Infosecurity 2008
Geschichten von Hase und Igel
Etwa 12.500 Besucher zählte die
Infosecurity 2008, ein bedeutender Treff der Sicherheitsszene mit 300 Ausstellern und zahlreichen interessanten Vorträgen, der vom 22. bis 24.4. in der Olympiahalle in London stattfand. Wieder einmal zeigte sich, dass das Thema "Sicherheit" im Umbruch ist oder wenigstens sein sollte.
Mit welch schwierigen Problemen die Datensicherheit heute zu kämpfen hat, machte der Vortrag "De-Perimeterisation: Fact or Fiction?" von Geraint Price (Royal Holloway University of London) deutlich: Nicht nur durch Outsourcing und Vernetzung, sondern auch durch neue Kommunikationsformen und den angestiegenen Austausch geschäftlicher Informationen sind Wissen und Prozesse praktisch nicht mehr lokal zu halten. Man hört kaum noch von Insiderangriffen als Hauptgefahr, was vor zehn Jahren ein Modethema war.
Obendrein gehören die Endpunkte der Kommunikation oft anderen, was klassische Trust-Modelle über den Haufen wirft. Verschlüsselung allein ist nicht die Lösung, denn das Key Handling ist der schwächste Punkt - vor allem, wenn es keine zentrale Autorität gibt. Nach Price‘ Ansicht steht die Sicherheitsforschung noch am Anfang. Theoretisch wäre mit DRM (basierend auf Trusted Platform Modules) eine Lösung denkbar. Price meint jedoch, dieses Modell sei gescheitert.
Ähnliche Bedenken äußerte
Bruce Schneier, der wieder einmal über den Gegensatz von Realität, gefühlter Sicherheit und Modellvorstellungen sprach. Die Einsicht, dass Rauchen schädlich ist (also die Anpassung des Modells und das Entwickeln einer gefühlten Bedrohung) habe Jahrzehnte gebraucht. Ähnlich verhielt es sich mit den Sitzgurten in Autos. Das Problem bei der Datensicherheit könnte sein, dass sich die Realität (also die Technik) zu schnell verändert, um Anpassung zu ermöglichen. Die Arbeit der Sicherheitsfachleute sieht wie ein Rennen zwischen Hase und Igel aus.
Angesichts solcher Fragen erscheint die "ganzheitliche Sicherheit", wie sie von manchem Aussteller angeboten wurde, nicht als endgültige Lösung. Ein solcher Anbieter ist Devicelock. Deren Produkt erzwingt Verschlüsselung auf externen Datenträgern und kontrolliert die Synchronisation mit mobilen Geräten. Technisch beruht Devicelock auf einer Modifizierung des Active-Directory-Services, wirkt also nur in reinen Microsoft-Welten und ist auch nicht gegen qualifizierte Angreifer gefeit. Insbesondere wird das Key Handling Drittanbietern wie PGP überlassen, doch PGP ist nach eigener Aussage nicht darauf aus, den Rechner vor seinem eigenen Nutzer zu schützen (ein TPM wird höchstens zum Key Recovery eingesetzt, wie ein Gespräch am Stand ergab). Ähnliches gilt für Credant Technologies, die in Microsoft-Umgebungen die Verschlüsselung externer Datenträger erzwingen. Beide Produkte werden trotzdem in vielen Top-500-Unternehmen eingesetzt, denn etwas Sicherheit ist besser als keine.
Auf den kritischen Zuhörer recht deprimierend wirkte auch die Präsentation von David Emm von Kaspersky Lab, die aktuelle Angriffsmethoden und deren Evolution erklärte. Hochinteressant war der Vortrag dennoch. 90 Prozent der Angriffe tarnen sich als Trojaner. Im Gegensatz zu früher wirken sie zielgerichteter auf bestimmte Nutzer oder Gruppen und verbergen sich besser. Botnets werden nicht nur zentral gesteuert: Auch eine P2P-Vernetzung, die sich kaum noch aufspüren lässt, ist bereits zu beobachten.
Nur die Gegenmaßnahmen wollten nicht recht überzeugen: Es sah wieder nach Symptombekämpfung aus. Insbesondere Emms Kritik an Virtualisierungslösungen ließ sich nicht immer nachvollziehen - hier könnte doch ein Ansatz liegen, wenigstens für mehr Sicherheit beim Surfen.
Im Kontrast dazu stimmte der Vortrag von Tomas Olovsson (Appgate Network Security) über den praktischen Einsatz von Open-Source-Software eher optimistisch. Appgate bietet ein konfigurierbares Linux (Ubuntu) mit Krypto-File-System an, das vom USB-Stick gebootet wird und so ein sicheres Arbeiten in unsicheren Umgebungen erlaubt. Gewiss, auch ein BIOS lässt sich "hacken", doch ein wichtiger Sicherheitsgewinn in der Praxis ergibt sich aus diesem Konzept allemal.
Interessant war aber auch, wie Olovsson die Vorteile von Open-Source-Software (OSS) für die Sicherheit erläuterte und dabei auch den ökonomischen Standpunkt einbezog:
Man hat den Quelltext, der bei Details Auskunft gibt, wenn die Dokumentation nicht reicht. Insbesondere lässt sich Sicherheit nachprüfen.
OSS ist leichter integrierbar als proprietäre Produkte, weil sie eher auf Standards setzt und das primäre Interesse der Entwickler in der Integration und nicht der Abgrenzung zur Konkurrenz liegt.
Der Anwender kann Fehlerkorrekturen und Modifikationen selbst durchführen, was oft kostengünstiger ist als das Warten aufs nächste Release.
Firmen können so langfristig ein profitables Geschäftsmodell aufbauen, indem sie Änderungen an OSS an die Community zurückgeben und gleichzeitig von der Nutzung der OSS und dem Feedback der Community profitieren. Gardner, traditionell doch ein Microsoft-freundliches Unternehmen, schätzt, dass bis 2012 etwa 90 Prozent aller Firmen OSS einsetzen werden.
Nachteile von OSS verschwieg der Referent nicht:
Manche Lizenzen erlauben keine kommerzielle Nutzung,
die Qualität der Software ist oft niedriger als bei kommerziellen Produkten,
freie Software ist manchmal unvollständig im Vergleich zur gekauften, und
nicht selten ist auch die Dokumentation schlecht.
Trotzdem bleibt die Gesamtbilanz positiv, und die Sicherheitsindustrie könnte eine wichtige Rolle bei der Anwendung von OSS spielen. Die Produkte von Appgate werden von "Highend-Kunden" wie Banken und anderen Hochsicherheitsbereichen eingesetzt. Als Beispiele für OSS nannte Olovsson Open SSL/Open SSH, Open LDAP, Apache, Open Solaris, Linux, VNC und Open Office. Interessant übrigens, dass die meisten Beiträge zu freier Software von der Berkeley-Universität, gleich gefolgt von Sun, kamen - erst danach erschienen Firmen wie Novell und IBM.
Auch Be Crypt bietet ein gesichertes System an, das vom USB-Stick gebootet werden kann. Im Unterschied zu Appgate scheint es sich hier aber um eine proprietäre Lösung zu handeln.
Zwei-Faktor mit Problemen
Aus der Vielzahl vorgestellter Lösungen sei hier noch die interessante "1,5-Faktor-Authentifizierung" von Grid Data Security (
www.griddatasecurity.com) angeführt. Hintergrund ist, dass die Bekämpfung der Passwortflut mit der Zwei-Faktor-Methode (also der Kombination von PIN und hardwaregenerierten Einmalpasswörtern, so wie beim Securid-Token von RSA) in der Praxis offenbar doch nicht so gut funktioniert: Wer sein Token liegen lässt, kann sich unterwegs nicht mehr einloggen, und einen erhöhten Aufwand an Kosten und Administration verursachen Token ebenfalls. Die Grundidee von Grid Data Security ist nun folgende: Auf dem Bildschirm wird vom Server eine Tastatur abgebildet, bei der in jeder der vier Ecken jeder Taste eine zufällig generierte Ziffer steht, bei jedem Login anders (siehe Bild). Der Anwender wählt nun willkürlich eine Ecke aus und tippt dann die dort angegebenen Ziffern statt seines Passworts ein. Der Server prüft, ob die gesendete Ziffernfolge zum richtigen Passwort gehören kann.
Wie ein White Paper der Firma zeigt, hat ein Lauscher an der Leitung damit keine Chance mehr, das ursprüngliche Passwort zu erraten, denn es gibt zu viele Möglichkeiten, weil jede Ziffer zu oft vorkommt. Auf der anderen Seite ist bei richtiger Wahl der Parameter (Passwortlänge, Verteilung der Ziffern) garantiert, dass mit ausreichend kleiner Wahrscheinlichkeit willkürliche Ziffernfolgen nicht zufällig zum gültigen Passwort gehören können. Mehrmaliges Belauschen und selbst Man-in-the-Middle-Attacken nützen hier wenig.
Die Methode ist bestechend einfach - auch in der Anwendung - und hoffentlich wirklich so resistent gegen Angriffe, wie es scheint. Man fragt sich, warum sie erst jetzt vorgeschlagen wird. Vermutlich waren dazu erst einmal negative Erfahrungen mit Hardware-Tokens notwendig. Wie zu erwarten, hat nicht nur Grid Data Security einen derartigen Einfall gehabt. So zeigte Pinoptic (
www.pinoptic.com) auf der Messe eine ähnliche Authentifizierungsmethode, bei der ein PIN-Pad auf dem Display erscheint, mit zusätzlichen Symbolen in zufälliger Reihenfolge (Bild 2). Das eigentliche Passwort besteht aus einer Symbolfolge, die per Pad vom Anwender in eine Ziffernfolge übersetzt wird.
Beide Methoden könnten gute Chancen in der Praxis haben. Allerdings sind auch beide zum Patent angemeldet. Erfahrungen in der Kryptografie zeigen jedoch, dass die unpatentierten Algorithmen auf Dauer die größeren Chancen haben (bestes Beispiel ist der AES-Algorithmus). So offenbaren sich gleich zwei offene Fragen der Informationsgesellschaft: Wie man seine Daten schützen soll - und wie man mit Wissen in Zukunft noch Geld verdienen will.
Lesen Sie mehr zum Thema
