You are browsing the archive for Mythen der IT-Security Archive - niphba.

by Thomas

Mythen der IT-Security: ISO27001

19. Oktober 2017 in IT

Spätestens seit dem Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015 ist die Branche der Unternehmensberater, Auditoren und Zertifizierer in Goldgräberstimmung. Die Veröffentlichung des IT-Sicherheitskataloges im August 2015, der im Zusammenhang mit dem Energiewirtschaftgesetz §11 Abs. 1a für alle Strom- und Gasnetzbetreiber gilt, hat dies auch nochmal verstärkt. Hunderte von Unternehmen und Organisationen sind gezwungen sich nach dem internationalen Standard ISO27001 zertifizieren zu lassen. Oberflächlich betrachtet klingt das erstmal gut. In den vergangenen zwei Jahren hat ja durch diverse Schädlinge wie Petya, WannaCry und ähnlichen die Angst vor IT-Sicherheitsvorfällen in der öffentlichen Wahrnehmung eine deutlich höhere Priorität erlangt. Aber erhöht die Zertifizierung nach ISO27001 die Sicherheit der IT?

Zuerst möchte ich versuchen in wenigen Worten zusammenzufassen was dieser Standard bedeutet und welche Ergebnisse durch die Einführung zu erwarten sind. ISO27001 fordert die Einführung und den fortlaufenden Betrieb eines ISMS. Diese Abkürzung steht für Informations-Sicherheit-Management-System. Ein Managementsystem hat erstmal nichts IT-spezifisches. Es handelt sich um Verfahren und Vorgehensweisen für das Management, also die Führung, eines Unternehmens. Das Ziel ist hier das Management zu befähigen mit dem Thema der Informationssicherheit umzugehen. Das bedeutet natürlich, dass man davon ausgeht, dass das Management sich im Allgemeinen nicht darüber bewusst ist, dass alle wirtschaftlichen Prozesse inzwischen zu 100% abhängig von der IT sind. Dieser Gedanke beunruhigt mich doch sehr. Einem guten Management sollte dies auch ohne ISMS bewusst sein.

Der Standard liefert jedem IT’ler aber auch ein wichtiges Mittel an die Hand. Mit dem ISMS wird auch eine Risikoanalyse verlangt. Wer kennt es nicht wenn es um die Priorisierung von IT-Systemen und -Prozessen geht. Fragt man die zuständigen Fachverantwortlichen, erhält alles die höchste Priorität. Jedem ist seines eben das Wichtigste. Die Risikobetrachtung liefert hier für die Wirtschaftsprozesse eine möglichst monetäre Bewertung. Was kostet es dem Unternehmen wenn Prozess A für eine Zeiteinheit nicht zur Verfügung steht? Mit diesen Zahlen ist dann auch eine effiziente Gestaltung der Massnahmen zur Erhöhung der IT-Sicherheit möglich.

Wie gerade beschrieben beschäftigt sich ISO27001 aber hauptsächlich mit dem Thema der IT-Verfügbarkeit. Natürlich ist Verfügbarkeit ein Teil der Sicherheit. Aber wenn man von IT- oder Cyber-Security spricht, geht es um Zugriffsschutz und Schutz vor Missbrauch der IT. Hier bietet der Standard wenig Hilfe. Für ein gutes Securityniveau bedarf es dazu einfach kompetente und securitysensible IT’ler mit einem guten Verständnis für Möglichkeiten und Herangehensweisen der „bösen Jungs und Mädels“. Wenn dann das Management durch das ISMS entsprechend sensibilisiert ist und den IT’lern die notwendigen Resourcen und den Rückhalt gibt, kann die Unternehmensführung sich auch wieder beruhigt zurücklehnen.

Fazit: Eine Zertifizierung nach ISO27001 garantiert kein hohes Niveau an IT-Sicherheit. Aber man sollte davon ausgehen, dass ein zertifiziertes Unternehmen zumindestens ausreichend für dieses Thema sensibilisiert ist. Wollen wir hoffen, dass wir uns damit wieder einen Schritt von dem Merkel’schen Neuland entfernen. 😉

by Thomas

Mythen der IT-Security: Passwortregeln

9. September 2017 in IT

Wer kennt es nicht?

Das Kennwort muss mindestens 8 Zeichen lang sein. Sie müssen mindestens jeweils einen Kleinbuchstaben, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen verwenden. Während der Eingabe müssen Sie einen rituellen Tanz aufführen, dabei muss mindestens die Sonne oder der Mond angebetet werden und Sie müssen alle Ihre Vorfahren bis in die 4. Generation sortiert nach dem Geburtsdatum aufzählen. OK, jetzt habe ich etwas übertrieben. Aber ehrlich gesagt kommt man sich doch hin und wieder so vor.

Natürlich ist es wichtig ein Passwort zu nutzen, dass etwas komplizierter ist als „Passwort“ oder „12345“. Letzteres ist übrigens das Kennwort für den Luftschild vom Planeten Druidia im Film Spaceballs. Dass in dieser kultigen Parodie dieses Kennwort gewählt wurde ist übrigens kein Zufall. „12345“ gehört weltweit zu den am häufigsten verwendeten Kennwörtern. Und das hat sich anscheinend seit den 80’ern so gehalten. Wir Menschen sind faul. Wir möchten uns keine komplizierten Zeichenkolonnen merken. Nur leider sind so einfache Kennwörter leicht durch einen Wörterbuchangriff zu knacken. Die oben genannten Passwortregeln haben also einen wirklich guten Grund, da sie die Angriffe erschweren. Nun ist es leider so, dass diese Passwortregeln von jedem Dienstanbieter anders definiert werden. Habe ich also mal ein schön komplexes Passwort gefunden, dass ich mir auch irgendwie merken kann, dann kann ich dies eventuell nicht überall verwenden. Es gibt übrigens erste Untersuchungen die erstaunlicher Weise der Einbettung von Sonderzeichen in Kennwörtern kaum eine Erschwerung beim Knacken der Passwort-Hashes zuschreiben.

Richtig problematisch wird es allerdings durch die absolute Unart Nutzer zu zwingen Ihre Passwörter in regelmäßigen Abständen zu ändern. Und dazu merken sich die Systeme auch noch die letzten Passwörter und verlangen jedesmal ein anderes. Ständig wechselnde und komplexe Passwörter kann sich niemand merken. Das hat leider zur Folge, dass die Passwörter auf einem Post-It unter der Tastatur oder sogar am Bildschirmrand kleben. Und jetzt fördern die Regeln die Sicherheit eben nicht mehr. Im Gegenteil, die Unsicherheit wird erhöht.

Bei diesem Thema wird häufig extremisiert und dadurch das Gegenteil vom Ziel erreicht. Wie bei allem im Leben kommt es auch hier auf das Maß an. Natürlich sollte eine gewisse Komplexität gefordert werden. Aber bitte verzichtet auf die regelmäßige Änderung. Nur dann können sich Nutzer die Passwörter merken und nutzen keine Post-It’s.

Mein Tipp für ausreichend komplexe Passwörter: Einen Satz suchen in dem Zahlen vorkommen. Dieser Satz sollte natürlich kein übliches Sprichwort sein. Von allen Wörtern des Satzes die Anfangsbuchstaben mit Groß- und Kleinschreibung zusammen mit den Zahlen ergibt dann ein leicht merkbares Kennwort.

by Thomas

Mythen der IT-Security: Virenscanner bieten grundlegenden Schutz

8. September 2017 in IT

Mit diesem Beitrag beginne ich eine Reihe von Beiträgen zum Thema IT-Security, bzw. zu Mythen in diesem Bereich. Ich glaube hier gibt es eine Menge Missverständnisse und fehlleitende Vorgaben von Leuten oder Institutionen, die kein wirkliches Verständnis der grundlegenden Problematik haben.

Ich beginne mit den allgegenwärtigen Virenscannern. Aber warum habe ich ein Problem mit Virenscannern? Virenscanner machen inzwischen viel mehr als sie sollen. Statt einfach nur nach unerwünschtem Schadcode zu suchen, wofür die Virenscanner eigentlich gedacht sind, versuchen die Hersteller dieser Software eine allumfassende Securitylösung dem Endkunden vorzugaukeln. Dabei möchten die Lösungen am liebsten die Steuerung des Rechners vollständig übernehmen. Um dies zu erreichen müssen teilweise Sicherheitsvorkehrungen des Betriebssystems umgangen werden. Als Angreifer würde ich mir diesen Umstand zu nutze machen und die Sicherheitslücken in den ganzen bunten ungewollten Ergänzungen der Virenscanner ausnutzen. Genau dies wird auch von den „bösen Jungs und Mädels“ zum großen Teil gemacht.

Meine Hauptkritik an dem Einsatz von Virenscannern trifft aber das Konzept dieser Lösungen. Die Scanner durchsuchen Daten nach bekannten Signaturen und/oder auffälligen bekannten Verhaltensweisen in einer Sandbox. Es bedarf also immer erst mindestens eines bekanntgewordenen Vorfalls damit weitere Systeme nach zeitnaher Aktualisierung der Virensignaturen und co. vor dem Schadcode geschützt werden. Das Konzept ist reaktiv und läuft damit den Entwicklungen auf dem Markt der Schadsoftware immer hinterher.

Ein deutlich besserer Ansatz müsste proaktiv sein um sich auch vor neuer unbekannter Schadsoftware zu schützen. Der potentielle Schadcode kommt im Allgemeinen als Download von Webservern oder teilweise auch noch per Anhang in Mails. Was ist Schadcode? Schadcode steckt nahezu immer in Dateien die vom Betriebssystem oder einer Anwendung ausführbar sind. Es handelt sich also um Programmcode, um Anwendungen. Nun stellt sich die Frage wozu, vor allem im Kontext eines Unternehmensnetzwerkes, Nutzer Programme von Webservern laden oder per Mail erhalten müssen. Normaler Weise dürfen Programme hier nur von der zuständigen IT im internen Netz bereitgestellt werden. Der Datenverkehr per Internet und Mail muss somit nur nach ausführbarem Code durchsucht werden. Abhängig vom Betriebssystem und installierten Runtimes gibt es immer nur eine Hand voll bekannte Signaturen von ausführbarem Code. Wenn man die betreffenden Datentransfers blockiert kann kein Nutzer ungewollt Schadcode ausführen.

In einem Unternehmensnetzwerk kann man hier Webproxys und Mailgateways einsetzen, die eine Tiefenanalyse des Traffic durchführen und entsprechend blockieren. Ich habe sehr gute Erfahrungen mit den Lösungen von Clearswift gemacht. Im Privaten und in Kleinunternehmen sieht es allerdings düster aus mit den Möglichkeiten. Hierzu müssten Browser und Betriebssysteme diese Aufgabe übernehmen. Ich habe bisher leider noch keine geeigneten Erweiterungen oder ähnliches gefunden.