18.06.2014

Datensicherheit: Quo vadis?

Im vergangenen Thema des Monats hatten wir dargelegt, dass und weshalb die Sicherheit in der IT auf dem Vertrauensprinzip beruht – zumindest bezüglich der organisatorischen Aspekte. Werfen wir in diesem Monat einen Blick auf die Techniken – und stellen die Frage, ob und wie wir die Datensicherheit optimieren können.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Datensicherheit

Rufen wir uns noch einmal das Heartbleed-Desaster um den Programmiererfehler in einigen Versionen der Open-Source-Verschlüsselungsbibliothek OpenSSL hervor:

  • Es war kein Programm-, sondern ein Programmierfehler.
  • Es betraf tatsächlich nur einige, mitnichten sämtliche Versionen dieser Software.  

Kurioserweise ist die Verschlüsselungs-Software OpenSSL, die von dem Bug betroffen war, zwar auf sicherlich fast allen IT-Systemen bereits genutzt worden, aber dem Durchschnitts-User gar nicht geläufig. Und selbst gestandene Administratoren zucken mitunter mit den Schultern, wenn sie erklären sollen, wie die Technik, die auch von (Open)SSL genutzt wird, funktioniert. Es funktioniert eben – oder eben auch nicht, wie unlängst geschehen. Dabei war die Verschlüsselung an sich nicht beeinträchtigt – aber es stand tückischerweise ein Hintertürchen offen.  

OpenSSL ist der Quasi-Standard zur Verschlüsselung von Client-Server-Verbindungen im Internet. Dies deswegen, weil er die meistgenutzte Technik für Verschlüsselungen in den ebenfalls meist genutzten Serveranwendungen ist: Namentlich die Webserversysteme Apache, NGinx, aber auch Mailserver beziehungsweise jeweils deren SSL-Implementierungen.  

Und da bleibt dann eigentlich nicht mehr viel an Sonstigem übrig. In einer Auflistung nennt die Welt Yahoo, Google, Dropbox, die allesamt unter dem Heartbleed-Effekt zu leiden hatten: «Yahoo war definitiv betroffen, Google ebenfalls, auch Facebook musste seine Software updaten.» (Quelle: www.welt.de)  

Als weiterer betroffener Dienst wurde Tumblr genannt: «Dies könnte ein guter Tag sein, um sich krank zu melden und sich die Zeit zu nehmen, überall sein Passwort zu ändern, insbesondere bei sicherheitsrelevanten Diensten wie E-Mail, Cloud-Speichern und Banking», kommentieren die Sicherheitsexperten von Tumblr in einem Blogbeitrag.» (zit. n. ebd.)

Auch VPNs betroffen

OpenSSL wird nicht nur von öffentlich im Internet verfügbaren Diensten wie Web, Mail, Webshops und Online-Banking genutzt, es ist auch Bestandteil diverser VPN-Implementationen. Diese virtuellen privaten Netzwerke sorgen ja für eine Verschlüsselung der Daten zwischen IT-Systemen, indem sie diese in eine Art abgetrenntem (daher virtuell privatem) Netzwerk tunneln. Allerdings spielt hier nicht nur die Kryptographie – also die Unkenntlichmachung durch eine Verschlüsselung – eine Rolle, auch die Aspekte der Authentifizierung (wie weisen die Kommunikationspartner nach, dass sie die richtigen sind?) und der Integrität der Daten (sind die Datenpakete während der Übertragung unversehrt geblieben?) spielen eine wichtige Rolle. Wir haben dazu bereits in anderen Beiträgen ausführlich berichtet. Dennoch – der Heartbleed-Bug hat natürlich auch in VPN-Szenarien potenziell Lücken in diese eigentlich sehr sichere Technik gerissen.  

Um Sie als Nutzer solcher Dienste ein wenig zu beruhigen: Heartbleed bietet eine direkte Möglichkeit für das Anzapfen von Informationen zuerst einmal nur für Server, die ihre Dienste an offenen Ports im Internet darbieten – das trifft für Ihre Clientsysteme (PC, Laptop, Smartphone) eher nicht zu. Ansonsten reicht ein einfacher Portscan aus dem Internet auf Ihr System – einen solchen finden Sie beispielsweise unter: www.dnstools.ch

Angriffe kommen von aussen, werden aber lokal initiiert

Ein solcher Test bietet aber nur eine trügerische Datensicherheit. Der Witz an der Sache ist, dass die meisten Systeme heutzutage ohnehin über Router ins Internet gehen – und spätestens an dieser Einfallspforte ins Internet wird ein Verbindungsversuch von Aussen geblockt respektive nicht an Ihr lokales System weitergeleitet. Im Zweifelsfall fragen Sie Ihren Administrator oder schauen auf Ihrem eigenen (DSL-)Router nach, ob Portweiterleitungen, Redirects oder wie immer sie heissen, eingerichtet sind. Falls dem so ist, sollten Sie aber auch wissen, warum Sie es tun und die Systeme entsprechend sorgfältig absichern und im Auge behalten. In grösseren Netzwerken oder im Internetcafé ist die Wahrscheinlichkeit, dass jemand auf Ihr System zuzugreifen versucht, zudem gewiss grösser. Heutzutage bieten aber die gängigen Betriebssysteme – Windows 7/8, Mac OS X, Linux – von Haus aus wenige Schwachstellen in Form offener Dienste. Achten Sie trotzdem darauf, dass beispielsweise Freigaben, lokaler Webserver oder ssh-Port nicht offen stehen, sofern Sie nicht gute Gründe dafür haben. Und denken Sie daran, dass die meisten Angriffe auf Ihr System ohnehin durch unbedarfte Klicks auf Links, die zu Malware führen, oder auf die lokal vorhandene Schadsoftware selber ausgelöst werden.  

Und eine weitere Schlussfolgerung muss getroffen werden: «Seit 2013 ist (…) bekannt, dass die Geheimdienste praktisch den gesamten Internet-Datenverkehr ausspionieren», stellen Dominique Petersen und Norbert Pohlmann in einem Beitrag für die Zeitschrift iX in der Ausgabe 5/2014 fest. Und weiter: «US-Geheimdienste und die Standardisierungsbehörde NIST haben dazu beigetragen, eigentlich sichere Kryptoverfahren zu unterminieren und die Anwender in trügerischer Sicherheit zu wiegen.»

Was tun für optimale Datensicherheit?

Das kommt darauf an, auf welcher Seite Sie nach Bekanntwerden des Heartbleed-Bugs gestanden haben. Während ein Heartbleed-Angriff auf einen Server ziemlich trivial durchzuführen ist – es handelt sich ja streng genommen auch weniger um einen Angriff als um das Ausnutzen einer bestehenden Lücke, um an Informationen zu gelangen, – müsste bei einem Client schon eine der berüchtigten Man-in-the-Middle-Attacke durchgeführt oder das Opfer dazu gebracht werden, sich mit einem manipulierten Server zu verbinden, um sich dann in den Datenstrom einzuklinken.  

«Während Anwender in Bezug auf die hochkritische Sicherheitslücke bei der von vielen Webservices genutzten Verschlüsselungssoftware OpenSSL relativ wenig tun können, gehen viele Dienstbetreiber und Startups sowie ihre Teams bis an äusserste ihrer Kräfte», konstatierte denn auch die Webseite netzwertig.com nach Bekanntwerden des Heartbleed-Bugs. (Quelle: www.netzwertig.com

Zuerst einmal mussten also die Administratoren der betroffenen Server ihre Hausaufgaben machen. Solange der Bug dort nicht behoben ist, nützt das hektische Ändern von Passwörtern gar nichts – auch diese geänderten Credentials könnten ja solange ausgelesen werden, bis die Sicherheitslücke beseitigt ist. Inzwischen sollten aber alle relevanten Systeme aktualisiert worden sein – teilweise mussten die zuständigen Administratoren und Betreiber von Servern dazu Nachtschichten fahren, es galt, schnell zu handeln. Wie so ein Praxis-Stresstest für IT-Administratoren aussehen konnte, ist sehr anschaulich hier geschildert: www.medium.com  

Wollen Sie selber einmal Ihr System auf Datensicherheit testen, gibt es dazu diverse Online-Dienste wie z.B. diesen: Heartbleed-Test  

Sollten Sie bei einem Test eines Ihrer Systeme ebenfalls buchstäblich Rot sehen, müssen Sie oder Ihre EDV – im Schnelldurchlauf genannt – diese Massnahmen für die Datensicherheit abarbeiten:

  • Jeglichen Datenaustausch zwischen Clients und Servern stoppen, gegebenenfalls den Server neu starten.
  • Die Lücke eliminierende OpenSSL-Update installieren.
  • Die SSL-Zertifikate erneuern.
  • Die Zugangsdaten der User neu anlegen und eingeben lassen.

User sind gefragt: Datensparsamkeit und sichere Passwörter für Datensicherheit!

Im nächsten Schritt sind aber die Nutzer gefragt, ihre Passwörter zu erneuern. Sollten Sie Ihre Passwörter nicht ohnehin periodisch ändern, zur besseren Datensicherheit, nun ist die Gelegenheit und Notwendigkeit zum Ändern des Passworts gekommen. Einige Onlinedienste wie SoundCloud loggten ihre User ohnehin schon einmal zwangsweise aus dem System aus, bis der Heartbleed-Bug beseitigt war.  

Falls Sie ein Standard-Passwort für alle möglichen Logins verwenden, ist die Gefahr natürlich gross, dass ein an anderer Stelle gesnifftes bzw. ausgelesenes Passwort für einen unerwünschten Login an unvermuteter Stelle missbraucht wird.

Hier gilt aber für die Schwachstelle, die der Heartbleed-Bug offengelegt hat, dasselbe wie für alle Schritte, die Sie im Internet tun:

  • Seien Sie sensibel mit Ihren Daten.
  • Seien Sie wachsam beim Aufruf von Serverdiensten.
  • Ändern Sie regelmässig Ihre Passwörter!  

Im oben zitierten Beitrag der Zeitschrift iX heisst es: «Der allumfassenden Überwachung können (…) Anwender nur mit sorgfältiger Datensparsamkeit (Stichwort: keine unbedarfte Preisgabe von Informationen im Netz, vor allem in den sozialen Medien; Anm. Autor Lars Behrens), konsequenter Nutzung lokaler Dienste (Stichwort: Nutzung eigener Server, lokale Cloud) und sicherer Verschlüsselung aller (…) Daten entgehen.»

MaLiWi IT

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 22. November 2018

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Personaldaten datenschutzgerecht verwalten

    Personaldaten datenschutzgerecht verwalten

    So gewährleisten Sie einen praxisgerechten und rechtssicheren Umgang mit Arbeitnehmerdaten!

    Mehr Infos

  • Datenschutz PRAXIS

    Datenschutz PRAXIS

    Das Fachmagazin für Datenschutzbeauftragte.

    Mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos