Was IT-Security und Kindesentführung gemeinsam haben

Transkript

1 Physische Kriminalität versus Cybercrime Was IT-Security und Kindesentführung gemeinsam haben Wahre Ereignisse und Erfahrungswerte aus dem Leben des Autors Rukhsar Khan 3. Oktober 2012 Herausgeber: AIRNET Technologie- und Bildungszentrum GmbH Copyright c Alle Rechte vorbehalten. info@airnet.de Internet Facebook

2

3 Lektorat: Marlis Bauer Typographie, Satz und Layout: Rukhsar Khan Umschlaggestaltung: Jürgen Salzmann Wichtiger Hinweis Alle Angaben in dieser Publikation wurden vom Autor mit gröÿter Sorgfalt erarbeitet bzw. zusammengestellt und unter Einschaltung wirksamer Kontrollmaÿnahmen reproduziert. Trotzdem sind Fehler nicht ganz auszuschlieÿen. Der Herausgeber sowie der Autor sehen sich deshalb gezwungen, darauf hinzuweisen, daÿ sie weder eine Garantie noch die juristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, übernehmen können. Für die Mitteilung etwaiger Fehler sind der Herausgeber und der Autor jederzeit dankbar. Internet-Adressen, Versionsund Revisionsstände stellen den bei Redaktionsschluss verfügbaren Informationsstand dar. Der Herausgeber und der Autor übernehmen keinerlei Verantwortung oder Haftung für Veränderungen, die sich aus nicht von ihnen zu vertretenden Umständen ergeben. Auch möchten wir darauf hinweisen, dass dieses Buch nicht unter Berücksichtigung des Datenschutzes geschrieben wurde. Es wird aufgezeigt, welche Möglichkeiten die SIEM Software von Sensage bietet, um verdächtiges Verhalten, insbesondere wenn es in groÿen Datenmengen vergraben ist, aufzudecken. Es ist durchaus möglich, dass manche unserer Ergebnisse gegen datenschutzrechtliche Bestimmungen verstoÿen. Sollten Sie diese Software in Ihrem Netzwerk einsetzen, müssen Sie selbst dafür sorgen, die Bestimmungen des Datenschutzes zu beachten. Der Herausgeber sowie der Autor übernehmen keinerlei Verantwortung oder Haftung für Folgen, die sich aus nicht-beachtung von datenschutzrechtlichen Bestimmungen ergeben. Weiterhin werden in dieser Publikation Angristools vorgestellt, deren Besitz unter Umständen strafrechtliche Folgen mit sich bringt. Insbesondere können bei falschem Einsatz dieser Tools groÿe Schäden, sowohl im eigenen Netzwerk als auch in fremden Netzwerken entstehen. Wir weisen ausdrücklich darauf hin, dass wir durch diese Publikation nicht die Intention verfolgen, den Einsatz dieser Tools zu fördern, sondern diese lediglich dafür einsetzen, um die Ergebnisse auf den Verteidigungskomponenten (SIEM, Firewalls, Intrusion Detection und Prevention,...) zu zeigen, damit Ihnen die daraus gewonnenen Erkenntnisse zur Verbesserung Ihrer IT-Sicherheit dienen. Der Herausgeber sowie der Autor übernehmen keinerlei Verantwortung oder Haftung für Folgen, die sich aus dem Einsatz dieser Angristools ergeben. ISBN Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, vorbehalten. In diesem Testbericht werden eingetragene Warenzeichen, Handelsnamen und Gebrauchsnamen verwendet. Auch wenn diese nicht als solche gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen. c 2012, Airnet Technologie- und Bildungszentrum GmbH iii

4 iv c 2012, Airnet Technologie- und Bildungszentrum GmbH

5 Über den Autor Rukhsar Khan, Gründer des Unternehmens AIRNET und CEO, entdeckte bereits in sehr jungen Jahren seine Anität zu allem, was mit IT zu tun hat eine Passion, die ihn bis heute nicht mehr losgelassen hat. Nachdem er sich als anerkannter technischer Projektleiter im Bereich Netzwerktechnik in verschiedenen Unternehmen einen Namen gemacht hatte, nutzte er sein breitgefächertes Wissen, um sich auch als Spezialist für IT-Security zu prolieren. Insbesondere diese hohe Spezialisierung veranlasste Rukhsar Khan dazu, sich selbständig zu machen und fortan seine gefragten Beratungs- und Trainingsdienstleistungen erfolgreich unter eigener AIRNET-Flagge anzubieten. Mittlerweile hat er neun deutschsprachige Lehrbücher zu allen aktuellen Themen rund um Netzwerktechnik und IT-Security, insbesondere bezogen auf Cisco Komponenten, geschrieben. Best Seller sind u.a. Netzwerktechnik Band 1 und 2, die hervorragend zur Vorbereitung auf die CCNA Zertizierung von Cisco geeignet und auch als e-learning Module als Teil eines Blended Learning Konzepts erhältlich sind. Darüber hinaus agiert Rukhsar Khan als erfolgreicher Trainer nicht nur für seine selbst konzipierten Kurse, sondern auch als beratender Trainer oder trainierender Berater in groÿen Security-Projekten bei Unternehmen und Behörden jeder Gröÿe und ist gern gesehener Referent bei den wichtigsten Fachveranstaltungen der Branche. Seine Tätigkeit als Autor erhält im Jahr 2012 eine neue Dimension. Vor dem Hintergrund der Partnerschaft der AIRNET mit dem amerikanischen Unternehmen SEN- SAGE, das ein hochskalierbares, modulares SIEM (Security Information and Event Management) Überwachungssystem entwickelt hat, wird er in Kürze ein detailliertes Fachbuch unter der Bezeichnung Globale Wirtschaft und Exekutive im Fadenkreuz des Cybercrime hochintelligente Sicherheitssysteme als wirksamer Schutz vor der unsichtbaren Bedrohung veröentlichen. Das genannte Buch ist die Fortsetzung bzw. Vertiefung des kostenlosen Testberichts, der unter dem Titel Die Ezienz von Security Monitoring und Log Management IT-Systeme und -Dienste unter Beschuss erhältlich ist. Diese vorliegende, besonders auÿergewöhnliche Publikation ist der Vergleich zwischen physischer Kriminalität und IT-Security, in dem Rukhsar Khan Bedrohungssituationen in der IT-Security mit der wahren Geschichte der Entführung seiner beiden kleinen v

6 Söhne nach Pakistan gegenüberstellt und zu erstaunlichen Schlüssen kommt. Diese dramatische Geschichte aus seinem Leben, die als Gipfel jener interkulturellen Spannungsfelder zu sehen ist, in denen sich Rukhsar Khan seit früher Jugend bewegte, ist Anlass für die Veröentlichung eines Roman unter der Bezeichnung Im Namen der Mutterliebe (Erscheinungsdatum ), der die Geschehnisse der Kindesentführung durch die Mutter zum Mittelpunkt hat. vi c 2012, Airnet Technologie- und Bildungszentrum GmbH

7 Vorwort Eine Mutter fälscht die Unterschrift ihres Noch-Ehemannes, um die abgelaufenen Reisepässe ihrer beiden Söhne durch neue zu ersetzen Urkundenfälschung. Als dieser Betrug ans Tageslicht kommt, beschuldigt die Mutter in Gegenwart der Kriminalpolizei ihren Ehemann, er selbst habe die Pässe beantragt und sie befänden sich in seinem Besitz aus dem Opfer einen Täter machen. Die Kriminalpolizei markiert in ihrem Sicherheitssystem bundesweit die verschwundenen Pässe als ungültig Nationales Sicherheitssystem. 1,5 Jahre später entführt die Mutter die beiden Söhne mit genau diesen als ungültig markierten Reisepässen nach Pakistan Also eher ein Un-Sicherheitssystem mit fragwürdiger Wirkung? Bei genauerer Betrachtung fallen uns sofort Parallelen zu Berichten und eigenen Erfahrungen aus der Welt der Cyber-Kriminalität auf. Also wird uns die Frage beschäftigen: Was haben all diese Vorgänge im Detail mit IT-Security zu tun? Das Ziel dieser Publikation ist es, anhand der wahren Geschichte um die Entführung meiner Söhne nach Pakistan zu demonstrieren, was Cyberkriminalität und die Kriminalität der realen Welt gemeinsam haben und was sie unterscheidet. Weiterhin wird es daraus folgend darum gehen, die hohe Relevanz der Implementierung einer Security Information and Event Management (SIEM)-Lösung für Unternehmen, Behörden und Exekutive aufzuzeigen, um Cyber-kriminelle Angrie bestmöglich zu verhindern. Angesichts der Masse der kriminellen Handlungen, die tagtäglich begangen werden, würde es eines unbezahlbaren Aufwands an Ermittlungsbeamten und hochkarätiger Technik bedürfen, um einzelne Tatbestände zu verfolgen. Deshalb bedient man sich gerne der Rasterfahndung. Ähnlich problematisch gestalten sich das Aufspüren und Verizieren verdächtiger Verhaltensweisen. Verhält sich der Täter unauällig oder bedient er sich einer ausreichenden Tarnung, sind die Erfolgschancen, ihn zu entdecken, eher gering. Diese Tatsachen gelten sowohl für die physische als auch für die virtuelle Welt, immer unter der Voraussetzung, dass man die Gegebenheiten der Domäne kennt, in der man sich bewegt. Unsere Beobachtungen haben uns zu der Erkenntnis geführt, dass viele kriminelle Handlungen, die wir aus der physischen Welt kennen, durchaus auch in der virtuellen möglich sind. Hierbei gibt es allerdings zwei fundamentale Unterschiede: 1. Prozesse, die in der realen Welt extrem viel Zeit und Geld in Anspruch nehmen, vii

8 können im Cyberspace im Bruchteil einer Sekunde ohne nennenswerten monetären Aufwand irgendwo auf der Welt vollzogen werden. 2. Während die reale Welt der Kriminalität sichtbare und greifbare Gröÿen besitzt, zeichnet sich der Cyberspace eben durch seine Virtualisierung aus, d.h. kriminelle Tatbestände und Übergrie sind wesentlich schwieriger erkennbar und somit auch greifbar. Sicher ist es möglich, in relativ kurzer Zeit im Verdachtsfall einen Server vom Netzwerk zu trennen, auszuschalten oder wie auch immer in Quarantäne zu stecken. Aber dies ist keinesfalls eine Garantie dafür, dass man auch eine transportierte Schadsoftware entdeckt und unschädlich gemacht hat. Erschwert wird die kriminalistische Arbeit im Cyberspace zusätzlich dadurch, dass täglich neue ausgeklügelte Trojaner, Viren und Würmer, die nur äuÿerst schwer zu identizieren sind, auftauchen. Diese Erkenntnisse führen zu meiner These: Das Aufspüren von verdächtigem Verhalten im Cyberspace ist ungleich schwieriger, als in der realen Welt. Diese These wird noch durch die Tatsache unterstützt, dass im Milli- oder Microsekundenbereich, von dem wir in diesem Umfeld reden, nicht nur eine einzige, sondern abhängig von der Bandbreite zahllose kriminelle Handlungen in einem unvorstellbar kurzen Zeitraum vollzogen werden können. Diese gefährliche Realität oenbart sich unter anderem dadurch, dass viele prominente Geheimdienste wesentlich mehr Hacker beschäftigen, als andere Staaten Polizisten. Und dem liegt die Erkenntnis auch bei den Mächtigen dieser Welt zugrunde: Wir benden uns bereits unaufhaltsam auf dem besten Weg vom Cyber-Crime zum Cyber-War. Vor diesem Hintergrund wünsche ich Ihnen viel Spaÿ beim Lesen dieser Publikation! Rukhsar Khan Airnet Technologie- und Bildungszentrum GmbH September 2012 viii c 2012, Airnet Technologie- und Bildungszentrum GmbH

9 Inhaltsverzeichnis 1 Prolog 1 2 Kriminalität aus der realen Welt Kindesentführung 3 3 Physische Kriminalität versus Cybercrime Erster Vergleich Zweiter Vergleich Dritter Vergleich Vierter Vergleich Fünfter Vergleich Sechster Vergleich Siebter Vergleich Bekämpfung von Cybercrime 13 5 Die Sicherheitsüberwachung Real-Time Engine Reporting Engine Compliance Reporting Zusammenfassung 23 Literaturverzeichnis 25 Glossar 27 Akronyme 29 Stichwortverzeichnis 31 ix

10

11 Kapitel 1 Prolog...und so führen wir die Diskussion um Rechtsstaat oder Überwachungsstaat ein wenig weiter. Denn oenbar geht es in dieser Diskussion ja teilweise um das, womit wir uns hier auch beschäftigen Kriminalitätsbekämpfung. Nachdem ich zwischen zwei kontroversen Kulturen groÿ geworden bin, eine spektakuläre Scheidung mit dem Gipfel Kindesentführung nach Pakistan hinter mir habe, beruich 7 Jahre lang die Deutsche Bundeswehr im Kompetenzzentrum für Informationstechnologie (KIT) ausgebildet habe und seit 7 Jahren die Polizei NRW im Bereich Netzwerktechnik und Informationssicherheit ausbilde, habe ich zu diesem Thema einiges zu berichten. Es gab viele spannende Augenblicke, Gespräche und Diskussionen, in denen deutlich wurde, dass Meinungsfreiheit möglicherweise nur auf dem Papier steht. So gingen beispielsweise im Jahr 2005 die Bomben in London hoch, während ich dabei war, ein Seminar bei der Bundeswehr in Bonn zu leiten. Selbstverständlich haben wir das Ganze thematisiert, denn eines war unübersehbar: meine Wurzeln lagen in dem gleichen Land, wie die der von den britischen Behörden so eberhaft gehetzten Terroristen, nämlich Pakistan. Als gebürtiger Frankfurter, dessen Eltern nunmehr seit 45 Jahren in Deutschland leben und auch den Rest ihres Leben hier verbringen werden, hatte mich mein Ursprungsland bis dahin nie gestört. Warum gerade jetzt, fragte ich mich? Aber nachdem das Seminar nach 5 Tagen abgeschlossen war, wir neben der IT-Ausbildung auch sehr viel über Gott und die Welt philosophiert hatten und alle Teilnehmer sich am Ende für diesen auÿergewöhnlichen Exkurs bei mir übermäÿig bedankt hatten, war mir wieder eines klar: ich brauche mich nicht für meine Herkunft zu schämen. Das wäre ja sonst genauso, als müssten sich die Deutschen mit der Gnade der späten Geburt dafür schämen, nach Zerfall des 3. Reiches Deutsche zu sein. Immer wieder wird uns seitens des Staates die Notwendigkeit vom Proling nahe gelegt. Hierbei wird ermöglicht, durch mathematische Algorithmen und bestimmten Funktionen, die Verhaltensmuster von Personen und Systemen aus groÿen Datenmengen, die in einer Datenbank hinterlegt sind, zu erkennen. Abweichungen von den erkannten Verhaltensmustern können dann als verdächtiges Verhalten eingestuft werden. Also stellen wir uns die Frage: Sollten Proles von einzelnen Benutzern, Servern und Systemen nun erstellt werden, oder nicht? Zur Bekämpfung von Cybercrime wäre die Erstellung von Proles sehr hilfreich. Sie ermöglicht das Denieren einer sogenannten Baseline, wodurch der Grundrauschpegel festgelegt wird. Die Baseline legt sozusagen die Parameter fest, was das normale 1

12 Kapitel 1 Prolog Verhalten eines Benutzers oder Systems ist. Bei Abweichungen von diesem normalen Verhalten kann auf Grundlage von Schwellenwerten ein Ereignis wie beispielsweise ein Alarm ausgelöst werden. Da Datenschutzgesetze in Deutschland im Vergleich zu anderen Ländern eher vorbildlich sind, sollte hierzulande ja eigentlich nichts zu befürchten sein. So vielleicht die Theorie. Denn wir dürfen nicht vergessen, dass man bei der Pro- lerstellung von Benutzern bereits möglicherweise tief in deren Privatsphäre eindringt. Und genau hier scheint eben der Haken zu liegen. Die meisten Menschen möchten einfach nicht unter Generalverdacht gestellt und schon garnicht überwacht werden. Viele befürchten jedoch, dass sich der Staat unter dem Deckmantel der Terrorbekämpfung Einblicke erlaubt, die weit über das Ziel hinaus schiessen. Ich werde physische Kriminalität und Cybercrime anhand des Beispiels der Entführung meiner beiden Söhne im Jahr 2007 nach Pakistan vergleichen. Dabei bin ich auf viele interessante Parallelen gekommen. In Kapitel 2 auf der nächsten Seite beschreibe ich zunächst die kriminellen Handlungen aus der realen Welt meiner Ex-Frau und ihres Vaters. In Kapitel 3 auf Seite 7 nehme ich dann den Vergleich der physischen Kriminalität mit Cybercrime vor. Nicht zu jeder kriminellen Handlung habe ich ein Pendant gefunden. Ich beschränke mich daher nur auf die Parallelen. Der Bekämpfung von Cybercrime habe ich mich in Kapitel 4 auf Seite 13 zugewendet. Hier zeige ich, welche Komponenten und Dienste zur Abwehr von Cybercrime eingesetzt werden können. Insbesondere möchte ich in diesem Kapitel eine Testumgebung vorstellen, die wir bei AIRNET aufgebaut haben, um die Möglichkeiten zur Abwehr von Angrien aus dem Cyberspace zu erforschen. Das letzte Kapitel (Kapitel 5 auf Seite 15) widme ich schlieÿlich unserem eigenen Ansatz für die IT-Sicherheitsüberwachung 1, der derzeit noch ganz ohne Proling umgesetzt wurde. Wer interessiert ist, technische Details zu den letzten beiden Kapiteln zu erfahren, kann meinen Testbericht [Kha12a] lesen, der ebenfalls ab dem zum kostenlosen Download unter bereit steht. Bei Interesse zur Kindesentführung lesen Sie meinen druckfrischen Roman [Kha12b], der ab dem über den Buchhandel erhältlich ist. Da unserer Meinung nach das Eindringen in die Privatsphäre zu hoch ist, sind wir bei AIRNET nicht Verfechter von Benutzer-Proles. Natürlich könnte man über ihre Sinnhaftigkeit wohlwollend nachdenken, wenn sie ausschlieÿlich in der Kriminalitätsbekämpfung zur Anwendung kämen. Es gibt Angristechniken in der virtuellen Welt, bei denen sich Angreifer vorhandene Benutzernamen zu Eigen machen, um diese anschlieÿend zu missbrauchen. In einem solchen Fall würden Benutzer-Proles auf jeden Fall helfen, dieses verdächtige Verhalten aufzuspüren. Die Gefahr von Missbrauch ist allerdings sehr hoch, sodass sich die Frage stellt, in wieweit der Einsatz von Benutzer- Proles wirklich gerechtfertigt ist. Und das wäre dann ohnehin die Aufgabe der Strafverfolgungsbehörden, nicht jedoch die von IT-Security Dienstleistungsunternehmen. Wir werden zukünftig auch nicht drum herum kommen, Proles von Servern und Systemen nicht jedoch von Benutzern zu erstellen, um unsere Forschungsarbeiten weiterzuführen. Ergebnisse hierzu werden wir dann in späteren Publikationen veröentlichen. 1 IT-Sicherheitsüberwachung und dazugehörige Produkte tragen in der Fachsprache die Bezeichnung Security Information & Event Management (SIEM) 2 c 2012, Airnet Technologie- und Bildungszentrum GmbH

13 Kapitel 2 Kriminalität aus der realen Welt Kindesentführung Herbst 2005 Meine Ex-Frau fälscht meine Unterschrift, um neue Pässe die alten waren abgelaufen für unsere beiden Söhne zu beantragen. Im Bürgerbüro teilt sie mit, dass die Pässe nur ihr persönlich ausgehändigt werden sollen, nicht jedoch ihrem Ehemann. Auf Verlangen des Bürgerbüros teilt sie ihnen dies schriftlich mit. Auf weiteres Verlangen wird auch von ihrem Rechtsanwalt ein Schreiben für das Bürgerbüro aufgesetzt. Herbst 2005 Nachdem ich meiner Ex-Frau im Spätsommer meine Absicht, mich von ihr scheiden zu lassen, mitgeteilt hatte, stehen Nebenerscheinungen wie telefonische Mord- und Prügeldrohungen seitens ihrer Angehörigen, von denen auch manche in Deutschland leben, auf der Tagesordnung. Herbst 2005 Als Vergeltungsaktion wegen meiner Scheidungsabsicht werden unzählige falsche Strafverfahren von ihr gegen mich eingeleitet. Fast wöchentlich bestellt sie wegen vermeintlicher häuslicher Gewalt die Polizei zu uns nach Hause. Ende 2005 Nachdem mir das Aufenthaltsbestimmungsrecht im einstweiligen Verfahren zugesprochen wird, holt sie beide Kinder am vorletzten Schultag vor den Weihnachtsferien unter falschen Angaben von der Schule ab und unternimmt ihren ersten Entführungsversuch. Die Klassenlehrerin eines Sohnes berichtet mir später, meine Ex- Frau sei sehr nervös gewesen und sie teilte ihr mit, dass ein äuÿerst wichtiger Arzttermin wahrgenommen werden müsse. Ende 2005 Nach gescheitertem ersten Entführungsversuch unternimmt sie Anstrengungen, aus mir den Täter zu machen, nachdem die Kriminalpolizei sie zur Herausgabe der mit gefälschter Unterschrift erlangten Pässe auordert. Sie teilt ihnen mit, die Unterschrift sei nicht gefälscht und ich hätte die Pässe beim Bürgerbüro selbst abgeholt. 2006/2007 In unzähligen zivilen und auch zwei strafrechtlichen Verfahren gegen mich gibt sie falsche eidesstattliche Erklärungen ab und missbraucht das deutsche Rechtssystem bis auf das Äuÿerste. Sie gibt unter anderem an, ich sei ein fanatischer Islamist, der seine Kinder zum Extremismus erziehen wolle. Mitte 2007 Ich erhalte das endgültige Aufenthaltsbestimmungsrecht beider Söhne, 3

14 Kapitel 2 Kriminalität aus der realen Welt Kindesentführung woraufhin sie ihren zweiten, generalstabmäÿig geplanten Entführungsversch im August 2007 unternimmt und ihn erfolgreich umsetzt. Im Rahmen ihres Besuchsrechts entführt sie die Kinder von Deutschland über Groÿbritannien nach Pakistan. Den Kindern hatte sie vorher versprochen, diese zum Phantasialand zu nehmen, in Wirklichkeit fuhr sie aber nach Groÿbritannien und gab an, sie hätte sich verfahren und könne nur noch nach Deutschland zurückiegen. Auch ihr Vater war zu diesem erfreulichen Anlass von Pakistan nach Groÿbritannien gereist, um mit seiner Tochter und seinen Enkelkindern tatsächlich aber nach Pakistan zurückzuiegen. September 2007 Als ich hinterher iege, um die Kinder wieder zurückzuholen, leite ich vor Ort in Pakistan ein Verfahren gegen meine Ex-Frau und ihren Vater ein. Er bedroht mich mit dem Tod, was sich darin manifestiert, dass er in Gegenwart der Polizei seinen Diener anweist, ihm ein Gewehr zu bringen, um mich zu erschiessen. Als dieser sich weigert, versucht er die Polizei zu bestechen, um mir einen langjährigen Aufenthalt in einem berühmt-berüchtigten pakistanischen Gefängnis zu ermöglichen, dass ich sicher nicht lebend hätte verlassen können. September 2007 Als mein ehemaliger Schwiegervater realisiert, dass er mit seinen kriminellen Machenschaften auch in seinem eigenen Land an Grenzen stöÿt, verleumdet er mich als fanatischen Islamisten und Terroristen und teilt den Behörden mit, seine Tochter habe hierüber bereits einen Brief an den damaligen US-Präsidenten George W. Bush geschrieben. Oktober 2007 Mit Hilfe der Deutschen Botschaft in Islamabad kann ich die Kinder wieder nach Deutschland rückführen. Meine Ex-Frau leitet nun auch in Pakistan ein falsches Strafverfahren gegen meine dort lebende Familie (Onkel, Tante, Cousins) niemand von ihnen hatte mit dieser Sache zu tun und gegen mich ein. Wieder missbraucht sie nun das pakistanische Rechtssystem bis auf das Äuÿerste und erlangt innerhalb kürzester Zeit Haftbefehle gegen uns alle. Die von ihr angegebenen Tatbestände waren: in die Wohnung wurde unter Waengewalt eingebrochen die Kinder wurden unter Waengewalt entführt 1 Millionen Rupien wurden gestohlen teurer Schmuck wurde entwendet. Oktober 2007 Mein Onkel und sein Sohn werden ein Tag später verhaftet. Meine Ex- Frau versucht familiären Druck auf mich auszuüben, indem sie tagtäglich mehrfach bei dieser Polizeidienststelle erscheint und darauf pocht, dass beide inhaftierten Personen so lange zusammengeschlagen werden, bis ich wieder mit den Kindern in Pakistan erscheine. November 2007 Nachdem wir beweisen konnten, dass mein Onkel und seine Familie mit dieser Sache nichts zu tun hatten, werden beide wieder aus der U-Haft freigelassen. Meine Ex-Frau hat mittlerweile auch direkt von der Deutschen Botschaft und unseren Kindern erfahren, wie sie nach Deutschland rückgeführt wurden. Trotzdem legt sie auf 4 c 2012, Airnet Technologie- und Bildungszentrum GmbH

15 die Freilassung Einspruch ein und versucht nun, für meinen Onkel und seine Familie die Todesstrafe zu erwirken. c 2012, Airnet Technologie- und Bildungszentrum GmbH 5

16 Kapitel 2 Kriminalität aus der realen Welt Kindesentführung 6 c 2012, Airnet Technologie- und Bildungszentrum GmbH

17 Kapitel 3 Physische Kriminalität versus Cybercrime 3.1 Erster Vergleich Als meine Ex-Frau im Bürgerbüro die neuen Pässe unserer Söhne beantragte, hätten bereits dort die Alarmglocken läuten müssen. Denn ihr Bestehen darauf, dass die Pässe nur ihr ausgehändigt werden sollen, war bereits verdächtiges Verhalten. Insbesondere die Tatsache, dass es ihr sogar so wichtig war, dass sie ihren Anwalt hierfür bemüht hatte, hätte die Mitarbeiter des Bürgerbüros aufmerksam machen müssen. Die unrechtmäÿige Erlangung der Pässe war der erste Schritt ihrer kriminellen Handlung. Hätte man direkt an dieser Stelle eingegrien, wäre ihr zumindest dieser Weg versperrt geblieben. Die Erfahrung zeigt zwar, dass Kriminelle sich schon einen Weg zu ihrem Ziel suchen. So skrupellos wie sie ist, gehe ich davon aus, dass sie sich gefälschte pakistanische Pässe für die Kinder besorgt hätte, wenn sie hier nicht weitergekommen wäre. Jedoch wäre es dann schwieriger geworden und hätte unter Umständen dazu geführt, dass sie nach anderweitigen Fehlversuchen ihre kriminelle Absicht geändert und einen vernünftigen Weg eingeschlagen hätte. In der IT-Sicherheit ist es nicht viel anders. Der erste Schritt, den viele Cyberkriminelle unternehmen, ist eine sogenannte Reconnaissance (Aufspür) Attacke. Hier wird versucht, so viel wie mögliche Informationen über das anzugreifende Netzwerk zu erlangen, damit die Gegebenheit nachgebildet werden kann, um so Schwächen darin zu nden. Findet man eine Schwäche, wird versucht, diese zu missbrauchen, um so in das System einzudringen. Wenn IT-Sicherheitsexperten ihre Firewalls und sonstigen Sicherheitsgeräte mit den entsprechenden Diensten konguriert haben und darüber hinaus über eine eziente Sicherheits-Überwachungssoftware (SIEM) verfügen, sind sie durchaus in der Lage, Reconnaissance Attacken zu entdecken und einen Groÿteil davon abzuwehren. Es ist zwar kaum möglich, alle dieser Angrie abzuwehren, da oft bestimmte Dienste wie beispielsweise Web-Dienste der Öentlichkeit zugänglich gemacht werden, jedoch kann man sie durch geeignete Maÿnahmen stark einschränken. Je mehr man sie einzuschränken vermag, umso weniger Informationen werden dem Angreifer geliefert. Sieht ein Security 7

18 Kapitel 3 Physische Kriminalität versus Cybercrime Analyst, dass sein Netzwerk durch Reconnaissance Attacken aufgespürt wird, handelt es sich um verdächtiges Verhalten und er kann sich schon einmal durch die aus diesem Angri gewonnenen Informationen auf den eigentlichen Angri vorbereiten. 3.2 Zweiter Vergleich Die Mord- und Prügeldrohungen sowie die falschen polizeilichen Strafanzeigen gegen mich waren das Ergebnis von Verärgerung und der Versuch, mich zu erpressen. Ersteres, da ich meine Absicht zur Scheidung verkündet und somit die Ehre meiner Ex-Frau zutiefst verletzt hatte, und letzteres, um mich von meiner Absicht abzuhalten, damit ich eine Kehrtwende vornehme. Solchen Angrien standzuhalten, bedurfte enormer Energien. Insbesondere ihre Kreativität, sich selbst zu verletzen, um die daraus entstandenen Hämatome mir unterzujubeln, bevor sie die Strafanzeigen erstattete, veranlasste mich dazu, mich auch in auÿerordentlichen Situationen zu beherrschen. Mehr an Verteidigungskünsten als geduldig zu sein und mich zu zähmen, gab es bei dieser Form der Kriminalität nicht. Ähnliche Zustände können in der IT-Sicherheit auftreten, wenn ein entlassener Mitarbeiter so verärgert ist, dass er sich bei seinem ehemaligen Arbeitgeber rächen möchte. War er zudem auch noch System Administrator, hat er möglicherweise noch Zugri auf alle Systeme und kann diese von der Ferne lahmlegen. Durch einen solchen Angri könnte ein Unternehmen sehr schnell bloÿgestellt werden. Daher gilt es, unverzüglich Benutzernamen von Mitarbeitern, die das Unternehmen verlassen haben, zu löschen und System Passwörter zu verändern, die in ihrem Besitz waren. 3.3 Dritter Vergleich Als sie die Kinder unter falschen Angaben von der Schule abholte, legte sie erneut verdächtiges Verhalten an den Tag. Der Lehrerin el bereits auf, dass sie auÿerordentlich nervös war und insbesondere der unaufschiebbare Arzttermin kam wie aus dem Nichts. Hier hätte eine Kontrollmaÿnahme wie beispielsweise das Verlangen eines Arztattests helfen können. Vergleichbar gibt es in Computer-Netzwerken Protokolle wie zum Beispiel das IEEE 802.1x, durch das Kontrollmaÿnahmen auf der Netzzugangsebene aktiviert werden können. Ein Benutzer muss sich erst einmal gegenüber dem Netzwerk ausweisen, um Zugri zu erhalten. Entsprechend seiner Gruppenzugehörigkeit wird ihm dann der Zugang nur zu bestimmten Ressourcen gestattet. 8 c 2012, Airnet Technologie- und Bildungszentrum GmbH

19 3.4 Vierter Vergleich 3.4 Vierter Vergleich Eine häuge Tugend in der Kriminalität der realen Welt ist, aus dem Opfer einen Täter zu machen. Dies haben meine Ex-Frau und ihr Vater an mehreren Stellen versucht: bei Auorderung der Kriminalpolizei, die Pässe auszuhändigen mit den falschen eidesstattlichen Erklärungen und der Behauptung, ich sei ein fanatischer Islamist, der seine Kinder zum Extremismus erziehen wolle durch den Brief an den damaligen US-Präsidenten George W. Bush, ich sei ein Terrorist. Im Vergleich bedienen sich Cyberkriminelle gerne der Möglichkeit, ein kompromittiertes System als Sprungbrett für weitere Angrie zu missbrauchen. Für das nächste Opfer sieht es dann so aus, als wäre der Angreifer das vorher kompromittierte System. 3.5 Fünfter Vergleich Tagtäglich passiert es mit uns allen. Wir erhalten eine aufregende mit einem interessanten Anhang, den man anklicken kann. Und wer es immer noch nicht verstanden hat, önet diesen Anhang und wird zum Opfer eines Betrugs. Möglicherweise hat man sich da gerade einen Trojaner, einen Virus, einen Wurm oder eine sonstige Schadsoftware heruntergeladen und aktiviert. Wie man sich davor schützen kann? Indem man nicht naiv ist und darüber hinaus alles Unbekannte erst einmal kritisch unter die Lupe nimmt. Für meine Kinder war es aber schwieriger. Sie elen dem Betrug ihrer eigenen Mutter zum Opfer, als sie ihnen versprach, sie zum Phantasialand zu nehmen, tatsächlich aber die Entführung im Sinne hatte. 3.6 Sechster Vergleich Know your Enemy! Dies gilt sowohl für die physische als auch für die virtuelle Kriminalität. Versetze dich in die Lage des Gegners/Angreifers und mache dir Gedanken, was sein nächster Zug sein kann. So habe ich es zumindest vor meiner Abreise nach Pakistan gemacht und bin zur Erkenntnis gekommen, dass ich nicht bei den Anwaltskosten sparen werde. Denn es galt: anderes Land, andere Sitten. Dass mein Ex-Schwiegervater versuchen wird, mich umzubringen oder mich umbringen c 2012, Airnet Technologie- und Bildungszentrum GmbH 9

20 Kapitel 3 Physische Kriminalität versus Cybercrime zu lassen, war mir vorher schon klar. Weiterhein wusste ich, dass er vor der Justiz den Spieÿ umdrehen wird, um mich mit unlauteren Mitteln ins Gefängnis zu befördern. Also auch dagegen war ich gewappnet. Ich nahm einen von der Deutschen Botschaft empfohlenen Anwalt, der gleichzeitig der beste und teuerste von allen war. Und siehe da, es hatte sich gelohnt. Er hatte genügend Erfahrung, solche Menschen zu opponieren und war insbesondere sehr wachsam, damit ich nicht in die ausgelegten Fallen trete. Um wieder den Bezug zum Cybercrime herzustellen: Denieren Mitarbeiter eines Unternehmens oder einer Behörde, welche Gegner sie haben könnten, die insbesondere welche Ziele verfolgen könnten, kann man sich ein Bild von den Risiken machen. Gegner eines Unternehmens könnte beispielsweise ein Konkurrent sein, der einen gezielten Spionageangri durchführt, um sich geistiges Eigentum zu Eigen zu machen. Gegner einer Polizeibehörde könnten beispielsweise hochkarätige Kriminelle sein, die die Spuren ihrer im Gefängnis sitzenden oder vorbestraften Kameraden verwischen wollen. Je nachdem, wie wertvoll das zu schützende Eigentum ist, sollte in die Sicherheit der Technik und ihrer Umsetzung entsprechend investiert werden. 3.7 Siebter Vergleich Auch in der Kriminalitätsbekämpfung ist Zeit ein wichtiger Faktor. Als ich im Oktober 2007 vor Ort in Pakistan das Verfahren gegen meine Ex-Frau und ihren Vater einleitete, bekamen wir vom Gericht genehmigt, mit polizeilicher Unterstützung meine Ex-Frau zusammen mit den Kindern von zu Hause abzuholen und zum Gericht zu bringen. Als wir zusammen mit Anwalt, Polizei und Vertreter der Deutschen Botschaft vor ihrem Elternhaus standen, gaben ihre Eltern an, sie sei nicht zu Hause. Die Polizei kündigte daraufhin eine Hausdurchsuchung an, wozu sie aber keine Genehmigung hatte. Dadurch gewann die Familie meiner Ex-Frau Zeit, um ihrer Tochter durch die Hintertür des Hauses zur Flucht zu verhelfen. Denn bis der Hausdurchsuchungsbefehl nachgereicht wurde, vergingen etwa 1 bis 1,5 Stunden. In einem Bericht des U.S. Secret Service, veröentlicht im Data Breach Investigations Report im Jahr 2010 von Verizon Business, heiÿt es, dass 86% aller Opfer von Angriffen aus dem Cyberspace den Beweis über den Angri in ihren Log Dateien pegten. Ein Log Management System, das Bestandteil einer SIEM-Lösung ist, sollte also zur Grundausstattung der IT-Sicherheit gehören. Denn 86% ist nicht wenig. Doch was ist mit den restlichen 14%? Hier handelt es sich möglicherweise um Angreifer, die genügend versiert sind, ihre Spuren zu verwischen. Das sind jene Kriminelle, die den Faktor Zeit erfolgreich für sich beanspruchen. Daher sollte das Log Management System durch eine proaktive Real-Time Komponente 1 ergänzt werden, was allerdings Bestandteil moderner SIEM-Lösungen ist. Das Überwachen mit einer Real-Time Komponente läuft auch oftmals unter dem Überbegri Security Monitoring. Näheres zu Security Information & Event Management (SIEM) erfahren Sie in den 1 Eine Real-Time Komponente ist in der Lage, Angrie aus dem Cyberspace in Echtzeit zu verwerten, um so den Sicherheitsexperten unverzüglich auf verdächtiges Verhalten aufmerksam zu machen. 10 c 2012, Airnet Technologie- und Bildungszentrum GmbH

21 3.7 Siebter Vergleich nächsten beiden Kapiteln sowie in meinem Testbericht [Kha12a]. c 2012, Airnet Technologie- und Bildungszentrum GmbH 11

22 Kapitel 3 Physische Kriminalität versus Cybercrime 12 c 2012, Airnet Technologie- und Bildungszentrum GmbH

23 Kapitel 4 Bekämpfung von Cybercrime Als Vorbereitung zu neuen Projekten und zum Erforschen, welche Maÿnahmen zur Bekämpfung von Cybercrime ausgezeichnete Ergebnisse liefern und somit sinnvoll sind, haben wir bei AIRNET eine Testumgebung aufgebaut, die aus mehreren Firewalls, Routern, Switches, einem SIEM-Überwachungssystem und zwei Angrissystemen besteht. Diese sieht wie folgt aus: Abbildung 4.1: Die Testumgebung Rechts von der Mitte sehen wir drei Firewalls (FW1-3), die das Netzwerk auf der linken Seite beschützen sollen. Die Wolke auf der rechten Seite simuliert das Internet. Hier haben wir zwei Angrifssysteme (BackTrack und Metasploit), die die beiden Server, die links unten im Bild zu sehen sind, angreifen sollen. Auf den Firewalls und sonstigen Komponenten haben wir geeignete Maÿnahmen zum Schutz des Netzwerks aktiviert. Wir nutzen insbesondere folgende Features der Hersteller Juniper Networks, Cisco Systems und Extreme Networks: 13

24 Kapitel 4 Bekämpfung von Cybercrime Juniper Networks Screens, Intrusion Detection & Prevention (IDP), Deep Inspection (DI), Anti Virus (AV) Cisco Systems Threat-Detection, Trendmicro Anti-x, IPS, Netow Extreme Networks CLEAR-Flow Herstellerneutral Full Packet Capture. Das Sensage SIEM-Überwachungssystem, welches links in dem Bild zu sehen ist, besteht aus einem Back-End ( ) und einem Front-End ( ). Das Back-End stellt das Hauptsystem dar, welches die Datenbank und alle zugehörigen Dienste bereitstellt, damit der Security Analyst über das Front-End (Sensage Console), welches auf einem Windows System läuft, auf diese Dienste zugreifen kann, um so die Sicherheitsanalysen durchzuführen. Diese Testumgebung stellt einen von uns bei AIRNET entwickelten, pragmatischen Ansatz zur Bekämpfung von Cybercrime dar. Wir haben oben beschriebene Schutzmaÿnahmen, die aus Signatur-basierten Lösungen und heuristischen Methoden bestehen, optimal kombiniert. Im Testbericht [Kha12a] haben wir zwei Testphasen deniert, und zwar Phase 1 Reconnaissance und DOS Attacken, und Phase 2 Access Attacke. Hier geht es darum, durch die beiden Angrissysteme im simulierten Internet gezielte Angrie zunächst gegen den Windows 2003 Server zu starten, um dadurch die Ezienz der oben beschriebenen Dienste zu testen sowie zu analysieren, was von den Angrien auf dem SIEM-Überwachungssystem ankommt. Wir haben uns entschieden, mit den folgenden Angristools zu arbeiten: Nmap bzw. Zenmap, um Reconnaissance Attacken durchzuführen und Informationen zu sammeln. Nping (Network Packet Generation Tool), um Last zu erzeugen und dadurch DOS Attacken zu starten. OpenVAS, um festzustellen, welche Schwächen unsere eingesetzten Systeme haben. Metasploit Framework (MSF), um letztendlich eine festgestellte Schwäche auszunutzen und eine Remote Shell mit Administrator Rechten, oder noch besser, einen Meterpreter auf den Windows 2003 Server zu starten. 14 c 2012, Airnet Technologie- und Bildungszentrum GmbH

25 Kapitel 5 Die Sicherheitsüberwachung Security Monitoring und Log Management mit Sensage Dieses Kapitel dient zur Beschreibung der Sensage Console, die durch ihre verschiedenen Komponenten sowohl eine proaktive Überwachung als auch die reaktive Recherche von Sicherheitsereignissen ermöglicht. Es handelt sich hierbei um die mit einem Sensage System mitgelieferte, Java-basierte Standardkonsole. Sensage erönet durch die Bereitstellung einer Open Database Connectivity (ODBC)- bzw. Java Database Connectivity (JDBC)-Schnittstelle und einer PostgreSQL-Implementierung die Möglichkeit, mit einem beliebigen Business Intelligence (BI)-Tool auf das Sensage Back-End System zuzugreifen, um sowohl die Real-Time Events als auch die Log-Daten aus der SLS-Datenbank auszulesen und entsprechend der Fähigkeiten des BI-Tools darzustellen. In [Kha13] werden wir Visualisierungsmöglichkeiten aufzeigen, die für einen Security Analyst keine Wünsche mehr übrig lassen. Inhaltsangabe 5.1 Real-Time Engine Reporting Engine Compliance Reporting

26 Kapitel 5 Die Sicherheitsüberwachung 5.1 Real-Time Engine Die Real-Time Engine dient zur sofortigen Aufdeckung von kritischen Ereignissen und ermöglicht somit eine proaktive Überwachung. Der Security Analyst sieht durch sie sofort, dass verdächtiges Verhalten im Gange ist und kann entsprechend schnell reagieren. Interessant ist, was die Real-Time Engine als verdächtig einstuft und daraufhin einen Sicherheitsalarm (Security Alert) auslöst. Hierzu gibt es in dem Sensage System eine Out of the box (Ootb) Intelligenz. Diese ist sehr gut optimiert auf Windows- und Unix/Linux-Systeme. Auch Systeme von Herstellern wie beispielsweise Cisco Systems und Juniper Networks sind sehr gut integriert. Bei Bedarf kann man auch ohne Programmierkenntnisse neue Regeln von einem Template erstellen, die zusätzliche, über die Ootb-Intelligenz hinaus, Sicherheitsdienste in die Real-Time Engine integrieren. Für Experten steht darüber hinaus auch eine Scripting Sprache namens Event Processing Language (EPL) zur Verfügung, die jenseits der Templates auch das Erstellen von sehr komplexen Regeln ermöglicht. Abbildung 5.1 zeigt die Real-Time Engine in einem Dashboard der Standard Sensage Console. Abbildung 5.1: Real-Time Monitoring Die Real-Time Engine eignet sich nahezu perfekt dafür, Dienste der Firewalls wie beispielsweise Screens, IDP und UTM von Juniper oder Threat-Detection, Inspection und Anti-x von Cisco einzubinden. Gerade diese Dienste sind dafür da, dass sie im Falle eines Angris IP Pakete von Angreifern blockieren oder gar ganze Sessions unterbrechen. Sieht der Security Analyst Meldungen dieser Dienste in dem Real-Time Dashboard, kann er proaktiv tätig werden. Bei Doppelklick auf ein Ereignis önet sich der Real-Time Alert Player, der zum einen alle zu dem Ereignis gehörenden Meldungen zusammenhängend darstellt, und zum anderen auch die Abhängigkeiten visualisiert. Siehe Abbildung 5.2 auf der nächsten Seite. 16 c 2012, Airnet Technologie- und Bildungszentrum GmbH

27 5.1 Real-Time Engine Abbildung 5.2: Real-Time Alert Player Nimmt man in dem Real-Time Dashboard allerdings anstelle eines Doppelklicks einen Klick auf die rechte Maustaste vor, nachdem man sich auf einem der Felder Src IP, Src Port, Dst IP, Dst Port, Src User oder Dst User bendet, önet sich, wie in Abbildung 5.3 zu sehen, ein kleines Fenster. Hier besteht die Möglichkeit, vordenierte Associated Reports auszuwählen, um Detailinformationen aus der Datenbank auszulesen. Ziel ist hier, dem verdächtigen Verhalten nachzugehen. Es ist nämlich durchaus möglich, dass es sich hier auch um einen Fehlalarm, in der Fachsprache False Positive, handelt. Abbildung 5.3: Real-Time Associated Reports Associated Reports können vom Administrator bei Bedarf selbst deniert und mit der Real-Time Engine verankert werden. c 2012, Airnet Technologie- und Bildungszentrum GmbH 17

28 Kapitel 5 Die Sicherheitsüberwachung Für das Auslesen aus der Datenbank ist die Reporting Engine zuständig, die als nächstes beschrieben wird. 5.2 Reporting Engine Wird ein Associated Report aus der Liste der verfügbaren Reports ausgewählt, önet sich das Fenster, das in Abbildung 5.4 zu sehen ist. Hier besteht die Möglichkeit, zunächst einen Zeitraum bzw. ein explizites Datum anzugeben, um nach den darauolgenden Suchkriterien für die angegebene Zeitspanne in der Datenbank zu suchen. Beispielsweise wird hier in den beiden Datenbankfeldern dest_account und src_account nach dem Benutzer Administrator gesucht. In der Auswahl Match kann zwischen All Criteria und Any Criteria gewählt werden. Ersteres stellt eine UND- und Letzteres eine Oder-Verknüpfung zwischen den Datenbankfeldern her. Abbildung 5.4: Run Report Abbildung 5.5 auf der nächsten Seite zeigt, dass für den angegebenen Zeitraum (26. März 2012) genau zwei Einträge gefunden wurden. Jeder Eintrag in einem Sensage System, egal welcher Tabelle, beginnt mit einem Zeitstempel. Danach folgen die entsprechenden Felder. Diese Tabelle heiÿt Windows Account Addition and Deletion und hat die folgenden Felder: Event Source Jede Event Source auf einem Sensage System wird durch einen Log Adapter angebunden. Windows Retriever heiÿt der Log Adapter, der die Log-Daten von Windows Systemen in das Sensage System aufnimmt. Domain Controller Hier wird der Name des Windows Systems angezeigt. Es handelt sich bei dieser Abbildung um eine generelle Beschreibung von Reports. Das Windows System mit dem angezeigten Namen WIN2003SERVER1 ist nicht Bestandteil dieser Testumgebung. Domain Sofern keine Windows Domains konguriert sind, wird hier erneut der Name des Servers angezeigt. 18 c 2012, Airnet Technologie- und Bildungszentrum GmbH

29 5.2 Reporting Engine Abbildung 5.5: Report Done by Dieses Feld kennzeichnet den Benutzernamen, der die nachfolgend beschriebene Aktion ausgeführt hat. User Added/Deleted Hier wird der neu angelegte Benutzer angezeigt, der durch den Benutzer im Feld Done by angelegt wurde. In unserem Fall also vom Administrator. Event ID Alle Windows Ereignisse haben eine eindeutige Event ID, die in diesem Feld aufgeführt ist. Event Description Hier wird das Ereignis beschrieben. Wir haben also mit dem oben genannten Beispiel in der Datenbank nach allen Aktionen, die den Benutzer Administrator betreen, gesucht. Dies führt bei einem Datenschutzbeauftragten möglicherweise zum Läuten aller Glocken, jedoch dürfen wir nicht auÿer Acht lassen, dass erfolgreiche Angreifer sich der vorhandenen Benutzernamen auf einem System problemlos bedienen können. Um aber auch dem Datenschutz gerecht zu werden, gibt es in dem Sensage System eine rollenbasierte Benutzerverwaltung, die es ermöglicht, Wildcards anstelle von Benutzernamen anzuzeigen. Weiterhin kann die Reporting Engine genutzt werden, um das Beweismaterial für eine forensische Untersuchung zu liefern. Es handelt sich hier um ein revisionssicheres System. Auch die rohen Log-Informationen werden in jeder Tabelle in dem Feld unparsed_message angehängt. In Abbildung 5.6 auf der nächsten Seite ist ein Report der Tabelle Juniper_RTScreen zu sehen. Hier handelt es sich um die Abwehr eines ICMP-Angris gegen eine Juniper c 2012, Airnet Technologie- und Bildungszentrum GmbH 19

30 Kapitel 5 Die Sicherheitsüberwachung Firewall. Wie im Feld Action zu sehen, wurde dieser Angri von der Firewall erkannt und somit abgewehrt (drop). Abbildung 5.6: Forensic Investigation 5.3 Compliance Reporting Zusätzlich zur Real-Time und Reporting Engine werden wir uns des Compliance Reportings bedienen, um verdächtiges Verhalten aufzuspüren. Sensage unterstützt mit ihrem Compliance Package alle gängigen IT Compliance Anforderungen, die an ein SIEM System gestellt werden. Abbildung 5.7 auf der nächsten Seite zeigt beispielsweise den Reiter der Sarbanes-Oxley Act (SOX) Compliance Firewall Denied. Oben in dem Fenster ist eine Zusammenfassung visualisiert und unten sind die ausführlichen Informationen aus der Datenbank zu sehen, die Pakete in einem angegebenen Zeitraum blockiert haben. Wir werden später sehen, wie es aussehen kann, wenn eine Firewall unter Beschuss ist. Abbildung 5.8 auf der nächsten Seite zeigt weiterhin auch den Reiter Firewall Accepted. Um mit ziemlicher Genauigkeit sagen zu können, dass das Netzwerk unter Beschuss steht, ist die Denition einer Baseline sehr anzuraten. Denn hat man deniert, was normaler Zustand des Netzwerks ist, kann man durch Abweichungen von diesem Zustand und dem Denieren von Schwellenwerten feststellen, das etwas nicht stimmt. Hierzu kann uns das Netow Dashboard helfen, das in Abbildung 5.9 auf Seite 22 zu sehen ist. Netow sammelt Protokollstatistiken, die insbesondere für die Denition einer Baseline sehr hilfreich sein können. Weiÿ ich beispielsweise, dass ich in meinem Netzwerk täglich etwa 500 Mbyte an HTTP-Verkehr habe, kann ich einen Schwellenwert für eine Abweichung von x Prozent des normalen Verkehrs kongurieren. Wird der 20 c 2012, Airnet Technologie- und Bildungszentrum GmbH

31 5.3 Compliance Reporting Abbildung 5.7: Compliance Reporting Schwellenwert überschritten, wird ein Alarm ausgelöst. Das Sensage System bietet auch die Möglichkeit, einen Full Packet Capture in die Datenbank aufzunehmen. Damit ist gemeint, dass der gesamte Netzwerkverkehr mit allen Protokollheadern und Rohdaten (Raw Data) komplett aufgenommen wird, um ihn anschlieÿend zu analysieren. Das hierfür eine Unmenge an Storagekapazität erforderlich ist, wird kein Geheimnis sein. Full Packet Capture ist insbesondere dann von Vorteil, Abbildung 5.8: Compliance Reporting c 2012, Airnet Technologie- und Bildungszentrum GmbH 21

32 Kapitel 5 Die Sicherheitsüberwachung Abbildung 5.9: Netow Dashboard wenn im Falle eines Angris im Detail nachvollzogen werden muss, was geschehen ist. Um nicht ganz so viel Storagekapazität zu verbrauchen, besteht auch die Möglichkeit, gezieltes, skriptgesteuertes Full Packet Capture zu nutzen. Damit ist gemeint, dass bei Auftreten von bestimmten Ereignissen ein Skript ausgeführt wird, das gezieltes Full Packet Capture von einem bestimmten Quadrupel Source IP/Source Port/Destination IP/Destination Port aktiviert. Baseline Denition, Netow und auch Full Packet Capture werden wir ausführlich im Fachbuch [Kha13] behandlen. 22 c 2012, Airnet Technologie- und Bildungszentrum GmbH

33 Kapitel 6 Zusammenfassung Zur Abwehr sowohl von physischer Kriminalität als auch von Cybercrime gilt eines gemeinsam: je früher man eingreift, umso besser. Kein Vorwurf gegen die Menschen, die den unlauteren Mitteln meiner Ex-Frau zum Opfer gefallen sind. Es scheint wohl in der Natur der Menschen zu liegen, immer erst einmal an das Gute zu glauben. Man kann es kaum fassen, aber es ist wahr. Social Engineering stellt nach wie vor die gröÿte Gefahr dar. Das Sicherheitsbewusstsein eines normalen Bürgers lässt oft zu Wünschen übrig. Ich kann hier unmöglich die unzähligen Methoden meiner Ex-Frau beschreiben, mit denen sie Menschen durch Social Engineering erfolgreich betrogen hat. Also welche Möglichkeiten gibt es, verdächtiges Verhalten und kriminelle Handlungen aufzudecken, ohne alle Menschen unter Generalverdacht zu stellen? Ist beispielsweise in Abbildung 6.1 verdächtiges Verhalten festzustellen? Abbildung 6.1: Verdächtiges Verhalten? Wurde meine Ex-Frau am Londoner Flughafen zusammen mit zwei Kindern als nichtverdächtig eingestuft, also einfach ohne groÿartiger Passkontrolle vorbeigewunken, oder hat das Sicherheitssystem der Polizei versagt? Gott weiÿ es besser! Ob in der realen Welt oder im Cyberspace: das Aufdecken von verdächtigem Verhalten oder kriminellen Handlungen, ohne jeden unter Generalverdacht zu stellen, bleibt ein Drahtseilakt. 23

34 Kapitel 6 Zusammenfassung Vielen Dank für Ihre Aufmerksamkeit! Rukhsar Khan CEO/CTO Unternehmensgruppe AIRNET mailto:info@airnet.de 24 c 2012, Airnet Technologie- und Bildungszentrum GmbH

35 Literaturverzeichnis [Kha12a] Khan Rukhsar: Die Ezienz von Security Monitoring und Log Management. AIRNET, 1 Auflage, [Kha12b] Khan Rukhsar: Im Namen der Mutterliebe. Rukhsar-Verlag, [Kha13] Khan Rukhsar: Globale Wirtschaft und Exekutive im Fadenkreuz des Cybercrime. AIRNET, 1 Auflage,

36 Literaturverzeichnis 26 c 2012, Airnet Technologie- und Bildungszentrum GmbH

37 Glossar Log Management Meterpreter Remote Shell Security Monitoring SLS Die (reaktive) Recherche von Sicherheitsereignissen in der Log-Datenbank. Ein Meterpreter ist ein mächtiges Tool, das nicht nur eine Remote Shell önet, sondern viele zusätzliche Funktionen bietet, um das eroberte System systematisch auszunutzen. So können beispielsweise Dateien vom Angrissystem auf den Server hochgeladen und ausgeführt werden, eine VNC Session gestartet werden oder das angegriene System wird als Sprungbrett missbraucht, um weitere Systeme anzugreifen. Durch eine Remote Shell kann ein Angreifer das gekaperte System von der Ferne aus steuern. Das (proaktive) Überwachen von verdächtigen Sicherheitsereignissen mit einer Real-Time- Komponente. Hierbei handelt es sich lediglich um den Namen der Sensage Datenbank. 27

38 Glossar 28 c 2012, Airnet Technologie- und Bildungszentrum GmbH

39 Akronyme BI Business Intelligence 15 EPL Event Processing Language 16 JDBC Java Database Connectivity 15 ODBC Open Database Connectivity 15 Ootb Out of the box 16 SOX Sarbanes-Oxley Act 20 29

40 Akronyme 30 c 2012, Airnet Technologie- und Bildungszentrum GmbH

41 Stichwortverzeichnis A Anti Virus Anti-x B Baseline , 20 Bekämpfung von Cybercrime Betrug C CLEAR-Flow Compliance Reporting D Deep Inspection F Faktor Zeit False Positive Full Packet Capture , 21 I Intrusion Detection & Prevention IPS P Proling R Raw Data Real-Time Rechtsstaat oder Überwachungsstaat. 1 Reconnaissance Attacke Revisionssicher S SIEM T Terrorbekämpfung Threat-Detection V Verärgerter Mitarbeiter Verdächtiges Verhalten K Know your Enemy Kompromittiertes System Kontrollmaÿnahmen Kriminalitätsbekämpfung L Log Adapter M Metasploit N Netow , 20 Nmap Nping O OpenVAS