Peer-to-Peer-Software, UDP, Firewall Hole Punching, Skype – Sicherheitsrisiken

Na, das war ja klar. Nach dem Beitrag zur Netzwerk-Misere im Bundestag wurde ich von Bekannten natürlich gefragt, warum ich ausgerechnet das auch von ihnen geliebte und viel genutzte Skype als potentielles Problem erwähnte. Man müsse ja wohl Software von großen Herstellern vertrauen können. Tja, ....

Das ist nun wirklich eine sehr unangenehme Frage. Aber eine, der sich zumindest professionelle Netzwerk-Administratoren ggf. ausgesetzt sehen, wenn sie im Rahmen einer Risikoanalyse und Risikobewertung für sicherheitsrelevante Netzwerkbereiche in ihrem Unternehmen das komplette Spektrum potentieller Gefahren erfassen wollen.

Trauen wir einer Software, die gezielt von innen Löcher in NAT Firewalls bohrt? Die aufgrund von Schwächen des UDP-Protokolls dann von irgendwelchen (!) externen Systemen und nicht nur vom Zielsystem unserer Kommunikation angesprochen werden kann? Die potentiell in der Lage ist, Daten von innen nach außen und von außen nach innen zu transportieren, ohne dass wir den Prozess im Detail kontrollieren könnten, gerade weil die Übertragung verschlüsselt erfolgt?

Was geschieht, wenn eine solche Software einmal über Exploits von Dritten für unlautere Zwecke genutzt werden kann? Überwiegt der potentiell mögliche Schaden wirklich den Nutzen, den eine Kommunikations-Software vom Schlage Skype unzweifelhaft mit sich bringt? Hinzu kommen die aktuellen Nutzungsbestimmungen von Microsoft, die sich jeder Systemadministrator und Sicherheitsverantwortlicher genau zu Gemüte führen sollte, das sie das Mitschneiden und Speichern der Kommunikationsinhalte potentiell zulassen. Vertraut man seine Kommunikation einem SW-Provider an, der sie ggf. irgendwo (im Ausland) und unter ungeklärten Sicherheitsvorkehrungen speichert?

Ich kann diese Fragen natürlich nicht pauschal beantworten. Es geht auch nicht speziell um Skype, sondern mehr um die Tatsache, dass eine ganze Reihe moderner Kommunikations- und auch Games-Softwarelösungen für Peer-to-Peer-Verbindungen [P2P-SW] gezielt so programmiert wird, dass sie (NAT-) Firewalls aushebeln. Dazu gibt es haufenweise Artikel im Internet - auch aus dem Bereich der Forschung. Also im Klartext:

Es gibt viele kluge Köpfe, die sich intensiv und erfolgreich Gedanken dazu machen, wie man mittels geschickt programmierter Peer-to-Peer-Software im IT-Alltag Firewalls umgehen und Verbindungen zu anderen Systemen, die ebenfalls durch Firewalls geschützt sind, aufbauen kann. Und ferner: Wie man einmal von innen eröffnete UDP-Kommunikationskanäle auch von anderen äußeren Systemen als dem vom Nutzer angewählten Kommunikations-Zielsystem für Dialoge mit der innerhalb der Firewall befindlichen SW nutzen kann?

Ich finde, man kann sich diese Tatsachen - und was sie im Kern bedeuten - gar nicht oft genug klarmachen, wenn man entsprechende Softwarepakete installiert. Dennoch: UDP-basierte Kommunikationsprogramme können selbst im Firmenumfeld nützlich sein - aber Sicherheit kann es nur geben, wenn man den Code dieser Programme kennt, ihnen daher wirklich vertrauen kann und die Kommunikation gezielt auf bestimmte Target-Systeme begrenzen kann.

Der geneigte Leser erkennt sicher, dass im professionellen Umfeld die Frage des Einblicks in den Source Code eine entscheidende Rolle bei der Risikobeurteilung spielen wird. Ist dieser Einblick nicht gegeben, so hat man es - schon aufgrund der UDP-Schwächen - mit einem potentiellen Risiko zu tun, das zumindest im Rahmen einer Sicherheitsstrategie für Unternehmen bewertet werden muss.

Ich denke, es ist im Rahmen dieses Blogs legitim, den Blick auf diese Tatsache zu lenken.

Eine Maßnahme zur Begrenzung von Risiken im Firmenumfeld kann ja z.B. sein, dass man bestimmte abgeschottete Netzwerkbereiche oder autonome Hochsicherheitsnetze etabliert, dort P2P-Software vom Schlage Skype gar nicht oder nur für bestimmte Zielsysteme zulässt und generell UDP-basierte (ausgehende) Verbindungen sperrt.

Ein weiterer Punkt ist der, dass ein Befassen mit populärer Software, die gezielt Firewalls umgeht, das Bewusstsein dafür schärfen kann, mit welchen Methoden platzierte Trojaner nach einem erfolgreichen Angriff u.a. arbeiten werden - und wie man im Ernstfall damit umgehen muss. In diesem Sinne ist es aus Sicherheitsperspektive durchaus sinnvoll, sich mit Firewall Hole Punching und Skype-ähnlicher Software, die z.B. STUN-Techniken benutzt, auseinanderzusetzen. Für diejenigen, die sich intensiver damit befassen wollen, habe ich nachfolgend ein paar Links zusammengestellt.

Dass auch manche Regierungen der westlichen Welt sich zu Recht intensiv mit dem Thema P2P-SW und u.a. auch Skype auseinandersetzen, zeigt u.a. der erste Link. Den dortigen Ausführungen ist kaum etwas hinzuzufügen. Ich gehe davon aus, dass auch meine Bekannten nach der Lektüre besser verstehen, warum ich das Thema im vorletzten Artikel ansprach.

Überblick über Risiken
http://www.ncsc.govt.nz/assets/NCSC-Documents/NCSC-Skype-Guidance-1.1.pdf
http://www.scip.ch/?labs.20140918

Technik und Risiken
https://www.rfc-editor.org/pdfrfc/rfc5128.txt.pdf

Hinweise auf spezielle Risiken
http://www.networkworld.com/article/2220923/microsoft-subnet/skype-exploits--i-know-where-you-are--what-you-are-sharing--and-how-to-best-stalk-y.html
http://www.makeuseof.com/tag/researchers-discover-skype-flaw-lets-hackers-track-news/

Informationen für Administratoren vom Hersteller
http://download.skype.com/share/business/guides/skype-it-administrators-guide.pdf
http://kirils.org/skype/stuff/pdf/2006/guide-for-network-admins-30beta.pdf

Einführende Artikel über die Umgehung von NAT Firewalls
http://www.heise.de/security/artikel/Wie-Skype-Co-Firewalls-umgehen-270856.html
http://www.h-online.com/security/features/How-Skype-Co-get-round-firewalls-747314.html
http://resources.infosecinstitute.com/udp-hole-punching/
http://www.it-administrator.de/lexikon/udp_hole_punching.html
http://www.cyberciti.biz/tips/howto-linux-iptables-bypass-firewall-restriction.html

Mehr Theorie
http://www.mi.fu-berlin.de/inf/groups/ag-tech/teaching/2009-10_WS/S_19510b_Proseminar_Technische_Informatik/fehrmann10you_slides.pdf
http://archive.cone.informatik.uni-freiburg.de/teaching/lecture/peer-to-peer-w12/slides/p2p12-16.pdf
https://www.goto.info.waseda.ac.jp/~wei/file/wei-apan-v10.pdf

Ausblick
https://www.iab.org/wp-content/IAB-uploads/2014/12/semi2015_huitema.pdf

Gefahr durch unzureichende Analyse ausgehender Netzwerk-Verbindungen

In einigen früheren Artikeln dieses Blogs hatte ich u.a. angedeutet, dass auch der Analyse und dem Unterbinden ausgehender Verbindungen von einem PC oder erst recht von einem Server im eigenen Netzwerk große Bedeutung zukommt. Das gilt für Verbindungen zu Zielpunkten im IT-Netzwerk - vor allem aber zu Systemen im Internet.

Die aktuelle Untersuchung eines der Servers der Partei "Die Linken" im Bundestag - siehe

https://netzpolitik.org/2015/digital-attack-on-german-parliament-investigative-report-on-the-hack-of-the-left-party-infrastructure-in-bundestag/

- zeigt nun gerade, dass ein systematisches Verhindern von ausgehenden Verbindungen zumindest eine bestimmte Malware, die dort als Teil der Attacke auf das Netzwerk des Bundestages beschrieben wurde, in ihrer Wirksamkeit beschränkt hätte. Ich finde das doch recht lehrreich.

Leider muss man sagen, dass

  • dass erstens das Thema ausgehender Verbindungen von einigen System-Administratoren unterschätzt wird
  • dass zweitens standardmäßig eingerichtete Firewalls und Security Software sowohl unter Windows als auch Linux diesen Aspekt von Haus aus zu wenig beachten.
  • dass drittens das Aufstellen von Regeln zur Kontrolle ausgehender Netzwerk-Verbindungen sowie das Einbinden von Black/White-Lists zu Ziel-IP-Adressen durchaus anspruchsvoll werden kann.

Im Besonderen erlauben viele Admins grundsätzlich ausgehende HTPPS-Verbindungen auch von Servern, um so automatische und direkte Verbindungen mit Update-Servern im Internet (die ihre IP-Adresse regelmäßig ändern) etablieren zu können. Nicht jeder Admin sieht sich schließlich in der Lage, einen eigenen lokalen Update Server im Hausnetz zu konfigurieren. Und so werden halt Kompromisse geschlossen .... und auch bekannte "böse" Zieladressen der versuchten Verbindungen nicht herausgefiltert.

Neben vielen Security-Produkten für MS Systeme fällt aber z.B. auch die Susefirewall2 in ihrer Standardinstallation dadurch unangenehm auf, dass ausgehende Verbindungen eines Linux-Systems zunächst einmal grundsätzlich erlaubt werden.

Nimmt man wie im letzten Artikel dieses Blogs propagiert, als Admin dagegen den Standpunkt ein, dass ein hinreichend klug geführter (und ausreichend finanzierter) Angriff früher oder später zu einem Eindringen von Malware führen wird, so ist gerade dann eine Begrenzung ausgehender Netz-Verbindungen ein Muss:

  • um aktive Software, die ungewünschte Verbindungen nach außen aufnimmt, zu entdecken
  • und natürlich, um selbige ungewünschten Verbindungen zu verhindern.

Fazit - auch wenn es für den einen oder anderen bereits eine Binsenweisheit sein mag:
Liebe Admins - im Bundestag und anderswo - kümmert euch intensiv um das Eingrenzen ausgehender Verbindungen, nutzt dabei Blacklists für Zielpunkte auch von https-Verbindungen und überlasst die Kontrolle ausgehender Verbindungen keinesfalls allein installierten Standardprodukten.

Wir wollen und können nicht verhindern, dass ein User von einem PC unseres Netzwerks aus im Internet surft. Wir können aber verhindern, dass beliebige Prozesse/Programme von beliebigen Systemen in unserem Netzwerk zu beliebigen Systemen da draußen Verbindungen aufbauen. Auch wenn das deutlich mehr Arbeit erfordert als pauschale Freigaben.

Sichere Netze ? Was lehrt uns das aktuelle Drama um das Bundestagsnetz ?

Gestern Abend gab es ein Interview auf Phönix mit Jörg Schieb zu der Frage, warum die aktuellen Probleme, die der Angriff auf das Netz des Bundestages ausgelöst hat, nun seit Wochen nicht behoben werden konnten. Eingerahmt war das Interview durch Statements zu Recht besorgter Bundestagsabgeordneter und ebenso besorgter Nachrichtenmoderatoren. Beunruhigend war ferner die in den Medien kolportierte Ansicht des BSI, das Bundestagsnetz sei nicht mehr zu verteidigen und müsse deshalb in großen Teilen neu aufgebaut werden.

Das Interview selbst brachte keine neuen Erkenntnisse, da Herr Schieb nicht über Details des Angriffs informiert war. Interessant waren allerdings Statements, die sinngemäß etwa so lauteten: "Dass überhaupt auch nur ein Trojaner in das Netz gelangen konnte, sei mehr als besorgniserregend". Oder: "Man könne bei speziell entwickelten Trojanern, die sich tief in die Computern eines Netzes einnisten, in keinem Handbuch nachschlagen, wie man da vorzugehen habe. Schon das Eindringen hätte deshalb verhindert werden müssen".

Welche Haltung des Experten liegt diesen Aussagen zugrunde? Welche Realität steht dem eventuell entgegen?

Die grundlegende Einstellung ist wohl die, es gäbe heute noch grundsätzlich die Möglichkeit, die Sicherheit von IT-Netzen (allein?) dadurch zu bewahren, dass man unautorisierte Zugänge von außen bzw. das Eindringen von Malware in ein Netzwerk, das mit dem Internet verbunden ist, abwehrt und verhindert. Das zugehörige Bild ist das eines abgeschirmten Raumes mit einer Grenze:

Innen ist der von uns kontrollierte Raum - da ist alles sicher; außen ist das Böse, dazwischen eine hohe, unüberwindliche Mauer. Folgt man diesem Bild, so müsste man Sicherheitsanstrengungen folgerichtig vor allem auf die "Mauer" konzentrieren. Dass sich sichere Netze bei einer hinreichenden Abgrenzung gegenüber dem Internet überhaupt noch realisieren lassen, wird in einem solchen Ansatz nicht in Frage gestellt. Es schwingt auch die Ansicht mit, dass man eingeschleuste Schad-Software im Nachhinein noch über Signaturen erkennen und entfernen könne - auch wenn das immer schwieriger werde.

Eine ähnliche Einstellung im Kleinen haben übrigens auch PC-Anwender, die meinen, durch Einsatz einer kombinierten PC-Firewall und Virenscanner-Software könne die Sicherheit der Datenhaltung und -verarbeitung auf einem PC gewährleistet werden. Und synchronisieren den PC gleichzeitig mit ungeschützten Handys, lassen die Öffnung permanenter Verbindungen zu Internet-Providern zu, skypen, etc. ....

Ich habe nun einige Netze in meinem Leben gesehen und auch die Entwicklung der letzten Jahre relativ aufmerksam mit verfolgt. Mein Fazit ist:

Die Vorstellung eines sicheren internen Netzes, das durch eine gut bewachte Mauer (aus Firewalls, Proxies) vom Internet abgegrenzt würde, kann nicht das alleinige, ultimative Leitbild für Sicherheitsvorkehrungen bleiben. Die Idee eines abgeschotteten Netzes erweist sich in der heutigen Praxis eher als Illusion.

Das Infragestellen (konventionell) geschützter Netze hört sich vielleicht provokativ, ketzerisch und nach Kapitulation an. Aber was ich meine, ist Folgendes:

Wir müssen viel mehr Energie in neue Verfahren zur Überwachung der Zustände von IT-Systemen (Client-Systeme, Server-Systeme, Netzwerkzustände) investieren als bisher üblich. Es genügt einfach nicht mehr, Mauern mit möglichst wenigen Löchern aufzubauen und die Systeme im Netz nach Kennzeichen von Schad-Software zu scannen. Wir benötigen vielmehr KI-Verfahren zur System- und Netzwerkanalyse und zur Unterscheidung normaler, legaler System- und Netzwerkzustände von anormalen und potentiell sicherheitsgefährdenden Systemzuständen.

Neben die bisherige Leitfrage "Wie schotte ich mein Netz gegen potentielle Eindringlinge ab?" muss die noch wichtigere Frage treten "Wie erkenne ich durch systematische (!) Analysen, dass in meinem Netz etwas nicht stimmt und der Eindringling ggf. bereits da ist?"

Denn die Angriffe auf den Bundestag, die Personalverwaltung der amerikanischen Regierung oder auch auf das Kaspersky Netz zeigen, dass das Kernproblem für die Sicherheit von Computernetzen nicht nur darin besteht, dass offenbar auch hohe Barrieren systematisch überwunden werden können, sondern dass erfolgreiche Angriffe viel zu spät und z.T. eher durch Zufall als durch systematische Analyse entdeckt werden. Schad-Software und Trojaner, die sich über Monate hinweg langsam und systematisch zusammenbauen, sind halt ein ganz anderes Kaliber als ein Wald- und Wiesen-Virus, der eine eindeutige Signatur über Files oder Dateiinhalte aufweist.

Angesichts der eher avancierten Angriffsmethoden, die in der letzten Zeit bekannt wurden, muss man sich als Admin durchaus mit dem Gedanken auseinandersetzen, dass der Abwehrkampf an der Firewall durch Analyse der eingehenden und ausgehenden Datenströme nicht zu hundert Prozent erfolgreich sein wird. Nicht nur Regierungsorganisationen, sondern auch Wirtschaftsunternehmen und dabei vor allem Unternehmen, die für Kerninfrastrukturen verantwortlich sind, sollten endlich wahrnehmen, wie groß das Gefahrenpotential heute wirklich ist, wenn ein Angreifer genügend Kapital investiert.

Das aktuelle Problem, dass sich angesichts bestimmter Angriffssmethoden ergibt, lautet: "Wie erkenne ich schnellstmöglich einen erfolgreich durchgeführten Angriff?". Erfolgreich heißt dabei: einen Angriff, der die Brandmauern und Abschottungssysteme bereits überwunden hat.

Administratoren müssen das Bild eines Abwehrkampfes an einer Frontlinie aus meiner Sicht ergänzen durch die systematische Analyse des eigenen Territoriums hinsichtlich aller auftretender Unregelmäßigkeiten. Das, was in der ISO 27001 im Bereich der systematischen Event-Analyse gefordert wird, muss heute viel rigoroser interpretiert werden:

Wir benötigen eine tiefgreifende Überwachung aller Systemzustände und Systemaktionen auf Unregelmäßigkeiten - und nicht nur eine Überwachung von Datenströmen, die sich von außen und innen über Netzwerkgrenzen bewegen, oder das Scannen der Systemdateien auf bekannte Fingerabdrücke von Malware. Wobei leider auch viele erfahrene Admins gerade bei der Analyse ausgehender Verbindungen schludern.

Hinsichtlich der aktuellen Chancen zur Erkennung gezielter Angriffe von ungebetenen Eindringlingen mit bisherigen konventionellen Scan-Maßnahmen greife ich mal auf die Aussage eines BND-Mitarbeiters auf einer Veranstaltung in München für Unternehmen zu Wirtschaftsspionage zurück: Der BND-Vertreter wertete den systematischen Rückgang von (erkannten) Angriffen auf sensible Netze selbstkritisch keineswegs als Erfolg von Abwehrmaßnamen; er stellte vielmehr die Frage, ob die Angreifer nicht in Wirklichkeit bereits da seien und nur nicht erkannt würden. Das war im Jahr 2013.

Heuristische Verfahren zur Überwachung von Betriebsystem- und Softwarezuständen und besser noch künstliche Intelligenz zur Erkennung unkonventioneller und damit potentiell gefährlicher Zustandsmuster müssen daher aus meiner Sicht in Zukunft "dumme" Scans nach Fingerabdrücken von Malware ergänzen. Die aktive Analyse selbst eingeleiteter Verbindungen und zugehöriger Datenströme aus dem eigenen Netz heraus nach außen muss dabei flankierend in Browsern und Multimedia- wie Kommunikations-Software entscheidend verbessert werden.

Ich meine also nicht, dass man die heutigen Maßnahmen zum Schutz eines Netzes und zur Überwachung des Datenverkehrs zwischen dem Netz und dem Internet aufgeben sollte. Ganz im Gegenteil - aber Sicherheit kann bei dem Umfang der heute betriebenen Ankopplung von Netzwerken an das Internet nicht mehr allein durch Firewalls, Application Level Gateways und Virenscanner gewährleistet werden. IDS-Systeme müssen sehr viel mehr Intelligenz bekommen, um Unregelmäßigkeiten in Systemzuständen insbesondere von internen wie externen Netzwerk-Clients feststellen zu können.

Nochmal ein paar Sätze zum "Warum?". Aus meiner Sicht sind die eigentlichen Schwachpunkte die heutigen Clients und die Begehrlichkeiten der Anwender bzgl. der Nutzung von Internet-Diensten:

Effektive Angriffsvektoren sind heute darauf ausgelegt, Aktionen durchzuführen, die aus Sicht von Firewalls und anderer Überwachungssoftware als legitim erscheinen. Exploits von Betriebssystemen, Server- und Anwendungs-Software liefern hierfür nur eine Grundlage; relevant ist in vielen Fällen aber das Ausnutzen primär legitimer Verbindungsversuche aus dem Inneren eines Netzes nach außen.

Beispiele:

Jemand erhält die Adresse einer Web-Site über eine Mail. Er klickt aus berechtigtem Interesse darauf, wird - ohne es zu merken - umgelenkt und landet auf einer Seite, die nur scheinbar dem eigentlichen Ziel entspricht. Er führt dann in gutem Glauben Schritte durch, die wiederum auf legitimem Wege zum Abtransport von sicherheitsrelevanter Information führt. (Interessanterweise berichtet die Presse ja darüber, dass dem Angriff auf das Netzwerk des Bundestages letztlich ein Link in einer empfangenen Mail zugrunde lag).

Ein anderes Beispiel stellt Multimedia- bzw. Streaming-Software vom Typus "Skype" dar: Sie öffnen einen oder mehrere Multimediakanäle per UDP Protokoll; danach können Angreifer über das von Skype initiiertem "Firewall Hole Punching" von außen Verbindungen zum Skype Client aufbauen, ohne dass eine Standard-Firewall dies verhindern würde. (Ursache ist hier eine inhärente Schwachstelle des verbindungslosen UDP-Protokolls, das die Sequenz von Paketen nicht prüft.) Kombinieren Sie dieses Verhalten mit dem vorhergehenden Herunterladen einer manipulierten Skype-Version über eine gefälschte und umgelenkte Website. Dann haben Sie bereits ein schönes Rezept für ein Sicherheits-Desaster. (Mal abgesehen davon, dass sich die Frage stellt, wieso man eigentlich dem originalen Skype eigentlich trauen sollte - einer Software, in die das Bohren von Löchern in Firewalls als essentieller Bestandteil integriert wurde).

Aber was sind die Entwicklungen in der IT? In welchem Sinne laufen die einer Sicherheit von Netzwerken entgegen?

In den letzten Jahren ist auf fast allen Ebenen von PC-Client-Systemen und mobilen Systemen extrem viel dafür getan worden, um dem Anwender Kommunikation aller Art mit Internet-Diensten über das Internet mit anderen Systemen und Netzen zu erleichtern. Ursache ist natürlich die zunehmende Tendenz, permanent mit dem Internet und anderen Netzen verbunden sein zu wollen. Diese Entwicklung ging leider mit einer systematischen Elimination oder Umgehung von Sicherheitsmechanismen einher. Ein Beispiel hierfür liefert Android. Aber auch Software wie Filezilla, die Passwörter im Klartext speichern, passen in diese Entwicklung. Auch die Erodierung der Abschottung von Javascript-Aktionen eines Browsers bzgl. des Zugriffs auf das Dateihaltungsystems eines PCs liefert ein Negativ-Beispiel. Von den Möglichkeiten, die ActiveX unter Windows im Zusammenhang mit Browser-Aktivitäten anbietet, ganz zu schweigen. Der (private und kommerzielle) Nutzen der vielen neuen Kommunikationsmöglichkeiten wurden systematisch höher bewertet als Sicherheitsrisiken.

Hinzu kommt, dass sowohl Betriebssysteme als auch Anwendungssoftware (ohne Kontrolle durch den Standard-Anwender) regelmäßig eine erhebliche Anzahl von Verbindungen zu Servern im Internet aufnehmen. Betriebssysteme einer bestimmten Coleur updaten sich selbst, ohne dass der normale Anwender darüber die Kontrolle hätte. Ursache ist die Vorstellung der Hersteller, dass eine kostensparende, kontinuierliche Wartung der immer komplexeren Software - die sich quasi laufend im Beta-Stadium befindet - nur noch automatisiert und zentralisiert über das Internet möglich sei. Eine entsprechende Ausbildung der Anwender hat man wohl aufgegeben. Der Anwender der marktführenden Betriebssysteme soll sich mit der Wartung seiner Systemumgebung nicht mehr auseinandersetzen. Umgekehrt sollen Datentransfers zu Service-Providern quasi im Hintergrund stattfinden - der User muss ja nicht wissen, was man alles an Daten über ihn wohin transferiert - es genügt seine pauschale Zustimmung zum Datentransfer bei der (fast zwangsweisen) Eröffnung eines Kontos bei einem Provider.

Das Spektrum unkontrollierter Verbindungen reicht also von automatischen System- und SW-Updates, über die automatische Übermittlung von Zuständen eines Browsers oder von Anwendungs-Software bis hin zum vom Nutzer gewünschten laufenden und automatischen Abgleich privater Daten mit Mailsystemen, App-Servern, sozialen Medien und den Konten, die man sonst so bei den großen Providern im Internet eingerichtet hat.

Ich erinnere mich noch gut an den Schock, den ein Bekannter mal erlebte, als ich ihm mal visualisierte, was sein Handy so alles treibt. Zu welchen Servern Dienste wie LinkedIN ungefragt Verbindungen aufbauen. Sehr spannend auch, was z.B. Windows-Sicherheits-Software wie etwa die Internet-Security-Software von Kaspersky an Verbindungen zu weltweiten Knotenpunkten dieses Sicherheitsunternehmens aufbaut. Soll man daraus schließen, dass Sicherheit heute zwangsläufig mit einem gewissen Grad an laufender Überwachung verbunden sein muss? Weil immer mehr heuristische Verfahren zum Einsatz kommen müssen, die die Sicherheitsfirmen nicht mehr allein lokal auf dem genutzten Gerät (PC/Smartphone etc.) zur Verfügung stellen können?

Aus der permanenten Internet-Konnektivität resultierende Sicherheitsfragen wurden im Zuge der rasanten Entwicklung der letzten 10 Jahre typischerweise immer erst im Nachhinein aufgegriffen oder wurden zugunsten von Kosteneinsparungen ignoriert. Der Vorfall im Bundestagsnetz ist aus meiner Sicht nur ein Symptom dieser leider unreflektierten Marktdynamik.

Nicht nur Privatpersonen sondern auch Unternehmen verlagern fast alles in Clouds. Software wird nicht zuletzt aufgrund einer kombinierten Lizenz- und Kontrollpolitik der Hersteller nicht mehr lokal betrieben sondern über das Internet. Ursache ist die zunehmende Vermarktung und Kontrolle aller Daten, die man nebenbei zu den Anwendern sammeln kann. Statt vorsichtig im Umgang mit seinen privaten elektronischen Daten zu sein, wurde eine ganze Generation von angeblichen "Digital Natives" dazu verführt, sich in jeder Hinsicht in sozialen Medien zu engagieren - in einem Ausmaß und mit einem Zeitaufwand, über den man sich nur wundern kann.

Der Erfolg von Android wurde explizit mit dem Entfernen von Sicherheitssperren im Linux-System erkauft. Bei anderen Mobile-Systemen sieht es aber nicht viel besser aus. Anwender in Firmen, Verwaltung etc. nutzen dennoch zunehmend mobile Geräte (BYOD lässt grüßen), um über das Internet (!) wie selbstverständlich auf Server im Firmen- oder Verwaltungsnetzwerk zuzugreifen. Office-Software, Mail-Systeme, Browser-Funktionalität, Multimedia-fähige Anwendungs- und Kommunikations-Software sind zu solchen Zwecken immer weiter miteinander verzahnt worden - im Besonderen wieder in den marktführenden Betriebssystemen.

PCs und mobile Clients, die nicht laufend mit dem Internet verbunden sind, sind aufgrund all dieser Entwicklungen für den praktischen Einsatz im heutigen digitalen Alltagslebens weitgehend untauglich. Das kann man mit Fug und Recht als zunehmende Tendenz konstatieren. Eine resultierende Konsequenz ist, dass Administratoren heute relativ viele Löcher in Firewalls reißen müssen. Ferner wird die Überwachung der Datenströme auf illegitime Inhalte (im besonderen im Multimediabereich) immer schwieriger. Das Beispiel Skype zeigt dabei übrigens, dass man die in die Jahre gekommenen Datenübertragungsprotokolle für das heutige Internet unter Berücksichtigung von Sicherheitsaspekten eigentlich komplett neu erfinden müsste.

Bei der Analyse sicherheitsrelevanter Szenarien fällt mir zudem regelmäßig auf, wie sehr die Gefahr, die von ausgehenden Verbindungen ausgehen kann, systematisch unterschätzt wird. Ein klassisches und triviales Beispiel liefert etwa ein Verwaltungsnetz, das kaum segmentiert ist, aber sensible Daten enthält. Erlaubt man in einem solchen Netz den Anwendern ausgehende HTTPS-Verbindungen zum Beispiel zu Mail-Providern, so hat man sich ein zweischneidiges Schwert geschaffen. Ein böswilliger Mitarbeiter kann über solche Verbindungen dann verschlüsselt sensible Daten systematisch nach außen auf eigene Server transferieren. Das Erkennen und der nachträgliche Nachweis solcher illegaler Aktionen wird dann gerade wegen der Verschlüsselung extrem erschwert. Wie das Beispiel Skype zeigt, können legale UDP-Verbindungen nach außen zudem ungewollt und für den Standardanwender nicht nachvollziehbar Löcher in Firewalls reißen. In sicherheitsrelevanten Netzen müsste man deshalb eigentlich den Code aller UDP-basierten Multimedia-Software darauf überprüfen, was diese Software mit eingehenden Paketen macht. Das ist in der Praxis kaum durchzuhalten.

Was für eine Entwicklung müssen wir also feststellen? Für die marktführenden Betriebssysteme und für zugehörige internetfähige Anwendungs-Software existieren faktisch Hunderte von Exploits. Eine extrem zunehmende Anzahl an Client-Systemen hängt dauerhaft im Internet; diese Clients sind damit automatisch exponiert. Dieselben (mobilen) Client-Systeme interagieren über das Internet mit Servern unserer Firmen- und Verwaltungsnetze. Kein Wunder, dass Internet-Kriminalität extrem zunimmt und leider immer "erfolgreicher" wird.

Nun lautet eine der Standardantworten: Stimmt, aber man könne ja verschlüsseln, VPNs aufbauen, etc. .... Ja. Man kann verschlüsseln - und mit hoffentlich immer noch wirksamer starker Kryptographie. Was nützen aber z.B. eine Authentifizierung an einem SFTP-Server über asymmetrische Schlüssel und anschließende Datentransfers über eine HTTPS-Verbindung, wenn ich das Ganze auf einem (gehackten) Windows-System mit Filezilla durchführe, Filezilla keinen Passwortschutz der Schlüssel zulässt und Passwörter für FTP-Server mit normaler Authentifizierung im Klartext abspeichert? Was nützt der Transfer stark verschlüsselter Mails, wenn der PC gehackt ist und die Kryptographie-Schlüssel entwendet werden oder Passwörter über Keylogger mitgelesen werden?

Kein intelligenter Angreifer würde versuchen, stark verschlüsselte Datenströme zu dechiffrieren. Vorher würde man alles daran setzen, über andere Schwachstellen Zugang zu dem PC zu erlangen, der kryptiert, und damit Zugang zu den Schlüsseln und evtl. zugehörigen Passwörtern. Das gilt für Kriminelle wie ausländische Geheimdienste oder Wirtschaftsspione.

Die Idee sicherer Betriebssysteme kann man angesichts der Exploits für die marktführenden Systeme mehr oder weniger aufgeben. Im Ergebnis haben wir also unsichere Betriebsysteme und mobile Netzwerk-Clients,

  • die einerseits permanente Verbindungen aus dem Netzwerk ins Internet aufnehmen oder aufrechterhalten und dabei zunehmend Löcher in lokale oder Firmen-Firewalls reißen,
  • die andererseits aber auch von außen über das Internet auf Server in privaten Netzen, in Firmen- und in Verwaltungsnetzen zugreifen.

Es gibt also vielfach keine abgeschotteten Netze mehr. Nun könnte man über Segmentierung besser gesicherte Netzbereiche in Unternehmen und der Verwaltung schaffen. Erfolgt dann aber der Zugriff über dieselben unsicheren Clients, so hilft auch dies nicht viel. Was ist also erforderlich?

Es sind Clients erforderlich, die in unterschiedlichen und streng getrennten Modi betrieben werden können, wobei die Software und Daten dieser Modi vollständig gegeneinander abgeschottet werden müssen. Nur im abgesicherten Modus darf die Verbindung zu Netzen, die geschützt werden müssen, überhaupt aufgebaut werden. Bestimmte Typen ausgehender Verbindungen von Clients, die in aus sicherheitsrelevanten Netzwerken heraus agieren oder mit solchen kommunizieren, müssen unterbunden werden. Closed Source Kommunikations-Software - sprich Software, die man hinsichtlich ihres Umgangs mit einlaufenden Datenpaketen nicht analysiert werden kann - gehört nicht auf sicherheitsrelevante Clients.

Netzwerke müssen ferner in erheblich stärkerem Ausmaß segmentiert werden als bisher. Der Umgang mit starker Verschlüsselungssoftware muss systematisch geschult und erleichtert werden. In Firmen wie in der Verwaltung wie im Privatleben. Über den Aufbau von ISM-Prozessen und gelebtes Risiko-Management im Unternehmen will ich hier gar nicht reden.

Was aber eigentlich Not tut und wo auch der Staat systematisch Geld in Forschung investieren muss:

Wir brauchen dringend tragfähige Ideen, wie man Sicherheit in Netzen gewährleisten kann, die eben nicht mehr abgeschottet betrieben werden können. Wir brauchen Sicherheitstechnologie, die die Abschottung von Netzen nicht zwingend voraussetzt. Das von Herrn Schieb suggerierte Bild eines Netzes, das sich durch eine Mauer abgrenzen und gegen Schad-Software wie illegitime Zugriffe absichern lasse, hat seine Gültigkeit zwar noch nicht vollständig verloren - wir befinden uns aber in einer Übergangszeit, in der kluge Köpfe Sicherheit in einer total vernetzten Welt auf andere Paradigmen aufbauen müssen.

Der aktuelle Zustand des Bundestagsnetzes ist deshalb so besorgniserregend, weil es ein Beispiel dafür ist, dass Sicherheit offenbar selbst für ein relativ gut überwachtes Netz mit den heutigen Mitteln nicht mehr garantiert werden kann. Jeder Unternehmer sollte sich angesichts dieses Desasters fragen, aus welchen Gründen seine Unternehmensnetze eigentlich sicherer sein sollten.

Fazit:
Die heutigen Betriebssysteme und die Anwendungen, die mit Diensten im Internet agieren, bieten zu viele Angriffsflächen, die mit heutigen Methoden (Firewalls mit Stateful Inspection, Application Level Firewalls und Gateway, IDS, Maleware und Rootkit Scanner) offenbar nicht mehr hinreichend überwacht und abgesichert werden können. Die großen Konzerne, die heute Dienste im und für das Internet anbieten, lassen aus kommerziellen Gründen kein Interesse erkennen, sichere Kommunikationsverfahren bereitzustellen oder gar die Vertraulichkeit privater Daten zu garantieren.

Gefordert sind deshalb sowohl staatliche Initiativen - auch auf europäischer Ebene - wie auch Initiativen durch Unternehmen, bei denen die Forschung zu neuen Sicherheitstechnologien - u.a. auf der Basis von KI-Algorithmen - systematisch gefördert wird. Wir sollten dabei nicht auf die Entwicklung in anderen Teilen der Welt warten.