Veröffentlicht am

Hinter dem Horizont geht’s weiter

Horizont und KommunikationEine alte Weisheit sagt, dass der Blick über den eigenen Tellerrand manchmal hilfreich ist.

Soll sagen: Man muss technische Dinge immer hinterfragen und die Tragweite des eigenen Handelns abschätzen.

Machen wir uns an einem fast fiktiven Beispiel klar, warum das wichtig ist.

Das Beispiel ist ein aktueller Vorgang rund um den DynDNS (Dynamic Domain Name Service) des Anbieters „NoIP“.

DynDNS ist eine Möglichkeit, um von unterwegs auf den heimischen Datenbestand zuzugreifen. Oft haben kleiner Unternehmen und Privatanwender keine feste IP-Adresse auf die sie zugreifen, sondern bekommen vom Provider nur eine dynamische IP zugeteilt.

Welche IP-Adresse das dann genau im Moment ist, bekommt man aber nur heraus, wenn man im eigenen Netz ist. Der VPN-Client auf dem Smartphone oder das Musikprogramm, das die eigenen Lieder unterwegs abrufen soll, wissen das von aussen nicht.

Hier hilft es, einen festen Namen wie „homeserver.no-ip.org“ einzustellen und der DynsDNS-Server der Zone „no-ip.org“ kümmert sich darum, welche IP das dann im Moment ist.

Was ist denn in unserem Beispiel eigentlich passiert?

Da scheiden sich noch die Geister, der eigentlich Sachverhalt WARUM ein großer Software-Anbieter aus den USA den Dienst übernommen hat, spielt aber für meine Betrachtung keine Rolle.

Mir geht es um das WIE.

Offenbar hat der Software-Hersteller bei Gericht beantragt, die Domains von „NoIP“ im DNS übernehmen zu dürfen, um so eine größere Anzahl von Servern mit Schadsoftware unschädlich zu machen. Also ist die Rechtsabteilung mit einer eigentlich sinnvollen Idee los marschiert und hat Recht bekommen.

(Die Frage, warum sich ein privatwirtschaftliches Unternehmen dazu berufen fühlt, einen solchen im Grunde bei der Exekutive angesiedelte Aufgabe zu übernehmen, lasse ich erst einmal offen im Raum stehen. Was aber nicht heißt, dass dieser Aspekt so ganz unbemerkt bleiben sollte!)

Jetzt kommt das Problem.

Offenbar hat man im Vorfeld nicht genau genug bei der Technik nachgefragt wie man so eine Übernahme denn realisieren könnte. Die Technik hat vermutlich geantwortet „Kein Problem, wir machen das als Proxy DNS, holen uns die Originaldaten von den Servern bei NoIP und filtern die bösen Hostnamen einfach heraus“.

Der Weg ist technisch prinzipiell durchaus gangbar. Nur leider hat die Rechtsabteilung entweder bei der Frage vergessen die Anzahl der aktiven Kunden zu nennen, oder hat bei der Antwort aus der Technikabteilung ein einschränkendes „Wir setzen das auf einer VM auf, damit können wir etwa x Requests pro Sekunde abwickeln“ einfach überhört.

Das passiert ganz oft in der Kommunikation zwischen Technikern und Nicht-Technikern. Die einen reden ihre eigene Sprache (siehe oben) und bei den anderen kommt ein Teil der Kommunikation nur als nutzloses Rauschen an. Denn eins ist klar: Was man nicht auf Anhieb versteht, das übersieht man.

Das Resultat?

Nun, momentan sind wohl die DNS-Proxies gnadenlos überlastet oder das Filtern der Domains per Script ist doch langsamer als gedacht. Fakt ist jedenfalls, dass eine riesige Anzahl an DNS Abfragen leer laufen. Natürlich mit dem Resultat, dass die dahinter liegenden Rechner im heimischen Netz nicht mehr erreichbar sind.

Im Ergebnis hat man also jetzt um ein Dutzend Server mit Schadsoftware zu blockieren, Tausende von anderen Servern einfach lahmgelegt. Man nennt so etwas wohl Kollateralschaden. Das Wissen wie man das nennt, hilft den Betroffenen nur leider nicht.

Was hilft?

Nachdenken und Kommunikation, die den anderen erreicht.

Ist es denn so schwer, den Juristen zu entgegenen: „Das ganze können wir unter Beachtung der aktiven Benutzer des Dienstes machen. Von wie vielen Anwendern reden wir? Wie viele Kunden hat der Dienst? Wie viele Servernamen sind zu erwarten?“

So eine Rückfrage entschleunigt den Prozess, das ist sicher. Aber ist das denn schädlich? Bei so einer Rückfrage hätten die Juristen nämlich durchaus auf die Idee kommen können, diese Zahlen zu hinterfragen. Da wäre dann vermutlich schnell heraus gekommen, das man ein Dutzend Schadsoftware-Schleudern blocken will und dafür aber Abertausende von anderen DNS-Abfragen bearbeiten muss. Dann wäre die nächste Frage an die Technik vermutlich gewesen: „Können wir das stemmen, was kostet der Betrieb intern und funktioniert das ohne, dass uns fälschlich Betroffene mit Regress kommen?“.

„Ihr macht das jetzt einfach mal und dann sehen wir schon…“ ist einfach der falsche Ansatz, wenn es um IT geht. Man sollte sich nicht zu schade sein zuzugeben, dass die eigenen Kenntnisse von anderen Bereichen (insbesondere technischen Bereichen!) unzureichend sind und man sich auf den Sachverstand der anderen verlassen und mit den Experten aus der Technik kommunizieren muss.

Solange Unternehmensprozesse aber immer weiter und weiter aufgespalten werden, damit jeder Anlernling sie mit Hilfe eines einzelnen A4-Zettels ohne Nachfrage ausführen kann, sind solche Sachen einfach vorprogrammiert.

Hier sollten Entscheider in Unternehmen ganz schnell gegensteuern und dafür sorgen, dass Menschen im Unternehmen verbleiben, die den Überblick haben.

Denn sonst passiert einem Unternehmen das, wovor die Wikinger am meisten Angst hatten: Das die Erde eine Scheibe ist und man am Ende des Horizonts einfach herunter fällt.
Veröffentlicht am

Bring Your Own Device

byod - bring your own deviceNutzerverhalten ändert sich. Das ist normal wenn sich Möglichkeiten ändern. Das ist allerdings auch ein Risiko wenn Unternehmen sich darauf nicht vorbereiten.

Bring your Device (BYOD) wird heiß diskutiert und oft eher nur als Risiko gesehen. Es bringt aber auch klare Vorteile.

 

Warum also eigentlich nicht?

 

Immer mehr Nutzer haben Smartphones oder private Laptops, die momentan als Risiko für Unternehmensnetzwerke gesehen werden.

Natürlich geht von diesen Geräten ein bestimmtes Risiko aus. Aber sie bringen ganz sicher auch einen Nutzen. Der Versuch einer sachlichen Näherung.

Menschen sind vernetzt. Mit Menschen aus dem beruflichen Umfeld. Oder mit Menschen, die gemeinsame Interessen haben. Wie viele Maschinenbauer sind z.B. begeisterte Schrauber oder RC-Modellbauer und sind gewohnt in dem Bereich zu improvisieren und nach Lösungen zu suchen? Wie viele Elektrotechniker basteln privat an Mikrocontrollersteuerungen für die Hausautomation?

Warum nicht auch als Unternehmen von dieser Tatsache profitieren? Das ist doch auch gar nicht so ungewöhnlich in der analogen Welt. Man hört von Freunden und Bekannten von Seminaren oder Fortbildungen, erhält interessante Denkanstöße. Alles Gelernte wird auch im Beruf indirekt genutzt.

Und heute passiert diese Vernetzung eben über Smartphones, Tablets und soziale Medien.

Die Vernetzung ist schneller, breiter und oft auch inhaltlich tiefer als früher. Wir leben in einer Informationsgesellschaft.

Und Informationen laufen ganz oft auf diesen privaten Geräten zusammen. In einer der persönlichen Arbeitsweise des Mitarbeiters entsprechenden Form. Auf einem Betriebssystem, das der Anwender mag. Mit dem er sich auskennt und souverän umgeht.

Warum muss ein Mitarbeiter im Betrieb auf seine aus dem privaten Umfeld gewohnten Arbeitsumgebung verzichten? Nur weil es die interne Unternehmensrichtlinie vorsieht?

Nehmen wir den Arbeitsplatzrechner doch einmal unter dem Gesichtspunkt Mitarbeitermotivation unter die Lupe. Mit dem „Nebenaspekt“ Sicherheit.

Von IT-Verantwortliche hört man oft das Killerargument: „Das können wir nicht unterstützen.

Mag sein. Aber muss man das? Kann der User das oft nicht sogar besser selbst? Warum nicht ein wenig mehr dem Anwender vertrauen und Verantwortung an den User weitergeben? Man erhält im Gegenzug einen dem Equipment positiv gegenüberstehenden Mitarbeiter. Der sich mit Sicherheit um „sein Eigentum“ besser kümmert als wenn er das Gerät einfach in der IT pflegen lassen muss.

Auch das ist ein Argument: Der Mitarbeiter sorgt mit Sicherheit für besseren Datenschutz, wenn auch die eigenen Daten betroffen sind, wenn ein Virus zuschlägt.

Oder ein anderer Ansatz: Alarmketten in der IT. Welcher IT-Mitarbeiter kriegt wirklich immer alle aktuellen Sicherheitswarnungen mit? Hand auf’s Herz…. Mir geht durchaus auch mal was durch. Und dann bin ich dankbar für Informationen über Facebook, Twitter oder RSS-Streams.

Warum also nicht über den Twitter-Account eines Mitarbeiters von aktuell genutzten Sicherheitslücken erfahren? Ich fand sowohl die Warnung über offene WLAN-Router der Telekom, als auch die Warnung vor einer als Telekom-Rechnung getarnten PDF-Datei absolut hilfreich und wusste ganz sicher sehr früh davon. Und konnte das weitergeben.

Man kann als IT-Verantwortlich also durchaus auch von dieser Vernetzung profitieren!

Lieber vor einer pdf-Datei mit Schadcode warnen, als hinterher im ganzen Unternehmen einen Virenscan mit Beseitigung fahren zu müssen. Also kann man „Bring your own device“ auch für proaktives Handeln nutzen.

Was her muss, sind Regeln und Richtlinien, wie mit den Devices umzugehen ist.

Das fängt im Bereich Infrastruktur damit an, dass Port-Security als Thema aktiv angegangen wird. Jeder Mitarbeiter darf nur wirklich sein freigegebenes Gerät ins Netzwerk einbringen. Clientzertifikate, 802.1x als Thema. Aufklären, warum das so sein muss.

Oder für mobile Devices wie Smartphones einen eigenen WLAN-Bereich aufziehen? Der Mitarbeiter ist froh, wenn seine Datentarife nicht über die Drosselungsgrenze gehen.

Solange die Arbeit nicht darunter leidet, ist eigentlich kein Argument zu sehen was dagegen spricht. Im Gegenteil. Im Alltag gibt es immer wieder Lücken, wo einfach nichts zu tun ist. Warum also nicht dem Mitarbeiter zugestehen, dass er stattdessen seinen Twitter-Stream liest? In Zeiten wo viel Arbeit anfällt, hat man als Unternehmer dafür einen hoch motivierten, sich im Unternehmen wohlfühlenden Mitarbeiter.

Das nutzt der Unternehmenskultur ganz sicher.

Nachdenken lohnt sich also.

Veröffentlicht am

Grenzen der Bequemlichkeit

WLAN SicherheitEin WLAN abzusichern kann man jedem zumuten.

Kann man.
Sollte man aber nicht.

 

Sicherheit bleibt etwas Individuelles.

 


Aktuell in der Presse und sogar im Fernsehen: Massenhaft eingesetzte Endgeräte der Telekom haben eine „Sicherheitslücke“.

Was einem dabei zu denken geben sollte? Ganz einfach. Ob man Sicherheitsfeatures im IT-Bereich so umsetzen kann und muss, dass jeder, der einen Toaster bedienen kann sich zutraut das eigene IT-Equipment zu bedienen.

Das mag provokant klingen, aber machen wir uns die Situation einmal klar.

Die Rechtsprechung verlangt vom Betreiber eines Drahtlos-Netzwerks (WLAN), dass dies so konfiguriert sein muss, dass es dem Stand der Technik entspricht. Das bedeutet klar eine Absicherung gegen unbefugte Nutzung und leitet aus dem Nichtvorhandensein von Sicherungsmaßnahmen eine Haftung ab. Den Beteuerungen von Beklagten wurde zum Beispiel nie Glauben geschenkt, dass Netz nicht offen betrieben zu haben. Klare Beweislastumkehr, die im Zivilprozess so auch immer funktionierte, wenn es um Schadenersatzforderung der Film- oder Musikindustrie ging.

Mit dieser Argumentation war klar, dass ein WLAN mit der im Auslieferungszeitpunkt bestmöglichen Verschlüsselung abzusichern ist. Im Grunde kann man als Hersteller bei allen in Deutschland verkauften Geräten eigentlich die Modi „offenes WLAN“, „WEP“ und „WPA“ aus der Firmware heraus lassen. Also rückte „WPA2“ in den Fokus. Längere Passworte, andere Verschlüsselungverfahren und sogar Authentisierungen per Radius-Server…

Und damit wird es problematisch. Die Hersteller trauen oder muten den Anwendern ja nicht einmal zu, Passworte einer bestimmten Länge in all ihre WLAN-Geräte einzutippen. Statt als Hersteller aber hier klar zu empfehlen „Suchen Sie sich einen Experten“, versucht man diese Funktionen durch Automatismen mit Knöpfendrücken zu umschiffen.

Also statt den User für Sicherheit in der IT zu sensibilieren, macht man Sicherheit simpel.

Leider ist IT auch im Heimbereich schon lange nicht mehr simpel. Die kleinsten Router bringen schon Sicherheitsfeatures mit, bei denen der Normalanwender völlig überfordert ist. Wie viele Menschen können denn beurteilen, ob sie Prioritizing, Paketshaping, QoS oder LowLatency Ping brauchen? Oder welche Ports in der Firewall freizugeben sind und welche nicht? Richtig. Das wissen 5% der Anwender. Also von 100.000 Betroffenen im aktuellen Fall 5000. Bei den restlichen 95.000 Anwendern stehen die Geräte mit ziemlicher Sicherheit in den unveränderten Werksvoreinstellungen.

Ist ja auch alles ganz einfach. Gerät verkabeln, Strom drauf, läuft.

Damit man als Hersteller oder Provider auch noch Support leisten kann, falls der Anwender doch mal experimentiert und im Endergebniss nun wirklich alles zerschraubt hat, werden Hintertüren eingebaut. Für die Konfiguration des Router wurde z.B. TR-069 entwickelt. Ein Verfahren, bei dem sich der Router alle notwendigen Konfigurationsdaten selber holt. Und es sind noch weit mehr Dinge damit möglich. Der obige Wikipedia-Artikel sei dem interessierten Leser sehr empfohlen!

Nebenbei werden in die Geräte vermutlich auch feste Testkonfigurationen einprogrammiert, um das WLAN zu testen. Das wäre nämlich eine mögliche Erklärung für das aktuell gefundene Sicherheitsloch. Im Grunde sind beides aus Sicht der Hersteller und Provider völlig nachvollziehbare Funktionen.

Diese Fakten sollten aber vor dem Aspekt Sicherheit klar kommuniziert werden! Und diese Funktionen haben so umgesetzt zu werden, dass der Anwender diese abschalten kann. Zum Beispiel gelten für den Home-Office-Zugang die gleichen Sicherheitsrichtlinien wie im Betrieb. Und da hat niemand ohne explizite Zustimmung Funktionen zu aktivieren oder Logdateien auszuwerten. Auch Software-Updates sind ohne Freigabe durch den Eigentümer fast nach §202 und §303 StGB zu werten.

Vor dem rechtlichen Hintergrund ergibt sich eigentlich nur eine Konsequenz: Wenn ich keinen Einfluss auf die Sicherheit meines WLANs habe, lehne ich auch die Haftung dafür ab! Es ist doch wohl ein schlechter Witz, dass mein WLAN trotz Abschaltung der „Knöpfchen“-Lösung und sogar bei expliziter ABSCHALTUNG des WLAN einen Zugang mit fest einprogrammierten PIN bietet. Und dann auch noch „01234567“.

Die von Hersteller und Inverkehrbringer gezeigte Art mit IT-Sicherheit umzugehen, ist aus meiner Sicht mehr als grob fahrlässig.

Letztendlich liefen in Deutschland einige Prozesse, bei denen es den verklagten Anwendern unmöglich war, den Nachweis zu erbringen, dass das ausreichend abgesicherte WLAN unbefugt genutzt worden sein könnte. Richter haben stets argumentiert, dass die eingesetzten Verfahren zur Absicherung des WLAN sicher sein. Sind die Verfahren auch. Nur die Implementierung in der Hardware aber nicht. Was nun hinreichend bewiesen ist. Bereits gefällte Urteile sollten vor dem Hintergrund der jetzt verfügbaren Informationen noch einmal hinterfragt werden!

Man sollte dem Inverkehrbringer die Geräte auf den Hof kippen und sämtliche Prozesskosten seit der Inverkehrbringung weitergeben!
Veröffentlicht am

IPv6 – Ein erstes Fazit

Seit zehn Monaten sprechen meine Geräte IPv6.

Warum ist das so erwähnenswert? Die Erklärung ist einfach: Nachdem die letzten IPv4 Adressen vergeben wurden, wird es langsam eng im IPv4-Adressraum.

Natürlich ist jetzt nicht schlagartig Schluss mir neuen IP-Adressen, denn durch Wechsel bei den Providern und Hostinganbietern werden immer auch wieder einmal Adressen frei.

Obwohl also kein akuter Zeitdruck herrscht, habe ich mich entschlossen den nächsten Schritt zu vollziehen und praktische Erfahrungen zu sammeln. Nach den erfolgreichen Tests am IPv6 Tag im Juni 2011 besteht nur noch geringe Skepsis, dass ein zweigleisiger Betrieb funktionieren wird.

Wie sieht jetzt das Fazit nach rund zehn Monaten Dualstack-Betrieb aus?

Ganz einfach. Im Grunde hat niemand von der Umstellung etwas bemerkt. Für den Empfänger/Kunden/Besucher ändert sich in der Regel auch nichts. Die Implementierung des neuen IP-Protokolls ist so ausgelegt, dass beide Verfahren nebeneinander funktionieren. So sind alle unsere Maschinen auch weiterhin über die altbewährten IPv4 Adressen erreichbar.

Kurz zur Erinnerung ein paar Grundlagen:

Was ist IPv6 eigentlich?

IPv6 ist eigentlich nichts anderes als was wir mit den neuen Postleitzahlen gemacht haben: Die Anzahl möglicher Adressen wurde ausgeweitet. Unter IPv4 ist die Länge einer IP-Adresse begrenzt auf 32 Bit. Hier stehen somit insgesamt 2^32 Adressen (ca. 4.2 Milliarden Adressen) zur Verfügung. Das klingt eigentlich viel, nur sind diese Adressen nicht einzeln vergebbar, sondern werden in der Regel in Blöcken vergeben. Und diese Blöcke sind derzeit erschöpft.

Was liegt also näher, als die Anzahl der Adressen zu vergrößern? Es wurde also beschlossen, die Länge der Adressen auf 128 Bit auszuweiten. Das bedeutet dann 2^128 Möglichkeiten. Und diese Anzahl dürfte erst einmal reichen.

Wie sieht man etwas von IPv6?

Eigentlich gar nicht. Weder bei den Mailadressen, noch beim Aufruf von Webseiten ändert sich für den Nutzer etwas. Nur die Administratoren im Netzwerk haben ein wenig zu tun.

Neue Routen müssen gesetzt werden, Firewallregeln angepasst werden und Router umkonfiguriert werden.

Aus den alten Adressen der Form „178.63.52.37“ wird jetzt „2a01:4f8:120:7386::2“. Beides wird aber im Webbrowser immer noch als „www.vico.de“ angesprochen. Im Hintergrund laufen die eigentlichen Abfragen vor dem Aufruf der Seite automatisch ab. Alle Browser und Hilfsprogramme sind mittlerweile so ausgelegt, dass sie je nach Konfiguration zunächst versuchen, das Ziel per IPv6 anzusprechen. Wenn das nicht klappt, wird einfach auf das altbewährte IPv4 zurück geschaltet.

Und wie sieht die Empfehlung aus?

Erfahrungen sammeln schadet nicht. Also einfach in bestimmten Bereichen den Schritt wagen und auf den Dualbetrieb wechseln. Also zum Beispiel externe Server und Firewalls umstellen und Erfahrungen sammeln.

Danach dann IPv6 in einzelnen (unkritischen!) Bereichen des eigenen Netzwerks in Betrieb nehmen und sehen, ob alles wie geplant funktioniert. Also vielleicht erst einmal nur einen Proxyserver mit einem Tunnel an den IPv6 Backbone anbinden. Und wieder Erfahrungen sammeln. Denn hier wird es spannend: Bislang vorhandene Zugriffsbeschränkungen auf Basis der IP-Adresse greifen möglicherweise nicht. Also aufgepasst, das nicht plötzlich mehr erlaubt ist, als geplant.

Spätestens wenn Endgeräte im internen Netzwerk mit IPv6 angebunden werden, muss man sich darüber im Klaren sein, dass jetzt das interne Netz nicht mehr durch ein bislang vorhandenes NAT abgetrennt wird. Das Internet reicht also möglicherweise bis auf den lokalen Schreibtisch!

Um einen gangbaren Weg in Ihrem Unternehmen aufzuzeigen und Fehler zu vermeiden, stehen wir gerne zur Verfügung. Sprechen Sie uns an.