Competence Site Virtual Roundtable IT-Sicherheit

Transkript

1 Titel des Roundtable: IT-Sicherheit Technologien und Trends Teilnehmer: Frank Eschenlohr, IT-Security Manager Channel Sales Organisation: Aladdin Knowledge Systems Germany Kurzeinführung in das Thema: Inzwischen ist es wohl unstrittig: Das Thema IT-Sicherheit ist keine Eintagsfliege, sondern ein langfristiger Trend. Von 2002 bis 2005 rechnet die META Group für den deutschen IT-Sicherheits-Markt mit einem jährlichen Wachstum von durchschnittlich 9,5 %, was angesichts knapper IT-Budgets und sinkender IT-Gesamtausgaben deutlich über dem allgemeinen Trend liegt. IT-Sicherheit ist außerdem bereits zu einem wichtigen Wirtschaftsfaktor geworden: Das Marktvolumen allein in Deutschland schätzt die META Group für das Jahr 2003 auf knapp 3 Mrd. Euro. Die wirtscha ftlichen Schäden, die ein einzelner Wurm verursacht, können weltweit ebenfalls in die Milliarden gehen. IT-Sicherheit ist auch ein aktuelles Medien-Thema, vor allem Viren, Würmer und Trojaner. Inzwischen sind ca bekannt, pro Jahr kommen mehr als neue hinzu. Fast in jedem Monat wird mindestens einer als erhebliche Bedrohung eingestuft. Namen wie Melissa, Code Red oder Nimda sind auch Personen, die sich nicht beruflich mit Fragen der IT-Sicherheit beschäftigen, ein Begriff, Probleme wie die Sicherheit von Web Services oder WLANs dagegen noch nicht. Andererseits wecken aktuelle Studien von META Group (Juni 2003), Ernst & Young (August 2003), PwC (August 2003) und Mummert Consulting (September 2003) Zweifel daran, ob die Botschaft in den Unternehmen wirklich verstanden wurde. Diesen Studien zufolge haben viele Unternehmen kein durchgehendes Sicherheitsmanagement, fassten Sicherheit nur als rein technologisches Problem oder Managementproblem auf, und beschränkten sich auf eine reaktive Abwehr, die Vermeidung katastrophaler Ausfälle oder reine Kostengesichtspunkte. In diesem Virtual Roundtable werden Experten von Technologieanbietern, Beratungen, Forschungseinrichtungen, Medien, Veranstaltern und Verbänden den Status Quo der IT-Sicherheit und die Entwicklungen in nächster Zeit beurteilen. Was sind die größten Schwachstellen? Welches sind die größten Schadensverursacher? Was macht die IT anfällig für Attacken, und wie kann sie weniger verwund-

2 bar gemacht werden? Mit welchen Bedrohungsszenarien müssen wir in Zukunft rechnen und wie werden sich die notwendigen Abwehrmaßnahmen auswirken? Wie ist es um die IT-Sicherheit speziell in deutschen Unternehmen bestellt? Diese und weitere Fragen werden in diesem Roundtable beantwortet. Sehr geehrter Herr Eschenlohr, Schwachstellen in den Unternehmen Anfang Oktober hat SANS Institute eine aktuelle Liste der Top-Sicherheitslücken für Windows- und Linux- bzw. UNIX-Rechner veröffentlicht. Die über mehrere Jahre fortgesetzte Studie zeigt, dass einige Schwachstellen über Jahre hinweg Spitzenplätze einnehmen. Was sind Ihrer Einschätzung nach die gefährlichsten Schwachstellen? Welche (ungefähren) Anteile würden Sie Betriebssystemen, Anwendungen und "dem menschlichen Faktor" zuschreiben? Woran liegt es, wenn Sicherheitslücken sich über Jahre hinweg an der Spitze dieser traurigen "Hitliste" befinden? Linux, Windows oder Unix Betriebssystem, dies ist wirklich eine philosophische Frage. Hätte Linux den gleichen Marktanteil wie Windows würden auch hier findige Hacker mehr Sicherheitslücken im Betriebssystem ausfindig machen und nutzen. Bei Windows bekommt man als Hacker einfach mehr Aufmerksamkeit in der Öffentlichkeit. Die Schwachstellen liegen aus meiner Sicht darin, dass jeder Benutzer gerne die eierlegende Wollmilch-Sau möchte. Dieser Komfort beschert uns ein paar Sicherheitslücken, da z.b. Windows aus mehreren Millionen Programmierzeilen besteht. Der Systemadministrator muss immer den aktuellen Software-Patch eingespielt haben um Sicherheitslücken zu schließen, was zunehmend immer schwieriger wird. Aus diesem Grund sind pro-aktive Technologien am Gateway die einzige Alternative. Der Systemadministrator darf ja schließlich auch einmal in den Urlaub gehen.

3 Gefährdungspotenziale von Attacken Viren, Würmer, Trojaner und DoS-Attacken erhalten ein hohes Maß an allgemeiner Publicity: Zahlreiche Exemplare von bösartigem Code haben es in die allgemeinen Computernews oder sogar in die täglichen Nachrichten "geschafft". Andere Herausforderungen wie z.b. die Sicherheit von Web Services und WLANs sind dagegen noch nicht so weit ins Bewusstsein vorgedrungen und werden daher bei Investitionen in die IT-Sicherheit kaum berücksichtigt. Richten die Attacken, die am meisten Beachtung in den Medien finden, auch wirklich die größten Schäden an? Welche At tacken sind Ihrer Meinung nach derzeit wirklich die gefährlichsten für Unternehmen? Wenn man sich die Security Lösungen von Firmen speziell im Mittelstand betrachtet findet man, dass zu fast 100 % auf dem Desktop ein Anti-Viren Programm installiert ist. Am Gateway sieht das schon anders aus. Die wenigsten Firmen haben einen wirksamen Schutz vor bekannten und unbekannten Viren, Trojaner und Würmer und wenn, dann nur für . Wenn man den gesamten Internetverkehr betrachtet, macht aber nur ca. 80% aus. Somit sind 20% des Internetverkehrs (http und FTP) ungeschützt. Da in vielen Webseiten aktive Inhalte -sprich ausführbare Dateien- hinterlegt sind, stehen hier Tür und Tor offen für Angriffe. Und wenn das in Verbindung mit Spam Mails passiert, in denen versucht wird den Nutzer auf eine Web Seite zu locken, können Sie sich das Ergebnis selbst ausmahlen. Die durch die Presse gehenden Attacken verursachen meistens auch die größten Schäden, wie z.b. Slammer oder MyDome. Die gefährlichsten Attacken sind aber solche, die man mit herkömmlichen Produkten nicht überprüfen kann. Applikationen wie P2P, Spyware, Slammer oder IM können von herkömmlichen AV-Produkten nicht erkannt we r- den, da diese Protokolle Tunneln (z.b. http-tunneling). IT-Marktstruktur Immer wieder werden Stimmen laut, die in der Dominanz eines Betriebssystems einen Grund für die rasche Ausbreitung von Viren und Würmern sehen. Dies entspricht zwar der allgemeinen Erfahrung, wenn man sich die Anfälligkeit von Monokulturen

4 für Schädlinge vor Augen hält. Ist dieses Beispiel aus der Biologie aber direkt auf die IT übertragbar? Könnte eine Konzentration auf wenige Systeme auch Vorteile haben? Sehen Sie auch einen Zusammenhang zwischen der Offenlegung von Programmcode und der Anfälligkeit von Software für Attacken? Ist Open Source-Software im allgemeinen wirklich mehr oder weniger anfällig oder werden bisher Open Source-Plattformen nur weniger angegriffen, weil sie als Angriffsziel nicht so populär sind? Linux als Open Source Plattform ist auch nur dann sicher, wenn man mit einem abgespeckten -sprich gehärteten- Kernel arbeitet. Ansonsten ist eine geringere Anfälligkeit für Schädlinge bisher unbewiesen. IT-Sicherheit und Kriminalität Bislang scheinen die meisten bösartigen Attacken von "Einzeltätern" zu stammen, obwohl manche ein beträchtliches Maß an krimineller Energie erkennen lassen oder wie der Sobig-Wurm von Experten der organisierten Kriminalität zugeordnet werden. Verbindungen von Viren und Würmern zu extremistischen Gruppen werden ebenfalls vermutet, jedoch gibt es noch keine Belege dafür (Cyber-Kriminalität: Internet wird zur Spielwiese für das organisierte Verbrechen, Computerwoche vom 8.10.) Für wie realistisch halten Sie Szenarien von "Cyber-Kriminalität" und "Cyber-Terrorismus"? Glauben Sie, dass wir es in diesen Fällen mit einer neuen Dimension der Bedrohung zu tun bekämen? Wie könnte gegebenenfalls derartigen Angriffen begegnet werden? Die Themen "Cyber-Kriminalität" und "Cyber-Terrorismus" sind sicherlich Themen, mit denen wir uns jetzt und in Zukunft auseinander setzten müssen. Hier stellt sich nur die Frage, wer schneller ist, der Angreifer oder die Verteidigungsmaßnahmen. Daher sind Systeme, die auf herkömmliche Weise funktionieren, wie z.b. das Erkennen von Viren aufgrund einer bekannten Virensignatur, nicht mehr up-to-date. Vorhandene Gateway Lösungen müssen um Funktionen erweitert werden, die dieses

5 Manko kompensieren. Der Trend geht von reaktiven zu pro-aktiven -sprich intelligenten- Lösungen. IT-Sicherheit und Trusted Computing Obwohl es wohl keine 100%ige Sicherheit geben kann, soll mit den kombinierten hard- und softwarebasierten Sicherheitskonzepten NGSCB (Microsoft) und dem Trusted-Computing-Ansatz (TCPA bzw. TCG) die Computersicherheit erheblich verbessert werden. Gleichzeitig könnten diese Konzepte aber Kontroll- und sogar Missbrauchsmöglichkeiten, die sich gegen die Nutzer oder auch gegen missliebige Software, z.b. von Konkurrenten, richten, Tür und Tor öffnen, was bereits erhebliche Bedenken hervorgerufen hat. Werden diese Konzepte Ihrer Meinung nach tatsächlich die versprochene Sicherheit bringen können? Ist der potentielle Zuwachs an Sicherheit die damit verbundenen Risiken wert? Wie kann garantiert werden, dass die Hersteller von Prozessoren oder Betriebssystemen die Macht, die ihnen dieser Ansatz gibt, nicht missbrauchen? Dazu habe ich bisher keine Meinung. IT-Sicherheit in deutschen Unternehmen Aktuelle Studien (siehe Einleitung des Roundtable) stellen der IT-Sicherheit in deutschen Unternehmen insgesamt kein gutes Zeugnis aus. Haben die Unternehmen in Deutschland die Zeichen der Zeit wirklich noch nicht verstanden? Woran könnte dies liegen? Was könnte getan werden, um das Bewusstsein für die IT-Sicherheit weiter zu schärfen? Der Angriff erfolgt nicht nur von Außen sondern auch von Intern. Solange sich User an Systemen mit Username/Passwort authentisieren, stehen für Angreifer egal ob intern oder extern- Tür und Tor offen. Da sich im Schnitt jeder User an 5 Anwendungen anmelden und er dafür alle 3 Monate ein neues Passwort kreieren muss, nutzt

6 der User meistens ein Passwort für alle Applikationen. Hat der Angreifer dieses Passwort einmal herausgefunden, hat er Zugriff auf alle Anwendungen. Das Thema Sozial Hacking ist dabei nicht zu unterschätzen, d.h. dass der User naheliegende Passwörter seiner Familie nutzt. Die Unternehmen müssen den User entlasten, ihm die Bürde des Passwort Managements abnehmen und somit die Sicherheit im Unte r- nehmen steigern. Da ist z.b. Microsoft mit der kostenfreien CA ein gutes Beispiel. Mit dieser CA (PKI) können sich Benutzer sicher über Zertifikat an Windows etc. anmelden. Das Security-Bewusstsein innerhalb von Unternehmen kann aus meiner Sicht nur durch intensive Beratung durch Security Spezialsten geschärft werden und ho f- fentlich nicht durch schlechte Erfahrung. Entwicklung von IT-Sicherheitstechnologien in Deutschland Wie sehen Sie die Lage der Entwicklung von IT-Sicherheits-Technologie in Deutschland? Was sind Hindernisse für positive Entwicklungen? Wie könnten Hindernisse beseitigt werden (z.b. durch Forschungsförderung, Verbandsarbeiten?) Was kann man aus Erfahrungen in anderen Ländern lernen? Wie sehen Sie die Kooperation zwischen Forschung und Wirtschaft? Wer ist an den neuen Technologien am meisten interessiert: Wissenschaftler, Produktanbieter, Endnutzer? Neue Technologien sind in erster Linie für Endnutzer gedacht denn ohne Nachfrage keine Entwicklung. Das Arbeiten im Verband wie z.b. die MCERT-Initiative wird das Thema IT-Sicherheits-Technologie positiv beschleunigen. MCERT entwickelt Lösungen, die die Nachfrage am Markt widerspiegelt. Den Standort Deutschland als Entwicklungsstandort für IT-Sicherheits-Technologie sehe ich positiv. Aladdin hat als Security Anbieter neben einem Entwicklungsstandort in Israel auch eine R&D- Abteilung von neuen Technologien in Deutschland. Ein Hindernis für die positive Entwicklung im Bereich IT-Sicherheits-Technologie sehe nur in der anhaltenden schleppenden Wirtschaftlage in Deutschland. Unternehmen können nur investieren, wenn entsprechende Budgets vorhanden sind.

7 Wie geht es weiter Trends und Visionen? Wie werden die nächsten 12 Monate für Anbieter und Anwender bringen bzw. welche Entwicklungen sind zu erwarten? Welche Ereignisse und Veranstaltungen werden für die Akteure besonders relevant sein? Was sind Ihre Ziele als Person und Unternehmen? Würden Sie uns verraten, an welchen interessanten Projekten / Studien Sie zur Zeit tätig sind? Als Themen für die nächsten 12 Monate sehe ich im Bereich Benutzer Authentisierung die Schwerpunkte Starke Authentisierung (Zwei Faktor), Simplified Logon, Desktop Security und Identity Management. Schwerpunktthemen für den Bereich Content Security am Gateway werden in nächster Zukunft die Themen Anti-Spam, Application-Filtering und die Überprüfung von http / FTP Internetverkehr. Für Aladdin ist, neben regelmäßigen Veranstaltungen mit unseren 120 Solution Partnern, dieses Jahr besonders die CeBIT wichtig, die dieses Mal das Thema Security mit einem eigenen Forum in Halle 6 aufwertet. Als Hersteller ist auch die Systems in München ein wichtiger Bestandteil für die Generierung von Projekten. Als Unternehmen wollen wir wie auch in 2003 zweistellig wachsen. Vielen Dank, Herr Eschenlohr, für Ihre Teilnahme am Virtual Roundtable!