1
IT-Security Guide Lösungen für die Sicherheit im Unternehmen www.isreport.de Sonderausgabe 2015 30 Euro n Mobile Security n Cloud Security n Sichere Netzwerke n Sichere Kommunikation 4 Fachbeiträge 4 Referenz aus der Praxis – 2015 –

2
Anzeige G DATA Unternehmenslösungen: Keine Chance für Datendiebe Cyberkriminelle greifen immer häufiger Unternehmen an. Allein im vergangenen Jahr wurden mehr als ein Drittel der deutschen Firmen Opfer von Online-Attacken – das ergibt die Studie „Cybersicherheit – Ein aktuelles Stimmungsbild deutscher Unternehmen“ von G DATA und TNS-Infratest. Die Schäden, die bei erfolgreichen Attacken auf IT-Infrastrukturen entstehen, reichen vom Verlust wichtiger Unternehmensdaten, über Störungen der betrieblichen Abläufe, bis hin zum direkten Diebstahl von Vermögenswerten durch die Manipulation von Zahlungstransaktionen. Ein umfassendes und effektiv geschütztes Business ist daher unerlässlich. Maßstäbe in puncto Netzwerksicherheit setzen die G DATA Unternehmenslösungen der neuesten Generation 13.2: G DATA ANTIVIRUS BUSINESS, G DATA CLIENT SECURITY BUSINESS, G DATA ENDPOINT PROTECTION BUSINESS und G DATA MANAGED ENDPOINT SECURITY sorgen dank integrierter CloseGap-Hybridtechnologie, die proaktive und signaturbasierte Erkennungsverfahren vereint, für eine maximale und ressourcenschonende Sicherheit – auch vor noch unbekannten Bedrohungen. Cyberkriminelle haben so keine Chance. Mobile Device Management Mobilgeräte sind heute ein fester Bestandteil des Arbeitsalltages, insbesondere Smartphones sind hier nicht mehr wegzudenken. Die smarten Alleskönner sind wegen ihrer hohen Verbreitung interessante Angriffsziele für Cyberkriminelle, alleine im zweiten Quartal 2015 zählte G DATA täglich mehr 6.1000 Schaddateien für Android. Die umfassende Absicherung von Mobile Devices ist für Administratoren daher unerlässlich, denn auch sie gehören zur IT-Infrastruktur eines Unternehmens. In den G DATA Netzwerklösungen 13.2 sind Android- und iOS-Mobilgeräte als vollwertige Clients eingebunden. Mit dem erweiterten Mobile Device Management, das in alle G DATA Business-Lösungen integriert ist, haben Administratoren neben Microsoft Windows- und Linux-basierten Computern auch Android- und iOS-basierte Smartphones und Tablets komfortabel im Blick. Relevante Sicherheitseinstellungen lassen sich über die zentrale Management-Konsole einrichten, wie die Konfiguration von Sicherheitsprofilen, die unter anderem unternehmensspezifische IT-Policies umsetzen, sowie die Einrichtung eines Diebstahlschutzes. IT-Verantwortliche können so die Sicherheit der eingebundenen Mobilgeräte jederzeit sicherstellen. Keine Chance für manipulierte USB-Sticks Fester Bestandteil der Business-Lösungen ist G DATA USB KEYBOARD GUARD, die einzigartige Technologie schützt vor Angriffen durch sogenannte BadUSB-Geräte. Manipulierte USB-Medien, die sich als Tastatur ausgeben und Angreifern die Kontrolle über das System verschaffen, haben so keine Chance. G DATA USB KEYBOARD GUARD lässt sich bequem über die zentrale Management-Konsole steuern. Effektiver Schutz vor Spam-Mails Durchschnittlich erhält ein Mitarbeiter zwölf Spam-Mails (Quelle: The Radicati Group) am Tag. Optional bietet das Zusatzmodul G DATA MailSecurity in der Businessversion 13.2 eine zentral verwaltete und voll integrierte Anti-Spam- Funktion für Microsoft Exchange Servers. Das Modul bereinigt alle ein- und ausgehenden E-Mails von Malware und Spam. G DATA ANTIVIRUS BUSINESS, G DATA CLIENT SECURITY BUSINESS, G DATA ENDPOINT PROTECTION BUSINESS und G DATA MANAGED ENDPOINT SECURITY können durch ein zentrales Backup-Modul für Clients und der leistungsstarken G DATA MailSecurity ergänzt werden. Die mailserverunabhängige Gateway-Lösung prüft alle aus- und eingehenden Mails und sichert Mailserver, wie Exchange oder Notes, ab. Ebenfalls verfügbar ist das leistungsfähige PatchManagement. So schließen Administratoren zeitnah bekannte Software-Sicherheitslücken und halten die genutzten Programme problemlos auf dem aktuellsten Stand, ohne sich um die verschiedenen herstellerspezifischen Updatemechanismen kümmern zu müssen. Durch die zeitnahen Programm-Updates erhalten Cyberkriminelle keine Möglichkeit bekannte Schwachstellen für Angriffe auszunutzen. Weitere Informationen über die G DATA Netzwerklösungen unter www.gdata.de/business

3
Editorial IT-Security beschützt die Unternehmenswerte Jedes zweite Unternehmen war in den letzten beiden Jahren von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Zu diesem Ergebnis kommt eine aktuelle Bitkom-Umfrage. Wie wichtig das Thema Security für die IT-Branche immer noch ist und auch weiterhin sein wird, ist inzwischen den meisten Unternehmen bewußt, dennoch ist hier enormer Nachholbedarf erkennbar. So zeigt eine Studie von techconsult auf, dass sich z.B. im Bereich des Mittelstands die IT- und Informationssicherheit eher verschlechtert als verbessert (S. 6). Die Vulnerability Reports der First Security Technology AG liefern eine Schwachstellenanalyse der IT-Landschaften in Österreich und der Schweiz; die Ergebnisse dürften aber auch auf die Bedingungen in Deutschland übertragbar sein (S. 8). Die zunehmende Anwendung mobiler Anwendungen im Unternehmensumfeld (Enterprise Mobility) stellt die IT- Security der Unternehmen vor neue Herausforderungen, die ein Artikel von IDC beleuchtet (S. 10). Ein Lösungsansatz, um die damit einhergehende Nutzung von Cloud-basierten Technologien sicherer zu gestalten, wird in dem Aufsatz über transparente Cloud-Verschlüsselung der Bauhaus-Universität Weimar aufgezeigt (S. 13). Der Beitrag der mediaTest digital GmbH stellt einen Lösungsansatz zur Schwachstellenanalyse mobiler Anwendungen von (S. 16). Wolfgang Weckerlein Projektleiter IT-Security Guide Dass sich die immer weiter zunehmenden Bedrohungen möglicherweise nicht mehr mit den traditionellen Sicherheitstechniken abwehren lassen, wird in einem Artikel von Sophos dargestellt (S. 18). Wie sich Gefahren im Bereich der Softwareentwiclung und Anwendung bekämpfen lassen, wird in der Aufsätzen zur ISO-27034-basierten Softwareentwicklung der softScheck GmbH (S.19) und zur BlurryBox, einem kryptographischen Verfahren für den Softwareschutz vom FZI Forschungszentrum Informatik, beschrieben (S. 22). Für SAP-Anwender interessant ist der Bericht über die SAP-Sicherheit auf Transaktionslayer-Ebene von Onapsis (S. 24). Ergänzt wird die Themenauswahl durch eine Success Story zum automatisierten Schwachstellenmanagement der baramundi software AG (S. 5). Ihr Wolfgang Weckerlein und das isi Medien Redaktionsteam. Impressum Verlag: isi Medien GmbH Albert-Schweitzer-Str. 66, 81735 München Tel.: +49/(0) 89/90 48 62-0 Fax: +49/(0) 89/90 48 62-55 E-Mail: info@isreport.de Projektleiter: Wolfgang Weckerlein Redaktion: Birgit Adler, Wolfgang Weckerlein Verantwortlich für Anzeigen: Stefan Raupach Titelfoto: Fotolia Layout: Birgit Adler Geschäftsführer: Dipl.-Kfm. Georg Göttler Alle Rechte vorbehalten. Nachdruck, Vervielfältigungen, Übersetzungen, Zweit verwertung, Speicherung in Informationswiedergewinnungs systemen oder Übertragung bzw. Wiedergabe in irgendeiner Form z. B. durch Fotokopie oder Mikrofilm bedürfen einer ausdrücklichen Genehmigung des Verlags. Die Verwertung von Informationen aus diesem Werk zum Zweck der gewerblichen Adress ver äußerung oder Informationsvermittlung ist unzulässig. Die Nennung von Waren erfolgt in dieser Publikation, wie in Nachschlagewerken üblich, in der Regel ohne Erwähnung etwa bestehender Patente, Gebrauchs muster oder Warenzeichen. Das Fehlen eines solchen Hinweises begründet nicht die Annahme, eine Marke oder ein Produkt name sei frei. © isi Medien, München IT-Security Guide 2015

4
Inhaltsverzeichnis G DATA Unternehmenslösungen: Keine Chance für Datendiebe (Advertorial: G DATA) Sicherheit vielfach multipliziert – Automatisiertes Schwachstellenmanagement beim Büromöbelhersteller Sedus Stoll AG (Success Story: baramundi software AG) IT-Security im Mittelstand bereitet Sorge (techconsult GmbH) Wie sicher ist das „Internet“ in der Schweiz und Österreich? (First Security Technology AG) ENTERPRISE MOBILITY STELLT DIE IT-SECURITY VOR NEUE HERAUSFORDERUNGEN (IDC) WSFS: DIE TRANSPARENTE CLOUD-VERSCHLÜSSELUNG (Bauhaus-Universität Weimar) Das Ganze und die Summe seiner Teile (Sophos) Ein Prozessleitfaden zur ISO 27034–basierten sicheren Softwareentwicklung (softScheck GmbH) BlurryBox® – Ein Verfahren für Softwareschutz nach Kerkoffs‘ Prinzip (FZI Forschungszentrum Informatik) SAP-Sicherheit beginnt auf dem Transaktionslayer (Onapsis Inc.) Mobile Sicherheit – Aktuelle Herausforderungen und Lösungen für kleine und große Unternehmen (mediaTest digital GmbH) TrendMicro (Anzeige) Kaspersky Labs GmbH (Anzeige) Umschlagseite 2 Umschlagseite 3 Umschlagseite 4 4 IT-Security Guide 2015 © isi Medien, München

5
Sicherheit vielfach multipliziert Automatisiertes Schwachstellenmanagement beim Büromöbelhersteller Sedus Stoll AG Die Testinstallation vom baramundi Compliance Management sorgte im Sommer 2014 für überraschte Gesichter in der IT-Abteilung des Büromöbelherstellers Sedus Stoll AG: Eine unerwartete Anzahl von Schwachstellen förderte der erste Scan auf den rund 800 Rechnern im Unternehmen zu Tage. Dabei war das Team von IT-Infrastruktur Leiter Eric Michael in Sachen Sicherheit bei weitem nicht untätig gewesen: Regelmäßig wurden Updates und Patches verteilt. Hauptproblem: Veraltete Anwendungen „Man denkt beim Thema Schwachstellen vor allem an das Betriebssystem und weniger an die Applikationen. Dazu kommt: Anwendungen sind teuer, daher ist dann irgendwo im Unternehmen noch eine alte Adobe Creative Suite mit dem Acrobat VI im Einsatz“, fasst Eric Michael die Ausgangssituation zusammen. Dank des Schwachstellenscans hatte er zum ersten Mal eine übersichtliche Liste, auf welchem Gerät welche Sicherheitslücke offenstand – und damit die Möglichkeit, schnell zu reagieren. Bereits seit 2012 setzt die Sedus Stoll AG die baramundi Management Suite ein. Im Sommer 2014 folgte dann der Schwachstellenscan als Erweiterungsmodul. In der Software-Suite stehen den Administratoren ein Patch- Management für Microsoft-Produkte und Managed Software für hunderte Anwendungen anderer Hersteller zur Verfügung, um erkannte Schwachstellen schnell zu schließen. Schwachstellen kurzfristig geschlossen Binnen kürzester Zeit schafften Eric Michael und seine Mitarbeiter es damit, vorhandene Schwachstellen zu schließen. „Der Aufwand beschränkt sich auf das Freigeben des Updates und das Anstoßen des baramundi-Jobs, der die Aktualisierung auf den Zielsystemen verteilt. Das hilft ungemein beim Patchen vieler Produkte“, so der IT-Infrastruktur Leiter. „Ein großer Teil der eingesetzten Software kann über die baramundi Management Suite automatisiert auf aktuellem, sicherem Stand gehalten werden.“ Routineaufgabe Sicherheit Inzwischen ist das Schwachstellenmanagement bei Sedus Stoll zu einer Routineangelegenheit geworden: Regelmäßig läuft auf allen Rechnern automatisiert der Schwachstellenscan. Die Anwender merken davon nichts – Performanceprobleme auf den Clients gibt es nicht. Einmal im Monat, wenn Microsoft seine Patches veröffentlicht, wird auch die Aktualisierung dieser Anwendungen über baramundi Managed Software angestoßen. Zentrales Client-Management für ganz Europa Die Sedus Stoll AG mit Sitz in Waldshut-Tiengen, ist ein Komplettanbieter für Büroeinrichtungen und Arbeitsplatzkonzepte und gehört zu den größten europäischen Unternehmen in der Branche mit zwei Standorten in Deutschland und acht europäischen Tochtergesellschaften. Mit Hilfe der baramundi-Software erfolgt die IT-Administration an den Außenstandorten komplett remote von Dogern aus. Es müssen keine Geräte mehr für Installationen in die Zentrale geschickt werden. Neu zu installierende Rechner erhalten ein vorbereitetes Bundle an Standardsoftware, auch weitere Anwendungen werden bei Bedarf über die Client-Management-Lösung eingespielt. Bei der Umstellung von Windows XP auf aktuelle Betriebssysteme konnte die Lösung ihre Stärken voll ausspielen: Die neu gekauften Rechner konnten zentral und automatisiert in großer Zahl mit den nötigen Anwendungen betankt werden. Zufriedenes Fazit Eric Michael fasst zusammen: „Wir sind sehr zufrieden. Die baramundi Management Suite läuft stabil, die Lösung ist schlank und die Bündelung Foto: Sedus Stoll AG des Schwachstellenscans mit dem Patch-Management und Managed Software ist toll. Das erspart uns, bei jeder Anwendung auf deren Herstellerseite zu gehen und die Software zu paketieren. Die Informationen über neue Versionen erhalten wir von baramundi in einem speziellen Newsletter. Schön ist auch: Man kann als Kunde mitbestimmen, welche Applikationen in Managed Software aufgenommen werden sollen.“ Inzwischen setzt Sedus Stoll auch das baramundi Mobile-Device-Management-Modul ein. Sie möchten mehr darüber erfahren, wie Sie Schwachstellen automatisiert aufspüren und effizient schließen können? Weitere Informationen erhalten Sie hier. Wie gefährdet ist Ihre Unternehmens-IT? Machen Sie den Test mit dem kostenfreien Online Self Check Die baramundi software AG ist Partner von techconsult und heise Security bei der Security Bilanz Deutschland 2015. Kontakt baramundi software AG Beim Glaspalast 1 86153 Augsburg Fon: +49 (821) 5 67 08 - 380 E-Mail: reqest@baramundi.de Internet: www.baramundi.de © isi Medien, München IT-Security Guide 2015

6
IT-Security im Mittelstand bereitet Sorge Abbildung: Biometrische Authentifizierung ist bei 69 % der Unternehmen nicht gut umgesetzt (2014: 54%) Die IT- und Informationssicherheit im Mittelstand verschlechtert sich zusehends – dies ist das Fazit der aktuellen Studie des Analystenhauses techconsult. Für den Mittelstand besteht beim Thema IT- und Informationssicherheit weiterhin dringender Handlungsbedarf. Die Studie Security Bilanz Deutschland hat sich zum Ziel gesetzt, jährlich den Status Quo der IT- und Informationssicherheit im Mittelstand zu ermitteln. Dazu wurden Anfang 2015 zum zweiten Mal über 500 repräsentativ ausgewählte mittelständische Unternehmen und öffentliche Verwaltungen befragt. Das Ergebnis fällt trotz der Aktualität und Aufmerksamkeit, die das Thema IT-Sicherheit genießt, ernüchternd aus. Die Einschätzung des Mittelstandes bezüglich des eigenen Sicherheitsniveaus ist im Vergleich zum Vorjahr gesunken. Zudem wird auch die Bedrohungslage, der sich Unternehmen ausgesetzt sehen, als gefährlicher eingeschätzt. Offensichtlich steigt zwar das Bewusstsein für IT- und Informationssicherheit in mittelständischen Unternehmen, die Umsetzung ist im Vergleich zur Lage vor einem Jahr aber noch nicht wirklich weiter gekommen. Die Selbsteinschätzung der Unternehmen hat sich in Bezug auf technische Maßnahmen und Lösungen durchweg negativ verändert. Der Anteil der Unternehmen, die Probleme in der Umsetzung von Sicherheitskonzepten sehen, ist überall angestiegen. Selbst bei einfacheren Maßnahmen zur Gewährleistung von IT- und Informationssicherheit, wie der Umsetzung von Passwortrichtlinien, geben mit 52 Prozent mehr als die Hälfte der Unternehmen an, diese nicht gut umgesetzt zu haben (2014: 48 Prozent). Sichere Authentifizierung bereitet Probleme Bei anspruchsvolleren Maßnahmen, wie der Zwei- bzw. Multifaktor-Authentifizierung mit Zertifikaten, Tokens, Smart-Cards oder mittels biometrischer Merkmale ist die Entwicklung sogar noch drastischer. Der Anteil der Unternehmen, die ihre Umsetzung als problematische einstufen, liegt hier zwischen 60 und 69 Prozent, was einem Anstieg von 8 bis 15 Prozentpunkten im Vergleich zum Vorjahr entspricht. Dass anspruchsvollere Sicherheitsmaßnahmen auch häufiger Probleme bereiten, ist zu erwarten. Trotzdem lohnt sich die Umsetzung von Konzepten wie der Multi-Faktor-Authentifizierung ganz besonders, weil der Sicherheitsgewinn gegenüber einer einfachen Sicherheitsmaßnahme wie der reinen Passwort-Authentifizierung enorm ist. Die kritischere Bewertung in diesem Jahr zeigt, dass sich die Unternehmen mit diesen Themen beschäftigen und, falls sie solche Konzepte bereits einsetzen, die bestehende Umsetzung genau hinterfragen. Mobile Security hängt deutlich hinterher Als eines der größten Handlungsfelder sehen Mittelständler das Thema IT- und Informationssicherheit für mobile Endgeräte, das detailliert in der Studie untersucht wurde. Mehr als zwei Drittel der Unternehmen berichten bei Mobile Security-Lösungen, dass sie diese bisher nicht gut umgesetzt haben. Selbst bei verhältnismäßig einfachen Lösungen, wie Antiviren-Lösungen oder 6 IT-Security Guide 2015 © isi Medien, München

7
Sicherheitsstudie zeigt Optimierungspotenziale und bietet Möglichkeit des Self-Checks Firewalls für Smartphones und Tablets, gibt nur ein Drittel der befragten Mittelständler an, mit der Umsetzung dieser Lösungen im Unternehmen zufrieden zu sein. Im Vergleich zum Sicherheitsniveau der „stationären“ IT-Landschaft hinkt die Mobile Security also noch deutlich hinter her. Insofern sind für diesen Bereich verstärkte Anstrengungen notwendig, um das Sicherheitsniveau in den Griff zu bekommen und auf das Level der übrigen IT- und Informationssicherheit zu heben. Gefährdung Nicht nur die eigenen Maßnahmen und Lösungen für IT- und Informationssicherheit werden von den mittelständischen Unternehmen schlechter bewertet als im Vorjahr, auch die Einschätzung der Gefährdung durch gängige Bedrohungen und wie gut sich Unternehmen dagegen abgesichert fühlen, hat sich verschlechtert. Auf der einen Seite wird den Bedrohungen nur eine relativ geringe Relevanz zugemessen und somit nur ein geringes Bedrohungspotenzial gesehen. Auf der anderen Seite gibt jedoch der überwiegende Teil der Unternehmen an, sich nicht gut gegen diese Bedrohungen geschützt zu fühlen. Es fehlt somit offensichtlich sowohl am Bewusstsein, als auch an der Umsetzung von Absicherungsmaßnahmen gegen Schadsoftware und Angriffe. Das Fazit: Das Thema IT- und Informationssicherheit ist zweifellos im Mittelstand angekommen, was nicht zuletzt durch die kritischere Bewertung des umgesetzten Sicherheitsniveaus deutlich wird. Die Konsequenzen zu ziehen, und das heißt: die Lage der IT- und Informationssicherheit im eigenen Unternehmen zu verbessern, steht allerdings noch aus. Ob die kritischere Bewertung in diesem Jahr schon die Kehrtwende einläutet, wird sich im nächsten Jahr zeigen. Es ist jedoch zu erwarten, dass sich die IT-Sicherheitslage in den Unternehmen mittelfristig verbessern wird. Eine Unbekannte, die bleibt, ist jedoch weiterhin die Gefährdungslage. Dies sollte für Unternehmen mit ein Grund sein, nicht nur ein Mindestmaß an IT-Sicherheit umzusetzen, sondern Konzepte, Maßnahmen und Lösungen auch langfristig anzulegen, sodass ein deutlich höheres Sicherheitsniveau erreicht wird, welches die Unternehmen auch gegen bis dato unbekannte Angriffe absichert. Über die Studie Die IT- und Informationssicherheit hat techconsult gemeinsam mit BSI, teletrust, Sicherheits-Experten und heise Security nun zum zweiten Mal in der ganzheitlich aufgesetzten Studie Security Bilanz Deutschland untersucht. Befragt wurden von Januar bis März 2015 über 500 kleine und mittelständische Unternehmen der Industrie, des Handels, Dienstleister, Banken und Versicherungen sowie öffentliche Verwaltungen und Non-Profit-Unternehmen mit 20 bis 1.999 Mitarbeitern. Inhaltlich wurde versucht, die Themen IT- und Informationssicherheit aus der Sicht eines mittelständischen Unternehmens ganzheitlich auf verschiedenen Ebenen zu betrachten. Somit wurde nicht nur nach Sicherheitslösungen und -konzepten auf technischer Ebene gefragt, sondern auch untersucht, wie Unternehmen sich auf organisatorischer Ebene sicher machen, also z.B. Mitarbeiter in Sachen IT-Security aufklären und fortbilden, ob und wie sie IT- und Informationssicherheit in Vertragsbeziehungen berücksichtigen (rechtliche Ebene) und wie Maßnahmen, Lösungen und Regelungen in der IT- und Unternehmensstrategie verankert sind (strategische Ebene). Benchmarking als erstes „Fiebermessen“ Zusätzlich zur Studie bietet der individuelle Security-Check Security Consulter jedem mittelständischen Unternehmen die Möglichkeit, eigene Stärken und Schwächen im Vergleich zu ähnlichen Unternehmen zu identifizieren. Der Security-Check basiert auf der Studie und ermöglicht so, sich mit den Studienergebnissen zu vergleichen. Der Security Consulter steht ebenfalls auf dem Studienportal https://www. security-bilanz.de/ zur Verfügung. Ziel ist, diese erste Einschätzung systematisch auf allen relevanten Ebenen von IT- und Informationssicherheit im Unternehmen vorzunehmen. Dies betrifft die technische, organisatorische, rechtliche und strategische Ebene, auf denen IT- und Informationssicherheit sichergestellt werden müssen. Die Bewertung erfolgt dabei auf Basis der Selbsteinschätzung der Umsetzung von Konzepten, Maßnahmen und Lösungen auf diesen Ebenen. Der Security Consulter ersetzt damit zwar kein umfangreiches und tiefgehendes IT-Security- Audit, bietet aber einen einfachen und schnellen Weg, zu einer ersten umfassenden und systematischen Einschät- Der Autor Henrik Groß Analyst, techconsult GmbH zung der eigenen Lage zu gelangen. Die Studie Security Bilanz Deutschland und der heise Security Consulter werden unterstützt von baramundi, Fortinet, gateprotect, Kaspersky, Microsoft Deutschland, PROFI Engineering Systems AG und TeleTrust. Das Self- Check-Tool steht auf dem Studienportal https://www.security-bilanz.de allen interessierten mittelständischen Unternehmen kostenfrei zur Verfügung. Über die techconsult GmbH Die techconsult GmbH, gegründet 1992, zählt zu den etablierten Analystenhäusern in Zentraleuropa. Der Schwerpunkt der Strategieberatung liegt in der Informations- und Kommunikationsindustrie (ITK). Durch jahrelange Standard- und Individual-Untersuchungen verfügt techconsult über einen im deutschsprachigen Raum einzigartigen Informationsbestand, sowohl hinsichtlich der Kontinuität als auch der Informationstiefe, und ist somit ein wichtiger Beratungspartner der CXOs sowie der IT-Industrie, wenn es um Produktinnovation, Marketingstrategie und Absatzentwicklung geht. Die techconsult GmbH wird vom geschäftsführenden Gesellschafter und Gründer Peter Burghardt am Standort Kassel mit einer Niederlassung in München geleitet und ist Teil der Heise Medien Gruppe. techconsult GmbH – The IT Market Analysts – Baunsbergstraße 37, D-34131 Kassel Tel.: +49-561-8109-0, Fax: -101 Internet: http://www.techconsult.de B © isi Medien, München IT-Security Guide 2015

8
Wie sicher ist das „Internet“ in der Schweiz und Österreich? Wieso prüften wir die Schweiz und Österreich auf IT Schwachstellen? IT Schwachstellen nehmen zu, finden den Weg in die Medien und erhalten dadurch eine hohe Prominenz. Systeme, welche als sicher galten, sind auf einmal verwundbar. Denken wir nur mal an Heartbleed. Die Statistiken der publizierten Schwachstellen von 2014 besagen, dass im Durchschnitt pro Tag 20 neue Schwachstellen erscheinen. Zwei dieser 20 sind als kritisch bewertet und kommen auf weit verbreiteten Lösungen vor. Dies ist der Zeitpunkt, an welchem Sie sich fragen dürfen: Sind meine Systeme sicher? Habe ich Schwachstellen in meiner IT? Wenn ja, wo sind diese, wie gravierend sind sie und was kann ich dagegen unternehmen? Schwachstellen frühzeitig zu erkennen und entsprechende Massnahmen einzuleiten ist und wird noch mehr zu einer Königsdisziplin. IT Schwachstellen Management (Vulnerability Management) ist der Ansatz, dieser Herausforderung entgegen zu wirken. Sobald das Wort Management Verwendung findet, führt es dazu, dass ein Prozess mit dem Ziel die Effizienz und Effektivität zu verbessern angewendet wird. Als erster Hersteller einer Vulnerability Management Lösung im deutschsprachigen Raum haben wir diesen Prozess gemäss Abbildung 1 definiert. Abb. 1 Vulnerability Management Prozess nach First Security Abb. 2 Häufigkeit der aktiven Ports in der Schweiz In unseren 14 Jahren Tätigkeit haben wir uns mehrmals überlegt, das Internet auf Schwachstellen zu untersuchen. Aus rechtlichen Gründen darf ein aktiver Security Scan, der tief in ein IT-System vordringt, nicht ohne Einwilligung der Besitzer und Betreiber durchgeführt werden. Wir haben die rechtlich unproblematische Methode angewendet: Wir werteten die öffentlichen Informationen zu Systemen und Versionen aus, die sich ohne Hacking-Techniken erhalten lassen. Ebenso unproblematisch ist der anschliessende Vergleich mit einer Schwachstellendatenbank. Staatliche Stellen in der Schweiz (MELANI) und Österreich (A-SIT) unterstützten uns in unserer Idee. Vor drei Jahren veröffentlichten wir den ersten Swiss Vulnerability Report (SVR) und dieses Jahr den ersten Austrian Vulnerability Report (AVR). Jährlich führen wir nun das Assessment durch, um zu identifizieren, welche IP-Adressen dem jeweiligen Land zugwiesen sind, inventarisieren die aktiven Dienste auf diesen und werten die verwendeten Systeme und Services nach unserer Vulnerability Forecast Methode aus. Die Publikation erfolgt dann im SVR und AVR, welche auf unserer Webseite zum Herunterladen bereitstehen. Gefundene Systeme und Dienste In der Schweiz unterziehen wir jeweils über 19 Millionen und in Österreich über 13 Millionen IP-Adressen der Inventarisierung. In beiden Ländern verfügen etwas über 2% der IP-Adressen über aktive Dienste (CH: 446.000; AT: 292.000). Ebenfalls der Einsatz der verschiedenen Betriebssysteme ist beinahe deckungsgleich. Interessant sind die Zahlen bezüglich der von Microsoft nicht mehr unterstützten Windows Betriebssysteme. In der Schweiz sind dies 1.500 und in Österreich 1.600 Systeme, welche aus dem Internet ansprechbar sind. Darunter befinden sich einige hundert Windows 2000 Server und über 1.000 Windows XP Systeme. Windows XP, ein Betriebssystem, welches nicht als Server System entwickelt wurde und auch noch direkt aus dem Internet erreichbar ist. Am häufigsten sind in Österreich und in der Schweiz Systeme auf Linux Basis sichtbar. Diese finden Verwendung vor allem für Webserver, Netzwerkgeräte und Embedded Devices. Bei den offenen Ports (CH: 1,1 Mio.; AT: 577.000) bieten die Schweizer im Verhältnis etwas mehr an. Welche Dienste finden die häufigste Verwendung? Es ist sicherlich nicht verwunderlich, dass http und https die weitaus am meisten angebotenen Dienste sind. In der Schweiz finden sich zudem auffällig viele aktive 8080/tcp Ports. Diese werden hauptsächlich für den Web-Administrationszugang genutzt. Die Statistiken der aktiven Dienste führen uns auch vor Augen, wie oft unverschlüsselte Protokolle wie Telnet, direkte Datenbank-Zugriffe und Remote-Zugriffe mit RDP oder SSH aus dem Internet erreichbar sind. Sehen Sie das Angriffspotenzial? Noch zu wenig? Dann schauen wir mal, was das Potenzial der Schwachstellen für Erkenntnisse bringen. Schwachstellenpotenzial Über die Inventarisierung gelangten wir zu den Informationen über die verwendeten Betriebssysteme und angebotenen Applikationen inklusive deren Version. Diese Informationen helfen uns, die möglichen Schwachstellen zu identifizieren, indem wir diese mit der CVE Datenbank (Common Vulnerabilities and Exposures) abgleichen. Die gewonnenen Erkenntnisse sind ernüchternd. Die meisten Schwachstellen kommen auf Linux-basierten Systemen vor. Drei Viertel der potenziellen Schwachstellen sind durch ein Viertel der Systeme verursacht und basieren auf Linux. Wieso haben wir diese 8 IT-Security Guide 2015 © isi Medien, München

9
Situation? Ist Linux ein unsicheres Betriebssystem? Die Herausforderung sind die Embedded Devices und nicht grundsätzlich Linux als Server System im klassischen Verständnis. Embedded Devices wie Router, Modem, Multimedia Geräte etc. erhalten meist nach der ersten Konfiguration keine Pflege mehr. Auch wenn man Updates gerne einspielen möchte, viele Hersteller von billigen Systemen bieten oft keine Updates an. Es zeigt sich ebenfalls, dass diese angreifbaren Systeme meist bei KMUs und bei privaten Abb. 3 Linux-Systeme und ihr Anteil an allen Schwachstellen (AT) Anwendern zur Verwendung kommen. In absoluten Zahlen reden wir hier von 9,8 Mio. potenziellen Schwachstellen in der Schweiz und 5,5 Mio. in Österreich. Eine beachtliche Angriffsfläche. Ein grosser Trend ist Internet of Things (IoT), bei welchem Embedded Devices zum Einsatz kommen. Glücklicherweise ist hier die Affinität zur Sicherheit um einiges höher. Wir haben im Vergleich zum letzten Jahr eine Abnahme der direkt aus dem Internet ansprechbaren IoT Devices in der Schweiz gemessen. Bei den Services finden http und Abb. 5 Server in der Schweiz anfällig auf POODLE am 27. Mai 2015 https die grösste Verbreitung. Apache und IIS zusammen bieten viele ausnutzbare Schwachstellen, wie die Abbildung 4 visualisiert. Interessant ist, dass auf https mehr Schwachstellen vorhanden sind als auf http. Dies verdanken wir den Schwachstellen Heartbleed, Poodle und Co., die in den letzten Monaten für einiges an Aufregung bei den verschlüsselten und vermeintlich sicheren Verbindungen gesorgt haben. Diese Gegebenheit veranlasste uns, die Anfälligkeit von Poodle in der Schweiz vier und sieben Monate nach Veröffentlichung der Schwachstelle zu messen. Von den möglichen 196.000 https waren vier Monate nach der Veröffentlichung noch 131.000 (67%) und weitere drei Monate später immer noch 98.000 (50%) der verschlüsselten https Verbindungen auf Poodle angreifbar. Zentrale Netzwerksysteme wie embedded Router, welche den gesamten Verkehr zum Internet aus dem eigenen Netzwerk transportieren, sind angreifbar. Sieben Monate nach Veröffentlichung der Poodle Schwachstelle können immer noch 50% der verschlüsselten Verbindungen über Man in the Middle Angriffe geknackt werden. Diese beiden Beispiele zeigen auf, dass nicht nur eine Schwachstelle alleine ein Problem darstellt. Vielmehr hat die Kombinationen der ausnutzbaren Schwachstellen wesentlichen Einfluss auf unsere IT Sicherheit. Die hier aufgezeigten Herausforderungen betreffen die direkt erreichbaren Systeme im Internet. Die internen Systeme der privaten Netzwerke öffnen sicherlich viele weitere Türen, welche es zu schliessen gilt. Der Autor Pascal Mittner CEO, First Security Technology AG Abb. 4 Anzahl Schwachstellen nach Produkt (CH) © isi Medien, München IT-Security Guide 2015 Download der kompletten Vulnarability Reports: www.first-security.com http://www.first-security.com/svr2015 http://www.first-security.com/avr2015

10
ENTERPRISE MOBILITY STELLT DIE IT-SECURITY VOR NEUE HERAUSFORDERUNGEN Durch die wachsende Verbreitung von mobilen Geräten und Applikationen im Unternehmensumfeld rücken diese verstärkt in das Fadenkreuz von Cyber- Kriminellen. Fast zwei Drittel der von IDC im Mai befragten Unternehmen mit mehr als 100 Mitarbeitern haben bereits Erfahrungen mit Angriffen auf die Sicherheit von Smartphones und Tablet-PCs gemacht. Im Durchschnitt berichten sie von mehr als sechs Sicherheitsvorfällen in den vergangenen zwölf Monaten. Dies ist ein beachtlicher Wert vor dem Hintergrund, dass Informationen, die durch einen Sicherheitsbruch abfließen, einen finanziellen Schaden, rechtliche Konsequenzen und einen Imageverlust für die betroffene Organisation zur Folge haben können. Das Bedrohungspotenzial ist real - und die möglichen Angriffsszenarien vielfältig. Als größtes Sicherheitsrisiko schätzen die befragten IT-Verantwortlichen die Gefahr durch mobile Malware ein, deren Verbreitung auch in der heterogenen mobilen Betriebssystemlandschaft in den letzten Jahren deutlich zugenommen hat. Darüber hinaus zählen mehr als ein Drittel der Befragten Phishing-Attacken zu den drei größten Risiken. Phishing ist auf mobilen Endgeräten besonders tückisch, denn aufgrund der kleinen Displays werden URLs nur teilweise angezeigt und E-Mails häufig so schnell gelesen, dass Unternehmen ihre Sicherheitsfilter noch nicht anpassen konnten. Die Anwender selbst werden von den IT-Verantwortlichen als drittgrößtes Sicherheitsrisiko eingeschätzt. Deren oft zu sorgloser Umgang mit der ihnen zur Verfügung gestellten Technologie stellt die mobile Sicherheit oft auf die Probe. 43 Prozent der Sicherheitsvorfälle gehen nach Einschätzung der IT-Entscheider auf das Konto der Mitarbeiter. Beispielsweise verloren in den letzten zwei Jahren 30 Prozent der befragten Fachbereichs-Verantwortlichen ein Smartphone mit darauf befindlichen Firmeninformationen – 10 Prozent sogar öfter als einmal. Aus Sicht von IDC sind Unternehmen daher in der Pflicht, Mitarbeiter deutlich intensiver über die Konsequenzen ihres unachtsamen Umgangs mit Smartphones und Co. zu sensibilisieren. CONTAINER-LÖSUNGEN SIND NICHT NUR FÜR BYOD-SZENARIEN ATTRAKTIV Zur Verbesserung der Sicherheit von mobilen Apps und Dateien sind Container-Lösungen in den Fokus vieler Unternehmen gerückt. Durch Container können mobile Applikationen und Inhalte eines Unternehmens in einer geschützten Umgebung verwaltet werden. Zudem ermöglicht die Verwendung eines Containers auf einem mobilen Endgerät die Trennung von privaten und geschäftlichen Informationen. IT-Organisationen können somit beispielsweise Firmendaten in einem gemanagten Container löschen, ohne dass persönliche Dateien davon betroffen sind. 54 Prozent der befragten Unternehmen setzen heute Container auf Smartphones und Tablet-PCs ein. Allerdings nannten nur ein Drittel dieser Organisationen die Trennung von privaten und geschäftlichen Inhalten als zentrales Ziel ihrer Lösung; 36 Prozent führten einen besseren Schutz für Firmendaten auf mobilen Geräten an. Während Container oftmals nur mit BYOD-Szenarien in Verbindung gebracht werden, ist die zusätzliche Absicherung von Smart Devices unabhängig davon, ob sie auch privat genutzt werden, am häufigsten das zentrale Ziel einer Implementierung. Unternehmen sollten Container daher nicht nur in Hinblick auf den BYOD Use Case begutachten, sondern auch als möglichen zusätzlichen Sicherheits-Layer auf den Firmengeräten. DIE ABSICHERUNG VON MOBILEN APPS RÜCKT IN DEN FOKUS Die Anzahl an mobilen Applikationen nimmt in deutschen Organisationen seit einigen Jahren deutlich zu. Sicherheitsprobleme treten beispielsweise auf, wenn Mitarbeiter nicht freigegebene Apps aus öffentlichen App Stores oder von Websites herunterladen. Unsichere mobile Apps zählen aus Sicht von 28 Prozent der befragten IT- Abbildung 1: Die größten Sicherheitsrisiken im Umgang mit mobilen Geräten, Apps und Inhalten (Laptops ausgenommen) Quelle: IDC, 2015 10 IT-Security Guide 2015 © isi Medien, München

11
Abbildung 2: Technologien zur Absicherung von mobilen Apps Quelle: IDC, 2015 Verantwortlichen zu den drei größten Sicherheitsrisiken im Umgang mit mobiler Technologie. Die bereits erwähnten Container-Lösungen bieten Schutz auf Geräte-Ebene, darüber hinaus sind weitere, auf mobile Apps zugeschnittene Security-Lösungen vorhanden. Die Auswahl der richtigen App-Security-Technologie hängt stark von den zu schützenden Informationen und den Sicherheitsanforderungen der Unternehmen ab. So muss beispielsweise beim App Wrapping der Quellcode nicht verändert werden, so dass dieser Ansatz für Unternehmen attraktiv ist, die eine Absicherung schnell und bei bereits entwickelten Apps umsetzen wollen. Software Development Kits (SDKs) hingegen bieten umfangreichere Funktionalitäten, so dass Sicherheits-Features individueller auf die Anforderungen einer Organisation zugeschnitten werden können. Die Planungsabsichten der Unternehmen verdeutlichen, dass sich in den kommenden zwei Jahren noch keine Technologie durchsetzen wird und Organisationen verschiedene Wege zur Absicherung ihrer mobilen Applikationen einschlagen werden. Nach Einschätzung von IDC bewegt sich die Branche jedoch in Richtung offener Standards bzw. eines gemeinsamen Rahmenwerks, welches der Verbreitung von SDKs einen zusätzlichen Auftrieb verleihen wird. Der Autor Mark Alexander Schulte ist Consultant bei der IDC Central Europe GmbH FAZIT Die Gewährleistung einer umfassenden Sicherheit für Smartphones, Tablets und Co. stellt für viele Unternehmen eine Herausforderung dar. Diese entsteht insbesondere durch eine hohe Komplexität der mobilen IT, die durch verschiedene mobile Betriebssysteme, eine Verschmelzung von privater und geschäftlicher Technologie, eine kontinuierlich wachsende Anzahl an Smart Devices sowie eine hohe Innovationsdynamik gekennzeichnet ist. Viele IT-Organisationen greifen deshalb auf externes Know-how zurück, um die Mobile Security zu verbessern. Es ist in den nächsten Monaten nicht zu erwarten, dass die potenziellen Sicherheitsgefährdungen durch mobile Endgeräte und Applikationen zurückgehen werden. Mobility hat weder die Grundsätze der IT- Sicherheit noch die böswilligen Absichten der Cyber-Kriminellen verändert, doch der Einsatz mobiler Geräte, Apps und Inhalte ermöglicht neue Angriffsziele und -techniken. Unternehmen müssen ein Verständnis für diese Bedrohungsszenarien entwickeln und anhand von Tools und Prozessen Schutzvorkehrungen treffen. Nur so kann ein produktives und gleichzeitig sicheres Arbeiten von unterwegs ermöglicht werden. © isi Medien, München IT-Security Guide 2015

12
Ihr Partner für Business Solutions Immer aktuell informiert sein mit dem Newsletter des Kostenloser Newsletter des is report: http://www.isreport.de/newsletter/ www.isreport.de 19. Jahrgang 6/2015 9 EUR IT & Business Digitale Prozesse und Lösungen Informationsplattform zu: • Business Intelligence • Dokumentenmanagement • Enterprise Resource • Anwendungen mit SAP Planning • IT-Strategie • Mobile Lösungen • Trends & Analysen • Cloud Computing Weitere Themen: • IT-Security Update • Reporting Tools • Industrie 4.0 • Studie CRM Praxis Aktuelle Studien und Anbieterübersichten finden Sie in unserem Web-Shop unter: www.isreport.de/shop

13
WSFS: DIE TRANSPARENTE CLOUD-VERSCHLÜSSELUNG ����������������� Abbildung 1: Dateien werden als verschlüsselte WSFS-Container realisiert. Zugriff zu den jeweiligen Daten erhalten nur diejenigen Nutzer, die die passenden geheimen Schlüssel besitzen. Das Problem: Gefahren der Privatsphäre in der Cloud Für viele Analysten zählt Cloud Computing zu den wichtigsten strategischen Zielen dieses Jahrzehnts. Vor allem kleinere und mittlere Unternehmen, für welche die Anschaffung und Unterhaltung einer individuell ausgelegten IT-Infrastruktur zu kostspielig wäre, erhalten durch Cloud Computing eine kostensparende Alternative. Die Lösung liegt im Outsourcing in die Cloud, was jedoch mit Risiken verbunden ist. Dieser Beitrag soll die hierbei relevanten Aspekte aufzeigen und als Lösung das Weimar Secure File System (WSFS) vorstellen. Was ist Cloud Computing? Cloud Computing kann als moderne Form des Outsourcings verschiedener Komponenten der IT verstanden werden. Im Gegensatz zu konventionellen Rechenzentren sind in der Cloud IT-Ressourcen wie Datenspeicher, Software, Rechen- und Netzwerkkapazitäten nicht mehr lokal gebunden, sondern werden dynamisch und bedarfsorientiert angemietet. Die eingesetzten Anwendungen und Daten befinden sich somit nicht mehr im firmeneigenen Rechnerumfeld, sondern in einem fernen und undurchsichtigen Ressourcen-Pool. Die Definition des Begriffes Cloud Computing bezieht sich heute auf die des National Institute of Standards and Technology [1]. Hier werden dem Cloud Computing fünf essentielle Eigenschaften (Bedienbarkeit, Netzwerkressourcen, Ressourcenzuweisung, Flexibilität, messbarer Nutzen), drei Serviceformen (Software/Platform/ Infrastructure as a Service) und vier Infrastrukturformen (Private, Community, Public, Hybrid) zugewiesen. Letztere Einteilung basiert in erster Linie auf der Nutzergruppe, welche auf die Infrastruktur zugreifen darf. Datensicherheit in der Cloud Basierend auf dem Cloud-Prinzip (Bündelung und bedarfsorientierte Bereitstellung von Ressourcen) hat der Nutzer bei keiner Serviceform unmittelbare Kontrolle über die zugrunde liegende Infrastruktur. Da diese auch von einem externen Anbieter betrieben werden kann, ist ein unreflektierter Einsatz von Clouds, insbesondere bei sensiblen Daten, bedenklich. Bei der Handhabung von Daten in einer Cloud muss stets der Schutz gemäß den datenschutzrechtlichen Bestimmungen gewährleistet sein [2]. Hierbei wird grundsätzlich zwischen personenbezogenen Daten (Nutzer gibt im Regelfall die datenschutzrechtliche Verantwortung an den Cloud- Provider ab) und einer Auftragsdatenverarbeitung (der Nutzer haftet) unterschieden [2]. Die Rechtsgrundlage für die Übermittlung der Daten an den Cloud-Provider ist dabei u. a. in § 28 Abs. 1 Satz 1 Nr. 2 BDSG geregelt. Weitere Informationen sind etwa in [2] - [5] zu finden. Die meisten großen Cloud-Provider haben ihren Hauptsitz in den USA, unterliegen somit dem USA Patriot Act (2001) und müssten US-Behörden auch Zugriff auf Daten gewähren, die physikalisch auf europäischen Servern gespeichert sind (G. Frazer, ehem. COO bei Microsoft) [6] [7]. Die Frage, ob der Patriot Act tatsächlich EU-Recht außer Kraft setzen kann, beschäftigte auch die europäische Kommission [8]. Laut EG-Richtlinie 95/46/EG (Datenschutz) ist es grundsätzlich untersagt, personenbezogene Daten aus Mitgliedstaaten in Staaten zu übertragen, deren Datenschutzniveau nicht mit dem EG-Recht vergleichbar ist (z. B. in die USA). Die Safe-Harbor-Vereinbarung [9] erlaubt es jedoch, Daten zwischen EU- und US-Unternehmen auszutauschen. Aufgrund dieser Ausnahme ist es denkbar, dass US-Provider den Patriot Act auch bei Daten ihrer EU-Kunden anwenden. Bei der Nutzung einer Cloud eines EU-Providers und unter vollst. Einhaltung von 95/46/EG, wird der Datenschutz weitgehend garantiert. Die Nutzung eines deutschen Anbieters reduziert daher das Risiko eines Datendiebstals beträchtlich. Verschlüsselung ist ein technischer Ansatz, um Datendiebstahl entgegenzuwirken. Laut M. Kranawetter (CSA bei Microsoft) gehört „[a]lles, was in die Cloud gelangt, [...] zuvor verschlüsselt weil per Internet zugängliche Daten in jedem Fall einem erheblich höheren Risiko ausgesetzt sind als Inhalte, die im eigenen Rechenzentrum kontrolliert werden können.“ [7]. Die Verschlüsselung reduziert die Möglichkeiten Daten in der Cloud zu verarbeiten, jedoch können diese so vor unerwünschtem Zugriff geschützt werden. Hierbei könnte die in den Kinderschuhen steckende homomorphe Verschlüsselung [10] eine Lösung bieten. © isi Medien, München IT-Security Guide 2015

14
������������� ����������� ����������� ����������� ����������� ������������ ��������� ������������������� ������������� ��������� ������� ����������������� Abbildung 2: Die Sicherheit der WSFS-Container basiert dabei auf einer hierarchischen Struktur aus Datenblöcken, wobei die unterste Ebene die tatsächlichen verschlüsselten Daten darstellt. Die darüber liegenden Blöcke dienen dem Verwalten von Nutzerrechten, der Privatsphäre und der Integrität. Bei der Datenverarbeitung in einer Cloud wird oft auf virtuelle Maschinen (VMs) zurückgegriffen. Diese ermöglichen es, dass Daten außerhalb der VM verschlüsselt und nur innerhalb dieser unverschlüsselt vorliegen. Auf verschiedenen Cloud-Plattformen ist es jedoch gelungen, Informationen über den verwendeten Schlüssel aus den kryptographischen Prozessen zu gewinnen [11]. Zwar sind diese Beispiele eher theoretischer Natur, jedoch sollte nicht ausgeschlossen werden, dass Organisationen mit entsprechenden finanziellen Mitteln diese Ansätze auch in die Praxis umsetzen können. Zusammenfassend sollte der Einsatz einer Cloud fallbezogen analysiert werden. Es muss betrachtet werden, ob betroffene Daten für Unberechtigte mit ggf. beträchtlichem Budget (z. B. Innentäter, Hacker, kriminelle Organisationen, Geheimdienste) von Interesse sind. Die Autoren Tel. 03643 / 583714 Fax 03643 / 583709 andreas.jakoby@uni-weimar.de Firmeninformationen Bauhaus-Universität Weimar Bauhausstraße 11, 99423 Weimar Tel. 03643 / 583802 Fax 03643 / 583728 stefan.lucks@uni-weimar.de Tel. 03643 / 583727 Fax 03643 / 583728 Tel. 03643 / 583790 Fax 03643 / 583728 eik.list@uni-weimar.de Tel. 03643 / 583808 Fax 03643 / 583728 jakob.wenzel@uni-weimar.de www.uni-weimar.de 14 IT-Security Guide 2015 © isi Medien, München

15
Existierende Cloud-Lösungen Derzeit existiert eine nahezu unüberschaubare Anzahl von Cloud-Angeboten. Einen hilfreichen Überblick bieten etwa [12] [13], welche u. a. über Verschlüsselungsart, Server-Standorte, Schlüsselverwaltung und ob eine Verschlüsselung auf Nutzerseite möglich ist, informieren. Eine Studie des HPIs [14] betrachtet u. a. Fragen des Rechts, der Sicherheit, der Vertraulichkeit, der Verwendung von Zertifikaten und der Nutzung kryptographischer Standards. Weitere Analysen zur Cloud-Sicherheit sind z. B. bei den Fraunhofer-Instituten AISEC und SIT erschienen [15] [16]. Die Lösung: WSFS – Weimar Secure File System Das WSFS konzipiert ein sicheres und portables Dateisystem mit simultaner Nutzbarkeit (Abbildung 1) und wird aktuell an der Bauhaus-Universität entwickelt. Es beschreibt ein verschlüsseltes Dateisystem, dass sich wie ein normales Dateisystem verhält. Es ist in der Lage, beliebig viele Nutzer zu verwalten und das simultane Arbeiten auf verschlüsselten Daten zu erlauben. Dabei sind für einen Nutzer nur Daten sichtbar, für die ihm vom Root-User Rechte zugewiesen wurden (Abbildung 2). Für Unbefugte erscheinen die gespeicherten Daten wie eine große Anzahl von Containerdateien mit einer unverständlichen Anhäufung von Bytes. Somit erlaubt das WSFS die Speicherung der Daten bei einem beliebigen Cloud Anbieter (z. B. Dropbox, Google Drive), ohne dass dieser Informationen über die Inhalte oder Nutzer erhält. Durch den Einsatz von Signaturen lassen sich zudem Manipulationen von außen jederzeit erkennen. Die Entwicklung erfolgt in der Sprache Ada, welche für ihre Verwendung in sicherheitskritischen Umgebungen bekannt ist [17]. Derzeit liegt ein Schwerpunkt der Arbeit an der Entwicklung eines mobilen Devices, das auch von potenziell unsicheren Rechnern aus einen sicheren Zugriff auf das WSFS erlaubt. Literaturverzeichnis [1] [P. Mell und T. Grance „The NIST Definition of Cloud Computing,“ NIST National Institute of Standards and Technology U.S. Department of Commerce, Gaithersburg, 2011. [2] Bundesamtes für Sicherheit in der Informationstechnik (BSI), „Eckpunktepapier: Sicherheitsempfehlungen für Cloud Computing Anbieter,“ Druckpartner Moser Druck + Verlag GmbH, Rheinbach, 2012. [3] J. Budszus, O. Berthold, A. Filip, D. S. Polenz, D. T. Probst und M. Thiermann, „Datenschutz Bayern,“ 9 Oktober 2014. [Online]. Available: https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf. [4] E. Witmer-Goßner, „CloudComputing Insider,“ 29 April 2013. [Online]. Available: http://www.cloudcomputing-insider. de/sicherheit/recht-und-datenschutz/articles/403160/. [5] S. Sädtler, K. Klodt, G. Eble, A. Glaus, M. Wicker, D. A. Duisberg, B. Hajek, D. J. G. Meents, P. D. G. Borges und D. M. Hilber, „TrustedCloud,“ Kompetenzzentrum Trusted Cloud (Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWI), Berlin, 2014. [6] Kinast & Partner, „US-Behörden erhalten Zugriff auf Cloud-Daten, die in Europa gespeichert sind,“ 02 07 2011. [Online]. Available: http://www.datenschutzticker.de/index.php/2011/07/us-behoerden-erhalten-zugriff-auf-cloud-daten-die-ineuropa-gespeichert-sind/. [Zugriff am 19 01 2012]. [7] U. Ostler, „Cloud versus Patriot Act – Die Daten bleiben hier!,“ 29 November 2011. [Online]. Available: http://www. searchdatacenter.de/themenbereiche/cloud/services/articles/340430/. [8] Frau Reding im Namen der Kommission, „Parlamentarische Anfragen Betrifft: Zugang von Behörden der USA zu EU Daten,“ [Online]. Available: http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=E-2011- 006901&language=DE. [Zugriff am 19 01 2012]. [9] Government of the United States of America, „export.gov,“ 1 Januar 2009. [Online]. Available: http://www.export.gov/ safeharbor/eu/eg_main_018475.asp. [10] C. Gentry, A Fully Homomorphic Encryption Scheme, Stanford University: Dissertation, 2009. [11] T. Ristenpart, E. Tromer, H. Shacham und S. Savage, „Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds,“ in 16th ACM Conference on Computer and Communications Security (CCS‘09), Chicago, 2009. [12] W. (Englisch), „Wikipedia,“ Wikipedia, 4 August 2015. [Online]. Available: https://en.wikipedia.org/wiki/Comparison_ of_file_hosting_services. [Zugriff am 5 August 2015]. [13] W. (Englisch), „Wikipedia,“ Wikipedia, 4 August 2015. [Online]. Available: https://en.wikipedia.org/wiki/Comparison_ of_online_backup_services. [Zugriff am 5 August 2015]. [14] C. Meinel, M. Schnjakin, T. Metzke und M. Freitag, „Anbieter von Cloud Speicherdiensten im Überblick,“ Universitätsverlage Potsdam, Potsdam, 2014. [15] AISEC, „Cloud Computing Sicherheit - Schutzziele.Taxonomie.Martübersicht,“ Fraunhofer AISEC, München, 2009. [16] SIT, „SIT Technical Report - On the Security of Cloud Storage,“ Fraunhofer Verlag, Darmstadt, 2012. [17] M. B. Feldman, „Who‘s Using Ada? Real-World Projects Powered by the Ada Programming Language,“ November 2014. [Online]. Available: http://www.seas.gwu.edu/~mfeldman/ada-project-summary.html. [Zugriff am 6 August 2015]. © isi Medien, München IT-Security Guide 2015

16
Mobile Sicherheit – Aktuelle Herausforderungen und Lösungen für kleine und große Unternehmen Mobilität gehört eindeutig zu den Megatrends der vergangenen Jahre und bringt eine tiefgreifende Veränderung in unser privates Leben, aber auch in unseren beruflichen Alltag. Einhergehend mit diesem Trend verändert sich auch das Sicherheitsbewusstsein der Nutzer mobiler Endgeräte. Stationäre IT-Systeme werden traditionell über unterschiedlichste Schutzprogramme abgesichert. Dieses Sicherheitsbedürfnis scheint bei der Nutzung von Smartphones und Tablets oftmals außen vor. Sicherheitsbedenken werden gezielt ausgeblendet. Eine mögliche Hilfe zur Sensibilisierung der Mitarbeiter. APPVISORY™ von mediaTest digital zeigt Anwendern die Gefahren und Schwachstellen von Apps in der täglichen Nutzung in Echtzeit auf. APPVISORY™ ist als Standalone-App für den Privatgebrauch und als Mehrgeräte-Business-Lösung inkl. Anbindung an Mobile Device Management Systeme verfügbar. www.appvisory.com Im Rahmen einer aktuellen Studie von IDG in Zusammenarbeit mit mediaTest digital und weiteren Security-Anbietern, für die vorrangig kleine und mittelständischen deutschen Unternehmen befragt wurden, befürchten mehr als die Hälfte der befragten Unternehmen Diebstahl von Unternehmensdaten bei der Nutzung mobiler Geräte. Gleichzeitig schätzen entgegen dieser Annahme mehr als die Hälfte aller Befragten das Risiko, dass hinsichtlich Datensicherheit und Datenschutz von mobilen Applikationen ausgeht, als „eher geringes oder gar kein Risiko ein“. 1 Dieses widersprüchliche Ergebnis spiegelt sehr genau das Bild wieder, das den Anbietern von Mobile Security Lösungen in der Praxis begegnet. Die erste Herausforderung für Unternehmen besteht darin, sich bewusst zu machen, welche Risiken von der Nutzung mobiler Devices ausgehen. Darüber hinaus benötigen Unternehmen einen gesunden Mix verschiedener Disziplinen des Enterprise Mobility Managements. Es reicht an dieser Stelle nicht mehr aus, ein Mobile Device Management auszurollen, ohne sich um den Sicherheitsaspekt Gedanken zu machen. Unternehmen stehen mittlerweile in der gesetzlichen Pflicht, die verschiedenen Disziplinen wie Mobile Application Management, Mobile Information Management und Mobile Device Management zu kombinieren und daraus eine Strategie abzuleiten, die die IT-Infrastruktur bestmöglich absichert und das Unternehmen samt seiner Mitarbeiter in die Lage versetzt, mobil effizient arbeiten zu können. Als Grundlage hierfür ist es zwingend erforderlich, dass Unternehmen grundlegend verstehen, welche Gefahren von Smartphones, Tablets und der sich darauf befindlichen Applikationen ausgehen. Denn Smartphones werden als Einfallstor für Wirtschaftsspionage und Cyberkriminalität immer relevanter und Apps sind als das schwächste Glied der bevorzugte Angriffspunkt. Jede zweite App weist laut aktueller Statistiken von mediaTest digital in aktuellen Tests signifikante Sicherheitsrisiken auf 2 – von regelwidrigen Tracking-Verfahren über fehlende oder bedenkliche Datenschutzerklärungen bis hin zur unverschlüsselten Übertragung von Adressbuchdaten und Passwörtern. Davon sind sowohl gratis als auch kostenpflichtige Apps für alle Betriebssysteme betroffen. Bei durchschnittlich 29 installierten Apps 3 auf deutschen Geräten und einer mobilen Nutzungsdauer von täglich 195 Minuten 4 sind die Risiken ohne professionelle Unterstützung mittlerweile unberechenbar. Mit der zunehmenden Verbreitung mobiler Endgeräte in Unternehmen, dem rasanten App- und Update-Aufwuchs in den Stores und neuen Angriffsszenarien wird sich die Bedrohungslage in den kommenden Jahren weiter zuspitzen. Auch auf betrieblich genutzten Geräten begünstigen fehlende Sicherheitsstrukturen Angriffe auf die mobile IT-Umgebung und führen zu folgenschweren Datenverlusten. Für diese neuen Herausforderungen benötigen Unternehmen neue Lösungen. Die Anfälligkeit von Apps für Cyber-Attacken erfordert EMM (Enterprise Mobility Management)-Lösungen, die über eine rein gerätebasierte Absicherung hinausgehen. Damit hat das traditionelle Mobile Device Management zwar nicht ausgedient, die notwendige Kontrolle über Risiken durch die App-Nutzung ist jedoch bisher nicht vorgesehen und implementiert. Mit dem anwendungsbasierten Ansatz „Mobile Application Management“ wird eine granulare Kontrolle erreicht, die bei verhältnismäßig geringem Aufwand ein höchstes Maß an Sicherheit und Datenschutz gewährleistet. Als „Software as a Service“-Anbieter liefert mediaTest digital mit seinem App Risk Management-System APPVISORY eine Lösung, die den Einklang von Sicherheit und Nutzerakzeptanz zum Ziel hat. Mit Hilfe eines vollautomatisierten Scanverfahrens wird riskantes App- Verhalten aufgedeckt und auf Grundlage dessen ein White- und Blacklisting- Portfolio angelegt. Ein besonderes Augenmerkt liegt auf der Kompatibilität mit bestehenden EMM-Systemen, die über API-Schnittstellen mit APPVISORY verknüpft werden. Auf diese Weise lassen sich ausgehend von jeder mobilen IT-Infrastruktur ganzheitliche Mobility- Strategien realisieren. Die beste Lösung bleibt jedoch wirkungslos, wenn sie nicht von ihren Anwendern akzeptiert wird. Diesen Punkt unterstreichen die Umfrageergebnisse sehr deutlich. Auf einer Skala von 1 (sehr wichtig) bis 7 (gar nicht wichtig) bewerteten die befragten Unternehmen die Sensibilisierung der Mitarbeiter hinsichtlich mobiler Sicherheit mit einem Durchschnittswert von 1,89 5 . Um sich dieser Herausforderung anzunehmen, ist es laut Aussagen von Experten zukünftig notwendig, klassische Methoden wie Schulungen, Workshops und andere 1 IDG Studie „Mobile Security 2015“ www.idg.de 2 mediaTest digital basierend auf 20.000+ geprüften Apps 3 Nielsen http://www.nielsen.com/us/en/insights/news/2014/smartphones-so-many-apps--so-much-time.html 4 Analysys Mason http://www.analysysmason.com/About-Us/News/Insight/consumers-smartphone-usage-May2014-RDMV0/ 16 IT-Security Guide 2015 © isi Medien, München

17
interne Kommunikationsmaß nahmen mit intuitiven Werkzeugen zu verbinden, um das theoretische Wissen täglich in der Praxis anwenden zu müssen. Mitarbeiter sollten ab sofort direkt in der täglichen Nutzung ihrer mobilen Geräte über riskante Apps mit schadhaftem Verhalten aufgeklärt werden. Aus dieser Erkenntnis entsteht neben der Herausforderung für Unternehmen auch eine Pflicht für Hersteller mobiler Verwaltungs- und Sicherheitslösungen. Anbieter von Mobile Device Management und Mobile Application Management sollten schnellsmöglich intuitiv nutzbare, praxisnahe Tools entwickeln, die kleine wie große Unternehmen dabei unterstützen, Ihre Mitarbeiter zu sensibilisieren. Hierbei gilt es, den Nutzer im Unternehmen nicht mehr getrennt vom Privatanwender zu betrachten, da es sich in aller Regel in beiden Fällen um dieselbe Person handelt. Die Akzeptanz für solche Tools müsste somit im Privatbereich beginnen. 5 IDG Studie „Mobile Security 2015“ www.idg.de Die wichtigsten Begrifflichkeiten: Enterprise Mobility Management Enterprise Mobility Management umfasst sämtliche Maßnahmen in der Unternehmens-IT, die auf den geregelten Einsatz mobiler Endgeräten abzielen. Dabei soll eine optimale Produktivität bei Einhaltung unternehmensinterner Sicherheitsrichtlinien erreicht werden. In der Praxis lässt sich zwischen der Nutzung interdisziplinärer EMM-Suites und der Verzahnung mehrerer Systeme unterschiedlicher Anbieter mit den jeweiligen Spezialisierungen unterscheiden. Mobile Device Management (Mdm) Mobile Device Management beinhaltet die Inventarisierung, Verwaltung und Absicherung mobiler Endgeräte am Arbeitsplatz. Insbesondere bei „Bring your own Device“-Strategien ist dabei die Unterstützung verschiedener Betriebssysteme notwendig. Als gerätebasiertes System richtet sich der Fokus auf allgemeine Gerätefunktionen und -konfigurationen. Mobile Application Management (Mam) Mobile Application Management regelt die Bereitstellung und Verwaltung verwendeter Applikationen auf mobilen Endgeräten. Ziel ist eine präzise Kontrolle über installierte Anwendung bei vergleichsweise geringer Kontrolle über Gerätefunktionen. Je nach Ausprägung der Mobility-Strategie werden neben businessrelevanten Apps auch solche für die private Nutzung unterstützt. Mobile Content Management (Mcm) Mobile Content Management umfasst Prozesse zur Organisation digitaler Informationen in einem mobilen Arbeitsumfeld. Dazu gehören Speicherung, Zugriffsbegrenzung und Schutz unternehmensbezogener Daten sowie die Förderung der Kollaboration durch Synchronisation von Dateien. Cloud Management ist inzwischen zentraler Bestandteil im Bereich Mobile Content Management. Der Autor Sebastian Wolters, CCO & Managing Director, mediaTest digital GmbH App Risk Management (Arm) App Risk Management vereint alle Prozesse von der Identifizierung über die Bewertung bis hin zur Minimierung von Risiken, die von der App-Nutzung ausgehen. Als Entschei-dungsgrundlage bei der App- Auswahl von Unternehmen dienen Testverfahren, das neben Malware-Footprints und Berechtigungen sämtliche Datenübertragungen und Server-verbindungen analysiert. Die ideale Analysetiefe variiert je nach unternehmensspezifischen Anforderungen im Hinblick auf Sicherheitlevels und Entscheidungszyklen. App Distribution Management App Distribution Management organisiert die Bereitstellung von Apps und App-Updates für Mitarbeitergeräte. Hierbei wird zwischen der Installation aus Enterprise App Stores oder öffentlichen App Stores und dem Verteilen von Installationsdateien (z.B. Android: .apk; iOS: .ipa) „Overthe-Air“ unterschieden. Mobile Information Management (Mim) Mobile Information Management ist für den geräteunabhängigen Schutz von Unternehmensdaten vor Verlust und unautorisierten Zugriffen zuständig. Sensible Daten können verschlüsselt und nur ausgewählten Apps, Nutzern oder Nutzergruppen zugänglich gemacht werden. Whitelisting / Blacklisting Whitelisting/Blacklisting liefert Handlungsempfehlungen für die Auswahl verwendeter Apps entsprechend der unternehmenseigenen Compliance- Richtlinien. Grundlage ist die Analyse des Risikoverhaltens von Apps, die je nach festgelegten Sicherheitslevels zur Freigabe oder Sperrung führt. Containerization & App Wrapping Containerization ist die Isolation von betrieblich genutzten Apps in einer sicheren Arbeitsumgebung, bewirkt also die Trennung von privaten und beruflichen Daten. Als anwendungsbasierte Variation schränkt das App Wrapping bestimmte Funktionen einzelner Apps ein. Während Containerization vor allem wegen Defiziten im Bereich Benutzerfreundlichkeit in der Kritik steht, kann App Wrapping Lizenzrechte des jeweiligen App-Anbieters verletzen. © isi Medien, München IT-Security Guide 2015

18
Das Ganze und die Summe seiner Teile Getrennt von einander operierende Sicherheitslösungen, wie man sie traditionell kennt, werden schon bald der Vergangenheit angehören. Technologien, die ein Unternehmen verlässlich schützen, müssen produkt- und lösungsübergreifend miteinander kommunizieren und jederzeit wissen, wann und wo Netzwerkaktivitäten bedenklich werden. Traditionelle Sicherheitslösungen, so scheint es, haben ausgedient und das Gleichgewicht zwischen Sicherheitsmaßnahmen und Hackerangriffen ist unausgewogen. Egal ob Großkonzerne, Mittelstand oder Bundestag: selbst Systeme, bei denen State-of-the-Art- Lösungen im Einsatz sind, werden erfolgreich angegriffen – mit bösen Folgen für die Betroffenen. Trotz exzellenter Erkennungsraten, einer perfekt eingerichteten Firewall und installierter ATP-Technologie (Advance Threat Protection) gelingt es Hackern, sich Zugang zum Netzwerk zu verschaffen. Konnten Hacker bislang mit den traditionellen Produkten und Maßnahmen ausreichend in die Schranken verwiesen werden, so entwickelt sich der Cyberkriminalismus kontinuierlich weiter. Seine Flexibilität macht den traditionellen Sicherheitssystemen schwer zu schaffen, da ihnen die Schwarmintelligenz fehlt. Hervorragende Einzelteile – aber kein funktionierendes Ganzes Sämtliche Sicherheitsfunktionen für sich gesehen funktionieren einwandfrei, aber entscheidend ist heute, dass alle diese Systeme intelligent miteinander vernetzt sind und miteinander kommunizieren. Nur so lassen sich die Lücken zwischen den Lösungen schließen und die Attacken erfolgreich abblocken. Denn was nutzen die besten Erkennungsraten des Antivirus-Systems, wenn ein Eindringling bereits ins System vorgedrungen ist und unerkannt sein Werk vollbringt? Die Kombination neue Technologien wie Cloud und Big Data mit den Daten aus IT-Security-„Silos“ wie Netzwerk, Endpoint oder Mobile wird künftig noch stärker gefragt. Innovative IT- Security-Strategien setzen daher auf die intelligente Kommunikation der einzelnen Lösungen. Nutzen wir diese nicht, gerät unser heutiges Sicherheitskonzept noch weiter ins Wanken. Experten sehen sich mit bruchstückhaften Lösungen konfrontiert, die unvollständig, kompliziert und ineffektiv sind. Als Folge nehmen Sicherheitsvorfälle wie Systemkompromittierungen, Datenpannen und Schadensfälle immer mehr zu. Kommunikation ist gefragt Laut dem Verizon Data Breach Investigations Report 2015 gab es im Jahr 2014 knapp 80.000 gemeldete Vorfälle, 2013 waren es noch rund 63.000 Meldungen. Dieser starke Zuwachs und die Aussage, dass keine Industrie sowie keine Unternehmensgröße vor Angriffen gefeit ist, machen deutlich, dass das aktuelle Sicherheitskonzept der Zukunft neu überdacht werden muss, um sowohl in punkto Effektivität als auch Management unabhängig von personellen Voraussetzungen mithalten zu können. Das bedeutet im Klartext: 1. Sicherheit muss umfassend sein. Eine Lösung muss alle Funktionen beinhalten, die notwendig sind, um die Sicherheitsanforderungen gänzlich zu erfüllen – egal ob Netzwerk, Server oder Nutzer 2. Sicherheit muss einfach sein. Nicht jeder Marktteilnehmer verfügt über gleich viel IT-Kompetenz, jeder ist jedoch gleichermaßen in der Pflicht, für ein höchstmögliches Level an Sicherheit zu sorgen. Eine einfache Anwendung darf sich nicht auf einzelne Bereiche beschränken, sondern muss sich auf alle Aspekte der Lösung erstrecken, also auch auf die Bereitstellung, Verwaltung, Lizenzierung, den Support und die Bedienung. 3. Sicherheit muss vernetzt werden: Wenn Technologiekomponenten kommunizieren und kooperieren, anstatt isoliert voneinander zu agieren, steigt der Schutz. Der Autor Sascha Pfeiffer, Principal Security Consultant bei Sophos Lösungsansätze Für Unternehmer wird es immer schwieriger, die sich gegen die vielen raffinierten Bedrohungen mit nur einer Schutzschicht umfassend zu schützen. Besser wäre es, die Sicherheitsprodukte würden sich vernetzen und ihre Informationen austauschen. So könnte das Unified Threat Management (UTM) im Falle eines kompromittierten Endpoints diesen benachrichtigen und den Administrator in Kenntnis setzen. Der Endpoint selbst kann die Schadanwendung identifizieren und beenden. Eine hochentwickelte Bedrohung, die ansonsten vielleicht unentdeckt bliebe, könnte gefunden und automatisch unschädlich gemacht warden. Ein weiteres Beispiel für ein Vernetzung bestehender IT-Lösungen wäre ein sogenanntes „Compromise Center“, das verdächtige Ereignisse von mehreren Endpoints, Servern und Netzwerkgeräten zusammentragen kann, beispielsweise Fehlversuche einer Software, ihre Berechtigungen zu erhöhen. Dank Big-Data-Analysen und Know-how werden diese Ereignisse korreliert und infizierte Systeme erkannt. Wenn dann auch noch die zentrale Verwaltung mehrere Produkte über die Cloud erfolgt, kann die komplette Bandbreite der verfügbaren Kontrollen zum Schutz genutzt werden. Das Ergebnis ist eine bessere Abwehr, Erkennung und Beseitigung von Malware und modernen Bedrohungen – wahlweise sogar komplett und einfach über die Cloud verwaltet. Diese Beispiele zeigen deutlich, dass Unternehmen neuen Malwareattacken keinesfalls hilflos gegenüber stehen müssten. Ein einheitliches System, bei dem die einzelnen Sicherheitsstufen effektiv und zentral gesteuert zusammenarbeiten, ist nicht nur wirksamer, sondern spart zudem auch noch Geld. Denn eines ist klar: die Malware-Evolution ist bereits in vollem Gange und im Sinne der zukünftigen Sicherheit muss das Ganze muss jetzt mehr werden, als nur die Summe seiner Teile. 18 IT-Security Guide 2015 © isi Medien, München

19
Ein Prozessleitfaden zur ISO 27034–basierten sicheren Softwareentwicklung ISO 27034 Wenn in der Geschäftswelt von IT- Sicherheit gesprochen wird, fällt in diesem Zusammenhang fast ausschließlich die Norm ISO 27001. In dieser Norm wird auf die Anforderungen für Informationssicherheits-Managementsysteme (ISMS) eingegangen - ein Konzept für das Management von Informationssicherheit in Unternehmen. Hierunter fällt natürlich auch die Sicherheit von Applikationen. Allerdings bietet die ISO 27001 für dieses komplexe Thema kein eigenes Framework. Aus diesem Grund hat das für die ISO 270xx Reihe zuständige Joint Technical Committee der International Standards Organization die ISO 27034 Normenreihe entworfen. Sie bietet den Rahmen um ein umfassendes Applikationssicherheits-Programm aufzustellen und zu betreiben. Die Norm betrachtet Applikationssicherheit aus einer ganzheitlichen Perspektive, d.h. es fließen neben technologie- und applikationsspezifischen Sicherheitsanforderungen auch geschäftliche und regulatorische Anforderungen ein. Damit einhergehend unterstützt sie Unternehmen auch bei der Umsetzung der ISO 27001. Um in der unternehmenseigenen Softwareentwicklung ein ausreichendes Maß an Applikationssicherheit zu gewährleisten, kommt die ISO 27034 Norm zum Einsatz. Die Ergebnisse von dort fließen in die Umsetzung der ISO 27001, bzw. das ISMS, ein. Des Weiteren hilft die Norm den Geltungsbereich des Risikomanagements nach ISO 27005 auf Applikationen auszuweiten. Abbildung 1: ONF (Quelle: ISO 27034-1) Die ISO 27034 Norm ist eine sogenannte „High Level Structure“ und gibt keine konkreten Maßnahmen zur Umsetzung vor. Daher kann sie mit relativ geringem Aufwand in bestehende Software Development Lifecycle Modelle adaptiert werden. Hierfür führt die Norm zwei Schlüssel-Frameworks ein, die Unternehmen bei der Umsetzung von Sicherheitsmaßnahmen während der Softwareentwicklung helfen: • Organization Normative Framework (ONF) Im ONF werden alle von einem Unternehmen anerkannten Applikation Security Controls (ASCs als Sicherheitsaktivitäten und -bausteine) definiert und gepflegt. Damit stellt das ONF eine unternehmensweite Bibliothek von Sicherheitsmaßnahmen dar. Es bildet die Basis für Applikationssicherheit im Unternehmen und alle die Applikationssicherheit betreffenden Entscheidungen werden auf dieser Basis getroffen. • Application Normative Framework (ANF) Ein ANF ist eine auf eine spezifische Applikation zugeschnittene Ableitung eines ONF. Sämtliche Sicherheitsaktivitäten und -bausteine (ASCs) des ONF, die eine spezifische Applikation zum Erreichen eines bestimmten Vertrauenslevel (Target Level of Trust) erreichen muss, werden aus dem ONF in das zur Applikation gehörende ANF übernommen. Weiter werden in der Norm der Application Security Management Process, welcher die Steuerung und die Pflege der ANFs gewährleistet, und der ONF Management Process definiert. Letzterer gewährleistet, dass jede zu sichernde Applikation vom gesammelten Wissen des Unternehmens profitiert. Außerdem werden Rückmeldungen und Erfahrungen aus der Sicherung von Applikationen verarbeitet und fließen in die kontinuierliche Verbesserung des ONF ein. Die ISO 27034 gliedert sich insgesamt in die folgenden Teile, wobei derzeit nur der erste Teil „Overview and concepts“ fertiggestellt und veröffentlich ist: 1. Overview and concepts 2. Organization normative framework Abbildung 2: ANF (Quelle: ISO 27034-1) © isi Medien, München IT-Security Guide 2015

20
3. Application security management process 4. Application security validation 5. Protocols and application security control data structure – XML schemas 6. Security guidance for specific applications 7. Application security assurance prediction 8. Protocols and application security controls data structure – XML schemas Security Development Lifecycle (SDL) Der Security Development Lifecycle von Microsoft ist ein Prozess zur Qualitätssicherung in der Softwareentwicklung, insbesondere unter Sicherheitsaspekten. In Abbildung 3 sind die Phasen des SDL vereinfacht dargestellt. Neben der initialen Trainingsphase und der Response Phase zur schnellen Reaktion bei Vorfällen, besteht der Lifecycle aus fünf weiteren Phasen, die dem Kern der Softwareentwicklung zugeschrieben sind. Jede dieser Phasen beinhaltet Schlüsselprozesse und zu erfüllende Meilensteine die sicherstellen, dass Software auf einem angemessenen Sicherheitsniveau entwickelt wird. Die Kern-Phasen (in grün) sind darauf ausgelegt, potentielle Sicherheitslücken so früh wie möglich zu identifizieren und zu korrigieren. Um zu verdeutlichen, wie sich die ISO 27034 auf bestehende Strukturen anwenden lässt, wird in Anhang A der Norm ein Mapping zwischen SDL und ISO 27034 beschrieben. Unternehmen, die auf Basis des SDL von Microsoft entwickeln, dürften es damit besonders leicht haben, Konformität zur ISO 27034 zu erreichen. Abbildung 4 zeigt wie ein Mapping der SDL-Elemente in ein ONF nach ISO 27034 durchgeführt wird. Die Sicherheitsanforderungen werden hierbei von den im SDL üblichen Regulatorien Product Group (PG), Legal and Corporate Affairs (LCA), Human Resources (HR) und Line of Business Applications (LOB App) abgeleitet. Hieraus können sich zum Beispiel länderspezifische Datenschutzanforderungen oder besonders hohe Sicherheitsanforderungen an Banking Applikationen ergeben. Abbildung 3: Security Development Lifecycle (Quelle: Microsoft) Die nötigen Application Security Controls (ASC) werden den SDL-Prozessen entnommen. So fordert der SDL in der Designphase Thread Modeling. Eine entsprechende ASC könnte lauten, dass die folgende Implementationsphase erst beginnen darf, wenn ein vollständiges Thread Modeling (Bedrohungsmodellierung, -analyse und Mitigation) des Designs durchgeführt wurde. Die Applikationssicherheit betreffenden Prozesse sind Line of Business Applications, Final Security Review und Archival. Es müssen zum Beispiel alle Informationen und Daten zu einer Software archiviert werden um diese auch nach dem Release optimal pflegen zu können. Des Weiteren sorgt ein Final Security Review dafür, dass die Applikation auch tatsächlich das notwendige Vertrauenslevel erreicht. Das Security Development Lifecycle Model wird in das Application Security Life Cycle Reference Model gemapped. Dieses Mapping erlaubt es Unternehmen, die ihren Entwicklungsprozess SDL konform ausgelegt haben, ohne größere Umstellungen Konformität zur ISO 27034 Norm zu erlangen. Ähnlich dem SDL kann auch jeder andere Software Entwicklungsprozess Normkonformität erlangen, unter Umständen sind hierfür aber einige Anpassungen/ Erweiterungen notwendig. softScheck Application Security Management (sASM) Mit dem Ziel einer einfachen und praxistauglichen Umsetzung der ISO 27034 wurde von softScheck der Prozessleitfaden sASM entwickelt. Dieser Prozessleitfaden bietet eine Schritt-für- Schritt Anleitung zur Integration der in der Norm vorgeschriebenen Prozesse in den Software Entwicklungszyklus eines jeden Unternehmens. Das sASM entstand in Anlehnung an den infoteam Functional Safety Management-Prozess (iFSM) von softSchecks strategischem Partner infoteam Software AG. Der infoteam Functional Safety Management- Prozess hilft Unternehmen dabei, ISO 61508 zertifizierte Systeme zu entwi- Abbildung 4: Mapping (Quelle: ISO 27034-1) 20 IT-Security Guide 2015 © isi Medien, München

21
Die Autoren Abbildung 5: Mapping des Security Testing Prozesses (Quelle: ISO 27034-1/softScheck) ckeln mit dem Ziel Safety (Funktionale Sicherheit zum Schutz vor Unfällen) sicherzustellen. Der Prozess unterstützt bei der normenkonformen Dokumentation und Durchführung von Projekten nach den Vorgaben des ISO 61508. Analog dazu wird der sASM Prozess hinzugezogen, um den Anforderungen aus der ISO 27034 in der Softwareentwicklung gerecht zu werden und Applikationssicherheit zu gewährleisten. Der Prozess hilft bei der Einführung der Prinzipien der Norm in die unternehmenseigene Softwareentwicklung und ist auf bestehende Entwicklungsprozesse anwendbar, so dass der Aufwand der Integration gering und die Akzeptanz hoch gehalten wird. Abbildung 5 zeigt, wie die einzelnen Methoden Security Testing Process von softScheck in das Lifecycle Referenz Modell der Norm eingeordnet werden können. So lässt sich der Security Testing Process, der auf den Security Development Lifecycle von Microsoft zurückzuführen ist, leicht in die ISO- Norm mappen und dadurch Normkonformität erreichen. Valeri Milke, B.Sc. Senior Consultant, softScheck GmbH Prof. Dr. Hartmut Pohl Geschäftsführender Gesellschafter softScheck GmbH Köln www.softScheck.com Büro: Bonner Str. 108 53757 Sankt Augustin Tel.: +49 (2241) 255 43 – 12 Fax: +49 (2241) 255 43 – 29 Mobil: +49 (172) 9437 – 329 Hartmut.Pohl@softScheck.com Management Summary Software ist heutzutage allgegenwärtig und kaum noch wegzudenken. An vielen Stellen, wie z.B. einer Kaffeemaschine oder einer Digitaluhr, wird sie kaum wahrgenommen, an anderen, wie z.B. dem Smartphone, ist ihre Präsenz deutlich spürbar. Genauso vielfältig wie die Anwendungsfälle, ist auch die Software selbst in ihrer Komplexität und in ihrer Funktion. Diese enorme Vielfalt macht es schwer, die Sicherheit von Software zu gewährleisten, da notwendige Sicherheitsmaßnahmen ebenso individuell und vielfältig sein müssen. Durch die rasante Entwicklung und die Tatsache, dass Software immer mehr Aufgaben erledigt, entstehen auch Risiken, deren mögliche Folgen kaum kalkulierbar sind – bis ein Schadensfall auftritt. Einen anerkannten Standard zum Management von Applikationssicherheit liefert die 2011 von der International Standards Organization (ISO) verabschiedete Norm ISO 27034. Die Norm mit der Bezeichnung „Information technology - Security techniques – Application security“ bietet hierfür eine Hersteller- und Technologie-unabhängige Grundlage. Sie definiert Konzepte, Frameworks, Rollen und Prozesse, die Unternehmen helfen applikationsspezifische Sicherheitsaktivitäten und -bausteine in ihren Software Development Lifecycle zu integrieren. Hohe Kompatibilität und leichte Skalierbarkeit vereinfachen die Integration in bereits bestehende Strukturen und lassen erwarten, dass die Norm zügig von der Industrie adaptiert wird. Dieses Whitepaper gibt einen kurzen Überblick über die ISO 27034 und zeigt, wie sie auf einen bestehenden Software Development Lifecycle angewendet werden kann, sodass Software – das Herz jeder IT-Lösung – sicher ist. © isi Medien, München IT-Security Guide 2015

22
BlurryBox ® – Ein Verfahren für Softwareschutz nach Kerkoffs‘ Prinzip Wozu Softwareschutz? Software hat einen immer größeren Anteil an der Wertschöpfung. Daher ist Softwareschutz ein immer wichtiger werdendes Teilgebiet der IT-Sicherheit. Softwareschutz verhindert das Kopieren und das Reverse-Engineering von Softwareprodukten und schützt so beispielsweise auch vor Industriespionage. Softwareschutz ist auch eine Grundlage für manipulationssichere Software und trägt so zum Schutz der Industrie vor Cyber-Sabotage bei. Die Sicherheit der bisher verfügbaren Softwareschutzlösungen beruht auf der Geheimhaltung der Verfahren selbst. Dies hat einen gravierenden Nachteil: Erlangt der Angreifer Kenntnis über das Verfahren, kann er den Schutz aller damit geschützten Produkte brechen. Das in der Kryptographie etablierte Kerckhoffs’sche Prinzip verlangt daher, dass die Sicherheit von Verfahren nicht von deren Geheimhaltung abhängen. Nur so können diese diskutiert, ihre Sicherheit bewiesen und verbessert werden. Herausforderungen beim Softwareschutz Ein Softwareschutz kann nur sinnvoll und effektiv sein, wenn er die Software nicht nur statisch schützt (bspw. während sie sich auf einem Datenträger befindet), sondern auch während sie auf einem Computer ausgeführt wird (Schutz vor dynamischen Angriffen). Dies ist anders als bei herkömmlicher Verschlüsselung, bei der die statische Sicherheit ebenfalls eine Relevanz hat. Die Architektur von aktuellen Prozessoren erlaubt es nicht Programminstruktionen verschlüsselt auszuführen, daher muss das Programm bei seiner Ausführung zumindest kurzfristig unverschlüsselt im Speicher vorliegen. Das führt dazu, dass der naive Angriff den Speicher zu beobachten und das Programm aus den unverschlüsselten Instruktionen zu rekonstruieren immer möglich ist. Ein effektives Softwareschutzverfahren sollte allerdings alle anderen Angriffe verhindern und diesen Angriff zumindest erschweren. Bisherige Verfahren In der Theorie sind verschiede Methoden bekannt, die einen wirksamen Softwareschutz gemäß Kerckhoffs‘ Prinzip beweisbar garantieren können. Die wirksamste Methode, die sogenannte „Black-Box Obfuscation“ (man kann nicht mehr aus dem geschützten Code des Programms lernen, als wenn man nur Black-Box-Zugriff darauf hätte) ist jedoch für die meisten Programme unmöglich [1]. Es existieren aber auch Methoden mit schwächeren Garantien, die dafür für beliebige Programme eingesetzt werden können. Dazu zählt beispielsweise die „Indistinguishability Obfuscation“ [2], bei der gefordert wird, dass zwei geschützten Programmen mit gleicher Funktionalität ununterscheidbar voneinander sind, sowie Lösungen auf Basis von „Tamper Proof Hardware Tokens“ [3], deren Sicherheit auf Spezialhardware basiert. Alle diese theoretischen Lösungen sind leider für die Praxis bisher wertlos, da sie einen extrem hohen zusätzlichen Aufwand verursachen. Die Triviallösung – die vollständige Ausführung des zu schützenden Programms in einer sicheren Spezial-Hardware – ist bisher in jedem Fall effizienter. Das BlurryBox-Verfahren In einer Kooperation der WIBU-Systems, des FZI Forschungszentrum Informatik und des Kompetenzzentrums für angewandte Sicherheitstechnologie (KASTEL) unter Leitung von Prof. Müller-Quade ist das BlurryBox- Verfahren entwickelt worden. Beim deutschen IT-Sicherheitspreis 2014 wurde das Verfahren vorgestellt und mit dem ersten Platz ausgezeichnet. Das BlurryBox-Verfahren ist ein Softwareschutzverfahren nach Kerckhoffs‘ Die Autoren Prinzip, das ebenfalls auf einem sicheren Hardware-Dongle basiert, jedoch prinzipiell effizient zu realisieren ist. Der Konstruktion des Verfahrens liegen dabei im Wesentlichen drei Erkenntnisse zu Grunde: 1) Eine typische Software ist komplex, so dass niemand durch Bedienung der Software den gesamten Code durchlaufen kann. 2) Der triviale Angriffe des Speicherbeobachtens ist nicht zu verhindern. 3) Ein Angreifer kennt die interne Funktionsweise der Software nicht. Unter Berücksichtigung dieser Annahmen, liefert BlurryBox ® einen beweisbaren Softwareschutz, der den Aufwand für einen trivialen Angriff deutlich erhöht und jeden anderen Angriff prinzipiell verhindert. Partitionierung von Programmen Die grundsätzliche Idee hinter dem Verfahren ist es, das zu schützende Programm in Blöcke einzuteilen. Diese Blöcke werden dann individuell mit einem Schlüssel verschlüsselt, der ausschließlich im Dongle vorliegt. Ein Block wird erst entschlüsselt, wenn er im Rahmen eines normalen Programmablaufs ausgeführt werden muss. Diese Entschlüsselung geschieht ebenfalls in dem sicheren Hardware-Dongle. Die entschlüsselten Instruktionen werden dann jedoch wie gewohnt auf der CPU ausgeführt, was es erlaubt, den Softwareschutz ohne große Geschwindigkeitseinbußen zu realisieren und Matthias Huber Abteilungsleiter FZI Forschungszentrum Informatik mhuber@fzi.de Jochen Rill FZI Forschungszentrum Informatik rill@fzi.de 22 IT-Security Guide 2015 © isi Medien, München

23
Abbildung 1: Das zu schützende Programm wird in einzelne Blöcke eingeteilt. Die Blöcke werden jeweils verschlüsselt und sind somit nicht mehr voneinander zu unterscheiden. trotzdem den entschlüsselten Programmcode so kurz wie möglich im Speicher zu halten. Variantenbildung und Fallen Um dem Angreifer zu erschweren sich einfach alle Blöcke von dem Dongle entschlüsseln zu lassen, werden unterschiedliche Techniken eingesetzt. Zunächst wird die Anzahl der Blöcke erhöht. Dabei werden „Varianten“ von geeigneten Programmblöcken gebildet. Ein bestehender Programmblock wird dafür, gemäß seiner Eingabemöglichkeiten, in neue Programmblöcke geteilt. Dafür wird der originale Programmblock dupliziert und die Duplikate so variiert, dass sie nur für bestimmte Eingabemöglichkeiten des originalen Programmblocks sinnvolle Ergebnisse liefern. Für welche Eingabe welche Variante benutzt werden muss ist ausschließlich dem Dongle bekannt. Ein Beispiel für Programmcode, bei dem das besonders gut funktioniert sind „Switch-Case-Anweisungen“. Für jeden „Case“ kann eine eigene Variante gebildet werden. Eine weitere Technik ist das Einfügen von „Fallen“. Fallen sind künstlich erzeugte Programmblöcke, die im normalen Progammablauf nicht benötigt werden. Wird der Dongle angewiesen eine solche Falle zu entschlüsseln, schaltet er sich ab. Das gleiche geschieht, falls der Dongle angewiesen wird einen Block zu entschlüsseln, der im normalen Kontrollfluss des Programms zu diesem Zeitpunkt nicht vorgesehen ist. Realisiert wird dieser Mechanismus über einen kleinen Zustandsspeicher im Dongle selbst. Sicherheit Die Sicherheit des BlurryBox-Verfahrens beruht auf zwei wesentlichen Annahmen: ein Angreifer kann aus Abbildung 2: Zusätzliche Fallen werden eingefügt. Wird der Dongle angewiesen eine Falle zu entschlüsseln, deaktiviert er sich. Da alle Blöcke verschlüsselt sind, sind Fallen nicht von normalen Blöcken zu unterscheiden. Abbildung 3: Ein Programmteil, das die Eingaben 0,1 und 2 verarbeiten kann, wird beispielhaft in drei Varianten für jede der möglichen Eingaben aufgeteilt. Die Auswahlfunktion W ist dabei nur dem Dongle bekannt. der Kenntnis über eine Variante eines Blocks keine weiteren Varianten des gleichen Blocks herleiten und der Schlüssel zur Ver- und Entschlüsselung der Blöcke ist für den Angreifer unzugänglich im Dongle gespeichert. Unter diesen Annahmen lässt sich in einem kryptographischen Sicherheitsmodell beweisen, dass es keinen besseren Angriff gibt als den trivialen Angriff. Insbesondere ist garantiert, dass der Angreifer das Programm nur entlang des normalen Programmflusses beobachten kann, da der Versuch einen falschen Block zur falschen Zeit zu entschlüsseln zur Abschaltung des Dongles führt. Um den Softwareschutz zu brechen, muss ein Angreifer somit alle überhaupt möglichen Programmabläufe durchlaufen – für ausreichend komplexe Programme scheint das unmöglich. Literatur [1] B. Barak, O. Goldreich, R. Impagliazzo, S. Rudich, A. Sahai, S. Vadhan, and K. Yang. On the (im) possibility of obfuscating programs. In Advances in cryptology —- CRYPTO 2001, volume 2139, pages 1–18. Springer, August 2001 [2] S. Garg, C. Gentry, S. Halevi, M. Raykova, A. Sahai, and B. Waters. Candidate indistinguishability obfuscation and functional encryption for all circuits. In Foundations of Computer Science (FOCS), 2013, IEEE 54th Annual Symposium on, pages 40–49. IEEE, 2013. [3] S. Goldwasser, Y. T., Kalai, and G. N. Rothblum. One-time programs. In Advances in Cryptology – CRYPTO 2008, volume 5157, pages 39–56. Springer, 2008. © isi Medien, München IT-Security Guide 2015

24
SAP-Sicherheit beginnt auf dem Transaktionslayer SAP-Landschaften in großen Unternehmen sind komplex. Deswegen besteht trotz der wichtigen Patches des Softwareherstellers, klassischen SAP- Sicherheits-Ansätzen wie Segregation of Duties, GRC und speziellen Sicherheitslösungen eine nicht wegzuleugnende Gefahrenlage. Häufig übersehen wird der grundlegende Schutz von SAP-Landschaften auf dem Transaktionslayer, insbesondere auf der SAP- Netweaver- und SAP-HANA-Ebene. Sicherheitslücken auf dem Transaktionslayer bleiben oft unbemerkt im toten Winkel ungeklärter Zuständigkeiten bestehen: IT-Fachabteilungen, die sich um Geschäftsprozesse und ihre SAP-Anwendungen kümmern, haben sie oft ebenso wenig im Blick wie die IT-Administratoren, die mit der Verwaltung der Nicht-SAP-Infrastruktur schon alle Hände voll zu tun haben. Für die Verwaltung von SAP-Instanzen und die Auditierung von bis zu 1500 zum Teil sicherheitsrelevanten Parametern bleibt zudem häufig keine Zeit. Oft fehlen schon die Ressourcen für eine Bestandsaufnahme als Diskussionsgrundlage. Angriffsszenarien Die Gefahr lässt sich aber nicht ausblenden, weil alle unternehmenskritischen Geschäftsprozesse wie Finanzen, Produktion, Human Resources und sämtliche Geschäftsprozesse des alltäglichen Unternehmensbetriebs über SAP-Module und Anwendungen geregelt sind. Böswillige Angreifer können sich gerade über den Transaktionslayer Zugriff auf SAP-Systeme verschaffen. Der Spionage ist Tür und Tor geöffnet: Kunden- und Zuliefererdaten, Informationen zu Mitarbeitern, zur finanziellen Planung, Ausgaben, Umsatz und Produktionsunterlagen lassen sich veruntreuen. Dies vor allem dann, wenn es dem Angreifer gelingt, getrennt voneinander vorgehaltene Informationen böswillig zusammenzuführen und weiterzuleiten. Mit nur geringen Kenntnissen über die Zielplattform lässt sich ein SAP System sabotieren. Ein unberechtigter, böswillig durchgeführter Shut- Down eines SAP-Systems hat verheerende Folgen. Auch Finanzbetrug lässt sich leicht und – geschickt angestellt – für lange Zeit unbemerkt durchführen. So können finanzielle Informationen modifiziert, Verkaufs- und Bestellordern manipuliert, neue Scheinzulieferer kreiert oder die Zahlung an einen existierenden Zulieferer auf ein anderes Konto umgelenkt werden. Segregation of Duties als klassischer Ansatz der SAP-Sicherheit läuft hier ins Leere. Kein CISO oder IT-Administrator kann ohne unterstützende Hilfslösungen solche alltäglichen Risiken im Blickfeld haben. Und auch mit SAP HANA bleiben diese Probleme bestehen. Dafür spricht schon der gewaltige Anstieg von SAP-HANA-Patches, deren Zahl 2014 gegenüber dem Vorjahr um 450 Prozent zugenommen hat. Infrastrukturprobleme SAP-Sicherheit fängt auf dem Transaktionslayer an. Angriffe spielen sich auf dieser rein technischen Ebene statt und sind dabei grundlegender Natur, so dass sie sich unmittelbar und mit großen Konsequenzen auf die Sicherheit SAP-gesteuerter Prozesse auswirken. Zentrale Sicherheitsprobleme betreffen Authentifizierungen und den ungeschützten Zugang zu Administrationsdiensten, die sichere Übertragung von Daten durch Verschlüsselung, die Kontrolle der Kommunikation über Schnittstellen zu den Anwendungen, die Auditierung von Schwachstellen und das Logging von Transaktionen. Wer solche Infrastruktur-Schwächen ausnutzen will, braucht keinen gültigen User-Account. Er kann sich bei einem erfolgreichen Angriff alle SAP- Privilegien verschaffen, selbst wenn er gar kein richtiger Anwender ist. Auditing-Funktionalitäten entdecken einen solchen, offiziell nicht vorhandenen Nutzer nicht. Auf der SAP-Netweaver- oder SAP- HANA-Ebene spielen Angreifer ihr ganzes Repertoire bei der Ausbeutung aller klassischen Schwachstellen der IT-Sicherheit aus. Hauptziele dieser Angriffe sind nach Analyse unserer Experten in den Onapsis Research Labs zum einem etwa Kunden- und Kreditkarteninformationen, die über SAP- Systemen ausgetauscht werden. Solche Angriffe setzen an einem System mit niedrigen Sicherheitseinstellungen – etwa einer unproduktiven Testumgebung – an und hangeln sich zu einem geschäftswichtigen System vor, indem sie fernsteuerbare Funktionsmodule im Zielsystem ausführen. Zum anderen fahren die Angreifer Attacken auf Kunden- und Lieferantenportale: Dazu werden Backdoor-Anwender im SAP- J2EE-Benutzermanagement-Modul erzeugt. Hacker erlangen Zugriff auf SAP-Portale und Prozessintegrations- Plattformen sowie die damit verbundenen internen Systeme. Zudem erfolgen Angriffe auf Datenbanken über proprietäre SAP-Protokolle: Für diese Attacke werden Betriebssystembefehle mit den Rechten bestimmter Benutzer ausgeführt und Schwachstellen im SAP-RFC-Gateway ausgenutzt. Der Hacker erhält Zugriff auf jede in der SAP- Datenbank gespeicherte Information und kann diese verändern. Unsere Experten stellen immer wieder enorme Lücken in den SAP-Systemen fest. Bei vom Kunden beauftragten Notwendige Inventur : Erst die Analyse von Schwachstellen schafft einen Ausgangspunkt für SAP-Sicherheit. (Quelle: Onapsis) 24 IT-Security Guide 2015 © isi Medien, München

25
SAP-Penetration-Tests werden unseren Teams nur ein Netzwerkzugang zum regulären Kunden-Front-End, eine Liste von IP-Adressen der zu untersuchenden SAP-Server und keinerlei Angaben zur Autorisierung an die Hand gegeben. Die Ergebnisse sind besorgniserregend. Über 95 Prozent der Systeme stehen offen für Spionage, Sabotage und betrügerische Aktivitäten. Bei fünf Prozent der evaluieren Systeme sind die geeigneten Logging-Funktionalitäten für die Security-Audits deaktiviert. So gut wie kein System steht bei den Sicherheitspatches auf aktuellem Stand. Viele Sicherheitslücken beruhen auf Schwächen, die bisweilen seit über fünf Jahren bekannt und daher eigentlich ohne weiteres zu beheben wären. SAP-Sicherheit auf neue Beine stellen Abhilfe tut not. Erstes Standbein ist ein umfassendes automatisches Assessment der gesamten SAP-Infrastruktur und aller Plattform – also NetWeaver, HANA, Business Objects und alle R/3- Lösungen. Alle Module eines SAP- Systems, jeder SAP-Client und jeder App-Server – auch die über 1.500 Konfigurationsparameter von SAP-ABAPund Java-Instanzen oder Schwachstellen in Flash – müssen regelmäßig, zumindest aber nach jedem SAP Security Patch Day, untersucht werden. Um abgestufte Attacken zu verhindern, müssen Entwicklungs-, Test- und Qualitätssicherungs-Umgebungen regelmäßig evaluiert werden. Nur ein automatisiertes Assessment aller SAP-Elemente eines Systems macht Sicherheitsüberprüfungen handhabbar. Eine dafür geeignete Lösung identifiziert unter anderem Benutzer mit gefährlichen Berechtigungen, erkennt, wenn Sicherheitsupdates nicht installiert wurden, sucht zum Beispiel nach kritischen RFC-Verbindungen oder identifiziert Anwender mit kritischen Zugangsberechtigungen. Mit Hilfe einer Sammlung von Exploits können umfassende Assessment- Lösungen die Schritte simulieren, die ein Hacker bei der Ausnutzung der diagnostizierten Schwachstelle durchführen würde. So lassen sich die geschäftlichen Auswirkungen vorhandener Risiken veranschaulichen. Unternehmen erhalten die Möglichkeit, Risiken individuell zu bewerten und zu priorisieren. Das Ergebnis ist eine erfolgreiche Sicherheitsinventur des Systems in wenigen Minuten, eine hinreichende Diskussionsgrundlage für die unternehmenseigene IT-Sicherheitspolitik. Bei einer regelmäßigen Durchführung der Assessments dokumentieren Delta-Reports die Sicherheitsanstrengungen. Schutz gegen Zero-Day-Attacken und Erkennen auffälligen Nutzerverhaltens Die Inventur der Sicherheitslage ist aber nur ein erster Schritt. Wichtig ist eine Beobachtung der aktuellen Bedrohungslage in Fast-Echtzeit. Auf Patches sollte man nicht länger warten müssen. Unternehmen benötigen die Möglichkeit, schneller auf neue Gefahren zu reagieren. Das ist wichtig, denn zwischen der Anzeige einer neuen Angriffsmethoden, dem Entwickeln eines Patches und dem tatsächlichen Einspielen eines Patches vergehen in der SAP-Welt trotz aller Anstrengungen im Durchschnitt 18 Monate. Die Hacker schlafen nicht und nutzen permanent ihr Knowhow, um Attacken auf Schwachstellen zu starten. Wirkliche Schutzlösungen analysieren daher permanent die Situation und beobachten, ob ein System mit neuen Methoden angegriffen wird. Die Fast-Echtzeit-Abwehr zeichnet auch sofort verdächtige Änderungen in Systemeinstellungen, wie etwa die Einrichtung neuer Anwender mit kritischen Berechtigungen. Gerade privilegierte Accounts und ihre Log-Aktivitäten werden überwacht – ebenso auch die Aktivitäten von Dritten und Vertragspartnern, die in eine SAP-Struktur eingebunden sind. IT-Verantwortliche können mit den kontextbezogenen Informationen die Auswirkung der Angriffe auf die Geschäftsprozesse sowie die Erfolgswahrscheinlichkeit das Risiko einschätzen und die Abwehrmaßnahmen einleiten – sofort beim Auftreten der Bedrohung und unabhängig vom Vorhandensein eines Patches. Dieses Antriggern der Sicherheitsprozesse erfolgt automatisch. Eine solche Strategie ist mehrschichtig aufgebaut und integriert sich auch in bestehende Firewalls und SIEM- Lösungen. SAP-Sicherheitslösungen dürfen nicht als Insellösungen agieren, sondern können über definierte Programmierschnittstellen (API) relevante Daten austauschen. Der Autor Gerhard Unger, Vice President EMEA/APAC bei Onapsis Inc. Ebenso wichtig ist die Beobachtung auffälliger Aktivitäten innerhalb der SAP-Landschaft, die ein Hinweis auf böswillige Aktivitäten von externen Angreifern oder auch internen Mitarbeitern sind. Wenn ein Mitarbeiter aus der Research-and-Development-Abteilung plötzlich auf Kundenlisten in ERP-Modulen oder auf Rechnungsdaten und Lieferanten-Datenbanken zugreift, darf dies nicht mehr unsichtbar bleiben und kann unmittelbar aufgedeckt werden. Die regelmäßige Schattenüberweisung von Geld an einen vermeintlichen Zulieferer lässt sich durch eine automatisierte Erkennung des dazu nötigen Datenverkehrs erkennen und stoppen – mit einem vertretbaren, sich lohnenden Aufwand. SAP-Sicherheit muss, wenn sie mit der Geschwindigkeit der Geschäftsprozesse Schritt halten will, in Fast-Echtzeit durchgesetzt werden. Der Schutz auf dem Transaktionslayer ist dabei der zentrale Hebel, um Gefahren automatisch zu erkennen, detailliert zu dokumentieren und IT-Verantwortliche zu zeitnahen Abwehrmaßnahmen zu veranlassen. Patches, Segregation of Duties und GRC-Regeln erhalten so die entscheidende Ergänzung für eine praktikable und effektive Sicherung von SAP-Landschaften. © isi Medien, München IT-Security Guide 2015

26
www.isreport.de Sonderausgabe Juni 2015 30 Euro www.isreport.de Sonderausgabe September 2015 30 Euro www.isreport.de Sonderausgabe März 2015 30 Euro www.isreport.de Sonderausgabe Dezember 2014 30 Euro www.software-marktplatz.de www.isreport.de 45. Jahrgang www.isreport.de Sonderausgabe September 2015 30 Euro www.isreport.de www.isreport.de www.isreport.de Sonderausgabe März 2015 30 Euro Sonderausgabe 2015 30 Euro Sonderausgabe Februar 2015 30 Euro www.psipenta.de Inselanzeige ISI-ERP CRM Guide.indd 26.01.2015 1 10:11:29 Business Intelligence Lösungs-Guide 2015 ■ Corporate Performance Management ■ Controlling ■ Reporting und Datenanalyse ■ Planung und Konsolidierung Business Intelligence Lösungs-Guide Firmenprofile, Case Stories der Anbieter von Business Inelligence Tools und Services sowie aktuelle, neutrale Expertenbeiträge. Business Guide CRM 2015 Lösungen für das Customer Relationship Management 4 Fachbeiträge 4 Firmenprofile aus gewählter Anbieter 4 Referenzen aus der Praxis Business Guide CRM Detaillierte Firmenprofile und Anwenderberichte aus dem Bereich Customer Relationship Management (CRM) sowie ein Listing von CRM-Lösungen. Ergänzt durch Anwenderberichte und Fachbeiträge zur Marktentwicklung. ✔ Expertenbeiträge ✔ Beispiele aus der Praxis ✔ Firmenprofile wichtiger Dienstleister und Anbieter IT-Lösungs Guide 2015 Business Guide ERP 2015 Lösungen für die Unternehmenssteuerung ■ Produktionsplanung und -steuerung ■ Finanzbuchhaltung – Kostenrechnung ✔ Fachbeiträge ✔ Firmenprofile aller relevanten Anbieter ✔ Referenzen aus der Praxis ✔ Umfassende Produktübersichten ■ Supply Chain Management ■ Warenwirtschaft Business Guide ECM 2015 ✔ Dokumentenmanagement & Archivierung ✔ Zusammenarbeit & Workflow ✔ Input & Output Management ✔ Integration & Automatisierung ✔ Expertenbeiträge ✔ Firmenprofile wichtiger Anbieter ✔ Ausführliche Produktübersicht Microsoft Business Solutions Guide ■ MS Dynamics ■ MS Add-Ons ■ MS Business Intelligence ✔ Firmenprofile relevanter Anbieter ✔ Referenzen aus der Praxis ✔ Umfassende Produktübersicht ✔ Fachbeiträge – 2015 – IT-Lösungs Guide 2015 Firmen der IT-Branche stellen ihre Produkte und Dienstleistungen in den Bereichen BI/BPM/CRM/DMS/ECM/ERP/IT-Security vor ehemals ISIS IT-Firmen Report Informationen und Bestellung: www.isreport.de Business Guide Enterprise Resource Planning Firmenprofile wichtiger ERP- Anbieter, Case Stories, Expertenbeiträge und ausführliche Produktübersicht. oder Telefon: 089/90 48 62-0 Business Guide ECM/EIM Firmenprofile wichtiger DMS-/ ECM- und EIM-Anbieter, Case Stories, Expertenbeiträge und ausführliche Produktübersicht. Microsoft Business Solution Guide Firmenprofile und Case Stories von Microsoft Dynamics-Partnern, Expertenbeiträge und Lösungsübersicht. IT-Lösungs Guide (ISIS IT-Firmen Report) Marktübersicht mit detaillierten Firmenprofilen und Anwenderberichten über erfolgreich durchgeführte Projekte sowie eine ausführliche Software- Marktübersicht. Business Guide CRM&ERP zur CeBIT 2015 ✔ Fachbeiträge ✔ Firmenprofile ausgewählter Anbieter ✔ Referenzen aus der Praxis ✔ Umfassende Produktübersichten oder per Mail: info@isreport.de – 2015 – IT-Security Guide ERP, MES ... 5|E16 Lösungen für die Sicherheit im Unternehmen ■ Mobile Security ■ Cloud Security ✔ Fachbeiträge ✔ Referenz aus der Praxis Lösungs-Guide Lösungen für die Unternehmenssteuerung n SAP-Branchenlösungen: Projekterfolg als Referenz n SAP-Partner-Profil Vorstellung auf einen Blick – 2015 – – 2015 – ■ Sichere Netzwerke ■ Sichere Kommunikation n SAP-Partner: Detaillierte Leistungsübersicht n Add-Ons für SAP-Systeme: Optimale Ergänzung isi Medien GmbH D-81735 München Albert-Schweitzer-Str. 66 Telefon: 0049 / 89 / 90 48 62-0 E-Mail: info@isreport.de Business Guide CRM&ERP Detaillierte Firmenprofile und Anwenderberichte aus den Bereichen Customer Relationship Management (CRM) und Enterprise Resorce Planning (ERP) sowie ein Listing von CRM- und ERP-Lösungen. Ergänzt durch Anwenderberichte und Fachbeiträge zur Marktentwicklung. IT-Security Guide Firmenprofile wichtiger IT- Security-Anbieter, Case Stories und Expertenbeiträge. SAP-Lösungen-Guide Firmenprofile und Case Stories von SAP-Partnern, Expertenbeiträge und Lösungsübersicht. Kostenloster Newsletter unter: http://www.isreport.de/newsletter/ ✔ Fachbeiträge ✔ Firmenprofile aller relevanten Anbieter ✔ Referenzen aus der Praxis

27
SAP Security Zentraler Schutz für Ihre SAP-Server & Applikationen Schützen Sie Ihre SAP-Server, Anwendungen und Daten mit Deep Security von Trend Micro, dem „Anführer und Taktgeber bei Cloud-Sicherheit“ (Experton Group). Ihr Vorteil: größere Sicherheit, permanente Aktualität, reduzierter Aufwand und optimiertes Management. trendmicro.de/deep-security trendmicro.de/it-sa2015 Aussteller auf dem DSAG-JAHRESKONGRESS kongress.dsag.de ´15 6. - 8.10.2015 • Nürnberg it sa2015 Die IT-Security Messe und Kongress The IT Security Expo and Congress Besuchen Sie Trend Micro in Halle 12 • Stand 310 Sprechen Sie mit unseren Experten darüber, wie Sie zielgerichtete und komplexe Angriffe mit Custom Defense abwehren, wie Sie die Cloud sicher nutzen, wie Sie mit Complete User Protection das Unternehmensnetzwerk umfassend absichern und mit welchen Sicherheitslösungen Sie Ihre Produktions-IT schützen. Programmhöhepunkt auf der it-sa: Die Trend Micro IT Security Konferenz am Mittwoch, 07.10.2015 Schutz vor Angriffen Bewährter Schutz vor komplexen, zielgerichteten Bedrohungen Trend Micro Deep Discovery ist eine Plattform zum Schutz vor Bedrohungen, mit der Sie die getarnten und gezielten Angriffe von heute in Echtzeit erkennen, analysieren und flexibel abwehren können. Trend Micro Deep Discovery hat im aktuellen Breach Detection Test von NSS Labs die Bestnote für Bedrohungserkennung erzielt. Ihr Vorteil: Bedrohungserkennung – 99,1 %, die höchste Erkennungsrate aller Produkte im Test trendmicro.de/deep-discovery © 2015 Trend Micro Deutschland GmbH, Zeppelinstrasse 1, 85399 Hallbergmoos. Alle Rechte vorbehalten. Trend Micro und dasT-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Inc.

28