioniert. Der
Trojaner in seiner Ursprungsform treibt bereits seit
mehreren Jahren sein Unwesen. Seine neue Variante
hat es jetzt gezielt auch auf TANs von Online-
Banking-Nutzern abgesehen. Die Ausspähung erfolgt
meist durch ein so genanntes Drive-by-Exploit, also
den Besuch einer mit Schadcode infizierten Webseite
und das hierdurch automatische Herunterladen des
Schädlings. Ist der PC infiziert und der Nutzer öffnet
die Anmeldemaske seiner Bank, wird er mit manipulierten
Inhalten getäuscht und beispielsweise mit
folgender Nachricht zur Preisgabe seiner Daten animiert:
„Die XY Portal passt sich den hohen Kundenansprüchen
an. Wir bleiben immer auf dem neusten Stand mit
Sicherheitsvorschriften um unseren Kunden mehr Sicherheiten
zu bieten.
Unser Sicherheitsabteilung erfand ein neues Sicherheitssystem,
die Angriffe von Dritten verhindert um Betrugsfälle.
Diese Sicherheitssystem muss von allen
Online-Banking-Kunden genutzt werden. Wir empfehlen
Ihre Daten zu Angleichung anzugeben. Sollte die
Anmeldung in 48 Stunden nicht erfolgen, so wird Ihre
Karte vorübergehend gesperrt, bis zu Ende der Anmeldevorgang.“
Man beachte: Derartige Zeilen und auch
klassische Phishing-Mails weisen gerne sprachliche
Mängel auf, also stets auf der Hut sein und sorgfältig
lesen.
Im Untergrund: Zero-Day-Exploit
Eine der tückischsten Methoden dieser Art ist sicherlich
der Zero-Day-Exploit. Michael Eisenmann,
IT-Security-Consultant des Global Sourcing-Spezialisten
NIIT Technologies GmbH, erklärt dazu: „Jede
Software wie z.B. das Betriebssystem oder der Webbrowser
weist Schwachstellen auf, die sich Angreifer
zu Nutze machen können. So erlangen sie in einem
gewissen Umfang Kontrolle über ein System oder
veranlassen es, Aktionen auszuführen. Besonders
gefährlich sind Zero-Day-Attacken. Denn sie zielen
auf Schwachstellen ab, die noch nicht bekannt sind –
der Softwarehersteller wird somit erst zum Zeitpunkt
des Angriffs darauf aufmerksam. Daher kann es noch
keine signaturbasierte Erkennung und auch keinen
Patch geben und der Nutzer hat es schwer, sich zu
schützen.“
ANGRIFF
Die NIIT Technologies hat daher hierzu ein paar Empfehlungen
für Anwender zusammengefasst, wie der
Schutz vor Zero-Day-Exploit erhöht werden kann:
�� Nie mit Administratorrechten arbeiten
�� Nicht verwendete Programme deinstallieren
�� Diversität: Populäre Software ist Zielscheibe von
Angriffen. Dies bei der Auswahl der eingesetzten
Software beachten
�� Virenschutz namhafter Hersteller, der vor “Zero-
Day”-Angriffen schützt, einsetzen
�� Betriebssystem, Webbrowser inklusive Pluggins
und AddOns sowie weitere installierte Software mittels
Updates und Patches auf dem aktuellen Stand
halten
�� Eine Firewall einsetzten und nur benötigten Datenverkehr
erlauben (so restriktiv wie möglich – so frei
wie nötig)
�� Niemals auf in E-Mails enthaltene Links klicken.
Adresse manuell im Browser eingeben und nicht
die Browsereigene Erinnerungsfunktion nutzen
�� Bei der Eingabe persönlicher Daten darauf achten,
dass eine SSL-gesicherte Verbindung (https) aufgebaut
wurde
�� ���� ���������� ����� ���� ������ ������������ �������
ausgestellt worden sein
�� �������������������������������������������������nen,
wenn sie aus vertrauenswürdiger Quelle stammen.
Bei Unklarheiten telefonisch mit dem Absender
der E-Mail in Kontakt treten.
Bezahldienste unter Beschuss
Gefahren sind jedoch nicht nur Online-Banking-Kunden,
sondern auch die Nutzer des globalen Bezahldienstes
PayPal ausgesetzt. Hier werden immer wieder
Phishing-Mails, die vermeintlich von PayPal stammen,
in Umlauf gebracht, um individuelle Daten abzugreifen.
Der User wird zum Anklicken eines vermeintlich
korrekten Links und dann auf einer täuschend echten
„Kopie“ der Website zur Eingabe seiner Zugangsdaten
aufgefordert – diese landen dann geradewegs in den
Händen der Hacker. Gerade in den letzten drei Monaten
traten hier immer wieder Phishing-Wellen auf. In
einem Fall gaben sich die Betrüger als Vertreter des
Bezahldienstes aus und brachten die Empfänger über
einen Link zur Eingabe ihrer Kreditkartendaten. Diese
wurden dann direkt ins Notizbuch des Datendiebs
diktiert.
Auch hier gilt die Faustregel: Paypal und Kreditkarteninstitute
fordern ihre Kunden grundsätzlich nie zur
Eingabe solcher Daten auf. Ist man dennoch im Zweifel,
empfiehlt sich der Anruf bei Dienstleister, um auf Nummer
sicher zu gehen. Des Weiteren sollte man grundsätzlich
nie einen Link in einer Mail anklicken, sondern
sich die Mühe machen, ihn in den Browser zu kopieren.
9/2010

Vorsorge statt Nachsorge mit eAusweis
Neben klassischen Schutzprogrammen wie Anti-Viren-Software
oder Firewall mit Erkennung von Phishing-Attacken
und der eigenen Achtsamkeit kann
der elektronische Personalausweis, der zum 1. November
2010 eingeführt wird, Abhilfe schaffen. Mit
der Nutzung des Dienstes auf freiwilliger Basis können
sich sowohl Nutzer als auch Anbieter von Online-Services
ausweisen. Der Bankkunde legt dafür
seinen Ausweis auf das spezielle Lesegerät und authentifiziert
sich mit seiner persönlichen Identifikationsnummer
(PIN). Zum Auslesen seiner digitalen
Daten sind dann nur entsprechend zertifizierte Unternehmen
bzw. Organisationen berechtigt. Sie müssen
zudem jeweils durch den Kartenbesitzer autorisiert
werden. Laut BITKOM beabsichtigen fast 40 Prozent
der Internet-Nutzer, den neuen Ausweis zukünftig
beim Online-Banking zu nutzen.
Fazit: Damit Datendiebe nicht in fremden Gewässern,
sondern im Trüben phishen, sollten sich Nutzer
von Online-Banking nicht nur auf die Schutzmaßnahmen
ihres Finanzinstitutes verlassen, sondern sich ein
eigenes Bollwerk gegen Zugriffe von außen aufbauen.
Gleichzeitig empfiehlt sich die umfassende Information
über Gefahren und Sicherheit sowie eine gesunde
Skepsis. Im Zweifel hilft dann „Back to the Roots“: den
PC aus- und den guten alten Bankautomaten einschalten.
ULRIKE PETER
Der Autorin ist freie Journalistin und seit zehn Jahren für unterschiedliche
Unternehmen und Medien in der IT-Branche
tätig. Ihre Spezialisierung liegt hierbei auf den Themenbereichen
ICT-Security, Netzwerke, IT-Strategien und Telekommunikation.
Ihre Veröffentlichungen erstrecken sich über renommierte
Medien aus der Fachpresse bis hin zu Tages-, Online-
und Wirtschaftsmedien sowie vertikaler Branchenpresse.
hakin9.org/de

32
INTERVIEW
„SSL-Zertifikate sind eine Möglichkeit, den
Gefahren im Internet wirkungsvoll zu begegnen“
Interview mit Christian Heutger
Christian Heutger is Geschäftsführer und Gründer der PSW Group
GmbH & Co. KG.
hakin9: Herr Heutger, im September feiert Ihr
Unternehmen sein 10-Jähriges Firmen-Jubiläum.
Wie hat sich die Unternehmenshistorie in den
vergangenen Jahren so gestaltet?
Christian Heutger: In den Anfangsjahren lag der Schwerpunkt
unserer Arbeit vorwiegend im Bereich Internet Services.
Später dann wurden Zertifikats- und Signaturlösungen
zu einer tragenden Säule unseres Unternehmens
und fortan erweiterten wir unser Portfolio kontinuierlich, beispielsweise
um Linux- und BSD-Lösungen, Enterprise Antivirus
und Security sowie um qualifizierte Signaturen gemäß
dem deutschen Signaturgesetz. Um das Jahr 2008 herum
folgten dann zusätzliche neue Produkte wie iMARC zur revisionssicheren
E-Mail-Archivierung, Z1 SecureMail zur
Ver- und Entschlüsselung sowie zur Überprüfung und Signierung
von E-Mails am Gateway, Alfresco und O3Spaces
als Dokumentenmanagementsysteme, easyVERSION als
Software-Verwaltungssystem sowie Zarafa und Exchange
als Lösungen zur Optimierung der internen Kommunikation
und des Teammanagements und viele weitere mehr.
Zudem haben wir zahlreiche Partnerschaften geschlossen
und im vergangenen Jahr unseren Unternehmensbereich
PSW MEDIA erfolgreich aufgebaut.
Heute sehen wir uns als Full Service Provider von Internetdienstleistungen
mit den Schwerpunkten Internet
Security sowie Zertifikats- und Signaturlösungen aber
auch als Spezialist für die Entwicklung und Umsetzung
maßgeschneiderter Marketingkonzeptionen.
hakin9: Ihr Schwerpunkt liegt auf SSL-
Zertifikaten. Welche Zertifikatslösungen
entwickeln Sie und wozu dienen diese?
Christian Heutger: SSL-Zertifikate ermöglichen die
Verschlüsselung vertraulicher Daten bei Online-Transaktionen.
Dies ist besonders wichtig beispielsweise
bei Online-Shops, da auf diesen Seiten stets persönliche
Inhalte wie Benutzernamen aber auch Bank- und
Kreditkartendaten übermittelt werden. Zudem erfordern
SSL-Zertifikate eine Validierung des Beauftragten.
Durch eindeutige und authentifizierte Informationen
wird sichergestellt, dass sich der Eigentümer eines
Zertifikats qualifiziert ausgewiesen hat. Ausgabe- und
Zertifizierungsstellen prüfen diese Daten mit strikter
Genauigkeit, um somit zum Vertrauen in die Zertifikate
schon vor deren eigentlicher Nutzung beizutragen.
Neben Single- und Wildcard-Zertifikaten bieten wir
vor allem Multidomain-Zertifikate und Unified Communications-Zertifikate
für Exchange-Server sowie Office
Communication-Server gemäß Microsoft Technet an.
Als Kooperationspartner von VeriSign, thawte, Geo-
Trust, Comodo und GlobalSign sind wir zudem in der
Lage, Lösungen speziell auf die Bedürfnisse unserer
Kunden zuzuschneiden und unabhängig von einer Zertifizierungsstelle
anzubieten.
hakin9: Wie viele Experten nehmen an dem
Prozess teil?
Christian Heutger: Insgesamt sind es sechs Experten,
die unsere Kunden von der Bestellung bis zur Installation
beraten und betreuen.
hakin9: In welche Validierungsstufen werden die
Zertifikate aufgeteilt?
Christian Heutger: Wir unterscheiden bei den Zertifikaten
die Validierungsstufen DV (Domain-Validation),
OV (Organisation-Validation) und EV (Extended-Validation).
Bei der Domainvalidierung (DV) wird durch einen
E-Mail-Robot eine E-Mail an eine Adresse aus dem
WHOIS oder eine alternative administrative Adresse
gesandt, um die Bestellung zu bestätigen. Hiermit wird
9/2010

sichergestellt und abschließend zertifiziert, dass die
Domain sowie ein administrativer Kontakt existieren. Im
Zertifikat wird ausschließlich die Domain genannt.
Bei der Organisationsvalidierung (OV) wird ein entsprechendes
Dokument zur Authentifizierung des Zertifikatsinhabers
angefordert, geprüft und mit den Angaben
im WHOIS abgeglichen. Beim Platinum-Zertifikat
erfolgt außerdem ein Anruf beim Zertifikatsinhaber, um
die Bestellung noch einmal abschließend zu bestätigen.
Im daraufhin ausgestellten Zertifikat werden die
kompletten Angaben des Zertifikatsinhabers angezeigt.
Ebenso werden die vollständigen Daten in einer Echtzeitprüfung
über das jeweilige TrustLogo angezeigt.
Die Erweiterte Validierung (EV) schafft auf einfache und
zuverlässige Art mehr Vertrauen bei den Websitebesuchern.
Nur bei SSL-Zertifikaten mit Extended Validation zeigen
hochsichere Webbrowser wie Internet ab 7 und Firefox
ab 3 eine grün hinterlegte Adressleiste mit dem Namen des
Unternehmens und der Zertifizierungsstelle an.
hakin9: Wie wirken sich Extended-Validation
Zertifikate auf das Nutzerverhalten aus?
Christian Heutger: Durch die grüne Leiste bei Extended-Validation-Zertifikaten
wird dem Besucher sofort
signalisiert, dass die Transaktionen verschlüsselt und
das Unternehmen gemäß einheitlich hohem Standard
authentifiziert ist. Zudem wird die Vertrauenswürdigkeit
der Website mit einem Trustlogo, das auf der Seite platziert
ist, sichtbar nach außen getragen. Dies sorgt für
höheres Vertrauen unter den Nutzern und für weniger
Kaufabbrüche.
hakin9: Wie sieht die Authentifizierung mit
Extended Validation aus?
Christian Heutger: Bei der Extended Validation wird
die Firmierung bzw. Organisation geprüft und es erfolgt
ein einheitlicher Validierungsprozess. Prüfen tut hierbei
die jeweilige CA nach dem sogenannten Vier-Augen-
Prinzip. So muss gemäß der vom CA/Browser-Forum
herausgegebenen Kriterien gewährleistet sein, dass
der Antragssteller alleiniger Besitzer der Domain ist, für
die das Zertifikat ausgestellt werden soll und dass er
zugleich berechtigt ist, das Zertifikat für das beauftragte
Unternehmen zu beantragen. Zudem muss die Identität
des Antragsstellers sowie dessen Geschäftsadresse
nachgewiesen werden.
Um ein EV-SSL Zertifikat auszustellen zu dürfen, müssen
sich jedoch selbst die Zertifizierungsstellen einem
vorherigen verpflichtenden Web-Trust-Audit unterziehen.
Das bedeutet, die Überprüfung und Zertifizierung
der Zertifizierungsstellen selbst. Es wird also geprüft,
dass sich die CAs an die Richtlinien des gemeinsamen
Katalogs des CAB-Forums halten. Diese Web-Trust-
Audits werden von Wirtschaftsprüfungsgesellschaften
wie beispielsweise der KPMG durchgeführt und müssen
regelmäßig erneuert werden.
Interview mit Christian Heutger
hakin9: Die Zahl von Angriffsmethoden nimmt
ständig zu. Welchen neusten Angriffen können
Internetnutzer zum Opfer fallen?
Christian Heutger: Neben dem Phishing, also dem
klassischen Diebstahl von Zugangsdaten wie Kreditkartennummern
und Passwörtern mit Hilfe von Trojanern
und anderer Malware, zählen heute Pharming, Spear
Phishing und Whaling mit zu den gefährlichsten Angriffsmethoden
im Internet. Beim Pharming handelt es sich
um einen Phishing-Angriff, bei dem der Domainname
kompromittiert und der Nutzer auf eine gefälschte Website
umgeleitet wird, während beim Spear Phishing eine
Attacke gegen ein eng gewähltes Ziel wie beispielsweise
eine bestimmte Person oder Gruppe vorliegt. Das
Whaling hingegen bezeichnet einen Angriff gegen eine
Person mit besonders hohem Wert, beispielsweise den
Vorstandsvorsitzenden eines DAX-Unternehmens.
hakin9: Wie halten Abwehrmethoden bzw. SSL-
Zertifikate das Tempo mit?
Christian Heutger: Die CAs bemühen sich natürlich mit
2048 bit Roots, SHA1 und Zwischenzertifizierungen Schritt
zu halten und versuchen neben der Extended-Validation
mit TrustSeal, HackerGuardian, HackerProof, VIP Mobile
usw. den neuen Gefahren konsequent entgegenzuwirken
– alles Maßnahmen zur Erhöhung der IT-Sicherheit, auf
die wir dann sicher noch zu sprechen kommen werden.
hakin9: Das Internet bietet zahlreiche
Möglichkeiten sich das Leben leichter zu machen
und dabei auch Spaß zu haben. Online-Geschäfte
sind an der Tagesordnung. Auf welche Gefahren
können Internetnutzer dabei stoßen?
Christian Heutger: Auch hier sei neben dem Pharming an
erster Stelle wieder das Phishing, also der kriminelle Diebstahl
geheimer Zugangsdaten, genannt, der vor allem dann
entsteht, wenn unsichere Online-Transaktionen vorliegen.
Jedoch sollte man beachten, dass Phishing längst auch
von seriösen Sites erfolgt, also unter völliger Unwissenheit
des Sitebetreibers. Beispielsweise geschieht dies durch
über Banner eingeschleuste Schadcodes, vor denen wiederum
der Malware-Scan des VeriSign TrustSeals sowie
der HackerProof- bzw. HackerGuardian-Scan von Comodo
schützen können. BeimTrustSeal und beim HackerProof
werden die Websites täglich auf Schadcodes, Malware und
weitere Schwachstellen hin gescannt, um die Sicherheit der
Sites zu erhöhen. Beim HackerGuardian werden Sites auf
deren Sicherheit geprüft und ein Protokoll auf Erfüllung der
Sicherheitsrichtlinien nach Payment Card Industry (PCI)
geliefert. Auch mit VIP Mobile halten wir hier eine Lösung
parat, um Online-Transaktionen sicherer zu machen.
hakin9: Welche Bedeutung und welche Vorteile
haben bei Online-Transaktionen SSL-Zertifikate?
Christian Heutger: SSL-Zertifikate sind eine Möglichkeit,
den Gefahren im Internet wirkungsvoll zu begegnen.
hakin9.org/de 33

34
Doch bieten wir längst eine Reihe weiterer, neuartiger
Produkte an, um bei Online-Transaktionen den Schutz
noch weiter zu erhöhen. Immer mehr Verbraucher nutzen
mittlerweile Websites mit starken Sicherheitsmaßnahmen
wie der Zwei-Faktor-Authentifizierung. Hierbei
bestätigen die Benutzer ihre Identität anhand von zwei
Faktoren: durch etwas, was ihnen bekannt ist, beispielsweise
ein Benutzername und ein Passwort, und durch
etwas, was sich in ihrem Besitz befindet, etwa ein Gerät,
welches ein Einmalpasswort generiert. Bisher war
bei der Zwei-Faktor-Authentifizierung für jede Website
ein eigenes Gerät erforderlich, was diese Art der Authentifizierung
für Unternehmen zu einem kostenintensiven
Unterfangen und für die Verbraucher zu einem Ärgernis
machte.
Mit VIP Mobile (VeriSign Identity Protection Access
for Mobile) bieten wir eine kostengünstige und einfache
Zwei-Faktor-Authentifizierung an. Diese Anwendung
verwandelt ein Mobiltelefon in ein mobiles Token,
welches absolut sichere Transaktionen mit bisher rund
40 Unternehmen ermöglicht.
Neben VIP Mobile als Erweiterung zu SSL bieten
wir, wie bereits genannt, das VeriSign Trust Seal, den
Commodo HackerProof mit Malware-Scan, den HackerGuardian
mit PCI-Scan sowie eine Reseller-Lösung
für die Domain Name System Security Extensions
(DNSSEC) zur Verhinderung von DNS-Poisoning
als auch die Signierung von Dateien im Internet mit
Code-Signing zur Installation ausschließlich signierter
Anwendungen an.
hakin9: Welche Sicherheitsregeln zur
Minimierung der Gefahren aus dem Internet sind
zu beachten?
Christian Heutger: Natürlich ist es wichtig, die aktuellste
Software, Virenscanner und Firewall einzusetzen
sowie Software nur aus vertrauenswürdigen Quellen zu
installieren, optimaler weise ist die Software hierbei digital
signiert. Darüber hinaus sollte man aber auch immer
auf die SSL-Zertifikate, insbesondere auf die grüne
Adressleiste von Extended-Validation, achten.
hakin9: Ist es überhaupt möglich sich 100%
gegen die Angriffe zu schützen?
Christian Heutger: 100%-igen Schutz gibt es sicherlich
nie. Man denke an die erst kürzlich veröffentlichte
Planetopia-Reportage zur Fälschbarkeit eines EV
und an das Aushebeln von Schutzmechanismen durch
Browser-Cracking; das sogenannte Black Hat für die
Bezeichnung eines destruktiven Hackers.
Mit entsprechenden Sicherheitsmaßnahmen und Risikobewusstsein
aber lassen sich die Gefahren stets
auf ein kalkulierbares Minimum reduzieren.
Wir bedanken uns für das Gespräch!

��������
�������
�������
��������������
���������������������
������������
����� ����������������
����� ����������������
�����������������
����������������
���������������������������
�������������������������������������
��������������������������������������
������������������������������
�������������������������������������������
����������������������������������������
��������������������������������������
�����������������
��������������
����������������������
���������������������������������������������������
������������������������������������
���������������������������������������
����������������
��������������������
��������������������������������������

36
hakin9: Ihr Themenbereich ist sehr breit. Wo liegt
Ihr Schwerpunkt?
Alexander Graf: Unsere Schwerpunkte beruhen auf
drei Säulen, die stets Software/Support und Dienstleistungen
umfassen:
�� ���������� ���� ���������������������� ������������
��������������������������������
�� �������������������������������������������������-
�������������������
�� ������������������� ��� ������������ ������ ������
�������������������������������������������������lungen
fokussiert
hakin9: Wir beobachten ein konstantes
Wachstum des internationalen Marktes für IT-
Sicherheitsprodukte. Wie kommt man damit
zurecht und verliert die Übersicht darüber nicht?
Alexander Graf:���������������������������������������-
����������������������������������������������������������������
���������������������������������������������������������
���������������������������������������������������������
�������������������������������������������������������-
�������������������������������������������������������-
�������������������������������������������������
hakin9: Was ist besonders wichtig für IT-
Sicherheitsanbieter um die Bedürfnisse dieses
stetig wachsenden Marktes zu befriedigen?
Alexander Graf: Unsere Stärke ist wohl eine Art Techno-
��������������������������������������������������������-
����������������������������������������������������������
���������������������������������������������������������
�����������������������������������������������
hakin9: Die Zahl der Angriffsmethoden nimmt
ständig zu. Welche Lösungen bieten Sie an?
Alexander Graf:� ��������� ���� ������ ���� ���������������
������������������������������������������������������
INTERVIEW
„Security ist immer ein ganzheitlicher
Ansatz, hinter dem ein Konzept stehen muß
und beginnt meist mit einer Ist-Erhebung,
also einem harten IT Audit”
Interview mit Alexander Graf
Alexander Graf ist einer der beiden Gründer von Antares NetlogiX und
verantwortlich für Vertrieb & Technologie. Davor war er Österreich-
Verantwortlicher für IT Managementlösungen bei GE Capital Solutions
IT. Antares NetlogiX ist Experte für IT Infrastruktur, IT Sicherheit und IT
Monitoring
����������������������������������������������������������
�������� ��������� ������� ��������� ���� ����� ��������� ���-
���������������������������������������������������������
������������� ����������� �������� ���� ��������� ������-
��������������������������������������������������������������
��� ���� ��������� ���� ������������������ ������� ������� ��-
��������������������������������������������������������-
��������������������������������������������������������
���������������������������������������������������������
weltweit noch nicht gibt, wie uns der internationale Auditor
�������������
hakin9: Webbasierte Applikationen im
Unternehmen werden immer häufiger das Ziel
von internen und externen Angriffen. Was ist Ihre
Konzeption das zu verhindern?
Alexander Graf:�������������������������������������������-
����������������������������������������������������������
�����������������������������������������������������������
mit einer Software gegeben ist, die genau für diese Zwecke
�����������������������������������������������������������
���������������������������������������������������������
9/2010

����������������������������������������������������������
�������������������������������������������������������������
erreichen Sie nur mit einer Art „selbstlernender künstlicher
����������������������������������������
hakin9: Wie funktioniert das in der Praxis?
Alexander Graf:��������������������������������������
�������������������������� ���� ���� ������������� ������-
�����������������������������������������������������
����������� ������ ����� ���������������� ������������� ����
���������������������������������������������������������
���� ����������� ��������� ������������������ ������� �����
�������� ��� �������� �������� ��������������� ������� �����
�����������������������������������������������������
����� ����� ��� ������ �������������� ���� ���� ���� �������
�������������������������������������������������������
hakin9: Was umfasst Ihr Angebot für kleine und
mittlere Unternehmen?
Alexander Graf:����������������������������������nehmend
als All-in-One Anbieter wahrgenommen, wenn
��� ��� ��������� ���� ����������������� ������ �������
���������������������������������������������������
��������������������������������������������������������
����������������������������������������������������
���������������������������������������������������-
���������������������������������������������������
������������ ���������� ��� ������ ����� ������ �����-
���������� ���� �������������������� ����� ���������
�����������������������������������������������������
hakin9: Sie sind Microsoft Gold Partner.
Wie haben Sie das Vertrauen von solchem
Großpartner aufgebaut?
Alexander Graf:�������������������������������������������
��������������������������������������������������������
������������������������������������������������������-
��������������������������������������������������-
�����������������������������������������������������-
������������������������������������������������������
���������������������������������������������������������
���������������������������������������������������������-
��������������������������������������������������������-
�������������������������������������������������������-
���������������������������������������������������������
���������������������������������������������������������
�������������������������������������������������������
�������������������������������������������
hakin9: Die kleingliedrige Struktur der IT-
Sicherheitsbranche in Österreich und
Deutschland erfordert es, dass Unternehmen
verstärkt kooperieren. Wie sieht solche
Kooperation zwischen den Unternehmen aus?
Alexander Graf:� �������� ��������� ������ ����� ���� ������
��������������������������������������������������������
Interview mit Alexander Graf
������������������������������������������������������
�������������������������������������������������������ne
diplomatische Kommunikation mit dem bestehenden
�������������� �������� �������� ���� ���� ���� �������������-
�����������������������������������������������������-
������������������������������������������������������
�����������������������������������������������������-
�������������������������������������������������������
������������������������������������������������������������
����������������������������������������������������
��������������������������������������������
hakin9: Sie sind IT-Berater. Was bieten Sie Ihren
Kunden an und wer sind Ihre Kunden?
Alexander Graf:� ������� �������� ������� ����� ����-
����� ������������������������� ������������ ���� �����-
��������������������������������������������������������-
����������������������������������������������������
���� �������������� ��������������� ������������� ��������
������������ ��������� ����� ����� �������� ���� ���������
einer eingehenden organisatorischen und technologi-
���������������������������������������������������������
�������������������������������������������������������-
���������� ��������������� ������������� ��������������-
�����������������������������
hakin9: Welche Erwartungen haben die Kunden
Ihrer Schulungen?
Alexander Graf: Unsere Kunden besuchen gerne un-
��������������������������������������������������������
���� �������� ���� ����������� ����������� ������� ���� ���
�������� ����� �������� ����� ���� ������� ���� ������� ����
����������������������������������������������������-
����� ����� ���� ������������ ����������� ������ ���� �����
��������������������������������������������������������
�����������������������������������
hakin9: Welche Pläne, die IT-Sicherheit Branche
betreffend, haben Sie für das Jahr 2011 vor?
Alexander Graf: Wir erwarten eine noch stärkere The-
������������������������������������������������������
��� ��������� ����� ����� ����� ����� ��������� ���� �����-
���������������������������������������������������������
��������������������������������������������������-
������������������������������������������������������
�����������������������������������������������������-
��������������������������������
�������������������������������������������������
���������� ��������� ���� ����� ����� �������������� ������
�� ����� ����� ����� ��������������� ������ �������� �����
����������������� ���� ������������������ ����������
�������������������������������������������������������-
�����������������������������������������������������
������������������������
Wir bedanken uns für das Gespräch!
hakin9.org/de 37

Interview mit Roberto Valerio
„Fast alle Anbieter legen Nutzerdaten
unverschlüsselt ab. Das ist sicherlich einfacher
in der Handhabe und spart auch Ressourcen
– aber damit sind die Daten nur so sicher, wie
der Anbieter es schafft, interne und externe
Zugriffe auf die Daten zu unterbinden”
Interview mit Roberto Valerio
Robert Valerio ist Geschäftsführer der Firma CloudSafe GmbH,
Betreiber der Plattform cloudsafe.com
hakin9: Erzählen Sie uns bitte ein wenig über sich
selbst: wer sind Sie, was machen Sie und wie ist es
dazu gekommen, dass Sie sich mit IT-Sicherheit
Branche beschäftigen?
Robert Valerio: Ich bin Geschäftsführer der CloudSafe
GmbH, Hamburg und schon seit vielen Jahren in
unterschiedlichen IT-Bereichen aktiv. Angefangen habe
ich traditionell mit Programmierung auf dem C64,
Amiga 500 und 68k Macs. Seit 1992 bin ich aktiv in
den Vorläufern des heutigen WWW unterwegs und seit
1999 mit der Startup-Szene verbunden. Dabei konnte
ich viel Erfahrung im Bereich Sicherheit von Servern
und Webanwendungen sammeln – aus meiner Sicht
eines der vorrangigen Themen der nächsten Jahre für
das Cloud Computing.
hakin9: Wer und was ist CloudSafe?
Robert Valerio: CloudSafe stellt seinen Nutzern eine
Plattform zur sicheren Ablage und Verwaltung von
sensiblen Daten zur Verfügung. Dabei werden alle
Daten verschlüsselt abgelegt. Nutzer können auf
CloudSafe beliebig viele Dokumente jeder Art und
Größe in virtuellen Safes ablegen. Es können weiteren
Personen und Gruppen individuelle Zugriffsrechte
auf die Safes eingeräumt und somit ein sicherer
Datenaustausch ermöglicht werden. Diese Rechte
sind ferner über spezifische Freigabefunktionen und
Zugriffscodes erweiterbar. Wir haben dabei eine sehr
sichere, hybride Verschlüsselungsarchitektur umgesetzt:
Safe-Inhalte werden synchron über AES256
verschlüsselt, Nutzerzugriffe über eine Public/Private-Key
Infrastruktur abgebildet.
hakin9: Wer arbeitet daran?
Robert Valerio: Unser Büro ist in Hamburg, in Hamburg
sitzen auch die Entwickler und die Webdesigner.
Zusätzlich arbeiten eine Handvoll an freien Mitarbeitern
für CloudSafe. Insgesamt sind 15 Personen
involviert. Wir haben eine komplett digitale Firmenstruktur:
Nur die Buchhaltung findet auf dem Papier
statt. Sämtliche andere Prozesse sind rein digital
abgebildet. Jeder von uns klappt seinen Laptop auf
und ist Bestandteil des Teams, egal wo er sitzt. Wir
suchen übrigens Verstärkung für den französischen,
spanischen und italienischen Markt.
hakin9: Woher kommt der Name CloudSafe?
Robert Valerio: Wir wollten mit unserem Namen zwei
vermeintliche Widersprüche vereinen: Cloud-Services
und Sicherheit. Viele Internetnutzer haben kein großes
Vertrauen in die Sicherheit von Cloud-Storage Anbietern.
Und damit haben Sie auch recht. Fast alle Anbieter
hakin9.org/de 39

40
legen Nutzerdaten unverschlüsselt ab. Das ist sicherlich
einfacher in der Handhabe und spart auch Ressourcen
– aber damit sind die Daten nur so sicher, wie der
Anbieter es schafft, interne und externe Zugriffe auf die
Daten zu unterbinden. Selbst bei großen Anbietern wie
Amazon und Google haben Mitarbeiter unerlaubten Zugriff
auf persönliche Daten genommen. CloudSafe ist
deswegen bewußt als eine Plattform entwickelt worden,
bei der der Betreiber selber keinen Zugriff auf die Daten
nehmen kann. Wir speichern bei uns keine Passwörter
und keine Zugangscodes. Auch wenn jemand also
Zugriff auf unsere dedizierte Storage oder unsere Datenbank
hätte, könnte er nicht an die unverschlüsselten
Inhalte der Safes unserer Nutzer kommen.
hakin9: Was sind die Schwerpunkte von
CloudSafe?
Robert Valerio: Ganz klar die Sicherheit. Wir gehen
davon aus, daß in Zukunft ein Großteil der Geräte mit
denen wir arbeiten werden, den eigenen Datenbestand
nicht mehr lokal vorhalten wird. Erste Tendenzen
sind schon bei Mobiltelefonen, Tablets und Netbooks
auszumachen. Uns geht es nicht darum, die
Urlaubsbilder oder die Musiksammlung zu speichern
– dafür gibt es schon eine Reihe von bewährten Anbietern.
Wir wollen für die wirklich relevanten Daten eine
sichere Umgebung anbieten: Dokumente, die man
nicht gerne in die Hände von großen Anbietern geben
möchte, bei denen der Zugriff nur über eine Corporate
Policy geschützt ist, nicht über echte Verschlüsselung.
Und CloudSafe bietet zusätzliche Optionen, um
besagte Daten in Notfallsituationen anderen zu überlassen
oder die Daten im geschäftlichen Umfeld mit
berechtigten Personen auszutauschen.
hakin9: Wer sind Benutzer von CloudSafe?
Robert Valerio: Wir setzten den Fokus auf zwei Gruppen:
Privatpersonen, die für Notfallsituationen Kopien
ihrer relevanten Dateien sicher abgelegt haben möchten
– ob nun für den eigenen Zugriff, oder für den Zugriff
durch Vertrauenspersonen. Und wir adressieren
ferner Personen, die in Ihrem geschäftlichen Umfeld
online sensible Daten austauschen möchten – nachweisbar
ohne Zugriffsmöglichkeiten durch den Anbieter.
Das können unter anderem Vertragsunterlagen, Pläne,
Dokumente, aber auch Passwörter und Schlüsseldateien
sein. Wir werden für die einfache Anwendung immer
eine kostenfreie Mitgliedschaft anbieten - bezahlen
tut man nur für spezifische Funktionen oder wenn man
mehr Speicherplatz benötigt.
hakin9: Sie haben neue Zugangsoptionen für
Datenaustausch eingeführt. Was bedeutet das in
der Praxis?
Robert Valerio: Uns ist bei der Konzeption von Cloud-
Safe aufgefallen, daß die meisten Produkte für die ver-
INTERVIEW
schlüsselte Ablage von Daten nur einen einzigen Zugriff
per Passwort ermöglichen. Das ist aus unserer Sicht
eine Sackgasse. CloudSafe bietet einfache Möglichkeiten,
Dritten Zugriff auf die eigenen Safes zu geben.
Ganz ohne komplexe Gruppenverwaltung und dateibasierte
Rechtevergabe, die man in der Praxis auch nur
selten benötigt. Wir sind vor drei Wochen gestartet und
stellen fest, daß sich einige unserer Nutzer erst an die
neuartigen Zugangsoptionen gewöhnen müssen. Wir
werden deswegen in Kürze mehr Erläuterungen zu den
Optionen online stellen.
hakin9: CloudSafe sollte einfach in der
Anwendung sein. Wie wird diese Einfachheit mit
Sicherheit kombiniert?
Robert Valerio: Von der komplexen kryptographischen
Architektur, die wir mit der Plattform umgesetzt
haben, bekommt der Nutzer wenig mit. Er legt letztlich
seine Safes an und lädt seine Daten via Browser oder
WebDAV hoch. Vertrauenspersonen werden einmal
per E-Mail eingeladen und identifiziert. Danach steht
einem sicheren Datenaustausch nichts mehr im Wege,
die Verwaltung der Schlüssel übernimmt, anders
als bei PGP oder GnuPG, dann CloudSafe direkt. Der
Nutzer muß nur einmal sicherstellen, daß er tatsächlich
die Person per E-Mail erreicht hat, mit der er später
Daten austauschen möchte.
hakin9: Wie sieht die Zukunft von CloudSafe aus?
Robert Valerio: Viel Nutzer haben uns darum gebeten,
eine einfache Form der verschlüsselten Datenübermittlung
anzubieten. Wir werden also in Kürze auch die
Möglichkeit anbieten, Nachrichten mit und ohne Anhänge
über CloudSafe als Plattform auszutauschen. Erst
über das Web-Frontend, später über mobile Applikationen.
Wichtig ist dabei, daß die Daten auch hier ausschließlich
verschlüsselt ausgetauscht werden – auch
auf unserer Plattform. Damit sind wir deutlich sicherer
als jeder Mailserver und unabhängig von unterschiedlichen
Mail-Clients.
hakin9: Welche Pläne die IT-Sicherheit Branche
betreffend haben Sie noch vor?
Robert Valerio: Wir sehen unseren Fokus bei Applikationen
rund um die sichere Datenablage und den sicheren
Datenaustausch, egal mit welchem Gerät man
auf diese Daten zugreifen möchte. Anfang nächstes
Jahr werden wir dazu auch eine eigene API anbieten.
Damit können auch andere Webanwendungen und
Software die Plattform CloudSafe als sicheres Backend
nutzen. Zur Zeit sprechen wir dort mit Anbietern
von Passwort-Managern.
Wir bedanken uns für das Gespräch!
9/2010

42
ANGRIFF
Java Applet Attacke mit SET
Patrick Schmid
Ein Angriff mit Java ist nicht nur auf Grund
plattformübergreifender Lauffähigkeit, sondern auch wegen
seiner weiten Verbreitung sehr beliebt. Durch SET wird die
Vorbereitung und die Ausführung einer Java Applet Attacke
nun zu einem Kinderspiel.
IN DIESEM ARTIKEL ERFAHREN SIE...
��� �������������
�� ���������������������������������������������������
�� ���������������������������������������������������������
durchgeführt wird.
Hinter dem klingenden Namen SET, kurz für Social-Engineering
Toolkit steckt ein in Python geschriebenes
Skript zur einfachen und schnellen
Durchführung von diversen Angriffen (Bild 1). Veröffentlicht
wurde das Skript unter der Open Source-Lizenz
von David Kennedy [1] .
Ein grosser Vorteil von SET; neben dem Ausführen
von einzelnen Angriffen bietet es auch eine stabile und
unkomplizierte Schnittstelle zu Metasploit, welches
nach gestartetem Angriff dann in alt bekannter Manier
die Session zum Opfer verwaltet.
Die Installation ist auf Grund zentraler Verwaltung in
einem SVN Repository gänzlich einfach und auf der offiziellen
Webseite [2] erklärt.
Bevor SET aber benutzt werden kann, muss erst noch
die Konfiguration überprüft und angepasst werden. Dazu
wird die Datei set_config aus dem Ordner config aufgerufen.
In einem ersten Schritt muss unter dem Punkt ME-
TASPLOIT_PATH nun der korrekte Pfad eingegeben
werden, wo Metasploit abgelegt ist.
In einem zweiten Schritt sollte man sich überlegen anstatt
des integrierten Python-Webserver auf den weitaus
stabileren und schnelleren Webserver Apache umzusteigen.
Ist dies der Fall, so muss auch die Option
unter dem Punkt APACHE_SERVER aktiviert und der
entsprechende Pfad zum Webordner unter APACHE_
DIRECTORY angepasst werden.
Speziell im Bezug auf den weiter unten erklärten
Java Applet Angriff sollte die Option SELF_SIGNED_
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
��� �������������������������
APPLET auch noch aktiviert werden, wodurch ein
Applet dann nicht immer die Standardsignatur von
Sun, sondern die eines beliebigen Unternehmens
wie zum Beispiel Google oder Microsoft aufweisen
kann.
Wer seinem Angriff noch zusätzlichen Nachdruck verleihen
will, kann die Option SELF_SIGNED_CERT verwenden,
wodurch in die präparierte Webseite ein SSL
Zertifikat eingebunden werden kann.
Der Angriff
Das Java Applets der ideale Angriffsvektor sind, ist altbekannt.
Java ist dabei nicht nur sehr beliebt, weil es plattformunabhängig
und dadurch auf Windows, Linux und Mac
OS fungieren kann, sondern auch, weil praktisch jeder
Computer in den weiten des Internets eine Java Laufzeitumgebung
installiert hat.
Im Idealfall sieht der Ablauf für das Opfer und den Angreifer
aus, wie in Listing 1 dargestellt.
Der schwierigste Teil an diesem Angriff besteht darin
das Opfer auf eine präparierte Seite zu locken,
wo das infizierte Java Applet dann ausgeführt werden
kann.
Unser Vorteil dabei: Nur die wenigsten Internetnutzer
achten darauf, ob eine URL tatsächlich korrekt ist,
wenn Ihnen der bekannte und erwartete Inhalt angezeigt
wird.
Die zweite Hürde, bevor das Java Applet überhaupt
interagieren kann, besteht in der Berechtigung dessen.
9/2010

Jedes mal wenn ein Applet gestartet wird, erscheint
ein Fenster und fragt nach Berechtigung. Damit diese
Tatsache nicht allzu verdächtig erscheint, ist es wichtig,
als präparierte Seite nicht auf Google oder ähnliches
zurückzugreifen. Denn wenn ein Benutzer eine Seite
wie Google zehn Mal am Tag aufruft, und beim elften
Mal wird plötzlich ein Java Applet gestartet, so ist das
mehr als verdächtig.
Es gilt also eine passende Seite auszuwählen, diese
zu präparieren und den Link dazu via eMail, Instant
Abbildung 1. ASCII-Screen nach dem Start
Java Applet Attacke mit SET
Messenger oder anderem Kommunikationsmittel zu
verteilen und auf Besucher zu warten.
Ist ein Benutzer erstmals auf der präparierten Seite,
so wird nach dem Laden gleich das Java Applet und damit
auch die entsprechende Metasploit-Session gestartet,
welcher uns Zugriff auf das kompromittierte System
gewährt.
Wenn nun alles sehr theoretisch und aufwendig klingt,
wird durch das Social-Engineering Toolkit nahezu automatisch
gemacht:
hakin9.org/de 43

44
Abbildung 2. Der Site Cloner
Nach dem Start von SET erhält man zuerst die diversen
Angriffsmöglichkeiten präsentiert.
Abbildung 3. Die Session kann in Metasploit ausgenutzt werden
ANGRIFF
Um zum Java Applet Angriff zu gelangen wählt man
zuerst Punkt 2 Website Attack Vectors und danach
Punkt 1 The Java Applet Attack Method aus.
Nun kann eine beliebige Identität angegeben werden
und jedesmal mit Enter bestätigt werden.
Im nächsten Schritt zeigt sich schon die erste Stärke
von SET. Es werden nicht nur Angriffe nahezu automatisch
durchgeführt, sondern auch der Aufwand zur Vorbereitung
wird fast eliminiert.
Eine Funktion, die ich persönlich nicht mehr missen
möchte, ist der Site Cloner (Bild 2), mit welchem sich
komplette Abbilder einer bestehenden Webseite anfertigen
lassen. Und damit noch nicht genug; es werden
auch gleich die passenden Applets und Schadcodes
integriert und die benötigten Modifikationen vorgenommen.
Im nächsten Schritt folgt auch gleich ein weiteres
Highlight von SET: Die Schnittstelle zu Metasploit! Denn
wer längere Zeit die Vorzüge von Metasploit genossen
hat, will nie mehr etwas anderes benützen.
So kann man mittels SET meinen bevorzugten Payload
auswählen oder einfach auf den Default-Wert zurückgreifen.
9/2010

Bevor ein Payload aber in die präparierte Webseite
integriert wird, wird dieser so verändert, dass er von
einem Virenschutz in der Regel nicht mehr erkannt wird
(Bypass Antivirus). Wenn man es nicht besser weiss,
empfiehlt es sich auch hier auf den Default-Wert zurückzugreifen.
NEIN
Abbildung 4. Der Ablauf eines Java Applet Angriffes
Java Applet Attacke mit SET
Nachdem nun die benötigten Parameter abgefragt
wurden, wird die Seite automatisch präpariert und im
Webordner von Apache abgelegt. Gleichzeitig wird der
Angriff mit den benötigten Parametern an Metasploit
übergeben und gestartet und wartet nunmehr auf Besucher
auf der präparierten Webseite.
Opfer Angreifer
Erhält ein eMail mit
Link zu Gmail
Link öffnen?
JA
Java Applet wird
gestartet
Applet
autorisiert?
JA
Benutzer wird auf
sein Gmail-Konto
umgeleitet
Gescheitert
Java Applet Angriff
via SET
Link an Opfer
Senden
Payload gestartet
Vollzugriff
hakin9.org/de 45

46
Sobald nun ein Benutzer vorbei schaut, baut das Java
Applet eine Verbindung mit Metasploit auf, wodurch
ein Angreifer dann mit dem Computer des Opfers interagieren
kann.
Hier muss noch beachtet werden, die Verbindung ist
nur so lange aktiv, wie auf dem betreffenden Computer
Java ausgeführt wird. Die Webseite selbst kann problemlos
geschlossen werden. Es ist also keine Eile geboten.
Danach kann die Session, wie man es von Metasploit
her kennt, verwendet werden (Bild 3).
SET unterstützt einen Angreifer also nicht nur durch
eine einfache Frage-Antwort-Führung bei der Vorbereitung,
sondern automatisiert auch das Aufwendige und
mühsame Heraussuchen und Setzten von Parametern
in Metasploit.
Obwohl es Metasploit selbst nicht gänzlich überflüssig
macht, kann es doch eine grosse Hilfe sein und viel
Zeit sparen helfen.
Weitere Informationen gibt es auf der offiziellen Webseite
[3] in der Kategorie Tutorials, wo noch die vielen
weiteren Angriffsmöglichkeiten bis ins Detail erklärt
werden.
�� ����http://www.secmaniac.com
�� ����http://www.secmaniac.com/download/
�� ��� http://www.secmaniac.com/tutorial/
PATRICK SCHMID
Der Autor dieses Artikels ist Patrick Schmid (http://encodingit.
ch) und steckt im letzten Jahr in einer Berufslehre zum Informatiker
EFZ mit Schwerpunkt Systemtechnik. IT Security beschäftigt
ihn dabei schon seit längerem vorallem als intensives
Hobby, was er aber gerne in Zukunft auch ins Berufl iche
ausbreiten möchte.

Datenschutz ist EU-weit gesetzliche Anforderung.
Wir sorgen für die Erfüllung rechtlicher
Vorschriften und kümmern uns um ein angemessenes
Datenschutzniveau in Ihrem Unternehmen,
auch international.
www.blossey-partner.de
Securitymanager.de ist eine Produktion des
Online-Verlag FEiG & PARTNER. Seit dem
Start hat sich Securitymanager.de zu einem
führenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhängiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de
Pericom base camp IT-Security: Unser Ziel ist
es, unsere Kunden vor möglichen Gefahren
für Ihre IT-Infrastruktur bestmöglich zu schützen.
Neben der Analyse von Risikopotentialen
durch Security Audits bieten wir, durch
die Implementierung von Security-Lösungen,
Schutz vor konkreten Gefahren.
www.pericom.at
Recommended Sites
Die Netzwerktechnik steht auf www.easy-network.de
im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
����������������������������������
www.easy-network.de
Happy-Security ist ein neues Portal mit Security-Challanges,
IT-Quiz, Web-Bibliothek, Multimedia-Center
& vielen weiteren Features.
www.happy-security.de
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwaltung
von sensiblen Daten zur Verfügung: Nutzer
können auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen. Es können weiteren
Personen individuelle Zugriffsrechte auf die
Safes eingeräumt und somit ein sicherer Datenaustausch
ermöglicht werden.
www.cloudsafe.com
Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden
professionelle Unterstützung
in den Bereichen der Datensicherstellung und
Datenträgerauswertung. Selbstverständlich
entsprechen unsere Mitarbeiter, unser technisches
Equipment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.
www.seed-forensics.de
����� ������� ��� ������� ���� ���� ����� ������
Computerfreaks höher schlagen lässt: Geek
Wear mit intelligenten Sprüchen, eine riesige
Auswahl Gadgets und natürlich auch viele
Hacker Tools.
www.getDigital.de
AV-Comparatives geht hervor aus dem Innsbrucker
Kompetenzzentrum und gilt als eines
der bekanntesten unabhängigen Testhäuser
für Antiviren-Software.
www.av-comparatives.org
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org

SEC Consult
Recommended Companies
Mabunta
���� �������� ����� ������� ���� �����
spezialisierter und kompetenter Partner
�������������������������������������
���������������������������������������
heitsfragen in allen Unternehmensbereichen,
verbinden Wachstum mit
sicherer Kommunikation.
Alles in allem- mabunta „one-face-tothe-customer“,
Ihr Spezialist in Fragen
������������������
www.mabunta.de
SEC Consult
SEC Consult ist der führende Berater
für Information Security Consulting in
Zentraleuropa. Die vollständige Unabhängigkeit
von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfassen
externe/interne Sicherheitsaudits,
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
Tele-Consulting GmbH
����������������������������������������
Sicherheit, hakin9 und c’t Autoren, jahrelange
Erfahrung bei der Durchführung
von Penetrationstests und Security-Audits,
eigener Security Scanner „tajanas”,
Sicherheitskonzepte, Risikoanalysen,
������������������������� �� ������������
ISO 27001-Auditoren, VoIP-Planung
und -Security
www.tele-consulting.com
art of defence GmbH
art of defence entwickelt Lösungen im
Bereich der Web-Anwendungs-Sicherheit.
Unsere Software schützt Websites
und Datenbanken gegen Hacker-Angriffe
auf Anwendungs-Ebene wie z.B.
Phishing. Damit schließen wir die derzeit
größte Sicherheitslücke von E-Business-
Systemen. Egal ob Web-Farm oder kleiner
Online-Shop.
www.artofdefence.com
secXtreme GmbH
schützt Ihre Web-Anwendungen bis
auf Applikationsebene. Dazu gehört
sowohl die Prüfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen für Sicherheit im
Entwicklungsprozess und Schutzlösungen
(Web Application Firewalls) bei
����������������������������������
Mittelstand.
www.sec-Xtreme.com
x-cellent technologies
���������� ������������� ���� ���� ����������
leister und Beratungsunternehmen mit
���� �������������� ������������� �����
werkmanagement und Anwendungs-
������������ ������� ������� ������������
Leistungen sind: Audits, Penetrationstests,
����������������������� ���
����������������������
www.x-cellent.com
B1 Systems
Die B1 Systems ist international tätig
in den Bereichen Linux/Open Source
������������ ��������� ���� ��������� B1
Systems spezialisiert sich in den Bereichen
Virtualisierung und Cluster.
info@b1-systems.de
www.b1-systems.de
Blossey & Partner
Consulting Datenschutzbüro
Datenschutz ist EU-weit gesetzliche Anforderung.
Wir sorgen für die Erfüllung
rechtlicher Vorschriften und kümmern
uns um ein angemessenes Datenschutzniveau
in Ihrem Unternehmen,
auch international. Wir erledigen alle erforderlichen
Aufgaben, die Fäden behalten
Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.blossey-partner.de

Recommended Companies
NESEC
NESEC ist Ihr Spezialist für Penetrationstests,
Sicherheitsanalysen und
������������ ������������� ���� ������
������������� ������������ ���� ���� ���
cherheitsprüfungen Ihrer Netzwerke
und Webapplikationen sowie bei Source
Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
������������ ���� �������������� ���� ������
nehmen nach ISO 27001.
www.nesec.de
Seed Forensics GmbH
���� ����� ���������� ����� �������
für Strafverfolgungsbehörden professionelle
Unterstützung in den
Bereichen der Datensicherstellung
und Datenträgerauswertung. Selbstverständlich
entsprechen unsere
Mitarbeiter, unser technisches Equip-
0ment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.
www.seed-forensics.de
Protea Networks
������� ���� �������������� ���� ������������
Lösungen: Verschlüsselung, Firewall/
����� ������������������� ��������������
ring, etc. Wir bieten umfassende Beratung,
Vertrieb von Security-Hard- und
Software, Installation und umfangreiche
�����������������������������������������
nings). Protea setzt auf Lösungen der
������� ���� ������������������ ���� �����
dafür direkten inhouse-Support bereit.
www.proteanetworks.de
SecureNet GmbH, München
Als Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwendungen:
Anwendungs-Pentests, Sour-
���������������� ������� ������� ����
delines, Beratung rund um den Software
�����������������������������������������
Firewalls, Application Scanner, Fortify
��������������������
www.securenet.de
m-privacy GmbH
����������������������������������������
einfach zu bedienen!
So präsentieren sich die von m-privacy
������������� ������������������� �����
��������������� ���� ���������������
tesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
gezielten Angriffen!
www.m-privacy.de
OPTIMAbit GmbH
Wir sind Spezialisten für Entwicklung
���� ���������� ���� �������� ������ �����
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Dienste
umfassen Audits, Code Reviews,
Penetrationstest, sowie die Erstellung
von Policies. Zusätzlich bieten wir Semi-
�������������������������������������
www.optimabit.com
secadm
secadm ist durchtrainierter Spezialist für
Airbags, ABS und Sicherheitsgurte in der
���� ����� ����������������������� ���� ���
Mannjahren Erfahrung beraten, entwi-
������ ���� ��������������� ������������
für Kunden weltweit. Der Fokus liegt da-
���������������������������������������
und Security-Management. Risiko-Analyse,
die Sicherheitsberatung, Auditing, Security-Leitfäden,
Software-Entwicklung,
���������������������������
www.secadm.de
underground_8
secure computing gmbh
Wir entwickeln und vertreiben securi-
��� ����������� ���� ���� ��������� ��������
������� ������������ �������� ��������
und Antispam. Unsere Lösungen sind
hardwarebasiert und werden über Distributoren,
Reseller und Systemintegratoren
implementiert und vertrieben.
www.underground8.com