Agitation gegen Einsatz von Verschlüsselung?!

Hier muss man sich allerdings fragen, ob Regierungsvertreter auch ihren Kopf benutzen bevor solche vorschnellen geistige Ergüsse von sich gegeben werden? Ganz zu schweigen davon, dass es den Staat nun mal rein gar nichts angeht mit wem man wann kommuniziert hat und schon erst recht nicht welchen Inhalt diese Kommunikation hatte. Nicht weil man was zu verbergen hätte, es geht rein um das Prinzip – es geht den Staat einfach nichts an. Auf der andere Seite muss man sich dann schon fragen, ob ein Staat angst vor seinen eigenen Bürgern hat, damit diese total zu überwachen sind? Man mag ja auch von der NSA & Co. halten was man will, dumm sind diese mit Sicherheit mal nicht. Moralisches Verhalten und treue gegenüber dem Gesetz ist ein anderes Thema. Aber selbst die NSA empfiehlt die Verschlüsselung von Daten als wirksame Verteidigung im digitalen Krieg. Das BSI spricht ebenfalls solche Empfehlungen aus und hat eine Richtlinie zum Thema Verschlüsselung veröffentlicht. An dieser Stelle sollten dann doch mal die Politiker aufmerken, wenn sich selbst die Geheimdienste und hier das eigene Amt sich entsprechend äußert. 

Wenn eine wirksame Verschlüsselung gesetzlich verboten wird, dann ist dies eine Steilvorlage für alle Kriminellen und im Besonderen für Wirtschaftsspionage. Die Dummen dabei sind diejenigen die sich an die Gesetze halten und damit es denen die sich eh nicht daran halten es noch einfacher zu machen, als es teilweise ohnehin schon ist. Eine Verschlüsselung mit Hintertür oder eine aufgeweichte Verschlüsselung ist de facto keine, weil sich die „Master-Keys“ natürlich nicht vor Dritten schützen lassen. An so etwas hat sich die Firma RSA auch schon versucht und die haben sich ihre Seed’s stehlen lassen. Die Folge: 40 Millionen Token unbrauchbar und die Spätfolgen davon sind noch nicht bekannt. Wie will es dann eine Regierung mit zig Organisation, Behörden und tausenden von Mitarbeitern schaffen, die alle die „Master-Keys“ aus welchen Gründen auch immer benötigen und somit die Keys sehr vielen zugänglich sind. Je mehr man darüber nachdenkt, wird die Idee immer besser! Das geistige Eigentum, das KnowHow und somit die Grundlage vieler Unternehmen ist ohne eine sichere Verschlüsselung massiv gefährdet und im Endeffekt mehr oder weniger öffentlich zugänglich. Wie geistig Einfältig muss man eigentlich sein, um nicht zu erkennen, dass der Einsatz von „keiner“ Verschlüsselung durch kongruierende Staaten oder wirtschaftliche Konkurrenten nicht ausgenutzt wird um sich Vorteile zu verschaffen?! Solche Ideen und Aussagen sind bedrohlicher für einen Staat, seine Bürger und dessen Wirtschaft als es von außen je möglich gewesen wäre.

Im Internet tobt ein Krieg, wenn man es denn so bezeichnen will. Es vergeht kein Tag bei dem nicht über irgendwelche Einbrüche in Netzwerke, DDoS Attacken, Bots und Trojaner in den (IT) Medien berichtet wird. Die meisten Admins im Security-Bereich sind schon dermaßen abgestuft, dass diese Portscans, Brutforce Angriffe, SQL oder andere Code-Injections oder die üblichen kleinen DDoS Attacken schon gar nicht mehr zur Kenntnis nehmen, weil diese im zwei bis dreistelligen Bereichen pro Tag auftreten. Das ist noch nicht mal die Ausnahme, sondern der ganz normal Alltag (Wahnsinn) im Internet. Um sich bzw. das eigene Unternehmen zu schützen bleibt ja nichts anderes übrig als entsprechende Maßnahmen zu ergreifen und vor allem auch auf gesicherte Kommunikationskanäle, sprich Verschlüsselung, und durch Verschlüsselung geschützt Daten zurückzugreifen. Was also sollen dann solche schwachsinnigen Vorschläge auf effektive Verschlüsselung zu verzichten? Dann kann man es auch gleich lassen. Wobei es mir immer noch völlig unbegreiflich ist, von Regierungen die auf Freiheit, Demokratie und Marktwirtschaft fußen so etwas zu hören. Von totalitären Regimen hätte man nichts anderes erwartet, aber selbst diese vertreten ihre wirtschaftlichen Interessen besser, in dem sie ihre Wirtschaftsunternehmen schützen. Wo hingegen der gesetzliche Ausschluss von effektiver Verschlüsselung ein Angriff auf die eigene Wirtschaft darstellt wie er für den Mitbewerb und konkurrierende Staaten nicht besser hätte sein können.

Im privaten Bereich hört man ständig die Diskussion um BigData und wie private Unternehmen, vor allen Dingen die „Großen“ des Internets die Daten ihrer Kunden für alle möglichen Zwecke missbrauchen. Aktuell sind es mal wieder die Facebook AGB’s. Der Datensammelwut und dem Profiling ist auch nur mit Verschlüsselung entgegenzuwirken. Dies gilt insbesondere für Daten die in der Cloud liegen. Ganz zu schweigen von der immer mehr umsichgreifenden Zentralisierung von Krankenakten und Patientendaten. Wie soll das ohne effektive Verschlüsselung gehen? Das Vertrauen in die Cloud ist sowieso nicht besonders groß und nimmt durch solche Aussagen bestimmt nicht weiter zu. Die Anbieter die sich wirklich Mühen wird ein weitere Bärendienst erwiesen. Dazu kommt noch das Internet der Dinge mit der ganzen Automatisierung von Gebäuden und die in den Fahrzeugen immer mehr einzughaltende Netzwerktechnik. Wie soll denn so etwas ohne eine gesicherter Kommunikation funktionieren? In Zukunft braucht es dann keinen Sprengstoff oder andere Waffen um ein Attentat zu verüben, dann reicht ein Smartphone völlig aus, um ein Flugzeug abstürzen zu lassen, ein Verkehrschaos zu verursachen oder Infrastrukturen von Strom, Wasser oder Gas zu manipulieren. Denn bei schwacher oder so gut wie keiner Verschlüsselung hat jedes Smartphone ausreichend Rechenleistung um diese schwache Barriere zu überwinden. Daumen hoch  – das ist mal der richtige Start in 2015!

Nicht nur vielleicht, sondern im Grundsatz sollten hier alle noch mal ganz genau darüber nachdenken, bevor(!) sie den Mund aufmachen um irgendwelchen medienwirksamen und populistischen Blödsinn von sich zu geben. Denn mit funktionierender IT und einen sicheren Betrieb von Anlagen und Systemen kann der Verzicht auf Verschlüsselung nichts zu tun haben. All dies gilt zudem ganz besonders für den Rechtsstaat und eine Demokratie. Denn das ist dann wirklich eine Frage der nationalen Sicherheit! Zu diesem Schluss kommt auch der Rechtsausschuss des Europarats, der hier ganz klar für Verschlüsselung Stellung bezieht. Die gleiche Richtung vertritt der Ausschuss für Technikfolgenabschätzung des EU-Parlaments. Hier gibt es offensichtlich doch noch Menschen die wirklich nachdenken und sich dann auch erst äußern, nach dem sie sich Gedanken um die möglichen Folgen eines bestimmten Handelns gemacht haben. Sehr Interessant ist auch die Eingabe des CCC, die sich gänzlich gegen unverschlüsselte Kommunikation oder Speicherung stellt.

Willkommen in den Crypto Wars 3.0 – die schon verloren sind bevor sie angefangen haben.

Wie sicher sind MPLS Verbindungen?

Die neusten Enthüllungen im NSA Skandal um Zugriffe von Geheimdiensten auf den Backbone von Providern wirft wieder die Frage nach der Sicherheit von MPLS Verbindung auf. Das Problem: MPLS Verbindungen sind sicher per Definition. Das Argument war immer: Niemand hat Zugriff auf unsere Backbone. Zudem sind MPLS Verbindungen an sich nicht verschlüsselt – gelten aber als VPN.

Auf dem Hintergrund der neusten Veröffentlichungen muss man sich nun wieder einmal die Frage stellen, sind MPLS Verbindungen sicher oder sind sie es nicht? Haben Nachrichtendienste tatsächlich Zugriff auf den Backbone, dann können MPLS Verbindungen nicht mehr als sicher eingestuft werden. In diesem Fall spielt es auch keine Rolle ob die Verbindungen an sich verschlüsselt werden oder nicht. Mit dem Zugriff auf die Core-Systeme hat man auch Zugriff auf die Schlüssel der Verbindungen. Durch den Besitzt der Schlüssel ist die Verschlüsselung an sich irrelevant. Der Einsatz von MPLS Verbindungen muss völlig neu bewertet werden.

Ein noch gravierender Aspekt der ganzen Angelegenheit liegt in der Implementierung von solchen Verbindungen. Viele sehen ein MPLS Verbindungen wie das eigene Netz und binden so Niederlassungen, Kunden oder Partner an. In sehr vielen Fällen steht der MPLS Router mehr oder weniger direkt im lokalen Netzwerk des jeweiligen Standorts. Vielleicht gibt es noch ein Transfernetz aber das war’s dann auch schon. Den MPLS Router noch mal durch eigene Systeme abzusichern machen wie wenigsten. Damit verliert man so zu sagen den Vorteil des Managed Service, da das eigene Systeme auch eigene Ressourcen kostet, was man vermeiden wollte. Ergo ist im Normalfall nichts an Absicherung oder Schutz zwischen dem MPLS und dem eigenen Netz. Haben Dritte tatsächlich Zugriff auf den Backbone der Provider, so ein MPLS Router nicht mal mehr eine kleine Hintertür, sondern ein eher ein Gate für Container-Schiffe im Core-Bereich des eigenen Netzwerks und der eigenen Server. Umverschlüsselter Datenverkehr im MPLS Netz ist die eine Sache, aber der eineingeschränkte Zugriff auf das eigene Netz eine ganz neue Dimension.

Unabhängig von allen Beteuerungen der Anbieter müssen MPLS Verbindungen völlig neu bewertet werden. Vor allen Dingen welchen Angriffsvektor ein MPLS Router auf die eigene Infrastruktur bietet. Als nächstes muss eine Bewertung der Sicherheit und Vertraulichkeit der Daten die per MPLS Verbindungen übertragen werden stattfinden. In letzter Konsequenz kann man nur zu dem Schluss kommen, dass MPLS Verbindungen die gleiche Sicherheit bzw. das gleiche Risiko wie Internet Verbindungen aufweisen. Im Grunde genommen ist es ganz einfach. Es kann nicht mehr ausgeschlossen werden, dass Dritte Zugriff auf die übertragenen Daten oder auf die Verbindungen an sich bekommen. Somit sind MPLS Verbindungen wie Internet Verbindungen zu behandeln. Mit allen Konsequenzen die diese Einschätzung bzw. Einstufung mit sich bring.

Trotzdem haben MPLS Verbindungen immer noch ihre Daseinsberechtigung. Es gibt nach wie vor Gründe MPLS Verbindungen einzusetzen. Jedoch muss man diese der neuen Situation zufolge anders implementieren und vor allem anders mit ihnen umgehen. Um die Vorteile einer MPLS Verbindung zu nutzen muss diese aber wie eine Internet Verbindung abgesichert werden. MPLS Router stehen immer aus Sicht des eigenen Netzwerks vor der Firewall.  Die Verbindungen zwischen Standorten die über MPLS Verbindungen erfolgen, müssen gegen Manipulation und „Man-in-the-Middle“ Angriffe geschützt werden. Alle Daten die über MPLS Verbindungen transferiert werden sind zu verschlüsseln. Ein blindes Vertrauen in MPLS Verbindungen ist angesichts des möglichen Zugriffs Dritter auf die Core Netze der Anbieter nicht mehr angebracht. Das Risiko ist viel zu groß, dass gerade diese als sicher geglaubten Verbindungen genutzt werden um in die Netzwerke von Unternehmen einzudringen.

Das die an sich sicher geglaubten Verbindungen dafür anfällig sind, zeigt ja auch der Zugriff auf die Daten von Google. Hier wurden ja nicht die Rechenzentren direkt angegangen, sondern der Angriff erfolgte auf die Datenleitungen zwischen den Standorten. Hier gab es auch das Argument, dass die Leitungen dediziert nur für Google sind und daher per Definition sicher waren. Somit hat Google die Daten nicht verschlüsselt und die Angriffe sind dann genau über diese Verbindungen erfolgt. Dieses Szenario hat eine sehr große Ähnlichkeit mit MPLS Verbindungen, die ja ebenfalls so eingesetzt werden. Dies zeigt, dass solche Angriffe nicht nur hypothetischer Natur sind, sondern tatsächlich stattfinden. Auch geht es hier um nichts andere als um Wirtschaftsspionage.

Für all diejenigen die MPLS oder ähnliche Verbindungen verwenden stehen nun Hausaufgaben an. Die Verbindungen und die dadurch entstehenden Risiken sind im ersten Schritt neu bewerten. Dieses muss auf Basis einer genauen Analyse entstehen, welche Daten darüber übertragen werden und wie die Verbindungen an das eigene Netzwerk angebunden sind. Ist dies geschehen, so müssen Konzepte entwickelt werden um die Verbindungen abzusichern und sich vor Zugriffen unbefugter Dritter zu schützen. Zudem müssen diese Konzepte auch einen Migrationspfad beinhalten, um das aktuelle Konstrukt in eine gesicherte Umgebung zu überführen. Auch gilt es das Monitoring dieser Verbindungen zu erhöhen um hier Manipulationen, Anomalien oder gar Einbruchsversuche entdecken zu können. Das neue Konzept muss also viele Punkte berücksichtigen und sich individuell an die jeweiligen Anforderungen an die Verbindung anpassen. Was aber noch wichtiger ist, es muss ich in das gesamte Sicherheitskonzept einfügen, es darf keine Insel-Lösung sein, die nur einen Teilaspekt abdeckt und nicht zum Rest passt. Viele die sich noch gar keine Gedanken um ein umfassendes IT Sicherheitskonzept gemacht haben, sollten es zum Anlass nehmen die Sicherheit ihrer IT auf den Prüfstand zu stellen und noch mal alles zu hinterfragen.

Wie immer stehen wir gerne für Fragen zur Verfügung und sind wie gewohnt zu erreichen.

Die Pseudo-Sicherheit von MPLS Verbindungen

Unternehmen die ihre Standorte mit MPLS Strecken untereinander verbinden haben oft ein falsches Bild von der Sicherheit dieser Verbindungen. Das Marketing und der Vertrieb der Telcos bezeichnen MPLS Verbindungen als VPN und genau hier liegt der Fehler in Sachen Sicherheit.

Multi Protocol Label Switching (MPLS) ist nichts anderes als eine Durchleitung von Daten über die Systeme des Anbieters oder dessen Kooperationspartnern. Da der Datenfluss über die Label einem vorgegeben Weg folgt und so keine Routing-Entscheidungen getroffen werden müssen, wie es sonst bei einer Internet-Verbindung notwendig ist, sind MPLS Verbindungen theoretisch hochwertiger. Der andere Grund, warum Unternehmen diese Verbindungen nutzen, ist der Managed Service durch den Anbieter. So wird das eigene IT Team entlastet und es gibt keinen Wartungsaufwand bei den Systemen, denn das übernimmt der Betreiber. Es gibt also gute Gründe, die für eine MPLS Verbindung sprechen.

Technisch gesehen, ist eine MPLS Verbindungen das Durchleiten von Daten über den Backbone und somit über die Core-Systeme des Anbieters. Die Endpunkte sind Übergaberouter die durch den Anbieter bereitgestellt werden. Die Technik ist ausgereift, schon lange etabliert und funktioniert wie gewünscht. Der Kunde bekommt ein virtuelles privates Netz (VPN) mit seinen IP Adressbereichen. Jedoch beruht die Sicherheit dieser Verbindungen auf dem Argument der Anbieter, dass kein andere Zugriff auf ihre Backbone- und Core-Systeme hat. Dass das so sein sollte dürfte als selbstverständlich gelten. Trotzdem gibt es ein Problem, welches häufig nicht bedacht wird. Diese Verbindung ist zwar ein VPN aber ohne Verschlüsselung! Die Daten werden unverschlüsselt übertragen, was sich bei internationalen Verbindungen über die Netze entsprechender Kooperationspartner sich als sicherheitstechnisch kritisch erweisen kann. Dies gilt es in jedem Fall bei Einsatz von MPLS Verbindungen zu beachten.

In diesem Artikel geht es nicht darum irgendeinem der Anbieter etwas zu unterstellen oder gar zu behaupten, dass sie die Verbindungen und somit die Daten ihrer Kunden missbrauchen. Es geht aber darum, dass VPN nicht gleich dem VPN ist, was gemeinhin als privates verschlüsseltes Netzwerk zwischen zwei Standorten angenommen wird. Davon ist ein MPLS weit entfernt und es muss jedem klar sein, dass seine Daten ohne jegliche Verschlüsselung übertragen werden. Die Übertragung findet zwar über die Systeme des Anbieters statt, aber trotzdem verlassen sie unverschlüsselt das Unternehmensnetzwerk. Dies sollte man immer bedenken, wenn Daten über diese Verbindungen übermittelt werden.

Sicherlich kommt es auch hier wieder darauf an, welche Daten und vor allem wie diese Daten übertragen werden. Vor allem ist es auch wichtig, an welchen Punkt im Netzwerk ein MPLS terminiert. Ein MPLS ist nüchtern betrachtet keine Verbindung die einfach so als vertrauenswürdig eingestuft werden darf. Daher sollte eine MPLS Verbindung immer über die Firewall geführt werden, um wenigsten durch entsprechende Policy‘s die Kommunikation nur auf die benötigten Systeme einzuschränken oder sie anderweitig zu prüfen. Sensible Daten sollten auch über MPLS Verbindungen immer verschlüsselt übertragen werden.

Die Bewertung der Sicherheit einer MPLS Verbindung muss auf jeden Fall in die Sicherheitsbewertung externen Verbindungen mit aufgenommen werden. Es sei jedem selbst überlassen zu bewerten wie Sicher die Core-Infrastruktur des Anbieters ist und wie wahrscheinlich es ist, dass hier Dritte zugriff erlangen können. Aktuell scheint es realistischer zu sein, dass ein Angriff über die MPLS Komponenten des Kunden erfolgt. Denn es teilen sich nun mal mehrere Kunden die Systeme des Anbieters. Ebenfalls scheint es realistischer zu sein, dass statt eines Zugriff durch Dritte auf die Core Systeme, eher ein Konfigurationsfehler eines Administrators beim Provider dazu führt, dass unbefugte Zugriff auf Verbindungen oder Inhalte erlangen können.

Eine grundsätzliche Neubewertung von MPLS Verbindungen muss auch insbesondere auf dem Hintergrund von Prism bzw. dem NSA Abhöhrskandal erfolgen. Wobei aber aktuell das Problem besteht, wirkliche Fakten von Sensationsmeldungen zu trennen. Zumindest muss davon ausgegangen werden, dass bei internationalen MPLS Verbindungen die Übertragung in unverschlüsselter Form gründlich zu überdenken ist.

Bei Fragen zur Absicherung von MPLS Verbindungen stehen wir gerne zur Verfügung.

Die Bedeutung des Netzwerks in der IT-Infrastruktur

An die Netzwerk-Infrastruktur in virtuellen Umgebungen werden besondere Anforderungen gestellt, die sich teilweise deutlich von den traditionellen Eigenschaften unterscheiden. Ein modernes Rechenzentrum ohne virtualisieren Systeme gibt es so gut wie nicht mehr. Auch stellt ebenfalls die IT Sicherheit hohe Anforderungen an das Netzwerk. Dazu soll heute ein Netzwerk eine hohe Leistung, geringe Latenz, Sicherheitsfunktionen und dazu einen hochverfügbaren Betrieb aufweisen. All diese Anforderungen zeigen, welche Bedeutung heutige Netzwerkkomponenten für eine funktionierende IT Infrastruktur haben.

Das Thema VLAN für sich genommen zeigt die Komplexität einer modernen Netzwerk-Infrastruktur. Durch die virtuellen Systeme gibt es nicht mehr „die“ physikalische DMZ. Dazu kommt noch die Tatsache, dass eine DMZ in den meisten Fällen und schon bei kleinen Umgebungen nicht mehr ausreichend ist. Als Beispiel ist hier eine Intranet Implementation zu nennen, die sowohl von intern als auch von extern zu erreichen ist. Hier gibt es Applikationsserver, Datenbankserver, Content-Server und die Test und Entwicklungsumgebung. Aus Sicherheitsgründen sind diese Server-Bereiche in eigenen DMZ und gegeneinander abgeschottet. Hintergrund ist hier nicht zuletzt die Tatsache, dass es immer wieder Lücken und Sicherheitsprobleme in den Anwendungssprachen und nicht zuletzt auch in der Programmierung selbst vorhanden sind.

Oft wird eine solche Lücke so schnell ausgenutzt, dass bis der Patch und eine Anpassungen der Programmierung da sind, es schon zu spät ist. Der Server ist kompromittiert worden. Ist der Server nicht gegen den Rest entsprechend abgeschottet, ist das Problem was mit dem Hack schon groß genug ist, ganz schnell noch viel größer und es sind Daten betroffen, die unter keinen Umständen für Dritte bestimmt sind. Dieses kleine Beispiel einer Intranet-Umgebung zeigt, welche Ansprüche hier schon an ein Netzwerk gestellt werden, wenn es alleine um die Sicherheit geht. Damit ist es aber nicht genug, denn gerade bei verteilten Server-Diensten kommt jetzt der Faktor Leistung und Latenz zur Sicherheit hinzu. Sicherheit ist das eine, Performance ist das andere, denn es nützt das ausgefeilteste Sicherheitskonzept nicht, wenn die Anwendungen durch falsches Design und Komponenten so langsam ist, dass sie den Anwendern nichts nützen.

Gerade beim Thema Leistung zeigen sich deutliche Unterschiede bei den Netzwerkkomponenten. Die Regel ist hier aber vergleichsweise einfach, Leistung und Funktionsumfang sind proportional zum Preis der Komponenten. Datacenter und Top-of-Rack Switches sind keinesfalls überbucht und liefern pro Port dessen dedizierte Leistung. Im Access Bereich mit Gigabit Ports ist ein gewisses Maß an überbuchten Prozessoren normal und auch ohne Probleme für die Clients die Regel. Aber um es noch mal in aller Deutlichkeit zu sagen, im Datacenter Bereich haben überbuchte Switches nichts zu suchen. Denn bei deren Einsatz entstehen die meisten Performance-Probleme im Rechenzentrumsbetrieb. Dazu kommt dann noch der mangelnde Funktionsumfang von den „günstigen“ Komponenten der sein Übriges noch hinzufügt.

Das Netzwerk ist nun mal die Basis einer jeden IT Infrastruktur und Designschwächen hier wirken sich immer gleich global auf die gesamte Struktur mit all ihren Komponenten aus. Mangelnde Funktionen beim Netzwerk bedingen faule Kompromisse beim System- und Sicherheits-Design und schwächen somit die komplette Infrastruktur und das alles nur, weil das Netzwerk einfach nicht in der Lage ist, die einfachsten Funktionen die schon seit Jahren zum Standard gehören bereitzustellen. Abgesehen von diesen Problemen im administrativen Bereich, sorgen Netzwerk-Probleme bei den Anwendern ebenfalls für unnötigen Ärger. Abbrüche und langsame Verbindungen machen bei der Arbeit nicht wirklich Spaß und kosten dazu noch Geld, weil die Arbeit deutlich produktiver sein könnte, wenn die Antwortzeiten besser sind.

Passende Netzwerkkomponenten mit der richtigen Konfiguration gehören somit zu den Hausaufgaben verantwortungsbewusster Administratoren und Betreiber von IT Anlagen. Auf Sicherheit zu verzichten, nur weil das Netzwerk es nicht hergibt, ist kein Kompromiss den man eingehen sollte. Vor allem dann nicht, wenn die restlichen Komponenten es könnten und die „Bremse“ das Netzwerk ist. Trotzdem gilt auch hier, keinen blinden Aktionismus an den Tag zu legen, sondern vielmehr sind hier überlegte und strategisch ausgerichtete Entscheidungen zu treffen. Vor allem müssen diese Entscheidungen in das Gesamtkonzept der IT passen und sich an dem kommenden Weg ausrichten. Die IT ist nach wie vor im Wandel und ein Netzwerk muss in der Lage sein, diesen Wandel mit zu gehen. Die gute Nachricht ist aber, dass es Komponenten gibt, die alle notwendigen Eigenschaften vereinen und dazu noch die nötige Flexibilität aufweisen, um für zukünftige Anforderungen gerüstet zu sein.

Bei Fragen zum Netzwerk- und Security-Design stehen wir wie gewohnt zu Verfügung.

Google Drive, Microsoft Skydrive, Apple iCloud, Dropbox & Co.

USB Stick war gestern! Auch so könnte die Überschrift des Artikels lauten. Doch ganz so neu sind diese Cloud-Dienste nicht, nur mit Microsoft und Google kommen nun zwei Anbieter hinzu, die eine riesige Menge an Anwendern erreichen können und werden. Dazu kommt noch, dass Microsoft 7 GB und Google 5 GB Speicher kostenlos zur Verfügung stellen und Google in diesem Zuge auch gleich die Googlemail Postfachgröße von 7 GB auf ganze 10 GB erhöht – und das sind nur die kostenlosen Voluminas.

Zugegeben es ist schon praktisch einen solchen bequemen, von überall und ständig verfügbaren Speicher für alle möglichen Daten zu haben. Geschuldet ist es auch der Notwendigkeit Daten und Informationen für mobile Endgeräte zur Verfügung zu stellen. Und dieser Wandel schreitet immer weiter fort. Ob einem dies nun gefällt oder nicht, der Wandel findet statt und das nicht nur in diesem Bereich.

Arbeitsplätze mit so genannten Fat-Clients sind für die meisten Anwender und Anwendungen völlig überdimensioniert und schon lange nicht mehr zeitgemäß. Daher muss man sich die Frage stellen: Was für Anwendungen gibt es denn noch, die zwingend einen lokalen vollwertigen Arbeitsplatz erfordern? CAD/CAM?! Diese Zeiten sind längst vorbei, selbst diese Arbeitsplätze „laufen“ schon lange im Rechenzentrum und es bedarf lediglich einem wenig besseren Thin-Client, um die größeren Displays im Multi-Screen-Betrieb bedienen zu können. Aber lokale Rechenleitung für die CAD-Anwendung bedarf es dafür nicht mehr. Dies gilt umso mehr für Anwendungen die sich mit noch weniger Ressourcen zufrieden geben.

Die letzten “Überbleibsel” aus der mobilen Offline-Welt sind Notebooks, wobei hier schon mit Ultrabooks, Netbooks & Co. ebenfalls andere Geräte zur Verfügung stehen, die kleiner, leichter und deutlich mobiler sind. Führt man dies konsequent weiter, kommt man zu den Tablets und den immer leistungsfähigeren Smartphones. Somit sind auch die Tage des Notebooks an sich gezählt. Hier dauert es nur gegenüber dem vollwertigen Arbeitsplatz noch etwas länger bis zur Ablösung der Notebooks.

All diese Entwicklungen in der Benutzung von IT führen mittel- bis langfristig dazu, dass fast alle vollwertigen Geräte abgelöst werden. Es wird auf absehbare Zeit zwar immer noch einen festen Anteil dieser Geräte geben, nur wird dieser sehr gering sein und sich auf spezielle Anforderungen beschränken. Je leichter und leistungsfähiger bei gleichzeitig längerer Akku-Laufzeit die neuen mobile Geräte werden, umso mehr werden diese sich durchsetzen und die aktuell genutzten Geräte inklusive ihres Zubehör verdrängen. Zu diesem Zubehör gehört zum Beispiel auch der USB Stick, er wird zwar nicht so schnell in Gänze verschwinden aber an dessen Stelle rücken die Cloud-Speicherdienste – und das schon jetzt. Denn mit ihnen ist es geradezu ein leichtes Dokumente und Dateien auf allen mobilen Geräte im Zugriff zu haben und vor allem auf allen Geräte immer die aktuellen Version.

Zum modernen Berufsleben gehört es selbstverständlich dazu, im Büro, von unterwegs, von zu Hause oder mal eben aus dem Café auf Dokumente oder Informationen zuzugreifen. Diese Dokumente und Informationen nun ständig auf einem physikalischen Medium mit sich herum zutragen, ist weder praktikabel noch wirklich sicher. Denn so ein Medium kann sehr schnell verloren gehen oder durch einen Defekt die Daten verlieren.

Daher liegt es sehr nahe auf einen Speicherdienst in der Cloud zurückzugreifen und dort die Dokumente und Informationen zur Verfügung zu stellen. Soweit nun der praktische Nutzen. Die Frage ist nur, wie sicher sind diese Daten in den Speicherdiensten der Cloud? Nutzt man mehr oder weniger öffentliche Speicherdienste, wie zum Beispiel von Google oder Microsoft, so sollte man sich genau überlegen, welche Informationen dort hochgeladen werden und wie sicher das Passwort für den Zugang ist. Dazu kommt noch, dass es sich bei diesem Beispiel um US amerikanische Unternehmen handelt, die natürlich an US Gesetze gebunden sind. Zu nennen ist hier stellvertretend für die anderen Gesetze der Patriot-Act.

Generell sind diese Dienste in der Cloud ja nicht ungeeignet und können sehr hilfreich und nützlich sein. Sie bieten sich geradezu an um Informationen zu verteilen die einen öffentlichen Charakter haben oder haben dürfen. Zumal es diese Dienste ja erlauben, ausgewählte Informationen öffentlich oder einem bestimmten Personenkreis zugänglich zu machen. Hier gibt es je nach Dienst verschiedene Optionen zum Veröffentlichen der Informationen.

Geht es aber auch darum Informationen die nicht diesen öffentlichen Charakter haben, mit einem Cloud-Dienst bereitzustellen, bleibt nur der Weg einen eigenen Service zu verwenden. Dies setzt aber wiederum bestimmte Rahmenbedingen voraus. Angefangen von der Bandbreite des eigenen Internet-Anschlusses bis hin zu ausreichend Ressourcen in der Infrastruktur selbst. Denn diese Dienste werden sehr schnell von sehr vielen Mitarbeitern mit immer mehr Datenvolumen genutzt. Wird dann noch der Betrieb auf dem Hoheitsgebiet Deutschlands durchgeführt, so unterliegt man nationalem Recht. Eine Option stellt der Betrieb innerhalb der Grenzen der EU dar. Ein solcher Dienst mit einer geeigneten Absicherung stellt aktuell bei sensiblen Daten die einzige Option da.

Trotz dieser Bedenken werden die angebotenen Dienste in einem immer größer werdenden Umfang verwendet. Ob das Missbrauchspotential dadurch höher ist oder ob es gegenüber den jetzt schon genutzten Online-Diensten anders zu bewerten ist, sei mal dahingestellt. Die Dunkelziffer an der nicht autorisierten Benutzung von USB-Sticks oder privaten Mail-Accounts kann höchsten durch die Cloud-Speicherdienste zurückgehen. Denn Mitarbeiter nutzen diese Online-Speicherdienste schon länger ohne Wissen der IT oder der Geschäftsleitung. Daher ergibt sich nun wieder für die Unternehmen und deren IT die Chance einen eigenen Dienst mit entsprechender Kontrolle und Absicherung für die eigenen Nutzer anzubieten und zur Verfügung zu stellen. So lässt sich ein Speicherdienst unter den eigenen Bedingungen etablieren und dabei gleichzeitig den Anforderungen der Benutzer gerecht werden.

Fällt eine Entscheidung gegen den eigenen Dienst, zum Beispiel aus Gründen mangelnder Ressourcen bei der Internet-Anbindung oder bei der Infrastruktur selbst, muss es im Gegenzug dafür eine Richtlinie für die Nutzung von öffentlichen Speicherdiensten geben. Hier ist die IT und auch die Geschäftsleitung in der Pflicht. Gerade im Hinblick der mobilen Geräte und der Cloud-Nutzung kann man davor nicht die Augen verschließen und somit das Problem einfach ausblenden zu wollen. Die Geräte sind da, die Dienste stehen zur Verfügen, sie werden genutzt.

Daher muss das Fazit sein, jetzt aktiv die Nutzung zu gestalten und nicht zu versuchen gegen Windmühlen und etabliertes Verhalten ankämpfen zu wollen.

Data Leak Prevention – DLP

Die Kommunikationswege werden immer komplexer und für den einzelnen Anwender kaum noch überschaubar. Daher kommt es immer häufiger vor, dass unbeabsichtigt interne Informationen an Dritte weitergegeben werden. Schlimmer ist es natürlich noch, wenn dies absichtlich geschieht. Um dies zu verhindern kommt auf den Schutz am Perimeter eine neue Aufgabe zu. Hier an der Schnittstelle zum Internet ist so zu sagen die letzte Bastion, die die Daten im Unternehmen hält. Dieser neuen Herausforderung gilt sich nun zu stellen.

Alleine der Datenverlust der unbeabsichtigt und durch Unachtsamkeit passiert, nimmt schon einen großen Anteil der täglich verlorenen Daten ein. Wie schnell passiert es, dass die automatische Vervollständigung von Empfängern im Mail-Client dafür gesorgt hat, dass nicht der gewünschte Empfänger die Mail bekommen hat, sondern jemand ganz anderes. Auch sind Weiterleiten und Antworten schnell verwechselt. Dazu kommt oft noch, dass die vorhergehende interne Kommunikation gar nicht mehr beachtet wird und diese unbemerkt an einen Kunden gesendet wird.

So passiert es dann ganz ohne jegliche Absicht, dass Daten oder Informationen die nicht für externe bestimmt sind das Unternehmen verlassen. Dazu kommt noch, dass Schadcode in Form von Trojanern oder Würmern die vorhandene Email-Infrastruktur nutzen um die von ihnen gestohlenen Information aus dem Unternehmen zu bekommen. Die Wege auf denen die Informationen abfließen können sind vielfältig.

Daher braucht es eine Technik, die in der Lage ist dies zu erkennen und dann entsprechend einschreitet bevor es zu spät ist. Wichtig ist in diesem Zusammenhang, dass der Anwender mit einbezogen wird. Besonders dann, wenn es nicht sicher ist, ob es sich um eine gewünschte Aktion handelt. Ein Beispiel hierfür könnte die Kommunikation mit einer Sozietät oder einem Finanzdienstleister sein. In diesem Fall kann es durchaus legitim sein bestimmte Informationen auszutauschen. Trotzdem gilt auch hier, dass gerade Email keine sichere Form für vertrauliche Informationen ist. Selbst in diesem Fall kann die DLP helfen, dass solch sensible Informationen nicht im Klartext per Email übertragen werden.

Die neue Aufgabe, wichtige und sensible Informationen im Unternehmen zu behalten, ist wichtiger denn je. Besonders dann, wenn Informationen nur noch digital vorhanden sind, ist deren Kontrolle eine komplexe Angelegenheit die es zu bewältigen gilt. Diese Aufgabe muss von den Systemen an der Schnittstelle zum externen Netzwerk erfolgen. Dann ab hier ist jegliche Kontrolle aus der Hand gegeben, wenn die Informationen erst einmal diesen Punkt passiert haben.

Die Data Leak Prevention (DLP) ist aber keine Funktion die Anwender zu gängeln, sondern sie soll die Anwender unterstützen. Bei der täglichen Arbeit verhindert sie Missgeschicke und in Fällen von Schadcode der die Infrastruktur missbraucht, wird verhindert, dass die Informationen unkontrolliert abfließen. Der Schutz der eigenen Informationen und somit den Unternehmenswerten an sich, ist die Herausforderung die es zu bewältigen gilt. Die Bedrohung ist nicht nur in theoretischer Form vorhanden, sie ist real. Das zeigen die Einbrüche bei Rewe, Penny, Sony, Lockheed Martin, Epic Games, …

Bei Fragen zur DLP, stehen wir wie gewohnt zur Verfügung.

Schutz kritischer Daten

Die jüngsten Ereignisse von digitalen Einbrüchen und unzureichend Geschützen Daten führt nur zu gut vor Augen wie Anfällig vernetzte Systeme sein können. Da ist nur der Diebstahl bei RSA ein weiterer Punkt in der Kette zu schwacher Absicherung. Wer jetzt wieder mit dem „Argument“ kommt, „Bei uns ist nicht wichtiges“ der verkennt völlig die aktuelle Lage. Das „Wichtige“ sind die Daten, ob in der privaten Wirtschaft, öffentlichen Stellen oder gar Patienten- oder Gesundheits-Daten.

Alle diese Daten stellen einen erheblichen Wert da und müssen mit allen technischen und organisatorischen Maßnahmen geschützt werden. Ist dies nicht der Fall, entstehen sehr schnell massive Schäden und dies nicht nur im finanziellen Bereich. Wichtig ist zu aller erst, die Sensibilisierung und das Verständnis dafür, wie wichtig die eigenen Daten sind. Werden die Daten so wahrgenommenen, was sie tatsächlich sind – eine hohes wirtschaftliches Gut – ist schon mal viel gewonnen.

Die Absicherung von Daten und somit der Infrastruktur ist dann der nächste Schritt. Hier ist es besonders wichtig von Anfang an ein Infrastruktur-Design zu verfolgen, was strikt auf Sicherheit ausgelegt ist. Sicherheit ist nicht lästig, sondern ein Grundsatz!

Aber Sicherheit fängt schon im Kleinen an. Hier sollte mal jeder für sich die Frage beantworten, warum die Windows Firewall in den meisten Fällen einfach nur aus ist, statt Regeln einzufügen die nur die notwendigen Zugriffe gestatten?! Warum sind Sicherheitsfunktion die von den Betriebssystemen „frei Haus“ mitkommen nicht genutzt? Fällt die Antwort hier ehrlich aus, dann kommt sie recht nahe an „Bequemlichkeit“. Ist die Antwort „keine Zeit“, dann ist es um die IT schlimm bestellt. Wenn keine Zeit für den Betrieb einer abgesicherten Infrastruktur da ist, dann ist dies nicht das einzige Problem dieser IT-Umgebung. Aber hier ist man wieder an dem Punkt der Sensibilisierung.

Ein einfaches Beispiel ist die Mail-Infrastruktur. Natürlich will keiner ein Open-Relay sein und von Spammern missbraucht werden. Aber muss auf der anderen Seite ein Mail-Server ein Open-Relay in der eigenen Infrastruktur sein? Um es drastischer auszudrücken: Tut das Not? Sicher nicht. Begrenzt man hier die Hosts für die relayed wird, dann ist schon mal viel gewonnen. Das System kann dann nicht durch irgendeinen Host der mit einem Bot oder Trojaner infiziert ist zum Versand von Mail genutzt werden. Auch beim Mail-System sollte man noch einen Schritt weitergehen. Gerade auf dem Hintergrund, dass man eine Infektion durch einen Bot oder Trojanes nicht ausschließen und um Opfer werden kann, ist eine Outbound Mail-Kontrolle ebenso wichtig. Viele Sicherheitssysteme geben diesen Schutz ja her, er muss genutzt werden.

Kombiniert man diese Outbound-Kontrolle noch mit einer Data Leak Prevention, dann ist dem Missbrauch der Mail-Systeme noch ein größerer Riegel vorgeschoben.

Zu den organisatorischen Aufgaben gehört die Überarbeitung der Datei-Rechte des File-Servers. Diese ist ebenfalls ohne neue Systeme und einfach mit dem Vorhandenen zu realisieren. Hier sind die Fragen, wer muss auf was und warum zugreifen zu beantworten. Der Grundsatz der minimalen Rechte sollte auch hier gelten. Nur das was wirklich benötigt wird, sollte auch zur Verfügung stehen – aber auch nicht mehr. Dies hat auch einen pragmatischen Hintergrund, ist ein Client von Schadcode befallen, dann kann er nicht alle Dateien einer Freigabe infizieren.

Diese einfachen und meist schon vorhandenen Optionen zeigen mit welchen einfachen Mitteln die Sicherheit in der eigenen Infrastruktur deutlich zu erhöhen ist. Ist dies passiert, dann müssen die nächsten Schritte folgen. Sonst verpufft die Initiative einfach und die schon investierte Zeit ist ebenfalls einfach so verloren. Wie schon oft in den Blog-Artikel beschrieben, Sicherheit ist ein dynamischer Prozess und kein statisches Konstrukt. Stetige Anpassungen und Verbesserungen sind der Garant einer geschützten Infrastruktur.

Die nächsten Schritte die dann folgen, sind ein Re-Design der Infrastruktur mit der Ausrichtung auf Sicherheit und dem Schutz der eigenen Daten. Dazu gehören die technische, aber eben auch die organisatorische Ausrichtung, die immer die Zielsetzung auf Sicherheit haben muss.

Es gibt natürlich nicht „die“ Maßnahmen, sondern immer ein an die jeweilige Organisation angepasstes Konzept. Daher will der Artikel nicht „die“ Lösung präsentieren, sondern vielmehr sensibilisieren und auf die Dringlichkeit dieses Themas hinweisen.

Bei Fragen zum Thema sind wir, wie immer, wie gewohnt zu erreichen.

Innere Sicherheit

Die Angriffe auf dem Internationalen Währungsfonds (IWF) haben wieder eines ganz deutlich gezeigt. Angriffe auf die Infrastruktur finden auch aus dem Inneren statt. Zwar nicht in der Häufigkeit, wie manche „Thread Reports“ glauben machen wollen, aber sie sind trotzdem eine reale Gefahr.

In vielen Infrastrukturen ist der Blick auf dem Perimeter gerichtet und vor allem, auf das was aus Richtung des Internets dort ankommt. Dies ist ja auch grundsätzlich richtig, aber die Absicherung im Inneren darf nicht vernachlässigt werden. Man neigt zu oft dazu, gerade das innere Netzwerk und die darin stehenden Systeme als „trusted“ anzusehen. Aber ist es dies wirklich?

Angriffe aus dem inneren auf die eigenen Systeme sind zwar weniger häufig aber in den meisten Fällen sehr erfolgreich. Das Sicherheitsniveau im Inneren ist oft sehr niedrig oder gar nicht vorhanden. Dies kommt natürlich dem Angreifer zu Gute und führt so zu dessen Erfolg. Daher ist es ebenso wichtig, den Blick auf das innere Netzwerk und die Systeme zu richten und diese dann ihrem realen Sicherheitsrisiko entsprechend einzustufen und anzusehen.

Innere Systeme sind nicht automatisch „trusted“ nur weil sie im inneren Netzwerk stehen. Richtet man sein Sicherheitskonzept danach aus, dass interne Systeme nicht automatisch sicher sind, dann steigt das Sicherheitsniveau noch mal deutlich. Zu den ersten Maßnahmen gehört zweifelsohne die Segmentierung des Netzwerks mit VLANs. Sind die Segmente vorhanden, dann lassen sich leicht ACL’s zwischen ihnen realisieren oder auch interne IPS Sensoren installieren, die wiederum mehr Kontrolle bringen. Alleine die Einschränkung mit ACL’s zwischen den Segmenten kann sehr oft die Ausbreitung und somit den Missbrauch durch Schadcode verhindern. Selbst wenn der Missbrauch oder die Ausbreitung nur eingeschränkt wird und nicht gänzlich verhindert werden kann, ist sehr viel gewonnen. Auch schon in diesem Fall ist die Verbreitung nur begrenzt und es ist nicht die ganze Infrastruktur davon betroffen.

Bei der inneren Sicherheit geht es genau wie beim Schutz der eigenen Informationen um eine Sensibilisierung aller. Das schließt die Unternehmensleitung, die IT und vor allem auch die Anwender mit ein. Erst dann, wenn alle verstehen, wie wichtig es ist, sich in einer gut abgesicherten Umgebung zu befinden, ist auch die Akzeptanz für diese vorhanden. Aber gerade diese Akzeptanz gilt es zu erreichen, damit der Anwender sich durch die Sicherheitsmaßnahmen geschützt und nicht eingeschränkt fühlt. Daran müssen besonders die IT und auch die Unternehmensleitung arbeiten. Transparenz und Information sind dafür die geeigneten Werkzeuge.

Der Weg ist nicht einfach, aber er lohnt sich. Am Ende des Weges steht eine sehr gut abgesicherte Infrastruktur, die allen zugute kommt. Denn die Zeiten sind vorbei, dass man sich hinter nur einer Firewall sicher fühlen kann, die zunehmenden Vorfälle der digitalen Einbrüche zeigen das deutlich.

RSA-Hack und die Konsequenzen

Die Sicherheitsfirma RSA, die vor allem durch die Einmal-Passwort-Lösung SecureID bekannt ist, wurde Opfer eines digitalen Einbruchs. Heise berichtetet Mitte April. Jetzt sind schon die ersten Fälle der Folgen des Einbruchs bei RSA bekannt geworden. Zu den Bekanntesten zählt hier wohl Lockheed Martin. Bei dem RSA-Einbruch sind die Seeds und die Algorithmen gestohlen worden, die jetzt für die Folgeschäden sorgen.

RSA muss nun 40 Millionen Hardware-Token und 250 Millionen Software-Token austauschen. Alle Token, die noch nicht ausgetauscht wurden sind defacto wertlos, da sie keinen Schutz mehr bieten.

Das Problem ist aber die Informationspolitik von RSA. Sich so lange in Schweigen zu hüllen, ist ein unmögliches Verhalten ihren Kunden gegenüber. Vor allem mit welchen Argument man dies jetzt rechtfertigt. Als hätten diejenigen die bei RSA eingebrochen sind, nicht genau gewusst, was durch den Einbruch in ihrem Besitz gelangt ist. Denn genau darauf hatten sie es ja auch abgesehen. Es waren auch keine Amateure oder Script-Kiddies, sondern eine ganz gezielte Aktion von Profis. Das zeigt ja auch der Folgeeinbruch bei Lockheed Martin. Hier stellt sich aber nun die Frage, ist Lockheed Martin nur die Spitze des Eisbergs und gibt es da noch viele mehr?

Die Konsequenz für alle RSA Kunden die noch keine neuen Token haben, ist auf jeden Fall die Token als wertlos zu betrachten. Damit ist die Sicherheit auf dem Niveau von Benutzername mit statischem Kennwort. Es bleibt auch zu hoffen, dass die neuen Token auch gänzlich neue Seeds haben werden und nicht nur Seeds von denen RSA glaubt, dass sie den Einbrechern nicht in die Hände gefallen sind.

Unabhängig davon, unter welchen Umständen der Einbruch stattgefunden hat oder wessen Schuld das ist, eine schnelle und umfassende Information wäre das richtige Mittel gewesen. Denn dann hätten alle die die Token verwenden sofort gewusst, dass ab jetzt die Token keine Sicherheit mehr bieten. Aber das Schweigen hat nur dazu geführt, dass es zusätzlich denjenigen in die Karten gespielt hat, die die Seeds gestohlen haben.

Es bleibt nur zu hoffen, dass man die richtigen Konsequenzen für zukünftige Fälle daraus zieht. Es ist ja nicht die Frage ob es wieder passiert, sondern nur wann.

Verbreitung und Gefahren von Bots werden sehr oft unterschätzt

Im gewerblichen Umfeld sind mehr infizierte Systeme als den Administratoren bewusst ist. Das Risiko dieser real existierenden Gefahr wird sehr häufig als zu gering eingeschätzt. Es wird zu sorglos mit den Datenströmen der Clients am Perimeter umgegangen, obwohl es geeignete Systeme zur Identifikation unerwünschter Kommunikation gibt.

In jedem noch so gut geschützten Netzwerk kann es einen oder mehr infizierte Systeme geben und die Wahrscheinlichkeit steigt mit der Größe des Netzwerks. Daher muss man davon ausgehen, dass es jederzeit ein System gibt, was von Schadcode befallen ist. Es ist nicht die Frage ob es ein infiziertes System gibt, sondern nur wann und wann dann dieses Auffällig wird.

Ist in diesem Fall keine weitere Kontrollinstanz vorhanden und darf das System zudem mehr oder weniger uneingeschränkt auf das Internet zugreifen, ist der Schadensfall für das Unternehmen schon eingetreten. Im günstigsten Fall wird dann die Infrastruktur zum Versand von Spam-Mails benutzt. Deutlich schlimmer ist dann schon der Verlust sensibler Daten und Passwörter. Der Super-GAU ist, wenn es einen Einbruch in die Infrastruktur durch diesen Verlust gibt.

Aber warum werden die Gefahren von solchen Bots so häufig unterschätzt? Eine mögliche Ursache könnte sein, dass gemeinhin angenommen wird, dass die vorhandene Firewall ja das Netzwerk schützt. Natürlich schützt eine Firewall auch das Netzwerk, die Antwort ist: Ja, aber! Aber auch nur bei ganz bestimmten Rahmenbedingungen. Die traditionelle Aufgabe einer Firewall ist der Schutz des Netzwerks vor dem unerwünschten Eindringen aus dem Internet. Und genau hier liegt auch das Problem.

Daher werden nur selten direkte Angriffe auf die Firewall-Systeme selbst durchgeführt. Wer versucht schon mit Gewalt durch eine Mauer hindurch zu kommen, wenn jemand von innen die Tür öffnen könnte? Genau das macht ein Bot, er öffnet dem Angreifer die Tür indem er einfach die Kommunikation von innen initiiert. Danach ist er dann bereit Befehle von außen entgegen zunehmen und entsprechend auszuführen.

Wird die Kommunikation nicht mit geeigneten Systemen überwacht, hat ein Bot bzw. derjenige der ihn kontrolliert leichtes Spiel. Auch hier gilt, nur mit auf einander abgestimmten Maßnahmen sind die Systeme zu schützen und die Kommunikation von unerwünschten Applikationen zu erkennen und zu verhindern. Dazu kommen formelle Aufgaben wie die Kontrolle der Audits und Log-Files zum Aufspüren von Anomalien in der Kommunikation. Selbst so triviale Auswertungen des Traffics in Form von Diagrammen sind sehr hilfreich um Abweichungen im Kommunikationsverhalten zu erkennen.

Erst wenn alle Schutzmechanismen ideal und auf die jeweilige Kommunikation abgestimmt zusammenarbeiten und die formalen Aufgaben auch ernst genommen werden, ist eine frühzeitige Entdeckung infizierter Systeme möglich. Nur so bleibt man handlungsfähig und kann noch reagieren. Wird dies vernachlässigt, führt dies nicht nur zu einem deutlich höheren Risiko, sondern zwangsläufig zu einem Ausbruch von Schadcode im eigenen Netz.

Daher ist es sehr wichtig, das Risiko für die eigene Infrastruktur zu analysieren und vor allem auch richtig einzuschätzen. Auf dieser Basis lassen sich dann die richtigen Entscheidungen zum Schutz treffen.