Softwareforen Leipzig – Vortrag zur User-Group IT-Sicherheit

Letzte Woche tagte in Leipzig die User-Group IT-Sicherheit der Softwareforen Leipzig, bei der ich zum ersten Mal mit einem Vortrag dabei. Mein Thema waren die Security-Standards ISO/IEC 27001 und IT-Grundschutz und ihre praktische Anwendung in IT-Projekten.

Weiterhin standen die folgenden Themen auf der Agenda:

  • Kennzahlensysteme als Steuerungsinstrument für ein ganzheitliches Informationssicherheitsmanagement
  • Einführung eines IT-Sicherheitskonzepts nach BSI-Richtlinien in einem mittelständischen Betrieb der Versicherungswirtschaft
  • Erfahrungsbericht zur Durchführung eines Basis-Sicherheitschecks
  • Betrachtung der Sicherheitsaspekte von Kaufsoftware in allen Phasen des Software-Lebenszyklus

Alles in allem eine Top Veranstaltung, die man ruhig in Erwägung ziehen sollte, bevor man sich für eine größere Konferenz anmeldet. Unter den Teilnehmern ergaben sich durch die geringere Größe viele Gesprächsmöglichkeiten und die Vorträge waren viel lebendiger. Klare Empfehlung!

T.I.S.P. Community Meeting 2012 in Köln

Heute ist es wieder soweit: der TeleTrusT e.V. lädt wie jedes Jahr zum Treffen der T.I.S.P.-Zertifizierten Information Security Professionals. Tagungsort ist diesmal wieder Köln, nachdem die Konferenz im letzten Jahr in Berlin stattgefunden hat.

Am ersten Veranstaltungstag stehen “mobile” Themen auf der Agenda. Die Tagung steht unter dem Zeichen einer sich wandelnden IT-Landschaft in Unternehmen in der Geräte immer mobiler werden und die Grenzen zwischen privat und dienstlich immer mehr zerfließen. “Mobile Device-Security” und “Bring your own device” sind die Themen, mit denen sich zwei der heutigen Vorträge auseinandersetzen.

Der zweite Tag morgen wird dominiert von vier Workshops, die jeweils mit einem Impulsvortrag eingeleitet werden. Einen davon werde ich leiten und mich gemeinsam mit den interessierten Teilnehmern mit dem Thema Outsourcing auseinander setzen. Vertrag – Migration – Kontrolle: das sind die Themen, die uns im Vortrag und der Workshoparbeit beschäftigen werden.

 

Völlig neue Security-Konzepte möglich

Apple war ja schon immer Trendsetter. Das die Produkte des Unternehmens jetzt auch ganz neue Security-Konzepte möglich machen zeigt eine kleine Notiz im lawblog.

Die Wohnung eines Beschuldigten wurde zwar durchsucht und die Polizei konnte ein Notebook, mehrere USB-Sticks, eine externe Festplatte und etliche DVDs mitnehmen. Nur der zu Monitor und Tastatur zugehörige PC sei nicht auffindbar gewesen – so der Durchsuchungsbericht. Auf die Mitnahme des Monitors wurde verzichtet.

Blöd nur, dass der Monitor ein iMac war…

Passwortschutz mit GoodReader for iPad

GoodReader ist eine Anwendung für das iPad, mit der man die unterschiedlichsten Dateien anzeigen kann. In den allermeisten Fällen werden das PDF-Dateien sein, aber auch Office-Dokumente werden anstandslos angezeigt.

Die App bietet neben den normalen Funktionen auch die Möglichkeit Dateien und Ordner mit einer Passwortabfrage zu versehen. Zeigt man in der Symbolleiste auf das Zahnrad-Symbol, kann man die Passwortabfrage unter “General Settings” aktivieren: “Set password for files & folders”:

Sie sollten dieses Passwort auf keinen Fall vergessen, da es sich nur zurücksetzen lässt, indem man die App deinstalliert und erneut installiert. Nachdem das Passwort gesetzt wurde, kann man im Register “Manage Files” für Dateien und Ordner über die Schaltfläche “Protect” die Passwortabfrage aktivieren. Wurde das Passwort in der aktuellen Sitzung noch nicht eingegeben wird es dabei erneut abgefragt:

Danach erscheint neben dem Ordnersymbol ein kleines Schloss und das Passwort wird abgefragt, sobald sie einen geschützten Ordner oder eine Datei anzeigen wollen.

Wurde das Passwort in der aktuellen Sitzung bereits ein Mal eingegeben, kann man jedoch zwischen verschiedenen Ordnern wechseln, ohne erneut nach dem Passwort gefragt zu werden. Das ändert sich erst, wenn man in den “General Settings” den “Paranoid mode” aktiviert (siehe Abb. oben). Wechselt man dann die App oder sperrt das iPad, dann wird beim nächsten Aufruf des GoodReaders das Passwort erneut abgefragt (natürlich wieder nur einmal).

Neu geöffnete Dateien werden vom GoodReader übrigens standardmäßig in der ersten Ordnerebene gespeichert. Sie müssen also erst in einem Passwort-geschützten Ordner verschoben oder selbst geschützt werden.

Inwieweit die Passwortabfrage die Dateien auch vor unbefugten Zugriff schützt, habe ich bisher noch nicht getestet oder recherchiert. Es empfiehlt sich ohnehin davon auszugehen, dass dem nicht so ist.

Sollte man das iPad jedoch nutzen wollen, um in einer Besprechung ein Dokument weiterzugeben, sind zumindest alle anderen Dokumente, für die die Passwortabfrage aktiviert ist, vor Add-Hoc-Zugriff geschützt – besser als nichts. Aktiviert man zusätzlich noch “Ask Password on startup” (siehe Abb. oben), so wird ein weiteres Passwort für das Starten der App aktiviert.

iPad-Bilderrahmen sperren

Wenn man sein iPad vor unbefugtem Zugriff schützen möchte, kann man in den allgemeinen Einstellungen die Code-Sperre aktivieren. Schaltet man das iPad ein, wird man dann aufgefordert, es zu entriegeln:

In der Standardeinstellung sieht man neben dem Schieber zusätzlich ein kleines Blumen-Symbol. Wenn man auf das Symbol zeigt, aktiviert man die Bilderrahmenfunktion des iPads, ohne dass zuvor der eingestellte Code abgefragt wird.

Wenn man das iPad als Bilderrahmen im Büro verwenden möchte – auch wenn es gesperrt ist – dann ist die Standardeinstellung möglicherweise interessant. In den allermeisten Fällen möchte man allerdings mit der Code-Sperre erreichen, dass alle Daten auf dem iPad vor unbefugten Zugriff geschützt sind. Dazu zählen natürlich auch aufgenommen und übertragene Bilder. Hierzu muss man die Einstellungen der Code-Sperre anpassen:

Nachdem man den zuvor eingestellten Code eingegeben hat, kann man im nächsten Menü die Bilderrahmenfunktion deaktivieren:

Danach führt das Sperren des iPads tatsächlich dazu, dass alle Daten – also auch die Bilder – geschützt sind und auch das Blumen-Symbol ist verschwunden:

https mit Safari auf dem iPad

Wie man in einem Standardbrowser erkennt, ob man eine Verschlüsselte Webseite geöffnet hat oder nicht, sollte hinlänglich bekannt sein. Wie aber erkennt man das mit dem iPad Standard-Browser Safari?

1. unverschlüsselte Seiten

Fangen wir mit der einfachsten Übung an: unverschlüsselte Seiten. Wie erkennt man, dass die aufgerufene Webseite kein SSL verwendet? Sie müssen dazu lediglich auf das Adressfeld in der Titelleiste tippen und schon wird neben der Adresse der Webseite auch das verwendete Protokoll (HTTP oder HTTPS) angezeigt:

2. verschlüsselte Seiten

Einfacher wird es, wenn es darum geht eine verschlüsselte Seite zu erkennen. Dies zeigt Safari über dem Adressfeld durch ein kleines Schloss-Symbol an. In diesem Fall werden Schloss und Schrift grau angezeigt. Zeigt man mit dem Finger auf das Adressfeld, so erscheint hier die vollständige URL mit dem verwendeten Protokoll:

3. EV-Zertifikate

EV-Zertifikate kann man genauso erkennen. Einziger Unterschied ist, dass das Schloss und die Schrift nicht in grau sondern in grün dargestellt wird:

Neue SANS Top 25 Liste

Die SANS hat eine neue Liste der Top 25 Softwarefehler veröffentlicht: Top 25

Die Liste soll dabei helfen, Fehler zu vermeiden, die zu kritischen Schwachstellen führen können, die dann in gezielten Angriffen oder von Malware ausgenutzt werden können. Die Plätze 1 bis 3 gehen an SQL-Injection- und OS-Command-Injection-Schwachstellen und Buffer Overflows. Auf der Webseite steht auch einiges an Zusatzmaterial zu den Top 25 bereit.

Blitzerbeweis mittels Facebook

Wer in einem fremden Auto geblitzt wurde, der konnte bislang der Strafverfolgung entgehen, wenn bloß alle dicht gehalten haben. In Zeiten von Facebook, XING und Co. ist das natürlich vorbei. Davon berichtet jetzt Spiegel-Online in einem Artikel. Dem Bericht zufolge sucht die Polizei gezielt bei Xing und Facebook nach Fotos von Verkehrssündern und gleicht diese mit Blitzerfotos ab:

Die „Morgenpost“ berichtet online von einem konkreten Fall, in der ein Geschäftsmann in einer Abstandsmessung geblitzt wurde. Per Anwalt berief sich der Abstandssünder darauf, nicht gefahren zu sein. Die Beamten fanden den Mann auf ihren Beweisfotos auch im Internet – Widerspruch zwecklos.

“Ich hab’ so einiges verschwiegen.”

Diese denkwürdigen Worte hörte ich am Anfang der Woche nach dem Vortrag “Potenziale des neuen Personalausweises für Unternehmen” aus dem Munde des Leiters des Test und Demonstrationszentrums neuer Personalausweis (Fraunhofer-Instituts FOKUS). Er hatte während seines Vortrags auf der DuD einiges über die Sicherheitsfunktionen des ePA berichtet und nur am Rande erwähnt, dass die AusweisApp z.B. am 09.11. aus dem Netz genommen wurde. Statt die damals vorhandenen Sicherheitsmängel anzusprechen brachte er das mit der schwierigen Geschichte dieses Datums in Deutschland in Verbindung. Nach dem Vortrag sprach ich ihn darauf an, dass er dem Publikum verschwiegen hatte, warum die AusweisApp aus dem Netz musste. Seine knappe Antwort:

“Ich hab so einiges verschwiegen.”

Ich gehe jetzt einfach mal davon aus, dass er damit viele weitere Sicherheitsfunktionen gemeint hat, die man bisher noch nicht bekannt gegeben hat.

Die Beantwortung von Publikumsfragen zu Kartenlesern lehne er übrigens von vorneherein ab.

Skype-Vishing

Haben Sie schon Mal von Vishing gehört? Das ist das Kunstwort für Voice Phishing. Man bekommt also keine Mail, mit der man dazu gebracht werden soll, PINs und TANs zu verraten, sondern einen Anruf, der genau das versucht. Das Thema schein zumindest so relevant zu sein, das sich Skype veranlasst fühlt, darüber zu bloggen.

Skype offers privacy control options to keep users protected from unwanted communications. Windows users should just open Tools -> Options -> Privacy and set your preferences for receiving communications, while Mac users can find these settings under Skype -> Preferences -> Privacy. We recommend that you do not authorize calls from people you do not know.