IT-Sicherheit in Datennetzen

Ihre Ansprechpartner bei Activest Investmentgesellschaft mbH Frank Leuthe Security Officer Tel.: +49 (0) 89/9 92 26-2305 Fax: +49 (0) 89/9 92 26-2327 Frank.leuthe@activest.de
1

Mnchen, Dezember 2002

ACTIVEST IT Security

Einleitung
Sptestens seit der Kommerzialisierung des Internets vor etwas mehr als 10 Jahren wurde die Schwelle zum gegenwrtigen Informationszeitalter berschritten. Damit einher geht das Ziel, alles und jeden zu vernetzen, um eine mglichst vollstndige Kommunikation zu ermglichen. Die Wegbereiter dazu waren damals die schon flchendeckend eingesetzten lokalen PC-Netzwerke, welche man nach und nach mit dem Internet vernetzte. In naher Zukunft wird es der Khlschrank und die Kaffeemaschine sein, welche sich ber das Handy oder den Bordcomputer des Kraftfahrzeuges abfragen und steuern lassen. Heutzutage werden diese Vernetzungen als Bestandteil unseres modernen Lebens wahrgenommen. Der Pioniergeist, Merkmal der technischen Avantgarde, hat sich weitgehend verflchtigt. Allein das Internet besteht heute aus mehr als 150 Mio. fest installierter Systeme mit mehr als einer halben Milliarde Nutzern. Dazu kommt die leise Zusammenfhrung der verschiedenen Kommunikationsnetze, wie beispielsweise die nationalen Telefonnetze mit dem Internet. Damit wird ein Datennetz zur umfassenden IT-Anlage, welche sowohl den heimischen internetfhigen Computer, als auch das offizielle Firmen-Laptop im Hotelzimmer mit einbezieht.

ACTIVEST IT Security

Zunehmende Wahrnehmung der Unsicherheit

Mit der zunehmenden wirtschaftlichen Abhngigkeit von den Daten- und Kommunikationsnetzen hat man insbesondere das Problem, den Datenfluss und die Verfgbarkeit der Netze zu kontrollieren. Sogar wenn der Ausfall des eigenen Web-Servers keine materiellen Verluste nach sich ziehen wrde, ist der Schaden der ffentlichen Wahrnehmung eines gehackten Systems betrchtlich. Ein weiteres Beispiel soll die Komplexitt der Kontrolle der Datenstrme verdeutlichen. Es ist heute blich, zum Schutz der Produktionssysteme und der Bro-PCs Firewalls einzusetzen. Dies funktioniert dann, wenn man ein abgegrenztes Daten- bzw. Rechnernetz hat. Im Innern dieses Netzes werden Daten freizgig ausgetauscht, der bergang von Fremdnetzen wie dem Internet ist nur ber Firewalls und Datenfilter erlaubt. Abgesehen davon, dass man im Einzelfall immer wieder Modemzugnge in das Internet finden wird, welche eine solche Sicherheitsstrategie durchbrechen, ist es sptestens mit der Einfhrung der preisgnstigen drahtlosen Kommunikationsverbindungen ber Handy-Modems und WaveLan (IEEE 802.11) unmglich, das oben beschriebene Paradigma auch nur annhernd aufrecht zu halten.

ACTIVEST IT Security

Ein Problem der Komplexitt

Man ist geneigt zu fordern, dass die gerade eingesetzte Technologie, die Hard- und Software unseren modernen Sicherheitsanforderungen zu gengen hat. Die Grnde, warum diesem Anspruch an die Technologie auch nicht mal annhernd nachgekommen wird, sind bekannt und hinreichend diskutiert. Realistischerweise fhrt ein solcher techniklastiger Ansatz dahin, dass man fast tglich neue Sicherheits-Patches fr die verschiedensten Produktions- und Brosysteme einspielen muss. Dabei bemerkt man dann oft, dass mit den neuen Patches die alten Anwendungen nicht mehr zufriedenstellend funktionieren. Und neue Patches haben neue Fehler und Sicherheitslcken, welche blicherweise mit weiteren Patches behoben werden, welche wiederum neue Sicherheitsprobleme bereiten knnen. Was ist also zu tun? Nicht mit dem Internet verbunden zu sein, kann man sich heute eigentlich nicht mehr leisten. Hierbei sollte man auch in Betracht ziehen, dass das Internet nur vorhandene (Problem-)Strukturen verstrkt. Datenklau und Hacking sind, abgesehen von trivialen Fllen, auch gegenwrtig nur mit Insiderwissen und Ortskenntnissen mglich.

ACTIVEST IT Security

Zur IT-Sicherheit
Das Hauptproblem besteht darin, festzustellen, welche Daten geschtzt und welche Systeme verfgbar bleiben mssen. Es ist zum Beispiel meist berflssig, Bilanzdaten einer AG, welche ja der Verffentlichungspflicht unterliegen, als hoch vertraulich einzustufen. Ein Beispiel fr unbedingt zu sichernde Objekte sind firmeneigene Entwicklungs- und Forschungsdaten. Ein aktueller Vorfall der BMW AG zeigt, wie schwerwiegend sich Nachlssigkeiten und Fehler hier auswirken. BMW stellte bei der Anmeldung einer Entwicklung als amerikanisches Patent fest, dass eine Konkurrenzfirma dieselbe Entwicklung kurze Zeit vorher unter eigenem Namen registrieren liess. Pikanterweise liess sich die Herkunft der technischen Dokumente dieser Patentregistrierung als von BMW stammend zurckverfolgen.

ACTIVEST IT Security

Fnf Massnahmen zur IT-Sicherheit

Die folgenden fnf Massnahmen dienen der Anregung, bestehende Sicherheitskonzepte zu berdenken bzw. zu berprfen. Diese Massnahmen sind als Fundament der IT-Sicherheit notwendig, jedoch keinesfalls hinreichend. Ohne diese Massnahmen kann IT-Sicherheit jedoch nicht gewhrleistet werden ( Liste ist nicht vollstndig).

ACTIVEST IT Security

Massnahme 1:
Komplexitt reduzieren. Viele Sicherheitsprobleme lassen sich vermeiden, wenn die IT-Infrastruktur und die hier bereitgestellten Dienstleistungen von den Betreibern der Anlage verstanden werden. Dies gilt sowohl fr den Heimcomputer mit Internetzugang als auch fr das Firmennetz. Ein solches Vorgehen resultiert darin, nur dann neue Soft- und Hardware einzusetzen, wenn dadurch ein messbarer Vorteil entsteht. Es bedeutet auch, auf kompliziertes und unberschaubares Sicherheitszubehr in Hard- und Software zugunsten von einfacheren Systemen zu verzichten. Auf PCs bzw. Desktops sollte keine Software installiert sein, welche nicht fr die tgliche Arbeit bentigt wird. Browser/File-Manager sollten so konfiguriert sein, dass immer klar bleibt, ob man sich im Internet oder auf dem eigenen System befindet. Organisatorisches Kennzeichen einer IT-Anlage mit berschaubarer Komplexitt ist ein straffes Management mit ausgesprochenen und allgemein bekannten persnlichen Verantwortungsbereichen.

ACTIVEST IT Security

Massnahme 2:
Qualittssicherung gewhrleisten.

Hierzu werden Dokumentations- und berwachungswerkzeuge eingesetzt, um die Vorgnge bei der Installation und der Wartung von IT-Systemen zu steuern. Dies beinhaltet sowohl organisatorische wie auch technische Massnahmen. Ein einfaches Beispiel fr eine organisatorische Massnahme ist das vier-Augen-Prinzip bei der mindestens zwei Personen die Verantwortung fr eine Massnahme bernehmen. Beispiel fr eine technische Massnahme ist der parallele Aufbau von Entwicklungs-, Test- und Produktionssystem zur Inbetriebnahme von neuer Soft- und Hardware, dabei ist das Testsystem bereits in Produktion bei dem allerdings kleinere Fehler toleriert werden.
Qualittssicherung im IT-Bereich ist seit Jahrzehnten bekannt und wird erfolgreich bei Host-Systemen praktiziert, beim bergang zu Client- Server-Systemen wird diese Praxis aus vordergrndigen Kostengrnden bedauerlicherweise oft vergessen und erst nachtrglich teuer eingefhrt. Es ist offensichtlich, dass man nur bei steuerbaren Vorgngen Sicherheitsmerkmale gewhrleisten kann. Organisatorisches Kennzeichen einer IT-Anlage mit gelebter Qualittssicherung ist die Dokumentation aller Produktivsysteme mit einem sinnvollem ChangeManagement. Nicht zuletzt ist bei grsseren Anlagen eine schriftliches, vom Firmenmanagement unmittelbar untersttztes, rechtsverbindliches Vertragswerk mit Sicherheitsrichtlinien notwendig.

ACTIVEST IT Security

Massnahme 3:
Offensichtliche Verwundbarkeiten vermeiden. Das SANS Institut pflegt einen Katalog der 20 hufigsten Verwundbarkeiten, unterteilt in die drei Gruppen Allgemein, Windows und Unix, und dazu die entsprechenden Massnahmen zur Abhilfe. (SANS = SysAdmin, Audit, Network, Security Institute)

ACTIVEST IT Security

Allgemein:
Unzulnglich voreingestellte Betriebsystem- und Anwendungsprogramm-Parameter

Anwenderkonten ohne oder mit schwachem Passwort

nicht vorhandene oder unvollstndige Datensicherung grosse Anzahl offener Ports keine Datenfilter fr eingehende und gleichzeitig ausgehende Datenstme kein oder unvollstndiges Aufzeichen der Systemaktivitten und -Vorflle (Logging). verwundbare CGI-Programme

ACTIVEST IT Security

10

MS-Windows:
Unicode-Verwundbarkeit (IIS-Web Server URL-Codierungsprobleme)

ISAPI Diensterweiterungsschnittstelle fr IIS ermglicht Pufferberlufe

IIS RDS Verwundbarkeit (Microsoft Remote Data Services) NetBIOS - ungeschtzte Windows Netzwerk Dienst- und Ressourcen-Freigabe Durchsickern von Systeminformation ber anonyme NetBIOS-Verbindungen Schwache HASH-Mechanismen in SAM (obsolete LAN-Manger Untersttzung)

ACTIVEST IT Security

11

Unix/Linux

Pufferberlufe in RPC Services

Sendmail-Verwundbarkeiten Bind-Schwchen (BIND = DNS-Referenzinstallation) Unsichere R-Kommandos: rlogin, rexec, rsh, rcp Unsichere Untersttzung fr Netzwerkdrucker - LPD (remote print protocol daemon) sadmind auf Solaris und mountd (Einbinden von Dateisystemen und Laufwerken) Durchsickern von Information ber voreingestellte SNMP-Texte (nicht nur bei Unix)

Diese Liste wird als TOP20 bezeichnet welches bedeutet, dass dies als die Spitze eines Eisberges anzusehen ist. Die sicherheitstechnischen Probleme moderner Betriebsysteme sind weitaus grsser als hier beschrieben.

ACTIVEST IT Security

12

Massnahme 4:
Auch wenn eine IT-Anlage oder eine internetfhiger Rechner zufriedenstellend eingerichtet ist, muss man davon ausgehen, dass die Einrichtung nur fr kurze Zeit aktuell bleibt. Zum einen liegt es an dem zunehmenden Wissen um die Verwundbarkeiten selbst, zum anderen ndern sich die Anforderungen an die IT-Anlage oder den Internetrechner. Ein Beispiel fr die Schnelllebigkeit der Software ist die regelmssige Verteilung der neuen Virenscannersoftware an die wir uns mittlerweile gewhnt haben, anstatt Programme und Systeme einzusetzen, welche weniger anfllig sind. Ein weiteres Beispiel fr die Notwendigkeit, IT-basierte Geschftsprozesse neu zu formulieren ist die in der Einleitung schon beschriebene preisgnstige Einfhrung von WaveLan (IEEE 802.11). Hierbei ist es mglich auch ber rumliche Entfernungen von einigen wenigen Kilometern sich mit dem Laptop in das Firmennetz einzubuchen -- eine sinnvolle Erweiterung der IT-Anlage. Sicherheitstechnisch wird hier allerdings immer noch Neuland betreten zumal ein sicherer, herstellerbergreifender Krypto-Standard fr diese Technologie noch auf sich warten lsst.

ACTIVEST IT Security

13

Massnahme 5:
Wie fr den Fall eines Feuerausbruchs muss der Fall geprobt werden, dass kritische Systeme teilweise oder ganz ausfallen. Im besten Falle gibt es -- wie beim testweisen Feueralarm -- den regelmssigen Test des Umgang mit dem System oder Netzwerkausfall. Nicht nur der interne Umgang mit dem Ausfall selbst, sondern auch der Meldeweg und der Umgang mit der Presse sollte geprobt werden. Letzteres ist besonders wichtig, damit das ffentliche Ansehen der Firma nicht durch unqualifizierte Gerchte leidet.

Wenn Sicherheitsvorflle im ffentlichen Raum, etwa nach einem Defacement von Webseiten, d.h. Eindringen und Verndern bzw. Austauschen der Seiten mit kompromittierendem Inhalt, stattfinden, sollte man sich nicht erst in diesem Moment das erste Mal berlegen, wie man in der ffentlichkeit dazu Stellung nimmt. Das eigentliche ndern der Webseiten durch den Eindringling ist vergleichsweise harmlos gemessen an dem Schaden, der durch ungeschickte Pressearbeit danach entstehen kann

ACTIVEST IT Security

14

Ausblick
Auch wenn die Liste der fnf Massnahmen unvollstndig ist, beschreibt sie doch wesentliche Prinzipien einer nicht nur sicheren, sondern insgesamt erfolgreich betriebenen IT-Anlage oder eines solchen Datennetzes. Symptomatisch fr Probleme beim Betrieb einer solchen Anlage ist das ungnstige Zusammenspiel zwischen ausfhrenden, planenden und leitenden Institutionen gepaart mit dem mangelnden Verstndnis fr die Grenzen der einzusetzenden Technik. Sicherheit muss vom Management getragen und gefordert werden, die Relation zwischen dem Zugewinn an Sicherheit und dem dafr zu bezahlenden Preis muss im gesunden Verhltnis stehen.

ACTIVEST IT Security

15

Ein schnes Leben noch.