Sicherheits- Management - April 2005

Auf dieser Seite

	Legende 5: Alle Umgebungen sollten mindestens "Hier Lieblings-Sicherheits-Guide einsetzen" verwenden
	Legende 6: “Hohe Sicherheit” ist ein Endziel für alle Umgebungen
	Legende 7: Beginnen Sie mit der Einrichtung eines Sicherheits-Guides zur Absicherung Ihrer Umgebung
	Legende 8: Sicherheitskonfigurationen können physische Sicherheitsprobleme lösen
	Legende 9: Sicherheitskonfigurationen stoppen Würmer und Viren
	Legende 10: Ein Experte hat diese Konfiguration als Defense-in-Depth empfohlen
	Mehr zum Thema

Legende 5: Alle Umgebungen sollten mindestens "Hier Lieblings-Sicherheits-Guide einsetzen" verwenden

„One size fits all“ funktioniert nicht. Jede Umgebung besitzt einzigartige Anforderungen und einzigartige Bedrohungen. Wenn es tatsächlich einen Guide geben würde, mit dem man jedes System da draußen absichern könnte, wären seine Einstellungen die Standardeinstellungen. Wenn jemand behauptet, es gäbe den Sicherheits-Guide, vergisst er die Komplexität von Sicherheit und Systemadministration. Wie wir in unserem ersten Artikel geschrieben haben, bekommen Administratoren normalerweise keine Anrufe, wenn Sachen kaputt gehen. Auch Sicherheit macht Dinge kaputt; deshalb sind einige sicherheitsbezogene Einstellungen standardmäßig deaktiviert. Um eine Umgebung zu schützen, müssen Sie verstehen, wie diese Umgebung aussieht, wer sie wofür benutzt und was die Bedrohungen sind, die von den Benutzern als auszuschaltend gesehen werden. Bei Sicherheit geht es um Risikomanagement. Und Risikomanagement heißt, Risiken zu verstehen und zu managen, nicht Veränderungen nur deshalb vorzunehmen, weil sie die eigene Existenz und das monatliche Gehalt sichern.

Ein erfahrener Systemadministrator sollte mindestens den Sicherheits-Guide oder die verwendeten Richtlinien evaluieren und sicherstellen, dass sie der Umgebung angemessen sind. Gewisse Anpassungen an die Umgebung sind fast immer notwendig. Diese Aufgabe kann ein unerfahrener Administrator nicht übernehmen. Vorsicht ist also geboten bei der Aufstellung oder Anpassung von Sicherheitsrichtlinien.

Zum Seitenanfang

Legende 6: “Hohe Sicherheit” ist ein Endziel für alle Umgebungen

Hohe Sicherheit im Sinne möglichst restriktiver Sicherheitsregeln, passt nicht in jedem Fall. Wie wir bereits mehrfach erwähnt haben, macht die Sicherheit auch Dinge kaputt. In einigen Umgebungen blockiert man für die Sicherheit Dinge, die man in anderen nicht antasten würde. Hätte Ihnen jemand am 10. September 2001 gesagt, dass Sie drei Stunden vor Abflugzeit am Flughafen sein müssen, um dort bis auf die Haut untersucht zu werden und danach ihre Stricknadeln beschlagnahmt zu bekommen, hätten sie demjenigen gesagt, er sei verrückt. Hohe Sicherheit (wenn Flughafensicherheit wirklich Sicherheit ist und nicht nur Sicherheitstheater) war nicht für jeden etwas, und in der Welt, in der wir vor 08.00 Uhr am 11. September 2001 gelebt haben, war sie nichts für uns. Als dann wieder die ersten Flugzeuge abhoben, bezweifelten weniger Leute als vorher die Notwendigkeit höherer Sicherheit an Flughäfen.

Dasselbe gilt für Informationssicherheit. Einige Systeme sind sehr ernsten Angriffen ausgesetzt. Wenn diese Systeme beschädigt werden, sterben Menschen, Nationen und große Unternehmen gehen in Bankrott, und die Gesellschaft, wie wir sie kennen, geht unter. Andere Systeme enthalten viel weniger sensible Informationen und müssen deshalb nicht derselben Sicherheitsstufe unterworfen werden. Die Schutzmaßnahmen, die für erstere eingesetzt werden, sind für letztere völlig unangemessen; dennoch hören wir, dass „hohe Sicherheit” eine Art Endziel ist, nach dem alle Umgebungen streben sollten. Diese Art von Aussagen ist eine Simplifizierung, die zum allgemeinen Misstrauen und der Verwirrung auf dem Gebiet der Informationssicherheit heutzutage beiträgt.

Zum Seitenanfang

Legende 7: Beginnen Sie mit der Einrichtung eines Sicherheits-Guides zur Absicherung Ihrer Umgebung

Sie können nicht etwas absichern, indem sie es verändern. Wenn Sie anfangen, Dinge zu verändern, verändert sich auch die Umgebung, und die Annahmen, mit denen Sie gestartet sind, verlieren ihre Gültigkeit. Um es noch einmal zu wiederholen: Sicherheit heißt Risikomanagement; es geht darum, die Risiken und die konkreten Bedrohungen Ihrer Umgebung zu verstehen und diese abzumildern. Ein Schritt dabei kann der Einsatz eines Sicherheits-Guides sein, aber das können Sie nicht wissen, bevor Sie nicht Bedrohungen und Risiken analysieren.

Zum Seitenanfang

Legende 8: Sicherheitskonfigurationen können physische Sicherheitsprobleme lösen

Es gibt ein grundlegendes Konzept der Informationssicherheit, das besagt: Wenn die bösen Jungs physischen Zugang zu Ihrem Computer haben, ist es nicht mehr länger Ihr Computer! Physischer Zugang sticht immer die Softwaresicherheit aus – möglicherweise. Wir müssen diese Aussage genauer betrachten, denn es gibt Funktionen der Softwaresicherheit, die auch nach einem physischen Eindringen schützen. Die Verschlüsselung von Daten zum Beispiel, fällt in diese Kategorie. Wie auch immer, viele andere Konfigurationen zur Softwaresicherheit sind bedeutungslos. Wir mögen derzeit besonders die Debatte über USB-Sticks. Seit dem Film “Der Rekrut” weiß jeder, dass man leicht Daten über einen USB-Stick stehlen kann. Komischerweise scheint dies aber auch nur für USB-Sticks zu gelten. Wir waren in militärischen Einrichtungen, in denen unsere USB-Sticks konfisziert wurden, nicht aber unsere 80-GB-i1394-Festplatten. Anscheinend sind die nicht so schlimm.

An einem unvergesslichen Abend rief spät der Boss einer der Autoren an und fragte völlig aufgelöst, was man gegen dieses Problem tun könnte. Die Antwort: Gehen Sie in den nächsten Baumarkt, kaufen Sie eine Tube Epoxydharz und füllen Sie damit die USB-Ports. Danach sollten Sie auch gleich die Ausgänge für i1394 (FireWire), serielle Schnittstelle, Parallel-Port, SD-Card, MMC, Memory Stick, CD-/ DVD-Brenner, Diskettenlaufwerk und Ethernet verkleben. Außerdem müssen Sie sicherstellen, dass niemand den Monitor rausträgt und eine Fotokopie davon macht. Daten können über alle diese Schnittstellen gestohlen werden.

Die Krux bei der Sache ist, dass alles möglich ist – so lange es diese Schnittstellen am System gibt und die bösen Jungs Zugang haben. USB unterscheidet sich da nicht von den anderen. Sicher, der Hersteller könnte einen Schalter einbauen, der verhindert, dass jemand auf einen USB-Stick schreibt. Das verhindert allerdings nicht, dass die bösen Jungs von einem USB-Stick booten, einen NTFS-Treiber laden und dann die Daten stehlen.

Um es kurz zu machen: Jede Lösung für Softwaresicherheit, die einen wirksamen Schutz nach physischem Eindringen bieten soll, muss auch dann noch halten, wenn der böse Junge vollen Zugang zum System hat und mit einem beliebigen Betriebssystem booten kann. Registrierungsänderungen und Dateisystem-ACLs bieten nicht diesen Schutz, aber Verschlüsselung tut es. Zusammen mit angemessener physischer Sicherheit sind alle diese Maßnahmen nützlich. Als Ersatz für physische Sicherheit sind sie es normalerweise nicht.

Zum Seitenanfang

Legende 9: Sicherheitskonfigurationen stoppen Würmer und Viren

Weil Würmer und Viren (zusammen als “Malware” bezeichnet) entworfen wurden, um den größtmöglichen Schaden anzurichten, versuchen sie, die größtmögliche Anzahl verwundbarer Systeme anzugreifen. Also verbreiten sie sich normalerweise über einen von zwei Mechanismen: ungepatchte und nicht beseitigte Sicheheitslücken und unerfahrene Nutzer. Obwohl es ein paar Sicherheitskonfigurationen gibt, die Malware stoppen (Code Red zum Beispiel hätte über eine IIS-Konfiguration gestoppt werden können), kann die große Mehrheit nicht aufgehalten werden, weil sie sich durch die Nutzer verbreiten. Bei der Wahl zwischen tanzenden Schweinchen und Sicherheit werden Benutzer jedes einzelne Mal tanzende Schweinchen wählen. Bei der Wahl zwischen Bildern von nackten Leuten, die fröhlich am Strand herumtollen, und Sicherheit, würde ungefähr die Hälfte der Bevölkerung die nackten Leute, die fröhlich am Strand herumtollen, wählen. Nehmen Sie dazu die Tatsache, dass die Benutzer unsere Sicherheitsdialogfenster nicht verstehen, und wir haben die Katastrophe. Wenn ein Dialogfenster, das den Benutzer um eine Sicherheitsentscheidung bittet, die einzige Barriere zwischen dem Benutzer und nackten Leuten, die fröhlich am Strand herumtollen, ist, hat die Sicherheit keine Chance.

Zum Seitenanfang

Legende 10: Ein Experte hat diese Konfiguration als Defense-in-Depth empfohlen

Diese Legende besitzt zwei Teile. Lassen Sie uns mit dem zweiten beginnen. Defense-in -Depth ist eine begründete Sicherheitsstrategie, die Schutzmaßnahmen an verschiedenen Stellen einsetzt, um unakzeptable Bedrohungen zu beseitigen. Unglücklicherweise benutzen heutzutage viel zu viele Menschen den Ausdruck „Defense-in-Depth”, um Sicherheitsmaßnahmen zu rechtfertigen, die ansonsten keine Rechtfertigung hätten. Typischerweise passiert das wegen des allgemeinen Glaubens an Legende 3 (mehr Konfigurationsänderungen sind besser). Wir ändern mehr, um allen Prüfern zu zeigen, dass wir unseren Job erledigen und damit sie uns bestätigen, dass wir die nötige Sorgfalt walten lassen.

Dies zeigt die unglaubliche Unreife auf dem Gebiet der Sicherheitssoftware, ähnlich der in der „Medizin” des Mittelalters. Ärzte behandelten die Wunden von Patienten mit Kuhdung, Asche, Honig, Bier und allen möglichen anderen Dingen, normalerweise in schneller Abfolge, um zu zeigen, dass sie alles versuchen. Heute säubern Ärzte (oder eher Pfleger) die Wunde, verbinden sie, und verabreichen eventuell ein Antibiotikum; dann lassen sie die Wunde heilen. Weniger ist oft mehr, und der Einsatz von Defense-in-Depth als ein Weg zur Rechtfertigung unnötiger und möglicherweise gefährlicher Handlungen ist unangemessen.

Der erste Teil dieser Aussage ist einer unserer Favoriten. Als Gesellschaft lieben wir die Übertragung von Urteilen auf die Experten, weil sie ja Experten sind und mehr wissen als wir. Das Problem liegt darin, dass der Qualifikationsprozess für Experten sehr lückenhaft sein kann. Normalerweise ist die Definition eines Sicherheitsexperten die, dass es sich dabei um jemanden handelt, der „in der Presse zitiert wird”. Basierend auf den Leuten, die wir oft in den Medien sehen und unserer Wechselbeziehung mit diesen Leuten, scheint unser Glaube gerechtfertigt. Nicht länger die Handlungen definieren den Experten, sondern nur der Ruf - und ein Ruf kann übertragen werden. Unser Freund Mark Minasi benutzt einen großartigen Ausdruck, den wir für unsere eigenen Präsentationen gestohlen haben. Um ein Sicherheitsberater zu sein, müssen Sie nur vier Wörter kennen: “The sky is falling.” (Anmerkung des Übersetzers: Bezieht sich auf eine englische Kindergeschichte). Als Sicherheitsberater, die gesehen haben, wie die durchschnittliche Kompetenz der Branche gesunken ist, erscheint uns diese Aussage als wahr. Es gibt natürlich viele gute Sicherheitsberater, aber es gibt auch viele, die nicht wissen, was sie tun. In Mangel der Erkenntnis dessen drücken sie manchmal Kunden exorbitant hohe Preise auf, um ihre Unfähigkeit vor unwissenden Kunden zu verbergen.

Zum Seitenanfang

Mehr zum Thema

Dieser Artikel hat sich mit den Dingen befasst, die Sie vermeiden sollten, wenn Sie Sicherheit managen. In ihrem Buch "Protect Your Windows Network" beschreiben Jesper und Steve die Dinge, die Sie tun sollten, und Sie werden von einigen Ratschlägen überrascht sein.

Zum Seitenanfang

2 von 2