Die große Passwort-Sammlung … Wi-Fi Sense unter Win 10

Es ist schon interessant, wie unterschiedlich die im Moment im Entstehen befindliche und am Ende wohl recht umfassende Passwort-Sammlung zu Wi-Fi-Geräten dieser Welt wie auch die zugrunde liegenden "Features" eines seit kurzem auf dem Markt erhältlichen PC-Betriebssystems von Sicherheitsexperten beurteilt werden. Ja, Sie erraten es schon: Es geht um "Wi-Fi Sense" unter MS Windows 10/Windows Phone 8.1.

Siehe hierzu auch

https://grahamcluley.com/2015/08/windows-10-wifi/
http://krebsonsecurity.com/2015/07/windows-10-shares-your-wi-fi-with-contacts/
http://www.silicon.de/41615267/windows-10-sicherheitsexperte-kritisiert-wlan-sharing/
http://www.zdnet.de/88242223/windows-10-wlan-sharing-greift-auf-kontakte-zu/
http://www.spiegel.de/netzwelt/web/microsoft-windows-10-ist-die-neue-wlan-teilen-funktion-sicher-a-1041996.html
http://www.extremetech.com/extreme/209208-windows-10s-new-wifi-sense-shares-your-wifi-password-with-facebook-outlook-and-skype-contacts
http://www.pcgameshardware.de/Windows-10-Software-259581/News/FAQ-zur-WLAN-Passwortfreigabe-1166576/
http://reviews.gizmodo.com/why-the-hell-is-windows-10-sharing-my-wi-fi-passwords-1719900675
http://www.rockpapershotgun.com/2015/07/28/windows-10-wifi-sharing/
http://www.computing.co.uk/ctg/news/2415787/windows-10-wi-fi-sense-security-warning-over-automatically-shared-passwords
https://www.404techsupport.com/2015/06/windows10-network-security-wifisense/
http://www.cnet.com/how-to/how-to-kill-wi-fi-password-sharing-in-windows-10/
http://www.geek.com/microsoft/windows-10-wifi-sense-does-not-share-your-passwords-1630014/
http://money.cnn.com/2015/07/30/technology/windows10-wifi-sense/
http://www.networkworld.com/article/2956393/windows/microsoft-windows-10-wi-fi-sense-an-astoundingly-bad-idea.html
http://arstechnica.com/gadgets/2015/07/wi-fi-sense-in-windows-10-yes-it-shares-your-passkeys-no-you-shouldnt-be-scared/
http://www.pcworld.com/article/2943752/wifi-passwordsharing-feature-in-windows-10-raises-security-concerns.html
https://itauditsecurity.wordpress.com/2015/07/30/no-sense-using-win10-wifi-sense/
http://www.theregister.co.uk/2015/06/30/windows_10_wi_fi_sense/
http://www.langer.ws/2015/07/sicherheit-nein-danke-windows-10-teilt-wlan-passwoerter-mit-der-welt/
http://www.golem.de/news/it-sicherheit-windows-10-kann-wlan-passwoerter-an-kontakte-verteilen-1507-115107-2.html
http://www.net-security.org/secworld.php?id=18584

 
Die Beurteilungen reichen von "Desaster" bis hin zu "nützlich" und "doch nicht so gefährlich, weil man schließlich ja etwas dagegen tun könne". Auch wenn ich selbst nie Win 10 auf einem Desktop oder Laptop einsetzen würde, ist das Thema aus einer generellen IT-Sicherheitsperspektive hochinteressant und fordert zur Meinungsbildung geradezu auf. Dazu möchte ich einige Überlegungen beisteuern.

Zunächst mal sei gesagt: Als Internet-Nutzer vertraut man auch anderen Organisationen und deren technischer Präsenz Passwörter an. Aber da entscheide in der Regel ich selbst im Rahmen von Anmeldevorgängen, ob ich anonym bleiben will und welches Risiko ich damit verbinde. Ferner ist die Information, die ich z.B. in einem Forum hinterlasse, genau in dem Maße begrenzt wie ich bereit bin, sie preiszugeben.

Viel wichtiger ist aber aus meiner Sicht: Ich bin bei vielen Internet- und Cloud-Diensten von Haus aus nicht der Illusion ausgesetzt, dass ich Herr über die eingesetzte Technik und die Sicherheit meiner Daten wäre. Es handelt sich nicht um eigene, persönliche und physikalisch greifbare technische Systeme in meinem Besitz. Geht es um gehostete Computer-Systeme wie Server, machen sich interessierte fachkundige Anwender denn auch sehr wohl intensiv mit den Sicherheitsvorkehrungen des Hosters und meinen eigenen Einflussmöglichkeiten auf die Sicherheit vertraut.

Im Falle von PCs oder Laptops unterliegen viele normale Nutzer jedoch der Ansicht, dass dort gelagerte Daten von ihnen selbst kontrolliert würden. Auch wenn dies im Fall von Closed Source Betriebssystemen im Kern natürlich als kaum beweisbare Annahme anzusehen ist - zumindest für den heute fast obligatorischen Fall, dass das Gerät regelmäßig ans Internet angeschlossen wird. In Wirklichkeit wussten/wissen wir ohne explizite Prüfung des Datenverkehrs unserer Systeme nach außen nie, wie privat welche unserer Daten wirklich noch waren oder sind. Die Admins des Bundestages können ein Lied hiervon singen ..ö. aber da ging es um Hacking von Passwörtern und nicht um das Betriebssystem als Passwort-Schleuder.

MS öffnet mit WI-FI Sense aus meiner Sicht nun die Büchse der Pandora für private Netze, PC-Systeme und deren Sicherheit. WI-FI-Sense ist aus Sicherheitsperspektive nicht nur wegen der Verbreitung von MS Win als kritisch anzusehen - sondern vor allem deshalb, weil wir es im Falle von Win 10 mit einer bereits recht weitgehenden Verschmelzung von Internet und PC-Betriebssystem zu tun haben. Das eröffnet einen unschönen Blick auf noch kommende, künftige Cloud-Entwicklungen.

Ich führe nachfolgend einige Gründe für meine wachsende Besorgnis an.

Passwörter zu WLAN-Access Points oder WLAN-Routern sind sicherheitsrelevant

Offenbar ist diese Binsenweisheit beim Design von Win 10 unter den Tisch gefallen. Deshalb nochmal im Klartext:

Passwörter für WLAN/Wi-FI Access Points und/oder WLAN-Router sind u.U. hoch sicherheitsrelevant - nicht nur für den Zugang zum Internet über Wi-Fi-Geräte, sondern für alle angeschlossenen Systeme im betroffenen Netzwerk (WLAN, aber auch per Router angeschlossene LANs) und seinen Segmenten insgesamt. Ich will das gar nicht im Detail begründen; wäre die Aussage falsch, dann hätte man weder WPA2 noch andere Netzwerksegemente, noch spezielle Firewalls für WLAN-Router erfinden müssen. Auch die vielen Artikel, in denen Heimanwender zum Einsatz von WPA/WPA2 aus guten Gründen gedrängt wurden, wären überflüssig. Zeil der Schutzmaßnahmen im Wi-FI-Zeitalter - wie u.a. eine verschlüsselte Passwortübertragung über Funk - war immer die Verhinderung einer unfreiwilligen Preisgabe von Passwörtern an unbefugte Dritte

Ein ungeschützter WLAN-Zugang eröffnet Angreifern eine Vielzahl von Angriffsvektoren auf dahinter liegende Systeme. Ein kluger Anwender, der die Passphrase für den Netzwerkzugang kennt, kann im betroffenen Netz beliebig viel Schaden anrichten, wenn er die dortigen Computersysteme erstmal auf Netzwerkebene direkt ansprechen kann. Dies gilt im Besonderen und gerade für MS-Systeme. Wer es nicht glaubt, mache sich mal mit Metasploit und den dort verfügbaren Tools vertraut.

Aber auch jemand der gar keine PC-- oder Server-Systeme im Netz angreifen will, sondern "nur" den Internet-Zugang selbst über den WI-FI-Access Point einer Firma oder Privatperson für illegale Zwecke (wie illegale Downloads oder aber das Übermitteln von bösartigen Nachrichten)nutzen will, kann erheblichen Schaden mit enormen rechtlichen Folgen anrichten.

Das sind - wie gesagt - Binsenweisheiten. Sie gelten in jedem Fall für Heimnetzwerke, aber leider auch für viel kleine Firmen, die für echte Sicherheitsvorkehrungen in ihren Mini-Netzen mit MS PCs kaum Zeit und Geld aufwenden können. Deswegen ist die Verwahrung und Nicht-Zugänglichkeit von Passwörtern ein hochsensibles Thema - daheim wie im Beruf. Die Weitergabe von Passwörtern für WLAN-Zugangspunkte und Router ist schon im privaten Bereich eine sehr persönliche Entscheidung und Vertrauenssache - in kleinen Firmen ist sie in jedem Fall sicherheitskritisch.

MS stellt diese Binsenwahrheiten jedoch mit den Standardeinstellungen von Win 10 auf den Kopf:

Wenn einem Betriebssystem für einen PC ( "Private (!) Computer") in der Standardeinstellung nicht einmal mehr Passwörter heilig sind, die den Zugänge zu offenkundig sicherheitskritischen technischen Systemen, welche sich in meinem Besitz und Zugriff befinden, eröffnen, und wenn solche Passwörter in der Standardeinstellung (!) des Systems in die Cloud verlagert und ggf. sogar durch ganze Gruppen von Dritten "geshared" werden, dann fragt man sich, welches Verständnis von Privatsphäre und Sicherheit die Erfinder eines solchen Systems überhaupt haben.

Jedenfalls ist dieses Verständnis nicht vom elementaren Prinzip "privacy by design" für Software und Betriebssysteme geleitet. Der "Standard" ist in Zukunft bei MS offenbar: Share everything with me and also third parties - ich nutze deine privaten Daten (s.u.) und verwalte zudem auch Passwörter für deine technischen Geräte in der Cloud - genauer auf MS-Servern. Zudem sorge ich dafür, dass auch andere diese Passwörter nutzen können, wenn du oder ein Dritter (s.u.) diese Passwörter an andere verteilen wollen. Ich sage dir aber nicht, was genau ich für die Sicherheit deiner Daten tue.

Die Gefahr durch unbedarfte oder böswillige Dritte

Ein entscheidender Punkt der Kritik ist nicht allein der Transfer von sicherheitsrelevanten Passwörtern durch ein Win 10 System über das Internet auf die Server des Betriebssystemherstellers. Hinzu kommt, dass ich selbst dann potentiell betroffen sein kann, wenn ich Win 10 gar nicht benutze:

Es reicht, einem Mitarbeiter/Bekannten, der sich mit einem Win10-Gerät (und möglicherweise sogar Smartphone mit Win 8.1) in Reichweite meines WLANs befindet, die Nutzung meines eigenen WLAN Access Points oder WLAN-Routers zu gestatten und ihm hierzu das Passwort "im Vertrauen" mitzuteilen. Das Passwort findet auch dann seinen Weg in die Cloud und wird ggf. von meinem Bekannten mit anderen geteilt. Auch wenn das Passwort selbst für die Beteiligten nicht direkt sichtbar ist, bleibt doch Fakt: Das Passwort ist von Dritten und Vierten einsetzbar, wenn ich es einmal einem Bekannten, der Win 10 Benutzer ist, für den Zugang zum WLAN gegeben habe. Selbst, wenn der betreffende Bekannte das gar nicht will oder weiß - aber mit der Standardinstallation von Win 10 auf seinem Wi-Fi fähigen Gerät wurde die Sache auf den Weg gebracht. Siehe für die Details die oben angegebenen Artikel, u.a. :
https://grahamcluley.com/2015/08/windows-10-wifi/

Dies bedeutet, dass ich die Kette der Personen, die ggf. ungewollt in den Besitz meines Passwortes gelangen, nicht mehr kontrollieren kann.

So wird dann etwa der Angestellte, der das lokale Firmen-WLAN auch schon mal mit dem privaten Laptop nutzt, weil er ja das Passwort kennt - und weil ggf. der Admin seinen Job bzgl. der Firewall nicht ordentlich gemacht hat - schon mal gewollt oder ungewollt zum Sicherheitsrisiko. Und denjenigen, die meinen, das Problem über MAC-Filter auf ihren Access Points oder WLAN-Routern lösen zu können, sei gesagt: Es gibt kaum etwas, das leichter und schneller zu fälschen ist als eine MAC-Adresse.

Will man sich gegen Wifi-Sense schützen, so muss man lt. MS seine SSID abändern und den Zusatz "_optout" hinzufügen. Ich empfinde das einerseits als Zumutung - wegen eines Upgrades eines PCs muss die Bezeichnung von Netzen geändert werden - wo sind wir denn? Andererseits: Woher weiß ich als Privatanwender oder Admin eigentlich, dass ich mich auf diese Vorgabe von MS dauerhaft verlassen kann?

Glauben statt überprüfbare Sicherheit

Zudem ist ja überhaupt nicht klar, welche Sicherheitsmaßnahmen MS eigentlich genau für den Transfer durchs Internet oder für die Lagerung auf den MS Servern einsetzt und was diese Maßnahmen wert sind.

De facto wird also mit der Standardinstallation von Win 10 "Sicherheit" für den Anwender durch "Glauben" des Anwenders an hinreichende Maßnahmen des Betriebssystem-Herstellers wie auch die Ver- und Bewahrung meiner Daten gegenüber Dritten ersetzt. Bin ich ganz naiv, "glaube" ich dann auch daran, dass meine Daten nicht (kommerziell) verwertet werden.

Die krude Grund-Haltung zur Sicherheit ist bei Win 10 wenigstens konsistent umgesetzt - denn Win 10 überträgt bekanntermaßen ja auch massenweise private Daten zur Nutzung des Systems, IT-Konten jeder Art, Freunden, Adressen, etc. auf eigene Server. Siehe für entsprechende Internet-Links etwa:
http://linux-blog.anracom.com/2015/08/11/win-10-linux-im-namen-der-informationellen-selbstbestimmung/

Insgesamt verfestigt sich beim Lesen aktueller Publikationen der Eindruck, dass MS mit Win 10 zumindest die elementare Regel für sichere SW - nämlich "privacy by design" - nicht nur im Bereich Wifi-Sense ignoriert. Nun gut, MS ist weiß Gott nicht allein, wenn es um die Abschaffung von Privatsphäre über die Cloud geht. Aber durch die Verlagerung und die potentiell einkalkulierte Verbreitung von sicherheitsrelevanten Passwörtern ist hier schon von einer Orwell'schen Umdefinition der Begriffe "Sicherheit" und Privatsphäre" auszugehen, die ich persönlich keinesfalls teilen kann.

Verschmelzung von Betriebssystem und Cloud

MS Win 10 ist ein Betriebssystem, in dem PC und Cloud "erstmalig" eng miteinander verschmolzen werden sollten. Nun ist die "Cloud" ja keineswegs etwas Abstraktes - es handelt sich i.d.R. um Server-Konglomerate, die jemandem gehören und von jemandem verwaltet werden. In unserem Fall von MS.

Das vorliegende Ergebnis der Cloud/Betriebssystem-Verschmelzung verheißt in puncto IT-Sicherheit jedenfalls nichts Gutes für die Zukunft: Wenn MS schon bestimmte Passwörter für technische Geräte, deren Sicherheit für die Netz-Infrastruktur daheim oder in der Firma essentiell sind, auf eigene Server verschiebt, warum sollte ich dann eigentlich daran glauben, dass dies in Zukunft nicht auch mit anderen Passwörtern passiert?

Genauer betrachtet ist das ja sowieso das ultimative Cloud-Ziel: Der Anwender lädt sein "Betriebssystem" in Miniform aus dem Netz auf einen Thin-Client herunter - alle wesentlichen Programme laufen aber auf Servern des Betriebssystem-Providers. Dann liegt die Passwortverwaltung auf den Cloud-Servern zwingend nahe. MS WIN 10 ist ein Schritt in diese Richtung. Voraussetzung für derartig umfassende Cloud-Dienste sollten jedoch immer klare Verträge und ein hinreichender Kenntnisstand des Anwenders sein.

Der Unterschied zur jetzigen Situation ist der:
Bislang glaubten wir, dass Passwörter auf unseren lokalen PCs liegen - und zwar verschlüsselt und für andere nicht nutzbar. Unter Linux kann ich das prüfen - unter MS Win nur partiell. Wir gingen ferner davon aus, dass Dritten die Passwörter nicht zugänglich gemacht werden. Unter Win 10 gilt dies zumindest für wichtige technische Infrastrukturkomponenten schon nicht mehr. Hinzu kommt, dass diese Änderung in der verlockenden Form eines kostenfreien Betriebssystem-Upgrades an den unaufgeklärten Anwender herangetragen wird, der natürlich auf Standardeinstellungen während des Installationsvorgangs vertraut.

Wäre MS WIN vollständig in die Cloud verlagert, so könnte der Benutzer das Risiko des Passwortverlagerns und -sharens mit andern Internetkonten vermutlich besser einschätzen. Im Falle der Verführung zu einem kostenfreien Upgrade seines "Privaten Computers" kann man sich fragen, ob die Masse der Anwender die substanzielle Änderung einer bislang etablierten Sicherheitspolitik bzgl. der Handhabung von Passwörtern überhaupt wahrnehmen.

Der Privatanwender ist meist überfordert

Vielleicht stimmt es ja, das man zumindest im Prinzip etwas gegen den Transfer der sensiblen Wi-FI-Passwörter zu MS Servern tun kann. Viele der oben angegebenen Artikel zeigen ja auf, was man gem. der Angaben von MS (!) dafür tun muss. Es stellt sich einem dennoch die Frage: Wer ist denn im Alltag des privaten Anwenders "man"? Ist "man" denn wirklich zu effektiven Gegenmaßnahmen fähig?

"Man" ist wohl letztlich er - also der Anwender - selber ... Damit wird aber weltweit Privatsphäre und Sicherheit vom Ausbildungsstand und dem (technischen) Wissen der Anwender abhängig gemacht. Meine Erfahrung mit Standard-Windows-Benutzern in meinem Bekanntenkreis ist leider: Die meisten sind bereits mit viel einfacheren Dingen als den Schritten zur Anstellung von Wi-Fi Sense überfordert - und haken in der Regel Systemrückfragen im Rahmen einer Betriebssysteminstallation einfach ab, weil sie die Sicherheitsimplikationen nicht übersehen können oder wollen ...

Gewiss: Große Firmen werden Wifi-Access Points mit zentralen Auth-Verfahren über z.B. 802.1x, EAP und Radius-Servern verbinden und damit zunächst (hoffentlich) vor Wifi-Sense geschützt sein - aber ich kenne haufenweise kleinere Firmen, die mit konventionellen WPA/WPA2 auf WLAN-Routern (z.B. Fritzboxen von AVM) arbeiten. Die sind somit alle potentiell von den neuesten "Segnungen" des Marktführers für Desktop-Systeme betroffen ....

Deswegen ist insgesamt davon auszugehen, dass MS beim Aufbau seiner weltumfassenden Datenbank für Wi-Fi-Passwörter letztlich Erfolg haben wird, zumal alle unsere lieben Freunde, Verwandte und Bekannte ja zur (ungewollten und unbewußten) Verbreitung von Wifi/WLAN-Passwörtern beitragen können - selbst wenn man selbst gar nicht WIN 10 benutzt.

Was haben wir da also eigentlich vor uns?

Die Verbreitung von Win 10 ist aus meiner Perspektive und aus den genannten Gründen mit einer Maschinerie gleichzusetzen, die u.a. dem Aufbau einer der größten Passwort-Datenbanken der Welt auf amerikanischen Servern dient. Hinzu kommen technische Informationen über die WIFI-Ausstattung weltweit. Die Datenübertragung und Verschlüsselung findet zudem über die SW eines Unternehmens statt, von dem einige Experten schon in der Vergangenheit bezweifelt haben, dass Datensicherheit die Top-Leitlinie des technischen und kommerziellen Handelns ist.

Mal abgesehen davon, welche mächtige Position MS selbst durch eine solche Datenbank erhält .... Wir müssen - ganz unabhängig von MS's Sicherheitsvorkehrungen - in jedem Fall mit Fug und Recht annehmen, dass eine solche Datenbank für Passwörter und technische Information zu WI-FI-Netzen und die Übertragungswege zu dieser Datenbank für viele Organisationen - darunter auch verbrecherische - von größtem Interesse sein dürfte. Den finanziellen Wert einer solchen Datenbank kann man gar nicht überschätzen. Sie ist sicher sehr viel mehr wert als ein paar Steuersünder-CDs. Im schlimmsten Fall ist es deshalb wohl nur eine Frage der Zeit, bis irgendein Böser entweder die Wifi-Sense Transfer-SW in Win 10 oder Win Phone 8.1 knackt oder Zugang zu der Wifi-Sense Datenbank selbst erhält.

Was sollte man also als Firma oder kundiger Anwender eines komplexeren Heimnetzes tun?

Als sicherheitsorientierter Admin wird man dafür sorgen, dass man von der ganzen potentiellen Misere möglichst gar nicht betroffen ist. Die eigentlich richtige Konsequenz, nämlich Win 10 in der Home-Version gar nicht erst zum Einsatz zu bringen, stellt sich für viele Admins kleiner Firmen leider von Haus aus nicht.

Netzwerksegmentierung
Aber auch in einer MS dominierten Welt zeigen so elementare Sicherheitsregeln wie die strikte Separation von Netzen/Netzwerksegmenten mit öffentlich zugänglichem Access Point (z.B. für externe Mitarbeiter) einerseits von privaten oder firmeninternen Netzen/Netzwerksegmenten andererseits Wirkung. Diese fundamentale Regel gewinnt mit Win 10 an Bedeutung - und ist technisch angemessen umzusetzen.

Ob einem Admin das aber rechtlich wirklich hilft, wenn etwa ein böser Facebook-Freund eines externen Mitarbeiters oder Freundes in Zukunft den öffentlichen Wifi-Zugang zum Internet einer Firma für illegale Zwecke nutzt, sei mal dahingestellt ....

Passwortwechsel
Eine weitere elementare Regel ist deshalb schlicht das häufige, nicht vorhersehbare Wechseln von Passwörtern zu den zu administrierenden Wireless-Netzen.

MAC-Filter
Zugangsfilter auf MAC-Ebene sind nur begrenzt wirksam und schrecken echte Hacker nicht ab. Aber warum nicht?

Zentralisierte Authentifizierungsverfahren über 802.X1
Ferner sieht es zur Zeit wohl (noch) so aus, dass MS die Finger von Passwörtern zu WIFI/WLAN-Access Punkten oder -Routern lässt, bei denen die Authentifizierung über zentrale Systeme läuft. Für Firmen, die mit Gedanken spielen, Win 10 Clients einzusetzen oder Win 10 Clients Zugang zum WLAN zu geben, kann die technische Devise im Moment wohl nur so lauten:

Weg von direkter WPA2/WPA-Authentifizierung gegenüber dem WIFI/WLAN-Access Point/Router und statt dessen hin zum Einsatz zentraler Authentifizierungsverfahren über IEEE 802.1x, EAP, Radius Server. Etliche WLAN AccessPoints/Router unterstützen schon seit längerem "WPA2 Enterprise", das solche Lösungen ermöglicht. Leider aber z.B. nicht die Produkte des Marktführers in Deutschland für die breite Allgemeinheit - nämlich AVMs Fritzboxen - und dies trotz mehrfacher Aufforderung von besorgten Anwendern. Aber es gibt ja Alternativen für Access-Points auch im preiswerten Consumer-Segment und Sicherheit sollte auch in kleinen Firmen eine überschaubare Investition wert sein ....

Flankiert müssen Vorkehrungen zur zentralen Authentifizierung in WLANs allerdings auch

  • durch umfassende Aufklärung der Win 10 Nutzer,
  • das systematische Abstellen von Wi-Fi-Sense auf Geräten, die wir kontrollieren können
  • sowie durch rigide Policies zur Wi-Fi/WLAN-Nutzung im Unternehmen.

Kein BYOD für WIN 10 Geräte
Ich war noch nie ein Freund von BYOD - aber "Bring your own (!) Win 10 Device or Win 8.1 Mobile Device" ist in einer Firma mit Sicherheitsanspruch sicher keine gute Idee.

Überwachung ausgehenden Datenverkehrs
Und wenn man sich auf Dauer nicht auf die Versicherung von MS verlassen will,dass 802.1X-Netze unangetastet bleiben, wird man wohl nicht darum kommen, ausgehenden Netzwerkverkehr von Win 10-Systemen daraufhin zu kontrollieren. Ich denke, es wird nur einen Frage der Zeit sein, bis entsprechende automatisch verwertbare Muster für den Datentransfer bekannt werden.

Konsequenz für Sicherheitsaudits

Das Feature "Wifi-Sense" von Win 10/Win Phone 8.1 sollte im Risiko-Management von Firmen und in zugehörigen Sicherheits-Audits einen festen Platz bekommen. In Kombination mit der Upgrade-Politik ist das Thema sogar ein idealer Prüfstein dafür, ob das Risiko-Management im Rahmen des Change Managements für das technischen Umfeld hinreichend funktioniert.

Ein paar Links zu 802.1X, EAP, Radius:

 

Sichere Netze ? Was lehrt uns das aktuelle Drama um das Bundestagsnetz ?

Gestern Abend gab es ein Interview auf Phönix mit Jörg Schieb zu der Frage, warum die aktuellen Probleme, die der Angriff auf das Netz des Bundestages ausgelöst hat, nun seit Wochen nicht behoben werden konnten. Eingerahmt war das Interview durch Statements zu Recht besorgter Bundestagsabgeordneter und ebenso besorgter Nachrichtenmoderatoren. Beunruhigend war ferner die in den Medien kolportierte Ansicht des BSI, das Bundestagsnetz sei nicht mehr zu verteidigen und müsse deshalb in großen Teilen neu aufgebaut werden.

Das Interview selbst brachte keine neuen Erkenntnisse, da Herr Schieb nicht über Details des Angriffs informiert war. Interessant waren allerdings Statements, die sinngemäß etwa so lauteten: "Dass überhaupt auch nur ein Trojaner in das Netz gelangen konnte, sei mehr als besorgniserregend". Oder: "Man könne bei speziell entwickelten Trojanern, die sich tief in die Computern eines Netzes einnisten, in keinem Handbuch nachschlagen, wie man da vorzugehen habe. Schon das Eindringen hätte deshalb verhindert werden müssen".

Welche Haltung des Experten liegt diesen Aussagen zugrunde? Welche Realität steht dem eventuell entgegen?

Die grundlegende Einstellung ist wohl die, es gäbe heute noch grundsätzlich die Möglichkeit, die Sicherheit von IT-Netzen (allein?) dadurch zu bewahren, dass man unautorisierte Zugänge von außen bzw. das Eindringen von Malware in ein Netzwerk, das mit dem Internet verbunden ist, abwehrt und verhindert. Das zugehörige Bild ist das eines abgeschirmten Raumes mit einer Grenze:

Innen ist der von uns kontrollierte Raum - da ist alles sicher; außen ist das Böse, dazwischen eine hohe, unüberwindliche Mauer. Folgt man diesem Bild, so müsste man Sicherheitsanstrengungen folgerichtig vor allem auf die "Mauer" konzentrieren. Dass sich sichere Netze bei einer hinreichenden Abgrenzung gegenüber dem Internet überhaupt noch realisieren lassen, wird in einem solchen Ansatz nicht in Frage gestellt. Es schwingt auch die Ansicht mit, dass man eingeschleuste Schad-Software im Nachhinein noch über Signaturen erkennen und entfernen könne - auch wenn das immer schwieriger werde.

Eine ähnliche Einstellung im Kleinen haben übrigens auch PC-Anwender, die meinen, durch Einsatz einer kombinierten PC-Firewall und Virenscanner-Software könne die Sicherheit der Datenhaltung und -verarbeitung auf einem PC gewährleistet werden. Und synchronisieren den PC gleichzeitig mit ungeschützten Handys, lassen die Öffnung permanenter Verbindungen zu Internet-Providern zu, skypen, etc. ....

Ich habe nun einige Netze in meinem Leben gesehen und auch die Entwicklung der letzten Jahre relativ aufmerksam mit verfolgt. Mein Fazit ist:

Die Vorstellung eines sicheren internen Netzes, das durch eine gut bewachte Mauer (aus Firewalls, Proxies) vom Internet abgegrenzt würde, kann nicht das alleinige, ultimative Leitbild für Sicherheitsvorkehrungen bleiben. Die Idee eines abgeschotteten Netzes erweist sich in der heutigen Praxis eher als Illusion.

Das Infragestellen (konventionell) geschützter Netze hört sich vielleicht provokativ, ketzerisch und nach Kapitulation an. Aber was ich meine, ist Folgendes:

Wir müssen viel mehr Energie in neue Verfahren zur Überwachung der Zustände von IT-Systemen (Client-Systeme, Server-Systeme, Netzwerkzustände) investieren als bisher üblich. Es genügt einfach nicht mehr, Mauern mit möglichst wenigen Löchern aufzubauen und die Systeme im Netz nach Kennzeichen von Schad-Software zu scannen. Wir benötigen vielmehr KI-Verfahren zur System- und Netzwerkanalyse und zur Unterscheidung normaler, legaler System- und Netzwerkzustände von anormalen und potentiell sicherheitsgefährdenden Systemzuständen.

Neben die bisherige Leitfrage "Wie schotte ich mein Netz gegen potentielle Eindringlinge ab?" muss die noch wichtigere Frage treten "Wie erkenne ich durch systematische (!) Analysen, dass in meinem Netz etwas nicht stimmt und der Eindringling ggf. bereits da ist?"

Denn die Angriffe auf den Bundestag, die Personalverwaltung der amerikanischen Regierung oder auch auf das Kaspersky Netz zeigen, dass das Kernproblem für die Sicherheit von Computernetzen nicht nur darin besteht, dass offenbar auch hohe Barrieren systematisch überwunden werden können, sondern dass erfolgreiche Angriffe viel zu spät und z.T. eher durch Zufall als durch systematische Analyse entdeckt werden. Schad-Software und Trojaner, die sich über Monate hinweg langsam und systematisch zusammenbauen, sind halt ein ganz anderes Kaliber als ein Wald- und Wiesen-Virus, der eine eindeutige Signatur über Files oder Dateiinhalte aufweist.

Angesichts der eher avancierten Angriffsmethoden, die in der letzten Zeit bekannt wurden, muss man sich als Admin durchaus mit dem Gedanken auseinandersetzen, dass der Abwehrkampf an der Firewall durch Analyse der eingehenden und ausgehenden Datenströme nicht zu hundert Prozent erfolgreich sein wird. Nicht nur Regierungsorganisationen, sondern auch Wirtschaftsunternehmen und dabei vor allem Unternehmen, die für Kerninfrastrukturen verantwortlich sind, sollten endlich wahrnehmen, wie groß das Gefahrenpotential heute wirklich ist, wenn ein Angreifer genügend Kapital investiert.

Das aktuelle Problem, dass sich angesichts bestimmter Angriffssmethoden ergibt, lautet: "Wie erkenne ich schnellstmöglich einen erfolgreich durchgeführten Angriff?". Erfolgreich heißt dabei: einen Angriff, der die Brandmauern und Abschottungssysteme bereits überwunden hat.

Administratoren müssen das Bild eines Abwehrkampfes an einer Frontlinie aus meiner Sicht ergänzen durch die systematische Analyse des eigenen Territoriums hinsichtlich aller auftretender Unregelmäßigkeiten. Das, was in der ISO 27001 im Bereich der systematischen Event-Analyse gefordert wird, muss heute viel rigoroser interpretiert werden:

Wir benötigen eine tiefgreifende Überwachung aller Systemzustände und Systemaktionen auf Unregelmäßigkeiten - und nicht nur eine Überwachung von Datenströmen, die sich von außen und innen über Netzwerkgrenzen bewegen, oder das Scannen der Systemdateien auf bekannte Fingerabdrücke von Malware. Wobei leider auch viele erfahrene Admins gerade bei der Analyse ausgehender Verbindungen schludern.

Hinsichtlich der aktuellen Chancen zur Erkennung gezielter Angriffe von ungebetenen Eindringlingen mit bisherigen konventionellen Scan-Maßnahmen greife ich mal auf die Aussage eines BND-Mitarbeiters auf einer Veranstaltung in München für Unternehmen zu Wirtschaftsspionage zurück: Der BND-Vertreter wertete den systematischen Rückgang von (erkannten) Angriffen auf sensible Netze selbstkritisch keineswegs als Erfolg von Abwehrmaßnamen; er stellte vielmehr die Frage, ob die Angreifer nicht in Wirklichkeit bereits da seien und nur nicht erkannt würden. Das war im Jahr 2013.

Heuristische Verfahren zur Überwachung von Betriebsystem- und Softwarezuständen und besser noch künstliche Intelligenz zur Erkennung unkonventioneller und damit potentiell gefährlicher Zustandsmuster müssen daher aus meiner Sicht in Zukunft "dumme" Scans nach Fingerabdrücken von Malware ergänzen. Die aktive Analyse selbst eingeleiteter Verbindungen und zugehöriger Datenströme aus dem eigenen Netz heraus nach außen muss dabei flankierend in Browsern und Multimedia- wie Kommunikations-Software entscheidend verbessert werden.

Ich meine also nicht, dass man die heutigen Maßnahmen zum Schutz eines Netzes und zur Überwachung des Datenverkehrs zwischen dem Netz und dem Internet aufgeben sollte. Ganz im Gegenteil - aber Sicherheit kann bei dem Umfang der heute betriebenen Ankopplung von Netzwerken an das Internet nicht mehr allein durch Firewalls, Application Level Gateways und Virenscanner gewährleistet werden. IDS-Systeme müssen sehr viel mehr Intelligenz bekommen, um Unregelmäßigkeiten in Systemzuständen insbesondere von internen wie externen Netzwerk-Clients feststellen zu können.

Nochmal ein paar Sätze zum "Warum?". Aus meiner Sicht sind die eigentlichen Schwachpunkte die heutigen Clients und die Begehrlichkeiten der Anwender bzgl. der Nutzung von Internet-Diensten:

Effektive Angriffsvektoren sind heute darauf ausgelegt, Aktionen durchzuführen, die aus Sicht von Firewalls und anderer Überwachungssoftware als legitim erscheinen. Exploits von Betriebssystemen, Server- und Anwendungs-Software liefern hierfür nur eine Grundlage; relevant ist in vielen Fällen aber das Ausnutzen primär legitimer Verbindungsversuche aus dem Inneren eines Netzes nach außen.

Beispiele:

Jemand erhält die Adresse einer Web-Site über eine Mail. Er klickt aus berechtigtem Interesse darauf, wird - ohne es zu merken - umgelenkt und landet auf einer Seite, die nur scheinbar dem eigentlichen Ziel entspricht. Er führt dann in gutem Glauben Schritte durch, die wiederum auf legitimem Wege zum Abtransport von sicherheitsrelevanter Information führt. (Interessanterweise berichtet die Presse ja darüber, dass dem Angriff auf das Netzwerk des Bundestages letztlich ein Link in einer empfangenen Mail zugrunde lag).

Ein anderes Beispiel stellt Multimedia- bzw. Streaming-Software vom Typus "Skype" dar: Sie öffnen einen oder mehrere Multimediakanäle per UDP Protokoll; danach können Angreifer über das von Skype initiiertem "Firewall Hole Punching" von außen Verbindungen zum Skype Client aufbauen, ohne dass eine Standard-Firewall dies verhindern würde. (Ursache ist hier eine inhärente Schwachstelle des verbindungslosen UDP-Protokolls, das die Sequenz von Paketen nicht prüft.) Kombinieren Sie dieses Verhalten mit dem vorhergehenden Herunterladen einer manipulierten Skype-Version über eine gefälschte und umgelenkte Website. Dann haben Sie bereits ein schönes Rezept für ein Sicherheits-Desaster. (Mal abgesehen davon, dass sich die Frage stellt, wieso man eigentlich dem originalen Skype eigentlich trauen sollte - einer Software, in die das Bohren von Löchern in Firewalls als essentieller Bestandteil integriert wurde).

Aber was sind die Entwicklungen in der IT? In welchem Sinne laufen die einer Sicherheit von Netzwerken entgegen?

In den letzten Jahren ist auf fast allen Ebenen von PC-Client-Systemen und mobilen Systemen extrem viel dafür getan worden, um dem Anwender Kommunikation aller Art mit Internet-Diensten über das Internet mit anderen Systemen und Netzen zu erleichtern. Ursache ist natürlich die zunehmende Tendenz, permanent mit dem Internet und anderen Netzen verbunden sein zu wollen. Diese Entwicklung ging leider mit einer systematischen Elimination oder Umgehung von Sicherheitsmechanismen einher. Ein Beispiel hierfür liefert Android. Aber auch Software wie Filezilla, die Passwörter im Klartext speichern, passen in diese Entwicklung. Auch die Erodierung der Abschottung von Javascript-Aktionen eines Browsers bzgl. des Zugriffs auf das Dateihaltungsystems eines PCs liefert ein Negativ-Beispiel. Von den Möglichkeiten, die ActiveX unter Windows im Zusammenhang mit Browser-Aktivitäten anbietet, ganz zu schweigen. Der (private und kommerzielle) Nutzen der vielen neuen Kommunikationsmöglichkeiten wurden systematisch höher bewertet als Sicherheitsrisiken.

Hinzu kommt, dass sowohl Betriebssysteme als auch Anwendungssoftware (ohne Kontrolle durch den Standard-Anwender) regelmäßig eine erhebliche Anzahl von Verbindungen zu Servern im Internet aufnehmen. Betriebssysteme einer bestimmten Coleur updaten sich selbst, ohne dass der normale Anwender darüber die Kontrolle hätte. Ursache ist die Vorstellung der Hersteller, dass eine kostensparende, kontinuierliche Wartung der immer komplexeren Software - die sich quasi laufend im Beta-Stadium befindet - nur noch automatisiert und zentralisiert über das Internet möglich sei. Eine entsprechende Ausbildung der Anwender hat man wohl aufgegeben. Der Anwender der marktführenden Betriebssysteme soll sich mit der Wartung seiner Systemumgebung nicht mehr auseinandersetzen. Umgekehrt sollen Datentransfers zu Service-Providern quasi im Hintergrund stattfinden - der User muss ja nicht wissen, was man alles an Daten über ihn wohin transferiert - es genügt seine pauschale Zustimmung zum Datentransfer bei der (fast zwangsweisen) Eröffnung eines Kontos bei einem Provider.

Das Spektrum unkontrollierter Verbindungen reicht also von automatischen System- und SW-Updates, über die automatische Übermittlung von Zuständen eines Browsers oder von Anwendungs-Software bis hin zum vom Nutzer gewünschten laufenden und automatischen Abgleich privater Daten mit Mailsystemen, App-Servern, sozialen Medien und den Konten, die man sonst so bei den großen Providern im Internet eingerichtet hat.

Ich erinnere mich noch gut an den Schock, den ein Bekannter mal erlebte, als ich ihm mal visualisierte, was sein Handy so alles treibt. Zu welchen Servern Dienste wie LinkedIN ungefragt Verbindungen aufbauen. Sehr spannend auch, was z.B. Windows-Sicherheits-Software wie etwa die Internet-Security-Software von Kaspersky an Verbindungen zu weltweiten Knotenpunkten dieses Sicherheitsunternehmens aufbaut. Soll man daraus schließen, dass Sicherheit heute zwangsläufig mit einem gewissen Grad an laufender Überwachung verbunden sein muss? Weil immer mehr heuristische Verfahren zum Einsatz kommen müssen, die die Sicherheitsfirmen nicht mehr allein lokal auf dem genutzten Gerät (PC/Smartphone etc.) zur Verfügung stellen können?

Aus der permanenten Internet-Konnektivität resultierende Sicherheitsfragen wurden im Zuge der rasanten Entwicklung der letzten 10 Jahre typischerweise immer erst im Nachhinein aufgegriffen oder wurden zugunsten von Kosteneinsparungen ignoriert. Der Vorfall im Bundestagsnetz ist aus meiner Sicht nur ein Symptom dieser leider unreflektierten Marktdynamik.

Nicht nur Privatpersonen sondern auch Unternehmen verlagern fast alles in Clouds. Software wird nicht zuletzt aufgrund einer kombinierten Lizenz- und Kontrollpolitik der Hersteller nicht mehr lokal betrieben sondern über das Internet. Ursache ist die zunehmende Vermarktung und Kontrolle aller Daten, die man nebenbei zu den Anwendern sammeln kann. Statt vorsichtig im Umgang mit seinen privaten elektronischen Daten zu sein, wurde eine ganze Generation von angeblichen "Digital Natives" dazu verführt, sich in jeder Hinsicht in sozialen Medien zu engagieren - in einem Ausmaß und mit einem Zeitaufwand, über den man sich nur wundern kann.

Der Erfolg von Android wurde explizit mit dem Entfernen von Sicherheitssperren im Linux-System erkauft. Bei anderen Mobile-Systemen sieht es aber nicht viel besser aus. Anwender in Firmen, Verwaltung etc. nutzen dennoch zunehmend mobile Geräte (BYOD lässt grüßen), um über das Internet (!) wie selbstverständlich auf Server im Firmen- oder Verwaltungsnetzwerk zuzugreifen. Office-Software, Mail-Systeme, Browser-Funktionalität, Multimedia-fähige Anwendungs- und Kommunikations-Software sind zu solchen Zwecken immer weiter miteinander verzahnt worden - im Besonderen wieder in den marktführenden Betriebssystemen.

PCs und mobile Clients, die nicht laufend mit dem Internet verbunden sind, sind aufgrund all dieser Entwicklungen für den praktischen Einsatz im heutigen digitalen Alltagslebens weitgehend untauglich. Das kann man mit Fug und Recht als zunehmende Tendenz konstatieren. Eine resultierende Konsequenz ist, dass Administratoren heute relativ viele Löcher in Firewalls reißen müssen. Ferner wird die Überwachung der Datenströme auf illegitime Inhalte (im besonderen im Multimediabereich) immer schwieriger. Das Beispiel Skype zeigt dabei übrigens, dass man die in die Jahre gekommenen Datenübertragungsprotokolle für das heutige Internet unter Berücksichtigung von Sicherheitsaspekten eigentlich komplett neu erfinden müsste.

Bei der Analyse sicherheitsrelevanter Szenarien fällt mir zudem regelmäßig auf, wie sehr die Gefahr, die von ausgehenden Verbindungen ausgehen kann, systematisch unterschätzt wird. Ein klassisches und triviales Beispiel liefert etwa ein Verwaltungsnetz, das kaum segmentiert ist, aber sensible Daten enthält. Erlaubt man in einem solchen Netz den Anwendern ausgehende HTTPS-Verbindungen zum Beispiel zu Mail-Providern, so hat man sich ein zweischneidiges Schwert geschaffen. Ein böswilliger Mitarbeiter kann über solche Verbindungen dann verschlüsselt sensible Daten systematisch nach außen auf eigene Server transferieren. Das Erkennen und der nachträgliche Nachweis solcher illegaler Aktionen wird dann gerade wegen der Verschlüsselung extrem erschwert. Wie das Beispiel Skype zeigt, können legale UDP-Verbindungen nach außen zudem ungewollt und für den Standardanwender nicht nachvollziehbar Löcher in Firewalls reißen. In sicherheitsrelevanten Netzen müsste man deshalb eigentlich den Code aller UDP-basierten Multimedia-Software darauf überprüfen, was diese Software mit eingehenden Paketen macht. Das ist in der Praxis kaum durchzuhalten.

Was für eine Entwicklung müssen wir also feststellen? Für die marktführenden Betriebssysteme und für zugehörige internetfähige Anwendungs-Software existieren faktisch Hunderte von Exploits. Eine extrem zunehmende Anzahl an Client-Systemen hängt dauerhaft im Internet; diese Clients sind damit automatisch exponiert. Dieselben (mobilen) Client-Systeme interagieren über das Internet mit Servern unserer Firmen- und Verwaltungsnetze. Kein Wunder, dass Internet-Kriminalität extrem zunimmt und leider immer "erfolgreicher" wird.

Nun lautet eine der Standardantworten: Stimmt, aber man könne ja verschlüsseln, VPNs aufbauen, etc. .... Ja. Man kann verschlüsseln - und mit hoffentlich immer noch wirksamer starker Kryptographie. Was nützen aber z.B. eine Authentifizierung an einem SFTP-Server über asymmetrische Schlüssel und anschließende Datentransfers über eine HTTPS-Verbindung, wenn ich das Ganze auf einem (gehackten) Windows-System mit Filezilla durchführe, Filezilla keinen Passwortschutz der Schlüssel zulässt und Passwörter für FTP-Server mit normaler Authentifizierung im Klartext abspeichert? Was nützt der Transfer stark verschlüsselter Mails, wenn der PC gehackt ist und die Kryptographie-Schlüssel entwendet werden oder Passwörter über Keylogger mitgelesen werden?

Kein intelligenter Angreifer würde versuchen, stark verschlüsselte Datenströme zu dechiffrieren. Vorher würde man alles daran setzen, über andere Schwachstellen Zugang zu dem PC zu erlangen, der kryptiert, und damit Zugang zu den Schlüsseln und evtl. zugehörigen Passwörtern. Das gilt für Kriminelle wie ausländische Geheimdienste oder Wirtschaftsspione.

Die Idee sicherer Betriebssysteme kann man angesichts der Exploits für die marktführenden Systeme mehr oder weniger aufgeben. Im Ergebnis haben wir also unsichere Betriebsysteme und mobile Netzwerk-Clients,

  • die einerseits permanente Verbindungen aus dem Netzwerk ins Internet aufnehmen oder aufrechterhalten und dabei zunehmend Löcher in lokale oder Firmen-Firewalls reißen,
  • die andererseits aber auch von außen über das Internet auf Server in privaten Netzen, in Firmen- und in Verwaltungsnetzen zugreifen.

Es gibt also vielfach keine abgeschotteten Netze mehr. Nun könnte man über Segmentierung besser gesicherte Netzbereiche in Unternehmen und der Verwaltung schaffen. Erfolgt dann aber der Zugriff über dieselben unsicheren Clients, so hilft auch dies nicht viel. Was ist also erforderlich?

Es sind Clients erforderlich, die in unterschiedlichen und streng getrennten Modi betrieben werden können, wobei die Software und Daten dieser Modi vollständig gegeneinander abgeschottet werden müssen. Nur im abgesicherten Modus darf die Verbindung zu Netzen, die geschützt werden müssen, überhaupt aufgebaut werden. Bestimmte Typen ausgehender Verbindungen von Clients, die in aus sicherheitsrelevanten Netzwerken heraus agieren oder mit solchen kommunizieren, müssen unterbunden werden. Closed Source Kommunikations-Software - sprich Software, die man hinsichtlich ihres Umgangs mit einlaufenden Datenpaketen nicht analysiert werden kann - gehört nicht auf sicherheitsrelevante Clients.

Netzwerke müssen ferner in erheblich stärkerem Ausmaß segmentiert werden als bisher. Der Umgang mit starker Verschlüsselungssoftware muss systematisch geschult und erleichtert werden. In Firmen wie in der Verwaltung wie im Privatleben. Über den Aufbau von ISM-Prozessen und gelebtes Risiko-Management im Unternehmen will ich hier gar nicht reden.

Was aber eigentlich Not tut und wo auch der Staat systematisch Geld in Forschung investieren muss:

Wir brauchen dringend tragfähige Ideen, wie man Sicherheit in Netzen gewährleisten kann, die eben nicht mehr abgeschottet betrieben werden können. Wir brauchen Sicherheitstechnologie, die die Abschottung von Netzen nicht zwingend voraussetzt. Das von Herrn Schieb suggerierte Bild eines Netzes, das sich durch eine Mauer abgrenzen und gegen Schad-Software wie illegitime Zugriffe absichern lasse, hat seine Gültigkeit zwar noch nicht vollständig verloren - wir befinden uns aber in einer Übergangszeit, in der kluge Köpfe Sicherheit in einer total vernetzten Welt auf andere Paradigmen aufbauen müssen.

Der aktuelle Zustand des Bundestagsnetzes ist deshalb so besorgniserregend, weil es ein Beispiel dafür ist, dass Sicherheit offenbar selbst für ein relativ gut überwachtes Netz mit den heutigen Mitteln nicht mehr garantiert werden kann. Jeder Unternehmer sollte sich angesichts dieses Desasters fragen, aus welchen Gründen seine Unternehmensnetze eigentlich sicherer sein sollten.

Fazit:
Die heutigen Betriebssysteme und die Anwendungen, die mit Diensten im Internet agieren, bieten zu viele Angriffsflächen, die mit heutigen Methoden (Firewalls mit Stateful Inspection, Application Level Firewalls und Gateway, IDS, Maleware und Rootkit Scanner) offenbar nicht mehr hinreichend überwacht und abgesichert werden können. Die großen Konzerne, die heute Dienste im und für das Internet anbieten, lassen aus kommerziellen Gründen kein Interesse erkennen, sichere Kommunikationsverfahren bereitzustellen oder gar die Vertraulichkeit privater Daten zu garantieren.

Gefordert sind deshalb sowohl staatliche Initiativen - auch auf europäischer Ebene - wie auch Initiativen durch Unternehmen, bei denen die Forschung zu neuen Sicherheitstechnologien - u.a. auf der Basis von KI-Algorithmen - systematisch gefördert wird. Wir sollten dabei nicht auf die Entwicklung in anderen Teilen der Welt warten.