Simoit Logo  

2. Workshop an der Hochschule Bremen 

Am 22. November fand der zweite SIMOIT-Workshop beim Institut für Informatik & Automation (IIA) an der Hochschule Bremen statt. Diesmal war das Motto „Mobile IT-Sicherheit". Neben dem BremSec-Forum waren auch interessierte Firmen und Berufsschulen eingeladen. Im Rahmen des Workshops wurde das Projekt SIMOIT eingehend vorgestellt und die Problematik von der Absicherung mobiler Endgeräte eingehend erläutert. Außerdem war Cisco Systems vor Ort, um ihre Sicht und Lösungen vorstellen zu können, sowie ein Rechtsanwalt, um auf rechtliche Aspekte eingehen zu können. Die DECOIT GmbH stellte als Projektleiter das SIMOIT-Projekt vor, während TZI und Hochschule Bremen den Stand der aktuellen Entwicklung erläuterten.

Neue Viren verbreiten sich heute immer schneller über das Internet. Während früher ein Virus ca. 1 Jahr gebraucht hat, um sich effektiv fortzupflanzen, sind heutzutage nur noch ungefähr vier Tage für eine weltweite Verbreitung notwendig. Unternehmen müssen daher wirkungsvoll und schnell geschützt werden, um sich nicht zu infizieren. Dafür müssen Sicherheitsrichtlinien im Unternehmen vorhanden sein, um sich technisch ausreichend abschotten zu können. Diese beinhalten u.a. die Beachtung der Regularien, Geschäftsanforderungen, Kosten-/Nutzenanalyse und die technischen Möglichkeiten. Allerdings wird Sicherheit leider immer noch als Erweiterung des Netzes betrachtet und ist kein integraler Bestandteil einer Planung/Implementierung. Sie muss aber in allen Bereichen wie Anwendungen, vertrauliche Kommunikation, Sicherheitsmanagement, sichere Netzwerkinfrastruktur, Bedrohungserkennung und Angriffserkennung sowie Identität und Zugriffskontrolle eine Rolle spielen. Neue Anwendungen müssen vorab analisiert werden, welche Sicherheitsmechanismen sie enthalten bzw. welche Lücken sie evtl. neu aufstoßen.

Cisco Systems bietet eine komplette Lösung für Unternehmen an, die alle Schichten abdeckt. Auf Layer-2-Ebene wird eine Authentifizierung des Users, Autorisation des Users und Accounting der Prozesse vorgenommen. Zusätzlich sollte eine Segmentierung des Netzes in VLANs stattfinden. Cisco führt beim Zugriff auf das Netz die Begrifflichkeit Network Admission Control (NAC) ein. Da der Zustand der Maschine heute unklar ist (z.B. Patchlevels), soll NAC den unsicheren Zugang zum internen Netz verhindern. Geschaffen wird eine Quarantänezone, in die der Benutzer kommt, wenn ein Patchmanagement nicht möglich ist.Die Netzwerkinfrastruktur schützt sich sozusagen selbst. Cisco bietet hierfür verschiedene Mechanismen an wie z.B. über Control Plane Policing (CoPP), Access Control Lists (ACL), Anti-Spoofing, STP Root Guard. Auch das Netzwerkmanagement sollte über sichere Protokolle (SNMPv3) betrieben werden. Leider wird SNMPv3 durch die Hersteller so unterschiedlich interpretiert, das ein Einsatz in heterogenen Netzen nur durch die Version 1 in Frage kommt. Auch Stateful Inspection Firewalls sind nach Cisco nicht mehr zeitgemäß, da sie nicht in die Pakete reinschauen und so Viren/Würmer sich schnell über bestimmte Ports weiter verbreiten. Das Intrusion Prevention System (IPS) funktioniert bei Cisco ähnlich wie ein Intrusion Detection System (IDS), kommt aber mit weniger Loginformationen und Mustererkennungen aus. Ähnlich wird dies bei Anti-Viren-Systemen gelöst: vor einem Anti-Viren-Update werden Mustererkennungen verteilt, die schneller (innerhalb von Stunden) agieren können, wenn ein neuer Virus auftritt (wird vom Verhalten abgeleitet). Durch eingehende Analyse wird später ein Update beim AV-System durchgeführt. Anomalien werden im Netz kontinuierlich beobachtet und analysiert. Dabei sollte das Hauptaugenmerk auf das Management des Netzes gelegt werden, um so schnell eingreifen zu können bei Sicherheitsproblemen (z.B. Cisco Security Manager (CSM), Cisco Security Monitoring, Analysis, and Response System (CS-MARS)). Ciscos CSM ist rein proprietär, während CS-MARS auch in heterogener Umgebung laufen sollte.

Anschließend wurde das SIMOIT-Projekt (http://www.simoit.de) von der DECOIT GmbH (Dr. Kai-Oliver Detken) vorgestellt. Netze sind heute durch Malware und Eindringlinge stark gefährdet und besitzen keine Vertrauenswürdigkeit. Daher ist kein ausreichend vertrauenswürdiger Datenaustausch möglich. SIMOIT soll Konzepte aber auch Lösungen anbieten, die dieses Problem gerade für mobile Anwender in den Griff bekommen sollen. Ziel ist es daher, eine auf Standards basierende mobile IT-Sicherheitslösung herstellerunabhängig für den Bereich hochmobiler Mitarbeiter zu entwickeln. Partner sind das TZI der Universität Bremen, das IIA der Hochschule Bremen, die als Entwickler zusammen mit der DECOIT GmbH auftreten, ThyssenKrupp Krause als Pilotanwender und die Pan Dacom AG als Systemhaus, welches an einer weiteren Vermarktung später evtl. Interesse hat. Als Arbeitsschwerpunkte kristallisierten sich die Softwareverteilung, die TNC-Anbindung und eine Administrationsoberfläche heraus. Da das Projekt nur eine Dauer von 12 Monaten besitzt, hat man sich schwerpunktmäßig auf den TNC-Ansatz beschäftigt. Es soll somit ein Mobile Security Gateway (MSG) geschaffen werden, was den Zugang zum internen Netz regelt und eine Erweiterung des Trusted Network Connect (TNC) beinhaltet. Als mobile Endgeräte werden erst einmal Laptops mit Windows XP eingesetzt, da dieses Equipment beim Pilotkunden ThyssenKrupp Krause zum Einsatz kommt. Dies kann in Zukunft aber noch auf andere Betriebssysteme erweitert werden. Alle Komponenten basieren bei SIMOIT auf Open-Source Software (OSS). Dadurch ist die Lösung modular aufgebaut und zu jedem System hin erweiterbar.

Der Prototyp von SIMOIT ist bereits einsatzbereit und läuft bei der DECOIT in der Entwicklungsumgebung. Ab Januar soll dieser dann in die Infrastruktur von ThyssenKrupp Krause integriert werden. Das Szenario (siehe Bild) sieht dabei momentan folgendes vor: ein mobiler Client baut einen IPsec-Tunnel zum MSG auf. Der MSG fragt anschließend die Authentifizierungsinfos ab. Der Client wird abgewiesen (Quarantänezone) oder zugelassen. Die Benutzer-Datenbank und die Inventory Infos werden mit dem MSG synchronisiert. Weitere RAS-Server könnten dabei ebenfalls mit einbezogen werden.

SIMOIT Testplattform 

Der TNC-Ansatz wurde inzwischen so weiter entwickelt, dass er innerhalb der SIMOIT-Umgebung zum Einsatz kommt. Dies wurde allerdings bisher nur Server-seitig implementiert, da auf Client-Seite die Hersteller eigene Lösungen aufsetzen werden. SIMOIT ist aber so offen umgesetzt worden, dass eine spätere Anpassung auf diverse Herstellerlösungen kein Problem darstellen sollte. Damit bietet SIMOIT eine herstellerneutrale Lösung an, die Cisco, Microsoft & Co. nicht bieten. Die Hersteller bieten zwar auch Lösungen an, aber bisher nur für rein homogene Umgebungen. Dies wird sich erst in Zukunft ändern, wenn man sich auf einen gemeinsamen Standard einigen würde. TNC stellt auf jeden Fall ein weiteres sinnvolles Werkzeug zur Absicherung des Unternehmensnetzes dar. Allerdings beinhaltet dies auch große Anforderungen an die organisatorische IT-Sicherheit.

Abschließend wurde der neue Hacker-Paragraph von Rechtsanwalt Dr. Lambert Grosskopf präsentiert. Dabei muss die IT.Sicherheit im Unternehmen immer den Stand der Technik widerspiegeln. Die ist die gesetzliche Vorschrift. Zur Überprüfung konnten IT-Tools früher verwendet werden, wenn Daten nicht ausspioniert, gelöscht oder verfälscht wurden. Phishing viel allerdings außen vor bei der früheren Gesetzgebung, weil keine Daten verändert wurden. Jetzt wird aber bereits der Zugang zu anderen Systemen als strafbar geahndet (seit 11. August 2007). Der Upload von illegalen Kopien wird ebenfalls heute bestraft; ab 1. Januar 2008 wird auch der Download von illegalen Kopien mit geahndet. Durch die neue Gesetzgebung ist die Nutzung von Tools, die das Ausspähen von Daten ermöglichen bereits strafbar; Ausnahme: wenn eine Einwilligungserklärung eines Unternehmens vorliegt, können aktiv die Sicherheitsmechanismen getestet werden. Allerdings ist heute bereits der Besitz dieser Tools unzulässig. Der Gesetzgeber hat hier eine unrealistische Gesetzgebung geschaffen (strafbar sind dadurch u.a. das Bundesministerium für Sicherheit in der Informationstechnik - BSI oder OSS Projekte wie SuSE). Die aktuelle Gesetzeslage wird deshalb gerade in Frage gestellt durch eine Verfassungsklage. Es bleibt zu hoffen, dass der Gesetzgeber in Zukunft auch einmal IT-Experten zu Wort kommen lässt, bevor er unrealistische Gesetze erlässt, die dann kostspielig für alle Beteiligten wieder geändert werden müssen!

Insgesamt bot der Hochschul-Workshop wieder viel Interessantes und gab neue Denkanstöße in Sachen IT-Sicherheit. So sollten in Zukunft auch mobile Endgeräte mit in die Sicherheitskonzepte integriert werden und Sicherheit nicht mehr als Add-On, sondern als integraler Bestandteil betrachtet werden.

 

Zufallsbild