by Thomas

Mythen der IT-Security: ISO27001

19. Oktober 2017 in IT

Spätestens seit dem Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015 ist die Branche der Unternehmensberater, Auditoren und Zertifizierer in Goldgräberstimmung. Die Veröffentlichung des IT-Sicherheitskataloges im August 2015, der im Zusammenhang mit dem Energiewirtschaftgesetz §11 Abs. 1a für alle Strom- und Gasnetzbetreiber gilt, hat dies auch nochmal verstärkt. Hunderte von Unternehmen und Organisationen sind gezwungen sich nach dem internationalen Standard ISO27001 zertifizieren zu lassen. Oberflächlich betrachtet klingt das erstmal gut. In den vergangenen zwei Jahren hat ja durch diverse Schädlinge wie Petya, WannaCry und ähnlichen die Angst vor IT-Sicherheitsvorfällen in der öffentlichen Wahrnehmung eine deutlich höhere Priorität erlangt. Aber erhöht die Zertifizierung nach ISO27001 die Sicherheit der IT?

Zuerst möchte ich versuchen in wenigen Worten zusammenzufassen was dieser Standard bedeutet und welche Ergebnisse durch die Einführung zu erwarten sind. ISO27001 fordert die Einführung und den fortlaufenden Betrieb eines ISMS. Diese Abkürzung steht für Informations-Sicherheit-Management-System. Ein Managementsystem hat erstmal nichts IT-spezifisches. Es handelt sich um Verfahren und Vorgehensweisen für das Management, also die Führung, eines Unternehmens. Das Ziel ist hier das Management zu befähigen mit dem Thema der Informationssicherheit umzugehen. Das bedeutet natürlich, dass man davon ausgeht, dass das Management sich im Allgemeinen nicht darüber bewusst ist, dass alle wirtschaftlichen Prozesse inzwischen zu 100% abhängig von der IT sind. Dieser Gedanke beunruhigt mich doch sehr. Einem guten Management sollte dies auch ohne ISMS bewusst sein.

Der Standard liefert jedem IT’ler aber auch ein wichtiges Mittel an die Hand. Mit dem ISMS wird auch eine Risikoanalyse verlangt. Wer kennt es nicht wenn es um die Priorisierung von IT-Systemen und -Prozessen geht. Fragt man die zuständigen Fachverantwortlichen, erhält alles die höchste Priorität. Jedem ist seines eben das Wichtigste. Die Risikobetrachtung liefert hier für die Wirtschaftsprozesse eine möglichst monetäre Bewertung. Was kostet es dem Unternehmen wenn Prozess A für eine Zeiteinheit nicht zur Verfügung steht? Mit diesen Zahlen ist dann auch eine effiziente Gestaltung der Massnahmen zur Erhöhung der IT-Sicherheit möglich.

Wie gerade beschrieben beschäftigt sich ISO27001 aber hauptsächlich mit dem Thema der IT-Verfügbarkeit. Natürlich ist Verfügbarkeit ein Teil der Sicherheit. Aber wenn man von IT- oder Cyber-Security spricht, geht es um Zugriffsschutz und Schutz vor Missbrauch der IT. Hier bietet der Standard wenig Hilfe. Für ein gutes Securityniveau bedarf es dazu einfach kompetente und securitysensible IT’ler mit einem guten Verständnis für Möglichkeiten und Herangehensweisen der „bösen Jungs und Mädels“. Wenn dann das Management durch das ISMS entsprechend sensibilisiert ist und den IT’lern die notwendigen Resourcen und den Rückhalt gibt, kann die Unternehmensführung sich auch wieder beruhigt zurücklehnen.

Fazit: Eine Zertifizierung nach ISO27001 garantiert kein hohes Niveau an IT-Sicherheit. Aber man sollte davon ausgehen, dass ein zertifiziertes Unternehmen zumindestens ausreichend für dieses Thema sensibilisiert ist. Wollen wir hoffen, dass wir uns damit wieder einen Schritt von dem Merkel’schen Neuland entfernen. 😉

by Thomas

Bedingungsloses Grundeinkommen

19. September 2017 in Allgemein

Jetzt kurz vor der Bundestagswahl denke ich fast zwangsläufig über mögliche Grundsatzänderungen in der Gesellschaft und Politik nach. Es gibt gerade einige Themen, die von den Parteien zu Wahlthemen missbraucht werden. Ich finde ein Wesentliches wird vergessen. Unsere Gesellschaft wird sich, getrieben durch die technologischen Entwicklungen, in den kommenden Jahrzehnten deutlich verändern. Vieles was heute noch von Menschenhand erledigt wird, werden bald autonome Maschinen übernehmen. Nun ist es allerdings so, dass nicht jeder Bürger einen Platz in den neuen Möglichkeiten findet. Tendenziell ist also davon auszugehen, dass die Möglichkeiten sich sein Einkommen selbst zu verdienen für immer mehr Menschen zurückgeht. Wie möchte man dem begegnen? Zur Zeit gibt es viele Ansätze um dies zu tun. Dazu gehören Hartz IV, Rente und sonstige Sozialleistungen des Systems. Aus meiner Sicht sind diese bedarfsgesteuerten Sozialförderungen aber nicht mehr tragbar. Es gibt jetzt bereits Finanzierungsbauchschmerzen für diese Ansätze.

Nun gibt es seit einigen Jahren die Idee ein bedingungsloses Grundeinkommen (im Folgenden kurz BGE) einzuführen. Als ich mich das erste Mal mit diesem Thema beschäftigt habe, kam mir sofort der Gedanke: „Na toll, dann bekommen die faulen Schweine noch mehr Geld in ihre fetten Ärsche geblasen, die arbeitende Bevölkerung darf noch mehr Steuern zahlen und es gibt noch weniger Anreiz sich seinen Lebensunterhalt selbst zu erwirtschaften.“ In den vergangenen zwei Jahren habe ich mich aber immer häufiger mit dem Thema beschäftigt und habe meine Meinung etwas geändert.

Der erste wesentliche Punkt ist dass dieses Grundeinkommen wirklich jeder bekommt. Das heisst also der „arbeitsscheue langhaarige Bombenleger“ genau wie auch der Manager von VW und der Bundeskanzler oder die Bundeskanzlerin. Dieses Gefühl der ungerechten Bevorzugung einiger Bevölkerungsgruppen, wie es der Zeit durch Hartz IV existiert, wird eleminiert.

Der zweite wesentliche Punkt ergibt sich daraus auch gleich. Denn nun kann es nicht mehr passieren, dass jemand 40 Stunden pro Woche für weniger als dem Hartz IV Satz arbeitet und deshalb noch zusätzlich Anspruch auf eine Ausgleichszahlung hat. Der Motivationskiller „Warum arbeiten gehen, wenn ich doch fürs Nichtstun das gleiche bekomme?“ fällt weg. Jeder Euro, den man sich verdient, kommt auf das Grundeinkommen oben drauf.

Allerdings sehe ich beim Punkt Anreiz bei den aktuell diskutierten Modellen ein großes Problem. Meistens wird davon ausgegangen, dass das BGE einem einzelnen Bürger das Auskommen mit einer Wohnung und den notwendigen Dingen des Alltags ermöglicht. Hierbei stehen Summen von 1.000 bis 1.200 € pro Monat im Raum. Aus meiner Sicht ist dieser Ansatz falsch. Denn dadurch fehlt tatsächlich der Anreiz doch noch etwas zum Einkommen selbst beizutragen. Ausserdem wird so die Chance auf die Förderung des gemeinsamen Wirtschaftens verwirkt. Ich schlage vor das BGE niedriger anzusetzen. Wenn jeder Bürger 500 € pro Monat erhält, kann der Einzelne davon nicht selbst auskommen. Aber in einer Familie mit Vater, Mutter und zwei Kindern kommen bereits 2.000 € BGE zusammen. Davon lassen sich bereits eine Wohnung, Nahrungsmittel und weitere Waren des täglichen Bedarfs bezahlen. Für Menschen, die nicht in einer klassischen Familie leben, besteht natürlich die Möglichkeit sich in Wohngemeinschaften zu finden in denen gemeinsam gewirtschaftet und gelebt wird. Bürger, die sich den Luxus des Alleinlebens gönnen möchten, müssen dann eben zusätzlich arbeiten gehen. Der Anreiz zum eigenen Erwerb ergibt sich dann durch den Wunsch nach Luxus. Und zu Luxus zähle ich hier bereits einen neuen Flachbildfernseher oder einen aktuellen Computer.

Bei der Finanzierung des BGE sehe ich eine recht einfache Möglichkeit. Erstens fallen alle anderen bisherigen Sozialsysteme wie Hartz IV, Rente, Kindergeld, Elterngeld etc. weg. Auch der riesige Kostenaufwand die beantragten Bedarfe zu prüfen, fällt weg. Zweitens würde eine recht hohe Einkommensteuer vom ersten bis zum letzten Euro mit demselben Prozentsatz eingeführt. Aktuelle Berechnungsmodelle für die Gewährung eines BGE von 1.000 € ergeben einen Steuersatz von 50%. Bei meinem Modell von 500 € BGE sollte dies durch 35-40% realisierbar sein.

Ich glaube das BGE ist ein Modell, dass für die Gesellschaft der kommenden Jahrzehnte unumgänglich ist.

by Thomas

Mythen der IT-Security: Passwortregeln

9. September 2017 in IT

Wer kennt es nicht?

Das Kennwort muss mindestens 8 Zeichen lang sein. Sie müssen mindestens jeweils einen Kleinbuchstaben, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen verwenden. Während der Eingabe müssen Sie einen rituellen Tanz aufführen, dabei muss mindestens die Sonne oder der Mond angebetet werden und Sie müssen alle Ihre Vorfahren bis in die 4. Generation sortiert nach dem Geburtsdatum aufzählen. OK, jetzt habe ich etwas übertrieben. Aber ehrlich gesagt kommt man sich doch hin und wieder so vor.

Natürlich ist es wichtig ein Passwort zu nutzen, dass etwas komplizierter ist als „Passwort“ oder „12345“. Letzteres ist übrigens das Kennwort für den Luftschild vom Planeten Druidia im Film Spaceballs. Dass in dieser kultigen Parodie dieses Kennwort gewählt wurde ist übrigens kein Zufall. „12345“ gehört weltweit zu den am häufigsten verwendeten Kennwörtern. Und das hat sich anscheinend seit den 80’ern so gehalten. Wir Menschen sind faul. Wir möchten uns keine komplizierten Zeichenkolonnen merken. Nur leider sind so einfache Kennwörter leicht durch einen Wörterbuchangriff zu knacken. Die oben genannten Passwortregeln haben also einen wirklich guten Grund, da sie die Angriffe erschweren. Nun ist es leider so, dass diese Passwortregeln von jedem Dienstanbieter anders definiert werden. Habe ich also mal ein schön komplexes Passwort gefunden, dass ich mir auch irgendwie merken kann, dann kann ich dies eventuell nicht überall verwenden. Es gibt übrigens erste Untersuchungen die erstaunlicher Weise der Einbettung von Sonderzeichen in Kennwörtern kaum eine Erschwerung beim Knacken der Passwort-Hashes zuschreiben.

Richtig problematisch wird es allerdings durch die absolute Unart Nutzer zu zwingen Ihre Passwörter in regelmäßigen Abständen zu ändern. Und dazu merken sich die Systeme auch noch die letzten Passwörter und verlangen jedesmal ein anderes. Ständig wechselnde und komplexe Passwörter kann sich niemand merken. Das hat leider zur Folge, dass die Passwörter auf einem Post-It unter der Tastatur oder sogar am Bildschirmrand kleben. Und jetzt fördern die Regeln die Sicherheit eben nicht mehr. Im Gegenteil, die Unsicherheit wird erhöht.

Bei diesem Thema wird häufig extremisiert und dadurch das Gegenteil vom Ziel erreicht. Wie bei allem im Leben kommt es auch hier auf das Maß an. Natürlich sollte eine gewisse Komplexität gefordert werden. Aber bitte verzichtet auf die regelmäßige Änderung. Nur dann können sich Nutzer die Passwörter merken und nutzen keine Post-It’s.

Mein Tipp für ausreichend komplexe Passwörter: Einen Satz suchen in dem Zahlen vorkommen. Dieser Satz sollte natürlich kein übliches Sprichwort sein. Von allen Wörtern des Satzes die Anfangsbuchstaben mit Groß- und Kleinschreibung zusammen mit den Zahlen ergibt dann ein leicht merkbares Kennwort.

by Thomas

Mythen der IT-Security: Virenscanner bieten grundlegenden Schutz

8. September 2017 in IT

Mit diesem Beitrag beginne ich eine Reihe von Beiträgen zum Thema IT-Security, bzw. zu Mythen in diesem Bereich. Ich glaube hier gibt es eine Menge Missverständnisse und fehlleitende Vorgaben von Leuten oder Institutionen, die kein wirkliches Verständnis der grundlegenden Problematik haben.

Ich beginne mit den allgegenwärtigen Virenscannern. Aber warum habe ich ein Problem mit Virenscannern? Virenscanner machen inzwischen viel mehr als sie sollen. Statt einfach nur nach unerwünschtem Schadcode zu suchen, wofür die Virenscanner eigentlich gedacht sind, versuchen die Hersteller dieser Software eine allumfassende Securitylösung dem Endkunden vorzugaukeln. Dabei möchten die Lösungen am liebsten die Steuerung des Rechners vollständig übernehmen. Um dies zu erreichen müssen teilweise Sicherheitsvorkehrungen des Betriebssystems umgangen werden. Als Angreifer würde ich mir diesen Umstand zu nutze machen und die Sicherheitslücken in den ganzen bunten ungewollten Ergänzungen der Virenscanner ausnutzen. Genau dies wird auch von den „bösen Jungs und Mädels“ zum großen Teil gemacht.

Meine Hauptkritik an dem Einsatz von Virenscannern trifft aber das Konzept dieser Lösungen. Die Scanner durchsuchen Daten nach bekannten Signaturen und/oder auffälligen bekannten Verhaltensweisen in einer Sandbox. Es bedarf also immer erst mindestens eines bekanntgewordenen Vorfalls damit weitere Systeme nach zeitnaher Aktualisierung der Virensignaturen und co. vor dem Schadcode geschützt werden. Das Konzept ist reaktiv und läuft damit den Entwicklungen auf dem Markt der Schadsoftware immer hinterher.

Ein deutlich besserer Ansatz müsste proaktiv sein um sich auch vor neuer unbekannter Schadsoftware zu schützen. Der potentielle Schadcode kommt im Allgemeinen als Download von Webservern oder teilweise auch noch per Anhang in Mails. Was ist Schadcode? Schadcode steckt nahezu immer in Dateien die vom Betriebssystem oder einer Anwendung ausführbar sind. Es handelt sich also um Programmcode, um Anwendungen. Nun stellt sich die Frage wozu, vor allem im Kontext eines Unternehmensnetzwerkes, Nutzer Programme von Webservern laden oder per Mail erhalten müssen. Normaler Weise dürfen Programme hier nur von der zuständigen IT im internen Netz bereitgestellt werden. Der Datenverkehr per Internet und Mail muss somit nur nach ausführbarem Code durchsucht werden. Abhängig vom Betriebssystem und installierten Runtimes gibt es immer nur eine Hand voll bekannte Signaturen von ausführbarem Code. Wenn man die betreffenden Datentransfers blockiert kann kein Nutzer ungewollt Schadcode ausführen.

In einem Unternehmensnetzwerk kann man hier Webproxys und Mailgateways einsetzen, die eine Tiefenanalyse des Traffic durchführen und entsprechend blockieren. Ich habe sehr gute Erfahrungen mit den Lösungen von Clearswift gemacht. Im Privaten und in Kleinunternehmen sieht es allerdings düster aus mit den Möglichkeiten. Hierzu müssten Browser und Betriebssysteme diese Aufgabe übernehmen. Ich habe bisher leider noch keine geeigneten Erweiterungen oder ähnliches gefunden.

by Thomas

fail2ban und IPv6

15. Januar 2017 in IT

fail2ban ist eine der bekanntesten Lösungen um dynamisch Einbruchversuche in Server zu erschweren. Dazu werden die Logdateien der Serverdienste auf auffällige Einträge überwacht. Erscheinen solche in entsprechender Häufigkeit kann man die verursachenden IP-Adressen durch die Firewall zeitweise sperren lassen. Die Lösung ist sehr flexibel und lässt sich somit gut an die speziellen Bedürfnisse anpassen.

Leider warten alle Nutzer, wie auch ich, sehnsüchtig auf die Unterstützung des IPv6-Protokolls. Dies ist für die kommende Version 0.10 geplant. Aber leider dauert es voraussichtlich noch eine Weile bis die neue Version veröffentlicht wird. Die Nutzung von IPv6 ist im Internet aber bei einigen Statistiken bereits bei fast 40% angekommen. Die Bösewichte aus aller Welt, die versuchen Server zu kapern, nutzen nach meinen Erfahrungen zwar noch fast ausschließlich IPv4, aber ich denke dass es nur ein Frage der Zeit ist, bis dies sich auch ändert. Deshalb war ich zu ungeduldig auf fail2ban 0.10 zu warten und habe einen im Netz bereits existierenden Patch von crycode für meine Bedürfnisse erweitert. Die Lösung ist nicht vollständig IPv6-tauglich. Aber ich kann dadurch meinen eigenen Server vor Angriffen per IPv6 schützen. Ich habe es als Paket für meine Lieblingsdistribution ArchLinux im AUR zur verfügung gestellt.