SYSTEMS 2000

Messerückschau

SYSTEMS-Nachlese

Die externer Link SYSTEMS befindet sich weiter im Aufwärtstrend: Mehr Aussteller, mehr Besucher, mehr Internationalität. In Sachen Sicherheit entwickelt sich die Herbstmesse der IT zum Kristallisationspunkt: 52 Aussteller waren dieses Jahr auf dem IT-Security Forum vertreten, über 50 weitere Security-Anbieter in anderen Hallen.

Foto: Eingang West der Messe München zur SYSTEMS 2000

3251 Aussteller kamen aus 34 Ländern nach München, um ihre Produkte und Dienstleistungen zu präsentieren. 147 000 Besucher bekundeten ihr Interesse daran, gut zehn Prozent mehr als im Vorjahr und ein bedeutender Teil davon aus dem deutschsprachigen Ausland. Etwa ein Viertel der befragten Aussteller konnten auch englisch sprechende Interessenten vermelden, der Besucheranteil aus außereuropäischen Staaten stieg um vier Punkte auf 14 Prozent.

IT-Sicherheit erfuhr dabei von allen Seiten großes Interesse. Bereits bei der SYSTEMS-Eröffnung wies Bundesinnenminister Otto Schily darauf hin, dass "E-Commerce und E-Government von den Bürgerinnen und Bürgern nicht akzeptiert werden, wenn sie nicht vertrauenswürdig und sicher sind." Schily betonte jedoch auch, dass die Bundesregierung bei der IT-Sicherheit nur beraten und koordinieren könne und bedauerte, dass die Empfehlungen der externer Link Task Force "Sicheres Internet" noch viel zu wenig Beachtung fänden.

Foto: Staatssekretärin Brigitte Zypries während ihrer Eröffnungsrede
Staatssekretärin Brigitte Zypries eröffnete das IT-Security Forum: "Ich glaube, es ist eine sehr gute Entwicklung, dass die IT-Sicherheit einen so prominenten Platz einnimmt."

Die Eröffnung des IT-Security Forums übernahm Staatssekretärin Brigitte Zypries, da Schily unmittelbar nach der SYSTEMS-Eröffnung zu einer internationalen Konferenz abreisen musste. Zypries, die unlängst von der Financial Times als einer der "101 Köpfe der New Economy" porträtiert wurde, betonte, dass die Bundesregierung das "Lebensgefühl Internet" unterstützen und jeglichen Entwicklungsrückstand aufholen wolle. Mit dem Projekt BundOnline 2005 habe man sich verpflichtet, alle internetfähigen Dienstleistungen der Bundesverwaltung bis zum Jahre 2005 auch tatsächlich ins Netz zu stellen: "Ich glaube, dass es richtig ist, dass nicht nur E-Commerce im Internet stattfindet, sondern dass auch staatliche Dienstleistungen dort angeboten werden," bekräftigte Zypries dieses Vorhaben. Über die Entwicklungen des E-Government-Projektes informiert die externer Link Website www.bund.de.

Das Vertrauen in die Sicherheit bezeichnete Zypries als die Achillesferse des Internets. Denial-of-Service-Attacken und die LoveLetter-Epidemie hätten die Menschen verunsichert, nun gelte es, bei den Nutzerinnen und Nutzern das Vertrauen wiederherzustellen. Das gehe nur in einer konzertierten Aktion. Wenig Verständnis äußerte die Staatssekretärin für Firmen, die zwar etliche neue und werbewirksame Features in ihre Produkte implementieren, elementare Sicherheitsbelange aber außer Acht lassen: "I-love-You hätte nicht solchen Schaden anrichten können, wenn das betroffene Mailprogramm den Massenversand von Nachrichten nicht so einfach erlauben würde."

Auch die Eröffnungsreden der ideellen Träger des IT-Security Forums gingen auf die veränderte Rolle der Sicherheit ein, die zunehmend nicht mehr als Bremse, sondern als Schwungrad für E-Business angesehen wird. externer Link BSI-Präsident Dr. Dirk Henze: "Die Absicherung der IT, vor wenigen Jahren eher als lästiger Nebeneffekt empfunden, ist heute zu einem elementaren Arbeitsspektrum gewachsen." Auch Willi Berchtold, der Vizepräsident des externer Link BITKOM, unterstrich :"Was wir brauchen, damit sich E-Commerce wirklich durchsetzt, das sind sichere Transaktionen." Norbert Pohlmann hob als externer Link TeleTrusT-Vorstand nochmals hervor, dass es gemeinsame Anstrengungen erfordere, den Risiken der Internet-Technologien entgegenzutreten, um die Chancen des Internets zu nutzen: "Wir müssen alles tun, dass der mögliche Schaden auf ein für uns verantwortbares persönliches und gesellschaftliches Maß begrenzt wird. Dies ist nicht nur die Aufgabe eines Einzelnen, sondern die Aufgabe und Herausforderung unserer sich verändernden global wirkenden Gesellschaft."

Foto: Interessenten blättern in den BSI-Kurzinfos
Begehrt wie immer: Informationen beim BSI.

Vorträge nachträglich

Wer nicht live in München sein konnte oder dort den einen oder anderen Vortrag verpasst hat, der kann das IT-Security Forum noch immer virtuell besuchen: Der größte Teil des Vortragsprogramms liegt bei externer Link it-tv.de als RealVideo-Stream bereit. Insgesamt verzeichnete die Vortragsbühne im realen Leben 7400 Zuhörer in einem fünftägigen Nonstop-Programm von 100 Sessions plus 29 Talkrunden mit Forums-Ausstellern. Für Besucherrekorde sorgten dabei wiederum die "institutionalisierten Hacker": Zum Beitrag von Thomas Lopatic (TÜV DataProtect) über die Denk- und Vorgehensweise von Hackern drängten sich 260 Zuhörer um die Bühne. Anschließend verschwand Lopatic noch für lange Zeit in einer Traube von Interessierten. Und an drei Tagen lockte der "Morning Star" Sebastian Schreiber von SySS/ICON Systems bereits kurz nach Neun jeweils über 200 Gäste auf das Forum. Titel seiner Präsentation: Hacking live - wie Hacker in Ihre Netze einbrechen.

Foto: Thomas Lopatic beim Erklären auf dem Stand der TÜV Secure iT
Wissbegierige umringten Thomas Lopatic nach seinem Vortrag am Stand der TÜV Secure iT.

Um Live Hacking ging es auch beim Wettbewerb von externer Link Argus, externer Link Integralis und externer Link Fujitsu Siemens: Viereinhalb Tage lang konnten sich Angreifer an einem Server versuchen, auf dem Argus' PitBull.com-Pack lief. Keinem der vermutlich über 300 000 Hacker, die auf die 100 000 DM Preisgeld aus waren, gelang es jedoch, die Webseiten des Servers zu verändern oder dort eine Datei abzulegen. Die Qualität der Angriffe sei dabei sehr unterschiedlich gewesen, berichten die Veranstalter. An den ersten Messetagen verzeichnete man vor allem Denial-of-Service-Attacken, ab Mittwoch gab es jedoch ernsthafte Versuche, die gezielt das Solaris-Betriebssystem angriffen. Ein Teil der ausgesetzten Prämie geht nun an die Aktion "Schulen ans Netz". Die PitBull Trusted-Operating-System-Produkte sind seit kurzem übrigens außer für Solaris auch für IBM AIX verfügbar.

ALT-Text
Schon am frühen Morgen lockte Sebastian Schreiber (SySS/ICON) über 200 Zuhörer ins Forum.

Aussichten 2001

Das externer Link IT-Security Forum darf schon jetzt Rekordmeldungen für das kommende Jahr abgeben, in dem die SYSTEMS vom 15. bis 19. Oktober ihr 20-jähriges Jubiläum feiern wird: 2001 soll sich die Ausstellungsfläche des Forums auf mindestens 4000 Quadratmeter verdoppeln. Zum diesjährigen Messeschluss haben sich bereits über 70 Unternehmen und Organisationen für einen Stand im nächsten Jahr vormerken lassen. Einige große Anbieter, die heuer noch gar nicht im Forum vertreten waren, planen offensichtlich ihren kompletten Messeauftritt dorthin zu verlegen.

Messe-News 2000

Viele Anbieter haben auf der SYSTEMS Neuigkeiten vorgestellt, etliche "nur" bewährte Produkte oder Dienstleistungen präsentiert. Einen Überblick über das Angebot und Hintergründe von über 70 Unternehmen bietet der Security Guide zur SYSTEMS 2000. Wer nicht bereits mit KES 5 oder auf der Messe ein Exemplar erhalten hat, kann den Guide gegen Einsendung eines mit 3 DM frankierten Rückumschlags anfordern beim SecuMedia Verlag, Postfach 12 34, 55205 Ingelheim. Eine weitere Informationsquelle ist die Rubrik externer Link IT-Security auf der SYSTEMS 2000: Wer bietet was? auf der Website des IT-Security Forums.

Penetration Tests

Automatisierte Sicherheits-Audits aus der Sicht eines potenziellen Eindringlings führt externer Link Qualys mit dem QualysGuard durch. Gegen eine feste jährliche Gebühr steht der Online-Scanner den Kunden für regelmäßige Systemchecks zur Verfügung. QualysGuard erfordert keine Installation, sondern der Scan wird einfach per Browser angefordert. Nach dem Audit erhält der Kunde einen Report, der alle gefundenen Schwachstellen in fünf Gefahrenklassen einstuft und Gegenmaßnahmen empfiehlt. Die Online-Scans können nach Firmenangaben auch durch Load-Balancing-Systeme hindurch alle beteiligten Server erkennen und überprüfen. Ein Testlauf gegen die Top-500-US-Websites hat laut Qualys bei 52 % der Probanden Sicherheitslücken gefunden. Auf 38 % der Sites habe QualysGuard Load-Balancing-Systeme identifiziert.

Auf gezielte "Probe-Angriffe" durch menschliche Spezialisten setzt hingegen externer Link Integralis. Anlässlich der SYSTEMS hat das Unternehmen sein Tiger Team vorgestellt, das derzeit aus sechs erfahrenen und sicherheitsüberprüften Mitarbeitern aus Deutschland und England besteht. Als Besonderheit nennt Integralis, dass seine Auftrags-Hacker fest angestellt sind und nicht durch anderweitige Aufgaben von den Neuerungen in der Szene abgelenkt werden.

Appliance Firewalls

externer Link PGP Security, ein Geschäftsbereich von externer Link Network Associates (NAI), hat eine neue Produktlinie von Appliance Firewalls vorgestellt: Die PGP E-ppliances basieren auf externer Link SonicWall Firewalls. Der Firewall-Durchsatz liegt nach Firmenangaben bei 70 MBit/s, die VPN-Komponente schaffe 2,5 MBit/s (IPsec mit 3DES-Verschlüsselung). Das SonicWall Global Management System ermöglicht eine webgestützte Wartung und automatisierte Updates. Damit ergänzt PGP sein bisheriges Angebot von Midrange-Firewalls (Gauntlet) und einer Highend-Appliance für Internet Service Provider mit Gigabit-VPN (Webshield E-ppliance) um die Bereiche SOHO bis KMU.

Auch Nokia Internet Communications ergänzen ihr Appliance-Programm um eine "kleine" Lösung: Mit der IP110 sollen Unternehmen vor allem externe Niederlassungen mit bis zu 50 Anwendern (über drei 10/100 Ethernet Ports) in ihr Gesamtsystem mit zentraler Verwaltung aufnehmen können. Die Nokia Appliances arbeiten auf einem FreeBSD-Derivat mit externer Link Check Point Firewall-1/VPN-1 und werden vorkonfiguriert und mit einem Imaging-System ausgeliefert. Durch die Sicherung zweier Revisionsstände können Administratoren damit beispielsweise am Wochenende eine neue Softwareversion testen und für den Produktivbetrieb während der Woche auf die bewährte Installation zurückgreifen. Zum Jahresende hat externer Link Nokia zudem in Zusammenarbeit mit dem NAI-Unternehmenszweig McAfee die Anti-Virus-Appliance Webshield for Nokia (IP445AV) angekündigt.

Krypto-Kommunikation

Automatische 128-Bit-Verschlüsselung per Modem ermöglicht das SITMinisafe von externer Link Rohde & Schwarz. Das etwa zigarettenschachtelgroße Gerät arbeitet auf der seriellen Leitung zwischen PC/Notebook und Modem. Die gesamte Steuerung läuft über AT-Befehle und ist daher Plattform- sowie Anwendungs-unabhängig; SITMinisafe unterstützt sowohl Analog- und ISDN- als auch GSM-Modems und zeigt wichtige Verbindungsdaten auf einem eigenen LC-Display an. Zum Chiffrieren stehen verschiedene Algorithmen bereit, das Gerät speichert bis zu 16 verschiedene Keys. An der Gegenstelle ist ebenfalls ein SITMinisafe erforderlich; eingehende verschlüsselte Anrufe werden automatisch erkannt. Für Standleitungen bis zu 2 MBit/s hat Rohde & Schwarz mit dem SITLink eine Lösung im 19"-Format ins Programm genommen. Zur Schlüsselspeicherung dient eine Chipkarte, die Verwaltung erfolgt per "Link Security Management" entweder lokal oder remote.

Foto: Rohde & Schwarz SITMinisafe
Das SITMinisafe von Rohde & Schwarz verschlüsselt transparent auf der Leitung zum/vom Modem.

Ein "marktreifes" Handy mit eingebauter Verschlüsselung hat indes externer Link Siemens mit dem TopSec GSM vorgestellt: Das Gerät, äußerlich ein ganz normales S35, kommuniziert nach "Softkey"-Aktiverung des eingebauten Kryptoprozessors 128-Bit-verschlüsselt über den vergleichsweise breitbandigen GSM-Datenkanal, sodass die Sprachqualität im chiffrierten Betrieb erhalten bleiben soll. Ein proprietäres Verfahren überträgt dazu einen beim Einschalten der Krypto-Funktion zufällig generierten Session-Key an den Gesprächspartner.

Public Key Infrastrukturen

Eine weitere Siemens-Neuheit ist der TopSec Authoriser, der PKI-Zertifikate um Attribute zur Rechteverwaltung im Intra- oder Internet erweitert. Darin lassen sich beispielsweise die Rolle eines Mitarbeiters im Unternehmen, eingeräumte Vertraulichkeitsstufen oder Applikations-Passwörter ablegen. Durch die Möglichkeit, Attribute in ihrer Gültigkeit auf wenige Minuten zu beschränken, eignet sich TopSec Authoriser laut Siemens auch für befristet eingeräumte Rechte auf E-Commerce-Sites.

Eine ungewohnte Anwendung für das Homebanking Computer Interface (HBCI) hat externer Link XCOM implementiert: Das DokumentenabrufsystemXDoc sichert den Weg durch das Internet mit denselben Verfahren, die üblicherweise Transaktionen zwischen Bank und Kunde schützen und autorisieren; mit der Software zielt XCOM auf den Dialog zwischen Kunde/Kundenberatern und Versicherungen oder Vermögensverwaltungen. HBCI definiert eine Transportverschlüsselung und digitale Signaturen für beide Geschäftspartner inklusive Schlüsselerzeugung und -zertifizierung. XDoc unterstützt als "Sicherheitsmedium" für geheime Schlüssel sowohl Disketten als auch G&D-Chipkarten. Durch HBCI erhält das System quasi eine implizite PKI für den Austausch beliebiger Dateien.

Auch bei externer Link Hewlett-Packard ging es auf der SYSTEMS um PKI: HP hatte Ende September eine Zusammenarbeit mit externer Link Baltimore Technologies angekündigt und will nun mit Praesidium Trusted-PKI eine schlüsselfertige Public Key Infrastruktur anbieten, ergänzt um Beratungs- und Systemintegrationsdienstleistungen durch den HP Consulting-Bereich Global Security Practice. Zur Absicherung der NT-Rechner von Registration Authority Operators (oder anderen sensitiven NT-Umgebungen) setzt HP auf seinen WebEnforcer, der bekannte Schwachstellen in NT-Installationen aufspüren und beseitigen soll. Die Software überwacht seinen Schützling ständig und hält sich per Online-Abonnement über neue Verwundbarkeiten auf dem Laufenden.

externer Link Norman Data Defense Systems präsentierten Norman PKI, die derzeit Anwendungen zur E-Mail- und Dateiverschlüsselung, digitalen Signatur und für den Zugriffsschutz umfasst. Die Basis dieser PKI-Module sowie der Norman CA legte unlängst der Kauf eines tschechischen PKI-Anbieters. Erste Eindrücke gab es zudem von der Norman Personal Firewall für Windows 9x/ME sowie NT/2000 Workstations. Neben IP/Port-Filter, Cookie- und Werbeblocker sowie einem Filter gegen aktive Inhalte wirbt Norman mit umfassenden Protokollfunktionen. Ein zentrales Management der Firewall soll im ersten Quartal 2001 hinzukommen.

Eine neue Version ihrer Desktop Firewall Secure4U mit zusätzlichen Funktionen hat externer Link Sandbox Security vorgestellt. Neu in Version 5 sind unter anderem ein Lernmodus, einige vordefinierte Sandboxes, eine Stopwortsuche in HTTP- und SMTP-Daten, erweiterte Logging-Level und Installations-/Verteilmöglichkeiten für Microsoft- und Novell-Netzwerke. externer Link Utimaco vertreibt diese Desktop Firewall als SafeGuard Personal FireWall; eine eigene Verwaltungskomponente ist in Planung.

AES-Implementierungen

Der designierte externer Link Advanced Encryption Standard (AES) "Rijndael" hat bereits Einzug in einige Produkte gefunden. externer Link Utimaco hat SafeGuard PrivateCrypt als Freewareprogramm zur symmetrischen Verschlüsselung auf seine Homepage gestellt. externer Link FAKTUM hat Rijndael in sein Endanwenderprodukt SecuSeal zur Signatur und Verschlüsselung von E-Mails, in das Entwickler-Kit CryptoSeal SDK und die PKI CryptoSeal integriert ().

externer Link cv cryptovision zeigte in München cv act webgate, seine neue Lösung für Browser-basierte Benutzerauthentifizierung per Smartcard. Während die Signatur-Komponenten auf Elliptischen Kurven (ECC, Elliptic Curve Cryptography) beruhen, arbeitet die Kommunikationsverschlüsselung für den geschützten Zugriff auf Webseiten mit dem designierten AES. Eine zweite Neuheit gab es mit dem S/MIME-V.3-Mail-Client cv act s/mail zu sehen; die Software arbeitet auf Windows 9x/ME und NT/2000 und unterstützt Microsoft Outlook, Lotus Notes und Novell Groupwise.

Auf die Sicherheit und Organisation der E-Mail als Haupt-Internet-Anwendung in Unternehmen hat es externer Link GROUP Technologies abgesehen: securiQ erweitert Microsoft Exchange 2000 oder Lotus Notes um Sicherheitsmodule für Verschlüsselung, Virenschutz, das Filtern unerwünschter Nachrichten, eine revisionssichere Mail-Ablage sowie ferner für die automatische Ergänzung von Kommentaren zur Gültigkeit von Mail-Inhalten (so genannte Disclaimer). Group verspricht schnelle Einsatzbereitschaft aufgrund sinnvoller Voreinstellungen, ermöglicht aber auch ein übergreifendes "Rules- and Policy-Set" zusammen mit der Organisationssuite organiziQ zur Priorisierung, Teamorganisation und Kostenkontrolle von E-Mails.

Internet-Kontrolle

Die neue Version eSafe Gateway 3.0 von externer Link Aladdin Knowledge Systems soll eine Prüfung von HTTP- und FTP-Datenströmen ohne spürbare Download-Verzögerung ermöglichen. Außerdem hat Aladdin die bisherige Lösung unter anderem um einen Filter für VB/Java-Scripts (in WWW-Seiten oder HTML-Mails), eine Lastverteilungskomponente, die Verwaltung von Cookies und privilegierten Anwendern erweitert. Außerdem soll eSafe Gateway vor agressiven Java- oder ActiveX-Inhalten sowie Makroviren, polymorphen, getarnten und verschlüsselten Viren schützen. HTTP-, FTP- und E-Mail-Übertragungen lassen sich wie bisher anhand von Schlüsselwörtern, Site-Adressen oder Betreffzeilen filtern. Optional unterstützt Aladdin die URL-Datenbank von externer Link SurfControl, die im täglichen Update Internetadressen in 38 Kategorien klassifiziert.

Über das reine Blocken von Zugriffen hinausgehen will externer Link Websense mit seinem Filter Websense Enterprise, den die Firma auf dem IT-Security Forum bei ICON präsentiert hat. Beispielsweise ermöglicht die Software, Zugriffsversuche auf während der Arbeitszeit gesperrte URLs automatisch in eine Bookmark-Liste zu schreiben. Nach Feierabend kann der Mitarbeiter diese Bookmarks dann bequem "absurfen". Gegen Aufpreis ist zu den 67 Websense-Kategorien das Add-on Premium Group I mit den zusätzlichen Bereichen Bannerwerbung, Brokerage, Online-Handel, Freeware/Shareware-Download, kostenpflichtiges Surfen sowie Instant-Messaging erhältlich. Damit sollen sich laut Websense weitere zehn Prozent Bandbreite einsparen lassen. Den Fachhandelsvertrieb für die britische Firma übernehmen in Deutschland externer Link ICON Systems, externer Link Allasso sowie externer Link The Bristol Group, in der Schweiz externer Link Netstuff und in Österreich externer Link Infinigate und SPP. Eine 30-Tage-Testversion von Websense Enterprise liegt im Internet bereit.

Foto: Andrang am GeNUA-Stand (Quelle: Schelbert/Wildcard)
Auch dieses Jahr betrug der Fachbesucheranteil auf der SYSTEMS 98 %. Wer das Forum in Halle C3 besuchte, hatte meist konkrete Fragen.

externer Link GeNUA widmet sich dem Thema "Zugriffsrecht für Internetnutzung" mit GeNUAuth, einem Autorisierungsserver für Unix- und Windows-NT-Systeme. Ebenfalls neu ist GeNUGate Secure Proxy, mit dem GeNUA eine Firewalllösung für die Anbindung von Zweigstellen oder kleiner Niederlassungen ins Programm genommen hat, die sich aber dennoch über eine zentrale GeNUGate Firewall verwalten lässt.

Fehlerfreie Software?

externer Link Rösch Consulting wollen mit ihren Software-Robotern nachweisbar fehlerfreie Software erzeugen können. Dabei geht es zwar nicht um eine absolute Fehlerfreiheit: Rösch bezieht sich auf die Qualitätssicherung nach ISO 9000 und garantiert, dass das Endprodukt 100%ig die Spezifikation der Anforderungen des Kunden erfüllt. Für jeden Fehler, den der Kunde in diesem Sinne dennoch findet, akzeptiert Rösch Consulting dann aber einen Honorarabzug von 5 % der Auftragssumme. Die Firma behauptet selbstbewusst, alle ihr bekannten Software-Fehler (u. a.) von Handys sowie Systemen der Luft- und Raumfahrt wären mit ihren Verfahren vermeidbar gewesen.

Nach einer formalen Spezifikation per Unified Modeling Language (UML) sollen Design, Coding und Tests zu 95 % automatisch durch die Code-Generatoren erfolgen. Derzeit sind diese "Software-Fertigungsstraßen" noch kundenspezifisch - noch im nächsten Jahr hofft Rösch aber, auch universelle Rechenknechte im Programm zu haben. Selbst wenn die "nachweisbare Fehlerfreiheit" für Software-Sicherheitsaspekte nicht unmittelbar bedeutet, dass keine unbedachten oder unerwünschten Effekte möglich sind: Die starke Formalisierung im Designprozess und eine weit reichende Automatisierung dürften positive Einflüsse haben, da zumindest alle vorhergesehenen Angriffe auszuschließen sein müssten und außerdem - bei korrekten Robotern - keine reinen Implementierungsfehler auftreten dürften.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 16