Halbjahresrückblick 2011

Nachdem die erste Hälfte des Jahres 2011 bereits fast vergangen ist, ist ein guter Zeitpunkt um die Trends dieses Jahres kurz zu analysieren:

Fortschreitende Industrialisierung der Internetkriminalität
Wie bereits in den letzten Jahren konnte auch in der ersten Jahreshälfte 2011 eine zunehmende Industrialisierung der Internetkriminalität festgestellt werden. Schadsoftware wird professionell hergestellt und vertrieben, es existieren Märkte für Schadsoftware und gestohlene Daten, immer mehr Hacker arbeiten in Organisationen arbeitsteilig zusammen und die Dienstleistungen von derartigen Organisationen können gemietet werden („Cybercrime as a Service“).

Cyberwarfare
Stuxnet hat eindrucksvoll bewiesen, dass Cyberwarfare mittlerweile Realität geworden ist. Angriffe auf Regierungen und politische Parteien werden in Zukunft zunehmen, auch Cyberterrorismus mit Versorgungsunternehmen als Angriffsziele ist jetzt kein Hirngespinst mehr sondern nur noch eine Frage der Zeit.

Mehr Angriffe auf Macs und Smartphones
In der Vergangenheit hat immer die Anzahl der Angriffe auf ein System mit dessen Marktanteil korreliert. Die ständig steigende Verbreitung von Apple-Computern und Smartphones hat und wird zu einem Anstieg von Angriffen auf diese führen.

Datenlecks und Web 2.0
Viel Aufsehen in den Medien haben die zahlreichen Einbrüche in Datenbanken renommierter Unternehmen in den vergangen Monaten erzeugt. Kundendaten (E-Mail-Adressen, Kreditkarteninformationen usw.) wurden gestohlen und teilweise im Internet veröffentlicht. Mit dem zunehmenden Einsatz von Web 2.0-Anwendungen wird die Häufigkeit derartiger Vorfälle in Zukunft weiter zunehmen. Man kann nur immer wiederholen: Man sollte besonders vorsichtig sein, wem man seine Daten anvertraut.

Die 10 meist unterschätzten Sicherheitsrisiken (Teil 2)

6. Facebook & Co.

Problem: Viele der auf Social Networking Seiten veröffentlichten persönlichen Daten wie Wohnort, Geburtsdatum, absolvierte Schulen usw. sind häufig auch die Antworten auf Sicherheitsfragen bei Banken und anderen Webseiten, die es ermöglichen sollen, sich trotz eines vergessenen Kennwortes anzumelden. Kriminelle können diese öffentlichen Daten sammeln und sich damit Zugang zu Ihren Konten verschaffen.

Ein weiteres Risiko ist, dass Online-Betrüger das (unzureichend geschützte) Facebook-Konto eines Ihrer Freunde übernehmen können und Ihnen dann manipulierte Nachrichten in dessen Namen senden, die Sie zu bestimmten Aktionen veranlassen sollen.

Lösung: Überprüfen Sie Ihre Facebook-Sicherheitseinstellungen. Machen Sie Ihre persönlichen Daten nur für Freunde sichtbar.

Akzeptieren Sie nicht jeden als Freund. Seien Sie misstrauisch, wenn eine fremde Person auf einmal Ihr Freund sein will.

Gehen Sie mit Ihren persönlichen Daten vorsichtig um. Überlegen Sie, ob Sie nicht lieber persönliche Angaben wie Wohnort und Geburtsdatum aus Ihrem Profil löschen möchten. Seien Sie vorsichtig bei der Teilnahme an Quizspielen, wo scheinbar zur bloßen Unterhaltung persönliche Informationen wie Lieblingsessen, Haustiernamen usw. abgefragt werden.

Seien Sie misstrauisch, wenn Sie unerwartet eine Nachricht von einem Ihrer Freunde erhalten, in der Sie um einen Geldtransfer gebeten oder in der Sie aufgefordert werden, eine bestimmte (in Wirklichkeit manipulierte) Webseite zu besuchen.

7. Kurz-URLs

Problem: Mit den Diensten Goo.gl, Bit.ly, Tr.im, TinyURL.com usw. können lange Internetadressen (URLs) auf wenige Zeichen verkürzt werden. Dies wird insbesondere für Tweets und SMS angewendet, wo die Nachrichtenlänge stark beschränkt ist. Leider weiß man jedoch nicht im Voraus, welche Webseite sich hinter so einer Kurz-URL verbirgt. Dies können natürlich auch manipulierte Webseiten sein.

Lösung: Benutzen Sie einen Twitter-Client. Programme wie TweetDeck können Kurz-URLs auflösen und zeigen Ihnen den Titel der Webseite sowie die vollständige Internetadresse an.

Installieren Sie einen URL-Vorschau-Plug-In für Ihren Webbrowser. Plug-Ins wie ExpandMyURL (www.expandmyurl.com) oder LongURLPlease (www.longurlplease.com) ermöglichen es, die Sicherheit von Kurz-URLs zu überprüfen. Sie warnen, wenn eine Webseite als böse bekannt ist.

8. Internetspuren

Problem: Da wir immer mehr Aktivitäten und Geschäfte online erledigen, hinterlassen wir viele Spuren im Internet. Daten wie wo wir am liebsten einkaufen, was wir am liebsten lesen, die Leute, mit denen wir am meisten kommunizieren, usw. sind nicht nur für Suchmaschinen und Werbefirmen wertvoll sondern leider auch für Online-Betrüger.

Lösung: Aktivieren Sie die Datenschutzfunktionen Ihres Webbrowsers. Alle modernen Webbrowser bieten einen Datenschutzmodus an (Inkognito-Modus in Google Chrome, InPrivate-Browsen im Internet Explorer), der nach Beendigung einer Internetsitzung alle damit in Verbindung stehenden Daten wie besuchte Webseiten, Formulardaten, Suchanfragen, Kennwörter usw. löscht. Dies ist insbesondere wichtig, wenn noch andere Personen (z.B. Mitarbeiter, Familienmitglieder) auf den gleichen Computer Zugriff haben.

Seien Sie wählerisch, auf welchen Webseiten Sie sich registrieren. Lesen Sie sich die Datenschutzerklärungen durch und registrieren Sie sich nur dort, wo Sie dem Betreiber vertrauen können.

9. Verlorene Notebooks und Smartphones

Problem: Mobile Geräte wie Notebooks und Smartphones sind sehr praktisch, stellen aber auch ein großes Sicherheitsrisiko dar, wenn sie verloren gehen und Unbekannte dann Zugriff auf persönliche oder geschäftliche Daten haben.

Lösung: Verschlüsseln Sie die Festplatte. In bestimmten Versionen von Windows Vista und Windows 7 ist bereits Microsofts BitLocker integriert, das die Verschlüsselung der Festplatten durchführen kann. Sollten Sie BitLocker nicht zur Verfügung haben, können Sie das kostenlose TrueCrypt verwenden, das ebenfalls ein ausgezeichnetes Programm zur Festplattenverschlüsselung ist. Sie sollten sich auf jeden Fall das Kennwort gut merken, da ansonsten kein Zugriff mehr auf Ihre verschlüsselten Daten möglich ist.

Benutzen Sie gute Kennwörter. Verwenden Sie zum Anmelden an Ihr Betriebssystem ein möglichst langes und komplexes Kennwort, das von anderen Personen nicht leicht erraten werden kann. Ein gutes Kennwort besteht aus Buchstaben, Ziffern und Sonderzeichen. Je länger, desto sicherer.

Setzen Sie ein BIOS-Kennwort. Durch das Setzen eines BIOS- oder eines Festplattenkennwortes können Sie sicherstellen, dass kein Unbefugter Ihr Notebook hochfahren kann. Gehen Sie dazu in das BIOS Ihres Notebooks (die richtige Tastenkombination wird immer beim Einschalten kurz angezeigt, meistens die Entf-, ESC- oder F10-Taste) und wecheln Sie zu den Sicherheitseinstellungen. Dort können Sie normalerweise ein BIOS-Kennwort eingeben (verhindert, dass Unbefugte in das BIOS gelangen können), ein Festplatten-Kennwort (verhindert, dass Unbefugte das Betriebssystem von der Festplatte starten können) oder ein Master-Kennwort (verhindert sowohl BIOS- als auch Festplattenzugriff). Die Festplatte wird dabei jedoch nicht verschlüsselt und es gibt Wege, diese Sperren zu umgehen, allerdings benötigt das entsprechendes technisches Wissen. Es ist eigentlich mehr Abschreckung für den Gelegenheitsdieb als ein wirklich guter Schutz vor Datendiebstahl.

Verwenden Sie einen Trackingdienst. Einige Notebook-Hersteller wie HP und Dell bieten ihren Kunden einen Trackingdienst an, der es ermöglicht, den geographischen Standort eines gestohlenen Notebooks zu übermitteln oder Daten auf dem Notebook automatisch zu löschen, sobald das verloren gegangene Gerät eine Internetverbindung aufbaut. Für Smartphones gibt es die Find My iPhone App und die Mobile Defense App (für Android). Auch diese ermöglichen das geographische Aufspüren eines Gerätes mit Hilfe der eingebauten GPS-Funktion und das Löschen der Daten.

10. Ungeschützte Backups

Problem: Es ist unerlässlich, sensible und wichtige Daten regelmäßig zu sichern. In den meisten Fällen erfolgt dies auf externen Festplatten oder auf CD- oder DVD-Rohlingen. Viele Anwender übersehen jedoch die Tatsache, dass diese Medien sehr leicht gestohlen werden können und dann dem Dieb einen unbeschränkten Zugriff auf alle gesicherten Daten gewähren.

Lösung: Verschlüsseln Sie Ihre Backups. Benutzen Sie eine Backup-Software, die es Ihnen ermöglicht, die Backups zu verschlüsseln oder zumindest mit einem Kennwort zu schützen. Sie können auch das kostenlose TrueCrypt zur Verschlüsselung externen Festplatten einsetzen.

Verwenden Sie einen Online-Backup-Dienst. Zahlreiche Internetprovider bieten ihren Kunden bereits einen Online-Speicherplatz zur Datensicherung an. Nachteil ist hier die Datenübertragungsgeschwindigkeit, die natürlich deutlich langsamer ist als bei einer externen Festplatte.

Die 10 meist unterschätzten Sicherheitsrisiken (Teil 1)

1. Nicht aktualisierte Software

Problem: Jahrelang war Windows das Hauptangriffsziel für Hacker, jedoch hat Microsoft daraus gelernt und in letzter Zeit erfolgreich große Anstrengungen unternommen, um seine Produkte sicherer und stabiler zu machen. Heutzutage stellen Softwareprodukte von Drittanbietern (wie zum Beispiel Adobe Reader) ein bevorzugtes Ziel dar.

Lösung: Installieren Sie immer so bald wie möglich alle relevanten Sicherheitsupdates. Dies betrifft nicht nur die Windows-Updates, die Sie am besten automatisch installieren lassen, sondern insbesondere auch Updates für Softwareprodukte von Drittanbietern (zum Beispiel Adobe Reader oder Flash). Gehen Sie dazu regelmäßig auf die Webseiten der Softwarehersteller und sehen Sie dort nach, ob es ein Update für die eingesetzten Produkte gibt. Sollte ein Produkt eine Auto-Update-Funktion anbieten, dann aktivieren Sie diese. Die installierte Software aktuell zu halten ist eine der einfachsten und wirkungsvollsten Maßnahmen, um sein System zu schützen.

2. Ungenügender WLAN-Schutz

Problem: Viele KMUs (kleine und mittlere Unternehmen) schützen ihr WLAN bereits mit einem Kennwort. Jedoch kann dies nicht immer ausreichend sein.

Lösung: Es gibt drei Verfahren der WLAN-Verschlüsselung: WEP, WPA und WPA2. WEP ist das älteste Verfahren und kann heutzutage mit speziellen Programmen in wenigen Minuten geknackt werden. Dennoch ist eine aktivierte WEP-Verschlüsselung besser als gar keine Verschlüsselung. WPA und insbesondere WPA2 bieten eine deutlich höhere Sicherheit für Ihr WLAN. Loggen Sie sich in Ihren Router ein und wechseln Sie zu den WLAN-Einstellungen. Aktivieren Sie dort die Verschlüsselung und wählen Sie WPA oder wenn möglich WPA2. Benutzen Sie ein möglichst langes und komplexes Kennwort.

3. Manipulierte WLAN-Hot-Spots

Problem: Kostenlose und offene WLAN-Hot-Spots sind fast überall vorhanden und sehr bequem. Man sollte jedoch im Hinterkopf behalten, dass jeder Hot-Spot vollen Zugriff auf den über ihn laufenden unverschlüsselten Datenverkehr hat. Kriminelle nutzen dies aus und stellen manipulierte offene Hot-Spots auf, damit sie vertrauliche Daten wie Benutzernamen, Kennwörter, Kreditkartennummern usw. sammeln können.

Lösung: Wenn Sie sich in einem Kaffeehaus oder Hotel befinden, fragen Sie nach dem korrekten SSID. Der SSID ist der Name eines WLAN-Hot-Spots und wird auch in der Liste der verfügbaren WLANs Ihres Betriebssystems angezeigt. Achten Sie dabei auf die korrekte Schreibweise, da manipulierte Hot-Spots oft einen ähnlich klingenden Namen benutzen. Grundsätzlich sollten Sie öffentliche Netzwerke nicht zum Abrufen vertraulicher Informationen wie E-Mails oder zum Erledigen von Bankgeschäften verwenden, es sei denn, es steht Ihnen eine verschlüsselte Datenverbindung (VPN) direkt zu Ihrem Unternehmen zur Verfügung.

4. Scareware

Problem: Bei Scareware handelt es sich um bösartige Software, deren Ziel es ist, den Anwender zu verunsichern und zu täuschen. Ein verbreitetes Beispiel dafür ist die beim Surfen auf einer Website plötzlich erscheinende Warnung, dass der PC mit einem Virus befallen wäre und der Anwender nun eine bestimmte Anti-Virus-Software herunterladen solle. Jene Anti-Virus-Software ist natürlich in Wirklichkeit ein Schadprogramm.

Lösung: Machen Sie sich mit Funktionsweise und Aussehen Ihrer installierten Sicherheitssoftware vertraut, damit Sie echte Warnungen von vorgetäuschten unterscheiden können.

Laden Sie keinesfalls eine fremde Sicherheitssoftware herunter, sondern vertrauen Sie Ihrer installierten Sicherheitslösung. Lassen Sie sich nicht verunsichern! Sollten Sie noch keine Sicherheitssoftware installiert haben, benutzen Sie einen kostenlosen Online-Scanner eines renommierten Herstellers (z.B. http://housecall.trendmicro.com oder http://www.eset.com/online-scanner) oder das Microsoft Malicious Software Removal Tool (http://www.microsoft.com/security/malwareremove); installieren Sie anschließend eine gute Sicherheitssoftware (zum Beispiel das auch für Kleinunternehmen kostenlose Microsoft Security Essentials http://www.microsoft.com/security_essentials).

Aktualisieren Sie Ihren Webbrowser. Die meisten aktuellen Webbrowser haben einen Phishing-Schutz eingebaut, der zu einem Großteil derartige gefälschte Meldungen erkennt.

5. Trojanische SMS

Problem: Trojanische SMS sind Kurznachrichten auf Ihrem Handy oder Smartphone, die vortäuschen, von Ihrem Netzbetreiber oder Ihrer Bank zu kommen, und die Sie auffordern, eine bestimmte (in Wirklichkeit manipulierte) Website zu besuchen oder ein benötigtes (in Wirklichkeit bösartiges) Update zu installieren. In allen Fällen geht es jedoch darum, an Ihre vertraulichen Daten wie Benutzernamen, Kennwörter, Kreditkartennummern usw. heranzukommen.

Lösung: Sollten Sie eine Textnachricht erhalten, die von Ihnen verlangt eine Software zu installieren oder die versucht, automatisch eine Software zu installieren, beenden Sie die SMS-App umgehend. Sollte die Nachricht vorgeben, von einem vertrauenswürdigen Absender zu kommen, setzen Sie sich mit dem Absender in Verbindung (z.B. Kundendienst oder Hotline), und verifizieren Sie, dass die Nachricht korrekt ist. Grundsätzlich senden seriöse Unternehmen keine Updates oder Installationsaufforderungen per SMS. Verbrecher spekulieren darauf, dass sich ihre Opfer von den vermeintlich echten Absendernamen beeindrucken lassen und dann die Schadprogramme installieren.

Der Weg zu vertrauenswürdigeren Systemen

Die Zahl der böswilligen Cyberaktivitäten wächst weltweit mit steigender Geschwindigkeit. Beispielsweise wird das Pentagon mittlerweile über 5000-mal pro Tag aus dem Internet angegriffen. Da Internetangriffe sowohl in Qualität als auch in Frequenz ständig steigen, erhöht sich auch der Bedarf nach Software Assurance, um skalierbares Vertrauen auf allen Ebenen (privat, geschäftlich, öffentlich, staatlich) garantieren zu können.

In unserer Zeit arbeitet IT-Sicherheit reaktiv und heuristisch, wird ständig aufwendiger, und kämpft damit, mit den immer schneller auftauchenden Bedrohungen Schritt zu halten. Sie funktioniert wie die Feuerwehr, die zu bereits brennenden Häusern gerufen wird. Um aus dieser vorrangig reaktiven Position herauszukommen, wird eine Änderung in der Architektur von Computer- und Kommunikationssystemen nötig sein. Das Ziel muss sein, die Waage zu Gunsten des Verteidigers ausschlagen zu lassen.

Schäden durch Internetkriminalität und Onlinebetrug wurden für das Jahr 2008 weltweit auf über 1 Billion Euro geschätzt.

Die größte Herausforderung stellt die ständige Weiterentwicklung von Angriffsmethoden dar. Abwehrmaßnahmen für bekannte Angriffe funktionieren nicht bei neuartigen Angriffen. Herkömmliche Risikobewertungsverfahren berücksichtigen nicht oder nur ungenügend neuentstehende Bedrohungen. Es werden daher neue Methoden der Verteidigung benötigt, die die Vorteile eines Angreifers reduzieren, insbesondere wenn neue Angriffe zum ersten Mal ausgeführt werden.

Die Hauptprobleme der Internetsicherheit

  • Die hohe Komplexität auf allen Ebenen.
  • Die gigantische Menge an Daten.
  • Die Umwandlung von Daten in Information und dann in Wissen.
  • Die nichttechnischen Rahmenbedingungen (Datenschutz, Bedienbarkeit, rechtliche Anforderungen, ökonomische Anforderungen)
  • Die Unzulänglichkeit von grenzartigen Verteidigungslinien („Layered Defense“, „Defense in Depth“) in unserer vernetzten Welt. Stattdessen sollten aktive, verteilte und sich anpassende Sicherheitsmodule integraler Bestandteil jeder neuen Hard- und Software-Kombination sein.
  • Vollständig vertrauenswürdige Systeme sind leider utopisch, da heutige Systeme zu komplex sind, Menschen Fehler machen, eine hohe Dynamik im IT-Bereich existiert usw.

Daher kann das Ziel nicht eine vollständige Elimination aller möglichen Sicherheitsschwachstellen sein, da dies unrealistisch wäre, sondern das Ziel muss sein, die Systeme so abzusichern, dass mögliche Schwachstellen technisch und ökonomisch schwer ausnutzbar sind.

Neue Konzepte

Tailored Trustworthy Spaces (TTS)
Ein TTS ist eine flexible, sich anpassende, verteilte Vertrauensumgebung. Ein TTS kann angesichts einer ansteigenden Bandbreite von Bedrohungen für ein breites Spektrum an Tätigkeiten Anforderungen in funktionaler, reglementarischer und vertrauenswürdiger Hinsicht umsetzen. Ein TTS erkennt den Kontext eines Anwenders und ändert sich mit diesem. Die Sicherheit ist dabei zugeschnitten auf die Bedürfnisse einer spezifischen Transaktion anstatt umgekehrt.

Sicherheit muss End-to-End und Top-to-Bottom sein. Wir brauchen neue Ansätze bei Hardware- und Softwarearchitekturen, die die Sicherheit von Top-to-Bottom kontrollieren und die helfen, die Angriffsfläche zu minimieren.

Moving-Target-Verteidigung für erhöhte Resilienz durch Beweglichkeit
Moving-Target-Systeme sind von der Verhaltensweise der Natur inspiriert. Diese Systeme verändern sich permanent und kontrolliert über mehrere Dimensionen um für potentielle Angreifer Unsicherheit, Komplexität, Kosten und Mühen zu erhöhen sowie das Zeitfenster (“Window of Opportunity”) für einen Angriff möglichst klein zu halten, während Resilienz und Fehlertoleranz innerhalb des Systems gestärkt wird.

Beispiele für derartige Systeme sind dynamische Netzwerke, JIT-(“Just-in-Time”)-Compiler und temporäre virtuelle Maschinen. Dabei angewandte Technologien sind das zufällige Ausführen von dynamischem Code und Befehlssätzen, Aufteilen von Daten in mehrere Teile (“Data Chunking”), Dezentralisierung und starker kryptographischer Schutz für Anmeldedaten. Die Kombination dieser Methoden macht einen Angriff auf ein dynamisches System viel schwieriger. Moving-Target-Netzwerke können ihre Aktivitäten durch sich ständig ändernde Adressen, Pfade und Topologien verwischen. Dabei einzuhaltende Randbedingungen sind Skalierbarkeit, Bedienbarkeit, Leistung, Kosten und Energieverbrauch.

Moving-Target-Systeme müssen beweglich sein und wurden inspiriert von den autonomen Verhaltensmustern und –konzepten, die wir aus den Analysen des Immunsystems, des Gehirns, der Evolution und anderen natürlichen Reaktionen auf Bedrohungen gelernt haben. Im Idealfall bilden Moving-Target-Systeme kontrollierte Umgebungen über mehrere Dimensionen und erhöhen somit die Kosten für den Angreifer. Jener muss wesentlich mehr Zeit und Ressourcen für Aufklärung, Planung und Entwicklung des Angriffs investieren.

Cyberökonomie und Anreize für verbesserte Sicherheit
Gute Sicherheitspraktiken sind Grundvoraussetzung für eine erfolgreiche Verteidigung gegen Internetangriffe, und es müssen Anreize dafür geschaffen werden, dass Unternehmen und Behörden ihre Internetsicherheit verbessern. Der erwartete Nutzen besserer Sicherheitsmaßnahmen muss monetär quantifiziert werden, um zu belegen, dass sie die entstandenen Kosten der Implementierung übertreffen. Allerdings besteht hier das Problem, dass nur schwer festzustellen ist, wie sicher ein System aktuell ist bzw. um wie viel sicherer es durch zusätzliche Investitionen werden würde.

Ökonomische Werkzeuge waren bereits in verschiedenen Märkten darin erfolgreich, das Verhalten der Teilnehmer zu lenken.
Auch die Informationssicherheit ist zu einem Teil eine Sozialwissenschaft. Sie wird zwar durch Technologie definiert, aber die Protagonisten sind auch motiviert durch Verhalten, Wahrnehmungen und zahlreichen anderen Faktoren außerhalb der Technologie.

Für eine effiziente Verteidigung müssen wir die Kosten- und Nutzenstrukturen der Angriffe verstehen und auf die wichtigsten Komponenten dieser Strukturen zielen. Dies kann durch gründliche Untersuchung der ökonomischen Faktoren für Verteidiger und Angreifer erreicht werden, mit dem Ziel, Technologien und Prozesse zu entwickeln, die die Anreize für ökonomisch motivierte Angriffe eliminieren.

Software Assurance der Zukunft

Software Assurance wird definiert als das Maß an Gewissheit, dass eine Software frei ist von Sicherheitsschwachstellen, die entweder bewusst in die Software eingeplant oder unabsichtlich während des Softwareentwicklungsprozesses (Software Development Life Cycle, SDLC) eingefügt wurden, und dass die Software wie vorgesehen funktioniert.

Aktuelle Herausforderungen
Die große Bedeutung software-abhängiger Systeme in unserer Welt und die zahlreichen Risiken und Bedrohungen für diese Systeme, die von Einzelpersonen, Organisationen und Staaten ausgehen, verlangt nach Software, die frei von Schwachstellen ist und wie geplant funktioniert.

In der Vergangenheit haben Unternehmen und Behörden benötigte Software und Systemlösungen selbst entwickelt. Dabei konnten Softwaresicherheit und Assuranceanforderungen direkt im SDLC berücksichtigt werden. Da Unternehmen und Behörden immer mehr zu kommerziellen Standardprodukten und ausgelagerter Entwicklung von großen Systemen übergehen, hat sich der Ort der Kontrolle geändert. Da Software Assurance bereits während des SDLC berücksichtigt werden muss und nicht einfach wie ein Softwarepatch am Ende des SDLC aufgespielt werden kann, müssen die Auftraggeber bzw. Käufer überprüfen, wie ihre Vertragspartner Softwaresicherheit und Assuranceanforderungen während des SDLC umsetzen.

Kommerzielle Softwareanbieter reagieren normalerweise zuerst auf die Nachfrage des Marktes nach besseren und neuen Features und nach einer kürzeren Entwicklungszeit. In den meisten Fällen stellt der Käufer nur einen kleinen Teil der Kundenbasis eines Anbieters dar, hat daher wenig Marktmacht. Softwareanbieter spüren daher keinen wirklichen Druck vom Markt oder vom Käufer bei einer Auftragsentwicklung. Sicherheitsaspekte können als Erschwernisse bei der Implementierung gewünschter Features und Funktionalitäten wahrgenommen werden. Die Folge ist, dass Softwarehersteller und ihre Kunden den Wert von Sicherheit erst erkennen, wenn das Schlimmste bereits passiert ist. Dies muss sich ändern.

Ziele
Ein Software-Assurance-Programm, das die oben geschilderten aktuellen Herausforderungen meistern will, muss folgende Bestandteile aufweisen:

  • Risikomanagement der Softwarewertschöpfungskette: Eine abgesicherte Wertschöpfungskette (Supply Chain) für Software ist unabdingbar, da der Outsourcinganteil immer mehr ansteigt und sich dadurch zahlreiche Risikoquellen öffnen.
  • Überprüfungen und Kontrollen: Umfangreichere diagnostische Verfahren mit Mess- und Analysemethoden werden benötigt, um zuverlässige quantitative Informationen über die Softwaresicherheit zu liefern. Für das Fällen von risikobasierten Entscheidungen wird ein Regelwerk benötigt, das auf diesen Informationen zugreift. Aktuell angewandte Verfahren sind unausgereift und unzureichend für diese Zwecke.

Risikomanagement der Softwarewertschöpfungskette
Die Softwareentwicklung muss Sicherheitsrisiken, die durch manipulierbare Software entstehen können, explizit während des gesamten SDLC behandeln.

Neben physischer Sicherheit stellen Diebstahl des geistigen Eigentums, Produktfälschungen, unsichere Software von Herstellern mit niedrigen Sicherheitsstandards und Software, die absichtlich mit bösartigen Funktionen wie Keyloggern, logischen Bomben und versteckten Backdoors ausgestattet wurde, Risiken für die Wertschöpfungskette dar.

Leider jedoch sind viele Gesetze, Programme, Standards und Praktiken, die die IT- und Software-Sicherheit regeln, nicht ausgereift. Herkömmliche Prozesse konzentrieren sich auf die Infrastrukturkomponenten und nicht explizit auf die softwarebezogenen Sicherheitsrisiken. Eine erfolgreiche Risikominderung in der Softwarewertschöpfungskette muss folgende Herausforderungen bewältigen:

  • Komplexität der Wertschöpfungskette: Größte Herausforderung ist die Komplexität, die es erschwert, das Codeverhalten einer Software festzustellen und vorherzusagen. Dadurch wird bei sicherheitskritischen Anwendungen jegliche Software-Assurance-Aussage eingeschränkt.
  • Unzureichende Datenbasis für das Überprüfen von Software-Assurance-Aussagen: Die Softwarewertschöpfungskette leidet unter ungenügenden diagnostischen Verfahren und dem Fehlen allgemein anerkannter Standards, auf deren Basis Aussagen über die Software Assurance und Qualität von Produkten, Systemen und Diensten gemacht werden sollte. Daher ist heutzutage das wichtigste Entscheidungskriterium bei sicherheitskritischen Anwendungen der Standort des Herstellers. Kunden fehlt die Transparenz um bessere Entscheidungen zur Risikominimierung zu treffen. Das bedeutet allerdings auch, dass die einfache Bevorzugung heimischer Lieferanten/Hersteller nicht den Erwerb von sicheren Komponenten garantiert, da keine allgemein anerkannten Benchmarkingverfahren existieren, um die organisatorischen und technischen Fähigkeiten des Herstellers, sichere Produkte und Dienstleistungen entwickeln und liefern zu können, zu überprüfen.
  • Mangel an Kooperation: Das Absichern der Softwarewertschöpfungskette ist schwierig, wenn nicht alle Teilnehmer davon überzeugt sind, dass Software Assurance eine lohnenswerte Investition ihrer Zeit und Ressourcen darstellt.

Überprüfung von Software-Assurance-Aussagen
Das Risikomanagement für die Wertschöpfungskette beinhaltet sowohl Unternehmens- als auch Projektaspekte. Auf Unternehmensgebiet müssen Compliance, die sich stetig ändernde Bedrohungslandschaft und der Businesscase für Software Assurance berücksichtigt werden. Auf Projektgebiet konzentriert sich das Risikomanagement auf Kosten, Termine und Leistungen.

Auf diesen zwei Gebieten müssen international anerkannte Standards entwickelt werden, um Prozesse zur informierten Entscheidungsfindung zu unterstützen. Neueste Entwicklungen in diesem Bereich sind das Assurance Process Reference Model für Capability Maturity Model Integration (CMMI), das Building Security In Maturity Model (BSIMM) und das Open Software Assurance Maturity Model (OpenSAMM).

Kostenrechtfertigung für Software Assurance
Sämtlicher Aufwand zur Reduktion von Sicherheitsrisiken ist am kosten-effektivsten wenn er während des SDLC gemacht wurde.

Entwicklung neuer Verfahren zur Absicherung der Softwarewertschöpfungskette
Der Bedarf nach neuen Verfahren, um die Softwarewertschöpfungskette abzusichern, ist da. Hier ist die Wissenschaft und Forschung gefordert, da aktuelle Verfahren nicht ausreichend sind.

Software-Assurance-Messung
Aktuelle Software- und Systemmessinstrumente berücksichtigen Sicherheit und Software Assurance nicht als Maßstab für Qualität. Daher ignorieren sie zahlreiche Faktoren, die Software kompromittieren und sie Angriffen aussetzen können. Da keine standardisierten Messinstrumente für Software Assurance existieren, ist es schwierig – wenn nicht unmöglich – informierte Entscheidungen während des SDLC über die Informationssicherheit, Compliance, Leistungsfähigkeit und funktionalen Anforderungen zu treffen.

Fehlen von qualifiziertem Personal
Nur wenige Entwickler besitzen das nötige Hintergrundwissen, um sichere Software zu erstellen. In der universitären Ausbildung ist Software Assurance keine eigene Disziplin sondern ist auf vielen unterschiedlichen Fächern aufgeteilt. Folglich bezweifeln Behörden und Industriekunden zu Recht die Fähigkeiten von Herstellern, sichere Software mit einem benötigten Grad an Integrität zu entwickeln und ein Mindestmaß an verantwortungsvollen Praktiken auszuüben. Dieses Problem wird verstärkt durch den Mangel an Weiterbildung für hohe Beamte und Einkaufspersonal, um Kaufentscheidungen für Technologieprodukte anhand ihres jeweiligen Sicherheitsbedarfs zu treffen.

Blick in die Zukunft
Das junge Feld der Software Assurance hat in den letzten Jahren bereits einiges erreicht, dennoch liegt noch viel Arbeit vor uns. Hier werden vor allem die US-Amerikaner mit ihrer “National Strategy to Secure Cyberspace” den größten Einfluss haben.

Diagnostische Verfahren
Durch die Zusammenarbeit von Behörden, Universitäten und Industrie werden bessere diagnostische Verfahren zur Minderung der Risiken aus Sicherheitslücken und -schwachstellen entwickelt werden. Auch der Einsatz von Messinstrumenten und Benchmarkingverfahren für die Softwaresicherheit wird sich weiterentwickeln. Sie werden zu den Faktoren Qualität und Sicherheit den Einkaufsverantwortlichen eine ausreichende Datenbasis liefern, um Einkaufsentscheidungen zu treffen, und Herstellern eine zuverlässige Datenbasis zum Vergleich und zur Positionierung ihrer Produkte gegenüber der Konkurrenz. Die Verwendung derartiger Tools und Verfahren wird ein Teil des normalen Geschäftsbetriebes werden.

Die Berücksichtigung von Risiken in der Wertschöpfungskette
Einkaufsmanager und Anwender werden Risiken in der Softwarewertschöpfungskette im Rahmen ihres jeweiligen Risikominimierungsprogrammes berücksichtigen. Informationen über Fähigkeiten und Geschäftspraktiken eines bestimmten Herstellers stehen zur Verfügung, um die Sicherheitsrisiken, die die Produkte und Dienstleistungen des Herstellers beinhalten, berechnen zu können. Informationen über geprüfte Produkte und deren Sicherheitsschwachstellen sind vorhanden. Produkte werden standardmäßig vom Hersteller sicher konfiguriert.

Anerkannte Sicherheits- und Software-Assurance-Standards
Die Sicherheit und Qualität von Software wird mittels Standards und geeigneten Tools von unabhängigen Dritten zertifiziert.

Drahtlose Unsicherheit

Drahtlose Kommunikation über WiFi oder Handynetze wird immer beliebter und wichtiger. Auch im Unternehmensbereich. Doch wie sicher ist das? Nachfolgend der aktuelle Wissensstand.

WiFi
Nachwievor begegne ich in Unternehmen WLAN-Netzwerken, die mit dem ungenügenden WEP-Verfahren “geschützt” sind. WEP bietet heutzutage keine Sicherheit mehr, kann innerhalb weniger Minuten mit frei erhältlicher Software von jedem Hobby-Hacker überwunden werden.

Und wie sieht es mit dem Nachfolger WPA aus? Auch WPA wurde bereits kompromittiert. Auf speziellen Webseiten kann man für ca. 15 Euro das WPA-Kennwort cracken lassen. Durchschnittliche Dauer: 20 Minuten. Ein handelsüblicher Dual-Core-PC braucht für die gleiche Aufgabe ca. 5 Tage. Folglich bietet auch WPA keine ausreichende Sicherheit mehr. Schutz bietet heutzutage nur noch der WPA2-Standard. Es ist daher sehr wichtig, möglichst rasch alle WEP- und WPA-geschützten Drahtlosnetzwerke auf den WPA2-Standard zu aktualisieren.

Doch auch wenn ein Unternehmen seine hauseigenen WiFi-Netzwerke mittels WPA2 schützt, eine große Restunsicherheit bleibt: Was ist, wenn die Mitarbeiter zu Hause oder unterwegs ein WLAN benutzen? Wie kann man sicherstellen, dass jene Drahtlosnetzwerke auch ausreichend geschützt sind? Leider kann man das nicht. Der einzige Schutz in diesem Fall ist die automatische Verschlüsselung des gesamten darüber laufenden Datenverkehrs.

Handy
Grundsätzlich gibt es zurzeit zwei Handynetze: das alte GSM und das neue 3G. 3G-Netze sind schneller, aber in der Regel nur in Städten und Ballungszentren ausgebaut. Außerhalb jener Bereiche verwenden auch 3G-Handy das GSM-Netz.

Im Dezember 2009 wurden die vollständigen GSM-A5/1-64-Bit-Verschlüsselungscodes veröffentlicht, mit der Folge, dass GSM-Telefonate und –datenübertragungen sowie SMS in Echtzeit abgehört werden können. War dies bisher nur staatlichen Behörden möglich, so steht diese Möglichkeit nun jedem technisch Interessierten offen. Die nötige Hardware dafür kostet weniger als 1.000 Euro. Für hohe Politiker und Beamte ändert sich durch die Veröffentlichung der GSM-Codes nichts, da jene Personen schon immer spezielle, den kompletten Sprach- und Datenverkehr verschlüsselnde Handys benutzt haben. Aber für Unternehmer und Manager bedeutet dies, dass sie für vertrauliche Gespräche doch besser ein schnurgebundenes Festnetztelefon verwenden sollten.

Das Sicherheitsrisiko Facebook minimieren

Soziale Netzwerke sind heutzutage allgegenwärtig und sehr populär. Privatpersonen und Unternehmen verwenden Facebook, Twitter, Xing, LinkedIn u.a., um mit anderen Benutzern in Kontakt zu treten.

Welche Sicherheitsrisiken ergeben sich daraus?

  • Identitätsdiebstahl: Identitätsdiebe finden auf jenen Webseiten viele Informationen über ihre Opfer. Genug Menschen veröffentlichen ihr ganzes Leben in ihren Onlineprofilen. Auch Social Engineering für zukünftige Hackerangriffe wird dadurch deutlich erleichtert.
  • Malware: Schadcode (z.B. Viren, Trojaner), der von anderen Benutzern hochgeladen wurde, wird heruntergeladen und ausgeführt.
  • Rufschädigung: Ein Mitarbeiter veröffentlicht pikante Fotos von der letzten Weihnachtsfeier.
  • Verlust vertraulicher Informationen an Öffentlichkeit oder Konkurrenz: Ein verärgerte oder enttäuschter Mitarbeiter plaudert über Firmeninterna, ein enthusiastischer Mitarbeiter schreibt voreilig über einen bevorstehenden Geschäftsabschluss.

Aus diesen Gründen unterbinden einige Unternehmen mit Hilfe technologischer Mittel vollständig den Gebrauch sozialer Netzwerke, was jedoch oft eine übertriebene Reaktion ist, da soziale Netzwerke auch zahlreiche Vorteile für Unternehmen (z.B. in den Bereichen Marketing, Vertrieb, Kundensupport) bringen können.

Mit nachfolgenden Gegenmaßnahmen kann man die Sicherheitsrisiken, die von sozialen Netzwerken ausgehen, deutlich minimieren:

Technologie
Mehreren Verteidigungsschichten sollten existieren (“Defense in Depth”). Netzwerke (z.B. “Deep Packet Inspection”), Server, lokale PCs (z.B. Anti-Virus, aktualisierte Software), sowie der E-Mail- und Internetverkehr sollten ausreichend geschützt werden, da viele Angriffe heutzutage auf mehreren technologischen Ebenen ablaufen.

Nutzervereinbarungen
Auch wenn eine Nutzervereinbarung nur ein Stück Papier ist, so ist sie doch integraler Bestandteil einer guten Informationssicherheitsstrategie. Erläutern Sie ganz genau, was erlaubt ist und was nicht, und welche Sanktionen bei Zuwiderhandlung drohen. Alle Mitarbeiter (unabhängig von Tätigkeit und Position) sollten diese Vereinbarung unterzeichnen.

Mitarbeiterschulungen
Dies ist eine wichtige präventive Maßnahme. Jeder Mitarbeiter sollte eine derartige Schulung besuchen und die Absolvierung schriftlich bestätigen. Eine derartige Schulung kann in der Gruppe oder online am Computer erfolgen.

Die Mitarbeiter müssen die Risiken für ihre eigenen persönlichen Daten als auch für die Daten und den Ruf des Unternehmens verstehen. Die Schulungen sollten eine allgemeinen Überblick über die Risiken geben, dann die Vorteile sozialer Netzwerke erläutern und ausführliche Beispiele dafür geben, was erlaubt ist und was nicht. Es sollte eine entspannte Atmosphäre herrschen und die Mitarbeiter sollten sich ermutigt fühlen, Fragen zu stellen.

Informationssicherheit in der Rezession

Die Rezession der letzten Jahre hatte Auswirkungen auf die IT-Sicherheitsbudgets der Unternehmen, aber auch auf die Bedrohungslandschaft. Es war eine Zeit großer Herausforderungen für alle diejenigen, die für die Informationssicherheit verantwortlich waren. Aus meinen Gesprächen mit Kunden weiß ich, dass in den Unternehmen vorrangig Kosten gespart wurden, indem Projekte eine Nummer kleiner ausgeführt oder in die Zukunft verschoben wurden. Und dies obwohl die Bedrohungslage zur gleichen Zeit stetig weiter wuchs.

Eine erfreuliche Entwicklung hat es jedoch auch gegeben: IT-Sicherheitsverantwortliche müssen verstärkt dem Management gegenüber Rechenschaft für ihre Ausgaben ablegen. Auch wenn noch immer viele IT-Manager das nicht gerne hören, aber die Informationstechnologie (und damit auch die Informationssicherheit) ist kein Selbstzweck sondern ein Unterstützungsprozess des Geschäftsbetriebes. Sie muss sich daher wie jeder anderer Prozess auch quantifizieren und rechtfertigen können (z.B. Return on Investment, ROI). Dass dies nicht immer einfach ist, ist kein Grund es nicht zu tun. Der Wert der Informationssicherheit kann und muss quantifiziert werden. Durch die angespannte Budgetlage waren viele IT-Verantwortliche und IT-Administratoren gezwungen, enger mit dem Management zusammen zu arbeiten, detaillierte Pläne zu erstellen und überzeugende Businesscases zu entwickeln.

Beim Management erhält die Absicherung der Unternehmensdaten und die Vermeidung von Datenverlusten nach außen (“Data Loss Prevention”, DLP) immer mehr Bedeutung.

Kriminalität stieg in der Rezession
Während die meisten Sicherheitsbudgets gleich blieben oder leicht sanken, stieg die Internetkriminalität in der Rezession deutlich an. Internetkriminalität ist heutzutage ein Geschäft. Es braucht keinen hochqualifizierten Hacker mehr, sondern jeder Jugendliche (sogenannte “Script Kiddies”) kann fertige Malware-Kits herunterladen und seine eigenen Angriffe durchführen. Viele dieser Kits beinhalten sogar eine Geld-zurück-Garantie und technischen Support. Internationale Verbrecherbanden vermieten ihre Bot-Netze auf Zeit und helfen Kleinkriminellen bei der Geldwäsche jenes gestohlenen Geldes, das sie mittels Online-Banking-Trojaner erbeutet haben. Diese fortschreitende Industrialisierung der Internetkriminalität nennt man auch “Cybercrime as a Service”.

Im letzten Jahr stieg vor allem die Zahl der Schadsoftware, auch bedingt durch die “Script Kiddies”. Es tauchen von jedem Schädling immer neuere Varianten auf, die sich nur wenig unterscheiden, trotzdem aber viel Arbeit für die Anti-Virus-Softwarehersteller bedeuten. Auch die Zahl der “Drive-by-Infektionen” erhöhte sich. Dabei handelt es sich um Schadsoftware, die auf bekannten und seriösen Webseiten versteckt wird und den Computer des Besuchers infizieren.

Eine weitere Tendenz ist der Anstieg der Angriffe auf populäre Anwendungen wie Flash und Acrobat Reader. Viele dieser Angriffe könnten durch regelmäßiges und zeitnahes Aktualisieren der Software unterbunden werden.

Auch die steigende Bedeutung des Web 2.0 brachte und bringt viele Gefahren, da von anderen Benutzern hochgeladene Dateien eine Hauptquelle für Schadsoftware sind. Für Identitätsdiebe sind soziale Netzwerke eine große Arbeitserleichterung, da sie dort viele benötigte Informationen über ihre Zielpersonen finden.