Archiv für den Monat: Januar 2014

27 01, 2014

Gastvortrag an der FH Potsdam: Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

von |27. Januar 2014|Vorträge|2 Kommentare|

Ich halte in den nächsten Tagen einen Gastvortrag an der Fachhochschule Potsdam im Rahmen des Kurses „New Ways for Visual Pattern Recognition“ über die Schwierigkeiten und Herausforderungen in der Analyse von Logfiles zur Angriffserkennung. Die Folien habe ich zum Download online gestellt.

24 01, 2014

Der sichere Umgang mit Passwörtern

von |24. Januar 2014|Allgemein|0 Kommentare|

Das Problem

Von vielen Menschen wird online gerne das gleiche Passwort für unterschiedliche Webseiten genutzt. Oftmals wird dann noch zur Anmeldung immer die gleiche E-Mail-Adresse verwendet. Wird dazu noch ein einfaches Passwort verwendet, erhöht sich die Gefahr eines Missbrauchs enorm.

Sobald das Passwort auch nur einmal gestohlen oder veröffentlicht wurde, ist das ein riesiges Problem.

Mit einem gestohlenen Passwort kann man – wenn man die E-Mailadresse kennt – mit etwas Glück bei Amazon und eBay einkaufen oder auch komplett das digitale Social Life auf Facebook und Google Plus kapern. Ich kann nur eindringlich davor warnen, für wichtige Dienste das gleiche Passwort zu verwenden.

Natürlich sollten Passwörter auch nicht aus einfachen Wörtern bestehen. Leider sehen Passwörter oftmals so aus: 123456, 12345678, qwertz, letmein, love, password, passwort usw. Das ist gefährlich, da Angreifer mit frei verfügbaren Listen von häufig genutzten Passwörtern sehr schnell in einen Account eindringen können.

Eine Lösung

Passwörter sollten um möglichst sicher zu sein, möglichst komplex sein. Aber wer kann sich  schon ein Passwort wie 64#sxB%pKk merken und dann für jeden Dienst ein anderes? Niemand – außer vielleicht Gedächtniskünstler. Ein möglicher Ansatz um das Problem zu lösen ist die Nutzung eines Passwortsafes. Es gibt verschiedene Alternativen, manche wie KeePass sind frei verfügbar und kostenlos (OpenSource), andere sind kommerzielle Produkte. Im Prinzip ist ein gutes kostenloses Tool ausreichend. Ich selbst nutze KeePass.

Etwas vereinfacht ausgedrückt, erstellt ein Passwortsafe mit einem Passwort bzw. Passphrase eine verschlüsselte Datenbank, in dieser die eigentlichen Passwörter für Amazon & Co gespeichert werden. Das geht auch etwas sicherer mit kryptographischen Schlüsseldateien, ist aber in der Benutzung etwas aufwendiger. Das Passwort zur Verschlüsselung der Datenbank sollte nun möglichst kompliziert und lange sein. Hier lohnt es sich etwas Hirnschmalz einzusetzen.

Ein einfacher Trick um sich ein sicheres, und komplexes Passwort zu erstellen ist die Ableitung aus einem Satz. Ein Beispiel: „Ich heiße Max Mustermann, habe 1 Ehefrau, 1 Freundin und mehrere Kinder.“ Aus dem Satz verwendet man nun die ersten Buchstaben eines Wortes, die Zahlen und Satzzeichen – man erhält

IhMM,h1E,1FumK.

Je länger der Satz und somit auch das Passwort wird, desto besser.

bsp-keepass-01

Hat man die Datenbank mit einem guten Passwort erstellt und gesichert, kann man sichere und äußerst komplexe Passwörter automatisch erstellen lassen. Die kann man dann bequem aus dem Passwordsafe in die Eingabemaske eines Logins im Browser kopieren. Problem gelöst.

bsp-keepass-02

Noch kurz der Hinweis: Das Passwort vom Passwordsafe kann man nicht zurücksetzen, wenn man es vergessen hat. Also im Zweifel lieber einmal ausdrucken und an einem sicheren(!) Ort aufbewahren. Eine regelmäßige Datensicherung (u.a. vom Passwordsafe bzw. seiner Datenbank) ist auch keine schlechte Idee ;-).

24 01, 2014

Der Datenschutz im Altpapiercontainer

von |24. Januar 2014|Datenschutz|0 Kommentare|

Der Inhalt eines Altpapiercontainers ist eine nützliche Informationsquelle um den Umgang eines Unternehmens bzw. der Mitarbeiter mit dem Datenschutz und auch allgemein das Sicherheitsbewusstsein zu bewerten.

Was meistens im Privaten gang und gäbe ist, nämlich die eigenen Rechnungen, Kontoauszüge oder Unterlagen der Krankenkasse in die Hauspapiertonne zu entsorgen, ist in Unternehmen ein Problem. Privat darf jeder mit seinen eigenen personenbezogenen Daten umgehen wie er möchte. Unternehmen unterliegen hingegen dem gesetzlichen Datenschutz, sodass personenbezogene Daten (z.B. Gehaltsinformationen, Mitarbeiterbewertungen) auf gar keinen Fall über die Papiertonne entsorgt werden dürfen. Entweder man nutzt Papierschredder oder mietet besser gleich eine gesicherte Entsorgungstonne für Altpapier.

Aus Unternehmersicht hört das Problem mit der Papierentsorgung aber nicht bei den personenbezogenen Daten auf: Geschäftsgeheimnisse und andere strategisch wichtige Informationen sollten aus eigenem unternehmerischen Interesse nicht als gewöhnliches Altpapier entsorgt werden.

Oftmals trifft man auf die Meinung, dass schon niemand einen Blick in die Altpapiertonne wirft. Das stimmt leider nicht und die Hemmschwelle dazu ist auch nicht sonderlich hoch. Bei der nächsten Entsorgung vom eigenen Altpapier einfach mal die Augen offen halten… es lohnt sich!

23 01, 2014

Die berühmte base64-Verschlüsselung

von |23. Januar 2014|IT-Sicherheit|0 Kommentare|

Letztens habe ich wieder(!) ein Gespräch mitbekommen, mit der kreativen Aussage:

„Sinngemäß: Und zusätzlich verschlüsseln wir die Daten noch base64.“

Anscheinend gibt es immernoch Informatiker, die die base64-Kodierung als Verschlüsselung ansehen. Nach 1-2 Drinks kann man das im besten Fall noch unter „security by obscurity“ verbuchen. Im nüchternen Zustand möchte man darüber eher nicht nachdenken.

22 01, 2014

Zeugnis Master of Science in Security Management

von |22. Januar 2014|Studium|0 Kommentare|

Mein Zeugnis ist endlich per Post eingetroffen: Download.

22 01, 2014

Blog-Relaunch: Red Spy is online

von |22. Januar 2014|Allgemein|0 Kommentare|

Blog-Relaunch: Red Spy. Abgesehen von ein paar Änderungen im Design habe ich auch die Struktur des Blogs geändert. Man kann nun problemlos mehrere Artikel vollständig lesen, ohne den jeweiligen Beitrag per Klick aufrufen zu müssen.

19 01, 2014

Microsofts Cloud Azure, PCI DSS und die Kreditkartenspeicherung

von |19. Januar 2014|PCI DSS|0 Kommentare|

Microsofts Cloud Azure wurde von dem Unternehmen Neohapsis PCI DSS zertifiziert, sodass sich Azure grundsätzlich als Cloud für Kreditkartenzahlungsanwendungen verwenden lässt. Die Nutzung einer PCI-Cloud entlässt ein Unternehmen nicht aus der Pflicht sich selbst PCI zertifizieren zu lassen.  Vielmehr werden die Anforderungen des PCI DSS zwischen dem Cloud-Anbieter und dem Cloud-Kunden geteilt. Im Gegensatz zu Amazon gibt Microsoft offen an, für welche Anforderungen sie zuständig sind: Link

Manche Anforderungen gehen vollständig an Microsoft über, andere bleiben komplett beim Kunden. In einem Bereich sehe ich in der Praxis Umsetzungsschwierigkeiten: Möchte der Kunde Kreditkartendaten speichern, muss er sich um die Anforderung 3  und deren Unteranforderungen nahezu komplett selbst kümmern. Das aufwendige und komplizierte Thema Verschlüsselung inklusive dem notwendigen Key Management bleibt beim Kunden. In wie Weit die Nutzung von HSMs (Hardware Security Modules)  bei Azure möglich ist, darf bezweifelt werden. Bleibt nur der Einsatz manueller Klartext-Keymanagementverfahren  oder das Outsourcing der Speicherung der Kreditkartendaten an einen anderen Dienstleister. Beides ist meiner Meinung nach suboptimal.