Mit <kes>+ lesen

Ein Klick und alles ist verloren? : Ein Klick und alles ist verloren? Von widerstreitenden Interessen, (Un-)Verantwortlichkeiten und (Un)Möglichkeiten bei der täglichen IT- und Netz-Nutzung

Jeder macht, was er will – keiner macht, was er soll. Oder macht vielmehr jeder, was er muss, und das passt nur nicht zu unserer Vorstellung davon, wie man im Umfeld vernetzter IT sicher agieren kann und sollte? So oder so müssen wir damit leben – unser Autor resümiert, wie das aussieht und wie es besser gehen könnte.

Lesezeit 17 Min.

Seit Jahrzehnten tobt der Kampf zwischen dem Anwender, der alle bunten Bilder sehen will und auf alles klicken „muss“, was ein Mehr an Information verspricht, auf der einen Seite und den Verantwortlichen für IT-Betrieb (Operations) sowie Informations- und Cybersicherheit auf der anderen Seite. Das „Business“ steht meist irgendwo dazwischen – nicht zuletzt wird es für die Erfüllung dienstlicher Aufgaben immer wichtiger, Onlinemedien und auch von Unbekannten übermittelte digitale Inhalte zu öffnen, denn sonst wäre zum Beispiel die Arbeit einer Personalabteilung gar nicht leistbar.

Gleichzeitig bringen immer neue Angriffe und Verwundbarkeiten nahezu täglich weitere Unruhe in das ohnehin instabile System – immer wieder stellt sich die Frage: Sind wir vor diesem Angriff geschützt und wie hoch ist das Restrisiko? Zusätzlich begrenzen die Gesamtkosten der IT die Möglichkeiten für Gegenmaßnahmen auf „natürliche“ Weise und Innovationen für das Business haben selbstverständlich immer höchste Priorität. Nicht zuletzt bringen Security-Anbieter immer neue Lösungen mit dem hochtrabenden Versprechen in den Markt, einfach gegen alles zu schützen – da Zufriedenheit mit dem Status quo eher selten anzutreffen ist, wollen bessere Wege evaluiert und gegebenenfalls implementiert werden. Und „fertig“ wird man im Security-Prozess ohnehin nie.

Will man aus diesem von Krisenmanagement und Innovationsdruck getriebenen Hamsterrad entkommen und dafür sorgen, dass Anwender glücklicher und geschützter als heute agieren können, dann lohnt sich vermutlich – wie so oft – ein Blick auf die aktuelle Situation. Denn es ist wenig zielführend, sich vordergründig darauf zu berufen, dass „all die unvorsichtigen Nutzer“ ja doch immer wieder irgendwo drauf klicken, wo sie das besser unterlassen hätten, und damit für immer neue Probleme sorgen – die Ursachen liegen nämlich tiefer.

Steuerung durch Dritte

Die Annahme, dass ein Anwender (oder Administrator) Herr seines Systems ist und jede Veränderung steuert oder zumindest kennt, wenn er das möchte, ist schon lange eine Illusion!

So führt schon das aktive Nachladen von Inhalten – in E-Mails oder an anderer Stelle – zu Angriffsvektoren, wie sie beispielsweise mit CVE-2017-17688 und CVE-2017- 17689 Mitte Mai 2018 von der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven veröffentlicht wurden: Durch die sogenannten „Efail“-Mechanismen wurde die Sicherheit der Verschlüsselungsstandards PGP und S/MIME infrage gestellt – oder besser gesagt: die Sicherheit ihrer praktischen Implementierungen. Die aufgezeigten Angriffsvektoren betreffen nämlich nicht die Algorithmen und Protokolle, sondern nutzen eine Schwachstelle in E-Mail-Clients aus, wozu sie unter anderem das automatische Nachladen von Inhalten benötigen.

Eine andere Problemquelle sind Cookies – an sich einfache Datenpakete, die für den Nutzer des Browsers jedoch unbekannte Inhalte haben und vom Anbieter der Website auf dem Rechner des Nutzers langfristig gespeichert werden. Mittlerweile gibt es kaum noch Webseiten, die keine Cookies setzen – und zwar nicht nur für den eigenen Gebrauch, sondern auch zur Weitergabe an Drittanbieter. Privacyeinstellungen des Nutzers werden mit lakonischen Bemerkungen wie „wenn Sie weiter diese Seite nutzen, dann stimmen Sie unserer Cookie-Politik zu“ übergangen. Oder entsprechend aufdringliche Overlays mit Vereinbarungen zur Cookie-Nutzung werden vom Anwender stumpf per Mausklick abgenickt, da dieser schließlich nicht im Web unterwegs ist, um unzählige Seiten juristischen Text zu lesen, sondern die Inhalte der Seite sehen will.

Nach Aussage der Marketingwirtschaft ist ein Leben ohne Cookies nicht denkbar. Und natürlich sagt die Technik, dass man bei „guter Implementierung“ nicht auf Cookies anderer Domains zugreifen kann (z. B. mit Cross-Site-Scripting). In besonders hart umkämpften Märkten kann man jedoch beobachten, dass die gleichzeitige Nutzung der Domains von Wettbewerbern durch die jeweils anderen verhindert wird, indem man Browserfenster mit deren Inhalten „abschießt“ – was zwar nicht ganz legal ist, aber wo kein Kläger, da ist ja auch kein Richter zu finden.

Kaum Content ohne Code

Neben – zumindest per definitionem – „passivem“ Content sind heute auch explizit aktive Inhalte unter der Kontrolle Dritter praktisch kaum zu vermeiden. Und derart aktive Elemente sind mittlerweile nahezu überall möglich und gehen längst über das Scripting in Webseiten hinaus. Neben eingebetteten Executables in lesbaren Dokumenten sei exemplarisch auf die folgenden Möglichkeiten mit konkreten Sicherheitsimplikationen hingewiesen:

  • Makros in Office-Dokumenten [1]
  • das Anzeigen von Icons [2]
  • Code in Bildern [3]
  • alternativer Code in den Controllern von Peripheriegeräten [4]

Bei diesen Varianten ist zu unterscheiden, ob zum Beispiel eine marktübliche Application-Control-Lösung die aktiven Elemente per White-Listing blocken könnte und welche Virtualisierungslösungen vor potenziell schädlichen Auswirkungen schützen können.

Vom No-Go zum Normalfall

Redirects im WWW waren früher als Sicherheitsrisiko verschrien – die Empfehlungen des BSI lauteten immer, keine aktiven Elemente und kein Redirect im Browser zuzulassen. Heute ist selbst bei sensiblen Funktionen (z. B. Payment) ein Redirect der Standard. Das vereinfacht beispielsweise Watering-Hole-Angriffe: Denn so können auch völlig authentische Websites missbraucht werden, indem man nur den Redirect (ggf. sogar nur bei bestimmten intendierten Opfern/IP-Ranges) in eine andere Funktion münden lässt

Auch Modifikationen oder das Übergehen von benutzerseitig vorgenommenen Einstellungen gibt es nicht nur bei Cookies. Selbst bei der Inbetriebnahme der elektronischen Authentisierungsfunktion des „neuen“ Personalausweises mit der geeigneten App kann es durchaus passieren, dass eine Meldung sagt „Ihre Firewall wird neu konfiguriert, um …“. Ob diese Veränderung die Sicherheit gefährdet oder verbessert und wie sie genau aussieht, bleibt dem Anwender verborgen – wieder einmal trumpft Usability die Security. Und man stellt sich die Frage, ob es bei den vielen möglichen Einstellungen einer Personal-Firewall überhaupt Möglichkeiten gäbe, solche Verfahren zu testieren, um dem Anwender die Sicherheit zu geben, dass tatsächlich „alles in Ordnung“ ist.

Problematische Paradigmen

Herr Dr. Schneider, CIO eines Dax-Konzerns, betont bei Diskussionen zum Einbringen von Inhalten durch andere häufig, dass die allgemein eingesetzte Von-Neumann-Architektur die Sicherheitsproblematik noch verschärft: Von Neumann hatte die – zu seiner Zeit geniale – Idee, Daten und ausführbaren Code zu mischen und im (dauerhaften) Speicher nicht zwischen ihnen zu unterscheiden.

Genau dadurch entstehen aber zusätzliche Risiken, wenn zum Beispiel nachgeladene Daten (von nicht direkt angewählten Domains) eben nicht nur Daten, sondern auch ausführbaren Code umfassen. Etwas übertrieben gesprochen, hätte man früher von einer Integritätsverletzung des Systems gesprochen – heute freut man sich über die ungeheuren Fähigkeiten der IT-Systeme, die natürlich auch die Komplexität bei den schützenden Verfahren erhöhen. Nicht zuletzt ist diesem Umstand geschuldet, dass jeder Content analysiert werden muss, der neu in ein System gelangt oder modifiziert/erweitert von außen zurückkommt, da sich eben nicht entscheiden lässt, ob sich darin auch ausführbarer Code versteckt.

Ein konkretes Beispiel: An sich sind Cookies erstmal „reine“ Daten (Präferenzen, IDs, …) – aber natürlich kann man darin auch „ausführbaren Code“ ablegen. Dieser wird zwar nicht auf den vorgesehenen Wegen ausgeführt, ist aber dennoch fortan im IT-System des Anwenders präsent. Für einen Angriff benötigt man also nur noch einen „unvorhergesehenen“ Weg, um die passiven Daten zu aktivieren. Im Umkehrschluss prüft man besser auch alle Cookies auf Malware, was eigentlich unnötig sein sollte.

Das Abweichen vom „vorgesehenen Weg“ ist auch an anderen Stellen heikel: Generell sind viele Fähigkeiten und verwendete Protokolle in IT-Systemen darauf ausgelegt, dass alle Kommunikationspartner genau die sind, die man erwartet, und nur das tun, was eben „richtig“ ist – wenn sich also alle wohldefiniert verhalten, dann kann auch nichts passieren. In Zeiten, in denen die organisierte Kriminalität mehr „Umsatz“ mit Cybercrime generiert als in ihren „traditionellen Geschäftsfeldern“, sollte man diese Einstellung dringend überdenken!

Hürdenlauf in die Zukunft

In vielen Gremien spricht man davon, dass etwa der „Industrie 4.0“ mit „Justiz 1.0“ schlicht die Grundlage für eine koordinierte Sicherheit fehlt. Gerade den Vorzeigedemokratien in Europa würde es gut anstehen, den Schwachen, der sich im Cyberspace nicht selbst schützen kann, durch geeignete, demokratisch etablierte Verfahren zu sichern. Deshalb ist es sehr zu begrüßen, dass mehrere Initiativen und Aktivitäten auf den Weg gebracht wurden, um Bürger sowie kleine und mittlere Unternehmen (KMU) besser abzusichern. Extrem wichtig wäre es jedoch, solchen Aktivitäten von Beginn an alle Hürden zu nehmen, sodass man im Ergebnis das Ziel auch wirklich erreicht. Ein solches wesentliches Ziel ist die Verbesserung der Haftung bei Sicherheitslücken im Sinne der Anwender.

Auf einige Aktivitäten mit ihren jeweiligen Hürden soll im Folgenden näher eingegangen werden.

Internet of Things (IoT)

Es gibt Bestrebungen, dass IoT-Devices aus Sicherheitsgründen über einen gerätetypischen Zeitrahmen nach dem Kauf herstellerseitig mit Sicherheitspatches versorgt werden müssen – eine absolut sinnhafte Maßnahme! In der Presse wird dazu ein Gerichtsverfahren diskutiert: Ein Handy, das in einem Elektronikfachmarkt gekauft wurde, ließ sich nicht mehr patchen, was gemäß der Klageschrift nicht rechtens ist [5].

Patches verändern ein System – mit schädlichen Patches ist es möglich, Systeme zu korrumpieren. Deshalb ist es essenziell, dass das empfangende System die Integrität eines Patches prüft, bevor es diesen akzeptiert. Einen definierten Standard zur Prüfung der Authentizität von Patchinhalten, der eine Haftung begründen würde, gibt es jedoch nicht. Normalerweise erreicht man das mit asymmetrischer Kryptografie und digitalen Signaturen zum Beweis der Authentizität der Patchinhalte – das setzt aber eine CPU und Strom auf dem empfangenden System voraus.

Das Angriffsmuster BadUSB [4] zeigt, dass gerade das nicht-authentisierte Patchen zu besonders perfiden, weil nicht nachweisbaren Angriffsmöglichkeiten führt. In der Office-IT ist seit Langem bekannt, dass über schwach authentifizierte Devices in einfacher Weise Angriffe möglich sind – in der Industrie 4.0 und der IoT-Welt ist die Herausforderung noch komplexer, da Aggregationstiefe und Service-Level-Agreements (SLAs) eine wesentliche Rolle spielen. Dass etwa ein Handy als Ganzes entlang der Vereinbarungen mit dem Nutzer in einer sicheren Art und Weise gepatcht werden muss, erklärt sich von selbst. Was wäre aber, wenn Einzelteile des Handys, die keine eigene CPU haben, sich also nicht geeignet schützen können, vor oder sogar nach dem Einbau im Endprodukt auch einzeln gepatcht werden können und so beispielsweise der Controller des Datenspeichers undokumentierte schädliche Funktionen untergejubelt bekäme?

Plattform „Webbrowser“

Die Verwendung von Cookies ermöglicht es, bessere Nutzerprofile und genauere Daten zu Personen zu sammeln und ihr Verhalten im Cyberspace langfristig zu protokollieren und analysieren – und zwar ohne dass der Benutzer genau wüsste, welche Daten über ihn gesammelt und für welche Zwecke sie verwendet werden. Interessant ist auch, dass Amazon Cookies als Sicherheitseigenschaft nutzt, wobei ein vorhandenes Cookie zu einem Account auf einem Rechner schon als „Zwei-Faktor-Authentifizierung“ angesehen wird.

Die Verwendung von Cookies soll nun reguliert werden. Einfach alle Cookies abzulehnen, ist schon längst impraktikabel, da kaum noch eine Website ohne funktioniert. Und die Browser-Einstellung, zumindest keine Tracking-Cookies akzeptieren zu wollen („Do not track“), ist wertlos, da sie keinen technischen Schutz bietet, sondern auf die Zuverlässigkeit der einzelnen Sites abhebt – (nur) wenn sich alle daran halten, wäre „alles gut“.

Natürlich ist es ok, wenn ein Informationsanbieter, der keine Bezahlung fordert, als Gegenleistung Nutzerdaten entgegennimmt. Zwingend erforderlich wäre es aber, dass der Benutzer vor dem Datenzugriff genau informiert wird, worauf er sich da einlässt – also welche Daten (ggf. auf seinem eigenen System) über ihn gesammelt und an wen diese weitergegeben werden, sodass er den „Vertrag“ auch auf Basis einer bewussten Entscheidung ablehnen kann.

Die Möglichkeit, sich nachträglich zu informieren, welche Daten eine Organisation über jemanden vorhält, ist längst gesetzlich verankert. Diese bringt aber den Datensammler in die unglaubliche Position, von einem Anwender zu seiner Authentisierung noch weitere Daten zu erheben, bevor er überhaupt an die Information kommt, ob und welche Daten die Organisation über ihn gespeichert hat – das ist wohl kaum ein Schutz des Schwächeren!

Darüber hinaus gilt es auch noch zu berücksichtigen, dass die Durchsetzung geltenden Rechts bei der illegalen Datenerhebung oder -verwendung in bestimmten Ländern für die europäische Justiz nahezu unmöglich ist und „illegale“ Daten-Geschäfte deshalb in ebendiese Länder abwandern. Und „illegal“ ist ja nun bereits, was nicht der strikten Sichtweise der EU-Datenschutzgrundverordnung (DSGVO) folgt, andernorts aber womöglich als „üblich“ oder „wünschenswert“ angesehen wird. Hieraus resultiert ein signifikanter Wettbewerbsnachteil für die europäische Industrie – und zeitgleich die Situation, dass weltweit führende datenbasierte Umsätze mit europäischen Bürgern in Europa keine Steuern einbringen.

Eine Entscheidung, „keine Cookies“ zu akzeptieren, muss technisch hart durchsetzbar sein – die zu ermittelnden Daten und ihr Zweck klar und verständlich vor der Einwilligung kommuniziert werden. Die Darstellung grundlegender Inhalte einer Website (inklusive Impressum und Aufklärung über mögliche Cookies) sollte keinesfalls zunächst aktive Inhalte und Cookies voraussetzen, weil man ansonsten vor einer nicht-funktionalen unvollständigen Darstellung oder sogar einer weißen Seite sitzt. Und es kann doch wohl nicht sein, dass sich ein Optout von (Tracking-)Cookies nur über ein – pro Browser einzurichtendes und dauerhaft vorzuhaltendes – Cookie realisieren lässt, wie es die Werbebranche derzeit in Sachen „Behavioural Advertising“ anbietet (vgl. www.youronlinechoices.com).

Man geht also wieder davon aus, dass sich alle an die Spielregeln halten und die Weitergabe der Daten nur über die geplanten Kanäle erfolgt. Die Realität zeigt jedoch, dass besonders große und interessante Datensammlungen auch gern angegriffen und gestohlen werden. Snowden ist das beste Beispiel, dass selbst sehr gut geschützte Datenspeicher nicht immer nur für den vorgesehenen Zweck genutzt werden. In solchen Fällen ist es extrem kompliziert, eine Haftung für einen entstandenen Rechtsbruch oder Schaden einzuklagen.

Obligatorische Mindestsicherheit

Im geplanten Cyber-Security-Act der EU (vgl. S. 58) wird versucht, branchenspezifische Cyber-Sicherheitsstandards zu setzen, deren Einhaltung den Nutzer besser schützen soll. Aktuell ist eine intensive Diskussion wahrzunehmen, nach welchen Qualitätsstandards man die Sicherheit dann bewerten soll. Natürlich drängen die einzelnen Branchenvertreter darauf, dass ihre jeweils bereits etablierten Standards geeignet erweitert werden und dann auch als Cyber-Security-Standard Verwendung finden. Bereits bei der ISO-9000er-Serie wurde jedoch klar, dass allgemeine Qualitätsstandards nicht auf IT-Sicherheit anwendbar sein müssen.

Außerdem muss man auch hier wieder einmal das Fehlen einer geeigneten Metrik für Cyber-Sicherheit bemängeln – in [6] ist dieses Problem detaillierter analysiert und mit einem pragmatischen Lösungsvorschlag unterlegt worden.

Unter dem Problem der fehlenden Metrik leiden übrigens nicht nur Bürger und KMU: Auch große Organisationen mit geeigneten Ressourcen stehen einer Vielfalt von Lösungsarchitekturen gegenüber.

Das Verständnis dafür, welche Verteidigungslinie (wenn sie überhaupt qualitativ hochwertig umgesetzt ist) gegen welche in Contents versteckten Angriffe schützt, setzt immer mehr komplexes Fachwissen voraus. Und objektivierte Vergleiche auf Basis eines anerkannten Messverfahrens sind mangels Metrik kaum durchführbar.

Ad-hoc-Abhilfe

Im dritten Abschnitt betrachtet dieser Beitrag die aktuell verfügbaren Verteidigungsmöglichkeiten und erörtert, gegen welche der genannten Angriffsmöglichkeiten diese schützen und welche Nebeneffekte dadurch eventuell entstehen. Ein wichtiger Mechanismus sind Virtualisierungstechniken: Damit lassen sich Inhalte isolieren und, so hofft man, potenziell schädliche Wirkungen verhindern. Hierfür gibt es aktuell verschiedene Lösungsansätze:

Netzwerktrennung

Lässt man keinen Netzkontakt zu, dann können potenziell schädliche Inhalte kaum Schaden anrichten. Hierzu öffnet man also Fremddateien, die man aus dem Internet lädt oder über E-Mail bekommt, in einem separierten Netz – einem Opfernetz. Dabei zeigt sich aber das Problem, dass man mit diesen Daten im eigenen Wirknetz nicht arbeiten kann – dies ist über Firewalls, Hardware-Dioden oder (IP-basierte und Datei-basierte) Schleusensysteme zu lösen.

Um diese Netztrennungstechnologie geeignet einsetzen zu können, versucht man bei IP-basierten Netzübergängen die Anzahl der genutzten Kommunikationsports einzuschränken. In der Richtung vom Wirknetz zum Opfernetz kann man über Schutzmechanismen, wie sie beispielsweise der Remote-Controlled-Browser-System-Standard (ReCoBS) des BSI beschreibt, ein sicheres Browsen ermöglichen und mit nur einem Protokoll auskommen. Der Rückweg, um Daten zu drucken oder Dateiinhalte zu übernehmen, ist deutlich schwieriger und im Standard nicht beschrieben – in den Opfersystemen wird jedoch für gewöhnlich keine vollständige Infrastruktur mit Druckern etcetera vorgehalten.

Doch auch bei Netztrennung gilt es weitere Aspekte wie den Datenschutz zu berücksichtigen: Entlang des ReCoBS-Standards verlagert man das Opfersystem in die DMZ. Dort kann man aber keine sensiblen Daten verarbeiten, weil ein Opfersystem mit Internetzugang nicht mit personenbezogenen oder besonders schützenswerten Daten angereichert werden darf. Dazu müsste man also eine zweite virtualisierte Umgebung vorhalten, die ebenfalls keinen Internetanschluss hat. Für solche Systeme, auf denen man schützenswerte Daten zusammen mit Fremddaten verarbeiten kann, verwendet man am besten gehärtete Betriebssysteme – optimalerweise von (Virtual) WORM gebootet und netzseitig „ausbruchssicher“ gestaltet. Besondere Aufmerksamkeit benötigen auch kombinierte Browserinhalte, die sowohl Elemente aus dem geschützten Intranet als auch aus unsicheren Quellen wie E-Mail-Attachments oder dem Internet enthalten.

Virtualisierte Applikationen und Systeme

Will man nicht so weit gehen und zwei Netze betreiben, so kann man mit Produkten zur Applikationsvirtualisierung problematische Inhalte in einem virtuellen Applikationsraum öffnen und so das zugrunde liegende Betriebssystem schützen. Dabei ist es aber nötig, die problematischen Daten von einer Anwendung zur nächsten zu übergeben, wenn man beispielsweise ein Attachment aus der E-Mail öffnet. Außerdem ist bei einigen der oben genannten Angriffe gar keine Anwendung beteiligt: Der Controller eines Peripheriegerätes arbeitet beispielsweise nicht mit einer Anwendung, sondern direkt mit dem Betriebssystem zusammen – und greift deshalb auch direkt das Betriebssystem an. Angriffsmuster wie lnk, BadUSB und viele weitere können deshalb mit Applikationsvirtualisierung nicht abgewehrt werden. USB-Ports bleiben meist schon wegen Tastatur und Mausanschluss offen – Tastatur und Maus sind jedoch schon ausreichend für geeignete Angriffe.

Deshalb ist es ein deutlich besserer Schutz, wenn man die Virtualisierung „unter“ das Betriebssystem legt – zum Beispiel in Form eines Micro-Kernels. Damit lassen sich auch mehrere sogenannte Compartments – also unterschiedliche Instanzen von Betriebssystemen – auf einem Micro-Kernel aufsetzen. Ähnliche Systeme sind auch für Smartphones verfügbar.

Jede Kommunikation mit dem Betriebssystem beziehungsweise den Betriebssysteminstanzen muss in solchen Systemen durch den Micro-Kernel gehen. Diese Kerne können mit 10 000 bis 100 000 Codezeilen auskommen und lassen sich deshalb viel besser auf Angriffsmöglichkeiten hin überprüfen. Man erreicht mit ihnen daher einen viel höheren, im besten Fall beweisbaren Schutzgrad

Hauptfokus der Micro-Kernel ist allerdings die IP-basierte Kommunikation – Übertragungen via USB, Bluetooth und anderen Schnittstellen werden meist nicht inhaltlich im Micro-Kernel geprüft, sondern entweder ganz blockiert oder vollständig zum Betriebssystem durchgelassen. Im letzten Fall ist daher die Härtung des Treiberstacks des Betriebssystems und vor allem eine Contentprüfung von Protokoll- und Nutzdaten notwendig, um gegen die genannten Angriffe zu schützen.

Datenkonversion

Eine wesentliche Schutzvorrichtung dafür ist die Datenkonversion: Nehmen wir an, dass im Opfernetz oder in einem Compartment mit unsicherer Information Bilddaten liegen, die in das sichere Netz oder ein sicheres Compartment übernommen werden sollen. Um hierbei sicher vorzugehen, schließt man im Opfersystem quasi einen „Beamer“ an und wirft das Bild auf eine Leinwand – das sichere System macht nun ein „Foto“ davon. Mit einem solchen Verfahren ist der Transport von Schadcode über das Bildmaterial unmöglich.

Nimmt man alles auf, was der „Beamer“ zeigt, hat man zwar einen sicheren Rückkanal, aber viel Metainformation verloren – im Fall eines Fotos etwa die gesamten Daten darüber, wo, wann, mit welcher Kamera et cetera das Bild aufgenommen wurde. Diese Informationen müssen also gegebenenfalls vom „Beamer“ zusätzlich angezeigt und später wieder zu einer integrierten Datei zusammengesetzt werden – ohne dass potenziell gefährliche Information, wie etwa Javascript-Code im Kommentarfeld eines EXIF-Headers, mittransportiert würden.

Insofern ist es eine wesentliche Aufgabe der Datenkonversion, diejenigen Teile der Daten, die potenziell gefährlich wären, nur in beweissichernde Archive zu übernehmen, nicht aber in das sicherheitskritische Wirknetz. Dieser Vorgang wird, weil das Löschen von Information damit verbunden ist, auch als „Digital Sanitizing“ bezeichnet.

Das hier beschriebene Verfahren ist jedoch nicht performant und effizient. Im Markt gibt es aber durchaus Produkte, die diese Funktion abbilden und gleichzeitig eine Workfl owkomponente enthalten, welche die Steuerung wie beschrieben, aber nunmehr effizient und performant durchführt

Fazit

Zusammenfassend lässt sich festhalten, dass es schon Möglichkeiten gibt, dem Anwender ohne Einbußen an Sicherheit zu gestatten, überall zu klicken und alles anzusehen. Dafür aber muss man aber je nach Anwendungsfall und Intention gegebenenfalls mehrere Verfahren kombinieren und deutliche Eingriffe in die traditionelle Architektur von IT-Systemen vornehmen. Das Abwägen zwischen geeigneter Sicherheit, Kosten, Komplexität im Betrieb sowie anderen Faktoren wird nicht für alle Fälle das gleiche Resultat erbringen, sondern individuell vor allem vom Schutzgrad der betrachteten Daten abhängen.

Ramon Mörl ist Geschäftsführer der itWatch GmbH.

Literatur

[1] Michael Kranawetter, RTF-Bug in Microsoft Word: Schutzmaßnahme auch von deutschem Anbieter, TechNet Blog, März 2014, https://blogs.technet.microsoft.com/germany/2014/03/28/rtf-bug-in-microsoft-word-schutzmanahme-auch-von-deutschem-anbieter/

[2] Microsoft, Sicherheitsanfälligkeiten in GDI können Remotecodeausführung ermöglichen, Security Bulletin MS08-071, Dezember 2008, https://docs.microsoft.com/de-de/security-updates/SecurityBulletins/2008/ms08-071

[3] Marcus Murray, The Little JPEG That Could (Hack Your Organization), Vortrag, RSA Conference US, April 2015, www.rsaconference.com/events/us15/agenda/sessions/1513/the-little-jpeg-that-could-hack-your-organization – Langfassung als Webcast online auf https://vimeo.com/103938583

[4] Ramon Mörl, Andreas Koke, BadUSB, aktuelle USBExploits und -Schutzmechanismen, in: Risiken kennen, Herausforderungen annehmen, Lösungen gestalten, Tagungsband zum 14. Deutschen IT-Sicherheitskongress, SecuMedia, Mai 2015, ISBN 978-3-922746-94-2, S. 289

[5] Hakan Tanriverdi, Ein Handy für 99 Euro, Sicherheitslücken inklusive, Süddeutsche Zeitung online, Juli 2017, www.sueddeutsche.de/digital/it-sicherheit-unsicheressmartphone-verbraucherzentrale-klagt-gegen-mediamarkt-1.3592816

[6] Ramon Mörl, Die Komplexität der IT-Security meistern, in: Stefanie Frey, Michael Bartsch (Hrsg.), Cybersecurity Best Practices, Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden, Springer Vieweg, August 2018, ISBN 978-3-658-21654-2

Diesen Beitrag teilen: