Praktische IT-Sicherheit 2011
Auf dem Weg zur sicheren Cloud
am 14.09 - 15.09.2011, FIDUCIA IT AG in Karlsruhe"Rheinlandtreffen 2011"
Fraunhofer INT
Aktuelles
Vielen Dank für Ihre Teilnahme an der
Das Organisationskomitee bedankt sich bei allen Teilnehmern der diesjährigen Konferenz für das zahlreiche Erscheinen. Anregungen für Themen der nächsten Konferenz 2012 nehmen wir gerne entgegen.
Von Gerhard Weck
Am 14. und 15.9.2011 fand in Karlsruhe die 21. Tagung "Praktische IT-Sicherheit", früher bekannt unter dem Namen "Rheinlandtreffen", bei der Fiducia IT AG statt. Wie in früheren Jahren, so wurde auch dieses Mal ein breites Themenspektrum technischer und nicht-technischer Aspekte der IT-Sicherheit behandelt, wobei der Schwerpunkt in diesem Jahr auf den Chancen und Risiken lag, die sich durch die Nutzung von Cloud Computing ergeben. Daneben wurden spezifische Probleme besprochen, die sich in der heutigen komplexen IT-Landschaft durch gemeinsame Nutzung lokaler und verteilter Systeme ergeben, die sehr oft mit einem ausschließlichen Blick auf ihre Funktionalität, jedoch ohne Berücksichtigung von Sicherheitsaspekten entworfen und genutzt werden.
Nach einleitenden Grußworten von Dr. Peter Federer, dem Geschäftsführer der Gesellschaft für Informatik (GI), die diese Veranstaltung mit organisiert hat, stellte Carsten Pfläging, einer der Geschäftsführer der Fiducia IT AG, das Unternehmen des Gastgebers vor, eines der zehn führenden IT-Anbieter für Finanzdienstleister und IT-Competence Center, das neben integrierten Lösungen auch umfangreiche Rechenzentrumsdienstleistungen anbietet. Anschließend wurden in den Fachvorträgen die aktuellen Themen der IT-Sicherheit behandelt, die dieses Jahr im Zentrum der Konferenz standen.
So erfordert der tägliche Betrieb der IT eine Vielzahl administrativer Vorgänge der unterschiedlichsten Art, die meist auf mehrere System- und Netzverwalter verteilt sind. Dabei werden häufig funktionale, nicht personenbezogene Benutzerkonten verwendet, um sicherheitskritische Operationen durchzuführen. Während dies manchmal aus Bequemlichkeit geschieht, erzwingt die verwendete Software leider in vielen Fällen die Verwendung solcher vorgegebener Benutzerkonten wie Root, Admin, SAP*, Backup o.ä. Damit die administrativen Operationen durchgeführt werden können, müssen diese Benutzerkonten über eine Vielzahl von Funktions- und Zugriffsrechten verfügen - aber ihre Anonymität macht es oft schwierig bis unmöglich, im Nachhinein festzustellen, wer diese Konten zu einem bestimmten Zeitpunkt genutzt hat. In seinem Vortrag "Wer war Root? Kontrollierte Nutzung privilegierter Accounts" stellte Christian Götz von der Firma Cyber-Ark vor, an welchen Stellen in bestehende Software eingegriffen werden kann, um kontrollierte und nachvollziehbare privilegierte Zugriffe zu ermöglichen. Neben einer zentralen Speicherung der Passwörter dieser privilegierten Konten ist eine umfangreiche Protokollierung ihrer Nutzung erforderlich, was insbesondere dann schwierig wird, wenn diese Passwörter oder der Verweis auf sie in Anwendungen eincodiert sind.
Zu derartigen lokalen Problemen kommt üblicherweise noch die Gefährdung durch Zugriffe auf fremde Ressourcen, insbesondere bei Nutzung von Webdiensten, hinzu. Nicht nur der freiwillige Zugriff auf einen "bösartigen" Webserver stellt ein Risiko dar, sondern gängige Angriffe kompromittieren nur zu oft schlecht geschützte oder schlampig programmierte Server, die dann anschließend den Benutzer, ohne dass dieser es merkt, auf andere, gefährliche Server umlenken. Von dort wird dann versucht, Schadsoftware wie Viren oder Trojaner auf dem Rechner des Benutzers abzuladen, bis hin zur kompletten Kontrolle dieses Rechners. Die geringe Sicherheit heutiger Browser und Betriebssysteme macht es dem Angreifer dann leicht, gravierende Schäden bis hin zur Verseuchung eines ganzen Netzes zu verursachen. Diese Angriffe laufen jedoch ins Leere, wenn der Browser auf einem besonders gehärteten Betriebssystem läuft und dem Benutzer nur die graphische Oberfläche der Browserausgabe darstellt. Dies ist das Konzept von ReCoBS (Remote-Controlled Browser Systems), das Roman Maczkowsky von der Firma M-Privacy in seinem Vortrag "Konzept zum sicheren Websurfen bei normalem bis hohem Schutzbedarf" vorstellte. Ein externer Angreifer kann nur versuchen, das speziell abgesicherte ReCoB-System, auf dem der Browser läuft, zu kompromittieren, doch gibt es dort keine Benutzerdaten. Auf dem PC des Benutzers, der das eigentliche Angriffsziel darstellt, läuft nur eine Anzeige-Software, die eine zu geringe Funktionalität besitzt, um Schäden durch den Angriff zu ermöglichen. Hat man dann noch den ReCoB-Server in einer eigenen DMZ isoliert, werden so externe, Browser-basierte Angriffe wirksam abgewehrt.
An diese Überlegungen schließt sich nahtlos die Frage an, inwieweit Firewalls heute tatsächlich noch Schutz bieten können, da viele Anwendungen, um auch über die durch Firewalls gesetzten Grenzen hinweg zu funktionieren, ihren Datenverkehr über HTTP oder HTTPS abwickeln. Diese Protokolle müssen praktisch immer durch die Firewall durchgelassen werden, wenn man den Internet-Zugriff sinnvoll nutzen will. Durch ei derartiges Tunneling werden dann aber völlig andere Protokolle, wie beispielsweise Skype für Internet-Telefonie, durch die Firewall geleitet, die dies aber für normalen Webverkehr hält und im Falle von HTTPS auch keine Chance der Analyse hat. Christian Etzold von der Firma PaloAlto-Networks stellte in seinem Vortrag "Neueste Generation von Firewalls" einen neuen Ansatz vor, in dem das Firewall-System anhand vordefinierte Signaturen in Realzeit erkennt, welche Anwendung für einen bestimmten Datenstrom verantwortlich ist. Bei Bereitstellung geeigneter Zertifikate, die von den Rechnern der Benutzer als vertrauenswürdig akzeptiert werden, kann sich das Firewall-System sogar als Proxy in einen SSL-Transfer einklinken und den Datenstrom ent- und wieder verschlüsseln, so dass also auch HTTPS analysiert werden kann.
Alle technische Sicherheit nützt nichts, wenn sie planlos und unvollständig eingesetzt wird. Die Sicherheitsnorm ISO/IEC 27001 definiert die Struktur eines Information Security Management Systems (ISMS), das eine möglichst umfassende Abdeckung aller wesentlichen Aspekte der IT-Sicherheit versucht. Dies kann nur funktionieren, wenn alle beteiligten Organisationseinheiten mitspielen, und dafür muss man sie zunächst einmal gewinnen. In ihrem Vortrag "Einführung des ISO 27001 Standards - Erfahrungen und Stolpersteine. Ein Machiavelli für Informationssicherheitsbeauftragte" stellte Susanne Ginschel von der Firma Controlware GmbH vor, wie man die Managementstrukturen der ISO/IEC 2701 möglichst effektiv und reibungslos aufbauen kann. Dabei stützte sie sich auf die Empfehlungen von Niccolò Machiavelli, der als Pragmatiker eine verwertbare Anleitung zum Erhalt des Staates sowie zur Machterreichung und zum Machterhalt gegeben hat, die sich in ihren Grundzügen ebenso verwenden lässt, um der IT-Sicherheit das Fundament zu geben, die sie für ihre Überleben in einem Unternehmen oder einer Behörde braucht. Nur wenn die IT-Sicherheit die Nähe zur Informationsverarbeitung sucht, Schutzbedarf, Schwachstellen und Risiken kennt und auf dieser Basis akzeptable Maßnahmen einführt, die einen erkennbaren praktischen Nutzen erbringen, kann sie erfolgreich sein.
Auf Legacy-Systemen (Mainframes und Timesharing-Servern) werden routinemäßig unterschiedlichste Anwendungen parallel verarbeitet, ohne dass unerwünschte Informationsflüsse zwischen diesen Anwendungen auftreten. Heutige Serversysteme sind dagegen nicht mehr in der Lage, eine derartige sichere zu Trennung gewährleisten, weil sie eine Vielzahl von Ressourcen allen Anwendungen zur Verfügung stellen, ohne für eine Abschottung zu sorgen. wer jedoch Dienste in der Cloud für verschiedene Kunden anbietet, muss für eine Mandantentrennung sorgen. In seinem Vortrag "Sichere Ausführung von (Betriebssystem-)unabhängigem Code in der Cloud" stellte Dr. Bernhard Fechner von der Universität Augsburg Verfahren vor, wie mit Hilfe von Virtualisierung versucht wird, Anwendungen gegeneinander abzusichern, indem sie auf separaten virtuellen Maschinen ausgeführt werden. Moderne Prozessoren bieten hierfür eigene Techniken an, die jedoch nur über eine begrenzte Wirksamkeit verfügen, weil oft interne Register vorhanden sind, in denen lokaler Programmstatus abgelegt wird. Ein Angreifer kann diese Register zum unzulässigen Austausch von Informationen missbrauchen. Auf dieser Basis dürfte es schwierig bis unmöglich sein, noch Betriebssysteme mit Multi-Level-Security zu bauen, die Informationen unterschiedlicher Sensitivität sicher getrennt halten. Die heute eingesetzte IT ist leider nur noch in der Lage, Schönwetter-Sicherheit zu bieten.
Mit der Verlagerung von Daten und Anwendungen in eine Cloud versuchen vielen Unternehmen, ihre Verantwortung per Outsourcing an Dritte zu übertragen. Je nach dem Schutzbedarf dieser Daten und der rechtlichen Struktur der Cloud - Wer betreibt sie, und welchen Einfluss behält das Unternehmen? - können sich dabei höchst unterschiedliche juristische Situationen ergeben. Prof. Dr. Sabine Wieland von der Hochschule für Telekommunikation Leipzig beleuchtete in ihrem Vortrag "Rechtliche Grundlagen zur Nutzung einer Cloud" die Alternativen und Risiken der Auftragsdatenverarbeitung in der Cloud. Ein wesentlicher Unterschied besteht hier in der Nutzung einer für jeden zugänglichen Public Cloud im Gegensatz zur Private Cloud, die vom Unternehmen selbst betrieben wird und gegen externe Zugriffs geschützt ist (oder zumindest sein sollte). Kompliziertere Strukturen entstehen bei Nutzung einer Community Cloud durch einen Zusammenschluss kooperierender Unternehmen oder einer Hybrid Cloud mit privaten und öffentlichen Anteilen sowie durch die Möglichkeit der Beauftragung von Subunternehmern durch den Anbieter der Cloud-Dienste. Je nach Struktur entstehen unterschiedliche Kosten und Risiken, denen durch eine geeignete Verteilung der Verantwortung zu begegnen ist, wobei auch Fragen der Haftung und der Gewährleistung des Datenschutzes eine wichtige Rolle spielen.
Die Grenzen der eigenen Unternehmens-IT verschwimmen darüber hinaus oft auch durch die Nutzung von Web-2.0-Diensten seitens der eigenen Mitarbeiter. In seinem Vortrag "Web 2.0 - anarchistisches Outsourcing im Unternehmen" stellte Dr. Roland Steidle, MAINFORT Rechtsanwälte (in Zusammenarbeit mit Dr. Ulrich Pordesch von der Fraunhofer-Gesellschaft) dar, welche juristischen Konsequenzen sich aus der Nutzung von Diensten wie Doodle, BSCW, Xing oder Picasa vom Arbeitsplatz aus ergeben. Kritisch ist dabei, dass diese Dienste ihre Daten in der Cloud speichern, oft ohne oder nur mit sehr beschränkter Haftung und ohne Individualvertrag mit Gewährleistung. Hieraus können Vertragsverletzungen und Reputationsschäden entstehen, insbesondere durch unzulässige Verarbeitung oder Weitergabe vertraulicher Firmen- oder Kundendaten. Es kann sogar dazu führen, dass das Unternehmen eigene Rechte an den Cloud-Betreiber abtritt, oft sogar ohne dies zu wissen. Hinzu kommen Risiken durch eine unsichere Dienstgestaltung seitens des Anbieters bis hin zum expliziten Missbrauch durch unseriöse Betreiber. Ehe man seinen Mitarbeitern die Nutzung solcher Dienste am Arbeitsplatz gestattet, muss man daher die Zulässigkeit dieser Nutzung prüfen und klare Richtlinien dafür aufstellen, was erlaubt und was verboten ist.
Einen abschließenden Überblick über die Möglichkeiten der Realisierung von Clouds und ihrer Nutzung gab dann Prof. Dr. Eberhard von Faber von der Firma T-Systems in seinem Vortrag "Cloud-Security: Risikomanagement und Industrialisierung der ICT-Produktion - Sichere Dienste in der Cloud". Das Anbieten von Diensten in der Cloud stellt eine Standardisierung, Modularisierung und Verallgemeinerung der Leistungen der IT dar, die die Betriebsrisiken neu und, je nach Nutzung von Public oder Private Clouds, verschieden verteilt. Dabei ist es durchaus möglich, dass eine sicher betriebene Cloud, deren Nutzung vertraglich gut abgesichert ist, insgesamt ein niedrigeres Risiko aufweist als eine schlecht gewartete, nicht verstandene eigene IT eines kleinen Unternehmens. Zur Diskussion gestellt wurde eine Liste der zukünftig zu erwartenden 5 Top-Risiken:
Dank der guten Unterstützung des diesjährigen Gastgebers konnten die Organisatoren das Rheinlandtreffen wieder ohne Teilnahmegebühr veranstalten. Sie möchten sich bei der Fiducia IT AG als Gastgeber, bei den Referenten, den Firmen und Institutionen, die diese Veranstaltung erst ermöglicht haben, herzlich bedanken und sehen der 22. Tagung im nächsten Jahr schon erwartungsvoll entgegen.
Zielsetzung der Konferenz:
Die Praktische IT-Sicherheit ist eine jährlich seit 1991 in Deutschland stattfindende Industrie- und wissenschaftliche Konferenz zum Thema IT-Sicherheit. Die Ergebnisse der Konferenz (Identifizierte IT-Sicherheits-Fragestellungen und Lösungsansätze) werden zum einen wissenschafts-politisch und zum anderen industrieseitig genutzt. Die wissenschafts-politische Umsetzung erfolgt durch die Fachgruppe Betrieb von Informations- und Kommunikationssystemen (BIK) der Gesellschaft für Informatik (GI). Industrieseitig werden die Ergebnisse durch die Hersteller von IT-Sicherheits Hard- und Software zur Produktverbesserung genutzt.
Ziel dieser Konferenz ist es eine ganzheitliche Sicht auf das Thema IT-Sicherheit zu bieten. Es werden Fragestellungen identifiziert, Lösungsideen aus Wissenschaft und Industrie vorgestellt und auf unterschiedlichen Abstraktionsebenen diskutiert. Dabei werden Erfahrungen und Informationen aus technischer, juristischer und strategischer Sicht ausgetauscht. Im Ergebnis sollen alle am Prozess der IT-Sicherheit Beteiligten einen praktischen Nutzen für ihre Arbeit mitnehmen können.
Vielen Dank für Ihre Teilnahme an der
21. Jahreskonferenz zur praktischen IT-Sicherheit
am 14.09 und 15.09.2011 auf Einladung
der FIDUCIA IT AG in Karlsruhe.
Das Organisationskomitee bedankt sich bei allen Teilnehmern der diesjährigen Konferenz für das zahlreiche Erscheinen. Anregungen für Themen der nächsten Konferenz 2012 nehmen wir gerne entgegen.
Auf dem Weg zur sicheren Cloud - Konferenzbericht
Von Gerhard Weck
Am 14. und 15.9.2011 fand in Karlsruhe die 21. Tagung "Praktische IT-Sicherheit", früher bekannt unter dem Namen "Rheinlandtreffen", bei der Fiducia IT AG statt. Wie in früheren Jahren, so wurde auch dieses Mal ein breites Themenspektrum technischer und nicht-technischer Aspekte der IT-Sicherheit behandelt, wobei der Schwerpunkt in diesem Jahr auf den Chancen und Risiken lag, die sich durch die Nutzung von Cloud Computing ergeben. Daneben wurden spezifische Probleme besprochen, die sich in der heutigen komplexen IT-Landschaft durch gemeinsame Nutzung lokaler und verteilter Systeme ergeben, die sehr oft mit einem ausschließlichen Blick auf ihre Funktionalität, jedoch ohne Berücksichtigung von Sicherheitsaspekten entworfen und genutzt werden.
Nach einleitenden Grußworten von Dr. Peter Federer, dem Geschäftsführer der Gesellschaft für Informatik (GI), die diese Veranstaltung mit organisiert hat, stellte Carsten Pfläging, einer der Geschäftsführer der Fiducia IT AG, das Unternehmen des Gastgebers vor, eines der zehn führenden IT-Anbieter für Finanzdienstleister und IT-Competence Center, das neben integrierten Lösungen auch umfangreiche Rechenzentrumsdienstleistungen anbietet. Anschließend wurden in den Fachvorträgen die aktuellen Themen der IT-Sicherheit behandelt, die dieses Jahr im Zentrum der Konferenz standen.
So erfordert der tägliche Betrieb der IT eine Vielzahl administrativer Vorgänge der unterschiedlichsten Art, die meist auf mehrere System- und Netzverwalter verteilt sind. Dabei werden häufig funktionale, nicht personenbezogene Benutzerkonten verwendet, um sicherheitskritische Operationen durchzuführen. Während dies manchmal aus Bequemlichkeit geschieht, erzwingt die verwendete Software leider in vielen Fällen die Verwendung solcher vorgegebener Benutzerkonten wie Root, Admin, SAP*, Backup o.ä. Damit die administrativen Operationen durchgeführt werden können, müssen diese Benutzerkonten über eine Vielzahl von Funktions- und Zugriffsrechten verfügen - aber ihre Anonymität macht es oft schwierig bis unmöglich, im Nachhinein festzustellen, wer diese Konten zu einem bestimmten Zeitpunkt genutzt hat. In seinem Vortrag "Wer war Root? Kontrollierte Nutzung privilegierter Accounts" stellte Christian Götz von der Firma Cyber-Ark vor, an welchen Stellen in bestehende Software eingegriffen werden kann, um kontrollierte und nachvollziehbare privilegierte Zugriffe zu ermöglichen. Neben einer zentralen Speicherung der Passwörter dieser privilegierten Konten ist eine umfangreiche Protokollierung ihrer Nutzung erforderlich, was insbesondere dann schwierig wird, wenn diese Passwörter oder der Verweis auf sie in Anwendungen eincodiert sind.
Zu derartigen lokalen Problemen kommt üblicherweise noch die Gefährdung durch Zugriffe auf fremde Ressourcen, insbesondere bei Nutzung von Webdiensten, hinzu. Nicht nur der freiwillige Zugriff auf einen "bösartigen" Webserver stellt ein Risiko dar, sondern gängige Angriffe kompromittieren nur zu oft schlecht geschützte oder schlampig programmierte Server, die dann anschließend den Benutzer, ohne dass dieser es merkt, auf andere, gefährliche Server umlenken. Von dort wird dann versucht, Schadsoftware wie Viren oder Trojaner auf dem Rechner des Benutzers abzuladen, bis hin zur kompletten Kontrolle dieses Rechners. Die geringe Sicherheit heutiger Browser und Betriebssysteme macht es dem Angreifer dann leicht, gravierende Schäden bis hin zur Verseuchung eines ganzen Netzes zu verursachen. Diese Angriffe laufen jedoch ins Leere, wenn der Browser auf einem besonders gehärteten Betriebssystem läuft und dem Benutzer nur die graphische Oberfläche der Browserausgabe darstellt. Dies ist das Konzept von ReCoBS (Remote-Controlled Browser Systems), das Roman Maczkowsky von der Firma M-Privacy in seinem Vortrag "Konzept zum sicheren Websurfen bei normalem bis hohem Schutzbedarf" vorstellte. Ein externer Angreifer kann nur versuchen, das speziell abgesicherte ReCoB-System, auf dem der Browser läuft, zu kompromittieren, doch gibt es dort keine Benutzerdaten. Auf dem PC des Benutzers, der das eigentliche Angriffsziel darstellt, läuft nur eine Anzeige-Software, die eine zu geringe Funktionalität besitzt, um Schäden durch den Angriff zu ermöglichen. Hat man dann noch den ReCoB-Server in einer eigenen DMZ isoliert, werden so externe, Browser-basierte Angriffe wirksam abgewehrt.
An diese Überlegungen schließt sich nahtlos die Frage an, inwieweit Firewalls heute tatsächlich noch Schutz bieten können, da viele Anwendungen, um auch über die durch Firewalls gesetzten Grenzen hinweg zu funktionieren, ihren Datenverkehr über HTTP oder HTTPS abwickeln. Diese Protokolle müssen praktisch immer durch die Firewall durchgelassen werden, wenn man den Internet-Zugriff sinnvoll nutzen will. Durch ei derartiges Tunneling werden dann aber völlig andere Protokolle, wie beispielsweise Skype für Internet-Telefonie, durch die Firewall geleitet, die dies aber für normalen Webverkehr hält und im Falle von HTTPS auch keine Chance der Analyse hat. Christian Etzold von der Firma PaloAlto-Networks stellte in seinem Vortrag "Neueste Generation von Firewalls" einen neuen Ansatz vor, in dem das Firewall-System anhand vordefinierte Signaturen in Realzeit erkennt, welche Anwendung für einen bestimmten Datenstrom verantwortlich ist. Bei Bereitstellung geeigneter Zertifikate, die von den Rechnern der Benutzer als vertrauenswürdig akzeptiert werden, kann sich das Firewall-System sogar als Proxy in einen SSL-Transfer einklinken und den Datenstrom ent- und wieder verschlüsseln, so dass also auch HTTPS analysiert werden kann.
Alle technische Sicherheit nützt nichts, wenn sie planlos und unvollständig eingesetzt wird. Die Sicherheitsnorm ISO/IEC 27001 definiert die Struktur eines Information Security Management Systems (ISMS), das eine möglichst umfassende Abdeckung aller wesentlichen Aspekte der IT-Sicherheit versucht. Dies kann nur funktionieren, wenn alle beteiligten Organisationseinheiten mitspielen, und dafür muss man sie zunächst einmal gewinnen. In ihrem Vortrag "Einführung des ISO 27001 Standards - Erfahrungen und Stolpersteine. Ein Machiavelli für Informationssicherheitsbeauftragte" stellte Susanne Ginschel von der Firma Controlware GmbH vor, wie man die Managementstrukturen der ISO/IEC 2701 möglichst effektiv und reibungslos aufbauen kann. Dabei stützte sie sich auf die Empfehlungen von Niccolò Machiavelli, der als Pragmatiker eine verwertbare Anleitung zum Erhalt des Staates sowie zur Machterreichung und zum Machterhalt gegeben hat, die sich in ihren Grundzügen ebenso verwenden lässt, um der IT-Sicherheit das Fundament zu geben, die sie für ihre Überleben in einem Unternehmen oder einer Behörde braucht. Nur wenn die IT-Sicherheit die Nähe zur Informationsverarbeitung sucht, Schutzbedarf, Schwachstellen und Risiken kennt und auf dieser Basis akzeptable Maßnahmen einführt, die einen erkennbaren praktischen Nutzen erbringen, kann sie erfolgreich sein.
Auf Legacy-Systemen (Mainframes und Timesharing-Servern) werden routinemäßig unterschiedlichste Anwendungen parallel verarbeitet, ohne dass unerwünschte Informationsflüsse zwischen diesen Anwendungen auftreten. Heutige Serversysteme sind dagegen nicht mehr in der Lage, eine derartige sichere zu Trennung gewährleisten, weil sie eine Vielzahl von Ressourcen allen Anwendungen zur Verfügung stellen, ohne für eine Abschottung zu sorgen. wer jedoch Dienste in der Cloud für verschiedene Kunden anbietet, muss für eine Mandantentrennung sorgen. In seinem Vortrag "Sichere Ausführung von (Betriebssystem-)unabhängigem Code in der Cloud" stellte Dr. Bernhard Fechner von der Universität Augsburg Verfahren vor, wie mit Hilfe von Virtualisierung versucht wird, Anwendungen gegeneinander abzusichern, indem sie auf separaten virtuellen Maschinen ausgeführt werden. Moderne Prozessoren bieten hierfür eigene Techniken an, die jedoch nur über eine begrenzte Wirksamkeit verfügen, weil oft interne Register vorhanden sind, in denen lokaler Programmstatus abgelegt wird. Ein Angreifer kann diese Register zum unzulässigen Austausch von Informationen missbrauchen. Auf dieser Basis dürfte es schwierig bis unmöglich sein, noch Betriebssysteme mit Multi-Level-Security zu bauen, die Informationen unterschiedlicher Sensitivität sicher getrennt halten. Die heute eingesetzte IT ist leider nur noch in der Lage, Schönwetter-Sicherheit zu bieten.
Mit der Verlagerung von Daten und Anwendungen in eine Cloud versuchen vielen Unternehmen, ihre Verantwortung per Outsourcing an Dritte zu übertragen. Je nach dem Schutzbedarf dieser Daten und der rechtlichen Struktur der Cloud - Wer betreibt sie, und welchen Einfluss behält das Unternehmen? - können sich dabei höchst unterschiedliche juristische Situationen ergeben. Prof. Dr. Sabine Wieland von der Hochschule für Telekommunikation Leipzig beleuchtete in ihrem Vortrag "Rechtliche Grundlagen zur Nutzung einer Cloud" die Alternativen und Risiken der Auftragsdatenverarbeitung in der Cloud. Ein wesentlicher Unterschied besteht hier in der Nutzung einer für jeden zugänglichen Public Cloud im Gegensatz zur Private Cloud, die vom Unternehmen selbst betrieben wird und gegen externe Zugriffs geschützt ist (oder zumindest sein sollte). Kompliziertere Strukturen entstehen bei Nutzung einer Community Cloud durch einen Zusammenschluss kooperierender Unternehmen oder einer Hybrid Cloud mit privaten und öffentlichen Anteilen sowie durch die Möglichkeit der Beauftragung von Subunternehmern durch den Anbieter der Cloud-Dienste. Je nach Struktur entstehen unterschiedliche Kosten und Risiken, denen durch eine geeignete Verteilung der Verantwortung zu begegnen ist, wobei auch Fragen der Haftung und der Gewährleistung des Datenschutzes eine wichtige Rolle spielen.
Die Grenzen der eigenen Unternehmens-IT verschwimmen darüber hinaus oft auch durch die Nutzung von Web-2.0-Diensten seitens der eigenen Mitarbeiter. In seinem Vortrag "Web 2.0 - anarchistisches Outsourcing im Unternehmen" stellte Dr. Roland Steidle, MAINFORT Rechtsanwälte (in Zusammenarbeit mit Dr. Ulrich Pordesch von der Fraunhofer-Gesellschaft) dar, welche juristischen Konsequenzen sich aus der Nutzung von Diensten wie Doodle, BSCW, Xing oder Picasa vom Arbeitsplatz aus ergeben. Kritisch ist dabei, dass diese Dienste ihre Daten in der Cloud speichern, oft ohne oder nur mit sehr beschränkter Haftung und ohne Individualvertrag mit Gewährleistung. Hieraus können Vertragsverletzungen und Reputationsschäden entstehen, insbesondere durch unzulässige Verarbeitung oder Weitergabe vertraulicher Firmen- oder Kundendaten. Es kann sogar dazu führen, dass das Unternehmen eigene Rechte an den Cloud-Betreiber abtritt, oft sogar ohne dies zu wissen. Hinzu kommen Risiken durch eine unsichere Dienstgestaltung seitens des Anbieters bis hin zum expliziten Missbrauch durch unseriöse Betreiber. Ehe man seinen Mitarbeitern die Nutzung solcher Dienste am Arbeitsplatz gestattet, muss man daher die Zulässigkeit dieser Nutzung prüfen und klare Richtlinien dafür aufstellen, was erlaubt und was verboten ist.
Einen abschließenden Überblick über die Möglichkeiten der Realisierung von Clouds und ihrer Nutzung gab dann Prof. Dr. Eberhard von Faber von der Firma T-Systems in seinem Vortrag "Cloud-Security: Risikomanagement und Industrialisierung der ICT-Produktion - Sichere Dienste in der Cloud". Das Anbieten von Diensten in der Cloud stellt eine Standardisierung, Modularisierung und Verallgemeinerung der Leistungen der IT dar, die die Betriebsrisiken neu und, je nach Nutzung von Public oder Private Clouds, verschieden verteilt. Dabei ist es durchaus möglich, dass eine sicher betriebene Cloud, deren Nutzung vertraglich gut abgesichert ist, insgesamt ein niedrigeres Risiko aufweist als eine schlecht gewartete, nicht verstandene eigene IT eines kleinen Unternehmens. Zur Diskussion gestellt wurde eine Liste der zukünftig zu erwartenden 5 Top-Risiken:
- Unerlaubter Informationsfluss infolge schlechter Geschäftsintegration
- Verstoß gegen Richtlinien infolge nicht vorhergesehenen Nutzung
- Probleme aufgrund schlechter Dienstleisterwahl
- Risiken aufgrund der Ignoranz von Benutzern bzw. anderen Prioritäten
- Geschäftsstrategie und IT-Strategie passen nicht zueinander und divergieren
Dank der guten Unterstützung des diesjährigen Gastgebers konnten die Organisatoren das Rheinlandtreffen wieder ohne Teilnahmegebühr veranstalten. Sie möchten sich bei der Fiducia IT AG als Gastgeber, bei den Referenten, den Firmen und Institutionen, die diese Veranstaltung erst ermöglicht haben, herzlich bedanken und sehen der 22. Tagung im nächsten Jahr schon erwartungsvoll entgegen.
Zielsetzung der Konferenz:
Die Praktische IT-Sicherheit ist eine jährlich seit 1991 in Deutschland stattfindende Industrie- und wissenschaftliche Konferenz zum Thema IT-Sicherheit. Die Ergebnisse der Konferenz (Identifizierte IT-Sicherheits-Fragestellungen und Lösungsansätze) werden zum einen wissenschafts-politisch und zum anderen industrieseitig genutzt. Die wissenschafts-politische Umsetzung erfolgt durch die Fachgruppe Betrieb von Informations- und Kommunikationssystemen (BIK) der Gesellschaft für Informatik (GI). Industrieseitig werden die Ergebnisse durch die Hersteller von IT-Sicherheits Hard- und Software zur Produktverbesserung genutzt.
Ziel dieser Konferenz ist es eine ganzheitliche Sicht auf das Thema IT-Sicherheit zu bieten. Es werden Fragestellungen identifiziert, Lösungsideen aus Wissenschaft und Industrie vorgestellt und auf unterschiedlichen Abstraktionsebenen diskutiert. Dabei werden Erfahrungen und Informationen aus technischer, juristischer und strategischer Sicht ausgetauscht. Im Ergebnis sollen alle am Prozess der IT-Sicherheit Beteiligten einen praktischen Nutzen für ihre Arbeit mitnehmen können.
Lesezeichen setzen bei