IT-Sicherheit und Netzwerkinfrastukturen aus praktischer Sicht
- Das Rheinlandtreffen 2006 -
Auch in diesem Jahr findet wieder das Rheinlandtreffen statt. Tagungsort ist das Schloss Birlinghoven (Fraunhofer-Gesellschaft Institutszentrum Birlinghoven; ehemals GMD) in St. Augustin. Reservieren Sie sich bitte schon jetzt den 7. und 8. November 2006 in Ihrem Terminkalender. Hauptthemen der Veranstaltung sind die IT-Sicherheit und das Netzwerk. Da sowohl DECUS als auch die Gesellschaft für Informatik (GI) sich mit diesen Themen sehr intensiv beschäftigen, arbeiten beide Organisationen bei dieser Veranstaltung zusammen. Daher wird auf dem Rheinlandtreffen zum einen inhaltlich über die Aktivitäten der DECUS und GI-Fachgruppen zum Thema IT-Sicherheit berichtet. Zum anderen werden wieder eine Vielzahl an interessanten Vorträgen zur IT-Sicherheit und Netzwerk von Industrie, Hochschulen und Forschungsinstituten gehalten.
Die IT-Sicherheit erlebt seit einiger Zeit den Wandel von der Aufgabe technische Problemstellungen zu schützen, hin zu einer integrativen und interdisziplinären Geschäftsanforderung. Dabei ergeben sich zwangsläufig Schnittstellen zu Themen wie Controlling, Kostentransparenz, Risikomanagement oder „Governance". IT-Sicherheit wird hier als Chance gesehen, wegzukommen von der einseitigen Betrachtung der IT-Sicherheit als Kostenblock, hin zum Einsatz der IT-Sicherheit als Steuerungswerkzeug. Dieser Wandel, wie auch die Parameter, an denen sich die vorteilhafte Nutzung von IT-Sicherheit für einen modernen Geschäftsbetrieb messen kann, werden vorgestellt.
Als Nachweis einer erfolgten Einbindung der IT-Sicherheit in den Geschäftsbetrieb gilt die erfolgreich abgeschlossene Zertifizierung nach ISO 27001. Die Probleme und Hürden, die dabei zu überwinden sind, werden in einem Erfahrungsbericht über ein Zertifizierungsaudit nach ISO 27001, das auch eine Risiko-Analyse nach dem neuen BSI-Standard 100-3 prüft, dargelegt. Selbst mit einer erfolgreichen Zertifizierung kann es passieren, dass zusätzliche behördliche Anforderungen zum Schutz und Geheimhaltung von Verschlusssachen erfüllt werden müssen. Dies ist häufig der Fall, wenn in Projekten mit öffentlichen Auftraggebern zusammengearbeitet wird. Über diese speziellen organisatorischen, juristischen und informationstechnischen Sicherheitsanforderungen, die an die Geschäftsleitung, an das IT-Management, an die Projektleiter und natürlich auch an die Sacharbeiter gestellt werden, wird berichtet.
Eine Vielzahl der organisatorischen und juristischen Sicherheitsanforderungen sind nicht nur auf die Bearbeitung von Verschlusssachen beschränkt, sondern machen sich als ständige Begleiter im gesamten Prozess der IT-Sicherheit bemerkbar. Die juristischen Anforderungen sind dabei besonders zu beachten, da juristische Unwissenheit nicht vor Strafe schützt. Deshalb müssen sich IT-Fachleute heute zunehmend mit der juristischen Seite der IT-Sicherheit auseinandersetzen. Die organisatorischen und juristischen Sicherheitsanforderungen, mit denen jeder IT-Verantwortlicher, IT-Sicherheitsbeauftragter oder IT-Administrator konfrontiert wird, werden daher aus der Sicht eines Nicht-Juristen aufgezeigt.
Eingezwängt in das enge „Korsett“ der Sicherheitsanforderungen entwickeln viele IT-Nutzer ein kreatives Verhalten im Umgang mit der IT-Infrastruktur, was wiederum aus Unwissenheit zu neuen Sicherheitsproblemen führen kann. Speziell die IT-Administratoren sind von diesen Auswirkungen besonders betroffen, da sie sich an der Schnittstelle zwischen IT-Sicherheit und dem Benutzer bewegen. Hierzu werden einige Situationen aus verschiedenen Unternehmen Beispielhaft vorgestellt. Es wird auch angerissen, womit sich ein Administrator oft noch neben seinen eigentlichen Aufgaben beschäftigen muss.
Sicherheit und Netzwerk ist ein Themenpaar, das man fast immer gemeinsam behandeln muss. Ein Netzwerk kann man nur dann vor potentiellen Angreifern zuverlässig schützen, wenn das eigene Wissen über IT-Sicherheit im Vergleich zu den Angreifern mindestens einen vergleichbaren Stand aufweist. Dies zu ermöglichen ist in der heutige Zeit, die gekennzeichnet ist durch eine kontinuierlich ansteigende Informationsmenge, sehr schwierig. Als Verantwortlicher für die Sicherheit eines Netzwerks ist man daher verpflichtet zu prüfen, ob auch im tausendsten Artikel, Bericht, Vortrag etc. zur IT-Sicherheit etwas Neues steht. Der hierzu benötigte Aufwand kann durch Anwendung moderner Methoden des Text Mining reduziert werden. Vorgestellt wird, wie mit (halb-) automatischen Text Mining Verfahren neue, verständliche und nützliche Informationen aus den Texten zur IT-Sicherheit herausgefiltert werden.
Besondere Anforderungen an die Sicherheit stellen die drahtlosen Netzwerke. Selbstkonfigurierende und selbstheilende Netzwerke sind besonders dafür geeignet, große Flächen mit Wireless LAN Netzwerken zu versorgen. Hierfür wird die von Cisco eingeführte neue Technologie im Wireless LAN mit der Bezeichnung „Wireless Mesh“ vorgestellt. Ein weiterer Ansatz stellt das Forschungsprojekt IPonAir dar, mit dem eine nahtlose Integration selbstkonfigurierender drahtloser Umgebungen erfolgen soll. Speziell für den Einsatz in ICE Zügen wurde eine Testumgebung auf Basis des Protokolls Mobil-IPv6 geschaffen, die es ermöglicht, Eigenschaften eines Netzwerkes zu untersuchen. Die daraus gewonnenen Erkenntnisse über Sicherheitsaspekte werden aufgezeigt.
Neben den drahtlosen Netzten sind auch die Speichernetzwerke (SAN) aus Sicht der IT-Sicherheit ein interessantes Gebiet. Zum einen soll hier aufgezeigt werden, welche Sicherheitsmaßnahmen beim Management der SAN Switche möglich sind. Zum anderen werden die Möglichkeiten zur Verschlüsselung von Daten auf den Speicher-Systemen im SAN dargestellt.
Die Verschlüsselung von Daten stellt dabei eine wichtige informationstechnische Sicherheitsforderung dar. Ausgehend von einer vertieften Einführung im Bereich der Steganografie werden im Rahmen eines Workshops Methoden zur Verschlüsselung von Daten auf Notebooks diskutiert. Bei diesem Workshop sollen die praktischen Erfahrungen der Teilnehmer mit verschiedenen Produkten ausgetauscht werden. Neben der Verschlüsselung von Daten auf Notebooks und in Netzwerken ist für den Anwender die Verschlüsselung von E-Mails interessant. Generell gilt, dass eine nicht verschlüsselte E-Mail mit geringem technischem Aufwand durch Unbefugte lesbar ist. Daher sollte man schon zur eigenen Sicherheit vertrauliche E-Mails verschlüsseln. Wie dies ohne großen Aufwand möglich ist und was genau bei Verschlüsselung und Entschlüsselung sowie Signatur und Signaturprüfung passiert wird am Beispiel von JULIA MailOffice, einem zentralen Krypto-Mail-Gateway, erläutert und gezeigt.
Der Aufbau und die Optimierung eines Netzwerkes erfolgt in der Regel mit dem Ziel, betriebliche Anwendungen über eine Netzwerkinfrastruktur verteilt, effizient, kostengünstig, ausfallsicher und hoch skalierbar einzusetzen. Daher werden am Beispiel eines CISCO Netzwerks Technologien aufgezeigt, die im Netzwerk bestehen um Anwendungsverkehr zu erkennen und zu optimieren. Mit diesen Technologien können IP basierenden Anwendungen in einem Netzwerk optimiert werden. Dies ermöglicht, auch in Außenstellen wie auf einem lokalen Netz zu arbeiten und damit die vollen Möglichkeiten des Netzwerks zu nutzen.
Der Aufbau einer temporären IT-Infrastruktur, zum Beispiel eine moderne, große Office-Umgebung für größere Symposien in einem Kongresszentrum, ist eine logistische und organisatorische Herausforderung. Die Rechner müssen nicht nur in kürzester Zeit aufgebaut und vernetzt, sondern auch mit aktueller Software bestückt werden. Einer der Verantwortlichen für den Aufbau der IT-Infrastruktur bei der Bonner Afghanistan-Konferenz wird einen Einblick geben, wie man dies erfolgreich organisiert.
Wilfried Gericke und Dirk Thorleuchter
Fraunhofer Institut für Naturwissenschaftlich - Technische Trendanalysen, Appelsgarten 2, 53879 Euskirchen
Wilfried.Gericke@int.fraunhofer.de
Dirk.Thorleuchter@int.fraunhofer.de