10 Aus dem IT-Labor
10.1 Patch-Management – eine Selbstverständlichkeit
Die Praxis des Einspielens von Sicherheitsupdates für die Microsoft-Betriebssysteme zeigt vielerorts essenzielle Sicherheitsmängel.
Vor zwei Jahren hat das ULD zur automatisierten Installation von Sicherheitsupdates Ratschläge gegeben (28. TB, Tz. 10.5). Mit dem kostenlos erhältlichen Windows Server Update Service (WSUS) lassen sich nicht nur die Betriebssysteme auf dem aktuellen Stand halten, sondern auch weitere Microsoft-Produkte wie beispielsweise Office oder Visio. Im Mai 2007 hat der Hersteller die aktuelle Version 3.0 freigegeben. Administratoren des Vorgängers WSUS 2.0 können ihre Server einfach aktualisieren, um die Vorteile der neuen Version zu nutzen. Ältere Versionen, wie der Service Update Server (SUS), werden seit Juli 2007 weder unterstützt noch mit Updates beliefert. Zu den Neuerungen gegenüber WSUS 2.0 zählen die bequeme Verwaltung über die Microsoft Update Management Console, die E-Mail-Benachrichtigung bei Updates und Fehlern oder neue Statusberichte. Administratoren sollten sich mit der Vielzahl an neuen Möglichkeiten vertraut machen, um effektiver Microsoft-Updates zu verwalten.
Praxisbeispiel eines typischen Einsatzes: Alle Einstellungen für die Microsoft-Updates werden über die Gruppenrichtlinien gesteuert. Für einen geordneten Test- und Freigabeprozess ist es entscheidend, die Kontrolle zu behalten, welches System wann welche Updates installiert. Diese Freigaben können über die Managementkonsole leicht erfolgen. Um nicht für jeden Computer einzeln Freigaben erteilen zu müssen, werden Computer zu Gruppen zusammengefasst. Als Beispiel könnte das eine Gruppierung nach Abteilungen sein. Neue Updates sollten zuerst automatisiert auf einer dafür vorgesehenen Testgruppe installiert und getestet werden. In der Praxis hat es sich bewährt, dass die Administratoren die Testgruppe sofort mit allen sicherheitsrelevanten Updates ausstatten. Nicht selten kommt es vor, dass Updates Fehler enthalten und Schaden anrichten oder bestimmte Anwendungen nicht mehr funktionieren. Entsprechende Meldungen werden häufig in der einschlägigen Fachpresse kurz nach Erscheinen eines Updates gemeldet. Daher sollte kurz nach dem sogenannten Microsoft Patchday – jeweils der zweite Dienstag oder manchmal auch Mittwoch im Monat – nach entsprechenden Berichten Ausschau gehalten werden.
In der Regel stellen sich auch nach ein paar Tagen Wartezeit keine Probleme ein, sodass die Updates auf die weiteren Computergruppen verteilt werden können. Es hat sich bewährt, die Patches abteilungsweise freizugeben. Dieser Prozess ist mit Angaben zu den Patchnamen und zum Testzeitraum zu dokumentieren, um jederzeit bei Fehlern die Freigabe nachvollziehen zu können. Nebenbei werden über einen solchen gestuften Freigabeprozess auch die Anforderungen an Test und Freigabe der Datenschutzverordnung erfüllt.
Was ist zu tun?
In einer vernetzten IT-Umgebung ist die automatisierte Installation von Microsoft-Updates eine notwendige Sicherheitsmaßnahme. Patches sind in speziellen Gruppen zu testen und danach freizugeben. Regelmäßige Berichte zum aktuellen Patchstand aller Server und Clients im Netzwerk vervollständigen das Patch-Management und gewährleisten einen datenschutzkonformen Betrieb.
10.2 Antivirenmanagement
Der Schlüssel für ein erfolgreiches Antivirenmanagement liegt nicht allein in hohen Erkennungsraten der eingesetzten Lösung. Ebenso wichtig ist der nachgewiesene lückenlose Einsatz und die Aktualität der eingesetzten Software.
Das ULD wird regelmäßig um Beratung beim Einsatz und bei der Planung von Antivirenlösungen gebeten. Während die Erkennungsraten bei vielen am Markt erhältlichen Produkten hinreichend gut sind, ist gerade die zentrale Administration und Konfiguration für eine Vielzahl von Clients immer noch ein Schwachpunkt. Das ULD hat hierfür die folgenden Erfolgsfaktoren herausgearbeitet:
- Alle relevanten Einstellungen und Berichte müssen an einer zentralen Stelle getätigt werden können; eine Bearbeitung von Einstellungen auf einzelnen Rechnern ist fehlerträchtig und nicht mehr zeitgemäß.
- Alarmierungen müssen an dieser zentralen Stelle auflaufen und dürfen nicht nur dem Endbenutzer angezeigt werden.
- Nicht nur der Status aller mit Antivirensoftware versorgten Geräte muss zentral abrufbar sein, es muss auch zentral festgestellt werden können, welche Geräte im Verwaltungsnetz nicht mit einem aktuellen Virenscanner versehen sind.
- Das Installieren der Antivirensoftware und die Verteilung der üblicherweise tagesaktuellen Updates muss automatisiert erfolgen.
Wegen der aktuellen Bedrohung durch Viren, Würmer und Trojaner ist eine ordnungsgemäße Datenverarbeitung ohne zentrales Antivirenmanagement nur in wenigen untypischen Ausnahmefällen möglich.
Was ist zu tun?
IT-Verantwortliche müssen prüfen, ob sie eine hinreichende zentrale Verwaltung und Kontrolle ihrer Antivirenlösung implementiert haben.
10.3 Sicherheit im lokalen Netz
Die Sicherheit der lokalen, also organisationsinternen Netzwerke entwickelt sich mehr und mehr zum Schwachpunkt von organisationsübergreifenden IT-Verfahren. Im IT-Labor hat das ULD mehrere technische Maßnahmen zur Absicherung getestet. Häufig sind die Bausteine schon vorhanden, man muss sie nur geeignet zusammensetzen.
Die in aktuellen Kommunikationsnetzen verwendeten Protokolle sind im Vertrauen darauf erstellt, dass nur vertrauenswürdige Personen direkten Zugang zum internen Netzwerk einer Organisation haben. Während gegen Angriffe aus anderen Netzwerken, z. B. dem Internet, häufig angemessene Sicherheitsmaßnahmen wie der Einsatz von Firewallsystemen getroffen werden, sind die internen Netze häufig ungeschützt. Das Innentäterszenario, also ein Angriff von innen, wird häufig in der Sicherheitskonzeption und Risikoanalyse nicht ausreichend betrachtet.
Durch Designschwächen in den verwendeten Netzwerkprotokollen ist es mit handelsüblichen Rechnern und frei verfügbarer Software oft möglich, ein organisationsinternes Netzwerk mit schon seit Jahren bekannten Angriffsmethoden zu kompromittieren. Das hierfür notwendige technische Wissen ist eher gering; den meisten Programmen liegen detaillierte Anleitungen bei. Ein Angreifer kann sowohl Daten passiv mitlesen (Verlust der Vertraulichkeit der Daten) als auch Daten aktiv verändern (Verlust der Integrität der Daten). Selbst wenn diese Angriffe nicht erfolgreich sind, so kann das Netzwerk so stark gestört werden, dass keine Daten mehr abgerufen werden können (Verlust der Verfügbarkeit).
Die beste Wahl zur Absicherung ist die Nutzung von Fachverfahren, die z. B. durch Verschlüsselung eine Ende-zu-Ende-Sicherheit aufbauen. Sobald nur die berechtigten Kommunikationspartner, nicht aber der „Mann in der Mitte“ die Daten verarbeiten können, laufen viele Angriffe ins Leere. Ist dies nicht möglich, muss die Sicherheit der lokalen Netzwerke durch technische Maßnahmen erhöht werden.
Durch sogenannte Port-Security und MAC-Filter können die Netzwerkzugänge so abgesichert werden, dass zumindest einfache Manipulationen und der Anschluss von fremden Geräten erschwert werden. Gänzlich verhindern lässt sich der unberechtigte Zugriff hiermit nicht, da die hierfür verwendeten Kennungen (MAC-Adressen) sich einfach und vielfach über direkt im Betriebssystem aufrufbare Methoden verändern lassen (sogenanntes MAC-Spoofing).
Nahezu jedes Netzwerk ist heutzutage unzureichend gegen Angriffe gesichert, die die lokale Zuordnung von Rechneradressen zu Netzwerkanschlüssen am Gerät verändern (sogenannte ARP-Attacken). Hiermit ist es möglich, selektiv den Datenfluss zwischen zwei Geräten einzusehen. Dieser Angriff lässt sich nicht verhindern, jedoch zuverlässig erkennen und sollte sofort als Sicherheitsvorfall behandelt werden. Hierzu ist sowohl freie als auch kommerzielle Software erhältlich, die diese Angriffe erkennt und den IT-Sicherheitsbeauftragten oder Datenschutzbeauftragten benachrichtigt.
Eine wirksame Absicherung des lokalen Netzes gegenüber unerlaubt eingebrachte Fremdgeräte ist eine Geräteauthentifizierung mittels 802.1x. In einem Verzeichnisdienst sind sämtliche verwendeten und von der Systemadministration freigegebenen Geräte verzeichnet. Beim Anschluss eines Gerätes wird abgefragt, ob das Gerät bekannt und zugelassen ist. Nicht freigegebene Geräte werden zurückgewiesen. Gerade in Verbindung mit dem weitverbreiteten Active Directory und aktueller Netzwerkinfrastuktur kann dies einfach und schnell realisiert werden.
Mehrere uns vorgetragene Anfragen und von uns im Auftrag durchgeführte Penetrationstests zeigen, dass dieses Thema aktueller denn je ist. Bei vielen lokalen Netzen sind immer noch zusätzliche Sicherheitsmaßnahmen dringend nötig.
Was ist zu tun?
IT-Leiter müssen prüfen, ob sie z. B. 802.1x in Verbindung mit einem Active Directory einsetzen können. Bei Neubeschaffungen muss darauf geachtet werden, dass die Geräte aktuelle Authentifizierungsmechanismen oder einen verschlüsselten Transport der Daten übers Netzwerk unterstützen.
10.4 Sicherheit bei Netzwerkgeräten
Die Zugänge zu sämtlichen aktiven Komponenten im Netzwerk müssen mit Benutzername und Passwort gesichert werden. Die Sicherheit eines Netzwerkes ist abhängig von der Verwaltung dieser Zugänge. Eine einfache Möglichkeit für eine sichere zentrale Verwaltung bietet sich mit sogenannten AAA-Servern.
Schon in einem kleineren Netzwerk befinden sich Dutzende aktiver Komponenten, z. B. Switches, Router und Firewalls. Diese werden meist einfach per Benutzername und Passwort abgesichert. Häufig stellen wir fest, dass für alle Geräte nur ein globales Administrationspasswort eingerichtet wurde, welches zudem noch nie geändert wurde. Gerade bei Geräten wie Firewalls und Switches, die für die Sicherheit im Netzwerk wichtig sind, ist dieses Vorgehen nicht akzeptabel.
Für dieses Problem existiert schon seit längerer Zeit eine sichere, bisher wenig genutzte Alternative. Mithilfe sogenannter AAA-Server (Authentifizierung, Autorisierung und Accounting, auch Triple-A-Systeme genannt) können Benutzer und Berechtigungen an einer zentralen Stelle für das gesamte Netzwerk festgelegt werden. In vielen Bereichen leicht zu implementieren ist der Microsoft IAS, der die Benutzerdaten mit dem Active Directory abgleichen kann. Der Aufwand, dedizierte Passwörter und Benutzerdaten zu pflegen, entfällt somit vollständig.
Ein weiterer großer Vorteil von AAA ist die Möglichkeit, administrative Tätigkeiten an der Infrastruktur vollständig zu protokollieren. Somit lässt sich jederzeit nachvollziehen, wer sich wann auf welchen Geräten eingeloggt und welche sicherheitskritischen Änderungen durchgeführt hat.
Was ist zu tun?
Über AAA-Server können aktive Komponenten im Netzwerk einfach und sicher verwaltet werden. Auch günstige Geräte unterstützen die Protokolle hierfür seit Langem; teilweise sind AAA-Server kostenlos verfügbar. IT-Verantwortliche sollten diese zusätzlichen Sicherheitsfunktionen nutzen.
10.5 Softwarevirtualisierung
Sicherheit gewinnen und dabei die Effizienz steigern? Diese verlockende Versprechung wird mit der Virtualisierung von Programmen oder ganzen Servern wahr. Software wird dabei in virtuelle Kapseln geschlossen, damit Schädlinge kein allzu großes Unheil anrichten können. Nebenbei kann die Technologie die Arbeit für Administratoren erheblich erleichtern.
Unter Virtualisierung von Software versteht man die logische Trennung eines Programms vom zugrunde liegenden Betriebssystem. Dabei wird das Programm nicht direkt im Betriebssystem ausgeführt, sondern es werden mithilfe einer Abstraktionsschicht alle Zugriffe abgefangen, die das Programm auf das Betriebssystem vornimmt. Eine auf diese Weise virtualisierte Software hat also keinen direkten Zugriff auf die Ressourcen des Computers. Wird dieses Verfahren für ein einzelnes Programm angewandt, spricht man von einer Sandbox. Es lassen sich ganze Betriebssysteme virtualisieren, sodass auf einem einzelnen Rechner mehrere sogenannte „virtuelle Maschinen“ laufen können, die allesamt unter der Ägide der Virtualisierungssoftware stehen. Der Vorteil liegt nicht nur in einer erhöhten Sicherheit, sondern auch in der deutlich effizienteren Hardwarenutzung, da auf einem einzigen Computer virtuell mehrere Maschinen laufen können und so die Anschaffung weiterer Hardware vermieden werden kann.
Jüngst hat sich der Markt für Virtualisierungslösungen stark verändert. Sowohl Software für virtuelle Maschinen als auch Sandbox-Programme sind in verschiedensten Ausführungen verfügbar, professionelle Lösungen sind teilweise kostenlos erhältlich. Dabei sind zum Erreichen eines höheren Sicherheitsniveaus vor allem Lösungen zur Applikationsvirtualisierung interessant. So kann der Internetbrowser in eine Sandbox eingeschlossen werden. Da sämtliche Zugriffe des Browsers auf das System von der Virtualisierungssoftware abgefangen werden, kann dem Browser eine definierte Rechnerumgebung vorgegaukelt werden. Dabei unterscheidet sich dieser Ansatz grundlegend vom klassischen Berechtigungskonzept, denn dort ist eine verbotene Ressource immerhin sichtbar. In einer virtuellen Umgebung „sieht“ die darin befindliche Applikation hingegen nur genau die Bereiche, auf die sie zugreifen darf – alles andere existiert innerhalb der Sandbox nicht.
In einer idealen Umgebung wären alle Applikationen voneinander abgekapselt, sodass ein Angreifer, der beispielsweise den Browser unter seine Kontrolle bringt, weder Daten noch andere Programme erreichen kann. Angriffe wie auch Softwarefehler würden so stets ausschließlich das jeweilige Programm sowie den dazugehörigen Datenbestand betreffen. In der Praxis ist jedoch eine vollständige Kapselung nicht möglich, z. B. wenn Dokumente sowohl mit der Textverarbeitung bearbeitet als auch mit dem Browser über einen Webmailer verschickt werden sollen. Daher erhalten die gekapselten Programme in der Regel Zugriff auf den gesamten Datenbestand des Rechners. Ein Datenabfluss kann durch Virtualisierung also in der Regel nicht verhindert werden. Trotzdem hebt die Softwarekapselung das allgemeine Sicherheitsniveau; eine komplette Übernahme eines Rechners wird deutlich erschwert. Ein Angreifer, dem es gelingt, eine Applikation zu übernehmen, hat damit lediglich die Kontrolle über die jeweilige Sandbox. Dies ist vor allem im Hinblick auf Webbrowser relevant, die ein Hauptangriffspunkt bei vernetzten Computern sind. Werden aktive Inhalte wie JavaScript zugelassen, ist eine Kapselung des Browsers dringend geboten, um das Risiko einer Ausnutzung von Sicherheitslücken zu begrenzen.
Interessant sind auch Virtualisierungslösungen, die Softwarepakete verwalten können. Neben dem Sicherheitsgewinn steht hier der Vorteil einer deutlich erleichterten Auslieferung und Wartung von Applikationen. Virtualisierte Anwendungen lassen sich als Paket auf andere Rechner übertragen, auf denen die gleiche Virtualisierungssoftware läuft. Da die virtuellen Umgebungen jeweils immer identisch sind, kann ein Softwarepaket direkt auf Einzel-PCs übertragen werden, ohne dass auf die spezifische Hard- und Software vor Ort Rücksicht genommen werden muss. Eine aufwendige Installation und Konfiguration entfällt, was den Ausrollprozess einfacher und effizienter macht. Änderungen an der Konfiguration oder umfassende Softwareupdates lassen sich so zentral vorbereiten und bei Bedarf auf die einzelnen Rechner übertragen.
Was ist zu tun?
Unter den Aspekten Sicherheit und Effizienz stellt Virtualisierung von Servern und einzelnen Applikationen eine interessante Lösung dar. Internetanwendungen sollten nach Möglichkeit in einer Sandbox gekapselt werden, vor allem wenn aktive Inhalte zugelassen werden.
10.6 Google Text und Tabellen
Internetdienste bieten neuerdings Online-Anwendungen, die den heimischen PC beinahe überflüssig machen. Dokumente lassen sich direkt im Browser auf Servern im Internet bearbeiten. Keine Software muss installiert werden, und die Dokumente sind an jedem Internetanschluss verfügbar.
Eine relativ neue Spielart des viel beschworenen „Web 2.0“ stellen klassische Anwendungsprogramme dar, deren Arbeit nun auf das Internet übertragen wird. Unter dem Begriff „Software-as-a-Service“ werden solche Dienste vermarktet. Anwendungen laufen nicht mehr auf dem lokalen PC des Nutzers, sondern werden vom Serviceanbieter in Form einer leistungsfähigen Webseite bereitgestellt und beim Nutzer im Internetbrowser angezeigt. Office-Anwendungen wie Textverarbeitung und Tabellenkalkulation sind die prominentesten Beispiele, aber auch umfangreiche Bildbearbeitung ist so möglich. Dokumente online zu bearbeiten und zu speichern, um jederzeit von jedem Rechner darauf zugreifen zu können, klingt für viele Nutzer verlockend.
Auch Google fand die Idee reizvoll und erwarb Anfang 2006 die Online-Textverarbeitung Writely. Inzwischen ist der Dienst unter dem Namen „Google Docs“ bzw. „Google Text und Tabellen“ ins umfangreiche Portfolio des Unternehmens integriert und wird sogar von IT-Beratern empfohlen. Die Vorteile von derlei Software-as-a-Service-Produkten sind offensichtlich: Dokumente immer im Zugriff zu haben und dabei nicht auf teure Hardware oder Anwendungsprogramme zurückgreifen zu müssen, ist nicht nur für Unternehmen ökonomisch einleuchtend. Kollaboration wird massiv vereinfacht; die Arbeit wird flexibler; kurz: die Kosten sinken. Die Schattenseiten dieser Dienste sind hingegen nicht ganz so augenfällig. Sie verstecken sich in technischem und juristischem Gestrüpp.
Wer Google Text und Tabellen benutzt, speichert seine erstellten und bearbeiteten Dokumente nicht auf seinem eigenen Computer; dort wären sie nicht universell verfügbar. Stattdessen werden die Dokumente auf Google-Servern abgelegt. Diese gespeicherten Daten sind zunächst nicht öffentlich verfügbar, sondern liegen nur im Zugriffsbereich des eigenen Nutzerkontos. Aus technischer Sicht hat jedoch Google freien Zugriff auf so gespeicherte Dokumente.
Im September 2007 gab es einige Aufregung um Google Text und Tabellen, als bekannt wurde, dass das Unternehmen sich selbst Rechte zur Nutzung und Weiterverarbeitung der eingestellten Dokumente einräumte. Es stellte sich jedoch heraus, dass es sich bei den zitierten Fundstellen schlicht um Übersetzungsfehler handelte. Die Google eingeräumten Rechte beziehen sich auf die notwendige Datenverarbeitung, um dem Nutzer seine Dokumente überhaupt anzeigen zu können. Das Urheberrecht und die Verantwortlichkeit verbleiben vollständig bei den Nutzern. Trotzdem waren diese verunsichert; tatsächlich macht sich kaum jemand Gedanken, welche Konsequenzen die Nutzung von Online-Applikationen hat. Ähnlich wie bei Googles E-Mail-Dienst (27. TB, Tz. 10.6; 29. TB, Tz. 10.9) müssen sich Nutzer bewusst sein, dass ihre persönlichen Dokumente technisch gesehen vollständig in der Verfügungsgewalt von Google sind. Die Analyse der Dokumente, die Google bei seinem Maildienst praktiziert, wird im Fall von Google Text und Tabellen offensichtlich nicht angewandt, technisch möglich wäre sie.
Das Nutzerverhalten wird von Google schon jetzt umfangreich analysiert, wie die allgemeine Datenschutzerklärung darlegt, die auch für Google Text und Tabellen gilt:„Google records information such as account activity (e.g. storage usage, number of log-ins, actions taken), data displayed or clicked on (e.g. UI elements, links), and other log information (e.g. browser type, IP address, date and time of access, cookie ID, referrer URL).“
www.google.com/google-d-s/privacy.html
Auch wenn Google bislang die gespeicherten Dokumente nicht auswertet: Die genannten persönlichen Nutzungsdaten werden auch im Kontext von Googles „Text und Tabellen“ gesammelt, also wer wie lange und von welchem Rechner aus an einem Dokument gearbeitet hat. So lassen sich Arbeitsgruppen und soziale Netzwerke der Nutzer erkennen. Ein Zugriff von US-Sicherheitsbehörden, auch Geheimdiensten, auf die online gespeicherten Dokumente ist denkbar.
Dies gilt nicht nur für Google, sondern für alle Online-Dienste. Die Nutzungsdaten fallen neben den eigentlichen Dokumenten immer an, sodass eine entsprechende Auswertung leicht möglich ist. Bei Google kommt jedoch die leichte Verknüpfbarkeit dieser Informationen mit Daten hinzu, die Google aus seinen anderen Diensten gewinnt. Die größte Skepsis sollte jedoch dem Zugriff auf die Klartextdokumente gelten: Will man wirklich Briefe, Berichte und Kalkulationen in die Hände eines Dienstleisters geben? Eine wirkliche Kontrolle hat man über online gespeicherte Dokumente nicht mehr. Man ist vielmehr abhängig von der Qualität der Dienstleistung und der Sorgfalt des Anbieters. Dieser Umstand konkretisiert sich bei Google Text und Tabellen z. B. darin: Wer eine online gespeicherte Datei löscht, sollte wissen, dass Kopien seines Dokuments bis zu drei Wochen in den Google-Systemen verbleiben – auf Cache- und Backup-Systemen.
Eine derartige Verarbeitung ist im Grundsatz rechtlich als Auftragsdatenverarbeitung einzustufen. Vor allem für sensible Personendaten und Unternehmensdaten sollte das Gebot gelten, die Bearbeitung mit Online-Anwendungen zu meiden.
Was ist zu tun?
Wer Online-Anwendungen nutzen möchte, muss kritisch abwägen, ob er seine persönlichen oder firmeninternen Dokumente in die Obhut des Dienstleisters abgeben möchte und darf. Sobald personenbezogene Daten Dritter verarbeitet werden, kommen die aktuell verfügbaren Online-Dienste nicht infrage.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |