Cloud Computing Hakin9!06!2010 De

8/9/2019 Cloud Computing Hakin9!06!2010 De

1/50
http://www.psw.net/


2/50
http://www.psw.net/


3/504 HAKIN95/2009

das Hauptthema der Juli Ausgabe ist Cloud Computing.Cloud Computing ist gerade das heieste Eisen in der IT Branche. Die

Grundbausteine sind Technologien der Virtualisierung und der verteilten Systeme,die dazu dienen unterschiedliche Services on-demand zur Verfgung zu stellen.Die IT Industrie sieht darin das Potential einen neuen Paradigmenwechsel zugenerieren. In unserem Heft finden Sie einen einfhrenden Beitrag zu diesemhochinteressanten Thema.

Des Weiteren lesen Sie im Artikel Der Penetrationstest Vorgehen und

Tools eines Testers ber mgliche Vorgehen und Mittel, die eingesetzt werden,damit ein optimales Ergebnis erzielt werden kann.

Zu weiteren Highlights unserer aktuellen Ausgabe gehren: Know-How Schutz , Antiviren-Programme, E-Mail-Verschlsselung und Rechtliche Aspekteder Spamfilterung .

Sie mchten unser Heft jeden Monat automatisch bekommen? Nichts ein-facher als dies. Registrieren Sie sich fr unseren Newsletter auf www.hakin9.org/ de und Sie werden regelmig jede Hakin9 Ausgabe in Ihrem E-Mail-Accountvorfinden. Jede Ausgabe wird nmlich automatisch an unsere Subscriber ver-schickt.

Viel Spa mit der Lektre!

Adrianna WitkowskaChefredakteurin

LIEBE HAKIN9 LESER,

herausgegeben vom Verlag:Software Press Sp. z o. o. SK

Geschftsfhrer: Pawe Marciniak

Herausgeber: Ewa [email protected]

Chefredakteur: Adrianna [email protected]

Redaktion/Betatester: Karolina Sokolowska,Thomas Hhn, Helmut Kaufmann, Andreas Wisler,Marko Rogge, Michael Heinzl, Ulrike Peter, Peer Heinlein

Produktion: Andrzej KucaDTP: Przemys aw Banasiewicz

Umschlagsentwurf: Przemys aw BanasiewiczWerbung: [email protected]

Anschrift: Software Press Sp. z o.o. SKul. Bokserska 1, 02-682 Warszawa, PolandTel. +48 22 427 36 56, Fax +48 22 244 24 59www.hakin9.org/de

Die Redaktion bemht sich, dafr Sorge zutragen, dass die in der Zeitschrift sowie auf denbegleitenden Datentrgern erhaltenen Informationenund Anwendungen zutreffend und funktionsfhigsind, bernimmt jedoch keinerlei Gewhr fr derer Geeignetheit fr bestimmte Verwendungszwecke. AlleMarkenzeichen, Logos und Handelsmarken, die sichin der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenmer und dienen nur als inhaltliche Ergnzungen.

Anmerkung!

Die in der Zeitschrif t demonstrierten Techniken sindAUSSCHLIELICH in eigenen Rechnernetzen zutesten!Die Redaktion bernimmt keine Haftung fr eventuelle Schden oder Konsequenzen, die ausder

unangemessenen Anwendung der beschriebenenTechniken entstehen. Die Anwendung der darge-stellten Techniken kann auch zum Datenverlustfhren!hakin9 erscheint in folgenden Sprachversionen undLndern:deutsche Version (Deutschland, Schweiz, sterreich,Luxemburg), franzsische Version (Frankreich,Kanada, Belgien, Marokko), spanische Version(Spanien, Portugal), polnische Version (Polen), eng-lische Version (Kanada, USA)
http://www.hakin9.org/mailto:[email protected]:[email protected]:[email protected]://www.hakin9.org/dehttp://www.hakin9.org/demailto:[email protected]:[email protected]:[email protected]://www.hakin9.org/


4/504

INHALTSVERZEICHNIS

FR EINSTEIGERHeimnetzwerk Router einrichten 6Thomas HhnDas eigene Heimnetzwerk einzurichten und den Rou-ter richtig konfigurieren. Darum geht es in diesem Arti-kel. Danach wird WLAN konfiguriert und der PC WLAN-fhig gemacht. Eine Anleitung fr Einsteiger.

Cloud Computing Ein berblick 10Helmut KaufmannCloud Computing ist gerade das heieste Eisen inder IT Branche. Die Grundbausteine sind Technologiender Virtualisierung und der verteilten Systeme, die da-zu dienen unterschiedliche Services on-demand zur Verfgung zu stellen. Die IT Industrie sieht darin dasPotential einen neuen Paradigmenwechsel zu generie-ren.

ANGRIFFDer Penetrationstest Vorgehenund Tools eines Testers 14

Andreas Wisler Der Penetrationstest ist ein Mittel, um mgliche Fehler zu erkennen und damit die IT-Sicherheit zu erhhen.Dieser Beitrag zeigt ein mgliches Vorgehen und er-whnt Mittel, die eingesetzt werden knnen, damit einoptimales Ergebnis erzielt werden kann.

ABWEHRKnow-How-Schutz mitUntersttzung schafft mehr Sicherheit 24Marko RoggeKnow-How Schutz ist ein zentrales Thema, wenn esum den Schutz von Wissen und Daten in Verbindunggeht. Grundstzlich ist es bedeutend, dass Unterneh -men sich mit der Sicherheit der Daten befassen, diefr geschftliche Prozessablufe relevant sind. Aber auch das geistige Eigentum von Unternehmen gilt eszu schtzen und das nachhaltig.

Warum Unternehmens- und IT-Sicherheit stu-dieren? - FH Offenburg 30

6/2010

4 6/2010

Was man heutzutage ber Antivirenprogramme wissen muss 34Michael Heinzl Unerfahrene Computernutzer erkundigen sich oft-mals nach einer guten Antivirenlsung. Empfehlungensttzen sich hierbei hufig auf persnliche Prferenzenund Erfahrungen, nur selten werden Kriterien erfragt,welche fr den Fragenden wichtig sein knnten.

DATENSCHUTZTrend der E-Mail-Verschlsselung:Anwenderfreundlichkeit im Fokus 36Ulrike Peter Milliarden ungesicherte E-Mails werden tglich ber das Internet transferiert. Insbesondere Verwaltungen,Wirtschaftsprfer, Notare und andere Unternehmen,die auf elektronischem Weg hochsensible Daten aus-

tauschen, sind jedoch gesetzlich zum Datenschutzverpflichtet.

Rechtliche Aspekte der Spamfilterung fr Un-ternehmen und Administratoren 40Peer HeinleinInternet Service Provider, Arbeitgeber und Administra-toren haben beim Einsatz von Spam- und Virenfilternviele rechtliche Details zu beachten.

Im Zusammenhang mit den nderungen, die inletzter Zeit in dem deutschen Recht stattgefundenhaben und die IT-Sicherheit betreffen, mchten wir ankndigen, dass hakin9-Abwehrmethoden Magazinseinem Profil treu bleibt.

Unser Magazin dient ausschlielich den Er-kenntniszwecken. Alle im Magazin prsentiertenMethoden sollen fr eine sichere IT fungieren. Wir legen einen groen Wert auf die Entwicklung von ei-nem sicheren elektronischen Umsatz im Internet und der Bekmpfung von IT Kriminalitt.


5/50

Sie wollen mehr wissen?Tel.: +49 (0) 98 56 - 92 19 991 www.blossey-partner.de

Datenschutz-Dienstleistungen fr UnternehmenEntlastung Resultate Mehrwert

Immer und berall mobil am PC und im Inter-net arbeiten zu knnen, hat nicht nur Vorteile.Vor allem dann, wenn man sich der ffent-

lichkeit nicht bewusst ist, knnen allzu neugierige Blickeschnell zur Gefahr fr sensible Daten werden. Dabei lsst

sich bereits mit wenig Aufwand die Gefahr gut bannen.Wir spren die Datenschutz-Lcher in Ihrem Unterneh-men auf, entwickeln praxistaugliche Lsungen, schulenIhre Mitarbeiter und helfen bei der Einhaltung der daten-schutzrechtlichen Bestimmungen.

z.B. Unachtsamkeit inder ffentlichkeit
http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/http://www.blossey-partner.de/


6/506/20106

FR EINSTEIGER

Welchen Router soll ich nehmen?Welches Gert das Beste fr einen persnlich ist, istentweder ganz einfach zu beantworten oder nur sehr schwierig.

Die einfache Variante ist: Ich nehme den, den mir mein Internetprovider zur Verfgung stellt.

Die schwierige Variante ist: Es gibt unzhlige Modellva-rianten auf dem Markt. Mit DSL- oder Kabelmodem, mitWLAN oder ohne, sehr gnstige oder sehr teure, mit einer einfachen Benutzeroberflche oder einer unbersichtli-chen. Wenn ich Kinder habe, kann ich im Router das In-ternet fr meine Kinder zeitlich konfigurieren? Und, und,

und. Wenn Sie jemanden fragen, sei es einen Verwandten,Bekannten oder einen Fachberater im Einzelhandel, beko-

mmen Sie stets unterschiedliche Antworten und sind da-

nach mit der Beantwortung der Frage kein Stck weiter.Fr diesen Artikel habe ich mich fr eine Fritz!Box FonWLAN 7270 entschieden. Dieser Router hat ein DSL-Modem mit an Bord, so dass auch nur ein Gert aufge-stellt werden muss.

Heimnetzwerk Router einrichten

Das eigene Heimnetzwerk einzurichten und den Routerrichtig konfigurieren. Darum geht es in diesem Artikel.Danach wird WLAN konfiguriert und der PC WLAN-fhiggemacht. Eine Anleitung fr Einsteiger.

IN DIESEM ARTIKEL ERFAHREN SIE... Die schrittweise Anleitung und die richtige Einrichtung eines

Routers r Ihr Heimnetzwerk.

WAS SIE VORHER WISSEN/KNNEN SOLLTEN... Wo ich das Netzwerkkabel einstecken muss und wo meine Te-

le ondose ist.

Thomas Hhn

Abbildung 2. IP Adresse automatisch beziehenAbbildung 1. Fritz!Box 7270


7/50

Heimnetzwerk Router einrichten

hakin9.org/de 7

OnlineWir mssen uns nun anmelden. Auch hier gibt es Stan-dardanmeldeprozeduren. Beispielsweise bentigt dieFritz! Box nur ein Kennwort, welches wir schon jetztvergeben knnen. Bei D-Link ist es als Benutzernameadmin und das Passwortfeld bleibt leer. Ein eigenesKennwort ist der erste Schutz und MUSS eingestelltwerden.

Das Kennwort ist nun gesetzt und wir befinden unsauf der Oberflche des Routers. Nahezu alle Router ha-ben heutzutage Assistenten an Bord, die einen Schrittfr Schritt durch die Einrichtung fhren. Wir verlassendiesen aber an dieser Stelle, da wir ja eine persnlicheKonfiguration vornehmen mchten.

Zunchst whlen wir den Menpunkt WLAN aus undnehmen den Haken bei WLAN-Funknetz aktiv herausund klicken auf bernehmen . Danach erlischt auch die

VorbereitungBevor wir den Router anschlieen und einrichten, m-ssen ein paar (wenige) Vorbereitungen getroffen wer-den:

fr DSL: Benutzername und Passwort fr den Inter-netzugang bereit legen

Kenntnis ber meinen Internettarif vorhandene Einwahlsoftware auf dem PC deinsta-

llieren Netzwerkkabel vom PC abziehen

berprfung LAN-VerbindungZunchst mssen wir die LAN-Verbindung berprfen,ob diese auf automatisches Beziehen der IP-Adre-sse eingestellt ist. Das ist notwendig, damit wir auchden Router nachher zur Einrichtung ansprechen k-nnen. Klicken Sie dazu auf das Symbol Netzwerkumge-bung auf Ihrem Desktop oder auf START und dann auf Netzwerkumgebung . Es ffnet sich ein neues Fenster.Unter Netzwerkaufgaben (links) befindet sich der PunktNetzwerkverbindungen anzeigen, auf den Sie klicken.Dann klicken Sie mit der rechten Maustaste auf LAN-Verbindung und whlen den Punkt Eigenschaften aus.Dann noch in dem neuen Fenster Internetprotokoll TCP/IP auswhlen und den Button Eigenschaften an-klicken.

Sollte dort eine IP Adresse eingetragen sein, danndie Punkte IP Adresse automatisch beziehen und DNS-Serveradresse automatisch beziehen anklicken. Mit OKbesttigen und alle weiteren Fenster ebenfalls mit OKbesttigen und schlieen.

Der Router das unbekannte WesenWICHTIG: Einstellungen am Router nimmt man immer dann vor, wenn der PC per Netzwerkkabel mit dem Rou-ter verbunden ist. Aus Sicherheitsgrnden NIEMALSper WLAN!

Nun kommen wir zur Routereinrichtung. Das Gertschlieen wir als erstes an den Strom an. Danach ver-binden wir den Router mit einem Netzwerkkabel mitdem PC. Der PC bekommt nun vom Router eine IPAdresse zugewiesen und wir knnen dadurch auf dieRouteroberflche zugreifen. Dieses tun wir mit einemInternet Browser (z.B. Internet Explorer, Firefox oder Opera). Wenn dieser geffnet ist, geben wir die IP desRouters ein. In unserem Fall http://192.168.178.1. DieIP Adresse Ihres Routers steht in der beiliegenden An-leitung. AVM benutzt z.B. die 192.168.178.1, hingegenbenutzt z.B. D-Link die Standardadresse 192.168.0.1.

Sie knnen die IP auch auf Ihrem PC nachschauen.Klicken Sie dazu doppelt auf das Computer -Icon auf Ihrer START -Leiste und dann auf den Karteikartenreiter Netzwerkuntersttzung . Dort steht die IP des Routersunter Standardgateway .

Abbildung 4. Keine Verbindung Fehlerha tes Passwort?

Abbildung 3. Router IP
http://192.168.178.1/http://192.168.178.1/


8/506/20108

FR EINSTEIGER

WLAN-Lampe am Router. Keine Angst, kabellos werdenwir selbstverstndlich surfen, aber zunchst mssen wir online gehen knnen. Und ein nicht abgesichertes WLAN-Netz oder ein vorgegebenes abgesichertes WLAN-Netzist mir nicht sicher genug. Der WLAN-Schlssel mussabsolut individuell sein, aber dazu spter mehr.

Wir klicken nun auf den Menpunkt Einstellungen und dann auf Erweiterte Einstellungen und auf Internet ,dann knnen wir den Punkt Zugangsdaten auswhlen.Wir setzen den Haken bei Zugangsdaten verwenden und geben den Benutzernamen und unser Passwortein. Bleibt nun noch die Auswahl, ob die DSL-Verbin-dung dauerhaft sein soll oder ob die Verbindung nacheiner bestimmten Zeit getrennt werden soll. Es ist zuempfehlen, dass man sptestens jetzt nochmal einenBlick auf den abgeschlossenen Tarif wirft, da es sonstbei Internetverbindung dauerhaft halten sehr teuer wer-den kann, wenn man keine Flatrate abgeschlossen hat.Der Klick auf bernehmen speichert unsere Eingaben.

Jetzt verbinden wir den Router mit dem Internet. Da-zu verbinden wir das beiliegende Kabel und klicken auf DSL-Information.

Die Aktualisierung und Anmeldung des integriertenModems kann ein paar Minuten dauern. Sobald die Ver-bindung hergestellt ist, sehen wir das auf der bersicht unter DSL-Informationen.

Wir testen es aber auf andere Weise, in dem wir un-seren Browser ffnen und die Adresse http://www.ho-ehn-it-service.de eingeben.

Der Router ist nun fr den Internetzugang eingerich-tet. Wir werden aber nun unsere Eingaben noch sichern.Dazu gehen wir ber Erweiterte Einstellungen und Sys-tem zu dem Punkt Einstellungen sichern .

Schnell noch auf Einstellungen sichern klicken, einenSpeicherort auswhlen (am Besten ein eigener Ordner)und unsere Eingaben sind gesichert.

Wir verlegen ein WLAN-Kabel KabellosSurfenDa wir jetzt online sind, ein wenig gesurft haben undnoch schnell die E-Mails abgerufen haben, wollen wir WLAN einrichten.

Wir gehen wieder mit http://192.168.178.1 auf den Rou-ter und gehen ber Erweiterte Einstellungen zu demPunkt WLAN . Hier setzen wir den Haken bei WLAN-Funknetz aktiv und klicken auf bernehmen . Dann n-dern wir den Namen (SSID) ab. Wir knnen hier freiwhlen, es sollte aber kein langer Satz sein, sondernkurz und prgnant. Dieser Name ist auch von anderenLeuten zu sehen und schon alleine aus diesem Grundsollte man auf Bezeichnungen wie meinwilderhase17 verzichten.

Wir whlen nun den Punkt Sicherheit aus und ber-

prfen, ob der Punkt WPA-Verschlsselung aktiviert ist.Der WPA-Modus sollte auf WPA-WPA2 stehen. Wir ver-

Abbildung 6. Einstellungen sichern!

Abbildung 5. Online

Abbildung 8. WLAN Kanal

Abbildung 7. WLAN
http://www.ho-ehn-it-service.de/http://www.ho-ehn-it-service.de/http://www.ho-ehn-it-service.de/http://www.ho-ehn-it-service.de/http://192.168.178.1/http://192.168.178.1/http://192.168.178.1/http://www.ho-ehn-it-service.de/http://www.ho-ehn-it-service.de/http://www.ho-ehn-it-service.de/


9/50hakin9.org/de 9

geben nun einen individuellen WLAN-Netzwerkschl-ssel.Der bereits vorhandene steht bei der Fritz! Box auch auf einem Aufkleber unter der Fritz! Box. Dadurch, dass die-ser bereits ab Werk eingetragen ist, ist der Schlssel nichtmehr sicher. Wir vergeben einen neuen. Sie knnen dazuBuchstaben und Zahlen benutzen. Man kann sich diesenvorher auf ein Blatt Papier schreiben oder auch wild auf der Tastatur tippen. Er muss nur sicher sein. VerzichtenSie daher auf einen Schlssel, der nur 1 enthlt oder nur den Buchstaben a. Auch sind Geburtstage ungeeignet.Zum Abschluss auch hier auf bernehmen klicken.

Als letzten Akt zur WLAN Einrichtung gehen wir zumPunkt Funkkanal . Aktivieren Sie Funkkanal-Einstellun-gen anpassen und setzen den Haken bei Streinfl-

ssen einblenden . Whlen Sie einen Kanal, der mglichstwenig Streinflsse hat und besttigen Sie mit ber-nehmen .

Voil. WLAN ist auf dem Router eingerichtet. Wir k-nnen den Browser nun schlieen.

Den PC WLAN-fhig machenUm nun auch wireless surfen zu knnen, mssenwir der WLAN-Netzwerkkarte auf dem PC auch nochden Netzwerkschlssel mitteilen. Dazu klicken wir auf START - Einstellungen - Systemsteuerung - Netzwerk-

verbindungen und whlen die WLAN-Karte aus (Dra-htlose Netzwerkverbindung). Klicken Sie dann auf Netzwerkliste aktualisieren und whlen Ihr Netzwerkaus. Dann der Klick auf Verbinden und Sie werden zur Eingabe des Netzwerkschlssels aufgefordert. GebenSie diesen ein und verbinden Sie sich. Nun knnen Siekabellos surfen.

Verwendete Gerte und Software:AVM Fritz!Box Fon WLAN 7270 mit der Firmware Version74.04.80PC mit Windows XP SP3

Im Internet

http://www.hoehn-it-service.de - Homepage des Autors http://www.conwertho.de Homepage Conwertho Gm-

bH http://www.avm.de/de/Service/Service-Portale/Labor/in-

dex.php Link zum Fritz! Labor

THOMAS HHNDer Autor ist Microso t Certifed Technology Specialist und Gesch ts hrer der Conwertho GmbH. Er ist u.a. r das Ver- sicherungsgesch t und den IT-Bereich zustndig. Als ge-lernter Versicherungskau mann ver gt er ber mehr als 14 Jahren Er ahrung in der Versicherungsbranche und hat zahl-reiche Firmen begleitet. Ebenso betreut er als Netzwerk-techniker zahlreiche Kunden selbst, um die Praxis nicht zuverlernen.Kontakt mit dem Autor: [email protected]
http://www.hakin9.org/dehttp://www.hoehn-it-service.de/http://www.hoehn-it-service.de/http://www.conwertho.de/http://www.conwertho.de/http://www.avm.de/de/Service/Service-Portale/Labor/in-dex.phphttp://www.avm.de/de/Service/Service-Portale/Labor/in-dex.phphttp://www.avm.de/de/Service/Service-Portale/Labor/in-dex.phpmailto:[email protected]://www.hakin9.org/demailto:[email protected]://www.avm.de/de/Service/Service-Portale/Labor/in-dex.phphttp://www.avm.de/de/Service/Service-Portale/Labor/in-dex.phphttp://www.avm.de/de/Service/Service-Portale/Labor/in-dex.phphttp://www.conwertho.de/http://www.hoehn-it-service.de/


10/506/201010

FR EINSTEIGER

Im Vordergrund steht die Fortfhrung des bereits

eingeschlagenen Weges der Virtualisierung und der Ansatz von Service Oriented Architectures (SOA).Das dadurch erreichbare Konsolidierungspotential solldurch die Weiterentwicklung in die Cloud noch gestei-gert werden. Wobei Cloud Computing weit mehr be-deutet als reine Virtualisierung. Es entsteht ein Risiko,wenn man den Sicherheitsaspekt bei der Sicherheitder Virtualisierung sieht und dort auch enden lsst.

Der Name Cloud Computing ist eine Methapher (sie-he Anhang: 1), die zur Beschreibung des zugrundelie-genden verteilten Ansatzes auf die Bezeichnungsweise

und bildliche Darstellung des Internets zurckgreift,welches oft als Wolke reprsentiert wird. Leider ver-stehen nicht alle unter Cloud Computing dasselbe. Iro-nisch gesagt, kann man dies auf einen Satz reduzieren:

Wenn man zwei Experten befrgt dann bekommt man

drei Meinungen.Es folgt nun der Versuch ausgehend von den Defini-tionen der ENISA (European Network and InformationSecurity Agency) einen berblick ber die wichtigstenBegriffe und Eigenschaften aus architektonischer Sichtzu erstellen (siehe Anhang: 2):

Service on demand, verbunden mit pay as you go (siehe Anhang: 3) Prinzip

Cloud Computing Ein berblick

Cloud Computing ist gerade das heieste Eisen in derIT Branche. Die Grundbausteine sind Technologien derVirtualisierung und der verteilten Systeme, die dazu dienenunterschiedliche Services on-demand zur Verfgung zustellen. Die IT Industrie sieht darin das Potential einen neuen

Paradigmenwechsel zu generieren.

IN DIESEM ARTIKEL ERFAHREN SIE... Was man unter Cloud Computing versteht; ber die verschiedenen Defnitionsanstze des Cloud Compu-

tings.

WAS SIE VORHER WISSEN/KNNEN SOLLTEN... Kein Vorwissen ntig.

Helmut Kau mann

Abbildung 2. 11 Domnen, die r Unternehmen rentabel eingesetzt werdenAbbildung 1. Defnitionsansatz: Cloud Computing


11/50


hakin9.org/de 11

hier Amazons EC2 und S3 genannt sowie Rack-space Cloud und Terremark Enterprise Cloud.

Eine weitere Mglichkeit, Clouds zu charakterisierenund zu kategorisieren und sich in der gngigen Litera-tur vielfach widerspiegeln, ist die folgende:

Public Cloud: ffentlich zugngliche Services, wo jedes Unternehmen oder Privatmann/-frau ein Ser-vice mieten bzw. kaufen kann.

Private Cloud: Von einer private Cloud spricht mandann, wenn die Services nach den Grundprinzipienund den architektonischen Eigenheiten des CloudComputings aufgebaut sind, aber nur ber ein pri-vates Netzwerk zugreifbar und nutzbar gemachtwerden.

Hybrid Cloud: Die Cloud Infrastruktur setzt sich auseiner oder mehreren Clouds zusammen, die sowohlpublic als auch private sein knnen. Diese erstrecktsich somit unter Umstnden ber die Firewallgren-zen eines Unternehmens hinweg. Ein mglicher Einsatz dafr sind Load Balancer zwischen Clouds.

Partner Cloud oder Community Cloud: Dabei werdendie Services von einer limitierten Anzahl von Benu-tzern eingesetzt, die denselben Bedrfnissen unter-liegen und so gegenseitiges Einverstndnis erzielen,welche z.B. die Sicherheitsanforderungen betreffen

und damit einem wohl definierten Benutzerkreis zur Verfgung gestellt werden. Im weitesten Sinne ver-gleichbar mit den Outsourcing-Prinzipien.

In einem Satz ausgedrckt kann man Cloud Compu-ting so zusammenfassen: Cloud Computing ist die zur

Geteilte Ressourcen wie Storage, Datenbanken,Hardware

Ressourcen as a Service (RaaS) Weiterentwick-lung des SOA Ansatzes ber Firewallgrenzen hin-weg (siehe Anhang: 4)

Pragmatisches Management Nahezu unmittelbare Provisionierung Nahezu unmittelbare und flexible Skalierbarkeit Hoher Abtrahierungsgrad Lokalisationsunabhngiger Ressourcenpool

Grundstzlich kann man das Cloud Computing in dreiKategorien einteilen.

Software as a Service (SaaS): Dabei wird Softwarenormalerweise von einem Software Provider imRegelfall ein Drittanbieter als Service on Demandangeboten, welches blicherweise ber das Inter-net konfigurierbar und verfgbar gemacht wird. AlsBeispiele dazu seien hier die Textverarbeitung unddie Tabellenkalkulation von Google docs genannt.

Platform as a Service (PaaS): Genutzt um z.B. neueApplikationen zu erstellen. Dabei werden on demanddie notwendigen Entwicklungswerkzeuge zur Verf-gung gestellt. Diese Plattformen bieten neben deneigentlichen Entwicklungswerkzeugen auch Dienstefr das Configuration Management und den Vertei-

lungsprozess an. Als Beispiel sei hier auf MicrosoftsAzur und Google s Apps hingewiesen. Infrastructure as a Service (IaaS): Bietet virtuelle

Systeme sowie andere virtualisierte Hardware undBetriebssysteme an, die ber Service APIs on de-mand kontrolliert werden. Als Beispiel dafr seien

Abbildung 3. Storage-as-a-Service

Enterprise Application

Internet

Storage-as-a-ServiceProvider

Remote Storage Remote Storage

Local Storage

Abbildung 4. In ormation-as-a-Service

Enterprise Application

Internet

Information-as-a-ServiceProvider

Information Information


12/506/201012

FR EINSTEIGER

Verfgungstellung von jeglichen Computerressourcendurch ein Web-Service-Interface auf einer as-needed Basis (siehe Anhang: 5).

David S. Linthicum (siehe Anhang: 6) greift die Archi-tekturkomponenten, die in Business Applikationen ineinem Unternehmen eingesetzt werden und verbindetdarauf den SOA Ansatz mit einer mglichen Cloud Ar-chitektur. Er kategorisiert folgende 11 Domnen, die fr Unternehmen rentabel eingesetzt werden:

Storage as a Service Database as a Service Information as a Service Process as a Service Application as a Service Plattform as a Service Integration as a Service Security as a Service Management/Governance as a Service Testing as a Service Infrastructure as a Service

Es sollen nun exemplarisch einige Domains nher be-trachtet werden.

Storage as a Service:Wie der Name schon vermuten lsst, versteht man da-

runter einen remote zur Verfgung gestellten und ver-walteten Speicherplatz, welcher aber logisch gesehenals lokaler Speicher behandelt wird. Im Grunde geno-

mmen nichts anderes als ein Teil eines SAN (StorageAera Network), welches nicht notwendigerweise im ei-genen Netzwerk lokalisiert ist. Die Speicher knnen von

jedem Rechner bzw. von jeder Applikation angefordertwerden und dies on-demand.

Ein besonderer Vorteil besteht darin, dass man denSpeicher bei Bedarf flexibel skalieren kann. Die Kostensind fr Speicherkapazitten auf z.B. Projektlaufzeiteneinschrnkbar und somit muss in keine Anlagenbestndeinvestiert werden und es muss kein Anlagenvermgenaufgebaut werden. Des Weiteren bernimmt der Storageas a Service Anbieter auch die notwendige Verantwortungund Schritte fr Backup und Recovery bzw. fr das De-saster Recovery der solcherart gespeicherten Daten. Wiedie Daten allerdings gegen unbefugten Zugriff bzw. gegenOffenlegung oder anderweitige unrechtmige Verwen-dung geschtzt werden, sind im Einzelfall zu analysierenbzw. durch geeignete Methoden z.B. durch Einsatz vonVerschlsselungssoftware, selbst durchzufhren.

Information as a ServiceHier soll die Mglichkeit geschaffen werden, unterschied-lichste Medienmeldungen durch standardisierte APIszugnglich zu machen. Beispielsweise Meldungen der APA, DPA, der internationalen Stock Exchange u.v.m.Unter programmableweb.com findet man mit Stand Mai2010 in etwa 1600 dieser APIs.

Somit wird es mglich, Informationen von unterschied-lichsten Quellen und Informationsanbietern zu sammelnund zu analysieren. Die groen Nachrichtenagenturen

Abbildung 5. Cloud Computing Architektur

SOAP/HTTP

SOAP/HTTP

SOAP/HTTP

salesforce.com

XML/HTTPS Oracle

FTPIMI (Direct Mail)

SMTP/FTP CaliforniaLithographers

(Brochures, Printing)

SFTP

peoplemetrics(Surveys)

SOAP

Address Validation Service(Third-Party Service)

Business processesbetween partners are easllyshared through the network


13/50


hakin9.org/de 13

der Welt arbeiteten noch vor dem Hype Cloud Compu-ting zwar properitr aber schon lange auf hnlicheArt und Weise zusammen, um den Informationsflussbzw. den Nachrichtenaustausch zu garantieren. Nunbietet sich dies aber auch fr Unternehmen jeder Gr-e an, da man die Applikation nur gegen die entspre-chenden APIs binden muss. Eventuelle Lizenzkostenund Reprogrammierung von Business Applikationensind natrlich zu beachten. Die meisten Angebote fr die Nutzung von Web-APIs zur Nutzung als Informationas a Service sind aber kostenfrei verfgbar.

Diese Informationsgewinnung ermglicht einen um-fassenden Datamining Ansatz fr die Wissensgenerie-rung im Unternehmen. Die Verschmelzung unterschied-lichster Informationsquellen auch in unterschiedlichenFormaten und deren Standardisierung und Kategorisie-rung, ermglicht vielfltige Einsatzmglichkeiten wie dieFortfhrung und Anwendung im Prozess as a Service.Aber auch die Mglichkeiten, Anomalien (Fraud-Detec-tion, Data-Loss-Prevention, Maleware-Frhwarnungen)frhzeitig zu erkennen, steigen dadurch stark an.

Plattform as a Service:Hierbei versteht man die ganzheitliche Integration vomStorage ber Application bis zu Testing as a Service.David S. Linthicum bezeichnet Plattform as a Servicemit dem Vergleich eines One Stop Shops fr Application

Developer und die dazugehrige Verteilung bzw. Ver-breitung derselben. Ein aktuelles Beispiel dafr sind dieGoogle Apps APIs und Applikationen.

Security as a Service:Dabei wird der Gedanke verfolgt, Sicherheitsanwen-dungen und Dienstleistungen als Service letztendlichzum Endanwender zu transportieren. Dieser Bereich istein noch sehr rudimentr ausgeprgtes Ttigkeitsfeld,wobei immer interessantere Themen wie z.B. Identitts-management entwickelt und angeboten werden. Viele

Unternehmen, die im Sicherheitsbereich ttig sind, ver-wenden bereits technologische Anstze, die sich sehr gut in die Cloud transformieren lassen. Insbesondereim Bereich der Malwareerkennung in Web- und GUIApplikationen oder im Bereich der Intrusion Detection

und Intrusion Prevention mittels Anomalieerkennung.Gerade hier bietet zur Frherkennung der verteilteStrukturansatz des Cloud Computings groe Chancen.

Resmee:Allerdings gibt man bei Cloud Computing einiges ausder Hand. Wie sieht es z.B. bei einem Netzwerkausfallmit der Verfgbarkeit der Daten aus? Man gibt dabei einStck Selbstbestimmung auf und verlt sich auf die

Qualitt, Verfgbarkeit und die Sicherheit der angebote-nen Services. Ebenso kritisch muss auch der Parameter Performance betrachtet werden. Insbesondere, da die zuverarbeitenden Daten ein immer schnelleres Wachstumaufweisen. Im Speziellen, wenn man hochdatenintensiveBereiche wie Video-/Bild- und Ton verarbeitet. Ebensosollte sorgfltig berlegt werden, welche Daten wie undwo gespeichert werden, um den rtlichen Datenschutz-gesetzen gerecht werden zu knnen. Auch wenn diesnicht jeder Cloud Provider zur Verfgung stellen wird undkann, denn einer der Grundstze ist ja das verteilte Rech-

nen und damit die verteilte Speicherung. Nicht zuletzt istaber die Sicherheit im Cloud Computing mehr als nur dieSicherheit von virtualisierten Services. Einer sicherheits-kritischen Betrachtung mssen nicht nur die technischenAspekte unterzogen werden, sondern genauso mussdas Augenmerk auf organisatorische und administrativeBelange gerichtet sein. Eine entsprechende Einbettungin das Risikomanagement ist dabei unabdingbar. Wobeider Ansatz des technisch realisierbaren vor dem organi-satorisch machbaren den Vorrang haben sollte.

Abbildung 6. Unter programmableweb.com fndet man ca. 1600der APIs

ANHANG

1. Vergl. Anthony T. Velte et al; Cloud Computing: A Practi-cal Approach; S3-4 ; McGraw Hill 2010

2. Vergl. Cloud Computing: Benefts, risks and recommen-dations or In ormation Security ; S14-15; November2009; ENISA

3. Vergl. Cloud Computing: Benefts, risks and recommen-dations or In ormation Security ; S14-15; November 2009;ENISA undhttp://de.wikipedia.org/wiki/Pay_as_you_go

4. Vergl. David S. Linthicum; Cloud Computing and SOAConvergence in Your Enterprise S7-8 ; Addison Wesly,Pearson Education 2010

5. Vergl. Eucalyptus Systems, Inc; Cloud Computing Plat ormAdministration Guide V1.6; S7; Eucalyptus Systems, Inc2010

6. Vergl. David S. Linthicum; Cloud Computing and SOAConvergence in Your Enterprise S38 ; Addison Wesly,

Pearson Education 2010

HELMUT KAUFMANNDer Autor ist stellvertretender Studiengangsleiter IT Security an der FH St. Plten. Er arbeitet zur Zeit an folgenden Projek-ten: Digitale Unterschrift, Notebookverschlsselung und Port Security.
http://de.wikipedia.org/wiki/Pay_as_you_gohttp://de.wikipedia.org/wiki/Pay_as_you_go


14/506/201014

ANGRIFF

Der IT Alltag ist oft von Hektik und Stress be-

gleitet. Sehr schnell kann es geschehen, meistunabsichtlich, dass eine Hrtungsmassnahmenicht geht oder eine Testregel in der Firewall verge-ssen wird. Ebenfalls gehren stndige nderungen undErweiterungen am Netzwerk zum tglichen Business.Sollte dann ein Mitarbeiter zustzlich die Firma verla-ssen, geschieht die bergabe aus unserer Erfahrungoft nicht optimal. Dass dabei die Dokumentation gernevernachlssigt wird, zeigen diverse Studien. Nicht ver-gessen werden drfen die regelmssigen nderungenan Hard- und Software durch Patches und Updates. Aus

diesen Grnden lautete bereits 1993 der Usenet-Aus-spruch von Dan Farmer und Wietse Venema Improving the security of your site by breaking into it .

In ormationenIm Gegensatz zu IT-Revisionen gibt es zur Durchfh-rung von Penetrationstests weder gesetzliche Vorgabennoch Richtlinien. Somit sind der Ablauf, die Methodikund die Art der Dokumentation offen. Seit einigen Ja-hren gibt es Versuche, diesen Missstand zu beheben.

Zu den bekanntesten Verfahren gehrt sicherlich dasOpen Source Security Testing Methodology ManualOSSTMM (http://www.osstmm.org ). Das OSSTMM ist be-zglich technischen Security Audits kompatibel zu gngigenStandards und Weisungen wie ISO/IEC 27001/27002, ITGrundschutzhandbuch, SOX und Basel II. Auf Grund der Praxisorientierung und der Standardkonformitt erfreut essich international wachsender Beliebtheit.

Das BSI (Bundesamt fr Sicherheit in der Informa-

tionstechnik, http://www.bsi.de) hat in Zusammenarbeitmit der BDO Visura und Ernst & Young einen Leitfadenzur Organisation und Durchfhrung von Penetrations-tests mit dem Titel Durchfhrungskonzept fr Pene-trationstests erstellt. Zustzlich werden die rechtlichenRahmenbedingungen dargestellt, die im Umfeld vonPenetrationstests zu beachten sind. Die Studie stelltkeine Anleitung zum Hacken von Netzen und Systemendar, daher wurde bewusst auf detaillierte technischeAnleitungen und Beschreibung von Werkzeugen, die inPenetrationstests verwendet werden, verzichtet (Down-

load unter https://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.html ).Vom US-amerikanischen National Institute of Standards

and Technology (NIST) wurde der Technical Guide to In-formation Security Testing erstellt und befindet sich seitNovember 2007 im Draft-Status (Download unter csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf).

Vom EC-Council steht zudem die Mglichkeit zur Ver-fgung, sich als Ethical Hacker zertifizieren zu lassen.Informationen zu den Ausbildungen sind hier zu finden:http://www.eccouncil.org/

Schritte eines PenetrationstestsDer Ablauf eines Penetrationstests sieht in etwa immer gleich aus: Workshop Testphase Bericht Prsen-tation.

In einem ersten Workshop werden die Ziele der Testsdefiniert. Hier muss auch klar die Motivation festgehalten

Der Penetrationstest Vorgehen und Toolseines Testers

Der Penetrationstest ist ein Mittel, um mgliche Fehlerzu erkennen und damit die IT-Sicherheit zu erhhen.Dieser Beitrag zeigt ein mgliches Vorgehen und erwhntMittel, die eingesetzt werden knnen, damit ein optimalesErgebnis erzielt werden kann.

IN DIESEM ARTIKEL ERFAHREN SIE... Wie ein Penetrationstester vorgeht; Welche Werkzeuge er einsetzt; Wo mgliche Schwachstellen sind.

WAS SIE VORHER WISSEN/KNNEN SOLLTEN... Kein Vorwissen notwendig.

Andreas Wisler
http://www.osstmm.org/http://www.osstmm.org/http://www.bsi.de/http://www.bsi.de/https://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.htmlhttps://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.htmlhttps://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.htmlhttps://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.htmlhttp://www.eccouncil.org/http://www.eccouncil.org/https://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.htmlhttps://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.htmlhttps://www.bsi.bund.de/ContentBSI/Publi-kationen/Studien/pentest/index_htm.htmlhttp://www.bsi.de/http://www.osstmm.org/


15/50

Der Penetrationstest Vorgehen und Tools eines Testers

hakin9.org/de 15

von Google oder Social Networking Plattformen. AuchWebseiten zur Stellensuche sind eine gute Quelle.Sucht die Firma zum Beispiel nach Oracle Spezialisten,wird vermutlich auch Oracle als Datenbanklsung ein-gesetzt. Das Internet vergisst dabei nichts. Wurde ineinem Forum eine Frage platziert, kann diese auch nachJahren noch abgerufen werden. Ebenfalls sind Namenvon Personen, evtl. sogar mit einer E-Mail-Adresse ver-sehen, ideal fr die weiteren Angriffe.

werden, die ein potentieller Hacker aufwenden kann. Zu-dem wird festgehalten, wie weit die beauftragten Hacker gehen drfen. Die Mglichkeiten eines gezielten Angriffsumfassen ein Blackbox-Hacking von Aussen, ein Hackingmit teilweisem oder komplettem Wissen ber die interneInfrastruktur (White- oder Grey-Hacking) und knnendurch netzwerkinterne Tests inkl. Social Engineeringerweitert werden. Wichtig sind hier die rechtlichen Spiel-regeln und die Vertraulichkeitsvereinbarung.

Die Testphase wird anschliessend ausfhrlich be-schrieben. Daher hier nur zwei Bemerkungen. Wichtigist es, nie das Ziel der Tests aus den Augen zu verlie-ren. Schnell kann es in der Flut von Informationen ge-schehen, dass ein falscher Weg eingeschlagen wird. ImGegensatz dazu steht, dass die Kreativitt der Angriffenicht ausser Acht gelassen werden darf. Ein stures Vor-gehen nach Checklisten zeigt oft nicht das ganze Bild.

Der anschliessende Bericht zeigt das Vorgehen, dieeingesetzten Tools sowie die Erkenntnisse aus denErgebnissen. Sollten Schwachstellen ersichtlich sein,sind diese mit Massnahmen zu versehen und in einer Priorittenliste festzuhalten. Soweit mglich sind Zusa-mmenhnge aufzuzeigen und in einem gesamtheit-lichen Bild darzustellen.

Die Prsentation ist analog aufgebaut. Da Penetra-tionstests oft auch von der Geschftsleitung in Auftraggegeben werden, sollte dies fr die Prsentation beach-

tet und entsprechend umgesetzt werden. Es hilft nicht,Ergebnisse schn zu malen, sondern nchtern und ohneBewertung wiederzugeben. Es liegt im Ermessen und demnotwendigen Fingerspitzengefhl des Prfers, mit dieser Situation umzugehen. Schlussendlich geht es immer da-rum, die Verbesserung der IT-Sicherheit voranzutreiben.

Vorgehen

WerkzeugeAn dieser Stelle ist es nicht mglich, auf alle zur Ver-

fgung stehenden Werkzeuge einzugehen. Praktischfr jeden mglichen und unmglichen Zweck steht einProgramm oder ein Tool bereit. Tglich stossen neuedazu. Bei der Beschreibung des Vorgehens wird jeweilsauf ein Programm hingewiesen, viele davon stammenaus der Open Source Szene. An dieser Stelle erwh-nenswert sind sicherlich die sogenannten Exploit Fra-meworks. Sie beinhalten eine Sammlung von diversenWerkzeugen unter einer einheitlichen Oberflche, mei-stens direkt bootbar von einer Standalone CD-ROM.Eines davon ist das Metasploit Framework ( http://www.metasploit.com/ ), welches kostenlos verfgbar ist.

In ormationssucheDer erste Schritt des Penetrationstests umfasst die In-formationssuche. Welche Informationen sind im Internetverfgbar, sei dies auf der Homepage des Unterneh-mens oder via einer Suchmaschine wie zum Beispiel Abbildung 3. NIST

Abbildung 2. BSI

Abbildung 1. OSSTMM
http://www.metasploit.com/http://www.metasploit.com/http://www.metasploit.com/http://www.metasploit.com/http://www.metasploit.com/


16/506/201016

ANGRIFF

Weitere Informationen liefern WHOIS und DNS. Wassind fr Angaben zu den IP-Adressen festgehalten? Ver-fgt das Unternehmen ber weitere IP-Adressen? Wel-che Informationen stehen in den DNS-Eintrgen? Kanngar ein kompletter Zonentransfer ausgefhrt werden?Ist dies der Fall, sind auf einen Blick alle Anlaufstellen

der Firma bekannt. Interessant sind sicherlich A Eintrgezu Web- und Mailserver. Der MX Eintrag zeigt, welchenWeg die E-Mails ins Unternehmen nehmen. Ein SPF(Sender Policy Framework) zeigt zustzlich, ob Mailsvia andere Wege ins Internet gelangen (zum Beispiel imFalle eines Backup-Mailservers). Ein Tool zur einfachen

Abbildung 5. Vulnerability Scanner - Nessus

Abbildung 4. Scan-Programm - NMap


17/50
http://www.hakin9.org/de


18/506/201018

ANGRIFF

Abbildung 7. LC5 (L0phtCrack)

Abbildung 6. PacketStorm Hier knnen passende Angrifstools ge unden werden


19/50


hakin9.org/de 19

Informationssuche bildet SamSpade ( http://samspade.org/ ), welches Funktionen zu WHOIS, Ping, Tracerouteund DNS in einer grafischen Oberflche bietet. Alles istzwar auch von der Kommandozeile mglich, aber mitdiesem Tool geht es doch etwas einfacher.

AngrifszielNachdem bereits viele Informationen zur Verfgung ste-hen, gilt es das Angriffsziel einzuschrnken. Ein IP- undPortscan liefert die dazu notwendigen Informationen. Essoll geklrt werden, welche IP-Adressen auf Anfragenreagieren und welche offenen Ports im Internet ersich-tlich sind. Daraus leiten sich die interessanten Ziele ab.In der Regel antworten die Standardports (d.h. Ports,die bekannt sind, oft unter 1024). Die Erfahrung zeigt,dass sich viele spannende Ports auch oberhalb der 50000-Grenze befinden. Es lohnt sich, trotz grossemZeitbedarf, alle 65535 mglichen Ports durchzusehen.Gleichzeitig mit dem offenen Port sollten die Header-Informationen ausgelesen werden. Viele Systeme sindsehr auskunftsfreudig und teilen mit, wer sie sind undvor allem in welcher Version sie vorliegen. Eine erneu-te Suche im Internet zeigt, ob sich das antwortendeProgramm auf dem aktuellsten Softwarestand befindet

oder nicht. Falls nicht, sind vermutlich bereits Tools imInternet verfgbar, die gegen diese Schwachstelle ein-gesetzt werden knnen (sogenannte Exploits). Zu dengngigsten Scan-Programmen gehrt sicherlich NMap(http://www.nmap.org ), welches auch unbemerkt IP-und Portscans durchfhren kann. Ein Aufruf knnte zumBeispiel nmap sS O p1-65535 lauten. Damitwird der Test im Stealth Scan Modus durchgefhrt (d.h.der TCP Verbindungsaufbau wird nicht komplett durch-gefhrt und somit evtl. auf der angegriffenen Seite auchnicht geloggt), mit O wird zustzlich versucht, dasBetriebssystem herauszufinden. Der letzte Parameter sagt aus, dass alle 65535 Ports gescannt werden.

Vulnerability ScannerAls weitere Mglichkeit stehen Vulnerability Scanner auf der Liste. Diese verursachen jedoch einen grossen Lrm.Je nachdem, ob alle Personen der zu untersuchendenFirma Bescheid wissen, knnen diese bereits zu einemfrhen Zeitpunkt eingesetzt werden. Sie dienen dazu,nebst den bereits erwhnten Ports auch Informationenzum Betriebssystem, Banner (Antworten auf Anfragen),Kontrolle von bekannten Sicherheitslcken, Verbesse-rungsvorschlgen und automatisch generierten Berich-

Abbildung 8. SQLPing
http://samspade.org/http://samspade.org/http://samspade.org/http://www.nmap.org/http://www.nmap.org/http://www.nmap.org/http://samspade.org/http://samspade.org/


20/50


21/50


22/506/201022

ANGRIFF

netserver gestartet: hydra l -P . Als Dienst knnen auch weitereeingesetzt werden.

Sind Freigaben auf dieses System vorhanden, k-nnen diese mit showmount e angezeigt werden.Ein Anziehen dieser Freigaben kann dann anschlie-ssend mit mount geschehen.

RPC basierte Dienste sind ein beliebtes Angriffsziel. Da-her liefert das Tool rpcinfo p genauere Informationen.

Alternativ kann dies auch mit nmap geschehen (nmap sSRUV ). Mit diesem Aufruf stehen alle notwendigenInformationen fr einen weiteren Angriff zur Verfgung. Umwelches System handelt es sich? Welche Applikationensind installiert? Sind Schwachstellen dafr bekannt?

Schwachstellen in Web-AnwendungenDie Betriebssysteme werden immer sicherer. Daher verlagern sich die Angriffe auf leichtere Ziele. Zu den

Abbildung 11. Absinthe


23/50


hakin9.org/de 23

beliebtesten gehren Web-Anwendungen. Immer mehr Applikationen bieten einen zustzlichen Zugriff via HTTP(oder HTTPS). Aufgrund der Limitationen des zugrunde lie-genden Protokolls ist es auch fr erfahrene Programmierer nicht einfach, sichere Webanwendungen zu entwickeln.

Alle Daten werden als ASCII Text bermittelt (in beideRichtungen). Ein Abfangen und Senden ist daher nichtbesonders schwer. Ein Tool, das dabei behilflich seinkann, ist WFetch. Damit lassen sich alle Parameter eines HTTP-Requests beeinflussen. Das Tool kann vonder Microsoft Homepage heruntergeladen werden.

Damit eine Webseite und die bertragenen Daten ein-fach untersucht werden knnen, lohnt sich der Einsatzeines Proxys. Achilles Web-Proxy ist ein sehr populrer Web-Proxy, der die Daten vor dem Versenden anzeigtund die Mglichkeit bietet, Modifikationen vorzunehmen(http://www.mavensecurity.com/achilles). Dies ist vor allem dann interessant, wenn in Formularen sogenannteHidden-Felder bertragen werden. Diese knnen so nochverndert werden, was oft die Mglichkeit bietet, auf frem-de Daten zuzugreifen. Fr schnelle Tests kann auch einentsprechendes Plugin in Firefox verwendet werden.

Der erste Angriffspunkt sind oft Formulare. Handelt essich um Loginfelder, hilft das Tool Brutus weiter, welchesBenutzernamen und Passwort an die Webseite schickt.Leider gibt es aber fr Formular-basierte Authentifizie-rung kein Universal-Tool, da die Web-Entwicklerspra-chen oft leicht voneinander abweichen.

Trotz vielen Fachberichten und Warnungen gibt es im-mer noch Formularfelder, welche den eingegebenen Inhaltungeprft an Datenbanken weiterreichen. SQL Injectionheisst dieses Angriffsszenario, welches versucht, dieseAnfragen zu manipulieren. Ein Aufruf mit or 1=1 -- liefertein Ergebnis, das immer wahr ist. Wird dies direkt weiter-gereicht, knnen alle Antworten unabhngig des Suchbe-griffs ausgelesen werden. Klappt dies, kommen weitereAbfragen zum Zug, mit dem Ziel, herauszufinden, welcheSQL Server Version eingesetzt wird, welche Datenbankenexistieren sowie wie die genauen Inhalte anzuzeigen. Di-es erfolgt in der Regel mit dem Aufruf von union.

Ein Tool, das hier grafisch weiterhilft, ist Absinthe(http://www.0x90.org/releases/absinthe/ )

Eine weitere Gefahr ist Cross Site Scripting (XSS). Hier werden jedoch nicht Daten ausgelesen, sondern frem-der Code in die echte Seite eingeschleust. Wiederumgeschieht dies ber schlecht ausgewertete Formular-felder. Ob die Seite dafr anfllig ist, lsst sich leicht mitAlert(XSS Test) testen. ffnet sichein zustzliches Fenster, ist die Seite anfllig auf CrossSite Scripting. Das gefhrliche daran ist, dass sich einBenutzer auf der richtigen Seite befindet, jedoch einen

falschen Inhalt angezeigt bekommt. Werden so ver-trauliche Informationen eingegeben, gelangen diese anden Angreifer und nicht an die Webseite.

FazitDiese Tests sind in der Regel nicht in einem Tagdurchzufhren. Zu vielfltig sind die mglichen An-griffsflchen. Neben der Definition der eigenen Sicher-heitsbedrfnissen gehrt zu einem funktionierendenSicherheits-Regelkreis das kritische Hinterfragen, obdie definierten Ziele mit den getroffenen Massnahmen

erreicht wurden. Der Penetrationstest liefert dabei eineunparteiische Drittmeinung. Das strukturiere Vorgehenhilft, mgliche Schwachstellen zu erkennen und geeig-nete Massnahmen zur Behebung zu treffen.

Abbildung 12. Quelle: Marc Rennhard, ZHAW, goSecurity Forum #6

(1) Verwundbare Webseitedes Shops wind geladen,dargestellt und Javascript

wird ausgefhrt(2) Javascript ldt Code von

einem Server des Angreifers nach

(5) Account-Daten werdenzum Angreifer gesendet

(3) Code integriet einen Login-Screenin die Webseite des Web-Shops

(4) Gutglubiger Benutzer gibt seine Account-Daten an und klickt auf login

(6) Script auf dem Server des Angreifers nimmt die Account-Daten entegen

Click Me!

ANDREAS WISLERDipl. IT Ing. FH, CISSP, ISO 27001 Lead Auditor, MCITP Enter- prise Server Administrator. Andreas Wisler ist Gesch ts hrer der GO OUT ProductionGmbH, welche sich mit ganzheitlichen und produktneutralenIT-Sicherheitsberpr ungen und -beratungen auseinander- setzt. Penetrationstests und Social Engineering runden dasProfl ab.
http://www.mavensecurity.com/achilleshttp://www.mavensecurity.com/achilleshttp://www.0x90.org/releases/absinthe/http://www.0x90.org/releases/absinthe/http://www.0x90.org/releases/absinthe/http://www.mavensecurity.com/achilles


24/506/201024

ABWEHR

Oftmals geht es bei solchen Daten um Erfindun-

gen, Patente, Rezepturen oder andere Allein-stellungsmerkmale im Markt, die elektronischverarbeitet werden. Eine entscheidende Untersttzungstellt dabei die Software 8Man dar, die in diesem Artikelmitbeschrieben und vorgestellt wird.

Know-How SchutzDie Grenze zwischen dem Datenschutz und dem tech-nischen Schutz von wichtigen Daten ist sehr schwam-mig. Gerade wenn es um technische Untersttzunggeht, sollte man bei der Umsetzung den Datenschutz

beachten und personenbezogene Daten ebensoschtzen, wie technische oder betriebliche Daten.Know-How Schutz versteht sich eher als praktischer Ansatz, der jedoch auch rechtlich Bedeutung findet undbei Versten geahndet werden kann.

Als Know-How kann verstanden werden, dass smtlicheKenntnisse, die ein Inhaber an Wissen hat, zu einem tech-nischen oder wirtschaftlichen Ergebnis fhren. Dies wreim Falle von Know-How dem Inhaber sonst nicht mglichgewesen. Entsprechend dem kann Know-How ein Patent,ein technisches Wissen, Kundenlisten, Produktentwicklun-gen oder rein geschftliches Wissen darstellen.

Fr den Know-How Schutz direkt gibt es kein Gesetz,welches darauf speziell angewendet wird.

Im 17 des UWG (Gesetz gegen den unlauteren Wettbe-werb) wird der Verrat von Betriebs- und Geschftsgeheim-nissen gesetzlich geregelt. Besonders schwere Flle werdengar mit Freiheitsentzug bis zu 5 Jahren geahndet. [1]

Aber auch der 18 [2] des UWG kann in Bezug auf

Know-How Schutz Anwendung finden, da es sich hierbeium anvertraute Vorlagen handelt. Diese knnen Know-How darstellen. Im technischen Bereich ist Know-Howberwiegend in Form von Daten durch das Strafge-setzbuch geschtzt. Hierbei handelt es sich um die202a,b und c, die das Aussphen, Abfangen und Vorbe-reiten von Daten unter Strafe stellen. 303a und b stellenunter Strafe, Datenvernderung vornimmt oder Compu-tersabotage durchfhrt. Dies kann in Zusammenhangvon Know-How durchaus in der Praxis vorkommen.

Auch der Versuch ist strafbar.

Gesetzlich betrachtet und in Zusammenhang mitKnow-How Schutz findet auch das UrhG (Urheber-rechtsgesetz) Anwendung und definiert, was unter demUrheber und deren Werk zu verstehen ist und welchegesetzlichen Sanktionen bei Versto drohen knnen.

Es sieht jedoch hufig in der Praxis eher so aus,dass ein Versto gegen Know-How Schutz kaum oder gar nicht bemerkt wird. Sollte es dann doch bemerktwerden, ist es sehr oft schon zu spt, um noch einenTter ermitteln zu knnen. Ermittlungen in der digitalenBeweissicherung sind kompliziert durchzufhren unddie Tter verwischen hufig die Spuren. [3]

Technische UmsetzungEine Mischung aus technischen Mitteln und menschli-chen Verstand und den dazu gehrigen Manahmensollten helfen, effektiven Know-How Schutz umzuset-zen. In der Ausgabe 04/2010 von Hakin9 wurden alle

Know-How Schutz mit Untersttzungschafft mehr Sicherheit

Know-How Schutz ist ein zentrales Thema, wenn es um denSchutz von Wissen und Daten in Verbindung geht. Grundstzlichist es bedeutend, dass Unternehmen sich mit der Sicherheit derDaten befassen, die fr geschftliche Prozessablufe relevantsind. Aber auch das geistige Eigentum von Unternehmen gilt es

zu schtzen und das nachhaltig.

IN DIESEM ARTIKEL ERFAHREN SIE... Was wird unter Know-How Schutz verstanden; Wie wird Know-How Schutz umgesetzt .

WAS SIE VORHER WISSEN/KNNEN SOLLTEN... Kein Vorwissen ntig; Bereitschaft , Unternehmenssicherheit als Prozess zu sehen.

Marko Rogge


25/50

Know-How Schutz mit Untersttzung schafft mehr Sicherheit

hakin9.org/de 25

Der Bereich Wirtschaftsspionage ist hierbei einesder wichtigen Themen, das durch eine entsprechendeRisikoanalyse ermittelt werden kann. In sehr vielenUnternehmen ist Know-How vorhanden, welches aber nicht ausreichend geschtzt ist, da keine exakte Risiko-analyse durchgefhrt wurde.

Wichtig ist es fr den Schutz des Know-Hows imUnternehmen, dass Schutzziele definiert werden, umdiese dann auch umzusetzen.

Dies trifft in diesem Fall auf zu verarbeitende Daten zu:

Verfgbarkeit: Stabilitt von Datenzugriffen und vonSystemen und die Zusicherung von Zugriffen auf Daten innerhalb eines zugesicherten Zeitrahmens.Verhinderung von Ausfllen einzelner oder ganzer EDV Einheiten.

Integritt / Authentizitt: Die Zusicherung, dass Da-ten nicht unbemerkt oder nicht nachvollziehbar verndert werden drfen.

Vertraulichkeit: Zugriffsmglichkeiten auf Daten nur durch entsprechend autorisierte Personen oder Gruppen bei der Datenverarbeitung.

Nichtabstreitbarkeit: Das Abstreiten einer unzulssi-gen Handlung ist nicht mglich.

In der technischen Umsetzung findet Know-How Schutznoch immer keine ausreichende Beachtung, oftmals

Themen der Unternehmenssicherheit angesprochenund aufgezeigt. Auch alle Bereiche der Unternehmenssi-cherheit haben vollstndige Anwendung fr den Schutzdes eigenen Know-Hows. So ist es fr ein Unterneh-men wichtig zu wissen, dass entsprechende Gesetzegeltende Anwendung in Bezug auf Compliance haben,auch wenn es um Know-How Schutz geht.

So beispielsweise ist es wichtig, sich an die Gesetzedes Datenschutzes (BDSG) zu halten, wenn Know-HowSchutz umgesetzt werden soll. Im einzelnen kann dasbedeuten, dass eine berwachung von Mitarbeiternzulssig oder nicht zulssig ist. Sofern die Persnlich-keitsrechte am Arbeitsplatz eingehalten werden, knnenauch Manahmen zur Sicherstellung von Know-HowSchutz greifen und der Arbeitgeber ist abgesichert. Da-tenschutz ist auch bei der technischen Umsetzung mit-tels 8Man gegeben, sofern man sich an betriebliche Ve-reinbarungen und/oder Zustze zu einem Arbeitsvertraghlt. Im Zweifelsfall wre es ratsam, den Datenschutz-beauftragten zu befragen oder sich mit dem Betriebsratin Verbindung zu setzen.

Bei der Betrachtung von Daten in Bezug auf Know-How Schutz greift auch das Risikomanagement, soferndies vorhanden ist und gepflegt wird. Denn, eine en-tsprechende Risikoanalyse kann hervorbringen, welcheRisiken auf das Unternehmens-Know-How wirken kn-nen und wie diese zu bewerten sind.

Abbildung 1. Einblick in 8Man und dem zu berwachenden Active Directory


26/506/201026

ABWEHR

zum Schaden des Unternehmens. So wird in vielen Un-ternehmen noch nicht ausreichend auf das Rechtema-nagement oder auch auf die Zugriffsrechte von Userngeachtet. So wird es kaum notwendig sein, dass ein Mi-tarbeiter aus der Buchhaltung auch Zugriff auf die Da-teien und Ordner der Forschungsabteilung haben muss.Hufig fehlt dann auch noch eine entsprechende Nach-weisfhrung, die darstellen kann, wer zu welchem Zeit-punkt auf welche Daten zugegriffen hat.

Gerade die Verknpfung unterschiedlicher Me-chanismen zur Unternehmenssicherheit bietet einenhheren Know-How Schutz, so auch Manahmen der physikalischen Sicherheit. Dahingehend eine geeigneteZutrittskontrolle einzufhren, ist in besonders sensiblenBereichen von groer Bedeutung. So kann es in groenKonzernen durchaus sinnvoll sein, eine Zutrittskontrollezur Vorstandsetage einzurichten, um einen entspre-chenden Personenschutz von Geheimnistrgern zuerreichen, die wohl auch Know-How in sich verbergen.Aber auch ein Zutritt zu einem Forschungslabor solltenur fr befugte Personen ermglicht werden.

Bei der Umsetzung von offensichtlichen Manahmenim Zuge von Know-How Schutz ist es empfehlenswert,dass eine Awareness fr die Mitarbeiter ausgearbeitetwird, die diese als Teil der Umsetzung betrachtet. DieMitarbeiter eines Unternehmens sollten sich nicht als dieberwachten Personen betrachten oder fhlen, sondern

es sollte transparent verdeutlicht werden, dass dieseSchutzmanahmen dienlich zur Erhaltung des Unter-nehmens und deren Werte sowie der Arbeitspltze sind.Damit ist der Mitarbeiter Teil einer entsprechenden Um-setzung von Manahmen zum Schutz von Know-How.

Mittel zur Umsetzung und Untersttzung von Aware-ness knnen kleine Workshops in Gruppen sein, oder kleinere Vortrge, die das Thema beleuchten. Dabeisollte der technische Hintergrund weniger dargestelltwerden. Vielmehr geht es um die Vermittlung des Wis-sens, wie wichtig der Schutz des Unternehmens mitHilfe der Mitarbeiter ist.

In der Vergangenheit sind ausreichend prominenteFlle bekannt geworden, in denen Know-How Schutznicht gegriffen hat und Daten unkontrolliert das Unter-nehmen verlassen haben. Auch hier ist hufig nichtbekannt, wer dafr verantwortlich ist und entsprechendden Gesetzen belangt werden muss. Grundstzlich istauch hier die Frage der Haftung des Unternehmers zubetrachten. Die grundstzliche Verantwortung liegt nachwie vor bei dem Unternehmer, die in wenigen Fllen auf IT-Leiter abgegeben werden kann.

Es ist wichtig zu beachten, dass gewerbliche Schut-zrechte, Informationsschutz und Urheberrecht ineinander wirken und ein Schutzsystem bilden knnen. Das erfor-dert konsequentes Handeln. Eine Verletzung im Sinnevon Know-How Schutz wird hufig weder angezeigt

Abbildung 2. Gruppen und deren Verschachtelungen innerhalb des Active Directory und deren Rechtemanagement


27/50

Das Ziel fr IT-Sicherheits- Verantwortliche:

it-sa 2010:Treffpunkt der IT-Security Branche

it sa Nrnberg,19.-21.Okt.2010

Nrnberg, 19.- 21.Okt. 2010
http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/http://www.it-sa.de/


28/506/201028

ABWEHR

noch verfolgt, da diese Vorflle nicht gemeldet werden.Unternehmer sollten sich darber bewusst sein, dassAbsatz- und Umsatzverluste nach einer Zeit eintretenund das Unternehmen nachhaltig schdigen. Man darf nicht darauf vertrauen, dass Kunden stets das Original-Produkt kaufen wrden, wenn vergleichbar ein Plagiatfr deutlich weniger Geld am Markt vorhanden wre.

8Man hilft, Know-How Schutz zu verbessernAnders ist es im technischen Bereich, wo hufig nochsehr nachlssig mit dem vorhandenen Know-How umge-gangen wird, welches ja fr viele Unternehmen faktischdas Kapital bedeutet und eine Existenz am Markt sichert.Hufig greifen hier technische Mittel, die dem Schutzvon Daten mit den Systemen mitgeliefert werden, jedochzeitgem nicht mehr ausreichend sind.

In sehr vielen Unternehmen kommen Windows Server zum Einsatz, die durch das Active Directory eine prak-tikable Lsung anbieten, Userrechte auf Dateien undOrdner zu vergeben und diese zu verwalten. Was jedochschwer mglich ist, ist die vollstndige berwachung der tatschlichen Zugriffe mit den entsprechenden Rechtenund welche Rechte sich auch verndert haben. Ebensoist eine vollstndige Auditierung fr einen Administrator oder Verantwortlichen schwer zu bewerkstelligen.

Gerade im Zusammenhang mit Know-How Schutzist eine technische Lsung dann interessant, wenn sie

mehr als untersttzend sein kann fr die Administrationvon Zugriffsrechten ber das Active Directory.

Hier greift das System 8Man [4] ein, um Administra-toren und IT-Verantwortlichen ein Tool in die Hand zugeben, mit dem eine berwachung und Auswertungdeutlich vereinfacht wird. Aber nicht nur die reine Ve-reinfachung ist von Bedeutung, sondern das Berech-tigungsmanagement ist effektiver mglich. So bestehtdie Mglichkeit der grafischen Darstellung von Nutzer-rechten und Zugriffsrechten aller Benutzer, die in einemActive Directory eingetragen sind. Das ist bersichtli-cher und meist auch verstndlicher fr die Anwender.

Besonders attraktiv in 8Man ist unter anderem, dassalle Eingriffe in das Berechtigungsmanagement einesActive Directorys aufgezeichnet und dokumentiert wer-den, nebst einer entsprechenden Nachweispflicht fr den Berechtigten, der eine entsprechende Vernderungdurchfhrt.

Hier muss exakt begrndet werden, warum eineBerechtigung gendert wird, bevor diese aktiv werdenkann. Im Zusammenhang mit dem Schutz von Know-How ist dies eine technische Raffinesse, die eine be-rwachung praktikabel und sehr bersichtlich macht.Selbst wenn Auendienstmitarbeiter oder externe Be-rater im Hause sind, hat 8Man hier eine Lsung parat,zeitlich begrenzt das Berechtigungsmanagement zusteuern und entsprechend zu berwachen.

Abbildung 3. Strukturbersicht in 8Man


29/50

Know-How Schutz mit Untersttzung schafft mehr Sicherheit

hakin9.org/de 29

Es kann in manchen Unternehmen wichtig sein, dassein externer Berater fr einige Zeit auf bestimmte Ve-rzeichnisse und Ordner zugreifen muss. In der Praxisvieler Unternehmen wird dann dieser externe Berater indas Active Directory aufgenommen und schnell ist ver-gessen, diesen Berater nach Beendigung seiner Ttigke-it wieder zu deaktivieren oder zu lschen. Solche aktivenVerste werden in Unternehmen hufig erst zu sptentdeckt und eine berwachung ist auch kaum mglich.

Eine leicht zu bedienende, grafische Oberflche bietetdem Berechtigten des Systems eine schne bersicht,schnell und effektiv in das Berechtigungsmanagementeinzugreifen und so Ordnung in den Zugriffsrechten zuschaffen. Aktiv untersttzt dabei 8Man derzeit das Mic-rosoft Active Directory der Windows Server Umgebun-gen, Fileserver, Sharepoint oder Microsoft Exchange.Wichtig ist auch die ausgezeichnete Untersttzung der Sprachen Deutsch, Englisch und Russisch.

Bei der Visualisierung wurde darauf geachtet, dass ein-fach und bersichtlich auch erkennbar ist, in welcher Be-ziehung Active Directory User zu Verzeichnissen stehenund man kann Vergleiche zwischen beiden herstellen.So ist es mglich, dass der berechtigte Anwender von8Man zwischen unterschiedlichen Darstellungen whlenkann. So ist eine Baumansicht, dynamische Grafik oder auch Listenansicht verfgbar, die gewhlt werden kann.

Aktuelle Neuerungen sind unter anderem die Unter-

sttzung fr Multidomnen, was in greren Umge-bungen durchaus sinnvoll ist und fr mehr Transparenzsorgen kann. Fileserver Systeme wie NetApp werdenauch untersttzt und geben 8Man eine groe Vielfltig-keit an Einsatzmglichkeiten. Grundstzlich sei gesagt,dass der Einsatz des 8Man Systems je Active DirectoryUser in Lizenz gestellt wird und so unntige Lizenzenoder berteuerte Gebhren nicht anfallen.

Hat man 8Man im laufenden Betrieb, ist man damit im-mer auf dem aktuellen Stand von Usern und Verzeichnis-sen innerhalb eines Berechtigungsmanagements des da-

fr eingebundenen Active Directorys. Durch die stndigeberwachung und Aufzeichnung von Vernderungen oder Vererbungen kann es durchaus unbersichtlich werden.Recht schnell kann man auch nachtrglich mittels 8Mandie erforderlichen Vernderungen vornehmen und dabeials Verantwortlicher die wertvolle Arbeitszeit sparen.

Grundstzlich spielt die Zeit bei der Administrationvon Rechten eines Active Directorys eine wesentlicheRolle und kann durch 8Man deutlich verkrzt werden.

8Man setzt hierbei auch auf das bekannte IntegratedData Security Management, mit dem ein automatisier-tes Berechtigungsmanagement ermglicht wird.

FazitIm Zuge der zunehmenden Wirtschaftskriminalitt und der ansteigenden Wirtschaftsspionage ist es von groer Bedeu-tung, das Kapital eines Unternehmens in Form von Know-How nachhaltig zu schtzen. Nicht nur die reine menschlicheBetrachtung sollte dabei im Vordergrund stehen, sondernvielmehr auch der Einsatz technischer Lsungen, die denVersuch des Diebstahls von Know-How unterbinden. Auchwenn Unternehmen fr sich nicht feststellen knnen, dassKnow-How im Unternehmen vorhanden ist, so besteht dieMglichkeit, dass Wettbewerber und/oder Konkurrentenein besseres Bild darber haben. Sei es durch vorherigesAussphen von Mitarbeitern oder Abfangen von Informatio-nen durch Zulieferer oder externe Mitarbeiter. Damit steigtauch die Gefahr und das Bedrohungspotential, Opfer vonWirtschaftsspionage und Know-How Diebstahl zu werden.Technische Lsungen wie 8Man bieten hier eine ausge-zeichnete Mglichkeit, ein bestehendes Active Directorydeutlich einfacher, zeitlich geringer und bersichtlicher zuadministrieren und auch zu berwachen.

Bei dem Einsatz von Software auf Server- und Clientbasissollte darauf geachtet werden, welche bestehenden oder anzupassenden Datenschutzregeln zu beachten sind.

Der Schutz personenbezogener Daten ist ein wichti-ger Bestandteil und sollte nicht zwingend den rein wir-tschaftlichen Interessen eines Unternehmens weichen.Ein Datenschutzberater drfte hier eine Hilfestellungbieten, wenn Unsicherheit herrschen sollte und nichtklar ist, ob eine Regelung im Unternehmen ausreichenderscheint. Es muss besonders hervorgehoben werden,dass eine entsprechende Einfhrung einer Softwarewie 8Man von einer Awareness-Kampagne begleitetwerden kann, da dies zur Stabilitt der Sicherheit undSensibilitt der Mitarbeiter fhrt.

Auch das Verstndnis fr Manahmen im Zuge vonKnow-How Schutz, gerade durch den Einsatz von pro-fessioneller Software wie 8Man, wird durch Awarenessdeutlich verstrkt.

Verweise:

[1]:http://dejure.org/gesetze/UWG/17.html [2]: http://dejure.org/gesetze/UWG/18.html [3]: Spurensuche in Linuxsystemen: http://www.tecchan-

nel.de/server/linux/2024733/linux_angrife_entdecken_sy-steme_und_netzwerk_ueberwachen/

[4]: 8Man http://www.protected-networks.com/

MARKO ROGGEMarko Rogge ist Senior Security Consultant bei der Leading Se-curity Experts GmbH und kann au viele Jahre Er ahrung als Ana-lyst, Penetration Tester, Re erent und Autor zu Themen der IT-Si-cherheit zurckblicken. Schwerpunkte seines Engagements sind IT-Grundschutz, IT-Sicherheitsberpr ungen, IT-Security, Da-tenschutz und Zertifzierungen in Unternehmen sowie die Inter-netzensur. Marko Rogge ist Kooperationspartner der Leiner &Denzer GmbH und ist Spezialist in der Erstellung von ganzheitli-chen Sicherheitsstrukturen, der Durch hrung von IT-Sicherheit- sberpr ungen sowie Ereignismanagement in Fllen von Beein-trchtigungen der Gesch tsttigkeiten durch ITKriminalitt.Kontakt: [email protected], www.lsexperts.de
http://dejure.org/gesetze/UWG/17.htmlhttp://dejure.org/gesetze/UWG/18.htmlhttp://www.tecchan-nel.de/server/linux/2024733/linux_angriffhttp://www.tecchan-nel.de/server/linux/2024733/linux_angriffhttp://www.tecchan-nel.de/server/linux/2024733/linux_angriffhttp://www.protected-networks.com/mailto:[email protected]://www.lsexperts.de/http://www.lsexperts.de/mailto:[email protected]://www.protected-networks.com/http://www.tecchan-nel.de/server/linux/2024733/linux_angriffhttp://www.tecchan-nel.de/server/linux/2024733/linux_angriffhttp://www.tecchan-nel.de/server/linux/2024733/linux_angriffhttp://dejure.org/gesetze/UWG/18.htmlhttp://dejure.org/gesetze/UWG/17.html


30/506/201030

UNTERNEHMENS- UND IT-SICHERHEIT STUDIEREN

Die Sicherheit von Computer-Systemen und Da-ten wird in der digitalen Informationslandschaftimmer mehr zu einem zentralen Problem. Beimelektronischen Geldverkehr, der Verwaltung elektro-nischer Dokumente und dem Umgang mit personen-bezogenen Datenbestnden sind Sicherheit, Schutzvor nicht autorisiertem Zugriff und Missbrauch von vi-talem Interesse. Hier entsteht daher ein groer Markt

fr Experten, die sowohl die technischen Kenntnissefr einen sicheren IT-Betrieb beherrschen, aber auchmit betriebswirtschaftlichem Denken und Management-Aufgaben vertraut sind. Dazu gehren Risikoanalysen,die Erstellung von Sicherheitspolicies, Mechanismenzur Zugangskontrolle, Backup und Desaster Recove-ry, sowie ein organisiertes IT-Incident Management fr Unternehmen und deren kritische IT-abhngige Struk-turen.

IT-Sicherheitsexperten mssen ber ein fundiertesSpezialwissen verfgen, um sich auf wechselnde Ein-

satzgebiete und Aufgaben einzustellen. Globale Verne-tzung, wachse nder internationaler Datenaustauschund die Offenheit des Internets erfordern geeignete Si-cherheitsmanahmen.

Neben Qualifikationen zu Problemlsungen im tech-nischen Bereich mssen Bewusstseinsbildung, Gru-ppendynamik und prozessorientierte Umsetzung erfasstund Mitarbeitern sowie Management entsprechendkommuniziert werden. Projektmanagement, Contro-llingaktivitten und Rechtssicherheit runden das Be-rufsbild ab.

Ziel und inhaltliche AusrichtungEinzigartig an einer deutschen Hochschule realisiertder Bachelor-Studiengang Unternehmens- und IT-Si-cherheit die Verschmelzung der Kompetenzfelder Be-triebswirtschaft, Informatik und IT-Sicherheit unter

einem Dach. Der siebensemestrige Bachelor bietet ei-ne umfassende Ausbildung fr Sicherheitsmanahmenim Zusammenhang mit der Organisation und dem Be-trieb von Computersystemen und Netzwerken sowieder bertragung, Speicherung und Archivierung vonelektronischen Daten und zur Sicherstellung der Infor-mationssicherheitsprozesse in Unternehmen und Ver-waltungen.

KernkompetenzenDie Studierenden erlangen in diesem Studiengang un-ter anderem die folgenden gefragten Qualifikationen:

Solide technisch-naturwissenschaftliche Grundla-gen

Fundiertes Know-how in moderner Computertech-nik und Informatik

Expertenwissen auf dem Gebiet der IT-Sicherheitund Neuer Medien im digitalen Zeitalter der Wi-

ssensgesellschaft Betriebswirtschaftliches Denken Unternehmensorganisation und -kommunikation Personalfhrung, Projektmanagement Konzeption, Konfiguration und Betrieb sicherer

Computernetze durch detaillierte Kenntnisse imBereich modernster Software-, Computer und Ko-mmunikationstechnologien

Praktische Kenntnisse von Methoden und Tools zuSchwachstellenanalysen und der Entwicklung vonSoftware fr sichere IT-Systeme

Den Studierenden wird ein anwendungsbezogenes,herstellerunabhngiges und produktbergreifendesKnow-how in den Bereichen Daten- und Prozesssi-cherheit, IT-Schutzmechanismen, sowie deren Inte-gration in den Unternehmensworkflow vermittelt. Die

Warum Unternehmensund IT Sicherheitstudieren?


31/50
http://www.fh-offenburg.de/units


32/506/201032

UNTERNEHMENS- UND IT-SICHERHEIT STUDIEREN

in leitender Position fr Sicherheit sowieManagement-Positionen in Unternehmen

in der System- und Sicherheitsadministration beiallen Formen von Online-Diensten, E-CommerceBetreiber, Banken, Internet Service Provider,Landes- und Bundesbehrden wie BSI, LKAs, BKA

bei der Konzeption und Realisierung von Informations-systemen zur Verarbeitung von sensiblen Daten, z.B.im Justizbereich, Gesundheits- und Sicherheitswesen

in Positionen im schnell wachsenden Feld der IT-

Sicherheitsberatung, z.B. Unternehmenszertifizie-rungen (ISO 27001, BSI IT-Grundschutz, etc. als IT-Security Coordinator, Netzwerk- und Securi-

ty-Spezialist oder als Technology Solution ArchitectIT Security

als Systemingenieur/in bzw. Softwareentwickler/inIT-Security, System-Administrator im Security-Um-feld

bei der Realisierung von Online-Mediensystemen,z.B. PayTV, Video-On-Demand

bei der Konzeption und Realisierung von Langzeit-archiven, z.B. Bild, Ton- und Filmarchive, Doku-mente, Akten, Prozessdaten, Prfprotokolle, etc.

Informationen zum Studienganghttp://portal.mi.fh-offenburg.de/mi_site_docs/bachelor/

units_allgemein.php

hierbei erworbenen Fhigkeiten ermglichen ihnenim spteren beruflichen Einsatz branchenunabhn-gig die sicherheitsrelevanten Erfordernisse fr einUnternehmen zu erkennen und anzuwenden.Zudemwerden die wesentlichen Aspekte aus Technik, Ma-nagement und Recht in praktischen bungen ange-wendet und vertieft. Englisch als zustzliche Fach-sprache, Persnlichkeitsbildung und die Auspr-gung sozialer Kompetenz und Kommunikationsfhig-keit durch praktische Teamarbeit, Gruppenarbeit in

Laboren, Praktika und Seminaren sind wichtige be-gleitende Elemente whrend der gesamten Ausbil-dungsdauer.

Berufsfelder und KarrierechancenDie Verbindung von Kenntnissen im Bereich IT-Sicher-heit und wirtschaftlichem Know-how prdestiniert dieStudierenden dieses Studiengangs fr projektbergrei-fende berufliche Aufgaben. Erworbenes Wissen undFertigkeiten garantieren den Absolventen herausra-gende Arbeitsmarktbedingungen mit zahlreichen Be-schftigungsfeldern, z.B.

als Verantwortliche bei der Realisierung von Sicher-heitskonzepten fr vernetzte Informationssysteme(Internet, Intranet, Extranet)

bei der Verfolgung, Beweissicherung und Aufkl-rung von Computerkriminalitt

Abbildung 1. Beste Aussichten: exzellente Studienbedingungen im Medien-Neubau
http://portal.mi.fh-offenburg.de/mi_site_docs/bachelor/http://portal.mi.fh-offenburg.de/mi_site_docs/bachelor/


33/50
http://www.dpunkt.de/


34/506/201034

ABWEHR

Auch die grundstzlichen Funktionsweisen einesAntivirenprogramms sind dem Fragenden oft-mals unklar, obwohl eine kurze Recherche undEinarbeitung in dieses Thema womglich viele Fragenbereits im Vorfeld beantworten knnte.

Zunchst wre interessant zu wissen, fr welchePlattform bzw. Betriebssystem eine Lsung gesuchtwird und wie in etwa die Hardwarespezifikationen aus-

sehen. Fr einen sehr alten Rechner kommen eventu-ell andere Antivirenprogramme in Frage, als fr einenneuen Computer oder Server. Auch wre interessant zuwissen, ob tatschlich nur ein Antivirenprogramm ge-sucht wird oder aber eine umfassendere Lsung, be-ispielsweise eine Suite, welche auch eine Firewall be-reitstellt.

Weitere Einschrnkungen in einer guten Empfehlungknnen getroffen werden, wenn man wei, ob es sichum eine kostenlose Lsung handeln soll oder ob auchein kommerzielles Produkt in Frage kommt.

Ein 'gutes' Antivirenprogramm sollte mglichst vieleder oben genannten Kriterien erfllen, aber auch hu-fige Updates und Aktualisierungen sind fr den Endan-wender wichtig. Eine hohe Erkennungsrate ist wohl mi-tunter einer der wichtigsten Kriterien fr einen Benutzer.Hierbei gibt es verschiedene Methoden, wie ein Antivi-renprogramm Schadsoftware erkennen kann.

Grundstzlich vergleicht ein Antivirenprogramm po-tenzielle Schadsoftware mit einer Signaturen-Daten-bank, in der sehr viele bereits bekannte Viren und deren'Familien' eingetragen sind. Diese Methode funktioniertsehr schnell und einfach, erkennt aber leider nicht un-bekannte, modifizierte oder neue Viren. Deshalb habensich Entwickler von Antivirenprogrammen neue Metho-den einfallen lassen, um hhere Erkennungsraten zuerzielen.

Eine Methode davon ist die sogenannte Heuristik.Hierbei wird durch gewisse Charakteristiken, beispiel-

sweise bestimmte Befehlsfolgen und Eigenschaften,mgliche Schadsoftware erkannt, auch wenn sie nochnicht explizit in einer Datenbank erfasst wurde. Die-se Methodik stellt sich als immer wichtiger heraus, dadie Zeitrume, in denen neue Viren oder Abwandlun-gen von bereits existierenden Viren erscheinen, immer krzer werden. Eine gute Heuristik ist dennoch schwie-rig, da Autoren von Schadsoftware meist ihre Entwi-

cklungen gegen die gngigsten Lsungen testen undderartig modifizieren, dass sie nicht mehr erkannt wer-den knnen.

Eine andere Technologie zur Erkennung von nochunbekannten Schadprogrammen ist eine Sandbox. Ei-ne Sandbox simuliert, vereinfacht ausgedrckt, einenComputer in einem Computer. Eine verdchtige Dateiwird in der Sandbox ausgefhrt und analysiert. Hierbeikann untersucht werden, welche Routinen die Datei au-sfhrt und welcher Schaden womglich auf einem rich-tigen System verursacht worden wre.

Eine weitere Technologie, hnlich wie Heuristik undSandbox, untersucht ebenfalls typische Verhaltens-weisen und wird passend als Verhaltensanalyse bez-eichnet. Diese Technologie kommt nur bei Echtzeit-berwachung zum Einsatz, wobei die Aktionen eines

Was man heutzutage berAntivirenprogramme wissen muss

Unerfahrene Computernutzer erkundigen sich oftmalsnach einer guten Antivirenlsung. Empfehlungen sttzensich hierbei hufig auf persnliche Prferenzen undErfahrungen, nur selten werden Kriterien erfragt, welche frden Fragenden wichtig sein knnten.

Michael R. Heinzl


35/50hakin9.org/de 35

dend gesehen werden.Ein Antivirenprogramm stellt kein Allheilmittel dar

und man sollte sich nie gnzlich alleine auf ein solchesverlassen. Dennoch bieten Antivirenprogramme einenzustzlichen Schutz und helfen vor allem auch oftmalsunerfahrenen Nutzern, welche noch keine Erfahrungoder ein Gefhl fr Awareness besitzen.

Programms auf dem tatschlichen Computer durchge-fhrt werden. Durch bestimmte Regeln, beispielswei-se dem berschreiten einer bestimmten Reizschwelle(berschreiben von bestimmten Dateien, Durchfhrungvon verdchtigen Aktionen etc.) kann eingeschrittenund Manahmen getroffen werden.

Nachteilig bei den genannten Methoden ist einehhere Fehlalarmquote, d.h. dass auch nicht-bsar-tige Software flschlicherweise als solche eingestuftund behandelt werden kann. Die Sandbox-Technologiestellt sich zudem als relativ ressourcenintensiv und ver-gleichsweise langsam dar, weshalb sie berwiegend inLabors von Antiviren-Herstellern zum Einsatz kommt.

Ein gutes Antivirenprogramm sollte Viren und Malwa-re im Allgemeinen nicht nur erkennen, sondern natr-lich auch entsprechend darauf reagieren knnen. AusEndanwender-Sicht vermag dies durchaus als Selb-stverstndlichkeit betrachtet werden, dennoch gibt esvereinzelt auch Lsungen, welche Probleme mit einer sauberen und kompletten Entfernung des Schdlingshaben. Natrlich unterscheiden sich Schdlinge oftmalsgrundlegend untereinander, dennoch subern mancheAntivirenprogramme schlichtweg besser und grndli-cher als andere. Es sollte demnach nicht als selbstre-

MICHAEL R. HEINZLDer Autor beschftigt sich mit IT-Security, insbesonde-re mit Penetration Testing und Reverse Engineering. Kon-taktmglichkeit besteht ber das sterreichische Securitypor-tal www.defense.at o d. ber www.awesec.com

Was man heutzutage ber Antivirenprogramme wissen muss

Was Sie schon immer ber E-Mail-Security Compliance Anti-Spam

Anti-Malware E-Mail-ArchivierungE-Mail-Sicherheit am Gateway & Desktop wissen wollten ...

N E U ! J e t z t k o

s t e n l o s d o w n l o

a d e n :

w w w.Searc hSecur i t y.d

e /

Ko mpe nd iu m /

w e r b u n g
http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.defense.at/http://www.awesec.com/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.searchsecurity.de/http://www.awesec.com/http://www.defense.at/


36/50


37/50


38/50


39/50

Bachelor-Studiengang IT SecurityMaster-Studiengang Information Security

Das Studium vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruk-tur. Die Kombination aus Technik- und Managementwissen ist in sterreich einzigartig.Sie bildet die Grundlage fr die zuknftigen Security-ExpertInnen im Unternehmen, diesowohl die technischen Kenntnisse fr einen sicheren IT-Betrieb beherrschen als auchmit Management-Aufgaben vertraut sind.

IT-Infrastruktur sichern und managen.

Der Master-Studiengang Information Security istals konsekutiver Studiengang auf dem Bachelor-Studiengang IT Security aufgebaut .Im Masterstudiengang wird der praktische Kompe-

tenzerwerb durch fcherbergreifende Problemstel-lungen, Forschungsseminare, Projekte und derwissenschaftlichen Abschlussarbeit (Diplomarbeit)sichergestellt.Diese 2-stuge Ausbildung macht die Absolvent-Innen zu gefragten ExpertInnen.

Berufsfelder:Sicherheitsbeauftragte/r (Chief Information-Security-Ofcer)Compliance Ofcer, RisikomanagerIT-Governance ExpertIn

Datenschutzbeauftragte/rAuditorInIT Security Solution Engineer/ArchitectSecurity-ConsultantIT Infrastructure EngineerSecurity Quality Assurance ManagerInSoftware ArchitectIT-Solution Architect

Die AbsolventInnen sind qualiziert, leitende undplanende Ttigkeiten auszufhren.

Immer mehr Prozesse eines Unternehmens werdenEDV-untersttzt abgebildet und abgewickelt.Computerviren, Hacker, Datenverluste, Webattackenusw. stellen somit eine Bedrohung fr die IT-Infra-

struktur eines Unternehmens dar. Immer wieder hrtman, dass hochsensible Daten verloren gehen oderin falsche Hnde geraten. Bei einem Ausfall derIT-Infrastruktur knnen wichtige Ttigkeiten nichtmehr erledigt werden, was zu einem betrchtlichennanziellen Schaden fr das Unternehmen fhrenkann.Daraus resultierend ergibt sich eine groe Nachfragean Security-ExpertInnen, die sowohl die technischenKenntnisse fr einen sicheren IT-Betrieb aufweisen,als auch mit Management-Aufgaben vertraut sind.

Ausbildungschwerpunkte:IT-BetriebNetzwerktechnikSicherheitstechnologienSicherheitsmanagement und OrganisationTransferable Skills

Software-Engineering

Fachhochschule St. Plten GmbH

Matthias Corvinus-Strae 15, 3100 St. Plten, Austria T: +43/2742/313 228 - 632, E: [email protected], I: www.fhstp.ac.at

Mit dieser Kombination aus Technik- und Management-

wissen zum/zur gesuchten SicherheitsexpertIn!

Im Rahmen des Studiums knnen folgendeZertizierungen erworben werden:

CCNP CISCO Career Certications & Paths

PHSE PHION Security Engineer

MCITP Microsoft Certied IT Professional

ITIL V3

Get certied andyoure on the spot!

Zertizierungen

Studium
http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/http://www.fhstp.ac.at/mailto:[email protected]


40/506/201040

DATENSCHUTZ

Scheint der Einsatz entsprechender Filtermecha-nismen vordergrndig selbstverstndlich undnotwendig zu sein, droht dem Administrator die

Strafbarkeit und dem Unternehmen die Haftungsfalle.Arbeitsrechtliche Vorschriften machen den Einsatz vonFiltern innerhalb eines Betriebes zum aufwndig abzu-stimmenden Unterfangen.

GrundlagenFr die nachfolgende Betrachtung der rechtlichen Pro-bleme mssen die verschiedenen Rechtsgebiete sau-

ber voneinander getrennt werden:

Das Strafrecht, mit dem der Staat den allgemeinenRechtsfrieden sichert, indem besondere als sozial-schdlich erachtete Verhaltensweisen sanktioniertwerden. Das Strafrecht wirkt sich damit nur indi-rekt auf das allgemeine Zusammenleben der Br-ger aus.

Das Zivilrecht, das das Verhltnis zwischen Kundeund Anbieter regelt, also der Nutzungsvertrag unddamit die Frage, ob der Anbieter seine Leistung

vertragsgerecht erbringt und demzufolge auch An-spruch auf angemessene Bezahlung hat. Das ffentliche Recht, das nur unter Umstnden

eine gewisse Rolle bei Spamfilterungen innerhalbeines Unternehmens spielt, be

Documents

Cloud Computing Hakin9!06!2010 De