DECOIT mit Kooperationsprojekt DiSiNet auf der secIT
Die erste Sicherheitsveranstaltung von Heise für Trends, Lösungsansätze und aktuelle Produkte fand am 6. und 7. März in Hannover statt. Als Schwerpunktthemen ließen sich Digitalisierung, Internet-of-Things (IoT), DSGVO und Cybersecurity ausmachen. Neben einer Ausstellung, auf der Hersteller der IT-Sicherheitsbranche ihre neuesten Produkte und Dienstleistungen präsentierten, bot ein interessantes Vortragsprogramm umfangreiches Know-how zum Thema IT-Sicherheit. In intensiven Workshops und Expert Talks wurden zusätzlich tiefe Einblicke gewährt. Hier trat auch die DECOIT® GmbH im Verbund mit der Forschungskooperation DiSiNet in Erscheinung und stellte ihre neuesten Ergebnisse aus dem CLEARER-Projekt vor.
Bei den Expert-Talks stellten die DiSiNet-Partner Arosoft, Telco Tech und DECOIT® in einem eigenen Bereich ihre Sicherheitslösungen vor. Dabei stellte Arosoft den Einsatz von sog. IT-Tresoren vor, um die IT-Infrastruktur komplett oder in Teilen jederzeit neu ausrollen, modifizieren und überwachen zu können. Dabei kommen sichere Management-Server in beliebiger Anzahl zur Verwendung, die sich gegenseitig in Betrieb nehmen können und völlig autark arbeiten. Das heißt, es können nun sichere Service-Konsolen genutzt werden, die direkte administrative Zugriffe auf die beteiligten Server für einen bestimmten Service überflüssig machen. So können beispielsweise tausende Systeme in einer Stunde von Schadsoftware befreit werden. Auch Hackerangriffe lassen sich im Handumdrehen eliminieren. Per USB-Stick können Laptops so ohne mühsames Einsammeln vom IT-Tresor-Server indirekt bedient werden. Das Ausrollen neuer Betriebssysteme wird dadurch ebenfalls einfacher.
Dies ermöglicht den Aufbau ganzer Management-Netze. Innerhalb dieser Netze kommuniziert nur der Management-Server mit den Clients. Bei dualer Auslegung gibt es für jedes Management-Netz zwei zuständige Management-Server. In den Managementnetzen können die Clients in eine Management-Konsole booten und sowohl die Online-Softwareverteilung, als auch die Online-Überwachung per SSH erfolgen. Die Anzahl der Management-Server und der Managementnetze erhöht die Skalierbarkeit des IT-Tresors. Hinter dem Konzept des IT-Tresors steckt die Verwendung der Software Open Management Architecture (OMA). OMA verwendet einen offenen Deployment Stack. Alle Komponenten des Deployment Stacks sind dabei frei konfigurierbar (BIOS, RAID, Plattenaufteilung, Betriebssystem etc.). Dabei werden alle Daten durch die OMA-Server aktiv im Push-Verfahren verteilt.
Vorteilhaft ist, dass sich nun Firmware- oder Betriebssystem-Updates weniger kritisch auf die Verfügbarkeit auswirken. Ein Recovery ist sehr schnell möglich und Virtuelle Maschinen können massenhaft ausgerollt werden. Dabei lassen sich Regeln für Benutzer sehr fein granulieren. Der Management-Server kann auch als Inventory-Server genutzt werden, um die genutzte Software und die Anzahl ausgeben zu lassen. Die Lösung ist betriebssystemunabhängig nutzbar und es gibt keine zusätzlichen proprietären Agenten, sondern nur ein SSH-Zugriff auf das Gerät. Einzige Anforderung: die Geräte müssen vom USB-Stick booten können.
Im Rahmen eines Expert Talks stellte die DECOIT® GmbH ihr Forschungsprojekt CLEARER vor, das kurz vor dem Projektende steht. Hier will man bestehende Network-Access-Control-Systeme um SIEM-Funktionalitäten erweitern. Während ein herkömmliches NAC sich auf Zugangskontrolle spezialisiert hat, sollen mittels der CLEARER-Erweiterung Angriffe erkannt, bewertet und priorisiert werden können, um dann Reaktionen einzuleiten oder den IT-Administrator zu informieren. Über die performante Datenbank erfolgt zusätzlich eine Aufbereitung aller gesammelten Daten für einfachere Forensik bei erfolgten Angriffen. Die nachvollziehbare und nachweisbare zentrale Sammlung aller sicherheitsrelevanten Informationen ermöglicht dann eine einfachere Compliance-Statuskontrolle für Auditoren und verstehbare Handlungsempfehlungen für IT-Administratoren. Ziel soll es sein, dass gerade Klein- und Mittelständische Unternehmen (KMU) schneller und verständlicher über ihre Sicherheitssituation informiert werden. Aktuell wird an zwei Einsatzszenarien innerhalb des Projektes gearbeitet, die aber später durch neue Kundenanforderungen entsprechend erweitert werden sollen, um die Leistungsfähigkeit immer weiter zu erhöhen. Dabei stellt die Einhaltung und Kontrolle einer definierten IT-Compliance, auf die dynamisch reagiert werden kann, einen integralen Bestandteil des CLEARER-Konzepts dar.
Die Telco Tech präsentierte im Anschluss ihre Firewall-Lösungen (UTMs) im industriellen und IoT-Umfeld. Solche Firewall-Systeme stellen für viele Unternehmen immer noch die optimale Sicherheitslösung dar. Produktionsnetze sind heute aber immer noch zu wenig abgesichert. So gibt es veraltete Software-Stände oder fehlendes Rechtemanagement oder die Firewall ist schlichtweg nicht ausreichend konfiguriert. Zusätzlich stehen Serversysteme oftmals ungeschützt im Internet. Die UTM-Systeme der Telco Tech mit dem Namen LiSS Appliance bieten heute eine Vielzahl von Sicherheitsmerkmalen (Router, Firewall, VPN, IDS/IPS, Web- und Mailfilter, inkl. Virenschutz) an. Durch Reports und Statistiken können zudem auch ältere Angriffe analysiert werden.
Mit einer Firewall-Lösung ist es aber nicht getan. Vielmehr sind Sicherheitskonzepte gefragt, um ein Unternehmen sicher abzuschotten. Diese beinhalten Trennung von Zonen, Installation von UTMs, Protokollierung, Dokumentation, Schulung, Produktpflege und die Kombination verschiedener Hersteller miteinander. Bei IoT-Infrastrukturen muss man sich fragen, ob jedes Gerät mit dem Internet wirklich verbunden sein muss. Denn diese Netzknoten sind oftmals unsicher, weil eine Absicherung bzgl. der Geräteressourcen schwerfällt. Ein Lösungsansatz könnte das Projekt Nano Firewall sein, welches eine Firewall in Größe einer Steckdose entwickelt, um Geräte einzeln abzusichern. Dieses Projekt ist aus dem Kooperationsverbund DiSiNet entstanden. Aktuell kämpft man aber noch mit Wärmeproblemen.
Ein weiteres Thema waren die Risiken beim Umstieg auf Windows 10. Während man bei Windows 8 noch Updates abschalten konnte, ist dies bei Windows 10 nicht mehr vorgesehen. Zudem laufen Rechner heute mit EFI-Boot (BIOS) mit administrativen Rechten und stellen somit eine Schwachstelle dar. Ebenfalls problematisch: Neuere Hardware lässt teilweise keine Windows7-Installation mehr zu! Windows 10 auf älteren Hardware-Systemen zu betreiben, kann hingegen auch zu Problemen führen, da z. B. ältere Grafikkarten aufgrund von Treiberproblemen keine zwei Monitore unterstützen. Wenn man auf Windows 10 geht, sollte man sich daher die BIOS-Einstellungen (Boot-fähig, BIOS-Typ, Wake on LAN) genau ansehen. Außerdem basiert Windows 10 auf der App-Nutzung: Folglich wird immer Internet benötigt, sonst kann es zu Fehlausführungen kommen. Trotz der Risiken wird aber mittelfristig kein Weg an Windows 10 vorbeiführen, weshalb schon im Vorfeld über Migration nachgedacht werden sollte.
Die secIT ist von Heise wohl aufgrund der fehlenden CeBIT im März neu initiiert worden, um ein Gegenstück zur süddeutschen it-sa zu liefern. Dieses Konzept ist aber nur teilweise aufgegangen. Während die it-sa inzwischen alle namhaften IT-Sicherheitsanbieter anzieht und im IT-Security-Umfeld auch die CeBIT überboten hat, waren auf der secIT nur eine kleine Auswahl anwesend. Der Heise-Vortragsstand war zwar während der Messe sehr gut besucht, aber die Expert-Talks wurden im Vorfeld zu wenig beworben, so dass doch einige Stuhlreihen ungefüllt blieben. Die DECOIT® GmbH konnte sich mit ihrem CLEARER-Projekt trotzdem ausreichend gut positionieren und die Kooperation mit DiSiNet erfolgreich nach vorne stellen.