LIEBE HAKIN9 LESER, - Soup.ioasset-8.soup.io/asset/1234/2750_8329.pdf · betreffen, möchten wir...
51
Transcript of LIEBE HAKIN9 LESER, - Soup.ioasset-8.soup.io/asset/1234/2750_8329.pdf · betreffen, möchten wir...
4HAKIN9 5/2009
in der August Ausgabe erwarten Sie viele spannende Themen aus dem Bereich
IT-Security.
Sie wissen nicht, wie man Schwachstellen in Web-Anwendungen schützen
kann? Dies erfahren Sie in unserem Beitrag Web-Anwendungen über den ge-
samten Lebenszyklus schützen. Schwachstellen in Web-Anwendungen lassen
sich nämlich auf zwei Arten schützen: entweder durch einen Patch oder durch
Web Application Firewalls (WAFs). Bei näherer Betrachtung zeigt sich, dass sich
beide Ansätze in der Praxis sinnvoll ergänzen, wenn Web-Applikationssicherheit
fest in den regulären Produktions- und Wartungszyklus integriert ist.
Unsere Einsteiger dürfen sich über den hochaktuellen Artikel zum Thema
Web Application Firewalls freuen. In der Rubrik Angriff finden Sie einen Beitrag
über Botnets, also Angriffe, die den Zugriff auf Webseiten verweigern oder groß-
angelegte Diebstähle von Kontodaten sind.
In der aktuellen Ausgabe finden Sie außerdem: Schlüssellose Kommunikation
in WEP-Netzen, Risikomanagement der Informationssicherheit, Der SHA-3
Hash-Wettbewerb, Der Weg zum eigenen Datenschutzbeauftragten.
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts ein-
facher als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
vorfinden. Jede Ausgabe wird nämlich automatisch an unsere Subscriber ver-
schickt.
Viel Spaß mit der Lektüre!
Adrianna Witkowska
Chefredakteurin
LIEBE HAKIN9 LESER,
herausgegeben vom Verlag:Software Press Sp. z o. o. SK
Geschäftsführer:
Herausgeber:
Chefredakteur: Adrianna [email protected]
Redaktion/Betatester: Karolina Sokolowska, Kai Renz, Thomas Höhn, Stefan Strobel, Peter Jastak, Markus Wagner, Robert Lommen, Stefan M. Ritter, Kerstin Blossey
Produktion: Andrzej KucaDTP:
Umschlagsentwurf:
Werbung: [email protected]
Anschrift:
Software Press Sp. z o.o. SKul. Bokserska 1, 02-682 Warszawa, PolandTel. +48 22 427 36 56, Fax +48 22 244 24 59www.hakin9.org/de
Die Redaktion bemüht sich, dafür Sorge zu tragen, dass die in der Zeitschrift sowie auf den begleitenden Datenträgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfähig sind, übernimmt jedoch keinerlei Gewähr für derer Geeignetheit für bestimmte Verwendungszwecke. Alle Markenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenümer und dienen nur als inhaltliche Ergänzungen.
Anmerkung!
Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEßLICH in eigenen Rechnernetzen zu testen! Die Redaktion übernimmt keine Haftung für eventuelle Schäden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der darge-stellten Techniken kann auch zum Datenverlust führen!hakin9 erscheint in folgenden Sprachversionen und Ländern: deutsche Version (Deutschland, Schweiz, Österreich, Luxemburg), französische Version (Frankreich, Kanada, Belgien, Marokko), spanische Version (Spanien, Portugal), polnische Version (Polen), eng-lische Version (Kanada, USA)
4
INHALTSVERZEICHNIS
TOOLSSchlüssellose Kommunikation in WEP-Netzen 6Kai RenzEinen WEP-Schlüssel zu knacken ist heutzutage eine Sache von Minuten. Manchmal kann sich das Sammelnder benötigten Daten jedoch schwierig gestalten, so-dass die herkömmlichen Methoden versagen. In die-ser Ausgabe werden wir uns deshalb mit einer anderen Möglichkeit befassen - der schlüssellosen Kommunika-tion innerhalb eines WEP-Netzwerks.
FÜR EINSTEIGERHeimnetzwerk – Weitere Möglichkeiten mit der Fritz!Box 10Thomas HöhnWelche Möglichkeiten uns die Fritz!Box noch bietet, wird in diesem Artikel behandelt. Wir schließen einen Drucker per USB an und richten ihn für das Netzwerk ein und es geht um die Möglichkeiten, die uns der USB-Anschluss noch bietet. Eine Anleitung für Einsteiger.
Web Applications Firewalls16Stefan StrobelDatenschutzskandale und gestohlene Kunden- und Kreditkartendaten haben uns nicht nur im Jahr 2009 begleitet, sie werden uns auch in den nächsten Jah-ren verfolgen. Immer wieder werden in diesem Kontext auch unsichere Web-Seiten genannt und das, obwohl doch jeder eine Firewall im Einsatz hat.
ANGRIFFConficker – Was man über Botnets wissen sollte 18Peter JastakAngriffe, die den Zugriff auf Webseiten verweigern oder großangelegte Diebstähle von Kontodaten, sind The-men, die häufig in den computerbezogenen News wie-derkehren. Hinter diesen Handlungen stehen immer öf-ter Botnets.
ABWEHRWeb-Anwendungen über den gesamten Lebenszyklus schützen 24Markus WagnerSchwachstellen in Web-Anwendungen lassen sich auf zwei Arten schützen: entweder durch einen Patch oder
7/2010
4 7/2010
durch Web Application Firewalls (WAFs). Bei näherer Betrachtung zeigt sich, dass sich beide Ansätze in der Praxis sinnvoll ergänzen, wenn Web-Applikationssi-cherheit fest in den regulären Produktions- und War-tungszyklus integriert ist.
Risikomanagement der Informationssicherheit nach ISO/IEC 27005 28Robert LommenDie Reduktion von Haftungsrisiken, das Gerechtwerdenvon Compliance-Anforderungen in der IT oder die blo-ße Sicherstellung des Geschäftsbetriebes begründen für viele Unternehmen den Aufbau eines Management-systems im Bereich Informationssicherheit (ISMS). Die ISO/IEC 27005 beschreibt dazu eine standardisierte Vorgehensweise des IT-Risikomanagements, welches sich vollständig in ein ISMS integrieren lässt.
Der SHA-3 Hash-Wettbewerb – ein Zwischen-stand 32Dr. Stefan M. RitterSeit 2007 läuft der vom NIST veranstaltete öffentliche Wettbewerb zur Festlegung eines neuen Standardsfür kryptografische Hash-Algorithmen, bezeichnet als SHA-3, der Ende 2012 beendet sein wird.
DATENSCHUTZDer Weg zum eigenen Datenschutz-beauftragten: Wie Sie den passenden DSB für Ihr Unternehmen finden 36Kerstin Blossey, Blossey & PartnerDatenschutz ist in aller Munde, keine Frage! Nicht nur in Deutschland und Europa häufen sich seit 2008 die „Pannen“, die in den meisten Fällen eine peinliche Veröffentlichung vieler personenbezogener Daten nach sich gezogen haben.
Im Zusammenhang mit den Änderungen, die in letzter Zeit in
dem deutschen Recht stattgefunden haben und die IT-Sicherheit
betreffen, möchten wir ankündigen, dass hakin9-Abwehrmetho-
den Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Erkenntniszwecken.
Alle im Magazin präsentierten Methoden sollen für eine sichere
IT fungieren. Wir legen einen großen Wert auf die Entwicklung
von einem sicheren elektronischen Umsatz im Internet und der
Bekämpfung von IT Kriminalität.
Das Ziel für IT-Sicherheits-Verantwortliche:
it·sa Nürnberg, 19.-21.Okt.2010
Nürnberg, 19.- 21.Okt. 2010
it-sa 2010: Der Treffpunkt der IT-Security Branche
7/20106
TOOLS
Trotz der allgemein bekannten Sicherheitslücken
im WEP-Verschlüsselungsverfahren ist ungefähr
jedes 11. WLAN nicht oder unzureichend gesi-
chert. Gründe für die anhaltende Nutzung von WEP gibt
es viele: Angefangen bei den Herstellern, die die Geräte
mit WEP als Grundkonfiguration ausliefern, bis hin zu
ahnungslosen Privatanwendern ohne Konfigurationser-
fahrung. Mangelnde Kenntnis in diesem Bereich ist nicht
unnormal, welcher Rentner oder Schüler hat schon die
Muse, ein Handbuch durchzuarbeiten, wenn das Gerät
eh schon mit einer fertig konfigurierten WLAN-Schnitt-
stelle ausgeliefert wird? Gerade im WLAN-Bereich hört
man oft Sätze wie …wird mich schon nicht treffen oder
…bei mir gibt es eh nichts zu holen. Dieser Grundsatz
überträgt sich teils sogar soweit, dass nicht einmal die
Standardpasswörter der Router geändert werden. Dra-
stische Auswirkungen kann dies im Umfeld von Fir-
men haben. Sie gehen richtig in der Annahme, wenn
Sie denken, dass wenigstens (die meisten) Firmen
ein stärkeres Verschlüsselungsverfahren einsetzen,
dennoch ist in vielen Fällen nicht das Firmennetzwerk
das Problem, sondern vielmehr der Mitarbeiter, der sich
von zu Hause aus in das interne Netz einwählt. Treffen
diese beiden Faktoren (ein Mitarbeiter, der sich in das
Firmennetzwerk einwählt und ein unsicheres WLAN-
Netz) aufeinander, können erhebliche Schäden entste-
hen. Kann nachgewiesen werden, dass der Angriff von
dem unsicheren Netzwerk des Mitarbeiters ausgegan-
gen ist, ist dieser mindestens mitschuldig!
Bevor ein Client mit dem Netzwerk interagieren kann,
muss dieser folgende Schritte durchführen: Probe (An-
frage), Authentication (Authentifizierung), Associati-
on (Assoziierung). Bei der Probe sendet der Client auf
allen Kanälen eine Anfrage. Befindet sich ein Acces-
sPoint (AP) in Reichweite, antwortet dieser mit einer
Response (Antwort). Sollte der AP eine Verschlüsse-
lung verwenden, ist das Privacy-Bit auf 1 gesetzt. Als
nächstes verbindet sich der Client mit dem AP und stellt
eine Authentifizierungsanfrage. Hierbei wird zwischen
und Open Authentication unterschieden. Will sich ein
Client bei einem AP, der ein WEP-Netzwerk mit Open
Authentication anbietet, anmelden, so verhält es sich
gleich wie bei einem offenen Netzwerk. Ist der Schlüs-
sel falsch, ist der Client zwar verbunden – seine Pake-
te werden jedoch verworfen, da der verschlüsselte ICV
nicht mit dem unverschlüsselten, zwischengespeicher-
ten ICV übereinstimmt. Als nächstes prüft der AP die
Anfrage und sendet eine Antwort. Verläuft dieser Pro-
zess erfolgreich, folgt der Assoziierungsprozess. Hier-
bei sendet der Client eine Assoziierungsanfrage, auf die
dann der AP, falls die nötigen Voraussetzungen beim
Client erfüllt sind, mit einer Association Response ant-
wortet. Ist die Assoziierung erfolgreich, ist der Client mit
dem Netzwerk verbunden und kann Daten austauschen.
Bei einer verhält es sich etwas anders. Hier sendet der
AP einen sogenannten Challenge Text, der dann vom
Client mit dem Standard-Schlüssel verschlüsselt und
zurückgesendet wird. Der AP entschlüsselt den Text
Schlüssellose Kommunikation in WEP-Netzen
Einen WEP-Schlüssel zu knacken ist heutzutage eine Sache von Minuten. Manchmal kann sich das Sammeln der benötigten Daten jedoch schwierig gestalten, sodass die herkömmlichen Methoden versagen. In dieser Ausgabe werden wir uns deshalb mit einer anderen Möglichkeit befassen - der schlüssellosen Kommunikation innerhalb eines WEP-Netzwerks.
IN DIESEM ARTIKEL ERFAHREN SIE...• Wie man ohne einen Schlüssel innerhalb eines WEP-Netzwerks
kommunizieren kann;• Mit welchen Maßnahmen Sie ihr WLAN-Netz absichern kö-
nnen;• Wie das Tool easside-ng funktioniert.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Grundwissen WLAN.
Kai Renz
Schlüssellose Kommunikation in WEP-Netzen
hakin9.org/de 7
nerieren des Key-Streams zuständig ist, der dann spä-
ter mit dem Klartext ge-XOR’ed wird.
Easside-ng ist ein All-in-One-Tool, das es uns erlaubt
mit einem WEP-verschlüsselten AP zu kommunizieren,
ohne dessen verwendeten Schlüssel zu kennen. Der
Trick steckt in der Logik, wie Pakete zwischen dem Client
und dem Internet verarbeitet werden. Schauen wir uns
doch einmal die Kommunikation in einem solchen Netz-
werk an. Beim Versenden von Daten fällt nichts Unge-
wöhnliches auf: Das zu versendende Paket wird an das
TAP-Interface (ein von easside-ng erzeugtes, virtuelles
Interface) übergeben, das dieses an easside-ng weiter-
leitet. Dort wird es mit Hilfe des PRGA, der schon davor
gesammelt wurde, verschlüsselt und in das Netzwerk in-
jiziert. Seine volle Power spielt easside-ng dann beim Er-
halten von Paketen aus. Sendet ein Gerät ein Paket, das
an das TAP-Interface adressiert ist, nimmt easside-ng
dieses auf und entschlüsselt es. Dies geschieht in meh-
reren Schritten. Hierfür wird zuerst ein neues Paket, be-
stehend aus 2 Fragmenten, erstellt. Das erste Fragment
enthält nichts als die Ziel-IP und wurde mit dem PRGA-
Keystream verschlüsselt. Das zweite Fragment ist nichts
neues, denn es ist das vorhin empfangene Paket. Nun
wird das neue Paket in das Netzwerk injiziert. Der AP
empfängt nun die Fragmente, setzt sie zusammen und
entschlüsselt das frisch zusammengesetzte Paket. Da
die Ziel-IP unser Buddy Server im Internet ist, wird das
Paket unverschlüsselt (!!) über die Kabelverbindung wei-
tergegeben. Der Buddy Server empfängt nun das unver-
schlüsselte Paket und sendet es an easside-ng zurück,
wo es dann auf dem TAP-Interface verwendet wird. Um
den PRGA zu extrahieren, können zwei Techniken an-
gewendet werden: die Fragmentation Technique und die
Linear Keystream Expansion Technique. In beide Metho-
den soll ein kleiner Einblick gegeben werden.
dann mit dem Standard-Schlüssel des Clients und stellt
ihn dem originalen Challenge Text gegenüber. Stimmen
die Texte überein, wird der Client mit dem AP verbun-
den und kann nun kommunizieren.
Die Wired Equivalent Privacy, kurz WEP, wurde da-
mals als Teil des IEEE 802.11 Standards veröffentlicht
und sollte den Datenaustausch im WLAN gegen Mitle-
sen absichern. Neben der Verwendung einer CRC32
Checksum wird die Rivest Cipher 4 (RC4) Verschlüs-
selung angewendet. RC4, entwickelt von Ron Rivest
(RSA Security), wurde damals ausgewählt, weil es
durch Einfachheit und Schnelligkeit überzeugte. Die
Funktionsweise ist einfach: Es wird derselbe Schlüs-
sel zum Ver- und Entschlüsseln verwendet. Beim Ver-
schlüsseln wird eine Reihe von Bits mit dem Klartext
ge-XOR’ed. Zum Entschlüsseln muss der entstandene
Text einfach wieder ge-XOR’ed werden. WEP verwen-
det einen 24Bit langen Initialisierungsvektor (IV). Als
der Standard entwickelt wurde, war die Schlüssellän-
ge von der US Regierung auf 64Bit beschränkt, wo-
von aber 24Bit für den IV verwendet werden mussten.
Somit war die tatsächliche Schlüssellänge auf 40Bit
begrenzt. Als die Vorgaben gelockert wurden, konnte
der 128Bit-Schlüssel eingeführt werden, wovon wieder
24Bit für den IV verwendet werden und somit eine re-
ale Schlüssellänge von 104Bit erreicht werden konn-
te. Durch diesen relativ kleinen Spielraum von etwa
16 Millionen unterschiedlichen IVs und letztlich auch
der Tatsache, dass nie Gegenmaßnahmen implemen-
tiert wurden, können bereits verwendete IVs wieder-
verwendet werden. RC4 besteht aus zwei Elementen:
dem Key Scheduling Algorithm (KSA) und dem Pseu-
do-Random Generation Algorithm (PRGA). Der KSA
initialisiert eine Tabelle, die den Status von IV+ WEP
Schlüssel beinhaltet, während der PRGA für das Ge-
Abbildung 1. RC4 XOR-Funktionsprinzip
Verschlüsselung Entschlüsselung
Klartext 1 1 0 1
Key-Stream 1 0 1 1
Verschlüsselte Daten 0 1 1 0
Verschlüsselte Daten 0 1 1 0
Key-Stream 1 0 1 1
Klartext 1 1 0 1
==
XORXOR
7/20108
TOOLS
Die Fragmentation Technique kann einen 1504 Byte
großen PRGA aufdecken. Um die Attacke zu starten,
wird nicht mehr als ein einziges Datenpaket benötigt,
woraus dann ein kleiner Teil an Schlüsselinformatio-
nen extrahiert wird. Es werden dann neue Pakete mit
bekanntem Inhalt an den AP gesendet. Werden diese
erfolgreich zurückgesendet, kann ein größerer Anteil
an Schlüsselinformationen extrahiert werden. Dieser
Schritt wird so oft wiederholt, bis 1504 Byte des PRGA
aufgedeckt wurden.
Bei der Linear Keystream Expansion Technique macht
sich die Tatsache zu nutze, dass der PRGA mit Hilfe
einer ARP-Anfrage Schritt für Schritt herausgefunden
werden kann. Hierfür extrahiert easside-ng den vorhan-
denen PRGA aus dem Klartext einer ARP-Anfrage und
erzeugt ein neues ARP-Paket, das aus zwei Fragmen-
ten besteht. Das erste Fragment ist 1Byte größer als
das ursprüngliche und genau für dieses Byte wird der
PRGA versucht zu erraten. Wird das Paket vom AP zu-
rückgesendet, ist der PRGA für eben dieses Byte (und
zwar nur für dieses!) korrekt und in der originalen ARP-
Anfrage kann ein Byte mehr entschlüsselt werden. Die-
ser Prozess wiederholt sich so oft, bis die Sender-IP in
der originalen Anfrage entschlüsselt werden kann. Um
1 Byte zu entschlüsseln, braucht man bei dieser Tech-
nik maximal 256 Versuche, der Durchschnitt liegt aber
nur bei der Hälfte.
Nun aber zurück zu easside-ng und dessen Funk-
tionsweise. Wie schon angedeutet, brauchen wir ei-
nen sogenannten Buddy-Server, der über das Inter-
net sowohl für den Angreifer wie auch für den AP des
zu angreifenden Netzes erreichbar ist. Dieser macht
nichts anderes wie die vom AP entschlüsselten Pakete
an uns zurückzusenden. Möglich ist dies, weil der AP
die Schnittstelle zwischen dem WLAN und dem Inter-
net darstellt. Da unser Buddy-Server im Internet steht,
muss das aus dem WLAN stammende Paket zuerst
vom AP entschlüsselt und dann versendet werden.
Damit wir easside-ng in vollem Umfang verwenden
können, müssen einige Voraussetzungen erfüllt werden.
Zunächst muss das WLAN, das wir testen, Zugriff auf
das Internet haben. Des Weiteren muss der Port, den wir
für unseren Buddy-Server verwenden, freigegeben sein.
Da http (Port 80) eigentlich immer offen ist, werden wir
diesen Port für unseren Test verwenden. Der Buddy-Ser-
ver muss im Internet stehen und eine geroutete IP besi-
tzen, und natürlich sowohl vom WLAN als auch von un-
serer Maschine aus erreichbar sein. Erreichbar bedeutet
in diesem Fall, dass alle eingehenden und ausgehenden
Verbindungen (sowohl TCP wie auch UDP) auf unserem
Serverport zugelassen sind, und das unsere Maschine
eine Internetverbindung hat, mit der wir über TCP auf
unserem Port kommunizieren können. Idealerweise ver-
wenden wir getrennte Systeme, es ist aber auch möglich,
den Buddy-Server und easside-ng auf demselben Com-
puter zu benutzen. Die letzte Voraussetzung, die unsere
Maschine erfüllen muss, ist der Besitz einer WLAN-Kar-
te, die sich in den Monitor-Modus versetzen lässt. Dieser
Monitor-Modus erlaubt es uns Pakete, die nicht an uns
adressiert sind, mitzulesen.
Wir starten nun also unseren Buddy-ng Server, indem
wir eine Shell öffnen und buddy-ng eingeben. Als nächstes
müssen wir unsere WLAN-Karte in den Monitor-Mode
setzen. Wir starten eine zweite Shell und geben airmon-ng
start interface ein. Das Interface kann man leicht durch
Eingabe des iwconfig Befehls herausfinden (in meinem
Abbildung 2. Datenfragmentierung von easside-ng
Encrypted Data Unencrypted Dtat
Source AP
Attacker
InternetIP,DATA
IP IP,DATA
IP{IP,DATA}
Buddy server
Destination
Schlüssellose Kommunikation in WEP-Netzen
hakin9.org/de 9
Fall wlan0). Nun müssen wir uns noch den Channel und
die Mac-Adresse des Ziel-APs herausfinden. Dies kö-
nnen wir zum Beispiel mithilfe von airodump-ng. Hierfür
verwenden wir den Befehl airodump-ng interface. Jetzt
haben wir alle benötigten Informationen gesammelt und
können easside-ng starten: easside-ng -f interface -
v AP_MAC -c AP_CHANNEL -s IP_BUDDY_SERVER. Easside-ng
startet jetzt den Angriffsprozess. Wenn wir den Output
verfolgen, sehen wir wie easside-ng versucht, sich am
AP zu assoziieren, die fragmentation Attacke ausführt,
um den PRGA zu entlarven und das IP-Schema des
Netzwerks zu identifizieren. Ist dies erfolgt, wird eine
permanente TCP Verbindung zu unserem Buddy-Ser-
ver hergestellt und die MAC-Adresse des Routers und
der Quelladresse ausfindig gemacht. Schlussendlich
erstellt easside-ng ein TAP-Interface, das es uns er-
laubt, mit dem Netzwerk zu kommunizieren. Wir akti-
vieren das TAP-Interface mit ifconfig at0 up und können
nun mit dem Netzwerk interagieren, wie wenn wir ein
Client mit dem korrekten Passwort wären. Dieser auto-
matisierte Prozess erlaubt es einem Angreifer innerhalb
von wenigen Minuten auf ein WEP-Netzwerk zuzugrei-
fen, ohne den Schlüssel manuell knacken zu müssen.
Anbei noch einige Maßnahmen, die sowohl Herste-
ller wie auch Privatanwender anwenden können, um es
einem Angreifer schwerer zu machen, in ein privates
WLAN-Netz einzudringen.
WLAN-Hacking-Gegenmaßnahmen:
• Standardmäßige Geräteauslieferung OHNE WEP-
Verschlüsselungs-Option
• Konfigurations-Zwang für Neugeräte
• Standardkonfiguration mit WPA2-Verschlüsselung
• Anpassung der Sendeleistung
• Bündelung von Sicherheitsmaßnahmen (WPA2-
Verschlüsselung + MAC-Filter)
• Aktive Kontrolle des Netzes
• Passwortrotation
• SSID-Broadcast verbieten
KAI RENZDer Autor befi ndet sich gerade in Ausbildung zum Fachin-formatiker für Systemintegration. In seiner Freizeit beschäf-tigt er sich mit Themen rund um IT-Sicherheit und Penetration Testing.Kontakt mit dem Autor:[email protected]
W e r b u n g
7/201010
FÜR EINSTEIGER
USB-Anschluss für Drucker im Netzwerk verwendenEs gibt 2 Möglichkeiten, den USB-Anschluss der
Fritz!Box für Drucker zu verwenden. Die eine Möglich-
keit ist, dass er für den Drucker als Netzwerkdrucker
verwendet wird. Bei der anderen Möglichkeit wird der
Drucker mittels eines USB-Fernanschlusses ange-
schlossen. Wir beschäftigen uns zunächst mit der 2.
Möglichkeit.
USB-FernanschlussDazu gehen wir auf die Oberfläche des Routers mittels
Internet Explorer und geben in der Adresszeile entwe-
der die IP ein (http://192.178.0.1) oder http://fritz.box.
Der Drucker, den wir anschließen wollen, muss natü-
rlich einen USB-Anschluss zum Verbinden haben. Mit
älteren Druckern ohne USB-Anschluss ist ein Anschluss
nicht möglich. Wir verbinden nun den Drucker per USB
mit der Fritz!Box. Ist dies geschehen, schalten wir den
Drucker ein.
Auf der Routeroberfläche finden wir den gesuch-
ten Menüpunkt unter -
. Dort muss zunächst
die Expertenansicht angewählt und aktiviert werden.
Unter aktivieren wir
nun den Punkt USB-Fernanschluss aktivieren“ und
bestätigen die Eingaben. Nun werden uns weitere
Möglichkeiten angezeigt. Und wir wählen den Punkt
. Im folgenden
Fenster wählen wir den Punkt
und dann im weiteren Fenster -
auf Installieren. Jetzt wird auf dem
PC, auf dem wir angemeldet sind, das Programm
zur Erkennung des USB-Fernanschlusses installiert.
Wenn die Installation beendet ist, befindet sich ein
neues Symbol in unserer Start-Leiste. Zunächst mü-
ssen wir aber noch auf der Routeroberfläche unter
die Option Dru-
aktivieren.
Das Programm USB-Fernanschluss auf dem PC
ist selbsterklärend und sehr übersichtlich gestaltet.
Sollten Sie bei der Fritz!Box ein Kennwort eingetra-
gen haben, so ist dieses hier ebenfalls einzutragen.
Nach einem Klick auf „Aktualisieren“ sehen wir un-
Heimnetzwerk – Weitere Möglichkeiten mit der Fritz!Box
Welche Möglichkeiten uns die Fritz!Box noch bietet, wird in diesem Artikel behandelt. Wir schließen einen Drucker per USB an und richten ihn für das Netzwerk ein und es geht um die Möglichkeiten, die uns der USB-Anschluss noch bietet. Eine Anleitung für Einsteiger.
IN DIESEM ARTIKEL ERFAHREN SIE...• Die schrittweise Anleitung und die richtige Einrichtung von
Druckern für Ihr Heimnetzwerk und die Möglichkeiten des USB-Anschlusses an der Fritz!Box.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Wie die Geräte heißen, die Sie verwenden.
Thomas Höhn
Abbildung 1. Fritz!Box von WLAN 7270
7/201012
FÜR EINSTEIGER
installiert sein. Lassen Sie sich die Drucker anzeigen
Klicken Sie mit rechts auf den Drucker, der nun an
der Fritz!Box angeschlossen ist und wählen Sie den
Punkt „Eigenschaften“. Wir müssen nun zur Regi-
sterkarte „Anschlüsse“ wechseln und dort den Punkt
„Hinzufügen“ auswählen. Wir wählen den Punkt
„Standard TCP/IP Port“ aus und danach auf „Neuer
Anschluss...“. Wir können nun im folgenden Fenster
den Druckernamen oder die IP-Adresse eingeben.
Entweder geben wir als Namen „fritz.box“ ein oder als
IP „192.168.178.1“. Aus Erfahrung kann ich empfe-
hlen, die IP-Adresse direkt einzugeben. Nachdem wir
auf „Weiter“ geklickt haben, wählen wir im folgenden
Fenster den Punkt „Benutzerdefiniert“ und danach
„Einstellungen“ aus. Hier muss als Protokoll „RAW“
und als Portnummer „9100“ eingetragen werden. Wir
bestätigen nun die gemachten Eingaben und auch
die weiteren Fenster, bis wir wieder zu dem Fenster
„Eigenschaften“ kommen, welches wir am Anfang ge-
öffnet haben. Dort muss bei unserem Drucker noch
die „Bidirektionale Unterstützung“ aktiviert werden.
Bestätigen und Fenster schließen. Auch hier muss
der Drucker auf allen PC´s eingerichtet werden. Vor-
seren Drucker, den wir jetzt mit einem Klick verbinden
können. Nun kann gedruckt werden. Wollen Sie den
Drucker auf diesem Wege auch auf anderen PC´s in-
stallieren, so müssen Sie entweder die oben genann-
ten Schritte auf jedem PC durchführen (außer natü-
rlich die Einrichtung in der Fritz!Box selbst) oder Sie
laden sich das Installationsprogramm herunter und
installieren es ohne auf die Router- oberfläche zuzu-
greifen.
Drucker als NetzwerkdruckerDer Weg zur Installation des Druckers als Netzwerk-
drucker ist ähnlich. Sie müssen den Drucker wieder
mit der Fritz!Box verbinden und auf der Routerober-
fläche die Expertenansicht aktivieren. Danach wird
allerdings ggf. das Menü „USB-Fernanschluss“ an-
gezeigt. Hier muss die Option „Drucker“ deaktiviert
werden. Alle gemachten Einstellungen natürlich
immer bestätigen und dann sind auch alle Punkte er-
ledigt, die in der Fritz!Box selbst eingestellt werden
müssen.
Die weiteren Einstellungen müssen wir nun an dem
PC vornehmen, von dem aus gedruckt werden soll.
Der Drucker selbst muss vorher mit seinen Treibern
Abbildung 2. USB-Fernanschluss
Heimnetzwerk – Weitere Möglichkeiten mit der Fritz!Box
hakin9.org/de 13
teil hier ist, dass die Software USB-Fernanschluss
nicht immer den Drucker bei jedem Neustart verbin-
den muss.
Weitere MöglichkeitenDa Festplattenspeicher immer günstiger wird und die
Datenmenge immer mehr wird, ist bei der Fritz!Box
7270 die Möglichkeit des NAS-Speichers sehr intere-
ssant, um im Netzwerk einen Speicherort zu haben
als auch von verschiedenen Rechnern auf die ge-
meinsamen Daten zugreifen zu können. Möglich wird
dies mit einem USB-Stick, die es mittlerweile auch
schon mit 32GB oder noch mehr Kapazität gibt als
auch mit einer USB-Festplatte. Allerdings ist hierbei
zu beachten, dass die USB-Festplatte über eine ei-
gene Stromversorgung verfügen muss. Eine zu Test-
zwecken angebundene USB-Festplatte von Western
Digital mit 320GB im 2,5“ Format ohne eigene Strom-
versorgung konnte nicht zum Laufen gebracht wer-
den.
OptionenUm dieses zu erreichen, müssen wir uns wieder auf
die Routeroberfläche einloggen und dort den Punkt
llungen“ auswählen. Der USB-Stick oder die USB-
Festplatte sollte vorher schon mit dem Router verbun-
den sein. Wir finden dort die folgenden Einstellungs-
möglichkeiten:
• Berechtigung für den Netzwerkzugriff
• USB-Speicher FTP-Zugriff aktivieren
• USB-Netzwerkspeicher aktivieren
• Online-Speicher aktivieren
• Mediaserver aktivieren
• Energiesparfunktion für USB-Festplatten aktivieren
Die Berechtigung für den Netzwerkzugriff regelt, was
wir erlauben möchten. Entweder nur Lesezugriff oder
auch Schreibrechte. Ohne Schreibrechte können kei-
ne weiteren Daten gespeichert werden. Ebenso kö-
nnen wir ein Kennwort vergeben, das den Zugriff erst
ermöglicht.
Beim FTP-Zugriff haben wir die Möglichkeit, auch von
außerhalb unseres Heimnetzwerkes auf die USB-Fest-
platte zuzugreifen.
USB-Netzwerkspeicher muss aktiviert werden, sonst
können wir gar nicht auf die Daten zugreifen.
Abbildung 3. Speicher (NAS)
7/201014
FÜR EINSTEIGER
Die Option „Online-Speicher“ erlaubt, die Daten, die
auf der USB-Festplatte sind, mit einem Online-Spei-
cher, also bei einem Drittanbieter, zu synchronisieren.
Es muss aber auf der USB-Festplatte noch soviel Spei-
cher frei sein, die der Größe der zu synchronisierenden
Dateien entsprechen. Sonst ist keine Synchronisation
möglich.
Wenn der Punkt „Mediaserver“ aktiviert ist, können
z.B. Musikdateien auf andere Geräte im Heimnetz-
werk gestreamt werden und dort gehört werden. Dies
kann ein weiterer PC sein als auch z.B. ein Handy mit
WLAN.
Die Energiesparfunktion regelt eben genau das,
was der Name schon sagt. Durch den Anschluss ei-
ner USB-Festplatte erhöhen wir natürlich zum einen
den Stromverbrauch der Fritz!Box. Zum anderen ha-
ben auch Festplatten keine unbegrenzte Lebensda-
uer, so dass wir durch das „Ausschalten„ der USB-
Festplatte bei Nichtbenutzung (tagsüber während der
Arbeit z.B.) die Lebensdauer der Festplatte verlän-
gern können.
Testen & EntdeckenIm Fritz!Labor finden Sie weitere Firmwareversionen
mit neuen Funktionen für Ihre Fritz!Box, die Sie te-
sten können. Aber denken Sie an eine Datensicherung.
Sicher ist sicher.
Abbildung 4. Firmwareversion
Im Internethttp://www.hoehn-it-service.de - Homepage des Autorshttp://www.avm.de/de/Service/Service-Portale/Labor/index.php– Link zum Fritz! Labor
THOMAS HÖHNDer Autor ist freiberufl ich als IT-Spezialist (MCTS) mit den Schwerpunkten Administration & Netzwerke tätig. Zahlreiche wiederkehrende Fragen von Privatkunden bilden die Grundla-ge für den Artikel.Kontakt mit dem Autor: [email protected]
7/201016
FÜR EINSTEIGER
Netzwerk-Firewalls sind in jedem Unternehmen
etabliert. Sie verbinden das interne Netzwerk
mit dem Internet und erlauben dabei nur die er-
wünschte Kommunikation wie Mail oder Web-Surfen.
Leider sind sie nicht in der Lage, einen eigenen Web-
Server vor Angriffen zu schützen, denn diese Angriffe
erfolgen heute zu mindestens 80% auf der sogenann-
ten Applikationsebene. Das bedeutet, dass der Angrei-
fer nur den erlaubten Kommunikationsweg verwendet,
der auch für legitime Anwender benötigt wird. Eine nor-
male Firewall kann zwischen normalen Zugriffen und
Angriffen auf Applikationsebene so gut wie nicht unter-
scheiden.
Um diese Lücke zu schließen, muss man entwe-
der dafür sorgen, dass die eigenen Web-Seiten keine
Schwachstellen haben, was in der Praxis höchst selten
gelingt, oder man kann eine Web Application Firewall
(kurz WAF) vor die Webserver schalten. Eine moderne
WAF verhindert einen sehr großen Teil der möglichen
Angriffe bereits in einer generischen Grundkonfigura-
tion, die in wenigen Stunden erreicht werden kann. Auch
wenn nicht alle denkbaren Angriffe verhindert werden
können, so erschwert eine WAF den Angriff in jedem Fall
so stark, dass die meisten Angreifer schnell die Lust ver-
lieren und nach einem leichteren Opfer suchen.
WAFs werden heute entweder als Zusatzlizenz für
LoadBalancer Appliances von beispielsweise F5 oder
Citrix angeboten oder aber als Spezialprodukte wie bei-
spielsweise von Barracuda oder DenyAll. Beim Funk-
tionsumfang hat sich eine Menge von Grundfunktionen
etabliert, die jeder Hersteller bietet. Darüber hinaus un-
terscheiden sich die Produkte jedoch stark hinsichtlich
der Flexibilität, der Betriebsunterstützung oder der Im-
plementation von Zusatzfunktionen wie Authentisie-
rung. Auch mit sinnvoller Absicherung von SAP-basier-
ten Web-Applikationen tun sich noch einige Hersteller
schwer, auch wenn fast jeder in diesem Bereich Erfah-
rungen oder Referenzinstallationen für sich in Anspruch
nimmt.
Die Auswahl der richtigen WAF ist damit nach wie vor
eine ernstzunehmende Aufgabe, die man idealerweise
mit einem erfahrenen externen Berater angehen soll-
te, denn die Probleme stecken in vielen Details, auf die
man bei den Vertriebsvorstellungen der Hersteller kaum
kommt.
Die Performanz der Produkte ist jedenfalls kein sinn-
volles Unterscheidungskriterium mehr. Eigentlich alle
Hersteller bieten heute unterschiedliche Hardware-Platt-
formen an, die bis in theoretische Bereiche skalieren,
aber in der Praxis so gut wie nie erreicht werden. Statt-
dessen sind viel eher die Webserverfarmen selbst der
Engpass und gerade hier kann eine WAF helfen, da sie
neben den Sicherheitsfunktionen oft auch eine Entlas-
tung der Backends ermöglicht.
Obwohl WAFs inzwischen seit über zehn Jahren am
Markt sind und von vielen bekannten Herstellern ange-
boten werden, sind die Unternehmen, die bereits WAFs
einsetzen, immer noch in der Minderheit. Das hat ver-
schiedene Gründe.
Der vermutlich am weitesten verbreitete Grund liegt in
der Verdrängung des Problems, vor allem bei eher mi-
ttelständischen Unternehmen. Mit Argumenten wie „von
uns will doch keiner etwas“ oder „unsere Server sind
sicher“ wird das Problem wegdiskutiert bis tatsächlich
etwas passiert. Sinnvoll wäre stattdessen ein Penetra-
tionstest bzw. eine Sicherheitsüberprüfung der Server
durch einen externen Spezialisten, der die Schwach-
stellen aufzeigt und so die Begründung für den Einsatz
einer WAF liefert. Aber selbst dann versuchen viele Un-
ternehmen die gefundenen Schwachstellen immer wie-
der zu beheben und glauben das Problem damit end-
gültig lösen zu können.
Web Application Firewalls
Datenschutzskandale und gestohlene Kunden- und Kreditkartendaten haben uns nicht nur im Jahr 2009 begleitet, sie werden uns auch in den nächsten Jahren verfolgen. Immer wieder werden in diesem Kontext auch unsichere Web-Seiten genannt und das, obwohl doch jeder eine Firewall im Einsatz hat.
Stefan Strobel
hakin9.org/de
Sicherlich sind Audits und Penetrationstests sinn-
voll und wichtig. Man muss jedoch akzeptieren, dass
diese Prüfungen immer nur Momentaufnahmen sind,
dass sich die Server ständig weiterentwickeln und dass
immer neue Angriffsmethoden bekannt werden. Be-
reits wenige Tage oder Wochen nach der Behebung
aller im Audit gefundenen Schwachstellen kann ein An-
greifer erfolgreich eine neue oder bisher unbemerkte
Schwachstelle ausnutzen. Eine WAF kann dagegen
auch im Zeitraum zwischen zwei Prüfungen proaktiv für
Sicherheit sorgen.
Ein häufiger Fehler im Zusammenhang mit solchen
Prüfungen ist auch die vorschnelle Auswahl eines ex-
ternen Prüfers. Nur wenige Anbieter sind wirklich auf Si-
cherheitsüberprüfungen spezialisiert und häufig kommt
es vor, dass man in einem Prüfungsbericht der IT-Firma
XY nur harmlose Schwachstellen präsentiert bekommt,
während die dramatischen Probleme unentdeckt blei-
ben. Hier hilft nur der Weg zum Spezialisten, dessen
Kerngeschäft in der Prüfung von IT-Systemen liegt.
Ein anderer Grund, der vor allem größere Unterneh-
men oder auch Behörden vom Einsatz einer WAF ab-
hält, ist die Frage nach der Betriebsverantwortung. Die
Netzwerkabteilung verweist darauf, dass es ja hier um
Anwendungen geht und nicht um die Netzwerkinfra-
struktur und die Anwendungsabteilung verweist darauf,
dass das zu betreibende Produkt doch eine Appliance
ist, die sogar „Firewall“ als Namensbestandteil hat. Je-
der hat eigentlich genug zu tun und sucht nach Argu-
menten, warum es bei ihm nicht richtig aufgehoben ist
oder warum ein solches Produkt eigentlich gar nicht
sinnvoll ist. Derartige Vorgänge sind typisch für größere
Organisationen und eine WAF ist hier besonders pro-
blematisch, da sie meist den Verantwortungsbereich
verschiedener Abteilungen tangiert.
Erst wenn die Sicherheit der Web-Applikationen zur
Chefsache wird, beispielsweise nach einem Vorfall, ge-
rät Bewegung in diese Situation. Früher oder später lan-
det die WAF dann meist doch in der Abteilung, die auch
schon die Netzwerkfirewalls betreibt, denn die App-
likations- bzw. Web-Kenntnisse, die für den Betrieb ei-
ner WAF notwendig sind, sind dann doch sehr viel un-
spektakulärer als man zunächst dachte.
STEFAN STROBELDer Autor ist Geschäftsführer der cirosec GmbH. Er verfügt über langjährige Erfahrungen in der Beratung großer Firmen mit sehr hohem Sicherheitsbedarf und in der Erstellung von Konzepten und Policies. Neben seiner Tätigkeit ist er Dozent an Berufsakademien und an der Fachhochschule Heilbronn, hält Vorträge auf Fachkongressen und ist Autor verschiedener Fachbücher, die in mehreren Sprachen erschienen sind.
7/201018
ANGRIFF
Software, die Botnets erstellen lässt, wird gegen-wärtig zum letzten Schrei, wenn es um Schad-code geht. Übrigens kein Wunder - das resul-
tiert doch aus der Popularität von Rolex-Fälschungen, Minispielen, notabene in Form von exe-Dateien und allen möglichen Fetischen. Die Marktregeln besagen: Wenn die Nachfrage existiert, dann findet sich auch das Angebot. Diese Regel haben die Spammer schnell begriffen. Die Pflege einer Herde von Computern, die unerwünschte Mails verschicken, ist nämlich eine viel erfolgreichere Lösung für sie als der ständige Kampf mit den Internet-Providern, die Ihnen den Zugriff schnell sperren. So sind Botnets entstanden.
TheorieBotnet ist ein Netz von miteinander zusammenarbei-tenden Computern, die die von einem Bot-Master ge-sendeten Befehle ausführen. Der Unterschied z.B. zu einem Cluster besteht darin, dass die Computer an das Botnet heimlich angeschlossen werden und die Benu-tzer selbst sich meistens der Teilnahme an krimineller Tätigkeit nicht bewusst sind. Bis vor kurzem war eine Client-Server-Architektur populär, in der sich alle Bots mit dem Bot-Master verbunden und Befehle erwartet haben. Das populärste Protokoll, wegen der Einfach-heit seiner Implementierung halber, war IRC. Nach-dem man jedoch angefangen hatte, Botnets durch die Sperrung der Kanäle, die von Bot-Mastern überwacht wurden, aktiv zu bekämpfen, veränderten die Ersteller der Botnets deren Architektur. Statt von einem IRC-
Kanal, der mit einem Passwort geschützt ist, werden die Botnets heutzutage von mehreren Servern kontro-lliert, die einer Peer-to-Peer-Struktur ähneln. Dazu wird der Datentransfer Bot-Master - Bot verschlüsselt und in einigen Fällen erlaubt die Verwendung von digi-talen Unterschriften eine Verbreitung der Befehle von Bot zu Bot, was den Bedarf an Schaltstellen überhaupt eliminiert.
Beide Architekturen haben ihre Vorteile und Nach-teile: Die zentralisierten Botnets können leicht zerstört werden, indem den Bot-Mastern bzw. dem Command & Control Centre (kurz C&C genannt) der Zugriff gesperrt wird. Es lässt sich jedoch relativ leicht, über Sie Kon-trolle z.B. im Fall eines Passwort-Diebstahls zum IRC-Kanal wiederzugewinnen. Die dezentralisierten Botnets sind auf eine konventionelle Art und Weise praktisch unzerstörbar; sie basieren jedoch auf der Zuverlässig-keit der Bots, die die Befehle weiterleiten, wodurch die Propagation von Befehlen zeitaufwendig und mangel-haft sein kann.
Damit ein Botnet wirken kann, muss entsprechen-de Software auf dem Computer des Opfers insta-lliert sein. In der Regel werden zur Verbreitung von Software (die gewissermaßen ein Rootkit ist) Com-puterwürmer eingesetzt, darunter der im Titel ge-nannte Conficker. Die Weiterverbreitung erfolgt am häufigsten durch E-Mails oder Sicherheitslücken in der Software. E-Mails sind eine Verbreitungsme-thode, die vom Benutzer verlangen, dass dieser die angehängte Datei mit dem sog. Downloader oder
Conficker – Was man über Botnets wissen sollte
Angriffe, die den Zugriff auf Webseiten verweigern oder großangelegte Diebstähle von Kontodaten, sind Themen, die häufig in den computerbezogenen News wiederkehren. Hinter diesen Handlungen stehen immer öfter Botnets.
IN DIESEM ARTIKEL ERFAHREN SIE...• Was Botnets sind;• Welche Herangehensweisen bezüglich ihrer Struktur es gibt;• Wie der Conficker-Wurm funktioniert.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Wie verschiedene Typen von Netzwerken funktionieren;• Welche Grundlagen für die Malware-Aktivität es gibt;• Was Buffer-Overflow-Angriffe sind;• Wie Verschlüsselung und digitale Unterschriften funktionieren.
Peter Jastak
Conficker – Was man über Botnets wissen sollte
hakin9.org/fr 19
ten Form heruntergeladen und dann wird die eigen-tliche ausführbare Datei zuerst vor Ort erstellt. Die zweite Verbreitungsmethode ist das Ausnutzen von Sicherheitslücken in der Software. Es bedarf keiner
dem Wurm selbst aufmacht. Downloader ist ein Ver-mittlungsprogramm, welches das Verstecken vom Schadcode ermöglicht. Durch das Programm wird der Schadcode in Teilen oder in einer verschlüssel-
Abbildung 2. Ein dezentralisiertes Botnet - Bot-Master verbinden sich mit mehreren Bots, die Befehle dank einer gespeicherten Botliste weiterleiten, die auf einer ähnlichen Architektur wie P2P basiert
Abbildung 1. Ein zentralisiertes Botnet – Bot-Master verbinden sich durch einen Server mit den Bots
7/201020
ANGRIFF
Interaktion seitens des Benutzers und ist somit viel schwieriger zu entdecken. Die Lebensdauer dieser Methode hängt aber nur von der Anzahl der Compu-ter zusammen, auf denen die Software mit der ge-wissen Sicherheitslücke läuft. Da mit der Zeit der An-teil von nicht-aktualisierten Versionen auf Null sinken wird, verläuft die Verbreitung mit Hilfe dieser Metho-de zwar schnell, dauert dafür aber kurz. Um das Bot-net am Leben zu erhalten, ist eine Initiative seitens der Ersteller notwendig, die den Wurm selbst aktuali-sieren werden, damit dieser immer neue Sicherheits-lücken angreift.
Beispiel eines Botnets - StormObwohl Botnets schon früher bekannt waren (z.B. SpamThru im Jahr 2006), brachte erst der Wurm na-mens Storm einen richtigen Durchbruch. Am 15. Ja-nuar 2007 suchte ein Sturm Europa heim, den man Kyrill nannte. Er wehte mit der Kraft eines Hurrikans, tötete 44 Personen und verursachte Schaden, die über eine Milliarde Euro hinausgingen. Am 19. Janu-
ar 2007 haben Tausende von Personen eine E-Mail mit dem Betreff „230 Tote nach dem Sturm in Euro-pa” und mit einem Anhang bekommen, der eine Pro-grammdatei war. Nach dem Ausführen istallierte sich die Datei als wincom32 und begann Pakete an die im Malware selbst kodierten Adressenbereiche weiter-zuleiten. Dadurch wurde Fernkontrolle über andere Computer sowie Programmdateien möglich, die zum Verschicken von Nachrichten, Diebstahl der E-Mail-Kontos oder zum Durchführen von DDoS-Angriffen dienten. Storm bediente sich eines dynamischen Sy-stems DNS und hat die Dateien von Server auf Ser-ver übertragen, dabei registrierte oder deregistrierte er diejenigen Rechner, die an seine Domänen ange-schlossen waren. Darüber hinaus haben die Server jede paar Minuten eine neue Kopie der Dateien gene-riert, was Storm zu einem polymorphen Wurm mach-te. Der Datentransfer innerhalb des Botnets selbst er-folgt über die Protokolle eDonkey und Overnet und wird mit Verteilung in verschiedene Zonen verschlü-sselt; der Zugriff zu jeder dieser Zonen verlangt einen
Abbildung 3. Die Veränderlichkeit eines Botnets zeigt sich nicht nur im Codewechsel jede paar Minuten, sondern auch im Wechsel von Servern, die seinen Code hosten und aus einer dynamischen Menge innerhalb von einigen Stunden gewählt werden.
V1 V2
DNS DNS
1. 2.
Conficker – Was man über Botnets wissen sollte
hakin9.org/fr 21
anderen Schlüssel. Dazu kommt noch, dass mehrma-lige Verbindungsversuche mit den Servern, die eine Kopie des Wurms freigeben, mit einem DDoS-Angriff auf den Computer der Person enden, wenn diese die Funktionsweise von Storm herauszuarbeiten ver-sucht.
Laut Joshua Corman, einem Angestellten von Secu-reWorks, enden aufgedeckte Versuche, die ausführba-ren Dateien des Wurms zu debuggen, mit einem DDoS-Angriff seitens des Botnets.
Storm hat viele Anwendungen gefunden, darunter wurde er natürlich den Spammern zur Verfügung ge-stellt sowie zu Angriffen auf Server oder zu Versuchen vom Börsenbetrug genutzt. In der letzten Zeit hat sich allerdings seine Aktivität verringert, was auf die Frag-mentierung des Botnets und das Flicken von Sicher-heitslücken in den Computern der potentiellen Opfer zurückzuführen ist.
Der TitelheldFür den Erfolg des Confickers, der auch als Downa-dup oder Kido bekannt ist, sprechen ein paar Fakto-ren. Im Gegenteil zum Storm verbreitet er sich nicht mit Hilfe von E-Mails, sondern er nutzt die Sicher-heitslücke MS08-067 im Betriebssystem Microsoft Windows aus. Der Hauptgrund für diesen außerge-wöhnlichen Erfolg ist die Tatsache, dass 30% der Systeme aus Redmond, die weltweit genutzt wer-den, einen am 15. Oktober von Microsoft herausge-gebenen Patch nicht installiert hatten. Der genann-te Patch schützte vor den Folgen einer Ausnutzung eben dieser Sicherheitslücke. Zusätzlich wird dieser Gefahr nicht nur Windows XP ausgesetzt; die Sicher-heitslücke ist auch in Windows 2000, 2003 und Vis-ta vorzufinden. Bei Ausnutzung dieser Lücke wird ein Code ausgeführt, der die DLL-Bibliothek herun-terlädt, welche als Teil der Dienstleistung sychost.exe ausgeführt wird. Diese Bibliothek wird bei jedem Neustart des Computers hochgeladen. Nach der In-stallierung überprüft die Bibliothek von Conficker, ob im Netz eine Firewall aktiv ist und wenn ja, schickt sie einen UPNP-Request, so dass ein Port mit ei-ner hohen Nummer freigegeben wird, und danach öffnet sie ein Port mit derselben Nummer auf dem
lokalen Rechner. Je nach der Version, bedient sich Conficker verschiedener Dienste eines dynamischen DNS, indem er jede 3 Stunden eine Liste von 250 neuen Domänen mit willkürlichen Namen generiert und sich später mit diesen URL-Adressen zu ver-binden versucht. Falls ihm dies gelingt, wird die ei-gentliche Binärdatei des Wurms von einem TCP 80 Port mit Hilfe der HTTP-Anfrage in Form von http://
domänevonderliste/search?q=n\&aq=7 (Variante A) oder http://domänevonderliste/search?q=n (Variante B) heruntergeladen. Diese Datei wird asymmetrisch verschlüsselt und ihre Authentizität wird gewöhnlich mit einer 4096-Bit digitalen RSA-Unterschrift bestä-tigt. Ein RC4-Chiffre wird eingesetzt und die Schlü-ssel werden in den Funktionen selbst kodiert, welche Binärdateien herunterladen. Am Anfang überprüft die Entschlüsselungsfunktion, ob die heruntergelade-ne Datei mehr als 128 oder 512 Bytes hat, entspre-chend für die A und B Variante, danach verifiziert sie die digitale Unterschrift. Falls diese stimmt, wird die Binärdatei entschlüsselt und danach wird der spezifi-sche Code des Wurms ausgeführt, der die Kontrolle übernimmt.
MS08-067MS08-067 ist der Name eines Patches, der von Microsoft he-rausgegeben wurde sowie einer Sicherheitslücke, die mit ihm gefl ickt wird. Es ist eine typische Buff er-Overfl ow-Schwach-stelle in einer von den Funktionen der netapi32.dll Bibliothek, im Remote Procedure Call Dienst, in einer Funktion die für die Bearbeitung der Verzeichnisadresse zuständig ist. Zu die-sem Zweck sucht diese Funktion von hinten eine Zeichen-kette \.., dann sucht sie rückwärts den nächsten Schrägstrich und demnächst kopiert sie die Kette ab der Position dieses Schrägstrichs bis zum nächsten Schrägstrich.Es wird also die Kette aaa\bbb\.. in aaa\.. verwandelt, die Ke-tte aaa\.. wird aber im Gegenteil eine Suche hervorrufen, bis im Speicher der nächste Schrägstrich auftaucht. Wenn es uns gelingt, einen Schrägstrich im Speicher irgendwo vor aaa\.. platzieren, wird die Funktion all die ihm folgenden Da-ten kopieren, was Buff er-Overfl ow verursacht. Es reicht, an ei-ner entsprechenden Stelle in der überlaufenden Kette z.B. ei-ne Adresse von einer Sprungfunktion zum ESP platzieren, der auf den Rest unseres Shellcodes verweisen wird. Ein Proof-of-Concept Beispiel liegt bei http://www.milw0rm.com/explo-its/6824 vor.
Tabelle 1. Die größten Botnets der Welt
Namen Anzahl von BotsConfi cker, Downup, Downadup, Kido 10 000 000
Kraken 495 000
Srizbi, Cbeplay, Exchanger 450 000
Bobax, Bobic, Oderoor, Cotmonger 180 000
Rustock, RKRustok, Costrat 150 000
Cutwail, Pandex 125 000
Storm, Nuwar, Peacomm, Zhelatin 85 000
7/201022
ANGRIFF
Nachdem die Kontrolle übernommen wurde, erstellt der Conficker eine DLL-Bibliothek mit einem zufälli-gen Namen und hinterlässt diese im system32-Kata-
log. Die Bibliothek wird durch eine Veränderung der Zeit der letzten Modifikation auf dieselbe, wie bei ker-
nel32.dll, maskiert. Danach wird die Bibliothek des Confickers als ein Windows-Systemdienst verwendet, der bei jedem Neustart ausgeführt wird. Zu diesem Zweck erstellt Conficker einen Schlüssel mit einem willkürlichen Namen in SOFTWARE\Microsoft Win-
dows NT\CurrentVersion\SvcHost. Um sich vor einer leichten Entdeckung zu schützen, ist der Namen des Dienstes eine leere Kette und sein Typ unsichtbar.Darüber hinaus wird von der Conficker-Bibliothek die aufrufende Funktion immer wieder ausgeführt, was verursacht, dass sie nicht auf der Liste der DLL-Pro-zesse genannt wird. Der eigentliche Code des Wurms ist gut vor dem Debuggen oder Starten in einer virtu-ellen Umgebung geschützt, allerdings kann sein Teil durch Verwendung von solchen Tricks, wie das Auf-rufen einer Bibliothek von eigenem Programm, ent-deckt werden. [1]
Beim Laufen verwendet der Conficker 3 Ports: 53/UDP (DNS), 80/TCP (HTTP) und 445/TCP (SMB). Je-de 3 Stunden kommt es zu einer deutlichen Aktivitäts-steigerung im DNS-Port, was nun bestätigt, dass der Wurm sich mit einer der 250 willkürlich ausgewähl-ten HTTP-Adressen zu verbinden versucht. So wie Storm, implementiert er eine Architektur, die ähnlich wie bei Peer-to-Peer ist. Die Server selbst, mit denen sich die jeweiligen Bots verbinden, werden oft ge-wechselt. Bisher wurde kein Muster aufgedeckt, nach dem die neuen Server ausgewählt sein könnten und der Prozess selbst scheint automatisch zu verlaufen, was eine große Errungenschaft und Neuheit ist, wenn es um den Schutz vor Bekämpfung geht. Zur Zeit wird dieses Botnet vorwiegend zur Spam-Verbreitung ver-wendet, jedoch wenn man seine Größe berücksich-tigt, bieten sich unzählige Möglichkeiten - es wundert also nicht, dass sich die Botnets-Entwickler so gut vor dem Abfangen geschützt haben. Um den Wurm zu entfernen, müsste man zuerst den Registrierungs-
Schlüssel löschen, das Betriebssystem neu starten und die DLL-Datei entfernen. Alle diese Schritte kö-nnen jedoch durch die neueste Version von Confi-cker erschwert werden, die das Herunterladen und Ausführen von beliebigen Binärdateien erlaubt. Eine Abwehrmaßnahme gegen eventuelle Angriffe kann nur ein spezialisiertes Netzgerät sein, das zur Ent-deckung und zu einer schnellen Reaktion auf einen Überlauf des Datentransfers fähig ist.
ZusammenfassungConficker ist nicht außergewöhnlich, wenn es um die Verbreitungsmethode geht. Sein gigantisches Wachstum ist nicht den fortgeschrittenen Techniken zu verdanken, sondern dem Leichtsinn, den wir bei der Nutzung von Sicherheitspatches zeigen. Gegen-wärtig wird die Größe des Confickers auf 10 000 000 Rechner (F-Secure) geschätzt, also über ein hundert mal mehr als beim Storm. Mit einer optimistischen Annahme, dass jeder dieser Rechner lediglich über ein 56k-Modem verfügt, können wir schlussfolgern, dass Conficker wahrscheinlich im Stande wäre, den Internetzugang gleichzeitig in Kanada und Frank-reich völlig zu sperren! Hätte man die Vorbeugungs-maßnahmen nicht ignoriert, wäre das ganze Problem wahrscheinlich nie erschienen, jetzt ist es aber zu spät. Microsoft bietet 250.000 Dollar für Informatio-nen, die zur Verhaftung der Botnet-Master oder -Er-steller führen würden. Inzwischen begann Conficker seine Größe selbst zu stabilisieren und seine Erfinder sind höchstwahrscheinlich bereit, nach Verfügungs-stellung ihres Geschöpfs in viel größerem Geld zu schwimmen. Somit nähert sich eine Ära von Botnets an, in der die Verbrecher über eine größere Berech-nungs- und Übertragungskraft verfügen als die For-scher. Die einzige gute Nachricht ist, dass jedes Bot-net mit der Zeit seine maximale Größe erreicht und somit Confickers Tage gezählt sind, da jeder früher oder später die Hardware für neuere wechselt oder das Betriebssystem neu installiert. Es bleibt nur üb-rig, die Tools zum Entfernen von Malware zu installie-ren und zu hoffen, dass die Bot-Master sich nie ent-scheiden, aus vollen Möglichkeiten ihres Geschöpfs Gebrauch zu machen.
Quellen:• http://www.secureworks.com/research/threats/topbotnets/
?threat=topbotnets,• http://www.theregister.co.uk/2009/01/26/confi cker_botnet/.
Links:• http://vrt-sourcefire.blogspot.com/2009/02/making-confi-
cker-cough-up-goods.html – eine gelungene Teilweise-Einsicht in den Code des Wurms,
• http://mtc.sri.com/Confi cker/ – eine sehr genaue Analyse von Confi cker,eine sehr genaue Analyse von Storm,
• http://www.honeynet.org/papers/bots/ – das Honeynet-Projekt, das sich mit Überwachung der Botnet-Aktivität beschäftigt,
• http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx – Security-Bulletin von Microsoft mit Informa-tionen über die Sicherheitslücke, die zur Verbreitung von Confi cker ausgenutzt wird.
PETER JASTAKDer Autor beschäftigt sich insbesondere mit den Bereichen IT-Security, System- und Netzwerkadministration. Kontakt zum Autor: [email protected]
Werkstudenten (m/w) und Praktikanten (m/w) IT AdvisoryPenetration Testing & IT-SecurityFrankfurt, Düsseldorf & Köln
Ihre Perspektive: Sie wollen schon während des Studiums die Weichen für eine erfolg-reiche Karriere stellen und den Geschäftsbereich Advisory kennen lernen? Der Bereich IT Advisory verknüpft betriebswirtschaftliches, technologisches, regulatorisches sowie trans-aktions- und prozessorientiertes Know-how für zukunftsweisende Strategien und Lösungen für unsere Mandanten. Wir bieten Ihnen die Gelegenheit, an maximal 19,5 Stunden pro Woche (Werkstudenten) bzw. für einen Zeitraum von idealerweise 6 Monaten in Vollzeit (Praktikanten) aktiv an Projekten mitzuarbeiten und wertvolle Erfahrungen in einer der füh-renden internationalen Wirtschaftsprüfungs- und Beratungsgesellschaften zu sammeln.
Ihre Aufgaben: Sie unterstützen uns bei der Prüfung und Konzeption von unternehmens-weiten IT-Sicherheitslösungen. Dies umfasst insbesondere die Bereiche Penetration Testing, Netzwerksicherheitsanalysen, Web Application Security, VoIP-Sicherheit, Datenschutz und Quellcode-Analysen. Des Weiteren arbeiten Sie an verschiedenen Projekten mit und erhal-ten somit einen Einblick in die prüfungsnahe Beratung internationaler Unternehmen aus verschiedenen Branchen.
Ihr Profil: Sie studieren Wirtschaftswissenschaften, Wirtschaftsinformatik oder Wirtschafts-ingenieurwesen und haben mindestens Ihr drittes Fachsemester erfolgreich abgeschlos-sen. Ihre fundierten Kenntnisse in den Bereichen TCP/IP, Betriebssystemsicherheit, Pro-grammierung mit PHP, Shell Script oder Perl werden Sie anwenden können. Sehr gute Englischkenntnisse in Wort und Schrift setzen wir voraus. Persönlich zeichnen Sie sich durch analytisches Denk- und Urteilsvermögen, ausgeprägte Teamfähigkeit, Leistungsbereitschaft und Kreativität aus.
Ihr Kontakt: Bewerben Sie sich auf www.kpmg.de/careers mit unserem Online-Bewer-bungsformular oder senden Sie Ihre Bewerbung per E-Mail unter Angabe des Referenz-codes AdvWSFPrint50992755 (für Frankfurt), AdvWSDPrint50992778 (für Düsseldorf) oder AdvWSKPrint50992789 (für Köln) an [email protected]. Für Rückfragen stehen Ihnen unsere Mitarbeiter vom People Centre unter 0800 5764 562 (0800 KPMG JOB) gerne zur Verfügung.
Profitieren Sie von den Entwicklungsmöglichkeiten bei KPMG, einem Netzwerk rechtlich selbstständiger, nationaler Mitgliedsfirmen. Neben abwechslungsreichen Projekten im In- und Ausland bieten wir Ihnen Raum für Ihre persönliche Weiterentwicklung. Mehr wissen, mehr können – bei uns hat Erfolg, wer team- und mandantenorientiert arbeitet und gleich-zeitig seine persönliche Entwicklung vorantreibt.
www.kpmg.de/careers
© 2010 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. Printed in Germany.
7/201024
ABWEHR
Für jede (Web-)Anwendung gibt es ein Patch-Di-lemma. Beispielhaft verdeutlichen die Ergebni-sse des IBM X-Force-Trend- und Risiko-Reports
(siehe Anhang:1), dass Web-Anwendungen die Achi-llesferse der IT-Sicherheit in Unternehmen sind: So be-treffen nach wie vor die meisten der neu gefundenen Schwachstellen Web-Anwendungen. Ein besonderes Problem: Für 67 Prozent gab es bis zum Jahresende keinen Patch.
Solche ungepatchten Web-Applikationen sind beson-ders häufig Zero-Day-Exploits ausgesetzt, also Schad-programmen, die sofort nach Bekanntwerden einer Schwachstelle erscheinen. Je länger dabei der namens-gebende „Tag null“ dauert, desto größer ist die Gefahr eines erfolgreichen Angriffs.
Warum kein Patch?Es gibt drei Hauptursachen für nicht gepatchte Appli-kationen: Unternehmen arbeiten erstens mit Standard-lösungen, deren Schwachstellen der Applikationsbe-treiber selbst nicht beheben kann. Die vom Hersteller gelieferten Fixes gibt es erst zeitversetzt im Rahmen der üblichen Servicezyklen.
Eine zweite Ursache betrifft vor allem bereits aktive Applikationen: Wenn neue Angriffsmuster bekannt wer-den, müssen die Sicherheits-Patches in die anstehen-den Releases oder monatlichen Iterationen eingetaktet werden. So lange bleibt die Anwendung ungeschützt. Hinzu kommt: Bei Eigenentwicklungen richtet sich der Ablauf leider mitunter nach dem Schema: zunächst Pro-
duktfertigstellung, dann Testphase und Sicherheitstests. Die mittels Schwachstellenanalysen, Penetrationstests oder Code Reviews gefundenen Schwachstellen wer-den so im besten Fall mit viel Zeit- und Kostenaufwand im Nachhinein entschärft, im schlechtesten (Ausnah-me-)Fall könnte ihre Behebung einem zu ambitionierten Release-Fahrplan zum Opfer fallen.
Last but not least, entstehen Schwachstellen drittens auch durch einen Mix schlicht menschlicher Faktoren – sei es fehlende Weiterbildung zu Sicherheitsaspek-ten für Entwickler und Qualitätsmanager, unerkannt ge-bliebene Schwachstellen, Fehler in Fremdbibliotheken oder fehlende Security-Policies.
Um die Gefahr von Angriffen auf Web-Anwendungen zu verringern, eignen sich verschiedene Tools, die ent-weder in den laufenden Entwicklungsprozess integriert oder in enger Abstimmung mit den Entwicklern der An-wendung konfiguriert werden. Bei einer sinnvollen zeit-lichen und organisatorischen Anordnung unterstützen Analysewerkzeuge und Schutzvorrichtungen die Ent-wicklungsarbeit, statt sie zu behindern. Dies betrifft den gesamten Applikationslebenszyklus von der Anwen-dungsentwicklung über das Testen bis zum Betrieb be-stehender Systeme.
QuellcodeanalysenQuellcodeanalysen kommen sowohl bei klassischen Sprachen wie C oder C++ als auch bei neueren objekt-orientierten Sprachen wie Java oder ASP.NET zum Ein-satz – auch wenn die Quellcodeanalyse bei Letzteren
Web-Anwendungen über den gesamten Lebenszyklus schützen
Schwachstellen in Web-Anwendungen lassen sich auf zwei Arten schützen: entweder durch einen Patch oder durch Web Application Firewalls (WAFs). Bei näherer Betrachtung zeigt sich, dass sich beide Ansätze in der Praxis sinnvoll ergänzen, wenn Web-Applikationssicherheit fest in die regulären Produktions- und Wartungszyklen integriert ist.
IN DIESEM ARTIKEL ERFAHREN SIE...• Wie der Einsatz von automatisierten Sicherheitstools einen
Schutz vor 0-day-exploits bieten kann und die Sicherheit Ihrer Anwendung über den gesamten Lebenszyklus hinweg erhöht.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Kein spezielles Vorwissen.
Markus Wagner
Web-Anwendungen über den gesamten Lebenszyklus schützen
hakin9.org/fr 25
sind, beziehungsweise ob bestehende Schwachstellen eventuell schon durch bestehende Sicherheitsvorkeh-rungen abgeschirmt werden. Gleichzeitig wird getestet, ob und wie unberechtigte Aktionen durch Ausnutzung dieser Schwachstellen durchführbar sind. Dies lässt eine Einschätzung darüber zu, wie schwerwiegend die Schwachstellen sind. Zudem können Vulnerability-Scanner Lecks in Standard-Software auffinden – dies ist ein für die Praxis besonders relevanter Unterschied zur oben beschriebenen Quellcodeanalyse, die ja Kenntnis des Quellcodes voraussetzt.
Vulnerability-Scanner führen diese Angriffe automati-siert durch; in Abgrenzung dazu sind Penetrationstests – ebenfalls ein wichtiger Baustein bei der Web-Appli-kationssicherheit – umfassende Sicherheitschecks, die die gesamte Infrastruktur in Augenschein nehmen, da-zu mehrere Tools einsetzen und einen festen Testplan einhalten. Dieses Verfahren bietet sich auch als Teil des Abnahmeprozesses für fremd entwickelte Applikationen an. Die beste Absicherung seiner Web-Anwendungs-landschaft erreicht ein Unternehmen, wenn es auto-matisierte Tools und „menschengestütztes“ Penetration Testing kombiniert – beispielsweise, wenn ein externer Dienstleister Web-Applikationen mit den genannten Tools prüft und dann Erfahrung und Spezialwissen in die Bewertung einbringt. Sinnvolle Prüfabstände für in-terne und externe Tests finden sich in bestehenden Re-gularien wie dem PCI DSS, dem Sicherheitsstandard der Kreditkartenindustrie (s. Anhang: 5). Er kann als An-haltspunkt dienen, auch wenn das Unternehmen nicht PCI-compliant sein muss.
wegen mehr Abstraktionsschichten und immer neuen Frameworks komplexer wird. Quellcodeanalysen zei-gen Defekte wie Speicherlecks (s. Anhang: 2), fehler-hafte NULL-Pointer (s. Anhang: 3) und Puffer-Überläufe (s. Anhang: 4), finden „toten Code“ für nutzlose Anwei-sungen oder identifizieren nicht-initialisierte Variablen und Instanzen.
Einen Schritt weiter als diese reinen Analyse-Tools geht eine statische Quellcodeanalyse, die die Anwesen-heit und die Anzahl von Fehlern bestimmt. Allerdings ist das Ergebnis nur valide, wenn der Code vollständig vor-liegt. Die gefundenen Schwachstellen werden direkt im Code angezeigt.
Eine statische Quellcodeanalyse ist entweder eine manuelle Inspektion oder eine automatische durch ein Programm. Die Tool-gestützte statische Quellcodeana-lyse eignet sich besonders gut, um direkt in die Routi-nen von Entwicklungs- und QM-Abteilung eingeplant zu werden: als regelmäßige Scans zu fest definierten Zeit-punkten, beispielsweise jede Nacht oder bei der Über-gabe der Applikation an die Testabteilung. Dies spart Zeit bei der Schwachstellenbehebung – und damit ver-ringert sich das Risiko, dass Schwachstellen aus Zeit-gründen nicht gefixt werden.
Test-MethodenAls Ergänzung zur statischen Quellcodeanalyse bieten sich insbesondere bei bestehenden Applikationen Vul-nerability Scans an: Ein Tool setzt die Anwendung au-tomatisiert bekannten Angriffsmustern aus; das Ergeb-nis zeigt, wie angreifbar Web-Anwendungen von außen
Abbildung 1. Sinnvolle Zeitpunkte für den Einsatz von Tools im Applikationslebenszyklus
7/201026
ABWEHR
WAF = virtuelles Patchen …Wie eingangs bereits erwähnt, erschwert vor allem das sogenannte Patch-Dilemma die effektive Absicherung von Applikationen – sei es, weil Hersteller Hotfixes für Standardapplikationen nur zeitverzögert zur Verfügung ste-llen; sei es, weil der Quickfix für eine Eigenentwick-lung zuerst unternehmensinterne Prüfverfahren durch-läuft und anschließend in den dafür vorgesehenen Wartungsfenstern in die Produktivsysteme eingespielt wird – und damit ebenfalls nicht zeitnah zur Verfügung steht.
Als Ausweg aus diesem Patch-Dilemma bieten sich Web Application Firewalls (WAFs) an: Sowohl bei Standardapplikationen als auch bei Eigenentwicklun-gen agieren sie als Schutzschicht vor der Web-Anwen-dungslandschaft, bis ein echter Patch vorliegt. Sicher-lich: Optimal ist es, Schwachstellen direkt im Code zu beheben. Da dies in der Praxis meist nicht realisier-bar ist, ist es besser, die Schwachstellen durch eine WAF-Architektur unzugänglich zu machen. Konkret werden dabei Regelvorschläge zielgenau für bekann-te Schwachstellen definiert, sodass diese von außen nicht mehr kompromittierbar sind. Die WAF-Regel patcht die Anwendung damit virtuell. Für das Erstellen der applikationsspezifischen Regelwerke ist übrigens die Interoperabilität von verschiedenen Tools hilfreich – beispielsweise, wenn die Reports von Penetration-stests oder Quellcode-Reviews als Input für einen Re-gelvorschlag dienen.
… und mehrÜber das zielgenaue Abschirmen von Anwendungen hi-naus: WAFs leisten gute Dienste bei Anwendungen, für die nur noch begrenzte Ressourcen bereitgestellt werden, weil sie beispielsweise bald abgelöst werden. Schließlich lohnt sich der WAF-Schutz für das übergangsweise Absi-chern von Web-Applikationen, die weniger sensible Da-ten verarbeiten; dies macht interne Entwicklungskapazi-täten frei für stärker gefährdete Systeme.
Außerdem übernehmen WAFs Sicherheitsfunktionen, die aufwendig zu programmieren sind – beispielsweise ein einheitliches und kryptografisch sicheres Session Handling für mehrere Applikationen. Dabei überwacht
die WAF Zugriffe auf einzelne Bereiche einer Applika-tion und das Eventing (s. Anhang: 6) verschlüsselt URLs oder Formularfelder und erstellt Whitelists für sensible Argumente und Parameter. Wenn diese oder ähnliche Standardfunktionen zentral via WAF statt de-zentral in den verschiedenen Applikationen realisiert werden, unterstützt dies zum einen die einheitliche Umsetzung einer Sicherheits-Policy und ist zum an-deren eine Entlastung für die gesamte Entwicklungs-arbeit.
KriterienAnwendungsinfrastrukturen entsprechen in den wenig-sten Fällen dem Lehrbuchaufbau: Das Spektrum be-ginnt bei inhouse betriebenen Web-Servern, verläuft über Mischformen von teils inhouse, teils extern bei Service-Providern betriebenen Web-Anwendungen und komplettem Outsourcing bis hin zu typischen Enterpri-se-Infrastrukturen. Diese können aus mehreren Hun-dert Web-Applikationen bestehen, die teilweise sogar komponentenweise verteilt auf verschiedenen Rechen-zentren und/oder bei externen Service-Providern be-trieben werden.
Nur wenn die WAF-Infrastruktur zur Applikationsinfra-struktur passt, wird sie ihre Schutzfunktion effektiv erfül-len; ist das nicht der Fall, erhöht sich die Wahrschein-lichkeit von Work-arounds, Ausnahmeregelungen oder Fehlkonfigurationen – und damit wiederum die Anfällig-keit der gesamten Anwendungslandschaft für Angriffe oder Ausfä-lle. Diese Gefahr hat übrigens auch Eingang in die neuen OWASP Top Ten 2010 (s. Anhang: 7) ge-funden.
Bei der Auswahl der passenden WAF-Architektur gibt es verschiedene Kriterien, die bedacht werden sollten: Unternehmen sollten zum einen verschiedene WAFs auf ihre Skalierbarkeit hin überprüfen. Nicht zu unterschät-zen ist auch, ob Monitoring- und Reporting-Funktionen auch bei einer wachsenden Anzahl von Applikationen noch ausreichen. Ein weiterer wichtiger Punkt für eine TCO-Berechnung ist zudem, ob die WAF-Architektur für mögliche Veränderungen wie eine Virtualisierung der Applikationsinfrastruktur in einer „Private Cloud“ flexi-bel genug ist. Zudem sind bestehende Sicherheitsricht-
1. Jahresreport 2008: http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf; Zusammenfa-ssung Jahresreport 2009: http://www-03.ibm.com/press/de/de/pressrelease/29521.wss
2. Dauerhafte Belegung von nicht benötigten Speicherressourcen durch die Anwendung, siehe http://www.owasp.org/index.php/Memory_Leak
3. Zeiger verweist bei seiner Verwendung fälschlicherweise auf einen leeren Wert, siehe http://www.owasp.org/index.php/Null-pointer_dereference
4. Daten werden in einen zu kleinen Speicherbereich geschrieben, dadurch werden nachfolgende Informationen überschrieben, siehe http://www.owasp.org/index.php/Buff er_Overfl ow
5. Siehe https://www.pcisecuritystandards.org/6. Eventing beschreibt das Auslösen von Events. So kann beispielsweise eine Nachricht an einen Administrator gesendet werden,
wenn defi nierte Schwellwerte – als Beispiel: mehr als zehn Angriff sversuche pro Minute von einem User – überschritten wer-den.
7. http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Web-Anwendungen über den gesamten Lebenszyklus schützen
hakin9.org/fr 27
linien und Compliance-Anforderungen – beispielsweise im Hinblick auf die Terminierung von SSL-Verbindungen – zu beachten.
Web-Applikationen schützenWeb-Applikationssicherheit lässt sich nicht auf be-stimmte Phasen im Lebenszyklus von Applikationen be-schränken, sondern muss jederzeit eine ähnlich hohe Priorität genießen wie Funktionalität. Tools, die in die tägliche Arbeit von Entwicklung, Betrieb und QM einge-bunden werden können, machen dies möglich. Für alle Fälle, in denen ein sofortiges Patchen einer Schwach-stelle nicht möglich ist, schützt eine WAF zielgenau und applikationsspezifisch.
hyperguard von art of defencehyperguard von art of defence ist eine der weni-gen Software-basierten Web Application Firewalls (WAFs). Der Vorteil ist, dass der Anwender den In-stallationsort frei wählen kann. Als Host-Systeme für hyperguard ko-mmen der Application- und der Web-Server, der Load-Balancer oder die Firewall, aber auch ein Betrieb als Reverse Proxy oder Virtual App-liance in Frage.
hyperguard ist modular aufgebaut. Durch diese Soft-ware-Architektur können die verschiedenen Kernele-mente problemlos auf verschiedenen physikalischen Systemen installiert werden. Dies stellt sicher, dass die Echtzeit-Überwachung von großen und verteilten Insta-llationen – wie bei stark wachsenden Online-Shops, So-cial-Networking-Plattformen oder Cloud-Umgebungen – mit mehr als 100 hyperguard-Instanzen ohne Perfor-mance-Einbußen möglich ist.
hyperguard zeichnet sich durch ausgeklügelte Repor-ting- und Management-Funktionen aus:
Die Clusterfähigkeit sichert die zentrale Administration der verteilten hyperguard-Installationen, um beispiels-weise übergeordnete Policies zu definieren, Regelwer-
ke zu überprüfen und zu verteilen oder auch zentrale Software-Updates einzuspielen.
Da hyperguard zudem multimandantenfähig ist, kann nicht nur ein typischer Firewall-Administrator Informationen abrufen und Regelwerke erstellen, sondern auch Applikationsverantwortliche aus Ent-wicklung oder Qualitätsmanagement. Rollenbasierte Statusberichte erleichtern zusätzlich das IT-Sicher-heitsreporting.
Das WAF-Regelwerk lässt sich zum einen mit einem sogenannten Lernmodus Schritt für Schritt applikations-spezifisch einrichten und zum anderen durch XML-Re-ports von Analyse-Werkzeugen wie hypersource oder CodeProfiler (speziell für SAP-Umgebungen) erwei-tern.
Für Rückfragen wenden Sie sich bitte an:
art of defence GmbH
Bruderwöhrdstr. 15b
93055 Regensburg
Tel.: +49 941 604 889 78
Fax: +49 941 604 889 837
E-Mail: [email protected]
MARKUS WAGNER Der Autor ist IT Security Consultant bei art of defence in Re-gensburg. Mit IT-Sicherheit beschäftigt sich der Diplom-Infor-matiker seit mehr als zehn Jahren. Bevor er zu art of defence wechselte, arbeitete er als Systemadministrator und Entwick-ler von Web-Applikationen.
Meet the Web Application Security Experts!
Web Application Firewall der neuesten Generation
bietet Security Softwareprodukte für Web Applikationen über den gesamten Lebenszyklus
www.artofdefence.com
W e r b u n g
7/201028
ABWEHR
Überblick und Ziele des IT-RisikomanagementprozessesDer in Abbildung 1 aufgezeigte IT-Risikomanagement-prozess gestaltet die bewusst knapp gehaltene Anfor-derung der ISO/IEC 27001 ein IT-Risikomanagement zu betreiben konkret aus und lässt sich in sechs Pro-zessschritte aufteilen, die sich ebenso nahtlos in das PDCA-Modell der ISO/IEC 27001 einfügen:
Bei der Kontextfestlegung werden während der Plan-Phase die Grenzen des IT-Risikomanagements festge-legt und bestimmt, wie hoch die Anforderungen an ein Asset bewertet sein müssen, um in Abhängigkeit zu den in den IT-Sicherheitsrichtlinien bereits festgelegten Ba-sisschutzmaßnahmen die nötige Detailtiefe für eine ge-nauere Risikoanalyse des jeweiligen Assets bestimmen
zu können. Ferner ist es bedeutend zu regeln, wie hoch die Auswirkungen etwaiger Schadensfälle maximal sein dürfen, sodass das bestehende Risiko von der Unter-nehmung noch akzeptiert werden kann (Risikoakzep-tanz).
Abschließend sind alle weiteren Aufgaben und Ziele sowie die Sicherheitsorganisation und dabei insbeson-dere die Klärung von Verantwortlichkeiten im Rahmen des IT-Risikomanagements bereits durch den ersten Phasenabschnitt zu bestimmen.
Fortwährende Aufgabe der Risikokommunikation ist es, sämtliche Informationen, die vor allem im Zuge der Risikoeinschätzung und -behandlung gesammelt wer-den, mit den Entscheidungsträgern auszutauschen und über die gesamten Phasen des zyklischen PDCA-Mo-
Risikomanagement der Informationssicherheit nach ISO/IEC 27005
Die Reduktion von Haftungsrisiken, das Gerechtwerden von Compliance-Anforderungen in der IT oder die bloße Sicherstellung des Geschäftsbetriebes begründen für viele Unternehmen den Aufbau eines Managementsystems im Bereich Informationssicherheit (ISMS), das u.a. operative Risiken frühzeitig erkennen und diesen im Bedarfsfall durch pro- oder reaktive Maßnahmen entgegenwirken kann. Die ISO/IEC 27005 beschreibt dazu eine standardisierte Vorgehensweise des IT-Risikomanagements, welches sich vollständig in ein ISMS integrieren lässt.
IN DIESEM ARTIKEL ERFAHREN SIE...• Was die ISO/IEC 27005 beinhaltet;• Die einzelnen Phasen eines iterativen IT-Risikomanagement-
prozesses;• Die Integration des IT-Risikomanagements in ein ISMS.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Kenntnisse über IT-Sicherheit in mittleren/größeren Unterneh-
men;• Kenntnisse über die Eigenschaften eines ISMS nach ISO/IEC
27001;• Grundwissen aus dem Fachgebiet Asset Management.
Robert Lommen
Abbildung 1: IT-Risikomanagementprozess in Anlehnung an die ISO/IEC 27005
Risikomanagement der Informationssicherheit nach ISO/IEC 27005
hakin9.org/de 29
kret relevanter Assets. Im folgenden Schritt werden bzgl. dieser mögliche Bedrohungen im Rahmen einer Bedrohungsanalyse ausgemacht und anhand ihrer Art und Quelle differenziert. Zudem ist danach die Auswei-sung bereits existierender Sicherheitsmaßnahmen der Schwachstellenanalyse vorgestuft. Mögliche Schwach-stellen, die nicht in Beziehung zu einer konkreten Be-drohung zu setzen sind, sollten an dieser Stelle gleich-wohl festgehalten werden. Die Risikoidentifikation endet dann mit der Zusammenstellung einer Liste, die mögli-che Risikoszenarien und deren Auswirkungen auf die Schutzziele der Assets enthält.
Die Risikoabschätzung beschäftigt sich damit, mögli-che Konsequenzen und somit das Schadenspotential ver-schiedener Risiken im Rahmen einer umfassenden Im-pact-Analyse zu bestimmen. Die Vorgehensweise kann dabei je nach Bedarf qualitativ oder zur unkomplizier-ten Vergleichbarkeit auch quantitativ erfolgen. An die-sen Punkt knüpft daraufhin die Abschätzung der Ein-trittswahrscheinlichkeit eines jeden Risikoszenarios an. Dabei ist es den Verantwortlichen erneut freigestellt, quantitative oder qualitative Herangehensweisen zu praktizieren (siehe Abbildung 3).
Als Abschluss der Risikoabschätzung und damit auch der Risikoanalyse wird alsdann jeweils eine Risikokenn-zahl ermittelt, die sich zumindest aus der Verknüpfung des Schadenpotentials mit der jeweiligen Eintrittswahr-scheinlichkeit ergibt.
Die Risikobewertung befasst sich mit der Priorisierung von Risiken und vergleicht dazu die Ergebnisse der Risi-koabschätzung, wie z.B. Risikokennzahlen, mit den ent-sprechenden Kriterien der Risikoakzeptanz, sodass am Ende dieses Teilschrittes dokumentiert feststeht, welche Risiken vorerst begründbar tolerierbar sind und welchen durch Maßnahmen entgegengesteuert werden muss.
RisikobehandlungNeben der Risikobeibehaltung beschreibt die ISO/IEC 27005 drei alternative Methoden zum bewussten und
dells hinweg an alle alternativ betroffenen Stellen wei-terzutragen.
Ziel der Risikoüberwachung ist im Sinne der Check-Phase zum einen das Monitoring aller Risiken und deren Einflussfaktoren, sodass Änderungen im Kontext der Or-ganisation frühzeitig erkannt werden können und jederzeit ein Überblick über die Gesamtsituation einsehbar ist. Ins-besondere muss dabei nach Erstellung des sogenann-ten Risikobehandlungsplans stetig überprüft werden, ob die abgeschätzten (Rest-)Risiken im Einklang mit der Ma-nagemententscheidung bzgl. der Kriterien der Risikoak-zeptanz stehen oder ob der Risikobehandlungsprozess für die Restrisiken erneut iterativ durchgeführt werden muss.
Der zweite Fokus liegt auf der kontinuierlichen Über-wachung und Verbesserung des Managementproze-sses und der daran geknüpften Methodiken und Orga-nisationsstrukturen als Ganzes.
Ein typisches Hauptziel des IT-Risikomanagements allgemein ist die Schaffung von Transparenz durch die frühzeitige Erkennung und möglichst objektive Bewer-tung spezifischer Risiken.
Das nachvollziehbare Sammeln stets aktueller Da-ten fungiert daher mittelbar auch als präventive Maß-nahme zur Unternehmenssicherung. Die Priorisierung von Schutzmaßnahmen unterstützt überdies hinaus die wirtschaftliche Verwendung des Budgets der Informa-tionssicherheit.
RisikoeinschätzungDie ISO/IEC 27005 grenzt gemäß Abbildung 2 inner-halb dieses Prozesses die Risikoanalyse von der Ri-sikobewertung ab. Erstgenannte setzt sich wiederum aus der Risikoidentifikation und der Risikoabschätzung zusammen. Ziel der Risikoeinschätzung ist es entspre-chend, Risiken zu identifizieren, quantitativ und qualita-tiv zu beschreiben und sie dann ausgehend von ihrem Schadenspotential her zu bewerten.
Die Risikoanalyse beginnt - auf die Ergebnisse der Kontextfestlegung gestützt - mit der Ermittlung kon-
Abbildung 2: Zergliederung der Risikoeinschätzung nach ISO/IEC 27005
7/201030
ABWEHR
zielorientierten Umgang mit Risiken: die Risikoredu-ktion, die Risikovermeidung und den Risikotransfer. Die Auswahl der geeignetsten Vorgehensweise soll dabei unter Berücksichtigung der Risikobewertung, der kalku-lierten Kosten für Maßnahmen und dem dadurch erwar-teten Mehrwert für die Unternehmung erfolgen.
Ferner gilt es zu beachten, dass die genannten Op-tionen nicht ausschließlich exklusiv auszuwählen sind, sondern ausdrücklich auch kombiniert werden können. Eine Möglichkeit dazu ist z.B. die Reduzierung der Ein-trittswahrscheinlichkeit und die anschließende Verlage-rung des Restrisikos. Die folgende Abbildung zeigt eine
mögliche Vorgehensweise zur praktischen Behandlung von Risiken auf, insofern eine Entscheidung gegen die Risikobeibehaltung gefallen ist (siehe Abbildung 4).
Im Zuge der Risikoreduktion werden zunächst ver-schiedene, ggf. bestehende Maßnahmen eruiert, aus denen dann eine derjenigen ausgewählt wird, die das Restrisiko auf das den zutreffenden Kriterien der Risi-koakzeptanz entsprechende Niveau minimiert.
Die Option des Risikotransfers schließt vor allem die Übertragung von Risiken auf externe Parteien, wie z.B. Versicherungen, Kunden oder Lieferanten mit ein. Es gilt zu beachten, dass die vertragliche Festlegung von
Abbildung 4: Mögliche Risikomatrix zur Risikobehandlung
Abbildung 3: Beispielhafte Risikomatrix zur Risikoabschätzung
Risikomanagement der Informationssicherheit nach ISO/IEC 27005
hakin9.org/de 31
Verantwortlichkeiten alleine aber im Regelfall nicht auf eine vollständige Haftung bei etwaigen Auswirkungen ausgelegt sein wird.
Die Risikovermeidung ist besonders für hoch ein-gestufte Risiken eine geeignete Alternative, da die Kosten der Maßnahmenimplementierung den prak-tischen Nutzen oftmals übersteigen. Mögliche Optio-nen sind die Aufgabe von bestimmten Geschäftsakti-vitäten oder die örtliche Verlagerung des betroffenen, z.B. feuchtigkeitsempfindlichen Assets in einen siche-ren Bereich.
Abbildung 5 zeigt einen möglichen Workflow zur Risi-kobehandlung, bei der ein von der jeweiligen (Teil-)Or-ganisation (z.B. Fachbereich) bestimmte Risikoverant-wortliche die Steuerung übernimmt.
Fiktives PraxisbeispielAus dem unautorisierten Zugang zum Schrank mit dem Spezialsystem für die Vorratsdatenspeicherung können z.B. folgende Risikoszenarien resultieren:
Unbefugtes Personal übergeht die physischen Schutz-vorkehrungen und
• schaltet den Festplattenroboter aus (Verfügbarkeit)• entwendet einzelne Datenträger (Vertraulichkeit)
• verbindet sich mit der Konsole und verändert Daten (Integrität).
Ein hohes Schadenpotential kann sich in allen drei Fä-llen durch die Gefahr des Missbrauchs personenbe-zogener Daten oder durch hohe Haftungs- und Ima-geschäden seitens des ISP's ergeben. In Verknüpfung mit der jeweils anzunehmenden (geringen) Eintritts-wahrscheinlichkeit ergibt sich für jedes Szenario eine eigene Risikokennzahl anhand derer die Priorisierung von Gegenmaßnahmen im Rahmen der Risikobehand-lung abgeleitet werden kann. Konkret kann es sich empfehlen das Risiko des Übergehens der physischen Schutzvorkehrungen zu reduzieren, indem verschärf-te Zugangskontrollen durchgeführt und vermehrt Über-wachungsgeräte in den entsprechenden Räumlichkei-ten installiert werden.
Im Rahmen des Monitorings der Restrisiken sollte dann in regelmäßigen Abständen sowie bei Änderun-gen am Asset selbst bzw. dessen mittelbarem (Pro-zess-)Umfeld stets eine erneute Risikoeinschätzung initiiert werden.
Abbildung 5: Workfl ow zur beschriebenen Risikobehandlung
Im Internet• http://www.iso.org• http://www.risikomanagement-wissen.de
ROBERT LOMMEN Der Autor ([email protected]) war zuletzt bei der 1&1 Internet AG in den Bereichen Mailsecurity, Abuse und IT-Secu-rity tätig. Er besitzt langjährige Erfahrung in den Fachgebie-ten Information Gathering, Web Application Security, Reverse Engineering und Bugtracking. Als Freelancer ist er derzeit als IT-Security Consultant unterwegs.
7/201032
ABWEHR
Zwischen 1997 und 2001 veranstaltete das Na-
tional Institute of Standards and Technology
der USA (NIST) einen öffentlichen Wettbe-werb, um einen Nachfolger für die in die Jahre ge-kommene symmetrische Block-Chiffre DES (Data Encryption Standard) zu bestimmen. Bekanntlich ge-wann Rijndael diesen Wettbewerb und wird seitdem unter dem Namen AES (Advanced Encryption Stan-dard) geführt.
Das NIST ist eine Bundesbehörde der USA und ist als Teil des Handelsministeriums für Standardi-sierungsfragen zuständig. Das NIST veröffentlicht für US-Behörden geltende Standards in Form von Federal Information Processing Standards (FIPS), allerdings reicht seine Bedeutung weit über die USA hinaus.
Der große Vorteil des AES-Verfahrens war die öffentliche Beteiligung der Kryptografie-Gemeinde an der Untersuchung der einzelnen Chiffren. Die Idee bestand darin, eine möglichst gute und unabhängige kryptografische Untersuchung der Chiffren zu errei-chen.
Basierend auf diesen Erfahrungen und aufgrund ei-ner Reihe neuer Angriffsmöglichkeiten gegen kryp-tografische Hash-Algorithmen wie MD5 und SHA-1, führt das NIST seit 2007 (s. Listing 2) einen analogen öffentlichen Wettbewerb auch für Hash-Algorithmen durch, an dessen Ende 2012 der neue Hash-Standard stehen wird, bezeichnet als SHA-3 (Secure Hash Al-
gorithm). Dieser wird dann die Liste der aktuell fünf
Hash-Algorithmen (SHA-1 und SHA-2) in FIPS 180-3 komplettieren.
Der SHA-3 Wettbewerb verläuft in drei Runden, von denen die erste im Juli 2009 beendet wurde. Von den anfangs 64 eingereichten SHA-3 Kandida-ten sind inzwischen noch 14 übrig, die sich jetzt in Runde 2 befinden und erneut einer kryptografischen Untersuchung unterzogen werden. Die nächste SHA-3 Konferenz wird im August 2010 stattfinden, in der sich die 14 Kandidaten erneut präsentieren können, und nach der eine weitere Reduzierung auf etwa 5 letzte Kandidaten passiert, unter denen dann in der letzten Runde der neue Standard festgelegt werden wird.
SHA-1 und SHA-2Kryptografische Hash-Algorithmen sind Funktionen, die als Input eine Nachricht erhalten und als Ergebnis ei-nen sogenannten digest, eine Art Fingerabdruck dieser Nachricht ausgeben, der für alle Nachrichten von fester Länge ist. So zum Beispiel eine Länge von 160 Bit bei SHA-1.
Hash-Algorithmen finden sich in einer Vielzahl von Applikationen wieder und sind ein fundamentaler Bau-stein heutiger Sicherheitslösungen, so etwa als Einweg-Funktion, bei der Generierung von Passwörtern, bei Si-gnaturen (PGP, DSA, X.509,,...) oder auch innerhalb von MACs (Message Authentication Code). Im Gegen-satz zu Block-Chiffren ist die Theorie kryptografischer Hash-Algorithmen jedoch weniger gut untersucht.
Der SHA-3 Hash-Wettbewerb – ein Zwischenstand
Seit 2007 läuft der vom NIST veranstaltete öffentliche Wettbewerb zur Festlegung eines neuen Standards für kryptografische Hash-Algorithmen, bezeichnet als SHA-3, der Ende 2012 beendet sein wird. Von ursprünglich 64 eingereichten Kandidaten sind nach Abschluss der ersten von drei Evaluierungsrunden noch 14 Algorithmen übrig geblieben, die zurzeit in der zweiten Runde kryptografisch untersucht werden.
In diesem Artikel erfahren Sie...• Wie der vom NIST veranstaltete Wettbewerb abläuft;• Welche Auswahlkriterien es gibt.
Was Sie vorher wissen/können sollten...• Kein spezielles Vorwissen nötig.
Dr. Stefan M. Ritter
Der SHA-3 Hash-Wettbewerb – ein Zwischenstand
hakin9.org/de 33
Die Aufwände für einen konkreten Hash-Algorith-mus sollten bei den einzelnen Kollisionstypen daher in der Größenordnung der aufgeführten Bruteforce-Angriffe liegen, ansonsten gelten sie als gebrochen. Allerdings bedeutet ein solcher Bruch des Hash-Al-gorithmus nicht zwangsläufig, dass er unsicher ist. Denn ein hypothetischer Aufwand von zum Beispiel 2^150 Hash-Operationen bei einem Angriff gegen die Preimage Resistance von SHA-1 befindet sich in ei-nem Bereich, der außerhalb technisch erreichbarer Möglichkeiten liegt, obwohl er weit schneller als ein Bruteforce-Angriff ist.
2005 wurde ein Angriff von Wang, Lin und Yu ver-öffentlicht ([1]), mit dem der Aufwand, eine einfache Kollision in SHA-1 zu finden, von 2^80 auf 2^69 ver-ringert wird. Ebenfalls 2005 wurde ein Angriff von Wang bekannt, bei dem der Aufwand nur noch bei etwa 2^63 liegt (s. zum Beispiel [2]). Ein 2009 ver-öffentlichtes Papier, nach dem der Aufwand sogar nur 2^52 beträgt, musste inzwischen aufgrund von Fehlern zurückgezogen werden. Auf der Crypto 2006 berichteten zudem Rechenberger und De Canniere über Möglichkeiten, einen Teil des Kollisionstextes vorzugeben.
Die drastische Reduzierung des Aufwands ist der Grund, warum man SHA-1 als gebrochen ansieht, da man die durch das Geburtstagsparadoxon ge-setzte Grenze deutlich unterschreiten kann, aller-dings sind bislang noch keine konkreten Kollisio-nen bei SHA-1 bekannt. Man kann jedoch vermuten, dass in Zukunft weitere, noch bessere Angriffe ge-funden werden. Zumindest ist man damit in einem Bereich angelangt, der mit heutigen Mitteln erreich-bar scheint.
Bei der Beurteilung der Auswirkungen gilt es wie erwähnt vorsichtig zu sein. Vom Auffinden einer einfachen Kollision bis zur Fälschung einer kon-kreten Nachricht (meaningful message) ist es ein weiter Weg (obwohl beim MD5 genau dies inzwi-schen bei einem Zertifikat realisiert werden konn-te, s. [3]). Man muss also insbesondere zwischen dem Brechen der Collision-Resistance und dem Brechen der (Second) Preimage Resistance unter-scheiden.
Lange Jahre war MD5 der Quasi-Standard, von de-ssen Benutzung aber bereits seit Jahren abgeraten wird, da es inzwischen in Sekunden möglich ist, Kolli-sionen zu erzeugen. Solche Kollisionen bestehen darin, aus unterschiedlichen Quelltexten gleiche Hashwerte zu generieren. Das bislang schwerwiegendste Beispiel war die Fälschung der MD5-Signierung eines CA-Zer-tifikats (s. [3]).
Der aktuell wohl am weitesten verbreitete Hash-Algo-rithmus ist SHA-1, der zur SHA-Familie gehört. SHA-1 generiert aus Daten, die maximal 2^64 -1 Bit lang sein können, einen festen Hashwert der Länge 160 Bit. SHA-1 ist eine korrigierte Variante von SHA-0, der ur-sprünglich vom NIST und der NSA 1994 als Bestandteil des Digital Signature Algorithm (DSA) herausgegeben wurde.
2002 und 2004 wurden vom NIST vier weitere SHA-Varianten aufgenommen, nämlich SHA-256, SHA-386, SHA-512 und SHA-224, wobei die dreistellige Zahl je-weils die Länge des erzeugten Hashwerts in Bit angibt. Diese neuen SHA-Varianten werden unter SHA-2 zu-sammengefasst.
Angriffe gegen SHA-1Im allgemeinen werden an kryptografisch sichere Hash-Algorithmen folgende Sicherheitsanforderungen ge-stellt:
• Collision Resistance: Es ist schwer, zwei beliebige Eingaben m und w zu finden, die den gleichen Hash-wert h(m)=h(w) besitzen.
• Preimage Resistance: Es ist schwer, für einen Hash-wert y eine Eingabe m zu finden, die genau diesen Hashwert y=h(m) besitzt.
• Second Preimage Resistance: Für eine Eingabe m ist es schwer, eine Eingabe w zu finden, die zum gleichen Hashwert h(m)=h(w) führt.
Die Kennzeichnung schwer bedarf natürlich einer Er-läuterung, da sie etwas schwammig gefasst ist. Ent-scheidend ist der Aufwand, den man für einen soge-nannten Bruteforce-Angriff benötigt. Beim Bruteforce probiert man einfach alle Möglichkeiten durch, bis man sein Ziel erreicht hat.
Das sogenannte Geburtstagsparadoxon besagt, dass bei einer Hashlänge von n Bit der Aufwand, zwei be-liebige Nachrichten mit gleichem Hashwert zu finden, im Mittel bei 2^n/2 Hash-Operationen liegt. Bei SHA-1 demnach bei 2^80. Dies ist also eine Art natürlicher Obergrenze (im Mittel) für eine Bruteforce-Suche der Collision Resistance.
Entsprechend liegen die Aufwände für eine Brute-force-Suche bei Preimage und Second Preimage Re-
sistance für einen n-Bit Hash-Algorithmus bei 2^n, bei SHA-1 mit 2^160 also jenseits aller technischen Mö-glichkeiten.
Listing 1: Die 14 SHA-3 Kandidaten der 2. Runde
BLAKE BLUE MIDNIGHT WISH
CubeHash ECHO
Fugue Grøstl
Hamsi JH
Keccak Luffa
Shabal SHAvite-3
SIMD Skein
7/201034
ABWEHR
Dennoch sind die bekannt gewordenen Angriffe be-sorgniserregend, daher wird inzwischen allgemein empfohlen, statt SHA-1 auf die Hash-Algorithmen der SHA-2 Familie auszuweichen. Diese beruhen zwar auf den gleichen Grundprinzipien wie SHA-1, produ-zieren jedoch wesentlich längere Hashwerte und er-höhen damit den Aufwand eines Angreifers ganz er-heblich.
SHA-3All dies hat dazu geführt, dass das NIST einen Wett-bewerb analog zu AES ausführt, um einen Nachfolger für SHA-1 und SHA-2 zu finden. Die Anforderungen an SHA-3 sind dabei im Wesentlichen die folgenden:
• Unterstützung von Hashwertgrößen von 224, 256, 384 und 512 Bits
• Unterstützung einer maximalen Nachrichtengröße von 2^64 -1 Bits
• Hohes Sicherheitslevel• Hohe Performance (besser als SHA-2) und gerin-
ger Speicherverbrauch• Unterstützung verschiedener Plattformen
Bis zur Deadline am 31.10.2008 wurden 64 Kandida-ten eingereicht, wovon 51 für die erste Runde ausge-wählt wurden. Bei dieser Auswahl zählten die Punk-te Sicherheit und Performance noch nicht, es wur-de allein nach äußeren Kriterien wie der korrekten Hashlänge und der Vollständigkeit der Dokumenta-tion geprüft. Die erste Runde endete im Juli 2009 da-mit, dass sich die Zahl der Kandidaten auf 14 redu-zierte.
In der ersten Runde wurden die Kandidaten nach fol-genden Kriterien evaluiert, wobei die Reihenfolge auch die Stufe der Gewichtung darstellt:
• Sicherheit• Perfomance• Algorithmus-/Implementierungseigenschaften
Da Hash-Algorithmen inzwischen in einer Vielzahl von verschiedenen Applikationen eingesetzt werden, sollte ein Hash-Algorithmus möglichst nahe am Ide-alfall eines random oracle sein. Das Modell des ran-
dom oracle beschreibt eine Blackbox, die auf jede Anfrage mit einem echt zufälligen Ergebnis antwortet, wobei das Ergebnis gleichmäßig aus der Menge aller möglichen Ergebnisse genommen wird. Bei mehrfach gleicher Anfrage liefert das random oracle immer das gleiche Ergebnis. Solche random oracles stellen eine mathematische Abstraktion dar, mit der man die Si-cherheit zum Beispiel von Hash-Algorithmen bewer-ten kann.
Darüber hinaus findet eine Überprüfung der Kandi-daten dahingehend statt, wie sie sich gegen bekann-te und während der Evaluierung gefundene Angriffsmö-glichkeiten verhalten, oder auch wie wahrscheinlich es ist, dass sie gegen spezielle zukünftige Angriffe robust sind.
Das zweite Evaluierungskriterium behandelt die Be-reiche Effizienz und Speicheranforderungen für Soft-ware- und Hardwarelösungen; der neue SHA-3 Algo-rithmus sollte mindestens so effizient wie SHA-2 sein. Im dritten Kriterium geht es um Eigenschaften des Algorithmus und dessen Implementierung. Hier ent-
Listing 2: Meilensteine des SHA-3 Fahrplans (Stand: Juli 2010)
23.01.2007 Bekanntgabe der Entwicklung von SHA-3
02.11.2007 Veröffentlichung der Mindestanforderungen an SHA-3 Kandidaten;
Beginn der Einreichungsfrist
31.10.2008 Ende der Einreichungsfrist: 64 Kandidaten
10.12.2008 Bekanntgabe der 51 Kandidaten für die 1. Runde;
Beginn der öffentlichen Prüfung der Kandidaten
25.-28.02.2009 1. SHA-3 Kandidatenkonferenz
24.07.2009 Ende der 1. Runde;
Bekanntgabe der 14 Kandidaten für die 2. Runde
Beginn der öffentlichen Prüfung der Kandidaten
23./24.08.2010 2. SHA-3 Kandidatenkonferenz
Q3/Q4-2010 Ende der 2. Runde
Bekanntgabe der Kandidaten für die 3. Runde
Beginn der öffentlichen Prüfung der Kandidaten
Q4-2011 Ende der 3. Runde
Q1-2012 3. SHA-3 Kandidatenkonferenz
Q2/Q4-2012 Auswahl des Gewinners und Abschluss Standardisierung von SHA-3
Der SHA-3 Hash-Wettbewerb – ein Zwischenstand
hakin9.org/de 35
scheiden unter anderem die Flexibilität (Tuning-Para-meter,...), die Einfachheit oder Eleganz des zugrunde liegenden Algorithmus und die Möglichkeiten der Pa-rallelisierung.
Eine Liste der aktuellen 14 Kandidaten findet sich in Listing 1, erste kryptanalytische Ergebnisse finden sich zum Beispiel in [4].
Die einzelnen Algorithmen basieren auf verschie-denen Grundprinzipien. Das bei aktuellen Hash-Algo-rithmen wie MD5 oder SHA-1 am Häufigsten anzut-re-ffende Bauprinzip ist das Merkle-Damgard Prinzip. Dabei wird eine Nachricht in kleinere Blöcke fester Größe zerlegt und von einer Komprimierungsfunktion f verarbeitet, die neben dem jeweiligen Nachrichten-block auch das Ergebnis der Verarbeitung des vorheri-gen Nachrichtenblocks als Input erhält. Am Ende steht dann der endgültige Hashwert. Die Komprimierungs-funktion kann dabei speziell für den Hash-Algorith-mus konstruiert sein, oder aber auf einer Block-Chif-fre basieren. Um bestimmte Angriffe zu vermeiden, wird bei der Zerlegung der Nachricht in die einzelnen Blöcke am Ende noch die Länge der Nachricht in den letzten Block mit aufgenommen und verarbeitet, das sogenannte Merkle-Damgard Strengthening.
Da in den letzten Jahren jedoch Probleme im Zu-sammenhang mit dem Merkle-Damgard Konstru-ktionsprinzip offenbar wurden, sind andere Konstruk-te entwickelt worden. So nutzen die aktuellen SHA-3 Kandidaten Konstruktionsprinzipien wie HAIFA [5], wide-pipe Merkle-Damgard [6] oder beruhen auf dem Einsatz von Sponge-Funktionen [7]. Daneben gibt es auch Varianten dieser bekannten Möglichkeiten oder gänzlich neue Verfahren.
Wie geht es weiter mit SHA-3?Ende August 2010 wird das NIST die zweite SHA-3 Kandidatenkonferenz abhalten, in denen die 14 Kan-didaten erneut vorgestellt werden und auf gefundene Probleme eingegangen werden kann. Im Herbst die-
sen Jahres wird das NIST dann etwa 5 Kandidaten bekannt geben, unter denen in der letzten Runde der zukünftige SHA-3 Standard bestimmt wird. Öffentli-che Kommentare zu den Kandidaten können bis En-de 2011 abgegeben werden, im 1. Quartal 2012 wird dann die letzte SHA-3 Kandidatenkonferenz abge-halten, bis Ende 2012 soll der neue SHA-3 Standard offiziell werden.
Einen Überblick über den offiziellen NIST-Fahrplan findet man in [8], wesentliche Meilensteine finden sich in Listing 2.
FazitAuch wenn die gesamte Dauer des NIST Wettbe-werbs für SHA-3 mit etwa 6 Jahren recht lang er-scheint, ist dies dennoch ein sinnvoller Prozess, um eine möglichst gute kryptanalytische Untersuchung des späteren Standards zu ermöglichen. Schon der AES-Prozess hat gezeigt, dass die Mitwirkung der kryptografischen Gemeinde an der Auswahl von ent-scheidender Bedeutung und unbedingt anzustreben ist.
Zudem ist zu hoffen und auch zu erwarten, dass durch diesen langwierigen und öffentlichen Prozess das Verständnis für die Konstruktion möglichst siche-rer Hash-Algorithmen wesentlich verbessert wird, ver-gleichbar dem von Block-Chiffren.
Zwar gibt es auch bei einem öffentlichen Verfahren keine Garantie dafür, dass SHA-3 wirklich sicher sein wird, aber die Wahrscheinlichkeit dafür und damit für eine lange Lebenszeit des Algorithmus wird durch die intensive Prüfung enorm erhöht.
Im Internet.[1] http://www.c4i.org/erehwon/shanote.pdf; Collision Search
Attacks on SHA1.[2] http://eprint.iacr.org/2007/474.pdf; Notes on the Wang et al.
2^63 SHA-1 Diff erential Path.[3] http://www.win.tue.nl/hashclash/rogue-ca/; MD5 conside-
red harmful today.[4] http://ehash.iaik.tugraz.at/wiki/The_SHA-3_Zoo; The SHA-3
Zoo.[5] http://eprint.iacr.org/2007/278.pdf; A Framework for Iterati-
ve Hash Functions.[6] http://eprint.iacr.org/2004/253.pdf; Design Principles for
Iterated Hash Functions.[7] http://sponge.noekeon.org/SpongeFunctions.pdf; Sponge
Functions.[8] http://csrc.nist.gov/groups/ST/hash/timeline.html; Tentative
Timeline of the Development of New Hash Functions.
DR. STEFAN M. RITTERDer Autor, promovierter Mathematiker und TISP zertifi ziert, arbeitet im Bereich Systemadministration und Sicherheit von Online-Applikationen. Daneben gilt sein Hauptinteresse kryp-tologischen Fragestellungen.
7/201036
DATENSCHUTZ
Noch immer sind viel mehr Fragezeichen zu sehen statt praktikabler Umsetzungsvorschläge aus der best practice-Schatzkiste der Aufsichtsbehörden,
Interessens- und Berufsverbände. Kein Wunder, sind doch alle gleichermaßen vor vollendete Tatsachen gestellt und nun gefragt, schnell alltagstaugliche Lösungen aus dem Hut zu zaubern. Bis einschlägige Urteile uns allen den Weg weisen, gilt die Devise: Alles, was bisher bereits ge-setzliche Anforderung war, ist nun erst recht Anforderung an Sie, wenn Sie personenbezogene Daten nicht zu Ihren rein privaten Zwecken verarbeiten. Ignorieren wird jedoch deutlich teurer... sowohl vom Imageschaden her als auch von Seiten zu erwartender Bußgelder.
Die Voraussetzung: Wieso Sie den Datenschutz nicht länger aussitzen solltenBußgelder in Millionenhöhe, Haftstrafen, die weit über das textlich bezifferte Höchstmaß des Bundesdatenschutz-gesetzes (nachfolgend „BDSG“ genannt) hinaus gehen, immense Imageschäden, die kostspieligen Werbespots zur besten Sendezeit mit der Botschaft „wir arbeiten für Sie an der heilen Welt und haben noch freie Lehrstellen“ in einer Zeit, wo Arbeitsplätze seit Jahren rar sind sowie horrender Mehraufwand für die Schaffung einer angemes-senen Datenschutzorganisation in einer auferlegten Frist
statt im normalen Tagesbetrieb. Das sind ein paar Kon-sequenzen aus einem nicht vorhandenen oder mangel-haft betriebenen Datenschutz im Unternehmen. Dabei lie-ße sich auch mit dem spitzen Bleistift schnell ausrechnen, dass es mittel- und langfristig gesehen wesentlich günsti-ger ist, einen DSB zu „unterhalten“ als eine Datenschutz-panne oder gar ein Verfahren samt Nachbesserungsar-beiten auf sich zu nehmen. Gerechnet wird noch immer so lange nicht, bis der Datenschutzvorfall passiert ist. Dann aber kann auch der qualifizierteste DSB die Kohlen nicht mehr aus dem Feuer holen - so es ihn überhaupt gibt im Unternehmen – und Zeit und Gelegenheit zum Vertu-schen oder Schönreden einer solchen Panne bleiben er-fahrungsgemäß dann ebenfalls nicht mehr.
Die eingangs erwähnte Novellierung des BDSG von 03.07.2009 stattet die Aufsichtsbehörden mit mehr Be-fugnissen aus. In einigen Bundesländern wurden die Stellen aufgestockt, um das ebenfalls gestiegene Auf-gabenpensum bewältigen zu können. Bußgelder haben zwar noch eine bezifferte Maximalhöhe, sollen aber
Der Weg zum eigenen Datenschutzbeauftragten: Wie Sie den passenden DSB für Ihr Unternehmen finden
Datenschutz ist in aller Munde, keine Frage! Nicht nur in Deutschland und Europa häufen sich seit 2008 die „Pannen“, die in den meisten Fällen eine peinliche Veröffentlichung vieler personenbezogener Daten nach sich gezogen haben. Privatsphäre wird auch international heiß diskutiert. Schon reagiert das System und novelliert das Bundesdatenschutzgesetz - quasi über Nacht.
In diesem Artikel erfahren Sie...• Wieso Sie den Datenschutz nicht länger aussitzen sollten;• Welche Vorteile für einen externen oder internen Datenschutz-
beauftragten (DSB) sprechen;• Welche Fähigkeiten Ihr künftiger DSB unbedingt mitbringen
sollte;• Wie Sie den richtigen externen DSB für Ihr Unternehmen fi n-
den können;• Wie Sie für Ihren DSB den Weg ebnen und dadurch mehr von
ihm haben können.
Was Sie wissen/können sollten...• Keine spezifi schen Vorkenntnisse erforderlich;• Grundbegriff e des Datenschutzes aus den Artikeln der vorhe-
rigen Ausgaben sollten geläufi g sein. Alternativ kann auf das Glossar von Blossey & Partner (http://blossey-partner.de/sho-wpage.php?SiteID=11&lang=1) zurückgegriff en werden.
Kerstin Blossey, Blossey & Partner
„den wirtschaftlichen Vorteil, den der Täter aus der Ord-nungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden“
Der Weg zum eigenen Datenschutzbeauftragten
hakin9.org/de 37
tensätze, die nicht mehr genutzt werden dürfen, zu löschen bzw. zu sperren und sicherzustellen, dass diese Daten auch anderweitig nicht mehr ungewollt auftauchen können.
• An Stellen, wo das Unternehmen samt fachkundi-gem DSB keine Lösung mehr sehen, ist eine enge kooperative Zusammenarbeit mit der zuständigen Aufsichtsbehörde gefragt.
Welche Vorteile sprechen für einen externen oder internen DSBDie nachfolgend behandelten Aspekte und die dazu ge-tätigten Überlegungen sind nicht als der Weisheit letzter Schluss und damit als das „Soll“ für den betrieblichen DSB zu verstehen, sondern als provokative Aussagen zur Selbsteinschätzung und Entscheidungsfindung. Je-der genannte Punkt kann im Grunde sowohl für den in-ternen als auch für den externen DSB ausgelegt wer-den.
Persönliche Voraussetzungen
Rechtliche Kenntnisse Der DSB muss die Regelungen des BDSG und andere datenschutzrechtliche Vorgaben kennen, da er sie an-wenden und auslegen können muss. Für Rechtsbera-tung ist ein Jurist heranzuziehen.
Technische Kenntnisse Der DSB muss die wesentlichen Begriffe der Informa-tions- und Datenverarbeitung kennen und mit ihnen um-gehen können. Für erforderliche technische Analysen, Stellungnahmen und Maßnahmen, die in einem Betrieb erforderlich sind, sollte er Spezialisten als Berater hin-zuziehen.
Betriebswirtschaftlich-organisatorische Kenntnisse Der DSB muss mit dem Ablauf der Arbeitsvorgänge im Unternehmen vertraut sein, muss Geschäftsprozesse verstehen und auf Lücken analysieren können, um Da-tenschutzlücken erkennen und geeignete Maßnahmen vorschlagen zu können.
Pädagogische, didaktische und kommunikative Fähigkeiten Der DSB muss geeignet sein, den Mitarbeitern die An-forderungen des Datenschutzes ebenso wie ihre Mit-verantwortung bei der Umsetzung vermitteln zu können. Zugleich ist er Motivator und Kontrolleur, der immer zu-nächst gegen das Image des „Verhinderers“ zu käm-pfen hat.
Organisatorische Fähigkeiten Der DSB muss die Notwendigkeiten eines Arbeitspla-tzes oder eines Verfahrens und die im jeweiligen Un-ternehmen gegebenen Gepflogenheiten erkennen, be-
sagt die Neufassung von § 43 Absatz 3 Satz 2 BDSG in klarer und durchaus verständlicher Sprache. Und weil das längst nicht genügt als Konsequenz, gilt beispiels-weise auch seit 01.09.2009 eine verschärfte „Informa-tionspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ (Pannen) gegenüber der zuständigen Aufsichts-behörde und den Betroffenen. Der Gesetzgeber legt im neu geschaffenen § 42a BDSG zusätzlich fest, wie die-se Benachrichtigung zu erfolgen hat:
Mit steigender Popularität des Themas Datenschutz in der Presse wird die Öffentlichkeit und der Endverbrau-cher nachhaltig sensibilisiert für den unsachgemäßen Umgang mit seinen Daten und für seine Mitverantwor-tung. Dies hatte in den letzten Jahren einen deutlichen Anstieg an Beschwerden zur Folge - nicht nur bei den Aufsichtsbehörden, sondern auch bei den Unterneh-men selbst. Spätestens jetzt muss Ihr DSB also nicht nur existieren, sondern er sollte nun bereits über aus-reichend Praxiserfahrung, beispielsweise im Bezug auf die Wahrung der Betroffenenrechte nach §§ 34 und 35 BDSG, haben; denn an diesem Punkt benötigt Ihr Un-ternehmen ein durchdachtes Beschwerdemanagement für eingehende Beschwerden und Widersprüche zur Datennutzung oder Auskunftsersuchen. Dieses muss neben Textbausteinen für die unterschiedlichen Stan-dardanfragen eine ganze Menge mehr können, zum Beispiel:
• Es muss einen Geschäftsprozess etabliert haben, der solche Anfragen zuverlässig an die zuständi-ge Stelle (meist den DSB oder die Rechtsabteilung) weiterleitet, damit keine Anfrage versandet und da-durch zusätzlichen Unmut beim jeweils Betroffenen verursacht und nachfolgend eine Beschwerde di-rekt bei der Aufsichtsbehörde folgt.
• Es muss über eine unternehmenszentrale, ggf. auch standortübergreifende Sperrdatei verfügen, in der alle Nutzungswidersprüche zuverlässig hinter-legt werden, um künftig die unerwünschte Daten-nutzung zuverlässig unterbinden zu können.
• Es muss eine enge Abstimmung mit der Geschäfts-führung sicherstellen, da in der Regel auch pikan-te Anliegen und Anfragen von Medien nicht ausblei-ben.
• Es muss eine technische Lösung bereithalten, um vorhandene Lücken in Systemen zu schließen, Da-
„Soweit die Benachrichtigung der Betroff enen einen un-verhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroff enen Fälle, tritt an ihre Stelle die Information der Öff entlichkeit durch Anzeigen, die min-destens eine halbe Seite umfassen, in mindestens zwei bun-desweit erscheinenden Tageszeitungen oder durch eine an-dere, in ihrer Wirksamkeit hinsichtlich der Information der Be-troff enen gleich geeignete Maßnahme“.
7/201038
DATENSCHUTZ
nennen und beeinflussen können, um praxisorientierte Vorschläge für Maßnahmen erarbeiten können, die zum einen dem Datenschutz genügen, zum anderen aber auch den Interessen des Unternehmens gerecht wer-den.
Daneben ist es mit dem Gesetz unvereinbar, wenn der DSB durch diese Funktion in einem Interessens-konflikt steht. Er darf daher weder der Geschäftsfüh-rung noch einer leitenden Position im Unternehmen (IT-Leiter, Personalchef etc.) angehören.
FachkundeUm den internen Mitarbeiter auf seine Rolle als DSB vorzubereiten, bedarf es einer Grundschulung zur Ein-führung in den allgemeinen Datenschutz in Unterneh-men und regelmäßige Vertiefungsseminare. Darüber hinaus empfiehlt es sich, dem internen DSB zumindest anfänglich einen ausgebildeten und praxiserfahrenen DSB als Berater oder Coach zur Seite zu stellen, da-mit möglichst bald eine echte Risikominimierung für das Unternehmen erreicht werden kann und sich die Ausga-ben auszahlen können. Schließlich benötigt der inter-ne DSB zusätzlich die Einbindung in ein Team anderer DSBs, mit denen ein Erfahrungsaustausch für die prak-tische Umsetzung von Alltagsthemen stattfinden kann sowie die einschlägige Fachliteratur (Gesetzestexte und entsprechende Kommentare, Fachbücher zu Spe-zialthemen, Fachzeitschriften für aktuelle Rechtspre-chung und IT-Entwicklungen) sowie eventuell das eine oder andere computergestützte Tool, um ihm die ana-lytische und dokumentarische Arbeit zu erleichtern, die fachlich bei einem unerfahrenen DSB extrem komplex erscheinen mag.
Der DSB benötigt durch die unterschiedlichen Ge-schäftsbereiche vieler Unternehmen ein so umfangrei-ches und übergreifendes Branchen-Fachwissen, dass der aktuelle Kenntnisstand über die gesetzlichen Anfor-derungen sich nicht mehr nur auf den Kernbereich des intern bestellten DSB konzentrieren kann.
ZuverlässigkeitPersönliche charakterliche Eigenschaften wie Ver-schwiegenheit, Integrität und Kompetenz, aber auch die Bereitschaft zu vertrauensvoller Zusammenarbeit sowie die Fähigkeit, besonders in Konfliktsituationen geradli-nig und neutral abzuwägen, zu urteilen und zu handeln, sind unabdingbare Facetten der Arbeit des DSB. Selb-ständiges Handeln ist erforderlich, da er ja auf dem Ge-biet des Datenschutzes weisungsfrei agiert (§ 4f Abs. 3 BDSG). Ein ausreichendes Maß an Arbeitszeit und Ge-legenheit zur Erfüllung seiner Pflichten gehören eben-falls dazu.
Erfahrung und interdisziplinärer SachverstandGeschäftsprozesse in einem Unternehmen finden in unterschiedlichen Fachgebieten statt. So gibt es eige-
ne Geschäftsprozesse beispielsweise bei der Finanz-buchhaltung, dem Bereich Marketing/Vertrieb, Per-sonal oder auch in der Entwicklung. Der DSB sollte immer in der Lage sein, interdisziplinär (bereichs- und fachübergreifend) solche Prozesse zu erfassen, deren Schnittstellen zu analysieren und sowohl in der Ko-mmunikation als auch bei der Empfehlung von Maß-nahmen und deren Umsetzungsplanung entsprechen-de Kenntnisse einfließen zu lassen. Dazu eignet sich der DSB eigen-initiativ entsprechend erforderliche Kenntnisse zu den Fachgebieten an oder bezieht not-wendiges Know-How in der Kommunikation mit den spezialisierten Mitarbeitern der Fachgebiete oder mit externen Beratern.
Im Rahmen seiner Tätigkeiten erlangt der externe DSB vielseitige fachübergreifende Kenntnisse zu Ge-schäftsprozessen der unterschiedlichsten Märkte und Branchen, die es ihm ermöglichen, in zunehmendem Maß auf einen Erfahrungsschatz zurückzugreifen, wel-cher auch im Rahmen von Folgebeauftragungen von großem Nutzen sein kann. Je nach Art und Umfang der betrieblichen Geschäftsfelder kann mangelnde Kennt-nis bei einem externen DSB auch ein negatives Kriter-ium darstellen.
Akzeptanz des PersonalstabsDer externe DSB kennt das Unternehmen, seine Struk-turen und die Mitarbeiter zunächst nicht und kann ge-gebenenfalls nicht so praxistaugliche Empfehlungen aussprechen wie der interne es unter Umständen könnte. Er wird von Mitarbeitern daher oft zunächst als Fremdkörper betrachtet, vor allem, wenn seine Rat-schläge zu unnötig unliebsamen Veränderungen oder Auflagen führen und er die Beschäftigten nicht durch Ausstrahlung und Verhalten zur Mitwirkung motivieren kann. Völlig ungeachtet dessen, ob es sich um einen internen oder einen externen DSB handelt, muss die Unternehmensleitung (Geschäftsführung und leitende Angestellte) als Multiplikator fungieren und den DSB und seine Arbeit kontinuierlich vor den Beschäftigten unterstützend ko-mmunizieren. Verliert der DSB diese Akzeptanz im Personalstab, wird es schwierig, diese wiederherzustellen.
Interne DSB stehen dagegen häufig im Spannungs-feld zwischen ihren Erfahrungen und Kenntnissen zu den gelebten Geschäftsprozessen und den gesetzli-chen Anforderungen, die zu unbequemen Maßnahmen führen können. Der externe DSB tritt hier als neu po-sitionierte Einheit im Unternehmen auf und muss sich von Anfang an in seiner Tätigkeit unter Beweis stellen, nicht zuletzt unterstützt durch die in a) genannten Ei-genschaften.
Präsenz nach innen und außenDer DSB verpflichtet sich nicht nur, die datenschutz-relevanten Aspekte des BDSG im Unternehmen nach
7/201040
DATENSCHUTZ
innen zu vertreten, zu kommunizieren und durch Maßnahmen zu definieren. Er vertritt das Unter-nehmen in Datenschutzbelangen häufig auch in der Kommunikation nach außen in seiner Vertretungs-funktion für die Geschäftsführung. DSB vertreten die Unternehmen weitgehend in der Korrespondenz und in den Verhandlungen mit der Datenschutzaufsichts-behörde. Auch die Wahrung der Rechte Betroffener, die sich mit Auskunftsersuchen, Widerspruch gegen die werbliche Ansprache und andere berechtigte In-teressen direkt an die verantwortliche Stelle (das Un-ternehmen) richten, ist eine überaus sensible und wichtige Aufgabe, die über Wohl oder Wehe des Un-ternehmens gegenüber dem Verbraucher entschei-den kann. Der DSB prüft die Sachlage, sozusagen in der Funktion einer Beschwerdestelle, kommuniziert die erzielten Ergebnisse gegenüber dem Betroffenen und sorgt unternehmensintern dafür, dass bei einer etwaigen Datenschutzlücke entsprechende Maßnah-men ergriffen werden.
Kenntnis der (gelebten) Geschäftsprozesse Um eine adäquate Datenschutzorganisation in ihrem Unternehmen einzuführen, ist es notwendig, dass der DSB Kenntnis über die im Unternehmen „gelebten“ Ge-schäftsprozesse hat oder erlangen kann. Dieser He-rausforderung ist der interne DSB in der Regel eher gewachsen, da er diese gelebten Geschäftsprozes-se kennt und über einen längeren Zeitraum auch beo-bachtet hat.
Lücken in den Prozessen zu erkennen, die daten-schutzrelevant sind, gehört jedoch zu den grundle-genden Aufgaben des DSB, ganz gleich ob intern oder extern bestellt. Der externe DSB wird hier durch den Blick von außen der sogenannten Be-triebsblindheit zunächst nicht unterliegen, weil er vorhandene Prozesse zwar zunächst noch nicht auf ihre Nachhaltigkeit einschätzen kann, aber die Pro-zesslandschaft oftmals objektiver und umfassender bewerten kann.
Weisungsfreiheit und BenachteiligungsverbotDas Spannungsfeld der Anforderungen des BDSG an die Geschäftsprozesse hinsichtlich des Umgangs mit personenbezogenen Daten und den Reaktionen im gesamten Personalstab hierauf machen es zwin-gend erforderlich, dass der DSB seine Unabhängig-keit in seiner Position bewahrt sieht. Da der DSB ei-nerseits weisungsfrei ist und andererseits auch keine Weisungsbefugnis hat, kann seine Stelle als unab-hängige Stabstelle betrachtet werden. Gerät der DSB zwischen Betriebsrat und Geschäftsführung oder et-wa in Konflikte zwischen einzelnen Fachbereichen, so ist es beinahe unmöglich, sich nicht nachfolgend der Kritik aller Beteiligten ausgesetzt zu sehen. Die Verschwiegenheit des DSB und seine Integrität sind
in diesem Zusammenhang von großer Bedeutung. Die Konzentration auf die Datenschutz-Sachverhal-te in jeder Streitfrage können zur Schadensbegren-zung dienen, jedoch hat hier der externe DSB sicher-lich den Vorteil des persönlich noch unbeteiligteren „Fremden“.
Durch die Umgebung jeglicher Hierarchiestufen soll es dem DSB möglich sein, ohne Kompetenz- und Ko-mmunikationsschwierigkeiten Datenschutzfragen direkt bei der Leitung der verantwortlichen Stelle zu platzie-ren. Er kann so notwendige Maßnahmen empfehlen und auf mögliche Verstöße hinweisen, um Schaden vom Unternehmen abzuwenden. Die Weisungsfreiheit bietet ihm die hierfür ausdrücklich geforderte Unabhän-gigkeit. Das Benachteiligungsverbot soll – zumindest in der Theorie – die neutrale Ausübung seiner Tätigkeit si-chern.
KostenfaktorBei kleineren und mittelständischen Unternehmen bedient man sich häufig aus ökonomischen Überle-gungen der Dienste eines externen DSB. Der abzu-sehende Aufwand hinsichtlich der Etablierung eines betrieblichen Datenschutzkonzeptes wird dabei zu-meist geringer wahrgenommen und damit mit weni-ger Kostenaufwand bewertet als eine innerbetriebli-che Bestellung an jährlichen Kosten mit sich bringen würde. Zwar erscheinen die Leistungen des externen DSB zunächst auffällig kostenintensiv, was jedoch un-ter anderem auf die Anforderung zurückzuführen ist, dass dieser natürlich all das Fachwissen bereits er-worben haben muss, sich auf eigene Kosten fortbilden muss, betriebswirtschaftlich, kommunikationspädago-gisch, juristisch und technisch versiert sein muss und die Vorschriften des BDSG und andere Vorschriften über den Datenschutz auf das konkrete Unternehmen anwenden können muss.
VertretungUm im Falle eines Ausfalls des DSB eine Erhaltung und Fortführung der Datenschutzaufgaben zu gewähr-leisten, ist ein namentlich benannter Vertreter des DSB erforderlich. Auch dieser ist bei der Erfüllung sei-ner Aufgaben von allen Organisationseinheiten zu un-terstützen. Aus diesem Grund sollte der Stellvertreter generell benannt und in die laufende Datenschutzor-ganisation aktiv eingebunden sein, um seine Fachkun-de und Zuverlässigkeit für den Vertretungsfall sicher-zustellen.
KündbarkeitNach der Novellierung wirkt der Kündigungsschutz des internen DSB gemäß § 4f Absatz 3 Satz 6 BDSG noch bis zu einem Jahr nach der Beendigung der Tä-tigkeit als Datenschutzbeauftragter fort. Insofern ist ein Arbeitnehmer, der als Teilbereich in einem Unter-
Der Weg zum eigenen Datenschutzbeauftragten
hakin9.org/de 41
nehmen Aufgaben des internen DSB wahrnimmt, auch nach Beendigung seiner Arbeit als DSB noch für ein Jahr weiter vor ordentlichen Kündigungen geschützt (vergleichbar einem Betriebsratsmitglied, siehe § 15 Absatz 1 Satz 2 KSchG). Es spielt dabei kaum eine Rolle, warum die Berufung endete. Eine berechtigte Abberufung aus wichtigem Grund ist genauso relevant wie ein persönlicher Amtsverzicht des internen DSB. Die Absicht einer unternehmensgruppenweit einheitli-chen Betreuung des Datenschutzes durch einen ex-ternen DSB ist jedoch kein wichtiger Grund im Sinne der novellierten Vorschrift, den intern bestellten DSB abzuberufen.
Welche Fähigkeiten sollte Ihr künftiger DSBunbedingt mitbringenIn Anknüpfung an die soeben erörterten Aspekte zur Selbsteinschätzung eines intern oder lieber extern zu bestellenden DSB wollen wir die genannten Anforde-rungen nun zusammenfassen und in Bezug auf die Auswahl Ihres künftigen DSB generell ansehen und die Fähigkeiten herausheben, die Ihr künftiger DSB hiervon unbedingt mitbringen sollte. Ein geeigneter DSB kann den Aufwand, den Sie als Unternehmen betreiben, mit Ihrer Rückendeckung durchaus in geldwerte Vorteile verwandeln.
Kommunikationsfähigkeit und pädagogisches Ge-schick bilden einen Grundbestandteil auf dem Weg zu einer zielführenden erfolgreichen Arbeit des DSB. Sie unterstützen den DSB maßgeblich bei der Ana-lyse von Prozesslandschaften im Gespräch mit ver-antwortlichen Personen und wissen schnell Reak-tionsverhalten und Rückmeldungen (oder Schweigen) zu interpretieren und zu kommunizieren. Nicht zuletzt sind auch Diskussionsrunden auf unterschiedlichen Hierarchieebenen proaktiv zu gestalten und in Schu-lungsmaßnahmen Eckpunkte rechtlicher Anforderun-gen, Verhaltensregeln und Motivation zum eigenver-antwortlich datenschutzkonformen Umgang mit den personenbezogenen Daten anschaulich und einpräg-sam zu vermitteln.
Um weiterführend sinnvolle und praktikable Maßnah-men definieren zu können und effizient in die Unterneh-mensprozesse einbinden zu können, sollte der DSB ne-ben seiner Kommunikationsfähigkeit auch in der Lage sein, methodisch, analytisch und strukturiert zu planen und zu handeln. Nur so gelangen Maßnahmen auch in den Status einer ergebnisorientierten und effizienten Datenschutzorganisation, die nachhaltig wirken und somit ein tragfähiges Netz von angewandtem Daten-schutz bilden kann.
Ausstrahlung und Reflexionsfähigkeit helfen dem DSB einerseits, die Türen in alle Bereiche des Unter-nehmens zu öffnen und eine konstruktive Atmosphäre der Zusammenarbeit mit dem Personalstab aufzuba-uen. Andererseits kann er rückblickend sein Vorgehen
so bewerten, dass künftige Datenschutzaufgaben noch zielführender und effektiver erfüllt werden können.
Nicht zuletzt sollte das Auftreten des DSB neben sei-ner Fachkenntnisse auch durch entsprechende Sen-sibilität im Umgang mit den Beschäftigten gekenn-zeichnet sein. Erst dann, wenn das Vertrauen der Mitarbeiter vorhanden ist, werden diese die wirklich wichtigen Aspekte zu den „gelebten“ Geschäftspro-zessen äußern. Ihre Mitarbeiter kennen die meisten Lücken Ihres Unternehmens genauer als man erwar-ten möchte. Sie benötigen aber eine Plattform, um die-se in einem geschützten Rahmen und ohne immer vor-handene Grundangst vor Konsequenzen auch äußern zu können.
Wie können Sie den richtigen externen DSBfür Ihr Unternehmen findenDer DSB in seiner Funktion besetzt eine Position, die eine multilaterale Vertrauensbasis voraussetzt. Er greift in der Regel in gewohnte oder sogar lieb gewor-dene („bewährte“?) Firmenabläufe ein, das bedeutet, er wird zu einem Teil des Unternehmens und ist zudem im Optimalfall an der strategischen Unternehmensfüh-rung beteiligt. Er beeinflusst – ebenso wie jede andere Person, die dem Unternehmen angehört – auf seine Weise die Arbeitsumgebung, ist Ansprechpartner quer durch alle Hierarchien und Bereich, dient darüber hi-naus als Schnittstelle zur zuständigen Aufsichtsbehör-de und ist üblicherweise auch im Kontakt mit Betro-ffenen, die ihre Rechte gewahrt sehen wollen. Gerade als externer Berater muss die Person also gut zum Un-ternehmen passen. Was sind die Qualitätsmerkmale, auf die Sie bei der Auswahl Ihres Datenschutz-Part-ners achten sollten, um lange Freude an dieser Per-son zu haben?
• Die Grundeinstellung ist der Faktor, mit dem Sie Ihre Auswahl beginnen sollten. Ein Berater, der Ih-nen gleich mit einem Bußgeld droht, statt mit Ihnen gemeinsam nach einer arbeitstauglichen Lösung des konkreten Problems zu suchen, hat das Grund-prinzip des Gesetzgebers, den Schutz der Privat-sphäre in der Verantwortung der Selbstkontrolle zu fördern, nicht verstanden und wird Sie aller Wahr-scheinlichkeit nach mehr kosten als Ihnen den Vor-teil in Form einer gut funktionierenden Datenschutz-organisation zu schaffen.
• Zielsetzung: Stimmen Ihre Erwartungen mit dem überein, was der Dienstleister Ihnen konkret an-geboten hat (z.B. Sprachkultur, Kommunika-tionsfähigkeit, Durchsetzungsvermögen, inhalt-liche Anforderungen, die Ihnen bereits bekannt sind)?
• Handelt es sich um eine Einzelperson oder ist nach-weislich eine Infrastruktur im Hintergrund vorhan-den, mit der Sie zumindest über eine ebenso fach-
7/201042
DATENSCHUTZ
kundige und vor allem zuverlässig verfügbare Stell-vertretung und ggf. ein entsprechendes Backoffice verfügen können?
• Vertrauen & Sympathie: Ihr externer DSB oder Berater ihres internen DSBs sollte Ihnen langfri-stig erhalten bleiben, damit Sie sein volles Lei-stungsspektrum nutzen können. Dieses wird durch die Vertrauensbasis freigesetzt, welche sich in einer konstruktiven Zusammenarbeit ent-wickelt.
• Bietet das Angebot Ihres externen Anbieters Ihnen ausreichend Transparenz in der Darste-llung des Leistungsumfangs und der tatsächli-chen Kosten? Sind diese Aufwandsabschätzun-gen und Kosten realistisch oder nur unschlagbar „günstig“?
• Kann der Dienstleister Fachkunde, das heißt eine qualifizierte Ausbildung, regelmäßige Weiterbildun-gen und einen stetigen Erfahrungsaustausch in we-nigstens einem Fachkreis nachweisen?
• Kann der Dienstleister Ihrer Wahl Ihnen im Sinne der gesetzlichen Zuverlässigkeit als DSB ein aus-reichendes Zeitpensum, akzeptable Reaktionszei-ten für Anfragen, einen qualifizierten Stellvertreter und ausreichende weitere erforderliche Ressour-cen zur Verfügung stellen?
• Welche methodisch-geplante Vorgehensweise zur Einführung einer adäquaten Datenschutzorgani-sation in ihrem Unternehmen hat der Dienstleister Ihnen vorgestellt? Verfügt er über ein Konzept, wie er den Datenschutz bei Ihnen einführen und eta-blieren könnte?
• Stellt er sich im persönlichen Gespräch, das ko-stenlos sein sollte (natürlich ist ein freiwilliger Fahrt-kostenzuschuss oder eine hierfür stellvertretende Geste eine partnerschaftlich faire Geste), auf Sie und Ihre Wünsche und Bedürfnisse ein? Ist er be-reit, sich Ihre Vorstellungen genau anzuhören und diese in seine Vorstellung miteinzubeziehen, soweit möglich?
• Besitzt der Anbieter so viel Flexibilität, dass er von einem bereits benannten Plan an einigen Punkten Abstand nehmen kann, wenn es Ihrem individuellen Unternehmen besser gerecht wer-den kann?
• Kann er über den Tellerrand des Datenschutzes hinaussehen? Es gibt eine Vielzahl von Gesetzen und Regelungen, die neben dem BDSG zu beach-ten sind. Darüber hinaus sollte ihr DSB auch öko-nomisch und unternehmensbezogen denken, um die vom Gesetzgeber vorgesehene Angemessen-heit notwendige Maßnahmen einschätzen und be-rücksichtigen zu können.
• Verfügt der Dienstleister über eine fachbezogene Versicherung mit ausreichender Deckung im Falle einer Datenschutzpanne?
Statt einem Fazit: Wie Sie Ihrem DSB den Weg ebnen und so mehr von ihm haben könnenGestatten Sie mir als langjährigen Datenschutzbeauf-tragten aus Leidenschaft für wirtschaftlichen und all-tagstauglichen Datenschutz abschließend ein paar Ge-danken aus meinem persönlichen Nähkästchen. Sie können mit sehr wenig Aufwand die Arbeit Ihres inter-nen oder externen DSB mit kleinen Gesten exzellent unterstützen und somit Ihren unternehmerischen Bene-fit enorm steigern:
• Erklären Sie spätestens jetzt den Datenschutz offiziell zur Chefsache. Sie ebnen Ihrem DSB da-mit den Weg auf eine Weise, für die es keine Al-ternative an Effektivität, Wirksamkeit und Nachhal-tigkeit des Datenschutzes in Ihrem Unternehmen gibt. Wenn Sie nichts vom Datenschutz wissen wollen, den Sie über alle Belange zu entscheiden haben, wie soll Ihr Personalstab dann die Daten-schutzziele verantwortungsbewusst verfolgen, die Sie verleugnen? Die Einladung zu Betriebsausflü-gen und Firmenfeiern ist nicht nur eine nette ko-llegiale Geste, sondern sie signalisiert den Schul-terschluss der Geschäftsleitung mit dem DSB und hilft, dass Datenschutz nicht nur auf dem Papier besteht, sondern wie selbstverständlich von allen Beschäftigten gelebt wird. Darüber hinaus fördern informelle Ereignisse den lockeren Austausch und dienen als grundlegende vertrauensbildende Maß-nahme.
• Gönnen Sie Ihrem DSB ein klares „Plus“ an In-formationen, er wird Ihnen sicherlich sagen, wenn es zu viel wird und wird Ihr Budget da-durch nicht verschwenden, aber nur so kann er den Überblick über die Unternehmensaktivitäten behalten.
• Geben Sie Ihrem DSB Raum für fundierte Ant-worten. Bei über 200 Gesetzen und Verordnun-gen, unzähligen Urteilen zu noch mehr sehr spe-ziellen Fragestellungen, die gar nicht immer so einfach zu finden sind, ist es kein Wunder, dass Ihr DSB häufig erst einmal keine schnelle Ant-wort präsentieren kann, sondern erst einmal re-cherchieren möchte. Ihr Unternehmen ist einzig-artig, und so wird es nur wenige Standardant-worten auf Datenschutzfragen geben, die zu Ih-rem Betriebsalltag passen. In der Regel hat der DSB in seiner Berufserfahrung bereits so viel Wi-ssen angesammelt, dass er meist schon eine Tendenz-Antwort im Hinterkopf hat, Ihnen aber keine Halbwahrheiten, sondern belegte Fakten anbieten möchte.
• Tragen Sie ihm Fehler, die aus einer spontanen oder allzu schnellen Antwort entstanden sind, an-gesichts der Komplexität seines Aufgabenfeldes nicht nach, sondern besprechen Sie gemeinsam,
Der Weg zum eigenen Datenschutzbeauftragten
hakin9.org/de 43
wie solche Fehler vermeidbar werden. Oft ent-stehen diese einfach aus der besten Absicht he-raus, Ihnen mehr zu bieten, als ein DSB an sich in der von Ihnen erwarteten Kürze der Reaktionszeit überhaupt leisten kann.
• Fragen Sie Ihren DSB gelegentlich, was er sich zur optimalen Erfüllung eines angemessenen Datenschutzes wünschen würde. Sie werden staunen, wie klein diese Wünsche oft sind – und welch großartige Wirkung deren Erfüllung auf die Akzeptanz Ihrer Beschäftigten, auf die Mo-tivation und Durchsetzungskraft Ihres DSB und damit auf die angestrebten Arbeitsergebnisse haben.
• Stellen Sie einen bezifferten Datenschutz-Etat zur Verfügung. Ein seriöser DSB wird Ihre Groß-zügigkeit nicht ausnützen, aber 1-2 Fachkongre-sse zu unterschiedlichen Themen, die regelmäßi-ge (z.B. quartalsweise) Teilnahme an einem Kreis zum Erfahrungsaustausch mit Kollegen („Er-fa-Kreis“) und ein Mindestmaß an Fachliteratur (z.B. 1-2 Kommentare zu den wichtigsten Gese-tzen, die Ihr Unternehmen betrifft, 1-2 Fachma-gazine, Fachbücher zu Spezialthemen oder ar-beitsunterstützende Software) sollten selbstver-ständlich sein, schließlich haben Sie Ihrem DSB eine Stabsstelle anvertraut. Die genannten Po-sitionen betreffen in erster Linie Ihren intern be-stellten DSB, doch auch der externe sollte seine Kommentare nicht immer mit sich herumtragen müssen.
Betrieblicher Datenschutz ist eine interessante Auf-gabe in jedem Unternehmen, und die Konsequenzen bei Pannen wiegen unverhältnismäßig schwer im Vergleich zum Aufwand, den ein guter DSB benötigt, um ein vernünftiges nachhaltiges Datenschutzma-nagement aufzusetzen. Die Kosten halten sich in der Regel in einem überschaubaren Rahmen, da Daten-schutzmaßnahmen meist nur in sehr akuten Fällen sofort getroffen werden müssen. Eine tragfähige Da-tenschutzorganisation darf sich etwas Zeit nehmen, und dann wächst sie zusammen mit der Akzeptanz Ihrer Beschäftigten und trägt so zu einem deutlichen Mehr an Sicherheit für Ihre personenbezogenen und unternehmenssensiblen Daten und Informationen bei.
Verwendete und weiterführende Quellen:
• Gola, Schomerus: Kommentar zum Bundesdaten-schutzgesetz; ISBN 3406555446;
• Bundesdatenschutzgesetz in der nichtamtlichen Fassung der GDD mit hervorgehobenen Änderun-gen der drei Novellierungen (https://www.gdd.de/.../BDSG-Gesetzestext%20mit%20Novelle%20I-III.
pdf);• Ehmann: Datenschutz kompakt; ISBN 978-3-8245-
1920-0;• Erfahrungsaustausch mit dem Bayerischen Landes-
amt für Datenschutzaufsicht;• Gola: GDD-Seminar „Novellierung des BDSG
2009“;
KERSTIN BLOSSEYDie Autorin ist Dipl. Sozialpädagogin (FH), Dipl. Informations-Wirtin (FH) und Gründerin von Blossey & Partner, einem klei-nen Unternehmensberatungshaus, das sich ganz auf den un-ternehmerischen Datenschutz spezialisiert hat. Zum Kunden-kreis zählen deutsche wie international angesiedelte mittel-ständische Unternehmen, Konzerne und Einrichtungen aus so unterschiedlichen Branchen wie Druck & Medien, IT- An-wendungen & IT-Sicherheit, Telekommunikation, Verlagswe-sen, Softwareindustrie, Automotive, Gesundheitswesen, For-schung & Lehre, Tourismus, produzierendes Gewerbe und die öff entliche Hand. In gelegentlichen Fachbeiträgen und Vor-trägen vermittelt die Autorin schwerpunktmäßig wirtschaft-lich angemessene und arbeitstaugliche Möglichkeiten und Wege des praxisorientierten Datenschutzes.
Aktueller Rückblick zu den Datenschutz-Schlagzeilen in der Online-Presse:Das Redaktionsteam von Blossey & Partner stellt jede Wo-che neu die Schwerpunktthemen rund um die heißen Daten-schutzthemen für Sie zusammen unter http://www.blossey-partner.de („News“, unten rechts). Klicken Sie doch mal hi-nein, das Archiv reicht inzwischen bis 2005 zurück und bietet sogar eine Suchfunktion. Viel Spaß beim Stöbern.
Datenschutz ist EU-weit gesetzliche Anforde-
rung. Wir sorgen für die Erfüllung rechtlicher
Vorschriften und kümmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen, auch international.
www.blossey-partner.de
Recommended Sites
Securitymanager.de ist eine Produktion des
Online-Verlag FEiG & PARTNER. Seit dem
Start hat sich Securitymanager.de zu einem
führenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhängiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de
Pericom base camp IT-Security: Unser Ziel ist
es, unsere Kunden vor möglichen Gefahren
für Ihre IT-Infrastruktur bestmöglich zu schüt-
zen. Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir, durch
die Implementierung von Security-Lösungen,
Schutz vor konkreten Gefahren.
www.pericom.at
Dieses Projekt hat sich zum Ziel gesetzt, durch
ein unabhängiges Informationsangebot möglichst
viel relevantes Wissen über Betriebssysteme
bereitzustellen. Dazu werden möglichst viele
Informationsquellen einbezogen.
www.operating-system.org
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges, IT-Quiz, Web-Bibliothek, Multi-
media-Center & vielen weiteren Features.
www.happy-security.de
JMIT bietet Ihnen individuelle Lösungen für Ihr
Unternehmen an. Angefangen von Instand-
haltung und Wartung von einer EDV-Infrastruktur
bis hin zur Entwicklung von Software. Die Sicher-
heit Ihrer Daten wird bei den Tätigkeiten genau
berücksichtigt.
www.johannesmaria.at
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhängigen Testhäuser
für Antiviren-Software.
www.av-comparatives.org
Die Seed Forensics GmbH bietet für Strafver-
folgungsbehörden professionelle Unterstützung
in den Bereichen der Datensicherstellung und
Datenträgerauswertung. Selbstverständlich
entsprechen unsere Mitarbeiter, unser tech-
nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: [email protected]
Anonmail bietet Sie frei verschlüsselte und
sichert webmail an. Wir kombinieren den Kom-
fort von webmail mit maximaler Sicherheit.
www.anonmail.de
Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
Administratoren und Netzwerkprofis.
www.easy-network.de
Hier findest Du alles, was das Herz eines
Computerfreaks höher schlagen lässt: Geek
Wear mit intelligenten Sprüchen, eine riesige
Auswahl Gadgets und natürlich auch viele
Hacker Tools.
www.getDigital.de
Löchergibt es überall.
Sie wollen mehr wissen? Tel.: +49 (0) 98 56 - 92 19 991 · www.blossey-partner.de
Datenschutz-Dienstleistungen für UnternehmenEntlastung · Resultate · Mehrwert
Soziale Netzwerke geraten immer häufi -ger durch mangelnden Datenschutz in die Schlagzeilen. Es gilt, sorgfältig abzuwägen, welche Informationen tatsächlich veröffent-
licht werden können. Dies gilt nicht nur für Privates, etwa Fotos, Hobbies und persönliche Überzeugun-gen. Auch mit unternehmenssensiblen Daten muss verantwortungsbewusst umgegangen werden.
Wir spüren die Datenschutz-Löcher in Ihrem Unter-nehmen auf, entwickeln praxistaugliche Lösungen, schulen Ihre Mitarbeiter und helfen bei der Einhal-tung der datenschutzrechtlichen Bestimmungen.
z.B. mangelnder Datenschutz in
Sozialen Netzwerken
Recommended Companies
SEC ConsultSEC Consult ist der führende Berater
für Information Security Consulting in
Zentraleuropa. Die vollständige Unab-
hängigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
ssen externe/interne Sicherheitsaudits,
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
SEC Consult
Tele-Consulting GmbHVom BSI akkreditiertes Prüflabor für IT-
Sicherheit, hakin9 und c’t Autoren, jah-
relange Erfahrung bei der Durchführung
von Penetrationstests und Security-Au-
dits, eigener Security Scanner „tajanas”,
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte
ISO 27001-Auditoren, VoIP-Planung
und -Security
www.tele-consulting.com
B1 SystemsDie B1 Systems ist international tätig
in den Bereichen Linux/Open Source
Consulting, Training und Support. B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster.
www.b1-systems.de
x-cellent technologiesx-cellent technologies ist als IT-Dienst-
leister und Beratungsunternehmen mit
den Schwerpunkten IT-Security, Netz-
werkmanagement und Anwendungs-
entwicklung tätig. Unsere IT-Security-
Leistungen sind: Audits, Penetrationstests,
IT-Securitymanagement, IT-
Grundschutz, ISO 27001
www.x-cellent.com
art of defence GmbHart of defence entwickelt Lösungen im
Bereich der Web-Anwendungs-Sicher-
heit. Unsere Software schützt Websites
und Datenbanken gegen Hacker-An-
griffe auf Anwendungs-Ebene wie z.B.
Phishing. Damit schließen wir die derzeit
größte Sicherheitslücke von E-Business-
Systemen. Egal ob Web-Farm oder klei-
ner Online-Shop.
www.artofdefence.com
Protea NetworksProtea ist spezialisiert auf IT-Security-
Lösungen: Verschlüsselung, Firewall/
VPN, Authentifizierung, Content-Filte-
ring, etc. Wir bieten umfassende Bera-
tung, Vertrieb von Security-Hard- und
Software, Installation und umfangreiche
Dienstleistungen (z. B. Konzeption, Trai-
nings). Protea setzt auf Lösungen der
Markt- und Technologieführer und hält
dafür direkten inhouse-Support bereit.
www.proteanetworks.de
secadmsecadm ist durchtrainierter Spezialist für
Airbags, ABS und Sicherheitsgurte in der
IT. Zehn IT-Sicherheitsexperten mit 70
Mannjahren Erfahrung beraten, entwi-
ckeln und implementieren IT-Lösungen
für Kunden weltweit. Der Fokus liegt da-
bei auf Themen wie Prozess-Optimierung
und Security-Management. Risiko-Analy-
se, die Sicherheitsberatung, Auditing, Se-
curity-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.secadm.de
Blossey & Partner
Consulting DatenschutzbüroDatenschutz ist EU-weit gesetzliche An-
forderung. Wir sorgen für die Erfüllung
rechtlicher Vorschriften und kümmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen,
auch international. Wir erledigen alle er-
forderlichen Aufgaben, die Fäden behal-
ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.blossey-partner.de
secXtreme GmbHschützt Ihre Web-Anwendungen bis
auf Applikationsebene. Dazu gehört
sowohl die Prüfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen für Sicherheit im
Entwicklungsprozess und Schutzlö-
sungen (Web Application Firewalls) bei
Großunternehmen und dem gehobenen
Mittelstand.
www.sec-Xtreme.com
MabuntaDie mabunta GmbH agiert als hoch-
spezialisierter und kompetenter Partner
rund um IT-Security- und Netzwerk-Lö-
sungen. Wir unterstützen bei IT-Sicher-
heitsfragen in allen Unternehmens-
bereichen, verbinden Wachstum mit
sicherer Kommunikation.
Alles in allem- mabunta „one-face-to-
the-customer“, Ihr Spezialist in Fragen
der IT-Sicherheit.
www.mabunta.de
Recommended Companies
OmicronOmicron ist auf Sicherheit und Analysen
von Netzwerken und Systemen spe-
zialisiert und pflegt ein sehr sorgfältig
zusammengestelltes Service- und Lö-
sungsportfolio, um Firmen bei zentralen
und sicherheitskritischen Problemstellun-
gen kompetent unterstützen zu können.
Entsprechende Kurse und Ausbildungen
ergänzen das Angebot.
www.omicron.ch
SecureNet GmbH, MünchenAls Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen: Anwendungs-Pentests, Sour-
cecodeanalysen, Secure Coding Gui-
delines, Beratung rund um den Software
Develoment Lifecycle. Tools: Application
Firewalls, Application Scanner, Fortify
SCA/Defender/Tracer.
www.securenet.de
underground_8
secure computing gmbhWir entwickeln und vertreiben securi-
ty appliances für die Bereiche Unified
Threat Management, Traffic Shaping
und Antispam. Unsere Lösungen sind
hardwarebasiert und werden über Dis-
tributoren, Reseller und Systemintegra-
toren implementiert und vertrieben.
www.underground8.com
OPTIMAbit GmbHWir sind Spezialisten für Entwicklung
und Security. Wir sichern Java, .NET
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Dien-
ste umfassen Audits, Code Reviews,
Penetrationstest, sowie die Erstellung
von Policies. Zusätzlich bieten wir Semi-
nare zu sicherheitsrelevanten Themen.
www.optimabit.com
m-privacy GmbHIT-Sicherheitslösungen – funktional und
einfach zu bedienen!
So präsentieren sich die von m-privacy
entwickelten TightGate™-Server, z.B.
TightGate™-Pro mit Datenschutz-Gü-
tesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
gezielten Angriffen!
www.m-privacy.de
NESECNESEC ist Ihr Spezialist für Penetra-
tionstests, Sicherheitsanalysen und
IT-Security Counsulting. Das NESEC
Pentest-Team unterstützt Sie bei Si-
cherheitsprüfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
Mitarbeiter und zertifizieren Ihr Unter-
nehmen nach ISO 27001.
www.nesec.de
Seed Forensics GmbHDie Seed Forensics GmbH bietet
für Strafverfolgungsbehörden profe-
ssionelle Unterstützung in den
Bereichen der Datensicherstellung
und Datenträgerauswertung. Selbst-
verständlich entsprechen unsere
Mitarbeiter, unser technisches Equip-
0ment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.
www.seed-forensics.de
Das Ziel für IT-Sicherheits-Verantwortliche:
it·sa Nürnberg, 19.-21.Okt.2010
Nürnberg, 19.- 21.Okt. 2010
it-sa 2010: Der Treffpunkt der IT-Security Branche
Bachelor-Studiengang IT SecurityMaster-Studiengang Information Security
Das Studium vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruk-tur. Die Kombination aus Technik- und Managementwissen ist in Österreich einzigartig. Sie bildet die Grundlage für die zukünftigen Security-ExpertInnen im Unternehmen, die sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb beherrschen als auch mit Management-Aufgaben vertraut sind.
IT-Infrastruktur sichern und managen.
Der Master-Studiengang Information Security ist als konsekutiver Studiengang auf dem Bachelor- Studiengang IT Security aufgebaut.Im Masterstudiengang wird der praktische Kompe-tenzerwerb durch fächerübergreifende Problemstel-lungen, Forschungsseminare, Projekte und der wissenschaftlichen Abschlussarbeit (Diplomarbeit) sichergestellt.Diese 2-stufi ge Ausbildung macht die Absolvent-Innen zu gefragten ExpertInnen.
Berufsfelder: Sicherheitsbeauftragte/r (Chief Information- Security-Offi cer)
Compliance Offi cer, Risikomanager IT-Governance ExpertIn Datenschutzbeauftragte/r AuditorIn IT Security Solution Engineer/Architect Security-Consultant IT Infrastructure Engineer Security Quality Assurance ManagerIn Software Architect IT-Solution Architect
Die AbsolventInnen sind qualifi ziert, leitende undplanende Tätigkeiten auszuführen.
Immer mehr Prozesse eines Unternehmens werden EDV-unterstützt abgebildet und abgewickelt. Computerviren, Hacker, Datenverluste, Webattacken usw. stellen somit eine Bedrohung für die IT-Infra-struktur eines Unternehmens dar. Immer wieder hört man, dass hochsensible Daten verloren gehen oder in falsche Hände geraten. Bei einem Ausfall der IT-Infrastruktur können wichtige Tätigkeiten nicht mehr erledigt werden, was zu einem beträchtlichen fi nanziellen Schaden für das Unternehmen führen kann.Daraus resultierend ergibt sich eine große Nachfrage an Security-ExpertInnen, die sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb aufweisen, als auch mit Management-Aufgaben vertraut sind.
Ausbildungschwerpunkte:
IT-Betrieb Netzwerktechnik Sicherheitstechnologien Sicherheitsmanagement und Organisation Transferable Skills Software-Engineering
Fachhochschule St. Pölten GmbHMatthias Corvinus-Straße 15, 3100 St. Pölten, AustriaT: +43/2742/313 228 - 632, E: [email protected], I: www.fhstp.ac.at
Mit dieser Kombination aus Technik- und Management-wissen zum/zur gesuchten SicherheitsexpertIn!
Im Rahmen des Studiums können folgendeZertifi zierungen erworben werden:
CCNP – CISCO Career Certifi cations & Paths
PHSE – PHION Security Engineer
MCITP – Microsoft Certifi ed IT Professional
ITIL V3
Get certifi ed and you‘re on the spot!
Zertifi zierungen
Studium
