Kapitel 1. Überblick über Sicherheit

Durch die wachsende Abhängigkeit von leistungsstarken, vernetzten Computern für das Führen von Unternehmen und Aufzeichnen unserer persönlichen Daten haben sich ganze Industriezweige um die Netzwerk- und Computersicherheit herum gebildet. Große Unternehmen haben das Wissen und die Fähigkeiten von Sicherheitsexperten zu Rate gezogen, um Systeme zu prüfen und maßgeschneiderte Lösungen für die Anforderungen des Unternehmens zu erstellen. Dadurch, dass die meisten Unternehmen dynamisch arbeiten, mit Mitarbeitern, die auf IT-Ressourcen der Firma intern und extern zugreifen, wird der Bedarf an sicheren Rechenumgebungen immer deutlicher.

Leider betrachten viele Unternehmen (sowie auch Einzelbenutzer) die Sicherheit immer erst ganz zum Schluss, ein Prozess, der zu Gunsten erhöhter Leistung, Produktivität und Kostenfaktoren gerne übersehen wird. Angemessene Sicherheitsimplementierung wird oftmals postmortem durchgeführt — erst nachdem ein unberechtigter Zugriff erfolgte. Sicherheitsexperten sind sich einig, dass das Ergreifen richtiger Maßnahmen vor dem Verbinden mit einem unzuverlässigen Netzwerk wie dem Internet ein sicheres Mittel zum Verhindern von unerlaubten Zugriffen ist.

1.1. Was ist Computersicherheit?

Computersicherheit ist ein allgemeiner Begriff, der einen großen Bereich an Computing und Informationsverarbeitung umfasst. Industriezweige, die von Computersystemen und Netzwerken für tägliche Geschäftstransaktionen und Zugriff auf wichtige Daten abhängen, betrachten ihre Daten als einen wichtigen Teil des Gesamtkapitals. Mehrere Begriffe und Metrics sind in unseren Arbeitsalltag eingeflossen, wie zum Beispiel Total Cost of Ownership (TOC) und Service-Qualität (QoS). Innerhalb dieser Metrics kalkulieren Unternehmen Aspekte wie Datenintegrität und Hochverfügbarkeit als Teil ihrer Planung, und verarbeiten Managementkosten. In einigen Industriezweigen wie zum Beispiel E-Commerce, ist die Verfügbarkeit und Verlässlichkeit von Daten der entscheidende Faktor zwischen Erfolg und Scheitern.

1.1.1. Wie entwickelte sich die Computersicherheit?

Viele Leser erinnern sich vielleicht an den Film "Wargames" mit Matthew Broderick in seinem Porträt als High-School Schüler, der in den Supercomputer des US-Verteidigungsministeriums (DoD) einbricht und unabsichtlich fast einen Atomkrieg auslöst. In diesem Film verwendet Broderick sein Modem, um sich in den DoD-Computer (mit dem Namen WOPR) einzuwählen und mit der KI (Künstliche Intelligenz) Software, die sämtliche Atomwaffenlager steuert, Spiele zu spielen. Dieser Film kamwährend des "Kalten Krieges" zwischen der ehemaligen Sovjetunion und den USA heraus und wurde als Erfolg in der Theaterfassung 1983 betrachtet. Die Beliebtheit dieses Films inspirierte viele, einige der Methoden des jungen Protagonisten zum Einbruch in Systeme zu implementieren, einschließlich des war dialing — eine Methode zum Suchen von Telefonnummern für analoge Modemverbindungen in einem bestimmten Vorwahlbereich und einer Telefonvorwahlkombination.

Mehr als 10 Jahre später, nach einer 4-jährigen, übergerichtlichen Verfolgung, bei der sogar das FBI (Federal Bureau of Investigation) und die Hilfe von Computerexperten Amerika-weit eingeschaltet wurden, wurde der Computer-Cracker Kevin Mitnick verhaftet und für 25 Straftaten durch Computerbetrug angeklagt, die Schäden von über 80 Millionen US $ durch Verlust geistigen Eigentums und Quellcode von Nokia, NEC, Sun Microsystems, Novell, Fujitsu und Motorola verursachten. Zu dem Zeitpunkt sah das FBI hierin das größte Computerbezogene Verbrechen in der Geschichte der USA. Kevin Mitnick wurde für schuldig befunden und zu 68 Monaten Gefängnis verurteilt, von denen er 60 Monate absaß, bevor er wegen guter Führung am 21. Januar 2000 entlassen wurde. Desweiteren durfte er keine Computer verwenden oder computer-bezogenes Consulting bis 2003 durchführen. Fahnder bestätigten, dass Mitnick ein Experte auf dem Gebiet des Social Engineering sei — er missbrauchte soziale Kontakte, um Zugang zu Passwörtern und Systemen durch gefälschte Unterlagen zu erlangen.

Informationssicherheit hat sich in den letzten Jahren durch die wachsende Abhängigkeit von öffentlichen Netzwerken für persönliche, finanzielle und andere vertrauliche Informationen entwickelt. Die unzähligen Vorfälle wie die des Mitnick oder Vladimir Levin (weitere Informationen unter Abschnitt 1.1.2) haben Unternehmen aller Industriebereiche dazu veranlasst, ihre Methoden zur Informationsübertragung und -Aufbewahrung zu überdenken. Die Beliebtheit des Internets war eine der wichtigsten Entwicklungen, die intensivere Bemühungen im Bereich der Datensicherheit nach sich zog.

Eine immer größer werdende Anzahl von Anwendern verwenden ihre persönlichen Computer für den Zugriff auf Ressourcen, die das Internet zu bieten hat. Von Forschung über Informationsrecherche bis hin zu E-Mail und Kommerz wird das Internet als eine der wichtigsten Entwicklungen des 20. Jahrhunderts angesehen.

Das Internet und seine früheren Protokolle wurden jedoch als trust-based (vertrauensbasiertes) System entwickelt. Das heißt, dass das Internetprotokoll nicht von vornherein als sicher ausgelegt war. Es sind keine anerkannten Sicherheitsstandards im TCP/IP Kommunikations-Stack integriert, was es offen für potentiell böswillige Benutzer und Prozesse im Netzwerk lässt. Moderne Entwicklungen machen die Kommunikation über das Internet sicherer, aber es treten immer wieder Vorfälle auf, die breites Aufsehen erregen und uns bewusst machen, dass nichts wirklich sicher ist.

1.1.2. Zeitlinie der Computer-Sicherheit

Verschiedene Schlüsselmomente trugen zu Geburt und Aufstieg der Computersicherheit bei. Im folgenden werden einige, wichtige Ereignisse genannt, die die Aufmerksamkeit auf Computer- und Informationssicherheit und deren heutige Bedeutung lenken.

1.1.2.1. Die 60er Jahre

  • Studenten am Massachusetts Institute of Technology (MIT) bilden den Tech Model Railroad Club (TMRC) und beginnen mit der Erforschung und Programmierung des PDP-1 Mainframe Computersystems dieser Universität. Hier wird auch der Begriff "Hacker" im heutigen Kontext geprägt.

  • Das US-Verteidigungsministerium bildet das Advanced Research Projects Agency Network (ARPANet), das in akademischen und Forschungs-Kreisen große Beliebtheit als Kanal für elektronischen Daten- und Informationsaustausch erlangt. Dies ebnet den Weg für die Erschaffung des Trägernetzwerks, das heute als das Internet bekannt ist.

  • Ken Thompson entwickelt das UNIX Betriebssystem, weitverbreitet gepriesen als das "Hacker-freundlichste" Betriebssystem aufgrund der zugänglichen Entwicklungstools und Compilers und der hilfsbereiten Anwendergemeinschaft. Etwa zur gleichen Zeit entwickelt Dennis Ritchie die Programmiersprache C, die wohl beliebteste Hacker-Sprache in der Geschichte des Computers.

1.1.2.2. Die 70er Jahre

  • Bolt, Berank und Newman, ein Vertragsunternehmen für Forschung und Entwicklung für die US-Regierung und Industrie entwickelt das Telnet-Protokoll, eine öffentliche Erweiterung des ARPANets. Dies öffnete das Tor zur öffentlichen Verwendung von Datennetzwerken, einst beschränkt auf Vertragsunternehmen für die Regierung und akademische Forschung. Telnet ist jedoch, laut verschiedenen Sicherheitsexperten, das wohl unsicherste Protokoll für öffentliche Netzwerke.

  • Steve Jobs und Steve Wozniak gründeten Apple Computer und begannen mit der Vermarktung des Personal Computer (PC). Der PC ist das Sprungbrett für böswillige Anwender zum Erlernen der Kunst, Systeme von außen mittels allgemein erhältlicher PC-Kommunikations-Hardware wie z.B. analoge Modems und War Dialers, zu cracken.

  • Jim Ellis und Tom Truscott kreieren USENET, ein Bulletin-Board System für elektronische Kommunikation zwischen entfernten Anwendern. USENET wird schnell zu einem der beliebtesten Foren für den Ideenaustausch im Bereich Computing, Netzwerke und natürlich Cracking.

1.1.2.3. Die 80er Jahre

  • IBM entwickelt und vertreibt PCs basierend auf dem Intel 8086 Mikroprozessor, einer relativ kostengünstigen Architektur, die elektronische Datenverarbeitung vom Büro ins traute Heim brachte. Dies half, den PC zu einem allgemeinen, zugänglichen Toolwerden zu lassen, was wiederum dem Wachstum dieser Hardware in den Haushalten böswilliger Anwender zu Nutze kam.

  • Das Transmission Control Protocol (TCP), von Vint Cerf entwickelt, ist in zwei Teile unterteilt. Das Internet Protokoll (IP) wurde aus dieser Unterteilung geschaffen, und das TCP/IP Protokoll wird zum Standard jeglicher Kommunikation über das Internet.

  • Basierend auf den Entwicklungen im Bereich des Phreaking, mit anderen Worten des Auskundschaften und Hacken von Telefonsystemen, wurde das Magazin 2600: The Hacker Quarterly ins Leben gerufen und behandelt Themen wie das Hacken von Computern und Computer-Netzwerken für eine breite Leserschaft.

  • Die 414-Gang (benannt nach der Vorwahlnummer des Wohnorts) wurde von den Behörden nach einer 9-Tage Cracking-Tour, bei der in Systeme von geheimen Orten wie das Los Alamos National Laboratory, einer Atomwaffen-Forschungseinrichtung, eingebrochen wurde, aufgegriffen.

  • Die "Legion of Doom" und der "Chaos Computer Club" sind zwei Hacker-Gruppen, die mit der Erforschung von Anfälligkeiten in Computer- und Datennetzwerken beginnen.

  • Der "Computer Fraud and Abuse Act" in 1986 (Gesetz gegen Computerbetrug und -missbrauch) wurde vom Kongress als Gesetz erlassen, basierend auf den Taten von Ian Murphy, auch bekannt als Captain Zap, der in Computer des Militärs einbrach, Informationen von Firmendatenbanken stahl und Anrufe über Telefonnummern der Regierung tätigte.

  • Basierend auf dem "Computer Fraud and Abuse Act" war die Justiz in der Lage, den Studenten Robert Morris zu verurteilen, der den Morris Wurm auf über 6000 anfällige Computer im Internet verbreitet hatte. Der nächste bedeutende Fall im Rahmen dieses Gesetzes war Herbert Zinn, ein Schulabrecher, der Systeme von AT&T und dem DoD gecrackt und missbraucht hatte.

  • Basierend auf den Bedenken, dass der Morris-Wurm jederzeit repliziert werden könnte, wird das Computer Emergency Response Team (CERT) gegründet, um Benutzer von Computern vor Netzwerksicherheitsproblemen zu warnen.

  • Clifford Stoll schreibt das Buch The Cuckoo's Egg (das Kuckucksei), eine Beschreibung der Untersuchung von Crackern, die unberechtigt auf sein System zugegriffen haben.

1.1.2.4. Die 90er Jahre

  • ARPANet wird stillgelegt. Verkehr über dieses Netzwerk wir ans Internet weitergeleitet.

  • Linus Torvalds entwickelt den Linux-Kernel für Verwendung mit dem GNU-Betriebssystem; die weitverbreitete Entwicklung und Verwendung von Linux liegt an der Zusammenarbeit der Benutzer und Entwickler, die über das Internet kommunizieren. Durch die Unix-Wurzeln ist Linux am beliebtesten bei Hackern und Administratoren, die Linux nützlich für das Erstellen von sicheren Alternativen zu Legacy-Servern und proprietärer (nicht-veröffentlichter Quellcode) Betriebssysteme finden.

  • Der grafische Web-Browser wird entwickelt und entflammt einen exponentiell steigenden Bedarf für öffentlichen Internetzugang.

  • Vladimir Levin und Komplizen knacken illegal die zentrale Datenbank der CitiBank und transferieren 10 Millionen US$ zu verschiedenen Konten. Levin wird von der Interpol verhaftet und fast die gesamte Summe sichergestellt.

  • Der unter Crackern wohl am meisten gefeierte ist Kevin Mitnick, der in verschiedene Systeme von Unternehmen einbrach und alles stahl, von persönlichen Informationen bekannter Persönlichkeiten bis zu mehr als 20 000 Kredikartennummern und Quellcode für proprietäre Software. Er wird erwischt, auf der Basis von Computerkriminalität angeklagt und zu 5 Jahren Gefängnis verurteilt.

  • Kevin Poulsen und ein unbekannter Komplize manipulieren Telefonsysteme von Radiosendern, um bei Verlosungen Autos und Geldpreise zu gewinnen. Er wird wegen Computerbetrugs angeklagt und zu 5 Jahren Gefängnis verurteilt.

  • Die Geschichten des Cracking und Phreaking werden zu Legenden, und es treffen sich jährlich angehenden Cracker auf der DefCon-Versammlung, um das Cracken zu feiern und Ideen auszutauschen.

  • Ein 19 Jahre alter israelischer Student wird verhaftet und als Organisator zahlreicher Einbrüche in Systeme der US-Regierung während des ersten Golfkrieges verurteilt. Angestellte des Militärs bezeichnen dies als den "am best-organisiertesten und systematischsten Angriff" auf Regierungssysteme in der Geschichte der USA.

  • Die US-Generalbundesanwältin Janet Reno gründet als Antwort auf eskalierende Sicherheitsbrüche in Regierungssystemen das National Infrastructure Protection Center.

  • Britische Kommunikationssatelliten werden von unbekannten Personen übernommen und Lösegeld gefordert. Die Britische Regierung gewinnt letzten Endes die Kontrolle über die Satelliten.

1.1.3. Sicherheit Heute

Im Februar 2000 wurde eine Distributed Denial of Service (DDoS) Attacke auf einige der am häufigsten besuchten Internetsites ausgeführt. Durch diese Attacke waren yahoo.com. cnn.com, fbi.gov und einige andere Sites für normale Benutzer unerreichbar, da Router mit stundenlangen riesigen ICMP-Paketübertragungen, auch Ping Flood genannt, überlastet waren. Diese Attacke wurde von unbekannten Angreifern gestartet, die speziell gefertigte, überall erhältliche Programme verwendeten, die verletzliche Netzwerkserver suchen und dann Client-Applikationen, auch Trojaner genannt, auf den Servern installieren und dann eine Attacke starten, bei der die Site des Opfers durch jeden infizierten Server überflutet wird und somit unerreichbar wird. Viele schieben die Schuld auf fundamentale Fehler in der Weise, wie Router und Protokolle strukturiert sind, um alle eingehenden Daten anzunehmen, egal woher oder zu welchem Zweck Pakete gesendet wurden.

Dies bringt uns ins neue Jahrtausend, einer Zeit, in der geschätzte 400 Millionen Menschen das Internet verwenden oder verwendet haben. Zur gleichen Zeit:

  • An jedem beliebigen Tag gehen um die 225 größeren Vorfälle in Bezug auf Angriffe auf Schwachstellen beim CERT Coordination Center der Carnegie Mellon Universität (USA) ein. [Quelle: http://www.cert.org]

  • In 2002 stieg die Anzahl der bei CERT gemeldeten Vorfälle sprunghaft von 52 658 in 2001 zu 82,094. Zum Zeitpunkt des Schreibens liegt die Anzahl der berichteten Vorfälle im ersten Quartal 2003 bei 42,586[Quelle: http://www.cert.org]

  • Der Einfluss der drei gefährlichsten Internetviren auf die Weltwirtschaft in den letzten zwei Jahren betrug insgesamt 13,2 Milliarden US$. [Quelle: http://www.newsfactor.com/perl/story/16407.html]

Computersicherheit ist zu einer quantifizierbaren und berechtigten Ausgabe für alle IT-Budgets geworden. Unternehmen, die Datenintegrität und Hochverfügbarkeit benötigen, eruieren die Fähigkeiten von Systemadministratoren, Entwicklern und Ingenieuren, um eine 24/7 Verlässlichkeit ihrer Systeme, Services und Informationen zu garantieren. Opfer von böswilligen Anwendern, Prozessen oder koordinierten Attacken zu werden ist eine direkte Bedrohung des Geschäftserfolges.

Leider kann System- und Netzwerksicherheit eine gewisse Schwierigkeit darstellen, die ein genaues Verständnis darüber, wie ein Unternehmen Informationen betrachtet, verwendet, manipuliert und überträgt erfordert. Das Verständnis darüber, wie ein Unternehmen (und deren Mitarbeiter) Geschäfte führt, ist von höchster Bedeutung für die Einführung eines richtigen Sicherheitsplans.

1.1.4. Standardisierung von Sicherheit

Unternehmen in jedem Industriezweig sind auf Richtlinien und Regeln von Standardisierungsorganisationen wie z.B. der American Medical Association (AMA) oder dem Institute of Electrical and Electronics Engineers (IEEE) angewiesen. Die gleichen Ideale gelten für Informationssicherheit. Viele Sicherheitsberater und Hersteller haben sich auf das Standard-Sicherheitsmodell CIA, (Confidentiality, Integrity und Availability; Vertraulichkeit, Integrität und Verfügbarkeit) geeinigt. Dieses 3-Schichten Modell ist eine allgemein anerkannte Komponente für das Einschätzen von Risiken für vertrauliche Informationen und das Einrichten einer Sicherheitspolice. Im folgenden wird das CIA-Modell näher beschrieben:

  • Vertraulichkeit — Vertrauliche Informationen dürfen nur für im vornherein festgelegte Einzelpersonen verfügbar sein. Unautorisierte Übertragung und Verwendung von Informationen muss eingeschränkt werden. So stellt zum Beispiel die Vertraulichkeit von Informationen sicher, dass persönliche oder finanzielle Details von Kunden nicht von Unbefugten für böswillige Zwecke wie Identitätsraub oder Kreditbetrug missbraucht werden kann.

  • Integrität — Informationen dürfen nicht dahin gehend verändert werden, so dass sie unvollständig oder falsch werden. Unbefugte dürfen nicht in der Lage sein, vertrauliche Informationen ändern oder zerstören zu können.

  • Verfügbarkeit — Informationen müssen jederzeit für befugte Personen zugänglich sein. Verfügbarkeit ist die Garantie dafür, dass Informationen mit einer vereinbarten Häufigkeit und rechtzeitig abgerufen werden können. Dies wird häufig in Prozent gemessen und formell in Service Level Vereinbarungen (SLAs), die von Netzwerkservice-Anbietern und deren Geschäftskunden verwendet werden, festgelegt.