IT-Sicherheit in der Industrie Cyber-Sicherheitstag: Die drei interessantesten Vorträge

Cyper-Sicherheitstag
Sichere Microsoft Cloud

Am 7. Mai 2014 fand in Dortmund der 5. Cyber-Sicherheitstag der Allianz für Cyber-Sicherheit statt. Zum Thema "Schwachstellen gibt es überall – absichern müssen Sie!" gab es verschiedene Vorträge zum Umgang mit Schwachstellen und Systemen. Besonders interessant waren drei Vorträge, die nachfolgend kurz zusammengefasst sind.

Sicherheit der Microsoft Cloud

Matthias Luft von der ERNW GmbH, einem Security-Dienstleister aus Heidelberg, ­berichtete von einem Forschungsprojekt, das in Zusammenarbeit mit dem BSI durchgeführt wurde. Die Microsoft Cloud wird unter dem Namen „Azure“ vermarktet. Jedes Azure-Rechenzentrum ist aus verschiedenen Clustern aufgebaut, die wiederum aus Racks bestehen. Jedes Rack enthält 50 „Computer Nodes“. Auf jedem Compute Node läuft der Azure Hypervisor. Er stellt die Basis für die virtuellen Maschinen dar, die auf dem Knoten laufen. Eine der virtuellen Maschinen, die „Parent Partition“, hat besondere Rechte, weil sie die Verbindung zu den Verwaltungsdiensten und zum Rest des Clusters herstellt. Eine solche Cloud kann nur so sicher sein wie der verwendete Hypervisor. Die Untersuchung bezog sich vorwiegend auf Break-out-Schwachstellen, d.h., das Ausbrechen aus einem Gastsystem auf den Hypervisor, um dort Code auszuführen, auf Dateien zuzugreifen etc. Ein wirkungsvolles Mittel dafür sind die „HyperCalls“, die der Hypervisor zur Verfügung stellt. Diese HyperCalls sind API-Aufrufe, über die das Gastsystem mit dem Host kommunizieren kann – also genau das, was man für einen Break-out braucht.

Ein erfolgreicher Break-out gelang im Rahmen des Projektes jedoch nicht. Was die Forscher aber bewirken konnten, war, mittels eines fehlerhaften HyperCalls aus einer unprivilegierten Maschine heraus den gesamten Hypervisor abstürzen zu lassen. Getestet wurde dies lokal auf einer Windows-Maschine mit Hyper-V, da ein Live-Test in der Cloud die gesamte Azure-Umgebung hätte abstürzen lassen. Matthias Luft von ERNW: „Und das bei einem System, das formal verifiziert ist und den gesamten Microsoft Security Development Lifecycle durchlaufen hat. Das sollte man bedenken, wenn man eine Cloud-Umgebung nutzt.“

Internet-Analyse-System

Prof. Dr. Norbert Pohlmann von der Westfälischen Hochschule Gelsenkirchen berichtete über ein Internet-Analyse-System, das ein Bild der Kommunikationslage erstellt. Ziel ist es, Gefahren richtig einzuschätzen, um angemessen reagieren zu können. Aus zahlreichen Parametern erlernt das System, wie die normale Kommunikation – abhängig von Zeitabschnitten – aussieht. Das Problem klassischer Intrusion-Detection-Systeme ist nämlich, dass durch andauernde Port Scans oder (erfolglose) Brute-Force-Attacken auch ständig Benachrichtigungen erfolgen, die aber kaum relevant sind. Das intelligente Internet-Analyse-System schlägt nur Alarm, wenn Anomalien im Kommunikationsbild auftreten.

Darüber hinaus kann es erkennen, wie stark Verschlüsselung angewendet wird und was an veralteter Software (Browser, ­Betriebssysteme etc.) eingesetzt wird. Viele Anwender würden sich wünschen, dass das System auch automatisch auf Angriffe oder Bedrohungen reagiert, doch ist bei den Reaktionen eben ein Maß an Intelligenz gefragt, das automatische Systeme nicht aufbringen können. Sei es, dass eine unmittelbare Reaktion vielleicht gar nicht notwendig ist oder dass man potenzielle Angreifer auch überführen möchte und durch verfrühte Reaktionen nicht vorwarnen will. Statt Aktionen einzuleiten, hat Prof. Pohlmann ein Expertensystem entwickelt, das mögliche Maßnahmen vorschlägt, sich aus Erfahrungen der Vergangenheit speist und daraus Strategien für die Risikoreduzierung ableitet.

Die Universalmaschine Computer – vom Aussterben bedroht

Dieser Vortrag von Matthias Kirschner, Vizepräsident der Free Software Foun­dation Europe, stieß auf einigen Widerspruch im Publikum. Kirschner skizzierte zunächst, wie den Nutzern die Kontrolle über ihren eigenen Computer zunehmend entzogen wird – durch Kopierschutzsysteme, digitales Rechte­management, Secure Boot usw. Dieser Trend führt dazu, dass die Systeme nicht nur gegen Angreifer, sondern auch gegen ihre eigenen Eigentümer abgesichert werden.

Als Gegenmaßnahme empfahl Kirschner die Verwendung freier Software: Mit ihr behalte der ­Nutzer die volle Kontrolle über sein System. Außerdem könne er die Software selbst ändern, um Verbesserungen herbeizuführen bzw. die Software unbeschränkt an andere weitergeben, damit diese die Änderungen vornehmen. Im Publikum regte sich allerdings Widerspruch: Viele Anwender könnten mit Quellcode ohnehin nichts anfangen. Ein weiterer Einwand war, dass Software-Hersteller vor viele Support-Probleme gestellt würden, wenn jeder Nutzer den Quellcode verändern könne und auch kein Hersteller dann mehr die Gewährleistung für seine Software übernehmen würde. Ein Diskussionsteilnehmer bezeichnete das Szenario mit der freien Software und den uneingeschränkten Rechten als „klösterlichen IT-Betrieb“, den es so in der Wirklichkeit nicht gebe. Der reale Nutzer kümmere sich weder um Rechte noch um AGBs, sondern wolle einfach nur, dass seine Software funktioniert. Vielleicht wäre die Diskussion weniger kontrovers verlaufen, wenn Matthias Kirschner die Themen Geschäftsmodelle und Schutz des geis­tigen Eigentums auch in seinen Vortrag einbezogen hätte.