interview - Hackner Security Intelligence
interview - Hackner Security Intelligence
interview - Hackner Security Intelligence
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
�������������������<br />
Das Hauptthema dieser Ausgabe von Hakin9 ist Online-Banking. Es ist einfach,<br />
komfortabel und schnell: PC, Laptop oder Smartphone einschalten,<br />
Verbindung zur Hausbank herstellen und online die Geldgeschäfte erledigen.<br />
Aber wissen Sie welchen Phishing-Gefahren Sie beim Online-Banking ausgesetzt<br />
sind? Darüber erfahren Sie im Artikel von Ulrike Peter „Online-Banking:<br />
Wenn Phisher Daten angeln“.<br />
Was die Angriffsmethoden angeht, lesen Sie unbedingt den Artikel „USB<br />
Hacking: Nichts ist mehr sicher – neue Angriffswelle durch USB-Sticks.“,<br />
in dem Henrik Heigl erklärt, wie Sie mit einfachen und günstigen Mitteln einen<br />
Arduino basierenden USB Stick selbst für Ihre eigenen Bedürfnisse als<br />
Administrationswerkzeug oder Penetrations Testingtool erstellen können.<br />
In der Rubrik Abwehr warten auf Sie solche Artikel wie „ Web Application<br />
Firewall-Technologie dWAF: Schutz von Web-Infrastrukturen in verteilten, virtualisierten<br />
und Cloud-Umgebungen“ von Richard Wieneke und „Einführung eines<br />
Sicherheitsprozesses nach ISO/IEC 27001 – Nur für Großunternehmen?“ von<br />
Andreas Lentwojt.<br />
Wo liegen typische Fehler in der Unternehmenssicherheit? Auf was sollten<br />
Firmen besonders achten? Wie entwickelt sich heutzutage die Welt von SSL-<br />
�������������� ���� ������ ���� ������������ ��������� ���� ������������ ���� ����<br />
IT-Sicherheitsbranche aus? Wer und was ist CloudSafe? Auf diese und viele<br />
andere Fragen aus dem Bereich der Unternehmenssicherheit antworten unsere<br />
Gesprächspartner in Interviews, die in dieser Ausgabe von hakin9 besonders<br />
zu empfehlen sind.<br />
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts einfacher<br />
als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/<br />
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account<br />
����������� ����� �������� ���� �������� ������������ ��� ������� ���������������<br />
schickt.<br />
Ich hoffe, dass wir mir dieser Ausgabe Ihren Herausforderungen gewachsen<br />
sind.<br />
Viel Spaß beim Lesen!<br />
�������������������<br />
5/2009 HAKIN9<br />
4
INHALTSVERZEICHNIS<br />
FÜR EINSTEIGER<br />
6 Hosting – Übersicht & Einführung<br />
Thomas Höhn<br />
Hosting ist durch Outsourcing bei Firmen erst richtig<br />
bekannt geworden. Wesentlich bekannter ist das Web-<br />
Hosting, welches auch im Privatbereich durch die Domainregistrierung<br />
populär geworden ist. „to host“ bedeutet<br />
beherbergen oder aufnehmen.<br />
ABWEHR<br />
10 Web Application Firewall-Technologie dWAF:<br />
Schutz von Web-Infrastrukturen in verteilten,<br />
virtualisierten und Cloud-Umgebungen<br />
Richard Wieneke<br />
Web Application Firewalls sind fester Bestandteil von<br />
Compliance-Vorgaben oder Best Practises für die<br />
Absicherung von Web-Applikationen (1) . Auch Unternehmen<br />
mit einer virtualisierten Web-Infrastruktur<br />
können auf diesen State-of-the-art-Schutz nicht verzichten.<br />
Wie Unternehmen ihre WAFs (Web Application<br />
Firewall) mithilfe der dWAF (distributed WAF)-<br />
Technologie erfolgreich virtualisieren, und wie sie<br />
alle Vorteile der Virtualisierung – Skalierbarkeit, Flexibilität<br />
und optimale Ressourcennutzung – auch für<br />
den WAF-Bereich nutzen können, erklärt der folgende<br />
Artikel.<br />
herausgegeben vom Verlag:<br />
Software Press Sp. z o. o. SK<br />
Geschäftsführer: ���������������<br />
Managing Director: ��������������<br />
ewa.lozowicka@software.com.pl<br />
Chefredakteur:��������������������<br />
ilona.przybyslawska@software.com.pl<br />
Redaktion/Betatester:������������������������<br />
Thomas Höhn, Richard Wieneke, Andreas<br />
Lentwojt, Henrik Heigl, Ulrike Peter, Patrick<br />
Schmid, Michael Schratt, Klaus M. Rodewig,<br />
Michael Heinzl, Robert Lommen<br />
Produktion: Andrzej Kuca<br />
DTP: ����������������������<br />
Umschlagsentwurf: ����������������������<br />
Werbung: adv@software.com.pl<br />
Anschrift:<br />
Software Press Sp. z o.o. SK<br />
ul. Bokserska 1, 02-682 Warszawa, Poland<br />
Tel. +48 22 427 36 56, Fax +48 22 244 24 59<br />
www.hakin9.org/de<br />
Die Redaktion bemüht sich, dafür Sorge zu<br />
tragen, dass die in der Zeitschrift sowie auf<br />
den begleitenden Datenträgern erhaltenen<br />
Informationen und Anwendungen zutreffend<br />
und funktionsfähig sind, übernimmt jedoch<br />
keinerlei Gewähr für derer Geeignetheit für<br />
bestimmte Verwendungszwecke. Alle Markenzeichen,<br />
Logos und Handelsmarken, die<br />
sich in der Zeitschrift befinden, sind registrierte<br />
oder nicht-registrierte Markenzeichen<br />
der jeweiligen Eigenümer und dienen nur als<br />
inhaltliche Ergänzungen.<br />
9/2010<br />
14 Einführung eines Sicherheitsprozesses<br />
nach ISO/IEC 27001<br />
Nur für Großunternehmen?<br />
Andreas Lentwojt<br />
Immer mehr Unternehmen müssen sich mit dem Thema<br />
<strong>Security</strong> beschäftigen – sei es freiwillig, weil sie die<br />
Notwendigkeit eingesehen haben, oder weil sie von<br />
ihrem Marktumfeld (Kunden, Lieferanten, Gesetzgebung)<br />
dazu gezwungen werden.<br />
ANGRIFF<br />
20 USB Hacking: Nichts ist mehr sicher – neue<br />
Angriffswelle durch USB-Sticks<br />
Henrik Heigl<br />
Es sieht aus wie ein normaler USB Stick und kann innerhalb<br />
von wenigen Sekunden einen Computer infiltrieren<br />
ohne entdeckt oder geblockt zu werden. Was<br />
mancher Administratoren in Firmen oder Internet Cafés<br />
einen kalten Schauer über den Rücken fahren lässt ist<br />
nun Wirklichkeit geworden.<br />
Anmerkung!<br />
Die in der Zeitschrift demonstrierten Techniken<br />
sind AUSSCHLIEßLICH in eigenen Rechnernetzen<br />
zu testen! Die Redaktion übernimmt<br />
keine Haftung für eventuelle Schäden oder<br />
Konsequenzen, die aus der unangemessenen<br />
Anwendung der beschriebenen Techniken<br />
entstehen. Die Anwendung der dargestellten<br />
Techniken kann auch zum Datenverlust führen!<br />
hakin9 erscheint in folgenden Sprachversionen<br />
und Ländern: deutsche Version (Deutschland,<br />
Schweiz, Österreich, Luxemburg), französische<br />
Version (Frankreich, Kanada, Belgien, Marokko),<br />
spanische Version (Spanien, Portugal),<br />
polnische Version (Polen), englische Version<br />
(Kanada, USA)<br />
4 6/2010
INTERVIEW<br />
25 Interview mit Thomas <strong>Hackner</strong><br />
Durchführung und Nutzen von Sicherheitsanalysen<br />
in österreichischen Firmen. Was sind Tiger Team Assessments?<br />
Die technische Sicherheit von Gebäudesteuerungssystemen.<br />
Darüber erfahren Sie aus dem<br />
Interview mit Thomas <strong>Hackner</strong> - Geschäftsführer von<br />
HACKNER <strong>Security</strong> <strong>Intelligence</strong>.<br />
ANGRIFF<br />
29 Online-Banking:<br />
Wenn Phisher Daten angeln<br />
Ulrike Peter<br />
Es ist einfach, praktisch und schnell – PC, Laptop<br />
oder Smartphone an, Verbindung zur Hausbank herstellen<br />
und rasch online die Geldgeschäfte erledigen.<br />
Was soll schon passieren? Ein Trugschluss! Denn in<br />
Deutschland nehmen die Betrugsfälle im Zusammenhang<br />
mit Online-Banking drastisch zu. Eine Ursache:<br />
Sicherheit wird als selbstverständlich vorausgesetzt<br />
und den Bankinstituten zugeschrieben, eigene<br />
Schutzmaßnahmen ergreifen die wenigsten – eine<br />
verhängnisvolle Sorglosigkeit, die Hacker und Datendiebe<br />
antreibt.<br />
INTERVIEW<br />
32 Interview mit Christian Heutger<br />
„Ssl-Zertifikate sind eine Möglichkeit, den Gefahren im<br />
Internet wirkungsvoll zu begegnen“<br />
Mehr erfahren Sie aus dem Interview mit Christian<br />
Heutger Geschäftsführer und Gründer der PSW Group<br />
GmbH & Co. KG.<br />
InhaltsverzeIchnIs<br />
36 Interview mit Alexander Graf<br />
„<strong>Security</strong> ist immer ein ganzheitlicher Ansatz, hinter<br />
dem ein Konzept stehen muß und beginnt meist mit einer<br />
Ist-Erhebung, also einem harten IT Audit“<br />
Mehr erfahren Sie aus dem Interview mit Alexander<br />
Graf – einem der beiden Gründer von Antares NetlogiX<br />
und verantwortlich für Vertrieb & Technologie.<br />
39 Interview mit Robert Valerio<br />
„Fast alle Anbieter legen Nutzerdaten unverschlüsselt<br />
ab. Das ist sicherlich einfacher in der Handhabe und<br />
spart auch Ressourcen – aber damit sind die Daten nur<br />
so sicher, wie der Anbieter es schafft, interne und externe<br />
Zugriffe auf die Daten zu unterbinden.“ Mehr erfahren<br />
Sie aus dem Interview mit Robert Valerio – Geschäftsführer<br />
der Firma ClousSafe GmbH, Betreiber<br />
der Plattform cloudsafe.com<br />
ANGRIFF<br />
42 Java Applet Attacke mit SET<br />
Patrick Schmid<br />
Ein Angriff mit Java ist nicht nur dank plattformübergreifender<br />
Lauffähigkeit, sondern auch dank weiter<br />
Verbreitung sehr beliebt. Dank SET wird die Vorbereitung<br />
und die Ausführung einer Java Applet Attacke<br />
nun zu einem Kinderspiel.<br />
Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem<br />
deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen,<br />
möchten wir ankündigen, dass hakin9-Abwehrmethoden<br />
Magazin seinem Profil treu bleibt.<br />
Unser Magazin dient ausschließlich den Erkenntniszwecken.<br />
Alle im Magazin präsentierten Methoden sollen für eine sichere IT<br />
fungieren. Wir legen einen großen Wert auf die Entwicklung von<br />
einem sicheren elektronischen Umsatz im Internet und der Bekämpfung<br />
von IT Kriminalität.<br />
hakin9.org/de 5
6<br />
FÜR EINSTEIGER<br />
Hosting – Übersicht & Einführung<br />
Thomas Höhn<br />
Hosting ist durch Outsourcing bei Firmen erst richtig<br />
bekannt geworden. Wesentlich bekannter ist das Web-<br />
Hosting, welches auch im Privatbereich durch die<br />
Domainregistrierung populär geworden ist. „to host“<br />
bedeutet beherbergen oder aufnehmen.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
��� ����������������������������������������������������������chen<br />
Betrieb.<br />
Viele geschäftliche Anwendungen, die Firmen<br />
in ihrer täglichen Arbeit benötigen, werden gehostet.<br />
Dem User fällt es oftmals gar nicht auf,<br />
dass die Webapplikation nicht auf den eigenen Firmenservern<br />
läuft, sondern auf fremden Servern eines externen<br />
Dienstleisters.<br />
Outsourcen<br />
Um als Dienstanbieter „Hosting“ anbieten zu können, ist<br />
zu nächst einmal ein eigenes Rechenzentrum nötig. In<br />
diesem werden dann die Server oder die Serverfarm (je<br />
nach Größe) betrieben. Dieses Rechenzentrum sollte<br />
WAN<br />
Abbildung 1. Firmennetzwerk vereinfacht<br />
Firewall<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
��� ��������������������������<br />
natürlich den Anforderungen des Kunden genügen. Also<br />
von Maßnahmen zum Feuerschutz, Backups und die<br />
Lagerung außerhalb desselben Gebäudes, Ausfallzeiten<br />
der bereit gestellten Server bis hin zu den verwendeten<br />
Operating Systems (Windows, Unix, etc.), Firewalls<br />
sollte dies den Anforderungen entsprechen. Zu<br />
beachten sind natürlich auch die Sicherheiten zum Datenschutz<br />
(Stichwort: Industriespionage) als auch die<br />
Datenschutzrichtlinien des Landes, wo die Server in<br />
Betrieb sind. Es ist also relativ simpel „Outsourcing“ zu<br />
befürworten und damit die Firmenkosten (z.B. im Gegensatz<br />
zum eigenen Betrieb von Servern) wünschens-<br />
Server<br />
Server<br />
Server<br />
Server<br />
Client<br />
Client<br />
Client<br />
Client<br />
Client<br />
9/2010
Abbildung 2. Hosting vereinfacht<br />
wert zu senken, allerdings ist die Umsetzung hingegen<br />
nicht so simpel, will man den richtigen Dienstleister für<br />
dieses Vorhaben finden.<br />
Was passiert im Einzelnen?<br />
In Firmenumgebungen werden heutzutage Netzwerke<br />
eingesetzt, um User, Clients und auch Anwendungen<br />
zu verwalten. Dieses ist allgemein bekannt. Nun wird<br />
z.B. die Applikation, die bisher auf selbst betriebenen<br />
Servern den Usern für die tägliche Arbeit bereit gestellt<br />
wurde, auf die Server des externen Dienstleisters<br />
„ausgelagert“. Der Server des externen Dienstleisters<br />
wird also mit den Daten des Kunden bespielt.<br />
Nun greifen die User nicht mehr beim Start der Applikation<br />
auf die eigenen Server zu sondern auf die<br />
des Hosters. Dabei ist allerdings zu beachten, dass<br />
z.B. auch genügend Bandbreite zur Verfügung gestellt<br />
wird und die Applikation, die der Firma den Umsatz<br />
(und das Überleben) sichert, nicht zum Boomerang<br />
und zum Flaschenhals wird. Im schlechtesten<br />
Fall kann kein Mitarbeiter mehr arbeiten. Dabei geht<br />
es nicht allein um die Bandbreite, die der externe<br />
Dienstleister zur Verfügung stellt, sondern auch um<br />
die, die man sich selbst bei seinem Provider einkauft.<br />
Die Idee ist also recht einfach und gut, aber die Umsetzung<br />
dagegen umso schwieriger, will man es richtig<br />
machen. Dem User selbst ist egal, ob sein PC oder<br />
Laptop auf die eigenen Server zugreift oder nicht. Für<br />
ihn ist es nur wichtig, dass es auf die Applikation in<br />
akzeptabler Geschwindigkeit zugreift.<br />
Im Internet<br />
Firewall<br />
Hosting – Übersicht & Einführung<br />
WAN<br />
Server Server Server<br />
Server Server<br />
��http://www.hoehn-it-service.de����������������������<br />
Ebenso ist bei einer Umstellung zu bedenken, dass<br />
alle Clients bearbeitet werden müssen, in dem z.B. die<br />
Verlinkung zur Applikation geändert werden muss. Wo<br />
ein funktionierendes und gepflegtes Netzwerk vorhanden<br />
ist, ist hier eindeutig im Vorteil. Auch sind solche<br />
Kosten der Umstellung bei den Berechnungen für oder<br />
gegen eine Ausgliederung mit einzukalkulieren.<br />
Hinzu kommt auch noch, wie die Daten zwischen den<br />
Servern und den Clients übertragen werden. Kaum eine<br />
international agierende Firma wird seine Daten unverschlüsselt<br />
durch das Netz schicken.<br />
Angebote<br />
Die Hoster bieten Ihre Dienstleistung angepasst für jeden<br />
Kunden an. Neben Standardangeboten von z.B.<br />
Webhosting (Domains) im Privatbereich bis hin zu Komplettlösungen<br />
lässt sich alles finden. Natürlich findet<br />
man „sein“ Angebot für seine Firma nicht bei den Standardangeboten,<br />
sondern ist gezwungen über die individuellen<br />
Dienstleistungen zu verhandeln, um seinen<br />
selbst gesteckten Anforderungen gerecht zu werden.<br />
Fazit<br />
Alles in allem eine schon lange praktizierte Möglichkeit,<br />
um Dienstleistungen im IT-Bereich extern einzukaufen<br />
bzw. auszulagern. Allerdings ist die Suche nach dem für<br />
sich passenden Anbieter langwierig und sollte gut überlegt<br />
sein, aber wer den Weg konsequent geht, findet am Ende<br />
eine individuelle Dienstleistung speziell für seine Firma.<br />
hakin9.org/de 7<br />
Firewall<br />
Server<br />
Server<br />
Client<br />
Client<br />
Client<br />
Client<br />
Client<br />
THOMAS HÖHN<br />
Der Autor ist Microsoft Certifed Technology Specialist und IT-<br />
Freelancer.<br />
Kontakt mit dem Autor: thomas.hoehn@hoehn-it-service.de
8<br />
Um neben der Secure Sockets Layer (SSL)-Technologie<br />
den Schutz bei Online-Geschäften zu gewährleisten,<br />
hält die PSW GROUP VeriSign Identity<br />
Protection for Mobile (VIP Mobile) bereit. VIP Mobile<br />
begegnet durch eine Zwei-Faktor-Authentifizierung der<br />
zunehmenden Vorsicht von Verbrauchern aufgrund des<br />
ständig steigenden Online-Betrugs. Bei der Zwei-Faktor-<br />
Authentifizierung bestätigen Benutzer ihre Identität anhand<br />
zweier Faktoren. Zum einen durch etwas, was ihnen<br />
bekannt ist, wie Benutzername oder Passwort, und<br />
durch etwas, das sich in ihrem Besitz befindet, etwa ein<br />
Gerät, welches ein Einmalpasswort generiert. Mit VIP<br />
Mobile stellt die PSW GROUP nun eine kostengünstige<br />
und einfache Zwei-Faktor-Authentifizierung zur Verfügung.<br />
Diese Anwendung verwandelt ein Mobiltelefon in<br />
ein mobiles Token, welches absolut sichere Transaktionen<br />
mit entsprechenden Unternehmen ermöglicht.<br />
In Zusammenarbeit mit der Mentana Claimsoft AG bietet<br />
die PSW GROUP zudem ab 0,045 € pro Signatur / Verifikation<br />
einen ASP-Dienst für qualifizierte elektronische<br />
Signaturen (QES) an. Der ASP-Dienst dient primär der<br />
Erfüllung geltender deutscher Rechtsvorschriften nach §<br />
14 UStG bezüglich der Übermittlung elektronischer Rechnungen<br />
mit qualifizierter digitaler Signatur. Darüber hinaus<br />
erfordert ein ASP-Dienst keine zusätzliche Software, keinen<br />
Kartenleser und keine Signaturkarten, sondern lediglich<br />
einen Mailclient bzw. eine Web- / SOAP-Schnittstelle.<br />
Ein weiterer Vorteil des Anwendungsdienstes ist die Möglichkeit,<br />
die Verifikation der jeweiligen Signatur durch eine<br />
dritte Person ausliefern zu lassen. Eine eigene Auslieferung<br />
einer Verifikation wäre sonst rechtlich nicht zulässig.<br />
Höchste Sicherheit gepaart mit modernster Server-Technologie<br />
liefert ab 0,40 € pro GB Datentransfer auch das Secure<br />
Content Delivery Network (Secure CDN). Ein CDN ist<br />
ein Geflecht über das Internet verbundener Server, das eine<br />
Auslieferung statischer Inhalte wie Grafiken, Bilder und<br />
JavaScripts vom nächstgelegenen Server aus ermöglicht.<br />
Die Folge: Schnelleres Laden großer Datenaufkommen erhöht<br />
nicht nur den Spaß des Users auf der Site, sondern<br />
führt auch zu einer besseren Indizierung der Websites<br />
durch Suchmaschinen. Da die Auslieferung solcher Inhalte<br />
zumeist für Onlineshops oder ähnlich geartete Seiten erfolgt,<br />
beinhaltet das Secure CDN der PSW GROUP eine<br />
NEWS<br />
Höchste IT-Sicherheit gepaart mit<br />
modernster Server-Technologie<br />
PSW GROUP GmbH & Co. KG<br />
Fulda, 27. September 2010. Das IT-<strong>Security</strong>unternehmen<br />
PSW GROUP GmbH & Co. KG aus Fulda bietet ab sofort<br />
abrundend zu SSL-Zertifikaten mehrere Dienstleistungen<br />
und Produkte für Hoster zum Weiterverkauf an.<br />
sichere Auslieferung der Inhalte mittels HTTPS. Mit dem<br />
Local Presence Service für Österreich, Schweiz und den<br />
Niederlanden hält die PSW GROUP ab 10 € pro Monat zudem<br />
eine Lösung bereit, in auch dynamisch generierte Inhalte<br />
von lokalen Servern auszuliefern, als hätte man Präsenzen<br />
in den jeweiligen Ländern vor Ort.<br />
Bereits eine Stufe vor der SSL-Zertifizierung stellt das sogenannte<br />
DNSSEC (Domain Name System <strong>Security</strong> Extensions)<br />
sicher, dass man auf den richtigen Server zugreift<br />
und nicht von einem DNS-Spoofing - also einer entsprechenden<br />
Verfälschung - auf eine Site gelenkt wird, die nicht<br />
der tatsächlichen entspricht, um Informationen abzufangen.<br />
Bei DNSSEC werden die Einträge im DNS (Domain Name<br />
System) mittels eines privaten Schlüssels (private Key) signiert.<br />
Die Teilnehmer des Domain Name Systems (DNS)<br />
können anschließend diese Unterschrift mit Hilfe des öffentlichen<br />
Schlüssels (public Key) des Besitzers validieren und<br />
damit umgehend und zweifelsfrei deren Authentizität und<br />
Integrität überprüfen. Um die Möglichkeit von DNSSEC<br />
(Domain Name System <strong>Security</strong> Extensions) entsprechend<br />
realisieren zu können, bietet die PSW GROUP ab 0,25 €<br />
pro DNS-Zone neben den eigentlichen DNSSEC-fähigen<br />
DNS-Servern nun einen Dienst an, mit dem sich DNS-Einträge<br />
synchronisieren und signieren lassen.<br />
Zu äußerst attraktiven Preisen ab einem Betrag von 2,-<br />
Euro brutto verkauft die PSW GROUP zudem Mietlizenzen<br />
für Parallels-Software, dem Marktführer im Bereich Virtualisierung<br />
und Automatisierung. Unter diesen Parallels-Lizenzen<br />
finden sich Confixx-Lizenzen ab 4,- €, Plesk-Lizenzen<br />
ab 2,- € und Plesk Sitebuilder-Lizenzen ab 12,- €.<br />
Weitere Informationen finden Sie auch unter www.psw.net<br />
Kontakt<br />
kreativ³…die Werbemacher -Agentur für Kommunikation<br />
Thomas Schmitt<br />
Am Kreuzweg 18, 97724 Bad Neustadt<br />
Tel.: 09733 / 7 83 89 14<br />
Mail: info@kreativhochdrei.com<br />
PSW GROUP GmbH & Co. KG<br />
Christian Heutger<br />
Flemingstraße 20, 36041 Fulda<br />
Tel.: 0661 / 480276-10<br />
Mail: support@psw.net<br />
9/2010
2010<br />
www.sigs-datacom.de<br />
Kontakt: Anja Keß, · Lindlaustraße 2c, D-53842 Troisdorf,<br />
Tel.: +49 (0) 22 41 / 23 41-201 · Fax: +49 (0) 22 41 / 23 41-199 · Email: anja.kess@sigs-datacom.de<br />
Erfolgreich durch Wissensvermittlung aus 1. Hand<br />
� Die ultimative Hacking-Akademie<br />
� Erfolgreiche Abwehr von Hacker-Angriffen und<br />
sicherer Schutz Ihres Netzwerks<br />
Klaus Dieter Wolfinger<br />
20. – 22. September 2010<br />
03. – 05. November 2010, Frankf./M. 2.150,- € zzgl. MwSt.<br />
� Best Practices für sichere Web-Anwendungen<br />
� Sicherheitslücken in Webanwendungen vermeiden,<br />
erkennen und schließen – gemäß Empfehlung des BSI<br />
Thomas Schreiber<br />
25. – 26. Oktober 2010, Düsseldorf<br />
08. – 09. Dezember 2010, München 1.590,- € zzgl. MwSt.<br />
� Sicherheit mit WebService-Infrastrukturen<br />
Jörg Bartholdt<br />
25. – 26. Oktober 2010,<br />
22. – 23. November 2010, München 1.590,- € zzgl. MwSt.<br />
� Cloud Computing im praktischen Einsatz<br />
Arnd Kleinbeck & Stefan Tilkov<br />
24. Oktober 2010, München<br />
10. Dezember 2010, Köln 990,- € zzgl. MwSt.<br />
� iPhone Grundlagen und Entwicklung<br />
Hendrik Schreiber<br />
11. – 12. Oktober 2010, Köln<br />
11. – 12. Dezember 2010, Köln 1.590,- € zzgl. MwSt.<br />
www.sigs-datacom.de<br />
� NEU – jetzt 3-tägig:<br />
CSM Certified ScrumMaster Course<br />
� Voraussetzung für die Zertifizierung zum Scrum Master<br />
Sabine Canditt<br />
25. – 27. Oktober 2010, München<br />
07. – 09. Dezember 2010, München 2.150,- € zzgl. MwSt.<br />
� Secure Coding mit Java EE<br />
� Entwicklung einbruchssicherer Webanwendungen<br />
und Webservices unter Java EE<br />
Mirko Richter<br />
26. – 27. Oktober 2010,<br />
06. – 07. Dezember 2010, München 1.590,- € zzgl. MwSt.<br />
� Web Application Firewall Starter<br />
� Essentielles Web Application Firewall Grundwissen<br />
Achim Hoffmann<br />
17. November 2010, München 990,- € zzgl. MwSt.<br />
� Advanced Web Application <strong>Security</strong> Testing<br />
� Professionelle Sicherheitsuntersuchungen von<br />
Enterprise-Webanwendungen durchführen<br />
Thomas Schreiber<br />
01. – 02. Dezember 2010, München 1.590,- € zzgl. MwSt.<br />
www.sigs-datacom.de
10<br />
Virtualisierung: der Kostensenker im<br />
Rechenzentrum<br />
Virtualisierung senkt die Gesamtbetriebskosten für Rechenzentren<br />
enorm, da vorhandene Hardware-Ressourcen<br />
besser ausgenutzt werden. Zusätzlich sinken<br />
die Folgekosten wie Raummiete, Strom, Kühlung und<br />
so weiter. Dazu kommen noch Verbesserungen beim<br />
Verwalten und Managen der IT. Als Nachteil ist zu bedenken,<br />
dass eine virtualisierte Infrastruktur komplexer<br />
sein kann als eine nicht-virtualisierte. Damit steigt die<br />
Gefahr von Fehlkonfigurationen, und bei Problemen<br />
nimmt die Fehlersuche mehr Zeit in Anspruch. Um dem<br />
entgegenzuwirken, ist es wichtig, bei der Auswahl der<br />
zu virtualisierenden Bausteine auf Managebarkeit zu<br />
achten – ein Imperativ, der für große Rechenzentren<br />
oder verteilte Web-Infrastrukturen bereits gilt.<br />
Grundsätzlich kann man sagen: Je mehr Infrastrukturelemente<br />
virtualisiert werden, desto höher ist der<br />
Kostenvorteil. Leider gibt es noch nicht für alle Komponenten<br />
der IT-Infrastruktur ausgereifte Lösungen<br />
am Markt; das gilt besonders für Appliance-basierte<br />
IT-Sicherheitskomponenten, also auch Web Application<br />
Firewalls (WAF). WAFs erkennen unter anderem<br />
Angriffsversuche im Payload von Requests und schließen<br />
damit eine Lücke, die IT-Sicherheitstechnologien<br />
wie Netzwerk-Firewalls oder IPS (Intrusion-Prevention-Systeme)<br />
offen lassen. Dabei setzen sie meist auf<br />
Kombinationen aus Whitelist-/Blacklist- und Greylist-<br />
Verfahren, Mustererkennung bekannter Angriffe und<br />
ABWEHR<br />
Web Application Firewall-Technologie dWAF:<br />
Schutz von Web-Infrastrukturen in verteilten, virtualisierten<br />
und Cloud-Umgebungen<br />
Web Application Firewalls sind fester Bestandteil von Compliance-Vorgaben<br />
oder Best Practises für die Absicherung von Web-Applikationen (1) Richard Wieneke<br />
. Auch<br />
Unternehmen mit einer virtualisierten Web-Infrastruktur können auf diesen<br />
State-of-the-art-Schutz nicht verzichten. Wie Unternehmen ihre WAFs (Web<br />
Application Firewall) mithilfe der dWAF (distributed WAF)-Technologie<br />
erfolgreich virtualisieren, und wie sie alle Vorteile der Virtualisierung –<br />
Skalierbarkeit, Flexibilität und optimale Ressourcennutzung – auch für den<br />
WAF-Bereich nutzen können, erklärt der folgende Artikel.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
�� ����������������������������������������������������������alisierten<br />
Infrastrukturen<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
�� ���������������������������������������������������<br />
statistische Methoden, aber auch auf die Analyse einzelner<br />
Sessions, um Auffälligkeiten zu entdecken. Zudem<br />
übernehmen einige der am Markt befindlichen Lösungen<br />
weitere Sicherheitsfunktionen wie ein sicheres<br />
Session-Management oder die sogenannte URL-Encryption.<br />
Wenn auch WAFs virtualisiert werden, bringt<br />
dies weitere Einsparungen bei Hardware und Lizenzkosten.<br />
Ein Beispiel: Steigt der zu verarbeitende Web-Traffic,<br />
weil eine E-Commerce-Applikation stärker als erwartet<br />
genutzt wird, fallen für nicht-virtualisierte WAFs<br />
unter Umständen deutlich höhere Lizenzkosten an;<br />
oderWAFs müssen erneuert werden, um Performance-<br />
Engpässe durch den berühmten Flaschenhals auszuräumen.<br />
Die Folgen: höhere Hardware- und Lizenzkosten,<br />
interne Kosten für das Migrationsprojekt und<br />
potenzielle Mehrarbeit für neue WAF-Regelwerke.<br />
dWAF-Technologie: der Grundgedanke<br />
Mit der dWAF-Technologie gibt es eine erprobte WAF-Technologie<br />
für verteilte und virtualisierte Infrastrukturen (2) . Basis<br />
der dWAF-Technologie ist der verteilte WAF-Ansatz<br />
– dWAF steht für distributed WAF. Die Grundidee ist eine<br />
modulare Software-Architektur, deren Komponenten<br />
auf mehreren Systemen verteilt implementiert sind,<br />
aber durch ein zentrales Management gesteuert werden<br />
können. Damit transportiert der Begriff dWAF mehr<br />
als das Konzept einer WAF als virtuelle Appliance: Eine<br />
WAF als „Virtual Appliance“ ist in einer virtuellen Umge-<br />
9/2010
ung lauffähig; diese virtuelle Instanz muss dabei allerdings<br />
alle notwendigen Aufgaben einer WAF ausführen<br />
und ist damit in der Regel ressourcenintensiv. Im Unterschied<br />
dazu steht der verteilte dWAF-Ansatz, bei dem<br />
pro virtuelle Instanz der passenden Web-Infrastruktur-<br />
Komponente – beispielsweise dem Webserver – nur ein<br />
kleines Modul aufgeschaltet wird. Größere und rechenintensivere<br />
Funktionen der WAF sind dagegen auf eine<br />
andere Komponente ausgelagert.<br />
dWAF-Technologie: Kernmodule als<br />
Grundlage für verteiltes WAF-Deployment<br />
Die Kernfunktionen von Web Application Firewalls sind<br />
im dWAF-Konzept strikt in drei Kernmodule getrennt:<br />
Der „Enforcer“ ist ein sehr kleines Modul, das sich<br />
als Software-Plug-in in eine Komponente der Web-Infrastruktur<br />
integrieren lässt. Das kann ein Web-Server,<br />
Application Server, Reverse Proxy, Load Balancer oder<br />
eine Netzwerk-Firewall sein. Er leitet alle <strong>Security</strong>-relevanten<br />
Bestandteile von Anfragen und Antworten, die via<br />
Web-Anwendung zwischen User und Backend-System<br />
ausgetauscht werden, an den sogenannten „Decider“<br />
weiter; anschließend gibt er die Entscheidung des Decider<br />
an die jeweilige Infrastuktur-Komponente zur Umsetzung<br />
zurück. Der Enforcer fungiert so als das Bindeglied<br />
zwischen der Web-Infrastruktur und den Entscheidungskomponenten.<br />
Zu wahrnehmbaren Verzögerungen in der<br />
Request-Verarbeitung kommt es dabei nicht: Die Latenzzeit<br />
für die Kommunikation zwischen Enforcer- und Decider-Instanzen<br />
innerhalb derselben Cloud-Infrastruktur<br />
liegt bei circa 20 bis 60 Millisekunden.<br />
Der „Decider“ ist eine separate Instanz, die die <strong>Security</strong>-Policys<br />
pro Web-Applikation überwacht. Er erhält<br />
Informationen zu eingehenden Requests vom Enforcer<br />
und entscheidet, wie mit den User-Requests und Backend-Responses<br />
verfahren wird. Die getroffene Entscheidung<br />
gibt er zur Umsetzung an den Enforcer zurück.<br />
Für die Entscheidung greift der Decider unter anderem<br />
auf Blacklists zu bekannten Angriffen, speziell definierte<br />
Whitelists und applikationsspezifische Rule Sets<br />
zurück. Jeder Request/Response durchläuft dabei im<br />
Decider eine Kette von Handlern, die verschiedene Teilbereiche<br />
der Request/Response-Daten überprüfen. Ein<br />
Handler kann dabei etwas Einfaches prüfen, zum Beispiel<br />
sicherstellen, dass nur HTTP/1.1 verarbeitet werden<br />
soll. Ein etwas komplexerer Handler kann sich um<br />
Cookies oder Session-IDs kümmern. Somit kann zum<br />
Beispiel die aktuelle Schwachstelle im AES-Algorithmus<br />
des ASP.NET-Frameworks ([MSA-2416728]/[CVE-<br />
2010-3332] – s. (3) – einfach und elegant abgeschirmt<br />
werden, indem die Session-Daten durch eine hyperguard-eigene<br />
Session ohne vertraulichen Inhalt ersetzt<br />
werden. Der Decider arbeitet dabei transparent für Client<br />
und Server und tauscht im Request- und Response-<br />
Fall die jeweiligen Session-Daten aus.<br />
Web Application Firewall-Technologie dWAF<br />
Der Decider ist der ressourcenintensivste Teil in der<br />
WAF-Architektur. Seine Anforderungen an die physische<br />
oder virtuelle Maschine, auf der er installiert ist, hängen<br />
direkt von Art und Anzahl der Requests, also vom Traffic,<br />
sowie von den jeweils konfigurierten <strong>Security</strong>-Policys<br />
ab. In der praktischen Umsetzung ist der Decider<br />
hochgradig skalierbar: So lässt er sich beispielsweise<br />
auf einem oder vielen Prozessoren gleichzeitig einsetzen,<br />
oder mehrere Decider-Instanzen können parallel<br />
auf verschiedenen physikalischen oder virtuellen Maschinen<br />
arbeiten und so eine verteilte Infrastruktur abdecken.<br />
Besonders ressourcenschonend ist die dWAF-Architektur,<br />
da mehrere Enforcer-Module mit einer Decider-<br />
Instanz sprechen können: Die Enforcer benötigen dabei<br />
nur wenig Leistung auf ihren jeweiligen Host-Systemen,<br />
die CPU-intensiven Prozesse des Decider fallen dagegen<br />
nur für die deutlich geringere Zahl an zentralen<br />
oder dezentralen Instanzen an. Als sogenannte „Decider<br />
Cloud“ kann die Anzahl der Entscheidungskomponenten<br />
in einer geeigneten virtuellen Infrastruktur zudem<br />
je nach Bedarf vergrößert und – bei geringerer<br />
Auslastung – wieder verkleinert werden.<br />
Als drittes Modul schließlich läuft auch die „Administration“<br />
unabhängig von Enforcer und Decider. Sie<br />
kann je nach Bedarf auf einem zentralen Server installiert<br />
oder dezentral auf mehrere verteilt sein. Die WAF-<br />
Administration setzt die Enterprise-Anforderungen<br />
an WAF-Einrichtung und -Pflege, Monitoring und Reporting<br />
um: Der für den Schutz einer Web-Applikation<br />
Verantwortliche kann damit zentral Policies für alle<br />
WAF-Decider definieren oder anpassen, Regelwerke<br />
für einzelne Applikationen überprüfen und auf weitere<br />
Anwendungen verteilen. Dank der Multi-Admin-Fähigkeit<br />
können die zuständigen WAF-Admins rollenbasiert<br />
zudem Zugriffsrechte auf granularer Ebene an die entsprechenden<br />
Verantwortlichen vergeben, damit zum<br />
Beispiel Applikationsverantwortliche selbst <strong>Security</strong>-Policies<br />
anwendungsspezifisch anpassen oder Auditoren<br />
Enforcer<br />
Decider<br />
Abbildung 1. Kernmodule einer WAF<br />
hakin9.org/de 11<br />
Admin
12<br />
leicht Einsicht nehmen können. Cloud-Anbieter können<br />
die Administration für Endkunden über REST-basierte<br />
Schnittstellen einbinden und zum Beispiel Abrechnungsdaten<br />
abrufen.<br />
Wem nutzt die dWAF-Technologie?<br />
Erstens profitieren Unternehmen von der dWAF-Technologie,<br />
die ihre physikalischen Infrastrukturen ganz<br />
oder teilweise auf eine virtualisierte Umgebung umstellen.<br />
Mit einer möglichst durchgehenden Virtualisierung<br />
der Infrastruktur erreichen sie größere Kosten- und<br />
Ressourceneinsparungen. Unternehmen, die ihre Infrastruktur<br />
bereits virtualisiert haben, könnten die dWAF-<br />
Technologie mittelfristig in einer zweiten Virtualisierungswelle<br />
einsetzen, damit IT-<strong>Security</strong>-Komponenten<br />
bei steigendem Traffic nicht zu Flaschenhälsen werden.<br />
Nach der Logik des Skaleneffektes wird die dWAF-<br />
Technologie natürlich umso interessanter, je größer<br />
die Web-Infrastruktur ist; besonderes Einsparpotenzial<br />
gibt es deswegen auch für Unternehmen, die intern eine<br />
sogenannte „Private Cloud“ aufbauen wollen – dafür<br />
ist ein virtualisiertes Rechenzentrum die technische<br />
Grundlage. Für Outsourcing-Anbieter beziehungsweise<br />
Hosting- oder Cloud-Provider lohnt sich der Einsatz von<br />
dWAFs deswegen besonders.<br />
Und jenseits von virtualisierten Infrastrukturen gedacht:<br />
Auch Unternehmen mit nicht-virtualisierten Infrastrukturen<br />
profitieren von der dWAF-Technologie<br />
Enforcer<br />
Enforcer<br />
Enforcer<br />
Enforcer<br />
ABWEHR<br />
Decider<br />
Decider<br />
Decider<br />
– selbst wenn sie keine Virtualisierungspläne haben.<br />
Schließlich sind einfache Skalierbarkeit und hohe Flexibilität<br />
der WAF-Umgebung auch in großen oder verteilten<br />
Infrastrukturen erstrebenswert.<br />
Wenn nicht nur der Traffic, sondern auch die Anzahl<br />
der Web-Applikationen im Unternehmen steigt, ist die<br />
Web-Infrastruktur mit einer dWAF ebenfalls gut erweiterbar:<br />
Hier greift der Vorteil, dass sie viele Regelwerke<br />
verwalten kann und damit die Ausbaufähigkeit sichert.<br />
Da die dWAF auch in sehr heterogenen Umgebungen<br />
„lebt“ und mit vielen Komponenten zusammenarbeitet,<br />
passt sie sich der jeweils existierenden Infrastruktur an.<br />
Damit bringt sie auch Unternehmen, die eine gemischte<br />
Software- oder Hardwarebasis haben oder für die ein<br />
Virtualisierungsprojekt mittelfristig eine Option ist, deutliche<br />
Vorteile.<br />
Hinzukommt: Aufgrund der hohen Anforderungen verfügt<br />
eine dWAF über eine sehr mächtige Administration,<br />
die beim zentralen Management von vielen „klassischen“<br />
WAF-Instanzen ebenso ihre Vorzüge ausspielt.<br />
Und schließlich ist es möglich, die Decider-Cloud auf<br />
fest definierter und entsprechend dimensionierter Hardware<br />
laufen zu lassen, was auch in nicht-virtualisierten<br />
Umgebungen Skalierbarkeit und Flexibilität erhöht.<br />
Der modulare Ansatz erlaubt es zudem, zum Beispiel<br />
einige WAF-Instanzen als Hardware-Appliances<br />
und einige als virtualisierte Instanzen zu betreiben. Dabei<br />
können alle diese Instanzen zentral von dezidierten<br />
Decider<br />
Decider<br />
Decider<br />
Admin<br />
Admin<br />
Enforcer<br />
Abbildung 2. Distributed Web Application Firewall (dWAF) hyperguard – Beispiel der Amazon-Cloud-Implementierung<br />
9/2010
WAF- beziehungsweise Applikationsverantwortlichen<br />
administriert werden – besonders interessant für IT-Infrastrukturen,<br />
die über eigene Rechenzentren und weitere<br />
Hosting- oder Outsourcing-Partner verteilt sind.<br />
dWAF – Gerüstet für die Zukunft<br />
Zusammenfassend lässt sich sagen, dass eine WAF-<br />
Infrastruktur auf Basis der dWAF-Technologie ein sehr<br />
flexibles WAF-Deployment ermöglicht. Sie ist problemlos<br />
skalierbar, beispielsweise wenn Web-Anwendungen<br />
mit niedrigerer Priorität ebenfalls WAF-Schutz bekommen<br />
sollen; wenn über die nächsten Jahre neue Online-<br />
Angebote hinzukommen, die bei der Anschaffung der<br />
WAF noch nicht vorgesehen waren; oder wenn Cloud-<br />
Service-Provider ihren Kundenstamm ausbauen und<br />
die Infrastruktur erweitern. Dank dieser Skalierbarkeit<br />
bildet die WAF bei steigendem Traffic keinen Flaschenhals,<br />
und es entstehen keine zusätzlichen Kosten für<br />
neue Sicherheits-Hardware.<br />
Ein möglichst hohes Sicherheitsniveau ist sicherlich<br />
eine der Grundvoraussetzungen, damit Virtualisierung,<br />
Private Clouds oder Services aus der Public Cloud in<br />
Deutschland Anerkennung finden. Technologien wie<br />
der dWAF-Ansatz sind ein Baustein, um die Datensicherheit<br />
in Applikationen zu gewährleisten.<br />
Nachweise:<br />
(1) siehe hier:<br />
��� ����������� �������� ��������������������� ��� ��������� ���<br />
BSI-Forum 3-2010, abrufbar als pdf (https://www.bsi.<br />
��������������������������������������������������<br />
�������������������������������������������<br />
��� ����������������������������������������������<br />
��� ��������������������������������������������������������<br />
�����������������������������������������������������������<br />
ce.org/guidance/csaguide-dom10-v2.10.pdf )<br />
��������������������������������������������������������<br />
�����������������������<br />
(3) [MSA-2416728] https://www.microsoft.com/technet/security/<br />
advisory/2416728.mspx� ����������������� http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3332<br />
RICHARD WIENEKE<br />
Der Autor ist Head of Sales bei art of defence. Das Regensburger<br />
Unternehmen bietet Sicherheitsprodukte für den gesamten<br />
Applikationslebenszyklus von Web-Anwendungen an.<br />
hakin9.org/de
14<br />
Kapitel 1 – Einführung<br />
Häufig ist der erste Gedanke: "Ich habe doch eine<br />
Firewall und Anti-Viren-Programme in Einsatz", doch<br />
<strong>Security</strong> im Unternehmen geht weit über diesen technischen<br />
Aspekt hinaus. Wer das Thema <strong>Security</strong> in seinem<br />
Unternehmen ganzheitlich angehen will, kommt<br />
nicht umhin, sich mit einem ISMS – einem Information<br />
<strong>Security</strong> Management System – zu beschäftigen. Ein<br />
ISMS regelt umfassend, was in einer Organisation er-<br />
ABWEHR<br />
Einführung eines Sicherheitsprozesses<br />
nach ISO/IEC 27001<br />
Nur für Großunternehmen?<br />
Andreas Lentwojt<br />
Immer mehr Unternehmen müssen sich mit dem Thema<br />
<strong>Security</strong> beschäftigen – sei es freiwillig, weil sie die<br />
Notwendigkeit eingesehen haben, oder weil sie von ihrem<br />
Marktumfeld (Kunden, Lieferanten, Gesetzgebung) dazu<br />
gezwungen werden.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
�� ����� ���� ����������� ������ ��������������������� ����� ��������<br />
27001 im Unternehmen<br />
Abbildung 1. IT-Governance-Pyramide (Bildquelle: InfoGuard)<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
�� ����������� ���� ������������ ��������� ����������� ��������<br />
(ISMS)<br />
laubt ist und was nicht, wer welche Aufgaben hat und<br />
wie diese umzusetzen sind. Ein ISMS ist ein umfangreiches<br />
Führungsinstrument, dessen Prozess aus zahlreichen<br />
Einzelschritten besteht. Nicht zuletzt dient das<br />
ISMS der Unternehmensführung dazu, wichtige Haftungsrisiken<br />
aufgrund von Organisationsverschulden<br />
(Compliance-Verstoß) zu verringern oder sogar ganz<br />
auszuschließen. Letztendlich ist ein ISMS integraler<br />
Bestandteil der IT-Governance-Pyramide.<br />
9/2010
Einführung eines Sicherheitsprozesses nach ISO/IEC 27001<br />
Kapitel 2 – Der Standard<br />
Für ein ISMS gibt es sowohl nationale, wie auch internationale<br />
Richtlinien. In Deutschland stellt das BSI (Bundesamt<br />
für Sicherheit in der Informationstechnik) mit den im<br />
IT-Grundschutz formulierten Standards 100-1 bis 100-4<br />
ein recht unfassendes Regelwerk zur Verfügung, mit dem<br />
sowohl das aktuelle Sicherheitsniveau ermittelt, als auch<br />
die Maßnahmen zur Verbesserung durchgeführt werden<br />
können. Ein Zertifikat nach BSI ist aber für international<br />
agierende Unternehmen i.d.R. nicht brauchbar, hier wird<br />
nach dem international gültigen Standard ISO/IEC 27001<br />
verlangt. Dabei ist der Aufwand bei der Implementierung<br />
deutlich geringer als beim Grundschutz, da der Schwerpunkt<br />
auf der Organisation selbst und den Prozessen liegen<br />
und nicht auf den technischen Maßnahmen.<br />
Der Standard basiert auf 11 Kapiteln („Controls“), welche<br />
in der folgenden Grafik dargestellt sind.<br />
Wie diese „Controls“ gehandhabt werden, wird in Kapitel<br />
3 näher beschrieben.<br />
In der ISO/IEC 27001 wird die Verantwortung der Unternehmensführung<br />
beschrieben. Die Informationen<br />
werden hier als Teil der Vermögenswerte (Assets) von<br />
Unternehmen beschrieben, wobei alle Arten von Informationen<br />
Berücksichtigung finden:<br />
�� ����������<br />
�� �����������������<br />
�� ��������������������������<br />
�� �������������������������������������<br />
�� ��������������������������������������<br />
�� ������<br />
Abbildung 2. Deming-Zyklus (Bildquelle: Wikipedia)<br />
Der Ansatz der ISO/IEC 27001 ist stark Risiko- und<br />
Prozess-orientiert. Generische Ansätze zur Umset-<br />
����������������������������������������������������<br />
����� ��� ������ ���� ���� ������ ��������������������<br />
��� ���� ������� ������ ���� ����� ���������� ���� ����<br />
��������������� �������������� ������� ���� ���� ���� �����<br />
27001.<br />
Ein ISO 27001-Zertifikat kann ausschließlich<br />
durch akkreditierte Zertifizierungsinstitutionen (u.a.<br />
TÜV, Dekra) erteilt werden, welche international anerkannt<br />
sind. Das Zertifikat ist 3 Jahre gültig. Während<br />
der Gültigkeitsdauer werden zwischenjährliche<br />
Überprüfungen (Überwachungs-Audits) durchgeführt.<br />
Kapitel 3 – Die Phasen<br />
Was muss nun eine Organisation alles unternehmen,<br />
um ein ISMS einzuführen? Ausgangsbasis sind die definierten<br />
Schutzziele.<br />
Bei der Informations-Sicherheit werden drei Schutzziele<br />
in den Vordergrund gestellt:<br />
�� Vertraulichkeit: Sicherstellen, dass nur autorisierte<br />
Personen/Systeme Zugang zu den Informationen<br />
bekommen<br />
�� Integrität: Schützen der Genauigkeit und Vollständigkeit<br />
der Informationen und der Verarbeitungsmethoden<br />
�� Verfügbarkeit: Sicherstellen, dass autorisierte<br />
Nutzer Zugang zu den Informationen und zugehörigen<br />
Systemen bekommen, wenn dieser benötigt<br />
wird<br />
hakin9.org/de 15
16<br />
Ein weiteres Schutzziel, welches in der Norm immer<br />
wieder genannt wird ist die<br />
�� Authentizität: Sicherstellen der Echtheit von Informationen<br />
über deren Lebenszyklus hinaus.<br />
Zudem wird – wie in den meisten Managementsystemen<br />
– ein kontinuierliches Verbesserungssystem implementiert,<br />
welches die Erreichung und Beibehaltung<br />
der Sicherheitsziele gewährleisten soll.<br />
Dabei verwendet der Standard den Deming-Zyklus<br />
(Plan – Do – Check – Act, auch PDCA-Modell genannt),<br />
um die ISMS-Prozesse zu strukturieren.<br />
Die Tätigkeiten in den einzelnen Phasen sind in der<br />
Norm geregelt, z.B.:<br />
�� Plan:� ����������� ���� ������������������� �������zierung<br />
der Unternehmenswerte (Assets) Risiko-<br />
������������������������������������������������ganisatorischen<br />
und technischen Maßnahmen.<br />
�� Do: Feinplanung und Implementierung der Maß-<br />
������������������������������������������������<br />
Wirksamkeit des ISMS<br />
�� Check: Überwachung und Überprüfung des ISMS<br />
durch interne Audits, Neubewertung der Risikolage<br />
�� Act: Initiierung von Korrektur- und Vorbeugemaßnahmen.<br />
Die Einführung des Sicherheitsprozesses läuft in den<br />
genannten 4 Phasen ab.<br />
Planung (PLAN)<br />
Zunächst muss das Management des Unternehmens<br />
die Entscheidung treffen, ein ISMS einzuführen und<br />
einen Verantwortlichen benennen. Dieser sollte der<br />
oberen Führungsebene angehören und entscheidungsbefugt<br />
sein. Danach werden der Geltungsbereich<br />
und die Grenzen des ISMS festgelegt. Beide<br />
Angaben sind wichtig, um die betroffenen Bereiche<br />
(die ganze Organisation, einzelne Teile davon oder<br />
einzelne Standorte) von dem "Rest" zu trennen und<br />
klare Verantwortlichkeiten zu schaffen. Mit der Definition<br />
der ISMS- und Informationssicherheitsleitlinie<br />
und der Freigabe durch Unternehmensführung wird<br />
die Umsetzung gestartet.<br />
Der zweite Schritt in dieser Phase behandelt den Themenkomplex<br />
„Risiko“. Es erfolgen die Festlegungen, mit<br />
welcher Methode die Risikoeinschätzung durchgeführt<br />
wird und die der Risikoklassen. Hieran schließt sich<br />
ein sehr komplexer Prozess an, die Identifizierung, Abschätzung,<br />
Bewertung und Behandlung eines jeden erkannten<br />
Risikos. Gemeint ist nicht das „Doing“, sondern<br />
die Beschreibung des Prozesses. Der Themenkomplex<br />
wird mit der Bestimmung von Maßnahmenzielen<br />
und Maßnahmen sowie der Akzeptanz des Restrisikos<br />
durch das Management abgeschlossen.<br />
ABWEHR<br />
Letzte Aktion in dieser Phase ist ein konkreter Auftrag<br />
zur Einführung und Betrieb des ISMS (nach Ermittlung<br />
Kosten und Ressourceneinsatz).<br />
Umsetzen und Durchführen (DO)<br />
Der erste Schritt in dieser Phase ist das Formulieren<br />
und Umsetzen eines Risikobehandlungsplans. Hierbei<br />
werden Ressourcen und Verantwortlichkeiten benannt<br />
und Prioritäten vergeben. Der "Plan" ist also bereits eine<br />
"Durchführungsverordnung" (z.B. Angebotseinholung<br />
für bestimmte Leistungen, Vergabe von Aufträgen,<br />
Kontrolle der Ergebnisse, etc.). Parallel hierzu sollte bereits<br />
mit der Sensibilisierung und Schulung der Mitarbeiter<br />
begonnen werden. Das Management sollte insbesondere<br />
vermitteln, warum das ISMS eingeführt wird<br />
und welche Vorteile für das Unternehmen sich daraus<br />
ergeben. Jeder einzelne Mitarbeiter muss verstehen,<br />
was von ihm konkret verlangt wird und wie dies umzusetzen<br />
ist.<br />
Die Beschreibung der Verwaltung und des Betriebs<br />
des ISMS soll dafür sorgen, dass alle vom Standard<br />
verlangten Maßnahmen vorhanden sind, beobachtet<br />
und ggf. angepasst werden. Beim Betrieb eines ISMS<br />
sind alle vorgesehenen Maßnahmen in den täglichen<br />
Arbeitsablauf einzubinden. Weiterer Bestandteil ist das<br />
Reporting an das Management.<br />
Die Ressourcenplanung ist keine einmalige Sache.<br />
Die Planung von Personen und finanziellen Mitteln zum<br />
Betrieb und Verbesserung des ISMS, also das Ressourcenmanagement,<br />
soll als wiederkehrender Posten<br />
in die jährliche Planung eingehen.<br />
Bei der Erkennung und dem Management von Sicherheitsvorfällen<br />
(<strong>Security</strong> Incidents) steht die Prämisse im<br />
Vordergrund, dass man sie nicht ausschließen kann.<br />
Somit benötigt man einen Plan, nachdem Sicherheitsvorfälle<br />
klassifiziert und entsprechend dieser Klassi-<br />
���������� ��������������� ���� �������� ������� ����������<br />
werden. Die höchste Stufe dieser Klassifizierung ist der<br />
Notfall. Zum Management von Sicherheitsvorfällen gehört<br />
auch der Wiederanlauf (Disaster Recovery), der regelmäßig<br />
trainiert werden sollte.<br />
Beobachten / Überwachen (CHECK)<br />
Nachdem das ISMS in Betrieb genommen wurde, muss<br />
es regelmäßig überwacht und überprüft werden. Dieser<br />
Teil des Regelkreises ist der umfangreichste, da hier<br />
viele Aufgaben zusammenlaufen. Durch Beobachtung<br />
und Überwachung sollen Fehler in der Datenverarbeitung<br />
erkannt werden, sowohl versuchte als auch erfolgte<br />
Sicherheitsvorfälle möglichst schnell erkannt und<br />
bearbeitet werden, sicherheitskritische Tätigkeiten beobachtet<br />
werden, ob sie von den Beauftragten wie erwartet<br />
ausgeführt werden, und Indikatoren für die Früherkennung<br />
von Sicherheitsvorfällen festgelegt werden.<br />
Aber nicht nur das ISMS selbst, sondern auch dessen<br />
Wirksamkeit muss regelmäßig überprüft werden.<br />
9/2010
Einführung eines Sicherheitsprozesses nach ISO/IEC 27001<br />
Die Wirksamkeit eines ISMS drückt sich durch folgende<br />
Kriterien aus:<br />
�� ����������������������������������<br />
�� ��������������������������������������<br />
�� ����������������������������������������������<br />
Die Bewertung der Wirksamkeit des ISMS erfolgt i.d.R.<br />
in der regelmäßigen Managementbewertung. Außer<br />
�������������������������������������������������������nisse<br />
aus durchgeführten Sicherheitsaudits und früheren<br />
Managementbewertungen, die Vorschläge zur Verbesserung<br />
des ISMS, sonstige Rückmeldungen aus der<br />
Praxis (Mitarbeiter sowie Lieferanten oder Dienstleister,<br />
���� ������������� ��������� ��� ������� ���� ����� ����nommen<br />
bzw. übertragen bekommen haben).<br />
In diesem Zusammenhang muss auch erwähnt werden,<br />
dass alle Sicherheitsvorfälle, nicht nur interne,<br />
sondern auch Sicherheitsvorfälle bei Lieferanten oder<br />
Dienstleistern, die Auswirkungen auf das eigene Geschäft<br />
hatten, ausgewertet werden müssen.<br />
Neben dem gesamten ISMS muss auch die Wirksamkeit<br />
von einzelnen Maßnahmen überprüft werden. Hierbei<br />
handelt es sich um eine Abschätzung und Bewertung<br />
zwischen dem verbundenen Aufwand und dem möglichen<br />
Schaden, den eine nicht ausreichende Wirksamkeit von<br />
Maßnahmen nach sich ziehen kann. Diese Überprüfung<br />
sollte in regelmäßigen Abständen vorgenommen, die jeweiligen<br />
Ergebnisse dokumentiert und ein zusammenfassender<br />
Bericht an die die für die Überwachung und Überprüfung<br />
zuständige Stelle weitergeleitet werden.<br />
Die Ergebnisse der Risikoabschätzung (siehe auch unter<br />
Kapitel 1 - PLAN) müssen in Abständen, die von der<br />
Organisation festgelegt werden, regelmäßig wiederholt<br />
werden. In der Regel erfolgt dieses jährlich, dabei sind Änderungen<br />
in der Organisation und der eingesetzten Technik,<br />
vor allem jedoch Änderungen an den Geschäftszielen<br />
und bei den betroffenen Geschäftsprozessen zu untersuchen.<br />
Weiterhin hat die Organisation die Möglichkeit, eine<br />
anlaßbezogene Wiederholung der Risikoeinschätzung<br />
vorzunehmen (z.B. nach einem Sicherheitsvorfall).<br />
Regelmäßige interne Audits werden für eigene Zwecke<br />
der Organisation durchgeführt. Diese reichen von<br />
der Erfassung des erreichten IST-Zustands des ISMS<br />
bis hin zur Vorbereitung eines externen Audits, welches<br />
für eine Zertifizierung durchgeführt wird. Was geprüft<br />
werden soll und in welchen Abständen, wird im Auditplan<br />
festgelegt. Für das interne Audit wird ein Auditbericht<br />
angefertigt, der<br />
�� ���� �������������� ������������ ���� ���� ������ ��grunde<br />
lag,<br />
�� ���� �������� ���� ������� ���� ���� ������������ �����nen<br />
angibt,<br />
�� ����������������������������������������������������hält<br />
und<br />
�� ��������������������������������������������������stellungen<br />
�� �����������<br />
Die regelmäßige Managementbewertung des ISMS<br />
verfolgt zwei Ziele:<br />
�� ������������ ���� �������������������� ���� �����<br />
und<br />
�� ������������ ���� ��������������� ���� ��������zesses.<br />
Ersteres Ziel dient dazu, um die Angemessenheit sicherzustellen,<br />
das zweite Ziel ist ein typischer TQM-<br />
Prozess, wie er in allen Qualitätsmanagementsystemen<br />
implementiert ist. Üblicherweise wird die Managementbewertung<br />
jährlich durchgeführt.<br />
In den Sicherheitsplänen werden alle Handlungen,<br />
die mit Vorfällen und deren Abläufen zu tun haben (Incident-Management),<br />
also Schwachstellen, Notfall-Pläne,<br />
Business Continuity, Disaster Recovery, etc. untersucht<br />
und die Sicherheitspläne ggf. aktualisiert.<br />
Letztendlich werden alle Handlungen und Ereignisse,<br />
die einen Einfluss auf die Wirksamkeit des ISMS haben,<br />
dokumentiert. Hierzu gehören u.a. Ressourcenplanungen,<br />
Schulungsnachweise, interne und externe Audits,<br />
Sicherheitsvorfälle und Managementbewertungen.<br />
Pflegen und Verbessern (ACT)<br />
In den vorherigen Phasen sind Informationen angefallen,<br />
aus denen Verbesserungen für das ISMS abgeleitet<br />
werden können. In der Managementbeurteilung sind diese<br />
beschlossen und priorisiert worden. Nun werden die<br />
identifizierten Verbesserungen mit den zur Verfügung gestellten<br />
Ressourcen (Mensch und Material) umgesetzt.<br />
Da es sich bei den Verbesserungsvorschlägen grundsätzlich<br />
um Erwartungen handelt, muss auch wiederum die<br />
Methodik zur Wirksamkeit von Maßnahmen (regelmäßig)<br />
angewendet werden. In einem internen Audit kann dann<br />
der aktuelle Stand der Implementierung überprüft werden.<br />
Verbesserungsvorschläge von Mitarbeitern sind in<br />
besonderem Maße wichtig, da sie das Interesse der<br />
Mitarbeiter an ihrer Organisation zeigen.<br />
Aus Sicherheitsvorfällen soll gelernt werden. Deshalb<br />
ist es wichtig, Maßnahmen, die sich bei einem Sicherheitsvorfall<br />
nicht bewährt haben, geeignet zu korrigieren<br />
und wenn nötig durch eine neue Maßnahme zu ersetzen.<br />
Dabei sollten nicht nur auf Erfahrungen der eigenen<br />
Organisation zurückgegriffen werden, sondern auch auf<br />
die anderer Organisationen, z.B. der gleichen Branche.<br />
Es ist durchaus üblich, dass sich die Sicherheitsverantwortlichen<br />
bestimmter Branchen in Arbeitskreisen treffen<br />
und Sicherheitsprobleme und -maßnahmen diskutieren.<br />
Weiterhin sollen vorbeugende Maßnahmen ergriffen<br />
werden, mit denen bestimmte Vorfälle von vornherein<br />
vermieden werden sollen.<br />
hakin9.org/de 17
18<br />
Veränderungen sollten frühzeitig im Unternehmen<br />
kommuniziert werden, um den Betroffenen Gelegenheit<br />
zu geben, ihre Meinung zu äußern und ggf. noch Anregungen<br />
in die Planung einzubeziehen. Die Akzeptanz<br />
von Veränderungen hängt in besonderem Maße auch<br />
von der Art und Weise der Kommunikation ab.<br />
Während es kein Problem sein sollte, wenn nur das eigene<br />
Unternehmen betroffen ist, stellen sich besondere<br />
Herausforderungen ein, wenn externe Partner zu den betroffenen<br />
Parteien gehören. Hierbei muss zunächst herausgearbeitet<br />
werden, welche Maßnahmen und in welcher Art<br />
und Weise sie das Vertragsverhältnis berühren (z.B. SLA’s).<br />
In diesem Fall müssen ggf. Vertragsergänzungen vorgenommen<br />
oder die Verträge nachverhandelt werden.<br />
Die Durchführung der Erfolgskontrolle von Verbesserungen<br />
ist eine permanente Aufgabe des Managements.<br />
Daher sollte das Management bereits bei jeder<br />
Entscheidung über geplante Verbesserungsmaßnahmen<br />
festlegen, wie und wann die Erfolgskontrolle<br />
durchzuführen ist.<br />
Bei dieser recht ausführlichen Beschreibung der einzelnen<br />
Phasen gibt es natürlich Überschneidungen von<br />
Aufgaben, die jedoch den entsprechenden Phasen zugeordnet<br />
werden können.<br />
Die Anforderungen an die Dokumentation unterscheiden<br />
sich bei der ISO 27001 kaum von denen anderer<br />
��������������������������������������������������<br />
Abbildung 3. Aufbau des Standards<br />
ABWEHR<br />
14000. Als Mindestumfang sieht die Norm die folgenden<br />
Dokumente und Aufzeichnungen vor:<br />
�� ������������������������������<br />
�� ������������������<br />
�� ����������������������������������������������<br />
ISMS (z.B. ein Dokumentenmanagementsystem<br />
zur Lenkung der Dokumente)<br />
�� �����������������������������������������������zung<br />
und<br />
�� ���� ����������� ���� ������������������� �����������<br />
�������������������������������������������<br />
�� �������������������������<br />
�� ������ �������� ��������������� ������ ���������������<br />
Protokolle, Log-Dateien, etc.)<br />
Was außer den Dokumenten, die die Norm fordert,<br />
noch an Aufzeichnungen verlangt wird, bestimmen die<br />
Maßnahmen, die Bestandteil des ISMS sind.<br />
Kapitel 4 – Nutzen<br />
Sie sehen also, der Aufwand ist zwar nicht unerheblich,<br />
hält sich aber noch in Grenzen. Welchen Nutzen bringt<br />
nun eine Zertifizierung nach ISO/IEC 27001?<br />
Der interne und externe Aufwand für den Aufbau<br />
und Betrieb eines ISMS sind stark abhängig von den<br />
Rahmenbedingungen und dem gewählten Vorgehen.<br />
9/2010
Taffel 1. Die ISO 27000-Familie<br />
Einführung eines Sicherheitsprozesses nach ISO/IEC 27001<br />
������������� ��������������������������������������������������������������������������������������<br />
������������� ����������������������������������������������������������������������������������������������zierbare<br />
Norm dieser Reihe.<br />
������������� ���������������������������������������������������������������������������������������<br />
������������� �������������������������������������������������������������������������������������������������tlicht).<br />
������������� �����������������������������������������������������������������������������������������������-<br />
����������������������������������������������������������������������������<br />
������������� behandelt das Thema IS Risikomanagement und ist im Juni 2008 in Kraft getreten.<br />
������������� regelt die Kriterien, nach denen Stellen arbeiten müssen, die Informationssicherheits- und Manage-<br />
��������������������������������������������������������������<br />
������������� �������������������������������������������������������������������������������������������-<br />
��������������������������������<br />
������������� beinhaltet Leitfäden, wie man Information <strong>Security</strong> Management Systeme (ISMS) auditiert (befindet<br />
��������������������������<br />
���������������������������������������������������������������������������������������������������������������������������<br />
sind.<br />
Grundsätzlich kann gesagt werden, dass Unternehmen,<br />
die bereits ein Qualitätsmanagement-System im<br />
�������������������������������������������������������<br />
da ihnen die Prozess-orientierte Denkweise und das<br />
strukturierte Vorgehen bereits vertraut sind. Die Durchlaufzeit<br />
bis zur Zertifizierung beträgt erfahrungsgemäß<br />
vier bis acht Monate. Beachtet werden muss hierbei,<br />
dass zwar externe Unterstützung durch Berater bei<br />
der Einführung eines ISMS angefordert werden kann –<br />
was auch durchaus sinnvoll ist –, aber der Betrieb eines<br />
ISMS intern durch eigene Mitarbeiter bewerkstelligt<br />
werden sollte. Hierfür sind also Ressourcen zu planen.<br />
Ein ISMS bringt dem Unternehmen i.d.R. folgenden<br />
Nutzen:<br />
�� �����������������������<br />
�� ����������������������������������������������sikopotenzials,<br />
�� ����������������������������������������������ment,<br />
�� ��������������������������������������������������ne<br />
ganzheitliche Betrachtung der Sicherheitsstrategie,<br />
�� ��������������� ���� ������������� ���� ��������������<br />
Grundlagen (Outsourcing etc.),<br />
�� ������������������������������������������������schneidungen,<br />
weniger Lücken,<br />
�� ���� ������������ ���� ������������� ����� �����������<br />
Technische Maßnahmen alleine reichen nicht aus,<br />
auch Prozesse werden betrachtet,<br />
�� ����������� ���������� ��������� �������������� ��������<br />
Ertragsausfälle,<br />
�� ������������������������������������������������ness<br />
Continuity Management,<br />
�� ���������������������������������������������partnern<br />
und Lieferanten durch gelebte Sicherheit,<br />
�� ���������������������������������������������������<br />
belegbare Informationssicherheit mit internationaler<br />
Anerkennung als zusätzliches Qualitätsgütesiegel<br />
geschaffen und wird somit ein Wettbewerbsfaktor<br />
(„Sicherheit schafft Vertrauen“),<br />
�� ��� ��������� ���� ������������� ����� ���� ������������<br />
im selben Bereich zu messen (Benchmarking).<br />
Kapitel 5 – Fazit<br />
Die Einführung eines ISMS nach ISO/IEC 27001 kann<br />
auch für kleinere und mittelständische Unternehmen<br />
sinnvoll sein. Besonders gilt dieses, wenn gesetzliche<br />
Anforderungen oder die Werte (Assets) im Unternehmen<br />
hoch sind (z.B. Personendaten) oder sehr komplexe<br />
Geschäftsprozesse gemanaged werden müssen. Es<br />
muss auch nicht gleich das gesamte Unternehmen untersucht<br />
werden, man kann mit einem Bereich oder einem<br />
Prozess anfangen und das ISMS sukzessive weiter<br />
ausbauen.<br />
ANDREAS LENTWOJT<br />
Der Autor, Managementberater, CEO und Inhaber „ALConsult“<br />
Nach dem Studium der Betriebswirtschaft mit den<br />
Schwerpunkten Organisation und IT arbeitete er langjährig<br />
bei Banken und Finanzdienstleistern als Organisations-/IT-Leiter<br />
und später als <strong>Security</strong>-Officer. 2004 gründete er das Beratungsunternehmen<br />
ALConsult mit den Schwerpunkten <strong>Security</strong><br />
und Prozessmanagement. Er ist zertifizierter ISO 27001-Auditor<br />
und besitzt weitere Zertifikate wie CObIT und ITIL. Der<br />
Schwerpunkt der Beratung liegt im organisatorischen Bereich<br />
und den Prozessen, nicht auf der Technik.<br />
hakin9.org/de 19
20<br />
ANGRIFF<br />
USB Hacking:<br />
Nichts ist mehr sicher - neue Angriffswelle durch USB-Sticks<br />
Henrik Heigl<br />
Es sieht aus wie ein normaler USB Stick und kann innerhalb<br />
von wenigen Sekunden einen Computer infiltrieren<br />
ohne entdeckt oder geblockt zu werden. Was mancher<br />
Administratoren in Firmen oder Internet Cafés einen kalten<br />
Schauer über den Rücken fahren lässt ist nun Wirklichkeit<br />
geworden.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
��� ���� ���� ���� ���������� ���� ���������� �������� ������ ��������<br />
basierenden USB Stick selbst für Ihre eigenen Bedürfnisse als<br />
Administrationswerkzeug oder Penetrations Testingtool erstellen<br />
können.<br />
Vor einiger Zeit als USB Speichersticks mit U3<br />
Technologie angesagt waren, gab es schon einmal<br />
einen Anlauf [2] Computer mit Sniffern, Viren<br />
und anderen Spionagetechniken zu attackieren. Allerdings<br />
waren die Abwehrmaßnahmen hier relativ einfach.<br />
Abbildung 1. Teensy Board so wie er geliefert wird.<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
������������������������������������������������������������<br />
wendig. Die dazu notwendigen Programmierkenntnisse sind<br />
gering und werden innerhalb der Programmierumgebung<br />
schnell klar und anwendbar.<br />
Man sagt seinem Computer einfach, das er nicht automatisch<br />
alles ausführen soll, was von dem angesteckten<br />
USB Stick kommt und immer erstmal neue Wechseldatenträger<br />
auf Viren überprüft. Somit war dies nur ein kleiner<br />
erster Test für die Sicherheit eines Computers.<br />
9/2010
Nichts ist mehr sicher - Bedrohung durch USB Sticks<br />
Nun gibt es aber ein neues, kleines Spielzeug für<br />
Penetrationstester, den Teensy [1] , welches physikalische<br />
Penetration in ein komplett neues Licht rückt.<br />
Der Teensy ist ein kleines Arduino Board, welches so<br />
klein wie ein USB Stick ist und vom Computer eben<br />
nicht als USB-Speichermedium, sondern als Tastatur<br />
oder angeschlossene Computermaus erkannt wird.<br />
Dieses Arduino Board ist als Entwickler Board konzipiert<br />
und ist daher ziemlich frei programmierbar und<br />
gut dokumentiert.<br />
Da der Teensy auch einen kleinen Prozessor und<br />
Speicher mitbringt, kann dieser nun Programme ausführen<br />
wie zum Beispiel eine Abfolge von Tastenkombinationen<br />
absetzen. Der Vorteil dabei liegt auf der<br />
Hand: Die bis dato angewandten Sicherheitsmechanismen<br />
für USB-Sticks greifen hier nicht mehr, da ja<br />
eine Tastatur bzw. Maus immer an einem Computer<br />
funktionieren muss und somit auch nicht als potentiell<br />
gefährlich eingestuft werden kann.<br />
Für meine Testumgebung habe ich einen Teensy 2.0<br />
(ohne ++) vorliegen, welcher für $18,- erhältlich ist. Dieser<br />
wird lediglich mit einer kleinen Karte mit der Pinbelegung<br />
und einigen Links zu den Downloadseiten<br />
geliefert und ist auch vollkommen ausreichend für den<br />
Abbildung 2. Teensy incl. USB-Adapter im Vergleich zu einem USB-Speicherstick<br />
Anfang. Der Teensy besitzt einen 16Mhz ATMEGA32U4<br />
Prozessor, 1024 Bit EEPROM und 32KByte Flash Speicher,<br />
um kleine Programme zu beherbergen und ausführen<br />
zu lassen. Die Teensy++ Version mit einem<br />
AT90USB1286 Prozessor und 130Kyte hat somit noch<br />
etwas mehr Arbeitsspeicher in welchem man dann auch<br />
wieder die „Ergebnisse“ seiner Programme zurück speichern<br />
kann.<br />
Um die Programme auf den Teensy zu bringen gibt<br />
es ein kleines Tool, den Teensy Loader, der nichts weiter<br />
macht als das vorher erstellte Programm auf das<br />
Board zu kopieren. Das Programm oder auch mehrere<br />
Programme in einer Libary laufen dann selbstständig<br />
Zeit- oder Event gesteuert ab. Die Programme<br />
kann man zum Beispiel mit dem WinAVR C Compiler<br />
oder Teensyduino, einem Add-On für Arduino IDE,<br />
programmieren. Es ist allerdings auch jedes andere<br />
Programmiertool, welches Arduino [3] unterstützt,<br />
möglich. Die angesprochene Arduino Programmieroberfläche<br />
inklusive des Teensyduino Add-Ons kann<br />
unter Linux, Windows und Mac OS installiert und verwendet<br />
werden.<br />
Anhand des folgenden Beispiels und einiger Snippets<br />
möchte ich nur ganz kurz auf die relativ leichte Program-<br />
hakin9.org/de 21
22<br />
mierung des Teensy mittels Teensyduino eingehen:<br />
/*<br />
Blink von David Cuartielles ist eines der Beispiel<br />
Programme innerhalb<br />
der Arduino Programmierumgebung, die bereits<br />
mitgeliefert werden<br />
*/<br />
int ledPin = 13; // LED ist mit dem PIN13 des Teensy<br />
verbunden<br />
// Die setup() Routine läuft einmal beim Start durch<br />
void setup() {<br />
// initialisiert den digitalen Pin13 als Output<br />
pinMode(ledPin, OUTPUT);<br />
}<br />
// die loop() Methode läuft solange durch,<br />
// wie das Arduino bzw. teensy Board Strom hat<br />
void loop()<br />
{<br />
digitalWrite(ledPin, HIGH); // LED einschalten<br />
delay(1000); // Wartet eine Sekunde<br />
digitalWrite(ledPin, LOW); // LED ausschalten<br />
delay(1000); // wartet eine Sekunde<br />
}<br />
ANGRIFF<br />
Anhand dieses Beispiels wird die relative einfache Programmierlogik<br />
klar. Nun können Programmteile wie<br />
zum Beispiel der Aufruf einer URL eingebaut werden:<br />
CommandAtRunBar ( "cmd /c start http://http://hakin9.<br />
org/de " ) ;<br />
An diese URL (welche natürlich auch eine FTP-Site<br />
oder eine SSH Verbindung sein kann) lassen sich<br />
dann Dateien ablegen oder -rufen. Da der Teensy 2.0<br />
selbst keinen Speicher besitzt (der Teensy ++ 2.0 besitzt<br />
zwar etwas Speicherplatz, aber ggf. sind die Daten<br />
etwas größer und man benötigt extra Speicherplatz)<br />
kann dies sehr nützlich sein.<br />
Oder man lässt z.B. unter einem Windows Betriebssystem<br />
ein Laufwerk mit einer bestimmten Bezeichnung<br />
wie z.B. GDRIVE, DROPBOX oder in diesem Fall<br />
KINGSTON suchen um auf diesem ein Script TheScript.<br />
bat auszuführen:<br />
CommandAtRunBar("cmd /c for /F %i in ('WMIC logicaldisk<br />
�������������������������������������������������������<br />
do<br />
%i\TheScript.bat");<br />
Abbildung 3. Arduino Programmierumgebung samt Teensyduino Add-On und das Commandline Tool SET innerhalb der Backtrack 4 R1<br />
9/2010
Nichts ist mehr sicher - Bedrohung durch USB Sticks<br />
Man kann aber auch ein Programm öffnen lassen und<br />
hier z.B. in einem Texteditor einen Text schreiben lassen:<br />
CommandAtRunBar("notepad.exe");<br />
delay(1000);<br />
������������������������������������������<br />
Oder unter Facebook ein Posting absetzen...<br />
CommandAtRunBar ( "cmd /c start http://m.facebook.com"<br />
);<br />
delay ( 6000 );<br />
��������������������������������<br />
�������������������������������������������������������<br />
);<br />
��������������������������������<br />
����������������������������������<br />
Dies sind nur einige kleine Beispiele was man als Programm<br />
alles in den Teensy laden kann. Man kann an<br />
den Teensy auch einen kleinen DIP-Switch an die Platine<br />
anschließen um eine Kombination von Programmen,<br />
je nach der Umgebung in der man sich gerade<br />
�������������������������������������������������������<br />
Linux) ablaufen lassen.<br />
// festlegen der DIP-Schalterstellungen am Anfang<br />
�����������������<br />
�����������������<br />
�����������������<br />
�����������������<br />
�����������������<br />
�����������������<br />
�����������������<br />
�����������������<br />
[…]<br />
�����������������������������������<br />
digitalWrit e ( ledPi n , HIG H ) ; // LED einschalte n<br />
CommandAtRunBa r ( "notepad.exe " ) ;<br />
dela y ( 100 0 ) ;<br />
��������������������������������������������������������<br />
;<br />
}<br />
Als praktische Anwendung ließe sich das Sammeln<br />
von Daten auf Computersystemen relativ leicht bewerkstelligen:<br />
��������������������������������������������������������<br />
������������������<br />
������� http://www.pjrc.com/<br />
��������http://www.hak5.org/usb-switchblade<br />
��������http://www.arduino.cc/en/Main/Software<br />
��������������������������������������������������<br />
// welche Netzwerklaufwerke verbunden sind; Pfad ggf.<br />
anpassen<br />
��������������������������������������������<br />
Das Auslesen von Registrykeys oder ähnlichem ist hier<br />
natürlich ebenso möglich. Der Phantasie sind hier wenig<br />
Grenzen gesetzt.<br />
In der neuen Backtrack 4 Release 1 ist zum Beispiel<br />
das Tool „Set – Social Engineering Toolkit“ enthalten,<br />
welches den Teensy auch unterstützt, sodass man hier<br />
einen Attack Vector relativ leicht aufsetzen und umsetzen<br />
kann. Die Arduino / Teensyduino Umgebung samt<br />
den Teensyloader ist bei mir in der virtuellen Maschine<br />
(VM) von Backtrack installiert, sodass ich diese Penetrations-Testumgebung<br />
samt Programmierumgebung<br />
getrennt von meinem Arbeitsplatz verwalten, sichern<br />
und mitnehmen kann.<br />
Nun ist die Latte für Angriffe wieder einmal etwas<br />
höher gelegt worden, dem Teensy kann man sogar<br />
vorgeben welche USB Version und Seriennummer<br />
hier verwendet werden soll um zum Beispiel eine<br />
Cherry Tastatur oder eine Logitech Maus zu emulieren.<br />
Es sei allerdings noch erwähnt, das es (noch) schwer<br />
ist eine gelockte Arbeitsstation mit Programmen vom<br />
Teensy zu füttern, da immernoch oder wenigstens meistens<br />
die Eingabe eines Passwortes notwendig ist.<br />
Wer noch mehr mit dem Teensy anstellen möchte wie<br />
z.B. das ansteuern eines LCD-Displays oder Ansteuerung<br />
einiger LEDs als VU-Meter oder Lichtorgel kann<br />
dieses z.B. über die Verwendung eines Breadboards<br />
oder ähnlicher Laboraufbauten erledigen. Auch die Ansteuerung<br />
von Photodioden oder Temperatur- und anderer<br />
Sensoren ist hier möglich.<br />
HENRIK HEIGL<br />
Der Autor ist System Engineer im Bereich Managed Services<br />
bei einer IT-<strong>Security</strong> Firma in Ludwigshafen und beschäftigt<br />
sich zusätzlich als Assurer bei CAcert.org mit der Verbreitung<br />
frei erhältlicher digitaler Zertifi kate, ist langjähriges Mitglied<br />
beim CCC und ehemaliges Vorstandsmitglied des ERFA Darmstadt<br />
sowie beim Fedoraproject als Ambassador aktiv im Bereich<br />
FLOSS unterwegs.<br />
hakin9.org/de 23
24<br />
NEWS<br />
Wetten, dass ... Ihr größtes<br />
Betriebsgeheimnis ungeschützt ist?<br />
Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage,<br />
was ist unser größtes Betriebsgeheimnis: Die Kundenlisten,<br />
die Projektdokumentationen und Strategiepapiere, die Zahlen<br />
auf den Bankkonten oder gar die private Telefonnummer vom<br />
Vorstandsvorsitzenden? Schlussendlich sind es die Passwörter<br />
und Zugangsberechtigungen auf sämtliche Anwendungen und<br />
Datenbanken in jedem Unternehmen oder Organisation.<br />
Tausende Passwörter von Usern und<br />
Administratoren sind im Umlauf<br />
Man stelle sich komplexe IT Landschaften vor, die geografisch<br />
verteilt sind und viele Mitarbeiter, die in verschiedene<br />
„Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur<br />
Zugang zu standardisierten Anwendungen, sondern auch<br />
zum Internetbanking, der FIBU Software und anderen<br />
kaufmännischen Programmen wie SAP. Interessant und<br />
zunehmend komplex wird es bei den IT Administratoren.<br />
Natürlich können sich diese, von vielen für ihre mathematischen<br />
Fähigkeiten bewunderten, auch nicht dutzende<br />
von Passwörtern merken, sondern helfen etwas nach: Pro<br />
Anwendung wird ein Passwort vergeben, das sich diese<br />
dann für längere Zeit im Gedächtnis behalten. Mit dieser<br />
Feststellung wird die gesamte Problematik sofort offenbar,<br />
ohne in technische Details gehen zu müssen: ein Passwort<br />
... für längere Zeit ... im Gedächtnis.<br />
Guter Rat ist teuer - und umsonst<br />
Richtlinien zur Passwortgestaltung gibt es unzählige und<br />
viele sind gut gemeint: Die Länge wird vorgegeben und<br />
auch die zu verwendenden Zeichen, die alle 4 Wochen<br />
zu ändern sind und natürlich nicht auf einem Post-It unter<br />
der Tastatur kleben sollen. Selbst wenn dies eingehalten<br />
wird, vergisst man sein neues Passwort spätestens,<br />
wenn man 2 Wochen auf Urlaub war und auch der Help-<br />
Desk freut sich, dass man wieder zurück ist. Auch der<br />
Auditor ist zumindest milde gestimmt, wenn die zentralen<br />
Passwörter zumindest in einer gesicherten Excel Liste<br />
zusammengefasst sind. Von IT <strong>Security</strong> sollte man aber<br />
dabei besser nicht sprechen, da jeder Administrator auf<br />
alle Passwörter zugreifen kann. Spätestens bei automatisierten<br />
(unattended) Passwörtern, die via Skript fixiert<br />
sind und auf eine Anwendung oder Datenbank zugreifen,<br />
sind verhaltensorientierte Ansätze obsolete.<br />
Passwortstruktur ist unbekannt<br />
Kaum ein IT Verantwortlicher hat verlässliche Informationen<br />
über die Strukturen und Verbreitungsgrade von<br />
Passwörtern in einer Organisation. Bei Implementie-<br />
rung eines automatisierten Passwort-Managements<br />
wird oft erst festgestellt, dass zehntausende privilegierte<br />
Administratorkonten vorhanden sind, aber nur 20%<br />
davon als Administratorkonten dienen. Der überwiegende<br />
Teil der Passwörter sind Application-to-Application<br />
(A2A) und Application-to-Database (A2D) Konten, die<br />
in Skripts den Zugriff ermöglichen. Und natürlich nur in<br />
seltensten Fällen geändert werden und somit immer eine<br />
Hintertüre, auch für den Ex-Mitarbeiter, offenlassen.<br />
Die Passwort Autorität: Freiwilligkeit und<br />
Empfehlungen sind nicht angebracht<br />
Die Zugangsberechtigungen sind als Schlüssel für Safes<br />
mit allen Geheimnissen der Organisation anzusehen.. Das<br />
Ergebnis einer Reflektion der Problematik „Passwörter“<br />
kann nur sein, dass ein automatisiertes und auditierbares<br />
Software-Werkzeug in Frage kommen kann. Die Durchsetzung<br />
der Passwörter Policies, Zuteilung von Einmal-Passwörtern<br />
und vor allem eine sichere Authentifizierung und<br />
Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten<br />
wie diesen, sollte es auf Knopfdruck möglich sein, einen Administrator<br />
zu sperren oder zeitlich begrenzte Passwörter<br />
für externe Dienstleister ausstellen zu können.<br />
Antares NetlogiX empfiehlt nach eingehender Analyse<br />
- des sehr überschaubaren Marktes - die Lösung<br />
„Cloakware Password Authority“. Die ersten erfolgreichen<br />
Referenzprojekte und Kundenmeinungen haben<br />
diese Meinung weiter verstärkt.<br />
9/2010
Interview mit Thomas <strong>Hackner</strong><br />
„Jeder Mensch sollte Zugang zu all jenen Informationen haben,<br />
die ihm helfen sich selbst und sein Eigentum zu schützen.“<br />
Interview mit Thomas <strong>Hackner</strong><br />
Thomas <strong>Hackner</strong> ist Geschäftsführer von HACKNER<br />
<strong>Security</strong> <strong>Intelligence</strong>, dem Spezialisten für ganzheitliche<br />
Sicherheitsaudits und Tiger Team Assessments.<br />
Nebenberuflich ist er Lehrbeauftragter für „Mechanische<br />
Einbruchssicherheit” an der FH Hagenberg und leitet<br />
aktiv ehrenamtlich Projekte zur Verbesserung der IT- und<br />
physischen Sicherheit in Österreich.<br />
hakin9: Wir beobachten ein konstantes<br />
Wachstum des internationalen IT-<br />
Sicherheitsmarktes. Produkte und<br />
Dienstleistungen überhäufen sich und<br />
man würde denken, dass der Markt keine<br />
Lücken mehr lässt. Wo erkennen Sie als als<br />
Geschäftsführer einer jungen Firma neues<br />
Entwicklungspotential des Marktes und auch<br />
Notwendigkeiten für unsere Unternehmen?<br />
Thomas <strong>Hackner</strong>: Wie Sie schon sagen, deckt der<br />
IT-Sicherheits-Markt bereits eine breite Palette an Anforderungen<br />
von Unternehmen ab. Kunden werden<br />
im Aufbau von Sicherheitsmanagementsystemen, bei<br />
der Durchführung von Risikoanalysen, Einhaltung von<br />
Richtlinien aller Art und auch bei der Absicherung ihrer<br />
IT-Infrastruktur und einzelner Applikationen unterstützt.<br />
Zwar werden in einigen IT-Sicherheitsstandards,<br />
wie dem ISO 27001-Standard, IT-Sicherheit und physische<br />
Sicherheit bereits verknüpft, jedoch trifft man eine<br />
Zusammenarbeit dieser Abteilungen in der Praxis leider<br />
nur selten an. Oft findet man hier getrennte Budgets<br />
und Verantwortliche vor, die nur in unbedingt notwendigen<br />
Fällen miteinander kommunizieren. Ziel sollte es<br />
sein diese beiden Parteien in Einklang zu bringen und<br />
eine funktionierende Kommunikationsplattform für beide<br />
zu etablieren. Nur so ist es auch möglich eine ganzheitliche<br />
und echte Sicherheit für Unternehmen und für<br />
deren überlebenswichtige Kerninformationen sicher zu<br />
stellen.<br />
hakin9: Doch auch heute schon unterstützt die IT-<br />
Sicherheitsabteilung bei der Absicherung gegen<br />
elektronische Angriffe während sich das Facility<br />
Management bereits um die Absicherung von<br />
Gebäuden und Räumen bemüht. Ist dies denn<br />
nicht genug?<br />
Thomas <strong>Hackner</strong>: Leider muss man diese Frage in<br />
den meisten Fällen mit nein beantworten. Grundsätzlich<br />
arbeiten beide Abteilungen zum Schutz des Unternehmens<br />
und der Wahrung und Unterstützung der Unternehmensziele.<br />
Zu schützende Informationen können<br />
sein Pläne, Forschungsergebnisse, Produktdetails oder<br />
Informationen in Form von Wissen und Erfahrung, die<br />
diese konkreten Unternehmen von ihren Konkurrenten<br />
unterscheiden und geschützt werden müssen, sein. Mitarbeiter<br />
der IT-Sicherheit und der physischen Sicherheit<br />
hakin9.org/de 25
26<br />
müssen als Team arbeiten und an einem gemeinsamen<br />
Strang ziehen. Eine physische Absicherung des Server-<br />
Raums ist für das IT-Sicherheitsteam ebenso wichtig,<br />
wie aktuelle Informationen zu Benutzern und deren Berechtigungen<br />
für Zugangskontrollen im physischen Bereich<br />
wichtig sind.<br />
hakin9: In welcher Art und Weise können<br />
ganzheitliche Sicherheitsanalysen durchgeführt<br />
werden und welchen Mehrwert bringen sie für<br />
Unternehmen?<br />
Thomas <strong>Hackner</strong>: Ein guter Ansatz ist dies im Zuge<br />
der Implementierung des ISO 27001-Standards<br />
zu adressieren. Sicherheitskonzepte sollten dabei<br />
immer über das ganze Unternehmen erstellt und geplant<br />
werden und somit sowohl elektronische, als<br />
auch physische Sicherheit beinhalten. Eine Zertifizierung<br />
nach ISO 27001 ist nicht in allen Unternehmen<br />
möglich. Deshalb sei an dieser Stelle empfohlen eine<br />
Sicherheitsüberprüfung und Erhebung der Ist-Situation,<br />
IT- und physische Sicherheit mit eingeschlossen,<br />
durchzuführen. Anschließend sollten die spezifischen<br />
Kundenanforderungen ermittelt werden. Es empfiehlt<br />
sich Mindest- und gewünschten Anforderungen für<br />
das Unternehmen zu definieren. In diesen Vorgang<br />
müssen IT-Systeme und physische Systeme mit einbezogen<br />
werden, um ein ganzheitliches Bild erlangen<br />
zu können. Der große Vorteil von derartigen Überprüfungen<br />
ist, dass mit einem ganzheitlichen Bild das Sicherheitsbudget<br />
höchst effizient zur Absicherung und<br />
zum Schutz des Unternehmens eingesetzt werden<br />
kann. Ein kurzes Beispiel: Werden Investitionen von<br />
hunderten tausend Euro in eine Lösung zur Erkennung<br />
von internen Angriffen im Netzwerk getätigt, so<br />
können diese sinnlos sein, wenn es intern möglich ist,<br />
ohne Alarmmeldung Sicherungsbänder zu entnehmen<br />
und nach Hause zu tragen. Eine ganzheitliche<br />
Überprüfung stellt somit die einzige Möglichkeit dar,<br />
ein Gesamtbild der Sicherheit des eigenen Unternehmens<br />
zu erlangen.<br />
hakin9: Könnten Sie bitte kurz näher ausführen,<br />
wie Unternehmen eine derartige Überprüfung<br />
durchführen könnten?<br />
Thomas <strong>Hackner</strong>: Kommunikation ist eines der wichtigsten<br />
Mittel. IT-Sicherheitsverantwortliche und physische<br />
Sicherheitsverantwortliche müssen gemeinsame<br />
Mindestanforderungen und Ziele definieren. Die Ist-<br />
Analyse selbst kann durch eine Begehung und das Testen<br />
durch interne Teams erfolgen. Für eine Erstanalyse<br />
möchte ich jedoch zu einer Überprüfung durch Externe<br />
raten. Eine zusätzliche, neutrale Person kann durch<br />
eine objektive Sicht und Branchenerfahrung Diskussionen<br />
zu Anforderungen zielgerichtet leiten und Sicherheitsüberprüfungen<br />
ohne Gefahr der Betriebsblindheit<br />
ausführen. Spezialisierte Unternehmen bringen zudem<br />
INTERVIEW<br />
entsprechendes Expertenwissen über aktuelle Angriffe<br />
und möglichen Absicherungsmaßnahmen mit.<br />
hakin9: Sind derartige Überprüfungen für<br />
österreichische Firmen, die hauptsächlich<br />
Kleinunternehmer sind, überhaupt leistbar?<br />
Welchen Nutzen tragen diese davon?<br />
Thomas <strong>Hackner</strong>: Ja, wir haben in unserem Fall beispielsweise<br />
zielgerichtete Pakete für Klein-, Mittel– und<br />
Großkunden geschnürt. Während Kleinunternehmer<br />
mit einem preisgünstigen Pauschalpreis Unterstützung<br />
bei der physischen und elektronischen Absicherung gegen<br />
die häufigsten Angriffe erhalten, werden für Hochsicherheitsunternehmen<br />
Individuallösungen angeboten,<br />
die bis zur Durchführung von Tiger Team Assessments<br />
reichen.<br />
hakin9: Was sind Tiger Team Assessments?<br />
Thomas <strong>Hackner</strong>: In derart spezialisierten Überprüfungen<br />
werden realistische Spionage- und Angriffstechniken<br />
nachgespielt und das Unternehmen zielgerichteten<br />
Angriffen ausgesetzt. Soll die Sicherheit von geheimen<br />
Dokumenten in abgeschotteten IT-Systemen sicher gestellt<br />
werden, so dringt unser Tiger Team beispielsweise<br />
nachts in das Zielgebäude ein und stellt im internen<br />
Netzwerk realistische Angriffe über das IT-System nach.<br />
So werden physische und elektronische Sicherheitsmaßnahmen<br />
auf ihr Äußerstes getestet und der Kunde<br />
erhält eine detaillierte Beschreibung seiner Schwachstellen,<br />
die oft erst im normalen Betrieb ersichtlich wird.<br />
Anschließend werden mit dem Kunden selbstverständlich<br />
entsprechende Abwehrmaßnahmen erarbeitet.<br />
hakin9: Wo liegen Ihrer Meinung nach typische<br />
Fehler in der Unternehmenssicherheit? Auf was<br />
sollten Firmen besonders achten?<br />
Thomas <strong>Hackner</strong>: Ohne nun direkt auf spezielle<br />
Schwachstellen eingehen zu wollen, ist mein Anliegen,<br />
dass sich Verantwortliche und im speziellen Geschäftsführer<br />
von Unternehmen Gedanken darüber machen<br />
sollten, welchen Risiken sie gegenüber stehen und täglich<br />
zu tragen haben. Sie müssen bereit sein diese auf<br />
sich zu nehmen, sollte etwas schief gehen. Es gibt genug<br />
Firmen und Experten, die mit Rat und Tat zur Seite<br />
stehen, das Risiko für das Bestehen und das Funktionieren<br />
des Unternehmens tragen am Ende des Tages<br />
jedoch immer noch die Verantwortlichen in der Firma<br />
selbst.<br />
hakin9: Sie schreiben in Ihrer Masterarbeit<br />
über die technische Sicherheit von<br />
Gebäudesteuerungssystemen. Welchen Einfluss<br />
haben diese auf die Gesamtsicherheit des<br />
Unternehmens?<br />
Thomas <strong>Hackner</strong>: Gebäudesteuerungssysteme bilden<br />
einen integralen Bestandteil des gesamten Sicher-<br />
9/2010
heitskonzeptes. Neben weniger risikoreichen Applikationen,<br />
wie die Lichtsteuerung in Gebäuden, werden<br />
sie oft verwendet, um Zutrittskontrollsysteme zentral<br />
steuern zu können. Würde ein Angreifer Zugang zum<br />
System erlangen, wäre es ihm also potentiell möglich<br />
ohne großen zusätzlichen Aufwand sich Zugang<br />
zu streng geschützten Bereichen zu erlangen. Der<br />
Einsatz derartiger Systeme erstreckt sich zudem von<br />
U-Bahn- und Verkehrsleitsystemen bis hin zu Atomkraftwerken.<br />
Fehler in diesen Einsatzgebieten kann<br />
die Gesundheit von Menschen gefährden und sollten<br />
unbedingt behoben werden, bevor es zu Zwischenfällen<br />
kommen kann. Ein Problem, mit dem wir in der<br />
heutigen Zeit aus Sicht der Sicherheit kämpfen, ist der<br />
unbedachte Einsatz von sich rasant entwickelnden<br />
Technologien. Ehemals autonome proprietäre Systeme<br />
erfahren innerhalb kürzester Zeit eine Öffnung und<br />
werden nun über Smartphones über das Internet steuerbar,<br />
so auch bei Gebäudesteuerungssystemen. Diese<br />
Entwicklung ist grundsätzlich nicht als schlecht zu<br />
betrachten, man muss sich jedoch der neuen Risiken<br />
bewusst sein und entsprechend neue Sicherheitsvorkehrungen<br />
treffen.<br />
hakin9: Diese Off enheit der Systeme können<br />
wir auch in der Entwicklung Richtung Cloud<br />
Computing beobachten. Was wäre Ihrer Meinung<br />
nach die richtige Möglichkeit an dieses Thema<br />
heran zu treten?<br />
Thomas <strong>Hackner</strong>: Ich lese immer wieder von Unternehmen,<br />
die technische Lösungen, wie Firewalls und<br />
End-to-End-Verschlüsselung für Services als vollständige<br />
Sicherheitsmaßnahme, anbieten. Nicht abstreitbar<br />
ist, dass diese einen wichtigen Baustein zur Absicherung<br />
darstellen, doch geschützt werden müssen<br />
im Grunde die darüber übertragenen Informationen.<br />
Durch die Vielzahl an möglichen Kombinationen der<br />
Services, wäre der richtige Weg sich über die Geschäftsprozesse<br />
hinweg Anforderungen zu überlegen<br />
und von diesen auf die benötigten technischen Maßnahmen<br />
zu schließen. Dies würde ein Mehrfaches an<br />
Sicherheit und Flexibilität erlauben, ist jedoch auch<br />
mit einem entsprechend höheren finanziellen Aufwand<br />
verbunden.<br />
hakin9: Diese Diskussion führt uns direkt zum<br />
Thema Schutz der eigenen Daten. Unternehmen<br />
kämpfen zunehmens mit Plattformen, wie<br />
Facebook, und sperren den Zugang zu diesen. Ist<br />
dies der richtige Weg damit umzugehen?<br />
Thomas <strong>Hackner</strong>: Ich denke nicht, dass es eine generelle<br />
Lösung zu dieser Thematik gibt, die für alle Unternehmen<br />
gültig ist. Bevor man jedoch seinen Kampf<br />
gegen Facebook & Co antritt, sollte man sich auch<br />
der Auswirkungen bewusst sein, da man hier ein nicht<br />
mehr rein technisches, sondern auch für viele Mitar-<br />
Interview mit Thomas <strong>Hackner</strong><br />
beiter sehr persönliches Thema aufgreift. Das Sperren<br />
derartiger sozialer Netzwerke für Mitarbeiter kann<br />
durchaus eine sehr vernünftige Maßnahme sein. Man<br />
sollte sich dann aber auch Gedanken über die Verwendung<br />
dieser Netzwerke über Firmenhandys machen.<br />
Vor allem für kleinere Unternehmen stellt sich<br />
die Frage, ob derartige soziale Netzwerke nicht aktiv<br />
genutzt werden sollten. Durch die weite Verbreitung<br />
und die stark persönliche Umgebung ist es möglich<br />
vielen Menschen auf einer sehr persönlichen Ebene<br />
zu begegnen. Dies wäre auf konventionellem Wege<br />
ohne entsprechende finanzielle Mittel überhaupt nicht<br />
möglich. Facebook & Co sind nicht per-se negative<br />
Entwicklungen. Es sollten jedoch die Chancen und Risiken<br />
für jedes Unternehmen abgewogen und im Einzelfall<br />
entschieden werden, wie man dieser Thematik<br />
gegenüberstehen will.<br />
hakin9: Als Geschäftsführer einer jungen Firma<br />
und unabhängiger <strong>Security</strong> Researcher, welche<br />
Pläne die IT-Sicherheit Branche betreff end haben<br />
Sie noch vor?<br />
Thomas <strong>Hackner</strong>: Jeder Mensch sollte Zugang zu all<br />
jenen Informationen haben, die ihm helfen sich selbst<br />
und sein Eigentum zu schützen. HACKNER <strong>Security</strong><br />
<strong>Intelligence</strong> unterstützt Unternehmen in jeder Größe<br />
in Form von Beratungen, Planungen und hochspezialisierten,<br />
beauftragten Angriffen auf das eigenen<br />
Unternehmen, um auch gegen zielgerichtete Angriffe,<br />
wie in Fällen der Industriespionage, geschützt<br />
zu sein. Unser Ziel ist es in den nächsten 3 Jahren<br />
zu einem der führenden Anbieter von ganzheitlichen<br />
Sicherheitsaudits und hochspezialisierten Sicherheitsüberprüfungen<br />
in Österreich zu avancieren. Mit<br />
ehrenamtlichen Projekten, wie OpenLocks, <strong>Security</strong>pitfalls.org<br />
und Defense.at arbeite ich mit Freunden<br />
aus verschiedensten Bereichen daran Menschen für<br />
IT- und physische Sicherheit zu sensibilisieren. Ich<br />
hoffe auf diesem Wege auch jene zu erreichen, die<br />
sich eine professionelle Beratung nicht leisten können.<br />
Wir bedanken uns für das Gespräch!<br />
Geführt wurde dieses Interview mit Thomas <strong>Hackner</strong>,<br />
dem Geschäftsführer von HACKNER <strong>Security</strong> <strong>Intelligence</strong>.<br />
Für weitere Fragen oder Diskussionen ist er unter der E-Mail<br />
Adresse t.hackner@hackner-security.com bzw. über die Webseite<br />
http://www.hackner-security.com zu erreichen.<br />
hakin9.org/de 27
Achtung beim Online-Banking: Wenn Phisher Daten angeln<br />
Online-Banking:<br />
Wenn Phisher Daten angeln<br />
Ulrike Peter<br />
Es ist einfach, komfortabel und schnell: PC, Laptop oder Smartphone<br />
einschalten, Verbindung zur Hausbank herstellen und online die<br />
Geldgeschäfte erledigen. Was soll schon passieren? Ein Trugschluss.<br />
Denn in Deutschland nehmen die Betrugsfälle im Zusammenhang<br />
mit Online-Banking drastisch zu. Eine Ursache: Sicherheit wird<br />
als selbstverständlich vorausgesetzt und den Finanzinstituten<br />
zugeschrieben, eigene Schutzmaßnahmen ergreifen die wenigsten<br />
– eine verhängnisvolle Sorglosigkeit, die Hacker und Datendiebe<br />
antreibt.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
�� ��������������������������������������������������������setzt<br />
sind.<br />
�� ����������������������������������<br />
Phishing ist das Stichwort. Dabei ist das ‚Abfischen‘<br />
von individuellen Zugangsdaten und persönlichen<br />
Informationen nichts anderes als der<br />
alte Haustür-Trick, der die Arglosigkeit des Gegenübers<br />
ausnutzt. Er findet im IT-Zeitalter eben im Internet statt.<br />
Denn das World Wide Web nutzen immer mehr Menschen,<br />
gerade auch für ihre Finanzen.<br />
Fast 26 Millionen Deutsche erledigen ihre Bankgeschäfte<br />
mittlerweile online. Das sind, so hat es im Mai<br />
2010 der Bundesverband Informationswirtschaft, Telekommunikation<br />
und neue Medien e.V. (BITKOM) ermittelt,<br />
rund zwei Millionen mehr als im vergangenen<br />
Jahr. Damit nutzen derzeit 41 Prozent aller Bundesbürger<br />
quer durch alle Altersklassen (von 16 bis 74<br />
Jahren) Online-Banking. 2003 waren es erst 21 Prozent.<br />
Angst vor Hackern, aber kaum Eigeninitiative<br />
Aber die Medaille hat zwei Seiten: 49 Prozent der Deutschen<br />
haben Angst vor kriminellen Übergriffen, wenn<br />
sie ihre Bankgeschäfte im Internet erledigen. Für jeden<br />
fünften Kontoinhaber ist dies Grund genug, komplett<br />
auf Online-Banking zu verzichten.<br />
Und obwohl Datenschutz und -sicherheit ganz oben<br />
auf der Anforderungsliste der Nutzer stehen, sind sie<br />
kaum bereit bzw. sehen keine Veranlassung, selbst<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
�� �������������������������<br />
aktiv zu werden. Eigene Schutzmaßnahmen ergreifen<br />
die wenigsten – geschweige denn, dass sie sich<br />
über die Risiken oder Sicherheitslösungen informieren.<br />
So ist beispielsweise der sichere Standard –<br />
die mobile TAN-Technik (mTAN) – den meisten gar<br />
nicht bekannt. Nicht einmal jeder zehnte Bankkunde<br />
schätzt das Sicherheitsniveau des modernen Verschlüsselungssystems<br />
richtig ein. Dies förderte die<br />
Anfang September 2010 veröffentlichte Studie „Online-Banking“<br />
des Hamburger Software- und Beratungshauses<br />
PPI zu Tage.<br />
So klafft die Lücke zwischen denen, die aus Angst die<br />
Finger ganz von Finanztransaktionen im Internet lassen<br />
und denen, die die Einstellung vertreten „Die Bank<br />
wird’s schon richten“. Diese Haltung könnte jedoch zum<br />
Verhängnis werden.<br />
Phishing nimmt bundesweit zu<br />
Eigeninitiative scheint mehr denn je anbracht, betrachtet<br />
man die Anfang August 2010 in der „Financial Times<br />
Deutschland“ (FTD) veröffentlichten Zahlen. So verzeichnete<br />
das Bayerische Landeskriminalamt (LKA) für<br />
das erste Halbjahr 2010 laut FTD eine Verdopplung der<br />
Phishing-Attacken. Die bislang gemeldeten 770 Fälle<br />
liegen bereits heute über Vorjahresniveau mit 736<br />
Anzeigen. Und es werden weitere Bundesländer zi-<br />
hakin9.org/de 29
30<br />
tiert: „Wir haben schon jetzt die Zahlen des Vorjahrs<br />
erreicht”, soll ein Sprecher des Berliner LKA bestätigt<br />
haben (2009: rund 500 Fälle). Auf FTD-Anfrage hätten<br />
ebenfalls die Sprecher des Hessischen und des Baden-<br />
Württembergischen LKA angegeben, dass die Tendenz<br />
stark steigend sei.<br />
Kein Wunder, dass Bundeskriminalamt (BKA) und<br />
Bundesamt für Sicherheit in der Informationstechnik<br />
(BSI) zur Vorsicht raten: Aktuell verbreitet sich eine<br />
völlig neue Variante von Schadsoftware, die Kreditkarten-<br />
und Online-Banking-Daten ausspioniert. Der<br />
Trojaner in seiner Ursprungsform treibt bereits seit<br />
mehreren Jahren sein Unwesen. Seine neue Variante<br />
hat es jetzt gezielt auch auf TANs von Online-<br />
Banking-Nutzern abgesehen. Die Ausspähung erfolgt<br />
meist durch ein so genanntes Drive-by-Exploit, also<br />
den Besuch einer mit Schadcode infizierten Webseite<br />
und das hierdurch automatische Herunterladen des<br />
Schädlings. Ist der PC infiziert und der Nutzer öffnet<br />
die Anmeldemaske seiner Bank, wird er mit manipulierten<br />
Inhalten getäuscht und beispielsweise mit<br />
folgender Nachricht zur Preisgabe seiner Daten animiert:<br />
„Die XY Portal passt sich den hohen Kundenansprüchen<br />
an. Wir bleiben immer auf dem neusten Stand mit<br />
Sicherheitsvorschriften um unseren Kunden mehr Sicherheiten<br />
zu bieten.<br />
Unser Sicherheitsabteilung erfand ein neues Sicherheitssystem,<br />
die Angriffe von Dritten verhindert um Betrugsfälle.<br />
Diese Sicherheitssystem muss von allen<br />
Online-Banking-Kunden genutzt werden. Wir empfehlen<br />
Ihre Daten zu Angleichung anzugeben. Sollte die<br />
Anmeldung in 48 Stunden nicht erfolgen, so wird Ihre<br />
Karte vorübergehend gesperrt, bis zu Ende der Anmeldevorgang.“<br />
Man beachte: Derartige Zeilen und auch<br />
klassische Phishing-Mails weisen gerne sprachliche<br />
Mängel auf, also stets auf der Hut sein und sorgfältig<br />
lesen.<br />
Im Untergrund: Zero-Day-Exploit<br />
Eine der tückischsten Methoden dieser Art ist sicherlich<br />
der Zero-Day-Exploit. Michael Eisenmann,<br />
IT-<strong>Security</strong>-Consultant des Global Sourcing-Spezialisten<br />
NIIT Technologies GmbH, erklärt dazu: „Jede<br />
Software wie z.B. das Betriebssystem oder der Webbrowser<br />
weist Schwachstellen auf, die sich Angreifer<br />
zu Nutze machen können. So erlangen sie in einem<br />
gewissen Umfang Kontrolle über ein System oder<br />
veranlassen es, Aktionen auszuführen. Besonders<br />
gefährlich sind Zero-Day-Attacken. Denn sie zielen<br />
auf Schwachstellen ab, die noch nicht bekannt sind –<br />
der Softwarehersteller wird somit erst zum Zeitpunkt<br />
des Angriffs darauf aufmerksam. Daher kann es noch<br />
keine signaturbasierte Erkennung und auch keinen<br />
Patch geben und der Nutzer hat es schwer, sich zu<br />
schützen.“<br />
ANGRIFF<br />
Die NIIT Technologies hat daher hierzu ein paar Empfehlungen<br />
für Anwender zusammengefasst, wie der<br />
Schutz vor Zero-Day-Exploit erhöht werden kann:<br />
�� Nie mit Administratorrechten arbeiten<br />
�� Nicht verwendete Programme deinstallieren<br />
�� Diversität: Populäre Software ist Zielscheibe von<br />
Angriffen. Dies bei der Auswahl der eingesetzten<br />
Software beachten<br />
�� Virenschutz namhafter Hersteller, der vor “Zero-<br />
Day”-Angriffen schützt, einsetzen<br />
�� Betriebssystem, Webbrowser inklusive Pluggins<br />
und AddOns sowie weitere installierte Software mittels<br />
Updates und Patches auf dem aktuellen Stand<br />
halten<br />
�� Eine Firewall einsetzten und nur benötigten Datenverkehr<br />
erlauben (so restriktiv wie möglich – so frei<br />
wie nötig)<br />
�� Niemals auf in E-Mails enthaltene Links klicken.<br />
Adresse manuell im Browser eingeben und nicht<br />
die Browsereigene Erinnerungsfunktion nutzen<br />
�� Bei der Eingabe persönlicher Daten darauf achten,<br />
dass eine SSL-gesicherte Verbindung (https) aufgebaut<br />
wurde<br />
�� ���� ���������� ����� ���� ������ ������������ �������<br />
ausgestellt worden sein<br />
�� �������������������������������������������������nen,<br />
wenn sie aus vertrauenswürdiger Quelle stammen.<br />
Bei Unklarheiten telefonisch mit dem Absender<br />
der E-Mail in Kontakt treten.<br />
Bezahldienste unter Beschuss<br />
Gefahren sind jedoch nicht nur Online-Banking-Kunden,<br />
sondern auch die Nutzer des globalen Bezahldienstes<br />
PayPal ausgesetzt. Hier werden immer wieder<br />
Phishing-Mails, die vermeintlich von PayPal stammen,<br />
in Umlauf gebracht, um individuelle Daten abzugreifen.<br />
Der User wird zum Anklicken eines vermeintlich<br />
korrekten Links und dann auf einer täuschend echten<br />
„Kopie“ der Website zur Eingabe seiner Zugangsdaten<br />
aufgefordert – diese landen dann geradewegs in den<br />
Händen der Hacker. Gerade in den letzten drei Monaten<br />
traten hier immer wieder Phishing-Wellen auf. In<br />
einem Fall gaben sich die Betrüger als Vertreter des<br />
Bezahldienstes aus und brachten die Empfänger über<br />
einen Link zur Eingabe ihrer Kreditkartendaten. Diese<br />
wurden dann direkt ins Notizbuch des Datendiebs<br />
diktiert.<br />
Auch hier gilt die Faustregel: Paypal und Kreditkarteninstitute<br />
fordern ihre Kunden grundsätzlich nie zur<br />
Eingabe solcher Daten auf. Ist man dennoch im Zweifel,<br />
empfiehlt sich der Anruf bei Dienstleister, um auf Nummer<br />
sicher zu gehen. Des Weiteren sollte man grundsätzlich<br />
nie einen Link in einer Mail anklicken, sondern<br />
sich die Mühe machen, ihn in den Browser zu kopieren.<br />
9/2010
Vorsorge statt Nachsorge mit eAusweis<br />
Neben klassischen Schutzprogrammen wie Anti-Viren-Software<br />
oder Firewall mit Erkennung von Phishing-Attacken<br />
und der eigenen Achtsamkeit kann<br />
der elektronische Personalausweis, der zum 1. November<br />
2010 eingeführt wird, Abhilfe schaffen. Mit<br />
der Nutzung des Dienstes auf freiwilliger Basis können<br />
sich sowohl Nutzer als auch Anbieter von Online-Services<br />
ausweisen. Der Bankkunde legt dafür<br />
seinen Ausweis auf das spezielle Lesegerät und authentifiziert<br />
sich mit seiner persönlichen Identifikationsnummer<br />
(PIN). Zum Auslesen seiner digitalen<br />
Daten sind dann nur entsprechend zertifizierte Unternehmen<br />
bzw. Organisationen berechtigt. Sie müssen<br />
zudem jeweils durch den Kartenbesitzer autorisiert<br />
werden. Laut BITKOM beabsichtigen fast 40 Prozent<br />
der Internet-Nutzer, den neuen Ausweis zukünftig<br />
beim Online-Banking zu nutzen.<br />
Fazit: Damit Datendiebe nicht in fremden Gewässern,<br />
sondern im Trüben phishen, sollten sich Nutzer<br />
von Online-Banking nicht nur auf die Schutzmaßnahmen<br />
ihres Finanzinstitutes verlassen, sondern sich ein<br />
eigenes Bollwerk gegen Zugriffe von außen aufbauen.<br />
Gleichzeitig empfiehlt sich die umfassende Information<br />
über Gefahren und Sicherheit sowie eine gesunde<br />
Skepsis. Im Zweifel hilft dann „Back to the Roots“: den<br />
PC aus- und den guten alten Bankautomaten einschalten.<br />
ULRIKE PETER<br />
Der Autorin ist freie Journalistin und seit zehn Jahren für unterschiedliche<br />
Unternehmen und Medien in der IT-Branche<br />
tätig. Ihre Spezialisierung liegt hierbei auf den Themenbereichen<br />
ICT-<strong>Security</strong>, Netzwerke, IT-Strategien und Telekommunikation.<br />
Ihre Veröffentlichungen erstrecken sich über renommierte<br />
Medien aus der Fachpresse bis hin zu Tages-, Online-<br />
und Wirtschaftsmedien sowie vertikaler Branchenpresse.<br />
hakin9.org/de
32<br />
INTERVIEW<br />
„SSL-Zertifikate sind eine Möglichkeit, den<br />
Gefahren im Internet wirkungsvoll zu begegnen“<br />
Interview mit Christian Heutger<br />
Christian Heutger is Geschäftsführer und Gründer der PSW Group<br />
GmbH & Co. KG.<br />
hakin9: Herr Heutger, im September feiert Ihr<br />
Unternehmen sein 10-Jähriges Firmen-Jubiläum.<br />
Wie hat sich die Unternehmenshistorie in den<br />
vergangenen Jahren so gestaltet?<br />
Christian Heutger: In den Anfangsjahren lag der Schwerpunkt<br />
unserer Arbeit vorwiegend im Bereich Internet Services.<br />
Später dann wurden Zertifikats- und Signaturlösungen<br />
zu einer tragenden Säule unseres Unternehmens<br />
und fortan erweiterten wir unser Portfolio kontinuierlich, beispielsweise<br />
um Linux- und BSD-Lösungen, Enterprise Antivirus<br />
und <strong>Security</strong> sowie um qualifizierte Signaturen gemäß<br />
dem deutschen Signaturgesetz. Um das Jahr 2008 herum<br />
folgten dann zusätzliche neue Produkte wie iMARC zur revisionssicheren<br />
E-Mail-Archivierung, Z1 SecureMail zur<br />
Ver- und Entschlüsselung sowie zur Überprüfung und Signierung<br />
von E-Mails am Gateway, Alfresco und O3Spaces<br />
als Dokumentenmanagementsysteme, easyVERSION als<br />
Software-Verwaltungssystem sowie Zarafa und Exchange<br />
als Lösungen zur Optimierung der internen Kommunikation<br />
und des Teammanagements und viele weitere mehr.<br />
Zudem haben wir zahlreiche Partnerschaften geschlossen<br />
und im vergangenen Jahr unseren Unternehmensbereich<br />
PSW MEDIA erfolgreich aufgebaut.<br />
Heute sehen wir uns als Full Service Provider von Internetdienstleistungen<br />
mit den Schwerpunkten Internet<br />
<strong>Security</strong> sowie Zertifikats- und Signaturlösungen aber<br />
auch als Spezialist für die Entwicklung und Umsetzung<br />
maßgeschneiderter Marketingkonzeptionen.<br />
hakin9: Ihr Schwerpunkt liegt auf SSL-<br />
Zertifikaten. Welche Zertifikatslösungen<br />
entwickeln Sie und wozu dienen diese?<br />
Christian Heutger: SSL-Zertifikate ermöglichen die<br />
Verschlüsselung vertraulicher Daten bei Online-Transaktionen.<br />
Dies ist besonders wichtig beispielsweise<br />
bei Online-Shops, da auf diesen Seiten stets persönliche<br />
Inhalte wie Benutzernamen aber auch Bank- und<br />
Kreditkartendaten übermittelt werden. Zudem erfordern<br />
SSL-Zertifikate eine Validierung des Beauftragten.<br />
Durch eindeutige und authentifizierte Informationen<br />
wird sichergestellt, dass sich der Eigentümer eines<br />
Zertifikats qualifiziert ausgewiesen hat. Ausgabe- und<br />
Zertifizierungsstellen prüfen diese Daten mit strikter<br />
Genauigkeit, um somit zum Vertrauen in die Zertifikate<br />
schon vor deren eigentlicher Nutzung beizutragen.<br />
Neben Single- und Wildcard-Zertifikaten bieten wir<br />
vor allem Multidomain-Zertifikate und Unified Communications-Zertifikate<br />
für Exchange-Server sowie Office<br />
Communication-Server gemäß Microsoft Technet an.<br />
Als Kooperationspartner von VeriSign, thawte, Geo-<br />
Trust, Comodo und GlobalSign sind wir zudem in der<br />
Lage, Lösungen speziell auf die Bedürfnisse unserer<br />
Kunden zuzuschneiden und unabhängig von einer Zertifizierungsstelle<br />
anzubieten.<br />
hakin9: Wie viele Experten nehmen an dem<br />
Prozess teil?<br />
Christian Heutger: Insgesamt sind es sechs Experten,<br />
die unsere Kunden von der Bestellung bis zur Installation<br />
beraten und betreuen.<br />
hakin9: In welche Validierungsstufen werden die<br />
Zertifikate aufgeteilt?<br />
Christian Heutger: Wir unterscheiden bei den Zertifikaten<br />
die Validierungsstufen DV (Domain-Validation),<br />
OV (Organisation-Validation) und EV (Extended-Validation).<br />
Bei der Domainvalidierung (DV) wird durch einen<br />
E-Mail-Robot eine E-Mail an eine Adresse aus dem<br />
WHOIS oder eine alternative administrative Adresse<br />
gesandt, um die Bestellung zu bestätigen. Hiermit wird<br />
9/2010
sichergestellt und abschließend zertifiziert, dass die<br />
Domain sowie ein administrativer Kontakt existieren. Im<br />
Zertifikat wird ausschließlich die Domain genannt.<br />
Bei der Organisationsvalidierung (OV) wird ein entsprechendes<br />
Dokument zur Authentifizierung des Zertifikatsinhabers<br />
angefordert, geprüft und mit den Angaben<br />
im WHOIS abgeglichen. Beim Platinum-Zertifikat<br />
erfolgt außerdem ein Anruf beim Zertifikatsinhaber, um<br />
die Bestellung noch einmal abschließend zu bestätigen.<br />
Im daraufhin ausgestellten Zertifikat werden die<br />
kompletten Angaben des Zertifikatsinhabers angezeigt.<br />
Ebenso werden die vollständigen Daten in einer Echtzeitprüfung<br />
über das jeweilige TrustLogo angezeigt.<br />
Die Erweiterte Validierung (EV) schafft auf einfache und<br />
zuverlässige Art mehr Vertrauen bei den Websitebesuchern.<br />
Nur bei SSL-Zertifikaten mit Extended Validation zeigen<br />
hochsichere Webbrowser wie Internet ab 7 und Firefox<br />
ab 3 eine grün hinterlegte Adressleiste mit dem Namen des<br />
Unternehmens und der Zertifizierungsstelle an.<br />
hakin9: Wie wirken sich Extended-Validation<br />
Zertifikate auf das Nutzerverhalten aus?<br />
Christian Heutger: Durch die grüne Leiste bei Extended-Validation-Zertifikaten<br />
wird dem Besucher sofort<br />
signalisiert, dass die Transaktionen verschlüsselt und<br />
das Unternehmen gemäß einheitlich hohem Standard<br />
authentifiziert ist. Zudem wird die Vertrauenswürdigkeit<br />
der Website mit einem Trustlogo, das auf der Seite platziert<br />
ist, sichtbar nach außen getragen. Dies sorgt für<br />
höheres Vertrauen unter den Nutzern und für weniger<br />
Kaufabbrüche.<br />
hakin9: Wie sieht die Authentifizierung mit<br />
Extended Validation aus?<br />
Christian Heutger: Bei der Extended Validation wird<br />
die Firmierung bzw. Organisation geprüft und es erfolgt<br />
ein einheitlicher Validierungsprozess. Prüfen tut hierbei<br />
die jeweilige CA nach dem sogenannten Vier-Augen-<br />
Prinzip. So muss gemäß der vom CA/Browser-Forum<br />
herausgegebenen Kriterien gewährleistet sein, dass<br />
der Antragssteller alleiniger Besitzer der Domain ist, für<br />
die das Zertifikat ausgestellt werden soll und dass er<br />
zugleich berechtigt ist, das Zertifikat für das beauftragte<br />
Unternehmen zu beantragen. Zudem muss die Identität<br />
des Antragsstellers sowie dessen Geschäftsadresse<br />
nachgewiesen werden.<br />
Um ein EV-SSL Zertifikat auszustellen zu dürfen, müssen<br />
sich jedoch selbst die Zertifizierungsstellen einem<br />
vorherigen verpflichtenden Web-Trust-Audit unterziehen.<br />
Das bedeutet, die Überprüfung und Zertifizierung<br />
der Zertifizierungsstellen selbst. Es wird also geprüft,<br />
dass sich die CAs an die Richtlinien des gemeinsamen<br />
Katalogs des CAB-Forums halten. Diese Web-Trust-<br />
Audits werden von Wirtschaftsprüfungsgesellschaften<br />
wie beispielsweise der KPMG durchgeführt und müssen<br />
regelmäßig erneuert werden.<br />
Interview mit Christian Heutger<br />
hakin9: Die Zahl von Angriffsmethoden nimmt<br />
ständig zu. Welchen neusten Angriffen können<br />
Internetnutzer zum Opfer fallen?<br />
Christian Heutger: Neben dem Phishing, also dem<br />
klassischen Diebstahl von Zugangsdaten wie Kreditkartennummern<br />
und Passwörtern mit Hilfe von Trojanern<br />
und anderer Malware, zählen heute Pharming, Spear<br />
Phishing und Whaling mit zu den gefährlichsten Angriffsmethoden<br />
im Internet. Beim Pharming handelt es sich<br />
um einen Phishing-Angriff, bei dem der Domainname<br />
kompromittiert und der Nutzer auf eine gefälschte Website<br />
umgeleitet wird, während beim Spear Phishing eine<br />
Attacke gegen ein eng gewähltes Ziel wie beispielsweise<br />
eine bestimmte Person oder Gruppe vorliegt. Das<br />
Whaling hingegen bezeichnet einen Angriff gegen eine<br />
Person mit besonders hohem Wert, beispielsweise den<br />
Vorstandsvorsitzenden eines DAX-Unternehmens.<br />
hakin9: Wie halten Abwehrmethoden bzw. SSL-<br />
Zertifikate das Tempo mit?<br />
Christian Heutger: Die CAs bemühen sich natürlich mit<br />
2048 bit Roots, SHA1 und Zwischenzertifizierungen Schritt<br />
zu halten und versuchen neben der Extended-Validation<br />
mit TrustSeal, HackerGuardian, HackerProof, VIP Mobile<br />
usw. den neuen Gefahren konsequent entgegenzuwirken<br />
– alles Maßnahmen zur Erhöhung der IT-Sicherheit, auf<br />
die wir dann sicher noch zu sprechen kommen werden.<br />
hakin9: Das Internet bietet zahlreiche<br />
Möglichkeiten sich das Leben leichter zu machen<br />
und dabei auch Spaß zu haben. Online-Geschäfte<br />
sind an der Tagesordnung. Auf welche Gefahren<br />
können Internetnutzer dabei stoßen?<br />
Christian Heutger: Auch hier sei neben dem Pharming an<br />
erster Stelle wieder das Phishing, also der kriminelle Diebstahl<br />
geheimer Zugangsdaten, genannt, der vor allem dann<br />
entsteht, wenn unsichere Online-Transaktionen vorliegen.<br />
Jedoch sollte man beachten, dass Phishing längst auch<br />
von seriösen Sites erfolgt, also unter völliger Unwissenheit<br />
des Sitebetreibers. Beispielsweise geschieht dies durch<br />
über Banner eingeschleuste Schadcodes, vor denen wiederum<br />
der Malware-Scan des VeriSign TrustSeals sowie<br />
der HackerProof- bzw. HackerGuardian-Scan von Comodo<br />
schützen können. BeimTrustSeal und beim HackerProof<br />
werden die Websites täglich auf Schadcodes, Malware und<br />
weitere Schwachstellen hin gescannt, um die Sicherheit der<br />
Sites zu erhöhen. Beim HackerGuardian werden Sites auf<br />
deren Sicherheit geprüft und ein Protokoll auf Erfüllung der<br />
Sicherheitsrichtlinien nach Payment Card Industry (PCI)<br />
geliefert. Auch mit VIP Mobile halten wir hier eine Lösung<br />
parat, um Online-Transaktionen sicherer zu machen.<br />
hakin9: Welche Bedeutung und welche Vorteile<br />
haben bei Online-Transaktionen SSL-Zertifikate?<br />
Christian Heutger: SSL-Zertifikate sind eine Möglichkeit,<br />
den Gefahren im Internet wirkungsvoll zu begegnen.<br />
hakin9.org/de 33
34<br />
Doch bieten wir längst eine Reihe weiterer, neuartiger<br />
Produkte an, um bei Online-Transaktionen den Schutz<br />
noch weiter zu erhöhen. Immer mehr Verbraucher nutzen<br />
mittlerweile Websites mit starken Sicherheitsmaßnahmen<br />
wie der Zwei-Faktor-Authentifizierung. Hierbei<br />
bestätigen die Benutzer ihre Identität anhand von zwei<br />
Faktoren: durch etwas, was ihnen bekannt ist, beispielsweise<br />
ein Benutzername und ein Passwort, und durch<br />
etwas, was sich in ihrem Besitz befindet, etwa ein Gerät,<br />
welches ein Einmalpasswort generiert. Bisher war<br />
bei der Zwei-Faktor-Authentifizierung für jede Website<br />
ein eigenes Gerät erforderlich, was diese Art der Authentifizierung<br />
für Unternehmen zu einem kostenintensiven<br />
Unterfangen und für die Verbraucher zu einem Ärgernis<br />
machte.<br />
Mit VIP Mobile (VeriSign Identity Protection Access<br />
for Mobile) bieten wir eine kostengünstige und einfache<br />
Zwei-Faktor-Authentifizierung an. Diese Anwendung<br />
verwandelt ein Mobiltelefon in ein mobiles Token,<br />
welches absolut sichere Transaktionen mit bisher rund<br />
40 Unternehmen ermöglicht.<br />
Neben VIP Mobile als Erweiterung zu SSL bieten<br />
wir, wie bereits genannt, das VeriSign Trust Seal, den<br />
Commodo HackerProof mit Malware-Scan, den HackerGuardian<br />
mit PCI-Scan sowie eine Reseller-Lösung<br />
für die Domain Name System <strong>Security</strong> Extensions<br />
(DNSSEC) zur Verhinderung von DNS-Poisoning<br />
als auch die Signierung von Dateien im Internet mit<br />
Code-Signing zur Installation ausschließlich signierter<br />
Anwendungen an.<br />
hakin9: Welche Sicherheitsregeln zur<br />
Minimierung der Gefahren aus dem Internet sind<br />
zu beachten?<br />
Christian Heutger: Natürlich ist es wichtig, die aktuellste<br />
Software, Virenscanner und Firewall einzusetzen<br />
sowie Software nur aus vertrauenswürdigen Quellen zu<br />
installieren, optimaler weise ist die Software hierbei digital<br />
signiert. Darüber hinaus sollte man aber auch immer<br />
auf die SSL-Zertifikate, insbesondere auf die grüne<br />
Adressleiste von Extended-Validation, achten.<br />
hakin9: Ist es überhaupt möglich sich 100%<br />
gegen die Angriffe zu schützen?<br />
Christian Heutger: 100%-igen Schutz gibt es sicherlich<br />
nie. Man denke an die erst kürzlich veröffentlichte<br />
Planetopia-Reportage zur Fälschbarkeit eines EV<br />
und an das Aushebeln von Schutzmechanismen durch<br />
Browser-Cracking; das sogenannte Black Hat für die<br />
Bezeichnung eines destruktiven Hackers.<br />
Mit entsprechenden Sicherheitsmaßnahmen und Risikobewusstsein<br />
aber lassen sich die Gefahren stets<br />
auf ein kalkulierbares Minimum reduzieren.<br />
Wir bedanken uns für das Gespräch!
��������<br />
�������<br />
�������<br />
��������������<br />
���������������������<br />
������������<br />
����� ����������������<br />
����� ����������������<br />
�����������������<br />
����������������<br />
���������������������������<br />
�������������������������������������<br />
��������������������������������������<br />
������������������������������<br />
�������������������������������������������<br />
����������������������������������������<br />
��������������������������������������<br />
�����������������<br />
��������������<br />
����������������������<br />
���������������������������������������������������<br />
������������������������������������<br />
���������������������������������������<br />
����������������<br />
��������������������<br />
��������������������������������������
36<br />
hakin9: Ihr Themenbereich ist sehr breit. Wo liegt<br />
Ihr Schwerpunkt?<br />
Alexander Graf: Unsere Schwerpunkte beruhen auf<br />
drei Säulen, die stets Software/Support und Dienstleistungen<br />
umfassen:<br />
�� ���������� ���� ���������������������� ������������<br />
��������������������������������<br />
�� �������������������������������������������������-<br />
�������������������<br />
�� ������������������� ��� ������������ ������ ������<br />
�������������������������������������������������lungen<br />
fokussiert<br />
hakin9: Wir beobachten ein konstantes<br />
Wachstum des internationalen Marktes für IT-<br />
Sicherheitsprodukte. Wie kommt man damit<br />
zurecht und verliert die Übersicht darüber nicht?<br />
Alexander Graf:���������������������������������������-<br />
����������������������������������������������������������������<br />
���������������������������������������������������������<br />
���������������������������������������������������������<br />
�������������������������������������������������������-<br />
�������������������������������������������������������-<br />
�������������������������������������������������<br />
hakin9: Was ist besonders wichtig für IT-<br />
Sicherheitsanbieter um die Bedürfnisse dieses<br />
stetig wachsenden Marktes zu befriedigen?<br />
Alexander Graf: Unsere Stärke ist wohl eine Art Techno-<br />
��������������������������������������������������������-<br />
����������������������������������������������������������<br />
���������������������������������������������������������<br />
�����������������������������������������������<br />
hakin9: Die Zahl der Angriffsmethoden nimmt<br />
ständig zu. Welche Lösungen bieten Sie an?<br />
Alexander Graf:� ��������� ���� ������ ���� ���������������<br />
������������������������������������������������������<br />
INTERVIEW<br />
„<strong>Security</strong> ist immer ein ganzheitlicher<br />
Ansatz, hinter dem ein Konzept stehen muß<br />
und beginnt meist mit einer Ist-Erhebung,<br />
also einem harten IT Audit”<br />
Interview mit Alexander Graf<br />
Alexander Graf ist einer der beiden Gründer von Antares NetlogiX und<br />
verantwortlich für Vertrieb & Technologie. Davor war er Österreich-<br />
Verantwortlicher für IT Managementlösungen bei GE Capital Solutions<br />
IT. Antares NetlogiX ist Experte für IT Infrastruktur, IT Sicherheit und IT<br />
Monitoring<br />
����������������������������������������������������������<br />
�������� ��������� ������� ��������� ���� ����� ��������� ���-<br />
���������������������������������������������������������<br />
������������� ����������� �������� ���� ��������� ������-<br />
��������������������������������������������������������������<br />
��� ���� ��������� ���� ������������������ ������� ������� ��-<br />
��������������������������������������������������������-<br />
��������������������������������������������������������<br />
���������������������������������������������������������<br />
weltweit noch nicht gibt, wie uns der internationale Auditor<br />
�������������<br />
hakin9: Webbasierte Applikationen im<br />
Unternehmen werden immer häufiger das Ziel<br />
von internen und externen Angriffen. Was ist Ihre<br />
Konzeption das zu verhindern?<br />
Alexander Graf:�������������������������������������������-<br />
����������������������������������������������������������<br />
�����������������������������������������������������������<br />
mit einer Software gegeben ist, die genau für diese Zwecke<br />
�����������������������������������������������������������<br />
���������������������������������������������������������<br />
9/2010
����������������������������������������������������������<br />
�������������������������������������������������������������<br />
erreichen Sie nur mit einer Art „selbstlernender künstlicher<br />
����������������������������������������<br />
hakin9: Wie funktioniert das in der Praxis?<br />
Alexander Graf:��������������������������������������<br />
�������������������������� ���� ���� ������������� ������-<br />
�����������������������������������������������������<br />
����������� ������ ����� ���������������� ������������� ����<br />
���������������������������������������������������������<br />
���� ����������� ��������� ������������������ ������� �����<br />
�������� ��� �������� �������� ��������������� ������� �����<br />
�����������������������������������������������������<br />
����� ����� ��� ������ �������������� ���� ���� ���� �������<br />
�������������������������������������������������������<br />
hakin9: Was umfasst Ihr Angebot für kleine und<br />
mittlere Unternehmen?<br />
Alexander Graf:����������������������������������nehmend<br />
als All-in-One Anbieter wahrgenommen, wenn<br />
��� ��� ��������� ���� ����������������� ������ �������<br />
���������������������������������������������������<br />
��������������������������������������������������������<br />
����������������������������������������������������<br />
���������������������������������������������������-<br />
���������������������������������������������������<br />
������������ ���������� ��� ������ ����� ������ �����-<br />
���������� ���� �������������������� ����� ���������<br />
�����������������������������������������������������<br />
hakin9: Sie sind Microsoft Gold Partner.<br />
Wie haben Sie das Vertrauen von solchem<br />
Großpartner aufgebaut?<br />
Alexander Graf:�������������������������������������������<br />
��������������������������������������������������������<br />
������������������������������������������������������-<br />
��������������������������������������������������-<br />
�����������������������������������������������������-<br />
������������������������������������������������������<br />
���������������������������������������������������������<br />
���������������������������������������������������������-<br />
��������������������������������������������������������-<br />
�������������������������������������������������������-<br />
���������������������������������������������������������<br />
���������������������������������������������������������<br />
�������������������������������������������������������<br />
�������������������������������������������<br />
hakin9: Die kleingliedrige Struktur der IT-<br />
Sicherheitsbranche in Österreich und<br />
Deutschland erfordert es, dass Unternehmen<br />
verstärkt kooperieren. Wie sieht solche<br />
Kooperation zwischen den Unternehmen aus?<br />
Alexander Graf:� �������� ��������� ������ ����� ���� ������<br />
��������������������������������������������������������<br />
Interview mit Alexander Graf<br />
������������������������������������������������������<br />
�������������������������������������������������������ne<br />
diplomatische Kommunikation mit dem bestehenden<br />
�������������� �������� �������� ���� ���� ���� �������������-<br />
�����������������������������������������������������-<br />
������������������������������������������������������<br />
�����������������������������������������������������-<br />
�������������������������������������������������������<br />
������������������������������������������������������������<br />
����������������������������������������������������<br />
��������������������������������������������<br />
hakin9: Sie sind IT-Berater. Was bieten Sie Ihren<br />
Kunden an und wer sind Ihre Kunden?<br />
Alexander Graf:� ������� �������� ������� ����� ����-<br />
����� ������������������������� ������������ ���� �����-<br />
��������������������������������������������������������-<br />
����������������������������������������������������<br />
���� �������������� ��������������� ������������� ��������<br />
������������ ��������� ����� ����� �������� ���� ���������<br />
einer eingehenden organisatorischen und technologi-<br />
���������������������������������������������������������<br />
�������������������������������������������������������-<br />
���������� ��������������� ������������� ��������������-<br />
�����������������������������<br />
hakin9: Welche Erwartungen haben die Kunden<br />
Ihrer Schulungen?<br />
Alexander Graf: Unsere Kunden besuchen gerne un-<br />
��������������������������������������������������������<br />
���� �������� ���� ����������� ����������� ������� ���� ���<br />
�������� ����� �������� ����� ���� ������� ���� ������� ����<br />
����������������������������������������������������-<br />
����� ����� ���� ������������ ����������� ������ ���� �����<br />
��������������������������������������������������������<br />
�����������������������������������<br />
hakin9: Welche Pläne, die IT-Sicherheit Branche<br />
betreffend, haben Sie für das Jahr 2011 vor?<br />
Alexander Graf: Wir erwarten eine noch stärkere The-<br />
������������������������������������������������������<br />
��� ��������� ����� ����� ����� ����� ��������� ���� �����-<br />
���������������������������������������������������������<br />
��������������������������������������������������-<br />
������������������������������������������������������<br />
�����������������������������������������������������-<br />
��������������������������������<br />
�������������������������������������������������<br />
���������� ��������� ���� ����� ����� �������������� ������<br />
�� ����� ����� ����� ��������������� ������ �������� �����<br />
����������������� ���� ������������������ ����������<br />
�������������������������������������������������������-<br />
�����������������������������������������������������<br />
������������������������<br />
Wir bedanken uns für das Gespräch!<br />
hakin9.org/de 37
Interview mit Roberto Valerio<br />
„Fast alle Anbieter legen Nutzerdaten<br />
unverschlüsselt ab. Das ist sicherlich einfacher<br />
in der Handhabe und spart auch Ressourcen<br />
– aber damit sind die Daten nur so sicher, wie<br />
der Anbieter es schafft, interne und externe<br />
Zugriffe auf die Daten zu unterbinden”<br />
Interview mit Roberto Valerio<br />
Robert Valerio ist Geschäftsführer der Firma CloudSafe GmbH,<br />
Betreiber der Plattform cloudsafe.com<br />
hakin9: Erzählen Sie uns bitte ein wenig über sich<br />
selbst: wer sind Sie, was machen Sie und wie ist es<br />
dazu gekommen, dass Sie sich mit IT-Sicherheit<br />
Branche beschäftigen?<br />
Robert Valerio: Ich bin Geschäftsführer der CloudSafe<br />
GmbH, Hamburg und schon seit vielen Jahren in<br />
unterschiedlichen IT-Bereichen aktiv. Angefangen habe<br />
ich traditionell mit Programmierung auf dem C64,<br />
Amiga 500 und 68k Macs. Seit 1992 bin ich aktiv in<br />
den Vorläufern des heutigen WWW unterwegs und seit<br />
1999 mit der Startup-Szene verbunden. Dabei konnte<br />
ich viel Erfahrung im Bereich Sicherheit von Servern<br />
und Webanwendungen sammeln – aus meiner Sicht<br />
eines der vorrangigen Themen der nächsten Jahre für<br />
das Cloud Computing.<br />
hakin9: Wer und was ist CloudSafe?<br />
Robert Valerio: CloudSafe stellt seinen Nutzern eine<br />
Plattform zur sicheren Ablage und Verwaltung von<br />
sensiblen Daten zur Verfügung. Dabei werden alle<br />
Daten verschlüsselt abgelegt. Nutzer können auf<br />
CloudSafe beliebig viele Dokumente jeder Art und<br />
Größe in virtuellen Safes ablegen. Es können weiteren<br />
Personen und Gruppen individuelle Zugriffsrechte<br />
auf die Safes eingeräumt und somit ein sicherer<br />
Datenaustausch ermöglicht werden. Diese Rechte<br />
sind ferner über spezifische Freigabefunktionen und<br />
Zugriffscodes erweiterbar. Wir haben dabei eine sehr<br />
sichere, hybride Verschlüsselungsarchitektur umgesetzt:<br />
Safe-Inhalte werden synchron über AES256<br />
verschlüsselt, Nutzerzugriffe über eine Public/Private-Key<br />
Infrastruktur abgebildet.<br />
hakin9: Wer arbeitet daran?<br />
Robert Valerio: Unser Büro ist in Hamburg, in Hamburg<br />
sitzen auch die Entwickler und die Webdesigner.<br />
Zusätzlich arbeiten eine Handvoll an freien Mitarbeitern<br />
für CloudSafe. Insgesamt sind 15 Personen<br />
involviert. Wir haben eine komplett digitale Firmenstruktur:<br />
Nur die Buchhaltung findet auf dem Papier<br />
statt. Sämtliche andere Prozesse sind rein digital<br />
abgebildet. Jeder von uns klappt seinen Laptop auf<br />
und ist Bestandteil des Teams, egal wo er sitzt. Wir<br />
suchen übrigens Verstärkung für den französischen,<br />
spanischen und italienischen Markt.<br />
hakin9: Woher kommt der Name CloudSafe?<br />
Robert Valerio: Wir wollten mit unserem Namen zwei<br />
vermeintliche Widersprüche vereinen: Cloud-Services<br />
und Sicherheit. Viele Internetnutzer haben kein großes<br />
Vertrauen in die Sicherheit von Cloud-Storage Anbietern.<br />
Und damit haben Sie auch recht. Fast alle Anbieter<br />
hakin9.org/de 39
40<br />
legen Nutzerdaten unverschlüsselt ab. Das ist sicherlich<br />
einfacher in der Handhabe und spart auch Ressourcen<br />
– aber damit sind die Daten nur so sicher, wie der<br />
Anbieter es schafft, interne und externe Zugriffe auf die<br />
Daten zu unterbinden. Selbst bei großen Anbietern wie<br />
Amazon und Google haben Mitarbeiter unerlaubten Zugriff<br />
auf persönliche Daten genommen. CloudSafe ist<br />
deswegen bewußt als eine Plattform entwickelt worden,<br />
bei der der Betreiber selber keinen Zugriff auf die Daten<br />
nehmen kann. Wir speichern bei uns keine Passwörter<br />
und keine Zugangscodes. Auch wenn jemand also<br />
Zugriff auf unsere dedizierte Storage oder unsere Datenbank<br />
hätte, könnte er nicht an die unverschlüsselten<br />
Inhalte der Safes unserer Nutzer kommen.<br />
hakin9: Was sind die Schwerpunkte von<br />
CloudSafe?<br />
Robert Valerio: Ganz klar die Sicherheit. Wir gehen<br />
davon aus, daß in Zukunft ein Großteil der Geräte mit<br />
denen wir arbeiten werden, den eigenen Datenbestand<br />
nicht mehr lokal vorhalten wird. Erste Tendenzen<br />
sind schon bei Mobiltelefonen, Tablets und Netbooks<br />
auszumachen. Uns geht es nicht darum, die<br />
Urlaubsbilder oder die Musiksammlung zu speichern<br />
– dafür gibt es schon eine Reihe von bewährten Anbietern.<br />
Wir wollen für die wirklich relevanten Daten eine<br />
sichere Umgebung anbieten: Dokumente, die man<br />
nicht gerne in die Hände von großen Anbietern geben<br />
möchte, bei denen der Zugriff nur über eine Corporate<br />
Policy geschützt ist, nicht über echte Verschlüsselung.<br />
Und CloudSafe bietet zusätzliche Optionen, um<br />
besagte Daten in Notfallsituationen anderen zu überlassen<br />
oder die Daten im geschäftlichen Umfeld mit<br />
berechtigten Personen auszutauschen.<br />
hakin9: Wer sind Benutzer von CloudSafe?<br />
Robert Valerio: Wir setzten den Fokus auf zwei Gruppen:<br />
Privatpersonen, die für Notfallsituationen Kopien<br />
ihrer relevanten Dateien sicher abgelegt haben möchten<br />
– ob nun für den eigenen Zugriff, oder für den Zugriff<br />
durch Vertrauenspersonen. Und wir adressieren<br />
ferner Personen, die in Ihrem geschäftlichen Umfeld<br />
online sensible Daten austauschen möchten – nachweisbar<br />
ohne Zugriffsmöglichkeiten durch den Anbieter.<br />
Das können unter anderem Vertragsunterlagen, Pläne,<br />
Dokumente, aber auch Passwörter und Schlüsseldateien<br />
sein. Wir werden für die einfache Anwendung immer<br />
eine kostenfreie Mitgliedschaft anbieten - bezahlen<br />
tut man nur für spezifische Funktionen oder wenn man<br />
mehr Speicherplatz benötigt.<br />
hakin9: Sie haben neue Zugangsoptionen für<br />
Datenaustausch eingeführt. Was bedeutet das in<br />
der Praxis?<br />
Robert Valerio: Uns ist bei der Konzeption von Cloud-<br />
Safe aufgefallen, daß die meisten Produkte für die ver-<br />
INTERVIEW<br />
schlüsselte Ablage von Daten nur einen einzigen Zugriff<br />
per Passwort ermöglichen. Das ist aus unserer Sicht<br />
eine Sackgasse. CloudSafe bietet einfache Möglichkeiten,<br />
Dritten Zugriff auf die eigenen Safes zu geben.<br />
Ganz ohne komplexe Gruppenverwaltung und dateibasierte<br />
Rechtevergabe, die man in der Praxis auch nur<br />
selten benötigt. Wir sind vor drei Wochen gestartet und<br />
stellen fest, daß sich einige unserer Nutzer erst an die<br />
neuartigen Zugangsoptionen gewöhnen müssen. Wir<br />
werden deswegen in Kürze mehr Erläuterungen zu den<br />
Optionen online stellen.<br />
hakin9: CloudSafe sollte einfach in der<br />
Anwendung sein. Wie wird diese Einfachheit mit<br />
Sicherheit kombiniert?<br />
Robert Valerio: Von der komplexen kryptographischen<br />
Architektur, die wir mit der Plattform umgesetzt<br />
haben, bekommt der Nutzer wenig mit. Er legt letztlich<br />
seine Safes an und lädt seine Daten via Browser oder<br />
WebDAV hoch. Vertrauenspersonen werden einmal<br />
per E-Mail eingeladen und identifiziert. Danach steht<br />
einem sicheren Datenaustausch nichts mehr im Wege,<br />
die Verwaltung der Schlüssel übernimmt, anders<br />
als bei PGP oder GnuPG, dann CloudSafe direkt. Der<br />
Nutzer muß nur einmal sicherstellen, daß er tatsächlich<br />
die Person per E-Mail erreicht hat, mit der er später<br />
Daten austauschen möchte.<br />
hakin9: Wie sieht die Zukunft von CloudSafe aus?<br />
Robert Valerio: Viel Nutzer haben uns darum gebeten,<br />
eine einfache Form der verschlüsselten Datenübermittlung<br />
anzubieten. Wir werden also in Kürze auch die<br />
Möglichkeit anbieten, Nachrichten mit und ohne Anhänge<br />
über CloudSafe als Plattform auszutauschen. Erst<br />
über das Web-Frontend, später über mobile Applikationen.<br />
Wichtig ist dabei, daß die Daten auch hier ausschließlich<br />
verschlüsselt ausgetauscht werden – auch<br />
auf unserer Plattform. Damit sind wir deutlich sicherer<br />
als jeder Mailserver und unabhängig von unterschiedlichen<br />
Mail-Clients.<br />
hakin9: Welche Pläne die IT-Sicherheit Branche<br />
betreffend haben Sie noch vor?<br />
Robert Valerio: Wir sehen unseren Fokus bei Applikationen<br />
rund um die sichere Datenablage und den sicheren<br />
Datenaustausch, egal mit welchem Gerät man<br />
auf diese Daten zugreifen möchte. Anfang nächstes<br />
Jahr werden wir dazu auch eine eigene API anbieten.<br />
Damit können auch andere Webanwendungen und<br />
Software die Plattform CloudSafe als sicheres Backend<br />
nutzen. Zur Zeit sprechen wir dort mit Anbietern<br />
von Passwort-Managern.<br />
Wir bedanken uns für das Gespräch!<br />
9/2010
42<br />
ANGRIFF<br />
Java Applet Attacke mit SET<br />
Patrick Schmid<br />
Ein Angriff mit Java ist nicht nur auf Grund<br />
plattformübergreifender Lauffähigkeit, sondern auch wegen<br />
seiner weiten Verbreitung sehr beliebt. Durch SET wird die<br />
Vorbereitung und die Ausführung einer Java Applet Attacke<br />
nun zu einem Kinderspiel.<br />
IN DIESEM ARTIKEL ERFAHREN SIE...<br />
��� �������������<br />
�� ���������������������������������������������������<br />
�� ���������������������������������������������������������<br />
durchgeführt wird.<br />
Hinter dem klingenden Namen SET, kurz für Social-Engineering<br />
Toolkit steckt ein in Python geschriebenes<br />
Skript zur einfachen und schnellen<br />
Durchführung von diversen Angriffen (Bild 1). Veröffentlicht<br />
wurde das Skript unter der Open Source-Lizenz<br />
von David Kennedy [1] .<br />
Ein grosser Vorteil von SET; neben dem Ausführen<br />
von einzelnen Angriffen bietet es auch eine stabile und<br />
unkomplizierte Schnittstelle zu Metasploit, welches<br />
nach gestartetem Angriff dann in alt bekannter Manier<br />
die Session zum Opfer verwaltet.<br />
Die Installation ist auf Grund zentraler Verwaltung in<br />
einem SVN Repository gänzlich einfach und auf der offiziellen<br />
Webseite [2] erklärt.<br />
Bevor SET aber benutzt werden kann, muss erst noch<br />
die Konfiguration überprüft und angepasst werden. Dazu<br />
wird die Datei set_config aus dem Ordner config aufgerufen.<br />
In einem ersten Schritt muss unter dem Punkt ME-<br />
TASPLOIT_PATH nun der korrekte Pfad eingegeben<br />
werden, wo Metasploit abgelegt ist.<br />
In einem zweiten Schritt sollte man sich überlegen anstatt<br />
des integrierten Python-Webserver auf den weitaus<br />
stabileren und schnelleren Webserver Apache umzusteigen.<br />
Ist dies der Fall, so muss auch die Option<br />
unter dem Punkt APACHE_SERVER aktiviert und der<br />
entsprechende Pfad zum Webordner unter APACHE_<br />
DIRECTORY angepasst werden.<br />
Speziell im Bezug auf den weiter unten erklärten<br />
Java Applet Angriff sollte die Option SELF_SIGNED_<br />
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...<br />
��� �������������������������<br />
APPLET auch noch aktiviert werden, wodurch ein<br />
Applet dann nicht immer die Standardsignatur von<br />
Sun, sondern die eines beliebigen Unternehmens<br />
wie zum Beispiel Google oder Microsoft aufweisen<br />
kann.<br />
Wer seinem Angriff noch zusätzlichen Nachdruck verleihen<br />
will, kann die Option SELF_SIGNED_CERT verwenden,<br />
wodurch in die präparierte Webseite ein SSL<br />
Zertifikat eingebunden werden kann.<br />
Der Angriff<br />
Das Java Applets der ideale Angriffsvektor sind, ist altbekannt.<br />
Java ist dabei nicht nur sehr beliebt, weil es plattformunabhängig<br />
und dadurch auf Windows, Linux und Mac<br />
OS fungieren kann, sondern auch, weil praktisch jeder<br />
Computer in den weiten des Internets eine Java Laufzeitumgebung<br />
installiert hat.<br />
Im Idealfall sieht der Ablauf für das Opfer und den Angreifer<br />
aus, wie in Listing 1 dargestellt.<br />
Der schwierigste Teil an diesem Angriff besteht darin<br />
das Opfer auf eine präparierte Seite zu locken,<br />
wo das infizierte Java Applet dann ausgeführt werden<br />
kann.<br />
Unser Vorteil dabei: Nur die wenigsten Internetnutzer<br />
achten darauf, ob eine URL tatsächlich korrekt ist,<br />
wenn Ihnen der bekannte und erwartete Inhalt angezeigt<br />
wird.<br />
Die zweite Hürde, bevor das Java Applet überhaupt<br />
interagieren kann, besteht in der Berechtigung dessen.<br />
9/2010
Jedes mal wenn ein Applet gestartet wird, erscheint<br />
ein Fenster und fragt nach Berechtigung. Damit diese<br />
Tatsache nicht allzu verdächtig erscheint, ist es wichtig,<br />
als präparierte Seite nicht auf Google oder ähnliches<br />
zurückzugreifen. Denn wenn ein Benutzer eine Seite<br />
wie Google zehn Mal am Tag aufruft, und beim elften<br />
Mal wird plötzlich ein Java Applet gestartet, so ist das<br />
mehr als verdächtig.<br />
Es gilt also eine passende Seite auszuwählen, diese<br />
zu präparieren und den Link dazu via eMail, Instant<br />
Abbildung 1. ASCII-Screen nach dem Start<br />
Java Applet Attacke mit SET<br />
Messenger oder anderem Kommunikationsmittel zu<br />
verteilen und auf Besucher zu warten.<br />
Ist ein Benutzer erstmals auf der präparierten Seite,<br />
so wird nach dem Laden gleich das Java Applet und damit<br />
auch die entsprechende Metasploit-Session gestartet,<br />
welcher uns Zugriff auf das kompromittierte System<br />
gewährt.<br />
Wenn nun alles sehr theoretisch und aufwendig klingt,<br />
wird durch das Social-Engineering Toolkit nahezu automatisch<br />
gemacht:<br />
hakin9.org/de 43
44<br />
Abbildung 2. Der Site Cloner<br />
Nach dem Start von SET erhält man zuerst die diversen<br />
Angriffsmöglichkeiten präsentiert.<br />
Abbildung 3. Die Session kann in Metasploit ausgenutzt werden<br />
ANGRIFF<br />
Um zum Java Applet Angriff zu gelangen wählt man<br />
zuerst Punkt 2 Website Attack Vectors und danach<br />
Punkt 1 The Java Applet Attack Method aus.<br />
Nun kann eine beliebige Identität angegeben werden<br />
und jedesmal mit Enter bestätigt werden.<br />
Im nächsten Schritt zeigt sich schon die erste Stärke<br />
von SET. Es werden nicht nur Angriffe nahezu automatisch<br />
durchgeführt, sondern auch der Aufwand zur Vorbereitung<br />
wird fast eliminiert.<br />
Eine Funktion, die ich persönlich nicht mehr missen<br />
möchte, ist der Site Cloner (Bild 2), mit welchem sich<br />
komplette Abbilder einer bestehenden Webseite anfertigen<br />
lassen. Und damit noch nicht genug; es werden<br />
auch gleich die passenden Applets und Schadcodes<br />
integriert und die benötigten Modifikationen vorgenommen.<br />
Im nächsten Schritt folgt auch gleich ein weiteres<br />
Highlight von SET: Die Schnittstelle zu Metasploit! Denn<br />
wer längere Zeit die Vorzüge von Metasploit genossen<br />
hat, will nie mehr etwas anderes benützen.<br />
So kann man mittels SET meinen bevorzugten Payload<br />
auswählen oder einfach auf den Default-Wert zurückgreifen.<br />
9/2010
Bevor ein Payload aber in die präparierte Webseite<br />
integriert wird, wird dieser so verändert, dass er von<br />
einem Virenschutz in der Regel nicht mehr erkannt wird<br />
(Bypass Antivirus). Wenn man es nicht besser weiss,<br />
empfiehlt es sich auch hier auf den Default-Wert zurückzugreifen.<br />
NEIN<br />
Abbildung 4. Der Ablauf eines Java Applet Angriffes<br />
Java Applet Attacke mit SET<br />
Nachdem nun die benötigten Parameter abgefragt<br />
wurden, wird die Seite automatisch präpariert und im<br />
Webordner von Apache abgelegt. Gleichzeitig wird der<br />
Angriff mit den benötigten Parametern an Metasploit<br />
übergeben und gestartet und wartet nunmehr auf Besucher<br />
auf der präparierten Webseite.<br />
Opfer Angreifer<br />
Erhält ein eMail mit<br />
Link zu Gmail<br />
Link öffnen?<br />
JA<br />
Java Applet wird<br />
gestartet<br />
Applet<br />
autorisiert?<br />
JA<br />
Benutzer wird auf<br />
sein Gmail-Konto<br />
umgeleitet<br />
Gescheitert<br />
Java Applet Angriff<br />
via SET<br />
Link an Opfer<br />
Senden<br />
Payload gestartet<br />
Vollzugriff<br />
hakin9.org/de 45
46<br />
Sobald nun ein Benutzer vorbei schaut, baut das Java<br />
Applet eine Verbindung mit Metasploit auf, wodurch<br />
ein Angreifer dann mit dem Computer des Opfers interagieren<br />
kann.<br />
Hier muss noch beachtet werden, die Verbindung ist<br />
nur so lange aktiv, wie auf dem betreffenden Computer<br />
Java ausgeführt wird. Die Webseite selbst kann problemlos<br />
geschlossen werden. Es ist also keine Eile geboten.<br />
Danach kann die Session, wie man es von Metasploit<br />
her kennt, verwendet werden (Bild 3).<br />
SET unterstützt einen Angreifer also nicht nur durch<br />
eine einfache Frage-Antwort-Führung bei der Vorbereitung,<br />
sondern automatisiert auch das Aufwendige und<br />
mühsame Heraussuchen und Setzten von Parametern<br />
in Metasploit.<br />
Obwohl es Metasploit selbst nicht gänzlich überflüssig<br />
macht, kann es doch eine grosse Hilfe sein und viel<br />
Zeit sparen helfen.<br />
Weitere Informationen gibt es auf der offiziellen Webseite<br />
[3] in der Kategorie Tutorials, wo noch die vielen<br />
weiteren Angriffsmöglichkeiten bis ins Detail erklärt<br />
werden.<br />
�� ����http://www.secmaniac.com<br />
�� ����http://www.secmaniac.com/download/<br />
�� ��� http://www.secmaniac.com/tutorial/<br />
PATRICK SCHMID<br />
Der Autor dieses Artikels ist Patrick Schmid (http://encodingit.<br />
ch) und steckt im letzten Jahr in einer Berufslehre zum Informatiker<br />
EFZ mit Schwerpunkt Systemtechnik. IT <strong>Security</strong> beschäftigt<br />
ihn dabei schon seit längerem vorallem als intensives<br />
Hobby, was er aber gerne in Zukunft auch ins Berufl iche<br />
ausbreiten möchte.
Datenschutz ist EU-weit gesetzliche Anforderung.<br />
Wir sorgen für die Erfüllung rechtlicher<br />
Vorschriften und kümmern uns um ein angemessenes<br />
Datenschutzniveau in Ihrem Unternehmen,<br />
auch international.<br />
www.blossey-partner.de<br />
<strong>Security</strong>manager.de ist eine Produktion des<br />
Online-Verlag FEiG & PARTNER. Seit dem<br />
Start hat sich <strong>Security</strong>manager.de zu einem<br />
führenden Online-Informationsportal in<br />
Deutschland entwickelt und versteht sich als<br />
unabhängiger Informationsdienstleister der<br />
IT- und Information-<strong>Security</strong>-Branche.<br />
www.securitymanager.de<br />
Pericom base camp IT-<strong>Security</strong>: Unser Ziel ist<br />
es, unsere Kunden vor möglichen Gefahren<br />
für Ihre IT-Infrastruktur bestmöglich zu schützen.<br />
Neben der Analyse von Risikopotentialen<br />
durch <strong>Security</strong> Audits bieten wir, durch<br />
die Implementierung von <strong>Security</strong>-Lösungen,<br />
Schutz vor konkreten Gefahren.<br />
www.pericom.at<br />
Recommended Sites<br />
Die Netzwerktechnik steht auf www.easy-network.de<br />
im Mittelpunkt. Artikel, Tutorials und<br />
ein Forum bieten genügen Stoff für kommende<br />
����������������������������������<br />
www.easy-network.de<br />
Happy-<strong>Security</strong> ist ein neues Portal mit <strong>Security</strong>-Challanges,<br />
IT-Quiz, Web-Bibliothek, Multimedia-Center<br />
& vielen weiteren Features.<br />
www.happy-security.de<br />
CloudSafe stellt seinen Nutzern eine Plattform<br />
zur kryptographisch sicheren Ablage und Verwaltung<br />
von sensiblen Daten zur Verfügung: Nutzer<br />
können auf CloudSafe beliebig viele Dokumente<br />
in virtuellen Safes ablegen. Es können weiteren<br />
Personen individuelle Zugriffsrechte auf die<br />
Safes eingeräumt und somit ein sicherer Datenaustausch<br />
ermöglicht werden.<br />
www.cloudsafe.com<br />
Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden<br />
professionelle Unterstützung<br />
in den Bereichen der Datensicherstellung und<br />
Datenträgerauswertung. Selbstverständlich<br />
entsprechen unsere Mitarbeiter, unser technisches<br />
Equipment und auch unsere Räumlichkeiten<br />
den notwendigen Anforderungen.<br />
www.seed-forensics.de<br />
����� ������� ��� ������� ���� ���� ����� ������<br />
Computerfreaks höher schlagen lässt: Geek<br />
Wear mit intelligenten Sprüchen, eine riesige<br />
Auswahl Gadgets und natürlich auch viele<br />
Hacker Tools.<br />
www.getDigital.de<br />
AV-Comparatives geht hervor aus dem Innsbrucker<br />
Kompetenzzentrum und gilt als eines<br />
der bekanntesten unabhängigen Testhäuser<br />
für Antiviren-Software.<br />
www.av-comparatives.org<br />
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
SEC Consult<br />
Recommended Companies<br />
Mabunta<br />
���� �������� ����� ������� ���� �����<br />
spezialisierter und kompetenter Partner<br />
�������������������������������������<br />
���������������������������������������<br />
heitsfragen in allen Unternehmensbereichen,<br />
verbinden Wachstum mit<br />
sicherer Kommunikation.<br />
Alles in allem- mabunta „one-face-tothe-customer“,<br />
Ihr Spezialist in Fragen<br />
������������������<br />
www.mabunta.de<br />
SEC Consult<br />
SEC Consult ist der führende Berater<br />
für Information <strong>Security</strong> Consulting in<br />
Zentraleuropa. Die vollständige Unabhängigkeit<br />
von SW- und HW-Herstellern<br />
macht uns zum echten Advisor unserer<br />
Kunden. Unsere Dienstleistungen umfassen<br />
externe/interne Sicherheitsaudits,<br />
(Web-) Applikationssicherheit (ONR 17-<br />
700), Sicherheitsmanagement-Prozesse<br />
(ISO 27001) etc.<br />
www.sec-consult.com<br />
Tele-Consulting GmbH<br />
����������������������������������������<br />
Sicherheit, hakin9 und c’t Autoren, jahrelange<br />
Erfahrung bei der Durchführung<br />
von Penetrationstests und <strong>Security</strong>-Audits,<br />
eigener <strong>Security</strong> Scanner „tajanas”,<br />
Sicherheitskonzepte, Risikoanalysen,<br />
������������������������� �� ������������<br />
ISO 27001-Auditoren, VoIP-Planung<br />
und -<strong>Security</strong><br />
www.tele-consulting.com<br />
art of defence GmbH<br />
art of defence entwickelt Lösungen im<br />
Bereich der Web-Anwendungs-Sicherheit.<br />
Unsere Software schützt Websites<br />
und Datenbanken gegen Hacker-Angriffe<br />
auf Anwendungs-Ebene wie z.B.<br />
Phishing. Damit schließen wir die derzeit<br />
größte Sicherheitslücke von E-Business-<br />
Systemen. Egal ob Web-Farm oder kleiner<br />
Online-Shop.<br />
www.artofdefence.com<br />
secXtreme GmbH<br />
schützt Ihre Web-Anwendungen bis<br />
auf Applikationsebene. Dazu gehört<br />
sowohl die Prüfung von Applikationen<br />
(Pentests und Code-Reviews) als auch<br />
Beratungsleistungen für Sicherheit im<br />
Entwicklungsprozess und Schutzlösungen<br />
(Web Application Firewalls) bei<br />
����������������������������������<br />
Mittelstand.<br />
www.sec-Xtreme.com<br />
x-cellent technologies<br />
���������� ������������� ���� ���� ����������<br />
leister und Beratungsunternehmen mit<br />
���� �������������� ������������� �����<br />
werkmanagement und Anwendungs-<br />
������������ ������� ������� ������������<br />
Leistungen sind: Audits, Penetrationstests,<br />
����������������������� ���<br />
����������������������<br />
www.x-cellent.com<br />
B1 Systems<br />
Die B1 Systems ist international tätig<br />
in den Bereichen Linux/Open Source<br />
������������ ��������� ���� ��������� B1<br />
Systems spezialisiert sich in den Bereichen<br />
Virtualisierung und Cluster.<br />
info@b1-systems.de<br />
www.b1-systems.de<br />
Blossey & Partner<br />
Consulting Datenschutzbüro<br />
Datenschutz ist EU-weit gesetzliche Anforderung.<br />
Wir sorgen für die Erfüllung<br />
rechtlicher Vorschriften und kümmern<br />
uns um ein angemessenes Datenschutzniveau<br />
in Ihrem Unternehmen,<br />
auch international. Wir erledigen alle erforderlichen<br />
Aufgaben, die Fäden behalten<br />
Sie in der Hand. Nutzen Sie unser<br />
Erstberatungsgespräch.<br />
www.blossey-partner.de
Recommended Companies<br />
NESEC<br />
NESEC ist Ihr Spezialist für Penetrationstests,<br />
Sicherheitsanalysen und<br />
������������ ������������� ���� ������<br />
������������� ������������ ���� ���� ���<br />
cherheitsprüfungen Ihrer Netzwerke<br />
und Webapplikationen sowie bei Source<br />
Code Audits. Bei Bedarf optimieren<br />
wir Ihre Policy, sensibilisieren Ihre<br />
������������ ���� �������������� ���� ������<br />
nehmen nach ISO 27001.<br />
www.nesec.de<br />
Seed Forensics GmbH<br />
���� ����� ���������� ����� �������<br />
für Strafverfolgungsbehörden professionelle<br />
Unterstützung in den<br />
Bereichen der Datensicherstellung<br />
und Datenträgerauswertung. Selbstverständlich<br />
entsprechen unsere<br />
Mitarbeiter, unser technisches Equip-<br />
0ment und auch unsere Räumlichkeiten<br />
den notwendigen Anforderungen.<br />
www.seed-forensics.de<br />
Protea Networks<br />
������� ���� �������������� ���� ������������<br />
Lösungen: Verschlüsselung, Firewall/<br />
����� ������������������� ��������������<br />
ring, etc. Wir bieten umfassende Beratung,<br />
Vertrieb von <strong>Security</strong>-Hard- und<br />
Software, Installation und umfangreiche<br />
�����������������������������������������<br />
nings). Protea setzt auf Lösungen der<br />
������� ���� ������������������ ���� �����<br />
dafür direkten inhouse-Support bereit.<br />
www.proteanetworks.de<br />
SecureNet GmbH, München<br />
Als Softwarehaus und Web Application<br />
<strong>Security</strong> Spezialist bieten wir Expertise<br />
rund um die Sicherheit von Webanwendungen:<br />
Anwendungs-Pentests, Sour-<br />
���������������� ������� ������� ����<br />
delines, Beratung rund um den Software<br />
�����������������������������������������<br />
Firewalls, Application Scanner, Fortify<br />
��������������������<br />
www.securenet.de<br />
m-privacy GmbH<br />
����������������������������������������<br />
einfach zu bedienen!<br />
So präsentieren sich die von m-privacy<br />
������������� ������������������� �����<br />
��������������� ���� ���������������<br />
tesiegel. Es bietet als erstes System<br />
weltweit einen kompletten Schutz vor<br />
Online-Spionage, Online-Razzien und<br />
gezielten Angriffen!<br />
www.m-privacy.de<br />
OPTIMAbit GmbH<br />
Wir sind Spezialisten für Entwicklung<br />
���� ���������� ���� �������� ������ �����<br />
und Mobile Applikationen gegen Angriffe<br />
externer und interner Art. Unsere Dienste<br />
umfassen Audits, Code Reviews,<br />
Penetrationstest, sowie die Erstellung<br />
von Policies. Zusätzlich bieten wir Semi-<br />
�������������������������������������<br />
www.optimabit.com<br />
secadm<br />
secadm ist durchtrainierter Spezialist für<br />
Airbags, ABS und Sicherheitsgurte in der<br />
���� ����� ����������������������� ���� ���<br />
Mannjahren Erfahrung beraten, entwi-<br />
������ ���� ��������������� ������������<br />
für Kunden weltweit. Der Fokus liegt da-<br />
���������������������������������������<br />
und <strong>Security</strong>-Management. Risiko-Analyse,<br />
die Sicherheitsberatung, Auditing, <strong>Security</strong>-Leitfäden,<br />
Software-Entwicklung,<br />
���������������������������<br />
www.secadm.de<br />
underground_8<br />
secure computing gmbh<br />
Wir entwickeln und vertreiben securi-<br />
��� ����������� ���� ���� ��������� ��������<br />
������� ������������ �������� ��������<br />
und Antispam. Unsere Lösungen sind<br />
hardwarebasiert und werden über Distributoren,<br />
Reseller und Systemintegratoren<br />
implementiert und vertrieben.<br />
www.underground8.com