Schlecht gelebte Paranoia Marc Ruef | 18.03.2013 Es ist nichts Ungewöhnliches, eine Sicherheitsüberprüfung (http://www.scip.ch/?dienstleistungen.auditing) vor Ort durchzuführen. Dies geschieht in der Regel dann, wenn man die Sicherheit interner Systeme oder gegenüber internen Benutzern prüfen will. Eine der Voraussetzungen zur Umsetzungen solcher Onsite-Analysen ist das Bereitstellen eines Arbeitsgeräts. Entweder wird ein solches durch den Kunden zur Verfügung gestellt - Oder man bringt seine eigenen Gerätschaften mit. Aus diesem Grund pflegen wir bei scip AG entsprechende "Pentest Laptops" einzusetzen. Diese mobilen Geräte erlauben den flexiblen und unkomplizierten Gebrauch. So mancher Kunde ist darum bemüht, dass keine fremden und damit unkontrollierbaren Geräte in seinem Netzwerk verwendet werden. Oftmals erhalten wir also zwangsweise eine Ausnahmebewilligung für unsere Pentest Laptops. In vielen Fällen werden dann Auflagen an unsere Systeme gestellt: Diese müssen auf dem aktuellsten Stand sein, eine aktuelle Antiviren-Lösung einsetzen und die sensitiven Daten entsprechend verschlüsselt aufbewahren. Grundsätzlich ist es sicher richtig, dass solche Anforderungen gestellt und vor dem Anschluss ans lokale Netz auch geprüft werden. Das Problem hierbei ist jedoch, dass eine Prüfung weder umfassend noch abschliessend durchgeführt werden kann. Ja, Autoupdate mag vielleicht heute aktiv sein. Aber dass Patches absichtlich nicht installiert wurden, hat bei mir noch niemand geprüft. Und ja, dass die Antiviren-Lösung die aktuellsten Pattern verwendet, das mag stimmen. Doch welche Verzeichnisse von der Prüfung ausgeschlossen wurden, hat bisher ebenfalls noch nie jemand bei mir geprüft. Unsere Checkliste für Windows 7 Hardening umfasst 742 Punkte. Da wirkt im Gegensatz das flüchtige Anschauen wahrlich lächerlich. Hinzu kommt der Fakt, dass viele unserer Tools in einer zusätzlichen VMware betrieben werden und daher in einem gänzlich anderen Ökosystem zum Einsatz kommen. Dort können wiederum ganz andere Regeln gelten. Bisher hat jedenfalls noch niemand die zig VMs geprüft, die wir jeweils mitführen. Wie soll man auch, denn hier kommen bisweilen sehr exotische und hochgradig individualisierte Lösungen zum Tragen. Damit bleibt zum Schluss die Frage: Macht man diese oberflächlichen Anforderungen wirklich, um etwas zu verbessern - Oder halt doch nur, um gegenüber Management und Auditor einen vermeintlich sicheren Prozess vorzugaukeln?