Upload
secure-one
View
112
Download
0
Embed Size (px)
Citation preview
SSL-ZertifikateEinkaufen ist Vertrauenssache -
online und offline!Ihre Vorteile
90Vertra u Sie au en f berJederzeit
Bis zu
Tagelngere Laufzeit*
ErfahrunSERE PRodukTEDomainValidation(DV)-Zertifikate OrganizationValidation(OV)-Zertifikate ExtendedValidation(EV)-Zertifikate Single-Zertifikate Wildcard-Zertifikate Multidomain(MDC)-Zertifikate UnifiedCommunication/ SubjectAlternativeName(UCC/SAN)-Zertifikate ServerGatedCryptographie(SGC)-Zertifikate
Jahreung
kostenloser AustauschZustzliche Lizenzen
ohne Aufpreis*Unkomplizierte Lieferung
auf Rechnung**Persnlicher Supportin deutsch, englisch, spanisch und polnisch* in den Produktlinien Lite, Silver und Gold ** bei Pay-as-you-Go
LIebe HAKIN9 LeSeR!das Hauptthema der November Ausgabe ist Cloud Computing. Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Verschiedene Implementierungen und Produkte fhren zu einem undurchsichtigen Konstrukt. Des Weiteren lesen Sie im Artikel Sicherheit von Cloud Computing Zu weiteren Highlights der aktuellen Ausgabe gehren: Sicheres Surfen im Internet, Automatische verhaltensbasierte Malware-Analyse, IT-Compliance mit dem Unified Compliance Framework UCF, Sicher durch die Cloud, Der Androide im Auto IT-Sicherheit beim Fahren. Falls Sie Interesse an einer Kooperation htten oder Themenvorschlge, wenden Sie sich bitte an unsere Redaktion.
Viel Spa mit der Lektre! Karolina Sokoowska
5/2009 HAKIN9
4
11/2011
InhaltsverzeIchnIsINTERNETSICHERHEIT7 Sicheres Surfen im InternetKateryna Kogan Man muss nicht mehr auf den Seiten mit fragwrdigen Inhalten surfen oder dubiose E-Mails in gebrochener Sprache ffnen, um seinen PC mit Viren zu gefhrden
DATENSICHERHEIT13 Sicherheit von Cloud ComputingMarc Ruef Cloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Die Greifbarkeit dessen ist aufgrund unterschiedlicher und schwammiger Definitionen nicht einfach. Verschiedene Implementierungen und Produkte fhren zu einem undurchsichtigen Konstrukt, das damit ebenfalls in Bezug auf die gegebene Sicherheit schwierig handzuhaben ist.
Produktion: Andrzej Kuca herausgegeben vom Verlag: Software Press Sp. z o. o. SK Geschftsfhrer: Pawe Marciniak Managing Director: Justyna Ksiek [email protected] Chefredakteurin: Karolina Sokoowska [email protected] Redaktionsassistentin: Ewa Strzelczyk [email protected] Redaktion: Christian Heutger, Geschftsfhrer der PSW GROUP, Kateryna Kogan, Marc Ruef, Robert Luh, Paul Tavolato, Vicente Diaz, Robert Lommen, Michael Schratt 4 DTP: Przemysaw Banasiewicz Umschlagsentwurf: Przemysaw Banasiewicz Werbung: [email protected] Anschrift: Software Press Sp. z o.o. SK ul. Bokserska 1, 02-682 Warszawa, Poland Tel. +48 22 427 36 56, Fax +48 22 244 24 59 www.hakin9.org/de Die Redaktion bemht sich, dafr Sorge zu tragen, dass die in der Zeitschrift sowie auf den begleitenden Datentrgern erhaltenen Informationen und Anwendungen zutreffend und funktionsfhig sind, bernimmt jedoch keinerlei Gewhr fr derer Geeignetheit fr bestimmte Verwendungszwecke. Alle Mar-
kenzeichen, Logos und Handelsmarken, die sich in der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen der jeweiligen Eigenmer und dienen nur als inhaltliche Ergnzungen. Anmerkung! Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIELICH in eigenen Rechnernetzen zu testen! Die Redaktion bernimmt keine Haftung fr eventuelle Schden oder Konsequenzen, die aus der unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung der dargestellten Techniken kann auch zum Datenverlust fhren! hakin9 erscheint in folgenden Sprachversionen und Lndern: deutsche Version (Deutschland, Schweiz, sterreich, Luxemburg), polnische Version (Polen), englische Version (Kanada, USA)
6/2010
Inhaltsverzeichnis
ABWEHR
23 Automatische verhaltensbasierte Malware-Analyse
Robert Luh, Paul Tavolato Automatisierte verhaltensbasierte Malware-Analyse ist ein Weg zur schnellen Ersteinschtzung eines verdchtigen Code-Samples und zielt in erster Linie darauf ab, Malware-Analytiker bei ihrer Arbeit zu untersttzen. Es wird ein verhaltensbasierter Malware-Erkennungsalgorithmus beschrieben, der implementiert wurde und dessen Tauglichkeit durch Tests bewiesen werden konnte.
BETRIEBSSICHERHEIT
Georg Disterer und Michael Wittek Die IT-Untersttzung von Geschftsprozessen ist so bedeutend, dass Strungen oder Unterbrechungen im IT-Betrieb groe Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien ausreichende Sorgfalt und Vorsorge, um einen strungs- und unterbrechungsfreien Betrieb zu gewhrleisten. IT-Compliance strebt nachweisbar regelkonformes Handeln im IT-Bereich an und umfasst alle Manahmen zur Einhaltung entsprechender Vorgaben wie Gesetze, Vorschriften, Normen u.. Die Anzahl entsprechender Vorgaben ist gro, deren Art und Umfang hchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu knnen, ist ein systematisches Vorgehen sinnvoll. Als ein Hilfsmittel steht das Unified Compliance Framework (UCF) zur Verfgung. Nachfolgend werden Aufbau und Funktionsweise des UCF am Beispiel der IT-Sicherheit erlutert, um dann die wesentlichen Steuerungs- und Kontrollmanahmen fr den Wirkbereich der technischen Sicherheit aus dem Framework abzuleiten.
29 IT-Compliance mit dem Unified Compliance Framework UCF
35 Sicher durch die Cloud
Cloud-Computing ist vielen Unternehmen suspekt, denn sie wittern ein Sicherheitsrisiko fr ihre Daten. Doch es gibt auch eine andere Seite der Wolke: Clouds knnen auch mehr Sicherheit fr Unternehmen bieten und IT-Kosten sparen.
KASPERSKY LAB
37 Der Androide im Auto IT-Sicherheit beim Fahren
Vicente Diaz Technik ist Teil unseres Alltags. Sie ist in allen mglichen Gerten gegenwrtig, verhilft uns zu einem leichteren Leben und einer vereinfachten tglichen Routine. Dies trifft besonders auf die Automobil-Welt zu, in der alle Verbesserungen, die whrend der vergangenen Jahre vorgenommen wurden, in eindrucksvollen Features mnden, die fr unsere Eltern, als sie ihre alten Modelle gefahren sind, undenkbar waren. Doch natrlich hat sich die Welt komplett verndert: Vor 30 Jahren haben wir gerade erst angefangen, PacMan zu spielen!
Im Zusammenhang mit den nderungen, die in letzter Zeit in dem deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, mchten wir ankndigen, dass hakin9-Abwehrmethoden Magazin seinem Profil treu bleibt. Unser Magazin dient ausschlielich den Erkenntniszwecken. Alle im Magazin prsentierten Methoden sollen fr eine sichere IT fungieren. Wir legen einen groen Wert auf die Entwicklung von einem sicheren elektronischen Umsatz im Internet und der Bekmpfung von IT Kriminalitt.
hakin9.org/de
5
Was erwartet Sie in diesem Kurs:Die Wiederherstellung verlorener Passwrter Das Abfangen von Informationen in lokalen Netzwerken Das Abfangen von verschlsselten Daten Angriff auf eine SSL-Sitzung Backdoor - die "Hintertr" als Tor zum System Dateien und Verzeichnisse mit Hilfe des Kernels 2.6 verstecken Angriffe vom Typ Buffer-Overflow Angri Angriffe vom Typ Heap-Overflow Format-String-Angriffe Das berschreiben des Datenstrom-Zeigers (File Stream Pointer Overwrite) Fehler im Systemkernel Die Verwendung des ICMP-Protokolls aus der Sicht des Hackers Identifizierung eines Netzwerkcomputers Netfilter im Dienste der Systemsicherheit Systemsiche Absichern des Betriebssystems Schritt fr Schritt Sicherheitsscanner Kernelpatches zur Erhhung der Sicherheit Intrusion Detection System (IDS) Angriff mit Hilfe eines Webservers Shellcode-Erstellung in der Win32-Umgebung
72888
Sicheres Surfen im Internet
Sicheres Surfen im Internetkateryna koganMan muss nicht mehr auf den Seiten mit fragwrdigen Inhalten surfen oder dubiose E-Mails in gebrochener Sprache ffnen, um seinen PC mit Viren zu gefhrden
In DIeSem ArtIkel erfAhren SIe Wie man mit einfachen Schritten sich vor Gefahren im Netz schtzt
WAS SIe VOrher WISSen SOllten Keine besonderen Kenntnisse notwendig
D
ie Online-Bedrohungen haben explosionsartig dort zugenommen, wo man wirklich viele Menschen findet z.B. in den sozialen Netzwerken. Die Viren verstecken sich in den Links, Videos oder als Phishing und Malware in den Apps, die permanent von eigenen Freunden auf der Pinnwand oder in den Nachrichten verteilt werden. Auch Spam-Mails werden immer raffinierter und weisen originale Layouts der besuchten Webseiten, Online-Shops oder Zahlungssysteme auf, sodass man sie nicht mehr vom Original unterscheiden kann. Vorsicht ist von allen Seiten geboten denn die Aktivitten der Cyber-Kriminellen weisen eine immer mehr zunehmende Professionalitt in der Struktur und Arbeitsweise der Internetverbrecher auf. Sich vom Internet abzuwenden, ist natrlich keine Lsung es gibt ein Paar wichtige Punkte, die das Leben am PC einfacher gestalten knnen.
Das A und O ein ausgereiftes Anti-Viren-Programm:
Man muss nicht unbedingt das teuerste Produkt kaufen, um geschtzt zu sein. Sparsamkeit an einer falschen Stelle ist aber auch nicht ratsam. berlegen Sie sich genau, was Sie im Internet tun ist das nur ein wenig surfen und E-Mails checken, vielleicht ein Paar Videos anschauen, Downloads starten oder gehrt sogar Online-Shopping und -Banking dazu. Einer der grten Antivirenhersteller AVG bietet z.B. verschie-
dene Produkte an, die auf jegliche Bedrfnisse zugeschnitten sind. Die AVG Free Version bietet Schutz beim Surfen im Internet und in den Sozialen Netzwerken an. AVG Anti-Virus 2012 geht weiter und berprft die Downloads aus dem Internet was beim genaueren Betrachten fter vorkommt als man denkt es geht ja nicht nur um Videos oder Musik, sondern auch um Software oder Dokumente, mit den man tglich arbeiten muss. Auch Schutz des E-Mail-Postfachs vor unerwnschten und gefhrlichen Nachrichten, wie Spam, Phishing-Mails oder Viren ist enthalten. Wenn ein zustzlicher Schutz beim Online-Shopping, Online-Banking, Firewall und weitere Sicherheitsfeatures gebraucht werden, muss ein AVG Internet Security 2012 her. Die Software kann den kompletten Rechner nach Viren durchsuchen, oder auch nur einzelne Dateien, Ordner, Archive, CDs/DVDs und sogar USB-Sticks damit spart man Zeit und Rechnerkapazitten, whrend des Scanns. Zustzlich kann man mit AVG Internet Security 2012 eine Rettungs-CD erstellen dies ist jederzeit und fr jeden empfehlenswert. Auf der CD sind dann die wichtigsten Systemdateien sowie das SOS-Programm gespeichert. Im Notfall kann man damit den virenbefallenen Rechner starten. Schnellere Scanns, weniger Speicherplatznutzung, die man auch merkt die Prfung einer kompletten Festplatte luft damit bis zu 50 Prozent schneller als noch beim Vorgnger.
hakin9.org/de
7
InternetSIcherheIt
Ein weiteres Goodie ist das integrierte AVG Accelerator. Dieser optimiert die Geschwindigkeit fr einen schnelleren Dateidownload, reduziert die Downloadzeit von Videos um 30-50%, minimiert Verzgerungen beim Anschauen der Youtube-Videos und erhht damit das Nutzererlebnis. In nur neun Sekunden lassen sich z.B. 2-3-mintige Youtube-Videos downloaden.
ren. An dieser Stelle einfach eine kleine Pause machen und den PC mit den neuesten Updates versorgen. Stellen Sie also sicher, dass die Sicherheits-Software, Betriebssystem, Dienstprogramme und Anwendungen immer up to date sind. Das schliet viele Lcken und macht den PC einfach sicherer.
Automatische Updates aktivieren:
Passwrter:
Natrlich knnen die Updates nervig sein da sitzt man an seiner Arbeit und auf einmal poppt ein Fenster auf, dass es an der Zeit ist, etwas Neues fr sein Betriebssystem oder Anwenderprogramme zu installie-
Egal, was man online tut hchstwahrscheinlich braucht man dafr ein Passwort. Vielleicht hat man eins, zwei oder sogar drei Standard-Passwrter, die dann in verschiedenen Onine-Shops oder auf den Internetseiten verwendet werden. Passwrter sind das
Abbildung 1. AVG Internet Security 2012 der Komplettschutz fr alle Online-Aktivitten
Abbildung 2. AVG Accelerator im Einsatz in 9 Sekunden das 3-mintige Video laden
8
11/2011
Sicheres Surfen im Internet
Leid jedes Sicherheitsexperten, denn z.B. 123456 noch immer zu den am meisten genutzten Passwrtern gehrt. Das nchste auf der Beliebtheitsskala ist 1234567 Heutzutage empfehlen die Sicherheitsexperten fr jede einzelne Seite ein eigenes starkes Passwort (mind. 8 Zeichen, bestehend aus Sonderzeichen, Buchstaben und Zahlen) zu generieren und
sollte man dieser Empfehlung wirklich folgen, hat man als aktiver Nutzer leicht ber 100 Passwrter. Viele Menschen notieren sich also ihre Zugangsdaten auf einem Stck Papier, das sie mit sich tragen oder es direkt an ihr Monitor kleben. Andere erstellen auf dem PC eine Datei, um schnell auf alle Informationen zugreifen zu knnen. Whrend diese beiden Optionen
Abbildung 3. AVG Link Scanner Sichere Suchergebnisse werden mit einem grnem Stern gekennzeichnet
Abbildung 4. AVG Link Scanner Unsichere Suchergebnisse kriegen ein rotes Warnzeichen
hakin9.org/de
9
InternetSIcherheIt
einfach und bequem sind, sind sie weit davon entfernt, sicher zu sein das Stck Papier knnte verloren oder geklaut werden, oder, sollte das Passwort ffentlich herumliegen, kann es von Dritten verwendet werden. Eine Datei mit seinen Passwrtern auf dem Computer zu speichern, ist auch kein Allheilmittel sollte der Computer z.B. mit Malware infiziert sein, durchsucht diese den Computer gezielt nach solchen Dateien. Selbst wenn die Passwort-Datei durch ein weiteres Passwort geschtzt ist, kann dieser mit Leichtigkeit geknackt werden. Die schlimmsten beltter sind aber Keylogger das bsartige Programme, die Tastatureingaben tracken, jedes Mal, wenn man seinen Benutzernamen und Passwort eintippt. Also, wie hlt man seine Passwrter sicher und hat trotzdem jederzeit einen einfachen Zugang zu seinen Benutzerdaten? Heutzutage haben die meisten Browser ein PasswortManagement-System, das bereits eingegebene Passwrter und Benutzernamen speichert und eine gute
Basis fr die Kennwrter-Verwaltung bietet. Bei einer greren Anzahl an Zugangsdaten gibt es eine Reihe von Programmen, die die Passwort-Management-Kontrolle bernehmen, wie z.B. Roboform, Lastpass oder Keepass. Diese Anwendungen knnen u.a. auch starke Passwrter fr jeden einzelnen Online-Zugang generieren und loggen sich auf den Webseiten automatisch ein. Zusatzfeatures, wie das automatische ausfllen der Online-Formulare, knnte beim Online-Shopping sehr hilfreich sein.
Surfen, suchen, klicken:
Es ist nicht immer empfehlenswert, bei der Suche im Web den Top-Treffern zu vertrauen, die als Erste erscheinen. Es gibt mittlerweile gengend Wege, diesen Prozess zu beeinflussen. Dass jemand an erster Stelle aufgelistet wird, bedeutet nicht, dass er das beste Produkt anbietet oder, dass der Link sicher ist. Natrlich ist es fr uns schneller die ersten Paar Suchresultate an-
Abbildung 5. AVG Mobilation Umfassender Schutz vor Viren, Spam und Scam oder Diebstahl
Abbildung 6. AVG Mobilation Tuneup berwacht die Akkulaufzeit, die Arbeitsspeicherauslastung oder den Speicherplatz und hilft dabei die Akkulaufzeit zu sparen
10
11/2011
Sicheres Surfen im Internet
zuklicken Angreifer wissen das und nutzen es aus. Sie brechen in hufig besuchte Webseiten ein und stehlen dann private Informationen, Zugangsdaten und wertvolle persnliche Dateien von den PCs der Besucher. Man kann aber nicht wissen, was sich hinter dem Link verbirgt gestern war es noch sicher, heute nicht mehr. Die Prfung der Links sollte man also den Profis berlassen. In allen Sicherheitsprodukten von AVG ist ein LinkScanner enthalten, der jedes Suchergebnis und jeden Link auf Bedrohungen prft direkt vor und beim Mausklick. Er findet Gefahren, bevor sie zum Problem werden und schtzt die User davor.
le Benutzer whlen frei verfgbare WLAN-Netze. Im schlimmsten Fall wird man direkt mit dem Computer eines Hackers verbunden. Erschwerend kommt hinzu, dass der Netzwerkname (SSID), der zur Beschreibung und Identifizierung eines drahtlosen Netzwerkes dient, auf dem System gespeichert wird. Der PC wird dann automatisch mit jedem Netzwerk verbunden, das diesen gespeicherten Namen enthlt. So knnen sich Cyber-Kriminelle unbegrenzten Zugang zu den PCs verschaffen. Auch hier kann man sich schtzen. Anbei ein Paar hilfreiche Tipps: netzwerkeinstellungen berprfen Vor der Nutzung des ffentlichen Internetzugangs sollten Surfer unbedingt die Netzwerkeinstellungen des eigenen Betriebssystems berprfen. Die Funktion Dateifreigabe ist zu deaktivieren. Dafr klickt man im Windows-Betriebssystem das Verzeichnis C:\Dokumente und Einstellungen\Eigene Dateien mit der rechten Maustaste an und whlt den Menpunkt Freigabe und Sicherheit aus. Andere Hotspot-Nutzer knnen ansonsten unter Umstnden auf die gespeicherten Dateien des Rechners zugreifen. hotspot manuell auswhlen Die Anmelde- und Zugangsdaten des Hotspots mssen stimmen. Daher sollten Surfer den Hotspot grundstzlich manuell auswhlen. Eine automatische Verbindungsaufnahme durch das Betriebssystem ist nicht zu empfehlen. Verbindungsdauer so kurz wie mglich halten Keine WLAN-Verbindung aktivieren, wenn man nicht plant, eine Website aufzurufen. Das schtzt nicht nur vor Cybercrime, sondern schont auch die Batterie. Vorsicht bei sensiblen Daten Man sollte sich sehr gut berlegen, welche Informationen man an den ffentlichen Orten zugnglich machen mchte. Selbst scheinbar harmlose Anmeldungen auf Web-E-Mail oder Social-Networking-Konten knnen Cyber-Kriminellen Zugriff auf die Daten geben. Wer dennoch per Hotspot Geld berweisen muss, sollte auf die Verschlsselung der Verbindung achten. In der Adressleiste des Browsers sollte dann https:// statt http:// vor der eigentlichen Adresse stehen. Zudem ist ein Schloss-Symbol erkennbar.
Surfen mit Smartphones:
Mit dem zunehmenden Einsatz von Smartphones steigt auch bei dieser Zielgruppe das Risiko, Opfer von Online-Attacken zu werden. Zu hoffen, dass einem nichts passiert, nur weil es sich ursprnglich um ein Telefon handelt, ist mehr als naiv. Smartphones sind Computer, dort sind persnliche Informationen gespeichert und das heit, sie sind ein lukratives Ziel fr Cyber-Attacken. Betroffen ist die am meisten verbreitete Plattform Android. Im Angesicht dessen gibt es auch hier Lsungen wie z.B. AVG Mobilation for Android. Die Sicherheitssoftware blockiert durchschnittlich 100.000 Spam- und Phishing-SMS pro Tag. Die Lsung scannt Apps, Einstellungen und Dateien in Echtzeit nach Viren und anderer Malware. Mit Hilfe der Lokalisierungssoftware ist es dem Nutzer auerdem mglich, ein verlorenes Tablet oder Smartphone wiederzufinden und zu sperren, sensible Daten zu lschen sowie dem Finder eine Nachricht auf dem Bildschirm zu bermitteln. Diese Backup-Funktion gilt ebenso fr Kontakte, Anruflisten, Lesezeichen, Nachrichten und installierte Anwendungen auf der SDKarte. Mit der Passwortsicherung App Locker knnen gezielt Anwendungen und Daten auf dem Handy/ Smartphone geschtzt werden.
WlAn:
Was tut man, wenn man z.B. in einem Kaffee sitzt, die WLAN-Liste ffnet und es werden mehrere verfgbare drahtlose Netzwerke angezeigt? Ganz ehrlich. Vie-
Im Internet
http://avg.de/de-de/virenschutz-privatanwender.html - Virenschutz fr Privatanwender http://www.roboform.com - Passwort-Manager, automatischer Login auf den Webseiten sowie automatische Ausfllung der Fomulare bei der Registrierung https://lastpass.com - Passwort-Manager, automatischer Login auf den Webseiten sowie automatische Ausfllung der Fomulare bei der Registrierung http://keepass.info - Passwort-Tresor http://avg.de/de-de/antivirus-fuer-android-mit-mobilation. html - AVG Mobilation fr Android Smartphones
kAterYnA kOGAnBeschftigt sich seit Jahren mit Online-Paymentsystemen, sie ist E-Commerce Kennerin und die Sicherheitsbeauftragte von AVG.
hakin9.org/de
11
Sicherheit von Cloud Computing
Sicherheit von Cloud Computingmarc ruefCloud Computing ist seit dem Jahr 2007 zu einem zentralen Begriff der modernen Computertechnologie geworden. Die Greifbarkeit dessen ist aufgrund unterschiedlicher und schwammiger Definitionen nicht einfach. Verschiedene Implementierungen und Produkte fhren zu einem undurchsichtigen Konstrukt, das damit ebenfalls in Bezug auf die gegebene Sicherheit schwierig handzuhaben ist.In dIESEm ArtIkEl ErfAhrEn SIE berCloud-Computing berImplementierungen
WAS SIE vorhEr WISSEn SolltEn keinspeziellesVorwissen
N
ach einer allgemeinen Einfhrung in das Thema werden in diesem Artikel unterschiedliche Implementierungen aufgezeigt. Dabei werden an konkreten Produkten die Mglichkeiten und Mechanismen dieser illustriert, um im dritten Teil die damit einhergehenden Sicherheitsmerkmale und Herausforderungen an die Informationssicherheit aufzeigen zu knnen.
Grundstzlich ist Cloud Computing ansich nichts Neues, verbindet es doch in erster Linie klassische Aspekte von: SoftwareasaService(SaaS) ComputingonDemand DistributedComputing Und so sind es dann auch hauptschlich wirtschaftliche Aspekte, die den Vorteil des Cloud Computing ausmachen. Skalierbarkeit und flexible Vertriebsmodelle sollen dabei helfen, die Kosten mglichst gering zu halten und ein Hchstmass an Flexibilitt gewhrleisten zu knnen. Dabei wer-
Einfhrung
Der Begriff des Cloud Computing und damit auch dessen Inhalt sind umstritten. Mitunter hat das Fehlen einer akkuraten Begriffsdefinition dazu gefhrt, dass das Thema oftmals eher als Marketing-Instrument denn als echte technologische Mglichkeit verstanden wird.
Abbildung 1. Cloud Computing als Trend
hakin9.org/de
13
dAtEnSIChErhEIt
den gerne grundlegende Aspekte der Informationssicherheit ausser Acht gelassen oder bewusst vernachlssigt. Dies ist in erster Linie auf das fehlende Verstndnis fr die zugrundeliegenden Mechanismen zurckzufhren.
vertriebsmodelle
Im Rahmen des Cloud Computing werden drei verschiedene Vertriebsmodelle unterschieden, die nachfolgend im Detail vorgestellt werden sollen: Mit SaaS werden abstrahierte Applikationen zur Verfgung gestellt. PaaSgehtdaeinenSchrittweiterundgewhrtden Zugriff auf Plattformen, wodurch beispielsweise Entwicklungsumgebungen realisiert werden knnen. Das Hchstmass an Eigenverantwortung wird mit IaaS erreicht, wobei eine komplette Infrastruktur und damit die dedizierte Nutzung von HardwareRessourcen mglich werden. Das Akronym SaaS steht fr Software as a Service. Es handelt sich dabei um eine Dienstleistung, die ebenfalls unterdemNamenASP(ApplicationServiceProvider)bekannt ist. Sie stellt eine im Zeitalter des Mobile Computing immer strker vorangetriebene Art des Software-Vertriebs dar. Eine Software soll damit zentral bereitgestellt und mglichst vielen Benutzern zugnglich gemacht werden.
Begriff des Cloud Computing
Der Begriff des Cloud Computing ist nicht einheitlich definiert und so finden sich dann auch unterschiedliche Formulierungen, was konzeptionell und technologisch darunter zu verstehen ist. Vielerorts wird gerne die Begriffsdefinition von Forrester Research zitiert: Cloud Computing steht fr einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhlt und falls erforderlich nach Gebrauch abgerechnet werden kann. Diese Formulierung zeigt das grundlegende Problem des Cloud Computing auf: Es ist nicht einfachso greifbar. Sie fasst jedoch die allgemeinen Konzepte eines solchen Systems zusammen. Im Mittelpunkt steht ein Dienst, der Funktionen zur Verfgung stellt. Diese Funktionen sind modular aufgebaut, so dass sie nur bei Bedarf durch einen Kunden genutzt werden knnen. Damit wird es mglich, dass nur die effektive Nutzung abgerechnet wird. Der Kunde muss damit nicht fr etwas bezahlen, das er nicht benutzt. Dies ist tendenziell bei eigens angeschaffter Hardware und bereitgestellten Systemen nicht der Fall. Die administrativen Aspekte der ber Cloud Computing bezogenen Dienstleistungen verschieben sich damit im Normalfall gnzlich zum Anbieter. Der Kunde muss sich nicht um die Anschaffung neuer Hardware sowie das Aufsetzen und Betreuen der Systeme kmmern. Gerade bei kleineren Unternehmen (KMU), die keine eigenstndige IT-Abteilung haben oder der Unterhalt einer solchen finanziell nicht gerechtfertigt ist, knnen damit direkte wirtschaftliche Vorteile fr sich erschliessen. Wir pflegen eine sehr reduzierte und einfache Definition von Cloud Computing zu vertreten. Diese lautet wie folgt: Cloud Computing ist ein modulares System, in dem Ressourcen fr den Endanwender transparent sowie dynamisch zugewiesen und verarbeitet werden.
SaaS (Software as a Service)
Abbildung 2. Aufbau der Cloud-Vertriebsmodelle
Abbildung 3. Dropbox-Client fr iPhone
14
11/2011
Sicherheit von Cloud Computing
Der Hauptnutzen von SaaS ist das Anbieten des Zugriffs auf eine Applikationsplattform. Der zentrale Aspekt dieses Modells ist, dass der Kunde keine KostenfrSysteme,LizenzenundPersonal(Administration)aufwendenmuss.EsobliegtgnzlichderPflicht des Anbieters, dass die Plattform fachgerecht bereitgestellt werden kann. Damit wird eine klare Trenning zwischen dem traditionellen Outsourcing vorgenommen, bei dem der Kunde fr Hardware und Wartung sowie weiterfhrende Investitionen verantwortlich bleibt. SaaS-Clouds sind sowohl bei Anbietern als auch Kunden besonders beliebt, da sie ein minimales Mass an Komplexitt erwarten. So gibt es mittlerweile eine Vielzahl populrer Dienste, die diesem Modell zuzuordnen sind. Beispielsweise knnen mit Apple MobileMe, Dropbox und Evernote sehr einfach und komfortabel Daten auf unterschiedlichen Systemen genutzt und bearbeitet werden. Zur Nutzung dieser Dienste sind in der Regel proprietre Clients erforderlich. Diese werden jenachdem fr verschiedene Plattformen zur Verfgung gestellt. Die drei zuvor genannten Beispiele bieten Clients im Web (browserbasiert), als eigenstndige Applikationen und fr verschiedene mobile Plattformen (iPhone,Android,BlackBerry,etc.).BeimAufstarteneines Clients wird durch diesen automatisch und fr den Benutzer weitestgehend Transparent eine Synchronisation des lokalen Datenbestands des Clients und des zentralen Datenbestands beim Cloud-Anbieter vorgenommen. Fehlende Objekte werden ausgetauscht und krzlich bearbeitete Objekte aktualisiert. Dadurch wird auf allen Endpunkten stets der gleiche aktuelle Datenbestand bereitgestellt. Im Falle von Apple MobileMe sind dies verschiedene Daten, wie zum Beispiel Adressbuch und Kalender. Dropbox gewhrt die Synchronisation beliebiger Dateien. Und Evernote fokussiert sich auf multimediale Notizen (Text,Bilder,Audio,etc.).
wickler mssen nur noch ber einen Netzwerkzugang zur Cloud verfgen, um ihrer Ttigkeit nachgehen zu knnen. Das stndige Warten der Entwicklungsumgebung und das eigenstndige Synchronisieren der Codebasis fallen damit weg. Zudem kann auf die Anschaffung kostenintensiver Client-Hardware (z.B. zur aufwendigenKompilierung)verzichtetundstattdessen auf kostengnstige Endpunkte (Thin-Clients) gesetzt werden. Populre PaaS-Lsungen werden durch Microsoft AzureundGoogleAppEngine(GAE)bereitgestellt.Microsoft sieht fr ihre Umgebung die Nutzung von .NET vor, um eigene Applikationen entwickeln und ausfhren zu lassen. Damit wird es fr bestehende WindowsEntwickler besonders einfach, auf diese Plattform zu wechseln. Im Gegenzug fokussiert sich Google auf hochskalierbare Webapplikationen, die hauptschlich in Python geschrieben werden oder auf Java VM lauffhig sind.
IaaS (Infrastructure as a Service)
IaaS steht fr Infrastructure as a Service. Und so wird dann auch die effektive Infrastruktur durch den CloudAnbieter zur Verfgung gestellt. Der Kunde kann auf grundlegende Komponenten wie Rechenzeit, Speicherplatz oder Netzwerkanbindung zurckgreifen, um beispielsweise eigene Betriebssysteme und Applikationen zu betreiben. Damit wird ein Hchstmass an Eigenverantwortung im Cloud-Umfeld verlangt. Im Gegenzug kann der dedizierte Ressourcen-Bezug in klar definierter Weise abgerechnet werden. Der bekannteste IaaS-Dienst ist Amazon Web Services(AWS),indemverschiedeneBetriebssystemeaufgesetzt und betrieben werden knnen. Die Cloud wird damit quasi als dynamische Housing-Umgebung wahrgenommen, in der die eigenen Systeme integriert werden knnen.
PaaS (Platform as a Service)
Cloud-Infrastrukturen
PaaS steht fr Platform as a Service. Dadurch wird eine ganzheitliche Plattform bereitgestellt, auf der eigene Software ausgefhrt oder im Rahmen der dargebotenen Entwicklungsumgebung betrieben werden kann. Es wird also ein zustzliches Fundament zum zuvor genannten SaaS gewhrleistet. Zwar kann auch hier der Benutzer keinen Einfluss auf die darunterliegende Infrastruktur ausben. Jedoch erschliessen sich ihm im Gegensatz zu SaaS zustzliche Kontrollmglichkeiten der eingesetzten Software. Damit wird dann vor allem bei Software-Entwicklung ein Mehr an wirtschaftlicher Effizienz erreicht, denn es kann auf den Aufbau und die Betreuung umfangreicher Entwicklungsplattformen verzichtet werden. Ent-
Unabhngig der Vertriebsmodelle gibt es verschiedene Arten von Clouds. Dabei kann zwischen drei Varianten unterschieden werden: PrivateClouds ffentlicheClouds HybrideClouds Sie definieren die Art und Weise sowie welche Benutzergruppen in welcher Form auf die Dienste zugreifen knnen. Hierbei wird unterschieden zwischen: InternenBenutzer ExterneBenutzer
hakin9.org/de
15
dAtEnSIChErhEIt
Als intern werden alle Benutzergruppen angesehen, die in einer direkten Geschftsbeziehung mit dem Unternehmen stehen. Dazu gehren alle Mitarbeiter, aber auch vertraglich gebundene Partnerunternehmen. Als extern werden alle Benutzer angesehen, die in keiner direkten Geschftsbeziehung stehen. Die Kombination dieser Infrastrukturvarianten und der verschiedenen Benutzergruppen wird nachfolgend im Detail erklrt. Private Clouds bieten ausschliesslich Dienste fr interne Benutzer an, wobei die Prinzipien des Cloud Computingsdurchgngigbercksichtigtwerden(z.B. Skalierbarkeit, Transparenz). Sie werden entweder unternehmensintern durch eine eigene Abteilung oder durch ein nahes Partnerunternehmen bereitgestellt. So befindet sich die genutzte Hardware physisch im Besitz des Unternehmens (Inhouse) oder Partners. Der Vorteil privater Clouds ist, dass sich die Benutzergruppe sehr klar definieren lsst. Zudem besteht mindestens vertraglich eine enge Vertrauensbeziehung zwischen Cloud-Anbieter und Nutzern. Traditionsgemss ist diese Vertrauensbeziehung aber auch als latentes Risiko zu werten, denn so wird gerne darauf verzichtet, ausserhalb und innerhalb der Cloud zustzliche Schutzmechanismen zu implementieren. Es wird angenommen, dass die vertrauenswrdigen Benutzer sich zu benehmen wissen und keine Gefahr darstellen. Dies ist jedoch usserst zweifelhaft und sptestens dann widerlegt, wenn die Kompromittierung eines legitimen Kontos stattgefunden hat und dieses zur WeiterfhrungeinesAngriffs(Hopping-Attacken)missbraucht wurde. In privaten Clouds muss also mindestens das gleiche Sicherheitsniveau erreicht werden, wie dies auch bei einer traditionellen internen Netzwerkumgebung (DMZ)derFallwar.EineNetwzerksegmentierungsamt Firewalling ist genauso wnschenswert wie eine strenge Authentisierung und umfassendes Logging fr unternehmenskritische Dienste.
Private Clouds
ffentlicheCloudsbieteninersterLinieDienstefrexterne Benutzer an, wobei auch hier die Prinzipien des Cloud Computings eingehalten werden. Derlei Clouds werden ebenfalls unternehmensintern oder durch ein Partnerunternehmen betrieben, wodurch sich die Hardware in ihrem physischen Besitz befindet. ffentlicheCloudssolltengleichwahrgenommenwerden, wie alle anderen ffentlichen Dienste auch (z.B. Webseiten,Mailserver).Entsprechendfindetauchhier eine Erweiterung des Perimeters statt. Dies ist natrlich mit zustzlichen Aufwnden verbunden, die gerade bei einem komplexen und schwierig zu definierenden Konstrukt wie einer Cloud nicht einfach ausfllt. Das Etablieren von Zugriffskontrollen (z.B. Firewalling,Authentisierung,AccessControlLists)istzwingend erforderlich, um ffentliche Clouds in sicherer Weise betreiben und nutzen zu knnen. Die erfolgreiche Umsetzung einer sicheren ffentlichen Cloud erfordert deshalb ein hohes Verstndnis fr die eingesetzten Technologien sowie ein gewisses Mass an Flexibilitt dieser. Weitsichtige Entscheide auf strategischer Ebene sind dabei also genauso wichtig wie die Bercksichtigung der zuknftigen technischen Anforderungen.
ffentliche Clouds
hybride Clouds
Hybride Clouds kombinieren die Funktionalitt von privaten und ffentlichen Clouds, wodurch die Dienste sowohl fr externe als auch fr interne Benutzer bereitgestellt werden. Derlei hybride Konstrukte sind sicherheitstechnisch schwierig zu rechtfertigen, ja eigentlich gar zu vermeiden. So mssen in der gleichen Infrastruktur Benutzer unterschiedlicher Einstufungen zugelassen werden. Da diese voraussichtlich nicht die gleichen Zugriffsrechte beigemessen bekommen sollen, mssen unterschiedliche Regulierungen durchgesetzt werden. Dies schafft die paradoxe Situation, dass innerhalb eines Konstrukts zur Vermengung eine Trennung eingefhrt wird. Eigentlich mssten also zwei Clouds sowohl eine private als auch eine ffentliche betrieben und klare bergnge zwischen diesen definiert werden. Dies ist jedoch oft-
Abbildung 4. Struktur einer privaten Cloud
Abbildung 5. Struktur einer ffentlichen Cloud
16
11/2011
Sicherheit von Cloud Computing
mals aus kostengrnden nicht gewollt und deshalb die potentiellen Sicherheitsrisiken des hybriden Ansatzes bewusst in Kauf genommen. Ein Phnomen, das leider auch Voice-over-IP (VoIP) tendenziell zu schaffen macht. Vor der Umsetzung bzw. Nutzung einer hybriden Cloud sollte eine umfassende Risikoanalyse angestrebt werden, um die potentiellen und effektiven Risiken frhstmglich ausmachen, kalkulieren und adressieren zu knnen. Gerade bei grossen und schwerflligen Konstrukten wird es sehr wichtig, die mitgefhrten Sicherheitsaspekte frhstmglich adequat zu bercksichtigen.
weder werden die Risiken unbewusst bersehen oder absichtlich bergangen. Dies ist ein grosser Fehler, denn sowohl die einzelnen Teilkonzepte als auch die Cloud als Ganzes mssen den klassischen Anforderungen der Informationssicherheit Folge leisten. Nachfolgend sollen einzelne Aspekte, ihre Gefahren und mgliche Massnahmen betrachtet werden. Dabei wird sich teilweise am Beitrag 10 sicherheitsrelevante Grnde gegen Cloud Computing orientiert.
kontrolle
Externe verwaltung
Bei extern verwalteten Clouds handelt es sich um eine spezielle Form der vorgestellten Infrastrukturtypen. Zwar befinden sich die Clouds noch immer im Besitz eines Unternehmens, wodurch in direkter oder indirekter Weise der physische Zugriff auf die Hardware gewhrleistet wird. Jedoch werden die jeweiligen Komponenten durch ein externes Unternehmen betreut. Es erfolgt also ein Outsourcing des CloudDienstes. Das Angehen einer externer Verwaltung eines Cloud-Dienstes ist mit den gleichen Anforderungen verbunden, wie ein anderweitiges Outsourcing auch. Auch hier mssen vertragliche Einigungen erzielt werden, die ebenfalls technische, sicherheitsbezogene und juristische Aspekte zu bercksichtigen in der Lage sind.
Sicherheitsaspekte
Wie gezeigt wurde, kombiniert Cloud Computing eine Vielzahl unterschiedlicher, bisweilen altbekannter Konzepte. In der Euphorie der damit erschlossenen Mglichkeiten werden gerne die sicherheitstechnischen Aspekte entsprechender Lsungen vernachlssigt. Ent-
Cloud Computing ist eine spezielle Form des Outsourcings. Bei diesem werden gewisse Ressourcen oder Prozesse an den Cloud-Partner ausgelagert. Eine in zentraler Weise sicherheitskritische Eigenschaft des Outsourcings ist der Verlust der Kontrolle ber die Weiterverarbeitung(z.B.AuswertungundVerkaufderanfallendenDaten). Man sieht sich einerseits nicht mehr in der Lage, die eigenen Erwartungen durchzusetzen. Die hohen Anforderungen einer spezifischen Branche des Kunden mssen nicht zwingend denen des Cloud-Anbieters entsprechen. Eine Verschiebung der Anforderungen kann zu einer unliebsamen Angleichung und damit zur Verringerung des erwarteten Sicherheitsstands fhren. Dies passiert sehr schnell, wenn der Kunde aus einem Hochsicherheitsumfeld stammt (z.B. Finanzbranche). Andererseits hat man auch keine Mglichkeit, eine direkte Prfung des Einhalts von Erwartungen und Abmachungen vorzunehmen. Ein Cloud-Anbieter kann sich zwar auf das Einhalten vordefinierter Anforderungen einigen. Ob und inwiefen diesen wirklich Folge geleistet wird, ist nur mit Hilfe des Dienstleisters zu eruieren. Und gerade in kritischen Situationen kann man nicht erwarten, dass sich diese in kooperativer Weise um eine Aufklrung bemhen wird.
Abbildung 6. Struktur einer hybriden Cloud
hakin9.org/de
17
dAtEnSIChErhEIt
Sollen beispielsweise in regelmssigen Abstnden Sicherheitsberprfungen der genutzten Cloud-Infrastruktur umgesetzt werden, kann sich das als enorm aufwendig herausstellen. Auf technischer Ebene knnen die Komplexitt der Infrastruktur und der schwierig nachvollziehbare Datenfluss dafr verantwortlich sein. Bei der Analyse von Prozessen, bei denen beispielsweise Interviews mit den zustndigen Personen gefhrt werden sollen, kann die fehlende Untersttzung ebenfalls zu einer schwierig berwindbaren Hrde fhren.
rizont ausgerichtet sind, lassen sich voraussichtlich planen. Der Umgang mit hektischen Situationen lsst sich hingegen nicht voraussagen. Zu diesen gehren beispielsweise: Security Incidents (z.B. elektronischer Einbruch, DDoS-Attacken) Ausfall von systemkritischen Komponenten (z.B. Hardware-DefekteinesRouters) Durch das klare Definieren der Schnittstellen wird es mglich, diese mglichst effizient auszuwerten. Gerade fr Szenarien, die ein hohes Mass an Flexibilitt erfordern, sollten klare Abmachungen bezglich Kompetenzbereichen samt Service Level Agreement (SLA) getroffen werden. Diese Szenarien sollten zudem regelmssig durchgespieltunddenaktuellenGeschehnissen(laufendewirtschaftliche und technische Entwicklungen) angepasst werden. Durch eine solche regelmssige Prfung wird verhindert, dass die in den jeweiligen Situationen erforderliche Qualitt nicht gewhrleistet werden kann. Innerhalb der Cloud knnen verschiedene Objekte miteinander vermengt sein. Dabei kann es sich um Daten, Systeme oder gar Kunden handeln. Eine klare Trennung von Objekten ist nicht per se ohne zustzliche Aufwnde durchgesetzt. Dies fhrt dazu, dass unbeabsichtigt sicherheitstechnisch unterschiedlich klassifizierte Objekte miteinander vermengt werden knnen. Sind zum Beispiel Computersysteme mit unterschiedlicher Exponiertheit und Kritikalitt in der gleichen Cloud gehostet und es findet die KompromittierungeinesHosts(Sicherheitsstufe2)statt,kanndies direkten Einfluss auf die Sicherheit des anderen Hosts (Sicherheitsstrufe1)haben.DieseVermengungunterschiedlicher Einstufungen resultiert in einem Herabstufen der hher gewichteten Objekte. Damit kann im schlimmsten Fall fr alle Objekte lediglich das Sicherheitsniveau des am schlechtesten geschtzten Objekts garantiert werden. Um diesen Effekt der Herabstufung durch das schwchste Glied zu verhindern, sollten eine klare Formulierung der Einstufungen sowie eine strikte Umsetzung dieser stattfinden. Objekte unterschiedlicher Einstufungen sollten nicht in den gleichen Objektgruppen zusammengefasst werden. Hierbei gilt es dem gleichen Credo der hybriden Clouds zu folgen, die ihrerseits auch das Risiko einer unerwnschten Vermengung in jenem Fall jedoch bezglich privater und ffentlicher Benutzergruppen mit sich fhrt. Als Grundsatz gilt, dass Objekte unterschiedlicher Einstufungen in Bezug auf Kritikalitt und Exponiertheit nicht
transparenz
Ein grundlegendes Risiko des Outsourcings ist, dass einem Partner Vertrauen entgegengebracht werden muss. Diesem wird Kompetenz beigemessen und zwecks Interaktionsmglichkeiten Schnittstellen definiert. Da die Einsicht der Objekte bzw. Prozesse nur noch bis zu diesen Schnittstellen funktioniert, verliert die Zusammenarbeit bzw. die Weiterverarbeitung an Transparenz (z.B. Kommunikation von Incidents). Die Cloud muss ebenfalls als spezielle Form des Outsourcings von Ressourcen bzw. weiter zu verarbeitenden Daten verstanden werden. Der Kunde sollte darum bemht sein, ein Hchstmass an Transparenz im Zusammenhang mit der bezogenen Dienstleistung erreichen zu knnen. Einerseits sollten klare Anforderungen an den Cloud-Partner gestellt werden, in welcher Form und wie Einsicht in die Verarbeitung gehalten werden kann. Dazu gehren ebenfalls Einsichten in die Bereiche: WeiterverarbeitungvonDaten InterneVerarbeitungvonObjekten(z.B.kundenbezogeneInformationen) ZugriffeaufProtokollierungundLogging ZugriffeaufBackupundRestore Revisionstechnische Zugriffsmglichkeiten (z.B. zwecksAuditing) Andererseits sollten die vereinbarten Schnittstellen klar geregelt sein, um die bergnge wohldefiniert etablieren und sich derer sowie ihrer Einschrnkungen bewusst zu sein. Nur so kann eine durchdachte Risikokalkulation umgesetzt werden.
trennung von objekten
Unabhngigkeit
Durch das Auslagern von Aufgaben und Prozessen bsst man stets ein gewisses Mass an Unabhngigkeit ein. Man ist nicht mehr alleiniger Herr ber den Sachverhalt und stattdessen auf die Zuwendigkeit des Partners angewiesen. Situationen, die ein hohes Mass an Flexibilitt und Dynamik erwarten, werden damit schwieriger zu bewltigen. Strategische Entscheidungen des Managements, die auf einen langfristigen Ho-
18
11/2011
Sicherheit von Cloud Computing
in ein und der Selben Objektgruppe zusammengefasst werden sollten.
datensicherung und datenwiederherstellung
Das Umsetzen einer Datensicherung wird beim Cloud Computing oftmals direkt durch den Anbieter selbst angeboten. Dieser ist sowohl fr das Erstellen der Datensicherung(Backup)alsauchfrdieWiederherstellungbeieinemDatenverlust(Restore)verantwortlich. In der Vergangenheit sind jedoch immerwieder Ausflle von Cloud-Diensten bekannt geworden, bei denen sich ein Anbieter nicht oder nur ungengend um die Datensicherung bemht hat. Zudem kann es durch einen Kunden wnschenswert sein, dass dieser zustzlich eine eigene Datensicherung anfertigen kann. Die Sicherung der Daten in einer Cloud kann sich jedoch als relativ schwierig herausstellen. Dies kann schon nur alleine damit beginnen, dass oftmals nicht ganz klar ist, wo in einer Cloud die Daten genau abgelegt sind. Zustzlich bieten viele Cloud-Dienste gar keine klaren Schnittstellen, um ein externes oder gar autonomes Backup/Restore durchzufhren. Verschiedene Anbieter auf dem Markt haben diese Schwierigkeiten erkannt und bieten zustzliche Sicherungsdienste fr verschiedene Cloud-Produkte und -Technologien an. Dadurch ist natrlich ein Mehr an Ausgaben zur Gewhrleistung der zustzlichen Bedrfnisse erforderlich, deren Ausbleiben in erster Linie die Umsiedlung der Daten in die Cloud gerechtfertigt hatten. Sptestens hier wird also der wirtschaftliche Vorteil der Kerndienste durch zustzliche Bedrgnisse negiert. Zudem wird mit dem Einspannen einer neuen Lsung wiederum die unliebsame Komplexitt des gesamten Konstrukts erhht. Es ist deshalb wichtig sich darber Gedanken zu machen, ob und inwiefern eine eigene DatensicherungsStrategie innerhalb einer Cloud verfolgt werden will und technologisch auch verfolgt werden kann. Mehrkosten, die bei einer solchen Lsung anfallen knnen, mssen in die initiale Kalkulation miteinbezogen werden, um sich vor unliebsamen zuknftigen Betriebskosten schtzen zu knnen. Viele Lsungen, die in Bezug auf die Kostenersparnis sehr attraktiv angeboten werden, beinhalten nmlich versteckte Mehrkosten, die sich erst bei einer lngeren Nutzung des Dienstes als solche zu erkennen geben.
Zweck mssen die in der alten Cloud abgelegten Objekte hnlich wie bei einer Datensicherung extrahiert werden, um sie dann in der neuen Cloud wieder einzuspielen. Auch hier besteht nun das Problem, dass fehlende Schnittstellen diesen Prozess massgeblich erschweren knnen. Ein Cloud-Anbieter ist im Grunde gar nicht darum bemht, fr diese Zwecke effiziente Mechanismen, klare Schnittstellen und kompatible Technologien anzubieten. Denn durch das Ausbleiben dieser kann er eine Kundenbindung auf technischer Ebene erzwingen. Die Trgheit des Kunden wird verhindern, dass dieser beim Auftauchen des ersten Bedrfnisses die bestehende Geschftsbeziehung lst und zu einem anderen Anbieter wechselt. Stattdessen wird der damit einhergehende Aufwand immensen Ausmasses gescheut werden. Dadurch erhlt der Anbieter ein Mehr an Handlungsspielraum, um im Rahmen der Kundenbeziehung die zu seinen Gunsten arbeitenden Modalitten zu diktieren. Dies kann sich also im schlimmsten Fall langfristig auf die Qualitt eines Angebots (z.B. Reaktionszeiten, Kooperationsbereitschaft) niederschlagen. Auch hier gilt es deshalb frhzeitig abzuklren, ob und inwiefern Migrationsmglichkeiten bestehen. Nur dadurch kann ein Mindestmass an Unabhngigkeit gewhrleistet werden, das dringend erforderlich ist, um den eigenen Handlungsspielraum nicht vollends zu beschneiden.
migrationsmglichkeiten
In eine hnliche Kategorie wie das Herstellen und Wiedereinspielen von Datensicherungen ist die Mglichkeit einer Migration. Bei einer solchen wird sich darum bemht, von einem Cloud-Anbieter oder System zu einem anderen zu wechseln bzw. eine eigeneLsungwiederzubetreiben(Insourcing).Zudiesem
Ein Hauptmerkmal des Cloud Computings ist, dass durch dieses eine transparente Dezentralisierung der Objekte (in den meisten Fllen hauptschlich Daten) stattfinden kann. Fr den Benutzer wird es irrelevant zu wissen, wo sich die von ihm bearbeiteten Daten gerade befinden. Dieses fehlende Wissen um die grundlegenden Gegebenheiten fhrt jedoch das Risiko der Verletzung juristischer Anforderungen mit sich. In verschiedenen Belangen ist die Verarbeitung von Daten gesetzlichen Bestimmungen unterworfen. So betrifft zum Beispiel das Thema Datenschutz smtliche Unternehmen. Manche von ihnen sind branchenspezifischenAnforderungenunterworfen(z.B.imFinanzsektor). Eine geografisch verschiedene Lnder umfassende Cloud fhrt zum Beispiel das Risiko ein, dass hier pltzlich unterschiedliche juristische Rahmenbedingunen fr die gleichen Datenstze gelten knnen. Die Datenschutzbestimmungen sind voraussichtlich nicht gleich, jenachdem in welchem Land sich die Daten gerade befinden. Alleine Deutschland und die Schweiz pflegen gnzlich unterschiedliche Anforderungen an den Schutz persnlicher Daten zu stellen.
Juristische Anforderungen an den datenschutz
hakin9.org/de
19
dAtEnSIChErhEIt
Oder gewisse Datenschutzbestimmungen verbieten gar, dass Daten ein bestimmtes Land verlassen drfen. Dies ist zum Beispiel oftmals bei kundenbezogenen Daten vor allem im Finanzumfeld der Fall. So ist es nicht ohne weiteres erlaubt, dass diese im Ausland gelagert oder ber einen externen Server weitergereicht werden. Es gilt also vor der Nutzung eines geografisch verteilten Dienstes zu klren, ob und inwiefern dessen Nutzung mit den auferlegten juristischen Bestimmungen vereinbar ist. Die Anbieter weltweit umspannender Clouds haben diese Problematik erkannt und bieten bisweilen technologische Mglichkeiten an, die geografische Verteilung der Daten zu limitieren. Amazon hat zu diesem Zweck die Availability Zones eingefhrt. Besteht keine Mglichkeit, die geografische Ausbreitung sensitiver Daten durch die Konfiguration der Cloud-Struktur einzuschrnken, mssen prozesstechnische oder zustzliche technische Mechanismen genutzt werden, um keine Verletzung der Sorgfaltspflicht anzugehen. Dies kann beispielsweise das Anonymisieren oder Verschlsseln von Daten bei der bermittlung in andere Lnder (z.B. bei Test-Daten) der Fall sein.
Aufbau und Wahrung von knowhow
Juristische Eigenverantwortung
Die juristischen Schwierigkeiten sind nicht nur in Bezug auf die Anforderungen an den Datenschutz beschrnkt. Oftmals wird davon ausgegangen, dass mit einer Auslagerung in eine Cloud die juristische Eigenverantwortung vollumfnglich an den Anbieter bertragen wird. Von nun an sei dieser dazu verpflichtet, wie nationalen und branchenspezifischen Anforderungen zu erfllen. Dies ist jedoch Wunschdenken, denn die juristische Eigenverantwortung lsst sich oftmals nicht einfach so auf eine andere (juristische) Person bertragen. Nur weil ein Kunde (z.B. Finanzunternehmen) durch eine vertragliche Regelung ein Outsourcing zentraler Dienste an einen Cloud-Partner vornimmt, ist von nun an der Kunde nicht mehr nicht fr die Sorgfaltspflicht der Datenverarbeitung verantwortlich bzw. mitverantwortlich. Jenachdem ist es dem Kunden gar nicht erlaubt, die Herrschaft ber die Daten ohne weiteres weiterzugeben. Und falls eine Weitergabe dennoch mglich ist, dann muss sich jenachdem der Kunde um die Einhaltung und Prfung der auferlegten Regeln bemhen. Doch gerade das Durchsetzen und Kontrollieren von Anforderungen ist aufgrund der fehlenden Transparenz und Schnittstellen vieler Cloud-Anbieter nicht oder nur mit erheblichem Aufwand durchfhrbar. Unter dem Strich ist es in Bezug auf diese weiterfhrenden Probleme oftmals unbestritten, dass eine eigenstndige Bearbeitung der Daten einfacher und kostengnstiger umsetzbar bliebe.
In den allermeisten Fllen wird die Auslagerung eines Dienstes vorgenommen, um dadurch Kosten zu sparen. So kann auf die Anschaffung teurer Hardware und den Einsatz geschulten Personals verzichtet werden. Mit einer erfolgreichen Auslagerung geht also auch oftmals ein Stellenabbau in den betroffenen Bereichen einher. Im Fall des Cloud Computing wird somit jeweils in Bereichen der IT-Administration (Administratoren, Entwickler,Support)abgebaut. Mit dem Abbau von Personal geht aber auch immer Knowhow verloren. Sind keine Administratoren oder Entwickler mehr zugegen, wird es fr ein Unternehmen immer schwieriger, das Verstndnis fr die genutzten Technologien zu wahren. Die Zusammenarbeit mit einem Cloud-Partner kann dadurch massgeblich erschwert werden, da dieser mit seiner bermacht an technischem Verstndnis die Ausrichtung eines Gesprchs diktieren kann. Im schlimmsten Fall kann er durch falsche oder halbwahre Aussagen die Entscheidungen des Kunden zu seinen Gunsten beeintrchtigen. Der Kunde ist auf sich alleine gestellt und kann damit nicht mehr intelligent agieren oder reagieren. Im besten Fall sollte also trotz Nutzung von CloudDiensten auf den rigorosen Abbau von fachtechnischem Personal verzichtet werden. Es sollte von jedem Fachbereich mindestens eine Person bestehen bleiben, die sich in technische Gesprche einschalten und zu Gunsten des Kunden argumentieren kann. Diese Person sollte als stabstechnische Kompetenzstelle agieren und andere Bereiche durch ihr Wissen und Verstndnis profitieren knnen. Ist das Aufrechterhalten eines solchen KnowhowPools nicht mglich, muss sich auf externe Berater verlassen werden. Diese sollten bei strategisch und technisch schwierigen Situationen herbeigezogen werden, um durch ihre Empfehlungen den Handlungsspielraum des Kunden aufrechterhalten oder erweitern zu knnen. Nur so lsst sich frhzeitig eine Einengung durch den Cloud-Partner, zum Beispiel durch das Einwilligen von unvorteilhaften Vereinbarungen, verhindert.
dezentralisierung
In vielen Fllen wird das Cloud Computing als Dezentralisierung verstanden. Damit wird die Mglichkeit erschlossen, dass die Datenbestnde in unterschiedlichen Bereichen und verschiedenen geografischen Lokalitten aufbewahrt bleiben. Dies wird als positiver Effekt wahrgenommen, da dadurch theoretisch eine erhhte Ausfallsicherheit erreicht werden kann. Dennoch entspricht Cloud Computing nicht per se einer Dezentralisierung. Genau genommen kann durch die Auslagerung in eine Cloud gar das Gegen-
20
11/2011
Sicherheit von Cloud Computing
teil stattfinden. Werden smtliche Daten eines Unternehmens in die Cloud bertragen, stellt sie selbst einen Single Point of Failure dar. Ein Ausfall der Cloud fhrt nmlich ebenfalls zum kompletten Ausfall des Dienstes bzw. der Verfgbarkeit der Daten. Eine Cloud muss explizit so konstruiert sein, dass sie selbst in sich eine Dezentralisierung darbietet, um dennocheinMindestmassanAusfallsicherheit(FailOver) gewhrleisten zu knnen. Theoretisch kann ein als Cloud bezeichnetes Konstrukt lediglich aus einemeinzigenServer(unddazugehrigetransparente Schnittstellen)bestehen. Fr Angreifer wird eine Cloud als eigenstndige Entitt also umso interessanter. Denn weiss ein Angreifer darum, dass ein Kunde die Dienste eines spezifischen Anbieters nutzt, kann er sich auf den Angriff auf diese Cloud konzentrieren. Cloud-Anbieter tragen aus verkaufstechnischen Grnden gerne technische Details zu ihren Lsungen nach Aussen, was einem Angreifer entscheidende Vorteile verschaffen kann. Jenachdem wie die Vermengung von Kunden und die internen Zugriffsbeschrnkungen des Cloud-Anbieters umgesetzt sind, kann ein Angriff dann gar einfacher ausfallen, als dies bei einer eigenstndigen IT-Umgebung der Fall gewesen wre. Es ist deshalb wichtig abzuklren, wie die Struktur und Topologie einer Cloud genau aussieht. Dabei darf sich nicht einfach auf die Definition der undefinierten Wolke verlassen und dies als Vorteil fr den Kunden da einfacher zu verstehen verstanden werden. Das Verstndnis muss ber diese PR-technische Simplifizierung hinausgehen. Die Ausfallsicherheit innerhalb der Cloud muss sodann genauso gewhrleistet sein, so wie dies bei einer dedizierten IT-Infrastruktur der Fall gewesen ist. Redundant betriebene Komponenten sind dabei genauso wichtig wie schnelle Reaktionszeiten bei Betriebsunterbrchen. Und auch hier ist es deshalb wichtig, dass die Vermengung von Objekten nicht rigoros zugelassen wird. Stattdessen sollte auf eine klare Trennung sowie strikte Zugriffslimitierungen gesetzt werden. Dadurch knnen Birthday- und Hopping-Attacken verhindert werden. Die Kompromittierung der Cloud eines Kunden hat damit nicht zwangslufig die Kompromittierung der Cloud eines anderen Kunden zur Folge.
Dabei gibt es verschiedene Vertriebsmodelle. Beim SaaS(SoftwareasaService)wirdeineApplikationzur Verfgung gestellt, die sich oftmals durch verschiedene Clients auf unterschiedlichen Systemen nutzen lsst. Zum Beispiel knnen so Datenbestnde zwischen verschiedenen Plattformen synchronisiert werden. Einen Schritt weiter geht PaaS (Platform as a Service), bei der ein ganzheitliches Framework zur eigenen Entwicklung und Nutzung von Software dargeboten wird. Dieser Ansatz ist vor allem bei Entwicklungsumgebungen interessant. Umfassende Kontrolle wird hingegen erst beiIaaS(InfrastructureasaService)erlangt,beiderein Kunde direkten Zugriff auf Hardware-Komponenten hat und somit im Sinne eines Housing seine eigene ServerFarm betreiben kann. Dabei unterscheidet man zwischen verschiedenen Infrastrukturformen. Eine private Cloud bietet Dienste fr interne Benutzer an. Hierbei handelt es sich in erster Linie um die Mitarbeiter eines Unternehmens, denen damit ihre Arbeitswerkzeuge bereitgestellt werden. Im Gegensatz knnen bei einer ffentlichen Cloud auch externe Benutzer auf die Dienste zugreifen. Dies ist vor allem dann wnschenswert, wenn damit ein spezifisches Produkt verkauft und verteilt werden will. Die Kombination privater und ffentlicher Clouds wird als hybride Clouds bezeichnet. Grundstzlich gibt es verschiedene Sicherheitsaspekte, die bei der Umsetzung und Nutzung von Cloud Computing bercksichtigt werden mssen. Greift man auf die Dienste eines externen Cloud-Partners zurck, entspricht dies einer speziellen Form des Outsourcings. Mit diesem gehen verschiedene altbekannte Risiken wie zum Beispiel der Verlust von Transparenz und Kontrolle einher. Es gibt aber auch technische Risiken, wie die Schwierigkeit der Umsetzung einer eigenstndigen Datenwiederherstellung oder die Durchfhrung einer Migration. Hinzu kommen juristische Bedenken, die gerade bei globalem Cloud Computing und in bestimmten Branchen nicht zu vernachlssigen sind. Diese Risiken mssen frhzeitig bercksichtigt und entsprechende Massnahmen ergrifen werden, um sie berechenbar und eliminierbar zu machen. Die sichere Umsetzung von Cloud Computing vermag mglich zu sein, auch wenn damit ein hohes Mass an Aufwand eingehen wird.
Zusammenfassung
Cloud Computing ist ein komplexes Thema, das sich auf verschiedene Technologien absttzt. Dabei werden bisweilen teilweise altbekannte Mechanismen miteinander kombiniert, um einen modularen und transparenten Dienst gewhrleisten zu knnen. Auf wirtschaftlicher Ebene wird ein flexibles Kostenmodell als entscheidender Vorteil verstanden.
mArC rUEfMarc Ruef startete im Jahr 1998 mit www.computec.ch das grsste deutschsprachige Portal zum Thema Computersicherheit. In seinen Arbeiten steht das Entwickeln neuer Methoden und Systeme zur Umsetzung und Erleichterung von Sicherheitsberprfungen im Mittelpunkt. Sicherheitsberprfungen, namentlich Penetration Tests, stehen also seit jeher im Mittelpunkt seiner Ttigkeit. Seite: http://www.computec.ch/mruef/
hakin9.org/de
21
Automatische verhaltensbasierte Malware-Analyse
Automatische verhaltensbasierte Malware-AnalyseRobert Luh, Paul TavolatoAutomatisierte verhaltensbasierte Malware-Analyse ist ein Weg zur schnellen Ersteinschtzung eines verdchtigen Code-Samples und zielt in erster Linie darauf ab, MalwareAnalytiker bei ihrer Arbeit zu untersttzen. Es wird ein verhaltensbasierter Malware-Erkennungsalgorithmus beschrieben, der implementiert wurde und dessen Tauglichkeit durch Tests bewiesen werden konnte.
U
m ein bestmgliches Ergebnis zu erzielen, bewertet der Algorithmus sowohl bsartiges als auch gutartiges Verhalten getrennt. Der erste Teil des Algorithmus vergleicht Systemobjekte, mit denen das Code-Sample interagiert, mit einer zu diesem Zweck zusammengestellten Liste von Systemobjekten. Der zweite Teil verfolgt Objektnamen ber den Ablauf des Code-Sample hinweg und sucht nach verdchtiger Wiederverwendung der Objekte whrend des Ablaufs.
Aktuelle Situation
Malware (malicious Software, bsartige Software, Schadsoftware) ist zweifelsohne eine der grten Gefahren, denen die heutige IT- und Internet-Infrastruktur ausgesetzt ist. Unter Malware soll hier Software verstanden werden, die schdigende Absichten eines Angreifers ausfhrt. Das fasst alle Arten von unerwnschtem Code zusammen: Am hufigsten treten Trojaner, Wrmer, Viren, Spyware, Dropper und Adware auf. Malware tritt in vielen Erscheinungsformen auf: Angefangen von einem Code, der befallene System auer Gefecht setzt, ber einen Code, der heimlich sensible Informationen ausspht oder ber fremde Rechner massenhaft Spam versendet bis zum Kapern ganzer System, um sie als Teil eines Botnets fr irgendwelche finsteren Zwecke zu benutzen. Dabei hat sich die Szene in den letzten Jahren zunehmend kommerzialisiert: Malware ist ein alltgliches Werkzeug beim digitalen Diebstahl, fr Firmen- und Staatsspionage, zur Verteilung von Spam sowie bei Angriffen gegen die Infrastruktur eines feindliche Unternehmens, einer feindlichen Gruppe oder eines Staates geworden. Um die Malware ins Zielsystem einzuschleusen wird entweder eine Schwachstelle des
angegriffenen Systems ausgenutzt (Exploit: unpatched Software Bug oder ein Design Fehler in der Software) oder man verlsst sich auf unberlegte Aktionen eines vertrauensseligen Users (social engineering). Die Antivirenindustrie kmpft einen unaufhrlichen Kampf um den Schutz der IT-Infrastruktur ihrer Kunden. Tglich sind sie mit einer stets zunehmenden Anzahl von verdchtigen Code-Samples konfrontiert, die in kurzer Zeit korrekt eingestuft werden mssen, um entsprechende Manahmen setzen zu knnen. Bislang arbeiten Antivirenprogramme vornehmlich signaturbasiert: Von einem als Schadsoftware eingestuften Code-Sample wird eine Signatur (ein charakteristischer Teil des Codes oder ein spezifischer Hash) gewonnen, in die Signatur-Datenbank aufgenommen und zur Identifizierung der Schadsoftware verwendet. Zustzlich werden heuristische Verfahren als Ergnzung eingesetzt. Allerdings haben sich die Malware-Produzenten angepasst: Methoden wurden entwickelt, um einer signaturbasierten Erkennung zu entkommen. Neben Verschlsselung und Runtime-Packaging (die fr sich genommen signaturbasiertes Erkennen noch nicht ausschlieen) werden zunehmend polymorphe Techniken (bei jeder Kopie der Malware wird die Verschlsselung gendert, womit das Aussehen des Codes verndert wird und ein einfacher Vergleich mit einer Signatur aus der Datenbank nur mehr schwer mglich ist) und metamorphe Techniken (bei jeder Kopie wird der Code selbst derart verndert, dass er vllig anders aussieht, seine Funktionalitt aber beibehlt). Die erforderliche Analysearbeit zur Erkennung und Klassifizierung neuer Malware ist der erste wichtige
hakin9.org/de
23
AbwehR
Schritt im Kampf gegen die zunehmende Bedrohung. Der Kampf wird nicht nur immer komplexer, sondern wird auch durch die schiere Menge der neu auftretenden Schadsoftware zunehmend schwieriger zu bewltigen. McAfee schtzt etwa, dass bis Ende 2011 die Anzahl von 75.000.000 bekannten Malware-Samples erreicht werden wird. Allein im Mrz 2011 sind weltweit etwa 2,2 Millionen neuer Samples aufgetaucht. Die Anzahl zu untersuchender potentieller Code-Samples, mit denen die Analyseabteilung einer Antivirenfirma heute pro Monat befasst wird, ist bereits vierstellig. MalwareAnalysten sind daher auf eine sinnvolle Vorauswahl angewiesen, um aus der rieseigen Menge potentiell gefhrlicher Samples jene herauszufiltern, die vorrangig genauer analysiert werden mssen. Die Fragestellung lautet also: Gegeben ein CodeSample unbekannter bzw. dubioser Herkunft wie gro ist die Wahrscheinlichkeit, dass es sich dabei um Malware handelt?
Verhaltensbasierte Analyse
Um das Verhalten eines beliebigen Code-Samples analysieren zu knnen, muss es in einer geschtzten Umgebung ausgefhrt werden. Dabei werden mit Hilfe von Tools Aufzeichnungen ber die Aktivitten des Codes gesammelt (das reicht von einer Zusammenfassung der abgesetzten System Calls bis zu einem detaillierten Disassembly). Diese Aufzeichnungen knnen dann gespeichert, eventuell die Ergebnisse verschiedener Tools kombiniert, analysiert und bewertet werden. Der bewertungsalgorithmus Die Auswertung der Verhaltensdaten erfolgt mit Hilfe eines Algorithmus zur Bewertung der Aktivitten eines Samples. Dabei wird jede Aktivitt als entweder potentiell bsartig (gefhrlich) oder potentiell gutartig (harmlos) eingestuft und jeweils Punkte fr das Ausma der Bsartigkeit bzw. Gutartigkeit vergeben. So erhlt man zum Schluss zwei Werte, deren Differenz
Abbildung 1. Zusammenhang der Aktivitten ber Objektnamen
24
11/2011
Automatische verhaltensbasierte Malware-Analyse
eine Abschtzung der Gefhrlichkeit des Code-Samples darstellt. Der Bewertungsalgorithmus besteht aus 2 Teilen: Im ersten Teil werden die Aktivitten mit einer langen Liste von heiklen Objekten verglichen, die von Malware oft verwendet werden. Dazu gehren ausgesuchte Systemdateien, Registry Keys, Devices, blacklisted IP Adressen und noch andere Objekte. Im zweiten Teil werden zudem Abhngigkeiten zwischen Aktivitten bewertet: Dabei werden Objektnamen (zB Dateinamen) ber die Analyse hinweg verfolgt, um zu veranschaulichen, wie sich die Aktivitten des Samples im System fortpflanzen. Die Liste von zu bewertenden Objekten und Zusammenhngen kann aus verschiedenen Quellen zusammengestellt werden: Verschiedene Microsoftdokumente, die Security Software Liste killav.rb von BackTrack und einige IP Blacklists. Ergnzen kann man die Liste natrlich aus den eigenen Erfahrungen. Zu den wesentlichen Aktivitten, die im Zusammenhang mit potentiell gefhrlichem Verhalten zu betrachten sind, gehren: Control Communication Aktivitten bezglich Device- und Dateiinteraktionen. Dateiaktivitten insbesondere, wenn sie sich auf heikle Systemdateien oder Systemverzeichnisse beziehen. Registry Key Aktivitten und Registry Value Aktivitten, insbesondere, wenn sie sich auf sensible Ereignisse beziehen, wie etwa die Beeinflussung des Autostart-Verhaltens, die Internet-Einstellungen oder die Steuerung von Einstellungen von Antiviren-Programmen. Prozess Aktivitten wie Beenden eines Prozesses, Erzeugen eines Threads und dergleichen, vor al-
lem wenn sie sich auf Prozesse beziehen, die sich explizit mit Sicherheitsproblematik befassen. Service Aktivitten im Zusammenhang mit sensiblen Services. Dialogaktivitten, die verdchtige Userinteraktionen durchfhren. Netzwerkaktivitten wie TCP/UDP Verbindungsversuche und Konversationen, DNS Queries, Ping Requests, Socket-Verbindungen und Address-Scans, vor allem wenn sie sich auf zweifelhafte (blacklisted) IP-Adressen beziehen.
Die Zusammenhnge, die sich aus der Verfolgung der Objekte ergeben, knnen in einem Graphen dargestellt werden: Dieser Graph zeigt die mglichen Wiederverwendungen eines Objektnamens. Typische Malware Verhaltensmuster Analysiert man eine groe Anzahl bekannter Malware Samples, so erhlt man Einsicht in typische Verhaltensmuster, wie sie von Malware an den Tag gelegt werden. Eine Auswahl der hufigsten dieser Muster sieht etwa so aus: Das Programm registriert sich selbst als neues COM Objekt ber den CLSID Subkey-Unterbaum in der Registry; dazu mssen Registryaktivitten wie Registry Key Erzeugen und Registry Value ndern ausgefhrt werden. Erzeugen neuer Prozesse insbesondere im Windows-Systemverzeichnis und Registrierung derselben unter einer neuen CLSID. Ein erzeugter Prozess erzeugt seinerseits wieder ein Service, das so konfiguriert wird, dass es beim
Abbildung 2. Bewertungsergebnisse fr bsartige Samples
Abbildung 3. Bewertungsergebnisse fr gutartige Samples
hakin9.org/de
25
AbwehR
Systemstart automatisch hochgefahren wird. Auerdem wird das Service gleich gestartet. Das Service oder der Prozess modifiziert das Systemlog und startet weitere Prozesse und/oder Services. Das Programm beendet normale Prozesse. Antivirusprogramme werden gestoppt. Das Programm kopiert sich in andere Dateien (klassisches Infektionsverhalten). Das Programm ndert Interneteinstellungen. Das Programm versucht ber Device Control Communication Netzwerkverbindungen aufzubauen. Eine Vielzahl von Sockets wird geffnet. DNS Queries werden an verschiedene IP-Adressen versendet. Es werden Pings an eine Vielzahl von IP-Adressen abgesetzt. Verbindungen werden zu einigen der erfolgreich angepingten Adressen aufgebaut. Und so weiter
der Analyse ausgeschlossen werden, weil sie keinerlei nennenswerte Aktivitten entfalteten, das heit sie haben sich sofort beendet bzw. sind sofort abge-strzt. Mehr als 81% der Samples wurde korrekt als high risk eingestuft; 6 % wurden als unklar eingestuft und Rest wurde flschlicherweise als unbedenklich gewertet. Die Anwendung des Algorithmus auf 100 Samples harmloser Software lieferte in 90% der Flle eine korrekte Einstufung. Die 10% falscher Einstufungen stammen ausnahms-los von invasiven Installationsroutinen, die eine groe Zahl an Vernderungen im Be-triebssystem vorgenommen haben. Im Vergleich des doppelten Bewertungsalgorithmus mit einem einfachen (der nur das bsartige Verhalten bewertet) ergibt sich ein klar besseres Ergebnis fr die doppelte Bewertung: Im Vergleich zu den 81% korrekt als Malware eingestufter Samples konnten mit einfacher Bewertung nur 72% korrekt eingestuft werden.
Zusammenfassung
Um im zweiten Teil der Bewertung sensible Objekte durch die Analyse verfolgen zu knnen, muss das Vorkommen sensibler Objektnamen in bestimmten Positionen (Registry Values, Service Parameter und hnliches) gesucht werden. Werden sie vorgefunden, wird in Abhngigkeit des Fundortes ein bestimmtes Verhalten angenommen und die Bewertung entsprechend verndert. Doppelte bewertung Bewertet man nur bsartiges Verhalten, kommt man hufig auf sehr hohe Werte, die in keinem Verhltnis zur Bewertung anderer Samples stehen und es so schwierig machen, Grenzwerte fr bsartig vs. gutartig zu definieren. Das liegt im Wesentlichen daran, dass Malware Samples blicherweise eine sehr viel grere Anzahl an Aktivitten entfalten als harmlose Programme. Um dieses Problem zu berwinden, kann man das genannte doppelte Bewertungsverfahren verwenden, bei dem neben der Bsartigkeit auch die Gutartigkeit eines Samples bewertet wird. Die endgltige Bewertung ergibt sich dann als die Differenz aus dem Bsartigkeitswert und dem Gutartigkeitswert. Je grer dieser Wert, desto bsartiger das Sample. Aus den Erfahrungen mit einer Vielzahl an Analysen knnen dann Grenzwerte definiert werden. Ab einem bestimmten Grenzwert kann man dann davon ausgehen, dass das Sample jedenfalls bsartiges Verhalten aufweist und daher mit an Sicherheit grenzender Wahrscheinlichkeit als Malware einzustufen ist. erste ergebnisse Dieser Algorithmus wurde auf einen Satz von 400 Malware Samples angewendet; davon mussten 112 von
Verhaltensbasierte Analyse stellt eine wichtige Arbeit des Malware-Analysten dar. Bislang war das ein mhsamer manueller Vorgang, der zwar durch diverse Tools untersttzt werden kann, nichtsdestoweniger aber ein zeitraubendes Unterfangen darstellt. Daher ist der Versuch einer Automatisierung eine lohnende Aufgabe. Auch wenn die manuelle Analyse letztendlich nicht vollstndig ersetzt werden kann, so kann durch eine automatisierte Vorgangsweise immerhin eine sinnvolle Vorselektion erfolgen, die es dem Analysten ermglicht, sein Arbeit zu priorisieren. Dies umso mehr, als die Arbeitslast der Analysten durch eine immer steigende Anzahl von neu auftauchenden Malware Samples Ausmae annimmt, die kaum mehr zu bewltigen sind. Mit Hilfe des hier beschriebenen Algorithmus ist eine solche Vorselektion mglich. Insbesondere die Verwendung einer doppelten Bewertung (sowohl bsartiges als auch gutartiges Verhalten wird getrennt bewertet) hat sich als Verbesserung gegenber herkmmlichen Bewertungsverfahren, die sich ausschlielich auf das Bewerten bsartigen Verhaltens beschrnken, bewiesen. Weitere Verbesserungen des Algorithmus sind natrlich mglich; insbesondere eine Vorauslese der Samples scheint sinnvoll, um Samples die keine oder kaum Aktivitt entfalten vorab ausschlieen zu knnen (ber sie kann einfach keine Aussage getroffen werden). Auch spezielle Unterschiede zwischen dem Verhalten von Malware und dem Verhalten von Installationsroutinen mssen noch herausgearbeitet werden, um solche Installationsroutinen nicht als Malware zu brandmarken. Schlussendlich muss ein solcher Bewertungsalgorithmus stndig an die sich laufend ndernde MalwareLandschaft anpasst werden.
26
11/2011
FH St. Plten
InterviewWorber erfahren Ihre Studenten whrend des Studiums? - Fach IT Security Das Bachelorstudium IT Security vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruktur. Das Besondere und in sterreich Einzigartige daran ist die Kombination aus Technik- und Managementwissen. Als knftige IT Security ExpertInnen bereitet das Studium auf den IT Security Alltag in Unternehmen vor - organisatorische und Managementaufgaben inklusive. Die Ausbildung besteht aus vier Schwerpunkten: IT-Betrieb Netzwerktechnik Sicherheitstechnologien SicherheitsmanagementundOrganisation chen, praxisbezogenen Inhalten wird groer Wert auf die Vermittlung sozialer Kompetenz und das Erlernen von Fremdsprachen gelegt. Das Studium zeichnet sich durch individuelle Betreuung und das Arbeiten in Kleingruppen aus. Pro Jahr werden nur 30 BewerberInnen aufgenommen. Die bungen erfolgen in Gruppen 15 Personen. Die praxisnahe Forschung nimmt einen hohen Stellenwert ein. Die frhzeitige Einbindung der Studierenden in Forschungsvorhaben mit Unternehmen ist der FH St. Plten wichtig und ermglicht jungen WissenschaftlerInnen Erfahrungen zu sammeln. Welche zustzliche Schulungen bieten Sie fr die Studenten? Whrend des Studiums knnen die Studierenden unter anderem durch selbstgewhlte Vertiefungsrichtungen und Freifcher ihre persnlichen Ausbildungsschwerpunkte setzen, sowie unterschiedliche, international anerkannte Zertifikate erwerben. Folgende Zertifikate stehen derzeit zur Auswahl: CCNACiscoCertifiedNetworkAssociate CCNPCiscoCareerCertifcations&Paths PHSEPHIONSecurityEngineer MCITPMicrosoftCertifiedITProfessionalg ITILV3 ACEAccessDataCertifiedExaminer D-LevelProjektmanagement
Ab dem 3. Semester wird zustzlich ein Wahlpflichtmodul ausgewhlt, das eine individuelle Ausbildung in den Schwerpunkten IT Infrastruktur, Sicherheitsmanagement und Beratung sowie Malware Analyse ermglicht. Der Masterstudiengang Information Security folgt dem Bachelorstudiengang IT Security und baut auf diesem auf. Der Masterstudiengang Information Security vermittelt eine Kombination aus technischen Kenntnissen und Management Know-how, die in keinem anderen Bildungszweig in dieser Tiefe angeboten wird. Information Security bildet ExpertInnen aus, die den stetig zunehmenden Anforderungen im ITBereich gewachsen sind. Die praxisorientierte Ausbildung bereitet die AbsolventInnen darauf vor, die Sicherheit von Gesamtsystemen zu garantieren und Informationssicherheit im Unternehmen zu verankern. Womit unterscheidet sich Ihre Hochschule von der anderen? Die Fachhochschule St. Plten steht fr qualittsvolle Hochschulausbildung, Praxisbezug und Internationalitt. ber 1.900 Studierende lernen und leben am Campus der FH St. Plten. Das Studium ist berufsfeldbezogen und beinhaltet ein verpflichtendes Berufspraktikum; ebenso ist ein Auslandsaufenthaltmglichundgewnscht.Nebenfachli-
Wie sind die Berufsaussichten nach dem Studium? DiederzeitigeaktuelleLagezeigt,dassSicherheitsexpertInnen immer wichtiger werden. Computerviren, Hacker, Datenverluste, Webattacken usw. stellen eine massive Bedrohung fr die IT-Infrastruktur eines Unternehmens dar. Verschrft wird die Situation auch dadurch, dass immer mehr Prozesse eines Unternehmens EDV-untersttzt abgebildet und abgewickelt werden. Hier entsteht daher ein groer Markt fr ExpertInnen, die sowohl die technischen Kenntnisse fr einen sicheren IT-Betrieb beherrschen, aber auch mit Management-Aufgaben vertraut sind. AbsolventInnen werden in allen Branchen (Industrie, Gewerbe, Dienstleistungen, ffentliche Verwaltung),
hakin9.org/de
27
wo ein sicherer IT-Betrieb gewhrleistet sein muss, dringendst bentigt. Eine Studie zum Thema Security-Software der Gartner Group unterstreicht den Bedarf an AbsolventInnen: Die jhrlichen Wachstumsraten in der Security-Branche liegen bei 15 % pro Jahr bis 2012. Wo knnen die zuknftigen IT-Experten arbeiten? AbsolventInnen des Bachelorstudiengangs IT Security beherrschen die technischen Grundlagen fr einen sicheren IT-Betrieb. AbsolventInnen werden nach entsprechender Berufserfahrung als Fhrungskrfte sowie als MitarbeiterInnen auf unterschiedlichen Ebenen des mittleren Managements eingesetzt. Beispiele: ChiefSecurityOfficer(CSO) Netzwerk-undBetriebssystemadministratorIn IT-ForensikerInnen PenetrationTesterIn
AbsolventInnen des Masterstudiengangs Information SecuritysindinderLage,sichereGesamtsystemezu entwickeln bzw. vorhandene Systeme auf Schwachstellen zu untersuchen und geeignete Gegenmanahmen sowohl technischer als auch organisatorischer Naturzuentwerfen. Die AbsolventInnen kommen in allen sicherheitsrelevanten Ttigkeitsfeldern bei informationsverar-beitenden Prozessen zum Einsatz. Insbesondere sind sie qualifiziert, leitende und planende Ttigkeiten auszufhren. Berufsfelder (Beispiele) Sicherheitsbeauftragte/r (Chief Information-Security-Officer) ITSecuritySolutionEngineer/Architect Security-Consultant IT-SolutionArchitect Vielseitige, attraktive Berufsperspektiven in anspruchsvollen Ttigkeitsbereichen in Industrie, Handel, Versicherungen, Dienstleistungen, Unternehmensberatung, ffentlicher Verwaltung und nicht zuletzt in der Forschung erwartet die AbsolventInnen. Vielen Dank fr das Gesprch!
28
11/2011
IT-Compliance mit dem Unified Compliance Framework UCF
IT-Compliance mit dem Unified Compliance Framework UCFGeorg disterer und michael WittekDie IT-Untersttzung von Geschftsprozessen ist so bedeutend, dass Strungen oder Unterbrechungen im IT-Betrieb groe Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien ausreichende Sorgfalt und Vorsorge, um einen strungs- und unterbrechungsfreien Betrieb zu gewhrleisten.In dIeSem ArTIkel erFAhren SIe Grundlagen zu IT-Compliance UCF als Hilfsmittel zur Steuerung und Kontrolle Manahmen zur technischen Betriebssicherheit
WAS SIe vorher WISSen SollTen keinspeziellesVorwissen
I
T-Compliance strebt nach weisbar regel konformes Handeln im IT-Bereich an und umfasst alle Manahmen zur Einhaltung entsprechender Vorgaben wie Ge setze, Vorschriften, Normen u.. Die Anzahl entsprechender Vor gaben ist gro, deren Art und Umfang hchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu knnen, ist ein systematisches Vor gehen sinn voll. Als ein Hilfsmittel steht das Unified Compliance Frame work (UCF) zur Verfgung. Nachfolgend werden Auf bau und Funktionsweise des UCF am Bei spiel der IT-Sicherheit erlutert, um dann die wesent lichen Steuerungsund Kontroll ma nahmen fr den Wirkbereich der technischen Sicherheit aus dem Framework abzulei ten.
IT-Sicherheit im Fokus der IT-Compliance
Informationstechnologie (IT) ist ein wesentliches Werkzeug zur Abwicklung betrieblicher Prozesse. Die Abhngigkeit vieler Prozesse von der IT-Untersttzung ist teilweise so erheblich, dass IT vielerorts zur strategischen Ressource geworden ist. Entsprechender Aufwand muss betrieben werden, um den vielfltigen Gefahren zu begegnen (Disterer 2009 S. 74-75), wie etwa Angriffen in Form vorstzlicher und gezielter Handlungen, missbruchliche Nutzungen, irrtmliche oder versehentliche Handlungen, hhere Gewalt, technische Mngel und technisches Ver-
sagen, Funktions- und Organisationsmngel. Umfangreiche Steuerungs- und Kontrollmanahmen sind zum Schutz notwendig, um Strungen und Unterbrechungen des IT-Betriebs zu vermeiden. Eine zentrale Rolle spielt das IT-Sicherheitsmanagement, das fr die IT die Planung, Umsetzung, Steuerung, Kontrolle und kontinuierliche Weiterentwicklung physischer und technischer Sicher heitsmanahmen umfasst. Ziel des IT-Sicherheits manage ments ist die Sicherstellung der Vertraulichkeit, Verfgbarkeit und Integritt von Informationen und IT-Systemen (BSI 2011). Mit der zunehmenden Bedeutung von IT steigen auch gesetzliche und regulatorische Vorgaben, die den Einsatz von IT im Unternehmen regeln, wie z.B. die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG), den Grundstzen ordnungsmiger DV-gesttzter Buchfhrungssysteme (GoBS) oder aus den Grundstzen zum Datenzugriff und zur Prfbarkeit digitaler Unterlagen (GdPDU). Nachweisbar regelkonformes Handeln im IT-Bereich wird als IT-Compliance bezeichnet (Bhm 2008 S. 17, Rath/Sponholz 2009 S. 25). Insgesamt ist die Anzahl derartiger Auflagen und Vorgaben gro, deren Art und Umfang hchst unterschiedlich. Zu beachten sind etwa Vorgaben fr spezielle Branchen (Banken, Versicherungen, Gesundheitswesen u..) und fr spezielle Funktionsbereiche (Rechnungswesen, Logistik u..) sowie bergreifende (z.B. Datenschutzrecht) sowie nationale und inter-
hakin9.org/de
29
BeTrIeBSSICherheIT
nationale Vorgaben. Viele der Vorgaben betreffen die IT-Sicherheit, d.h. das IT-Sicherheitsmanagement ist nicht in das Belieben eines Unternehmens gestellt, sondern muss vielerlei Auflagen erfllen. Wegen der Vielzahl und Vielfalt der Auflagen und Vorgaben besteht die Gefahr der Intransparenz der zu beachtenden Vorgaben. Die Vorgaben sind teilweise redundant oder berlappend und unterscheiden sich in der Form oder dem Regelungstyp. Entsprechend ist Aufwand zu betreiben, um alle relevanten Vorgaben zu kennen und zu verstehen sowie Redundanzen und berlappungen aufzudecken, um somit ein abgestimmtes Bndel von Manahmen
statt eine - gegebenenfalls groe - Anzahl von Einzelmanahmen zu betreiben. Eine IT-gesttzte Systematik dabei kann den Aufwand reduzieren und die Fehlerquote mindern. Eine derartige Systematik bietet das Unified Compliance Framework (UCF), das ein Hilfsmittel zur nachweisbaren Einhaltung von IT-Compliance-Anforderungen darstellt und hier am Beispiel der Sicherheitsanforderungen erlutert wird.
Aufbau und Funktionsweise des UCF
UCF wurde als Rahmenwerk fr IT-Compliance von Vertretern des Beratungsunternehmen Network Fron-
Abbildung 1. Aufbau des UCF
30
11/2011
IT-Compliance mit dem Unified Compliance Framework UCF
tiers sowie der Anwaltskanzlei Latham & Watkins entwickelt und im Jahr 2005 erstmals publiziert (UCF 2011a). Das Rahmenwerk bietet eine umfassende Sammlung regulatorischer Anforderungen, adquater Steuerungs- und Kontrollmanahmen sowie weiterer Hilfsmittel zur Umsetzung der Manahmen an. Das Rahmenwerk besteht aus mehreren Tabellen, die ber Verknpfungen der Eintrge zueinander in Relation stehen. Umgesetzt sind die Tabellen mit Excel-Tabellen, die mit Links untereinander und mit Quellen aus dem Web verbunden sind. Daneben stehen eine Anzahl von Dokumentvorlagen sowie eine ausfhrliche Dokumentation. Struktur und Inhalte des UCF sind in Abbildung 1 dargestellt. In das Rahmenwerk sind aktuell rund 1.000 Gesetze und Auflagen aufgenommen worden, bekanntere davon sind zum Beispiel: GesetzefrbrsennotierteUnternehmen(z.B.Sarbanes Oxley Act) Bankenrelevante Richtlinien (z.B. Basel II, Gramm Leach Bliley Act) Regelungen im Gesundheitswesen (z.B. HIPAA, NIST, CMS) Richtlinien fr Kreditkartentransaktionen (z.B. PCI DSS, Visa CISP)Tabelle 1. Wirkbereiche des UCF
Datenschutzgesetze (z.B. Data Privacy Act fr U.S.A., Bundesdatenschutzgesetz fr Deutschland) Internationale Gesetze/Richtlinien (z.B. 8. EURichtlinie) Nationale Gesetze/Richtlinien (z.B. IT-Grundschutz) StandardsundNormen(z.B.ITIL,ISO13335,ISO 27001) Alle ausgewerteten regulatorischen Dokumente sind in einer Tabelle aufgelistet. Die Eintrge der Dokumente werden durch zustzliche Informationen ergnzt: Name des Gesetzes bzw. der Auflage, herausgebende Institution, Datum der Verffentlichung sowie eine kurze Beschreibung. Zustzlich ist ein Link gesetzt zu Webseiten, auf denen das OriginalDokument von jeweiligem Gesetz oder Auflage ver fgbar ist. Resultat der Auswertung der Gesetze und Auflagen sind rund 4.300 Steuerungs- und Kontrollmanahmen, die eine nachweisbare Einhaltung gewhrleisten sollen. Die Steuerungs- und Kontrollmanahmen sind sortiert und in verschiedene Tabellen zerlegt nach 14 unterschiedlichen IT-relevanten Wirkbereichen - siehe Tabelle 1 (vgl. Rath/Sponholz 2009 S. 196).
Nr.
Wirkbereich (Impact Zone)
Anzahl der Manahmen (controls)24 104 88 2.103 156 112 76 249 279 144 581 122 107 187 4.332
1 2 3 4 5 6 7 8 9 10 11 12 13 14
Beschaffung von Technologie und Dienstleistungen (Acquisition of facilities, technology, and services) Prfung und Risikomanagement (Audits and risk management) Compliance und Governance Formrichtlinien (Compliance and governance manual of style) Konfigurationsmanagement (System hardening through configuration management) Entwurf, Entwicklung und Einfhrung von IT-Systemen (Systems design, build, and implementation) Management des IT-Personalwesens (Human resources management) Unternehmensfhrung und Unternehmensziele (Leadership and high level objectives) berwachen und Messen (Monitoring and measurement) Betriebsfhrung (Operational management) Physische Sicherheit und Perimeterschutz (Physical and environmental protection) Daten- und Informationsschutz (Privacy protection for information and data) Datensicherung und -archivierung (Records Management) Wiederanlauf (Systems Continuity) Technische Sicherheit (Technical Security) Summe
hakin9.org/de
31
BeTrIeBSSICherheIT
IT-Sicherheit wird dabei vor allem von den Bereichen Technische Sicherheit (technical security), Physische Sicherheit und Perimeterschutz (physical and environmental protection), Daten- und Informationsschutz (privacy protection for information and data) und Datensicherung/-archivierung (records management) abgedeckt. Diese vier Wirkbereiche beinhalten ca. ein Viertel der Steuerungs- und Kontrollmanahmen des UCF. Die Tabellen, die die Steuerungs- und Kontrollmanahmen der einzelnen Wirkbereiche enthalten, geben eine hierarchische Struktur der Manahmen wieder. Auf der obersten Ebene werden die Steuerungs- und Kontrollmanahmen als top level controls bezeichnet, die den Namen des Wirkbereichs als Bezeichnung tragen. Auf den niedrigeren Ebenen werden die Manahmen als supporting and supported controls bezeichnet. Der Aufbau einer derartigen Tabelle sowie die enthaltenden Elemente sind in Abbildung 2 am Beispiel des Wirkbereichs Technische Sicherheit skizziert und mit Ziffern zur Erluterung versehen: (1) Eine Spalte mit den hierarchisch geordneten Manahmen; (2) Eine Spalte mit eindeutiger Manahmen-ID, unterlegt mit einem Link auf die UCF-Website, wo detaillierte Informationen zu der Manahme vorgehalten werden; (3)Mehrere Spalten mit UCF-Kategorien, die die einzelnen regulatorischen Dokumente inhaltlich
(z.B. nach Branchen) zusammenfassen. In den entsprechenden Feldern ist die Anzahl der Verweise zwischen den regulatorischen Dokumenten und den abgeleiteten Manahmen angegeben; (4) Mehrere Spalten mit den Bezeichnungen der regulatorischer Dokumente, in denen die einzelnen Verweise zwischen den abgeleiteten Manahmen und regulatorischen Dokumenten vermerkt sind. (5) Eine Spalte fr Verweise auf interne Richtlinien, die unternehmensspezifische Vorgaben enthalten. Fr die Implementierung von Steuerungs- und Kontrollmanahmen stellt UCF eine Reihe vorgefertigter Hilfsmittel bereit, die unternehmspezifisch angepasst oder erweitert werden knnen (siehe Abbildung 1). Hierzu zhlen standardisierte Kennzahlen (metric standards), Dokumentvorlagen (compliance documents),De nitionvonRollen(roledefinitions),Klasfi sifizierungsschemata fr Inor aio en (information f m t n classification) und standardisierte Vorgehensweisen frdasKon gurationsmanagement(configurationmafi nagement). Fr UCF wird eine quartalsweise Aktualisierung angeboten, die vor allem die Bercksichtigung neuer und vernderter Gesetze und Regularien enthlt. Dadurch wird das Rahmenwerk kontinuierlich aktualisiert und erweitert.
Abbildung 2. Aufbau einer Tabelle im UCF
32
11/2011
IT-Compliance mit dem Unified Compliance Framework UCF
Steuerungs- und kontrollmanahmen fr technische IT-Sicherheit
Um die Grundwerte der IT-Sicherheit der Vertraulichkeit, Integritt und Integritt zu gewhrleisten sind geeignete physische und technische Manahmen notwen dig. Die entsprechenden technischen Manahmen gelten dem Zugang zu Systemen und
dem Zugriff auf Daten. Dazu gehren etwa die Erstellung und Etablierung von Sicherheitsrichtlinien und -anweisungen, die Umsetzung von Rollenund Berechtigungskonzepten sowie der Einsatz von Firewalls, Virenscannern und Verschlsselungstechniken. Fr den Wirkbereich technische Sicherheit sieht UCF insgesamt 187 Steuerungs- und Kon-
Tabelle 2. Manahmen und deren Herkunft aus regulatorischen Dokumenten
Healthcare & Life Science
System Configuration3
Record Management
US Internal Revenue
ManahmenID
Banking & Finance
Manahmen (controls) der obersten Ebene
Beschreibung
Sarbanes Oxley
General
NIST
ITIL1 1
ISO
EU
UCF ID 00509
Establish and maintain an access classification scheme standard Establish and maintain access policies and access procedures
Entwurf, Durchsetzung und Pflege eines generellen Konzepts fr Zugang und Zugriff Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren zur Sicherstellung von Identifikation, Authentifikation und Zugriffsberechtigung Steuerung und berwachung aller Netzwerkkomponenten inkl. deren Konfigurationen 5
2
3
3
4
UCF ID 00512
5
5
2
2
10
7
UCF ID 00529
Identify and control all network access and control points
4
2
2
1
1
4
4
UCF ID 00551
Secure access to each Sicherung des Zugangs/Zusystem component griffs auf Betriebssysteme aller Operating System Komponenten Control all methods of remote access and teleworking Manage the use of encryption and cryptographic controls to protect information Establish and maintain a process to prevent malicious code attacks Enforce information flow policies inside the system and between interconnected systems Establish and maintain an application security policy Establish and maintain virtual environment and shared resources security policies and procedures Steuerung und Kontrolle aller Fernzugriffe auf Systeme und Komponenten Einsatz geeigneter Verschlsselungstechniken zum Schutz der Informationen Einsatz/Pflege von Systemen zur Vermeidung von Angriffen mit Schadsoftware Entwurf, Durchsetzung und Pflege von Richtlinien zum Informationsfluss innerhalb und zwischen Systemen Erstellung und Pflege einer Sicherheitsrichtlinie fr Anwendungen Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren fr virtuelle Umgebungen und verteilte Ressourcen
1
3
1
UCF ID 00559
3
3
1
