Sicherheit in der Verwaltung: neue Lösungen für neue Anforderungen Dr. Marcus Pattloch (DFN) pattloch@dfn.de 5. Tagung der DFN-Nutzergruppe Hochschulverwaltung 19.-21. Februar 2001
Gliederung Lösungsmöglichkeiten im Sicherheitsbereich Motivation Teil 1: Bedeutung „klassischer“ Sicherheitsmaßnahmen Teil 2: Neue Lösungsansätze im Sicherheitsbereich Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich Zusammenfassung
Motivation (1) 1993 Merseburg, 1995 Kaiserslautern zentrale Frage: braucht man getrennte Hochschul- und Verwaltungsnetze ? Ergebnis: Integration beider Netze aus diversen Gründen sinnvoll Maßnahmen zur Absicherung wurden ergriffen Sicherheitskonzepte Firewalls Einsatz kryptographischer Software Sicherheit entwickelt sich dynamisch und ist zeitabhängig !
Motivation (2) Leipzig 1999, Kassel 2001 neue Anforderungen neue Anforderungen an die Hochschulverwaltung neue Bedrohungen der Sicherheit neue Anforderungen sichere Vernetzung dezentrale Standorte Nutzung spezieller Anwendungen über Firewalls rechtliche Rahmenbedingungen (Signaturgesetz / EU-Richtlinie) neue Bedrohungen Bedrohung von Innen Distributed Denial of Service (DDOS) Viren in Mail-Attachments
Anforderungen und Lösungen Anforderungen / Probleme DDOS spektakuläre Hackerangriffe (Yahoo, Amazon, Microsoft) Viren (Melissa, Kournikova) Bedrohung von Innen sichere Authentifikation transparente Sicherheit Sicherheit mobiler Endgeräte dezentrale Standorte Signaturgesetz-konform (neue) Lösungen VPN IPsec PKI LDAP SmartCards virtuelle Trustcenter biometrische Verfahren dezentrale Firewalls zentrale Mail-Gateways
Bedeutung „klassischer“ Sicherheitsmaßnahmen Teil 1: Bedeutung „klassischer“ Sicherheitsmaßnahmen
Einspielen von Software-Patches Ziel: Schutz vor Ausspähen eigener System Ausspähen, Verändern und Löschen eigener Daten Missbrauch eigener Ressourcen als Ausgangspunkt für neue Angriffe (DDOS) standardmäßig Verwendung zahlreicher Software-Pakete regelmäßige Entdeckung neuer Sicherheitslücken Unix (z.B. sendmail) Windows regelmäßige (unentgeltliche) Bereitstellung von Patches Informationen z.B. vom DFN-CERT auf der Liste win-sec@cert.dfn.de Einspielen der Patches ist nicht sehr aufwendig
Fallbeispiel (1) Problem: Spamming Gegenmittel: Mail Spam-Filter Spamming ist ein zunehmendes Problem Nutzer erhalten ungefragt nicht gewünschte Inhalte (z.B. Reklame) nicht gewünschte Inhalte verschwenden personelle und technische Ressourcen Gegenmittel: Mail Spam-Filter Kontrolle der Mail an einem zentralen Mail-Gateway Filterung der Mails Nicht-Zustellung potentieller Spam-Mail an Nutzer Mögliche Konsequenz angenommene Mail muss zugestellt werden Nutzer klagen gegen Nicht-Zustellung
Fallbeispiel (2) Problem: Aufzeichnung und Auswertung von Daten Massive Angriffe auf eine Einrichtung Schäden für die Einrichtung entstanden Durchführung von Logging, Monitoring, Auditing mit erheblichem Aufwand kann der Angreifer identifiziert werden Aufgezeichnete Daten sollen als Beweismittel verwendet werden Rechtliche Situation war unberücksichtigt Datenschutzbeauftragter untersagt Nutzung der aufgezeichneten Daten Sperrung des Nutzers / Angreifers nicht zulässig Angreifer klagt gegen die Einrichtung
Strukturen schaffen Ziel: Schutz vor Problemen bei Auswertung von Log-Dateien (z.B. Firewall) Angriffen von Innen frühzeitiges Einbinden aller Beteiligten in einer Arbeitsgruppe Hochschulleitung Datenschützer Betriebs-, Personalrat IT- oder RZ-Leiter Hauptaufgaben der Arbeitsgruppe alle Beteiligten in das Sicherheitskonzept einbinden gemeinsames Tragen der Konzepte und Entscheidungen (vor der Umsetzung !)
Schulung von Nutzern Ziel: Sicherheitskompetenz der Nutzer erhöhen 80-90 % aller Angriffe erfolgen von Innen, viele davon durch Unwissenheit Viren - trotz ständiger (medienwirksamer) Warnungen Dateien werden ohne Kontrolle geöffnet Programme werden ohne Kontrolle gestartet Mail Attachments werden automatisch geöffnet bzw. gestartet Konfiguration von Browsern Fehlverhalten aufgrund mangelnder Kenntnisse Sicherheitsoptionen sind standardmäßig abgeschaltet Zulassung aktiver Inhalte (Java, JavaScript, AktiveX, Cookies) dezentrale Firewalls immer höhere (implizite) Anforderungen an Nutzer
Zusammenfassung klassischer Maßnahmen Klassische Maßnahmen, z.B. Schaffung interner Strukturen Einspielen von Patches Schulung von Nutzern Vorteile relativ geringer Personalaufwand relativ geringer finanzieller Aufwand es kann eine solide Basissicherheit gewährleistet werden Aber: wie alle Sicherheitsmaßnahmen müssen auch diese regelmäßig durchgeführt werden!
Neue Lösungsansätze im Sicherheitsbereich Teil 2: Neue Lösungsansätze im Sicherheitsbereich
PKI (1) Ziele von Public Key Infrastrukturen (PKI) Betrieb einer PKI Aufbau einer Basis für authentische Kommunikation geeignet in offenen Netzen mit vielen Teilnehmern (Skalierbarkeit) technische & organisatorische Infrastruktur für Schlüssel und Zertifikate Grundkonzept asymmetrische Verschlüsselung Betrieb einer PKI Generierung von Zertifikaten und/oder Schlüsseln Bereitstellung aktueller "Schwarzer Listen (CRL)" Directory Infrastruktur zur Verteilung öff. Schlüssel und Zertifikate DFN-PCA als PKI im Wissenschaftsbereich
PKI (2) Betrieb einer Signaturgesetz-konformen PKI hohe Anforderungen an bauliche Maßnahmen hohe technische Anforderungen (z.B. SmartCards) Umfangreiche Prozedur zur Anerkennung als SigG-konforme Zertifizierungsstelle Alternative: virtuelles Trustcenter Beispiel "VIRTUALTRUST" der Deutschen Post Betrieb einer Zertifizierungsstelle für einen Dritten in dessen Namen nach Außen hin nur als Zertifizierungsstelle des Dritten erkennbar eigener Personalaufwand kann erheblich reduziert werden
PKI (3) Kosten virtuelles Trustcenter (am Beispiel VIRTUALTRUST) Einmalkosten: mehrere 100TDM laufende Kosten: 50-100 TDM / Jahr Kosten für SmartCards: ca. 50 DM / Jahr / Stück unterstützte Anwendungen z.B. VIRTUALTRUST für Mail: Lotus & Outlook eigene Anwendungen müssen aufwendig zertifiziert werden teuer zeitaufwendig weitere Anwendungen in Vorbereitung
IPsec Ziel: Realisierung von Sicherheit auf Netz-/Transportebene Vorteil Verfahren sind für die Nutzer transparent sein Nachteile keine nutzerspezifische Authentifizierung alle an der Kommunikation beteiligten Systeme müssen IPsec unterstützen hohe finanzielle Investitionen in die Infrastruktur erforderlich Ferguson / Schneier: "A cryptographic evaluation of IPsec" IPsec is far better than any IP security protocol so far ... we do not believe that it will ever result in a secure operational system. It is far too complex ...
biometrische Verfahren Ziel: vereinfachte bzw. sicherere Authentifikation von Personen verschiedene praktische Realisierungen Handfläche Finger Auge Stimme Vorteile kein Merken komplizierter Passwörter Identifikationsmedium trägt man immer bei sich Nachteil Fehlertoleranz der Systeme nicht für alle Anwendungen geeignet
SmartCards Ziel: sehr sichere Speicherung geheimer Schlüssel SmartCard Chipkarte mit integriertem Mikroprozessor keine einfache Speicherkarte Vorteile sehr hohe Sicherheit, da geheime Informationen die Karte nicht verlassen können kein Merken komplizierter Passwörter Nachteile noch häufige Kompatibilitätsprobleme noch aufwendige Integration in bestehende Arbeitsumgebungen aufwendige Infrastruktur zwischen den Lesegeräten erforderlich
Teil 3: Zusammenspiel klassischer und neuer Lösungsmöglichkeiten im Sicherheitsbereich
Einordnung der Lösungsansätze 10.000 100.000 1.000.000 Fachpersonal für Thema Sicherheit DM/a für Investitionen in Sicherheit IPsec virtuelles Trustcenter SmartCards inkl. Infrastruktur biometr. Verfahren inkl. Infrastruktur eigenes Trustcenter Patches Nutzerschulung Strukturen schaffen bis zu einem ein bis drei mehr als drei
Zusammenfassung es existieren neue Anforderungen im Sicherheitsbereich neue Lösungsansätze sind vorhanden oder in der Entwicklung klassische Maßnahmen verlieren dadurch jedoch keinesfalls an Bedeutung stufenweises Vorgehen abhängig von Ressourcen erst klassische Maßnahmen wenn zusätzliche Ressourcen frei sind: Analyse der weiteren Anforderungen dann Implementierung neuer Lösungsansätze neue Lösungsansätze können Sicherheitsniveau verbessern, aber Bereitstellung von eigenem Fachpersonal und finanziellen Ressourcen nötig Folge-/Pflegeaufwand bedenken (Sicherheit ist zeitabhängig!) Ohne ausreichende personelle und finanzielle Ressourcen gibt es auf Dauer keine Sicherheit !