Simoit Logo  

14. BremSec Veranstaltung an der Jacobs University mit Vorstellung des Projekts SIMOIT 

Vor dem Hintergrund der Einführung und Vernetzung immer neuer IT-Systeme in Unternehmen, Banken und Behörden stellt sich gerade für IT-Sicherheitsverantwortliche die Frage, wie eine angemessene IT-Sicherheit innerhalb ihrer Organisation gewährleistet werden kann. Da die IT-Sicherheit für die Mitarbeiter häufig eine Einschränkung darstellt, stehen Sicherheitsverantwortliche oftmals vor dem Problem, die Durchsetzung angemessener Sicherheitsmaßnahmen vor der Geschäftsleitung, aber auch den Mitarbeitern zu argumentieren. Weil aber die Einführung neuer Technologien häufig mit Sicherheitsrisiken verbunden ist, müssen Sicherheitsverantwortliche diese Risiken kennen und geeignete Gegenmaßnahmen bereitstellen. 

"Wenn Bremen wüsste, was Bremen weiß" ist das Motto des Bremer Security-Forums, welches das TZI, die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) und die Siemens AG, Bremen, am 21. Januar 2004 ins Leben gerufen haben. Ziel ist es, damit ein Netzwerk von Unternehmen und öffentlichen Verwaltungen auf dem Gebiet der IT-Sicherheit zu schaffen und das Wissen über die IT-Sicherheit im Land Bremen und Umgebung zu bündeln. Im Rahmen des Erfahrungsaustausches wollen die Teilnehmer aktuelle Trends, Technologien und Möglichkeiten auf dem Gebiet der IT-Sicherheit vorstellen und erörtern. Darüber hinaus sollen den Teilnehmern Argumentationshilfen mitgegeben werden, wie die Umsetzung geeigneter Sicherheitsmaßnahmen gegenüber der Geschäftleitung auch unter wirtschaftlichen und rechtlichen Gesichtspunkten vertreten werden kann.

Bisher wurden Veranstaltungen zu den Fokusthemen WLAN-Sicherheit, rechtliche Aspekte der Internetnutzung am Arbeitsplatz und Etablierung eines Sicherheitsmanagement-Prozesses durchgeführt. Dabei wird in der zweiten Hälfte der zweistündigen Veranstaltungen in der Regel eine offene Diskussionsrunde zu aktuellen Themen und Erfahrungen der IT-Sicherheit geführt. So steht der Erfahrungsaustausch im Vordergrund und bietet den Teilnehmer die Möglichkeit, neue Impulse für ihre tägliche Arbeit zu bekommen. Neben den quartalsweise durchgeführten Veranstaltungen können sich die Teilnehmer über eine eingerichtete Community per E-Mail gegenseitig informieren und Fragen an die Gruppe stellen wie z.B. über neueste Sicherheitsvorfälle.

Aktuell gehören über 40 feste Teilnehmer zu der BremSec-Community - Tendenz weiter steigend. Zu den Teilnehmern zählen u.a. Airbus, DaimlerChrysler, Datenschutz Nord sowie Banken und Behörden. Besonders hervorzuheben ist in diesem Zusammenhang die Zusammenarbeit mit der GDD, so dass eine enge Verbindung zu einem Forum für Datenschutzverantwortliche gegeben ist: Nicht nur im Gesundheitswesen wird offenbar, wie eng die Problematik des Datenschutzes mit der IT-Sicherheit verknüpft ist. Als zukünftige Zielsetzung des Forums gehört des Weiteren die Initiierung von Projektpartnerschaften aus Forschung, Industrie und öffentlichen Verwaltungen im Bereich der IT-Sicherheit.

Die 14. Veranstaltung der BremSec am 10. Oktober an der Jacobs University in Bremen-Nord stand ganz im Fokus der mobilen Sicherheit. Zwei Vorträge wurden dabei gehalten und im Anschluss diskutiert:

  1. Praxisbericht: Absicherung von Laptops bei der Gewoba
  2. Projekt SIMOIT - Sicherer Zugriff von mobilen Mitarbeitern auf die IT-Infrastruktur eines mittelständischen Unternehmens

Im ersten Bericht wurde von Kai Matthiesen, IT-Leiter von der Gewoba, auf die mobile Sicherheitslösung im eigenen Unternehmen eingegangen. Im Vordergrund stand dabei, dass die Lösung einfach administriert werden kann und sich problemlos in eine reine Microsoft-Umgebung einfügen lässt. In dieser homogenen Umgebung bei der Gewoba passte die Lösung Citrix Access Gateway (CAG) sehr gut, die man um Token-Authentifizierung erweitert hat. Das heißt, der Anwender kann sich ohne zusätzliche Kenntnisse in das Firmennetz einwählen, wenn er sein Passwort sowie den richtigen Token dabei hat. Alle Dienste werden zentral auf einem Citrix-Server angeboten und bereitgestellt, so dass ein Laptop keine Installation weiterer Anwendungen benötigt. Es ist eine Citrix-Applikation ausreichend. Eine Linux-Variante ist von Citrix ebenfalls erhältlich für die Clients, hat aber im praktischen Einsatz noch Defizite gezeigt.

Im zweiten Vortrag präsentierte Dr. Kai-Oliver Detken das Forschungsprojekt SIMOIT, welches die DECOIT GmbH leitet und eine herstellerneutrale Lösung für mobile Endgeräte jeder Art anbieten möchte. Kernelemente des Projekts sind:

  • Modulare Aufbauweise, so dass unterschiedliche Sicherheitspakete eingesetzt oder durch andere Hersteller ausgetauscht werden können
  • Standard-basierte Lösung, inkl. Schnittstellen zu anderen Herstellersystemen
  • Einsatz und Verbesserung des TNC-Ansatzes (Trusted Network Computing), der die Einrichtung einer Quarantänezone vorsieht und den Patchstand der Endgeräte überprüft
  • Aufsetzen auf bestehenden Open Source Projekten und Verbesserung der Schnittstellenlücken
  • Unterstützung unterschiedlicher mobiler Endgeräte

Im Konsortium des Projekts sind das TZI, die Hochschule Bremen, ThyssenKrupp Krause (als Pilotanwender) und die Pan Dacom Networking AG (Kooperationspartner) vertreten.

Als Fazit des Vortrags kam heraus, dass es zwar diverse Herstellerlösungen gibt, aber noch kein gemeinsamer Standard vorhanden ist. Die Trusted Computing Group (TCG) der IETF, die den TNC-Ansatz weiter spezifiziert, besitzt zwar über 75 Mitglieder, ist aber in ihren Standardisierungsbemühungen noch nicht am Ende angekommen. Hauptproblem bleibt die Absicherung der Messwerte, die darüber entscheiden, ob ein Endgerät für das Unternehmensnetz zugelassen werden kann oder nicht. Die Manipulation dieser Resultate würde eine große Sicherheitslücke darstellen und die gesamte Spezifikation in Frage stellen. Momentan sind abgespeckte Herstellerlösungen am Markt, die erstens die Gesamtfunktionalität nicht anbieten können und zweitens nur auf Basis ihrer Hardware/Software eine Lösung anbieten können. SIMOIT wird dies versuchen auf Linux-Basis umzusetzen und eine zentrale Servereinheit (das sog. Mobile Security Gateway) anbieten, die TNC-Funktionalität mit anbieten soll.

Als Endergebnis blieb über, dass vorhandene VPN-Lösungen nicht ausreichend für vertrauenswürdige Netzwerkverbindungen sind. Mit einer Integritätsprüfung werden vertrauenswürdige Netzwerkverbindungen aber ermöglicht. Standardisierungsbedarf ist vorhanden - das TNC Framework ist ein offener Lösungsansatz; es fehlt hier aber noch an abschließenden Standards. Das SIMOIT-Projekt greift TNC auf und wird die Entwicklung auch weiterhin verfolgen. Mobile Endgeräte müssen aber ebenfalls in das Sicherheitskonzept eines Unternehmens einbezogen werden, um sich nicht über diese Endgeräte Sicherheitslücken aufzustoßen. 

 

Zufallsbild