4 HAKIN9 5/2009

das Hauptthema der Juli Ausgabe ist Cloud Computing.
Cloud Computing ist gerade das heißeste Eisen in der IT Branche. Die
Grundbausteine sind Technologien der Virtualisierung und der verteilten Systeme,
die dazu dienen unterschiedliche Services on-demand zur Verfügung zu stellen.
Die IT Industrie sieht darin das Potential einen neuen Paradigmenwechsel zu
generieren. In unserem Heft finden Sie einen einführenden Beitrag zu diesem
hochinteressanten Thema.
Des Weiteren lesen Sie im Artikel Der Penetrationstest – Vorgehen und
Tools eines Testers über mögliche Vorgehen und Mittel, die eingesetzt werden,
damit ein optimales Ergebnis erzielt werden kann.
Zu weiteren Highlights unserer aktuellen Ausgabe gehören: Know-How
Schutz, Antiviren-Programme, E-Mail-Verschlüsselung und Rechtliche Aspekte
der Spamfilterung.
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts ein-
facher als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
vorfinden. Jede Ausgabe wird nämlich automatisch an unsere Subscriber ver-
schickt.
Viel Spaß mit der Lektüre!
Adrianna Witkowska
Chefredakteurin
LIEBE HAKIN9 LESER,
herausgegeben vom Verlag:
Software Press Sp. z o. o. SK
Geschäftsführer: Paweł Marciniak
Herausgeber: Ewa Łozowicka
ewa.lozowicka@software.com.pl
Chefredakteur: Adrianna Witkowska
adrianna.witkowska@software.com.pl
Redaktion/Betatester: Karolina Sokolowska,
Thomas Höhn, Helmut Kaufmann, Andreas Wisler,
Marko Rogge, Michael Heinzl, Ulrike Peter, Peer
Heinlein
Produktion: Andrzej Kuca
DTP: Przemysław Banasiewicz
Umschlagsentwurf: Przemysław Banasiewicz
Werbung: adv@software.com.pl
Anschrift:
Software Press Sp. z o.o. SK
ul. Bokserska 1, 02-682 Warszawa, Poland
Tel. +48 22 427 36 56, Fax +48 22 244 24 59
www.hakin9.org/de
Die Redaktion bemüht sich, dafür Sorge zu
tragen, dass die in der Zeitschrift sowie auf den
begleitenden Datenträgern erhaltenen Informationen
und Anwendungen zutreffend und funktionsfähig
sind, übernimmt jedoch keinerlei Gewähr für derer
Geeignetheit für bestimmte Verwendungszwecke. Alle
Markenzeichen, Logos und Handelsmarken, die sich
in der Zeitschrift befinden, sind registrierte oder nicht-
registrierte Markenzeichen der jeweiligen Eigenümer
und dienen nur als inhaltliche Ergänzungen.
Anmerkung!
Die in der Zeitschrift demonstrierten Techniken sind
AUSSCHLIEßLICH in eigenen Rechnernetzen zu
testen!
Die Redaktion übernimmt keine Haftung für
eventuelle Schäden oder Konsequenzen, die aus
der
unangemessenen Anwendung der beschriebenen
Techniken entstehen. Die Anwendung der darge-
stellten Techniken kann auch zum Datenverlust
führen!
hakin9 erscheint in folgenden Sprachversionen und
Ländern:
deutsche Version (Deutschland, Schweiz, Österreich,
Luxemburg), französische Version (Frankreich,
Kanada, Belgien, Marokko), spanische Version
(Spanien, Portugal), polnische Version (Polen), eng-
lische Version (Kanada, USA)
4
INHALTSVERZEICHNIS
FÜR EINSTEIGER
Heimnetzwerk – Router einrichten 6
Thomas Höhn
Das eigene Heimnetzwerk einzurichten und den Rou-
ter richtig konfigurieren. Darum geht es in diesem Arti-
kel. Danach wird WLAN konfiguriert und der PC WLAN-
fähig gemacht. Eine Anleitung für Einsteiger.
Cloud Computing – Ein Überblick 10
Helmut Kaufmann
Cloud Computing ist gerade das „heißeste Eisen“ in
der IT Branche. Die Grundbausteine sind Technologien
der Virtualisierung und der verteilten Systeme, die da-
zu dienen unterschiedliche Services „on-demand“ zur
Verfügung zu stellen. Die IT Industrie sieht darin das
Potential einen neuen Paradigmenwechsel zu generie-
ren.
ANGRIFF
Der Penetrationstest – Vorgehen
und Tools eines Testers 14
Andreas Wisler
Der Penetrationstest ist ein Mittel, um mögliche Fehler
zu erkennen und damit die IT-Sicherheit zu erhöhen.
Dieser Beitrag zeigt ein mögliches Vorgehen und er-
wähnt Mittel, die eingesetzt werden können, damit ein
optimales Ergebnis erzielt werden kann.
ABWEHR
Know-How-Schutz mit
Unterstützung schafft mehr Sicherheit 24
Marko Rogge
Know-How Schutz ist ein zentrales Thema, wenn es
um den Schutz von Wissen und Daten in Verbindung
geht. Grundsätzlich ist es bedeutend, dass Unterneh-
men sich mit der Sicherheit der Daten befassen, die
für geschäftliche Prozessabläufe relevant sind. Aber
auch das geistige Eigentum von Unternehmen gilt es
zu schützen und das nachhaltig.
Warum Unternehmens- und IT-Sicherheit stu-
dieren? - FH Offenburg 30
6/2010
4 6/2010
Was man heutzutage über
Antivirenprogramme wissen muss 34
Michael Heinzl
Unerfahrene Computernutzer erkundigen sich oft-
mals nach einer guten Antivirenlösung. Empfehlungen
stützen sich hierbei häufig auf persönliche Präferenzen
und Erfahrungen, nur selten werden Kriterien erfragt,
welche für den Fragenden wichtig sein könnten.
DATENSCHUTZ
Trend der E-Mail-Verschlüsselung:
Anwenderfreundlichkeit im Fokus 36
Ulrike Peter
Milliarden ungesicherte E-Mails werden täglich über
das Internet transferiert. Insbesondere Verwaltungen,
Wirtschaftsprüfer, Notare und andere Unternehmen,
die auf elektronischem Weg hochsensible Daten aus-
tauschen, sind jedoch gesetzlich zum Datenschutz
verpflichtet.
Rechtliche Aspekte der Spamfilterung für Un-
ternehmen und Administratoren 40
Peer Heinlein
Internet Service Provider, Arbeitgeber und Administra-
toren haben beim Einsatz von Spam- und Virenfiltern
viele rechtliche Details zu beachten.
Im Zusammenhang mit den Änderungen, die in
letzter Zeit in dem deutschen Recht stattgefunden
haben und die IT-Sicherheit betreffen, möchten wir
ankündigen, dass hakin9-Abwehrmethoden Magazin
seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Er-
kenntniszwecken. Alle im Magazin präsentierten
Methoden sollen für eine sichere IT fungieren. Wir
legen einen großen Wert auf die Entwicklung von ei-
nem sicheren elektronischen Umsatz im Internet und
der Bekämpfung von IT Kriminalität.
Sie wollen mehr wissen?
Tel.: +49 (0) 98 56 - 92 19 991 · www.blossey-partner.de
Datenschutz-Dienstleistungen für Unternehmen
Entlastung · Resultate · Mehrwert
×%*'4
)+$6'5Ü$'4#..T
Immer und überall mobil am PC und im Inter-
net arbeiten zu können, hat nicht nur Vorteile.
Vor allem dann, wenn man sich der Öffent-
lichkeit nicht bewusst ist, können allzu neugierige Blicke
schnell zur Gefahr für sensible Daten werden. Dabei lässt
sich bereits mit wenig Aufwand die Gefahr gut bannen.
Wir spüren die Datenschutz-Löcher in Ihrem Unterneh-
men auf, entwickeln praxistaugliche Lösungen, schulen
Ihre Mitarbeiter und helfen bei der Einhaltung der daten-
schutzrechtlichen Bestimmungen.
z.B. Unachtsamkeit in
der Öffentlichkeit
6/2010 6
FÜR EINSTEIGER
Welchen Router soll ich nehmen?
Welches Gerät das Beste für einen persönlich ist, ist
entweder ganz einfach zu beantworten oder nur sehr
schwierig.
Die einfache Variante ist: Ich nehme den, den mir
mein Internetprovider zur Verfügung stellt.
Die schwierige Variante ist: Es gibt unzählige Modellva-
rianten auf dem Markt. Mit DSL- oder Kabelmodem, mit
WLAN oder ohne, sehr günstige oder sehr teure, mit einer
einfachen Benutzeroberfläche oder einer unübersichtli-
chen. Wenn ich Kinder habe, kann ich im Router das In-
ternet für meine Kinder zeitlich konfigurieren? Und, und,
und. Wenn Sie jemanden fragen, sei es einen Verwandten,
Bekannten oder einen Fachberater im Einzelhandel, beko-
mmen Sie stets unterschiedliche Antworten und sind da-
nach mit der Beantwortung der Frage kein Stück weiter.
Für diesen Artikel habe ich mich für eine Fritz!Box Fon
WLAN 7270 entschieden. Dieser Router hat ein DSL-
Modem mit an Bord, so dass auch nur ein Gerät aufge-
stellt werden muss.
Heimnetzwerk – Router einrichten
Das eigene Heimnetzwerk einzurichten und den Router
richtig konfigurieren. Darum geht es in diesem Artikel.
Danach wird WLAN konfiguriert und der PC WLAN-fähig
gemacht. Eine Anleitung für Einsteiger.
IN DIESEM ARTIKEL ERFAHREN SIE...
• Die schrittweise Anleitung und die richtige Einrichtung eines
Routers für Ihr Heimnetzwerk.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
• Wo ich das Netzwerkkabel einstecken muss und wo meine Te-
lefondose ist.
Thomas Höhn
Abbildung 2. IP Adresse automatisch beziehen
Abbildung 1. Fritz!Box 7270
Heimnetzwerk – Router einrichten
hakin9.org/de 7
Online
Wir müssen uns nun anmelden. Auch hier gibt es Stan-
dardanmeldeprozeduren. Beispielsweise benötigt die
Fritz! Box nur ein Kennwort, welches wir schon jetzt
vergeben können. Bei D-Link ist es als Benutzername
admin und das Passwortfeld bleibt leer. Ein eigenes
Kennwort ist der erste Schutz und MUSS eingestellt
werden.
Das Kennwort ist nun gesetzt und wir befinden uns
auf der Oberfläche des Routers. Nahezu alle Router ha-
ben heutzutage Assistenten an Bord, die einen Schritt
für Schritt durch die Einrichtung führen. Wir verlassen
diesen aber an dieser Stelle, da wir ja eine persönliche
Konfiguration vornehmen möchten.
Zunächst wählen wir den Menüpunkt WLAN aus und
nehmen den Haken bei WLAN-Funknetz aktiv heraus
und klicken auf Übernehmen. Danach erlischt auch die
Vorbereitung
Bevor wir den Router anschließen und einrichten, mü-
ssen ein paar (wenige) Vorbereitungen getroffen wer-
den:
• für DSL: Benutzername und Passwort für den Inter-
netzugang bereit legen
• Kenntnis über meinen Internettarif
• vorhandene Einwahlsoftware auf dem PC deinsta-
llieren
• Netzwerkkabel vom PC abziehen
Überprüfung LAN-Verbindung
Zunächst müssen wir die LAN-Verbindung überprüfen,
ob diese auf „automatisches Beziehen der IP-Adre-
sse“ eingestellt ist. Das ist notwendig, damit wir auch
den Router nachher zur Einrichtung ansprechen kö-
nnen. Klicken Sie dazu auf das Symbol Netzwerkumge-
bung auf Ihrem Desktop oder auf START und dann auf
Netzwerkumgebung. Es öffnet sich ein neues Fenster.
Unter Netzwerkaufgaben (links) befindet sich der Punkt
Netzwerkverbindungen anzeigen, auf den Sie klicken.
Dann klicken Sie mit der rechten Maustaste auf „LAN-
Verbindung“ und wählen den Punkt Eigenschaften aus.
Dann noch in dem neuen Fenster Internetprotokoll
TCP/IP auswählen und den Button Eigenschaften an-
klicken.
Sollte dort eine IP Adresse eingetragen sein, dann
die Punkte IP Adresse automatisch beziehen und DNS-
Serveradresse automatisch beziehen anklicken. Mit OK
bestätigen und alle weiteren Fenster ebenfalls mit OK
bestätigen und schließen.
Der Router – das unbekannte Wesen
WICHTIG: Einstellungen am Router nimmt man immer
dann vor, wenn der PC per Netzwerkkabel mit dem Rou-
ter verbunden ist. Aus Sicherheitsgründen NIEMALS
per WLAN!
Nun kommen wir zur Routereinrichtung. Das Gerät
schließen wir als erstes an den Strom an. Danach ver-
binden wir den Router mit einem Netzwerkkabel mit
dem PC. Der PC bekommt nun vom Router eine IP
Adresse zugewiesen und wir können dadurch auf die
Routeroberfläche zugreifen. Dieses tun wir mit einem
Internet Browser (z.B. Internet Explorer, Firefox oder
Opera). Wenn dieser geöffnet ist, geben wir die IP des
Routers ein. In unserem Fall http://192.168.178.1. Die
IP Adresse Ihres Routers steht in der beiliegenden An-
leitung. AVM benutzt z.B. die 192.168.178.1, hingegen
benutzt z.B. D-Link die Standardadresse 192.168.0.1.
Sie können die IP auch auf Ihrem PC nachschauen.
Klicken Sie dazu doppelt auf das Computer-Icon auf
Ihrer START-Leiste und dann auf den Karteikartenreiter
Netzwerkunterstützung. Dort steht die IP des Routers
unter Standardgateway.
Abbildung 4. Keine Verbindung – Fehlerhaftes Passwort?
Abbildung 3. Router IP
6/2010 8
FÜR EINSTEIGER
WLAN-Lampe am Router. Keine Angst, kabellos werden
wir selbstverständlich surfen, aber zunächst müssen wir
online gehen können. Und ein nicht abgesichertes WLAN-
Netz oder ein vorgegebenes abgesichertes WLAN-Netz
ist mir nicht sicher genug. Der WLAN-Schlüssel muss
absolut individuell sein, aber dazu später mehr.
Wir klicken nun auf den Menüpunkt Einstellungen
und dann auf Erweiterte Einstellungen und auf Internet,
dann können wir den Punkt Zugangsdaten auswählen.
Wir setzen den Haken bei Zugangsdaten verwenden
und geben den Benutzernamen und unser Passwort
ein. Bleibt nun noch die Auswahl, ob die DSL-Verbin-
dung dauerhaft sein soll oder ob die Verbindung nach
einer bestimmten Zeit getrennt werden soll. Es ist zu
empfehlen, dass man spätestens jetzt nochmal einen
Blick auf den abgeschlossenen Tarif wirft, da es sonst
bei Internetverbindung dauerhaft halten sehr teuer wer-
den kann, wenn man keine Flatrate abgeschlossen hat.
Der Klick auf Übernehmen speichert unsere Eingaben.
Jetzt verbinden wir den Router mit dem Internet. Da-
zu verbinden wir das beiliegende Kabel und klicken auf
DSL-Information.
Die Aktualisierung und Anmeldung des integrierten
Modems kann ein paar Minuten dauern. Sobald die Ver-
bindung hergestellt ist, sehen wir das auf der Übersicht
unter DSL-Informationen.
Wir testen es aber auf andere Weise, in dem wir un-
seren Browser öffnen und die Adresse http://www.ho-
ehn-it-service.de eingeben.
Der Router ist nun für den Internetzugang eingerich-
tet. Wir werden aber nun unsere Eingaben noch sichern.
Dazu gehen wir über Erweiterte Einstellungen und Sys-
tem zu dem Punkt Einstellungen sichern.
Schnell noch auf Einstellungen sichern klicken, einen
Speicherort auswählen (am Besten ein eigener Ordner)
und unsere Eingaben sind gesichert.
Wir verlegen ein WLAN-Kabel – Kabellos
Surfen
Da wir jetzt online sind, ein wenig gesurft haben und
noch schnell die E-Mails abgerufen haben, wollen wir
WLAN einrichten.
Wir gehen wieder mit http://192.168.178.1 auf den Rou-
ter und gehen über Erweiterte Einstellungen zu dem
Punkt WLAN. Hier setzen wir den Haken bei WLAN-
Funknetz aktiv und klicken auf Übernehmen. Dann än-
dern wir den Namen (SSID) ab. Wir können hier frei
wählen, es sollte aber kein langer Satz sein, sondern
kurz und prägnant. Dieser Name ist auch von anderen
Leuten zu sehen und schon alleine aus diesem Grund
sollte man auf Bezeichnungen wie meinwilderhase17
verzichten.
Wir wählen nun den Punkt Sicherheit aus und über-
prüfen, ob der Punkt WPA-Verschlüsselung aktiviert ist.
Der WPA-Modus sollte auf WPA-WPA2 stehen. Wir ver-
Abbildung 6. Einstellungen sichern!
Abbildung 5. Online
Abbildung 8. WLAN Kanal
Abbildung 7. WLAN
hakin9.org/de 9
geben nun einen individuellen WLAN-Netzwerkschlü-ssel.
Der bereits vorhandene steht bei der Fritz! Box auch auf
einem Aufkleber unter der Fritz! Box. Dadurch, dass die-
ser bereits ab Werk eingetragen ist, ist der Schlüssel nicht
mehr sicher. Wir vergeben einen neuen. Sie können dazu
Buchstaben und Zahlen benutzen. Man kann sich diesen
vorher auf ein Blatt Papier schreiben oder auch wild auf
der Tastatur tippen. Er muss nur sicher sein. Verzichten
Sie daher auf einen Schlüssel, der nur 1 enthält oder nur
den Buchstaben a. Auch sind Geburtstage ungeeignet.
Zum Abschluss auch hier auf Übernehmen klicken.
Als letzten Akt zur WLAN Einrichtung gehen wir zum
Punkt Funkkanal. Aktivieren Sie Funkkanal-Einstellun-
gen anpassen und setzen den Haken bei Störeinflü-
ssen einblenden. Wählen Sie einen Kanal, der möglichst
wenig Störeinflüsse hat und bestätigen Sie mit Über-
nehmen.
Voilá. WLAN ist auf dem Router eingerichtet. Wir kö-
nnen den Browser nun schließen.
Den PC WLAN-fähig machen
Um nun auch wireless surfen zu können, müssen
wir der WLAN-Netzwerkkarte auf dem PC auch noch
den Netzwerkschlüssel mitteilen. Dazu klicken wir auf
START - Einstellungen - Systemsteuerung - Netzwerk-
verbindungen und wählen die WLAN-Karte aus (Dra-
htlose Netzwerkverbindung). Klicken Sie dann auf
Netzwerkliste aktualisieren und wählen Ihr Netzwerk
aus. Dann der Klick auf Verbinden und Sie werden zur
Eingabe des Netzwerkschlüssels aufgefordert. Geben
Sie diesen ein und verbinden Sie sich. Nun können Sie
kabellos surfen.
Verwendete Geräte und Software:
AVM Fritz!Box Fon WLAN 7270 mit der Firmware Version
74.04.80
PC mit Windows XP SP3
Im Internet
• http://www.hoehn-it-service.de - Homepage des Autors
• http://www.conwertho.de – Homepage Conwertho Gm-
bH
• http://www.avm.de/de/Service/Service-Portale/Labor/in-
dex.php – Link zum Fritz! Labor
THOMAS HÖHN
Der Autor ist Microsoft Certifed Technology Specialist und
Geschäftsführer der Conwertho GmbH. Er ist u.a. für das Ver-
sicherungsgeschäft und den IT-Bereich zuständig. Als ge-
lernter Versicherungskaufmann verfügt er über mehr als 14
Jahren Erfahrung in der Versicherungsbranche und hat zahl-
reiche Firmen begleitet. Ebenso betreut er als Netzwerk-
techniker zahlreiche Kunden selbst, um die Praxis nicht zu
“verlernen“.
Kontakt mit dem Autor: thomas.hoehn@conwertho.de
6/2010 10
FÜR EINSTEIGER
I
m Vordergrund steht die Fortführung des bereits
eingeschlagenen Weges der Virtualisierung und der
Ansatz von Service Oriented Architectures (SOA).
Das dadurch erreichbare Konsolidierungspotential soll
durch die Weiterentwicklung in die Cloud noch gestei-
gert werden. Wobei Cloud Computing weit mehr be-
deutet als reine Virtualisierung. Es entsteht ein Risiko,
wenn man den Sicherheitsaspekt bei der Sicherheit
der Virtualisierung sieht und dort auch enden lässt.
Der Name Cloud Computing ist eine Methapher (sie-
he Anhang: 1), die zur Beschreibung des zugrundelie-
genden verteilten Ansatzes auf die Bezeichnungsweise
und bildliche Darstellung des Internets zurückgreift,
welches oft als Wolke repräsentiert wird. Leider ver-
stehen nicht alle unter Cloud Computing dasselbe. Iro-
nisch gesagt, kann man dies auf einen Satz reduzieren:
Wenn man zwei Experten befrägt dann bekommt man
drei Meinungen.
Es folgt nun der Versuch ausgehend von den Defini-
tionen der ENISA (European Network and Information
Security Agency) einen Überblick über die wichtigsten
Begriffe und Eigenschaften aus architektonischer Sicht
zu erstellen (siehe Anhang: 2):
• Service on demand, verbunden mit pay as you go
(siehe Anhang: 3) Prinzip
Cloud Computing – Ein Überblick
Cloud Computing ist gerade das heißeste Eisen in der
IT Branche. Die Grundbausteine sind Technologien der
Virtualisierung und der verteilten Systeme, die dazu dienen
unterschiedliche Services on-demand zur Verfügung zu
stellen. Die IT Industrie sieht darin das Potential einen neuen
Paradigmenwechsel zu generieren.
IN DIESEM ARTIKEL ERFAHREN SIE...
• Was man unter Cloud Computing versteht;
• Über die verschiedenen Defnitionsansätze des Cloud Compu-
tings.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
• Kein Vorwissen nötig.
Helmut Kaufmann
Abbildung 2. 11 Domänen, die für Unternehmen rentabel
eingesetzt werden
Abbildung 1. Defnitionsansatz: Cloud Computing
Cloud Computing – Ein Überblick
hakin9.org/de 11
hier Amazons EC2 und S3 genannt sowie Rack-
space Cloud und Terremark Enterprise Cloud.
Eine weitere Möglichkeit, Clouds zu charakterisieren
und zu kategorisieren und sich in der gängigen Litera-
tur vielfach widerspiegeln, ist die folgende:
• Public Cloud: Öffentlich zugängliche Services, wo
jedes Unternehmen oder Privatmann/-frau ein Ser-
vice mieten bzw. kaufen kann.
• Private Cloud: Von einer private Cloud spricht man
dann, wenn die Services nach den Grundprinzipien
und den architektonischen Eigenheiten des Cloud
Computings aufgebaut sind, aber nur über ein pri-
vates Netzwerk zugreifbar und nutzbar gemacht
werden.
• Hybrid Cloud: Die Cloud Infrastruktur setzt sich aus
einer oder mehreren Clouds zusammen, die sowohl
public als auch private sein können. Diese erstreckt
sich somit unter Umständen über die Firewallgren-
zen eines Unternehmens hinweg. Ein möglicher
Einsatz dafür sind Load Balancer zwischen Clouds.
• Partner Cloud oder Community Cloud: Dabei werden
die Services von einer limitierten Anzahl von Benu-
tzern eingesetzt, die denselben Bedürfnissen unter-
liegen und so gegenseitiges Einverständnis erzielen,
welche z.B. die Sicherheitsanforderungen betreffen
und damit einem wohl definierten Benutzerkreis zur
Verfügung gestellt werden. Im weitesten Sinne ver-
gleichbar mit den Outsourcing-Prinzipien.
In einem Satz ausgedrückt kann man Cloud Compu-
ting so zusammenfassen: Cloud Computing ist die zur
• Geteilte Ressourcen wie Storage, Datenbanken,
Hardware…
• Ressourcen as a Service (RaaS) – Weiterentwick-
lung des SOA Ansatzes über Firewallgrenzen hin-
weg (siehe Anhang: 4)
• Pragmatisches Management
• Nahezu unmittelbare Provisionierung
• Nahezu unmittelbare und flexible Skalierbarkeit
• Hoher Abtrahierungsgrad
• Lokalisationsunabhängiger Ressourcenpool
Grundsätzlich kann man das Cloud Computing in drei
Kategorien einteilen.
• Software as a Service (SaaS): Dabei wird Software
normalerweise von einem Software Provider – im
Regelfall ein Drittanbieter – als Service on Demand
angeboten, welches üblicherweise über das Inter-
net konfigurierbar und verfügbar gemacht wird. Als
Beispiele dazu seien hier die Textverarbeitung und
die Tabellenkalkulation von „Google docs“ genannt.
• Platform as a Service (PaaS): Genutzt um z.B. neue
Applikationen zu erstellen. Dabei werden on demand
die notwendigen Entwicklungswerkzeuge zur Verfü-
gung gestellt. Diese Plattformen bieten neben den
eigentlichen Entwicklungswerkzeugen auch Dienste
für das Configuration Management und den Vertei-
lungsprozess an. Als Beispiel sei hier auf Microsoft´s
Azur und Google´s Apps hingewiesen.
• Infrastructure as a Service (IaaS): Bietet virtuelle
Systeme sowie andere virtualisierte Hardware und
Betriebssysteme an, die über Service APIs on de-
mand kontrolliert werden. Als Beispiel dafür seien
Abbildung 3. Storage-as-a-Service
Enterprise Application
Internet
Storage-as-a-Service
Provider
Remote Storage Remote Storage
Local Storage
Abbildung 4. Information-as-a-Service
Enterprise Application
Internet
Information-as-a-Service
Provider
Information Information
6/2010 12
FÜR EINSTEIGER
Verfügungstellung von jeglichen Computerressourcen
durch ein Web-Service-Interface auf einer as-needed
Basis (siehe Anhang: 5).
David S. Linthicum (siehe Anhang: 6) greift die Archi-
tekturkomponenten, die in Business Applikationen in
einem Unternehmen eingesetzt werden und verbindet
darauf den SOA Ansatz mit einer möglichen Cloud Ar-
chitektur. Er kategorisiert folgende 11 Domänen, die für
Unternehmen rentabel eingesetzt werden:
• Storage as a Service
• Database as a Service
• Information as a Service
• Process as a Service
• Application as a Service
• Plattform as a Service
• Integration as a Service
• Security as a Service
• Management/Governance as a Service
• Testing as a Service
• Infrastructure as a Service
Es sollen nun exemplarisch einige Domains näher be-
trachtet werden.
Storage as a Service:
Wie der Name schon vermuten lässt, versteht man da-
runter einen remote zur Verfügung gestellten und ver-
walteten Speicherplatz, welcher aber logisch gesehen
als lokaler Speicher behandelt wird. Im Grunde geno-
mmen nichts anderes als ein Teil eines SAN (Storage
Aera Network), welches nicht notwendigerweise im ei-
genen Netzwerk lokalisiert ist. Die Speicher können von
jedem Rechner bzw. von jeder Applikation angefordert
werden und dies on-demand.
Ein besonderer Vorteil besteht darin, dass man den
Speicher bei Bedarf flexibel skalieren kann. Die Kosten
sind für Speicherkapazitäten auf z.B. Projektlaufzeiten
einschränkbar und somit muss in keine Anlagenbestände
investiert werden und es muss kein Anlagenvermögen
aufgebaut werden. Des Weiteren übernimmt der Storage
as a Service Anbieter auch die notwendige Verantwortung
und Schritte für Backup und Recovery bzw. für das De-
saster Recovery der solcherart gespeicherten Daten. Wie
die Daten allerdings gegen unbefugten Zugriff bzw. gegen
Offenlegung oder anderweitige unrechtmäßige Verwen-
dung geschützt werden, sind im Einzelfall zu analysieren
bzw. durch geeignete Methoden z.B. durch Einsatz von
Verschlüsselungssoftware, selbst durchzuführen.
Information as a Service
Hier soll die Möglichkeit geschaffen werden, unterschied-
lichste Medienmeldungen durch standardisierte API´s
zugänglich zu machen. Beispielsweise Meldungen der
APA, DPA, der internationalen Stock Exchange u.v.m.
Unter programmableweb.com findet man mit Stand Mai
2010 in etwa 1600 dieser API´s.
Somit wird es möglich, Informationen von unterschied-
lichsten Quellen und Informationsanbietern zu sammeln
und zu analysieren. Die großen Nachrichtenagenturen
Abbildung 5. Cloud Computing Architektur
SOAP/
HTTP
SOAP/
HTTP
SOAP/
HTTP
salesforce.com
XML/HTTPS Oracle
FTP
IMI (Direct Mail)
SMTP/FTP
California
Lithographers
(Brochures, Printing)
SFTP
peoplemetrics
(Surveys)
SOAP
Address Validation Service
(Third-Party Service)
Business processes
between partners are easlly
shared through the network
Cloud Computing – Ein Überblick
hakin9.org/de 13
der Welt arbeiteten noch vor dem Hype Cloud Compu-
ting – zwar properitär – aber schon lange auf ähnliche
Art und Weise zusammen, um den Informationsfluss
bzw. den Nachrichtenaustausch zu garantieren. Nun
bietet sich dies aber auch für Unternehmen jeder Grö-
ße an, da man die Applikation nur gegen die entspre-
chenden API´s binden muss. Eventuelle Lizenzkosten
und Reprogrammierung von Business Applikationen
sind natürlich zu beachten. Die meisten Angebote für
die Nutzung von Web-APIs zur Nutzung als Information
as a Service sind aber kostenfrei verfügbar.
Diese Informationsgewinnung ermöglicht einen um-
fassenden Datamining Ansatz für die Wissensgenerie-
rung im Unternehmen. Die Verschmelzung unterschied-
lichster Informationsquellen – auch in unterschiedlichen
Formaten und deren Standardisierung und Kategorisie-
rung, ermöglicht vielfältige Einsatzmöglichkeiten wie die
Fortführung und Anwendung im Prozess as a Service.
Aber auch die Möglichkeiten, Anomalien (Fraud-Detec-
tion, Data-Loss-Prevention, Maleware-Frühwarnungen)
frühzeitig zu erkennen, steigen dadurch stark an.
Plattform as a Service:
Hierbei versteht man die ganzheitliche Integration vom
Storage über Application bis zu Testing as a Service.
David S. Linthicum bezeichnet Plattform as a Service
mit dem Vergleich eines One Stop Shops für Application
Developer und die dazugehörige Verteilung bzw. Ver-
breitung derselben. Ein aktuelles Beispiel dafür sind die
Google Apps API´s und Applikationen.
Security as a Service:
Dabei wird der Gedanke verfolgt, Sicherheitsanwen-
dungen und Dienstleistungen als Service letztendlich
zum Endanwender zu transportieren. Dieser Bereich ist
ein noch sehr rudimentär ausgeprägtes Tätigkeitsfeld,
wobei immer interessantere Themen wie z.B. Identitäts-
management entwickelt und angeboten werden. Viele
Unternehmen, die im Sicherheitsbereich tätig sind, ver-
wenden bereits technologische Ansätze, die sich sehr
gut in die Cloud transformieren lassen. Insbesondere
im Bereich der Malwareerkennung in Web- und GUI
Applikationen oder im Bereich der Intrusion Detection
und Intrusion Prevention mittels Anomalieerkennung.
Gerade hier bietet zur Früherkennung der verteilte
Strukturansatz des Cloud Computings große Chancen.
Resümee:
Allerdings gibt man bei Cloud Computing einiges aus
der Hand. Wie sieht es z.B. bei einem Netzwerkausfall
mit der Verfügbarkeit der Daten aus? Man gibt dabei ein
Stück Selbstbestimmung auf und „verläßt“ sich auf die
Qualität, Verfügbarkeit und die Sicherheit der angebote-
nen Services. Ebenso kritisch muss auch der Parameter
Performance betrachtet werden. Insbesondere, da die zu
verarbeitenden Daten ein immer schnelleres Wachstum
aufweisen. Im Speziellen, wenn man hochdatenintensive
Bereiche wie Video-/Bild- und Ton verarbeitet. Ebenso
sollte sorgfältig überlegt werden, welche Daten wie und
wo gespeichert werden, um den örtlichen Datenschutz-
gesetzen gerecht werden zu können. Auch wenn dies
nicht jeder Cloud Provider zur Verfügung stellen wird und
kann, denn einer der Grundsätze ist ja das verteilte Rech-
nen und damit die verteilte Speicherung. Nicht zuletzt ist
aber die Sicherheit im Cloud Computing mehr als nur die
Sicherheit von virtualisierten Services. Einer sicherheits-
kritischen Betrachtung müssen nicht nur die technischen
Aspekte unterzogen werden, sondern genauso muss
das Augenmerk auf organisatorische und administrative
Belange gerichtet sein. Eine entsprechende Einbettung
in das Risikomanagement ist dabei unabdingbar. Wobei
der Ansatz des technisch realisierbaren vor dem organi-
satorisch machbaren den Vorrang haben sollte.
Abbildung 6. Unter programmableweb.com fndet man ca. 1600
der API´s
ANHANG
1. Vergl. Anthony T. Velte et al; „Cloud Computing: A Practi-
cal Approach“; S3-4 ; McGraw Hill 2010
2. Vergl. „Cloud Computing: Benefts, risks and recommen-
dations for Information Security“ ; S14-15; November
2009; ENISA
3. Vergl. „Cloud Computing: Benefts, risks and recommen-
dations for Information Security“ ; S14-15; November 2009;
ENISA und http://de.wikipedia.org/wiki/Pay_as_you_go
4. Vergl. David S. Linthicum; „Cloud Computing and SOA
Convergence in Your Enterprise“ S7-8 ; Addison Wesly,
Pearson Education 2010
5. Vergl. Eucalyptus Systems, Inc; Cloud Computing Platform
Administration Guide V1.6; S7; Eucalyptus Systems, Inc
2010
6. Vergl. David S. Linthicum; „Cloud Computing and SOA
Convergence in Your Enterprise“ S38f ; Addison Wesly,
Pearson Education 2010
HELMUT KAUFMANN
Der Autor ist stellvertretender Studiengangsleiter IT Security
an der FH St. Pölten. Er arbeitet zur Zeit an folgenden Projek-
ten: Digitale Unterschrift, Notebookverschlüsselung und Port
Security.
6/2010 14
ANGRIFF
D
er IT Alltag ist oft von Hektik und Stress be-
gleitet. Sehr schnell kann es geschehen, meist
unabsichtlich, dass eine Härtungsmassnahme
nicht geht oder eine Testregel in der Firewall verge-
ssen wird. Ebenfalls gehören ständige Änderungen und
Erweiterungen am Netzwerk zum täglichen Business.
Sollte dann ein Mitarbeiter zusätzlich die Firma verla-
ssen, geschieht die Übergabe aus unserer Erfahrung
oft nicht optimal. Dass dabei die Dokumentation gerne
vernachlässigt wird, zeigen diverse Studien. Nicht ver-
gessen werden dürfen die regelmässigen Änderungen
an Hard- und Software durch Patches und Updates. Aus
diesen Gründen lautete bereits 1993 der Usenet-Aus-
spruch von Dan Farmer und Wietse Venema Improving
the security of your site by breaking into it.
Informationen
Im Gegensatz zu IT-Revisionen gibt es zur Durchfüh-
rung von Penetrationstests weder gesetzliche Vorgaben
noch Richtlinien. Somit sind der Ablauf, die Methodik
und die Art der Dokumentation offen. Seit einigen Ja-
hren gibt es Versuche, diesen Missstand zu beheben.
Zu den bekanntesten Verfahren gehört sicherlich das
Open Source Security Testing Methodology Manual
OSSTMM (http://www.osstmm.org). Das OSSTMM ist be-
züglich technischen Security Audits kompatibel zu gängigen
Standards und Weisungen wie ISO/IEC 27001/27002, IT
Grundschutzhandbuch, SOX und Basel II. Auf Grund der
Praxisorientierung und der Standardkonformität erfreut es
sich international wachsender Beliebtheit.
Das BSI (Bundesamt für Sicherheit in der Informa-
tionstechnik, http://www.bsi.de) hat in Zusammenarbeit
mit der BDO Visura und Ernst & Young einen Leitfaden
zur Organisation und Durchführung von Penetrations-
tests mit dem Titel „Durchführungskonzept für Pene-
trationstests“ erstellt. Zusätzlich werden die rechtlichen
Rahmenbedingungen dargestellt, die im Umfeld von
Penetrationstests zu beachten sind. Die Studie stellt
keine Anleitung zum Hacken von Netzen und Systemen
dar, daher wurde bewusst auf detaillierte technische
Anleitungen und Beschreibung von Werkzeugen, die in
Penetrationstests verwendet werden, verzichtet (Down-
load unter https://www.bsi.bund.de/ContentBSI/Publi-
kationen/Studien/pentest/index_htm.html).
Vom US-amerikanischen National Institute of Standards
and Technology (NIST) wurde der Technical Guide to In-
formation Security Testing erstellt und befindet sich seit
November 2007 im Draft-Status (Download unter csrc.
nist.gov/publications/nistpubs/800-115/SP800-115.pdf).
Vom EC-Council steht zudem die Möglichkeit zur Ver-
fügung, sich als Ethical Hacker zertifizieren zu lassen.
Informationen zu den Ausbildungen sind hier zu finden:
http://www.eccouncil.org/
Schritte eines Penetrationstests
Der Ablauf eines Penetrationstests sieht in etwa immer
gleich aus: Workshop – Testphase – Bericht – Präsen-
tation.
In einem ersten Workshop werden die Ziele der Tests
definiert. Hier muss auch klar die Motivation festgehalten
Der Penetrationstest – Vorgehen und Tools
eines Testers
Der Penetrationstest ist ein Mittel, um mögliche Fehler
zu erkennen und damit die IT-Sicherheit zu erhöhen.
Dieser Beitrag zeigt ein mögliches Vorgehen und erwähnt
Mittel, die eingesetzt werden können, damit ein optimales
Ergebnis erzielt werden kann.
IN DIESEM ARTIKEL ERFAHREN SIE...
• Wie ein Penetrationstester vorgeht;
• Welche Werkzeuge er einsetzt;
• Wo mögliche Schwachstellen sind.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
• Kein Vorwissen notwendig.
Andreas Wisler
Der Penetrationstest – Vorgehen und Tools eines Testers
hakin9.org/de 15
von Google oder Social Networking Plattformen. Auch
Webseiten zur Stellensuche sind eine gute Quelle.
Sucht die Firma zum Beispiel nach Oracle Spezialisten,
wird vermutlich auch Oracle als Datenbanklösung ein-
gesetzt. Das Internet vergisst dabei nichts. Wurde in
einem Forum eine Frage platziert, kann diese auch nach
Jahren noch abgerufen werden. Ebenfalls sind Namen
von Personen, evtl. sogar mit einer E-Mail-Adresse ver-
sehen, ideal für die weiteren Angriffe.
werden, die ein potentieller Hacker aufwenden kann. Zu-
dem wird festgehalten, wie weit die beauftragten Hacker
gehen dürfen. Die Möglichkeiten eines gezielten Angriffs
umfassen ein Blackbox-Hacking von Aussen, ein Hacking
mit teilweisem oder komplettem Wissen über die interne
Infrastruktur (White- oder Grey-Hacking) und können
durch netzwerkinterne Tests inkl. Social Engineering
erweitert werden. Wichtig sind hier die rechtlichen Spiel-
regeln und die Vertraulichkeitsvereinbarung.
Die Testphase wird anschliessend ausführlich be-
schrieben. Daher hier nur zwei Bemerkungen. Wichtig
ist es, nie das Ziel der Tests aus den Augen zu verlie-
ren. Schnell kann es in der Flut von Informationen ge-
schehen, dass ein falscher Weg eingeschlagen wird. Im
Gegensatz dazu steht, dass die Kreativität der Angriffe
nicht ausser Acht gelassen werden darf. Ein stures Vor-
gehen nach Checklisten zeigt oft nicht das ganze Bild.
Der anschliessende Bericht zeigt das Vorgehen, die
eingesetzten Tools sowie die Erkenntnisse aus den
Ergebnissen. Sollten Schwachstellen ersichtlich sein,
sind diese mit Massnahmen zu versehen und in einer
Prioritätenliste festzuhalten. Soweit möglich sind Zusa-
mmenhänge aufzuzeigen und in einem gesamtheit-
lichen Bild darzustellen.
Die Präsentation ist analog aufgebaut. Da Penetra-
tionstests oft auch von der Geschäftsleitung in Auftrag
gegeben werden, sollte dies für die Präsentation beach-
tet und entsprechend umgesetzt werden. Es hilft nicht,
Ergebnisse schön zu malen, sondern nüchtern und ohne
Bewertung wiederzugeben. Es liegt im Ermessen und dem
notwendigen Fingerspitzengefühl des Prüfers, mit dieser
Situation umzugehen. Schlussendlich geht es immer da-
rum, die Verbesserung der IT-Sicherheit voranzutreiben.
Vorgehen
Werkzeuge
An dieser Stelle ist es nicht möglich, auf alle zur Ver-
fügung stehenden Werkzeuge einzugehen. Praktisch
für jeden möglichen und unmöglichen Zweck steht ein
Programm oder ein Tool bereit. Täglich stossen neue
dazu. Bei der Beschreibung des Vorgehens wird jeweils
auf ein Programm hingewiesen, viele davon stammen
aus der Open Source Szene. An dieser Stelle erwäh-
nenswert sind sicherlich die sogenannten Exploit Fra-
meworks. Sie beinhalten eine Sammlung von diversen
Werkzeugen unter einer einheitlichen Oberfläche, mei-
stens direkt bootbar von einer Standalone CD-ROM.
Eines davon ist das Metasploit Framework (http://www.
metasploit.com/), welches kostenlos verfügbar ist.
Informationssuche
Der erste Schritt des Penetrationstests umfasst die In-
formationssuche. Welche Informationen sind im Internet
verfügbar, sei dies auf der Homepage des Unterneh-
mens oder via einer Suchmaschine wie zum Beispiel Abbildung 3. NIST
Abbildung 2. BSI
Abbildung 1. OSSTMM
6/2010 16
ANGRIFF
Weitere Informationen liefern WHOIS und DNS. Was
sind für Angaben zu den IP-Adressen festgehalten? Ver-
fügt das Unternehmen über weitere IP-Adressen? Wel-
che Informationen stehen in den DNS-Einträgen? Kann
gar ein kompletter Zonentransfer ausgeführt werden?
Ist dies der Fall, sind auf einen Blick alle Anlaufstellen
der Firma bekannt. Interessant sind sicherlich A Einträge
zu Web- und Mailserver. Der MX Eintrag zeigt, welchen
Weg die E-Mails ins Unternehmen nehmen. Ein SPF
(Sender Policy Framework) zeigt zusätzlich, ob Mails
via andere Wege ins Internet gelangen (zum Beispiel im
Falle eines Backup-Mailservers). Ein Tool zur einfachen
Abbildung 5. Vulnerability Scanner - Nessus
Abbildung 4. Scan-Programm - NMap
6/2010 18
ANGRIFF
Abbildung 7. LC5 (L0phtCrack)
Abbildung 6. PacketStorm – Hier können passende Angrifstools gefunden werden
Der Penetrationstest – Vorgehen und Tools eines Testers
hakin9.org/de 19
Informationssuche bildet SamSpade (http://samspade.
org/), welches Funktionen zu WHOIS, Ping, Traceroute
und DNS in einer grafischen Oberfläche bietet. Alles ist
zwar auch von der Kommandozeile möglich, aber mit
diesem Tool geht es doch etwas einfacher.
Angrifsziel
Nachdem bereits viele Informationen zur Verfügung ste-
hen, gilt es das Angriffsziel einzuschränken. Ein IP- und
Portscan liefert die dazu notwendigen Informationen. Es
soll geklärt werden, welche IP-Adressen auf Anfragen
reagieren und welche offenen Ports im Internet ersich-
tlich sind. Daraus leiten sich die interessanten Ziele ab.
In der Regel antworten die Standardports (d.h. Ports,
die bekannt sind, oft unter 1024). Die Erfahrung zeigt,
dass sich viele spannende Ports auch oberhalb der
50‘000-Grenze befinden. Es lohnt sich, trotz grossem
Zeitbedarf, alle 65‘535 möglichen Ports durchzusehen.
Gleichzeitig mit dem offenen Port sollten die Header-
Informationen ausgelesen werden. Viele Systeme sind
sehr auskunftsfreudig und teilen mit, wer sie sind und
vor allem in welcher Version sie vorliegen. Eine erneu-
te Suche im Internet zeigt, ob sich das antwortende
Programm auf dem aktuellsten Softwarestand befindet
oder nicht. Falls nicht, sind vermutlich bereits Tools im
Internet verfügbar, die gegen diese Schwachstelle ein-
gesetzt werden können (sogenannte Exploits). Zu den
gängigsten Scan-Programmen gehört sicherlich NMap
(http://www.nmap.org), welches auch unbemerkt IP-
und Portscans durchführen kann. Ein Aufruf könnte zum
Beispiel „nmap –sS –O –p1-65535 <IP>“ lauten. Damit
wird der Test im Stealth Scan Modus durchgeführt (d.h.
der TCP Verbindungsaufbau wird nicht komplett durch-
geführt und somit evtl. auf der angegriffenen Seite auch
nicht geloggt), mit –O wird zusätzlich versucht, das
Betriebssystem herauszufinden. Der letzte Parameter
sagt aus, dass alle 65‘535 Ports gescannt werden.
Vulnerability Scanner
Als weitere Möglichkeit stehen Vulnerability Scanner auf
der Liste. Diese verursachen jedoch einen grossen Lärm.
Je nachdem, ob alle Personen der zu untersuchenden
Firma Bescheid wissen, können diese bereits zu einem
frühen Zeitpunkt eingesetzt werden. Sie dienen dazu,
nebst den bereits erwähnten Ports auch Informationen
zum Betriebssystem, Banner (Antworten auf Anfragen),
Kontrolle von bekannten Sicherheitslücken, Verbesse-
rungsvorschlägen und automatisch generierten Berich-
Abbildung 8. SQLPing
6/2010 20
ANGRIFF
ten zu erstellen. Eines dieser Programme ist Nessus,
welches im Client-/Server-Prinzip funktioniert. Dabei
wird der Server auf einem Unix-System installiert. Der
Client kann via SSL eine Verbindung darauf aufbauen
und die entsprechenden Routinen starten. Mit zusä-
tzlichen Plug-ins lassen sich diverse Sicherheitslücken
des Betriebssystems bzw. der Dienste, die auf dem
zu scannenden Host laufen, finden. Wichtig: Bei allen
Programmen kann es zu Fehlalarmen kommen. Eine
manuelle Nachkontrolle ist daher zwingend notwendig.
Sind nun mögliche Angriffspunkte erkannt worden, gilt
es, diese genauer zu untersuchen. Nachfolgend wollen
wir dies für die beiden Betriebssysteme Windows und
Unix etwas genauer beschreiben. Abgerundet wird un-
ser „Angriffsversuch“ auf Web-Applikationen.
Schwachstellen in Windowssystemen
Obwohl dem Betriebssystem von Microsoft oft
schlechtes nachgesagt wird, kann es doch sehr sicher
betrieben werden. Die Erfahrung zeigt, dass die meisten
Schwachstellen durch installierte Dienste verursacht
werden. Jeder Dienst, vor allem die nicht benötigten,
erhöhen die Angriffsfläche eines Systems. Zudem gilt,
dass das Patchen oft vernachlässigt und dadurch einem
potentiellen Angreifer die Arbeit unnötig erleichtert wird.
Wenn dann in einer Firewall zu viele Ports geöffnet sind,
wird die Gefahr einer erfolgreichen Attacke erhöht.
Wie bereits erwähnt, gibt der Portscan die ersten
Informationen auf mögliche Schwachstellen bekannt.
Sind typische Windows-Ports offen, wie Kerberos (88),
RPC und Netbios (135-139), LDAP (389), SMB/CIFS
(445), SQL Server (1433), AD Global Catalog (3268) und
Terminal Services (3389) kann eine genauere Analyse
weitere Informationen liefern. Hier lohnt sich der Einsatz
eines umfassenden Scanners wie Nessus oder der GFI
Languard Network Security Scanner (http://www.gfisoft-
ware.de/lannetscan). Sind Lücken in den eingesetzten
Versionen bekannt, geben dies die beiden Programme
an. Nun muss nur noch im Internet das entsprechende
Angriffstool gefunden werden. Google hilft hier sicherlich
am schnellsten weiter, jedoch auch spezialisierte Seiten
wie PacketStorm liefern oft ein passendes Programm.
Kann ein Zugriff auf die Anmeldeseite aufgebaut wer-
den, sollten zuerst die möglichen Ziele identifiziert wer-
Abbildung 9. WFetch
Der Penetrationstest – Vorgehen und Tools eines Testers
hakin9.org/de 21
den. In der Regel werden Accounts nach einer gewissen
Anzahl Fehlversuchen gesperrt. Davon ausgenommen
ist jedoch immer der Administrator. Der Administrator
ist aber kein ideales Angriffsziel, da er (hoffentlich)
gut überwacht wird. Ein Tool, das bei der Suche nach
einem geeigneten Angriffsziel weiterhelfen kann, ist
enum. Es nützt die Möglichkeit von Windows aus, sich
mittels einer NULL Session auf einen Server zu verbin-
den. Damit ist es möglich, ohne Benutzernamen und
Passwort einige Details abzufragen. Die Abfrage enum
–P <IP> liefert als erstes die Passwortpolicy. Sind kei-
ne Einschränkungen vorhanden, d.h. kein Sperren bei
einer gewissen Anzahl fehlerhafter Passwörter, kann
jeder beliebige Account verwendet werden. Mit enum
–U <IP> werden die vorhandenen Benutzer-Accounts
angezeigt. Mit –G werden auch die Gruppenzugehörig-
keiten aufgeschlüsselt. Der Angriff erfolgt schlussend-
lich mit enum –D –u <Account> -f pwd.txt <IP>. pwd.
txt enthält eine Liste von Passworten. Eine Brute-Force
Attacke ist mit enum nicht möglich. Hier hilft aber das
grafische Tool LC5 (L0phtCrack) weiter.
Immer wieder geschieht es, dass für die Serveradmi-
nistration der Port 3389 (Terminal Services) auch durch
die Firewall hindurch geöffnet wird. So kann der exter-
ne Support jederzeit auf den Server zugreifen. Dieses
grob fahrlässige Vorgehen öffnet einem Hacker einen
optimalen Zugang zum System. Im Internet sind Tools
verfügbar, die Brute Force Attacken auf diesen Port
durchführen können. TSGrinder ist ein solches Tool,
welches Terminal Server Verbindungen öffnet und ein
Passwort nach dem anderen aus einer Textdatei an
die Gegenseite schickt (http://www.hammerofgod.com/
download.html). Die Empfehlung ist daher eindeutig:
Terminal Services dürfen nur via VPN erreichbar sein.
Eine weitere Sünde ist der direkte Zugriff auf den
SQL Server. Sobald der Port 1433 offen ist, kann eine
Attacke gefahren werden. Als ideal erweist sich das
Tool forceSQL: forceSQL.exe <IP> SA –b 5. Damit wird
eine Brute-Force Attacke auf den Benutzer SA (System
Administrator) mit einer maximalen Passwortlänge von
fünf Zeichen ausgeführt. Grafisch kann diese Arbeit
auch an SQLPing delegiert werden (http://www.sqlse-
curity.com/Tools/FreeTools/tabid/65/Default.aspx).
Schwachstellen in Unixsystemen
Auch unter Unix sind Schwachstellen vorhanden. Ty-
pische Ports, die als Angriffsziel interessant sein kö-
nnen, sind: ssh (22), telnet (23), finger (79), exec (512),
login (513) und shell (514).
Ist finger geöffnet, kann als erstes abgefragt werden,
welche Benutzer gerade am System angemeldet sind:
finger @<IP> liefert diese Antwort. Das Tool hydra kann
anschliessend einen Angriff auf das Passwort starten.
Dazu wird zum Beispiel eine Verbindung auf den Tel-
Abbildung 10. Achilles Web-Proxy
6/2010 22
ANGRIFF
netserver gestartet: hydra –l <Benutzer> -P <Passwort-
liste> <IP> <Dienst>. Als Dienst können auch weitere
eingesetzt werden.
Sind Freigaben auf dieses System vorhanden, kö-
nnen diese mit showmount –e <IP> angezeigt werden.
Ein Anziehen dieser Freigaben kann dann anschlie-
ssend mit mount geschehen.
RPC basierte Dienste sind ein beliebtes Angriffsziel. Da-
her liefert das Tool rpcinfo –p <IP> genauere Informationen.
Alternativ kann dies auch mit nmap geschehen (nmap
–sSRUV <IP>). Mit diesem Aufruf stehen alle notwendigen
Informationen für einen weiteren Angriff zur Verfügung. Um
welches System handelt es sich? Welche Applikationen
sind installiert? Sind Schwachstellen dafür bekannt?
Schwachstellen in Web-Anwendungen
Die Betriebssysteme werden immer sicherer. Daher
verlagern sich die Angriffe auf „leichtere“ Ziele. Zu den
Abbildung 11. Absinthe
Der Penetrationstest – Vorgehen und Tools eines Testers
hakin9.org/de 23
beliebtesten gehören Web-Anwendungen. Immer mehr
Applikationen bieten einen zusätzlichen Zugriff via HTTP
(oder HTTPS). Aufgrund der Limitationen des zugrunde lie-
genden Protokolls ist es auch für erfahrene Programmierer
nicht einfach, sichere Webanwendungen zu entwickeln.
Alle Daten werden als ASCII Text übermittelt (in beide
Richtungen). Ein Abfangen und Senden ist daher nicht
besonders schwer. Ein Tool, das dabei behilflich sein
kann, ist WFetch. Damit lassen sich alle Parameter
eines HTTP-Requests beeinflussen. Das Tool kann von
der Microsoft Homepage heruntergeladen werden.
Damit eine Webseite und die übertragenen Daten ein-
fach untersucht werden können, lohnt sich der Einsatz
eines Proxys. Achilles Web-Proxy ist ein sehr populärer
Web-Proxy, der die Daten vor dem Versenden anzeigt
und die Möglichkeit bietet, Modifikationen vorzunehmen
(http://www.mavensecurity.com/achilles). Dies ist vor
allem dann interessant, wenn in Formularen sogenannte
Hidden-Felder übertragen werden. Diese können so noch
verändert werden, was oft die Möglichkeit bietet, auf frem-
de Daten zuzugreifen. Für schnelle Tests kann auch ein
entsprechendes Plugin in Firefox verwendet werden.
Der erste Angriffspunkt sind oft Formulare. Handelt es
sich um Loginfelder, hilft das Tool Brutus weiter, welches
Benutzernamen und Passwort an die Webseite schickt.
Leider gibt es aber für Formular-basierte Authentifizie-
rung kein Universal-Tool, da die Web-Entwicklerspra-
chen oft leicht voneinander abweichen.
Trotz vielen Fachberichten und Warnungen gibt es im-
mer noch Formularfelder, welche den eingegebenen Inhalt
ungeprüft an Datenbanken weiterreichen. SQL Injection
heisst dieses Angriffsszenario, welches versucht, diese
Anfragen zu manipulieren. Ein Aufruf mit ´or 1=1 -- liefert
ein Ergebnis, das immer wahr ist. Wird dies direkt weiter-
gereicht, können alle Antworten unabhängig des Suchbe-
griffs ausgelesen werden. Klappt dies, kommen weitere
Abfragen zum Zug, mit dem Ziel, herauszufinden, welche
SQL Server Version eingesetzt wird, welche Datenbanken
existieren sowie wie die genauen Inhalte anzuzeigen. Di-
es erfolgt in der Regel mit dem Aufruf von union.
Ein Tool, das hier grafisch weiterhilft, ist Absinthe
(http://www.0x90.org/releases/absinthe/)
Eine weitere Gefahr ist Cross Site Scripting (XSS). Hier
werden jedoch nicht Daten ausgelesen, sondern frem-
der Code in die echte Seite eingeschleust. Wiederum
geschieht dies über schlecht ausgewertete Formular-
felder. Ob die Seite dafür anfällig ist, lässt sich leicht mit
<script>Alert(´XSS Test´)</script> testen. Öffnet sich
ein zusätzliches Fenster, ist die Seite anfällig auf Cross
Site Scripting. Das gefährliche daran ist, dass sich ein
Benutzer auf der richtigen Seite befindet, jedoch einen
„falschen“ Inhalt angezeigt bekommt. Werden so ver-
trauliche Informationen eingegeben, gelangen diese an
den Angreifer und nicht an die Webseite.
Fazit
Diese Tests sind in der Regel nicht in einem Tag
durchzuführen. Zu vielfältig sind die möglichen An-
griffsflächen. Neben der Definition der eigenen Sicher-
heitsbedürfnissen gehört zu einem funktionierenden
Sicherheits-Regelkreis das kritische Hinterfragen, ob
die definierten Ziele mit den getroffenen Massnahmen
erreicht wurden. Der Penetrationstest liefert dabei eine
unparteiische Drittmeinung. Das strukturiere Vorgehen
hilft, mögliche Schwachstellen zu erkennen und geeig-
nete Massnahmen zur Behebung zu treffen.
Abbildung 12. Quelle: Marc Rennhard, ZHAW, goSecurity Forum #6
(1) Verwundbare Webseite
des Shops wind geladen,
dargestellt und Javascript
wird ausgeführt
(2) Javascript lädt Code von
einem Server des Angreifers nach
(5) Account-Daten werden
zum Angreifer gesendet
(3) Code integriet einen Login-Screen
in die Webseite des Web-Shops
(4) “Gutgläubiger” Benutzer gibt seine
Account-Daten an und klickt auf login
(6) Script auf dem Server
des Angreifers nimmt die
Account-Daten entegen
Click Me!
ANDREAS WISLER
Dipl. IT Ing. FH, CISSP, ISO 27001 Lead Auditor, MCITP Enter-
prise Server Administrator.
Andreas Wisler ist Geschäftsführer der GO OUT Production
GmbH, welche sich mit ganzheitlichen und produktneutralen
IT-Sicherheitsüberprüfungen und -beratungen auseinander-
setzt. Penetrationstests und Social Engineering runden das
Profl ab.
6/2010 24
ABWEHR
O
ftmals geht es bei solchen Daten um Erfindun-
gen, Patente, Rezepturen oder andere Allein-
stellungsmerkmale im Markt, die elektronisch
verarbeitet werden. Eine entscheidende Unterstützung
stellt dabei die Software 8Man dar, die in diesem Artikel
mitbeschrieben und vorgestellt wird.
Know-How Schutz
Die Grenze zwischen dem Datenschutz und dem tech-
nischen Schutz von wichtigen Daten ist sehr schwam-
mig. Gerade wenn es um technische Unterstützung
geht, sollte man bei der Umsetzung den Datenschutz
beachten und personenbezogene Daten ebenso
schützen, wie technische oder betriebliche Daten.
Know-How Schutz versteht sich eher als praktischer
Ansatz, der jedoch auch rechtlich Bedeutung findet und
bei Verstößen geahndet werden kann.
Als Know-How kann verstanden werden, dass sämtliche
Kenntnisse, die ein Inhaber an Wissen hat, zu einem tech-
nischen oder wirtschaftlichen Ergebnis führen. Dies wäre
im Falle von Know-How dem Inhaber sonst nicht möglich
gewesen. Entsprechend dem kann Know-How ein Patent,
ein technisches Wissen, Kundenlisten, Produktentwicklun-
gen oder rein geschäftliches Wissen darstellen.
Für den Know-How Schutz direkt gibt es kein Gesetz,
welches darauf speziell angewendet wird.
Im §17 des UWG (Gesetz gegen den unlauteren Wettbe-
werb) wird der Verrat von Betriebs- und Geschäftsgeheim-
nissen gesetzlich geregelt. Besonders schwere Fälle werden
gar mit Freiheitsentzug bis zu 5 Jahren geahndet. [1]
Aber auch der §18 [2] des UWG kann in Bezug auf
Know-How Schutz Anwendung finden, da es sich hierbei
um anvertraute Vorlagen handelt. Diese können Know-
How darstellen. Im technischen Bereich ist Know-How
überwiegend in Form von Daten durch das Strafge-
setzbuch geschützt. Hierbei handelt es sich um die
§202a,b und c, die das Ausspähen, Abfangen und Vorbe-
reiten von Daten unter Strafe stellen. §303a und b stellen
unter Strafe, Datenveränderung vornimmt oder Compu-
tersabotage durchführt. Dies kann in Zusammenhang
von Know-How durchaus in der Praxis vorkommen.
Auch der Versuch ist strafbar.
Gesetzlich betrachtet und in Zusammenhang mit
Know-How Schutz findet auch das UrhG (Urheber-
rechtsgesetz) Anwendung und definiert, was unter dem
Urheber und deren Werk zu verstehen ist und welche
gesetzlichen Sanktionen bei Verstoß drohen können.
Es sieht jedoch häufig in der Praxis eher so aus,
dass ein Verstoß gegen Know-How Schutz kaum oder
gar nicht bemerkt wird. Sollte es dann doch bemerkt
werden, ist es sehr oft schon zu spät, um noch einen
Täter ermitteln zu können. Ermittlungen in der digitalen
Beweissicherung sind kompliziert durchzuführen und
die Täter verwischen häufig die Spuren. [3]
Technische Umsetzung
Eine Mischung aus technischen Mitteln und menschli-
chen Verstand und den dazu gehörigen Maßnahmen
sollten helfen, effektiven Know-How Schutz umzuset-
zen. In der Ausgabe 04/2010 von Hakin9 wurden alle
Know-How Schutz mit Unterstützung
schafft mehr Sicherheit
Know-How Schutz ist ein zentrales Thema, wenn es um den
Schutz von Wissen und Daten in Verbindung geht. Grundsätzlich
ist es bedeutend, dass Unternehmen sich mit der Sicherheit der
Daten befassen, die für geschäftliche Prozessabläufe relevant
sind. Aber auch das geistige Eigentum von Unternehmen gilt es
zu schützen und das nachhaltig.
IN DIESEM ARTIKEL ERFAHREN SIE...
• Was wird unter Know-How Schutz verstanden;
• Wie wird Know-How Schutz umgesetzt.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
• Kein Vorwissen nötig;
• Bereitschaft, Unternehmenssicherheit als Prozess zu sehen.
Marko Rogge
Know-How Schutz mit Unterstützung schafft mehr Sicherheit
hakin9.org/de 25
Der Bereich Wirtschaftsspionage ist hierbei eines
der wichtigen Themen, das durch eine entsprechende
Risikoanalyse ermittelt werden kann. In sehr vielen
Unternehmen ist Know-How vorhanden, welches aber
nicht ausreichend geschützt ist, da keine exakte Risiko-
analyse durchgeführt wurde.
Wichtig ist es für den Schutz des Know-Hows im
Unternehmen, dass Schutzziele definiert werden, um
diese dann auch umzusetzen.
Dies trifft in diesem Fall auf zu verarbeitende Daten zu:
• Verfügbarkeit: Stabilität von Datenzugriffen und von
Systemen und die Zusicherung von Zugriffen auf
Daten innerhalb eines zugesicherten Zeitrahmens.
Verhinderung von Ausfällen einzelner oder ganzer
EDV Einheiten.
• Integrität / Authentizität: Die Zusicherung, dass Da-
ten nicht unbemerkt oder nicht nachvollziehbar
verändert werden dürfen.
• Vertraulichkeit: Zugriffsmöglichkeiten auf Daten nur
durch entsprechend autorisierte Personen oder
Gruppen bei der Datenverarbeitung.
• Nichtabstreitbarkeit: Das Abstreiten einer unzulässi-
gen Handlung ist nicht möglich.
In der technischen Umsetzung findet Know-How Schutz
noch immer keine ausreichende Beachtung, oftmals
Themen der Unternehmenssicherheit angesprochen
und aufgezeigt. Auch alle Bereiche der Unternehmenssi-
cherheit haben vollständige Anwendung für den Schutz
des eigenen Know-Hows. So ist es für ein Unterneh-
men wichtig zu wissen, dass entsprechende Gesetze
geltende Anwendung in Bezug auf Compliance haben,
auch wenn es um Know-How Schutz geht.
So beispielsweise ist es wichtig, sich an die Gesetze
des Datenschutzes (BDSG) zu halten, wenn Know-How
Schutz umgesetzt werden soll. Im einzelnen kann das
bedeuten, dass eine Überwachung von Mitarbeitern
zulässig oder nicht zulässig ist. Sofern die Persönlich-
keitsrechte am Arbeitsplatz eingehalten werden, können
auch Maßnahmen zur Sicherstellung von Know-How
Schutz greifen und der Arbeitgeber ist abgesichert. Da-
tenschutz ist auch bei der technischen Umsetzung mit-
tels 8Man gegeben, sofern man sich an betriebliche Ve-
reinbarungen und/oder Zusätze zu einem Arbeitsvertrag
hält. Im Zweifelsfall wäre es ratsam, den Datenschutz-
beauftragten zu befragen oder sich mit dem Betriebsrat
in Verbindung zu setzen.
Bei der Betrachtung von Daten in Bezug auf Know-
How Schutz greift auch das Risikomanagement, sofern
dies vorhanden ist und gepflegt wird. Denn, eine en-
tsprechende Risikoanalyse kann hervorbringen, welche
Risiken auf das Unternehmens-Know-How wirken kön-
nen und wie diese zu bewerten sind.
Abbildung 1. Einblick in 8Man und dem zu überwachenden Active Directory
6/2010 26
ABWEHR
zum Schaden des Unternehmens. So wird in vielen Un-
ternehmen noch nicht ausreichend auf das Rechtema-
nagement oder auch auf die Zugriffsrechte von Usern
geachtet. So wird es kaum notwendig sein, dass ein Mi-
tarbeiter aus der Buchhaltung auch Zugriff auf die Da-
teien und Ordner der Forschungsabteilung haben muss.
Häufig fehlt dann auch noch eine entsprechende Nach-
weisführung, die darstellen kann, wer zu welchem Zeit-
punkt auf welche Daten zugegriffen hat.
Gerade die Verknüpfung unterschiedlicher Me-
chanismen zur Unternehmenssicherheit bietet einen
höheren Know-How Schutz, so auch Maßnahmen der
physikalischen Sicherheit. Dahingehend eine geeignete
Zutrittskontrolle einzuführen, ist in besonders sensiblen
Bereichen von großer Bedeutung. So kann es in großen
Konzernen durchaus sinnvoll sein, eine Zutrittskontrolle
zur Vorstandsetage einzurichten, um einen entspre-
chenden Personenschutz von Geheimnisträgern zu
erreichen, die wohl auch Know-How in sich verbergen.
Aber auch ein Zutritt zu einem Forschungslabor sollte
nur für befugte Personen ermöglicht werden.
Bei der Umsetzung von offensichtlichen Maßnahmen
im Zuge von Know-How Schutz ist es empfehlenswert,
dass eine Awareness für die Mitarbeiter ausgearbeitet
wird, die diese als Teil der Umsetzung betrachtet. Die
Mitarbeiter eines Unternehmens sollten sich nicht als die
überwachten Personen betrachten oder fühlen, sondern
es sollte transparent verdeutlicht werden, dass diese
Schutzmaßnahmen dienlich zur Erhaltung des Unter-
nehmens und deren Werte sowie der Arbeitsplätze sind.
Damit ist der Mitarbeiter Teil einer entsprechenden Um-
setzung von Maßnahmen zum Schutz von Know-How.
Mittel zur Umsetzung und Unterstützung von Aware-
ness können kleine Workshops in Gruppen sein, oder
kleinere Vorträge, die das Thema beleuchten. Dabei
sollte der technische Hintergrund weniger dargestellt
werden. Vielmehr geht es um die Vermittlung des Wis-
sens, wie wichtig der Schutz des Unternehmens mit
Hilfe der Mitarbeiter ist.
In der Vergangenheit sind ausreichend prominente
Fälle bekannt geworden, in denen Know-How Schutz
nicht gegriffen hat und Daten unkontrolliert das Unter-
nehmen verlassen haben. Auch hier ist häufig nicht
bekannt, wer dafür verantwortlich ist und entsprechend
den Gesetzen belangt werden muss. Grundsätzlich ist
auch hier die Frage der Haftung des Unternehmers zu
betrachten. Die grundsätzliche Verantwortung liegt nach
wie vor bei dem Unternehmer, die in wenigen Fällen auf
IT-Leiter abgegeben werden kann.
Es ist wichtig zu beachten, dass gewerbliche Schut-
zrechte, Informationsschutz und Urheberrecht ineinander
wirken und ein Schutzsystem bilden können. Das erfor-
dert konsequentes Handeln. Eine Verletzung im Sinne
von Know-How Schutz wird häufig weder angezeigt
Abbildung 2. Gruppen und deren Verschachtelungen innerhalb des Active Directory und deren Rechtemanagement
Das Ziel für
IT-Sicherheits-
Verantwortliche:
it-sa 2010:
Treffpunkt der IT-Security Branche
it·sa Nürnberg,
19.- 21.Okt.2010
"L Konqresse. 1aqunqen. vorkshops. Seninare
BOO Aussteller nit Losunqen zu lnfornations·
Sicherheit. Latenschutz. lardware·Sicherunq und
Security·Awareness
lon·Stop·Vortraqsproqrann auf B qroßen loren
nit "LO Kurzreferaten. Podiunsdiskussionen.
Live·Lenos und Best·Practice·Beiträqen
Ouided 1ours von unabhänqiqen Consultants
leue 1henenhäche: ,Las perfekte Rechen·
zentrun. Planunq · Bau · 1echnik"
Veranstalter: Seculedia Verlaqs·Onbl
Postfach "P B4. L· LLPOL lnqelhein.
1elefon +4S G7PL SBO4·O. lax +4S G7PL LSS4
Nürnberg,
19.- 21.Okt. 2010
WWWITSADE
*ETZTINFORMIERENUND
.EWSLETTERANFORDERN
6/2010 28
ABWEHR
noch verfolgt, da diese Vorfälle nicht gemeldet werden.
Unternehmer sollten sich darüber bewusst sein, dass
Absatz- und Umsatzverluste nach einer Zeit eintreten
und das Unternehmen nachhaltig schädigen. Man darf
nicht darauf vertrauen, dass Kunden stets das Original-
Produkt kaufen würden, wenn vergleichbar ein Plagiat
für deutlich weniger Geld am Markt vorhanden wäre.
8Man hilft, Know-How Schutz zu verbessern
Anders ist es im technischen Bereich, wo häufig noch
sehr nachlässig mit dem vorhandenen Know-How umge-
gangen wird, welches ja für viele Unternehmen faktisch
das Kapital bedeutet und eine Existenz am Markt sichert.
Häufig greifen hier technische Mittel, die dem Schutz
von Daten mit den Systemen mitgeliefert werden, jedoch
zeitgemäß nicht mehr ausreichend sind.
In sehr vielen Unternehmen kommen Windows Server
zum Einsatz, die durch das Active Directory eine prak-
tikable Lösung anbieten, Userrechte auf Dateien und
Ordner zu vergeben und diese zu verwalten. Was jedoch
schwer möglich ist, ist die vollständige Überwachung der
tatsächlichen Zugriffe mit den entsprechenden Rechten
und welche Rechte sich auch verändert haben. Ebenso
ist eine vollständige Auditierung für einen Administrator
oder Verantwortlichen schwer zu bewerkstelligen.
Gerade im Zusammenhang mit Know-How Schutz
ist eine technische Lösung dann interessant, wenn sie
mehr als unterstützend sein kann für die Administration
von Zugriffsrechten über das Active Directory.
Hier greift das System 8Man [4] ein, um Administra-
toren und IT-Verantwortlichen ein Tool in die Hand zu
geben, mit dem eine Überwachung und Auswertung
deutlich vereinfacht wird. Aber nicht nur die reine Ve-
reinfachung ist von Bedeutung, sondern das Berech-
tigungsmanagement ist effektiver möglich. So besteht
die Möglichkeit der grafischen Darstellung von Nutzer-
rechten und Zugriffsrechten aller Benutzer, die in einem
Active Directory eingetragen sind. Das ist übersichtli-
cher und meist auch verständlicher für die Anwender.
Besonders attraktiv in 8Man ist unter anderem, dass
alle Eingriffe in das Berechtigungsmanagement eines
Active Directorys aufgezeichnet und dokumentiert wer-
den, nebst einer entsprechenden Nachweispflicht für
den Berechtigten, der eine entsprechende Veränderung
durchführt.
Hier muss exakt begründet werden, warum eine
Berechtigung geändert wird, bevor diese aktiv werden
kann. Im Zusammenhang mit dem Schutz von Know-
How ist dies eine technische Raffinesse, die eine „Übe-
rwachung“ praktikabel und sehr übersichtlich macht.
Selbst wenn Außendienstmitarbeiter oder externe Be-
rater im Hause sind, hat 8Man hier eine Lösung parat,
zeitlich begrenzt das Berechtigungsmanagement zu
steuern und entsprechend zu überwachen.
Abbildung 3. Strukturübersicht in 8Man
Know-How Schutz mit Unterstützung schafft mehr Sicherheit
hakin9.org/de 29
Es kann in manchen Unternehmen wichtig sein, dass
ein externer Berater für einige Zeit auf bestimmte Ve-
rzeichnisse und Ordner zugreifen muss. In der Praxis
vieler Unternehmen wird dann dieser externe Berater in
das Active Directory aufgenommen und schnell ist ver-
gessen, diesen Berater nach Beendigung seiner Tätigke-
it wieder zu deaktivieren oder zu löschen. Solche aktiven
Verstöße werden in Unternehmen häufig erst zu spät
entdeckt und eine Überwachung ist auch kaum möglich.
Eine leicht zu bedienende, grafische Oberfläche bietet
dem Berechtigten des Systems eine schöne Übersicht,
schnell und effektiv in das Berechtigungsmanagement
einzugreifen und so Ordnung in den Zugriffsrechten zu
schaffen. Aktiv unterstützt dabei 8Man derzeit das Mic-
rosoft Active Directory der Windows Server Umgebun-
gen, Fileserver, Sharepoint oder Microsoft Exchange.
Wichtig ist auch die ausgezeichnete Unterstützung der
Sprachen Deutsch, Englisch und Russisch.
Bei der Visualisierung wurde darauf geachtet, dass ein-
fach und übersichtlich auch erkennbar ist, in welcher Be-
ziehung Active Directory User zu Verzeichnissen stehen
und man kann Vergleiche zwischen beiden herstellen.
So ist es möglich, dass der berechtigte Anwender von
8Man zwischen unterschiedlichen Darstellungen wählen
kann. So ist eine Baumansicht, dynamische Grafik oder
auch Listenansicht verfügbar, die gewählt werden kann.
Aktuelle Neuerungen sind unter anderem die Unter-
stützung für Multidomänen, was in größeren Umge-
bungen durchaus sinnvoll ist und für mehr Transparenz
sorgen kann. Fileserver Systeme wie NetApp werden
auch unterstützt und geben 8Man eine große Vielfältig-
keit an Einsatzmöglichkeiten. Grundsätzlich sei gesagt,
dass der Einsatz des 8Man Systems je Active Directory
User in Lizenz gestellt wird und so unnötige Lizenzen
oder überteuerte Gebühren nicht anfallen.
Hat man 8Man im laufenden Betrieb, ist man damit im-
mer auf dem aktuellen Stand von Usern und Verzeichnis-
sen innerhalb eines Berechtigungsmanagements des da-
für eingebundenen Active Directorys. Durch die ständige
Überwachung und Aufzeichnung von Veränderungen oder
Vererbungen kann es durchaus unübersichtlich werden.
Recht schnell kann man auch nachträglich mittels 8Man
die erforderlichen Veränderungen vornehmen und dabei
als Verantwortlicher die wertvolle Arbeitszeit sparen.
Grundsätzlich spielt die Zeit bei der Administration
von Rechten eines Active Directorys eine wesentliche
Rolle und kann durch 8Man deutlich verkürzt werden.
8Man setzt hierbei auch auf das bekannte Integrated
Data Security Management, mit dem ein automatisier-
tes Berechtigungsmanagement ermöglicht wird.
Fazit
Im Zuge der zunehmenden Wirtschaftskriminalität und der
ansteigenden Wirtschaftsspionage ist es von großer Bedeu-
tung, das Kapital eines Unternehmens in Form von Know-
How nachhaltig zu schützen. Nicht nur die reine menschliche
Betrachtung sollte dabei im Vordergrund stehen, sondern
vielmehr auch der Einsatz technischer Lösungen, die den
Versuch des Diebstahls von Know-How unterbinden. Auch
wenn Unternehmen für sich nicht feststellen können, dass
Know-How im Unternehmen vorhanden ist, so besteht die
Möglichkeit, dass Wettbewerber und/oder Konkurrenten
ein besseres Bild darüber haben. Sei es durch vorheriges
Ausspähen von Mitarbeitern oder Abfangen von Informatio-
nen durch Zulieferer oder externe Mitarbeiter. Damit steigt
auch die Gefahr und das Bedrohungspotential, Opfer von
Wirtschaftsspionage und Know-How Diebstahl zu werden.
Technische Lösungen wie 8Man bieten hier eine ausge-
zeichnete Möglichkeit, ein bestehendes Active Directory
deutlich einfacher, zeitlich geringer und übersichtlicher zu
administrieren und auch zu überwachen.
Bei dem Einsatz von Software auf Server- und Clientbasis
sollte darauf geachtet werden, welche bestehenden oder
anzupassenden Datenschutzregeln zu beachten sind.
Der Schutz personenbezogener Daten ist ein wichti-
ger Bestandteil und sollte nicht zwingend den rein wir-
tschaftlichen Interessen eines Unternehmens weichen.
Ein Datenschutzberater dürfte hier eine Hilfestellung
bieten, wenn Unsicherheit herrschen sollte und nicht
klar ist, ob eine Regelung im Unternehmen ausreichend
erscheint. Es muss besonders hervorgehoben werden,
dass eine entsprechende Einführung einer Software
wie 8Man von einer Awareness-Kampagne begleitet
werden kann, da dies zur Stabilität der Sicherheit und
Sensibilität der Mitarbeiter führt.
Auch das Verständnis für Maßnahmen im Zuge von
Know-How Schutz, gerade durch den Einsatz von pro-
fessioneller Software wie 8Man, wird durch Awareness
deutlich verstärkt.
Verweise:
• [1]: http://dejure.org/gesetze/UWG/17.html
• [2]: http://dejure.org/gesetze/UWG/18.html
• [3]: Spurensuche in Linuxsystemen: http://www.tecchan-
nel.de/server/linux/2024733/linux_angrife_entdecken_sy-
steme_und_netzwerk_ueberwachen/
• [4]: 8Man http://www.protected-networks.com/
MARKO ROGGE
Marko Rogge ist Senior Security Consultant bei der Leading Se-
curity Experts GmbH und kann auf viele Jahre Erfahrung als Ana-
lyst, Penetration Tester, Referent und Autor zu Themen der IT-Si-
cherheit zurückblicken. Schwerpunkte seines Engagements sind
IT-Grundschutz, IT-Sicherheitsüberprüfungen, IT-Security, Da-
tenschutz und Zertifzierungen in Unternehmen sowie die Inter-
netzensur. Marko Rogge ist Kooperationspartner der Leiner &
Denzer GmbH und ist Spezialist in der Erstellung von ganzheitli-
chen Sicherheitsstrukturen, der Durchführung von IT-Sicherheit-
süberprüfungen sowie Ereignismanagement in Fällen von Beein-
trächtigungen der Geschäftstätigkeiten durch IT–Kriminalität.
Kontakt: marko.rogge@lsexperts.de, www.lsexperts.de
6/2010 30
UNTERNEHMENS- UND IT-SICHERHEIT STUDIEREN
D
ie Sicherheit von Computer-Systemen und Da-
ten wird in der digitalen Informationslandschaft
immer mehr zu einem zentralen Problem. Beim
elektronischen Geldverkehr, der Verwaltung elektro-
nischer Dokumente und dem Umgang mit personen-
bezogenen Datenbeständen sind Sicherheit, Schutz
vor nicht autorisiertem Zugriff und Missbrauch von vi-
talem Interesse. Hier entsteht daher ein großer Markt
für Experten, die sowohl die technischen Kenntnisse
für einen sicheren IT-Betrieb beherrschen, aber auch
mit betriebswirtschaftlichem Denken und Management-
Aufgaben vertraut sind. Dazu gehören Risikoanalysen,
die Erstellung von Sicherheitspolicies, Mechanismen
zur Zugangskontrolle, Backup und Desaster Recove-
ry, sowie ein organisiertes IT-Incident Management für
Unternehmen und deren kritische IT-abhängige Struk-
turen.
IT-Sicherheitsexperten müssen über ein fundiertes
Spezialwissen verfügen, um sich auf wechselnde Ein-
satzgebiete und Aufgaben einzustellen. Globale Verne-
tzung, wachse nder internationaler Datenaustausch
und die Offenheit des Internets erfordern geeignete Si-
cherheitsmaßnahmen.
Neben Qualifikationen zu Problemlösungen im tech-
nischen Bereich müssen Bewusstseinsbildung, Gru-
ppendynamik und prozessorientierte Umsetzung erfasst
und Mitarbeitern sowie Management entsprechend
kommuniziert werden. Projektmanagement, Contro-
llingaktivitäten und Rechtssicherheit runden das Be-
rufsbild ab.
Ziel und inhaltliche Ausrichtung
Einzigartig an einer deutschen Hochschule realisiert
der Bachelor-Studiengang Unternehmens- und IT-Si-
cherheit die Verschmelzung der Kompetenzfelder Be-
triebswirtschaft, Informatik und IT-Sicherheit unter
einem Dach. Der siebensemestrige Bachelor bietet ei-
ne umfassende Ausbildung für Sicherheitsmaßnahmen
im Zusammenhang mit der Organisation und dem Be-
trieb von Computersystemen und Netzwerken sowie
der Übertragung, Speicherung und Archivierung von
elektronischen Daten und zur Sicherstellung der Infor-
mationssicherheitsprozesse in Unternehmen und Ver-
waltungen.
Kernkompetenzen
Die Studierenden erlangen in diesem Studiengang un-
ter anderem die folgenden gefragten Qualifikationen:
• Solide technisch-naturwissenschaftliche Grundla-
gen
• Fundiertes Know-how in moderner Computertech-
nik und Informatik
• Expertenwissen auf dem Gebiet der IT-Sicherheit
und Neuer Medien im digitalen Zeitalter der Wi-
ssensgesellschaft
• Betriebswirtschaftliches Denken
• Unternehmensorganisation und -kommunikation
• Personalführung, Projektmanagement
• Konzeption, Konfiguration und Betrieb sicherer
Computernetze durch detaillierte Kenntnisse im
Bereich modernster Software-, Computer und Ko-
mmunikationstechnologien
• Praktische Kenntnisse von Methoden und Tools zu
Schwachstellenanalysen und der Entwicklung von
Software für sichere IT-Systeme
Den Studierenden wird ein anwendungsbezogenes,
herstellerunabhängiges und produktübergreifendes
Know-how in den Bereichen Daten- und Prozesssi-
cherheit, IT-Schutzmechanismen, sowie deren Inte-
gration in den Unternehmensworkflow vermittelt. Die
Warum Unternehmens-
und IT-Sicherheit
studieren?
6/2010 32
UNTERNEHMENS- UND IT-SICHERHEIT STUDIEREN
• in leitender Position für Sicherheit sowie
Management-Positionen in Unternehmen
• in der System- und Sicherheitsadministration bei
allen Formen von Online-Diensten, E-Commerce
Betreiber, Banken, Internet Service Provider,
Landes- und Bundesbehörden wie BSI, LKAs, BKA
• bei der Konzeption und Realisierung von Informations-
systemen zur Verarbeitung von sensiblen Daten, z.B.
im Justizbereich, Gesundheits- und Sicherheitswesen
• in Positionen im schnell wachsenden Feld der IT-
Sicherheitsberatung, z.B. Unternehmenszertifizie-
rungen (ISO 27001, BSI IT-Grundschutz, etc.
• als IT-Security Coordinator, Netzwerk- und Securi-
ty-Spezialist oder als Technology Solution Architect
IT Security
• als Systemingenieur/in bzw. Softwareentwickler/in
IT-Security, System-Administrator im Security-Um-
feld
• bei der Realisierung von Online-Mediensystemen,
z.B. PayTV, Video-On-Demand
• bei der Konzeption und Realisierung von Langzeit-
archiven, z.B. Bild, Ton- und Filmarchive, Doku-
mente, Akten, Prozessdaten, Prüfprotokolle, etc.
Informationen zum Studiengang
http://portal.mi.fh-offenburg.de/mi_site_docs/bachelor/
units_allgemein.php
hierbei erworbenen Fähigkeiten ermöglichen ihnen
im späteren beruflichen Einsatz branchenunabhän-
gig die sicherheitsrelevanten Erfordernisse für ein
Unternehmen zu erkennen und anzuwenden.Zudem
werden die wesentlichen Aspekte aus Technik, Ma-
nagement und Recht in praktischen Übungen ange-
wendet und vertieft. Englisch als zusätzliche Fach-
sprache, Persönlichkeitsbildung und die Ausprä-
gung sozialer Kompetenz und Kommunikationsfähig-
keit durch praktische Teamarbeit, Gruppenarbeit in
Laboren, Praktika und Seminaren sind wichtige be-
gleitende Elemente während der gesamten Ausbil-
dungsdauer.
Berufsfelder und Karrierechancen
Die Verbindung von Kenntnissen im Bereich IT-Sicher-
heit und wirtschaftlichem Know-how prädestiniert die
Studierenden dieses Studiengangs für projektübergrei-
fende berufliche Aufgaben. Erworbenes Wissen und
Fertigkeiten garantieren den Absolventen herausra-
gende Arbeitsmarktbedingungen mit zahlreichen Be-
schäftigungsfeldern, z.B.
• als Verantwortliche bei der Realisierung von Sicher-
heitskonzepten für vernetzte Informationssysteme
(Internet, Intranet, Extranet)
• bei der Verfolgung, Beweissicherung und Aufklä-
rung von Computerkriminalität
Abbildung 1. Beste Aussichten: exzellente Studienbedingungen im Medien-Neubau
6/2010 34
ABWEHR
A
uch die grundsätzlichen Funktionsweisen eines
Antivirenprogramms sind dem Fragenden oft-
mals unklar, obwohl eine kurze Recherche und
Einarbeitung in dieses Thema womöglich viele Fragen
bereits im Vorfeld beantworten könnte.
Zunächst wäre interessant zu wissen, für welche
Plattform bzw. Betriebssystem eine Lösung gesucht
wird und wie in etwa die Hardwarespezifikationen aus-
sehen. Für einen sehr alten Rechner kommen eventu-
ell andere Antivirenprogramme in Frage, als für einen
neuen Computer oder Server. Auch wäre interessant zu
wissen, ob tatsächlich nur ein Antivirenprogramm ge-
sucht wird oder aber eine umfassendere Lösung, be-
ispielsweise eine Suite, welche auch eine Firewall be-
reitstellt.
Weitere Einschränkungen in einer guten Empfehlung
können getroffen werden, wenn man weiß, ob es sich
um eine kostenlose Lösung handeln soll oder ob auch
ein kommerzielles Produkt in Frage kommt.
Ein 'gutes' Antivirenprogramm sollte möglichst viele
der oben genannten Kriterien erfüllen, aber auch häu-
fige Updates und Aktualisierungen sind für den Endan-
wender wichtig. Eine hohe Erkennungsrate ist wohl mi-
tunter einer der wichtigsten Kriterien für einen Benutzer.
Hierbei gibt es verschiedene Methoden, wie ein Antivi-
renprogramm Schadsoftware erkennen kann.
Grundsätzlich vergleicht ein Antivirenprogramm po-
tenzielle Schadsoftware mit einer Signaturen-Daten-
bank, in der sehr viele bereits bekannte Viren und deren
'Familien' eingetragen sind. Diese Methode funktioniert
sehr schnell und einfach, erkennt aber leider nicht un-
bekannte, modifizierte oder neue Viren. Deshalb haben
sich Entwickler von Antivirenprogrammen neue Metho-
den einfallen lassen, um höhere Erkennungsraten zu
erzielen.
Eine Methode davon ist die sogenannte Heuristik.
Hierbei wird durch gewisse Charakteristiken, beispiel-
sweise bestimmte Befehlsfolgen und Eigenschaften,
mögliche Schadsoftware erkannt, auch wenn sie noch
nicht explizit in einer Datenbank erfasst wurde. Die-
se Methodik stellt sich als immer wichtiger heraus, da
die Zeiträume, in denen neue Viren oder Abwandlun-
gen von bereits existierenden Viren erscheinen, immer
kürzer werden. Eine gute Heuristik ist dennoch schwie-
rig, da Autoren von Schadsoftware meist ihre Entwi-
cklungen gegen die gängigsten Lösungen testen und
derartig modifizieren, dass sie nicht mehr erkannt wer-
den können.
Eine andere Technologie zur Erkennung von noch
unbekannten Schadprogrammen ist eine Sandbox. Ei-
ne Sandbox simuliert, vereinfacht ausgedrückt, einen
Computer in einem Computer. Eine verdächtige Datei
wird in der Sandbox ausgeführt und analysiert. Hierbei
kann untersucht werden, welche Routinen die Datei au-
sführt und welcher Schaden womöglich auf einem rich-
tigen System verursacht worden wäre.
Eine weitere Technologie, ähnlich wie Heuristik und
Sandbox, untersucht ebenfalls typische Verhaltens-
weisen und wird passend als Verhaltensanalyse bez-
eichnet. Diese Technologie kommt nur bei Echtzeitü-
berwachung zum Einsatz, wobei die Aktionen eines
Was man heutzutage über
Antivirenprogramme wissen muss
Unerfahrene Computernutzer erkundigen sich oftmals
nach einer guten Antivirenlösung. Empfehlungen stützen
sich hierbei häufig auf persönliche Präferenzen und
Erfahrungen, nur selten werden Kriterien erfragt, welche für
den Fragenden wichtig sein könnten.
Michael R. Heinzl
hakin9.org/de 35
dend gesehen werden.
Ein Antivirenprogramm stellt kein Allheilmittel dar
und man sollte sich nie gänzlich alleine auf ein solches
verlassen. Dennoch bieten Antivirenprogramme einen
zusätzlichen Schutz und helfen vor allem auch oftmals
unerfahrenen Nutzern, welche noch keine Erfahrung
oder ein Gefühl für Awareness besitzen.
Programms auf dem tatsächlichen Computer durchge-
führt werden. Durch bestimmte Regeln, beispielswei-
se dem Überschreiten einer bestimmten Reizschwelle
(Überschreiben von bestimmten Dateien, Durchführung
von ‘verdächtigen‘ Aktionen etc.) kann eingeschritten
und Maßnahmen getroffen werden.
Nachteilig bei den genannten Methoden ist eine
höhere Fehlalarmquote, d.h. dass auch nicht-bösar-
tige Software fälschlicherweise als solche eingestuft
und behandelt werden kann. Die Sandbox-Technologie
stellt sich zudem als relativ ressourcenintensiv und ver-
gleichsweise langsam dar, weshalb sie überwiegend in
Labors von Antiviren-Herstellern zum Einsatz kommt.
Ein gutes Antivirenprogramm sollte Viren und Malwa-
re im Allgemeinen nicht nur erkennen, sondern natür-
lich auch entsprechend darauf reagieren können. Aus
Endanwender-Sicht vermag dies durchaus als Selb-
stverständlichkeit betrachtet werden, dennoch gibt es
vereinzelt auch Lösungen, welche Probleme mit einer
sauberen und kompletten Entfernung des Schädlings
haben. Natürlich unterscheiden sich Schädlinge oftmals
grundlegend untereinander, dennoch säubern manche
Antivirenprogramme schlichtweg besser und gründli-
cher als andere. Es sollte demnach nicht als selbstre-
MICHAEL R. HEINZL
Der Autor beschäftigt sich mit IT-Security, insbesonde-
re mit Penetration Testing und Reverse Engineering. Kon-
taktmöglichkeit besteht über das österreichische Securitypor-
tal www.defense.at od. über www.awesec.com
Was man heutzutage über Antivirenprogramme wissen muss
Was Sie schon immer über
E-Mail-Security
Compliance
Anti-Spam
Anti-Malware
E-Mail-Archivierung
E-Mail-Sicherheit am Gateway & Desktop
wissen wollten ...
N
E
U
!
Jetzt kostenlos dow
nloaden:
w
w
w
.SearchSecurity.de/
Kom
pendium
/
w e r b u n g
6/2010 36
DATENSCHUTZ
I
n der Vergangenheit scheiterte die Umsetzung der
Sicherheitsrichtlinien oft an der Tatsache, dass
die meisten E-Mail-Verschlüsselungslösungen zu
komplex sind und IT-Infrastrukturen als Voraussetzung
erfordern, über die viele Unternehmen nicht verfügen.
Der Trend geht daher mittlerweile klar in Richtung an-
wenderfreundliche Konzepte.
Um gesetzeskonform zu handeln und die Privatsphä-
re und die Integrität sowie gleichzeitig das Vertrauen
von Kunden, Lieferanten, Klienten etc. zu gewährlei-
sten, müssen sich Unternehmen zunehmend mit dem
Thema IT-Sicherheit auseinandersetzen. Hierzu zählen
neben den notwendigen Sicherheitsmaßnahmen ver-
schiedene Organisationspflichten und in bestimmten
Branchen Geheimhaltungspflichten (z.B. bzgl. Bank-,
Mandanten-, Patienten- und TK-Geheimnis). Betreiber
von Telekommunikationsanlagen, die dem geschäfts-
mäßigen Einbringen von TK-Diensten dienen, sind
laut dem Telekommunikationsgesetz ebenfalls dazu
verpflichtet, angemessene technische Vorkehrungen
oder sonstige Maßnahmen zu treffen, um personenbe-
zogene Daten zu sichern.
Personen im Recht
Eines der wichtigsten Gesetze in diesem Umfeld ist
das deutsche Bundesdatenschutzgesetz (BDSG). Es
regelt gemeinsam mit den Datenschutzgesetzen der
einzelnen Bundesländer und anderen bereichsspezi-
fischen Bestimmungen den Umgang mit personen-
bezogenen Informationen, die in IT-Systemen oder
manuell verarbeitet werden. Hierzu gehören alle Ein-
zelangaben über persönliche oder sachliche Verhält-
nisse einer bestimmten natürlichen Person wie u. a.
der Name, das Alter, die Adresse, das Geburtsdatum
sowie das Einkommen. Hiervon stark betroffen sind
die persönlichen Daten von Mandanten, Kunden,
Patienten und Lieferanten. Die persönlichen Daten
von juristischen Personen werden hingegen nicht
geschützt.
Personen besitzen ferner das Recht auf Auskunft
ihrer Daten, Benachrichtigung, Sperrung, Berichti-
gung oder Löschung, Widerspruch und darüber hi-
naus können sie einen Schadensanspruch geltend
machen. Für die Durchsetzung ihrer Rechte kann die
Person sich an die Datenschutzaufsichtsbehörde, an
ein Zivilgericht oder an die Strafverfolgungsbehörde
wenden. Bei Nichtbeachten können verschiedene
Maßnahmen wie ein Bußgeldverfahren oder ein Straf-
antrag die Folge sein. Demzufolge legt der Gesetz-
geber Wert darauf, dass die datenschutzrechtlichen
Vorgaben in allen nicht öffentlichen Bereichen auch
umgesetzt werden.
Datenschutz auf allen Ebenen
Um die rechtlichen Anforderungen in vollem Umfang
erfüllen zu können und gesetzeskonform zu handeln,
Trend der E-Mail-Verschlüsselung:
Anwenderfreundlichkeit im Fokus
Milliarden ungesicherte E-Mails werden täglich über
das Internet transferiert. Insbesondere Verwaltungen,
Wirtschaftsprüfer, Notare und andere Unternehmen, die auf
elektronischem Weg hochsensible Daten austauschen, sind
jedoch gesetzlich zum Datenschutz verpflichtet.
IN DIESEM ARTIKEL ERFAHREN SIE...
• Welchen Datenschutzrichtlinien Unternehmen hinsichtlich
E-Mail-Sicherheit unterliegen;
• Wie sich Unternehmen schützen können und den gesetzli-
chen Richtlinien gerecht werden;
• Wohin sich der Trend in der E-Mail-Verschlüsselung entwi-
ckelt.
WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
• Kein spezielles Vorwissen.
Ulrike Peter
hakin9.org/de 37
sollten Unternehmen sowohl ein Augenmerk auf die
Kommunikationsläufe intern als auch extern legen.
Dies beginnt im organisatorischen Bereich zumeist
mit der Ernennung eines Datenschutzbeauftragten,
der sich diesem Thema ausführlich widmet. Die
externe Kommunikation mit Kunden, Lieferanten
etc. erfolgt zum größten Teil über das schnelle und
einfach zu handhabende Medium E-Mail. Der größte
Teil der E-Mail-Kommunikation geht unverschlüs-
selt über das Internet und stellt dadurch ein hohes
unternehmenskritisches Risiko dar. Dies ist eine oft
unterschätzte Gefahr. Die strafrechtlichen Risiken
sind häufig nicht bekannt. Sind im Unternehmen
beispielsweise die erforderlichen IT-Sicherheits-
strukturen nicht oder unzureichend implementiert
worden, so riskiert der IT-Verantwortliche die Haf-
tung des Unternehmens und seiner eigenen Person,
d.h. er muss ggf. mit seinem Privatvermögen für
entstandene Schäden aufkommen. Anders als im
Strafrecht haftet der IT-Verantwortliche im Zivilrecht
auch für Fahrlässigkeit.
E-Mail-Verschlüsselung erfüllt rechtliche
Anforderungen
Der Versand personenbezogener Daten durch un-
verschlüsselten E-Mail-Verkehr stellt einen Verstoß
gegen die Verpflichtung durch das BDSG zur Geheim-
haltung bzw. der vertraulichen Behandlung von per-
sönlichen Daten dar. Da es sich beim Übertragungs-
medium Internet um ein offenes Netz handelt, in dem
Daten leicht einsehbar sind, ist E-Mail-Verschlüsse-
lung für den Schutz unabdingbar. Täglich werden mil-
liardenfach ungeschützte Nachrichten auf Basis des
E-Mail-Protokolls SMTP (Simple Mail Transfer Proto-
col) versendet. Daher kann man als Absender einer
E-Mail ohne zusätzliche Schutzmechanismen wie Si-
gnatur und Verschlüsselung nie sicher sein, ob der In-
halt der elektronischen Nachricht nach ihrem Versand
mitgelesen oder verändert wird.
Die vielfache Hilflosigkeit im Bereich Datenschutz
beim Kontakt von Unternehmen insbesondere mit ex-
ternen Kommunikationspartnern zeigt sich zum größten
Teil dadurch, dass die Verantwortung durch Klauseln in
w e r b u n g
6/2010 38
DATENSCHUTZ
den Verträgen auf die Kunden bzw. Mandanten abge-
wälzt wird – und dies, obwohl die E-Mail-Verschlüsse-
lung durch IT-Lösungen längst auf einfache Weise zu
bewältigen ist.
Eine Möglichkeit, um den gesamten ausgehenden
E-Mail-Verkehr zu verschlüsseln und zu signieren, stellt
der Einsatz einer zentral gesteuerten IT-Lösung dar.
Um den administrativen Aufwand so gering wie möglich
zu halten, muss die zentrale Lösung auch eingehende
Nachrichten entschlüsseln und eine Signaturüberprü-
fung der signierten E-Mails durchführen. Hierzu gibt
es andererseits clientbasierte IT-Lösungen, die sich
allerdings auf Grund des extrem hohen administrativen
Aufwands und der umständlichen Bedienung nicht als
alltagstauglich erwiesen haben. Demzufolge haben sich
die zentral gesteuerten IT-Lösungen, die eine Passwort-
oder die PKI-basierte Verschlüsselung ermöglichen,
durchgesetzt.
Trend: Einfache Verschlüsselung via PDF
Um mit einer zentralen, Server-basierenden oder einer
Client-basierenden IT-Lösung verschlüsselte E-Mails zu
versenden, ist es in der Regel erforderlich, ein digitales
Zertifikat (vergleichbar mit einem digitalen Personalaus-
weis) des Empfängers der verschlüsselten Nachricht
zu besitzen. Das digitale Zertifikat, auch öffentlicher
Schlüssel genannt, wird durch ein vertrauenswürdiges
Trust Center ausgestellt und bestätigt. Die Bestätigung
ist notwendig, um zu garantieren, dass der verwendete
öffentliche Schlüssel auch zum designierten Empfän-
ger gehört. Das Trust Center agiert dabei als eine Art
Meldeamt und stellt sicher, dass das erstellte Zertifikat
eindeutig der Person oder dem Unternehmen zuzuord-
nen ist.
Probleme entstanden hierbei in der Vergangenheit,
da nicht jeder potenzielle Empfänger einer E-Mail ein
eigenes vertrauenswürdiges Zertifikat besitzt. Dieses
Problem kann durch einfache Passwort-basierende
Verschlüsselungslösungen behoben werden. Die-
se erfordern keine Zertifikate mehr, um vertrauliche
E-Mails verschlüsselt über das Internet zu externen
Kommunikationspartnern zu befördern, und etablie-
ren sich derzeit mehr und mehr als Server-basierte
Lösungen mit vollautomatisiertem Passwort-Manage-
ment in Unternehmen jeglicher Größen. Die Nachricht
wird dabei als Passwort-verschlüsselte PDF-Datei per
E-Mail oder über SSL-Verschlüsselung (Secure So-
ckets Layer) via HTTPS ausgetauscht. Diese Pass-
wort-basierenden IT-Lösungen ermöglichen es Un-
ternehmen, auf einfache Weise mit ihren Mandanten,
Kunden und Lieferanten sensible Informationen und
Daten auf dem schnellsten Wege via E-Mail auszutau-
schen. Denn das automatisierte Passwortmanagement
zentraler Lösungen ersetzt für die externen Empfänger
den komplexen Zertifikats-Ausstellungsprozess bei
Trust Centern.
Die allgemein bekanntere und gängige Methode, die
sich für vertraulichen E-Mail-Austausch mit Empfän-
gern und entsprechender Public Key Infrastructure eig-
net, ist die PKI-Verschlüsselung. Diese basiert auf den
beiden international etablierten Standards für E-Mail-
Verschlüsselung und -Signatur S/MIME und OpenPGP.
Sie stehen für Secure Multipurpose Internet Mail Exten-
sions sowie Open Pretty Good Privacy.
Auf Grund der zunehmend starken Vereinfachung
und Anpassung an die Anforderungen von Unterneh-
men jeglicher Größenordnung eignen sich E-Mail-
Verschlüsselungslösungen sowohl für SOHOs als
auch KMUs und Großunternehmen. Hersteller wie
die Zertificon Solutions GmbH stellen sich auf diese
Entwicklung ein und richten ihre Lösungen für E-Mail-
Sicherheit an den unterschiedlichen Bedürfnissen
aus. Die „Z1 SecureMail“-Produktfamilie beinhaltet
sowohl Lösungen mit den klassischen PKI-Verfahren
als auch mit der Passwort-basierenden Methode.
Vorteile wie Hochverfügbarkeit, Skalierbarkeit und
Modularisierung tragen dazu bei, dass sich derartige
Systeme in unterschiedlichen Branchen wie Gesund-
heitswesen, Energieversorgung, aber auch beispiels-
weise bei Rollouts von Bundesländern durchgesetzt
haben.
Fazit
Unternehmen sind verpflichtet, die Privatsphäre
ihrer Kunden ausreichend zu sichern. Insbeson-
dere Anwaltskanzleien, Banken, TK-Unternehmen
etc. verfügen über sensible und vertrauenswürdige
Kundendaten, die es zu schützen gilt. Nicht zuletzt,
weil dies durch den Gesetzgeber geregelt ist, sollten
diese ihrer Verantwortung nachkommen. Durch
Lösungen für einen vertraulichen/verschlüsselten
E-Mail-Austausch über das Internet können Unter-
nehmen das Recht ihrer Kunden auf Privatsphäre
und Integrität sichern. Durchsetzen werden sich
dabei insbesondere anwenderfreundliche Konzepte
wie die Passwort-basierende Verschlüsselung auf
PDF-Basis.
ULRIKE PETER
Der Autorin ist freie Journalistin und seit zehn Jahren für un-
terschiedliche Unternehmen und Medien in der IT-Branche
tätig. Ihre Spezialisierung liegt hierbei auf den Themenberei-
chen ICT-Security, Netzwerke und Telekommunikation. Ihre
Veröfentlichungen erstrecken sich über renommierte Medien
aus der Fachpresse bis hin zu Tages-, Online- und Wirtschafts-
medien sowie vertikaler Branchenpresse.
Kontakt z autorem: gal.anonim@software.com.pl
Bachelor-Studiengang IT Security
Master-Studiengang Information Security
Das Studium vermittelt eine integrale, ganzheitliche Sicht der Security von IT-Infrastruk-
tur. Die Kombination aus Technik- und Managementwissen ist in Österreich einzigartig.
Sie bildet die Grundlage für die zukünftigen Security-ExpertInnen im Unternehmen, die
sowohl die technischen Kenntnisse für einen sicheren IT-Betrieb beherrschen als auch
mit Management-Aufgaben vertraut sind.
IT-Infrastruktur sichern und managen.
Der Master-Studiengang Information Security ist
als konsekutiver Studiengang auf dem Bachelor-
Studiengang IT Security aufgebaut.
Im Masterstudiengang wird der praktische Kompe-
tenzerwerb durch fächerübergreifende Problemstel-
lungen, Forschungsseminare, Projekte und der
wissenschaftlichen Abschlussarbeit (Diplomarbeit)
sichergestellt.
Diese 2-stufige Ausbildung macht die Absolvent-
Innen zu gefragten ExpertInnen.
Berufsfelder:
J
Sicherheitsbeauftragte/r (Chief Information-
Security-Officer)
J
Compliance Officer, Risikomanager
J
IT-Governance ExpertIn
J
Datenschutzbeauftragte/r
J
AuditorIn
J
IT Security Solution Engineer/Architect
J
Security-Consultant
J
IT Infrastructure Engineer
J
Security Quality Assurance ManagerIn
J
Software Architect
J
IT-Solution Architect
Die AbsolventInnen sind qualifiziert, leitende und
planende Tätigkeiten auszuführen.
Immer mehr Prozesse eines Unternehmens werden
EDV-unterstützt abgebildet und abgewickelt.
Computerviren, Hacker, Datenverluste, Webattacken
usw. stellen somit eine Bedrohung für die IT-Infra-
struktur eines Unternehmens dar. Immer wieder hört
man, dass hochsensible Daten verloren gehen oder
in falsche Hände geraten. Bei einem Ausfall der
IT-Infrastruktur können wichtige Tätigkeiten nicht
mehr erledigt werden, was zu einem beträchtlichen
finanziellen Schaden für das Unternehmen führen
kann.
Daraus resultierend ergibt sich eine große Nachfrage
an Security-ExpertInnen, die sowohl die technischen
Kenntnisse für einen sicheren IT-Betrieb aufweisen,
als auch mit Management-Aufgaben vertraut sind.
Ausbildungschwerpunkte:
J
IT-Betrieb
J
Netzwerktechnik
J
Sicherheitstechnologien
J
Sicherheitsmanagement und Organisation
J
Transferable Skills
J
Software-Engineering
Fachhochschule St. Pölten GmbH
Matthias Corvinus-Straße 15, 3100 St. Pölten, Austria
T: +43/2742/313 228 - 632, E: is@fhstp.ac.at, I: www.fhstp.ac.at
Mit dieser Kombination aus Technik- und Management-
wissen zum/zur gesuchten SicherheitsexpertIn!
Im Rahmen des Studiums können folgende
Zertifizierungen erworben werden:
CCNP – CISCO Career Certifications & Paths
PHSE – PHION Security Engineer
MCITP – Microsoft Certified IT Professional
ITIL V3
Get certified and
you‘re on the spot!
Zertifizierungen
Studium
6/2010 40
DATENSCHUTZ
S
cheint der Einsatz entsprechender Filtermecha-
nismen vordergründig selbstverständlich und
notwendig zu sein, droht dem Administrator die
Strafbarkeit und dem Unternehmen die Haftungsfalle.
Arbeitsrechtliche Vorschriften machen den Einsatz von
Filtern innerhalb eines Betriebes zum aufwändig abzu-
stimmenden Unterfangen.
Grundlagen
Für die nachfolgende Betrachtung der rechtlichen Pro-
bleme müssen die verschiedenen Rechtsgebiete sau-
ber voneinander getrennt werden:
• Das Strafrecht, mit dem der Staat den allgemeinen
Rechtsfrieden sichert, indem besondere als sozial-
schädlich erachtete Verhaltensweisen sanktioniert
werden. Das Strafrecht wirkt sich damit nur indi-
rekt auf das allgemeine Zusammenleben der Bür-
ger aus.
• Das Zivilrecht, das das Verhältnis zwischen Kunde
und Anbieter regelt, also der Nutzungsvertrag und
damit die Frage, ob der Anbieter seine Leistung
vertragsgerecht erbringt und demzufolge auch An-
spruch auf angemessene Bezahlung hat.
• Das Öffentliche Recht, das nur unter Umständen
eine gewisse Rolle bei Spamfilterungen innerhalb
eines Unternehmens spielt, beispielsweise wenn
arbeits- und datenschutzrechtliche Vorschriften zu
beachten sind.
Strafrechtliche Probleme
Auf Grund der Tatsache, dass die Sanktionierung im
Strafrecht neben Geld- auch Haftstrafen für jeden Ein-
zelnen nach sich ziehen kann, muss Konflikten mit dem
Strafgesetzbuch besondere Aufmerksamkeit geschenkt
werden.
x206 II StGB bedroht die unbefugte Unterdrückung
anvertrauter Sendungen für Inhaber und Beschäftigte
von geschäftsmäßigen Telekommunikationsanbietern
mit bis zu fünf Jahren Gefängnis oder Geldstrafe. Der
Begriff der ”Sendung“ umfasst dabei auch E-Mails
([TROEND06], x206 Rn. 13).
Geschäftsmäßig ist der Anbieter schon dann, wenn er
den Dienst nur nachhaltig betreibt, auf eine Gewinner-
zielungsabsicht kommt es nicht an ([TROEND06], x206
Rn. 2). Auch Gratis-Dienste und geschlossene Benu-
tzergruppen werden demnach vom Anwendungsbe-
reich des x206 II StGB erfasst. In der Praxis muss da-
her beim Betreiber eines Mailservers sehr schnell von
einem geschäftsmäßigen Telekommunikationsanbieter
ausgegangen werden, so dass x206 StGB prinzipiell
anwendbar ist.
Anvertraut ist eine Nachricht, wenn der Absender
davon ausgehen kann, dass der nächste Server die
E-Mail sicher empfangen hat und zustellen wird. In der
technischen Praxis ist dies dann der Fall, wenn der
empfangende Server die erfolgreiche Übertragung der
E-Mail mit dem SMTP-Statuscode ”250 OK“ quittiert
und das einliefernde System daraufhin die E-Mail aus
seiner Mailqueue gelöscht hat. Ein Anvertrauen ist im
Umkehrschluss dann zu verneinen, wenn das empfan-
gene System durch einen entsprechenden Fehlercode
(4xx bzw. 5xx) kenntlich gemacht hat, dass die Mail-
übertragung aus welchen Gründen auch immer nicht
erfolgreich war.
Unterdrückt wird eine Nachricht dann, wenn sie ge-
löscht, fehlgeleitet oder zurückgehalten wird ([TRO-
END06], x206 Rn. 15). Das einfache Verwerfen von
erkannten Spam und Virennachrichten (”DISCARD”)
verbietet sich demnach, während das Einfügen eines
SPAM-TAGs im Betreff oder ein Bounce an den Absen-
der keine Unterdrückung im Sinne des x206 II StGB
darstellt. Das Parken einer solchen E-Mail in einem
Quarantäne-System ist wohl dann keine Unterdrü-
ckung, wenn der Empfänger darüber informiert wird und
jederzeit leicht die Auslieferung der E-Mail veranlassen
kann. Allerdings sanktioniert x206 II StGB lediglich die
”unbefugte“ Unterdrückung anvertrauter Nachrichten.
Es ist das gute Recht des Empfängers, darüber zu ent-
scheiden, wie mit seinem Eigentum – den Nachrichten
Rechtliche Aspekte der Spamfilterung für
Unternehmen und Administratoren
Internet Service Provider, Arbeitgeber und Administratoren
haben beim Einsatz von Spam- und Virenfiltern viele
rechtliche Details zu beachten.
Peer Heinlein
Rechtliche Aspekte der Spamfilterung für Unternehmen und Administratoren
hakin9.org/de 41
Dritte verifizierte IP-Sperrlisten (RBL) mag je nach Aus-
legung darunter fallen.
Um die Rechtssicherheit zu steigern, sollte der Anbie-
ter unbedingt entsprechende Klausen zum Eigenschutz
in den Individualvertrag oder die allgemeinen Nutzungs-
bedingungen (AGBs) aufnehmen.
Ob in den AGBs eines Anbieters die grundsätz-
liche Festlegung einer allgemeinen Zustimmung
zur Spam- und Virenfilterung auch nach inhaltsbe-
wertenden Methoden zulässig ist, ist umstritten. Im
Zweifel sollte hier jeweils eine individuell vertrag-
liche Vereinbarung (Opt-In) angestrebt werden.
Diese sollte sprachlich so gestaltet sein, dass der
Anbieter nicht einfach nur Spam herausfiltern darf,
sondern etwas weiter formuliert die Erlaubnis er-
hält, Spam- und Virenfilter einzusetzen. Ansonsten
könnte gut argumentiert werden, dass sich das Ein-
verständnis des Nutzers lediglich auf echten Spam
bezogen hat. Das versehentliche Filtern einer echten
E-Mail (false positive) wäre sonst nicht vom Einver-
ständnis des Nutzers gedeckt gewesen.
Zwischen Empfänger und Absender
Häufig werden als Spam erkannte Nachrichten von den
Servern angenommen und lediglich markiert an den
Empfänger weitergeleitet. Auch echte E-Mails können
so versehentlich in den Spamverdachts-Ordner ge-
langen. Wird auf Empfängerseite der Verdachtsordner
nicht richtig kontrolliert oder wird die als Spam markierte
E-Mail pauschal gelöscht, sind zivilrechtliche Haftungs-
probleme zwischen Empfänger und Absender denkbar,
wenn der Absender von einer erfolgreichen Zustellung
ausgehen durfte.
Besonderheiten bei Unternehmens-
Netzwerken
Filterung ausschließlich geschäftlich
genutzter E-Mail-Postfächer
Relativ unproblematisch ist die Spam-Filterung ge-
schäftlicher E-Mails. Nicht der einzelne Mitarbeiter
ist juristischer Eigentümer der empfangenen E-Mails,
sondern der Geschäftsinhaber oder Dienstherr als
Stellvertreter der juristischen Person. Ein Einver-
ständnis zur Filterung der geschäftlichen E-Mails
ist demnach einfach zu erteilen und juristisch un-
problematisch. Sofern vorhanden ist allerdings der
Betriebs- oder Personalrat mit einem Kontrollrecht
einzubeziehen, um einen Missbrauch der Filterfunkti-
onen auszuschließen.
Filterung auch privat genutzter E-Mail-Postfächer
Bei privater Mail-Nutzung am Arbeitsplatz ist der
Arbeitgeber i.d.R. als ”geschäftsmäßiger Telekom-
munikationsanbieter“ mit allen geschilderten Aus-
wirkungen anzusehen. Dies gilt auch dann, wenn
– umgegangen werden soll. Liegt das Einverständnis
des Empfängers vor, ist selbst das spurlose Löschen
der Nachrichten zulässig.
Zivilrechtliche Probleme
Zwischen Nutzer und Anbieter
Zwischen Provider und Nutzer liegt i.d.R. ein -wie
auch immer gearteter- Dienstvertrag vor, wonach der
Provider den Mailtransport zu erbringen hat. Filtert der
Provider ohne Einverständnis des Nutzers Spam und
Viren heraus, könnte dies prinzipiell als mangelhafte
Dienstleistung des Anbieters zu bewerten sein. Sofern
der Nutzer nicht explizit einer entsprechenden Filterung
zugestimmt hat, könnte er theoretisch vom Anbieter ein
filterfreies Postfach fordern.
Andererseits muss anerkannt werden, dass der Be-
trieb eines komplexen Netzwerkes wie dem Internet
nur mit klaren Regeln, technisch sauber eingehaltenen
Protokollen und einigen Schutzmaßnahmen sicherzu-
stellen ist. Die Grundlage dafür bilden die so genannten
”Request for Comments“ (RFC), die auch festlegen, wie
E-Mails übertragen werden und wie Mailserver konfigu-
riert sein müssen. Eine umfangreiche Beleuchtung aller
Details liefert [HEINL04].
Spam-Versender verstoßen häufig absichtlich oder
unabsichtlich gegen diese RFCs, beispielsweise weil
DNS-Daten der Botnetze falsch konfiguriert sind oder
weil sich der einliefernde Mailserver zur Tarnung mit
einem falschen Namen anmeldet. Es ist unbestritten,
dass Mailserver nicht alle E-Mail annehmen können,
gleich wie regel- und protokollwidrig sich der einlie-
fernde Mailclient verhält. Spätestens wenn die tech-
nische Kommunikation zwischen Client und Mailserver
nicht mehr funktioniert, wird der Mailserver die Nach-
richt nicht mehr empfangen können.
Das Recht des Nutzers auf Empfang seiner E-Mails
findet demnach seine Grenzen in den technisch not-
wendigen Anforderungen zum Betrieb des Netzwerkes
und damit dem Schutz einzelner Server, aber auch der
Allgemeinheit seiner Nutzer. Es ist nicht unumstritten,
aber gut nachvollziehbar, dass Mailserver bei eklatanten
RFC-Verstößen die Annahme von E-Mails auch verwei-
gern können müssen, selbst wenn technisch gesehen
der Empfang der E-Mail noch möglich wäre. Auch im
normalen Postverkehr wird analog der Transport von
Sendungen mit Sicherheitsrisiken (Beispiel: Chemika-
lien) oder bei fehlender Transportfähigkeit (Beispiel:
fehlende Verpackung) vom Postdienstleister abgelehnt
werden dürfen.
Der Nutzer kann damit mitnichten von seinem Anbie-
ter unumstößlich und unbegrenzt den Empfang aller
E-Mails fordern, sofern der Anbieter im Rahmen der Ab-
wägung beider Interessen nachvollziehbare und objek-
tiv überprüfbare technische Kriterien vorbringen kann.
Die Prüfung des Clients gegen einschlägige und durch
6/2010 42
DATENSCHUTZ
der Arbeitnehmer für die Nutzung kein Entgelt zu
entrichten hat. Der Nutzer müsste einer Filterung
seiner privaten E-Mails zustimmen. Ist eine kla-
re technische Trennung zwischen privaten und
geschäftlichen E-Mails nicht mehr möglich, wird
dem Arbeitgeber ggf. die Filterung seiner eigenen
E-Mails zu versagen sein, sollte der Nutzer seine
Zustimmung verweigern.
Eine Filterung nach Viren und anderer Schadsoftware
muss auf Grund des vorrangigen Schutzes des Unter-
nehmensnetzwerkes stets möglich sein.
Die betriebliche Praxis
bezüglich privater E-Mail-Nutzung
Oft fehlen Regelungen zur privaten E-Mail-Nutzung am
Arbeitsplatz. Sollten innerhalb eines Betriebes tatsäch-
lich keinerlei Regelungen zur privaten E-Mail-Nutzung
vorhanden sein, ist grundsätzlich von einem Verbot
auszugehen. Der Arbeitgeber müsste die private Nut-
zung seiner Infrastruktur erlauben.
Doch auch bei einem schriftlich fixierten Verbot
ist die aktuell ausgeübte betriebliche Praxis ent-
scheidend: Auch schriftliche Regelungen können
durch schlüssiges konkludentes Handeln fortlaufend
abgeändert werden. Das Verbot muss demnach ein-
gehalten und durchgesetzt werden. Vorgesetzte und
IT-Verantwortliche dürfen eine private Nutzung nicht
schweigsam dulden, geschweige denn fördern, sonst
ist alsbald von einer erlaubten privaten Nutzung aus-
zugehen.
Arbeitsrechtliche Probleme für den Administrator
Ebenso wie bei anderen Straftaten – wie Diebstahl oder
Totschlag – kann der Administrator gegen x206 StGB
nicht anführen, er habe ”lediglich auf Anweisung seines
Vorgesetzten” gehandelt. Denn ob Anweisung, oder
nicht: Was strafrechtlich durch den Staat verboten ist,
kann nicht durch Anweisung eines Vorgesetzten legali-
siert werden. Rechtswidrigen Anweisungen des Vorge-
setzten müsste sich der Administrator verweigern, was
zu schweren Konflikten im Arbeitsleben führen kann.
Dabei kann von keinem Beteiligten ein umfassendes
Rechtswissen verlangt werden. Hier muss ggf. auf ex-
ternen juristischen Sachverstand zurückgegriffen wer-
den, um die Beteiligten abzusichern. Eine gute Über-
sicht bietet [STROEM02].
Quintessenz
Um die zivilrechtlichen Haftungsrisiken und strafrecht-
lichen Probleme zu vermeiden, sollten Spam und Viren
vom Mailserver gar nicht erst erfolgreich angenommen
werden. Auch das allseits beliebte Markieren der Spam-
Nachrichten (Tagging) schafft keine ausreichende
Rechtssicherheit.
Filtertechniken wie Greylisting ([HEINL04a]) oder
RBL können diese Überprüfungen in Echtzeit leisten.
Auch gute Anti-Spam-Software kann schon jede E-Mail
während des Annahmeprozesses in Echtzeit filtern
([HEINL04]). Erkannter Spam kann dann direkt gegen-
über dem einliefernden Mailserver mit einem SMTP-
Code 4xx, bzw. 5xx abgelehnt werden.
Auch für Absender und Empfänger ist das Ablehnen
der E-Mails im Falle eines false positive am erstre-
benswertesten, da der Absender dann umgehend eine
Unzustellbar-Meldung erhält und über die nicht erfolgte
Zustellung seiner Nachricht eindeutig informiert ist.
Im Weiteren ergeben sich bei privater Nutzung einer
geschäftlichen E-Mail-Adresse nicht abzuwägende
Risiken für den Arbeitgeber, die zum Verlust seines
Handlungsspielraumes führen können. Auch außerhalb
der Spam- und Virenfilterung hat die erlaubte private
Nutzung schwerwiegende Konsequenzen: Aus daten-
schutzrechtlichen Erwägungen wird der Zugriff des
Arbeitgebers auf Mitarbeiterpostfächer selbst bei langer
Krankheit oder einem Ausscheiden des Arbeitnehmers
zu verneinen sein. Auch die neuerdings geforderte re-
visionssichere Archivierung aller ein- und ausgehenden
Handelsbriefe kann nicht mehr umgesetzt werden, wenn
die Gefahr besteht, dass auch private E-Mails archiviert
werden könnten.
Hier kann einem Arbeitgeber nur geraten werden, die
private E-Mail-Nutzung zu untersagen und durchzuse-
tzen, oder aber eine weitere technisch klar getrennte
Mailserver-Infrastruktur ausschließlich für die private
Nutzung durch seine Mitarbeiter zu installieren und da-
mit eine klare Trennung vorzunehmen.
Literatur
• [TROEND06] Herbert Tröndle, Thomas Fischer, Strafgesetz-
buch, Beck Juristischer Verlag,
• München 2006
• [STROEM02] Tobias H. Strömer, Online-Recht, dpunkt.verlag,
Heidelberg 2002
• [HEINL04] Peer Heinlein, Das Postfx-Buch, Open Source
Press, München 2004
• [HEINL04a] Peer Heinlein, Verzögerungstaktik, Linux-Maga-
zin 09/04, Linux New Media,
• München 2004
ÜBER DEN AUTOR
Peer Heinlein (Dipl.Jur.) - Heinlein Professional Linux Support
GmbH
Kontakt: p.heinlein@heinlein-support.de
Das Ziel für
IT-Sicherheits-
Verantwortliche:
it-sa 2010:
Treffpunkt der IT-Security Branche
it·sa Nürnberg,
19.- 21.Okt.2010
"L Konqresse. 1aqunqen. vorkshops. Seninare
BOO Aussteller nit Losunqen zu lnfornations·
Sicherheit. Latenschutz. lardware·Sicherunq und
Security·Awareness
lon·Stop·Vortraqsproqrann auf B qroßen loren
nit "LO Kurzreferaten. Podiunsdiskussionen.
Live·Lenos und Best·Practice·Beiträqen
Ouided 1ours von unabhänqiqen Consultants
leue 1henenhäche: ,Las perfekte Rechen·
zentrun. Planunq · Bau · 1echnik"
Veranstalter: Seculedia Verlaqs·Onbl
Postfach "P B4. L· LLPOL lnqelhein.
1elefon +4S G7PL SBO4·O. lax +4S G7PL LSS4
Nürnberg,
19.- 21.Okt. 2010
WWWITSADE
*ETZTINFORMIERENUND
.EWSLETTERANFORDERN
Datenschutz ist EU-weit gesetzliche Anforde-
rung. Wir sorgen für die Erfüllung rechtlicher
Vorschriften und kümmern uns um ein ange-
messenes Datenschutzniveau in Ihrem Unter-
nehmen, auch international.
www.blossey-partner.de
Recommended Sites
Securitymanager.de ist eine Produktion des
Online-Verlag FEiG & PARTNER. Seit dem
Start hat sich Securitymanager.de zu einem
führenden Online-Informationsportal in
Deutschland entwickelt und versteht sich als
unabhängiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de
Pericom base camp IT-Security: Unser Ziel ist
es, unsere Kunden vor möglichen Gefahren
für Ihre IT-Infrastruktur bestmöglich zu schüt-
zen. Neben der Analyse von Risikopotentia-
len durch Security Audits bieten wir, durch
die Implementierung von Security-Lösungen,
Schutz vor konkreten Gefahren.
www.pericom.at
Dieses Projekt hat sich zum Ziel gesetzt, durch
ein unabhängiges Informationsangebot möglichst
viel relevantes Wissen über Betriebssysteme
bereitzustellen. Dazu werden möglichst viele
Informationsquellen einbezogen.
www.operating-system.org
Happy-Security ist ein neues Portal mit Secu-
rity-Challanges, IT-Quiz, Web-Bibliothek, Multi-
media-Center & vielen weiteren Features.
www.happy-security.de
JMIT bietet Ihnen individuelle Lösungen für Ihr
Unternehmen an. Angefangen von Instand-
haltung und Wartung von einer EDV-Infrastruktur
bis hin zur Entwicklung von Software. Die Sicher-
heit Ihrer Daten wird bei den Tätigkeiten genau
berücksichtigt.
www.johannesmaria.at
AV-Comparatives geht hervor aus dem Inns-
brucker Kompetenzzentrum und gilt als eines
der bekanntesten unabhängigen Testhäuser
für Antiviren-Software.
www.av-comparatives.org
Die Seed Forensics GmbH bietet für Strafver-
folgungsbehörden professionelle Unterstützung
in den Bereichen der Datensicherstellung und
Datenträgerauswertung. Selbstverständlich
entsprechen unsere Mitarbeiter, unser tech-
nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
Anonmail bietet Sie frei verschlüsselte und
sichert webmail an. Wir kombinieren den Kom-
fort von webmail mit maximaler Sicherheit.
www.anonmail.de
Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
Administratoren und Netzwerkprofis.
www.easy-network.de
Hier findest Du alles, was das Herz eines
Computerfreaks höher schlagen lässt: Geek
Wear mit intelligenten Sprüchen, eine riesige
Auswahl Gadgets und natürlich auch viele
Hacker Tools.
www.getDigital.de
Recommended Companies
SEC Consult
SEC Consult ist der führende Berater
für Information Security Consulting in
Zentraleuropa. Die vollständige Unab-
hängigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfa-
ssen externe/interne Sicherheitsaudits,
(Web-) Applikationssicherheit (ONR 17-
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
SEC Consult
Tele-Consulting GmbH
Vom BSI akkreditiertes Prüflabor für IT-
Sicherheit, hakin9 und c’t Autoren, jah-
relange Erfahrung bei der Durchführung
von Penetrationstests und Security-Au-
dits, eigener Security Scanner „tajanas”,
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte
ISO 27001-Auditoren, VoIP-Planung
und -Security
www.tele-consulting.com
B1 Systems
Die B1 Systems ist international tätig
in den Bereichen Linux/Open Source
Consulting, Training und Support. B1
Systems spezialisiert sich in den Be-
reichen Virtualisierung und Cluster.
info@b1-systems.de
www.b1-systems.de
x-cellent technologies
x-cellent technologies ist als IT-Dienst-
leister und Beratungsunternehmen mit
den Schwerpunkten IT-Security, Netz-
werkmanagement und Anwendungs-
entwicklung tätig. Unsere IT-Security-
Leistungen sind: Audits, Penetrationstests,
IT-Securitymanagement, IT-
Grundschutz, ISO 27001
www.x-cellent.com
art of defence GmbH
art of defence entwickelt Lösungen im
Bereich der Web-Anwendungs-Sicher-
heit. Unsere Software schützt Websites
und Datenbanken gegen Hacker-An-
griffe auf Anwendungs-Ebene wie z.B.
Phishing. Damit schließen wir die derzeit
größte Sicherheitslücke von E-Business-
Systemen. Egal ob Web-Farm oder klei-
ner Online-Shop.
www.artofdefence.com
Protea Networks
Protea ist spezialisiert auf IT-Security-
Lösungen: Verschlüsselung, Firewall/
VPN, Authentifizierung, Content-Filte-
ring, etc. Wir bieten umfassende Bera-
tung, Vertrieb von Security-Hard- und
Software, Installation und umfangreiche
Dienstleistungen (z. B. Konzeption, Trai-
nings). Protea setzt auf Lösungen der
Markt- und Technologieführer und hält
dafür direkten inhouse-Support bereit.
www.proteanetworks.de
secadm
secadm ist durchtrainierter Spezialist für
Airbags, ABS und Sicherheitsgurte in der
IT. Zehn IT-Sicherheitsexperten mit 70
Mannjahren Erfahrung beraten, entwi-
ckeln und implementieren IT-Lösungen
für Kunden weltweit. Der Fokus liegt da-
bei auf Themen wie Prozess-Optimierung
und Security-Management. Risiko-Analy-
se, die Sicherheitsberatung, Auditing, Se-
curity-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.secadm.de
Blossey & Partner
Consulting Datenschutzbüro
Datenschutz ist EU-weit gesetzliche An-
forderung. Wir sorgen für die Erfüllung
rechtlicher Vorschriften und kümmern
uns um ein angemessenes Daten-
schutzniveau in Ihrem Unternehmen,
auch international. Wir erledigen alle er-
forderlichen Aufgaben, die Fäden behal-
ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.blossey-partner.de
secXtreme GmbH
schützt Ihre Web-Anwendungen bis
auf Applikationsebene. Dazu gehört
sowohl die Prüfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen für Sicherheit im
Entwicklungsprozess und Schutzlö-
sungen (Web Application Firewalls) bei
Großunternehmen und dem gehobenen
Mittelstand.
www.sec-Xtreme.com
Mabunta
Die mabunta GmbH agiert als hoch-
spezialisierter und kompetenter Partner
rund um IT-Security- und Netzwerk-Lö-
sungen. Wir unterstützen bei IT-Sicher-
heitsfragen in allen Unternehmens-
bereichen, verbinden Wachstum mit
sicherer Kommunikation.
Alles in allem- mabunta „one-face-to-
the-customer“, Ihr Spezialist in Fragen
der IT-Sicherheit.
www.mabunta.de
Recommended Companies
Omicron
Omicron ist auf Sicherheit und Analysen
von Netzwerken und Systemen spe-
zialisiert und pflegt ein sehr sorgfältig
zusammengestelltes Service- und Lö-
sungsportfolio, um Firmen bei zentralen
und sicherheitskritischen Problemstellun-
gen kompetent unterstützen zu können.
Entsprechende Kurse und Ausbildungen
ergänzen das Angebot.
www.omicron.ch
Compass Security AG
Das Dienstleistungsunternehmen hat
sich auf Security-Assessments zur Ver-
traulichkeit, Verfügbarkeit und Integrität
von Unternehmensdaten spezialisiert.
Mittels Penetrationstests, Ethical Ha-
ckings und Reviews beurteilt Compass
ICT-Lösungen hinsichtlich Sicherheits-
risiken präventiv, spürt vorhandene
Schwachstellen auf und unterstützt bei
deren Beseitigung.
www.csnc.ch
SecureNet GmbH, München
Als Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwen-
dungen: Anwendungs-Pentests, Sour-
cecodeanalysen, Secure Coding Gui-
delines, Beratung rund um den Software
Develoment Lifecycle. Tools: Application
Firewalls, Application Scanner, Fortify
SCA/Defender/Tracer.
www.securenet.de
underground_8
secure computing gmbh
Wir entwickeln und vertreiben security
appliances für die Bereiche Unified
Threat Management, Traffic Shaping
und Antispam. Unsere Lösungen sind
hardwarebasiert und werden über Dis-
tributoren, Reseller und Systemintegra-
toren implementiert und vertrieben.
www.underground8.com
OPTIMAbit GmbH
Wir sind Spezialisten für Entwicklung
und Security. Wir sichern Java, .NET
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Diens-
te umfassen Audits, Code Reviews, Pe-
netrationstest, sowie die Erstellung von
Policies. Zusätzlich bieten wir Seminare
zu sicherheitsrelevanten Themen.
www.optimabit.com
m-privacy GmbH
IT-Sicherheitslösungen – funktional und
einfach zu bedienen!
So präsentieren sich die von m-privacy
entwickelten TightGate™-Server, z.B.
TightGate™-Pro mit Datenschutz-Gü-
tesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
gezielten Angriffen!
www.m-privacy.de
NESEC
NESEC ist Ihr Spezialist für Penetra-
tionstests, Sicherheitsanalysen und
IT-Security Counsulting. Das NESEC
Pentest-Team unterstützt Sie bei Si-
cherheitsprüfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
Mitarbeiter und zertifizieren Ihr Unter-
nehmen nach ISO 27001.
www.nesec.de
Seed Forensics GmbH
Die Seed Forensics GmbH bietet
für Strafverfolgungsbehörden profe-
ssionelle Unterstützung in den
Bereichen der Datensicherstellung
und Datenträgerauswertung. Selbst-
verständlich entsprechen unsere
Mitarbeiter, unser technisches Equip-
0ment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.
www.seed-forensics.de
Deutschlands drittgrößte Free and Open Source
Software Conference feiert ihr 5jähriges Jubiläum!
Klar, am 21. &
22.08.2010
in Sankt Augustin!
Hochkarätige Talks, Projekte und Workshops
Große Geburtstagsparty am Samstagabend
Hüpfburg
Creative Contest und vieles mehr
Highlights dieses Jahr sind:
Weitere Infos auf www.froscon.de und auf twitter
Call for Papers
12.4. bis 23.5.
?