Outsourcing in der IT-Sicherheit?

Die Absicherung der Unternehmens-IT ist eine anspruchsvolle Aufgabe. Und das Anspruchsniveau steigt zunehmend rascher. Neue Bedrohungen, schärfere rechtliche Auflagen, höhere geschäftsrelevante Risiken, Nachweis- und Berichtspflichten etc. sorgen dafür. Das treibt natürlich auch die Kosten für einschlägig geschultes Personal und redundant ausgelegte Technik.

Steigende Risiken und höhere Kosten – beides zusammen lässt gerade kleine und mittlere Unternehmen darüber nachdenken, ob nicht eine Auslagerung dieses sensiblen Themas sinnvoll sein kann. Zudem sich zunehmend Firmen am Markt etablieren, die Managed-Security-Services oder gar komplette Security-Operation-Center, d.h. hochverfügbare und durchgehend (7×24) betriebene Rechenzentren mit hohen Sicherheitsstandards zur Miete, zur Einstellung eigener Server oder für das Auslagern bestimmter Security-Funktionen anbieten.

„Ein Sicherheitsleitstand oder „Security Operation Center“ (SOC) verarbeitet die sicherheitsrelevanten Meldungen und Vorkommnisse in einer Organisation zentral und korreliert sie, um die richtigen Reaktionen zu veranlassen. Die Funktion ähnelt der der Leitstelle eines Rettungsdienstes, dessen Aufgaben von der Entgegennahme der Notrufe über das Heranführen der zuständigen Spezialkräfte bis zur Koordinierung mit anderen Dienststellen reichen“ (lanline.de)

So berichtet auch die Fachzeitschrift „IT-Sicherheit“ in ihrer aktuellen Ausgabe 3/2008 schwerpunktmäßig über das Thema Managed-Security-Services und kommt dabei zu dem Ergebnis, dass hier das Gleiche gilt wie beim Auslagern anderer sensibler Themen: Es kommt auf den Einzelfall an und man muss sich die Vertragspartner genau ansehen.

Es scheint sich aber auch hier der allmähliche Trend abzuzeichnen, dass einzelne Teilbereiche der IT-Sicherheit an Dienstleister ausgelagert werden, während die betriebswirtschaftliche Überwachung und strategische Steuerung weiterhin unternehmensintern verbleibt.

DGB veröffentlicht Positionspapier zum Datenschutz

Der Deutsche Gewerkschaftsbund (DGB) hat ein Positionspapier zum Datenschutz veröffentlicht. Angesichts zahlreicher Datenschutzskandale in der Wirtschaft (Telekom, Lidl etc.) fordert der DGB, dass bestehenden Regelungen im Datenschutzgesetz sowie den dort festgeschriebenen Prinzipien der Datensparsamkeit und Datenvermeidung mehr Geltung verschafft wird. Auch werden staatliche Maßnahmen wie die Vorratsdatenspeicherung, zunehmende Videoüberwachung sowie die Zentralerfassung von Einkommensdaten aller Arbeitnehmer durch das ELENA-System zum elektronischem Entgeltnachweis kritisiert, da sie dem Missbrauch der immer größer werdenden Datenbestände durch staatliche, staatsnahe oder private Institutionen Tür und Tor öffnen.

„Die Sammelleidenschaft der staatlichen und privaten Unternehmen gerät außer Kontrolle und die Sensibilität droht verloren zu gehen. Dabei sind häufig die Gründe für die Speicherung und Auswertung personenbezogener Daten aus Sicht der einzelnen Speicherstellen durchaus legitim: Terrorismusbekämpfung, Verhinderung der Steuerhinterziehung, Erfüllung von Kundenwünschen, Optimierung der Gesundheitsvorsorge. Die Datensammelwut eröffnet aber auch dem Missbrauch Tür und Tor und gefährdet die Privatsphäre einzelner Personen.“ (DGB-Papier)

Daher fordert der DGB die Datensammelwut einzugrenzen und Datenmissbrauch härter zu sanktionieren. Konkret wird dazu vorgeschlagen, die im BDSG bereits geregelte Zielsetzung und zeitliche Begrenzung der Datenspeicherung stärker durchzusetzen und die Prinzipien der Datensparsamkeit und Datenvermeidung stärker durchzusetzen.

Dazu soll die Datenschutzkultur der Unternehmen verbessert werden. Beispielsweise überall dort, wo Unternehmen sich ohnehin Compliance-Regeln, Ethik-Grundsätze oder sog. „Business-Conduct-Rules“ (Regeln guter Geschäftsführung) geben. Betriebliche Interessenvertretungen und Datenschutzbeauftragte sollten hierzu bei der Erstellung von Datenschutzkonzepten für Unternehmen eng zusammenarbeiten. Es wird gefordert, dass der Datenschutzbeauftragte unabhängig von Weisungen ist, ausreichend mit Ressourcen ausgestattet und über wesentliche Vorgänge informiert wird.

Da Informations- und Kommunikationstechniken inzwischen längst Bestandteil der Arbeitswelt geworden sind und das Recht der Beschäftigten auf informationelle Selbstbestimmung während der Arbeit oft zu kurz kommt, fordert der DGB ein Arbeitnehmerdatenschutzgesetz, um die zahlreichen Datenschutzfragen des Arbeitslebens zu regeln

(Das bestehende BDSG ist ein Rahmengesetz, das allgemein das regelt, was nicht in spezielleren Gesetzen geregelt wird)

Zusätzlich wird gefordert, die Transparenz für Betroffene zu verbessern, indem diesen bereits bei der Erhebung personenbezogener Daten mitgeteilt wird, zu welchem Zweck und auf welcher Rechtsgrundlage die Daten erhoben, verarbeitet und genutzt werden. Und wie sie Daten einsehen, korrigieren oder löschen lassen können. Auch dies ist an sich bereits im BDSG geregelt, wird aber in der Praxis oft nicht eingehalten.

Zuletzt fordert der DGB, dass die derzeitigen Geldstrafen für Datenschutzverstöße (i.d.R. im 4-5stelligen Bereich, maximal jedoch 250.000 €) deutlich heraufgesetzt und in der Praxis auch verhängt werden. Sanktionen müssten deutlicher spürbar sein, um Nachlässigkeiten oder Missbräuche zu vermeiden.

s.a. Heise.de

Hacker-Linux vom BSI: Die BSI OSS Security Suite 2.0

Vorkonfigurierte und von CD direkt bootbare Linux-Distributionen erfreuen sich wachsender Beliebtheit. Dazu zählen auch „Hacker-Linux“-Distributionen, die meist ein schlankes Linux verbunden mit einer mehr oder weniger umfänglichen Sammlung von Sicherheits-Tools zur Suche nach Sicherheitslücken o.ä. mitbringen.

So ein Linux ist gerade für Schulungszwecke gut geeignet, da man sich die Arbeitsweise zahlreicher Sicherheitswerkzeuge direkt am laufenden Programm ansehen kann. Auch wenn die meisten Tools ein entsprechendes Verständnis von Systemtechnik, Netzwerkprotokollen und Softwareinterna voraussetzen und sich daher nicht zum einfachen herumexperimentieren eignen. Im Gegenteil: Wer ein solches Linux unerlaubt in die Firma mitnimmt und auf den Produktivsystemen seines Arbeitgebers ausprobiert, riskiert sogar die Kündigung!

Inzwischen hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine eigene Linux-Distribution mit Sicherheitstools herausgebracht: die BSI OSS Security Suite, kurz BOSS.

„Die BSI OSS Security Suite baut im Wesentlichen auf dem bewährten Sicherheits-Scanner Nessus auf. Hinzugekommen ist neben der BOSS-Oberfläche der Security Local Auditing Daemon (SLAD), der die Steuerung der angebundenen lokalen Sicherheitssoftware übernimmt.

Die Benutzerfreundlichkeit wurde durch die BOSS-Oberfläche wesentlich erweitert. Durch den entwickelten SLAD verfügt Nessus jetzt über die Möglichkeit Ziel-Systeme auch intensiv von innen her auf Schwachstellen oder gar bereits erfolgreiche Angriffe zu prüfen. Die zentrale, vereinfachte Steuerung und Auswertung vereinfacht damit das organisationsweite Sicherheitsauditing fundamental. Es werden für das Aufspüren von Sicherheitsproblemen in der behörden- bzw. der unternehmensweiten Informationstechnik neue Maßstäbe gesetzt.

Für den OSS-Nessus-Server existieren derzeit ca. 12.000 Plugins, die es ermöglichen auf verschiedenste Sicherheitslücken aller relevanten Betriebssysteme und Netzwerk-Produkte zu prüfen. Täglich kommen neue Plugins hinzu. Der SLAD steuert wichtige Sicherheitssoftware wie TIGER, John-The-Ripper, Tripwire, LSOF, ClamAV oder Chkrootkit.“ (BSI)

Was die Nessus-Plugins angeht: Das sind zwischenzeitlich sogar gut 23.000. Sie werden vom Anbieter registrierten nichtkommerziellen Nutzern sogar kostenlos (mit sieben Tagen Verzögerung) zur Verfügung gestellt. Nessus lädt sie per Auto-Update von selbst herunter und bietet sie in einem Menü nach Kategorien geordnet zur Auswahl an.

(zu Nessus gibt es demnächst einen eigenen Artikel)

Download von BOSS als ISO-Image

Script-Kiddies – die Punks im Internet

Für etliche IT-Sicherheitsverantwortliche in Unternehmen haben sich Script-Kiddies in den letzten Jahren zu einem immer bedeutenderen Problem entwickelt. Script-Kiddies sind Jugendliche mit einem eher fragmentarischen IT-Know-how die mit Hilfe einfach bedienbarer, vorgefertigter Programme unerlaubt in fremde Computer- und Netzwerksysteme eindringen oder durch absichtlich verbreitete Viren, Würmer oder Trojaner Schaden anzurichten versuchen. Sie handeln eher selten aus wirtschaftlichen Überlegungen heraus, da ihnen dafür sowohl das Wissen als auch die Kontakte zur organisierten Wirtschaftskriminalität fehlen. Auch werden sie von echten Hackern eher abwertend gering geschätzt und als allgemeines weil rufschädigendes Ärgernis betrachtet.

Im Kern geht es Skript-Kiddies meist darum Zugänge zu finden, die anderen verschlossen sind, die IT-Profis der Erwachsenenwelt zu überlisten, Administrator-Rechte auf fremden Servern zu bekommen und so der Insidergemeinde zu zeigen, dass man, wie es im Jargon heißt, “elite” geworden ist, also zur Elite wahrer, amtlicher Hacker gehört. Wer sich Zugang zu möglichst vielen Systemen verschafft (und, indem dies nicht an die große Glocke gehängt wird, sich dieses Privileg über längere Zeit bewahrt) erhöht seinen Status in der Gruppe (Heise.de).

Der Chaos Computer Club Köln hat eine (nicht ganz ernst zu nehmende) Anleitung ins Netz gestellt, wie man Script-Kiddy werden kann.

Aufgrund ihrer großen Anzahl stellen Script-Kiddies aber für die IT-Sicherheit im Unternehmen ein ernstes Problem dar. Viele der Angriffe auf Unternehmensnetze gehen von Skript-Kiddies aus, die ein neues Tool ausprobieren oder aufs Geratewohl „herumstochern“. Ihre Aktivitäten werden allerdings oft rasch bemerkt, da Intrusion Detection Systeme anschlagen oder „gängige“ Angriffsansätze auf den Systemen längst gepatcht wurden oder von Sensorik überwacht werden.

Zum „Stresstest“ auf des Admins ruhiges Dasein reicht es aber oft allemal…

Indirekt tragen Script-Kidies somit durchaus dazu bei, die Sicherheit der Unternehmens-IT auf dem aktuellen Stand zu halten und die Funktionsfähigkeit der installierten Sicherheitssysteme zu überwachen. So wie Impfungen mit (schwachem) viralen Material das Immunsystem stärken, für den Fall dass es dem Erreger mal in seiner voll erstarkten Form begegnet.

IHK-Forum „IT-Sicherheit aus Unternehmersicht“

Am 25.06.2008 fand in München das Tagesseminar „IT-Sicherheit aus Unternehmersicht“ statt, veranstaltet durch die örtliche IHK. Gegenstand waren die technischen und rechtlichen Aspekte der IT-Sicherheit im Unternehmen sowie die Einschätzung von Gefahren durch Wirtschaftskriminalität und Know-how-Diebstahl. Sechs Referenten sprachen im IHK-Forum über IT-Sicherheit und wie man trotz Wirtschaftsspionage sichere Geschäfte machen kann.

Die Vorträge der sechs Referenten müssen sehr interessant gewesen sein, weshalb ich es sehr bedaure, von dieser Veranstaltung erst im Nachhinein erfahren zu haben. Aber die Präsentationen wurden kürzlich ins Internet gestellt und können als PDF frei heruntergeladen werden.

Link zu den Downloads:

BITKOM gibt Leitfaden zum Hackerparagraph heraus

Der IT-Branchenverband BITKOM hat einen Leitfaden zum Umgang mit dem Hackerparagraphen herausgegeben.

PDF-Download

Der umstrittene Paragraph lautet wie folgt:

§ 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Das Problem mit dem § 202c des Strafgesetzbuches besteht darin, dass er bislang unumstritten legale Formen der Nutzung von IT-Sicherheitssoftware („Hackertools“) potentiell unter Strafe stellt. Der Paragraph ist so unklar gefasst, dass es letztlich den Gerichten überlassen wird, ihn auszulegen. Bislang gibt es dazu noch keine gefestigte Rechtsprechung, so dass die praktische Bedeutung des Gesetzes unklar ist. Auch dürfte nicht jedem Richter oder Staatsanwalt, dessen IT-Erfahrung sich u.U. auf Mailen und Surfen beschränkt, sofort klar sein wozu man z.B. Shells, Portscanner oder Netzwerksniffer in der legalen Praxis einsetzt bzw. sogar einsetzen muss.

Der BITKOM schlägt in seinem Leitfaden daher ein dreistufiges Bewertungsschema vor, anhand dessen sich mit hoher Wahrscheinlichkeit ermitteln lassen soll, ob eine strafbare Handlung vorliegt:

1. Funktionen der Software einschätzen
2. Einsatzzweck der Software feststellen
3. Intention der handelnden Person ermitteln

Dazu werden typische Funktionen und Einsatzzwecke von Hackertools und auch klassischen Entwickler-Werkzeugen auf ihre mögliche §202c-Relevanz geprüft und Beispiele der praktischen Nutzung von Hackertools im Umfeld der professionellen IT-Sicherheit erläutert.

Der IT-Verband bezeichnet dabei neben Passwortcrackern auch Portscanner und Programme zur Software-Analyse wie beispielsweise Debugger als unkritisch. Lediglich das Ausnutzen geheimer Schwachstellen in gängiger Software sei illegal, da es nahe liege, “dass die Absicht besteht, eine Straftat zu begehen und nicht die Sicherheit des Internets zu verbessern.”

Der BITKOM schlägt also einen lockeren Umgang mit dem Hackerparagraphen vor – in wie weit ihm die die deutsche Justiz dabei folgen wird, ist noch offen.

Um die „Intention der handelnden Person“ rechtsfest zu dokumentieren rät der BITKOM zu entsprechenden vertraglichen Vereinbarungen und organisatorischen Maßnahmen, wie sie u.a auch das BSI für Pen-Tests empfiehlt.

Bereits im Oktober 2007 kam die European Expert Group for IT Security (EICAR) in einer juristischen Stellungnahme zur Einführung des § 202c StGB zu dem Schluss, dass Sicherheitsexperten genügend Raum hätten, Hackertools zum Testen von Software-Exploits oder Lücken in IT-Systemen einzusetzen. Voraussetzung dafür sei allerdings, dass die “gutartige Tätigkeit” ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze müsse obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen.

s.a. Heise.de

Filesharing & co: Bagatellklausel tritt in Kraft

In den vergangenen Jahren nahmen Massenabmahnungen und offener Abmahnbetrug im Zusammenhang mit tatsächlichen oder vermeintlichen Urheberrechtsverletzungen immer mehr zu. Finanziert aber in den seltensten Fällen von echten Urhebern, die sich um ihr Recht am eigenen Werk gebracht sahen, sondern meist von Verwertungsgesellschaften oder Lobbyverbänden wie der GVU.

Kürzlich trat daher ein reformiertes Urheberrecht in Kraft. Darin ist auch ein Paragraph zur Eindämmung des grassierenden Abmahnbetrugs enthalten. Abmahnbetrug gibt es so nur in Deutschland, da hierzulande eine rechtliche Sondersituation ausgenutzt wird, die darin besteht, dass urheber- und wettbewerbsrechtliche Abmahnungen auf Kosten Dritter ausgesprochen werden können. Ein Sonderfall der eine besondere Form der Wirtschaftskriminalität – den Abmahnbetrug - hat entstehen lassen.

Der neue Paragraph 97a UrhG lautet:

§ 97a Abmahnung

(1) Der Verletzte soll den Verletzer vor Einleitung eines gerichtlichen Verfahrens auf Unterlassung abmahnen und ihm Gelegenheit geben, den Streit durch Abgabe einer mit einer angemessenen Vetragsstrafe bewehrten Unterlassungsverpflichtung beizulegen. Soweit die Abmahnung berechtigt ist, kann der Ersatz der erforderlichen Aufwendungen verlangt werden.

(2) Der Ersatz der erforderlichen Aufwendungen für die Inanspruchnahme anwaltlicher Dienstleistungen für die erstmalige Abmahnung beschränkt sich in einfach gelagerten Fällen mit einer nur unerheblichen Rechtsverletzung außerhalb des geschäftlichen Verkehrs auf 100 Euro.

Es wird also für „einfach gelagerten Fälle“ mit „nur unerheblichen Rechtsverletzungen“ die „außerhalb des geschäftlichen Verkehrs“ stattfanden eine Pauschalsumme vom 100 € festgesetzt.

Immer noch ein fürstliches Entgelt für ein i.d.R. als Massenschreiben rausgehauenes Pamphlet.

Die zahlreichen unbestimmten Rechtsbegriffe zeugen allerdings davon, dass der Gesetzgeber das Problem zwar als solches erkannte. Es aber aufgrund des starken Lobbydrucks im Vorfeld der Neufassung des Gesetzes nicht klar regeln wollte. Und es daher der Rechtsprechung überlassen hat, die konkrete Bedeutung und Wirkung des Gesetzes zu erarbeiten.

Es ist wichtig, dass auch echte Urheber zu ihrem Recht kommen. Allerdings ist das Urheberrecht in den vergangenen Jahren immer mehr zu einem Schutzrecht für Monopole und Privilegien großer Konzerne gegenüber dem Rest der Welt verkommen. Wie vielfältig die Diskussion rund ums Thema „geistiges Eigentum” verläuft, lässt sich auf Heise.de nachverfolgen.

Wie wird man eigentlich Hacker?

Hierzu gehen die Meinungen zum Teil weit auseinander. Zudem werden seit einiger Zeit immer mehr Seminare über Hackermethoden, Angriff und Abwehr, Life-Hacking etc. angeboten. Auch ich habe mir so eine „Hacker-Schnellbleiche“ erst kürzlich mal von innen angesehen. Sehr interessant aber danach ist man noch längst kein echter Hacker. Schließlich haben die sich zum Teil bereits seit Jahren wenn nicht Jahrzehnten mit der Materie beschäftigt.

Eric Raymond, der Verfasser des Jargon-Files, hat zur Beantwortung der Frage bereits vor längerem einen Text ins Internet gestellt, der vom Chaos Computer Club Köln ins Deutsche übersetzt wurde. Beide Versionen sind auch in anderen Ecken des Internets immer wieder mal zu finden, was dafür spricht, dass andere Raymonds Ansichten zu teilen scheinen.

Inhaltlich empfiehlt Raymond den angehenden Hackerlehrlingen sich intensiv mit Systemadministration, Netzwerkverwaltung, Internet-Technologien, Webpublishing und Software-Entwicklung zu beschäftigen. Also im Grund genommen eine Tour de Force quer durch die angewandte Informatik. Im Gegensatz zu früher sind heute nahezu alle hierfür erforderlichen Informationen und Werkzeuge kostenlos im Internet zu haben. Beginnend mit einer Grundausstattung in Form einer aktuellen Linux-Distribution.

Eine der wichtigsten Grundeigenschaften eines zukünftigen Hackers ist somit Experimentierfreude verbunden mit einem autodidaktischem Lernstil.

Das Jargon-File

Das Jargon File ist ein berühmtes Kompendium der Hacker-Ausdrucksweise. Es wird aktuell von Eric S. Raymond betreut und enthält ein Lexikon über verschiedene Begriffe der Hacker- und Netzkultur. In seiner Gesamtheit ist es eine umfangreiche Quelle der mehr als 30jährigen Geschichte der Computer-, Internet- und Hackerkultur. Das Jargon-File ist auch vom Gesichtspunkt der IT-Sicherheit eine interessante Fundgrube, da es helfen kann, die Denkweise eines (traditionellen, nicht-kriminellen) Hackers zu erschließen.

(s.a. Wikipedia)

Aufgrund vieler Wortspiele und der Eigentümlichkeit etlicher Begriffe wurde das Jargon-File bisher nicht ins Deutsche übersetzt.

Es ist online verfügbar, kann aber auch zur lokalen Installation heruntergeladen werden.

Eindrücke vom Seminar „IT-Sicherheit kompakt“

Gestern und vorgestern habe ich am Seminar „IT-Sicherheit kompakt“ von Management Circle in München teilgenommen. Inhaltlich wurden in zwei Tagen die rechtlichen, organisatorischen und methodischen Aspekte der IT-Sicherheit in Unternehmen dargestellt.

Die erfahrene IT-Rechtlerin und Anwältin Fr. Dr. Zscherpe gab einen Überblick über das deutsche IT-Recht. Es ist auf zahlreiche Rechtsquellen verteilt, die vom Bundesdatenschutzgesetz über das Telemediengesetz bis hin zu einzelnen Paragraphen des Strafrechts, des Arbeitsrechts, des Steuerrechts oder des Gesellschaftsrechts reichen können.

Ein weiterer Aspekt ist das sog. „Soft-Law“, d.h. Branchennormen und Standards wie z.B. ITIL, ISO-Normen zur IT-Sicherheit oder das BSI-Grundschutzhandbuch, welche zum Gegenstand von Zertifizierungen und vertraglichen Vereinbarungen werden können, spielen eine immer größere Rolle.

Von Dr. Klett, einem Experten für IT-Sicherheit, wurde dazu die Rolle des IT-Sicherheitsbeauftragten im Unternehmen, seine Aufgaben und Befugnisse, sein Handlungsspielraum und seine Haftungsrisiken vorgestellt. Oft beginnt dessen Existenz im Unternehmen damit, ein Sicherheitskonzept zu entwickeln und es mit Hilfe einer Awarenesskampagne in die Breite der Belegschaft zu tragen. Ohne Unterstützung der Geschäftsführung geht da meist nichts, da IT-Sicherheit von vielen zunächst als Bremser und Zusatzaufwand ohne Nutzen empfunden wird.

Wie so eine Kampagne ablaufen kann, wurde anhand einer Fallstudie von Hr. Müller-Angstenberger, dem Leiter Daten- & Informationsschutz bei ZF Friedrichshafen dargestellt.

Hinzu kamen Vorträge und Überlegungen zum Thema IT-Risikomanagement, der Etablierung eines IT-Security Management Systems (ITSMS) nach ISO 27001 sowie der kritischen Punkte bei einer IT-Revision.