You are here: Home » Themen » IT-Betrieb » Appliances und eingebettete Systeme
Sorry, this page is not translated yet.

Appliances und eingebettete Systeme: Messgeräte, Schranküberwachungen, Drucker, Kopierer etc.

Appliances sind Geräte, die eine Kombination aus (meist) einem für einen bestimmten Zweck optimierten Rechnersystem mit ebenfalls entsprechend optimiertem Betriebssystem und spezialisierter Hardware, die durch den Rechner gesteuert wird, darstellen. Prominente Beispiele sind z.B. Routers, Drucker, Kopierer, aber auch bestimmte Messgeräte wie Oszilloskope oder Überwachungseinheiten für Umweltbedingungen. Sie können autonom agieren oder in Rechnernetze integriert werden und dort mit anderen Rechnersystemen kommunizieren und z.B. Messergebnisse weitermelden, Druckaufträge entgegennehmen oder abgelichtete Dokumente auf einem Netzlaufwerk ablegen. Im Gegensatz zu normalen Rechnersystemen, die unter der vollen administrativen Kontrolle des jeweiligen Betreibers stehen, sind Appliances unter Umständen nur teilweise oder gar nicht administrativ kontrollierbar. Sie müssen daher aus Sicht der IT-Sicherheit gesondert betrachtet werden, und es müssen ggf. auch gesonderte Maßnahmen zu ihrer Absicherung getroffen werden.
Dieses Dokument stellt anhand von Beispielen die wichtigsten Eigenschaften verschiedener Appliances vor, diskutiert die Gefahren, die ihr Betrieb birgt, und erläutert die Maßnahmen, die zur Beherrschung dieser Gefahren getroffen werden müssen.

Inhalt

Charakteristika von Appliances

Allgemeines
Appliances sind IT-Geräte, die nicht wie normale Rechnersysteme weitgehend universell eingesetzt werden können, sondern für einen ganz bestimmten Einsatzzweck hergestellt werden. Sie sind eine Kombination aus einem Rechnersystem und spezialisierter Technik für einen bestimmten Zweck. In manchen Fällen sind es auch nur Rechnersysteme, die einen bestimmten Zweck erfüllen sollen und dafür (lediglich) entsprechend zugeschnittene Hardware besitzen.

Auch die jeweilige Betriebssoftware ist oftmals auf den Einsatzzweck zugeschnitten. Je nach dem, wie hoch die Leistungsanforderungen sind, kann es sich dabei um ein lediglich speziell konfiguriertes marktübliches Betriebssystem (z.B. Microsoft Windows oder Linux), ein spezialisiertes Betriebsystem für Appliances oder embedded Systems, das auf marktüblichen Betriebssystemen basiert (z.B. Windows CE oder Embedded Linux) oder ein ganz eigenes Betriebsystem handeln (z.B. Cisco IOS).

Aktualisierung (Patches)
Neben den besonderen Fähigkeiten, die ein solches System hat, ist fast allen Appliances oder eingebetteten Systemen gemeinsam, dass sie nicht an den Aktualisierungszyklen der Betriebssysteme, auf denen sie basieren, teilnehmen können, sondern vom jeweiligen Hersteller (meistens) mit Patches versorgt werden. Oftmals sind die Patchzyklen sehr viel länger als die für die Betriebssysteme, auf denen das jeweilige Appliance-Betriebssystem basiert.

Da jedoch häufig Code von Schwachstellen betroffen ist, der sowohl im Basis- als auch im Appliance-Betriebssystem vorhanden ist, sind Appliances meist sehr viel länger verwundbar als normale, ordnungsgemäß aktualisierte Rechner mit Betriebssystemen “von der Stange”. Je nach Art des eingesetzten Appliance-Betriebssystems können sie jedoch genauso angegriffen und kompromittiert werden.

Manche Appliances sind durch den Betreiber gar nicht aktualisierbar, weil er gar nicht die administrativen Rechte erhält, Aktualisierungen vornehmen zu können.

Appliances sind meist sehr langlebig, so dass oft noch Geräte im Einsatz stehen, die auf Betriebssystemen basieren, die vom Hersteller gar nicht mehr gewartet werden. In diesen Fällen ist eine Aktualisierung bei erkannten Schwachstellen gar nicht möglich.

Outsourcing
Manche Hersteller von Appliances bieten an, den Betrieb und die Wartung der Geräte zu übernehmen oder machen dies sogar zur Pflicht. In diesem Fall gibt der Betreiber die administrative Kontrolle an Dritte ab, nicht jedoch die Verantwortung, da sie dennoch in der Infrastruktur des Betreibers lokalisiert sind.

Appliances im eigenen IT-Verbund
In der Wahrnehmung der Betreiber nehmen Appliances meist eine andere Stellung ein als normale Rechnersysteme, da sie administrativ keine vergleichbaren Möglichkeiten bieten. Sie werden daher oft nicht so in ein Administrations-, Netz- und/oder Sicherheitskonzept mit eingebunden, wie sie es angesichts ihrer Gefahren, kompromittiert zu werden zu, eigentlich müssten.

Die Charakteristika aus Sicht der IT-Sicherheit lassen sich in den folgenden Stichpunkten zusammenfassen:

  • Appliances sind eine für einen bestimmten Zweck spezialisierte Kombination aus Hard- und Software.
  • Appliances können mit marktüblicher, von solcher abgeleiteter oder eigens implementierter Betriebssoftware ausgestattet sein.
  • Schwachstellen in marktüblicher Betriebssoftware betrifft meist auch die entsprechende Variante von Appliances.
  • Patches und Aktualisierungen für die Basisbetriebssysteme können im Allgemeinen nicht für Appliances übernommen werden. Es muss auf eine Aktualisierung des Herstellers gewartet werden.
  • In vielen Fällen kann auf das System durch den Betreiber nicht administrativ zugegriffen werden, um z.B. eine temporäre Behebung einer Schwachstelle durch Stilllegen betroffenen Codes oder der durch diesen implementierten Eigenschaft der Appliance vorzunehmen.
  • In manchen Fällen kann durch den Betreiber nicht einmal eine Aktualisierung vorgenommen werden, da eine solche gar nicht vorgesehen ist.
  • Appliances sind oft langlebig und werden noch eingesetzt, wenn ihre Wartung durch den Hersteller bereits eingestellt wurde.
  • Sie erfahren in Netz- und Sicherheitskonzepten oft nicht die aufgrund ihres Gefährdungspotentials erforderliche Aufmerksamkeit.
  • Z.T. werden Appliances im Rahmen von Outsourcingverträgen durch den Hersteller oder externe Dienstleister im Netz des Auftraggebers betrieben.

Diese besonderen Charakteristika führen zu besonderen Pflichten beim Betrieb solcher Geräte. Das vorligende Dokument stellt eine Handreichung dar, welche Maßnahmen mindestens zu treffen sind, um die Gefahren, die daraus entstehen, soweit zu minimieren, dass man sich als Betreiber bei Sicherheitsvorfällen nicht dem Vorwurf der Fahrlässigkeit ausgesetzt zu sehen.

Zum Inhaltsverzeichnis

Beispiele für Appliances

Im Folgenden werden zur Illustration der Anwendungs- sowie Betriebsmöglichkeiten und den jeweils charakteristischen Eigenschaften und Gefahren einige Beispiele für verbreitete Appliance-Typen vorgestellt.

Routers und Switches

Aktive Netzkoppelelemente, wie es Routers und Switches oder die heute sehr oft verwendeten Layer-3-Switches (kurz: “L3-Switches”), die Eigenschaften beider Geräteklassen vereinen, sind, gehören zu den am häufigsten eingesetzten Appliances.

Sie bestehen aus einer oft hochspezialisierten Hardwarekomponente, die die Koppelung mehrerer Netze oder Endgeräte und damit Integration in ein Netz erlauben. Die Betriebssoftware ist meist ebenfalls speziell für den Zweck der Netzkoppelung entworfen.

Viele moderne Geräte mit Routing-Funktionalität bieten darüber hinaus noch die Möglichkeit, Zugriffskontrolllisten (ACLs) anzulegen, die den Verkehr zwischen den verbundenen Netzen regeln und auf die vom Betreiber gewünschten Kommunikationsverbindungen einschränken. Manche Geräte sind darüber hinaus in der Lage, zwischen privaten und öffentlichen IP-Netzen zu vermitteln und als sog. NAT-Gateways zu fungieren. Viele Geräte, die Switch-Funktionalität bereitstellen, sind in der Lage Virtuelle LANs (VLAN) zu implementieren.

Die meisten Netzkoppelelemente verwenden ein spezielles Betriebssystem, das vom Hersteller gepflegt wird und vom Betreiber mehr oder weniger administrativ kontrolliert werden kann.

Da die Sicherheit von Netzkoppelelemente meist von zentraler Bedeutung für die Sicherheit des IT-Verbundes ist, in dem sie eingesetzt sind, ist die Disziplin und Schnelligkeit des Herstellers bei der Versorgung mit Aktualisierungen ein entscheidender Sicherheitsfaktor.

Besonders kleine Geräte, die für kleine Netzwerke oder zum Privatgebrauch vorgesehen sind (z.B. DSL-Routers) erhalten meist seltener Aktualisierungen durch den Hersteller und sind obendrein häufig auch dann noch im Einsatz, wenn der Hersteller die Wartung (und damit die Aktualisierung) des Produktes bereits eingestellt hat. Sie akkumulieren in dieser Zeit Verwundbarkeiten.

Zusammenfassend gelten für Routers und Switches, die als Appliance realisiert sind, folgende Charakteristika:

  • Routers und Switches dienen zur Koppelung von Netzen.
  • Sie spielen eine große Rolle für die Sicherheit des IT-Verbundes, in dem sie eingesetzt werden; sie sind oft integraler Bestandteil des Sicherheitskonzeptes (z.B. als Firewall oder zur Netzsegmentierung mittels VLANs).
  • Sie werden meistens mit speziellem Betriebssystem ausgeliefert.
  • Die Administrationsmöglichkeiten beschränken sich meist auf die Konfiguration der Funktionen, die das Gerät im Netz haben soll.
  • Sie müssen naturgemäß an das Netz angeschlossen werden, andernfalls sind sie nutzlos.
  • Updates kommen i.a. nur vom Hersteller; um die Geräte aktuell halten zu können, ist der Betreiber daher ausschließlich von diesem abhängig.


Manche Betriebssysteme bieten ebenfalls Routing- oder Switching-Funktionalität oder entsprechende Erweiterungen (z.B. Linux), so dass auch handelsübliche Rechnersysteme mit entsprechender Hardwareausstattung als Router oder Switch eingesetzt werden können, für die dann die appliance-typischen Einschränkungen der Sicherheit nicht gelten. In IT-Verbünden, in denen erhöhte oder hohe Sicherheit erforderlich ist, ist zu empfehlen, mindestens den Übergabepunkt ins lokale Netz sowie die eingesetzten Firewalls solchermaßen zu realieren.

Zum Inhaltsverzeichnis

Mess- und Laborgeräte

“Intelligente” Labor- und Messgeräte sind heute oft als Appliance ausgeführt, die ein komplettes Rechnersystem beinhalten. Die Geräte verfügen häufig über eine Netzwerkschnittstelle, die es erlaubt, die Messergebnisse direkt über eine Netzwerkverbindung an andere Rechnersysteme zu senden oder diese in die Lage zu versetzen, das Messgerät zu steuern (etwa neu zu kalibrieren oder zu konfigurieren). So sind beispielsweise komfortable Speicheroszilloskope als solche Appliances realisiert. Auch Geräte zur Umwelt- und Türüberwachung, z.B. in 19-Zoll-Schränken , fallen in diese Kategorie. Auch sie werden an das Netz angeschlossen, um Alarme verschicken zu können, etwa, wenn die Tür geöffnet wird oder wenn es zu warm wird im Schrank. Es gibt zahlreiche weitere Anwendungen.

Da der Markt für solche Geräte deutlich kleiner ist, als z.B. für Routers und Switches, kommen bei solchen Geräten meist mehr oder wenig maßgeschneidert konfigurierte, marktübliche Betriebssysteme zum Einsatz. Dennoch können i.A. die Aktualisierungen für die allgemeine Version des Betriebssystems nicht installiert werden. Dies hat seinen Grund zum einen darin, dass die Aktualisierungen ggf. die Funktionsfähigkeit der Software, die die Messfunktionalität bereitstellt, beeinträchtigen können und zum anderen, dass der Betreiber des Gerätes in vielen Fällen gar nicht in der Lage ist, administrativ auf das Betriebssystem zuzugreifen und entsprechende Aktualisierungen vorzunehmen. Aktualisierungen werden daher i.A. (sofern überhaupt) als sogenannte Firmwareupdates durch den Hersteller des Gerätes bereitgestellt.

Da Laboreinrichtungen oft sehr lang im Einsatz sind, sich die Anforderungen an die Laborgeräte auch nur sehr langsam ändern und weil sie meist sehr teuer sind, werden solche Geräte in vielen Fällen Jahre über die Wartungsfrist des Herstellers hinaus betrieben. In dieser Zeit sind keine Systemaktualisierungen (sofern solche überhaupt installiert werden können) mehr verfügbar und die bekannten Schwachstellen können nicht (mehr) behoben werden.

Insbesondere solche Geräte, die ohne weitere Schutzmaßnahmen ans Institutsnetz angeschlossen sind, stellen hier ein nicht unerhebliches Risiko dar.

Folgende Charakteristika können für Laborgeräte, die als Appliance mit Netzanschluss realisiert sind, festgehalten werden:

  • Netzwerkfähige Labor- und Messgeräte dienen dazu, Messergebnisse an Rechner zur Weiterverarbeitung zu senden.
  • Sie besitzen oft ein handelsübliches Betriebssystem, das um die entsprechende Funktionalität (oft als Anwendung) erweitert wurde. Diese sind meist auch von den Schwachstellen betroffen, die für das jeweilige Basissystem bekannt werden. Die dafür entwickelten Exploits sind oft auch bei den Betriebssystemen der Geräte ohne Änderung anwendbar.
  • Sie erlauben meist keinen administrativen Zugang durch den Betreiber zum System.
  • Aktualisierungen werden entweder als Firmwareupdate bereitgestellt oder durch den Hersteller auf den Geräten installiert.
  • Die Geräte werden häufig auch über den Zeitpunkt des Endes der Wartung durch den Hersteller betrieben.

Zum Inhaltsverzeichnis

Drucker

Drucker haben sich im Laufe der Zeit von einfachen Ausgabegeräten, die an die serielle, parallele oder Centronics Schnittstelle eines PC angeschlossen waren, zu Computersystemen entwickelt, an die über das Netzwerk Druckaufträge gesendet werden können, ohne dass sich der sendende Rechner um die Verwaltung der Druckerwarteschlange oder die mögliche Kollision mit anderen Druckaufträgen kümmern muss.
Bei Druckern sind sowohl eigens implementierte als auch modifizierte Standardbetriebssysteme im Einsatz. Administrativer Zugriff auf diese Betriebssysteme ist im Allgemeinen nicht möglich, sodass direkte Eingriffe oder das Installieren von Patches zur Behebung von Schwachstellen auf Betriebssystemebene durch den Betreiber nicht durchgeführt werden können. Solche werden (wenn überhaupt) als Firmwareupdate durch den Hersteller bereitgestellt. Auch Drucker werden, sofern dies wirtschaftlich ist, gern sehr lange betrieben, ggf. auch über das Ende der Wartung durch den Hersteller hinaus. Manche Drucker können gar nicht aktualisiert werden, was sie als ins Netz integrierte Geräte zu einem ständig größer werdenden Risiko macht.

Zusammengefasst haben Drucker die folgende Eigenschaften:

  • Drucker beinhalten heute oft vollwertige Rechnersysteme mit Festplatten oder anderen nichtflüchtigen Speichermedien, um Druckaufträge puffern zu können.
  • Sie verwenden entweder speziell entworfene (immer seltener) oder modifizierte Standardbetriebssysteme. Letztere sind meist auch von den Schwachstellen betroffen, die für das jeweilige Basissystem bekannt werden. Exploits sind oft auch bei den jeweiligen Druckerbetriebssystemen ohne Änderung anwendbar.
  • Sie erlauben meist keinen administrativen Zugang durch den Betreiber zum System.
  • Aktualisierungen werden (falls überhaupt) als Firmwareupdate bereitgestellt.
  • Sofern der Zustand der mechanischen Bauteile es zulässt, werden sie häufig über den Zeitpunkt des Endes der Wartung durch den Hersteller betrieben.

Zum Inhaltsverzeichnis

Kopierer und Multifunktionsgeräte

Kopierer haben in der jungen Vergangenheit eine drastische Wandlung vollzogen: Vom einfachen Kopierer, der auf rein opto-mechanischem Weg Bilder von dem, was auf die Glasplatte seines Scanners gelegt wurde, anfertigte, zu Rechnersystemen, die als Multifunktionsgeräte elektronische Scans von Vorlagen machen, diese ggf. per Texterkennung (OCR) in elektronische Dokumente verwandeln und per Netzanschluss an einen Fax- oder Fileserver versenden und als Drucker fungieren und dazu Aufträge über das Netz annehmen, zwischenspeichern und bei Bedarf ausdrucken. Natürlich können sie auch noch Kopien anfertigen. Dies geschieht aber nicht mehr wie bishier opto-mechanisch sondern ebenfalls rechnergestützt: Die Vorlage wird abgetastet, als Bild zwischengespeichert und dieses wird dann ausgedruckt.
Da hier sehr viele Funktionen in einer Appliance vereint werden, die auch von Betriebssystemen für normale Rechnersysteme bereitgestellt werden, besitzen solche Multifunktionsgeräte fast immer ein Standardbetriebssystem, das entsprechend konfiguriert ist und Anwendungen zur Bereitstellung der geforderten Spezialfunktonen ausführt. In vielen Fällen werden hier UNIX-Derivate eingesetzt.
Dennoch versagen die meisten Geräte den (legalen) administrativen Zugang zum Betriebssystem. Aktualisierungen, die Schwachstellen beheben, werden meist nur als Firmwareupdate zur Verfügung gestellt.
In größeren Firmen und auch an der Universität Stuttgart werden solche Multifunktionsgeräte von einer externen Firma betrieben (s.u. Abschnitt Outsourcing), sind dabei jedoch an das Netz der Uni angeschlossen, um die Vorteile des breiten Funktionalitätsspektrums nutzen zu können.

Zusammengefasst haben Multifunktionsgeräte folgende Charakteristika:

  • Multifunktionsgeräte dienen als Kopierer, Scanner, Faxgerät und Drucker.
  • Sie sind vollwertige Rechnersysteme und werden meist mit einem UNIX-Derivat als Betriebssystem ausgeliefert. Diese Derivate sind von denselben Schwachstellen betroffen, wie ihre Originalbetriebssysteme. Exploits sind i.A. auch bei den jeweiligen Betriebssystemen für Multifunktionsgeräte ohne Änderung anwendbar.
  • Sie erlauben meist keinen administrativen Zugang durch den Betreiber zum System.
  • Aktualisierungen werden (sofern überhaupt) als Firmwareupdate bereitgestellt.
  • Multifunktionsgeräte werden oft im Rahmen eines Servicevertrages von Dritten gewartet (Outsourcing).

Zum Inhaltsverzeichnis

Verantwortung durch den Betrieb von IT

Entgegen der landläufigen Meinung beschränken sich Gesetzgebung und Rechtsprechung zur Informationstechnologie nicht nur auf die Verfolgung und Ahndung des darkside hackings (hier insbesondere mit §202a “Ausspähen von Daten”, §202b “Abfangen von Daten”, §202c StGB “Vorbereiten des Ausspähens und Abfangens von Daten”, §303b StGB “Computersabotage”).
Bereits der Betrieb von IT-Infrastruktur bedeutet für den Betreiber Verantwortung: Verantwortung gegenüber den eigenen Benutzern und Verantwortung gegenüber Dritten, deren IT-Infrastruktur von der IT-Infrastruktur des Betreibers über eine Netzwerkverbindung erreichbar ist. Bei an das Internet angeschlossenen IT-Infrastrukturen gehören zur zweiten Gruppe sowohl die Gesamtheit der Internetnutzer als auch Betreiber anderer, ebenfalls an das Internet angeschlossenen IT-Infrastrukturen. Die Verantwortung ergibt sich dabei aus verschiedenen rechtlichen Gesichtspunkten, wie beispielsweise der Verkehrssicherungspflicht oder Halterhaftung (jeweils bezogen auf die IT) für die betriebene IT-Infrastruktur. Neben anwendbaren Paragraphen des Strafgesetzbuches sind hier vor allem die Datenschutzgesetze, verschiedene Paragraphen des Bürgerlichen Gesetzbuches und Staatsverträge zu beachten.

Verantwortung den eigenen Benutzern gegenüber

Neben den üblichen Pflichten, die die körperliche Unversehrtheit der Benutzer der IT-Infrastruktur betreffen (hier jedoch nicht weiter betrachtet werden sollen, da sie in den Bereich Arbeitssicherheit fallen), sind an dieser Stelle vor allem Pflichten im Umgang mit verarbeiteten Daten der Benutzer zu beachten. Zuvorderst sind hier natürlich die jeweils geltenden Datenschutzgesetze zu nennen, das Bundesdatenschutzgesetz bzw. die jeweiligen Landesdatenschutzgesetze. Diese schreiben vor, dass personenbezogene Daten nicht in die Hände Unbefugter gelangen dürfen, unter welchen Voraussetzungen und wie lange der (befugte) Betreiber der verarbeitenden IT-Infrastruktur von ihnen Kenntnis erlangen darf sowie dass der Betreiber technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen muss.

Vertraulichkeit
Der Betrieb von Kommunikationsdiensten wie z.B. elektronischer Post verpflichtet den Betreiber zur Einhaltung der Gesetze zum Brief-, Post- und Fernmeldegeheimnis (hier ist insbesondere an Straftatbestände z.B. nach §202 StGB und §206 StGB zu denken). Er muss sicherstellen, dass innerhalb der eigenen IT-Infrastruktur Vorkehrungen nach dem Stand der Technik zum Zweck der Unterbindung des unbefugten Zugriffs auf die verarbeitete und gespeicherte Kommunikation durch Unbefugte getroffen werden. Die Vertraulichkeit der Daten ist zu gewährleisten.

Verfügbarkeit
An einer Universität spielt den eigenen Benutzern gegenüber die Verfügbarkeit der durch die IT-Infrastruktur bereitgestellten Dienste und der Daten eine geringere Rolle, sind hier doch weniger Fälle zu erwarten, in denen ein juristischer Anspruch entstehen kann. Dennoch können solche Fälle nicht ausgeschlossen werden: Etwa, wenn Studierende zur Erbringung von geforderten Leistungen auf bestimmte Dienste oder Daten angewiesen sind. Diese Fälle können jedoch i.A. durch die ggf. temporäre Anpassung der entsprechenden Prozesse und Anforderungen seitens der Universität gelöst werden.

Integrität
Die Verpflichtung zur Gewährleistung der Unverändertheit der Daten (Integrität) ist ähnlich einzuschätzen, wie die der Verpflichtung zur Gewährleistung der Verfügbarkeit: Sie spielt eine geringere Rolle als die Gewährleistung der Vertraulichkeit, sie kann jedoch nicht in allen Fällen ausgeschlossen werden.

Folgende Vorschriften und Gesetze sind mindestens zu beachten (die Liste erhebt keinen Anspruch auf Vollständigkeit):

  • LDSG – Landesdatenschutzgesetz Baden-Württemberg
  • TKG – Telekommunikationsgesetz
  • TMG – Telemediengesetz
  • §202 StGB – Verletzung des Briefgeheimnisses
  • §206 StGB – Verletzung des Post- oder Fernmeldegeheimnisses

Zum Inhaltsverzeichnis

Verantwortung gegenüber Dritten

Dritte, also Nichtmitglieder der Universität, können auf verschiedene Weise durch den Betrieb der IT der Universität betroffen sein. Die zwei wesentlichen Aspekte sind dabei:

1. Gefährdung der IT-Infrastruktur Dritter durch die eigene IT-Infrastruktur
Fast alle Rechnersysteme sind heute mit dem Internet verbunden und dadurch in der Lage, miteinander zu kommunizieren. Die Teilnahme am Internet ermöglicht jedoch auch den Angriff von Rechnersystemen auf andere Rechnersysteme. Angriffe erfolgen, um das Ziel entweder in einen unbenutzbaren Zustand zu versetzen und so z.B. von der Teilnahme an der Internetkommunikation auszuschließen (sog. Denial of Service, abgekürzt: DoS ) oder es unter die eigene Kontrolle zu bringen (sog. Kompromittierung).
Der erste Fall ist für die Universität Stuttgart dann problematisch, wenn Systeme der Universität solche Angriffe durchführen. Die Beteiligung an DoS-Angriffen kann als Computersabotage (§303b StGB) bewertet werden.
Der zweite Fall ist schwerer zu fassen, da er sehr viele Szenarien ermöglicht. Wenn ein Angriff auf ein System der Universität zu seiner Kompromittierung führt, kann es als Plattform verwendet werden, um andere Systeme innerhalb und außerhalb der Netze der Universität anzugreifen und u.a. deren Betrieb zu gefährden. Neben der oben genannten Teilnahme an DoS-Angriffen können dies auch Angriffe auf andere Systeme sein, mit dem Ziel diese ebenfalls zu kompromittieren. Daneben ist jeder andere Missbrauch der Systeme denkbar, vom Verteilen urheberrechtlich geschützter Werke, über den Diebstahl oder der Unbrauchbarmachung der verarbeiteten Daten bis zur Verbreitung jugendgefährdender Schriften.

2. Schädigung Dritter durch die eigene IT-Infrastruktur
Der Verlust von Daten, die auf betroffenen Systemen verarbeitet werden – oder der Verlust ihrer Vertraulichkeit – ist dann von besonderer Brisanz, wenn es sich um Daten handelt, die im Rahmen von Drittmittelprojekten verarbeitet werden. Insbesondere dann, wenn sie dem Drittmittelgeber gehören oder von ihnen der Erfolg des Projektes abhängt und/oder wenn im Rahmen des Projektes Geheimhaltungsvereinbarungen unterzeichnet wurden.
Je nach Art der verarbeiteten Daten können dann Regelungen zum Schadenersatz greifen. Hier ist die Vertraulichkeit der Daten zu gewährleisten. Auch vertraglich zugesicherte Mindestverfügbarkeit der durch die IT-Infrastruktur bereitgestellten Dienste (sog. Dienstgütevereinbarung) und der Daten fallen in diese Kategorie. Neben der bloßen Verfügbarkeit der Dienste und Daten ist auch deren Integrität zu gewährleisten: Was nützen Daten, wenn man nicht weiß, ob sie nicht unbefugt verändert wurden. Auch die Rechnersysteme und die durch sie angebotenen Dienste müssen integer sein, sich also wie vorgesehen verhalten.
Wenn personenbezogene Daten von Dritten, z.B. im Rahmen von Projekten oder einer Auftragsdatenverarbeitungsvereinbarung, verarbeitet werden, sind selbstverständlich ebenfalls die Datenschutzgesetze zu beachten.

Folgende Vorschriften und Gesetze sind mindestens zu beachten (die Liste erhebt keinen Anspruch auf Vollständigkeit):

Zum Inhaltsverzeichnis

Wie der Verantwortung gerecht werden?

Der Missbrauch der IT-Infrastruktur, der zur Schädigung Dritter führen kann, kann nicht sicher und in allen Fällen verhindert werden, jedoch muss mindestens sichergestellt sein, dass er nicht fahrlässig ermöglicht wird.

Allen den in den vorangehenden Abschnitten beschriebenen Anforderungen ist gemeinsam, dass sie nur erfüllt werden können, wenn der Betreiber die administrative Kontrolle oder mindestens die uneingeschränkte Kommunikationskontrolle über die Systeme der IT-Infrastruktur hat. Hat er diese aus Nachlässigkeit nicht oder gibt sie willentlich auf, läuft er Gefahr, eine Fahrlässigkeit zu begehen und für Schäden, die durch die eigene IT-Infrastruktur entstehen oder ermöglicht werden, zur Rechenschaft gezogen zu werden.
Dabei ist, wie überall, natürlich auf die Verhältnismäßigkeit des zu betreibenden Aufwandes, sowohl für den Schutz als auch für den möglichen Angriff zu achten. Zusammengefasst kann man festhalten, dass Schutzmaßnahmen nach dem Stand der Technik ergriffen werden müssen und ’’mindestens’’ trivial durchführbare Angriffe (Angriffe, die mit im Netz verfügbaren technischen Hilfsmittel durchgeführt werden können) abwehren können. Andernfalls setzt man sich dem Vorwurf aus, fahrlässig durch Unterlassung der Ergreifung der mindestens nötigen Sicherheitsmaßnahmen gehandelt zu haben. Im Rahmen eines möglichen Gerichtsprozesses könnte man dann zu Schadenersatz verurteilt werden.

Für eine große Organisation, wie sie die Universität Stuttgart eine ist, kann der jeweils mögliche finanzielle Verlust, der durch Schadenersatz- oder Bußgeldzahlungen entstehen kann, sogar als verkraftbar (wenn auch ärgerlich) erscheinen, er ist aber in der Risikobetrachtung gar nicht ausschlaggebend. Viel schlimmer ist der Reputationsschaden, der durch die gerichtlich festgestellte Fahrlässigkeit beim Betrieb der IT-Infrastruktur entstehen kann. Insbesondere wenn diese auch in der Presse Erwähnung findet, kann ein solcher Imageschaden unbezifferbare Auswirkungen auf die künftige Einwerbung von Drittmitteln und Studierendenzahlen haben.

Daher ist es essentiell, die IT-Infrastruktur so zu betreiben, dass dieser Fall nicht eintritt. Dies heißt nicht, dass jedes Sicherheitsproblem von vorneherein verhindert werden muss, was auch nicht wirklich erreichbar wäre. Wichtig ist, strukturelle Sicherheitsprobleme zu erkennen und zu vermeiden oder zu beseitigen. Für den Betrieb von Appliances mit den o.g. Problemen und die in vielen Fällen dem Betreiber sogar die administrative Kontrolle gar nicht erst ermöglichen, müssen daher spezielle Maßnahmen ergriffen werden, die im Wesentlichen durch die vollständige Kommunikationskontrolle den Vorwurf der Fahrlässigkeit verhindern helfen.

Zum Inhaltsverzeichnis

Maßnahmen zum verantwortungsvollen Betrieb von Appliances

Um den besonderen Umständen beim Betrieb von Appliances, die mehr oder weniger administrativ kontrollierbar sind, Rechnung zu tragen und sie gegenüber den eigenen Benutzern und Dritten verantwortungsvoll einsetzen zu können, sind Maßnahmen erforderlich. Zunächst stellen die Umstände des Betriebes besondere Anforderungen, die sich in einem Sicherheitskonzept niederschlagen müssen. Dieses muss darstellen, wie die Maßnahmen wirken und wie sie umgesetzt werden. Es ist sich eventuell ändernden Anforderungen anzupassen.

Zum Inhaltsverzeichnis

Anforderungen beim Selbstbetrieb von Appliances

Wer Appliances selbst betreiben will, muss sich im Klaren sein, dass dies besondere Verantwortung mit sich bringt. Insbesondere der jeweilige Grad der administrativen Kontrolle, die der Betreiber über die Geräte hat, ist ausschlaggebend für die Art und den Aufwand der Maßnahmen, die getroffen werden müssen, um sich nicht dem Vorwurf der Fahrlässigkeit auszusetzen. Sie müssen daher sicherstellen, dass die fehlende administrative Kontrolle entsprechend ausgeglichen wird. Wenn Systeme nicht selbst unter der Kontrolle des Betreibers stehen, dann müssen alle Wege, die zu einer möglichen Kompromittierung und dem nachfolgenden Missbrauch führen können, entsprechend abgesichert werden. Diese sind:

  • Physikalischer Zugriff auf die Systeme:
    Der Zugang zu den Systemen, insbesondere dann, wenn sie den Zugang zu einer Konsole ermöglichen (z.B. über die Benutzungsschnittstelle, eine USB- oder eine RS-232-Schnittstelle), muss gesichert werden. Nur befugte Personen dürfen physikalischen Zugriff auf die Geräte erhalten. Soll freier Publikumsverkehr stattfinden (z.B. bei Multifunktionsgeräten oder Druckern), müssen die Geräte so konfiguriert sein, dass die Zugriffsmöglichkeiten entsprechend minimiert sind (kein Konsolzugriff vor Ort möglich).
  • Zugriff über das Netzwerk:
    Der Zugang über das Netzwerk muss besonders abgesichert werden, da schlecht gewartete oder gar nicht wartbare Systeme (Systeme, auf denen keine Sicherheitsaktualisierungen installiert werden können) beste Angriffsziele darstellen, die mit guter Wahrscheinlichkeit kompromittiert und für Angriffe auf weitere Systeme missbraucht werden können.

Die detaillierte Umsetzung ist im Sicherheitskonzept (s.u.) festzulegen.

Zum Inhaltsverzeichnis

Zusätzliche Anforderungen beim Outsourcing des Betriebes

Bei an eine Fremdfirma vergebenem Auftrag zum Betrieb der Appliance kommt erschwerend hinzu, dass die Kontrolle komplett an einen Externen abgegeben wurde. Eventuelle Probleme, die mit den Appliances entstehen, können nicht im Innenverhältnis, sondern müssen auf Grundlage des Outsourcingvertrages behandelt werden. Daher ist es essentiell, dass dieser Vertrag so gestaltet ist, dass er dies ermöglicht und an keiner Stelle den Sicherheitsmaßnahmen und den Konzepten des Auftraggebers zuwiderläuft.
Sofern mittels der Appliance personenbezogene Daten verarbeitet werden (wie z.B. auf Multifunktionsgeräten), ist ein Vertrag zu schließen, der die Anforderungen aus dem einschlägigen Datenschutzgesetz erfüllt. In Baden-Württemberg hat "der Auftraggeber […] den Auftragnehmer sorgfältig auszuwählen. Dabei ist besonders zu berücksichtigen, ob der Auftragnehmer ausreichend Gewähr dafür bietet, dass er die für eine datenschutzgerechte Datenverarbeitung erforderlichen technischen und organisatorischen Maßnahmen zu treffen in der Lage ist. Der Auftrag ist schriftlich zu erteilen. Dabei sind insbesondere Gegenstand und Umfang der Datenverarbeitung, die notwendigen technischen und organisatorischen Maßnahmen, etwaige Unterauftragsverhältnisse sowie die Befugnis des Auftraggebers festzulegen, dass er hinsichtlich der Verarbeitung personenbezogener Daten dem Auftragnehmer Weisungen erteilen darf.“ (§ 7 Abs. 2 LDSG).
Hier einige Punkte, die mindestens zu beachten sind:

  • Die im vorherigen Abschnitt genannten Anforderung sind zu beachten.
  • Die Frage der Haftung im Falle eines IT-Sicherheitsvorfalles ist zu klären.
  • Der Auftragnehmer ist zu verpflichten, Sicherheitsmaßnahmen nach dem Stand der Technik einzusetzen und diese zu dokumentieren.
  • Der Auftragnehmer muss die IT-Sicherheitsanforderungen des Auftraggebers erfüllen und neue Anforderungen, die sich z.B. aus aktuellen Bedrohungsszenarien ergeben, in kurzer Zeit umsetzen (Bsp: Ein eingesetzter Algorithmus zur Verschlüsselung wird gebrochen und ist nun trivial knackbar).
  • Der Auftragnehmer muss (ggf. gemeinsam mit dem Auftraggeber) ein Sicherheitskonzept entwickeln und vorlegen. Das Sicherheitskonzept muss mit dem Sicherheitskonzept des Auftraggebers kompatibel sein.
  • In Baden-Württemberg sind die Vorgaben des LDSG, insbesondere § 7 Abs. 2, zu beachten.

Zum Inhaltsverzeichnis

Sicherheitskonzept

Das Sicherheitskonzept zum Betrieb von Appliances kann als Erweiterung eines bestehenden Sicherheitskonzeptes oder als eigenständiges Konzept erstellt werden. Es dient sowohl als Referenz, wie welche Maßnahmen implementiert werden, als auch als Dokumentation nach innen und nach außen. Es muss so gestaltet sein, dass es wirtschaftlich und wirksam ist. “Wirtschaftlich” bedeutet dabei, dass der Einsatz der Mittel, um einen erfolgreichen Angriff durchzuführen, den Ertrag übersteigen muss, das Angreifen also uninteressant wird. Die wichtigste Messlatte ist dabei der Stand der Technik.
Das Konzept muss mindestens folgende Punkte beleuchten:

Allgemeiner Teil:

  • Dokumentation der IT-Infrastruktur, in die die Appliance eingebettet werden soll
  • Beschreibung der im IT-Verbund verarbeiteten Daten – hier genügt eine Klassifikation nach dem jeweiligen Schutzbedarf.

Spezieller Teil:

  • Beschreibung des Zwecks der Appliance – welche Aufgaben bzw. Funktionen soll die Appliance innerhalb des IT-Verbundes erfüllen.
  • Kommunikationsmatrix für die Appliance: Wer soll wie mit der Appliance kommunizieren dürfen?
  • Beschreibung der auf der Appliance verarbeiteten Daten – Welche Daten sollen wie an die Appliance übergeben, dort wie verarbeitet und von der Appliance weitergegeben werden?
  • Benutzerkonzept für die Appliance – Wer soll wie auf die Appliance oder den von ihr bereitgestellten Dienst zugreifen können dürfen?
  • Beschreibung der netzwerktechnischen Sicherheitsmaßnahmen – Welche Maßnahmen wurden getroffen, um die Kontrolle über die Kommunikation mit der Appliance zu behalten? (Siehe den nächsten Abschnitt).

Es empfiehlt sich, nicht nur ein Sicherheitskonzept für den Betrieb der Appliance zu erstellen, sondern jeweils für die gesamte IT-Infrastruktur. Das RUS-CERT hat hierfür ein Handbuch mit kompletter Prozessbeschreibung erstellt, das von Einrichtungen der Universität Stuttgart angefordert werden kann.

Zum Inhaltsverzeichnis

Wirksamste und wichtigste Maßahme: Netzsegmentierung

Da die Kontrolle über die Geräte nicht oder nur unvollständig erlangt werden kann, ist die bereits erwähnte Etablierung der vollständigen Kontrolle der Kommunikation der Geräte essentiell. Die Kontrolle kann nur erlangt werden, wenn jederzeit gesteuert werden kann, welche Kommunikationsverbindungen aufgebaut werden können. Die im vorangegangenen Abschnitt erwähnte Kommunikationsmatrix dient hier als Grundlage für die netztechnische Umsetzung.
Insbesondere bei Appliances wie Druckern und Laborgeräten, die nicht mit Systemen außerhalb der jeweiligen IT-Infrastruktur (i.A. das Institutsnetz) kommunizieren müssen, hat sich die Etablierung von abgeschlossenen Labor- oder Druckernetzen bewährt. Auch der Konfigurationszugang zu Switches und Routers wird oft in ähnlicher Weise realisiert. Hierbei werden meist VLANs eingesetzt, die zur OSI-Ebene 2 gehören und eine quasi-physikalische Trennung der Netze realisieren. Die Möglichkeit der Kommunikation zwischen verschiedenen VLANs muss explizit eingerichtet werden, voreingestellt ist keine Kommunikation möglich. Durch die entsprechende Konfiguration von Zugriffskontrolllisten kann die Kommunikationsmatrix minimal realisiert werden.
Bei neueren Appliances wie den Multifunktionsgeräten, die ggf. auch noch durch Externe gewartet werden, muss der Aufwand etwas größer getrieben werden: Je nach implementiertem Konzept müssen ggf. weitere VLANs, ACLs und/oder Bastionrechner eingerichtet werden, über die z.B. zentrale Aufträge verteilt werden können oder der externe Dienstleister auf die entsprechenden Schnittstellen zur Wartung der Systeme zugreifen kann.

Folgende Anforderungen muss die Netzsegmentierung mindestens erfüllen:

  • Die Zugriffsmöglichkeiten auf die Appliances müssen strikt auf die vorgesehenen Rechnersysteme und/oder Netze beschränkt werden. Insbesondere der direkte Zugriff aus dem Internet oder anderen Institutsnetzen (sofern nicht explizit vorgesehen) muss unterbunden werden.
  • Die Zugriffsmöglichkeit der Appliances auf die Systeme im Institutsnetz und/oder das Internet muss unterbunden werden.
  • Wartungszugänge müssen abgeschottet und minimiert werden (beispielsweise auf ein einzelnes oder einige wenige Systeme des Dienstleisters). Sie müssen überwachbar sein.
  • “Mehrwertdienste” müssen so gestaltet sein, dass sie in das Konzept der Segmentierungen passen.

Institute, deren Netzinfrastruktur durch das TIK betrieben wird, können sich an die Abteilung Netze und Kommunikationssysteme (NKS) wenden, um Unterstützung bei der Einrichtung von VLANs und/oder ACLs für Appliances (z.B. in Labor- oder Druckernetzen) zu erhalten. Institute, die ihre Netzinfrastruktur selbst betreiben, müssen diese selbst einrichten. Das RUS-CERT berät bei der Konzeption des Netzes und der Sicherheit, wenn dies erforderlich ist.

Zum Inhaltsverzeichnis

Aktualisierung

Die ergriffenen Maßnahmen sowie das Sicherheitskonzept müssen ständig auf Wirksamkeit geprüft und mit der sich laufend ändernden Bedrohungslage abgeglichen werden. Sofern erforderlich müssen sie aktualisiert werden.

Zum Inhaltsverzeichnis

Fazit

Der Betrieb einer IT-Infrastruktur ist und wird immer mehr zu einer Angelegenheit, die dem Betreiber Verantwortung auferlegt. Für Fahrlässigkeiten oder technische Unzulänglichkeiten, die zum Missbrauch von Teilen der Infrastruktur durch Unbefugte führen und/oder Dritte schädigen, muss sich der Betreiber verantworten. I.A. kann er eventuelle Ansprüche Geschädigter und eine daraus resultierenden Rufschädigung nur abwenden, wenn er nachweisen kann, dass die technischen Sicherheitsmaßnahmen dem Stand der Technik entsprechen. Da Appliances dem Betreiber meist nur eingeschränkte oder gar keine administrative Kontrolle einräumen, sind diese besonders zu sichern und es sind Maßnahmen zu ergreifen, damit sie nicht missbraucht werden können. Es ist größerer Aufwand zu treiben als bei “normalen” Rechnersystemen, die jederzeit auf einem aktuellen Stand gehalten und auf denen Sicherheitssoftware (z.B. Malwarescanner) installiert werden können.
Daher ist es essentiell, bei der Planung des Betriebes solcher Systeme äußerste Sorgfalt walten zu lassen, vollständige und nachvollziehbare Dokumentation anzufertigen und die Maßnahmen ständig auf Wirksamkeit zu überprüfen und zu aktualisieren.

Zum Inhaltsverzeichnis