Arbeitsstelle Wissenschaftliche Weiterbildung. Bernhard Christmann, Bärbel Heidbreder (Hg.) Das Weiterbildende Studium IT-Sicherheit

Transkript

1 Arbeitsstelle Wissenschaftliche Weiterbildung Bernhard Christmann, Bärbel Heidbreder (Hg.) Das Weiterbildende Studium IT-Sicherheit Konzeption Evaluation Projekte ARBEITSHEFTE WISSENSCHAFTLICHE WEITERBILDUNG 27

2 Das Weiterbildende Studium IT-Sicherheit Konzeption Evaluation Projekte

3

4 Inhaltsverzeichnis Seite Vorwort 1 Bernhard Christmann / Bärbel Heidbreder Weiterbildendes Studium IT-Sicherheit Konzeption und Evaluation 3 Projektdokumentationen 23 Bernhard Ehses Entwicklung eines Intrusion Detection Systems für einen kleinen Webhoster Silvio Garbe Sicherung des Supportnetzes zwischen internem LAN und externen Kundenrechnern und Netzen Klaus Marrek / Kurt Reinhardt / Siegmar Otto Planung Sicherheit und RollOut eines Single-Sign-On Verfahrens bei der Stadt Musterhausen Ricardo Martinez Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Holger Maschke Vorbereitende Tätigkeiten und Aktivitäten zur Zertifizierung Informations-Sicherheitsmanagement nach BS 7799 des Rechenzentrums der perdata Informationsgesellschaft mbh Van Minh Nguyen WLAN-Einsatz im Lager Holger Osterholz Integration eines Funknetzes am Beispiel eins Berufskollegs Jörg Richter IT Infrastrukturkonzept für eine sichere Serverlandschaft in großen Unternehmen Andreas Schäfer-Thiel / Volker Schwaberow Sequritymanagement (SQR) Roland Sobotta Verfügbarkeit einer Serverfarm Thorsten Sonntag Sicherheitskonzept für E-learning-Arbeitsplätze Ralf Ziepelmeyer Secure Mobile Computing

5

6 Vorwort Im Weiterbildungszentrum (WBZ) der Ruhr-Universität Bochum wird seit 2003 das Weiterbildende Studium IT-Sicherheit Administration und Sicherheit von IT-Systemen und -Netzwerken erfolgreich durchgeführt. Mit diesem Arbeitsheft stellen wir die Konzeption dieses Studienangebotes, die Ergebnisse der Evaluation der ersten beiden Studiendurchläufe und eine erste Befragung der Absolventen dieses Weiterbildungsangebotes vor. Außerdem enthält dieser Band eine Dokumentation ausgewählter Projektarbeiten, die im Rahmen dieses Weiterbildenden Studiums erstellt wurden. Damit möchten wir die Leistungen dokumentieren, die im Rahmen dieses Studiums erbracht wurden und die sich in den vielfältigen und kreativen Themen der Studienarbeiten ausdrücken, die unsere Studierenden bezogen auf ihr jeweiliges Arbeitsfeld entwickelt und bearbeitet haben. Wir danken allen für die Mitwirkung. Bochum, im November 2005 Bernhard Christmann Bärbel Heidbreder 1

7 2

8 Bernhard Christmann, Bärbel Heidbreder Weiterbildendes Studium IT-Sicherheit Konzeption und Evaluation 1. Einleitung: Die Angebotsform 'Weiterbildendes Studium' Das 'Weiterbildende Studium' stellt eine spezifische Form der berufsbegleitenden hochschulgetragenen wissenschaftlichen Weiterbildung dar, wie sie seit geraumer Zeit von Hochschulen entwickelt und praktiziert wird und zuletzt im Hochschulgesetz Nordrhein-Westfalen als zweite Form neben dem Weiterbildenden Masterstudiengang gesetzliche verankert wurde (HG NRW 2005). Das Weiterbildende Studium mit Zertifikatsabschluss wird mit dieser Gesetzesnovelle explizit und erstmalig als Angebotsform eingeführt, jedoch ohne es näher formal zu definieren. Es wird lediglich geregelt, dass an "Weiterbildung teilnehmen (kann), wer ein Hochschulstudium erfolgreich abgeschlossen oder die erforderliche Eignung im Beruf erworben hat" ( 90 HG NRW 2005). Gleichzeitig werden mit der Berücksichtigung berufspraktischer Erfahrungen und der Zugangsregelung materielle Umstände benannt, die einerseits der wissenschaftlichen Weiterbildung einen inhaltlich eigenen Stellenwert verleihen und andererseits eine formale Abgrenzung zu den grundständigen Studiengängen sichern. In der Begründung zum Gesetztenwurf heißt es hierzu, "Weiterbildung berücksichtigt die besonderen Bildungserfordernisse berufserfahrener und berufstätiger Interessenten und unterscheidet sich daher von den grundständigen Bildungsangeboten". Mit der Angebotsform Weiterbildendes Studium greift das WBZ eine Entwicklung auf, die sich in den vergangenen Jahren immer deutlicher in den Bedarfsanalysen abgezeichnet hat, die das WBZ angebotsbegleitend in ausgewählten Berufsfeldern durchführt. Gefragt ist eine längerfristig angelegte, prozessorientierte, berufsbezogene Weiterbildung auf wissenschaftlichem Niveau mit qualifiziertem Abschluss, die berufsbegleitend wahrgenommen werden kann, allerdings ohne die Anforderungen zu erfüllen, die aus einem akademischen Abschluss mit Studien- und Prüfungsordnung erwachsen. Mit dem berufskompatiblen Format des Weiterbildenden Studiums kann die RUB eine Positionierung auf dem Weiterbildungsmarkt vornehmen, ergänzend zu den Angeboten, die im Rahmen der Studienstrukturreform als Masterprogramme angelegt sind. Damit verfolgt die RUB zwei Stränge im Weiterbildungsbereich unter der Dachmarke Universität und profiliert sich im Wettbewerb sowohl mit weiterbildenden akademischen Abschlüssen als auch zertifizierten 3

9 Abschlüssen in einem weiterbildenden Studium, das vom Volumen und den Anforderungen unterhalb eines Masterstudiums angesiedelt ist. Das Modell im Einzelnen: Zielsetzung: Das Weiterbildende Studium bietet eine berufsbegleitende Erarbeitung relevanter Themen und den Erwerb von Handlungskompetenz auf wissenschaftlichem Niveau. Es ist curricular strukturiert und häufig interdisziplinär angelegt, so dass Wissenschaftlichkeit und Anwendungsorientierung den Inhalt prägen. Der Zugang zum Weiterbildenden Studium kann in Ausnahmefällen auch über die Qualifizierung in einem einschlägigen Berufsfeld erfolgen, ansonsten wird ein abgeschlossenes Fachhochschul- oder Hochschulstudium vorausgesetzt. Studienstruktur: Das Weiterbildende Studium hat ein Mindestvolumen von 150 Unterrichtsstunden, aufgeteilt in zwei- bis dreitägige Module (unter Berücksichtigung des Wochenendes). Die Lernzeiten sind einerseits durch die Präsenz in den Modulen vorgegeben, andererseits in den intermodularen Phasen individuell gestaltbar. Die Selbstlernphasen werden gestützt von Studienbegleitmaterial, das zu jedem Modul zusammengestellt wird. Darüber hinaus wird die Bildung von peer-groups für die intermodularen Phasen angeregt. Diese Kleingruppenarbeit dient sowohl dem Nacharbeiten und der Reflexion der Modulinhalte als auch der kollegialen Beratung zur pro-zessbegleitenden Einbindung des Erlernten in den beruflich Kontext. Studienbegleitend wird von den Studierenden die Erarbeitung eines Projektes gefordert. Die Projektarbeit ist ein Qualitätsnachweis und variiert in der Gestaltung je nach Thematik des Weiterbildenden Studiums. Neben der Projektarbeit gehören das Abschlusskolloquium sowie die regelmäßige Teilnahme zu den Leistungen für den Zertifikatsabschluss. Didaktisch-methodische Aspekte: Der Lehr-Lernprozess im Weiterbildenden Studium ist gekennzeichnet von dem Verständnis eines umfassenden Bildungsauftrags des Lernorts Universität, der den Studierenden die Möglichkeit schafft, den individuellen Bildungsprozess eigenverantwortlich zu steuern. Hierzu gehören - die Einbindung von subjektiven Lernvorstellungen und Lerndispositionen, - Aufgabenstellungen, die über die Rezeption von Wissen hinausgehen und ein problemlösendes Verhalten herausfordern, - Vermittlungsformen, die über eine Aneignung von Techniken hinausgehen und eine wissend-verstehende Anwendung des Gelernten ermöglichen im Sinne einer Integration in 4

10 das Handlungsrepertoire, - Förderung und Transferhilfen bei der Übertragung des Gelernten in Verwendungssituationen, - Reflexion über den Lehr- Lernprozess. 2. Das Weiterbildende Studium IT-Sicherheit Das Weiterbildende Studium 'IT-Sicherheit - Administration und Sicherheit von IT-Systemen und -Netzwerken' wird seit März 2003 kontinuierlich vom Weiterbildungszentrum der Ruhr-Universität Bochum gemeinsam mit seinen Kooperationspartnern als berufsbegleitendes Weiterbildungsangebot durchgeführt. Die starke Resonanz auf die Ausschreibung des 1. Durchlaufs, der von März 2003 bis Januar 2004 terminiert war, führte dazu, dass für diesen Durchlauf zwei parallele Kurse zu je 15 Teilnehmerinnen und Teilnehmern eingerichtet wurden. Für den 2. Durchlauf von März 2004 bis Juni 2005 wurden bereits mit der Ausschreibung zwei Kurse mit ebenfalls je 15 Teilnehmerplätzen angeboten, die wiederum ausgebucht waren. Zur Zeit wird der 3. Durchlauf wiederum mit zwei parallelen Kursen sowie eine Inhouse-Schulung für die DaimlerChrysler AG Stuttgart durchgeführt. 2.1 Ausgangslage und Zielsetzung des Angebotes Die Nutzung des Internets als modernes Kommunikations- und Informationsmedium ist für Unternehmen, öffentliche Verwaltungen und Verbände zur Selbstverständlichkeit geworden. Gleichzeitig steigt damit in diesen Organisationen die Notwendigkeit, Aspekte der Sicherheit dieser Systeme grundlegend zu behandeln. Die Risiken, die bei der Einbindung eines Arbeitsplatzrechners oder Servers ins "Netz der Netze" entstehen, werden immer noch unterschätzt. Die Verfügbarkeit eines Systems, die Vertraulichkeit und die Integrität der darauf enthaltenen Daten wird durch Viren und Einbrüche erheblich beschädigt. Die so von "fremder Hand" übernommenen Rechner werden zumeist für weitere Attacken im Internet genutzt. Die Folgen für das Unternehmen sind finanzielle Verluste und nicht selten Imageschäden. Ein Großteil der Sicherheitsvorfälle entsteht durch zu geringes Risikobewusstsein und teilweise unsachgemäßes Verhalten von Benutzern oder Administratoren. Die systematische Erweiterung der Kenntnisse von Administratoren stellt daher eine wirksame Maßnahme zur Erhöhung der IT- Sicherheit dar. Das Weiterbildende Studium IT-Sicherheit hat das Ziel, Teilnehmerinnen und Teilnehmer zu befähigen als Administratoren die Sicherheit von IT-Systemen und -Netzwerken zu realisieren. Sie können: 5

11 - Schwachstellen eines IT-Systems analysieren und damit verbundene Risiken und Gefahren benennen, - Sicherheitskonzepte und Maßnahmenkataloge zur Risikominimierung und Gefahrenabwehr entwickeln, - Sicherheitssysteme auf organisatorischer und technischer Ebene implementieren und kontinuierlich pflegen. Zielgruppe des Weiterbildenden Studiums IT-Sicherheit sind vorwiegend Fach- und Führungskräfte in Klein- und Mittelbetrieben, Verwaltungen, Verbänden, Bildungseinrichtungen sowie Ingenieurund Planungsbüros, die mit der Administration und Pflege von IT-Systemen und -Netzwerken betraut sind bzw. eine solche Funktion künftig wahrnehmen werden. 2.2 Inhalte, Struktur und Ablauf des Weiterbildenden Studiums IT-Sicherheit Entsprechend der Zielsetzung des Weiterbildenden Studiums werden EDV-technische, organisationale und rechtliche Aspekte der IT-Sicherheit behandelt. Der Fokus ist hierbei immer darauf gerichtet, die jeweiligen fachlichen Inhalte auf die Probleme und Fragestellungen der Praxis bzw. der Teilnehmerinnen und Teilnehmer zu richten. Im Vordergrund steht eine Erweiterung der Kompetenz der Teilnehmenden und ein erster Transfer des erworbenen Wissens in deren berufliche Zusammenhänge. Die Vermittlung von Inhalten durch Vortrag und Präsentation wird daher ergänzt durch Übungen (mit und ohne PC), Diskussionen und Erfahrungsaustausch sowie die selbständige Projektarbeit. Das Weiterbildende Studium ist in 13 thematische Module gegliedert, die einen zeitlichen Umfang von einem bis drei Tage haben; die Gesamtdauer der Module beträgt 25 Tage bzw. 200 Stunden. Sie werden in Form von Kompaktseminaren berufsbegleitend im Abstand von ca. einem Monat durchgeführt, wobei zeitlich kürzere Module terminlich zusammengelegt sind, um den Zeitaufwand der Teilnehmenden effektiv zu gestalten. 6

12 Tabelle 1: Die Module 1 Modul Dauer (Tage) 1 Das IT-Sicherheitskonzept (1) - Anforderungen an die IT-Sicherheit 2 2 Internet Protokolle TCP/IP und VPNs 3 3 Rechtliche Fragen in der IT-Sicherheit 2 4 Systemadministration für Windows (2K / XP / 2003) 2 5 Systemadministration für Linux/Unix 2 6 Netzwerkadministration 1 7 Das IT-Sicherheitskonzept (2): Organisatorische Umsetzung im Unternehmen 1 8 Malware Programme mit Schadensfunktion 2 9 Mit und Browser sicher durchs Internet 2 10 Kryptographie und Datensicherheit 2 11 Hackerangriffe Techniken, Schadensanalyse und Prävention 3 12 Firewalls und Intrusion Detection 2 13 Das IT-Sicherheitskonzept (3): Ergebnisse der Projektarbeit 1 Veranstalter des Weiterbildenden Studiums sind das Weiterbildungszentrum (WBZ) der Ruhr- Universität Bochum, das als zentrale wissenschaftliche Einrichtung mit praxisbezogenen Angeboten der berufsbegleitenden wissenschaftlichen Weiterbildung einen kontinuierlichen Transfer in die Region und die berufliche Praxis organisiert, sowie die GITS AG (Gesellschaft für IT-Sicherheit AG), die als Ausgründung der Ruhr-Universität Unternehmen in Fragen der IT-Sicherheit berät und Schulungen und Kongresse zum Thema IT-Sicherheit durchführt. Hinzu kommt EUROBITS (Europäisches Kompetenzzentrum für IT-Sicherheit Bochum), ein Zusammenschluss der an der Ruhr-Universität im Bereich der IT-Sicherheit tätigen Institutionen. 1 Dargestellt ist der Ablauf, der ab dem 2. Durchlauf gilt. Im 1. Durchlauf gab es das Modul 10 (Kryptographie und Datensicherheit) noch nicht und die Nummerierung der Module war anders gewählt. 7

13 Kooperationspartner bei der Durchführung des Weiterbildenden Studiums sind das Horst Görtz Institut (HGI), das als zentrale wissenschaftliche Einrichtung der Ruhr-Universität Bochum Forschung, Lehre und Beratung auf dem Gebiet der IT-Sicherheit betreibt sowie das Rechenzentrum (RZ) der Ruhr-Universität Bochum, dessen Aufgaben als zentrale Betriebsenheit die Bereitstellung zentraler EDV-Ressourcen, die Pflege und Weiterentwicklung des Datennetzes und der Netzdienste für die Ruhr-Universität sind. Die Dozentinnen und Dozenten des Weiterbildenden Studiums kommen aus den beteiligten Einrichtungen, weiteren Instituten der Ruhr-Universität sowie von externen Institutionen. 2.3 Studienleistungen und Abschluss Nach erfolgreicher Teilnahme wird zum Abschluss des Weiterbildenden Studiums ein Zertifikat der Ruhr-Universität Bochum vergeben. Voraussetzungen für den Erwerb des Zertifikats sind die Anwesenheit an 23 Präsenztagen (eingeräumt wird eine Fehlquote von maximal 2 ½ Tagen), die Erstellung einer Studienarbeit und die Präsentation des zugehörigen Projektes in dem Zwischenund Abschlusskolloquium (Module 7 und 13). Der Studienumfang gliedert sich in 25 Präsenztage in 13 Modulen, davon in den Modulen 4 und 5 je 1 Tag fakultativ, ein eintägiges fakultatives Angebot zur Arbeitstechnik "Präsentation von Arbeitsergebnissen" sowie in Selbstlernphasen zur Nachbereitung der Module anhand der Skripte und Materialien. Wichtiger Bestandteil der Studienleistungen ist die Erstellung einer Studienarbeit über ein studienbegleitendes Projekt zum Thema Entwicklung der Grundstruktur und zentraler Elemente eines Sicherheitskonzeptes. Zielsetzung der Bearbeitung des Projektes ist es, das theoretische Wissen aus den Vorträgen und die praktischen Erfahrungen aus den Übungen der einzelnen Module auf eine konkrete Problemlage anzuwenden und damit sukzessive in die berufliche Praxis der Teilnehmenden zu übertragen. Deshalb ist es notwendig, bei der Themenwahl und der Bearbeitung des Projektes die Rahmenbedingungen des Unternehmens der jeweiligen Teilnehmenden zu berücksichtigen. Zur Unterstützung der Themenwahl und der Bearbeitung des Projektes werden den Teilnehmenden folgende Leitfragen zur Strukturierung des Projektes an die Hand gegeben: Wie ist in Ihrem Unternehmen / Ihrem Geschäftsbereich die Wahrnehmung der Relevanz von IT- Sicherheit? Welche Strategien, Planungen und Maßnahmen zur Vorbereitung und Umsetzung von 8

14 Vorkehrungen zur IT-Sicherheit (technischer, organisatorischer, personeller Art) wurden in Ihrem Unternehmen / Ihrem Geschäftsbereich bereits entwickelt? Welche Problembereiche oder Risikogruppen sind hierbei von besonderer Bedeutung bzw. vorrangig zu bearbeiten? Welche Unternehmensbereiche bzw. Personengruppen sind an dem Prozess der Entwicklung und Implementierung eines Konzeptes zur IT-Sicherheit beteiligt und in welcher Form? Welche Hemmnisse und Defizite bestehen bei der Planung und Umsetzung? Welche Überlegungen gibt es, diese Problemfelder gezielt anzugehen? Im Rahmen einer Zwischenpräsentation (Modul 7) werden die Themenstellung und Struktur des Projektes vorgestellt und diskutiert. Im Abschlusskolloquium (Modul 13)werden die Ergebnisse des studienbegleitenden Projektes präsentiert und mit den Teilnehmenden diskutiert. 3. Evaluation des Weiterbildenden Studiums IT-Sicherheit 3.1 Evaluationsdesign Wir verstehen Evaluation als andragogisches und didaktisches Handeln, bei dem es um ein besseres Verstehen und Gestalten von Weiterbildungsangeboten für Erwachsene geht (vgl. Reischmann 2003). Die Hauptfunktionen einer solchen Evaluation sind: - das Weiterbildungsangebot auf seine Qualität zu überprüfen, - Evaluation als Teil des Lernprozesses zu behandeln, die dem Lernerfolg dienen soll, - alle Beteiligten in den Evaluationsprozess einzubeziehen. Im Sinne der Zielformulierung wollen wir ein inhaltlich hochwertiges, praxis- und problemorientiertes und in didaktisch-methodischer Hinsicht ein den Lernbedürfnissen Erwachsener angemessenes Studienangebot machen, das von kompetenten und erfahrenen Dozentinnen und Dozenten in einem angenehmen Lernklima berufsbegleitend durchgeführt wird. In diesem Sinne wird zur Erhebung der Interessen, Einschätzungen und Veränderungsvorschläge der Teilnehmenden eine kontinuierliche Evaluation der Veranstaltungen durchgeführt. Diese besteht aus einer punktuellen nicht-teilnehmenden Beobachtung, einer schriftlichen Befragung der Teilnehmenden zu jedem Modul des Weiterbildenden Studiums sowie einer Abschlussbefragung im Rahmen des letzten Moduls. Im August 2005 wurde außerdem eine schriftliche Befragung der (ehemaligen) Teilnehmenden des Durchlauf I zur Wirkung und Nachhaltigkeit der Weiterbildung durchgeführt. 9

15 3.2 Auswertung In die Auswertung einbezogen wurden die Befragungen zu den einzelnen Modulen sowie die Abschlussbefragungen der Studiendurchläufe I (März Februar 2004) und II (März Juli 2005) und die AbsolventInnenbefragung des Durchlauf I, die im August 2005 durchgeführt wurde. In beiden Durchläufen wurden jeweils zwei parallele Kurse mit je 15 Teilnehmenden durchgeführt Auswertungsergebnisse der einzelnen Module Kriterien für unsere Befragungen der Teilnehmenden zu den einzelnen Modulen sind die Qualität des Lehr-Lern-Prozesses (Verdeutlichung der Zielsetzung des Moduls, inhaltlicher Aufbau), der didaktisch-methodische Aufbau (Einsatz der Lehrmethoden, methodenvielfalt, Lehrtempo, Fachund Lehrkompetenz der DozentInnen, Zufriedenheit der TeilnehmerInnen (Lernatmosphäre, berücksichtigung von Teilnehmerwünschen), Nützlichkeit der Materialien. Bei den einzelnen Fragen erfassen wir auf einer fünfstufigen Berwertungsskala 2 den Zufriedenheitsindex der Teilnehmenden. Darüber hinaus ist durch offene Fragestellungen die Möglichkeit gegeben, über die Nennung von Wünschen, Anregungen oder Kritik zur Gesamtbewertung des jeweiligen Moduls eine Rückmeldung zu geben. Die Befragung der Teilnehmenden zu jedem einzelnen Modul hat folgende Intention: Für die einzelne Themenbereiche sind jeweils andere Dozentinnen und Dozenten zuständig, die in diesen Bereichen ihren fachlichen Schwerpunkt haben. Aus der modulbezogenen Befragung lassen sich daher Rückschlüsse ziehen zur angemessenen inhaltlichen Behandlung des jeweiligen Themas und zur didaktischen und methodischen Kompetenz der Lehrenden. Notwendige Veränderungen auf diesen Ebenen können daher sehr gezielt angegangen werden. Ergänzt wird diese kontinuierliche Datenerhebung durch punktuelle nicht-teilnehmende Beobachtungen des Lehr-Lern-Prozesses und Gespräche mit den Studierenden, die Eindrücke, Informationen und Einschätzungen über die Interaktion zwischen DozentInnen und TeilnehmerInnen vermitteln. Dieser Teil der Evaluation dient also vorrangig einer möglichst zeitnahen Sicherung der Qualität des Angebotes. Die Evaluationsergebnisse lassen folgende Aussagen zu: Generell ist festzustellen, dass die Bewertungen zu den einzelnen Modulen stärker variieren als die Bewertung der einzelnen Aspekte innerhalb der Module; d.h., ob ein Modul insgesamt in der Bewertung als gut/eher gut bewertet wird oder nicht, zieht sich durch fast alle Einzelaspekte der 2 Die fünfstufige Bewertungsskala umfasst: stimme zu / stimme eher zu / weder noch / stimme eher nicht zu / stimme gar nicht zu oder: gut / eher gut / neutral / eher schlecht / schlecht. 10

16 Berwertung durch. Zum Tragen kommen hier verschiedene Kriterien der Beurteilung durch die Teilnehmenden: Eine herausragende Rolle für eine gute bis sehr gute Bewertung spielt vor allem die Aktualität der behandelten Themen für die Praxis und der damit einhergehende Zugewinn an Kenntnissen. Damit verbunden ist die möglichst enge Beziehung der Themen- und Stoffauswahl zu Aspekten der IT- Sicherheit. Dies wird deutlich an den Bewertungen zu den Aspekten Zielsetzung und inhaltlicher Aufbau des Seminars, Kompetenz der Dozentin/des Dozenten, Materialien, Berücksichtigung der Teilnehmerbedürfnisse, Anknüpfen an den Berufsalltag. Eine ähnlich hohe Bedeutung hat die didaktische und methodische Kompetenz der Dozentinnen und Dozenten. Der Einsatz und Wechsel der Lehrmethoden, die Aufbereitung der Präsentationen und Materialien, das Lehrtempo und die Möglichkeit der Teilnehmenden, sich in den Diskussionsprozess einzubringen sind hierbei ausschlaggebend. Es ist zu berücksichtigen, dass insbesondere die mehr inhaltlichen Aspekte von den Teilnehmenden aus einer stark subjektiven Sicht beurteilt werden; zum einen ist der Grad der Kenntnisse und Erfahrungen, den die Teilnehmenden mitbringen (trotz möglichst präzise formulierter Eingangsvoraussetzungen) sowohl innerhalb der Kurse als auch zwischen den einzelnen Kursen z.t. stark abweichend. Zum anderen sind die Intentionen und Ziele der einzelnen Teilnehmenden und damit die jeweilige Ausprägung der Interessen an einzelnen Themenbereichen bzw. Modulen unterschiedlich. Dies verdeutlicht z.b. die teilweise stark abweichende Beurteilung einzelner Aspekte oder ganzer Module durch die jeweils parallel laufenden Kurse. Trotz dieser Heterogenität gelang es anhand der Evaluationsergebnisse zunehmend, das Eingangsniveau sowie spezifische Interessen der Teilnehmenden besser berücksichtigen zu können. Wesentliche Konsequenzen aus der Evaluation der einzelnen Module sind eine sorgfältige Überprüfung und teilweise auch Änderung der inhaltlichen Ausrichtung bzw. Schwerpunktsetzung einzelner Modulinhalte sowie teilweise eine Änderung des (zeitlichen) Umfangs einzelner Aspekte bzw. Modulbestandteile. Hier kamen insbesondere Hinweise der Teilnehmenden zu einer noch stärker auf IT-Sicherheitsaspekte bezogenen Fokusierung zum tragen, wobei teilweise auf Inhalte, die der überwiegenden Zahl der Teilnehmenden bekannt waren, verzichtet wurde. Ab dem 2. Durchlauf wurde das Modul "Kryptographie und Datensicherheit" neu in das Programm aufgenommen. Ab dem 3. Durchlauf werden Teile der Module 4 (Administration unter Windows) und 5 (Administration unter Linux) fakultativ angeboten Auswertung der Abschlussbefragungen Mit der Abschlussbefragung sollen zentrale Gestaltungsmerkmale des Weiterbildenden Studiums 11

17 wie Praxis- und Problembezug und Transfermöglichkeiten in die Berufspraxis und damit die Vermittlung von Handlungskompetenz im Bereich IT-Sicherheit überprüft werden. Dazu wurde zum Ende des letzten Moduls ein umfangreicherer Fragebogen als in den modulbegleitenden Befragungen eingesetzt, der versucht, die Komplexität des Lehr-Lern-prozesses ansatzweise zu erfassen. Es ist klar, dass zum Zeitpunkt des unmittelbaren Abschlusses eines Qualifizierungsprozesses nur bedingt Aussagen über den Lernerfolg und Nutzen gemacht werden können. Aber gerade die Erstellung der weiterbildungsbegleitenden Projektarbeit und damit der Transfer des Erlernten in die eigene Berufspraxis, hat es den Studierenden ermöglicht, den Anwendungsbezug ständig herzustellen bzw. die Anwendungsfähigkeit zu überprüfen. Das zugrunde liegende didaktische Modell für berufsbezogene Weiterbildung spiegelt die Gliederung des Fragebogens wieder und zwar mit Fragen zu beruflichen Rahmenbedingungen, zu Studienstruktur und -format, zur Einschätzung der Qualität des Lehr-Lernprozesses, einschließlich der Projektarbeit und dem organisatorischen Rahmen, der durch den Träger vorgegeben wurde. Mehrere Fragen implizieren berufsbiographische Aspekte. In die Auswertung sind zwei Studiendurchläufe mit jeweils zwei parallelen Kursen einbezogen worden (IT I/1, IT I/2, IT II/1, IT II/2). Damit wurden 60 Studierende befragt. In die Auswertung eingeflossen sind sowohl die in Tabelle 2 aufgelisteten Fragen, als auch offene Fragen zu den Modulinhalten, zu Erwartungen und Zielen und zum Resümee. Daneben wurden viele Rückmeldungen in Gesprächen mit den Teilnehmenden gegeben, die ergänzend in die Auswertung eingeflossen sind. 12

18 Tabelle 2: Abschlussbefragungen Januar 2004 (IT I/1, IT I/2) und Juli 2005 (IT II/1, IT II/2) *) *) In dieser Tabelle wurden die positiven Aussagen der 5-stufigen Bewertungsskala erfasst: stimme zu / stimme eher zu Frage IT I/1 IT I/2 IT II/1 IT II/2 Berufliche Rahmenbedingungen Beschäftigungsverhältnis.: angestellt / selbständig 90 / / / 8 86 / 7 Persönliches Interesse war der Auslöser für die Weiterbildung in % in % in % Firmeninteresse war der Auslöser für die Weiterbildung Ich habe die Unterstützung meines Arbeitgebers bei. meiner beruflichen Weiterentwicklung Die Unterstützung umfasst Finanzierung Die Unterstützung umfasst Zeitressourcen Die Unterstützung umfasst Transferchancen Studienmotivation Ich habe die Möglichkeit, meine in der Weiterbildung erworbenen Kompetenzen am Arbeitsplatz einbringen zu können Ich möchte mich mit Hilfe dieser Weiterbildung beruflich umorientieren Curriculare Struktur / Format Das Curriculum war klar strukturiert und transparent Ich konnte die Zielsetzung der Module erkennen Die Inhalte decken IT-Sicherheit ausreichend ab Die Modulinhalte wurden ausreichend intensiv behandelt Der zeitliche Abstand zwischen den Modulen war für mich günstig Lehr-Lern-Prozess Es wurde berücksichtigt, dass berufstätige Erwachsene in einen Lernprozess eintreten Die Auswahl der Methoden war dem Inhalt angemessen Die studienbegleitenden Materialien unterstützten meinen Lernprozess Die Materialien waren gut strukturiert Die Materialien waren zu umfangreich Das Lehrtempo war zu langsam Das Lehrtempo war hektisch und es wurde nicht ausreichend erläutert Der Austausch mit meinen Mitstudierenden war für mich von großer Bedeutung in % 13

19 Der Austausch bot mir Unterstützung beim Nacharbeiten der Module Projekt Frage IT I/1 Das Projekt bot mir die Möglichkeit erworbene Kenntnisse umzusetzen Das Projekt bot mir die Möglichkeit meine Defizite zu erkennen Das Projekt bot mir die Möglichkeit meine Stärken zu definieren Das Projekt bot mir die Möglichkeit der Einübung eines Projektablaufs und einer Projektdokumentation Lernerfolg in % IT I/2 in % IT II/1 in % Meine berufliche Handlungsfähigkeit hat sich erweitert Rahmenbedingungen Der Seminarraum bot eine angenehme Lernumgebung Die Verpflegung war gut Die Betreuung durch Trägerseite war ausreichend Den Stellenwert des Hochschulzertifikats schätze ich hoch ein IT II/2 in % Die Befragungsergebnisse im einzelnen: Die beruflichen Rahmenbedingungen sind dadurch gekennzeichnet, dass in allen 4 Kursen der überwiegende Teil der Teilnehmenden angestellt ist und aus vielen verschiedenen Branchen kommen. Nur wenige sind selbständig. Das persönliche Interesse an der Weiterbildung war offenbar das entscheidende Motiv für die Teilnehme am Weiterbildenden Studium, auch wenn in vielen Fällen die berufliche Weiterbildung vom Arbeitgeber unterstützt wird. Das korrespondiert mit Äußerungen in Gesprächen mit Teilnehmern, dass IT-Sicherheitsprobleme und damit die Notwendigkeit von Kompetenzerweiterung in diesem Bereich vielfach bei den operativ in diesem Geschäft Tätigen gesehen wird und von Ihnen häufig die Notwendigkeit zur Weiterentwicklung als Impuls in die Firma getragen wird. Das dieser Impuls durchaus konstruktiv aufgegriffen wird, zeigen die Antworten auf die Fragen zur Arbeitgeberunterstützung. Sowohl Finanzierung und Freistellung, als auch die Chance der konkreten Umsetzung im Praxisfeld werden im hohen Maße gewährt. Allerdings leisten auch viele 14

20 Teilnehmer einen Eigenanteil, was durchaus im Sinne einer persönlichen berufsbiographischen Planung zu interpretieren ist. Die Möglichkeit, die erworbenen Kenntnisse am Arbeitsplatz einbringen zu können und damit die Erweiterung der beruflichen Handlungsfähigkeit ist für die Studienmotivation offensichtlich sehr zentral. Einerseits spielt der Problemdruck am Arbeitsplatz ein große Rolle, zum anderen ist aber auch der individuelle Wunsch, sich das aktuelle Wissen des eigenen Arbeitsfeldes anzueignen ein wesentliches Motiv. Der Wunsch nach beruflicher Umorientierung spielt zwar auch eine Rolle, ist aber eher von untergeordnetem Interesse. Die Rückmeldungen zur curricularen Struktur und zum Format des Weiterbildenden Studiums zeigen sehr gute Ergebnisse. Die klare modulare Gliederung in thematische Schwerpunkte wird damit weitgehend bestätigt. Die unterschiedliche Einschätzung zur ausreichenden Behandlung der Modulinhalte, entspricht den ungleichen Vorkenntnissen der Teilnehmenden. Der Gesamtrückblick lässt das Bild homogener erscheinen als die differenzierteren Rückmeldungen zu den einzelnen Modulen. Auch wurden in offenen Fragen Wünsche geäußert und Vorschläge gemacht, an welchen Punkten Modulinhalte ausführlicher behandelt oder erweitert werden sollten. Diese Rückmeldungen sind in die laufende Überarbeitung des Curriculums eingeflossen. Das berufsbegleitende Weiterbildungsformat von durchschnittlich zwei bis drei Tagen im Monat Präsenz am Veranstaltungsort wird weitgehend gut angenommen. Dieses wurde uns in persönlichen Gesprächen bestätigt. Die Aussagen zum Lehr-Lern-Prozess umfassen die Lehrmethoden, das Lehrverhalten und das Projekt. Die Methodenauswahl wird zwar als dem Inhalt angemessen positiv bewertet, die Bedürfnisse berufstätiger Studierender wurden aber im Lernprozess nicht ausreichend berücksichtigt. Diese Ergebnisse deuten zusammen mit den mündlichen Rückmeldungen daraufhin, dass die mögliche Methodenvielfalt nicht ausgeschöpft wird: zu viele Frontalvorträge, zu wenig praktische Übungen. Auch wenn tendenziell hier nach dem ersten Durchlauf schon Verbesserungen vorgenommen wurden, weisen die Rückmeldungen aus dem zweiten Durchlauf auf die Notwendigkeit weiterer Nachbesserungen hin. Die Rückmeldungen zu den umfangreichen studienbegleitenden Materialien sind sehr positiv. Von Teilnehmern wurde immer wieder bestätigt, dass sie sich als Kompendium zum Nacharbeiten gut eignen und so über den unmittelbaren Zeitraum der Weiterbildung hinaus nutzbar sind. 15

21 Die Dozentinnen und Dozenten haben ihr Lehrtempo offenbar auf die Bedürfnisse der Teilnehmenden eingestellt. Wobei hier natürlich die unterschiedlichen Vorkenntnisse und Lerndispositionen am Deutlichsten zum Tragen kommen. Zu dem befriedigenden Ergebnis hat sicherlich die hohe Diskussionsbereitschaft und das Aufeinandereingehen aller am Prozess beteiligten beigetragen. Der konzeptionell intendierte Austausch der Studierenden untereinander hatte in allen Kursen einen hohen Stellenwert und wurde durch ausgeprägte Diskussionsmöglichkeiten und ausreichende Pausen unterstützt. Das dieser Austausch für die Teilnehmenden sehr wertvoll ist, wurde in vielen Gesprächen erwähnt und betont. Dazu gehört auch Einblick in die Arbeitsalltagsprobleme der Anderen zu bekommen und sich gegenseitig Anregungen und auch Hilfestellungen im Sinne einer kollegialen Beratung zu geben. Die Nacharbeitsphasen für die Module wurden dagegen stärker individuell bewältigt. Nur vereinzelt, da wo die räumliche Nähe dies ohne größeren Aufwand anbot, haben sich Teilnehmende auch in den intermodularen Phasen getroffen. Das Projekt ist ein wichtiger Bestandteil des Weiterbildenden Studiums. Die Schaffung von Transfermöglichkeiten in die berufliche Praxis und damit die beratende Begleitung bei der Umsetzung der erworbenen Kompetenzen in den Berufsalltag, gehören zu den schwierigen Aufgaben in der berufsbezogenen Weiterbildung. Die studienbegleitend angelegte Durchführung und Dokumentation eines selbstgewählten Projektes bietet die Chance, eine arbeitsplatznahe Aufgabe im Rahmen von IT-Sicherheit zu definieren, diese Aufgabe zu bearbeiten und mit einer Reflexion über diesen Prozess abzuschließen. Die Ergebnisse zeigen hier ein uneinheitliches Bild. Aus den Rückmeldungen geht hervor, dass die Studierenden eher die Möglichkeit gesehen haben, in diesem Prozess ihre Defizite zu erkennen als ihre Stärken. Auf die eigenen Defizite fällt in der Reflexion sicherlich eher der kritische Blick als auf die individuellen Stärken. Im Ergebnis haben aber alle Studierenden ein Projekt bearbeitet und damit auch den Leistungsnachweis für das Zertifikat erbracht. Im Zusammenhang mit der Erstellung der Projektdokumentation und der abschließenden Präsentation des Projektes kristallisierte sich der Wunsch nach Unterstützung heraus. Deshalb wurde hierfür zusätzlich ein studienflankierendes Angebot im Bereich Arbeitstechniken gemacht, dass Studierende bei diesen Anforderungen unterstützt. Die Einschätzung zum Lernerfolg dieser Weiterbildung durch die Studierenden ist erfreulich. Die zentralen Ziele, nämlich Erweiterung der beruflichen Handlungsfähigkeit und Transfer des 16

22 Erlernten in die berufliche Praxis wurden in einem hohen Maße erreicht. Das wird auch durch die abschließenden Bemerkungen auf den Fragebögen deutlich unterstrichen. Dieser Kompetenzzuwachs bezieht sich zum einen auf eine weitere Professionalisierung, also beruflich verwertbares Wissen, zum anderen auch auf persönliche Entwicklungen im Sinne von lebensbegleitendem Lernen. In diesem Zusammenhang wurde häufig die gute und vertrauensaufbauende Atmosphäre in dieser Weiterbildung genannt, die es ermöglichte auch Defizite in der jeweiligen Organisation offen zu legen und Anregungen der Mitstudierenden aufzunehmen. Das Absolvieren des Weiterbildenden Studiums wurde als persönlicher Erfolg betrachtet. Die organisatorischen Rahmenbedingungen wurden größtenteils positiv bewertet. Die Betreuung und organisatorische Abwicklung wurde als professionell und sehr zufrieden stellend beurteilt. Dass der Seminarraum mit typisch universitärem Ambiente Defizite aufweist, ist offensichtlich und verbesserungswürdig. In einem abschließenden Resümee wurde von den Studierenden betont, dass ihre Erwartungen in hohem Maße erfüllt wurden und sie dieses Angebot weiterempfehlen würden. Die überwiegend positiven Aussagen zu Struktur, Format und Lehr-Lernarragement wurden durch Verbesserungs- und Erweiterungsvorschläge konstruktiv ergänzt und können so in die Weiterentwicklung des Weiterbildenden Studiums einfließen. Die Universität als Lernort genießt hohe Akzeptanz und wird als Garant für Qualität betrachtet. Das ist angesichts eines breiten Anbieterspektrums von akademischer Weiterbildung ein Vertrauensvorschuss, der kritisch hinterfragt wird und eingelöst werden muss. In diesem Zusammenhang wird das Hochschulzertifikat für das Weiterbildende Studium beurteilt, das wie die Rückmeldungen zeigen durchaus einen beachtlichen Stellenwert in den Berufsfeldern hat. Daneben wird vor dem Hintergrund der Studienentgelte das Preis-Leistungsverhätnis einer kritischen Prüfung unterzogen. Auch hierzu sind die Rückmeldungen der Studierenden in der Abschlussbewertung sehr zufrieden stellend Auswertung der Absolvent/innenbefragung Mit der Befragung der Absolventinnen und Absolventen sollte die Nachhaltigkeit des Weiterbildenden Studiums in Bezug auf die Ziele und die Integration der erworbenen Kompetenzen in die jeweiligen Tätigkeitsfelder überprüft werden. Dazu wurden im August 2005, eineinhalb Jahre 17

23 nach Abschluss der Weiterbildung, die ehemaligen Studierenden des 1. Durchlaufes mit einem kurzen Fragebogen nach der zwischenzeitlichen Entwicklung befragt. Von den 30 versendeten Fragebögen wurden 15 ausgefüllt zurückgesandt, was einer Rücklaufquote von 50 % entspricht. Entsprechend dieser Datenbasis kann die Auswertung der Befragung nur erste Tendenzen aufzeigen. Tabelle 3: Befragung der Absolvent/innen (IT I/1, IT I/2), August 2005 *)In dieser Tabelle wurden die positiven Aussagen der 5-stufigen Bewertungsskala erfasst: stimme zu / stimme eher zu Frage IT I Ich bin angestellt / selbständig 87 / 13 Zu Beginn der Weiterbildung war in meinem Unternehmen die Relevanz des Themas IT-Sicherheit: gering / mittel / hoch Derzeit ist in meinem Unternehmen die Relevanz des Themas IT- Sicherheit: gering/ mittel / hoch Meine beruflichen Handlungsfähigkeiten haben sich durch das Weiterbildende Studium erweitert. Ich habe die Möglichkeit, meine im Weiterbildenden Studium erworbenen Kompetenzen an meinem Arbeitsplatz einzubringen. Mein bisheriges Arbeitsgebiet hat sich bezogen auf IT-Sicherheit erweitert/modifiziert. Die Umsetzung von Maßnahmen der IT-Sicherheit hat die klare Unterstützung der Geschäftsleitung/Abteilungsleitung. In meinem Unternehmen wirke ich an der Einführung von IT- Sicherheitsmaßnahmen mit und kann dabei die in der Weiterbildung erworbenen Kenntnisse einsetzen. Ich habe in meinem Unternehmen begonnen, ein IT-Sicherheitssystem zu implementieren. Das in meiner Projektarbeit entwickelte Konzept konnte ich in meinem/einem Unternehmen umsetzen. Bei meiner beruflichen Tätigkeit kommen die in der Weiterbildung erworbenen Kenntnisse nicht explizit zur Anwendung Ich habe mich aufgrund der im Weiterbildenden Studium erworbenen Kompetenzen beruflich umorientiert und bin jetzt als IT-Sicherheitsberater selbständig tätig. Die Weiterbildung hat zu meiner persönlichen Entwicklung beigetragen. 100 Durch die Weiterbildung habe ich im Themenfeld IT-Sicherheit ein umfangreiches und sicheres Wissen erworben. Ich habe weiterhin einen kollegialen Austausch im Bereich IT- Sicherheit. 29 / 57 / / 50 / in % 18

24 Frage Ich bin Mitglied in einem branchen-/themenbezogenen Netzwerk. 13 Meine Praxis zeigt, dass der Stellenwert des Zertifikates der RUB ausreicht, um in diesem Feld erfolgreich zu sein. 40 IT I in % Die Auswertung der Absolvent/innenbefragung im einzelnen: Durch den Kompetenzerwerb im Weiterbildenden Studium und dem daraus folgenden Hineinwirken in die jeweilige Firma/Organisation, hat sich die Relevanz des Themas IT-Sicherheit im Durchschnitt etwas erhöht. Dies ist sicherlich ein langwieriger Prozess, der von verschiedenen Faktoren beeinflusst wird. Diese Aussage korrespondiert mit den Antworten, dass durch das Weiterbildende Studium die beruflichen Handlungsfähigkeiten bei allen erweitert wurden und weitgehend die Möglichkeit besteht die erworbenen Kompetenzen einbringen zu können, auch wenn damit keine Erweiterung bzw. Modifizierung des bisherigen Arbeitsgebietes verbunden ist. Ein Einflussfaktor zur Erhöhung der Relevanz des Themas IT-Sicherheit ist der, dass das Wissen in der Firma/Organisation zur Verfügung steht, ein weiterer wäre das Nutzen dieses Wissens. Gerade an diesem Punkt wäre die Unterstützung durch die Geschäftsleitung von Bedeutung. Die Aussagen hierzu lassen noch ein weites Feld für positive Entwicklungen offen. Unabhängig von diesem Defizit der Unterstützung durch die Geschäftsleitung lassen die gemachten Aussagen vermuten, dass auf erworbene Handlungskompetenz durchaus auf der operativen Ebene umgesetzt werden kann und wird. Darauf deuten die Antworten zu Einführung von IT- Sicherheitsmaßnahmen und Implementierung eines IT-Sicherheitssystems hin. Auch wenn das in der Projektarbeit entwickelte Konzept nur in etwa der Hälfte der Fälle umgesetzt werden konnte. Nur ein geringer Teil der Befragten kann die erworbene Kompetenz nicht explizit zur Anwendung bringen. Eine Umorientierung in die berufliche Selbständigkeit hat aufgrund der Weiterbildung bei keinem der Teilnehmenden stattgefunden. Dies stand auch nicht im Vordergrund bei der Entscheidung für die Weiterbildung, wie die Aussagen dazu in der Abschlussbefragung gezeigt haben. Wünschenswert ist es, wenn Weiterbildung im Sinne von lebensbegleitendem Lernen neben Wissensvermittlung und Handlungskompetenz auch zur persönlichen Entwicklung beitragen kann. Das ist Ziel erreicht wurde, bestätigen die Rückmeldungen der Absolventinnen und Absolventen. 19

25 Um die Nachhaltigkeit einer Weiterbildung auch langfristig sicher zu stellen sind der fortgeführte kollegiale Austausch oder die Netzwerkbildung verbreitete Möglichkeiten. Dies wird von den Absolventen bisher in eingeschränktem Maße nur wahrgenommen. Es ist gleichzeitig ein Hinweis darauf, dass hier sinnvoll Alumni-Arbeit ansetzen kann. Wünsche, die hierauf abzielen, sind von mehreren Absolventen geäußert worden. Insgesamt können die Ergebnisse dieser ersten Absolvent/innenbefragung tendenziell als Bestätigung für die Ziele und Schwerpunktsetzungen des Weiterbildenden Studiums interpretiert werden. 4. Resumee und Perspektiven des Weiterbildenden Studiums IT-Sicherheit Mit dem Weiterbildenden Studium IT-Sicherheit wurde sowohl ein relevantes Thema aufgegriffen als auch ein Studienformat eingeführt, dass berufskompatible ist. Dieses Studienformat Weiterbildendes Studium mit Zertifikatsabschluss ist im Bereich IT-Sicherheit gut angenommen worden. Rückmeldungen von Studierenden zeigen, dass für viele dieses Format eine realisierbare berufsbegleitende Weiterbildungsmöglichkeit ist. Dabei wird positiv bewertet, dass in einem längerfristig angelegtes Studium ein Thema mit vielen Aspekten angemessener behandelt werden kann als in kürzeren Weiterbildungsangeboten und damit ein fundierter Kompetenzerwerb möglich ist. Außerdem ermöglicht die längerfristig angelegte Weiterbildung das Entstehen einer vertrauten Atmosphäre in der Studiengruppe, in der ein intensiver Erfahrungsaustausch entsteht, fachliche Probleme offener dargelegt werden können und damit der Lernerfolg positiv beeinflusst wird. Die Entscheidung, an einem Weiterbildenden Studium teilzunehmen, setzt bei den Studierenden eine nicht unerhebliche Bereitschaft zur Investition in Weiterbildung voraus, die finanzielle und zeitliche Ressourcen umfasst. Hier zeigen die Rückmeldungen, dass als wesentliche Motive einerseits ein Qualifizierungsanspruch im Rahmen individueller Kompetenzvorstellungen und andererseits die berufsbiographische Weiterbildungsplanung zur beruflichen Weiterentwicklung eine Rolle spielen. Der universitäre Leistungsnachweis Zertifikat wird als bedeutsam für das Berufsfeld eingeschätzt. Hierbei kommt zum Tragen, dass der Träger Universität ein hohes Ansehen genießt und qualitativ hochwertige Weiterbildungsangebote erwartet werden. Diesem Vertrauensvorschuss muss das Weiterbildende Studium gerecht werden, indem das Studienangebot auf Grundlage der fachlichen Entwicklung und der Rückmeldung der Studierenden permanent weiterentwickelt werden muss. 20

26 Die resümierenden Aussagen der Teilnehmenden bestätigen die große Akzeptanz, die dieses Weiterbildungsangebot gefunden hat. Die anhaltende Nachfrage bestätigt diese erfreuliche Tendenz. 5. Literatur Reischmann, Jost: Weiterbildungs-Evaluation, Neuwied

27 22

28 Projektdokumentationen 23

29 24

30 Entwicklung eines Intrusion Detection Systems für einen kleineren Webhoster Bernhard Ehses netsecuritas

31 I. Elemente einer Security-Policy 2 Die drei Grundfragen einer Security-Policy lauten grob formuliert: Was ist zu schützen? Vor wem? Was sind die Konsequenzen von Sicherheitsvorfällen? I.1 Was ist zu schützen Als reiner Internethoster ist eine Firma anders aufgestellt als als Anwenderunternehmen. Natürlich gibt es auch in diesem Fall schützenswerte Daten, dies sind allerdings weniger die eigenen. Das Hauptaugenmerk liegt auf dem Schutz der Kundendaten. Darüber hinaus ist zentraler Gegenstand aller IT-Sicherheitsbetrachtungen der Schutz der Infrastruktur, da ausschließlich über deren Bereitstellung Geld verdient wird. Es gibt vermutlich kein anderes Geschäftsmodell, das so einseitig von der Verfügbarkeit der Infrastruktur abhängig ist (ähnliches gilt natürlich auch für Zugangsprovider, hier entfällt dafür dann allerdings ein Teil der Datenschutzproblematik). Aus diesen Überlegungen ergeben sich zwei Schwerpunkte für eine Security-Policy: Alles, was an Kundendaten im Verantwortungsbereich des Hosters ist, muss vor unberechtigtem Zugriff geschützt werden. Das betrifft vor allem s, denn der Webseitencontent hat natürlich keinen Schutzbedarf im Hinblick auf lesenden Zugriff, dafür ist er ja da. Auch gilt, dass die Kunden selbst für evtl. ACLs auf ihre Webseiten verantwortlich sind. Im Verantwortungsbereich des Hosters stehen nur die Computer selbst, auf denen gehostete Websites liegen, um unauthorisierte Veränderungen zu verhindern, sowie Zugriff auf evtl. nicht zur öffentlichen Publikation vorgesehenes Material zu verhindern. Anders verhält es sich bei s, die ja üblicherweise nicht für die Öffentlichkeit bestimmt sind. Hier liegt die Verantwortung für Sicherheit eindeutig beim Hoster, unter dessen Kontrolle sich Server und Mailprogramme befinden. Aufgrund der zu unterstellenden Vertraulichkeit einzelner Mails ist hier von hohem Schutzbedarf auszugehen. Der zweite Schwerpunkt ist der Schutz der Rechner selbst, vor allem das Verhindern, der Nichtverfügbarkeit, unabhängig davon, ob sie auf menschliche Eingriffe oder technisches Versagen zurückzuführen ist. Darüber hinaus ist hier auch das Verhalten von Websitebetreibern gegenüber anderen, die auf demselben Rechner ihre Internetpräsenz hosten, in Betracht zu ziehen. Das Angebot entspricht dem Üblichen:

32 3 Verwalten von Domains (technischer Ansprechpartner gegenüber Denic bzw. Verisign) Bereitstellen von Webspace inkl. Anbindung an den Backbone Zugriff auf Mailserver Zugriff auf Verwaltungswerkzeuge Zugriff auf die üblichen Programme, wie Mysql oder PHP Bereitstellen von statistischen Auswertungen des Traffics Diese Programme dürfen natürlich nicht geeignet sein, andere Websitebetreiber in ihrer Tätigkeit zu beeinträchtigen. Die technischen Gegebenheiten sehen folgendermaßen aus: Die Maschinen werden extern gehostet. Das hat mehrere Vorteile, der wichtigste liegt in der Verfügbarkeit redundanter Backboneanbindung, die in diesem Fall über 4 1Gigabit-Leitungen realisiert ist. Darüber hinaus ist das RZ, in dem die Server stehen selbstverständlich klimatisiert und verfügt über ein Notstromaggregat. Für die Überbrückungszeit musste allerdings eine eigene USV installiert werden. Nicht zu unterschätzen ist in diesem Zusammenhang selbstverständlich auch die physische Zutrittskontrolle, die ein großer RZ-Betreiber besser gewährleisten kann, als ein kleines Unternehmen. Jenseits dieser Überlegungen zur Infrastruktur wird es nun im wesentlichen um den Komplex der Absicherung der Rechner gegenüber nicht authorisierten Zugriffsversuchen gehen. Dazu zunächst einige Gedanken zum Aufbau des Gesamtsystems: Es gibt drei Zonen, eine DMZ, eine DB-Zone und eine Administrationszone. Die Abgrenzung zwischen dem Internet und der DMZ wird über eine Firewall geregelt, ebenso die Abgrenzung zwischen DMZ und DB-Zone. Daraus ergeben sich zwei sehr unterschiedliche Zugriffsmöglichkeiten: 1. Zugriffe auf Rechner in der DMZ 2. Zugriffe auf Rechner in der DB-Zone Zugriffe auf die Administrationszone sind nur über einen speziellen Proxy und VPNs möglich und nur den Mitarbeitern gestattet. Diese Zone kann hier außer Acht bleiben, sie eignet sich allerdings hervorragend als Standort für ein Intrusion Detection System. Zugriffe auf diese Maschinen muss für Kunden direkt möglich sein, sonst würde einmal der administrative Aufwand zu groß, zum anderen ist die Zugriffsmöglichkeit bei einigen potentiellen Kunden ein wichtiges Verkaufsargument. Daraus ergeben sich natürlich Sicherheitsrisiken, die

33 4 soweit irgendmöglich aufgefangen werden müssen. Voraussetzung dafür ist ein Konfigurationstool, dass es ermöglicht, verschiedenste Dienste nutzen und konfigurieren zu können, ohne direkt mit dem betroffenen Dienst kommunizieren zu müssen. Diesen Zweck erfüllen Programme wie Confixx, die über eine http-schnittstelle Zugriff auf verschiedenste angebotene Dienste ermöglichen. Hier ist Horde im Einsatz, ein teilweise selbst weiter entwickeltes Open Source Programm. Natürlich ist es wichtig, sich darüber im Klaren zu sein, dass der Einsatz dieser Tools wiederum eigene Sicherheitslöcher aufreißen kann, vor allem Confixx war in der Vergangenheit aus diesem Grund häufig im Focus der Aufmerksamkeit. Das soll hier allerdings nicht weiter vertieft werden. Neben Komfortmerkmalen wie Webmail und graphischen Administrationsmenus liegt der Haupteinsatzzweck dieser Programme, wie oben erwähnt in der Abschirmung der Websitebetreiber von den Servern, auf denen 'problematische' Dienste laufen, hier vor allem Datenbanken, mit deren Hilfe dynamische Websites generiert werden und E-Commerce Anwendungen ihre Datenbasis haben. Dadurch reduziert sich die Anzahl der Ports, die zum Internet hin offen sein müssen deutlich, benötigt werden für den Kundenzugang in die DMZ nur http, https, ftp, pop und imap. Darüber hinaus wird zu Wartungszwecken ein ssh-zugang benötigt, der allerdings nicht für Kunden zugänglich ist, sondern ausschließlich dem Administratorenteam. Die genannten Protokolle sind alle verhältnismäßig einfach gegenüber Einbruchsversuchen abzusichern. (Der ftp-zugang scheint auf den ersten Blick eine Ausnahme zu sein, wird er doch von vielen Administratoren aktives ftp (zu Recht) als größeres Sicherheitsrisiko eingestuft. Dies ist es jedoch nur aus Clientsicht, da hier der Server einen Rückkanal zum Client öffnet, über den dann die eigentliche Datenübertragung läuft. In diesem Fall ist ohne eine stateful-firewall keine Absicherung möglich. Aus Serversicht entsteht hier kein erhöhtes Risiko, Kunden haben nur die Möglichkeit zum Datei-Upload, sodass beide ftp-kanäle vom gleichen Host (nämlich dem Client) aus geöffnet werden. Das enthebt sebstverständlich Betreiber nicht von der Pflicht, Sicherheitslücken der ftp- Serverprogramme selbst, zeitnah durch Patches zu schließen, besonders bekannt als Sicherheitsproblem ist der WU-Ftpserver.) Ein erfolgreicher Einbruch in das Horde-System würde allerdings gravierende Probleme nach sich ziehen, sodass hier der Authentifizierung und der Aktualität der sicherheitsrelevanten Patches besondere Aufmerksamkeit geschenkt werden muss. Zugriff in die DB-Zone erhalten Kunden nur über Horde, sodass hier die zulässige Kommunikation recht einfach von Einbruchsversuchen unterschieden werden kann. Trotzdem tauchen hier die potentiell größeren Probleme auf. Ein erfolgreicher unentdeckter Einbruch in einen Rechner in der DMZ kann natürlich auf verschiedene Weise zu Zugriffen auf Server in der DB-Zone führen. Hier

34 5 ist auf alle Fälle eine Konfiguration der Firewall unter Berücksichtigung zulässiger IP-Adressen nötig, sicherheitshalber zusätzlich ein aktivierter TCP-Wrapper auf den Servern der DB-Zone. Schwierigkeiten bereitet hier desweiteren das z. Zt. verwendete Backupkonzept, dass eine Sicherung der Hosts in der DMZ über nfs vorsieht, also die Verwendung von RPCs notwendig macht, ein Dienst, der schwer abzusichern ist. Hier wird mit temporärer Freischaltung gearbeitet, sodass potentielle Sicherheitslöcher wenigstens nur temporär vorhanden sind. Administrativer Zugang ist von der DMZ in die DB-Zone nicht möglich, hier muss ein spezieller Proxy verwendet werden. Dieser stellt, abgesehen von VPNs die einzige Möglichkeit des remote Zugriffs dar. I.2 Vor wem sind Daten und Rechner zu schützen? Es kommen drei Personengruppen in Betracht: Mitarbeiter Websitebetreiber Sonstige (die üblichen Verdächtigen Cracker, Scriptkiddies usw.) Gezielte Angriffe sind zwar unwahrscheinlich, aber je nach Webpräsenz nicht völlig auszuschließen. Zu den Mitarbeitern: Es gibt zur Zeit insgesamt 4 Personen mit Zugang zu sämtlichen Rechnern. Da dieser Personenkreis doch sehr überschaubar ist, scheint es hier nicht sinnvoll, spezielle Zugangsbeschränkungen für Einzelne zu implementieren, da durch die geringe Zahl sowieso jeder alles tun können muss. Allerdings müssen die Genannten grundsätzlich eine Datenschutzerklärung unterschreiben, in der sie sich insbesondere Verpflichten, persönliche Informationen, die sie im Rahmen ihrer Tätigkeit erlangt haben, nicht an Dritte weiterzugeben. Zu den Websitebetreibern: Hier geht es darum, mit technischen Mitteln Sicherheitsprobleme zu vermeiden, vor allem den unautorisierten Zugriff auf Serverbereiche, die ihnen eigentlich nicht zugänglich sein sollten. Dies läßt sich im wesentlichen durch das Einrichten von chroot- Umgebungen erreichen. Darüberhinaus sind hier noch Regelungen bzgl der Verwendung von CGI- Scripten relevant, da durch schlecht programmierte CGIs eine hohe Systemlast entstehen kann, die für andere Websitebetreiber auf demselben Server einer DoS-Attacke gleichkommen kann.

35 6 Hauptaugenmerk gilt hier den Sonstigen: Hier sind zwei Arten von Attacken zu unterscheiden, nämlich, die wahrscheinlichere Form, ungezielter Angriffe durch Scriptkiddies und gezielte Attacken auf einzelne Websites bzw. auf die gesamte Infrastruktur um einzelne Websites zu treffen. Dies mag als unwahrscheinlich einzustufen sein, ist aber nicht auszuschließen, dort wird z.b. die Webpräsenz eines Profifußballvereins gehostet, sowie etliche Webshops, die natürlich durchaus lohnendes Ziel direkter Angriffe sein können (Konto- oder Kreditkarteninformationen u.ä.). I.3 Was sind die Konsequenzen aus Sicherheitsvorfällen Grob gesagt steht und fällt das gesamte Geschäftsmodell mit der Sicherheit und Verfügbarkeit der Daten der Kunden. Da es in dem Bereich Webhosting schwierig ist, Alleinstellungsmerkmale zu entwickeln und es andererseits für Websitebetreiber nur einen geringen Aufwand bedeutet den Hoster zu wechseln, ist es aus wirtschaftlicher Sicht unerlässlich dafür zu sorgen, dass zumindest die Zahl der sicherheitskritischen Vorfälle nicht größer ist, als es bei Konkurrenten der Fall ist. Darüber hinaus greifen natürlich die Straf- bzw. Haftungsbestimmungen einschlägiger Gesetze, wie beispielsweise dem Bundesdatenschutzgesetz. Insgesamt ergibt sich als Anforderung an eine Security-Policy ein deutlich höheres Schutzniveau, als es bei 'normalen' Unternehmen der Fall ist, falls deren Geschäftsmodell nicht in hohem Maße vom Internet abhängig ist. Als Bestandteil eines Sicherheitskonzeptes geht es im folgenden darum, ein Intrusion Detection System zu entwerfen und zu implementieren welches in der Lage ist, Einbruchs- bzw. Sabotageversuche frühzeitig zu melden, sodass es möglich ist, Gegenmaßnahmen zu ergreifen, um so sicherheitsrelevante Probleme erst gar nicht entstehen zu lassen. II Snort, ein Intrusion Detection System

36 7 Grundsätzlich ist die Aufgabe von Intrusion Detection Systemen (IDS), Anomalien aufzuspüren. Diese können zweierlei Art sein: Netzwerkanomalien Prozess- bzw. Dateisystemanomalien Dementsprechend gibt es zwei verschiedene Arten IDS, nämlich netzwerkbasierte und hostbasierte. Zunächst kurz zu hostbasierten IDS, die im weiteren Verlauf nicht mehr betrachtet werden: Bekanntestes Produkt in diesem Bereich ist sicher Tripwire, steigender Beliebtheit erfreut sich auch das OpenSource Produkte AIDE. Die Arbeitsweise ist dieselbe: Systeme dieser Art überwachen das Filesystem, und zwar derart, dass Veränderungen an Dateien entdeckt und entsprechend gemeldet werden. Welche Dateien gemonitort werden lässt sich natürlich einstellen, ein Überwachen von z. B. Textdokumenten ist sicherlich nicht sinnvoll, Dateien, die die Netzwerkkonnektivität regeln oder solche, die mit Rechten von Anwendern befasst sind, sind zwei typische Fälle, in denen eine Überwachung sinnvoll sein kann. Durch die Nutzung solcher IDS ist es möglich, Angreifer zu einem Zeitpunkt zu entdecken, zu dem diese noch in der Vorbereitung einer Rechnerübernahme stehen, es ihnen also noch nicht gelungen ist, ein System mit Hilfe von Rootkits so zu verbiegen, dass ein nachträgliches Entdecken sehr schwierig würde. Dasselbe gilt natürlich auch für das Eindringen von Trojanern und ähnlicher Malware. Solche Arten von IDS sind sinnvollerweise dort im Einsatz, wo kritische Systeme, die nur selten Konfigurationsänderungen erfahren, im Einsatz sind, also z.b. Datenbankserver u.ä. Ein Beispiel, wo ihr Einsatz wenig hilfreich erschiene, wäre beispielsweise ein LDAP-Server, wo die interessierenden Dateien ständig Änderungen durch potentiell viele verschiedene Anwender erfahren. Im folgenden soll es aber um netzwerkbasierte IDS gehen, da genau diese Sorte zu implementieren war. Der Grund dafür hostbasierte IDS im konkreten Fall nicht einzusetzen, liegt vor allem im häufigen Umbau aller Systeme, die dauernd an die unterschiedlichen Kundenbedürfnisse angepasst werden müssen. Hostbasierte Intrusiondetection wäre in einem solchen Fall eher kontraproduktiv, da eine riesige Menge an false positive Meldungen erzeugt würde. (Zu false positives siehe weiter unten). Netzwerkbasierende IDS untersuchen, wie oben erwähnt, den Netzwerkverkehr auf Anomalien. Daraus ergeben sich unmittelbar zwei Konsequenzen:

37 8 Zum einen macht es keinen Sinn, ein solches IDS vor einer externen Firewall zu installieren, denn 'anomaler' Traffic ist im Internet eher die Regel als die Ausnahme, zum Beispiel kommt es in Abständen von höchstens wenigen Minuten auf jedem Rechner, der mit dem Internet verbunden ist, zu Portscan, was sicherlich ein Ereignis ist, das Aufmerksamkeit verdient, da ein solcher Portscan natürlich die erste Stufe eines Einbruchsversuchs darstellen kann. Es ist aber sicherlich nicht hilfreich, Portscans, die von einer Firewall abgewehrt werden noch zusätzlich über ein IDS zu erfassen, dass würde die Datenmenge schnell in nicht mehr handhabbare Größenordnungen wachsen lassen. Ein IDS gehört also an geeignete Stellen hinter Firewalls. Der zweite Punkt ist auch unmittelbar einsichtig: damit ein IDS den Netzverkehr überwachen kann, muss dieser für das IDS sichtbar sein (das kling trivialer, als es in stark geswitchten Netzen möglicherweise ist). Ein sinnvoller 'Standort' ist sicherlich ein zentraler Router, aus Gründen der Lastverteilung kommt auch ein Standort direkt hinter einem solchen Router in Frage. Dann muss allerdings dafür Sorge getragen werden, dass die Netzwerkinterfaces des IDS im promiscous mode betrieben werden, denn nur so lauschen sie auf den gesamten Traffic, der an den betreffenden Interfaces ankommt. Zu den Details der Installation: Verwendet wird das OpenSource Produkt Snort, was mehrere Vorteile bietet: Zum einen lässt sich mit Snort recht einfach ein ganzes Netzwerk von IDS aufbauen, einzelne Instanzen werden als Sensoren bezeichnet. Alle diese Sensoren können ihre Meldungen in dieselbe Datenstruktur schreiben. Dies könnten normale Flatfiles sein, jedoch auch eine Datenbank. Ferner sind Skripte verfügbar, die die Informationen aus der Datenbank auslesen und graphisch aufbereiten, sodass sich schnell ein Überblick gewinnen lässt. Diese Kombination wird als ACID bezeichnet (Analysis Console for Intrusion Databases). Desweiteren sind ständig Ergänzungen der Rulebase verfügbar, dadurch lässt sich ohne großen Aufwand auf neue Angriffstechniken reagieren. Um ACID nutzen zu können wird es in der Regel notwendig sein, Snort selbst zu kompilieren, da vorgefertigte Pakete der diversen Installationen nicht unbedingt Snort derart beigefügt haben, dass alle Möglichkeiten ausgereizt werden können. Ein eigenes Kompilieren hat darüber hinaus natürlich noch den Vorteil, dass man die jeweils aktuellste Version verwenden kann. (Bei Distributionen findet sich, schon vertriebsbedingt, selten die jeweils aktuellste Variante einer Software.) Verfügbar ist Snort sowohl vorkompiliert für diverse Distributionen als auch im Sourcecode unter Nach dem Herunterladen und Entpacken lässt sich Snort mithilfe des bekannten configure-

38 9 Prozesses an die individuellen Bedürfnisse anpassen. Um ACID nutzen zu können muss die Option with-mysql=(pfad zu den Laufzeitbibliotheken von mysql) angegeben werden. Alternativ lässt sich Snort auch mit PostgreSQL, Oracle und (über die odbc-option) mit anderen ODBC-fähigen Datenbanken verwenden. Nach einem make; make install ist Snort fertig kompiliert und kann im Prinzip sofort eingesetzt werden. (Vorauusatzung ist natürlich ein C-Compiler/Linker und das Programm 'make', das kann man aber zumindest bei Linux als Standard voraussetzen.) Es müssen noch die Unterverzeichnisse etc und rules aus dem Sourcecode-Verzeichnis in das Installationsverzeichnis kopiert werden. Unter etc finden sich diverse Konfigurationsdateien von Snort, unter rules befindet sich die Rulebase über diverse Dateien verteilt, hier wird also festgelegt, nach welchen Netzverkehrspattern Snort suchen soll. Herzstück von Snort sind die Rules, die, wie oben erwähnt, im Unterverzeichnis rules liegen. Hier finden sich Dateien, die nach Diensten benannt sind, die es zu überwachen gilt. Das ist nicht notwendig, dient aber der Übersichtlichkeit. So gibt es z.b. eine Datei namens ftp.rules, die Rules enthält, die Angriffe auf ftp-server erkennen sollen, es gibt eine Datei sql.rules, die Regeln zur Erkennung von Versuchen enthält, den MS-SQL-Server anzugreifen usw. Der Aufbau einer Regel ist von der Struktur her recht einfach, schwierig kann es werden, wenn bestimmte Zeichenketten aus TCP/UDP-Paketen ausgelesen werden sollen. Hier ist eine nähere Bekanntschaft mit regulären Ausdrücken unerlässlich. Zunächst ein ausgesprochen dummes Beispiel, dass allerdings den Vorteil großer Einfachheit hat: alert ip any any -> any any (msg: "Ip Paket entdeckt";) Ausgesprochen dumm ist dieses Beispiel, weil es alle IP-Pakete, und damit den größten Teil des Netztraffics meldet (andererseits ist diese Regel natürlich hervorragend als Test für die Funktionstüchtigkeit von Snort geeignet). Zunächst die einzelnen Bestandteile: Als erstes erfolgt, hier mit alert, der Aufruf der Aktion, die Snort durchzuführen hat, wenn der folgende Teil der Regel zutrifft. Mögliche Aktionen sind: pass Das dürfte selbsterklärend sein, das Paket wird ignoriert log Das Paket wird in einer entsprechenden Logdatei oder Datenbank erfasst alert Das Paket wird, wie oben mitgelogged, und gleichzeitig ein Alarm generiert activate wendet weitere Regeln auf das Paket an

39 10 dynamic wartet auf Aktivierung durch andere Regel, keine eigenständigen Aktionen Anwenderdefinierte Regeln (das geht recht einfach über Einträge in der Datei snort.conf, soll hier aber nicht weiter diskutiert werden. Danach erfolgte die Angabe des zu überwachenden Protokolls. Mögliche Angaben sind hier ip, icmp, tcp und udp. Darauf erfolgt die Angabe von Quell- bzw. Zieladressen und Ports, und zwar in folgender Reihenfolge: Quelladresse, Quellport, Richtung des Datenflusses, Zieladresse, Zielport. Die Angabe ist in CIDR-Schreibweise möglich, desweiteren läßt sich mit Variablen arbeiten, die in snort.conf definiert wurden. (any steht als Schlüsselwort für beliebige Adressen bzw. Ports. Bei Ports ist durch die Verwendung von ":" die Angabe eines ganzen Ranges möglich. Die Angabe der Flussrichtung legt fest, ob die Datenquelle extern ist, oder ihren Ursprung im internen Netz hat. Die Angabe von <> ermöglicht eine bidirektionale Überwachung. Die bisher betrachten Felder einer Regel werden als Header bezeichnet, es folgen Options, im obigen Beispiel genau eine, nämlich das Schlüsselwort msg: und eine darauffolgende Meldung, die so im entsprechenden log auftauchen würde. Ein lebensnäheres Beispiel soll die Verwendung der Options, und einige ihrer Möglichkeiten deutlicher machen: Einige Portscanner versuchen über Pakete mit gesetztem ACK-Flag die Erreichbarkeit von Rechnern zu testen, bei denen eine Firewall einen Ping nicht zulässt, da ICMP geblockt wird.. Schickt ein Rechner von außen ein TCP-Paket mit gesetztem ACK-Flag, dessen Sequenznummer 0 ist, so antwortet ein Server defaultmäßig mit einem RST (eine TCP-Nachricht mit gesetztem ACK- Flag kann keine 0 als Sequenznummer haben), da er hier annimmt, das die Verbindung nicht korrekt zustande kam. Dadurch erfährt der Portscanner allerdings, dass der interessierende Server in der Tat online ist, und an dem interessierenden Port lauscht. Folgende Regel würde hier einen Alarm generieren: alert tcp any any -> any any (flags: A; ack: 0; msg: "Achtung TCP-PING!";) Hier besteht der Optionsteil aus drei Bestandteilen, flags gibt das zu untersuchende TCP-Flag an, in diesem Fall ACK, ack: gibt den Wert der Sequenznummer an, bei dem die Regel greifen soll, und msg wiederum die Art der Meldung, die im log erscheinen soll. Eine weitere wichtige Option ist content:. Hier kann auch auf höheren Netzwerkschichten nach Schlüsselwörtern gesucht werden. Dies ist allerdings recht aufwendig, da hier eine Volltextsuche durchgeführt mit. Gibt es Grund zu der Annahme, dass ein gesuchtes Schlüsselwort an ganz bestimmten Stellen in den Paketen zu finden ist, lässt sich die Suche mit den Optionen offset: Zahl und depth: Zahl auf bestimmte Bereiche

40 11 einschränken. Hier gibt offset die Zahl der Bytes an, ab denen gesucht werden soll, depth die Zahl der Bytes, bis zu denen gesucht wird. In diesen Zusammenhang gehört auch die Option nocase, die eine Case-insensitive Suche durchführt. Alternativ gibt es auch die Option uricontent, falls der gesuchte String Bestandteil einer URL, bzw. URI ist. Flow: zählt ebenfalls zu den interessanteren Optionen: flow: enthält eine von vier Zusatzkomponenten: to_client, to_server, from_client und from_server, je nachdem, ob es sich um eine Antwort auf eine Anfrage handelt, to_* oder eine Anfrage, from_*. Desweiteren lässt sich hier der Verbindungszustand mit angeben: stateless (ohne Betrachtung des Satus einer Session, established, also nach 3-Wege-handshake, sowie no_stream und stream_only, für reine Streaming-Pakete. Zwei Beispiele sollen den Aufbau der Regeln verdeutlichen: web-misc.rules:alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-misc intranet access"; flow:to_server,established; uricontent:"/intranet/"; nocase; reference:nessus,11626; classtype:attempted-recon; sid:1214; rev:6;) Abgesehen von den Variablen, anstelle von IP-Adressen (sie werden über die Datei snort.conf definiert), finden sich hier einige der bisher besprochenen Optionen wieder: msg: als String für das log, flow:to_server, established bedeutet, dass es sich um eine Antwort des Server (hier ein Webserver) handelt, während einer aufgebauten Verbindung. In der Option uricontent wird nicht casesensitiv nach dem String /intranet/ gesucht. Hintergrund ist hier die Annahme, dass Computernutzer aus externen Netzen keine Berechtigung haben auf ein Firmenintranet zuzugreifen, und ein solcher Versuch deshalb als Angriff zu werten sei. Dies ein Beispiel für eine Rule, die, je nach Situation, eklatant unsinnig sein kann. Ein Kunde des betreffenden Webhosters hat z.b. ein Verzeichnis intranet als Teil seiner Verzeichnisstruktur, die über einen Webserver einem externen Nutzerkreis zur Verfügung gestellt wird. Daher muß diese Regel im betrachteten Fall entweder modifiziert oder ganz verworfen werden. und: alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"ftp passwd retrieval attempt"; flow:to_server,established; content:"retr"; nocase; content:"passwd"; reference:arachnids,213;

41 12 classtype:suspicious-filename-detect; sid:356; rev:5;) Hier wird auf den FTP-Befehl RETR caseinsensitiv getestet und danach auf den String passwd, ein Alarm wird also ausgelöst, wenn jemand versucht mithilfe des Befehls get die Datei / etc/passwd, die unter Unix alle Userinformationen (außer Passwörtern) beinhaltet herunter zu laden. Es ist sicherlich nicht sinnvoll, hier auf alle Optionen einzugehen, die Snort bietet. Eine möge aber noch Erwähnung finden, da sich damit die Snortentwickler offenbar in Richtung auf Intrusion Prevention bewegen. Gemeint ist die Option resp:. Voraussetzung für ihre Nutzung ist, dass Snort mit der Option with-flexresp kompiliert wurde. Im obigen Beispiel (FTP-Download) ließe sich z. B. die Option resp so anwenden: resp: rst_all; Dies würde dazu führen,dass sowohl FTP-Server als auch Client ein Paket mit gesetztem RST-Flag erhielten, was sie zum sofortigen Abbau der Verbindung bewegen würde. Weitere reaktionsmöglichkeiten sind rst_snd und rst_rcv, für ein RST-Paket an Sender bzw. Empfänger. Möglich ist auch das Verschicken von ICMP-Nachrichten durch Snort an den Absender des beanstandeten Paketes mittels: icmp_net = Network unreachable, icmp_host = Host unreachable, icmp_port = Port unreachable oder alles drei auf einmal mit icmp_all. Preprozessoren: Preprozessoren sind Programmbausteine, die Datenpakete auf eine bestimmte Weise aufarbeiten. Sie werden durch den Aufruf preprocessor "Name des Preprozessors" evtl Parameter In der Datei snort.conf aktiviert. Ein Beispiel mag das verdeutlichen: Der Prepozessor http_decode 'normalisiert URL- bzw. URI-Eingaben derart, dass alle Zeichen in hexadezimale Form umgewandelt werden. Dadurch lassen sich eine Reihe von möglichen Attacken besser erkennen: Will ein Angreifer z. B. auf die (normalerweise ihm vorenthaltene) Datei / www/passwd.doc zugreifen, kann er das Versuchen, indem er / im Hex-Format darstellt, also als % 2Fwww%2Fpasswd.txt. Eine einfache Snortrule, wie z.b. alert tcp (msg: "Vorsicht, versuchter Passwortdiebstahl"; uricontent:"/www/passwort.doc";) würde so umgangen, da ja die Zeichenketten nicht identisch sind. Beim Verwenden des http_decode-preprozessors würde hingegen beides in hexadezimaler Form miteinander verglichen werden, und Übereinstimmung festgestellt, mithin ein Alarm generiert werden. Weitere Preprozessoren stehen zur Verfügung zur erleichterten Erkennung von Portscans, zum

42 Umgang mit fragmentierten Paketen, zur Abwehr von ARP-Spoofing usw. 13 Die Verwendung von Datenbanken zur Speicherung der Snortlogs: Snort ist vorbereitet für die direkte Verwendung einiger Datenbanken, (MySQL, PostgreSQL, Oracle und MS-SQL). Darüber hinaus existiert eine ODBC-Schnittstelle zur Kommunikation mit anderen ODBC-fähigen Datenbanksystemen. Generell muß die Datenbank nicht auf demselben Server laufen, auf dem Snort installiert ist. Vor allem ist es möglich, verschiedene, über das gesamte Netz verteilte Snortsensoren in dieselbe Datenbank loggen zu lassen. Logs in einer Datenbank anstelle von Flatfiles bringt zunächst nicht viel zusätzliche Übersicht, obwohl natürlich die Trennung der einzelnen Logfelder schon hilfreich sein kann. Letzen Endes ist die Nutzung einer Datenbank für die Logs von Snort eher eine Vorbedingung für eine ansprechende graphische Aufbereitung der Informationen, was dann mit Hilfe von ACID geschehen kann. Das Vorgehen soll hier am Beispiel von MySQL erläutert werden, was vermutlich in diesem Zusammenhang die am meisten verwendete Datenbank sein dürfte. Snort benötigt einen Datenbanknutzer, damit es seine Logs an die Datenbank übergeben kann. Darüber hinaus muss natürlich eine entsprechend konfigurierte Datenbank vorhanden sein. Zum Anlegen der Datenbank genügen zwei unkomplizierte Schritte: Als erstes muss die Instanz selbst erzeugt werden, was mittels 'create database snort;' (natürlich sind auch andere Namen möglich) geschieht. Das Anlegen eines Nutzers mit den nötigen Rechten erfolgt über die beiden folgenden MySQL- Befehle: grant create, delete, insert, update, select on snort.* to Damit existiert ein Nutzer, der sämtliche Rechte auf den Tabellen hat, die zur Datenbank 'snort' gehören. Ein Passwort für den Nutzer wird vergeben mittels set password forr Nutzername = password('passwort im Klartext'); Um das Anlegen der benötigten Tabellen mit den entsprechenden Feldern kümmert sich das Skript create_mysql, das mit Snort mitgeliefert wird: mysql h localhost u Nutzername p snort < create_mysql. Es werden folgende Tabellen erzeugt:

43 14 mysql> use snort Database changed mysql> show tables; Tables_in_snort data detail encoding event icmphdr iphdr opt reference reference_system schema sensor sig_class sig_reference signature tcphdr udphdr rows in set (0.06 sec) Es ist nun sicherlich nicht sinnvoll, den Inhalt der Tabellen im Detail aufzulisten, jedenfalls werden die Informationen der einzelnen logs, die Snort sonst schreiben würde, auf diese 16 Tabellen verteilt, z.b. enthält die Tabelle 'data' den sog. Payload der mitgeschnittenen Pakete, die Tabelle 'iphdr' enthält als Spalten sämtliche möglichen Felder des IP-Headers, sodass hier für jedes aufgezeichnete IP-Paket eine Aufteilung nach dem Inhalt der einzelnen Felder über die Spalten der Tabelle erfolgt. Um nun Snort dazu zu bringen, seine Logs in die Datenbank zu schreiben, muss die Datei snort.conf entsprechend angepasst werden, durch das Einfügen folgender Zeile (de facto existiert die Zeile bereits, sie ist nur auskommentiert und natürlich muss sie auf die aktuellen Gegebenheiten angepasst werden): Output database: log, mysql, user=nutzername dbname=datenbankname host=localhost. Nach einem Neustart von Snort wird die Änderung aktiv, und Snort logged künftig in die Datenbank. ACID (Analysis Console for Intrusion Databases) ACID ist im wesentlichen eine Sammlung von PHP-Skripten, die den Inhalt einer Snort-Datenbank

44 15 graphisch aufbereiten. Um ACID einsetzen zu können sind neben der Skriptsammlung weitere Programme notwendig. Da es sich um eine Webapplikation handelt, wird ein Webserver benötigt. Umter Linux fällt hier die Wahl natürlich auf Apache, der in den meisten Distributionen bereits mit PHP-Unterstützung vorliegt. Andernfalls ist der Support für mod_php nachträglich hinzuzufügen. Weiter wird folgende Software benötigt: Adodb: Wird für die Anbindung zu MySql benötigt Jpgraph: Dient der graphischen Aufbereitung von Statistiken Nach der Installation von ACID als Unterverzeichnis im DocumentRoot-Verzeichnis des Webservers und der Installation von Adodb und Jpgraph als Unterverzeichnisse unterhalb von ACID ist nur noch die Datei acid_conf.php an die Verhältnisse anzupassen. Ein Aufruf in einem Webbrowser ergibt folgendes Bild: Dies ist der Startbildschirm von ACID (im vorliegenden Fall wurden einfach Meldungen zu Testzwecken erzeugt).

45 16 Die Darstellungsmöglichkeiten von ACID sind vielfältig. So gibt es beispielsweise die Möglichkeit, die Datenbank nach beliebigen Kriterien zu durchsuchen:

46 17 Mit Hilfe von Jpgraph ist es möglich, Statistiken zu visualisieren:

47 18 Darüber hinaus lassen sich automatisch Alerts generieren: III. Ausblick Bis zu diesem Punkt ging es um die Installation von Snort und einigen zusätzlichen Tools, die den Umgang mit Meldungen erleichtern sollen. Einen ersten Eindruck von der konkreten Implementierung kann man durch einen Blick auf den, im Anhang beigefügten, Netzplan gewinnen. Es sind zur Zeit drei Snortsensoren installiert, die alle auf die Maschine auf dieselbe Maschine loggen. (Aus Sicherheitsgründen wird hier vermieden, Hostnamen bzw. IP-Adressen zu verwenden. Eine Kenntnis der betreffenden Maschinen würde potentiellen Angreifern nützliche Informationen geben. Aus demselben Grund ist der Netzplan der öffentlichen Version dieser Arbeit nicht

48 19 beigefügt). Zur Zeit werden die Sensoren justiert, d.h. die Rulebase wird den gegebenen Bedingungen so gut, wie eben möglich angepasst. Wie bereits erwähnt werden die Rules von Snort ständig gepflegt, sodass es selten nötig ist, eigene Rules zu schreiben, außer als Teil des Community-Prozesses. Was hier zur Zeit statt dessen passiert ist ein möglichst genaues Justieren der Regeln, um Fehlalarme soweit wie eben möglich auszuschließen. Das klingt zunächst unspektakulär, ist aber nicht weniger wichtig, als die Reaktion auf Angriffsszenarien durch das ständige Pflegen der Rulebase. Je höher die Anzahl der Fehlalarme, auch false postives genannt, umso weniger sinnvoll ist der Einsatz eines IDS. Nicht nur, dass es zeitaufwendig ist, große Mengen an Informationen im Hinblick auf einige wenige wichtige zu durchforsten, sinkt auch die Akzeptanz des Instruments IDS mit steigenden false positives. Um einen Eindruck von der Relevanz des Problems zu geben, ein kleines, konstruiertes, Beispiel: Anbieter von vorkonfigurierten IDS werben häufig mit einer false positive Rate von unter 1%. Angenommen, sie beträgt genau 1%. Angenommen weiter, jeder te Zugriff auf ein System ist ein Einbruchsversuch. Dann werden pro tatsächlichem Einbruchsversuch 100 Alarme generiert, von denen 99 falsch sind. Eine solche Situation führt schnell dazu, diese Alarme völlig zu ignorieren, da sie ja "sowieso falsch" sind. Selbst wenn es den verantwortlichen Administratoren gelingt, sich dadurch nicht frustrieren zu lassen, und sie jeder Meldung nachgehen, wäre dies eine riesige Verschwendung knapper Ressourcen und damit völlig inakzeptabel. Genau dieses Problem wird zur Zeit durch ein Feintuning der Sensoren bearbeitet. Wann das IDS dann tatsächlich Live gehen wird, ist noch nicht abzuschätzen, sollte aber in ca. 2 Monaten der Fall sein. Dann werden weitere Sensoren in dem Teil des Netzes installiert, das in ein externes Rechenzentrum ausgelagert wurde, als Ersatz für den Sensor, der sich im Moment am Übergang zu genau diesem Netzsegment befindet, siehe Anhang.

49 Abschlußarbeit Silvio Garbe Weiterbildendes Studium IT-Sicherheit Thema: Sicherung des Supportnetzes zwischen internem LAN und externen Kundenrechnern und Netzen

50 Inhaltsverzeichnis 1. Unternehmensprofil 2. Strategische Partner 3. Was bedeutet IT-Sicherheit? 4. Grundwerte der IT-Sicherheit 5. Was macht ein Sicherheitskonzept für die CAS AG erforderlich? 6. Wozu benötigt die CAS AG außerdem ein Sicherheitskonzept? 7. Welche Maßnahmen wurden und werden bei der CAS AG ergriffen? 8. Aus welchem Grund wurden IT-Sicherheitsziele erstellt? 9. Netzstruktur und Änderungen bei der Kundenanbindung 10. Wie sollten die Supportrechner abgesichert werden? 11. Neue und verbesserte Netzstruktur des Unternehmens und Kundenanbindung Quellenangabe 2

51 Als erstes möchte ich die CAS AG (Concepts and Solutions AG) vorstellen. 1. Unternehmes-Profil Als kompetentes Dienstleistungsunternehmen der IT-Branche versetzt die CAS Concepts and Solutions AG ihre Kunden in die Lage, im Wettbewerb durch Transparenz und Integration der Geschäftsprozesse differenzierter entscheiden und agieren zu können. Internet und Globalisierung verändern rapide Wirtschaftsstrukturen. Neue Märkte entstehen und beträchtliche Wachstumspotentiale werden eröffnet. Damit beginnt aber auch der Wandel der Wertschöpfungs-, Logistik- und Informationsprozesse. Firmenzusammenschlüsse, Outsourcing und Kooperationen stellen darüber hinaus Anforderungen an organisatorische Zusammenführung, Trennung oder Koexistenz unterschiedlichster IT-Strukturen. Das Spektrum der Lösungen für die Kunden umfasst daher sowohl die Prozesse innerhalb von Unternehmen sowie zwischen den Unternehmen, da nur Lösungen mit dem Blick auf das Ganze Wettbewerbsfähigkeit sichern helfen können. Von der Beratung, Konkretisierung der Anforderungen und Konzeption bis hin zur Realisierung der Lösungen bietet die CAS AG fachkundige Dienstleistungen und ist zugleich kompetenter Ratgeber bei der Auswahl der erforderlichen Produkte. Denn gerade die Kombination der Kompetenzen der CAS AG ermöglichen umfangreiche Services und individuelle Lösungsansätze. Integration, Harmonisierung und Reorganisation komplexer SAP-Systemlandschaften sind die zentralen Bereiche, in denen die CAS AG große SAP- Systemanwender mit ihrem Dienstleistungs- und Produktangebot betreut. Dieses Angebot beinhaltet Vorgehensmodelle, Tools und Techniken zum Aufbau unternehmensweiter Integrationsszenarien (Integration Broker), Harmonisierung systemübergreifender Stammdaten sowie Zusammenführung und Reorganisation von SAP-Systemen. 3

52 Seit 1991 ist die CAS AG kontinuierlicher Entwicklungspartner und seit Mai 2001 mysap.com Partner Service der SAP AG. Die Kernkompetenzen im SAP- Umfeld werden durch ein breit gefächertes Portfolio von Dienstleistungen und Produkten, zur ganzheitlichen Gestaltung von optimierten Prozessen sowohl in den Unternehmen als auch über Unternehmensgrenzen hinaus, ergänzt. Die CAS AG hat sich deshalb als ebusiness-enabler profiliert, der alte und neue Welten nahtlos in collaborative Lösungen verbindet. Geschäftsstellen der CSA AG Die CAS AG besteht aus mehreren Geschäftstellen, Hamburg, Bochum, Neuss, Darmstadt, Reutlingen Und Chicago (USA) wobei Hamburg der Hauptfirmensitz ist. Darmstadt Bochum Reutlingen Neuss HAMBURG Chicago Anzahl der Mitarbeiter der CAS AG Die Anzahl der Mitarbeiter beträgt cirka 130 Personen. 4

53 2. Strategische Partner SAP Services Die CAS AG ist seit Mai 2001 Kooperationspartner der SAP AG im Rahmen des mysap.com Partner Service. Darüber hinaus ist die CAS AG auch mysap CRM Development Partner. SAP Entwicklungspartner R3 ALE Als Entwicklungspartner ALE war die CAS AG maßgeblich an der Entwicklung der ALE-Technologie beteiligt und von der SAP AG beauftragt, die Zertifizierung solcher Konverter-Anbieter durchzuführen. Ebenfalls wurde das Migrationsregelwerk von der CAS AG im Auftrag der SAP AG entwickelt, so dass wir auch im Bereich der Migration von SAP-Systemen führend sind. Ascential Software Mit Ascential Software, Spezialist für unternehmensweite Datenintegrationslösungen, verbindet die CAS AG seit der Akquisition von Mercator Software eine enge Partnerschaft. Diese Partnerschaft bietet bisherigen Mercator-Nutzern und Anwendern der Ascential Data Integration Suite die volle Bandbreite von Werkzeugen zur transaktionalen Integration von Applikationen über operationale Tools zu Verbesserung der Datenqualität bis hin zur ETL-Verarbeitung großer Datenmengen für analytische Aufgaben. Ein ausgefeiltes Metadatenmanagement und eine Workbench zur Real-time-Integration auf Webservice-Basis runden die Suite ab. 5

54 SerCon GmbH, Service & Consulting Die SerCon GmbH ist eine eigenständige Tochtergesellschaft der IBM Deutschland GmbH. Als Teil von IBM Business Consulting bietet SerCon ihren Kunden branchen- und lösungsspezifische Beratungs- und Implementierungsservices. CAS AG und SerCon GmbH haben eine Kooperation vereinbart, um gezielt Kunden des Mittelstands ein gemeinsames, sich ergänzendes SAP- Lösungsangebot anzubieten. So wird das Angebot der CAS AG u.a. um die SAP ready to run Templates für den Mittelstand von SerCon ergänzt. Kunden der CSA AG Kunden der CAS AG sind national und international - zum Beispiel: Bayer AG IBM Infineon Apple Homebase Shell Reebok Boyner Holding und viele mehr. 3. Was bedeutet IT-Sicherheit? Was verbirgt sich eigentlich hinter dem Begriff Sicherheit? Ganz allgemein kann man damit das Recht auf die Vertraulichkeit und Unversehrtheit seiner Daten bezeichnen. 6

55 IT-Systeme umfassen Hardware, Software, Daten und Netze. Informationen sind bedruckte oder beschriebene Papiere; elektronisch gespeichert; übertragen durch Postdienste oder Datennetze; gezeigt als Video oder das gesprochene Wort. Sicherheit ist Schutz vor Gefahren und/oder Schaden. IT-Sicherheit ist der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses IT-Systems aufgrund von Bedrohungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind. (Quelle: BSI, 1992) 4. Grundwerte der IT-Sicherheit Es gibt 3 Säulen auf den die Grundwerte der IT-Sicherheit beruhen, Vertraulichkeit, Verfügbarkeit und Integrität. Was bedeuten diese Begriffe? Vertraulichkeit: Das bestimmte Daten und Informationen, nur für den autorisierten Benutzer zugänglich sind. Es sollten alle Daten so geschützt werden, dass sie nicht von Unbefugtengenutzt werden können. Integrität: Die Korrektheit und Unversehrtheit von Daten. Die Daten müssen vollständig und unverändert sein. Der Begriff Informationen wird in der Informationstechnik für Daten verwendet, denen je nach Zusammenhang bestimmte Attribute wie zum Beispiel Autor, Zeitpunkt der Erstellung oder Änderung zugeordnet werden können. Durch unerlaubtes Verändern, Verfälschung von Angaben zum Autor oder Manipulationen am Zeitpunkt der Erstellung bedeutet Verlust von Integration. Verfügbarkeit: Zum geforderten Zeitpunkt stehen dem Benutzer, Funktionen, Dienstleistungen eines IT-Systems sowie bestimmte Informationen zur Verfügung. 7

56 Weitere wichtige Begriffe sind: Authentisierung: Bei der Anmeldung an einem System wird im Rahmen der Authentifizierung die Identität der Person, die sich anmeldet, geprüft und verifiziert. Der Begriff wird ebenfalls verwendet, wenn die Identität von IT- Komponenten oder Software geprüft wird. Autorisierung: Hier wird geprüft ob eine IT- Komponente, eine Person oder eine Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist. Datenschutz: Unter Datenschutz versteht man den Schutz personenbezogener Daten vor dem Missbrauch durch Dritte (nicht zu verwechseln mit Datensicherheit). Datensicherheit: Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Datensicherung: Bei einer Datensicherung werden zum Schutz vor Datenverlust Sicherheitskopien von vorhandenen Datenbeständen erstellt und gesichert. Penetrationstest: Ein Penetrationstest ist ein gezielter, in der Regel simulierter, Angriffsversuch auf ein IT-System. Er wird als Wirksamkeitsprüfung vorhandener Sicherheitsmaßnahmen eingesetzt. Risikoanalyse: Mit einer Risikoanalyse wird untersucht, wie wahrscheinlich das Eintreten eines bestimmten Schadens ist und welche negativen Folgen der Schaden hätte. Sicherheitsrichtlinie: In der Sicherheitsrichtlinie werden Schutzziele und allgemeine Sicherheitsmaßnahmen im Sinne offizieller Vorgaben eines Unternehmens oder einer Behörde formuliert. Detaillierte Sicher- 8

57 heitsmaßnahmen sind in einem umfangreichen Sicherheitskonzept enthalten. (Quelle, Leitfaden IT-Sicherheit) 5. Was macht ein Sicherheitskonzept für die CAS AG erforderlich? Computer und Internet haben den Alltag vieler Unternehmen verändert. Auch heute entwickeln sich weiter neue Geschäftschancen: Elektronische Marktplätze und standortübergreifende Datenverarbeitung sind wichtige Beispiele. Die Sicherheit darf dabei aber nicht vergessen werden. Stellt man sich vor, dass die Daten an die Öffentlichkeit gelangen, mutwillig oder durch einen Notfall völlig zerstört werden. Oder, dass aus Unternehmen Massen- s mit Viren verschickt werden. Welche rechtlichen Konsequenzen drohen dem Unternehmen und Ihnen persönlich? Die in den Gesetzen genannten Formulierungen klingen für den juristischen Laien teilweise recht allgemein und unverbindlich. In der Tat lassen sich hieraus jedoch konkrete Verpflichtungen für die Gewährleistung eines angemessenen IT-Sicherheitsniveaus im eigenen Unternehmen ableiten. Für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne Einwilligung öffentlich gemacht werden ( 203 StGB). Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen bereits erfüllen. Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT- Risiken des Kreditnehmers zu berücksichtigen - mit unmittelbaren Auswirkungen auf die angebotenen Konditionen. Rechtliche Pflichten: Schadensersatz: Unternehmen und Verantwortliche, die ohne Beachtung rechtlicher Vorgaben personenbezogene Daten prozessieren, haften für eintretende Nachteile auf Schadensersatz und Schmerzensgeld. 9

58 Bußgeld: Verantwortliche, die personenbezogene Daten ohne entsprechende Einwilligung des Betroffenen oder ohne Berufung auf eine gesetzliche Ermächtigungsgrundlage prozessieren, werden mit einem Bußgeld bis zu Euro bestraft. Haftstrafe oder Geldstrafe: Verantwortliche, die Daten unter Verstoß gegen das Fernmeldegeheimnis oder Vorschriften des Bundesdatenschutzgesetzes prozessieren, riskieren eine Geld- oder Haftstrafe. Gewerberecht/Wettbewerbsrecht: Unternehmen, die aufgrund ihres Geschäftgebarens fortlaufend Defizite im Bereich IT-Sicherheit erkennen lassen, werden vom Wettbewerb beim Gewerbeamt angezeigt und müssen befürchten wegen fehlen der erforderlichen Zuverlässigkeit ihre Gewerbeerlaubnis zu verlieren. Reputationsverlust: Unternehmen und Verantwortliche, die durch fehlende Professionalität im Bereich IT-Sicherheit auffallen, werden in der Branche als Risikofaktor angesehen. Aufsichtsbehörden, Unternehmen und Verantwortliche, die durch nicht rechtskonforme Prozessierung personenbezogener Daten auffallen, riskieren Adressat einer Überprüfung durch die Datenschutzbehörde zu werden. Beweisprobleme: Werden beweisrelevante Daten unter Verstoß gegen rechtliche Vorgaben erhoben, so können Sie etwa in Arbeitsgerichtsverfahren nicht verwendet werden. Versicherung: Unternehmen, die ihrer Organisationsverpflichtung nicht genügen sowie den Benchmark für Betriebssicherheit gemäß Artikel 4. der Europäischen Richtlinie zum Datenschutz bei der elektronischen Kommunikation nicht erfüllen, bezahlen jedenfalls Teile ihrer Versicherungsprämie für die Betriebshaftpflicht umsonst. Bei Versicherungsschä- 10

59 den im Zusammenhang mit Defiziten im Bereich der IT-Sicherheit werden Versicherer die Versicherungsleistung unter dem Vorbehalt eines Mitverschuldens kürzen und gegebenenfalls für zukünftige Fälle die Versicherungsprämie erhöhen. Zudem besteht die Gefahr, dass Versicherungen, wie die Directors & Officers Versicherung, zur Absicherung der Geschäftsleitung keine volle Protektion entfalten. Urheberrechtsverstöße: Tauchen in unternehmenseigenen IT- Infrastrukturen Musik- oder Filmdateien auf, die fremden Copyright unterliegen, haften die Verantwortlichen auf Schadensersatz und Unterlassung, sowie nach den Regeln des Strafrechts. Eine Exculpation kommt hier nur in Betracht, wenn die Verantwortlichen nachweisen, dass sie Strukturen zur Kontrolle solcher Inhalte, etwa eine geeignete Software, implementiert haben. Jugendschutz: Unternehmen, die Jugendliche beschäftigen und diesen Zugang zum Internet geben, müssen sicherstellen, dass kein Zugang zu jugendgefährdenden Inhalten möglich ist. Im Falle des Verstoßes drohen dem Verantwortlichen des Unternehmens Konsequenzen in Form eines Bußgeldes, sowie eine strafrechtliche Verfolgung. 6. Wozu benötigt die CAS AG außerdem ein Sicherheitskonzept? Zum Beispiel um neue Kunden zu gewinnen, da durch den immer schärfer werdenden Wettbewerb die Kunden auf ein Unternehmen setzen, welches verantwortungsvoll und sicher mit ihren Daten umgeht. Administrative und Wartungsarbeiten an IT-Systemen erfordern wesendlich weniger Zeit und sind dadurch effektiver. Eine gute und ausreichende Dokumentation erleichtert Planung, Installation von Software, Fehlerfindung und Beseitigung sowie viele administrative Arbeiten. Eine zentrale Administration ist unter diesen Bedingungen möglich und erleichtert so den Anwendern und Systembetreuern die Arbeit. 11

60 Die Dienstleister der CAS AG arbeiten bei den Kunden in hochsensiblen und unternehmenskritischen Bereichen, was sicherheitstechnisch besondere Sensibilität verlangt. Ebenso hat der Support Zuggriff auf genau diese Bereiche. Ein weiteres Argument für ein Sicherheitskonzept ist es Gefahren für das Unternehmen von Innen und Außen nicht zu ermöglichen beziehungsweise abzuwenden. Durch eine gelebte IT-Sicherheit wird die Unternehmenskultur gefördert und dadurch Kundenorientierung, Identifikation und verantwortungsbewusstes Handeln sowie die Bindung zum Unternehmen und dessen Zielen gestärkt. Ein Fakt sollte nicht außer Acht gelassen werden, die Wirtschaftsbeziehungsweise Industriespionage. Über die Bedeutung der Wirtschaft- und Industriespionage wird in den Medien und der Politik heftig diskutiert. Dies geschieht besonders vor dem Hintergrund der zunehmenden Globalisierung von Wirtschaft und Technologie bei gleichzeitiger Verschärfung des internationalen Wettbewerbs und ist dadurch ein lohnendes Ziel für potentielle Interessenten. Ein Beispiel aus letzter Zeit: Der Wirtschaftsspionage-Trojaner heißt Hotword: Letzte Woche wurde bekannt, dass in Israel mit Hilfe eines, eigens für Industriespionage entwickelten Trojaners, monatelang mehrere Konkurrenzunternehmen ausgespäht und belauscht wurden. Zu den Auftraggebern sollen nach Angaben israelischer Ermittlungsbehörden unter anderem die Mobilfunk-Provider Cellcom und Pelephone, der Satelliten- TV-Anbieter Yes sowie der Mineralwasserabfüller Tami-4 gehören. 12

61 In diesem Zusammenhang wurden bereits 20 Personen, darunter sieben Manager der verdächtigen Unternehmen und auch der Urheber des Trojaners, Michael Haephrati, verhaftet. (Quelle, 7. Welche Maßnahmen wurden und werden bei der CAS AG ergriffen? Es wurde eine Sicherheitsleitlinie erstellt. In dieser sollten folgende Fragen geklärt werden: Warum ist die IT-Sicherheit für das Unternehmen und deren Mitarbeiter wichtig? Welche wichtigen Randbedingungen gibt es (Gesetzte)? Sind spezielle Bedrohungen vorhanden? Bis zu welchen Punkt kann man Risiken akzeptieren? Welche Ziele sollen erreicht werden unter den Punkten Integrität, Vertraulichkeit und Verfügbarkeit? Der Umfang der Sicherheitsleitlinie sollte 2 5 Seiten nicht überschreiten und muss von der Geschäftsführung unterschrieben sein. 8. Aus welchem Grund wurden IT- Sicherheitsziele erstellt? Einerseits um die gesetzlichen Vorgaben einzuhalten, wie die Ordnungsmäßigkeit, die Nachvollziehbarkeit sowie die Kontrollpflichten und andererseits die Kosten in einem Schadensfall zureduzieren sowie Geschäftskontakte zu verbessern (Kunden, Banken, Versicherungen). Es wurde in der CAS AG ein IT-Sicherheitsmanagement eingerichtet. Weiterhin wurde ein Sicherheitskonzept erstellt und zum größten Teil umgesetzt. 13

62 Zurzeit erfolgt die Zertifizierung nach BS durch einen lizenzierten externen Auditor. Das Zertifikat umfasst die in der ISO/IEC genannten Sicherheitsempfehlungen. Folgende Punkte sind Inhalt der ISO/IEC 17799: die Sicherheitspolitik die Einstufung und Kontrolle der Werte personelle Sicherheit, physische und umgebungsbezogene Sicherheit das Management der Kommunikation und des Betriebes die Zugangskontrolle, Systementwicklung und Wartung das Management des kontinuierlichen Geschäftsbetriebes Einhaltung der Verpflichtungen. 9. Netzstruktur und Änderungen bei der Kundenanbindung Hier möchte ich nun die Netzstruktur der CAS AG und Kundenanbindung vor den Sicherheitstechnischen Änderungen schildern. Darmstadt Reutlingen Neuss Chicago HAMBURG IT-Zentrum Bochum Supportabteilung im internen LAN SAP WLAN KUNDE KUNDE KUNDE KUNDE 14

63 Das IT-Zentrum liegt in Hamburg, alle anderen Geschäftsstellen sind miteinander verbunden, nicht nur über die Zentrale sondern auch untereinander, was auch Gefahren mit sich bringt. Die Probleme und Gefahren sind vielfältig: Fast jeder Mitarbeiter besitzt mindestens noch einen zweiten Rechner (Notebook, Palm, usw.), welche beim Kunden, im Unternehmen und zu Hause genutzt werden. Da viele Angestellte im Bereich der Programmierung tätig sind werden Administratorrechte benötigt. Weiterhin werden das Internet und genutzt was zu Gefahren durch Viren, Würmer, Trojaner usw. führt. Es können Probleme durch Disketten, CD S, USB-Sticks und externe Festplatten auftreten. Durch die Internetnutzung kann es auch zu Gefahren durch Maleware, Spyware, Filesharing usw. kommen. Das Problem in dieser Struktur ist, das die Supportrechner direkter Teil des internen LAN s sind. Die Rechner sind nur zum arbeiten bei den Kunden und zum Daten übertragen zwischen beiden Unternehmen notwendig. Weitere Arbeiten können im internen LAN getätigt werden, da dort die entsprechenden Sourcen und Programme liegen. Des Weiteren können dort auch Testumgebungen erstellt werden. 10. Wie sollten die Supportrechner abgesichert werden? Die Ausstattung der Rechner (Hardware) sollte aus folgenden Komponenten bestehen, normaler PC mit Diskettenlaufwerk, CD Brenner, USB 2.0 Schnittstellen, ISDN und Netzwerkkarte. Softwaretechnisch sollten die Rechner mit einem aktuellen Betriebsystem wie Windows 2000/XP (auf neusten Patchstand halten zum Beispiel durch SUS Server), einem Virenscanner (aktuelle Virendefinitionen), ein FTP Client und eine Softwarefirewall ausgestatte sein. 15

64 Die Firewall sollte nur die Ports freigeben, die wirklich von den Anwendungen wie PC Anywhere, VNC und Update Virenscanner benötigt werden. Außerdem sollte das Betriebssystem gehärtet (zum Beispiel nicht benötigte Dienste abgeschaltet) und überflüssige Software (z.b. Messenger) deinstalliert werden. Es wird noch ein SDSL Anschluß, ein Router mit interner Firewall und VPN Fähigkeit sowie ein separates Netzwerk gebraucht. Alle Supportrechner stehen nun in einem eigenen Netz und sind von dem internen LAN getrennt. Im Firmennetz wird ist ein FTP Server installiert, welcher auch von dort verwaltet wird. Es haben nur Administratoren und die Mitarbeiter Zugriff auf den Rechner, die Administratoren um den Rechner zu warten und die Supportmitarbeiter nur zum Daten übertragen. Für die Übertragung werden der Authentifizierungs- und Datenkanal verschlüsselt. Für den FTP Dienst wurden noch folgende Sicherheitsmaßnahmen getroffen. So wird auf dem Unix-Server für FTP, für den Abfragenden, das Datenverzeichnis zum Wurzelverzeichnis. Auf diese Weise ist auch bei Sicherheitsmängeln im Serverprogramm niemals ein Zugriff auf Dateien außerhalb des reservierten Plattenbereichs möglich. Diese Methode kann man auch für den Betrieb einer Mailbox oder einen Gast-Login ohne Passwort verwenden. Weiterhin werden ISDN Verbindungen zu Kundenrechnern benötigt. Dabei ist darauf zu achten, dass keine Dailer, Maleware über den Rechner des Kunden bei uns eindringen können (Dailerwarner, aktueller Virenscanner). Programme wie PC Anywhwere oder VNC die zum verbinden auf den Kundenrechner notwendig sind müssen immer auf dem neusten Stand gehalten werden. Es sollten die Abrechnungen der ISDN Kosten separat ausgezeichnet werden, um im Schadensfall die Rufnummern nachvollziehen zu können. 16

65 Ebenso sind Verbindungen zum Kunden über VPN Leitungen erforderlich. Es muss mit den Kunden besprochen werden welche VPN Clients erforderlich sind und wie deren Einrichtung vorgenommen werden soll (Passwortlänge, Verschlüsselung, auf welche Rechner zugegriffen werden darf). Die VPN Endpunkte sollten im Router liegen, damit von allen Supportrechnern darauf zugegriffen werden kann. Es empfiehlt sich mit jedem Supportkunden einen Vertrag über die Sicherheitsbestimmungen beider Seiten und Haftung im Schadensfall abzuschließen. Das interne LAN muss natürlich auch abgesichert sein. Es sollten Sicherheitsrichtlinien für Benutzer und Rechner erstellt und eingeführt werden. Hier müssen natürlich auch die Rechner vor Gefahren wie Viren, Trojanern und so weiter geschützt sein. Ein weiterer wichtiger Punkt ist die Absicherung des WLAN Zuganges. Auch im internen Netz muss darauf geachtet werden die Betriebssysteme und Software auf dem neusten Patchstand zu halten (SUS Server oder automatische Updates). Außerdem sollte jeden Tag ein Backup von den Sourcen und Kundendaten erstellt werden. Zum Schutz der Kundendaten können diese in verschlüsselten Container gespeichert werden (z.b. PGP Software). Ein nicht zu vernachlässigender Punkt ist die Aufklärung aller Mitarbeiter über die Sicherheitsrisiken und ihre Bedeutung für jeden Einzelnen (zum Beispiel die Sicherung des Arbeitsplatzes). 17

66 11. Neue und verbesserte Netzstruktur des Unternehmens und Kundenanbindung Darmstadt Reutlingen Neuss Chicago Bochum Interne LAN (Arbeitsrechner Supportmitarbeiter, Mail, Internet, Verwaltungstool Support Supportrechner 1 Supportrechner 2 Supportrechner 3 Supportrechner 4 KUNDE KUNDE KUNDE KUNDE Hamburg FTP USB-Stick CDR/RW s Disketten DSL Router Hier sieht man wie die Supportrechner vom internen Netz getrennt sind und mit diesem nur über einen FTP Server verbunden sind. Der Zugang zu den Kundenrechnern erfolgt nun über eine separate SDSL Leitung, welche die Verbindung zu den Kunden über einen Router mit integrierter Stateful Inspection Firewall herstellt. Somit sind nun grundlegende Sicherheitsaspekte berücksichtigt. 18

67 Quellenangabe Internetseite CAS AG Schulungsunterlagen BSI Leitfaden IT- Sicherheit BSI Grundschutz Handbuch 19

68

69 Planung Sicherheit und RollOut eines Single-Sign-On Verfahrens bei der Stadt Musterhausen. Projektmitglieder: Klaus Martin Marrek Kurt Reinhardt Siegmar Otto

70 Inhaltsverzeichnis Hintergrund... 4 Vorbemerkungen... 4 Begriffsbestimmung Single-Sign-On:... 5 Vorteile und Risiken einer zentralen Verwaltung von Zugriffsrechten über ein Single- Sign-On Verfahren Problembeschreibung... 5 Grundsätzliche Vorteile:... 6 Chancen und Risiken beim Single-Sign-On... 6 Benutzer und Benutzerumfeld... 6 Administratoren... 7 interner Netzverkehr... 8 Bedrohungen über das Internet... 9 Softwarefehler... 9 Reduzierung des Risikos bei Single-Sign-On Bewertung der Chancen und Risiken Aufbau eines Single-Sign-On Darstellung des Authentifizierungsprozesses Vor-Konzeption Anforderungskatalog Betriebssystem: Hardware: Verfügbarkeit: Schnittstelle zu ADS/LDAP: verteilte Administration -> Berechtigungskonzept: Ziele bei Single-Sign-On Effizienzsteigerung Risikominimierung ROSI Marktanalyse Produktfestlegung Untersuchung auf geeignete Verfahren für die Anbindung an Single-Sign-On Festlegung für welche Verfahren Single-Sign-On zwingend vorgeschrieben wird. 19 Vorabinformation und Genehmigung durch interne Gremien Testszenario Zeitvorgaben personelle Ressourcen Anbindung von Active-Card und USB-Sticks Testumgebung, Testuser und Testverfahren, Testzeitraum Auswertung des Tests Entscheidung Finanzierungplanung Beantragung der Mittel

71 Sicherheitskonzept Gebäudesicherheit Zutrittskontrolle Verfügbarkeit Systemhärtung Netzsegmentierung interne Firewall Datensicherung Authentisierungs-Richtlinie Schulung / Workshop für Administratoren und User Pflege und Überwachung der aktiven Nutzer Hotline Eskalationsstufen innerhalb der Verwaltung Absicherung der Systeme, die an das Single-Sign-On angebunden werden Implementierung / RollOut Ausschreibung von Hardware und Software Beschaffung von Hardware und Software Web-Workshop für User Schulung/Workshop für Administratoren Installation und Konfiguration des Single-Sign-On Servers Einbindung von ausgewählten Verfahren Hotline Installation des Single-Sign-On Agents auf Clientrechner Zurücksetzen der bisherigen Userpassworte in der Applikationsdatenbank Manöverkritik nach RollOut Fazit, Reflektion und Ausblick

72 Hintergrund Die wenigsten Benutzer können sich heute noch alle Passwörter, PINs, etc. merken, die sie für die Vielzahl ihrer Anwendungen benötigen. Dies führt häufig dazu, dass für viele Anwendungen leicht zu merkende - und damit oft auch leicht zu erratende Passworte hinterlegt oder notiert werden, was die Sicherheit beeinträchtigen kann. Single-Sign- On schafft Abhilfe. Es erlaubt dem Nutzer nach einmaliger Authentifikation die Verwendung aller für ihn zugänglichen Anwendungen ohne weitere Passworteingabe und trägt somit stark zur Benutzerfreundlichkeit bei. Vorbemerkungen Bei der Stadtverwaltung Musterhausen handelt es sich um eine Kommune mit ca Mitarbeiterinnen und Mitarbeitern sowie kalkulatorischen 3600 technikunterstützten Arbeitsplätzen. Insgesamt verteilen sich die Arbeitsplätze auf ca. 200 Standorte. In Musterhausen kommen etwa 400 verschiedene Verfahren, die auf unterschiedlichsten Plattformen und Technologien basieren, zum Einsatz. Organisatorisch gliedert sich die Stadtverwaltung in 5 Geschäftsbereiche (früher Dezernate). Im Geschäftsbereich 4 ist der Stadtbetrieb Informations- und Kommunikationstechnik als zentraler interner Dienstleister für die IT angesiedelt. Bedingt durch die unterschiedlichen Hoheiten in den Geschäftsbereichen, der großen Anzahl von Standorten und der immensen Zahl von Fachverfahren, gibt es in den dezentralen Einheiten (Geschäftbereiche, Ressorts und Stadtbetriebe) über 70 Administratoren. Die dezentralen Administratoren unterliegen hinsichtlich der Fach- und der Dienstaufsicht der Führungskraft ihrer jeweiligen Leistungseinheit. Zur gemeinsamen Steuerung der gesamten IuK-Technik wurde durch den IuK- Steuerungsbeauftragten und ein ihn unterstützendes Steuerungsteam eine verwaltungsweite IuK-Strategie festgelegt, die für alle in Musterhausen verbindlich ist. 4

73 Begriffsbestimmung Single-Sign-On: Single-Sign-On bezeichnet ein Verfahrensszenario, das in den verschiedensten Zusammenhängen und Ausprägungen benutzt wird. In dieser Ausarbeitung wird vordringlich der Aspekt des eigenständigen, über alle Anwendungen, Domänen und Plattformen angeordneten Verfahrens betrachtet, das unter Anderem eine einheitliche Anmeldung und eine zentrale Rechtevergabe auf Applikations- und Dateizugriffe gewährleistet. Vorteile und Risiken einer zentralen Verwaltung von Zugriffsrechten über ein Single-Sign-On Verfahren. Bevor wir in dieser Ausarbeitung näher auf das konkrete Projekt eingehen, werden wir einige grundsätzliche Gedanken aufzeigen und auf die teils kontrovers diskutierten Anschauungen über Sicherheitsgewinn oder Sicherheitsverlust eingehen. Problembeschreibung Der Zugang zu Arbeitsplatzrechnern und Anwendungsprogrammen in Unternehmensnetzen wird in der Regel durch Passworte geschützt. Wenn Personen an unterschiedlichen Rechnern arbeiten und mehrere Programme nutzen, müssen sie sich dabei häufig eine Vielzahl von Passworten und Anmeldekennungen merken. Hinzu kommen die vielen Pin-Codes und Kennungen aus dem Privatbereich, wie z.b. Konto-Pin, Internet- Zugang, Online-Banking usw.. Da Passworte häufig vergessen oder vertauscht werden, sind Abteilungen wie ein UserHelpDesk oder die zuständigen Administratoren entsprechend häufig mit den Folgen beschäftigt. Aber auch der Anwender kann so seine Probleme damit haben, wie das nachfolgende Cartoon von Uli Stein zeigt: 5

74 Dies führt dann in der Praxis häufig dazu, dass Passworte mehr oder weniger sichtbar in unmittelbarer Nähe des Rechners aufbewahrt werden. Des Weiteren werden in gängiger Praxis Passworte im engeren Kollegenkreis bekannt gemacht oder sogar Teampassworte benutzt. Bei der Nutzung eines Single-Sign-On hingegen muss sich der Nutzer nur einmal gegenüber dem System authentisieren. Beim Zugriff auf eine bestimmte Ressource erfolgt die Überprüfung der Zugriffsrechte an einem zentralen Server. Der Nutzer erhält dann die mit dem Benutzerkonto verbundenen Berechtigungen, zur Nutzung der Anwendungsprogramme und Ressourcen, ohne dass er beim Aufruf der Programme erneut ein Passwort angeben muss. Grundsätzliche Vorteile: Durch die Einführung einer Single-Sign-On Lösung können die Prozesse zur Verwaltung der Zugriffsrechte der einzelnen Nutzer vereinfacht, die Sicherheit der Systeme erhöht und insgesamt die Kosten verringert werden. Darüber hinaus bietet eine Single-Sign-On Lösung die Möglichkeit, anwendungsspezifische Workflowprozesse zu unterstützen. Dem großen Vorteil, dass sich der Benutzer nur noch ein Passwortwort merken muss, stehen verschiedene Bedrohungen und Risiken gegenüber, die im Folgenden beleuchtet werden. Chancen und Risiken beim Single-Sign-On Benutzer und Benutzerumfeld Je weniger Passworte sich ein Nutzer merken muss, desto geringer ist die Gefahr, dass einfache Passworte genutzt werden. Die Gefahr, dass Passworte aufgeschrieben und für andere leicht zugänglich aufbewahrt werden, wie z.b. als Notiz unter der Tastatur, wird geringer. Die Eintrittswahrscheinlichkeit, dass andere durch Unachtsamkeit des Benutzers unbefugt auf Daten zugreifen, wird durch das Single-Sign-On kleiner. Die Benutzerfreundlichkeit steigt deutlich. Die Schadensauswirkungen sind beim Single-Sign-On jedoch höher wenn ein Unberechtigter sich anmeldet, da mit einem Zugang auch Daten benachbarter Anwendungen durch den Angreifer gefährdet werden können. 6

75 Es besteht das Risiko, dass das Benutzerumfeld Kenntnis von dem Benutzerpasswort erlangt, wenn bei der Anmeldung die Eingabe des Passwortes verfolgt wird. Aufgrund der häufigen Eingabe des Kennwortes, das bei der Anmeldung und auch zur Aufhebung des Bildschirmschoners eingegeben werden muss, bietet sich für Kollegen aber auch Kunden oft Gelegenheit, das Passwort durch einen Blick über die Schulter zu erspähen. Beim Single-Sign-On reicht dies in Zusammenhang mit den allgemein bekannten und angezeigten Benutzernamen, um sich auch in die mit der Kennung verbundenen Programme einloggen zu können. Da in der Regel der Zugriff nicht auf bestimmte Computer beschränkt ist, kann die Kennung und das Passwort an jedem beliebigen PC der Domäne genutzt werden. Der Zugang zu bestimmten Räumen ist damit in diesem Fall nicht notwendig. Auch wenn nur Teile des Passwortes erspäht werden, kann das vollständige Passwort ermittelt werden. Passwortrichtlinien als Schutz gegen Ausprobieren greifen nicht in jedem Fall. Wenn z.b. eine Windows NT- oder Windows 2000-Domäne bei der Anmeldung an einem Client nicht zur Verfügung steht, besteht dennoch die Möglichkeit, sich am PC anzumelden, wenn das Konto von diesem Client aus schon einmal in der Domäne angemeldet war. In diesem Fall greifen die Passworteinstellungen nicht. Die Kennung würde also nicht nach einer bestimmten Anzahl von Fehlversuchen gesperrt werden, auch wenn diese Einstellung auf dem Server konfiguriert ist. Die Ausnutzung dieser Möglichkeit setzt den räumlichen Zugang voraus. Administratoren Für die Administration ergeben sich durch den Einsatz einer Single-Sign-On Lösung Vorteile in dem deutlich verringerten Rückstellungsaufwand verschiedenster Zugangskennungen. Der Systemadministrator kann über die zentrale Serverkonsole die Rechtevergabe kontrollieren und bei Bedarf anpassen. Das Sperren oder Löschen von Berechtigungen ist ebenfalls nur einen Mausklick entfernt. Auch vergessene Zugangskennungen an einzelnen Verfahren von Mitarbeitern die das Unternehmen verlassen haben stellen ein deutlich geringeres Sicherheitsrisiko dar. 7

76 Aber auch hier stehen Risiken gegenüber die im Folgenden betrachtet werden. Administratoren haben die Möglichkeit, Passworte neu zu vergeben, und können sich damit kurzfristig als ein bestimmter Nutzer ausgeben und dann mit den jeweiligen Berechtigungen im System arbeiten. Ein anschließendes Zurücksetzen auf das bisherige Passwort des Nutzers ist jedoch nicht möglich. Eine Kontrolle durch den Nutzer ist ausgeschlossen, da er nicht feststellen kann, warum sein Passwort nicht mehr gültig ist. Eine Protokollierung der Passwortänderung erfolgt häufig nicht. Beim Single-Sign-On würde es reichen, lediglich dass Zugangs-Passwort neu zu vergeben, um dann auch die weiteren Programmen bearbeiten zu können und so gegebenenfalls an sensible Daten heranzukommen. Damit kann sich ein System-Administrator Zugriff auf Daten anderer Verfahren verschaffen ohne dass er gleichzeitig Administrator der anderen Verfahren sein muss. Dem steht gegenüber, dass beim Single-Sign-On für die Anwendungsprogramme keine Passworte mehr freigeschaltet werden müssen. Die Personenanzahl, die sich durch unberechtigtes Freischalten von Passworten Zugriff verschaffen können, lässt sich somit gegebenenfalls verkleinern. interner Netzverkehr Diese multiple Übertragung von Passworten im internen Netzverkehr entfällt beim Single-Sign-On. Zudem nutzen aktuelle Single-Sign-On Verfahren starke Passwort-Policies, so dass eine Brute-Force-Attacke wenig erfolgversprechend ist. Als nachteilig ist zu betrachten, das es möglich ist, sich im internen Netz als ein anderer Benutzer auszugeben und Passworte auszuprobieren. Diese Möglichkeit kann zwar durch die Kontenrichtlinien technisch begrenzt werden, indem nach einer bestimmten Zahl von Fehlversuchen die Kennung gesperrt wird. Erst nach der Freigabe wären weitere Versuche möglich. Zugangspassworte werden in der Regel verschlüsselt über das Netz übertragen. Es besteht jedoch die Möglichkeit, die Tastatureingaben z.b. durch Zusatzgeräte, oder so genannte Keylogger Agenten auszuspähen und so an die Passworte zu gelangen. Auch kann das verschlüsselt übertragene Passwort im Netz abgehört werden und durch eine Brute-Force-Attacke, bei der alle Kombinationsmöglichkeiten systematisch 8

77 ausprobiert werden, ermittelt werden. Gerade bei schwachen Kennworten, die weniger als 8 Zeichen und nicht den vollen Zeichenvorrat (Groß-/Kleinschreibung, Ziffern und Sonderzeichen) nutzen, kann ein Passwort so relativ schnell ermittelt werden. Bei Nutzung von Single-Sign-On, wäre auch der Zugang zu weiteren Programmen möglich. Die Passworte von Anwendungsprogrammen werden häufig unverschlüsselt im Netz übertragen. Durch Abhören des Netzverkehrs lassen sich die Kennungen und Passworte abhören. Bedrohungen über das Internet Wenn keine getrennte Arbeits- und Internetumgebung konfiguriert ist, besteht das Risiko, dass Angreifer über das Internet sich nicht nur Daten aus dem Bürokommunikationssystem (beispielsweise eine implementierte Groupware-Lösung), sondern auch aus den weiteren Programmen und Systemen verschaffen, ohne dass ihnen die Hürde einer weiteren Passwortabfrage entgegensteht. Jedoch wird in dieser Betrachtung das Risiko durch den Einsatz einer Single-Sign-On-Lösung nicht wirklich erhöht. Da empirisch betrachtet das Benutzerverhalten in Bezug auf den Umgang mit Passworten recht sorglos ist, ist die eingangs geschilderte Bedrohung in beiden Fällen gegeben. Softwarefehler Eine ambivalente Problematik besteht darin, dass mögliche Softwarefehler in Anmeldeprozessen durch ein Single-Sign-On sich auf einen Punkt konzentrieren. Hierdurch sinkt einerseits die Wahrscheinlichkeit eines Angriffs. Andererseits erhöht sich gleichzeitig das Risiko, da ein erfolgreicher Angriff auf das Single-Sign-On, gleichzeitig auch die anderen angebunden Applikationen zugänglich macht. Es kann also nicht davon ausgegangen werden, dass der Authentisierungsprozess vollständig frei von Programmfehlern ist, die gegebenenfalls zum unberechtigten Zugang missbraucht werden können. Es werden immer wieder Softwarefehler aufgedeckt, die dann mit neuen Software-Versionen abgestellt werden. Dabei besteht jedoch immer ein Zeitverzug, bis diese neuen Versionen installiert sind. Die Auswirkungen eines Softwarefehlers beim Single-Sign-On sind größer. 9

78 Reduzierung des Risikos bei Single-Sign-On Durch den Einsatz von Chipkarten oder USB-Token zur Authentisierung können die mit dem Single-Sign-On zusätzlich verbundenen Risiken deutlich reduziert werden. In diesem Fall ist nicht nur dass Wissen des Passwortes notwendig, sondern auch der Besitz der Chipkarte. Der Zugriff auf bestimmte Anwendungsprogramme kann auf ausgewählte Rechner oder Subnetze beschränkt werden, um die Möglichkeit zu reduzieren, sich mit einer erspähten Kennung unbemerkt anzumelden. In diesem Fall wäre zusätzlich der räumliche Zugang erforderlich und darüber, eine weitere soziale Kontrolle gegeben. Bewertung der Chancen und Risiken Den Vorteilen von Single-Sign-On, zu denen insbesondere auch die größere Benutzerfreundlichkeit und die einfachere Administration gehören, stehen aber auch Nachteile und zusätzliche Risiken gegenüber. Die Schadenshöhe steigt deutlich an, sobald ein Unberechtigter sich Zugang zu einem Konto verschafft. Der Zugang zum Benutzerkonto kann zum gegenwärtigen Zeitpunkt aufgrund der aufgezeigten Bedrohungsmöglichkeiten nicht mit ausreichender Sicherheit verhindert werden. Somit steigt das Risiko durch die Einführung des Single-Sign-On. Aus diesem Grund sollte ein Single-Sign-On ohne ergänzende technische Maßnahmen (z.b. Nutzung einer Chipkarte), zumindest an risikobehafteten Arbeitsplätzen (z.b. im Kundenbereich) nicht ohne weitere flankierende technische Maßnahmen (Active-Card / USB-Token / biometrische Verfahren) genutzt werden. 10

79 Aufbau eines Single-Sign-On Kernbestandteil einer idealen Single-Sign-On Lösung ist eine zentrale Authentifizierungskomponente, die Zugriff auf die Benutzerdaten und Passwörter hat. Dort sind auch sämtliche Zugriffsrechte des Benutzers auf die verschiedenen Anwendungen hinterlegt. Mit Hilfe der beschriebenen Lösung ist es auch einfach möglich, für jede Anwendung eine Reihe verschiedener Identifikationsmechanismen anzubieten. 11

80 Darstellung des Authentifizierungsprozesses Bei der implementierten Lösung in der Stadtverwaltung Musterhausen vollzieht sich der Authentisierungsprozess wie folgt: Im ersten Schritt authentisiert sich der Benutzer gegenüber der regulären Domänenanmeldung (Active Directory). Der Klient erhält vom Windows-Server den angeforderten Kerberos-Token. 12

81 Dieser Token wird dann gegen SSO-Server verifiziert. Nach erfolgreicher Verifizierung übermittelt der SSO-Server alle hinterlegten Zugangskennungen und Berechtigungsnachweise (Credentials) in einen verschlüsselten Cache auf dem anfordernden System. 13

82 Mit diesen Credentials übernimmt dass Single-Sign-On dann die Anmeldung an den hinterlegten Applikationen. 14

83 Vor-Konzeption Für einen möglichen und geplanten Einsatz eines SingleSign-On-Verfahrens ist eine gründliche und strukturierte Vorplanung unerlässlich. Nachfolgend sind die wesentlichen Eckpunkte der Planungsphase benannt und entsprechend erläutert. Anforderungskatalog Betriebssystem: Zu Beginn der Planung wurde in einem interdisziplinären Arbeitsteam ein Anforderungskatalog erstellt, in dem besonderer Wert auf die Betriebssystemunabhängigkeit gelegt wurde. Das heißt, sowohl auf der serverseitigen-, als auch auf der clientseitigen Komponente musste von Seiten des Single-Sign-On Verfahrens diese Unabhängigkeit gewährleistet werden können. Hardware: Zu prüfen war unter dieser Rubrik bereits im Vorfeld, ob und inwiefern besondere Hardwarebedingungen oder Netzwerkspezifikationen für die Software und ihren Einsatz notwendig werden würden. Gegebenenfalls könnten hier erhebliche Investitionen auf Musterstadt zukommen, die die aufgestellte Haushaltsplanung sprengen könnte. Neben der finanziellen Komponente könnten auch die personellen und zeitlichen Ressourcen betroffen sein. Verfügbarkeit: Hier wurde abgefragt, ob die SingleSign-On Software nur in der Interaktion mit der Serverkomponente betrieben werden kann, oder ob der SingleSign-On Client beim Ausfall des Servers auch lokal über ein Cache-Funktion, seine Funktion aufrecht erhalten kann. Oberste Priorität hatte in unseren Überlegungen die zweite Variante, da hierbei auch eine kurzfristige Netzstörung keinerlei Auswirkungen auf die regulären Arbeitsprozesse zur Folge hätte. 15

84 Schnittstelle zu ADS/LDAP: In Musterhausen ist ADS/LDAP bereits im Einsatz. Daraus resultiert die zwingende Voraussetzung zur Integration dieses Protokolls in ein mögliches Single-Sign-On Verfahren, um eine redundante Datenhaltung zu vermeiden. Dabei musste eine Schemaänderung des ActiveDirectory verbindlich ausgeschlossen werden können. verteilte Administration -> Berechtigungskonzept: Die in den Vorbemerkungen angesprochene dezentrale Infrastruktur von Musterhausen auch personell führt zu einem weiteren wichtigen Kriterium: Die Administration der SingleSign-On Software sollte sich auf mehrere Standorte verteilen können. Wobei eine Master-Konsole die dezentralen Slave-Konsolen koordinieren soll. Hierzu musste sich über die Master-Konsole ein Berechtigungskonzept innerhalb der Hierarchien auf die Slave-Konsolen etablieren lassen, welches die Administrationszuständigkeit der dezentralen Konsolen auf den jeweiligen Bereich einschränkt. Ziele bei Single-Sign-On Der Einsatz einer neuen Lösung in Musterstadt kann nur erfolgen, wenn sich neben dem großen Ziel Sicherheitsgewinn, verschiedene Synergien und Konsolidierungen erreichen lassen, die auch den wirtschaftlichen Nutzen einer solchen Lösung transparent werden lassen. Im Wesentlichen lassen sich somit zwei große Ziele für den Einsatz des SingleSign-On beschreiben, deren Erreichung in der Summe zu ROSI (Return of Security Invest) führen: Effizienzsteigerung Nur noch ein Passwort ist durch den User zu pflegen. Automatische Pflege der Passworte in den Anwendungen. Die Anforderung aus der Anwendung für einen turnusmäßigen Passwortwechsel werden automatisch und für den User vollkommen transparent durch das Single- Sign-On vorgenommen. Die Anmeldung an die Anwendungen erfolgt automatisch und ohne sichtbare Verzögerung (rechnerabhängig). 16

85 Steigerung der Benutzerakzeptanz durch vereinfachte Handhabung Einfache und zentrale Adminstrationsverwaltung Risikominimierung Passworte müssen nicht mehr an der Pinwand, dem Monitor oder unter der Tastatur aufbewahrt werden. Passworte müssen nicht mehr zwischen den Usern ausgetauscht werden. Zentrale Passwortregeln in der SingleSign-On Software erzeugen starke Passworte (Kombination aus Zahl, Groß- und Kleinschreibung sowie Sonderzeichen). Durch die zentrale Rechtvergabe sind Userrechte für die Administration nachvollziehbar. Zentrale Benutzersperrung per Mausklick. Zentrale und systemübergreifende Rechteverwaltung. ROSI Hochverfügbarkeit. Erhöhung der Benutzerproduktivität. Einsparung in der Administrationstätigkeit (kein Management by Turnschuh ). Einfacher und unkomplizierter RollOut (da sich für den User keine sichtbaren Änderungen ergeben). Investitionsschutz (Lizenzen sind einmalig zu erwerben, keine jährlichen Nutzungsgebühren). Der weit größere Investitionsschutz resultiert aus der Betriebssystemunabhängigkeit des SingleSign-On. Hohe und anforderungsgerechte Skalierbarkeit. Diese vorgenannten Punkte gewährleisten innerhalb eines mittelfristigen Zeitraums einen Return Of Security Invest (ROSI). 17

86 Marktanalyse Der im Vorfeld angelegte und oben skizzierte Anforderungskatalog diente gleichzeitig als Bewertungsmatrix für die in einer durchgeführten Marktanalyse gefundenen Single- Sign-On Produkte. Die Marktanalyse erstreckte sich über einen Zeitraum von 6 Wochen und lieferte 12 verschiedene SingleSign-On Produkte. Aufgrund der Bewertungsmatrix blieben drei Produkte in der näheren Betrachtung übrig. Nach einer erfolgten Überprüfung von Installationsreferenzen reduzierte sich das Ergebnis auf zwei Produkte. Persönliche Gespräche mit Firmenrepräsentanten und eine Betrachtung der Besonderheiten der Stadtverwaltung Musterhausen ermöglichten uns anschließend die Festlegung auf ein einzelnes Produkt. Produktfestlegung Nach der internen Findung in der Arbeitsgruppe wurde die Produktfestlegung nach mehreren internen Präsentationen vor verschiedenen Gremien und Ausschüssen, durch das IuK-Steuerungsteam bestätigt. Untersuchung auf geeignete Verfahren für die Anbindung an Single-Sign-On Im Anschluss daran wurde ein Großteil der in Musterhausen im Einsatz befindlichen Fachverfahren auf eine mögliche Eignung für die Anbindung an das SingleSign-On und ihre Kompatibilität, durch die Arbeitsgruppe bewertet. Hierbei wurde insbesondere auf eine möglichst flächendeckende Nutzung des Verfahrens geachtet, um einen schnellen Synergieeffekt zu erzeugen. In der weiteren Betrachtung standen sicherheitskritische Verfahren, wie zum Beispiel Verfahren mit personenbezogenen Daten, oder Administrationskonsolen zur Serverbetreuung. 18

87 Festlegung für welche Verfahren Single-Sign-On zwingend vorgeschrieben wird Im Folgenden wurden von der Arbeitsgruppe die in Musterhausen eingesetzten Fachverfahren auf ihre Kompatibilität hinsichtlich der Anbindung an das Single-Sign-On Verfahren bewertet und Vorschläge für geeignete Verfahren gemacht, die für ein Testszenario in Frage kommen sollten. Hier galt es den Fokus auf verwaltungsweite Verfahren zu legen, um eine möglichst breite Testrückmeldung zu erhalten. Vorabinformation und Genehmigung durch interne Gremien In unregelmäßigen Abständen berichtete die Arbeitsgruppe dem IuK-Steuerungsteam über den Sachstand und den weiteren Verlauf. Nachdem die vorgenannten Eckpunkte vorbereitet und initiiert waren, wurden sie dem IuK-Steuerungsteam zur Entscheidung vorgelegt und dort positiv beschieden. Testszenario Für den Test wurde ein Kollege beim zentralen Dienstleister verantwortlich mit der Durchführung des Tests beauftragt, der in engem Kontakt zur Arbeitsgruppe steht. Nach der Beschaffung eines Testservers und der Installation der SingleSign-On Software wurden 5 Fachverfahren in das Testprogramm aufgenommen. Für jedes Verfahren wurde mindestens ein Ansprechpartner benannt der in den Kreis der Testuser aufgenommen wurde. Folgende Fachanwendungen wurden implementiert: Faktura (interne Betriebsabrechnung), eine Eigenentwicklung basierend auf Visual Basic for Applications VNC (Tool zur Fernadministration) Netzdatenbank (DB zur Administration, Abrechnung und Pflege der Netztopologie), eine Eigenentwicklung basierend auf PHP Gleitzeitberechnung (interne Webanwendung zur Berechnung der Arbeitszeit), basierend auf JAVA-Servlets Stundenaufschreibung (Webanwendung des Betriebsmanagements, zur Erfassung und Berechnung der auftragsbezogenen Arbeitszeiten für die interne Kosten und Leistungsrechnung) 19

88 Zeitvorgaben Ursprünglich wurde ein Testzeitraum von 2 Monaten gesetzt, der aber aufgrund der hohen personellen Auslastung der Mitarbeiter in anderen Schlüsselprojekten, auf 4 Monate ausgedehnt werden musste. Dies hatte aber keine negativen Auswirkungen auf den Test. Wichtig war in dieser Situation nur, die Testteilnehmer hin und wieder an den Teststatus zu erinnern und die aktuellen Ergebnisse abzufragen. personelle Ressourcen Zur Betreuung des SingleSign-On Servers wurde für die Testphase eine Person benannt. Wie bereits oben erwähnt, wurde pro Verfahren mindestens eine weitere Person als Ansprechpartner hinzugezogen. Mit der Arbeitsgruppe ergibt sich somit ein Personenstand von 9 festen Personen die aktiv mit unterschiedlichen Zeitanteilen am Single- Sign-On Projekt mitgewirkt haben. Anbindung von Active-Card und USB-Sticks Dieser Punkt, der in der Projektplanung einen nicht unwesentlichen Stellenwert hatte, konnte bedingt durch eine langfristige Erkrankung eines Projektmitgliedes leider nicht durchgeführt werden. Die Bewertung dieses Punktes muss nun in der Praxis evaluiert werden und kann demzufolge im Rahmen dieser Projektarbeit nicht näher beschrieben werden. Testumgebung, Testuser und Testverfahren, Testzeitraum Die Testumgebung besteht aus einer heterogenen Infrastruktur, die von Windows NT über Windows 2000, Windows XP bis hin zu Linux/Unix Systemen reicht. Beim Betriebssystem Windows NT ist der Austausch der Gina (Standard-Windows- Anmeldemaske) zwingend erforderlich. Die Verfahren, User und der Testzeitraum sind weiter oben bereits benannt worden. Für die Nutzung von Linux/Unix als Clientsystem ist ein spezieller SingleSign-On Agent erforderlich, so dass sich der Test hier nur auf die Serverkomponente erstreckt hat. Die nachfolgende Tabelle spiegelt eine Darstellung des Testszenarios, verbunden mit einer dazugehörigen Ressourcenplanung wieder: 20

89 Zeitplan zum Minipilot (Zeitraum 6 Wochen) (IE1), 1. Mitarbeiter von Integrator Stand: Vorbereitung Mo Di Mi Do Fr Mo Di Mi Do Fr (MA) Mitarbeiter A: Mitarbeiter des Kunden Anwendungs/Server-Seite (MB), Mitarbeiter B: Mitarbeiter des Kunden für Datenbanken Status: lt. Kunde erfüllt / abgeleistet (MC), Mitarbeiter C:Mitarbeiter des Kunden lt. Kunde teilw eise erfüllt / abgeleistet (MD), Mitarbeiter D: Mitarbeiter des Kunden lt. Kunde offen (ME), Mitarbeiter E: Mitarbeiter des Kunden (MF), Mitarbeiter D: Benutzeradministration Definition der Inhalte gemeinsame Feinabstimmung der Testinhalte: Besichtigung und Festlegung der Anwendungen,.. Aufbau und Inbetriebnahme der Umgebung Bereitstellung von 1 Server (W2k) für SSO MC Bereitstellung von 2 Windows Workstation - ein System W2k oder XP - ein System NT MC Bereitstellung Accounts für ADS-Domäne und Anwendungen sowie lokale Administrator- Accounts auf den Workstations - "_AM_KRBSRV" (User mit leserecht im ADS) - Lokaler Administrator auf Server und Clients MC Integration der SmartCard ins ADS MC Vorsprechung SSO-Konzept Architektur alle Installation des SSO-Servers IE1, MA IE1, MA Integration des SSO-Servers IE1, MA IE1, MA Einweisung in die ORACLE-Umgebung IE1, MB IE1, MA Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte IE1, MB IE1, MA Erzeugung der SSO - Objekte/Struktur Einbindung ADS Benutzer IE1,MA Erzeugen der Systeme/Services/Registrierungen IE1,MA Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte IE1,MA Client-installation Installation des SSO-Komponeten auf dem Test-Client Windows W2k/XP oder NT - SSO Client Software - SSO Administration IE1,MA Authentisierungsverfahren - UserID/Pass auf NT über SSO-eigene GINA - UserID/Pass Anmeldung via Windowssanmeldung auf W2k,WXP SSO Verifizierung mittels Kerberos - SmartCard oder IE1,MA Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte IE1,MA Benutzeradministration Festlegung der Konventionen für die USERIDs des Benutzer und Vereinbarungen der beispielhaften Organisations-Struktur zur Abbildung in der Security Infomation Base (SIB); Beispielhafte Einbringung von Benutzern und Organisationsstrukturen IE1, MF,MA Administrationsoberfläche besprechen und Anhand von Beispielen demonstrieren IE1, MF,MA Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte IE1, MF,MA SSO für Windows-Anwendungen SAP IE1,MA? IE1,MA Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte IE1,MA SSO für Web-Anwendungen SSO zu Arbeitszeitserfassung (applet) IE1,MA SSO zu Stundenerfassung IE1,MA Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte IE1,MA Access Control via SmardCard Funktionalität: Authentifikation über SmardCard - Integration der SmardCard im ADS bereits durch Kunden realisiert Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte Audit Einweisung in das Administrator-Audit Einweisung in das Benutzer-Audit Überprüfung der eingebrachten Funktionalität und Protokollierung offener Punkte Besprechung des weiteren Vorgehenes IE1,MA IE1,MA IE1,M? IE1,M? alle 21

90 Auswertung des Tests Nach Ablauf des Testzeitraums wurde eine Auswertungsmatrix erstellt, die hier aus betriebsinternen Gründen nicht näher erläutert werden kann. Zusammenfassend lässt sich aber sagen, dass sowohl hinsichtlich der in den eingesetzten Applikationen - auch mit ihren unterschiedlichen Programmiersprachen und der eingesetzten Technologien - das Testergebnis in hohem Maße zufrieden stellend ist und überzeugen kann. Lediglich der bereits oben erwähnte Austausch der Gina bei Windows NT führte im Betrieb bei einer Anmeldung ohne erreichbaren Server, nach einiger Zeit zu Problemen. Dies ist für Musterhausen aber aus zweierlei Sicht in absehbarerer Zeit zu vernachlässigen. Zum einen werden die noch im Einsatz befindlichen NT-Systeme in absehbarer Zeit ersetzt und zum anderen ist es im Echtbetrieb fast ausgeschlossen, dass ein Anmeldeserver des Single-Sign-On Verfahrens über Tage durch Hardware- oder Netzwerkprobleme nicht erreichbar ist. Entscheidung Zurzeit befinden wir uns in der Situation zwei Entscheidungsebenen simultan vorzufinden. Die erste Entscheidungsebene manifestiert den verwaltungsweiten (nicht flächendeckenden) Einsatz und steht noch aus. Die zweite Ebene ergibt sich aus dem praktischen Testeinsatz, der in Teilen der Verwaltung bereits Begehrlichkeiten für den Echteinsatz geweckt hat und in einem Bereich kurzfristig notwendig werden wird. Aller Voraussicht nach wird die Stadt Musterhausen eine begrenzte Anzahl von Lizenzen für die weitere Evaluierung und einen ersten Echteinsatz beschaffen. Dies ist finanziell gesehen nicht bedenklich, da Musterhausen durch den Erwerb der Lizenzen keine weiteren Kosten durch Wartungen oder jährliche Lizenzgebühren entstehen. Finanzierungplanung Für den ersten Echteinsatz (40 Lizenzen) stehen Mittel zur Verfügung, die von der entsprechenden Abteilung noch freizugeben sind. 22

91 Für die von der Arbeitsgruppe prognostizierte Ausbaustufe für ca. 800 Personen sind über ein Ausschreibungsverfahren entsprechende Angebote einzuholen und die Finanzmittel in den Haushalt einzustellen. Beantragung der Mittel Die Beantragung der Mittel erfolgt nach dem oben erwähnten Verfahren und Bedarf bedingt durch die vorläufige Haushaltsführung und der zwingenden Notwendigkeit des Einsatzes ( 81 GO [Gemeindeordnung]) einer gesonderten Prüfung. 23

92 Sicherheitskonzept Für den Test, die Durchführung und selbstverständlich auch für den anschließenden Betrieb ist ein Sicherheitskonzept notwendig, das allen Nutzern und Verantwortlichen bekannt und verständlich sein muss. Zur Bekanntmachung und regelmäßigen Information eignet sich in der Stadtverwaltung Musterhausen das eigene Intranet, welches als Informations- und Kommunikationsplattform etabliert ist und von allen Beschäftigten rege genutzt wird. Im Rahmen der Dienstanweisungen für den gesamten Themenkomplex Informationsund Kommunikationsstruktur, wird ein eigener Handlungsleitfaden für die Teilnahme und den Umgang mit Single-Sign-On erstellt. Dieser Handlungsleitfaden regelt dann verbindlich für Nutzer und Administratoren den Umgang und die Betreuung von Single- Sign-On und gehört zu dem Gesamt-Sicherheitskonzept der Stadt Musterhausen. Gebäudesicherheit Die Stadt Musterhausen verfügt über ein eigenes Rechenzentrum. Der Gebäudeteil, der das Rechenzentrum beheimatet, ist mit einer Klimaanlage, Brandschutztüren, doppeltem Boden, einem Lampert-Raum und einer redundanten USV ausgerüstet. Zutrittskontrolle Die Grundvoraussetzung für eine physikalische Absicherung besteht in einer effektiven Zutrittskontrolle in Bezug auf den Serverstandort. Dies ist in Musterhausen im Rechenzentrum dadurch gewährleistet, das der Zutritt nur über einen Transponder oder das persönliche Türöffnen eines Mitarbeiters zugänglich ist. Verfügbarkeit Das ausgewählte Single-Sign-On Verfahren gewährleistet seine Funktionalität auch ohne die 100% Verfügbarkeit der kompletten Netzinfrastruktur oder der Single-Sign-On Anmeldeserver, durch die verschlüsselte Authentisierungsspeicherung im lokalen Cache. Darüber hinaus ist das Serversystem redundant ausgelegt. 24

93 Für den Betrieb stehen im Rechenzentrum mehrere unabhängige Stromkreise zur Verfügung. Optional lässt sich zudem bei Bedarf zur Lastverteilung ein Load-Balancing einrichten. Systemhärtung Zu den standardmäßigen Vorbereitungen für die Konfiguration eines Servers gehört eine restriktive Systemhärtung. Hierbei werden alle nicht benötigten Hardware- Komponenten entfernt, sowie nicht benötigte Dateien, Dienste, Userkonten und Standardzugänge deinstalliert bzw. gelöscht. Hierüber lässt sich das Angriffsrisiko auf das Serversystem drastisch senken. Zusätzlich ist ein regelmäßiges Patchen von Betriebssystem und Applikation notwendig, damit mögliche Schwachstellen frühzeitig geschlossen werden können. Netzsegmentierung Eine weitere Absicherung lässt sich durch eine Netzsegmentierung erreichen, in der der Single-Sign-On-Server gestellt wird. Dieses segmentierte Netz kann dann über weitere Maßnahmen geschützt werden. interne Firewall Eine dieser zusätzlichen Maßnahmen besteht in der Absicherung durch eine interne Firewall in diesem separierten Netzsegment. Die Firewall kann so konfiguriert werden, dass nur noch eine definierte Schnittstelle (Protokoll und Port), die die Kommunikation für das Single-Sign-On regelt, zur Verfügung gestellt wird. Datensicherung Alle relevanten Systeme des Rechenzentrums sind an das eigene SAN angebunden und unterliegen somit den in Musterhausen gültigen Datensicherungsrichtlinien. Hierzu gehört beispielsweise eine tägliche Sicherung mit der Recovery-Möglichkeit über einen Zeitraum von 14 Tagen. 25

94 Authentisierungs-Richtlinie Eigens für den Einsatz eines Single-Sign-On Verfahrens ist eine Sicherheitsrichtlinie zu entwickeln, die einerseits den Umgang und den Einsatz mit dem Single-Sign-On regelt und andererseits die bestehende Passwortrichtlinie ergänzt. Die Single-Sign-On Lösung bietet in sich schon eine differenzierte Passwort-Policy, die unter anderem Passwortstärke, Change-Passwort, Lebensdauer, Passworthistorie und weitere Parameter determinieren kann. Insofern ergeben sich hier Synergien die zu nutzen sind. Schulung / Workshop für Administratoren und User Obwohl die eigentliche Arbeit mit der Single-Sign-On Software für den Anwender weitestgehend transparent abläuft, beeinflusst allein das Wissen um ein neues Verfahren das Userverhalten erfahrungsgemäß nicht unerheblich. Hierfür und insbesondere für die neuerliche Sensibilisierung einerseits der Mitarbeiterinnen und Mitarbeiter, andererseits aber auch der Administratoren, ist die Planung und Vorbereitung eines Workshops bzw. einer Schulung unerlässlich. Pflege und Überwachung der aktiven Nutzer Organisatorisch ist in der Verwaltung von Musterhausen auch festzulegen, welcher Personenkreis oder Leistungseinheiten für die Überwachung und Pflege der Gesamtnutzer im Single-Sign-On verantwortlich sind. Zu vermeiden sind hier insbesondere aktive Accounts von temporär oder dauerhaft ausgeschiedenen Mitarbeiterinnen und Mitarbeitern. 26

95 Hotline Die Kolleginnen und Kollegen im UserHelpDesk und im ServiceDesk müssen frühzeitig in den gesamten Prozess in das Verfahren und die Serviceleistungen eingewiesen und eingebunden werden. Dies geschieht laut der Planung bereits vor dem Testbeginn, damit die Kollegen einen Erfahrungs- und Wissensvorsprung haben. Eine wesentliche Bedeutung kommt dabei der Administrationskonsole zu, da diese für die Kollegen im UserHelpDesk im Supportfall zu bedienen sein muss. Eskalationsstufen innerhalb der Verwaltung Bestandteil des Sicherheitskonzeptes muss es auch sein, die verschiedenen Eskalationsstufen und Prozess im Problem- bzw. Changemanagement von ITIL (siehe hierzu auch: abzubilden. In Musterhausen gibt es, wie bereits erwähnt, einen zentralen Dienstleister und etliche dezentrale Administratoren. In den Prozessen muss beispielsweise definiert werden, wer zu welchem Zeitpunkt eines Servicefalls zuständig ist. Hierbei sind unklare Zuständigkeiten zu vermeiden. Oberstes Ziel hat neben der Sicherheit der reibungslose Ablauf des Betriebs. Absicherung der Systeme, die an das Single- Sign-On angebunden werden Notwendigerweise sollten alle tangierenden Systeme, die in direktem oder indirekten Verbund zum Single-Sign-On Server stehen, ebenfalls abgesichert und gehärtet werden. Hierzu ist von Bereich Server des zentralen Dienstleisters eine Auflistung der betroffenen Systeme zu erstellen, in denen die Hard- und Softwaredaten mit ihrem jeweiligen Patchstand zu dokumentieren und fortzuschreiben sind. 27

96 Sind beispielsweise datenbankgestützte Verfahren an das Single-Sign-On Verfahren angebunden, besteht unter anderem die Gefahr über eine so genannte SQL-Injection (hierbei werden SQL-Statements zur Ausführung in Felder eingegeben. Das ausführende Programm, welches die Felder nicht auf Plausibilität überprüft, führt diese Statements dann aus), Daten zu manipulieren. Implementierung / RollOut Ausschreibung von Hardware und Software Bei der Konzeption und Planung sind die Anforderungen an die Hardware und Software bereits definiert worden. Mit diesen Ergebnissen können nun die Ausschreibungen für die Hardware und die Software mit Dienstleistungen in zwei getrennten Losen erstellt werden. Bei der Stadt Musterhausen werden die zentralen Server von dem Team Server betreut. Die benötigte Hardware für die Single-Sign-On Server wird mit diesem Team abgestimmt, so dass möglichst nur Standardkomponenten zur Ausschreibung kommen. Nachdem im Vorfeld bereits eine Produktfestlegung erfolgt ist, ist es für die Ausschreibung der Software entscheidend, die Qualifizierung des Softwarelieferanten festzulegen. Dies ist besonders wichtig, da bei einer öffentlichen Ausschreibung der Anbieter mit dem günstigsten Angebot den Zuschlag erhält. Daher können beispielsweise über das Festlegen des Partnerstatus und/oder dem Vorweisen von erfolgreichen vergleichbaren Projekten die Anbieter auf kompetente Integratoren eingegrenzt werden. Weiterhin wird die benötigte Dienstleistung definiert, das heißt die benötigte Installationsleistung, Schulung, Softwaresupport usw.. Die aufgestellten Ausschreibungen sind bei der Stadt Musterhausen mit der zentralen- Vergabestelle und dem Rechnungsprüfungsamt abzustimmen. 28

97 Beschaffung von Hardware und Software Die Beschaffung der Hardware und Software für das Single-Sign-On Projekt erfolgt bei der Stadt Musterhausen durch die Zentrale Beschaffung. Die Zentrale Beschaffung führt den gesamten Prozess der beschränkten oder öffentlichen Ausschreibung mit den zuvor erstellten Ausschreibungsunterlagen durch. Bei einer beschränkten Ausschreibung werden 3 bis 7 Anbieter aufgefordert, ein Angebot für die Ausschreibung abzugeben. Wie der Name bereits sagt, wird eine öffentliche Ausschreibung veröffentlich und jeder Anbieter kann ein Angebot abgeben. Auch die Ausschreibungsdauer variiert zwischen den beiden Ausschreibungsformen. Während die beschränkte Ausschreibung meist über 2 Wochen läuft, haben die Bieter bei der öffentlichen Ausschreibung 3 bis 4 Wochen Zeit ihr Angebot abzugeben. Die abgegebenen Angebote werden von der Zentralen Beschaffung auf die Einhaltung der Formalien und rechnerische Richtigkeit überprüft. Der Auftraggeber der Ausschreibung übernimmt die fachliche Überprüfung der Angebote. Den Zuschlag für die Lieferung der Hardware und Software erhalten die Unternehmen, welche alle geforderten Leistungen erfüllen und das günstigste Angebot abgegeben haben. Web-Workshop für User Eine Schulung der Anwender für das Single-Sign-On ist erforderlich. Die Stadt Musterhausen plant das Single-Sign-On für bis zu 800 Anwender einzuführen. Bei dieser großen Anzahl an Usern und der Tatsache, dass es sich beim Single-Sign-On um eine einfache, also transparente Applikation handelt, kann sich der User den Umgang mit dem Single-Sign-On alleine mit einem Web-Workshop erarbeiten. Der Web-Workshop wird dafür im Intranet der Stadt Musterhausen angekündigt und dort eingestellt. Der Web-Workshop kann bei genügenden HTML-Kenntnissen von den Administratoren der Single-Sign-On Applikation erstellt werden. Sind bei den Administratoren keine HTML-Kenntnisse vorhanden und ist keine sinnvolle Unterstützung innerhalb der Stadt Musterhausen nutzbar, wird der Web-Workshop von externen Stellen erstellt. 29

98 Die durchschnittliche Schulungszeit des Web-Workshops sollte 15 Minuten nicht übersteigen. Nach erfolgreicher Teilnahme sollte jeder Anwender eine Teilnahmebestätigung per erhalten. Der finanzielle Aufwand für eine externe Erstellung eines Web-Workshops ist im Vorfeld abzuklären und in der Gesamtmittelplanung optional zu berücksichtigen. Schulung/Workshop für Administratoren Die Administratoren der Single-Sign-On Applikation erhalten eine intensive Produktschulung. Mit dieser Schulung und anfänglicher Unterstützung durch den Integrator sind die Administratoren in der Lage, eigenständig die Single-Sign-On Applikation zu betreuen. Die Produktschulung umfasst schwerpunktmäßig die Bereiche Installation und Konfiguration des Servers sowie der Clients, Einbindung von Anwendungen sowie die Fehlersuche und das einspielen von Updates und Patches. Eine weitere Aufgabe der Applikations-Administratoren ist die Schulung der dezentralen Administratoren. Die dezentralen Administratoren betreuen bei der Stadt Musterhausen die User vor Ort. Dazu benötigen sie eine auf diesen Bedarf abgestimmte Schulung, die von ihrem Umfang her jedoch deutlich geringer ausfallen kann. Installation und Konfiguration des Single-Sign- On Servers Bei der Stadt Musterhausen ist die Betreuung der Server und der darauf laufenden Applikationen getrennt. Deshalb sind an der Installation und Konfiguration mehrere Teams beteiligt. Das Serverteam ist für die Hardware sowie für das Betriebssystem verantwortlich. Durch dieses Team werden die Server im Rechenzentrum eingebaut und das Betriebssystem installiert und gehärtet. Weiterhin werden die Server in die bestehenden Überwachungsroutinen mit eingebunden. Die Installation der Single-Sign-On Applikation wird durch die Anwendungs- Administratoren mit Unterstützung des Integrators durchgeführt. Hierbei tritt das Serverteam allenfalls noch unterstützend auf. 30

99 Einbindung von ausgewählten Verfahren Die Einführung von Single-Sign-On erfolgt bei der Stadt Musterhausen mit einem begrenzten Nutzerkreis und einiger ausgewählter Verfahren. Folgende Verfahren werden in die Single-Sign-On Applikation von Anfang an eingebunden, wie bereits weiter oben erwähnt: Faktura (interne Betriebsabrechnung), eine Eigenentwicklung basierend auf Visual Basic for Applications VNC (Tool zur Fernadministration) Netzdatenbank (DB zur Administration, Abrechnung und Pflege der Netztopologie), eine Eigenentwicklung basierend auf PHP Gleitzeitberechnung (interne Webanwendung zur Berechnung der Arbeitszeit), basierend auf JAVA-Servlets Stundenaufschreibung (Webanwendung des Betriebsmanagements, zur Erfassung und Berechnung der auftragsbezogenen Arbeitszeiten für die interne Kosten und Leistungsrechnung) Während dieses ersten RollOuts werden intern weitere Verfahren oder Arbeitsplätze validiert, die für die Nutzung des Single-Sign-On geeignet sind. Hotline Die Mitarbeiter des UserHelpDesk werden über den Startzeitraum des Produktiveinsatz von Single-Sign-On informiert. Da sie schon im Test miteingebunden waren, ist ihnen die Anwendung mit ihren möglichen Problemen bei den Anwendern bekannt und vertraut. Das UserHelpDesk ist zudem über die Ansprechpartner im Secondlevelsupport informiert und leitet offene Tickets an diesen weiter. Installation des Single-Sign-On Agents auf Clientrechner Die Installation des Single-Sign-On Agents auf den Clients kann bei der Stadt Musterhausen zum derzeitigen Zeitpunkt noch nicht zentral oder flächendeckend erfolgen. 31

100 Durch die dezentrale Struktur sind dafür mehrere Administratoren zuständig. Die Installationsroutinen sind deshalb von den Administratoren für ihren Bereich passend zu konfigurieren. Durch die heterogene IT-Infrastruktur ist dabei alles zwischen automatischer Softwareverteilung und einzelner manueller Installation vorhanden. Erfolgreiche Installationen werden an den Single-Sign-On Administrator zurückgemeldet, der somit einen Überblick behalten kann. Zurücksetzen der bisherigen Userpassworte in der Applikationsdatenbank. Der Einsatz der Sigle-Sign-On erfolgt mit der Absicht die Sicherheit zu erhöhen. Dafür ist es erforderlich, die bekannten Passwörter der User durch automatisch generierte Passwörter der Sigle-Sign-On Applikation zu ersetzen. Hierfür bietet die Software eine Change-Password genannte Option, die diese Aufgabe übernimmt. Durch diesen Change-Password wird dem Anwender auch die Möglichkeit der direkten Anmeldung am Fachverfahren, unter Umgehung des Single-Sign-On, genommen. Manöverkritik nach RollOut Nach dem RollOut für die ersten Verfahren wird vor der weiteren Expansion in die Breite, ein Reflektionsgespräch und Erfahrungsaustausch stattfinden. Sinn und Zweck ist es hier, mögliche Fehlerquellen zu erkennen und Best Practices (siehe hierzu auch: siehe hierzu auch: für den weiteren RollOut zu entwickeln. Diese Best Practices beziehen sich dann nicht nur auf die technischen Aspekte eines RollOut, sondern auch auf die infrastrukturellen und organisatorischen Maßnahmen. 32

101 Fazit, Reflektion und Ausblick Zum gegenwärtigen Zeitpunkt lässt sich feststellen, dass die Einführung von Single-Sign- On in der Stadt Musterhausen erfolgreich verlaufen ist. Leider musste an einigen Stellen erheblich nachgesteuert werden, da wir oftmals mit einer mangelnden Unterstützung durch die dezentralen Leistungseinheiten zu kämpfen hatten. Dies findet seine Ursache aber nicht in der Einführung einer Single-Sign-On Lösung für Musterhausen. Auslösend hierfür ist vielmehr die organisatorische und personelle Umstrukturierung der IT-Landschaft in der Stadtverwaltung von Musterhausen. Als offene Aufgabe steht nach wie vor die Anbindung von Active-Card oder USB-Sticks an das Single-Sign-On Verfahrens, zur starken Authentisierung, zur Erledigung an. Hier rechnen wir nicht vor Fortschritten im dritten Quartal. Ausschlaggebende Faktoren sind hier nach wie vor die personellen Engpässe und die Priorisierung von Schlüsselprojekten der Verwaltung. Last but not least kann der weitere RollOut immer noch aufgrund der Einschränkungen in der Haushaltshoheit zurückgestellt werden. Dies ist aber ebenfalls nicht auf das Projekt Single-Sign-On allein bezogen; es gilt grundsätzlich in Zeiten der vorläufigen Haushaltsführung für alle Ausgaben. Zudem lässt sich der Return on Invest beziffern und dokumentieren. Wir planen den weiteren RollOut für den Herbst dieses Jahres und wollen strategisch Mitte 2006 den geplanten Ausbau von bis zu 800 Usern erreicht haben. 33

102

103 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 1/ 27 Einleitung 1.1 Überblick über das System Das Parion Konzern (u.a. Gothaer, Berlin Kölnische, IDG) hat dieses Jahr seine Server von Windows NT auf Windows Server 2003 migriert. In dem vierten Quartal soll nun das XP-RollOut für die Clients stattfinden. Im Zuge des RollOuts ist gefordert worden, dass alle Applikationen des Gothaer Software Paketes auf den XP-Standard umgesetzt werden. Dies bedeutet, das die Applikationen das designed for Windows XP Logo erhalten müssen. Dazu sind diverse Anpassungen an der Software und an den Installationen notwendig gewesen. Im Zuge dieser Umstellung wurde erstmals besonders Acht auf die Sicherheit gegeben. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

104 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 2/ Überblick über das Dokument 1 Einleitung Überblick über das System Überblick über das Dokument Zusammenhang mit anderen Objekten Geltungsbereich Definitionen und Abkürzungen Versionierungsverfahren Änderungen Referenzierte Dokumente Vorstellung des Projektes Das Kosyma Paket Das Gothaer Software Paket IST-Stand der Software Pakete Soll Zustand der Software Pakete Einsatz des Windows Installers Konsistenz und Integrität Sicherheit Vorstellung der SD³+C Strategie und des Windows Installers Kurzvorstellung der SD³+C Strategie Kurzvorstellung Windows Installers MSI Paket Design Definition Funktionsumfang Definition der Zielgruppen Definition der Restriktionen Einhaltung der designed for Windows XP Richtlinien Transform Dateien, Patches und & Updates Transforming über MST-dateien Patching über MSP- Dateien Updates Software Aktualisierungen MSI Paket Development Einhaltung der best practices Sicherheitsaspekte bei der Erstellung von MSI Pakete Umgang mit benutzerdefinierte Aktionen Umgang mit Locked Down Systeme Links zum Windows Installer Literaturverzeichnis...27 Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

105 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 3/ Zusammenhang mit anderen Objekten XP Rollout Ausbringung neuer Software Migration bestehender Software Vorgaben Gothaer Software Paket 1.4 Geltungsbereich Dieses Dokument enthält eine Kurzbeschreibung der GSP, der Design Vorgaben und Sicherheitsrichtlinien bei der Erstellung von MSI Pakete. 1.5 Definitionen und Abkürzungen MSI MST MSP GUID GSP KOSYMA SAD PEA MAK NT/W2k/XP Windows Installer Windows Installer Transform File Windows installer Patch File Globally Unique identifier Gothaer Software Paket Software Paket für Makler Aussendienst Innendienst Versicherungs Makler WindowsNT/Windows2000/WindowsXP 1.6 Versionierungsverfahren Es kommt Verfahren 2 zum Einsatz. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

106 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 4/ Änderungen Änderungen zur Vorversion Version I60P100 I60P101 Änderung 1. Version 2. Version Korrekturen Rechtsschreibung/Grammatik 2 Referenzierte Dokumente Designed for WindowsXP ver 2.3.doc Windows Installer Best Practices SDK Windows Installer Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

107 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 5/ 27 3 Vorstellung des Projektes Die folgenden Beschreibungen beziehen sich nur auf die installationsrelevanten Daten. Für die Software Anpassungen gibt es getrennte Dokumente mit den entsprechenden Vorgaben. 3.1 Das Kosyma Paket Das Software Paket für die Versicherungs Makler heißt Kosyma. Es besteht aus 15 Applikationen in einer CD. Die Kosyma-CD wird gepresst und verschickt. Bei den Applikationen handelt es sich lediglich um Tarifierungsmodule. Es gibt keine Datenbank zur Kundenverwaltung oder Daten die gesichert werden können. 3.2 Das Gothaer Software Paket Das Gothaer Software Paket (GSP) besteht aus 2 CDs. Die CDs enthalten 40 Applikationen. Zielgruppe für dieses Paket ist der Innen- und Aussendienst. Die Software wird auf 5000 Computer installiert; bei den meisten Geräten wird es per Tivoli verteilt. In den CDs sind mehrere Applikationen, die mit einer Hauptkomponente interagieren. Diese heißt GaussOffice und verwaltet alle Daten aus den unterschiedlichen Tarifierungsmodulen. Jedes Mal, wo eine neue Komponente eines Fremdanbieters integriert wird, wird ebenfalls eine Schnittstelle zu GaussOffice erstellt, um die Verwaltung der Daten durchführen zu können. 3.3 IST-Stand der Software Pakete Die Software wurde bisher nur bei WindowsNT und Windows2000 Netze eingesetzt. Die Installationsroutinen sind durch unterschiedliche Tools efolgt (Installshield, MSI, Wise Installer, Nullsoft Installer). Eine Funktionalität unter XP wurde bisher nicht überprüft, da bisher kein Bedarf bestand. Um eine Installation von der GSP oder Kosyma zu durchführen werden Administrator Rechte benötigt. 3.4 Soll Zustand der Software Pakete Durch den Kunden wurde eine radikale Änderung der Software Pakete gewünscht. Dabei ging der Änderungswunsch nicht um die Funktionalität der Software, sondern um die installationsrelevanten Themen, insbesondere die Konsistenz der Installationen und die Integrität der Daten (nur gültig für die GSP Applikationen). Um diese Ziele zu erreichen, wurden die folgenden Punkte betrachtet: Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

108 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 6/ Einsatz des Windows Installers Die Hauptforderung (sowohl seitens des Kundens wie seitens der Netzwerkadministratoren) war die Umstellung der Installationsroutinen auf einen einheitliche, standardisierte Lösung. Die Architektur schrieb vor, den Windows Installer einzusetzen, um den Designed for Windows XP - Logo zu erhalten. Durch den Einsatz des Windows Installers sollten folgende Ziele erreicht werden: - einfache Verteilung der Software Pakete über GPOs, unattended installations - einfache Verwaltung der Updates und Änderungen von bestehenden Installationen durch Benutzung von MST Files - Einschränkung des Supports und Entwicklungsaufwand durch Unterstützung einer einzigen Installationsmethode - Erhaltung des Designed for Windows XP - Logos - Einführung neuer Funktionalitäten z.b advertising oder install on demand - Reduzierung der Kosten wegen Vereinfachung der Verteilungsprozedur - Erstellung einer MSI-Schablone, die für zukünftige Installationen als Vorlage dienen soll Konsistenz und Integrität Bei den bisherigen Installationsroutinen führte ein Abbruch der Installationen öfters zu einem Datenverlust. Des Weiteren gab es keinen Weg zu kontrollieren, ob sich nach der Installation funktionsrelevante Dateien geändert haben, die den Funktionsumfang der Applikation beinträchtigen können. Ziel war also, eine Installationsroutine für die Applikationen zu bauen, dass in der Lage ist: - ein rollback bei Abbruch einer Installation zu durchführen, ohne dass Daten verloren gehen. - Eine Konsistenzprüfung bei jedem Aufruf der Applikation durchführt um zu überprüfen, ob sich funktionsrelevante Daten geändert haben. Gegebenfalls muss der Ursprungszustand automatisch hergestellt werden. - Eine zusätzliche Funktion, um Daten zu sichern und wiederherzustellen. Diese Funktion soll benutzt werden, um Datensicherung am Client durchzuführen, soll aber für zukünftige Migrationen eingesetzt werden, um eine Datenübernahme des Clients durchführen zu können. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

109 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 7/ Sicherheit Erstmalig wurden mit Architektur und Corporate Security die Sicherheit bei dem Installationsprozess analysiert. Es wurden diverse Problem erkannt und Forderungen an die Installationsroutinen gestellt: Installationsbeschränkungen- Überprüfung von Konditionen: Die Installationsroutine soll bestimmte Faktoren überprüfen, um festzustellen, ob das Zielgerät, an dem das MSI Paket ausgeführt wird, tatsächlich das Programm erhalten soll. Vorgaben über die Protokollierung von events. Insbesondere bei benutzerdefinierten Aktionen. Vorgaben über die benötigten Rechte. Es sollen keine Administrator Rechte notwendig sein, um eine Installation auszuführen. Diese Bedingung wurde in der Vergangenheit missbraucht, um Admin Rechte zu erhalten (ich brauche die Rechte um die Applikationen neu installieren zu können) Vorgabendokument für Fremdanbieter, so dass Ihre Software in unsere Installationsroutine integriert werden kann Eine Liste mit verbotenen Aktionen, wie z.b. das Überschreiben von FPS Dateien. Vermeidung von Social Engineering: Installation soll auch ohne Administrator Rechte möglich sein Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

110 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 8/ 27 4 Vorstellung der SD³+C Strategie und des Windows Installers 4.1 Kurzvorstellung der SD³+C Strategie Nach den diversen sicherheitstechnischen Debakeln, dass Microsoft in der Vergangenheit (und Gegenwart) hinnehmen musste, hat Microsoft die SD³+C Strategie vorgestellt, welche bei uns im Unternehmen fast 1 zu 1 übernommen worden ist. SD³+C steht für: Security by Design: Sicherheit sollte direkt beim Design der Software berücksichtigt werden. Besondere Vorsicht ist beim Implementieren von Komponenten von Fremdanbietern sowie bei propietären Lösungen. Bei Sicherheitstechnischen Aspekten sollten immer standardisierte Lösungen gewählt werden. Security By Default: Sicherheit sollte auch bei den Standardeinstellungen gegeben sein. Damit soll vermieden werden, dass ein hardening nach der Installation stattfinden soll. Die Software muss so wenig Angriffsfläche wie möglich anbieten. Dienste sollen erst aktiviert werden, wenn Sie gebraucht werden. Security in Deployment: Sicherheit sollte auch bei der Verteilung der Software stattfinden. Besonders wichtig ist das Verteilen von Patches wie auch die Überwachung (monitoring) der Rechner und deren Installationsstände. + Communication: Frühzeitige Benachrichtigung der Kunden über Patches/Updates und Probleme In unserem Unternehmen ist zu dieser Strategie ein zusätzlicher Punkt hinzugefügt worden: Security by development: Dieser Punkt ist sehr wichtig. Es hilft nichts, nur ein sauberes Design der Software zu haben. Es ist erforderlich, dass während der Entwicklung fachgerecht und minuziös gearbeitet wird. So sollten z.b. Rückgabewerte auf Format überprüft werden, um Buffer Overflows zu vermeiden. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

111 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 9/ Kurzvorstellung Windows Installers Der Windows Installer ist ein Datenbank gestützter Installationsdienst, der von Microsoft für den RollOut von Office2000 entwickelt wurde. Inzwischen ist der MSI in der Version 3.1 die Standard Installations Engine für die meisten Windows Applikationen. MSI Pakete die nach best practices erzeugt wurden, verfügen über eine sehr hohe Zuverlässigkeit, da während der Erzeugung der MSI Pakete diverse Konsistenzprüfungen durchgeführt werden. Des Weiteren bietet der Windows Installer nativ, innovative Funktionen wie Rollback und Elevation. Das Verhalten des Windows Installer Dienstes kann über Group Policies konfiguriert werden: Anbei eine tabellarische Übersicht des Windows Installers und andere Installation-engines: Tab.1 Windows Installer Legacy Installer 1. Datei Format MSI Setup.exe 2. Architektur Datenbank Programmatisch Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

112 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 10/ Prozess Client/Server einfach 4. Struktur offener Schema propietär 5. Rollback verfügbar nein 6. Elevation verfügbar nein 7. Install on demand verfügbar nein Zum Punkt 3 aus Tab.1 Der Windows Installer ist ein Server/Client Prozess, und die Server-Seite hat immer Systemrechte. Die Client Prozesse, die mit User Rechte (des angemeldeten Users) ausgeführt werden, beschränken sich auf Systemüberprüfungen und auf Wahloptionen über Eingabemasken. Die Schritte, bei denen Systemrechte benutzt werden können, sind im folgenden Diagramm rot hinterlegt. Es handelt sich um Schritt 13 und 14. Hier wird der Installationsscript generiert und die Installation durchgeführt. Zum Punkt 5 aus Tab.1 Die Rollback Option beschränkt sich nur auf additive Dateien. Gelöschte Dateien werden bei einer abgebrochenen Installation nicht wiederhergestellt. Ähnliches gilt auch für benutzerdefinierte Aktionen Zum Punkt 6 aus Tab.1 Elevation ist die Möglichkeit als normaler User eine Installation zu starten, die Aktionen durchführt, wozu normalerweise Administrator Rechte notwendig wären. Zum Punkt 7 aus Tab.1 Diese Option bietet die Möglichkeit erst dann Funktionen zu installieren, wenn diese benötigt werden (z.b. Thessaurus oder Silbentrennung in Word) Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

113 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 11/ 27 Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

114 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 12/ 27 5 MSI Paket Design IT Sicherheit spielt auch eine Rolle bei dem Design der Installationen und bei der Wahl der Installationsroutine. Installationen sollten die drei Grundwerte der IT-Sicherheit befolgen: Vertraulichkeit: Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden. Installationsseitig könnte dies z.b. ein Lizenzcode zur Aktivierung einer Komponente sein. Verfügbarkeit: Dem Benutzer stehen Dienstleistungen, Funktionen eines IT-Systems oder auch informationen zum geforderten Zeitpunkt zur Verfügung. Installationsseitig entspricht dies dem Install on demand Konzept Integrität: Die Daten sind vollständig und unverändert. Installationsseitig beansprucht dieser Grundwert eine Rollback Funktion. Bei Abbruch einer Installation müssen alle Daten so beibehalten werden, wie diese vor der Installation waren. Das ist äußerst problematisch bei Datenbanken, in denen während der Installation oft Strukturänderungen durchgeführt werden. Wichtig ist, dass man vor dem Design eine klare Vorstellung über alle installationsrelevanten Aspekte hat. Erst dann, kann man ein Installationspaket planen und erstellen. Deswegen sollten beim Design eines MSI Paketes folgende Punkte analysiert werden: 5.1 Definition Funktionsumfang Die Definition des Funktionsumfangs ist der erste und wichtigste Schritt. Es muss festgestellt welche Installationsoptionen zur Verfügung stehen sollen. Bei Installationen, die den Datenbestand der Applikation manipulieren, ist es besonders empfehlenswert, die Integrität der Daten zu schützen. Advertising: Das advertising ist das annoncieren einer neuen Applikation. Dies geschieht beim Windows Installer, indem das Symbol der Applikation zum Startmenü hinzugefügt wird. Wenn der Benutzer das neue Icon anklickt, wird die Installation automatisch angestoßen (unabhängig von den Benutzerrechten). Advertising ist einer der Funktionen, die kaum Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

115 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 13/ 27 eingesetzt werden Install on demand: Dies ist einer der Optionen, die normalerweise vom User über die Benutzeroberfläche ausgewählt wird. Bei Applikationen, die viele Optionen anbieten, ist es sinnvoll nur die Funktionen zu installieren, die notwendig sind. Andere Funktionen werden erst dann installiert, wenn sie erstmalig aufgerufen werden. Die install on demand Option ist eineder am häufigsten verwendeten Möglichkeiten innerhalb des MSI. Diese Funktion entspricht ein hardening des Systems und den Prinzip Secure by default. Konsistenzprüfung (Self healing): Die Konsistenzprüfung besteht darin, dass bei jedem Applikationsstart die Integrität der Anwendung überprüft wird. Dazu werden beim Start die gesamten Installationsvorgaben, die als key components definiert waren, überprüft. Sollte sich einer der Komponenten geändertt haben, so wird der MSI Paket aufgerufen und der Soll-Zustand wiederhergestellt. Rollback: Die Rollback Option ist einer der wichtigsten Erneuerungen des MSI. Diese Funktion schützt die Integrität der Daten und der Applikation bei einer abgebrochenen Installation. Es ist empfehlenswert diese Funktion einzusetzen. Allerdings sollte dabei geachtet werden, dass die integrierte Rollback Funktion nur einen eingeschränkten Funktionsumfang hat. Die Rollback Funktion bezieht sich nur auf das additive Ausbringen von Komponenten. Bei Löschvorgängen, sowie bei benutzerdefinierte Aktionen sind also eigenständige Routinen in der Installationssequenz zu implementieren. Unattended Install: Diese Funktionalität ist wichtig, um Installationen durchführen zu können, ohne dass irgendwelche User- Interaktion stattfinden muss. Normalerweise geschah dies über eine Respond-Daei (Antwortdatei). Bei dem MSI kann man während der Paketgenerierung unterschiedliche Sequenzen definieren, je nach User- Level- Interaktion. Bei einer richtigen Bauweise des Installationspaketes kann auf eine Antwortdatei verzichtet werden. Benötigt wird nur ein Command Line Aufruf des Windows Installers mit den richtigen Parametern. 5.2 Definition der Zielgruppen Bei dem Design der Pakete ist es wichtig zu erfahren, wer diese Installationspakete überhaupt erhalten soll. Öfters muss eine Installationsroutine Einschränkungen je nach Zielgruppe durchführen. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

116 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 14/ 27 Betriebssystem: Die Überprüfung des Betriebssystems (gegebenenfalls auch des installierten ServicePacks) ist ein Muss. Eine gleiche Applikation muss öfters verschiedene Dateien bei unterschiedlichen Betriebssystemen ausbringen. Dabei kann ein gleicher Installationspfad (wie Z.B. der WinSys32 Pfad) von Betriebsystem zu Betriebssystem variieren. Des weiteren bieten manche Betriebssysteme Sicherheitsmechanismen, die dafür sorgen können, dass bei Problemen ein Ursprungszustand automatisch hergestellt wird (Haltepunkte, BS-Signierung) Umgebung: Die Umgebung ist auch während der Installation ein kritischer Faktor. Wird die Installation bei einem Einzelplatz zur Verfügung gestellt, so findet man in der Regel ganz andere Bedingungen vor als bei einem zentral gemanagten Netzwerk. Bei Netzwerke ist besonders auf locked down Systeme zu achten, bei denen diverse GPOs eingesetzt werden. In diesem Fall muss bei der Erstellung und bei der Verteilung der MSI Pakete auf mehrere Punkte geachtet werden. Usergruppen Bei Windows können User zu Gruppen zugeordnet werden. Diese Gruppen können Gruppen zur Rechteverwaltung (Power-user, Administrator, Gast ) oder auch organisatorische Gruppen OU (die zur Übersichtlichkeit und zur besseren Verwaltung des Netzwerks dienen) sein. Das Überprüfen von bestimmten Gruppen zur Ausbringung der Installationsdateien ist ein zusätzlicher Sicherheitsfaktor. Es kann z.b. ungewollt sein, dass eine bestimmte Usergruppe eine Installation durchführen kann (z.b können in den Gothaer Software Paket Aussendienst Mitarbeiter keine Kosyma Installation ausführen. Auch bei vorhandenem Admin-Rechte bricht die Installation ab. Dabei wird ein Hinweisfenster ausgegeben, das den User darüber informiert, dass er zur falschen Usergruppe gehört. 5.3 Definition der Restriktionen Ein öfters unterschätzter Aspekt bei dem Design der Installationen sind die Restriktionen. Restriktionen sind notwendig, damit die Anzahl der Optionen, die in einer Installation eingebettet werden, übersichtlich bleibt. Durch Restriktionen werden Aktionen ausgeschlossen, die bei der Installation und dem Betrieb der Anwendung zu Problemen führen könnten. Dieser Punkt ist so wichtig, dass wir ein Dokument für Software Fremdanbieter erstellt haben, wo alle Restriktionen aufgelistet werden. Dokument Richtlinien an Produkte/Module im Rahmen des Gothaer Softwarepakets (GSP). Häufige Restriktionen sind: Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

117 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 15/ 27 Keine Einträge In HKEY_Current User Einträge in der HKEY_Current_User werden nur für den User durchgeführt, der während der Installation angemeldet ist. Alle anderen Benutzer des Rechners erhalten diese Konfigurationsoptionen nicht. Um dieses Problem zu vermeiden, darf nicht in HK_CU geschrieben werden. Konfigurationsoptionen müssen global sein und jegliche Registry Einträge müssen in HK_Local_Machine durchgeführt werden. Konfigurationsdateien nur im Applikationspfad Diese Restriktion bezieht sich hauptsächlich auf INI-Dateien. Gegen die Benutzung von INI-Dateien ist nichts entgegenzusetzen. Allerdings sollten diese Dateien nicht (wie üblich) in Windows Verzeichnis abgelegt werden. Es gibt viele Applikationen, die in der INI-Datei die Optionen speichern, die über die Anwendungs- Oberfläche ausgewählten wurden. Dies führt bei gemanagten Netzwerke oft zu Problemen, wo die Rechte für den User auf das Windows-Verzeichnis auf Read & Execute limitiert sind. Keine veralteten externen Zugriffskomponenten Benötigt das Programm externe Datenzugriffskomponenten (ODBC, BDE, usw.), so ist im Zuge der Installation zu prüfen, ob diese Komponenten auf dem Rechner bereits vorhanden sind. Sollten die Komponenten vorhanden sein (z.b. MDAC 2.8), dann darf nicht eine ältere Version (z.b. MDAC 2.5) eingespielt werden Keine unnötigen Bootvorgänge Diese Restriktion ist von den Netzwerkadministratoren verlangt worden. Hintergrund ist das Verlangen nach der Möglichkeit mehrere Installationen in unattended setup durchzuführen, ohne das der Rechner zwischendurch neu gestartet werden muss. Keine 16 Bit Komponenten oder Einträge in der confi.sys/autoexec.bat Diese alten 16-Bit Komponenten sind ein Risiko, da sie nicht Multitasking fähig sind. Sollte eine der Komponenten hängen bleiben, so kann das System komplett lahm gelegt werden. Dies kann unabhängig davon passieren, ob die 16 Bit Komponente in einem getrennten Speicherbereich geladen worden ist. Des Weiteren werden keine veralteten Installationmodi (wie das Setzen von Pfade oder Umgebungsvariabeln) über die autoexec.bat geduldet. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

118 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 16/ Einhaltung der designed for Windows XP Richtlinien Microsoft hat Richtlinien für das Design der Software ausgegeben. Diese Richtlinien beinhalten 3 großen Bereiche (Windows Fundamentals, Install/Remove, Data & Settings Management). Die Installationsvorgaben reduzieren sich auf das folgende: Kein Versuch Dateien auszutauschen, die über WFP (Windows File Protection) gesichert sind. Die nicht Einhaltung dieser Regel führt zu einem Reparaturvorgang beim nächsten Windows Start. Wenn die betroffene Datei nicht in dem Installationscache liegt, so muss die Windows CD eingelegt werden. Möglichkeit zur Migration von älteren Windows Versionen. Die Software muss sich auch in ein älteres Betriebssystem installieren lassen (z.b. Windows NT) und soll nach einer Migration des BS auf Windows XP problemlos funktionieren, ohne dass irgendwelche Handgriffe seitens des Users durchgeführt werden müssen. Keine nicht propietäre Dateien mit älteren Versionen überschreiben. Insbesondere Fremdkomponenten des Typen (OCX Active X control und DLL Dynamic Link Libraries) Kein unnötiges Reboot. Dies ist eine Forderung der Administratoren um Produktionsausfälle zu verringern. Ein Reboot führt öfters zu Problemen bei Servergeräten, die ständig im Einsatz sind. Eine Reboot muss sorgfältig geplant werden und wird immer dann ausgeführt, wenn keine User eingeloggt sind bzw. Dienste runtergefahren worden sind. Defaultmäßig im Ordner Programme installieren Gemeinsame Dateien, die nicht als Side by Side Installation installiert werden müssen, werden in den entsprechenden Gemeinsame Dateien Ordner installiert. Unterstützung der Funktionen (installieren, reparieren, entfernen) in Systemsteuerung- /Software Unterstützung des Installationsmodus Alle Benutzer Unterstützung der Autorun Funktion für CDs und DVDs 5.5 Transform Dateien, Patches und & Updates Das Updaten einer Applikation ist genau so wichtig wie das Ausführen einer Erstinstallation. Allerdings ist das eine viel kritischere Aktion, da die Integrität der Daten und der Applikation bewahrt werden sollen. Der Windows Installer bietet diverse Möglichkeiten, die bei dem Installations Design betrachtet werden müssen: Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

119 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 17/ Transforming über MST-dateien Transforming ist die Möglichkeit eine bestehende Installation mit Hilfe einer MST-Datei zu verändern. Eine MST-Datei enthält ein Delta der MSI Datenbank der zu aktualisierenden Installation. MST- Dateien sind ein bewehrtes Mittel, um Laufzeiten von Erstinstallationen gering zu halten. Microsoft bietet beispielsweise MST Dateien zu den Office Servicepacks. Auf diese Weise kann in der Erstinstallation des Office Pakets der Inhalt aus den Servicepacks eingefügt werden Patching über MSP- Dateien MSP Dateien sind direkt ausführbare Dateien. Diese Dateien Patches können benutzt werden, um kleine Korrekturen bei Applikationen durchzuführen. Der Inhalt eines Patches besteht ähnlich Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

120 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 18/ 27 wie eine Transform Datei aus einem Delta aus einem IST und einen SOLL Zustand einer Installation. Allerdings ist dieser Inhalt stark eingeschränkt gewesen, da bisher ein Patch hauptsächlich Dateien aktualisieren konnte. Mit dem Einzug des Windows Installers 3.0 ist die Patching Funktion erweitert und verbessert worden Updates Software Aktualisierungen Bei der Aktualisierung einer Anwendung ist zu erwägen, ob die vorherige Version aktualisiert wird, oder ob eine Koexistenz der alten und der neuen Version erwünscht ist (Parallelbetrieb). Sollte ein Parallelbetrieb von zwei unterschiedlichen Versionen einer Anwendung erwünscht sein, so reicht es nicht, dass die Software zweimal installiert wird. Die Anwendung muss auch dazu konzipiert sein. Nehmen wir mal an, dass es zwei unterschiedlichen Anwendungen eines gleichen Herstellers gibt. Die eine Anwendung (Checkers) wird auf die Version 1.5 aktualisiert und soll danach eine weitere Aktualisierung 2.0 erhalten, die den Parallelbetrieb zur alten Version zulässt. Zusätzlich wird eine zweite Anwendung (Poker v1.0) installiert. Das Verhalten der MSI Pakete wird maßgeblich durch die drei unten aufgelisteten GUIDs (Globally Unique Identifier) bestimmt. Upgrade Code: Der Upgrade Code dient nur zur Identifizierung der zu aktualisierender Software. Dieser Code ist der einzige gemeinsame Nenner aller möglichen Aktualisierungstypen. Deswegen darf der Upgrade Code bei einem Update auf einer neuen Version nie geändert werden. Product Code: Der Product Code ist einmalig in jede Zielmaschine. Wenn ein Aktualisierungspaket einen gleichen Product Code hat, wie die bereits installierte Version, dann darf die Aktualisierung nur die bereits vorhandene Installation updaten. Eine parallele Installation ist nicht möglich. Um einen Parallelbetrieb zu ermöglichen, ist es notwendig, dass der Upgrade Code Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

121 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 19/ 27 identisch ist, der Product Code aber unterschiedlich. Package Code: Der Package Code wird vom Windows Installer benutzt, um zu erkennen, ob eine komplett neue Installation vorliegt, oder ob eine bereits bestehende Komponente aktualisiert werden soll. Der Package Code ist die einzige GUID die überprüft werden kann, ohne dass Editier Tools eingesetzt werden müssen. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

122 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 20/ 27 6 MSI Paket Development Bei der Entwicklung /Erstellung der MSI Pakete müssen die Design Vorgaben korrekt umgesetzt werden. Die besten Vorgaben sind nichtig, wenn die Umsetzung nicht fachgerecht ausgeführt wird. Bei der Erstellung der MSI Pakete sind diverse Punkte relevant. Der Punkt Sicherheit hat hierbei eine enorme Gewichtung, da während den Installationen sicherheitskritische Aktionen durchgeführt werden können, z.b. Systemdienste eingerichtet, Passwörter für Datenbanken übergeben und Lizenznummern gespeichert werden. 6.1 Einhaltung der best practices Microsoft hat in den SDK des Windows Installers ein Dokument mit einer Liste aus 16 Punkten erstellt, in der die besten Praxis Tipps für die Erstellung von MSI Installationen angegeben sind. Es ist ratsam diese zu befolgen, damit die MSI Pakete konsistent sind, und sich keine Fehler (falsche Verlinkungen, falscher Umgang mit key files ) einschleichen. Jedoch sind diese Praxis Regeln zu umfangreich, um sie hier einzeln aufzulisten. 6.2 Sicherheitsaspekte bei der Erstellung von MSI Pakete Es gibt viele Aspekte, die bei der Erstellung von MSI Pakete betrachtet werden müssen. Die meisten beziehen sich auf Properties (Eigenschaften), die bei jeder Komponente gesetzt werden können. Jede Eigenschaft, die durch den Benutzer verwendet werden soll, sollte als öffentliche Eigenschaft definiert werden. Private Eigenschaften können nicht vom Benutzer durch Interaktion mit der Benutzeroberfläche verändert werden. Es sollen keine Eigenschaften benutzt werden, zum Definieren von Passwörtern oder sonstigen Werten die abgesichert sein sollen. Der Windows Installer schreibt die Werte aller Eigenschaften in das Installationsprotokoll. Die Eigenschaft MSIHiddenProperties soll verwendet werden, um Eigenschaftswerte von der Protokollierung auszuschließen. Werden für die Installation erhöhte Rechte benötigt, so sollen die öffentlichen Eigenschaften eingeschränkt werden, die der Benutzer modifizieren darf (Restricted public Properties) Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

123 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 21/ 27 Bei der Installation von Betriebssystem Diensten sollen die Angaben von Benutzerdaten vermieden werden. Die hierbei festgelegten Daten werden in das Installationsprotokoll übernommen. Die Tabelle LockPermissions sollte verwendet werden, um Dateien, Registrierungseinträge und Ordner abzusichern. Digitale Signaturen sollten verwendet werden, um die Integrität von Dateien sicherzustellen. Es soll sichergestellt werden, dass die Privilegien des Benutzers geprüft werden und mit den erforderlichen Rechten verglichen werden. Es soll ebenfalls sichergestellt werden, dass genügend Speicherplatz vorhanden ist, um die Installation durchzuführen. Es sollen sichere Transformationen verwendet werden, um dem Benutzer keinen Schreibzugriff auf die lokal gespeicherten Transformationen zu gewähren. Es soll die Eigenschaft Security des Summary Information Streams verwendet werden, um den Öffnungsmodus für das Windows Installer Paket zu definieren. Patches sind Aktualisierungen oder Updates, die nur veränderte Programmdateien ersetzen. Patches können leicht durch zerstörerische Programme so missbraucht werden, dass einige Installationsprogramme deren Verwendung nicht zulassen. Man sollte die Gruppenrichtlinie DisablePatch in Umgebungen verwenden, in denen das Patchen von Installationen beschränkt werden soll. Die Tabelle AppId sollte verwendet werden, um allgemeine Sicherheits- und Konfigurationseinstellungen von DCOM-Objekten vorzunehmen. 6.3 Umgang mit benutzerdefinierte Aktionen Benutzerdefinierte Aktionen müssen zielgerecht verwendet werden. Der Windows Installer führt standardmäßig benutzerdefinierte Aktionen mit den Rechten des Benutzers aus, um den Zugriff auf das System einzuschränken. Der Installer kann benutzerdefinierte Aktionen mit erhöhten Rechten ausführen, wenn eine verwaltete Anwendung installiert wird oder dieses über Gruppenrichtlinien ermöglicht wurde. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

124 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 22/ 27 Folgende Richtlinien sollten bei der Erstellung von benutzerdefinierten Aktionen beachtet werden: Alle zusätzliche Dateien sollten abgesichert werden, die durch benutzerdefinierte Aktionen geschrieben oder erstellt werden. Man sollte die Größe der Puffer (Buffer) und die Gültigkeit von allen Daten überprüfen, die von der benutzerdefinierten Aktion gelesen werden. Man sollte keine externen Laufzeiten voraussetzen, bei denen man nicht sicherstellen kann, dass diese auf allen Plattformen verfügbar sind, auf die der Windows Installer Paket installiert werden soll. Man sollte sorgfältig festlegen, ob benutzerdefinierte Aktionen mit erhöhten Rechten oder mit den Rechten des Benutzers ausgeführt werden sollen. Wenn die benutzerdefinierte Aktionen mit erhöhten Rechten ausgeführt werden sollen, sollte sichergestellt werden, dass kein Fehlverhalten (Buffer overrun) auftreten kann und das kein unsicherer Code ausgeführt wird. Alle Informationen sollen gesammelt werden, die vom Benutzer in der Oberflächensequenz zur Verfügung gestellt werden. Der Benutzer sollte nie zur Eingabe von Informationen gefordert werden, die nicht durch öffentliche Eigenschaften festgelegt werden können. Liegt die benutzerdefinierte Aktion in Form einer Eigenschaft vor, in der Skriptcode enthalten ist, so sichert man diese Aktion durch das Attribut Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

125 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 23/ 27 msidbcustomactiontypehidetarget ab, da ansonsten der Skriptcode im Klartext dem Installationsprotokoll angefügt wird. Bezüglich des Rollbacks muss auf folgendes geachtet werden: Jede benutzerdefinierte Aktion muss eine Gegenaktion (Reactio) haben. Siehe das folgende Beispiel, bei dem ein PDF Druckertreiber mit den Lizenzkey und den Druckoptionen generiert und initialisiert wird.: A.) Actio: Script amy_inst.vbs installiert ein PDF-Drukertreiber ' Script um den Amyuni PDF Converter zu installieren und ' die Konfigurationsoptionen zu setzen ' Erstellt von Ricardo Martinez IE3 in April 2005 fuer GSP2/2005 Option Explicit ' Dimensionierung - da vbs keine weiteren Angaben notwendig :-) Dim PDF Dim WshShell Dim EnvD Dim EnvP ' Umgebungsvariabeln auslesen um den Zielpfad der entstehenden Dateien ' festzulegen,scharfschalten der Amyuni Komponente Set WshShell = CreateObject("Wscript.Shell") EnvD = WshShell.Expandenvironmentstrings("%HOMEDRIVE%") EnvP = WshShell.Expandenvironmentstrings("%HOMEPATH%") Set PDF = CreateObject("cdintfEx.cdintfEx") ' Initialisierung des Treibers und Übergabe der Lizenzinformationen Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

126 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 24/ 27 PDF.PDFDriverInit( "Amyuni PDF Converter" ) PDF.EnablePrinter "Gothaer IDG","XXXXXXXX" ' Setzen der Konfigurationsoptionen With PDF.DriverInit( "Amyuni PDF Converter" ).Printerlanguage = 3 'Oberflaeche auf Deutsch.DevModeFlags = PDF.DevModeFlags OR 2 OR 16 OR 64 OR 128 OR 256.FontEmbedding = TRUE.JPEGCompression = TRUE.JPEGLevel = 7.DefaultDirectory = EnvD + EnvP.FileNameOptionsEx = &H8000& + &H20& + &H10&.SetDefaultConfig 'Speichern der Konfiguration End With Set PDF = Nothing 'nicht unbedingt erforderlich, aber zur Sicherheit B.) Reactio: Script amy_deinst.vbs deinstalliert den PDF- Druckertreiber ' Script um den Amyuni PDF Converter zu deinstallieren ' Erstellt von Ricardo Martinez IE3 in April 2005 fuer GSP2/2005 'Option Explicit ' Dimensionierung und Erzeugung des Objektes Dim cdi Set cdi = CreateObject("CDIntfEx.CDIntfEx") Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

127 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 25/ 27 ' Initialisierung des Treibers und Übergabe der Lizenzinformationen CDI.PDFDriverInit( "Amyuni PDF Converter" ) CDI.EnablePrinter "Gothaer IDG","XXXXXXXX" ' Loeschen des Treibers cdi.driverend Set cdi = Nothing 'nicht unbedingt erforderlich, aber zur Sicherheit Umgang mit Locked Down Systeme Folgende Richtlinien müssen bei der Erstellung von Installationspaketen beachtet werden, um die Installation in ein abgesichertes System (Locked-Down) zu gewährleisten: Administratoren sollten verwaltete Anwendungen (Managed Applications) in einen Ordner installieren, den Benutzer ohne Administratorenrechte nicht modifizieren können. Das Installationspaket sollte auf Kompatibilität mit den Windows Installer Gruppenrichtlinien geprüft werden, die an den Zielgeräten eingesetzt werden. Es soll sichergestellt werden, dass das Installationspaket mit allen Stufen der Benutzeroberfläche (Full, Reduced, Basic, None) ordnungsgemäß ausgeführt wird. Es soll sichergestellt werden, dass das Installationspaket auf NTFS-Partitionen mit Standard- und erhöhten Rechten fehlerfrei ausgeführt wird. Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

128 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 7 Links zum Windows Installer Thema Windows Installer Software Developer's Kit (SDK) - Online Windows Installer Software Developer's Kit (SDK) - Download Windows Installer Support Web Site Windows 2000 Change and Configuration Management (CCM) Deployment Guide Introduction to Windows 2000 Group Policy-based Software Deployment Step-by-Step Guide to Software Installation and Maintenance: InstallShield for Windows Installer by InstallShield Software Corporation Microsoft Visual Studio Installer Microsoft Visual Studio.NET Wise for Windows Installer by WISE Solutions, Inc. Systems Management Server (SMS) Installsite (Resources for Setup Developer): SWYNK.COM (Resources Link Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 26/ wininst CCM/default.asp agement/swinstall.asp Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

129 Design und Erstellung von sicheren Installationen mit dem Windows Installer (MSI) Projekt: Umstellung der GSP-Installationen Bearbeiter: Ricardo Martinez - IE3 Dokument: I60P101 Abschlussarbeit IT- Datum: 26. Jun Security Studium Freigabe: Seite: 27/ 27 for Systems Management Server): 8 Literaturverzeichnis Dickau, Robert M.: Anleitung: MSI-Projekte mit InstallShield DevStudio 9. InstallShield Software Corporation, Granowitz, Brian; Miller, Joy: Windows Installer: Benefits and Implementation for System Administrators. Microsoft Corporation, November Granowitz, Brian; Napier, Carolyn: New Features and Design Changes In Windows Installer 2.0. Microsoft Corporation, October Johnson, Matt; Dickau, Robert M. [eds.]: Making sense of Windows Installer InstallShield Training. InstallShield Software Corporation, Kerl, Andreas: Inside Windows Installer. Microsoft Press Deutschland, 2003 Sanoy, David; Moskowitz, Jeremy: The definitive Guide to Windows Installer Technology for System Administrators. Realtimepublishers, Datei: I60P101 Abschlussarbeit IT-Security Studium.doc Vorlagenversion:001

130

131 Projektarbeit Zusatzstudium IT-Sicherheit Vorbereitende Tätigkeiten und Aktivitäten zur Zertifizierung Informations- Sicherheitsmanagement nach BS 7799 des Rechenzentrums der perdata Informationsgesellschaft mbh Holger Maschke Version 1.1 vom D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 1 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

132 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh Inhaltsverzeichnis 1 AUSGANGSSITUATION Ziele der Projektarbeit Vorhandene Prozesse und Verfahren IT-Sicherheit bei perdata Allgemeine Vorgehensweise Zertifizierung BS BS7799 Part1 Vergleich mit dem IT-Grundschutzhandbuch SICHERHEITSPOLITIK ORGANISATION DER SICHERHEIT Infrastruktur der Informationssicherheit Sicherheit beim Zugang durch Fremdunternehmen Outsourcing EINSTUFUNG UND KONTROLLE DER WERTE Zurechenbarkeit für Werte Einstufung von Informationen PERSONELLE SICHERHEIT Sicherheit bei der Stellenbeschreibung und bei der Bereitstellung von Ressourcen Benutzerschulung Verhalten bei Sicherheitsvorfällen und Störungen... Fehler! Textmarke nicht definiert. 6 PHYSISCHE UND UMGEBUNGSBEZOGENE SICHERHEIT Sicherheitszonen Sicherheit der Geräte Allgemeine Maßnahmen MANAGEMENT DER KOMMUNIKATION UND DES BETRIEBS Betriebsverfahren und verantwortlichkeiten Systemplanung und abnahme Schutz vor bösartiger Software Haushaltsorganisation Netzwerkmanagement/Sicherheitsinfrastruktur Firewallprodukte Intrusion Detection System (IDS) ZUGANGSKONTROLLE Geschäftsanforderungen an die Zugangskontrolle Verwaltung der Zugriffsrechte der Benutzer Verantwortung der Benutzer Netzzugriffskontrolle Kontrolle des Betriebssystemzugriffs...14 D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 2 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

133 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 8.6 Zugriffskontrolle für Anwendungen Überwachung von Systemzugriff und Systembenutzung Mobile Computing und Telearbeit SYSTEMENTWICKLUNG UND -WARTUNG Sicherheitsanforderungen an Systeme Sicherheit in Anwendungssystemen Kryptographische Maßnahmen Sicherheit von Systemdateien Sicherheit bei Entwicklungs- und Supportprozessen MANAGEMENT DES KONTINUIERLICHEN GESCHÄFTSBETRIEBS Aspekte zur Aufrechterhaltung des Geschäftsbetriebs/Organisation der Bereitschaftsdienste Abarbeiten von Tickets/Problemen der Priorität Tages-Bereitschaft RZ h Bereitschaft RZ EINHALTUNG DER VERPFLICHTUNGEN Einhaltung gesetzlicher Verpflichtungen Überprüfungen der Sicherheitspolitik und der Einhaltung technischer Normen Überlegungen zum Systemaudit QUELLENVERZEICHNIS...20 D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 3 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

134 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 1 Ausgangssituation 1.1 Ziele der Projektarbeit Die Projektarbeit als praktischer Teil der Ausbildung und Zertifizierung IT-Sicherheit soll die vorhandenen Prozesse und Verfahren in Bezug auf Sicherheit bei perdata bewerten und notwendige Schritte zur Zertifizierung nach dem Standard BS7799 aufzeigen. Die Projektarbeit bzw. dieses Dokument kann wegen der Begrenzung auf 20 Seiten nur die wesentlichsten Aspekte beleuchten. 1.2 Vorhandene Prozesse und Verfahren IT-Sicherheit bei perdata Als IT-Dienstleister mit hohen Qualitätsanspruch ist das Thema Datensicherheit von hoher Bedeutung. In den nachfolgenden Punkten werden die jeweils vorhandenen bzw. für eine Zertifizierung nach BS notwendigen oder zu erweiternden Dokumente mit aufgeführt. Insgesamt wird eingeschätzt, dass nur eine begrenzte Anzahl an weiteren Dokumenten benötigt wird, um sich einer entsprechenden Zertifizierung zu unterziehen. Bei perdata wurden bereits verschiedene Zertifizierungen durchgeführt. So ist das Rechenzentrum seit 2001 nach dem Qualitätsmanagementstandard ISO 9001 zertifiziert. Fester Bestandteil dieser Zertifizierung sind auch Verfahrensanweisungen und Regelungen, welche die Datensicherheit. perdata ist HP Serviceprovider Certified Level, SAP Costumer Competence Center und SAP- Hostingpartner. Es erfolgen weiterhin regelmäßig Überprüfungen von Wirtschaftsprüfern zu Fragen der IT-Sicherheit im Rahmen von Jahresabschlussprüfungen oder Projektneueinführungen. 1.3 Allgemeine Vorgehensweise Zertifizierung BS7799 Der British Standard 7799 ist eine Norm für die Auditierung und Zertifizierung von IT-Systemen, die in der jetzigen Form der Öffentlichkeit im April 1999 vorgestellt wurde. Der unter der Abkürzung BS 7799 bekannte Standard dient der begutachtenden Wertung der Sicherheit von IT-Systemen. Er wird auch außerhalb Großbritanniens genutzt und soll zu einer internationalen Norm werden. Im Gegensatz zu anderen Wertungssystemen, z. B. solchen, die Hardwarequalitätsaussagen treffen, hat der BS 7799 das Hauptziel, einen Prüfstandard für das Management der IT-Sicherheit zu liefern. Dies bedeutet, dass nicht jede einzelne Anwendung, jedes einzelne Subsystem oder jede Datei auf das spezifische Risiko, hervorgerufen durch Bedrohungen und/oder Risikopotential, abgeprüft wird, sondern dass vielmehr untersucht wird, welche Schwächen ein gesamtes System hat und wie IT-Sicherheit gehandhabt d.h. gemanagt wird. Für eine checklistengestützte Vorbereitung ist es zweckmäßig, die BS 7799-Unterlage aufzubereiten und sie für die Vorbereitung eines nachfolgenden Auditierungsprozesses einer formalen Überarbeitung zu unterziehen. Mit Hilfe eines Checklistensystems - im Aufbau analog zum BS kann ein D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 4 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

135 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh unternehmensinternes Team einen Checkup der IT-Sicherheit des Unternehmens durchführen und damit eine folgende Auditierung effizienter gestalten, da dann weniger Mängel zu erwarten sind. Die Vorbereitung auf eine Auditierung und Zertifizierung kann von Externen durchgeführt werden, jedoch nicht von dem zertifizierenden Unternehmen. Unerlässlich ist allerdings, dass auch die Vorbereitung - sofern sie durch Externe durchgeführt wird - durch kompetente Fachleute erfolgt. Die Vorbereitung für die hausinterne oder auch externe Prüfung des IT-Sicherheitssystems sollte durch Schulungen über den Umgang mit dem BS 7799 geschehen (siehe Abbildung zur Vorgehensweise). Wesentlich ist ein auf höchster Ebene gefällter Entscheid über die Durchführung des Auditierungs- und Zertifizierungsverfahrens. Hier sollte im Sinne einer Kosten-/Nutzenüberlegung auch in Betracht gezogen werden, dass ein solcher Prozess nicht nur Kosten verursacht sondern auch einen vielfachen internen und externen Nutzen hat. Zum internen Nutzen zählt, dass eine objektive und umfassende Prüfung der IT- Sicherheit des Unternehmens durchgeführt wird und damit Klarheit über den Zustand des Sicherheitssystems geschaffen wird. Eine objektive Bestätigung der Sicherheit des IT-Systems durch Externe als Beleg für die Kompetenz und Vertrauenswürdigkeit eines Unternehmens und seiner Informationsverarbeitung ist von beachtlicher Werbe- und Außenwirkung BS7799 Part1 Vergleich mit dem IT-Grundschutzhandbuch Es wird häufig gefragt, wie sich der IT-Grundschutz zu BS 7799 (ISO/IEC 17799) verhält. Das IT-Grundschutzhandbuch beschreibt detailliert Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind. Es umfasst: Standardsicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf, eine Darstellung der pauschal angenommenen Gefährdungslage, ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe, eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT- Sicherheitsniveaus und eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs. BS 7799 befasst sich hauptsächlich mit dem vorletzten Punkt, also dem Aufbau eines IT- Sicherheitsmanagements und seiner Verankerung in der Organisation. Anders als im IT- Grundschutzhandbuch finden sich hier keine detaillierten Umsetzungshinweise, sondern übergreifende Anforderungen. Da das IT-Grundschutzhandbuch außerdem anders strukturiert ist als ISO/IEC 17799, ist es schwierig hier eine genaue Abbildung zwischen beiden Werken zu machen. Die folgende Tabelle zeigt auf, dass das IT-Grundschutzhandbuch ISO/IEC umfasst. Dabei sind jeder Sicherheitsmaßnahme (Control) des ISO/IEC diejenigen Bausteine bzw. Maßnahmen des IT-Grundschutzhandbuchs zugeordnet, die hierfür am relevantesten sind. Daran, dass einigen Sicherheitsprinzipien des ISO/IEC nur eine Maßnahme und anderen mehrere Bausteine zugeordnet wurden, kann schon gesehen werden, dass die Detailtiefe und die Wichtung der verschiedenen Sicherheitsaspekte eine völlig andere ist. 2 1 Vgl KES (2005) 2 Vgl. BSI (2005) D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 5 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

136 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 2 Sicherheitspolitik Die perdata hat als IT-Dienstleister zum Einen die Verantwortung für die Sicherheit der eigenen IT- Prozesse und zum Anderen die Verantwortung für die Abbildung sicherer Prozesse der Kunden. Aufgrund dieser strategischen und operativen Bedeutung der Informationstechnologie in der perdata und bei deren Kunden, strebt perdata ein generell angemessen hohes Sicherheitsniveau an. Hierzu zählt die Sicherstellung der erforderlichen Verfügbarkeit, Integrität, Vertraulichkeit und Verbindlichkeit von Informationen und Systemen in Standard- und Krisensituationen, sowie zusätzliche Kriterien wie Authentifizierung und Nachprüfbarkeit. Die Leitlinie zur IT-Sicherheit bildet damit den Rahmen für das Regelwerk der IT-Sicherheit, welches Richtlinien für den Umgang mit IT-Systemen festlegt und Mindestanforderungen definiert, die von allen IT- Systemen zu erfüllen sind, um die definierten Schutzziele gewährleisten zu können. 3 In der Leitlinie zur IT-Sicherheit sind folgende Punkte enthalten: Einleitung Geltungsbereich Grundprinzipien Rollen und Verantwortlichkeiten o Geschäftsführung und Bereichsleiter o Produkt- und verfahrensverantwortliche Stelle (Systemeigner) für eigene Systeme o Verantwortung für Kundensysteme o Rechenzentrum o IT-Sicherheitsmanagement IT-Sicherheitsprozess o Bestimmung des IT-Sicherheitsniveaus o Regelwerk der IT-Sicherheit o IT-Risikomanagement o IT-Restrisiken und Maßnahmen o operativer Kontrollprozess o Bewusstsein Inkraftsetzung 3 Vgl LL-IT-SIC D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 6 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

137 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 3 Organisation der Sicherheit 3.1 Infrastruktur der Informationssicherheit Festlegungen zur Infrastruktur sind in den vorhandenen RZ-Plänen (zentrale Komponenten) und dem IT- Sicherheitshandbuch enthalten. Folgende Themen sind in diesem Handbuch enthalten (auszugsweise): Zutritt zu den IT-Technikräumen Verwaltung der Schlüssel zu den IT-Technikräumen Verhalten im Rechenzentrum und in den IT-Technikräumen Prüfung der Umsetzung der Regelungen Archivierung Zugang zu öffentlichen Netzen über Firewall Zugang zum IT-Netz der SWL über öffentliche Daten- und Telefonnetze Sicherheit (Maßnahmenkatalog zur IT-Sicherheit) Dokumentation der Netze Verkabelungsstrategie Umgang mit mobiler Technik: Laptop, Handhelds, Externe Laufwerke Schutz vor Viren Verschlüsselung von Daten Datensicherungskonzept 3.2 Sicherheit beim Zugang durch Fremdunternehmen Der Zugang durch Fremdunternehmen ist im RZ-Handbuch geregelt. Die Mitnahme von Betriebsfremden ist nur mit Zustimmung des Vorgesetzten erlaubt (Ausnahme bilden erforderliche Einsätze von Servicefirmen und Dienstleistern). Die Fluchtwege sind frei zu halten (Auch bei Installation in den Räumen). Der Aufenthalt Dritter in den Rechnerräumen ist nach Möglichkeit zu vermeiden. Die Installation sollte (nach erfolgter Grundinstallation) entweder remote vom Standort der perdata oder von den Büroräumen im Rechenzentrum aus erfolgen. Passworte, besonders Adminpassworte, dürfen Subauftragnehmern nur temporär zur Verfügung gestellt werden, es darf keine Herausgabe von Daten erfolgen Outsourcing Bei dem Abschluss von Outsourcing-Verträgen (hier: perdata vergibt Leistungen an andere Dienstleister) sind die allgemeinen Einkaufsbedingungen und die Festlegungen des Einkauf relevant. Solche Festlegungen betreffen z.b. die Wertgrenzen bei Bestellungen und spezielle Festlegungen zu Lieferanten. Im Rahmen der ISO-Zertifizierung erfolgen regelmäßig Lieferantenbewertungen. 4 RZ-ORG D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 7 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

138 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 4 Einstufung und Kontrolle der Werte 4.1 Zurechenbarkeit für Werte perdata führt ein umfangreiches Risikomanagementsystem, welches in monatlichen, vierteljährlichen und jährlichen Einschätzungen zu verschiedenen Themenkomplexen einen Gradmesser zur aktuell vorhandenen Gefährdungslage darstellt. Das Risikomanagement bei perdata soll dabei die folgenden Ziele und Aufgaben erfüllen: Identifikation der für perdata relevanten Risiken; Schaffung und Unterstützung eines Risikobewusstseins bei den einzelnen Mitarbeitern (im Sinne eines Verständnisses von Chancen und Risiken einzelner Entscheidungen und Arbeitsbereiche, welches zu einer rationalen Abwägung der Chancen-Risiken-Relation führen sollte); Dokumentation und Anzeige der einzelnen Risikoarten und ihrer Entwicklung im Zeitverlauf; Verdeutlichung von besonders relevanten Risiken im Rahmen eines Informations- / Warnsystems für Risiken und Führungsentscheidungen; Unterstützung der Diskussion zu Handlungsoptionen zur Verminderung von Risiken (aktives Risikomanagement). 4.2 Einstufung von Informationen Je nach Bedeutung der verschiedenen Informationsquellen werden unterschiedliche Schutzgrade festgelegt. Durch eine Untersuchung der vorhandenen IT-Prozesse und der Kategorisierung in unterschiedliche Gruppen (Schutzbedarfsermittlung) wird die Grundlage für weitere Verbesserungen und notwendige Tätigkeiten gelegt. Alle bei perdata vorhandenen Anlagengegenstände sind einerseits im SAP-System enthalten, werden aber referenziert in Spezialsystemen mit Zusatzinformationen gehalten (z.b. PC-Management im Remedy- System). Für die Server-HW und Netzkomponenten wird derzeit eine einheitliche Datenbasis geschaffen. Die Serverinventarliste ist eine notwendige Informationsquelle der Bereitschaftsdienste. Die Pflege dieser Liste wird durch die jeweiligen Administratoren durchgeführt. Alle Mitarbeiter des Rechenzentrums sind verpflichtet, relevante Änderungen dort einzufügen bzw. den Administrator schriftlich mitzuteilen. D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 8 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

139 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 5 Personelle Sicherheit 5.1 Sicherheit bei der Stellenbeschreibung und bei der Bereitstellung von Ressourcen Die Tätigkeiten der Mitarbeiter von perdata sind in den Stellenbeschreibungen ausführlich beschrieben. Für den Bereich Rechenzentrum gibt es u.a. folgende Profile: Gruppe Netzwerk Planung, Installation und Überwachung der Netzwerke und Komponenten Sicherer Anschluß von Kunden an das perdata Rechenzentrum Planung, Installation und Überwachung der RZ-Infrastruktur (z.b. Netzwerkkomponenten, Firewalls) Internetzugang, Internetdienste, Webserver, Internettechnologie, Betrieb von ASP-Umgebungen für verschiedene Applikationen, Windows-Applikationsserver Gruppe Server/Systemtechnik Planung, Installation und Überwachung der Server im RZ Überwachung der Basisdienste, Betrieb der Systemmanagementlösung Ausführen von Updates Gruppe Datenbanken Planung, Installation und Überwachung der Datenbanken im RZ Planung, Installation und Überwachung der Datensicherung 5.2 Benutzerschulung Die jeweiligen Spezialisierungsthemen sind durch den Mitarbeiter fachlich zu koordinieren. Die im Markt angebotenen Technologien sind zu vergleichen, ein entsprechend notwendiges Wissen dafür ist aufzubauen. Dies sollte durch entsprechende Fachpresse, den Besuch von Seminaren und Messen oder die sinnvolle Nutzung von Beratern erfolgen. Der Mitarbeiter muss dazu die entsprechenden Dokumentationen für Vertretung und die Bereitschaftsdienste des RZ bereitstellen. Zu der Dokumentation gehören Checklisten, Ansprechpartner, Installationshinweise, Konfigurationen, Kochrezepte.... Der Spezialist sollte regelmäßig interne Schulungen durchführen, um für die Bereitschaftsdienste das Spezialthema zu vertiefen und die Mitarbeiter in die Dokumentation einzuführen. D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 9 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

140 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 6 Physische und umgebungsbezogene Sicherheit 6.1 Sicherheitszonen Siehe Sicherheit der Geräte Siehe Allgemeine Maßnahmen Der im perdata-rechenzentrum umgesetzte Sicherheitslevel zeichnet sich u.a. durch folgendende Merkmale aus: Alarm- und Brandfrühwarnanlage mit automatischer Inergen-Löschanlage, 4 unabhängigen Brandabschnitten, redundant ausgelegter Klimaanlage mehrere unabhängige Energieversorgungsanlagen 24/7 Servicezeit und physischer Schutz durch eine rund um die Uhr besetzte Sicherheitszentrale auf geschütztem Gelände mit mehreren Sicherheitszonen Zugriffskontrollsysteme und Registrierung aller Aktivitäten, Verschlüsselungsverfahren und Einsatz von mehrstufigen Firewall-Konzepten Datensicherheit durch Einsatz von Verfahren zur Unterstützung verschiedener Recovery-Verfahren, Qualitätskontrolle und Möglichkeit eines Sicherungstakts bis zu 15 Minuten. Proaktive Überwachung der Server, Netzwerkkomponenten und Anwendungen redundante Auslegung aller wichtigen Systeme intensive Zusammenarbeit mit Herstellern sichert einen hohen und stets aktuellen Ausbildungsstand unserer Mitarbeiter Festlegungen zum Verhalten bei Sicherheitsvorfällen und Störungen befinden sich im RZ-Handbuch und im Bereitschaftshandbuch: Notstrom Notfallszenarien für Leitungsausfälle/Komponenten Ausfall der Leitung perdata RZ Sperrung des RZ oder des perdata-gebäude RZ-Zutrittsregelungen und Katastrophenplan Hausordnung Neue Warte (VERTRAULICH, nur für den Dienstgebrauch) D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 10 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

141 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 7 Management der Kommunikation und des Betriebs Die Aussagen und Festlegungen zum Betrieb sind in verschiedenen Dokumenten enthalten 7.1 Betriebsverfahren und verantwortlichkeiten Für die einzelnen Betriebsverträge ist jeweils ein Verantwortlicher benannt. Die Aufgaben des Betriebsverantwortlichen umfassen im Einzelnen: Kenntnis der aktuellen Verträge und Überwachung der Wirtschaftlichkeit Kontrolle der Einhaltung der Servicelevel und sonstiger vertraglicher Verpflichtungen zentrale Koordinationsfunktion Richtung Kunden und perdata-intern Teilnahme an regelmäßigen Betriebsmeetings des Kunden Schnittstelle zum Vertrieb: inhaltliche Erarbeitung und Aktualisierung der Leistungsverträge, Durchführen von Kalkulationen in Abstimmung mit RZ bzw. anderen Bereichen Pflege des Kundenstatusberichtes incl. OP-Liste, Risikoliste, Stand Ticketbearbeitung Qualitätssicherung des Berichtswesens zum Kunden SAP: Zuweisen von Testplänen an Anwendungsbetreuer bei Einspielen von Patches; dafür sorgen, dass Patchtests durchgeführt werden, Freigabe zum produktiven Einspielen an SAP-Basis erteilen Erarbeiten und Führen eines Betriebskalenders 7.2 Systemplanung und abnahme Die detaillierte Systemplanung erfolgt nach Abschluss der Betriebsvertrages auf Basis der Kalkulation und der dafür getroffenen Annahmen. Die Abnahme wird durch den Kunden durchgeführt nach vorher abgestimmten Kriterien (bei kleinen Betriebsverträgen Vertragsbestandteil, ansonsten zusätzliches Abnahmekonzept. 7.3 Schutz vor bösartiger Software Zum Schutz vor bösartiger Software werden verschiedene Produkte eingesetzt: Virenschutz (PC, Server Firewall) Softwareverteilung: nur gestestete Software wird verteilt VM-Ware: für neue Serverumgebungen, von denen noch keine Betriebserfahrungen vorliegen Z.Z. im Test: Software zur Identifikation von nicht erlaubten oder veränderten Programmen (SecuSurf, Erkennung am Speicherbild) 7.4 Haushaltsorganisation Alle kostenrelevanten Kennzahlen (z.b. Deckungsbeitrag der Verträge, Investitionen, Gemeinkostenentwicklung oder Personalkosten) werden regelmäßig durch das Controlling den Betriebsverantwortlichen und Bereichsleitern zur Verfügung gestellt. Auf Basis dieser Zahlen und der geplanten Umsatzzahlen wird die jährliche Investitions- Kosten- und Personalplanung durchgeführt D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 11 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

142 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 7.5 Netzwerkmanagement/Sicherheitsinfrastruktur Bei perdata ist als Netzwerkmanagementsystem HP-OpenView im Einsatz. Zusätzliche Module wie SAP- Integration, Cisco-Works und IT-Operations sind im Einsatz. Zur Überwachung der kleineren Produktionssysteme oder Testsysteme wird ab Ende des Jahres nagios eingesetzt (geringere Lizenzkosten) Firewallprodukte Firewall bei perdata Das perdata-rechenzentrum hält für Kunden und für den Eigenbedarf mehrere Internetanbindungen als Festverbindungen mit den Bandbreiten 2 bis 10 MBit/s sowie als DSL-Zugang vor. Viele Kunden von perdata sind über Standleitungen bzw. Internet-VPN-Verbindungen angebunden. Beim Betrieb dieser Anbindungen setzt perdata auf Netzkomponenten mit hohen Qualitätsansprüchen Cisco-Produkte Funktionalität Es handelt sich um Firewall mit einem begrenzten Funktionsumfang, die aber bestimmte Aufgaben sicher beherrschen. Die Konfiguration von Regeln für alle notwendigen IP-basierenden Applikationen ist Bestandteil. Es sind allerdings nur eine einfache Log- und Fehleranalysen möglich. Weiterhin ist die Schaltung von VPN-Verbindungen in den Ausprägungen LAN-to-LAN und Client-to-LAN möglich. Hardware Bezeichnung Komponente Datendurchsatz Cisco PIX MBit/s Cisco PIX MBit/s Cisco PIX MBit/s Cisco PIX 525 / 535 >140 MBit/s Genua-Produkte Funktionalität Es handelt sich um einen zweistufigen Firewall für sehr hohe Sicherheitsanforderungen. Das Produkt ist zertifiziert nach BSI ITSEC E3/hoch und Common Criteria EAL 4+. Der Firewall unterstützt Paketfilter und Applikationsüberwachung mit integrierten Funktionen, wie Virenscanning, Spamfilter, Proxy für die wichtigsten Anwendungen (www, ftp, smtp, telnet ). Weiterhin ist die Schaltung von VPN-Verbindungen in den Ausprägungen LAN-to-LAN und Client-to-LAN möglich. Für hohe Betriebsanforderungen ist der Aufbau einer Hochverfügbarkeitslösung möglich. Der Firewall verfügt über umfangreiche Adminitrationstools für Anpassung der Proxies, sowie ausgeprägte Accountingund Logging-Funktionen. D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 12 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

143 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh Hardware Bezeichnung Komponente Datendurchsatz Ohne Virenscanner Mit Virenscanner GenuGate200 Bis 10 MBit/s Bis 2 MBit/s GenuGate400 Bis 20 MBit/s Bis 4 MBit/s GenuGate600 Bis 30 MBit/s Bis 10 MBit/s Ein noch höherer Durchsatz wird durch den Aufbau von Firewall-Clustern möglich Intrusion Detection System (IDS) Funktionalität Intrusion Detection Systeme sind Programme zur Erkennung von Angriffen auf Computernetze. perdata arbeitet bei der Vorbeugung gegen Angriffe mit diesen Systemen. Sensoren senden alle Daten zum einem Managementserver. An Hand von Signaturen werden die Meldungen generiert und ausgewertet. Die Signaturen sind die Kennzeichen der verschiedenen Angriffe. Die Signaturen müssen ständig aktualisiert werden. Dies übernimmt eine automatische Updatefunktion. In alle Ebenen des Systems sind benutzerdefinierte Regeln möglich. perdata übernimmt folgenden Leistungsumfang: Lieferung der System Installation und Konfiguration D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 13 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

144 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 8 Zugangskontrolle 8.1 Geschäftsanforderungen an die Zugangskontrolle In den unterschiedlichen Sicherheitszonen bei perdata werden verschiedene Zugangskontrollen durchgeführt. Im Bereich des Gebäudes Martin-Luther-Ring ist ein Zugang während der Geschäftszeiten Mo-Fr. 06:00 Uhr bis 20:00 Uhr nur mit Sicherheitschip möglich. Zusätzlich haben privilegierte Mitarbeiter die Möglichkeit, auch außerhalb dieser Zeiten im Gebäude zu arbeiten. Für diesen Zweck sind sie berechtigt, die Alarmanlage im benötigten Zugangsbereich außer Betrieb zu nehmen. Im Rechenzentrum ist neben dem normalen Zugangsschutz noch eine Alarmanlage pro Raum installiert und Videoüberwachung. Der Zugang zum Rechenzentrum ist nur für die Mitarbeiter des Rechenzentrums nach erfolgter Belehrung möglich. 8.2 Verwaltung der Zugriffsrechte der Benutzer Die Zugriffsrechte werden in den jeweiligen Systemen abgebildet. Die Beantragung und Dokumentation der Vergabe erfolgt prinzipiell nur schriftlich. In den Kundensystemen gibt es unterschiedliche Berechtigungssysteme. Die in den Berechtigungskonzepten beschriebenen Leistungen werden durch die Systemadministratoren umgesetzt. 8.3 Verantwortung der Benutzer Die Verwaltung der Benutzer wird zusätzlich zu den Einzelsystemen noch in einer zentralen Datenbank durchgeführt. Dieses Repository ist notwendig für die kurzfristige Sperrung von Mitarbeitern. Es kann festgestellt werden, in welchen Anwendungen derjenige zugelassen ist. 8.4 Netzzugriffskontrolle Die Netzzugriffskontrolle wird mit verschiedenen Systemen durchgeführt: HP-OV Netzwerkmanagementsystem: Überprüfung/Kontrolle auf IP-Ebene Firewall: Zugriffskontrolle für fremde Netzwerke IDS: Zugriffskontrolle der Serversysteme 8.5 Kontrolle des Betriebssystemzugriffs Die Kontrolle des Betriebssystemzugriffs wird in den Systemlogs erfasst und mit Systemmanagementtools regelmäßig ausgewertet. 8.6 Zugriffskontrolle für Anwendungen Die Zugriffskontrolle in den Anwendungen wird je nach Funktionalität des Systems in der Anwendung realisiert. Besondere Festlegungen zur Beachtung des Datenschutzes sind in den Betriebsverträgen festgeschrieben. D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 14 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

145 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 8.7 Überwachung von Systemzugriff und Systembenutzung Die Überwachung der Systemzugriffe und Systembenutzung wird soweit es die Anwendungen unterstützen und keine datenschutzrechlichen Bestimmungen dagegen sprechen, durchgeführt. Die Festlegungen dazu sind ebenfalls in den Betriebsverträgen enthalten und werden regelmäßig z.b. bei Revisionen überprüft. 8.8 Mobile Computing und Telearbeit Für mobile Computing bestehen im Sicherheitshandbuch besondere Festlegungen. Dort sind unter anderen folgende Themen geregelt: Einsatzzweck der Geräte Installationsvorschriften Patch- und Update-Management Zugangsvorschriften (Benutzung von verschlüsselten Verbindungen) Verschlüsselung von lokalen Daten Verbot privater Nutzung Verhalten bei Diebstahl D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 15 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

146 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 9 Systementwicklung und -wartung 9.1 Sicherheitsanforderungen an Systeme Alle zentralen System im Rechenzentrum sind mit RILO-Funktionalität ausgestattet und können aus der Ferne administriert bzw. stromlos geschalten werden. Passwortfestlegung: Alle Server werden mit einem einheitlichen Root-Passwort bzw. Admin-Passwort (8-stellig, gebildet über Satz mit Sonderzeichen) abgesichert, welches sich für die verschiedenen Kunden unterscheidet. Für spezielle Tätigkeiten müssen zusätzliche User auf den entsprechenden Servern angelegt werden. Als Benutzer root sind nur unbedingt notwendige Tätigkeiten durchzuführen. Die Passworte für root (alle Server lt. Serverinventarliste) werden monatlich geändert vom Bereitschaftsdienst, jeweils am 15. des Monats. Der Bereitschaftsdienst schickt eine Mail an die zu informierenden Mitarbeiter des RZ, das Passwort holt sich jeder vom Bereitschaftsdienst ab. Zusätzlich wird das aktuelle Passwort in einen verschlossenen Briefumschlag mit Datum versehen an den RZ-Leiter zur Aufbewahrung im Tresor übergeben. 9.2 Sicherheit in Anwendungssystemen Besonders bei der Auswahl der Systeme wird je nach notwendigem Schutzgrad die Sicherheit als Kriterium bewertet. Solche Sicherheitsmerkmale sind u.a.: Passwortmöglichkeiten Remote Managementfähigkeit Verwendete Verschlüsselungstechnologien Backup-Technologien Unterstützung Hochverfügbarkeitslösungen 9.3 Kryptographische Maßnahmen Derzeit werden Kryptografische Verfahren bei Netzverbindungen und Dateiverschlüsselung verwendet. 9.4 Sicherheit von Systemdateien Zur Sicherheit der Systemdateien gibt es in den Betriebshandbüchern entsprechende Festlegungen. 9.5 Sicherheit bei Entwicklungs- und Supportprozessen Alle Entwicklungen durchlaufen nach einem Einzeltest auf dem Entwicklungssystem einen Integrationstest auf dem Qualitätssicherungssystem. Es muss gewährleistet sein, dass dort aktuelle Daten des Produktionssystems für einen reellen Test vorhanden sind. Nach Abnahme der Entwicklungen erfolgt der Transport in das Produktionssystem (SAP-3- Systemlandschaft). D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 16 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

147 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 10 Management des kontinuierlichen Geschäftsbetriebs 10.1 Aspekte zur Aufrechterhaltung des Geschäftsbetriebs/Organisation der Bereitschaftsdienste Die Bereitschaftsdienste sind für die Einhaltung der vereinbarten Service-Level bzw. für die Wiederherstellung der Funktionalität verantwortlich. Änderungsanforderungen werden durch die jeweiligen Spezialisten realisiert und nur in Ausnahmefällen durch den Bereitschaftsdienst. Grundsätzlich sind die Bereitschaftsdienste immer erster Ansprechpartner bei Havarien und Fehlersuchen. Sie sind für die Koordination, den Einsatz weiterer interner oder externer Mitarbeiter, die Dokumentation der Änderungen und die Information der User verantwortlich. Bei Ausfällen, welche mehrere Anwender betrifft, ist das Service-Center zu benachrichtigen (Koordinator oder Vertretung), damit zentral Informationen heraus gegeben werden können und eine Doppel-Erfassung von Tickets vermieden wird. Bei Aufgaben außerhalb des Tätigkeitsbereiches haben die Bereitschaftsdienste für die ordnungsgemäße Weiterleitung der Aufgabe/Ticket zu sorgen. Der Bereitschaftsdienst hat ständig das AR-Tool offen zu haben und Tickets nach Prioritäten entsprechend abzuarbeiten. Die an der Bereitschaft teilnehmenden MA müssen sich über den Inhalt der Leistungsverträge informieren (im Outlook abgelegt). Besonders bei komplexen Problemen müssen die jeweiligen Spezialisten ihrer Verantwortung nachkommen und die Bereitschaftsdienste unterstützen Besondere Aufgaben und Bereitschaftsanforderungen aus Projekten sollen ebenfalls möglichst durch die Bereitschaft durchgeführt werden, um keine zusätzliche Bereitschaft einrichten zu müssen. Dazu müssen die Spezialisten die Bereitschaftsdienste einweisen Abarbeiten von Tickets/Problemen der Priorität 0 Bei Problemen der Priorität 0 ist der BL RZ (oder Vertreter) und der Kunden- oder anwendungsverantwortliche BL zu informieren (automatisch per SMS). Ist Ausfall nicht durch das Service-Center per Ticket an das RZ geleitet worden, ist das Service-Center über den Ausfall zu informieren, damit geeignete Kundeninformationen herausgegeben werden können. Das Service-Center erfasst dann zeitnah ein Ticket, der Bereitschaftsdienst RZ ist jedoch für die inhaltliche Richtigkeit verantwortlich (Ausfallzeit, Reaktionszeit, Lösung) Tages-Bereitschaft RZ Zeit: 07:00 Uhr bis 17:00 Uhr abwechselnd Mo-Fr vor Ort 06:00 Uhr bis 08:00 Uhr und 16:00 Uhr 20:00 Uhr Rufbereitschaft Personen: jeweils 2 MA (verschiedene Spezialisierungen, Netz, System oder DB) D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 17 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

148 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh Jeder Bereitschaftsdienst ist mit Notebook und Handy ausgestattet und kann damit von zu Hause aus bei Havarien kurzfristig eingreifen. Die RAS-Einrichtung erfolgt redundant (Martin-Luther-Ring und RZ). Der Zugriff soll über ISDN erfolgen. Für die Arbeitsfähigkeit mit den durch die perdata zur Verfügung gestellten Geräten ist der Bereitschaftsdienst selbst verantwortlich (Überprüfung vor Bereitschaftswoche). Während der gesamten Bereitschaftszeit muss eine Erreichbarkeit des Mitarbeiter per Telefon gewährleistet sein (mindestens für Service-Center und RZ-Operation). Der Bereitschaftsdienst hat dafür zu sorgen, dass während der gesamten Bereitschaftszeit kein unbesetztes Fenster bleibt (z.b. bei Anreise). Der Bereitschaftsdienst hat ständig das AR-Tool offen zu haben und Tickets nach Prioritäten entsprechend abzuarbeiten h Bereitschaft RZ Die 24-Stundebereitschaft wird zur Realisierung von Kundenverträgen mit 7*24 Stundenbetrieb (z.b. Universitätsklinikum Leipzig) und zur Absicherung von Havarien im Rechenzentrum durchgeführt. Üblicherweise nimmt dieser Mitarbeiter auch an der Tages-Bereitschaft teil. D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 18 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

149 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 11 Einhaltung der Verpflichtungen 11.1 Einhaltung gesetzlicher Verpflichtungen Zur Einhaltung von gesetzlichen Verpflichtungen sind z. B. folgende Dokumente relevant: Organweisung Datenschutz für MA (Auszug): 1. Es ist untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen. Die Untersagung besteht auch nach Beendigung einer Tätigkeit für die perdata fort. 2. Bestehende Vorschriften über den Umgang bzw. die Sicherung personenbezogener Daten sind zu beachten. 3. Zum Schutz personenbezogener Daten ist im Rahmen der zugewiesenen Aufgabe die notwendige Sorgfalt anzuwenden; festgestellte Mängel sind dem Datenschutzbeauftragten zu melden. Kundenverpflichtung bei Einsicht in Sicherheitsdokumente des RZ (Auszug):.1 Der Unterzeichnete nimmt zur Kenntnis, dass ihm mit der zur Verfügungsstellung dieser Unterlagen Informationen über perdata zugänglich gemacht werden, welche besonderen Geheimhaltungspflichten unterstehen..2 Er wird dem gemäß alle ihm zugänglich gemachten Unterlagen und Informationen streng vertraulich behandeln, solche Informationen nur zur Ausführung der ihm erteilten Aufträge verwenden und nicht berechtigten Personen in keiner Art und Form, weder ganz noch auszugsweise, zugänglich machen..3 Diese Dokumente einschließlich aller seiner Teile sind urheberrechtlich geschützt. Jede Verwertung bedarf der ausdrücklichen vorherigen Zustimmung von perdata. Urheberrechtsverletzungen werden von perdata zivil- und strafrechtlich verfolgt Überprüfungen der Sicherheitspolitik und der Einhaltung technischer Normen Der Beauftragte für Datensicherheit führt regelmäßig Workshops in den unterschiedlichen Abteilungen bei perdata zur Überprüfung und Einhaltung der Sicherheitspolitik und Einhaltung der technischen Normen durch. Er berichtet direkt an die Geschäftsführung 11.3 Überlegungen zum Systemaudit Systemaudits können sowohl bei Releasewechseln oder Jahresabschlüssen durchgeführt werden. Regelmäßig wird bei den Kundensystemen die von perdata verantworteten Sicherheitsmerkmale wie z. B. das Berechtigungssystem überprüft. D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 19 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

150 Projektarbeit Zusatzstudium IT-Sicherheit perdata Gesellschaft für Informationsverarbeitung mbh 12 Quellenverzeichnis KES (2005): Lexikon der Informationssicherheit, unter BSI (2005): BS 7799 Part 1 - Vergleich mit dem IT-Grundschutzhandbuch, unter LL-IT-SEC (2005): Leitlinie zur IT-Sicherheit, internes Dokument perdata, Ablage: H:\XTRA\IT- Sicherheit\Leitlinie IT-Sicherheit.doc RZ-ORG (2005): RZ-Orghandbuch, internes Dokument perdata, Ablage: \\PERFS01\VOL1\USER\Themen\RZ\!Organisation\RZ-Orghandbuch_V3_2005.doc, Punkt 5.1 RZ- Sicherheit D:\Dokumente und Einstellungen\braeueut.000\Lokale Seite 20 von 20 Einstellungen\Temporary Internet Files\OLK30\Projektarbeit für Zeitung.doc Holger Maschke Version 1.1 vom

151 Weiterbildendes Studium IT-Sicherheit Ruhr-Universität Bochum Projektarbeit WLAN-Einsatz im Lager Van Minh, Nguyen Juni 2005

152 1. EINFÜHRUNG WIRELESS LAN Grundlage IEEE LAN Standardisierung nach IEEE 802.x Physical Layers MAC-Layer IEEE Standards Weiterentwicklung SICHERHEIT WEP (Wired Equivalent Privacy) IEEE 802.1x und Extensible Authentication Protocol (EAP) WAP und i AES (Advanced Encryption Standard) und i WAP INFRASTRUKTUR Anforderung Technologie Sicherheitsmechanismus Realisierung ZUSAMMENFASSUNG ABBILDUNGSVERZEICHNIS QUELLENANGABEN WLAN-Einsatz im Lager 1 von 24

153 1. Einführung Um den Verbraucherschutz im Bereich der Europäischen Union zu gewährleisten, wurde eine EU-Verordnung 178/2002 verabschiedet, die besagt, dass die Hersteller und Handel für Lebensmittel verpflichteten, ab Januar 2005 eine lückenlose Rückverfolgung von Lebensmitteln zu gewährleisten. Das Ziel ist, auf Bedarf nachweisen zu können, welche Produktionschargen an welche Kunden (nicht Endverbraucher) geliefert wurden bzw. welche Rohstoffe in den Produktionschargen verwendet wurden. Die Nachweisbarkeit betrifft alle Produkte, also auch Handelsware, wobei hier lediglich die Herkunft und nicht die Rohstoffe wichtig sind. Die europäische Lebensmittelverordnung vorschreibt keine IT-basierte Lösung. Es wird nur für die Rückverfolgbarkeit eine Einrichtung von Systemen und Verfahren verlangt, aus denen die resultierenden Informationen der zuständigen Behörde unverzüglich bzw. innerhalb von 24 Stunden zur Verfügung stehen. Um die Rückverfolgbarkeit gewährleisten zu können, müssen die Lieferanten und Kunden, Stufen der Produktverarbeitung, Vertrieb, sowie EDV-Systeme/Verfahren in Betracht gezogen werden. Dabei werden die Wareneingänge dokumentiert, wer der Lieferant, wann und was zu liefern ist. Die Dokumentation über die Verarbeitungsstufen müssen auch gesammelt werden. Schließlich werden am Warenausgang die Informationen über die Menge und Kunden festgehalten. Damit können die Warenströme lückenlos nachgewiesen werden. Unter Verwendung von Barcodes, wobei der EAN-Strichcode (standardisierte International Artikelnummerierung) die Produkte und logistischen Einheiten unternehmensübergreifend identifizieren kann, wird eine schnelle und präzise Reaktion für die Rückverfolgbarkeit ermöglicht. Als Alternative zur Barcodenutzung kann RFID (Radio Frequency Identification) eingesetzt werden. Dabei kann ein Transponder, der aus einer Antenne bzw. Spule, einem Gehäuse und einem Microchip besteht, die nötige Informationen für die Rückverfolgbarkeit speichern. Die Kosten für die RFID sind zur Zeit noch hoch. Im Lager bewegen sich die ein- und ausgegangenen Waren ständig. Die Etiketten auf den Waren müssen eingelesen und archiviert werden. Die mit dem Kabel zu verlegende Einrichtung für solchen Arbeitsablauf ist einfach mit großem Aufwand verbunden. Der Einsatz vom Funk-Netz ist hier sehr gut geeignet. Die mobilen Handhelds können sich innerhalb des Geländes frei bewegt werden und sind trotzdem immer mit dem Netzwerk verbunden. Ein Funk-Netz soll als ein Teilprojekt im Lager realisiert werden. Sicherheitsmechanismen müssen auch hier besonders berücksichtigt werden. WLAN-Einsatz im Lager 2 von 24

154 2. Wireless LAN 2.1 Grundlage Im Folgenden werden die wichtigen Merkmale vom WLAN kurz vorgestellt. Viele Bücher beschreiben mehr Details über dieses Thema. Hier soll nur eine Übersicht über die Protokolle, die Übertragungstechnik und darüber hinaus die Sicherheitsmaßnahme dargestellt werden, welche die Planung und Entscheidung über den Aufbau der Infrastruktur des Funk-Netzes im Lager erleichtert. Komplexe Themen wie Modulationsverfahren der Hochfrequenztechnik oder Aufbau und dessen Funktionalität eines IEEE MAC-Frames werden also nicht detailliert behandelt bzw. nicht berücksichtigt. Im drahtlosen Netz bietet eine Kommunikation zwischen den Endgeräten und einem Zugangspunkt, Access Point (AP) genannt. Er ist für Funktionen wie Roaming, Sicherheit oder Filter zuständig. Damit ermöglicht und kontrolliert er die Kommunikation innerhalb eines WLANs, zwischen einzelnen WLANs, zwischen WLANs und kabelbasierten LANs Es gibt zwei Betriebsmodi vom WLAN: Ad-hoc-Netze: Keine Infrastruktur wird hier benötigt. Die Access Points fallen hier aus. Jedes Gerät kann direkt mit dem anderen innerhalb des vorgegebenen Übertragungsbereiches kommunizieren. Solche Netze können schnell aufgebaut werden. Infrastrukturbasierte Systemarchitektur: Alle Geräte mit ihrem zugeteilten Access Point innerhalb des Übertragungsbereiches bilden ein Basic Service Set (BSS). Mehrere BSS können über die Access Points zu einem Distribution System (DS) verbunden werden, da die Funkreichweite bei WLAN nicht so groß ist. Es entsteht somit ein Netz, das als Extended Service Set (ESS) genannt. Innerhalb von ESS kann BSS ohne zusätzliche Administration gewechselt werden. Dieser Vorgang heißt Roaming. Das Roaming funktioniert folgendes: Verlässt ein mobiler Anwender den Empfangsbereich eines Access Points und wechselt zur nächsten Zone, beginnt das Roaming. Dabei sucht die Station einen neuen Access Point, bei dem der Empfang besser ist. Bei passiver Suche hört die Station zum Finden anderer Netze in das Medium hinein, also z. B. den Versuch ein Beacon-Frame eines anderen Netzes zu finden. Beim aktiven Suchen wird eine Probe auf jedem Kanal gesendet und auf eine Antwort abgewartet. Die Antwort auf eine Probe sowie auf ein Beacon-Frame enthält alle nötige Information, um an einem neuen gefundenen BSS teilzunehmen. WLAN-Einsatz im Lager 3 von 24

155 Ethernet Portal Distribution System (DS) Access Point Access Point Laptop Arbeitsstation Arbeitsstation PDA PDA BSS 1 Basis Sevice Set Laptop BSS 2 Basis Sevice Set ESS Extended Service Set Abbildung 1: WLAN-Infrastruktur Weitere Komponente, die den Anschluss eines WLANs an einem z. B. Ethernet-LAN ermöglicht, wird als Portal bezeichnet. 2.2 IEEE LAN Standardisierung nach IEEE 802.x Die Protokolle der TCP/IP-Familie wurden in den 70-er Jahren für den Datenaustausch in heterogenen Netzwerken entwickelt und hat sich bereits durchgestzt, als die International Standardisation Organisation (ISO) ihr Modell eines Internet-Protokollstacks Open System Interconnection (OSI) veröffentlichte. Durch TCP/IP ist die Netzwerkverbindung einfacher realisiert worden. Die Abbildung 2 stellt einen Vergleich zwischen dem OSI- und dem TCP/IP-Modell mit einigen seiner wichtigsten Protokolle dar [1]. WLAN-Einsatz im Lager 4 von 24

156 OSI-Schicht Internet-Protokolle Internet Protokoll Suite TCP/IP 7 Application File Transfer Electronic Mail Terminal Emulation Usenet News Domain Name Service World Wide Web 6 5 Presentation Session File Transfer Protocol (FT P) RFC 959 Simple Mail Transfer Protocol (SMT P) RFC 821 Telnet Protocol (T elnet) RFC 854 Usenet News Transfer Protocol (NNTP) RFC 977 Domain Name Servive (DNS) RFC 1034 World Wide Web (WWW) RFC Application 4 Transport Transmission Control Protocol (TCP) RFC 793 User Datagram Protocol (UDP) RFC 768 Host to Host 3 Network ARP RFC 826 Internet Protocol (IP) RFC 791 Internet Control Message Protocol (ICMP) RFC 792 Internet Logical Link Control (LLC) 2 Datalink Media Access Control (MAC) 1 Physical Internet Working Ethernet Token Bus Token Ring Wireless LAN AnyLAN Network Access Twisted Koaxikabel Funk LWL Laser Abbildung 2: TCP/IP vs. OSI-Modell Die Arbeitsgruppe 802 entwickelt Standards für LAN und MAN, hauptsächlich aber Ethernet- Techniken. In den Standards werden die Physical und Data Link Layer besonders behandelt. Vom Projekt 802 werden die Schichten 1 und 2 als ein Ganzes gesehen und in die Bereiche LLC (Logical Link Control) und MAC (Media Access Control) geteilt. Das LLC ist für die Übertragung und den Zugriff auf die logische Schnittstelle zuständig. Das MAC umfasst die Steuerung des Zugriffs auf das Übertragungsmedium und ist damit für den fehlerfreien Transport der Daten zuständig. Für WLAN wurde IEEE standardisiert. Dieser Standard gliedert sich in die 802- Familie ein. Dabei wurde die Layers unterhalb der LLC spezifiziert. Logical Link Control (LLC) MAC Management Medium Access Control (MAC) Physical Layer Convergence Protocol (PLCP) PHY Management FHSS Frequency Hopping Spread Spectrum Physical Medium Dependant (PMD) DSSS Direct Sequence Spread Spectrum b/g OFDM Orthogonal Frequency Division Multiplexing a/h/g/j MIMO n (Zukunft) Infrarot IR Abbildung 3: Wireless LAN nach IEEE WLAN-Einsatz im Lager 5 von 24

157 In dieser Konfiguration übernimmt das Physical Medium Dependant (PMD) die Modulation und Kodierung, während das Physical Layer Convergence Protocol (PLCP) einer für alle physikalischen Ebenen gleiche Schnittstelle zur Zugriffskontrollebene (MAC) zur Verfügung stellt Physical Layers Der Physical Layer des IEEE Standard wird in zwei Schichten aufgeteilt. Unabhängig von den Übertragungsmedien sorgt die PLCP-Schicht für den Datenaustausch zwischen Stationen mit unterschiedlichen Geschwindigkeiten. Die medienabhängige PMD-Schicht ist für die Modulation der Daten zuständig und legt verschiedene Übertragungsverfahren fest. Infrarot (IR): Die Lichtübertragung liegt im Frequenzbereich von 850 bis 950 nm bei einer beschränkten Reichweite etwa auf 10m mit der Sendeleistung von 550 bis 2000 mw. Die Einsatzmöglichkeiten von IR sind sehr begrenzt. Frequency Hopping Spread Spectrum (FHSS): Bei diesem Verfahren wird die verfügbare Bandbreitebei b, also 2,4-GHz-Band (Industrial Scientific Medical, ISM-Band) in 79 Kanäle jeweils mit 1 MHz Bandbreite aufgeteilt. Anfang des Verbindungsaufbaus vereinbaren Sender und Empfänger eine Pseudozufallsfolge, nach der das Signal zeitlich (50Hz) versetzt auf verschiedene Kanäle versendet wird. Diese Technik ist einerseits sehr anfällig gegen Störungen, vor allem, wenn gestörte Frequenzen aus dem Sprungmuster ausgelassen werden. Der Aufwand bei FHSS andererseits auf der MAC-Ebene ist so hoch, da die Frequenzwechsel gesteuert und synchronisiert werden müssen. FHSS ist inzwischen überholt. Direct Sequence Spread Spectrum (DSSS): DSSS steht für gering Störanfälligkeit und eine daraus resultierende hohe Datenrate im Funk-LAN. Im Gegensatz zu FHSS werden die schmalbandigen Nutzdaten zuerst per Exklusiv-Oder (XOR) mit einer vordefinierten Chipping-Code (drahtlose IEEE verwendet den sogenannten Barker-Code mit der Sequenz , also Spreizfaktor 11) verknüpft. Das gespreizte Signal werden danach auf einen Träger moduliert. Durch diese analoge Modulation wird der Mittenfrequenz auf das lizenzfreie ISM-Band um 2,4 GHz angehoben. Dieses Signal wird dann schlussendlich übertragen. Als Modulationsverfahren kommt entweder Differential Binary Phase Shift Keying (BPSK) oder Differential Quadrature Phase Shift Keying (QPSK) zum Einsatz. BPSK ist sicher gegen Abhören bietet allerdings nur eine Datenrate von 1Mbit/s. QPSK verdoppelt die Datenrate durch ein anderes Kodierverfahren. WLAN-Einsatz im Lager 6 von 24

158 Ein Bit Ein "Chip" Ursprünglicher Datenstrom 1 0 Chipping-Code "Spreed"-codierte Datenstrom Abbildung 4: DSSS Verfahren Bei diesem Verfahren ist das ISM-Band in 11 Kanäle in USA bzw. 13 Kanäle in Europa unterteilt (2,412 GHz in 5Mhz-Schritten bis zu 2,472 GHz). Orthogonal Frequency Division Multiplexing (OFDM): OFDM ist ein Mehrträger- Modulationsverfahren zur drahtlosen Funkübertragung großer digitaler Datenmengen. Bei OFDM wird das Signal in viele kleinere, eng beieinander liegende Einzelsignale aufgeteilt, die parallel über verschiedene Frequenzen übertragen werden. OFDM verringert das genannte Übersprechen (crosstalk) bei der Signalübertragung. Zum Einsatz kommt OFDM im IEEE a im 5-GHz-Band (Unlicensed National Information Infrastructure, UNII-Band). Seit 2001 darf OFDM auch im 2,4 GHz-Band genutzt werden MAC-Layer Auf der MAC-Ebene sorgt der MAC-Layer einen gesicherten Datenaustausch. Da die Stationen in der Regel einem Basic Service Set (BSS) zugeordnet sind, müssen sie sich zunächst bei einem Access Point anmelden. Ein Zugriffverfahren muss es geben, das allen Stationen gleichberechtigt und auch kollisionsfrei wie beim Ethernet das Senden ermöglicht. IEEE definiert hier eine Distributed Coordination Function (DCF), die auf CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) basiert. Wie bei Ethernet-LANs übertragen WLANs den Datenstrom auch in Pakete (Fragmentierung) aufgeteilt, die dann jeweils am Stück über das Medium fließen. Der Vorteil der Aufteilung liegt darin, dass jedes Paket für sich auf Korrektheit geprüft und bei Bedarf neu verschickt werden kann. Bei DCF teilen sich alle Stationen kooperative das Medium. Dabei hören alle Stationen in das Medium hinein, ob gerade eine Übertragung läuft und warten gegebenenfalls auf deren Ende. Für den Mediumzugriff im WLAN sorgt eine feste Warteszeit, der Inter Frame Space (IFS) für eine Vorrangsteuerung. Ein weiteres, zufällig langes Päuschen (Backoff) wird benötigt, um zu verhindern, dass zwei Stationen gleichzeitig senden. Dieses Verfahren kann die Kollisionen zwar nicht absolute sicher vermeiden, senkt aber die Wahrscheinlichkeit dafür erheblich. WLAN-Einsatz im Lager 7 von 24

159 Da beim WLAN wird fast jedes Paket mit einem ACK auf MAC-Ebene (nicht mit Acknowledge bei TCP/IP zu tun) bestätigt wird, gibt es einen Mechanismus, der ACK und einige andere Verwaltungsfunktionen priorisiert. Der Empfänger eines Pakets darf sein ACK schon nach einer kurzen Verzögerung (Short IFS) absetzen, ohne Backoff zu warten. Alle anderen warten vor dem Backoff etwas länger (DIFS, Distributed IFS). Nach einem SIFS folgt kein Backoff, da ein SIFS nur verwendet wird, wenn es klar ist, welche Station als nächste senden darf. Wenn sich zwei Stationen gegenseitig nicht empfangen können, weil sie zu weit voneinander sind oder ein Hindernis zwischen ihnen liegt, entsteht bei Funknetzen typisch das Hidden- Station-Problem. Bei einem dazwischen befindlichen Empfänger würde ohne weitere Maßnahme häufig Kollisionen entstehen. Um das Problem zu vermeiden, wird ein RTS/CTS- Mechanismus eingesetzt. Dabei sendet eine Station statt des Datenpakets zunächst ein kurzes Request-to-Send (RTS), nachdem sie den DIFS und ihren Backoff abgewartet hat. Der Empfänger quittiert das RTS nach einem SIFS mit einem Clear-to-Send (CTS). Gleich danach kann der Sender nach einem SIFS sein Paket abschicken. Jede Station, die ein RTS oder CTS empfängt, hat anhand der darin enthaltenen Paketdauer ihren NAV (Network Allocation Vector) anzupassen. Der NAV gibt Sperrzeiten an, zu denen jede Station das Medium als belegt annimmt. Während einer Übertragung wird der NAV mehrfach nachgestellt, erst ein ACK setzt ihn zurück. Sender Empfänger / / / / / RTS CTS Daten ACK Zeit DIFS Backoff SIFS SIFS DIFS NAV Abbildung 5: RTS/CLT und NAV Da DCF in keiner Weise Bandbreitenreservierung und Quality of Service (QoS) unterstützt, hat die IEE eine optionale Zugriffsmethode spezifiziert, die Point Coorddinator Function (PCF). Hier steuert ein Point Coordinator, üblicherweise ein Access Point, den Zugriff auf das Medium. Dazu fragt der Access Point alle Stationen in Reihe nach, ob sie etwas zu senden haben (Polling). Die PSF verwendet den kürzesten IFS, den sogenannten Point Coordination Function Inter Frame Space (PIFS). Damit kann der Access Point schon das Senderrecht sichern, während nach der DCF arbeitende Stationen noch auf den Ablauf des DIFS warten müssen. Durch die Priorität des PCF-Zugriffs des Access Point entsteht ein konfliktfreier Zugriff auf das Medium. In der PCF-Phase (Contention Free Period, CFP) wird kein Backoff ausgeführt, stattdessen senden alle Stationen nur mit PIFS und SIFS. Die PCF- Phase ist zeitlich begrenzt, allerdings weiß jede Station, in welchem Raster sie liegt. Hat eine Station Daten zu senden, nachdem sie gerade abgefragt wurde, muss sie fast einen kompletten Zyklus warten. Dieses Problem geht der Standard e mittels der Enhanced Distributed Channel Access (EDCA), eine Weiterentwicklung von DCF (mit oder ohne Access Point) und HCF Controlled Channel Access (HCCA), eine Weiterentwicklung von PCF (Access Point vorrausgesetzt) an [2]. WLAN-Einsatz im Lager 8 von 24

160 2.3 IEEE Standards Im Juni 1997 wurde WLAN-Systeme vom IEEE (Institute of Electrical and Electronic Engineers) standardisiert. WLAN wird seither Schritt für Schritt für Unternehmensnetze und Multimediaanwendungen nachverbessert. Hier ist eine Überblick aller Standards [3]. IEEE-/Gruppe Beschreibung WLAN für 1-2 MBits/s (1997)auf dem 2,4-GHz-Band a WLAN bis 54 MBits/s auf dem 5-GHz-Band b Erweiterung von bis 11 MBits/s auf dem 2,4-GHz-Band b+ Bis 22 MBits/s auf dem 2,4-GHz-Band (Texas Instrument: nicht offiziell) b-cor Korrekturen zu b c Wireless Bridging zwischen APs d Anpassung an nationale Regelungen e Quality of Service und verbessertes Power Management (Multimedia-Anwendungen) f Roaming zwischen Access Points verschiendener Hersteller. Inter Access Point Protocol (IAPP) g Höhere Datenraten ab 20 MBits/s auf dem 2,4-GHz-Band h Ergänzung zu a für Europa: Dynamic Frequency Selection (DFS) und Transmit Power Protocol (TPC) i Verbesserte Sicherheitsmechanismen: AES, 802.1x j a auf 4,9-5-GHz-Band in Japan k Bessere Messung, Auswertung und Verwaltung der Funkparameter m Bereinigung von Fehlern aus vorausgegangenen Spezifikationen n Schnelleres WLAN mit Mbits/s (Zukunft) Tabelle 1: IEEE Standards WLAN-Einsatz im Lager 9 von 24

161 2.4 Weiterentwicklung Mit IEEE a ist die Entwicklungsarbeit noch nicht beendet. Die Übertragungsrate für beispielsweise Sprach- und Videoübertragung sind einfach noch niedrig und instabil. Eine Reihe weiterer Richtungen ist noch zu entwickeln, z. B.: Roaming: Obwohl alle WLAN-Komponenten den f-Standard unterstützen, funktioniert das Roaming nur so lange, wenn sich die Access Points in einem gleichen Ethernet-Segment befinden. SNMT (Simple Network Management Protocol): Im WLAN fehlt bisher SNMP-MIBs (Simple Network Management Protocol Management Information Base), womit zum Beispiel die Funkdichte gemessen, die Funkstärke geregelt und die Kanäle gesteuert werden können. Derzeit lösen die Hersteller das Problem mit ihren nicht standardisierten Management. Derzeit liegt die standardisierte Übertragungsrate bei 54 MBit/s. Diese Geschwindigkeit bietet sowohl das 2,4- (802.11g) als auch 5-GHz-Band (802.11a/h). Das IEEE-Gremium arbeitet seit einiger Zeit an die Gruppe n, um die Übertragungsgeschwindigkeit im WLAN zu erhöhen. Dabei bilden mehrere Antennen zu einer Gruppe und liefern ein stärkeres Empfangssignal, was mehr Durchsatz bei gleicher Reichweite bringt. Außerdem bekommt der Empfänger zusätzlich eine räumliche Information, die sich zur Steigerung der Übertragungsrate ausnutzen lässt. Dieses Verfahren zur Verbesserung der Funkverbildung zwischen Basisstation und Mobilgeräten bezeichnet man als Multiple Input Multiple Out (MIMO). Diese Technik wird auch in den anderen Standardisierungsgremien als aussichtreich betrachtet (IEEE für WiMax). Der Standard IEEE n wird realistisch erst im Jahr 2007 verabschiedet [4]. 3. Sicherheit Drahtlose Datennetze benötigen Sicherheitsmaßnahmen genauso wie drahtgebundene Netze. Denn die Gefahren, die z. B. durch interne oder externe Angreifer oder Abhören bestehen, müssen erkannt, analysiert und entsprechend abgewehrt werden. Da es keinen absoluten Schutz für Funk-Netze gibt, sollten vorhandene Maßnahmen gegen die Gefahren verwendet werden. Dabei sollen die Sicherheitslösungen unter folgenden Aspekten berücksichtigt werden. Authentizität: eindeutige Identifikation eines Kommunikationspartners. Vertraulichkeit: Schutz vor dem Ausspähen von Daten. Integrität: Schutz vor absichtlicher Verfälschung. WLAN-Einsatz im Lager 10 von 24

162 3.1 WEP (Wired Equivalent Privacy) Da sich die Funkwellen frei ausbreiten, ist es mit geringem Aufwand möglich den Netzwerkverkehr abzuhören. Deshalb bietet der Standard mit WEP die Möglichkeit, die Daten zu verschlüsseln. WEP wird heute in fast allen Geräten implementiert. Leider hat das Design von WEP Fehler, welcher es ermöglicht, die Verschlüsselung zu brechen. WEP basiert auf der Stromchiffre RC4 (Rivest Cipher 4 von RSA Data Security, Inc.). Mit diesem Verfahren werden die Chiffratdaten erzeugt, indem die Klardaten bitweise mit einem pseudozufälligen Bitstrom XOR-verknüpft, das aus einem Schlüssel (eine Zeichenkette von wahlweise 40 oder optional 104 Bit) und einem Initialisierungsvektor (IV, 24 Bit) generiert wird. Für jedes Datenpaket wird eine 32-Bit CRC-Checksumme berechnet. Anschließend wird das Datenpaket mit der angehängten Checksumme verschlüsselt. Auf der Empfängerseite wird das Paket entschlüsselt und die Checksumme überprüft. Die Daten kommen nur an, falls die Checksumme korrekt ist. Daten CRC Daten + CRC WEP-Schlüssel + Generator XOR Aktueller IV +1 IV Daten + CRC (verschlüsselt) Abbildung 6: Arbeitsweise von WEP RC4 ist schnell im Gegensatz zu z. B. DES, gilt aber mittlerweile nicht ausreichend sicher und sollte daher nicht mehr verwendet werden. Es gibt mittlerweile Tools, die WEP in Minuten knacken können [5]. 3.2 IEEE 802.1x und Extensible Authentication Protocol (EAP) Zur Erhöhung der Sicherheit im WLAN ist über den Standard hinaus noch zusätzliche technische Maßnahme erforderlich. Hier soll hinter dem Access Point ein VPN-Gateway (Virtual Privat Network) installiert werden. Für den Verbindungsaufbau zwischen Client und VPN-Gateway wird ein kryptographischer Tunnel (IPSec oder SSL Version3 / TLS) eingerichtet. Heutzutage gibt es im Markt bereits die mit VPN-Funktionalität integrierte Access Points. Für die Authentisierung wird der Standard IEEE 802.1x eingesetzt, der auf Extensible Authentication Protocol (EAP) basiert, das ursprünglich für die Verwendung im Point-to- Point-Protocol (PPP) entwickelt wurde. Mit Hilfe vom EAP können zwei Kommunikationspartner vor der eigentlichen Authentifizierung aushandeln, welche Authentifizierungsmethode angewandt werden soll. EAP stellt verschiedene WLAN-Einsatz im Lager 11 von 24

163 Authentisierungsmethoden wie EAP-MD5 (Message Digist Algorithmus), EAP-TLS (Transport Layer Security), EAP-TTLS (Tunnel TLS), EAP-PEAP (Protected EAP) zur Verfügung. Folgende Tabelle soll eine kurze Übersicht geben: EAP- Standard Client/Server Dynamisches WEP Beschreibung Authentizierung Schlüsselmanagement Variante EAP-MD5 RFC 2284 Nein Nein passwortbasierte Authentisierung, bei der MD5 Hasch Algorithmen verwendet werde. EAP-TLS RFC 2716 basiert auf TLS RFC 2246 EAP-TTLS Internet Draft [ 6] Ja Ja zertifikatsbasierte Authentisierung unter Anwendung Protokoll TLS nach RFC 2246 (aktuell entspricht SSL v3). Ja Ja zertifikatbasierte Authentisierung. Die Überprüfung des Clients geht anders vor, als EAP-TLS. EAP-PEAP Internet Draft [ 7] Ja Ja unter Anwendung von SSL/TLS Handshake zum Aufbau einer gesicherte Verbindung. Passwortübertragung erfolgt danach mittels MS-CHAPv2. Tabelle 2: EAP-Variante Die Nutzung von Zertifikaten erfordert eine Public Key Infrastructure (PKI) zum Management sowie zur Verteilung und Kontrolle dieser Zertifikate. Ein von der sog. Certification Authority (CA) ausgestelltes Zertifikat (CERT) stellt sicher, zu welchem sog. Public Key der Inhaber gehört und wie er im Zertifikat (Benutzer oder System) benannt ist. Dieser Inhaber besitzt auch einen passenden sog. Privat Key, um z. B. Nachrichten, die mit seinem Public Key verschlüsselt wurden, auch wieder entschlüsselt zu können. Der Privat Key kann auch dazu genutzt werden, um den Sender einer Nachricht eindeutig zu identifizieren. Nur der Inhaber des Privat Keys kann eine Nachricht so verschlüsseln, dass sie mit dem Public Key entschlüsseln werden kann. Im Falle einer digitalen Signatur kann der Sender auch einen Hash-Wert einer Nachricht bilden und diesen Wert mittels seines Private Keys signieren und der Nachricht beilegen. Der Empfänger kann nun einen Hash-Wert berechnen, indem er die Nachricht mittels des gleichen Hashing Algorithmus bearbeitet. Dieser berechnete Wert wird mit dem mittels Privat Key des Senders verschlüsselten und mittels Public Key entschlüsselten Wert hier verglichen. Nachricht ist also unverfälscht, falls die Hash-Werte gleich sind. In einer 802.1x-Umgebung kommunizieren die Netzwerkkomponenten zur Authentisierung meist mit einem Radius Server, der wiederum im Falle von EAP-TLS an eine PKI angebunden ist. Eine herkömmliche SSL-Authentisierung, z. B. bei Aufbau einer https-verbindung, findet nur eine sog. one way oder server side Authentifizierung statt. Hier authentisiert sich der Server beim Client. Der Client prüft die Identität des Servers und dessen Zertifikats durch den Vergleich des vom CA ausgestellten Server-Zertifikats mit einer lokalen Liste von sog. Trusted Root CA s. Diese Liste befindet sich im Falle einer https-verbindung typischerweise im Browser des Clients. Der SSL-Handshake wird hier über TCP durchgeführt. Im Gegensatz WLAN-Einsatz im Lager 12 von 24

164 zum SSL-Handshake führt EAP-TLS eine Authentisierung sowohl des Clients al auch des Servers (Authentication Server) über das EAP- bzw. EAPoL-Protokoll durch. Die Kommunikation zwischen dem Client und Server wird dadurch gesichert, dass sich beide gegenseitig durch ein Shared Secret authentifizieren und den Datentransfer verschlüsseln können. Abbildung 7 [8] zeigt den grundsätzlichen Ablauf einer Sitzung mittels EAP. In der ersten Phase meldet sich der Client gewohnt beim AP an. In diesem Zustand kann er beim normalen WEP über den Access Point Daten senden und empfangen, nicht jedoch bei EAP, denn in diesem Zustand hat der Client noch keinen Schlüssel, mit dem der Datenverkehr vor Abhören geschützt wird. Der Access Point spielt hier als Mittelmann zwischen Client und Server und muss dabei den Inhalt der vom Client kommenden Pakete nicht prüfen. Er verpackt nur diese Pakete in sog. RADIUS-Anfragen um und leitet sie an einen Authentifizierungsserver weiter, im Normalfall einen RADIUS-Server (Remote Authentication Dial-In Usere Service). Umgekehrt wandelt der Access Point vom RADIUS-Server kommende Antworten in EAP- Pakete um und reicht sie an den Client weiter. Wie in der Tabelle 2 gezeigt hat, gibt es mehrere Authentifizierungsverfahren, die in diesem Tunnel angewendet werden können. Ein gängiges Verfahren z. B. TLS, bei dem Server und Client Zertifikate austauschen, ein anderes ist TTLS, bei dem nur der Server ein Zertifikat liefert der Client authentifiziert sich über einen Benutzernamen und ein Passwort. Nachdem die Authentifizierungsphase angeschlossen ist, ist ein auch ohne WEP-Verschlüsselung gesicherter Tunnel entstanden. Dazu schickt der RADIUS-Server das sogenannte Master Secret, einen während der Verhandlung berechneten Schlüssel, zum Access Point. Mit diesem Schlüssel übernimmt der Access Point jetzt den gebildeten Tunnel und kann ihn nutzen, um dem Client die eigentlichen WEP-Schlüssel zu schicken. Je nach Fähigkeit der Access Points kann das ein echter Sitzungsschlüssel sein, der nur für die Datenpakete zwischen Access Point und genau diesem Client benutzt wird oder ein Gruppenschlüssel, den der Access Point für die Kommunikation mit mehreren Clients benutzt. Der Vorteil dieses Verfahren besteht darin, dass der Access Point über den EAP-Tunnel die WEP-Schlüssel regelmäßig wechseln kann, ein sog. Rekeying. Die WEP-Schlüssel lassen sich auf diese Art gegen andere ersetzen, lange bevor sie durch IV-Kollision Gefahr laufen, geknackt zu werden. Weiterer Vorteil ist die einfache Implementierung im Access Point mit geringen Erweiterungen auf existierender Hardware. Nachteilig ist hier die Pflege des zentralen RADIUS-Servers. WLAN-Einsatz im Lager 13 von 24

165 RADIUS-Server Client Access Point WLAN-Anmeldung EAP/802.1x-Verhandlung Mitteilung Master Secret Sitzungsschlüssel normaler Datenverkehr neuer Sitzungsschlüssel weiterer normaler Datenverkehr Abbildung 7: Ablauf einer WLAN-Sitzung mit EAP/802.1x Zu beachten ist, dass 802.1x nur Authentisierung bietet und keine Sicherheitslösung darstellt. Daher muss 802.1x zusammen mit TKIP/Michael wie in WPA bzw i verwendet werden. 3.3 WAP und i Mitte 2004 wurde der Standard IEEE i für die Sicherheit im Funk-LAN verabschiedet. Die Sicherarchitektur umfasst folgende Gesichtpunkte: Für die Vertraulichkeit und Integrität werden sowohl ein neues auf AES (Advanced Encryption Standard) basierendes Protokoll angeboten als auch ein auf WEP basierende Kompatibilitätslösung, die TKIP (Temporal Key Integrity Protocol) genannt wird. Authentisierung und Schlüsselmanagement basieren auf den Standard IEEE 802.1x Ende 2002 hat die Wi-Fi-Alliance bekannt gegeben, dass auf Entwurf von IEEE i basierende TKIP und 802.1x unter dem Namen Wi-Fi-Protected Access (WPA) unterstützen. Dabei wird 802.1x für die Authentisierung und das Schlüsselmanagement beim großen Funk- LAN optional eingesetzt. Im kleineren Funk-LAN werden weiterhin Schlüssel manuell verteilt. TKIP verwendet weiterhin WEP, jedoch in erweiterter Form. Als neue Komponente wird dem unverschlüsselten Paket neben der CRC-Checksumme noch einen zusätzlichen Prüfwert angehängt, den Michael-MIC (Message Integrity Check). Es handelt sich um einen für WLAN entwickelten Hash-Algorithmus, der mit sehr wenig Rechenleistung auskommt. Obwohl der Schlüssel vom Michael nur 64-Bit lang ist, entspricht WLAN-Einsatz im Lager 14 von 24

166 seine effektive Stärke etwa 40 Bit. Dies wurde allerdings als hinreichend angesehen, da ein Angreifer erst einmal TKIP-Komponenten brechen müsste, bevor er gefälschte Datenpakete erzeugen kann. Der Michael-Hash stellt jedoch keine besonders hohe krytographische Hürde dar, deswegen definiert WPA Gegenmaßnahmen, wenn eine WLAN-Karte mehr als zwei Michael-Fehler pro Minute erkennt: Sowohl Client als auch AP brechen dann für eine Minute den Datentransfer ab und handeln danach TKIP- und Michael-Schlüssel neu aus. Die Pakete können mit Hilfe vom Michael nicht verfälscht werden, aber Michael kann keine Replay-Attack verhindern. TKIP verwendet ein sogenanntes Key-Mixing, wobei der eigentliche Schlüssel mit dem im Paket erhaltene Initialisierungsvektor (IV) zusammen in zwei Phasen durchläuft. Den Initialisierungsvektor ist jetzt 48 statt 24 Bit lang und zwecks Rechenzeitoptimierung in zwei Teile geteilt: einen 16 Bit langen Lo-Teil und einen 32 Bit langen Hi-Teil. In der ersten Phase braucht der WLAN-Prozessor nur alle Pakete zu durchlaufen. Hier mischt TKIP noch die MAC-Adresse des Senders ein. Auf dieser Weise ist sichergestellt, dass eine Verwendung gleicher IVs von verschiedenen Sendern nicht zu identischen RC4-Schlüsseln führt. Die zweite benutzt die Ausgabe der ersten Phase sowie den Lo-Teil des IV, um den eigentlichen Schlüssel zu erstellen. Im Gegensatz zu WEP müssen die vom Paket zu Paket zu verwendenden IVs monoton ansteigen, der Empfänger muss die Phase 1 auch nur für alle empfangenen Pakete durchlaufen. Der Entschlüsselungsteil von TKIP ist gehalten, diese Sequentialität zu überprüfen und Pakete zu verwerfen, die einen bereits benutzten IV erhalten, was Replay-Attacken verhindern. Daten Michael-Schlüssel Quell-MAC-Adresse Michael TKIP-Schlüssel Daten + Michael CRC Key-Mixing 1 (Phase 1) Daten + Michael + CRC Key Mixing 2 (Phase 2) Generator XOR IVHi IVLo +1 IVHi IVLo Daten + Micahel + CRC (verschlüsselt) Abbildung 8: Arbeitsweise von TKIP/Michael Wie bereits erwähnt, bietet EAP/802.1x Möglichkeit, dem Client am Anfang einer Sitzung die dafür gültigen Schlüssel mitzuteilen. Wie in Abbildung 7 zeigt, dass der Access Point nach Erhalt des Master Secret vom RADIUS-Server die WEP-Schlüssel an den Client übermittelt. Genau diese Phase wird durch neu definierte Key-Handshake ersetzt. Der Key-Handshake ist in zwei Phasen geteilt: Zuerst den Pairwise Key, dann den Group Key. Der Handshake besteht also aus Paaren von Paketen wie in Abbildung 9 dargestellt wird. Das erste Pärchen dient dazu, dass der Client und Access Point für die Verhandlung spezifische Zufallswerten (Nonces) austauschen. Das auf beiden Seiten bereits bekannte Master Secret wird dann mit WLAN-Einsatz im Lager 15 von 24

167 diesem Nonces gemischt. Nach einem festgelegten Hash-Verfahren werden weitere Schlüssel generiert, die zum einem dem Schutz des weiteren Austausch dienen und zum anderen als der Paiswise-Key für diese Station genutzt werden. Das Master Secret wird nicht direkt verwendet. Es lässt sich später für die eventuell notwendige Neuverhandlungen wieder verwenden. Im zweiten Pärchen gibt der Access Point dem Client Anweisung, den berechneten TKIP-Sitzungsschlüssel zu installieren. Der Access Point wird auch diesen Schritt tun, sobald der Client Anweisung durchgeführt hat und dies bestätigt. Damit ist der Pairwise-Handshake abgeschlossen. Jetzt können Client und Access Point Daten per TKIP austauschen. Jedoch muss der Access Point in diesem Zeitpunk noch einen weiteren Schlüssel übermitteln, den Group Key, um Broadcast- und Multicast-Pakete gleichzeitig an alle Stationen zu schicken. Nach erfolgreichem Group-Key-Handshake kann der Access Point den Client endlich für den normalen Datentransfer freischalten. Wenn ältere Access Points keinen Pairwise-Key unterstützen, wird nur Group Key installiert. Der Group-Key-Handshake läuft im Klartext ab. Eine Verschlüsselung in den EAP-Paketen verhindern, dass ein Angreifer die Schlüssel einfach mitlesen kann. Client Access Point 1 (Send ANonce) 2 ( Send SAnonce) 3 (Install Pairw ise Key) 4 (Pairw ise Key installed) 1 (Install Group Key) 2 (Group Key installed) Abbildung 9: Key-Handshake bei WPA Der Handshake bei WPA läuft hier grundsätzlich ab, so dass sich der Anwender weder um TKIP- noch Michael-Schlüssel kümmern muss. In Umgebungen, in denen kein RADIUS- Server zu Erteilung des Master-Secrets vorhanden ist, ermöglicht WPA eine Authentifizierung über ein PSK-Verfahren (Preshared Key). Dabei muss sowohl auf dem AP als auch auf allen Stationen eine zwischen 8 und 64 Zeichen lang Passphrase eingegeben werden. Daraus wird das Master Secret zusammen mit dem Service Set Identity (SSID) über ein Hash-Verfahren berechnet. Das Master Secret ist also konstant in einem PSK-Netz. Die Nonces sorgen dafür, dass immer unterschiedliche TKIP-Schlüssel erzeugt werden. Als verbessertes Verschlüsselungsverfahren bietet WPA-Standard TKIP/Michael. Mit Weiterentwicklung des i wurde das AES/CCM-Verfahren (Advanced Encryption Standard / Counter with CBC-MAC) hinzugenommen. Damit ist heutzutage in einem WPA- WLAN-Einsatz im Lager 16 von 24

168 Netz möglich, dass einige Clients über TKIP mit dem Access Point kommunizieren, andere jedoch über AES. 3.4 AES (Advanced Encryption Standard) und i Wie im vorherigen Abschnitt erwähnt, hat WPA eine Reihe von Konzepten in i vorweggenommen. Hauptsächlich fällt hier die Verwendung eines neuen Verschlüsselungsverfahrens auf, nämlich AES-CCM (Counter-Mode with CBC-MAC; CBC- MAC steht für Cipher Block Chaining Message Authentication Code). CCM bezieht sich auf die Art, wie AES auf WLAN-Pakete angewendet wird. AES ist ein Block-Cipher. Dabei wird immer gleich ein ganzer Datenblock (im Falle von AES-CCM 16 Byte) am Stück verschlüsselt. AES selber wird dabei sowohl für die Erzeugung des MIC als auch für die Verschlüsselung im Chained Mode angewendet. In diesem Fall werden für jeden AES- Datenblock entweder veränderte Eingangsdaten oder die Ergebnisse des letzten Schrittes verwendet, so dass gleiche Klartextdaten von Schritt zu Schritt einen unterschiedlichen Schlüsseltext ergeben. Die Abbildung10 [9] deutet die Komplexität von CCM an, weshalb CCM nur in Hardware effizient implementiert werden kann. Bei softwarebasierten Implementationen erreichen WLAN-Prozessoren auf den normalen Access Points nicht den Durchsatz moderner WLANs. Abbildung 10: AES Im Gegensatz zu TKIP verwendet AES nur einen 128 Bit langen Schlüssel, mit dem sowohl die Verschlüsselung als auch der Schutz gegen Paketverfälschung erreicht wird. Des weiteren ist CCM voll symmetrisch, d.h. es wird der gleiche Schlüssel in beide Kommunikationsrichtungen angewendet. Damit ist CCM in seiner Anwendung unkomplizierter als TKIP. Wie WLAN-Einsatz im Lager 17 von 24

169 TKIP verwendet CCM einen 48 Bit langen Initial Vector in jedem Paket und somit ist eine IV-Wiederholung in der Praxis ausgeschlossen. Bei schnellen Anwendungen wie z. B. Einsatz von WLAN für Sprache muss das Roaming schnell sein, denn Unterbrechungen von wenig 100 Millisekunden stören bereits die Telefongesprächen. Eine vollständige Authentifizierung über 802.1x, inklusive der folgenden Schlüsselverhandlung mit dem Access Point dauert deutlich langer. Als erste Maßnahme wurde deshalb PMK-Caching (Pairwise Master Key) eingeführt. Wenn der Client an einem Access Point wechselt, an dem er bereits früher angemeldet war, muss er sich nicht nochmals authentifizieren, denn der Access Point hat das PMK mit einer Kennung, der sog. PMKID an den Client übermittelt. Bei PSK-basierten WLANs ist dies nicht erforderlich, denn dort ist das PMK überall gleich und bekannt. 3.5 WAP2 Die Herstellervereinigung Wi-Fi Alliance hat zum 1. September 2004 mit der Zertifizierung von WLAN-Geräten mit WPA2 begonnen. WPA2 ist der Nachfolger des WPA und entspricht dem IEEE i. Während WPA das Temporal Key Integrity Protocol (TKIP) verwendet, setzt WPA2 jetzt auf AES. WPA2 kann in einem Personal- oder einem Enterprise-Modus genutzt werden. Im Personal- Modus müssen beide Stellen, zwischen denen die WLAN-Verbindung aufgebaut werden soll, das selbe zuvor vereinbarte Passwort eingeben. Eine andere Möglichkeit ist der Einsatz in der Regel eines RADIUS-Servers mittels IEEE 802.1x / EAP zur Authentifikation. WPA2 ist abwärtskompatibel zu WPA aber nicht zu WEP. WLAN-Einsatz im Lager 18 von 24

170 4. Infrastruktur Als Teilprojekt der Rückverfolgung der Produkte soll die Hardware zunächst geplant, getestet und schließlich eingesetzt werden. Parallel dazu wird ein Tool entwickelt, das als Schnittstelle für die Kommunikation zwischen Vertriebs- und Logistiksysteme dient. Diese Schnittstelle bildet den gesamten Prozess im Lager ab und leitet die Daten an einen Server weiter, der die Etikettendaten für die Rückverfolgung archiviert. Im Folgenden beschränken sich die Projektphasen auf den Zusammenhang mit der WLAN-Realisierung im Lager. Anforderung Technologie Sicherheit Lösung Pilot Rollout Ziel Analyse Lösung und Test Aktivierung Kommunikation, Dokumentation, Projektmanagement Abbildung 11: Projektphasen 4.1 Anforderung Aller erste muss geklärt werden, wo das WLAN genau in welchem Bereich im Lager zum Einsatz kommt und wie viele Mitarbeiter dort diese Technologie nutzen. Dabei wird auch die Anwendung in Frage gestellt, damit die entsprechende Bandbreite kalkuliert werden kann. Dazu sind folgende Punkte zu berücksichtigen: - Übersichtplan des Lagers. Das Abdeckungsgebiet muss genau beschrieben werden. Dadurch können Access Points unter richtiger Bedingung z. B. keine Hindernisse durch Betonwände und genauer Anzahl platziert werden. - Anzahl der mobilen Handhelds: Die Datenrate sinkt mit der zunehmenden Anzahl der mobilen Handhelds, die gleichzeitig in selber Funkzelle zum Einsatz kommen. - Sonstige Hardwarekomponente, z. B. Ersatzgeräte, müssen auch mitkalkuliert werden. - Möglichkeit zur Erweiterung der Infrastruktur. 4.2 Technologie Es gibt derzeit drei WLAN-Standards: b und g für das 2,4-GHz-Band sowie a/h für das 5-GHz-Band. Davon ist b ist am weitesten mit Brutto-Datenrate von 11 MBit/s verbreitet. Die Preise für die Komponenten sind start gesunken. Die Tabelle 3 gibt einen Vergleich der zur Zeit eingesetzten IEEE Standards. WLAN-Einsatz im Lager 19 von 24

171 802.11b g a / h Datenübertragungsrate 5,5 11 MBit/s 6 54 MBit/s 6 54 MBit/s (Brutto) Datenübertragungsrate 5 Mbits/s 2 16Mbit/s 32 Mbit/s (Netto) Frequenzband 2,4 2,4835 GHz 2,4 2,4835 GHz 5,15 GHz 5,35 GHz und 5,47 GHz 5,735 GHz Modulationsverfahren DSSS DSSS - OFDM OFDM Reichweite (innen) 30 bis 40 m 20 bis 40 m 30 m Reichweite (außen) 30 bis 100 m 30 bis 100 m 70 m Sendeleistung, maximal 100mW 100 mw 30 mw Tabelle 3: Vergleich der Standards Für den Einsatz im Lager wurde der Standard b entschieden. Die Netto-Datenrate von etwa 5 MBit/s reicht für das Scannen von Etiketten völlig aus. Sämtliche WLAN-Geräte wurden von der Firma Nortel geliefert. Die Einstellung und deren Zusammenwirkung der Geräte gleicher Firma bringt den Vorteil, dass sie miteinander kompatibel sind. 4.3 Sicherheitsmechanismus Über den IEEE hinaus sind zusätzliche technische Maßnahmen erforderlich. Die Maßnahmen lassen sich optional unter den Aspekten Authentisierung, Verschlüsselung und Integritätssicherung miteinander zu kombinieren. Die Sicherheitsmaßnahmen stehen in ganz verschiedenen Schichten zur Verfügung. anwendungsspezifische Verfahren (PGP, S/MIME, SSH...) Anwendnung Transport Layer Security (Secure Sockets Layer) IPSec VPN-Techniken WEP, WPA, i Transport Internet Subnetz Abbildung 12: Einordnung verschiedener Techniken Einige folgende Punkte sollen hier in Betracht gezogen werden, die das eigene WLAN sicher machen. Es gibt immer Kleinigkeiten, welche die Sicherheit mehr erhöhen. Wichtig ist auch, sich regelmäßig zu informieren, um entsprechende Gegenmaßnahmen zu ergreifen. Will man wie im wirklichen Leben ein Gebäude schützen, so müssen Tür und Schloss gebaut und installiert werden, um nur die befugte Person eintreten zu lassen. Dies führt zum Ziel, dass nur berechtigte Client und Access Point in einem VPN miteinander kommunizieren zu lassen. Im Kapitel 3 wurden die derzeit vorhandenen Sicherheitsmechanismen nach IEEE vorgestellt. Darüber hinaus sind andere Techniken (siehe Abbildung 12) alternativ, WLAN-Einsatz im Lager 20 von 24

172 aber auch Kombinationen sind oft sinnvoll. Im Lager wurde WPA mit Preshared Key aufgrund der einfachen Anwendung verwendet. Die Aktivität im Gebäude soll auch rund um die Uhr überwacht werden. Hier hilft sicher eine Kamera. Beim WLAN muss der Luftraum überwacht werden, um Eindringlinge und Gefährdungen abzuwehren. Daher soll eine komplette Sicht über Luftraum mit sämtlichen WLAN-Komponenten wie Access Points, Handhelds und deren Eigenschaften erfassen und überwacht werden. Einige zusätzliche Maßnahmen sollen noch für den verbesserten Schutz und optimale Nutzung des WLANs durch eine Reihe von den Einstellungen der Access Points aufgegriffen werden, wie z. B. - die Adressraum soll möglichst klein eingestellt werden, - Sendleistung am Access Point optimieren, damit wird nur das gewünschte Gebiet funktechnisch versorgt, - Firmware Upgrade durchführen. 4.4 Realisierung Das Funk-Netz für das Lager befindet sich im völlig anderen Subnet. Hier ist kein VLAN nötig. Unter dem Einsatz der Nortel-Geräte wird der Luftraum herstellerspezifisch einerseits von einem Security-Switch überwacht. Auf der anderen Seite wird das Funk-Netz durch VPN Gateway mit dem drahtgebundenen Firmennetz verbunden. Abbildung 13: Angepasste Lösung WLAN-Einsatz im Lager 21 von 24

173 5. Zusammenfassung Seit wird WLAN im Lager eingesetzt. Der Arbeitsablauf läuft ohne Zwischenfälle. Auf der Sicherheitsseite wird bis jetzt kein einziger, externer Angriff bemerkt. Intern müssen die Geräte vor Sabotage geschützt und von Umgebungsbedingung gepflegt werden. Die Mitarbeiter wurden geschult sowohl auf Bedienbarkeit als auch auf Aufrechterhaltung der eingesetzten Geräte. Auf technischer Seite melden sich immer noch kleine Störungen des Empfangsbereiches. Dies wird weiter beobachtet und nach einer Lösung gestrebt. WLAN-Einsatz im Lager 22 von 24

174 6. Abbildungsverzeichnis Abbildung 1: WLAN-Infrastruktur... 4 Abbildung 2: TCP/IP vs. OSI-Modell... 5 Abbildung 3: Wireless LAN nach IEEE Abbildung 4: DSSS Verfahren... 7 Abbildung 5: RTS/CLT und NAV... 8 Abbildung 6: Arbeitsweise von WEP Abbildung 7: Ablauf einer WLAN-Sitzung mit EAP/802.1x Abbildung 8: Arbeitsweise von TKIP/Michael Abbildung 9: Key-Handshake bei WPA Abbildung 10: AES Abbildung 11: Projektphasen Abbildung 12: Einordnung verschiedener Techniken Abbildung 13: Angepasste Lösung Tabelle 1: IEEE Standards... 9 Tabelle 2: EAP-Variante Tabelle 3: Vergleich der Standards WLAN-Einsatz im Lager 23 von 24

175 7. Quellenangaben [1] Prof. Jürgen Plate Fachhochschule München [2] Spiro Trikaliotis: WLAN-Feinschliff c t 6/2004 S. 216 [3] [4] Stefan Mutschler: Viel Wind in Drahtlosennetzen LANLine 2/2005 S. 62 [5] Michael Schmidt: Der WEP-Wall bricht c t 10/2005 S. 182 [6] EAP Tunneled TLS [7] Protected EAP [8] Dr. Alfred Arnold: Jenseits von WEP c t 21/2004 S. 214 [9] LANCOM Systems GmbH, Würselen: LANCOM Techpaper WPA und i WLAN-Einsatz im Lager 24 von 24

176

177 Projektarbeit Ruhr-Universität Bochum Integration eines Funknetzes am Beispiel eines Berufskollegs Holger Osterholz Stand: Juni 2005

178 1 Einleitung 2 Der Kreis Herford als Schulträger von fünf Berufskollegs und drei Sonderschulen mit insgesamt über Schülerinnen und Schülern hat in den letzten Jahren erhebliche Mittel aufgewendet, um das Lernen mit neuen Medien zu ermöglichen. Zielsetzung ist der multimediale Unterricht und flächendeckende Einsatz der neuen Informations- und Kommunikationstechnologien (IuK) in den Schulen. Damit sollte Anschluss gefunden werden an die Entwicklungen einer modernen Berufsbildung auf internationalem oder besser europäischem PISA-Standard. Das Besondere und bundesweit Einmalige an dieser Lösung besteht unter anderem darin, dass hier von Anfang an angestrebt wurde, eine gemeinsame Lösung für alle Schulen des Schulträgers zu realisieren. Daraus entstand vorrangig an den Berufskollegs, ein im Kreis Herford einmaliges Lern- und Kommunikationsnetz mit über PCs und einer einheitlichen Netzwerk-, Server- und Datenstruktur. Der Zugriff auf im Intranet liegende Unterrichtsmaterialien ist für die Pädagogen und Schüler gleichermaßen standortunabhängig jederzeit auch von Zuhause z. B. über das Internet möglich. Die Anforderungen resultieren aus dem Jahr 2000, in dem an Berufsschulen intensive Aktivitäten im Hinblick auf eine zukunftsweisende Lösung für das Lehren und Lernen mit Neuen Medien entstanden sind. Noch im Vorfeld der Auswirkungen des Pisa-Schocks gab es umfassende Diskussionen, wie gerade im Bereich der beruflichen Bildung eine Konzeption realisiert werden kann, die neues Lernen ermöglicht, das u. a. auf den Bausteinen eigenverantwortliches Lernen und Lernen mit Neuen Medien basiert. Damit sollte Anschluss gefunden werden an die Entwicklungen einer modernen Berufsbildung auf internationalem bzw. europäischem PISA-Standard. Von folgender Grundüberlegung wird dabei ausgegangen: Lernen ist ein selbstgesteuerter, aktiver Prozess, [...] in dem die Lernenden Informationen nicht nur rezeptiv übernehmen, sondern konstruierend in bereits gebildete Erklärungsraster integrieren. Das bedeutet [...] eine Erweiterung und Akzentverschiebung herkömmlicher Betrachtungsweisen schulischen Arbeitens.

179 3 Verzahnt mit dem Schulprogramm stehen neben der Anbahnung von neuen Formen des selbstbestimmten Lernens und Arbeitens mit den Neuen Medien für die Berufskollegs insbesondere folgende Punkte im Vordergrund: zeitgemäße Vorbereitung auf das Arbeitsleben Chancengleichheit (d. h. Zugang zu moderner Technologie unabhängig von sozialer Herkunft) unmittelbarer orts- und zeitunabhängiger Zugang zu authentischen und aktuellen Informationen und möglichst didaktisch sinnvoll gestaltetem Lern- und Trainingsmaterial Förderung der Teamarbeit auf der Basis der Bereitstellung integrativer Kommunikations- und Kooperationsplattformen Insbesondere die so genannten Neuen Medien sind geeignet, im Rahmen eines entsprechend gründlich reflektierten Konzeptes Bedingungen zu schaffen, die Lernarrangements für ein möglichst konstruktives und selbstständiges Lernen und Arbeiten ermöglichen. Dazu reicht es aber nicht aus, Schulen einfach nur mit Neuen Medien auszustatten. Wie wichtig dieser Weg ist, zeigen mittlerweile auch die Erfahrungen in verschiedenen erfolgreichen PISA-Ländern. Multimedialer Unterricht und der flächendeckende Einsatz der neuen Informations- und Kommunikationstechnologien (Lernsoftware, Videos online, Zeitschriften- und Literaturdatenbänke, Nachschlagewerke im Netz und online, Internet) erfordern aufgrund der Debatte um die Qualität zukunftsweisender (beruflicher) Bildung und der hohen Ziele der e-nitiative NRW und Schulen ans Netz in NRW: eine breitbandige Internet-Anbindung aller Klassen jenseits von ISDN (für Multimedia/Video/größere Netzwerke) einen Provider mit schuladäquater Leistungspalette (WWW, (-Konten), FTP, Chat, Workgroup-Anwendungen, WebSpace für Homepages und Unterrichtsmaterialien/Projektmaterialien etc.) professionelle Installation, Wartung und Administration aus einer Hand im Rahmen eines Gesamtkonzeptes mit dem Ziel einer weitgehenden Standardisierung Lernen mit Neuen Medien erfordert eine breitbandige Internetanbindung und zwingend professionelle Systembetreuung für alle Klassen eines Berufskollegs. Ein Blick auf das

180 (europäische) Ausland aber auch auf andere innovative Schulträger in Deutschland zeigt, dass die hier anvisierten Ziele keine Utopie sein müssen. 4 Grundlegende Ziele 1. Multimedia-Möglichkeiten in jedem Klassenzimmer 2. Breitbandige Internet-Anbindung 3. Professionell administrierte Netze 4. Einsatz wartungsarmer Varianten unter Berücksichtigung der TCO 5. Möglichst standardisierte Soft- und Hardware und Netzwerkinfrastruktur Unter Berücksichtigung knapper Ressourcen wird kurz- bis mittelfristig eine Ausstattungsvariante angestrebt, die am derzeitigen Fachraumkonzept festhält und festinstallierte Medieneinheiten bzw. eine vollständige Netzzugangsmöglichkeit für jeden Klassenraum vorsieht. Als Eckpfeiler einer innovativen Erneuerung und jederzeitigen Informationsmöglichkeit kann die W-LAN Technologie angesehen werden. Die Netzzugangsmöglichkeit in allen Klassenräumen stellt in der beruflichen Ausbildung einen fundamentalen Bestandteil dar. Die Wireless Local Area Network (W-LAN)-Technologie wird zunehmend in verschiedenen Medien diskutiert. Die Möglichkeiten, die eine kabellose Anbindung an ein Schulnetzwerk und das Internet bietet, sind vielfältig. W-LAN eröffnet neue und schnelle Kommunikationswege, um Daten und Informationen auszutauschen. Verschiedene Schulen sowie auch Unternehmen haben die Vorteile für sich erkannt und etablieren Netzzugangsmöglichkeiten für die Schüler und Lehrer, bzw. für ihre Mitarbeiter. In einer Gesellschaft, in der die Vernetzung und die ständige Möglichkeit, Informationen aus dem Internet abzurufen, zunehmend an Bedeutung gewinnt, liegt es nahe, Schülern einen möglichst guten zeit- und ortsungebundenen Weg zu Informationen zur Verfügung zu stellen. Durch die unzureichende Abdeckung mit Netzdosen könnte die Installation eines W-LAN eine kostengünstige Alternative zu den oft aufwendigen und kostspieligen Verkabelungen darstellen. Die mobile Freiheit, die ein W-LAN den Benutzern bietet, ist hinsichtlich der Geschwindigkeit eines kabelgebundenen Netzes zwar unterlegen, jedoch scheint dies bei den Anwendungen und Diensten, die diese mobilen Einheiten einsetzen, vernachlässigbar klein. Die Performance, die einen DSL-Anschluss übersteigt, reicht dennoch um Angebote aus dem Internet im Schulunterricht wahrnehmen und einsetzen zu können. Diese Lösungsmöglichkeit soll hier durch ein Pilotprojekt am August-Griese-Berufskolleg in Löhne vorgestellt werden.

181 5 2 Einsatzmöglichkeiten von W-LAN Durch die Möglichkeit für Schüler und Lehrer Zugang zum Schulnetz und somit zum Internet zu bekommen, bringt enorme Vorteile. Die Kommunikation verlagert sich zunehmend immer mehr in und außerhalb der Berufskollegs auf digitale Wege. Die Verbreitung von stellt eine moderne und schnelle Kontaktmöglichkeit dar. Viele Informationen werden im Internet zur Verfügung gestellt, die gerade Schülern neue Chancen für ihre Ausbildung und ihren Beruf bieten. Literaturrecherchen und Informationsbeschaffung werden zunehmend durch das Internet ermöglicht. Das Berufskolleg muss den Notwendigkeiten und Wünschen der internetbezogenen Entwicklung nachkommen und die Qualität der beruflichen Ausbildung verbessern, in dem es den Zugang zu diesen Techniken ermöglicht. Diesem Auftrag trägt das Berufskolleg Rechnung, indem es PC-Pools in den Pausenhallen bereitstellt. Jedoch ist die Anzahl der PC s im Vergleich zu der Schüleranzahl eher klein. Eine Entlastung der bestehenden PC-Plätze wäre auf diese Weise gegeben. Lern- und Arbeitsgruppen könnten sich an fast allen Orten des Berufskollegs treffen, ohne auf die Netzwerkinfrastruktur und die bereitgestellten Informationssysteme verzichten zu müssen. Die neue Kommunikationsplattform W-LAN eröffnet auch bei der Durchführung von rechnergestützten Unterrichtsstunden ganz neue Möglichkeiten, da diese ohne große administrative Unterstützung ortsunabhängig durchgeführt werden können. Vorteile eines W-LAN Permanenter Zugang zu im Netz befindlichen Informationssystemen (z. B. multimedialen Lehrveranstaltungen, Literatur zu Übungen und Lehrveranstaltungen). Entlastung und Erweiterung der bestehenden PC-Plätze. Nutzung der Klassen, Veranstaltungs-, Freizeiträume und freien Flächen außerhalb des Schulgebäudes insbesondere als zusätzliche Arbeitsräume außerhalb ihrer primären Nutzungszeiten. Individueller rechnergestützter Unterricht in den allen Klassenräumen und in der Pausenhalle ohne Vernetzungsaufwand oder Inanspruchnahme administrativer Unterstützung.

182 6 Der Begriff multimediales Lernen bedeutet, das gesamte Spektrum an Lernszenarien in der beruflichen Ausbildung einzusetzen. Jedes Medium hat spezielle Vorteile und diese sollen in Zukunft deutlicher zum Einsatz kommen. Die lästige Suche nach Netzdosen und die vielleicht nicht ausreichende Anzahl innerhalb des Schulgebäudes wird durch eine Funknetzwerklösung durch W-LAN minimiert. Letztlich hat sich die Vernetzung heute mehr als bewährt. Die Erstellung von Arbeiten und die Weitergabe an Lehrerkollegen zur Durchsicht bzw. an Dritte zur Veröffentlichung ist durch die Vernetzung wesentlich einfacher geworden. Große Datenmengen können über das Netzwerk verschickt werden und stehen zur weiteren Verarbeitung schon in elektronischer Form zur Verfügung. Geographische Entfernungen zwischen den verschiedenen Berufskollegs rücken in den Hintergrund. Gruppenarbeiten oder ein projektbezogener Datenaustausch werden erheblich vereinfacht. Den Nutzern wird ermöglicht, innerhalb einer Schulstunde auf Dateien zuzugreifen, die sich auf dem Server des Berufskollegs oder im Internet befinden. Aktuelle Dateien, die für eine Schulstunde ergänzend sind bzw. zum Start der Schulstunde noch nicht vorliegen, können somit in der Schulstunde bereitgestellt werden. Je nach Themeninhalt ist eventuell ein Zugriff auf aktuelle Börsenkurse oder Nachrichten hilfreich bzw. ergänzend zum Schulstoff. Darüber hinaus wäre ein Wechsel der Räumlichkeiten einer Schulstunde spontan denkbar, ohne die Vernetzung des alternativen Ortes berücksichtigen zu müssen. Letztendlich kann natürlich auch der Lehrer durch die Bereitstellung eines W-LAN im Schulgebäude seinen Nutzen ziehen, z. B. durch den Einsatz in den Schulstunden für die Literaturrecherche. 3 Überblick über die IT-Infrastruktur 3.1 Technisches Grundgerüst Das Schulträger-Bildungsnetz des Kreises Herford umfasst z. Zt. die drei Standorte Löhne, Bünde und Herford mit insgesamt fünf Berufskollegs. Die Integration der drei Sonderschulen ist in einer weiteren Ausbaustufe geplant, nachdem dort die IT-Verkabelung auf professionellen technischen Standard erfolgt ist. An den Standorten ist eine auf Markenhardware identisch aufgebaute Windows 2000 Serverstruktur mit pro Berufskolleg redundant ausgelegtem Domänencontroller vorzufinden.

183 7 Ergänzt wird der Aufbau durch einen Service-PC und einen Rechner für Scripte/Images/Softwarepakete incl. CD-Juke-Box je Standort. Kernstück ist die Serverfarm im zentralen Serverraum Herford, ansässig am Friedrich-List- Berufskolleg. Die Standorte Löhne (August-Griese-Berufskolleg) und Bünde (Erich- Gutenberg-Berufskolleg) sind über 1,5 MBit SDSL-Strecken an die Farm angebunden. Dadurch ist der Grundstein zur Nutzung Zentraler Dienste wie , Intranet, Groupware, DMZ gelegt. Jede Schule besitzt ihre eigene Domäne. Innerhalb eines sog. Domänenbaumes werden sie zusammengefasst und über die Root-Domäne edu-kreis-herford.de zentral verwaltet. Zusätzlich erfolgt am zentralen Standort Herford eine adaptive Sicherung der Subdomänen agb und egb. Die komplett standardisierte Hardware ist mit einem einheitlichen serverbasierten Virenschutzsystem ausgestattet. Ferner wurde ein Disaster-Recovery-Szenario entwickelt, um im Bedarfsfall PCs und Server innerhalb kürzester Zeit wieder einsatzfähig zu machen. Die Einführung einer einheitlichen Struktur der Datenspeicherung und ablage ermöglicht schulweiten Austausch an allen Kollegs. Dazu wurde eine umfangreiche Dateiablagestruktur entwickelt. Um den AnwenderInnen die Möglichkeit zu geben ihre eigenen Arbeitsergebnisse getrennt von anderen zu erarbeiten, existiert eine sog. Klausurumgebung. Der Ausdruck der Daten wird i. d. R. auf zentral aufgestellte Netzwerkdrucker bewerkstelligt. Der Internetzugang erfolgt z. Zt. noch dezentral über die jeweiligen mit vorgeschaltetem Linux-Proxy.

184 Die nachfolgenden Seiten vertiefen den Überblick und geben Aufschluss über Kosten und technische Fakten bei der Integration von W-LAN. 8 Netzplan Berufskollegzentrum Herford Arktur.flb.edu-kreis-herford.de Arktur.asb.edu-kreis-herford.de Arktur.wnb.edu-kreis-herford.de VPN (Virtual Privat Network) EDU-Kreis-Herford Funktion: Proxy SDSL Bridge 1,5 MBit/s Netzwerk Herford /18 FLBSRV-FILE01 ASBSRV-FILE01 WNBSRV-FILE01 Funktion: Fileserver Druckserver Datensicherung Applicationserver FLBSRV-DC01 ASBSRV-DC01 WNBSRV-DC01 Funktion: Anmeldeserver Anti-Viren-Server WINS/DNS HFSRV-RootDC Funktion: Imageserver CD-Rom-Server WINS/DNS DHCP HFSRV-Wartung Funktion: ISDN-Wartung Routing RAS SUS HFSRV-EGBDC Funktion: Kopie der EGB Domäne HFSRV-AGBDC Funktion: Kopie der AGB Domäne Netzplan August-Griese-Berufskolleg VPN (Virtual Privat Network) EDU-Kreis-Herford Arktur.agb.edu-kreis-herford.de SDSL Bridge 1,5 MBit/s Funktion: Proxy mit ContentFilter Netzwerk Löhne / /24 AGBSRV-FILE01 Funktion: Fileserver Druckserver Datensicherung Applicationserver AGBSRV-DC01 Funktion: Anmeldeserver Anti-Viren-Server WINS/DNS DHCP AGBSRV-Wartung Funktion: ISDN-Wartung Routing RAS SUS AGBSRV-RootDC Funktion: Imageserver CD-Rom-Server WINS/DNS AGBSRV-WLAN Funktion: Integration von Funkgerätschaften

185 9 Netzplan Erich-Gutenberg-Berufskolleg VPN (Virtual Privat Network) EDU-Kreis-Herford Arktur.egb.edu-kreis-herford.de Funktion: η Proxy SDSL Bridge 1,5 MBit/s Netzwerk Bünde /19 EGBSRV-FILE01 Funktion: η Fileserver η Druckserver η Datensicherung η Applicationserver EGBSRV-DC01 Funktion: η Anmeldeserver η Anti-Viren-Server η WINS/DNS η DHCP EGBSRV-RootDC Funktion: η Imageserver η CD-Rom-Server η WINS/DNS EGBSRV-Wartung Funktion: η ISDN-Wartung η Routing η RAS η SUS Holger Osterholz Stand: Juni 2005 Netzplan der Herforder Berufskollegs (Teilausschnitt) Firewall ISA Server Standleitung: 2 Mbit/s Feste IP Internet Netzwerk Herford /18 HFSRV-EX01 Funktion: HFSRV-BSCW Funktion: BSCW WWW

186 4 Architektur, Aufbau und Kosten des W-LAN Grundlagen W-LAN Der W-LAN-Standard x besitzt zurzeit die größte Verbreitung. Moderne Notebooks werden verstärkt mit integrierten W-LAN-Karten ausgestattet. Auch der Anbietermarkt von Funknetzwerkkarten und Access Points konzentriert sich zunehmend auf die W-LAN- Technologie. Ein Argument für eine drahtlose Übertragung ist das Kabelgewirr und das damit verbundene Unfallrisiko in der Pausenhalle, in der Cafeteria bzw. in den Computerfachräumen. Während der Schulzeit, wenn alle Auszubildenden und Lehrer versuchen, ihr Notebook mittels Kabel quer durch die Räume mit dem Netzanschluss zu verbinden, ist eine potentielle Stolpergefahr gegeben. Es existieren folgende Varianten des Standards: Standard a Standard a arbeitet im 5 GHz-Band und ist in den USA mittlerweile sehr verbreitet. Er ermöglicht eine Datenübertragung unter optimalen Bedingungen von bis zu 56 MBit/s. Unter dem Begriff Turbo-Mode sind in den USA Übertragungsraten von bis zu 108 MBit/s möglich. Dieser Standard wurde in Deutschland erst im November 2002 von staatlicher Stelle freigegeben mit maximal 56 MBit/s. Nachteil ist, dass eine Nutzung des 5 GHz-Bandes in Deutschland nicht immer lizenzfrei ist. Der Standard bleibt deshalb in Deutschland i. W. auf die Nutzung innerhalb von Gebäuden beschränkt. Standard b Standard b ist der am weitesten verbreitete Standard auch auf internationaler Ebene. Er arbeitet im 2,4 GHz-Frequenzband, was zum ISM-Freqenzbereich zählt. Die Nutzung dieses Frequenzbandes ist in Deutschland und im Ausland auf privaten Grundstücken lizenzfrei; es können gebührenfrei Daten übermittelt werden. Über den b Standard ist unter optimalen Bedingungen eine Datenübertragungsrate von maximal 11 MBit/s möglich. Die Übertragungsrate nimmt mit der Entfernung ab bzw. wird durch Störeinflüsse und Hindernisse in Form von Gebäudeteilen eingeschränkt.

187 11 Standard c Standard c definiert die Grundlagen für eine drahtlose Kopplung von verschiedenen Netzwerk-Topologien per gerichteter Antenne. Mehrere Computernetzwerke, die innerhalb ihres bestehenden Netzes über Kabel verbunden sind, aber jedes für sich dennoch räumlich voneinander getrennt sind, werden per Funk über eine so genannte wireless Bridge verbunden. Jedes Netzwerk benötigt eine eigene Bridge. Existieren mehr als zwei Netzwerke, werden eine Master Bridge und mehrere Slave Bridges installiert. Die Master Bridge verbindet Funk-Komponenten an einem Ort untereinander, die Slave Bridges ermöglichen den Zugang zu externen Netzen. Auf diese Weise kann ein Benutzer nicht nur auf die Ressourcen innerhalb des LAN zugreifen, sondern auch auf die Ressourcen außerhalb des LAN. Standard d Standard d definiert regions-, länderspezifische und technische Grundlagen sowie Vorschriften. Die Verwendung der zur Verfügung stehenden Kanäle und Frequenzbänder werden meist durch einen Treiber angepasst, der in der Software des jeweiligen Hardwareherstellers enthalten ist. Der Benutzer muss lediglich das Land bestimmen, in dem er sich befindet. Standard e Standard e regelt Quality of Service (QoS)- und Streaming-Erweiterungen für die Standards e. Mit Hilfe dieser Erweiterungen soll es möglich gemacht werden, Multimedia-Applikationen und Voice-over-IP zu realisieren. Dazu ist es erforderlich, Laufzeitschwankungen zu minimieren und garantierte Datenraten umzusetzen. Standard f Standard f beschäftigt sich mit Roaming. Mobile Clients können so zwischen Access Points wechseln. Dies soll auch bei unterschiedlichen Herstellern der Access Points möglich sein. Die Übergabe der Clients erfolgt hierbei über das Inter Access Point Protocol (IAPP). Standard g Standard g definiert keinen völlig neuen Standard. Er baut auf Standard b auf und ermöglicht eine Geschwindigkeitserhöhung auf 54 MBit/s und ist rückwärtskompatibel.

188 12 Standard h Standard h wird gern als europäische Variante des a bezeichnet, weil er zusätzliche Anforderungen enthält, die von der ETSI für Europa verlangt werden. Zum einen die dynamische Frequenzauswahl, zum anderen die variable Sendeleistung. Dieser Standard befindet sich noch in der Definition und kann somit bisher nur als Pro-Standard gesehen werden. Standard i Standard i beschäftigt sich mit dem Problem der Datensicherheit. Er integriert zunehmend alle Maßnahmen zur Sicherung des W-LAN-Netzes durch unbefugte Zugriffe von außen. Zur Authentifizierung dienen Extensive Authentification Protocol (EAP), Remote Authentication Dial In User Service (RADIUS), Kerberos und Advanced Encryption Standard (AES). Tabelle 1: Übersicht der Standards 4.2 Anforderungen und Projektphasen Die Anforderung der Schule durch Schulleitung und Fachlehrer an den Schulträger ist W-LAN zukünftig als sicheres Kommunikationsmedium bereitzustellen. Bedingung ist die Nutzungsmöglichkeit für unterschiedliche Betriebssysteme auf unterschiedlicher Hardware und einer bestmöglichsten Performance (MBit). Der erste Planungsabschnitt sieht den schnurlosen Internet-/Intranetzugriff für ca. 200 Schüler zum Jahresbeginn 2006 auf der Ebene 5 des August-Griese-Berufskollegs vor mit sukzessiver Ausweitung auf den gesamten Gebäudekomplex mit seinen 6 Etagen

189 einschließlich des Schulhofes bis zum Sommer 2006 für die gesamte Schüleranzahl von ca Schülern. 13 Bild 1: Etagenübersicht Ebene 5 im August-Griese-Berufskolleg

190 14 Da die Integration von W-LAN auch von den anderen Schulen des Schulträgers gewünscht ist und diese Synergieeffekte ausdrücklich vom Schulträger unterstützt werden, läuft derzeit eine Ausschreibung zur W-LAN Funkausleuchtung für alle Berufskollegs. Man verzichtet auf die semiprofessionelle Feldstärkenmessung durch eigenes Personal, da in dieser Größenordnung Fachfirmen genauere und belastbarere Resultate liefern. Nachdem die Lokalitäten der Access Points feststehen wird im Rahmen einer Lehrerkonferenz über die Bestückung der ausgemessenen Standorte mit Access Points entschieden. Hintergrund ist die immer noch wenn auch unterschwellige Electronic Smog Angst von Teilen des Kollegiums, der damit Rechnung getragen wird. Die Integration von SecureW-LAN ist ein ganzheitlicher Prozess mit vielen organisatorischen und technischen Hürden, beginnend bei der Auswahl der Access Points über Funkausleuchtung, dem sicheren Einbinden ins bestehende Netzwerk und der Definition entsprechender Zugangsmöglichkeiten und Sicherheitsmechanismen. Im nächsten Abschnitt werden die ersten technischen Planungsansätze genauer dargestellt. 4.3 Technik und Sicherheit Da wie im vorhergehenden Kapitel beschrieben eine Feldstärkenmessung durchgeführt werden soll, müssen vorab folgende Fragen geklärt sein: Performance des W-LAN-Netzes Welche Übertragungsgeschwindigkeit ist gewünscht? Verfügbarkeit / Flächenabdeckung des W-LAN in und auf: Außenflächen Turnhalle Keller Abstellräume Toiletten Klassenräumen Lehrerzimmer Konferenzräume Gibt es Orte, an den kein W-LAN vorhanden sein soll?

191 15 Wie soll das Netz genutzt werden? Gibt es Klassensätze mit Laptops, die sich gleichzeitig am Netz an und abmelden? Pausenräume, an denen ein vermehrtes Aufkommen von Netzwerknutzern zustande kommen kann. Soll ein Telefonnetz über das Netzwerk aufgebaut werden? Sicherheit des Netzes Datenverschlüsselung MAC-Adressenfilterung Virtuelle Netze Sicherheit für die Accesspoints Gibt es Zwischendecken in denen die APs versteckt werden können? Sollen die APs durch abschließbare Sicherheitsboxen gesichert werden? Sollen die APs in Nebenräumen (Abstellkammer, Technikraum, usw.) angebracht werden? Der zu verwendende Referenz Access Point wird in der sog. Enterprise-Klasse kategorisiert und weist i.w. folgende Merkmale auf: Unterstützung von IEEE a, b und g Standard Betrieb in den Frequenzbändern 2,4GHz und 5GHz Zentrales Management hohe Schutzart (IP65) optional für Eingangsbereich und nicht wettergeschützte Bereiche sonst (IP20) Für die Messung nicht zwangsläufig notwendig - aber für den späteren Einsatz zwingend ist die Abklärung u. g. Punkte: Authentifizierungs Standards WPA, WPA-PSK und IEEE 802.1x Verschlüsselungsverfahren WEP, AES und TKIP Unterstützung RADIUS Server Authentifizierung In den laufenden Planungen wird eine VPN-Infrastruktur über den IPSec-Tunnelmodus mit AES und einer 256Bit Verschlüsselungstiefe favorisiert. Zur Verbindung der Access Points mit dem VPN Gateway nutzt man den implementierten Standard der vorhandenen Switche

192 16 IEEE 802.1q (VLAN-Tagging). Das LAN wird zusätzlich durch eine Firewall zum W-LAN abgeschottet. Mittelfristig ist der Aufbau einer PKI Struktur zur Verwendung von elektronischen Zertifikaten für Datenverschlüsselung und Authentisierung angedacht. Zur Anbindung der einzelnen Clienten mit unterschiedlicher Hard- und Software wird eine noch auszuwählende VPN-Software zur Verfügung gestellt. Schematische Darstellung einer VPN- Infrastruktur / /24 SecureW-LAN IPSec Tunnel AGBSRV-WLAN Funktion: Integration von Funkgerätschaften VPN IPSec Gateway Firewall Eine zusätzliche Schwierigkeit stellt die Integration von Laptops dar die zum einen schuleigenen sind, in der Mehrzahl aber im Eigentum der Schüler stehen. Zur Unterscheidung muss ein Regelwerk greifen, das je nach Fall unterschiedliche Sicherheitsmechanismen auslöst. Die Planungen für diesen Projektteil laufen getrennt und werden daher hier nicht näher beleuchtet. Zu einem späteren Zeitpunkt fließen die dort ermittelten Resultate in das Gesamtprojekt ein. 4.4 Kostenschätzung Der Hauptkostenfaktor für den in Kapitel 4.2 beschriebenen ersten Planungsabschnitt ist sicherlich die Anzahl der benötigten Access Points sowie deren Anschlussmöglichkeit über eine evtl. schon vorhandene Ethernet- und Stromverkabelung in dem Bereich. Erste tragfähige

193 17 Ergebnisse liefert die angestoßene Feldstärkenmessung in Zusammenhang mit der Beantwortung der unter Abschnitt 4.3 gestellten Fragen. Weitere nicht zu unterschätzende Kosten sind die sichere Integration des W-LAN in das bestehend Netz durch eine entsprechend erweiterte Infrastruktur (z. B. VPN-Gateway, Firewall) sowie deren Folgekosten inklusive Wartung und Support. Trotz der Verwendung von OpenSource Produkten in diesem Bereich wird hier auch zukünftig ein Großteil des Finanzbudgets zur Sicherstellung von SecureW-LAN einzuplanen sein. Eine Beispielrechnung für das August-Griese-Berufskolleg in Löhne könnte so aussehen: Erster Planungsabschnitt Leistung Preis Anzahl Summe Funkausleuchtung 1.000,00 anteilig 1.000,00 einmalig Access Point 500, ,00 einmalig VPN IPSec-Gateway 6.000, ,00 einmalig Installation 6.000, ,00 einmalig Wartung u. Support , ,00 jährlich einmalig ,00 jährlich ,00 Auf den ersten Blick ist zu erkennen, dass sich bei stark steigender Anzahl der Access Points die Einrichtungskosten sprunghaft erhöhen. Darüber hinaus muss man sich über redundante Auslegung des VPN IPSec-Gateways im Herforder Berufskollegzentrum Gedanken machen, da dort drei Schulen ein VPN-Gateway nutzen. Ein Ausfall würde alle drei Berufskollegs gleichzeitig betreffen. 5 Gesundheitsrisiken des W-LAN 5.1 Elektronischer Smog Gesundheitsrisiken durch Electronic Smog (E-Smog) werden zum Teil kontrovers diskutiert. Ein Untersuchungsergebnis war, dass elektromagnetische Wellen Krebs und andere Krankheiten erzeugen können, denn der genaue Wirkungsmechanismus von Strahlung auf den Menschen ist bisher nicht bekannt. Das Gutachten untersuchte die Strahlung, welche von den Access Point und den W-LAN-Karten ausgeht. Die Intensität der Strahlung lag dabei für alle Messungen unter den gesetzlichen Bestimmungen. Die höchste Strahlenbelastung betrug

194 18 0,025 % des gesetzlichen Wertes und ca. 2,5 % des von Instituten empfohlenen Wertes. Die Messungen beziehen sich dabei auf Vollauslastung, welche bei Nutzung der maximalen Übertragungskapazität entsteht. Die meiste Zeit dürfte die Strahlenbelastung weit unter diesem Wert liegen. Ein Gutachten kommt daher zu folgendem Ergebnis: Aus Sicht des Sachverständigen ist daher eine gesundheitliche Belastung durch die W-LAN-Access Points nicht zu erwarten. Etwas anders stellt sich die Situation für die Notebook-Benutzer dar. In geringen Entfernungen (10 bis 20 cm) von den W-LAN Netzwerkkarten der Notebooks werden Werte von 50 bis 160 % der Vorsorgewerte erreicht. Die Belastung verringert sich jedoch mit dem quadratischen Abstand von der W-LAN-Karte und gilt für die Vollauslastung. Ab einer Entfernung von mindestens 35 cm von der W-LAN-Karte beträgt die Belastung allerdings nur noch 4 % des Vorsorgewertes. Normalerweise wird die Belastung geringer sein, insbesondere wenn sich mehrere Notebooks einen Access Point teilen müssen. Zwar ist die Strahlenbelastung durch W-LAN geringer als durch Mobiltelefone, aber auch diese Belastung kann an ungünstigen Standorten zu hoch sein. 5.2 Strahlungen von Funkwellen Besonders kritisch wird zur Strahlung durch Mobilfunkgeräte eingewendet, dass sie eine negative Wirkung auf die Blut-Hirn-Schranke beim Menschen haben. Die Blut-Hirnsschranke ist für die Versorgung des Gehirns mit lebenswichtigen Stoffen zuständig, wie z. B. Sauerstoff (O 2 ), Kohlendioxid (CO 2 ) und Wasser (H 2 O). Andere Stoffe können nicht in das Gehirn eindringen. Da das Gehirn nicht mit zirkulierendem Blut versorgt wird, sondern durch Liquour, wird die Blut-Hirnschranke auch als Blut-Liquour-Schranke bezeichnet. Aufgrund von Strahlung wird sie dahingehend beeinflusst, dass fremde Stoffe in das Gehirn eindringen können. Das ermöglicht ein Eindringen von Eiweiß in das Gehirn. Schon geringe Veränderungen in den Proteinen können zu krankmachenden Varianten führen. Der menschliche Körper besitzt ein eigenes Kommunikationssystem, welches mit elektromagnetischen Wellen arbeitet. Der E-Smog kann dieses System stören, die genauen Auswirkungen von Strahlung sind jedoch nicht bekannt. Insbesondere die gepulste hochfrequente Strahlung ist für den Menschen schädlich, da sie so in der Natur gar nicht vorkommt. Gepulste Strahlung ist bei jeder Frequenz viel bedenklicher als ungepulste elektromagnetische Strahlung. Gefährlich ist die Regelmäßigkeit bei gepulster Strahlung. Biologische Systeme benötigen Unregelmäßigkeiten, da sie sonst nichts regulieren können und sich Umweltanforderungen nicht flexibel anpassen können. Gepulste Strahlung stellt

195 19 daher eine permanente Belastung des Organismus dar. Ob und wann jemand dadurch krank wird, hängt von der Konstitution des Einzelnen ab. Gepulste Strahlung stellt daher den stärksten Angriff auf die Zellen dar. Innerhalb der Zellen wird der Natrium- und Kalium- Ionen-Transport durch die Zellmembran gestört. Auch ist eine isolierte Untersuchung von elektromagnetischer Strahlung wenig sinnvoll, da Interaktionseffekte zwischen Strahlung, zelltoxischen Stoffen sowie kanzerogenen Chemikalien und physikalischen Krebswirkungen vermutet werden. Das bedeutet, dass Strahlung selbst vielleicht noch gar nicht schädlich wirkt, aber in ihrer - in der Praxis auftretenden - Kombination schon in sehr viel geringerer Konzentration schädlich sein kann. Für manche Menschen können geringe Strahlungsbelastungen schon ein Gesundheitsproblem darstellen, während hingegen für andere Menschen dadurch keine Gefährdungen entstehen. Zusammenfassend lässt sich sagen, dass die elektromagnetische Strahlung, welche durch W-LAN entsteht, viel geringer ist als die Belastung, welche durch Handys (drei bis zehnmal höher während des Betriebs) entsteht. Die weite Verbreitung von schnurlosen Telefonen (DECT-Standard) im privaten Bereich und der sorglose Gebrauch von Mobiltelefonen stellt für den Organismus ein größeres Gesundheitsrisiko dar. Der Einsatz von W-LAN im schulischen Bereich kann als vermutlich unbedenklich eingestuft werden. 6 Ausblick und Entwicklung Schüler und Lehrer können bisher nur an öffentlich zugänglichen Computern in das Internet gelangen. Hierfür stehen verschiedene Terminals mit Computern in Pausenhallen und Cafeterien zur Verfügung. Neue Notebooks werden standardmäßig mit W-LAN Karten ausgestattet und schaffen dafür die Grundlage, dass an immer mehr Orten HotSpots eingerichtet werden, welche den Zugang in das Internet ermöglichen. Auch die private Nutzung der W-LAN-Technologie oder die Nutzung in dem Ausbildungsbetrieb der Auszubildenden muss als ein Vorteil angesehen werden. Als zentraler Vorteilsaspekt kann hier die bessere Vermittlung von Wissen und der Umgang mit IT-Technologien angeführt werden. Auszubildende, die schon früh mit verschiedenen Technologien vertraut gemacht werden, haben ein breiteres Wissen gegenüber anderen Auszubildenden. Hierdurch entstehen ein Praxisvorsprung gegenüber anderen Berufskollegs und ein möglicher Wettbewerbsvorteil für das auszubildende Berufskolleg. Eine hohe Akzeptanz und Nutzung von W-LAN durch die Auszubildenden wird sicher innerhalb der nächsten Jahre andere Berufskollegs beflügeln, auch die Vorteile der neuen Technik zu nutzen. In dem zunehmenden Konkurrenzkampf der

196 20 Schulen untereinander durch Einheitsabitur und abschlüssen, sprich Vergleichbarkeit der Schulen, wird professionelle IuK zukünftig ein nicht zu unterschätzender Marketingaspekt sein.

197 IT Infrastrukturkonzept für eine sichere Serverlandschaft in großen Unternehmen Projektarbeit zum weiterbildenden Studium der IT Sicherheit Jörg Richter

198 1 Verzeichnisse 1.1 Inhaltsverzeichnis 1 Verzeichnisse Inhaltsverzeichnis Abbildungsverzeichnis: Einleitung Bedarf für eine sichere IT Infrastruktur Globale Vernetzung Die innere Sicherheit Gefahr von Angriffen Voraussetzungen Ziel der Projektarbeit Analyse der bestehenden IT Infrastruktur Die technische Analyse Die organisatorische Analyse Die Analyse der Arbeitsweise Analyse der technischen Infrastruktur Die Netzwerkbeschaffenheit Die Serverlandschaft Die Beschaffenheit der Räumlichkeiten Ein einfaches Beispiel Die Modellfirma Analyse der organisatorischen Struktur Das IT Team Die Leitung Die Modellfirma Analyse der Arbeitsweise im Unternehmen Die Arbeitsorganisation Das know how Die Kommunikation Die Modellfirma Analyse möglicher Risiken und Probleme Die Modellfirma Die sichere Infrastruktur ein modellhafter Entwurf Anforderungen an eine sichere IT Infrastruktur Bedingungen für eine sichere IT Infrastruktur Anforderungen an die Serverlandschaft Lösungswege zur sicheren IT Infrastruktur ITIL BSI Klassifizierung der Einzelkomponenten Die Modellfirma Eine mögliche Serverlandschaft und Infrastruktur Die Netzwerkstruktur Aufteilung des Netzwerkes Eine mögliche Infrastruktur der Modellfirma Organisation und Arbeitsweise Die Serverbetriebssysteme

199 4.4 Vorgehen bei einer Migration der bestehenden IT Infrastruktur zur neuen Struktur Mögliche Risiken und Probleme Resümee Erkenntnisse aus der Analyse Erkenntnisse aus dem Entwurf der sicheren IT Infrastruktur Fazit für konkrete Projekte Anhang Web Adressen Verzeichnis Abbildungsverzeichnis: Abbildung 1: Beispiel einer einfachen Intranet Struktur... 9 Abbildung 2: Einfache Standortverkabelung...10 Abbildung 3: Aufbau einer möglichen sicheren IT Infrastruktur...18 Abbildung 4: Segmentierung durch VLAN und VPN Router

200 2 Einleitung Das Thema meiner Projektarbeit befasst sich mit dem konzeptionellen Entwurf eines IT Infrastrukturkonzeptes für eine sichere Serverlandschaft, ausgehend von den Strukturen und Anforderungen, wie man sie in großen Unternehmen findet. Warum habe ich dieses Thema gewählt? Ausgehend von meiner langjährigen Tätigkeit in einem großen Telekommunikations- Unternehmen habe ich mich mit den Sicherheitsaspekten beschäftigt, mit denen ich dort täglich konfrontiert war. Ich habe die Ideen und Lösungsvorschläge zur IT Sicherheit der unterschiedlichen Teams verfolgt und mit meinen Kollegen diskutiert. Aus diesen Diskussionen und der Verfolgung der stetigen Veränderungen der Strukturen entstand mein Interesse an den verschiedenen Gesichtspunkten, die zum Realisieren einer sicheren Serverlandschaft beitragen. Durch den steigenden Bedarf an sicheren IT Infrastrukturen habe ich diese Problematik aufgegriffen und zum Thema meiner Projektarbeit gemacht. Eine vollständige Realisierung eines solchen Themenbereichs ist heutzutage nur innerhalb größerer Teams und in Teilbereichen möglich. Daher habe ich mich auf die modellhafte Entwicklung einer sicheren IT Infrastruktur verlegt. Teilbereiche dieser Arbeit lassen sich aber auf die meisten auch kleinere Unternehmen übertragen. Dies stelle ich derzeit in meiner jetzigen Tätigkeit fest, wo viele der hier angeführten Gesichtspunkte eine Rolle in meiner täglichen Arbeit spielen und zur Anwendung kommen. 4

201 2.1 Bedarf für eine sichere IT Infrastruktur Globale Vernetzung In der heutigen Zeit der globalen Vernetzung spielt der Standort eines Servers keine große Rolle mehr. Dienste, die Server im Internet anbieten, sind weltweit erreichbar. Dies birgt auch die Gefahr, dass ein Angreifer auf einen Dienst oder Server sich in jedem Teil der Welt befinden kann. Es gibt keine Grenzen. Die hierdurch möglichen Angriffe, sei es zur stillen Übernahme des Servers oder ein Blockieren des Dienstes, können weitreichende Auswirkungen auf die Arbeitsabläufe einer Firma haben oder auch zu großem finanziellem Schaden führen. Viele dieser Angriffe sind schwer zu verfolgen, da sich viele der Angreifer in Teilen der Welt aufhalten, in denen die rechtliche Verfolgung von Straftaten schwierig zu realisieren ist. Daher sind an dieser Stelle Vorsichtsmaßnahmen angebracht, um dieses Risiko auf ein kalkulierbares Maß zu reduzieren Die innere Sicherheit Ein weiterer Punkt für den Bedarf einer sicheren IT Infrastruktur ist auch die zunehmende Gefahr für ein Unternehmen aus ihrem Inneren heraus. Eine große Anzahl der versuchten Angriffe findet mittlerweile innerhalb der großen Unternehmensnetze statt. Deswegen ist gerade auch hier die Aufrechterhaltung der Dienste, Sicherheit der Server sowie die Absicherung unternehmenskritischer Daten von großer Bedeutung Gefahr von Angriffen Von Jahr zu Jahr wächst die Gefahr für Unternehmen, Ziel eines Angriffes zu werden. Je früher sich ein Unternehmen dieser Gefahren bewusst ist und hinreichende Maßnahmen ergreift, umso besser ist es auf einen Angriff vorbereitet und kann sich schützen. Hilfe hierbei liefert auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das unter anderem das IT Grundschutzhandbuch und das darauf aufbauende Grundschutztool entworfen hat. 5

202 2.2 Voraussetzungen Um den Inhalt dieser Arbeit zu verstehen, ist es hilfreich, einige Voraussetzungen für das Lesen dieser Projektarbeit aufzuführen. Es handelt sich nicht um eine konkrete Firma, in der dieses IT Infrastrukturkonzept realisiert worden ist. Es ist vielmehr der Versuch, modellhaft für eine virtuelle größere Firma eine sichere Serverlandschaft zu entwickeln. Viele der Aspekte, hier hierbei zur Sprache kommen werden, werden so ähnlich in großen Firmen angewendet, sind aber genauso anwendbar auf die Infrastruktur kleinerer oder mittlerer Firmen. 2.3 Ziel der Projektarbeit Das Ziel dieser Projektarbeit ist es, modellhaft für eine virtuelle große Firma ein IT Infrastrukturkonzept für eine sichere Serverlandschaft zu entwickeln. Es dient zur Veranschaulichung der Prozesse, die notwendig sind, ein solches Konzept für eine konkrete Firma zu entwerfen und dieses Konzept innerhalb dieser Firma umzusetzen. Das Ergebnis wird nicht die vollständige Realisierung dieses Konzeptes sein, dies ist alleine auf Grund der Größe dieser Firmen nicht möglich. Das Ergebnis soll vielmehr eine Grundlage eines Konzepts für den einzelnen Fall bieten, modellhaft dargestellt an dem Infrastrukturkonzept der großen virtuellen Firma.. 6

203 3 Analyse der bestehenden IT Infrastruktur Der Beginn der Entwicklung eines IT Infrastrukturkonzeptes ist die Analyse. Bei der Analyse ist es notwendig, alle Aspekte, die bei dem Entwurf des neuen IT Infrastrukturkonzeptes von Bedeutung sind, zu klären und ausgehend von den gesammelten Daten ein neues und auf die Firma zugeschnittenes Konzept zu entwerfen. Es ist eine Bestandaufnahme, die es ermöglicht, eine sichere Serverlandschaft so zu entwerfen, dass die neue Struktur ein größtmögliches Maß an Sicherheit bietet und den fortlaufenden Betrieb nicht gefährdet Die technische Analyse Die Analyse findet in mehreren Bereichen statt. Es wird die vorhandene technische Infrastruktur untersucht. Hierzu zählen die gesamten Server, die Netzwerkstruktur, die vorhandenen Räumlichkeiten und auch die vorhandnen Strukturen der Arbeitsplatzrechner Die organisatorische Analyse Die organisatorische Struktur muss analysiert werden hinsichtlich es Aufbaus des gesamten IT Teams und der Problemstellungen an dieses Team. Auch die Integration des IT Teams in die gesamte Firmenstruktur ist hier relevant Die Analyse der Arbeitsweise Wichtig ist die Betrachtung der Arbeitsweise des bestehenden IT Teams. Hierbei sind die historisch gewachsenen Arbeitsweisen sowie die bestehenden Prozeduren von großer Bedeutung. Die Kommunikation zwischen dem IT Team und dem gesamten Unternehmen muss betrachtet werden, um auch hier die entsprechenden Änderungen des IT Infrastrukturkonzeptes anpassen zu können. 7

204 3.2 Analyse der technischen Infrastruktur Bei der Analyse der technischen Infrastruktur findet eine komplette Bestandaufnahme der existierenden Hardware und der eingesetzten Software statt. Dies betrifft nicht nur die Serverlandschaft mit ihrer vernetzten Struktur, sondern auch die Arbeitsplatzrechner. Bei dem Entwurf des neuen IT Infrastrukturkonzeptes, auch wenn es nur die Serverlandschaft betreffen sollte, ist auch die Struktur der vorhandnen Arbeitsplatzrechner wichtig, da diese Maschinen die Dienste der vorhandnen Server nutzen müssen und somit eine Kommunikationsmöglichkeit vorhanden sein muss Die Netzwerkbeschaffenheit Die bei dem Analysieren festgestellte Struktur ist meistens begründet auf früheren Anforderungen. Sie ist oft gewachsen und beinhaltet somit viele historisch bedingte Eigenheiten und Probleme. Diese gilt es zu erkennen und herauszufinden, um sie später bei der Planung der neuen IT Infrastruktur gezielt beheben zu können. Hierzu gehören die Netzwerktechnologie und die bestehende Netzwerktopologie. Sind innerhalb einer Firma alle Komponenten ohne Abschirmung von Firewalls miteinander verbunden, ist es für einen potentiellen Einbrecher einfacher, Zugang zu einem bestimmten Server zu erlangen. Dies gilt besonders bei Firmen mit mehreren Standorten, die eventuell auch in mehreren Ländern gelegen sind. Gerade bei Firmen, die externe Dienstleister in Anspruch nehmen, kann diese Art der Netzwerkbeschaffenheit zu großen Problemen führen. Auch das Vorhandensein von WLAN Hotspots kann zu großen Problemen führen, da hier schnell Sicherheitslöcher entstehen können und potentielle Angreifer außerhalb der Büros agieren können, ohne sich Zugang zu den Gebäuden verschaffen zu müssen Die Serverlandschaft Bei der Betrachtung der vorhandenen Serverlandschaft ist die Auswahl der Serverhardware und des Serverbetriebssystems sehr wichtig. Bei der Hardware spielt die Redundanz der verschiedenen Komponenten eine Rolle. Dies erhöht die Ausfallsicherheit der Systeme und gewährleistet so einen sicheren Betrieb. In einigen Fällen können redundante Komponenten nachgerüstet werden. Wird bei bestimmten Servern während der Analyse festgestellt, dass diese Möglichkeit besteht, spielt diese Tatsache für die Planung der neuen IT Infrastruktur eine große Rolle. Bei den vorhandenen Serverbetreibsystemen muss die Art des Betriebsystems, das Alter und der Stand der Aktualisierung sowie das Vorhandensein von 8

205 Schutzprogrammen wie Virenscanner überprüft werden. Auch spielt die Zugangskontrolle hier eine wichtige Rolle. Ist eine zentralisierte Zugangskontrolle vorhanden oder wird der Zugang zu den Servern einzeln vergeben? Hier kann zum Beispiel bei der Planung der neuen Struktur eine geänderte Authentifizierung auch der Administratoren zu einer erhöhten Sicherheit führen Die Beschaffenheit der Räumlichkeiten Zu der technischen Infrastruktur gehören auch die Räumlichkeiten einer Firma. Die Beschaffenheit der Serverräume ist hierbei offensichtlich. Es heißt herauszufinden, wie die einzelnen Serverräume ausgestattet sind, ob Zugangskontrollen, Feuerlöschanlagen und ausreichende Kühlung und Stromversorgung vorhanden sind. Erlangt eine unbefugte Person Zugang zu den Konsolen der Server, hat er meistens recht einfache Möglichkeiten, die Kontrolle über die entsprechenden Server zu erlangen. Hier besteht ein großes Sicherheitsrisiko, das analysiert werden muss. Aber auch die Büroräume- und Gebäude sind von großer Wichtigkeit. Gelingt es einer unbefugten Person, Zugang zum Firmennetz zu erlangen, ergeben sich meist auch gute Möglichkeiten, in bestimmte Server einzubrechen oder an sensible Daten zu gelangen. Durch die historisch bedingten Einrichtungen und Gebäude kann dies schnell und mit wenig Problemen möglich sein Ein einfaches Beispiel Als Beispiel für eine einfache technische Infrastruktur kann die Abbildung 1 dienen. Abbildung 1: Beispiel einer einfachen Intranet Struktur 9

206 Hierbei ist festzustellen, dass sämtliche angeschlossenen Computer transparent miteinander verbunden sind. Die Netzwerkkomponente in der Mitte steht hierbei symbolisch für die gesamte Netzwerkstruktur, sei es die lokale Vernetzung oder die Vernetzung der einzelnen Firmenstandorte Die Modellfirma In unserer Modellfirma finden wir hier die lokale Vernetzung in den Standortbüros meistens über Kupferkabel, konzentriert über Hubs oder Switches. Die Server sind zentral an den Verteilerswitch angeschlossen, genauso wie die Etagenswitches und der WAN Router. In den größeren Standorten finden sich hier mehrere WAN Router für die einzelnen kleineren Standorte. Firewalls in einigen wenigen großen Knotenpunkten sichern den Übergang vom Intranet zum Internet ab. Abbildung 2 zeigt ein solches Beispiel. WAN Router Abbildung 2: Einfache Standortverkabelung Als Beispiel für die räumliche Beschaffenheit kann hier ein Serverraum der Modellfirma dienen, der über Türen mit einfachen Schlüsseln zu betreten ist, pro Rack eine USV für die Server installiert hat und nur eine einzelne Klimaanlage besitzt. Die Bürogebäude werden daraufhin untersucht, ob und wie der Zugang zu den Büros abgesichert ist. Sind hier nur einfache abschließbare Türen mit normalen Schlüsseln vorhanden oder ist eine elektronische Zugangskontrolle realisiert. Es kann auch untersucht werden, welche Hindernisse für Diebstahl von Hardware vorhanden sind. Auch dies ist ein Sicherheitsrisiko, da die Festplatten der Arbeitsplatzrechner unternehmenskritische Daten enthalten können. 10

207 3.3 Analyse der organisatorischen Struktur Das IT Team Bei der Analyse der organisatorischen Struktur wird der Aufbau und die Hierarchie des gesamten IT Teams oder der gesamten IT Abteilungen untersucht. Hierbei kommt es darauf an, wie das Team aufgebaut ist. Sind eventuell auch mehrere vielleicht sogar unabhängig voneinander agierende Teams mit unterschiedlichen Aufgabenstellungen vorhanden, wie arbeiten verschiedene Teams zusammen oder sind vielleicht pro Abteilung oder Standort einzelne Gruppen vorhanden, die alle die gleichen Aufgabenstellungen haben. Hierbei kann es gut vorkommen, dass mehrere Teams unterschiedliche, schlimmstenfalls sogar nicht kompatible Lösungen entwerfen und alle Teams unabhängig an der Lösung gleicher Aufgabenstellungen arbeiten. Jeder erfindet sozusagen das Rad neu. Aus sicherheitstechnischer Sicht bieten solche Strukturen oft Angriffsmöglichkeiten auf die Infrastruktur eines Unternehmens Die Leitung Zu der Untersuchung der Teamstrukturen gehört auch die Untersuchung der Teamleitung, sind gemeinsame Führungskräfte vorhanden oder wie findet die Aufgabenverteilung statt. Auch ist es wichtig, die Einbindung der IT in das ganze Unternehmen zu betrachten. Hier kommt es darauf an, wie die organisatorische Eingliederung in die gesamten Unternehmensprozesse stattfindet. Dabei spielt auch die Aufgabenstellung des Unernehmens an die IT eine wichtige Rolle Die Modellfirma Als Beispiel in unserer Modellfirma finden wir hier in jedem Standort ein unabhängiges IT Team, das von einem Teamleiter geleitet wird und nur der Führung des Standortes beziehungsweise der Abteilung unterstellt ist. Alle Aufgaben werden dort lokal erledigt, sowohl das Entwickeln der Problemlösungen als auch der Betrieb der Infrastruktur. 11

208 3.4 Analyse der Arbeitsweise im Unternehmen Die Arbeitsorganisation Bei der Untersuchung der Arbeitsweise der IT Abteilung oder der einzelnen Abteilungen wird die Arbeitsorganisation analysiert. Hierbei ist es wichtig, herauszufinden, wie die Führung der IT Abteilungen funktioniert, wie die Zusammenarbeit mit dem Unternehmen oder der Unternehmensführung realisiert und ob Arbeitsabläufe standarisiert sind. Dabei geht es zum Beispiel um das Vorhandensein von Prozeduren und Richtlinien für die tägliche Arbeit, um Richtlinien zur Entwicklung neuer Systeme und Prozeduren für Fehlerfälle wie zum Beispiel ein Desaster Recovery Plan. Auch Backup Strategien spielen hier eine Rolle, da sie ein wichtiger Teil eines Sicherheitskonzeptes sind Das know how Untersucht werden muss auch der Ausbildungsstand der Mitarbeiter sowie die Fortbildungsmaßnahmen, die für die einzelnen Mitarbeiter sowie für die Führungskräfte durchgeführt worden sind beziehungsweise wie die Abteilungen auf dem Stand der Technik gehalten werden Die Kommunikation Auch der Austausch zwischen der Unternehmensführung, sei es die Führung der Abteilung, des Standortes oder der gesamten Firma, muss beleuchtet werden. Hierbei kommt es darauf an, wie die Anforderungen des Unternehmens an die IT gestellt werden, wie die IT in die Unternehmensprozesse eingebunden ist und wie sehr auch die nicht IT ler sensibilisiert sind für die Probleme und Anforderungen der IT und vor allen Dingen der IT Sicherheit Die Modellfirma In unserer Modellfirma finden wir hier kaum standarisierte Richtlinien und Prozeduren, die bei täglichen Arbeit und in Fehlerfällen benutzt werden können. Gearbeitet wird sozusagen, wie wir es immer schon gemacht haben, bedingt durch die gewachsenen Strukturen mit ihren historisch begründbaren Problemen. Die Einbindung der IT in die Unternehmensabläufe findet nicht konsequent statt. 12

209 3.5 Analyse möglicher Risiken und Probleme Die Untersuchung der möglichen vorhandenen Risiken ist ein weiterer wichtiger Teil der Analyse. Es gilt festzustellen, wo es zu Problemen bei der vorhandenen IT Infrastruktur kommen kann, vielleicht auch schon mal gekommen ist und wie die Probleme gelöst wurden. Auch müssen die Risiken abgeschätzt werden, die durch die vorhandenen Kommunikationswege innerhalb der IT und zwischen IT und Unternehmensführung vorhanden sind. Denn gerade bei dem Austausch zwischen den Führungsetagen von IT und Unternehmen können viele Sicherheitsprobleme auftreten, wenn die Chefetagen sich nicht über die Sicherheitsrisiken ihrer IT Infrastruktur im klaren sind und die Sicherheitsmaßnahmen nicht einsehen und damit nicht fördern. Gute IT Sicherheitskonzepte haben keinen Erfolg in den Unternehmen, bei denen innerhalb der Chefetagen keine Sensibilität für die Risiken der Sicherheit des gesamten Unternehmens vorhanden ist, die durch Vernachlässigung der IT Infrastruktur entstehen können. Daher ist gerade die Analyse der möglichen Risiken und Probleme ein wichtiger Bestandteil, um hieraus ein gutes IT Sicherheitskonzept für die IT Infrastruktur des Unternehmens entwerfen und realisieren zu können Die Modellfirma Bei unserer Modellfirma stoßen wir hier auf Kommunikationsprobleme zwischen den IT Abteilungen und der Unternehmensführung. Die Unternehmensführung hat den Stellenwert der IT für das Unternehmen noch nicht erkannt und fördert daher die teilweise erheblichen notwendigen Investitionen nicht ausreichend. Auch die Abschätzung möglicher Folgen für das Unternehmen bei dem Ausfall bestimmter IT Systeme ist nicht vorhanden. 13

210 4 Die sichere Infrastruktur ein modellhafter Entwurf Dieses Kapitel der Projektarbeit befasst sich mit dem Entwurf eines IT Infrastrukturkonzeptes für große Serverlandschaften am Beispiel unserer Modellfirma. Es werden auch einige Aspekte angesprochen, die nicht direkt mit der Serverlandschaft in Verbindung stehen, aber für eine sichere Infrastruktur sehr wichtig sind. Jeder dieser Aspekte könnte wiederum eine vollständige Projektarbeit füllen, daher werden diese Aspekte nur grob umrissen. Die modellhafte Entwicklung des Konzeptes bietet die Möglichkeit, das Konzept für konkret vorhandene Rahmenbedingungen anzupassen und somit schnell die grundlegenden Anforderungen an ein sicheres IT Infrastrukturkonzept entwickeln zu können. 4.1 Anforderungen an eine sichere IT Infrastruktur Bei den Anforderungen an eine sichere IT Infrastruktur müssen sehr viele Gesichtspunkte berücksichtigt werden. Viele dieser Gesichtspunkte werden schon bei der konkreten Bestandsaufnahme während der Analysephase im Unternehmen deutlich Bedingungen für eine sichere IT Infrastruktur Allgemein muss eine sichere Infrastruktur mindestens folgende Bedingungen erfüllen : Y Die Infrastruktur muss den Anforderungen des Unternehmens entsprechend eine Verfügbarkeit der angebotenen Dienste sicherstellen. Dies kann erreicht werden durch die Ausfallsicherheit der einzelnen Systeme sowie die Ausfallsicherheit durch Redundanz auf Hardware und auf Software Ebene. Y Die zur Verfügung gestellten Dienste müssen die wie auch immer gearteten Daten unverändert verarbeiten, die Authentizität muss gewährleistet sein. Y Zugriff auf die Dienste und die Datenbestände muss durch Authentifizierung der einzelnen Benutzer eingeschränkt werden können. In sensiblen Fällen kann auch eine Kontrolle der Zugriffe unter Berücksichtigung der Datenschutzgesetze stattfinden. Y Zentrale Authentifizierung der Benutzer, für normale Dienste über Active Directory oder LDAP, für sensible Dienste und Administrationsaufgaben zusätzlich über erweiterte Authentifizierungsmaßnahmen wie RSA Tokens oder Biometriescanner (Fingerabdruck, Augen/Gesichtsscanner) 14

211 Y Zugangsregelung für Serverräume und Bürogebäude. Der Zugang zu den Serverräumen sowie der Zugang zu den Büros muss gesichert werden. Dies ist zum Beispiel abhängig von der Wichtigkeit der Serverdienste. Kritische Unternehmensdaten- und Systeme müssen besonders geschützt werden. Einbruchsund Diebstahlgefahr muss minimiert werden durch Zugangskontrollsysteme und Sicherung der Hardware. Y Regelung des externen Zugriffs auf das Unternehmensintranet. Dies beinhaltet sowohl Mechanismen für Heimarbeiter als auch für externe Dienstleister. Y Trennung des Netzwerkes, um transparenten Zugriff auf wichtige Server wie Datenbankserver zu verhindern. Y Richtlinien und Prozeduren für die tägliche Arbeit, die Entwicklung und Integration von neuen System sowie das Vorhandensein von Notfallplänen. Y Schulungen der Mitarbeiter und Führungskräfte, durch Informationsmaterial und persönliche Schulungsveranstaltungen sowie Online Trainings. Durch die Bestandsaufnahme und die Bedarfsanalyse können die einzelnen Gesichtspunkte für einen konkreten Fall einzeln ausarbeitet werden und somit die Anforderungen an das neue sichere IT Infrastrukturkonzept definiert werden Anforderungen an die Serverlandschaft Für unsere Modellfirma ergeben sich für die Serverlandschaft folgende Gesichtpunke: Y Gewährleistung der Ausfallsicherheit einzelner Serversysteme durch redundante Komponenten Y Failover Lösungen für kritische Applikationen Y Segmentierung des Netzwerkes durch Firewalls Y Zentralisierung der Authentifizierung durch AD und RSA Tokens Y Zusammenfassung der IT Teams und Neuregelung der Aufgabenstellungen Y Modifikation der Serverraumarchitektur Y Zentralisierung unternehmenskritischer Applikationen durch Terminal Server oder Web Applikationen Durch die Berücksichtigung dieser Gesichtspunke kann man eine mögliche Infrastruktur entwerfen, wie sie in Kapitel 4.3 vorgestellt wird. 15

212 4.2 Lösungswege zur sicheren IT Infrastruktur ITIL Der Weg, der zu einer sicheren IT Infrastruktur führt, muss für jeden konkreten Fall einzeln betrachtet werden. Zu unterschiedlich sind die Anforderungen an die IT, als das man hier generelle Wege vorgeben kann. Viele gerade sehr große Unternehmen halten sich an Standards, wie sie zum Beispiel durch ITIL beschrieben werden, der IT Infrastructure Library. Durch ITIL wird das komplette IT Service Management beschrieben, es ist ein Leitfaden für das Vorgehen von IT Dienstleistungen BSI Konkreter für sichere IT Infrastrukturen ist hier das IT Grundschutzhandbuch des BSI. Hier werden alle relevanten Gesichtspunkte aufgeführt, die für ein umfassendes IT Sicherheitskonzept einer gesamten Firma notwendig sind. Das Grundschutztool kann hier eine Hilfestellung bieten, um die Firmeninfrastruktur darzustellen und Sicherheitsprobleme aufzudenken Klassifizierung der Einzelkomponenten Nach der Bestandsaufnahme müssen die Anforderungen an die IT Sicherheit definiert werden. Die einzelnen Dienste und Systeme müssen so klassifiziert werden, dass man für jedes System, auch für Gebäude und Räume, die entsprechenden Maßnahmen definieren und durchführen kann. Denn nur so lässt sich eine sichere Infrastruktur erreichen, in dem man alle Teilsysteme erfasst und entsprechend ihrer Klassifikation absichert. Sicherheit lässt sich durch die Sicherheit der vorhandenen Technik erreichen, wichtig ist aber auch die Berücksichtigung der Organisationsstrukturen sowie der Einbeziehung der Nutzer und Entscheider des gesamten Unternehmens. Die beste Technik hilft hier nicht, zu einer sicheren Infrastruktur zu gelangen, wenn durch häufige Missachtung von Richtlinien die Sicherheitsmechanismen außer Kraft gesetzt werden Die Modellfirma Für unsere Modellfirma bedeutet dies, dass die Punkte, die in Kapitel 4.1 aufgeführt sind, analysiert werden müssen und auf Grund der Ergebnisse die entsprechenden Maßnahmen definiert werden müssen. Daraus ergibt sich zum Beispiel die Infrastruktur einer möglichen Serverlandschaft, wie sie im folgenden Kapitel beschrieben wird. 16

213 4.3 Eine mögliche Serverlandschaft und Infrastruktur Dieses Kapitel beschäftigt sich mit dem konkreten Entwurf einer möglichen IT Infrastruktur unseres Modellunternehmens. Der Schwerpunkt wird hier auf die Serverlandschaft gelegt, aber auch einige weitere Rahmenbedingungen, die erfüllt werden müssen, werden dargestellt, da die Serverlandschaft sicher eingebettet sein muss in die vorhandene Unternehmensumgebung Die Netzwerkstruktur Die eigentliche Netzwerkstruktur des Unternehmens muss segmentiert werden, so dass die sensibleren Server gegenüber dem unsicheren Netzbereichen abgeschirmt werden. Dies geschieht auf Grund des angebotenen Dienstes eines Servers sowie der Klassifizierung des Dienstes hinsichtlich der Sicherheitsanforderungen. Einfache Datei- und Druckserver müssen nicht besonders vom normalen, eher als unsicher eingestuften Netz getrennt werden. Hier ist auch eine Authentifizierung über Name/Passwort durch die Active Directory ausreichend. Die kritischeren Applikationen, wie es zum Beispiel SAP Datenbanken, Lagerverwaltung oder Buchhaltungsprogramme sind, müssen vom normalen Netz so abgeschirmt werden, dass sie nur von den vorgesehenen Benutzern erreicht werden können. Dies kann zum Beispiel durch den Einsatz von Terminal Servern erreicht werden, die nach Authentifizierung der Benutzer durch Name/Passwort, PIN und RSA Token auf dem Terminal Server Zugriff auf im sicheren Netz gelegene Datenbanken und Dienste erhalten. Auch kann hierfür eine Web Applikation benutzt werden, bei der der Web Server aus dem normalen Netz erreichbar ist und nur der Web Server Zugriff auf die benötigten Applikations- und Datenbankserver besitzt. Diese Regelung findet durch Firewall Architekturen statt Aufteilung des Netzwerkes Für administrative Zwecke können ähnliche Lösungen verwendet werden. Hier ist aber auch der Einsatz von Applikationsgateways- und Routern möglich, so dass ein Zugriff über das Management LAN im sicheren Netzbereich auf die einzelnen Server möglich ist. Hierbei spielt die Trennung von Datennetz, Managementnetz und Backupnetz eine Rolle. Diese Trennung kann auch stufenweise so erfolgen, dass die Frontend Server aus dem normalen Netz erreichbar sind, die Applikationsserver vom Frontendserver angesprochen wird und nur der Applikationsserver Zugriff auf die Datenbankserver besitzt. Vom Frontend Server ist 17

214 somit kein Zugriff auf die Datenbank möglich, da alle Anfragen übern den Applikationsserver laufen müssen Eine mögliche Infrastruktur der Modellfirma Die Abbildung 3 zeigt einen möglichen Aufbau der IT Infrastruktur: Extranet, Remote Zugriff Firewall / ACE Server Workstation Managementworkstation Segment 2 (sicher) Segment 1 (unsicher) Firewall Firewall Backupnetz / SAN Managementnetz Datennetz Firewall Server Server Firewall Managementgateway / TS Datenbankserver Workstation Internet Web Server Datenbankserver Abbildung 3: Aufbau einer möglichen sicheren IT Infrastruktur Bei dem Aufbau in Abbildung 3 erkennt man die Segmentierung des Netzwerkes in ein unsicheres Segment für die normalen Arbeitsplatzrechner und dem abgesicherten Segment für die kritischen Server inklusive den Zugriffsmöglichkeiten über die Firewalls, Terminal Server und Gateways. Diese Darstellung ist eine schematische Darstellung, bei der noch weiter berücksichtigt werden muss, dass unsere Modellfirma mehrere Abteilungen besitzt und über mehrere Standorte verteilt angesiedelt ist. Das schafft zusätzliche Probleme, da die Realisierung einer solchen Struktur durch die Anbindung von unterschiedlichen Standorten erschwert wird. Hier ist aber die Möglichkeit gegeben, dass innerhalb der Standorte das Netzwerk durch Trennung mit Hilfe von VLANs segmentiert wird und VPN Gateways den Zugriff auf die entfernt stehenden Server regeln, in dem sie über einen verschlüsselten VPN Tunnel die Daten über das unsichere Netz bis zum sicheren Zielnetzwerk leiten, in dem die Frontendserver vorhanden sind. Hierdurch ist es möglich, auch Standorte mit mehreren 18

215 unterschiedlichen Abteilungen und Sicherheitsanforderungen ohne größere Probleme im IT Infrastrukturkonzept entsprechend ihren Anforderungen zu berücksichtigen. Abbildung 4 zeigt einen solchen Aufbau. VLAN 1, unsicher VLAN3, VPN Router VLAN 1, unsicher VLAN 3 /VPN Router WAN Router VLAN/VPN Tunnel Abbildung 4: Segmentierung durch VLAN und VPN Router Die Abbildungen 3 und 4 zeigen mögliche Aufbauen einer neuen technischen Infrastruktur. Wie die Analyse aber gezeigt hat, ist es auch notwendig, die organisatorische Struktur einer Firma anzupassen, um möglichst effektiv ein hohes Maß an Sicherheit erreichen zu können Organisation und Arbeitsweise Diese Projektarbeit beschäftigt sich mit dem Schwerpunkt der technischen IT Infrastruktur. Daher wird an dieser Stelle eine Neuordnung der Organisation nur angesprochen, da dieses Thema den Rahmen der Arbeit sprengen würde. Hinweise zur Neuorganisation können unter anderem durch ITIL erreicht werden. Aber auch alleine die Zusammenfassung aller vorhandenen IT Teams und eine sinnvolle Aufteilung der Aufgabengebiete sind schon ein guter Schritt in die richtige Richtung. Ähnliche Änderungen sind auch bei der Arbeitsweise notwendig. Auch hier sei nur kurz gesagt, dass hier ein hohes Potential an zusätzlicher IT Sicherheit möglich ist, alleine durch die Einführung von Richtlinien, Prozeduren und Notfallplänen. 19

216 4.3.5 Die Serverbetriebssysteme Die Wahl des Serverbetriebssystems wird hier auch nur kurz angeschnitten, da sich die verschiedenen modernen Systeme problemlos in unserer geplante IT Infrastruktur eingliedern lassen. Die Wahl ist vielmehr von den Anforderungen der einzelnen Dienste und der Historie der gesamten IT Landschaft des Unternehmens abhängig. 20

217 4.4 Vorgehen bei einer Migration der bestehenden IT Infrastruktur zur neuen Struktur Gerade bei der Umstellung historisch gewachsener Strukturen auf eine neu geplante IT Infrastruktur können sich einige auch unvorhergesehene Probleme ergeben. Sinnvoll ist es daher, eine schrittweise Umstellung der Struktur zu ermöglichen, teilweise mit parallelem Betrieb beider Systeme, bis die Startschwierigkeiten des neuen Systems alle überstanden sind. Hier ist es wichtig, dass im Vorfeld eine genaue Analyse der IT Struktur stattgefunden hat, um entsprechende Dienste mit möglichst geringen Ausfallzeiten umstellen zu können. Dementsprechend ist bei der Migration ein genauer Ablaufplan zu erstellen, der vorher exemplarisch in einer Testumgebung überprüft worden ist. Auch sollten hier Recovery Pläne vorhanden sein, um im Fall eines Desasters auf die alten Systeme zurückgreifen zu können. Eine Migration sollte daher mit Bedacht und nicht unter großem zeitlichen Druck durchgeführt werden. Meistens ist die Zeit bei solchen Projekten eher knapp gehalten. Um so sorgfältiger sollte dann in der Planungsphase vorgegangen werden. 4.5 Mögliche Risiken und Probleme Die Probleme und Risiken, die bei einer grundlegenden Änderung der IT Infrastruktur auftreten können, sind vielfältig. Sie können technischen Ursprungs sein. Dies kann zum Beispiel durch Systeme hervorgerufen sein, die unter der Belastung im normalen Betrieb ein anderes Verhalten zeigen als geplant oder das Zusammenspiel der einzelnen Komponenten im großen Verbund funktioniert nicht reibungslos. Auch kann die Portierung alter Applikationen auf neue Systeme Probleme hervorrufen, die während der Testphase nicht vorauszusehen waren. Vielleicht war da doch noch ein historischer Dienst auf einer Maschine versteckt, der wichtig für den produktiven Betrieb war und nun nicht mehr zur Verfügung steht? Probleme können aber auch durch die geänderten organisatorischen Strukturen und geänderte Arbeitsweisen und Aufgabengebiete entstehen. Sei es dadurch, dass die Verteilung der Aufgabengebiete noch nicht vollständig abgeschlossen ist, fachliche Kompetenzen erst neu aufgebaut werden müssen oder schlicht, dass einige Mitarbeiter unzufrieden sind durch die Änderung ihrer Aufgabenfelder. Das Ändern der eigenen Arbeitsweisen und die Anpassung 21

218 an neue Abläufe und Prozeduren benötigt meistens doch eine gewisse Zeit, bis alles wieder reibungslos funktioniert. Alles in allem gilt es hier abzuschätzen, wie hoch der Aufwand betrieben werden muss, damit bei der Planung der neuen IT Infrastruktur und deren Realisierung eine möglichst geringe Beeinflussung des laufenden Betriebs im Unternehmen gewährleistet ist. Zeit, die man bei der Analyse spart, muss eventuell hinterher doppelt in die Lösung neuer Probleme investiert werden. 22

219 5 Resümee Die IT Infrastrukturen in den Unternehmen sind heutzutage vielfältiger Natur. Zu unterschiedlich sind die Aufgabenstellungen und Arbeitsweisen der verschiednen Firmen, auch wenn mindestens in Teilbereichen standarisierte Produkte eingesetzt werden. Bei der Planung eines neuen IT Infrastrukturkonzeptes unter Berücksichtigung ITsicherheitstechnischer Aspekte ist eine gute Bestandsanalyse und eine gute Bedarfsanalyse von großer Wichtigkeit. Denn nur so kann gewährleistet werden, dass bei der Realisierung die Zahl der Probleme klein gehalten wird und das Ergebnis ein Höchstmaß an Sicherheit und Effektivität bietet. 5.1 Erkenntnisse aus der Analyse Die Bestandsaufnahme der IT Infrastruktur ist ein zentraler Punkt bei der Planung einer sicheren IT Landschaft. Zu oft finden sich gerade in großen Unternehmen Bereiche, in denen IT Wildwuchs stattgefunden hat. Und da sind es dann meistens die kleinen, aber wichtigen Dienste, die bei einer Migration unbeachtet bleiben und den Betrieb des Unternehmens stark gefährden. Hier heißt es, gute Vorbereitung durch Analyse der technischen IT Infrastruktur, des organisatorischen Aufbaus und der Arbeitsweisen innerhalb der Unternehmen zu treffen. Bestandsaufnahme und Bedarfsanalyse sind wichtige Punkte, die bei der Planung neuer Strukturen helfen, potentielle Fallstricke zu erkennen und entsprechend zu berücksichtigen. 5.2 Erkenntnisse aus dem Entwurf der sicheren IT Infrastruktur In der Planungs- und Entwurfsphase finden die Erkenntnisse der vorhergegangen Analyse Anwendung. Auch wenn standarisierte Lösungen einige Vorteile bei der Planung und im Betrieb bieten, sollte doch jedes IT Infrastrukturkonzept genau auf die einzelne Firma zugeschnitten sein. Zu unterschiedlich sind die Anforderungen der verschiedenen Unternehmen. Hier gilt es, die Schwerpunkte bei dem Bedarf an IT Sicherheit herauszufinden und die Lösungen dieser Anforderungen gezielt auf das Problem abzustimme n. In unserer großen Modellfirma ist der Bedarf an Schutz vor internem Missbrauch von IT Systemen 23

220 besonders hoch. Daher ist es hier erforderlich, die Struktur dahingehend zu planen und als Konsequenz das Netzwerk zu segmentieren. Bei einer Firma, die einen Onlineshop betreibt, sind die Anforderungen ganz anderer Natur. Hier heißt es, die System innerhalb des Internets abzuschirmen, ohne den Betrieb des Shops zu gefährden und dabei keine Einbußen durch Diebstahl von Daten oder durch den Ausfall von Systemen zu haben. Der Bedarf an IT Sicherheit ist hier ein ganz anderer und muss in der Planung berücksichtigt werden. Auch bietet hier das BSI einige Hilfestellungen, die bei dem Entwurf des neuen Konzeptes berücksichtigt werden können. Für kleinere Firmen lassen sich durch die gleiche Vorgehensweise IT Infrastrukturkonzepte entwickeln. Meist ist bei diesen Firmen der Bedarf ein anderer, so dass sich der Schwerpunkt für die Berücksichtigung der IT Sicherheit verlagert. Doch können hier die gleichen Lösungen vom Prinzip her angewandt werden, wie sie bei größeren Firmen zum Einsatz kommen. 5.3 Fazit für konkrete Projekte Für konkrete Projekte kann das Fazit gezogen werden, dass es vor der Planung und Realisierung eines neuen IT Infrastrukturkonzeptes auf eine gute Vorbereitung ankommt. Es muss der Bestand der IT Infrastruktur einschließlich der Organisation und Arbeitsweise analysiert werden. Aus der Analyse lassen sich viele der notwendigen Schritte ableiten und planen, so dass hierbei ein gutes IT Sicherheitskonzept für einen sicheren Betrieb der IT Infrastruktur entsteht. Die Vorgehensweise bei kleinen Unternehmen unterscheidet sich im Prinzip hierbei nicht von dem Vorgehen bei großen Firmen. Nur der Aufwand und das Ausmaß sind bei großen Firmen deutlich höher. Ein Punkt, der meiner Meinung nach einen sehr großen Stellenwert hat, ist die Berücksichtigung von Schulungen und Mitarbeitersensibilisierung. Auch die sicherste IT Infrastruktur hilft nicht viel weiter, wenn weder die Mitarbeiter noch die Führungskräfte die Notwendigkeit von der IT im allgemeinen und IT Sicherheit im besonderen einsehen und für diese Themen sensibilisiert sind. Hier gilt es auch, während der Analyse herauszufinden, wie groß im einzelnen der Aufwand betrieben werden muss, damit am Ende ein rundum stimmiges Konzept mit guten Chancen auf eine effektive Realisierung entseht und sich das neue IT Infrastrukturkonzept problemlos in das Unternehmen eingliedern lässt. 24

221 6 Anhang 6.1 Web Adressen Verzeichnis Bundesamt für Sicherheit in der Informationstechnik IT Grundschutzhandbuch ITIL IT Infrastructur Library 25

222

223 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel I Vorwort DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Diese Arbeit entspricht dem problemorientierten Versuch, Theorie und Praxis von IT-Sicherheit pragmatisch zu vereinen. Dabei soll sich dieser Versuch über bestehende unternehmerische Grenzen und Unterschiede hinweg setzen und gleichsam einen ganzheitlichen Standard definieren, der über die herkömmliche Betrachtung von / mit IT-Sicherheit bei weitem hinausgeht. Es handelt sich um eine Art Master-Plan für IT- Sicherheit. Dieser Masterplan umfasst Geschäftsprozesse und IT-Prozesse sowie deren synergetische Verschmelzung. Er vereint Security-, Risk- und Quality-Management und verbindet sie in einer Einheit. Letztlich ergeben sich daraus eine Fülle an Möglichkeiten und Potentialen zur unternehmerischen Umsetzung. Es existieren heute nur wenige pragmatische Ansätze zur ganzheitlichen Umsetzung von IT-Sicherheit. Und uns ist nicht ein einziger Ansatz bekannt, der auch nur über den Tellerrand der IT hinausblickt. Wir hoffen mit unserem Ansatz nicht nur Wege zu einem neuen unternehmerischen Handeln, sondern auch die Notwendigkeit zu interdisziplinärem Denken und Arbeiten aufzuzeigen. In einer unternehmerischen Welt wie der heutigen, wo Kürzungen und das Einsparen von Personalkosten wichtiger sind als Sozialleistungen oder zielgerichtete Investitionen hat das SEQURIT ITY-MANAGEMENT die Chance, zu einem Umdenken im Hinblick auf die Optimierbarkeit von Geschäftsprozessen zu wirken. Anmerkung: Der Begriff SEQuRIT ITY stammt wie die Begriffe Seekuh Rity (siehe oben) und Secure IT (bislang noch nicht verwendet) aus einem Wortspiel. Dabei vereint er über das Se den Begriff Security mit Qu Quality und Ri Risk. Außerdem finden sich der Begriff it und die persönliche Adressierung y you oder your company in diesem Kunstwort. Team Seekuhrity ( Volker Schwaberow (Volker@seekuhrity.de) Andreas Schäfer-Thiel (Andy@seekuhrity.de) Bochum im Juni 2005 WBZ der Ruhr-Universität Bochum Seite 3/ 33

224 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel Inhaltsverzeichnis DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed I Vorwort II Einleitung Der theoretische Hintergrund Ausgangsbasis Optimierung Klassisches SEQURITY-MANAGEMENT (SQR) Implementierung Zusammenfassung Das SEQURITY MANAGEMENT-System (Software-Tools) Erfahrung Abgrenzung zur Organisation Regelmäßige Schulung Anpassungsprozesse Unternehmerische Umsetzung Business & IT IT-Sicherheit SEQURITY-Prozesse Beispiele der technischen Umsetzung Kryptografie-Konzept Internet PC-Sicherheit Netzwerk-Sicherheit Gebäudesicherheit Beispiele der organisatorischen Umsetzung Gebäudesicherheit PC- / Notebook-Sicherheit Datenschutz / -sicherung / Persönlichkeitsschutz Controlling / Audit IT-Security Audits SEQURITY Audits Regelkreis Zusammenfassung / Ausblick WBZ der Ruhr-Universität Bochum Seite 4/ 33

225 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel II Einleitung DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Das SEQURIT ITY-MANAGEMENT (SQR) basiert auf einem theoretischen Hintergrund, der ganzheitlich unternehmerische Prozesse betrachtet und miteinander in Beziehung setzt. In Standards wie BS 7799 oder ISO werden in erster Linie IT-Prozesse mit deren räumlichen, technischen und organisatorischen Abhängigkeiten betrachtet. Ein Standard wie ITIL geht zumindest insofern über dieses Schema hinaus, in dem hier Geschäfts- und IT-Prozesse in Relation gesetzt werden. Uns reichen derartige Ansätze insbesondere im Hinblick auf den Stellenwert von IT-Sicherheit in Unternehmen - bei weitem nicht aus. In unserer SEQURIT ITY-MANAGEMENT-Theorie oder -Philosophie geht es nicht bloß um die Verzahnung und Optimierung von Geschäfts- und IT-Prozessen. Wir sehen darüber hinaus wesentliche Aufgaben wie das Risk-, Quality- und Security-Management sowie deren Wechselwirkungen untereinander wie auch bezogen auf Geschäfts- und IT-Prozesse. Abbildung 1: Übersicht SEQURIT ITY-MANAGEMENT Auf dieser theoretischen Basis fußen die weiteren Komponenten des SQR-Managements. Dazu zählen eine IT-Sicherheitssoftware (das SEQURIT ITY-MANAGEMENT-SYSTEM), die Potentiale der unternehmerischen Umsetzung des SQR, die Aufgaben der technischen und der organisatorischen Umsetzung sowie die Funktion des Controllings / Audits zur Prüfung der Realisierbarkeit / Realisierung von SQR-Strukturen. Im Rahmen dieser Projektarbeit werden wir vornehmlich skizzierend vorgehen, da die komplette inhaltliche Darstellung des SEQURIT ITY-MANAGEMENT den vorgegebenen Rahmen sprengen würde. Dabei ist die Darstellung der Inhalte wie ein Regelkreis zu verstehen. Die Betrachtung erfolgt im Uhrzeigersinn. Einer theoretischen Basis, in der die wesentlichen Merkmale des SEQURIT ITY-MANAGEMENT definiert sind, folgt die Entwicklung / Anpassung eines Management Systems, dem sich unternehmerische, technische und organisatorische Umsetzungen anschließen. Das Controlling / der Audit bewertet diese Prozesse und regt ggf. zur Neu- Definition an, so dass der Regelkreis von Neuem beginnt. WBZ der Ruhr-Universität Bochum Seite 5/ 33

226 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 1. Der theoretische Hintergrund 2005 All Rights Reversed Der theoretische Hintergrund beschreibt zum einen die Durchdringung von Geschäfts- mit IT-Prozessen und vice versa inklusive der Darstellung der spezifisch unterschiedlichen Ausrichtung(en). Des Weiteren werden diese Prozesse im Hinblick auf Ihre SQR-Strukturen (Security-, Quality- und Risk-Management) hin betrachtet. Letztlich werden Lösungsansätze skizziert, die Optimierungsmöglichkeiten erkennen lassen sollen. 1.1 Ausgangsbasis Häufig werden Geschäftsprozesse und Informationstechnologie getrennt voneinander betrachtet und bewertet, obgleich sie sich wechselseitig durchdringen bzw. voneinander abhängig sind. Je nach Unternehmenstyp bzw. je nach den unternehmerischen Strukturen und der sich dahinter verbergenden Unternehmensphilosophie finden Geschäftsprozesse (G) und Informationstechnologie (IT) dabei innerhalb eines Unternehmens unterschiedliche Gewichtung. Abbildung 2: Getrennte Betrachtung von Geschäftsprozessen (G) und Informationstechnologie (IT) In ihren extremsten Ausprägungen lassen sich dabei zwei Unternehmenstypen differenzieren, die sich auf den ersten Blick nicht stärker voneinander unterscheiden könnten. Sie lassen sich aus IT-Sicht wie folgt skizzieren: Business driven IT: in diesem Unternehmenstyp überwiegt der Stellenwert der herkömmlichen, traditionellen Geschäftsprozesse. IT wirkt lediglich unterstützend und wird häufig on demand utilitarisch eingesetzt. Business driven IT setzt IT vornehmlich dann ein, wenn Probleme in der herkömmlichen Abwicklung von Geschäften auftreten. Abbildung 3: Geschäftsprozesse (G) und Informationstechnologie (IT) in der business driven IT IT driven business: in diesem Unternehmenstyp steht die IT maßgeblich im Vordergrund. Durch den in den vergangenen Jahren explosionsartig angewachsenen gesellschaftlichen Stellenwert von IT haben sich Firmen auf IT-Dienstleistungen als Kerngeschäft spezialisiert. Abbildung 4: Geschäftsprozesse (G) und Informationstechnologie im IT driven business Im schlimmsten Falle ließe sich behaupten, Unternehmen, die business driven IT I praktizieren, sind auf der Suche nach IT, während Unternehmen, die IT driven business ihrer Unternehmensphilosophie zu Grunde legen, auf der Suche nach Geschäftsprozessen und modellen sind, die sie unterstützen können. WBZ der Ruhr-Universität Bochum Seite 6/ 33

227 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Untersuchen Sie Ihre Geschäftszprozesse! Und untersuchen Sie Ihre IT-Prozesse! Wie stark ist die anteilige Gewichtung in Ihrem Unternehmen? Inwieweit gibt es eine wechselseitige Durchdringung? Erkennen Sie Handlungsbedarf, um IT-Prozesse an Ihre Geschäftsstrukturen anzupassen? Welche Möglichkeiten sehen Sie für eine weitere Optimierung? Ist Ihre IT business driven oder ist Ihr Unternehmen IT driven? Warum ist dies so? Seekuh Rity fragt: 1.2 Optimierung Werden Geschäftsprozesse (G) und Informationstechnologie (IT) synergetisch aufeinander abgestimmt, so optimieren diese die Geschäftsstrukturen. Dabei reduzieren sich sowohl die unabhängigen Geschäftsprozesse wie auch die eigenständigen IT-Prozesse auf ein Minimum. Abbildung 5: Idealtypische Optimierung von Geschäftsprozessen (G) und Informationstechnologie (IT) Im Gegensatz zu der idealtypischen Darstellung sind die Optimierungspotentiale bezogen auf business driven IT begrenzt. Hier wird auch nach der Optimierung ein Großteil unabhängiger Geschäftsprozesse vorhanden bleiben. Dennoch nimmt der Einfluss seitens der Informationstechnologie erheblich zu. Der Anteil eigenständiger IT-Prozesse bleibt relativ konstant. Insgesamt nimmt die Bedeutung der IT erheblich zu. Abbildung 6: Optimierungspotentiale in der Business Driven IT Die Optimierungspotentiale bezogen auf IT driven business sind ebenso begrenzt. Hier wird auch nach der Optimierung ein Großteil eigenständiger IT-Prozesse vorhanden bleiben. Hier nimmt der Einfluss der Geschäftsprozesse erheblich zu. Der Anteil unabhängiger Geschäftsprozesse bleibt relativ konstant. Insgesamt nimmt die Bedeutung der Geschäftsprozesse erheblich zu. Abbildung 7: Optimierungspotentiale im IT driven business Die Synergiepotentiale sind in allen beschriebenen Fällen von zentraler Bedeutung, da neben dem zusätzlichen Transparenzgewinn eine stärkere Effizienz im Unternehmen zu erwarten ist. Wechselwirkungen und gegenseitige Einflussnahme birgen allerdings auch Risiken, die je nach Organisation in ihrer Ausprägung differieren. WBZ der Ruhr-Universität Bochum Seite 7/ 33

228 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Untersuchen Sie Ihr Unternehmen im Hinblick auf Synergiepotentiale! Lassen sich Optimierungen mit minimalem Personal- und Kostenaufwand umsetzen, so sollten diese wohldosiert umgesetzt werden (short-term wins). Binden notwendige und gewollte Optimierungen viel Zeit und Geld, sollten diese strukturiert und sauber projektiert (z.b. an eine Unternehmensleitlinie angekoppelt) über einen längeren Zeitraum realisiert werden (long-term wins). Geduld und Präzision sind hierbei entscheidend, da die neue Geschäftskultur nur erfolgreich sein kann, wenn diese auch gelebt wird. Seekuh Rity empfiehlt: 1.3 Klassisches SEQURIT S ITY-MANAGEMENT (SQR) (SQR) Im herkömmlichen Sinne werden Quality-, Risk- und Security-Management getrennt voneinander betrachtet. In der Regel wird dabei das Risk-Management (RM) den Geschäftsprozessen (G) zugeordnet; das Security-Management (SM) der Informationstechnologie (IT); das Quality-Management (QM) den bereits wechselseitig durchdrungenen optimierten Geschäftsprozessen (G und IT). Abbildung 8: Zuordnungen im klassischen SeQuRity-Management Insbesondere in großen Konzernstrukturen wird es aufgrund der Komplexität der Organisation wohl immer eine strikte Trennung dieser Bereiche geben. Während das Risk-Management in erster Linie dann zum Einsatz kommt, wenn eine strategische (Neu-)Ausrichtung eines Unternehmens vornehmlich an Investitionen gekoppelt avisiert wird, kommt dem Quality-Management in der Regel eine überwachende Funktion von bereits detailliert beschriebenen Prozessen zu. Diese seitens des QM zu überwachenden Prozesse sind dabei fast ausschließlich Geschäftsprozesse, die durch die IT durchdrungen bzw. von dieser beeinflusst / geprägt sind. Wird das Thema IT-Sicherheit als zusätzliches Aufgabengebiet erkannt, so wird es zunächst nicht aus an Geschäftsprozessen geknüpften Faktoren betrachtet, sondern systemisch und somit der IT zugeschrieben. WBZ der Ruhr-Universität Bochum Seite 8/ 33

229 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Existiert in Ihrem Unternehmen eine klare Aufgabentrennung zwischen Risk-, Quality- und Security-Management? Wie werden diese Prozesse zugeordnet? Sind diese Prozesse durch Personen wie z.b. einen QM- oder Datenschutz-Beauftragen geregelt? Wie lassen sich die vorhandenen Zuordnungen im Hinblick auf unternehmerische Transparenz auf der einen Seite und Ansätzen zur möglichen Unternehmensoptimierungen auf der anderen Seite modifizieren bzw. neu organisieren? Seekuh Rity fragt: 1.4 Optimiertes SEQURIT S ITY-MANAGEMENT (SQR) In einem optimierten SQR-Management spielt die Zuordnung der Quality-, Risk- und Security-Aspekte gegenüber den Geschäfts- und IT-Prozessen nur eine untergeordnete Rolle. Hier ist die wechselseitige Beziehung untereinander von größter Bedeutung. Durch die wechselseitige Beeinflussung wird zum einen die Sichtweise der einzelnen Bereiche erweitert (1+1+1=4). Zum anderen führt ein transparenter Austausch zu einer klaren Rollen- und Aufgabenverteilung, was Redundanzen wie im klassischen SQR unterbindet. Abbildung 9: Optimiertes SQR-Management Probleme ergeben sich zumeist dann, wenn zwar die Risk-, Quality- und Security-Prozesse in einem Unternehmen etabliert sind, sie aber durch die Geschäftsleitung unterschiedliche Bedeutung erhalten. So erhält zumeist das Risk-Management die größte Fürsprache, da sowohl der Prozess seit längerer Zeit etabliert ist, man ihm aber auch zugleich den meisten unternehmerischen Nutzen zuschreibt. Meist folgt ihm das Quality-Management, das halb-behördlich gesteuert externe Audits verlangt, die sich aufgrund einer Zertifikatserteilung marketing-strategisch verkaufen lassen. Bislang steht das Security-Management demgegenüber hintenan, da viele Prozesse technischer Art sind und abteilungsintern ablaufen und so gar nicht erst das unternehmerische Licht der Welt erblicken. Sind in Ihrem Unternehmen die Risk-, Quality- und Security- WBZ der Ruhr-Universität Bochum Seite 9/ 33

230 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Management Prozesse hierarchisch gestaffelt? Was können Sie tun, um ein gleichberechtigtes Gefüge zu erzeugen? Wie können Sie die Position des Security-Managements verbessern ohne die Positionen von Risk- und Quality-Management entscheidend zu schwächen? Seekuh Rity fragt: 1.5 Implementierung Werden Geschäftsprozesse (G) und Informationstechnologie (IT) synergetisch aufeinander abgestimmt, so werden eine Fülle neuer Wechselwirkungen bzw. Arbeitsmuster ggf. sogar Arbeitsfelder erschlossen. Ähnliches gilt für die gleichberechtigte Strukturierung von Risk-, Quality- und Security-Management. Vor allem aber gilt dies für die Gesamtheit der Wechselwirkungen, wobei natürlich gewisse etablierte - Polaritäten und Spielarten erhalten bleiben. So wird beispielsweise das Risk-Management den firmeninternen Geschäftsprozessen nach wie vor näher stehen als das Security-Management. Aber: in Relation dazu kommt dem Security-Management im Hinblick auf die IT-Prozesse die gleiche unternehmerische Bedeutung zu wie die Verknüpfung zwischen Risk- Management und Geschäftsprozessen. Wird der Fokus verschoben, kommt es zu Ungleichgewichten. Im Umkehrschluss bedeutet dies aber auch: Werden z.b. Security-Aspekte im IT-Umfeld grob fahrlässig ignoriert droht dem Unternehmen ein vergleichbarer Schaden als würden aus Sicht der Geschäftsprozesse Risikoanalysen ignoriert. Anhand unseres beschreibenden Schemas (siehe Abbildung 9) wird deutlich, wie vielschichtig die Verknüpfungen sind. Sollten derartige Strukturen noch nicht umgesetzt sein, so bietet sich sicherlich eine schrittweise Umsetzung an. Beispielsweise kann eine Optimierung der Geschäfts- und IT-Prozesse parallel zu einer Optimierung der Risk-, Quality- und Security-Prozesse stattfinden. Das führt zunächst zu gewissen short-term wins und dadurch zu weiterer Motivation, die Gesamtheit der Prozesse und deren Wechselwirkungen miteinander zu verzahnen. Bei einer Implementierung derartiger Strukturen sollte allerdings auch nie außer Acht gelassen werden, dass Kompetenzen und letzten Endes Menschen in Beziehung gesetzt werden, die nicht nur in der Firmenhierarchie unterschiedlich positioniert sind, sondern ggf. auch unterschiedliche Interessen, Meinungen und Aufgaben vertreten. Insgesamt könnte es zu einem Aufeinandertreffen seitens der Geschäftsleitung mit der IT-Leitung, dem Internen Audit / Revision, dem Datenschutzbeauftragten, dem Qualitätsbeauftragten, dem IT-Sicherheitsbeauftragten sowie ggf. dem Betriebsrat und der Personalleitung kommen. Aufgrund der unterschiedlichen bzw. teils entgegengesetzten Interessenlagen und der in vielen Unternehmen vorherrschenden Konkurrenzsituationen ist dies sicherlich eine Aufgabe, die entsprechendes Fingerspitzengefühl verlangt. WBZ der Ruhr-Universität Bochum Seite 10/ 33

231 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Abbildung 10: Implementierung von SQR 1 Die Chancen und Potentiale der Optimierung von Geschäftsprozessen (G) und IT-Prozessen (IT) in einem ersten Schritt, der Optimierung von Risk-, Quality- und Security-Management (RM, QM, SM) zu einer gleichberechtigten Einheit in einem zweiten Schritt sowie der idealtypischen Implementierung in die Gesamt-Managementsituation eines Unternehmens sind vielschichtig und führen zu einer erheblichen Transparenz in den unternehmerischen Prozessen im allgemeinen, bei den entsprechenden Prozessen und deren Wechselwirkungen zu anderen Prozessen im Speziellen. Vielfach werden neue Prozesse erschlossen, neue Aufgaben definiert, neue Synergien erzielt. Die harten Abgrenzungen zwischen einzelnen Bereichen werden aufgeweicht. 1 Um Missverständnissen zuvor zu kommen: die Punkte G (Geschäftsprozesse) und IT (IT-Prozesse) beziehen sich nicht ausschließlich auf das QM (Quality-Management). Die Skizze könnte diesen Eindruck erwecken. Vielmehr beschreibt der Buchstabe G den gesamten Bereich der Geschäftsprozesse und betrifft somit auch RM und SM. Das gleiche gilt für den Bereich IT auf der rechten Seite. WBZ der Ruhr-Universität Bochum Seite 11/ 33

232 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! Das SEQURIT ITY-MANAGEMENT (SQR) lässt sich wie folgt in einer Formel zusammenfassen: 2005 All Rights Reversed Abbildung 11: Formelle Darstellung der Implementierung von SQR Das optimierte Managementsystem (O) setzt sich aus dem Produkt zweier Optimierungsphasen zusammen. In Optimierungsphase 1 werden die Geschäftsprozesse (G) und IT-Prozesse (IT) miteinander vermascht, was in seiner Konsequenz zu drei Teilaspekten führt: IT-unabhängigen Geschäftsprozessen: Das sind alle Geschäftsprozesse, die keiner technischen Unterstützung bedürfen. Dazu zählen u.a. Vertragsverhandlungen, Geschäftsabschlüsse. geschäftsunabhängigen IT-Prozessen: Dazu zählen Prozesse, die die intakte Funktion von Informationstechnologie im Sinne eines ordentlichen Betriebes in einem Unternehmen gewährleisten (z.b. Systembetreuung, technischer Helpdesk). Wechselseitig durchdrungene IT- und Geschäftsprozesse: Dazu zählen in erster Linie IT-Systeme, die Geschäftsprozesse visualisieren und interagierbar machen. Dabei beeinflussen die Geschäftsprozesse die entsprechenden IT-Systeme, die ihrerseits wiederum neue Geschäftsmöglichkeiten erschliessen. In Optimierungsphase 2 werden die Prozesse des Risk-Management (RM), Quality-Management (QM) und Security-Management (SM) synergetisch miteinander in Bezug gesetzt. Letztlich bestehen Wechselwirkungen zwischen allen 6 Komponenten. Jeder Prozess beeinflusst somit potentiell 5 weitere Prozesse. Neben der an und für sich gegebenen Beeinflussungen von IT-unabhängigen Geschäftsprozessen, geschäftsunabhängigen IT-Prozessen und wechselseitig durchdrungenen IT- und Geschäftsprozessen bleiben somit 12 weitere Wechselwirkungen, deren unternehmerischer Sinn bzw. der Sinn deren Umsetzbarkeit individuell untersucht werden muss. Im Idealfall etabliert sich darüber eine SEQURIT ITY-MANAGEMENT-Struktur, die einen wesentlichen Bestandteil eines ganzheitlichen Managementsystems repräsentiert. Diese SEQURIT ITY-MANAGEMENT-Struktur wäre im Hinblick auf IT-Sicherheit z.b. maßgeblich in der Erstellung von Firmenpolicies, Leit- und Richtlinien, der Prüfung und der Audits. WBZ der Ruhr-Universität Bochum Seite 12/ 33

233 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Seekuh Rity fragt: Inwieweit können Sie unternehmerische Transparenz schon jetzt gewährleisten? Sind Ihre Geschäfts- und IT-Prozesse transparent und risikofest? Sind Ihre Quality-, Risk und Security-Prozesse ausreichend etabliert? Besitzen diese Prozesse genügend Eigenverantwortung, um möglichst objektiv unterstützend zu wirken? Lässt sich eine schrittweise Optimierung in Ihrem Unternehmen durchführen? Wie lässt sich eine entsprechende Umsetzbarkeit prüfen? Können sich die für eine Implementierung entsprechenden Bereiche / Personen ausreichend einbringen? Ist Ihre Geschäftsleitung dazu bereit, interne Prozesse auf das Firmenmanagement einwirken zu lassen? 1.6 Zusammenfassung Abbildung 12: Zusammenfassung der Theorie des SeQuRity-Management WBZ der Ruhr-Universität Bochum Seite 13/ 33

234 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel 2. Das SEQURIT S DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! System (Software-Tools) ITY MANAGEMENT ANAGEMENT-System (Software ITY-MANAGEMENT-Systems 2005 All Rights Reversed Der Bereich des SEQURIT Systems beschreibt in erster Linie eine Sammlung an Software- Tools, die IT-Sicherheitsbeauftragte bzw. technisch verantwortliche Sachverständige wie Administratoren dazu befähigen soll, Systeme sowohl auf Schwachstellen als auch auf bereits durchgeführte Attacken hin zu untersuchen. Abbildung 13: Übersicht SEQURIT ITY-MANAGEMENT Dabei sollen soll das entsprechende Instrument kleine bis mittelgroße Unternehmen mit einer eng gestrafften Organisationsstruktur genauso unterstützen wie Konzernstrukturen. In dem Umfeld der IT-Security Audits erweisen sich die Prozesse von Security Audits als sehr komplex, so dass hier entsprechendes Personal bereit gehalten werden muss. Zur Überprüfung mittels technischer wie auch organisatorischer Audits unter Berücksichtigung des entsprechenden Dokumentationsaufwandes sollten daher zwei Teams gebildet werden: ein CERT: Computer Emergency Response Team. ein NIRT: Network Incident Report Team. Die Aufgaben eines CERT sind dabei reaktiv zu sehen und umfassen u.a.: Reaktion auf Vorfälle technischer Natur (z.b. Abschaltung von Systemen, Koordination des Rollouts eines Critical Patches). Einleitung von Maßnahmen in Abstimmung mit den entsprechenden SQR-Management Strukturen / Prozessen. Forensische Sicherung bei Rechnereinbrüchen, Einbeziehung der Rechtsabteilung und Strafermittlungsbehörden in enger Zusammenarbeit mit der Geschäftsführung und den entsprechenden SQR- Management Strukturen / Prozessen. Dem gegenüber sind die Aufgaben des NIRT eher präventiv und umfassen u.a.: Scans und regelmäßige technische Audits der IT-Infrastruktur (z.b. zweimal monatlich). Reporting von Sicherheitslücken gegenüber den entsprechenden SQR-Management Strukturen / Prozessen. Einleitung von Maßnahmen, ggf. Verständigung des internen CERT. Präventive Beobachtung der Security-Meldungen von Herstellern, ggf. Verständigung des internen CERT. Das SeQuRity-Management als zentrale Instanz führt die Überlegung an, beiden Teams entsprechende Werkzeuge zur Ausführung ihrer reaktiven und präventiven Maßnahmen zur Verfügung zu stellen. Hierzu eignet sich besonders die Zusammenstellung einer softwaretechnischen Werkzeugsammlung zur WBZ der Ruhr-Universität Bochum Seite 14/ 33

235 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Durchführung von forensischen Analysen. Durchführung von Netzwerk-Penetrationstests. Durchführung von Analysen verschiedener Exploits und Test dieser Exploits und ihrer Auswirkungen auf Anwendungssysteme. Hierzu wurde im Rahmen dieses Projektes eine beiliegende CD auf Basis einer Knoppix-Distribution erstellt. Diese bietet eine Aufteilung nach verschiedenen Bereichen, die mögliche Tätigkeiten der Teams CERT und NIRT weitestgehend entspricht. Aus Sicht aller abzuwägenden Elemente eignet sich offene Software zur Ausführung dieser Tätigkeiten wesentlich besser als die Anschaffung teurer Toolkits wie z.b. Retina oder ISS. Ferner wird beiden Teams die Möglichkeit gegeben, die entsprechenden Toolkits zu aktualisieren oder auf ihre Belange weitergehend abzustimmen. Zur Organisation beider Teams gibt es folgende Punkte zu berücksichtigen: Erfahrung. Abgrenzung zur Organisation. Regelmässige Schulung. 2.1 Erfahrung Der Audit und die Durchführung von Maßnahmen im Bereich der IT-Sicherheit bedürfen einer Erfahrung in verschiedenen Belangen. Rein technische als auch rein organisatorische Audits sind in der Regel schlecht geeignet. Die Tätigkeit innerhalb einer CERT oder NIRT Organisation verlangt Kenntnisse in beiden Tätigkeitsbereichen. Im technischen Umfeld sollten folgende Kenntnisse vorhanden sein: Gute Kenntnisse in den jeweiligen Kommunikationsprotokollen. Gute Kenntnisse innerhalb von Betriebssystemen wie WindowsNT oder Unix. Möglichst Grundkenntnisse in einer Programmiersprache. Im Bereich der Organisation sollte folgendes KnowHow vorhanden sein: Gute Kenntnisse der hauseigenen Organisation inklusive aller Ansprechpartner. Gute Kenntnisse in Regelwerken wie BS-7799 oder ITGSHB (BSI). 2.2 Abgrenzung zur Organisation Um das Vier-Augen-Prinzip zu wahren, muss auf jeden Fall das Team NIRT eine Abgrenzung zur Organisationseinheit Betrieb erfahren. Präventive Maßnahmen sind nur erfolgreich zu gewährleisten, wenn keine persönlichen Abhängigkeiten zu Mitarbeitern des Betriebes gegeben sind. Eine entsprechende Stärkung des Teams muss sich innerhalb der Organisation ergeben. Gute Chancen hat diese Abgrenzung, wenn die Team-Mitglieder über persönliche Charakteristiken verfügen, die unter dem Punkt Erfahrung erläutert sind. Das Team CERT muss nicht zwangsläufig abgegrenzt werden. Es unterliegt einer reaktiven Form der Tagesarbeit. Es kann aus speziellen Vertrauenspersonen des Betriebes zusammengesetzt sein. Aus Erfahrung werden die technischen Belange meist durch Hinzuziehung des NIRT gesteuert. Ein Vier-Augen-Prinzip bleibt somit auch bei direkter Einbeziehung der Betriebsorganisation gewährleistet. WBZ der Ruhr-Universität Bochum Seite 15/ 33

236 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed 2.3 Regelmäßige Schulung Nur durch regelmäßige Schulung lässt sich gewährleisten, dass beide Teams effektiv ihre Aufgaben erfüllen können. Hierbei sollten Mitarbeiter speziell gefördert werden und auch zu internen Vorträgen zu unterschiedlichen Thematiken der IT-Sicherheit in die Pflicht genommen werden. Das geschulte Wissen muss in die Organisationsform eingebracht werden. 2.4 Anpassungsprozesse Gerade in kleinen und mittelständischen Unternehmen werden selten derartige organisatorische Maßnahmen getroffen werden können. Hier ist die Personaldecke meist so dünn, dass CERT- und NIRT-Strukturen gar nicht oder nur in Personalunion umgesetzt werden. Den Betroffenen bleibt häufig daher nur der Versuch der Umsetzung mit Hilfe einer Toolsammlung. Dabei ist das Know-How dahinter von entscheidender Bedeutung, um z.b. False-Positives bewerten zu können. Bewerten Sie die vorhandenen Strukturen im Hinblick auf die Anwendbarkeit von System Management Tools! Bietet das Unternehmen ausreichend Manpower? Erfolgt eine CERT- und NIRT-Umsetzung eher technisch oder organisatorisch? Wie lassen sich die bestehenden Strukturen optimieren? Lassen sich bereits Audit-Möglichkeiten erkennen? Customizen Sie im Anschluss an die Prozessvergabe die entsprechenden Tools und fordern Sie regelmäßige unabhängige Audits ein! Seekuh Rity empfiehlt: WBZ der Ruhr-Universität Bochum Seite 16/ 33

237 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 3. Unternehmerische Umsetzung 2005 All Rights Reversed Der unternehmerische Ansatz berücksichtigt zum einen den theoretischen Hintergrund im Hinblick auf die Optimierung von Geschäfts- und IT-Prozessen sowie der Vermaschung von Security-, Risk- und Quality- Management-Strukturen. Zum anderen wird die Notwendigkeit der Umsetzung technischer Audits unterstrichen und in die Firmenpolicy aufgenommen. Die Unternehmensleitung hat auf diesem Wege die Möglichkeit, direktiv einzugreifen und die Firmenkultur in Punkto IT-Sicherheit maßgeblich mit zu beeinflussen. Abbildung 14: Unternehmerische Umsetzung des SeQuRity-Management Es gibt eine Fülle von Ansätzen, die einer unternehmerischen Umsetzung hilfreich sind. Wir haben exemplarisch die drei pragmatischsten Ansätze hervorgehoben, da diese sowohl für sich allein stehend als auch in Kombination mit den anderen Verwendung finden (können). Sie basieren gemäß SEQURIT ITY-MANAGEMENT aufeinander und können daher auch chronologisch nacheinander umgesetzt werden. Bei diesen Ansätzen handelt es sich um... Business & IT: Optimierung von Geschäftsprozessen. IT-Sicherheit: Implementierung von IT-Sicherheitsstrukturen in die Firmen-Policy. SeQuRity: Implementierung / Optimierung von Quality-, Risk- und Security-Management Prozessen. 3.1 Business & IT In diesem Bereich geht es primär um die enge Verknüpfung von Geschäftsprozessen mit der IT. Ziele dieses Ansatzes sind in erster Linie das Einfordern von IT zur Unterstützung von Geschäftsprozessen, sprich die strategische Utilitarisierung der IT. Dazu lässt sich z.b. ein Arbeitskreis IT-Strategie gründen oder seitens der Geschäftsleitung eine Anforderung generieren, deren Ziel die eindeutige Identifizierung von Optimierungspotentialen ist. Dieser Ansatz hat stark direktiven Charakter und verlangt von der Geschäftsleitung ein relativ detailliertes Verständnis gegenüber IT-Prozessen im Allgemeinen und den vorhandenen technologischen Instrumenten und bereits technisch abgebildeten Geschäftsprozssen im Speziellen. WBZ der Ruhr-Universität Bochum Seite 17/ 33

238 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel 3.2 IT-Sicherheit DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Insbesondere in größeren mittelständischen Unternehmen und in den großen Konzernen wird seitens der Geschäftsführung / Vorstände die Wichtigkeit der Umsetzung eigenständiger IT-Sicherheitskonzepte erkannt. Als grundlegende Maßnahmen der Umsetzung eignen sich... die IT-Sicherheitsleitlinie Sicherheitsleitlinie, in der die Grundsätze der IT-Firmenphilosophie definiert werden. In ihr wird das Interesse an IT-Sicherheit seitens der Geschäftsleitung fixiert und die groben Vorgaben für den Umgang mit Informationstechnologie benannt. Nähere Regelungen, Maßnahmenkataloge und Sanktionsprozedere bleiben außen vor. die Benennung eines IT-Sicherheitsbeauftragten Sicherheitsbeauftragten. Analog z.b. zum QM-Beauftragten wird eine konkrete Person mit den entsprechenden Handlungsvollmachten ausgestattet. Sie ist von da an für die Erfassung / Umsetzung IT-sicherheitsrelevanter Themen verantwortlich. die Betriebsvereinbarung. Sie regelt häufig in Verbindung mit der IT-Sicherheitsrichtlinie den Einsatz neuer Medien in Unternehmen, vornehmlich aufgrund von Datenschutzvorgaben und der Regelung von durch den Betriebsrat zustimmungspflichtigen Maßnahmen wie z.b. der Protokollierung von Zugriffsdaten auf das Internet. In ihr werden die genauen IT-relevanten Geschäftsprozesse eines Unternehmens dokumentiert und geregelt (z.b. wann werden wie zu welchem Zweck mit wessen Einverständnis personenbezogene Daten ausgewertet?). Die IT-Sicherheitsrichtlinie Sicherheitsrichtlinie. Im Gegensatz zu der IT-Sicherheitsleitlinie, die weitestgehend einer Bekundung von Interessen entspricht, werden hier die exakten Vorgehensweisen, Maßnahmen und Sanktionen definiert. Jeder Mitarbeiter hat das Einhalten dieser Richtlinie schriftlich zu bestätigen. Daher hat sie den direktiven Charakter einer Arbeitsanweisung. 3.3 SEQURIT S ITY-Prozesse Dieser Bereich setzt im Grunde genommen eine Fülle an bereits realisierten Prozessen und Maßnahmen sowie erfolgreich durchgeführten Projekten voraus (u.a. Ergebnisse aus den Bereichen Business & IT und IT-Sicherheit Sicherheit). Gemäß des SEQURIT ITY-MANAGEMENTs lassen sich unternehmerische Interessen bezüglich IT- Sicherheit wie folgt aus der Firmenpolicy umsetzen: Mit einem Arbeitskreis SEQURIT ITY lassen sich nicht nur die Kommunikationswege zwischen den Prozessen des Risk-, Quality- und Security-Management verkürzen, sondern auch planerische und unternehmensweite Themen / Projekte im Hinblick auf Geschäftsprozesse und IT-Management auf mehrere Säulen verteilen, die synergetisch und ganzheitlich zentrale unternehmenspolitische und strategische Themen bearbeiten. Mit der SEQURITY -Strategie kann ein unternehmerisches Instrument etabliert werden, dass es den jeweiligen Spezialbereichen (z.b. Quality-Management) aufgrund der Wechselwirkungen ermöglicht, z.b. für eine Zertifizierung über die gängigen Vorgaben hinaus zu handeln und in Vorleistung zu treten. Das SQR-Management erlaubt es insbesondere größeren Konzernen, unternehmensentscheidende Prozesse zu standardisieren, formulieren und zu dokumentieren. Dies führt im Idealfall letztlich zu einem Unternehmenshandbuch, das sämtliche administrativen Tätigkeiten und Aufgaben regelt und reguliert. Dies schafft in erheblichem Maße unternehmerische Transparenz und wirtschaftliche Optimierung. Aus unternehmerischer Sicht geht es mittels Unternehmenshandbuch weiterhin darum, einzelne SQR- Prozesse zu formulieren und dementsprechend Vorgaben für die unterschiedlichen Audits auf der einen Seite, aber auch Arbeitsanweisungen zur Durchsetzung und Optimierung dieser Prozesse auf der anderen Seite einzusetzen. WBZ der Ruhr-Universität Bochum Seite 18/ 33

239 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Seekuh Rity empfiehlt: Prüfen Sie zunächst, welche unternehmerischen Sicherheitsprozesse in der Vergangenheit bereits angestoßen wurden. Zumeist existiert eine Richtlinie zum Umgang mit EDV-Infrastruktur, die ggf. sogar aus den 1970er Jahren stammen kann. Ermitteln Sie den Bedarf in Rücksprache / Kooperation mit dem IT-Verantwortlichen, dem Datenschutzbeauftragten, ggf. auch mit dem Betriebsrat und der Personalleitung. In fortschrittlichen Unternehmen hat zudem meist die Geschäftsleitung zumindest rudimentäre Vorstellungen von Systemschutz und Ausfallsicherheit. Ermitteln Sie vorhandene Prozesse, stellen Sie den Bedarf fest und customizen Sie, bevor Sie mit der Integration neuer Strukturen / Prozesse beginnen. WBZ der Ruhr-Universität Bochum Seite 19/ 33

240 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 4. Beispiele der technischen Umsetzung 2005 All Rights Reversed Bei vielen IT-Sicherheitskonzepten steht der technische Teil im Mittelpunkt und nicht selten werden die Dokumentationen einer IT-Sicherheitsleitlinie und / oder richtlinie anhand technischer Produkte und Vorgaben erstellt. Aufgrund unterschiedlicher Geschäftsprozesse, IT-Strukturen und Infrastrukturlösungen kann es unseres Erachtens immer nur unternehmensspezifische Umsetzungen geben. Nicht nur deshalb soll unsere Darstellung als beispielhaft verstanden werden. Abbildung 15: Technische Umsetzung des SeQuRity-Management In unserem Beispiel sind wir von mittelständischen Dienstleistungsunternehmen mit einer zentralen Verwaltung / Administration in einem zentralen Standort ausgegangen. Die Unternehmen sind mit Filialen europaweit vertreten. (Für Konzerne und kleine Unternehmen würden die Anforderungen und Gewichtungen entsprechend variieren!) Wir haben folgende Arbeitsbereiche exemplarisch hervorgehoben: Kryptografie-Konzept: Konzept: Verschlüsselung vertraulicher / streng vertraulicher Dokumente. Internet: Schutz der Infrastruktur und Dokumente vor malignem Code. PC-Sicherheit: Schutz der Infrastruktur vor unberechtigtem Zugriff / Datendiebstahl. Netzwerk-Sicherheit: Schutz des Netzwerkes vor unerlaubten Zugriffen. Gebäudesicherheit: Schutz der Infrastruktur vor Diebstahl, Sabotage, etc. WBZ der Ruhr-Universität Bochum Seite 20/ 33

241 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed 4.1 Kryptografie-Konzept Konzept Das Kryptografie-Ko Konzept umfasst in unserem Planspiel unterschiedliche Systeme und unterschiedliche Stufen der Vertraulichkeit und Integrität an Daten. Beispielsweise sind folgende Arbeitsthemen / Projekte mit Hilfe technischer Hilfsmittel umzusetzen: Konzeption / Bedarfsfestsetzung: festsetzung: In der Konzeption muss zunächst eine Klassifizierung vorgenommen werden, welche Dokumente / Informationen in dem Unternehmen besonders schützenswert sind (streng vertraulich), allgemein schützenswert (vertraulich) oder öffentlich sind. Eine Prozessklassifizierung schließt sich daran an. Daraus ergeben sich konkrete Handlungsanweisungen, die z.b. den Ausdruck streng vertraulicher Dokumente an einem Etagendrucker betreffen. Anhand der Prozesse lässt sich ein technischer Bedarf feststellen, der entsprechend anhand technischer Werkzeuge gedeckt werden muss. 2 Verschlüsselung von Laufwerk-Mappings: Was nutzen die besten Verschlüsselungsmethoden, wenn die Laufwerks-Mappings der Mitarbeiter, die auf (streng) vertrauliche Daten zugreifen, durch die Übertragung von Passwörtern im Klartext (z.b. durch Batch-Jobs) realisiert sind. Häufig werden derartige technische Fallstricke übersehen, die gerade im Tagesgeschäft von mittelständischen Unternehmen häufiger auftauchen. Die digitale Signatur: Sicherlich kann dieser Arbeitsbereich eines der zeit- und geldintensivsten Projektthemen eines Unternehmens beinhalten. Allerdings existieren auch smarte Lösungen, die es zumindest beim Versand oder der Unterschrift von vertraulichen Dokumenten / s ermöglicht, ein Mindestmass an Datenintegrität zu erzeugen. Insbesondere die Zunahme des Versandes von gefälschten Nachrichten, die mit malignem Code wie Viren, Würmern oder Trojanern verseucht sind, legitimieren die Prüfbarkeit eines Absenders. -Versc Verschlüsselung (ohne Backdoor): Gemäß einer durchgeführten Bedarfsfestsetzung müssen auch s mit vertraulichen / streng vertraulichen Informationen geschützt werden. Den wenigsten Anwendern ist bewusst, dass in seiner Handhabung dem Versand von Postkarten entspricht. Und wissen Sie, wer Ihre Urlaubsgrüsse so alles liest? 3 Festplatten-Verschlüsselung (ohne Backdoor): Dieser Aspekt betrifft vorzugsweise mobile Systeme wie Notebooks. Daten auf Systemen, die häufig transportiert werden, sind besonders anfällig für Verlust durch Vergessen oder Diebstahl. Daher müssen sämtliche Daten auf diesen Systemen vor unberechtigtem Zugriff geschützt werden. 4 Eine praktikabele und gleichzeitig auch zuverlässige Lösung ist die komplette Verschlüsselung der gesamten Festplatte, da nur so sämtliche Zugriffe verhindert werden können. Bei der Auswahl eines entsprechenden Programms ist darauf zu achten, dass nicht unbedingt das amerikanische oder israelische Militär hinter der Entwicklung eben dieser Software stecken, da diese Lösungen meist Hintertürchen enthalten, die potentiell ein Eindringen in das System ermöglichen. 2 Darüber hinaus lässt sich diese Festschreibung gleichzeitig für organisatorische Maßnahmen nutzen: Drucken Sie streng vertrauliche Dokumente niemals unbewacht auf einem Etagendrucker aus. Versehen Sie das Dokument stattdessen mit einem Passwort, das, am Gerät eingegeben, den Ausdruck vor Ort veranlasst. 3 Wichtig ist der dezente Hinweis auf eine bestehende Backdoor-Problematik. Damit ist nicht nur die Verschlüsslung als solche gemeint, sondern die Gesamtbewertung des verwendeten -Systems. Nutzen Sie z.b. Microsoft-Betriebssysteme, so kann ggf. das NSA auf Ihr System zugreifen... Eine Verschlüsselung macht nur dann Sinn, wenn möglichst viele Risiken unberechtigten Zugriffs ausgeschaltet werden können. 4 In entlegenen Industrie-Regionen kann dieses auch für herkömmliche Desktop-PC und Serverumgebungen gelten. WBZ der Ruhr-Universität Bochum Seite 21/ 33

242 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel 4.2 Internet DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Auch die Nutzung des Internet lässt sich direktiv regeln. Dies macht beispielsweise bei zentral geschalteten Internetzugängen Sinn. So umfasst ein Internet-Konzept u.a.: Sicheres Surfen: bei diesem Aspekt geht es um die Themen Browser-Sicherheit, URL-Blocking, ggf. auch Protokollierung von Zugriffen. Hierbei gilt es Techniken zu verwenden, die den Nutzer beim Abrufen von Informationen aus dem globalen Datennetz möglichst wenig beeinträchtigen und vor entsprechenden Beeinträchtigungen (z.b. durch Pop-Up-Fenster, maligne Cookies, Phishing-Content, Verbreitung von Spam, Dialern, Trojanern, Viren und Würmern auf Internetseiten, Session-Hijacking) zu schützen. Für forensische Analysen sowohl im Hinblick auf eine missbräuchliche Internet-Nutzung im eigenen Haus wie auch im Hinblick auf Attacken von außen sind Programme zur Protokollierung von Zugriffen auf das Internet zu empfehlen. Über letzteres ist ggf. der Betriebsrat zu informieren. Virenschutzkonzept: Virenschutzlösungen sind insbesondere für den Versand und Empfang von E- Mail immens wichtig. Ein Virenschutzkonzept verlangt neben einer Fülle von organisatorischen Vorgaben, die in einer eigens dafür erstellten Richtlinie gesammelt werden sollten, einen erheblichen mehrdimensionalen technischen Aufwand. Neben der Auswahl der geeigneten Software spielen dabei vor allem kompatible multiple Lösungen eine Rolle, die zumindest eingehend auf dem STMP-Gateway und auf der lokalen Maschine permanent überwachen. Die entsprechende Lösung sollte sich nicht auf eine Scan-Engine allein verlassen, sondern mehrere beinhalten. Updates sollten in engen Zyklen automatisch erfolgen oder von zuverlässigem Personal per Hand eingepflegt werden. Logging- Funktionen sollten genauso aktivierbar sein wie ein Quarantäne-Bereich zur Analyse und Auswertungsfunktionen zum Erstellen von Statistiken, die nicht zuletzt der Mitarbeiter-Sensibilisierung dienen. Des Weiteren bieten verschiedene Antivirus-Lösungen Antispam-Module gleich mit an. Ist eine IT-Sicherheitsrichtlinie etabliert, müssen entsprechende Vorgaben wie Mitwirkung des Betriebsrats bei einer möglichen Archivierung von und Auswertung von malignen Mails, beachtet werden. Letztlich sollte über ein geeignetes Alert-Management und Outbreak-Notification nachgedacht werden. Firewall-Management: Firewalls dienen der Kontrolle von Netzwerkverkehr und spielen eine maßgebliche Rolle in der Absicherung von Netzwerk-Übergängen. Firewalls gibt es mittlerweile in drei Entwicklungsstufen / Generationen. Generation 1: Paketfilter Generation 2: Stateful-Inspection-Firewalls Generation 3: Application Level Gateways Durch Paketfilterung ist es möglich, Zugriffe auf Basis verschiedener Kriterien zu erlauben oder zu unterbinden. Zu den möglichen Kriterien zählen: a. Quelle der Verbindung, b. Ziel der Verbindung, c. Protokoll der Verbindung (z.b. ICMP, UDP, TCP), d. Quell-Port der Verbindung, e. Ziel-Port der Verbindung. Die Generation 1 - Paketfilterung - einer Firewall unterliegt verschiedenen Problematiken. Hier baut Kommunikation auf verbindungslosen Protokollen wie z.b. UDP (User Datagram Protocoll) auf. Hierdurch ist man dazu gezwungen, Verbindungen für diese Anfragen generell - eingehend zum privaten Netzwerk - freizuschalten. Es besteht allerdings keine Kontrolle, ob ein Dienst vom privaten Netzwerk aus referenziert wurde. Angreifer müssen lediglich in Erfahrung bringen, welche Zieladressen (Ports) aufgrund dieser Beschränkung freigeschaltet sind und können somit unberechtigt Verbindungen schalten. Um dieses Problematik zu lösen wurde das Stateful Inspecting erfunden. Firewalls mit diesem Feature zählen zu der zweiten Generation der Firewalls. Verbindungen über verbindungslose Protokolle werden hier zum privaten Netzwerk nur zugelassen, falls von Seiten des privaten Netzwerkes eine Verbindung ausging. Hierzu bedient sich die jeweilige Firewall-Technologie einer Art Merkzettel, die dokumentiert, ob zu der eingehenden Verbindung eines verbindungslosen Protokolls eine Verbindung von Seiten des privaten Netzwerkes aufgebaut worden ist. Ist dies nicht der Fall, so wird WBZ der Ruhr-Universität Bochum Seite 22/ 33

243 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed die eingehende Verbindung abgewehrt, falls doch - so werden die entsprechenden Pakete durch die Firewall gelassen. Die dritte Generation von Firewalls bietet eine Kontrolle von Diensten auf Applikationsebene und ermöglicht die Kontrolle von Befehlen, die mit dem jeweiligen Dienst (FTP, HTTP etc.) verbunden sind. Empfehlung: Bewährt hat sich der Ansatz, ein kaskadiertes Firewallkonzept zu etablieren. So sollten zwei Firewalls unterschiedlicher Hersteller (möglichst nicht aus den USA und Israel) verwendet werden, um ein Höchstmass an Sicherheit zu garantieren. Das mögliche Konzept sieht hierbei die Verwendung einer Stateful-Inspection-Firewall als Border-Firewall zum privaten Netzwerk vor, und eine unmittelbare Platzierung eines Application-Level-Gateways hinter der Border-Firewall. Somit wird die Kontrolle von Verbindungen auf Basis von Netzwerk-Protokollen durch die Stateful-Inspection-Firewall behandelt und die Kontrolle auf Dienstebene auf Basis des dahinterliegenden Application-Level- Gateways. 4.3 PC-Sicherheit Für den Anwender selbst von zentraler Bedeutung, für das Unternehmen selbst zumeist nur ein Randthema in der IT-Sicherheit ist die Absicherung der einzelnen lokalen Systeme, die PC-Sicherheit garantiert. In der Regel wird der PC (im übrigen auch im Gegensatz zum Notebook) auf der Ebene der Gebäudesicherheit (siehe dort), der Netzwerk-Sicherheit (siehe dort) und weiteren Faktoren wie beispielsweise der Absicherung des Firmennetzes betrachtet. Folgende Themen sind für PC-Sicherheit unabhängig von den o.g. Bereichen exemplarisch zu nennen: Softwareverteilung: Der Software-Verteilung kommt im Hinblick auf die Aspekte des Patch- Management, des Lizenz-Management aber auch der Standardisierung von Installationen / Systemen entscheidende Bedeutung zu. Für den Bereich der PC-Sicherheit ist das Patch-Management für die Gewährleistung entscheidend, dass immer die aktuellste Version einer Software (insbesondere Anti- Virensoftware) mit dem aktuellsten Patch (bzw. der aktuellsten Signatur im Fall von Antivirus- Lösungen) installiert ist. Ferner kann die Software-Verteilung steuern, dass nur die stabil lauffähigen und im Laborbetrieb getesteten Versionen auch im Echtbetrieb installiert werden. Mittels des Lizenz- Managements wird darauf geachtet, dass der Support für eine Software nicht verloren geht bzw. stellt fest, wann und wie neue Software veraltete Komponenten ablöst. Standardisierung hilft insbesondere bei der schnellen Wiederherstellung von gestörten Systemen. Notebook-Sicherheit: Besondere Aspekte von IT-Sicherheit gelten bei mobilen PC wie den Notebooks, da diese Geräte vor Diebstahl und Verlust zu schützen sind, um Firmendaten und vertrauliche Informationen zu schützen. Dementsprechend müssen alle als vertraulich und / oder streng vertraulich eingestuften Informationen auf dem Notebook verschlüsselt werden. Hier empfiehlt sich die komplette Verschlüsselung der lokalen Festplatte. Neben der Einhaltung organisatorischer Regelungen (z.b.: Lassen Sie Ihr Notebook niemals von außen ersichtlich in Ihrem Auto zurück! ), die in einer Richtlinie definiert sein sollten, spielen vor allem technische Aspekte der Wartung und Updates eine wichtige Rolle. Sollte ein Notebook über mehrere Tage nicht im Firmennetz angeschlossen sein, so ist sein Virenschutz ggf. nicht mehr aktuell, da es außerhalb nicht upgedated werden kann. Das Notebook ist dann einer besonderen Gefährdung ausgesetzt. HDD-Wiping: Bei dem Verlassen eines Unternehmens durch z.b. Leasing-Retour oder Verschrotten sollten die Daten auf den lokalen Festplatten durch mehrfaches Überschreiben derart gelöscht werden, dass sie nicht mit einschlägigen Tools wieder hergestellt werden können. Programme wie Boot n Nuke sind zu empfehlen, da sie die Daten bis zu 35 mal überschreiben. Systemhärtung: Rechner, die auch oder ausschließlich außerhalb des Firmennetzes genutzt werden, müssen für diesen Gebrauch speziell gewappnet werden. Neben Regelungen zum Update, der System-Wartung und dem Patch-Management muss auch die entsprechende Infrastruktur wie Router oder WLAN-Hotspots abgesichert werden, was bei der Vielzahl an erhältlichen Systemen nicht trivial und nur schwer zu standardisieren ist. Des Weiteren muss bei Remote-Zugang zum Firmennetz eine wirklich sichere IP-VPN-Struktur implementiert sein, damit nicht über diesen Weg schadhafter Code in das Firmennetz eindringen kann. WBZ der Ruhr-Universität Bochum Seite 23/ 33

244 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed das Firmennetz eindringen kann. 4.4 Netzwerk-Sicherheit Das Konzept der Netzwerk-Sicherheit umfasst Rahmenbedingungen für die Architektur und Anwendung von Netzwerk-Infrastrukturen. Hiervon ausgenommen ist die IT-Sicherheitsbetrachtung auf Anwendungsbasis. Diese ist differenziert in den jeweiligen Risiko-Analysen zu regulieren. Zu den Rahmenbedingungen zählen u.a.: LAN-Aspekte: Aspekte: Unter LAN-Infrastruktur wird das lokale Netzwerk einer Firma bzw. Organisation verstanden. Der ordentliche Betrieb dieses Netzes ist zu sichern. Schutzmaßnahmen sollten gemäß einer Einschätzung des Schutzbedarfes erfolgen. Standardisiert gelten dabei drei Sicherheitsstufen: niedrig, mittel und hoch. Es ist sinnvoll ein LAN zu segmentieren, in Blöcke aufzuteilen, um den unterschiedlichen Schutzanforderungen gemäß der o.g. Bewertungen zu entsprechen. Die richtige Technologie zur Blockbildung bzw. Segmentierung einer LAN-Infrastruktur ist die Virtual-LAN (VLAN)-Architektur. Hier werden getrennte Bereiche auf den Switches definiert, was Hubs grundsätzlich nicht können. Jene ermöglichen keine Segmentierung im Hinblick auf Vertraulichkeit von Kommunikationen im Netzwerk. WAN-Aspekte: Aspekte: Unter WAN-Anbindungen versteht man die Anbindung zwischen zwei Standorten einer Firma bzw. Organisation über klassische physikalische Anbindungen (ISDN, DSL, FrameRelay, etc.), ohne Routing über öffentliche Weitverkehrsnetze wie z.b. das Internet. Auch im Bereich WAN-Sicherheit wird die Sicherstellung des ordentlichen Betriebes angestrebt. Streng genommen wird gerade hier die Erfüllung der Punkte Vertraulichkeit, Integrität und Verfügbarkeit in Punkto Kommunikation besonders priorisiert. Auch hier sind die Kommunikationsstrukturen gemäß Schutzbedarf zu bewerten. Bei mittlerem bis hohem Schutzbedarf darf keinesfalls auf die Regularien der RegTP (Regulierungsbehörde für Telekommunikation und Post) vertraut werden. Es muss davon ausgegangen werden, dass die TK-Infrastruktur eines Providers z.b. durch Sicherheitsdienste überwacht werden könnte. Industriespionage könnte betrieben werden. Angesichts solcher Umstände empfiehlt es sich, eine Verschlüsselung von Kommunikationsströmen vorzunehmen (Router-Router-IPSec). In allen Punkten muss auf jeden Fall der Schutz durch eine Firewall gegeben sein. Es dürfen nur kontrollierte Kommunikationsströme zwischen den verbundenen Netzwerken laufen. Aktive / Passive Komponenten: Die aktiven und auch passiven Komponenten verbinden das LAN und sind somit für die Funktionsweise von zentraler Bedeutung. Sie unterliegen folgenden Anforderungen: Zugangsschutz die physikalischen Komponenten dürfen Unbefugten nicht zugänglich gemacht sein. Wartung das Systemmanagement muss abgesichert sein. Sofern SNMP als Protokoll zum Monitoring verwendet wird, dürfen keine Public Zones und somit auch keine Standardpasswörter verwendet werden. Ausfallsicherheit Komponenten sind ggf. doppelt vorzuhalten. Sofern keine Lastverteilung erfolgt, muss trotzdem eine austauschbare Komponente vorrätig sein, falls die primäre Komponente ausfällt. Zugriffsschutz Wartungszugänge sind nur befugtem Personal zu ermöglichen. Terminalverbindungen zu Komponenten müssen kryptografisch abgesichert sein. Für unterschiedliche Administratoren sollten unterschiedliche Benutzerkennungen gelten. Sichere strukturierte Verkabelung: Zur Gewährleistung einer Funktionalität und Wartung des jeweiligen Netzwerkes bedarf es unbedingt einer strukturierten Verkabelung. Da diese in modernen Ethernet-Netzwerken in der Regel sternförmig durchgeführt wird, sind einige Dinge zu beachten: die Verkabelung wird immer ausgehend von einem abgeschotteten Technikraum durchgeführt. Der Zutritt zu diesem Raum darf nur autorisiertem Fachpersonal ermöglicht werden. Elektronische Arbeiten an der Verkabelung sind grundsätzlich durch entsprechend ausgebildetes Fachpersonal (Elektroniker) durchzuführen. Verteiler sind zusätzlich zu verschließen. Die Verkabelung ist aus Unterscheidungsgründen farblich zu markieren, da in einigen Fällen auch so genannte Cross-Over- WBZ der Ruhr-Universität Bochum Seite 24/ 33

245 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Verkabelungen zwischen den Komponenten verwendet werden. VDE- und DIN-Normen sind zu beachten. Um Leitungsstörungen zu vermeiden, sollten abgeschirmte Verkabelungen verwendet werden. Home Office / IP-VPN: Der Zugang von so genannten Travelling Users oder mobilen Mitarbeitern zum Firmennetzwerk hat in den letzten Jahren eine immense Bedeutung bekommen. Mittlerweile ist durch Einsatz von IPSec eine weitgehende Standort-Unabhängigkeit erreicht. Das wiederum bedeutet, dass Mitarbeiter im Bezug auf ihren Zugriff unabhängig von Access-Technologien sind. Hieraus ergeben sich Chancen und Risiken. Bekannte Risiken sind z.b.: Endgerätekontrolle Endgeräte sind nicht gegenüber der Installation von unbekannten Softwarepaketen abgesichert. Oder es wird der private PC zum Zugang genutzt. Patch-Management - das Patch-Management ist meist nur für das interne LAN durchkonzipiert. Es existiert häufig keine Strategie, wie Travelling Users Patches erhalten. Zugriffsschutz Meist werden schwache Verfahren wie Benutzerkennung und Passwort zur Authentifizierung gegenüber VPN-Gateways eingesetzt. Von daher empfehlen sich u.a. folgende Maßnahmen: Erweiterung des Patch-Managements um den Punkt Travelling User und VPN. Eruierung der Möglichkeiten neuer Technologien, wie z.b. Quarantäne-Netzwerke, die es ermöglichen, VPN-Clients vor Zulassung zum Zugriff auf Malware zu überprüfen. Einsatz starker Verfahren zur Authentifizierung (z.b. X509v3-Zertifikate und RSA-SecurID-Token). 4.5 Gebäudesicherheit Aspekte der Gebäude-Sicherheit umfassen u.a.: Rechenzentrum: Brandschutz Schutz vor Bränden durch CO2-Brandschutzanlagen, speziellen Brandmauern nach Maßstäben der entsprechenden Verordnungen zum Brandschutz. Zugangsschutz Absicherung des Zugangs zum Gebäude durch Technologien wie Biometrie, Smartcards bzw. Ausweisen. Seekuh Rity empfiehlt: Schauen Sie sich in ihrem Unternehmen nach bereits umgesetzten Themen um. Abgeschlossene oder begonnene Projekte eignen sich wunderbar als Einstieg in die technische Umsetzung von IT- Sicherheit. Sie brauchen das Rad ja auch nicht neu zu erfinden. Sind die Prozesse ausreichend realisiert und dokumentiert? Welche Themen, Projekte und / oder Aufgaben schließen sich logisch an das bereits Realisierte an? Eröffnen Sie nicht zu viele Baustellen gleichzeitig. Setzen Sie die Dinge nach Möglichkeit pragmatisch, aufeinander aufbauend, um. Haben Sie dabei Geduld, da Veränderungen von Ihren Kollegen / Mitarbeitern als negativ empfunden werden können. WBZ der Ruhr-Universität Bochum Seite 25/ 33

246 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 5. Beispiele der organisatorischen Umsetzung 2005 All Rights Reversed Ein häufig in mittelständischen und kleineren Unternehmen vernachlässigtes Thema der IT-Sicherheit liegt in der Umsetzung von organisatorischen Maßnahmen zum Erhalt / Aufbau eines grundlegenden Schutzes vertraulicher / streng vertraulicher Daten. Organisatorische Umsetzungen gestalten sich in der Regel als schwierig, da sie oft als Eingriffe in das Nutzerverhalten, als Beschränkung von Nutzungsrechten verstanden werden, und so den Eindruck von Kontrolle erzeugen. Abbildung 16: Organisatorische Umsetzung des SeQuRity-Management In behördlichen Institutionen existieren diese Vorbehalte nicht oder nur selten, da derartige Vorschriften und entsprechende Regelungen zum beruflichen Alltag gehören. Mit einer Gewährleistung der Einhaltung von Vorschriften / Maßnahmen, die gemäß des Grundschutzhandbuches (Gshb) des BSI umgesetzt wurden, haben Behörden und behördenähnliche Institutionen bereits maßgeblich für etablierte organisatorische Prozesse gesorgt. Auf diesen Bereich wollen wir daher auch nicht näher eingehen, wenngleich das Gshb auch von nicht-behördlichen Unternehmen verwendet werden kann. In der Regel erscheint der Aufwand einer hieran angelehnten Umsetzung zu groß, so dass selbst größere Konzerne sich auf ein notwendiges Maß an organisatorischen Sicherheitsmaßnahmen zurückziehen. Dabei bietet sich eine räumliche Betrachtung von außen nach innen bzw. unten nach oben an. Wir haben exemplarisch eine Sicht gewählt, die sich vom Gebäude über den Arbeitsplatz bis hin zu den Dokumenten bewegt. Der Schutzbedarf nimmt dabei von außen nach innen zu. Allerdings können bereits außen greifende Maßnahmen innen auftauchende Probleme verhindern. 5.1 Gebäudesicherheit Neben den grundlegenden physikalischen Schutzmaßnahmen an einem Gebäude, die vor Einbruch, Sabotage oder Faktoren wie höherer Gewalt bei z.b. Naturereignissen schützen sollen, sind organisatorische Regelungen zu treffen, die den Zutritt regeln und kontrollieren. Dazu zählen ein geregelter Pförtner- und / oder Wachdienst genauso wie die Zutrittssteuerung über z.b. Codekarten, der ein organisatorisches Zutrittskonzept zu Grunde liegen muss. WBZ der Ruhr-Universität Bochum Seite 26/ 33

247 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed 5.2 PC- / Notebook-Sicherheit An dieses Zutrittskonzept angelehnt sollten die Mitarbeiter in einem Haus nur die Bereiche erreichen können, die für ihre Arbeitsaufgaben von Belang sind. So benötigt ein Mitarbeiter des Rechnungswesens wohl kaum einen Zugang zum Rechenzentrum. Im Idealfall reduziert sich die Anzahl der Zutrittsmöglichkeiten über den Eingangsbereich und den entsprechenden (Halb-)Etagenzugang, so dass nur noch eine überschaubare Zahl an Personen den Büroraum eines Mitarbeiters und somit potentiellen Zugang zu einem Computersystem erhält. Dennoch sollten auch hier je nach Sensibilität des Arbeitsbereiches - ggf. Zutritts- und Zugangskontrollen erfolgen bzw. organisatorische Maßnahmen wie Regelungen zum passwortgeschützten Umgang mit Computersystemen greifen. Dazu könnte eine Arbeitsanweisung zählen, in der geregelt ist, dass beim Verlassen des Büros der Kennwortschutz eines PC aktiviert sein muss. Ferner kann geregelt sein, dass nur die IT-Abteilung Kennwörter vergeben darf, damit diese nicht einfach erraten werden können. Bei besonders für Diebstahl anfälligen Systemen können weitere physikalische Maßnahmen wie Computerschlösser oder aber organisatorische Regelungen wie das Wegsperren von Notebooks beim Verlassen des Büros greifen. Vertrauen ist gut, Kontrolle ist besser. Es sollte daher auch Usus sein, dass man offensiv auf Fremde zugeht und diese nach ihrem Begehr fragt Datenschutz / -sicherung / Persönlichkeitsschutz Sind ausreichende organisatorische Maßnahmen für den Gebäude-, und Büroraum- sowie den Systemzugang gewährleistet, so müssen auch auf Datei-, Verzeichnis- und Dienste-Ebene verschiedene Berechtigungskonzepte gemäß der internen Unternehmensstruktur etabliert werden, damit die Mitarbeiter nur die für sie und ihre Arbeitszwecke vorgesehenen Verzeichnisse, Dateien und Daten einsehen bzw. ändern und speichern können. Darüber hinaus muss es Regelungen für Lieferanten, Kunden und / oder projektbezogene Vertragspartner geben, z.b. in Form von Datenschutz- oder Vertraulichkeitserklärungen, damit interne Dokumente bzw. (streng) vertrauliche Daten das Unternehmen nicht verlassen. Für Notfall-Szenarien selbst sind entsprechende Backup-Konzepte und Wiederanlaufpläne genauso vorzuhalten wie organisatorische Lösungen im Hinblick auf Storage-Security, um die Integrität von verteilten Daten zu garantieren. Nach Möglichkeit sollte es Regelungen für ein Alert-Management geben, die das Reporting genauso betreffen wie ein Notfall-(Vorsorge-)Konzept. Ein weiterer wesentlicher organisatorischer Bereich ist die Mitarbeitersensibilisierung. Mitarbeiter müssen informiert und aufgeklärt werden, da sie häufig unbewusst Sicherheitsrisiken eingehen. Insbesondere im Hinblick auf das Ausspähen von Firmeninformationen durch Techniken des Social Engineering müssen Mitarbeiter geschult werden. Jeder möchte gern sein Arbeitspensum bewältigen, dabei nicht mehr als nötig gestört werden und gleichzeitig so hilfsbereit wie möglich gegenüber anderen sein. Genau dies bedeutet eine potentielle Gefahr für ein Unternehmen, sofern durch Social Engineering Techniken Daten ausgespäht werden. Neben der Aufklärung empfehlen sich regelmäßige Rundschreiben, die vor gewissen Ereignissen warnen, ggf. auch Virenstatistiken beinhalten und anhand derer auf spezifische Gefährdungen aufmerksam machen. Des Weiteren können klare Arbeitsanweisungen dem Mitarbeiter helfen seine Kommunikationssituation zu überdenken. Der Faktor Mensch ist entscheidend für den Erfolg eines Unternehmens. Dementsprechend wichtig ist der Wissensstand der Mitarbeiter, auch was Technologie, insbesondere aber den Umgang mit dieser und unternehmenskritischen Daten angeht. WBZ der Ruhr-Universität Bochum Seite 27/ 33

248 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Lassen sich in Ihrem Unternehmen organisatorische Maßnahmen eher mühelos oder mühevoll etablieren? Welche organisatorischen Lösungen liegen bereits vor? Ist das Gebäude selbst gesichert? Existieren organisatorische Maßnahmen wie Passwort-Regelungen, Zutrittsregelungen zu den Büroräumen, Wach- und Pförtnerdienst? Strukturieren Sie Ihre Anforderungen nach Möglichkeit von außen nach innen und / oder von unten nach oben! So erreichen Sie ein durchgängiges Konzept. Seekuh Rity fragt: WBZ der Ruhr-Universität Bochum Seite 28/ 33

249 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel 6. Controlling / Audit DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Idealerweise sollten die Prozesse, die durch das SEQURIT ITY-MANAGEMENT in einem Unternehmen etabliert werden auf ihre Effektivität hin überprüft werden. Nur so lässt sich ein qualitativer Mehrwert messen, den das SEQURIT ITY-MANAGEMENT zu liefern vorgibt. Abbildung 17: Controlling / Audit im SeQuRity-Management Ausgangsbasis unseres Konzeptes waren ein theoretischer Hintergrund und eine Tool-Sammlung. An diese beiden Themenbereiche angelehnt haben wir aufgezeigt, auf welche Art und Weise Aspekte von SeQuRity unternehmerisch, technisch und organisatorisch umgesetzt werden können. Letztlich muss es um eine Effizienz-Prüfung der initiierten Prozesse gehen. Dies ist nur mit etablierten Controlling- und Audit- Strukturen möglich, die optimaler Weise durch das SEQURIT ITY-MANAGEMENT angestrengt und umgesetzt werden. Da sich die Etablierung von Prozessen von IT-Sicherheit nicht unbedingt in der Form eines SeQuRity- Managements zeigt, sondern auf den Bereich IT-Security beschränkt bleiben kann, müssen sich die Controlling- und Audit-Strukturen daher auf beide Aspekte nach Möglichkeit unabhängig voneinander - beziehen. 6.1 IT-Security Audits Die Strukturen des IT-Security Audits prüfen die Umsetzung / den Bedarf an Sicherheit, möglichst individuell und pragmatisch bezogen auf organisatorische und technische Belange, aber natürlich auch auf unternehmerische Umsetzungen wie die Einhaltung einer IT-Sicherheitsrichtlinie bezogen. Sofern SEQURIT ITY- MANAGEMENT-Strukturen im Unternehmen etabliert sind, sollte im Fall von exklusiven IT-Security Audits die Priorisierung auf IT-Sicherheit klar definiert sein. Ein IT-Security Audit muss nicht ganzheitlich erfolgen, sondern kann auf einzelne Aspekte beschränkt bleiben. Zu diesen Aspekten zählen u.a.: Prüfen, ob die zuletzt beschlossenen Maßnahmen zur IT-Sicherheit umgesetzt wurden bzw. mit welchem Grad sie umgesetzt wurden. Wurden die definierten Ziele erreicht? Eine (unabhängige) Bedarfsfeststellung, inwieweit IT-Sicherheitsmaßnahmen in bestimmten Bereichen oder Prozessen zu treffen sind. Ggf. kann dies auch die Neubewertung von Schutzbedarfsfestt- stellungen bedeuten z.b. in der Risikoklassifizierung geringen, mittleren oder hohen Schutzbedarfes. Ein Audit auf Abteilungsebene, Prozessebene oder Produktebene. Ggf. werden einzelne Arbeitsbereiche, Arbeitsprozesse oder konkrete Produkte auditiert. Das Security-Tracking von Sicherheitsvorfällen. Hier wird zum einen geprüft, warum spezifische Vorfälle in der Bearbeitung noch nicht abgeschlossen sind. Ggf. müssen weitere Maßnahmen überdacht WBZ der Ruhr-Universität Bochum Seite 29/ 33

250 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed werden. Auf der anderen Seite werden die abgeschlossenen Sicherheitsvorfälle nach Bearbeitungsdauer, Lösungsweg, Prozessoptimierung und / oder Dokumentation hin geprüft. Testszenarien. Dazu gehören vor allem technische Tests in Labor- und in Echtumgebungen, aber auch Übungen und simulierte Sicherheitsvorfälle. Mitarbeiter-Audits im Sinne von Mitarbeitersensibilisierung. Ggf. ist dabei mit dem Betriebsrat die Einsicht in spezifische vertrauliche bzw. personenbezogene Dokumente nötig / sinnvoll. Test der Guidelines unter den Fragestellungen der Praktikabilität. Dazu gehören technische Tests genauso wie Reporting- und Alert-Tests, aber auch Dokumentationsarbeiten. 6.2 SEQURIT S ITY Audits Unabhängig von IT-Security Audits fungieren die SEQURIT ITY-Audits. Sie können dieselben Aspekte betrachten wie die IT-Security-Audits, jedoch auf einem anderen Niveau, da bei einer etablierten SEQURIT ITY-Struktur auch Quality- und Risk-Prozesse wirken. Quality- und Risk-Statementes sind in diesem Zusammenhang bezogen auf die durch IT-Sicherheit oben genannten zu bewertenden Aspekte möglich. Das bedeutet, dass IT-Security Audits nach Quality- und Risk-Massstäben mit bewertet bzw. beurteilt werden (z.b. Schutzbedarfsfeststellung Kunde / Lieferant und SLA). Umgekehrt können die IT-Security Aspekte Risk-Management und Quality-Management Audits in Form von Security-Statements unterstützen In der Regel sollten SEQURITY-Audits prüfen, inwieweit die zugrundeliegenden Theorien und Tools aktuell sind und den Status an unternehmerischer, technischer und organisatorischer Umsetzung auf deren Wirksamkeit, Vollständigkeit und Effizienz hin prüfen. Ggf. müssen Prozesse neu bewertet und alternative Maßnahmen vorgeschlagen werden. Dem SEQURIT ITY-Audit kommt dabei eine besondere Dokumentationspflicht zu, da die auf diese Weise gesammelten Kenntnisse aufgrund des interdisziplinären Charakters unternehmensweit von großer Bedeutung sind. 6.3 Regelkreis Die gesamte Vorgehensweise der Integration von SEQURIT ITY-MANAGEMENT Prozessen kann ähnlich betrachtet werden wie der Plan-Do-Check-Act- (PDCA-)Zyklus des branchenübergreifenden Qualitätsmanagement- Standards DIN EN ISO 9001:2000. Dementsprechend sollte es Instrumente und Lösungen geben, die sich auf die geänderten Anforderungen customizen lassen, was an anderer Stelle untersucht werden sollte. De Facto endet mit einem Audit der Prozess nicht, sondern initiiert die (Neu-)Planung des theoretischen Teil und des SEQURIT ITY-MANAGEMENT Systems. Der Prozess kann somit als kybernetisches Modell verstanden werden. Existieren in Ihrem Unternehmen bereits IT-Security Audit- Strukturen? Wenn ja, existieren Wechselwirkungen zum Qualitätsmanagement? Welche Prozesse lassen sich anpassen bzw. um welche Prozesse muss das gängige Audit-System erweitert werden, um im SQR-Sinne ganzheitlich zu fungieren? Seekuh Rity fragt und empfiehlt: Führen Sie Ihre SQR-Audits ruhig getrennt in den einzelnen Bereichen durch, so dass sie Ergebnisse / Erfolge getrennt messen und bewerten und damit die einzelnen Beeiche steuernd im Sinne eines Regelkreises beeinflussen. Die Ergebnisse bedingen sich! WBZ der Ruhr-Universität Bochum Seite 30/ 33

251 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 7. Zusammenfassung / Ausblick 2005 All Rights Reversed Mittels einer strukturierten stufenweisen Herangehensweise und einem Instrumentarium wie dem SEQURI- TY-MANAGEMENT als Bestandteil eines ganzheitlichen Managementsystems lassen sich eine ganze Reihe an Optimierungspotentialen in einem Unternehmen erkennen und die entsprechenden Prozesse zur Umsetzung initiieren und überwachen. Dabei gilt es sowohl kurzfristige (short-term wins) wie auch mittel- bis langfristige Erfolge (long-term wins) zu erzielen. Gleichzeitig ermöglicht diese Herangehensweise eine Strukturierung und Dokumentation sämtlicher Geschäftsprozesse unter Berücksichtigung sämtlicher Management-Facetten (wie z.b. auch Risikoanalysen, Qualitäts-Statements). Das SEQURIT ITY-MANAGEMENT soll als Bestandteil eines Management verstanden werden, das unternehmerische Transparenz und Risikofestigkeit gewährleistet, gleichzeitig aber multimodal operiert. Es bietet einen ganzheitlichen IT-Security Security- Ansatz und dient der pragmatischen Umsetzung auf allen Ebenen eines Unternehmens. Wie die Management-Theorie in Kapitel 1 bereits zeigt, lassen sich verschiedene Management-Bereiche miteinander so in Bezug setzen, dass sich diese wechselseitig bedingen und den Einfluss aufeinander verstärken. Unmittelbar wirken dabei Geschäfts- und IT-Prozesse auf der einen Seite, Quality-, Risk- und Security-Prozesse auf der anderen Seite aufeinander. Mittelbar wirken die jeweiligen in Relation gesetzten Bereiche auf ein entsprechendes Gegenüber. Aus der Sicht von IT-Sicherheit bedeutet dies eine unmittelbare Einflussnahme auf / Beeinflussung durch Risk- und Quality-Management auf der einen Seite und eine mittelbare Einflussnahme auf / Beeinflussung durch IT- und Geschäftsprozesse. Dabei erfolgt die Anbindung von IT-Sicherheit enger an die IT-Prozesse als an die Geschäftsprozesse. Als Folge und Hilfsmittel dieser Theorie soll das SEQURIT ITY-MANAGEMENT-System wie es in Kapitel 2 skizziert wird - verstanden werden. Dabei handelt es sich in erster Linie um eine Sammlung von Software, die es den entsprechenden Verantwortlichen erlaubt, Systeme sowohl auf Schwachstellen als auch auf bereits erfolgte Attacken hin zu untersuchen. Ggf. müssen dafür jedoch erst noch unternehmerische Rollen / Strukturen definiert werden. Die in Kapitel 3 skizzierten Prozesse einer unternehmerischen Umsetzung von SEQURIT ITY geben Anregungen und konkrete Hilfestellung im Hinblick auf eine Optimierung von Geschäftsprozessen und liefern Vorschläge für eine Implementierung von IT-Sicherheits- und SEQURIT ITY-MANAGEMENT-Strukturen vor allem auf direktive sprich weisungsberechtigte Art. Darauf aufbauend werden in den Kapiteln 4 und 5 beispielhafte Maßnahmen bzw. Arbeitsthemen für eine technische bzw. organisatorische Umsetzung von IT-Sicherheit dargestellt. Das SEQURIT ITY-MANAGEMENT tritt hierbei etwas in den Hintergrund und verweilt in einer bewertenden und prüfenden Position. Mit den bewertenden und analysierenden Funktionen des Controlling / Audit sämtlicher Prozesse endet der Regelkreis und beginnt zugleich erneut. Im Idealfall erfolgt eine unternehmerische SQR-Umsetzung genau in diesem Raster: 1. Optimierung von Geschäfts- und IT-Prozessen. 2. Optimierung von Security-, Quality- und Risk-Management-Strukturen. 3. Implementierung der optimierten SeQuRit ity-prozesse in die optimierten Geschäfts- und IT-Prozesse. 4. Unternehmerische Umsetzung von SeQuRit ity-management Strukturen. 5. Überarbeitung / Etablierung / Optimierung von technischer und organisatorischer IT-Sicherheit. 6. Überwachung mittels Controlling / Audit 7. GOTO 1. Unseres Erachtens wird der Stellenwert von IT im Allgemeinen und IT-Sicherheit im Speziellen immer weiter und in immer engeren Abständen exponentiell zunehmen, so dass ganzheitliche unternehmerische Überlegungen wie die des SEQURIT ITY-MANAGEMENT in Zukunft an Bedeutung gewinnen. WBZ der Ruhr-Universität Bochum Seite 31/ 33

252 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Zwar gibt es aus heutiger Sicht noch viele unüberwindliche Hürden für eine Umsetzung des hier dargestellten Konzeptes, doch lassen sich immer mehr Tendenzen für eine zunehmende Bedeutung von IT-Sicherheit erkennen. Immer mehr Unternehmen etablieren IT-Sicherheitsprozesse, streben eine Zertifizierung nach BS-7799 oder ISO an und erkennen IT-Sicherheit als Merkmal hochqualitativer unternehmerischer Kompetenz. Dadurch nehmen Wechselwirkungen auf administrative Bereiche wie z.b. das Quality- Management zu. Durch die wachsende Betrachtung von und Orientierung an industriellen IT-Sicherheitsstandards steigen auch die Arbeitsaufgaben und pflichten im Arbeitsumfeld der IT. Im speziellen IT-Bereich der Computer- Forensik gehören beispielsweise die sogenannten Incident Response Requirements zu den grundsätzlichen Aufgaben gemäß der ISO Dieser Passus besagt, dass Firmen Prozesse garantieren müssen, die eine schnelle, effektive Reaktion auf Sicherheitsvorfälle ermöglichen. Diese umfassen die Analyse / Identifizierung der Ursache eines Vorfalles, die Planung und Implementierung von Maßnahmen, die ein wiederkehrendes Auftreten verhindern, das Sammeln von Audit-Trails oder ähnlichen Hinweisen genauso wie die Kommunikation mit den Betroffenen und die Mitteilung des Vorfalles an Zuständige und unter Umständen an Behörden. Dieser Prozess der Analyse, Auswertung und Kommunikation umfasst ferner die Situation, wenn ein Sicherheitsvorfall eintritt, um die Nachvollziehbarkeit des Ereignisses zu gewährleisten. Auch der Cybercrime Act liefert zusätzliche Pflichten für IT-Service Provider, die ggf. auch intern in den Unternehmen verankert sein können. Neben der Zunahme an Cybercrime-Aktivitäten selbst, lässt eine wachsende Ohnmacht des Staates zur wachsenden Besorgnis Anlass geben. Im Falle der Bot-Netzwerk- Betreiber hat sich gezeigt, dass der Staat mit seinen Behörden nur bedingt handlungsfähig ist. Die Verantwortung, dass überhaupt gehandelt wird, liegt letztlich bei den Geschädigten und diese müssen erst selbst beweisen, dass sie überhaupt geschädigt wurden. Wie soll das im Falle des Ausspähens von Daten denn einem Laien möglich sein? Die Strafermittlungsbehörden können jedenfalls erst einschreiten, wenn eine entsprechende Strafanzeige vorliegt... Daten- und Verbraucherschützer prangern an, dass es eine politische Abwälzung von Verantwortung gibt, zu Lasten des Verbrauchers. Im Umkehrschluss bedeutet dies aufgrund zunehmender Aktivitäten wie Bot-Netzwerke mehr Arbeit und notwendiges Know-How im Betrieb von Server-Infrastruktur. Wir beobachten darüber hinaus die Vorgaben, die Normen und Gesetze geben. Im Falle des amerikanischen Sarbanes-Oxley Acts 5 sowie der europäischen Gewinnabgrenzungsaufzeichnungsverordnung 6 stellen wir fest, dass im Bereich des Rechnungswesens eine immer enger werdende Anbindung der IT an die internen Geschäftsprozesse erfolgt. Das bedeutet gleichzeitig auch eine Zunahme der Verantwortung von IT-Sicherheit im Unternehmen. Aufgrund weiterer Gesetze und Richtlinien wie z.b. dem Kontrag 7 oder Basel II 8 werden sich die Unternehmen zukünftig stärker der Aufgabe stellen müssen, ihre Geschäftsprozesse hinsichtlich Transparanz und 5 Der Sarbanes-Oxley Act (SOA) umfasst die Initiierung, Durchführung, Aufzeichnung und Veröffentlichung von rechnungsrelevanten Geschäftsprozessen und ihrer Ergebnisse bei börsennotierten Unternehmen. 6 Die Gewinnabgrenzungsaufzeichnungsverordnung (GAufzV) betrifft Steuerpflichtige, die Geschäftsbeziehungen i.s.d. 1 Abs. 4 des Außensteuergesetzes mit nahestehenden Personen unterhalten und deren steuerpflichtige Sachverhalte demnach dem Grundsatz des Fremdvergleichs stand halten müssen, was wiederum durch die Aufzeichnungen der Sachverhalte überprüfbar sein muss. 7 Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG) verpflichtet Aktiengesellschaften (und nach herrschender Meinung auch große GmbHs) zur Durchführung eines angemessenen Risikomanagements. Dabei ist die Geschäftsführung in die Pflicht genommen, alle relevanten und bedrohlichen Schwachstellen für ein Unternehmen transparent zu machen, d.h. in erster Linie, Risiken zu erkennen und Strategien für eine Risikobegrenzung zu entwickeln. Nach Expertenmeinung wird die Bedeutung für viele bislang nicht einbezogene Unternehmen in Zukunft zunehmen. WBZ der Ruhr-Universität Bochum Seite 32/ 33

253 SEQURIT ITY-MANAGEMENT (SQR) Team Seekuhrity Volker Schwaberow Andreas Schäfer-Thiel DIESE ARBEIT IST URHEBERRECHTLICH GESCHÜTZT! 2005 All Rights Reversed Sicherheit stärker zu dokumentieren. Daraus ergibt sich die Überlegung, ob das SEQURIT ITY-MANAGEMENT hier nicht eine sinnvolle Management-Methode darstellt, mit der diese Aufgaben effektiver zu bewältigen sind als mit der bisherigen klassischen Rollenverteilung von Quality-Management (QM), Risk-Management (RM) und Security-Management (SM). Es wird letzten Endes deutlich, dass IT-Sicherheit mehr umfasst als einen simplen technischen Arbeitsbereich oder eine Stabsfunktion. IT-Sicherheit ist aus ihren Kinderschuhen herausgewachsen und spielt mehr und mehr in sämtlichen unternehmerischen Bereichen eine immer gravierendere Rolle. Was wir allerdings kritisch beobachten ist die Instrumentalisierung, die der IT-Sicherheit wiederfährt. Ihre Verwendung erfolgt REAKTIV und nicht wie in unserem SEQURIT ITY-MANAGEMENT postuliert PROAKTIV. Wir unterstellen IT- Sicherheit einen gleichberechtigten Anspruch auf eine unternehmerische Führungsrolle, die auf diese Weise allerdings nicht gewährt werden kann. Vielleicht wird sich das in Zukunft mit zunehmender Verantwortung noch ändern... 8 Kurzform für die geplante neue Baseler Eigenmittelvereinbarung, die 2007 in Kraft treten soll. Im Unterschied zu der derzeit geltenden Eigenmittelunterlegungspflicht Basel I, soll die Eigenmittelunterlegung in Zukunft in Abhängigkeit von der Bonität des jeweils finanzierten Kreditnehmers gestaltet werden. Ratings interne und externe werden zum Entscheidungskriterium. WBZ der Ruhr-Universität Bochum Seite 33/ 33