Security Advisor epublication INFORMATION SECURITY. Simko 3. Cyberwar 2.0. Wie Datenspionage funktioniert. Überall informiert, aber sicher

Transkript

1 INFORMATION SECURITY Cyberwar 2.0 Wie Datenspionage funktioniert Simko 3 Überall informiert, aber sicher

2 2 Cyberwar 2.0 Wie Datenspionage funktioniert Datenspionage ist heute vor allem durch finanzielle Interessen motiviert. Nicht zuletzt deshalb ist diese Bedrohung größer und professioneller denn je. ll Autor: René Reutter, T-Systems Vor dem Hintergrund der Globalisierung der Märkte steigt auch die Wirtschaftsspionage im Web 2.0 deutlich an. Was bislang öffentlich geworden ist, ist vielfach nur die Spitze des Eisbergs, denn meist werden Angriffe und Datenklau nicht bemerkt und wenn, dann werden solche Angriffe meist von den Führungsetagen der Unternehmen schamvoll verschwiegen. Der Handel mit gestohlenen firmenvertraulichen Daten aus dem Internet blüht wie sonst fast kein anderer Wirtschaftszweig. Die Motivation virtueller Eindringlinge ist dabei immer stärker an finanzielle Interessen gekoppelt Daten sind bares Geld, illegale Zugriffe ein Millionengeschäft. Waren früher Finanzinstitute ein begehrtes Ziel der Angreifer, trifft es mittlerweile alle Branchen. Der Trend geht zu gezielten Angriffen und tatsächlich sind immer häufiger kapitalkräftige und gut organisierte Angreifer für Unternehmen ein stark wachsendes Risiko. IT-Verantwortliche machen deshalb für jeden Cyberangriff erst einmal China verantwortlich. Das klingt plausibler, als wenn sie dem Chef und der Öffentlichkeit erklären müssen, dass ein minderjähriger Schüler die millionenschwere IT des Unternehmens kompromittiert hat. Kategorisierung von Angreifern In der Hacker-Gemeinde gibt es sehr viele professionelle Kriminelle, die Schadprogramme und Exploits für Angriffe nutzen, um damit Geld zu verdienen. Meist geht die Aktivität mit einem Identitätsdiebstahl einher. Privat motivierte

3 3 Hacker arbeiten zumeist für die eigene Publicity. Sie wollen ihre Fähigkeiten demonstrieren und dabei Unternehmen bloßstellen. Sogenannte Hacker-Communities kämpfen für eine angeblich gute Sache mit zweifelhaften Methoden. Das Lahmlegen der IT und der Diebstahl von Daten werden genutzt, um an anderer Stelle Druck auszuüben. Dass das oft über legale Schranken hinaus geht ist unzweifelhaft.»freie«unternehmensspione interessieren sich in der Regel für Betriebsgeheimnisse und wettbewerbsrelevante Informationen. Daten, durch kompromittierte ICT-Systeme gewonnen, werden meistbietend verkauft und dienen nur dem Ziel, die eigene Geldbörse zu füllen. Eine kapitalkräftige und meist sehr gut organisierte Gruppe sind die APT-motivierten Angreifer. APT steht für Advanced Persistant Threat. Diese Angreifer haben das strategische Ziel, vertrauliche Informationen eines Unternehmens zu stehlen. Damit wollen sie die eigene Firma stärken und deren Gewinne bei gleichzeitig niedrigen Kosten für die Forschung steigern. Der Stuxnet-Wurm ist ein Paradebeispiel für einen Cyberwar zwischen Staaten. Stuxnet sollte ganz offensichtlich Atomanlagen nachhaltig schädigen. Oft stehen bei solchen Maßnahmen politische, strategische oder volkswirtschaftliche Interessen im Vordergrund. Angriffsinitialisierung In den letzten Wochen haben sich Meldungen über Einbrüche in Unternehmen gehäuft. Bei Unternehmen wie HBGary, RSA, Epsilon, Barracuda Networks oder PSN Sony haben Hacker teils brisante aber auch Unmengen private Daten ausgespäht. Sogar einschlägige Sicherheitsfirmen wurden Opfer von gezielten Attacken. Die Angreifer nutzten ganz gezielt Schwachstellen aus und gingen teilweise sogar über einzelne Mitarbeiter, die vorher lange und sorgfältig ausgekundschaftet wurden. Professionelle Angreifer gehen, wie auch klassische Einbrecher, meist den Weg des geringsten Widerstands. Sie spähen Angriffsziele vorher aus und tragen Informationen nach dem»jäger-und-sammler- Prinzip«zusammen. Soziale Netzwerke wie Facebook, Xing oder»wer kennt Wen«liefern wertvolle Informationen über Angriffsziel und Umfeld. Zu guter Letzt werden die Informationen kombiniert um die beste Angriffsstrategie auszuwählen. Klopft man beispielsweise die Business-Kontakte des IT- Leiters und seines Umfeldes im Web 2.0 ab, können die ermittelten Kontakte Rückschlüsse auf die eingesetzten Produkte bieten und damit Hinweise für die zu wählende Angriffsstrategie liefern. Eine klassische mit individu-

4 4 ellem Zuschnitt reicht meistens schon aus, damit die Zielperson entsprechend präparierte Anlagen öffnet. Gerade wenn es um die Hobbys und Themen zur Freizeitgestaltung geht, werden viele unvorsichtig. Bei gezielten Angriffen auf einzelne Mitarbeiter eines ausgewählten Unternehmens, so genanntem Spear-Phishing, an, ihren Browser und Windows zu aktualisieren, vergessen aber vielfach, auch Programme für Bild-, Text- und Videodateien auf dem neuesten Stand zu halten. So kann auch die Fernsteuerung von PC-Funktionen wie das Anschalten von Mikrofon und Kamera weitere interessante Informationen liefern.»freie«unternehmensspione interessieren sich für Betriebsgeheimnisse und wettbewerbsrelevante Informationen. Sie spähen Angriffsziele vorher aus und tragen Informationen zusammen, z.b. aus Social Networks. werden zumeist präparierte s versendet. Die Intention ist präparierte Anlagen in der oder auf einer entsprechend modifizierten Webseite durch Nutzer installieren zu lassen. Meist handelt es sich dabei um Remote-Administrations-Tools beziehungsweise Stealth-Rootkits, die die Zielperson, unbewusst dessen was wirklich passiert, installiert. Sollte keine User-Interaktion möglich sein, ist die Ausnutzung von Exploits eine weitere Möglichkeit, um privilegierte Rechte auf einem Rechnersystem zu erlangen. Eine Infektion kann aber auch bereits durch den bloßen Besuch einer Internet-Seite passieren, also eine sogenannte»drive-byinfection«. Beispielsweise denken viele Unternehmen dar- Aber auch einfaches Phishing kann große Datenmengen einbringen. Die Volkzählung»Zensus 2011«bietet Cyberkriminellen als Trittbrettfahrer große Chancen, an einen Datenschatz zu gelangen. Phishing-Opfer, die auf eine falsche Webseite gelockt werden, geben nicht nur Name, Adresse und Telefonnummer an, sondern beantworten auch noch intime Fragen zu Bildung, Ausbildung, Berufstätigkeit, Staatsherkunft sowie Wohn- und Immobilienbesitz-Verhältnissen. Der Phishing-Betrüger kann seinem Opfer auch noch Fragen unterjubeln, die ihn interessieren und seinem Ziel, Geld zu verdienen, näher bringen. Sicherlich ist auch die IT des Betreibers gegen Ende der Umfrage Angriffen ausgesetzt. Dann liegen Unmengen Daten vor, die auf dem Schwarz-

5 5 Links RRT-Systems CEO R. Clemens über Cyber-Attacken RRT-Systems CEO R. Clemens über sichere ICT made in Europe RRIT-Sicherheit in Cloud (Kundenmagazin Best Practice) RRBanca Popolare di Sondrio sichert Kundendaten mit T-Systems RRSecurity & Governance bei T-Systems markt größere Summen einbringen würden. Um so wichtiger sind umfassende Sicherheitsmaßnahmen, um dem Datenklau einen Riegel vorzuschieben. Social-Hacking aber auch Insiderwissen sind in Vorbereitung der Angriffsphase oftmals von Bedeutung gerade wenn es um Datenspionage geht. Angreifer nutzen vielfach aus, dass Passwörter von Benutzern im Kern meist identisch sind, in vielen Fällen sogar vollständig übereinstimmen. Ein weiteres Puzzleteil für den Angriff auf die eigentliche Zielinfrastruktur, die kompromittiert werden soll. Informationen zur Netzwerktopologie von Unternehmen können dem Angreifer durch legitime Abfragen von IP-Adressbereichen beim RIPE Network Coordination Center, das unter anderem IP-Adressen vergibt, weitere Anhaltspunkte für Angriffe auf Systeme in einer Service-Area geben, um sich dann beim eigentlichen Angriff von außen nach innen durch die ICT-Infrastruktur»durchzuhangeln«. Die Angriffsphase Um Zugriff auf ICT-Ressourcen eines Unternehmens zu bekommen werden in der ersten Phase oftmals ICT-Systeme in der Service-Area angegriffen. Die Ausnutzung von Schwachstellen wie SQL-Injection auf Extranet-Servern ist eine häufig praktizierte Angriffsmethode. Hat der Angreifer erst einmal administrative Rechte, ist es ein Leichtes, einen bestehenden Virenschutz bedarfsgerecht auszuschalten, um weitere Tools für den Angriff zu installieren. Eine Überwachung von Systemdiensten mittels Systemmanagement ist meist nicht realisiert, so dass Angreifer dann leichtes Spiel haben. Ausgehend von diesen kompromittierten Systemen wird versucht, auf die Intranet-Client-Server-Infrastruktur zuzugreifen. Die Wege ins Intranet können beispielsweise über falsch designte VPN-Lösungen oder durch Schwachstellen in der Perimeter-Security erfolgen. Vielfach sind Angreifer interessiert, zentrale Dienste wie das Active-Directory unter ihre Kontrolle zu bringen. Auch Schwachstellen in verwendeten Legacy-Protokollen wie im Lan-Manager werden ausgenutzt. Der Einsatz von Rainbow- Tables oder Hash-Injection-Verfahren können selbst heutzutage immer noch zum Erfolg führen. Ein kompromittiertes ADS, aber auch gezielter Identitätsdiebstahl, erschweren die aktive Erkennung missbräuchlicher Nutzung im Unternehmensnetz dann zusätzlich.

6 6 Eine Infektion kann bereits durch den bloßen Besuch einer Internet-Seite passieren eine sogenannte»drive-by-infection«. Angreifer nutzen auch aus, dass Server-Systeme von Unternehmen mittels umkonfigurierter Proxy-Settings plötzlich mit dem Internet verbunden sind. Hat der Angreifer erst einmal Back-Channels aufgebaut, dann kann er quasi die bestehende Netzwerkinfrastruktur unbemerkt benutzen. Mit steigender Vernetzung ist auch mit einer Zunahme von Angriffen zu rechnen.»intelligente Schadsoftware«, entwickelt für ganz bestimmte ICT-Umgebungen und Zielpersonen, wird zum individuellen Hackerwerkzeug. Fünf Hauptversäumnisse machen Cyber-Security-Attacken überhaupt erst möglich: Sicherheitseinrichtungen im Unternehmen sind nicht ausreichend dynamisch an neue Angriffsmethoden angepasst. Es fehlt eine Gesamtsicht, um vorhandene, sicherheitsrelevante Informationen zusammenzuführen. Der ausschließliche Blick auf das Kerngeschäft lässt Datenschutz und ICT-Sicherheit in den Hintergrund rücken. Die Umsetzung bestehender Sicherheitsvorgaben nach dem Prinzip»Technik folgt der Policy«ist unvollständig. Die Ausnahmeregelungen für das Top-Management sind unsicher. Alle Stärken bündeln Wer also Schaden von seiner Informations- und Kommunikationstechnologie abwenden möchte, der muss wie ein Angreifer denken und handeln. Nichts offenbart Systemschwachstellen schneller und zuverlässiger als ein regelmäßiger Wechsel der Perspektive. Dabei ist die dargestellte Bedrohungslage längst keine Science-Fiction mehr. Die Häufigkeit der Angriffe auf Applikationsebene steigt exponentiell und Hacker nutzen Schwachstellen in so genannten»zero day attacks«immer schneller aus. Meist getrieben von wirtschaftlichen Interessen. Schadsoftware geht verstärkt dazu über, Hintertüren in ICT-Systeme einzubauen. Durch kriminelle Sekundäraktivitäten entstehen in der eigentlichen Angriffsphase oft hohe finanzielle Schäden. Und vermehrt sind Botnetze die Erfüllungsgehilfen bei Attacken und der Verbreitung von Malware. Sie dienen den Angreifern dazu, ihre Herkunft zu verschleiern. Viele Firmen verfügen weder über das notwendige technische Know-how noch über die personellen Ressourcen, um ihre Netzwerke und ICT-Ressourcen Tag und Nacht von Grund auf zu durchleuchten. Vielfach bemerken sie Angriffe

7 7 und Datendiebstähle gleichermaßen von innen wie von außen gar nicht. Und falls doch, fehlen effiziente Notfallpläne und ausreichend geschulte Sicherheitsexperten. Viele Unternehmen konzentrieren sich stark auf Perimeter- Sicherheit und haben (zu) wenig Kontrolle innerhalb ihrer IT. Dieses latent gefühlte Sicherheitsdefizit erklärt die anhaltend kräftigen Investitionen in Firewalls, Virenscanner, Intrusion- Prevention-Systeme und neuerdings immer häufiger Unified-Threat-Management-Appliances. In der Hoffnung, dass starke Außengrenzen schützen, entstehen immer dickere Komponentenwälle. Richtig konfiguriert, leistet jede Technologie punktuell einen guten Job. Bedarfsgerechter Schutz

8 8 entsteht aber nur, wenn die einzelnen Bausteine optimal verteilt sind, intelligent zusammenarbeiten und die wirklich sicherheitsrelevanten Vorfälle automatisch aus dem Information-Overload herauskristallisieren. Dann wird aus Informationen Wissen und damit die beste Verteidigungsgrundlage. Gerade bei den immer komplexeren APT-Angriffsmethoden ist dies erfolgskritisch. Echtzeitsicht auf die Sicherheitsereignisse Frühwarnung ist also nicht nur bei der Klimaforschung wichtig. Damit ein Security-Officer rechtzeitig geeignete Maßnahmen ergreifen kann, muss er einen detaillierten Überblick über die aktuelle Bedrohungslage haben. Leistungsstarke Security-Information-and-Event-Management-Systeme, kurz SIEM, helfen dabei, der immensen Datenflut Herr zu werden. Sie verarbeiten eine Vielzahl von Ereignissen, die verschiedene Security-Komponenten melden, und führen alle Sicherheits-Informationen aus dem IT-Betrieb zusammen. Echtzeitforensik, künstliche Intelligenz und modernste Data-Mining-Techniken strukturieren und korrelieren die Daten und machen kausale Zusammenhänge sichtbar. Wie in einem Puzzle fügt SIEM automatisiert und ohne menschliches Eingreifen Stück für Stück zu einem Gesamtbild zusammen und liefert aussagekräftige Reports, die die Grundlage für vorbeugende Maßnahmen und wirksame Gegenschritte bilden. Priorisierte Sicherheitsmeldungen unter bestmöglichem Ausschluss von»false positives«ermöglichen ein gezieltes Handeln am Brandherd. SIEM ist somit Ein SIEM führt alle Sicherheitsinformationen aus dem IT-Betrieb zusammen. ein wichtiger Service für jedes größere Firmennetzwerk, insbesondere vor dem Hintergrund, dass Informations- und Kommunikationsservices zunehmend zu integrierten Lösungen verschmelzen. SIEM verbessert die Security-Incident- Response-Möglichkeiten und verarbeitet quasi in Echtzeit Daten von Security-Devices, Network-Devices und sonstigen ICT-Systemen um ein leistungsfähiges Real-Time- Event-Management zu etablieren. Security-Operation-Center (SOC) von ICT-Dienstleistern wie T-Systems überwachen auf Basis dieser Technologie sämtliche Systeme und Netzwerkkomponenten, die in einer unternehmensweiten Infrastruktur zum Einsatz kommen. Rund um die Uhr suchen sie nach auffälligen Abweichungen. Das können beispielsweise digitale Spuren sein, die bei Identitätsdiebstählen und bei Industriespionage zurück bleiben. Genauso aber Langzeitattacken, mit denen Angreifer oftmals versuchen, an Unternehmensinformationen zu gelangen, die ihnen eigentlich verschlossen bleiben sollen. Eine zentrale Lagestelle unterstützt die Aktivitäten des CERT im Notfall.

9 9 Einbettung in die Business-Prozesse Entwicklung, Produktion, Vertrieb und Administration im Backoffice sind heute zwingend auf kontinuierlich funktionierende ICT-Systeme angewiesen. SIEM fügt den sicherheitsrelevanten Meldungen aus allen Bereichen Verwundbarkeits-Informationen hinzu und bewertet sie direkt in Hinblick auf die möglicherweise betroffenen Abläufe im Unternehmen. Die Datenkorrelation ist sozusagen dreidimensional und vermittelt ein Gespür für den Grad der Bedrohung. Diese Verschränkung zwischen Security-Architektur und Geschäftsprozessen ist nicht nur vor dem Hintergrund international verschärfter Compliance-Anforderungen immer notwendiger, sondern dient auch dazu, das Gefahrenpotenzial von Bedrohungen realistisch einzuschätzen. Der Bedarf an Threat-Monitoring und Incident-Response wird in Zukunft weiter stark zunehmen. Soll Gefahr erkannt auch Gefahr gebannt heißen, müssen Sicherheits-Administratoren nachweislich betroffene ICT-Systeme so isolieren, dass keine SLA-Verletzungen auftreten und keine Kollateralschäden entstehen. Je größer der Verbund ist, desto anspruchsvoller ist diese Aufgabe vor allem, wenn die normale Kommunikation weiterlaufen, die schadhafte aber unterbunden werden soll. Technisch bewährt haben sich modulare Security-Services mit einem Cross-Device-and-Cross-Vendor-Ansatz als inhärenter Bestandteil bereitgestellter Business-Lösungen. Neben dem rein hardwarebasierten Ansatz gewinnen daher insbesondere innovative, softwarebasierte und bedarfsgerechte Sicherheitslösungen an Bedeutung. Eines haben die komplexen Angriffe auf Unternehmen in diesem Jahr bereits gezeigt: Wer bei der Prävention morgen noch zur Avantgarde gehören will muss an vorderster technologischer Front forschen und lernfähige sowie zukunftssichere Security-Services entwickeln, um gegen die Angriffe von morgen gewappnet zu sein. K Dipl.-Ing. René Reutter CISSP, T-Systems Abteilungsleiter Seamless ICT Security Infrastructure & Management

10 10 Überall informiert, aber sicher Das Smartphone hat es möglich gemacht: Die digitale Welt begleitet uns ständig und überall in der Jackentasche. Nicht nur private Vernetzung und Freizeit, sondern auch mobiles Arbeiten gehören längst zum Alltag. Höchste Zeit also, die Sicherheit der mobilen Begleiter genauso ernst zu nehmen wie die Absicherung der klassischen Unternehmensinfrastruktur. ll Text: Martin Anders, T-Systems Neun von zehn Unternehmen statten ihre Mitarbeiter mit Smartphones aus, damit sie unterwegs nicht nur erreichbar sind, sondern auch auf wichtige Informationen wie s, Termine, Kontakte und Geschäftsdaten vollen Zugriff haben. Die mobilen»alleskönner«sind längst aus dem geschäftlichen Alltag nicht mehr wegzudenken, ihr Nutzen ist unumstritten. Allerdings erhöht die mobile Kommunikation auch die Sicherheitsrisiken und stellt enorme Herausforderungen an die IT-Abteilungen der Unternehmen dar.

11 11 Sicher mobil kommunizieren als Herausforderung War es bisher möglich, die wenigen Zugriffspunkte auf die Unternehmensinfrastruktur zu schützen, so stellt die Vielzahl mobiler Endgeräte heute eine Potenzierung möglicher Angriffspunkte dar. Angesichts von monatlich Geräten, die allein in Bussen, Bahnen und Taxis in Deutschland verloren gehen, müssen der Schutz und die Datensicherheit der mobilen Begleiter besonders beachtet werden. Die Tatsache, dass handelsübliche Modelle mittlerweile Ziel von Schadsoftware wie Trojanern sind, zeigt die Anfälligkeit der Taschencomputer. Unbemerkt vom Nutzer können Dritte Daten auslesen. s, Kontakte, Termine, SMS, Fotos, Tonaufnahmen und Bewegungsprofile: Alles wird dem Angreifer transparent. Unternehmensdaten in falschen Händen haben gravierende wirtschaftliche und rechtliche Folgen. Führungskräfte sind für sichere Kommunikationsmöglichkeiten ihrer Mitarbeiter verantwortlich und können persönlich haftbar gemacht werden. Design und Funktionalität versus Sicherheit Aussehen, Marke und Funktionsvielfalt scheinen die Kaufentscheidung der Nutzer stärker zu beeinflussen als Sicherheitsfunktionen. Das Smartphone mit Topdesign und hochwertiger Verarbeitung wird eher als Statussymbol denn als Arbeitsmittel gesehen. Der Zugang zur Cloud, zu sozialen Netzwerken und ein offener Internet-Zugriff werden im geschäftlichen Umfeld genauso als selbstverständlich vorausgesetzt, wie GPS-Navigation und App-Stores. Dennoch erwarten die Anwender die Integration von sicherer Sprachund Datenkommunikation in einem Gerät. Die Frage ist, wie man angesichts der rasanten Innovationszyklen bei Endgeräten und Betriebssystemen Sicherheit und Aktualität miteinander verbinden kann. Die Entwicklung und Evaluierung der Sicherheitsfunktionen kostet Zeit. Bei nur sechs bis acht Monaten Marktpräsenz eines Smartphone-Modells ist die zeitnahe Implementierung und Zertifizierung von zusätzlichen Sicherheitsfunktionen kaum möglich. Um die Lieferfähigkeit in Kundenprojekten zu erhalten, müssten erhebliche Stückzahlen an Geräten bevorratet werden. Dabei ist es Kunden schwer zu vermitteln, dass ihre sichere Smartphone-Lösung auf dem Massenmarkt bereits abverkauft wurde. Die Akzeptanz für solche»alten«endgeräte ist häufig nicht gegeben, der Wunsch nach topaktuellen Modellen übertrifft in vielen Fällen das Bedürfnis nach Sicherheit. Virtualisierung: der richtige Weg Smartphones haben heute, vergleichbar mit leistungsfähigen Arbeitsplatzrechnern, hochgetaktete Dual-Core-Prozessoren und mehrere Gigabyte Speicherplatz. Bisher Un-

12 12 mögliches ist mittlerweile machbar. Schlank programmierte Virtualisierungssoftware so genannte Mikrokerne erlaubt es, zwei Welten in einem Gerät zu realisieren: eine offene für den privaten Gebrauch und eine sichere für die geschäftliche Nutzung. Zeitgleich wird eine weitgehende Entkopplung von den jeweiligen Gerätespezifika und damit eine größere Unabhängigkeit von den kurzen Entwicklungszyklen erreicht. Die Branche gibt sich euphorisch. In den letzten Wochen und Monaten häuften sich die Meldungen zum Thema Virtualisierung auf Smartphones. Virtualisierungssoftware wird technisch auch als Hypervisor bezeichnet. Man unterscheidet dabei zwischen Typ 1 und Typ 2. Während Typ 1 ohne weitere Software direkt auf der Hardware läuft, wenig Ressourcen verbraucht und eigene Treiber benötigt, braucht Typ 2 ein vollwertiges Betriebssystem und nutzt dessen Treiber. Nicht alle vorgestellten Lösungen können eine sichere Separierung der geschäftlichen und der privaten Funktionen auf einem Gerät gewährleisten. Die vermeintlich sichere Hälfte wird vom Unternehmen entsprechend seiner Richtlinien als Business-Umgebung provisioniert, die offene dagegen vom Anwender selbst verwaltet. Bei den meisten dieser Lösungen wird mit dem Qualitätsmerkmal»sicher«geworben. Bei näherem Hinsehen liegt der Fokus jedoch bei der Nutzerfreundlichkeit»Usability«und nicht bei der Sicherheit. Technologisch handelt es sich bei den oben genannten Lösungen um einen Typ-2-Hypervisor. Wie aus dem Desktop-Bereich bekannt, wird hier auf einem bereits installierten Betriebssystem, dem Host, die Virtualisierungssoftware installiert, mit der sich dann virtuelle Maschinen, die Gäste, erstellen und ausführen lassen. Gelingt es einem Angreifer, den Host zu kompromittieren, dann ist automatisch auch die Integrität des Gastes kompromittiert. Gelingt es einem Angreifer, den Gast zu kompromittieren, dann kann er über Sicherheitslücken in der Virtualisierungssoftware direkt den Host angreifen. Gerade in jüngster Zeit wurde mehrfach bewiesen, dass solche Szenarien nicht nur theoretischer Natur sind. Damit sind diese Typ-2-Architekturen nicht als Plattform für Systeme mit hohem Sicherheitslevel geeignet. Virtualisierung aber richtig In einer Kooperation zwischen T-Systems und den T-Labs, den Telekom Innovation Laboratories, wurde deshalb eine sichere Smartphone-Softwarearchitektur als Typ-1-Hypervisor entwickelt. Ein L4 1 -Mikrokern wird hier direkt mit einem 1) L4 ist der Name einer Familie von Mikrokernen, basierend auf Konzepten und ersten erfolgreichen Implementierungen von Jochen Liedtke (1953 bis 2001, deutscher Informatiker, Professor für Systemarchitektur an der Universität Karlsruhe)

13 13 sicheren Startprogramm, dem Bootloader, auf der Hardware aufgesetzt und nutzt virtualisierte Treiber zur Interaktion mit den Hardware-Komponenten. Der L4-Mikrokern bietet aus Sicherheitssicht deutlich stärkere Isolationseigenschaften als klassische Betriebssysteme, indem er das»principle of Least Authority«implementiert. Damit ist die Installation mehrerer Android-Abteilungen Compartments mit unterschiedlichen Sicherheitseigenschaften möglich. Vertrauenswürdige Dienste wie der Smartcard-Zugriff, die gesicherte Netzwerkverbindung oder Sprachkryptographie werden direkt als Dienst auf dem Mikrokern implementiert. Das»Android-Ökosystem«mit Apps oder Entwickler bleibt dennoch erhalten, da Android in einer virtuellen Maschine auf dem Mikrokern ausgeführt wird. Durch diese Deprivilegierung hat Android über die zugrunde liegende Hardware keine direkte Kontrolle mehr und die vertrauenswürdigen Dienste auf dem Mikrokern können ihre Aufgaben auch ohne Kooperation mit Android bereitstellen. Sollte Android nun durch einen Angreifer kompromittiert werden, wird so sichergestellt, dass der Netzwerkverkehr trotzdem über den sicheren VPN-Kanal geleitet respektive das Telefonat verschlüsselt wird. Die Lösung Die hohen Sicherheitsanforderungen an die Endgeräte bestimmen das Design. Hierzu gehören: Verbleib aller nutzerbezogenen Daten beim Kunden (sicheres Device-Management, keine Replikation über Server außerhalb der Kundeninfrastruktur), sichere Startprogramme (Secure Bootloader), Härtung der Endgeräte (Hintertüren werden geschlossen), Verwendung einer hochsicheren Kryptokarte als Träger der Zertifikate (digitale Identität) und Erzeuger der Schlüssel, intrinsische Sicherheit, Schutz des Endgerätes»von innen«, Verwendung eines hochsicheren VPN-Tunnels zur Anbindung an die Kundeninfrastruktur, Virtualisierungsschicht auf Basis eines sicheren L4-Mikrokerns zur Entkopplung von der Hardware, damit weitgehende Unabhängigkeit von den Endgeräten und ihrem Innovationszyklus, sichere Isolierung der offenen und der geschäftlichen Seite durch L4-Mikrokern, damit keine Einschränkungen der Usability, Konzeption einer intuitiven Bedienung durch ein auf geschäftliche Nutzung optimiertes GUI-Konzept (grafische Benutzeroberfläche), nachladbare zusätzliche Sicherheitsfunktionen wie VoIPbasierte Sprachverschlüsselung mit vielfältigen Kryptierverfahren, auch ins Festnetz, Ende-zu-Ende-Verschlüsselung nach S/MIME-Standard, sichere Update-Prozesse sowie sicherer App-Store für kundenspezifische Applikationen. Der oben beschriebene Lösungsansatz lässt sich grafisch wie folgt darstellen:

14 14 Von unten nach oben sind die Kernkomponenten: Hardware, sichere Startprogramme (Secure Bootloader), Mikrokern als Virtualisierungsschicht zur Entkopplung der Lösung von der Hardware. Vier Abteilungen (Compartments): Open (klassische PDA-Funktionen auf Geschäftsnutzen optimiert), Sicherheitsfunktionen wie S/MIME, Kryptografische Funktionen unter anderem mit einer hochsicheren Kryptokarte, Netzwerkkomponenten mit VPN und Firewall. Die Architektur realisiert folgende Entwicklungsziele: To-Face-Device (offene und sichere Seite in einem Gerät), weitgehende Unabhängigkeit von den rasanten Innovationszyklen der Massenmarktgeräte, deutlich weniger Einschränkungen in der Nutzung (keine Deaktivierung von wünschenswerten Funktionen wie GPS und Bluetooth, ohne die Sicherheit zu gefährden), sichere Sprach- und Datenkommunikation in einem Gerät, Übertragbarkeit auf unterschiedliche Plattformen (PDA, Tablet, Netbook). Produktion und Implementierung Die bisher sorgsam geschützte Infrastruktur erlaubt nun tausendfache Zugriffe durch mobile Endgeräte. Große Mengen von Daten werden ständig über öffentliche Netze wie Festnetz, Mobilfunk oder Satellit transportiert. Die selben Datenmengen werden auf mobilen Endgeräten gespeichert, die ständig in»feindlicher«umgebung eingesetzt werden und den Risiken Diebstahl, Verlust und Zerstörung ausgesetzt sind. Gleichzeitig nimmt die Abhängigkeit der Geschäftsprozesse, Organisationsstrukturen und des Einzelnen von der neuen Technik rapide zu und ist irreversibel. Deshalb ist es entscheidend, dass alle Sicherheitsfeatures bei Produktion und Implementierung verlässlich und fehlerfrei in den Wirkbetrieb gelangen. Produktion Die neue T-Systems Lösung für sichere mobile Kommunikation (SiMKo 3) wird daher unter Trustcenter-Bedingungen aus handelsüblichen Massenmarktgeräten hergestellt, ein Verfahren, das sich bereits bei der Vorversion SiMKo 2 bewährt hat und vom Bundesamt für Sicherheit in der Informationstechnik BSI eine Einsatzempfehlung für die Geheimhaltungsstufe VS-NfD (Verschlusssache, nur für den Dienstgebrauch) erhalten hat. Zunächst sind diese SiMKo- Geräte nicht kundenspezifisch. Erst bei der Personalisierung durch den Kunden selbst werden die infrastruktur- und nutzerspezifischen Einstellungen eingegeben. Dadurch ist sichergestellt, dass personenbezogene Daten zu keiner Zeit die Hoheit des Kunden verlassen.

15 15 Start mit Samsung Galaxy S2 Die Plattformen Kommende Tablet-Generationen Ausbau für weitere Smartphone-Typen Infrastruktur Die Ankopplung an die vielfältigen Groupware-Systeme erfolgt mit standardisierten Komponenten und Vorgehensweisen. Sogenannte skalierbare Back-Office-Connectoren (BOC) werden zur sicheren Anbindung der mobilen Endgeräte in die Kundeninfrastruktur implementiert und konfiguriert. Arbeitsplatzsysteme wie Exchange, Lotus Notes, Novell, OpenExchange, Zarafa oder Kolab über das ActiveSync- Protokoll anbindet. Die sichere mobile Zukunft hat begonnen Die BOCs bestehen aus: einer Firewall, die ausschließlich den für den VPN notwendigen Port geöffnet hat, einem VPN-Server, mit dem sicht die Endgeräte verbinden und falls erforderlich einem Groupware-Connector, der die unterschiedlichen Mit ihrer Lösung für sichere mobile Kommunikation hat T-Systems ein Sicherheitslevel am obersten Ende der Sicherheitsskala erreicht und das nicht nur für besonders schutzbedürftige Informationen im öffentlichen Sektor, sondern in Zeiten der zunehmenden Wirtschaftsspionage auch für Wirtschaftsunternehmen. K

16 Impressum Security Advisor epublication Eine Publikation der Mitteilung gemäß bayerischem Pressegesetz Verantwortlich für den redaktionellen Teil: Davor Kolaric, Alte Münchner Straße 12, Wielenbach, Tel: , Verantwortlich für Anzeigen: Davor Kolaric, Adresse wie oben Schlussredaktion: Dirk Glogau Layout / Satz: Uwe Klenner, Layout und Gestaltung, Passau, Rittsteiger Str. 104, info@layout-und-gestaltung.de Besitzverhältnisse: Alte Münchner Straße 12, Wielenbach Alleingesellschafter: Davor Kolaric Urheberrecht: Alle in diesem Heft erschienenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen und Zweitverwertung, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Verlags. Aus der Veröffentlichung darf nicht geschlossen werden, dass die beschriebenen Lösungen oder Bezeichnungen frei von gewerblichen Schutzrechten sind. Haftungshinweis: Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte externer Links. Für den Inhalt verlinkter Seiten sind ausschließlich deren Betreiber verantwortlich.