FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.

Das Ende von Elena

Vor einigen Tagen wurde es vom Bundesministerium für Wirtschaft und Technologie und dem Bundesministeriums für Arbeit und Soziales offiziell bekannt gegeben: Das Vorhaben „Elektronischer Einkommensnachweis“, kurz Elena wird eingestellt. Die bislang damit zusammengetragenen Datenbestände sollen in absehbarer Zeit gelöscht werden.

Das von Gewerkschaftern und Bürgerrechtlern zunächst nahezu ignorierte, später jedoch mit immer mehr Vehemenz bekämpfte Vorhaben einer Vorratsdatenspeicherung der Sozialdaten aller Arbeitnehmer Deutschlands ist damit erledigt. Offizielle Begründung: Weil die hierfür erforderliche qualifizierte elektronische Signatur in der Breite nicht verfügbar ist.

„Wir sind froh, dass diese Massendatenspeicherung endlich gestoppt wird“, so Sebastian Nerz, Bundesvorsitzender der Piratenpartei. Nach Ansicht der Piratenpartei hätte ELENA gar nicht erst beschlossen werden dürfen. Die elektronische Massenspeicherung ist ihrer Ansicht nach unverhältnismäßig, risikoreich und unnötig.

Grünen-Bundesvorstandsmitglied Malte Spitz sagte der Neuen Osnabrücker Zeitung: „Elenas Ende ist ein überfälliger Schritt. Zu einer solchen Datenkrake, die massiv in die Privatsphäre aller Arbeitnehmer eingreift, hätte es nie kommen dürfen“. Völlig unverhältnismäßig sei die zentrale Speicherung von Informationen zu Gesundheit oder der Teilnahme an Streiks gewesen. Ein echter Lernerfolg, wenn man bedenkt, dass Elena auf die Hartz-Gesetze des rotgrünen Bundeskanzlers Gerhard Schröder zurückführbar ist.

Auch der Berliner Datenschutzbeauftragte Alexander Dix hat sich in einem Interview mit dem RBB-Inforadio zufrieden mit dem Aus für das Elektronische Entgeltnachweisverfahren (Elena) gezeigt. Bei dem Projekt sei „von Anfang an mit Kanonen auf Spatzen geschossen worden“ Der Nutzen habe in keinem Verhältnis zu den entstehenden Kosten gestanden, so die TAZ.

Es zeigt sich einmal mehr, dass viele staatliche IT-Großprojekte, die als Verwaltungsvereinfachung, Bürokratieabbau und modernes e-Government daherkommen, tatsächlich politisch sehr heikel sind, da sie oft genug nicht nur sehr viel Steuergelder verschlingen sondern auch Bürgerrechte einschränken oder abbauen sollen und die politischen Eliten noch mächtiger und noch schwerer kontrollierbar machen.

Doch wie fing bei Elena eigentlich alles an?

Staatliche IT-Projekte können über Jahre laufen. So auch bei Elena, die 2003 während der rotgrünen Schröder-Regierung im Rahmen der Hartz-Gesetze als „Job-Card“ das Licht der Welt erblickte. Es folgten einige Pilotprojekte und 2009 schließlich das Elena-Verfahrensgesetz.

Auch da blieb erst mal alles relativ ruhig, da Themen wie Internetzensur, Vorratsdatenspeicherung, zunehmender Missbrauch des Urheberrechts sowie ACTA, INDECT und weitere die Aufmerksamkeit der netzpolitisch interessierten Öffentlichkeit auf sich zogen.

Als erste begannen die Gewerkschaften damit, sich gegen Elena zu positionieren, als sie in der knapp 50seitigen Beschreibung der verpflichtend abzuliefernden Datenarten u.a. die Meldung von Streiks (getrennt nach zulässig / unzulässig), Abmahnungen und Kündigungsgründen entdeckten. D.h. in der Praxis sollten Personalsachbearbeiter in den Unternehmen heikle Sachverhalte rechtlich einordnen, womit sie sich im Fehlerfall schadensersatzpflichtig gemacht hätten, falls sich daraus für den betroffenen Arbeitnehmer negative Folgen im Umgang mit Behörden (z.B. eine auf falschen Daten beruhende Sperrung von Sozialleistungen) ergeben hätten und die Geschädigten gerichtlich gegen die Datenschlamperei vorgegangen wären.

Gesammelt wurden die Elena-Datensätze bei der Zentralen Speicherstelle (ZSS), einem Rechenzentrum, das bei der Datenstelle der Träger der Rentenversicherung in Würzburg angesiedelt wurde. Die ZSS sollte die Elena-Daten zentral verschlüsselt über Jahre hinweg speichern. Gerade dieses sehr lange Vorhalten umfangreicher Datensatzhistorien war ein weiterer Kritikpunkt, da er für viele sozialversicherungsrechtlichen Vorgänge gar nicht erforderlich ist. Kritische Bürgerrechtler sahen sich an das sog. „Arbeitsbuch“ erinnert, mit dem die Regierung des dritten Reichs ab 1935 die Erwerbstätigkeit ihrer Untertanen steuern und überwachen wollte.

Nahezu alle zwangsabgefragten Elena-Daten können in irgendeiner sozialrechtlichen Fallkonstellation zur Beurteilung der Umstände des Einzelfalls erforderlich sein, weshalb der Datenkatalog im Laufe der Zeit eher dicker statt dünner wurde. Jedoch besteht diese Erforderlichkeit in keiner Weise für alle Arbeitnehmer. Wer absehbar nie Kindergeld beantragen wird oder über den Einkommensgrenzen für den Wohngeldbezug liegt, für den müssten auch keine entsprechenden Daten abgefragt werden. Daher kritisierten Datenschützer wiederholt den fehlenden konkreten Zweckbezug sowie die Missachtung des Prinzips der Datensparsamkeit.

Auch warum solche Daten umfassend und mit zahlreichen, schwer zu entdeckenden Mängeln in der Datenqualität behaftet, in einer staatlichen Vorratsdatenbank gespeichert werden müssten, wenn man sie doch im Einzelfall bei tatsächlichem Bedarf und aktuell bei denen erheben könnte, die etwas Konkretes von den Leistungsbehörden wollen, erschloss sich den technisch versierteren Kritikern nicht unbedingt. Zumal es den Betroffenen bis zuletzt aufgrund konzeptioneller Mängel im Betriebskonzept der zentralen Stelle nicht möglich war, von ihrem datenschutzrechtlichen Auskunftsrecht Gebrauch zu machen. Denn die Daten wurden zwar verschlüsselt übermittelt und gespeichert. Doch die Karten mit den Schlüsseln zum Auslesen und Entschlüsseln der Datengabe es nicht, geschweige denn einen Onlinezugriff über den der einzelne Beschäftige seinen eigenen Datensatz hätte kontrollieren können. Eine Kontrollmöglichkeit für den Arbeitnehmer war schlicht nicht vorgesehen.

Zuletzt schlossen sich mittelständische Wirtschaft, Medien und Kommunen dem Widerstand gegen Elena an. Der Wirtschaft hatte man Bürokratieabbau und Kostensenkungen versprochen. Heraus kamen beträchtliche Mehraufwände und Kostensteigerungen in der Personalverwaltung sowie bei den umfangreichen Pflichtdatenablieferungen. Sowie oftmals technische Probleme bei der Datenkommunikation mit der ZSS. Und die Kommunalverwaltungen, welche sowohl Arbeitgeber als auch zuständige Behörde für etliche Sozialleistungen sind, klagten bald über die Notwendigkeit, teure Fachverfahren und zusätzliche IT-Projekte stemmen zu müssen, ohne dass vorher geklärt wurde, wer am Ende dafür zahlen soll.

Der zunehmende Druck sorgte im Zusammenhang mit Ministerwechseln und Zuständigkeitsänderungen dafür, dass das Elena-Projekt bereits im Oktober 2010 ins Straucheln kam und schließlich 2011 gestoppt wurde.

Allerdings kündigte das Bundesarbeitsministerium bereits an, sich mit der Frage zu befassen „wie die bereits bestehende Infrastruktur des ELENA-Verfahrens und das erworbene Know-how für ein einfacheres und unbürokratisches Meldeverfahren in der Sozialversicherung genutzt werden“ könnte. Das bedeutet allerdings, dass die von den Kritikern thematisierten problematischen Vorstellungen aus den Köpfen der Politiker immer noch nicht verschwunden sind, wie auch Bettina Hammer auf Heise.de kritisiert.

Denkt man an die diversen Ministerrochaden im Merkel-Kabinett, so ist es gut möglich, dass aufmerksame Beobachter des netzpolitischen und e-governmentalen Lebens in Deutschland bald auf ähnliche Vorhaben stoßen werden und dann erneut mit ihrer Argumentation beginnen müssen, weil sich die Verantwortlichen nach dem „Vogel-Strauß“-Prinzip ahnungslos geben werden.

Zumal das Elena zugrundeliegende Gesetz noch nicht vom Bundestag abgeschafft wurde und damit erst mal weiterhin Gültigkeit besitzt. Und daher auf www.das-elena-verfahren.de, einer Website der Deutschen Rentenversicherung Bund, die auch die ZSS betreibt, zu lesen ist: „Das Verfahren ELENA wird erst dann eingestellt und die gespeicherten Daten werden erst dann gelöscht werden, wenn es hierfür eine entsprechende gesetzliche Grundlage gibt.“

Sicherheitsexperten entdecken Leck in Android-Handys

Smartphones mit dem zunehmend beliebter werdenden Android-Betriebssystem von Google erweisen sich im täglichen Gebraucht als etwas zu mitteilsam, wie deutsche Sicherheitsexperten kürzlich bekanntgaben. Sie melden sich automatisch und ohne Zutun ihres Nutzers in freien WLAN-Netzen an, in denen sie bereits einmal angemeldet waren, sobald das Gerät in die Funkreichweite des entsprechenden WLAN-Routers kommt. Steht die Verbindung, so wird ebenso automatisch eine Synchronisierung mit Google-Diensten wie Mail, Calender, Contacts, oder Picasa gestartet, wobei Authentifizierungsdaten (authToken) zum Teil sogar unverschlüsselt über eine einfache http-Verbindung gesendet werden. Diese Authentifizierungsdaten lassen sich am WLAN-Router mitschneiden (z.B. per Sniffer-Software) und können dann im Einzelfall für bis zu 14 Tage dazu benutzt werden, mit der Identität des Nutzers in dessen Google-Konten zu stöbern.

Auch Apps anderer Anbieter könnten von dem Problem betroffen sein, da nicht nur Google-eigene Apps dieses Anmeldesystem verwenden. So z.B. die Kalendersynchronisation des beliebten Mailprogramms Thunderbird der Mozilla Foundation.

„Der Informationsklau funktioniert besonders gut, wenn der Name des Netzwerks einem bekannten Anbieter ähnelt, also etwa T-Online“, so die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub. Dazu reicht es nach Ansicht von Königs, die gut dokumentierten Google-Schnittstellen für externe Entwickler zu benutzen.

Dass mobile Geräte und beliebte Apps sensible Daten unverschlüsselt in die Welt hinausblasen, wird in Expertenkreisen bereits seit einiger Zeit zunehmend kritisch diskutiert.

Kurzfristig raten Fachleute Android-Nutzern zu folgenden Selbsthilfemaßnahmen:
•    Zügig auf die aktuellste Version 2.3.4. von Android updaten, in der das Problem so nicht mehr besteht.
•    Die automatische Datensynchronisation in den Einstellungen deaktivieren.
•    Die Liste bereits konnektierter WLAN-Netze im Handy regelmäßig löschen (nur auf der Liste befindliche Netze werden automatisch konnektiert).
•    Offene WLAN-Netze möglichst meiden, wenn datensensible Dienste und Apps genutzt werden.

Zumindest der erste Punkt der Empfehlungen ist für zahlreiche Smartphone-Nutzer jedoch gar nicht so leicht umsetzbar. Zwar ist Android ein (weitgehend) offenes System. Jedoch haben viele Smartphone-Hersteller ihre Geräte mit individuellen Oberflächen und Zusatzprogrammierungen „gebrandet“, so dass sie Upgrades des zugrunde liegenden Android-Betriebssystems nur zögerlich, falls überhaupt ausrollen. So ist derzeit ein ganzer Zoo von unterschiedlichen Android-Versionen im Markt unterwegs.

Doch es sind nicht nur Android-Handys betroffen. Grundsätzlich funktioniert die Methode, in offenen WLANs Daten mitzuschneiden und zweckzuentfremden auch bei anderen Mobilgeräten wie etwa Laptops, Navis oder Tablets, sofern diese Daten unverschlüsselt in den Äther blasen.

Inzwischen plant Google kurzfristig ein außerplanmäßiges Sicherheitsupdate an alle Android-Geräte zu verteilen und dabei nicht den Weg über die einzelnen Handyhersteller und Distributoren zu gehen. Der Patch soll die Kommunikation zwischen Gerät, WLAN-Router und mobilen Diensten verschlüsselt über das https-Protokoll abwickeln. Das allein ist jedoch nur die halbe Lösung, solange solche Kommunikationen versteckt im Hintergrund und ohne Kenntnis und Zustimmung des Benutzers ablaufen.

Buchrezension: Web-Sicherheit – Wie Sie Ihre Anwendungen sicher vor Angriffen schützen

Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen  sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.

Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.

Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.

Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.

Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.

Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.

Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.

Alles in allem ein  sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.

Linux-Infotag 2011 in Augsburg

Gestern fand in den Räumen der Fakultät für Informatik der FH Augsburg der 10. Linux-Infotag, veranstaltet vom Verein der Linux-User Augsburg e.V. (LUGA) statt. Zum Teil parallel in mehreren Räumen wurden unter dem diesjährigen Motto „Leben mit Pinguinen – Freie Software im Alltag“ Vorträge rund um das Thema Linux angeboten. Dabei reichte das Themenspektrum von Angeboten für Einsteiger über solche für Entwickler oder Systemadministratoren bis hin zum Blick auf aktuelle Entwicklungen rund um den Linux-Kernel.  Ich richtete meinen Fokus dieses Jahr auf Vortragsangebote rund um die Themen Projektmanagement, IT-Sicherheit und freie Software im Allgemeinen.

Eröffnet wurde das mehrteilige Vortragsprogramm von Thomas Gleixner mit seiner Keynote zum Thema „Management und Open Source – zwei Welten?“. Darin schilderte Gleixner, der selbst Unternehmer sowie aktiver Linux Kernel-Maintainer ist, das bestehende Konfliktfeld zwischen freier quelloffener Software und sog. „geistigem Eigentum“ (ein Kampfbegriff der Content-Lobby, den viele Manager unkritisch übernommen haben). Gerade unsichere und qualitativ minderwertige Software hat ihren Ursprung häufig darin, dass Firmen versuchen, das Rad zum x-ten Mal neu zu erfinden und eine selbst entwickelte proprietäre Lösung einen anerkannten Standard vorziehen. Da aber keine Firma allein dauerhaft Standards etablieren kann und Kunden sich nur ungern von einzelnen Unternehmen abhängig machen, werden so volkswirtschaftlich Ressourcen in beträchtlichem Umfang verschwendet, die durch unternehmens- und bereichsübergreifende Kollaboration und Kooperation effektiver nutzbar wären. Inzwischen stellen aber immer mehr Unternehmen (z.B. Chiphersteller und Smartphone-Produzenten) fest, dass quelloffene Systeme wie Linux einfacher an neue Gegebenheiten anzupassen sind, Versionswirrwar und Diskontinuitäten bei Produktkomponenten vermieden werden, Lizenzpolitiken anderer Unternehmen nicht mit eingeplant werden müssen. Trotzdem gibt es noch eine weitverbreitete relative Unkenntnis verbunden mit gezielt gestreuten Desinformationen in den Köpfen von Entscheidern in der Wirtschaft, wie Gleixner ausführte. Daneben empfahl er, sich mal die Enduser-Licence-Agreements (EULAs) genauer anzusehen, die kommerziellen Softwareprodukten beiliegen. Das dort enthaltene „Kleingedruckte“ schränkt die Nutzbarkeit einer an sich funktionsfähigen Software rechtlich oft derart ein, dass sie unbrauchbar wird – ein klassischer Fall von „Produktion vom Fließband in den Müllcontainer“. Daneben betonte Gleixner, wie wichtig es sei, dass Basistechnologien wie Betriebssysteme, Netzwerkprotokolle, Datenbanken aber auch Informationen frei und losgelöst von den Interessen Einzelner allgemein und frei verfügbar sind, so dass jeder darauf aufbauend Geschäftsmodelle entwickeln kann, ohne dass ihm andere dreinreden oder ihm durch das Ergaunern leistungsloses „Schutzgelder“ schädigen können (Stichworte Softwarepatente und Patenttrolle).

Oliver Rath gab einen Überblick über Projektmanagement im Allgemeinen. Und dessen Unterstützung mit linuxbasierter Software im Speziellen. Und hier zeigte sich auch rasch das Kernproblem: Der Goldstandard im Bereich werkzeugunterstützen Projektmanagements ist Microsoft Project. Auch wenn die große Mehrheit gerade mittelständischer Projektleiter immer noch per Tabellenkalkulation plant. Etwas was  man mit Open Office Calc und Draw ebenso hinbekommt wie mit Excel & co. Etliche Linux-Tools wie z.B. OpenProj, TaskJuggler oder planner können jeweils ein oder zwei Dinge besonders gut, andere aber gar nicht. Es fehlt nach wie vor ein vollwertiges MS-Project-Äquivalent hoher Produktreife, auch wenn OpenProj ein guter erster Versuch war (bis die Entwicklung 2008 eingestellt wurde). Rath trug seinen Vortrag interessant und witzig zugleich vor und wies dabei auf Dinge wie die „größte Lüge der IT“ (Ich mach mal schnell), „die größte Lüge im Projektmanagement“ (Ich bin zu 90% fertig) oder die Probleme der letzten 10% eines Arbeitspaketes hin (in denen sich oftmals die gravierendsten Probleme verbergen).

Zu diesem Themenbereich rechne ich auch die Vorträge von Ulrich Habel (Dokumentation in Open-Source-Projekten) und Sebastian Harl (Verteilte Versionskontrolle mit Git). Denn es war letztlich die OSS-Community, die als Erste global verteilte Entwicklung komplexer Software betrieb. Lange bevor Offshoring und die spezifischen Probleme mit den kulturellen Differenzen zwischen indischen Programmierern und mitteleuropäischen IT-Architekten wirklich zum Branchenthema der international arbeitenden IT wurden. Hierbei sind Systeme zur gemeinschaftlichen Codeverwaltung, Versionierung, zur projektbegleitenden Dokumentation und für Defect-Tracking und Bug-Reporting nahezu unentbehrlich, um räumlich und zeitlich verteilte Zusammenarbeit an einer gemeinsamen Code- und Projektbasis zu ermöglichen. Beispielhaft wären hier Systeme wie Mantis (Bugtracking), GIT (Versionierung) oder die Nutzung von Wikis (Projektdokumentation) zu nennen.

Ingo Blechschmidt gab eine Kurzeinführung in elementare Konzepte der Kryptographie wie kryptographische Primitive (elementare Operationen eigentlich aller Kryptoverfahren), Challenge-Response-Authentifizierung, Zero-Knowledge-Beweise oder die Sicherheitsmechanismen bei „gesalzenen“ Passwörtern. Obwohl das tiefere Verständnis kryptografischer Konzepte eine intensivere Beschäftigung mit deren mathematischen Hintergründen sowie Überlegungen aus den Bereichen Algorithmik und theoretischer Informatik erfordern, machte sein Vortrag Lust auf mehr.

Wer jetzt auf die Vorträge neugierig geworden ist, wird in den nächsten Tagen die meisten Folien bei LUGA in der Programmübersicht als PDF-Download vorfinden.

Parallel zum Vortragsprogramm boten zahlreiche Linux-affine Organisationen Infostände mit aktuellen Projekten an. Und es dürften wohl stapelweise Live-CDs diverser Linux-Distributionen verteilt worden sein. Alles in allem eine sehr interessante Veranstaltung mit vollem Programm, die wohl bei mehreren Hundert Besuchen Anklang gefunden hat.

Herausforderung Cloud-Computing

Cloud Computing, also das Auslagern von Daten und IT-Diensten in die Rechenzentren von IT-Dienstleistern, gewinnt immer mehr an medialer Popularität. Dabei stößt man jedoch rasch auf etliche Probleme, wenn das Thema tatsächlich im Unternehmen umgesetzt werden soll. Denn den oftmals erhofften Einsparungen an IT-Kosten stehen beträchtliche Mehraufwände im Bereich Datenschutz und Informationssicherheit gegenüber. Hinzu kommen bislang noch ungelöste Compliance-Risiken. Dies hat die Gesellschaft für Informatik kürzlich in einem Thesenpapier verdeutlicht, dass diese Herausforderungen in den Bereichen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben thematisiert.

Außerhalb ihrer Standorte können Unternehmen ihre Vorstellungen von Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit meist nicht durchsetzen. Man muss sich schon darauf verlassen, wie weit Verträge, Service-Level-Agreements (SLAs) mit Cloud-Betreibern und deren Subunternehmern im Problemfall wirklich reichen.

Dies – sowie etliche noch offene rechtliche Fragen – führt dazu, dass viele Firmen der Cloud-Technologie eher zurückhaltend begegnen und eher zu Etablierung einer „private cloud“, also einem unternehmensinternen Angebot neigen. So können unternehmensinterne Policies, Vorgaben und Strategien leicht übertragen werden. Das aber ist dann letztlich wieder nur eine weitere technologische Spielwiese der internen IT. Ob dadurch die oft als Pro-Argument aufgeführten Rationalisierungs- und Konsolidierungseffekte erzielt werden können, dürfte fraglich sein.

Will ein Unternehmen jedoch echtes Outsourcing per Cloud Computing betreiben, sollte es sich der Tatsache gewahr werden, dass zwar die Technik und das dazugehörige Personal ausgelagert werden kann. Dass aber die Probleme in Form von Haftungsfragen, Risikoerwägungen, Compliance-Auflagen oder sonstigen, meist rechtlichen Fallstricken im Haus bleiben. Man kommt als Entscheider den Anforderungen seiner Umwelt eben nicht einfach durch das Fremdvergeben eines Auftrags aus.

Dabei beginnen die Probleme oftmals bereits mit der scheinbar simplen Frage, wie sensible Daten zum Cloud-Betreiber hin und von dort wieder zurück ins Kundenunternehmen kommen. Werden dafür öffentliche Netze genutzt, sind Fragen nach hohen und sicheren Verschlüsselungsstandards, Zugriffsrechten, Identity Management und Netzverfügbarkeit zu klären. Oft ist eine echte Ende-zu-Ende-Verschlüsselung auch gar nicht machbar, wenn z.B. Daten Verarbeitungszwischenschritte beim Cloud-Betreiber durchlaufen sollen.

Auch gilt es zu beachten, dass der aktuelle Stand der Technik bei Virtualisierung, Lastausgleich, geografischer Verteilung, Sicherungs- und Sicherheitsmaßnahmen sowie der Datenübertragung über Netzwerke generell nicht unbedingt als sicher und fehlerfrei angesehen werden kann. Es können sich darin kritische, für Dritte gut ausnutzbare Sicherheitslücken befinden. Für Auftraggeber ist das nicht immer nachvollziehbar – wollen sie solche „technischen Probleme“ ja gerade deswegen auslagern, da es ihnen oft am Know-how und den Kapazitäten fehlt, so etwas selbst beurteilen und lösen zu können. Und das obwohl z.B. die datenschutzrechtlichen Auflagen zum Thema Auftragsverarbeitung (§ 11 BDSG) dies explizit dem Auftraggeber als Pflicht bei der laufenden Kontrolle seines Auftragnehmers abfordern.

Ausgelagerte geografisch verteilte, sich u.U. im Ausland befindliche Cloud-Rechenzentren Dritter machen es für den Auftraggeber äußerst schwierig, bei eingetretenen Sicherheitsvorfällen selbst forensische Untersuchungen anzustellen, bei sicherheitstechnischen Analysen zu substanziellen Ergebnissen zu gelangen oder den Auskunftspflichten gegenüber ermittelnden Behörden und Staatsanwaltschaften zeitnah nachkommen zu können. Diese schlicht auf den Dienstleister zu verweisen, dürfte in den seltensten Fällen akzeptiert werden, da die Verantwortung rechtlich beim Auftraggeber geblieben ist und nicht mit in die Cloud abgeschoben werden kann.

Und selbst wenn es Ermittlungsbehörden gelänge, auf die Systeme des Cloud-Betreibers zuzugreifen bzw. Beschlagnahmungen durchzuführen, dürfte dabei der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb empfindlich gestört werden (Schadensersatzansprüche Dritter!). Auch dürften eventuell gewonnene und potentiell manipulierte Abzüge der Daten aus der Cloud nur verminderten Beweiswert vor Gericht haben. Wobei es zu diesem Problem noch kaum Rechtsprechung gibt, deutsche Gerichte aber in solchen Fragen als sehr konservativ gelten.

Bei unternehmenskritischen Fragen auf die Dienste Dritter zurückzugreifen, bedeutet das Eingehen von Abhängigkeitsverhältnissen. Ein Stück weit ist das unumgänglich, wenn man sich die Vorteile des globalen und verteilten arbeitsteiligen Wirtschaftens zunutze machen will. Es kann aber auch bedeuten, dass die eigenen IT-Systeme zum Stehen kommen, wenn der Cloud-Betreiber über Nacht in die Insolvenz geht und abgeschaltet wird. Cloud-Verträge müssen daher stets auch Regeln enthalten, wie in solchen Fällen rasch zu einem anderen Dienstleister oder zurück in eine (dann noch existente?) interne IT gewechselt werden kann. Je komplexer die ausgelagerten IT-Systeme sind, desto anspruchsvoller ist so ein Rückwechsel-Vorhaben. Rasch kann da ein sog. „Vendor-lock-in“, d.h. eine existenzielle und kurzfristig nicht überwindbare Abhängigkeit von einem Anbieter eintreten. Auch ist bei genauerem Hinsehen längst nicht alles, was vertraglich vereinbart wurde, auch technisch umsetzbar (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

Öffentliche Clouds können bei entsprechender Nutzung durchaus den Charakter kritischer Infrastrukturen annehmen, sofern sie allgemein und weitverbreitet verwendet werden. Dadurch werden schließlich sogar kartellrechtliche Aspekte wie die „Essential-facilities-Doktrin“ tangiert, welche die wenigsten IT-Entscheider mit auf dem Radar haben dürften.

Und so kommt die Gesellschaft für Informatik auch völlig zutreffenderweise zu dem Schluss, dass sich beim Cloud Computing stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung ergeben werden. Und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten sowie der genutzten IT-Systeme. Hinzu kommen auch stark erhöhte Anforderungen an die rechtliche Absicherung (Compliance).

Kommt jetzt das Ende für ELENA?

Elena – der „elektronische Entgeltnachweis, von Kritikern auch als Arbeitnehmervorratsdatenspeicherung bezeichnet – wird gestoppt! Die Regierung hat den Start des Vorhabens um zwei Jahre verschoben. In den letzten Monaten reihten sich immer mehr Unternehmen, und Verwaltungen in die Reihen der protestierenden Bürgerrechtler ein. Denn Elena brachte ihnen statt der versprochenen Einsparungen durch Bürokratieabbau in erster Linie Kosten und Ärger ein.

Arbeitgeber müssen mit ihren monatlichen Gehaltsabrechnungen für jeden ihrer Beschäftigten zahlreiche Eckdaten wie Name und Anschrift, Versicherungsnummer, Gesamt-, Steuer- und Sozialversicherungs-Bruttoeinkünfte, Sozialversicherungsbeiträge sowie steuerfreie Bezüge verschlüsselt an die zentrale Datenbank der Deutschen Rentenversicherung übermitteln. Dafür mussten oftmals zusätzliche IT-Systeme beschafft bzw. vorhandene Personalverwaltungssoftware aktualisiert, erweitert oder umkonfiguriert werden. Und dann kam es zu bis heute ungelösten Problemen mit der verschlüsselten Datenübermittlung für die Elena-Daten an die zentrale Speicherstelle.

Insbesondere Kommunen protestierten immer lauter gegen Elena. Sahen sie doch eine geschätzte Viertelmilliarde Euro an Zusatzkosten auf sich zukommen. Aus ebendiesem Grund beurteilt der IT-Wirtschaftsverband BITKOM den Elena-Stopp eher kritisch, sieht er doch Umsatzmöglichkeiten für seine Mitgliedsunternehmen entschwinden.

Und die Proteste zeigten Wirkung! Kürzlich beschloss die Regierung die offiziell bis 2012 verlaufende Testphase für das Elena-Verfahren um zwei Jahre zu verlängern. Als Grund für die Verschiebung werden Gutachten benannt, nach denen die Umstellung auf das System für die Behörden teurer als zunächst angenommen wird.  Außerdem werden erhebliche Belastungen für den Mittelstand befürchtet, was insbesondere FDP-Politiker umtreibt. Faktisch ist das fast schon das Aus für das Projekt. Müssen doch z.B. die bereits gesammelten Daten wieder gelöscht werden, da eine so lange Speicherung rechtlich unzulässig ist.

Elena scheint wohl denselben Weg anzutreten wie zuvor das Zugangserschwernisgesetz von Ministerin „Zensursula“ von der Leyen: Man erkennt (zu) spät den Flop, will aber nicht wirklich zu den gemachten Fehlern stehen und beschließt daher, den Weg der passiven Sterbehilfe zu gehen, indem man das Projekt langsam durch Zeitablauf und Mittelentzug sterben lässt.

Ob es so kommen wird, bleibt abzuwarten. Letztlich werden die Elena-Gegner aber erst ruhen, wenn das Vorhaben offiziell tot und begraben ist.

Mit dem Browser auf Passwortfang

Oft fliegen einem die interessantesten Dinge einfach so zu: Beispielsweise Logins, Passwörter und Sitzungsdaten sozialer Netze, die in offenen WLAN-Netzen unverschlüsselt in die Luft geblasen werden. Darauf weisen Sicherheitsexperten schon seit Längerem hin und fordern von den Betreibern gängiger sozialer Netze, Shopping-Sites, dass diese ihren Datenverkehr verschlüsselt und über Zertifikate gesichert abwickeln, beispielsweise über SSL.

Allerdings wurde und wird diese Forderung nach wie vor ignoriert. Das brachte den Programmierer Eric Butler auf die Idee, mit dem Firefox-Plugin „Firesheep“ ein  Programm für den „Account-Diebstahl für Dummies“ zu entwickeln, dass die Brisanz des Themas steigern und den Druck auf die Diensteanbieter so erhöhen soll.

Zwar kann bereits seit langem jeder, der mit einem Snifferprogramm wie z.B. Wireshark in ein WLAN hineinhorcht, den dortigen Datenverkehr überwachen und Interessantes per Filterfunktion herausfischen. Aber das erfordert gewisse Kenntnisse über den Aufbau von Netzwerkprotokollen sowie eine Einarbeitung in die oftmals recht mächtigen aber auch unübersichtlichen Programme.

Butlers quelloffenes Firesheep betreibt HTTP-basiertes Session Hijacking, indem es in offenen WLANs nach Sitzungsdaten etlicher sozialer Netze wie etwa Twitter oder Facebook lauscht, diese bei ihrem Auftreten herausfischt und dem Browsernutzer in einer Sidebar anzeigt. Er kann daraufhin die Sitzungen auf Wunsch per Mausklick übernehmen und sich mit den Identitätsdaten des betreffenden Nutzers in dem sozialen Netzwerk bewegen.

Firesheep nutzt eine Lücke in der Datenübertragung zwischen Nutzer und Webdienst. Wenn man sich bei einem Dienst wie Twitter oder Facebook anmeldet, wird dem Nutzerrechner ein sogenannter Session-Cookie geschickt, der Sitzungs- und Statusdaten enthält. Der Erstkontakt ist bei den meisten Seiten durch Verschlüsselung geschützt, nicht jedoch die weitere Übertragung von Daten z.B. bei der Aktualisierung der Sitzung. Oftmals werden dabei Datenübertragungen zwar zunächst per verschlüsseltem HTTPS initiiert, dann aber über normales unverschlüsseltes HTTP  fortgesetzt. Der Nutzer wähnt sich sicher, während seine Daten im Klartext über die Leitung oder in den Äther gehen.

Firesheep sucht dazu diese unverschlüsselt übertragenen Session-Cookies und schickt eine eigene Anfrage an die betreffende Seite samt einer Kopie des Cookies – gaukelt dem Dienst also vor, der echte Nutzer zu sein.

Butler kündigte sein Tool erst im Oktober 2010 auf der Hacker- und Security-Konferenz „ToorCon“ in San Diego an, auf der er dazu einen Vortrag hielt, den er treffenderweise „Hey Web 2.0: Fang an, die Daten der Nutzer zu schützen, statt dies nur zu behaupten“ betitelte. Ganz klar – hier sollte mal wieder der oftmals etwas trägen und behäbigen Unternehmenswelt eine mitgegeben werden. Was aber heute – leider – ebenso nötig erscheint, wie in den 80ern des letzten Jahrhunderts als die Hacker des Chaos Computer Clubs zeigten, wie man mit Hilfe BTX-basierter „Mehrwertdienste“ eine Bank ausnimmt (Youtube-Video Heute-Journal).

Firesheep wirft zudem eine spezifische-deutsche Frage auf: Handelt es sich dabei um ein Hackertool i.S.d. § 202 c StGB (der sog. „Hackerparagraph“)? Dafür würde sprechen, dass die zugrundeliegende Methode des automatisierte Session Hijacking wohl recht eindeutig den Angriffsformen auf IT-Systeme zugerechnet werden kann. Dagegen spricht, dass Firesheep ausschließlich auf Informationen zurückgreift, die über unverschlüsselte offene WLAN-Netze verbreitet werden und daher quasi-öffentlich verfügbar sind.

Zwar arbeiten Firmen wie z.B. Zscaler an Gegenmaßnahmen, um im Einsatz befindliche Firesheeps in WLAN-Netzen durch Rückmeldungen auf manipulierte Session-Cookies zu identifizieren. Aber das zugrunde liegende Problem der ganz oder teilweise unverschlüsselt übertragenen Identitätsinformationen für Internetdienste wird uns wohl noch einige Zeit erhalten bleiben.

Freies Krypto-Tool Truecrypt in Version 7.0 erschienen

Die Entwickler des beliebten freien Krypto-Tools Truecrypt haben kürzlich die Version 7.0 herausgebracht. Mit Truecrypt lassen sich Datenträger wie Festplatten und USB-Sticks verschlüsseln sowie verschlüsselte Container-Dateien auf ansonsten unverschlüsselten  Speichermedien anlegen.

Für Besitzer von Rechnern mit bestimmten Intel-Prozessoren, die sog. AES New Instructions verarbeiten können, wird die damit mögliche hardwarebeschleunigte AES-Verschlüsselung unterstützt. Dadurch sind Geschwindigkeitsvorteile im Bereich x4 bis x8 möglich. Truecrypt erkennt automatisch, ob ein solcher Prozessor vorhanden ist.

Truecrypt-verschlüsselte Datenträger können unter Windows mit der neuen Version automatisch angemeldet werden, wenn das richtige Passwort eingegeben wird und der Datenträger passend konfiguriert wurde.

Die Zugriffspfade häufig genutzter Container-Dateien können nun in einem Favorites-Menü gespeichert werden, was den Zugriff vereinfacht.

Ab Windows Vista aufwärts gibt es eine Microsoft-API zur Verschlüsselung der Windows-Auslagerungsdateien. Diese API wird nun von Truecrypt zur Verschlüsselung dieser Dateien verwendet. Für ältere Windows –Versionen nutzte Truecrypt dazu undokumentierte Windows-Funktionen, deren jederzeit korrekte Arbeitsweise nicht sichergestellt war. Um diese Funktion auf ein verlässliches Fundament zu stellen, richteten die Truecrypt-Entwickler entsprechende Anfragen an Microsoft und machten das publik, bis Redmont ein Einsehen hatte und die API standardisierte und offenlegte.

Desweiteren wurde im Rahmen der Produktpflege etliche kleinere Bugs bereinigt und kleinere Verbesserungen vorgenommen.

Truecrypt kann hier kostenlos heruntergeladen werden. Außerdem kann man das Projekt durch Spenden per PayPal unterstützen.

Produkttest: Passwort Depot 4 – Passwörter im Tresor

Passwörter sind eine weit verbreitete Methode schutzwürdige Informationen geheimzuhalten. Dummerweise sind „sichere“ Passwörter (lang, aus vielen unterschiedlichen Zeichenarten bestehend,  keinen sinnvollen Begriff ergebend) alles andere als gehirngerecht und leicht zu merken. Und ihre kurzen, sinnvollen und einprägsamen Alternativen von entsprechenden Knackprogrammen leicht durch Wörterbuchprogrammen oder Brute-Force-Attacken zu brechen.

Zumal mangels einschlägiger Standards die Zahl von Logins, Accounts und elektronischer Identitäten im Alltagsleben der Netzbewohner rascher zunimmt als das Unkraut im Garten. So ist z.B. Gunter Dueck, Technologieexperte beim IBM fest davon überzeugt, dass bereits allein ein Standard zum einfachen Bezahlen im Internet mit der damit einhergehenden Abschaffung der Vielfalt an Identitäten einen enormen Schub beim Thema e-Business bringen kann (Dueck, „Aufbrechen“, S. 197).

Deutlich einfacher wird der Umgang mit der Passwortvielfalt durch Programme, welche Login-Daten beim Erscheinen der entsprechenden Eingabeformulare automatisch eintragen. Man muss sich dann nur noch ein einziges Passwort merken – das des Programmes, in dessen verschlüsselten Datenbeständen die diversen digitale Identitäten lagern.

Linux-Nutzer kennen das schon lange als „Schlüsselbund“-Funktion im Betriebssystem. Und in Browsern wie Firefox ist ebenfalls ein Passwort-Tresor enthalten. Dort allerdings ist er nur für Logins im Internet nutzbar deren Webseiten per Firefox aufgerufen werden. Wer auf XING, eBay oder sein Bankkonto mit anderen Browsern zugreifen will, steht vor einem Problem. Und wer native Windows-Anwendungen wie Truecrypt-Container, e-Banking-Software o.ä. nutzt ebenfalls. Zudem sind manche dieser Funktionen angreifbar, wenn sie z.B. Passwörter unverschlüsselt in Caches oder der Zwischenablage ablegen, wo sie von Spähtrojanern mitgelesen werden können.

In diese Bedarfslücke springt u.a der Softwareanbieter AceBit GmbH mit seinem Produkt Passwort-Depot 4. Der Name ist dabei Programm. Das Programm dient dazu digitale Identitäten aller Art zu speichern, mit einer Vielzahl von Funktionen zu managen und beim Einsatz der dazugehörigen Programme oder Webseiten automatisch einzutragen (nachdem das Depot mit dem dazugehörigen Masterpasswort geöffnet wurde).

Diese Vielzahl an Möglichkeiten lässt das Programm zunächst etwas „overengineered“ erscheinen, ermöglicht es aber nach entsprechender Einarbeitung zahlreiche individuelle Bedürfnisse hinsichtlich des Umgangs mit Passwörtern und digitalen Identitäten zu erfüllen. Es macht jedoch eine gründliche Auseinandersetzung mit dem benutzerfreundlich gestalteten Programm erforderlich.

Passwort Depot mach dabei den Eindruck eines reifen Produktes bei dem auch an wichtige Details gedacht wurde. So wird z.B. die bereits erwähnte Zwischenablage auf Zugriffe durch Drittprogramme überwacht. Man kann die gespeicherten Passwörter einer Prüfung auf deren relative Stärke unterziehen. Zur Verwaltung der digitalen Identitäten stehen etliche Funktionen wie z.B. die Konfiguration der Benutzeroberfläche oder die Überwachung von zeitlichen Änderungszyklen für Passwörter zur Verfügung, deren Nutzen sich erst nach einiger Zeit der Nutzung zeigt und die sich speziell an den Nutzer vieler Logins und Passwörter wenden.

Daneben bietet Passwort Depot noch zwei weitere nützliche Funktionen, die es als zusätzliche Befehle in das Kontext-Menü einbaut: Ein oder mehrere Dateien komprimieren und verschlüsseln (auch zur Entschlüsselung muss Password Depot vorhanden sein, worauf man bei der Nutzung im Zusammenhang mit mobilen Datenträgern achten sollte). Sowie eine Datei sicher, d.h. nicht wiederherstellbar löschen, indem sie komplett überschrieben wird.

Die digitalen Identitäten legt Passwort Depot in einer verschlüsselten (AES 256) Datei ab, die mit Hilfe eines Server-Moduls auch im Netzwerk durch mehrere Nutzer verwendet werden kann (z.B. im Rahmen eines Identity Managements in kleineren Unternehmen).

Was Firmen i.d.R. als Single-Sign-On-Lösungen mit Hilfe von Identity-Management und Provisioning oder aber biometrischer Authentifizierung als Bestandteil ihrer Infrastruktur lösen, kann nun auch der Privatanwender nutzen: Eine einfache und sichere Lösung zur Verwaltung zahlreicher digitaler Identitäten.

Die Basisversion von Passwort-Depot kann kostenlos genutzt werden und 20 Passwörter verwalten. Eine Vollversion ohne diese Begrenzung ist für etwa 30 € pro Lizenz erhältlich. Für den Einsatz im Netzwerk als Server gibt es ein eigenes Lizenzmodell.

Ein klarer Schwachpunkt aus Expertensicht ist allerdings, dass – wie bei kommerziellen Produkten leider oftmals üblich – sicherheitskritische Produktbestandteile wie z.B. der Schutz der Depot-Dateien durch die laut Acebit eingesetzte AES-256-Verschlüsselung nicht durch Offenlegung des Quellcodes überprüfbar gemacht wurden. Implementierungsfehler in an sich ansonsten als sehr sicher geltenden kryptographischen Verfahren können so mangels Einblick durch unabhängige Dritte nicht ausgeschlossen werden (security by obscurity-Ansatz). Allerdings weist die Entwicklungsabteilung von Acebit darauf hin, dass ihr Produkt bereits mehrfach (z.B. im Rahmen von Lizenzverträgen mit Firmenkunden) durch unabhängige Dritte geprüft wurde und verweist auch gern auf (vorhandene) positive Testberichte in Computerzeitschriften.

Password Depot wird auch für Smartphones (Android, Windows Mobile) sowie für U3-basierte USB-Sticks angeboten.