Justus Reich (IBM) über die Sicherheit von Industrieanlagen mittels IBM QRadar SIEM

[Videochat] Justus Reich (IBM) über sichere Industrieanlagen mithilfe von IBM QRadar SIEM

Dieses Videointerview habe ich auf der Hannover-Messe 2018 mit Justus Reich (IBM) über sichere Industrieanlagen mithilfe von IBM QRadar SIEM geführt. Darin spricht er über das Gefahrenpotential von Industrieanlagen, wie sich die Betreiber von solchen Anlagen gegen Angriffe von außen schützen können und was das alles mit IBM zu tun hat.

„Warum lassen sich Industrieanlagen nicht ganz so trivial absichern?“

Da Industrieanlagen eine deutliche längere Laufzeit als Standard-IT-Systeme aufweisen – das reicht bis zu 20 Jahren – kommen in den aktuellen Wasserkraft- und anderen Anlagen Techniken zum Einsatz, die schon etwas betagter sind, spricht nicht auf dem neuesten Stand sind. Damit sehen sich Industrieanlagen im Vergleich zu IT-Systemen einer größeren Gefährdung seitens möglicher Hackerangriffe ausgesetzt.

Klar ist auch in diesem Zusammenhang, dass sich diese Anlagen nicht mal eben so per Software-Update patchen lassen. Und genau dieser Umstand erfordert alternative Herangehensweisen und Methoden, wenn es um das Absichern von Industrieanlagen geht.

„Wie kann man Industrieanlagen gegen Angriffe von außen schützen?“

Für den Schutz von Industrie- und anderen Anlagen hat IBM ein Software-Tool im Programm, das sich IBM QRadar SIEM nennt, das ursprünglich für den IT-Bereich entwickelt wurde. Mit QRadar lassen sich sämtliche Informationen zu allen Netzwerkgeräten wie PLC- und SCADA-Controllern sammeln und darstellen. Darüber hinaus werden weitere Informationen rund um das Netzwerk mithilfe von QRadar ermittelt, womit der Software ausreichend Informationen zur Verfügung steht, um „guten“ von „schlechtem“ Netzwerk-Traffic unterscheiden zu können. Und das wiederum ist die Grundlage für entsprechende Maßnahmen, wenn es zu einem Angriff auf eine Industrieanlage kommt.

„Wie verhält sich IBM QRadar SIEM im praktischen Einsatz?“

Anhand des Beispiels eines Wasserkraftwerks lässt sich gut zeigen, wie IBM QRadar SIEM in der Praxis arbeitet. Hierzu werden einer oder mehrere PLC-Controller, die für die Steuerung der Anlage zuständig sind, mithilfe von QRadar permanent überwacht. Konkret gesagt, werden die gesamten Kommunikationsdaten zum Controller hin und davon weg fortwährend kontrolliert und dabei in Echtzeit entschieden, ob die Kommunikation mit dem Gerät eine bekannte oder eine eher unbekannte ist. Damit lässt sich zuverlässig feststellen, ob es sich um einen Angriff auf die Anlage handelt oder ob das Standard-Kommunikationsdaten sind.

In einfachen Fällen ist QRadar in der Lage, geeignete Maßnahmen zu ergreifen, um den Angriff abzuwehren. In anderen, komplexeren Fällen können die Administratoren der Industrieanlage schnell genug auf die Anomalie reagieren und die richtigen Schlüsse daraus ziehen.

Das Videointerview mit Justus Reich in voller Länge

 

Disclaimer: Für diesen Video-Blogpost hat mich IBM Deutschland als Blogger engagiert.

IBM Havyn - interalktiver Security-Assistent inspired by IBM Watson

Die IT-SA 2017 wirft ihre Schatten voraus: IBM mit am Start

Zugegeben, bis zum Start der Sicherheitskonferenz und -messe IT-SA ist es noch eine ganze Weile hin, doch die ersten Presseinformationen machen schon die Runde. So meldet IBM heute, in Nürnberg vom 10. bis 12. Oktober 2017 wieder dabei zu sein. So will „Big Blue“ in Halle 10 am Stand 529 zahlreiche Lösungsangebote rund um das Thema IT-Sicherheit demonstrieren.

SAP-Umgebungen schützen, Daten überwachen/analysieren und mehr

Zu diesen IT-Security-Lösungen gehören unter anderem QRadar (SIEM), IBM BigFix Detect und MaaS360 (Endpoint-Security), IBM Resilient Incident Response Platform Enterprise, IBM InfoSphere Guardium und IBM i2 Analyze. Damit will IBM ein möglichst breites Spektrum an erprobten Sicherheitsanwendungen bereitstellen, und das hinsichtlich Schutz von SAP-Umgebungen, Endpoint-Security, der zügigen Behebung von Störfällen, echtzeitnaher Datenüberwachung im Rechenzentrum sowie der ausführlichen Analyse von großen Datenmengen.

Denn in Zeiten von WannaCry und EU-Datenschutzgrundverordnung kommt es für Firmen immer mehr darauf an, sich den drängendsten Fragen der IT-Sicherheit zu stellen – und diese mithilfe von Experten wie IBM zu beantworten.

Dieter Riexinger über SOC und IBM Watson

Wem das nicht reicht, der kann auch zwei Vorträge besuchen, die IBM auf der IT-SA mitgestaltet. Namentlich sind das die Techsessions von und mit Dieter Riexinger, der am 10. Oktober um 14 Uhr und am 11. Oktober um 11.15 Uhr darüber sprechen wird, wie das Security Operations Center (SOC) der Zukunft aussehen wird – und welche Rolle dabei IBM Watson und dessen kognitive Fähigkeiten spielen wird.

Mit „Havyn“ interaktiv Sicherheitsbedenken ausräumen

Dazu wird es auf dem IBM-Stand auch eine Virtual Reality-Demo zu sehen geben. Damit können Besucher in virtueller 3D-Anmutung hautnah in das Thema SOC eintauchen und die Möglichkeiten kennenlernen, die der digitale Security-Assistent „Havyn“ bietet.

Mit Havyn können Anwender interaktiv kommunizieren, und das mithilfe der Watson-Technik. Der Clou dahinter: Es lassen sich jegliche Fragen an Havyn richten, die mit dem Thema Sicherheit zu tun haben. In der Hoffnung, die richtigen Antworten präsentiert zu bekommen.

Nachfolgendes Video lässt erahnen, in welche Richtung das geht und was uns am IBM-Stand anlässlich der IT-SA 2017 erwartet.

httpss://www.youtube.com/watch?v=nVyqGKhLBcY

Falls Sie mehr wissen wollen zu aktuellen IBM Security-Lösungen, sollten Sie dem zugehörigen Link per Mausklick folgen.

CeBIT 2017: Dr. Hubert Jäger von Uniscon über Sealed Cloud und iDGARD

Während der CeBIT 2017 hatte ich die Gelegenheit, dieses sehr interessante Interview zum Thema Cloud & Sicherheit mit Dr. Hubert Jäger von der Münchner Firma Uniscon zu führen. Darin spricht er über die Sealed-Cloud-Technik, über das erste Sealed-Produkt namens iDGARD und welche namhaften Firmen bereits die Uniscon-Lösung einsetzen.

Gleich mit der ersten, eher generisch gemeinten Frage, ging Dr. Jäger „in media res“. Sprich, er kam direkt auf die Sealed-Cloud-Technik zu sprechen, die Uniscon auf der CeBIT 2017 vorgestellt hat. Damit bekommen sowohl Betreiber von Datenzentren als auch IT-Adminstratoren technische Maßnahmen an die Hand, mit denen ein Zugriff auf hochsensible Daten in der Cloud nahezu ausgeschlossen werden kann.

„Löschen vor Lesen“ lautet das Uniscon-Credo

Zum Schutz der Cloud-Daten segmentiert Uniscon das Rechenzentrum dergestalt, dass sich im Falle eines Angriffs von außen (oder innen) mithilfe der sogenannten Data Cleanup-Technik komplette oder partielle Datenbereiche automatisch löschen lassen, was man bei Uniscon als „Löschen vor Lesen“ bezeichnet. Hinzu kommt eine ausgeklügelte Schlüsselverteilungstechnik, die dafür sorgt, dass der Betreiber der Cloud-Platform über keinerlei Schlüssel für das Entschlüsseln der gehosteten Daten verfügt.

iDGARD richtet sich an Anwälte, Ärzte und andere Berufsgeheimnisträger

Auf Basis der Sealed-Cloud-Technik von Uniscon hat das Unternehmen auf der CeBIT sein erstes Produkt unter dem Namen iDGARD vorgestellt. Dabei handelt es sich um einen Datenaustauschdienst, der vor allem Berufsgeheimnisträger wie Anwälte, Ärzte und vergleichbare Berufsgruppen adressiert. Damit tauschen diese Anwender Daten und Dokumente sicher und gesetzeskonform über eine iDGARD-gesicherte Cloud-Verbindung via Internet aus.

Datenschutz „made in Germany“ ist ein echter Wettbewerbsvorteil

Zugegeben, meine letzte Frage war ein wenig ketzerisch angelegt. Ob denn der hiesige Datenschutz eher hemmend oder eher nützlich sei, wollte ich von Dr. Jäger wissen. Seine passende Antwort hierzu: Der Datenschutz „made in Germany“ ist zu allererst ein Wettbewerbsvorteil, und jeder, der etwas anderes behauptet, hat wohl die Zeichen der Zeit nicht erkannt.

Hierzu sollten Sie sich das Interview am besten einmal komplett ansehen – oder punktuell ab Minute 1:50. Viel Vergnügen dabei! Dann erfahren Sie auch gleichzeitig, wer die Sealed-Cloud-Technik bereits einsetzt – und das sind keine unbedeutenden Unternehmen…

Studie zeigt: Die Bedrohung durch Locky & Co. ist real

Die Sicherheitsexperten von SentinelOne können es jetzt belegen: Locky & Co. sind real, und das vor allem hierzulande. Das förderte eine groß angelegte Studie zu Tage, die unter IT-Managern mittelständischer und großer Unternehmen in Deutschland, Frankreich, den USA und UK durchgeführt wurde. Demnach wurden innerhalb des letzten Jahres mehr als die Hälfte aller deutschen Firmen von einem Ransomware-Angriff heimgesucht. Dabei war das Einfallstor Nummer 1 die E-Mail, die mit einer 81-prozentigen Wahrscheinlichkeit Hauptverursacherin für infizierte Rechner ist.

Bemerkenswert ist auch, dass das Wiederherstellen sämtliche Daten nach solch einem Angriff rund 33 Stunden benötigte. Das kann de facto nur heißen, dass die meisten der infizierten Firmen keine ausreichenden Schutzmaßnahmen getroffen hatten. Was sich ziemlich gut mit einer Zahl deckt, die sich aus der Umfrage ebenfalls ergibt: So fühlten sich 36 Prozent aller Befragten schutz- und hilflos, was die Abwehr von Ransomware betrifft. Eine alarmierende Quote!

bedrohung-durch-ramsomware-ist-real-quelle-sentinelone

Zwei Hängeschlösser

5 Tipps, die den Mac noch sicherer machen

Der Mac gilt gemeinhin als nahezu uneinnehmbare Festung, und das allen Unkenrufen zum Trotz. Und doch ist der Apple-Rechner nicht unverwundbar, wie manche glauben machen wollen. Daher habe ich die fünf wichtigsten Tipps zusammengetragen, mit denen ihr euren Mac vor Datenverlusten und Angriffen von außen absichern könnt.

Sicherheitstipp #1: Software stets auf dem aktuellen Stand halten

Zum Glück werden Mac-Anwender nicht so penetrant mit Software-Updates „gequält“ wie Windows-User, aber dennoch findet man im Apple App-Store innerhalb der Rubrik „Updates“ regelmäßig Software-Aktualisierungen für OS X/macOS und die auf dem Rechner installierten Anwendungen. Diese Updates sollten stets möglichst schnell installiert werden, das gilt vor allem für das Betriebssystem, da Hacker die zu schließenden Schwachstellen auch kennen und diese für ihre eigenen Zwecke missbrauchen können.

Tipp: Mit Parallels Mac Management lassen sich Updates zentral von einem Admin verwalten, was die Sicherheit des Mac-Fuhrparks weiter erhöht.

Sicherheitstipp #2: Festplatte verschlüsseln mithilfe von FileVault

Mit der Systemfunktion FileVault lassen sich Mac-Festplatten und Flashlaufwerke bereits seit Mac OS X 10.3 (Panther) verschlüsseln, damals allerdings nur auf Benutzerverzeichnis-Ebene. Mit FileVault 2, das mit Mac OS X 10.7 (Lion) eingeführt wurde, geschieht dies über das gesamte Laufwerk hinweg. FileVault lässt sich über die Systemeinstellungen von OS X/macOS aktivieren und konfigurieren. Die Verschlüsselung ist vor allem dann wichtig, wenn der Mac in die falschen Hände geraten kann, sprich verloren geht oder anderswo abhandenkommt.

Tipp: Mit Parallels Mac Management kann das Verschlüsseln der Festplatte als Compliance-Richtlinie durchgesetzt, also erzwungen werden. Das ist vor allem für mobile Mac-Anwender sehr empfehlenswert, deren MacBook jederzeit auf Reisen „verschwinden“ kann.

Sicherheitstipp #3: Mac mit einem sicheren Kennwort verschließen

Man sollte ja annehmen, dass der Einsatz eines sicheren Kennworts auf dem Mac zum Habitus eines Apple-Anwenders gehört. Statistiken und Umfragen zu diesem Thema zeigen allerdings, dass dem nicht so ist. „Kennwörter“ wie „123456“ und „Password“ zählen leider immer noch zu den häufigsten Vertretern der „Absicherungsversuche“ vieler Mac-Anwender. Sicher ist ein Kennwort allerdings nur dann, wenn es aus einer möglichst langen Zeichenkette besteht, die sich aus Klein- und Großbuchstaben zusammensetzt sowie Ziffern und Sonderzeichen umfasst. Und es sollte möglichst nicht im Duden stehen.

Tipp: Parallels Mac Management erlaubt, die Komplexität des vom Anwender gewählten Kennworts zu bestimmen. Damit gehören Passwörter wie „123456“ der Vergangenheit an.

Sicherheitstipp #4: Privatsphäreneinstellungen überprüfen und anpassen

Innerhalb der Sektion „Sicherheit“ der Systemeinstellungen von OS X/macOS findet man die Rubrik „Privatsphäre“. Dort wird festgelegt, welche Anwendungen auf welche Bereiche des Mac zugreifen dürfen. Dazu zählen unter anderem die Ortungsdienste, Anwendungen wie Kalender und Kontakte sowie die sozialen Dienste (Twitter und Co.). Überprüfen Sie regelmäßig, welche Anwendungen auf welche OS X/macOS-Funktionen und -Apps zugreifen dürfen und entziehen Sie im Zweifelsfall diese Zugriffsrechte. Aus Gründen der Sicherheit.

Privatsphäreneinstellungen auf dem Mac anpassen

Sicherheitstipp #5: Nur Apps aus dem App-Store installieren

Der Google Appstore macht es vor, wie es nicht sein sollte: Nahezu ohne größeren Prüfungsaufwand landen dort neue Apps, was es Hackern ziemlich leicht macht, Schadsoftware in Anwendungen zu platzieren und diese damit auf die mobilen Android-Geräte zu schmuggeln. Apple ist in dieser Hinsicht sehr viel restriktiver, sowohl bei iOS als auch bei OS X/macOS. Daher empfiehlt es sich aus Sicherheitsgründen, innerhalb der Sektion „Sicherheit / Allgemein“ nur Apps auf dem Mac zuzulassen, die ausschließlich aus dem App Store stammen.

Disclaimer: Dieser Beitrag ist im Auftrag der Firma Parallels entstanden, für die ich regelmäßig blogge. Dabei gewährt mir das Unternehmen freie Hand, was die Auswahl und die Ausarbeitung der Themen betrifft.

Parallels Mac Management für SCCM

Darum trägt Parallels Mac Management zur Sicherheit von Firmen bei

Mit der zunehmenden Verbreitung von Apple-Geräten wie iMac, Mac mini und MacBook sowie den mobilen Gadgets wie iPhone und iPad nimmt die Wahrscheinlichkeit stetig zu, dass diese, oft auch privat genutzten Groß- und Kleinrechner, für die IT-Verantwortlichen einer Firmen zu einem Risikofaktor mutieren. Denn mit jedem Gerät, das sich unbemerkt in das Firmennetzwerk einloggt, steigt die Gefahr vor Viren, Trojanern und anderen fiesen Schädlingen.

Zentrales Patch-Management hilft bei der Verwaltung heterogener Netzwerke

Gerade in Firmen mit einer größer werdenden Zahl an Notebooks und Desktop-PCs kommt dem automatisierten Verwalten dieses IT-Fuhrparks eine wichtige Aufgabe zu. Denn mit jedem Windows-Update, jeder Software-Aktualisierung und jedem Microsoft-Patch-Day sollen und müssen sämtliche Rechner technisch möglichst schnell auf den neuesten Stand gebracht werden.

Da das manuelle Erledigen dieser Aufgaben keine Option ist, setzen zahlreiche Unternehmen resp. deren IT-Admins eine Software ein, die sich Microsoft System Center Configuration Manager (SCCM) nennt. Damit lassen sich sämtliche Windows-Clients zentral verwalten, überwachen und patchen. Und genau an dieser Stelle kommt die Firma Parallels zum Zug.

Automatisiertes Erkennen und Verwalten von Apple-Geräten

Denn mit der Addon-Software Parallels Mac Management klingt sich das Tool vom Mac-Virtualisierungsexperten in die Management-Software von Microsoft ein und bietet damit allen IT-Admins die Möglichkeiten, auf Basis eines vertrauten Software-Werkzeugs nicht nur alle Windows-Rechner zu administrieren, sondern auch gleichzeitig sämtliche Geräte, auf denen macOS installiert ist. Damit trägt Parallels Mac Management ganz wesentlich zur verbesserten Sicherheitslage in Unternehmen bei, da sich damit…

… notwendige Patches schneller und automatisierter installieren lassen, auch für Apple-Geräte.

… unbemerkt in Unternehmen geschleuste Apple-Rechner quasi „on-the-fly“ identifizieren, katalogisieren und verwalten lassen.

…  Bedrohungen von außen und innen schneller erkennen und beheben lassen, da mögliche Schwachstellen stets in der schnellst möglichen Zeit behoben werden können.

Neue Geräteinfrastrukturen erfordern neue Sicherheitslösungen

Doch nicht nur die möglichen Schwachstellen aufgrund nicht installierter Updates stellen in gemischten IT-Umgebungen ein Sicherheitsrisiko dar. Denn gerade auf Rechnern, die den Weg vom privaten ins berufliche Umfeld finden, stellen zuverlässige Backups und deren Wiederherstellungsoption eine echte Herausforderung dar.

Daher sind in solchen heterogenen Infrastrukturen neue Sicherheitslösungen erforderlich. Eine davon nennt sich CrashPlan der Firma Code42, womit die Daten sämtlicher Windows-, Apple- und Linux-Rechner einer gemischten IT-Umgebung gesichert werden können. Darüber hinaus können Anwender versehentlich gelöschte Daten selber wieder herstellen, was ebenfalls zum verbesserten Sicherheitskonzept einer Firma beiträgt.

Parallels Mac Management für SCCM

Internet der Dinge: Vernetzen von Dingen via Internet

Internet of Things (IoT): Chancen und Herausforderungen [Upd]

Mitte Dezember, also kurz vor Jahresende, verkündete IBM noch einen echten Knaller: Das Watson IoT Center kommt nach München, und mit ihm rund 1.000 neue Arbeitsplätze, die in der bayerischen Landeshauptstadt entstehen werden. Das war natürlich Grund genug für mich, (a) der Einladung IBMs in den 16. Stock zu folgen und (b) ein Videointerview mit Bret Greenstein zu führen, der sinngemäß sagte, dass das Internet der Dinge (IoT) größer ist als wir alle.

Und heute, ja heute stelle ich mir dir Frage: Ist das wirklich so? Ist das Internet of Things (IoT) wirklich größer als wir alle? Und welche Möglichkeiten und Herausforderungen bietet es? Eine Bestandsaufnahme.

Internet of Things: Eine kleine Rückschau

Als Mark Weiser 1991 in seinem Artikel „The Computer for the 21st Century“ zum ersten Mal über das Internet der Dinge (IoT) schrieb, hatte er wohl nur eine kleine Ahnung davon, welche Möglichkeiten und Herausforderungen das IoT mit sich bringen würde. Denn mit dem aktuellen und zunehmenden Vernetzungsgrad lassen sich „Dinge“ mit dem Internet beliebig verknüpfen, mit all seinen Chancen und Risiken.

Etwa acht Jahre später beschäftigte sich Kevin Ashton im RFID Journal mit dem Thema IoT, und er kam zu dem Schluss, dass das Internet der Dinge das Potenzial hat, die Welt zu verändern, so wie es das Internet selbst auch schon getan hat. Oder vielleicht sogar noch ein bisschen mehr.

Friedemann Müttern und Christian Flörkemeier vom ETH Zürich befassten sich im April 2010 im Rahmen des Informatik-Spektrum ausführlich mit dem Thema IoT und konstatierten, dass das Internet der Dinge für eine Vision steht, „in der das Internet in die reale Welt hinein verlängert wird und viele Alltagsgegenstände ein Teil des Internets werden.“

Internet of Things mit all seinen Möglichkeiten

Das Internet der Dinge (IoT) ist also nichts anderes als eine Verschmelzung real existierender Dinge mit dem Internet. Das klingt ja erst mal recht einfach. Doch sind es die Anwendungsbeispiele auch?

Paketverfolgung und automatisierte Tintenpatronenbestellung

Einfachstes Exempel ist die Paketverfolgung, die auf der Erfassung von Paketen mittels Strichcode basiert und die dem Empfänger die Möglichkeit bietet, via Internet den aktuellen Aufenthaltsort seiner Sendung zu bestimmen. Oder aber vernetzte Drucker, die mit dem Internet verbunden sind und anhand der zur Neige gehenden Tinte selbstständig neue Tintenpatronen bestellen. In beiden Fällen ist allerdings die menschliche Interaktion erforderlich, was nicht ganz im Sinne der automatisierten Internet-der-Dinge-Verbindung ist.

Interessant wird es erst dann, wenn die physischen Komponenten miteinander via Internet interagieren können und auf dieser Basis Entscheidungen selbstständig treffen können. So wie der Bürostuhl, dessen optimale Einstellungen vom Hersteller selbst via Internet vorgenommen werden, indem anhand der Benutzermerkmale die bestmöglichen Parameter ermittelt werden – und zwar automatisch.

Connected Cars, Bluetooth-Zahnbürsten und Industrie 4.0

Interessant ist das IoT auch für die Automobilhersteller, wie das Beispiel Connected Car zeigt. Damit lässt sich beispielsweise die aktuelle Position mittels GPS ermitteln und diese per App an das Smartphone des Autobesitzers übertragen. Oder aber die Bluetooth-Zahnbürste von Oral, die mittels Druckpunkt feststellt, ob der Anwender richtig seine Zähne putzt und das Ergebnis auf die zugehörige Smartphone-App übermittelt.

Interessant ist das IoT auch für die Industrie, weswegen das Internet der Dinge in diesem Fall Industrie 4.0 oder M2M (Machine to Machine) genannt wird. Die Idee dahinter ist klar: Ganze Industrieanlagen sind via Internet bzw. Netzwerk miteinander verbunden und können beliebig ihre Daten austauschen. Damit lassen sich komplette Windkraftanlagen überwachen und die aktuelle Energieleistung ermitteln. Oder aber Sensoren an einem Fließband stellen die aktuelle Auslastung fest, um so die optimale Produktionsmenge festzulegen. Und das meist über die Cloud, die in diesen Szenarien einen wichtigen Baustein darstellt.

IoT und seine zahlreiche Herausforderungen

Bei all diesen möglichen Szenarien stellt sich natürlich eine zentrale Frage: Wie sicher ist denn das Internet of Things überhaupt? Generell lässt sich sagen: Nicht so richtig, außer, man tut etwas für diese Sicherheit.

Denn mit der steigenden Zahl an IoT-Teilnehmern (den Dingen) samt den zunehmenden Kanälen (dem Internet, aber auch lokalen Kanälen) und den fehlenden Standards steigt auch die Gefahr der Kompromittierung. Daher gelten für das Internet der Dinge genau dieselben Verhaltensregeln, die man aus der vernetzten Welt kennt – nur noch etwas komplexer.

Sichere Authentifizierung und Verschlüsselung ein „Muss“

Dazu gehört beispielsweise eine starke Authentifizierung und sichere Webschnittstellen wie HTTPS. Darüber hinaus müssen Daten noch stärker als sonst gesichert werden, und das besonders auf dem Transportweg. Dazu zählt in jedem Fall eine abhörsichere Verschlüsselung, und zwar zwischen Geräten und mobilen Apps sowie zwischen den Geräten und der Cloud. Zudem sollte man die Software-Updates der Geräte verschlüsseln.

Firewalls und weitere Sicherheitsmaßnahmen schützen

Daneben sollten sämtliche IoT-Geräte in das Risiko-Management und das Monitoring einbezogen werden. Das bedeutet beispielsweise, dass die IoT-Devices genauso behandelt werden sollten wie Netzwerke und mobile Geräte. Erstellen Sie für alle IoT-Geräte ein Inventar und ein segmentiertes Netzwerk, das von einer Firewall überwacht und geschützt wird. Achten Sie bei den IoT-Komponenten zudem auf einen höchstmöglichen Schutz. Das schließt starke Kennwörter und WLAN-Verschlüsselung ein.

IPS- oder DPI-basierte Firewall: was soll es sein?

Viele herkömmliche Firewalls beherrschen IPS (Intrusion Prevention System), womit vor allem der eingehende Datenstrom analysiert wird, und das anhand bestimmter Filter und Signaturen. Das bedeutet im Umkehrschluss, dass ein Angreifer nur dann erkannt und abgewehrt werden kann, wenn er in der Musterdatenbank auftaucht. Damit versagt eine IPS-basierte Firewall immer dann, wenn ein Hacker schlauer ist als die bekannten Firewall-Datenbanken.

Gerade im Kontext von IoT ist es zwingend notwendig, dass die enormen Datenströme, die zustande kommen, ständig auf mögliche Angriffe hin überwacht werden. Das betrifft alle ein- und ausgehenden Daten, da es gerade im Bereich industrielles IoT vermehrt zu Datenspionage kommen wird. Daher sind intelligentere Abwehrmechanismen wie DPI (Deep Packet Inspection) erforderlich, die ein ganzes Stück weitergehen als die IPS-basierten Firewalls. Damit werden tatsächlich nur die Daten durchgelassen, die auch übertragen werden dürfen.

Denn mit Deep Packet Inspection lassen sich ein- und ausgehende Datenströme sehr viel besser überwachen und bei Bedarf blockieren, da die Analyse kontextbasiert geschieht. Dies erfordert zwar sehr viel zuverlässigere Algorithmen und mehr „Feinarbeit“ als im Falle von IPS, ist allerdings auch sehr viel wirksamer, was gerade in Sachen IoT von höchster Wichtigkeit ist, da ja hier enorme Datenmengen innerhalb kürzester Zeit verschickt und empfangen werden.

In diesem Zusammenhang spricht man oft von sogenannten Next Generation Firewalls, die sich nicht ausschließlich auf Musterdatenbanken verlassen, sondern den Datenverkehr kontextbasiert analysieren – und bei Bedarf die richtigen Maßnahmen ergreifen. Allerdings halten nicht alle Firewall-Appliances am Markt das, was sie versprechen, da sie nur den ein-, aber nicht den ausgehenden Datenverkehr analysieren und überwachen.

Ein Trojanisches Pferd (Quelle: Panda Software)

Wenn sich Word-Dokumente als echte Bedrohung entpuppen…

Gerade ich als Freiberufler bekomme permanent E-Mails mit Word- und anderen Anhängen, von denen die meisten echt sind und ihre Berechtigung haben. Und genau diesen Umstand machen sich Hacker zunutze, die Trojaner und andere fiese Schädlinge programmieren und damit unbedarfte und unerfahrene Anwender bedrohen wollen. Denn schon lange handelt es sich bei Viren, Trojanern und Co. nicht mehr um eine perfide Form der technischen Leibesübung, sondern ist immer öfter verknüpft mit Erpressung, Raub und anderen Tatbeständen, die in der realen Welt mit Anzeige und Verurteilung vor einem ordentlichen Gericht enden.

In der virtuellen Welt ist das leider nicht so trivial, sodass man sich am besten selber hilft. Ein probater Schutz vor den Gefahren des Internets nennt sich: gesunder Menschenverstand. Und davon handelt dieser Appell. Denn Trojaner wie beispielsweise Locky, der laut Heise gerade richtig heftig wütet und alleine in Deutschland gerade etwa 5.000 Rechner pro Stunde infiziert, kann man auch durch bloße Vorsicht kalt stellen. Klar, es gibt Angriffsszenarien, da hilft am besten eine probate technische Lösung, aber Locky und Konsorten machen sich vor allem eines zunutze: die menschliche Neugier.

Denn immer dann, wenn eine E-Mail auf einem PC ankommt, deren Inhalt man nicht sofort eindeutig zuordnen kann, wird die kindliche Neugier im Menschen geweckt. Wenn dann obendrein eine Rechnung neuen Wohlstand verspricht, wie das der Locky-Trojaner tut, ist es um die Vernunft vieler Zeitgenossen geschehen. „Ach, da gucke ich mal schnell, was sich in dem Word-Dokument verbirgt!“, und zack, wird Locky aktiv und sperrt wichtige Daten, die erst dann wieder freigegeben werden, wenn man eine Summe X bezahlt. Klingt perfide, und ist es auch.

Daher kann mein gut gemeinter Rat nur lauten: Öffnet nicht jeden Scheiß, der auf eurem Rechner via Mail landet, es könnte sich als echter Fehler erweisen. Und haltet eure Hard- und Software auf dem neuesten Stand. Auch das hilft, Locky und seine fiesen Gesellen von euren PCs fernzuhalten. Und ach ja, ein geeigneter Malware-Schutz schadet sicherlich auch nicht…

Torsten Rössel von Innominate Security Technologies

Videochat: „mGuard eVA ermöglicht virtualisierte Security-Lösungen“

Auf der SPS IPC Drives 2014 ist dieses Video im Rahmen einer kompletten Videoserie entstanden. Im zweiten Videointerview spricht Torsten Rössel von der Firma Innominate Security Technologies über die auf der Messe ausgestellten Produkte und über die Zusammenarbeit mit dem Embedded Virtualisierungsexperten TenAsys.

Zu den Highlights von Innominate zählte zweifelos die Sicherheitslösung mGuard Secure Cloud, die vor allem Maschinen- und Anlagenbauunternehmen eine schlüsselfertige VPN-Komplettlösung zur Verfügung stellt, die es sowohl in einer Public- als auch in einer Private Cloud-Variante gibt.

Innominate hat seinen Sitz in Berlin und bietet Hardware- und Softwarelösungen für Sicherheitskonzepte im Bereich M2M-Kommunikation mit den Kernbereichen Industrial Network Security und Remote Services Security (Fernwartung). Und genau in diesem Einsatzgebiet ist auch die Kooperation mit TenAsys angesiedelt.

Standard-PCs ermöglichen Embedded Virtualisierungslösungen

In diesem Kontext sprach Rössel über die zunehmende Virtualisierung in der Automatisierung, was unter anderem der aktuellen Prozessorleistung selbst kostengünstiger CPUs geschuldet ist. Die erlaubt es, mehrere Betriebssysteme und Anwendungen isoliert voneinander auf einem einzigen Standard-PC mit einer Multicore Intel Atom-CPU auszuführen. Aber auch der Druck zur Kosten- und Platzeinsparung in der Automation führt zunehmend zu einer Virtualisierung von industriellen Software-Funktionen.

Für diese und andere Einsatzzwecke wurde auf Basis der TenAsys-Lösung eVM für Windows die Innominate-Security-Software mGuard eVA konzipiert und realisiert. Dabei handelt es sich um einen rein software-basierten Firewall/VPN-Router, der als Embedded Virtual Appliance auf einem Windows-Rechner installiert und betrieben werden kann. Der Clou dieses Ansatzes: Dank der hardware-nahen Virtualisierung des Rechnersystems operieren Windows und mGuard eVA vollständig gleichberechtigt und parallel auf einem Standard-PC, und das auf zwei voneinander entkoppelten Prozessorkernen.

mGuard eVA entkoppelt die Firewall vollständig vom Windows-System

Sollte also das Gesamtsystem beispielsweise per Denial-of-Service-Attacke angegriffen werden, bleibt das Windows-System dank der strikten Ressourcen-Trennung  völlig unbeeindruckt davon. Das unterscheidet solch eine virtualisierte Lösung maßgeblich von einer software-basierten Firewall, wie sie in vielen Windows-Rechnern implementiert ist. Mit mGuard eVA sind aber auch hochsichere Remote-Access-Lösungen via VPN-Anbindung (Virtual Private Network) möglich.

Damit ermöglicht TenAsys mit eVM für Windows in angepasster Form die vollständige Funktionalität, die Innominate zum Beispiel mit seinen mGuard Security Appliances wie der mGuard rs4000 bietet. Nur eben vollständig in Software. Die Vorteile dieses Ansatzes liegen auf der Hand: Es ist nur noch ein einziger Rechner erforderlich, der obendrein aus günstigen Standardkomponenten besteht. Zum anderen muss nur noch eine Maschine und nicht mehr zwei verwaltet und administriert werden. Damit sind konsolidierte Automatisierungsplattformen möglich, die höchste Sicherheitsstandards zu überschaubaren Kosten bieten.

Tja, und den Rest erzählt Torsten Rössel am besten selbst. Na dann: Film ab!

Disclaimer: Dieser Blogbeitrag ist im Auftrag und in Zusammenarbeit mit der Firma TenAsys entstanden.

Fritzbox 7430

Teil 5: WLAN abhörsicher verschlüsseln und schützen

Mit den Teilen eins bis vier unseres ausführlichen WLAN-Kochbuchs beantworten wir folgende wichtige WLAN-Fragen: Was brauche ich alles, was brauche ich eventuell sonst noch, wie plane und richte das Drahtlosnetzwerk richtig ein und was muss ich am WLAN-Router zunächst einstellen?

Teil fünf unseres ultimativen WLAN-Guides geht vor allem der Frage nach: Wie sichere ich mein Wireless LAN gegenüber Angriffen von außen ab?

Hinweis: Wir haben auf wifi-info schon in anderen Beiträgen darüber berichtet, wie sich drahtlose Netzwerke mit mehr oder weniger Aufwand vor Hackern und anderen unliebsamen Gesellen schützen lassen. Daher erfolgen hier teilweise Verweise auf bereits vorhandene Tipps und Tricks zum Thema Verschlüsselung und Authentifizierung im WLAN.

SSID verstecken

Diese Maßnahme bringt zwar kaum echte Sicherheit, stellt aber zumindest eine schnelle Möglichkeit dar, das Wireless LAN vor den Augen anderer zu verstecken. Denn: Wenn das eigene WLAN nicht sichtbar ist, kann man sich auch nicht einfach so ohne Hilfsmittel einwählen.

DCHP ausschalten: automatisch keine IP-Adressen vergeben

Ich hab es selbst schon erlebt: Ein fremder WLAN-Router war derart schwach gesichert, dass ich mühelos drauf gekommen bin und sofort ohne eigenes Zutun über diesen „Hotspot“ ins Internet gehen konnte.

Dass dies überhaupt möglich war, lag auch der eingeschalteten DHCP-Funktion des WLAN-Routers, der mein Powerbook automatisch mit einer IP-Adresse versorgt hat. Daher unser Tipp: DCHP ausschalten, dann bekommen Eindringlinge zumindest keinen automatischen Zugriff ins Web.

WEP-Verschlüsselung nutzen: keine gute Idee!

Wer noch immer glaubt, das die WEP-Verschlüsselung sicher sei, muss an dieser Stelle leider enttäuscht werden. Mit den richtigen Tools, die im Internet „for free“ zum Download angeboten werden, lässt sich jeder WEP-Key (egal, ob 64 oder 128 Bit lang), innerhalb weniger Minuten knacken.

Aber: nicht jedes Wireless LAN stellt ein potenzielles Angriffsziel heimtückischer Hacker dar. Daher ist der Einsatz eines WEP-Schlüssels besser als gar kein Schutz.

Know-how: Die WEP-Technik bietet – wie übrigens WPA und WPA2 auch – zwei Mechanismen, das eigene Wireless LAN zu schützen: Verschlüsselung und Authentifizierung. Denn zum einen werden die Daten per WEP-Key verschlüsselt über den Äther versendet und empfangen, und zum anderen kommt nur derjenige ins drahtlose Netzwerk hinein, der den entsprechenden Schlüssel kennt und nutzen kann.

Besser: WPA/2-Verschlüsselung einschalten

Leider wird immer noch WPA und WPA2 von vielen Anwendern gleich gesetzt oder zumindest verglichen. Das ist insofern unzulässig, da WPA mit der WEP-Technik vergleichbar ist, WPA2 hingegen eine ganz neue Verschlüsselungs- und Authentifizierungstechnik darstellt.

Dass WPA eher der WEP-Technik ähnelt, liegt größtenteils am IEEE-Konsortium, das sich beim Umstieg von WEP auf WPA2 aus der Sicht vieler Hersteller von WLAN-Komponenten zu viel Zeit gelassen hat. Daher entschied man sich beim WiFi-Forum für die temporäre Einführung der WPA-Technik, der in Teilen ohnehin für den neuen IEEE-Standard 802.11i vorgesehen war, dessen Bestandteil mittlerweile WPA2 ist.

Für den Einsatz von WPA bzw. WPA2 müssen diverse Voraussetzungen erfüllt sein:

WPA: Auf den WLAN-Clients sollte Windows XP mit Service Pack 1 installiert sein oder zusätzlich der zugehörige WPA-Patch für Windows XP. Außerdem müssen Sie die Treibersoftware der WLAN-Adapter auf den neuesten Stand bringen.

Zudem muss der WLAN-Router WPA unterstützen. Bei manchen Modellen, die standardmäßig nur WEP beherrschen, implementiert ein Firmware-Update die WPA-Funktion nachträglich auf dem Access Point.

WPA2: Da die WPA2-Technik rechenintensiver ist als WPA, ist ein Umstellen des Routers von WPA auf WPA2 per Firmware-Update meist nicht möglich. Falls der WLAN-Router WPA2 beherrscht, müssen für die störungsfreie Nutzung auf allen WLAN-Clients Windows XP mit Service Pack 2 oder der entsprechenden Patch installiert sein. Außerdem muss der aktuelle Treiber eingebunden sein, der WPA2 unterstützt.

Praxistipp: Falls sich ein Wireless LAN nicht ausschließlich per WPA oder WPA2 absichern lässt, unterstützen manche WLAN-Router ein gemischtes Drahtlosnetzwerk, das aus WEP-, WPA- und WPA2-Clients besteht. Dann wird ein und derselbe Key für die Verschlüsselung genutzt.

MAC-Adressen-Filtering nutzen

Jeder Netzwerkadapter besitzt eine fest vergebene Nummer, die MAC-Adresse genannt wird. Mit dieser Kennziffer lässt sich jeder WLAN-Client innerhalb eines Drahtlosnetzwerks eindeutig zuordnen. Die Funktion MAC-Adressen-Filtering erlaubt somit den Zugang zu einem Wireless LAN, falls der betreffende Client in der entsprechenden Liste eingetragen ist – oder verwährt den Zutritt.

Routerfunktionen ausschalten (UPnP, Remote Management)

Sie werden selten benötigt, sind aber in vielen Fällen standardmäßig eingeschaltet: Routerfunktionen wie UPnP oder Remote Management. Mit UPnP lassen sich WLAN-Router besonders einfach von jedem Windows-XP-Client aus verwalten, was zwar sehr komfortabel ist, aber auch einfachsten Zutritt für jeden auf den Access Point darstellt.

Remote Management wurde für die Fernwartung via Internet oder Telnet konzipiert. Diese Funktion ist wirklich nur was für erfahrene Profis und ist für kleinere Drahtlosnetzwerke, speziell im privaten Umfeld, nicht notwendig.

Daher gilt für beide Funktionen: Aus Sicherheitsgründen am besten ausschalten!

RADIUS-Authentifizierung nutzen

Nur wenige WLAN-Router wie viele der ZyXEL-Modelle bieten eine eigene RADIUS-Funktion, mit der sich im Access Point WLAN-Clients per Benutzerkennung und Kennwort eintragen lassen. Diese Daten können dann in einigen Fällen gleichzeitig für die WPA/2-basierte Authentifizierung genutzt werden.

VPN-Verbindungen verwenden

Die Einwahl via Internet ins eigene Wireless LAN ist zwar möglich, erfordert allerdings einen abhörsicheren Zugang, der sich entweder mit Windows-Bordmitteln oder spezieller Software einrichten lässt.

Das Zauberwort lautet VPN (Virtual Private Network) und stellt eine Art Tunnel dar, der zwischen Einwahlpunkt wie einem Hotspot und dem WLAN-Router aufgebaut wird. Aufgrund der abhörsicheren Protokolle wie IPsec, die bei VPN-Verbindungen eingesetzt werden, ist die Verbindung nahezu unknackbar.

Der WLAN-Router muss dies Funktion natürlich auch unterstützen: Entweder hardwarebeschleunigt wie der Netgear FVG318 oder per Software, was sich dann im Router hinter der Bezeichnung „VPN pass through“ versteckt.