Sicherheit im Internetzeitalter – für Bürger, Unternehmen, Verwaltung gleichermaßen schwer hinzubekommen!

Im Jahre 1998 gab es eine kleine aber feine Fachkonferenz mit dem Titel „Sicherheitsinfrastrukturen für Wirtschaft und Verwaltung“. Den Tagungsband kann man übrigens bei Amazon heute noch bestellen!

Was damals über „Penetrationstests in Unternehmen (Einbruch im Auftrag)“ vorgetragen wurde, das ist heute noch aktuell. Die Methoden und Möglichkeiten haben sich allerdings verfeinert und definitiv vergrößert.

"Präsident Obama" (Quelle:  Wikipedia  / Author: Pete Souza / Lizenz: public domain)

Vor 15 Jahren konnten sich IT-Abteilungen mit Sicherheits-überlegungen noch durchsetzen. Heute werden in etlichen Firmen Bureau-Anwendungen von Google eingesetzt. Die Cloud gewinnt mit Kostenargumenten. Wer Konstruktionspläne per E-Mail verschickt, der ist übrigens ein bißchen doof.

Vor 15 Jahren gab es noch keine Smartphones und sicherlich kein Facebook. Heute veröffentlicht die sogenannte Generation Y jedes noch so private Detail. Klarnamen, Geburtsgewicht oder sexuelle Präferenzen werden bedenkenlos veröffentlicht. Zugegeben! Diese Geräte und diese Anwendungen sind einfach wunderschön gestaltete Spielzeuge.

Nehmen wir einen Firmen-arbeitsplatz oder den des Bürgers zu Hause. Da steht ein PC oder ein Laptop und da seien ein Festnetztelefon und ein Internetanschluß! 

Wie kann man attackieren?

● Das Opfer nutzt das Internet! Damit kann das Zielobjekt durch Sniffer, Trojaner oder Viren infiziert werden.

● Das Zielunternehmen hat ein internes Rechnernetzwerk! Das kann man z.B. bei Wartungsarbeiten infiltrieren.

● Das Zielobjekt hat eine TK-Anlage (Festnetz, ISDN, Lovephone)! Da sitzt man mit im Raum und hört zu oder fängt einfach die Datenübertragung ab! Eve ist immer mit dabei!

● Das Zielobjekt hat also einen Laptop oder ein Smartphone? Was ist denn in dem Gerät so alles installiert? Was zeigt der Task-Manager überhaupt an?

● Gibt es unzufriedene oder mitteilsame Menschen bei einem Zielunternehmen? Dann kommt Social Engineering ins Spiel! Ich würde Sie zum Beispiel anbaggern.

----

Um aufzuzeigen, was da geht, gehe ich hier nur zwei Beispielen nach.

Die TK-Anlage! Das Telefon an sich!

● TK-Anlagen haben einen Wartungszugang! Den kennt nicht nur der Hersteller! Man kann Smartphones quasi heimlich anrufen, ohne dass das der Besitzer mitbekommt! Es erklingt kein Anrufsignal, das Display leuchtet nicht auf und man muß das Gespräch nicht annehmen. Die Verbindung wird trotzdem aufgebaut! Nun raten Sie mal, warum eine solche Funktion überhaupt in der Betriebssystemsoftware der Hersteller vorgesehen ist?

● Ganz ähnlich gestrickt ist der Angriff auf die Fernabfragen, die moderne Telefone erlauben!

● Mindestens bei ISDN-Anlagen gibt es riskante Funktionen auf Betriebssystemebene, die auch mal unsauber programmiert worden sein können. Kennt man: Weiterleitung, Dreierkonferenz, Mithören oder z.B. Raumüberwachung!

Klar! Solche Funktionalitäten ergeben Sinn. Nur darf man es einem Angreifer nicht übel nehmen, wenn er bei einer Dreierkonferenz der Vierte sein möchte! Man kann halt alles ausnutzen. Das sieht das BSI im Hinblick auf schnurlose Telephone wohl ebenso. Hier ein Warnhinweis bezüglich DECT-Telephonen.

----

Angriffe über das Internet!

● Eine Firewall soll Angriffe von außen verhindern! Gut funktionierende Systeme sind physikalisch arbeitende Systeme!

Warum das? Jede Software beinhaltet Fehler. Jede höhere Programmiersprache, wie C++ wird über (z.B.) Compiler auf Hardware-nahe Sprachen wie Assembler herunterübersetzt! Das ist allerdings ein eher surjektiver Prozeß! Es ergeben sich Seiteneffekte. Man kann z.B. einen Stack-Overflow zur Attacke nutzen!

Da alle Firewall-Hersteller ständigen Attacken von findigen Eindringlingswilligen ausgesetzt sind, werden die Schwachstellen der Systeme letztendlich bekannt! Eine alte Regel besagte daher, dass man fünf Firewalls von fünf Herstellern hintereinander schalten sollte, um interne Rechner-Netzwerke ausreichend absichern zu können! Weil! Man bekommt die Attacke mit, die Attacke benötigt Zeit, sie dauert an, sie läuft nicht innerhalb einen Millionstel-Sekunde ab!

Ein Normalbürger mit einem Rechner, der Microsoft liebt, der hat eine einzige Software-Firewall. Das kann nicht klappen!

● Man führe niemanden in Versuchung! Trotzdem! Im Buchhandel kann man das Buch „hacker’s guide“ erwerben. Und wenn man in der Lage ist, ein solches Buch zu bestellen, dann ist man auch in der Lage, im Internet ein Tool zu finden, dass einem hilft, Viren zu basteln.

Ich rate davon ab, letzteres zu tun! Wer eine solche Seite aufsucht, hat danach garantiert etwas auf dem eigenen Rechner installiert, was Kaspersky nicht entdecken wird!

----

Sollte man alle Hoffnung fahren lassen? Ja und Nein! Sicherheit ist immer relativ! Es kommt auf den Aufwand an, den ein Angreifer zu erbringen hat!

Gegen Angriffe der NSA kann man sich nicht schützen! Man betrachte aber einfach die Welt der Fahrraddiebe! Wenn man sein Fahrrad mit fünf Schlössern von fünf Herstellern sichert, dann droht vielleicht Vandalismus aber selten ein Totalverlust des Drahtesels! Es kommt auf den Aufwand an, den ein Dieb beim Knacken eines Systems zu überwinden hat! Und glücklicherweise sind ja eigentliche alle Bürger eher unwichtig. Bei Unternehmen sieht das natürlich anders aus!

----

Was sollte man mindestens tun?

● Für Bürger gilt, dass man im Internet keine Klarnamen verwenden darf! „Pusteblume_55“ ist besser als „Markus_Brandl_wohnhaft_in_14123_Berlin“.

Man überlege sich Fakes für die Attribute, die von den Social Medias verlangt werden! Ausreichend viele User der Online-Datingbörsen kennen das Prinzip. Dort wird aus einem 36-jährigen Schlaffi all zu oft ein 29-jähriger Tarzan!

Man bedenke, dass die IP-Adressen der Rechner gespeichert werden, von denen man sich einloggt! Egal wo man ist, der virtuelle und der physikalische Ort sind bekannt. Man vermeide schlicht, gleich ALLES von sich zu offenbaren!

Online Pornos zu schauen, das ist ein geiles aber dummes Hobby!

● Firmen, die in die Cloud gehen, die gehören in die NSA-Insolvenz!

● Für Unternehmen und für die Verwaltung gilt der Grundsatz, dass man zwei separierte Rechnersysteme benötigt!

Sensible Daten MUSS man auf Rechnern halten und verschlüsseln, die physikalisch KEINE Verbindung zu einer Telefonanlage oder dem Internet haben können!

Der Zugang zum offenen Internet muß durch physikalische Firewalls (in Reihe) geschützt werden. Man beschäftige Profis in der IT-Abteilung! Selbst Schüler können sich heute in ein Internet-Café setzen und zu oft mit Erfolg Trottellummen angreifen.

Daten MÜSSEN mit physikalischen Speichermedien (Stick oder Festplatte) zwischen den Systemen überreicht werden! Bei JEDEM Austausch MUSS man diese Speicher auf ihre Sischerheit prüfen! Man nutze deutsche Tools!

● Man benutze die PGP-Welt! Besser das als gar nüscht! Zu knacken ist bei Verwaltungen auch das! Es kommt auf den Aufwand an! Moderne Entschlüsselungs-Cracker suchen vor einem Brute-Force-Vorgehen nach Mustern im Hexa-Brei einer verschlüsselten Nachricht! Enigma halt!

----

Nun, der Blogger hat die Welt der „Hochsicherheit“ seit Jahren satt! Den Blogger interessiert es nicht mehr, dass der BND (noch aus Pullach) im Münchener Einwohneramt einen separaten Raum hat(te), um Originalausweispapiere anfertigen lassen zu können. 500.000.000.000 abgefangene Metadaten pro Monat seitens der NSA im Feindesland Deutschland, das geht dem Blogger allerdings ein wenig zu weit!

Der Blogger verkauft da allerdings lieber weiterhin alles, was des Herrgotts schöne Welt hervorgebracht hat!