SYSTEMS
befindet sich weiter im Aufwärtstrend: Mehr Aussteller, mehr
Besucher, mehr Internationalität. In Sachen Sicherheit
entwickelt sich die Herbstmesse der IT zum Kristallisationspunkt:
52 Aussteller waren dieses Jahr auf dem IT-Security Forum
vertreten, über 50 weitere Security-Anbieter in anderen
Hallen.
3251 Aussteller kamen aus 34 Ländern nach München, um ihre Produkte und Dienstleistungen zu präsentieren. 147 000 Besucher bekundeten ihr Interesse daran, gut zehn Prozent mehr als im Vorjahr und ein bedeutender Teil davon aus dem deutschsprachigen Ausland. Etwa ein Viertel der befragten Aussteller konnten auch englisch sprechende Interessenten vermelden, der Besucheranteil aus außereuropäischen Staaten stieg um vier Punkte auf 14 Prozent.
IT-Sicherheit erfuhr dabei von allen Seiten großes
Interesse. Bereits bei der SYSTEMS-Eröffnung wies
Bundesinnenminister Otto Schily darauf hin, dass "E-Commerce
und E-Government von den Bürgerinnen und Bürgern nicht
akzeptiert werden, wenn sie nicht vertrauenswürdig und sicher
sind." Schily betonte jedoch auch, dass die Bundesregierung
bei der IT-Sicherheit nur beraten und koordinieren könne und
bedauerte, dass die Empfehlungen der Task Force
"Sicheres Internet" noch viel zu wenig Beachtung
fänden.
Staatssekretärin Brigitte Zypries eröffnete das
IT-Security Forum: "Ich glaube, es ist eine sehr gute
Entwicklung, dass die IT-Sicherheit einen so prominenten Platz
einnimmt."
Die Eröffnung des IT-Security Forums übernahm
Staatssekretärin Brigitte Zypries, da Schily unmittelbar nach
der SYSTEMS-Eröffnung zu einer internationalen Konferenz
abreisen musste. Zypries, die unlängst von der Financial Times
als einer der "101 Köpfe der New Economy"
porträtiert wurde, betonte, dass die Bundesregierung das
"Lebensgefühl Internet" unterstützen und
jeglichen Entwicklungsrückstand aufholen wolle. Mit dem
Projekt BundOnline 2005 habe man sich verpflichtet, alle
internetfähigen Dienstleistungen der Bundesverwaltung bis zum
Jahre 2005 auch tatsächlich ins Netz zu stellen: "Ich
glaube, dass es richtig ist, dass nicht nur E-Commerce im Internet
stattfindet, sondern dass auch staatliche Dienstleistungen dort
angeboten werden," bekräftigte Zypries dieses Vorhaben.
Über die Entwicklungen des E-Government-Projektes informiert
die Website
www.bund.de.
Das Vertrauen in die Sicherheit bezeichnete Zypries als die Achillesferse des Internets. Denial-of-Service-Attacken und die LoveLetter-Epidemie hätten die Menschen verunsichert, nun gelte es, bei den Nutzerinnen und Nutzern das Vertrauen wiederherzustellen. Das gehe nur in einer konzertierten Aktion. Wenig Verständnis äußerte die Staatssekretärin für Firmen, die zwar etliche neue und werbewirksame Features in ihre Produkte implementieren, elementare Sicherheitsbelange aber außer Acht lassen: "I-love-You hätte nicht solchen Schaden anrichten können, wenn das betroffene Mailprogramm den Massenversand von Nachrichten nicht so einfach erlauben würde."
Auch die Eröffnungsreden der ideellen Träger des
IT-Security Forums gingen auf die veränderte Rolle der
Sicherheit ein, die zunehmend nicht mehr als Bremse, sondern als
Schwungrad für E-Business angesehen wird. BSI-Präsident Dr. Dirk Henze:
"Die Absicherung der IT, vor wenigen Jahren eher als
lästiger Nebeneffekt empfunden, ist heute zu einem elementaren
Arbeitsspektrum gewachsen." Auch Willi Berchtold, der
Vizepräsident des BITKOM, unterstrich :"Was wir
brauchen, damit sich E-Commerce wirklich durchsetzt, das sind
sichere Transaktionen." Norbert Pohlmann hob als TeleTrusT-Vorstand nochmals hervor, dass
es gemeinsame Anstrengungen erfordere, den Risiken der
Internet-Technologien entgegenzutreten, um die Chancen des
Internets zu nutzen: "Wir müssen alles tun, dass der
mögliche Schaden auf ein für uns verantwortbares
persönliches und gesellschaftliches Maß begrenzt wird.
Dies ist nicht nur die Aufgabe eines Einzelnen, sondern die Aufgabe
und Herausforderung unserer sich verändernden global wirkenden
Gesellschaft."
Begehrt wie immer: Informationen beim BSI.
Wer nicht live in München sein konnte oder dort den einen
oder anderen Vortrag verpasst hat, der kann das IT-Security Forum
noch immer virtuell besuchen: Der größte Teil des
Vortragsprogramms liegt bei it-tv.de als RealVideo-Stream bereit.
Insgesamt verzeichnete die Vortragsbühne im realen Leben 7400
Zuhörer in einem fünftägigen Nonstop-Programm von
100 Sessions plus 29 Talkrunden mit Forums-Ausstellern. Für
Besucherrekorde sorgten dabei wiederum die
"institutionalisierten Hacker": Zum Beitrag von Thomas
Lopatic (TÜV DataProtect) über die Denk- und
Vorgehensweise von Hackern drängten sich 260 Zuhörer um
die Bühne. Anschließend verschwand Lopatic noch für
lange Zeit in einer Traube von Interessierten. Und an drei Tagen
lockte der "Morning Star" Sebastian Schreiber von
SySS/ICON Systems bereits kurz nach Neun jeweils über 200
Gäste auf das Forum. Titel seiner Präsentation: Hacking
live - wie Hacker in Ihre Netze einbrechen.
Wissbegierige umringten Thomas Lopatic nach seinem Vortrag am
Stand der TÜV Secure iT.
Um Live Hacking ging es auch beim Wettbewerb von Argus,
Integralis und Fujitsu
Siemens: Viereinhalb Tage lang konnten sich Angreifer an einem
Server versuchen, auf dem Argus' PitBull.com-Pack lief. Keinem
der vermutlich über 300 000 Hacker, die auf die
100 000 DM Preisgeld aus waren, gelang es jedoch, die
Webseiten des Servers zu verändern oder dort eine Datei
abzulegen. Die Qualität der Angriffe sei dabei sehr
unterschiedlich gewesen, berichten die Veranstalter. An den ersten
Messetagen verzeichnete man vor allem Denial-of-Service-Attacken,
ab Mittwoch gab es jedoch ernsthafte Versuche, die gezielt das
Solaris-Betriebssystem angriffen. Ein Teil der ausgesetzten
Prämie geht nun an die Aktion "Schulen ans Netz".
Die PitBull Trusted-Operating-System-Produkte sind seit kurzem
übrigens außer für Solaris auch für IBM AIX
verfügbar.
Schon am frühen Morgen lockte Sebastian Schreiber
(SySS/ICON) über 200 Zuhörer ins Forum.
Das IT-Security Forum darf schon jetzt
Rekordmeldungen für das kommende Jahr abgeben, in dem die
SYSTEMS vom 15. bis 19. Oktober ihr 20-jähriges Jubiläum
feiern wird: 2001 soll sich die Ausstellungsfläche des Forums
auf mindestens 4000 Quadratmeter verdoppeln. Zum diesjährigen
Messeschluss haben sich bereits über 70 Unternehmen und
Organisationen für einen Stand im nächsten Jahr vormerken
lassen. Einige große Anbieter, die heuer noch gar nicht im
Forum vertreten waren, planen offensichtlich ihren kompletten
Messeauftritt dorthin zu verlegen.
Viele Anbieter haben auf der SYSTEMS Neuigkeiten vorgestellt,
etliche "nur" bewährte Produkte oder
Dienstleistungen präsentiert. Einen Überblick über
das Angebot und Hintergründe von über 70 Unternehmen
bietet der Security Guide zur SYSTEMS 2000. Wer nicht bereits mit
KES 5 oder auf der Messe ein Exemplar erhalten hat, kann den
Guide gegen Einsendung eines mit 3 DM frankierten
Rückumschlags anfordern beim SecuMedia Verlag, Postfach
12 34, 55205 Ingelheim. Eine weitere Informationsquelle
ist die Rubrik IT-Security auf der SYSTEMS 2000: Wer bietet
was? auf der Website des IT-Security Forums.
Automatisierte Sicherheits-Audits aus der Sicht eines
potenziellen Eindringlings führt Qualys mit dem QualysGuard
durch. Gegen eine feste jährliche Gebühr steht der
Online-Scanner den Kunden für regelmäßige
Systemchecks zur Verfügung. QualysGuard erfordert keine
Installation, sondern der Scan wird einfach per Browser
angefordert. Nach dem Audit erhält der Kunde einen Report, der
alle gefundenen Schwachstellen in fünf Gefahrenklassen
einstuft und Gegenmaßnahmen empfiehlt. Die Online-Scans
können nach Firmenangaben auch durch Load-Balancing-Systeme
hindurch alle beteiligten Server erkennen und überprüfen.
Ein Testlauf gegen die Top-500-US-Websites hat laut Qualys bei
52 % der Probanden Sicherheitslücken gefunden. Auf
38 % der Sites habe QualysGuard Load-Balancing-Systeme
identifiziert.
Auf gezielte "Probe-Angriffe" durch menschliche
Spezialisten setzt hingegen Integralis. Anlässlich der
SYSTEMS hat das Unternehmen sein Tiger Team vorgestellt, das
derzeit aus sechs erfahrenen und sicherheitsüberprüften
Mitarbeitern aus Deutschland und England besteht. Als Besonderheit
nennt Integralis, dass seine Auftrags-Hacker fest angestellt sind
und nicht durch anderweitige Aufgaben von den Neuerungen in der
Szene abgelenkt werden.
PGP
Security, ein Geschäftsbereich von Network
Associates (NAI), hat eine neue Produktlinie von Appliance
Firewalls vorgestellt: Die PGP E-ppliances basieren auf
SonicWall Firewalls. Der
Firewall-Durchsatz liegt nach Firmenangaben bei 70 MBit/s, die
VPN-Komponente schaffe 2,5 MBit/s (IPsec mit
3DES-Verschlüsselung). Das SonicWall Global Management
System ermöglicht eine webgestützte Wartung und
automatisierte Updates. Damit ergänzt PGP sein bisheriges
Angebot von Midrange-Firewalls (Gauntlet) und einer
Highend-Appliance für Internet Service Provider mit
Gigabit-VPN (Webshield E-ppliance) um die Bereiche SOHO bis
KMU.
Auch Nokia Internet Communications ergänzen ihr
Appliance-Programm um eine "kleine" Lösung: Mit der
IP110 sollen Unternehmen vor allem externe Niederlassungen
mit bis zu 50 Anwendern (über drei 10/100 Ethernet Ports) in
ihr Gesamtsystem mit zentraler Verwaltung aufnehmen können.
Die Nokia Appliances arbeiten auf einem FreeBSD-Derivat mit Check
Point Firewall-1/VPN-1 und werden vorkonfiguriert
und mit einem Imaging-System ausgeliefert. Durch die Sicherung
zweier Revisionsstände können Administratoren damit
beispielsweise am Wochenende eine neue Softwareversion testen und
für den Produktivbetrieb während der Woche auf die
bewährte Installation zurückgreifen. Zum Jahresende hat
Nokia
zudem in Zusammenarbeit mit dem NAI-Unternehmenszweig McAfee
die Anti-Virus-Appliance Webshield for Nokia (IP445AV)
angekündigt.
Automatische 128-Bit-Verschlüsselung per Modem
ermöglicht das SITMinisafe von Rohde &
Schwarz. Das etwa zigarettenschachtelgroße Gerät
arbeitet auf der seriellen Leitung zwischen PC/Notebook und Modem.
Die gesamte Steuerung läuft über AT-Befehle und ist daher
Plattform- sowie Anwendungs-unabhängig; SITMinisafe
unterstützt sowohl Analog- und ISDN- als auch GSM-Modems und
zeigt wichtige Verbindungsdaten auf einem eigenen LC-Display an.
Zum Chiffrieren stehen verschiedene Algorithmen bereit, das
Gerät speichert bis zu 16 verschiedene Keys. An der
Gegenstelle ist ebenfalls ein SITMinisafe erforderlich; eingehende
verschlüsselte Anrufe werden automatisch erkannt. Für
Standleitungen bis zu 2 MBit/s hat Rohde & Schwarz mit dem
SITLink eine Lösung im 19"-Format ins Programm
genommen. Zur Schlüsselspeicherung dient eine Chipkarte, die
Verwaltung erfolgt per "Link Security Management"
entweder lokal oder remote.
Das SITMinisafe von Rohde & Schwarz verschlüsselt
transparent auf der Leitung zum/vom Modem.
Ein "marktreifes" Handy mit eingebauter
Verschlüsselung hat indes Siemens mit dem TopSec GSM
vorgestellt: Das Gerät, äußerlich ein ganz normales
S35, kommuniziert nach "Softkey"-Aktiverung des
eingebauten Kryptoprozessors 128-Bit-verschlüsselt über
den vergleichsweise breitbandigen GSM-Datenkanal, sodass die
Sprachqualität im chiffrierten Betrieb erhalten bleiben soll.
Ein proprietäres Verfahren überträgt dazu einen beim
Einschalten der Krypto-Funktion zufällig generierten
Session-Key an den Gesprächspartner.
Eine weitere Siemens-Neuheit ist der TopSec Authoriser, der PKI-Zertifikate um Attribute zur Rechteverwaltung im Intra- oder Internet erweitert. Darin lassen sich beispielsweise die Rolle eines Mitarbeiters im Unternehmen, eingeräumte Vertraulichkeitsstufen oder Applikations-Passwörter ablegen. Durch die Möglichkeit, Attribute in ihrer Gültigkeit auf wenige Minuten zu beschränken, eignet sich TopSec Authoriser laut Siemens auch für befristet eingeräumte Rechte auf E-Commerce-Sites.
Eine ungewohnte Anwendung für das Homebanking Computer
Interface (HBCI) hat XCOM implementiert: Das
DokumentenabrufsystemXDoc sichert den Weg durch das Internet
mit denselben Verfahren, die üblicherweise Transaktionen
zwischen Bank und Kunde schützen und autorisieren; mit der
Software zielt XCOM auf den Dialog zwischen Kunde/Kundenberatern
und Versicherungen oder Vermögensverwaltungen. HBCI definiert
eine Transportverschlüsselung und digitale Signaturen für
beide Geschäftspartner inklusive Schlüsselerzeugung und
-zertifizierung. XDoc unterstützt als
"Sicherheitsmedium" für geheime Schlüssel
sowohl Disketten als auch G&D-Chipkarten. Durch HBCI
erhält das System quasi eine implizite PKI für den
Austausch beliebiger Dateien.
Auch bei Hewlett-Packard ging es auf der
SYSTEMS um PKI: HP hatte Ende September eine Zusammenarbeit mit
Baltimore
Technologies angekündigt und will nun mit
Praesidium Trusted-PKI eine schlüsselfertige Public Key
Infrastruktur anbieten, ergänzt um Beratungs- und
Systemintegrationsdienstleistungen durch den HP Consulting-Bereich
Global Security Practice. Zur Absicherung der NT-Rechner von
Registration Authority Operators (oder anderen sensitiven
NT-Umgebungen) setzt HP auf seinen WebEnforcer, der bekannte
Schwachstellen in NT-Installationen aufspüren und beseitigen
soll. Die Software überwacht seinen Schützling
ständig und hält sich per Online-Abonnement über
neue Verwundbarkeiten auf dem Laufenden.
Norman Data
Defense Systems präsentierten Norman PKI, die
derzeit Anwendungen zur E-Mail- und Dateiverschlüsselung,
digitalen Signatur und für den Zugriffsschutz umfasst. Die
Basis dieser PKI-Module sowie der Norman CA legte unlängst der
Kauf eines tschechischen PKI-Anbieters. Erste Eindrücke gab es
zudem von der Norman Personal Firewall für Windows
9x/ME sowie NT/2000 Workstations. Neben IP/Port-Filter, Cookie- und
Werbeblocker sowie einem Filter gegen aktive Inhalte wirbt Norman
mit umfassenden Protokollfunktionen. Ein zentrales Management der
Firewall soll im ersten Quartal 2001 hinzukommen.
Eine neue Version ihrer Desktop Firewall Secure4U mit
zusätzlichen Funktionen hat Sandbox
Security vorgestellt. Neu in Version 5 sind unter
anderem ein Lernmodus, einige vordefinierte Sandboxes, eine
Stopwortsuche in HTTP- und SMTP-Daten, erweiterte Logging-Level und
Installations-/Verteilmöglichkeiten für Microsoft- und
Novell-Netzwerke. Utimaco vertreibt diese Desktop
Firewall als SafeGuard Personal FireWall; eine eigene
Verwaltungskomponente ist in Planung.
Der designierte Advanced Encryption Standard (AES)
"Rijndael" hat bereits Einzug in einige Produkte
gefunden. Utimaco hat SafeGuard
PrivateCrypt als Freewareprogramm zur symmetrischen
Verschlüsselung auf seine Homepage gestellt. FAKTUM hat Rijndael in sein
Endanwenderprodukt SecuSeal zur Signatur und
Verschlüsselung von E-Mails, in das Entwickler-Kit
CryptoSeal SDK und die PKI CryptoSeal integriert
().
cv
cryptovision zeigte in München cv act webgate,
seine neue Lösung für Browser-basierte
Benutzerauthentifizierung per Smartcard. Während die
Signatur-Komponenten auf Elliptischen Kurven (ECC, Elliptic Curve
Cryptography) beruhen, arbeitet die
Kommunikationsverschlüsselung für den geschützten
Zugriff auf Webseiten mit dem designierten AES. Eine zweite Neuheit
gab es mit dem S/MIME-V.3-Mail-Client cv act s/mail zu
sehen; die Software arbeitet auf Windows 9x/ME und NT/2000 und
unterstützt Microsoft Outlook, Lotus Notes und Novell
Groupwise.
Auf die Sicherheit und Organisation der E-Mail als
Haupt-Internet-Anwendung in Unternehmen hat es GROUP
Technologies abgesehen: securiQ erweitert Microsoft
Exchange 2000 oder Lotus Notes um Sicherheitsmodule für
Verschlüsselung, Virenschutz, das Filtern unerwünschter
Nachrichten, eine revisionssichere Mail-Ablage sowie ferner
für die automatische Ergänzung von Kommentaren zur
Gültigkeit von Mail-Inhalten (so genannte Disclaimer). Group
verspricht schnelle Einsatzbereitschaft aufgrund sinnvoller
Voreinstellungen, ermöglicht aber auch ein übergreifendes
"Rules- and Policy-Set" zusammen mit der
Organisationssuite organiziQ zur Priorisierung,
Teamorganisation und Kostenkontrolle von E-Mails.
Die neue Version eSafe Gateway 3.0 von Aladdin
Knowledge Systems soll eine Prüfung von HTTP- und
FTP-Datenströmen ohne spürbare Download-Verzögerung
ermöglichen. Außerdem hat Aladdin die bisherige
Lösung unter anderem um einen Filter für VB/Java-Scripts
(in WWW-Seiten oder HTML-Mails), eine Lastverteilungskomponente,
die Verwaltung von Cookies und privilegierten Anwendern erweitert.
Außerdem soll eSafe Gateway vor agressiven Java- oder
ActiveX-Inhalten sowie Makroviren, polymorphen, getarnten und
verschlüsselten Viren schützen. HTTP-, FTP- und
E-Mail-Übertragungen lassen sich wie bisher anhand von
Schlüsselwörtern, Site-Adressen oder Betreffzeilen
filtern. Optional unterstützt Aladdin die URL-Datenbank von
SurfControl, die im täglichen
Update Internetadressen in 38 Kategorien klassifiziert.
Über das reine Blocken von Zugriffen hinausgehen will Websense mit seinem Filter
Websense Enterprise, den die Firma auf dem IT-Security Forum
bei ICON präsentiert hat. Beispielsweise ermöglicht die
Software, Zugriffsversuche auf während der Arbeitszeit
gesperrte URLs automatisch in eine Bookmark-Liste zu schreiben.
Nach Feierabend kann der Mitarbeiter diese Bookmarks dann bequem
"absurfen". Gegen Aufpreis ist zu den 67
Websense-Kategorien das Add-on Premium Group I mit den
zusätzlichen Bereichen Bannerwerbung, Brokerage,
Online-Handel, Freeware/Shareware-Download, kostenpflichtiges
Surfen sowie Instant-Messaging erhältlich. Damit sollen sich
laut Websense weitere zehn Prozent Bandbreite einsparen lassen. Den
Fachhandelsvertrieb für die britische Firma übernehmen in
Deutschland ICON
Systems, Allasso sowie The Bristol
Group, in der Schweiz Netstuff und in Österreich Infinigate und SPP. Eine
30-Tage-Testversion von Websense Enterprise liegt im Internet
bereit.
Auch dieses Jahr betrug der Fachbesucheranteil auf der SYSTEMS
98 %. Wer das Forum in Halle C3 besuchte, hatte meist konkrete
Fragen.
GeNUA widmet sich dem Thema
"Zugriffsrecht für Internetnutzung" mit
GeNUAuth, einem Autorisierungsserver für Unix- und
Windows-NT-Systeme. Ebenfalls neu ist GeNUGate Secure Proxy,
mit dem GeNUA eine Firewalllösung für die Anbindung von
Zweigstellen oder kleiner Niederlassungen ins Programm genommen
hat, die sich aber dennoch über eine zentrale GeNUGate
Firewall verwalten lässt.
Rösch
Consulting wollen mit ihren Software-Robotern
nachweisbar fehlerfreie Software erzeugen können. Dabei geht
es zwar nicht um eine absolute Fehlerfreiheit: Rösch bezieht
sich auf die Qualitätssicherung nach ISO 9000 und
garantiert, dass das Endprodukt 100%ig die Spezifikation der
Anforderungen des Kunden erfüllt. Für jeden Fehler, den
der Kunde in diesem Sinne dennoch findet, akzeptiert Rösch
Consulting dann aber einen Honorarabzug von 5 % der
Auftragssumme. Die Firma behauptet selbstbewusst, alle ihr
bekannten Software-Fehler (u. a.) von Handys sowie Systemen
der Luft- und Raumfahrt wären mit ihren Verfahren vermeidbar
gewesen.
Nach einer formalen Spezifikation per Unified Modeling Language (UML) sollen Design, Coding und Tests zu 95 % automatisch durch die Code-Generatoren erfolgen. Derzeit sind diese "Software-Fertigungsstraßen" noch kundenspezifisch - noch im nächsten Jahr hofft Rösch aber, auch universelle Rechenknechte im Programm zu haben. Selbst wenn die "nachweisbare Fehlerfreiheit" für Software-Sicherheitsaspekte nicht unmittelbar bedeutet, dass keine unbedachten oder unerwünschten Effekte möglich sind: Die starke Formalisierung im Designprozess und eine weit reichende Automatisierung dürften positive Einflüsse haben, da zumindest alle vorhergesehenen Angriffe auszuschließen sein müssten und außerdem - bei korrekten Robotern - keine reinen Implementierungsfehler auftreten dürften.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 16
