Baden in der Informationsflut Marc Ruef | 12.05.2006 Ich muss gestehen, am liebsten habe ich jene Security Audits, bei denen das technische Testing am Gerät etwa 5 Tage ausmachen. Der Grund liegt ganz einfach darin, dass sich derlei Überprüfungen meist gut strukturiert und damit sehr effektiv umsetzen lassen. Obschon eine gewisse Hitze des Gefechts gegeben ist, kann man sich die Zeit für fokussierte Betrachtungen nehmen. Vor einiger Zeit war es meine Aufgabe, die länderübergreifende Sicherheit einer Bank zu überprüfen. Der Hauptsitz wollte sicherstellen, dass die internationalen Aussenstellen nur jene Rechte für sich in Anspruch nehmen können, die sie für ihre Arbeit benötigen. Eine streng abgesicherte globale Vernetzung war höchstes Ziel des Kunden. Und eine solche Umgebung fand ich dann auch vor. Da der Auftrag mehrere Wochen umfasste, um die effektive Sicherheit so genau wie möglich bestimmen zu können, unterteilte ich mein Vorgehen in dedizierte, möglichst autonome Phasen. Als erstes ging ich bei einer der Aussenstellen vorbei und liess mir dort von einem Administrator vor Ort die Gegebenheiten erklären. Ich wollte hören, wie sie arbeiten, welche Systeme sie nutzen und wie sie die Sicherheit des Mutterhauses einschätzen. In einer nächsten Phase reiste ich zur Aussenstelle und führte ein erstes Informationssammeln (engl. information gathering) vor Ort durch. Wirklich sehr rudimentär verfizierte ich erreichbare Systeme (Mapping), informierte mich über Routen (Route-Traceing), determinierte offene Ports (Portscanning) und genutzte Protokolle (Application Mapping) sowie die eingesetzte Software (Fingerprinting). Mir war von Anfang an klar, dass ich es hier mit einer hochkomplexen und enorm raffinierten Umgebung zu tun hatte. Alleine die fast 400 verschiedenen Firewall-Regeln der perimeter Firewall waren schier unmöglich zu verstehen. Objekte, Netze, IP-Adressen und Dienste schienen bis zur Unendlichkeit vermerkt und das Erlangen eines ansatzweise soliden Verständnisses im Vorfeld erschien als wahre Sisyphos-Arbeit. Zum Glück war ich in bester Weise vorbereitet, wie sich am ersten Tag des technischen Scannins zeigte. Die vielen Manntage, die in die Papierarbeit investiert wurden, haben sich wahrlich ausgezahlt. Mein Grundsatz, dass Informatik zu grossen Teilen effizient auf dem Papier umgesetzt werden kann und soll, schien bestätigt. So hatte ich mir schon im Vorfeld ein eigenes Angriffsdiagramm für die verschiedenen Netwzerke und Segmente der Aussenstellen erstellt. Die einzelnen Systeme, die dazugehörigen Routen und die erforderlichen Firewall-Regeln waren damit auf einen Blick ersichtlich. Dies, ohne Zweifel, war Gold wert! In Zeiten, in denen der Buchdruck das Laufen lernte, war das Einholen von Informationen eine wahre Kunst. In der heutigen Zeit, in der Computer und das Internet allgegenwärtig sind, besteht die Kunst jedoch darin, die richtigen Daten in einer wahren Flut an Informationen zu finden. Diese Kunst sollte an den modernen Schulen gelehrt werden, denn wird sie unweigerlich zu einem der wichtigsten Bestandteile einer funktionierenden Informationsgesellschaft.