interview - Hackner Security Intelligence

Weitere Magazine

Empfehlungen

Info

24 NEWS Wetten, dass ... Ihr größtes Betriebsgeheimnis ungeschützt ist? Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage, was ist unser größtes Betriebsgeheimnis: Die Kundenlisten, die Projektdokumentationen und Strategiepapiere, die Zahlen auf den Bankkonten oder gar die private Telefonnummer vom Vorstandsvorsitzenden? Schlussendlich sind es die Passwörter und Zugangsberechtigungen auf sämtliche Anwendungen und Datenbanken in jedem Unternehmen oder Organisation. Tausende Passwörter von Usern und Administratoren sind im Umlauf Man stelle sich komplexe IT Landschaften vor, die geografisch verteilt sind und viele Mitarbeiter, die in verschiedene „Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur Zugang zu standardisierten Anwendungen, sondern auch zum Internetbanking, der FIBU Software und anderen kaufmännischen Programmen wie SAP. Interessant und zunehmend komplex wird es bei den IT Administratoren. Natürlich können sich diese, von vielen für ihre mathematischen Fähigkeiten bewunderten, auch nicht dutzende von Passwörtern merken, sondern helfen etwas nach: Pro Anwendung wird ein Passwort vergeben, das sich diese dann für längere Zeit im Gedächtnis behalten. Mit dieser Feststellung wird die gesamte Problematik sofort offenbar, ohne in technische Details gehen zu müssen: ein Passwort ... für längere Zeit ... im Gedächtnis. Guter Rat ist teuer - und umsonst Richtlinien zur Passwortgestaltung gibt es unzählige und viele sind gut gemeint: Die Länge wird vorgegeben und auch die zu verwendenden Zeichen, die alle 4 Wochen zu ändern sind und natürlich nicht auf einem Post-It unter der Tastatur kleben sollen. Selbst wenn dies eingehalten wird, vergisst man sein neues Passwort spätestens, wenn man 2 Wochen auf Urlaub war und auch der Help- Desk freut sich, dass man wieder zurück ist. Auch der Auditor ist zumindest milde gestimmt, wenn die zentralen Passwörter zumindest in einer gesicherten Excel Liste zusammengefasst sind. Von IT Security sollte man aber dabei besser nicht sprechen, da jeder Administrator auf alle Passwörter zugreifen kann. Spätestens bei automatisierten (unattended) Passwörtern, die via Skript fixiert sind und auf eine Anwendung oder Datenbank zugreifen, sind verhaltensorientierte Ansätze obsolete. Passwortstruktur ist unbekannt Kaum ein IT Verantwortlicher hat verlässliche Informationen über die Strukturen und Verbreitungsgrade von Passwörtern in einer Organisation. Bei Implementie- rung eines automatisierten Passwort-Managements wird oft erst festgestellt, dass zehntausende privilegierte Administratorkonten vorhanden sind, aber nur 20% davon als Administratorkonten dienen. Der überwiegende Teil der Passwörter sind Application-to-Application (A2A) und Application-to-Database (A2D) Konten, die in Skripts den Zugriff ermöglichen. Und natürlich nur in seltensten Fällen geändert werden und somit immer eine Hintertüre, auch für den Ex-Mitarbeiter, offenlassen. Die Passwort Autorität: Freiwilligkeit und Empfehlungen sind nicht angebracht Die Zugangsberechtigungen sind als Schlüssel für Safes mit allen Geheimnissen der Organisation anzusehen.. Das Ergebnis einer Reflektion der Problematik „Passwörter“ kann nur sein, dass ein automatisiertes und auditierbares Software-Werkzeug in Frage kommen kann. Die Durchsetzung der Passwörter Policies, Zuteilung von Einmal-Passwörtern und vor allem eine sichere Authentifizierung und Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten wie diesen, sollte es auf Knopfdruck möglich sein, einen Administrator zu sperren oder zeitlich begrenzte Passwörter für externe Dienstleister ausstellen zu können. Antares NetlogiX empfiehlt nach eingehender Analyse - des sehr überschaubaren Marktes - die Lösung „Cloakware Password Authority“. Die ersten erfolgreichen Referenzprojekte und Kundenmeinungen haben diese Meinung weiter verstärkt. 9/2010
Interview mit Thomas Hackner „Jeder Mensch sollte Zugang zu all jenen Informationen haben, die ihm helfen sich selbst und sein Eigentum zu schützen.“ Interview mit Thomas Hackner Thomas Hackner ist Geschäftsführer von HACKNER Security Intelligence, dem Spezialisten für ganzheitliche Sicherheitsaudits und Tiger Team Assessments. Nebenberuflich ist er Lehrbeauftragter für „Mechanische Einbruchssicherheit” an der FH Hagenberg und leitet aktiv ehrenamtlich Projekte zur Verbesserung der IT- und physischen Sicherheit in Österreich. hakin9: Wir beobachten ein konstantes Wachstum des internationalen IT- Sicherheitsmarktes. Produkte und Dienstleistungen überhäufen sich und man würde denken, dass der Markt keine Lücken mehr lässt. Wo erkennen Sie als als Geschäftsführer einer jungen Firma neues Entwicklungspotential des Marktes und auch Notwendigkeiten für unsere Unternehmen? Thomas Hackner: Wie Sie schon sagen, deckt der IT-Sicherheits-Markt bereits eine breite Palette an Anforderungen von Unternehmen ab. Kunden werden im Aufbau von Sicherheitsmanagementsystemen, bei der Durchführung von Risikoanalysen, Einhaltung von Richtlinien aller Art und auch bei der Absicherung ihrer IT-Infrastruktur und einzelner Applikationen unterstützt. Zwar werden in einigen IT-Sicherheitsstandards, wie dem ISO 27001-Standard, IT-Sicherheit und physische Sicherheit bereits verknüpft, jedoch trifft man eine Zusammenarbeit dieser Abteilungen in der Praxis leider nur selten an. Oft findet man hier getrennte Budgets und Verantwortliche vor, die nur in unbedingt notwendigen Fällen miteinander kommunizieren. Ziel sollte es sein diese beiden Parteien in Einklang zu bringen und eine funktionierende Kommunikationsplattform für beide zu etablieren. Nur so ist es auch möglich eine ganzheitliche und echte Sicherheit für Unternehmen und für deren überlebenswichtige Kerninformationen sicher zu stellen. hakin9: Doch auch heute schon unterstützt die IT- Sicherheitsabteilung bei der Absicherung gegen elektronische Angriffe während sich das Facility Management bereits um die Absicherung von Gebäuden und Räumen bemüht. Ist dies denn nicht genug? Thomas Hackner: Leider muss man diese Frage in den meisten Fällen mit nein beantworten. Grundsätzlich arbeiten beide Abteilungen zum Schutz des Unternehmens und der Wahrung und Unterstützung der Unternehmensziele. Zu schützende Informationen können sein Pläne, Forschungsergebnisse, Produktdetails oder Informationen in Form von Wissen und Erfahrung, die diese konkreten Unternehmen von ihren Konkurrenten unterscheiden und geschützt werden müssen, sein. Mitarbeiter der IT-Sicherheit und der physischen Sicherheit hakin9.org/de 25
Seite 3 und 4: ��
Seite 5 und 6: INTERVIEW 25 Interview mit Thomas H
Seite 7 und 8: Abbildung 2. Hosting vereinfacht we
Seite 9 und 10: 2010 www.sigs-datacom.de Kontakt: A
Seite 11 und 12: ung lauffähig; diese virtuelle Ins
Seite 13 und 14: WAF- beziehungsweise Applikationsve
Seite 15 und 16: Einführung eines Sicherheitsprozes
Seite 17 und 18: Einführung eines Sicherheitsprozes
Seite 19 und 20: Taffel 1. Die ISO 27000-Familie Ein
Seite 21 und 22: Nichts ist mehr sicher - Bedrohung
Seite 23: Nichts ist mehr sicher - Bedrohung
Seite 27: heitskonzeptes. Neben weniger risik
Seite 30 und 31: 30 tiert: „Wir haben schon jetzt
Seite 32 und 33: 32 INTERVIEW „SSL-Zertifikate sin
Seite 34 und 35: 34 Doch bieten wir längst eine Rei
Seite 36 und 37: 36 hakin9: Ihr Themenbereich ist se
Seite 39 und 40: Interview mit Roberto Valerio „Fa
Seite 42 und 43: 42 ANGRIFF Java Applet Attacke mit
Seite 44 und 45: 44 Abbildung 2. Der Site Cloner Nac
Seite 46 und 47: 46 Sobald nun ein Benutzer vorbei s
Seite 48 und 49: SEC Consult Recommended Companies M

interview - Hackner Security Intelligence

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?