Daniel Aebi
Praxishandbuch Sicherer IT-Betrieb Risiken erkennen Schwachstellen beseitigen IT-Infrastrukturen schützen
...
29 downloads
835 Views
4MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Daniel Aebi
Praxishandbuch Sicherer IT-Betrieb Risiken erkennen Schwachstellen beseitigen IT-Infrastrukturen schützen
GABLER
Praxishandbuch Sicherer IT-Betrieb Das sichere Betreiben von IT-Infrastrukturen stellt für Unternehmen, Behörden und Organisationen seit je her eine große Herausforderung dar. Sicherheitsprobleme verursachen oft hohe Kosten. Systemausfälle oder Datenverluste können das Überleben eines Betriebes rasch gefährden. Im vorliegenden Zusammenhang bedeutet Sicherheit, sowohl angemessen mit altbekannten Schwierigkeiten wie Stromausfällen, Datenverlusten oder Diebstahl als auch mit neueren Bedrohungen wie Denialof-Service-Angriffen oder Hackern umzugehen. Dieses Buch erläutert in verständlicher Weise die Probleme, die beim Betrieb von IT-Infrastrukturen für Mittelständische Unternehmen zu lösen sind, um einen hohen Grad an Sicherheit und Zuverlässigkeit zu erreichen. Es liefert konkrete Empfehlungen und Entscheidungshilfen, die gewährleisten, dass der Inhalt direkt in der Praxis umgesetzt werden kann. Aus dem Inhalt: • Grundlagen • Physische Sicherheit • Stromversorgung • Netzwerksicherheit • Sichere E-Mail
• • • •
Malware Datensicherung Archivierung Nachsorge
Der Autor: Dr. Daniel Aebi befasst sich seit vielen Jahren in Theorie und Praxis mit Projektführung, Entwicklung, Wartung und Migration von Anwendungssystemen und dem sicheren Betrieb von IT-Infrastrukturen. Er ist Inhaber der Dr. Aebi Informatik AG. Daneben ist er seit vielen Jahren auch als Dozent an der Eidgenössischen Technischen Hochschule in Zürich tätig. ISBN 3-409-12539-6
www.gabler.de
Daniel Aebi Praxishandbuch Sicherer IT-Betrieb
Daniel Aebi
Praxishandbuch Sicherer IT-Betrieb Risiken erkennen Schwachstellen beseitigen IT-Infrastrukturen schützen
Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
1. Auflage Juni 2004 Alle Rechte vorbehalten © Betriebswirtschaftlicher Verlag Dr. Th. Gabler/GWV Fachverlage GmbH, Wiesbaden 2004 Lektorat: Maria Akhavan-Hezavei Der Gabler Verlag ist ein Unternehmen von Springer Science+Business Media. www.gabler.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: Nina Faber de.sign, Wiesbaden Druck und buchbinderische Verarbeitung: Wilhelm & Adam, Heusenstamm Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN 3-409-12539-6
Vorwort Das Thema IT-Sicherheit hat in den letzten Jahren zunehmend an Aktualität gewonnen und ist inzwischen auch einem breiteren Publikum ins Bewusstsein gedrungen. Entsprechende Bedrohungen werden jedoch oft noch etwas einseitig wahrgenommen. Während heute wohl jeder Computerbenutzer schon von Hackern, Viren und Würmern gehört hat, ist das Bewusstsein zu Themen wie Stromversorgung, Datensicherung oder Netzwerksicherheit gelegentlich noch wenig ausgeprägt. In diesem Buch wird deshalb der Versuch unternommen, eine möglichst breite Darstellung der Sicherheitsprobleme und ihrer Lösungen beim Betrieb von Informatikmitteln zu bieten. Dabei geht es weniger um ausgefeilte theoretische Konzepte, sondern vielmehr um pragmatische Lösungen, namentlich für kleine und mittlere Betriebe. Das Buch richtet sich an zwei verschiedene Personengruppen. Zielpublikum Zum einen soll es Praktikern aller Stufen - vom Systemadministrator bis zum CIO - eine Hilfestellung bieten bei der Planung und Umsetzung von Maßnahmen zur Gewährleistung eines sicheren Informatikbetriebes. Zum anderen soll es Studieren¬ den der Informatik und verwandter Gebiete eine Einführung in Themenbereiche bieten, die in der Regel im Studium nicht oder nur am Rande behandelt werden. Das Buch gliedert sich in neun Kapitel, die sich jeweils einem Aufbau des speziellen Sicherheitsthema widmen. Jedes Kapitel kann auch Buches für sich allein gelesen werden. Alle Kapitel schließen mit einem Abschnitt „Empfehlungen für Praktiker". Diese Empfehlungen richten sich vor allem an Entscheidungsträger, die interessiert sind an pragmatischen, einfach umsetzbaren Maßnahmen. Jeweils am Ende eines Kapitels findet man weiterführende Literatur und Verweise. V
Vorwort Online-Ressourcen
Noch ein Wort zu den angegebenen Online-Ressourcen: Vieles, was heute im Internet an Information verfügbar ist, ist leider teilweise recht kurzlebig. Adressen zeigen plötzlich ins Leere, Server fallen aus, Webseiten veralten oder verschwinden gänzlich. Obwohl sich der Autor um Aktualität bemüht und sämtliche angegebenen Referenzen geprüft hat, stellen diese nur den aktuellen Stand im Frühjahr 2004 dar und es kann keine Garantie abgegeben werden, dass diese auch zu einem späteren Zeitpunkt noch zur Verfügung stehen werden.
Dank Zum Schluss ein Wort des Dankes. Dieses Buch basiert auf rund zwei Jahrzehnten Erfahrung des Autors, während denen er im Rahmen vieler Projekte offene Einblicke in Praxisprobleme und deren Lösungen gewinnen konnte. Aber auch die Vermittlung dieser Erfahrungen in der Lehre auf Hochschulstufe hat - nicht zuletzt dank mancher kritischen Frage von studentischer Seite - zu einer Überprüfung und Abrundung des Stoffes beigetragen. All denen, die hierzu einen Beitrag geleistet haben, sei an dieser Stelle ganz herzlich gedankt. Darüber hinaus haben namentlich folgende Personen das Entstehen dieses Buches in dankenswerter Weise beeinflusst: B. Hassler, M. Meister, W. Doser und Prof. C.A. Zehnder. Ein ganz spezieller Dank richtet sich auch an Frau AkhavanHezavei vom Gabler-Verlag für die sehr kompetente und speditive Unterstützung bei der Drucklegung.
Zürich, Frühling 2004 Daniel Aebi
VI
Inhaltsverzeichnis 1
Grundlagen & Begriffe
1
1.1 1.2
1.6
Ausgangslage Begriffe 1.2.1 Sicherheit und Risiko 1.2.2 System 1.2.3 IT-Infrastruktur 1.2.4 Benutzung versus Betrieb Sicherheitsbedürfnisse Sicherheit - ein dauernder Kompromiss Methodik der Umsetzung 1.5.1 Grundsätzliche Vorgehensweisen 1.5.2 Sicherheitskonzept, -richtlinien 1.5.3 Bedrohungen 1.5.4 Inventarisierung 1.5.5 Sicherheitsprozess - Umsetzung Empfehlungen für Praktiker
1 4 4 5 7 10 12 14 16 16 18 19 20 23 25
1.7
Literatur
28
1.3 1.4 1.5
2
Physische Sicherheit
29
2.1 2.2
29 30 30
2.3 2.4 2.5
Begriff Maßnahmen 2.2.1 Kapazitätsmanagement 2.2.2 Wahl geeigneter Räume, bauliche Maßnahmen 2.2.3 Klimatisierung 2.2.4 Vernetzung, Verkabelung 2.2.5 Zutrittskontrolle / Berechtigungen 2.2.6 Alarmierung bei Störungen Schulung, Notfallübungen Empfehlungen für Praktiker Literatur
31 33 34 34 35 35 36 38
Vi!
Inhaltsverzeichnis
3
Stromversorgung
39
3.1 3.2 3.3
39 40 42 42 43 44 44 47 48 50
3.4 3.5 3.6 3.7
4
Netzwerksicherheit
51
4.1 4.2
51 51 52 53 55 58 60 61 62 63 64 64 65 66 69 70 70 71 72 74 75 76
4.3 4.4 4.5
4.6
4.7 4.8
4.9
VIII
Einleitung - Probleme Lösungsansätze USV-Typen 3.3.1 Mitlaufbetrieb 3.3.2 Netzüberwachungsbetrieb 3.3.3 Dauerbetrieb Auswahl & Einsatz Blitzschutz Empfehlungen für Praktiker Literatur Einführung Grundlagen von Netzwerken 4.2.1 Typen von Netzen 4.2.2 Schichtenmodelle und Protokolle 4.2.3 TCP/IP — basierte Netzwerke Bedrohungen in Netzwerken Schutzmaßnahmen in Netzen Systeme „härten" 4.5.1 Patch- und Update-Management 4.5.2 Rechtevergabe 4.5.3 Installieren von Schutzprogrammen Passwortschutz 4.6.1 Passwort-Angriffe 4.6.2 Passwort-Management Verschlüsselung Firewalls 4.8.1 Begriff 4.8.2 Ziele 4.8.3 Wirkungsweise, Typen 4.8.4 Grenzen 4.8.5 Entmilitarisierte Zonen - DMZ VPN - Virtual Private Network
Inhaltsverzeichnis
5
4.10 WLAN - Wireless LAN 4.10.1 Eigenschaften 4.10.2 Sicherheitsaspekte 4.11 Einbruchserkennung 4.12 Empfehlungen für Praktiker 4.13 Literatur
78 78 79 80 82 87
Sichere E-Mail
89
5.1 5.2 5.3 5.4
89 90 92 94 94 94 95 96 98 99
5.5 5.6
5.7 5.8
6
Einleitung Wie funktioniert E-Mail? Eigenschaften SPAM 5.4.1 Begriff 5.4.2 Beurteilung 5.4.3 Organisatorische Maßnahmen 5.4.4 Technische Maßnahmen E-Mail-Archivierung Übermittlung vertraulicher Inhalte 5.6.1 Schutzelemente bei herkömmlicher Post 5.6.2 Grundprinzipien der Verschlüsselung .. 5.6.3 E-Mail-Verschlüsselung in der Praxis.... Empfehlungen für Praktiker Literatur
99 100 103 104 107
Malware
109
6.1 6.2 6.3 6.4
109 109 111 112 113 121 121 122 124 125 125 125 126
Einleitung Was ist Malware? Meilensteine der Entwicklung Malware-Arten - Klassifikation 6.4.1 Viren 6.4.2 Würmer 6.4.3 Trojanische Pferde 6.4.4 DoS- und DDoS-Agenten 6.4.5 Mobiler Code 6.4.6 Rootkits 6.4.7 Dialer 6.4.8 Adware und Spyware 6.4.9 Easter-Eggs
IX
Inhaltsverzeichnis
7
6.5 6.6 6.7 6.8
Malware - Entwurfsprinzipien Infektionswege, Verbreitung Schäden durch Malware Lösungsansätze 6.8.1 Erkennung - organisatorisch 6.8.2 Erkennung -technische Verfahren 6.8.3 Anti-Malware-Software 6.8.4 Informationsquellen, Werkzeuge 6.9 Malware-Management 6.9.1 Proaktives Malware-Management 6.9.2 Reaktives Malware-Management 6.10 Empfehlungen für Praktiker 6.11 Literatur
127 128 129 131 131 132 134 135 135 136 137 140 142
Datensicherung
143
7.1 7.2 7.3 7.4 7.5
7.6
7.7
7.8 7.9
X
Einleitung 143 Grundlegende Aspekte 144 Speicherhierarchie 146 Speicherarchitektur 147 RAID 150 7.5.1 RAID-Stufen 151 7.5.2 Beurteilung und Einsatz 154 Datensicherungsarten 157 7.6.1 Unterscheidung nach Umfang 157 7.6.2 Unterscheidung nach Zeitpunkt 159 7.6.3 Generationenprinzip 160 Technische Umsetzung 161 7.7.1 Wahl der Technologie 161 7.7.2 Software 162 7.7.3 Hardware 163 7.7.4 Wiederherstellung 164 7.7.5 Aufbewahrung von Sicherungsmedien 164 Empfehlungen für Praktiker 165 Literatur 167
Inhaltsverzeichnis
8
Datenarchivierung
169
8.1 8.2 8.3 8.4 8.5
169 170 171 172 177 177 177 178 181
8.6 8.7
9
Einleitung Gründe für Archivierung Anforderungen Probleme Lösungsansätze 8.5.1 Migration 8.5.2 Emulation Empfehlungen für Praktiker Literatur
Nachsorge
183
9.1
183 183 184 185 185 186 186 188 189 190 193
Sicheres Löschen, Entsorgung 9.1.1 Gelöschte Daten sind noch da 9.1.2 Daten sicher löschen 9.1.3 Reparaturen, Entsorgung 9.2 Personalwechsel 9.3 Incident Management 9.3.1 Vorbereitung auf den Ernstfall 9.3.2 Computer-Forensik 9.3.3 Professionelle Datenrettung 9.4 Empfehlungen für Praktiker 9.5 Literatur
Glossar Abkürzungen, Einheiten
195 205
Stichwortverzeichnis
207
XI
1
Grundlagen & Begriffe
1.1
Ausgangslage
Die Entwicklung und Verbreitung der Informationstechno¬ logie (IT) ist eine beispiellose Erfolgsgeschichte. Innerhalb nur weniger Jahrzehnte hat sie in viele Lebensbereiche Einzug gehalten und diese teilweise nachhaltig geprägt und verändert. Viele Aufgaben in Wirtschaft und Verwaltung sind ohne funktionierende IT nicht mehr lösbar. Ganze Wirtschaftszweige sind heute davon abhängig. Diese Abhängigkeit (die manchem erst im Zusammenhang mit dem so genannten Jahr-2000Problem zum ersten Mal so richtig bewusst wurde [1]), stellt zwangsläufig auch immer höhere Anforderungen an die Sicherheit und die Zuverlässigkeit des IT-Betriebes. 1
Fragen der Sicherheit und Zuverlässigkeit haben in den letzten Jahren eine sehr stark zunehmende Bedeutung erlangt. Das hat vielfältige Gründe. Dabei spielten folgende Entwicklungen eine maßgebliche Rolle: Durchdringung, Komplexität, Geschwindigkeit, Vernetzung. 1
Die Begriffswelt der Informationstechnologie ist leider nicht einheitlich. Während für die wissenschaftliche Disziplin im deutschen Sprachraum der Begriff „Informatik" weitgehend akzeptiert ist, findet man für den Einsatz in der Praxis sowohl noch den etwas altmodischen Begriff EDV (elektronische Datenverarbeitung) wie auch die Begriffe IT (Informationstechnologie) und IKT (Informations- und Kommunikationstechnologie). In diesem Buch werden unter dem Begriff IT sowohl die technischen (inkl. Kommunikationstechnik) wie auch die organisatorischen Strukturen und Abläufe des Informatikeinsatzes verstanden.
1
Grundlagen & Begriffe
Durchdringung
In immer mehr Lebensbereichen gelangen Informationstechnologien zur Anwendung. So ist beispielsweise der Einsatz im Bereich des Transportwesens, der Medizinaltechnik, der Bildung oder auch der Einsatz zu privaten Zwecken zu nennen. Auch moderne Haushaltsgeräte, Automobile oder Geräte der Unterhaltungselektronik und Telefonie enthalten heute eine Vielzahl von IT-Komponenten. Dabei zeigen neuere Trends, wie beispielsweise das „ubiquitous Computing", dass man hier eigentlich erst am Anfang einer noch viel weiter gehenden Entwicklung steht.
Komplexität
Die heute eingesetzten Systeme zeichnen sich durch eine teilweise sehr große Komplexität (aber auch Leistungsfähigkeit!) aus. Dabei ist in einzelnen Bereichen die Komplexität stärker gewachsen als die Fähigkeit, diese zu beherrschen! Große Softwaresysteme sind heute um Größenordnungen komplexer als noch vor nur wenigen Jahren. Auch die Anzahl der Schnittstellen zu anderen Systemen hat stark zugenommen.
Geschwindigkeit
Die Entwicklung der IT erfolgt in rasantem Tempo. Die „time to market" hat sich drastisch reduziert. Die Veränderung der Preis-/Leistungsrelation oder der erreichte Grad an Miniaturisierung gewisser Komponenten ist sehr beeindruckend. Der hohe Zeitdruck führt aber zwangsläufig zu teilweise „unreifen", fehlerhaften Produkten.
Vernetzung
IT-Systeme werden heute nicht mehr isoliert eingesetzt und betrieben, sondern immer stärker vernetzt. Dies geschieht regelmäßig nicht nur firmenintern, sondern auch über Firmengrenzen hinaus. Dieser Trend zur „Vernetzung aller Dinge", noch verstärkt durch den vermehrten Wunsch nach mobiler Benutzung entsprechender Technologien, führt zusätzlich zu vermehrten Abhängigkeiten vom Funktionieren der verwendeten Kommunikationstechnologie. Es bleibt anzumerken, dass trotz der rasanten Entwicklung auch vergleichsweise „alte" Technologien und Architekturen nach wie vor im Einsatz sind und auch noch lange bleiben werden. So spielen beispielsweise Großrechner an vielen Orten immer noch eine sehr wichtige Rolle.
2
Grundlagen & Begriffe IT-Entwicklungen
Abbildung 1-1
über die Zeit Grossrechner, Zentrale IT Arbeitsplatzrechner, Lokale Netze, Client-/Server-Systeme, Dezentrale IT Globale Netze, „mobile Computing"
1970
1980
1990
2000
Diese Entwicklungen führten in den letzten Jahren zu einem überproportional steigenden Gefährdungspotenzial. So zeigt beispielsweise die Anzahl der dem Computer Emergency Response Team der Carnegie Mellon University (CERT) bekannt gewordenen sicherheitsrelevanten Vorfälle steil nach oben. Aber auch Umfragen zum Thema Sicherheit in verschiedenen Firmen zeigen eine sehr starke Zunahme von Sicherheitsproblemen (siehe z. B. [2]). Systemabsturz und Computervirus sind heute - neben vielen anderen - Begriffe, die jedem Benutzer leider geläufig sind. Sicherheitsrelevante Vorfälle in
Tausend (Quelle: [3])
Abbildung 1-2
3
Grundlagen & Begriffe
1.2
Begriffe
1.2.1
Sicherheit und Risiko
Zum Themenkomplex IT-Sicherheit gehört eine ganze Reihe von Begriffen, wie Gefahr, Bedrohung, Angriff, Schwachstelle, Verwundbarkeit u. v. a. m. Zu all diesen Begriffen findet man in der Fachliteratur viele unterschiedliche Definitionen (siehe z. B. [4, 5]). Diese Vielfalt an Begriffsdefinitionen ist allerdings für die Praxis wenig hilfreich. Sicherheit und Risiko lassen sich weder quantitativ genau messen, noch lässt sich vollkommene Sicherheit (bzw. völlige Abwesenheit von Risiken) je erreichen. Sicherheit und Risiko hängen auch stark vom Standpunkt des Betrachters ab. In diesem Buch wird deshalb das folgende, eher pragmatische Begriffsverständnis zugrunde gelegt: Sicherheit
Sicherheit bedeutet, dass ein Objekt (ein Gerät, ein Programm, ein System, ...) unter allen normalen Betriebsbedingungen so wie vorgesehen funktioniert.
Risiko Die Sicherheit wird aufgrund immer vorhandener Schwachstellen durch eine Vielzahl von Bedrohungen gefährdet. Unter dem Begriff Risiko versteht man die Wahrscheinlichkeit des Eintretens eines Schadensereignisses. Im Zusammenhang mit dem Begriff Risiko spielt zudem auch die Höhe des potenziellen Schadens eine Rolle (sehr seltene Ereignisse mit hohem Schadenspotenzial können deshalb durchaus ein hohes Risiko aufweisen). Formelhaft lässt sich das auch so darstellen: Risiko = Eintrittswahrscheinlichkeit x Schadenspotenzial Bei Sicherheitsüberlegungen spielen somit schützenswerte Objekte, die Erwartungen an ihre Funktionsweise sowie Eintrittswahrscheinlichkeiten und Schadenspotenziale von Bedrohungen eine zentrale Rolle. Bei den Objekten geht es im vorliegenden Zusammenhang um Ressourcen einer Unternehmung. Man spricht deshalb auch von so genannten Vermögenswerten (engl.: assets). Anforderungen und Erwartungen an Betriebsbedingungen und Funktionsweise werden sowohl von Betreibern als auch von Benutzern geäußert.
4
Grundlagen & Begriffe
1.2.2
System
Der Systembegriff spielt in vielen Disziplinen eine überragende Rolle, wird aber nichtsdestotrotz oft eher intuitiv verwendet. Auch beim Einsatz von Informationstechnologien wird regelmäßig von Systemen gesprochen (z. B. Datenbanksystem, EMail-System, Informationssystem, ...). Obwohl sich rund um den Systembegriff ein selbständiges Fachgebiet, die so genannte Systemtheorie, entwickelt hat und diese auch in der Informatik eine Rolle spielt (siehe z. B. [6, 7]), genügen für viele Betrachtungen oft folgende Grundbegriffe: System, Element, Beziehung, Systemgrenze. Ein System ist eine Gesamtheit von Elementen mit Beziehungen System zwischen diesen Elementen und ihren Eigenschaften. Unter Element versteht man die Bausteine eines Systems (das Element können durchaus wiederum Systeme sein). Die Verknüpfungen der Elemente untereinander werden als Beziehung Beziehungen bezeichnet. Ein System wird durch eine Systemgrenze von Umsystemen Systemgrenze und/oder der Umwelt abgegrenzt. Das präzise Festlegen von Systemgrenzen („was gehört dazu?") spielt für viele Betrachtungen - namentlich für Sicherheitsüberlegungen - eine ganz zentrale Rolle.
5
Grundlagen & Begriffe
Abbildung 1-3
Einige Grundbegriffe der Systemtheorie System Element
Beziehung
Systemgrenze
Umsystem
Umwelt
Elemente und Beziehungen werden durch Eigenschaften charakterisiert und beschrieben. Systeme als Ganzes weisen folgende Merkmale auf: Ein System bildet eine Einheit, einen gegenüber der Umgebung abgrenzbaren Komplex. Ein System ist gegliedert, d. h. es lässt sich in Bausteine zerlegen. Ein System ist nicht bloß eine Ansammlung solcher Bausteine, sondern diese Bausteine stehen miteinander in einem sinnvollen Zusammenhang. Ein System weist schließlich auch eine Struktur auf. Unterschiedliche Strukturen können bei gleichen Elementen zu ganz unterschiedlichen Systemen führen.
6
Grundlagen & Begriffe Bei Sicherheitsüberlegungen spielen diese Begriffe eine zentrale Rolle. Die Sicherheit eines einzelnen Elementes genügt nicht, vielmehr geht es in der Praxis immer um die Sicherheit ganzer Systeme, wobei nicht vergessen werden darf, dass bei ITSystemen immer auch Menschen „Elemente" solcher Systemen sind. Man spricht deshalb oft auch von „sozio-technischen" Systemen. Die Sicherheit ganzer Systeme hängt dabei in komplexer Weise von der Sicherheit der einzelnen Elemente ab. Hier gilt in ganz besonderer Weise die Erkenntnis vom schwächsten Glied einer Kette. Sicherheitsüberlegungen erfordern immer ganzheitliche Denkansätze (eine dreifach verschlossene Türe nützt nichts gegen Einbruch, wenn daneben ein Fenster offen steht).
1.2.3
IT-Infrastruktur
Mit dem Begriff Infrastruktur werden oft unterschiedlichste Vorstellungen und Inhalte assoziiert. Gemäß Brockhaus versteht man darunter: „...die Gesamtheit der staatlichen und privaten Anlagen, Einrichtungen und Gegebenheiten, die den Wirtschaftseinheiten als Grundlage ihrer Aktivitäten vorgegeben sind, z. B. Einrichtungen des Verkehrs- und Kommunikationswesens, der Energie- und Wasserversorgung (technische Infrastruktur) sowie kulturelle, medizinische und Bildungseinrichtungen (soziale Infrastruktur)". Das wesentliche Kennzeichen einer Infrastruktur ist, dass sie für eine Vielzahl von Personen über eine längere Zeitdauer ein Bündel von Leistungen zur Verfügung stellt. Eine Infrastruktur bildet ein sozio-technisches System (s. a. [8]). Im vorliegenden Falle soll unter dem Begriff IT-Infrastruktur die Gesamtheit der in einem Unternehmen (einer Abteilung, einer Verwaltungseinheit,...) eingesetzten Mittel der Informations- und Kommunikationstechnologie sowie die notwendigen personellen und materiellen Ressourcen für deren Aufbau und Betrieb verstanden werden. Gelegentlich findet man dafür auch den (allerdings ebenfalls recht unpräzisen) Begriff „Informatikmittel".
7
Grundlagen & Begriffe Zu IT-Infrastrukturen zählen eine ganze Reihe von sehr unterschiedlichen Komponenten. Das reicht von grundlegenden Einrichtungen wie Räumen, Verkabelungssystemen oder Geräten der Stromversorgung, über Rechner aller Art (Arbeitsplatzrechner, Server, Router,...), System- und Anwendungsprogrammen bis hin zum notwendigen Personal, um all diese Dinge zu installieren und zu betreiben. Für die anschließenden Überlegungen werden namentlich folgende Komponenten auseinander gehalten: Ortsfeste Einrichtungen, Datenbestände, Geräte (Hardware), Systemnahe Software, Anwendungssoftware, Konfigurationen, Betreiber. Ortsfeste Unter dem Begriff ortsfeste Einrichtungen werden KompoEinrichtungen nenten bezeichnet, die aufgrund ihrer Art oder Konstruktion an einen festen Standort gebunden sind. Dazu zählen insbesondere Gebäude, Räume, aber auch gewisse Verkabelungssysteme oder beispielsweise Einrichtungen für Klimasteuerungen (Abluftkanäle u. a.). Datenbestände
Datenbestände bilden für jedes Unternehmen einen sehr wertvollen Aktivposten. Sie bilden in der Regel die teuerste Komponente einer IT-Infrastruktur und sind entsprechend zu schützen. Datenbestände lassen sich im Falle eines Verlustes in der Regel nicht mehr oder dann nur mit erheblichen Aufwendungen neu beschaffen.
Geräte Geräte, die so genannte Hardware, bilden einen wesentlichen Bestandteil einer IT-Infrastruktur. Dazu zählen alle Arten von Rechnern (Arbeitsplatzrechner, Server, Notebooks,...), aber auch spezielle Geräte wie beispielsweise solche zur Netzwerksteuerung (Hubs, Routers, Modems, Firewalls,...), zur Strom8
Grundlagen & Begriffe Versorgung (USV) oder zur Zutrittskontrolle (Schließ- und Alarmierungssysteme). Unter systemnaher Software werden Programme verstanden, Systemnahe die zur Benutzung der verschiedenen Geräte zwingend nötig Software sind, die aber an sich keinen oder nur einen recht begrenzten direkten Nutzen für Anwender liefern. Systemnahe Software bildet die Verbindung zwischen den verschiedenen Anwendungsprogrammen und den Geräten. Typische Vertreter von systemnaher Software sind Betriebssysteme, aber auch Datenbanksysteme oder Kommunikationssysteme. Bei der Anwendungssoftware, also denjenigen Programmen, Anwendungsdie direkt zur Erbringung betrieblicher Leistungen eingesetzt software werden, ist zu unterscheiden zwischen Standard-Anwendungsprogrammen und Individualsoftware. Zu den Standardprodukten zählen beispielsweise die so genannten Büro-Anwendungen (d. h. Programme für Textverarbeitung, Tabellenkalkulation u. v. a. m.), aber auch Anwendungen für Lagerverwaltung, Buchhaltung, Produktionsplanung oder Führungsinformationssysteme. Standard-Anwendungsprogramme werden für eine Vielzahl von Einsatzszenarien entwickelt (deshalb der Begriff „Standard"). Sie müssen in der Regel aber im konkreten Fall an die betrieblichen Erfordernisse angepasst werden. Im Gegensatz dazu werden Individualprogramme auf eine ganz spezielle Situation zugeschnitten entwickelt. Unter Konfigurationen sind all jene Anpassungen zu verstehen, Konfigurationen die in einer konkreten Situation nötig sind, um StandardAnwendungen, aber auch Systemsoftware zu betreiben. Sie erfordern in der Regel sehr viel Aufwand und Know-how. Auch Konfigurationen bilden deshalb eine eigenständige und sehr wichtige Komponente. Mit Betreiber werden die Personen (Organisationen, ...) be- Betreiber zeichnet, welche die genannten Komponenten aufbauen und betreiben.
Grundlagen & Begriffe
Abbildung 1-4
Komponenten der IT-Infrastruktur (Modell)
Konfigurationen
Betreiber
Individualsoftware
Standardsoftware
Systemnahe Software
Firmware Hardware
verfügbare Datenbestände
Archivdatenbestände
Ortsfeste Anlagen
1.2.4
Benutzung versus Betrieb
IT-Infrastrukturen werden zur Erfüllung betrieblicher Zwecke aufgebaut und unterhalten. Dabei spielen zwei ganz unterschiedliche Personengruppen eine Rolle. Es lohnt sich, diese deutlich auseinander zu halten, auch wenn Personen gelegentlich gleichzeitig sowohl Benutzer wie auch Betreiber sind: Benutzer, Anwender, Betreiber.
10
Grundlagen & Begriffe Benutzer (oft auch Anwender genannt) sind Personen, die IT- Benutzer, Infrastrukturen zur Erfüllung ihrer fachlichen Aufgaben Anwender einsetzen. Sie verwenden Ergebnisse von Anwendungssystemen und/oder liefern benötigte Daten. Benutzer sind diejenigen Personen, die ein Anwendungssystem unmittelbar einsetzen („benutzen und bedienen"), oft werden sie auch als Endbenutzer bezeichnet. Im Gegensatz dazu bezeichnet man als Betreiber diejenigen Betreiber Personen (das können auch Organisationen, Institutionen etc. sein), die den Betrieb von IT-Infrastrukturkomponenten sicherstellen. Betreiber sind dafür verantwortlich „dass alles richtig läuft". Zu den typischen Aufgabenbereichen, die von Betreibern zu lösen sind, gehören (siehe auch [9]): Sicherheitsmanagement, Kapazitätsmanagement, Ausfallsmanagement, Systemverwaltung, Inventarisierung, Datensicherung und -archivierung,
In einfachen Verhältnissen, z. B. beim Einsatz eines Arbeitsplatzrechners zu Hause oder in einer kleinen Firma, sind Betreiber und Benutzer oft identisch. Im betrieblichen Umfeld spielen die Betreiber jedoch explizit eine besondere Rolle. Diese kann in einfachen Verhältnissen von einer Person im Nebenamt ausgeführt werden, in komplexeren Umgebungen kann aber auch eine ganze - hoch spezialisierte - Abteilung (oder sogar mehrere) für den Betrieb verantwortlich sein. Recht häufig trifft man auch Situationen, bei denen die Verantwortung für den Betrieb an eine externe Firma übertragen wurde.
11
Grundlagen & Begriffe
1.3
Sicherheitsbedürfnisse
Auch wenn sich Sicherheit nicht quantitativ messen lässt, so lässt sich doch sehr wohl eine Reihe qualitativer Eigenschaften, die beim IT-Einsatz gewünscht sind, formulieren. Man spricht dabei von den so genannten Schutzzielen. Bei der Beurteilung möglicher Gefahren muss man sich selbstverständlich überlegen, welche Art von Sicherheit denn eigentlich gewünscht ist. Dabei besteht weitgehend Konsens, dass folgende Eigenschaften - je nach Situation mehr oder weniger ausgeprägt - wünschenswert sind: Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability). Man spricht aufgrund der englischen Ausdrücke gelegentlich auch vom so genannten „CIA"-Prinzip. Darüber hinaus (insbesondere im Zusammenhang mit der Vernetzung über Firmengrenzen hinweg) sind zusätzlich folgende Aspekte bedeutsam: Authentifikation, Authentisierung, Verbindlichkeit, Zurechenbarkeit, Nicht-Abstreitbarkeit, Zugriffskontrolle, Anonymität. Vertraulichkeit
Integrität
12
Vertraulichkeit bedeutet, dass gewährleistet ist, dass ein System Informationen nur für Berechtigte zugänglich macht. Unerlaubte Zugriffe sind nicht möglich. Unter Integrität versteht man die Korrektheit von Daten (Datenintegrität) und das korrekte Funktionieren von Hardund Softwarekomponenten. Im Zusammenhang mit Daten bedeutet das, dass nur erlaubte und erwünschte Veränderungen vorgenommen werden können.
Grundlagen & Begriffe Die Verfügbarkeit der gesamten IT-Infrastruktur oder einzelner Verfügbarkeit ihrer Komponenten gehört zu den zentralen Anforderungen beim IT-Einsatz. Man bezeichnet damit das Verhältnis der gesamten Einsatzzeit, während der eine ordnungsgemäße Nutzung der entsprechenden Systemkomponenten gewährleistet ist, zu der Zeit, während der es aufgrund von Störungen und Fehlfunktionen zu Ausfallzeiten kommt. Verfügbarkeiten werden üblicherweise in Prozenten angegeben. Beispiele
von
Tabelle 1-1
Verfügbarkeiten
Verfügbarkeit in %
Maximale Ausfallzeit pro Jahr
99.0
> 3.5 Tage
99.9
> 8 Stunden
99.99
> 52 Minuten
99.999
> 5 Minuten
100
0
Unter Authentifikation (oder auch Authentisierung) versteht Authentifikation man die Identifizierung und Sicherstellung, dass man auch diejenige Person (Organisation, Programm, ...) ist, die man vorgibt zu sein. Authentisierung ist notwendig zur Erlangung von Berechtigungen und kann auf verschiedene Arten erfolgen: Durch Wissen (Passwort, PIN, ...), durch Besitz (Schlüssel, Scheckkarte, ...), durch Merkmale (Fingerabdruck, Iris-Erkennung, ...). Werden mehrere dieser Verfahren kombiniert, so spricht man von „starker Authentisierung". Überall dort, wo rechtsverbindliche Geschäftsvorfälle mit Ein- Verbindlichkeit satz von IT-Mitteln abgewickelt werden (z. B. im elektronischen Zurechenbarkeit Handel), muss sichergestellt werden, dass alle durchgeführten Aktionen den Akteuren, die sie durchgeführt haben, auch eindeutig zugeordnet werden können.
13
Grundlagen & Begriffe
Anonymität
Zugriffskontrolle
Anonymität, namentlich unter datenschutzrechtlichen Gesichtspunkten, gehört ebenfalls zu den erwünschten Eigenschaften. Sie steht jedoch oft im Widerspruch zur Verbindlichkeit. Insbesondere bei der Verwendung von firmenübergreifenden Netzen sind besondere Maßnahmen zu treffen, um die Anonymität der Akteure zu wahren. Unter dem Begriff Zugriffskontrolle schließlich versteht man Maßnahmen, um den unberechtigten Zugang zu Programmen, Informationen und Daten zu verhindern. Zugriffskontrollmechanismen sind in der Regel der Authentisierung nachgeschaltet. Bei großen Benutzerzahlen werden entsprechende Rechte in der Regel ganzen Gruppen zugeteilt.
1.4
Sicherheit - ein dauernder Kompromiss
Sicherheit ganz allgemein, wie auch die genannten Sicherheitsziele, sind grundsätzlich positiv besetzte Begriffe. Sicherheit ist etwas, „was man haben möchte". Sicherheit kostet jedoch und verursacht auch regelmäßig Zielkonflikte. So können beispielsweise Maßnahmen zur Erhöhung der Sicherheit die Benutzerfreundlichkeit oder die Funktionalität stark einschränken. Viele interessante Überlegungen zu diesem Thema findet man in [10]. Es erstaunt deshalb nicht, dass in der Praxis sehr oft entsprechende Maßnahmen nicht oder nur sehr mangelhaft umgesetzt werden. Leider wächst die Bereitschaft, in Sicherheit zu investieren, oft erst nach einem entsprechenden Schaden an (dann dafür meistens sehr sprunghaft). Das Sicherheitsbewusstsein ist in vielen, vor allem kleineren, Unternehmen noch ungenügend oder - teilweise durch unsachliche Information beeinflusst - recht einseitig ausgeprägt.
14
Grundlagen & Begriffe IT-Sicherheit ist eine typische betriebliche Querschnittsaufgabe, bei der eine Vielzahl von Aspekten eine Rolle spielen. Insbesondere sind zu nennen: Wirtschaftliche Überlegungen - „Was kann ich mir leisten?" Juristische Auflagen - „Was muss ich mir leisten?" Psychologische Aspekte - „Was will ich mir leisten?" Wirtschaftliche Aspekte spielen bei IT-Sicherheitsüberlegungen Wirtschaftliche eine zentrale Rolle. Es gilt regelmäßig einen Kompromiss zu Überlegungen finden zwischen Investitionen zur Erhöhung der Sicherheit und Kosten, die durch mögliche Schäden verursacht werden. Da alle dazu notwendigen Entscheidungsgrundlagen (Eintrittswahrscheinlichkeiten von Bedrohungen, Schadenspotenziale, Art und Umfang der zu schützenden Vermögenswerte, ...) nur mit erheblichen Unsicherheiten erhoben werden können, fällt es oft sehr schwer, das richtige Maß zu finden. Es gilt auch zu beachten, dass Sicherheit als Prozess nicht nur initiale Investitionen erfordert, sondern auch im Betrieb laufend Kosten verursacht. Kosten
Abbildung 1-5
versus Sicherheit
Kosten
Kosten für Erhöhung der Sicherheit
optimales Kosten-NutzenVerhältnis
Gesamtkosten
Kosten verursacht durch Schäden
Grad der Sicherheit
15
Grundlagen & Begriffe
Juristische Auflagen
Maßnahmen zur Gewährleistung oder Erhöhung der ITSicherheit können aber einem Unternehmen durchaus auch von außen „aufgezwungen" werden. Insbesondere haben juristische Auflagen oft Konsequenzen für die innerbetriebliche Umsetzung der IT-Sicherheit (z. B. Gesetze im Bereich Datenschutz, Urheberrecht, Haftpflicht, ...).
Psychologische Aspekte
Maßnahmen zur Erhöhung der IT-Sicherheit sind Investitionen in die Zukunft, die unter sehr unsicheren Annahmen getroffen werden müssen. Wo ein entsprechendes Problembewusstsein fehlt („Bei uns ist ja noch nie etwas passiert"; „Wir sind doch gar nicht interessant für einen Angriff"; „Wir vertrauen unseren Mitarbeitern", ...), ist meistens auch der Schutz völlig ungenügend. Es bleibt aber anzumerken, dass oft bereits mit sehr einfachen Mitteln ein durchaus akzeptables Sicherheitsniveau erreicht werden kann.
1.5
Methodik der Umsetzung
1.5.1
Grundsätzliche Vorgehensweisen
Im Rahmen von IT-Sicherheitsüberlegungen sind grundsätzlich immer die drei folgenden Fragen zu klären: Wovor ist zu schützen - Welche Bedrohungen gibt es? Was ist zu schützen - Woraus besteht die IT-Infrastruktur? Wie ist zu schützen - Welche Maßnahmen sind nötig? Die Beantwortung dieser Fragen ist oft sehr schwierig und muss häufig auf Basis von Annahmen, Erfahrungen und Schätzungen erfolgen. Die Antworten auf diese Fragen hängen auch auf komplexe Weise voneinander ab. Bedrohungen
16
Im Rahmen einer genauen Bedrohungsanalyse muss festgelegt werden, welches die in einer konkreten Situation vorliegenden Gefahren für einen sicheren IT-Betrieb sind. Solche Überle-
Grundlagen & Begriffe gungen sind auf der Basis einer Analyse verschiedener Bedrohungsarten, deren Eintrittswahrscheinlichkeiten und Schadenspotenzial sowie auf den zu erreichenden Schutzzielen durchzuführen. Die Antwort darauf, was zu schützen ist, hängt wesentlich IT-Infrastruktur davon ab, wovor zu schützen ist und bildet einen weiteren Ausgangspunkt für allenfalls notwendige Maßnahmen. Eine umfassende Kenntnis der vorhandenen IT-Infrastruktur ist als Grundlage unabdingbar. Wer nicht weiß, welche Komponenten er überhaupt im Einsatz hat, kann diese auch nicht wirkungsvoll schützen! Erst wenn Bedrohungsszenarien analysiert und die Infra- Maßnahmen struktur detailliert erfasst ist, kann über konkrete Sicherheitsmaßnahmen nachgedacht werden. Dabei spielen eine Vielzahl von weiteren Fragestellungen eine wichtige Rolle, z. B. KostenNutzen-Überlegungen, einzusetzende Technologien oder der Umgang mit rechtlichen Auflagen. Bei der Planung und Umsetzung von Sicherheitsmaßnahmen bieten sich im Wesentlichen zwei Vorgehensweisen an (die durchaus auch kombiniert zum Einsatz gelangen können): Individuelle Umsetzung, Umsetzung
basierend
auf
Erfahrungen
anderer
(„best
practices") - Grundschutz. Eine detaillierte - auf eine konkrete Situation abgestimmte - Individuelle Analyse und Umsetzung bietet sich dort an, wo entsprechende Umsetzung Ressourcen (Fachpersonal, Geld, ...) vorhanden sind und/oder die Situation so speziell ist (z. B. sehr hoher Schutzbedarf), dass keine Erfahrungen von anderen vorliegen oder genutzt werden können. In der Mehrzahl der Fälle wird man aber nach Möglichkeit auf Grundschutz bereits etablierte Vorgehensweisen zurückgreifen wollen. Da "best practices" die Gewährleistung eines sicheren IT-Betriebes eine Aufgabe ist, die von zahlreichen Unternehmen bereits gelöst werden musste, liegen heute Erfahrungen in vielfältiger Form vor. Für
17
Grundlagen & Begriffe viele „Standardsituationen" wurden ausführliche Risikoanalysen bereits durchgeführt und darauf aufbauend Maßnahmenkataloge entwickelt. Diese Ergebnisse lassen sich in der Regel mit vernünftigem Aufwand auf vergleichbare Situationen übertragen. Man spricht in dem Zusammenhang von so genanntem „Grundschutz" (engl.: baseline protection). Es geht dabei darum, aufbauend auf bewährten Vorgehensweisen rasch anhand von Soll-/Ist-Vergleichen ein angemessenes Sicherheitsniveau zu erreichen. Im deutschen Sprachraum spielt hier vor allem das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik eine bedeutende Rolle [11]. Daneben existieren aber auch noch eine ganze Reihe weiterer solcher Regelwerke, beispielsweise der Standard Nr. 7799 der British Standards Institution [12]. Selbstverständlich müssen solche Regelwerke laufend an sich verändernde Bedrohungen und die technologische Entwicklung angepasst werden.
1.5.2
Sicherheitskonzept, -richtlinien
Maßnahmen zur Aufrechterhaltung oder Erhöhung der Sicherheit müssen aufeinander abgestimmt sein. Ein bisschen Sicherheit „da und dort" nutzt wenig oder schadet gar, da man sich dann unter Umständen in falscher Sicherheit wiegt. Der gewünschte Umgang mit Bedrohungen sollte deshalb in einem so genannten Sicherheitskonzept festgehalten werden. Nun sind in vielen Betrieben weder das notwendige Fachwissen noch die entsprechenden Mittel vorhanden, um hier allzu weit zu gehen. Vielmehr sind pragmatische Lösungen gefragt, die mit wenig Aufwand rasch umgesetzt werden können und möglichst viel zusätzliche Sicherheit bringen. Nichtsdestotrotz müssen auch pragmatische Maßnahmen auf einer soliden Basis stehen. Was also ist in einem Sicherheitskonzept zu regeln? Ein solches Konzept enthält Grundsätze, Vorschriften (Handlungsanweisungen) und Maßnahmen und regelt Verantwortlichkeiten ganz unterschiedlichen Detaillierungsgrades. Entscheidend ist, dass ein solches Sicherheitskonzept von der
18
Grundlagen & Begriffe
Unternehmensleitung beschlossen und die Umsetzung aktiv unterstützt wird. Die in einem Sicherheitskonzept zu regelnden Maßnahmen lassen sich in drei Gruppen einteilen: Präventive Maßnahmen, Kontrollierende (überwachende) Maßnahmen, Reaktive Maßnahmen („incident management"). Sicherheitskonzepte sind regelmäßig (z. B. jährlich) auf ihre Aktualität und Wirksamkeit hin zu überprüfen.
1.5.3
Bedrohungen
IT-Infrastrukturen sind einer Vielzahl ganz unterschiedlicher Bedrohungen ausgesetzt, die alle im Rahmen von Sicherheitsüberlegungen entsprechend beurteilt werden müssen. Sie lassen sich beispielsweise wie folgt klassieren: Klassierung
von
Abbildung 1-6
Bedrohungen Intern Geplant
Gezielt Extern Ungezielt
Bedrohungen
Höhere Gewalt
Ungeplant
Techn. Versagen
Menschl. Versagen
19
Grundlagen & Begriffe
Die häufigste Ursache von Problemen bilden dabei die unge¬ planten Ereignisse, die dadurch verursachten Schäden sind aber oft sehr viel geringer als bei den geplanten. Auch wenn gesicherte Erhebungen dazu fehlen, darf man doch davon ausgehen, dass die überwiegende Zahl von geplanten Bedrohungen („Angriffe") von Tätern innerhalb einer Organisation stammen. Diese Aussage wird auch von vielen Sicherheitsfachleuten bestätigt.
Tabelle 1-2 Beispiele von
Bedrohungen
Beispiel
Bedrohungsart
„Mitlesen" vertraulicher Dokumente durch Ausnützen von Administratorrechten
Geplant - intern
Denial-of-Service-Angriff
Geplant - extern - gezielt
Virenbefall
Geplant - extern - ungezielt
Blitzschlag
Ungeplant - höhere Gewalt
Ausfall der Stromversorgung
Ungeplant - techn. Versagen
Versehentliches Löschen von Dateien
Ungeplant - menschl. Versagen
Als Täter bei geplanten Angriffen kommen dabei eine Vielzahl von Personengruppen (interne und externe) mit ganz unterschiedlichen Motiven in Frage (s. a. [13]).
1.5.4
Inventarisierung
Eine umfassende Kenntnis der vorhandenen IT-Infrastruktur bildet eine wesentliche Voraussetzung aller Sicherheitsüberlegungen. Diese Kenntnis ist aber an sehr vielen Orten nicht oder nur unvollständig vorhanden. Oft kommt man deshalb nicht darum herum, vorab eine Inventarisierung durchzuführen.
20
Grundlagen & Begriffe Bei der Inventarisierung geht es darum, sämtliche für die spätere Beurteilung relevanten Objekte (Geräte, Programme, Datenbestände, ...) detailliert zu erfassen. Das umfasst sehr viel mehr, als in einem Betrieb normalerweise erfasst wird. Eine besondere Schwierigkeit ist zudem dadurch gegeben, dass sich aufgrund vielfältigster Abhängigkeiten oft nur schwer erkennen lässt, entlang welcher Grenzen eine geeignete Aufteilung in einzelne Objekte überhaupt Sinn macht. Das Inventarisieren einzelner Objekte verlangt überdies unter Umständen nach hoch spezialisiertem Wissen und Erfahrung. Bei der Planung einer Inventarisierung müssen folgende drei Fragen beantwortet werden: Was wird inventarisiert? Wer inventarisiert? Wie wird inventarisiert? Bevor mit der Inventarisierung begonnen wird, muss Klarheit Was wird herrschen über die zu erhebenden Daten. Es ist genau zu inventarisiert? überlegen, was für die anschließende Problembeurteilung relevant ist und worauf allenfalls verzichtet werden kann. Eine Sicherheitsbeurteilung verlangt aber typischerweise nach sehr detaillierten Angaben, man muss aber auch aufpassen, dass man sich nicht in einer Fülle von Details verliert. Zu Beginn ist eine Grobklassierung hilfreich. Beispielsweise lassen sich die eingesetzten Geräte nach Verwendungszweck unterteilen: Server Arbeitsplatzrechner Netzwerkkomponenten (Router, Hubs, Firewallrechner, ...) Sonstige Infrastruktur (USV)
21
Grundlagen & Begriffe
Eine Unterteilung der eingesetzten Software könnte beispielsweise so aussehen: Systemnahe Software (Betriebssysteme, Datenbankverwaltungssysteme, . . . ) , Individualsoftware eigenentwickelt, Individualsoftware zugekauft, Standardsoftware (Branchenlösungen, CAD, Büro-Anwendungen, . . . ) , Enduser-Anwendungen. Es gibt hier keine Schulbuchlösung. Je nach vorhandener Ausgangslage ist eine geeignete Grobklassierung in solche Objekttypen vorzunehmen. Je nach Objekttyp sind dann eine Reihe von Attributen (Beschaffungs-/Zeitwert, Standort, Verantwortung, Benutzungsrechte, ...) festzulegen, die im Rahmen der Inventarisierung erhoben werden sollen. Diese Vorbereitungsarbeiten müssen sehr sorgfältig gemacht werden. Ein wichtiges Problem bei der Inventarisierung ist auch die Synchronisation mit den laufenden Veränderungen und Anpassungen, die sich im Alltag ständig ergeben. Die Inventarisierung muss, um dauerhaften Nutzen zu stiften, als eigenständiger Geschäftsprozess etabliert werden. Veränderungen (eingekaufte Geräte, neu entwickelte oder eingekaufte Programme, Programme, deren Betrieb eingestellt wird, ...) müssen unmittelbar im Inventar nachgeführt werden. Es ist von größter Wichtigkeit, dass bei der Inventarisierung nicht nur eine innerbetriebliche, sondern auch eine „außerbetriebliche" Sicht eingenommen wird (wer hat welche Zugriffsrechte von extern?). Wer Die Planung der Inventarisierung muss von Beginn an auch inventarisiert? berücksichtigen, wer letztendlich diese auch durchführt, mit welchen Mitteln und in welchem Zeitrahmen. In größeren Verhältnissen müssen dazu eigenständige Teams zusammengestellt, ausgerüstet und ausgebildet werden.
22
Grundlagen & Begriffe Aufgrund der Fülle an Daten, die für ein Inventar erhoben Wie wird werden müssen, ist es wichtig, dass diese Resultate für die inventarisiert? anschließende Analyse und Weiterverarbeitung möglichst früh in elektronischer Form vorliegen. Je nach Situation können bereits bei der Erhebung entsprechende Hilfsmittel (Softwarewerkzeuge) eingesetzt werden. Namentlich zur Inventarisierung von Hard- und Software steht heute eine Reihe von solchen Inventarisierungswerkzeugen zur Verfügung. Viele Angaben wird man mit manuellen Verfahren erheben müssen (Interviews, Formulare, . . . ) . Sämtliche Resultate sollten anschließend so rasch wie möglich in elektronisch lesbare Form gebracht werden. Inventare sind im Zusammenhang mit Sicherheitsüberlegungen zu bewerten. Selbstverständlich sind nicht alle Vermögenswerte von gleicher Bedeutung und brauchen denselben Schutz. Wiederbeschaffungsmöglichkeiten und -fristen spielen dabei eine wichtige Rolle. So können beispielsweise defekte Geräte in der Regel innerhalb vernünftiger Fristen neu beschafft werden. Datenbestände hingegen sind normalerweise nicht wieder beschaffbar und brauchen besonderen Schutz.
1.5.5
Sicherheitsprozess - Umsetzung
IT-Sicherheit ist kein Produkt, das man einmalig einkaufen kann. Vielmehr muss Sicherheit als Prozess verstanden und umgesetzt werden. Der Sicherheitsprozess besteht aus folgenden Phasen: Bewusstseinsbildung, Risiken analysieren und bewerten. Erstellen, Anpassen des Sicherheitskonzeptes, Planen und Umsetzen von Maßnahmen, Überwachen, überprüfen, reagieren. Die Phase der Bewusstseinsbildung wird oft außer Acht gelas- Bewusstseinssen oder unterschätzt. Sie ist aber für eine erfolgreiche Umset- bildung zung des gesamten Prozesses von entscheidender Bedeutung.
23
Grundlagen & Begriffe
Nur wer für Fragen der IT-Sicherheit genügend sensibilisiert ist, wird sich - entsprechend seiner Aufgabe und Position richtig verhalten. Es geht dabei um weit mehr, als nur darum, Geschäftsleitungen zu überzeugen, Investitionen zu tätigen. Vielmehr muss sichergestellt werden, dass auf allen Stufen ein entsprechendes Bewusstsein um Risiken und Gefahren, aber auch um deren Abwehrmöglichkeiten, vorhanden ist. In der Praxis stellt man leider immer wieder fest, dass keine - oder noch schlimmer: falsche - Vorstellungen herrschen. Namentlich im Zusammenhang mit der starken Zunahme von Gefahren durch die Nutzung globaler Netze besteht hier noch ein deutlicher Ausbildungsbedarf. Sind der Wille und die notwendigen Mittel vorhanden, geht es darum, basierend auf einem aktuellen Inventar mögliche Bedrohungen zu analysieren und Schadenspotenziale zu beurteilen.
Abbildung 1-7 Phasen
des
Sicherheitsprozesses
Bewusstseinsbildung
Risiken analysieren und bewerten
Erstellen, anpassen des Sicherheitskonzeptes
Planen und Umsetzen von Maßnahmen
Überwachen, überprüfen, reagieren
24
Grundlagen & Begriffe Anhand einer möglichst umfassenden Risikoanalyse kann dann ein Sicherheitskonzept erstellt oder bei veränderter Sicherheitslage (z. B. wenn neue Gefahren bekannt werden) entsprechend angepasst werden. In der nächsten Phase geht es darum, das Sicherheitskonzept (oder geänderte Teile davon) konkret in die Praxis umzusetzen. Anschließend erfolgt im laufenden Betrieb die dauernde Überwachung der Systeme, das Überprüfen der Maßnahmen und bei entsprechenden sicherheitsrelevanten Vorfällen das angemessene Reagieren. Je nach Situation wird dieser Vorgang regelmäßig wiederholt, wobei möglicherweise Maßnahmen angepasst werden müssen oder aber sogar eine neue Risikobeurteilung erfolgen muss.
1.6
Empfehlungen für Praktiker
Legen Sie die
Verantwortung für IT-Sicherheit fest.
Empfehlung 1-1
Die Gesamtverantwortung für die Gewährleistung eines sicheren IT-Betriebes muss von einer Person - sinnvollerweise auf der Stufe der Geschäftsleitung - getragen werden. Im betrieblichen Alltag ist leider oft nicht klar, wer die Verantwortung für die IT-Sicherheit trägt. IT-Verantwortliche (eine Aufgabe, die im KMU-Bereich nach wie vor häufig „nebenamtlich" wahrgenommen wird) tragen zwar implizit auch die Verantwortung für die Sicherheit in diesem Bereich. Oft lohnt es sich jedoch, die Verantwortung für das Thema ITSicherheit explizit einer Person zuzuweisen.
25
Grundlagen & Begriffe
Empfehlung 1-2 Begreifen Sie
IT-Sicherheit als Prozess.
IT-Betriebssicherheit ist eine Aufgabe, an der laufend gearbeitet werden muss und die deshalb auch laufend Kosten verursacht. Sicherheit muss als Prozess verstanden und auch so umgesetzt werden. Risikoanalysen und getroffene Maßnahmen sind periodisch zu überprüfen. Sicherheit kann man nicht als Produkt kaufen, sondern muss sie immer wieder neu erarbeiten (wobei Produkte selbstverständlich eine wichtige Rolle spielen). Empfehlung 1-3 Führen Sie ein IT-Inventar. Ein IT-Inventar bildet die Basis für alle Maßnahmen im Bereich Sicherheit und muss deshalb zwingend geführt und laufend aktuell gehalten werden. Inventarisierung ist ein teurer und (vielleicht mit Ausnahme von Hardware und gewissen Softwarekomponenten) manueller Prozess. Es muss deshalb eine Konzentration auf das Wesentliche erfolgen. Es ist nicht sinnvoll, jede Computermaus und jedes Textdokument zu erfassen. Wichtige Objekte aber, deren Ausfall, Verfälschung oder Zerstörung zu erheblichen Schwierigkeiten führen würde, sind zu erfassen. Die Inventarisierung muss angepasst auf die betrieblichen Gegebenheiten erfolgen. Das Inventar ist regelmäßig zu überprüfen und zu aktualisieren. Empfehlung 1-4 Führen Sie eine
Bedrohungsanalyse durch.
Bevor in Sicherheitserhaltende oder -steigernde Maßnahmen investiert wird, muss eine Bedrohungsanalyse durchgeführt werden. Alle wichtigen Bedrohungsarten sind in die Beurteilung mit einzubeziehen. Das Erstellen einer Bedrohungsanalyse ist eine anspruchsvolle Tätigkeit. Es ist dabei hilfreich, wenn man auf Grundschutzüberlegungen aufbaut. Diese müssen aber zwingend auf die
26
Grundlagen & Begriffe eigene Situation angepasst angewendet werden. Man darf sich bei dieser Aufgabe nicht auf einzelne Bedrohungen konzentrieren (z. B. indem man sich nur mit Malware befasst).
Erstellen
Sie ein
Sicherheitskonzept.
Ein Sicherheitskonzept muss vanten Maßnahmen bilden.
die
Basis
Empfehlung 1-5 aller sicherheitsrele-
Jeder Betrieb, der eine IT-Infrastruktur betreibt, sollte auch über ein Sicherheitskonzept verfügen. Dieses muss mindestens folgende Themen regeln: Verantwortlichkeiten und Stellvertretungen (auch wenn wesentliche Leistungen von Externen erbracht werden, die Verantwortung für die Sicherheit kann man nicht nach außen delegieren). Bezugsobjekte, Systemgrenzen festlegen („Was gehört zum Bereich IT-Betriebssicherheit?"; „Welches sind die schützenswerten Objekte?"). Diese Objekte sind nach Wichtigkeit zu ordnen. Maßnahmen (org./techn.) in folgenden Bereichen: Physische Sicherheit (Kapitel 2 & 3), Netzwerksicherheit (Kapitel 4), E-Mail-Benutzung (Kapitel 5), Umgang mit Malware (Kapitel 6), Datensicherung und -archivierung (Kapitel 7 & 8). Verhaltensrichtlinien für Benutzer. Maßnahmen zur Sensibilisierung und Ausbildung der Benutzer. Systemüberwachung, regelmäßige Kontrollen. Verhalten im Problemfall, Maßnahmen zur Wiederherstellung eines ordnungsgemäßen Betriebes.
27
Grundlagen & Begriffe
1.7 [1]
Aebi, D., Zeitsprung 2000. Beispiele, Checklisten, Lösungen für Manager und Informatiker. 1998, München: Hanser.
[2]
[4]
CSI/FBI, 2003, 8th Annual Computer Crime and Security Survey Report, Computer Security Institute http://www.gocsi.com CERT/CC Statistics 1988-2003, http://www.cert.org/stats/ Holthaus, M., Management der Informationssicherheit in
[5]
Unternehmen. 2000, Universität Zürich. Dissertation. Eckert, C, IT-Sicherheit. Konzept - Verfahren -
[3]
[7]
Protokolle. 2nd ed. 2003, München: Oldenbourg. Böhm, R., Fuchs, E., und Fischer, M., SystemEntwicklung in der Wirtschaftsinformatik. 2002, Zürich: vdf Hochschulverlag an der ETH. Lehner, F., Hildebrand, K., und Maier, R.,
[8]
Wirtschaftsinformatik. Theoretische Grundlagen. 1995, München: Hanser. Hammer, V., Die 2. Dimension der IT-Sicherheit.
[9]
Verletzlichkeitsreduzierende Technikgestaltung am Beispiel von Public Key Infrastrukturen. 1999, Braunschweig: Vieweg. Stahlknecht, P. und Hasenkamp, U, Einführung in die
[6]
[10]
[11]
28
Literatur
Wirtschaftsinformatik. 1997, Berlin etc.: Springer. Schneier, B., Beyond fear. Thinking sensibly about security in an uncertain world. 2003, New York: Copernicus Book. BSI, IT-Grundschutzhandbuch, http://www.bsi.de/gshb/
[12]
BS ISO/IEC 17799: Code of Practice for Information
[13]
Security Management. 2000, London: British Standard Institution. Gora, W. und Krampert, T., Handbuch IT-Sicherheit. Strategien, Grundlagen und Projekte. 2003, München: Addison-Wesley.
2
Physische Sicherheit
2.1
Begriff
Unter dem Begriff physische Sicherheit werden Maßnahmen verstanden zum Schutze von IT-Infrastrukturobjekten vor Gefahren wie: Außerordentliche Umwelteinflüsse, Naturereignisse, höhere Gewalt, Ungewolltes menschliches Fehlverhalten, Vorsätzliche Handlungen. Der Betrieb von IT-Infrastrukturen erfolgt naturgemäß unter Umwelteinflüsse gewissen Umweltbedingungen. Dazu zählen insbesondere Temperatur, Feuchtigkeit, Staub und Vibration. Solange sich die entsprechenden Werte innerhalb einer gewissen Bandbreite bewegen, besteht allerdings keine Gefahr. Verändern sich jedoch solche Umwelteinflüsse plötzlich stark, können Menschen und Geräte Schaden nehmen. Naturereignisse (Blitzschlag, Wassereinbruch, Feuer, Rauch, Naturereignisse Erdbeben, ...) führen regelmäßig zu - meist großen - Schäden. Auch ungewolltes menschliches Fehlverhalten, beispielsweise Menschliches Fehlbedienungen an Geräten, kann selbstverständlich Schäden Fehlverhalten verursachen. Zu guter Letzt muss man immer auch mit vorsätzlichen Vorsätzliche Handlungen, wie Einbruch, Diebstahl, Wandalismus oder gar Handlungen Anschlägen rechnen. Ebenfalls zum Bereich physische Sicherheit gehört das Thema Stromversorgung. Aufgrund seiner enormen Bedeutung wird es im dritten Kapitel gesondert behandelt. 29
Physische Sicherheit
2.2
Maßnahmen
Physische Sicherheit spielt beim Auf- und Ausbau großer Rechen- oder Datenzentren von jeher eine bedeutende Rolle und entsprechende Maßnahmen werden dort mit Sorgfalt geplant und umgesetzt. Ganz anders in kleineren und mittleren Unternehmen. Hier hat sich der Auf- und Ausbau der ITInfrastruktur in der Regel an bereits vorgegebene Verhältnisse auszurichten und muss irgendwie in bereits bestehende Gebäudeinfrastrukturen „eingepasst" werden. Die folgenden Ausführungen beschränken sich deshalb auf solche Situationen. Die Umsetzung von Maßnahmen zur physischen Sicherheit hängt sehr stark von individuellen Bedingungen ab und muss auf der Basis einer gründlichen Risikoanalyse erfolgen. So kann es je nach Gegend beispielsweise zwingend sein, Maßnahmen zum Schutze vor Erdbeben zu ergreifen, an anderen Orten spielt dieses Thema aber überhaupt keine Rolle. In der Praxis haben sich folgende Themen als wichtig erwiesen: Kapazitätsmanagement, Wahl geeigneter Räume, bauliche Maßnahmen, Klimatisierung, Vernetzung, Verkabelung, Zutrittskontrolle / Berechtigungen, Alarmierung bei Störungen.
2.2.1
Kapazitätsmanagement
Einer detaillierten Planung von Maßnahmen zur physischen Sicherheit muss neben einer Risikobeurteilung eine langfristige Planung benötigter Kapazitäten zugrunde gelegt werden. Dabei spielen sowohl Fragen einer künftig notwendigen Skalierung wie auch der zu erreichenden Verfügbarkeit eine Rolle. In jedem Fall sollten gewisse „Ausbaureserven" (Platz, Energieversorgung, ...) vorgesehen werden.
30
Physische Sicherheit
2.2.2
Wahl geeigneter Räume, bauliche Maßnahmen
Die Wahl geeigneter Räume spielt eine zentrale Rolle für die Betriebssicherheit. Durch geeignetes Aufstellen von IT-Infrastrukturkomponenten lässt sich schon eine große Zahl potenzieller Probleme vermeiden. Entsprechende Räume lassen sich in folgende vier Kategorien einteilen: Arbeitsräume, Technikräume, Serverräume, Archivräume. Arbeitsräume sind Räume, in denen die betrieblichen Leistun- Arbeitsräume gen erbracht werden (z. B. Büros, Empfangsbereiche, Produktionshallen, ...). In solchen Räumen werden typischerweise ITInfrastrukturkomponenten benutzt und betrieben, insbesondere Arbeitsplatzrechner. In einfacheren Verhältnissen kann aber durchaus die gesamte Infrastruktur in solchen Räumen platziert sein. Technikräume werden in der Regel bereits bei der Planung und Technikräume dem Bau von Gebäuden vorgesehen. Oft dienen sie dem Aufstellen von Komponenten der Haustechnik (Heizung, Klimatisierung, Liftsteuerung, Telefonie, ...). Sie lassen sich aber oft auch für IT-Infrastrukturkomponenten mitbenutzen, sind aber in der Regel nicht dafür ausgelegt. Wenn immer möglich, sollten IT-Infrastrukturkomponenten in Serverräume speziell dafür vorgesehenen und ausgerüsteten Server-Räumen betrieben werden. Manchenorts vorhandene Archivräume lassen sich gelegentlich Archivräume auch für das Aufbewahren von Datenträgern mitbenutzen. In Archivräumen werden aber keine Komponenten betrieben.
31
Physische Sicherheit Räume, in denen wichtige Geräte betrieben werden, müssen entsprechend geschützt und ausgerüstet sein. Dabei gelangen sowohl organisatorische als auch technische Maßnahmen zum Einsatz. In der Regel lässt sich in kleineren Verhältnissen schon mit einfachen Mitteln ein ausreichender Schutz erzielen. So genügt es oft schon, wenn die Räume abgeschlossen werden können (wobei dann auch sichergestellt werden muss, dass das auch geschieht). Technik- und Serverräume sollten auch über eine Notbeleuchtung verfügen. Der Aufwand für Zutrittssysteme für komplexere Situationen ist aber nach oben fast unbeschränkt.
Abbildung 2-1 Zutritt zu einem Serverraum eines KMU (links) bzw. eines großen Rechenzentrums
(Personenvereinzelungsanlage)
Zu den baulichen Maßnahmen, die geprüft oder überprüft werden müssen, gehören auch Fragen wie die Zufahrt (zur Anlieferung von Geräten, Einsatz von Servicepersonal, ...), die Belastung der Böden, die Gestaltung und Sicherung von Fensterfronten oder die Wahl geeigneter Brandschutzmaßnahmen. Weitere Hinweise sind in [1] zu finden.
32
Physische Sicherheit
2.2.3
Klimatisierung
Temperatur, Feuchtigkeit und Reinheit der Luft spielen eine wesentliche Rolle beim Betrieb von IT-Infrastrukturkomponenten. Obwohl moderne Geräte innerhalb von recht großen Bandbreiten ordnungsgemäß funktionieren, darf nicht außer acht gelassen werden, dass ein Überschreiten gewisser Schwellwerte zu Schäden führen kann (die sich auch in Form einer reduzierten Lebensdauer äußern können). Wo wichtige Komponenten eingesetzt werden, muss deshalb klimatisiert (geheizt, gekühlt, entfeuchtet, ...) werden. Das gilt insbesondere auch für das ordnungsgemäße Lagern von Datenträgern. Klimatisierung ist ein allgemeines Problem der Haustechnik und erfordert keine besondere Behandlung im Zusammenhang mit IT-Infrastrukturkomponenten. In einfachen Verhältnissen kann auch durchaus bereits der Einsatz kleinerer - stationärer oder mobiler - Anlagen genügen. In Serverräumen sollten Temperatur und Luftfeuchtigkeit regelmäßig überwacht werden. Beispiel eines kleinen
Klimagerätes
Abbildung 2-2
33
Physische Sicherheit Tabelle 2-1
Umgebungsbedingungen für IT-Geräte Optimal
Betrieb möglich Nur Lagerung
Temperatur
20 °C - 25 °C
10 °C - 35 °C
0 °C - 60 °C
Feuchtigkeit
45 % - 50 %
20 % - 80 %
20 % - 90 %
Rasche Wechsel von Temperatur und/oder Feuchtigkeit sind zu vermeiden. In komplexeren Verhältnissen sollten für Fragen der Klimatisierung (und deren Absicherung gegen Ausfall!) Gebäudetechnikspezialisten hinzugezogen werden. Ganz generell gilt, dass eine reibungslos funktionierende Gebäudetechnik wesentlichen Einfluss auf die Verfügbarkeit der IT-Infrastruktur hat.
2.2.4
Vernetzung, Verkabelung
Verkabelungsprobleme (Störungen, Unterbrüche, ...) treten recht häufig auf und sind oft sehr schwierig zu finden. Eine gut zugängliche Verkabelung ist darum für eine rasche Problembehebung wichtig. Allzu frei zugängliche Kabelstränge sind aber wiederum aus Sicherheitsüberlegungen (Wandalismus, Anzapfen, ...) nicht erwünscht. Hier muss ein vernünftiger Mittelweg gefunden werden. Wesentlich aus Betreibersicht ist jedoch eine umfassende, dauernd auf aktuellem Stand gehaltene Dokumentation (inkl. physischer Beschriftung wichtiger Kabel) der gesamten Verkabelung. Leider trifft man in der Praxis an vielen Orten auf eigentliche „Kabelsalate". Als nützlich und in professionellen Umgebungen weit verbreitet hat sich der Einsatz von Kabelkanälen und Doppelböden erwiesen.
2.2.5
Zutrittskontrolle / Berechtigungen
Sollen die für einen Betrieb wichtigen Infrastrukturkomponenten vor unerlaubtem Zugriff, Diebstahl u. a. geschützt werden, kann es sinnvoll und nötig sein, den Zugang zu einzelnen Räumen zu beschränken. Dazu dienen Schließ- und
34
Physische Sicherheit Überwachungssysteme. Der Markt an Sicherheitstechnologien bietet hier eine sehr reiche Auswahl an Möglichkeiten, angefangen von simplen Schlössern bis hin zu komplexen Zugangsund Überwachungssystemen. In größeren Verhältnissen lohnt sich das Hinzuziehen von Sicherheitsspezialisten (eine gute Übersicht über allgemeine Sicherheitsprobleme und deren Lösungen gibt [2]). Bei der Sicherung von Serverräumen stellen sich im Wesentlichen dieselben Probleme wie bei der Sicherung anderer Räume und Gebäudeteile auch (weiterführende Informationen, Hinweise und Adressen sind in [3] zu finden). Wichtig ist, dass klar festgelegt ist, wer zu welchen Räumen welchen Zugang haben darf. Es ist insbesondere auch zu bestimmen, wie der Zugang für Externe (Lieferanten, Servicetechniker, Besucher, ...) geregelt sein soll. Hier nützen saubere organisatorische Vorgaben mehr als Panzertüren!
2.2.6
Alarmierung bei Störungen
Wichtige Räume, aber eventuell auch die darin befindlichen Geräte, sollten durch entsprechende Alarmanlagen zusätzlich abgesichert werden. Auch hier besteht ein breites Angebot an Lösungsmöglichkeiten (z. B. Einbruchserkennungssysteme, Feuermelder, Glasbruchmelder, Feuchtigkeitsmelder, ...). In besonderen Situationen (z. B. bei öffentlich zugänglichen Schulungsräumen) ist auch zu prüfen, ob es nicht sinnvoll ist, einzelne Geräte physisch speziell zu befestigen, um einen möglichen Diebstahl zumindest zu erschweren.
2.3
Schulung, Notfallübungen
Wesentlich bei allen Maßnahmen zur physischen Sicherheit ist, dass die verantwortlichen Personen wissen, wie im Falle einer Störung vorzugehen ist. Es ist durchaus sinnvoll, von Zeit zu Zeit Notfallszenarien anhand praktischer Übungen durchzuspielen.
35
Physische Sicherheit
2.4 Empfehlung 2-1 Erstellen
Empfehlungen für Praktiker Sie
Der Zugang regeln.
Zutrittsregeln. zu
wichtigen
IT-Infrastrukturobjekten
ist
zu
Der Zugang zu wichtigen Räumen und Geräten sollte in einer Richtlinie geregelt werden. Diese soll insbesondere auch festlegen, wie der Zugang für externe Personen (Techniker, Besucher, Lieferanten, ...) sichergestellt werden soll. Der Zugang zu wichtigen Räumen ist gegebenenfalls zu protokollieren. Empfehlung 2-2 Überwachen
Sie
die
Betriebsumgebung.
Wichtige Parameter der Luftfeuchtigkeit, ...) sollten
Betriebsumgebung (Temperatur, regelmäßig kontrolliert werden.
Geräte reagieren empfindlich auf starke Veränderungen der Betriebsumgebung. Wesentliche Parameter sollten deshalb regelmäßig überprüft werden. Das kann manuell durch einen „Augenschein vor Ort" oder auch durch geeignete Mess- und Alarmierungsgeräte geschehen. Der Einsatz einer Einbruchserkennungsanlage ist zu prüfen. Empfehlung 2-3 Schließen Sie wichtige Geräte weg. Wichtige Objekte der IT-Infrastruktur geschützten (abschließbaren) Räumen trieben werden.
sollten in aufgestellt
besonders und be-
Geräte, deren Funktionsweise für den Infrastrukturbetrieb von besonderer Bedeutung sind, sollten in abgeschlossenen Räumen aufgestellt werden. Geräte, die nicht weggeschlossen werden können, sind unter Umständen physisch gegen Diebstahl zu sichern (z. B. in einem öffentlichen Schulungsraum).
36
Physische Sicherheit
Dokumentieren
Sie
die
Verkabelung.
Empfehlung 2-4
Die Netzwerkverkabelung muss dokumentiert (und laufend nachgeführt) werden. Wichtige Kabel sollten beschriftet werden. Eine aktuelle Dokumentation der Verkabelung ist eine unabdingbare Voraussetzung bei der Störungssuche. Pläne der Telefon- und Elektrozuführungen sind bei den Installateuren zu beschaffen und bereitzuhalten. Prüfen
Sie
Wiederbeschaffungsmöglichkeiten.
Empfehlung 2-5
Für wichtige Geräte sollte bekannt sein, wo und wie rasch sie im Falle eines notwendigen Ersatzes wieder beschafft werden können. Für zentrale Komponenten (z. B. Server) sollte ein Wieder¬ beschaffungskonzept erstellt werden. Daraus muss hervorgehen, wo und wie rasch (Lieferzeiten) ein entsprechendes Gerät im Falle eines Schadens neu beschafft werden kann. Dieses Konzept sollte auch Auskunft über notwendige Installations- und Konfigurationszeiten enthalten. Für wichtige Geräte sind entsprechende Wartungsverträge abzuschließen. Machen
Sie
regelmäßige
Kontrollgänge.
Empfehlung 2-6
Die Vorschriften und Auflagen zur physischen Sicherheit sollten im Rahmen von Kontrollgängen regelmäßig überprüft werden. Kontrollgänge, die regelmäßig, aber sinnvollerweise zu wechselnden Zeiten ausgeführt werden, sind ein einfaches aber wirkungsvolles Mittel, um die Einhaltung von Vorschriften und Auflagen zur physischen Sicherheit zu überprüfen (Schließen von Fenstern und Türen, "Schärfen" von Alarmanlagen, ...).
37
Physische Sicherheit
2.5 [1]
[2] [3]
38
Literatur Snevely, R., Enterprise data center: design and methodology. 2002, Palo Alto, CA: Sun Microsystems Press. Fennelly, L.J., Effective physical security. 2nd ed. 1997, Boston, Mass: Butterworth-Heinemann. Beer, D., Hohl, P., und Sabitzer, W., eds. Sicherheitsjahrbuch für Deutschland, ::Österreich und die Schweiz. 2003, SecuMedia-Bücher: Zürich Ingelheim.
3
Stromversorgung
3.1
Einleitung - Probleme
Eine zuverlässige Stromversorgung ist für einen sicheren ITInfrastrukturbetrieb unabdingbar. Auch wenn die Stromversorgung heute in vielen Ländern - zumindest in Mitteleuropa - eine recht hohe Zuverlässigkeit und Qualität aufweist, treten doch regelmäßig Probleme auf, die unter anderem zu Unterbrechungen oder Über- und Unterspannungen führen können. Im Extremfall kommt es aufgrund von Kettenreaktionen gelegentlich gar zu mehrtägigen, sich über weite Gebiete erstreckende „Blackouts" (siehe z. B. [1]). 1
Zu den häufigsten Problemen bei der Stromversorgung zählen: Spannungsverluste, Unterspannungen, Stromausfälle, Spannungsspitzen, Überspannungen. Als Spannungsverluste oder Unterspannungen werden kurz- Spannungsverluste fristige Einbrüche des Spannungsniveaus bezeichnet. Die Unterspannungen Stromversorger bemühen sich zwar, Spannung und Frequenz stabil zu halten (z. B. bei 230 Volt/50 Hz), je nach Belastung der Netze kann aber die Spannung erheblich schwanken. Ändert sich die Stromnachfrage plötzlich stark, beispielsweise weil mehrere große Verbraucher zugeschaltet werden, so kann das Spannungsniveau deutlich absinken. Starke Spannungsabfälle können zu Systemabstürzen, Datenverlusten u. v. a. m. führen.
1
So fiel am 28.9.2003 die Stromversorgung praktisch in ganz Italien aus und am 14.8.2003 waren große Teile Nordamerikas und Kanadas von einem lang andauernden Stromausfall betroffen.
39
Stromversorgung Stromausfälle
Totale Stromausfälle können viele Ursachen haben. So können übermäßiger Strombedarf (Klimaanlagen in einem heißen Sommer), Gewitter, Vereisung von Leitungen, Unfälle (Bagger), Brände oder Erdbeben zu einem Totalausfall der Versorgung führen. Wird die Stromversorgung plötzlich unterbrochen, so ist in der Regel mit Datenverlusten bis hin zu Hardwareschäden zu rechnen.
Spannungsspitzen Überspannungen
Mit Spannungsspitzen oder Überspannungen werden plötzliche, steile Anstiege der Netzspannung bezeichnet. Sie werden oft durch Blitzschläge verursacht. Auch das Ausschalten großer Verbraucher kann eine Ursache sein. Spannungsspitzen können zur Zerstörung von Geräten und zu Datenverlust führen. Probleme mit der Stromversorgung verursachen natürlich regelmäßig auch Ausfallzeiten.
3.2
Lösungsansätze
Stromversorgungsprobleme treten leider recht häufig auf (siehe auch [2]). Es ist deshalb notwendig, sich dagegen angemessen zu schützen. Dabei muss unterschieden werden zwischen Lösungen für kurzfristig auftretende Probleme (Über- bzw. Unterspannungen oder Unterbrechungen bis zu wenigen Minuten Dauer) und Lösungen, die einen Betrieb auch im Falle einer längeren Unterbrechung der Stromversorgung (Minuten bis Tage oder noch länger) erlauben. Zur Lösung der genannten Probleme gelangen so genannte unterbrechungsfreie Stromversorgungen (USV) zum Einsatz. Dabei lassen sich folgende zwei Varianten unterscheiden, die auch kombiniert eingesetzt werden können:
40
•
Stromversorgung mit Energie aus Speichern (Akkumulatoren, Schwungmassenspeicher, ...),
•
Stromversorgung durch Energieumwandlung (Generatoren, Brennstoffzellen, ...).
Stromversorgung Längere Stromunterbrechungen (deren Dauer zudem in der Generatoren Regel ja nicht bekannt ist), lassen sich nur mit Hilfe von Geräten zur Energieumwandlung überbrücken. Typischerweise werden dazu Dieselgeneratoren eingesetzt. Solche Lösungen gelangen nur in größeren Umgebungen (Rechenzentren, Kliniken, ...) zum Einsatz, wo kritische Verbraucher über eine längere Zeit mit Strom versorgt werden müssen. Sie sind sehr teuer und aufwändig in Unterhalt und Betrieb. Zur Überbrückung von kurzfristigen Störungen und Unter- Akkumulatoren brechungen werden typischerweise Geräte eingesetzt, die Energie aus Akkumulatoren liefern. Mit Geräten diesen Typs kann Folgendes erreicht werden: Beheben kurzfristiger Probleme (z. B. Ausgleichen von Überund Unterspannungen). Zeit gewinnen, bis entweder die ursprüngliche Versorgung wieder hergestellt ist, eine alternative Stromquelle bereitsteht oder bis eine ordentliche Systemabschaltung durchgeführt werden konnte. Die Zeitspanne, während der eine Versorgung ab Akkumulator erfolgen kann, beträgt in der Regel nur einige wenige Minuten. Das reicht jedoch normalerweise aus, um beispielsweise Generatoren hoch- oder Systeme geordnet herunterzufahren. Im Folgenden wird nur auf diese Art von USV weiter eingegangen. Weiterführende Informationen zu anderen Technologien sind in [3, 4] zu finden.
41
Stromversorgung
3.3
USV-Typen
Grundsätzlich lassen sich drei verschiedene Typen von USVGeräten unterscheiden: Mitlaufbetrieb - „offline", Netzüberwachungsbetrieb - „line interactive", Dauerbetrieb - „online".
3.3.1
Mitlaufbetrieb
Bei unterbruchsfreien Stromversorgungen, die nach dem Prinzip des Mitlaufbetriebes funktionieren (auch Standby-USV genannt), erfolgt die Versorgung der Verbraucher im Normalfall direkt ab dem Stromnetz. Erst beim Auftreten eines Problems wird auf den Akkumulatorbetrieb umgeschaltet.
Abbildung 3-1 Prinzip
des
Mitlaufbetriebes Verbraucher
Gleichrichter
Wechselrichter
Akkumulator Netzausfall Normalbetrieb
Bei der Offline-Technologie werden die Verbraucher im Normalbetrieb direkt ab dem Stromnetz versorgt. Eine Ladeelektronik kümmert sich um Kontrolle und Ladung der Akkumulatoren. Bei einem starken Spannungsabfall schaltet sich diese Ladeelektronik innerhalb weniger Millisekunden ab und der Wechselrichter wird zugeschaltet, der die ange-
42
Stromversorgung schlossenen Verbraucher über die Akkumulatoren versorgt. Diese Technologie ist vergleichsweise günstig, weist aber folgende Nachteile auf: Die Ausgangsspannung ist gleich der Eingangsspannung. Es besteht kein Schutz vor Frequenzschwankungen,
Ober-
wellen, Störspannungen u. v. a. m. Beim Zuschalten des Wechselrichters entstehen Spannungsspitzen und eine Umschaltzeit. Offline-USV werden daher in der Regel nur in sehr einfachen Umgebungen eingesetzt (z. B. bei einem privaten Rechner).
3.3.2
Netzüberwachungsbetrieb
Bei dieser Technologie werden die Verbraucher ebenfalls direkt ab dem Stromnetz versorgt. Die Qualität der Netzspannung wird jedoch dauernd überwacht und gewisse Störungen werden permanent herausgefiltert. Prinzip
des
Abbildung 3-2
Netzüberwachungsbetriebes Verbraucher
Filter
Wechselrichter
Gleichrichter
Akkumulator Netzausfall Normalbetrieb
Bei einem größeren Spannungsabfall wird - wie bei der OfflineTechnologie - auf Akkumulatorbetrieb umgeschaltet. Mit dieser Technologie wird auch im Normalbetrieb eine saubere Ausgangsspannung erreicht. Das Problem der Umschaltzeit ist aber
43
Stromversorgung natürlich auch hier vorhanden. Diese Technologie stellt für weniger kritische Verbraucher eine kostengünstigere Alternative zur Online-Technologie dar.
3.3.3
Dauerbetrieb
Bei dieser Technologie werden die Verbraucher dauernd mit einer sauberen Spannung ab Akkumulator versorgt. Umschaltzeiten bei Störungen entfallen. Diese Technologie ist auch für kritische Verbraucher geeignet.
Abbildung 3-3 Prinzip des Dauerbetriebs Verbraucher Filter
Bypass-Schalter
Gleichrichter
Wechselrichter
Akkumulator Netzausfall Normalbetrieb USV-Ausfall
3.4
Auswahl & Einsatz
Der Einsatz von USV-Anlagen erfordert eine genaue Planung. In der Praxis findet man leider immer wieder Installationen, die bei einer länger dauernden Stromunterbrechung ihre Funktion nicht korrekt erfüllen würden. Da die Leistung der Akkumulatoren in der Regel nur für wenige Minuten reicht, müssen in dieser kurzen Zeit alle notwendigen Reaktionsschritte in der richtigen Reihenfolge und vollständig ausgeführt werden. Sonst werden lediglich die Akkumulatoren geleert und an-
44
Stromversorgung schließend kommt es zu einer Situation, als ob gar keine USV eingesetzt worden wäre. Beim Einsatz von USV-Anlagen sind insbesondere folgende Kriterien zu beachten: Typenwahl, Dimensionierung, Alarmierung, Betrieb und Wartung. Aufgrund der Charakteristiken der unterschiedlichen Typen Typenwahl ergibt sich schon eine grobe Auswahl. So eignen sich Mitlaufbetriebsgeräte nur für wenig kritische Verbraucher, wenn zudem im Problemfalle rasch manuell eingegriffen werden kann (Verbraucher geordnet abschalten). So kann eine solche Anlage für einen Heimarbeitsplatzrechner durchaus genügen. Kritische Verbraucher hingegen (Server, Netzwerkinfrastrukturgeräte, ...) sollten mit einer Dauerbetriebs-USV-Anlage geschützt werden. Bei der Typenwahl sind auch Überlegungen zu Standort und Bauform anzustellen. Es gibt heute eine Vielzahl von Geräten, ausgehend von kleinen Einzelgeräten zur Versorgung eines einzelnen Verbrauchers bis hin zu raumfüllenden Installationen zur Absicherung ganzer Rechenzentren. In kleineren und mittleren Serverräumen bieten sich oft Geräte an, die in bereits vorhandene Racks eingebaut werden können. Verschiedene
USV-Bauformen
Abbildung 3-4
45
Stromversorgung Dimensionierung
Die präzise Dimensionierung einer USV-Anlage ist eine recht anspruchsvolle Aufgabe. Einerseits muss die Anlage genügend leistungsfähig dimensioniert sein und auch gewisse Reserven für künftige Ausbauschritte aufweisen, andererseits sind die entsprechenden Kosten zu optimieren. In größeren Verhältnissen wird man deshalb für die Dimensionierung auf Spezialisten zurückgreifen. In einfacheren Situationen genügt jedoch meistens eine einfache Überschlagsrechnung. Dabei zählt man die Leistung aller mit der USV zu schützenden Verbraucher (in Volt-Ampere, VA) zusammen und multipliziert diesen Wert mit einem Faktor (1.5 bis 2). Damit ist einerseits eine gewisse Reservekapazität eingeplant, man trägt damit aber auch einem Leistungsabfall durch Alterungsprozesse der Akkumulatoren Rechnung. Für präzisere Informationen zur Dimensionierung, insbesondere auch zur Berücksichtigung der Unterschiede zwischen Nenn- und Wirkleistung, sei auf [4, 5] verwiesen. Wichtig ist auch, die gewünschte Überbrückungszeit bei der Dimensionierung zu berücksichtigen. Diese muss groß genug gewählt werden, um bei einer längeren Unterbrechung ein geordnetes Abschalten der Systeme zu gewährleisten (eine USV nützt wenig, wenn aufgrund einer zu kurz gewählten Überbrückungszeit mitten im Prozess des Herunterfahrens die Versorgung ausfällt). Zehn bis zwanzig Minuten reichen in der Regel aber aus.
Alarmierung
46
Eine zentrale Rolle für das sichere Funktionieren einer USV spielt die Alarmierung im Problemfall. Während es in einfachsten Situationen - z. B. beim Einsatz einer kleinen USV direkt am Arbeitsplatz - noch genügen mag, eine Fehlersituation akustisch anzuzeigen, werden in komplexeren Verhältnissen wesentlich ausgefeiltere Möglichkeiten der Alarmierung benötigt. Zum Stand der Technik gehört heute, dass USVs ihren Betriebsstatus an einer geeigneten Schnittstelle (z. B. serielle Schnittstelle oder USB) zur Verfügung stellen. Mittels Software kann dann dieser Status permanent abgefragt werden und im Problemfall kann entsprechend reagiert werden.
Stromversorgung Beispiel einer Softwareüberwachung
einer
USV
Abbildung 3-5
Mittels geeigneter Software lässt sich auch eine Vielzahl von Statusinformationen abfragen (Temperatur und Ladezustand der Akkumulatoren, aktuelle Ausgangsspannung, ...).
3.5
Blitzschutz
Blitzschlag kann - auch wenn ein Einschlag entfernt erfolgt - zu ganz erheblichen Überspannungen führen. Für wichtige Geräte, die nicht über eine USV betrieben werden, ist deshalb der Einsatz von so genannten Überspannungsschutzgeräten zu prüfen [6]. Diese werden in der Regel direkt zwischen Gerät und Steckdose montiert und ergänzen den Gebäudeblitzschutz, der - schon aus versicherungstechnischen Gründen - im betrieblichen Umfeld zwingend vorhanden sein sollte. Das Überprüfen des Blitzschutzes muss durch Fachleute geschehen.
47
Stromversorgung
3.6
Empfehlungen für Praktiker
Empfehlung 3-1 Schützen Sie alle wichtigen
Geräte.
Alle wichtigen Geräte, insbesondere solche, bei denen einer Stromunterbrechung mit Datenausfall zu rechnen sind an einer USV zu betreiben.
bei ist,
Geräte, deren Ausfall keine nennenswerten Störungen verursacht (Drucker, Bildschirme, ...) sind nicht an die USV anzuschließen. Soll aber auch ein Betrieb des Netzwerkes sichergestellt werden, müssen selbstverständlich die entsprechenden Netzwerkkomponenten an USVs betrieben werden (Router, Switches, Firewalls, ...). Empfehlung 3-2 Dimensionieren
Sie
die
USV großzügig.
Die bereitzustellende Kapazität sollte aktuellen Bedarf liegen.
rund 20%
über dem
IT-Infrastrukturen sind dauernden Änderungen unterworfen. Die Kapazität der USVs sollte deshalb so geplant und implementiert werden, dass noch Reserven bestehen. Das ist einfacher und billiger, als wenn die Kapazität laufend ausgebaut werden muss. Auch wenn neue Geräte in der Regel geringeren Strombedarf aufweisen als die bestehenden, die dadurch abgelöst werden, muss für zusätzliche Geräte Kapazität vorhanden sein. Die Dimensionierung muss auch den betrieblichen Gegebenheiten angepasst sein (ggf. notwendige Reaktionszeiten der Benutzer beachten).
48
Stromversorgung
Konfigurieren
Sie
eine
automatische
Empfehlung 3-3
Abschaltung.
Wichtige Geräte (Server etc.) müssen bei einem Stromausfall automatisch heruntergefahren werden. USVs für wichtige Geräte sind ausnahmslos mit entsprechender Softwareinstallation zu ergänzen. Im Falle eines Stromausfalles müssen die angeschlossenen Geräte zwingend automatisch ordnungsgemäß abgeschaltet werden. Die dafür notwendige Softwareinstallation und -konfiguration ist regelmäßig (mindestens einmal jährlich) zu prüfen („Stecker ziehen"). Häufigkeit und Verantwortung für diese Überprüfung sollten im Sicherheitskonzept geregelt werden. In komplexeren Verhältnissen ist das Bereitstellen dieser Funktionalität recht anspruchsvoll. Nach Änderungen der IT-Infrastruktur (z. B. Einbau eines neuen Servers) muss sie erneut geprüft werden. Stellen
Sie
Ersatzakkumulatoren
Es sollten jederzeit gehalten werden.
genügend
Empfehlung 3-4
bereit. Ersatzakkumulatoren
bereit-
Akkumulatoren sind Alterungsprozessen unterworfen. Moderne USVs können die Einsatzfähigkeit der Akkumulatoren prüfen und im Problemfall entsprechende Meldungen absetzen. Für eine kurzfristige Überbrückung (bis genügend Ersatz beschafft werden konnte) sollten Ersatzakkumulatoren bereitgehalten werden. Diese sollten bei einer Umgebungstemperatur von 10 °C-35 °C gelagert werden. USVs sollten auch das Auswechseln von Akkumulatoren im laufenden Betrieb erlauben („hot swap"). Akkumulatoren müssen nach ca. 4-5 Jahren ersetzt werden. Ersatzakkumulatoren sollten regelmäßig geladen werden.
49
Stromversorgung
3.7 [1]
[2] [3] [4] [5]
[6]
50
Literatur Interim Report: Causes of the August 14th Blackout in the United States and Canada, http://www.nrcanrncan.gc.ca/media/docs/814BlackoutReport.pdf Wald, E., Backup & Disaster Recovery. 2002, Bonn: MITPVerlag. APC, Alternative Power Generation Technologies for Data Centers and Network Rooms. 2003. Wenzel, H. und Sachs, K., Planung und Auswahl von USV-Anlagen. 1 ed. 1998: Franzis. APC, Watts and Volt-Amps: Powerful Confusion, http://www.apcmedia.com/salestools/SADE5TNQYF_R0_EN.pdf Altmaier, H., Massnahmen und Geräte zur Vermeidung von Überspannungsschäden, ct, 1999 (17).
4
Netzwerksicherheit
4.1
Einführung
Computersysteme werden schon seit Jahrzehnten zu Rechnernetzen zusammengefasst, um beispielsweise Daten austauschen oder Geräte gemeinsam benutzen zu können. Während lokale Netzwerke im betrieblichen Umfeld bereits ab Mitte der achtziger Jahre des letzten Jahrhunderts rasche Verbreitung fanden, haben Netzwerke mittlerweile auch Eingang in den privaten Bereich gefunden. Sehr viele Rechner sind heute auch - permanent oder vorübergehend - mit dem Internet verbunden. Mit dieser Entwicklung sind eine Reihe von besonderen Gefahren verbunden. Während es bei der physischen Sicherheit um Schutzmaßnahmen vor direkten physikalischen Einwirkungen geht, befasst sich der Themenbereich Netzwerksicherheit mit Gefahren, die durch Zugriffe über ein Netzwerk entstehen. Man findet dafür gelegentlich auch den Begriff Logische Sicherheit.
4.2
Grundlagen von Netzwerken
Rechnernetze sind technisch sehr komplexe Systeme. Im Folgenden geht es deshalb keineswegs darum, das Thema detailliert einzuführen, vielmehr sollen nur einige wenige konzeptionelle Grundlagen erläutert werden, die für das Verständnis der Gefahren und etwaiger Lösungsmöglichkeiten im Zusam1
1
Für den Begriff Rechnemetz findet man oft auch den Begriff verteiltes System. Ein verteiltes System zeichnet sich jedoch dadurch aus, dass eine Menge von miteinander verbundenen Rechnern für einen Benutzer als ein einzelnes kohärentes System erscheint.
51
Netzwerksicherheit menhang mit Rechnernetzen notwendig sind. Wer sich für das Thema vertieft interessiert, findet dazu eine Fülle von Fachliteratur. Eine sehr gute Einführung bietet beispielsweise [1].
4.2.1
Typen von Netzen
Netzwerke lassen sich nach ganz verschiedenen Kriterien einteilen, beispielsweise nach: Art der Übertragungstechnik Punkt-zu-Punkt Broadcast Art des Übertragungsmediums Drahtgebunden Funk Ausdehnung PAN - Personal Area Network LAN - Lokal Area Network MAN - Metropolitan Area Network WAN - Wide Area Network Topologie
Heute werden im betrieblichen Umfeld typischerweise verschiedene (Sub-)Netze betrieben, beispielsweise drahtgebundene lokale Netze zusammen mit Funknetzen. Diese Netze sind sehr oft auch untereinander und/oder mit dem Internet verbunden. Die Charakteristik eines Netzwerkes hat unmittelbar Einfluss auf die damit zusammenhängenden sicherheitsrelevanten Aspekte. So bietet beispielsweise ein Broadcast-Funk-LAN natürlich mehr Angriffspunkte für unerlaubtes Abhören als eine drahtgebundene Punkt-zu-Punkt-Verbindung.
52
Netzwerksicherheit
4.2.2
Schichtenmodelle und Protokolle
Um die Komplexität und Vielfalt an eingesetzten Technologien einfacher handhabbar zu machen, verwendet man so genannte Schichtenmodelle. Es hat sich als ausgesprochen nützlich erwiesen, Netzwerke als einzelne, aufeinander aufbauende Schichten oder Ebenen zu betrachten. Anzahl, Bezeichnung und Funktionalität der einzelnen Schichten können dabei je nach Netzwerktyp ganz unterschiedlich sein. Wichtig ist, dass eine Ebene der jeweils darüber liegenden Ebene an einer definierten Schnittstelle eine Reihe von Diensten anbietet. Die (schicht-)interne Realisierung wird dabei aber verborgen.
Abbildung 4-1
Beispiel: Modell der TCP/IP — Protokollfamilie Anwendungsschicht SMTP
HTTP
FTP
TELNET
...
DNS
Transportschicht TCP
UDP
Internetschicht IP
Datensicherungs- und Bitübertragungsschicht Ethernet
Tokenring
X.25
PPP
ATM
Phys. Übertragungsmedium
Die Regeln, die festlegen, wie auf einer bestimmten Schicht kommuniziert wird, werden Protokolle genannt. Protokolle sind auf einem Rechner typischerweise in Software realisiert (meist als Bestandteil des Betriebssystems). Es sind aber auch Realisierungen in Hardware/Firmware möglich. Die Schicht n eines Rechners kommuniziert dabei logisch mit der Schicht n eines anderen Rechners. Physisch wandern die Daten aber natürlich durch alle Schichten.
53
Netzwerksicherheit Abbildung 4-2
Logische und physische Verbindungen Quellrechner
Zielrechner
Anwendungsschicht
Logische
Anwendungsschicht
Verbindung
Logische
Transportschicht
Transportschicht
Verbindung
Logische
Internetschicht
Internetschicht
Verbindung
Datensicherungs- und Bitübertragungsschicht
Datensicherungs- und Bitübertragungsschicht
Datensicherungs- und Bitübertragungsschicht
Physische Verbindung
Physische Verbindung
Router Internetschicht
Um eine Verbindung zwischen nicht direkt miteinander verbundenen Rechnern herzustellen (und insbesondere auch um verschiedene Netze miteinander zu verbinden), werden so genannte Vermittlungsrechner eingesetzt (Router, Gateway-Rechner, ...). Um Daten korrekt weitervermitteln zu können, benötigen diese Netzwerkkomponenten aber nur die Protokolle bis zur Internetschicht. Das wohl bedeutendste Schichtenmodell ist das so genannte ISO/OSI-Referenzmodell. Es hat seine Bedeutung vor allem als theoretische Grundlage erlangt. Es definiert sieben Schichten. Die entsprechenden Protokolle spielen in der Praxis keine bedeutende Rolle, das Modell an sich und die Funktionalität der verschiedenen Ebenen sind jedoch nach wie vor sehr wichtig. Im Gegensatz dazu spielen die Protokolle der TCP/IPFamilie in der Praxis eine überragende Rolle, das Modell hingegen kaum.
54
Netzwerksicherheit
4.2.3
TCP/IP-basierte Netzwerke
In der Praxis findet man eine Vielzahl von Netzwerktechno¬ logien und Protokollen. In den letzten Jahren haben vor allem TCP/IP-basierte Netze eine enorme Verbreitung erfahren. Dies ist wesentlich dadurch bedingt, dass das Internet auf diesen Protokollen aufgebaut ist. Viele andere Netzwerkprotokolle (Appletalk, Netware, ...) wurden inzwischen weitgehend verdrängt. Im Folgenden wird deshalb nur auf Aspekte von TCP/IP-basierten Netzen eingegangen. Für eine allgemeine Übersicht über die Funktionsweise verschiedener InternetTechnologien sei auf [2] verwiesen. 2
Für ein elementares Verständnis von Sicherheitsfragen werden im Folgenden ein paar wenige elementare Konzepte und Begriffe von TCP/IP-Netzen eingeführt. Da zu diesem Themenbereich eine sehr reichhaltige Literatur existiert, erfolgt hier eine Beschränkung auf das absolut Notwendige.
Pakete Ein wesentliches Merkmal von Netzwerken, die auf TCP/IP basieren, ist die Tatsache, dass Nutzdaten, die von einem Rechner auf einen anderen übertragen werden sollen, zerlegt und als einzelne „Bestandteile", so genannte Datenpakete übertragen werden. Dabei können die Pakete auf dem Weg vom Quell- zum Zielrechner durchaus unterschiedliche Wege gehen. Auch müssen sie nicht zwingend in irgendeiner bestimmten Reihenfolge übertragen werden, vielmehr werden sie beim Empfänger gesammelt und wieder richtig angeordnet. Auf dem Weg durch die verschiedenen Schichten werden die Datenpakete jeweils um protokollspezifische Steuer- und Kontrollinformationen erweitert. Man spricht dabei von „Einkapselung". Daraus ergibt sich die für Sicherheitsüberlegungen wichtige Erkenntnis, dass erst auf der Anwendungsschicht die Bedeutung der Nutzdaten bekannt ist.
2
Das Internet wird oft als Netzwerk verstanden. Diese Betrachtung ist aber ungenau. Das Internet ist vielmehr ein Netzwerk von - teilweise sehr unterschiedlichen - Netzwerken.
55
Netzwerksicherheit Abbildung 4-3
Kapselung der Nutzdaten Anwendungsschicht Nutzdaten Transportschicht TCP/UDPHeader
Nutzdaten
Internetschicht IP-Header
TCP/UDP¬ Header
Nutzdaten
Datensicherungs- und Bitübertragungsschicht NetworkHeader
IP-Header
TCP/UDP¬ Header
Nutzdaten
Adressierung Um Daten von einem Rechner A auf einen Rechner B über ein Netzwerk zu übertragen, müssen beide Rechner geeignet identifiziert werden können. Dazu erhält jeder Rechner eine so genannte IP-Nummer, die aus 32 Bit besteht. Eine solche Nummer, die auch Angaben über das Netzwerk enthält, an das der Rechner angeschlossen ist, wird üblicherweise in Form von vier Dezimalzahlen, getrennt durch einen Punkt, dargestellt. So wird beispielsweise die IP-Nummer: 110000101011111101100011010110 als 194.95.177.86 dargestellt. Da die Repräsentation einer Adresse als Zahl zwar für eine maschinelle Verarbeitung sehr geeignet, aber für Benutzer nur schwer zu merken ist, verfügt das Internet über ein System, das so genannte Domain Name System (DNS), das solche numerischen Adressen in eine textuelle Darstellung abbildet (und umgekehrt). Obige Adresse lautet dann: www.bsi.bund.de. Rechner, die dauerhaft mit dem Internet verbunden sind, benötigen in der Regel eine weltweit eindeutige Adresse. Die Vergabe solcher Internetadressen erfolgt deshalb durch spezielle Organisationen.
56
Netzwerksicherheit Adressumsetzung - Network Address Translation (NAT) IP-Nummern müssen innerhalb eines Netzes einmalig sein. Beim Anschluss eines lokalen Netzwerks an das Internet hieße das, dass jeder Rechner eine - weltweit eindeutige - IP-Num¬ mer benötigen würde. Aufgrund des rasanten Wachstums des Internets und der Gliederung des Adressraumes in drei Klassen sind die verfügbaren Adressen inzwischen aber recht knapp geworden. Neben einem möglicherweise erheblichen organisatorischen und technischen Aufwand, jeden Rechner eines lokalen Netzwerkes mit einer eindeutigen Nummer zu versehen, gibt es auch Gründe, die dafür sprechen, die interne Struktur des lokalen Netzwerkes nach außen zu verbergen. Deshalb erfolgt oft eine Umsetzung von internen IP-Adressen (die häufig aus speziell für interne Zwecke reservierten Bereichen stammen, siehe [3]) in offiziell registrierte IP-Adressen. Diese Adressumsetzung geschieht anhand von Tabellen an der Schnittstelle zwischen dem internen Netzwerk und dem Internet (beispielsweise durch einen Proxy-Server, eine Firewall oder einen Router). In der Praxis sehr häufig anzutreffen ist auch die Abbildung einer Vielzahl von internen Adressen auf eine einzelne externe.
Portnummern Neben den IP-Adressen zählen auch Portnummern zu den grundlegenden Konzepten beim Einsatz der Protokolle TCP und UDP. Bei einer Datenübertragung über Netzwerke werden Datenpakete von ganz unterschiedlichen Anwendungsprozessen zu einem einzigen Datenstrom zusammengefügt (man spricht auch von „multiplexen"). Dieser Datenstrom muss beim Empfänger wieder zerlegt und den zugehörigen Anwendungsprozessen zugeordnet werden („demultiplexen"). Ein Port ist eine ganze Zahl im Bereich 1-65535. Ports mit Nummern im Bereich von 1 bis 1023 sind reserviert, das heißt, bestimmten Anwendungen fest zugeordnet. So kommuniziert beispielsweise das Programm Telnet über den Port 23 oder der Port 25 ist reserviert für das Versenden von E-Mail (SMTP). Eine Liste der definierten Ports findet man unter [4].
57
Netzwerksicherheit
4.3
Bedrohungen in Netzwerken
Über Netzwerke verbundene Rechnersysteme erbringen ihre Dienste (Datenbereitstellung, Zugriff auf Geräte u. v. a. m.) „auf Distanz". Das heißt, man kann ohne direkten physischen Zugang auf entsprechende Systeme zugreifen. Diese Tatsache bedeutet aber auch, dass Angreifer ihr Werk ebenfalls „aus sicherer Entfernung" ausführen können. Bei Bedrohungen in Netzwerken wird in der Regel davon ausgegangen, dass der Angreifer in die Kommunikation zwischen einem Sender und einem Empfänger eingreift. Abbildung 4-4
Bedrohungen in Netzwerken Normalbetrieb
Sender
Empfänger
Unterbrechen
Sender
Empfänger Angreifer
Mitlesen
Sender
Empfänger Angreifer
Verändern
Sender
Empfänger Angreifer
Täuschen
Sender
Empfänger Angreifer
Stehlen
Sender
Empfänger Angreifer
58
Netzwerksicherheit Unterbrechen bedeutet, dass die Verbindung zwischen Sender Unterbrechen und Empfänger unterbrochen wird, womit keine Kommunikation mehr möglich ist. Das kann beabsichtigt (z. B. Van¬ dalenakte, Denial-of-service-Angriffe,...) oder auch unbeabsichtigt geschehen (z. B. wenn ein Bagger irrtümlicherweise ein Kabel durchtrennt). Unterbrechungen sind in der Regel rasch diagnostizierbar, in der Praxis sind solche Störungen aber oft sehr schwierig zu finden und zu beheben. Beim Mitlesen geht es darum, den Datenstrom zwischen Sender Mitlesen und Empfänger „abzuhören", um darin interessante Informationen, beispielsweise Authentifizierungselemente (Passwörter, PINs, ...) zu finden oder auch den Netzverkehr zu analysieren, um Angaben über Art und Umfang des Netzwerkes zu erhalten. Je nach Netzwerktechnologie kann das recht einfach (z. B. Abhören von unverschlüsseltem Verkehr in einem Funknetz) oder auch sehr anspruchsvoll sein (z. B. Anzapfen einer Glasfaserleitung). Mitlesen gehört zu den passiven Angriffen (d. h. es wird nichts verändert). Beim Verändern wird der Datenstrom verändert, um damit Verändern beim Empfänger eine andere als vom Sender beabsichtigte Wirkung zu erzielen (z. B. Abändern eines Betrages in einem Buchungsvorgang). Auch das Einschleusen von Malware gehört zu dieser Kategorie. Beim Täuschen werden dem Empfänger Daten zugespielt, die Täuschen nicht vom Sender stammen. Der Empfänger soll aber glauben, sie stammten von dort. Zu dieser Art von Angriff gehört beispielsweise das Authentifizieren mit Hilfe von gestohlenen Passwörtern. Beim Stehlen schließlich geht es darum, Daten von einem Stehlen Sender zu erhalten, diese aber nicht an den Empfänger weiterzuleiten. Dazu zählen beispielsweise vorgetäuschte Anmeldeprozeduren, die dazu dienen Passwörter abzufangen (siehe auch Kapitel Malware).
59
Netzwerksicherheit
Es ist wichtig, zur Kenntnis zu nehmen, dass für eine Reihe von Angriffsarten, heute „vorgefertigte" Werkzeuge verfügbar sind, ein Angreifer somit in vielen Fällen bereits mit bescheidenem technischem Wissen sehr gefährliche Angriffe ausführen kann. Man spricht in solchen Fällen von so genannten „Script kiddies". Diese Entwicklung wurde auch dadurch stark begünstigt, dass heute in einzelnen Bereichen eine eigentliche technische „Monokultur" herrscht.
4.4
Schutzmaßnahmen in Netzen
Für einen sicheren Betrieb eines Netzwerkes müssen ganz verschiedene, aufeinander abgestimmte Maßnahmen ergriffen werden. Bei Netzwerken gilt die Erkenntnis vom schwächsten Glied einer Kette ganz besonders. Netzwerke sind zudem hoch dynamische Systeme, die laufend überwacht werden müssen. Auch die getroffenen Sicherheitsmaßnahmen müssen regelmäßig überprüft und gegebenenfalls angepasst werden. Im Bereich der Netzwerksicherheit spielen die folgenden Aspekte eine zentrale Rolle: „Härten" von Systemen, Passwortschutz, Verschlüsselung, Einsatz von Firewalls, Verwendung virtueller privater Netze, Einsatz von drahtlosen Netzen, Einbruchserkennung. Auf diese Themen wird in den folgenden Abschnitten vertieft eingegangen. Für viele weitere Hinweise zu Sicherheitsmaßnahmen in Netzwerken sei auf [5-7] verwiesen. Die ebenfalls sehr zentralen Themen „Sichere E-Mail" und „Umgang mit Malware" werden in den Kapiteln 5 und 6 behandelt.
60
Netzwerksicherheit
4.5
Systeme „härten"
Die Systemsoftware auf Arbeitsplatzrechnern und Servern zeichnet sich heute durch eine ausgesprochen hohe Komplexität aus. So bestehen beispielsweise moderne Betriebssysteme aus Dutzenden von Millionen Zeilen Programmcode. Diese Systeme weisen neben einer Vielzahl von Fehlern regelmäßig auch verschiedene Sicherheitslücken auf (so basieren beispielsweise eine ganze Reihe bekannt gewordener Attacken auf dem Ausnutzen von so genannten „buffer overflows", siehe hierzu beispielsweise [8]). In der Regel werden erkannte Probleme von den Softwareher- Patches, stellern in ihren Produkten recht zügig behoben. Sie stellen Servicepacks dazu typischerweise so genannte Patches oder Servicepacks zur Verfügung. Das sind Programmteile, die einzelne Komponenten anderer Programme durch neue oder verbesserte Versionen ersetzen. Diese Patches erreichen heute oft einen ganz beträchtlichen Umfang. Gelegentlich werden über diesen Weg auch zusätzliche Funktionen eingebaut. Damit allein ist aber für die Benutzer noch nichts gewonnen, müssen doch diese Patches auch noch auf den einzelnen Systemen verteilt und installiert werden. Man spricht in diesem Zusammenhang vom „Härten" von Systemen. Ein weiteres Problem besteht darin, dass Software, so wie sie Standardkon¬ ausgeliefert wird („out-of-the-box"), in der Regel nicht nach figuration sicherheitsrelevanten Gesichtspunkten vorkonfiguriert ist. Die von den Herstellern gewählten Standardkonfigurationen zeichnen sich in der Regel vielmehr dadurch aus, dass eine möglichst große Vielfalt an Möglichkeiten der Produkte voreingestellt und dass der Installationsvorgang einfach durchzuführen ist. So werden beispielsweise bei modernen Betriebssystemen oft eine Vielzahl von Gerätetreibern oder Netzwerkprotokollen mitinstalliert, die nachher im praktischen Betrieb gar nicht benötigt werden.
61
Netzwerksicherheit Die Art und Weise, wie Systemsoftware installiert und konfiguriert wird, ist für die Betriebssicherheit entscheidend. Die folgenden Überlegungen gelten zwar gleichermaßen für Anwendungssoftware, spielen aber insbesondere bei Systemsoftware mit sehr hoher Verbreitung eine wichtige Rolle. Die weitaus überwiegende Zahl von sicherheitsrelevanten Vorfällen basiert auf Problemen in weit verbreiteter Systemsoftware. Es ist auch einleuchtend, dass sich Angreifer (namentlich bei ungezielten Angriffen) vor allem mit Lücken in Systemen mit großer Verbreitung beschäftigen.
4.5.1
Patch- und Update-Management
Das Wissen um Sicherheitslücken bekannter Produkte verbreitet sich heute dank des Internets sehr rasch und die von vielen Herstellern bereitgestellten Softwareanpassungen können heute in aller Regel auch per Internet bezogen werden. Nichtsdestotrotz stellt das Patch-Management manchen Betrieb aus folgenden Gründen vor erhebliche Schwierigkeiten: Laufende Anpassungen nötig Einschleppen neuer Probleme. Laufende Anpassungen nötig
62
Das ordnungsgemäße Installieren von Patches und Servicepacks ist arbeitsintensiv und zeitaufwändig. Viele Betriebe verfügen nicht über die notwendigen personellen Ressourcen, um ihre Infrastruktur laufend aktuell zu halten. Auch wenn die Patches in der Regel gratis abgegeben werden, sind die mit der Installation verbundenen Personalkosten nicht zu vernachlässigen. Hinzu kommt, dass die Zahl der aus sicherheitsrelevanten Überlegungen zu installierenden Patches bei einzelnen Produkten mittlerweile sehr hoch ist. Neue Patches erscheinen teilweise im Wochenrhythmus. Nicht immer ist klar, ob das zugrunde liegende Problem für eine konkrete Situation relevant ist oder nicht (aus nahe liegenden Gründen empfehlen Hersteller oft die Installation sämtlicher Patches). Manche Produkte bieten heute auch einen gewissen Automatismus, um solche Patches via Internet zu beziehen und zu installieren. Diese Prozesse sind jedoch oft wenig transparent, das heißt.
Netzwerksicherheit man weiß oft nicht genau, was eigentlich installiert wird und welche Daten dabei gegebenenfalls während des Installationsvorganges an den Hersteller übermittelt werden. Oft wird deshalb darauf verzichtet, solche Aktualisierungsvorgänge automatisiert durchzuführen. Ein zweites, ebenfalls gewichtiges Problem stellt die Tatsache Einschleppen dar, dass Patches selbst wiederum oft fehlerhaft sind und durch neuer Probleme ihre Installation die Funktionalität und/oder Stabilität eines Systems gefährden können. Betreiber stehen hier deshalb vor schwierigen Entscheidungen. Die Bandbreite reicht dabei von Nichtstun („never change a running System") bis hin zum automatischen Installieren sämtlicher verfügbarer Patches. Die an sich nahe liegende Idee, Patches vor ihrer Verwendung an speziell dafür bereitgestellten Systemen zu testen, ist ausgesprochen aufwändig und stellt für kleine und mittlere Betriebe keine gangbare Lösung dar. Analoge Überlegungen gelten selbstverständlich nicht nur für Patches, sondern auch für das Installieren von neuen Produktversionen. Produktupdates verfügen normalerweise über neue und/oder verbesserte Funktionen, nicht selten sollen damit aber auch Sicherheitsprobleme gelöst werden. Produktupdates sind allerdings in der Regel kostenpflichtig! Aufgrund der geschilderten Probleme ist der Umgang mit Patches und Softwareupdates genau zu regeln. Das Vorgehen muss organisatorisch und technisch in einer Richtlinie festgelegt sein. Ein bisschen „Patchen hier und da" schadet weit mehr als es nützt.
4.5.2
Rechtevergabe
Zum „Härten" von Systemen gehört neben dem Installieren von Patches und Servicepacks auch das angemessene Vergeben von Benutzerrechten. Viele Produkte benötigen zur Installation besondere Rechte, die deshalb oft in den Standardkonfigurationen so voreingestellt sind. Diese Installationsrechte werden im laufenden Betrieb nicht mehr benötigt und sollten abgeschaltet werden. Selbstverständlich sind auch sämtliche
63
Netzwerksicherheit
Standardpasswörter (auch „leere"), die für die Erstinstallation verwendet wurden, zu ändern. Ein mögliches Vorgehen besteht dabei darin, zuerst sämtliche Rechte zu entziehen und diese dann bei Bedarf schrittweise wo nötig - wieder zu erteilen. Es gibt jedoch auch hier keine „beste" Vorgehensweise, vielmehr muss das Verfahren an die konkrete Situation angepasst werden.
4.5.3
Installieren von Schutzprogrammen
Systeme härten bedeutet auch, spezielle Schutzprogramme zu installieren. Dazu zählen namentlich Firewalls und Programme zur Erkennung und Abwehr von Malware (s. a. Kapitel 6). Es empfiehlt sich auch, wo vorhanden und sinnvoll, entsprechende Funktionen zur Aufzeichnung von Benutzungsdaten einzuschalten. Solche Logging-Informationen stellen eine unabdingbare Voraussetzung dar für Abklärungen nach einem sicherheitsrelevanten Vorfall (bis hin zur Beweissicherung in einem Rechtsfall). Das Aufzeichnen und regelmäßige Auswerten von Logging-Informationen verursacht jedoch wiederum Kosten, es muss deshalb im konkreten Einzelfall entschieden werden, wo und in welchem Umfang das angemessen ist.
4.6
Passwortschutz
Vor der Benutzung einer Anwendung steht oft der Prozess der Authentifizierung, also das „Wer bist du und kannst du das beweisen?" Erst wenn die Authentifizierung erfolgreich war, können entsprechende Funktionen eines Systems genutzt werden, andernfalls wird der Zugang zu einem System und/oder der Zugriff auf Ressourcen verweigert. Eine Authentifizierung kann auf sehr verschiedene Arten erfolgen. Sehr weit verbreitet ist die Verwendung von Identifikationsmerkmalen (Benutzername, Kontobezeichnung,...) und Passwörtern. So bieten beispielsweise viele Betriebssysteme einen solchen Mechanismus
64
Netzwerksicherheit zur Benutzerverwaltung an. Es erstaunt deshalb nicht, dass gerade Passwörter sehr häufig Ziele von Angriffen sind. Ist ein Passwort einem Angreifer einmal bekannt, so kann er unter Vorspiegelung einer anderen Identität - sehr häufig auch von außerhalb eines Unternehmens - auf entsprechende Ressourcen zugreifen.
4.6.1
Passwort-Angriffe
Authentifizierungsmechanismen, die auf Passwörtern basieren, sind relativ einfach zu implementieren und deshalb recht weit verbreitet. Passwörter schützen aber nur solange, wie sie nur den berechtigten Subjekten (Personen, Programme, ...) bekannt sind. Sobald ein Angreifer ein Passwort kennt, ist es völlig wirkungslos. Das „Knacken" von Passwörtern gehört deshalb zu den grundlegenden Angriffsmethoden. Dabei gelangen im Wesentlichen folgende Verfahren zum Einsatz: Direktes In-Erfahrung-Bringen, Selektives Ausprobieren, Systematisches Durchprobieren. Oft wird versucht, ein Passwort direkt in Erfahrung zu bringen. Direktes In-ErfahDas wird oft dadurch erleichtert, dass Passwörter leider oft auf- rung-Bringen geschrieben werden (der berühmte Notizzettel am Monitor oder unter der Tastatur ist Realität). Auch durch mehr oder weniger raffinierte Attacken unter dem Stichwort „social engi¬ neering" (siehe auch [9]) gelingt es oft sehr einfach, Passwörter in Erfahrung zu bringen. Dazu gehört auch das „Jemandemüber-die-Schulter-gucken" bei der Eingabe von Passwörtern. In der Regel ist dies für einen Angreifer die weitaus effizienteste Methode. Beim selektiven Ausprobieren geht es darum, verschiedene Selektives Passwort-Kandidaten durchzuprobieren, in der Hoffnung, Ausprobieren möglichst rasch auf den richtigen zu stoßen. Diese Methode ist dann erfolgreich, wenn „nahe liegende" Passwörter verwendet werden (z. B. Namen, Geburtstage, aber auch „Administrator", „Passwort" u. v. a. m.). Solche Angriffe werden heute sehr oft
65
Netzwerksicherheit anhand von Verzeichnissen (man spricht auch von so genannten „Wörterbuchattacken") maschinell durchgeführt. Systematisches Durchprobieren
Systematisches Durchprobieren schließlich bedeutet, alle denkbaren Kombinationen von Passwörtern auszuprobieren, bis man auf das richtige stößt. Man spricht deshalb auch von „brute-force"-Attacken. Es ist einleuchtend, dass dieses Verfahren umso rascher zum Erfolg führt, je kürzer ein Passwort ist und je kleiner die zur Bildung des Passwortes erlaubte Menge an Zeichen ist. So müssen für ein Passwort, zu dessen Bildung nur Großbuchstaben ( , A ´ bis ,Z´) erlaubt sind und das aus drei Zeichen besteht, lediglich 26 (=17 576) Kombinationen durchprobiert werden. Sofern diese Arbeit durch ein Programm gemacht werden kann, sind dazu heute nur Bruchteile von Sekunden nötig. Andererseits benötigt man für das systematische Durchprobieren aller Passwörter, die aus acht Zeichen bestehen (ausgewählt aus Groß-, Kleinbuchstaben und Ziffern), bei einer angenommenen Prüfung von 500 000 Varianten pro Sekunde rund 14 Jahre! 3
Es darf nicht unerwähnt bleiben, dass für viele weit verbreitete Programme, die über einen Passwortschutz verfügen, heute entsprechende Passwort-Knackprogramme im Internet verfügbar sind (so lässt sich beispielsweise der Schutz von Dateien, die mit weit verbreiteten Textverarbeitungs- oder Kalkulationsprogrammen erstellt wurden, binnen sehr kurzer Zeit mit solchen Werkzeugen aufheben). Fairerweise muss gesagt werden, dass dies durchaus gelegentlich auch positive Seiten hat (nämlich beispielsweise dann, wenn ein Benutzer sein Passwort vergessen hat).
4.6.2
Passwort-Management
Im betrieblichen Alltag werden heute eine Vielzahl von Passwörtern benötigt. Auch wenn das Problem grundsätzlich erkannt ist und teilweise auch technische Lösungen (Stichwort: „single-sign-on") vorhanden sind, ist ein vernünftiger Umgang mit Passwörtern aus Sicherheitsüberlegungen entscheidend.
66
Netzwerksicherheit Aufgrund der skizzierten Angriffsmöglichkeiten bieten sich dabei folgende Abwehrmaßnahmen an: Wahl von möglichst langen Passwörtern. Auswahl aus möglichst großen Zeichensätzen (Buchstaben, Ziffern, Sonderzeichen, ...). Sperren von Zugängen nach wenigen Zugriffsversuchen mit falschen Passwörtern (so werden beispielsweise Bankkarten nach wenigen Versuchen mit falschen PINs eingezogen). Häufiges Wechseln von Passwörtern. Passwörter nicht aufschreiben. Aufzeichnen von Fehlversuchen. Das klingt zwar alles sehr einleuchtend, man ist hier aber mit einem klassischen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit konfrontiert (Passwörter sollten zwar schwer zu erraten, aber leicht zu merken sein!). Passwörter sollten nur dort eingesetzt werden, wo auch wirklich ein vernünftiger Schutz damit erzielt werden kann. Andernfalls wähnt man sich nur in Sicherheit (dies gilt ganz allgemein für Authentifizierungsverfahren). Zur Umsetzung eines wirkungsvollen Passwort-Managements gehören mehrere Elemente: Ausbildung, Richtlinien, Technische Maßnahmen. Ein vernünftiger Umgang mit Passwörtern kann wesentlich Ausbildung leichter durchgesetzt werden, wenn die entsprechenden Maßnahmen von den Betroffenen auch verstanden werden. Wer einmal erlebt hat, mit welch einfachen Mitteln eine Datei, die mit einem kurzen Passwort geschützt wurde, zu knacken ist, der ist vom Nutzen langer Passwörter einfacher zu überzeugen. Was sind denn nun aber gute Passwörter? Aus rein technischer Sicht sollte ein Passwort lang sein (mindestens 6-8 Zeichen), aus 67
Netzwerksicherheit einem großen Zeichensatz ausgewählt werden, das heißt beispielsweise auch Sonderzeichen enthalten und nicht leicht zu erraten sein. Andererseits darf ein Passwort nie aufgeschrieben werden; wie soll man es sich also merken? Ein Trick, der oft genannt wird, ist die Bildung eines ganzen Satzes, wobei man aus den jeweils ersten Buchstaben das Passwort bildet. Beispielsweise wird aus: „Ich darf mein Passwort nicht auf ein Stück Papier schreiben." das Passwort: „IdmPnaeSPs." Auch „grafische" Hilfsmittel können dabei helfen, sich ein Passwort zu merken:
Abbildung 4-5 Passwortwahl anhand der
Tastenanordnung:
1QAYSE40PÖ-
Im Rahmen von Passwortrichtlinien kann der Umgang mit Passwörtern geregelt werden. Eine Passwortrichtlinie muss dabei auf die konkrete Situation abgestimmt werden. Beispiele von Punkten, die darin geregelt werden können, sind: Passwörter müssen mindestens sechs Zeichen lang sein. Initialpasswörter (das sind die, die bei der Erstverwendung gesetzt sind) müssen sofort geändert werden. Die Weitergabe von Passwörtern ist strikt untersagt. Passwörter dürfen nicht aufgeschrieben werden. Passwörter müssen Sonderzeichen enthalten. Passwörter müssen regelmäßig (z. B. alle drei Monate) geändert werden. Werden solche Richtlinien erstellt, so ist darauf zu achten, dass sie nicht zu restriktiv und kompliziert ausfallen und dadurch
68
Netzwerksicherheit die tägliche Arbeit behindern. Auch muss sichergestellt und regelmäßig überprüft werden, dass sie auch wirklich eingehalten werden. Einiges, was im Rahmen einer Passwortrichtlinie vorgegeben Technische wird, kann durch technische Maßnahmen überprüft und ge- Maßnahmen währleistet werden. Dazu gehören beispielsweise das Setzen von entsprechenden Ablaufdaten für Passwörter, das ausschließliche Akzeptieren von Passwörtern einer gewissen Länge oder das Erzwingen der Verwendung von Sonderzeichen. Zu den technischen Maßnahmen zählt aber insbesondere auch das regelmäßige Überwachen der Systeme. Authentifizierungs¬ versuche mit falschen Passwörtern sollten automatisch aufgezeichnet werden und eine entsprechende Meldung auslösen.
4.7
Verschlüsselung
Der Einsatz von kryptografischen Verfahren zählt zu den ganz grundlegenden Maßnahmen zur Erhöhung der Sicherheit. In der Praxis zeigt sich auch, dass Angriffe gegen solche Verfahren sehr selten erfolgreich sind. Angreifern stehen - leider - in der Regel viel einfachere Wege offen. Für praktische Belange ist ein Verständnis der zugrunde liegenden, oft sehr anspruchsvollen Mathematik nicht wichtig, dies darf man ruhig den Spezialisten überlassen. Wichtig ist aber die Erkenntnis, zur Übertragung vertraulicher Daten, wann immer möglich, Verschlüsselungsverfahren auch wirklich einzusetzen. Dabei sollte man auf öffentlich publizierte und deshalb ausgiebig geprüfte Verfahren und Protokolle setzen (siehe auch [10] und die entsprechenden Hinweise in Kapitel 5). Wo entsprechende Möglichkeiten vorhanden sind (z. B. in Produkten für die Unterstützung von „thin clients"), ist deren Verwendung zwingend vorzuschreiben. Dabei sollte der Einsatz kryptografischer Verfahren allerdings nach Möglichkeit für die Benutzer transparent erfolgen.
69
Netzwerksicherheit
4.8
Firewalls
4.8.1
Begriff
Mit dem Begriff Firewall (die deutsche Übersetzung „Brandschutzmauer" hat sich nicht durchgesetzt) bezeichnet man eine Menge von Netzwerkkomponenten - realisiert in Hardware und/oder Software -, die zwei Netzwerke mit unterschiedlichem Sicherheitsbedarf miteinander verbinden. Typischerweise geht es dabei um die Verbindung zwischen einem Firmennetzwerk und dem Internet. Eine Firewall kann aber auch zwei interne Netze miteinander verbinden. Eine Firewall soll sämtlichen Verkehr zwischen den beiden Netzwerken kontrollieren und nur Zugriffe gemäß festgelegten Anforderungen erlauben.
Lokales Netzwerk
Abbildung 4-6 Funktionsprinzip
einer
Firewall
Firewall
Internet
Eine Firewall bildet eine zentrale Kontrollinstanz. Dadurch lässt sich der Aufwand, der zum Schutz einer Vielzahl von Systemen im lokalen Netzwerk getrieben werden muss, wesentlich reduzieren. Firewalls sind auch geeignete Stellen, um den Netzwerkverkehr zu überwachen und gegebenenfalls Benutzungsdaten (z. B. für Abrechnungszwecke) zu sammeln.
70
Netzwerksicherheit
4.8.2
Ziele
Mit dem Einsatz einer Firewall sollen in der Regel folgende Zielsetzungen erreicht werden: Zugangskontrolle, Rechteverwaltung, Beweissammlung und -Sicherung, Alarmierung, Verbergen von Netzstrukturen. Die Zugangskontrolle kann auf unterschiedlichen Ebenen Zugangskontrolle ansetzen. Auf der Netzwerkebene geht es darum festzulegen, welche Rechner miteinander kommunizieren dürfen. Auf der Ebene der Benutzer lässt sich beispielsweise festlegen, wer welche Dienste in Anspruch nehmen darf (z. B. WWW). Es lässt sich aber auch auf der Ebene der übermittelten Daten festlegen, was „durchgelassen" wird (Filterung nach Inhalt). Im Rahmen der Rechteverwaltung kann man steuern, welche Rechteverwaltung Protokolle und Dienste grundsätzlich und/oder zu welchen Zeiten benutzt werden können. Durch das systematische Aufzeichnen von Verbindungsdaten Beweissammlung und sicherheitsrelevanten Ereignissen können Grundlagen für Beweissicherung spätere Auswertungen gewonnen werden. Das kann bis hin zur Sicherstellung von Beweisen gehen (beispielsweise der Nachweis versuchter Angriffe, aber auch die Verwendung untersagter Dienste durch interne Benutzer). Eine Firewall soll bei sicherheitsrelevanten Vorfällen auf geeig- Alarmierung nete Art alarmieren, damit Angriffe möglichst rasch erkannt und unterbunden werden können. Eine Firewall soll schließlich auch die interne Netzwerkstruktur Verbergen von nach außen hin verbergen, so dass Art, Anzahl der Rechner und Netzstrukturen vorhandene Benutzer, Programme und Daten nach außen hin nicht sichtbar sind. Dazu gehört insbesondere das Konzept der Adressübersetzung (NAT).
71
Netzwerksicherheit
4.8.3
Wirkungsweise, Typen
Installation und Konfiguration einer Firewall sind recht anspruchsvolle Aufgaben. Es gibt keine Lösungen „out-of-thebox". Das gilt nicht nur im betrieblichen Einsatz, sondern auch im privaten Umfeld, wo so genannte „personal firewalls" für den Schutz einzelner Arbeitsplatzrechner angeboten werden. Im Folgenden geht es lediglich um ein grundsätzliches Verständnis, für detailliertere Darstellungen sei auf die sehr umfangreiche Spezialliteratur verwiesen (z. B. [6], [11], [12]). Die überwiegende Zahl der heute angebotenen Firewalls werden zur Verbindung von Netzen (insbesondere dem Internet) angeboten, die auf dem TCP/IP-Protokoll basieren. Man kann im Wesentlichen folgende Typen unterscheiden: Paketfilter (zustandslos bzw. zustandsbehaftet), Anwendungsfilter, Proxies. Zustandslose Paketfilter
Firewalls, die als so genannte Paketfilter funktionieren (das können auch Router sein, die mit der entsprechenden Funktionalität ausgerüstet sind), sind in der Lage, einzelne Datenpakete zu analysieren und anhand von vorgegebenen Regeln zu filtern, das heißt den Übergang von einem Netz ins andere zu erlauben oder eben zu unterbinden. Paketfilter arbeiten auf der Internet- bzw. der Transportschicht. Auf der Internetebene lassen sich beispielsweise Sende- bzw. Empfangsadressen (IP-Adressen) oder die Größe einzelner Pakete erkennen und prüfen. Auf der Transportebene beispielsweise auch Portadressen (und damit verbundene Dienste). Paketfilter sind nicht auf TCP/IPProtokolle beschränkt. Paketfilter arbeiten mit einer Tabelle von Filterregeln, die festlegen, welche Pakete durchzulassen und welche zu sperren sind. Häufig wird auch der Zugriff über einen Paketfilter anhand der Tageszeit erlaubt oder verboten (z. B. Durchlassen nur während der normalen Arbeitszeiten). Das Definieren entsprechender Filterregeln ist eine anspruchsvolle Tätigkeit. Ein solches Regelwerk muss auch dauernd auf
72
Netzwerksicherheit aktuellem Stand gehalten werden. Grundsätzlich lassen sich positive und negative Regeln unterscheiden. Beim Festlegen positiver Regeln ist grundsätzlich alles verboten, was nicht explizit erlaubt ist. Umgekehrt wird bei negativen Filterregeln grundsätzlich alles erlaubt, was nicht explizit verboten ist. Positive Regeln sind aus Sicherheitsüberlegungen vorzuziehen, stellen aber höhere Ansprüche an die Konfiguration. Im Gegensatz zu zustandslosen Paketfiltern verfügen zustands¬ Zustandsbehaftete behaftete (stateful inspection packet filter) über die Fähigkeit, Paketfilter mehrere Pakete und insbesondere deren Abhängigkeiten zu analysieren. Damit sind teilweise auch Analysen auf Anwendungsebene möglich. Anwendungsfilter können die beiden Netze, die sie verbinden, Anwendungsfilter sowohl physisch als auch logisch trennen. In Netzen, in denen Proxies der Anwendungsfilter der einzige vom unsicheren Netz aus erreichbare Rechner ist, spricht man von einem so genannten „bastion host". Wenn dieser Rechner über zwei unabhängige Netzwerkschnittstellen verfügt (was eine völlige physische Trennung der beiden Netze bedeutet), nennt man ihn auch „dual homed". Beim Einsatz von Anwendungsfiltern wird vom Ausgangsrechner zuerst eine Verbindung zum Anwendungsfilter aufgebaut. Auf diesem muss sich der Ausgangsrechner authentisie¬ ren. Der Anwendungsfilter kommuniziert dann mit dem eigentlichen Zielsystem. Für den Ausgangsrechner sieht es aber aus, als wenn er direkt mit dem Zielrechner verbunden wäre. Man spricht deshalb auch von Anwendungs-Proxy (Proxy = Stellvertreter). Anwendungsfilter sind wesentlich leistungsfähiger als Paketfilter aber auch anspruchsvoller in Aufbau und Betrieb.
73
Netzwerksicherheit
4.8.4
Grenzen
Mit dem Einsatz von Firewalls werden oft hohe Erwartungen verbunden. Diese können - teilweise aus ganz prinzipiellen Gründen - nicht immer erfüllt werden. Auch bei einem Einsatz von Firewalls bleiben grundsätzlich folgende Probleme bestehen: Schutz gegen Angriffe von innen, Schutz vor Malware, Schutz vor Umgehung, Schutz bei falscher Konfiguration. Schutz gegen Firewalls überwachen und filtern den Verkehr zwischen den Angriffe von beiden damit verbundenen Netzwerken. Zugriffe innerhalb innen eines Netzwerkes bleiben dadurch aber völlig unberührt. Wenn also ein Angreifer Zugriff zum internen Netzwerk hat (sei es, dass er von außen Wege gefunden hat einzudringen, oder aber beispielsweise, weil er von „innen" kommt) so ist eine Firewall völlig wirkungslos. Schutz vor Ein oft gehörtes Missverständnis besteht darin, dass eine FireMalware wall automatisch auch vor Malware schützt. Man kann zwar einen Malwareschutz mit der Funktionalität einer Firewall kombiniert einsetzen (z. B. auf demselben Gerät), die beiden Aufgaben sind aber weitgehend unabhängig voneinander zu lösen. Verschlüsselte Malware, die beispielsweise als Attachment zu einer E-Mail versandt wird und erst beim Empfänger dekodiert und ausgeführt wird, ist von keiner Firewall erkennbar. Schutz vor Eine Firewall kann nur dann wirkungsvoll sein, wenn sämtliUmgehung cher Netzwerkverkehr darüber abgewickelt wird. Insbesondere in größeren Netzen ist es aus verschiedensten Gründen (z.B. aufgrund der Leistung) nicht angebracht, nur eine solche Verbindung zu anderen Netzen zu unterhalten (Flaschenhals). Vielmehr bestehen oft mehrere solcher Übergänge zu anderen Netzen. Diese Verbindungen zwischen Systemen sind dabei sehr sorgfältig zu planen und zu überwachen. Im Extremfall
74
Netzwerksicherheit kann bereits ein unsachgemäß angeschlossenes Modem einen ungeschützten Zugang öffnen. Zunehmend bedeutsam und bei der Planung und Implementierung entsprechender Infrastrukturkomponenten entsprechend zu beachten sind auch Zugriffe über drahtlose Netze. Firewalls sind Komponenten, deren Betrieb recht hohe Anfor- Schutz bei falscher derungen stellt. Sie müssen laufend überwacht und ihre Konfi- Konfiguration guration muss regelmäßig an veränderte betriebliche Umgebungen angepasst werden. In der Praxis trifft man leider oft auf unsachgemäß installierte Firewalls. Bei unsachgemäßem Einsatz verliert eine Firewall aber ihre Wirkung und schadet dadurch aber noch zusätzlich, da sich die Betreiber oft in einer falschen Sicherheit wiegen.
4.8.5
Entmilitarisierte Zonen - DMZ
Gelegentlich besteht das Bedürfnis, firmeneigene Rechner „von außen" (namentlich aus dem Internet) zugreifbar zu machen. Das ist beispielsweise dann der Fall, wenn eine Firma einen eigenen E-Mail- oder WWW-Server betreiben will. Auf einen solchen Rechner soll zwar einerseits von außen einfach und effizient zugegriffen werden können, andererseits soll er auch gegen Angriffe geschützt sein. Der Betrieb eines solchen Rechners hinter einer Firewall ist deshalb aus Sicherheitsüberlegungen unerwünscht, installiert man ihn andererseits vor der Firewall, ist er nicht geschützt. In solchen Fällen bietet sich die Installation einer so genannten entmilitarisierten Zone („demili¬ tarized zone", DMZ) an. Bei einer DMZ handelt es sich um einen geschützten Bereich des Netzwerkes, der sich zwischen dem Internet und dem Firmennetz befindet. Dieser Bereich wird jeweils durch eine Firewall, häufig realisiert durch Paketfilter, gegen das Internet bzw. das Firmennetz abgeschirmt. Man spricht auch von so genannten „screened subnets". Rechner in der DMZ benutzen sinnvollerweise einen anderen Adressbereich als die Rechner des lokalen Netzes und sind auch physisch von diesem getrennt. Manche Router bieten einen separaten Anschluss für das Einrichten einer DMZ.
75
Netzwerksicherheit Abbildung 4-7
Prinzip
einer entmilitarisierten Zone
(DMZ)
DMZ screened subnet
Firewall
Firewall
Lokales Netzwerk
Server
Internet
Der Vorteil einer solchen Architektur besteht darin, dass im Falle einer Kompromittierung eines Servers in der DMZ, das interne Netzwerk trotzdem noch geschützt bleibt. Wären die Server nicht in einer DMZ, sondern direkt im internen Netzwerk, so wäre das gesamte interne Netzwerk durch eine Kompromittierung betroffen.
4.9
VPN - Virtual Private Network
Ein virtuelles privates Netzwerk verbindet zwei Rechner (oder auch zwei Netzwerke) so miteinander, dass ein anderes Netzwerk (typischerweise das Internet) als Transportweg benutzt wird. Die Daten werden dabei zwischen Ausgangs- und Zielsystem in der Regel verschlüsselt übertragen. Das Verfahren wird gelegentlich auch als „tunneling" bezeichnet, weil die Daten wie durch einen Tunnel vom Ausgangs- zum Zielsystem gelangen. Vor dem Aufkommen von VPNs mussten geografisch weit auseinander liegende Bereiche (z. B. Tochtergesellschaften in verschiedenen Ländern) über spezielle Mietleitungen an ein Firmennetz angeschlossen werden. Solche Mietleitungen bieten zwar ein recht hohes Maß an Sicherheit, sind aber, insbesondere für höhere Übertragungsleistungen und große Distanzen, außerordentlich teuer.
76
Netzwerksicherheit
Internet
4-8
Lokales Netzwerk
Abbildung
VPN-Gateway
VPN-Gateway
Lokales Netzwerk
Funktionsprinzip eines VPN
Die Verwendung eines öffentlichen Netzes reduziert zwar Kosten, erfordert jedoch besondere Maßnahmen zur Gewährleistung der Sicherheit. Die Nutzung eines öffentlichen Netzes soll für die Benutzer nicht erkennbar sein. Virtuelle Netze werden heute hauptsächlich zur Absicherung von externen Zugängen zu einem internen Firmennetz eingesetzt (z. B. für Außendienstmitarbeiter). Ein VPN könnte aber auch zur Absicherung eines internen Teilnetzes eingesetzt werden. Für die Umsetzung des Tunneling-Konzeptes werden die Daten auf ihrem Weg vom sendenden VPN-Gateway mit einem zusätzlichen Header versehen. Dieser Header wird vom empfangenden VPN-Gateway wieder entfernt. Virtuelle private Netze können sowohl in Software wie auch in Hardware realisiert werden. Die Unterstützung entsprechender Protokolle (PPTP, L2TP, IPSec, ...) wird heute sehr häufig von Routern und Firewalls angeboten. Ein virtuelles privates Netz bietet viele Vorteile und kann die Sicherheit der Datenübertragung via Internet sehr deutlich verbessern. Die Implementation muss jedoch sehr sorgfältig erfolgen. Insbesondere sollte der Verwaltung der Schlüssel beim Unterhalt von mehreren Verbindungen sowie dem Umgang mit Authentisierungselementen auf mobilen Geräten (Diebstahl!) besondere Aufmerksamkeit geschenkt werden.
77
Netzwerksicherheit
4.10 WLAN - Wireless LAN 4.10.1
Eigenschaften
Drahtlose lokale Netze erfreuen sich einer rasch zunehmenden Beliebtheit und sind heute bereits sehr weit verbreitet. Aufgrund ihrer unkomplizierten Installation werden sie oft auch für temporäre Netzwerke (z. B. auf Messen) eingesetzt. Da die Anbindung eines Benutzers an ein solches Funknetz recht einfach ist, werden zunehmend auch in Hotels, Flughäfen oder Bahnhöfen solche Netzzugänge angeboten („hot spots"). Aber auch im innerbetrieblichen Umfeld bieten Funknetze - zumal bei schwierigen räumlichen Verhältnissen - eine beliebte Erweiterung bestehender kabelgebundener Netzwerke. Grundsätzlich stehen für den Betrieb eines Funknetzes folgende Varianten zur Verfügung: Ad-hoc-Modus („peer-to-peer"), Infrastruktur-Modus. Ad-hoc-Modus
InfrastrukturModus
Im Ad-hoc-Modus kommunizieren die Partner direkt miteinander. Es werden also paarweise Verbindungen aufgebaut. Dieser Modus spielt in der Praxis eine eher untergeordnete Rolle. Im Infrastruktur-Modus kommunizieren die beteiligten Partner über eine zentrale Funkbrücke, einen so genannten AccessPoint. Dieser verbindet in der Regel auch das Funknetz mit einem kabelgebundenen Netzwerk. Durch den Einsatz von mehreren solcher Access-Points können auch einander überlappende Bereiche (Funkzellen) aufgebaut werden. Beim Wechsel von einer Zelle zur nächsten wird dabei der Funkkontakt aufrecht erhalten („roaming"). Praktisch alle gängigen Funknetze basieren auf einem der verschiedenen IEEE 802.11x-Standards.
78
Netzwerksicherheit
4.10.2 Sicherheitsaspekte Sicherheitsüberlegungen spielen beim Einsatz von Funknetzen eine ganz besondere Rolle. Aufgrund ihrer Charakteristik ist ein externer Zugriff nämlich sehr viel einfacher möglich als bei einem drahtgebundenen Netzwerk („parking lot attack"). Software-Werkzeuge, die ein „Abhören" von Funknetzen unterstützen, sind heute frei verfügbar (siehe z. B. [13]). Hinzu kommt, dass die Nutzung von Funknetzen möglichst komfortabel sein soll. Die Authentisierung erfolgt deshalb meist möglichst automatisch. Ungeachtet der bekannten Risiken werden aber manchenorts nicht einmal die wenigen vorhandenen Sicherheitsmechanismen genutzt. Das hängt auch damit zusammen, dass die Sicherheitseinstellungen vieler Komponenten für Funknetze im Auslieferungszustand deaktiviert sind. Der Standard 802.11 verfügt über verschiedene Sicherheitsmechanismen; diese weisen allerdings eine Reihe von bekannten Schwächen auf (siehe z. B. [14]). Der Standard bietet aber auch Freiraum für weitergehende herstellerspezifische Erweiterungen. Im Standard sind folgende Sicherheitsmechanismen definiert (die aber nicht zwingend implementiert sein müssen): Netzwerkname - SSID, MAC-Adresse, WEP - Wired Equivalent Privacy. Der Standard bietet die Möglichkeit, einen Netzwerknamen SSID („Service Set IDentity") zu vergeben. Es kann dabei gefordert werden, dass sich nur Teilnehmer mit derselben SSID am Netzwerk anmelden können. Prinzipiell besteht die Möglichkeit, in einem Funknetz nur MAC-Adresse Partner mit bekannter MAC-Adresse (Media-Access-ControlAdresse) zuzulassen. Die Pflege entsprechender Listen ist allerdings in größeren Netzen mit erheblichem Aufwand verbunden.
79
Netzwerksicherheit WEP Zur Sicherung von Vertraulichkeit, Integrität und Authentizität steht das so genannte WEP-Protokoll zur Verfügung. Verschlüsselt wird mit einem 40- oder 104-Bit-langen Schlüssel, der bei den verschiedenen Rechnern vorab manuell eingetragen werden muss. Inzwischen stehen mit dem Standard IEEE 802.1X Erweiterungen von Sicherheitsmechanismen zur Verfügung. Deren Implementierung ist in der Praxis aber recht aufwändig und übersteigt in der Regel die Möglichkeiten kleiner und mittlerer Firmen bei weitem. Die Einbindung von Funknetzkomponenten in eine bestehende IT-Infrastruktur erfordert eine genaue Planung. Bei unsachgemäßem Vorgehen bestehen erhebliche Gefahren, beispielsweise dadurch, dass bestehende Mechanismen (z. B. eine im drahtgebundenen Netzwerk bestehende Firewall) in ungünstigen Fällen umgangen werden können. Für Überlegungen im Zusammenhang mit Kurzdistanz-Funknetzen (z. B. basierend auf Bluetooth oder Infrarot-Technologie) sei auf [15] verwiesen.
4.11 Einbruchserkennung Die Praxis zeigt, dass viele Einbruchsversuche oder gar erfolgreiche Einbrüche in Rechnernetze oft gar nicht bemerkt werden. Häufig sind auch die entsprechenden Anzeichen namentlich bei Innentätern - nicht offensichtlich und nur sehr schwer zu erkennen. Netzwerke, die schlecht geschützt sind, werden in der Regel natürlich auch nicht professionell überwacht. Es darf aber auch nicht vergessen werden, dass der sichere Betrieb von Netzwerken hohe fachliche Anforderungen stellt und nur durch entsprechend geschulte Administratoren gewährleistet werden kann. In kleineren Verhältnissen sind solche Fachleute in der Regel nicht vorhanden, der Netzwerkbetrieb wird dort oft durch externe Partner gewährleistet.
80
Netzwerksicherheit Diesen ist dann aber auch eine gewisse Verantwortung für die Überwachung der Netzwerke zu übertragen. Eine seriöse Netzwerküberwachung erfordert dauernde Aufmerksamkeit und entsprechende Erfahrungen, um Anomalien frühzeitig erkennen und richtig beurteilen zu können. Dazu ist es wichtig, den laufenden Betrieb regelmäßig zu beobachten, beispielsweise: Auslastung der Netzwerke, Laufende Prozesse und Dienste, Angemeldete Benutzer. Verändert sich die Netzbelastung plötzlich unerwartet stark Auslastung und nimmt der Datenverkehr an den Schnittstellen zum Netzwerke Firmennetz (ein- oder ausgehend) stark zu, so kann das auf Angriffsversuche von außen (oder auch Angriffe aus dem internen Netz nach außen) hindeuten.
der
Die auf den Servern laufenden (bzw. plötzlich nicht mehr Laufende Prozesse laufenden) Prozesse und Dienste, aber auch die entsprechende und Dienste Systemlast können Hinweise auf abnormales Verhalten geben. Auch wenn im internen Netz plötzlich neue Benutzer- Angemeldete kennungen auftauchen oder bestehende Benutzer zu unge- Benutzer wöhnlichen Zeiten angemeldet sind, deutet das auf abnormales Verhalten hin. Grundlage für solche Beobachtungen bilden eine Vielzahl von automatisch zu sammelnden Daten über das Systemverhalten. Moderne Betriebssysteme bieten eine Vielfalt an Möglichkeiten, Systemverhalten, Meldungen, Zugriffsverletzungen u.v.a.m. in so genannten Log-Dateien aufzuzeichnen. Diese Informationen müssen regelmäßig inspiziert werden. Da diese Aufgabe in größeren Verhältnissen sehr rasch ausge- Intrusion sprochen zeitintensiv wird und eine Fülle von Daten anfallen, Detection sind in jüngster Zeit Produkte auf den Markt gelangt, die einen Teil dieser Aufgaben automatisieren sollen und die helfen, die anfallenden Daten zumindest vorzufiltern. Man spricht in diesem Zusammenhang von so genannten Intrusion Detection
System
81
Netzwerksicherheit Systems (IDS). Solche Systeme dienen dazu, anhand von umfassenden Regelwerken festzustellen, wenn sich in der aktuellen Betriebsumgebung Aktivitäten feststellen lassen, die Muster bekannter Angriffe zeigen. Als sehr einfaches Beispiel sei hier das automatische Erkennen eines Port-Scans erwähnt. Prevention
Intrusion Jüngste Entwicklungen gehen noch einen Schritt weiter, in dem System sie versuchen, Angriffe nicht nur zu erkennen, sondern auch geeignet automatisch abzuwehren. Solche Produkte werden unter dem Begriff Intrusion Prevention Systems (IPS) angeboten. Für einige Hinweise, was nach einem Einbruch zu tun ist, sei auf Kapitel 9 verwiesen.
4.12 Empfehlungen für Praktiker Empfehlung 4-1 Erstellen
Sie
eine
Passwortrichtlinie.
Der firmeninterne Umgang mit Passwörtern Richtlinie geregelt werden.
sollte
in
einer
Passwörter sind wichtige Authentifizierungsmerkmale. Sie sollten deshalb zumindest minimalen Sicherheitsstandards entsprechen (Länge, Häufigkeit der Änderung u. v. a. m.). Diese sind in einer Richtlinie festzulegen, deren Einhaltung periodisch überprüft werden muss. Empfehlung 4-2 Installieren Sie eine Firewall. Das Firmennetz darf nur Netzen verbunden sein.
über
eine
Firewall
mit
externen
Sämtliche Übergänge vom Firmennetz zu externen Netzen (in der Regel das Internet) müssen mit einer Firewall abgesichert werden. Dies gilt insbesondere auch für drahtlose Verbindungen.
82
Netzwerksicherheit
Prüfen
Sie
die
Firewall-Konfiguration
regelmäßig.
Die Konfiguration der Firewall (Filterregeln, ...) mäßig überprüft und ggf. angepasst werden.
Empfehlung 4-3
muss regel-
Da sich IT-Infrastrukturen an sich verändernde betriebliche Verhältnisse anpassen müssen, sind auch die entsprechenden Sicherheitseinstellungen der Firewalls laufend zu überprüfen und ggf. anzupassen. Eine Firewall, deren Konfiguration nicht mehr genau zu den betrieblichen Anforderungen passt, ist weitgehend wirkungslos. Überwachen
Sie
den
Firewallbetrieb.
Der Betrieb den.
einer Firewall sollte regelmäßig
Empfehlung 4-4 überwacht wer-
Firewalls sollen gegen Angriffe schützen. Angriffsversuche hinterlassen in der Regel Spuren in Log-Dateien. Diese sind regelmäßig auszuwerten und die Konfiguration der Firewall ist ggf. entsprechend anzupassen. Prüfen Sie das Auslagern von Systemen. Systeme müssen nicht betrieben werden.
in
jedem
Falle
Empfehlung 4-5 zwingend
selbst
Je nach Situation ist zu prüfen, ob gewisse Systeme nicht auch von einem externen Dienstleister (einem sog. „application Service provider", ASP) betrieben werden könnten. Dieser muss dann auch die Verantwortung für das Einhalten gewisser Sicherheitsstandards übernehmen. Insbesondere ist die Auslagerung von WWW-Servern zu prüfen. Sollen diese selbst betrieben werden, so ist dafür eine DMZ aufzubauen.
83
Netzwerksicherheit
Empfehlung 4-6 Legen Sie eine Flottenpolitik fest. Die Anzahl von unterschiedlichen Geräten sollte möglichst klein gehalten werden.
und Programmen
Installation, Konfiguration und laufende Überwachung im Betrieb werden erleichtert, wenn die Anzahl von unterschiedlichen Geräten und Programmen möglichst klein gehalten wird. Empfehlung 4-7 Sehen Sie nur minimale Installationen vor. Systeme sollten so installiert und konfiguriert werden, dass sie nur diejenigen Funktionen umfassen, die auch wirklich benötigt werden. Installationen „out-of-the-box", d.h. Standardkonfigurationen, wie sie vom Hersteller bei einer Erstinstallation vorkonfiguriert werden, sind oft auf einfache Benutzbarkeit und nicht auf hohe Sicherheit ausgelegt. Entsprechende Voreinstellungen sind zu prüfen und anzupassen. Vorgabepasswörter sind zu ändern. Es sollen nur diejenigen Funktionen installiert oder freigeschaltet werden, die auch tatsächlich Verwendung finden. Alles andere ist zu deinstallieren oder abzuschalten (z. B. nicht benötigte Netzwerkprotokolle, Multimedia-Anwendungen,...). Empfehlung 4-8 Erstellen
Sie
eine
Update-Richtlinie
(„Patch-Management").
In einer Richtlinie muss geregelt werden, oft und durch wen installiert werden.
welche Patches wie
Das Installieren von Updates ist mit Aufwendungen verbunden und verursacht oft Folgeprobleme. Es muss deshalb in einem geordneten Prozess erfolgen. In einer Richtlinie ist zu regeln, was (z. B. nur sicherheitsrelevante Patches), für welche Produkte, in welcher Häufigkeit und durch wen installiert wird.
84
Netzwerksicherheit
Empfehlung 4-9
Vergeben Sie nur minimale Rechte. Zugriffsrechte sollten nach nicht „nice-to-have" vergeben
dem Prinzip werden.
„need-to-have"
Benutzer sollten nur über die minimal notwendigen Zugangsund Zugriffsrechte verfügen, die sie zur Erfüllung ihrer betrieblichen Aufgaben benötigen. Sonderrechte, wie sie beispielsweise für die Installation von Programmen nötig sein können, sind wieder zu entziehen, sobald sie nicht mehr zwingend gebraucht werden. Das Erteilen und Entziehen von Rechten muss in einem geordneten Prozess erfolgen. Ändern
Sie
die
Einstellungen
WLAN-Komponenten werden unzureichend konfigurierten geliefert.
von
WLAN-Komponenten.
oft mit deaktivierten Sicherheitseinstellungen
Empfehlung 4-10 oder aus-
Zur Erhöhung der Sicherheit von WLAN-Komponenten sollten die vorhandenen Sicherheitsmechanismen genutzt werden: Vorgabepasswörter ändern, ESSID-Broadcast abschalten, MAC-Adressfilterung einschalten, WEP-Verschlüsselung einschalten (128-Bit), Schlüssel periodisch wechseln. Zum Schutz sensibler Daten sind ggf. zusätzliche Maßnahmen nötig (z. B. die Verwendung eines VPN). Erlauben Sie keinen automatischen mobilen Geräten aus. Zugangselemente haft gespeichert
dürfen auf mobilen werden.
Verbindungsaufbau
Geräten
nicht
von Empfehlung 4-11
dauer-
Auf vielen mobilen Geräten werden zur Vereinfachung des Anmeldevorganges bei Fernzugriffen (z. B. via VPN) die Zu-
85
Netzwerksicherheit gangselemente (Anmeldenamen, Passwort, ...) gespeichert. Beim Verlust eines solchen Gerätes (z. B. durch Diebstahl) eröffnet sich dadurch ein Zugang zum privaten Netzwerk. Benutzer, die sich von „außen" mit dem Firmennetz verbinden, sind entsprechend zu schulen. Empfehlung 4-12 Überwachen Sie ihre Systeme. Systemzustände müssen ausgewertet werden.
automatisch
aufgezeichnet
und
Kritische Systembereiche (Auslastungen, Authentisierungen, ...) sind dauernd zu überwachen und aufzuzeichnen (logging). Die anfallenden Daten müssen regelmäßig überprüft werden. Empfehlung 4-13 Halten
Sie
Reservegeräte
zur Netzwerksteuerung
bereit.
Der Ausfall von Geräten zur Netzwerksteuerung (Hubs, Routers, Switches, ...) führt zum Ausfall einer Vielzahl von Systemen. Geräte zur Steuerung des Netzwerkverkehrs (vor allem Router, Hubs, Switches) bilden oft sog. „Single points of failure". Aufgrund der stark gesunkenen Preise solcher Geräte lohnt es sich, einzelne Geräte an Lager zu nehmen, um im Falle eines Ausfalles rasch den Betrieb wieder aufnehmen zu können. Empfehlung 4-14 Dokumentieren Für Fehlersuche dokumentation
Sie
ihr Netzwerk.
und -behebung unabdingbar.
ist eine
aktuelle
Netzwerk-
Undokumentierte Netzwerke erschweren im Problemfall eine Fehlersuche und -behebung ganz wesentlich. Eine aktuelle Netzwerkdokumentation (nach Möglichkeit in einer grafischen Darstellung) muss Auskunft geben über eingesetzte Geräte zur Netzwerksteuerung (z. B. Typ, Standort, Releasestand der Software, ...) sowie die Verkabelung.
86
Netzwerksicherheit
4.13 Literatur [1] [2] [3] [4] [5] [6]
[7] [8] [9] [10]
Tanenbaum, A.S., Computernetzwerke. 2003, München: Pearson. Gralla,
P., How the internet works. 7th ed. 2003,
Indianapolis, IN: Que Pub. RFC 1918 - Address Allocation for Private Internets, http://www.faqs.org/rfcs/rfcl918.html Port numbers, http://www.iana.org/assignments/port-numbers Cobb, C, Network security for dummies. 2003: Wiley Pub. Allen, J.H., The CERT guide to S y s t e m and network security practices. SEI series in Software engineering. 2001, Boston: Addison-Wesley. BSI, IT-Grundschutzhandbuch, http://www.bsi.de/gshb/ Pfleeger, C.P. und Pfleeger, S.L., Security in Computing. 3rd ed. 2003, Upper Saddle River, NJ: Prentice Hall PTR. Mitnick, K.D. und Simon, W.L., Die Kunst der Täuschung. Risikofaktor Mensch. 2003, Bonn: mitp. Schneier, B., Secrets & lies. IT-Sicherheit in einer vernetzten Welt. 2001, Heidelberg: dpunkt.
[II]
Komar, B., Beekelaar, R., und Wettern, J., Firewalls für Dummies. 2002, Bonn: mitp.
[12]
Strobel, S., Firewalls und IT-Sicherheit. Grundlagen und Praxis sicherer Netze. 2003, Heidelberg: dpunkt. Netstumbler, http://www.netstumbler.com/ BSI, Sicherheit im Funk-LAN, http://www.bsi.de/literat/doc/wlan/
[13] [14] [15]
Eckert, C, IT-Sicherheit. Konzept - Verfahren Protokolle. 2nd ed. 2003, München: Oldenbourg.
87
5
Sichere E-Mail
5.1
Einleitung
Während noch bis vor wenigen Jahren für die betriebliche Kommunikation - sei es intern oder mit externen Partnern hauptsächlich Telefon und (interne) Post benutzt wurden, gehört heute der Einsatz elektronischer Post (E-Mail) an sehr vielen Orten zum betrieblichen Alltag. Aber auch die Nutzung globaler Netze für das elektronische Abwickeln von Geschäftsvorfällen, für Informationsbeschaffung und -austausch oder für das Übertragen von Dateien sind heute sowohl im privaten Bereich wie auch in der betrieblichen Praxis absolut gängig. Auf manche der mit dieser „Öffnung" verbundenen Sicherheitsprobleme wurde bereits im Kapitel Netzwerksicherheit eingegangen. Der sichere Einsatz von elektronischer Post stellt jedoch aufgrund der großen Verbreitung ganz besondere Anforderungen an den IT-Betrieb. Der Umgang mit E-Mail erfolgt leider an vielen Orten noch recht sorglos. Im Folgenden wird deshalb diese Problematik vertieft behandelt. Eine allgemeine Behandlung des Themas Sicherheit im Zusammenhang mit der Benutzung von Internet-Diensten ist beispielsweise in [1] und [2] zu finden. Es darf auch hier nicht unerwähnt bleiben, dass in den letzten Jahren laufend neue Möglichkeiten der Nutzung globaler Netze entstanden sind (Auktionssysteme, Tauschbörsen, „instant messaging", ...) und dass weitere dazukommen werden. Diese Entwicklung stellt natürlich stets auch zusätzliche Anforderungen an einen sicheren Betrieb.
89
Sichere E-Mail
5.2
Wie funktioniert E-Mail?
E-Mail gehört mit zu den ältesten Anwendungen des Internet. Die wesentlichen technischen Grundlagen dazu wurden bereits in den siebziger und achtziger Jahren des 20. Jahrhunderts entwickelt. Lange Zeit wurde E-Mail allerdings hauptsächlich im akademischen Umfeld oder in größeren Betrieben eingesetzt. Die rasante Verbreitung - namentlich auch bei Privatanwendern und in kleinen und mittleren Betrieben - erfolgte erst ab Mitte der neunziger Jahre, parallel zur raschen weltweiten Verbreitung des WWW. Obwohl im Laufe der Zeit eine Vielzahl von E-Mail-Systemen, basierend auf unterschiedlichsten Technologien, implementiert wurden (vor allem auch für firmeninterne Zwecke), hat sich heute diejenige Architektur, die auf DNS-konformer Adressierung (Benutzername@Domain) aufbaut, weltweit durchgesetzt. Die folgenden Ausführungen beziehen sich deshalb auf dieses System. E-Mail-Systeme bestehen im Wesentlichen aus folgenden zwei Komponenten: MUA - Mail User Agent („mail dient"), MTA - Mail Transfer Agent („mail Server").
Abbildung 5-1 E-Mail
Architektur MTA
SMTP
MUA (Mail User Agent)
90
SMTP
MTA
POP IMAP
SMTP
MTA (Mail Transfer Agent)
MUA
Sichere E-Mail Mit Hilfe von Mail User Agents (man kann sich darunter im Mail Wesentlichen Anwenderprogramme vorstellen), werden Nachrichten erfasst, gelesen und verwaltet.
User Agent
Mail Transfer Agents andererseits sind Systemprogramme, die Mail Transfer dazu dienen, die Nachrichten über ein Netzwerk vom Sender Agent zum Empfänger weiterzuleiten. Eine Nachricht kann vom Absender zum Empfänger über mehrere MTAs geleitet werden. Befinden sich die Postfächer von Absender und Empfänger auf demselben Rechner, wird die Post lokal ausgeliefert. Zur Kommunikation in E-Mail-Systemen werden heute hauptsächlich folgende Protokolle eingesetzt: SMTP - Simple Mail Transfer Protocol (Senden), POP - Post Office Protocol (Empfangen), IMAP - Internet Message Access Protocol (Empfangen). Die Übertragung einer E-Mail von einem Sender zu einem Empfänger geschieht in folgenden Schritten: Erstellen, Absenden, Übertragen, Bestätigen, Empfangen, Verarbeiten. Das Erstellen einer E-Mail erfolgt in der Regel mit einem Erstellen, speziellen Mail-Programm (MUA). Während elektronische Absenden Nachrichten ursprünglich nur aus reinem ASCII-Text bestanden (das Format ist in [3] definiert), können heute eine Vielzahl von unterschiedlichsten Dateiformaten bis hin zu Multimediadaten übertragen werden. Eine elektronische Nachricht besteht immer aus einem so genannten Envelope (für den Benutzer in der Regel nicht erkennbar), einem Header, der Angaben über Absender, Empfänger u. v. a. m. enthält, und dem eigentlichen Inhalt der Nachricht. Ist die Nachricht erstellt, wird sie mittels SMTP-Kommandos an einen MTA gesendet.
91
Sichere E-Mail
Übertragen
Mail Transfer Agents sind für die eigentliche Übertragung der Nachricht zuständig. Der Weg, den die Nachricht auf ihrem Weg vom Sender zum Empfänger durchläuft, wird dabei anhand der Empfängeradresse durch Abfragen des DNS festgelegt. Die Information, welcher Rechner das Postfach des Empfängers verwaltet, ist in so genannten MX-Records (mail-exchange-record) festgelegt (die genauen technischen Details sind in [4] zu finden).
Bestätigen
Häufig, aber nicht zwingend, erfolgt nach der Auslieferung oder beim Auftreten einer Störung auf umgekehrtem Wege eine Bestätigung der Auslieferung oder eine Fehlernachricht.
Empfangen Verarbeiten
Ist die Nachricht beim letzten MTA eingetroffen, kann sie entweder dort direkt weiterverarbeitet werden, oder, was viel häufiger ist (insbesondere wenn der Empfänger nicht dauerhaft mit dem MTA verbunden ist), von einem anderen Rechner unter Verwendung des Protokolls POP abgeholt werden. Beim Einsatz des Protokolls IMAP verbleibt die Nachricht auf dem MTA, wird aber von einem anderen Rechner aus verwaltet. Die empfangene Nachricht wird dann geeignet weiterverarbeitet (z. B. gelöscht, beantwortet, weitergeleitet, archiviert, ...).
5.3
Eigenschaften
Die Verwendung von E-Mail hat gegenüber anderen betrieblichen Kommunikationsmitteln (insbesondere Telefon und „normale" Post) eine ganze Reihe von positiven Eigenschaften, die wesentlich zur enormen Verbreitung beigetragen haben: Geschwindigkeit der Übermittlung, Geringe Kosten, Adressierung vieler Empfänger gleichzeitig, Versand verschiedenster Dokumentarten.
92
Sichere E-Mail Der Versand elektronischer Nachrichten erfolgt sehr rasch. Es Geschwindigkeit ist heute möglich, jeden beliebigen Empfänger, unabhängig der Übermittlung davon, wo er sich geografisch aufhält, in der Regel innerhalb weniger Minuten zu erreichen. Die Kosten von E-Mail sind - namentlich im Vergleich zum Geringe
Kosten
Versand herkömmlicher Post - äußerst gering. Der Versand einer - auch umfangreichen - Nachricht an eine Empfänger Vielzahl von Empfängern ist praktisch genauso einfach, wie das Senden an einen einzelnen Empfänger. Es ist heute auch technisch möglich und sehr einfach, eine Dokumentarten große Vielfalt an Dokumenten (Texte, Bilder, Filme, Musik, ...) per E-Mail zu versenden. Der Einsatz von E-Mail hat aber auch eine ganze Reihe von Nachteilen, die leider im betrieblichen Einsatz oft übersehen oder zumindest nicht angemessen berücksichtigt werden. Insbesondere sind zu nennen: Keine Vertraulichkeit, Mangelnde Authentizität, Einfacher Missbrauch. Eine E-Mail entspricht einer Ansichtskarte bei der normalen Keine Post. Das bedeutet, jede Instanz auf dem Wege zwischen Sen- Vertraulichkeit der und Empfänger hat vollen Einblick in den Inhalt der Nachricht. Auch wenn entsprechende Möglichkeiten der Verschlüsselung vorhanden sind, wird doch die überwiegende Anzahl an elektronischen Nachrichten nach wie vor unverschlüsselt übermittelt. Aufgrund der Einfachheit der eingesetzten Protokolle ist das Mangelnde Fälschen einer elektronischen Nachricht ausgesprochen einfach. Authentizität Es bedarf weder besonderer Kenntnisse noch ausgefeilter technischer Mittel (alles, was man braucht, wird von modernen Betriebssystemen zur Verfügung gestellt), um eine E-Mail mit falschem Absender zu erzeugen und zu verschicken.
93
Sichere E-Mail Einfacher Missbrauch
Aufgrund der relativ einfachen Architektur von E-Mail-Systemen ist auch deren Missbrauch nicht allzu schwierig. So werden vielfach Mail-Server (MTA) zum Versand „fremder" Nachrichten verwendet („relaying") und auch das Versenden von unerwünschten Massenmails ist leider recht einfach.
5.4
SPAM
5.4.1
Begriff
SPAM ist eine Abkürzung von „spiced h a m " und ist ein eingetragenes Warenzeichen der Firma Hormel Foods Corporation. Der Bezug dieses Begriffes zu Massen-E-Mail führt über die britische Komikertruppe Monty Pythons Flying Circus, die 1970 in einem Sketch durch dauerndes Wiederholen des Begriffes jegliche Konversation unmöglich machte (siehe auch [5]). Im Zusammenhang mit E-Mail bezeichnet SPAM heute unverlangt zugestellte (Massen-)E-Mails. Die technischen Begriffe dazu lauten UCE (unsolicited com¬ mercial e-mail) und UBE (unsolicited bulk e-mail).
5.4.2
Beurteilung
Während noch vor wenigen Jahren SPAM allenfalls als lästige Begleiterscheinung bei der Nutzung von E-Mail in Kauf genommen wurde, hat das Phänomen inzwischen eine Bedeutung und ein Volumen erlangt, die aktive Schutzmaßnahmen unabdingbar machen. Mittlerweilen befassen sich auch die Gesetzgeber in verschiedenen Ländern mit dem Phänomen. Dem Problem ist jedoch - zumindest kurzfristig - nicht mit juristischen Mitteln allein beizukommen, sondern es muss vielmehr auch technisch und organisatorisch angegangen werden. Auch wenn sich unerwünschte E-Mails einfach löschen lassen, sind doch mit Erkennung (z. B. aufgrund des Absenders, der Betreffzeile oder des Inhaltes) und Löschung - aufgrund des erheblichen Volumens an solchen Nachrichten, die täglich
94
Sichere E-Mail eintreffen - bedeutende zeitliche Aufwendungen verbunden, die entsprechende Kosten verursachen (vom damit verbundenen Ärger ganz zu schweigen). Auch der Verbrauch an Bandbreite und Speicherplatz ist nicht zu vernachlässigen. Da zunehmend auch Malware via E-Mail verschickt wird (beispielsweise direkt, als mobiler Code oder angehängtes Dokument, oder indirekt als Hinweis auf eine WWW-Seite) sind mit SPAM auch ganz konkrete Sicherheitsprobleme verbunden.
5.4.3
Organisatorische Maßnahmen
Im Umgang mit SPAM sind folgende Regeln zu beachten, die das Problem zwar nicht lösen, aber zumindest helfen, es nicht noch zu vergrößern: Nachrichten ungelesen löschen. Nachrichten nie beantworten. Keine Anhänge ausführen. Zurückhaltende Bekanntmachung der eigenen E-MailAdresse. E-Mails können in der Regel anhand von Absender und/oder Nachrichten ungeBetreffzeile bereits klassiert werden. Basierend auf dieser lesen löschen groben Triage lassen sich schon die meisten unerwünschten Nachrichten löschen, ohne dass man explizit den Inhalt zur Kenntnis nehmen muss. Leider kann es bei ganz speziellen technischen Voraussetzungen auf einzelnen Plattformen schon genügen, den Inhalt einer Nachricht anzuschauen, um darin eingebettete Objekte auszuführen (das Problem ist zwar schon länger bekannt und Lösungen sind in Form von Patches vorhanden, diese sind aber nicht überall installiert). SPAM-Mails sollten nie beantwortet werden. Auch nicht, wenn Nachrichten nicht die Nachricht ein noch so freundliches Angebot enthält, die beantworten eigene Adresse aus der entsprechenden Verteilerliste zu löschen. Ein solcher Mechanismus dient in der Regel nur dazu, die Gültigkeit der Empfängeradresse zu verifizieren. Adressen
95
Sichere E-Mail
können aber beispielsweise auch verifiziert werden, wenn eine so genannte Auto-reply-Funktion (z. B. während einer Ferienabwesenheit) benutzt wird. Keine
Anhänge E-Mail-Anhänge, die aus unbekannten oder nicht vertrauensausführen würdigen Quellen stammen, sollten keinesfalls ausgeführt werden. Das Ausführen von E-Mail-Anhängen stellt heute eine der häufigsten Verbreitungsarten von Malware dar!
Eigene Adresse Versender von SPAM erhalten die Adressen von Empfängern zurückhaltend einerseits durch Kauf von ganzen Adressbeständen, anderereinsetzen seits aber auch durch systematisches Absuchen, beispielsweise von Newsgroups oder Webseiten. Der Umgang mit der eigenen E-Mail sollte deshalb sehr zurückhaltend erfolgen. Es lohnt sich, für besondere Zwecke (Teilnahme an Diskussionen in Newsgroups, Eintrag in Verteilerlisten für den Empfang spezieller Kundeninformationen, ...) eine eigene E-Mail-Adresse einzurichten und getrennt von der „normalen" Adresse zu benutzen.
5,4.4
Technische Maßnahmen
Aufgrund der Masse, die das Phänomen inzwischen erreicht hat, sind neben organisatorischen Lösungen - namentlich im betrieblichen Umfeld - auch und vor allem technische Maßnahmen notwendig. Wünschbar und sinnvoll ist ein automatisches Herausfiltern von SPAM bereits vor dem oder beim Empfänger, so dass dieser sich damit gar nicht befassen muss. Leider sind für das Erkennen von SPAM keine eindeutigen Regeln formulierbar. Was für den einen nur lästige Werbemail ist, kann für einen anderen durchaus ein interessantes Angebot darstellen. Zur SPAM-Erkennung werden folgende Techniken eingesetzt: Verwendung von schwarzen (weißen) Listen, Filtern anhand von Stichworten und Regeln.
96
Sichere E-Mail Die Verwendung von schwarzen (oder weißen) Listen erlaubt Schwarze eine grobe Klassierung, beispielsweise anhand der Absenderadresse. E-Mails, die von einer Adresse auf einer schwarzen Liste stammen, werden als SPAM betrachtet und beispielsweise automatisch gelöscht oder in einen speziellen Briefkasten abgelegt. Analog werden Adressen auf weißen Listen als vertrauenswürdig betrachtet.
Listen
Aufgrund der von SPAM-Versendern angewandten Vorgehensweise (z. B. Fälschen der Absenderadressen, häufiges Wechseln des Versender-MTA, ...) sind solche Listen aber nur beschränkt wirkungsvoll und ihre Pflege ist recht aufwändig. Weit verbreitet ist die Verwendung von Regeln, die auf der Filterregeln Analyse von Header und Inhalt einer E-Mail basieren. Dabei wird beispielsweise überprüft, ob eine Nachricht gewisse Stichworte enthält. Als recht effektiv hat sich dabei die Anwendung von so genannten Bayes-Filtern herausgestellt [6]. Um wirklich effektiv zu sein, müssen solche Filterregeln aber immer wieder angepasst (erweitert) werden. Aber selbst noch so ausgefeilte Filterregeln führen zu so genannten Falsch-Positiven und Falsch-Negativen, das heißt Nachrichten, die anhand der Regeln als SPAM identifiziert werden, aber vom Empfänger nicht als solche gesehen werden und umgekehrt. Es empfiehlt sich, die E-Mail-Nachrichten bereits auf dem Emp¬ fänger-MTA zu analysieren und gegebenenfalls auszusortieren. Konkrete Empfehlungen und Werkzeuge zum Umgang mit SPAM sind in [7] zu finden. Wer sich vertiefter mit dem Thema E-Mail-Missbrauch auseinander setzen oder sich auf Spurensuche machen will (oder muss), um herauszufinden, woher eine unerwünschte E-Mail stammt, dem seien [8] und [9] empfohlen.
97
Sichere E-Mail
5.5
E-Mail-Archivierung
Aufgrund der bereits genannten Vorteile hat sich E-Mail in der Geschäftswelt als Kommunikationsmittel etabliert. Neben dem Einsatz zur - oft formlosen - innerbetrieblichen Kommunikation wird E-Mail heute auch zur Abwicklung einer Vielzahl von Geschäften und zur Übermittlung von Dokumenten (Offerten, Auftragsbestätigungen, Bestellungen, Rechnungen, ...) eingesetzt. Worüber sich aber viele nicht richtig im Klaren sind, ist die Tatsache, dass E-Mail als zeitgemäße Form der Geschäftskorrespondenz, in vielen Ländern entsprechenden gesetzlichen Regelungen unterworfen ist und damit hinsichtlich Art und Dauer der gesetzlichen Aufbewahrung anderen Dokumenten gleichgestellt ist. E-Mail wird auch immer öfter als Beweismittel vor Gericht herangezogen . 1
Auch wenn in einzelnen Ländern natürlich unterschiedliche Gesetzgebungen gelten, so sind in der Regel folgende Aspekte zu beachten: Verantwortung, Lesbarmachung digitaler Inhalte, Sicherstellung der Unveränderbarkeit, Fristen. Verantwortung
Die Verantwortung für die gesamte Schriftgutverwaltung eines Unternehmens ist in den entsprechenden Gesetzen geregelt. Es handelt sich dabei um eine Verantwortung auf der Stufe von Geschäftsleitung/Verwaltungsrat.
Lesbarmachung
Es muss sichergestellt sein, dass die Unterlagen während der Dauer der Aufbewahrungsfrist jederzeit innerhalb angemessener Frist wieder lesbar gemacht werden können. 1
98
So spielte innerbetriebliche E-Mail in einigen spektakulären Rechtsfällen in den USA eine wichtige Rolle. Es ist dort aufgrund von Verletzungen der Aufbewahrungspflicht auch bereits zu ersten Verurteilungen mit sehr hohen Bußen gekommen.
Sichere E-Mail Während der Dauer der Aufbewahrung muss sichergestellt Unveränderbarwerden, dass die entsprechenden Inhalte nicht verändert wer- keit den können. Das kann einerseits mittels Aufzeichnung auf unveränderbaren Datenträgern geschehen (z. B. CD-ROM) oder durch Einsatz geeigneter technischer Hilfsmittel (z. B. digitale Signatur). Die Aufbewahrungsfristen sind in den entsprechenden Geset- Fristen zen geregelt, sie betragen bis zu zehn Jahren. Geschäftliche E-Mail ist also mit gleicher Sorgfalt zu behandeln wie die übrige Korrespondenz auch! In Kapitel 8 wird vertieft auf die Problematik Datenarchivierung eingegangen.
5.6
Übermittlung vertraulicher Inhalte
5.6.1
Schutzelemente bei herkömmlicher Post
Bei der Benutzung herkömmlicher Post zur Übermittlung von nicht besonders schutzwürdigen Dokumenten haben sich eine Reihe von Vorgehensweisen etabliert, die als Sicherheitselemente zum Schutze der Privatsphäre auf breiter Basis akzeptiert sind und in der Praxis sehr weite Verbreitung gefunden haben (diese sind selbstverständlich mit technisch vergleichsweise einfachen Maßnahmen zu „brechen"). Dazu gehören insbesondere: Verwendung eines Umschlages, Visuelle Prüfung, Unterschrift. Die Verwendung eines Umschlages sichert die Vertraulichkeit Umschlag des Inhaltes. Auf dem Weg vom Absender zum Empfänger besteht keine Einsicht auf den Inhalt. Der Schutz der Privatsphäre ist damit unter normalen Bedingungen gewährleistet.
99
Sichere E-Mail Wo das nicht gewünscht oder notwendig ist, können Informationen auch „offen", das heißt auf dem Wege vom Absender zum Empfänger einsehbar, und in der Regel zu geringeren Kosten übermittelt werden (z. B. in Form einer Postkarte oder eines Faltprospektes). Visuelle
Prüfung Durch einfache visuelle Prüfung beim Empfänger lässt sich in der Regel feststellen, ob ein Dokument auf dem Weg vom Absender zum Empfänger verändert wurde.
Unterschrift
Die Unterschrift schließlich ist als Identifikations- und Authentisierungsmerkmal des Absenders weithin akzeptiert. Alle diese Elemente existieren bei der elektronischen Post im Normalfall nicht. Wer also schutzwürdige Informationen und Dokumente elektronisch übertragen will oder muss, kommt nicht darum herum, besondere Vorkehrungen zu treffen.
5.6.2
Grundprinzipien der Verschlüsselung
Die für eine sichere Übermittlung von elektronischen Nachrichten notwendigen technischen Lösungsmöglichkeiten sind vorhanden (Stichworte: Verschlüsselung und elektronische Signatur). Leider erweist sich deren Anwendung in der Praxis aber als nicht besonders einfach, sie werden darum heute erst relativ selten eingesetzt. Das Problem besteht darin, dass eine Nachricht, die vom Absender verschlüsselt wird, von den Empfängern (und nur von diesen!) wieder entschlüsselt werden muss. Zum interessanten, aber auch anspruchsvollen Thema Verschlüsselung existiert eine sehr reichhaltige Literatur. Für eine Einführung können beispielsweise [10] und [11] empfohlen werden. Hier wird im Folgenden deshalb nur auf das Grundprinzip und die praktische Anwendung eingegangen. Im betrieblichen Alltag sind die Benutzer an den technischen und mathematischen Grundlagen naheliegenderweise nicht interessiert, sie verlangen lediglich, „dass es sicher und einfach funktioniert".
100
Sichere E-Mail Grundsätzlich kann man zwischen zwei Arten von Verschlüsselung unterscheiden: Symmetrisch, Asymmetrisch. Bei der symmetrischen Verschlüsselung werden für das Ver- Symmetrische und Entschlüsseln dieselben Schlüssel verwendet. Absender Verschlüsselung und Empfänger müssen im Besitz dieses Schlüssels sein. Er muss deshalb sicher übermittelt werden können. Diese Schlüsselverteilung wird umso komplizierter, je mehr Kommunikationspartner involviert sind. Bei der asymmetrischen Verschlüsselung werden zum Ver- Asymmetrische bzw. Entschlüsseln zwei verschiedene, voneinander abhängige Verschlüsselung Schlüssel eingesetzt. Da einer der beiden Schlüssel öffentlich bekannt gemacht werden kann, spricht man auch von öffentlichen Schlüsseln („public keys"). Bei der Anwendung von öffentlichen Schlüsseln gibt es für alle Kommunikationsteilnehmer ein Schlüsselpaar, bestehend aus einem öffentlichen und einem geheimen Schlüssel. Was mit dem einen Schlüssel verschlüsselt wurde, kann nur mit dem dazugehörigen anderen Schlüssel entschlüsselt werden. Zur Verschlüsselung wird der öffentliche Schlüssel des Empfängers, zur Entschlüsselung der geheime Schlüssel des Empfängers benutzt. Den öffentlichen Schlüssel zu kennen reicht nicht aus, um die damit verschlüsselten Nachrichten lesen zu können. Der geheime Schlüssel lässt sich nämlich (nach heutigem Kenntnisstand) nicht aus dem öffentlichen Schlüssel berechnen.
101
Sichere E-Mail
Abbildung 5-2
Asymmetrische
Verschlüsselung Verschlüsselte Nachricht
Öffentlicher Schlüssel des Empfängers
Elektronische Unterschrift
Unterschrift
Privater Schlüssel des Empfängers
Unverschlüsselte Nachricht
Unverschlüsselte Nachricht
Absender
Empfänger
Asymmetrische Verschlüsselungsverfahren mit öffentlichen Schlüsseln bieten auch die Möglichkeit, eine Nachricht elektronisch zu unterschreiben. Dazu kann der Absender einer Nachricht mit seinem privaten Schlüssel der Nachricht eine „Unterschrift" anfügen und jeder Empfänger kann die Echtheit dadurch prüfen, dass er versucht, die Unterschrift mit dem öffentlichen Schlüssel des Absenders zu überprüfen. Wenn dies gelingt, ist die Nachricht mit dem privaten Schlüssel „unterschrieben" worden und wurde zwischenzeitlich nicht verändert. Aus Sicherheitsgründen ist natürlich entscheidend, dass die privaten Schlüssel geheim gehalten werden. Es darf auch nicht außer acht gelassen werden, dass die Verwaltung und der Austausch der öffentlichen Schlüssel durchaus erhebliche Aufwendungen verursachen können [12]. Es gibt heute jedoch eine Reihe von öffentlichen und privaten Organisationen, die solche Schlüssel verwalten und deren Echtheit durch Zertifikate garantieren. Asymmetrische Verfahren dienen oft auch dazu, Schlüssel für symmetrische Verfahren zu übermitteln.
102
Sichere E-Mail
5.6.3
E-Mail-Verschlüsselung in der Praxis
Trotz einer Vielzahl von Vorschlägen haben sich in der Praxis bisher im Wesentlichen nur die folgenden zwei Verfahren auf breiterer Basis durchgesetzt: PGP, S/MIME. Zu beiden findet man im WWW eine Fülle von Informationen (u. a. auch Installations- und Bedienungshinweise). Pretty Good Privacy (PGP) basiert auf einer privaten Initiative. PGP Die Software ist frei verfügbar. PGP basiert auf einer Reihe von bekannten kryptografischen Verfahren und bietet Verschlüsselung, digitale Unterschriften und Kompression. Für einen praxisnahen Einsatz von PGP muss eine Integration in bestehende E-Mail-Clients erfolgen. Für alle weit verbreiteten E-Mail-Clients stehen heute aber entsprechende Programme zur Verfügung [13]. S/MIME (secureMIME) ist eine Erweiterung des MIME- S/MIME Standards. Es handelt sich dabei um einen Standard der IETF. S/MIME verwendet ebenfalls eine Reihe bekannter kryptografischer Verfahren. Auch S/MIME muss selbstverständlich für eine praxisnahe Benutzung in bestehende E-Mail-Clients integriert werden. Für eine sichere Übermittlung vertraulicher Inhalte führt kein Weg am Einsatz von Verschlüsselung und digitaler Unterschrift vorbei. Der Einsatz von PGP, S/MIME oder auch anderer Verfahren verursacht zwar aufgrund des dazu notwendigen Schlüsselmanagements einen gewissen Mehraufwand, dieser ist jedoch aus Sicherheitsüberlegungen zu akzeptieren. Es darf aber nicht vergessen werden, dass neben einer zuverlässigen Installation und einer richtigen Integration in bestehende E-Mail-Systeme auch die Schulung der E-Mail-Benutzer eine sehr wichtige Aufgabe ist. Die gegebenenfalls vorhandenen technischen Möglichkeiten, E-Mails sicher zu übertragen, müssen auch aktiv eingesetzt und benutzt werden.
103
Sichere E-Mail
5.7 Empfehlung 5-1 Erstellen
Empfehlungen für Praktiker Sie
eine
E-Mail-Benutzungsrichtlinie.
In einer E-Mail-Richtlinie ist Systems detailliert zu regeln.
die
Benutzung
des
E-Mail-
E-Mail ist ein sehr nützliches Hilfsmittel, birgt bei unsachgemäßem Einsatz aber eine ganze Reihe von Gefahren. Es sind deshalb insbesondere folgende Punkte zu regeln: Benutzung für private Zwecke, Umgang mit Anhängen, Umgang mit vertraulichen Informationen, Verhalten bei Problemen (SPAM, Mail-Bombing, hoaxes, ...), Verwendung der Firmenadresse, Verhalten während Abwesenheiten (Weiterleitung, automatische Abwesenheitsmeldungen, ...), Pflege von Verteilerlisten. Empfehlung 5-2 Regeln Sie das Archivieren E-Mail-Nachrichten sind zu dokumente auch.
von
E-Mail-Nachrichten.
behandeln
wie sonstige
Firmen-
E-Mail wird heute regelmäßig auch zur Abwicklung von Geschäftsvorfällen eingesetzt. E-Mail-Nachrichten sind deshalb hinsichtlich Datensicherung und Archivierung gleich zu behandeln wie sonstige elektronische Geschäftsdokumente auch. Für E-Mails besteht in vielen Ländern auch bereits eine gesetzliche Aufbewahrungspflicht. Die Archivierung ist nicht durch einzelne Benutzer, sondern zentral durchzuführen.
104
Sichere E-Mail
Empfehlung 5-3
Prüfen Sie alle E-Mail-Nachrichten auf Malware. Sämtlicher E-Mail-Verkehr ist auf Malware zu prüfen. E-Mail stellt heute eines der am häufigsten eingesetzten Mittel für die Verbreitung von Malware dar. Sämtliche elektronischen Nachrichten sind deshalb bei Versand/Empfang zu überprüfen.
Empfehlung 5-4
Regeln Sie den Einsatz von Web-Mail. Die Verwendung von Web-Mail Richtlinie geregelt werden.
sollte
im
Rahmen
einer
Web-Mail erfreut sich unter Privaten großer Beliebtheit, vor allem im Zusammenhang mit Freemailern (Anbieter von Gratis-E-Mail-Adressen). Im betrieblichen Umfeld soll der Zugriff auf firmeninterne Briefkästen via WWW nach Möglichkeit aber unterbunden werden (Ausnahmen, z. B. für Außendienstmitarbeiter, sind denkbar, erfordern aber eine sorgfältige Planung und Implementation, am besten über ein VPN). Setzen Sie
Empfehlung 5-5
Verschlüsselung ein.
Die Übermittlung erfolgen.
vertraulicher
Inhalte
muss
verschlüsselt
Vertrauliche Nachrichten müssen verschlüsselt übermittelt werden. Dabei ist besonders darauf zu achten, dass nicht nur die Nachrichten selbst, sondern auch alle Anhänge verschlüsselt werden. Die Verwahrung privater Schlüssel ist genau zu regeln. Betreiben Sie einen eigenen
Mailserver.
Empfehlung 5-6
Der Betrieb eines eigenen Mail-Servers reduziert die mit der Benutzung von E-Mail verbundenen Risiken. Der Betrieb eines eigenen E-Mail-Servers verursacht zwar Aufwendungen, erlaubt jedoch die firmeninterne Nachrichten-
105
Sichere E-Mail Übertragung, ohne dass Dritte potenziell Einsicht nehmen können. E-Mail-Richtlinien lassen sich wesentlich einfacher durch entsprechende technische Maßnahmen durchsetzen (Filtern von Anhängen, Prüfen auf Malware, ...). Empfehlung 5-7 Bilden Sie die Benutzer aus. Die
Verwendung von E-Mail muss gelernt werden.
E-Mail ist ein äußerst leistungsfähiges Kommunikationsmittel. Vielen Benutzern fehlen aber oft elementare Kenntnisse über die damit verbundenen Gefahren. Im Rahmen einer einfachen Schulung muss das Bewusstsein über Gefahren gefördert werden. Empfehlung 5-8 Schützen Mobile
Sie
mobile
E-Mail-Clients
E-Mail-Clients. müssen
speziell geschützt
werden.
Heute werden zum Senden und Empfangen von E-Mails auch mobile Geräte eingesetzt. Dazu zählen nicht nur books, sondern insbesondere auch Mobiltelefone und Beim Einsatz solcher Geräte sind zusätzliche Gefahren stahl, Zerstörung, ...) angemessen zu berücksichtigen.
häufig NotePDAs. (Dieb-
Empfehlung 5-9 Setzen Sie SPAM-Filter ein. SPAM ist mit Hilfe von Filtern von der normalen E-Mail zu trennen. Das Filtern von SPAM geschieht am besten bereits auf dem E-Mail-Server durch Einsatz geeigneter Werkzeuge.
106
Sichere E-Mail
5.8 [1]
[2]
[3] [4] [5] [6] [7] [8] [9] [10] [11] [12]
Literatur Raepple, M., Sicherheitskonzepte für das Internet. Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung. 2. ed. 2001, Heidelberg: dpunkt. Klau, P., Hacker, Cracker, Datenräuber. Datenschutz selbst realisieren, akute Gefahren erkennen, jetzt Abhilfe schaffen. 2002, Braunschweig: Vieweg. RFC 2822 - Internet Message Format, http://www.faqs.org/rfcs/rfc2822.html RFC 2821 - Simple Mail Transfer Protocol, http://www.faqs.org/rfcs/rfc2821.html SPAM and the Internet, http://www.spam.com/ci/ci_in.htm Linke, A., Spam oder nicht Spam? E-Mails sortieren mit Bayes-Filtern. ct, 2003(17). Wehr, H., Nie wieder Spam! Kampf den Werbemails. 2003, München: Markt + Technik. FAQ: E-Mail-Mißbrauch, http://www.faqs.org/faqs/de-net-abuse/mail-faq/ FAQ: E-Mail-Header lesen und verstehen, http://sites.inka.de/ancalagon/faq/headerfaq.txt Pfleeger, C.P. und Pfleeger, S.L., Security in Computing. 3rd ed. 2003, Upper Saddle River, NJ: Prentice Hall PTR. Eckert, C, IT-Sicherheit. Konzept - Verfahren Protokolle. 2nd ed. 2003, München: Oldenbourg. Hammer, V., Die 2. Dimension der IT-Sicherheit. Verletzlichkeitsreduzierende Technikgestaltung am Beispiel von Public Key Infrastrukturen. 1999,
[13]
Braunschweig: Vieweg. The International PGP Home Page, http://www.pgpi.org/
107
6
Malware
6.1
Einleitung
Die Verbreitung von so genannter Malware (der Begriff ist eine Kurzform des englischen Ausdruckes „malicious Software") hat in den letzten Jahren sehr stark zugenommen. Schutzmaßnahmen, aber vor allem auch die Behebung von aufgetretenen Schäden, verursachen mancherorts ganz erhebliche Kosten. Obwohl davon ausgegangen werden kann, dass man heute von der Existenz solcher unerwünschter Software weiß, und viele leider auch bereits unerfreuliche persönliche Erfahrungen sammeln mussten, ist das Wissen über Funktionsweise, Verbreitung, Schutz und Wiederherstellung nach einem Schadenfall noch völlig ungenügend. Dazu beigetragen hat zweifellos auch eine oft unsachliche, gelegentlich sogar falsche Berichterstattung über einzelne Vorkommnisse in verschiedenen Medien.
6.2
Was ist Malware?
Zum Begriff Malware existiert keine allgemein akzeptierte und umfassende Definition. Zu viele verschiedene Arten von Software fallen aus Benutzersicht unter den Begriff „schädlich" (und laufend kommen neue hinzu) . 1
1
Fehlerbehaftete Software (also Software, die so genannte „bugs" enthält), wird nicht zu Malware gezählt, obwohl sie - je nach Fehler - aus Benutzersicht durchaus auch als schädlich bezeichnet werden kann.
109
Malware Arten von Es herrscht jedoch weitgehend Konsens, dass zumindest folgenMalware de Arten von Software zu Malware zählen: Viren, Würmer, Trojanische Pferde, in der Regel (aber fälschlicherweise!) als „Trojaner" bezeichnet. Für eine erweiterte Fassung des Begriffes lassen sich auch folgende Arten dazu zählen: DoS, DDoS-Agenten, Spezielle Ausprägungen von mobilem Code (u. a. Active-X Controls, Java-Applets, Web-Bugs), Rootkits, Dialer, Adware und Spyware (hier gehen die Ansichten zwischen Urhebern und Betroffenen über die Schädlichkeit natürlich auseinander), Easter-Eggs, Jokes. Je nach Quelle findet man noch eine ganze Reihe weiterer Bezeichnungen für spezielle Arten (z. B. Bacterias, Zombies oder Rabbits, siehe auch [1]). Neben den genannten Softwarearten sind im Zusammenhang mit Malware auch folgende Begriffe wichtig: Logik- und Zeitbomben, Mailbomben, Trapdoors, Backdoors. Logikbombe Zeitbombe
110
Unter einer Logikbombe versteht man eine Menge von Programmanweisungen, die ausgeführt werden, sobald eine gewisse Bedingung erfüllt ist. Zeitbomben bilden einen Spezialfall davon, da zu ihrer Auslösung ein bestimmtes Kalenderdatum oder eine bestimmte Uhrzeit herangezogen wird.
Malware Von Mailbomben spricht man, wenn eine sehr große Anzahl Mailbombe von E-Mails an denselben Empfänger versandt wird. Mit Backdoor oder Trapdoor bezeichnet man eine Menge von Backdoor Programmanweisungen, die einen unautorisierten geheimen Trapdoor Zugriff auf Funktionen eines Systems ermöglicht.
6.3
Meilensteine der Entwicklung
Eine umfassende Darstellung der historischen Entwicklung würde wohl ein eigenes Buch füllen (interessierte Leser finden eine recht breite Übersicht beispielsweise in [1]). Anhand der folgenden Auswahl von einigen wichtigen Ereignissen sollen hier nur ein paar „Meilensteine" der Entwicklung aufgezeigt werden: 1981: Erster Virus mit Breitenwirkung Apple-II-Rechnern).
(aufgetreten auf
1984: Dissertation von Fred Cohen. Erste umfassende theoretische Basis des Virenkonzeptes [2]. 1986: Erste Viren auf Arbeitsplatzrechnern mit größerer Verbreitung. 1988: Internet-Wurm (nach dem Erfinder auch „MorrisWurm" genannt). Eine umfassende Analyse hierzu findet man in [3]. 1989: Das Virus Bulletin wird erstmals veröffentlicht. 1990: Erste polymorphe Viren. 1991: Auftauchen von „Virenbausätzen". Der „Michelangelo"-Virus erregt breites öffentliches Interesse. 1995: Microsoft-Office-Makro-Viren. 1996: Programme mit Backdoors für UNIX (z. B. Netcat). 1998: Back Orifice (Fernsteuerung von Windows-Systemen via Netzwerk).
111
Malware 1999: „Melissa" (Kombination Virus/Wurm mit sehr schneller Ausbreitung). 1999: Erste DDoS-Attacken erregen öffentliche Aufmerksamkeit (z. B. TrinOO, TFN - Tribe Flood Network). 2000: Der „I love you"-Virus verursacht sehr große Schäden. Viren mit „download"-Funktionalität. 2001: „Nimbda" und „Code Red" erregen breites öffentliches Interesse. 2003: „Slammer" (Wurm mit bis dahin schnellster bekannter Verbreitung). 2004: Die Würmer „Netsky" und „Sasser" richten große Schäden an. Der Autor von Sasser wird verhaftet.
Die Entwicklung schreitet leider sehr rasch voran. Viele der bekannten Systemschwächen werden heute auch kombiniert ausgenutzt.
6.4
Malware-Arten - Klassifikation
Es ist wichtig zur Kenntnis zu nehmen, dass man in der Praxis eine Vielzahl von Ausprägungen von Malware findet, sehr oft auch so genannte „hybride" Formen, das heißt Programme, die Merkmale verschiedener Arten umfassen. Eine präzise Zuordnung zu einer einzelnen Art stößt deshalb oftmals rasch an Grenzen. Mögliche Klassifikationsmerkmale für Malware sind aber beispielsweise die Abhängigkeit von einem so genannten Wirt (auch „host" genannt), die Fähigkeit zur Selbstreplikation sowie die Art der Verbreitung (innerhalb eines einzelnen Rechnersystems oder über ein Netzwerk). Eine umfassende Darstellung verschiedener Malware-Arten und viele Hinweise, wie man sich dagegen schützen kann, sind in [4] zu finden.
112
Malware
6.4.1
Viren
(Computer-)Viren bilden die älteste Art von Malware. Zu Viren existieren auch, im Gegensatz zu den anderen Malware-Arten, einige theoretische Grundlagen (siehe z. B. [5]). Ein Virus ist ein nicht selbständiges, aber selbstreplizierendes Programm. Ein Virus untersucht bei seiner Ausführung seine Umgebung und versucht, sich an einen so genannten „Wirt" (Programm- oder Datendatei) anzuhängen und sich dadurch weiter zu verbreiten.
Aufbau Viren sind grundsätzlich aus folgenden Teilen aufgebaut, wobei nicht alle Teile vorhanden sein müssen: Erkennungsteil, Installations-/Infektionsteil, Schadensteil („Payload"), Bedingungsteil („Trigger"), Tarnungsteil. Im Erkennungsteil wird geprüft, ob schon eine Version des Erkennungsteil Virus vorhanden ist. Die meisten Viren versuchen, eine „Mehrfachinfektion" zu vermeiden, einerseits um die Ausbreitungsgeschwindigkeit nicht unnötig zu reduzieren, andererseits, weil eine Mehrfachinfektion auch die Wahrscheinlichkeit einer Entdeckung erhöht. Der Installations-/Infektionsteil umfasst die Funktionalität, die Infektionsteil der Virus anwendet, um sich weiter zuverbreiten. Dieser Teil ist bei allen Viren in irgendeiner Form vorhanden. Der Schadens- oder Payload-Teil umfasst diejenigen Anweisun- Schadensteil gen, die zusätzlich zur Replikation zur Ausführung gelangen. Es ist anzumerken, dass es eine Reihe von Viren gibt, die keinen Payload aufweisen, die sich also lediglich replizieren.
113
Malware Bedingungsteil
Der Bedingungsteil umfasst den Mechanismus, der festlegt, wann der Payload-Mechanismus zur Ausführung gelangt. Auch dieser Teil ist nicht immer vorhanden.
Tarnungsteil
Der Tarnungsteil umfasst Funktionen, die dazu dienen, die Entdeckung des Virus zu erschweren. Dabei reichen die angewandten Techniken von sehr einfachen Maßnahmen, wie dem Rücksetzen von Dateiattributen, über das Abfangen von Betriebssystemaufrufen (beispielsweise für das Abfragen von Dateigrößen) bis hin zu sehr ausgefeilten Techniken, um vorhandene Antiviren-Programme zu täuschen.
Virenarten Viren lassen sich unter anderem unterscheiden nach Art des benutzten Wirtes, nach der Art des verwendeten Codes oder nach ihrem „Selbstschutz". In der Praxis trifft man sehr oft hybride Formen an, die über verschiedene, kombinierte Eigenschaften verfügen. Bei der Art des benutzten Wirtes kann man unterscheiden nach: Boot-Viren, Datei-Viren, Multi-partite Viren (Mischform). Boot-Viren
114
Beim Aufstarten eines Arbeitsplatzrechners werden zuerst Anweisungen des so genannten BIOS (Basic-Input-OutputSystem) ausgeführt. Beispielsweise müssen zuerst gewisse Geräte initialisiert werden. Anschließend wird das eigentliche Betriebssystem gestartet. Das erfolgt durch einen Programmcode, (auch „Urlader" genannt) der vom BIOS aufgerufen wird (siehe auch [6]). Dieser Programmcode befindet sich an fester Position eines „boot-fähigen" Speichermediums (Wechseldatenträger, Harddisk, CD-ROM, ...). Man sprich in diesem Zusammenhang vom Master-Boot-Record (MBR). Boot-Viren hängen sich an diesen Startcode an (oder verschieben diesen und nehmen dessen Platz ein) und werden so bei jedem Systemstart mitgeladen und ausgeführt. Sie bleiben nach dem Start resident im Speicher. Sobald ein neuer Datenträger, der bootfähig und
Malware beschreibbar ist, eingelegt wird, wird dieser auch infiziert. Boot-Viren können sich so zwischen verschiedenen Systemen weiterverbreiten. Dateiviren benutzen zur Verbreitung andere Dateien (ausführ- Dateiviren bare Programme und/oder Datendateien, s. u.). Eine - allerdings noch wenig verbreitete Variante - von Dateiviren sind so genannte Sourcecode-Viren. Das sind Viren, die Dateien befallen, die Sourcecode enthalten. Auf vielen Systemen findet sich eine Vielzahl solcher Dateien (Shell-Scripts, Code der vom Windows Scripting Host ausgeführt wird, Perlund PHP-Scripts u. v. a. m.). Multi-partite Viren sind Viren, die sowohl Dateien als auch Multi-partite Bootsektoren infizieren.
Viren
Bei der zur Entwicklung eines Virus verwendeten Sprache lassen sich folgende Arten unterscheiden: Binärcode-Viren, Makroviren & Skriptviren. Binärcode-Viren sind in einer beliebigen Programmiersprache Binärcode-Viren entwickelt (sehr häufig in Assembler) und werden vor ihrer Ausführung in Maschinensprache übersetzt. Makroviren sind eine vergleichsweise neue Variante, sie sind Makroviren aber bereits sehr zahlreich vorhanden (nicht zuletzt, da sie recht einfach zu programmieren sind). Sie sind in einer so genannten Makrosprache entwickelt, die in der Regel interpretiert (statt übersetzt) wird, und verbreiten sich über Datendateien. Ein typischer Vertreter einer solchen Makrosprache, die häufig zur Entwicklung von Viren dient, ist VBA (Visual Basic for Applications). Es ist wichtig festzuhalten, dass Makro-Viren oft plattformunabhängig sind, da sie zu ihrer Ausführung lediglich eine entsprechende Laufzeitumgebung benötigen, die oft auf verschiedenen Plattformen vorhanden ist.
115
Malware Tarnung Ein Virus ist umso erfolgreicher, je länger er unentdeckt bleibt. Virenprogrammierer haben deshalb eine ganze Reihe von Techniken entwickelt, um ihre Geschöpfe vor Entdeckung zu schützen. Dabei werden unter anderem folgende Techniken eingesetzt: Stealth-Techniken („Tarnkappen-Viren"), Polymorphismus und Metamorphismus, Beeinträchtigung von Anti-Malware. Stealth-Techniken
Unter Stealth-Techniken versteht man Maßnahmen, die ein Virus anwendet, um möglichst unentdeckt zu bleiben. StealthViren sind in der Regel speicherresident. Sie sind in der Lage, Zugriffe auf eine infizierte Datei so abzufangen und zu manipulieren, dass der Eindruck entsteht, eine Datei sei nicht infiziert. So werden beispielsweise Systemzugriffe auf Eigenschaften wie Dateigröße, Dateidatum, Prüfsummen, aber natürlich auch auf den eigentlichen Inhalt der Datei manipuliert. Vereinfacht gesagt, erfolgt vor jedem Dateizugriff durch den StealthVirus eine „Desinfektion" (wobei anschließend natürlich wieder neu infiziert wird). Zu den (einfachen) Stealth-Viren gehören auch die so genannten Companion-Viren. Das sind Viren, die anstelle eines Wirtes ausgeführt werden und die am Ende ihres Ablaufes dann das Wirtsprogramm ausführen, damit die Manipulation nicht auffällt. Beispielsweise lässt sich so die Ausführungsreihenfolge von identisch benannten Programmen auf gewissen Betriebssystemen ausnutzen (z. B. .COM -> .EXE ->.BAT).
116
Malware
Infektion
durch
Kopie
Abbildung 6-1 Virus Starten des Wirtes
Wirt
Virus
Wirt
Von Polymorphismus spricht man, wenn sich die Gestalt des Polymorphismus Virus bei jeder Neuinfektion ändert. Das kann sowohl durch Neuanordnen des Virencodes wie auch durch Verschlüsseln des Codes geschehen. Da sich mit einer Programmiersprache ein gewünschtes Programmverhalten in der Regel auf viele verschiedene Arten formulieren lässt, kann durch geeignetes Neuanordnen und Einstreuen von „Null-Anweisungen" (Anweisungen, die keinen Effekt auf das Ergebnis haben) eine Vielzahl verschiedener Viren mit derselben Funktionalität erzeugt werden. So führen beispielsweise die folgenden Anweisungsfolgen alle zum selben Ergebnis: Beispiel für polymorphen MOV A,R1 ADD B,R1 ADD C,R1 SUB 4,R1 MOV R1,X
Code MOV A,R1 NOP ADD B,R1 NOP A D D C,R1 NOP SUB 4,R1 NOP MOV R1,X
Abbildung 6-2 MOV A,R1 A D D #0,R1 A D D B,R1 OR R1.R1 A D D C,R1 SUB #4,R1 JMP.+1 MOV R1,X
Auch einfachere Techniken, wie beispielsweise das Verändern der Subject-Zeile vor jedem Versand einer E-Mail kann als Polymorphismus bezeichnet werden. Heute sind entsprechende Softwarewerkzeuge frei verfügbar, sodass das Einbinden solcher Fähigkeiten auch für weniger versierte Entwickler recht
117
Malware einfach möglich ist (z. B. die Mutating Engine, MtE oder die Trident Polymorphic Engine, TPE). Metamorphismus
Anti-Malware stören
Von Metamorphismus spricht man, wenn sich die Funktion des Virus ändert. Das kann beispielsweise dadurch geschehen, dass vor oder nach der Neuinfektion eine neue Version des Schadensteiles erzeugt oder beispielsweise via Internet heruntergeladen wird. Manche Viren versuchen ihrer Erkennung dadurch zu entgehen, indem sie die auf einem System vorhandenen Anti-Malware-Programme entweder ganz außer Kraft setzen oder zumindest deren Wirksamkeit vermindern (beispielsweise, indem das Aktualisieren von Signaturen gestört wird).
Weiterverbreitung von Viren Ein ausführbares Virus auf einem Speichermedium tut an sich noch nichts. Um sich weiter zuverbreiten, muss der Virencode ausgeführt werden. Dazu existieren zahllose Möglichkeiten. Einmal gestartet, sucht sich ein Virus einen entsprechenden Wirt, prüft in der Regel, ob dieser bereits infiziert wurde, und wenn nicht, wird dieser um den Virencode erweitert. Dabei gelangen verschiedene Varianten zur Anwendung.
Abbildung 6-3 Infektion
durch
Überschreiben Virus
Wirt
Virus
Wirt
Diese Form von Infektion (typisch für frühe und sehr primitive Viren) ist zwar einfach zu implementieren, aber auch recht einfach zu entdecken, da das Wirtsprogramm dabei zerstört wird. Eine häufigere Variante ist das Voranstellen (oder Anhängen) des Virus an den Wirt.
118
Malware
Infektion
durch
Abbildung 6-4
Voranstellen Virus
Virus
Wirt
Wirt
Diese Variante ist langsam bei großen Wirten und auch recht einfach zu entdecken, da dadurch die Originalgröße des Wirtes verändert wird. Raffiniertere Methoden integrieren den Virus deshalb in das Wirtsprogramm. Beispielsweise können Teile des Wirtes umcodiert oder komprimiert werden, um dazu den notwendigen „Platz" zu schaffen: Infektion
durch
Wirt
Abbildung 6-5
Integration
Virus
Wirt
Hoax Zum Schluss darf auch der Begriff „Hoax" (engl. für Scherz, Jux, Zeitungsente, ...) nicht unerwähnt bleiben. Bei Hoaxes handelt es sich nicht um Viren, es sind vielmehr Warnungen, die in Form von E-Mails verschickt werden und die die Empfänger vor einem angeblich brandneuen und extrem gefährlichen Virus warnen, für den es (momentan) kein Gegenmittel gibt. Dabei wird der Empfänger einer solchen Nachricht aufgefordert, diese an all seine Bekannten weiterzuschicken. Hoaxes sind nichtsdestotrotz schädlich, da sie einerseits die Empfänger verunsichern, deren Arbeitszeit binden, aber auch unnötig Ressourcen belegen. Einer der ersten Vertreter dieser Gattung mit großer Verbreitung war der so genannte „Good Times"-Hoax (s. a. [7]).
119
Malware
Das Erkennen von Hoaxes ist nicht immer einfach. Häufig treffen jedoch folgende Kriterien zu: Die Betreff-Zeile (Subject) enthält oft den Begriff „Virus Warnung" oder Ähnliches. Der Empfänger wird aufgefordert, die „Warnung" möglichst viele E-Mail-Empfänger weiterzuleiten.
an
Die Wirkung des Virus wird oft sehr drastisch dargestellt und beinhaltet zum Teil Dinge, die ein Computer-Virus gar nicht kann (z. B. Hardware beschädigen). Häufig wird als Quelle eine namhafte Firma oder Organisation genannt, um die Glaubwürdigkeit zu verbessern. Entsprechende Recherchen führen aber ins Leere. Oft finden sich unpräzise Zeitangaben wie „gestern" oder „am letzten Donnerstag", die keinen Bezug zu einem bestimmten Datum haben.
Abbildung 6-6 Beispiel eines Hoax („Budweiser Frog-Hoax") Someone is sending out a very desirable screensaver. The Budweiser Frogs. If you download it, you will lose everything on your hard drive. It will crash, and someone from the internet will get your name and password! DO NOT DOWNLOAD THIS UNDER ANY CIRCUMSTANCES !!!!!!!!!!!
IT JUST WENT INTO CIRCULATION YESTERDAY. This is a new, very malicious virus and not many people know about it yet. This information was announced yesterday morning from MICROSOFT. Please share this information with everyone that might access the internet. Once again, pass this along to EVERYONE in your address book so that this may be stopped. Also do not open or even look at any mail that says RETURNED or UNABLE TO DELIVER. This virus will attach itself to your computer components and render them useless. Immediately delete mail items that say this. AOL (America on Line) has said that this is a very dangerous virus and that there is no known remedy for it at this time. regards, helpdesk. Administrator-Harsha
120
Malware
6.4.2
Würmer
Ein Wurm ist ein selbständiges, selbstreplizierendes Programm. Im Gegensatz zu einem Virus benötigt ein Wurm also kein Wirtsprogramm. Würmer verbreiten sich über Netzwerke. Dabei wird als Verbreitungsmechanismus oft E-Mail benutzt, es gelangen aber auch ganz andere Mechanismen zur Anwendung. Würmer sind aber sonst sehr ähnlich wie Viren aufgebaut. Sie werden deshalb auch oft mit diesen verwechselt. Es gibt selbststartende Würmer, die sich ohne eine Benutzerinteraktion verbreiten (dazu gehörte beispielsweise auch der berühmte Morris-Wurm [3]). Die meisten werden jedoch (meist unabsichtlich) durch Benutzer gestartet (z. B. durch Anklicken eines E-Mail-Anhangs). Würmer verbreiten sich teilweise außerordentlich schnell (so hat der auch als „high-speed-worm" bezeichnete Wurm „Slam¬ mer" innerhalb weniger Stunden zehntausende von Systemen befallen [8]). Aufgrund der Verbreitung via Netzwerke, was ein Befall von sehr vielen Systemen in sehr kurzer Zeit erlaubt, ist ein Zurückverfolgen von Würmern in der Regel sehr schwierig. Würmer werden deshalb sehr gerne als Transportmittel zur Verbreitung von DDoS-Agenten eingesetzt. In Zukunft ist mit weiteren Entwicklungen hinsichtlich der Verbreitungsgeschwindigkeit zu rechnen (siehe z. B. [9]).
6.4.3
Trojanische Pferde
Trojanische Pferde sind Programme, die neben nützlichen Funktionen auch nicht dokumentierte schädliche Funktionen enthalten und diese ohne Wissen der Anwender ausführen. Trojanische Pferde enthalten keinen Replikationsmechanismus. Sie gelangen in der Regel nur innerhalb von vernetzten Systemen zum Einsatz. Trojanische Pferde werden oft per E-Mail verbreitet (in Form eines Anhangs). Sie können sich aber auch in Spielen, Hilfsprogrammen, Bildschirmschonern u. a. verstecken.
121
Malware Beispiele von Trojanischen Pferden: Passwort-Sniffer: Programme, die ohne Wissen der Benutzer Passwörter mitlesen und beispielsweise an eine E-MailAdresse übermitteln. Dazu gehören auch das Mitlesen von Kreditkartennummern oder von Zugangsdaten zu E-Ban¬ king-Systemen (ganz allgemein: Datendiebstahl). Remote-Control-Software: Programme, die das „Fernbedienen" eines Rechners erlauben und ohne Kenntnis des Anwenders einer Person über ein Netzwerk erlauben, einen Rechner so zu nutzen, als ob sie davor sitzen würde (Beispiele: „back orifice", „subseven" oder „VNC").
Da die Unterscheidung, ob eine Funktion bösartig ist oder nicht, im Einzelfall schwierig sein kann (so kann beispielsweise das Formatieren einer Festplatte für ein Festplatten-Utility eine sinnvolle und notwendige Funktion sein, während dieselbe Funktion bei ungewollter Ausführung großen Schaden verursachen kann), ist eine Erkennung schwierig. Herkömmliche Antiviren-Software ist zwar in der Regel in der Lage, bekannte Trojanische Pferde zu erkennen, neue oder auf eine spezielle Situation zugeschnittene Trojanische Pferde können aber nicht erkannt werden. Neben hoher Wachsamkeit empfiehlt sich der regelmäßige Einsatz eines speziellen Programms zur Erkennung von Trojanischen Pferden.
6.4.4
DoS- und DDoS-Agenten
Beim so genannten denial-of-service (DoS) bzw. der verteilten Variante davon (distributed denial-of-service, DDoS) geht es darum, die Ressourcen eines Systems so stark zu belasten, dass die ordnungsgemäße Funktionalität dieses Systems nur noch eingeschränkt oder gar nicht mehr erbracht werden kann. Für diese Form der Beeinträchtigung findet man auch den Begriff „flooding" (Überflutung).
122
Malware
Beispiele für DoS-Attacken: Versenden von sehr großen und/oder sehr zahlreichen EMails an eine Zieladresse. Das führt dazu, dass die Mailbox des Empfängers „überläuft". Im weitesten Sinne können auch SPAM oder Hoaxes als eine Form von DoS-Angriffen angesehen werden. Senden einer Vielzahl von Anfragen an einen Server, der dadurch überlastet wird und seine Dienste nicht mehr oder nur noch sehr eingeschränkt zur Verfügung stellen kann. Bekannt wurde insbesondere das Überlasten von Webservern bekannter Firmen (Yahoo, eBay u. a.). Es ist zu unterscheiden zwischen DoS als Effekt (wie oben geschildert) und den so genannten DoS-Agenten (auch „Zombies" genannt) als eigene Kategorie von Malware (die aber natürlich dazu dienen, DoS-Angriffe auszuführen). Distributed Denial
Abbildung 6-7
of Service-Angriff (DDoS) Agent Agent Handler Agent Agent Opfer
Angreifer Agent Agent Handler Agent Agent
123
Malware
Bei einem DDoS-Angriff baut der Angreifer zuerst ein Netz aus so genannten Handlern und Agenten auf (z. B. durch Einschleusen der Agenten als Trojanische Pferde). Die Agenten bilden dabei die eigentlichen Angreifer, sie werden aber durch die Handler gesteuert. Die Zahl der Agenten kann dabei durchaus in die Tausende gehen. Auf diese Weise muss der Angreifer nicht direkt mit dem Opfer kommunizieren, was seine Entdeckung erheblich erschwert und der Ausfall einzelner Agenten stört nicht weiter. Aufgrund der hohen Parallelität (die Agenten werden beim Angriff durch die Handler praktisch zeitgleich gestartet) können so sehr massive Störungen verursacht werden. DoS-Agenten können aber von Anti-Malware-Produkten erkannt werden.
6.4.5
Mobiler Code
Unter mobilem Code (man findet für dieses Konzept auch den Begriff „aktiver Inhalt") versteht man relativ kleine Programme, deren Code von einem entfernten Rechner auf das eigene System geholt und dann dort ausgeführt wird. Zur Ausführung wird in der Regel keine oder nur eine minimale Interaktion mit dem Benutzer benötigt. Mobiler Code darf nicht mit dem Client-/Server-Konzept verwechselt werden, bei dem nicht der eigentliche Code, sondern nur Parameter für entfernte Prozeduraufrufe übertragen werden. Bekannte Beispiele für mobilen Code sind etwa Java Applets, Java-Script, ActiveX-Controls, und E-Mails mit eingebetteten Anweisungen einer Scriptsprache. Mobiler Code ist selbstverständlich nicht mit dem Begriff Malware gleichzusetzen. Aufgrund der Tatsache, dass sowohl die Quelle wie auch die Verbindung zum Empfänger potenziell unsicher sind, bietet das Konzept jedoch einem Angreifer eine Vielzahl von Möglichkeiten, schädlichen Code zum Benutzer zu übertragen und dort ausführen zu lassen. Eine wichtige Rolle bei der Abwehr von solch schädlichem mobilem Code spielt einerseits das Härten der Systeme, aber auch das korrekte Konfigurieren, insbesondere der verwendeten Web-Browser.
124
Malware
6.4.6
Rootkits
Während „normale" Trojanische Pferde einem System zusätzliche Programme hinzufügen, geht es bei den so genannten Rootkits darum, bestehende Programme - typischerweise Teile des Betriebssystems - durch veränderte Versionen zu ersetzen. Diese ersetzten Betriebssystemteile erlauben dann einem Angreifer eine Vielzahl von Manipulationen, ohne dabei Spuren zu hinterlassen. Die ersten Rootkits wurden auf Unix-Systemen entdeckt. Der Name Rootkit kommt daher, dass der Superuser unter Unix den Benutzernamen „root" hat. Rootkits sind heute für ganz unterschiedliche Plattformen bekannt.
6.4.7
Dialer
Bei Dialern handelt es sich um Programme, die dem Anwender helfen sollen, eine Verbindung über das Telefonnetz zum Internet herzustellen. Dialer werden oft von Internetprovidern angeboten, um es ihren unerfahrenen Kunden zu vereinfachen, einen passenden Internetzugang einzurichten. Zu Problemen führen Dialer dann, wenn eine Einwahl ins Internet vom Benutzer ungewollt und weitgehend unbemerkt erfolgt. In der Regel erfolgt dann die Verbindung über so genannte Mehrwertdienste (in Deutschland z. B. die 0190-XNummern), welche besonders hohe Kosten verursachen. Dialer werden oft als nützliche Dienstprogramme („High Speed-Zugang") getarnt angeboten und verbreitet. In einigen Ländern ist aber mittlerweile der Gesetzgeber eingeschritten und hat Dialer für gewisse Nummern verboten. Hinweise zum Umgang mit Dialern sind in [10] zu finden.
6.4.8
Adware und Spyware
Für den Vertrieb von Software über das Internet haben sich verschiedene Formen etabliert. Neben dem normalen Kauf findet man auch Produkte, die ohne Entgelt bezogen und benutzt werden dürfen („freeware"), oder auch solche, die beliebig weitergegeben werden dürfen, aber für die nach einer
125
Malware
gewissen Benutzungszeit eine Gebühr zu entrichten ist („Shareware"). Mit Adware bezeichnet man - in der Regel kostenlose Software, die zusätzlich zur eigentlichen Funktionalität auch Werbebanner oder Werbe-Popups anzeigt. Diese Werbeeinblendungen lassen sich normalerweise nicht deaktivieren. Der Hersteller der Software finanziert diese durch den Verkauf von Werbeeinblendungen an Dritte. Adware an sich wird zwar oft als lästig empfunden, kann per se aber nicht einfach als Malware bezeichnet werden. Dem Benutzer bleibt allerdings oft der Zusammenhang zwischen der bezogenen Software und der Werbung verborgen. Viele unter dem Stichwort Adware vertriebene Produkte begnügen sich jedoch nicht nur damit, Werbeeinblendungen anzuzeigen, sondern versuchen vielmehr, persönliche Daten des Benutzers (z. B. sein Surf-Verhalten) ohne dessen Wissen oder gar Zustimmung an den Hersteller der Software oder an Dritte zu senden. In diesem Falle spricht man von so genannter Spyware. Das Konzept ist also durchaus vergleichbar mit dem der Trojanischen Pferde.
6.4.9
Easter-Eggs
Viele kommerzielle Programme enthalten Funktionen, deren Vorhandensein den Anwendern in der Regel verborgen bleibt. Meistens handelt es sich um harmlose Funktionen, mit denen sich die Entwickler ein Denkmal setzen wollten (beispielsweise der Aufruf eines versteckten Gruppenfotos der Entwickler). Es kann sich dabei aber durchaus auch um größere Programmteile handeln, deren Vorhandensein nicht a priori erklärbar ist (ein typisches Beispiel ist der eingebaute Flugsimulator in Microsoft Excel 97, siehe auch [11]). Easter Eggs sind auch eine Form von Trojanischen Pferden.
Ausblick Betrachtet man die historische Entwicklung unter dem Aspekt, daraus zukünftige Entwicklungen abzuleiten, so ergibt sich, selbst bei sehr zurückhaltender Extrapolation, ein wenig ermutigendes Bild. Während beispielsweise vor rund fünfzehn
126
Malware Jahren lediglich ein paar Dutzend Viren im Umlauf waren, so sind es heute bereits Tausende und ihre Zahl nimmt rasch zu. Dazu sind ganz neue Formen der Verbreitung gestoßen. Es ist heute bereits absehbar (die grundsätzliche „Machbarkeit" ist bereits erwiesen), dass wir in naher Zukunft auch mit dem Einsatz von Malware auf heute davon noch weitgehend unberührten Plattformen - wie beispielsweise PDAs oder Mobiltelefonen - zu rechnen haben werden.
6.5
Malware - Entwurfsprinzipien
Insgesamt ist es bisher nur in relativ wenigen Fällen gelungen, Autoren von Malware dingfest zu machen. Man weiß deshalb recht wenig - von einigen Ausnahmen abgesehen - über deren Ziele, Motivation und Hintergründe. Im Schadensfall besteht deshalb üblicherweise keine Möglichkeit, Regress zu nehmen. Aus dem Zweck von Malware lassen sich jedoch folgende Charakteristiken ableiten, die normalerweise für Malware günstig sind: Schwierig zu entdecken. Schwer zu entfernen, zu neutralisieren oder zu zerstören. Hohe und rasche Verbreitung, Einfach herzustellen. Plattformunabhängig. „Gute" Malware versucht, möglichst lange unentdeckt zu bleiben, um sich während dieser Zeit weiter zuverbreiten (Viren, Würmer, ...) oder ungestört die schädliche Funktion ausführen zu können (Trojanische Pferde, Dialer, ...). Man darf davon ausgehen - entgegen der landläufigen Meinung - dass nur einige wenige Malware-Entwickler wirklich über hohe Kompetenz verfügen. Die Szene ist heute voll von Nachahmern. Man findet auch sehr viel Malware, die so
127
Malware fehlerhaft programmiert ist, dass sie ihre schädliche Funktion gar nicht ausführen kann. Dies ist leider nur ein schwacher Trost, denn solche Fehler können auch dazu führen, dass der Effekt noch viel schlimmer ausfällt, als er vom Entwickler eigentlich beabsichtigt war. Leider erfüllen Makroviren obige Kriterien sehr gut. Es ist deshalb nicht verwunderlich, dass sie heute derart zahlreich sind.
6.6 Infektionswege, Verbreitung Wege, auf denen sich Malware - sowohl innerhalb eines einzelnen Systems wie auch über Systemgrenzen hinweg verbreiten kann, gibt es leider eine ganze Reihe (und es kommen immer wieder neue Varianten hinzu). Die wichtigsten Verbreitungswege sind: Datenträger, E-Mail, Netzwerke, Protokolle. Datenträger
Die Verbreitung über Datenträger gehört zu den frühen Formen und hat heute etwas an Bedeutung verloren, stellt aber immer noch eine Gefahr dar. Dazu gehören alle möglichen Varianten von Speichermedien (Disketten, Harddisks, optische Laufwerke, Wechselplatten, ...). Es darf nicht außer Acht gelassen werden, dass Malware auch übertragen werden kann mittels Datenträgern, die Büchern beigelegt sind (entsprechende Fälle sind aufgetreten), bei Demo- und Installationsprogrammen, ja selbst bei Originalsoftware und vorinstallierten Systemen ist nicht immer a priori auszuschließen, dass die Datenträger „sauber" sind.
E-Mail Die Verbreitung via E-Mail stellt heute ein enormes Problem dar. Malware wird dabei in der Regel als Binärdatei (Attachment) versandt, häufig zusammen mit einer Meldung, die die
128
Malware Benutzer dazu verleitet, dieses Attachment zu öffnen, was dann zur Ausführung und Weiterverbreitung der Malware führt (beispielsweise durch Weiterversand der Nachricht an alle auf dem entsprechenden System vorgefundenen E-Mail-Adressen). Solche Attachments werden heute oft gepackt und/oder verschlüsselt, was deren Erkennung zusätzlich erschwert. E-Mail kann jedoch auch - unabhängig von einer Benutzerinteraktion von Malware zur Weiterverbreitung benutzt werden. Neben der Verbreitung via E-Mail werden aber auch andere Netzwerke Protokolle zur Verbreitung über Netzwerke benutzt (z. B. FTP, Protokolle RPC, ...). Während früher Malware sehr oft via BBS (bulletinboard-system) verbreitet wurde, stellt heute die sehr populäre Verwendung von P2P (peer-to-peer)-Netzwerken zunehmend ein Problem dar. Trotz dieser Vielfalt an Verbreitungswegen spielt nur eine vergleichsweise geringe Anzahl von Malware in der Praxis eine bedeutende Rolle. Obwohl heute beispielsweise einige zehntausend Viren bekannt sind, sind sehr viele davon nur so genannte ZOO-Viren (Viren, die nur in Virenlabors zu Forschungszwecken vorkommen). In der Praxis ist man „nur" mit einigen hundert effektiv weit verbreiteten Viren konfrontiert. Eine laufend aktualisierte Übersicht findet man unter [12].
6.7
Schäden durch Malware
Die von Malware verursachten Schäden lassen sich wie folgt gliedern: Absichtlich verursachte Schäden, Zufällig verursachte Schäden, Inhärente Schäden, Schäden durch eingeschränkte Systemverfügbarkeit, Folgeschäden.
129
Malware
Absichtlich verursachte Schäden
Zu den absichtlich verursachten Schäden gehört - sofern vorhanden - die Wirkung des Payload-Mechanismus. Dabei ist festzuhalten, dass Malware grundsätzlich all das kann, was auf dem entsprechenden System mit Software gemacht werden kann (und das ist eine ganze Menge!). Malware kann aber keine Manipulationen auf schreibgeschützten Datenträgern vornehmen oder Hardware physisch zerstören. Hardware kann durch Malware jedoch sehr wohl beschädigt oder unbrauchbar gemacht werden (beispielsweise durch das Überschreiben der Konfigurationsdaten im BIOS eines Arbeitsplatzrechners).
Zufällige
Schäden Zufällige Schäden können entstehen durch Fehler in der Malware, was beispielsweise bei der Replikation eines Virus zu Beschädigungen an Systembereichen des Wirtssystems führen kann, wodurch wiederum ein künftiges Hochfahren des Systems verhindert wird.
Inhärente
Schäden Inhärente Schäden sind Schäden, die grundsätzlich immer durch einen Malwarebefall ausgelöst werden. Dazu zählen unter anderem Leistungsverluste oder die Verringerung von Speicherkapazitäten (auf Primär- und Sekundärspeichern).
Schäden durch eingeschränkte Systemverfügbarkeit
Die durch einen Befall verursachte eingeschränkte Verfügbarkeit (z. B. bei DoS/DDoS-Angriffen) und die anschließend notwendige Bereinigung (während der die Systeme in der Regel nicht oder nur eingeschränkt zur Verfügung stehen) verursachen Ausfallzeiten.
Folgeschäden
Folgeschäden treten auf, wenn nach einem Befall unsachgemäß reagiert wird. So kann es beispielsweise geschehen, dass eine durchaus gut gemeinte - Warnung, die per E-Mail verschickt wird, zur Weiterverbreitung beiträgt, oder auch dass bei der notwendigen Bereinigung nach dem Befall „überreagiert" wird. Auch psychologische und rechtliche Faktoren („Wer war Schuld am Befall?", „Wer hat den Virus weiterverbreitet?", „Warum konnte das überhaupt passieren?", „Wer haftet für den angerichteten Schaden?", ...) spielen eine wichtige Rolle.
Kosten
130
Es ist davon auszugehen, dass die durch Malware verursachten Schäden oft ganz erhebliche Kosten nach sich ziehen. Auch
Malware wenn man die gelegentlich in der Presse (oder auch in Unterlagen von Herstellern von Antiviren-Software) genannten Beträge über weltweit verursachte Kosten nicht allzu ernst nehmen darf, da keine seriösen Verfahren existieren, um solche Kosten auch nur ansatzweise genau zu schätzen, sind diese in aller Regel erfahrungsgemäß hoch. Leider verzichten die meisten Betreiber „in der Hitze des Gefechtes" jedoch darauf, diese Kosten seriös aufzuzeichnen und klar abzugrenzen, sodass man hier keine konkreten Aussagen machen kann. Es lässt sich jedoch sicher festhalten, dass die Kosten für reaktive Maßnahmen diejenigen, die für präventive Maßnahmen aufzuwenden sind, bei weitem übersteigen. Zu dieser Erkenntnis gelangen Betreiber jedoch nur durch eigene Erfahrung (solange nichts passiert, werden auch die präventiven Kosten mancherorts als hoch eingeschätzt).
6.8
Lösungsansätze
6.8.1
Erkennung - organisatorisch
Es ist oft gar nicht einfach festzustellen, ob ein System von Malware betroffen ist. Man kann hierbei folgende zwei Varianten unterscheiden: Proaktives Suchen, Reaktives Feststellen. Beim proaktiven Suchen versucht man gezielt herauszufinden, Proaktives ob unerwünschte Software auf einem Rechnersystem vor- Suchen handen ist. Das geschieht in der Regel durch den Einsatz von Werkzeugen, die eine solche Suche unterstützen. Neben reinen Virenscannern gibt es dazu auch spezielle Werkzeuge, beispielsweise zum Auffinden von Trojanischen Pferden, Spyware oder Dialern. Zum proaktiven Suchen gehört aber auch das regelmäßige Beobachten des Systemverhaltens (zum Beispiel das Prüfen, ob unerwünschte Programme automatisch beim Aufstarten des Systems mitgestartet werden).
131
Malware
Reaktives Feststellen
Für das Feststellen eines Befalls gibt es keine eindeutigen Kriterien. Treten folgende Situationen auf, steckt jedoch oft Malware dahinter (und es sollte eine aktive Suche eingeleitet werden): Meldung durch Scanning).
ein Anti-Malware-Programm
(on-access
Unerwartete Veränderungen an Dateien und/oder Programmen (Dateigröße, Verhalten bei der Programmausführung ...). Auftreten von Datenverlusten oder Datenverfälschungen. Leistungseinbußen (insbesondere drastische Geschwindigkeitseinbrüche, stark reduzierter Speicherplatz, ...). Meldungen/Warnungen des Anwendungsprogrammen.
Betriebssystems
oder
von
Generell: „ungewöhnliche" Verhaltensweise des Systems.
Da es zu den Entwurfsprinzipien von Malware gehört, die Tätigkeit zu verschleiern und möglichst lange unentdeckt zu bleiben, ist ein Erkennen oft nicht einfach und benötigt häufig einige Erfahrung. Es ist allerdings wichtig festzuhalten, dass „nicht überall Virus drin ist, wo auch Virus drauf steht". Obwohl Malware ein bedeutendes Problem darstellt, darf man nicht außer Acht lassen, dass sehr viele Probleme auch ganz andere Ursachen haben können (z. B. Bedienungs- oder Softwarefehler).
6.8.2
Erkennung - technische Verfahren
Zur technischen Erkennung von Malware haben sich eine Reihe von Verfahren bewährt. Dabei geht es einerseits darum, auf einem System, auf dem bereits Malware vorhanden ist, diese zu erkennen und nach Möglichkeit zu beseitigen, andererseits aber auch zu verhindern, dass solche Software überhaupt auf ein System gelangen kann. Unter anderem gelangen dabei folgende
132
Malware Techniken zum Einsatz (für eine umfassendere Darstellung sei z. B. auf [1] verwiesen): Blockieren von Ressourcen, Signaturerkennung, Heuristische Analyse, Integritätsprüfung. Beim Verfahren „Blockieren von Ressourcen" werden wichtige Blockieren von Systemkomponenten dauernd überwacht. Sobald der Versuch Ressourcen eines unautorisierten Zugriffs festgestellt wird, erfolgt eine Alarmierung. Mit diesem Verfahren werden beispielsweise Schreibversuche auf den Boot-Sektor abgefangen. Das Erkennen von Signaturen gehört zu den Standardtechniken Signaturerder Malware-Erkennung. Es geht dabei darum, den Malware- kennung Code anhand einer - möglichst eindeutigen - Folge von Bytes zu identifizieren. Eine solche Bytefolge wird Signatur genannt. Ein Beispiel einer solchen Signatur (EICAR-Testvirus) ist im Glossar zu finden. Beim Einsatz von Signaturen untersucht das Anti-Malware-Programm die auf einem System vorhandenen Dateien daraufhin, ob sie eine entsprechende Signatur enthalten. Falls ja, wird alarmiert. Diese Technik ist recht schnell, ihre Leistungsfähigkeit basiert aber unter anderem darauf, dass die Datenbank der Signaturen laufend auf einem aktuellen Stand (d. h. erweitert) gehalten wird. Viele Hersteller von AntivirenSoftware bieten daher eine Möglichkeit, ihre Signaturdatenbanken via Internet zu aktualisieren. Wird auf das Aktualisieren der Signaturdatenbank verzichtet, so wird die Wirksamkeit sehr rasch reduziert, da keine neuere Malware erkannt werden kann. Das Erkennen von Signaturen bietet auch die Gefahr von falschen Alarmen, wenn z. B. eine Datei, die keine Malware ist, zufälligerweise auch eine Signatur enthält, die mit der einer Malware identisch ist. Man spricht in diesem Falle von „falsch Positiven". Produkte, die eine große Zahl solcher Fehlalarme produzieren, stören einen ordnungsgemäßen Betrieb nachhaltig und werden in der Regel rasch
133
Malware wieder außer Betrieb gesetzt, womit sie ihren Nutzen natürlich vollständig verlieren. Heuristische Analyse
Integritätsprüfung
Eine andere Technik besteht in der Anwendung von so genannten Heuristiken. Dabei geht es darum, anhand von Regeln, die auf Erfahrungswerten basieren, festzustellen, wenn sich ein Programm „verdächtig" verhält. Werden durch ein Programm genügend solcher Regeln verletzt, so besteht zumindest begründeter Verdacht, dass es sich um Malware handelt. Heuristiken werden auch eingesetzt, wenn es darum geht, Objekte, die durch Malware verändert wurden, wieder zu „säubern". Das automatische Säubern gelingt aber nur in vergleichsweise wenigen Fällen zuverlässig. In der Regel kommt man nicht um manuelles Nacharbeiten herum. Bei der Integritätsprüfung werden vorab, wenn noch gewährleistet ist, dass das System „sauber" ist (z. B. unmittelbar nach der Installation), Prüfsummen für wichtige Objekte gebildet. Im laufenden Betrieb werden diese Prüfsummen dann dauernd überwacht. Sobald eine Malware versucht, ein solches überwachtes Objekt zu verändern, kann das anhand der geänderten Prüfsumme erkannt werden.
6.8.3
Anti-Malware-Software
Der Begriff Anti-Malware-Software ist nicht verbreitet. Entsprechende Produkte werden nach wie vor unter der Bezeichnung Antiviren-Programm verkauft. Viele Produkte bieten aber wesentlich umfassendere Möglichkeiten als nur das Erkennen und möglicherweise Entfernen von Viren an. Vielmehr sind solche Produkte auch einsetzbar gegen andere Formen von Malware, insbesondere können auch Würmer, Trojanische Pferde und DDoS-Agenten damit erkannt werden. Heutige Produkte basieren in der Regel auf einer Kombination der oben genannten Verfahren. Um größtmögliche Sicherheit zu erreichen, müssen sie so konfiguriert werden, dass sie den Betrieb dauernd überwachen. Sie können aber auch nach einem Befall (oder einem entsprechenden Verdacht) dazu dienen herauszufinden, um welche Art Malware es sich handelt.
134
Malware Zur Kategorie Anti-Malware-Programme gehören auch spezialisierte Werkzeuge gegen spezielle Formen von Malware (beispielsweise Werkzeuge zur Erkennung von Spyware oder Dialern). Solche Produkte sind heute weit verbreitet und können einen guten Schutz gegen verschiedene Arten von Malware bieten. Sie können aber immer nur vor bereits bekannten, das heißt durch die entsprechenden Hersteller gründlich analysierten Arten von Malware schützen. Die Entwickler von Malware sind leider oft einen Schritt voraus. Aufgrund der Vielfalt an verschiedenen Techniken, die Malware-Entwickler einsetzen, um ihre Ziele zu erreichen, ist auch der Schutz davor leider recht aufwändig. Prinzipiell lässt sich auch kein hundertprozentiger Schutz erreichen. Auf dem Markt verfügbare Produkte haben heute aber - bei richtigem Einsatz doch einen Stand erreicht, der einen vernünftigen Schutz gewährleistet. Man darf jedoch nicht erwarten, dass sich durch den bloßen Einsatz einer Anti-Malware-Software alle Probleme lösen lassen. Ein vernünftiger Schutz muss vielmehr aus verschiedenen Maßnahmen bestehen und wird deshalb in der Regel auch verschiedene Produkte umfassen.
6.8.4
Informationsquellen, Werkzeuge
Zum Thema Malware existiert heute eine überwältigende Menge an - insbesondere online verfügbarer - Information. Mittlerweile ist auch ein großer Markt an entsprechenden Werkzeugen entstanden. Für eine Übersicht über Evaluationskriterien solcher Produkte und vergleichende Berichte sei als Einstieg auf [13], [14] und [15] verwiesen.
6.9
Maiware-Management
Es ist heute unbestritten, dass der Schutz vor Malware im Rahmen der gesamten IT-Betriebssicherheit eine sehr wichtige Rolle spielt. Leider besteht vielerorts noch immer die Ansicht, dass mit dem Einsatz eines Anti-Malware-Programmes - das
135
Malware zudem meistens noch nur auf Arbeitsplatzrechnern installiert wird - das Problem im Wesentlichen ja gelöst sei. Dem ist bei weitem nicht so. Das Thema Malware-Management umfasst vielmehr eine ganze Reihe von Maßnahmen, die geeignet aufeinander abgestimmt sein müssen, um wirkungsvoll zu sein. Grundsätzlich ist zu unterscheiden zwischen proaktivem und reaktivem Management.
6.9.1
Proaktives Malware-Management
Zum proaktiven Malware-Management zählen alle Maßnahmen, die dazu dienen, künftige Schäden durch Malware zu verhindern oder zumindest zu reduzieren. Die zu treffenden Maßnahmen lassen sich in zwei Gruppen gliedern: Organisatorische Maßnahmen, Technische Maßnahmen. Organisatorische Maßnahmen
Eine wirkungsvolle Abwehr von Malware verlangt nach einem abgestimmten Konzept. Dabei ist von einer grundsätzlichen Risikobeurteilung auszugehen. Während die Behandlung des Themas im Rahmen eines umfassenden Sicherheitskonzepts zweifellos wünschenswert wäre, muss doch für die überwiegende Zahl von Fällen in der Praxis davon ausgegangen werden, dass nur wesentlich einfachere (und billigere) Maßnahmen auch wirklich umgesetzt werden. Als Minimum sollten in jedem Betrieb jedoch entsprechende Richtlinien erstellt und natürlich auch durchgesetzt werden. Diese müssen zumindest die zulässige Nutzung von Ressourcen sowie das Verhalten im Problemfall regeln.
Schulung
Ein weiteres sehr wichtiges Element der organisatorischen Maßnahmen ist die Schulung der Benutzer. Auch hier ist genau abzuwägen, wie weit man gehen will. Minimal sollte jeder Benutzer ein rudimentäres Verständnis der möglichen Gefahren haben und wissen, wie im Falle eines Problems vorzugehen ist. Auch Richtlinien können ihre Wirkung nur entfalten, wenn ihr Inhalt bekannt ist!
136
Malware Die technischen Maßnahmen liegen in der Verantwortung der Technische Betreiber und bauen auf den organisatorischen auf. Ist festge- Maßnahmen legt, welche Komponenten wie (und wovor) zu schützen sind, geht es darum, diesen Schutz technisch umzusetzen. Der Einsatz von Antimalware-Software ist dabei eine etablierte Maßnahme. Der Einsatz solcher Produkte muss auf die konkrete Situation abgestimmt sein. Je nach Umgebung wird man entsprechende Produkte auf den Arbeitsplatzrechnern, auf E-MailServern, auf Datei- und Anwendungsservern und/oder kombiniert mit Firewall-Produkten einsetzen. Der kombinierte Einsatz von verschiedenen Produkten kann sich lohnen. Wichtig ist, dass eine regelmäßige Aktualisierung der Produkte Produkte erfolgt (nicht nur der Signaturen, sondern auch der Produkte aktualisieren selbst). Das muss völlig unabhängig von irgendwelchen Benutzerinteraktionen geschehen. Die Benutzer sollten im Idealfall vom Vorhandensein solcher Produkte gar nichts merken (über deren Vorhandensein sollten sie selbstverständlich aber informiert sein). Neben dem Einsatz spezieller Antimalware-Software ist auch Systeme das regelmäßige Aktualisieren sonstiger Systemkomponenten, insbesondere das Schließen bekannter Lücken in der Systemsoftware („Härten" des Systems) von großer Bedeutung. Zu den technischen Maßnahmen im Verantwortungsbereich Proaktives der Betreiber zählt auch das proaktive Überprüfen von Systemen - sei es systematisch oder anhand von Stichproben - auf das Vorhandensein von Malware.
6.9.2
härten
Prüfen
Reaktives Malware-Management
Beim reaktiven Malware-Management geht es um das Vorgehen nach einem entsprechenden Vorfall. In der Praxis zeigt sich leider immer wieder, dass gerade nach einem Vorfall die Situation durch unsachgemäßes Handeln - teilweise sogar sehr deutlich - verschlimmert wird.
137
Malware Im Wesentlichen lassen sich folgende Einzelaufgaben unterscheiden: Ruhe bewahren, Lösungsverantwortung festlegen. Problem identifizieren. Problem isolieren. Den eventuell entstandenen Schaden beheben. Lehren ziehen und umsetzen. Ruhe bewahren, Beim Verdacht eines Malware-Befalles gilt es zuallererst, Ruhe Verantwortung zu bewahren und den Vorfall genau zu analysieren. Auch wenn festlegen vielfältigste Gefahren von Malware ausgehen, haben sehr viele Probleme andere Ursachen. Besteht der Verdacht, dass ein System von Malware befallen wurde, so ist es wichtig, dass die Benutzer genau wissen, an wen sie sich wenden müssen. Sowohl die Problemanalyse als auch die eventuell nötige Schadensbehebung können nur von Fachleuten durchgeführt werden. Das ungerührte Ignorieren und „Wegklicken" von Meldungen der Antimalware-Software wie auch hektische Panikreaktionen sind fehl am Platz. Wie im konkreten Fall vorzugehen ist, muss in einer entsprechenden Richtlinie geregelt werden und es muss sichergestellt werden, dass die Benutzer davon auch Kenntnis haben. Im Zweifelsfall ist eine Arbeitsunterbrechung in Kauf zu nehmen, bis das Problem von den Fachleuten analysiert worden ist („Hände weg und melden" ist in vielen Situationen richtig). Problem identifizieren
138
Wenn der Verdacht besteht, dass Malware im Spiel ist, gilt es, die Situation genau zu analysieren. Dies kann in einzelnen Fällen relativ einfach sein, z. B. wenn eine entsprechende Meldung einer Antimalware-Software vorliegt, es kann aber auch langwierige und anspruchsvolle Untersuchungen durch Fachleute nach sich ziehen. Zwingend nötig für solche Abklärungen ist ein weiterhin funktionsfähiger Internet-Zugang, da nur auf diesem Wege die notwendigen Informationen rasch beschafft werden können.
Malware Kann die Quelle eindeutig identifiziert werden, so sollte sichergestellt werden, dass von dort keine weitere Verbreitung ausgehen kann. In gewichtigeren Fällen - wenn beispielsweise die Gefahr besteht, dass durch den Vorfall der Ruf des Unternehmens in Mitleidenschaft gezogen werden könnten oder gar juristische Schritte drohen - sind selbstverständlich die entsprechenden Verantwortlichen zu informieren. Sobald klar ist, um welche Form von Malware es sich handelt, Problem muss das Problem möglichst rasch isoliert werden, um weitere Schäden zu verhindern. Dazu zählen Maßnahmen wie das Trennen von Systemen vom Netzwerk (auch wenn das manchmal schwer fällt), das Verbieten der Benutzung gewisser Funktionen (z. B. E-Mail) oder das vorübergehende Außer-Betrieb¬ Setzen gewisser Anwendungen.
isolieren
Ist das Problem analysiert und die Weiterverbreitung verhin- Schaden dert oder gestoppt, so müssen die verursachten Schäden behoben werden. Auch hier trifft man auf eine große Bandbreite von möglichen Maßnahmen. Das reicht von „keine Aktivitäten nötig" (z.B. weil die Antimalware-Software bereits die notwendigen Aktionen ausgeführt hat), über das selektive Wiederherstellen einzelner Dateien ab einer Datensicherung bis hin zu einer völligen Neuinstallation ganzer Systeme.
beheben
Es ist wichtig, dass die Personen, die für die Umsetzung solcher Maßnahmen verantwortlich sind, auch entsprechend ausgebildet sind, über die notwendigen Werkzeuge verfügen und dass die entsprechenden Vorgehensweisen vorbereitet und eingeübt wurden. Sind die allfälligen Schäden behoben, gilt es, den Vorfall kri- Lehren tisch zu analysieren und falls nötig entsprechende Lehren für die Zukunft zu ziehen. Dazu gehören Maßnahmen wie das Anpassen von Richtlinien oder das Prüfen eingesetzter Antimalware. Diese ist vielleicht zu aktualisieren, durch andere Produkte zu ergänzen oder gar zu ersetzen.
ziehen
139
Malware
6.10 Empfehlungen für Praktiker Empfehlung 6-1 Erstellen
Sie
eine
Anti-Malware-Richtlinie.
Der Umgang mit Malware muss in einer Richtlinie geregelt werden. In einer Malware-Richtlinie soll geregelt werden, wie mit Malware umzugehen ist, insbesondere: Was ist der korrekte Umgang mit (fremden) Datenträgern? Wer hat Berechtigungen, Daten aus dem Internet herunter¬ zuladen? Was sind die Pflichten der Systemverantwortlichen (z. B. regelmäßiges Prüfen verschiedener Rechner auf MalwareBefall)? Wer ist im Falle eines Problems wie zu informieren? Welche Sofortmaßnahmen werden?
müssen
im
Notfall
ergriffen
Diese Richtlinie ist regelmäßig zu überprüfen. Empfehlung 6-2 Setzen Sie
verschiedene Produkte ein.
Zur Erkennung und Beseitigung von Produkte kombiniert einzusetzen.
Malware sind mehrere
Der Schutz durch Anti-Malware-Produkte kann erhöht werden, wenn unterschiedliche Produkte (ggf. auch kombiniert) eingesetzt werden. So können beispielsweise verschiedene Antivirenprogramme auf Arbeitsplatzrechnern, Servern und der Firewall zum Einsatz gelangen.
140
Malware
Administrieren
Sie
die
Anti-Malware-Produkte
Benutzer dürfen mit der Administration Produkte nichts zu tun haben.
zentral.
Empfehlung 6-3
der Anti-Malware-
Die Verantwortung für Installation und Pflege (z. B. Sicherstellen einer regelmäßiger Aktualisierung) muss zentral wahrgenommen werden. Die Benutzer sollen sich nicht um AntiMalware-Produkte kümmern müssen. Die Verteilung von neuen Produktversionen („Scanning engines") und Signaturen muss automatisiert werden. Empfehlung 6-4
Schulen Sie die Benutzer. Benutzer sind über mögliche zu informieren.
Gefährdungen
durch
Malware
Benutzer sind über Gefahren durch Malware zu informieren (z. B. durch eine Demonstration). Sie müssen auch wissen, wie Sie im Falle eines Vorfalles vorzugehen haben. Überprüfen
Sie
die
Telefonrechnung.
Empfehlung 6-5
Die Telefonrechnung ist - sofern eine Analog- oder ISDNVerbindung zum Internet besteht - regelmäßig zu prüfen. Die Telefonrechnung ist regelmäßig daraufhin zu überprüfen, ob sie Unregelmäßigkeiten oder auffällige - eingehende und ausgehende - Verbindungen umfasst. Dazu muss allerdings ein detaillierter Verbindungsnachweis vorliegen. Anomalien sind sofort detailliert abzuklären.
141
Malware
6.11 Literatur [I]
Harley, D., Slade, R.M., und Gattiker, U.E., Das AntiViren-Buch. 2002, Bonn: mitp-Verlag.
[2]
Cohen, F., Computer Viruses. 1986. Thesis Ph D, University of Southern California 1986. Eichin, M.W. und Rochlis, J.A., An Analysis of the Internet Virus of November 1988,
[3]
[4] [5] [6] [7]
http://web.mit.edu/user/e/i/eichin/www/virus/main.html Skoudis, E., Malware - Fighting Malicious Code. 2004, Upper Saddle River, N.J.: Prentice Hall PTR. Cohen, F., Computer Viruses - Theory and Experiments, http://all.net/books/virus/index.html Metzlar, A., Das BIOS-Buch. 3., überarb. Aufl. ed. 2000, Poing: Franzis. "Good Times" Hoax FAQ, http://www.informatik.uni-trier.de/~bern/GoodTimesHoax/FAQ.html
[8]
Moore, D., et al., The Spread of the Sapphire/Slammer Worm, http://www.caida.org/outreach/papers/2003/sapphire/sap phire.html
[9]
[10] [11] [12] [13] [14] [15]
142
Weaver, N.C., Warhol Worms: The Potential for Very Fast Internet Plagues, http://www.cs.berkeley.edu/~nweaver/warhol.html Dialerschutz, http://www.dialerschutz.de/home/home.html The Easter Egg Archive, http://www.eeggs.com/ The WildList Organization International, http://www.wildlist.org Antiviral Software Evaluation FAQ, http://victoria.tc.ca/int-grps/books/techrev/avrevfaq.html Tests of Anti-Virus Software, http://www.av-test.org Virus Bulletin, http://www.virusbtn.com/
Datensicherung 7.1
Einleitung
Datenbestände gehören mit zu den wertvollsten Ressourcen eines Unternehmens. Ein Verlust, auch nur von Teildatenbeständen, kann in vielen Fällen das Überleben eines Unternehmens stark gefährden. Daten sind aber einer Vielzahl von Gefahren ausgesetzt (technisches Versagen, versehentliches Löschen, böswillige Manipulation, ...) und müssen deshalb entsprechend geschützt werden. Dies ist zwar im Grundsatz völlig unbestritten, nichtsdestotrotz treten in der betrieblichen Praxis regelmäßig immer wieder Fälle von Datenverlust auf (viele Beispiele von real aufgetretenen Schäden sind unter [1] zu finden). Es scheint leider gelegentlich so zu sein, dass viele Personen das Problem erst ernst genug nehmen, nachdem entsprechende Schäden aufgetreten sind. Aber auch dort, wo Datensicherungsverfahren realisiert sind, erfüllen diese gelegentlich nicht einmal minimalste Anforderungen und würden sich in einem Ernstfall als völlig nutzlos erweisen. Im Grundsatz beruht Datensicherung auf dem einfachen Konzept der Redundanz. Durch Bereitstellen von Kopien der zu schützenden Datenbestände soll im Falle einer Störung oder eines Verlustes möglichst rasch ein geordneter Betrieb wieder hergestellt werden können. Datensicherung darf dabei nicht verwechselt werden mit dem verwandten Konzept der Datenarchivierung (siehe Kap. 8).
143
Datensicherung
7.2
Grundlegende Aspekte
Bei der Planung und Umsetzung eines wirkungsvollen Datensi¬ cherungs- und -Wiederherstellungskonzepts spielen sowohl organisatorische als auch technische Aspekte eine Rolle. Nur ein wirkungsvolles Zusammenspiel verschiedener Maßnahmen garantiert im Problemfall eine rasche und zuverlässige Reaktion. Datensicherung und -Wiederherstellung sind anspruchsvolle Aufgaben, die nur gelingen, wenn sie auch entsprechend gut vorbereitet und eingeübt sind. Während das Sichern der Daten in der Regel ohne besonderen Zeitdruck erfolgen kann, muss das Wiederherstellen im Problemfall nicht selten unter sehr großem Zeitdruck erfolgen. Entsprechende Vorgehensweisen müssen deshalb vorab detailliert geplant, vorbereitet und getestet werden. Dabei sind insbesondere folgende Aspekte zu berücksichtigen: Art, Umfang und Häufigkeit, Verantwortung für Sicherung/Wiederherstellung, Aufbewahrungsort, -frist, Kosten, Technologie, Medien, Sicherungs-/Wiederherstellungsverfahren. A r t , Umfang, Aufgrund der heute anfallenden enormen Datenmengen und Häufigkeit deren sehr unterschiedlicher Bedeutung für einen Betrieb, ist eine Sicherung sämtlicher Daten nur in den wenigsten Fällen und höchstens in kleinen Verhältnissen sinnvoll und überhaupt durchführbar. Im Normalfall ist vielmehr eine Auswahl zu treffen, welche Daten zu sichern sind und wie oft und auf welche Weise dies geschehen soll. Basis bildet hier ein nachgeführtes Dateninventar, das entsprechend mit Prioritäten zu versehen ist. Im Zentrum der Überlegungen muss dabei die Bedeutung der entsprechenden Datenbestände für einen Betrieb stehen. Datenverluste können zu sehr drastischen Konse-
144
Datensicherung
quenzen, bis hin zur totalen Geschäftsaufgabe, führen. Für das Setzen von Prioritäten ist auch notwendige Zeit für eine Wiederherstellung oder Wiederbeschaffung in die Überlegungen mit einzubeziehen. Datensicherung und -Wiederherstellung sind Prozesse, die Verantwortungen möglichst zentral, weitestgehend automatisiert und mit klarer festlegen Verantwortlichkeit durchgeführt werden müssen. Die entsprechenden Verantwortungen (inkl. Stellvertretungen) und Kompetenzen sind deshalb klar zu regeln. Datensicherungen sind mit derselben Sorgfalt zu behandeln Aufbewahrungswie die Originaldaten. Speichermedien mit Kopien von Origi- ort, -frist naldaten sind aber nach Möglichkeit von diesen getrennt aufzubewahren. Datensicherungen dienen nicht der langfristigen Aufbewahrung, entsprechend müssen sie auch nicht über eine längere Zeitdauer aufbewahrt werden. Datensicherung verursacht sowohl Personalkosten als auch Kosten Kosten für Geräte, Software, Speichermedien etc. Es gilt deshalb auch hier genau abzuwägen, welcher Aufwand betrieben werden soll. Da typischerweise keine präzisen Informationen über den Wert von Daten vorliegen und auch mögliche Kostenfolgen bei einem eventuellen Datenverlust bestenfalls geschätzt werden können, gilt es hier einen vernünftigen Mittelweg zu finden. Bei der Umsetzung ist aus einer Vielzahl von unterschiedlichen Technologie, Technologien auszuwählen. Volumen, zeitliche Verhältnisse, Medien Kosten u. v. a. m. bestimmen dabei die Wahl der einzusetzenden Technik und der zu wählenden Speichermedien. Die anzuwendenden Datensicherungs- und Wiederherstel- Verfahren lungsverfahren müssen auf die konkrete Situation abgestimmt werden und genau dokumentiert sein. Es ist anzustreben, entsprechende Verfahren so weit wie möglich zu automatisieren. Eine regelmäßige manuelle Überwachung des Prozesses ist aber unabdingbar. Das umfasst weit mehr als das bloße Bereitstellen und Auswechseln von Speichermedien. Das Verhalten im Problemfall muss eingeübt sein.
145
Datensicherung
7.3
Speicherhierarchie
Speichermedien werden aufgrund ihres hauptsächlichen Verwendungszwecks in folgende drei Kategorien eingeteilt: Primärspeicher, Sekundärspeicher, Tertiärspeicher. Primärspeicher
Sekundärspeicher
Mit dem Begriff Primärspeicher werden sehr schnelle, flüchtige (volatile) Halbleiterspeicher bezeichnet. Flüchtig heißt, dass der Inhalt des Speichers nur zur Laufzeit des Systems zur Verfügung steht. Wird das System ausgeschaltet, geht der Inhalt verloren. Der Preis pro Byte ist vergleichsweise hoch. Primärspeicher werden deshalb vorwiegend dort eingesetzt, wo die Geschwindigkeit eine wesentliche Rolle spielt, insbesondere als Hauptspeicher (RAM, random access memory) und CacheSpeicher (das sind schnelle Zwischenspeicher zwischen Zentraleinheit und Hauptspeicher). Mit Sekundärspeicher werden Speichermedien bezeichnet, die permanent direkt zugreifbar sind („on-line"). Der Zugriff ist jedoch um rund fünf Größenordnungen langsamer als bei Primärspeichern. Ihr Preis pro Byte ist sehr niedrig. Sie werden für die dauerhafte (persistente) Speicherung großer Datenmengen eingesetzt. Sie behalten die Daten über die Laufzeit des Systems hinaus (d. h. auch in abgeschaltetem Zustand gehen die Daten nicht verloren). Für Sekundärspeicher gelangen oft magnetische Speicher zum Einsatz (Harddisks). Zu dieser Gruppe zählen aber auch magnetische und magneto-optische Wechselplattenlaufwerke, Diskettenlaufwerke und Memory-Card-Drives, CD- und DVDLaufwerke. Aufgrund des rasanten Preisverfalls und der stark angestiegenen Kapazitäten können Sekundärspeicher heute zunehmend auch zu Datensicherungs- und Archivierungszwecken eingesetzt werden.
146
Datensicherung Tertiärspeicher sind Speichermedien, die nicht permanent zur Tertiärspeicher Verfügung stehen („off-line"). Sie sind billig, weisen eine hohe Kapazität auf und werden hauptsächlich zur Datensicherung und -archivierung eingesetzt. Typischerweise gelangen magnetische und optische Speichermedien zum Einsatz (z. B. Bänder, DVDs, ...). Speicherhierarchie
-
Tabelle 7-1
Vergleich Primärspeicher
Sekundärspeicher
Tertiärspeicher
Geschwindigkeit
Schnell
Langsam
Sehr Langsam
Preis pro Byte
Hoch
Tief
Tief
Dauerhaftigkeit
Volatil
Persistent
Persistent
Größe
Klein
GroßSehr groß
Sehr groß
7.4
Speicherarchitektur
Speichermedien können auf verschiedenste Arten eingesetzt und betrieben werden. Man unterscheidet folgende Architekturen: Direct Attached Storage - DAS, Network Attached Storage - NAS, Storage Area Network - SAN, iSCSI. Direct attached storage (DAS) ist die älteste und am weitesten Direct attached verbreitete Architektur. Dabei werden die Speichergeräte direkt storage an einen Rechner (Server) angeschlossen (intern eingebaut oder extern angeschlossen). DAS ist die Architektur, die beispiels-
147
Datensicherung weise bei Arbeitsplatzrechnern (interne Harddisk) zur Anwendung gelangt.
Tabelle 7-2 DAS - Beurteilung
Network
Vorteile
Nachteile
• Einfaches Konzept
• Skaliert schlecht
•
Weit verbreitet
•
Zuverlässig
•
Günstig
• Erheblicher Overhead durch nicht genutzte Betriebssystemfunktionen
•
Schnell
• Aufwändige Installation
attached Von Network Attached Storage (NAS) spricht man, wenn ein storage netzwerkfähiges Gerät speziell für den Zugriff auf Speichermedien wie Festplatten und CD-/DVD-ROM eingesetzt wird. Ein „thin Server" bildet dabei die Schnittstelle zwischen den Speichergeräten und dem Netzwerk und ermöglicht deren Konfiguration und Verwaltung. In Abgrenzung zu Dateiservern sind NAS-Komponenten aber auf das Wesentliche beschränkt. NAS-Geräte unterstützen oft unterschiedliche Dateisysteme und Netzwerkprotokolle.
Tabelle 7-3 NAS - Beurteilung Vorteile
Nachteile
• Kein Overhead durch nicht benötigte Betriebssystemfunktionen (z. B. Benutzerverwaltung, ...)
• File-basiertes I/O
•
•
Zurzeit noch relativ teuer
• Belastung des Netzwerkes
Einfach installier- und konfigurierbar (oft via http)
• Einfach erweiterbar
Storage area Mit Storage Area Networks (SAN) bezeichnet man spezielle network Hochgeschwindigkeitsnetze, - meistens basiert auf Fibre-chan¬ nel-Technologie - über die große Speichereinheiten direkt mit
148
Datensicherung Servern verbunden werden. Auf diese Weise können hochverfügbare Speicherkomponenten mehreren Servern direkt zugänglich gemacht werden. Der Datenaustausch erfolgt dabei direkt zwischen Speicherkomponenten und Server. Dabei lassen sich wesentlich größere Distanzen zwischen Server und Speichergerät überwinden als etwa bei DAS. Diese Architektur ist insbesondere dann sinnvoll, wenn das zu übertragende Datenvolumen zwischen Server und Speichermedium sehr viel größer ist als das zwischen Server und Client (z. B. bei Datensicherungsaufgaben, DB-Anwendungen, ...).
Tabelle 7-4
SAN - Beurteilung Vorteile
Nachteile
• Gute Skalierbarkeit
•
• Hohe Ausfallsicherheit
• Aufwändige Installation
• Hohe Leistung
• Noch keine Standards
Teuer
• Große Distanzen • Entkoppelung von Servern und Speicherkomponenten
SAN-Installationen spielen zurzeit in kleineren und mittleren Umgebungen noch keine wesentliche Rolle. Sie werden vor allem in großen Installationen eingesetzt. Mit iSCSI („SCSI over Internet") schließlich versucht man die iSCSI Nachteile von SAN zu überwinden, indem man für Speichernetzwerk und sonstiges Datennetz dieselbe Technologie verwendet, die Speichergeräte aber nach wie vor (wie auch bei DAS oft üblich) via SCSI ansteuert. Dazu werden die SCSI-Befehle in IP-Pakete „verpackt". iSCSI ist eine noch sehr junge Technologie (der Standard wurde im Februar 2003 von der IETF verabschiedet). iSCSI hat in der betrieblichen Praxis noch keine wesentliche Verbreitung (das kann sich aber möglicherweise rasch ändern).
149
Datensicherung
7.5
RAID
Für die betriebliche Praxis bedeutsame Datenbestände werden heute auf Sekundärspeichern, insbesondere Plattenspeichern, gehalten. Ausfälle solcher Speichergeräte wiegen schwer, man versucht daher, das Risiko eines Datenverlustes durch geeignete Techniken, insbesondere durch Einführung von Redundanz, zu minimieren. Ein in dem Zusammenhang heute für die Praxis sehr bedeutsames Konzept wurde 1989 unter dem Namen RAID (redundant array of inexpensive disks) vorgestellt (siehe auch [2]). Die Grundidee ist dabei recht einfach: Mehrere - mittlerweile sehr günstige - physische Festplattenlaufwerke werden zusammengeschaltet, um ein gemeinsames logisches Laufwerk zu bilden („Disk-Array"). Auf diesem logischen Laufwerk werden sowohl Daten als auch redundante Informationen gespeichert. Abbildung 7-1
RAID - Prinzip
RAID-Controller
Disk-Array
Laufwerk 1
Laufwerk 2
Laufwerk n
Das Disk-Array wird von einem Controller gesteuert. Dieser kann sowohl in Hardware wie auch in Software realisiert sein. Softwarelösungen gelangen jedoch aufgrund ihrer geringeren Leistungsfähigkeit nur in einfacheren Verhältnissen zum Einsatz.
150
Datensicherung
7.5.1
RAID-Stufen
Je nach Art der Verteilung der Daten auf die verschiedenen Laufwerke unterscheidet man verschiedene so genannte RAIDLevels (auch RAID-Stufen genannt). Für die Praxis vor allem bedeutsam sind die Levels 0, 1, 5 und 1+0. Diese werden im Folgenden kurz vorgestellt. Für weitergehende Informationen sei auf [3] verwiesen.
RAID 0 - Data striping Bei der RAID Stufe 0, die keine zusätzliche Sicherheit bietet, werden die Daten gleichmäßig auf mehrere Laufwerke verteilt. Dadurch lässt sich bei sequenziellem Zugriff eine hohe Trans¬ ferrate erreichen. Das Verteilen wird durch den RAID-Con¬ troller vorgenommen.
RAID 1 - Spiegelung (Mirroring, Duplexing) Bei der RAID Stufe 1 werden die Daten identisch - und damit vollständig redundant - auf mehrere (in der Regel zwei) Laufwerke verteilt.
Abbildung 7-2
RAID-0 und RAID-1 RAID-0
A C
RAID-1
B D
A B
A B
RAID-1 bietet guten Schutz gegen den Ausfall eines einzelnen Laufwerkes. Da gegenüber herkömmlicher Speicherung die doppelte Speicherkapazität benötigt wird, wird RAID-1 vor allem bei kleineren Datenvolumen eingesetzt.
151
Datensicherung RAID 1+0 / RAID10- Kombination Um die Vorteile von RAID 0 und 1 (Sicherheit und Leistungsfähigkeit) gemeinsam zu nutzen, werden bei diesem Level beide Ideen kombiniert eingesetzt. Man findet dafür sowohl die Bezeichnung RAID 10 wie auch RAID 1+0.
Abbildung 7-3 RAID 1+0 bzw. 10
RAID 1+0/10
A C
A C
B D
B D
Auch dieses Konzept verursacht durch den noch höheren Bedarf an Speichergeräten bei großen Datenmengen natürlich entsprechende Kosten und wird darum auch eher in kleineren Umgebungen eingesetzt.
Parity (Parität) Um bei einem Ausfall eines Laufwerkes die Daten wieder rekonstruieren zu können, benötigt man keine vollständige Kopie. Durch Anwendung des Parity-Konzeptes gelingt eine Rekonstruktion der Daten auch mit weniger Redundanz. Das zugrunde liegende Prinzip ist dabei recht einfach. Man nimmt n Datenelemente und berechnet daraus ein weiteres Element. Diese n+1 Elemente verteilt man auf n+1 Laufwerke. Verliert man nun irgendeines dieser n+1 Elemente, so lässt es sich aus den übrigen n Elementen wieder rekonstruieren.
152
Datensicherung Die Berechnung der Paritätsinformation erfolgt dabei mit der logischen Operation „Exklusives ODER (XOR)". Die Wahrheitstabelle für diese Operation sieht wie folgt aus: Wahrheitstabelle
Tabelle 7-S
für XOR
A
B
A XOR B
0
0
0
0
1
1
1
0
1
1
1
0
Die in diesem Zusammenhang interessante Eigenschaft der Operation XOR ist die, dass gilt: A XOR B XOR B = A Diese Eigenschaft wird nun bei RAID eingesetzt. Aus vier Datenelementen d , d , d und d berechnet man die Parität dp 1
2
3
4
als: d = d XOR d XOR d XOR d p
1
2
3
4
Wenn man nun beliebige vier Elemente kennt, so kann man das fünfte daraus berechnen, z. B.: d = d XOR d XOR d XOR d 3
1
2
4
P
Die RAID-Stufen 3, 4, und 5 unterscheiden sich im Wesentlichen in verschiedenen Varianten der Verteilung dieser Paritätsinformationen. In der Praxis spielt vor allem die RAID-Stufe 5 eine große Rolle. 1
Für Informationen zu weiteren RAID-Stufen, insbesondere auch Kombinationen, sei auf [4] verwiesen.
1
Die RAID-Stufe 2 zeichnete sich durch Spiegelung und die Einführung eines fehlerkorrigierenden Hamming-Codes aus. Sie spielt in der Praxis heute keine Rolle mehr.
153
Datensicherung RAID 5 - Striping mit verteilter Parity Bei RAID Stufe 5 werden sowohl die Daten wie auch die ParityInformation gleichmäßig über mehrere Laufwerke verteilt.
Abbildung 7-4 RAID 5
RAID 5
A D G P (J-L)
7.5.2
B E P(G-I) J
C P (D-F) H K
P (A-C) F I
L
Beurteilung und Einsatz
Speichergeräte basierend auf RAID-Konzepten sind heute in der Praxis weit verbreitet. Ein korrekt aufgesetztes und betriebenes RAID-System kann die Ausfallzeit aufgrund von Hardwareschäden deutlich reduzieren. Bei der Risikobeurteilung eines RAID-Arrays müssen aber mehrere Elemente berücksichtigt werden: Ausfallwahrscheinlichkeit (MTBF) einzelner HardwareKomponenten (Laufwerke, Kontroller, Stromversorgung, ...), Hot-swapping, Automatische Rekonfiguration, Skalierung. Ausfallwahrscheinlichkeit
154
Je größer die Anzahl eingesetzter Laufwerke ist, desto höher wird auch die Ausfallwahrscheinlichkeit des gesamten Systems. Wenn beispielsweise die MTBF (mean time between failure) eines einzelnen Laufwerkes bei 400 000 Stunden liegt, so liegt die MTBF eines RAID-Array mit vier gleichartigen Laufwerken bei nur noch 100 000 Stunden (wenn man zudem noch die Aus-
Datensicherung fallwahrscheinlichkeit anderer Komponenten wie z.B. des RAID-Kontrollers oder der Stromversorgung dazu zählt, wird dieser Wert noch schlechter). RAID-Arrays bieten somit nur eine erhöhte Sicherheit in Zusammenhang mit Maßnahmen zur Fehlertoleranz. Moderne RAID-Kontroller bieten die Fähigkeit, bei Ausfall Hot eines Laufwerks dieses im laufenden Betrieb zu ersetzen. Man spricht in diesem Zusammenhang von hot swapping. Während der Dauer des Ausfalls (und bis zur Rekonfiguration eines ersetzten Laufwerks) sinkt dabei die Leistung des RAID-Arrays unter Umständen spürbar, das Gesamtsystem kann jedoch unterbrechungsfrei weiter betrieben werden.
swapping
In manchen Situationen ist auch die Fähigkeit sehr nützlich, ein Rekonfiguration RAID-Array dynamisch, das heißt im laufenden Betrieb erwei- Skalierung tern zu können (Einbau zusätzlicher Laufwerke). Auch während dieses Vorgangs sinkt unter Umständen die Leistung des Gesamtsystems vorübergehend. RAID-Systeme gelangen heute sowohl als DAS- wie auch bei NAS-Systemen zum Einsatz. Es darf aber keineswegs vergessen werden, dass auch RAID-Systeme nach wie vor gegen Ausfälle und Schäden nicht vollständig schützen, somit eine regelmäßige Datensicherung nach wie vor unabdingbar ist!
Extended Data Availability and Protection - EDAP Die verschiedenen RAID-Level orientieren sich an den zugrunde liegenden technischen Prinzipien. Oft wird fälschlicherweise dabei davon ausgegangen, dass ein höherer RAID-Level auch mehr Sicherheit bedeute. Das RAID Advisory Board (RAB) ein 1992 entstandener Zusammenschluss von rund vierzig Herstellern von Speichergeräten - hat deshalb ein anwendungsorientierteres Klassifikationsschema entwickelt. In die Bewertung der Zuverlässigkeit werden dabei die Komponenten eines gesamten RAID-Systems einbezogen.
155
Datensicherung
Gemäß diesem Schema werden folgende drei Stufen unterschieden (die hierarchisch aufeinander aufbauen): Fehlerresistente Systeme (FRDS - failure resistant disk Systems) Fehlertolerante Systeme (FTDS - failure tolerant disk Systems) Katastrophentolerante Systeme (DTDS - disaster tolerant disk Systems) Fehlerresistente Systeme
Fehlerresistente Systeme sind Plattensysteme, die einen Laufwerkfehler umgehen können, die Integrität aufrecht erhalten und demnach trotz des Fehlers weiterhin Zugang zu den Daten bieten.
Fehlertolerante Systeme
Als fehlertolerant gilt ein System, wenn es auch bei Ausfall einer Komponente (Kontroller, Stromversorgung, ...) weiterhin fehlerfreie Daten liefert.
KatastrophenEin katastrophentolerantes System schließlich liefert auch dann tolerante Systeme noch fehlerfreie Daten, wenn eine komplette Zone eines Systems ausfällt (das aus mindestens zwei Zonen besteht, die bis zu einem Kilometer auseinander liegen dürfen). Neben dieser grundlegenden Unterteilung finden sich in EDAP insgesamt 20 dedizierte Spezifikationen, welche in die drei Kategorien eingehen. EDAP wurde letztlich geschaffen, um die Auswahl eines konkreten Systems zu erleichtern. Die zugrunde liegenden technischen Verfahren spielen dabei für den Betreiber aber eine untergeordnete Rolle.
156
Datensicherung
7.6
Datensicherungsarten
7.6.1
Unterscheidung nach Umfang
Bei einer Einteilung anhand des Umfangs lassen sich im Wesentlichen folgende Datensicherungsarten unterscheiden: Vollständige Datensicherung, Differenzielle Datensicherung, Inkrementelle Datensicherung (Zuwachssicherung), Selektive Datensicherung, Cloning, Imaging. Bei einer vollständigen Datensicherung wird der gesamte zu Vollständige sichernde Datenbestand vollständig auf Datensicherungsme- Datensicherung dien kopiert. Während des Sicherungsvorganges sollte der Datenbestand nicht verändert werden. Der Vorteil dieses Verfahrens liegt in der Einfachheit der Datenwiederherstellung. Diese kann in einem Durchgang erfolgen. Nachteilig ist der bei größeren Datenbeständen hohe Zeitbedarf und der Verbrauch an Sicherungsmedien. Bei der differenziellen Datensicherung wird zuerst eine vollstän- Differenzielle dige Datensicherung durchgeführt. Anschließend werden im Datensicherung Rahmen von Folgesicherungen nur noch diejenigen Daten gesichert, die sich seit der letzten vollständigen Sicherung verändert haben. Der Vorteil dieses Verfahrens liegt darin, dass der Zeitaufwand (für die Folgesicherungen) in der Regel deutlich kleiner ist als für eine Vollsicherung und dass weniger Sicherungsmedien benötigt werden. Nachteilig hingegen ist der erhöhte Zeitbedarf im Falle einer Wiederherstellung, da in einem ersten Schritt zuerst die Vollsicherung zurückgespielt werden muss, gefolgt von einer Wiederherstellung der differenziellen Sicherung Auch bei einer inkrementellen Datensicherung erfolgt zuerst eine Inkrementelle Vollsicherung. Anschließend werden aber in Folgesicherungen Datensicherung nur noch diejenigen Daten gesichert, die sich seit der letzten
157
Datensicherung Sicherung verändert haben. Auch diese Methode zeichnet sich dadurch aus, dass der Zeitaufwand (für die Folgesicherungen) in der Regel deutlich kleiner ist als für eine Vollsicherung und dass wenig Sicherungsmedien benötigt werden. Nachteilig hingegen ist der erhöhte Zeitbedarf im Falle einer Wiederherstellung, da in einem ersten Schritt zuerst die Vollsicherung zurückgespielt werden muss, gefolgt von einer Wiederherstellung aller inkrementellen Sicherungen. Inkrementelle Sicherungen können zudem das Problem bieten, dass der Speicherbedarf für die Rücksicherung größer ist als der für die Originaldaten benötigte. Dazu folgendes Beispiel zur Illustration: Ein Laufwerk (12 Gigabytes Kapazität) sei inkrementell zu sichern. Am Montag erfolgt eine Vollsicherung, gefolgt von täglichen inkrementellen Sicherungen. Am Freitag soll eine vollständige Wiederherstellung erfolgen. Diese kann nicht durchgeführt werden, da der Platzbedarf für die Vollsicherung, gefolgt von den inkrementellen Sicherungen nicht ausreicht.
Tabelle 7-6 Beispiel zum
Selektive Datensicherung
Cloning,
158
Platzproblem
bei
inkrementeller Datensicherung
Tag
benötigter Platz
Zuwächse
Löschungen Volumen gesichert
Montag
10
1
0
11
Dienstag
11
1
3
1
Mittwoch
9
2
0
2
Donnerstag
11
1
3
1
Bei einer selektiven Datensicherung schließlich werden nur einzelne ausgewählte Daten gesichert. Dieses Verfahren hat den Vorteil eines geringen Zeit- und Sicherungsmedienbedarfes, erfordert jedoch eine genaue Festlegung, was gesichert werden soll.
Imaging Beim so genannten Cloning oder Imaging schließlich werden Laufwerke mit Hilfe spezielle Programme sektorweise, das heißt auf einer Abstraktionsebene unterhalb der Dateiverwal-
Datensicherung tung eines Betriebssystems, kopiert. Damit lassen sich komplette l:l-Kopien von Laufwerken herstellen. Diese Methode wird oft verwendet, um ganze Systemkonfigurationen von Arbeitsplatzrechnern zu sichern und wieder herzustellen. Sie hat den Vorteil, dass damit rasch der komplette Inhalt eines Laufwerkes wieder hergestellt werden kann. Man benötigt jedoch Sicherungsmedien, die mindestens so groß sind wie das zu sichernde Laufwerk. Das Verfahren ist auch in der Regel nicht übermäßig schnell und erlaubt nur umständlich ein selektives Wiederherstellen. Ein Vergleich der vorgestellten Datensicherungsarten ergibt folgende Rangfolgen: Vergleich
der
Vergleichskriterium
Rangfolge
Zeitbedarf für Sicherung
Inkrementell < Differenziell < Vollständig
Zeitbedarf für Rücksicherung
Vollständig < Differenziell < Inkrementell
Platzbedarf für Sicherung
Inkrementell < Differenziell < Vollständig
Komplexität
Vollständig < Differenziell < Inkrementell
7.6.2
Tabelle 7-7
Datensicherungsarten
Unterscheidung nach Zeitpunkt
Bei einer Unterscheidung nach dem Zeitpunkt der Datensicherung lassen sich folgende Varianten unterscheiden: Zeitversetzte Datensicherung, Zeitnahe Datensicherung, Zeitgleiche Datensicherung. Von einer zeitversetzten Datensicherung spricht man, diese periodisch, z. B. einmal täglich durchgeführt wird.
wenn Zeitversetzte Datensicherung
159
Datensicherung Zeitnahe Datensicherung
Zeitnahe Datensicherungen erfolgen in einem Abstand von wenigen Sekunden bis zu einigen Minuten, beispielsweise bei einer Datenbankreplikation.
Zeitgleiche Datensicherung
Von zeitgleicher Datensicherung spricht man, wenn die Daten gleichzeitig auf mehrere Datenträger geschrieben werden, beispielsweise wenn eine synchrone Spiegelung erfolgt.
7.6.3
Generationenprinzip
In aller Regel genügt es nicht, nur gerade eine Kopie der zu sichernden Datenbestände bereitzuhalten. Da man beispielsweise immer damit rechnen muss, dass die Sicherungsmedien beschädigt werden können oder dass man auf zwischenzeitlich gelöschte Daten wieder zugreifen muss, erfolgen Datensicherungen in der Regel in mehreren so genannten Generationen. Dies erlaubt auch das Aufbewahren an verschiedenen räumlich voneinander getrennten Orten. Grundsatz dabei ist, dass ein Satz von Datensicherungsmedien erst dann wieder überschrieben werden darf, wenn ein komplett neuer erstellt (und geprüft!) wurde. Man spricht dabei vom Vater-Sohn-Prinzip. In der Praxis wird leider gelegentlich vergessen, die sich in den Laufwerken befindenden Medien regelmäßig auszutauschen. Auf diese Weise können natürlich keine länger zurückliegenden Dateiversionen wiederhergestellt werden und das Risiko eines Datenverlustes ist unnötig hoch. Ein weit verbreitetes Wechselschema mit einem längeren Durchlaufhorizont ist das Drei-Generationen-Prinzip (auch als „Grossvater-Vater-Sohn-Prinzip" bekannt). Bei diesem Schema werden drei verschiedene Mediensätze unterschieden. Eine tägliche Sicherung („Sohn"), eine wöchentliche („Vater") sowie eine monatliche („Großvater"). Die Sohn-Medien(-sätze) werden dabei mit den Tagen, an denen die Datensicherung läuft, gekennzeichnet. Für „Sohn"-Sicherungen wird typischerweise inkrementell gesichert. Die Medien werden in jeder Woche an den entsprechenden Tagen wieder benutzt. Die „Vater"-Datensicherungen erfolgen einmal wöchentlich, wobei eine Vollsicherung erfolgt. An Tagen mit
160
Datensicherung „Vater"-Sicherungen erfolgt selbstverständlich keine „Sohn"Sicherung. Auch die „Vater"-Medien werden nach einem Monat wieder benutzt. Am letzten Geschäftstag des Monats schließlich erfolgt eine „Grossvater"-Vollsicherung. Beispiel für
Großvater-Vater-Sohn-Prinzip - April 2004
Tabelle 7-8
Bei einem 7x24h-Betrieb ist das Schema selbstverständlich entsprechend anzupassen.
7.7
Technische Umsetzung
7.7.1
Wahl der Technologie
Vor der Realisierung eines Datensicherungsverfahrens muss auch die Frage nach der einzusetzenden Technologie geklärt werden. Sehr häufig gelangen dabei für eine zeitgleiche oder zeitnahe Sicherung RAID-Systeme zum Einsatz. Für zeitversetzte Datensicherungen spielen nach wie vor Bandlaufwerke eine sehr wichtige Rolle. Zunehmend werden aber auch optische Speichermedien eingesetzt oder die Daten werden über ein Netzwerk auf entfernte Plattenlaufwerke kopiert (u. a. bei NAS bzw. SAN-Architekturen). Im Bereich der Magnetbandtechnologien stehen heute eine Vielzahl unterschiedlicher Verfahren, Aufzeichnungsformate und Medien zur Verfügung (DAT, DLT, AIT,...). Für weitere Informationen hierzu sei auf [5] verwiesen.
161
Datensicherung
7.7.2
Software
Während in einfachen Verhältnissen der Einsatz von Hilfsprogrammen, die zum Lieferumfang von Betriebssystemen gehören, zur Sicherung der Daten genügen mag, gelangen in komplexeren Verhältnissen spezielle Datensicherungsprogramme zum Einsatz. Dabei müssen bei der Wahl eines solchen Programms eine ganze Reihe von Aspekten beachtet werden: Zeitgesteuertes Ablaufen Unterstützung verschiedener Medien Unterstützung verschiedener Sicherungsarten Unterstützung von Komprimierung & Verschlüsselung Unterstützung von „live backups" Selektive Wiederherstellung
Zeitgesteuertes Ablaufen
Aufgrund der oft großen Volumen und dem Wunsch, Datensicherungen automatisch ablaufen zu lassen, muss gewährleistet sein, dass der Vorgang zeitgesteuert ausgelöst werden kann.
Verschiedene Medien
Ein Datensicherungsprogramm sollte eine möglichst breite Palette von Sicherungsmedien unterstützen (neben verschiedenen Bandlaufwerkstypen z. B. auch Sicherungen über ein Netzwerk auf entfernte Plattenlaufwerke). Je nach Umgebung müssen auch mehrere Plattformen unterstützt werden. Auch spezielle Sicherungsgeräte (z. B. Bandwechsler) müssen unterstützt sein.
Sicherungsart
Es müssen verschiedene Sicherungsarten (Vollsicherung, in¬ krementelle Sicherung, ...) - auch kombiniert in einem einzigen Sicherungslauf - unterstützt werden. Nach erfolgter Sicherung muss die Integrität der Sicherung geprüft werden können (durch Vergleich mit dem Original).
Komprimierung, Verschlüsselung
Die meisten Datensicherungsprogramme sind heute in der Lage, die Daten vor der Speicherung zu komprimieren. Gele-
162
Datensicherung gentlich - bei besonders heiklen Daten - ist aber zusätzlich auch eine Verschlüsselung wünschbar. Nachteilig dabei ist, dass solcherart gespeicherte Daten nur auf einer Umgebung mit demselben Datensicherungsprogramm wieder hergestellt werden können. Aufgrund des oft großen Datenvolumens oder bei einem not- „Live wendigen 7x24h-Betrieb sind keine Zeitfenster vorhanden, während denen keine Benutzung erfolgt und eine Datensicherung durchgeführt werden könnte. Die Datensicherung muss deshalb im laufenden Betrieb (man spricht auch von „live backup") erfolgen können. Leistungseinbußen während der Sicherung sind aber gelegentlich in Kauf zu nehmen.
backup"
Sehr häufig müssen nicht vollständige Datenbestände wieder Selektive hergestellt werden, sondern nur einzelne Dateien. Datensiche- Wiederherstellung rungsprogramme müssen deshalb ein selektives Wiederherstellen möglichst effizient unterstützen. Bei der Auswahl eines Datensicherungsprogramms müssen insbesondere auch das Vorgehen und die notwendige Zeit für die Wiederherstellung mit berücksichtigt werden.
7.7.3
Hardware
Bei zeitversetzten Datensicherungsvorgängen übersteigt das zu sichernde Datenvolumen die Speicherkapazität einzelner auswechselbarer Medien in der Regel bei weitem. Während einem Datensicherungsvorgang müssen deshalb die Medien ausgewechselt werden. In einzelnen Fällen kann das durchaus manuell erfolgen, in etwas größeren Umgebungen und bei unbeaufsichtigten Datensicherungen müssen dazu aber spezielle Geräte eingesetzt werden. Die Bandbreite der verfügbaren Angebote reicht dabei von einfachen Bandwechslern („Autoloader") bis hin zu hochkomplexen, vollautomatisierten Band-Robotern.
163
Datensicherung
Datensicherungsgeräte, namentlich Bandlaufwerke, sind regelmäßig zu reinigen. Auch dieser Vorgang lässt sich aber bei einzelnen Produkten weitgehend automatisieren, beispielweise durch Einfügen eines Reinigungsbandes in den Mediensatz.
7.7.4
Wiederherstellung
Bei der Realisierung der Datensicherung wird oft viel Aufwand für das Sichern der Daten getrieben, der Vorgang der Wiederherstellung aber recht stiefmütterlich behandelt. Wenn es dann zu einem Problemfall kommt, der ein Wiederherstellen einer Datensicherung erfordert, fehlt oft eine genau dokumentierte und eingeübte Vorgehensweise und es kommt nicht selten erst während der Wiederherstellung zur eigentlichen Katastrophe. Neben einer regelmäßigen Überprüfung des Datensicherungsvorganges ist es deshalb von großer Wichtigkeit, auch das Wiederherstellen der entsprechenden Daten vorzubereiten, den Prozess genau zu dokumentieren und gelegentlich übungshalber, z. B. auf einem Testsystem, auch durchzuführen (siehe auch [6]).
7.7.5
Aufbewahrung von Sicherungsmedien
Sicherungsmedien sind regelmäßig auf ihren Zustand zu überprüfen und in gewissen Zeitabständen zu ersetzen. Entscheidende Bedeutung kommt auch einer sachgerechten Lagerung der Sicherungsmedien zu. Diese müssen physisch getrennt von den Geräten aufbewahrt werden. Bei wichtigen Daten ist ein Auslagern außerhalb des eigenen Betriebes zu prüfen. Bei der Wahl eines geeigneten Aufbewahrungsortes sind sowohl Anforderungen der Medien (Platzbedarf, klimatische Bedingungen, ...) als auch Kriterien der physischen Sicherheit entsprechend zu berücksichtigen.
164
Datensicherung
7.8
Empfehlungen für Praktiker
Erstellen
Sie
eine
Datensicherungsrichtlinie.
In einer Datensicherungsrichtlinie welche Daten, wie häufig, durch sind.
Empfehlung 7-1
soll festgelegt werden, wen und wie zu sichern
In einer Datensicherungsrichtlinie sind mindestens folgende Punkte genau zu regeln: Welche Daten sind zu sichern? Wer ist für das Sichern und Wiederherstellen verantwortlich (inkl. Stellvertreterregelung und -Schulung)? Wie häufig müssen die Daten gesichert werden? Welche Medien werden eingesetzt und wo und wie werden diese gelagert? Datensicherung ist ein Prozess, der nur durch einen klar bestimmten Personenkreis durchgeführt werden sollte. Das gilt sowohl für das Sichern wie auch für eine spätere Wiederherstellung im Problemfall. Die technischen Rahmenbedingungen müssen definiert sein und regelmäßig überprüft werden. Die Datensicherungsrichtlinie selbst ist ebenfalls periodisch zu überprüfen! Sichern Sie
Empfehlung 7-2
wichtige Daten mehrfach.
Sehr wichtige Datenbestände gesichert werden.
sollten
auf verschiedene Arten
Datensicherungen sind selbst wiederum Gefahren ausgesetzt. Sehr wichtige Daten sollten deshalb auf verschiedene Arten (z. B. durch eine zeitgleiche Sicherung mittels Spiegelung sowie eine Auslagerung auf Band) gesichert werden. Verschiedene Mediensätze müssen getrennt gelagert werden.
165
Datensicherung
Empfehlung 7-3 Üben
(und prüfen!)
Sie
die
Datenwiederherstellung.
Reaktionen im Fehlerfall erfolgen großem Zeitdruck. Entsprechende darum eingeübt werden.
in der Regel unter Maßnahmen müssen
Die Wiederherstellung von Datenbeständen muss in regelmäßigen Abständen eingeübt werden. Durch unsachgemäßes Vorgehen bei der Wiederherstellung kann zusätzlich großer Schaden entstehen. Entsprechende Prozesse müssen deshalb sicher beherrscht werden. Empfehlung 7-4 Automatisieren
&
zentralisieren
Sie
die
Datensicherung.
Datensicherungen sollten weitestgehend automatisiert laufen. Zu sichernde Daten sind zentral abzulegen.
ab-
Eine Datensicherung, die regelmäßige manuelle Eingriffe erfordert, kann auf lange Sicht nicht erfolgreich sein. Entsprechende Prozeduren sind deshalb so weit wie möglich zu automatisieren. Dazu gehört sowohl das zeitgesteuerte Ausführen entsprechender Kopiervorgänge wie auch das Wechseln der Sicherungsmedien. Daten, die regelmäßig zu sichern sind, sollten auf zentralen Dateiservern abgelegt werden. Empfehlung 7-5 Überwachen
Sie
den
Datensicherungsprozesse und anzupassen.
Datensicherungsprozess sind
regelmäßig
zu
regelmäßig. überwachen
Die Konfiguration und der erfolgreiche Abschluss einzelner Sicherungen ist regelmäßig, insbesondere nach jeder Konfigurationsänderung, zu überprüfen. Das gilt insbesondere auch für automatisiert ablaufende Sicherungsvorgänge.
166
Datensicherung
7.9 [1]
Literatur The Risks Digest - Forum On Risks To The Public In Computers And Related Systems,
[4]
http://catless.ncl.ac.uk/Risks Patterson, D.A., et al. Introduction to redundant arrays of inexpensive disks. in COMPCON Spring '89.1989: IEEE Computer Society Press. Toigo, J.W., The Holy Grail of Data Storage Management. 2000: Prentice Hall. Redundant Arrays of Inexpensive Disks (RAID),
[5]
http://www.pcguide.com/ref/hdd/perf/raid/ Wald, E., Backup & Disaster Recovery. 2002, Bonn: MITP-
[2]
[3]
[6]
Verlag. Chirillo, J. und Blaul, S., Storage Security: Protecting, SANs, NAS, and DAS. 2003: Wiley.
167
8
Datenarchivierung
8.1
Einleitung
Datenarchivierung wird leider oft mit Datensicherung verwechselt. Bei der Archivierung digitaler Daten geht es jedoch um die langfristige Aufbewahrung von Daten in elektronischer Form. Langfristig kann in diesem Zusammenhang durchaus Jahre oder Jahrzehnte bedeuten! Das Problem des langfristigen Erhaltens von Daten in elektronischer Form mit dem Ziel, diese in ferner Zukunft weiterhin elektronisch nutzen zu können, darf durchaus zu den großen und heute im Wesentlichen noch ungelösten Problemen der Informatik gezählt werden. Praktische Erfahrungen über längere Zeiträume fehlen weitgehend. Gemäß einer an der Universität Berkeley durchgeführten Studie wurde im Jahre 2002 weltweit eine Menge von rund fünf Exabytes an gespeicherten Daten produziert (siehe [1]). Das sind achthundert Megabytes pro Kopf der Weltbevölkerung. In Büchern „gemessen" entspricht das etwa einer Bücherreihe mit einer Länge von zehn Metern pro Person! Die weltweit durch EMail generierte Datenmenge betrug rund vierzig Petabytes (einige Beispiele zur Veranschaulichung von einzelnen Größenordnungen findet man in [2]). Auch wenn man davon ausgehen darf, dass davon nur ein sehr kleiner Teil langfristig aufbewahrt werden muss, hat das Problem doch eine ganz beeindruckende Dimension. Dazu kommt, dass sich diese Menge gegenüber einer im Jahre 2000 durchgeführten vergleichbaren Studie derselben Autoren fast verdoppelt hat. 1
1
Davon sind 92 % auf magnetischen Speichermedien - hauptsächlich Harddisks - gespeichert. Filme repräsentieren 7 % und Papier lediglich 0.01 %!
169
Datenarchivierung Leider besteht die berechtigte Befürchtung, dass vieles davon im heutigen „digitalen" Zeitalter rasch auch wieder unwiederbringlich verloren geht (siehe auch [3]). Zur Erhaltung dieses „digitalen Erbes" sind deshalb inzwischen verschiedene Initiativen gebildet worden (z. B. [4]).
8.2
Gründe für Archivierung
Das Problem der Datenarchivierung stellt sich für jeden Betrieb regelmäßig. Das langfristige Aufbewahren von Daten in analoger Form (z. B. auf Papier oder Mikrofilm) hat dabei eine sehr lange Tradition und hat Techniken und Verfahren hervorgebracht, die den Erhalt von Daten über lange Zeiträume erlauben. Der Wunsch, Daten in elektronischer Form über eine längere Zeitdauer zu erhalten, kann ganz verschiedene Ursachen habe: Betriebliche Erfordernisse, Gesetzliche oder sonstige Auflagen, Art und Umfang der Daten.
170
Betriebliche Erfordernisse
Je nach Art der Daten gehört es zum „Betriebszweck", diese langfristig verfügbar zu halten. So sind beispielsweise im medizinischen Bereich Patientendaten über Jahre oder Jahrzehnte nachzuführen oder im Bibliothekswesen werden Kataloge über Jahrzehnte gepflegt. Man denke aber auch an die Diskussionen im Zusammenhang mit nachrichtenlosen Vermögen. Da sollte plötzlich wieder auf jahrzehntealte Datenbestände zurückgegriffen werden können.
Gesetzliche Auflagen
Die Gesetzgeber haben in vielen Ländern Gesetze erlassen, die dazu verpflichten, gewisse Daten über längere Zeiträume aufzubewahren. Dazu gehören beispielsweise die Aufbewah¬ rungspflichten für Geschäftsbücher juristischer Personen (siehe z. B. [5]) oder auch die Aufbewahrungspflicht für Zugangsdaten von Internet-Serviceprovidern (siehe z. B. [6, 7]).
Datenarchivierung Auch sonstige Auflagen, wie beispielsweise die Forderung nach Rückverfolgbarkeit von Geschäftsprozessen, die unter anderem im Rahmen von Qualitätssicherungsprogrammen eine Rolle spielt, führen dazu, dass Daten langfristig aufbewahrt werden müssen. Schließlich können auch Art und Umfang der Daten dazu füh- Art ren, diese (nur) in elektronischer Form erhalten zu wollen. Bei sehr großen Datenmengen, die heute vielfach in elektronischer Form anfallen (z. B. E-Mail), stoßen herkömmliche analoge Verfahren (Papier, Mikrofilm, ...) sehr rasch an Grenzen.
8.3
und Umfang
Anforderungen
Bei der elektronischen Archivierung sind in der Regel folgende Anforderungen zu berücksichtigen: Langfristige Verfügbarkeit, Große Volumen, aber niedrige Zugriffsgeschwindigkeit, Niedrige Kosten pro Einheit. Elektronisch archivierte Daten müssen auch noch nach Jahren Langfristige oder gar Jahrzehnten elektronisch lesbar sein. Sie dürfen wäh- Verfügbarkeit rend der Lagerung weder zerstört noch verändert werden. In der Regel geht es bei der Archivierung um große Datenvo- Große lumen; tendenziell (da man oft den Aufwand einer Bereinigung und Entsorgung scheut) wachsen die Archive nur.
Volumen
Die Zugriffsgeschwindigkeit auf Archivdaten spielt in der Regel aber eine untergeordnete Rolle. Aufgrund der großen Volumen werden, wo immer möglich, Niedrige Medien mit einem niedrigen Preis pro Speichereinheit eingesetzt. Es gilt aber zu beachten, dass bei der Archivierung selbstverständlich noch eine ganze Reihe weiterer Kostenarten anfallen (Personalkosten, Lagerkosten, ...).
Kosten
171
Datenarchivierung
8.4
Probleme
Heute fallen große Datenmengen bereits in elektronischer Form an. Dazu kommt eine rasante technologische Entwicklung elektronischer Speichermedien (Speicherkapazität, Zugriffsgeschwindigkeit, Miniaturisierung, Preis, ...). Eine Archivierung in elektronischer Form scheint deshalb sehr attraktiv. Gerade dieser technologische Fortschritt bildet aber eines der wesentlichen Probleme. Elektronisch gespeicherte Daten sind für den Menschen - im Gegensatz beispielsweise zu Aufzeichnungen auf Papier - nicht unmittelbar lesbar. Ein Beispiel aus dem Bereich „Textverarbeitung" mag das verdeutlichen:
Abbildung 8-1 Gutenberg-Bibel (um
1500)
Die Gutenberg-Bibel ist nach rund fünfhundert Jahren nach wie vor ohne weitere Hilfsmittel problemlos lesbar.
172
Datenarchivierung Im Gegensatz dazu kann eine Datei, die im Jahre 1985 mit Hilfe des Programms „Wordstar" erstellt und z. B. auf einer 5 1/4-ZollDiskette gespeichert wurde, heute nur noch mit erheblichem Aufwand gelesen werden.
Abbildung 8-2
8-, 5 1/4- und 3 1/2-Zoll-Diskette
Um elektronisch gespeicherte Daten wieder zugänglich zu machen, müssen folgende Voraussetzungen gegeben sein: Lesbarkeit des Mediums, einsatzbereite Geräte, Kenntnis über Aufzeichnungsformate und Programme, um diese lesen zu können. Speichermedien, die elektronische Daten enthalten, sind Alte- Lesbarkeit rungsprozessen unterworfen (das gilt selbstverständlich auch Mediums
des
für analoge Datenträger). So können beispielsweise durch Ent¬ magnetisierung, Korrosionsprozesse,
starke
Temperatur-
schwankungen oder unsachgemäße Lagerung die aufgezeichneten Daten zerstört werden. Für viele Arten von Datenträgern liegen heute erst wenige empirische Erfahrungen über die Lebensdauer vor.
173
Datenarchivierung Für heute weit verbreitete Medien zur Speicherung elektronischer Daten geht man von folgenden Größenordnungen aus [8] (unter optimalen Lagerungsbedingungen): Bänder:
10 - 30 Jahre
Disketten:
5 - 1 0 Jahre
Festplatten:
10 Jahre
CD-ROM:
30-100 Jahre
Im Gegensatz dazu: Säurefreies Papier:
100 - 500 Jahre
Mikrofilm:
10 - 500 Jahre
Das Problem der Alterung der Datenträger lässt sich grundsätzlich durch periodisches Umkopieren lösen. Einsatzbereite Geräte
Sehr viel schneller als die Datenträger selbst veraltet aber die dazugehörige Technologie, um die entsprechenden Medien zu beschreiben und wieder zu lesen. Dazu werden einerseits Geräte benötigt, die teilweise schon nach vergleichsweise kurzer Zeit wieder vom Markt verschwinden, andererseits muss auch Systemsoftware zur Steuerung dieser Geräte verfügbar sein (man spricht hier in der Regel von so genannten „Treibern", das sind Komponenten eines Betriebssystems zur Steuerung von Geräten). Ohne entsprechende Geräte und steuernde Software sind die Datenträger nicht mehr lesbar und damit wertlos. So findet man für oben genanntes Beispiel nur noch an sehr wenigen Orten betriebsbereite Geräte, die 5 1/4-Zoll-Disketten lesen können. Auch die Zeit der „Nachfolger" (3 1/2-Zoll-Disketten) ist bereits gezählt. Dieses Problem lässt sich ebenfalls grundsätzlich durch periodisches Umkopieren lösen.
174
Datenarchivierung Speichermedien mit „Lebensdauer am Markt" <
10 Jahre
Das dritte und gewichtigste Problem bildet jedoch die Art der Aufzeichnung. Daten in elektronischer Form sind in letzter Konsequenz nichts anderes als Bitfolgen, die mittels Programmen über mehrere Abstraktionsstufen (Gerätetreiber, Dateisystem des Betriebssystems, Anwendungsprogramm) interpretiert werden müssen, um nutzbar zu sein. Einem Bitstrom lässt sich nicht ansehen, ob es sich um einen mittels eines speziellen Textverarbeitungsprogramms erstellten Brief, ein Bild oder einen Film handelt.
Abbildung 8-3
Kenntnis über Aufzeichnungsformate und Programme
Es ist auch wichtig zur Kenntnis zu nehmen, dass bereits geringfügige Fehler zu einer Zerstörung eines Datenbestandes führen können. Je höher die Speicherdichte, desto größer ist auch der Verlust bei Beschädigungen. Das gilt es, vor allem im Zusammenhang mit der Komprimierung und/oder Verschlüsselung von Datenbeständen, im Auge zu behalten. Im Extremfall kann ein einzelnes falsches Bit einen Datenbestand unbrauchbar machen. Daraus folgt schon, dass für Archivierungszwecke, neben den reinen Nutzdaten, immer auch so genannte Metadaten (das sind „Daten über die Daten", also zugehörige Datenbeschreibungen), mitgespeichert werden müssen. Im oben genannten Beispiel ist es wichtig zu wissen, dass sich auf der Diskette eine Datei befindet, die mit dem Programm Wordstar erstellt wurde. Kenntnis über die Art der gespeicherten Daten allein genügt jedoch höchstens in den Fällen, wo es sich beim Aufzeichnungsformat um einen Standard handelt (das darf durchaus
175
Datenarchivierung auch nur ein De-facto-Standard sein) . Auch Standards veralten jedoch sehr rasch. Oft existieren allerdings zu den Programmen, die für die originale Aufzeichnung benutzt wurden, Nachfolgeprogramme, die über Importfilter zumindest das Lesen und Konvertieren der Daten erlauben. Auch das bedingt aber ein periodisches Umkonvertieren der Daten (wobei die Anforderung an die Unveränderbarkeit bei diesem Vorgehen grundsätzlich in Frage gestellt ist, da solche Konversionen oft nicht verlustfrei durchgeführt werden können). 2
In allen anderen Fällen - man spricht dann von proprietären Aufzeichnungsformaten - muss entweder zusammen mit den Nutzdaten auch eine vollständige Beschreibung dieser Nutzdaten mitgespeichert werden oder aber das für die Aufzeichnung verwendete Programm muss für das Lesen der Daten auch wieder zur Verfügung stehen. Beide Varianten verursachen Probleme: Im ersten Fall müssen, basierend auf den gespeicherten Datenbeschreibungen (in welchem Aufzeichnungsformat sollen diese gespeichert werden?) Programme neu entwickelt werden, die die Nutzdaten wieder lesen können. Im zweiten Fall muss eine Betriebsumgebung für eine - in der Regel veraltete - Anwendung lauffähig gehalten werden (ggf. muss die Anwendung unter Umständen sogar mit der Betriebsumgebung zusammen geeignet „mitarchiviert" werden).
2
176
Von einem De-facto-Standard spricht man, wenn ein Format (eine Sprache, ein Protokoll u. a.) nicht aufgrund einer Verabschiedung durch ein Standardisierungsgremium, sondern aufgrund der großen Verbreitung zu einem Standard wird. So sind beispielsweise die Druckersprache PCL oder das Dateiformat von Microsoft Word („.DOC") De-facto-Standards.
Datenarchivierung
8.5
Lösungsansätze
Zur Lösung der geschilderten Probleme haben sich im Wesentlichen folgende zwei Techniken etabliert: Migration, Emulation. Beide Techniken haben ihre Vor- und Nachteile und befriedigen in der Praxis nicht völlig.
8.5.1
Migration
Unter dem Begriff Migration versteht man das regelmäßige Transferieren elektronisch gespeicherter Daten von einer Plattform auf eine andere (modernere). Der Zweck der Migration besteht darin, die Integrität und Nutzbarkeit der Daten im Zeitablauf zu erhalten (siehe auch [9]). Migration besteht oft aus wesentlich mehr als dem bloßen Umkopieren von einem Speichermedium auf ein anderes. Häufig werden die Daten beim Migrationsvorgang auch in ein anderes Format konvertiert. Dabei muss man je nach Situation jedoch sehr gut aufpassen, dass die Daten dabei nicht verändert werden. Bei der Archivierung wie auch bei einer allfälligen späteren Migration stellt sich regelmäßig das Problem des geeigneten Datenformats. Aus bereits genannten Gründen ist es anzustreben, hierfür möglichst standardisierte Formate zu verwenden, bei denen die Hoffnung besteht, dass sie auch noch in einigen Jahren oder gar Jahrzehnten gelesen und interpretiert werden können (siehe auch [10]).
8.5.2
Emulation
Emulatoren dienen dazu, die Funktionsweise von Prozessoren und anderen Hardwarekomponenten durch Software zu simulieren. Beim diesem Ansatz wird deshalb neben den Nutz- und Metadaten auch eine emulatorgeeignete Spezifikation der Betriebsumgebung (Treiber, Betriebssystem, Programme für Wei-
177
Datenarchivierung terverarbeitung der Nutzdaten) mitarchiviert [11]. Archivierungslösungen, die auf Emulatoren basieren, sind sehr komplex und können nur in speziellen Umgebungen eingesetzt werden.
8.6
Empfehlungen für Praktiker
Erstellen
Sie
eine Archivierungsrichtlinie.
Empfehlung 8-1 In einer Archivierungsrichtlinie sollen der Umfang, die antwortlichkeiten und das Vorgehen geregelt werden.
Ver-
Es ist festzuhalten, welche Daten, wie häufig und vor allem auch wie lange archiviert werden sollen. Werden Daten definitiv nicht mehr gebraucht, z. B., weil eine gesetzliche Aufbewahrungsfrist abgelaufen ist, so sollen sie entsorgt werden („nur soviel wie nötig und so lange wie nötig"). Archivierung ist ein Prozess, der nur durch einen klar bestimmten Personenkreis durchgeführt werden sollte. Das gilt sowohl für das „Einlagern" der Daten wie auch für einen späteren Zugriff oder das endgültige Entsorgen. Der Archivierungsprozess sollte anhand einer präzisen Anweisung erfolgen und jederzeit sollte nachvollziehbar sein, wer, wann welche Daten ins Archiv gestellt oder von dort bezogen hat. Die technischen Rahmenbedingungen müssen definiert sein und regelmäßig überprüft werden. Die Archivierungsrichtlinien sind periodisch zu überprüfen!
178
Datenarchivierung
Führen Sie die Migration als eigenständiges Projekt durch. Empfehlung 8-2 Sofern eine Migration nötig wird, so ist diese im eines eigenständigen Projektes durchzuführen.
Rahmen
Eine Migration von Archivdaten wie auch ein bloßes Umkopieren müssen als kontrollierter Vorgang im Rahmen eines eigenständigen Projektes, losgelöst von den übrigen Betriebsaufgaben, durchgeführt werden. Planen Sie die Wahl der Medien gründlich. Empfehlung 8-3 Eine passende Wahl der eingesetzten meidet viele künftige Probleme.
Speichermedien
ver-
Die Art der verwendeten Medien spielt bei der Archivierung eine wichtige Rolle. Bei der Wahl sind folgende Kriterien zu berücksichtigen: Lebensdauer, Kapazität, Preis, Unveränderbarkeit. Die Anforderungen der Lagerung sind zu berücksichtigen. Verwenden
Sie
Zur Archivierung zeichnungsformate
Standardformate
Empfehlung 8-4
für die Aufzeichnung.
sollten möglichst weit verwendet werden.
verbreitete
Auf-
Bei der Wahl der Aufzeichnungsformate empfiehlt es sich, nach Möglichkeit auf etablierten Standards zu basieren. So darf davon ausgegangen werden, dass Daten, die beispielsweise in PDF (Portable Document Format), XML (eXtensible Markup Language) oder reinem ASCII-Text vorliegen, noch einige Zeit ohne Probleme gelesen werden können. Gegebenfalls müssen die Daten vor der Archivierung entsprechend konvertiert werden.
179
Datenarchivierung
Archivieren Empfehlung 8-5
Sie
Daten
unverschlüsselt und unkomprimiert.
Daten sollten später ohne Kenntnis von Verschlüsselungsund/oder Komprimierungsverfahren wieder gelesen werden können. Sofern keine wesentlichen Sicherheitsgründe dagegen sprechen, so ist auf eine Verschlüsselung und/oder Komprimierung der Archivdaten zu verzichten.
Prüfen Sie die Daten vor der Archivierung auf Malware. Empfehlung 8-6
Vor der werden.
Einlagerung
müssen
Daten
auf Malware
geprüft
Es muss sichergestellt werden, dass nur „saubere" Datenbe¬ stände archiviert werden.
Lagern
Sie Archivdaten
gesondert.
Empfehlung 8-7 Die richtige Lagerung von Archivdaten ist zu regeln. Bei der Wahl eines geeigneten Aufbewahrungsortes sind sowohl Anforderungen der Medien (Platzbedarf, klimatische Bedingungen, ...) wie auch Kriterien der physischen Sicherheit entsprechend zu berücksichtigen. Es empfiehlt sich, Archivdaten von sonstigen Datensicherungen getrennt aufzubewahren.
180
Datenarchivierung
8.7 [1]
Literatur Lyman, P. und Varian, H.R., How much Information 2003?, http://www.sims.berkeley.edu/research/projects/how-
[3]
much-info-2003/printable_report.pdf Williams, R., Data Powers of Ten, http://www.kcl.ac.uk/humanities/cch/ma/courses/acmmet /data-powers-of-ten.html Bergeron, B.P., Dark Ages I I : when the digital data die.
[4]
2002, Upper Saddle River, N.J.: Prentice Hall. UNESCO Charter on the Preservation of the Digital
[2]
[5]
[6]
[7]
[8] [9] [10] [11]
Heritage, http://portal.unesco.org/ci/ev.php?URL_ID=13366&URL_ DO=DO_TOPIC&URL_SECTION=201&reload=107591134 8 Verordnung über die Führung und Aufbewahrung der Geschäftsbücher, http://www.admin.ch/ch/d/sr/2/221.431.de.pdf Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs, http://www.admin.ch/ch/d/ff/2000/5128.pdf Verordnung betreffend die Überwachung des Post- und Fernmeldeverkehrs, http://www.admin.ch/ch/d/as/2001/3111.pdf Grote, A., Verflüchtigt. Der Zahn der Zeit nagt an den digitalen Daten. ct, 2000(24). Universal Preservation Format Glossary, http://info.wgbh.org/upf/glossary.html Aebi, D., Re-Engineering und Migration betrieblicher Nutzdaten. 1996, ETH Zürich. Dissertation. Borghoff, U.M., et al., Langzeitarchivierung. Methoden zur Erhaltung digitaler Dokumente. 2003: dpunkt.
181
9
Nachsorge
Abschlussarbeiten stellen aus Sicherheitsüberlegungen immer wieder besondere Herausforderungen. Sei es, dass ein Projekt beendet wird, eine Mitarbeiterin das Unternehmen verlässt, ein Vertrag mit einer externen Beratungsfirma ausläuft oder Geräte, die nicht mehr länger eingesetzt werden, entsorgt werden müssen. In solchen Fällen sind oft noch besondere Arbeiten nötig, um die Sicherheit nicht zu gefährden. Zur Nachsorge gehört aber auch ein professionelles Vorgehen nach einem sicherheitsrelevanten Vorfall, unabhängig davon, ob das nun eine Betriebsstörung, ein „Einfangen" von Malware oder gar ein Angriff war.
9.1
Sicheres Löschen, Entsorgung
9.1.1
Gelöschte Daten sind noch da
Wenn jemand unbeabsichtigt Daten löscht oder wenn nach einem Brand, einem Wassereinbruch oder einer sonstigen Katastrophe durch spezialisierte Datenrettungsfirmen vermeintlich verlorene Daten wieder hergestellt werden können, sind die Betroffenen in der Regel überaus glücklich. Solche Erfolgsgeschichten zeigen aber umgekehrt natürlich auch, dass vermeintlich gelöschte Daten oft keineswegs völlig verschwunden sind, sondern oft mit geeigneten Maßnahmen - zumindest teilweise - wieder hergestellt werden können. Während es für viele Fälle genügt, Daten mit den herkömmlichen Mitteln des Betriebssystems zu löschen, sind in besonderen Fällen, namentlich vor der Entsorgung oder Weitergabe von Geräten, besondere Maßnahmen nötig, um die Wiederherstel-
183
Nachsorge lung auch gelöschter Daten unmöglich zu machen oder zumindest erheblich zu erschweren. Aufgrund der technischen Realisierung der Datenspeicherung in modernen Betriebssystemen bleiben nämlich auch bei einem Löschvorgang verschiedenste „Datenspuren" weiterhin vorhanden (siehe auch [1]). Selbst nach vermeintlich sicherem Löschen (z. B. durch Formatieren einer Festplatte) lassen sich Daten mit geeigneten Hilfsmitteln oft wieder rekonstruieren. Eine detaillierte Beschreibung zu den technischen Hintergründen, die das ermöglichen, ist in [2] zu finden.
9.1.2
Daten sicher löschen
Bei der Wahl der anzuwendenden Maßnahme, um Daten sicher zu löschen, ist zu unterscheiden, ob der entsprechende Datenträger nach dem Löschen weiterverwendet werden soll (kann) oder ob es bloß darum geht, die gespeicherten Daten dauerhaft zu zerstören. Im Wesentlichen stehen zum sicheren Löschen drei verschiedene Methoden zur Verfügung: Überschreiben, Löschen durch Magnetisieren, Physische Zerstörung. Überschreiben
Beim Überschreiben („wiping") werden die von den zu löschenden Daten belegten Speicherbereiche mit speziellen Werkzeugen (siehe z. B. [3]) mehrfach mit unterschiedlichen Bitmustern überschrieben. Dabei können einzelne Dateien oder auch ganze Festplatten oder zumindest einzelne Partitionen überschrieben werden. Die Datenträger sind nach dem Überschreiben weiterhin nutzbar.
Löschen durch Beim Löschen durch Magnetisieren werden die Datenträger mit Magnetisieren Hilfe spezieller Geräte - so genannten Degaussern - einem sehr hohen Magnetfeld ausgesetzt. Die gespeicherten Daten, aber auch für den Betrieb notwendige Steuerungsinformationen werden dabei zerstört. Diese Methode kann dann zur Anwendung gelangen, wenn die Datenträger beispielsweise defekt sind und/oder nicht mehr ordnungsgemäß auf sie zugegriffen
184
Nachsorge werden kann. Diese Methode kann natürlich nur für magnetische Aufzeichnungsverfahren eingesetzt werden. Bei der physischen Zerstörung (beispielsweise „Shreddern" von Physische Magnetbändern) werden die Datenträger physisch unbrauch- Zerstörung bar gemacht. Dies kann auf verschiedene Arten geschehen, ist aber insbesondere bei Festplatten nicht ganz einfach zu bewerkstelligen. Unter Umständen ist die Entsorgung durch eine spezialisierte Firma durchzuführen.
9.1.3
Reparaturen, Entsorgung
Im betrieblichen Alltag ist insbesondere auch darauf zu achten, wie mit Service- und Reparaturfällen umgegangen werden soll. Nicht selten werden Laufwerke im Rahmen solcher Arbeiten durch die Hersteller ersetzt, womit dann auch die entsprechenden Daten unter Umständen in falsche Hände gelangen können. Auch vor einem endgültigen Entsorgen, einer Rückgabe (z. B. bei Ablauf eines Leasingvertrages) oder eines Verkaufes von Geräten und Speichermedien sind diese - sofern sie vertrauliche Daten enthalten - zuvor vollständig zu löschen.
9.2
Personalwechsel
Es gehört zu den alltäglichen Vorfällen, dass Mitarbeiter einen Betrieb verlassen oder intern versetzt werden. Je nach vorheriger Position und Aufgabe des Stelleninhabers sind in einem solchen Fall eine Reihe von Maßnahmen zu ergreifen, um die IT-Sicherheit nicht fahrlässig oder gar mutwillig zu gefährden. Auch wenn die überwiegende Zahl solcher Fälle ohne Probleme abläuft, genügt schon ein Einzelner, der mit seinem eventuell vorhandenen Insiderwissen und mit seinen Zugangsberechtigungen zur IT-Infrastruktur erhebliche Schäden verursachen kann. Während überall irgendwie geregelt ist (oder fallweise geregelt wird), wie beispielsweise ein Arbeitsplatz zurückzu-
185
Nachsorge lassen ist oder welche Schlüssel abzugeben sind, erfolgen entsprechende Maßnahmen im Zusammenhang mit der IT-Infrastruktur oft gar nicht oder erst mit Verspätung. Es sollte jedoch eine Selbstverständlichkeit sein, dass mit der Abgabe von physischen Authentifizierungsmerkmalen (Schlüssel, Parkkarten, ...) auch die elektronischen Zugänge sofort „geschlossen" werden, z. B. durch Sperren oder Löschen von Konten, Ändern von Zugangscodes usw. Auch der weitere Zugang zu E-Mail ist sofort zu regeln. Gegebenenfalls vorhandene private Daten sind aber in geeigneter Form auszuhändigen. Arbeits- und datenschutzrechtliche Vorschriften sind hierbei selbstverständlich zu beachten. Vergleichbare Maßnahmen sind zweifellos auch zu treffen, wenn die Zusammenarbeit mit externen Dienstleistern beendet wird (z. B. beim Abschluss eines Projektes oder beim Auslaufen eines Beratungsmandates). Weitere Hinweise hierzu sind in [4] zu finden.
9.3
Incident Management
9.3.1
Vorbereitung auf den Ernstfall
Überall, wo IT-Infrastrukturen betrieben werden, können Betriebsstörungen, Pannen, aber auch sicherheitsrelevante Vorfälle auftreten. Selbst wenn solche Vorfälle dank gründlicher Planung und seriöser Umsetzung entsprechender Sicherheitsmaßnahmen - hoffentlich - sehr selten sind, wäre es unvernünftig, sich nicht auf einen solchen Fall vorzubereiten. Die Analyse vieler Vorfälle zeigt zudem, dass durch unsachgemäßes Vorgehen nach einem entsprechenden Ereignis die Situation oft verschlimmert wurde. Die Art und Weise, wie man sich auf solche Vorfälle vorbereitet, hängt selbstverständlich sehr stark von der eigenen IT-Infrastruktur, aber auch von den verfügbaren Ressourcen (insbesondere Fachpersonal) ab. Während es sich eine große Firma
186
Nachsorge möglicherweise leisten kann, eigene „Incident-ResponseTeams" zu bilden (siehe auch [5]), wird man sich in einfachen Verhältnissen mit einigen wenigen Maßnahmen begnügen und im Falle eines Problems Hilfe von außen holen müssen. Grundsätzlich sind bei jedem sicherheitsrelevanten Vorfall aber folgende Aspekte wichtig: Ruhe bewahren, Verantwortungen vorab festlegen, Informationen sammeln. Melden, Vorgehen dokumentieren, Lehren ziehen. In der Praxis zeigt sich immer wieder, dass bei Auftreten von Ruhe Störungen durch ein unsachgemäßes Vorgehen die Problemlösung oft erschwert wird. Es hilft in solchen Fällen, wenn bereits vorab klar geregelt ist, wer im Falle einer Störung welche Verantwortung wahrzunehmen hat. Stellvertretungen sind entsprechend zu regeln. Es sollten so wenige Mitarbeiter wie möglich (aber so viele wie nötig!) in die Problemlösung involviert werden.
bewahren
Tritt ein unerwarteter Vorfall ein, so gilt es, raschestmöglich Informationen genügend Informationen zu sammeln, um eine grobe Problem- sammeln beurteilung vornehmen zu können. Im Falle eines Hardwareschadens mit Datenverlust ist beispielsweise ganz anders vorzugehen als bei einem internen oder externen Angriff (der natürlich auch zu Datenverlusten führen kann). Muss zur Problemlösung auf externe Anbieter zurückgegriffen werden, so sollte klar sein, wer mit diesen und in welcher Weise Kontakt aufnimmt. Dabei sollten auch bereits erste Erkenntnisse vorliegen („Was ist passiert?", „Was wurde bisher unternommen?", ...). Es empfiehlt sich, auch Kontaktinformationen zu externen Partnern für solche speziellen Dienstleistungen (z. B. Datenrettungslabors) bereitzuhalten.
187
Nachsorge Melden
Sobald grob geklärt ist, um welche Art von Problem es sich wahrscheinlich handelt, sind die entsprechenden Verantwortungsträger im Unternehmen umgehend über das Problem, seine möglichen Auswirkungen, den aktuellen Stand und die geplante Vorgehensweise zu orientieren.
Vorgehen dokumentieren
In der Hitze des Gefechtes wird oft vergessen, dass sämtliche Maßnahmen zur Problemlösung laufend zu dokumentieren sind („wer hat wann was gemacht?"). Dies ist von besonderer Bedeutung, wenn es unter Umständen sogar darum geht, gerichtsverwertbare Informationen zu sammeln.
Lehren
ziehen Konnte das Problem mit interner und/oder externer Hilfe gelöst werden, sollte schließlich nicht vergessen werden, daraus entsprechende Lehren zu ziehen. Richtlinien und Checklisten sind möglicherweise anzupassen, notwendige Sicherheitsmaßnahmen sind zu erweitern oder abzuändern, Schulungsunterlagen müssen eventuell ergänzt werden.
9.3.2
Computer-Forensik
Trotz aller Vorsicht besteht keine Garantie, dass es einem Angreifer nicht doch einmal gelingen kann, bei seiner Tätigkeit erfolgreich zu sein, das heißt vorhandene Schutzmaßnahmen zu überwinden und in ein System einzubrechen. Solche eventuell gerade ablaufenden oder bereits eingetretenen Sicherheitsvorfälle, müssen zuverlässig erkannt werden und ihre Auswirkungen sind wirksam einzudämmen. Dabei ist entscheidend, dass genügend Informationen gesammelt werden, um einerseits die ausgenutzten Sicherheitslücken rasch schließen zu können, andererseits soll aber auch eine sinnvolle Täterermittlung - bis hin zum Sammeln von gerichtsverwertbaren Beweisen - ermöglicht werden. Für das Sammeln, Analysieren und Auswerten von Daten, für den Nachweis und die Ermittlung von Straftaten im Bereich der Informationstechnologie hat sich in den letzten Jahren der Begriff Computer-Forensik durchgesetzt. Dies ist aber definitiv eine Aufgabe, die Spezialisten überlassen werden sollte. Insbesondere das Sichern von digitalen Spuren (sowie das Sicher-
188
Nachsorge stellen, dass diese nicht im Verlauf der Untersuchungen verändert werden) erfordert viel Fachwissen und spezialisierte Werkzeuge. Beides ist in kleineren Verhältnissen nicht vorhanden. In gravierenden Fällen sind deshalb externe Spezialisten hinzuzuziehen. Um deren Arbeit nicht unnötig zu erschweren oder gar zu verunmöglichen, sollten die kompromittierten Systeme möglichst nicht verändert - das heißt insbesondere auch nicht ausgeschaltet - werden. Besteht die Gefahr, dass dadurch ein Angreifer sein schädliches Tun aber ungeniert weiter ausüben kann, ist gegebenenfalls eine Trennung der Systeme vom Netzwerk zu prüfen. Für eine umfassende Darstellung des Themas und viele nützliche Hinweise sei auf [6] und [7] verwiesen.
9.3.3
Professionelle Datenrettung
Zu den häufigen Problemen im IT-Betrieb zählt das Wiederherstellen von unbeabsichtigt gelöschten oder durch eine Katastrophe zerstörten Daten. Dabei zeigen verschiedene Untersuchungen, dass Elementarereignisse eine relativ untergeordnete Rolle spielen. Zu den sehr häufigen Ursachen von Datenverlusten gehören hingegen Störungen an Geräten, Bedienungsfehler sowie Störungen in Programmen (siehe [8]). Wurden die Daten regelmäßig gesichert, so lassen sich diese in der Regel mit vernünftigem Aufwand auch wieder herstellen. Nichtsdestotrotz kommen in der Praxis immer wieder Fälle vor, bei denen eine solche Wiederherstellung nicht möglich ist. Das kann beispielsweise daran liegen, dass keine - oder keine genügend aktuelle - Datensicherung vorliegt, oder dass die Sicherungsmedien zusammen mit den Originaldaten zerstört wurden. Während moderne Betriebssysteme für sehr simple Fälle von unbeabsichtigtem Löschen entsprechende Hilfsmittel für Benutzer anbieten („Papierkorb-Funktion") muss für anspruchsvollere Wiederherstellungsaktionen auf spezielle Programme zurückgegriffen werden, deren Einsatz allerdings einiges an Fachwissen über die Datenorganisation auf den Speicherme-
189
Nachsorge dien erfordert. Der Einsatz solcher Werkzeuge sollte deshalb nur durch erfahrene Systemadministratoren erfolgen. In besonders schwierigen Fällen, namentlich bei Hardwareschäden, muss die Datenrettung aber ohnehin spezialisierten Firmen überlassen werden, die nicht nur über das dazu notwendige Wissen, sondern auch über die entsprechenden technischen Einrichtungen, z. B. Reinräume für das Zerlegen von Magnetplattenspeichern, verfügen. Aufgrund der Datenorganisation auf den Speichermedien stehen die Chancen aber in der Regel nicht schlecht, dass zumindest Teile der Originaldaten auch bei einem hoffnungslos scheinenden Fall (z. B. nach einem Brand) wieder rekonstruiert werden können. Eine Übersicht über dabei eingesetzte Techniken sowie entsprechende Anbieter ist in [9] zu finden.
9.4 Sperren
Empfehlungen für Praktiker Sie nicht mehr benötigte Zugangsrechte sofort.
Empfehlung 9-1 Beim Austritt von Mitarbeitern sind deren Zugangsrechte sofort zu löschen oder zumindest zu deaktivieren. Mitarbeiter, die eine Firma verlassen, dürfen keinen Zugang mehr zu internen Systemen haben. Mit der Abgabe ihrer physischen Zugangsberechtigungen (Schlüssel, Parkkarte, ...) müssen auch die logischen Zugangsdaten (Passwörter, PINs etc. „abgegeben" werden). Erteilte Rechte sind sofort zurückzunehmen oder zu sperren. Passwörter sind zu ändern. Die dazu notwendigen technischen und organisatorischen Maßnahmen sollten in einer Richtlinie geregelt werden (damit ist ein einheitliches Vorgehen gewährleistet und es wird nichts vergessen). Ausnahmen (z. B. eine Mitarbeiterin, die nach der Pensionierung noch weiterhin beratend tätig bleibt) sind entsprechend zu regeln.
190
Nachsorge
Empfehlung 9-2
Regeln Sie die Weiterverwendung von E-Mail. E-Mail-Adressen nehmen.
und -konten sind geeignet außer Betrieb zu
Mitarbeiter, die eine Firma verlassen, sollten ihre firmeneigene E-Mail-Adresse nicht mehr weiter benutzen können (Ausnahmen, beispielsweise während einer gewissen Übergangsfrist sind denkbar). Die entsprechenden Rechte sind zu sperren und die vorhandenen Nachrichten zu archivieren. In einzelnen Fällen kann auch eine Weiterleitung von Nachrichten angezeigt sein. Empfehlung 9-3
Löschen Sie Daten vor der Entsorgung von Geräten. Geräte, die Speichermedien enthalten, sind vor der Entsorgung zu überprüfen und Daten sind zu löschen. Speichermedien enthalten, oft auch noch nach „normalem" Löschen, eine Vielzahl kritischer Daten. Vor der Entsorgung sind solche Daten definitiv - bei besonders heiklen Fällen mit speziellen Werkzeugen - zu löschen. Löschen
Sie
bewegliche
Empfehlung 9-4
Datenträger.
Datenträger, die nicht mehr oder für andere Zwecke benötigt werden, sind zu löschen. Dasselbe, was für Geräte und deren eingebaute Speichermedien gilt, gilt in besonderem Maße auch für bewegliche Datenträger (Bänder, Disketten, wieder beschreibbare optische Medien, ...). Empfehlung 9-5
Sichern Sie alle wichtigen Spuren. Nach einem sicherheitsrelevanten Spuren sofort zu sichern.
Vorfall sind alle
wichtigen
Damit künftige Untersuchungen darüber, was bei einem sicherheitskritischen Vorfall im Einzelnen passiert ist, überhaupt
191
Nachsorge
möglich sind, müssen alle wichtigen Spuren sofort gesichert werden. Die Analyse von möglicherweise vorhandenen Spuren sollte Spezialisten vorbehalten bleiben. Log-Dateien, E-Mails, aber auch verschiedenste Systeminformationen müssen aber so rasch wie möglich gesichert werden. In heiklen Fällen dürfen die betroffenen Rechner nicht weiter benutzt werden. Empfehlung 9-6 Ändern Sie alle Zugangsdaten nach einem Einbruch. Alach einem ändern.
erfolgreichen
Angriff
sind
Zugangsdaten
zu
Nach einem erfolgreichen Einbruch müssen die Zugangsdaten (Passwörter etc.) zu den betroffenen Systemen geändert werden. Empfehlung 9-7 Überlassen
Sie die Datenrettung den Spezialisten.
Das Wiederherstellen gelöschter oder zerstörter Daten durch Spezialisten erfolgen.
muss
Datenrettung soll den Spezialisten überlassen werden. Zur Unterstützung der Wiederherstellung sollten folgende Informationen bereitgehalten werden: Wie und wann ist das Problem entstanden und wie äußert sich der Fehler. Technische Angaben zum Datenträger (Betriebssystemversion, Partitionierung, Aufzeichnungsart, Volumen, ...). Beschreibung der verlorenen Daten (Art, Umfang, ...). Bisher unternommene Maßnahmen. Sind sehr wichtige Daten verloren gegangen (z. B. durch unbeabsichtigtes Löschen), so sollte der Rechner bis zum Beizug eines Spezialisten nicht mehr angerührt werden (auch nicht herunterfahren und/oder ausschalten).
192
Nachsorge
9.5 [1] [2]
[3] [4]
Literatur
Hartmann,
M., Daten sicher löschen,
http://www.tecchannel.de/software/1161/ Gutmann, P., Secure Deletion of Data from Magnetic and Solid-State Memory, http://www.fish.com/security/secure_del.html Grunwald, L., Blitzblank. Sicheres Löschen von Speichermedien. iX, 2003(5): p. 72-78. Mitnick, K.D. und Simon, W.L., Die Kunst der Täuschung. Risikofaktor Mensch. 2003, Bonn: mitp.
[5]
Mühlenbrock, F., IT-Sicherheit: Effektive Richtlinien und Standards im Unternehmens-Netzwerk. 1. Aufl. ed. 2003, Kilchberg: SmartBooks.
[6]
Kruse, W.G. und Heiser, J.G., Computer Forensics inci¬ dent response essentials. 2002, Boston: Addison-Wesley. Geschonnek, A., Computer-Forensik. Systemeinbrüche erkennen, ermitteln, aufklären. 2004, Heidelberg, Neckar: dpunkt.
[7]
[8]
[9]
Böhret, P., Daten auf der Spur. Handbuch zur Datenrettung und Computer Forensik, http://www.tecchannel.de/whitepaper/krollontrack/Hand buchDatenrettung.pdf Vilsbeck, C, Professionelle Datenrettung, http://www.tecchannel.de/hardware/651/index.html
193
Glossar Viele Begriffe, die heute in der Informatik zur Anwendung gelangen, haben ihren Ursprung im englischen Sprachraum. Manche dieser Begriffe sind mittlerweile derart etabliert, dass ihre Übersetzung wenig sinnvoll oder gar nicht vernünftig möglich ist (z. B. „Byte" oder „Single point of failure"). Die folgenden Begriffserklärungen basieren soweit möglich auf den deutschen Ausdrücken. Manche sind jedoch nur in Englisch angegeben. Wo gleichwertige, deutsche und englische Ausdrücke zur Verfügung stehen, sind beide erwähnt.
Archivierung Langfristige Aufbewahrung elektronischer Daten. Dabei sind Faktoren wie die Haltbarkeit des Speichermediums, seine Lagerung, seine Speicherkapazität, Art der Darstellung und insbesondere Konversions- bzw. Migrationsbedingungen zu berücksichtigen.
Attachment, E-Mail-Anhang Datei, die an eine E-Mail angehängt wird. Eine solche Datei kann z. B. Text-, Bild-, Audio- oder Video-Daten enthalten. Der Empfänger benötigt zum Lesen und Weiterbearbeiten neben dem E-Mail-Programm für den Empfang oft noch ein spezielles Programm (in der Regel dasselbe, das zum Erstellen des Attachments verwendet wurde).
Authentifizierung Echtheitsprüfung, Verifizierung. Nachweis (d. h. Prüfung und Bestätigung) einer angegebenen, behaupteten Identität eines Kommunikationspartners oder einer Gruppenzugehörigkeit und Sicherstellung, dass diese Identität über die Dauer einer Kommunikationsbeziehung erhalten bleibt mit dem Ziel, Daten
195
Glossar (und Programme) einem Urheber (Sender) verbindlich zuordnen zu können (Schutz vor Täuschung).
Benutzer Personen, die ein Anwendungssystem zur Erfüllung ihrer Aufgaben einsetzen. Sie verwenden Ergebnisse des Systems und/oder liefern Daten, die das System benötigt. Benutzer sind diejenigen Personen, die ein Anwendungssystem unmittelbar einsetzen („bedienen"), oft auch als Endbenutzer bezeichnet.
Betreiber Personen (auch Organisationen, Institutionen etc.) die den Betrieb einer IT-Infrastruktur sicherstellen.
BIOS - Basic-Input-Output-System Schnittstelle zwischen Hardware und Betriebssystem.
Booten Als Boot-Vorgang bezeichnet man den Start des Rechners nach dem Einschalten (oder nach einem Reset). Dabei wird ein Programm ausgeführt (Bootstraploader oder Urlader), welches das eigentliche Betriebssystem startet.
Bootsektor Bereich eines Datenträgers, in dem der Rechner beim Start (während des so genannten Bootvorgangs) nach einem ausführbaren Programm sucht.
Client Arbeitsplatzrechner, der in einem Rechnernetzwerk normalerweise auf Daten und Programme eines Servers zugreift.
Companion Virus Eine Virenart, die sich nicht in den Code eines anderen Programms einklinkt, sondern sich mit Hilfe eines „geliehenen" Dateinamens tarnt.
196
Glossar Computerkriminalität Erzeugen von wirtschaftlichen Schäden bei normalerweise persönlicher Vorteilnahme z. B. durch Manipulation, Zerstörung oder Diebstahl von Daten und Informationen in Rechnersystemen.
Cracker Kriminelle Form des Hackens durch unberechtigtes Eindringen in Rechnersysteme zwecks Datendiebstahl (z. B. Passwörter), Sabotage (Löschen oder Verändern von Daten), mit dem Ziel der Bereicherung oder des Erschleichens kostenpflichtiger Leistungen der IT-Infrastruktur.
Datensicherung, Backup Vorgang der Speicherung von elektronischen Daten auf einem separaten Datenträger.
Dead drop Ein Platz zum Ablegen von Daten, der nur schwer zu finden ist. Oft wird dazu eine (ausländische) Internet-Site benutzt.
Denial of Service attack (DoS) Bei einem denial of service Angriff bzw. der verteilten Variante davon (distributed denial of service, DDoS) geht es darum, die Ressourcen eines Systems so stark zu belasten, dass die ordnungsgemäße Funktionalität dieses Systems nur noch eingeschränkt oder gar nicht mehr erbracht werden kann.
DMZ - Demilitarisierte Zone, demilitarized Zone Eine demilitarisierte Zone ist ein logisch geschütztes Netzwerksegment, das dazu dient, öffentliche Dienste bereitzustellen (z. B. einen Web-Server). Eine DMZ benötigt zwei logische Firewalls. Die eine Firewall schützt die DMZ vor der Außenwelt, die andere, restriktiver konfigurierte Firewall schottet das interne Netzwerk von der DMZ ab.
197
Glossar EDAP Extended Data Availability and Protection. Eine Klassifizierung von Speichersystemen, die 1997 vom RAID Advisory Board eingeführt wurde.
EICAR-Testvirus Das „European Institute of Computer Anti-Virus Research" hat folgende Zeichenkette entwickelt, mit der man prüfen kann, ob eine Antiviren-Software korrekt arbeitet: X5O!P%@AP[4\PZX54(P )7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H* A
Exploit Ausnutzen einer konkreten Schwachstelle (vulnerability) durch bösartige Software.
Falsch-Negativ, Falsch-Positiv Bei jedem Problem mit einer Ja/Nein-Entscheidung gibt es prinzipiell zwei richtige Entscheidungen und zwei verschiedene Fehlermöglichkeiten (Fehler 1. und 2. Art). Ein falsch positives Ergebnis liegt beispielsweise vor, wenn ein Feuermelder einen Alarm auslöst, obwohl es gar nicht brennt. Bleibt der Melder stumm, obwohl es brennt, liegt ein falsch negatives Ergebnis vor.
Firewall Eine Firewall ist eine Menge von Netzwerkkomponenten - realisiert in Hardware und/oder Software -, die zwei Netzwerke mit unterschiedlichem Sicherheitsbedarf miteinander verbindet.
Flooding „Überfluten" eines Computersystems oder eines Netzwerks mit großen Datenmengen. Dabei wird die Verarbeitungskapazität des Systems soweit überschritten, dass seine Dienste und Funktionen nicht mehr oder nur noch eingeschränkt verfügbar sind.
198
Glossar Größenordnung (order of magnitude) Bei Zahlensystemen beschreibt die Größenordnung den Faktor, der notwendig ist, um in der jeweiligen Zahlendarstellung einen Wert um eine Stelle zu vergrößern oder zu verkleinern, jeweils unter Beibehaltung der einzelnen Ziffern und ihrer Reihenfolge. Meist wird von einem Dezimalsystem ausgegangen, weshalb die Größenordnung zumeist einen Faktor von 10 oder 0,1 umschreibt. In der wissenschaftlichen Praxis wird allerdings oft eine Größenordnung als eher ungenaue Bezeichnung von Größenverhältnissen benutzt. Der Sinn dieser Anwendung ergibt sich aus dem Kontext und liegt meistens in der Bezeichnung großer oder sehr großer Zahlenunterschiede.
Hacker Spezialist, der seine Kenntnisse und Fähigkeiten zum Aufspüren sicherheitsrelevanter Schwachstellen in einer Software und/oder einem Rechnersystem einsetzt. Die persönliche Bereicherung spielt in der Regel keine wesentliche Rolle.
Hoax Eine E-Mail, die vor einem nicht existierenden Virus warnt. Die eigentliche Bedrohung entsteht durch die schnelle Verbreitung dieser E-Mail und den dadurch erzeugten Datenverkehr.
Identifizierung Feststellung/Erkennung eines bestimmten Benutzers (Person oder Prozess). Maßnahme, um zu gewährleisten, dass nur berechtigte Benutzer Zugang zu einer bestimmten Ressource erhalten.
IDS - Intrusion detection System Ein Intrusion detection System ist ein in Hardware und/oder Software realisiertes Sicherheitssystem, das dazu dient, Angriffsversuche auf Rechnersysteme zu erkennen und zu melden.
199
Glossar IT-Infrastruktur Gesamtheit der in einem Unternehmen (einer Abteilung, einer Verwaltungseinheit, ...) eingesetzten Mittel der Informationsund Kommunikationstechnologie sowie die notwendigen personellen und materiellen Ressourcen für deren Aufbau und Betrieb.
Keylogger Programm, das die Tastaturanschläge eines Benutzers aufzeichnet.
LAN "Local Area Network", auf einen lokalen Bereich (z. B. innerhalb einer Firma) beschränktes Netzwerk.
Mailwurm Wurm, für den der Transport per E-Mail ein wesentlicher Bestandteil seiner Fortpflanzungsstrategie ist.
Malware Mit Malware („malicious Software") wird die Gesamtheit der unerwünschten, schädlichen und sich häufig selbst verbreitenden Programme bezeichnet. Zu Malware zählen beispielsweise Viren, Würmer und Trojanische Pferde.
Master boot record (MBR) Bereich einer Festplatte, der Informationen über die Position des Bootsektors und ein Programm enthält, das den Bootsektor findet, lädt und ausführt.
PAN Personal Area Network. Kurzdistanz-Netzwerk. Vor allem zur Kommunikation zwischen Peripheriegeräten innerhalb eines Radius von wenigen Metern eingesetzt.
200
Glossar Patch, Servicepack Programmteile, die einzelne Komponenten anderer Programme durch neue oder verbesserte Versionen ersetzen. Patches erreichen oft einen ganz beträchtlichen Umfang. Gelegentlich werden über diesen Weg Systeme auch um zusätzliche Funktionen erweitert.
Physische Sicherheit Schutz von Computersystemen gegen Schäden durch Bedrohungen wie Stromausfall, Feuer, Einbruch und Diebstahl.
Polymorphe Viren, Polymorphismus Viren, die bei jeder neuen Infektion eine andere Gestalt annehmen, ohne dass sich die Virenfunktion dabei ändert. Dadurch soll die Erkennung durch Virenscanner erschwert werden. Unter anderem gelangen folgende Techniken zur Anwendung: Einstreuen von wirkungslosen Befehlen, Verwendung äquivalenter Befehle, Änderung der Reihenfolge von Programmbefehlen oder weitgehende Verschlüsselung mit wechselnden Schlüsseln. Zur Entschlüsselung muss jedoch immer eine lauffähige Routine vorhanden sein, die aber ebenfalls variablen Programmcode enthalten kann.
Safety Safety (im Gegensatz zu Security) befasst sich mit vorbeugenden Maßnahmen gegen den Eintritt von Ereignissen (Vorfällen, Unfällen und anderen unerwünschten Zuständen), die ihren Ursprung in nicht beabsichtigten menschlichen und/oder technischen Unzulänglichkeiten haben, sowie mit der Begrenzung oder Beherrschung solcher Vorfälle.
Schadenshöhe Geschätzter Wert des Schadens, der bei Eintreten einer konkreten Bedrohung entstehen kann. Wichtiges Element zur Risikobeurteilung.
201
Glossar Script-Kiddy Person, die ohne eigenes fundiertes Fachwissen, nur unter Ausnutzung von Werkzeugen und Erkenntnissen anderer, Angriffe gegen Rechnersysteme ausführt.
Security Security (im Gegensatz zu Safety) befasst sich mit vorbeugenden Maßnahmen gegen den Eintritt von Ereignissen (Handlungen, Delikten und anderen unerwünschten Zuständen), die durch Personen in böswilliger Absicht gegen Unternehmen oder Organisationen (Mitarbeiter, Eigentum im weitesten Sinne oder guter Ruf) begangen werden, sowie mit der Begrenzung oder Beherrschung solcher Vorfälle und des daraus resultierenden Schadens.
Sicherheitskonzept Umfasst Maßnahmen, die für die Sicherheit von Informationen und Daten, Rechnersystemen sowie der gesamten Informationsinfrastruktur eines Unternehmens oder einer Organisation erforderlich sind.
Sicherheitsrichtlinie Bestandteil eines Sicherheitskonzeptes. Regelt die organisatorischen und technischen Rahmenbedingungen, die Verantwortlichkeiten und Maßnahmen für einen sicherheitsrelevanten Bereich (z. B. E-Mail-Richtlinie).
Single point of failure (SPOF) Eine Systemkomponente, deren Ausfall ein Gesamtsystem zum Erliegen bringen kann. Mit „no single point of failure" bezeichnet man hingegen ein Systemkonzept, das - beispielsweise durch eine redundante Auslegung - über eine erhöhte Fehlertoleranz verfügt.
Social Engineering Von Social Engineering spricht man, wenn eine Person Techniken zur Beeinflussung, zur Überredung oder zur Vortäuschung
202
Glossar falscher Tatsachen einsetzt, um damit andere zu ihrem Vorteil auszunutzen und um mit oder ohne technische Hilfsmittel an Informationen zu gelangen.
Spyware Software, mit der unerkannt Aktivitäten von Benutzern an ihren Arbeitsplatzrechnern überwacht werden können. Mit Spyware lassen sich beispielsweise die Adressen von besuchten Internet-Sites aufzeichnen, aber auch das Abfangen von Passwörtern oder das Mitlesen von E-Mails kann mit Spyware erfolgen. In der Regel werden die gesammelten Daten an eine Zieladresse übermittelt.
Stealth-Virus Ein Virus, der eine oder mehrerer Methoden verwendet, um sich zu tarnen. Ein Stealth-Virus kann Systeminformationen manipulieren, um den Befall einer Datei zu vertuschen. Beispielsweise infiziert der Virus eine Datei und tarnt sich dadurch, dass er die tatsächliche Dateigröße (die durch die Infektion geändert wurde) versteckt und nur die ursprüngliche Größe dem System meldet.
Trojaner Software, die bösartigen oder gefährlichen Code enthält, mit dem Daten manipuliert, zerstört oder gestohlen werden können. Trojaner sind so aufgebaut, dass ihre Wirkung den Benutzern verborgen bleibt.
USV-UPS Unterbrechungsfreie Stromversorgung. Ein Gerät, das bei Stromausfall gewährleistet, dass die angeschlossenen Geräte weiter benutzt werden können.
Verfügbarkeit Verhältnis von gesamter Einsatzzeit mit ungehindertem und störungsfreien Zugang eines berechtigten Benutzers zu den Komponenten eines Systems (Geräte, Programme und Daten)
203
Glossar zu Ausfallzeit und Fehlfunktion dieses Systems, Angabe in Prozent.
Virus Ein Virus ist ein nicht selbständiges, aber selbstreplizierendes Programm. Ein Virus untersucht bei seiner Ausführung seine Umgebung und versucht, sich an einen so genannten „Wirt" (Programm- oder Datendatei) anzuhängen und sich dadurch weiter zu verbreiten.
Web Bug Ein Web Bug ist eine Grafik auf einer Webseite oder in einer EMail-Nachricht, die dazu benutzt wird, zu übermitteln, wer die Webseite oder die E-Mail liest, die diesen Web Bug enthält. Web Bugs sind häufig „unsichtbar", da sie typischerweise nur in der Pixel-Größe l x l bestehen. Ein Web Bug sendet die IPAdresse, die URL der besuchten Webseite, die URL des Web Bugs, den Zeitpunkt, an dem der Web Bug angeschaut wurde, den Browsertyp sowie die Informationen eines eventuell zuvor gesetzten Cookies an einen Server.
WLAN Wireless-LAN. Lokales Netzwerk, bei dem Daten via Funk übertragen werden.
Wurm Ein Wurm ist ein selbständiges, selbstreplizierendes Programm. Im Gegensatz zu einem Virus benötigt ein Wurm aber kein Wirtsprogramm. Würmer verbreiten sich über Netzwerke.
ZOO-Virus Ein Virus, der nur in Viren-Labors zu finden ist.
204
Abkürzungen, Einheiten ANSI
American National Standards Institute
BSI
Bundesamt für Sicherheit in der Informationstechnik
EDAP
Enhanced Data Availability and Protection
EICAR
European Institute of Computer Anti-Virus Research
FTP
File Transfer Protokoll
IEEE
Institute of Electrical and Electronics Amerikanisches Normungsgremium
IETF
Internet Engineering Task Force
LAN
Local Area Network
MTBF
Mean Time Between Failure
NIST
National Institute
for
Standards
and
Engineers.
Technology
(früher: National Bureau of Standards, NBS) PDA
Personal digital assistant
PGP
Pretty Good Privacy
PIN
Persönliche Identifikationsnummer
RAB
RAID Advisory Board
SMTP
Simple Mail Transfer Protocol
URL
Uniform Resource Locator
WAN
Wide Area Network
WLAN
Wireless LAN
Atto
10
-18
Kilo
10
3
Femto
10
-15
Mega
10
6
Pico
10
-12
Giga
10
9
Tera
10
12
Peta
10
15
Exa
10
18
Nano
10
Mikro
10
Milli
10
-9
-6
-3
205
Stichwortverzeichnis Angegeben sind nur die Seitenzahlen, wo eine Einführung, Vertiefung oder die erstmalige Referenzierung eines Begriffes erfolgt. Oft findet man weitergehende Informationen auf nachfolgenden Seiten.
Adware 125 Anonymität 12 Anwender 10 Anwendungsfilter 72 Arbeitsraum 31 Archivraum 31 Authentifikation 12 Backdoor 111 Bedrohungen 19 Bedrohungsanalyse 16 Benutzer 10 Betreiber 10 Blitzschutz 47 CERT 3 Computer-Forensik 188 Computervirus 113 Computerwurm 121 DAS 147 Daten sicher löschen 183 Datenarchivierung 169 Anforderungen 171 Emulation 177 Gründe 170 Migration 177 Probleme 172 Datenrettung 189
Datensicherung 143 cloning 157 differentiell 157 Hardware 163 inkrementell 157 selektiv 157 Software 162 vollständig 157 Degausser 184 Dialer 125 Direct Attached Storage 147 DMZ 75 DoS, DDoS-Agenten 122 Drahtloses Netzwerk 78 Easter-Eggs 126 Eintrittswahrscheinlichkeit 4 E-Mail 89 Eigenschaften 92 Funktionsweise 90 Verschlüsselung 100 E-Mail-Archivierung 98 Entmilitarisierte Zone 75 Feuchtigkeit 34 Firewall 70 Grenzen 74 Typen, Wirkungsweise 72 Ziele 71
207
Stichwortverzeichnis Generationenprinzip 160
Ortsfeste Einrichtungen 8
Grundschutz 17
Paketfilter 72
Heuristische Analyse 133
Passwort-Angriff 65 Passwortrichtlinie 68
Hoax 119 Höhere Gewalt 29 IDS 82 IMAP 91 Incident Management 186 Informatikmittel 7 Integrität 12 Internetadresse 56 Intrusion Detection System 82 Inventarisierung 20 IP-Nummer 56 IP-Paket 55 iSCSI 147 ISO/OSI-Referenzmodell 54 IT-Infrastruktur 7 Klimatisierung 33 Logikbombe 110 Mail Transfer Agent 90 Mail User Agent 90 Mailbombe 111 Malware 109 Entwurfsprinzipien 127 Erkennung 131 Infektionswege 128 Klassifikation 112 Management 135 Schäden 129 Mobiler Code 124 MX-Record 92
Passwortschutz 64 Patch-Management 62 Payload 113 Personalwechsel 185 PGP 103 Physische Sicherheit 29 POP 91 Port, Portnummer 57 Primärspeicher 146 Protokoll 53 Proxy 72 RAID 150 Beurteilung 154 Parität 152 Stufen 151 Rechtevergabe 63 Risiko 4 Rootkits 125 Router 54 S/MIME 103 SAN 147 Schadensereignis 4 Schadenspotential 4 Schichtenmodell 53 Sekundärspeicher 146 Serverraum 31 Sicherheit 4
Sicherheitskonzept 18 Sicherheitsprozess 23 Network Attached Storage 147 Sicherheitsrichtlinien 18 Netzwerkbedrohungen 58 Signaturerkennung 133 Nicht-Abstreitbarkeit 12 SMTP 91 Notbeleuchtung 32 SPAM 94 Notfallübung 35 Beurteilung 94 NAS 147
208
Stichwortverzeichnis Erkennung 96 Maßnahmen 95 Regeln 95 Spannungsspitze 39 Spannungsverlust 39 Speicherarchitektur 147 Speicherhierarchie 146 Spyware 125 SSID 79 Storage Area Network 147 System 5 Systeme härten 61 Systemgrenze 5 Technikraum 31 Temperatur 34 Tertiärspeicher 146 Trapdoor 111 Trojanisches Pferd 121 Überspannung 39 Unterspannung 39 USV 40 Betrieb und Wartung 45 Dauerbetrieb 42 Dimensionierung 45 Mitlaufbetrieb 42 Netzüberwachungsbetrieb 42 Typenwahl 45 Vater-Sohn-Prinzip 160 Verbindlichkeit 12 Verfügbarkeit 12 Verkabelung 34 Vermittlungsrechner 54 Vertraulichkeit 12 Virtuelles priv. Netzwerk 76 Virus 113 Arten 114 Aufbau 113 Tarnung 116 Weiterverbreitung 118
VPN 76 VPN-Gateway 77 WEP 79 Wired Equivalent Privacy 79 WLAN 78,85 Wurm 121 Zeitbombe 110 Zugriffskontrolle 12 Zurechenbarkeit 12 Zutrittskontrolle 34
209
Über d e n A u t o r Daniel Aebi studierte Wirtschaftsinformatik an der Universität Zürich. Er promovierte an der Eidgenössischen Technischen Hochschule Zürich (ETH) zum Thema „Re-Engineering und Migration betrieblicher Nutzdaten". Seit vielen Jahren befasst er sich in Theorie und Praxis mit Projektführung, Entwicklung, Wartung und Migration von Anwendungssystemen und dem sicheren Betrieb von IT-Infrastrukturen. Er ist Inhaber der Dr. Aebi Informatik AG. Daneben ist er seit vielen Jahren auch als Dozent an der ETH Zürich tätig.
211
Systematisches Vorgehen mit Praxisbeispielen
Klaus-Rainer Müller
IT-Sicherheit mit S y s t e m Strategie - Vorgebensmodell - Prozessorientierung - Sicherheitspyramide
2 0 0 3 . XIX. 257 S. Geb. € 49,90 ISBN 3-528-05838-2
Der Inhalt Sicherheitspyramide - Strategisches Vorgehensmodell - Sicherheitspolitik Sicherheitsziele - Sicherheitsniveau Sicherheitsarchitektur - Sicherheitskonzepte - Praxisbeispiele
Das Buch Das Buch vermittelt das wegweisende Handlungswissen, um IT-Prozesse anschaulich, effizient und ganzheitlich auf Sicherheit auszurichten. Durch Dr.-Ing. Müllers Sicherheitspyramide bietet es ein strukturiertes und strategisches Top-Down-Vorgehensmodel! zum ganzheitlichen Aufbau des Sicherheitsmanagements. Es zeigt die Struktur, die von den geschäftspolitischen Sicherheitsanforderungen des Unternehmens ausgeht und Sicherheitsziele sowie -architektur angemessen berücksichtigt. Für die erfolgreiche Praxis ergeben sich daraus relevante Sicherheitskonzepte und -maßnahmen. Darüber hinaus enthält das Buch Tipps und Checklisten.
Änderungen vorbehalten