6. April 2007

IT-Sicherheit in der Produktion

Category: Produktion,Work — Christian @ 21:57

Ich bin gerade dabei, ein Seminar „IT-Sicherheit in der Produktion“ zusammenzustellen. Das Thema scheint im Gegensatz zu den USA in Europa generell noch nicht richtig angekommen zu sein. Während drüben das US Department of Homeland Security richtig aktiv ist und Unternehmen dazu nötigt Sicherheitskonzepte für ihre Produktionsanlagen zu erstellen und zertifizieren zu lassen, basiert hier bei uns noch alles auf freiwilliger Basis. Das einzig brauchbare Konzept das ich bisher finden konnte, ist vom Bundesamt für Sicherheit in der Informationstechnik und hat den Titel „Schutz kritischer Infrastrukturen in Deutschland„.

Den meisten Administratoren und IT-Sicherheitsbeauftragten ist nicht mal klar, warum man die normalen Sicherheitskonzepte hier einfach nicht anwenden kann. Darum wird das Seminar mit folgender Übersicht eingeleitet:

Unternehmens-IT Leittechnik
Hauptrisiko Verlust von Daten Schaden an Leib und Leben, Umweltschäden, Zerstörung von Produktionsanlagen
Risikomanagement Wiederherstellung durch Reboot;
Betriebssicherheit (safety) ist kein Schwerpunkt
Fehlertoleranz überlebenswichtig;
Explizite Gefährdungsanalysen (oft sogar gesetzlich vorgeschrieben)
Ausfallsicherheit Gelegentliche Ausfälle tolerierbar;
Betatest im Betrieb akzeptabel (und bei Standard-Software oft üblich)
Ausfälle nicht tolerierbar;
Umfassende Qualitätssicherung notwendig
Leistungsanforderungen Hoher Durchsatz (Bandbreite) vom Benutzer verlangt;
Verzögerungen und Schwankungen in der Qualität akzeptiert
Bescheidene Durchsatzraten sind oft akzeptabel;
Zeitverzug ist bei Produktionsanlagen ein Sicherheitsrisiko
Sicherheit Viele Standorte physikalisch kaum gesichert (Besuchsverkehr, etc.);
Kaum Segmentierung interner Netzwerkbereiche;
Fokus liegt in der Absicherung zentraler Dienste und Server
Hohe physische Sicherheit;
Unternehmensnetze von Produktionsnetzen oft streng getrennt (noch);
Fokus liegt in der Zugangskontrolle sowie Betriebssicherheit und Verfügbarkeit

Ich bin ja mal gespannt, ob diese Übersicht dem einen oder anderen Teilnehmer die Unterschiede in den notwendigen Sicherheitskonzepten klar macht.

Black Hat Europe 2007

Category: Hacking — Christian @ 15:55

Die meisten Präsentationen der Black Hat Europe 2007 Sicherheitskonferenz sind inzwischen Online. Die Konferenz in Amsterdam ist relativ teuer (zumindest im Vergleich zum Chaos Communication Congress jedes Jahr im Dezember in Berlin) und daher war ich nicht live dabei. Andererseits ist der Vista-Bootkit-Hack von Nitin und Vipin Kumar auch schnell durch die Medien gegangen.

Viel spannender finde ich aber die Themen, die keine große Medienaufmerksamkeit geniessen. Beispielsweise ist Adam Laurie immer wieder für ein paar Lacher gut. Auf dem 22C3 hat er einen hervorragenden und sehr amüsanten Vortrag mit dem Titel „Old Skewl Hacking – InfraRed updated“ gehalten. Auf der Black Hat Europe 2007 hatte Laurie einen Vortrag mit dem Titel „RFIDIOts!!! – Practical RFID hacking“. Sehr lustig ist die vorletzte Seite der Präsentation mit der Reaktion der Firma ACG:

    „Unfortunately your companies activities seem to be counter to ACG’s interests so we will not be able to support you any further.“

Manche Firmen scheinen immer noch nicht kapiert zur haben, wie das mit der IT-Sicherheit funktioniert. Abstreiten, blind und taub stellen ist leider keine Lösung.

Die weiteren wichtigen Themen sind immer noch Web-Application Security, mal wieder Oracle und natürlich dominiert Vista den Ring. Der Trend geht offensichtlich ganz klar zu immer weiter automatisierten Vulnerability Scannern, insbesondere Fuzzer sind groß dabei.

Und in SS7 werde ich mich demnächst mal ein wenig einlesen.