hakin9_04_2010_DE

http://www.psw.net/

http://www.dpunkt.de/

4 HAKIN9 5/2009

jetzt ist es soweit. Wir haben die Ehre, Ihnen unsere erste Online Hakin9 Ausgabe zu präsentieren. Ein paar Wörter über das neue Konzept: Hakin9 wird ab Mai 2010 als Monatsmagazin und freie Digital-Publikation erscheinen.

Von nun an hat jeder Leser die Möglichkeit, unser Heft jeden Monat kosten-los downzuloaden. Um das Magazin beziehen zu können, müssen Sie sich für unseren Newsletter auf www.hakin9.org/de registrieren. Bei jedem Download tragen Sie Ihre E-Mail-Adresse ein und Sie werden zum direkten Download wei-tergeleitet. Nichts einfacher!

Wir möchten Sie gleichzeitig informieren, dass das Monatsmagazin 60 Seiten zählen wird; der Inhalt und Charakter der Hakin9 Ausgabe werden sich aber nicht ändern.

Das Hauptthema unserer ersten Online Ausgabe ist Unternehmenssi-cherheit. In dieser Hakin9 Ausgabe fi nden Sie interessante Beiträge über u.a. Honeynet-Systeme, Disclosure Policies, Absicherung mobiler Datenträger.

Wir hoffen, dass unsere neue Online Ausgabe Ihre Zustimmung fi ndet. Jegliche Anmerkungen und Anregungen richten Sie bitte an: [email protected]

Vielen Dank für Ihre Unterstützung!

Adrianna WitkowskaChefredakteurin

LIEBE HAKIN9 LESER,

herausgegeben vom Verlag:Software Press Sp. z o. o. SK

Geschäftsführer: Paweł Marciniak

Herausgeber: Ewa Łozowicka [email protected]

Chefredakteur: Adrianna [email protected]

Redaktion/Betatester: Karolina Sokolowska, Michael R. Heinzl, Marko Rogge, Chris John Riley, Dr. Stefan M. Ritter, Kerstin Blossey, Ernst Hofmann

Produktion: Andrzej Kuca

DTP: Przemysław Banasiewicz

Umschlagsentwurf: Agnieszka MarchockaWerbung: [email protected]

Anschrift: Software Press Sp. z o.o. SKul. Bokserska 1, 02-682 Warszawa, PolandTel. +48 22 427 36 56, Fax +48 22 244 24 59www.hakin9.org/de

Die Redaktion bemüht sich, dafür Sorge zu tragen, dass die in der Zeitschrift sowie auf den begleitenden Datenträgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfähig sind, übernimmt jedoch keinerlei Gewähr für derer Geeignetheit für bestimmte Verwendungszwecke. Alle Markenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befi nden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenümer und dienen nur als inhaltliche Ergänzungen.

Anmerkung!

Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEßLICH in eigenen Rechnernetzen zu testen! Die Redaktion übernimmt keine Haftung für eventuelle Schäden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der darge-stellten Techniken kann auch zum Datenverlust führen!hakin9 erscheint in folgenden Sprachversionen und Ländern: deutsche Version (Deutschland, Schweiz, Österreich, Luxemburg), französische Version (Frankreich, Kanada, Belgien, Marokko), spanische Version (Spanien, Portugal), polnische Version (Polen), eng-lische Version (Kanada, USA)

�

InhaltsverzeIchnIs

Kurznachrichten 6Interessante Nachrichten aus der Welt der IT-Sicherheit

Für EINSTEIgErDisclosure Policies 10Michael R. HeinzlWie am Besten mit gefundenen Sicherheitslücken umge-gangen werden sollte und welche bzw. wie viele Informatio-nen diesbezüglich veröffentlicht werden sollten, gilt seit je-her als umstrittenes Thema und zweischneidiges Schwert.

Unternehmenssicherheit Das Ergebnis komplexer Prozesse 14Marko RoggeUnternehmenssicherheit sollte als ganzes betrach-tet werden. Der entscheidende Ansatz hierbei ist, dass ein Unternehmen existiert, um gewinne zu erwirtschaf-ten und am Markt positioniert zu bleiben, ein geschäfts-zweck. Daraus resultieren geschäftsabläufe, die vollstän-dig durch die EDV gestützt und durchführbar sind. Ohne die EDV (Elektronische Daten Verarbeitung) wären viele Unternehmen heute nicht am Markt und würden auch keine starke Marktposition inne haben.

ANgrIFFUser Enumeration mit Burp Suite 22Chris John RileyEs vergeht scheinbar kein Tag, ohne dass Webseiten gefunden werden, welche gegen User Enumeration At-tacken verwundbar sind. Egal, ob es sich dabei um klei-nere oder größere Webapplikationen handelt, viele We-bentwickler sind sich des Unterschiedes nicht bewusst, den Anwendern bei Fehlern hilfreiche rückmeldungen oder zu viel Information preis zu geben.

ABWEhrQuanten-Kryptografie (Teil 3) Schlüsselaustausch-Protokolle 38Dr. Stefan M. RitterSchlüsselaustausch-Protokolle der Quanten-Kryp-tografie beruhen auf zwei verschiedenen Prinzipien, zum Einen auf der Präparierung/Messung von Qubits und zum Anderen auf der Verschränkung eines Qubit- Paares. BB84, als Vertreter der ersten Kategorie, ist das erste und immer noch wichtigste Quanten-Protokoll.

4/2010

� �/2010

DATENSchUTzHeißes Eisen nicht nur aus Datenschutz-Sicht: Die Absicherung mobiler Datenträger 46Kerstin BlosseyJeder kennt sie, jeder benutzt sie: mobile Datenträger („mobile devices“). Sie sind aus der digital-globalen Kommunikation nicht mehr wegzudenken und überdies ungemein nützlich und vielfach handlich. Doch je han-dlicher, desto größer ist die gefahr, so ein niedliches Teil irgendwo zu vergessen, zu verlieren oder zu ver-legen.

Honeynet-Systeme – quattroSEC GmbH 52

Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden Maga-zin seinem Profil treu bleibt.

Unser Magazin dient ausschließlich den Er-kenntniszwecken. Alle im Magazin präsentierten Methoden sollen für eine sichere IT fungieren. Wir legen einen großen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Bekämpfung von IT Kriminalität.

��

��

��

��

��

��

��

��

http://www.datenambulanz.de/

4/2010�

News

workshop zum sicheren einsatz von RFID-TechnikDas BSI erweitert die Technischen Richtlinien für den sicheren RFID-Einsatz um das Einsatzgebiet „elektro-nischer Mitarbeiterausweis“

Bonn, 28.04.2010. Am 19. Mai 2010 veranstaltet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen weiteren öffentlichen Workshop zur Reihe der „Tech-nischen Richtlinien für den sicheren RFID-Einsatz“. In der Veranstaltung wird der Entwurf einer neuen Richtlinie zum Einsatzgebiet „elektronischer Mitarbeiterausweis“ vorge-stellt. Der Workshop findet von 10.00 bis 14.00 Uhr im Bon-ner Gustav-Stresemann-Institut (www.gsi-bonn.de) statt.

Innerhalb der letzten Jahre hat sich der Einsatz der so genannten Radio Frequency Identification Technologie (RFID) stark verbreitet. Zur Erhöhung des IT-Sicherhe-itsniveaus für typische RFID-Einsatzfelder hat das BSI Technische Richtlinien (TR) formuliert, die Maßnahme-nempfehlungen für den jeweiligen Technikeinsatz enthal-ten. Die TR betreffen das Ticketing beim Zutritt zu Veran-staltungen und bei der Nutzung öffentlicher Verkehrsmittel, den Einsatz von Elektronischen Produktcode-konformen Transpondern in der Handelskette sowie in der neusten Version auch elektronische Mitarbeiterausweise.

Ziel des Workshops ist es, die Arbeitsergebnisse ei-ner interessierten Öffentlichkeit vorzustellen und den Teilnehmern die Möglichkeit zur Kommentierung der Richtlinienwerke zu geben. Dazu können die Teilne-hmer mit den Autoren der Richtlinien diskutieren und Fragen stellen. Die englische Entwurfsfassung der TR „Electronic Employee ID Card“ wird den interessierten Teilnehmern vorab auf den Internetseiten des BSI zum Download bereitgestellt:

https://www.bsi.bund.de/cae/servlet/contentblob/ 991434/publicationFile/62786/TG_03126_5_Applica-tion_area_Electronic_Employee_ID_Card.pdf

Die Teilnahme an der Veranstaltung ist kostenfrei, um Anmeldung per E-Mail wird bis zum 12. Mai 2010 an [email protected] gebeten.

skype-Blocker: gateprotect veröffentlicht neues sicherheits-PatchZum Schutz des Firmennetzes

Hamburg, 22.04.2010 – Die gateProtect AG hat jetzt ein Sicherheits-Patch für seine Unified Threat Management (UTM)-Appliances veröffentlicht, mit dem sich zuverlässig die Nutzung von Skype blockieren lässt. Damit verhindern Unternehmen unerwünschtes Chatten und Telefonieren während der Arbeitszeit und schließen gleichzeitig ein mögliches Einfallstor für Schadprogramme. Das Patch un-ter der Bezeichnung HU-01050 ist ab sofort verfügbar und wird automatisch auf allen gateProtect-Firewall-Systemen ab Version 8.6 über den Update-Server eingespielt.

Die Nutzung von Instant Messaging-Programmen wie Skype, ICQ oder AOL Instant Messenger ist in fast allen

Unternehmen unerwünscht. Sie halten die Mitarbeiter von der Arbeit ab und stellen mit der Möglichkeit, Da-teien auszutauschen, ein Risiko für jedes Firmennetz dar. Skype ist dabei ein besonders hartnäckiger Mes-senger, da er auf proprietären Protokollen basiert, die sich unter anderem durch ihre Verschlüsselung der In-spektion durch Proxys und Firewalls entzieht.

Skype ist bekannt dafür, durch Firewalls und NAT-Gateways arbeiten zu können. Für die Administratoren ist es seit jeher ein Kampf Skype zu blockieren. Da für die Installation von Skype keine Administrationsrechte erforderlich sind, ignorieren die meisten Mitarbeiter die Sicherheitsvorgaben des Unternehmens und nutzen Skype ohne die IT-Abteilung zu informieren. Dies hat zur Folge, dass die Unternehmen faktisch keine Kontrol-le über die via Skype übermittelten Daten haben, sagt Dennis Monner, Vorstandsvorsitzender der gateProtect AG. Für die Verbindung ins Internet nutzt Skype Port 80 (HTTP) und Port 443 (HTTPS), die für das Surfen no-twendig und deshalb oft freigeschaltet sind. Ein anderer Weg führt Skype über hohe Ports (>1024) ins Internet.

gateProtect Aktiengesellschaft GermanyDie gateProtect Aktiengesellschaft Germany ist ein

führender Hersteller von IT-Sicherheitslösungen im Bereich der Netzwerksicherheit. Die primären Produkte sind xUTM Applliance-, Firewall-, Managed-Security- sowie VPN-Client-Systeme.

spam-Belastung in Unternehmen steigtDeutsche Unternehmen setzen zur Spam-Bekämpfung zunehmend auf Managed Services – Fast 50 Prozent haben durch Spam bereits wichtige E-Mails verloren

Berlin, 7. April 2010 – Die Spam-Belastung in deu-tschen Unternehmen ist im letzten Jahr deutlich ge-stiegen. Dies ergab eine Umfrage, die der führende deutsche E-Mail-Sicherheitsspezialist eleven im Rah-men der CeBIT unter mehr als 500 IT-Verantwortlichen deutscher Unternehmen durchführte. 63,6 Prozent der Befragten gaben an, ihr Spam-Aufkommen habe sich in den vergangenen 12 Monaten deutlich erhöht. Im Vor-jahr waren nur 44,2 Prozent dieser Meinung. Lediglich 6,7 Prozent berichteten von einem rückläufigen Spam-Aufkommen (2009: 15,7 Prozent).

Bei der Bekämpfung von Spam geht der Trend klar in Richtung Outsourcing: Gab 2009 nur rund ein Drittel (35,1 Prozent) der Befragten an, ihre Anti-Spam-Lö-sung als Managed Service ausgelagert zu haben oder dies innerhalb der nächsten 12 Monate zu planen, ist es 2010 bereits mehr als die Hälfte (53,3 Prozent). Bei der Auswahl der richtigen Lösung zählt neben der Spam-Erkennungsrate vor allem die False-Positive-Rate (31,0 Prozent). Eine zunehmend wichtigere Rolle spielen aber auch wirtschaftliche und Kostenaspekte: So nannten 23,8 Prozent die Verringerung des Wartungs- und Pfle-geaufwands und 23,4 Prozent die Schonung der IT-Ressourcen als zentrale Entscheidungskriterien.

https://www.bsi.bund.de/cae/servlet/contentblob/

Erkennen Sie den Unterschied?

+++ www.psw.net +++ www.psw.net +++ www.psw.net +++

http://www.psw.net/

4/2010�

News

und IT-Compliance mit internen Policies und externen Vorschriften demonstrieren. „IT-Governance-, Risiko- und Compliance-Management kann die Zuordnung von Kontrollen zu spezifischen IT-Ressourcen erleichtern und die Sammlung und Bereitstellung von Informatio-nen automatisieren, die zeigen, inwieweit diese Kon-trollen durchgeführt werden“, so eine Gartner-Studie. Daher kann es genutzt werden, um Unternehmen bei externen Prüfungen zu besserem Abschneiden zu ver-helfen, die Kosten der Compliance-Berichterstattung zu reduzieren und die Fähigkeit des Unternehmens zum Umgang mit IT-Risiken zu verbessern.

IT Policy Compliance for Dummies beschreibt den Compliance-Prozess in fünf Abschnitten:

• Stepping Into the World of IT Policy Compliance gibt eine grundlegende Einführung in die Bedeu-tung von Policy Compliance und ihre Beziehung zur Informationstechnologie.

• Defining the Problem of IT Policy Compliance führt die Leser durch das Dickicht der Vorschriften und Standards und zeigt auf, welche Bedeutung sie für die Policy Compliance haben.

• Best Practices for IT Policy Compliance Manage-ment bietet einen schnellen Überblick über die Ker-npunkte der IT Policy Compliance, einschließlich zehn Best Practices.

• Looking at Automation in IT Policy Compliance zeigt den Lesern, wie Automatisierung ihrem Unter-nehmen helfen kann, Compliance-Anforderungen zu erfüllen und gleichzeitig Geld zu sparen.

• Ten Tips for IT Policy Compliance beschreibt die Schritte, die notwendig sind, um die Einhaltung von Vorschriften und Standards gewährleisten.

Dieses Buch basiert auf Best Practices in der IT-Bran-che, die wir im Rahmen unserer Zusammenarbeit mit Unternehmen bei IT-Compliance-Initiativen zusammen-tragen konnten, so Alderman und Creech. Wir hoffen, dass der Band als wertvolle Ressource dienen wird, die Unternehmen zu einem besseren Verständnis für IT Po-licy Compliance verhilft und ihnen die Einleitung der nö-tigen Schritte erleichtert, um Audits zu denjenigen Vor-schriften zu bestehen, die sie erfüllen müssen.

IT Policy Compliance for Dummies ist der dritte Band, den Qualys in der Dummies-Reihe von John Wiley & Sons veröffentlicht. Um mehr über diese Publikationen zu erfahren oder kostenlose Exemplare herunterzula-den, besuchen Sie bitte:

• IT Policy Compliance for Dummies: http://www.qua-lys.com/itpcfordummies

• PCI Compliance For Dummies: http://www.qualys.com/pcifordummies

• Vulnerability Management for Dummies: http://www.qualys.com/dummies

Weitere Ergebnisse der Umfrage:

• 46,5 Prozent haben bereits einmal eine geschäft-srelevante E-Mail verloren, beispielsweise auf Grund fehlerhafter Spam-Filter

• (2009: 40,1 Prozent).• Als größte Gefahr von Spam betrachten 40,5 Prozent

die Verringerung der Produktivität der Mitarbeiter.• 34,6 Prozent befürchten, aufgrund von Spam wich-

tige E-Mails zu verlieren.

eleven - E-Mail-Sicherheit Made in Germanyeleven ist führender E-Mail-Sicherheitsanbieter aus Deu-

tschland und bietet mit der Technologie eXpurgate einen weltweit einzigartigen Spam-Filter und E-Mail-Kategorisie-rungsdienst, der zuverlässig vor Spam- und Phishing-E-Mails schützt, potenziell gefährliche E-Mails erkennt und darüber hinaus zwischen individuellen Nachrichten und je-glicher Art von Massen-E-Mails unterscheidet. Zusätzlich bietet eXpurgate umfangreiche Virenschutzoptionen und eine leistungsfähige E-Mail-Firewall.

Mehr als 30.000 Unternehmen jeder Größe nutzen den eXpurgate Dienst. Täglich werden über 1 Milliarde E-Mails von eXpurgate geprüft und kategorisiert. Zu den Kunden gehören neben Internet Service Providern und Telekommunikationsdienstleistern wie T Online, O2 und freenet zahlreiche namhafte Unternehmen und öffentli-che Einrichtungen, darunter Air Berlin, der Bundesver-band deutscher Banken, DATEV, die Freie Universität Berlin, die Landesbank Berlin, Mazda, RTL, Thyssen-Krupp oder die Tobit Software AG. Mehr Informationen unter http://www.eleven.de.

Qualys veröffentlicht „IT Policy Compliance for Dummies“Der umfassende Leitfaden hilft den Lesern, IT Policy Compliance zu verstehen und umzusetzen

San Francisco, Kalif. – 01. April 2010 – Qualys®, Inc., der führende Anbieter von On-Demand-Lösungen für das Management von IT-Sicherheitsrisiken und Compliance, hat jetzt mit „IT Policy Compliance for Dummies“ einen anschaulichen Leitfaden für IT- und Sicherheitsmanager herausgebracht, die sich zum Thema IT-Compliance infor-mieren möchten. Das neueste Handbuch des Unterneh-mens, das in Zusammenarbeit mit dem Verlag John Wiley & Sons erscheint, wurde von den Qualys-Mitarbeitern Jason Creech und Matt Alderman verfasst. Es erklärt in leicht verständlicher Weise, was IT-Compliance bedeutet und welche Schritte ein Unternehmen durchführen muss, um die Einhaltung von Richtlinien gegenüber einem unab-hängigen Prüfer nachzuweisen. Ein kostenloses Exemplar des Buchs steht unter http://www.qualys.com/itpcfordum-mies zum Download zur Verfügung.

Da der weitaus größte Teil aller Geschäfte heute via oder mittels IT geführt wird, müssen Unternehmen je-der Größe die geltenden Branchenstandards einhalten

http://www.qualys.com/itpcfordummies

http://www.qualys

http://www

http://www.eleven.de

http://www.qualys.com/itpcfordummies

A

B

Welche Website ist echt?

http://www.psw.net/

4/201010

Für EinstEigEr

Eine Frage, auf die es häufig keine falsche oder richtige Antwort zu geben scheint und oftmals einer näheren Untersuchung bedarf, ehe man

strikt einem bestimmten Schema folgen kann. Ob-wohl verschiedene Prozeduren sich dieser Thematik annehmen, wurde bisher kein Weg gefunden, der alle Seiten zufrieden stellen konnte. Im Folgenden wer-den deshalb die gängigsten Verfahren näher erläutert und einige der Vor- und Nachteile, welche in Disku-ssionen zu diesem Thema häufig auftreten, aufgegri-ffen.

Full DisclosureBei Full Disclosure werden alle Informationen zu einer bestimmten Schwachstelle offengelegt und der Öffentlichkeit frei zugänglich gemacht. Hierbei wird nicht nur die Information selbst, nämlich dass eine konkrete Schwachstelle in einem bestimmten Pro-dukt gefunden wurde, veröffentlicht, sondern auch genaue Informationen zur Auffindung und Ausnu-tzung dieser. Dadurch sollen Produkthersteller ge-zwungen werden, möglichst schnell einen Patch oder eine andere Lösung bereitzustellen, welche die Si-cherheitslücke schließt. Andernfalls sind entspre-chende Systeme nicht nur länger angreifbar, sondern auch eine erhebliche Rufschädigung und damit ein-gehend auch Kunden- bzw. Geldverlust möglich. Die Sicherheit soll also dahingehend erhöht werden, als dass die Zeitspanne, in der ein System angreifbar ist, verkürzt wird.

Bei Full Disclosure wird häufig davon ausgegan-gen, dass Black-Hats ohnehin bereits in Kenntnis der konkreten Schwachstelle sind und diese auch aktiv ausnutzen. Durch Bekanntgabe aller Details an die Öffentlichkeit, kann jede Partei frühzeitig reagieren und selbst Vorkehrungen treffen, welche das Aus- nützen erschweren oder nicht mehr ermöglichen, solange kein Patch verfügbar ist. Maßnahmen hier-bei können beispielsweise die Deaktivierung eines anfälligen Services sein oder eine Konfigurations-änderung, je nach Szenario und Schwachstelle. Idealerweise soll Full Disclosure auch dazu führen, dass Softwarehersteller grundsätzlich mehr Arbeit und Zeit in Qualitätssicherung investieren und nicht Endkunden als letzte Instanz des Beta-Testings be-trachten.

Gegner des Full Disclosure kritisieren häufig die Tat-sache, dass Hersteller erst zeitgleich mit der allgeme-inen Öffentlichkeit über eine bestehende Schwachste-lle informiert werden und so ein enormer Zeitdruck für Hersteller und Entwickler entsteht. Dadurch, dass alle Person zur selben Zeit die Informationen erhalten, er-gibt sich eine garantierte Zeitspanne, in der ein System angreifbar ist, selbst wenn unmittelbar danach an einer Lösung gearbeitet wird. Zusätzlich erscheinen häufig mit oder kurz nach Bekanntgabe der Informationen au-tomatisierte Exploitingtools, welchen es auch Scriptkid-dies ermöglichen, entsprechende Systeme erfolgreich anzugreifen, selbst wenn der Hintergrund und die Funk-tionsweise nicht verstanden werden.

Disclosure Policies

Wie am Besten mit gefundenen Sicherheitslücken umgegangen werden sollte und welche bzw. wie viele Informationen diesbezüglich veröffentlicht werden sollten, gilt seit jeher als umstrittenes Thema und zweischneidiges Schwert.

in diesem Artikel erfahren sie...• Grundlegende Vorgehensweisen bezüglich gefundenen Si-

cherheitslücken sowie• einige Vor- bzw. Nachteile dieser.

Was sie vorher wissen/können sollten...• Für diesen Artikel werden keine besonderen Vorkenntnisse

benötigt.

Michael r. Heinzl

Dank der grünen Adressleiste ist es für einen Websitebesucher einfacher zu erkennen, ob er sich auch wirklich auf der echten Website befindet.

Richtig!Bei B handelt es sich um die echte, bei A um eine gefälschte Website.

Steigern Sie das Vertrauen Ihrer Besucher und erwerben Sie bei uns ein Zertifikat mit grüner Adressleiste.

Sie erhalten 10% Rabatt auf Zertifikate der VeriSign-Gruppe (RapidSSL, GeoTrust, Thawte, VeriSign).

Geben Sie bei der Bestellung unter www.psw.net einfach den Rabattcode

HAKMAG10 an.

B

http://www.psw.net/

4/201012

Für EinstEigEr

ller als auch Forscher allgemein über eine gefundene Schwachstelle schweigen, wird das eigentliche Pro-blem dadurch nicht gelöst werden und Systemadmi-nistratoren können ihre Systeme nicht schützen. Un-glücklicherweise implizieren manche Hersteller, dass es ausreichend ist, eine Sicherheitslücke erst dann zu schließen, wenn sie von Dritten gefunden und nähere Details hierzu veröffentlicht wurden.

Limited DisclosureLimited Disclosure verfolgt zunächst einen ähnlichen Ansatz wie Non-Disclosure, wobei versucht wird, die Bekanntgabe aller Details einer Schwachstelle nur den wichtigsten Personen mitzuteilen. Häufig handelt es sich hierbei um den Entdecker der Schwachstelle, den Hersteller des betroffenen Produkts und eventuell einer unabhängigen dritten Partei, welche als Vermi- ttler zwischen Entdecker und Hersteller fungiert. Der Öffentlichkeit wird lediglich bekannt gegeben, dass eine Schwachstelle in einem bestimmten Produkt ge-funden wurde, nähere Details werden aber nicht er-läutert. Üblicherweise wird selbst dann auf eine Pub-lizierung der genauen technischen Details verzichtet, nachdem der Hersteller einen Fix bereitgestellt hat.

Das Ziel von Limited Disclosure ist es also, nur jene Informationen zu veröffentlichen, die dazu ausreichen, ein System abzusichern. Aus Sicht der Limited Disclo-sure würde die Veröffentlichung der genauen techni-schen Hintergründe in erster Linie nur Black-Hats die-nen, weshalb darauf verzichtet wird.

Auch bei diesem Ansatz ergeben sich ähnliche Problemstellungen wie bei den anderen Veröffentli-chungspolitiken. Zunächst muss wieder darauf vertraut werden, dass die Informationen nur an (auf)richtige Personen weitergeleitet werden, welche diese nicht zu ihren persönlichen Gunsten ausnutzen. Auch besteht kaum Druck für den Hersteller, die Schwachstelle in einer möglichst kurzen Zeit zu schließen, da die breite Öffentlichkeit zunächst nicht in Kenntnis der Schwach-stelle ist. Da nur eine sehr oberflächliche Bekanntgabe der Schwachstelle erfolgt, sehen sich zudem viele Sy-stemadministratoren eventuell nicht in der Lage, dass System solange selbst abzusichern, bis eine Lösung seitens Hersteller angeboten wird. Letztlich kann auch hier wieder nicht davon ausgegangen werden, dass die Black-Hat Community nicht bereits in Kenntnis der konkreten Schwachstelle ist und sie aktiv ausnutzt.

responsible DisclosureEine häufig angewandte Policy ist die sogenannte Re-sponsible Disclosure. Hierbei wird als erstes der En-twickler bzw. Hersteller kontaktiert, ehe die vollständi-gen Informationen auch der Öffentlichkeit zugänglich gemacht werden. Dadurch soll gewährleistet werden, dass dem Hersteller eine konkrete Zeitspanne ge-

non-DisclosureNon-Disclosure stellt im Wesentlichen das genaue Ge-genteil von Full Disclosure dar. Es wird also ein Ansatz verfolgt, bei dem gefundene Schwachstellen vor der Öffentlichkeit geheim gehalten werden und besten-falls in einem ausgewählten Kreis, häufig intern in einer Gruppe, geteilt wird.

In der Vergangenheit konnte beobachtet wer-den, dass einige Hersteller und Forscher diese Phi-losophie angestrebt haben bzw. nach wie vor daran festhalten, wenngleich sie dafür starke Kritik erhalten haben. Aus Sicht der Hersteller wird dadurch versucht, die Schwachstelle solange geheim zu halten, bis ein Patch entwickelt wurde, der die Lücke schließt. Hier-bei ergibt sich allerdings eine große Problematik, näm-lich die Auswahl der Personen, die informiert werden sollten. Ist es ausreichend, dass nur interne Entwickler darüber in Kenntnis sind, oder sollten auch Betreiber von sehr kritischen Systemen davon in Kenntnis ge-setzt werden (beispielsweise Krankenhäuser, Atom-kraftwerke, etc.)? Wer garantiert dafür, dass die geteil- ten Informationen nicht von jemandem weiter geteilt oder gar veröffentlicht werden bzw. schlimmer, zum privaten Nutzen verwendet werden?

Es darf zudem auch hier nicht davon ausgegan-gen werden, dass niemand anderes bereits dieselbe Schwachstelle gefunden hat, nur weil dahingehend noch nichts publiziert wurde. Wenn sowohl Herste-

Abbildung 1. How much should be disclosed? (Quelle: John Schriener, http://illustrationonline.com/)

http://illustrationonline.com/)

Disclosure Policies

hakin9.org/de 13

währt wird, in der er sich dem Problem annehmen kann, die Öffentlichkeit aber dennoch ebenfalls alle Details erhält, wenn auch etwas verzögert. Im Gegen-satz zu Full Disclosure wird hierbei allerdings häufig auf einen beigelegten Exploit-Code verzichtet, allge-meine Informationen, technische Details und idealer-weise ein Patch werden aber dennoch veröffentlicht.

Wie viel Zeit solch einem Ultimatum zugeordnet wird, unterscheidet sich von Fall zu Fall, üblich sind häufig einige Wochen bis Monate. Unabhängig davon, welche Frist gesetzt wird, sollte diese aber nicht stän-dig verlängert werden, da manche Hersteller dadurch versuchen das Problem vor sich herzuschieben, bis es beispielsweise nicht mehr von Relevanz ist oder sich eine andere Lösung ergeben hat, es also nicht als pri-märes Ziel gehandhabt wird, die Sicherheitslücke zu schließen.

Unglücklicherweise betrachten manche Entwickler und Hersteller es als persönlichen Angriff oder gar Belei-digung, wenn ihnen jemand von einer Sicherheitslücke in einem ihrer Produkte berichtet. Nicht selten kommt es in Folge dessen vor, dass Meldungen einfach igno-riert werden oder schlimmer, dass gegen den Entdecker mit einer Klage gedroht wird. Dass diese beiden An-sätze nicht zielführend sein können, mag für viele Leser offensichtlich sein, dennoch ist dies leider in der Rea-lität immer wieder zu beobachten. In diesem Fall wird dann üblicherweise die Information einfach der Öffen-tlichkeit zugänglich gemacht, ohne sich weiter dem Her-steller anzunehmen.

Die Idee von Responsible Disclosure besteht also darin, zunächst nur den Hersteller zu informieren, so-dass dieser möglichst rasch einen Patch bereitstellen kann, und erst mit etwas Verzögerung die allgemeine Öffentlichkeit. Veröffentlicht sollten dennoch alle Infor-mationen werden, die nötig sind, um ein System abzu-sichern, idealerweise bereits mit einem mitgelieferten Patch seitens des Herstellers.

AbschlussDer Markt für Exploits und deren Erwerb, insbesondere für 0-Day-Exploits, scheint ein kontinuierliches Wachs-tum zu genießen und es darf davon ausgegangen wer-den, dass dieser noch um ein Vielfaches anwachsen wird. Eine einheitliche Policy, welche alle Parteien voll-ends gerecht wird, wäre zwar wünschenswert, wird es aber wohl nur in einer Utopie geben.

Für welche Veröffentlichungsmethode man sich letztlich entscheidet, muss jeder für sich selbst bean-tworten. Viele der existierenden Verfahren haben schein-bar ihre Daseinsberechtigung und für manche Szena-rien werden einige Methoden vermutlich erst gar nicht in Frage kommen.Das eigentliche Problem, nämlich das Auftreten von Sicherheitslücken, könnte bereits erheblich verringert werden, wenn Hersteller und Entwickler mehr Geld und Aufwand in Sichere Programmierung und einer besse-ren Qualitätssicherung stecken würden (bzw. oftmals auch könnten). Die Umsetzung scheint allerdings oft-mals schwierig, wenngleich alle beteiligten Parteien von möglichst sicherer und fehlerfreier Software profitieren würden.

Verwendete Quellen und weitere informationen:• http://www.schneier.com/crypto-gram-0002.html#PublicizingVulnerabilities - Crypto-Gram Newsletter, February 15, 2000, Bru-

ce Schneier• http://www.schneier.com/crypto-gram-0111.html#1 - Crypto-Gram Newsletter, November 15, 2001, Bruce Schneier• http://www.wiretrip.net/rfp/policy.html - RFPolicy v2.0• http://www.securityfocus.com/columnists/66 - 'Responsible Disclosure' Draft Could Have Legal Muscle• http://www.sans.org/reading_room/whitepapers/threats/defi ne-responsible-disclosure_932 – How do we defi ne Responsible

Disclosure?• http://labs.idefense.com/vcp/ - Vulnerability Contributor Program• http://www.zerodayinitiative.com/ - Zero Day Initiative• http://www.securityfocus.com/archive/ - BugTraq• http://www.cve.mitre.org/ - Common Vulnerabilities and Exposures• http://osvdb.org/ - The Open Source Vulnerability Database• http://secunia.com/ - Secunia• http://oss-security.openwall.org/wiki/mailing-lists/vendor-sec - vendor-sec• http://wikileaks.org/ - WikiLeaks• http://en.wikipedia.org/wiki/Full_disclosure#History – Full disclosure history

MiCHAEL r. HEinZLDer Autor beschäftigt sich mit IT-Security und den meisten damit verbundenen Themen seit einigen Jahren, insbeson-dere mit Penetration Testing und Reverse Engineering. Kon-taktmöglichkeit besteht über das österreichische Securitypor-tal https://defense.at.

http://www.schneier.com/crypto-gram-0002.html#PublicizingVulnerabilities

http://www.schneier.com/crypto-gram-0111.html#1

http://www.wiretrip.net/rfp/policy.html

http://www.securityfocus.com/columnists/66

http://www.sans.org/reading_room/whitepapers/threats/de%EF%AC%81

http://labs.idefense.com/vcp/

http://www.zerodayinitiative.com/

http://www.securityfocus.com/archive/

http://www.cve.mitre.org/

http://osvdb.org/

http://secunia.com/

http://oss-security.openwall.org/wiki/mailing-lists/vendor-sec

http://wikileaks.org/

http://en.wikipedia.org/wiki/Full_disclosure#History

https://defense.at.

4/201014

FÜR EINSTEIGER

Die Sicherheit wird dabei häufig vernachläs-sigt. Die Sicherheit des Unternehmens, resul-tierend aus dem Risikomanagement und den

Anforderungen, sollte eine größere Bedeutung haben, als bei vielen Unternehmen bisher vorhanden.

Zunächst ist es entscheidend für ein Unternehmen, sich der Bedrohungen und Risiken bewusst zu werden und diese zu analysieren. Daraus resultierend werden en-tsprechende Maßnahmen entwickelt, die ein Unterneh-men absichern und die Geschäftsprozesse fördern. Die Forderung der Unternehmensleitung sollte sein, dass die Sicherheit der Datenverarbeitung resultierend aus dem Ri-sikomanagement oberste Priorität genießt. Welche Fakto-ren, Begrifflichkeiten, Prozesse und Zusammenhänge da-bei zu betrachten sind, zeigen die folgenden Seiten.

Alle Prozesse, die unter sicherheitsrelevanten Aspek-ten betrachtet werden sollten, müssen hier ineinander greifen, wenn es um Sicherheit geht. Mit diesem Arti-kel wird aufgezeigt, welche Bereiche hierbei in Betracht gezogen werden und wie man strategisch vorgehen soll-te, um gesamte Unternehmenssicherheit zu erreichen.

Bei der Betrachtung der Unternehmenssicher- heit kommt es darauf an, alle Bereiche, die für die Wirt-schaftlichkeit eines Unternehmens von Bedeutung sind, in Zusammenhang zu sehen. Im Wesentlichen sind hier die folgenden Bereiche zu beachten, die einen hohen Stellenwert einnehmen sollten:

• Compliance• Risikomanagement

• Informationssicherheit• Krisenmanagement• Know-How Schutz• Zutrittskontrolle / Physikalische Sicherheit• Awareness• Datenschutz

ComplianceGrundsätzlich sprechen wir von Compliance, wenn sich ein Unternehmen dazu entschlossen hat, Vorge-hensweisen, Verhaltensmaßregeln, Richtlinien und Gesetze in Unternehmensprozessen einzuhalten. Dies kann sich im Bereich der Betriebswirtschaft aber auch im Bereich der EDV (IT-Compliance) ereignen. Dabei spielen die Prozesse eine wesentliche Rolle, da diese definieren, wie Compliance eingeführt und eingehalten wird. Der betriebswirtschaftliche Bereich ist dabei fast immer organisatorisch und strategisch zu betrachten und sollte mit der Compliance einher-gehen, die für die EDV gilt. So wird in der Compliance z.B. geregelt, wie nationale und internationale Regeln und Gesetze behandelt werden, wenn eine krimine-lle Handlung im Unternehmen bekannt wird. Dabei kann es sich beispielsweise um Geldwäsche, Insi-derhandel, Erpressung oder Veruntreuung handeln. Die Compliance deckt aber auch Verhaltensregeln der Unternehmensführung ab. In der EDV Complian-ce sprechen wir untergeordnet von der grundlegen-den Unternehmens-Compliance die Themen an, die durch die Unternehmens-Compliance gefordert wer-

Unternehmenssicherheit: Das Ergebnis komplexer Prozesse

Unternehmenssicherheit sollte als Ganzes betrachtet werden. Der entscheidende Ansatz hierbei ist, dass ein Unternehmen existiert, um Gewinne zu erwirtschaften und am Markt positioniert zu bleiben, ein Geschäftszweck. Daraus resultieren Geschäftsabläufe, die vollständig durch die EDV gestützt und durchführbar sind. Ohne die EDV (Elektronische Daten Verarbeitung) wären viele Unternehmen heute nicht am Markt und würden auch keine starke Marktposition inne haben.

IN DIESEM ARTIKEL ERFAHREN SIE...• Welche relevanten Aspekte bei der Unternehmenssicherheit

zum Tragen kommen.

WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Bereitschaft, Sicherheit als Prozess zu sehen.

Marko Rogge


hakin9.org/de 15

deren Steuerung. Dabei wird natürlich unterschieden, um welche Risiken es sich handelt und aus welchen Bereichen die Risiken bewertet werden sollten. Als Bei-spiele können genannt werden: Risiken aus dem Fi-nanz- und Bankbereich, Risiken im Personalbereich, Risiken bei Naturkatastrophen, Versicherungen oder auch Risiken rein technischer Natur. Nur um ein paar Beispiele zu nennen, die betrachtet werden sollten bei der Analyse von Risiken. Die Bereiche Wirtschaftsspio-nage, Korruption und Sabotage nehmen besonders in den letzten Jahren stark zu und sollten daher auch in Betracht gezogen werden.

Sehr wichtig sollte es für Unternehmen sein, die eige-nen Risiken korrekt zu bewerten.

Dabei sind in der Analyse die Betrachtungen von Ge-fahren und Schwachstellen wichtig, um daraus ein Be-drohungspotential zu erkennen. Bei diesem Beispiel kommen Faktoren wie Eintrittswahrscheinlichkeit und Schadenspotential hinzu und bilden am Ende ein Ri-siko, welches zu bewerten ist. Bei der Beurteilung und Bewertung ist es wichtig zu unterscheiden, ob ein Ri-siko für ein Unternehmen tragbar ist, vermindert oder vermieden werden sollte oder gar auf andere übertra-gen werden kann.

Gesetze, in denen sich Risikomanagement nieder-schlägt, z.B.:

• § 43 Abs. 1 und 2 GmbH-G (GmbH Gesetz)• § 91 Abs. 2 AktG (Aktiengesetz)• § 317 Abs. 4 HGB (Handelsgesetzbuch)• Sarbanes-Oxley Act (SOX)

InformationssicherheitFür die Umsetzung der Informationssicherheit als Pro-zess sollten unter anderem Normen und Zertifizierun-gen zur Hilfe genommen werden, da diese sich bewährt haben und optimiert auf sicherheitskritische Prozesse entwickelt wurden. In Deutschland ist hierbei das BSI bedeutend, da es Standards entwickelt hat, um Un-ternehmen ausreichend Hilfe an die Hand zu geben. Maßgeblich sind hierbei die Grundschutzkataloge und die Standards BSI 100-1, 100-2, 100-3 und 100-4 zu nennen.

Nach Angaben des BSI sind diese Standards kompa-tibel zur ISO-IEC 2700x. Weitere wichtige Normen hier-bei sind:

• ITIL (IT Infrastructure Library) dazu gehörig ISO-IEC 20000

• ISO-IEC 2700x• ISO-IEC 15408 (Common Criteria for Information

Technology Security Evaluation)• ISO-IEC 27001• ISO-IEC 13335• COBiT (Control Objectives for Information and Re-

lated Technology)

den, wenn diese eine Berührung mit der EDV haben. Die wichtigsten Kernpunkte der Compliance für die EDV sind Datenschutz, Verfügbarkeit, Informations-sicherheit und Aufbewahrung von Daten und ande-ren, elektronischen Informationen. Ein wesentlicher Punkt hierbei ist die E-Mail Archivierung, die nach wie vor keine ausreichende Bedeutung hat. In Deu-tschland ist dies jedoch gesetzlich geregelt und muss durchgeführt werden. Aus der Umsetzung der EDV Compliance ergeben sich auch deutliche Vorteile für Unternehmensbewertungen, wenn es um die Verga-be von Krediten z.B. nach BASEL II geht. Als Anfor-derung ist die Umsetzung einer höheren IT-Sicher-heit vorgeschrieben. Daraus resultierend geht auch einher, dass Geschäftsführer und Vorstände haftbar gemacht werden können, sofern gesetzliche Vorga-ben nicht eingehalten werden. In der Regel können das zivilrechtliche aber auch strafrechtliche Konse-quenzen sein. Wenn wir von Compliance sprechen, ist es unabdingbar, dass Maßnahmen und Umsetzun-gen der Prozesse dokumentiert werden, um eine Nachvollziehbarkeit sicherzustellen. Dies gilt natü-rlich nicht nur für den Bereich Compliance, sondern es empfiehlt sich generell, für Prozesse der Unter-nehmenssicherheit eine Dokumentation zu pflegen.

Weitere Gesetze, die entsprechende IT-Sicherheit fordern und in Compliance berücksichtigt werden soll-ten (national, international):

• Handelsgesetzbuch, § 239 Abs. 4 HGB • Bundesdatenschutzgesetz, § 9 BDSG • Aktiengesetz, § 91 II und § 116 AktG • KonTraG • GmbH-Gesetz, § 43 GmbHG, §§ 91 II, 116 AktG • Basel II (wie erwähnt)• SOX, Section 404 • CobiT • ISO 2700x • SAS 70

Im Übrigen können Verstöße, sofern diese entdeckt werden, auch geahndet werden und können unter-schiedliche Folgen haben. Es könnten Haftungsklagen an die Geschäftsleitung und/oder das Management folgen. Bei Basel II wäre eine Folge, dass die Schwä-chung am Markt eintritt, da Engpässe in der Liquidität die wirtschaftliche Position schwächen. SOX sanktio-niert zum Beispiel Verstöße mit Zugangsbarrieren am Markt und Geldbußen sind zudem ebenfalls möglich.

Risikomanagement, IT-RisikomanagementAls der wesentliche Prozess bei der Unternehmens-sicherheit sollte hier das Risikomanagement genannt werden, gleich auf mit Compliance. Dabei handelt es sich um die Erfassung von Risiken, deren Bewertung und daraus ableitend entsprechende Reaktionen und

4/201016

FÜR EINSTEIGER

Die Informationssicherheit ist jedoch auch nur als ein Teilbereich der ganzheitlichen Unternehmenssicher-heit zu betrachten. Aus den Anforderungen der Infor-mationssicherheit, resultieren die Maßnahmen der IT-Sicherheit und stellen somit ein Qualitätsmerkmal dar.

Die IT-Sicherheit ist hierbei beispielsweise ein Be-standteil der Informationssicherheit, die alle Bereiche betrachtet und abbildet, die für die Verarbeitung von Daten relevant sind. Im Wesentlichen kann man hier die 3 Eckpfeiler der Informationssicherheit nennen, auf die es bei der Umsetzung ankommt und die als Schutzziele definiert werden:

• Verfügbarkeit: Stabilität von Datenzugriffen und von Systemen und die Zusicherung von Zugriffen auf Daten innerhalb eines zugesicherten Zeitrahmens. Verhinderung von Ausfällen einzelner oder ganzer EDV Einheiten.

• Integrität / Authentizität: Die Zusicherung, dass Da-ten nicht unbemerkt oder nicht nachvollziehbar verändert werden dürfen.

• Vertraulichkeit: Zugriffsmöglichkeiten auf Daten nur durch entsprechend autorisierte Personen oder Gruppen bei der Datenverarbeitung.

• Nichtabstreitbarkeit: Das Abstreiten einer unzulässi-gen Handlung ist nicht möglich.

Die IT-Sicherheit versteht sich eher auf den techni-schen Ansatz, Daten und Kommunikationswege zu schützen und zu sichern. Dabei kommen sehr häufig Firewalls, Anti-Viren Systeme für Clients aber auch für Server zum Einsatz. Je nachdem, welche Re-levanz die interne Kommunikationsstruktur hat, wird diese mittels IPsec verschlüsselt, um so mehr Si-cherheit zu erreichen. Eine solche technische Maß-nahme resultiert in der Regel aus einem Bedürfnis an Sicherheit, welches durch einen Prozess in der Risi-koanalyse herausgearbeitet wurde. Hierzu zählt aber auch das Patch-Management, da es wichtig ist, ei-nen Prozess zu etablieren, wann und welche Sicher-heitspatches eingespielt werden müssen oder dür-fen. Sollte vorher ein Test durchgeführt werden oder vertraut man dem Anbieter des Patches. Es empfiehlt sich in diesem Fall, auf das bewährte „Ampel-Verfah-ren“ zurückzugreifen, mit dem man eine Einstufung vornehmen kann. Dabei gilt grün für weniger bis gar nicht kritisch und rot für gefährlich oder kritisch, wenn eine Sicherheitslücke die Systeme bedrohen kann. Sollte in der Einstufung „rot“ ein Alert ausgelöst wer-den, kann die Maßnahme sein, dass ein Sicherheit-spatch sofort eingespielt werden muss, nachdem die-ser auf die stabile Funktionalität geprüft wurde. Die Bewertung kann auch in Verbindung mit dem Risiko-management erfolgen, da beide Prozesse ineinander greifen und sich absichern sollten. IT-Sicherheit ist demnach ein Prozess, der sich als technischer Fak-

tor an der Umsetzung von Informationssicherheit ver-steht.

KrisenmanagementDa es weder für die Betriebswirtschaft noch für die EDV eine Sicherheit von 100% gibt, sollten Unterneh-men sich mit dem Gedanken an ein Krisenmanage-ment tragen. Darin unter anderem enthalten, wie ein Unternehmen vorgehen sollte, wenn eine Krise das Unternehmen bedroht. Aber auch vorbeugende Maß-nahmen sind hier von großer Bedeutung, da ein Krisen-plan das Handeln deutlich vereinfachen und vorschrei-ben kann. Wie bereits im Bereich Risikomanagement, sollte auch das Krisenmanagement ineinander greifen mit allen Aspekten der Unternehmenssicherheit. Häu-fig kommen Aspekte des Krisenmanagements auch im Risikomanagement vor, sollten sich jedoch beide ge-genseitig ergänzen und unterstützen. Die strategische und analytische Vorgehensweise ist der erste Ansatz bei der Umsetzung eines Krisenmanagements. Das Krisenmanagement kann für Teilbereiche eines Unter-nehmens angewendet werden, wenn besonders hohe Eintrittswahrscheinlichkeiten vermutet werden, die in anderen Bereichen des Unternehmens nicht anzuneh-men sind. Diese Bewertung kann aus dem Risikoma-nagement resultieren. Einer Krise geht grundsätzlich immer ein Ereignis voraus, welches der Auslöser sein kann. Entscheidend ist bei der Einführung eines Kri-senmanagements, welche Krisen möglich sind und welche Eintrittswahrscheinlichkeit angenommen wer-den kann. Dabei unterscheidet man grundlegend zwi-schen 3 Krisen, die eintreten können:

• Veränderungskrisen; allgemein begrifflich dafür, wenn organisatorische Veränderungen eintreten, die jedoch als Prozess im Unternehmen nicht grei-fen. Damit können entsprechende Ziele nicht er-reicht werden, die durch eine Veränderung erreicht werden sollten. Dies kann die wirtschaftliche Situa-tion bedrohen und eine Krise könnte daraus resul-tieren.

• Steuerungskrisen; ergeben sich fast immer aus Fehlentscheidungen oder Problemen, die durch das Management eintreten können. Auch hierdurch kann es zu einer eintretenden Krise kommen, wel-che dem Unternehmen großen Schaden bereiten kann.

• Überlebenskrisen; hier werden alle Ereignisse ein-geschlossen, die das Unternehmen in eine Krise stürzen können, welche die Existenz der Firma be-drohen.

Beim Krisenmanagement sollten natürlich auch z.B. Punkte der Produkterpressung, Kidnapping (Ge-schäftsleitung), Naturkatastrophen oder Wirtschafts-pionage betrachtet werden. Dabei gilt es exakt zu


hakin9.org/de 17

analysieren, welche der Ereignisse relevant in der Be-trachtung hinsichtlich des Krisenmanagements sind und welche Bedrohung sie darstellen. Daraus resul-tierend sollte mit Experten ein Krisenplan ausgear-beitet werden, der die entsprechende Vorgehenswei-se beim Eintreten eines Ereignisses definiert und vor-gibt. Wichtig dabei ist unter anderem die Krisenko-mmunikation: Wer mit wem und zu welchem Zeitpunkt in Kommunikation treten muss. Aber auch die Ko-mmunikation von Ereignissen in die Öffentlichkeit ist von Bedeutung. Durch das Zusammenspiel von Com-pliance, Krisenmanagement und auch Risikomanage-ment, können Ereignisse besser im Vorfeld erkannt werden und Krisen können vom Unternehmen abge-wendet werden. Sollte jedoch ein Ereignis das Unter-nehmen treffen, so ist eine professionelle Vorgehens-weise durch ein Krisenmanagement und einen Kri-senplan definiert.

Know-How Schutz:Grundlegend sprechen wir beim Know-How Schutz von Betriebs- und Geschäftsgeheimnissen, die ge-heimhaltungsbedürftig gegenüber der Öffentlichkeit oder auch Wettbewerbern gelten. Dabei gilt das Wi-ssen, welches ein Unternehmen am Markt positionie-ren lässt, als das Kapital. Nicht allein, aber maßgeb-lich. Man unterscheidet hier auch die kaufmännischen und technischen Geheimnisse. Häufig liest man Daten und Fakten aus dem Bereich der Wirtschaftsspionage, wo ein unfreiwilliger Know-How Transfer statt gefun-den hat. In diesen Fällen greift kein Know-How Schutz und sollte dringend überdacht werden. Es kann aber auch bereits dann zu spät sein, wenn es sich um Tech-nologien handelt, die das gesamte Unternehmen wirt-schaftlich gemacht haben und nun nicht mehr vorhan-den sind. Eine Insolvenz ist hierbei leider oftmals die Folge davon, da Know-How Schutz nicht vorhanden war. Eine mögliche Ursache hierbei kann ebenfalls sein, dass Risikomanagement und IT-Sicherheit nicht ausreichend bestimmt waren. Als eine weitere Ursache kann aber auch menschliches Versagen in Betracht kommen, denn hier können gezielte Angriffe durchaus Prozesse und Mechanismen des Risikomanagements oder der IT-Sicherheit aushebeln. Hier gibt es beson-dere gesetzliche Bestimmungen, die strafrechtlich von Bedeutung sind. §§17 UWG (Unlauterer Wettbewerb) und §§203 des Strafgesetzbuches finden hier Anwen-dung.

Der Schutz von Betriebsgeheimnissen ist elementar wichtig, wenn es sich um Patente oder Gebrauchsmu-ster handelt, aber auch bei Herstellungsverfahren oder Rezepten in der Lebensmittelherstellung. Es muss in Abwägung geraten, welchen Schutzbedarf ein Un-ternehmen hat und welcher Aufwand dafür betrieben werden muss. Ein ausgewogenes Verhältnis sollte das Resultat hierbei sein. So kann die IT-Sicherheit tech-

nisch dafür sorgen, dass besonders sensible oder ge-heime Daten geschützt werden. Nachvollziehbar kann technisch umgesetzt werden, dass Daten oder Da-teien nur von bestimmten Personen eingesehen und bearbeitet werden dürfen. Jede Person würde dabei einen Fingerprint hinterlassen, wenn er eine bestimm-te, schützenswerte Datei bearbeitet. Damit wäre eine Nachvollziehbarkeit gegeben und Know-How Schutz greift als Prozess und in der technischen Umsetzung. Gerade deswegen ist es sehr bedeutend, dass Sicher-heit nicht auf einen Bereich betrachtet wird, sondern ineinandergreifend durch alle Prozesse des Unterneh-mens.

Mögliche Maßnahmen, die getroffen werden können, um sein Know-How zu schützen, bevor ein Produkt die Marktreife erreicht hat:

• Geschmacksmuster • Topographien • Patente • Gebrauchsmuster • Marken • Schutz durch das Urheberrechtsgesetz

Aber auch die restriktive Umsetzung der Maßnahmen aus der Informationssicherheit und der physikalischen Sicherheit kann deutlich zur Erhöhung des Know-How Schutzes beitragen. So kann über entsprechende Ab-sicherung der Zugänge einzelner Mitarbeiter verhin-dert werden, dass jeder Zugriff auf Patentdaten oder Entwicklungspläne hat. Die gezielte Ausgrenzung der Zugriffsmöglichkeiten ist entscheidend und sollte da-her auch mit der Geschäftsleitung abgesprochen wer-den. Ebenso gilt hier die Möglichkeit, dass in einem Forschungslabor über ein Zutrittskontrollsystem bei-spielsweise mittels RFID Karten kontrolliert und gere-gelt wird, dass nur befugte Personen Zugang erhal-ten.

Physikalische SicherheitDahinter verbirgt sich die Absicherung gegen äußerli-che Einwirkungen auf das Unternehmen. Dabei kann es sich um die Absicherung Sturm handeln, wenn ein Unternehmen in einem gefährdeten Gebiet angesie-delt ist. Dabei ist darauf zu achten, dass die entspre-chende Bausubstanz für Gebäude darauf ausgerich-tet ist und Dächer besonders diesen Ansprüchen genüge tragen. Auch hierbei gilt es, einen entspre-chenden Schutzbedarf zu ermitteln, um die korrek-ten Maßnahmen einleiten zu können. In der EDV sind beispielsweise Einwirkung von Staub, elektromagne-tischen Strahlen, Wassereinbruch oder gar mecha-nische Einwirkung zu berücksichtigen. In vielen Un-ternehmen werden dazu eigene Räume eingerichtet, die gegen Brand und/oder Blitzeinschlag abgesichert werden. Entsprechende Löschsysteme sorgen dafür,

4/201018

FÜR EINSTEIGER

dass selbst im Fall eines Brandes, nicht die ganze Hardware oder gar die darin enthaltenen Daten ver-nichtet werden. Mechanische Einwirkung kann auch sein, dass Mitarbeiter unbewusst Hardware beschä-digen oder gänzlich zerstören. In der Verbindung zum Risikomanagement für die EDV kann hier bereits im Vorfeld für Absicherung gesorgt werden, in dem Aus-tauschgeräte schnell verfügbar sind. Dies jedoch in einem Maße, wie es durch eine Risikoanalyse ermi-ttelt wurde. So kann es in einem Unternehmen fatal sein, wenn die Server ausfallen, da diese im Produk-tionsprozess integriert sind. Entsprechend der hohen Anforderung sollte sofort eine Maßnahme geben, die ein Backup an Hardware zur Verfügung stellt in ei-ner definierten Zeitspanne. In anderen Unternehmen kann dies von geringer Bedeutung sein. Dafür aber möglicherweise, dass ein Labor physikalisch so ab-gesichert ist, dass nur Mitarbeiter Zutritt haben, die dafür autorisiert sind. Dementsprechend sollte aber auch daran gedacht werden, das Zutrittskontrollsy-stem gegen Ausfälle, Beschädigung oder Manipula-tion abzusichern.

Zutrittskontrollsysteme können aber auch die Lö-sung dafür sein, dass unberechtigt niemand Zutritt zu Serverräumen oder gar zu einem Rechenzentrum hat. Auch der Zutritt zum Gelände eines Unternehmens kann durch Zutrittskontrollsysteme geregelt werden, was be-reits häufig der Fall ist. Damit kann gewährleistet wer-den, dass nur autorisierte Personen das Werksgelän-de betreten dürfen. Auch das Verlassen eines Geländes kann sinnvoll protokolliert werden, denn das Thema Identitätsdiebstahl wird für Kriminelle immer intere-ssanter, wenn es um Wirtschaftsspionage geht. Bei der Umsetzung solcher Maßnahmen ist es jedoch wichtig, dass die Einhaltung des Datenschutzes gegeben ist. In Deutschland greift hierbei das Bundesdatenschutzge-setz und in vielen Unternehmen zusätzlich noch eine interne Policy.

Ebenfalls ist die Absicherung des Zugangs eines Unternehmens zum Internet als physikalische Si-cherheit zu betrachten, da hier Hardware zum Ein-satz kommen sollte. Softwarefirewalls reichen lan-ge nicht aus, um eine Sicherheit gegen Angriffe von innen und außen zu bieten. Eine Hardware Firewall in Verbindung mit einem Überwachungssystem (In-trusion Detection System) wäre angebracht; diese bietet einen ersten Schutzwall gegen Angriffe durch Botnets oder Angreifer. Zusätzlich sollte eine Ap-pliance (Hardware) gegen Würmer und Trojaner schützen, da eine Firewall dafür nicht ausreichend sein muss. Häufig bieten Hersteller eine Mis-chung aus beiden Komponenten an. Weitere Maß-nahmen sollten z.B. dann getroffen werden, wenn Thin-Clients in einer Produktionsanlage stehen und zusätzlich vor Staub und Schmutz geschützt werden müssen. Hier sollten entsprechende Abdeckungen

oder abgedichtete Schränke dafür sorgen, dass die EDV nicht unnötig beschädigt oder verschmutzt und somit unbrauchbar wird.

AwarenessDieses Thema gewinnt immer mehr an Bedeutung und wird in vielen Unternehmen bereits umgesetzt. Die Sensibilisierung der Mitarbeiter aber auch der Führungsebene ist wichtig, um Maßnahmen der Si-cherheit zu stabilisieren und als Prozess umzusetzen. Dabei gilt es, das Bewusstsein zu schärfen und für das Thema Sicherheit mehr Aufmerksamkeit zu bekommen. Gerade im Bereich der Datenverarbeitung ist es wichtiger denn je, dass Awareness umgesetzt wird, da sich die Bedrohungslage in den letzten Jahren ver-schärft hat und Unternehmen immer häufiger Opfer von gezielten Angriffen werden, aber auch Opfer von Wir-tschaftsspionage durch eigene Mitarbeiter. Entschei-dend ist hier der angemessene Umgang der Mitarbei-ter, aber auch der Führungspersonen mit den Daten, die Ihnen anvertraut sind. Für die Sicherheit von Daten werden in sehr vielen Unternehmen bereits technische Maßnahmen getroffen und Firewalls zum Internet auf-gestellt, Anti-Virus Appliances hindern Würmer und Trojaner, sich auszubreiten und Proxyserver achten auf den Datenstrom, der das Unternehmen verlässt. Die Betrachtung des Menschen ist jedoch dabei häufig nur unterschwellig. Noch immer finden sich in den mei-sten Studien Menschen als größtes Gefahrenpotential wieder. So gehen die meisten Schäden durch Daten-diebstahl hervor, die häufig noch nicht einmal entdeckt werden. Das Eintreten eines Schadens bemerken Un-ternehmen Monate später, die Tatsache, dass sie ei-nem Datendieb erlegen sind und Patentunterlagen oder Kalkulationen das Unternehmen verlassen ha-ben. Unter forensischen Aspekten ist es nach so ei-ner langen Zeit kaum noch nachvollziehbar, wer Daten über welche Wege aus einem Unternehmen transpor-tiert hat.

Was ist zu tun, wenn die EDV durch Datendiebstahl kompromittiert wurde:

• 1. Es ist wichtig, dass Sie Ruhe bewahren und den Zustand der EDV und Daten unberührt la-ssen. Es ist von erheblicher Bedeutung, dass keine Veränderungen an der Hardware, Software sowie an den betroffenen Daten vorgenommen werden.

• 2. Das betroffene System sollte nicht aus- oder ein-geschaltet werden. Auch ist es wichtig, dass zu die-sem Zeitpunkt keine Patches mehr eingespielt wer-den. Dadurch können Veränderungen am System vorgenommen werden, die eine Auswertung erschweren oder unbrauchbar machen.

• 3. Informieren Sie umgehend die verantwortlichen Personen der IT Abteilung, der Geschäftsleitung


hakin9.org/de 19

oder des Vorstandes. Bitte im Vorfeld bereits die Zuständigkeiten klären.

• 4. Die Einhaltung des Datenschutzes ist hier we-sentlich und es sollten alle Schritte dokumentiert werden, bis der Sachverständige, Forensiker oder Experte eingetroffen ist. Kommunizieren Sie den Vorfall.

Bei vielen Mitarbeitern ist das Thema Informations-verarbeitung oftmals noch ein hinderliches Thema in der alltäglichen Arbeit. Um genau das zu ändern, ist es hilfreich und ratsam, eine Awareness Kampagne im Unternehmen zu etablieren. Diese kann durchaus auch als ein Qualitätsmerkmal für das Unter-nehmen in der Kommunikation nach außen genut-zt werden. Da das Thema Awareness noch kei-ne große Durchdringung gefunden hat, ist es wich-tig, die richtige Ansprache bei den Mitarbeitern zu finden. Zum Einen ist darauf zu achten, dass bei einer solchen Kampagne ein gewisses Grundwi- ssen vermittelt wird, um das Verständnis zu ver-be-ssern. Auf der anderen Seite ist es nicht unwe-sentlich, wie dieses Wissen vermittelt wird. Die „Bil-dersprache“ stellt hier eine hervorragende Möglich- keit dar und ist einfach umzusetzen. Awareness be-zieht sich keinesfalls rein auf die Informationssicher-heit oder reine IT-Sicherheit, sondern kann in allen Bereichen der Unternehmenssicherheit angewendet werden. So sind entsprechende Awareness Kampa-gnen in Unternehmen umgesetzt worden, als ein Zu-trittskontrollsystem eingeführt wurde. Dabei war es wichtig, dass Mitarbeiter im Unternehmen den Aus-weis sichtbar an der Kleidung tragen. So ist dem Si-cherheitsdienst schneller möglich zu erkennen, ob fremde Personen sich im Hause aufhalten, die zuvor nicht identifiziert wurden. Bei der Umsetzung einer Awareness Kampagne ist es wichtig darauf zu ach-ten, dass niemand einen Alleingang macht, durch-weg alle Abteilungen und Personen miteinbezogen werden und das dieses Vorhaben ausdrücklich von der Geschäftsführung unterstützt und kommuniziert wird.

DatenschutzDer Datenschutz in Unternehmen ist ein sehr kriti-sches Thema und wird häufig nicht ausreichend be-achtet. Zum Einen, weil es sehr komplex ist und vie-le Verstöße nicht geahndet und auch nicht bemerkt werden. In Deutschland ist hierfür das Bundesda-tenschutzgesetz erlassen worden, welches sich auch auf den Bereich der Datenverarbeitung von perso-nenbezogenen Daten auswirkt. In den meisten Un-ternehmen werden diese personenbezogenen Daten über die IT-Infrastruktur verarbeitet. So werden in §9 des BDSG (Bundesdatenschutzgesetz) klare techni-sche und organisatorische Maßnahmen beschrieben,

die daraus resultierend in der Umsetzung gefordert werden. Wie im Bereich der physikalischen Sicher-heit kann auch hier hinterfragt werden: Wer hat wann Zugriff, auf welche Informationen und ist ein Zu-griffsschutz nicht manipulierbar? Ist nachvollziehbar, wer exakt welche Daten eingegeben, gelöscht oder verändert hat?

In der Regel bezieht sich der Datenschutz auf die Er-hebung, Nutzung und Verarbeitung von personenbezo-genen Daten. Hierbei gilt es zu definieren:

• Erhebung personenbezogener Daten: Beschaffung dieser Daten

• Nutzen von personenbezogenen Daten: Nutzung• Verarbeiten von personenbezogenen Daten: Spei-

chern, Verändern, Übermitteln, Sperren, Löschen

Dabei gilt es, die Grundprinzipien des Datenschu-tzes zu beachten und einzuhalten. Diese wären grundsätzlich die Sparsamkeit und Vermeidung an Daten sowie die dazugehörige Erforderlich- keit und Zweckbindung. Daraus resultiert für den Datenschutz, dass entsprechende technische und organisatorische Maßnahmen getroffen werden müssen, wenn Daten anfallen, die personenbezo-gen sind. Dies kann durch die IT-Sicherheit (tech-nisch) gewährleistet werden, aber auch durch en-tsprechende Maßnahmen aus dem Risikomanage-ment und dem Krisenmanagement (organisatorisch). Auch sollte organisatorisch und/oder technisch der Zugriff auf personenbezogene Daten geregelt sein. Dabei ist es zwangsweise häufig so, dass nur die Personalbuchhaltung Zugriff auf die vollständigen Personaldaten hat. Entsprechende Lösungen fin-den sich dann in der Vernichtung von Daten und In-formationen, wenn diese nicht mehr benötigt wer-den. Hierbei gilt es aber zu beachten, dass in Deu-tschland eine E-Mail Archivierung gesetzlich vorge-schrieben ist. Aus diesem Grunde sollte man sich dahingehend auch mit dieser Thematik befassen, wenn man ordnungsgemäß Daten vernichten möch-te. Was in diesem Zusammenhang nicht vergessen werden darf, ist das Recht von Personen (Betroffe-ne) Auskunft darüber zu erhalten, welche Daten ge-speichert, verarbeitet, verändert oder gar gelöscht wurden. International gelten Prinzipien, die eine entsprechende Unabhängigkeit auch für Unterneh-men und Arbeitnehmer durch eine unabhängige Da-tenschutzaufsicht gewähren sollen.

Die Bedeutung, was genau personenbezogene Daten sind, wird in §3 des BDSG genauer erläutert.

(http://bundesrecht.juris.de/bdsg_1990/__3.html)

Abschluß, Fazit, ZusammenfassungIn der Betrachtung der ganzheitlichen Unternehmens-sicherheit sind hier die Eckpfeiler aufgezeigt, die ein

http://bundesrecht.juris.de/bdsg_1990/__3.html

4/201020

FÜR EINSTEIGER

hohes Maß an Sicherheit für ein Unternehmen bie-ten. Dies stellt sicherlich keine Vollständigkeit dar. Es kommen je nach Branche noch unterschiedliche Ge-setze in Anwendung, die es in Zusammenhang mit der Unternehmenssicherheit zu beachten gibt. So regeln bestimmte Vorschriften und Gesetze, wie in der Le-bensmittelindustrie zu verfahren ist, wenn es um die Herstellung von Lebensmitteln geht. Daran angelehnt werden dann die entsprechenden Maßnahmen aus den o.g. Teilbereichen umgesetzt. So ist es nicht unerheb-lich, als Lebensmittelhersteller einen Krisenplan und ein Krisenmanagement zu haben, sofern eine Erpre-ssung auf die Vergiftung von Lebensmitteln eintritt. Ein solches Ereignis kann zu einer Krise führen, wenn das betroffene Unternehmen keine entsprechenden Maß-nahmen im Vorfeld getätigt hat, um in einem Ereigniss-fall korrekt und professionell vorzugehen. Dabei ist es besonders wichtig, dass eine ausreichend geplante und geübte Krisenkommunikation vorhanden ist. Wer muss exakt wen benachrichtigen und wer darf sich mit welchen Worten an die Öffentlichkeit wenden. Auch ist es nicht unerheblich, welches Medium dafür verwen-det werden soll, wenn es heißt, die Öffentlichkeit sollte informiert werden.

Sofern sich ein Unternehmen entschlossen hat, alle Prozesse unter Sicherheitsaspekten zu betrach-ten, kann von einem Marktvorteil gesprochen werden. In der Kommunikation mit Zulieferern kann dies be-deutend sein, da große Konzerne maßgebliche Vor-gaben bereits eingeführt haben. Die bessere Aufstel-lung der eigenen Unternehmenssicherheit gegenüber dem Wettbewerb kann bedeuten, dass Auftraggeber sich darauf berufen, dass eine entsprechende IT-Si-cherheit vorhanden sein muss, wenn Daten zwischen den Kooperationspartnern digital über das Internet au-sgetauscht werden sollen. Das kann von einer schnel-len Internetanbindung (Produktivität) bis hin zur Anbin-dung eines VPN (Virtual Private Network, Sicherheit) entscheidend für den Zuschlag eines Auftrages se-

in. Oft fordern Unternehmen die Verschlüsselung der E-Mail Kommunikation zwischen den Kooperations-partnern oder die reine Verschlüsselung von Daten, die dann auch sicherer via E-Mail ausgetauscht wer-den können. Die technische Umsetzung ist dahinge-hend sehr vielseitig und bietet ausreichend Möglichke-iten. Auch sollte über eine mehrschichtige Sicherheit auf technischer und organisatorischer Ebene nachge-dacht werden. So ist es zwar sinnvoll, eine Firewall und Anti-Virus im Netz integriert zu haben, jedoch kö-nnen gezielte Angriffe (z.B. Aurora) unerkannt ihr Un-wesen treiben, da hierfür meistens Schadcode entwic-kelt wird, der den Anti-Virus Herstellern erst viel später bekannt ist. Abhilfe könnte hier ein Intrusion Detection/Prevention System (IDS/IPS) bieten, da diese speziell auf Anomalien entwickelt wurden und eine deutlich höhere Sicherheit bieten können. Auf der organisato-rischen Seite sollten Überlegungen getätigt werden, Krisenmanagement und Risikomanagement in Kombi-nation auf die Organisation eines Unternehmens und auf die EDV Infrastruktur anzuwenden. Zum Schluß soll darauf hingewiesen werden, dass es durchaus entscheidend für den Wettbewerb ist, wenn alle ge-troffenen Maßnahmen regelmäßig überprüft werden. So z.B. die IT-Sicherheit mittels Penetration Tests in überschaubaren Abständen. Aber auch die Prozesse sollten ständig überprüft und überwacht werden, damit hier kein Stillstand eintritt. Unternehmenssicherheit ist ein Prozess und Chefsache.

MARKO ROGGEDer Autor ist Senior Security Consultant der Leading Securi-ty Experts GmbH und kann auf viele Jahre Erfahrung als Ana-lyst, Penetration Tester, Referent und Autor zu Themen der IT-Sicherheit zurückblicken. Schwerpunkte seines Engagements sind IT-Grundschutz, IT-Sicherheitsüberprüfungen, IT-Secu-rity, Datenschutz und Zerti� zierungen in Unternehmen, so-wie die Internetzensur. Marko Rogge ist Kooperationspartner der Leiner & Denzer GmbH und ist Spezialist in der Erstellung von ganzheitlichen Sicherheitsstrukturen, der Durchführung von IT-Sicherheitsüberprüfungen sowie Ereignismanagement in Fällen von Beeinträchtigungen der Geschäftstätigkeiten durch IT–Kriminalität. Sie erreichen den Autor: [email protected], www.lsexperts.de

Prinzip der: • Richtigkeit • Transparenz • Zweckgebundenheit • Nicht-Diskriminierung • Verhältnismäßigkeit• unabhängigen Überwachung / gesetzlicher Sanktionen • Zulässigkeit und Rechtmäßigkeit der Erhebung und Ver-

arbeitung der Daten • individuellen Mitsprache und namentlich der Garantie

des Zugriff srechts für die betroff enen Personen • Sicherheit • Haftung • des angemessenen Schutzniveaus bei grenzüberschrei-

tendem Datenverkehr

http://www.fh-ooe.at/campus-hagenberg/studiengaenge/bachelor-studien/sichere-informationssysteme/

4/201022

Angriff

Sicher, wir alle wollen gerne wissen, ob wir unseren Benutzernamen oder das Passwort falsch einge-geben haben, aber manchmal ist schon diese

Information zu hilfreich für einen potentiellen Angreifer: welcher Anwender könnte nicht auch Interesse daran ha-ben, eine Liste mit allen Benutzernamen abzurufen?

Diese Art von Information ist schließlich der erste Schritt in Vorbereitung eines zielgerichteten Angriffs, sollte der Benutzername zusätzlich der E-Mailadresse des Anwenders entsprechen, ist er von doppeltem Nut-zen, gerade wenn der jeweilige Benutzer bei mehreren Webapplikationen mit denselben Anmeldedaten regi-striert ist. Wenn der Benutzername eine E-Mailadres-se ist, möchte man fast jede Wette eingehen, dass das für den Webmail Account verwendete Passwort dassel-be (oder zumindest ein Ähnliches) ist, außer es handelt sich dabei natürlich um einen IT-Sicherheitsfachmann. Der würde einen solchen Fehler natürlich nicht bege-hen. Sicher?!

Um dafür ein paar Beispiele anzuführen, folgen ein paar Auszüge aus einem Vortrag, welchen ich auf der IT-SecX in Österreich gehalten habe. Ich würde gerne sagen, dass ich das Internet stundenlang nach diesen durchforstet habe, aber leider muss man offen zuge-ben, dass schon die ersten paar Seiten, die ich probiert habe, dieses Problem aufwiesen. Damit sich die betro-ffenen Betreiber etwas besser fühlen können: Ich habe deren Seiten nicht absichtlich hier angeführt, es waren nur die Ersten, die ich gefunden habe.

Allen voran ist die bekannte Seite wordpress.com mit hervorragenden Beispielen, wie es nicht gemacht wer-den sollte, zu nennen: Man kann nicht nur einfach er-kennen, ob der Benutzername gültig ist, es wird sogar Auskunft darüber gegeben, ob das Passwort stimmt, was ein wenig zu hilfreich ist. Die Antworten des Ser-vers können sehr einfach in Enumeration Attacks aus-gewertet werden.

Welche Schwachstellenliste könnte außerdem vollstän-dig sein, ohne dabei Apple zu nennen. In diesem Fall scheint das AppleID Formular auf deren Webseite die-ses Problem, auf den ersten Blick, nicht aufzuweisen (Sie können es gerne selbst testen, wenn sie mir nicht glauben). Weitere Recherche zeigt aber, dass die Pas-swort vergessen Funktion dieses Problem schon anhaf-tet – es kann einem nämlich kein Erinnerungsmail schi-cken, wenn die E-Mailadresse nicht registriert ist. Also kann genau das für Enumeration missbraucht werden.

Obwohl dieser Angriff User Enumeration erlaubt, wer-den alle gültigen Benutzer eine E-Mail, die sie an ihr AppleID Passwort erinnert, von Apple bekommen. Es ist daher keine subtile Attacke, als Nebeneffekt könnte aber zusätzlich ein DoS des Apple Mailservers entstehen. Für einen Angreifer würde das vielleicth einen Pluspunkt dar-stellen, für einen Penetration Tester nicht wirklich.

Diese Schwachstelle ist aber ein ausgezeichnetes Beispiel dafür, warum User Enumeration ein derarti-ges Problem darstellt. Man stelle sich folgendes Sze-nario vor: Ein Angreifer will nur bestimmte Benutzer in Form einer „spear phishing“ Attacke (also eine ge-zielt durchgeführte Phishing Attacke, bei der dem An-greifer sein Opfer zumindest teilweise bekannt ist) er-fassen. In diesem Fall hätte der Angreifer schon eine ausreichend lange Liste an E-Mailadressen, aber er hätte keine Möglichkeit, sicherzustellen, ob mit diesen E-Mailadressen eine AppleID verknüpft ist (ich glaube es ist offensichtlich, wohin das führt). Weil Apple die E-Mailadresse als Benutzername verwendet, kann der Angreifer nun diese Attacke einfach ausführen, indem er die seine Datenbank an E-Mailadressen verwendet und prüft, für welche davon eine AppleID existiert. Ei-nen Schritt weiter gedacht, kann der Angreifer nun ein Phishing-Mail zu allen gültigen Benutzern auf seiner Liste senden und sie (fälschlicherweise) informieren, dass die Erinnerungsnachricht, welche sie bekommen

User Enumeration mit Burp Suite

Es vergeht scheinbar kein Tag, ohne dass Webseiten gefunden werden, welche gegen User Enumeration Attacken verwundbar sind. Egal ob es sich dabei um kleinere oder größere Webapplikationen handelt, viele Webentwickler sind sich des Unterschiedes nicht bewusst, den Anwendern bei Fehlern hilfreiche Rückmeldungen oder zu viel Information Preis zu geben.

Chris John riley


hakin9.org/de 23

in Cookieinhalten durchführen kann, welche ansonsten wahrscheinlich unentdeckt bleiben würden. Sie sollten auch sicherstellen, jegliche Passwort-Rücksetzfunktionali-täten und bei Internet-Foren gerade die Instant Messaging Funktionen auf diese Schwachstelle zu überprüfen. Wenn Sie einen gültigen Account besitzen (und bei einem Pene-tration Test sollten sie doch einige zur Hand haben) und mit anderen Benutzern interagieren können, könnten In-stant Messaging und Chat-Funktionen die Nadel im Heu-haufen sein, nach der Sie suchen. Alles, worin sie einen

haben, Teil eines Angriffs auf deren Account gewesen wäre und sie jetzt einen beigefügten Link anklicken sollten, um ihr Passwort zurückzusetzen. Mit großem Erfolg könnte nun also ein Angreifer ausnutzen, wozu Benutzer jahrelang in Form von „Security Awareness Programmen“ sensibilisiert wurden: umgehend auf aut-hentische Sicherheitsmeldungen und –warnungen zu reagieren.

Wenn also auch professionelle Webapplikationen die-se Schwachstelle aufweisen, welche Hoffnung besteht noch für die Vielzahl von einfachen Webseiten? Ich fin-de viele solche Seiten oft im Zuge von Penetration Tests oder beim einfachen Surfen durchs Web, wenn möglich nehme ich auch Kontakt zum Betreiber auf (wenn es auch manchmal schwer ist, ihm das Problem klar zu machen). Führt man keinen Penetration Test mit schrift-licher Erlaubnis durch, dann kann man kaum mehr tun, als das Problem aufzuzeigen und weiter zu gehen. Hat man aber die Erlaubnis (wie gesagt: schriftlich), dann kann man ein paar einfache Scripts verwenden, um schnell eine Auflistung aller Benutzerkonten durchzu-führen und im Endbericht aufzuzeigen. Nur theoretisch über Probleme zu sprechen ohne Ergebnisse aufwei-sen zu können, wird einen nicht weit bringen, eine Liste mit allen Benutzernamen beginnend mit dem Buchsta-ben ‚A’ in petto zu haben, verschafft einem dagegen die unmittelbare Aufmerksamkeit so mancher Kunden.

Ok. ich bin überzeugt. Wie kann ich es testen?Wow, ich freue mich, dass Sie fragen. Es gibt viele Möglich-keiten, eine Enumeration von Benutzerkonten durch- zuführen, ganz abhängig von Ihren Scripting-Kenntni-ssen und verfügbaren Applikationen. Man könnte etwas in Python schreiben, ein Shellscript mit cURL benutzen etc. Um die Sache aber für diejenigen, welche im Scripting nicht so gut sind (wie auch ich selbst), einfacher zu gestal-ten werde ich im Folgenden Burp Suite’s Intruder Funktion verwenden und zeigen, wie sie für User Enumeration im Zuge eines Penetration Test verwendet werden kann.

Zuerst werden Sie aber eine Webapplikation benöti-gen, die unterschiedliche Fehlermeldungen ausgibt, je nachdem, ob ein Benutzer existiert. Typischerweise wird diese Applikation eine Fehlermeldung der Art „Benutzer-name konnte nicht gefunden werden“ oder „Falsches Pas-swort“ produzieren, dann ist sie auf jeden Fall verwundbar. Man könnte auch nach unterschiedlichen URL Pa-rametern, Cookie Werten, Redirects oder geringfügigen Änderungen im HTML Code selbst Ausschau halten. Der Schlüssel zum Erfolg ist hier die Dokumentation jeglichen Verhaltens der Webapplikation vor und nach einem An-meldeversuch. Burp Suite leistet gerade dabei hilfreiche Dienste. Genauer gesagt kann das Comparer Tool dazu verwendet werden, die Serverantworten zu untersuchen und Veränderungen festzustellen. Dies funktioniert auch für Veränderungen in Cookies, da Burp Suite einen wort- oder bytebasierten Vergleich zur Erkennung von Mustern Abbildung 2.

Abbildung 1.

4/201024

Angriff

Benutzernamen und ein Passwort eingeben können, kann ein möglicher Ausgangspunkt für Enumeration sein.

Der Angriff in AktionDa Sie nun wissen, wie Sie nach dieser Schwachstel-le im Zuge eines Penetration Test suchen, will ich nun einen beispielhaften Angriff mit ein paar einfachen PHP Login-Scripts durchgehen. Wenn Sie dieses Beispiel selbst testen wollen, können Sie die verwendeten Scripts und Wörterbücher (28 mögliche Benutzernamen) unter http://www.c22.cc/hakin9_burp.html herunterladen. Die

PHP Scripts verwenden ein einfaches Array, welche Be-nutzernamen und Passwörter beinhalten.

Beginnen wir aber mit ein paar Hintergrundinformatio-nen und dem Rahmen des Penetration Test. Gikacom ist eine kleine, aber aufstrebende, Firma auf dem Markt der Accessoires für Mobiltelefone (sie produzieren individu-elle Gehäuse für iPhone und Blackberry Geräte, die bei Stars sehr beliebt sind). Nachdem mehrere verdächtige Log-Einträge auf deren Webserver auffällig wurden, wur-de das Penetration Testing Team Ihrer Firma beauftragt, mehrere Tests der Website durchzuführen, um si-

Abbildung 3.

Abbildung 4.

http://www.c22.cc/hakin9_burp.html


hakin9.org/de 25

cherzustellen, dass Angreifer nicht deren Firmengeheim-nisse stehlen oder auf deren Kundendaten zugreifen. Der Test muss von außerhalb deren Firmennetzwerks stattfinden und nur die öffentlich zugänglichen Bereiche der Webseite dürfen getestet werden. Client-seitige An-griffe, Social Engineering und Denial of Service wurden explizit aus dem Testrahmen außen ausgeschlossen.

Vor dem eigentlichen Test beginnen wir mit ein paar Reconnaissance Überprüfungen der Firma und de-ren Webserver, um herauszufinden, welche möglichen Informationen gesammelt werden können. Die whois-Ergebnisse der DNS-Domäne gikacom.at geben ein-geschränkte Informationen über technische Ansprech-partner ([email protected] und [email protected]). Diese Information könnte später nützlich sein. Jegliche andere Information von Google, Google Code Suche, Newsgroups und regionaler Nachrichtenquellen erwei-sen sich als wenig hilfreich. Gehen wir weiter zur aktiven Reconnaissance, beginnen wir mit Spidering der Websi-te mit Hilfe der Burp Suite und DirBuster, wobei wir sehr bald etwas möglicherweise Nützliches finden. Zwei Da-teien, auf die nicht von der eigentlichen Webapplikation verlinkt wird, die aber mit /admin/login.php und /admin/lo-gin2.php direkt aufgerufen werden können. Werden diese beiden Testziele auf das Team aufgeteilt, kann jedes der Teammitglieder damit beginnen, weitere nützliche Infor-mationen zu suchen. Wie immer in solchen Tests, finden sich die üblichen Verdächtigen: detaillierte Informationen über die auf dem Server eingesetzte Softwareversion in den Response-Headern und Kommentare im Java-script-Quellcode, welche Informationen über 3 mögli-che Entwickler Preis geben (Paul Grady, Mary Kirby, Tim Billington). Schließlich müssen noch alle E-Mailadressen notiert werden, welche im Zuge des Spiderings gefun-den werden konnten, und die Metadaten aller gefunde-nen Office-Dokumente, PDF-Dateien oder JPG-Dateien auf der Webseite nach Informationen durchsucht wer-den. Die Metadaten bestätigen einige der schon gefun-denen Namen und auch die Software-Versionen, die lo-kal auf Clients verwendet werden, insgesamt führt das aber zu keiner neuen Spur. Da clientseitige Angriffe auch außerhalb des Testrahmens sind, können wir die aus den Metadaten lukrierten Informationen nicht vollständig ausnutzen.

Da es sich nur um eine kleine Website handelt, konnten diese Informationen relativ einfach manuell gesammelt werden. Bei größeren Websites hätten wir wahrscheinlich ein Script oder ein Tool wie CeWL ver-wendet, um diesen Prozess zu automatisieren.

Da wir nun eine Liste von Mitarbeiternamen und E-Mailadressen haben können wir beginnen, Schwach-stellen der Webapplikation auszunutzen. Während die anderen Teammitglieder sich mit der eigentlichen We-bapplikation beschäftigen, werde ich im ersten Schritt die beiden Scripte login.php und login2.php genauer un-tersuchen. Gehe ich auf die Seiten durch Burp Suite’s

transparenten Proxy, sehe ich, dass beide Seiten ein eine einfache Login-Maske bereitstellen und keine weiteren Informationen gegeben werden, was sich wirklich dahin-ter befindet. Beide Seiten scheinen vollständig identisch zu sein. Um sicherzugehen, dass ich nichts übersehe, lade ich jede Antwort des Servers in Burp Comparer und suche nach Unterschieden.

Burp zeigt, dass beide Seiten abgesehen von unter-schiedlichen Response Timestamps (was durchaus lo-gisch ist) ident sind, vielleicht handelt es sich dabei aber nur um einen Entwicklerfehler und beide Scripten sind identisch, haben aber unterschiedliche Namen. Ich gebe ein paar Testbenutzerdaten („test“ und „test“) in die Lo-gin-Maske der beiden Scripts ein und warte auf die Reak-tion. Login.php gibt eine Meldung „username not found“ aus, dagegen leitet mich login2.php direkt auf die Login-Seite um, ohne irgendeine Fehlermeldung auszugeben. Bei genauerer Betrachtung fällt auf, dass login2.php ei-nen Parameter „Errorcode=09001“ nach der Anmeldung mit dem Testbenutzer übergibt. Diese Reaktion der Web-applikation ist interessant, wir werden nun mit unserer Li-ste möglicher Benutzer aus der Reconnaissance Phase login2.php erneut aufrufen und den ersten Namen „john“ und ein Testpasswort in Erwartung auf die entsprechen-de Reaktion eingeben. Perfekt, dieses mal antwortet die Webapplikation mit einem 302 Redirect, um den Brow-ser dazu zu bringen, login2.php mit einem zusätzlichen

Abbildung 5.

4/201026

Angriff

Parameter „Errorcode=10001“ zu laden. Nach weiteren Versuchen bestätigt sich der Verdacht, dass der PHP-Code in login2.php einen unterschiedlichen ErrorCode Parameter zurückgibt, abhängig davon, ob der eingege-bene Benutzername korrekt ist. Das eignet sich erstkla-ssig für eine User Enumeration Attacke und, wenn kein Lockout Mechanismus implementiert ist, auch für eine Brute-Force Attacke gegen diejenigen Benutzernamen, welche tatsächlich existieren.

Ich lade den login2.php Request in den Intruder von Burp Suite und wähle aus dem POST Request den Teil mit dem Benutzernamen, um gegen diesen Wert ei-ne Sniper-Attacke durchzuführen. Das Passwort ist für mich derzeit noch nebensächlich, da ich nur eine Liste aller gültigen Benutzernamen bekommen will. Als Pay-load verwende ich unsere Liste von Benutzernamen von der Webseite, whois und den Metadaten. Ohne zu wi-ssen, wie die interne Namenskonvention aussieht, muss ich die Liste aber erweitern: die Liste enthält nun Kom-

binationen wie den Vornamen alleine (john), Vorname.Nachname(john.stclare), oder der Initial des Vornamens.Nachname (jstclare). Der Vollständigkeit halber füge ich der Liste auch noch für uns besonders interessante Be-nutzernamen hinzu wie root, admin, administrator, ma-nager, sysop, system, backup und god. Wenn das keine brauchbaren Ergebnisse liefert, wäre der nächste Schritt die Groß- und Kleinschreibung zu verändern. Insgesamt haben wir nun also 28 Möglichkeiten für den Test in die-ser ersten Phase, keineswegs zu viele.

Da das PHP-Skript mit einer 302 Redirect Meldung antwortet, gehe ich in Burp Intruder unter Options und setze die grep Parameter so, dass sie der HTTP Re-sponse und deren ErrorCode= Parameter im Header entsprechen. Um sicherzustellen, dass der Header auch untersucht wird, entferne ich die Selektierung von exclude HTTP headers und setzte die maximum captu-re length auf 1, da die erste Ziffer des ErrorCode aus-reicht, um zu unterscheiden, ob ein Benutzer existiert

Abbildung 6.

Abbildung 7.


hakin9.org/de 27

oder nicht (0 für einen falschen Benutzernamen, 1 für ein falsches Passwort). Es würde ja keinen Sinn erge-ben, den ganzen ErrorCode Parameter zu vergleichen, wenn deren einziges Unterscheidungsmerkmal in die-sem Fall die erste Ziffer ist.

Im Intruder ist es nach Beginn des Angriffs schon offensichtlich, dass die interne Namenskonvention dem kleingeschriebenen Vornamen des jeweiligen Benutzers entspricht, was zwar in vielen kleinen Unternehmen so üblich ist, aber sehr bald nur mehr schwer zu verwalten ist. Trotzdem, wir bekommen unsere gewünschten Er-gebnisse aus Burp Intruder, welche auch für die Entwi-ckler bei Gikacom zu einem Umdenken führen werden, wie sie in Zukunft ihre Webapplikationen testen. Nach-

dem sechs gültige Benutzernamen gefunden wurden, darunter auch ein „admin“ Benutzer, mache ich einen Screenshot und der Ergebnisse und notiere mir die gül-tigen Benutzernamen für später. Diese Liste wäre nun ideal für Brute-Forcing Angriffe gegen deren Passwort, wenn dies im Testrahmen vereinbart worden ist. Sie kann aber auch dann hilfreich sein, wenn wir Zugriff auf einen Server bekommen und eine Liste möglicher loka-ler Linux Benuzterkonten zum Testen brauchen.

Nun ist es aber an der Zeit, unsere Aufmerksam-keit auf login.php zu richten. Anders als login2.php gibt diese Seite dem Benutzer den jeweiligen Fehler direkt im Klartext aus. Fast einfacher als zuvor also. Da wir nun wieder einen Angriffvektor für eine User Enume-

Abbildung 8.

Abbildung 9.

4/201028

Angriff

ration Attacke gefunden haben, müssen wir nur Burp Suite entsprechend konfigurieren, um einen solchen Test auf login.php durchzuführen. Dieses mal werde ich den Vorgang Schritt-für-Schritt erklären.

Schritt für SchrittÖffnen Sie den Browser Ihrer Wahl und konfigurieren Sie ihn so, dass er Burp als Proxy verwendet (dies ist übli-cherweise localhost, Port 8080, kann aber in den Einste-llungen von Burp geändert werden). Es ist wichtig, dass Sie das Portswigger SSL Zertifikat akzeptieren, wenn ihre Testziel HTTPS verwendet. Ich würde empfehlen, das Zertifikat nur für die jeweilige Sitzung zu akzeptieren, um mögliche zukünftige Gefährdungen abzuwenden, au-ßer Sie wollen eine Man-in-the-Middle Attacke auf sich selbst ausführen, wenn Sie z.B.: das nächste Mal E-Ban-king Anwendungen verwenden. Als Nächstes gehen Sie auf die Seite login.php und drücken Sie den „intercept traffic“ Button in Burp Suite. Ab diesem Zeitpunkt können Sie jeglichen Traffic zwischen Ihnen und der Webappli-kation in Burp Suite untersuchen und verändern, bevor er abgeschickt wird. In der Standardeinstellung wird Burp Suite jeden Traffic, der von Ihrem Browser kommt, einse-hen, was aber, abhängig vom Testrahmen, nicht in allen Situationen wünschenswert ist. Daher werden wir in Burp Suite’s Proxy über den Reiter Options und Target Scope die Einstellungen so vornehmen, dass Traffic von und für andere Webapplikationen, die nicht im Testrahmen defi-niert sind, unverändert durchgeschleift wird.

Der erste Schritt besteht darin, Burp Suite zu sagen, welcher Traffic für unseren Test interessant ist. Im Rei-ter Target können wir auf zwei Arten den Testrahmen de-

finieren. Wenn Sie ohnehin schon zu der zu testenden Webapplikation durch den Proxy navigiert haben, be-kommen Sie eine Liste möglicher Ziele in der site-map und können per Kontext-Menü über den Eintrag add item to scope die entsprechenden Einträge auswählen. Ach-ten Sie dabei aber darauf, sowohl HTTP als auch HTTPS Sites auszuwählen, da Burp Suite diese getrennt behan-delt. Befindet sich Ihr Ziel dagegen nicht in der site-map Liste, dann können Sie die URL in die include in scope Liste direkt aufnehmen. Setzen Sie dazu den Protokoll-typ (all, http oder https) und geben Sie den Domainna-men/IP-Adresse und die gewünschte Portnummer ein.

Der zweite Schritt besteht darin, Burp Suite so zu kon-figurieren, dass nun wirklich nur mehr der Traffic aus dem oben definierten „scope“ untersucht werden soll, indem die entsprechenden intercept if Regeln erstellt und ausgewählt werden. Hier werden Sie zusätzlich die and URL is in target scope Regeln sowohl für clientse-itige Requests als auch serverseitige Responses akti-vieren wollen, um sicher zu gehen, dass sie die ganze Client-/Serverkommunikation einsehen können. Um die Untersuchung des Traffics schnell ein-/auszuschalten, können Sie dann den Button im proxy intercept Reiter verwenden.

ANMERKUNG: Gehen Sie vorsichtig damit um, Burp Suite auf einen einzelnen Host zu beschränken, denn auch wenn es sinnvoll sein kann, um ungewünschte Einsicht des Traffics durch den Proxy zu verhindern, kann es trotzdem zur Folge haben, dass Sie möglicher-weise interessanten Traffic zu anderen Webseiten über-sehen. Stellen Sie daher auf jeden Fall sicher, dass die Regeln den Testrahmen vollständig umfassen.

Abbildung 10.

Bachelor-Studiengang IT SecurityMaster-Studiengang Information Security

Das Studium vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruk-tur. Die Kombination aus Technik- und Managementwissen ist in Österreich einzigartig. Sie bildet die Grundlage für die zukünftigen Security-ExpertInnen im Unternehmen, die sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb beherrschen als auch mit Management-Aufgaben vertraut sind.

IT-Infrastruktur sichern und managen.

Der Master-Studiengang Information Security ist als konsekutiver Studiengang auf dem Bachelor- Studiengang IT Security aufgebaut.Im Masterstudiengang wird der praktische Kompe-tenzerwerb durch fächerübergreifende Problemstel-lungen, Forschungsseminare, Projekte und der wissenschaftlichen Abschlussarbeit (Diplomarbeit) sichergestellt.Diese 2-stufi ge Ausbildung macht die Absolvent-Innen zu gefragten ExpertInnen.

Berufsfelder: Sicherheitsbeauftragte/r (Chief Information-

Security-Offi cer) Compliance Offi cer, Risikomanager IT-Governance ExpertIn Datenschutzbeauftragte/r AuditorIn IT Security Solution Engineer/Architect Security-Consultant IT Infrastructure Engineer Security Quality Assurance ManagerIn Software Architect IT-Solution Architect

Die AbsolventInnen sind qualifi ziert, leitende undplanende Tätigkeiten auszuführen.

Immer mehr Prozesse eines Unternehmens werden EDV-unterstützt abgebildet und abgewickelt. Computerviren, Hacker, Datenverluste, Webattacken usw. stellen somit eine Bedrohung für die IT-Infra-struktur eines Unternehmens dar. Immer wieder hört man, dass hochsensible Daten verloren gehen oder in falsche Hände geraten. Bei einem Ausfall der IT-Infrastruktur können wichtige Tätigkeiten nicht mehr erledigt werden, was zu einem beträchtlichen fi nanziellen Schaden für das Unternehmen führen kann.Daraus resultierend ergibt sich eine große Nachfrage an Security-ExpertInnen, die sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb aufweisen, als auch mit Management-Aufgaben vertraut sind.

Ausbildungschwerpunkte:

IT-Betrieb Netzwerktechnik Sicherheitstechnologien Sicherheitsmanagement und Organisation Transferable Skills Software-Engineering

Fachhochschule St. Pölten GmbHMatthias Corvinus-Straße 15, 3100 St. Pölten, AustriaT: +43/2742/313 228 - 632, E: [email protected], I: www.fhstp.ac.at

Mit dieser Kombination aus Technik- und Management-wissen zum/zur gesuchten SicherheitsexpertIn!

Im Rahmen des Studiums können folgendeZertifi zierungen erworben werden:

CCNP – CISCO Career Certifi cations & Paths

PHSE – PHION Security Engineer

MCITP – Microsoft Certifi ed IT Professional

ITIL V3

Get certifi ed and you‘re on the spot!

Zertifi zierungen

Studium

IS_INS_HAKin_A4_2-2010.indd 1 22.12.2009 15:24:46

http://www.fhstp.ac.at/index

4/201030

Angriff

Um die Informationen, die wir benötigen, in Burp Su-ite zu bekommen, müssen wir uns in der Webapplika-tion als Testbenutzer anmelden (oder versuchen, das Passwort zurückzusetzen, eine IM zu versenden oder was auch immer als Schwachstelle in der zu testenden Webapplikation gefunden werden konnte). In diesem Fall geben wir test und test in der Anmeldemaske von login.php ein und senden die Eingaben an die Webap-plikation. Wenn Sie Burp Suite korrekt konfiguriert ha-ben, sollte es nun Ihren Request untersuchen und für Sie im proxy intercept Reiter zur Einsicht und Verände-rung wie gewünscht bereit halten. Wie Sie in Burp se-hen können, senden wir einen POST Request mit den Parametern „username“ und password, beide auf test gesetzt, zu login.php. Um die Informationen aus die-sem Request im Burp Intruder zu übernehmen, klicken Sie auf den Action Button wählen Sie Send to Intruder. Jetzt können Sie mittels Drop Button den Logon-Requ-

est entfernen, da er nicht mehr länger benötigt wird. Wir wissen ohnehin schon, dass die Antwort von login.php username not found oder password incorrect sein wird. Für den weiteren Verlauf des Tests verwenden wir nun den Intruder Reiter.

Burp Intruder hat vier weitere Reiter, welche es er-möglichen, die Testeinstellungen entsprechend Ihrer Bedürfnisse anzupassen. Im Gegensatz zum „Target“ Reiter (erklärt sich von selbst) werden wir uns den „Po-sitions“ Reiter vornehmen, da wir dort festlegen kön-nen, an welcher Stelle im Request welche Ersetzungen vorgenommen werden müssen bzw. den Angriffstyp ändern können (auch wenn die Oberfläche anfangs ein bisschen verwirrend ist). Abhängig von der Web-applikation wird Burp Suite versuchen, die nahe lie-gendsten Punkte zum Einfügen von Daten für unse-re Tests selbst auszuwählen. In unserem Test wollen wir aber keine Brute-Force Attacke auf alle Felder dur-chführen, daher löschen wir diese automatisch ausge-wählten Punkte mit dem „Clear §“ Button. Wenn der Bildschirm nun frei von roten Markierungen ist, suchen wir nach der Stelle im Request, wo der Testbenutzer-name aufscheint. Der Request wird zwar bei jeder Webapplikation anders sein, wird aber höchstwahrs-cheinlich ein POST Request sein, die Parameter wer-den also am Ende des Requests übergeben (dies ist auch bei login.php der Fall). Wenn die Webapplika-tion aber einen GET Request verwendet, werden die Parameter an der URI am Beginn des Request ange-hängt. Für die Sicherheit der Webapplikation ist das eine denkbar schlechte Idee, wird aber im Internet trotzdem gerne verwendet. Haben Sie dann den Test-benutzernamen im Request gefunden, setzen Sie den Cursor davor und drücken Sie den „add §“ Button und wiederholen Sie den Vorgang am Ende des Testbe-nutzernamens noch einmal, um den Punkt, wo Daten eingefügt werden müssen korrekt auszuwählen. Burp wird nun alles, was sich zwischen diesen Markierun-gen befindet, mit den entsprechenden Werten aus der Liste möglicher Benutzernamen ersetzen. Bevor Sie aber weitermachen, vergessen Sie nicht die Option „at-tack style“ korrekt zu wählen: in diesem Fall verwenden wir die „Sniper“ Attacke, da wir nur dieses eine Ziel ha-ben. Die anderen Optionen können Sie nach ihren Be-lieben ausprobieren, da sich hier noch einiges mehr als nur einfache User Enumeration realisieren lässt. Burp ist ein sehr mächtiges Werkzeug zum Testen von We-bapplikationen und User Enumeration bedarf nur weni-ger Funktionen davon.

Nachdem wir nun die notwendigen Ersetzungen im Request konfiguriert haben, gehen wir weiter zum „Pay-loads“ Reiter und legen fest, was wir in den Request einfügen wollen. Was Sie hier genau benötigen, wird stark von der Art des durchzuführenden Tests abhän-gen. Sie konfigurieren Burp Intruder nun so, dass er die Eingaben aus einer Datei bezieht, durch „Preset List“

Abbildung 11.

Abbildung 12.


hakin9.org/de 31

und „load“, um die gewünschte Liste auszuwählen. Die-se Liste sollte pro Zeile je ein Wort enthalten, um feh-lerfrei eingelesen zu werden. Für das login.php Beispiel können Sie sehr einfach ein Wörterbuch erstellen, le-sen Sie einfach aus dem PHP-Code die gültigen Be-nutzernamen aus und erstellen Sie eine Liste davon. Natürlich haben Sie ansonsten fast nie 100% genaue Ergebnisse, oder, gerade wenn sie diese haben, ma-chen Sie vielleicht etwas falsch und sollten die Markie-rungen für die Ersetzungen überprüfen.

Natürlich gibt es aber eine Reihe anderer Quellen für Wörterbücher (sie finden so manche gute Quelle bei den Links). Im Endeffekt ist aber ihr verwendetes Wör-terbuch, egal ob fertig heruntergeladen oder selbst er-stellt, stark abhängig von der zu testenden Webapplika-tion. Ein guter Anfang ist aber sicherlich damit gelegt, wenn Sie die Website nach Kontaktdaten (E-Mailadre-ssen und Metadaten von Dokumenten sind hier beson-ders nützlich) absuchen und daraus ihr Wörterbuch er-stellen. Wie sie das machen, ist auch Ihnen überlassen, Sie können dazu entweder ein Script schreiben oder auch ein Tool wie CeWL (Custom Word List Generator) von DigiNinja verwenden. Die Erstellung von passen-den Wörterbüchern würde aber einen eigenen Artikel füllen, daher lasse ich Ihnen die Wahl, welche Methode Sie verwenden wollen. Verwenden Sie am besten wget und ein paar Filter (sort, uniq) für bessere Ergebnisse.

Zurück aber zu den Burp Intruder Optionen. Wenn Sie einfach eine Brute-Force Attacke durchführen wo-

llen, dann ist die Option „Brute Forcer“ das Richtige für Sie. Sie können den Zeichensatz und die minimale/ma-ximale Länge entsprechend auswählen. Das kann auch nützlich sein, wenn man Kontonummern oder numeri-sche Anmeldedaten auflisten will. Es gibt auch noch eine Fülle weiterer Optionen, aber für einfache User Enumeration sind diese nicht notwendig. Am Ende des „Payloads“ Tab können wir festlegen, ob speziel-le Zeichen URL-kodiert übertragen werden sollen, was aber sicherlich von der Art ihres Angriffs und der jeweili-gen Webapplikation abhängt. Aber wie schon oben ge-sagt, wir machen nun eine Sniper Attacke.

Das letzte Puzzlestück ist der „Options“ Reiter. Die mei-sten Leute werden über diesen hinweg sehen, aber wer-den dort die Einstellungen nicht entsprechend gesetzt, ist es unmöglich zu wissen, ob ein Benutzer tatsächlich existiert oder nicht. Burp kann schließlich nicht wissen, welche Mustervergleiche es in der Server Response ma-chen soll. Am Ende des „Options“ Reiter finden Sie die „grep“ Einstellungen, die schon eine Liste mit Standard-einstellungen von Burp enthält, jedoch nicht die für un-sere Tests notwendige Option enthält (denken Sie an die Reconnaissance Phase). In unserem Beispiel suchen wir nach dem Text „password incorrect“. Bei einer ande-ren Webapplikation kann das aber ein spezifischer HT-ML-Tag, URL-Parameter (zb.: ?logon= oder ?ErrorCo-de=) oder ein einfacher Textstring wie hier sein.

Beginnen Sie damit, die Standardeinstellungen aus der Liste mit Hilfe des „Clear“ Button zu entfernen, fü-

Abbildung 13.

4/201032

Angriff

gen Sie ihre gewünschten Mustervergleiche mit Strings aus der HTTP Response in die „add“ Box ein und über-nehmen Sie diese anschließend mit einem Klick auf „add“ in die Liste. Versuchen Sie aber, dies so genau als möglich zu definieren und achten Sie dabei auch auf Groß- und Kleinschreibung bzw. ob Sie auch HTTP Header Optionen inkludieren wollen. Wenn Sie näm-lich einen URL Parameter prüfen wollen wie beim An-griff auf login2.php notwendig, müssen Sie die Au-swahlbox „exclude HTTP headers“ deselektieren oder Sie bekommen keine Ergebnisse. Wie auch bei vielen anderen Applikationen gibt es eine Reihe weiterer Pa-rameter, die Sie hier verändern könnten, Sie könnten Cookie Werte, Redirect Optionen und Timingwerte, je nach Webapplikation und Testkriterien setzen. Ti-ming ist ganz besonders interessant, wenn Sie den

Test mit einer lizenzierten Version von Burp durch-führen und sensible Produktivumgebungen testen müs-sen. Dann können Sie die produzierte Last für den Ser-ver oder die Verbindung zwischen Ihnen und dem Ser-ver begrenzen, um nicht den Server, den Router oder die Leitung mit HTTP Requests zu überlasten. Denial of Service befindet sich ja nur sehr selten innerhalb eines Testrahmens in Produktivumgebungen.

Haben wir einmal alle diese Optionen gesetzt, können wir mit der User Enumeration beginnen. In der obersten Menüleiste finden Sie einen Eintrag „Intruder“, den Sie einfach anklicken. Diejenigen von Ihnen, die die freie Version verwenden, werden jetzt einen Hinweis beko-mmen, dass der Intruder nur eine Demo-Funktion ist und die lizenzierte Version eine Reihe weiterer Funktion be-inhaltet. Ich selbst habe lange Zeit mit der freien Version

Abbildung 14.


hakin9.org/de 33

gearbeitet (über ein Jahr) und fand sie perfekt für ein-fache Proof-of-Concept Enumeration wie diese. Die Ge-schwindigkeit der lizenzierten Version und die zusätzli-chen Scanner Funktionalitäten machen einem das Leben als professioneller Penetration Tester aber dennoch ein-facher, das sollten einem die ₤125 für eine 12monatige Lizenz von Version 1.2 schon wert sein. Alleine schon die zusätzlichen Intruder Funktionen machen es wert, aber wie gesagt, das liegt bei Ihnen. Verwenden Sie die freie Version sollte der Scan mit einer Liste von 128 Namen etwas weniger als 5 Minuten dauern, mit der lizenzierten Version erledigen Sie ihn dagegen in 10 Sekunden.

Also zurück zur Enumeration. Abhängig von Ihrem Wör- terbuch kann das also eine Weile dauern (ganz besonders, wenn Sie die freie Version verwenden), wenn Sie aber erwarten, dass Sie ein Wörterbuch mit 10.000 Wör-tern verwenden können und unmittelbar danach Ergebnisse bekommen, werden Sie enttäuscht sein. Einerseits wird nämlich das Unternehmen, für das Sie den Test durch- führen, eine Reihe von fehlerhaften Login-Versuchen in deren Server- und Applikationsprotokollen finden, ande-rerseits werden Sie nun in Burp eine Liste bekommen, welche Ihre Payload, die Status Message (ca. 200 bei lo-gin.php) und Ihren Mustervergleich (in diesem Fall „pas-sword incorrect“) enthält. Ihre Ergebnisse können hier variieren, ganz abhängig von Ihrer gewählten Payload, z.B.: werden Sie bei einem reinen Brute-Force Angriff auch eine geraume Zeit auf das Ende der Tests warten müssen (die Brute-Force Attacke kann hier zwar oft in-teressante Ergebnisse bringen, ist aber üblicherweise nicht die Methode erster Wahl). Wenn Sie dagegen ein sorgfältig zusammengestelltes Wörterbuch verwenden bekommen Sie wahrscheinlich bessere, vor allem aber schnellere Ergebnisse. Noch besser wäre natürlich, Sie

kennen die Konventionen für die Zusammensetzung des Benutzernamens, auch beispielsweise von einer Kon-taktliste heraus, dann ist es durchaus nicht unmöglich alle verwendeten Benutzernamen zu finden.

Wie zuvor erwähnt ist Burp Suite ein mächtiges Tool, wenn es um Tests bei Webapplikationen geht, und defi-nitiv nicht nur auf User Enumeration beschränkt. Der In-truder kann auch für Password Brute-Forcing oder ein-fache Fuzzing Angriffe verwendet werden. Insgesamt würde ich jedem Penetration Tester von Webapplikatio-nen empfehlen, sich die Funktionen von Burp Suite ge-nauer anzusehen.

Andere AngriffsvektorenNeben der Enumeration von Informationen aus der Web- applikation heraus kann ein potentieller Angreifer auch direkt an die Quelle gehen, um dort Benutzernamen zu ermitteln. Sie fragen sich nun vielleicht, wie das möglich sein soll? Indem er direkt vom Apache Webserver die Benutzerkonten des darunter liegenden Betriebssystem abfragt und diese wertvolle Information zwar nicht direkt zur Exploitation, wohl aber im Zuge der Post-Exploita-tion verwenden kann. Sie kennen vielleicht das Apache Modul mod_userdir, welches gerne vor allem von Schu-len und Universitäten zur Bereitstellung von Webspa-ce für ihre Studenten verwendet wird, auf diesen kön-nen sie dann mit der URI /~username zugreifen. Auch viele Unternehmen verwenden, wenn auch manchmal aus einem Irrtum heraus, diese Funktionalität. Mit einer Liste möglicher Benutzernamen (root, ftp, guest, etc …) können wir anhand der Responses wieder eine Enu-meration Attacke durchführen und die gültigen Benu- tzernamen herausfiltern. Der einzige Unterschied für Sie dabei ist, dass Sie nun nicht einen Mustervergleich

Abbildung 15.

4/201034

Angriff

auf den Inhalt der HTTP Response anwenden, sondern direkt anhand des Status Code (200, 404, 403, 302, …) sehen, ob ein Benutzername existiert oder nicht.

Wie Sie anhand des obigen Bildes erkennen kö-nnen, haben wir eine Reihe möglicher Benutzerkonten auf dem Server gefunden. Um ein genaueres Bild zu bekommen, müssen Sie die HTTP Status Codes ke-nnen. Von den drei unterschiedlichen Codes, die Sie zurückbekommen, hat der Code „200“ die Bedeutung

„OK“ und beweist, dass der Request einen gültigen URI enthalten hat und dieser abgerufen werden kann. Der Status Code „403“, „Access Forbidden“, zeigt an, dass die URI aus dem Request zwar existiert, wir darauf aber nicht ohne Weiteres zugreifen dürfen. Ein Status Code „404“ wird zu „Not Found“ und zeigt an, dass eine URI nicht existiert. Für einen vollständigen Überblick über alle Status Codes sei aber auf RFC-2616 verwiesen.

Wann immer wir also einen „200 OK“ oder eine „403 Access Forbidden“ Status Code erhalten, können wir davon ausgehen, dass der Benutzer auf dem jeweili-gen Server existiert. Bei einer HTTP Response „200 OK“ können wir den Inhalt ohne jegliche Authentifizierung sehen. „403“ dagegen weist darauf hin, dass die Re-ssource zwar existiert, wir auf diese aber nicht zugreifen dürfen. Es gibt bei diesem Status Code noch ein paar Ausnahmen (wie z.B.: die Verwendung von mod_securi-

Abbildung 16.

Abbildung 17.


hakin9.org/de 35

ty zur Zugriffsbeschränkung), aber üblicherweise werden wir damit die benötigten Informationen erhalten. Es zahlt sich zusätzlich aus, alle HTTP Responses mit Status Co-de „200“ zu untersuchen, um festzustellen, welche Art von Information hier frei zugänglich gemacht wird. Wie auch immer, das Ziel hier ist aber eine Liste der Benutzer

auf diesem System für spätere Verwendungszwecke wie Brute-Force Angriffe, Social Engineering oder eine Reihe anderer möglicher Angriffsvektoren zu erstellen.

Wie bei vielen Beispielen auch erwähnt, gibt es vie-le andere Tools, mit denen Enumeration von Informa-tionen durchgeführt werden kann, für das mod_userdir

Abbildung 18.

Abbildung 19.

4/201036

Angriff

Beispiel würde sich wahrscheinlich das TheDirBuster Projekt von OWASP genauso eignen, da es eine Liste gängiger Benutzernamen enthält und auch die Möglich-keit bietet, per Brute-Force schwer zu findende Ressourcen und Verzeichnisse aufzulisten.

ZusammenfassungWas können also Ihre Webentwickler nun tun, um Ihre Applikationen vor solchen Attacken zu schützen? Wie bei vielen Schwachstellen in Webapplikationen ist auch diese einfach zu besprechen, aber nicht einfach zu ver-hindern. In einfachen Worten gesprochen, müssen Ihre Webentwickler nur sicherstellen, dass jegliche Informa-tion, die dem Benutzer zurückgegeben wird (sichtbar im HTML-Code oder im HTTP-Header) unabhängig von der serverseitigen Reaktion vollkommen gleich ist. Wie wir gezeigt haben, gibt es eine Reihe von Punkten, wo ein Penetration Tester hier ansetzen kann (URL Para-meter, HTML Inhalte, Cookie Werte), die Liste ist lang. Sogar anhand geringfügiger Unterschiede der jeweili-gen Antwortzeit des Servers kann, so die Theorie, auf-grund der längeren Antwortzeit der Backend-Datenbank (Millisekunden) festgestellt werden, ob ein Benutzer-name korrekt ist oder nicht. Dieser Angriffsvektor kann aber viel schwerer ausgenutzt werden, da hier eine Reihe von Komponenten involviert sind, aber es ist den-noch möglich. Manche Blind SQL Injection Techniken ba-sieren auf derselben Theorie bezüglich der Antwortzeit. Jeglicher Unterschied kann also verwendet werden, um Gültigkeit oder Ungültigkeit von übermittelten Werten zu verifizieren, Benutzernamen sind dafür nur ein Beispiel.

Das Geheimnis liegt also darin, einen Kompromiss zwi-schen Webapplikationssicherheit und –bedienbarkeit zu finden, was eigentlich im Sicherheitsumfeld in allen Be-reichen der Fall ist. Wenn Sie also die Meldungen für Be-nutzer aus bestimmten Gründen nicht verändern können, dann sollte es reichen, eine Verifikation mit „Captchas“ zusätzlich nach z.B.: drei falschen Anmeldeversuchen zu implementieren, um User Enumeration zu verhindern. Stellen Sie dabei nur sicher, dass der Auslöser für diese erweiterte Verifikation nicht selbst wieder eine erkennbare Veränderung darstellt, keinesfalls also ein URL Parame-ter, Cookie Wert oder ein anderer Wert ist, den ein An-greifer nur verändern bzw. entfernen muss, um die Sache

zu umgehen. Sogar die Captchas können mit etwas kom-plexeren Scripts umgangen werden, wie Beispiele aus der Vergangenheit (Yahoo, Google) beweisen. Außerdem kann es mit Captchas auch zu Problemen der Bedienbar-keit kommen, aber das ist eine ganz andere Geschichte.

Was können nun Wordpress oder Apple tun, um die gezeigten Schwachstellen zu bereinigen?

Im Fall von Wordpress reicht es aus, einfach die Mel-dung an den Benutzer so zu verändern, dass „Userna-me/Password incorrect“ keinen Rückschluss auf die Gültigkeit des Benutzernamens erlaubt. Ich glaube aber dennoch, dass hier eher ein geschäftlicher als ein tech-nischer Hintergrund besteht, darum ist auch ein SDLC (Secure Developement Lifecycle) so wichtig. Man kann eine ständig weiterentwickelte Webapplikation nicht an-ders schützen, als durch ständige Sicherheitsüberprüfung schon während der Entwicklung. Wird eine Applikation einmal der Öffentlichkeit zugänglich gemacht, könnte es schon zu spät für viele Änderungen sein. Wären aber die Fehler vor Veröffentlichung gefunden worden, wäre es wahrscheinlich einfacher gewesen, die Rückmeldungen für den Benutzer sicherer zu gestalten. Schlussendlich wird ein Benutzer niemals eine Funktionalität vermissen, die niemals in einer öffentlichen Version verfügbar war.

Im Fall von Apple ist die Situation um Einiges komplizier-ter. Da sich die Lücke in der Funktionalität zum Zurück-setzen des Passworts befindet, müsste Apple’s Websei-te immer eine Erfolgsmeldung anzeigen, auch wenn die eingegebene E-Mailadresse nicht korrekt ist. Dies würde dann die Auflistung aller gültigen E-Mailadressen (durch jeden Angreifer, Spammer oder Phisher) verhindern, aber auch Benutzer treffen, die ihre E-Mailadresse falsch eingegeben haben. Die Verwendung eines Captchas könnte nun auch vor möglichen Angriffen schützen, den-noch muss hier wieder Sicherheit und Benutzbarkeit in die Waagschale gelegt werden: mehr als oft wird daher das Risiko verbunden mit derartigen Attacken akzeptiert. Schlussendlich können wir nur versuchen, die Dinge besser zu machen. You can lead a horse to water, but you cannot make him drink - John Heywood

CHriS JOHn riLEY Der Autor ist ein IT Security Analyst bei der Security Compe-tence Center der Rai� eisen Informatik GmbH, Österreich. Chris gehört zu den aktiven Bloggern (www.22.cc) und Sie können Ihn auch auf Twitter � nden (twitter.com/ChrisJohn-Riley). Vielen Dank an Bernhard Thaler für die Unterstützung bei der Übersetzung dieses Artikels für die Verö� entlichung in der deutschen Ausgabe.

Links Burp Suite --> www.portswigger.netIT-SecX (DE) --> http://itsecx.fhstp.ac.at/includes/archiv_2008/unterlagen_2008.htmlWordlists --> http://www.cotse.com/tools/CeWL --> http://www.digininja.org/cewl.phpApache Mod_userdir -- > http://httpd.apache.org/docs/2.2/mod/mod_userdir.htmlDirBuster --> http://www.owasp.org/index.php/Category:OWASP_DirBuster_ProjectHTTP/1.1 Server Response Codes --> http://www.w3.org/Pro-tocols/rfc2616/rfc2616-sec10.html

http://itsecx.fhstp.ac.at/includes/archiv_2008/

http://www.cotse.com/tools/

http://www.digininja.org/cewl.php

http://httpd.apache.org/docs/2.2/

http://www.owasp.org/index.php/Category:

http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

Hi Nerds, hi Admins! Tired searching logs by hand?

Suchen auch Sie jeden Tag in Hunderten von Gigabyte Logs herum, um Probleme zu lösen? Träumen Sie dabei jedesmal von einem geeigneten Werkzeug? Wir haben es für Sie: splunk>.

splunk> ist das effiziente Werkzeug für Ihre Log-Analyse. Sie können damit alle Logformate Volltext-Indexieren und an einem zentralen Punkt erfassen, in Echtzeit durchsuchen, analysieren, visualisieren, reporten und alerten.

Mit splunk> reduzieren Sie deutlich Ihren Zeitaufwand zur Fehlererkennung, gewinnen Transparenz, steigern Verfügbarkeit und IT-Sicherheit. Und Sie können ent-spannen und pünktlich nach Hause gehen.

splunk> Needle. Haystack. Found.

10 % Extra Rabatt * und kostenloser Support während der Testzeit* auf den empfohlenen EVP gültig bis 31.07.2010

Jetzt registrieren:[email protected]>> www.it-cube.net/splunkPhone: +49 (0)89 2000 148 00

splunk> Testwochen

Splunk Offers a New ApproachNo schema, no RDBMS, all your IT data.

splunk> Googlelize your logs.

Discover New Intelligence from Business & IT Data

splunk> - Highlights

» Erfassung von Logdaten beliebiger Betriebssyste-me, Anwendungen, Netzwerkgeräte, Sicherheitslö-sungen, JMX and J2EE stack traces - in Echtzeit

» Vordefinierte Dashboards, Searches, Reports, Alerts, Correlations

» Skalierbare, flexible, verteilbare Systemarchitektur für alle gängigen OS

» Performante, skalierbare Indexierung bis 5 TB/Tag

» Intelligente und verteilte Suchfunktionen

» Erkennung von Spikes, Anomalien und Trends

» Integration mit Verfügbarkeits-Monitoring, Incident Management und Trouble Ticketing Systemen

Business Systems

CustomersSalesTariffsFinance

Operations Systems

ApplicationsServersNetwork DevicesVirtual Machines

http://www.it-cube.net/splunk

4/201038

Abwehr

Durch die Präparation von Qubits in bestimmten zufälligen Zuständen lässt sich erreichen, dass das Abhören der übertragenen Schlüsselbits

durch einen Angreifer zwangsläufig in einer erhöhten Fehlerrate resultiert und damit feststellbar wird. Der In-formationsgewinn eines Angreifers kann dadurch be-liebig verringert werden. E91 dagegen verwendet das Prinzip der Verschränkung, um ebenfalls maximale Sicherheit beim Schlüsselaustausch zu erreichen.

In den ersten beiden Teilen dieser Reihe über Quan-ten-Kryptografie (QC, [1] und [2]) wurde neben einer allgemeinen Einführung in die Grundprinzipien der QC auch der Formalismus vorgestellt, der die Basis für QC-Protokolle bildet. In der QC geht es im Wesentlichen um die Lösung des Problems des sicheren Schlüsse-laustauschs, bezeichnet als Quantum Key Distribution (QKD).

Grundsätzlich gibt es heute zwei verschiedene Kate-gorien von QKD-Protokollen, die auf folgenden Grund-prinzipien beruhen:

• Präparierung&Messung (Prepare&Measure)• Verschränkung (Entanglement)

Bei ersteren werden vom Sender einzelne Qubits in bestimmten Zuständen erzeugt (präpariert), die dann auf Empfängerseite gemessen werden. Verschrän-kungsprotokolle hingegen verwenden eine Quelle, die verschränkte Qubit-Paare erzeugt, von denen dann

beide Kommunikationspartner jeweils eines erhalten und Messungen durchführen.

Die beiden bekanntesten Protokolle sind BB84 (Prepare&Measure) und E91 (Entanglement), die im Folgenden vorgestellt werden. Aufgrund seiner großen Bedeutung liegt der Schwerpunkt dabei auf BB84, das im Jahr 1984 von Bennett und Brassard entwickelt wur-de (daher auch der sprechende Name).

Dieses Protokoll wurde zum ersten Mal 1991 mit pola-risierten Photonen praktisch umgesetzt, wobei ein Quan-ten-Schlüssel über eine Strecke von 32 cm übertragen wurde, 2001 gelang dies über etwa 23 Kilometer. Mit heutigen Techniken sind über Glasfaser und Free-To-Air Entfernungen von über 100 Kilometer möglich und kommerziell verfügbar.

Obwohl die Sicherheit von BB84 inzwischen formal be-wiesen ist, ist es lohnenswert, mögliche Angriffsstrategien (Lauschstrategien) genauer zu betrachten, da man so ein besseres Verständnis des Protokolls an sich gewinnt.

E91, das 1991 von Ekert unabhängig von BB84-Pro-tokoll entwickelt wurde, basiert auf etwas komplizierte-ren physikalischen Grundlagen (Stichwort Bell-Unglei-chung). Ohne hier zu tief in die Details zu gehen, wird zumindest der Ablauf des Protokolls dargestellt, um den Unterschied zu BB84 zu verdeutlichen.

Das bb84-ProtokollBB84 besteht aus folgenden Bestandteilen/Akteuren: Einem Sender, Alice, einem Empfänger, Bob, einem

Quanten-Kryptografie (Teil 3) – Schlüsselaustausch-Protokolle

Schlüsselaustausch-Protokolle der Quanten-Kryptografie beruhen auf zwei verschiedenen Prinzipien, zum Einen auf der Präparierung/Messung von Qubits und zum Anderen auf der Verschränkung eines Qubit-Paares. BB84, als Vertreter der ersten Kategorie, ist das erste und immer noch wichtigste Quanten-Protokoll.

In diesem Artikel erfahren Sie...• Was Prepare&Measure Protokolle sind;• Was Verschränkungs-Protokolle sind;• Funktionsweise des BB84 Protokolls;• Lauschstrategien gegen BB84;• Funktionsweise des E91 Protokolls.

was Sie vorher wissen/können sollten...• Mathematische Grundkenntnisse;• Grundkenntnisse der Quanten-Kryptografie.

Dr. Stefan M. Ritter

Schlüsselaustausch-Protokolle

hakin9.org/de 39

Die Zustände |0> bzw. |+> entsprechen also dem klassis-chen Bitwert 0, entsprechend |1> bzw. |-> dem Bitwert 1.

Liegt der Zustand |+> bzw. |-> vor und man misst bzgl. Basis A, so ergibt sich mit gleicher Wahrscheinlichkeit |0> oder |1>, während eine Messung bzgl. Basis B mit Sicherheit den Zustand |+> bzw. |-> ergibt. Eine Mes-sung bzgl. Basis B bedeutet, dass man auf das vorlie-gende Qubit mit der Hadamard-Transformation in Basis A überführt und anschließend bzgl. Basis A misst.

Analog ergibt sich mit gleicher Wahrscheinlichkeit |+> oder |->, wenn der Zustand |0> bzw. |1> vorgelegen hat.

bb84 ohne rauschenZum besseren Verständnis werden wir zunächst das BB84 Protokoll idealisiert betrachten, i.e. ohne Rauschen auf der Leitung. In der Praxis können Übertragungsfeh-ler auftreten, die zu einer Modifizierung des Protokolls führen, was weiter unten besprochen werden wird.

Quantenkanal zur Übertragung der Qubits sowie einem klassischen Kanal zur Kontrolle und letztlichen Festle-gung der zu verwendenden Schlüsselbits. Dieser kla-ssische Kanal ist erforderlich und muss authentifiziert sein, damit kein Man-in-the-Middle Angriff möglich ist und Alice und Bob den ausgetauschten Nachrichten vertrauen können. Es wird jedoch nicht verlangt, dass klassischer und Quanten-Kanal vertraulich (verschlü-sselt) sind, die dort übertragenen Daten sind also prin-zipiell öffentlich.

Hinzu kommt üblicherweise noch ein Angreifer, Eve, die versucht, die übertragenen Schlüsselbits in irgend-einer Form abzuhören, um zumindest eine partielle Kenntnis des Schlüssels zu erlangen.

Das Ziel von BB84 ist nicht die Realisierung einer Verschlüsselung, sondern der sichere Austausch von Schlüsselbits, die anschließend zum Beispiel für ein One-Time Pad genutzt werden können.

Typischerweise wird als Träger der Qubits die Polari-sation von Photonen verwendet, es gibt aber auch an-dere Realisierungsmöglichkeiten.

Das Entscheidende an diesem Protokoll ist die Tat-sache, dass ein Mithören durch Eve für Alice und Bob feststellbar ist, oder zumindest der Informationsgewinn Eves beliebig klein gemacht werden kann. Grundlage dafür bilden keine komplexen mathematischen Prob-leme, sondern Eigenschaften der Natur selber. Eigen-schaften wie Superposition und Unschärfe, die man aus der klassischen Kryptografie so nicht kennt.

Im Folgenden wird BB84 in einer Form präsentiert, die unabhängig von der konkreten Umsetzung ist. Auf einen Transfer auf die Praxis wird dann am Ende dieses Beitrags eingegangen, indem zum Beispiel die Polari-sation des Lichts als Träger der Qubits verwendet wird.

Im BB84-Protokoll werden die Qubits in vier verschie-denen Zuständen kodiert, wobei jeweils zwei dieser Zustände zu einer Basis gehören. Die beiden Zustands-vektoren einer Basis sind zueinander orthogonal (ma-thematisch ausgedrückt ergibt ihr Skalarprodukt Null). Betrachtet man jedoch zwei Zustandsvektoren, die je-weils zu einer anderen Basis gehören, so stehen die-se nicht orthogonal zueinander. Diese Eigenschaft ist wichtig für die Sicherheit von BB84.

Letztere Eigenschaft bedeutet nämlich, dass die Me-ssung eines Basisvektors in der anderen Basis maxi-mal unbestimmt ist (siehe zum Beispiel [2]) oder anders ausgedrückt: man kann den Zustand eines Qubits nicht gleichzeitig genau bzgl. beider Basen bestimmen.

Die Standardbasis A={|0>,|1>} sowie die Hadamard-Basis B={|+>,|->} erfüllen diese Voraussetzung, wobei folgende wichtige Beziehungen gelten:

|+> = 1/ (|0> + |1>) (Bitwert 0)|-> = 1/ (|0> - |1>) (Bitwert 1)|0> = 1/ (|+> + |->) (Bitwert 0)|1> = 1/ (|+> - |->) (Bitwert 1)

Infobox: Qubits & CoQubitsDas, was in der klassischen Informationstheorie die Bits sind, sind in der Quantenwelt die sogenannten Qubits. Sie sind die Träger der Quanteninformation und können physi-kalisch auf vielfältige Weise realisiert werden, zum Beispiel über die Polarisation von Photonen oder den Spin von Teil-chen. Man fasst Qubits als Elemente eines 2-dimensionalen speziellen Vektorraums (Hilbertraum) auf, mit den beiden Grundzuständen |0> und |1>, entsprechend den klassischen Bitwerten 0 und 1. Die Menge {|0>,|1>} wird als Standardba-sis dieses Vektorraums bezeichnet. Im Gegensatz zu Bits können sich Qubits in einer Überlage-rung, einer Superposition dieser beiden Zustände befi nden: |ψ> = α|0> + β|1>. α und β sind komplex-wertige Zahlen, be-zeichnet als Wahrscheinlichkeitsamplituden. Führt man ei-ne Messung an einem Qubit durch, so ergibt sich mit der Wahrscheinlichkeit |α|2 der Zustand |0>, mit Wahrschein-lichkeit |β|2 der Zustand |1>. Damit die Wahrscheinlichkeit insgesamt 1 ergibt, gilt die Rahmenbedingung |α|2 + |β|2 = 1.Bras und KetsDas Symbol |ψ> geht auf Dirac zurück und wird als ket be-zeichnet, entsprechend heißt <ψ| bra, abgeleitet von en-glisch bracket. Für zwei Qubits ist ein Skalarprodukt defi -niert: <Φ,ψ>, das den Anteil von ψ in Richtung von Φ aus-drückt. Zwei Qubits heißen orthogonal, wenn ihr Skalarpro-dukt 0 ergibt.Hadamard-TransformationÄnderungen des Qubit-Zustand bildet man mathematisch mit speziellen Matrizen ab, sogenannten unitären Matrizen. Ein wichtiges Beispiel ist die Hadamard-Matrix H, die die Standardbasis in eine andere Basis des Qubit-Vektorraums überführt:

H = 1/

H |0> = 1/ (|0> + |1>) = |+>H |1> = 1/ (|0> - |1>) = |->Diese beiden neuen Vektoren werden mit |+> und |-> be-zeichnet und bilden ebenfalls eine Basis des 2-dimensiona-len Qubit-Vektorraums.

4/201040

Abwehr

Das idealisierte BB84 besteht aus folgenden Phasen (siehe Abbildung 1a):

• Kommunikation über den Quantenkanal und Bestimmung des raw key

• Bestimmung sifted key über den klassischen Kanal• Detektierung eines Angreifers • Festlegung des secret key

Ziel ist es, einen geheimen Schlüssel zu erstellen (secret key), von dem die Sender und Empfänger hin-reichend sicher sein können, dass ein Angreifer keine oder nur minimale Kenntnis davon besitzt. Dies erfolgt über Zwischenschlüssel (raw und sifted key), wie noch deutlich werden wird. Die nachfolgend beschriebenen einzelnen Phasen sind in der Infobox zum BB84-Pro-tokoll zusätzlich in übersichtlicher Form dargestellt.

Die Grundidee von BB84 besteht darin, dass Alice den Zufall entscheiden lässt, bzgl. welcher Basis sie die einzelnen Qubits präpariert. Bob auf der Empfängersei-te wählt ebenfalls zufällig eine Basis aus und führt bzgl. dieser eine Messung durch. Haben sie jeweils die glei-che Basis gewählt, erhalten beide das gleiche Ergeb-nis, wenn nicht, stimmt, wie wir gesehen haben, das Ergebnis nur noch in der Hälfte der Fälle überein, es kommt also eine feststellbare Abweichung ins Spiel.

Nachdem Alice ihre Qubits zufällig in 0 oder 1 präpa-riert hat (bzgl. Basis A oder B), schickt sie diese an Bob, der sie seinerseits bzgl. einer zufällig gewählten Ba-sis misst. Damit ergibt sich auf beiden Seiten ein raw key, der jedoch nicht notwendigerweise übereinstimmt. Denn die Ergebnisse können nur dann genau korrelie-ren, wenn beide jeweils die gleiche Basis verwenden, andernfalls gibt es zufällige Abweichungen. Da beide

Abbildung 1: Das BB84-Protokoll


hakin9.org/de 41

statistisch in 50% der Fälle gleiche Basen verwenden, messen sie in diesen Fällen mit 100% Wahrscheinlich-keit das Gleiche. In den anderen 50% der Fälle verwen-den Alice und Bob jedoch verschiedene Basen. Dann entscheidet der Zufall und in der Hälfte dieser Fälle messen beide das gleiche Ergebnis. Insgesamt ergibt sich somit eine statistische Gesamtübereinstimmung von 75% (½ + ½ * ½ = ¾). Abbildung 2 zeigt die Ergeb-nisse für die möglichen Fälle.

Als Beispiel betrachten wir das dritte und vierte übertra-gene Qubit aus Abbildung 2. Das dritte Bit wird von Alice in Basis A als |1> kodiert, was einem Bitwert 1 entspricht. Bob wählt ebenfalls Basis A und misst dann mit Sicherheit eben-falls den Wert 1. Beim vierten Qubit hingegen wählt Bob Ba-sis B und misst somit zufällig entweder 0 oder 1. Korreliert ist also das dritte Qubit, das vierte hingegen nicht.

Um dieses Problem zu lösen, kommunizieren Alice und Bob im zweiten Schritt für jedes Bit, welche Basis sie jeweils verwendet haben. Da bei gleicher Basis die Ergebnisse gleich sein müssen, können sie diese Bits behalten und reduzieren damit den Schlüssel etwa auf die Hälfte. Diesen Schlüssel bezeichnet man als sifted key, im Gegensatz zum raw key, der auch nicht über-einstimmende Bits enthalten kann.

Durch den Austausch der Information, welche Basis jewe-ils genutzt wurde, müssen im idealisierten BB84-Protokoll nun alle Bits übereinstimmen, sofern kein Angreifer Eve im Spiel ist. Greift Eve jedoch ein, kommt es zu Abweichungen im sifted key. Warum ist das so? Aufgrund des No-Cloning Theorems ist es im Allgemein unmöglich, perfekte Kopien von Qubits anzulegen, ein großer Unterschied zu klassis-chen Bits. Folglich kann Eve die übertragenen Qubits nicht einfach kopieren. Alternativ kann Eve die Qubits messen, den festgestellten Zustand auf neue Qubits präparieren und diese dann an Bob weiter schicken. In der Quanten-welt verändert eine Messung aber die Zustände der Qubits, weshalb Bob und Alice Abweichungen feststellen werden, die eigentlich nicht auftreten dürften.

Welchen Fehler Eve genau verursachen würde, wer-den wir weiter unten in möglichen Lauschstrategien be-trachten.

bb84 mit rauschenDas bislang betrachtete Szenario ist in der Praxis unre-alistisch, da auf dem Quantenkanal Übertragungsfeh-ler auftreten können, wodurch es auch ohne Einwirken Eves zu Abweichungen in den übertragenen Bits ko-mmen kann, was dann fälschlicherweise als Angriff be-

Abbildung 2: BB84 idealisiert: Bits und Basen

4/201042

Abwehr

wertet würde. Es gibt jedoch Möglichkeiten, diese Pro-blematik zu berücksichtigen.

Das angepasste Protokoll besteht aus folgenden Pha-sen (siehe Abbildung 1b):

• Kommunikation über einen Quantenkanal und Bestimmung des raw key

• Bestimmung des sifted key über den klassischen Kanal• Bestimmung der Fehlerrate QBER• Fehlerkorrektur, falls QBER nicht zu groß• Festlegung des secret key durch Privacy Amplifi cation

Der raw key und der sifted key werden zunächst ge-nauso bestimmt wie im BB84-Protokoll ohne Störung. Nun ist jedoch klar, dass die Fehlerrate QBER (Quan-tum Bit Error Rate) in der Regel immer größer als 0 sein wird, da es neben Eves potentiellen Eingriffen auch zu Fehlern in der Übertragung kommen kann und wird.

Deshalb wird zunächst der Wert von QBER bestimmt. Es lässt sich zeigen, dass das BB84-Verfahren si-cher ist, wenn QBER nicht zu groß ist (typischerweise <=11%). Indem Alice und Bob über den klassischen Ka-nal eine Teilmenge ihrer Bits vergleichen, können sie den Wert von QBER abschätzen.

Nach dem Verwerfen der dabei ausgetauschten Bits sind Alice und Bob im Besitz eines reduzierten sifted key, von dem sie jedoch ausgehen müssen, dass Eve partielle Kenntnis besitzt. Im nächsten Schritt wird nun eine klassische Fehlerkorrektur durchgeführt (z.B. über Parity-Berechnungen), der zu einem korrigierten recon-ciled key führt. Selbst nach dieser Korrektur kann nicht ausgeschlossen werden, dass Eve noch immer partielle Kenntnis des Schlüssels besitzt.

Um diese Kenntnis zu minimieren, wird abschließend ein Prozess namens Privacy Amplification durchgeführt. Zum Beispiel können sich Alice und Bob auf zwei Posi-tionen in ihrem Schlüssel verständigen und verwenden statt der beiden Bits deren XOR-Wert als Bit des da-durch entstehenden secret key. Kennt Eve nur eines der beiden Bits, hilft ihr das nichts für die Kenntnis des XOR-Werts. Statt zwei Bits zu verwenden kann man auch allgemein m Bits nehmen und deren XOR berech-nen. Kennt Eve nur eines dieser m Bits nichts, kennt sie auch das XOR-Ergebnis nicht. Dies ist sicherer als die Verwendung eines XOR auf zwei Bits, reduziert aber auch den secret key, da mehr Bits verbraucht werden.

Natürlich sind auch komplexere Methoden als hier be-schrieben möglich; entscheidend ist jedoch, dass durch diesen Prozess der Informationsgewinn Eves beliebig klein gemacht werden kann. Am Ende dieses Proze-sses steht also ein zwischen Alice und Bob vereinbarter geheimer Schlüssel, der secret key.

Angriffsstrategien: Abfangen und weiterleitenEs ist von Fehlern die Rede gewesen, die Eve verur-sachen würde und die für die Beurteilung der Sicher-

Infobox 2: bb84-ProtokollAlice und Bob verwenden zwei komplementäre Basen:Die Standard-Basis A = {|0>, |1>} sowie die Hadamard-Basis B = {|+>, |->}. BB-84 ohne Rauschen (Abbildung 1a)

• Alice wählt zufällig eine der beiden Basen A oder B und präpariert Bitwerte 0 oder 1 bzgl. der jeweils gewählten Basis. Die präparierten Qubits werden über den Quan-tenkanal an Bob verschickt.

• Bob empfängt die Qubits und führt jeweils Messun-gen bzgl. der ebenfalls zufällig gewählten Basis A oder B durch. Als Ergebnis haben Bob und Alice einen raw key, der nicht notwendigerweise übereinstimmt.

• Bob teilt Alice über den klassischen Kanal mit, welche Basis er bei den einzelnen Qubits verwendet hat. Ali-ce antwortet ihrerseits, welche Bob-Basis mit der von ihr verwendeten Basis übereinstimmt. Bei Übereinsti-mmung behalten Bob und Alice das entsprechende Bit und erhalten so den sifted key.

• Bob und Alice tauschen m zufällige Bits des sifted key über den klassischen Kanal aus und prüfen die Fehlerra-te QBER (Quantum Bit Error Rate), die durch die abwei-chende Bits geteilt durch m gegeben ist. Ist sie größer Null, wurden die Bits abgehört und der gesamte Schlü-ssel wird verworfen. Ansonsten verwerfen Bob und Ali-ce die übertragenen m Bits und erhalten aus den restli-chen Bits den reduzierten secret key.

BB84 mit Rauschen (Abbildung 1b)

• Alice wählt zufällig eine der beiden Basen A oder B und präpariert Bitwerte 0 oder 1 bzgl. der jeweils gewählten Basis. Die präparierten Qubits werden über den Quan-tenkanal an Bob verschickt.

• Bob empfängt die Qubits und führt jeweils Messungen bzgl. der zufällig gewählten Basis A oder B durch. Als Ergebnis haben Bob und Alice einen raw key, der nicht notwendigerweise übereinstimmt.

• Bob teilt Alice über den klassischen Kanal mit, welche Basis er bei den einzelnen Qubits verwendet hat. Ali-ce antwortet ihrerseits, welche Bob-Basis mit der von ihr verwendeten Basis übereinstimmt. Bei Übereinsti-mmung behalten Bob und Alice das entsprechende Bit und erhalten so den sifted key.

• Bob und Alice tauschen m zufällige Bits des sif-ted key über den klassischen Kanal aus und besti-mmen die Fehlerrate QBER. Ist QBER nicht zu groß, re-duzieren Bob und Alice den sifted key um die ausge-tauschten Bits und erhalten einen reduzierten sifted key.Ist QBER zu groß, verwerfen Alice und Bob den gesam-ten Schlüssel.

• Mittels klassischer Verfahren (XOR, Parities,...) wird über den klassischen Kanal eine Fehlerkorrektur durchge-führt. Dies ergibt den reduzierten reconciled key, der mit hoher Wahrscheinlichkeit fehlerfrei ist, von dem Eve je-doch partielle Information haben kann.

• Um den Informationsgehalt von Eve zu verringern, wird eine Privacy Ampli� cation durchgeführt, indem zum Bei-spiel von Teilmengen der Bits Parity-Werte berechnet werden, die dann als secret key dienen. Zum Beispiel ein einfaches XOR zweier Bits kann als neues Bit des secret key verwendet werden.


hakin9.org/de 43

heit von BB84 wichtig sind. Der exakte Nachweis der Sicherheit des BB84-Verfahren kann aufgrund der zu-grunde liegenden Komplexität hier nicht dargestellt wer-den, statt dessen beschränken wir uns auf zwei nahe liegende Angriffsszenarien: Mithören und Verschrän-kung. Der Einfachheit halber betrachten wir den ideali-sierten Fall (ohne Rauschen).

Beginnen wir damit, dass Eve die übertragenen Qubits abfängt, selber misst und das Ergebnis auf neue Qubits präpariert, die sie dann an Bob weiter schickt.

Welchen Fehler würde Eve verursachen? Wenn sie messen möchte, muss sie sich für eine Basis entschei-den, A oder B. Da sie keine Information darüber besitzt, welche Basis Alice gewählt hat, muss sie den Zufall ent-scheiden lassen. In der Hälfte der Fälle wählt sie stati-stisch die falsche Basis, dann wiederum führt die an-schließende Messung bei Bob in der Hälfte der Fälle zu einem anderen Ergebnis als bei Alice. Das ergibt insge-samt beim sifted key eine Fehlerrate QBER durch Eve von 25%, wenn man annimmt, dass Eve jedes übertra-gene Qubit misst. Anders ausgedrückt bleibt Eves Ab-hören in 75% der Fälle unbemerkt.

Um Eves Aktivität festzustellen, wählt Alice m ihrer Bits aus und teilt diese über den klassischen Kanal an Bob mit. Bob vergleicht diese Bits mit den seinen und bestim-mt die Anzahl der nicht übereinstimmenden Bits. Ist die dadurch gewonnene Fehlerrate > 0, schließen Bob und Alice daraus, dass Eve die Qubits abgehört hat und bre-chen die Schlüsselerzeugung ab. Wenn die Fehlerrate QBER jedoch 0 ist, ist es statistisch dennoch möglich, dass Eve unbemerkt mitgehört hat. Die Wahrscheinlich-keit dafür ist aber je nach Wert von m sehr klein:

P(Eve bleibt unbemerkt) = (¾)m

Bei einem Wert m=100 ist diese Wahrscheinlichkeit zum Beispiel etwa 10-13.

Die übertragenen Bits müssen natürlich aus dem sif-ted key entfernt werden, da sie über den öffentlichen Kanal übertragen wurden und damit bekannt sind. Ins-gesamt ergibt sich also ein reduzierter secret key, der mit beliebig hoher Wahrscheinlichkeit nicht abgehört wurde.

Bislang wurde davon ausgegangen, dass Eve jedes einzelne Qubit abhört. Dabei entsteht eine Fehlerrate QBER von 25%. Um die Angriffsaktivität zu verschle-iern, könnte Eve die Strategie dahingehend ändern, dass sie nicht mehr jedes Qubit abhört, sondern nur noch einen Bruchteil. Naturgemäß wird dann die Feh-lerrate sinken.

Im idealisierten Fall ohne Übertragungsfehler lässt sich das leicht erfassen: Angenommen, Eve misst je-des einzelne Qubit mit einer Wahrscheinlichkeit p (0<=p<=1). Die Fehlerrate im sifted key beträgt dann allgemein p/4. Mit p=1 ergibt sich die Fehlerrate ¼, die wir bereits kennen, mit p=0 tritt kein überhaupt kein

Fehler auf. Die Wahrscheinlichkeit, dass Eves Mithören nicht auffällt, beträgt dann (1-p/4)m, sofern wie zuvor m Bits des sifted key zur Fehlerbestimmung ausgetauscht werden.

Diese Wahrscheinlichkeit lässt sich also auch in die-sem Fall beliebig klein machen, allerdings auf Kosten einer erhöhten Austauschzahl von Bits.

Angriffsstrategien: VerschränkungZusammen fassend lässt sich also feststellen, dass die einfache Mess-Strategie nicht funktioniert, da Eve durch ihre Aktivität zwangsläufig Spuren hinterlässt. Kommen wir aber zu einer anderen, auf den ersten Blick viel ver-sprechenden Strategie:

Eve könnte versuchen, die originalen Qubits von Alice mit ihren eigenen zu verschränken. Dann könnte Eve warten, bis Bob und Alice ihre gewählten Basen durch-geben, und anschließend ihrerseits ihr verschränktes Qubit entsprechend messen. Die Idee dabei ist, die In-formation über den Zustand des Alice-Qubits auf das Eve-Qubit zu übertragen, ohne das Alice-Qubit wirklich zu messen und damit zu verändern. Dieser Angriff wird als entangling-probe attack bezeichnet.

Es lässt sich allgemein zeigen, dass dieser Angriff ebenfalls nicht funktioniert, also der Informationsgewinn Eves beliebig minimierbar ist. Eine einfache Illustration möge dies verdeutlichen:

In [2] wurde gezeigt, wie sich mit Hilfe der CNOT-Trans-formation Qubits miteinander verschränken lassen. Dazu

Infobox 3: Das e91-Protokoll• Eine (nicht notwendigerweise vertrauenswürdige) dritte

Stelle erzeugt verschränkte Qubits a (zum Beispiel po-larisierte Photonen) im Zustand 1/ (|10> - |01>). Eines davon erhält Alice, das andere Bob.

• Alice wählt zufällig eine Messbasis und misst ihr Qubit. Bob wählt ebenfalls zufällig eine Messbasis und misst seinerseits sein Qubit.

• Über den klassischen Kanal tauschen sich Bob und Alice darüber aus, welche Basis sie jeweils verwendet haben.a) Stimmen die Basen überein, so wird das Messergebnis Teil des sifted key.b) Andernfalls dienen die Messergebnisse dazu, eine Be-dingung aus der CHSH-Ungleichung zu überprüfen. Ist diese Bedingung nicht erfüllt, ist dies ein Hinweis auf ei-nen Angreifer und der gesamte sifted key wird verwor-fen.

• Genau wie bei BB84 wird eine Abschätzung der Fehler-rate QBER durchgeführt, eine klassische Fehlerkorrektur sowie eine Privacy Ampli� cation durchgeführt. Am Ende steht dann ein secret key.

Die CHSH-Ungleichung (benannt nach Clauser, Horne, Shi-mony und Holt) ist eine spezielle Form einer sogenannten Bell-Ungleichung. Damit lässt sich feststellen, ob Qubits ma-ximal verschränkt sind, was sie im Falle eines Eingreifens durch Eve (oder einer Manipulation durch die sie erzeugen-de Partei) nicht mehr wären.

4/201044

Abwehr

initialisiert man ein 2-Qubit-Register mit |0,0>, wendet die Hadamard-Transformation auf das erste Qubit an, ans-chließend CNOT auf beide Qubits. Zur Erinnerung: die Hadamard-Transformation führt die Standardbasis A={|0>, |1>} in die Hadamard-Basis B={|+>, |->}ineinander über. CNOT ist die Entsprechung des klassischen XOR, wobei im Gegensatz zum XOR keine Information verloren geht:

CNOT |x,y> = |x,x y>

Das erste Qubit bleibt also unverändert, im zweiten Qubit wird der XOR-Wert der beiden Qubits gespeichert.

Man könnte also versucht sein, die CNOT Operation dazu zu benutzen, um eine Verschränkung des Alice-Qubit |x> mit einem Eve-Qubit |e>, das sich im Zustand |0> befindet, herzustellen. Klar ist, dass nur die Fälle zu betrachten sind, in denen Bob und Alice jeweils die glei-che Basis wählen, da nur dann die zugehörigen Bits für den sifted key genutzt werden.

Es können folgende Fälle auftreten:1a) Alice wählt Basis A und sendet |x> = |0>Eve verschränkt die beiden Qubits mit CNOT: |x>|e>

= |0>|0> → |0>|0>. Anschließend wartet Eve, bis Bob über den klassischen Kanal mitteilt, welche Basis er für seine Messung des ersten Qubits gewählt hat. Ist es Basis A, so messen sowohl Bob als auch Eve das Bit 0, was mit dem Bit von Alice übereinstimmt. Eve erfährt also das korrekte Bit und bleibt unbemerkt.

1b) Alice wählt Basis A und sendet |x> = |1>Eve verschränkt die beiden Qubits mit CNOT: |x>|e> =

|1>|0> → |1>|1>. Genau wie zuvor erfährt sie bei Über-einstimmung der Basen von Alice und Bob das Bit 1 und fällt nicht auf.

2a) Alice wählt Basis B und sendet |x> = 1/ (|0> + |1>)

Eve verschränkt mit CNOT: |x>|e> → 1/ (|00> + |11>). Um bzgl. der Basis B zu messen, führt Bob ei-ne Hadamard-Transformation des ersten Qubits durch und misst anschließend bzgl. Basis A. Die Hadamard-Transformation des verschränkten Qubit-Paares be-wirkt Folgendes:

H(|x>)|e> = H(1/ (|00> + |11>)) = 1/ (H(|0>)|0> + H(|1>)|1>) = 1/2 (|00> + |10> + |01> - |11>) = 1/2 (|00> + |01> + |10| - |11>)

Wenn nun Bob das erste Qubit misst (bzgl. Basis A), erhält er in der Hälfte der Fälle das gleiche Ergebnis

wie Alice (Bitwert 0), in der anderen Hälfte der Fälle je-doch nicht, obwohl beide die gleiche Basis gewählt ha-ben.

2b) Alice wählt Basis B und sendet |x> = 1/ ( |0> - |1>)

Analog wie zuvor stimmen die Ergebnisse von Bob und Alice bei gleicher Basis nur in der Hälfte der Fälle überein.

Insgesamt ergibt sich also, dass bei Verschränkung mi-ttels CNOT ein Fehler im sifted key von 25% auftaucht, genau wie zuvor beim einfachen Messen durch Eve. Vor-liegendes Beispiel ist kein vollständiger Beweis, sollte je-doch deutlich machen, dass eine Verschränkung durch Eve das Messergebnis von Bob direkt beeinflusst, wo-durch Alice und Bob die Aktivität Eves aufdecken können.

Photon number Splitting AttackDie Funktionsweise des BB84-Protokolls wurde in all-gemeiner Form eingeführt, indem auf die beiden Basen A={|0>, |1>} und B={|+>, |->} zurückgegriffen wurde. In der Praxis greift man meist auf Polarisationszustände des Licht zurück.

Als Basen wählt man einmal horizontale und vertika-le Polarisation (0 bzw. 90 Grad), zum anderen eine um 45 Grad verschobene Polarisation, also 45 Grad und 135 Grad. Dann lässt sich das zuvor Gesagte einfach übertragen, indem man als Träger der Qubits einzelne Lichtquanten (Photonen) benutzt. Auch andere Realisie-rungen sind möglich, wichtig ist nur, dass die Zustände der einen Basis nicht gleichzeitig genau mit den Zustän-den der anderen Basis messbar sind, die Basen mü-ssen also komplementär sein.

Bei dieser Einsatzmethode tritt jedoch ein Problem auf, das zu einem ernst zu nehmenden Angriff genutzt werden kann. Denn in der Praxis ist es schwierig, ein-zelne Photonen zu erzeugen, daher arbeitet man in der Praxis meist mit schwachen Laserpulsen, die eine gewisse Wahrscheinlichkeit dafür haben, mehr als ein Photon zu beinhalten. Ist dies der Fall, kann durch Eve ein sogenannter PNS-Angriff durchgeführt werden, ein Photon Number Splitting Attack.

Denn wenn zum Beispiel zwei Photonen statt einem übertragen werden, könnte Eve einfach das zweite Pho-ton abfangen und das erste an Bob weiter schicken. Wenn dann Bob und Alice über den öffentlichen Kanal ihre Ba-siswahl bekannt geben, kann Eve bzgl. dieser Basis das zweite Qubit messen und erhält das gleiche Ergebnis wie Bob, ohne dass ihre Präsenz aufgefallen ist. In der Praxis ist dies etwas schwieriger zu realisieren als hier beschrie-ben ist, das Grundproblem bleibt jedoch bestehen.

Man kann diesem Problem auf verschiedene Weisen begegnen: zum einen versucht man, möglichst gute 1-Photon-Quellen zu konstruieren, zum anderen gibt es verschiedene Weiterentwicklungen von BB84.

Bei der decoy state Variante werden absichtlich zusätz-liche Pulse anderer Intensität in die Übertragung einge-

Literatur.• [1] Quanten-Kryptografi e (Teil 1) – eine Einführung;

hakin9 2010-02.• [2] Quanten-Kryptografi e (Teil 2) – der Formalismus;

hakin9 2010-03.


hakin9.org/de 45

schleust. Diese zusätzlichen Pulse dienen dazu, die Prä-senz eines Angreifers zu entdecken, da dieser diese Pul-se nicht von den normalen Pulsen unterscheiden kann.

Im SARG-Protokoll verwendet man zwei Mengen von jeweils zwei Zuständen, die nicht mehr zueinander orthogonal sind, also zum Beispiel {|0>, |+>} und {|1>, |->}. Anstatt wie beim BB84-Protokoll die jeweils verwen-dete Basis bekannt zu geben, teilt Alice lediglich ein Paar von Vektoren mit, von denen einer der ist, den Ali-ce tatsächlich verwendet hat. Es lässt sich zeigen, dass SARG gegen PNS-Angriffe signifikant weniger anfällig ist als die Implementation des reinen BB84-Protokoll.

Protokolle mit VerschränkungWährend BB84 insgesamt vier verschiedene Zustände nutzt, zeigte Bennett 1992, dass es ausreicht, lediglich zwei nicht-orthogonale Zustände zu benutzen, aller-dings wird dieses Protokoll in der Praxis nicht verwen-det, da es andere Nachteile mit sich bringt und eher als theoretischer Nachweis dient, dass für ein QKD-Proto-koll zwei Zustände ausreichen.

Daneben gibt es auch ein Protokoll mit sechs Zustän-den, die drei Basen konstituieren. Dabei benutzen Alice und Bob zwar nur noch in 1/3 der Fälle die gleiche Ba-sis, aber dafür ist die Sicherheitsanalyse einfacher.

Eine andere Klasse bilden die sogenannten Ver-schränkungs-Protokolle, bei denen Alice und Bob je ein Qubit eines verschränkten Paares erhalten. Ekert ent-warf 1991 ein solches Protokoll, bezeichnet als E91.

Verschränkung beschreibt das quantenphysikalische Phänomen, dass es nicht möglich ist, bei einem ver-schränkten Quantensystem den Quantenzustand der einzelnen Objekte losgelöst voneinander zu beschrei-ben. Ein solches System ist also nur als Ganzes fass-bar, die ihm innewohnende Information verteilt sich auf die einzelnen Bestandteile. Letzteres ist umso bemer-kenswerter, als der gegenseitige Abstand dieser Einzel-bestandteile keine Rolle spielt.

Man stelle sich als Beispiel zwei verschränkte Licht-quanten vor, von denen man nur weiß, dass ihre jeweilige Polarisation genau entgegengesetzt ist (also etwa horizontal und vertikal polarisiert). Die exakte Orientie-rung der Polarisation eines einzelnen Photons ist bis zur Messung vollkommen unbestimmt, misst man jedoch ei-nes der Photonen, so liegt die Polarisation des anderen sofort mit Sicherheit fest – egal wie weit sie auch vonei-nander getrennt sind. Das Bemerkenswerte daran ist, dass trotz dieser Kopplung die Messung der Polarisation an den einzelnen Quanten zufällig ist. Die Quanten sche-inen also miteinander verbunden zu sein und trotz der Zufälligkeit der Messung an einem der Quanten führt das Messergebnis der Polarisation an einem Lichtquant un-mittelbar dazu, dass das Messergebnis an anderen Lich-tquant sofort mit Sicherheit feststeht.

Infobox 3 skizziert den grundsätzlichen Ablauf des E91-Protokolls. Im Unterschied zu BB84 werden hier

zwei Qubits eines verschränkten Paares verwendet, von denen eines Alice, das andere Bob erhält. Die Qubits, die nicht für den eigentlichen Schlüssel verwen-det werden können (weil unterschiedliche Messbasen verwendet wurden), dienen dazu, die Verschränkung der Qubits zu testen, indem man eine aus der Quan-tenphysik hergeleitete Bedingung testet, die auf der so-genannten CHSH-Ungleichung beruht. Diese Unglei-chung gestattet es, den Grad der Verschränkung zu prüfen. Alle Angriffsversuche Eves führen dazu, dass letztlich diese Bedingung verletzt wird. Genau wie bei BB84, wird man für ein realistisches Protokoll etwaige Übertragungsfehler berücksichtigen müssen (QBER-Abschätzung) sowie das Verfahren der Privacy Ampli-fication einsetzen, um den Informationsgewinn Eves zu minimieren.

Was die Sicherheit des E91-Protokolls angeht, sind BB84 und E91 mathematisch gesehen äquivalent.

ZusammenfassungWie deutlich wurde, erlaubt das BB84-Protokoll auch unter realistischen Bedingungen die sichere Aushan-dlung eines geheimen Schlüssels. Zwar ist es durchaus möglich, dass die Aktivität eines Angreifers bei einzelnen Bits unbemerkt bleibt, aber durch geeignete Verfahren kann der Informationsgewinn eines Angreifers beliebig minimiert werden. Methoden wie die Privacy Amplifica-tion sind dabei von großer Bedeutung. Grundlage für die Sicherheit des Verfahrens sind Eigenschaften der physikalischen Systeme, die auch einem noch so gut ausgestatteten Angreifer Grenzen setzen. Allerdings ist zu berücksichtigen, dass unter Umständen Rahmenbe-dingungen wie zum Beispiel schlechte 1-Photon-Que-llen weitere Angriffe erlauben, die jedoch die Sicherheit des BB84-Protokolls an sich nicht betreffen und denen Rechnung getragen werden kann.

Protokolle mit Verschränkung wie E91 beruhen da-rauf, dass ein Angreifer die Verschränkung von Qubits stört, was wiederum festgestellt werden kann. Auch sie können dazu dienen, Schlüssel sicher über einen Quantenkanal auszutauschen.

Grundsätzlich sind Verfahren der Quantenkryptogra-fie heutigen ähnlichen klassischen Verfahren in der Hin-sicht überlegen, dass sie nicht auf der (vermeintlichen) Komplexität mathematischer Probleme (wie etwa der Faktorisierung großer Zahlen bei RSA) beruhen, son-dern physikalische Eigenschaften nutzen, die auch in Zukunft für Sicherheit garantieren.

Dr. STefAn M. rITTerDer Autor, promovierter Mathematiker und TISP zertifiziert, arbeitet im Bereich Systemadministration und Sicherheit von Online-Applikationen. Daneben gilt sein Hauptinteresse kryp-tologischen Fragestellungen.

4/201046

Datenschutz

Peinlich im Privatleben, geschäftsschädigend im Berufsalltag – und darüber hinaus sind alle Stellen, die personenbezogene Daten nicht zu

rein privaten Zwecken verarbeiten, verpflichtet, diese mobilen Geräte entsprechend den Maßgaben der gel-tenden Datenschutzgesetzeslage abzusichern!

Anmerkung in eigener Sache: Dieser Artikel gibt keinen vollständigen Überblick über alle Einzelaspekte, die in der Praxis relevant sein können, sondern greift aufgrund der komplexen Thematik häufige Alltagsfragen auf. Die Inhalte werden zudem nicht juristisch behandelt, sondern ganzheitlich-interdisziplinär betrachtet und dargestellt.

Die Welt der mobilen DatenträgerUnter mobile Datenträger zählen wir grundsätzlich alle Geräte und Arbeitsmittel, die unter eine der folgenden Gruppen einsortiert werden können:

• a) mobile Computer (Laptops, Note- und Net-books, Tablet-PCs – also alle Geräte, die das Haus verlassen können)

• b) mobile Kommunikationsgeräte (Smartphones, Handhelds, Blackberries, iPhones, Navigations-geräte, Autotelefone)

• c) mobile Datenspeicher (sämtliche USB-Speicher-medien, DVD-ROMs, Bänder, Kassetten etc.)

• d) Sonderfälle mobiler Datenträger (z.B. digitale Ka-meras, Chipkarten)

Unter die Sonderfälle fallen zum einen mobile Daten-träger, auf denen zugleich Daten verarbeitet werden können, die also keine reinen Speichermedien sind. Zum anderen zählen hierzu Datenträger, die in anderen Geräten verborgen sind, zum Beispiel Festplat-ten für die Zwischenspeicherung zu bearbeitender Da-ten in Hochleistungskopierern, Faxgeräten und Dru-ckern, Kartenlesegeräte mit Speichereinheiten, digita-le Diktiergeräte, Autotelefone (besonders in Leihwägen und Firmenfahrzeugen) und vieles mehr, womit man außerhalb einer festen Installation im Büro und Ho-meoffice Daten und Informationen bearbeiten kann.

Solche Speichermöglichkeiten werden in der Praxis gern vergessen, weil sie kleine stille Helfer sind, über die man sich für gewöhnlich keine weiteren Gedanken macht.

Datenschutz für mobile DatenträgerDas BDSG stellt einige Datenschutz-Grundprinzipien auf, die der verarbeitenden Stelle dabei helfen sollen, personenbezogene Daten angemessen und wirksam zu erfassen und zu schützen. Diese nachfolgend grob dargestellten Prinzipien gelten auch für die Entwicklung eines geeigneten Schutzniveaus für mobile Daten- träger.

Grundsätzlich dreht sich alles bei der automatisier-ten Verarbeitung personenbezogener Daten um die Zulässigkeit der Datenverarbeitung und Nutzung. Die

heißes eisen nicht nur aus Datenschutz-sicht: Die absicherung mobiler Datenträger

Jeder kennt sie, jeder benutzt sie: mobile Datenträger („mobile devices“). Sie sind aus der digital-globalen Kommunikation nicht mehr wegzudenken und überdies ungemein nützlich und vielfach handlich. Doch je handlicher, desto größer ist die Gefahr, so ein niedliches Teil irgendwo zu vergessen, zu verlieren oder zu verlegen.

In diesem artikel erfahren sie...• Was mobile Datenträger sind und welche gern übersehen

werden;• Welche Anforderungen der Datenschutz an die verarbeitende

Stelle hat;• Was Sie als Nutzer solcher handlichen Geräte sofort tun

können.

Was sie vorher wissen/können sollten...• Keine spezifischen Vorkenntnisse erforderlich;• Die Grundbegriffe des Datenschutzes aus den Artikeln der

vorherigen Ausgaben sollten geläufig sein. Alternativ kann auf das Glossar von Blossey & Partner (http://blossey-partner.de/showpage.php?SiteID=11&lang=1) zurückgegriffen werden.

Kerstin Blossey, Blossey & Partner

http://blossey-partner.de/

Die absicherung mobiler Datenträger

hakin9.org/de 47

die Laptops bei der Einreise zu überprüfen. Unter Um-ständen müssen dann sogar verschlüsselte Daten les-bar gemacht werden. Über den Schutz personenbezo-gener – und gegebenenfalls unternehmenssensibler – Daten muss man sich vor der Einreise Gedanken ge-macht haben. Einige Stellen geben ihren Außendienst-mitarbeitern inzwischen sogar reine Reiselaptops mit, die jeweils nur mit den Informationen und Datenbestän-den ausgerüstet sind, die für diese Reise erforderlich sind. Über geschützte Datenräume werden dann vor Ort weitere Daten nachgeladen oder online verfügbar gemacht. Aber auch bei dieser Methode ist Datenschutz Pflicht: die sorgfältige Auswahl des Anbieters oder auch die Kommunikationsstruktur der Datenübertragungs-wege müssen geprüft und entsprechend abgesichert sein, um die zu schützenden Daten tatsächlich da-tenschutzkonform mobil zu behandeln. Auch die Hand-habung im Rahmen einer Auftragsdatenverarbeitung muss nach klaren gesetzlichen Regelungen erfolgen.

Insbesondere bei Datenträgern, die nicht nur als rei-ne Speichermedien sondern zur direkten Bearbeitung der Daten dienen, ist § 6c BDSG zu berücksichtigen. Hierunter zählen etwa RFID-Kommunikation, Unterneh-mensausweise und Chipkarten. Der Gesetzestext sagt Folgendes:

(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personen-bezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, än-dert oder hierzu bereithält, muss den Betroffenen

• 1. über ihre Identität und Anschrift,• 2. in allgemein verständlicher Form über die Funk-

tionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten,

• 3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und

• 4. über die bei Verlust oder Zerstörung des Me-diums zu treffenden Maßnahmen unterrichten, so-weit der Betroffene nicht bereits Kenntnis erlangt hat.

(2) Die nach Absatz 1 verpfl ichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Aus-kunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Ge-brauch zur Verfügung stehen.

Einwilligung jedes Betroffenen bzw. seine Benachrichti-gung, sofern seine Einwilligung nicht vorliegt bzw. nicht eingeholt werden kann, sollte der normale Weg sein. Gekoppelt damit ist die Datenvermeidung und Daten-sparsamkeit, nicht zuletzt dabei die Erhebung und Ver-arbeitung von Informationen ausschließlich zum Ge-schäftszweck, für den die Daten verarbeitet werden sollen, sofern keine staatlichen bzw. gesetzlichen In-teressen vorliegen, die eine solche Verarbeitung so-gar erfordern. Das bedeutet, personenbezogene Daten dürfen nicht grundlos und wahllos beschafft und genutzt werden, sondern dies muss zweckgebunden gesche-hen.

Ein weiteres Grundprinzip – in Verbindung mit Daten-sparsamkeit ist die geregelte Löschung oder Vernich-tung nicht mehr benötigter Daten. Für einige Informa-tionen und Unterlagen (auch digitale Versionen) gelten gesetzliche Aufbewahrungsfristen. So sind beispiels-weise E-Mails, die relevante Geschäftskorrespondenz enthalten, nach Handelsgesetzbuch (HGB) aufzube-wahren. Hierfür sind zusätzlich Formvorschriften zu be-achten, zugleich muss die Wahrung der Privatsphäre der Mitarbeiter sichergestellt sein, wenn die Nutzung des personalisierten geschäftlichen E-Mail-Accounts nicht geregelt oder grundsätzlich erlaubt ist. Ebenso gibt es in vielen Unternehmen einen wahren Wildwuchs von exportierten Datenbeständen, zum Beispiel im ver-trieblichen Bereich Exporte aus der Kundendatenbank bzw. dem Customer Relationship Management System (CMS) für die lokale Nutzung außer Haus. Vielfach wer-den überholte Exportdateien nie gelöscht, sondern ein-fach neue Dateien hinzugefügt, so dass auch die Rech-nersysteme unnötig belastet werden (Speicherbedarf, Indexierung etc.). Die geregelte Löschung, beispiels-weise in einem bestimmten Turnus oder eine Vereinba-rung, wie lokale Daten von Außendienstmitarbeitern in das zentrale Datensystem einzupflegen und danach die lokalen Daten zu entfernen sind, nützen der Sicherstel-lung aller Datenschutzziele: der Verfügbarkeit, der Inte-grität und der Vertraulichkeit der Informationen.

Technische und organisatorische Maßnahmen zum Schutz der Daten auf den Datenträger nach § 9 BDSG sind obligatorisch. Hier sind angemessene Maßnahmen zur Kontrolle des Zutritts, Zugangs und Zugriffs ebenso zu treffen wie zur Weitergabe-, Eingabe-, Verfügbar-keits- und Auftragskontrolle. Das Trennungsgebot soll schließlich die Verarbeitung der personenbezogenen Daten gemäß dem Zweck ihrer Erhebung sicherstellen, zum Beispiel die Trennung der Kundendaten von den Personaldaten.

Die Bereitstellung oder Übermittlung von Daten aus dem oder in das Ausland sowie an über- und zwischen-staatliche Stellen ist ebenfalls datenschutzkonform zu gestalten. Dies spielt für mobile Datenträger unter an-derem bei Auslandsreisen eine Rolle, wenn sich die Behörden des Ziellandes vorbehalten, beispielsweise

! Praxistipp:Notieren Sie sich ganz bewusst einen Monat lang alle per-sonenbezogenen Daten, die Sie verwenden und notieren Sie sich auch, was sie mit diesen Daten machen (speichern, löschen, verändern, weitergeben, archivieren etc.). Auf die-se Weise können sie sich schnell einen realistischen Überblick verschaff en.

4/201048

Datenschutz

(3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Be-troffenen eindeutig erkennbar sein.

Für alle relevanten Verfahren gilt auch die Meldepflicht nach § 4d f. BDSG. Nur dokumentierte Verfahrenswei-sen können der Transparenz der Geschäftsprozesse und damit der vom Gesetz angestrebten Wahrung der Recht der Betroffenen dienen.

Nach dem sehr fundierten Ansatz des Grundschutzka-taloges des Bundesamtes für Sicherheit in der Infor-mationstechnik (BSI) werden nachfolgende typische Gefährdungslagen bei der Nutzung von mobilen Daten-trägern unterschieden:

• Von „höherer Gewalt“ wird ausgegangen, wenn ein Datenverlust durch starke Magnetfelder oder etwa durch wechselnde Einsatzumgebung zustande kommt.

• Organisatorische Mängel, wie unzureichende Kenntnis über Regelungen oder Prozesslücken bei der Gewährleistung von fristgerechter Verfügbar-keit.

• Vertraulichkeits-/Integritätsverlust von Daten, die Nichtbeachtung von IT-Sicherheitsmaßnahmen oder gar der sorglose Umgang mit Informationen ist in der Regel auf ein menschliches Fehlverhalten zurückzuführen.

• Technisches Versagen bei defekten Datenträgern oder Verlust beim mobilen Einsatz führt häufi g zu Datenverlust.

• Als vorsätzliche Handlungen wird die Manipulation/Zerstörung von IT-Geräten, Zubehör, Daten oder Software betrachtet. Im Weiteren wird Diebstahl, die unberechtigte IT-Nutzung, Computer-Viren, Ver-breitung von Schadprogrammen oder Datendieb-stahl über mobile Datenträger entsprechend bewer-tet.

Das Gefahrenpotential bei mobilen Datenträgern ist also vielfältig. Man kann solche Geräte verlegen (un-ternehmensintern, im Homeoffi cebereich oder bei dri-tten Stellen), man sie leicht vergessen (bei Kolle-gen am Rechner, bei unbefugten Dritten, zu hause), man kann sie verlieren und ermöglichst damit beliebi-gen Dritten den unbefugten Zugriff, evtl. sogar Weiter-verkauf). Die beliebten Geräte können jedoch auch en-

twendet werden, dahinter steckt in der Regel ein beab-sichtigter unbefugter Zugriff, der meist eine sehr zielo-rientierte Vorbereitung und damit verbunden ein hohes Schadenspotential aufweist, insbesondere ist bei sol-chen „Pannen“ oft Wirtschaftsspionage anzunehmen. Dies gilt auch für die beabsichtigte oder unbeabsich-tigte Manipulation mobiler Datenträger, etwa mit Hil-fe von Schadsoftware oder Anwendungen bzw. Tech-niken zum Ausspionieren der Geräte und Kommunika-tionsverbindungen (Spyware). Schlussendlich kann es auch zur Zerstörung des Datenträgers kommen, da je nach Art des Geräts unterschiedliche Einfl üsse (Mag-netismus, mechanische Einwirkung etc.) den Daten ge-fährlich werden können.

Eingetretene Schadensfälle, in der Regel als Da-tenschutz-Pannen bezeichnet, ziehen konkrete Konse-quenzen nach sich. Die Information aller Betroffenen, unter Umständen durch Bekanntmachung in bundes-weiten Tageszeitungen (!) ist seit der Novelle II des BDSG, die zum 01.09.2009 in Kraft getreten ist, obliga-torisch. Des weiteren entstehen so gut wie immer Kosten und die Bindung weiterer Ressourcen (Personal) zur internen Schadensbegrenzung und Fehlerbehebung. Bußgelder und Haftstrafen (bis zu 300.000 €, das Buß-geld soll seit 01.09.2009 jedoch „den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezo-gen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden“ (§ 43 Absatz 3 Satz 2 f. BDSG). Wie kostenin-tensiv sich der mit der Panne einhergehende Image-schaden und die weiteren Kosten zur möglichen Reha-bilitation in der Gesellschaft und Öffentlichkeit auswir-ken können, haben die in den vergangenen zwei Jah-ren in der Presse diskutierten Fälle großer deutscher Konzerne eindrucksvoll verdeutlicht. Der wirtschaftliche bzw. Wettbewerbs-Schaden (z. B. durch Wirtschaftss-pionage) lässt sich vielfach gar nicht beziffern, da In-novation in vielen Fällen und unterschiedlichen Entwi-cklungsstadien kaum messbar ist.

Datenschutz-Maßnahmen für mobile DatenträgerVorgelagert zu allen Datenschutzmaßnahmen für mobi-le Datenträger sollte immer ein Konzept für den sicheren Umgang erstellt werden, in welchem die verschiedenen Arten von mobilen Datenträgern, Risiken und Sicher-heitsmaßnahmen aufgezeigt werden. Nachfolgend ha-ben wir einige arbeitstaugliche Aspekte zusammenge-stellt, die jeder umsetzen kann und sollte.

• Jeder kennt gewisse einschlägige Möglichkei-ten, mit denen man mobile Datenträger schützen könnte. Einem Laptop kann man vielfach ein Ken-sington-Schloss verpassen, ein gesetzter Geräte-PIN, der Einsatz eines Dongels sowie eine Grund-verschlüsselung des genutzten Mediums kö-

! Praxistipp:Viele Programme und Geräte bieten von Haus aus die Möglichkeit, eine Unmenge von Daten einzupfl egen und zu unterschiedlichsten Zwecken zu verwenden. Hier muss die verarbeitende Stelle klare Regeln aufstellen, welche Daten tatsächlich zu erfassen und nutzen sind. Sind Daten erst ein-mal im System, ist es vielfach kompliziert oder bedeutet zu-mindest unnötigen Zusatzaufwand, um sie wieder zu entfer-nen.

Die absicherung mobiler Datenträger

hakin9.org/de 49

nnen unbefugte Einsichtnahme verhindern. An-wendungspasswörter oder andere Zugriffsschut-zmechanismen regeln die Befugnisse der Verarbe-itung und Nutzung der Daten. Verschlüsselte Da-tencontainer entsprechen dem Datentrennungsge-bot nach BDSG. Ortungs- und „Selbstzerstörungs“-Dienste, z.B. für Smartphones, sind zwar leider meist kostenpfl ichtig und mit einer konkreten Or-tungsmöglichkeit der Person verknüpft, was Bewe-gungsprofi le ermöglicht. Dafür kann man bei einem Verlust des Geräts zumindest die Daten unbrauch-bar machen – wenn man schnell genug ist.

InfrastrukturIn der Praxis kämpfen datenverarbeitende Stellen oft mit der Vielfalt unterschiedlichster mobiler Endgeräte mit verschiedenen Basisausstattungen, was Betriebs-systeme, Bedienung und Kompatibilität betrifft. Eine sol-che Vielfalt ermöglicht zwar ein breites Erfahrungsspek-trum bezüglich der Geräte und ihrer Eigenheiten, es erschwert aber zugleich die zentrale Absicherung und Verwaltung solcher Produkte. Dies gilt insbesondere für die unter Punkt 1. c) aufgeführten mobilen Kommuni-kationsgeräte. Daher raten wir zu einer Konzentration solcher Hilfsmittel auf ein Produkt, das möglichst alle wirklich erforderlichen Anforderungen aus dem Arbeits-alltag erfüllen kann. Die Nutzung eigener (privater) Geräte ist höchstens nach Freigabe durch die IT und (im Zweifelsfall) in Rücksprache mit dem DSB zu gestatten, besser wäre jedoch eine saubere Trennung geschäftli-cher und privater Infrastruktur, um die Datentrennung nach § 9 BDSB (Anlage) gewährleisten zu können. Je-des fremde Gerät erhöht die Vielzahl unterschiedlicher Geräte und damit den Verwaltungsaufwand für das Unternehmen!

Oft stellt sich bei einer ernsthaften Auseinander-setzung mit den Features und Anwendungen eines sol-chen Geräts heraus, dass auf manche Anforderung gut verzichtet werden kann – auch in der Chefetage. Ein-heitliche Geräte für alle (ohne Ausnahmen!) fördern Überblick (Inventarisierung), die Auswahl und fachge-rechte Realisierung von geeigneten Schutzmaßnah-men und die Kontrolle der Wirksamkeit getroffener Maßnahmen. Zugleich erleichtern sie auch die Über-wachung der ordnungsgemäßen Nutzung durch den je-weils zugeordneten Beschäftigten, etwa die private Ver-wendung des geschäftlichen E-Mail-Accounts oder das Teilen personenbezogener User-Accounts.

Um eine geregelte Inventarisierung gewährleisten zu können, die auch die gesetzlich vorgeschriebene Trans-parenz zur Wahrung der Betroffenenrechte berücksich-tigt, müssen alle verwendeten Geräte nach Geräteart, Typ, Hersteller, Version, Benutzer und Sicherheitsmaß-nahmen lückenlos aufgelistet werden. Die Zuordnung zwischen inventarisiertem Produkt und dem zugeteil-ten Benutzer erleichtert neben der wirtschaftlichen Ver-

lustabsicherung die Kontrolle, dass keine Unterneh-mensdaten (insbesondere keine personenbezogenen Informationen) durch Unbefugte (ausgeschiedener Mit-arbeiter, dem das Gerät zugeordnet wurde, der es nach seinem Ausscheiden aber nicht zurückgegeben hat) auf den freien Markt gelangen können. Nur durch eine ent-sprechende schriftliche Dokumentation kann die IT-Ad-ministration in diesem Fall Regelung der Geräteausga-be und Rückgabe für die Beschäftigten nachweisen und daher disziplinarische Maßnahmen gegen sich selbst vermeiden.

Grundsätzliche Schutzmaßnahmen

• Zu den grundsätzlichen Schutzmaßnahmen zählt, dass der Beschäftigte sich darüber bewusst sein muss, dass er ein leicht einsehbares und leicht ver-lierbares Gerät mit Unternehmens- und personen-bezogenen Daten erhält, für das er – samt Inhalten – solange die Verantwortung trägt, wie das Gerät in seinem Besitz ist;

• Auch der Sichtschutz ist eine grundsätzliche Schutz-maßnahme. Einige Anbieter haben z.B. Folien ent-wickelt, die vor den Monitor gespannt werden kö-nnen und die dann jegliche Einsichtnahme, die nicht direkt durch den davor Sitzenden erfolgt, unmöglich macht. Dies ist eine wichtige und einfache Maßnah-me sowohl im Bereich des Kundenservice als auch für das digitale Arbeiten unterwegs (ein Hersteller ist z.B. 3M);

• Die Geräte-PIN (zum Beispiel bei Mobiltelefon), Funktions-PIN (zum Beispiel bei Telefonfuntionen, Bluetooth oder WLAN) oder ein Geräte-Dongel bie-ten entsprechende Einschränkungen bei Nutzerbe-rechtigungen;

• Der Personenbezogene Login und ein siche-res Passwort sind eine wirksame Barriere, um die grundsätzliche Nutzung des Geräts zu verhindern, sofern ein Zugriff auf sensible Daten möglich wäre (temporäre Dateien, Anrufl isten, E-Mail-Postfächer etc.);

• Bei der Remote-Löschfunktion bieten inzwischen viele Kommunikationsmedien Möglichkeiten an, die Geräte registrieren zu lassen und so bei Verlust ein Löschen der Daten oder ähnliches zu ermöglichen, möglichst bevor unbefugte Dritte Zugriff nehmen können;

• Arbeitsrechtliche Regelungen können den Beschäf-tigten klare Vorgaben liefern, wo er Verantwortung zu tragen hat und was er bei Verlust eines Gerätes

! Praxistipp:Bitte vergewissern Sie sich vorher, dass es nicht bereits Rege-lungen und Verfahrensanweisungen in Ihrem Unternehmen dazu gibt, damit Sie eventuell bestehende Maßnahmen nicht außer Gefecht setzen!

4/201050

Datenschutz

zu tun hat. Darüber hinaus kann er dazu verpfl ich-tet werden, eine entsprechende Verlustmeldung zu tätigen. Ferner informieren diese Regelungen den Beschäftigten darüber, welche Sanktionen bei Nichtbeachtung geltend gemacht werden können. Regelungen dieser Art müssen ausnahmslos für alle Hierarchieebenen und Nutzer solcher Geräte im Unternehmen gelten. Führungspersonal hat hier Vorbildfunktion;

Schutz der enthaltenen Inhalte

• Durch die Verschlüsselung des kompletten Geräts kann der Zugriff auf sämtliche, auch in Systemda-teien oder temporär vorgehaltene Daten ausge-schlossen werden. Dies gilt sogar bei einer Ver-wendung von so genannten Live-CDs, die z.B. mit einem mobilen Linuxsystem Windowspasswörter nutzlos machen und so vielfach Vollzugriff auf alle Inhalte bieten;

• Nach BDSG dürfen keine personenbezogenen Da-ten verarbeitet werden, die nicht benötigt werden! Datensparsamkeit ist hier gefordert. Außerdem schont diese Überlegung gerade bei mobilen Tele-fonen die Speicherkapazität und nicht zuletzt damit die Performance;

• Die Ablage aller Inhalte in verschlüsselten Parti-tionen bietet den Benutzern eine einfache und ef-fi ziente Schutzmaßnahme. Es gibt jede Menge Programme (OpenSource ebenso wie propreri-täre), die eine Ablage in solchen „Datencontainern“ ohne große Mühe für den Benutzer erlauben. Das Programm startet automatisch mit der Betriebsbe-reitschaft des Gerätes. Die Eingabe eines wirksa-men Passwortes reicht dann in der Regel aus, um den Container zu öffnen. Die meisten Programme bieten die Nutzung mehrere solcher Container ge-trennt voneinander, so dass z.B. für unterschiedli-che Kunden oder Geschäftszwecke die Daten sau-ber getrennt aufbewahrt werden können;

• Personenbezogene Daten, die zu unterschiedlichen Zwecken verarbeitet werden, z.B. Personal- und Kundendaten, sollten getrennt aufbewahrt werden.

Dies gilt auch für die Daten unterschiedlicher Kun-den, wenn deren Datenbestand sensibel ist oder entsprechende Verschwiegenheitsvereinbarungen (NDA’s) getroffen wurden;

• Auch die Verschlüsselung von E-Mails ist inzwi-schen leicht und unkompliziert mit einem entspre-chenden Programm lösbar. Benötigt werden in der Regel ein Schlüsselpaar, wobei der private Key möglichst vertraulich angelegt und aufbewahrt wer-den muss, und eine Passphrase (längeres Pass-wort). Der Vorteil eines solchen Programms ist, das E-Mails damit nicht nur verschlüsselt, sondern auch einfach nur digital unterschrieben (signiert) werden können, wodurch die Authentizität des Absenders und die Integrität des gesendeten Inhalts sicherge-stellt werden können;

• Ferner sollten auch Viren- und Trojanerscans für mo-bile Kleingeräte obligatorisch sein. Zusätzlich kann eine Regelung im Umgang mit Daten unbekannter Absender das Risiko einer Infi zierung vermindern;

• Personenbezogene Daten müssen anonymisiert (oder wenigstens pseudonymisiert) verarbeitet und gespeichert werden, soweit das möglich ist. So ist es nützlich, Kunden generell ein Kürzel zu geben, statt ihren Klartextnamen zu verwenden, wenn nicht unbedingt jeder wissen soll, welche Kunden das Un-ternehmen betreut. Dasselbe gilt für Personalda-ten: Einsatzpläne benötigen in den seltensten Fä-llen die vollen Namen und die Personalnummer. Meist genügt die Personalnummer oder gar ei-ne völlig gesonderte Nummer. Bei Personen sollte man auf Initialen und andere geeignete Kürzel zu-rückgreifen. Dies gilt insbesondere für Protokolle und ähnliches, wo volle Namen nicht erforderlich sind.

sensibilisierung der BeschäftigtenSowohl Behörden als auch Unternehmen setzen zu-nehmend unterschiedlichste Arten mobiler Datenträger ein. Dies sind oftmals auch Geräte, die in ihrer ersten Einschätzung keine offensichtliche Funktion als mobiler Datenträger aufweisen. Dadurch steigt sowohl die Zahl der Verbreitungswege für Informationen als auch die Zahl möglicher Sicherheitslücken. Zwar können einige dieser Sicherheitslücken technisch minimiert werden, aber ohne die Einbeziehung verantwortungsbewusster Mitarbeiter in den sicheren und sachgerechten Umgang mit mobilen Datenträgern kann diesem Umstand kaum zielführend gerecht werden.

Spätestens bei Übergabe an den Mitarbeiter ist die-ser möglichst vollumfänglich über die Art und die Ein-satzmöglichkeiten seines mobilen Datenträgers aufzu-klären und auf den sorgsamen Umgang zu verpflichten. Dies schließt Informationen über die Bauform, die Gerätevariante, sämtliche Nutzungsmöglichkeiten und deren potentielle Risiken und Probleme bei Fehlnutzung ein. Zudem sollte der Beschäftigte insbesondere über

! Praxistipp:Damit Ihnen der Anfang leichter fällt, haben wir die wichtig-sten Aspekte aus diesem Artikel in einer Checkliste zusam-mengestellt. Diese erhalten Sie unter http://blossey-partner.de/showpage.php?SiteID=6&lang=1. Auf dieser Seite bitten wir Sie (freiwillig und ohne Registrierung) um ein paar Anga-ben zu Ihnen als Leser/Interessent: Ihre Altersgruppe, Beruf, Position, Bundesland; über diese Infos würden wir uns sehr freuen, um uns einmal einen groben Überblick über unsere Leser verschaff en zu können. Wenn Sie keine Daten angeben möchten, kreuzen Sie einfach die entsprechende Option an. Herzlichen Dank im Voraus!

http://blossey-partner

hakin9.org/de

die Grenzen der unternehmensseitig eingesetzten Si-cherheitsmaßnahmen aufgeklärt werden. Neu erkannte Gefahrenpotentiale und Aspekte zur Nutzung der mo-bilen Datenträger und Geräte können dem Mitarbeiter fortlaufend, z.B. durch entsprechende Artikel im Intranet des Unternehmens, zugänglich gemacht werden.

Arbeitsanweisungen oder Betriebsvereinbarungen re-geln den richtigen Umgang mit mobilen Datenträgern und Geräten, deren richtige Führung und Aufbewah-rung und beugen damit einem Verlustfall vor. Weiter-führend wird dabei das richtige Verhalten bei Verlust des Gerätes erläutert, sowie eine entsprechende Dar-stellung der Konsequenzen bei Zuwiderhandlungen auf-geführt. Es empfiehlt sich zudem die Art der Daten, die auf dem mobilen Datenträger gespeichert werden dür-fen zu definieren. Insbesondere ein wirksamer Schutz vor unbefugtem Zugriff, Manipulation oder Datenver-lust, z. B. durch Geräte-PIN, ist hier anzuweisen.

Bei Rückgabe/Wechsel des Gerätes ist sicherzuste-llen, dass alle personenbezogenen und unternehmens-sensiblen Daten wirksam, das heißt nicht mit normalem Aufwand wiederherstellbar, gelöscht werden.

FazitEin angemessener Schutz mobiler Datenträger ist auch mit einfachen Mitteln schnell zu erreichen. Entscheidend ist ne-ben all den genannten Aspekten, dass die Benutzer den Sinn realisierter Maßnahmen nachvollziehen können und sich bewusst sind, dass Pannen aufgrund der mangelnden Compliance des Beschäftigten Konsequenzen hat.

KeRstIn BLOsseY, BLOsseY & PaRtneRDer Autorin ist Dipl. Sozialpädagogin (FH), Dipl. Informa-tions-Wirtin (FH) und Gründerin von Blossey & Partner, ei-nem kleinen Unternehmensberatungshaus, das sich ganz auf den unternehmerischen Datenschutz spezialisiert hat. Zum Kundenkreis zählen deutsche wie international angesiedel-te mittelständische Unternehmen, Konzerne und Einrichtun-gen des ö� entlichen Dienstes aus so unterschiedlichen Bran-chen wie Druck & Medien, IT- Anwendungen & IT-Sicherheit, Telekommunikation, Verlagswesen, Softwareindustrie, Auto-motive, Gesundheitswesen, Forschung, Tourismus, produ-zierendes Gewerbe und die ö� entliche Hand. In gelegentli-chen Fachbeiträgen und Vorträgen vermittelt die Autorin schwerpunktmäßig wirtschaftlich angemessene und arbeits-taugliche Möglichkeiten und Wege des praxisorientierten Da-tenschutzes.

die Grenzen der unternehmensseitig eingesetzten Si-

aktueller Rückblick zu den Datenschutz-schlagzeilen in der Online-Presse:Das Redaktionsteam von Blossey & Partner stellt jede Wo-che neu die Schwerpunktthemen rund um die heißen Da-tenschutzthemen für Sie zusammen unter http://www.blos-sey-partner.de (News, unten rechts). Klicken Sie doch mal hi-nein, das Archiv reicht inzwischen bis 2005 zurück und bietet sogar eine Suchfunktion. Viel Spaß beim Stöbern.

Veranstalter:SIGS DATACOM GmbHAnja Keß, Lindlaustraße 2c,D-53842 Troisdorf,Tel.: +49 (0) 22 41 / 23 41-201Fax: +49 (0) 22 41 / 23 41-199Email: [email protected]

■ Secure Coding mit Java EE■ Entwicklung einbruchssicherer und Web-

anwendungen Webservices unter Java EEMirko Richter12. – 13. Juli 2010, München26. – 27. Oktober 2010, Düsseldorf 1.590,- € zzgl. MwSt.

■ Web Applikation Firewall Starter■ Essentielles Web Application

Firewall GrundwissenAchim Hoffmann17. November 2010, München 990,- € zzgl. MwSt.

■ Advanced Web ApplicationSecurity Testing

■ Professionelle Sicherheitsuntersuchungen von Enterprise-Webanwendungen durchführen

Thomas Schreiber01. – 02. Dezember 2010, München 1.590,- € zzgl. MwSt.

■ Sicherheit mitWebService-Infrastrukturen

Jörg Bartholdt25. – 26. Oktober 2010, München

1.590,- € zzgl. MwSt.

■ Best Practices für sichereWeb-Anwendungen

■ Sicherheitslücken ind Webanwendungenvermeiden, erkennen und schließen –gemäß Empfehlung des BSI

Thomas Schreiber14. – 15. Juni 2010, Köln25. – 26. Oktober 2010, Düsseldorf 1.590,- € zzgl. MwSt.

■ Die ultimative Hacking-Akademie■ Erfolgreiche Abwehr von Hacker-Angriffen

und sicherer Schutz Ihres NetzwerksKlaus Dieter Wolfinger20. – 22. September 2010, Frankfurt / Main 2.150,- € zzgl. MwSt.

■ TCP / IP-Netze, -Dienste und SecurityProf. Dr. Kai-Oliver Detken10. – 12. Mai 2010, Berlin18. – 20. Oktober 2010, Frankfurt 1.990,- € zzgl. MwSt.

www.sigs-datacom.de

http://www.blossey-partner.de

http://www.sigs-datacom.de/

4/201052

Honeynet-SySteme

Ähnlich wie echte Honigtöpfe in freier Natur Bären anlocken, handelt es sich bei einem Honeynet um dedizierte Systeme, deren einziges Ziel darin

besteht, Informationen über Angriffsmuster und -verhalten aufzuzeichnen, um den Angreifer zu kompromittieren.

Es ist möglich, produktive Netzwerke vollständig nach-zubilden und die Auswirkungen eines erfolgreichen An-griffs zu analysieren. Erfolgt ein Zugriff auf einen virtu-ellen Dienst des Honeynet-Systems, werden alle damit verbundenen Aktionen protokolliert und falls notwendig ein Alarm abgesetzt. Zur Überwachung wird eine spe-zielle Software eingesetzt, die vom Kernelspace aus alle Programme überwacht und die anfallenden Logdaten an einen lokalen Management-Server bzw. an ein Security-Operation-Center zur Analyse übermittelt.

Obwohl der primäre Zweck darin besteht, Informatio-nen über Angriffsmethoden und -motive zu sammeln, kann man auch auf andere Art davon profitieren, indem der Angreifer von produktiven Ressourcen abgelenkt wird. Ein Angreifer soll natürlich nicht wissen und auch nicht ahnen können, dass er überwacht wird. Oft ist es sinnvoll, einem scheinbar lohnenden Ziel weitere Anrei-ze zu bieten. Gerade im Firmenumfeld können absich-tlich platzierte Dokumente auf einem Honeynet-System für eine detaillierte Aufklärung von Spionagefällen hel-fen. Anwendungen in einem Honeynet enthalten oft viel-versprechende Namen wie zum Beispiel "Faktura" oder "Personal" um den Angreifer in die Falle zu locken.

Gerade bei Produktivsystemen muss der Administrator im Fall eines Angriffs die Ausfallzeit zur Kostenminimierung so kurz wie möglich halten. Wichtige Informationen gehen dann meist verloren und der idente Vorfall kann nach Wie-derherstellung der Echtsysteme erneut auftreten. Obwohl Firewalls oder gar Intrusion-Detection-Systeme bzw. Intru-sion-Prevention-Systeme im Einsatz sind, sind die wichti-gen Fragen über das Vorgehen eines Angriffs meist nicht mehr zu beantworten. Die größte Herausforderung für die meisten Organisationen ist die Unterscheidung zwis-chen "normalem" Netzwerkverkehr und böswilligen Akti-vitäten in den riesigen Informationsmengen. Werkzeuge und Techniken wie Intrusion-Detection-Systeme, forensis-che Methoden oder Systemprotokollanalysen versuchen dieses Problem durch Einsatz von Datenbanken mit be-kannten Angriffsmustern und Algorithmen zur Unterschei-

dung zwischen "gutem" und "bösem" Netzwerkverkehr zu entschärfen. Informationsüberflutung, unbekannte Vor-gänge, falsche Positive und falsche Negative können die Analyse und Bewertung der Aktivitäten erheblich ersch-weren. Im Gegensatz zu den in der Praxis oft wenig bis gar nicht brauchbaren Systemen erlaubt der Einsatz eines Honeynets die ausführliche Aufbereitung von Vorfällen. Ein Honeynet-System zeigt Stärke vor allem bei der Au-fzeichnung von Spuren nach gezielten Angriffen auf das geistige Eigentum Ihres Unternehmens.

Kann die Installation eines Honeynet-Systems die Sicherheit Ihres netzwerks erhöhen?Ein Honeynet kann zur Qualitätssicherung der bereits eingesetzten Sicherheitssysteme verwendet werden. Es erlaubt die Überwachung der Wirksamkeit Ihrer Si-cherheitssysteme und die Analyse von Taktiken und Vorhaben eines Eindringlings (Intruder).

Die Verwendung eines dedizierten Honeynets bietet Vorteile gegenüber herkömmlicher Systeme, da das Datenaufkommen der Intrusion-Systeme in der produk-tiven Umgebung hier oft unüberschaubar wird oder un-ter Umständen kritische Pakete verloren gehen können. Dies erschwert die spätere Analyse erheblich und es gehen wichtige Aspekte für die Aufklärung verloren.

Ein Honeynet-System wird im aktiven Betrieb nicht für re-ale Dienste eingesetzt, daher wird nur eine geringe Menge an Daten gesammelt, somit löst es das Problem der Daten-flut durch Einfachheit. Ein Honeynet-System ist geschaffen, um zu kompromittieren, nicht um realen Netzwerkverkehr weiterzuleiten. Jeder Verkehr im Honeynet ist per Definition verdächtig, jede hergestellte Verbindung ist sehr wahrscheinlich ein Test, ein Einbruch oder eine sonstige Form von kri-mineller Aktivität. Das Konzept, dass das Netz keinen Pro-duktivverkehr aufweist, vereinfacht das Sammeln und Ana-lysieren von wichtigen Fakten erheblich.

Die bedeutendste Hilfe stellt ein Honeynet bei der Reak-tion auf den Einbruch dar. Nach einem Einbruch haben der Wiederaufbau des Systems und seine erneute Verfügbar-keit häufig höchste Priorität. Für die forensische Analyse der Vorgehensweise des Angreifers und der ausgenutzten Sicherheitslücke bleibt meist nur wenig bis keine Zeit. Ein Honeynet-System kann im Anschluss eine sehr nützliche Hilfe bei der Analyse der Ereignisse sein und wertvolle

Honeynet – Systeme

Mit Speck fängt man Mäuse, mit Honeynets Angreifer – und hält sie damit von Ihren wichtigen Systemen fern.

ernst Hofmann

Honeynet – Systeme

hakin9.org/de 53

det. Dazu wurden Server eingerichtet, welche gaben vor, Kinderpornografie zum Download anzubieten. Tat-sächlich wurden strafrechtlich irrelevante Daten angebo-ten, die Zugriffe protokolliert und anschließend Strafver-fahren gegen die zugreifenden Personen eingeleitet.

Neben der Administration und der an unterschied-lichsten Stellen erzeugten Logdaten, die normalerwei-se erst manuell zueinander in Beziehung gebracht wer-den müssen, wenden sich unerfahrene Administratoren meist von einem solch wichtigen System ab.

Hier setzt die quattroSEC GmbH an: Wir sammeln an zentraler Stelle, in unserem Rechenzentrum, die Logdaten der unterschiedlichen Quellen des Honeynets. Die Daten zu aggregieren übernimmt die quattroSEC GmbH und gibt Ihnen im Falle eines Einbruchs umgehend Bescheid, ähn-lich eines Sicherheitsdienstleisters im Facility-Bereich. Das Honeynet-System ist natürlich durch geeignete Maßnah-men abgesichert um hier weitere Straftaten des Intruders vorzubeugen. Wie auch eine Alarmanlage Ihr Gebäude überwacht, so sichert das Honeynet-System ständig Ihre wichtigen Informationen und somit Ihre Kronjuwelen.

Wir installieren Ihnen ein unternehmenseigenes Ho-neynet-System, die Betreuung und Analyse wird durch das Team der quattroSEC GmbH durchgeführt, somit können Sie sich beruhigt auf Ihre Kernkompetenzen konzentrieren.

Ernst HofmannGeschäftsführer der quattroSEC GmbH

A-1100 Wien

Hinweise für die Sicherung des Systems geben. Die da-raus resultierenden Erkenntnisse können die Sicherheit der Systeme oder des Netzwerks stark erhöhen.

Ein Honeynet ist also ein Sicherheitsinstrument, das Angriffe oder Einbrüche erkennt und Sie in Echtzeit alar-miert. Ein Honeynet stellt jedoch in keinster Weise eine durch ein System hervorgerufene Verteidigung dar, die-se soll professionell durch Spezialisten abgewehrt bzw. aufbereitet werden.

Das Honeynet-System hat seine Stärken vor allem auch bei der Beantwortung von Fragen nach geziel-ten Angriffen auf das eigene Netzwerk. Wie kam es überhaupt zu der erfolgreichen Übernahme? Welche Schwachstelle hat der Angreifer ausgenutzt, um Zu-gang zum System zu erlangen und zu welchem Zweck hat der Intruder den Angriff durchgeführt? Natürlich ist auch der zeitliche Verlauf nicht unbedeutend und lässt sich im Nachhinein genau analysieren.

Verbreitung der Honeynet-SystemeObwohl Honeynet-Systeme äußerst mächtige und wich-tige Werkzeuge beim Umgang mit Sicherheitsvorfällen sind, halten sich vor allem Unternehmen durch Unwis-senheit mit deren Einsatz noch immer sehr zurück. Ho-neynets sind bereits seit einiger Zeit als effektive Sicher-heitskomponenten bekannt und werden bei größeren Unternehmen und im Behörden- und Hochschulumfeld seit Jahren erfolgreich eingesetzt.

Es wurde beispielsweise mit Hilfe von einer Art Honey-net nach Konsumenten von Kinderpornografie gefahn-

Datenschutz ist EU-weit gesetzliche Anforde-rung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern uns um ein ange-messenes Datenschutzniveau in Ihrem Unter-nehmen, auch international.

www.blossey-partner.de

Recommended Sites

Securitymanager.de ist eine Produktion des Online-Verlag FEiG & PARTNER. Seit dem Start hat sich Securitymanager.de zu einem führenden Online-Informationsportal in Deutschland entwickelt und versteht sich als unabhängiger Informationsdienstleister der IT- und Information-Security-Branche.

www.securitymanager.de

Pericom base camp IT-Security: Unser Ziel ist es, unsere Kunden vor möglichen Gefahren für Ihre IT-Infrastruktur bestmöglich zu schüt-zen. Neben der Analyse von Risikopotentia-len durch Security Audits bieten wir, durch die Implementierung von Security-Lösungen, Schutz vor konkreten Gefahren.

www.pericom.at

Dieses Projekt hat sich zum Ziel gesetzt, durch ein unabhängiges Informationsangebot möglichst viel relevantes Wissen über Betriebssysteme bereitzustellen. Dazu werden möglichst viele Informationsquellen einbezogen.

www.operating-system.org

Die Web-basierende Secure Data Exchange-Lösung „FileBox” ermöglicht einen komforta-blen und sicheren Dokumentenaustausch. Sie richtet sich dabei an alle Zielgruppen, die auf einen geschützten Datentransfer mit Kunden oder Geschäftspartnern angewiesen sind.

www.filebox-solution.com/info/

Happy-Security ist ein neues Portal mit Secu-rity-Challanges, IT-Quiz, Web-Bibliothek, Multi-media-Center & vielen weiteren Features.

www.happy-security.de

JMIT bietet Ihnen individuelle Lösungen für Ihr Unternehmen an. Angefangen von Instand-haltung und Wartung von einer EDV-Infrastruktur bis hin zur Entwicklung von Software. Die Sicher-heit Ihrer Daten wird bei den Tätigkeiten genau berücksichtigt.

www.johannesmaria.at

AV-Comparatives geht hervor aus dem Inns-brucker Kompetenzzentrum und gilt als eines der bekanntesten unabhängigen Testhäuser für Antiviren-Software.

www.av-comparatives.org

Die Seed Forensics GmbH bietet für Strafver-folgungsbehörden professionelle Unterstützung in den Bereichen der Datensicherstellung und Datenträgerauswertung. Selbstverständlich entsprechen unsere Mitarbeiter, unser tech-nisches Equipment und auch unsere Räumli-chkeiten den notwendigen Anforderungen.

www.seed-forensics.de

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: [email protected]

Anonmail bietet Sie frei verschlüsselte und si-chert webmail an. Wir kombinieren den Kom-fort von webmail mit maximaler Sicherheit.

www.anonmail.de

Die Netzwerktechnik steht auf www.easy-ne-twork.de im Mittelpunkt. Artikel, Tutorials und ein Forum bieten genügen Stoff für kommende Administratoren und Netzwerkprofis.

www.easy-network.de

Hier findest Du alles, was das Herz eines Computerfreaks höher schlagen lässt: Geek Wear mit intelligenten Sprüchen, eine riesige Auswahl Gadgets und natürlich auch viele Hacker Tools.

www.getDigital.de

http://www.hackingschool.de/

Deutschlands drittgrößte Free and Open Source Software Conference feiert ihr 5jähriges Jubiläum!

Klar, am 21. & 22.08.2010

in Sankt Augustin!

Hochkarätige Talks, Projekte und WorkshopsGroße Geburtstagsparty am SamstagabendHüpfburgCreative Contest und vieles mehr

Highlights dieses Jahr sind:

Weitere Infos auf www.froscon.de und auf twitter

Call for Papers12.4. bis 23.5.

?

http://www.froscon.de/

Recommended Companies

SEC ConsultSEC Consult ist der führende Berater für Information Security Consulting in Zentraleuropa. Die vollständige Unab-hängigkeit von SW- und HW-Herstellern macht uns zum echten Advisor unserer Kunden. Unsere Dienstleistungen umfa-ssen externe/interne Sicherheitsaudits, (Web-) Applikationssicherheit (ONR 17-700), Sicherheitsmanagement-Prozesse (ISO 27001) etc.

www.sec-consult.com

SEC Consult

Tele-Consulting GmbHVom BSI akkreditiertes Prüfl abor für IT-Sicherheit, hakin9 und c’t Autoren, jah-relange Erfahrung bei der Durchführung von Penetrationstests und Security-Au-dits, eigener Security Scanner „tajanas”, Sicherheitskonzepte, Risikoanalysen, IT-Grundschutz-Beratung, 3 lizenzierte ISO 27001-Auditoren, VoIP-Planung und -Security

www.tele-consulting.com

B1 Systems Die B1 Systems ist international tätig in den Bereichen Linux/Open Source Consulting, Training und Support. B1 Systems spezialisiert sich in den Be-reichen Virtualisierung und Cluster.

[email protected]

x-cellent technologiesx-cellent technologies ist als IT-Dienst-leister und Beratungsunternehmen mitden Schwerpunkten IT-Security, Netz-werkmanagement und Anwen-dungsentwicklung tätig. Un-sere IT-Security-Leistungen sind: Audits, Penetrationstests, IT-Securitymanagement, IT-Grundschutz, ISO 27001

art of defence GmbHart of defence entwickelt Lösungen im Bereich der Web-Anwendungs-Sicher-heit. Unsere Software schützt Websites und Datenbanken gegen Hacker-An-griffe auf Anwendungs-Ebene wie z.B. Phishing. Damit schließen wir die derzeit größte Sicherheitslücke von E-Business-Systemen. Egal ob Web-Farm oder klei-ner Online-Shop.

www.artofdefence.com

Protea NetworksProtea ist spezialisiert auf IT-Security-Lösungen: Verschlüsselung, Firewall/VPN, Authentifi zierung, Content-Filte-ring, etc. Wir bieten umfassende Bera-tung, Vertrieb von Security-Hard- und Software, Installation und umfangreiche Dienstleistungen (z. B. Konzeption, Trai-nings). Protea setzt auf Lösungen der Markt- und Technologieführer und hält dafür direkten inhouse-Support bereit.

www.proteanetworks.de

secadmsecadm ist durchtrainierter Spezialist für Airbags, ABS und Sicherheitsgurte in der IT. Zehn IT-Sicherheitsexperten mit 70 Mannjahren Erfahrung beraten, entwi-ckeln und implementieren IT-Lösungen für Kunden weltweit. Der Fokus liegt da-bei auf Themen wie Prozess-Optimierung und Security-Management. Risiko-Analy-se, die Sicherheitsberatung, Auditing, Se-curity-Leitfäden, Software-Entwicklung, Reporting bis zum Training.

www.secadm.de

Blossey & Partner Consulting DatenschutzbüroDatenschutz ist EU-weit gesetzliche An-forderung. Wir sorgen für die Erfüllung rechtlicher Vorschriften und kümmern uns um ein angemessenes Daten-schutzniveau in Ihrem Unternehmen, auch international. Wir erledigen alle er-forderlichen Aufgaben, die Fäden behal-ten Sie in der Hand. Nutzen Sie unser Erstberatungsgespräch.

www.blossey-partner.de

secXtreme GmbHschützt Ihre Web-Anwendungen bis auf Applikationsebene. Dazu gehört sowohl die Prüfung von Applikationen (Pentests und Code-Reviews) als auch Beratungsleistungen für Sicherheit im Entwicklungsprozess und Schutzlö-sungen (Web Application Firewalls) bei Großunternehmen und dem gehobenen Mittelstand.

www.sec-Xtreme.com

MabuntaDie mabunta GmbH agiert als hoch-spezialisierter und kompetenter Partner rund um IT-Security- und Netzwerk-Lö-sungen. Wir unterstützen bei IT-Sicher-heitsfragen in allen Unternehmens-bereichen, verbinden Wachstum mit sicherer Kommunikation. Alles in allem- mabunta „one-face-to-the-customer“, Ihr Spezialist in Fragen der IT-Sicherheit.

www.mabunta.de

Recommended Companies

OmicronOmicron ist auf Sicherheit und Analysen von Netzwerken und Systemen spe-zialisiert und pfl egt ein sehr sorgfältig zusammengestelltes Service- und Lö-sungsportfolio, um Firmen bei zentralen und sicherheitskritischen Problemstellun-gen kompetent unterstützen zu können. Entsprechende Kurse und Ausbildungen ergänzen das Angebot.

www.omicron.ch

Bytesemotion Kammerlander & Tsengelidis GbRDie Firma ist Lösungs- und Service-anbieter für IT Technologie. Unsere Kernkompetenzen sind: IT Projekt-management, Datenschutzbeauftragten- Dienste nach BDSG, Publishing, Content Management Systems. Dennoch erweitern wir für Sie mühelos durch die Zusammenarbeit mit nationalen und internationalen work- spaces und groups.

www.bytesemotion.de

SecureNet GmbH, MünchenAls Softwarehaus und Web Application Security Spezialist bieten wir Expertise rund um die Sicherheit von Webanwen-dungen: Anwendungs-Pentests, Sour-cecodeanalysen, Secure Coding Gui-delines, Beratung rund um den Software Develoment Lifecycle. Tools: Application Firewalls, Application Scanner, Fortify SCA/Defender/Tracer.

www.securenet.de

underground_8 secure computing gmbhWir entwickeln und vertreiben security appliances für die Bereiche Unifi ed Threat Management, Traffi c Shaping und Antispam. Unsere Lösungen sind hardwarebasiert und werden über Dis-tributoren, Reseller und Systemintegra-toren implementiert und vertrieben.

www.underground8.com

OPTIMAbit GmbHWir sind Spezialisten für Entwicklung und Security. Wir sichern Java, .NET und Mobile Applikationen gegen Angriffe externer und interner Art. Unsere Diens-te umfassen Audits, Code Reviews, Pe-netrationstest, sowie die Erstellung von Policies. Zusätzlich bieten wir Seminare zu sicherheitsrelevanten Themen.

www.optimabit.com

m-privacy GmbHIT-Sicherheitslösungen – funktional und einfach zu bedienen!So präsentieren sich die von m-privacy entwickelten TightGate™-Server, z.B. TightGate™-Pro mit Datenschutz-Gü-tesiegel. Es bietet als erstes System weltweit einen kompletten Schutz vor Online-Spionage, Online-Razzien und gezielten Angriffen!

www.m-privacy.de

NESECNESEC ist Ihr Spezialist für Penetra-tionstests, Sicherheitsanalysen und IT-Security Counsulting. Das NESEC Pentest-Team unterstützt Sie bei Si-cherheitsprüfungen Ihrer Netzwerke und Webapplikationen sowie bei Sour-ce Code Audits. Bei Bedarf optimieren wir Ihre Policy, sensibilisieren Ihre Mitarbeiter und zertifi zieren Ihr Unter-nehmen nach ISO 27001.

www.nesec.de

Seed Forensics GmbHDie Seed Forensics GmbH bietet für Strafverfolgungsbehörden profe-ssionelle Unterstützung in den Bereichen der Datensicherstellung und Datenträgerauswertung. Selbst-verständlich entsprechen unsere Mitarbeiter, unser technisches Equip-0ment und auch unsere Räumlichkeiten den notwendigen Anforderungen.

www.seed-forensics.de

Videoüberwachung, Mitschneiden von Telefongesprächen, Auswertungen besuchter Internetseiten am Arbeitsplatz sind nur nur ein paar wenige Beispiele wie eigentlich sinn-

volle und wichtige Kontrolle missbräuchlich eingesetzt wird. Dabei könnten Sie den strafbewehrten Tatbestand durch gesetzeskonforme Gestaltung leicht vermeiden.

Wir spüren die Datenschutz-Löcher in Ihrem Unterneh-men auf, entwickeln praxistaugliche Lösungen, schulen Ihre Mitarbeiter und helfen bei der Einhaltung der daten-schutzrechtlichen Bestimmungen.

z.B. unerlaubtes Bespitzeln der

eigenen Mitarbeiter

Sie wollen mehr wissen? Tel.: +49 (0) 98 56 - 92 19 991 · www.blossey-partner.de

Datenschutz-Dienstleistungen für UnternehmenEntlastung · Resultate · Mehrwert

Löchergibt es überall.

http://www.blossey-partner.de/

https://www.dreamlab.net/

Documents

hakin9_04_2010_DE