Logo und Schriftzug Karsten Ritz DV-Beratungen
Karsten Ritz





Sonstiges | Veröffentlichungen

IT-Sicherheit im Unternehmen: PRISM, Tempora, XKeyscore & Co - alles Hysterie?

Kundeninfo 08/13

Was können Unternehmen tun, um sich vor Ausspähung von Daten zu schützen? Sind Sie bereit, das zu tun, was notwendig ist und die Konsequenzen dafür zu tragen? Welche Handlungsalternativen gibt es?

Vorratsdatenspeicherung zur Terrorbekämpfung und dumme Terroristen

Nach den Anschlägen auf das World Trade Center im September 2001 (Wikipedia: Terroranschläge vom 11. September 2001) wurden durch staatliche Stellen zunehmend weltweit die Menschenrechte beschnitten. Speziell wird der Schutz der Privatsphäre (Wikipedia: Privatsphäre) durch die Speicherung von personenbezogenen Daten, ohne daß die Daten aktuell benötigt werden (Wikipedia: Vorratsdatenspeicherung), untergraben. Begründung: Terrorismusbekämpfung

Sie haben eine Problemstellung?
Lassen Sie es mich wissen!
Klicken Sie auf den Link und geben Sie mir die Rahmeninformationen zu Ihrem Projekt. Sie erhalten einen unverbindlichen Vorschlag für das weitere Vorgehen.
Foto Karsten Ritz

Die Frage, die sich nicht nur mir stellt, lautet: Welche Terroristen wird man mit dieser Vorgehensweise dingfest machen? Die intelligenten Terroristen, die sich mit aktuellen Technologien beschäftigen, gut ausgebildet sind und das Internet als Routinewerkzeug benutzen und sich mit Verschlüsselung und Anonymisierung (siehe unten) beschäftigen oder eher die dummen Terroristen, die moderne Technologien für Neuland halten, die Mechanismen des Internets nicht überblicken und es nicht schaffen, ihre Daten und ihre Kommunikation für Straftaten zu verbergen?

Ich würde auf die zweite Gruppe tippen. Und damit ist aus meiner Sicht die Vorratsdatenspeicherung und die Ausspähung von Daten durch in- und ausländische Dienste für die Terrorbekämpfung eher wertlos und als Vorwand einzustufen.

Hier zwei schöne Artikel dazu:

Und wer der Meinung ist, daß er nichts zu verbergen hat, empfehle ich die Lektüre des folgenden Artikels (und des eingebetteten Videos mit dem Bundesdatenschutzbeauftragten Peter Schaar "Der Rechtsstaat ist nicht in Gefahr durch den internationalen Terrorismus, er kann sich allenfalls selbst in Gefahr bringen."): WDR Blog: "Ich habe ja nichts zu verbergen!"

Hohes Sicherheitsniveau, einfache Handhabung und niedriges Budget: Wählen Sie zwei davon!

Soweit zu den Datenschutzbedürfnissen von uns allen. Neben Privatpersonen trifft die Vorratsdatenspeicherung und das Ausspähen von Daten aber auch Unternehmen und deren Mitarbeiter, was in der öffentlichen Berichterstattung nicht an erster Stelle steht. Ab und zu wird mal das Wort "Wirtschaftsspionage" in die Diskussion geworfen.

Unternehmen müssen für eine sichere IT sorgen (Vertraulichkeit, Verfügbarkeit und Integrität von Daten, siehe IT-Sicherheitsmanagement). Welche Aspekte dabei im Vordergrund stehen, hängt von der formulierten IT-Strategie ab (siehe DV-Konzeption), die idealerweise von der Unternehmensstrategie abgeleitet ist. Die IT-Strategie hat dann z.B. direkten Einfluß darauf, ob zugunsten der Verfügbarkeit von Daten (Nutzung von hochverfügbaren externen Rechenzentren, Cloud Computing) die Vertraulichkeit abgesenkt wird (Tolerierung der Ausspähung von Daten durch ausländische Geheimdienste).

Zudem gilt es, im konkreten Fall in Übereinstimmung mit der IT-Strategie eine Balance zu finden zwischen einem hohen Sicherheitsniveau, einfacher Handhabung und einem niedrigen Budget. Alle drei Ziele wird man nicht voll erreichen können, sondern nur zwei zur Zeit:

  • hohes Sicherheitsniveau und einfache Handhabung: hohes Budget
  • hohes Sicherheitsniveau und niedriges Budget: komplizierte Handhabung
  • einfache Handhabung und niedriges Budget: geringes Sicherheitsniveau

Verschlüsselung: Was soll verschlüsselt werden mit welchem Zweck?

Es gibt gute Gründe dafür, Daten und Kommunikation zu verschlüsseln: Wikipedia: Verschlüsselung

Verschlüsselung muß aber nicht immer gut sein. Beispiel: Ein Computervirus in einer verschlüsselten E-Mail passiert alle Firewalls und Virenscanner im Unternehmen, wird am Arbeitsplatz eines Mitarbeiters regulär entschlüsselt und hat dann nur noch die Hürde, die Sicherheitsmechanismen des mehr oder weniger gut gewarteten Endgerätes zu überwinden (siehe nächster Punkt: "Angriffspunkt: Endgerät").

Eine wirksame Verschlüsselung kann ebenso die Nutzung von Volltextsuchmechanismen wertlos machen. Verschlüsselte Daten können eventuell nicht automatisch durchsucht werden. Um in einem großen Datenbestand Informationen zu finden, muß der Benutzer also die Daten manuell durchsuchen. Das kostet Zeit und es besteht die Gefahr, daß Daten in einem großen schwarzen Loch verschwinden, in dem man auf gut Glück herumstochert.

Es sollte also definiert werden, welche Daten aus welchem Grund mit welchem Vertraulichkeitsanspruch verschlüsselt werden sollen, was übrigens auch wieder Einfluß auf das Zielsystem "Hohes Sicherheitsniveau, einfache Handhabung und niedriges Budget: Wählen Sie zwei davon!" hat; siehe oben):

  • E-Mails, Telefonate, Video, Instant Massaging
  • Dateien
  • Dateisysteme oder komplette Festplatten
  • Sicherungsmedien (Bänder, CDs/DVDs, USB-Geräte)
  • Datenverkehr zwischen Systemen
  • Datenverkehr zwischen Standorten/Außenbüros
  • Datenverkehr zwischen Unternehmen und externen Rechenzentren
Screenshot TrueCrypt

Falls Sie jetzt sagen "Rechenzentren kommen für mich nicht in Frage":

  • Betreiben Sie Ihren E-Mail-Server selber auf Systemen in Ihrem Unternehmen?
  • Betreiben Sie Ihren WWW-Auftritt selber auf Systemen in Ihrem Unternehmen?
  • Nutzen Sie Social Media/ Web 2.0-Angebote?
  • Haben Sie Smartphones im Einsatz, die sich Apps aus einem App-Store herunterladen?
  • Nutzen Sie automatische Update-Mechanismen Ihrer Betriebssysteme?

Wenn Sie mindestens eine Frage mit Ja beantworten, dann nutzen Sie bereits externe Rechenzentren oder "die Cloud".

Angriffspunkt: Endgerät

Wenn Kommunikationsdaten zwischen Systemen verschlüsselt werden, dann können Sie auf dem Weg vom Sender zum Empfänger zwar nicht mehr ausgespäht werden, allerdings bringt das nichts, wenn der Sender oder der Empfänger sicherheitsmäßig kompromittiert ist und die Daten lokal entschlüsselt vorliegen und ausgespäht oder manipuliert werden können.

Während Server meistens relativ gut abgesichert sind, werden Endgeräte häufig vernachlässigt. Die Einbindung von mobilen Geräten (Smartphones, Tablets, Notebooks, die außerhalb des Firmennetzwerks benutzt werden) verschärft das Problem.

Auch für Endgeräte (für Server selbstverständlich ebenfalls) sollte gelten:

  • Arbeiten mit minimalen Rechten (keine Administrationsrechte für die tägliche Arbeit, bei Schädlingsbefall arbeitet der Schädling ansonsten regelmäßig mit vollen Rechten über das gesamte System)
  • lokale Administrationsrechte nur für Benutzer, die entsprechend geschult sind (Benutzung nur, wenn explizit die Notwendigkeit gegeben ist und die Folgen abgeschätzt werden können, Trennung von „normalem“ Benutzerkonto für die tägliche Arbeit und eines separaten Administrationskontos)
  • Einsatz von Virenscannern mit ständig aktualisierten Virensignaturen (zur Abwehr von Angriffen)
  • regelmäßiges Einspielen von Updates und Patches des Betriebssystems sowie von Programmen von anderen Herstellern (nicht behobene Sicherheitslücken werden von Angreifern ausgenutzt)

Um diese Anforderungen an Endgeräte (als auch Server) zu realisieren und sie (auch standortübergreifend) zentral zu managen, biete ich CheckIS Monitoring an:

  • "Gesundheitsprüfung" 24x7
  • automatisierte Schwachstellenanalyse
  • Patch- und Updatemanagement
  • Antivirus
  • Fernwartung
  • Online-Backup
  • automatische Konsolidierung mehrerer Standorte
  • Alarmierung per E-Mail oder SMS bei Problemen
  • umfangreiches Reporting per E-Mail und Webinterface
Logo CheckIS

Zur Integritätsprüfung von Dateisystemen, Datenbanken und sonstigen IT-Systemen steht CheckIS Integrity zur Verfügung (http://www.checkis.de)

Anonym im Internet: TOR

Wenn wir mit unserem Arbeitsplatz-PC oder Notebook im Internet surfen, dann geben wir viele Informationen preis (IP-Adresse, Kopfdaten der Verbindungen, über Cookies die Möglichkeit, Bewegungsprofile zu erstellen, über Javascript das Auslesen von Eigenschaften des Browsers).

Manchmal gibt es die Anforderung, diese Informationen nicht preis zu geben. Das kann eine versteckte Wettbewerbsanalyse oder die Übermittlung von verdeckten Informationen sein. Vielleicht bewegen Sie sich mit Ihrem Notebook auch im In- oder Ausland in einer nicht vertrauenswürdigen Umgebung, müssen aber trotzdem vertraulich kommunizieren.

Mit Hilfe von TOR (The Onion Router http://www.torproject.org) kann erreicht werden, sich vollständig anonym im Internet zu bewegen.

TOR kann auf Ihrem System installiert werden. Ich bevorzuge allerdings die Variante, das System von einer Live-DVD zu starten und somit isoliert von der "normalen" Arbeitsumgebung zu sein. Bei Fehlern bei der Einrichtung von TOR ist die Gefahr der Kompromittierung der Anonymität somit nicht so hoch wie bei einer Installation in der normalen Arbeitsumgebung.

Ein Szenario wäre auch, nur die Live-DVD oder einen USB-Stick bei sich zu haben (oder bei Bedarf herunterzuladen+zu brennen) und dann in einer fremden Umgebung ein fremdes System damit zu starten und eine nicht verfolgbare Verbindung z.B. mit seinem regulären E-Mail-Konto (oder einer geheimen Identität) herzustellen.

Logo TOR








Bei Bedarf stehe ich gerne für eine Demonstration der in dieser Kundeninfo aufgeführten Technologien oder für die Diskussion der Themen dieses Newsletters zur Verfügung. Nehmen Sie Kontakt auf über das Feedback-Formular, schreiben Sie mir eine E-Mail (info@ritz-dv.de) oder rufen Sie mich an (04193 / 7590 - 0)!

Karsten Ritz

 

Startseite    Inhaltsverzeichnis    Referenzprojekte    Kontakt    Impressum

Systemanalyse    DV-Konzeption    Controlling    Systementwicklung    Internet/Intranet    Schulungen