Trojaner aus dem Osten im Bundestag (10.6.15)

[laienfragen]

Ich bin neu hier und es ist mein erster Post. Ich kenne mich ein wenig mit Computern und BS aus, bin aber keine Fachfrau. Meine Frage ist,
warum legt sich der Bundestag keine Firewall zu?
Oder kann man Daten gar nicht absichern. Wir machen das so,
alle Daten sind nur auf offline Rechnern. Hier der Rechner ist so gut wie leer, nur Browser und Emailprogramm ist drauf. Wir machen auch kein Onlinebanking, denn der Überfall auf den Bundestag ist Warnung genug.
Ist das im Forum hier erlaubt, über Datensicherheit zu reden?

 

[Fluffy]

Es ist absolut verboten, wie sollen wir sonst an die Daten kommen um an die Weltherrschaft zu gelangen, ganz zu schweigen davon das wir sonst der Obrigkeit, unangenehm auffallen, weil dann sonst die Vorratsdatenspeicherung doch noch iw. mal ins leere läuft, was sie ohnehin tun wird. Ganz zu schweigen von dem Datenschutzbewusstsein was sonst im niederen Fußvolk geweckt werden könnte

Eine Firewall hat erstmal nix mit Datensicherheit zu tun, sondern mit der Sicherheit eines Systems.
So gibt es zB ports die ich gar nicht nach aussen freigeben will, zB MySQL, und dergleichen. und einige nur von bestimmten IP's, zB ssh aus dem Firmennetz.

Einige Daten müssen online sein, zB Email, und alles was du darüber verschickst.

Ein Inselsystem schafft zwar sicherheit, aber man bekommt keine Updates, so sind zB lokale Privilege-Escalations möglich, da die Patches dafür fehlen und man kann immer noch physisch auf das System zugreifen.

Es ist also nicht einfach und durchaus auch eiin Ballanceakt.

Der Bundestag ist natürlich eine andere Art von Ziel als zB eine Privatperson von daher werden sich die Fähigkeiten der Angreifer erheblich unterscheiden.

Was ich aber nicht verstehe wiso du sagst das der Trojaner aus dem Osten kommen soll?
Könnte IMO genausogut aus dem Westen kommen.
GHCQ sind der USA hörig und die NSA hat gevatter Staat schon ordentlich gefickt, siehe Selektoren und wir halten immer noch munter unseren Allerwertesten hin.
Gruß

Fluffy

//Edit
Ts, ts, ts da schleichen sich doch "False Flag"-Verdachstmomente an.

 

[bitmuncher]

Ist das im Forum hier erlaubt, über Datensicherheit zu reden?

Natürlich ist das erlaubt.

Was ich aber nicht verstehe wiso du sagst das der Trojaner aus dem Osten kommen soll?

Weil das die Medien behaupten. Ausserdem dürfen bestimmte Länder des Westens ja bei uns spionieren. Da würde man also nicht so'nen Wind drum machen.

Zum Thema: Es gibt verschiedene Formen von Firewalls, wobei nur sogenannte Paketfilter tatsächlich sinnvoll sind. Diese schränken aber nur ein welche Dienste aus dem Internet erreichbar sind und welche IPs auf die Dienste zugreifen dürfen, bieten also nur bedingt Schutz vor Angriffen. Sinnvoller zum Schutz vor Angriffen sind Angriffserkennungssysteme, die Manipulationen am System erkennen können (Host-based Intrusion Detection) und schädlichen Traffic ausfiltern (Network-based Intrusion Detection). Angriffserkennungssysteme, die einen Angriff nicht nur an den zuständigen Admin/User melden und aktiv Angriffe blockieren, gibt's natürlich auch. Die nennt man dann Intrusion Prevention Systems. Diese nutzen dann die Firewall um die IP des Angreifers zu blockieren und/oder leiten den Angriff in entsprechende Honeypots um, wo der Angriff dann weiter analysiert werden kann.

Erstaunlich im Fall des Bundestages finde ich vielmehr, dass zum einen solche Systeme offenbar nicht zum Einsatz kommen und dass man zum anderen weiter mit dem verseuchten Netzwerk arbeitet, anstatt die Rechner für die Analyse zu isolieren. Das zeigt wie unfähig der zuständige Datenschutzbeauftragte und die Sysadmins dort sind. Dabei weiss jedes Kind, das hier im Habo schonmal wegen einer Viren/Trojaner-Verseuchung eine Frage gestellt hat, dass man infizierte Rechner sofort vom Netzwerk trennen und komplett neu aufsetzen muss. Die Ursache für diese Unfähigkeit ist allerdings recht einfach zu finden. Einstellungsvoraussetzung im öffentlichen Dienst sind nicht nachweisbare Kenntnisse sondern Studien- und Ausbildungsabschlüsse, die imo recht wenig über die tatsächlichen Kenntnisse aussagen. Viele Hacker, die sich wirklich auskennen, arbeiten aber als Quereinsteiger in der IT und haben daher gar keine Chance an solche Posten zu kommen. Hinzu kommt, dass an allen Ecken und Enden gespart wird, so dass man Aufträge an die Unternehmen vergibt, die möglichst wenig kosten. Dass man mit einer solchen Vorgehensweise nicht gerade die besten Leute bekommt, ist auch allgemein bekannt. Wenn ich mir anschaue, was ich als Sysadmin mit einigen Jahren Berufserfahrung tariflich verdienen würde (ca. 3000 Euro/Monat) und was ich in der Wirtschaft stattdessen bekomme (ca. 5000 Euro/Monat), wundert es mich nicht, wenn dort eher die Leute arbeiten, die in der Wirtschaft aufgrund mangelnder Kenntnisse/Fähigkeiten weniger Chancen haben.

 

[laienfragen]

Ich habe ja die Bedinungen gelesen, deswegen fragte ich ja, ob ich mitdiskutieren darf. Es ist mir nicht so wichtig, ob es aus dem Osten kam, soll der Bundestag offen stehen.

Fragen:
Ist online Banking genauso unsicher wie der Bundestag?

Ist Daten absichern gar nicht möglich?

Gibt es noch den Bundestrojaner und greift der auch Linux an. Vielleicht ist mein Kenntnisstand hier so abzulesen.

Und jetzt kommt die erste dumme Frage:
" Manipulationen am System erkennen können (Host-based Intrusion Detection) und schädlichen Traffic ausfiltern (Network-based Intrusion Detection). A" Ist das nicht der Weg ins System. Denn das lässt sich doch einfacher aushebeln als statische Kontrolle oder?


Ist Datenklau Schlamperei (vom Bestohlenen aus gesehen)?



Natürlich ist ein Rechner offline schwerer zu hacken wie der Bundestag, wo jeden Tag Millionen von Files rein und rausgehen.

 

[bitmuncher]

Fragen:
Ist online Banking genauso unsicher wie der Bundestag?

Das kommt auf die Technologien an, die verwendet werden. Ist ein Rechner aber erstmal mittels Trojaner infiziert, gibt es kaum noch sichere Methoden. Ausnahme stellt hier nur ein Hardware-TAN-Generator dar, der das Empfängerkonto, die Summe und Daten des überweisenden Kontos, die direkt von der Bankkarte kommen, einbezieht dar. Mit den so generierten TANs kann ein Angreifer schlicht und einfach nichts anfangen, so lange er nicht einige Dutzend davon zur Verfügung hat, um den zugrunde liegenden Algorithmus zu berechnen.

Ist Daten absichern gar nicht möglich?

Eine hundertprozentige Sicherheit ist nicht zu erreichen.

Gibt es noch den Bundestrojaner und greift der auch Linux an. Vielleicht ist mein Kenntnisstand hier so abzulesen.

Das musst du die zuständigen Geheimdienste fragen. Du kannst aber davon ausgehen, dass diese durchaus Mittel zur Verfügung haben um in nahezu jedes System einzudringen. Auch der Linux-Kernel ist nicht gerade für seine Sicherheit bekannt. Allgemein gilt: Ein System kann nur so sicher sein, wie es die Kenntnisse des Anwenders ermöglichen.

Und jetzt kommt die erste dumme Frage:
" Manipulationen am System erkennen können (Host-based Intrusion Detection) und schädlichen Traffic ausfiltern (Network-based Intrusion Detection). A" Ist das nicht der Weg ins System. Denn das lässt sich doch einfacher aushebeln als statische Kontrolle oder?

Nein, IDS sind selten leicht auszuhebeln. Das geht nur mit physischem Zugriff auf den entsprechenden Rechner oder wenn zum Zeitpunkt der Einrichtung des IDS bereits eine Infektion vorlag. IDS sind ja dazu da, jede Änderung am System sofort zu erkennen, wodurch sie auf Angriffe reagieren, während dieser noch stattfindet, also bevor die Möglichkeit des Aushebelns überhaupt besteht.

Ist Datenklau Schlamperei (vom Bestohlenen aus gesehen)?

Oft ja, aber nicht generell. Das Eindringen in Systeme erfolgt schliesslich zumeist über Software-Fehler, auf die der Anwender keinen Einfluss hat. Aber in den meisten Fällen von Datendiebstahl wird es den Angreifern unnötig einfach gemacht. Wenn man jeden Link, der einem von irgendwem geschickt wird, anklickt, muss man sich nicht wundern, wenn man sich einen Trojaner einfängt. Und wenn man lieber Crackz aus dem Internet installiert anstatt eine Software zu erwerben, ist es auch nicht verwunderlich, wenn diese Trojaner mitliefern. Und so gibt es noch viele Beispiele, die man üblicherweise als PEBKAC (Problem exists between keyboard and chair) bezeichnet, wo also das Unwissen das Anwenders das primäre Problem ist.

Natürlich ist ein Rechner offline schwerer zu hacken wie der Bundestag, wo jeden Tag Millionen von Files rein und rausgehen.

Dennoch kann man im Fall des Bundestags eine Fahrlässigkeit feststellen, die imo einfach ungeheuerlich ist. Gerade Systeme von Regierungen müssen besonders gesichert werden, was hier offensichtlich nicht geschehen ist. Ganz im Gegenteil: Man arbeitet sogar aktuell noch weiter mit einem Netzwerk, von dem man weiss, dass dort Daten an ein unbekanntes Ziel weitergeleitet werden.

 

[Tarantoga]

Die Ursache für diese Unfähigkeit ist allerdings recht einfach zu finden. Einstellungsvoraussetzung im öffentlichen Dienst sind nicht nachweisbare Kenntnisse sondern Studien- und Ausbildungsabschlüsse, die imo recht wenig über die tatsächlichen Kenntnisse aussagen. Viele Hacker, die sich wirklich auskennen, arbeiten aber als Quereinsteiger in der IT und haben daher gar keine Chance an solche Posten zu kommen.

Ich weiß nicht, für mich klingt das nach einer Verallgemeinerung. Nicht alle Quereinsteiger verfügen automatisch über mehr Erfahrung als Menschen mit einem einschlägigen Studienabschluss und längst nicht alle Informatiker sind Fachidioten, die nur theoretische Kenntnisse haben und in der Praxis ohne Hilfe nicht einmal die Any-Key-Taste finden.

Das Problem warum die Regierung, bzw. die Bundestags-IT in der Sache eine so schlechte Figur macht, ist imho sehr viel komplexer: Zum einen ist das Kompetenzgerangel sicherlich nicht gerade hilfreich, zum anderen liegt es in der Natur von Politikern, ihr eigenes Süppchen zu kochen und Ereignisse für eigene Zwecke zu instrumentalisieren.
Der Bundestag verfügt über eine eigene IT-Abteilung die afaik dem BSI unterstellt ist. Im Grunde müsste das sogenannte Nationale Cyber Abwehrzentrum zuständig sein, denn zu deren Aufgaben gehört schließlich die "[...]Abwehr elektronischer Angriffe auf IT-Infrastrukturen der Bundesrepublik Deutschland und seiner Wirtschaft". Das BSI ist übrigens dem CDU geführten Innenministerium unterstellt, ist ursprünglich aberr aus dem BND hervorgegangen, der dem (ebenfalls von der CDU geführten) Kanzleramt unterstellt ist. Außerdem verfügt der BND mit seiner "strategischen Fernmeldeaufklärung" über gewisse Kompetenzen in Bezug auf "Cyber-Kriegsführung" - Kompetenzen die nach einem Gesetzentwurf dazu genutzt werden sollen den BND auch für die Abwehr von "Cyber-Angriffen" zu autorisieren. Erwähnen tue ich das, weil es nach den jüngsten Geheimdienstskandalen einen Untersuchungsauschuss des Bundestages gibt, der die Zusammenarbeit von BND und NSA beleuchten und mögliche Rechtsbrüche aufdecken soll. Viele Bundestagsabgeordnete haben daher ein Problem damit ausgerechnet jetzt Schlapphüte ganz offiziell im Netzwerk und Datenmaterial des Bundestags herschnüffeln zu lassen - tatsächlich haben Abgeordnete teilweise sogar Mitarbeitern des BSI den Zugriff auf ihre Rechner verwehrt.
Wenn es sich bei dem Angriff allerdings tatsächlich um den Angriff eines ausländischen Geheimdienstes handelt, wäre im Grunde der Verfassungsschutz zuständig, da diesem die Spionageabwehr obliegt. Laut der Zeit kam der Hinweis auf den Angriff übrigens tatsächlich vom Verfassungsschutz:

Den Hinweis auf den Angriff übrigens bekam der Bundestag vom Verfassungsschutz. Dem war aufgefallen, dass zwei Rechner des Parlamentes auf seltsame Seiten zugreifen. Der Verfassungsschutz wiederum soll den Tipp aus dem "osteuropäischen Ausland" erhalten haben.

Quelle: http://www.zeit.de/digital/datenschutz/2015-05/hackerangriff-bundestag-sommerpause
Aber auch mit dem Verfassungsschutz haben viele Abgeordnete ihre Probleme und vor allem die Fraktion der Linken verhinderte afaik die Einbindung des Verfassungsschutzes. Wir haben hier also eine Situation die mehr oder weniger das BSI, den BND und den Verfassungsschutz betrifft, in der jeder Pluspunkte sammeln und geichzeitig den schwarzen Peter möglichst der Konkurrenz unterschieben will.
Gleichzeitig versuchen die Politiker die Sache für die eigenen Zwecke zu instrumentalisieren. Die CDU versucht z. B. eher abzuwiegeln, so klingt das bei dem CDU-IT Experten Jarzombek:

"Demnach wurde lediglich eine Handvoll Bundestagsrechner, 15 an der Zahl, angegriffen, doch die schädlichen IP-Adressen wurden gesperrt." Zwar seien Administratorenpasswörter erbeutet worden, das BSI habe aber die weitere Verbreitung des Trojaners im Bundestagsnetzwerk vorerst unterbunden. "Eine übersichtliche Zahl von Servern muss neu installiert werden, die Hardware ist nicht betroffen", sagte Jarzombek.

Quelle: http://www.zeit.de/politik/deutschland/2015-06/bundestag-hackerangriff-jarzombek
Natürlich hat die CDU die einschlägigen Ministerien seit Jahren in der Hand und wenn sich jetzt herausstellen sollte, dass die IT-Sicherheit des Bundestages in einem katastrophalen Zustand ist, wären sie dafür maßgeblich verantwortlich.
Im Gegensatz dazu nutzen Politiker wie Konstantin von Notz die Gelegenheit sich zu profilieren.
Was wir erleben ist imho einerseits katastrophales Krisenmanagement, schlechte Kommunikation (gerade Bundestagsabgeordnete bemängeln mehr Infos aus der Presse, als von offiziellen Stellen zu bekommen) und eine gute Dosis Opportunismus.
Bemerkenswert finde ich jedoch, dass diese Affäre offenlegt wie zerrüttet das Vertrauensverhältnis zwischen Bundestagsabgeordneten & Geheimdiensten mittlerweile zu sein scheint.

 

[bitmuncher]

Ich weiß nicht, für mich klingt das nach einer Verallgemeinerung. Nicht alle Quereinsteiger verfügen automatisch über mehr Erfahrung als Menschen mit einem einschlägigen Studienabschluss und längst nicht alle Informatiker sind Fachidioten, die nur theoretische Kenntnisse haben und in der Praxis ohne Hilfe nicht einmal die Any-Key-Taste finden.

Die Umkehrung einer Aussage trifft nunmal nicht automatisch zu. Diese Aussage, wie von dir formuliert, habe ich nämlich nicht getroffen. Ich wies darauf hin, dass für eine Einstellung im öffentlichen Dienst primär die Abschlüsse zählen und nicht die Kenntnisse und dass ein Abschluss nicht automatisch etwas über die Fähigkeiten der Person aussagt. Das hat mit dem, was du daraus zu lesen scheinst, herzlich wenig zu tun.


Nach Trojaner-Angriff: Bundestag soll neues Computer-Netzwerk ben <- Klingt nicht gerade nach 15 infizierten Rechnern, sondern nach einem Netzwerk, das durch und durch verseucht wurde. Und das hat nichts mit Politik zu tun, sondern mit der Unfähigkeit einer IT-Abteilung.

Auch glaube ich, dass man es sich zu einfach macht, wenn man nun die Schuld den Politikern/Anwendern zuschiebt. Würde mir ein Mitarbeiter den Zugang zu einem Rechner verwehren, der in einem Netzwerk eingebunden ist, das ich zu verwalten habe, sperre ich ihm den Netzwerk-Zugang bzw. ziehe einfach den Stecker. Die Verantwortung für das Netzwerk liegt nämlich nicht beim Anwender eines einzelnen Rechners, sondern bei mir. Und wenn man mich daran hindert, diese Verantwortung wahrzunehmen, kann ich entsprechend geeignete Maßnahmen zum Schutz des restlichen Netzwerks ergreifen. Und anders sieht es im Bundestag auch nicht aus. Nicht die Politiker haben die Verantwortung für die IT-Sicherheit sondern die zuständige IT-Abteilung.

 

[Tarantoga]

Diese Aussage, wie von dir formuliert, habe ich nämlich nicht getroffen. Ich wies darauf hin, dass für eine Einstellung im öffentlichen Dienst primär die Abschlüsse zählen und nicht die Kenntnisse und dass ein Abschluss nicht automatisch etwas über die Fähigkeiten der Person aussagt. Das hat mit dem, was du daraus zu lesen scheinst, herzlich wenig zu tun.

Was soll man den sonst aus Deiner Aussage lesen? Das hast Du wörtlich gesagt:

Das zeigt wie unfähig der zuständige Datenschutzbeauftragte und die Sysadmins dort sind. Dabei weiss jedes Kind, das hier im Habo schonmal wegen einer Viren/Trojaner-Verseuchung eine Frage gestellt hat, dass man infizierte Rechner sofort vom Netzwerk trennen und komplett neu aufsetzen muss. Die Ursache für diese Unfähigkeit ist allerdings recht einfach zu finden. Einstellungsvoraussetzung im öffentlichen Dienst sind nicht nachweisbare Kenntnisse sondern Studien- und Ausbildungsabschlüsse, die imo recht wenig über die tatsächlichen Kenntnisse aussagen.

Du sagst also eindeutig die Sysadmis sind unfähig und das die Ursache dafür in den Einstellungsvoraussetzungen begründet liegt. Ich wollte lediglich klarstellen, das nur weil ein abgeschlossenes Studium vorausgesetzt wird, nicht auch auf einschlägige Berufserfahrung geachtet wird...

Klingt nicht gerade nach 15 infizierten Rechnern, sondern nach einem Netzwerk, das durch und durch verseucht wurde. Und das hat nichts mit Politik zu tun, sondern mit der Unfähigkeit einer IT-Abteilung.

Ja, aber die Information über die 15 infizierten Rechner stammen von einem Politiker, der sie angeblich vom BSI hat. Die meisten Infomationen die derzeit in der Presse zu lesen sind, wurden von dem einen oder anderen Politiker weitergegeben. Tatsächlich bekommen wir also derzeit nur Informationen aus zweiter Hand - das BSI selbst hält sich auffallend bedeckt.

Edit:

Würde mir ein Mitarbeiter den Zugang zu einem Rechner verwehren, der in einem Netzwerk eingebunden ist, das ich zu verwalten habe, sperre ich ihm den Netzwerk-Zugang bzw. ziehe einfach den Stecker. Die Verantwortung für das Netzwerk liegt nämlich nicht beim Anwender eines einzelnen Rechners, sondern bei mir. Und wenn man mich daran hindert, diese Verantwortung wahrzunehmen, kann ich entsprechend geeignete Maßnahmen zum Schutz des restlichen Netzwerks ergreifen. Und anders sieht es im Bundestag auch nicht aus. Nicht die Politiker haben die Verantwortung für die IT-Sicherheit sondern die zuständige IT-Abteilung.

Ich weiß nicht, das BSI ist eine Bundesbehörde und ich könnte mir vorstellen das Mitarbeiter des BSI durchaus verbeamtet sind. Und für Beamte gelten andere Spielregeln, als für Angestellte in der freien Wirtschaft...

 

[bitmuncher]

Du sagst also eindeutig die Sysadmis sind unfähig und das die Ursache dafür in den Einstellungsvoraussetzungen begründet liegt. Ich wollte lediglich klarstellen, das nur weil ein abgeschlossenes Studium vorausgesetzt wird, nicht auch auf einschlägige Berufserfahrung geachtet wird...

Den Umkehrschluss, dass Quereinsteiger automatisch besser sind, habe ich aber nicht getroffen.

Tatsache ist nunmal, dass gerade im Bereich der praktischen IT-Sicherheit viele Leute arbeiten, die als Quereinsteiger aus der Hacker-Szene kommen und dass diese Leute aufgrund des fehlenden Abschlusses im öffentlichen Dienst keinen Posten bekommen können. Und du weißt vermutlich selbst, dass Fachkräfte in diesem Bereich nicht gerade en masse zur Verfügung stehen. Die Bundes-IT schränkt sich also damit auf die Leute ein, die zwar einen Abschluss haben, in der Wirtschaft, wo wesentlich bessere Gehälter winken, aber keine Stelle finden.

...das BSI selbst hält sich auffallend bedeckt.

Natürlich, sonst müssten sie ja ihr Versagen einräumen.

 

[laienfragen]

Ist online Banking genauso unsicher wie der Bundestag?
Das kommt auf die Technologien an, die verwendet werden.

Guten Abend. Ist das ein Forum zum Plaudern? Nach den ersten Antwortposts denke ich schon. Der Hase liegt doch ganz woanders begraben. So viel ich weiss. Freue mich auf lebhafte Kommunikation. Nehmen wir an wir schreiben Software für Tombraider und eine Firewall. Und nun werden 20 Leute ein Jahr arbeiten und dann haben wir fertig eine neue Firewall und ein Spiel und das wollen wir für 100 Euro verkaufen. Nun aber muss das Spiel getestet werden auch die Firewall. Und dann und werden Shortcuts gelegt. Weil ja der Tester nicht das ganze Spiel testet sondern heute das Monster und morgen die Höhle und am dritten Tag das Schwert. Und mit vielen Tricks wird das zusammengebaut. Der Hacker spürt das auf und jede Software muss in die Knie gehen weil ja keine Firma ein BS mit einer Frau in einer Woche baut sondern mit 10000 Leuten in einem Jahr.



Zitat:
Zitat von laienfragen Beitrag anzeigen
Ist Daten absichern gar nicht möglich?
Eine hundertprozentige Sicherheit ist nicht zu erreichen.

Ist Daten absichern gar nicht möglich?
Eine hundertprozentige Sicherheit ist nicht zu erreichen.

Das müsste aber falsch sein. Ein Betriebssystem ist doch nur eine Badewanne wo Wasser reinfliesst und abfliesst. Es muss nur organisiert werden.
Und das Problem ist doch woanders. Nehmen wir an, Du hast normalen Rechner mit win drauf und morgens Knopf und von HD wird win eingespielt. Wenn aber ich als Dieb in Dein Büro einsteige und dann Ubuntu live reinlege beim Booten, dann kann ich so viel sehen, was Du gar nicht magst.

Zitat:
Zitat von laienfragen Beitrag anzeigen
Gibt es noch den Bundestrojaner und greift der auch Linux an. Vielleicht ist mein Kenntnisstand hier so abzulesen.
Das musst du die zuständigen Geheimdienste fragen. Du kannst aber davon ausgehen, dass diese durchaus Mittel zur Verfügung haben um in nahezu jedes System einzudringen. Auch der Linux-Kernel ist nicht gerade für seine Sicherheit bekannt. Allgemein gilt: Ein System kann nur so sicher sein, wie es die Kenntnisse des Anwenders ermöglichen.

Leider habe ich den Satz nicht verstanden. Wenn Du ein BS hast wie ein Sieb, wie dann schützen?

Zitat:
Zitat von laienfragen Beitrag anzeigen
Und jetzt kommt die erste dumme Frage:
" Manipulationen am System erkennen können (Host-based Intrusion Detection) und schädlichen Traffic ausfiltern (Network-based Intrusion Detection). A" Ist das nicht der Weg ins System. Denn das lässt sich doch einfacher aushebeln als statische Kontrolle oder?
Nein, IDS sind selten leicht auszuhebeln. Das geht nur mit physischem Zugriff auf den entsprechenden Rechner oder wenn zum Zeitpunkt der Einrichtung des IDS bereits eine Infektion vorlag. IDS sind ja dazu da, jede Änderung am System sofort zu erkennen, wodurch sie auf Angriffe reagieren, während dieser noch stattfindet, also bevor die Möglichkeit des Aushebelns überhaupt besteht.

Jetzt wird es interessant. Denn IDS ist nichts anderes als ein Bewegungsmelder. Also
fliegt die Fliege herum, dann sagt Bewegungsmelder IDS das tun wir ignorieren. Sonst würde in Deinem Garten die ganze Nacht immer das Licht anspringen.
Geht aber ein Elefant durch das Bild von IDS oder Bewegungsmelder Licht im Garten, dann Alarm und Licht geht an.
Also geht ein Hacker nur in die IDS und sucht Elefanten und Mücken raus durchs testen. Weil IDS kannst Du ja kaufen. Auch der Feind.






Ich möchte nicht hacken und werde auch nicht gehackt. Mich interessiert Thema Datensicherheit.
Und warum der Bundestag kein Antivir runterläd.

 

[bitmuncher]

Das müsste aber falsch sein. Ein Betriebssystem ist doch nur eine Badewanne wo Wasser reinfliesst und abfliesst. Es muss nur organisiert werden.

In erster Linie ist ein Betriebssysteme eine Menge aus mehreren Millionen Zeilen Code, der von (nicht fehlerfreien) Menschen geschrieben wird. Schon ein falsches Zeichen darin kann theoretisch zu einem Sicherheitsproblem werden. Und statistisch gesehen kommt auf 10.000 Zeilen Code ein Fehler. Hinzu kommt, dass in einem Betriebssystem viele verschiedene Komponenten miteinander kommunizieren (Speicherverwaltung, Input, Output, Prozessmanagement, Netzwerk-Layer usw. usf.). Auch hierbei können Fehler auftreten, die zu Sicherheitsproblemen führen können. Da aber nicht jeder Entwickler alle Komponenten Zeile für Zeile kennen kann, kann es zu Problemen bei dieser Kommunikation kommen, die von entsprechenden Test-Szenarien einfach nicht abgedeckt werden.

Und das Problem ist doch woanders. Nehmen wir an, Du hast normalen Rechner mit win drauf und morgens Knopf und von HD wird win eingespielt. Wenn aber ich als Dieb in Dein Büro einsteige und dann Ubuntu live reinlege beim Booten, dann kann ich so viel sehen, was Du gar nicht magst.

Es sei denn man verschlüsselt die Festplatte.

Leider habe ich den Satz nicht verstanden. Wenn Du ein BS hast wie ein Sieb, wie dann schützen?

Angriffe erfolgen nach bestimmten Schematas, die man durchaus erkennen kann. So werden z.B. Dateien an Orten angelegt, wo normalerweise keine neuen Daten hinzukommen, wenn nicht gerade ein Systemupdate durchgeführt wird. Oder es werden Prozesse gestartet, die aus der Prozessliste des Systemkernels ausgeklinkt werden. Und so gibt es viele Faktoren, an denen man einen Angriff erkennen kann.

Jetzt wird es interessant. Denn IDS ist nichts anderes als ein Bewegungsmelder. Also
fliegt die Fliege herum, dann sagt Bewegungsmelder IDS das tun wir ignorieren. Sonst würde in Deinem Garten die ganze Nacht immer das Licht anspringen.
Geht aber ein Elefant durch das Bild von IDS oder Bewegungsmelder Licht im Garten, dann Alarm und Licht geht an.
Also geht ein Hacker nur in die IDS und sucht Elefanten und Mücken raus durchs testen. Weil IDS kannst Du ja kaufen. Auch der Feind.

Ein IDS meldet aber nunmal jede Fliege und der zuständige Admin/User entscheidet dann, ob es sich um einen False-Positive handelt oder um einen echten Angriff.

Beispiel: Mein IDS meldet mir:

Received From: ktsSN->/var/log/dpkg.log
Rule: 2902 fired (level 7) -> "New dpkg (Debian Package) installed."
Portion of the log(s):

2015-06-11 02:11:15 status installed man-db:i386 2.6.2-1

Ich weiss aber, dass ich zu dieser Zeit ein Update durchgeführt habe. Also ist es ein False-Positive-Alarm.

Meldet es aber:

Received From: alpha->/var/log/apache2/error.log
Rule: 30104 fired (level 12) -> "Apache segmentation fault."
Portion of the log(s):

[Thu Jun 11 02:01:30 2015] [notice] child pid 21310 exit signal Segmentation fault (11)

Schaue ich mir den Rechner genauer an, weil ein Prozessabsturz beim Apache-Webserver eher ungewöhnlich ist und oft auf einen Angriff (sogenannter Buffer-Overflow) hinweist. Dann kann ich aufgrund von erstellten Coredumps analysieren, ob der Prozessabsturz durch einen einfachen Software-Fehler ausgelöst wurde, oder ob dort eventuell ein Request verarbeitet wurde, der einen Angriff darstellt.

Und warum der Bundestag kein Antivir runterläd.

Weil ein Antivirus relativ wenig hilft, wenn ein Angriff gezielt erfolgt. Ein Beispiel wieso das so ist, findest du unter Wie Trojaner versteckt werden - Bitmunchers Life Denn bis heute arbeiten fast alle Antivirus-Programme auf Basis von Signaturen.

 

[SchwarzeBeere]

Wow... selten so einen schlechten Thread erlebt....

Eine Firewall hat erstmal nix mit Datensicherheit zu tun, sondern mit der Sicherheit eines Systems.

Was ist denn das für ein absolut nichtssagendes Statement? Warum implementiert man denn eine Zugriffskontrollmaßnahme, wenn diese nicht dem Schutz der Daten dienen soll? Aus Jux und Tollerei? Oder weil man gerade Geld hatte?

Richtig ist: Der Bundestag besitzt sehr wohl eine Firewall. Diese kann auch korrekt konfiguriert sein. Eine Firewall reicht nur in den meisten Fällen heute schlichtweg nicht mehr aus.

Es gibt verschiedene Formen von Firewalls, wobei nur sogenannte Paketfilter tatsächlich sinnvoll sind.

Oh geh weg mit deiner 90er Jahre IT. Wir haben inzwischen 2015, heute können Firewalls problemlos Identitäts- und Risikoinformationen mit Datenströmen korrelieren und sie dynamisch erlauben oder blocken. Die sind sehr wohl nützlich, gerade, wenn man mal weiter als bis zum Perimeter denkt. Und selbst das ist noch nicht das Ende des möglichen. IF-MAP und Co. bieten heute schon Ansätze zur Korrelation von noch viel mehr Informationen. Leider finden diese Protokolle in der Praxis nur geringen Einsatz - und wenn, dann nur zur Trennung von Produktionsstraßen im Flugzeugbau.

Das Eindringen in Systeme erfolgt schliesslich zumeist über Software-Fehler, auf die der Anwender keinen Einfluss hat.

Diverse Studien sehen inzwischen den Insider als größte Bedrohung an. Warum sollte man von außen ein Netzwerk infiltrieren, wenn ich als Mitarbeiterin deutlich leichter ins Netzwerk komme? Also bewerbe ich mich und dann... den Rest könnt ihr euch ja denken. Auch über den Unterscheidung zwischen Software- und Konfigurationsfehler sollte man sich mal Gedanken machen. Man kann daher ein noch so aktuelles System haben: Wenn der private Schlüssel im Github liegt, dann nützt einem auch das nichts.

Man arbeitet sogar aktuell noch weiter mit einem Netzwerk, von dem man weiss, dass dort Daten an ein unbekanntes Ziel weitergeleitet werden.

Und was willst du tun? Alles abschalten? Stecker ziehen? Die Beamtinnen und Beamten einfach so vom Netzwerk trennen und 100 Millionen an Schaden verursachen, weil ein Rechner befallen ist? Wer trägt das Risiko eines solchen Ausfalls? Wer bezahlt die Kosten? Wie rechtfertigt man die Kosten des Abschaltens von 100% der Rechner, obwohl nur 10 Stück befallen waren? Natürlich muss hier abgewogen werden. Aber - aus eigener Erfahrung - das machst du nicht innerhalb weniger Tage.

Gerade Systeme von Regierungen müssen besonders gesichert werden, was hier offensichtlich nicht geschehen ist.

Der Bund kooperiert meines Wissen mit mind. zwei der Big Four, die inzwischen alle ausnahmslos eigene Forensikabteilungen aufgebaut haben und sich solche Untersuchungen bisher gut haben bezahlen lassen. Weiterhin werden viele sicherheitskritische Projekte vom Bund von vielen anderen externen Beratungsunternehmen betreut. Von zu wenig Wissen kann hier also aus markttechnischer Sicht nicht die Rede sein. Statistiken besagen außerdem, dass gut 80% aller Unternehmen schon Opfer von Angriffen wurden - also sind 80% aller Unternehmen nicht gut gesichert? Wohl eher weniger, wenn man mal drüber nachdenkt, wie komplex große IT- und Informationsinfrastrukturen heute sind.

Nicht die Politiker haben die Verantwortung für die IT-Sicherheit sondern die zuständige IT-Abteilung.

Und wer haftet am Ende? Richtig der Staat. Beamte können nämlich nicht entlassen werden - ein deutlicher Grund für eine Laufbahn beim Staat und nicht in der Wirtschaft, auch wenn es da mehr Geld gibt

Allerdings ist die Aussage auch nicht ganz richtig, denn Politiker sind keine Beamte. Wenn raus kommt, dass unter einer CDU Regierung Kürzungen vorgenommen wurden - was glaubst, wer dafür gerade stehen muss? Oder wer das am Ende eher vertuschen wird?

Natürlich, sonst müssten sie ja ihr Versagen einräumen.

"Ein Mord! Schnell! Informiert die Öffentlichkeit! Ladet Journalisten ein, lasst sie die Leiche fotografieren und den Mörder ermitteln. Wir von der Polizei können das eh nicht und je mehr Köche ihr Salz in die Suppe schmeissen, umso besser wird sie." - Seems legit....

 

[bitmuncher]

Wow... selten so einen schlechten Thread erlebt....

Das mag daran liegen, dass du von der Theorie ausgehst und ich von dem, was praktisch im Einsatz ist.

Was ist denn das für ein absolut nichtssagendes Statement? Warum implementiert man denn eine Zugriffskontrollmaßnahme, wenn diese nicht dem Schutz der Daten dienen soll? Aus Jux und Tollerei? Oder weil man gerade Geld hatte?

Datenschutz und Datensicherheit sind nunmal 2 verschiedene Paar Schuhe.

Eine Firewall reicht nur in den meisten Fällen heute schlichtweg nicht mehr aus.

Mein Reden.

Leider finden diese Protokolle in der Praxis nur geringen Einsatz - und wenn, dann nur zur Trennung von Produktionsstraßen im Flugzeugbau.

Ganz genau. In klassischen Server-Client-Netzwerken wirst du solche Technologien äußerst selten finden.

Und was willst du tun? Alles abschalten? Stecker ziehen? Die Beamtinnen und Beamten einfach so vom Netzwerk trennen und 100 Millionen an Schaden verursachen, weil ein Rechner befallen ist? Wer trägt das Risiko eines solchen Ausfalls? Wer bezahlt die Kosten? Wie rechtfertigt man die Kosten des Abschaltens von 100% der Rechner, obwohl nur 10 Stück befallen waren? Natürlich muss hier abgewogen werden. Aber - aus eigener Erfahrung - das machst du nicht innerhalb weniger Tage.

Dass man die Rechner, von denen man genau weiß, dass sie betroffen sind, austauscht, ist natürlich total abwegig.

Im übrigen sind es BSI und Politiker, die fordern, dass Unternehmen bei einem erkannten Datendiebstahl binnen 24h die betroffenen User benachrichtigen. Wieso sollten für staatliche Stellen andere Regeln gelten?

 

[SchwarzeBeere]

Datenschutz und Datensicherheit sind nunmal 2 verschiedene Paar Schuhe.

In dem Zitat ging es aber nicht um Datenschutz, sondern um Datensicherheit...

Ganz genau. In klassischen Server-Client-Netzwerken wirst du solche Technologien äußerst selten finden.

... was nicht bedeutet, dass sie nicht sinnvoll sind. Darüber verstehe ich den Bezug zum Client-Server-Modell nicht so wirklich, da man diese Technologien üblicherweise auch nicht in P2P-Netzwerken findet

Dass man die Rechner, von denen man genau weiß, dass sie betroffen sind, austauscht, ist natürlich total abwegig.

Das kommt auf
1. auf die Ziele der Ermittlerinnen und Ermittler
2. die forensischen Methoden und Maßnahmen
3. die Auswirkungen eines Austauschs
an. Beispiele lassen sich für alle drei Kategorien leicht finden:
1. Wenn es um die Identifikation der Urheber eines Angriffs geht, dann macht es durchaus Sinn, dass die Rechner noch im Netz behalten werden und nur die Daten aus dem Netz zu entfernen. Wenn es dagegen um Schadensbegrenzung und Wiederherstellung der Integrität geht, dann steht natürlich der Austausch an erster Stelle. Im hiesigen Szenario zählt unter anderem die politische Dimension, für die die Herkunft eine entscheidende Rolle spielt.
2. Soll der Traffic untersucht werden? Die Kommunikationsstrukturen mit anderen Rechnern? Die Nutzung des Rechners durch den Angreifer? Je nach Angriffsart und erkannten Auswirkungen - wenn ein ganzes Netzwerksegment kompromittiert wurde, dann wirst du nicht einzelne Knoten voneinander trennen - kann es durchaus Sinn machen, sich erstmal einen Überblick über die Gesamtsituation zu verschaffen und dann analytisch die Maßnahmen zu bestimmen.
3. Was passiert, wenn durch der Angreifer Wind vom dem Austausch bekommt und nun das Augenmerk darauf legt die Spuren auf anderen Systemen, auch auf denen, die nicht direkt vom BSI/VerfS zugänglich sind, zu beseitigen? Was passiert, wenn der Austausch an sich Spuren vernichtet? Wer rechtfertigt das vor einem Richter, der im Zweifelsfall gegen den Ankläger entscheiden könnte? Wenn es sich, wenn man den Medien glauben schenkt, um einen Geheimdienstangriff handeln sollte, dann könnte die Trennung eher kontraproduktiv sein.

Im übrigen sind es BSI und Politiker, die fordern, dass Unternehmen bei einem erkannten Datendiebstahl binnen 24h die betroffenen User benachrichtigen. Wieso sollten für staatliche Stellen andere Regeln gelten?

Richtig, "betroffen* ist hier das Stichwort. Ist denn bekannt, wer betroffen ist? Ich habe dazu bislang noch nichts gelesen. Auch ist die Frage, ab wann ein Datendiebstahl als "erkannt" gilt. Bedeutet "erkannt", dass man weiß, dass Daten abgeflossen sind? Oder bedeutet "erkannt", dass man weiß, an wen die Daten abgeflossen sind? Wo es keine Rechtsprechung gibt, da sind solche Pflichten nicht mehr als hübsche Floskeln, die aber keine wirkliche Wirkung besitzen.

 

[laienfragen]

In dem Zitat ging es aber nicht um Datenschutz, sondern um Datensicherheit...

Das ist doch dasselbe? Daten sicher also Daten geschützt also Du volle Kontrolle wer Deine Daten kriegt plus Polizei fasst böse Menschen.
*

Die Hackers arbeiten doch ganz anders. Zuerst werden sie Führungen im Bundestag machen. Ich war mal auf Hackervortrag bei der Bank. Der hat einfach Bankdaten vom Nachbar geklaut. Wie Hochhaus. Den Trick kennt Ihr alle. Neuer Nachbar. Klingel. Selbstgebackern trockener Kuchen auch Diät und Kaffee. Und Nachbar geht in Küche und Du in Büro holst Handy aus Tasche fotografierst Passwörter die am Monitor hängen. Gehst in Bundestag. Guckst wer bei IT wann Mittagspause hat. Wer zur Wartung kommt. So werden Daten geholt also vorgearbeitet. Zuerst gehste zum Provider und kopierst Traffic. Das weiss doch jede Frau oder nicht?

 

[RisingNephilim]

schon lange nicht mehr eine so lebhafte Diskussion gesehen.

Erstmal, Beamte können auch entlassen werden :wink:. Es gibt da ein sehr nettes Beispiel aus Thüringen, wo ein Beamter gehen musst, weil er Passwörter für diverse Datenbanken unter seiner Schreibablage hatte.

Zum einen ist nie ein System wirklich sicher, außer ich trenne es komplett von der Außenwelt ab.
Ich möchte keinen Admin unterstellen das er wenig Verständnis für seine Arbeit hat und oder sie schlampig erledigt.

In Netzwerken der Regierung findet man nur halt immer ein ähnliches Schema. in dem Firewalls vorkommen, DMZ´s, IDS, SymantecEndpoint Protection. Zudem läuft die Kommunikation ab einer gewissen Ebene über SINA-Boxen und es werden Teils eigene Protokolle zur Übertragung verwendet.
Ein einfacher Scan auf die Netze, z.B., wird sofort entdeckt.
Um in den Bereich zu kommen, wo die befallenen Rechner waren, ist schon sehr sehr schwer. Die einzigen wirklichen Möglichkeiten sind SocialEngineering, eine Mail mit tollem Anhang (die über eine private Webadresse abegrufen wurde, bzw geöffnet, die über die Regierungsadressen kommen, werden gescannt auf Schadsoftware oder Anomalien) oder halt direkten Zugriff (das kann jede Putze sein).

@laienfragen
mein Banking ist tot sicher: ich fülle noch Zettel aus und gebe sie ab

Mich würde mal Interessieren worauf du genau hinaus möchtest? Möchtest du dein Netzwerk zu Hause sicherer machen?
Du kannst dir aber im Grunde sicher sein, das eine Privatperson aus der Mittelschicht (sorry wenn ich das frecher Weise unterstelle) nicht wirklich in Frage kommt für einen Datendiebstahl.
OnlineBanking abzufangen lohnt sich auch erst ab einer gewissen Summe, da es viel zu riskant und umständlich geworden ist.
Dann lieber 4.000.000.000 Mails abschicken mit einem Klick, wo das Geld freiwillig überwiesen wird.

 

[bitmuncher]

Du kannst dir aber im Grunde sicher sein, das eine Privatperson aus der Mittelschicht (sorry wenn ich das frecher Weise unterstelle) nicht wirklich in Frage kommt für einen Datendiebstahl.
OnlineBanking abzufangen lohnt sich auch erst ab einer gewissen Summe, da es viel zu riskant und umständlich geworden ist.
Dann lieber 4.000.000.000 Mails abschicken mit einem Klick, wo das Geld freiwillig überwiesen wird.

Wäre dem so, gäbe es nicht so viele Banking-Trojaner und Phishing-Seiten. Das geht mittlerweile sogar so weit, dass Kombinationen aus mobilen Systemen und "Festrechnern" angegriffen werden, wobei über den Festrechner die Zugangsdaten und über die mobilen Systeme die SMS mit den TANs abgefangen werden. Und schau dir an, was in den Untergrundforen an Kreditkartendaten gehandelt wird. Da sind ganz sicher eher selten Millionäre die Eigentümer der Konten.

 

[Fluffy]

@SB:
Eine Firewall dient der Systemsicherheit, nicht der Datensicherheit.
Klar sind die Daten unsicher wenn das System unsicher ist, aber es sind schon 2 Paar Schuhe.
Denn was nütz Systemsicherheit wenn die Anwendung eine SQLi-Verwundbarkeit enthält?
Nice Try .

 

[SchwarzeBeere]

Eine Firewall dient der Systemsicherheit, nicht der Datensicherheit.

Das war mal in den 90ern so. Heute können Firewalls problemlos grundlegende NIDS- und DPI-Aufgaben, Virenscans, Korrelation mit Identitäten usw.. übernehmen und damit Pakete auch aufgrund ihrer Inhalte durchlassen ohne statische Regeln pro Port definieren zu müssen. Damit dienen heutige Firewalls sehr wohl auch der Datensicherheit und nicht ausschliesslich der Systemsicherheit.

Die Trennung zwischen Systemsicherheit und Datensicherheit macht auch meiner Ansicht nach heute nur noch in bestimmten Situationen Sinn, z.B. wenn es um Availability bzw. Ausfallsicherheit geht. Dann stehen wirklich nur noch die Systeme (im kleinen und im großen) im Vordergrund und nicht die Daten. Dafür werden auch heute noch Packetfilter eingesetzt, das ist durchaus richtig.

edit:

Erstmal, Beamte können auch entlassen werden :wink:. Es gibt da ein sehr nettes Beispiel aus Thüringen, wo ein Beamter gehen musst, weil er Passwörter für diverse Datenbanken unter seiner Schreibablage hatte.

Für eine solche Lappalie wird man nichtmal in der Wirtschaft entlassen... Hast du hier weitere Quellen?

Du kannst dir aber im Grunde sicher sein, das eine Privatperson aus der Mittelschicht (sorry wenn ich das frecher Weise unterstelle) nicht wirklich in Frage kommt für einen Datendiebstahl.
OnlineBanking abzufangen lohnt sich auch erst ab einer gewissen Summe, da es viel zu riskant und umständlich geworden ist.

Wie bitmuncher schon gesagt hat: Trojaner verbreiten sich heute problemlos über Geräte hinweg. Es reicht, wenn sie im gleichen Netzwerk sind oder wenn du dein Smartphone an deinen PC anschliesst. Ein Angriff kann also vollständig automatisiert werden, du musst nur den Trojaner platzieren. Und das funktioniert in allen Bevölkerungsschichten gut, da es heute schlicht keine benutzbaren Sicherheitsmechanismen gibt und Anwender eh alles ausführen, auch wenn die Applikationen nach Administrationsrechten verlangen.

Und trotzdem ist Online Banking heute meiner Ansicht nach auch ohne TAN-Generator sicher, man muss nur etwas nachdenken und nicht überall ohne lesen und nachdenken auf OK klicken. Wenn man sich an die Regeln und Vorschläge der Banken hält, dann ist man üblicherweise auf der sicheren Seite.

 

[laienfragen]

Mich würde mal Interessieren worauf du genau hinaus möchtest?

Dann werden wir mal die Karten auf den Tisch legen. Nein, ich oder wir wollen nicht hacken. Uns interessiert, was ist ein Virus. Ist es dumm, nur Papier zum Bankern zu nehmen? Ist Sony beklaut worden oder ist das Lüge? Stimmt das wenn in Zeitung steht, Kripo hat nach einem Jahr siebenfach geschreddert HD wieder hergestellt mit Verschlüsselung. Oder hacke ich alles auf, wenn ich Zeit habe und Fehler der Programmierer kenne? Das sind Laienfragen ohne Interesse. Es ist mir zu blöd, Viren zu schicken. Sorry.

Netzwerk ist im Büro verboten, zu unsicher. Virus auf A geht dann zu B. Also niemals Netzwerk. Daten über Stick oder WWW kopieren zu Kollegen. Dann kein Lan. Keine Daten auf Onlinerechnern. Alles Kabel. Oder ist das Unsinn. Also privates Interesse, keinen Mist bauen und dann wissen, was so los ist im Computer. Dann auch was ein avi ist oder wie Paramter bei DD gesetzt werden. Das sind Interesse. Haben also kein Interesse Forum vollzuspammen oder hier Viren zu pflanzen. Weil: Ist langweilig. Und noch so ein paar Sachen: Kein Flash.