Die diesjährige D.A.CH Security fand zwischen dem 08. und 09. September in St. Augustin bei Bonn statt. Im Vordergrund standen Themen wie Cloud, Industrie 4.0, SIEM, Datenschutz und sichere Kommunikationslösungen. Wie immer wurde dabei sowohl aus Forschungsprojekten berichtet, wie auch von industriellen Anwendungen. Die DECOIT GmbH war in diesem Jahr gleich mit drei Beiträgen vertreten, da die Projekte iMonitor und SIMU abschließend präsentiert und die Android-Entwicklung Android App vorgestellt wurde. Dieser Beitrag soll einen kleinen Überblick über die Themen bieten.

Die Verschlüsselung von Cloud-Datenbanken steht weiterhin sehr hoch auf der Wunschliste der IT-Sicherheitsthemen. Eine Verschlüsselung der Daten innerhalb einer Cloud ist notwendig, weil man ihr i.d.R. nicht traut. In einem Projekt wurde daher die Verschlüsselung getestet, indem 10.000 E-Mails mit ca. 7 Mio. Worten mit Bouncy Castle chiffriert wurden. Dabei war der Zeitaufwand der ordnungsbewahrenden Verschlüsselung praktisch vernachlässigbar. Die Performance konnte daher als brauchbar bezeichnet werden, wobei noch Verbesserungspotenzial besteht.

Vererben in der Cloud

Das Vererben von Daten in einer Cloud wird ebenfalls zu einem immer wichtigeren Thema. Große Datenmengen (Big Data) werden heute im Internet herumgeschickt, die sich laut einer IDC-Studie alle zwei Jahre verdoppeln. So sollen im Jahr 2020 40.000 Exabytes erreicht werden. Hinzu kommt, dass die meisten Daten zukünftig über Cloud-Provider zur Verfügung gestellt werden. Hier besteht die Annahme, dass 40 % der Datenmenge in der Cloud gespeichert wird. Problemfelder im Cloud-Umfeld sind dabei: Datenstreuung und Nachvollziehbarkeit, Serviceabschaltung und Account-Stilllegung, Datenexport und Archivierung, Dateninterpretation im Kontext des Services sowie verschwommene Grenzen des Besitztums. Daher wurde ein integrierter Dienst, namens Themis Framework, für die Verwaltung des digitalen Nachlasses entwickelt, der folgende Funktionen enthält: Backup und Durchsuchbarkeit, Teilen und Vererben (nach dem Tod) und Kontrolle über die Datenherrschaft. Hierbei soll es zu keiner Zeit möglich sein, auf den Datenbestand eines anderen Benutzers zugreifen zu können. Alle Aktionen werden protokolliert. Das Sicherheitskonzept beinhaltet ein Open-Source-Konzept (https://github.com/backmeup).

Authentifizierung in der Cloud durch elektronische Ausweise

Die starke Authentifizierung in der Cloud beschäftigte auch das Projekt SkIDentity (https://www.skidentity.de). Hier sollte die Brücke zu eID-Karten geschlagen werden. Eine starke Authentifizierung in der Cloud führt normalerweise zu einem n-zu-n-Problem. Daher wurde als Lösungsansatz ein zentraler eID-Broker (Identity Broker) eingeführt. Die Cloud-Identität ist lokal beim Benutzer gespeichert und kryptografisch gesichert. Das SkIDentity-Projekt unterstützt hingegen beliebige elektronische Ausweise, ermöglicht leichte Anwendungsintegration durch Cloud Connector und mobilisiert den Personalausweis. Dadurch wird eine vertrauenswürdige Identität in die Cloud gebracht.

Banking App prüft elektronische Identifizierung

Ob man erkennen kann, dass der richtige Nutzer das jeweilige Endgerät bedient, wurde in einem anderen Vortrag behandelt. Dabei wurde versucht mittels der Interaktion (Tippverhalten, Touch-Interaktion) mit dem Gerät zu ermitteln, welcher Benutzer das Gerät gerade bedient. Zur Erhebung der Daten wurde eine Banking App entwickelt, die einen Login und Passwort sowie einen zusätzlichen Lockscreen enthielt, um den Bildschirm zu sperren. Als Ergebnis kam heraus, dass nicht jeder Benutzer anhand seines Nutzerverhaltens eindeutig erkannt werden kann. Trotzdem konnten bei den Tests immerhin 98 % richtig authentifiziert werden. Nur zwei von 25 Personen verschafften es sich unerlaubten Zugang. Daher sollte das jeweilige Persönlichkeitsprofil laufend aktualisiert werden. Problematisch war, dass IBAN und BIC nicht dem normalen Schreibverhalten entsprechen. Auch ergibt sich ein abweichendes Verhalten durch Nervosität oder Stress.

Informationelle Selbstbestimmung auch auf der Straße

Die informelle Selbstbestimmung auf der Straße wurde aus Sicht eines Juristen vorgetragen. Dieses Thema wird immer aktueller, da das Internet neuerdings ins Fahrzeug geholt wird. Dabei kann man das Fahrzeug als erweitertes Endgerät auffassen. Dadurch können Daten aus dem Fahrzeug in andere Hände gelangen (Unternehmen, Hersteller etc.). Gesetzlich festgelegt ist allerdings das Recht auf informationelle Selbstbestimmung, welches auch für personenbezogene Fahrzeugdaten gelten sollte. Durch die Fahrzeugvernetzung wird diese aufgeweicht, so dass Hersteller vor neuen technischen Herausforderungen stehen, die datenschutzkonform umgesetzt werden müssen. Die rechtlichen Rahmenbedingungen sind dabei noch völlig offen.

Nachweisbarkeit in Smart Grids auf Basis von XML-Signaturen

Smart Grids und der Standard Manufacturing Message Specification (MMS) standen in einem anderen Vortrag im Fokus. Die Sicherheit in Smart Grids wird durch Vertraulichkeit, Integrität, Authentizität des Datenursprungs und die Nichtabstreitbarkeit von Aktionen sichergestellt. Die Verfügbarkeit spielt für die IT-Sicherheit eine untergeordnete Rolle. Das MMS-Protokoll wendet diese Sicherheitsanforderungen an und hat deshalb einen großen Einsatzbereich im Smart-Grid-Umfeld. Der Standard sieht die Verwendung von TLS vor, um die Vertraulichkeit der Verschlüsselung und Integrität des Message Authentication Codes (MAC) zu gewährleisten. Dabei ergibt sich folgendes Problem: keine Ende-zu-Ende Sicherheit bei Gateway-Kommunikation, symmetrisches Verfahren – daher keine Nichtabstreitbarkeit möglich. Das erarbeitete Sicherheitskonzept ermöglicht nun die Nachweisbarkeit durch die Protokollierung aller Nachrichten, die Nichtabstreitbarkeit des Ursprungs oder des Empfangs sowie die Authentizität des Ursprungs aller Daten. Dies wird durch die Verwendung von XML zur Codierung erreicht. So kann eine Protokollierung erleichtert werden. Das Konzept setzt bei den Schwachstellen an und adressiert die MMS-Kommunikation. Eine rollenbasierte Zugriffskontrolle ist möglich. Allerdings kann XML auch einen relativ großen Overhead verursachen.

Verschlüsselte Übertragung in KMU

Wie man KMU-Firmen mit einem höheren Vertraulichkeitsschutz ausstatten kann, wurde von Fraunhofer SIT berichtet. 51 % der deutschen Unternehmen sind heute von Cyber-Attacken betroffen. Die Nutzung von Verschlüsselung in deutschen Unternehmen liegt deutlich hinter den empfohlenen Sicherheitsstandards. Ansatzpunkte für Verschlüsselung wäre E-Mail-Kommunikation, Instant Messaging, Sprachkommunikation, Datenträger etc. Wenn verschlüsselt wird, kommt es aber zu einem unkoordinierten Einsatz. Dabei erschwert die Vielzahl der Schlüssel die Verwaltung, es werden keine vertrauenswürdigen Kommunikationswege eingehalten und es gibt keine Kontrolle über die Schlüsselverteilung. Zudem wird die asymmetrische Verschlüsselung wenig verwendet, da man dafür eine gewisse Expertise benötigt. Wie eine höhere Vertraulichkeit erreicht werden kann, wurde am Beispiel eines kleinen Handwerkbetriebs gezeigt. Dabei wurde als erstes der Schutzbedarf bestimmt (Definition wichtiger Daten für die Firma). Anschließend wurden Gefährdungen ausgemacht und Kritikalität der Übertragungswege und Speicherorte festgelegt. Anfangs wurden die E-Mails zum Steuerberater verschlüsselt übertragen sowie Angebote auf dem Server. Zusätzlich wurde von Fraunhofer die Anwendung „Volksverschlüsselung“ geschrieben, um KMU bei Verschlüsselungen zu unterstützen (Schlüsselerstellung und Schlüsselmanagement sind enthalten). Auf der URL https://www.sit.fraunhofer.de/de/volksverschluesselung/#c3248 wird ein erster Eindruck vermittelt. Die Anwendung befindet sich gerade in der Testphase und konnte bei dem Handwerksbetrieb schon mal erfolgreich eingesetzt werden.

Software-Whitelisting mit Microsoft AppLocker

Durch die Nutzung von privaten Endgeräten im Unternehmensumfeld (BYOD) und andersherum von Unternehmensgeräten im privaten Bereich wächst die Notwendigkeit ein Software-Whitelisting durchzuführen. Diese beinhaltet eine Positivliste ausführbarer Software und Programmcodes. Dadurch soll Verlässlichkeit und Funktionssicherheit eines Systems erhöht werden. Audits lassen sich ebenfalls besser durchführen. Dazu muss allerdings eine Regelplanung erfolgen (Regelwerk erstellen, Regeln anwenden) und ein Monitoring die Einhaltung überwachen. Ein Software-Whitelisting ist für alle Enterprise-Versionen von Microsoft möglich. Das BSI hat die Empfehlung „sicherer Einsatz von AppLocker (BSI-CS 117)“ herausgegeben, die berücksichtigt werden sollte. Die Regeln lassen sich später auch auf Smartphones und Tablets ausweiten.

ISMS-Notfallmanagement-System

Über die Einführung eines ISMS-Systems in ihrem Unternehmen berichtete die Firma Schmalz, die damit den Sicherheitspreis 2015 in Baden Württemberg gewann. Die Aufgabenstellung war dabei die Einführung eines IT-Notfallmanagementsystems und des Datenschutzes bei gleichzeitig knappen Budget- und Personalressourcen. Dabei war der erste Schritt eine Awareness-Phase zur Mitarbeitereinbindung, da IT-Notfallmanagement bis zu 80 % kein Technikthema ist. Abschließend wurde eine Compliance verabschiedet. Innerhalb eines halben Jahres wurde die Einführung eines ISMS-Notfallsystems umgesetzt und eine volle Integration in den Tagesablauf der IT-Abteilung (über Tickets) erreicht. Standardisierte Dokumentation, Prozesserstellung und Eskalationsstufen sowie eine hohe Sensibilisierung der Mitarbeiter runden die Ziele ab.

Neue Sicherheitslösung für Android

Der zweite Tag begann mit einem Forschungsprojekt, in dem eine Sicherheitslösung für Android entwickelt wurde. Die Handhabung wurde dabei so vereinfacht (mit öffentlichen/privaten Schlüsseln), dass der Benutzer für die Anwendung kein Wissen über Verschlüsselung besitzen muss. Die Lösung wird als Open Source Software (OSS) zur Verfügung gestellt werden. Der Prototyp, eine App, ermöglicht vertrauliche Datenspeicherung in einer Cloud durch Verschlüsselung der Daten.

Untersuchung der Sicherheit von Messenger Apps

Anschließend wurde die Sicherheitsanforderung an Messenger Apps im Umfeld mobiler Sicherheit betrachtet. WhatsApp hat hier die größte Verbreitung, ist aber unsicher, weshalb sogar Jugendliche immer weniger WhatsApp nutzen. Die SMS wurde 2014 von den Instant Messenger (IM) überholt. Daher hat sich das Kommunikationsverhalten der Nutzer stark verändert. Das liegt hauptsächlich daran, dass IM-Lösungen i.d.R. keine zusätzlichen Kosten verursachen und Multimedia-Nachrichten verschicken können. SMS hat aber nach wie vor den Vorteil, dass alle Handy-Nutzer erreicht werden können und nicht nur bestimmte IM-Nutzer. Die Sicherheitslücken von IM-Lösungen wurden nun untersucht, indem als erstes die Assets (Nachrichteninhalte, Kontaktdaten, Nutzerpasswörter, Verkehrsdaten) bestimmt wurden. Als Lücken in allen Messenger konnten dabei ausgemacht werden: Verkehrsdaten wurden untersucht und Kontaktdaten wurden heruntergeladen. Zudem ist häufig unklar, was im Hintergrund passiert. Hinzu kommt, dass die Dokumentation der IM unzureichend oder gar nicht vorhanden ist, so dass oft der Quellcode untersucht werden musste.

Sicherheitsuntersuchung der gängigen Smartphone-Betriebssysteme

In einer anderen Präsentation wurde die Fragestellung behandelt, wie geeignet Smartphones heutzutage für den Einsatz im Hochsicherheitsumfeld sind. Dazu wurde eine Studie in Österreich durchgeführt, die die Hersteller, bzw. Systeme Blackberry, Android, iPhone und Windows Phone einbezog. Durch die Studie wurde keine Empfehlung ausgesprochen, da die Systeme einfach zu unterschiedlich sind, bzw. alle verschiedene Vor- und Nachteile aufweisen. So beinhaltet Android nur Software und ist unabhängig von Hardware zu betrachten. Eine enge Bindung von Hard- und Software besteht hingegen bei iPhone und BlackBerry. Allgemein wurde festgestellt, dass Systeme idealerweise offen sein sollten, um Einblick in das System zu ermöglichen. Die Untersuchung basierte auf der Grundregel, dass alles verboten ist, was nicht explizit erlaubt wird. Veränderungen am Gerät können nur durch den Administrator erfolgen. Die Sicherheitsarchitekturen aller mobilen Systeme unterscheiden sich in Details, folgen jedoch ähnlichen Designprinzipien. So laufen beispielsweise auf allen Plattformen Apps in individuellen Sandboxes. Fazit der Untersuchung war, dass keine Plattform alle Sicherheitsanforderungen erfüllt. Der Betrieb einer eigenen Infrastruktur (MDM) ist als Unternehmen unabdingbar. Dabei darf keine Komponente ohne den Administrator gesteuert werden. Nicht-technische Anforderungen bilden nach wie vor aber das wichtigste Auswahlverfahren.

Dynamische Tracker-Erkennung im Web

Für viele Internetfirmen und Anbieter kostenloser Services im Web sind die Daten der Nutzer und deren Verhalten im Internet bares Geld wert. Deshalb zeichnen sie dieses Verhalten durch Tracking auf. Allerdings wertet nicht jedes Unternehmen die Daten selbst aus, sondern übergibt diese Aufgabe einem Drittanbieter. Dieser korreliert dann die Daten der Kunden und erstellt so ein umfassendes Profil des Benutzers. In dem Vortag Dynamische Tracker-Erkennung im Web wurde dargestellt, wie durch ein Sandbox-Verfahren unterschiedliche Trackingverfahren untersucht und nachgewiesen werden können. Dabei wurde der Stand einer Virtuellen Maschine (VM) gesichert und danach mehrere verschiedene Webseiten aufgesucht. Anschließend wurde untersucht welche Daten sich in der Sandbox verändert haben. Hierbei konnte das Cross-Domain-Tracking, die Verfolgung des Benutzers über verschiedene Seiten, bei diversen Seiten nachgewiesen werden. So wurde festgestellt, dass die Firmen Facebook und Google dieses Verfahren am häufigsten verwenden.

Vorstellung iMontior und SIMU-Projekt

In der SIEM-Session wurde das Projekt iMonitor (www.imonitor-project.de) von der DECOIT GmbH vorgestellt. Dieses SIEM-orientierte BMWi-Projekt nahm Icinga als zentrales Monitoring-Element auf und erweiterte es um SIEM-Funktionen. Dabei stand die Einführung von Künstlicher Intelligenz (KI) im Vordergrund, um die bisher gängige Mustererkennung solcher Systeme zu verbessern. Dafür wurde im Projekt die zeitreihenbasierte Anomalie-Erkennung entwickelt, die sich ausschließlich auf Performance-Werte konzentrierte. Trotzdem konnte schon hiermit exemplarisch gezeigt werden, wie ein Normalverhalten vom Anomalie-Verhalten unterschieden werden kann. Das System lernt durch Ereignis-Korrelation und Erkennung von Vorfallvariationen, ob es sich um Anomalie handelt oder nicht. Dadurch lassen sich automatisiert Regeln erstellen und Handlungsempfehlungen aussprechen. Eine übersichtliche SIEM-GUI, die von der DECOIT GmbH entwickelt wurde, zeigt dem Administrator auf einen Blick, ob Gefahr vorliegt oder nicht. Er kann sich die einzelnen Vorfälle im Detail anzeigen lassen und die bestehenden Regeln anpassen, übernehmen oder löschen. Im Fazit wurde darauf hingewiesen, dass diese Vorgehensweise von SIEM-Herstellern zu selten verwendet wird und dass die auftretende Datenmenge durchaus ein Problem darstellen kann. Ähnliches war im zweiten Beitrag des SIMU-Projekts (www.simu-project.de) der DECOIT GmbH zu hören. Hier standen allerdings der IF-MAP-Standard und die Detection Engine im Vordergrund, die ebenfalls Vorfälle meldet und bei Bedarf ein Enforcement (Benutzer wird ausgeschlossen) vornimmt. Die Prozesse einer Anmeldung kann durch IF-MAP sehr übersichtlich visualisiert werden, wobei der Skalierbarkeit allerdings Grenzen gesetzt sind.

SIEM-System Erfahrungsbericht

Der Nachfolgevortrag nahm das Thema weiter auf und steuerte einen Erfahrungsbericht aus der Praxis bei. SIEM-Systeme können zwar große Mengen sicherheitsrelevanter Informationen durchsuchen und viele Angriffe erkennen, die sonst unerkannt bleiben. Aber SIEM-Projekte werden heutzutage oftmals abgebrochen, weil der Personalbedarf zu hoch ist. Zudem erfordern Gegenmaßnahmen spezielle Fähigkeiten, Berechtigungen und Befugnisse. Hinzu kommt, dass ein schlecht konfiguriertes SIEM zu viele Fehlalarme produziert, wodurch es wieder in Misskredit gerät. Als Lösungsansätze, um diese Problematiken zu umgehen, wurden mehrstufige Analyse (Checkliste, Detailanalyse, Sonderfälle), Auslagerung der Erstanalyse, vorbereitende Maßnahmenpläne (kein Zeitverlust durch sofortige Gegenmaßnahmen) und automatisierte Notfallpläne genannt. Letztendlich benötigt ein SIEM-System aber immer großen Personaleinsatz. Bei der Projekteinführung sollte zudem mit ca. 1-2 Jahren gerechnet werden.

Einbindung mobiler Android-Geräte in SIEM-Strategie

Der dritte Beitrag der DECOIT GmbH richtete sich an die Android-Interessierten in einer SIEM-Umgebung. Dabei wurde im Rahmen der Forschungsprojekte SIMU und iMonitor die App „DECOmap for Android“ vorgestellt, mit der mobile Android-Geräte in die SIEM-Strategie eingebunden werden können. Die Software ist Open Source und steht unter https://github.com/decoit/Android-IF-MAP-Client frei zur Verfügung. Sie erhebt bestimmte Daten (z.B. IMEI, Firmware, Hardware, Zustand, Apps) des Smartphones und stellt sie dem SIEM-System zur Verfügung. Für andere Plattformen steht diese App leider bislang nicht zur Verfügung. Sie befindet sich noch im experimentellen Status.

Bedrohungslage von SAP-Systemen

Wie es um die Bedrohungslage von SAP-Systemen bestellt ist, zeigte ein anderer Vortrag. Dabei wurde speziell auf die ABAP-Entwicklung eingegangen, die viele SAP-Kunden selbst vornehmen. Heutzutage setzten ca. 293.000 Unternehmen aus 190 Ländern SAP ein. Dabei fokussiert sich das Risikobewusstsein bei SAP hauptsächlich auf Sicherheitsmaßnahmen, die sich vornehmlich mit Rollen und Berechtigungen beschäftigen. Dabei wird die Applikationssicherheit häufig außer Acht gelassen, wie z.B. selbst geschriebener ABAP-Code. Durchschnittlich schreiben Kunden ca. 2,1 Mio. Zeilen eigenen Code pro SAP-System! Quasi jeder untersuchte Kunde hat den SAP-Standard entsprechend erweitert. Die Anzahl der Schwachstellen liegt im Durchschnitt bei einem kritischen Fehler pro 1.000 Zeilen Code. Also hat ein Unternehmenskunde damit im Schnitt ca. 2.150 Sicherheitsprobleme. Aus Sicht des Referenten liegt der Grund für die vielen Schwachstellen daran, dass es bisher keine Literatur gab, wie sichere ABAP-Software geschrieben werden sollte. Zusätzlich gibt es trotz Risikobewusstsein viele Fehler! Als Best-Practice-Lösung wurde vorgeschlagen als erstes einen Awareness Workshop für das Management durchzuführen, sich anschließend erreichbare Ziele zu setzen und erst dann einen Plan für den Umgang mit Altlasten zu erstellen. Sinnvoll ist es auch Entwicklungsrichtlinien vorzugeben, Tools einzusetzen und die Einhaltung der Entwicklungsrichtlinien zu überprüfen.

Autorisierungsmanagement für das Internet der Dinge

Ein Autorisierungsmanagement für das Internet der Dinge wurde abschließend vom TZI der Universität Bremen gefordert. Smart Objects (SO) mit speziellem Verwendungszeck werden heute zunehmend mit einem Mikroprozessor ausgestattet. Die Vernetzung von SO eröffnet dadurch ein neues Feld von Anwendungen. Zur Kommunikation wird häufig das Constrained Application Protocol (CoAP) nach RFC-7252 verwendet, welches auch eine DTLS-Anbindung vorsieht. Es ist eine Spezifikation der Universität Bremen, die in der Arbeitsgruppe ACE der IETF ins Leben gerufen wurde, um Autorisierungsmechanismen (z.B. OAuth, UMA, DCAF) definieren zu können. Dabei wird der Nachweis der Autorisierung durch Tickets oder Token erbracht. Bisher sind die bestehenden Sicherheitslösungen aber oft zu schwergewichtig. Der DCAF-Standardisierungsvorschlag des TZI soll da Abhilfe schaffen. Er enthält authentisierte Autorisierung mittels DTSL, skalierbare Verteilung von symmetrischen Sitzungsschlüsseln und minimalen Implementierungsoverhead.

Die D.A.CH Security hatte in diesem Jahr eine gute Teilnahmequote und bestach durch zahlreiche interessante Vorträge. Die D.A.CH Security 2016 ist bereits in Planung. Sie wird in Klagenfurt, Österreich, zwischen dem 26. und 27. September stattfinden. Und aus traditioneller Verbundenheit wahrscheinlich auch wieder mit der DECOIT GmbH. Die vorgestellten Präsentationen finden Sie, wie gewohnt, in unserem Download-Center.