Absicherung unternehmenskritischer Webapplikationen

Webapplikationen gewinnen für Unternehmen immer mehr an Bedeutung und sind zunehmend als unternehmenskritisch einzustufen. In Zukunft wird sich dies noch mehr steigern, da immer mehr Applikationen, die herkömmlich einen lokal installierten Client erforderten, als Webapplikationen und somit als zentraler Dienst zur Verfügung gestellt werden. Da diese Art der Bereitstellung deutliche Vorteile gegenüber traditionellen Client/Server Anwendungen bieten, wird sich dieser Trend weiter fortsetzen. Durch diese Änderung in der Applikationslandschaft müssen auch die Sicherheitsmechanismen entsprechend angepasst werden.

Der breite Einsatz von Webapplikationen verändert viele Bereiche in der IT und macht somit eine neue Bewertung der geänderten Situation erforderlich. Es ist keine Frage, ob sich die Webapplikationen durchsetzen werden oder nicht, sondern nur, wann es denn so weit sein wird. Als Verantwortlicher im Bereich der Client Infrastruktur oder des End User Computing ergeben sich gleich mehrere Vorteile, wenn lokal installierte Applikationen auf dem Client nicht mehr benötigt werden. Die Aufwände für das Ausrollen der Anwendung und deren stetige Aktualisierung werden schlagartig obsolet und es ist nur noch eine Konzentration auf das Betriebssystem und den Browser notwendig, der für den Zugriff auf die Webapplikation benötigt wird. Da Microsoft mit ihrem Edge Browser einen neuen Weg eingeschlagen hat und in Zukunft die Chromium-Engine verwendet, ist es vorstellbar, dass ein Windows System „out of the box“ direkt vom Benutzer verwendet werden kann, ohne, dass die IT noch eine große Menge an zusätzlichen Installationspakete auf das System ausbringen muss. Dies alles spart sehr viel Zeit und macht auch einen Client schlanker und zugleich dadurch auch sicherer, da er weniger Angriffsfläche für Cyber Attacken bietet. Denn gerade Software von Drittanbietern, wie Adobe Acrobat oder Reader, Oracle Java, 7-zip & Co. sind oft Einfallstore für Schadcode. Denk man hier aber nur etwas weiter, so öffnet sich die Tür für eine andere Art von Clients, die vielleicht gar nicht mehr auf Windows basieren, was BYOD Szenarien einfacher möglich macht oder auch von Apps für mobiler Device mehr als nur ein kleiner Spalt, gegenüber denjenigen Clients, die eine IT normalerweise bereitstellt und die zugleich den Nachteil haben, dass mit ihnen viele neue Konzepte einfach nicht umsetzbar sind. Läuft die Applikation im Browser sind auch lokal auf dem System keine Daten im herkömmlichen Sinne mehr gespeichert. Dies spielt wieder weit in das Thema IT Sicherheit und Datenschutz respektive DSGVO mit hinein, vor allen auch deshalb, weil es mit Webapplikationen sehr einfach zu protokollieren ist, wer wann auf welche Daten wie zugegriffen hat. Sollte es einen für die DSGVO relevanten Datenabfluss geben, lässt es sich ebenfalls viel einfacher nachvollziehen, welche Daten betroffen sind und welchen Umfang der Vorfall hatte. Damit ist man direkt im Thema DSGVO und Meldepflichten angekommen, was für sehr viele eine sehr große Herausforderung darstellt. Um nun wieder die Kurve Richtung Absicherung zu bekommen, spielt das Thema Remote oder VPN Zugang zum Unternehmen eine wichtige Rolle. Ein vollwertiges VPN mit einer Netzwerkkopplung zwischen einem externen Client und dem Unternehmensnetzwerk ist viel schwieriger abzusichern und somit komplexer und fehleranfälliger gegenüber einer einzelnen Applikationsverbindung. Mit einem VPN in Form einer Netzwerkkopplung öffnet man das Unternehmensnetzwerk gezwungenermaßen in Richtung des Clients. Oft hat man hier als Verantwortlicher auch keine große Wahl, da der Client entsprechende Verbindungen zum AD benötigt und die lokal installierten Anwendungen dann direkt mit den Serversystemen und Datenbanken kommunizieren müssen. Bei einer Webapplikation hingegen benötigt man nur https und ggf. http für den Redirect. Die Verschlüsselung eines VPN’s und einer https-Verbindung basiert schlussendlich auf der gleichen Basis von AES Verschlüsselung, elliptischen Kurven und Prüfsummen. Daher ist die Diskussion welcher Zugang der sicherere ist, ebenfalls obsolet und vor allem dann, wenn statt IPSec ein SSLVPN zum Einsatz kommt. Der Mehrwert bei der Absicherung kommt auch bei der Serverumgebung zum Tragen. Hier lässt sich durch die klaren Strukturen von Applikationsservern, ggf. einer Middelware, den Datenbankservern und den Frontend Systemen, wie Reverse Proxies usw. ein sehr einfaches und zugleich sehr effektives Regelwerk mit Firewalls erstellen um die jeweiligen Systeme entsprechend vor unerwünschten Zugriffen zu schützen. Bei einer klassischen Client/Server Umgebung muss der Zugriff auf die Server von jedem Client aus erlaubt sein, damit die Anwendung funktioniert. Gegenüber der Webapplikation ist diese Angriffsfläche so zu sagen eher riesig, statt minimal. Ein gutes Beispiel hierfür sind Datenbankserver, die immer wieder von massiven Sicherheitsproblemen betroffen sind. Da die Datenbank mehr oder weniger von jedem Client direkt angesprochen werden kann, müsste diese sofort aktualisiert werden, was aber in den meisten Fällen im normalen Betrieb überhaupt nicht möglich ist. Bei einer Webapplikation hingegen hat ein normaler Client gar keinen direkten Zugriff auf die Datenbank und diese ist somit durch einen Client gar nicht erst angreifbar. Dies verschafft der IT Zeit ein entsprechendes Wartungsfenster für die Aktualisierung zu planen ohne die Sicherheit der Daten so massiv zu gefährden, als hätte jeder die Möglichkeit nun diese Sicherheitslücke auszunutzen. Das Thema der Webapplikationen hält daher viele Synergieeffekte bereit, die die vermeintlichen Nachteile dieser Art der Applikationsbereitstellung überwiegen. Denn häufig hört man das Argument, dass man um Arbeiten zu können online sein muss. Aber wenn man hier ganz ehrlich ist, dann ist dies doch der Normalzustand und für den Remote Zugriff gibt es sowieso keine andere Option. Dies gilt auch für die Zusammenarbeit mit Kunden und Partnern, ohne online zu sein, ist hier ebenfalls nichts mehr möglich. Noch nicht mal mehr telefonieren, da der SIP Trunk auch auf einer Kommunikation per IP-Protokoll basiert.

Unternehmen, die diesen Weg der Applikationsbereitstellung weitergehen, müssen sich Gedanken machen, wie man die so über das Internet bereitgestellte Applikationen entsprechend absichert. Vielen ist es wahrscheinlich gar nicht bewusst, aber diese Art Anwendungen bereitzustellen, wird von den meisten seit mehr als zehn Jahren schon gemacht – Outlook-Web-Access oder jetzt Outlook-Web-App (OWA), Outlook Anywhere und ActiveSync wird per https über das Internet für die Mitarbeiter bereitgestellt, damit diese mit ihren mobilen Geräten Zugriff auf ihre Mails, Kontakte und Kalender haben. Dabei spielt es gar keine Rolle ob der Exchange in Eigenregie oder in der Public Cloud läuft, der Weg dorthin ist immer https und somit ist es eine Webapplikation. Die Vorteile von überall an seine Mails, Termine und Aufgaben zu kommen, will keiner mehr abgeben und daher ist es nur eine Frage der Zeit, bis die anderen Anwendungen ebenfalls nur noch auf diesem Weg genutzt werden. Aber dieser Weg benötigt eine für den Betrieb ausreichende Sicherheit und eine entsprechende Absicherung der Anwendung selbst. Die gute Nachricht ist, dass es auf dem IT Markt Produkte gibt, die genau dazu in der Lage sind. Es steht alles zur Verfügung, man muss die vorhandenen Produkte nur entsprechend einsetzen. Wer Applikationen so bereitstellt, muss Systeme wie Web Application Firewalls (WAF), Application Delivery Controller (ADC), Intrusion Prevention System (IPS) sowie Reverse Proxies und Load Balancer ebenso selbstverständlich einsetzen wie Firewalls zur Absicherung der Netzwerksegmente. Grundsätzlich gehört aber auch ein Netzwerk- und Segmentierungskonzept mit dazu, dass die verschieden Systeme zu deren Schutz in unterschiedlichen Bereiche (Zonen) passend aufteilt. Ein solches Konzept muss auch die zukünftige Skalierbarkeit der Applikation berücksichtigen. Ein gutes Beispiel für eine solche Eigendynamik sind Intranet Lösungen oder Plattformen für den Austausch von Dateien. Häufig beginnen solche Projekte mit einer kleinen Anfrage aus einer Fachabteilung für die Bereitstellung entsprechender Webapplikationen im Rahmen eines Kundenprojektes oder für die Zusammenarbeit mit einem Partner. Bei allen Beteiligten zeigen sich sehr schnell die Vorteile von diesen Anwendungen und deren einfache Erreichbarkeit ohne aufwendiges bereitstellen von VPN Zugängen für interne und externe Benutzer. Es dauert dann meist nicht lange, bis die Eigendynamik ins Spiel kommt und immer mehr Abteilungen und externe Benutzer die Anwendungen verwenden bis schlussendlich das komplette Unternehmen dies tut. Spätestens zu diesem Zeitpunkt werden die Anwendungen dann unternehmenskritisch, denn bei einem Ausfall hat dies einen direkten Einfluss auf die Produktivität. Daher ist es sehr ratsam von Anfang an auf die Skalierbarkeit der jeweiligen Anwendung zu achten, weil es auf einmal für die IT Abteilung sehr schnell gehen kann, diese Anwendungen einer größeren Anzahl von Anwendern für das parallele Arbeiten auf diesen Systemen bereitstellen zu müssen. Designfehler von Quick’n Dirty Installationen lassen sich später nur mit großem Aufwand wieder beheben, meist es ist eine komplette Restrukturierung der Applikation mit aufwendiger Übernahme der vorhandenen Daten. Vor allem bietet ein durchdachtes Design von Anfang an überhaupt erst die Möglichkeit Webapplikationen entsprechend abgesichert bereitzustellen. Bei selbst entwickelten Applikationen müssen alle Abteilungen, wie Software Entwicklung, Netzwerk, IT Sicherheit, Serversysteme, Infrastruktur usw. von Anfang an zusammenarbeiten. Es ist sehr wichtig, dass Trennungen zwischen Frontend, Backend, Datenbanken usw. existieren und auch neuen Möglichkeiten wie Microservices und Container berücksichtigt werden. Der Einsatz von Reverse Proxy Diensten bzw. ADC’s in Kombination mit Schutz vor DoS Angriffen auf die Applikation sowie einer WAF und einem IPS ist mehr oder weniger Pflicht für den Betrieb von Webapplikationen die öffentlich erreichbar sind und auch sein müssen, damit die ganzen Vorteile auch zum Tragen kommen. Diese öffentliche Erreichbarkeit führt dann direkt zum nächsten Schritt der Absicherung. Wie authentifiziert man zuverlässig seine Benutzer und wie schützt man sich gegen den Missbrauch und Brute Force Attacken. Hier bieten sich SAML bzw. Single Sign On (SSO) Anmeldung auf Basis einer Zwei-Faktor-Authentifizierung (2FA) an. Aber auch hier gibt es geeignete Dienste und Produkte, die nur eingesetzt werden müssen. Der Einsatz einer 2FA für die eigenen Mitarbeiter ist noch relativ einfach umzusetzen, da man es hier einfacher hat eine entsprechende Lösung umzusetzen. Etwas schwieriger wird es bei externen Benutzern, die aber auch Zugriff auf die Anwendungen haben müssen. Hier sollte man sich entsprechende Gedanken machen, wie es auch für die externen Benutzer praktikabel ist, sich mit einer 2FA anmelden zu können. Vor allem sollte einem hier Bewusst sein, dass u.U. der externe Mitarbeiter mehr als nur einen Account mit einer 2FA hat. Demzufolge ist der Einsatz von Hardware Token oft schwierig. Einfacher ist es die 2FA ggf. mit einer App für das Mobiltelefon bereitzustellen, hier muss jedoch geklärt werden, ob der Mitarbeiter diese überhaupt auf sein Dienstgerät installieren darf. Eine Absprache mit der jeweiligen IT kann viel dazu beitragen, schnell eine Lösung herbeizuführen. Hat man diese Probleme alle erfolgreich gelöst, sind noch ein paar Punkte offen, die es zu bedenken gilt. Dazu gehören das Monitoring und die Anomalie Erkennung und ein entsprechendes Update Konzept für die Server, die Anwendungskomponenten und die Sicherheitssysteme selbst. Eine solche Anwendung steht exponiert im Internet zur Verfügung, was sie ja auch sein muss, denn sonst hätten die Benutzer ja keinen Zugriff auf diese. Demzufolge ist die Anwendung des ganz normalen Wahnsinns im Internet ausgesetzt. Wer sich im Vorfeld entsprechende Gedanken gemacht hat und seine Anwendung(en) passend bereitstellt, der profitiert von allen Vorteilen, der Webapplikationen und hat sogar deutlich weniger Probleme und Nachteile der klassischen Client/Server Anwendungen, denn als deren Entwicklung begann, hat keiner an eine Bereitstellung über das Internet gedacht. Alles was heute für diese Anwendungen implementiert wird, ist so zu sagen eine Krücke um es überhaupt möglich zu machen. Die Zukunft gehört den Webapplikationen und den RestAPI’s.

Bei Fragen zu Thema stehen wir wie gewohnt zur Verfügung.

 

Einsatz transparenter Firewalls

Der Einsatz transparenter Firewalls in immer komplexeren Umgebung oder zur Erfüllung von Vorgaben ist ein adäquates Mittel zur Umsetzung, ohne eine wirkliche Änderung der Netzwerktopologie durchführen zu müssen. Dies gilt für kleine bis hin zu großen Umgebungen und uneingeschränkt auch für Datacenter. Insbesondere bei Datacentern machen je nach Szenario transparente Firewalls Sinn und dies auch gerade im Zusammenspiel mit VMware’s NSX.

Es gibt sehr viele Anwendungsfälle bei denen der Einsatz transparenter Firewalls wesentlich einfacher ist, als ein gewachsenes Netzwerk in kurzer Zeit umbauen zu müssen. Ein gutes Beispiel hierfür sind Produktionsumgebungen, die durch den Einsatz von Firewalls und IPS besser geschützt werden sollen. Das Cyber Risiko von vernetzten Produktionsanlagen ist in der Vergangenheit gegenüber dem der Office IT überproportional gestiegen. Heute haben immer mehr Angriffe auch oder teilweise nur zum Ziel in Produktionsanlagen einzubrechen. Noch vor ein paar Jahren waren solche Angriffe selten und die Anlagen nicht unbedingt im Fokus der Kriminellen. Dies hat sich aber massiv geändert und nicht zuletzt wurde der Gesetzgeber aktiv und KRITIS verabschiedet, dass kritische Infrastrukturen entsprechend geschützt werden müssen. Der jüngste Lagebericht des BSI zur aktuellen Bedrohungslage zeigt deutlich die immer aggressiveren Angriffe auf die digitale Infrastruktur in Deutschland. Unabhängig davon, ob die Produktionsanlage eine kritische Infrastruktur der Allgemeinheit darstellt, sie ist es aber für die Existenz des jeweiligen Unternehmens und dessen muss sich jeder Anlagenbetreiber bewusst sein. Aus diesem Grund stellt sich die Frage auch nicht, ob eine solche Anlage geschützt werden muss oder nicht. Die Antwort ist ja, natürlich muss eine Produktionsanlage unter allen Umständen geschützt werden. Die Anlage und die vorhandene Netzwerktopologie existiert in den meisten Fällen schon sehr lange. Daher ist eine Restrukturierung oft nur mit hohem Aufwand möglich und hier schließt sich der Kreis – mit einer transparenten Firewall kann eine solche Anlage geschützt werden, ohne die Netzwerktopologie ändern zu müssen. Natürlich kommt eine Komponente mehr hinzu, aber aus Sicht der Kommunikation der vorhandenen Teilnehmer ändert sich nichts, für diese ist die Firewall unsichtbar aber der Schutz trotzdem vorhanden. Ein weitere Vorteil dieses Szenario ist die Möglichkeit die Kommunikation erst einmal zu analysieren, denn in den meisten Fällen, wissen die Betreiber der Anlage oft gar nicht, wie die Kommunikationsmatrix tatsächlich aussieht. Auch wenn erst die Kommunikation analysiert werden muss, kann durch IPS, FlowAV und Botnet Erkennung im ersten Schritt die Sicherheit wesentlich erhöht werden. Bei der Auswahl des richtigen Produkts bzw. Hersteller stehen spezielle IPS Musterdatenbanken für die Protokolle der Prozessleittechnik zur Verfügung. Zum einem gibt es eine Protokollierung der Kommunikation, die in Analysewerkzeuge wie ein SIEM, andere Analyzer oder zumindest in einen Syslog erfolgen kann. Zum anderen die schon angesprochen Schutzfunktionen modernen NextGen Firewall Systeme. Diese Art der Implementierung kann uneingeschränkt für alle Szenarien empfohlen werden, um eine Anlage, Anlagenteile oder einzelne physikalische Systeme zeitnah und ohne Änderung der Topologie zu schützen. Grundsätzlich bietet sich diese Implementierung auch an, wenn es zum Beispiel darum geht den Übergang zu einem MPLS Netz wieder unter die eigene Kontrolle zu bringen. Häufig findet man die CPE Router mehr oder weniger direkt im LAN vor, ohne jeglich Kontrolle der Datenflüsse. Dieses potentielle Risiko ist definitiv zu hoch, um sich hier nicht passend zu schützen. Hier geht es nicht nur um Fehlkonfigurationen des Providers oder um Cyber Angriffe auf seine Infrastruktur, sondern auch um Angriffe auf der Services der eigenen Rechenzentren aus den Niederlassungen. In der Regel sind die Hauptstandort deutlich besser gesichert als es in vielen Fällen die Niederlassungen sind. Trotzdem werden den Datenströmen aus den Niederlassungen mehr oder weniger uneingeschränkt vertraut. Dies wissen natürlich die Angreifer auch und greifen zuerst die Niederlassung an, um dann von hier aus den Angriff auf den Hauptstandort durchzuführen. In der Regel dürften diese Angriffsvariante von sehr viele Unternehmen erst bemerken, wenn es schon zu spät ist oder noch deutlich später. Ein Schutz ist ohne Probleme möglich, die Technologie schon seit Jahren in kleinen und großen Varianten am Markt vorhanden und somit ist dies für alle “Stand der Technik”. Ob IT Grundschutz, DSGVO, PCIDSS, andere Zertifizierungen oder Industrieanlagen bzw. Prozessleittechnik – eine glaubhafte Begründung, warum ein Schutz nicht implementiert wurde, lässt sich nur sehr schwer und auch nur in Ausnahmefällen führen.

Transparente Firewall eignen sich auch im sehr gut für den Einsatz in Datacentern und hier im Besonderen in Verbindung mit VMware NSX. Die von VMware vorgesehene Schnittstelle zwischen der physikalischen und virtuellen Netzwerkwelt sind die NSX Edge Gateways. Dieses Gateway vereint mehrere Funktionen: Dynamisches und statisches Routing, Firewall und NAT, LoadBalancer L4-7 mit SSL Offload und VPN. Kurzum, es ist für den Nord/Süd Traffic gemacht. Im Normalfall “spricht” das Edge Gateway direkt mit den Core Routern im Datacenter. Grundsätzlich macht dieses Szenario auch Sinn, direkt via BGP die Routen austauschen und die zur Verfügung stehenden Services zum Bereitstellen von Diensten nutzen. Damit sind aber die ESX Hosts, auf denen die Service Gateways betrieben werden direkt mit dem Internet über die Core Router verbunden. Dieser Aufbau hat den großen Vorteil, dass auf dem Edge Gateway die offiziellen IP’s vorhanden sind, was in Anbetracht der zur Verfügung stehen Dienste auch Sinn ergibt. Es macht aber ebenfalls Sinn, sich durch eine vorgelagerte Firewallebene zu schützen, ohne die Vorteile der transparenten Kommunikation von Edge Gateway und Core Routern zu unterbrechen. Um auch hier nicht das Design beliebig komplex zu machen, bietet sich der Einsatz transparenter Systeme für diese zweite Firewall Linie geradezu an. Damit behält das Konzept alle Vorteile, es ist weniger Komplex und bietet gleichzeitig ein hohes Maß an Sicherheit, da alle zum Schutz des Datacenters wichtigen Maßnahmen, wie IPS, (D)DoS Schutz, Botnet Erkennung usw. zur Verfügung stehen. Die hierfür einzusetzenden Firewall Systeme basieren auf spezieller Hardware in Form von hochspezialisierten Netzwerk- und Analyseprozessoren mit sehr geringer Latenz bei gleichzeitig sehr hoher Anzahl verarbeiteter Netzwerkpakete pro Sekunde in der Datenverarbeitung. Denn genau dies sind die Schlüsselwerte im Datacenter, Bandbreite können viele – bei großen Paketen, aber darauf kommt es im Datacenter nicht an. Hier sind die Latenz und packets per second (pps) das Maß der Dinge, die Bandbreite ergibt sich daraus von alleine. Schaut man hier bei den verschiedenen Herstellern nur auf die Bandbreite, kann es zu Problemen kommen, denn oft wird diese nur für große Pakete angegeben, denn so erreicht man im Datenblatt auch mit einem System, welches eine höhere Latenz hat und weniger Pakete pro Sekunde verarbeiten kann, einen hohen Wert in der Bandbreite. Aber so sehen die Datenströme in der realen Welt nur mal nicht aus und daher ist dieses bei der Auswahl des Herstellers zu berücksichtige.

Wie immer, wenn Sie Fragen haben, stehen wir wie gewohnt zur Verfügung.

Austausch von Dateien im B2B Umfeld

Aus der Historie heraus basierten solche Plattformen oft noch auf dem klassischen File Transfer Protocol. Server auf Basis des ungesicherten ftp-Protokolls scheiden eigentlich schon seit Jahren als Plattform für den Austausch sensibler Daten aus. Trotzdem gibt es diese Variante des Datenaustausch immer noch und wird nach wie vor produktiv genutzt. Einige dieser noch verbliebenen Server bieten ftps und somit eine TLS Verschlüsselung der Übertragung an. Aber gerade in Verbindung mit NAT ist dies nicht immer trivial in der Umsetzung und die Authentisierung basiert immer noch auf Benutzername und Passwort. Objektiv betrachtet ist es aber immer noch das ursprüngliche ftp-Protokoll aus dem Jahr 1972 und den über die Jahre hinweg hinzugefügten Erweiterungen. Dabei gibt es deutlich bessere Alternativen und eine sehr gut schon seit 1999 mit OpenSSH. State of the art sind natürlich https basierenden Applikationen für den Austausch von Dateien, wenn es um den Datenaustausch zwischen Personen geht.

Spätestens mit der DSGVO, die Ende Mai in Kraft trat, kann normales ftp zur Übermittlung personenbezogener Daten über offene Netze, wie das Internet, nicht mehr genutzt werden. Aus Sicht der IT Sicherheit sollte das ftp-Protokoll schon seit Jahren nicht mehr genutzt werden. Alleine schon wegen der Übertragung im Klartext. Da nützt es nichts, die Zugangsdaten lokal verschlüsselt abzulegen, wenn diese quasi für alle lesbar unverschlüsselt übertragen werden und hier insbesondere über das Internet. Die Empfehlung ist hier ganz klar und konsequent auf ftp zu verzichten. Dieses Protokoll hat in einer IT Umgebung die auf Sicherheit Wert legt nichts mehr zu suchen. Es mag zwar die eine oder andere Altlast oder neu, technische Schuld noch geben, aber diese Sonderfälle sollen nicht Bestandteil dieses Beitrags sein. Wer solche Server noch betreibt, sollten deren Einsatz auf jeden Fall in regelmäßigen Abständen hinterfragen und immer wieder anhand der Daten und dem benötigten Sicherheitsniveau den Einsatz neu bewerten.

Eine sehr gute Alternative ist die Verwendung von sftp auf Basis von OpenSSH. Hier profitiert man direkt von allen Vorteilen des verschlüsselten ssh-Protokolls und hat gleichzeitig scp, sftp und sshfs zur Verfügung, welche sich im Besonderen für automatisierte Abläufe eigenen. Auch ist man mit dem Public/Private Key Verfahren von ssh das leidige Problem der Passwörter u.a. beim Batch-Jobs los. Vor allem braucht es dann nicht wie sonst nötigt, andere kleine Helferlein und das Passwort muss auch nicht im Script hinterlegt werden. Gleichzeitig verabschiedet man sich von Benutzername und Passwort und setzt auf die wesentlich sicherere Variante mit Schlüsselpärchen. Der Einsatz von OpenSSH auf Linux oder den freien BSD Varianten bietet zudem den Vorteil von OpenSource und somit einer lizenzkostenfreien Nutzung. Auf der technischen Seite bietet OpenSSH sehr gute Verfahren zur Verschlüsselung an, die als sicher gelten. Nicht zuletzt hat das BSI mit der technischen Richtlinie TR-02102 (Teil 4) dies bestätigt und spricht entsprechenden Empfehlungen für den Einsatz von (Open)SSH aus. Dies ist ein großer Vorteil für all diejenigen, die SSH zur Übertragung von Daten, gemäß des IT Grundschutzes, im Rahmen einer Zertifizierung oder DSGVO-Konform nutzen möchten. Durch die Beachtung der technischen Richtlinie und den Empfehlungen entspricht die Übertragung dem Stand der Technik und dies Branchenübergreifend. Zudem lässt sich das System mit weiteren technischen Maßnahmen, wie zum Beispiel Fail2Ban gegen BruteForce Angriffe weiter absichern. Grundsätzlich empfiehlt sich aber auch der Einsatz eines IPS und auch einer Anomalieerkennung wie dies zum Beispiel mit einer Fortigate Firewall zur Verfügung steht. Der Empfehlung des Wechsels vom Standard Port 22/tcp auf einen anderen kann man gerne folgen. Hier muss man sich nur darüber im Klaren sein, dass dies nur die Script Kiddies und die einfachen Bots abhält, die nach offenen Standard ssh Ports suchen. Einen nur ein wenig professionellen Angreifer hält der Portwechsel effektiv gesehen nur ein paar Sekunden lang auf, um den Dienst zu finden und danach anzugreifen. Aber unabhängig der Angriffe gilt das ssh-Protokoll als sicher, dies zeigt sich auch in der Art der Angriffe selbst. Es wird mit BruteForce Angriffen gearbeitet um gültige Kombinationen von Benutzernamen und Passwort zu finden. Einen direkten Angriff auf das ssh-Protokoll an sich oder den Dienst selbst ist eher nicht zu finden. Verzichtet man zugunsten von Keys auf Passwörter laufen die BruteForce Angriffe in Leere, sofern man das Anmelden per Passwort auch in der Konfiguration unterbunden hat. Grundsätzlich wird aber trotzdem eine Härtung des Dienstes empfohlen, wenn dieser aus dem Internet zu erreichen ist. Aber (Open)SSH ist die richtige Wahl, wenn es um einen entsprechend abgesicherten Fernzugriff auf eine Console geht oder auch einen Ersatz zum Ablösen eines ftp-Server.

In der automatisierten Kommunikation zwischen Unternehmen ist das ssh-Protokoll eine gute Wahl. Aber in Verbindung mit Anwendern ist dies oft zum Scheitern verurteilt. Der Ablauf von sftp orientiert sich an ftp, aber genau hier liegt das Problem, denn die wenigsten wissen heute wie es “damals” mit ftp war Daten auszutauschen. Daher scheitert es schon häufig an der Bedienung eines grafischen Clients für ftp, ganz zu schweigen eines Clients auf der Kommandozeile. Das Grundproblem liegt darin, dass der heutige Umgang mit Dateien immer mehr in den Hintergrund gerät. Viele Applikationen nehmen den Benutzer den Umgang mit Dateien vollständig ab. Häufig weiß ein Anwender gar nicht mehr oder will es auch nicht, wo denn genau seine “Eigenen Dateien” auf ihrem lokalen Rechner denn wirklich gespeichert sind. Demzufolge fehlt oft das Verständnis für ein Dateisystem und dessen Strukturen. Dies ist aber nicht die Schuld des Anwenders, es ist ganz einfach dem geschuldet, wie IT heute benutzt wird. Gerade bei Anwendungen in der Cloud spielt es auch keine wirkliche Rolle für den Anwender, wo die Daten liegen und muss es auch nicht. Daher fehlt hier einfach das Wissen und auch die Routine, weil es auch in der modernen IT auch nicht mehr vom Anwender gefordert ist, dies zu wissen und damit umgehen zu können. Daher ist es auch dann nicht weiter verwunderlich, dass es im Umgang mit den klassischen Protokollen sehr oft zu den üblichen Verständnisschwierigkeiten kommt. Demzufolge braucht es hier entsprechenden Lösungen, die das gewohnte Arbeiten der Anwender nicht verlässt und nach Möglichkeit im Browser läuft. Spontan fallen einem hier die üblichen Verdächtigen, wie Dropbox, OneDrive & Co. ein. Doch dann liegen die Daten in einer (US-)Cloud. Je nachdem um welche Daten es sich handelt, muss dies nicht zwangsläufig ein Problem darstellen. Aber wenn man sensible, Daten die nicht zwangsläufig personenbezogene Daten sein müssen austauschen möchte, greift man lieber auf eigene Systeme oder auf Systeme eines Dienstleisters des Vertrauens zurück. Für diesen Zweck stehen Anwendungen wie, OwnCloud, NextCloud oder auch Seafile zur Verfügung. Wir empfehlen den Einsatz von Seafile, wenn es um den Austausch von Dateien geht und man weder Kalender oder andere AddOns benötigt. Den Einsatz einer “out of the box” Lösung, wie ihn NAS Systeme anbieten empfehlen wir nur bedingt, da es sich hier um doch eher proprietäre Lösungen handelt. In solchen Fällen doch eher auf OpenSource zu setzen bietet nicht nur den Vorteil bei den nicht vorhandenen Lizenzkosten, sondern auch im Besonderen in der Sicherheit der Anwendung und des darunter liegen Betriebssystem selbst. Hier hat man dann alles selbst in der Hand und kann dieses System für den Austausch von Daten entsprechend sicher gestalten. Angefangen beim Aufbau des Basissystems, mit der Auswahl des passenden Dateisystem und vielleicht hier schon mit einer entsprechenden Verschlüsselung der Datenpartition. Steht der eigene Server in einem externen Datacenter, was auch aus Gründen der Anbindung und der Verfügbarkeit oft deutlich mehr Sinn macht, statt in lokal zu betreiben, dann bieten manche Applikationen die Anbindung an den ADFS (Active Directory Federation Service) an. Dies ist eine geschickte Methode um den einen Anwendern mit einem AD Konto Zugriff auf die Anwendung zu geben, ohne dass die Anwendung eine direkte Verbindung zur AD benötigt oder die Authentifizierungsinformationen auf den somit externen Server vorgehalten wurden müssen. Dies ist eine sehr elegante Lösung eigene Anwender an der AD zu authentifizieren ohne die eigene AD bis in das externe Datacenter öffnen zu müssen.

Es gibt viele gute Lösungen die auch Dank OpenSource vollständig lizenzkostenfrei sind und eine wesentlich bessere Lösung darstellen, als es ein ftp Server jemals war. Wenn Sie Fragen zum Thema haben, sprechen Sie uns wie gewohnt einfach an.

 

Patchmanagement im Rahmen der DSGVO

Die DSGVO setzt den Stand der Technik als Maßstab für die Sicherheit an. Aber die einzusetzende Technik als Stand der Technik ist nicht für alle gleich. Hier wird entsprechend differenziert, denn es gilt ein anderer Stand der Technik für zum Beispiel einen Krankenversicherer im Vergleich zu einem kleinen Floristen mit nur einem klassischen Ladengeschäft. Unabhängig von der Branche ist aber das Patchmanagement für alle mehr oder weniger gleich und somit auch bindend.

Das Thema Patchmanagement war schon öfters hier im Blog vertreten, neu in diesem Beitrag ist die für alle in Europa bindende DSGVO. Unabhängig der Branchen entspricht dem Stand der Technik ein jeweils aktuelles System, welches mit den zur Verfügung stehenden Updates aktuell gehalten werden muss. Hierbei darf nicht nur auf das Betriebssystem geachtet werden, denn gerade Drittsoftware auf einem System stellt ein nicht unerhebliches Risiko dar, wenn hier nicht auch regelmäßig Patches installiert werden. Systeme, die auf einem aktuellen Stand sind, haben um ein ca. 85% geringeres Risiko kompromittiert zu werden. Dies spiegelt sich auch bei den empfohlenen Maßnahmen von Sicherheitsexperten wider, auf Platz Eins ist das Patchen des Systems und der Applikationen zu finden. Erst viel später in der Liste der Maßnahmen kommt Schutzsoftware wie ein Antiviren Software vor. Daher ist ein Patchmanagement unabdingbar und alternativlos. Nicht zu vergessen ist, dass in dieses Patchmanagement auch der Webauftritt gehört und hier ebenfalls die Applikation in Form von WordPress, Drupal, Joomla & Co.

Im Hinblick auf die DSGVO muss auch berücksichtigt werden, dass aktuell Patchzyklen von 30-90 Tagen oder gar mehr als fahrlässig betrachtet werden, da bekannte Sicherheitslücken schon nach wegen Stunden nach ihrem Bekanntwerden ausgenutzt werden. Da nicht jede Sicherheitslücke den gleichen Schweregrad besitzt wird in den meisten Fällen der CVSS Wert herangezogen. Dieser bewertet die Sicherheitslücken auf einer Skala von 0-10 und ab der Version 3 kommen noch Bewertungen wie, None, Low, Medium, High und Critical hinzu. Als Empfehlung sind Sicherheitslücken ab CVSS Wert 7 bis 9 bzw. der Einstufung als High innerhalb von 72 Stunden zu schließen und alle darüber innerhalb von 24 Stunden.

Bei einem geeigneten Patchmanagement sind diese Fristen nicht zu kurz, sondern als angemessen zu sehen. Vor allem auch deshalb, dass bekannte Schwachstellen in kurzer Zeit und vor allem flächendeckend durch die große Anzahl der Bots in den Botnetzwerken ausgenutzt werden. Durch diese großen Botnetze gerät der Einzelne viel schneller in das Visier eines Angriffs und das System ist kompromittiert. Umso wichtiger ist es also die zur Verfügung stehenden Patches sehr zeitnah zu installieren und die Systeme bzw. Anwendungen gegen die entsprechenden Angriffe zu schützen. Dabei ist es vor allem Wichtig von Anfang an die Systeme so zu installieren, dass diese wartbar bleiben und dies auch sehr standardisiert durchgeführt werden kann. Je individueller ein System ist, so komplexer ist dessen Wartung. Wer von Anfang an die passenden Strategien einschlägt, hat es in Zukunft leichter seine Systeme aktuell zu halten. Zwar galt dies schon immer, aber durch die DSGVO die seit gut 100 Tagen in Kraft getreten ist, sollte man sich dies noch mal in das Bewusstsein rufen und ein passenden Patchmanagement auf die Beine stellen.

Das richtige Storage

Die Wahl des richtigen Storage ist nicht gerade trivial. So viele Dinge sind bei der aktuellen Dynamik im Storage Markt nicht vorherzusagen. Die sich ständig wandelnden Rahmenbedingungen, die aktuellen und zukünftigen Anforderungen, das Bedenken der zukünftigen Applikationen und was sonst noch alles zu berücksichtigen ist, lässt noch nicht einmal über einen Zeitraum wie den kommenden zwei Jahren eine verlässliche Aussage zu. Daher ist eine passende Strategie in Sachen Storage sehr wichtig.

Das Thema Storage an sich ist seit wenigen Jahren nicht gerade trivial. Auf dem Markt gibt es sehr viele Hersteller, von den Dinos der Branche bis hin zu den auch manchmal reinen Software Startup’s, was es nicht gerade leicht macht die richtige Wahl zu treffen. Setzt man auf klassische Spindeln, Hybride Storages oder auf reinen Flash Hardware inklusive der Wahl von klassischen, neuen RAID und nonRAID Ansätzen? Latency ist zudem das neue IOPS und auch die Frage ob FC, FCoE, iSCSI, IB oder DAS. Das Ganze wird dann durch verschiedene Featuresets der Anbieter multipliziert und SDS potenziert alles noch mal – wenn man so will, ein multidimensionales Array der Entscheidung, was es als Beschreibung ganz gut zutrifft. Das ist jetzt der eine Teil bei der Frage, welches Storage nun das richtige ist, den es zu beantworten gilt. Der andere Teil sind die Anforderungen an sich, die ja auch nicht gerade statisch daherkommen und sich am Wandel der Applikationen und Speichermengen orientieren. Die hyperkonvergenten Systeme wie Nutanix, SvSAN, VSAN, vSAN und die Storage Server u.a. von SuSE, Redhat, Microsoft oder den OpenSource Varianten packen die nächsten Dimensionen zusätzlich oben drauf. Dann kommt noch hinzu, dass man vor der Frage steht, wohin denn der Weg mit der IT überhaupt führt? An dieser Stelle wäre jetzt eine funktionierende Glaskugel für den Blick in die Zukunft wirklich sehr hilfreich. Dann wüsste man, welche Anforderungen man in der Zukunft zu bewältigen hat und vor allem, welcher Storage oder Software Hersteller in der Zukunft noch am Markt ist. Gefühlt ist es wie bei Schrödingers Katze aus der Quantenphysik, alleine durch hinsehen ändern sich die Zustände aller Rahmenbedingungen, Optionen und sonstigen Variablen. Was also tun?

Man konzentriert sich auf das jetzt, hält die Skalierbarkeit im Auge und stellt sich etwas breiter auf. Zudem beachtet man ein paar wenige Dinge. Auf dieser Basis bekommt auch in den kommenden Jahren eine zuverlässige, stabile und leistungsfähige Storage Infrastruktur. Der Ansatz zwei unterschiedliche Strategien für Anwendungen und unstrukturierte Daten zu wählen bietet sich geradezu an. Dies hat auch den Vorteil, dass damit die Tür in Sachen Hyperconverged Infrastructure (HCI) und Software Defined Storage (SDS) weiter geöffnet wird und sich somit ganz neue Möglichkeiten bieten. Trennt man durch die unterschiedlichen Strategien die unstrukturierten Daten von den Applikationen bzw. den klassischen Servern, ändern sich automatisch die Anforderungen an die Speicher der HCI Systeme. Damit eine solche Trennung Sinn macht, muss man einen steigenden Platzbedarf bei einem Startvolumen ab 30+ TB an unstrukturierten Daten haben. Erst ab dann spielen Systeme wie Quantum Xcellis ihre Vorteile aus. Hat man aber diesen Bedarf, den die meisten haben werden, dann führt fast kein Weg an einer solchen Lösung vorbei. Eine Lösung auf Xcellis mit Disk und Tapes erfüllt mehrere Anforderungen für die dort abgelegten Daten auf einmal. Zu diesen Anforderungen gehören ein mögliches Wachstum bis in den hohen Petabyte Bereich, Versionsstände der Dateien, Archivierung und Backup auf Tape, was an mehreren Standorten abgelegt werden kann. Dazu kommt der Synergieeffekt die Kosten für den Betrieb durch das Archivieren der Langzeitdaten auf Tape sehr gering zu halten. Das Xcellis System stellt SMB/CIFS, NFS und S3 zur Verfügung und lässt sich sogar logisch Partitionieren, was zum Beispiel eine Trennung von Abteilungen auf System und nicht auf Ebene des Shares möglich macht. Durch die zur Verfügung stehende S3 Schnittstelle können Webanwendungen direkt mit der Xcellis verbunden werden. Mit dem System „Store Next“ von Quantum hat man eine solide Basis für seine unstrukturierten Daten, die zudem hervorragend skaliert und die Daten durch die Bereitstellung über mindestens zwei Datacenter hochverfügbar vorhält. Hat man diesen Schritt getan, so kann man sich jetzt ganz auf die Daten für die Anwendungen konzentrieren.

Bei den Anwendungsdaten ist die Wahl nicht ganz so einfach wie bei den unstrukturierten Daten. Es gilt als erstes eine grundlegende Entscheidung zu treffen: Wird ein synchroner Spiegel der Daten benötigt oder nicht. Ist dies der Fall und werden noch weitere Funktionen wie AutoTiering oder CDP benötigt, dann ist Datacore das Mittel der Wahl. Je nach Anforderung steht eine Implementierung als HCI Lösung, physikalische Storage Server und hier mit und ohne entsprechende Erweiterung der durch den Server zur Verfügung stehenden internen Platten. Wird kein synchroner Spiegel benötigt, was sehr genau geprüft werden sollte, dann kann man auf zum Beispiel Quantum QXS4 Systeme mit der Hybrid und Q-Tiering Technik zurückgreifen. Aber noch mal der Hinweis zur Verfügbarkeit der Daten, wenn nicht ein synchroner Spiegel mit CDP zum Einsatz kommt. Zwar sollten SAN’s immer mit redundanten Controllern und Netzteilen sowie entsprechenden RAID Arrays ausgestattet sein, können diese trotzdem ausfallen. Bei einem „Totalschaden“ sind die Daten weg und man muss auf das letzte Backup zurückgreifen. Üblicher Weise verliert man mindestens einen Arbeitstag plus Zeit für die Rücksicherung. Die Wahrscheinlichkeit, dass genau in dem Moment der Defekt auftritt, wenn man ein aktuelles Backup hat und zudem in der Zeit des Backups keine Daten verändert wurden ist sehr sehr unwahrscheinlich. Dieses Glück wird einem normal nicht zu Teil. Daher muss, wenn man schon auf einen synchronen Spiegel im Storage verzichtet, die Verfügbarkeit von den Anwendungen selbst kommen. So muss man zum Beispiel entsprechende Cluster Systeme von Datenbanken, Exchange und anderen Servern aufbauen. Das funktioniert nur bis zu einem gewissen Grad, da die Komplexität durch solche Lösungen nicht kleiner wird, zumal man die Affinität dann bei den Storages beachten muss. Es kommt sehr schnell der Punkt, dass eine Hochverfügbarkeit die aus dem Storage selbst kommt die effizientere und wesentlich einfachere Lösung ist.

Jetzt steht noch die Überlegung an, reine Flash Systeme oder doch aus Gründen der Wirtschaftlichkeit auf Hybrid Systeme mit AutoTiering zu setzen. Bei den meisten Szenarien ist der Ansatz eines Hybrid System mit Tiering die bessere Wahl. Damit kombiniert man geringe Latenz und hohe IO-Werte bei gleichzeitig großer Kapazität zu vernünftigen Kosten. Der Ansatz mit zwei Strategien für die unterschiedlichen Anforderungen zu arbeiten, macht es wieder einfacher die Wahl im Bereich des Storage zu treffen. Egal wie die Wahl im Bereich des Storage aussieht, kommt jetzt noch der aller wichtigste Punkte für die eigenen Daten: Das Backup!

 

Das Backup ist die Lebensversicherung jedes Unternehmens und es müssen qualitativ sehr hochwerte Komponenten zu Einsatz kommen. Vor allem müssen diese Speichersysteme viel Platz bei gleichzeitig hoher Leistung bieten. Der Grund dafür ist ganz einfach, die Datenmengen werden immer größer und das Backup muss trotzdem in einer zum Unternehmen passenden Zeit abgeschlossen sein. Da moderne Backups mit Kompression und Deduplizierung arbeiten, ist nicht nur ein linearer Zugriff auf das Repository gefragt, sondern, um in der Sprache des Storage zu bleiben, eine hohe Performance im Random Access. Das bedeutet aber auch, dass man im ersten Schritt ein Backup-to-Disk durchführt und entsprechende Revisionsstände im Repository vorhält. Dabei sind zusätzlich zu den üblichen Tagesbackups noch Wochen-, Monats- und auch Jahres-Backups völlig normal. Das stellt einen sicheren Betrieb des Backups vor völlig neue Herausforderungen. Es gibt so genannte Bit-Kipper auf den Speichermedien, bei denen sich Daten ohne Schreiboperationen ändern. Das CERN hat mit seinen Daten dazu eine Studie durchgeführt und ist dabei zum Ergebnis gekommen, dass in einem Terrabyte Daten sich zwischen ein bis vier defekte Dateien befinden. Das hat nun zur Folge, dass das eigene Backup auf das man sich alternativlos verlassen muss, möglicherwiese defekte Inhalte hat, wenn nicht die passenden Systeme dafür eingesetzt werden. Das CERN hat nun gegenüber anderen ganz andere Volumina bei seinen Daten, was aber nichts daran ändert, dass es je Terrabyte entsprechend defekte Dateien gibt. Bei einem Textdokument erscheint vielleicht ein solcher Fehler als „Tippfehler“, bei einem Backup sieht es aber ganz anders aus, wenn man sich darauf nicht mehr verlassen kann. Das CERN setzt, um solche Defekte zu vermeiden, die ganze Forschungsergebnisse vernichten können, auf ZFS zur Speicherung seiner Daten. Das ist eine sehr gute Wahl, denn ZFS bietet für Metadaten und die Daten an sich Prüfsummen, um genau diese Fehler zu erkennen und zu korrigieren. Zudem bietet es ein Software RAID, welches so ausgelegt ist, dass selbst bei einem Ausfall im Schreibprozess die Konsistenz der Daten bzw. des Volume nicht verloren geht. Die Erfahrungen und vor allem die Erkenntnisse des CERN sollte bzw. muss man sich nun zu Nutze machen, damit die eigenen Daten des Backups auch sicher und dies ganz besonders bei langfristiger Aufbewahrung gespeichert sind.

Mit diesem Wissen und der Anforderung an ein Backup ist es sehr wichtig Systeme auszuwählen, welche die entsprechenden Sicherheiten bieten, die diese Daten benötigen. Handelsübliche NAS Systeme sind qualitativ keine schlechten Systeme, jedoch basieren viele auf Linux mit den Subsystemen md, LVM und dem häufig Dateisystem ext4. Es gibt auch NAS Systeme die auf ZFS basieren. Diese eignen sich daher schon eher für eine langfristige Aufbewahrung. Jedoch haben diese NAS Systeme alle eins gemein, dass die Hersteller nur für einen gewissen Zeitraum Support für diese Systeme in Form von Firmware Updates bieten. Die SambaCry Attacke hat aber gezeigt, wie wichtig auch für diese Systeme entsprechende Updates sind. Daher muss insbesondere für das Backup und dessen Ansprüche ein entsprechend hochwertiges Storage gewählt werden. Die Kosten spielen natürlich bei allen Überlegungen eine Rolle und wenn das aktuelle Budget einen Wechsel zu einem professionellen Backup-Storage nicht zulässt, aber die vorhandenen NAS Systeme aus dem Support sind und sogar noch gegen die SambaCry Lücke anfällig, hilft ein Blick zu möglichen Alternative auf Basis von OpenSource. Damit lässt sich ein Repostory Server aufbauen, der wieder unter „Support“ ist und auch die entsprechenden Dateisysteme mitbringt. Als Hardware genügt hier ein einfacher Storage Server mit JBOD und je nach Leistung entsprechende SSD’s für den ARC. Damit steht das Backup wieder auf einer soliden Basis und man kann ganz in Ruhe an die Planung des zukünftigen Konzepts für das Backup gehen.

Die Beachtung der 3-2-1 Regel für das Backup ist davon unabhängig und grundsätzlich zu beachten. Die Regel ist denkbar einfach, 3 Kopien der Daten, 2 Medien (Disk und Tape) und 1 Datensatz offline für den Fall der Fälle. Gerade auf dem Hintergrund der Ransomware ist das Backup die letzte Instanz die man hat.

 

WannaCry im Sog von DoublePulsar

Geplant war es einen anderen Beitrag im Blog online zu stellen, aber die aktuellen Ereignisse zu ignorieren geht natürlich auch nicht. Daher haben wir uns entschlossen das Thema passend zu den aktuellen Ereignissen zu ändern. Der ursprüngliche Beitrag mit dem Thema eMail als Kommunikationsplattform im Unternehmen ist für den nächsten Monat geplant.

Jetzt ist es passiert und zwar mit Ansage! Primär sind natürlich diejenigen schuldig, die den Schadcode entwickelt haben um damit Geld von den Opfern zu erpressen. Genauso Schuld sind aber auch die “Sicherheitsdienste”, die die Lücke verschwiegen haben, Microsoft und sein Patch Management, die Unternehmen, die veraltete oder nicht aktualisierte Systeme einsetzen und zum Schluss der Anwender selbst. Schuld haben an dem aktuellen Zustand der globalen IT Infrastruktur alle. Wichtig ist es jetzt aber aus den Fehlern endlich mal zu lernen, diese objektiv und sachlich zu betrachten und dann vor allem auch Konsequenzen daraus zu ziehen und natürlich entsprechende Maßnahmen ergreifen und diese zeitnah umzusetzen. Aber jetzt erst einmal der Reihe nach:

Die Sicherheitsdienste eines Staates sollen den Staat selbst, die Verfassung und natürlich die eigenen Bürger schützen. Das Verschweigen einer solch gravierenden Sicherheitslücke in dem meistgenutzten Betriebssystem – wobei jetzt auch nachweislich Menschenleben gefährdet wurden – zeigt nur zu deutlich wie sie ihrer Aufgabe „gerecht“ werden. Da stimmen die Prioritäten nicht mehr, man lässt sein eigenes Land völlig ungeschützt, nimmt Schäden der ganzen Infrastruktur des eigenen Landes in Kauf und das nur für den vermeintlich eigenen Vorteil andere Systeme hacken zu können? Vor allem wer sagt denn, dass nicht Dritte auch auf die Lücke hätten kommen können. Was wäre denn dann gewesen? So gesehen stimmt bei den Diensten grundsätzlich gar nichts mehr und dann sollen deren Befugnisse noch immer weiter ausgebaut werden? Die Begründungen der Politik sind beliebig austauschbar, ob Kinderpornographie, organisiertes Verbrechen, Terrorismus, schwerste Straftaten usw. suchen sie sich einfach etwas aus, es passt oberflächlich in jeder Argumentation. Dazu zählt genauso die schwachsinnige Idee Verschlüsselung zu schwächen oder gar mit Hintertüren zu versehen. Wie gut sich die Schlüssel oder Hintertüren unter Verschluss halten lassen, haben die Shadow Brokers der ganzen Welt aufgezeigt. Als würde es die wirklichen Kriminellen, Terroristen oder “feindliche” Sicherheitsdienste anderer Staaten interessieren, dass diese Zugänge nur den jeweiligen Dienst des eigenen Staates vorbehalten sind. Im Gegenteil, die reiben sich die Hände, in Anbetracht solcher Sollbruchstellen. All diejenigen, die diese Hintertüren und Sollbruchstellen fordern, sind einfach nur dumm und blauäugig, wenn sie wirklich glauben, dass andere diese Schwachstellen nicht für sich ausnutzen würden. Die grundlegende Ausrichtung der Sicherheitsdienste und vor allem deren Einstellung sollte hinterfragt und auch angepasst werden. Dies gilt auch für die Politik, IT Sicherheitsgesetze auf den Weg bringen und auf der anderen Seite ganz bewusst die komplette IT Infrastruktur des eigenen Landes so verwundbar dastehen zu lassen. Dabei ist es völlig egal, ob bewusst oder unbewusst, alleine durch die mangelnden Vorgaben oder Überwachung der eigenen Dienste sind hier große Fehler gemacht worden. Daher eine ganz klare Mitschuld von den Diensten und der Politik an dieser Cyber Attacke. Die aktuellen Forderungen aus der Politik sind ebenso unverschämt wie peinlich. Die eigenen Dienste nicht kontrollieren zu können und sich jetzt noch hinzustellen und eine Ausweitung der IT Sicherheitsgesetze und eine Meldepflicht zu fordern. Dies soll wahrscheinlich nur von den eigenen Versäumnissen und dem Unvermögen in der Vergangenheit ablenken.

Kommen wir zu Microsoft, die ebenfalls einen großen Teil der Schuld an dem Ausmaß tragen. Das Patch Management von Microsoft ist gelinde gesagt schlichtweg eine Frechheit, unabhängig von den anderen Bemühungen was die Sicherheit der Systeme angeht. Angefangen damit, wie lange Microsoft braucht Patches zu liefern, ihren albernen Patch Day, der Qualität der Patches und nicht zuletzt das Volumen der Patches selbst. Daran ändert auch nichts, für XP noch einen Patch nachzureichen. Die Folgen dieses Patch Miss-Management von Microsoft sind sehr weitreichend. Alleine die Größe der Patches macht für die IT Abteilung ein zeitnahes Ausrollen sehr schwierig oder oft so gut wie unmöglich. Dann sind da noch die Abhängigkeiten der Anwendungen und die Freigabe der Patches durch deren Hersteller und nicht zuletzt die oft mangelnde Qualität der Patches und die damit verbundenen Folgen. Daher müssen IT Abteilung selbst unter großen Aufwand Tests durchführen, ob denn zum Beispiel noch nach den Patches alles funktioniert und die eigenen Anwender arbeiten können. Oft haben die IT Abteilungen nur die Wahl Not gegen Elend. Installiert man die Patches nicht, ist man angreifbar, installiert man sie doch, funktionieren die Systeme nicht mehr so wie sie sollen und bei Drittanbietersoftware bekommt man im Anschluss daran keinen Support, da der Patch nicht freigegeben war oder ist. Alles in allem hat dadurch Microsoft eine entsprechend große Mitschuld  an dem IST-Zustand des Patch-Managements.

Wer jetzt als Unternehmen, IT Abteilung oder Anwender meint die Schuld bei den Anderen zu sehen, der irrt genauso. Nicht weniger Schuld tragen die in letzte Konsequenz diejenigen, die für den IT Betrieb oder die IT Infrastruktur selbst verantwortlich sind. Auch wenn die Rahmenbedingungen in Sachen Patches sehr viel Potential nach oben haben, entbindet es keines Falls davon hier nicht im ausreichendem Maße tätig zu werden. Ganz vorne steht auch die Frage, warum sind noch so viele XP und Windows 2003 Server Systeme in Betrieb und online, obwohl es hierfür schon sehr lange keine Patches mehr gibt? Wenn es spezielle Systeme sind, die noch zwingend auf XP/2003 aufsetzen, dann müssen diese abgeschottet vom ganzen Rest der IT betrieben werden. Alle dementsprechend angeführten Gründe, warum das nicht der Fall ist, sind in letzte Konsequenz auch nur Ausreden. So lange nichts passiert entstehen auch keine Kosten, nur wenn etwas was passiert und hier ist die Frage nicht ob, sondern wann, dann ist der Schaden immens und mit aller Wahrscheinlichkeit deutlich über den Kosten aktuelle Systeme zu verwenden oder das Netz entsprechend zu segmentieren. Gibt es keine Alternative zu einem XP System oder einem System welches nicht mit Patches versorgt werden kann, wie es zum Beispiel bei Produktionsanlagen der Fall sein kann, so hat dieses Systemen nichts im allgemeinen Netzwerk verloren. Es muss in ein eigenes Segment mit ganz restriktiver oder im Besten Fall völlig unterbundener direkter Kommunikation. Notfalls müssen gehärtete Schnittstellensysteme her. Aber eine direkte Verbindung darf es einfach nicht geben oder wir haben genau dass, was jetzt passiert ist.

Die Monokultur durch Microsoft Systeme hat auch einen Anteil an der ganzen Misere, denn die macht es erst möglich, dass eine Sicherheitslücke so Flächendeckend mit dem aufgezeigten Ausmaß möglich ist und dann auch auftritt. Hier muss ebenfalls ein Umdenken stattfinden und alternative Anwendungen und Systeme müssen immer mit in den Denkprozess aufgenommen werden. Selbst wenn der andere Weg vielleicht auf den ersten Blick weniger einfach erscheint, gerade bei solchen Attacken zeigt es sich, warum der andere Weg, doch der bessere gewesen wäre. Linux und OpenSource ist natürlich nicht das Allheilmittel, aber der andere Ansatz, das andere Patch Management und eben nicht die Monokultur verringern die Angriffsfläche und erhöhen die Komplexität für einen Angriff selbst und das kann dann den Unterschied ausmachen. Im Kielwasser von WannaCry hat sich eine Lücke in Samba offenbart, die erst jetzt entdeckt wurde. Veröffentlich wurde die Lücke am 25.5. um kurz vor 18 Uhr lokaler Zeit. So gut wie alle Distributionen stellten zu diesem Zeitpunkt schon aktualisierte Pakete bereit. Das gleiche gilt für FreeNAS, wo auch entsprechende Updates zur Verfügung stehen. Andere Hersteller von NAS Systemen haben teilweise noch keine Updates bereitgestellt. Die gilt auch für die vielen IoT Systeme und sonstigen Embedded Devices. Dieses Beispiel zeigt aber wie schnell unter Linux Patches bereitgestellt werden können. Vor allem muss man hier nicht auf einen Patch-Day warten. Es zeigt aber auch, dass einige Hersteller gerne OpenSource nutzen, aber selbst kein wirklich gutes Patch-Management haben. Dies sollte bei der Auswahl der Systeme berücksichtigt werden. Die Pflege der Software auf den Systemen ist noch wichtiger als die Systeme selbst. Dann im Fall des Falles ist schnelle Hilfe nur das was wirklich zählt.

 

Die grundsätzlichen Konsequenzen müssen jetzt ein Hinterfragen der eignen IT Sicherheit sein, um endlich die bekannten Lücken zu schließen. Folgende Fragen sollten Sie sich jetzt unbedingt stellen:

  • Sind die Netze ausreichend Segmentiert und entsprechend abgeschottet und wird der Datenaustausch zwischen ihnen kontrolliert?
  • Sind alle vernetzen Systeme ausreichend geschützt und sind vor allem die zur Verfügung stehenden Patches installiert?
  • Ist das eigene Patch-Management so aufgestellt, dass man auch schnell reagieren kann?
  • Bietet die Firewall am Perimeter alle Funktionen nach dem Stand der Technik, um die Kommunikation zum Internet hin entsprechend zu prüfen und zu überwachen?
    Wird ggf. eine zweite Linie benötigt, um schnell mehr Schutz zu erreichen um dann in Ruhe auf eine angepasste Lösung umzustellen?
    Wichtig: Wird C&C und TOR Kommunikation erkannt und unterbunden?
  • Habe ich überhaupt noch den Überblick was gerade alles in meinem Netz passiert oder wird es nicht Zeit für eine SIEM und oder Monitoring Lösung?
  • Wie gut gesichert sind meine FileShares, gibt es hier bessere Ansätze als die klassische Freigabe mit Windows oder NAS Systemen.
  • Funktionieren meine Backups und sind diese vor unbefugten Zugriffen geschützt?
  • Ist der Einsatz einer AV Software noch der richtige Weg oder benötige ich einen anderen Ansatz?
  • eMail ist das größte Einfallstor in das Netzwerk, ist hier der Schutz ausreichend?
  • Basiert mein Patch Management noch auf den richtigen organisatorischen Prozessen?

Sicherheitsproblem Funktastatur

Eigentlich war ein anderer Artikel für den Monat August geplant, aber aus aktuellem Anlass hat sich dies geändert. Bastille Networks Inc. hat gezeigt, dass kabellose Tastaturen die nicht auf Basis von Bluetooth arbeiten und mit eigenen USB Funkeinheiten ausgeliefert werden, ohne größere Probleme abgehört werden können. In vielen Fällen ist die Reichweite in der die Signale noch empfangen werden können größer als gemeinhin angenommen. Das Risiko bei der Nutzung von kabellosen Tastaturen ist, gerade bei Verarbeitung von sensiblen Daten, damit entsprechend hoch. Denn alles was getippt wird, kann so zu sagen in Echtzeit als Klartext eingesehen werden. 

Der Einsatz von kabellosen Tastaturen die nicht auf Bluetooth basieren sollte spätestens jetzt kritisch hinterfragt werden. Betroffen von diesem Problem sind mindestens acht namhaften Hersteller dieser Geräte. Generell raten wir daher vom Einsatz kabelloser Tastaturen ab und hier ganz speziell beim Einsatz in sensiblen Bereichen und überall dort wo sensible bzw. personenbezogene Daten verarbeitet werden. Die Gefahr des Missbrauchs durch Dritte ist nach bekanntwerden der Schwachstelle in der Funkübertragung einfach zu groß. Auch gerade deshalb, weil das Abgreifen aller Tastatureingaben mit wenig technischen Aufwand und aus der Ferne durchgeführt werden kann. Ein Angreifer benötigt in vielen Fällen so noch nicht einmal Zugang zu den Büros bzw. zum Gebäude selbst um an die Daten zu kommen. Teilweise beträgt die Reichweite bis zu 100 Meter in der Daten noch empfangen werden können. Grundsätzlich gilt ein Verzicht auf die anfälligen Geräte, sowie Anmeldedaten dort eingegeben werden.

Dies ist nicht das erste Mal, dass kabellose Tastaturen ein Sicherheitsproblem aufweisen. In 2010 und zuletzt in 2015 konnte die Übertragung aller eingegebener Daten durch Dritte mitgelesen werden können. Jetzt ist es wieder der Fall. Dazu benötigt es noch nicht einmal teures Equipment, umgerechnet 90 Euro und die Software KeySniffer reichen aus um die Daten abzufangen. Da Millionen von kabellosen Tastaturen betroffen sind, steht dem erfolgreichen Abgreifen von Daten durch Cyber Kriminelle so gut wie nichts im Wege. Da hier die Daten direkt bei der Eingabe des Benutzers abgefangen werden, spielt es keine Rolle mehr wie gut gesichert das Netzwerk und die Kommunikation an sich ist. Bevor die Daten auf die Reise gehen, haben die Kriminellen dieses schon abgefangen und dem Missbrauch ist Tür und Tor geöffnet.

Daher an dieser Stelle noch einmal der dringende Hinweis den Einsatz von kabellosen Tastaturen kritisch zu prüfen und entsprechend zu handeln. Auch wenn sich aktuell das eingesetzt Produkt nicht in der Liste der acht Hersteller zu finden ist, so ist es hier nur eine Frage der Zeit, bis dieser auch abgehört werden kann. Es gibt keinen Standard für diese Verbindungen, jeder Hersteller kann und geht seinen eigenen Weg. Viele Hersteller greifen auf OEM Anbieter zurück und haben die Produkte gar nicht selbst entwickelt. Da auch hier so gut wie immer der Preis entscheidend ist, sparen die OEM Hersteller wo es nur möglich ist. Dies hat aber zur Folge, dass die IT Sicherheit dabei auf der Strecke bleibt und Millionen von Nutzer nun ein massives Sicherheitsproblem haben. Daher sollte im Zweifel immer auf eine kabelgebundene Tastatur zurückgegriffen werden. Kann nicht auf eine kabellose Tastatur verzichtet werden, so sollte diese per Bluetooth verbunden sein.

Zur IT Sicherheit tragen auch einfache präventive Maßnahmen bei, wie auf den Einsatz solcher kabelloser Tastaturen zu verzichten. Auch sollte man der Meinung, dass aus Fehlern gelernt wird. Aber weder bei Tastaturen noch bei Consumer Routern trifft dies zu. Immer wieder ist zu lesen, dass es Sicherheitsprobleme gibt, die es einem externen Angreifer auf sehr einfache Art und Weise es ermöglichen die Geräte zu kompromittieren. Leider wird es wohl noch schlimmer werden. Die „schöne neue Welt“ des Internet of Things (IoT) birgt mit Sicherheit noch die eine oder andere Überraschung. Das gilt auch für die Industrie 4.0.

Absicherung von Industrieanlagen und Steuerungen

In einer zunehmend vernetzen Welt der Industrie 4.0 wird es immer wichtiger die Produktionsanlagen und deren Steuer-, Regel und Überwachungssysteme zu schützen. Angriffe auf diese Systeme sind schon die Normalität. Denn diese Systeme sind weniger gut geschützt, sie wurden nicht mit dem Fokus auf Netzwerk-Sicherheit sondern nur auf Funktion und Zuverlässigkeit hin entwickelt und waren zu Anfangs nie für eine vernetze Welt gedacht. Die Hersteller haben einfach die Netzwerkfunktion hinterhergeschoben, weil die Kunden nach vernetzten Systemen verlangen und Mitbewerber diese schon angeboten haben. Vieles wurde mit der heißen Nadel gestrickt und genau an diesem Punkt stehen wir nun. Eine Vielzahl an vernetzten Industriesteuerrungen mit einem fast nicht vorhandenen Sicherheitsniveau der Systeme.

Da die Dinge nun mal sind wie sie sind und auch ein Betreiber solcher Anlagen kaum einen Einfluss darauf hat, dass sich hier das Sicherheitsniveau kurz bis mittelfristig ändert, bleibt nur der Weg sich mit den vorhandene Zustand abzufinden und anhand der vorgegeben Bedingungen das nötige Sicherheitskonzept zu entwickeln. Zu den Rahmenbedingungen gehört häufig auch die Netzwerktopologie, die viele in der Produktionsumgebung ungern anpacken und ändern wollen. Das Netzwerk läuft und Ausfalle in der Produktion die durch die IT verursacht werden, möchte keiner erklären müssen. Vor allem dann, wenn es um so ein abstraktes Thema wie die Absicherung der Anlagen auf Netzwerkebene geht. Hier einen Außenstehenden die Details und die Komplexität erklären zu wollen, ist meist nicht von erfolgt gekrönt. Daher macht es am meisten Sinn, eine Lösung zu entwickeln die die Systeme zuverlässig schützt, sich leicht implementieren lässt und die keine Änderungen an der Netzwerktopologie nötig macht. Eine Lösung die genau diese Dinge erfüllt möchte dieser Artikel hier nun vorstellen. Die Gefahren werden nicht weniger und es wird höchste Zeit, dass die Absicherung von Produktionsanlagen in den Fokus der Verantwortlichen rückt und auch erkannt wird, dass diese hoch sensiblen Systeme eines Unternehmen den Schutz bekommen den sie benötigen.

Da die Steuersysteme meist wie eine Blackbox betrachten muss und an dieses System auch keine Änderungen durch Dritte zugelassen sind, ist die einzige Option die Netzwerkverbindung und somit die Kommunikation der Steuerung zu kontrollieren und überwachen. Um dies ohne Änderung an der Netzwerktopologie durchzuführen, werden Systeme benötigt, die auf Layer-2 Basis die notwendigen Schutzfunktionen bereitstellen können. Um ein System zu schützen, werden Firewall-Regeln, IPS, Application Control und Antivirus benötigt. Ein URL Filter ist zwar nicht zwingend, kann aber das Sicherheitsniveau zusätzlich erhöhen. Mit einem URL Filter können Zugriffe auf Webserver unterbunden werden, um zu verhindern, dass auf diesem Weg Schadcode nachgeladen wird. So muss man sich nicht nur auf den AV Scanner verlassen. Aber dies alles muss auf Layer-2 passieren und für die Steuerung und deren Kommunikation völlig transparent sein. Ein System welches auch für einen Layer-2 Einsatz entwickelt wurde, sind Fortigate Firewalls. Diese kennen zwei Modi, den traditionellen Layer-3 Betrieb und eben auch den Transparenten Modus auf Basis von Layer-2 mit vollen UTM und NGFW Fähigkeiten. Denn genau dies wird benötigt um die Industrieanlagen zu schützen ohne in das Netzwerk-Design an sich einzugreifen.

Durch das umfangreiche Produktportfolio und der großen Auswahl an Modellen lassen sich eine Vielzahl an möglichen Szenarien realisieren. Zu den Modellen zählen ebenfalls Geräte die für den Einsatz in Industrieumgebungen entworfen worden sind. Diese vertragen höhere Temperaturen und Erschütterungen. So können diese Systeme bei einem dezentralen Szenario direkt an der Steuerung verbaut werden. Geräte für den 19″ Einbau eignen sich für den Einsatz im Netzwerkverteiler an dem Steuerungen angebunden sind. Durch eine weitere Funktion der Fortigates auf einer Hardware mehrere virtuelle Instanzen, sogenannte VDOM’s, zu betrieben eröffnet zusätzlich eine Vielzahl an Optionen für deren Implementierung. Entsprechende HA Szenarien runden das Ganze auch in Sachen Hochverfügbarkeit ab.

Besonders die Möglichkeiten durch IPS und Applikationskontrolle, die dazu noch von den Musterdatenbanken auf den Einsatz zum Schutz der Industriesteuerungen passend zugeschnitten sind, bieten die Systeme der IT umfassende Schutzfunktionen. Die Implementierung sollte sinnvoller weise in mehreren Schritten stattfinden. Denn häufig weiß weder die IT noch der Techniker an der Anlage welche Systeme wie kommunizieren. Daher sollte der erste Schritt der Monitor-Betrieb sein. So kann festgestellt werden, welche Kommunikation überhaupt stattfindet. Sehr zeitnah sollten dann die ersten Schutzfunktionen folgen um Botnetze, Trojaner und Backdoor Kommunikation zu unterbinden. Nach dem dann die Kommunikation ausgewertet ist, strafft man das Regelwerk auf die nur nötige Kommunikation zusammen. Da Sicherheit nun mal kein statische Zustand ist, sondern immer ein fortlaufender Prozess, wird das Regelwerk kontinuierlich angepasst. Durch den Einsatz eines FortiManager lassen sich zudem die Systeme zentral administrieren.

Durch den Einsatz dieser zusätzlichen Sicherheitssysteme ergibt sich ein nicht zu unterschätzender Synergieeffekt. Durch die Fortigates  hat die IT auch eine Vielzahl von Sensoren im Netzwerk die alle in der Lage sind Angriffe zu erkennen und Datenströme zu protokollieren. Führt man diese Informationen in einer zentralen Log-Instanz zusammen die wiederum in der Lage ist bestimmte Zustände zu erkennen und dann die IT zu benachrichtigen, sinkt das Risiko beträchtlich, dass ein Einbruch in das eigene Netzwerk, ein Befall von Schadcode oder ein Angriff auf die Infrastruktur nicht erkannt wird. Der so entstehende Mehrwert lässt natürlich einen völlig anderen Blick auf den Invest zu. Zum einen werden für das Unternehmen kritische Anlagen und Produktionsstätten geschützt und zum andere ergibt sich für die IT eine verbesserte Ausgangssituation ihr Netz und ihre Infrastruktur noch besser zu schützen. Vor allem auch nur deshalb, weil ihr diese Informationen nun zur Verfügung stehen.

Um einen kleinen Blick über den Tellerrand der Industrie 4.0 zu werfen ergeben sich hier auch für anderen Anwendungsfälle ganz neue Möglichkeiten. Eine Fortigate im Transparenten Modus lässt sich auch völlig anders einsetzen. Hier sind zum Beispiel MPLS oder Managed VPN Endpunkte zu nennen, Fernwartungsboxen, Tk Anlagen oder auch „nur“ eine zweite Instanz zur Unterstützung der vorhanden Firewall. Sei es auch einfach nur um die Kontrolle zu behalten in dem einem zusätzliche Informationen über die vorhandene Kommunikation bereitgestellt werden.

Bei Fragen zum Thema Absicherung von Industrie 4.0 oder der Layer-2 Security haben, stehen wir wie gewohnt zur Verfügung.

Agitation gegen Einsatz von Verschlüsselung?!

Hier muss man sich allerdings fragen, ob Regierungsvertreter auch ihren Kopf benutzen bevor solche vorschnellen geistige Ergüsse von sich gegeben werden? Ganz zu schweigen davon, dass es den Staat nun mal rein gar nichts angeht mit wem man wann kommuniziert hat und schon erst recht nicht welchen Inhalt diese Kommunikation hatte. Nicht weil man was zu verbergen hätte, es geht rein um das Prinzip – es geht den Staat einfach nichts an. Auf der andere Seite muss man sich dann schon fragen, ob ein Staat angst vor seinen eigenen Bürgern hat, damit diese total zu überwachen sind? Man mag ja auch von der NSA & Co. halten was man will, dumm sind diese mit Sicherheit mal nicht. Moralisches Verhalten und treue gegenüber dem Gesetz ist ein anderes Thema. Aber selbst die NSA empfiehlt die Verschlüsselung von Daten als wirksame Verteidigung im digitalen Krieg. Das BSI spricht ebenfalls solche Empfehlungen aus und hat eine Richtlinie zum Thema Verschlüsselung veröffentlicht. An dieser Stelle sollten dann doch mal die Politiker aufmerken, wenn sich selbst die Geheimdienste und hier das eigene Amt sich entsprechend äußert. 

Wenn eine wirksame Verschlüsselung gesetzlich verboten wird, dann ist dies eine Steilvorlage für alle Kriminellen und im Besonderen für Wirtschaftsspionage. Die Dummen dabei sind diejenigen die sich an die Gesetze halten und damit es denen die sich eh nicht daran halten es noch einfacher zu machen, als es teilweise ohnehin schon ist. Eine Verschlüsselung mit Hintertür oder eine aufgeweichte Verschlüsselung ist de facto keine, weil sich die „Master-Keys“ natürlich nicht vor Dritten schützen lassen. An so etwas hat sich die Firma RSA auch schon versucht und die haben sich ihre Seed’s stehlen lassen. Die Folge: 40 Millionen Token unbrauchbar und die Spätfolgen davon sind noch nicht bekannt. Wie will es dann eine Regierung mit zig Organisation, Behörden und tausenden von Mitarbeitern schaffen, die alle die „Master-Keys“ aus welchen Gründen auch immer benötigen und somit die Keys sehr vielen zugänglich sind. Je mehr man darüber nachdenkt, wird die Idee immer besser! Das geistige Eigentum, das KnowHow und somit die Grundlage vieler Unternehmen ist ohne eine sichere Verschlüsselung massiv gefährdet und im Endeffekt mehr oder weniger öffentlich zugänglich. Wie geistig Einfältig muss man eigentlich sein, um nicht zu erkennen, dass der Einsatz von „keiner“ Verschlüsselung durch kongruierende Staaten oder wirtschaftliche Konkurrenten nicht ausgenutzt wird um sich Vorteile zu verschaffen?! Solche Ideen und Aussagen sind bedrohlicher für einen Staat, seine Bürger und dessen Wirtschaft als es von außen je möglich gewesen wäre.

Im Internet tobt ein Krieg, wenn man es denn so bezeichnen will. Es vergeht kein Tag bei dem nicht über irgendwelche Einbrüche in Netzwerke, DDoS Attacken, Bots und Trojaner in den (IT) Medien berichtet wird. Die meisten Admins im Security-Bereich sind schon dermaßen abgestuft, dass diese Portscans, Brutforce Angriffe, SQL oder andere Code-Injections oder die üblichen kleinen DDoS Attacken schon gar nicht mehr zur Kenntnis nehmen, weil diese im zwei bis dreistelligen Bereichen pro Tag auftreten. Das ist noch nicht mal die Ausnahme, sondern der ganz normal Alltag (Wahnsinn) im Internet. Um sich bzw. das eigene Unternehmen zu schützen bleibt ja nichts anderes übrig als entsprechende Maßnahmen zu ergreifen und vor allem auch auf gesicherte Kommunikationskanäle, sprich Verschlüsselung, und durch Verschlüsselung geschützt Daten zurückzugreifen. Was also sollen dann solche schwachsinnigen Vorschläge auf effektive Verschlüsselung zu verzichten? Dann kann man es auch gleich lassen. Wobei es mir immer noch völlig unbegreiflich ist, von Regierungen die auf Freiheit, Demokratie und Marktwirtschaft fußen so etwas zu hören. Von totalitären Regimen hätte man nichts anderes erwartet, aber selbst diese vertreten ihre wirtschaftlichen Interessen besser, in dem sie ihre Wirtschaftsunternehmen schützen. Wo hingegen der gesetzliche Ausschluss von effektiver Verschlüsselung ein Angriff auf die eigene Wirtschaft darstellt wie er für den Mitbewerb und konkurrierende Staaten nicht besser hätte sein können.

Im privaten Bereich hört man ständig die Diskussion um BigData und wie private Unternehmen, vor allen Dingen die „Großen“ des Internets die Daten ihrer Kunden für alle möglichen Zwecke missbrauchen. Aktuell sind es mal wieder die Facebook AGB’s. Der Datensammelwut und dem Profiling ist auch nur mit Verschlüsselung entgegenzuwirken. Dies gilt insbesondere für Daten die in der Cloud liegen. Ganz zu schweigen von der immer mehr umsichgreifenden Zentralisierung von Krankenakten und Patientendaten. Wie soll das ohne effektive Verschlüsselung gehen? Das Vertrauen in die Cloud ist sowieso nicht besonders groß und nimmt durch solche Aussagen bestimmt nicht weiter zu. Die Anbieter die sich wirklich Mühen wird ein weitere Bärendienst erwiesen. Dazu kommt noch das Internet der Dinge mit der ganzen Automatisierung von Gebäuden und die in den Fahrzeugen immer mehr einzughaltende Netzwerktechnik. Wie soll denn so etwas ohne eine gesicherter Kommunikation funktionieren? In Zukunft braucht es dann keinen Sprengstoff oder andere Waffen um ein Attentat zu verüben, dann reicht ein Smartphone völlig aus, um ein Flugzeug abstürzen zu lassen, ein Verkehrschaos zu verursachen oder Infrastrukturen von Strom, Wasser oder Gas zu manipulieren. Denn bei schwacher oder so gut wie keiner Verschlüsselung hat jedes Smartphone ausreichend Rechenleistung um diese schwache Barriere zu überwinden. Daumen hoch  – das ist mal der richtige Start in 2015!

Nicht nur vielleicht, sondern im Grundsatz sollten hier alle noch mal ganz genau darüber nachdenken, bevor(!) sie den Mund aufmachen um irgendwelchen medienwirksamen und populistischen Blödsinn von sich zu geben. Denn mit funktionierender IT und einen sicheren Betrieb von Anlagen und Systemen kann der Verzicht auf Verschlüsselung nichts zu tun haben. All dies gilt zudem ganz besonders für den Rechtsstaat und eine Demokratie. Denn das ist dann wirklich eine Frage der nationalen Sicherheit! Zu diesem Schluss kommt auch der Rechtsausschuss des Europarats, der hier ganz klar für Verschlüsselung Stellung bezieht. Die gleiche Richtung vertritt der Ausschuss für Technikfolgenabschätzung des EU-Parlaments. Hier gibt es offensichtlich doch noch Menschen die wirklich nachdenken und sich dann auch erst äußern, nach dem sie sich Gedanken um die möglichen Folgen eines bestimmten Handelns gemacht haben. Sehr Interessant ist auch die Eingabe des CCC, die sich gänzlich gegen unverschlüsselte Kommunikation oder Speicherung stellt.

Willkommen in den Crypto Wars 3.0 – die schon verloren sind bevor sie angefangen haben.

Wie sicher sind MPLS Verbindungen?

Die neusten Enthüllungen im NSA Skandal um Zugriffe von Geheimdiensten auf den Backbone von Providern wirft wieder die Frage nach der Sicherheit von MPLS Verbindung auf. Das Problem: MPLS Verbindungen sind sicher per Definition. Das Argument war immer: Niemand hat Zugriff auf unsere Backbone. Zudem sind MPLS Verbindungen an sich nicht verschlüsselt – gelten aber als VPN.

Auf dem Hintergrund der neusten Veröffentlichungen muss man sich nun wieder einmal die Frage stellen, sind MPLS Verbindungen sicher oder sind sie es nicht? Haben Nachrichtendienste tatsächlich Zugriff auf den Backbone, dann können MPLS Verbindungen nicht mehr als sicher eingestuft werden. In diesem Fall spielt es auch keine Rolle ob die Verbindungen an sich verschlüsselt werden oder nicht. Mit dem Zugriff auf die Core-Systeme hat man auch Zugriff auf die Schlüssel der Verbindungen. Durch den Besitzt der Schlüssel ist die Verschlüsselung an sich irrelevant. Der Einsatz von MPLS Verbindungen muss völlig neu bewertet werden.

Ein noch gravierender Aspekt der ganzen Angelegenheit liegt in der Implementierung von solchen Verbindungen. Viele sehen ein MPLS Verbindungen wie das eigene Netz und binden so Niederlassungen, Kunden oder Partner an. In sehr vielen Fällen steht der MPLS Router mehr oder weniger direkt im lokalen Netzwerk des jeweiligen Standorts. Vielleicht gibt es noch ein Transfernetz aber das war’s dann auch schon. Den MPLS Router noch mal durch eigene Systeme abzusichern machen wie wenigsten. Damit verliert man so zu sagen den Vorteil des Managed Service, da das eigene Systeme auch eigene Ressourcen kostet, was man vermeiden wollte. Ergo ist im Normalfall nichts an Absicherung oder Schutz zwischen dem MPLS und dem eigenen Netz. Haben Dritte tatsächlich Zugriff auf den Backbone der Provider, so ein MPLS Router nicht mal mehr eine kleine Hintertür, sondern ein eher ein Gate für Container-Schiffe im Core-Bereich des eigenen Netzwerks und der eigenen Server. Umverschlüsselter Datenverkehr im MPLS Netz ist die eine Sache, aber der eineingeschränkte Zugriff auf das eigene Netz eine ganz neue Dimension.

Unabhängig von allen Beteuerungen der Anbieter müssen MPLS Verbindungen völlig neu bewertet werden. Vor allen Dingen welchen Angriffsvektor ein MPLS Router auf die eigene Infrastruktur bietet. Als nächstes muss eine Bewertung der Sicherheit und Vertraulichkeit der Daten die per MPLS Verbindungen übertragen werden stattfinden. In letzter Konsequenz kann man nur zu dem Schluss kommen, dass MPLS Verbindungen die gleiche Sicherheit bzw. das gleiche Risiko wie Internet Verbindungen aufweisen. Im Grunde genommen ist es ganz einfach. Es kann nicht mehr ausgeschlossen werden, dass Dritte Zugriff auf die übertragenen Daten oder auf die Verbindungen an sich bekommen. Somit sind MPLS Verbindungen wie Internet Verbindungen zu behandeln. Mit allen Konsequenzen die diese Einschätzung bzw. Einstufung mit sich bring.

Trotzdem haben MPLS Verbindungen immer noch ihre Daseinsberechtigung. Es gibt nach wie vor Gründe MPLS Verbindungen einzusetzen. Jedoch muss man diese der neuen Situation zufolge anders implementieren und vor allem anders mit ihnen umgehen. Um die Vorteile einer MPLS Verbindung zu nutzen muss diese aber wie eine Internet Verbindung abgesichert werden. MPLS Router stehen immer aus Sicht des eigenen Netzwerks vor der Firewall.  Die Verbindungen zwischen Standorten die über MPLS Verbindungen erfolgen, müssen gegen Manipulation und „Man-in-the-Middle“ Angriffe geschützt werden. Alle Daten die über MPLS Verbindungen transferiert werden sind zu verschlüsseln. Ein blindes Vertrauen in MPLS Verbindungen ist angesichts des möglichen Zugriffs Dritter auf die Core Netze der Anbieter nicht mehr angebracht. Das Risiko ist viel zu groß, dass gerade diese als sicher geglaubten Verbindungen genutzt werden um in die Netzwerke von Unternehmen einzudringen.

Das die an sich sicher geglaubten Verbindungen dafür anfällig sind, zeigt ja auch der Zugriff auf die Daten von Google. Hier wurden ja nicht die Rechenzentren direkt angegangen, sondern der Angriff erfolgte auf die Datenleitungen zwischen den Standorten. Hier gab es auch das Argument, dass die Leitungen dediziert nur für Google sind und daher per Definition sicher waren. Somit hat Google die Daten nicht verschlüsselt und die Angriffe sind dann genau über diese Verbindungen erfolgt. Dieses Szenario hat eine sehr große Ähnlichkeit mit MPLS Verbindungen, die ja ebenfalls so eingesetzt werden. Dies zeigt, dass solche Angriffe nicht nur hypothetischer Natur sind, sondern tatsächlich stattfinden. Auch geht es hier um nichts andere als um Wirtschaftsspionage.

Für all diejenigen die MPLS oder ähnliche Verbindungen verwenden stehen nun Hausaufgaben an. Die Verbindungen und die dadurch entstehenden Risiken sind im ersten Schritt neu bewerten. Dieses muss auf Basis einer genauen Analyse entstehen, welche Daten darüber übertragen werden und wie die Verbindungen an das eigene Netzwerk angebunden sind. Ist dies geschehen, so müssen Konzepte entwickelt werden um die Verbindungen abzusichern und sich vor Zugriffen unbefugter Dritter zu schützen. Zudem müssen diese Konzepte auch einen Migrationspfad beinhalten, um das aktuelle Konstrukt in eine gesicherte Umgebung zu überführen. Auch gilt es das Monitoring dieser Verbindungen zu erhöhen um hier Manipulationen, Anomalien oder gar Einbruchsversuche entdecken zu können. Das neue Konzept muss also viele Punkte berücksichtigen und sich individuell an die jeweiligen Anforderungen an die Verbindung anpassen. Was aber noch wichtiger ist, es muss ich in das gesamte Sicherheitskonzept einfügen, es darf keine Insel-Lösung sein, die nur einen Teilaspekt abdeckt und nicht zum Rest passt. Viele die sich noch gar keine Gedanken um ein umfassendes IT Sicherheitskonzept gemacht haben, sollten es zum Anlass nehmen die Sicherheit ihrer IT auf den Prüfstand zu stellen und noch mal alles zu hinterfragen.

Wie immer stehen wir gerne für Fragen zur Verfügung und sind wie gewohnt zu erreichen.