You are on page 1of 50

LIEBE HAKIN9 LESER,

in der August Ausgabe erwarten Sie viele spannende Themen aus dem Bereich
IT-Security.
Sie wissen nicht, wie man Schwachstellen in Web-Anwendungen schützen
kann? Dies erfahren Sie in unserem Beitrag Web-Anwendungen über den ge-
samten Lebenszyklus schützen. Schwachstellen in Web-Anwendungen lassen
sich nämlich auf zwei Arten schützen: entweder durch einen Patch oder durch
Web Application Firewalls (WAFs). Bei näherer Betrachtung zeigt sich, dass sich
beide Ansätze in der Praxis sinnvoll ergänzen, wenn Web-Applikationssicherheit
fest in den regulären Produktions- und Wartungszyklus integriert ist.
Unsere Einsteiger dürfen sich über den hochaktuellen Artikel zum Thema
Web Application Firewalls freuen. In der Rubrik Angriff finden Sie einen Beitrag
über Botnets, also Angriffe, die den Zugriff auf Webseiten verweigern oder groß-
angelegte Diebstähle von Kontodaten sind.
In der aktuellen Ausgabe finden Sie außerdem: Schlüssellose Kommunikation
in WEP-Netzen, Risikomanagement der Informationssicherheit, Der SHA-3
Hash-Wettbewerb, Der Weg zum eigenen Datenschutzbeauftragten.
Sie möchten unser Heft jeden Monat automatisch bekommen? Nichts ein-
facher als dies. Registrieren Sie sich für unseren Newsletter auf www.hakin9.org/
de und Sie werden regelmäßig jede Hakin9 Ausgabe in Ihrem E-Mail-Account
vorfinden. Jede Ausgabe wird nämlich automatisch an unsere Subscriber ver-
schickt.

Viel Spaß mit der Lektüre!

Adrianna Witkowska
Chefredakteurin

Umschlagsentwurf: Przemysław Banasiewicz Anmerkung!


herausgegeben vom Verlag: Werbung: adv@software.com.pl
Software Press Sp. z o. o. SK Die in der Zeitschrift demonstrierten Techniken sind
Anschrift: AUSSCHLIEßLICH in eigenen Rechnernetzen zu
Geschäftsführer: Paweł Marciniak Software Press Sp. z o.o. SK testen!
ul. Bokserska 1, 02-682 Warszawa, Poland Die Redaktion übernimmt keine Haftung für
Herausgeber: Ewa Łozowicka Tel. +48 22 427 36 56, Fax +48 22 244 24 59 eventuelle Schäden oder Konsequenzen, die aus
ewa.lozowicka@software.com.pl www.hakin9.org/de der
unangemessenen Anwendung der beschriebenen
Chefredakteur: Adrianna Witkowska Die Redaktion bemüht sich, dafür Sorge zu Techniken entstehen. Die Anwendung der darge-
adrianna.witkowska@software.com.pl tragen, dass die in der Zeitschrift sowie auf den stellten Techniken kann auch zum Datenverlust
begleitenden Datenträgern erhaltenen Informationen führen!
Redaktion/Betatester: Karolina Sokolowska, Kai und Anwendungen zutreffend und funktionsfähig hakin9 erscheint in folgenden Sprachversionen und
Renz, Thomas Höhn, Stefan Strobel, Peter Jastak, sind, übernimmt jedoch keinerlei Gewähr für derer Ländern:
Markus Wagner, Robert Lommen, Stefan M. Ritter, Geeignetheit für bestimmte Verwendungszwecke. Alle deutsche Version (Deutschland, Schweiz, Österreich,
Kerstin Blossey Markenzeichen, Logos und Handelsmarken, die sich Luxemburg), französische Version (Frankreich,
in der Zeitschrift befinden, sind registrierte oder nicht- Kanada, Belgien, Marokko), spanische Version
Produktion: Andrzej Kuca registrierte Markenzeichen der jeweiligen Eigenümer (Spanien, Portugal), polnische Version (Polen), eng-
DTP: Przemysław Banasiewicz und dienen nur als inhaltliche Ergänzungen. lische Version (Kanada, USA)
5/2009 HAKIN9 4
7/2010

InhaltsverzeIchnIs
Tools durch Web Application Firewalls (WAFs). Bei näherer
Betrachtung zeigt sich, dass sich beide Ansätze in der
Schlüssellose Kommunikation in WEP-Netzen 6 Praxis sinnvoll ergänzen, wenn Web-Applikationssi-
Kai Renz cherheit fest in den regulären Produktions- und War-
Einen WEP-Schlüssel zu knacken ist heutzutage eine tungszyklus integriert ist.
Sache von Minuten. Manchmal kann sich das Sammeln
der benötigten Daten jedoch schwierig gestalten, so- Risikomanagement der
dass die herkömmlichen Methoden versagen. In die- Informationssicherheit nach ISO/IEC 27005 28
ser Ausgabe werden wir uns deshalb mit einer anderen Robert Lommen
Möglichkeit befassen - der schlüssellosen Kommunika- Die Reduktion von Haftungsrisiken, das Gerechtwerden
tion innerhalb eines WEP-Netzwerks. von Compliance-Anforderungen in der IT oder die blo-
ße Sicherstellung des Geschäftsbetriebes begründen
für viele Unternehmen den Aufbau eines Management-
Für Einsteiger systems im Bereich Informationssicherheit (ISMS). Die
Heimnetzwerk – Weitere Möglichkeiten ISO/IEC 27005 beschreibt dazu eine standardisierte
mit der Fritz!Box 10 Vorgehensweise des IT-Risikomanagements, welches
Thomas Höhn sich vollständig in ein ISMS integrieren lässt.
Welche Möglichkeiten uns die Fritz!Box noch bietet,
wird in diesem Artikel behandelt. Wir schließen einen Der SHA-3 Hash-Wettbewerb – ein Zwischen-
Drucker per USB an und richten ihn für das Netzwerk stand 32
ein und es geht um die Möglichkeiten, die uns der USB- Dr. Stefan M. Ritter
Anschluss noch bietet. Eine Anleitung für Einsteiger. Seit 2007 läuft der vom NIST veranstaltete öffentliche
Wettbewerb zur Festlegung eines neuen Standards
Web Applications Firewalls16 für kryptografische Hash-Algorithmen, bezeichnet als
Stefan Strobel SHA-3, der Ende 2012 beendet sein wird.
Datenschutzskandale und gestohlene Kunden- und
Kreditkartendaten haben uns nicht nur im Jahr 2009
begleitet, sie werden uns auch in den nächsten Jah- Datenschutz
ren verfolgen. Immer wieder werden in diesem Kontext Der Weg zum eigenen Datenschutz-
auch unsichere Web-Seiten genannt und das, obwohl beauftragten: Wie Sie den passenden DSB
doch jeder eine Firewall im Einsatz hat. für Ihr Unternehmen finden 36
Kerstin Blossey, Blossey & Partner
Datenschutz ist in aller Munde, keine Frage! Nicht nur
Angriff in Deutschland und Europa häufen sich seit 2008 die
Conficker – Was man über „Pannen“, die in den meisten Fällen eine peinliche
Botnets wissen sollte 18 Veröffentlichung vieler personenbezogener Daten nach
Peter Jastak sich gezogen haben.
Angriffe, die den Zugriff auf Webseiten verweigern oder
großangelegte Diebstähle von Kontodaten, sind The-
men, die häufig in den computerbezogenen News wie-
derkehren. Hinter diesen Handlungen stehen immer öf- Im Zusammenhang mit den Änderungen, die in letzter Zeit in
ter Botnets. dem deutschen Recht stattgefunden haben und die IT-Sicherheit
betreffen, möchten wir ankündigen, dass hakin9-Abwehrmetho-
den Magazin seinem Profil treu bleibt.
Abwehr Unser Magazin dient ausschließlich den Erkenntniszwecken.
Web-Anwendungen über den Alle im Magazin präsentierten Methoden sollen für eine sichere
gesamten Lebenszyklus schützen 24 IT fungieren. Wir legen einen großen Wert auf die Entwicklung
Markus Wagner von einem sicheren elektronischen Umsatz im Internet und der
Schwachstellen in Web-Anwendungen lassen sich auf Bekämpfung von IT Kriminalität.
zwei Arten schützen: entweder durch einen Patch oder

 7/2010
Das Ziel für
IT-Sicherheits-
Verantwortliche:
it·sa Nürnberg,
19.-21.Okt.2010

it-sa 2010: Der Treffpunkt


der IT-Security Branche
+ONGRESSE 4AGUNGEN 7ORKSHOPS 3EMINARE

!USSTELLERMIT,¾SUNGENZU)NFORMATIONS
3ICHERHEIT $ATENSCHUTZ (ARDWARE 3ICHERUNGUND
3ECURITY !WARENESS

.ON 3TOP 6ORTRAGSPROGRAMMAUFGRO¨EN&OREN


MIT+URZREFERATEN 0ODIUMSDISKUSSIONEN 
,IVE $EMOSUND"EST 0RACTICE "EITR­GEN

'UIDED4OURSVONUNABH­NGIGEN#ONSULTANTS

.EUE4HEMENÈ­CHEa$ASPERFEKTE2ECHEN Nürnberg,
ZENTRUM 0LANUNG "AU 4ECHNIKk 19.- 21.Okt. 2010

*ETZTINFORMIERENUND
6ERANSTALTER3ECU-EDIA6ERLAGS 'MB( .EWSLETTERANFORDERN
0OSTFACH $ )NGELHEIM 
4ELEFON   &AX  WWWIT SADE
tools

Schlüssellose Kommunikation in WEP-Netzen

Kai Renz

Einen WEP-Schlüssel zu knacken ist heutzutage eine Sache von


Minuten. Manchmal kann sich das Sammeln der benötigten
Daten jedoch schwierig gestalten, sodass die herkömmlichen
Methoden versagen. In dieser Ausgabe werden wir uns deshalb
mit einer anderen Möglichkeit befassen - der schlüssellosen
Kommunikation innerhalb eines WEP-Netzwerks.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Wie man ohne einen Schlüssel innerhalb eines WEP-Netzwerks • Grundwissen WLAN.
kommunizieren kann;
• Mit welchen Maßnahmen Sie ihr WLAN-Netz absichern kö-
nnen;
• Wie das Tool easside-ng funktioniert.

T
rotz der allgemein bekannten Sicherheitslücken Bevor ein Client mit dem Netzwerk interagieren kann,
im WEP-Verschlüsselungsverfahren ist ungefähr muss dieser folgende Schritte durchführen: Probe (An-
jedes 11. WLAN nicht oder unzureichend gesi- frage), Authentication (Authentifizierung), Associati-
chert. Gründe für die anhaltende Nutzung von WEP gibt on (Assoziierung). Bei der Probe sendet der Client auf
es viele: Angefangen bei den Herstellern, die die Geräte allen Kanälen eine Anfrage. Befindet sich ein Acces-
mit WEP als Grundkonfiguration ausliefern, bis hin zu sPoint (AP) in Reichweite, antwortet dieser mit einer
ahnungslosen Privatanwendern ohne Konfigurationser- Response (Antwort). Sollte der AP eine Verschlüsse-
fahrung. Mangelnde Kenntnis in diesem Bereich ist nicht lung verwenden, ist das Privacy-Bit auf 1 gesetzt. Als
unnormal, welcher Rentner oder Schüler hat schon die nächstes verbindet sich der Client mit dem AP und stellt
Muse, ein Handbuch durchzuarbeiten, wenn das Gerät eine Authentifizierungsanfrage. Hierbei wird zwischen
eh schon mit einer fertig konfigurierten WLAN-Schnitt- und Open Authentication unterschieden. Will sich ein
stelle ausgeliefert wird? Gerade im WLAN-Bereich hört Client bei einem AP, der ein WEP-Netzwerk mit Open
man oft Sätze wie …wird mich schon nicht treffen oder Authentication anbietet, anmelden, so verhält es sich
…bei mir gibt es eh nichts zu holen. Dieser Grundsatz gleich wie bei einem offenen Netzwerk. Ist der Schlüs-
überträgt sich teils sogar soweit, dass nicht einmal die sel falsch, ist der Client zwar verbunden – seine Pake-
Standardpasswörter der Router geändert werden. Dra- te werden jedoch verworfen, da der verschlüsselte ICV
stische Auswirkungen kann dies im Umfeld von Fir- nicht mit dem unverschlüsselten, zwischengespeicher-
men haben. Sie gehen richtig in der Annahme, wenn ten ICV übereinstimmt. Als nächstes prüft der AP die
Sie denken, dass wenigstens (die meisten) Firmen Anfrage und sendet eine Antwort. Verläuft dieser Pro-
ein stärkeres Verschlüsselungsverfahren einsetzen, zess erfolgreich, folgt der Assoziierungsprozess. Hier-
dennoch ist in vielen Fällen nicht das Firmennetzwerk bei sendet der Client eine Assoziierungsanfrage, auf die
das Problem, sondern vielmehr der Mitarbeiter, der sich dann der AP, falls die nötigen Voraussetzungen beim
von zu Hause aus in das interne Netz einwählt. Treffen Client erfüllt sind, mit einer Association Response ant-
diese beiden Faktoren (ein Mitarbeiter, der sich in das wortet. Ist die Assoziierung erfolgreich, ist der Client mit
Firmennetzwerk einwählt und ein unsicheres WLAN- dem Netzwerk verbunden und kann Daten austauschen.
Netz) aufeinander, können erhebliche Schäden entste- Bei einer verhält es sich etwas anders. Hier sendet der
hen. Kann nachgewiesen werden, dass der Angriff von AP einen sogenannten Challenge Text, der dann vom
dem unsicheren Netzwerk des Mitarbeiters ausgegan- Client mit dem Standard-Schlüssel verschlüsselt und
gen ist, ist dieser mindestens mitschuldig! zurückgesendet wird. Der AP entschlüsselt den Text

 7/2010
Schlüssellose Kommunikation in WEP-Netzen

dann mit dem Standard-Schlüssel des Clients und stellt nerieren des Key-Streams zuständig ist, der dann spä-
ihn dem originalen Challenge Text gegenüber. Stimmen ter mit dem Klartext ge-XOR’ed wird.
die Texte überein, wird der Client mit dem AP verbun- Easside-ng ist ein All-in-One-Tool, das es uns erlaubt
den und kann nun kommunizieren. mit einem WEP-verschlüsselten AP zu kommunizieren,
Die Wired Equivalent Privacy, kurz WEP, wurde da- ohne dessen verwendeten Schlüssel zu kennen. Der
mals als Teil des IEEE 802.11 Standards veröffentlicht Trick steckt in der Logik, wie Pakete zwischen dem Client
und sollte den Datenaustausch im WLAN gegen Mitle- und dem Internet verarbeitet werden. Schauen wir uns
sen absichern. Neben der Verwendung einer CRC32 doch einmal die Kommunikation in einem solchen Netz-
Checksum wird die Rivest Cipher 4 (RC4) Verschlüs- werk an. Beim Versenden von Daten fällt nichts Unge-
selung angewendet. RC4, entwickelt von Ron Rivest wöhnliches auf: Das zu versendende Paket wird an das
(RSA Security), wurde damals ausgewählt, weil es TAP-Interface (ein von easside-ng erzeugtes, virtuelles
durch Einfachheit und Schnelligkeit überzeugte. Die Interface) übergeben, das dieses an easside-ng weiter-
Funktionsweise ist einfach: Es wird derselbe Schlüs- leitet. Dort wird es mit Hilfe des PRGA, der schon davor
sel zum Ver- und Entschlüsseln verwendet. Beim Ver- gesammelt wurde, verschlüsselt und in das Netzwerk in-
schlüsseln wird eine Reihe von Bits mit dem Klartext jiziert. Seine volle Power spielt easside-ng dann beim Er-
ge-XOR’ed. Zum Entschlüsseln muss der entstandene halten von Paketen aus. Sendet ein Gerät ein Paket, das
Text einfach wieder ge-XOR’ed werden. WEP verwen- an das TAP-Interface adressiert ist, nimmt easside-ng
det einen 24Bit langen Initialisierungsvektor (IV). Als dieses auf und entschlüsselt es. Dies geschieht in meh-
der Standard entwickelt wurde, war die Schlüssellän- reren Schritten. Hierfür wird zuerst ein neues Paket, be-
ge von der US Regierung auf 64Bit beschränkt, wo- stehend aus 2 Fragmenten, erstellt. Das erste Fragment
von aber 24Bit für den IV verwendet werden mussten. enthält nichts als die Ziel-IP und wurde mit dem PRGA-
Somit war die tatsächliche Schlüssellänge auf 40Bit Keystream verschlüsselt. Das zweite Fragment ist nichts
begrenzt. Als die Vorgaben gelockert wurden, konnte neues, denn es ist das vorhin empfangene Paket. Nun
der 128Bit-Schlüssel eingeführt werden, wovon wieder wird das neue Paket in das Netzwerk injiziert. Der AP
24Bit für den IV verwendet werden und somit eine re- empfängt nun die Fragmente, setzt sie zusammen und
ale Schlüssellänge von 104Bit erreicht werden konn- entschlüsselt das frisch zusammengesetzte Paket. Da
te. Durch diesen relativ kleinen Spielraum von etwa die Ziel-IP unser Buddy Server im Internet ist, wird das
16 Millionen unterschiedlichen IVs und letztlich auch Paket unverschlüsselt (!!) über die Kabelverbindung wei-
der Tatsache, dass nie Gegenmaßnahmen implemen- tergegeben. Der Buddy Server empfängt nun das unver-
tiert wurden, können bereits verwendete IVs wieder- schlüsselte Paket und sendet es an easside-ng zurück,
verwendet werden. RC4 besteht aus zwei Elementen: wo es dann auf dem TAP-Interface verwendet wird. Um
dem Key Scheduling Algorithm (KSA) und dem Pseu- den PRGA zu extrahieren, können zwei Techniken an-
do-Random Generation Algorithm (PRGA). Der KSA gewendet werden: die Fragmentation Technique und die
initialisiert eine Tabelle, die den Status von IV+ WEP Linear Keystream Expansion Technique. In beide Metho-
Schlüssel beinhaltet, während der PRGA für das Ge- den soll ein kleiner Einblick gegeben werden.

Verschlüsselung Entschlüsselung

Klartext 1 1 0 1 Verschlüsselte Daten 0 1 1 0

XOR XOR

Key-Stream 1 0 1 1 Key-Stream 1 0 1 1

= =

Verschlüsselte Daten 0 1 1 0 Klartext 1 1 0 1

Abbildung 1. RC4 XOR-Funktionsprinzip

hakin9.org/de 
tools

Die Fragmentation Technique kann einen 1504 Byte an uns zurückzusenden. Möglich ist dies, weil der AP
großen PRGA aufdecken. Um die Attacke zu starten, die Schnittstelle zwischen dem WLAN und dem Inter-
wird nicht mehr als ein einziges Datenpaket benötigt, net darstellt. Da unser Buddy-Server im Internet steht,
woraus dann ein kleiner Teil an Schlüsselinformatio- muss das aus dem WLAN stammende Paket zuerst
nen extrahiert wird. Es werden dann neue Pakete mit vom AP entschlüsselt und dann versendet werden.
bekanntem Inhalt an den AP gesendet. Werden diese Damit wir easside-ng in vollem Umfang verwenden
erfolgreich zurückgesendet, kann ein größerer Anteil können, müssen einige Voraussetzungen erfüllt werden.
an Schlüsselinformationen extrahiert werden. Dieser Zunächst muss das WLAN, das wir testen, Zugriff auf
Schritt wird so oft wiederholt, bis 1504 Byte des PRGA das Internet haben. Des Weiteren muss der Port, den wir
aufgedeckt wurden. für unseren Buddy-Server verwenden, freigegeben sein.
Bei der Linear Keystream Expansion Technique macht Da http (Port 80) eigentlich immer offen ist, werden wir
sich die Tatsache zu nutze, dass der PRGA mit Hilfe diesen Port für unseren Test verwenden. Der Buddy-Ser-
einer ARP-Anfrage Schritt für Schritt herausgefunden ver muss im Internet stehen und eine geroutete IP besi-
werden kann. Hierfür extrahiert easside-ng den vorhan- tzen, und natürlich sowohl vom WLAN als auch von un-
denen PRGA aus dem Klartext einer ARP-Anfrage und serer Maschine aus erreichbar sein. Erreichbar bedeutet
erzeugt ein neues ARP-Paket, das aus zwei Fragmen- in diesem Fall, dass alle eingehenden und ausgehenden
ten besteht. Das erste Fragment ist 1Byte größer als Verbindungen (sowohl TCP wie auch UDP) auf unserem
das ursprüngliche und genau für dieses Byte wird der Serverport zugelassen sind, und das unsere Maschine
PRGA versucht zu erraten. Wird das Paket vom AP zu- eine Internetverbindung hat, mit der wir über TCP auf
rückgesendet, ist der PRGA für eben dieses Byte (und unserem Port kommunizieren können. Idealerweise ver-
zwar nur für dieses!) korrekt und in der originalen ARP- wenden wir getrennte Systeme, es ist aber auch möglich,
Anfrage kann ein Byte mehr entschlüsselt werden. Die- den Buddy-Server und easside-ng auf demselben Com-
ser Prozess wiederholt sich so oft, bis die Sender-IP in puter zu benutzen. Die letzte Voraussetzung, die unsere
der originalen Anfrage entschlüsselt werden kann. Um Maschine erfüllen muss, ist der Besitz einer WLAN-Kar-
1 Byte zu entschlüsseln, braucht man bei dieser Tech- te, die sich in den Monitor-Modus versetzen lässt. Dieser
nik maximal 256 Versuche, der Durchschnitt liegt aber Monitor-Modus erlaubt es uns Pakete, die nicht an uns
nur bei der Hälfte. adressiert sind, mitzulesen.
Nun aber zurück zu easside-ng und dessen Funk- Wir starten nun also unseren Buddy-ng Server, indem
tionsweise. Wie schon angedeutet, brauchen wir ei- wir eine Shell öffnen und buddy-ng eingeben. Als nächstes
nen sogenannten Buddy-Server, der über das Inter- müssen wir unsere WLAN-Karte in den Monitor-Mode
net sowohl für den Angreifer wie auch für den AP des setzen. Wir starten eine zweite Shell und geben airmon-ng
zu angreifenden Netzes erreichbar ist. Dieser macht start interface ein. Das Interface kann man leicht durch
nichts anderes wie die vom AP entschlüsselten Pakete Eingabe des iwconfig Befehls herausfinden (in meinem

Encrypted Data Unencrypted Dtat

IP,DATA
Internet
Source AP

Destination

IP{IP,DATA}

IP IP,DATA
Attacker

Buddy server

Abbildung 2. Datenfragmentierung von easside-ng

 7/2010
schlüssellose Kommunikation in WEP-Netzen

Fall wlan0). Nun müssen wir uns noch den Channel und ller wie auch Privatanwender anwenden können, um es
die Mac-Adresse des Ziel-APs herausfinden. Dies kö- einem Angreifer schwerer zu machen, in ein privates
nnen wir zum Beispiel mithilfe von airodump-ng. Hierfür WLAN-Netz einzudringen.
verwenden wir den Befehl airodump-ng interface. Jetzt WLAN-Hacking-Gegenmaßnahmen:
haben wir alle benötigten Informationen gesammelt und
können easside-ng starten: easside-ng -f interface - • Standardmäßige Geräteauslieferung OHNE WEP-
v AP_MAC -c AP_CHANNEL -s IP_BUDDY_SERVER. Easside-ng Verschlüsselungs-Option
startet jetzt den Angriffsprozess. Wenn wir den Output • Konfigurations-Zwang für Neugeräte
verfolgen, sehen wir wie easside-ng versucht, sich am • Standardkonfiguration mit WPA2-Verschlüsselung
AP zu assoziieren, die fragmentation Attacke ausführt, • Anpassung der Sendeleistung
um den PRGA zu entlarven und das IP-Schema des • Bündelung von Sicherheitsmaßnahmen (WPA2-
Netzwerks zu identifizieren. Ist dies erfolgt, wird eine Verschlüsselung + MAC-Filter)
permanente TCP Verbindung zu unserem Buddy-Ser- • Aktive Kontrolle des Netzes
ver hergestellt und die MAC-Adresse des Routers und • Passwortrotation
der Quelladresse ausfindig gemacht. Schlussendlich • SSID-Broadcast verbieten
erstellt easside-ng ein TAP-Interface, das es uns er-
laubt, mit dem Netzwerk zu kommunizieren. Wir akti-
vieren das TAP-Interface mit ifconfig at0 up und können KAI RENZ
nun mit dem Netzwerk interagieren, wie wenn wir ein Der Autor befindet sich gerade in Ausbildung zum Fachin-
Client mit dem korrekten Passwort wären. Dieser auto- formatiker für Systemintegration. In seiner Freizeit beschäf-
matisierte Prozess erlaubt es einem Angreifer innerhalb tigt er sich mit Themen rund um IT-Sicherheit und Penetration
von wenigen Minuten auf ein WEP-Netzwerk zuzugrei- Testing.
fen, ohne den Schlüssel manuell knacken zu müssen. Kontakt mit dem Autor:
Anbei noch einige Maßnahmen, die sowohl Herste- kai.renz@proof-of-concept.org

W e r b u n g

hakin9.org/de 9
Für Einsteiger

Heimnetzwerk – Weitere Möglichkeiten


mit der Fritz!Box
Thomas Höhn

Welche Möglichkeiten uns die Fritz!Box noch bietet, wird in


diesem Artikel behandelt. Wir schließen einen Drucker per
USB an und richten ihn für das Netzwerk ein und es geht um
die Möglichkeiten, die uns der USB-Anschluss noch bietet.
Eine Anleitung für Einsteiger.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Die schrittweise Anleitung und die richtige Einrichtung von • Wie die Geräte heißen, die Sie verwenden.
Druckern für Ihr Heimnetzwerk und die Möglichkeiten des
USB-Anschlusses an der Fritz!Box.

USB-Anschluss für Drucker im Netzwerk Ausführen und dann im weiteren Fenster Anwen-
verwenden dungsinstallation auf Installieren. Jetzt wird auf dem
Es gibt 2 Möglichkeiten, den USB-Anschluss der PC, auf dem wir angemeldet sind, das Programm
Fritz!Box für Drucker zu verwenden. Die eine Möglich- zur Erkennung des USB-Fernanschlusses installiert.
keit ist, dass er für den Drucker als Netzwerkdrucker Wenn die Installation beendet ist, befindet sich ein
verwendet wird. Bei der anderen Möglichkeit wird der neues Symbol in unserer Start-Leiste. Zunächst mü-
Drucker mittels eines USB-Fernanschlusses ange- ssen wir aber noch auf der Routeroberfläche unter
schlossen. Wir beschäftigen uns zunächst mit der 2. USB-Geräte → USB-Fernanschluss die Option Dru-
Möglichkeit. cker aktivieren.
Das Programm USB-Fernanschluss auf dem PC
USB-Fernanschluss ist selbsterklärend und sehr übersichtlich gestaltet.
Dazu gehen wir auf die Oberfläche des Routers mittels Sollten Sie bei der Fritz!Box ein Kennwort eingetra-
Internet Explorer und geben in der Adresszeile entwe- gen haben, so ist dieses hier ebenfalls einzutragen.
der die IP ein (http://192.178.0.1) oder http://fritz.box. Nach einem Klick auf „Aktualisieren“ sehen wir un-
Der Drucker, den wir anschließen wollen, muss natü-
rlich einen USB-Anschluss zum Verbinden haben. Mit
älteren Druckern ohne USB-Anschluss ist ein Anschluss
nicht möglich. Wir verbinden nun den Drucker per USB
mit der Fritz!Box. Ist dies geschehen, schalten wir den
Drucker ein.
Auf der Routeroberfläche finden wir den gesuch-
ten Menüpunkt unter Einstellungen → Erweitere Ein-
stellungen → System → Ansicht. Dort muss zunächst
die Expertenansicht angewählt und aktiviert werden.
Unter USB-Geräte → Geräteübersicht aktivieren wir
nun den Punkt USB-Fernanschluss aktivieren“ und
bestätigen die Eingaben. Nun werden uns weitere
Möglichkeiten angezeigt. Und wir wählen den Punkt
Programm für den USB-Fernanschluss. Im folgenden
Fenster USB-Fernanschluss wählen wir den Punkt Abbildung 1. Fritz!Box von WLAN 7270

10 7/2010
%FWXERH
WGLEJJX
7MGLIV
LIMX

)MRJEGLWMGLIVWYVJIR
%RKVMJJIEYJ(EXIRYRH7]WXIQI¾FIV
7GL[EGLWXIPPIRMRMRXIVRIXKIFYRHIRIR
%TTPMOEXMSRIRHVSLIRX¦KPMGL
,EPXIR7MIHMI+IJELVIRHIW-RXIVRIXWEYJ
(MWXER^ÕQMX6IQSXI'SRXVSPPIH&VS[WIV
7]WXIQW 6I'S&7 HIVQTVMZEG]+QF,

"N,¤MMOJTDIFO1BSL
.IX^X #FSMJO
'PO 
QTVMZEG] 'BY 
JOGP!NQSJWBDZEF
XXXNQSJWBDZEF
Für Einsteiger

seren Drucker, den wir jetzt mit einem Klick verbinden installiert sein. Lassen Sie sich die Drucker anzeigen
können. Nun kann gedruckt werden. Wollen Sie den „START → Einstellungen → Drucker & Faxgeräte“.
Drucker auf diesem Wege auch auf anderen PC´s in- Klicken Sie mit rechts auf den Drucker, der nun an
stallieren, so müssen Sie entweder die oben genann- der Fritz!Box angeschlossen ist und wählen Sie den
ten Schritte auf jedem PC durchführen (außer natü- Punkt „Eigenschaften“. Wir müssen nun zur Regi-
rlich die Einrichtung in der Fritz!Box selbst) oder Sie sterkarte „Anschlüsse“ wechseln und dort den Punkt
laden sich das Installationsprogramm herunter und „Hinzufügen“ auswählen. Wir wählen den Punkt
installieren es ohne auf die Router- oberfläche zuzu- „Standard TCP/IP Port“ aus und danach auf „Neuer
greifen. Anschluss...“. Wir können nun im folgenden Fenster
den Druckernamen oder die IP-Adresse eingeben.
Drucker als Netzwerkdrucker Entweder geben wir als Namen „fritz.box“ ein oder als
Der Weg zur Installation des Druckers als Netzwerk- IP „192.168.178.1“. Aus Erfahrung kann ich empfe-
drucker ist ähnlich. Sie müssen den Drucker wieder hlen, die IP-Adresse direkt einzugeben. Nachdem wir
mit der Fritz!Box verbinden und auf der Routerober- auf „Weiter“ geklickt haben, wählen wir im folgenden
fläche die Expertenansicht aktivieren. Danach wird Fenster den Punkt „Benutzerdefiniert“ und danach
allerdings ggf. das Menü „USB-Fernanschluss“ an- „Einstellungen“ aus. Hier muss als Protokoll „RAW“
gezeigt. Hier muss die Option „Drucker“ deaktiviert und als Portnummer „9100“ eingetragen werden. Wir
werden. Alle gemachten Einstellungen natürlich bestätigen nun die gemachten Eingaben und auch
immer bestätigen und dann sind auch alle Punkte er- die weiteren Fenster, bis wir wieder zu dem Fenster
ledigt, die in der Fritz!Box selbst eingestellt werden „Eigenschaften“ kommen, welches wir am Anfang ge-
müssen. öffnet haben. Dort muss bei unserem Drucker noch
Die weiteren Einstellungen müssen wir nun an dem die „Bidirektionale Unterstützung“ aktiviert werden.
PC vornehmen, von dem aus gedruckt werden soll. Bestätigen und Fenster schließen. Auch hier muss
Der Drucker selbst muss vorher mit seinen Treibern der Drucker auf allen PC´s eingerichtet werden. Vor-

Abbildung 2. USB-Fernanschluss

12 7/2010
Heimnetzwerk – Weitere Möglichkeiten mit der Fritz!Box

teil hier ist, dass die Software USB-Fernanschluss „Erweiterte Einstellungen → Speicher (NAS) → Einste-
nicht immer den Drucker bei jedem Neustart verbin- llungen“ auswählen. Der USB-Stick oder die USB-
den muss. Festplatte sollte vorher schon mit dem Router verbun-
den sein. Wir finden dort die folgenden Einstellungs-
Weitere Möglichkeiten möglichkeiten:
Da Festplattenspeicher immer günstiger wird und die
Datenmenge immer mehr wird, ist bei der Fritz!Box • Berechtigung für den Netzwerkzugriff
7270 die Möglichkeit des NAS-Speichers sehr intere- • USB-Speicher FTP-Zugriff aktivieren
ssant, um im Netzwerk einen Speicherort zu haben • USB-Netzwerkspeicher aktivieren
als auch von verschiedenen Rechnern auf die ge- • Online-Speicher aktivieren
meinsamen Daten zugreifen zu können. Möglich wird • Mediaserver aktivieren
dies mit einem USB-Stick, die es mittlerweile auch • Energiesparfunktion für USB-Festplatten aktivieren
schon mit 32GB oder noch mehr Kapazität gibt als
auch mit einer USB-Festplatte. Allerdings ist hierbei Die Berechtigung für den Netzwerkzugriff regelt, was
zu beachten, dass die USB-Festplatte über eine ei- wir erlauben möchten. Entweder nur Lesezugriff oder
gene Stromversorgung verfügen muss. Eine zu Test- auch Schreibrechte. Ohne Schreibrechte können kei-
zwecken angebundene USB-Festplatte von Western ne weiteren Daten gespeichert werden. Ebenso kö-
Digital mit 320GB im 2,5“ Format ohne eigene Strom- nnen wir ein Kennwort vergeben, das den Zugriff erst
versorgung konnte nicht zum Laufen gebracht wer- ermöglicht.
den. Beim FTP-Zugriff haben wir die Möglichkeit, auch von
außerhalb unseres Heimnetzwerkes auf die USB-Fest-
Optionen platte zuzugreifen.
Um dieses zu erreichen, müssen wir uns wieder auf USB-Netzwerkspeicher muss aktiviert werden, sonst
die Routeroberfläche einloggen und dort den Punkt können wir gar nicht auf die Daten zugreifen.

Abbildung 3. Speicher (NAS)

hakin9.org/de 13
Für EinstEigEr

Abbildung 4. Firmwareversion

Die Option „Online-Speicher“ erlaubt, die Daten, die Arbeit z.B.) die Lebensdauer der Festplatte verlän-
auf der USB-Festplatte sind, mit einem Online-Spei- gern können.
cher, also bei einem Drittanbieter, zu synchronisieren.
Es muss aber auf der USB-Festplatte noch soviel Spei- testen & Entdecken
cher frei sein, die der Größe der zu synchronisierenden Im Fritz!Labor finden Sie weitere Firmwareversionen
Dateien entsprechen. Sonst ist keine Synchronisation mit neuen Funktionen für Ihre Fritz!Box, die Sie te-
möglich. sten können. Aber denken Sie an eine Datensicherung.
Wenn der Punkt „Mediaserver“ aktiviert ist, können Sicher ist sicher.
z.B. Musikdateien auf andere Geräte im Heimnetz-
werk gestreamt werden und dort gehört werden. Dies
kann ein weiterer PC sein als auch z.B. ein Handy mit
WLAN.
Die Energiesparfunktion regelt eben genau das,
was der Name schon sagt. Durch den Anschluss ei-
ner USB-Festplatte erhöhen wir natürlich zum einen
den Stromverbrauch der Fritz!Box. Zum anderen ha-
ben auch Festplatten keine unbegrenzte Lebensda-
uer, so dass wir durch das „Ausschalten„ der USB-
Festplatte bei Nichtbenutzung (tagsüber während der
tHOMAs HÖHn
Der Autor ist freiberuflich als IT-Spezialist (MCTS) mit den
im internet
http://www.hoehn-it-service.de - Homepage des Autors Schwerpunkten Administration & Netzwerke tätig. Zahlreiche
http://www.avm.de/de/Service/Service-Portale/Labor/index.php wiederkehrende Fragen von Privatkunden bilden die Grundla-
– Link zum Fritz! Labor ge für den Artikel.
Kontakt mit dem Autor: thomas.hoehn@hoehn-it-service.de

14 7/2010
Für Einsteiger

Web Application Firewalls


Stefan Strobel

Datenschutzskandale und gestohlene Kunden- und


Kreditkartendaten haben uns nicht nur im Jahr 2009
begleitet, sie werden uns auch in den nächsten Jahren
verfolgen. Immer wieder werden in diesem Kontext auch
unsichere Web-Seiten genannt und das, obwohl doch jeder
eine Firewall im Einsatz hat.

N
etzwerk-Firewalls sind in jedem Unternehmen schwer, auch wenn fast jeder in diesem Bereich Erfah-
etabliert. Sie verbinden das interne Netzwerk rungen oder Referenzinstallationen für sich in Anspruch
mit dem Internet und erlauben dabei nur die er- nimmt.
wünschte Kommunikation wie Mail oder Web-Surfen. Die Auswahl der richtigen WAF ist damit nach wie vor
Leider sind sie nicht in der Lage, einen eigenen Web- eine ernstzunehmende Aufgabe, die man idealerweise
Server vor Angriffen zu schützen, denn diese Angriffe mit einem erfahrenen externen Berater angehen soll-
erfolgen heute zu mindestens 80% auf der sogenann- te, denn die Probleme stecken in vielen Details, auf die
ten Applikationsebene. Das bedeutet, dass der Angrei- man bei den Vertriebsvorstellungen der Hersteller kaum
fer nur den erlaubten Kommunikationsweg verwendet, kommt.
der auch für legitime Anwender benötigt wird. Eine nor- Die Performanz der Produkte ist jedenfalls kein sinn-
male Firewall kann zwischen normalen Zugriffen und volles Unterscheidungskriterium mehr. Eigentlich alle
Angriffen auf Applikationsebene so gut wie nicht unter- Hersteller bieten heute unterschiedliche Hardware-Platt-
scheiden. formen an, die bis in theoretische Bereiche skalieren,
Um diese Lücke zu schließen, muss man entwe- aber in der Praxis so gut wie nie erreicht werden. Statt-
der dafür sorgen, dass die eigenen Web-Seiten keine dessen sind viel eher die Webserverfarmen selbst der
Schwachstellen haben, was in der Praxis höchst selten Engpass und gerade hier kann eine WAF helfen, da sie
gelingt, oder man kann eine Web Application Firewall neben den Sicherheitsfunktionen oft auch eine Entlas-
(kurz WAF) vor die Webserver schalten. Eine moderne tung der Backends ermöglicht.
WAF verhindert einen sehr großen Teil der möglichen Obwohl WAFs inzwischen seit über zehn Jahren am
Angriffe bereits in einer generischen Grundkonfigura- Markt sind und von vielen bekannten Herstellern ange-
tion, die in wenigen Stunden erreicht werden kann. Auch boten werden, sind die Unternehmen, die bereits WAFs
wenn nicht alle denkbaren Angriffe verhindert werden einsetzen, immer noch in der Minderheit. Das hat ver-
können, so erschwert eine WAF den Angriff in jedem Fall schiedene Gründe.
so stark, dass die meisten Angreifer schnell die Lust ver- Der vermutlich am weitesten verbreitete Grund liegt in
lieren und nach einem leichteren Opfer suchen. der Verdrängung des Problems, vor allem bei eher mi-
WAFs werden heute entweder als Zusatzlizenz für ttelständischen Unternehmen. Mit Argumenten wie „von
LoadBalancer Appliances von beispielsweise F5 oder uns will doch keiner etwas“ oder „unsere Server sind
Citrix angeboten oder aber als Spezialprodukte wie bei- sicher“ wird das Problem wegdiskutiert bis tatsächlich
spielsweise von Barracuda oder DenyAll. Beim Funk- etwas passiert. Sinnvoll wäre stattdessen ein Penetra-
tionsumfang hat sich eine Menge von Grundfunktionen tionstest bzw. eine Sicherheitsüberprüfung der Server
etabliert, die jeder Hersteller bietet. Darüber hinaus un- durch einen externen Spezialisten, der die Schwach-
terscheiden sich die Produkte jedoch stark hinsichtlich stellen aufzeigt und so die Begründung für den Einsatz
der Flexibilität, der Betriebsunterstützung oder der Im- einer WAF liefert. Aber selbst dann versuchen viele Un-
plementation von Zusatzfunktionen wie Authentisie- ternehmen die gefundenen Schwachstellen immer wie-
rung. Auch mit sinnvoller Absicherung von SAP-basier- der zu beheben und glauben das Problem damit end-
ten Web-Applikationen tun sich noch einige Hersteller gültig lösen zu können.

16 7/2010
Sicherlich sind Audits und Penetrationstests sinn-
voll und wichtig. Man muss jedoch akzeptieren, dass
diese Prüfungen immer nur Momentaufnahmen sind,
dass sich die Server ständig weiterentwickeln und dass
immer neue Angriffsmethoden bekannt werden. Be-
reits wenige Tage oder Wochen nach der Behebung
aller im Audit gefundenen Schwachstellen kann ein An-
greifer erfolgreich eine neue oder bisher unbemerkte
Schwachstelle ausnutzen. Eine WAF kann dagegen
auch im Zeitraum zwischen zwei Prüfungen proaktiv für
Sicherheit sorgen.
Ein häufiger Fehler im Zusammenhang mit solchen
Prüfungen ist auch die vorschnelle Auswahl eines ex-
ternen Prüfers. Nur wenige Anbieter sind wirklich auf Si-
cherheitsüberprüfungen spezialisiert und häufig kommt
es vor, dass man in einem Prüfungsbericht der IT-Firma
XY nur harmlose Schwachstellen präsentiert bekommt,
während die dramatischen Probleme unentdeckt blei-
ben. Hier hilft nur der Weg zum Spezialisten, dessen
Kerngeschäft in der Prüfung von IT-Systemen liegt.
Ein anderer Grund, der vor allem größere Unterneh-
men oder auch Behörden vom Einsatz einer WAF ab-
hält, ist die Frage nach der Betriebsverantwortung. Die
Netzwerkabteilung verweist darauf, dass es ja hier um
Anwendungen geht und nicht um die Netzwerkinfra-
struktur und die Anwendungsabteilung verweist darauf,
dass das zu betreibende Produkt doch eine Appliance
ist, die sogar „Firewall“ als Namensbestandteil hat. Je-
der hat eigentlich genug zu tun und sucht nach Argu-
menten, warum es bei ihm nicht richtig aufgehoben ist
oder warum ein solches Produkt eigentlich gar nicht
sinnvoll ist. Derartige Vorgänge sind typisch für größere
Organisationen und eine WAF ist hier besonders pro-
blematisch, da sie meist den Verantwortungsbereich
verschiedener Abteilungen tangiert.
Erst wenn die Sicherheit der Web-Applikationen zur
Chefsache wird, beispielsweise nach einem Vorfall, ge-
rät Bewegung in diese Situation. Früher oder später lan-
det die WAF dann meist doch in der Abteilung, die auch
schon die Netzwerkfirewalls betreibt, denn die App-
likations- bzw. Web-Kenntnisse, die für den Betrieb ei-
ner WAF notwendig sind, sind dann doch sehr viel un-
spektakulärer als man zunächst dachte.

Stefan Strobel
Der Autor ist Geschäftsführer der cirosec GmbH. Er verfügt
über langjährige Erfahrungen in der Beratung großer Firmen
mit sehr hohem Sicherheitsbedarf und in der Erstellung von
Konzepten und Policies. Neben seiner Tätigkeit ist er Dozent
an Berufsakademien und an der Fachhochschule Heilbronn,
hält Vorträge auf Fachkongressen und ist Autor verschiedener
Fachbücher, die in mehreren Sprachen erschienen sind.

hakin9.org/de
Angriff

Conficker – Was man


über Botnets wissen sollte
Peter Jastak

Angriffe, die den Zugriff auf Webseiten verweigern oder


großangelegte Diebstähle von Kontodaten, sind Themen,
die häufig in den computerbezogenen News wiederkehren.
Hinter diesen Handlungen stehen immer öfter Botnets.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Was Botnets sind; • Wie verschiedene Typen von Netzwerken funktionieren;
• Welche Herangehensweisen bezüglich ihrer Struktur es gibt; • Welche Grundlagen für die Malware-Aktivität es gibt;
• Wie der Conficker-Wurm funktioniert. • Was Buffer-Overflow-Angriffe sind;
• Wie Verschlüsselung und digitale Unterschriften funktionieren.

S
oftware, die Botnets erstellen lässt, wird gegen- Kanal, der mit einem Passwort geschützt ist, werden
wärtig zum letzten Schrei, wenn es um Schad- die Botnets heutzutage von mehreren Servern kontro-
code geht. Übrigens kein Wunder - das resul- lliert, die einer Peer-to-Peer-Struktur ähneln. Dazu
tiert doch aus der Popularität von Rolex-Fälschungen, wird der Datentransfer Bot-Master - Bot verschlüsselt
Minispielen, notabene in Form von exe-Dateien und und in einigen Fällen erlaubt die Verwendung von digi-
allen möglichen Fetischen. Die Marktregeln besagen: talen Unterschriften eine Verbreitung der Befehle von
Wenn die Nachfrage existiert, dann findet sich auch Bot zu Bot, was den Bedarf an Schaltstellen überhaupt
das Angebot. Diese Regel haben die Spammer schnell eliminiert.
begriffen. Die Pflege einer Herde von Computern, die Beide Architekturen haben ihre Vorteile und Nach-
unerwünschte Mails verschicken, ist nämlich eine viel teile: Die zentralisierten Botnets können leicht zerstört
erfolgreichere Lösung für sie als der ständige Kampf werden, indem den Bot-Mastern bzw. dem Command &
mit den Internet-Providern, die Ihnen den Zugriff schnell Control Centre (kurz C&C genannt) der Zugriff gesperrt
sperren. So sind Botnets entstanden. wird. Es lässt sich jedoch relativ leicht, über Sie Kon-
trolle z.B. im Fall eines Passwort-Diebstahls zum IRC-
Theorie Kanal wiederzugewinnen. Die dezentralisierten Botnets
Botnet ist ein Netz von miteinander zusammenarbei- sind auf eine konventionelle Art und Weise praktisch
tenden Computern, die die von einem Bot-Master ge- unzerstörbar; sie basieren jedoch auf der Zuverlässig-
sendeten Befehle ausführen. Der Unterschied z.B. zu keit der Bots, die die Befehle weiterleiten, wodurch die
einem Cluster besteht darin, dass die Computer an das Propagation von Befehlen zeitaufwendig und mangel-
Botnet heimlich angeschlossen werden und die Benu- haft sein kann.
tzer selbst sich meistens der Teilnahme an krimineller Damit ein Botnet wirken kann, muss entsprechen-
Tätigkeit nicht bewusst sind. Bis vor kurzem war eine de Software auf dem Computer des Opfers insta-
Client-Server-Architektur populär, in der sich alle Bots lliert sein. In der Regel werden zur Verbreitung von
mit dem Bot-Master verbunden und Befehle erwartet Software (die gewissermaßen ein Rootkit ist) Com-
haben. Das populärste Protokoll, wegen der Einfach- puterwürmer eingesetzt, darunter der im Titel ge-
heit seiner Implementierung halber, war IRC. Nach- nannte Conficker. Die Weiterverbreitung erfolgt am
dem man jedoch angefangen hatte, Botnets durch die häufigsten durch E-Mails oder Sicherheitslücken in
Sperrung der Kanäle, die von Bot-Mastern überwacht der Software. E-Mails sind eine Verbreitungsme-
wurden, aktiv zu bekämpfen, veränderten die Ersteller thode, die vom Benutzer verlangen, dass dieser die
der Botnets deren Architektur. Statt von einem IRC- angehängte Datei mit dem sog. Downloader oder

18 7/2010
Conficker – Was man über Botnets wissen sollte

dem Wurm selbst aufmacht. Downloader ist ein Ver- ten Form heruntergeladen und dann wird die eigen-
mittlungsprogramm, welches das Verstecken vom tliche ausführbare Datei zuerst vor Ort erstellt. Die
Schadcode ermöglicht. Durch das Programm wird zweite Verbreitungsmethode ist das Ausnutzen von
der Schadcode in Teilen oder in einer verschlüssel- Sicherheitslücken in der Software. Es bedarf keiner

Abbildung 1. Ein zentralisiertes Botnet – Bot-Master verbinden sich durch einen Server mit den Bots

Abbildung 2. Ein dezentralisiertes Botnet - Bot-Master verbinden sich mit mehreren Bots, die Befehle dank einer gespeicherten Botliste
weiterleiten, die auf einer ähnlichen Architektur wie P2P basiert

hakin9.org/fr 19
Angriff

Interaktion seitens des Benutzers und ist somit viel ar 2007 haben Tausende von Personen eine E-Mail
schwieriger zu entdecken. Die Lebensdauer dieser mit dem Betreff „230 Tote nach dem Sturm in Euro-
Methode hängt aber nur von der Anzahl der Compu- pa” und mit einem Anhang bekommen, der eine Pro-
ter zusammen, auf denen die Software mit der ge- grammdatei war. Nach dem Ausführen istallierte sich
wissen Sicherheitslücke läuft. Da mit der Zeit der An- die Datei als wincom32 und begann Pakete an die im
teil von nicht-aktualisierten Versionen auf Null sinken Malware selbst kodierten Adressenbereiche weiter-
wird, verläuft die Verbreitung mit Hilfe dieser Metho- zuleiten. Dadurch wurde Fernkontrolle über andere
de zwar schnell, dauert dafür aber kurz. Um das Bot- Computer sowie Programmdateien möglich, die zum
net am Leben zu erhalten, ist eine Initiative seitens Verschicken von Nachrichten, Diebstahl der E-Mail-
der Ersteller notwendig, die den Wurm selbst aktuali- Kontos oder zum Durchführen von DDoS-Angriffen
sieren werden, damit dieser immer neue Sicherheits- dienten. Storm bediente sich eines dynamischen Sy-
lücken angreift. stems DNS und hat die Dateien von Server auf Ser-
ver übertragen, dabei registrierte oder deregistrierte
Beispiel eines Botnets - Storm er diejenigen Rechner, die an seine Domänen ange-
Obwohl Botnets schon früher bekannt waren (z.B. schlossen waren. Darüber hinaus haben die Server
SpamThru im Jahr 2006), brachte erst der Wurm na- jede paar Minuten eine neue Kopie der Dateien gene-
mens Storm einen richtigen Durchbruch. Am 15. Ja- riert, was Storm zu einem polymorphen Wurm mach-
nuar 2007 suchte ein Sturm Europa heim, den man te. Der Datentransfer innerhalb des Botnets selbst er-
Kyrill nannte. Er wehte mit der Kraft eines Hurrikans, folgt über die Protokolle eDonkey und Overnet und
tötete 44 Personen und verursachte Schaden, die wird mit Verteilung in verschiedene Zonen verschlü-
über eine Milliarde Euro hinausgingen. Am 19. Janu- sselt; der Zugriff zu jeder dieser Zonen verlangt einen

1. 2.

DNS DNS

V1 V2

Abbildung 3. Die Veränderlichkeit eines Botnets zeigt sich nicht nur im Codewechsel jede paar Minuten, sondern auch im Wechsel von
Servern, die seinen Code hosten und aus einer dynamischen Menge innerhalb von einigen Stunden gewählt werden.

20 7/2010
Conficker – Was man über Botnets wissen sollte

anderen Schlüssel. Dazu kommt noch, dass mehrma-


lige Verbindungsversuche mit den Servern, die eine
MS08-067
MS08-067 ist der Name eines Patches, der von Microsoft he-
Kopie des Wurms freigeben, mit einem DDoS-Angriff rausgegeben wurde sowie einer Sicherheitslücke, die mit ihm
auf den Computer der Person enden, wenn diese geflickt wird. Es ist eine typische Buffer-Overflow-Schwach-
die Funktionsweise von Storm herauszuarbeiten ver- stelle in einer von den Funktionen der netapi32.dll Bibliothek,
sucht. im Remote Procedure Call Dienst, in einer Funktion die für
die Bearbeitung der Verzeichnisadresse zuständig ist. Zu die-
Laut Joshua Corman, einem Angestellten von Secu-
sem Zweck sucht diese Funktion von hinten eine Zeichen-
reWorks, enden aufgedeckte Versuche, die ausführba- kette \.., dann sucht sie rückwärts den nächsten Schrägstrich
ren Dateien des Wurms zu debuggen, mit einem DDoS- und demnächst kopiert sie die Kette ab der Position dieses
Angriff seitens des Botnets. Schrägstrichs bis zum nächsten Schrägstrich.
Storm hat viele Anwendungen gefunden, darunter Es wird also die Kette aaa\bbb\.. in aaa\.. verwandelt, die Ke-
wurde er natürlich den Spammern zur Verfügung ge- tte aaa\.. wird aber im Gegenteil eine Suche hervorrufen, bis
im Speicher der nächste Schrägstrich auftaucht. Wenn es
stellt sowie zu Angriffen auf Server oder zu Versuchen
uns gelingt, einen Schrägstrich im Speicher irgendwo vor
vom Börsenbetrug genutzt. In der letzten Zeit hat sich aaa\.. platzieren, wird die Funktion all die ihm folgenden Da-
allerdings seine Aktivität verringert, was auf die Frag- ten kopieren, was Buffer-Overflow verursacht. Es reicht, an ei-
mentierung des Botnets und das Flicken von Sicher- ner entsprechenden Stelle in der überlaufenden Kette z.B. ei-
heitslücken in den Computern der potentiellen Opfer ne Adresse von einer Sprungfunktion zum ESP platzieren, der
zurückzuführen ist. auf den Rest unseres Shellcodes verweisen wird. Ein Proof-
of-Concept Beispiel liegt bei http://www.milw0rm.com/explo-
its/6824 vor.
Der Titelheld
Für den Erfolg des Confickers, der auch als Downa-
dup oder Kido bekannt ist, sprechen ein paar Fakto- lokalen Rechner. Je nach der Version, bedient sich
ren. Im Gegenteil zum Storm verbreitet er sich nicht Conficker verschiedener Dienste eines dynamischen
mit Hilfe von E-Mails, sondern er nutzt die Sicher- DNS, indem er jede 3 Stunden eine Liste von 250
heitslücke MS08-067 im Betriebssystem Microsoft neuen Domänen mit willkürlichen Namen generiert
Windows aus. Der Hauptgrund für diesen außerge- und sich später mit diesen URL-Adressen zu ver-
wöhnlichen Erfolg ist die Tatsache, dass 30% der binden versucht. Falls ihm dies gelingt, wird die ei-
Systeme aus Redmond, die weltweit genutzt wer- gentliche Binärdatei des Wurms von einem TCP 80
den, einen am 15. Oktober von Microsoft herausge- Port mit Hilfe der HTTP-Anfrage in Form von http://
gebenen Patch nicht installiert hatten. Der genann- domänevonderliste/search?q=n\&aq=7 (Variante A)
te Patch schützte vor den Folgen einer Ausnutzung oder http://domänevonderliste/search?q=n (Variante
eben dieser Sicherheitslücke. Zusätzlich wird dieser B) heruntergeladen. Diese Datei wird asymmetrisch
Gefahr nicht nur Windows XP ausgesetzt; die Sicher- verschlüsselt und ihre Authentizität wird gewöhnlich
heitslücke ist auch in Windows 2000, 2003 und Vis- mit einer 4096-Bit digitalen RSA-Unterschrift bestä-
ta vorzufinden. Bei Ausnutzung dieser Lücke wird tigt. Ein RC4-Chiffre wird eingesetzt und die Schlü-
ein Code ausgeführt, der die DLL-Bibliothek herun- ssel werden in den Funktionen selbst kodiert, welche
terlädt, welche als Teil der Dienstleistung sychost. Binärdateien herunterladen. Am Anfang überprüft die
exe ausgeführt wird. Diese Bibliothek wird bei jedem Entschlüsselungsfunktion, ob die heruntergelade-
Neustart des Computers hochgeladen. Nach der In- ne Datei mehr als 128 oder 512 Bytes hat, entspre-
stallierung überprüft die Bibliothek von Conficker, ob chend für die A und B Variante, danach verifiziert sie
im Netz eine Firewall aktiv ist und wenn ja, schickt die digitale Unterschrift. Falls diese stimmt, wird die
sie einen UPNP-Request, so dass ein Port mit ei- Binärdatei entschlüsselt und danach wird der spezifi-
ner hohen Nummer freigegeben wird, und danach sche Code des Wurms ausgeführt, der die Kontrolle
öffnet sie ein Port mit derselben Nummer auf dem übernimmt.

Tabelle 1. Die größten Botnets der Welt

Namen Anzahl von Bots


Conficker, Downup, Downadup, Kido 10 000 000
Kraken 495 000
Srizbi, Cbeplay, Exchanger 450 000
Bobax, Bobic, Oderoor, Cotmonger 180 000
Rustock, RKRustok, Costrat 150 000
Cutwail, Pandex 125 000
Storm, Nuwar, Peacomm, Zhelatin 85 000

hakin9.org/fr 21
Angriff

Nachdem die Kontrolle übernommen wurde, erstellt


Quellen:
der Conficker eine DLL-Bibliothek mit einem zufälli- • http://www.secureworks.com/research/threats/topbotnets/
gen Namen und hinterlässt diese im system32-Kata- ?threat=topbotnets,
log. Die Bibliothek wird durch eine Veränderung der • http://www.theregister.co.uk/2009/01/26/conficker_botnet/.
Zeit der letzten Modifikation auf dieselbe, wie bei ker-
nel32.dll, maskiert. Danach wird die Bibliothek des Schlüssel löschen, das Betriebssystem neu starten
Confickers als ein Windows-Systemdienst verwendet, und die DLL-Datei entfernen. Alle diese Schritte kö-
der bei jedem Neustart ausgeführt wird. Zu diesem nnen jedoch durch die neueste Version von Confi-
Zweck erstellt Conficker einen Schlüssel mit einem cker erschwert werden, die das Herunterladen und
willkürlichen Namen in SOFTWARE\Microsoft Win- Ausführen von beliebigen Binärdateien erlaubt. Eine
dows NT\CurrentVersion\SvcHost. Um sich vor einer Abwehrmaßnahme gegen eventuelle Angriffe kann
leichten Entdeckung zu schützen, ist der Namen des nur ein spezialisiertes Netzgerät sein, das zur Ent-
Dienstes eine leere Kette und sein Typ unsichtbar. deckung und zu einer schnellen Reaktion auf einen
Darüber hinaus wird von der Conficker-Bibliothek die Überlauf des Datentransfers fähig ist.
aufrufende Funktion immer wieder ausgeführt, was
verursacht, dass sie nicht auf der Liste der DLL-Pro- Zusammenfassung
zesse genannt wird. Der eigentliche Code des Wurms Conficker ist nicht außergewöhnlich, wenn es um
ist gut vor dem Debuggen oder Starten in einer virtu- die Verbreitungsmethode geht. Sein gigantisches
ellen Umgebung geschützt, allerdings kann sein Teil Wachstum ist nicht den fortgeschrittenen Techniken
durch Verwendung von solchen Tricks, wie das Auf- zu verdanken, sondern dem Leichtsinn, den wir bei
rufen einer Bibliothek von eigenem Programm, ent- der Nutzung von Sicherheitspatches zeigen. Gegen-
deckt werden. [1] wärtig wird die Größe des Confickers auf 10 000 000
Beim Laufen verwendet der Conficker 3 Ports: 53/ Rechner (F-Secure) geschätzt, also über ein hundert
UDP (DNS), 80/TCP (HTTP) und 445/TCP (SMB). Je- mal mehr als beim Storm. Mit einer optimistischen
de 3 Stunden kommt es zu einer deutlichen Aktivitäts- Annahme, dass jeder dieser Rechner lediglich über
steigerung im DNS-Port, was nun bestätigt, dass der ein 56k-Modem verfügt, können wir schlussfolgern,
Wurm sich mit einer der 250 willkürlich ausgewähl- dass Conficker wahrscheinlich im Stande wäre, den
ten HTTP-Adressen zu verbinden versucht. So wie Internetzugang gleichzeitig in Kanada und Frank-
Storm, implementiert er eine Architektur, die ähnlich reich völlig zu sperren! Hätte man die Vorbeugungs-
wie bei Peer-to-Peer ist. Die Server selbst, mit denen maßnahmen nicht ignoriert, wäre das ganze Problem
sich die jeweiligen Bots verbinden, werden oft ge- wahrscheinlich nie erschienen, jetzt ist es aber zu
wechselt. Bisher wurde kein Muster aufgedeckt, nach spät. Microsoft bietet 250.000 Dollar für Informatio-
dem die neuen Server ausgewählt sein könnten und nen, die zur Verhaftung der Botnet-Master oder -Er-
der Prozess selbst scheint automatisch zu verlaufen, steller führen würden. Inzwischen begann Conficker
was eine große Errungenschaft und Neuheit ist, wenn seine Größe selbst zu stabilisieren und seine Erfinder
es um den Schutz vor Bekämpfung geht. Zur Zeit wird sind höchstwahrscheinlich bereit, nach Verfügungs-
dieses Botnet vorwiegend zur Spam-Verbreitung ver- stellung ihres Geschöpfs in viel größerem Geld zu
wendet, jedoch wenn man seine Größe berücksich- schwimmen. Somit nähert sich eine Ära von Botnets
tigt, bieten sich unzählige Möglichkeiten - es wundert an, in der die Verbrecher über eine größere Berech-
also nicht, dass sich die Botnets-Entwickler so gut nungs- und Übertragungskraft verfügen als die For-
vor dem Abfangen geschützt haben. Um den Wurm scher. Die einzige gute Nachricht ist, dass jedes Bot-
zu entfernen, müsste man zuerst den Registrierungs- net mit der Zeit seine maximale Größe erreicht und
somit Confickers Tage gezählt sind, da jeder früher
Links: oder später die Hardware für neuere wechselt oder
das Betriebssystem neu installiert. Es bleibt nur üb-
• http://vrt-sourcefire.blogspot.com/2009/02/making-confi- rig, die Tools zum Entfernen von Malware zu installie-
cker-cough-up-goods.html – eine gelungene Teilweise-
ren und zu hoffen, dass die Bot-Master sich nie ent-
Einsicht in den Code des Wurms,
• http://mtc.sri.com/Conficker/ – eine sehr genaue Analyse scheiden, aus vollen Möglichkeiten ihres Geschöpfs
von Conficker,eine sehr genaue Analyse von Storm, Gebrauch zu machen.
• http://www.honeynet.org/papers/bots/ – das Honeynet-
Projekt, das sich mit Überwachung der Botnet-Aktivität
beschäftigt,
• http://www.microsoft.com/technet/security/Bulletin/MS08-
067.mspx – Security-Bulletin von Microsoft mit Informa-
PETEr JASTAK
tionen über die Sicherheitslücke, die zur Verbreitung von Der Autor beschäftigt sich insbesondere mit den Bereichen IT-
Conficker ausgenutzt wird. Security, System- und Netzwerkadministration. Kontakt zum
Autor: adh0c@gazeta.pl

22 7/2010
Werkstudenten (m/w) und Praktikanten (m/w) IT Advisory
Penetration Testing & IT-Security
Frankfurt, Düsseldorf & Köln www.kpmg.de/careers

Ihre Perspektive: Sie wollen schon während des Studiums die Weichen für eine erfolg-
reiche Karriere stellen und den Geschäftsbereich Advisory kennen lernen? Der Bereich IT
Advisory verknüpft betriebswirtschaftliches, technologisches, regulatorisches sowie trans-
aktions- und prozessorientiertes Know-how für zukunftsweisende Strategien und Lösungen
für unsere Mandanten. Wir bieten Ihnen die Gelegenheit, an maximal 19,5 Stunden pro
Woche (Werkstudenten) bzw. für einen Zeitraum von idealerweise 6 Monaten in Vollzeit
(Praktikanten) aktiv an Projekten mitzuarbeiten und wertvolle Erfahrungen in einer der füh-
renden internationalen Wirtschaftsprüfungs- und Beratungsgesellschaften zu sammeln.

Ihre Aufgaben: Sie unterstützen uns bei der Prüfung und Konzeption von unternehmens-
weiten IT-Sicherheitslösungen. Dies umfasst insbesondere die Bereiche Penetration Testing,
Netzwerksicherheitsanalysen, Web Application Security, VoIP-Sicherheit, Datenschutz und
Quellcode-Analysen. Des Weiteren arbeiten Sie an verschiedenen Projekten mit und erhal-
ten somit einen Einblick in die prüfungsnahe Beratung internationaler Unternehmen aus
verschiedenen Branchen.

Ihr Profil: Sie studieren Wirtschaftswissenschaften, Wirtschaftsinformatik oder Wirtschafts-


ingenieurwesen und haben mindestens Ihr drittes Fachsemester erfolgreich abgeschlos-
sen. Ihre fundierten Kenntnisse in den Bereichen TCP/IP, Betriebssystemsicherheit, Pro-
grammierung mit PHP, Shell Script oder Perl werden Sie anwenden können. Sehr gute
Englischkenntnisse in Wort und Schrift setzen wir voraus. Persönlich zeichnen Sie sich durch
analytisches Denk- und Urteilsvermögen, ausgeprägte Teamfähigkeit, Leistungsbereitschaft
und Kreativität aus.

Ihr Kontakt: Bewerben Sie sich auf www.kpmg.de/careers mit unserem Online-Bewer-
bungsformular oder senden Sie Ihre Bewerbung per E-Mail unter Angabe des Referenz-
codes AdvWSFPrint50992755 (für Frankfurt), AdvWSDPrint50992778 (für Düsseldorf) oder
AdvWSKPrint50992789 (für Köln) an recruiting@kpmg.com. Für Rückfragen stehen Ihnen
unsere Mitarbeiter vom People Centre unter 0800 5764 562 (0800 KPMG JOB) gerne zur
Verfügung.

Profitieren Sie von den Entwicklungsmöglichkeiten bei KPMG, einem Netzwerk rechtlich
selbstständiger, nationaler Mitgliedsfirmen. Neben abwechslungsreichen Projekten im In-
und Ausland bieten wir Ihnen Raum für Ihre persönliche Weiterentwicklung. Mehr wissen,
mehr können – bei uns hat Erfolg, wer team- und mandantenorientiert arbeitet und gleich-
zeitig seine persönliche Entwicklung vorantreibt.

© 2010 KPMG AG Wirtschaf tsprüfungsgesellschaf t, eine Konzerngesellschaf t der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die
KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das
KPMG-Logo sind eingetragene Markenzeichen von KPMG International. Printed in Germany.
Abwehr

Web-Anwendungen über den


gesamten Lebenszyklus schützen
Markus Wagner
Schwachstellen in Web-Anwendungen lassen sich auf zwei
Arten schützen: entweder durch einen Patch oder durch
Web Application Firewalls (WAFs). Bei näherer Betrachtung
zeigt sich, dass sich beide Ansätze in der Praxis sinnvoll
ergänzen, wenn Web-Applikationssicherheit fest in die
regulären Produktions- und Wartungszyklen integriert ist.

IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...


• Wie der Einsatz von automatisierten Sicherheitstools einen • Kein spezielles Vorwissen.
Schutz vor 0-day-exploits bieten kann und die Sicherheit
Ihrer Anwendung über den gesamten Lebenszyklus hinweg
erhöht.

F
ür jede (Web-)Anwendung gibt es ein Patch-Di- duktfertigstellung, dann Testphase und Sicherheitstests.
lemma. Beispielhaft verdeutlichen die Ergebni- Die mittels Schwachstellenanalysen, Penetrationstests
sse des IBM X-Force-Trend- und Risiko-Reports oder Code Reviews gefundenen Schwachstellen wer-
(siehe Anhang:1), dass Web-Anwendungen die Achi- den so im besten Fall mit viel Zeit- und Kostenaufwand
llesferse der IT-Sicherheit in Unternehmen sind: So be- im Nachhinein entschärft, im schlechtesten (Ausnah-
treffen nach wie vor die meisten der neu gefundenen me-)Fall könnte ihre Behebung einem zu ambitionierten
Schwachstellen Web-Anwendungen. Ein besonderes Release-Fahrplan zum Opfer fallen.
Problem: Für 67 Prozent gab es bis zum Jahresende Last but not least, entstehen Schwachstellen drittens
keinen Patch. auch durch einen Mix schlicht menschlicher Faktoren
Solche ungepatchten Web-Applikationen sind beson- – sei es fehlende Weiterbildung zu Sicherheitsaspek-
ders häufig Zero-Day-Exploits ausgesetzt, also Schad- ten für Entwickler und Qualitätsmanager, unerkannt ge-
programmen, die sofort nach Bekanntwerden einer bliebene Schwachstellen, Fehler in Fremdbibliotheken
Schwachstelle erscheinen. Je länger dabei der namens- oder fehlende Security-Policies.
gebende „Tag null“ dauert, desto größer ist die Gefahr Um die Gefahr von Angriffen auf Web-Anwendungen
eines erfolgreichen Angriffs. zu verringern, eignen sich verschiedene Tools, die ent-
weder in den laufenden Entwicklungsprozess integriert
Warum kein Patch? oder in enger Abstimmung mit den Entwicklern der An-
Es gibt drei Hauptursachen für nicht gepatchte Appli- wendung konfiguriert werden. Bei einer sinnvollen zeit-
kationen: Unternehmen arbeiten erstens mit Standard- lichen und organisatorischen Anordnung unterstützen
lösungen, deren Schwachstellen der Applikationsbe- Analysewerkzeuge und Schutzvorrichtungen die Ent-
treiber selbst nicht beheben kann. Die vom Hersteller wicklungsarbeit, statt sie zu behindern. Dies betrifft den
gelieferten Fixes gibt es erst zeitversetzt im Rahmen gesamten Applikationslebenszyklus von der Anwen-
der üblichen Servicezyklen. dungsentwicklung über das Testen bis zum Betrieb be-
Eine zweite Ursache betrifft vor allem bereits aktive stehender Systeme.
Applikationen: Wenn neue Angriffsmuster bekannt wer-
den, müssen die Sicherheits-Patches in die anstehen- Quellcodeanalysen
den Releases oder monatlichen Iterationen eingetaktet Quellcodeanalysen kommen sowohl bei klassischen
werden. So lange bleibt die Anwendung ungeschützt. Sprachen wie C oder C++ als auch bei neueren objekt-
Hinzu kommt: Bei Eigenentwicklungen richtet sich der orientierten Sprachen wie Java oder ASP.NET zum Ein-
Ablauf leider mitunter nach dem Schema: zunächst Pro- satz – auch wenn die Quellcodeanalyse bei Letzteren

24 7/2010
web-Anwendungen über den gesamten Lebenszyklus schützen

wegen mehr Abstraktionsschichten und immer neuen sind, beziehungsweise ob bestehende Schwachstellen
Frameworks komplexer wird. Quellcodeanalysen zei- eventuell schon durch bestehende Sicherheitsvorkeh-
gen Defekte wie Speicherlecks (s. Anhang: 2), fehler- rungen abgeschirmt werden. Gleichzeitig wird getestet,
hafte NULL-Pointer (s. Anhang: 3) und Puffer-Überläufe ob und wie unberechtigte Aktionen durch Ausnutzung
(s. Anhang: 4), finden „toten Code“ für nutzlose Anwei- dieser Schwachstellen durchführbar sind. Dies lässt
sungen oder identifizieren nicht-initialisierte Variablen eine Einschätzung darüber zu, wie schwerwiegend
und Instanzen. die Schwachstellen sind. Zudem können Vulnerability-
Einen Schritt weiter als diese reinen Analyse-Tools Scanner Lecks in Standard-Software auffinden – dies ist
geht eine statische Quellcodeanalyse, die die Anwesen- ein für die Praxis besonders relevanter Unterschied zur
heit und die Anzahl von Fehlern bestimmt. Allerdings ist oben beschriebenen Quellcodeanalyse, die ja Kenntnis
das Ergebnis nur valide, wenn der Code vollständig vor- des Quellcodes voraussetzt.
liegt. Die gefundenen Schwachstellen werden direkt im Vulnerability-Scanner führen diese Angriffe automati-
Code angezeigt. siert durch; in Abgrenzung dazu sind Penetrationstests
Eine statische Quellcodeanalyse ist entweder eine – ebenfalls ein wichtiger Baustein bei der Web-Appli-
manuelle Inspektion oder eine automatische durch ein kationssicherheit – umfassende Sicherheitschecks, die
Programm. Die Tool-gestützte statische Quellcodeana- die gesamte Infrastruktur in Augenschein nehmen, da-
lyse eignet sich besonders gut, um direkt in die Routi- zu mehrere Tools einsetzen und einen festen Testplan
nen von Entwicklungs- und QM-Abteilung eingeplant zu einhalten. Dieses Verfahren bietet sich auch als Teil des
werden: als regelmäßige Scans zu fest definierten Zeit- Abnahmeprozesses für fremd entwickelte Applikationen
punkten, beispielsweise jede Nacht oder bei der Über- an. Die beste Absicherung seiner Web-Anwendungs-
gabe der Applikation an die Testabteilung. Dies spart landschaft erreicht ein Unternehmen, wenn es auto-
Zeit bei der Schwachstellenbehebung – und damit ver- matisierte Tools und „menschengestütztes“ Penetration
ringert sich das Risiko, dass Schwachstellen aus Zeit- Testing kombiniert – beispielsweise, wenn ein externer
gründen nicht gefixt werden. Dienstleister Web-Applikationen mit den genannten
Tools prüft und dann Erfahrung und Spezialwissen in
Test-Methoden die Bewertung einbringt. Sinnvolle Prüfabstände für in-
Als Ergänzung zur statischen Quellcodeanalyse bieten terne und externe Tests finden sich in bestehenden Re-
sich insbesondere bei bestehenden Applikationen Vul- gularien wie dem PCI DSS, dem Sicherheitsstandard
nerability Scans an: Ein Tool setzt die Anwendung au- der Kreditkartenindustrie (s. Anhang: 5). Er kann als An-
tomatisiert bekannten Angriffsmustern aus; das Ergeb- haltspunkt dienen, auch wenn das Unternehmen nicht
nis zeigt, wie angreifbar Web-Anwendungen von außen PCI-compliant sein muss.

Abbildung 1. Sinnvolle Zeitpunkte für den Einsatz von Tools im Applikationslebenszyklus

hakin9.org/fr 25
Abwehr

wAF = virtuelles Patchen … die WAF Zugriffe auf einzelne Bereiche einer Applika-
Wie eingangs bereits erwähnt, erschwert vor allem das tion und das Eventing (s. Anhang: 6) verschlüsselt
sogenannte Patch-Dilemma die effektive Absicherung URLs oder Formularfelder und erstellt Whitelists für
von Applikationen – sei es, weil Hersteller Hotfixes für sensible Argumente und Parameter. Wenn diese oder
Standardapplikationen nur zeitverzögert zur Verfügung ähnliche Standardfunktionen zentral via WAF statt de-
ste-llen; sei es, weil der Quickfix für eine Eigenentwick- zentral in den verschiedenen Applikationen realisiert
lung zuerst unternehmensinterne Prüfverfahren durch- werden, unterstützt dies zum einen die einheitliche
läuft und anschließend in den dafür vorgesehenen Umsetzung einer Sicherheits-Policy und ist zum an-
Wartungsfenstern in die Produktivsysteme eingespielt deren eine Entlastung für die gesamte Entwicklungs-
wird – und damit ebenfalls nicht zeitnah zur Verfügung arbeit.
steht.
Als Ausweg aus diesem Patch-Dilemma bieten sich Kriterien
Web Application Firewalls (WAFs) an: Sowohl bei Anwendungsinfrastrukturen entsprechen in den wenig-
Standardapplikationen als auch bei Eigenentwicklun- sten Fällen dem Lehrbuchaufbau: Das Spektrum be-
gen agieren sie als Schutzschicht vor der Web-Anwen- ginnt bei inhouse betriebenen Web-Servern, verläuft
dungslandschaft, bis ein echter Patch vorliegt. Sicher- über Mischformen von teils inhouse, teils extern bei
lich: Optimal ist es, Schwachstellen direkt im Code zu Service-Providern betriebenen Web-Anwendungen und
beheben. Da dies in der Praxis meist nicht realisier- komplettem Outsourcing bis hin zu typischen Enterpri-
bar ist, ist es besser, die Schwachstellen durch eine se-Infrastrukturen. Diese können aus mehreren Hun-
WAF-Architektur unzugänglich zu machen. Konkret dert Web-Applikationen bestehen, die teilweise sogar
werden dabei Regelvorschläge zielgenau für bekann- komponentenweise verteilt auf verschiedenen Rechen-
te Schwachstellen definiert, sodass diese von außen zentren und/oder bei externen Service-Providern be-
nicht mehr kompromittierbar sind. Die WAF-Regel trieben werden.
patcht die Anwendung damit virtuell. Für das Erstellen Nur wenn die WAF-Infrastruktur zur Applikationsinfra-
der applikationsspezifischen Regelwerke ist übrigens struktur passt, wird sie ihre Schutzfunktion effektiv erfül-
die Interoperabilität von verschiedenen Tools hilfreich len; ist das nicht der Fall, erhöht sich die Wahrschein-
– beispielsweise, wenn die Reports von Penetration- lichkeit von Work-arounds, Ausnahmeregelungen oder
stests oder Quellcode-Reviews als Input für einen Re- Fehlkonfigurationen – und damit wiederum die Anfällig-
gelvorschlag dienen. keit der gesamten Anwendungslandschaft für Angriffe
oder Ausfä-lle. Diese Gefahr hat übrigens auch Eingang
… und mehr in die neuen OWASP Top Ten 2010 (s. Anhang: 7) ge-
Über das zielgenaue Abschirmen von Anwendungen hi- funden.
naus: WAFs leisten gute Dienste bei Anwendungen, für Bei der Auswahl der passenden WAF-Architektur gibt
die nur noch begrenzte Ressourcen bereitgestellt werden, es verschiedene Kriterien, die bedacht werden sollten:
weil sie beispielsweise bald abgelöst werden. Schließlich Unternehmen sollten zum einen verschiedene WAFs auf
lohnt sich der WAF-Schutz für das übergangsweise Absi- ihre Skalierbarkeit hin überprüfen. Nicht zu unterschät-
chern von Web-Applikationen, die weniger sensible Da- zen ist auch, ob Monitoring- und Reporting-Funktionen
ten verarbeiten; dies macht interne Entwicklungskapazi- auch bei einer wachsenden Anzahl von Applikationen
täten frei für stärker gefährdete Systeme. noch ausreichen. Ein weiterer wichtiger Punkt für eine
Außerdem übernehmen WAFs Sicherheitsfunktionen, TCO-Berechnung ist zudem, ob die WAF-Architektur für
die aufwendig zu programmieren sind – beispielsweise mögliche Veränderungen wie eine Virtualisierung der
ein einheitliches und kryptografisch sicheres Session Applikationsinfrastruktur in einer „Private Cloud“ flexi-
Handling für mehrere Applikationen. Dabei überwacht bel genug ist. Zudem sind bestehende Sicherheitsricht-

1. Jahresreport 2008: http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf; Zusammenfa-


ssung Jahresreport 2009: http://www-03.ibm.com/press/de/de/pressrelease/29521.wss
2. Dauerhafte Belegung von nicht benötigten Speicherressourcen durch die Anwendung, siehe http://www.owasp.org/index.php/
Memory_Leak
3. Zeiger verweist bei seiner Verwendung fälschlicherweise auf einen leeren Wert, siehe http://www.owasp.org/index.php/Null-
pointer_dereference
4. Daten werden in einen zu kleinen Speicherbereich geschrieben, dadurch werden nachfolgende Informationen überschrieben,
siehe http://www.owasp.org/index.php/Buffer_Overflow
5. Siehe https://www.pcisecuritystandards.org/
6. Eventing beschreibt das Auslösen von Events. So kann beispielsweise eine Nachricht an einen Administrator gesendet werden,
wenn definierte Schwellwerte – als Beispiel: mehr als zehn Angriffsversuche pro Minute von einem User – überschritten wer-
den.
7. http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

26 7/2010
Web-Anwendungen über den gesamten Lebenszyklus schützen

linien und Compliance-Anforderungen – beispielsweise ke zu überprüfen und zu verteilen oder auch zentrale
im Hinblick auf die Terminierung von SSL-Verbindungen Software-Updates einzuspielen.
– zu beachten. Da hyperguard zudem multimandantenfähig ist,
kann nicht nur ein typischer Firewall-Administrator
Web-Applikationen schützen Informationen abrufen und Regelwerke erstellen,
Web-Applikationssicherheit lässt sich nicht auf be- sondern auch Applikationsverantwortliche aus Ent-
stimmte Phasen im Lebenszyklus von Applikationen be- wicklung oder Qualitätsmanagement. Rollenbasierte
schränken, sondern muss jederzeit eine ähnlich hohe Statusberichte erleichtern zusätzlich das IT-Sicher-
Priorität genießen wie Funktionalität. Tools, die in die heitsreporting.
tägliche Arbeit von Entwicklung, Betrieb und QM einge- Das WAF-Regelwerk lässt sich zum einen mit einem
bunden werden können, machen dies möglich. Für alle sogenannten Lernmodus Schritt für Schritt applikations-
Fälle, in denen ein sofortiges Patchen einer Schwach- spezifisch einrichten und zum anderen durch XML-Re-
stelle nicht möglich ist, schützt eine WAF zielgenau und ports von Analyse-Werkzeugen wie hypersource oder
applikationsspezifisch. CodeProfiler (speziell für SAP-Umgebungen) erwei-
tern.
hyperguard von art of defence
hyperguard von art of defence ist eine der weni- Für Rückfragen wenden Sie sich bitte an:
gen Software-basierten Web Application Firewalls
(WAFs). Der Vorteil ist, dass der Anwender den In- art of defence GmbH
stallationsort frei wählen kann. Als Host-Systeme für Bruderwöhrdstr. 15b
hyperguard ko-mmen der Application- und der Web- 93055 Regensburg
Server, der Load-Balancer oder die Firewall, aber
auch ein Betrieb als Reverse Proxy oder Virtual App- Tel.: +49 941 604 889 78
liance in Frage. Fax: +49 941 604 889 837
hyperguard ist modular aufgebaut. Durch diese Soft- E-Mail: sales@artofdefence.com
ware-Architektur können die verschiedenen Kernele-
mente problemlos auf verschiedenen physikalischen
Systemen installiert werden. Dies stellt sicher, dass die
Echtzeit-Überwachung von großen und verteilten Insta-
llationen – wie bei stark wachsenden Online-Shops, So-
cial-Networking-Plattformen oder Cloud-Umgebungen
– mit mehr als 100 hyperguard-Instanzen ohne Perfor-
mance-Einbußen möglich ist. Markus Wagner
hyperguard zeichnet sich durch ausgeklügelte Repor- Der Autor ist IT Security Consultant bei art of defence in Re-
ting- und Management-Funktionen aus: gensburg. Mit IT-Sicherheit beschäftigt sich der Diplom-Infor-
Die Clusterfähigkeit sichert die zentrale Administration matiker seit mehr als zehn Jahren. Bevor er zu art of defence
der verteilten hyperguard-Installationen, um beispiels- wechselte, arbeitete er als Systemadministrator und Entwick-
weise übergeordnete Policies zu definieren, Regelwer- ler von Web-Applikationen.

W e r b u n g

Meet the Web Application


Security Experts!

Web Application Firewall bietet Security Softwareprodukte


der neuesten Generation für Web Applikationen über den
gesamten Lebenszyklus

www.artofdefence.com
hakin9.org/fr 27
Abwehr

Risikomanagement der Informationssicherheit


nach ISO/IEC 27005
Robert Lommen
Die Reduktion von Haftungsrisiken, das Gerechtwerden von
Compliance-Anforderungen in der IT oder die bloße Sicherstellung
des Geschäftsbetriebes begründen für viele Unternehmen den Aufbau
eines Managementsystems im Bereich Informationssicherheit (ISMS),
das u.a. operative Risiken frühzeitig erkennen und diesen im Bedarfsfall
durch pro- oder reaktive Maßnahmen entgegenwirken kann. Die ISO/
IEC 27005 beschreibt dazu eine standardisierte Vorgehensweise des IT-
Risikomanagements, welches sich vollständig in ein ISMS integrieren lässt.
IN DIESEM ARTIKEL ERFAHREN SIE... WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...
• Was die ISO/IEC 27005 beinhaltet; • Kenntnisse über IT-Sicherheit in mittleren/größeren Unterneh-
• Die einzelnen Phasen eines iterativen IT-Risikomanagement- men;
prozesses; • Kenntnisse über die Eigenschaften eines ISMS nach ISO/IEC
• Die Integration des IT-Risikomanagements in ein ISMS. 27001;
• Grundwissen aus dem Fachgebiet Asset Management.

Überblick und Ziele des zu können. Ferner ist es bedeutend zu regeln, wie hoch
IT-Risikomanagementprozesses die Auswirkungen etwaiger Schadensfälle maximal sein
Der in Abbildung 1 aufgezeigte IT-Risikomanagement- dürfen, sodass das bestehende Risiko von der Unter-
prozess gestaltet die bewusst knapp gehaltene Anfor- nehmung noch akzeptiert werden kann (Risikoakzep-
derung der ISO/IEC 27001 ein IT-Risikomanagement tanz).
zu betreiben konkret aus und lässt sich in sechs Pro- Abschließend sind alle weiteren Aufgaben und Ziele
zessschritte aufteilen, die sich ebenso nahtlos in das sowie die Sicherheitsorganisation und dabei insbeson-
PDCA-Modell der ISO/IEC 27001 einfügen: dere die Klärung von Verantwortlichkeiten im Rahmen
Bei der Kontextfestlegung werden während der Plan- des IT-Risikomanagements bereits durch den ersten
Phase die Grenzen des IT-Risikomanagements festge- Phasenabschnitt zu bestimmen.
legt und bestimmt, wie hoch die Anforderungen an ein Fortwährende Aufgabe der Risikokommunikation ist
Asset bewertet sein müssen, um in Abhängigkeit zu den es, sämtliche Informationen, die vor allem im Zuge der
in den IT-Sicherheitsrichtlinien bereits festgelegten Ba- Risikoeinschätzung und -behandlung gesammelt wer-
sisschutzmaßnahmen die nötige Detailtiefe für eine ge- den, mit den Entscheidungsträgern auszutauschen und
nauere Risikoanalyse des jeweiligen Assets bestimmen über die gesamten Phasen des zyklischen PDCA-Mo-

Abbildung 1: IT-Risikomanagementprozess in Anlehnung an die ISO/IEC 27005

28 7/2010
Risikomanagement der Informationssicherheit nach ISO/IEC 27005

dells hinweg an alle alternativ betroffenen Stellen wei- kret relevanter Assets. Im folgenden Schritt werden
terzutragen. bzgl. dieser mögliche Bedrohungen im Rahmen einer
Ziel der Risikoüberwachung ist im Sinne der Check- Bedrohungsanalyse ausgemacht und anhand ihrer Art
Phase zum einen das Monitoring aller Risiken und deren und Quelle differenziert. Zudem ist danach die Auswei-
Einflussfaktoren, sodass Änderungen im Kontext der Or- sung bereits existierender Sicherheitsmaßnahmen der
ganisation frühzeitig erkannt werden können und jederzeit Schwachstellenanalyse vorgestuft. Mögliche Schwach-
ein Überblick über die Gesamtsituation einsehbar ist. Ins- stellen, die nicht in Beziehung zu einer konkreten Be-
besondere muss dabei nach Erstellung des sogenann- drohung zu setzen sind, sollten an dieser Stelle gleich-
ten Risikobehandlungsplans stetig überprüft werden, ob wohl festgehalten werden. Die Risikoidentifikation endet
die abgeschätzten (Rest-)Risiken im Einklang mit der Ma- dann mit der Zusammenstellung einer Liste, die mögli-
nagemententscheidung bzgl. der Kriterien der Risikoak- che Risikoszenarien und deren Auswirkungen auf die
zeptanz stehen oder ob der Risikobehandlungsprozess für Schutzziele der Assets enthält.
die Restrisiken erneut iterativ durchgeführt werden muss. Die Risikoabschätzung beschäftigt sich damit, mögli-
Der zweite Fokus liegt auf der kontinuierlichen Über- che Konsequenzen und somit das Schadenspotential ver-
wachung und Verbesserung des Managementproze- schiedener Risiken im Rahmen einer umfassenden Im-
sses und der daran geknüpften Methodiken und Orga- pact-Analyse zu bestimmen. Die Vorgehensweise kann
nisationsstrukturen als Ganzes. dabei je nach Bedarf qualitativ oder zur unkomplizier-
Ein typisches Hauptziel des IT-Risikomanagements ten Vergleichbarkeit auch quantitativ erfolgen. An die-
allgemein ist die Schaffung von Transparenz durch die sen Punkt knüpft daraufhin die Abschätzung der Ein-
frühzeitige Erkennung und möglichst objektive Bewer- trittswahrscheinlichkeit eines jeden Risikoszenarios an.
tung spezifischer Risiken. Dabei ist es den Verantwortlichen erneut freigestellt,
Das nachvollziehbare Sammeln stets aktueller Da- quantitative oder qualitative Herangehensweisen zu
ten fungiert daher mittelbar auch als präventive Maß- praktizieren (siehe Abbildung 3).
nahme zur Unternehmenssicherung. Die Priorisierung Als Abschluss der Risikoabschätzung und damit auch
von Schutzmaßnahmen unterstützt überdies hinaus die der Risikoanalyse wird alsdann jeweils eine Risikokenn-
wirtschaftliche Verwendung des Budgets der Informa- zahl ermittelt, die sich zumindest aus der Verknüpfung
tionssicherheit. des Schadenpotentials mit der jeweiligen Eintrittswahr-
scheinlichkeit ergibt.
Risikoeinschätzung Die Risikobewertung befasst sich mit der Priorisierung
Die ISO/IEC 27005 grenzt gemäß Abbildung 2 inner- von Risiken und vergleicht dazu die Ergebnisse der Risi-
halb dieses Prozesses die Risikoanalyse von der Ri- koabschätzung, wie z.B. Risikokennzahlen, mit den ent-
sikobewertung ab. Erstgenannte setzt sich wiederum sprechenden Kriterien der Risikoakzeptanz, sodass am
aus der Risikoidentifikation und der Risikoabschätzung Ende dieses Teilschrittes dokumentiert feststeht, welche
zusammen. Ziel der Risikoeinschätzung ist es entspre- Risiken vorerst begründbar tolerierbar sind und welchen
chend, Risiken zu identifizieren, quantitativ und qualita- durch Maßnahmen entgegengesteuert werden muss.
tiv zu beschreiben und sie dann ausgehend von ihrem
Schadenspotential her zu bewerten. Risikobehandlung
Die Risikoanalyse beginnt - auf die Ergebnisse der Neben der Risikobeibehaltung beschreibt die ISO/IEC
Kontextfestlegung gestützt - mit der Ermittlung kon- 27005 drei alternative Methoden zum bewussten und

Abbildung 2: Zergliederung der Risikoeinschätzung nach ISO/IEC 27005

hakin9.org/de 29
Abwehr

zielorientierten Umgang mit Risiken: die Risikoredu- mögliche Vorgehensweise zur praktischen Behandlung
ktion, die Risikovermeidung und den Risikotransfer. Die von Risiken auf, insofern eine Entscheidung gegen die
Auswahl der geeignetsten Vorgehensweise soll dabei Risikobeibehaltung gefallen ist (siehe Abbildung 4).
unter Berücksichtigung der Risikobewertung, der kalku- Im Zuge der Risikoreduktion werden zunächst ver-
lierten Kosten für Maßnahmen und dem dadurch erwar- schiedene, ggf. bestehende Maßnahmen eruiert, aus
teten Mehrwert für die Unternehmung erfolgen. denen dann eine derjenigen ausgewählt wird, die das
Ferner gilt es zu beachten, dass die genannten Op- Restrisiko auf das den zutreffenden Kriterien der Risi-
tionen nicht ausschließlich exklusiv auszuwählen sind, koakzeptanz entsprechende Niveau minimiert.
sondern ausdrücklich auch kombiniert werden können. Die Option des Risikotransfers schließt vor allem die
Eine Möglichkeit dazu ist z.B. die Reduzierung der Ein- Übertragung von Risiken auf externe Parteien, wie z.B.
trittswahrscheinlichkeit und die anschließende Verlage- Versicherungen, Kunden oder Lieferanten mit ein. Es
rung des Restrisikos. Die folgende Abbildung zeigt eine gilt zu beachten, dass die vertragliche Festlegung von

Abbildung 3: Beispielhafte Risikomatrix zur Risikoabschätzung

Abbildung 4: Mögliche Risikomatrix zur Risikobehandlung

30 7/2010
risikomanagement der Informationssicherheit nach ISO/IeC 27005

Abbildung 5: Workflow zur beschriebenen Risikobehandlung

Verantwortlichkeiten alleine aber im Regelfall nicht auf • verbindet sich mit der Konsole und verändert Daten
eine vollständige Haftung bei etwaigen Auswirkungen (Integrität).
ausgelegt sein wird.
Die Risikovermeidung ist besonders für hoch ein- Ein hohes Schadenpotential kann sich in allen drei Fä-
gestufte Risiken eine geeignete Alternative, da die llen durch die Gefahr des Missbrauchs personenbe-
Kosten der Maßnahmenimplementierung den prak- zogener Daten oder durch hohe Haftungs- und Ima-
tischen Nutzen oftmals übersteigen. Mögliche Optio- geschäden seitens des ISP's ergeben. In Verknüpfung
nen sind die Aufgabe von bestimmten Geschäftsakti- mit der jeweils anzunehmenden (geringen) Eintritts-
vitäten oder die örtliche Verlagerung des betroffenen, wahrscheinlichkeit ergibt sich für jedes Szenario eine
z.B. feuchtigkeitsempfindlichen Assets in einen siche- eigene Risikokennzahl anhand derer die Priorisierung
ren Bereich. von Gegenmaßnahmen im Rahmen der Risikobehand-
Abbildung 5 zeigt einen möglichen Workflow zur Risi- lung abgeleitet werden kann. Konkret kann es sich
kobehandlung, bei der ein von der jeweiligen (Teil-)Or- empfehlen das Risiko des Übergehens der physischen
ganisation (z.B. Fachbereich) bestimmte Risikoverant- Schutzvorkehrungen zu reduzieren, indem verschärf-
wortliche die Steuerung übernimmt. te Zugangskontrollen durchgeführt und vermehrt Über-
wachungsgeräte in den entsprechenden Räumlichkei-
Fiktives Praxisbeispiel ten installiert werden.
Aus dem unautorisierten Zugang zum Schrank mit dem Im Rahmen des Monitorings der Restrisiken sollte
Spezialsystem für die Vorratsdatenspeicherung können dann in regelmäßigen Abständen sowie bei Änderun-
z.B. folgende Risikoszenarien resultieren: gen am Asset selbst bzw. dessen mittelbarem (Pro-
Unbefugtes Personal übergeht die physischen Schutz- zess-)Umfeld stets eine erneute Risikoeinschätzung
vorkehrungen und initiiert werden.

• schaltet den Festplattenroboter aus (Verfügbarkeit)


• entwendet einzelne Datenträger (Vertraulichkeit) rOberT LOMMeN
Der Autor (robertlommen@gmail.com) war zuletzt bei der 1&1
Internet AG in den Bereichen Mailsecurity, Abuse und IT-Secu-
Im Internet rity tätig. Er besitzt langjährige Erfahrung in den Fachgebie-
• http://www.iso.org ten Information Gathering, Web Application Security, Reverse
• http://www.risikomanagement-wissen.de Engineering und Bugtracking. Als Freelancer ist er derzeit als
IT-Security Consultant unterwegs.

hakin9.org/de 31
Abwehr

Der SHA-3 Hash-Wettbewerb – ein


Zwischenstand
Dr. Stefan M. Ritter
Seit 2007 läuft der vom NIST veranstaltete öffentliche Wettbewerb
zur Festlegung eines neuen Standards für kryptografische Hash-
Algorithmen, bezeichnet als SHA-3, der Ende 2012 beendet
sein wird. Von ursprünglich 64 eingereichten Kandidaten sind
nach Abschluss der ersten von drei Evaluierungsrunden noch 14
Algorithmen übrig geblieben, die zurzeit in der zweiten Runde
kryptografisch untersucht werden.
In diesem Artikel erfahren Sie... Was Sie vorher wissen/können sollten...
• Wie der vom NIST veranstaltete Wettbewerb abläuft; • Kein spezielles Vorwissen nötig.
• Welche Auswahlkriterien es gibt.

Z
wischen 1997 und 2001 veranstaltete das Na- Hash-Algorithmen (SHA-1 und SHA-2) in FIPS 180-3
tional Institute of Standards and Technology komplettieren.
der USA (NIST) einen öffentlichen Wettbe- Der SHA-3 Wettbewerb verläuft in drei Runden,
werb, um einen Nachfolger für die in die Jahre ge- von denen die erste im Juli 2009 beendet wurde.
kommene symmetrische Block-Chiffre DES (Data Von den anfangs 64 eingereichten SHA-3 Kandida-
Encryption Standard) zu bestimmen. Bekanntlich ge- ten sind inzwischen noch 14 übrig, die sich jetzt in
wann Rijndael diesen Wettbewerb und wird seitdem Runde 2 befinden und erneut einer kryptografischen
unter dem Namen AES (Advanced Encryption Stan- Untersuchung unterzogen werden. Die nächste
dard) geführt. SHA-3 Konferenz wird im August 2010 stattfinden,
Das NIST ist eine Bundesbehörde der USA und in der sich die 14 Kandidaten erneut präsentieren
ist als Teil des Handelsministeriums für Standardi- können, und nach der eine weitere Reduzierung auf
sierungsfragen zuständig. Das NIST veröffentlicht etwa 5 letzte Kandidaten passiert, unter denen dann
für US-Behörden geltende Standards in Form von in der letzten Runde der neue Standard festgelegt
Federal Information Processing Standards (FIPS), werden wird.
allerdings reicht seine Bedeutung weit über die USA
hinaus. SHA-1 und SHA-2
Der große Vorteil des AES-Verfahrens war die Kryptografische Hash-Algorithmen sind Funktionen, die
öffentliche Beteiligung der Kryptografie-Gemeinde an als Input eine Nachricht erhalten und als Ergebnis ei-
der Untersuchung der einzelnen Chiffren. Die Idee nen sogenannten digest, eine Art Fingerabdruck dieser
bestand darin, eine möglichst gute und unabhängige Nachricht ausgeben, der für alle Nachrichten von fester
kryptografische Untersuchung der Chiffren zu errei- Länge ist. So zum Beispiel eine Länge von 160 Bit bei
chen. SHA-1.
Basierend auf diesen Erfahrungen und aufgrund ei- Hash-Algorithmen finden sich in einer Vielzahl von
ner Reihe neuer Angriffsmöglichkeiten gegen kryp- Applikationen wieder und sind ein fundamentaler Bau-
tografische Hash-Algorithmen wie MD5 und SHA-1, stein heutiger Sicherheitslösungen, so etwa als Einweg-
führt das NIST seit 2007 (s. Listing 2) einen analogen Funktion, bei der Generierung von Passwörtern, bei Si-
öffentlichen Wettbewerb auch für Hash-Algorithmen gnaturen (PGP, DSA, X.509,,...) oder auch innerhalb
durch, an dessen Ende 2012 der neue Hash-Standard von MACs (Message Authentication Code). Im Gegen-
stehen wird, bezeichnet als SHA-3 (Secure Hash Al- satz zu Block-Chiffren ist die Theorie kryptografischer
gorithm). Dieser wird dann die Liste der aktuell fünf Hash-Algorithmen jedoch weniger gut untersucht.

32 7/2010
Der SHA-3 Hash-Wettbewerb – ein Zwischenstand

Lange Jahre war MD5 der Quasi-Standard, von de- Die Aufwände für einen konkreten Hash-Algorith-
ssen Benutzung aber bereits seit Jahren abgeraten mus sollten bei den einzelnen Kollisionstypen daher
wird, da es inzwischen in Sekunden möglich ist, Kolli- in der Größenordnung der aufgeführten Bruteforce-
sionen zu erzeugen. Solche Kollisionen bestehen darin, Angriffe liegen, ansonsten gelten sie als gebrochen.
aus unterschiedlichen Quelltexten gleiche Hashwerte Allerdings bedeutet ein solcher Bruch des Hash-Al-
zu generieren. Das bislang schwerwiegendste Beispiel gorithmus nicht zwangsläufig, dass er unsicher ist.
war die Fälschung der MD5-Signierung eines CA-Zer- Denn ein hypothetischer Aufwand von zum Beispiel
tifikats (s. [3]). 2^150 Hash-Operationen bei einem Angriff gegen die
Der aktuell wohl am weitesten verbreitete Hash-Algo- Preimage Resistance von SHA-1 befindet sich in ei-
rithmus ist SHA-1, der zur SHA-Familie gehört. SHA- nem Bereich, der außerhalb technisch erreichbarer
1 generiert aus Daten, die maximal 2^64 -1 Bit lang Möglichkeiten liegt, obwohl er weit schneller als ein
sein können, einen festen Hashwert der Länge 160 Bit. Bruteforce-Angriff ist.
SHA-1 ist eine korrigierte Variante von SHA-0, der ur- 2005 wurde ein Angriff von Wang, Lin und Yu ver-
sprünglich vom NIST und der NSA 1994 als Bestandteil öffentlicht ([1]), mit dem der Aufwand, eine einfache
des Digital Signature Algorithm (DSA) herausgegeben Kollision in SHA-1 zu finden, von 2^80 auf 2^69 ver-
wurde. ringert wird. Ebenfalls 2005 wurde ein Angriff von
2002 und 2004 wurden vom NIST vier weitere SHA- Wang bekannt, bei dem der Aufwand nur noch bei
Varianten aufgenommen, nämlich SHA-256, SHA-386, etwa 2^63 liegt (s. zum Beispiel [2]). Ein 2009 ver-
SHA-512 und SHA-224, wobei die dreistellige Zahl je- öffentlichtes Papier, nach dem der Aufwand sogar
weils die Länge des erzeugten Hashwerts in Bit angibt. nur 2^52 beträgt, musste inzwischen aufgrund von
Diese neuen SHA-Varianten werden unter SHA-2 zu- Fehlern zurückgezogen werden. Auf der Crypto 2006
sammengefasst. berichteten zudem Rechenberger und De Canniere
über Möglichkeiten, einen Teil des Kollisionstextes
Angriffe gegen SHA-1 vorzugeben.
Im allgemeinen werden an kryptografisch sichere Hash- Die drastische Reduzierung des Aufwands ist der
Algorithmen folgende Sicherheitsanforderungen ge- Grund, warum man SHA-1 als gebrochen ansieht,
stellt: da man die durch das Geburtstagsparadoxon ge-
setzte Grenze deutlich unterschreiten kann, aller-
• Collision Resistance: Es ist schwer, zwei beliebige dings sind bislang noch keine konkreten Kollisio-
Eingaben m und w zu finden, die den gleichen Hash- nen bei SHA-1 bekannt. Man kann jedoch vermuten,
wert h(m)=h(w) besitzen. dass in Zukunft weitere, noch bessere Angriffe ge-
• Preimage Resistance: Es ist schwer, für einen funden werden. Zumindest ist man damit in einem
Hash-wert y eine Eingabe m zu finden, die genau Bereich angelangt, der mit heutigen Mitteln erreich-
diesen Hashwert y=h(m) besitzt. bar scheint.
• Second Preimage Resistance: Für eine Eingabe Bei der Beurteilung der Auswirkungen gilt es wie
m ist es schwer, eine Eingabe w zu finden, die zum erwähnt vorsichtig zu sein. Vom Auffinden einer
gleichen Hashwert h(m)=h(w) führt. einfachen Kollision bis zur Fälschung einer kon-
kreten Nachricht (meaningful message) ist es ein
Die Kennzeichnung schwer bedarf natürlich einer Er- weiter Weg (obwohl beim MD5 genau dies inzwi-
läuterung, da sie etwas schwammig gefasst ist. Ent- schen bei einem Zertifikat realisiert werden konn-
scheidend ist der Aufwand, den man für einen soge- te, s. [3]). Man muss also insbesondere zwischen
nannten Bruteforce-Angriff benötigt. Beim Bruteforce dem Brechen der Collision-Resistance und dem
probiert man einfach alle Möglichkeiten durch, bis man Brechen der (Second) Preimage Resistance unter-
sein Ziel erreicht hat. scheiden.
Das sogenannte Geburtstagsparadoxon besagt, dass
bei einer Hashlänge von n Bit der Aufwand, zwei be- Listing 1: Die 14 SHA-3 Kandidaten der 2. Runde
liebige Nachrichten mit gleichem Hashwert zu finden,
im Mittel bei 2^n/2 Hash-Operationen liegt. Bei SHA- BLAKE BLUE MIDNIGHT WISH
1 demnach bei 2^80. Dies ist also eine Art natürlicher CubeHash ECHO
Obergrenze (im Mittel) für eine Bruteforce-Suche der Fugue Grøstl
Collision Resistance. Hamsi JH
Entsprechend liegen die Aufwände für eine Brute- Keccak Luffa
force-Suche bei Preimage und Second Preimage Re- Shabal SHAvite-3
sistance für einen n-Bit Hash-Algorithmus bei 2^n, bei SIMD Skein
SHA-1 mit 2^160 also jenseits aller technischen Mö-
glichkeiten.

hakin9.org/de 33
Abwehr

Dennoch sind die bekannt gewordenen Angriffe be- In der ersten Runde wurden die Kandidaten nach fol-
sorgniserregend, daher wird inzwischen allgemein genden Kriterien evaluiert, wobei die Reihenfolge auch
empfohlen, statt SHA-1 auf die Hash-Algorithmen der die Stufe der Gewichtung darstellt:
SHA-2 Familie auszuweichen. Diese beruhen zwar
auf den gleichen Grundprinzipien wie SHA-1, produ- • Sicherheit
zieren jedoch wesentlich längere Hashwerte und er- • Perfomance
höhen damit den Aufwand eines Angreifers ganz er- • Algorithmus-/Implementierungseigenschaften
heblich.
Da Hash-Algorithmen inzwischen in einer Vielzahl
SHA-3 von verschiedenen Applikationen eingesetzt werden,
All dies hat dazu geführt, dass das NIST einen Wett- sollte ein Hash-Algorithmus möglichst nahe am Ide-
bewerb analog zu AES ausführt, um einen Nachfolger alfall eines random oracle sein. Das Modell des ran-
für SHA-1 und SHA-2 zu finden. Die Anforderungen an dom oracle beschreibt eine Blackbox, die auf jede
SHA-3 sind dabei im Wesentlichen die folgenden: Anfrage mit einem echt zufälligen Ergebnis antwortet,
wobei das Ergebnis gleichmäßig aus der Menge aller
• Unterstützung von Hashwertgrößen von 224, 256, möglichen Ergebnisse genommen wird. Bei mehrfach
384 und 512 Bits gleicher Anfrage liefert das random oracle immer das
• Unterstützung einer maximalen Nachrichtengröße gleiche Ergebnis. Solche random oracles stellen eine
von 2^64 -1 Bits mathematische Abstraktion dar, mit der man die Si-
• Hohes Sicherheitslevel cherheit zum Beispiel von Hash-Algorithmen bewer-
• Hohe Performance (besser als SHA-2) und gerin- ten kann.
ger Speicherverbrauch Darüber hinaus findet eine Überprüfung der Kandi-
• Unterstützung verschiedener Plattformen daten dahingehend statt, wie sie sich gegen bekann-
te und während der Evaluierung gefundene Angriffsmö-
Bis zur Deadline am 31.10.2008 wurden 64 Kandida- glichkeiten verhalten, oder auch wie wahrscheinlich es
ten eingereicht, wovon 51 für die erste Runde ausge- ist, dass sie gegen spezielle zukünftige Angriffe robust
wählt wurden. Bei dieser Auswahl zählten die Punk- sind.
te Sicherheit und Performance noch nicht, es wur- Das zweite Evaluierungskriterium behandelt die Be-
de allein nach äußeren Kriterien wie der korrekten reiche Effizienz und Speicheranforderungen für Soft-
Hashlänge und der Vollständigkeit der Dokumenta- ware- und Hardwarelösungen; der neue SHA-3 Algo-
tion geprüft. Die erste Runde endete im Juli 2009 da- rithmus sollte mindestens so effizient wie SHA-2 sein.
mit, dass sich die Zahl der Kandidaten auf 14 redu- Im dritten Kriterium geht es um Eigenschaften des
zierte. Algorithmus und dessen Implementierung. Hier ent-

Listing 2: Meilensteine des SHA-3 Fahrplans (Stand: Juli 2010)

23.01.2007 Bekanntgabe der Entwicklung von SHA-3


02.11.2007 Veröffentlichung der Mindestanforderungen an SHA-3 Kandidaten;
Beginn der Einreichungsfrist
31.10.2008 Ende der Einreichungsfrist: 64 Kandidaten
10.12.2008 Bekanntgabe der 51 Kandidaten für die 1. Runde;
Beginn der öffentlichen Prüfung der Kandidaten
25.-28.02.2009 1. SHA-3 Kandidatenkonferenz
24.07.2009 Ende der 1. Runde;
Bekanntgabe der 14 Kandidaten für die 2. Runde
Beginn der öffentlichen Prüfung der Kandidaten
23./24.08.2010 2. SHA-3 Kandidatenkonferenz
Q3/Q4-2010 Ende der 2. Runde
Bekanntgabe der Kandidaten für die 3. Runde
Beginn der öffentlichen Prüfung der Kandidaten
Q4-2011 Ende der 3. Runde
Q1-2012 3. SHA-3 Kandidatenkonferenz
Q2/Q4-2012 Auswahl des Gewinners und Abschluss Standardisierung von SHA-3

34 7/2010
Der ShA-3 hash-wettbewerb – ein Zwischenstand

scheiden unter anderem die Flexibilität (Tuning-Para- sen Jahres wird das NIST dann etwa 5 Kandidaten
meter,...), die Einfachheit oder Eleganz des zugrunde bekannt geben, unter denen in der letzten Runde der
liegenden Algorithmus und die Möglichkeiten der Pa- zukünftige SHA-3 Standard bestimmt wird. Öffentli-
rallelisierung. che Kommentare zu den Kandidaten können bis En-
Eine Liste der aktuellen 14 Kandidaten findet sich in de 2011 abgegeben werden, im 1. Quartal 2012 wird
Listing 1, erste kryptanalytische Ergebnisse finden sich dann die letzte SHA-3 Kandidatenkonferenz abge-
zum Beispiel in [4]. halten, bis Ende 2012 soll der neue SHA-3 Standard
Die einzelnen Algorithmen basieren auf verschie- offiziell werden.
denen Grundprinzipien. Das bei aktuellen Hash-Algo- Einen Überblick über den offiziellen NIST-Fahrplan
rithmen wie MD5 oder SHA-1 am Häufigsten anzut- findet man in [8], wesentliche Meilensteine finden sich
re-ffende Bauprinzip ist das Merkle-Damgard Prinzip. in Listing 2.
Dabei wird eine Nachricht in kleinere Blöcke fester
Größe zerlegt und von einer Komprimierungsfunktion Fazit
f verarbeitet, die neben dem jeweiligen Nachrichten- Auch wenn die gesamte Dauer des NIST Wettbe-
block auch das Ergebnis der Verarbeitung des vorheri- werbs für SHA-3 mit etwa 6 Jahren recht lang er-
gen Nachrichtenblocks als Input erhält. Am Ende steht scheint, ist dies dennoch ein sinnvoller Prozess, um
dann der endgültige Hashwert. Die Komprimierungs- eine möglichst gute kryptanalytische Untersuchung
funktion kann dabei speziell für den Hash-Algorith- des späteren Standards zu ermöglichen. Schon der
mus konstruiert sein, oder aber auf einer Block-Chif- AES-Prozess hat gezeigt, dass die Mitwirkung der
fre basieren. Um bestimmte Angriffe zu vermeiden, kryptografischen Gemeinde an der Auswahl von ent-
wird bei der Zerlegung der Nachricht in die einzelnen scheidender Bedeutung und unbedingt anzustreben
Blöcke am Ende noch die Länge der Nachricht in den ist.
letzten Block mit aufgenommen und verarbeitet, das Zudem ist zu hoffen und auch zu erwarten, dass
sogenannte Merkle-Damgard Strengthening. durch diesen langwierigen und öffentlichen Prozess
Da in den letzten Jahren jedoch Probleme im Zu- das Verständnis für die Konstruktion möglichst siche-
sammenhang mit dem Merkle-Damgard Konstru- rer Hash-Algorithmen wesentlich verbessert wird, ver-
ktionsprinzip offenbar wurden, sind andere Konstruk- gleichbar dem von Block-Chiffren.
te entwickelt worden. So nutzen die aktuellen SHA- Zwar gibt es auch bei einem öffentlichen Verfahren
3 Kandidaten Konstruktionsprinzipien wie HAIFA [5], keine Garantie dafür, dass SHA-3 wirklich sicher sein
wide-pipe Merkle-Damgard [6] oder beruhen auf dem wird, aber die Wahrscheinlichkeit dafür und damit für
Einsatz von Sponge-Funktionen [7]. Daneben gibt es eine lange Lebenszeit des Algorithmus wird durch die
auch Varianten dieser bekannten Möglichkeiten oder intensive Prüfung enorm erhöht.
gänzlich neue Verfahren.

wie geht es weiter mit ShA-3?


Ende August 2010 wird das NIST die zweite SHA-3
Kandidatenkonferenz abhalten, in denen die 14 Kan-
didaten erneut vorgestellt werden und auf gefundene
Probleme eingegangen werden kann. Im Herbst die-

Im Internet.
[1] http://www.c4i.org/erehwon/shanote.pdf; Collision Search
Attacks on SHA1.
[2] http://eprint.iacr.org/2007/474.pdf; Notes on the Wang et al.
2^63 SHA-1 Differential Path.
[3] http://www.win.tue.nl/hashclash/rogue-ca/; MD5 conside-
red harmful today.
[4] http://ehash.iaik.tugraz.at/wiki/The_SHA-3_Zoo; The SHA-3
Zoo.
[5] http://eprint.iacr.org/2007/278.pdf; A Framework for Iterati-
ve Hash Functions.
[6] http://eprint.iacr.org/2004/253.pdf; Design Principles for
Iterated Hash Functions.
[7] http://sponge.noekeon.org/SpongeFunctions.pdf; Sponge
Dr. STeFAN M. rITTer
Functions. Der Autor, promovierter Mathematiker und TISP zertifiziert,
[8] http://csrc.nist.gov/groups/ST/hash/timeline.html; Tentative arbeitet im Bereich Systemadministration und Sicherheit von
Timeline of the Development of New Hash Functions. Online-Applikationen. Daneben gilt sein Hauptinteresse kryp-
tologischen Fragestellungen.

hakin9.org/de 35
Datenschutz

Der Weg zum eigenen Datenschutzbeauftragten:


Wie sie den passenden DsB für Ihr unternehmen finden
Kerstin Blossey, Blossey & Partner
Datenschutz ist in aller Munde, keine Frage! Nicht nur
in Deutschland und Europa häufen sich seit 2008 die
„Pannen“, die in den meisten Fällen eine peinliche
Veröffentlichung vieler personenbezogener Daten nach sich
gezogen haben. Privatsphäre wird auch international heiß
diskutiert. Schon reagiert das System und novelliert das
Bundesdatenschutzgesetz - quasi über Nacht.
In diesem artikel erfahren sie... Was sie wissen/können sollten...
• Wieso Sie den Datenschutz nicht länger aussitzen sollten; • Keine spezifischen Vorkenntnisse erforderlich;
• Welche Vorteile für einen externen oder internen Datenschutz- • Grundbegriffe des Datenschutzes aus den Artikeln der vorhe-
beauftragten (DSB) sprechen; rigen Ausgaben sollten geläufig sein. Alternativ kann auf das
• Welche Fähigkeiten Ihr künftiger DSB unbedingt mitbringen Glossar von Blossey & Partner (http://blossey-partner.de/sho-
sollte; wpage.php?SiteID=11&lang=1) zurückgegriffen werden.
• Wie Sie den richtigen externen DSB für Ihr Unternehmen fin-
den können;
• Wie Sie für Ihren DSB den Weg ebnen und dadurch mehr von
ihm haben können.

N
och immer sind viel mehr Fragezeichen zu sehen statt im normalen Tagesbetrieb. Das sind ein paar Kon-
statt praktikabler Umsetzungsvorschläge aus der sequenzen aus einem nicht vorhandenen oder mangel-
best practice-Schatzkiste der Aufsichtsbehörden, haft betriebenen Datenschutz im Unternehmen. Dabei lie-
Interessens- und Berufsverbände. Kein Wunder, sind doch ße sich auch mit dem spitzen Bleistift schnell ausrechnen,
alle gleichermaßen vor vollendete Tatsachen gestellt und dass es mittel- und langfristig gesehen wesentlich günsti-
nun gefragt, schnell alltagstaugliche Lösungen aus dem ger ist, einen DSB zu „unterhalten“ als eine Datenschutz-
Hut zu zaubern. Bis einschlägige Urteile uns allen den panne oder gar ein Verfahren samt Nachbesserungsar-
Weg weisen, gilt die Devise: Alles, was bisher bereits ge- beiten auf sich zu nehmen. Gerechnet wird noch immer so
setzliche Anforderung war, ist nun erst recht Anforderung lange nicht, bis der Datenschutzvorfall passiert ist. Dann
an Sie, wenn Sie personenbezogene Daten nicht zu Ihren aber kann auch der qualifizierteste DSB die Kohlen nicht
rein privaten Zwecken verarbeiten. Ignorieren wird jedoch mehr aus dem Feuer holen - so es ihn überhaupt gibt im
deutlich teurer... sowohl vom Imageschaden her als auch Unternehmen – und Zeit und Gelegenheit zum Vertu-
von Seiten zu erwartender Bußgelder. schen oder Schönreden einer solchen Panne bleiben er-
fahrungsgemäß dann ebenfalls nicht mehr.
Die Voraussetzung: Wieso sie den Die eingangs erwähnte Novellierung des BDSG von
Datenschutz nicht länger aussitzen sollten 03.07.2009 stattet die Aufsichtsbehörden mit mehr Be-
Bußgelder in Millionenhöhe, Haftstrafen, die weit über das fugnissen aus. In einigen Bundesländern wurden die
textlich bezifferte Höchstmaß des Bundesdatenschutz- Stellen aufgestockt, um das ebenfalls gestiegene Auf-
gesetzes (nachfolgend „BDSG“ genannt) hinaus gehen, gabenpensum bewältigen zu können. Bußgelder haben
immense Imageschäden, die kostspieligen Werbespots zwar noch eine bezifferte Maximalhöhe, sollen aber
zur besten Sendezeit mit der Botschaft „wir arbeiten für
„den wirtschaftlichen Vorteil, den der Täter aus der Ord-
Sie an der heilen Welt und haben noch freie Lehrstellen“ nungswidrigkeit gezogen hat, übersteigen. Reichen die in
in einer Zeit, wo Arbeitsplätze seit Jahren rar sind sowie Satz 1 genannten Beträge hierfür nicht aus, so können sie
horrender Mehraufwand für die Schaffung einer angemes- überschritten werden“
senen Datenschutzorganisation in einer auferlegten Frist

36 7/2010
Der Weg zum eigenen Datenschutzbeauftragten

sagt die Neufassung von § 43 Absatz 3 Satz 2 BDSG in tensätze, die nicht mehr genutzt werden dürfen, zu
klarer und durchaus verständlicher Sprache. Und weil löschen bzw. zu sperren und sicherzustellen, dass
das längst nicht genügt als Konsequenz, gilt beispiels- diese Daten auch anderweitig nicht mehr ungewollt
weise auch seit 01.09.2009 eine verschärfte „Informa- auftauchen können.
tionspflicht bei unrechtmäßiger Kenntniserlangung von • An Stellen, wo das Unternehmen samt fachkundi-
Daten“ (Pannen) gegenüber der zuständigen Aufsichts- gem DSB keine Lösung mehr sehen, ist eine enge
behörde und den Betroffenen. Der Gesetzgeber legt im kooperative Zusammenarbeit mit der zuständigen
neu geschaffenen § 42a BDSG zusätzlich fest, wie die- Aufsichtsbehörde gefragt.
se Benachrichtigung zu erfolgen hat:
Welche Vorteile sprechen für einen externen
„Soweit die Benachrichtigung der Betroffenen einen un- oder internen DsB
verhältnismäßigen Aufwand erfordern würde, insbesondere Die nachfolgend behandelten Aspekte und die dazu ge-
aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle tätigten Überlegungen sind nicht als der Weisheit letzter
die Information der Öffentlichkeit durch Anzeigen, die min-
destens eine halbe Seite umfassen, in mindestens zwei bun-
Schluss und damit als das „Soll“ für den betrieblichen
desweit erscheinenden Tageszeitungen oder durch eine an- DSB zu verstehen, sondern als provokative Aussagen
dere, in ihrer Wirksamkeit hinsichtlich der Information der Be- zur Selbsteinschätzung und Entscheidungsfindung. Je-
troffenen gleich geeignete Maßnahme“. der genannte Punkt kann im Grunde sowohl für den in-
ternen als auch für den externen DSB ausgelegt wer-
den.
Mit steigender Popularität des Themas Datenschutz in
der Presse wird die Öffentlichkeit und der Endverbrau- Persönliche Voraussetzungen
cher nachhaltig sensibilisiert für den unsachgemäßen
Umgang mit seinen Daten und für seine Mitverantwor- Rechtliche Kenntnisse
tung. Dies hatte in den letzten Jahren einen deutlichen Der DSB muss die Regelungen des BDSG und andere
Anstieg an Beschwerden zur Folge - nicht nur bei den datenschutzrechtliche Vorgaben kennen, da er sie an-
Aufsichtsbehörden, sondern auch bei den Unterneh- wenden und auslegen können muss. Für Rechtsbera-
men selbst. Spätestens jetzt muss Ihr DSB also nicht tung ist ein Jurist heranzuziehen.
nur existieren, sondern er sollte nun bereits über aus-
reichend Praxiserfahrung, beispielsweise im Bezug auf technische Kenntnisse
die Wahrung der Betroffenenrechte nach §§ 34 und 35 Der DSB muss die wesentlichen Begriffe der Informa-
BDSG, haben; denn an diesem Punkt benötigt Ihr Un- tions- und Datenverarbeitung kennen und mit ihnen um-
ternehmen ein durchdachtes Beschwerdemanagement gehen können. Für erforderliche technische Analysen,
für eingehende Beschwerden und Widersprüche zur Stellungnahmen und Maßnahmen, die in einem Betrieb
Datennutzung oder Auskunftsersuchen. Dieses muss erforderlich sind, sollte er Spezialisten als Berater hin-
neben Textbausteinen für die unterschiedlichen Stan- zuziehen.
dardanfragen eine ganze Menge mehr können, zum
Beispiel: Betriebswirtschaftlich-organisatorische Kenntnisse
Der DSB muss mit dem Ablauf der Arbeitsvorgänge im
• Es muss einen Geschäftsprozess etabliert haben, Unternehmen vertraut sein, muss Geschäftsprozesse
der solche Anfragen zuverlässig an die zuständi- verstehen und auf Lücken analysieren können, um Da-
ge Stelle (meist den DSB oder die Rechtsabteilung) tenschutzlücken erkennen und geeignete Maßnahmen
weiterleitet, damit keine Anfrage versandet und da- vorschlagen zu können.
durch zusätzlichen Unmut beim jeweils Betroffenen
verursacht und nachfolgend eine Beschwerde di- Pädagogische, didaktische
rekt bei der Aufsichtsbehörde folgt. und kommunikative Fähigkeiten
• Es muss über eine unternehmenszentrale, ggf. Der DSB muss geeignet sein, den Mitarbeitern die An-
auch standortübergreifende Sperrdatei verfügen, in forderungen des Datenschutzes ebenso wie ihre Mit-
der alle Nutzungswidersprüche zuverlässig hinter- verantwortung bei der Umsetzung vermitteln zu können.
legt werden, um künftig die unerwünschte Daten- Zugleich ist er Motivator und Kontrolleur, der immer zu-
nutzung zuverlässig unterbinden zu können. nächst gegen das Image des „Verhinderers“ zu käm-
• Es muss eine enge Abstimmung mit der Geschäfts- pfen hat.
führung sicherstellen, da in der Regel auch pikan-
te Anliegen und Anfragen von Medien nicht ausblei- Organisatorische Fähigkeiten
ben. Der DSB muss die Notwendigkeiten eines Arbeitspla-
• Es muss eine technische Lösung bereithalten, um tzes oder eines Verfahrens und die im jeweiligen Un-
vorhandene Lücken in Systemen zu schließen, Da- ternehmen gegebenen Gepflogenheiten erkennen, be-

hakin9.org/de 37
Datenschutz

nennen und beeinflussen können, um praxisorientierte ne Geschäftsprozesse beispielsweise bei der Finanz-
Vorschläge für Maßnahmen erarbeiten können, die zum buchhaltung, dem Bereich Marketing/Vertrieb, Per-
einen dem Datenschutz genügen, zum anderen aber sonal oder auch in der Entwicklung. Der DSB sollte
auch den Interessen des Unternehmens gerecht wer- immer in der Lage sein, interdisziplinär (bereichs- und
den. fachübergreifend) solche Prozesse zu erfassen, deren
Daneben ist es mit dem Gesetz unvereinbar, wenn Schnittstellen zu analysieren und sowohl in der Ko-
der DSB durch diese Funktion in einem Interessens- mmunikation als auch bei der Empfehlung von Maß-
konflikt steht. Er darf daher weder der Geschäftsfüh- nahmen und deren Umsetzungsplanung entsprechen-
rung noch einer leitenden Position im Unternehmen (IT- de Kenntnisse einfließen zu lassen. Dazu eignet sich
Leiter, Personalchef etc.) angehören. der DSB eigen-initiativ entsprechend erforderliche
Kenntnisse zu den Fachgebieten an oder bezieht not-
Fachkunde wendiges Know-How in der Kommunikation mit den
Um den internen Mitarbeiter auf seine Rolle als DSB spezialisierten Mitarbeitern der Fachgebiete oder mit
vorzubereiten, bedarf es einer Grundschulung zur Ein- externen Beratern.
führung in den allgemeinen Datenschutz in Unterneh- Im Rahmen seiner Tätigkeiten erlangt der externe
men und regelmäßige Vertiefungsseminare. Darüber DSB vielseitige fachübergreifende Kenntnisse zu Ge-
hinaus empfiehlt es sich, dem internen DSB zumindest schäftsprozessen der unterschiedlichsten Märkte und
anfänglich einen ausgebildeten und praxiserfahrenen Branchen, die es ihm ermöglichen, in zunehmendem
DSB als Berater oder Coach zur Seite zu stellen, da- Maß auf einen Erfahrungsschatz zurückzugreifen, wel-
mit möglichst bald eine echte Risikominimierung für das cher auch im Rahmen von Folgebeauftragungen von
Unternehmen erreicht werden kann und sich die Ausga- großem Nutzen sein kann. Je nach Art und Umfang der
ben auszahlen können. Schließlich benötigt der inter- betrieblichen Geschäftsfelder kann mangelnde Kennt-
ne DSB zusätzlich die Einbindung in ein Team anderer nis bei einem externen DSB auch ein negatives Kriter-
DSBs, mit denen ein Erfahrungsaustausch für die prak- ium darstellen.
tische Umsetzung von Alltagsthemen stattfinden kann
sowie die einschlägige Fachliteratur (Gesetzestexte Akzeptanz des Personalstabs
und entsprechende Kommentare, Fachbücher zu Spe- Der externe DSB kennt das Unternehmen, seine Struk-
zialthemen, Fachzeitschriften für aktuelle Rechtspre- turen und die Mitarbeiter zunächst nicht und kann ge-
chung und IT-Entwicklungen) sowie eventuell das eine gebenenfalls nicht so praxistaugliche Empfehlungen
oder andere computergestützte Tool, um ihm die ana- aussprechen wie der interne es unter Umständen
lytische und dokumentarische Arbeit zu erleichtern, die könnte. Er wird von Mitarbeitern daher oft zunächst als
fachlich bei einem unerfahrenen DSB extrem komplex Fremdkörper betrachtet, vor allem, wenn seine Rat-
erscheinen mag. schläge zu unnötig unliebsamen Veränderungen oder
Der DSB benötigt durch die unterschiedlichen Ge- Auflagen führen und er die Beschäftigten nicht durch
schäftsbereiche vieler Unternehmen ein so umfangrei- Ausstrahlung und Verhalten zur Mitwirkung motivieren
ches und übergreifendes Branchen-Fachwissen, dass kann. Völlig ungeachtet dessen, ob es sich um einen
der aktuelle Kenntnisstand über die gesetzlichen Anfor- internen oder einen externen DSB handelt, muss die
derungen sich nicht mehr nur auf den Kernbereich des Unternehmensleitung (Geschäftsführung und leitende
intern bestellten DSB konzentrieren kann. Angestellte) als Multiplikator fungieren und den DSB
und seine Arbeit kontinuierlich vor den Beschäftigten
Zuverlässigkeit unterstützend ko-mmunizieren. Verliert der DSB diese
Persönliche charakterliche Eigenschaften wie Ver- Akzeptanz im Personalstab, wird es schwierig, diese
schwiegenheit, Integrität und Kompetenz, aber auch die wiederherzustellen.
Bereitschaft zu vertrauensvoller Zusammenarbeit sowie Interne DSB stehen dagegen häufig im Spannungs-
die Fähigkeit, besonders in Konfliktsituationen geradli- feld zwischen ihren Erfahrungen und Kenntnissen zu
nig und neutral abzuwägen, zu urteilen und zu handeln, den gelebten Geschäftsprozessen und den gesetzli-
sind unabdingbare Facetten der Arbeit des DSB. Selb- chen Anforderungen, die zu unbequemen Maßnahmen
ständiges Handeln ist erforderlich, da er ja auf dem Ge- führen können. Der externe DSB tritt hier als neu po-
biet des Datenschutzes weisungsfrei agiert (§ 4f Abs. 3 sitionierte Einheit im Unternehmen auf und muss sich
BDSG). Ein ausreichendes Maß an Arbeitszeit und Ge- von Anfang an in seiner Tätigkeit unter Beweis stellen,
legenheit zur Erfüllung seiner Pflichten gehören eben- nicht zuletzt unterstützt durch die in a) genannten Ei-
falls dazu. genschaften.

Erfahrung und interdisziplinärer Sachverstand Präsenz nach innen und außen


Geschäftsprozesse in einem Unternehmen finden in Der DSB verpflichtet sich nicht nur, die datenschutz-
unterschiedlichen Fachgebieten statt. So gibt es eige- relevanten Aspekte des BDSG im Unternehmen nach

38 7/2010
Datenschutz

innen zu vertreten, zu kommunizieren und durch in diesem Zusammenhang von großer Bedeutung.
Maßnahmen zu definieren. Er vertritt das Unter- Die Konzentration auf die Datenschutz-Sachverhal-
nehmen in Datenschutzbelangen häufig auch in der te in jeder Streitfrage können zur Schadensbegren-
Kommunikation nach außen in seiner Vertretungs- zung dienen, jedoch hat hier der externe DSB sicher-
funktion für die Geschäftsführung. DSB vertreten die lich den Vorteil des persönlich noch unbeteiligteren
Unternehmen weitgehend in der Korrespondenz und „Fremden“.
in den Verhandlungen mit der Datenschutzaufsichts- Durch die Umgebung jeglicher Hierarchiestufen soll
behörde. Auch die Wahrung der Rechte Betroffener, es dem DSB möglich sein, ohne Kompetenz- und Ko-
die sich mit Auskunftsersuchen, Widerspruch gegen mmunikationsschwierigkeiten Datenschutzfragen direkt
die werbliche Ansprache und andere berechtigte In- bei der Leitung der verantwortlichen Stelle zu platzie-
teressen direkt an die verantwortliche Stelle (das Un- ren. Er kann so notwendige Maßnahmen empfehlen
ternehmen) richten, ist eine überaus sensible und und auf mögliche Verstöße hinweisen, um Schaden
wichtige Aufgabe, die über Wohl oder Wehe des Un- vom Unternehmen abzuwenden. Die Weisungsfreiheit
ternehmens gegenüber dem Verbraucher entschei- bietet ihm die hierfür ausdrücklich geforderte Unabhän-
den kann. Der DSB prüft die Sachlage, sozusagen in gigkeit. Das Benachteiligungsverbot soll – zumindest in
der Funktion einer Beschwerdestelle, kommuniziert der Theorie – die neutrale Ausübung seiner Tätigkeit si-
die erzielten Ergebnisse gegenüber dem Betroffenen chern.
und sorgt unternehmensintern dafür, dass bei einer
etwaigen Datenschutzlücke entsprechende Maßnah- Kostenfaktor
men ergriffen werden. Bei kleineren und mittelständischen Unternehmen
bedient man sich häufig aus ökonomischen Überle-
Kenntnis der (gelebten) Geschäftsprozesse gungen der Dienste eines externen DSB. Der abzu-
Um eine adäquate Datenschutzorganisation in ihrem sehende Aufwand hinsichtlich der Etablierung eines
Unternehmen einzuführen, ist es notwendig, dass der betrieblichen Datenschutzkonzeptes wird dabei zu-
DSB Kenntnis über die im Unternehmen „gelebten“ Ge- meist geringer wahrgenommen und damit mit weni-
schäftsprozesse hat oder erlangen kann. Dieser He- ger Kostenaufwand bewertet als eine innerbetriebli-
rausforderung ist der interne DSB in der Regel eher che Bestellung an jährlichen Kosten mit sich bringen
gewachsen, da er diese gelebten Geschäftsprozes- würde. Zwar erscheinen die Leistungen des externen
se kennt und über einen längeren Zeitraum auch beo- DSB zunächst auffällig kostenintensiv, was jedoch un-
bachtet hat. ter anderem auf die Anforderung zurückzuführen ist,
Lücken in den Prozessen zu erkennen, die daten- dass dieser natürlich all das Fachwissen bereits er-
schutzrelevant sind, gehört jedoch zu den grundle- worben haben muss, sich auf eigene Kosten fortbilden
genden Aufgaben des DSB, ganz gleich ob intern muss, betriebswirtschaftlich, kommunikationspädago-
oder extern bestellt. Der externe DSB wird hier gisch, juristisch und technisch versiert sein muss und
durch den Blick von außen der sogenannten Be- die Vorschriften des BDSG und andere Vorschriften
triebsblindheit zunächst nicht unterliegen, weil er über den Datenschutz auf das konkrete Unternehmen
vorhandene Prozesse zwar zunächst noch nicht auf anwenden können muss.
ihre Nachhaltigkeit einschätzen kann, aber die Pro-
zesslandschaft oftmals objektiver und umfassender Vertretung
bewerten kann. Um im Falle eines Ausfalls des DSB eine Erhaltung
und Fortführung der Datenschutzaufgaben zu gewähr-
Weisungsfreiheit und Benachteiligungsverbot leisten, ist ein namentlich benannter Vertreter des
Das Spannungsfeld der Anforderungen des BDSG DSB erforderlich. Auch dieser ist bei der Erfüllung sei-
an die Geschäftsprozesse hinsichtlich des Umgangs ner Aufgaben von allen Organisationseinheiten zu un-
mit personenbezogenen Daten und den Reaktionen terstützen. Aus diesem Grund sollte der Stellvertreter
im gesamten Personalstab hierauf machen es zwin- generell benannt und in die laufende Datenschutzor-
gend erforderlich, dass der DSB seine Unabhängig- ganisation aktiv eingebunden sein, um seine Fachkun-
keit in seiner Position bewahrt sieht. Da der DSB ei- de und Zuverlässigkeit für den Vertretungsfall sicher-
nerseits weisungsfrei ist und andererseits auch keine zustellen.
Weisungsbefugnis hat, kann seine Stelle als unab-
hängige Stabstelle betrachtet werden. Gerät der DSB Kündbarkeit
zwischen Betriebsrat und Geschäftsführung oder et- Nach der Novellierung wirkt der Kündigungsschutz
wa in Konflikte zwischen einzelnen Fachbereichen, des internen DSB gemäß § 4f Absatz 3 Satz 6 BDSG
so ist es beinahe unmöglich, sich nicht nachfolgend noch bis zu einem Jahr nach der Beendigung der Tä-
der Kritik aller Beteiligten ausgesetzt zu sehen. Die tigkeit als Datenschutzbeauftragter fort. Insofern ist
Verschwiegenheit des DSB und seine Integrität sind ein Arbeitnehmer, der als Teilbereich in einem Unter-

40 7/2010
Der Weg zum eigenen Datenschutzbeauftragten

nehmen Aufgaben des internen DSB wahrnimmt, auch so bewerten, dass künftige Datenschutzaufgaben noch
nach Beendigung seiner Arbeit als DSB noch für ein zielführender und effektiver erfüllt werden können.
Jahr weiter vor ordentlichen Kündigungen geschützt Nicht zuletzt sollte das Auftreten des DSB neben sei-
(vergleichbar einem Betriebsratsmitglied, siehe § 15 ner Fachkenntnisse auch durch entsprechende Sen-
Absatz 1 Satz 2 KSchG). Es spielt dabei kaum eine sibilität im Umgang mit den Beschäftigten gekenn-
Rolle, warum die Berufung endete. Eine berechtigte zeichnet sein. Erst dann, wenn das Vertrauen der
Abberufung aus wichtigem Grund ist genauso relevant Mitarbeiter vorhanden ist, werden diese die wirklich
wie ein persönlicher Amtsverzicht des internen DSB. wichtigen Aspekte zu den „gelebten“ Geschäftspro-
Die Absicht einer unternehmensgruppenweit einheitli- zessen äußern. Ihre Mitarbeiter kennen die meisten
chen Betreuung des Datenschutzes durch einen ex- Lücken Ihres Unternehmens genauer als man erwar-
ternen DSB ist jedoch kein wichtiger Grund im Sinne ten möchte. Sie benötigen aber eine Plattform, um die-
der novellierten Vorschrift, den intern bestellten DSB se in einem geschützten Rahmen und ohne immer vor-
abzuberufen. handene Grundangst vor Konsequenzen auch äußern
zu können.
Welche Fähigkeiten sollte Ihr künftiger DSB
unbedingt mitbringen Wie können Sie den richtigen externen DSB
In Anknüpfung an die soeben erörterten Aspekte zur für Ihr Unternehmen finden
Selbsteinschätzung eines intern oder lieber extern zu Der DSB in seiner Funktion besetzt eine Position, die
bestellenden DSB wollen wir die genannten Anforde- eine multilaterale Vertrauensbasis voraussetzt. Er
rungen nun zusammenfassen und in Bezug auf die greift in der Regel in gewohnte oder sogar lieb gewor-
Auswahl Ihres künftigen DSB generell ansehen und die dene („bewährte“?) Firmenabläufe ein, das bedeutet,
Fähigkeiten herausheben, die Ihr künftiger DSB hiervon er wird zu einem Teil des Unternehmens und ist zudem
unbedingt mitbringen sollte. Ein geeigneter DSB kann im Optimalfall an der strategischen Unternehmensfüh-
den Aufwand, den Sie als Unternehmen betreiben, mit rung beteiligt. Er beeinflusst – ebenso wie jede andere
Ihrer Rückendeckung durchaus in geldwerte Vorteile Person, die dem Unternehmen angehört – auf seine
verwandeln. Weise die Arbeitsumgebung, ist Ansprechpartner quer
Kommunikationsfähigkeit und pädagogisches Ge- durch alle Hierarchien und Bereich, dient darüber hi-
schick bilden einen Grundbestandteil auf dem Weg naus als Schnittstelle zur zuständigen Aufsichtsbehör-
zu einer zielführenden erfolgreichen Arbeit des DSB. de und ist üblicherweise auch im Kontakt mit Betro-
Sie unterstützen den DSB maßgeblich bei der Ana- ffenen, die ihre Rechte gewahrt sehen wollen. Gerade
lyse von Prozesslandschaften im Gespräch mit ver- als externer Berater muss die Person also gut zum Un-
antwortlichen Personen und wissen schnell Reak- ternehmen passen. Was sind die Qualitätsmerkmale,
tionsverhalten und Rückmeldungen (oder Schweigen) auf die Sie bei der Auswahl Ihres Datenschutz-Part-
zu interpretieren und zu kommunizieren. Nicht zuletzt ners achten sollten, um lange Freude an dieser Per-
sind auch Diskussionsrunden auf unterschiedlichen son zu haben?
Hierarchieebenen proaktiv zu gestalten und in Schu-
lungsmaßnahmen Eckpunkte rechtlicher Anforderun- • Die Grundeinstellung ist der Faktor, mit dem Sie
gen, Verhaltensregeln und Motivation zum eigenver- Ihre Auswahl beginnen sollten. Ein Berater, der Ih-
antwortlich datenschutzkonformen Umgang mit den nen gleich mit einem Bußgeld droht, statt mit Ihnen
personenbezogenen Daten anschaulich und einpräg- gemeinsam nach einer arbeitstauglichen Lösung
sam zu vermitteln. des konkreten Problems zu suchen, hat das Grund-
Um weiterführend sinnvolle und praktikable Maßnah- prinzip des Gesetzgebers, den Schutz der Privat-
men definieren zu können und effizient in die Unterneh- sphäre in der Verantwortung der Selbstkontrolle zu
mensprozesse einbinden zu können, sollte der DSB ne- fördern, nicht verstanden und wird Sie aller Wahr-
ben seiner Kommunikationsfähigkeit auch in der Lage scheinlichkeit nach mehr kosten als Ihnen den Vor-
sein, methodisch, analytisch und strukturiert zu planen teil in Form einer gut funktionierenden Datenschutz-
und zu handeln. Nur so gelangen Maßnahmen auch in organisation zu schaffen.
den Status einer ergebnisorientierten und effizienten • Zielsetzung: Stimmen Ihre Erwartungen mit dem
Datenschutzorganisation, die nachhaltig wirken und überein, was der Dienstleister Ihnen konkret an-
somit ein tragfähiges Netz von angewandtem Daten- geboten hat (z.B. Sprachkultur, Kommunika-
schutz bilden kann. tionsfähigkeit, Durchsetzungsvermögen, inhalt-
Ausstrahlung und Reflexionsfähigkeit helfen dem liche Anforderungen, die Ihnen bereits bekannt
DSB einerseits, die Türen in alle Bereiche des Unter- sind)?
nehmens zu öffnen und eine konstruktive Atmosphäre • Handelt es sich um eine Einzelperson oder ist nach-
der Zusammenarbeit mit dem Personalstab aufzuba- weislich eine Infrastruktur im Hintergrund vorhan-
uen. Andererseits kann er rückblickend sein Vorgehen den, mit der Sie zumindest über eine ebenso fach-

hakin9.org/de 41
Datenschutz

kundige und vor allem zuverlässig verfügbare Stell- Statt einem Fazit: Wie Sie Ihrem DSB den Weg
vertretung und ggf. ein entsprechendes Backoffice ebnen und so mehr von ihm haben können
verfügen können? Gestatten Sie mir als langjährigen Datenschutzbeauf-
• Vertrauen & Sympathie: Ihr externer DSB oder tragten aus Leidenschaft für wirtschaftlichen und all-
Berater ihres internen DSBs sollte Ihnen langfri- tagstauglichen Datenschutz abschließend ein paar Ge-
stig erhalten bleiben, damit Sie sein volles Lei- danken aus meinem persönlichen Nähkästchen. Sie
stungsspektrum nutzen können. Dieses wird können mit sehr wenig Aufwand die Arbeit Ihres inter-
durch die Vertrauensbasis freigesetzt, welche nen oder externen DSB mit kleinen Gesten exzellent
sich in einer konstruktiven Zusammenarbeit ent- unterstützen und somit Ihren unternehmerischen Bene-
wickelt. fit enorm steigern:
• Bietet das Angebot Ihres externen Anbieters
Ihnen ausreichend Transparenz in der Darste- • Erklären Sie spätestens jetzt den Datenschutz
llung des Leistungsumfangs und der tatsächli- offiziell zur Chefsache. Sie ebnen Ihrem DSB da-
chen Kosten? Sind diese Aufwandsabschätzun- mit den Weg auf eine Weise, für die es keine Al-
gen und Kosten realistisch oder nur unschlagbar ternative an Effektivität, Wirksamkeit und Nachhal-
„günstig“? tigkeit des Datenschutzes in Ihrem Unternehmen
• Kann der Dienstleister Fachkunde, das heißt eine gibt. Wenn Sie nichts vom Datenschutz wissen
qualifizierte Ausbildung, regelmäßige Weiterbildun- wollen, den Sie über alle Belange zu entscheiden
gen und einen stetigen Erfahrungsaustausch in we- haben, wie soll Ihr Personalstab dann die Daten-
nigstens einem Fachkreis nachweisen? schutzziele verantwortungsbewusst verfolgen, die
• Kann der Dienstleister Ihrer Wahl Ihnen im Sinne Sie verleugnen? Die Einladung zu Betriebsausflü-
der gesetzlichen Zuverlässigkeit als DSB ein aus- gen und Firmenfeiern ist nicht nur eine nette ko-
reichendes Zeitpensum, akzeptable Reaktionszei- llegiale Geste, sondern sie signalisiert den Schul-
ten für Anfragen, einen qualifizierten Stellvertreter terschluss der Geschäftsleitung mit dem DSB und
und ausreichende weitere erforderliche Ressour- hilft, dass Datenschutz nicht nur auf dem Papier
cen zur Verfügung stellen? besteht, sondern wie selbstverständlich von allen
• Welche methodisch-geplante Vorgehensweise zur Beschäftigten gelebt wird. Darüber hinaus fördern
Einführung einer adäquaten Datenschutzorgani- informelle Ereignisse den lockeren Austausch und
sation in ihrem Unternehmen hat der Dienstleister dienen als grundlegende vertrauensbildende Maß-
Ihnen vorgestellt? Verfügt er über ein Konzept, wie nahme.
er den Datenschutz bei Ihnen einführen und eta- • Gönnen Sie Ihrem DSB ein klares „Plus“ an In-
blieren könnte? formationen, er wird Ihnen sicherlich sagen,
• Stellt er sich im persönlichen Gespräch, das ko- wenn es zu viel wird und wird Ihr Budget da-
stenlos sein sollte (natürlich ist ein freiwilliger Fahrt- durch nicht verschwenden, aber nur so kann er
kostenzuschuss oder eine hierfür stellvertretende den Überblick über die Unternehmensaktivitäten
Geste eine partnerschaftlich faire Geste), auf Sie behalten.
und Ihre Wünsche und Bedürfnisse ein? Ist er be- • Geben Sie Ihrem DSB Raum für fundierte Ant-
reit, sich Ihre Vorstellungen genau anzuhören und worten. Bei über 200 Gesetzen und Verordnun-
diese in seine Vorstellung miteinzubeziehen, soweit gen, unzähligen Urteilen zu noch mehr sehr spe-
möglich? ziellen Fragestellungen, die gar nicht immer so
• Besitzt der Anbieter so viel Flexibilität, dass er einfach zu finden sind, ist es kein Wunder, dass
von einem bereits benannten Plan an einigen Ihr DSB häufig erst einmal keine schnelle Ant-
Punkten Abstand nehmen kann, wenn es Ihrem wort präsentieren kann, sondern erst einmal re-
individuellen Unternehmen besser gerecht wer- cherchieren möchte. Ihr Unternehmen ist einzig-
den kann? artig, und so wird es nur wenige Standardant-
• Kann er über den Tellerrand des Datenschutzes worten auf Datenschutzfragen geben, die zu Ih-
hinaussehen? Es gibt eine Vielzahl von Gesetzen rem Betriebsalltag passen. In der Regel hat der
und Regelungen, die neben dem BDSG zu beach- DSB in seiner Berufserfahrung bereits so viel Wi-
ten sind. Darüber hinaus sollte ihr DSB auch öko- ssen angesammelt, dass er meist schon eine
nomisch und unternehmensbezogen denken, um Tendenz-Antwort im Hinterkopf hat, Ihnen aber
die vom Gesetzgeber vorgesehene Angemessen- keine Halbwahrheiten, sondern belegte Fakten
heit notwendige Maßnahmen einschätzen und be- anbieten möchte.
rücksichtigen zu können. • Tragen Sie ihm Fehler, die aus einer spontanen
• Verfügt der Dienstleister über eine fachbezogene oder allzu schnellen Antwort entstanden sind, an-
Versicherung mit ausreichender Deckung im Falle gesichts der Komplexität seines Aufgabenfeldes
einer Datenschutzpanne? nicht nach, sondern besprechen Sie gemeinsam,

42 7/2010
Der Weg zum eigenen Datenschutzbeauftragten

wie solche Fehler vermeidbar werden. Oft ent- Verwendete und weiterführende Quellen:
stehen diese einfach aus der besten Absicht he-
raus, Ihnen mehr zu bieten, als ein DSB an sich in • Gola, Schomerus: Kommentar zum Bundesdaten-
der von Ihnen erwarteten Kürze der Reaktionszeit schutzgesetz; ISBN 3406555446;
überhaupt leisten kann. • Bundesdatenschutzgesetz in der nichtamtlichen
• Fragen Sie Ihren DSB gelegentlich, was er sich Fassung der GDD mit hervorgehobenen Änderun-
zur optimalen Erfüllung eines angemessenen gen der drei Novellierungen (https://www.gdd.de/.../
Datenschutzes wünschen würde. Sie werden BDSG-Gesetzestext%20mit%20Novelle%20I-III.
staunen, wie klein diese Wünsche oft sind – und pdf);
welch großartige Wirkung deren Erfüllung auf • Ehmann: Datenschutz kompakt; ISBN 978-3-8245-
die Akzeptanz Ihrer Beschäftigten, auf die Mo- 1920-0;
tivation und Durchsetzungskraft Ihres DSB und • Erfahrungsaustausch mit dem Bayerischen Landes-
damit auf die angestrebten Arbeitsergebnisse amt für Datenschutzaufsicht;
haben. • Gola: GDD-Seminar „Novellierung des BDSG
• Stellen Sie einen bezifferten Datenschutz-Etat 2009“;
zur Verfügung. Ein seriöser DSB wird Ihre Groß-
zügigkeit nicht ausnützen, aber 1-2 Fachkongre-
sse zu unterschiedlichen Themen, die regelmäßi-
ge (z.B. quartalsweise) Teilnahme an einem Kreis
zum Erfahrungsaustausch mit Kollegen („Er-
fa-Kreis“) und ein Mindestmaß an Fachliteratur
(z.B. 1-2 Kommentare zu den wichtigsten Gese-
tzen, die Ihr Unternehmen betrifft, 1-2 Fachma-
gazine, Fachbücher zu Spezialthemen oder ar-
beitsunterstützende Software) sollten selbstver-
ständlich sein, schließlich haben Sie Ihrem DSB
eine Stabsstelle anvertraut. Die genannten Po-
sitionen betreffen in erster Linie Ihren intern be-
stellten DSB, doch auch der externe sollte seine
Kommentare nicht immer mit sich herumtragen
müssen.

Betrieblicher Datenschutz ist eine interessante Auf-


gabe in jedem Unternehmen, und die Konsequenzen
bei Pannen wiegen unverhältnismäßig schwer im
Vergleich zum Aufwand, den ein guter DSB benötigt,
um ein vernünftiges nachhaltiges Datenschutzma-
nagement aufzusetzen. Die Kosten halten sich in der
Regel in einem überschaubaren Rahmen, da Daten-
schutzmaßnahmen meist nur in sehr akuten Fällen
sofort getroffen werden müssen. Eine tragfähige Da-
tenschutzorganisation darf sich etwas Zeit nehmen, KeRstIn BLOsseY
und dann wächst sie zusammen mit der Akzeptanz Die Autorin ist Dipl. Sozialpädagogin (FH), Dipl. Informations-
Ihrer Beschäftigten und trägt so zu einem deutlichen Wirtin (FH) und Gründerin von Blossey & Partner, einem klei-
Mehr an Sicherheit für Ihre personenbezogenen und nen Unternehmensberatungshaus, das sich ganz auf den un-
unternehmenssensiblen Daten und Informationen ternehmerischen Datenschutz spezialisiert hat. Zum Kunden-
bei. kreis zählen deutsche wie international angesiedelte mittel-
ständische Unternehmen, Konzerne und Einrichtungen aus
Aktueller Rückblick zu den Datenschutz- so unterschiedlichen Branchen wie Druck & Medien, IT- An-
Schlagzeilen in der Online-Presse: wendungen & IT-Sicherheit, Telekommunikation, Verlagswe-
Das Redaktionsteam von Blossey & Partner stellt jede Wo-
che neu die Schwerpunktthemen rund um die heißen Daten- sen, Softwareindustrie, Automotive, Gesundheitswesen, For-
schutzthemen für Sie zusammen unter http://www.blossey- schung & Lehre, Tourismus, produzierendes Gewerbe und die
partner.de („News“, unten rechts). Klicken Sie doch mal hi- öffentliche Hand. In gelegentlichen Fachbeiträgen und Vor-
nein, das Archiv reicht inzwischen bis 2005 zurück und bietet trägen vermittelt die Autorin schwerpunktmäßig wirtschaft-
sogar eine Suchfunktion. Viel Spaß beim Stöbern. lich angemessene und arbeitstaugliche Möglichkeiten und
Wege des praxisorientierten Datenschutzes.

hakin9.org/de 43
Recommended Sites

Datenschutz ist EU-weit gesetzliche Anforde- Dieses Projekt hat sich zum Ziel gesetzt, durch Die Seed Forensics GmbH bietet für Strafver-
rung. Wir sorgen für die Erfüllung rechtlicher ein unabhängiges Informationsangebot möglichst folgungsbehörden professionelle Unterstützung
Vorschriften und kümmern uns um ein ange- viel relevantes Wissen über Betriebssysteme in den Bereichen der Datensicherstellung und
messenes Datenschutzniveau in Ihrem Unter- bereitzustellen. Dazu werden möglichst viele Datenträgerauswertung. Selbstverständlich
nehmen, auch international. Informationsquellen einbezogen. entsprechen unsere Mitarbeiter, unser tech-
www.blossey-partner.de www.operating-system.org nisches Equipment und auch unsere Räumli-
chkeiten den notwendigen Anforderungen.
www.seed-forensics.de

Securitymanager.de ist eine Produktion des


Online-Verlag FEiG & PARTNER. Seit dem Happy-Security ist ein neues Portal mit Secu- Anonmail bietet Sie frei verschlüsselte und
Start hat sich Securitymanager.de zu einem rity-Challanges, IT-Quiz, Web-Bibliothek, Multi- sichert webmail an. Wir kombinieren den Kom-
führenden Online-Informationsportal in media-Center & vielen weiteren Features. fort von webmail mit maximaler Sicherheit.
Deutschland entwickelt und versteht sich als www.happy-security.de www.anonmail.de
unabhängiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de

JMIT bietet Ihnen individuelle Lösungen für Ihr AV-Comparatives geht hervor aus dem Inns-
Pericom base camp IT-Security: Unser Ziel ist Unternehmen an. Angefangen von Instand- brucker Kompetenzzentrum und gilt als eines
es, unsere Kunden vor möglichen Gefahren haltung und Wartung von einer EDV-Infrastruktur der bekanntesten unabhängigen Testhäuser
für Ihre IT-Infrastruktur bestmöglich zu schüt- bis hin zur Entwicklung von Software. Die Sicher- für Antiviren-Software.
zen. Neben der Analyse von Risikopotentia- heit Ihrer Daten wird bei den Tätigkeiten genau www.av-comparatives.org
len durch Security Audits bieten wir, durch berücksichtigt.
die Implementierung von Security-Lösungen, www.johannesmaria.at
Schutz vor konkreten Gefahren.
www.pericom.at

Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org


Die Netzwerktechnik steht auf www.easy-ne-
twork.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
Administratoren und Netzwerkprofis.

www.easy-network.de

Hier findest Du alles, was das Herz eines


Computerfreaks höher schlagen lässt: Geek
Wear mit intelligenten Sprüchen, eine riesige
Auswahl Gadgets und natürlich auch viele
Hacker Tools.
www.getDigital.de
Löcher
gibt es überall.

z.B. mangelnder Soziale Netzwerke geraten immer häufi-


Datenschutz in ger durch mangelnden Datenschutz in die
Schlagzeilen. Es gilt, sorgfältig abzuwägen,
Sozialen Netzwerken welche Informationen tatsächlich veröffent-
licht werden können. Dies gilt nicht nur für Privates,
etwa Fotos, Hobbies und persönliche Überzeugun-
gen. Auch mit unternehmenssensiblen Daten muss
verantwortungsbewusst umgegangen werden.

Wir spüren die Datenschutz-Löcher in Ihrem Unter-


nehmen auf, entwickeln praxistaugliche Lösungen,
schulen Ihre Mitarbeiter und helfen bei der Einhal- Datenschutz-Dienstleistungen für Unternehmen
tung der datenschutzrechtlichen Bestimmungen. Entlastung · Resultate · Mehrwert

Sie wollen mehr wissen?


Tel.: +49 (0) 98 56 - 92 19 991 · www.blossey-partner.de
Recommended Companies

Mabunta secXtreme GmbH


Die mabunta GmbH agiert als hoch- schützt Ihre Web-Anwendungen bis
spezialisierter und kompetenter Partner auf Applikationsebene. Dazu gehört
rund um IT-Security- und Netzwerk-Lö- sowohl die Prüfung von Applikationen
sungen. Wir unterstützen bei IT-Sicher- (Pentests und Code-Reviews) als auch
heitsfragen in allen Unternehmens- Beratungsleistungen für Sicherheit im
bereichen, verbinden Wachstum mit Entwicklungsprozess und Schutzlö-
sicherer Kommunikation. sungen (Web Application Firewalls) bei
Alles in allem- mabunta „one-face-to- Großunternehmen und dem gehobenen
the-customer“, Ihr Spezialist in Fragen Mittelstand.
der IT-Sicherheit.
www.sec-Xtreme.com
www.mabunta.de

SEC Consult x-cellent technologies


SEC Consult ist der führende Berater x-cellent technologies ist als IT-Dienst-
SEC Consult für Information Security Consulting in leister und Beratungsunternehmen mit
den Schwerpunkten IT-Security, Netz-
Zentraleuropa. Die vollständige Unab-
hängigkeit von SW- und HW-Herstellern werkmanagement und Anwendungs-
macht uns zum echten Advisor unserer entwicklung tätig. Unsere IT-Security-
Kunden. Unsere Dienstleistungen umfa- Leistungen sind:Audits, Penetrationstests,
ssen externe/interne Sicherheitsaudits, IT-Securitymanagement, IT-
(Web-) Applikationssicherheit (ONR 17- Grundschutz, ISO 27001
700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com www.x-cellent.com

Tele-Consulting GmbH B1 Systems


Vom BSI akkreditiertes Prüflabor für IT- Die B1 Systems ist international tätig
Sicherheit, hakin9 und c’t Autoren, jah- in den Bereichen Linux/Open Source
relange Erfahrung bei der Durchführung Consulting, Training und Support. B1
von Penetrationstests und Security-Au- Systems spezialisiert sich in den Be-
dits, eigener Security Scanner „tajanas”, reichen Virtualisierung und Cluster.
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte info@b1-systems.de
ISO 27001-Auditoren, VoIP-Planung www.b1-systems.de
und -Security

www.tele-consulting.com

art of defence GmbH Blossey & Partner


art of defence entwickelt Lösungen im Consulting Datenschutzbüro
Bereich der Web-Anwendungs-Sicher- Datenschutz ist EU-weit gesetzliche An-
heit. Unsere Software schützt Websites forderung. Wir sorgen für die Erfüllung
und Datenbanken gegen Hacker-An- rechtlicher Vorschriften und kümmern
griffe auf Anwendungs-Ebene wie z.B. uns um ein angemessenes Daten-
Phishing. Damit schließen wir die derzeit schutzniveau in Ihrem Unternehmen,
größte Sicherheitslücke von E-Business- auch international. Wir erledigen alle er-
Systemen. Egal ob Web-Farm oder klei- forderlichen Aufgaben, die Fäden behal-
ner Online-Shop. ten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.artofdefence.com
www.blossey-partner.de

Protea Networks secadm


Protea ist spezialisiert auf IT-Security- secadm ist durchtrainierter Spezialist für
Lösungen: Verschlüsselung, Firewall/ Airbags, ABS und Sicherheitsgurte in der
VPN, Authentifizierung, Content-Filte- IT. Zehn IT-Sicherheitsexperten mit 70
ring, etc. Wir bieten umfassende Bera- Mannjahren Erfahrung beraten, entwi-
tung, Vertrieb von Security-Hard- und ckeln und implementieren IT-Lösungen
Software, Installation und umfangreiche für Kunden weltweit. Der Fokus liegt da-
Dienstleistungen (z. B. Konzeption, Trai- bei auf Themen wie Prozess-Optimierung
nings). Protea setzt auf Lösungen der und Security-Management. Risiko-Analy-
Markt- und Technologieführer und hält se, die Sicherheitsberatung, Auditing, Se-
dafür direkten inhouse-Support bereit. curity-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.proteanetworks.de www.secadm.de
Recommended Companies

NESEC
NESEC ist Ihr Spezialist für Penetra-
tionstests, Sicherheitsanalysen und
IT-Security Counsulting. Das NESEC
Pentest-Team unterstützt Sie bei Si-
cherheitsprüfungen Ihrer Netzwerke
und Webapplikationen sowie bei Sour-
ce Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
Mitarbeiter und zertifizieren Ihr Unter-
nehmen nach ISO 27001. m-privacy GmbH
IT-Sicherheitslösungen – funktional und
www.nesec.de einfach zu bedienen!
So präsentieren sich die von m-privacy
entwickelten TightGate™-Server, z.B.
TightGate™-Pro mit Datenschutz-Gü-
tesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
Seed Forensics GmbH gezielten Angriffen!
Die Seed Forensics GmbH bietet
für Strafverfolgungsbehörden profe- www.m-privacy.de
ssionelle Unterstützung in den
Bereichen der Datensicherstellung
und Datenträgerauswertung. Selbst-
verständlich entsprechen unsere
Mitarbeiter, unser technisches Equip-
0ment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.

www.seed-forensics.de OPTIMAbit GmbH


Wir sind Spezialisten für Entwicklung
und Security. Wir sichern Java, .NET
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Dien-
ste umfassen Audits, Code Reviews,
Penetrationstest, sowie die Erstellung
von Policies. Zusätzlich bieten wir Semi-
Omicron nare zu sicherheitsrelevanten Themen.
Omicron ist auf Sicherheit und Analysen
von Netzwerken und Systemen spe- www.optimabit.com
zialisiert und pflegt ein sehr sorgfältig
zusammengestelltes Service- und Lö-
sungsportfolio, um Firmen bei zentralen
und sicherheitskritischen Problemstellun-
gen kompetent unterstützen zu können.
Entsprechende Kurse und Ausbildungen
ergänzen das Angebot.

www.omicron.ch
underground_8
secure computing gmbh
Wir entwickeln und vertreiben securi-
ty appliances für die Bereiche Unified
Threat Management, Traffic Shaping
und Antispam. Unsere Lösungen sind
hardwarebasiert und werden über Dis-
tributoren, Reseller und Systemintegra-
SecureNet GmbH, München toren implementiert und vertrieben.
Als Softwarehaus und Web Application
Security Spezialist bieten wir Expertise www.underground8.com
rund um die Sicherheit von Webanwen-
dungen: Anwendungs-Pentests, Sour-
cecodeanalysen, Secure Coding Gui-
delines, Beratung rund um den Software
Develoment Lifecycle. Tools: Application
Firewalls, Application Scanner, Fortify
SCA/Defender/Tracer.

www.securenet.de
Das Ziel für
IT-Sicherheits-
Verantwortliche:
it·sa Nürnberg,
19.-21.Okt.2010

it-sa 2010: Der Treffpunkt


der IT-Security Branche
+ONGRESSE 4AGUNGEN 7ORKSHOPS 3EMINARE

!USSTELLERMIT,¾SUNGENZU)NFORMATIONS
3ICHERHEIT $ATENSCHUTZ (ARDWARE 3ICHERUNGUND
3ECURITY !WARENESS

.ON 3TOP 6ORTRAGSPROGRAMMAUFGRO¨EN&OREN


MIT+URZREFERATEN 0ODIUMSDISKUSSIONEN 
,IVE $EMOSUND"EST 0RACTICE "EITR­GEN

'UIDED4OURSVONUNABH­NGIGEN#ONSULTANTS

.EUE4HEMENÈ­CHEa$ASPERFEKTE2ECHEN Nürnberg,
ZENTRUM 0LANUNG "AU 4ECHNIKk 19.- 21.Okt. 2010

*ETZTINFORMIERENUND
6ERANSTALTER3ECU-EDIA6ERLAGS 'MB( .EWSLETTERANFORDERN
0OSTFACH $ )NGELHEIM 
4ELEFON   &AX  WWWIT SADE

You might also like