Wir stellten in einer ersten Runde fest, dass wir oft in einem Dilemma zwischen Sicherheit und Einschränkung unserer Arbeit stehen. Der Faktor Mensch ist zudem unabhängig der Sicherheit oft das schwächste Glied in der Reihe aller Sicherheitfaktoren.
Was ist Sicherheit?
Sicherheit ist, sich wohlzufühlen mit der Situation, eine Illusion (manchmal eine schöne Illusion), die Möglichkeit die eigenen Informationen zu verwalten und allenfalls weiterzugeben. Wahrscheinlich gibt es keine abschliessende Aussage, was Sicherheit ist. Zudem gibt es keine vollständige Sicherheit - schon gar nicht eine vollständige, technische Sicherheit!
"Es geht nicht darum, wie hoch die Mauer ist, sonder darum wo die Löcher in der Mauer sind."
Wir haben verschiedene schulspezifische Sicherheitsinhalte auf deren Sicherheitseigenschaften untersucht und die folgenden Sicherheitseigenschaften jeweils mit tief, mittel oder hoch (Wichtigkeit) beurteilt. Diese Vorgehensweise kann eine Methode sein, womit die Sicherheit in einem Schulsystem beurteilt werden kann.
Wir haben einige allgemeine Gefahrenherde festgestellt, die in allen Schulen eine Bedrohung zu sein scheinen:
- Script-Kidies: Sie sind gelangweilt und greifen mit Hilfe des Internets, ohne es sich bewusst zu sein, die Sicherheit des Netzwerkes an.
- umgekehrte Sicherheit ist ein Problembereich: Wer ist haftbar, wenn über infizierte Schulcomputer Malware weitergegeben wird?!
Einige Grundsätze und Prinzipien:
- Absolute Sicherheit gibt es nicht
- Kenne deinen Feind, kenne dich selbst
- Nicht blauäugig sein, die User sind weiter als wir erwarten
- Pragmatismus: Mittel zum Schutz sollen mögliche Schadensumme nicht übersteigen
- Bei den Netzwerkübergängen sind oft die Gefahrenpunkte - mehr vernetzt heisst auch mehr Sicherheitsrisiken
- Man wird immer abgehört, die Frage ist nur, ob die Abhörer die wichtigen Informationen herausfiltern können
- Malware holen wir uns heute vor allem über das Internet - deshalb muss die Software immer aktuell gehalten werden
- Immer die Verfügbarkeit, die Integrität, die Vertraulichkeit und Nachvollziehbarkeit überprüfen, um die Sicherheit zu evaluieren - Verschlüsslungen lösen das Integritätsproblem nicht!
Oft werden die physischen Infrastrukturmassnahmen vergessen. Dazu gehören Brandschutz, Zugangsschutz, Wasserschutz und Klimaschutz. Die Stromversorgung und die Kommunikationsverkabelung müssen überwacht werden.
Wenn man den Zugriff steuern will, ist es viel einfacher physisch den Zutritt zu steuern, als den Zugriff auf das Netzwerk zu steuern. (siehe Abbildung unten)
Quelle: Wikipedia
Auf diesem Modell sehe ich, welches Gerät wie "intelligent" kommuniziert und wie es somit geschützt werden muss oder kann. Vor allem physikalische Trennungen müssen schon auf Layer 2 vorgenommen werden (Firewall).
"Als die Protokolle definiert wurden, gab es alles nur liebe Leute!" Die Protokolle bieten den Angreifern die Möglichkeit das Netzwerk anzugreifen und abzuhören. Kein einziges der Protokolle auf der folgenden Abbildung können schützen oder verschlüsselt werden. (siehe Abbildung) Deshalb wurden mit SSL neue Protokolle eingeführt, so wie zum Beispiel HTTPS.
Wenn ich will, dass bei einem WLAN nicht einfach irgendjemand auf mein WLAN kommt, muss ich ein weiteres logisches Netz erstellen, das mit einer Firewall vom Netz getrennt ist. So können die fremden Benutzer nicht auf das Netzwerk zugreifen, haben aber doch Zugriff auf das Internet.
Das Gleiche gilt mit Remote-Access-Geräten. Sie können ebenfalls von aussen nur auf ein Gerät in einem separaten logischen Netz, das die Authentifizierung des Benutzers vornimmt und erst dann einen Zugriff auf das lokale Netzwerk zulässt.
Firewall - Ruleset:
Die Rules werden in Source, Destination, Service und Action eingeteilt. Die Firewall arbeitet also so, dass sie den Ursprung und den Zielort anschauen und dann bestimmen, ob ein Packet dahin darf. Mit any wird alles durchgelassen, die Action bestimmt das Vorgehen der Firewall.
"Unsere Aufgabe ist es, Script-Kidies zu verhindern, denn Hacker kommen ja sowieso trotzdem hinein und können alles machen."
VPN:
Ein VPN ist noch keine Verschlüsselung, sondern nur ein Tunnel. Das Packet, das durch den Tunnel geht ist immer noch lesbar! Deshalb muss das Packet noch verschlüsselt werden, sonst ist eine VPN-Verbindung nicht sicher. (Bsp. Verschlüsselung IPSec (IPSecurity im Tunnelmodus) - diese Verschlüsselung geschieht im Layer 3 - IP-Protokoll. Das Problem bei den VPN aber die Verfügbarkeit, denn diese kann von niemandem gewährleistet werden. Wenn ich VPN verwende, dann muss ich eine persönliche Firewall verwenden, damit nicht die Provider-IP zur VPN-IP über mein Endgerät eindringen kann und so Zugang zu meinem Netzwerk hat.
VMWare als Software für virtuelle Clients. Das Problem mit virutellen Clients oder Netzwerken ist der Schutz der Administrationsumgebung. Sobald ein Eindringling diese Sicherheit überwunden hat, hat er Zugang auf das ganze virtuelle Netzwerk. Auch virtuelle Systeme müssen gepatcht werden - das bringt Arbeit und braucht viel Zeit.
Patchen
Microsoft-Software kann über den WSUS gepatcht werden - dabei sollten Pilot-Clients benützt werden, die zuerst automatische gepatcht werden. So können bei Problemen die Verteilungen rechtzeitig gestoppt werden. Für die restliche Software kann ein Softwareverteilsystem oder eine Imagelösung eingesetzt werden.
Mit Microsoft Baseline Analyser und GFI Languard können der Updatestatus der Netzwerkcomputer überwachen.
Im BIOS sollte die Bootreihenfolge passwortgeschützt sein, damit nicht über ein externes Medium gebootet werden kann. Mit CDs, die ein Betriebsumgebung mit Hackertools booten können, kann dann der PC gesteuert und verändert werden. (Bsp.: http://www.remote-exploit.org)
Authentifizierung
Jedes Passwort kann geknackt werden. Deshalb sollten die Einstellungen so gewählt werden, dass etwa zehn falsche Eingaben möglich sind und dann der Account gesperrt wird. Es kann auch ausgewählt werden, dass der Account nach einer halben Stunde wieder freigeschaltet wird. Auch kann in den Gruppenrichtlinien eingestellt werden, wie komplex ein Passwort sein soll.
Unter https://passwortcheck.datenschutz.ch kann die Passwortkomplexität getestet werden.
Mit Tools wie Cain und Abel können Passwörter auch ausspioniert werden und somit nützt dann die ganze Komplexität der Passwörter nichts mehr.
Die Passwörter für die lokalen Administrators und für die Domänenadministrators müssen immer unterschiedlich sein. So kann die NTLM - Datei nicht aus einem Client ausgelesen werden und auf das Netzwerk zugegriffen werden.
Mit Software wie L0phtCrack können solche Passwörter ausgelesen werden.
Leute, die mit der Passwortproblematik Mühe haben und sich mehrere Passwörter merken müssen, können mit Tools wie Roboform, Passwortsafe, usw. einen Passwort-Manager benützen, der ihnen die Passwörter verschlüsselt zur Verfügung stellt.
Ebenfalls bei Memorysticks können Verschlüsselungen eingesetzt werden, damit die Daten beim Verlust nicht ungeschützt freigegeben werden.
Backup - Recovery
Ein Backup ist erst dann sinnvoll, wenn zwischendurch ein Backup auch getestet wird - so stellt man sicher, dass die Backups auch wirklich zurückgespielt werden kann. Zudem sollten die Backup-Kasetten an einem anderen Ort gelagert werden. Dafür sollte nicht ein privater Ort verwendet werden. (Haftbarkeit)
Vollbackups sollten etwa wöchentlich durchgeführt werden, inkrementelle Backups täglich.
Kontrollfragen zum Backup:
Sind die Verantwortlichkeiten für das Backup geregelt?
Wann wurde der letzte Restoretest durchgeführt?
Sind wirklich alle nötigen Daten auf dem Backup gespeichert?
Was erfolgt die Sicherung auf den Notebooks?
Sind die Backupmedien inventarisiert, wer hat Zugriff darauf?
Faktor Mensch (Layer 8)
Der Mensch ist oft das Problem, da er nicht fassbar ist, sich verändert und sich nicht kontrollierbar verhält.
- Unwissen: die Technik ist dem Mensch weit voraus und es ist ein hoher Einsatz nötig, um die Sicherheitsrisiken zu kennen und darauf reagieren zu können
- Routine: oft ist der Mensch bequem und manchmal gar ignorant
- Komplexität: oft sucht der Mensch die Einfachheit, der schnelle und einfache Weg und vergisst oder ignoriert dann die Sicherheitsmängel
Nutzungsvereinbarung:
Über eine Nutzungsvereinbarung für alle Benutzer (auch die LP) kann eine Sensibilisierung und das Wissen, was zu tun ist, erreicht werden. Darin werden die must do's und die must to know's aufgezeigt werden. Allenfalls müssen Kontrollmassnahmen und Disziplinarmassnahmen aufgezeigt werden. Es ist nötig, dass die persönliche Bindung und das Einverständnis der Benutzer eingeholt werden. Diese Nutzungsvereinbarung sollte in einer positiven und verständlichen Art formuliert sein, damit ich die Menschen besser erreiche.
Awareness und Ausbildung:
Unser Motto für dieses Thema: Steter Tropfen hölt den Stein!
Lehrpersonen:
- Screencasts - Hilfestellungen zur Handhabung der Sicherheit
- ICT-Newsletter (Rubrik Sicherheit)
- "in die Falle laufen lassen"
- Zeitgefäss an Teamsitzung (für Infos)
- Benutzervereinbarung für LP's
- Feststellen, wo grundlegende Sicherheitsregeln nicht eingehalten werden - dort ansetzen
- Situationen nachstellen
- Ausbildung: zu viele Infos auf einmal!
- Demo durchführen mit Hackingtools, um die Einfachheit und Problematik vorzuführen
Schüler:
- Benutzervereinbarung für Schüler
- café Affenschwanz - Plakat erklären und umsetzen
- http://www.security4kids.ch kennenlernen und besprechen
http://www.infosurance.ch - Site mit vielen Infos über Sicherheit, Download von Flyern
http://www.heise.de/security/ - Site mit Sicherheitsnews, die immer aktualisiert wird - gute Beispiele
