Veröffentlicht am

Die Cloud – Ein paar Denkanstöße

Cloud Services - DenkanstößeDas Thema Cloud Services ist nicht mehr wegzudenken.

Wohin man auch blickt, überall wird mit Cloud Diensten geworben. Sei es als gemeinsamer Datenspeicher a la DropBox oder als komplette Servervirtualisierung in der Elastic Cloud von Amazon.

Neben diesen beiden Speicher-, bzw. Rechnerlösungen gibt es noch viele Spezialanwendungen, die direkt in der Cloud realisiert werden. Hier merkt der Anwender nicht einmal, dass er in der Cloud arbeitet. Die Dienste arbeiten oftmals entweder im Internetbrowser oder als separate Applikation, die lokal auf dem Rechner installiert wird und ein sogenanntes Frontend bildet.


Wie kann Ihr Unternehmen von Cloud Diensten profitieren?

Wie und ob diese verschiedenen Ansätze in Ihrem Unternehmen eingesetzt werden können, ist oft fraglich. Die Beschreibungen der einzelnen Dienste sind oft eher für Techniker geschrieben als für Entscheider.

Mit diesen Informationen fällt es oft schwer zu entscheiden, ob und welche Dienste in einem Unternehmen wirklich eingesetzt werden können. Hinzu kommen relativ undurchschaubare Geschäftsbedingungen, die eine Kalkulation nicht einfach machen.

Genug Ansatzpunkte also das Thema in einer losen Beitragsreihe einmal aufzuarbeiten und ein paar Denkanstöße zu liefern.

Muss es immer eine externe Cloud sein?

Das ist oft ein erster Gedanke. Bedenken um die Themen Datenschutz und Ausfallsicherheit kommen in Gesprächen immer sehr schnell auf. Ein Aspekt dabei ist in der Tat das Thema Datenschutz. Die Entwicklung im Juni 2013 rund um die Tätigkeiten der U.S.-amerikanischen NSA lassen viele Vermutungen zur Gewissheit werden.

Auch Ausfallsicherheit, Datensicherung (Backup) und Zugriffsmöglichkeiten sind ein Thema, das in der Diskussion um die Frage einer externen Cloud-Lösung aufkommt.

Hier im Blog wird es in den nächsten Wochen ein paar Hinweise und Denkanstöße geben, die für Sie als Entscheider wichtig sein werden.

Es wird bewusst nicht das System A oder B konkret vorgestellt werden, sondern es wird eher um die grundsätzlichen Dinge in der Planung gehen. Die Themen werden sein:

  • Diensteauswahl
    • Speicherplatz
    • Rechenleistung
  • Zugang zu den Services
    • Eigener Internetzugang
    • Standort Dienstleister
  • Datensicherung
    • Absicherung und Fehlerquellen
    • Rücksicherung und Wiederinbetriebnahme
    • Organisatorischen Maßnahmen
  • Datenschutz
    • Auswahl des Providers aus juristischer Sicht
    • Auswahl der Service Level Agreements

Abonnieren Sie einfach den Newsfeed und bleiben Sie auf dem Laufenden.

Veröffentlicht am

Surfen im Web, Schadsoftware umschiffen

IGP0814_1000px-199x300Sie haben gerade Ihren Laptop bei mir abgeholt?

 

Und Ihnen ist aufgefallen, dass der Webbrowser ganz anders aussieht?

Da haben Sie recht. Ich habe da etwas ein kleines Stück sicherer gemacht. Einfach nur ein Schloss daran hängen bringt es nämlich nicht immer.


Aber keine Angst. Solche Änderungen mache ich nicht, ohne das abzusprechen. Aber manchmal würde ich das schon gerne. Denn gerade im Bereich der Windows-PCs lauern Risiken, die man schon mit kleinen Änderungen minimieren kann.

 

Also reden wir doch einmal darüber, was an einfachen Änderungen machbar ist, um das Risiko von Schadsoftware zu verringern.

Alles fängt mit der Wahl des Internetbrowsers an. Denn der ist mittlerweile die Hauptquelle für Schadsoftware auf dem Rechner. Also nehmen wir einen, der sich mit Anpassung auf ein sinnvolles Maß an Sicherheit nachrüsten lässt.

Am einfachsten aus Sicht der IT-Sicherheit lässt sich das mit Mozilla Firefox bewerkstelligen. Hier gibt es eine breite Auswahl an sogenannten AddOns, mit denen man sehr hübsche Sachen nachrüsten kann.

Im Grunde reichen dazu drei AddOns: AdBlock Plus, Ghostery und NoScript. All drei findet man problemlos über die im Firefox enthaltene AddOn-Funktion.

Diese drei kleinen Zusatzprogramme ergänzen sich gut auf verschiedenen Ebenen.

AdBlock Plus filtert unerwünschte Werbung heraus. Sie werden staunen, wie so manche Ihrer gewohnten Webseiten aussieht, nachdem das AddOn zuschlägt. Neben der Unterdrückung von Werbung hilft es auch, die meisten externen Skripte auf Seiten zu blocken.

 

NoScript ist auf dem Gebiet aber Experte. Denn genau diese Funktion hilft bei der Vermeidung der meisten Schadsoftware. Diese wird nämlich häufig über im Hintergrund einer Seite lauernde aktive Inhalte eingeblendet. Mal eben ein für den Nutzer unsichtbares iFrame eingebettet, das den entsprechenden Schadcode nachlädt. NoScript schiebt da einen ziemlich dicken Riegel vor.

(Wie bei manchen menschlichen Experten passiert auch hier manchmal doch zu viel des Guten. Viele Webseiten funktionieren mit NoScript nicht mehr wirklich toll. Also mit Augenmaß einsetzen…)

 

Ghostery macht unsichtbar. Also jedenfalls ein wenig. Ghostery ist spezialisiert, sogenannte WebBugs, also transparente Zählpixel, auszublenden und zu filtern.

Ab man nun alle drei einsetzt oder nur einzelne, muss jeder Nutzer auf Basis der eigenen Webseiten entscheiden.

Als sehr gut erwiesen hat sich die Kombination aus AdBlock und Ghostery. Diese beiden arbeiten ruhig im Hintergrund und fallen nur dadurch auf, dass ab und zu die Filterlisten aktualisiert werden. Wer es sicherer mag, sollte aber NoScript ruhig dazunehmen. Mit der Pflege von Ausnahmelisten kann man auch die eigenen und als sicher befundenen Webseiten dann freigeben. Aber klarer Tip: Ausprobieren und prüfen ob es zum eigenen Arbeitsablauf passt.

[UPDATE]

Nach einem Hinweis aus der Follower-Gemeinde, die auf eine negative Beurteilung von Ghostery hinwies, eine kurzes Ergänzung:

Ghostery ist in der Tat vor einiger Zeit von einem Werbedienstleister gekauft worden. Auch AdBlock hat im Hintergrund irgendwelche Vereinbarungen mit Werbedienstleistern und lässt daher „Weniger störende Werbung“ durch. Natürlich ist Werbung ein Geschäftsmodell. Darüber sollte man sich im klaren sein. Und es wird immer eine Gratwanderung sein.

[/UPDATE]

 

Wer sich nicht anpasst, geht unter!

Denn all diese Tools helfen nicht ohne Anpassungen im Firefox! Auch im Programm selber sind die vorhandenen Sicherheitsfunktionen nicht unbedingt perfekt voreingestellt. Nehmen wir beispielhaft doch einmal einige dieser Einstellungen unter die Lupe.

EinstellungenIn den Einstellungen der Reiterkarte „Datenschutz“ finden sich ein paar nette Häkchen, die man hinterfragen und eigentlich auch setzen sollte.

Die Verfolgung von Websites abzuschalten ist eigentlich Pflicht, basiert aber auf dem Goodwill des Seitenbetreibers. Aber es schadet nicht, die Funktion anzuschalten.

Die Option privater Modus sorgt dafür, dass kein Browserverlauf geschrieben wird und das keine Formulardaten gespeichert werden. Insbesondere dann interessant, wenn mehrere Personen einen Rechner nutzen.

Cookies sind an sich erst einmal nicht schädlich, sie lassen sich aber über die Drittanbieter-Erlaubnis missbrauchen. Also Drittanbieter aussperren!

Die Vorschläge in der Adressleiste sind zweischneidig. Natürlich ist es bequem, dass man dort nicht immer die ganze URL eintippen muss. Aber woher kommen die Vorschläge? Natürlich von draußen. Und wer sagt mir, dass diese Vorschläge nicht vorgefiltert sind oder zu „statistischen“ Zwecken gespeichert werden? Also abschalten und lieber tippen.

Mit diesen wenigen Handgriffen ist der Browser schon einmal nicht mehr ganz so auskunftsfreudig. Das Ergebnis sehen Sie nicht direkt. Aber es zahlt sich aus.

 

Vom Suchen und Finden

Auch ein Aspekt. Oben rechts neben der Eingabezeile für die URL gibt so ein praktisches Suchfeld. Bei den meisten sieht es so aus:

Google SucheIst doch so herrlich bequem. Wer ahnt denn schon, dass sich mit statistischen Methoden aus den an Google übermittelten Informationen mit recht hoher Genauigkeit eine Identifizierung eines Browsers machen lässt? Der Browser liefert dem Server (also Google) nämlich auf Anfrage eine Liste der PlugIns, der benutzten Rechnerplattform und anderen Informationen wie der Bildschirmeinstellung. Hieraus lässt sich schon ein recht genau zu identifizierender Fingerabdruck erstellen, der identifizierbar ist.

Warum das nicht ändern auf: ixquick

Das kostet eine letzte Suche bei Google mit dem Suchbegriff ixquick. Oder einen Klick hier. Und dann noch einen unter dem Suchfeld. „Zu Firefox hinzufügen“.

ixquick macht nichts anderes, als die Suchanfragen an andere Suchmaschinen weiterzuleiten. Allerdings vermischt mit anderen Anfragen. Man verschwindet also wieder ein wenig in der anonymen Masse. Also jedenfalls der von Google. Natürlich kann der Betreiber von ixquick auch Daten sammeln. Aber weit weniger sinnhaft.

 

WWW – Mach’s mit. Immer.

Ebenso unabdingbar ist ein gut funktionierender Viren- und Malwareschutz. Wenn nämlich doch einmal etwas durchrutscht, braucht es einfach noch eine Instanz, die das Einnisten von Schadcode wirkungsvoll unterbindet.

Und welchen man da nimmt? Das ist echt eine Glaubensfrage geworden. Natürlich könnten wir nach so vielen Jahren in der IT hier unsere Meinung kundtun, aber das macht man nicht. Jedenfalls nicht ohne Anwalt. Deshalb: Rufen Sie doch einfach mal an.

Veröffentlicht am

Grenzen der Bequemlichkeit

WLAN SicherheitEin WLAN abzusichern kann man jedem zumuten.

Kann man.
Sollte man aber nicht.

 

Sicherheit bleibt etwas Individuelles.

 


Aktuell in der Presse und sogar im Fernsehen: Massenhaft eingesetzte Endgeräte der Telekom haben eine „Sicherheitslücke“.

Was einem dabei zu denken geben sollte? Ganz einfach. Ob man Sicherheitsfeatures im IT-Bereich so umsetzen kann und muss, dass jeder, der einen Toaster bedienen kann sich zutraut das eigene IT-Equipment zu bedienen.

Das mag provokant klingen, aber machen wir uns die Situation einmal klar.

Die Rechtsprechung verlangt vom Betreiber eines Drahtlos-Netzwerks (WLAN), dass dies so konfiguriert sein muss, dass es dem Stand der Technik entspricht. Das bedeutet klar eine Absicherung gegen unbefugte Nutzung und leitet aus dem Nichtvorhandensein von Sicherungsmaßnahmen eine Haftung ab. Den Beteuerungen von Beklagten wurde zum Beispiel nie Glauben geschenkt, dass Netz nicht offen betrieben zu haben. Klare Beweislastumkehr, die im Zivilprozess so auch immer funktionierte, wenn es um Schadenersatzforderung der Film- oder Musikindustrie ging.

Mit dieser Argumentation war klar, dass ein WLAN mit der im Auslieferungszeitpunkt bestmöglichen Verschlüsselung abzusichern ist. Im Grunde kann man als Hersteller bei allen in Deutschland verkauften Geräten eigentlich die Modi „offenes WLAN“, „WEP“ und „WPA“ aus der Firmware heraus lassen. Also rückte „WPA2“ in den Fokus. Längere Passworte, andere Verschlüsselungverfahren und sogar Authentisierungen per Radius-Server…

Und damit wird es problematisch. Die Hersteller trauen oder muten den Anwendern ja nicht einmal zu, Passworte einer bestimmten Länge in all ihre WLAN-Geräte einzutippen. Statt als Hersteller aber hier klar zu empfehlen „Suchen Sie sich einen Experten“, versucht man diese Funktionen durch Automatismen mit Knöpfendrücken zu umschiffen.

Also statt den User für Sicherheit in der IT zu sensibilieren, macht man Sicherheit simpel.

Leider ist IT auch im Heimbereich schon lange nicht mehr simpel. Die kleinsten Router bringen schon Sicherheitsfeatures mit, bei denen der Normalanwender völlig überfordert ist. Wie viele Menschen können denn beurteilen, ob sie Prioritizing, Paketshaping, QoS oder LowLatency Ping brauchen? Oder welche Ports in der Firewall freizugeben sind und welche nicht? Richtig. Das wissen 5% der Anwender. Also von 100.000 Betroffenen im aktuellen Fall 5000. Bei den restlichen 95.000 Anwendern stehen die Geräte mit ziemlicher Sicherheit in den unveränderten Werksvoreinstellungen.

Ist ja auch alles ganz einfach. Gerät verkabeln, Strom drauf, läuft.

Damit man als Hersteller oder Provider auch noch Support leisten kann, falls der Anwender doch mal experimentiert und im Endergebniss nun wirklich alles zerschraubt hat, werden Hintertüren eingebaut. Für die Konfiguration des Router wurde z.B. TR-069 entwickelt. Ein Verfahren, bei dem sich der Router alle notwendigen Konfigurationsdaten selber holt. Und es sind noch weit mehr Dinge damit möglich. Der obige Wikipedia-Artikel sei dem interessierten Leser sehr empfohlen!

Nebenbei werden in die Geräte vermutlich auch feste Testkonfigurationen einprogrammiert, um das WLAN zu testen. Das wäre nämlich eine mögliche Erklärung für das aktuell gefundene Sicherheitsloch. Im Grunde sind beides aus Sicht der Hersteller und Provider völlig nachvollziehbare Funktionen.

Diese Fakten sollten aber vor dem Aspekt Sicherheit klar kommuniziert werden! Und diese Funktionen haben so umgesetzt zu werden, dass der Anwender diese abschalten kann. Zum Beispiel gelten für den Home-Office-Zugang die gleichen Sicherheitsrichtlinien wie im Betrieb. Und da hat niemand ohne explizite Zustimmung Funktionen zu aktivieren oder Logdateien auszuwerten. Auch Software-Updates sind ohne Freigabe durch den Eigentümer fast nach §202 und §303 StGB zu werten.

Vor dem rechtlichen Hintergrund ergibt sich eigentlich nur eine Konsequenz: Wenn ich keinen Einfluss auf die Sicherheit meines WLANs habe, lehne ich auch die Haftung dafür ab! Es ist doch wohl ein schlechter Witz, dass mein WLAN trotz Abschaltung der „Knöpfchen“-Lösung und sogar bei expliziter ABSCHALTUNG des WLAN einen Zugang mit fest einprogrammierten PIN bietet. Und dann auch noch „01234567“.

Die von Hersteller und Inverkehrbringer gezeigte Art mit IT-Sicherheit umzugehen, ist aus meiner Sicht mehr als grob fahrlässig.

Letztendlich liefen in Deutschland einige Prozesse, bei denen es den verklagten Anwendern unmöglich war, den Nachweis zu erbringen, dass das ausreichend abgesicherte WLAN unbefugt genutzt worden sein könnte. Richter haben stets argumentiert, dass die eingesetzten Verfahren zur Absicherung des WLAN sicher sein. Sind die Verfahren auch. Nur die Implementierung in der Hardware aber nicht. Was nun hinreichend bewiesen ist. Bereits gefällte Urteile sollten vor dem Hintergrund der jetzt verfügbaren Informationen noch einmal hinterfragt werden!

Man sollte dem Inverkehrbringer die Geräte auf den Hof kippen und sämtliche Prozesskosten seit der Inverkehrbringung weitergeben!
Veröffentlicht am

IPv6 – Ein erstes Fazit

Seit zehn Monaten sprechen meine Geräte IPv6.

Warum ist das so erwähnenswert? Die Erklärung ist einfach: Nachdem die letzten IPv4 Adressen vergeben wurden, wird es langsam eng im IPv4-Adressraum.

Natürlich ist jetzt nicht schlagartig Schluss mir neuen IP-Adressen, denn durch Wechsel bei den Providern und Hostinganbietern werden immer auch wieder einmal Adressen frei.

Obwohl also kein akuter Zeitdruck herrscht, habe ich mich entschlossen den nächsten Schritt zu vollziehen und praktische Erfahrungen zu sammeln. Nach den erfolgreichen Tests am IPv6 Tag im Juni 2011 besteht nur noch geringe Skepsis, dass ein zweigleisiger Betrieb funktionieren wird.

Wie sieht jetzt das Fazit nach rund zehn Monaten Dualstack-Betrieb aus?

Ganz einfach. Im Grunde hat niemand von der Umstellung etwas bemerkt. Für den Empfänger/Kunden/Besucher ändert sich in der Regel auch nichts. Die Implementierung des neuen IP-Protokolls ist so ausgelegt, dass beide Verfahren nebeneinander funktionieren. So sind alle unsere Maschinen auch weiterhin über die altbewährten IPv4 Adressen erreichbar.

Kurz zur Erinnerung ein paar Grundlagen:

Was ist IPv6 eigentlich?

IPv6 ist eigentlich nichts anderes als was wir mit den neuen Postleitzahlen gemacht haben: Die Anzahl möglicher Adressen wurde ausgeweitet. Unter IPv4 ist die Länge einer IP-Adresse begrenzt auf 32 Bit. Hier stehen somit insgesamt 2^32 Adressen (ca. 4.2 Milliarden Adressen) zur Verfügung. Das klingt eigentlich viel, nur sind diese Adressen nicht einzeln vergebbar, sondern werden in der Regel in Blöcken vergeben. Und diese Blöcke sind derzeit erschöpft.

Was liegt also näher, als die Anzahl der Adressen zu vergrößern? Es wurde also beschlossen, die Länge der Adressen auf 128 Bit auszuweiten. Das bedeutet dann 2^128 Möglichkeiten. Und diese Anzahl dürfte erst einmal reichen.

Wie sieht man etwas von IPv6?

Eigentlich gar nicht. Weder bei den Mailadressen, noch beim Aufruf von Webseiten ändert sich für den Nutzer etwas. Nur die Administratoren im Netzwerk haben ein wenig zu tun.

Neue Routen müssen gesetzt werden, Firewallregeln angepasst werden und Router umkonfiguriert werden.

Aus den alten Adressen der Form „178.63.52.37“ wird jetzt „2a01:4f8:120:7386::2“. Beides wird aber im Webbrowser immer noch als „www.vico.de“ angesprochen. Im Hintergrund laufen die eigentlichen Abfragen vor dem Aufruf der Seite automatisch ab. Alle Browser und Hilfsprogramme sind mittlerweile so ausgelegt, dass sie je nach Konfiguration zunächst versuchen, das Ziel per IPv6 anzusprechen. Wenn das nicht klappt, wird einfach auf das altbewährte IPv4 zurück geschaltet.

Und wie sieht die Empfehlung aus?

Erfahrungen sammeln schadet nicht. Also einfach in bestimmten Bereichen den Schritt wagen und auf den Dualbetrieb wechseln. Also zum Beispiel externe Server und Firewalls umstellen und Erfahrungen sammeln.

Danach dann IPv6 in einzelnen (unkritischen!) Bereichen des eigenen Netzwerks in Betrieb nehmen und sehen, ob alles wie geplant funktioniert. Also vielleicht erst einmal nur einen Proxyserver mit einem Tunnel an den IPv6 Backbone anbinden. Und wieder Erfahrungen sammeln. Denn hier wird es spannend: Bislang vorhandene Zugriffsbeschränkungen auf Basis der IP-Adresse greifen möglicherweise nicht. Also aufgepasst, das nicht plötzlich mehr erlaubt ist, als geplant.

Spätestens wenn Endgeräte im internen Netzwerk mit IPv6 angebunden werden, muss man sich darüber im Klaren sein, dass jetzt das interne Netz nicht mehr durch ein bislang vorhandenes NAT abgetrennt wird. Das Internet reicht also möglicherweise bis auf den lokalen Schreibtisch!

Um einen gangbaren Weg in Ihrem Unternehmen aufzuzeigen und Fehler zu vermeiden, stehen wir gerne zur Verfügung. Sprechen Sie uns an.