Du durchsuchst das Archiv für IT.

von Thomas

Mythen der IT-Security: ISO27001

19. Oktober 2017 in IT

Spätestens seit dem Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015 ist die Branche der Unternehmensberater, Auditoren und Zertifizierer in Goldgräberstimmung. Die Veröffentlichung des IT-Sicherheitskataloges im August 2015, der im Zusammenhang mit dem Energiewirtschaftgesetz §11 Abs. 1a für alle Strom- und Gasnetzbetreiber gilt, hat dies auch nochmal verstärkt. Hunderte von Unternehmen und Organisationen sind gezwungen sich nach dem internationalen Standard ISO27001 zertifizieren zu lassen. Oberflächlich betrachtet klingt das erstmal gut. In den vergangenen zwei Jahren hat ja durch diverse Schädlinge wie Petya, WannaCry und ähnlichen die Angst vor IT-Sicherheitsvorfällen in der öffentlichen Wahrnehmung eine deutlich höhere Priorität erlangt. Aber erhöht die Zertifizierung nach ISO27001 die Sicherheit der IT?

Zuerst möchte ich versuchen in wenigen Worten zusammenzufassen was dieser Standard bedeutet und welche Ergebnisse durch die Einführung zu erwarten sind. ISO27001 fordert die Einführung und den fortlaufenden Betrieb eines ISMS. Diese Abkürzung steht für Informations-Sicherheit-Management-System. Ein Managementsystem hat erstmal nichts IT-spezifisches. Es handelt sich um Verfahren und Vorgehensweisen für das Management, also die Führung, eines Unternehmens. Das Ziel ist hier das Management zu befähigen mit dem Thema der Informationssicherheit umzugehen. Das bedeutet natürlich, dass man davon ausgeht, dass das Management sich im Allgemeinen nicht darüber bewusst ist, dass alle wirtschaftlichen Prozesse inzwischen zu 100% abhängig von der IT sind. Dieser Gedanke beunruhigt mich doch sehr. Einem guten Management sollte dies auch ohne ISMS bewusst sein.

Der Standard liefert jedem IT’ler aber auch ein wichtiges Mittel an die Hand. Mit dem ISMS wird auch eine Risikoanalyse verlangt. Wer kennt es nicht wenn es um die Priorisierung von IT-Systemen und -Prozessen geht. Fragt man die zuständigen Fachverantwortlichen, erhält alles die höchste Priorität. Jedem ist seines eben das Wichtigste. Die Risikobetrachtung liefert hier für die Wirtschaftsprozesse eine möglichst monetäre Bewertung. Was kostet es dem Unternehmen wenn Prozess A für eine Zeiteinheit nicht zur Verfügung steht? Mit diesen Zahlen ist dann auch eine effiziente Gestaltung der Massnahmen zur Erhöhung der IT-Sicherheit möglich.

Wie gerade beschrieben beschäftigt sich ISO27001 aber hauptsächlich mit dem Thema der IT-Verfügbarkeit. Natürlich ist Verfügbarkeit ein Teil der Sicherheit. Aber wenn man von IT- oder Cyber-Security spricht, geht es um Zugriffsschutz und Schutz vor Missbrauch der IT. Hier bietet der Standard wenig Hilfe. Für ein gutes Securityniveau bedarf es dazu einfach kompetente und securitysensible IT’ler mit einem guten Verständnis für Möglichkeiten und Herangehensweisen der „bösen Jungs und Mädels“. Wenn dann das Management durch das ISMS entsprechend sensibilisiert ist und den IT’lern die notwendigen Resourcen und den Rückhalt gibt, kann die Unternehmensführung sich auch wieder beruhigt zurücklehnen.

Fazit: Eine Zertifizierung nach ISO27001 garantiert kein hohes Niveau an IT-Sicherheit. Aber man sollte davon ausgehen, dass ein zertifiziertes Unternehmen zumindestens ausreichend für dieses Thema sensibilisiert ist. Wollen wir hoffen, dass wir uns damit wieder einen Schritt von dem Merkel’schen Neuland entfernen. 😉

von Thomas

Mythen der IT-Security: Passwortregeln

9. September 2017 in IT

Wer kennt es nicht?

Das Kennwort muss mindestens 8 Zeichen lang sein. Sie müssen mindestens jeweils einen Kleinbuchstaben, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen verwenden. Während der Eingabe müssen Sie einen rituellen Tanz aufführen, dabei muss mindestens die Sonne oder der Mond angebetet werden und Sie müssen alle Ihre Vorfahren bis in die 4. Generation sortiert nach dem Geburtsdatum aufzählen. OK, jetzt habe ich etwas übertrieben. Aber ehrlich gesagt kommt man sich doch hin und wieder so vor.

Natürlich ist es wichtig ein Passwort zu nutzen, dass etwas komplizierter ist als „Passwort“ oder „12345“. Letzteres ist übrigens das Kennwort für den Luftschild vom Planeten Druidia im Film Spaceballs. Dass in dieser kultigen Parodie dieses Kennwort gewählt wurde ist übrigens kein Zufall. „12345“ gehört weltweit zu den am häufigsten verwendeten Kennwörtern. Und das hat sich anscheinend seit den 80’ern so gehalten. Wir Menschen sind faul. Wir möchten uns keine komplizierten Zeichenkolonnen merken. Nur leider sind so einfache Kennwörter leicht durch einen Wörterbuchangriff zu knacken. Die oben genannten Passwortregeln haben also einen wirklich guten Grund, da sie die Angriffe erschweren. Nun ist es leider so, dass diese Passwortregeln von jedem Dienstanbieter anders definiert werden. Habe ich also mal ein schön komplexes Passwort gefunden, dass ich mir auch irgendwie merken kann, dann kann ich dies eventuell nicht überall verwenden. Es gibt übrigens erste Untersuchungen die erstaunlicher Weise der Einbettung von Sonderzeichen in Kennwörtern kaum eine Erschwerung beim Knacken der Passwort-Hashes zuschreiben.

Richtig problematisch wird es allerdings durch die absolute Unart Nutzer zu zwingen Ihre Passwörter in regelmäßigen Abständen zu ändern. Und dazu merken sich die Systeme auch noch die letzten Passwörter und verlangen jedesmal ein anderes. Ständig wechselnde und komplexe Passwörter kann sich niemand merken. Das hat leider zur Folge, dass die Passwörter auf einem Post-It unter der Tastatur oder sogar am Bildschirmrand kleben. Und jetzt fördern die Regeln die Sicherheit eben nicht mehr. Im Gegenteil, die Unsicherheit wird erhöht.

Bei diesem Thema wird häufig extremisiert und dadurch das Gegenteil vom Ziel erreicht. Wie bei allem im Leben kommt es auch hier auf das Maß an. Natürlich sollte eine gewisse Komplexität gefordert werden. Aber bitte verzichtet auf die regelmäßige Änderung. Nur dann können sich Nutzer die Passwörter merken und nutzen keine Post-It’s.

Mein Tipp für ausreichend komplexe Passwörter: Einen Satz suchen in dem Zahlen vorkommen. Dieser Satz sollte natürlich kein übliches Sprichwort sein. Von allen Wörtern des Satzes die Anfangsbuchstaben mit Groß- und Kleinschreibung zusammen mit den Zahlen ergibt dann ein leicht merkbares Kennwort.

von Thomas

Mythen der IT-Security: Virenscanner bieten grundlegenden Schutz

8. September 2017 in IT

Mit diesem Beitrag beginne ich eine Reihe von Beiträgen zum Thema IT-Security, bzw. zu Mythen in diesem Bereich. Ich glaube hier gibt es eine Menge Missverständnisse und fehlleitende Vorgaben von Leuten oder Institutionen, die kein wirkliches Verständnis der grundlegenden Problematik haben.

Ich beginne mit den allgegenwärtigen Virenscannern. Aber warum habe ich ein Problem mit Virenscannern? Virenscanner machen inzwischen viel mehr als sie sollen. Statt einfach nur nach unerwünschtem Schadcode zu suchen, wofür die Virenscanner eigentlich gedacht sind, versuchen die Hersteller dieser Software eine allumfassende Securitylösung dem Endkunden vorzugaukeln. Dabei möchten die Lösungen am liebsten die Steuerung des Rechners vollständig übernehmen. Um dies zu erreichen müssen teilweise Sicherheitsvorkehrungen des Betriebssystems umgangen werden. Als Angreifer würde ich mir diesen Umstand zu nutze machen und die Sicherheitslücken in den ganzen bunten ungewollten Ergänzungen der Virenscanner ausnutzen. Genau dies wird auch von den „bösen Jungs und Mädels“ zum großen Teil gemacht.

Meine Hauptkritik an dem Einsatz von Virenscannern trifft aber das Konzept dieser Lösungen. Die Scanner durchsuchen Daten nach bekannten Signaturen und/oder auffälligen bekannten Verhaltensweisen in einer Sandbox. Es bedarf also immer erst mindestens eines bekanntgewordenen Vorfalls damit weitere Systeme nach zeitnaher Aktualisierung der Virensignaturen und co. vor dem Schadcode geschützt werden. Das Konzept ist reaktiv und läuft damit den Entwicklungen auf dem Markt der Schadsoftware immer hinterher.

Ein deutlich besserer Ansatz müsste proaktiv sein um sich auch vor neuer unbekannter Schadsoftware zu schützen. Der potentielle Schadcode kommt im Allgemeinen als Download von Webservern oder teilweise auch noch per Anhang in Mails. Was ist Schadcode? Schadcode steckt nahezu immer in Dateien die vom Betriebssystem oder einer Anwendung ausführbar sind. Es handelt sich also um Programmcode, um Anwendungen. Nun stellt sich die Frage wozu, vor allem im Kontext eines Unternehmensnetzwerkes, Nutzer Programme von Webservern laden oder per Mail erhalten müssen. Normaler Weise dürfen Programme hier nur von der zuständigen IT im internen Netz bereitgestellt werden. Der Datenverkehr per Internet und Mail muss somit nur nach ausführbarem Code durchsucht werden. Abhängig vom Betriebssystem und installierten Runtimes gibt es immer nur eine Hand voll bekannte Signaturen von ausführbarem Code. Wenn man die betreffenden Datentransfers blockiert kann kein Nutzer ungewollt Schadcode ausführen.

In einem Unternehmensnetzwerk kann man hier Webproxys und Mailgateways einsetzen, die eine Tiefenanalyse des Traffic durchführen und entsprechend blockieren. Ich habe sehr gute Erfahrungen mit den Lösungen von Clearswift gemacht. Im Privaten und in Kleinunternehmen sieht es allerdings düster aus mit den Möglichkeiten. Hierzu müssten Browser und Betriebssysteme diese Aufgabe übernehmen. Ich habe bisher leider noch keine geeigneten Erweiterungen oder ähnliches gefunden.

von Thomas

fail2ban und IPv6

15. Januar 2017 in IT

fail2ban ist eine der bekanntesten Lösungen um dynamisch Einbruchversuche in Server zu erschweren. Dazu werden die Logdateien der Serverdienste auf auffällige Einträge überwacht. Erscheinen solche in entsprechender Häufigkeit kann man die verursachenden IP-Adressen durch die Firewall zeitweise sperren lassen. Die Lösung ist sehr flexibel und lässt sich somit gut an die speziellen Bedürfnisse anpassen.

Leider warten alle Nutzer, wie auch ich, sehnsüchtig auf die Unterstützung des IPv6-Protokolls. Dies ist für die kommende Version 0.10 geplant. Aber leider dauert es voraussichtlich noch eine Weile bis die neue Version veröffentlicht wird. Die Nutzung von IPv6 ist im Internet aber bei einigen Statistiken bereits bei fast 40% angekommen. Die Bösewichte aus aller Welt, die versuchen Server zu kapern, nutzen nach meinen Erfahrungen zwar noch fast ausschließlich IPv4, aber ich denke dass es nur ein Frage der Zeit ist, bis dies sich auch ändert. Deshalb war ich zu ungeduldig auf fail2ban 0.10 zu warten und habe einen im Netz bereits existierenden Patch von crycode für meine Bedürfnisse erweitert. Die Lösung ist nicht vollständig IPv6-tauglich. Aber ich kann dadurch meinen eigenen Server vor Angriffen per IPv6 schützen. Ich habe es als Paket für meine Lieblingsdistribution ArchLinux im AUR zur verfügung gestellt.

von Thomas

IPv6 im Unternehmensnetzwerk

15. Februar 2015 in IT

IPv6Wir schreiben das Jahr 2015. Ich beschäftige mich aktuell damit IPv6, den kommenden Standard für die Kommunikation im Internet, bei mir auf Arbeit einzuführen. Für mich als langjährig erfahrenen IT-ler hat sich herausgestellt, dass ich mich an einige konzeptionelle Grundgedanken des Nachfolgers von IPv4 erst gewöhnen muss. Die größte Hürde ist für mich dabei die Idee, dass im IPv6 NAT nicht mehr existieren soll. Alle Netzwerkteilnehmer sollen weltweit über eine eindeutige Adresse adressierbar sein. In IPv4 hatte sich NAT eigentlich als Lösung des knappen Adressraumes etabliert, so dass mehr als ein Teilnehmer eines privaten Netzes über eine global eindeutige Adresse im Netz weltweit kommunizieren kann. Der Nebeneffekt ist natürlich, dass in den internen Netzen unabhängig vom öffentlichen Netz adressiert und kommuniziert werden kann. Genau diesen Effekt vermisse ich in dem ursprünglichen Konzept für IPv6. Zwar wurden auch bei IPv6 private Adressbereiche (ULA – unique local addresses) definiert, doch wenn man komplett auf NAT verzichtet, müssen Systeme, die im Internet kommunizieren, öffentliche Adressen (GUA – global unicast addresses) haben. Hier ist nach meinem Verständnis das IPv6-Konzept nicht konsistent. Denn mit dem absoluten Verzicht auf NAT sind ULA’s komplett sinnfrei.

Anscheinend ist das auch anderen aufgefallen. Deshalb wurde als Kompromiss NPT (network prefix translation) mit RFC-6296 nachgereicht. Hiermit ist es nun möglich den Prefix einer internen ULA-Adresse durch den einer öffentlichen GUA-Adresse zu ersetzen. Der Host Identifier (im Allgemeinen die unteren 64 Bit der Adresse) bleibt unverändert. Nun ist es möglich wie gewollt jeden Host in privaten Netzen direkt zu adressieren und trotzdem das interne Netz unabhängig vom öffentlichen Prefix zu verwalten. Warum ist das so wichtig. Ganz einfach. Ohne NPT müssten allen Host eines privaten Netzes beim Wechsel des Providers neue Adressen zugewiesen bekommen. Die Verwaltung der internen Kommunikation wäre also vom Provider abhängig. Anders als in Heimnetzwerken sind die Unternehmensnetze aber nicht nur zum Zugriff auf das Internet gedacht. Hier sind interne Server für verschiedenste Zwecke eingerichtet. Der Zugang zum Internet ist hier nicht der Zweck sondern nur eine Option des Netzes. Weiterhin ist es auch üblich mehr als einen Internetzugang zu haben um Ausfälle abzufangen. Da diese Zugänge aber mit unterschiedlichen Prefixen versehen sind, müssten alle Systeme des internen Netzes zwei GUA’s zugewiesen haben. Das ist erstmal kein großes Problem. Aber woher sollen die Systeme jetzt wissen wann sie mit welcher Adresse auf das Internet zugreifen sollen.

Als Fazit muss ich festhalten, dass IPv6 in Unternehmensnetzes nur mit Hilfe von NPT sinnvoll angewendet werden kann. Ich werde die Einführung vorantreiben und meine Erfahrungen hier weiter festhalten.