IT Security Best Practices

Jeder hat seine eigenen Vorlieben, wenn es um Programme geht – seien es Browser, Messenger, Mediaplayer oder E-Mail-Clients usw. Viele Anwender sind so sehr daran gewöhnt, sie im alltäglichen Leben zu nutzen, dass sie sich unwohl fühlen, wenn sie am Arbeitsplatz oder in der Universität keinen Zugriff auf ihre persönlich bevorzugten Programme haben. Daher greifen viele auf die Nutzung portabler Anwendungen zurück, die auch Thema dieses Beitrags sind.

Auf mobilen Speichermedien geschriebene portable Anwendungen sind überaus benutzerfreundlich – sie erfordern keine Installation und können praktisch in jeder Umgebung verwendet werden. So steht dem Anwender zu jeder Zeit ein Auswahl an allen möglichen Tools für die unterschiedlichsten Aktivitäten zur Verfügung: vom Abspielen von Filmen und Musik bis hin zur Systemanalyse und –Wiederherstellung.

Allerdings können solche Anwendungen auch eine Bedrohung für die Informationssicherheit darstellen. Nutzer, die nicht über die Rechte eines lokalen Administrators verfügen, können keine Programme auf einem PC installieren, doch sie können portable Software nutzen, die keine Installation erfordert, um diese Beschränkungen zu umgehen. Da solche Anwendungen mobil sind und auf Wechseldatenträgern gespeichert werden, können sie für das Programmaudit unbemerkt im lokalen Netzwerk verbleiben. Das wiederum erschwert die Ermittlungsarbeit bei Vorfällen, die mit der Verwendung von portablen Anwendungen zusammenhängen, da für die Untersuchung wichtige Informationen über den Wechseldatenträger und die darauf installierte Software für die Sicherheitsexperten häufig nicht verfügbar sind.

Ein Fall aus der Praxis

Ein Analyseunternehmen, das große Mengen von persönlichen Informationen bearbeitet, bot Studenten und anderen Laien einen Nebenjob im Bereich Informationstechnologien an: Zwei Tage pro Woche sollten sie Daten aus Formularen in Papierform digitalisieren, die vorhandenen Daten auf Fehler überprüfen und die entsprechenden Personen zur Bestätigung der Informationen abtelefonieren.

Aus Gründen der Sicherheit wurden alle Workstations, an denen diese befristeten Angestellten arbeiteten, in ein separates Subnetzwerk ohne Internetzugriff gelegt. Die Kontrolle über diesen Rechnerpark wurde einem der Systemadministratoren des Unternehmens anvertraut.

Das Unternehmen beauftragte externe Programmierer mit der Entwicklung eines Programms zum Ausfüllen von elektronischen Formularen. Bei diesem Programm handelte es sich um einen Katalog verschiedener, mit den Anträgen in Papierform identischer E-Formulare. Zur Berechnung der ausgeführten Arbeiten musste jeder vorübergehende Mitarbeiter beim Start des Programms seinen Benutzernamen und sein Kennwort eingeben. Zudem musste er auswählen, ob er ein neues E-Formular ausfüllen, oder ein bereits vorher ausgefülltes überprüfen möchte. Sowohl die neuen als auch die geänderten Daten wurden in einer Zwischendatenbank gespeichert. Zum Empfang der Daten, die überprüft oder aktualisiert werden mussten, griff das Programm auf die Zwischendatenbank zu, die die Daten wiederum direkt aus der Hauptdatenbank erhielt. Damit die Mitarbeiter nicht immer wieder ein und dasselbe Formular überprüfen, wurden in der Zwischendatenbank Beschränkungen festgelegt: Ein Formular wurde erst 5 Monate nach seiner letzten Überprüfung wieder der Kategorie der zu überprüfenden Datensätze zugeordnet. Für die Erstellung und den Support beider Datenbanken war der Datenbankadministrator verantwortlich.
Da der Arbeitsprozess recht simpel und die Mitarbeiterfluktuation hoch war, führte der Systemadministrator Maßnahmen zur Gewährleistung der Sicherheit der Workstations ein: Alle Anwender arbeiteten mit den zur Ausübung ihrer Tätigkeit minimal notwendigen Rechten, ohne die Möglichkeit, neue Software zu installieren oder die Einstellungen zu verändern, Zugriff hatten sie lediglich auf den Server, auf dem sich die Zwischendatenbank befand. Wenn irgendeiner der PCs zusammenbrach, stellte der Administrator das System – ohne lange nachzudenken – aus der Sicherheitskopie wieder her.

Alles war gut, bis die Zwischendatenbank ausfiel, was die Arbeit der vorübergehenden Mitarbeiter wesentlich erschwerte. Während einer Analyse der Gründe für die Instabilität der Datenbank bemerkte der Administrator eine große Menge an Fehlermeldungen, die sich in letzter Zeit angesammelt hatten. Der Grund für einen Großteil der Fehler war eine hohe Auslastung der Datenbank, die durch eine hohe Zahl an Anfragen an die DB hervorgerufen worden war. Einige Fehler wurden durch Versuche verursacht, Daten, auf die der Zugriff verboten ist zu lesen/ in Tabellen zu schreiben. Der Administrator stellte fest, dass alle an die Datenbank gerichteten Anfragen, die Ursache für die Fehler waren, im Namen eines Programmes zum Ausfüllen von E-Formularen abgesendet worden waren.

Nach Rücksprache mit den Entwicklern des Programms stellte der DB-Administrator fest, dass dieses Verhalten nicht nur nicht im Programm begründet lag, sondern auch nicht durch einen Fehler in dessen Code hervorgerufen worden sein konnte. Der DB-Administrator aktivierte die detaillierte Ereignis-Protokollierung und stellte fest, dass alle anomalen Anfragen von einer IP-Adresse stammten. Er bat den Systemadministrator um Hilfe, und dieser dachte wie stets nicht lange nach und stellte das System aus der Kopie wieder her.
Nach ein paar Tagen funktionierte die Datenbank noch immer nicht stabil, die Anwender beklagten sich weiterhin. Die vom Systemadministrator durchgeführte Analyse eines verdächtigen PCs ergab weder Hinweise auf Viren, noch auf Dritt-Software oder Veränderungen in der Konfiguration. Ein Gespräch zwischen dem Systemadministrator und den Anwendern, die in letzter Zeit an dem Computer gearbeitet hatten, brachte auch kein Ergebnis – keinem von ihnen war bei der Arbeit mit dem System etwas Besonderes aufgefallen.

Später informierte der DB-Administrator den Systemadministrator darüber, dass die Fehlerquellen zugenommen hätten: Nun hingen an verschiedenen Tagen die Fehler mit unterschiedlichen IP-Adressen zusammen. Daraufhin aktivierte der Systemadministrator die detaillierte Protokollierung von Ereignissen auf allen Systemen. Und dann, eines Tages, wurde im Bericht eines Systems ein Eintrag über einen Fehler gefunden, aufgrund dessen ein Programm auf dem Laufwerk „F:“ nicht mehr ausgeführt werden konnte. Allerdings war auf allen Computern in diesem Netz nur eine Festplatte, die auf den Systemen mit „C:“ bezeichnet war. Dem Systemadministrator kam der Verdacht, dass einer der befristeten Mitarbeiter vorsätzlich versucht, die Datenbank zu manipulieren, und zwar mit Hilfe von Software, die er auf einem Stick gespeichert hat.

Nachdem die Zeit, in dem die Fehler aufgetreten waren, die IP-Adressen der verdächtigen PCs und die Anwender, die in der entsprechenden Zeit an ihnen gearbeitet hatten, einander gegenüber gestellt worden waren, gelang es den mutmaßlichen Bösewicht zu ermitteln. Später, im Zuge einer „spontanen“ Kontrolle, die während der Arbeitszeit durchgeführt wurde, konnte einer der Studenten überführt werden, aus dessen Computer ein Speicherstick gezogen wurde. Auf dem Datenträger wurden portable Programme gefunden: Disassembler und ein Tool zur Verbindung mit der Datenbank. Der Student erzählte, wie er mit Hilfe des Disassemblers mühelos das Programm zum Ausfüllen von E-Formularen studieren konnte, wie er die in seinem Code geschützten Account-Daten entdeckte, die zur Verbindung mit der Datenbank genutzt wurden. Er berichtete zudem, dass er versucht, es aber nicht geschafft habe, sich Zugang zu der Hauptdatenbank zu verschaffen. Daraufhin beschloss er, mehr persönliche Daten zum Verkauf an Spammer zu kopieren (Namen, Adressen, Telefonnummern, E-Mail-Adressen). Zur Automatisierung dieses Prozesses hatte er ein Skript geschrieben, das in Abständen Daten aus der DB anfragte. Dadurch erklärte sich die hohe Auslastung der DB – und als Folge auch deren Instabilität.
Der Cyberkriminelle hatte bereits riesige Mengen persönlicher Daten an Dritte weitergegeben. Der dem Unternehmen entstandene Schaden wurde als nicht unwesentlich eingeschätzt. Der Student wurde nicht nur gefeuert, sondern auch wegen verbrecherischer Handlungen zur Verantwortung gezogen. Der Leiter der IT-Abteilung und der Systemadministrator erhielten einen Verweis und wurden zudem mit einer materiellen Strafe belegt. Die Leitung des Unternehmens dachte ernsthaft über die Notwendigkeit nach, Spezialisten zur Gewährleistung der Informationssicherheit hinzuzuziehen – im Unternehmen im Allgemeinen und bei dem Verarbeitungsprozess von persönlichen Daten im Speziellen.

Lösung

Obgleich das Unternehmen durchaus Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen hatte, erwiesen sich diese als unzureichend. Man muss dabei unbedingt bedenken, dass diese Maßnahmen nur auf die Abwehr direkter Bedrohungen abzielten, wie etwa das Eindringen eines Cyberkriminellen aus dem abgetrennten Subnetzwerk in das allgemeine Unternehmensnetzwerk.

AlsFolgebliebdasUnternehmengegenüberindirektenBedrohungenangreifbar. Das Abfließen der persönlichen Daten wurde also erst durch das Zusammentreffen mehrerer Faktoren möglich, und zwar: die Möglichkeit, Wechseldatenträger anzuschließen und damit portable Anwendungen zu nutzen, Daten für den Zugriff auf die DB im Programmcode in offener Form zu platzieren und das Fehlen einer Zugriffskontrolle auf persönliche Informationen. Zweifellos besteht nicht immer die Möglichkeit, solche Faktoren auszuschließen, doch ihre Kontrolle macht es eindeutig möglich, das potentielle Risiko zu minimieren.

Gerätekontrolle

Das erste offensichtliche Problem des Unternehmens, in dem es zu dem geschilderten Vorfall kam, liegt in der Verwendung von USB-Geräten durch die Anwender, die sie im Rahmen ihrer Tätigkeit gar nicht brauchten. Ausgehend von dem Sicherheitsrisiko, die die in der Geschichte geschilderte Aufgabe birgt, hätten die befristeten Mitarbeiter lediglich eine Maus, einen Monitor und eine Tastatur gebraucht. Die ideale Lösung in so einem Fall, die ein maximales Sicherheitsniveau gewährleistet, besteht darin, das Computergehäuse zu versiegeln und in einen Metallkasten mit Vorhängeschloss zu stecken (analog zu Bankomaten und öffentlichen Terminals), doch das erschwert eindeutig den Support.

Andererseits lässt sich durch die Programmkontrolle von PC-Geräten – zusammen mit anderen Kontrollmechanismen – das notwendige Schutzniveau gewährleisten. Der Vorteil dieses Ansatzes liegt in seiner Flexibilität: Der Systemadministrator kann die Politiken zentral verwalten, die festlegen, welche Geräte benutzt werden dürfen, von wem und an welchen PCs. Ein weiterer, nicht unwesentlicher Vorteil der Programmmethoden liegt in der Protokollierung und dem Audit von Ereignissen. Werden Ermittlungen zu einem Vorfall durchgeführt, so können sich die Informationen über die genutzten Geräte als überaus nützlich erweisen.

Anwendungskontrolle

Wie bereits erwähnt, ist die Kontrolle von Geräten allein nicht ausreichend. Man sollte nicht aus dem Blick verlieren, dass Cyberkriminelle neben USB-Geräten auch Firewire, CD/DVD und Netzgeräte (darunter auch solche, die eine Verbindung zum Internet ermöglichen) oder eine serielle Schnittstelle verwenden können.

Die Anwendungskontrolle ist ein Werkzeug, dass es selbst Laien auf dem Gebiet der Informationssicherheit ermöglicht, das gebotene Sicherheitsniveau zu gewährleisten. Insbesondere bei gefährlichen Ereignissen wäre es ein simples und effektives Mittel, sowohl zum Schutz vor portablen Anwendungen als auch vor Malware, den Start von Anwendungen von Wechseldatenträgern zu blockieren. Überdies ist die Anwendungskontrolle für die Gewährleistung der Sicherheit „isolierter“ Systeme und Netzwerke (Computerklassen) unentbehrlich – der Modus „Default Deny“, oder auch „standardmäßig blockieren“, macht es dem Anwender schlicht unmöglich, irgendwelche Drittsoftware zu starten. Zudem ermöglicht das Ereignis-Audit, das Teil der Anwendungskontrolle ist, eine detaillierte Analyse aller registrierten Vorfälle.

Datenverschlüsselung

Häufig ist es nicht möglich, den Mitarbeitern die Verwendung von Wechseldatenträgern vollständig zu verbieten, besonders dann, wenn sie fester Bestandteil der Geschäftsabläufe sind. InsolchenFällenkanneinGleichgewichtzwischenSicherheitundFlexibilitäthergestelltwerden, indemderSchutzdieserAbläufeselbstgewährleistetwird. Insbesondere durch eine komplette Verschlüsselung der Daten auf den mobilen Datenträgern des Unternehmens kann die Nutzung dieser Datenträger außerhalb des Unternehmensnetzwerks verhindert werden – Schreiben und Lesen kann ausschließlich auf den Arbeitsrechnern erfolgen, während alle übrigen Geräte mit Hilfe der Gerätekontrolle verboten werden können. So kann die Verschlüsselung von externen Festplatten und Festplatten nicht nur das Risiko eines zufälligen Datenlecks (durch Verlust des Datenträgers), sondern auch das des vorsätzlichen Diebstahls minimieren.

Sicherheits-Policies

Dem aufmerksamen Leser wird nicht entgangen sein, dass das Hauptproblem in der geschilderten Geschichte in der schlechten Organisation liegt: Der Systemadministrator war für die Informationssicherheit verantwortlich; es wurde nicht überprüft, ob das entwickelte Programm mit den Sicherheitsstandards vereinbar ist; Regelungen für die Bearbeitung von Sicherheitsvorfällen fehlten und vieles mehr.

Der Vorfall, der sich in dem Unternehmen zugetragen hat, hat gezeigt, dass die vom Systemadministrator ergriffenen Sicherheitsmaßnahmen nicht nur gegenüber indirekten Bedrohungen ineffizient waren, sondern auch ein falsches Gefühl von Sicherheit vermittelt haben. In großen Unternehmen arbeiten die Mitarbeiter der Abteilung Informationssicherheit nicht nur administrative Sicherheitspolitiken aus, sondern auch konkrete Empfehlungen für die Systemadministratoren (bezüglich der Konfiguration der Unternehmensserver und Workstations), für die Programmentwickler (Anforderungen an die Software vom Standpunkt der Informationssicherheit) und für die Personalabteilung (Einstellungs- und Entlassungskriterien) und mehr.

In kleineren Firmen müssen die Systemadministratoren diese Aufgaben selbständig lösen, was sich zweifellos auf die Effektivität der Informationssicherheit des Unternehmens auswirkt. Wenn keine Ressourcen für eine vollwertige Abteilung „Informationssicherheit“ vorhanden sind, sollte der Fokus auf der Automatisierung der Kontrollprozesse und des Audits der Informationssicherheit liegen. Bei der Auswahl dieser oder jener Software sollten unbedingt die gesamten Betriebskosten bedacht werden, d.h. die Anschaffungskosten sowie die Kosten für Inbetriebnahme und Bedienung, da häufig nur Experten mit einer gewissen Ausbildung in der Lage sind, komplexe Schutzsysteme effektiv zu nutzen.

Fazit

Das Erscheinen von portablen Anwendungen hat das Leben der Nutzer deutlich erleichtert: Man hat beliebige Anwendungen stets bei der Hand, und zwar zu jeder Zeit und an jedem Ort. Zugleich erschwert diese Mobilität allerdings die Gewährleistung der Sicherheit, insbesondere in Bezug auf die Programmkontrolle und die Untersuchung von Sicherheitsvorfällen.

Die Moral aus der oben beschriebenen Geschichte ist simpel: Vernachlässigt ein Unternehmen die Informationssicherheit, so untergräbt es nicht nur seine eigenen Geschäfte, sondern kann zudem seinen Kunden ernsthafte Probleme bereiten. Genau aus diesem Grunde sind Organisationen, die Daten medizinischer und finanzieller Art sowie andere persönliche Daten speichern und bearbeiten, in vielen Ländern per Gesetz dazu verpflichtet, internationale Sicherheitsstandards zu erfüllen, wie z.B. HIPAA, PCI DSS und viele andere. Denn es geht hier doch darum, dass die Unternehmen für die Sicherheit der persönlichen Daten ihrer Kunden die Verantwortung tragen und dabei deren Vertraulichkeit, Verfügbarkeit und Vollständigkeit wahren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.