Veröffentlichungen

ψ² = Ps(i)²

Secunia 2009 Report – Internet Explorer belegt erste Plätze?!

Secunia hat seinen Jahresbericht 2009 zum Download bereitgestellt. Er enthält Berichte und Informationen zu 0-Day-Schwachstellen, Ergebnisse zu Softwaretests, die Sicherheit von Webapplikationen und einen Überblick über die Schwachstellen des letzten Jahres. Wer den Bericht haben möchte, muss die Seite http://secunia.com/company/annual_report besuchen. Dort bekommt er die folgende Eingabemaske angezeigt:

(Screenshot: secunia.com)

Wenn man alle Felder ausgefüllt hat, öffnet sich die Seite http://secunia.com/company/annual_report/sent mit dem Downloadlink:

(Screenshot: secunia.com)

Raten Sie mal, ob der zweite Link auch funktioniert, wenn man ihn als erstes anklickt, also bevor man seine Daten eingegeben hat.

Mit 16 Seiten ist der in englisch geschriebene Bericht schnell gelesen. Er enthält einige schöne Grafiken und Informationen. Sehr interessant ist die Liste der 10 “sichersten Produkte 2009″. Sieben davon sind nämlich Microsoft Produkte! Darunter auch der Microsoft Internet Explorer. Die Grafiken basieren auf den Zahlen von Secunia’s Online Software Inspector (OSI) aus dem Jahr 2009. Weiter geht das Microsoft Lob in einer Grafik, die zeigen soll, welche Browser im Schnitt am seltensten ungepatcht sind. Auf den Positionen 1 und 2 erscheinen der Internet Explorer 8 und 7. Der OSI prüft dabei nur auf Schwachstellen, für die es bereits ein Patch gibt.

Secunia zeichnet damit ein Bild von Microsoft-Produkten, das mir so bisher nicht bekannt war: Microsoft ist Security-Sieger in allen Klassen! Stellt sich mir die Frage, warum ein so erfahrener Security-Anbieter gegen den Strom schwimmt? Warum sehen die Grafiken auf der Mozilla-Homepage so vollkommen anders aus (siehe Beitrag vom 09.08.2009 Zertifikate – nichts ist wie es scheint). Hier ging es um die Zeit, die Patches auf sich warten lassen:

Tage

(Screenshot: mozilla-europe.org)

Lesen Sie mehr →

ψ² = Ps(i)²

ARD Radio-Feature zur Internet-Kriminalität

Die ARD stellt auf ihren Webseiten ein Radio-Feature zur Internet-Kriminalität zum Download bereit. Zu Beginn wird das Online-Banking damit verglichen, dass die Bank das Geld ihrer Kunden in verschnürten Pappschachteln auf die Straße stellt. Das lässt keinen fachlichen Tiefgang erahnen.

In der Tat richtet sich das Feature eher an Laien: “Sicherheit ist weitgehend Privatsache. (…) Weil Sicherheit bei jedem einzelnen Rechner-Benutzer und Internet-Surfer beginnt. Weil die technischen Entwicklungen sehr schnell sind.”

Nachdem die ersten paar Minuten recht schleppend verlaufen wird es interessant, als es um den selbstständigen Internet-Provider “Dimitri” und den Phisher “Gen” geht. Gen hatte Dimitri als Hoster für Phishing-Seiten gewonnen. Als Dimitri gemerkt hat, was er da macht war es bereits zu spät – am Ende landete er vor Gericht und sein Hosting-Unternehmen war damit erledigt.

Vielleicht sollte man den Link an den einen oder anderen Freund, Verwandten oder Kollegen schicken.Das wäre mal eine Rundmail, die von der Arbeit abhält und die Sicherheit erhöht – die IT-Sicherheitsbeauftragten sind bestimmt einverstanden.

Lesen Sie mehr →

ψ² = Ps(i)²

Neues für den Business-Case

In den Briefings der diesjährigen BlackHat habe ich wieder neue Zahlen für den Business-Case Information Security gefunden. Ich hatte in der Vergangenheit bereits mehrfach zu wirtschaftlichen Fragestellungen geschrieben. Heise.de hatte über einen Vortrag auf der BlackHat berichtet und dabei Christopher Tarnovsky zitiert:

“Tarnovsky nennt rund 200.000 US-Dollar als erforderliche Investition in Laborgeräte – was aber für ein neues Geschäftsmodell sicherlich keine unüberwindbare Hürde bedeuten dürfte.”

Bei der Investition handelt es sich um Equipment für einen sehr aufwändigen Angriff auf TPM-Chips. Er musste dazu in einem Labor den Chip aus dem Gehäuse extrahieren (chemisch!) und sich durch die verschiedenen Ebenen des Chips arbeiten (offenbar nicht ganz so einfach). Nach einer Analyse der Signalverläufe auf dem Chip konnte er schon sechs(!) Monate später Zugriff auf den Datenbus des Prozessors erhalten. Nach diesem Forschungsaufwand habe das Auslesen eines Lizenzschlüssels aus einer XBox 360 jedoch nur noch sechs Stunden gedauert.

Wir nehmen für eine Beispielrechnung das ROISI-Modell von Adrian Mizzi, als Teil eines Business-Case Information Security:

200.000$ (CTB)
>
5000$ für Laptop mit BitLocker und TPM-Chip (B+F)
< (nicht mehr wie 1/3)
5000$ bei gestohlenem Laptop (R) + 250.000$ Wert der geschützten Information (L)

CTB = Cost To Break
B   = Cost To Build
F   = Cost To Fix
R   = Cost To Rebuild
L   = Loss

Im ersten Ansatz sind die ROISI-Ungleichungen erfüllt. Das bedeutet, dass die gewählte Schutzmaßnahme wirtschaftlich ist. Ist sie aber auch sicher?

200.000$ (CTB)
<
250.000$ Wert der mit TPM-Chip geschützten Information (L)

Das schließt den Kreis und es wird klar, dass ein Angriff lohnenswert ist. Die Schutzmaßnahme ist also nicht sicher. Der Angreifer spart sich durch den Angriff 50.000$ und das Labor kann danach für weitere Angriffe eingesetzt werden und weiteren Profit liefern. Sie können das Rechenspiel gerne für einen Geheimdienst durchgehen, der sich über die Steuereinnahmen finanziert, die entstehen, wenn er die gestohlenen Informationen an die einheimische Wirtschaft weiter gibt.

Das ROISI-Modell liefert damit auch einen Hinweis darauf, dass das bedrohte Unternehmen ca. 80.000$ für die Absicherung (B+F) der Information (L) investieren kann, ohne dabei unwirtschaftlich zu werden. Dieser Hinweis impliziert jedoch, dass der Angriff ein Mal in drei Jahren durchgeführt wird und 80.000$ die Summe aller Schutzmaßnahmen darstellt. Ab diesem Punkt wird der Business-Case schnell komplizierter. Er funktioniert jedoch wunderbar, wenn die weiteren Schutzmaßnahmen die CTB nach oben treiben und sich der Angriff einfach nicht mehr lohnt.

Die Analysergebnisse nach der ROISI-Methode ergänzen damit andere Techniken zur Wirtschaftlichkeitsbetrachtung. Gemeinsam können sie als Business-Case dargestellt werden:

Lesen Sie mehr →

ψ² = Ps(i)²

Sexy Security

Wie sexy kann IT-Sicherheit sein, ohne ihre seriöse Intention zu kannibalisieren? Wie sexy muss IT-Sicherheit sein, um ihre Wirkung zu verbessern? Das sind die Fragen, die der Arbeitskreis Sicherheit des Verband der Deutschen Internetwirtschaft e.V. in einer Veranstaltung im Februar erörtert.

Die Referenten der Sitzung bejahen, dass eine gut gemachte, ansprechende Security leichter umzusetzen ist. Nicht mehr graue Maus, sondern lebendige Security-Story. Dieser Paradigmenwechsel berücksichtigt den Menschen als systemische Sicherheitslücke und entwickelt die Konsequenzen für die Kommunikation nach innen und außen. So entstehen Maßnahmen der Security Awareness, die wirklich involvieren, und Kampagnen, die beim Kunden ankommen.

Die Themen- und Referentenliste sieht wie folgt aus:

Die geheime Logik der Informationssicherheit – Security aus der Perspektive der Tiefenpsychologie
Dietmar Pokoyski, Geschäftsführer known_sense, Köln

Security Awareness durch Blended Learning Next Generation
Kathrin Prantner, Geschäftsführerin E-SEC Information Security Solutions GmbH, Innsbruck

Kontrolle ist gut. Vertrauen ist besser!
Elmar Frey, Geschäftsführer Freylance Werbeagentur GmbH, München

Über die Wirkung von Security Produktwerbung
Josef Vistola, Marketing Manager Trend Micro Deutschland GmbH, Hallbergmoos

Ergebnisse der eco Umfrage “Internet-Sicherheit 2010″
Dr. Kurt Brand, Arbeitskreisleiter Sicherheit und Geschäftsführer Pallas GmbH, Brühl

Lesen Sie mehr →

ψ² = Ps(i)²

Neuer BITKOM Kompass der IT-Sicherheitsstandards erschienen

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) hat in Zusammenarbeit mit dem Deutschen Institut für Normung e.V. (DIN) den neuen Leitfaden “Kompass der IT-Sicherheitsstandards” veröffentlicht.

Das Herzstück des Leitfadens (…) klassifziert bekannte Standards sowie Standards für spezielle Sicherheitsfunktionen, so dass der Leser diese für sein Unternehmen bewerten und gegebenenfalls als relevant einschätzen kann. Im Kompass sind auch ausgewählte Vorschriften und Gesetze aufgeführt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wieder erwähnt werden. Auch diese sind klassifziert und können so auf ihre Relevanz überprüft werden. Nicht jeder Standard ist für jedes Unternehmen sinnvoll. (…) Im Anhang sind die Bezüge der behandelten Standards untereinander aufgeführt, dort befnden sich auch Links zu weiteren Informationen.

Die Standards werden nach den Kriterien “Art des Unternehmens”, “Rolle innerhalb des Unternehmens”, “Merkmale des Standards/ der Vorschrift” und der nationalen und internationalen Bedeutung bewertet. Dabei werden auch die Relevanz, Kosten und Zertifizierungsmöglichkeiten berücksichtigt. Die Liste der betrachteten Standards ist lang:

Grundlegende Standards zum IT-Sicherheits- und Risikomangement:

ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27006, IT-GS, Richtlinie VDI/VDE2182, ISO/IEC 27011, PCI DSS, ISO/IEC 18028, ISO/IEC TR 18044, ISO/IEC 18043, ISO/IEC 15816, ISO/IEC 24762, BS 25777:2008ISO/IEC 27005, MaRisk / MaRisk VA

Standards mit IT-Sicherheitsaspekten:

Cobit, ITIL, IDW PS 330

Vorschriften:

KonTraG, Basel II, SOX, EURO-SOX, BDSG

Evaluierung von IT-Sicherheit:

ISO/IEC 15408 (CC), ISO/IEC TR 15443, ISO/IEC 18045, ISO/IEC TR 19791, ISO/IEC 19790 (FIPS 140-2), ISO/IEC 24759, ISO/IEC 19792, ISO/IEC 21827 (SSE-CMM), ISO/IEC TR 15446

Normen zu Kryptographie und IT-Sicherheitstechniken:

ISO/IEC 7064, ISO/IEC 18033, ISO/IEC 10116, ISO/IEC 19772, ISO/IEC 9796, ISO/IEC 14888, ISO/IEC 15946, ISO/IEC 10118, ISO/IEC 18031, ISO/IEC 18032, ISO/IEC 9798, ISO/IEC 9797, ISO/IEC 15945, ISO/IEC TR 14516, ISO/IEC 11770, ISO/IEC 13888, ISO/IEC 18014

Physische Sicherheit:

BSI Technische Leitlinie TL-03400, DIN 4102, DIN 18095, DIN EN 1047, DIN EN 1143-1, DIN V ENV 1627, DIN EN 60529

Lesen Sie mehr →

ψ² = Ps(i)²

26. Chaos Communication Congress

Vom 27. bis 30.12.09 fand der 26. Chaos Communication Congress (26C3) des Chaos Computer Clubs in Berlin statt. Der Kongress bietet jedes Jahr Vorträge und Workshops und zieht ein bunt gemischtes Publikum von Tausenden von Hackern, Wissenschaftlern, Künstlern und Utopisten aus aller Welt an. Der diesjährige Kongress fand unter dem Motto “Here Be Dragons” statt.

Wer nicht mit dabei sein konnte, kann sich die Vorträge (teilweise) auch online anschauen. Über die Seite http://events.ccc.de/congress/2009/Fahrplan/index.de.html sind alle Veranstaltungen zu erreichen.

Lesen Sie mehr →

ψ² = Ps(i)²

Auch die it-sa stellt Vorträge ins Netz

Auf drei Bühnen teilten Experten auf der it-sa 2009 in mehr als 180 Vorträgen ihr Fachwissen mit den 6600 Besuchern. Die Videos und Handouts sind noch ein Jahr lang kostenfrei abrufbar (www.it-sa.de/programm):

Lesen Sie mehr →

ψ² = Ps(i)²

Manuskript fertiggestellt

Am 15.06.2009 ging die erste E-Mail mit einer Buchidee an den Vieweg+Teubner-Verlag. Etwa einen Monat später war die erste Idee soweit überarbeitet, dass daraus ein ordentliches Buchkonzept geworden ist. Wieder fast zwei Monate später war die Zustimmung der Schriftenreihe <kes> da und der Vertrag konnte aufgesetzt werden – das Buch hatte schon fast 100.000 Zeichen. Ich dachte zum damaligen Zeitpunkt, das wäre ein Drittel. Weitere knapp drei Monate später war klar, das 100.000 Zeichen nur etwa ein Viertel waren.

Nach drei Monaten Schreibzeit liegt das Manuskript nun vor und umfasst 397.000 Zeichen auf 188 Seiten. Aufgelockert wird der Text duch 25 Tabellen und 60 Abbildungen. Jetzt steht erst mal das Lektorat an und ich kann mich zurücklehnen. Oder auch nicht: Die erste “Single-Auskopplung” für die <kes> ist natürlich schon geplant. Wer will kann das Buch schon beim Verlag oder bei Amazon vorbestellen.

Lesen Sie mehr →

ψ² = Ps(i)²

Mein Buch bei Amazon vorbestellen

Seit einigen Tagen kann mein Buch “Konfliktmanagement für Sicherheitsprofis” bei Amazon vorbestellt werden. Ein gutes Zeichen, dass sich die Manuskript-Erstellung dem Ende zuneigt und das Buch ins Lektorat gehen kann. Dann ist meine Arbeit als Autor erstmal getan und der Verlag ist am Zug.

Lesen Sie mehr →

ψ² = Ps(i)²

CISO-Image: Sicherheit im Blick von oben

Dietmar Pokoyski hat im dritten Teil seiner tiefenpsychologischen Studienreihe das TOP-Management auf die Couch gelegt und die Beziehungen von Entscheidern und Security-Verantwortlichen untersucht. Wie immer sehr lehrreich und amüsant.

Im Rahmen dieser Studie wurden 17 deutsche TOP-Manager zwei Stunden lang mithilfe von Tiefeninterviews auf Basis der morphologischen Wirkungsforschung zu ihrem Bild von Informationssicherheit und deren Protagonisten (CISO & Co.) befragt. Zu Wort kamen Vorstandsvorsitzende, Vorstände, Geschäftsführer und andere Entscheider. Auch die aktuelle Studie arbeitet den Einfluss der Unternehmenskultur und der Informationssicherheit auf das Image von CISO & Co. heraus.

Die Tiefeninterviews mit den Führungskräften erwiesen sich als deutlich schwieriger als die Gespräche mit den CISOs in 2008. Die Manager behalten bevorzugt die Kontrolle über die Gespräche und scheinen wesentlich interessierter an einer persönlichen Absicherung als an der Sicherheit des von Ihnen geführten Unternehmens zu sein. Nicht selten bleiben Antworten bemüht auf hohem Abstraktionsniveau – nur auf Nachfragen wird z.T. demonstrativ auf die Detailebene eingegangen. Es kam zu einer massiven Abwehr, z.B. in Form von kühlen Verabschiedungen (»Sie finden ja alleine raus.«), Abwertungen der Studie bei vorangegangener Zustimmung (»Und damit wollen Sie also Neues erklären?«) oder zu persönlichen Kränkungen der Interviewer:

“Blonde Frauen werden ja im Allgemeinen als sympathischer eingeschätzt”, äußerte sich einer der Befragten gegenüber einer dunkelhaarigen Moderatorin.

Die TOP-Manager sind stark bemüht, ihre Position zu wahren. Sie reagieren sensibel auf die spezifischen Machtmöglichkeiten der CISOs, die als Typus »Streiter der Sicherheit«, »Mahnender Kontrolleur«, »Kompetenter Sicherheits-Spezialist« oder »Selbstbewusster Vermittler« (siehe Grafik) konkreten Einfluss auf die unternehmerische Tätigkeit ausüben.

Es fiel auch auf, dass Security-Regeln von den Führungskräften selber nicht eingehalten, aber mit dem Nutzen für das Unternehmen entschuldigt wurden. Auch während der Interviews passierten immer wieder Verstöße. So wurden die Psychologen z.B. mit internen, nicht weggeräumten Informationen aus Vormeetings konfrontiert oder sollten unbegleitet zum Ausgang finden. Eine Moderatorin stolperte beim Gang auf die Toilette über einen Schlüsselbund samt USB-Stick.

“Die Ergebnisse sind deutlich: CISOs werden von der Geschäftsführung nicht gemocht. Entweder sie sind nicht kommunikativ genug, verstehen das Business nicht, oder sie sind zu mächtig”, sagt Sachar Paulus von paulus.consult und Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg. Paulus weiter: “Dies bestätigt meine persönliche Erfahrung und stellt die Erkenntnisse auf fundierte, empirisch belegte Ergebnisse. Nun ist zu überlegen, wie man die Situation verbessern kann. Eine zielgerichtete Ausbildung der Sicherheits-Fachleute ist sicherlich ein wichtiges Element.”

Der Studienband (54 S.) ist über known_sense (sense(at)known-sense.de) oder über den Secumedia-Buchshop (http://buchshop.secumedia.de) zum Preis von Euro 380,00 (-Abonnenten Euro 290,00) zu beziehen. Die Summary ist online frei verfügbar.