Informationssicherheit

Der Erfolg der Aktivitäten der Sicherheitsbeauftragten und der umgesetzten Sicherheits-Policy ist ein nicht eingetretenes Ereignis. Das macht es auch so schwierig, den betriebenen Aufwand zu werten. Daher ist eine grundsätzliche Akzeptanz für die Umsetzung von Sicherheitsmaßnahmen notwendig, damit nicht einerseits gegen Angriffe von außen und andererseits gegen innere Hindernisse angegangen werden muß. Sich erst Gedanken zu machen wenn bereits Schaden entstanden ist, ist die falsche Strategie.

Anhand eines Risikoberichtes lassen sich Aufwand und Nutzen gegeneinander abwiegen und daraus ergeben sich die notwendigen Schritte zur Umsetzung eines seriösen Sicherheitsprozesses. Ein Risiko-Managment verwendet man, um die Gefahrenstellen zu isolieren und um die notwendigen Maßnahmen für den Fall eines erfolgreichen Angriffs festzulegen (Maßnahmenkatalog). Das Sicherheitskonzept basiert auf einem systematischen Prozess, der Risiken identifiziert, analysiert, kontrolliert und kommuniziert.

Eine moderne Risikoanalyse setzt sich also aus folgenden Schritten zusammen, die zyklisch immer wieder durchzuführen sind:

  • Systeminventur
  • Verwundbarkeits- und Gefahrenbewertung
  • Kontrollmechanismen
  • Entscheidung
  • Kommunikation und Monitoring

Dies alles ist natürlich sehr arbeitsintensiv, insbesondere bei der erstmaligen Einführung aber auch die ständige Systeminventur und das Monitoring sowie das Nahebringen der Sicherheitsvorkehrungen zu dem Mitarbeitern ist sehr aufwendig.

Vor dem Einsatz bestimmter Techniken sind natürlich genaue Sicherheitsregeln für ein sicheres Netzwerk und Richtlinien für die Mitarbeiter zu erstellen. Diese legen die Verwendung der eingesetzen Tools sowie der Verantwortlichkeiten und der Handlungsabläufe fest. Die Rollen der beteiligten Personen müssen dabei klar und eindeutig definiert sein.


Warum ist mein Rechner für Angreifer interessant?

Dafür gibt es eine ganze Reihe von Gründen:

  • Geltungsdrang
  • (Zer-)Störungswille
  • Machtausübung
  • Wirtschaftliche Interessen (Cyber-Kriminalität)

In der Anhangsphase war das Hacken eine Art Sport, bei dem Experten ihre Fähigkeiten unter Beweis stellen wollten. In Phase II steckten oft Script-Kiddies dahinter, die meist gar nicht wußten, was sie anrichten - inzwischen ist es die Spielwiese der organisierten Kriminalität:
Dabei geht es i. Allg. weniger darum, Daten von einem privaten Rechner zu entwenden, als vielmehr Zugriff auf den Rechner zu haben, im schlimmsten Fall darum, diesen in ein „Botnet“ zu integrieren, wofür eigene „Forschungszentren“ betrieben werden, die Angriffe schon vor dem Tag 0 (Zero Day) ermöglichen sollen.

Mit dem Finden solcher Sicherheitslücken läßt sich inzwischen viel Geld verdienen: sowohl staatliche Stellen, als auch Malware-Hersteller, Anti-Viren-Software-Erzeuger und auch die Hersteller der Software selbst zahlen dafür!

Was ist ein „Botnet“?

Ein „Botnet“ ist ein Netz von fernsteuerbaren PC-Robotern, das z. B. für eine DDoS-Attacke (verteilter Angriff um einen Dienst zu stören), das Versenden von Spam oder das Knacken von Kennwörtern verwendet werden kann, wobei diese „Dienste“ dann im Internet gegen Gebühr auch gemietet werden können.
Mit der Erpressung von großen Dienstleistern im Internet (Banken, Suchmaschinen, Wettbüros, …) werden inzwischen viele Millionen pro Monat „verdient“.

Wie entsteht ein „Botnet“?

Ein Botnet entsteht z. B. durch das Infizieren von vielen Rechnern mit einem Wurm, der dann Hintertüren für den Fernzugriff öffnet, Beispiel: Agobot

So hat z. B. der erst 20-jährige J. J. Ancheta aus Kalifornien 2005 knapp eine halbe Million PCs unter Ausnutzung einer Windows-Sicherheitslücke zu einem „Zombie-Netzwerk“ verbunden.

top

Mal- oder Badware (Schadcode)

Als sei es nicht genug, daß IKT-Systeme durch Fehlbedienungen, Stromausfälle, Netzwerkstörungen, Hardware- und Softwaredefekte bedroht sind, gibt es auch noch Störenfriede, die es sich zur Aufgabe gemacht haben, Malware zu produzieren um uns das Leben noch schwerer zu machen.
Waren das früher Personen, die entweder sich selbst oder anderen beweisen wollten, was sie können, stehen nun schon sehr oft handfeste finanzielle Aspekte im Hintergrund.

Als Malware bezeichnet man im Internet allgemein Programme, die Schaden (in welcher Form auch immer) anrichten können, die aktuellen Bedrohungen ändern sich dabei laufend.

Dabei werden verschiedene Formen unterschieden:

Viren

Unter Viren versteht man Programme, die über Wirtsprogramme verbreitet werden und sich beim Ausführen dieser Programme in andere Programme hineinkopieren (diese somit auch infizieren) - die Verbreitung „baut allein auf die Idiotie der Computerbenutzer“ [Weltwoche, 12/04].
„Wer im Netz ohne Virenschutz unterwegs ist, gefährdet andere Nutzer in etwa so, wie ein Autofahrer, der mit kaputten Bremsen unterwegs ist und so andere fahrlässig gefährdet.“ (Sven Karge, Verband der deutschen Internetwirtschaft [heise.de, 8.12.2009]).
Neue Viren kommen inzwischen kaum noch vor, „Anti-Viren-Programme“ schützen aber auch gegen andere Malware und sollten daher weiter unbedingt eingesetzt werden.

Hauptverbreitung: E-Mails (Outlook!).
Schutz: Antivirensoftware.

Würmer

Würmer brauchen kein Wirtsprogramm, sondern sind eigenständige Programme, die sich auch selbst verbreiten. Wurden sie früher ebenfalls hauptsächlich per E-Mail verbreitet (und erst nach Anklicken aktiv), so verbreiten sie sich inzwischen hauptsächlich selbst über das Netzwerk und Betriebssystemslöcher (Vulnerabilities, offene Ports mit Sicherheitslücken), sie versenden sich selbst aber auch noch immer auch per E-Mail.
Sie richten häufig keinen direkten Schaden am befallenen Rechner an und fallen daher dem Benutzer kaum auf, belasten aber durch ihre massive Verbreitung das Netzwerk und/oder greifen dabei auch Server an, die dann durch die Überlastung versagen - Denial of Service (DoS)
Sie „leben“ also von den Löchern im Betriebssystem (oder anderen Programmen) und davon, daß die Benutzer zu faul (oder unwissend) sind um diese (oft bekannten) Löcher mit Updates (Patches) zu stopfen.

Hauptverbreitung: E-Mail, Vulnerabilities in Windows.
Schutz: Firewall bzw. Betriebssystem- oder Softwarepatch.

Das Neuinstallieren des Systems ohne Einspielen der aktuellen Patches hilft überhaupt nicht gegen Würmer, die Betriebssystemlöcher oder Löcher eines installierten Dienstes ausnutzen!
Sie müssen das System vom Datennetz trennen, mit CD oder DVD neu aufsetzen, die Sicherheitsupdates für alle installierten Dienste einspielen und erst dann dürfen Sie das System wieder ans Netz hängen!
Antivirenprogramme erkennen Würmer auch nicht unbedingt, vor allem verhindern sie das Eindringen nicht!

Trojaner

Trojaner sind oft verborgene und unerwünschte Zusatzfunktionen in an und für sich sinnvollen Programmen, so kann sich in einen IRC-Client z. B. ein Keylogger verstecken, ein Programm, das jeden Tastendruck registriert (also auch Kennworteingabe etc.) und an eine beliebige E-Mail-Adresse weiterleitet oder es wird ein Backdoor (ein neuer „Dienst“, über den unbefugte Personen Zugriff auf den Rechner erhalten) installiert.
Zu dieser Gruppe zählen u. a. „Greyware“ (Spyware wie Keylogger oder Adware, die unerwünschte Werbung einblendet), aber auch die besonders gefährlichen (da schwer aufzufindenden) Rootkits (für die z. B. Windows mittels ADS nun die optimale Strategie zum Verbergen schon mitliefert).

Hauptverbreitung: Wird oft von Viren/Würmern mitinstalliert, kann aber auch mit (Gratis-)Software unwissentlich mitinstalliert werden.
Schutz: Schutz gegen Viren und Würmer, keine Installation von Software, die man nicht kennt, Download von Software nur von den offiziellen Download-Servern.

Würmer und Trojaner können auch dazu dienen sogenannte BotNets aufzubauen.

In vielen Internetcafés sind Keylogger und Spyware installiert, daher raten wir dazu, sich dort (und auf allen Rechnern, die Sie nicht kennen) nicht mit Benutzername und Kennwort sondern mit Handy-Signatur (mobiler BKU) anzumelden.

In OWA können Sie sich direkt per Handy-Signatur anmelden, für Webmail (Studierende und Institutsserver) melden Sie sich in TUGRAZonline per „Mobiler BKU“ an (Hier an/abmelden → Anmeldung - Single Sign-On Shibboleth → Mobile BKU) und verwenden dann den Link „SBOX-Webmail“ iin Ihrer Visitenkarte um sich mit dem Webmail-Server der TU Graz zu verbinden, eine Eingabe von TUGRAZonline-Benutzername und -Kennwort ist dann nicht mehr erforderlich!

Sollten Sie sich auf einem Rechner, den Sie nicht kennen (z. B. in einem Internetcafé) mit Usernamen und Kennwort angemeldet haben, ändern Sie bitte das Kennwort in TUGRAZonline so schnell wie möglich auf einem vertrauenswürdigen Rechner (oder z. B. über Ihr Mobiltelefon).

Spam

Unter Spam versteht man i. Allg. Massen-E-Mails, die nicht erwünscht sind.
Sie richten zwar keinen Schaden an der Software des „befallenen“ Systems an, verbrauchen aber Resourcen (Arbeitszeit beim Lesen und/oder Löschen, Administrationsaufwand am E-Mail-Server), blockieren u. U. die Mailbox oder legen bei extremen Auftreten den E-Mail-Server lahm.
Solange nur ein Promille-Anteil von „Kunden“ die Links in den E-Mails kommerzieller Spammer anklickt und andererseits das Versenden von E-Mails gratis ist, werden die Spammer ihren Müll weiter verbreiten.

Hauptverbreitung: Absichtliches Versenden an zuvor gekaufte/gesammelte E-Mail-Adressen, Versendung durch Viren und/oder Würmer.
Schutz: Zentrale Filter auf den E-Mail-Servern (definiert über Webmail), lokale (lernfähige) E-Mail-Filter im E-Mail-Client.

Phishing

Unter Phishing (ein Kunstwort aus den Teilen password harvesting und fishing) bezeichnet man den Versuch (durch manchmal geschickte Täuschung) Internetbenutzer dazu zu verleiten, Accountdaten auf einer gefälschten Webseite (oder per E-Mail) bekanntzugeben, besonders problematisch ist das natürlich bei Bankkontodaten (dafür sind wir aber nicht zuständig).

Eine gute Zusammenfassung der gängigen Techniken finden Sie in den Ausgabe 3/2004 und 2/2006 der Zeitschrift Comment: des ZIDs der Uni Wien, die Seiten der Wirtschaftskamer bieten ebenfalls Informationen. Falls man eine Phishing-Seite findet, kann man diese auf PhishTank melden, Informationen gibt es eventuell auch auf der Seite des VPT.

Hauptverbreitung: HTML-E-Mails an unwissende oder unaufmerksame Internetuser.
Schutz: Überprüfen Sie bei HTML-E-Mails immer, ob ein Link auch tatsächlich zur angegebenen Seite zeigt.

Es gibt immer wieder auch Versuche zu Accounts der TU Graz zu kommen: auf solche Versuche bitte nie reagieren: wir fragen Sie sicher nicht per E-Mail nach Ihrem Kennwort und auch wenn Sie mit falschen Daten antworten:
    • verraten Sie damit, daß Ihre E-Mail-Adresse aktiv ist
    • können wir nicht feststellen, daß Sie mit falschen Angaben geantwortet haben - wir sehen aber, daß Sie geantwortet haben und daher sperren wir Sie dann sicherheitshalber

Da die Anzahl solcher Versuche zunimmt, werden wir Warnungen nur dann aussenden, wenn das Phishing sehr gut gemacht ist (z. B. in gutem Deutsch, ohne Tippfehler, mit E-Mail-Adressen, die vertrauenswürdig wirken etc.), bei schlecht gemachtem Phishing (schlechtes Englisch, E-Mail-Adressen oder Web-Adressen, die offensichtlich nichts mit der TU Graz zu tun haben) gehen wir davon aus, daß die User an der TU Graz das selbst als Betrugsversuch erkennen können (z. B. indem sie den Header der E-Mail analysieren).

Wir führen nun aber eine Liste der uns bekannten Phishing-Versuche, falls Sie also einen „Phish“ erhalten, können Sie dort nachschauen, ob das bereits bekannt ist oder uns sonst einen Hinweis senden.

Pharming

Zielt Phishing darauf unaufmerksame Benutzer durch E-Mails auf falsche Adressen zu locken, wo den echten Seiten täuschend nachempfundene Internetseiten dem Besucher Kennwörter zu entlocken versuchen, so verwendet Pharming verschiedene Methoden um den DNS-Eintrag eines Rechners zu manipulieren (DNS-Spoofing).
Selbst wenn man aus Bookmarks oder händisch die richtige Adresse anwählt, gelangt man auf die falsche Seite, weil es die Betrüger geschafft haben, dieser Web-Adresse eine andere IP-Adresse zu hinterlegen. Das kann z. B. entweder dadurch geschehen, daß in einer lokalen hosts-Datei z. B. durch einen Trojaner ein falscher Eintrag hinzugefügt wird, oder indem dem Rechner (per DHCP oder per direktem Eintrag) ein falscher Nameserver untergeschoben wird, der dann die Web-Adresse falsch auflöst oder indem z. B. der richtige Nameserver gehackt wird, der dann für alle Benutzer dieses Netzes eine falsche Auflösung bringt, was dann z. B. eine MITM-Attacke ermöglicht.

Hauptverbreitung: Trojaner, Virus, „rogue“-DHCP-Server.
Schutz: Überprüfen Sie immer das Sicherheitszertifikat der Seite, vor allem, wenn angezeigt wird, daß es sich geändert hat.

Drive-by-Exploits

Durch das Ausnutzen von Vulnerabilities (Sicherheitslücken) durch sogenannte Exploits (bzw. Exploit-Kits) ist es möglich, dass Sie Ihren Rechner schon durch den Besuch einer manipulierten Webseite oder das Öffnen einer E-Mail infizieren.

Hauptverbreitung: Manipulierte Webseiten, E-Mails.
Schutz: Aktueller Browser, aktuelle Plugins und Add-Ons. Aktuelles E-Mail-Programm mit deaktivierten Scripts/Makros.

Blended Threats - gezielte Angriffe

Die Kombination von Spam, Phishing, Spyware, Viren, … mit Betrugsmethoden aus dem Web auf Applikationsebene.
Gezielte Angriffe richten sich i. Allg. entweder auf (bekannte) Schwachstellen des verwendeten Betriebssystems („härten” Sie daher Ihre Rechner, indem Sie nur diejenigen Programme installieren, die Sie wirklich brauchen, verwenden Sie eine Firewall), auf Schwachstellen in weit verbreiteten Programmen (z. B. PHP-Scripts oder CMS-Schwachstellen wie bei WordPress auf Web-Servern) oder auf Schwachstellen Ihrer eigenen Programme.

Hauptverbreitung: Es gibt immer mehr Leute als Sie glauben, die entweder an Ihren Daten oder Ihrer Internetverbindung Interesse haben!
Schutz: Härtung des Betriebssystems, Verwendung einer (Application) Firewall, Überprüfung selbstgeschriebener Software auf Schwachstellen, Installation von Patches bei Bekanntwerden von Schwachstellen verwendeter Programme (lesen Sie die entsprechende RSS-Feeds oder Newsgroups oder tragen Sie sich in den relevanten Mailinglisten ein!)

Der Admin eines Servers und/oder Services muß sich täglich um den Server (Betriebssystem) und/oder das Service (z. B. CMS) kümmern!

Scareware (Reveton)

Unter Scareware versteht man Software, die dem Benutzer die (scheinbare) Infektion des Rechners mit Malware meldet, um dann die kostenpflichtige Bereinigung des Rechners anzubieten, bekanntestes Beispiel: der BKA-Trojaner.

Teilweise ist das dann mit einem Sperrbildschirm kombiniert, was dann schon eine Version von Ransomware ist. Die Daten sind dabei dann aber zumeist nicht verloren: Wenn man z. B. von CD oder USB-Stick bootet, kann man das System wieder herstellen, weil oft nur der Start-Bildschirm manipuliert ist.

Ransomware (Krypto-Trojaner)

Im Gegensatz dazu infiziert Ransomware tatsächlich Ihren Rechner, verschlüsselt alle Daten auf der Festplatte und gibt sie nur mehr gegen Zahlung eines Lösungsgeldes (engl. ransom) wieder frei.

Schutz: Regelmäße Sicherung auf ein externes (eventuell wechselndes) Sicherungsmedium. Zahlen Sie kein Geld: es ist nicht garantiert, daß Sie den Freischaltcode wirklich erhalten! Für einige Varianten gibt es bereits Entschlüsselungsprogramme [1, 2, …].

Eine weitere Form der Erpressung ist Sie mit der Veröffentlichung an und für sich geheimer (z. B. Patententwicklung, Firmendaten, …) oder privater Informationen (z. B. Sextortion) zu erpressen.

Schutz: Solche Daten sollten nur verschlüsselt gespeichert werden und der Zugriff darauf entsprechend abgesichert sein.

Hoax

Hoaxes sind E-Mails (zumeist in Kettenbriefform), die entweder vor irgendetwas warnen oder um etwas bitten. Sie stellen zwar an sich keinen Schaden an, aber alleine die Arbeitszeit, die Netzressourcen etc. kosten Geld.

Hauptverbreitung: Absichtliche Weitersendung durch unwissende Internetuser.
Schutz: Überprüfen Sie bei kettenbriefartigen E-Mails ob dieser Typ nicht bereits als Hoax bekannt ist.

CEO Fraud („Fake President“-Trick)

Durch Trojaner aber auch Social Engineering etc. wird herausgefunden, wer in einem Unternehmen der Chef (CEO) ist, wie seine E-Mails üblichwerweise aussehen und wer für die Buchhaltung/Zahlungen zuständig ist.
Dann wird über eine gefälschte E-Mail versucht die Buchhaltung dazu zu bringen, Geld zu überweisen.

Bekanntester Fall in Österreich: FACC (Schaden: 50.000.000 Euro)

top

Warum soll ich meinen Benutzernamen geheim halten?

Dafür gibt es 2 gute Gründe:

  1. Wenn ein Angreifer weder Benutzername noch Kennwort kennt, ist es für ihn viel, viel schwieriger einen Account zu „hacken“
  2. Wenn ein Angreifer Ihren Benutzernamen kennt, kann er Sie in vielen Systemen blockieren, indem er einfach so lange falsche Kennwörter eingibt, bis Ihr Account gesperrt oder der Zugriff zumindest verzögert wird - d. h. auch wenn er nicht zu Ihren Daten kommt, kann er zumindest erreichen, daß Sie ebenfalls nicht zu Ihren Daten kommen (DoS).

top

Sicheres Kennwort (Paßwort; Password)

Warum verlangt der ZID, daß Ihr Kennwort so lang und kompliziert ist und daß Sie es so oft ändern müssen? Es kann dem ZID doch egal sein, wenn jemand Zugriff auf Ihre E-Mails bekommt, oder?
Die Antwort ist, daß an der TU Graz das TUGRAZonline-Kennwort an vielen Stellen zum Einsatz kommt und ein Angreifer, der Ihr Kennwort kennt, somit Zugriff auf viele Dienste hat, z. B. auch den SMTP-Server und den Linux-Server „pluto“ über die der Angreifer dann beispielsweise Spam versenden kann, wodurch dann der SMTP-Server der TU auf Blacklists landet. Die Konsequenz ist, daß dann niemand mehr E-Mails versenden kann (und das ist kein konstruiertes Beispiel, das ist schon mehrfach vorgekommen).

Empfehlungen für Kennwörter (nicht nur in TUGRAZonline):

  • je länger, desto besser (Minimum: 8 Zeichen).
    Ein deutlich längeres Kennwort ist (in Bezug auf einen „brute force“-Angriff) sicherer als ein kompliziertes kurzes Kennwort: ein Kennwort mit 6 Zeichen aus dem Zeichenvorrat
    1. Groß- und Kleinbuchstaben
    2. 10 Sonderzeichen
    knackt eine moderne CPU in unter 10 Minuten, 2 Stellen mehr und es dauert schon fast ein Jahr, immer vorausgesetzt, man kennt das verschlüsselte Kennwort (in der Cloud geht es entsprechend schneller, wenn man nur genügend Geld zur Verfügung hat)
  • mindestens 1 Ziffer
  • mindestens 1 Buchstabe
  • mindestens 1 Sonderzeichen aus ASCII 33 bis 126 (wobei es mit Sonderzeichen wie „-“ am Beginn des Kennwortes zu Problemen kommen kann!)
  • kein Teil > 3 Buchstaben
    • aus einem Wörterbuch (de / en)
    • eines Vor- oder Nachnamens
    • des Usernamens
  • möglichst oft ändern (monatlich)
  • ein neues Kennwort soll sich von allen alten Kennwörtern (innerhalb eines bestimmten Zeitraums) in mindestens 3 Stellen unterscheiden
  • Case sensitive (Groß- und Kleinschreibung)
  • Nur verschlüsselte Übertragung (HTTPS, IMAPS, …)

Ein solches Kennwort ist dann i. Allg. recht kompliziert und schwer zu merken - ein Hinweis, wie man ein Kennwort erzeugen kann, das diesen Kriterien entspricht und das trotzdem nicht vergessen wird:

  1. Man nimmt einen Kinderreim, den Refrain des aktuellen Lieblingsliedes, den Titel des Buchs, das man gerade liest etc. und verwendet die Anfangs- und/oder Endbuchstaben jedes Wortes
  2. einzelne Buchstaben dieser Zeichenkette werden dann aufgrund ihres Aussehens durch Sonderzeichen etc. kodiert (Leetspeak) - Beispiel (Sie sollten sich aber eine eigene Tabelle/Zuordnung überlegen!):

    B C D G H i K L M N O S T U V W Z
    I3 ( [) 6 I-I ! I< |_ |`1 I\I 0 5 7 I_I \/ \/\/ 2
  3. dazu streut man z. B. noch „,“ und/oder „.“ oder gleich ein Smiley (z. B. ;-)) in die so entstandene Zeichenkette ein.

So ist das Kennwort jederzeit wieder rekonstruierbar, man muß sich nur merken, aus welcher Zeile das aktuelle Kennwort abgeleitet ist, welche „Codierung“ man für bestimmte Buchstaben verwendet und an welcher Stelle welches weitere Sonderzeichen eingebaut wird.

Das Kennwort kann man z. B. durch den Kennwort-Check auf http://www.datenschutz.ch/ testen lassen (den Kennworttest nicht mit dem echten, sondern nur mit einem ähnlichen Kennwort verwenden!)

Weitere Tipps finden Sie in der Kennwort-Policy.

TUGRAZonline-Kennwörter

Die TUGRAZonline-Kennwörter sollten in nicht mit TUGRAZonline verbundenen Systemen nicht verwendet werden, da die Sicherheit dort eventuell deutlich niedriger ist! Möchte ein Institut Daten im Web mit dem TUGRAZonline-Account schützen, so bieten wir eine SSO-Lösung mit Shibboleth an!

Kennwort-Speicherung

Viele Programme bieten Ihnen inzwischen auch die Möglichkeit das Kennwort zu speichern - wir empfehlen das nicht zu tun, da

  • je nach Programm die Kennwörter (fast) unverschlüsselt gespeichert werden - Thunderbird/Firefox/Mozilla bieten hier die Möglichkeit, diesen Speicherbereich mit einem Masterkennwort zu verschlüsseln: das sollte (falls man Kennwörter speichert) unbedingt verwendet werden! Google Chrome verwendet kein Masterkennwort, jeder der Zugriff zu Ihrem Computer hat, hat Zugriff zu allen Ihren in Google Chrome gespeicherten Kennwörtern!
  • so jemand, der Zugang zu Ihrem Rechner erhält, auch Zugang zu all diesen Applikationen erhält (wenn sie nicht mit einem Masterkennwort geschützt sind)
  • Sie andererseits das Kennwort leicht vergessen (da Sie es ja nie eintippen müssen) und dann über einen fremden Rechner nicht einsteigen können (das Masterkennwort hat mit dem TUGRAZonline-Account nichts zu tun!)
  • Sie im Falle eines abgelaufenen Kennworts dieses dann in allen Applikationen (bzw. im Kennwortmanager für alle Applikationen) ändern müssen

Der ZID bietet Ihnen aber eine sichere Möglichkeit, Ihre Kennwörter zu speichern und auch zu teilen: sesam.TUGraz.at.

Verwendung

Verwenden Sie das Kennwort (wenn möglich) nur auf Systemen, deren Integrität zu einem hohen Maß gewährleistet ist, auf unsicheren Systemen sollten Sie stattdessen besser ein SMS-TAN-System bevorzugen, das über die Handy-Signatur auch für TUGRAZonline verfügbar ist.

top

Arbeitsplatzsicherheit

Die Sicherheit am Arbeitsplatz umfaßt viele Punkte, die im folgenden nahegelegt werden:

  • fester Standort der Geräte auf dem Boden/Tisch/Regal etc.
  • Sperren des PCs beim Verlassen des Arbeitsplatzes (Bildschirmschoner mit Passwort etc.)
  • keine einfachen Kennwörter benutzen
  • Abschließen des Raumes beim Verlassen
  • Schutz des PCs durch ein BIOS-Kennwort vor unberechtigter Benutzung
  • keine Daten auf der lokalen Festplatte (Netzwerklaufwerke verwenden)
  • sichern Sie alle anwenderbezogenen Daten vor einer Hardwareerneuerung
  • Sicherung von Daten auf Backup-Medien (Netzwerklaufwerke werden gesichert)
  • Installieren Sie keine unsichere Zusatzsoftware wie Bildschirmschoner, Spiele etc.
  • evtl. Installation einer Instituts-Firewall durch den EDV-Beauftragten
  • Signierung und evtl. Verschlüsselung von E-Mails
     

top

Betriebssystem-Sicherheit

Die Sicherheit der Betriebssystemsoftware eines Arbeitsplatzes bedarf zusätzlich folgender Einstellungen bzw. Vorsichtsmaßnahmen:

  • Einsatz eines sicher installierten/konfigurierten Betriebssystems (Linux, Mac, UNIX).
    Zum Punkt Microsoft Windows möchten wir Sie auch auf die Informationen des Heise-Verlags und von Microsoft hinweisen.
  • Installation aktueller Updates & Patches
  • auf aktuellen Virenschutz achten
  • Keine E-Mail-Clients von Microsoft verwenden; nehmen sie Pegasus oder Mozilla-Thunderbird; falls sie Outlook (Express) verwenden, so ist unbedingt die „Anhang-Vorschau“ zu deaktivieren!
  • Lassen sie sich immer die Extensions der Dateien anzeigen
  • Aktivierung der internen Firewall von Linux/MacOS/Windows oder eine Personal Firewall installieren
  • Microsoft Netzwerkfunktionalität deaktivieren bzw. keine Datei- und Druckerfreigaben verwenden
  • SSH und SFTP anstelle von Telnet und FTP verwenden

Verwenden sie innerhalb der TU Graz den Windows-Update-Server des ZID!

top

Datensicherung

Achten Sie bitte darauf, dass keine Daten lokal auf dem Kleinrechner abgespeichert werden, sondern immer ein Netzlaufwerk verwendet wird. Dann kann es auch nicht zu unliebsamen Datenverlusten bei Schäden an der lokalen Festplatte kommen!

Die Server für die Verwaltung und das Rektorat werden zentral vom ZID gesichert.

Die Institute sind i.d.R. für die Sicherung ihrer Datenbestände auf Institutsservern selbst verantwortlich. Weitere Informationen finden Sie unter Backup.

top

Server-Sicherheit

Um einen störungsfreien Betrieb aller Server - und auch Netzwerkkomponenten - zu gewährleisten, sind die Maschinen des ZID in speziellen klimatisierten Räumen untergebracht und durch eine unterbrechungsfreie Stromversorgung (USV) auch gegen Stromausfälle abgesichert. Weiters existieren eine Brandschutzeinrichtung sowie eine Zutrittskontrolle.

Netware-Server und UNIX-Workstations in Räumlichkeiten der Institute, die nicht derart gesichert sind, sollten zumindest durch einen separaten, abgeschlossenen und gut belüfteten Raum sowie durch ein Sperren der Konsole gegen unberechtigten Zugriff geschützt werden.

Es existiert ein Vielzahl an Software-Tools mit der eine Sicherheitskontrolle bzw. ein Monitoring von Servern durchgeführt werden kann.

Zugangsdaten (Username/Kennwort) sollten nur auf eine der folgenden Arten vom Administrator an die User weitergegeben werden:

  • persönlich
  • in verschlüsselten E-Mails
  • über unseren Kennwort-Safe „sesam

top

„Freie“ Netzwerkdosen

Netzwerkdosen in (halb)öffentlichen Bereichen der TU Graz (Gänge, Seminarräume, Hörsäle, Aufenthaltsräume etc.) dürfen sich nur in einem der folgenden 3 Zustände befinden:

  1. ungepatcht (also ohne Verbindung zum TUGnet)
  2. privater IP-Bereich, aus dem man nur authentifiziert (PPPoE, eventuell auch VPN) eine IP aus dem TUGnet (und damit Internetconnectivity) erhält
  3. spezieller IP-Bereich für Drucker, Scanner etc., aus dem nur spezielle Dienste (ftp, E-Mail) erreichbar sind und der selbst nur aus bestimmten Bereichen des TUGnets (z. B. dem VLAN der Organisationseinheit) für spezielle Dienste (z. B. Drucken) erreichbar ist

Falls im Bereich einer Organisationseinheit der TU Graz Netzwerkdosen in (halb)öffentlichen Bereichen existieren, dann ist zu überprüfen, ob sich diese Netzwerkdosen in einem der oben erwähnten Zustände befinden.
Wenn nicht, ist mit dem ZID Kontakt aufzunehmen, sonst haftet der Leiter der Organisationseinheit für jeglichen Mißbrauch!

top

Netzwerk

Im Netzwerkbereich der Verwaltung, in den Subzentren und den Räumlichkeiten des ZID wird durch entsprechende Konfigurationen von Routern und Switches sowie der Verwendung von virtuellen Netzen und einer sorgfältigen Hardwareerneuerung eine solide Basissicherheit vom ZID eingerichtet.

Intrusion Prevention System

Ein IPS durchsucht den Datenverkehr nach abnormen Mustern (dazu zählt z. B. Webtraffic auf einem Port, der normalerweise nicht von Webservern verwendet wird) und blockiert unerwünschte Kommunikation; dabei wird der gesamte Netzverkehr der TU Graz (also auch der ausgehende Verkehr!) mit Ausnahme des E-Mail-Verkehrs, der sowieso über die zenralen Mailgates geführt wird, auf mögliche Angriffsversuche (ob bewußt oder unwissentlich z. B. durch Malware) überprüft.
Wird ein Angriff erkannt, so wird dieser geblockt, die erlaubten Verbindungen des Rechners sind davon aber nicht betroffen.
Sollten Sie die Vermutung haben, daß ein Dienst (vom IPS) irrtümlich gesperrt wird, so senden Sie uns bitte eine E-Mail - aufgrund der großen Datenmengen werden Log-Files nur für sehr kurze Zeit gespeichert, daher ist es im nachhinein oft schwer festzustellen, warum etwas blockiert wurde, der Vorgang muß daher dann oft reproduziert werden.

Traffic Shaper

Mit Schadprogrammen befallene Rechner werden am Übergang ins Internet durch eine TUGRAZonline-Applikation am Traffic-Shaper gesperrt, IPs ohne DNS-Eintrag sind automatisch gesperrt.

Sie finden den Status Ihrer eigenen IPs (und einen eventuellen Sperrgrund wie z. B. Wurm oder Virus oder Portscan etc.) in TUGRAZonline, die EDV-Beauftragten sehen den Status jeder IP in dem IP-Bereich, für den sie zuständig sind.

Beim Sperren wird eine E-Mail mit dem Grund der Sperre an den „Besitzer“ der IP versandt - jede IP sollte daher (wie schon lange vorgesehen) einer Person zugeordnet sein, umgekehrt sollten einer Person nur die IPs zugeordnet werden, für die diese Person auch tatsächlich zuständig ist (das kann durchaus straf-, zivil- und dienstrechtliche Konsequenzen haben!). Diesen Sperrgrund zu einer IP finden Sie auch (außer in der E-Mail), indem Sie in der Hostnamenverwaltung den Status anklicken und dann auf Detailansicht gehen.

Firewall

Die Bereiche der Verwaltung und die zentralen Datenbankserver der TU Graz werden durch eine zentrale Firewall geschützt.
Institute sind für die Absicherung Ihrer Netzwerkinfrastruktur selbst verantwortlich, werden vom ZID jedoch in Abhängigkeit der verfügbaren Ressourcen unterstützt (z. B. Aufbau von „Open Source“-Firewalls oder Verwendung einer „virtuellen“ Firewall des ZID).

top

Applikationssicherheit: Never trust the client!

Umfassende Security-Maßnahmen sollten - zwiebel- oder Matrjoschka-ähnlich - in mehreren Schichten ansetzen:
Schon auf der Netzwerkebene versuchen wir gewisse Gefahrenpotentiale zu erkennen und zu minimieren (z. B. durch Portsperren), das IPS erkennt gewisse Angriffe und blockiert ebenfalls den Zugriff, die Firewall kann den Zugriff nur bestimmten IPs oder nur bestimmten Protokollen erlauben, bei der „Härtung“ des Betriebssystems unterstützen wir ebenfalls, wo wir derzeit aber (noch) nicht helfen können, sind (selbstentwickelte) Programme z. B. im Webserver-Umfeld, die eventuell angreif- und verwundbar sind: wenn die Webseite ganz normal aufgerufen wird, dabei aber ungültige Parameter übergeben werden, dann ist es Aufgabe des Programmierers der Applikation zu verhindern, daß damit Schaden entstehen kann, eine „Application Firewall” wird vom ZID derzeit nicht betrieben!

Beispiele für derartige Angriffsszenarien auf Applikationsebene:

SQL Injection

Sollte Ihre (Web-)Applikation auf einer SQL-Datenbank aufbauen, dann müssen Sie überprüfen, ob es möglich ist über Eingabefelder oder Aufrufsparameter neuen, zusätzlichen Code einzuschmuggeln.

Parameter Tampering

Das oben erwähnte Verfahren könnte aber auch z. B. bei „normalen“ Programmen in Script-Sprachen funktionieren: hier wird dann nicht versucht SQL-Statements einzubringen, sondern entweder Befehlszeilen in der jeweiligen Script-Sprache (z. B. PERL oder PHP) oder direkt Aufrufe von am Server gespeicherten anderen Programmen. Wird bei PHP die Funktion include() verwendet um externen Code nachzuladen spricht man auch von serverseitigem XSS (Cross Site Scripting - Beschreibung und Beispiel).

Weitere mögliche Schwachstellen

Cookies, Session Parameter, Hidden Field Tampering, Formatstring, FormMail

top

Instant Messaging, P2P, Skype, Bluetooth, …

Bitte beachten Sie, daß bei vielen „modernen“ Anwendungen große Gefahr besteht, daß Ihr Rechner mit Malware infiziert wird:
Virenfilter greifen hier beim Datenaustausch nicht - also Finger weg, wenn Sie nicht genau wissen, welche Optionen Sie aktivieren müssen!

Im Falle von Skype gilt:

    • Skype umgeht so ziemlich jede Firewall
    • Skype ist daher kein an der TU Graz unterstütztes Protokoll/Programm (dafür gibt es viele gute Gründe) und kann bei Problemen jederzeit ohne Ankündigung deaktiviert werden
    • Skype sollte daher nicht als offizielle Kontaktmöglichkeit an der TU Graz verwendet werden
    • es ist unbedingt zu verhindern, daß der eigene Rechner zu einem sogenannten Supernode wird (über den dann der Verkehr vieler anderen Teilnehmer geroutet wird)!

Siehe dazu z. B. die Infos der LUH und vor allem der UWO.

top

Was tun bei einer (neuen) Bedrohung?

Noch nicht infizierter Rechner

  1. Betriebssystem (laufend) updaten
  2. Security-Patches (sobald verfügbar) einspielen
  3. Antiviren-Software und Firewall auf den neuesten Stand bringen bzw. laufend auf aktuellstem Stand halten

Infizierter Rechner

  1. Rechner vom Netz trennen
  2. Rechner von CD neu aufsetzen oder zumindest den Wurm oder Virus vom Rechner entfernen
  3. Firewall installieren bzw. aktivieren
  4. Patches (z. B. per Diskette/CD) einspielen
  5. Erst nun wieder eine Netzwerk-Verbindung herstellen

Falls der Rechner gesperrt ist:

  1. u. U. Sperrfrist abwarten (gilt nur für den externen Zugang)
  2. Mail an das NOC mit Angabe des TUGRAZonline-Usernamen (externer Zugang) bzw. der gesperrten IP-Adresse (interner TU Graz-Rechner)

Wir ersuchen Sie sich laufend (z. B. bei Heise) über sicherheitsrelevante Angelegenheiten zu informieren, da das zu Ihren Verpflichtungen im TUGnet gehört!

top