Das US Department of Homeland Security hat jedenfalls auf CNN.com ein Video veröffentlicht, das die Zerstörung eines Stromgenerators durch einen Hackerangriff zeigt. Angeblich sei es auch möglich, vergleichbare Angriffe gegen große Anlagen und Umspannwerke durchzuführen.
Über die Sicherheit von wichtigen Anlagen, sogenannter kritischer Infrastruktur gibt es seit längerem große Diskussionen. Auf der einen Seite zeigen Penetrationstests z.B. von ISS, dass Angriffe sehr wohl möglich sind und mit einfachsten Mitteln durchgeführt werden können. Gerade in den komplexen SCADA-Protokollen wie OPC werden immer wieder Sicherheitslücken gefunden. Andererseits halten Forscher wie Bruce Schneider die Gefahr für übertrieben.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bekanntlich einen Leitfaden für kritische Infrastrukturen veröffentlicht, das Bundesinnenministerium (BMI) hat sogar ein Sicherheitskonzept beigesteuert.
Ich fürchte jedoch, so richtig ins Bewusstsein der Bevölkerung und der Verantwortlichen treten die Risiken und notwendigen Maßnahmen erst, wenn die ersten richtig großen Schäden aufgetreten sind. Eon, RWE, Vattenfall und EnBW sind zur Zeit zu sehr damit beschäftigt, die Bevölkerung auszunehmen als sich konsequent mit den diversen Risiken, angefangen mit Thomasstahl (RWE) über die Kernkraftwerke (Vattenfall) bis hin zur Ausfallsicherheit im Transport (Eon) zu beschäftigen.
Von 21.-23.11. ist die 6. IT-Security Tagung der CBT Training und Consulting in Garmisch-Partenkirchen. Ein Tag davon wird komplett auf der Zugspitze verbracht.
Kollege Matthias zeigt in etwa 90 Minuten Live-Hacking eindrucksvoll, was der aktuelle Stand beim Hacken von Voice-over-IP, Instant Messaging und anderen weit verbreiteten Kommunikationsprotokollen ist. Neben den üblichen Themen wie Abhören von Telefongesprächen und Umleitung der Anrufe zeigt er auch Man-in-the-Middle Angriffe und ein paar weitere Schmankerl. Am besten einfach überraschen lassen.
Ich selbst bin mit einem Praxisbericht über die Sicherheit in Produktionsanlagen, Vorgehensweisen zur Risikoanalyse, Gefahren von Penetrationstests etc. dabei. Das Thema ist natürlich etwas theoretischer und bietet weniger Showeffekte, wird jedoch durch die zunehmende Vernetzung für viele Unternehmen immer wichtiger.
Außerdem hält Robert Bursy von Neupart, einer Firma die sich auf Tools zur Entwicklung von Sicherheitskonzepten nach ISO 27001 sowie Awarenessprogrammen spezialisiert hat einen sehr interessanten Vortrag zur Einführung eines toolgestützten Sicherheitskonzepts in Unternehmen.
Über das Buch „Normal Accidents“ von Charles Perrow und die Zusammenfassung von Dick Piccard wollte ich schon länger was schreiben aber irgendwie hat immer die Zeit gefehlt. Perrow hängt seine Beispiele am Kernreaktorunfall in Three Mile Island 1979 auf, man kann jedoch leicht Analogien zu modernen IT-Infrastrukturen, insbesondere auch in der Produktion ziehen. Die Begriffe mit denen wir im IT-Risikomanagement arbeiten sind im Grunde jedoch die gleichen.
Es gibt Fehler und Ausfälle („Discrete Failures“), die an einer Stelle auftreten und an und für sich gut verstanden sind. Ein Ausfall einer Festplatte könnte so ein Fehler sein. Um den Schaden solcher Ausfälle zu minimieren werden fehlertolerante Systeme eingesetzt, d.h. wichtige Server enthalten redundante Platten, redundante Netzteile, etc. und wenn eine Komponenten ausfällt bleibt das Gesamtsystem erhalten. Damit versucht man einen „Single Point of Failure“ zu vermeiden.
Gleichzeitig ist die gesamte Infrastruktur immer stärker und enger vernetzt, man nennt das auch „tight coupling“. Solange daher nur ein diskreter Ausfall auftritt bleibt die Situation leicht beherrschbar. Wenn jedoch mehrere solcher diskreter Ausfälle gleichzeitig auftreten dann kann aufgrund der hohen Vernetzung leicht eine Situation eintreten, in der die verschiedenen Ausfälle nicht mehr zuverlässig identifiziert werden können und durch das Zusammenwirken der eigentlich harmlosen Einzelfehler ein hoher Schaden eintritt. Perrow spricht hier von „Interactive Complexity“.
Ein „Normal Accident“ ist ein Unfall oder Schaden, der aufgrund des Zusammenspiels mehrerer für sich genommen harmloser Einzelfehler auftritt, die in Summe kaum noch beherrschbar sind. Solche Unfälle sind auf Dauer kaum vermeidbar, da Fehler mit einer gewissen Wahrscheinlichkeit auftreten und zufällig auch Häufungen vorkommen können.
Um diese Unfälle zu minimieren sind mehrere Maßnahmen hilfreich:
 Effizentes Risikoassessment mit einer realistischen Risikoanalyse zur Bewertung der Gefahren und Schäden
Minimierung der möglichen Schäden, um Katastrophen zu vermeiden. Hier können oft bereits in der Planung einer Infrastruktur schlimme Fehler vermieden werden
Vermeidung von Technologie, die nicht beherrschbar sind. Oft wäre es besser ein stabil betriebenes System mit geringerer Funktionalität zu nutzen als ein unsicheres das jedoch ein paar Gimmicks mehr hat
Vermeidung zu starker Integration und Vernetzung, damit sich Schäden nicht ausbreiten können
Vieles davon lässt sich auch in der IT gut umsetzen. Es scheitert jedoch oft am Willen. Dazu vielleicht später mehr.
Erinnert sich noch irgendwer an die Holzspielzeugeisenbahnen von Brio? Schienen aus Holz mit Zapfen zum Zusammenstecken, hölzerne Eisenbahnwaggons mit Magneten die einen Zug bilden … ? Bei mir ist das so ca. 28 Jahre her.
Brio gibt es immer noch und die Produkte werden jetzt offensichtlich an die modernen Zeiten angepasst. Jedenfalls habe ich neulich das Brio E-Mail Central Set entdeckt:
„Help! All EMO wants to do is deliver the mail – but the viruses are attacking, and the damage could shut down the mail hub.“
Ok, das Video ist nicht ganz so lustig wie die Raucher aber möglicherweise für einige Firmen wie z.B. Ernst & Young auf genau dem richtigen Niveau für ihre Mitarbeiter. Die Statistik von The Register über gestohlene E&Y-Laptops ist wirklich eindrucksvoll.
Ich glaube, langsam ist alles zu Vista gesagt … die Beutelschneiderei mit den verschiedenen Versionen, die teuer erkauften Vista Ultimate Extras, die Sicherheitsextras, die niemanden glücklich machen … ich bleibe garantiert so lange es geht bei meinem XP.
Jetzt fordert Don Reisinger auf news.com schon die Einstellung von Vista: Why Microsoft must abandon Vista to save itself. Schön wäre es ja, aber ich bin sicher selbst mit Vista kriegt Microsoft nochmal die Kurve.
Google Analytics wird immer beliebter, da damit von Google eine einfache und mächtige Möglichkeit angeboten wird, die Besucherstruktur einer Webseite zu analysieren. Ich habe auch schon mit dem Gedanken gespielt, hier auf dieser Seite Google Analytics einzubinden.
Andererseits gehöre ich auch gerne mal zu den paranoiden Spinnern, die alles blockieren, was ihnen auch nur am Rande etwas zu suspekt erscheint. So blockiere ich zum Beispiel alles was zu ivwbox.de geht oder auch was lokale ivwbox.domain.de Server sind. Ich finde, die Firma Infonline muss nicht wissen, wann ich wie und wo auf welcher Webseite bin.
Man kann aber noch viel mehr anstellen … das JavaScript-File von Google Analytics, urchin.js kann man bis Version 5 kostenlos und ab Version 6 kostenpflichtig in eigene Angebote direkt einbinden und selbst auswerten, ohne auf Google zurückzugreifen.
Spannend wird, wenn man in einzelne vom Skript gesetzte Cookies weitere Daten einbindet, die beispielsweise zur Identifizierung des Users geeignet sind … die Möglichkeiten sind fast unendlich. ts/sci security hat da einen sehr interessanten Beitrag.
Ich muss mir demnächst vermutlich doch mal das Buch zur Serie anschauen … irgendeine nützliche Missbrauchsmöglichkeit fällt mir bestimmt auch noch ein!
Nette Satire: Windows Vista SP1 installiert wieder XP, weil die Kunden damit am ehesten zufrieden sind.
„We’re focused on giving the customer what they want, and want they want is to just go back to XP,“ said Microsoft Development Chief Greg Elston. Elston also added that if people complain too much they’ll just revert to Windows ME.
