FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.

Landgericht Düsseldorf verurteilt dDOS-Angreifer zu Haftstrafe

Wer durch dDoS-Angriffe (distributed Denial of Service) kommerzielle Websites anderer Leute lahmlegt, macht sich damit nach § 303b StGB (Computersabotage) strafbar. Dies entschied das Landgericht Düsseldorf laut dem kürzlich veröffentlichten Urteil vom 22. März 2011 (Az.: 3 KLs 1/11).

Inhaltlich ging es um einen Fall von teilweise versuchter, teilweise tatsächlich erfolgter  Erpressung. Der Angeklagte hatte im Laufe des vergangenen Jahres mehrere Betreiber von Sportwettenportalen damit bedroht, ihre Webseiten lahmzulegen, wenn sie ihm nicht eine geforderte Summe bezahlen würden. Um seiner Forderung Nachdruck zu verleihen, griff er die Firmen mit einem Botnetz an, worauf einige bezahlten, andere wiederum nicht. Deren Websites griff er einige Tage später erneut an, was nach Ansicht der Betreiber zu massiven Störungen ihrer Geschäfte sowie einem sechsstelligen Umsatzausfall und beträchtlichen Reparatur- und Wiederanlaufkosten führte.

Die Art und Weise der Lösegeldzahlung über eine ausländische Zahlungsabwicklungsgesellschaft ermöglichte aufgrund günstiger Umstände eine Rückverfolgung bis zum Täter, so dass Ermittlungen zu einer Anklage und schließlich zu einer Verurteilung wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in mehreren Fällen und damit zu einer Freiheitsstrafe von zwei Jahren und zehn Monaten Haft führten.

Bei der Entscheidung dürfte es sich um eines der ersten Urteile eines deutschen Gerichts zur strafrechtlichen Wertung von dDOS-Angriffen handeln. Hinsichtlich der juristischen Beurteilung dieser Attacken folgt das Gericht Überlegungen in der juristischen Literatur, in der diese Thematik bereits seit einiger Zeit diskutiert wird.

Unabhängig davon können die Geschädigten natürlich auch noch zivilrechtlich Schadensersatzansprüche geltend machen. Auf den Täter dürfte damit zusätzlich zu den bereits aufgelaufenen Verfahrenskosten des Strafprozesses noch eine höhere Rechnung sowie (mindestens) ein Zivilprozess zukommen.

Darüber sollten auch jene Leute nachdenken, die sich überlegen, ob sie an einer Art „Flashmob mit dDOS-Anteil im Internet“ teilnehmen wollen, indem sie sich Tools wie etwa die quelloffene Lasttest-Software „Low Orbit Ion Cannon (LOIC)“ herunterladen, mit der sich Freiwillige im sog. „Hive-Mode“ zu einer Art Botnetz zusammenschließen und ein Ziel im Internet gemeinsam per dDOS angreifen können. Da die LOIC nicht mal die IP-Adressen der Beteiligten verfälscht oder maskiert, ist deren Rückverfolgung durch die damit Angegriffenen sogar besonders einfach.

dDOS-Attacken zählen zu den einfacheren Hackerangriffen, da man sich die dafür erforderlichen Tools (i.W. leistungsstarke Botnetze) einfach mieten kann und deren Bedienung dann keinerlei tiefergehendes technisches Wissen über Schadsoftware, Exploits oder Netzwerkprotokolle mehr erfordert. Aber rechtlich ist damit inzwischen nicht mehr zu spaßen.

Wurde die Schufa gehackt?

In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.

Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger “Freiwilligkeit” der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.

„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“

Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.

Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.

Die in der Überschrift gestellte Frage kann  man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.

Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.

Erneuter Hackerangriff auf NPD-Websites

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.

Buchrezension: Web-Sicherheit – Wie Sie Ihre Anwendungen sicher vor Angriffen schützen

Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen  sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.

Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.

Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.

Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.

Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.

Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.

Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.

Alles in allem ein  sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.

Linux-Infotag 2011 in Augsburg

Gestern fand in den Räumen der Fakultät für Informatik der FH Augsburg der 10. Linux-Infotag, veranstaltet vom Verein der Linux-User Augsburg e.V. (LUGA) statt. Zum Teil parallel in mehreren Räumen wurden unter dem diesjährigen Motto „Leben mit Pinguinen – Freie Software im Alltag“ Vorträge rund um das Thema Linux angeboten. Dabei reichte das Themenspektrum von Angeboten für Einsteiger über solche für Entwickler oder Systemadministratoren bis hin zum Blick auf aktuelle Entwicklungen rund um den Linux-Kernel.  Ich richtete meinen Fokus dieses Jahr auf Vortragsangebote rund um die Themen Projektmanagement, IT-Sicherheit und freie Software im Allgemeinen.

Eröffnet wurde das mehrteilige Vortragsprogramm von Thomas Gleixner mit seiner Keynote zum Thema „Management und Open Source – zwei Welten?“. Darin schilderte Gleixner, der selbst Unternehmer sowie aktiver Linux Kernel-Maintainer ist, das bestehende Konfliktfeld zwischen freier quelloffener Software und sog. „geistigem Eigentum“ (ein Kampfbegriff der Content-Lobby, den viele Manager unkritisch übernommen haben). Gerade unsichere und qualitativ minderwertige Software hat ihren Ursprung häufig darin, dass Firmen versuchen, das Rad zum x-ten Mal neu zu erfinden und eine selbst entwickelte proprietäre Lösung einen anerkannten Standard vorziehen. Da aber keine Firma allein dauerhaft Standards etablieren kann und Kunden sich nur ungern von einzelnen Unternehmen abhängig machen, werden so volkswirtschaftlich Ressourcen in beträchtlichem Umfang verschwendet, die durch unternehmens- und bereichsübergreifende Kollaboration und Kooperation effektiver nutzbar wären. Inzwischen stellen aber immer mehr Unternehmen (z.B. Chiphersteller und Smartphone-Produzenten) fest, dass quelloffene Systeme wie Linux einfacher an neue Gegebenheiten anzupassen sind, Versionswirrwar und Diskontinuitäten bei Produktkomponenten vermieden werden, Lizenzpolitiken anderer Unternehmen nicht mit eingeplant werden müssen. Trotzdem gibt es noch eine weitverbreitete relative Unkenntnis verbunden mit gezielt gestreuten Desinformationen in den Köpfen von Entscheidern in der Wirtschaft, wie Gleixner ausführte. Daneben empfahl er, sich mal die Enduser-Licence-Agreements (EULAs) genauer anzusehen, die kommerziellen Softwareprodukten beiliegen. Das dort enthaltene „Kleingedruckte“ schränkt die Nutzbarkeit einer an sich funktionsfähigen Software rechtlich oft derart ein, dass sie unbrauchbar wird – ein klassischer Fall von „Produktion vom Fließband in den Müllcontainer“. Daneben betonte Gleixner, wie wichtig es sei, dass Basistechnologien wie Betriebssysteme, Netzwerkprotokolle, Datenbanken aber auch Informationen frei und losgelöst von den Interessen Einzelner allgemein und frei verfügbar sind, so dass jeder darauf aufbauend Geschäftsmodelle entwickeln kann, ohne dass ihm andere dreinreden oder ihm durch das Ergaunern leistungsloses „Schutzgelder“ schädigen können (Stichworte Softwarepatente und Patenttrolle).

Oliver Rath gab einen Überblick über Projektmanagement im Allgemeinen. Und dessen Unterstützung mit linuxbasierter Software im Speziellen. Und hier zeigte sich auch rasch das Kernproblem: Der Goldstandard im Bereich werkzeugunterstützen Projektmanagements ist Microsoft Project. Auch wenn die große Mehrheit gerade mittelständischer Projektleiter immer noch per Tabellenkalkulation plant. Etwas was  man mit Open Office Calc und Draw ebenso hinbekommt wie mit Excel & co. Etliche Linux-Tools wie z.B. OpenProj, TaskJuggler oder planner können jeweils ein oder zwei Dinge besonders gut, andere aber gar nicht. Es fehlt nach wie vor ein vollwertiges MS-Project-Äquivalent hoher Produktreife, auch wenn OpenProj ein guter erster Versuch war (bis die Entwicklung 2008 eingestellt wurde). Rath trug seinen Vortrag interessant und witzig zugleich vor und wies dabei auf Dinge wie die „größte Lüge der IT“ (Ich mach mal schnell), „die größte Lüge im Projektmanagement“ (Ich bin zu 90% fertig) oder die Probleme der letzten 10% eines Arbeitspaketes hin (in denen sich oftmals die gravierendsten Probleme verbergen).

Zu diesem Themenbereich rechne ich auch die Vorträge von Ulrich Habel (Dokumentation in Open-Source-Projekten) und Sebastian Harl (Verteilte Versionskontrolle mit Git). Denn es war letztlich die OSS-Community, die als Erste global verteilte Entwicklung komplexer Software betrieb. Lange bevor Offshoring und die spezifischen Probleme mit den kulturellen Differenzen zwischen indischen Programmierern und mitteleuropäischen IT-Architekten wirklich zum Branchenthema der international arbeitenden IT wurden. Hierbei sind Systeme zur gemeinschaftlichen Codeverwaltung, Versionierung, zur projektbegleitenden Dokumentation und für Defect-Tracking und Bug-Reporting nahezu unentbehrlich, um räumlich und zeitlich verteilte Zusammenarbeit an einer gemeinsamen Code- und Projektbasis zu ermöglichen. Beispielhaft wären hier Systeme wie Mantis (Bugtracking), GIT (Versionierung) oder die Nutzung von Wikis (Projektdokumentation) zu nennen.

Ingo Blechschmidt gab eine Kurzeinführung in elementare Konzepte der Kryptographie wie kryptographische Primitive (elementare Operationen eigentlich aller Kryptoverfahren), Challenge-Response-Authentifizierung, Zero-Knowledge-Beweise oder die Sicherheitsmechanismen bei „gesalzenen“ Passwörtern. Obwohl das tiefere Verständnis kryptografischer Konzepte eine intensivere Beschäftigung mit deren mathematischen Hintergründen sowie Überlegungen aus den Bereichen Algorithmik und theoretischer Informatik erfordern, machte sein Vortrag Lust auf mehr.

Wer jetzt auf die Vorträge neugierig geworden ist, wird in den nächsten Tagen die meisten Folien bei LUGA in der Programmübersicht als PDF-Download vorfinden.

Parallel zum Vortragsprogramm boten zahlreiche Linux-affine Organisationen Infostände mit aktuellen Projekten an. Und es dürften wohl stapelweise Live-CDs diverser Linux-Distributionen verteilt worden sein. Alles in allem eine sehr interessante Veranstaltung mit vollem Programm, die wohl bei mehreren Hundert Besuchen Anklang gefunden hat.

Spielerisch Bewusstsein für IT-Sicherheit schaffen

In Unternehmen führen Maßnahmen zur Verbesserung der IT-Sicherheit häufig dazu, dass Arbeitsabläufe komplizierter, aufwendiger und damit auch teurer werden. Oft nimmt auch die Benutzerfreundlichkeit von Anwendungen ab, weil umständlichere Abläufe implementiert werden müssen. Das bewirkt oftmals Widerstände in der Belegschaft, sorgt für eine eher nachlässige und unvollständige Umsetzung der Sicherheitsmaßnahmen, erzeugt Angriffspunkte für Social-Engineering-Attacken und führt letztlich dazu, dass das Informationssicherheitskonzept der Firma in etwa so wirksam bleibt wie so manches prosaische Unternehmensleitbild.

Üblicherweise versuchen Unternehmen und IT-Sicherheitsbeauftragte dieses Problem durch Awareness-Kampagnen zur Sensibilisierung der Beschäftigten für Fragen der betrieblichen Informationssicherheit anzugehen. Hierfür ließ sich Lafarge Asia (ein Baustoffhersteller) in Zusammenarbeit mit e-Learning-Beratungsfirma IMC etwas Neues einfallen: Rund 8.000 Mitarbeiter erhielten im Rahmen einer Awareness-Trainingsmaßnahme und als besonderes Bonbon ein eigens entworfenes Brettspiel namens „Jungle Game“. Mit dem auf Karten und Würfeln basierenden und völlig analog und offline spielbaren Brettspiel sollen die Spieler Fragen zur Informationssicherheit beantworten und Punkte sammeln können.

Während chinesische Mitarbeiter dabei großen Wert auf schriftliches Informationsmaterial legten, schätzten indische und philippinische Vertreter eher den verbalen Austausch in Gruppendiskussionen während des Spiels. Andere Nationen wiederum akzeptieren beide Unterrichtsformen, müssen aber meistens im Rahmen begleitender Schulungen motiviert werden, ihre Erfahrungen mit anderen zu teilen.

„Wir haben ein mehrstufiges Konzept ausgearbeitet, um alle Beteiligte abzuholen“, erklärt Dr. Kathrin Bergenthal, Director Content Services bei der IMC, dem e-Learning-Anbieter. „In einem halbtägigen Präsenztraining wurde den Lafarge Mitarbeitern der Hintergrund der Kampagne vermittelt, konnten sie das Spiel testen, in einer Gruppenarbeit ausgewählte Sicherheitsaspekte erörtern und die Ergebnisse dann abschließend diskutieren. Auf diese Weise erhielten alle einen Zugang zum Lernziel“.

Besonderes Interesse weckte in diesen Schulungen das bereits erwähnte, im Format DIN A2 gehaltene Brettspiel „Jungle Game“, das zwei bis sechs Personen mit einem Würfel spielen können. Insgesamt 100 Fragen zur IT-Sicherheit sind auf den rund 50 Spielkarten formuliert. Bei richtiger Beantwortung gibt es einen bis fünf Punkte. Sieger ist, wer als erster 20 Punkte gesammelt hat.

Beim Design des Spiels ließen sich die Entwickler der IMC vom für die fernöstliche Region typischen tropischen Dschungel inspirieren: Moskitos und Blutegel stehen für Computerviren und Würmer, Regenwolken stellen den Bezug zum Cloud Computing her, Spinnennetze verdeutlichen Schwächen in IT-Netzwerken und ein Bustrip in den Dschungel thematisiert das „Shoulder Surfing“, das Ausspähen von Bildschirminhalten über die Schulter des Anwenders hinweg.

Analoge Brettspiele stellen dabei einen originellen neuen Zugangsweg zu Inhalten der IT-Sicherheit für Endanwender in den Unternehmen dar. Diesem Instrument dürfte daher künftig bei der Gestaltung von Awareness-Kampagnen zur Informationssicherheit in Organisationen sicherlich noch einige Aufmerksamkeit zukommen.

Ein Blick in die Secupedia

Vor einigen Tagen feierte die Wikipedia ihr zehnjähriges Bestehen. Sie ist das wohl größte nichtkommerzielle Internetprojekt und ein fester Bestandteil der Internetnutzung vieler Menschen.

Die ihr zugrunde liegende Wiki-Technologie zur einfachen Realisierung von Hypertextsystemen hat sich erst recht immens verbreitet. In vielen Unternehmen werden Projektinformationen nicht mehr per Redaktionssystem ins Intranet gestellt sondern per Wiki. Und im WWW finden sich für immer mehr Interessensgruppen und –lagen entsprechende Wikis.

Seit einigen Monaten hat nun auch die deutschsprachige Sicherheits-Community ihr Wiki – die Secupedia. Der SecuMedia-Verlag, der u.a. die Fachzeitschrift „<kes>“ sowie den IT-Grundschutz-Infobrief herausgibt, hat in Kooperation mit mehreren Fachverbänden ein Wiki für an Sicherheitsthemen Interessierte ins Netz gestellt. Die Erstbefüllung erfolgte mit den Inhalten des „Sicherheitsjahrbuches“, einem Nachschlagewerk der Sicherheitsbranche. Es bietet etwa 1.600 Begriffe der IT- und Unternehmenssicherheit, die unter einer CC-Lizenz (CC BY-NC-SA 3.0) frei im Netz verfügbar stehen (das Buch ist nach wie vor als Printversion für 25 € erhältlich). Geplant ist, die Informationen der Secupedia um weitere Inhalte wie Checklisten, Kalender für fachbezogene Veranstaltungen, Videos und Webinare zu ergänzen.

Die Secupedia-Inhalte können auch von Dritten bearbeitet werden, wobei jedoch Klarnamen der Verfasser mit veröffentlicht werden und eine redaktionelle Qualitätssicherung etabliert wurde, um die Güte der Inhalte nachvollziehbar zu machen. Eine gute Gelegenheit für Sicherheitsexperten, sich im Internet fachlich zu positionieren.

Ein mit Sicherheit interessantes Projekt, dass es im Auge zu behalten gilt.

Nachlese zum fünften deutschen IT-Gipfel

Am 07.12. fand der inzwischen fünfte „Nationale IT-Gipfel“ der Bunderegierung statt. Diesmal in Dresden. Es fällt mir regelmäßig schwer zu bewerten ob dies eher ein politischer Dampfplauderertreff, ein Lobbying-Forum für die staatsnahen Teile der IT-Branche oder ein echtes IT-strategisches Jahrehighlight ist. Nehmen doch Themen wie Netzpolitik, Internetregulierung, Compliance, Datenschutz oder e-Government immer rascher an Bedeutung zu. Und macht sich doch die allgemeine IT-Inkompetenz bzw. die gravierenden Wissensdefizite zahlreicher politischer Entscheidungsträger immer drastischer in verfehlten Regulierungsvorhaben wie z.B. Elena, dem Jugendmedienschutz-Staatsvertrag (JMStV) oder den verkorksten Regierungsvorlagen zum Beschäftigtendatenschutz bemerkbar.

Doch gleich eines vorweg: Eine generelle informationstechnische Alphabetisierungskampagne für Politiker war leider nicht Gegenstand der Gipfelgespräche.

Allerdings war das Querschnittsthema IT-Sicherheit in mehreren der acht Arbeitsgruppen mit Gegenstand der Beratungen. In diesen Arbeitsgruppen wurden Themen wie die sich mit Themen wie digitale Infrastrukturen, IT-basierte Geschäftsmodelle, Gesundheitstelematik oder e-Government diskutiert. Zwei Arbeitsgruppen befassten sich mit „Vertrauen, Datenschutz und Sicherheit im Internet“ sowie mit „Verantwortung und Schutz in der vernetzten Gesellschaft“, also mit dem Themenfeld Informationssicherheit, Datenschutz und Compliance in einer vernetzten Welt.

Die Ergebnisse des IT-Gipfels wurden in der sog. „Dresdner Vereinbarung“ (PDF, 1 MB) zusammengefasst. Das Dokument enthält zahlreiche mögliche und mehrheitlich auch sinnvolle Ansätze zur Gestaltung der vernetzten Gesellschaft durch Gesellschaft, Staat und Wirtschaft. Allerdings zeigen „Leuchtturmprojekte“ wie DE-Mail, Datenperso, das gescheiterte Immaterialgüterrecht, das Thema Netzneutralität oder die Gesundheitskarte, das politischer Unverstand und Wirtschaftslobbyismus oft mit dem Hintern einreißen, was die Hände zuvor aufgebaut haben. Etwas ausführlicher kann man die Gipfelthemen in der 90-setigen Begleitbroschüre „Programm – Personen – Projekte“ nachlesen, in der die Arbeitsgruppenthermen dargestellt werden (PDF, 2,8 MB)

Etliche Minister nutzten die Gelegenheit, um zu netzpolitischen Themen Stellung zu nehmen. Und die Bundeskanzlerin beklagte (wohl zurecht) die überlange Dauer mancher adipöser IT-Großprojekte der Regierung wie etwa der elektronischen Gesundheitskarte. Außerdem kündigte sie zum werweißwievielten Male den verstärkten Ausbau der Breitbandinfrastrukturen in Deutschland an. Auch wenn sich dieses Problem überhaupt erst durch verfehlte Verträge im Laufe der Telekom-Privatisierung ergeben hat (Nichtfestschreibung des bundesweiten Grundversorgungsauftrags mit Netzinfrastruktur des aktuellen Standes der Technik) und die Telekom sich auf dem Gipfel in weiser Voraussicht für weniger regulierende Eingriffe in ihre marktbeherrschende Position aussprach.

August-Wilhelm Scheer, Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM), kündigte auf dem IT-Gipfel eine informationstechnische Bildungsoffensive an. Geplant sei ein Software-Campus, der 100 Spitzenkräfte pro Jahr finanziell fördert sowie ein Bitkom-Management-Club, in dem jährlich 17 Ausnahmetalente von ebenso vielen Betreuern zu jungen Führungskräften herangebildet werden sollen. Mitte 2011 soll ein mehrsprachiges Online-Portal „Work and Study in Germany“ potentiell zuwanderungswilligen IT-Fachkräften das Leben in Deutschland nahebringen. Da wird man aber in der deutsche Arbeits- und Sozialordnung, im deutschen Steuerrecht sowie im Personalmanagement fast aller deutscher Unternehmen noch sehr viel tun müssen, um die realen Defizite in den Bereichen Aus- und Weiterbildung, Personalmanagement, faire Entgelte sowie Steuern und Sozialabgaben abzuräumen. Dem steht das Vorhaben des BITKOM, das für eine erleichterte Zuwanderung nachzuweisende jährliche Mindesteinkommen auf das Einstiegsniveau von Junior-Ingenieuren ohne Berufserfahrung abzusenken, jedoch eher entgegen.

Es bleibt also abzuwarten, ob die Vielfalt der Interessenslagen der Beteiligten sowie die äußerst ungleiche Verteilung von Wissen, Kompetenz und Sachverstand zu Themen mit IT-Bezug aus den Programmpunkten konkrete Politikansätze entstehen lassen.

Herausforderung Cloud-Computing

Cloud Computing, also das Auslagern von Daten und IT-Diensten in die Rechenzentren von IT-Dienstleistern, gewinnt immer mehr an medialer Popularität. Dabei stößt man jedoch rasch auf etliche Probleme, wenn das Thema tatsächlich im Unternehmen umgesetzt werden soll. Denn den oftmals erhofften Einsparungen an IT-Kosten stehen beträchtliche Mehraufwände im Bereich Datenschutz und Informationssicherheit gegenüber. Hinzu kommen bislang noch ungelöste Compliance-Risiken. Dies hat die Gesellschaft für Informatik kürzlich in einem Thesenpapier verdeutlicht, dass diese Herausforderungen in den Bereichen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben thematisiert.

Außerhalb ihrer Standorte können Unternehmen ihre Vorstellungen von Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit meist nicht durchsetzen. Man muss sich schon darauf verlassen, wie weit Verträge, Service-Level-Agreements (SLAs) mit Cloud-Betreibern und deren Subunternehmern im Problemfall wirklich reichen.

Dies – sowie etliche noch offene rechtliche Fragen – führt dazu, dass viele Firmen der Cloud-Technologie eher zurückhaltend begegnen und eher zu Etablierung einer „private cloud“, also einem unternehmensinternen Angebot neigen. So können unternehmensinterne Policies, Vorgaben und Strategien leicht übertragen werden. Das aber ist dann letztlich wieder nur eine weitere technologische Spielwiese der internen IT. Ob dadurch die oft als Pro-Argument aufgeführten Rationalisierungs- und Konsolidierungseffekte erzielt werden können, dürfte fraglich sein.

Will ein Unternehmen jedoch echtes Outsourcing per Cloud Computing betreiben, sollte es sich der Tatsache gewahr werden, dass zwar die Technik und das dazugehörige Personal ausgelagert werden kann. Dass aber die Probleme in Form von Haftungsfragen, Risikoerwägungen, Compliance-Auflagen oder sonstigen, meist rechtlichen Fallstricken im Haus bleiben. Man kommt als Entscheider den Anforderungen seiner Umwelt eben nicht einfach durch das Fremdvergeben eines Auftrags aus.

Dabei beginnen die Probleme oftmals bereits mit der scheinbar simplen Frage, wie sensible Daten zum Cloud-Betreiber hin und von dort wieder zurück ins Kundenunternehmen kommen. Werden dafür öffentliche Netze genutzt, sind Fragen nach hohen und sicheren Verschlüsselungsstandards, Zugriffsrechten, Identity Management und Netzverfügbarkeit zu klären. Oft ist eine echte Ende-zu-Ende-Verschlüsselung auch gar nicht machbar, wenn z.B. Daten Verarbeitungszwischenschritte beim Cloud-Betreiber durchlaufen sollen.

Auch gilt es zu beachten, dass der aktuelle Stand der Technik bei Virtualisierung, Lastausgleich, geografischer Verteilung, Sicherungs- und Sicherheitsmaßnahmen sowie der Datenübertragung über Netzwerke generell nicht unbedingt als sicher und fehlerfrei angesehen werden kann. Es können sich darin kritische, für Dritte gut ausnutzbare Sicherheitslücken befinden. Für Auftraggeber ist das nicht immer nachvollziehbar – wollen sie solche „technischen Probleme“ ja gerade deswegen auslagern, da es ihnen oft am Know-how und den Kapazitäten fehlt, so etwas selbst beurteilen und lösen zu können. Und das obwohl z.B. die datenschutzrechtlichen Auflagen zum Thema Auftragsverarbeitung (§ 11 BDSG) dies explizit dem Auftraggeber als Pflicht bei der laufenden Kontrolle seines Auftragnehmers abfordern.

Ausgelagerte geografisch verteilte, sich u.U. im Ausland befindliche Cloud-Rechenzentren Dritter machen es für den Auftraggeber äußerst schwierig, bei eingetretenen Sicherheitsvorfällen selbst forensische Untersuchungen anzustellen, bei sicherheitstechnischen Analysen zu substanziellen Ergebnissen zu gelangen oder den Auskunftspflichten gegenüber ermittelnden Behörden und Staatsanwaltschaften zeitnah nachkommen zu können. Diese schlicht auf den Dienstleister zu verweisen, dürfte in den seltensten Fällen akzeptiert werden, da die Verantwortung rechtlich beim Auftraggeber geblieben ist und nicht mit in die Cloud abgeschoben werden kann.

Und selbst wenn es Ermittlungsbehörden gelänge, auf die Systeme des Cloud-Betreibers zuzugreifen bzw. Beschlagnahmungen durchzuführen, dürfte dabei der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb empfindlich gestört werden (Schadensersatzansprüche Dritter!). Auch dürften eventuell gewonnene und potentiell manipulierte Abzüge der Daten aus der Cloud nur verminderten Beweiswert vor Gericht haben. Wobei es zu diesem Problem noch kaum Rechtsprechung gibt, deutsche Gerichte aber in solchen Fragen als sehr konservativ gelten.

Bei unternehmenskritischen Fragen auf die Dienste Dritter zurückzugreifen, bedeutet das Eingehen von Abhängigkeitsverhältnissen. Ein Stück weit ist das unumgänglich, wenn man sich die Vorteile des globalen und verteilten arbeitsteiligen Wirtschaftens zunutze machen will. Es kann aber auch bedeuten, dass die eigenen IT-Systeme zum Stehen kommen, wenn der Cloud-Betreiber über Nacht in die Insolvenz geht und abgeschaltet wird. Cloud-Verträge müssen daher stets auch Regeln enthalten, wie in solchen Fällen rasch zu einem anderen Dienstleister oder zurück in eine (dann noch existente?) interne IT gewechselt werden kann. Je komplexer die ausgelagerten IT-Systeme sind, desto anspruchsvoller ist so ein Rückwechsel-Vorhaben. Rasch kann da ein sog. „Vendor-lock-in“, d.h. eine existenzielle und kurzfristig nicht überwindbare Abhängigkeit von einem Anbieter eintreten. Auch ist bei genauerem Hinsehen längst nicht alles, was vertraglich vereinbart wurde, auch technisch umsetzbar (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

Öffentliche Clouds können bei entsprechender Nutzung durchaus den Charakter kritischer Infrastrukturen annehmen, sofern sie allgemein und weitverbreitet verwendet werden. Dadurch werden schließlich sogar kartellrechtliche Aspekte wie die „Essential-facilities-Doktrin“ tangiert, welche die wenigsten IT-Entscheider mit auf dem Radar haben dürften.

Und so kommt die Gesellschaft für Informatik auch völlig zutreffenderweise zu dem Schluss, dass sich beim Cloud Computing stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung ergeben werden. Und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten sowie der genutzten IT-Systeme. Hinzu kommen auch stark erhöhte Anforderungen an die rechtliche Absicherung (Compliance).