Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Sicherheit beim ISP

Mangels Kapital und Personal bleiben Löcher ungestopft

Copyright (C) 11/1999 by Howard Fuhs


Wer ins Internet will, benötigt einen Internet Service Provider (ISP) und heutzutage wollen alle ins Internet, egal ob Unternehmen oder Privatperson. Gerade mit der Anbindung eines Unternehmens an das Internet ergeben sich nicht nur ganz neue unternehmerische Möglichkeiten, sondern auch neue Risiken tun sich auf. Um diese Risiken auf ein vertretbares Maß zu beschränken, sollten entsprechende Datensicherheitsmaßnahmen beim ISP vorhanden sein.

Wer erinnert sich noch an den November 1984, als Mitglieder des Chaos Computer Clubs eine Sicherheitslücke im Bildschirmtext-System der Bundespost ausnutzten, um von der Hamburger Sparkasse über Nacht und vollautomatisch knapp 134.000 DM auf das Clubkonto zu transferieren? Sowas nennt man heute E-Commerce! Der als BTX-Hack bekanntgewordene Vorgang wurde im ZDF heute-Journal zur besten Sendezeit ausgestrahlt und fand weltweite Aufmerksamkeit.

Vergleicht man nun die Technik von vor 15 Jahren mit den heutigen, wesentlich komplexeren und weltweit agierenden Netzwerken, stellt sich doch auch automatisch die Frage nach der Sicherheit, wenn es um heutige Dienste-Anbieter und Zugangsprovider geht. Damals war BTX ein "Spielzeug" für Computerverückte und stellte keinen allzu großen wirtschaftlichen Faktor dar. Trotzdem konnte man mit den Sicherheitslücken des Systems "Geld" verdienen, entsprechendes Know-How vorausgesetzt. Heute jedoch ist der Anschluss an internationale Netzwerke kein wirtschaftlich optionales Vergnügen für Technikverliebte, sondern vielmehr fester Bestandteil der wirtschaftlichen Interaktion zwischen Kunden und Unternehmen und eine immer größer werdende Anzahl von Unternehmen kann ohne Netzwerkzugang nur noch wenige Tagen überleben.

Was die Sicherheit im Internet anbelangt, sollten sich Internet Service Provider eigentlich an vorderster Front befinden, denn ihre Systeme stellen die erste Bastion bei Hackerangriffen dar. Doch wie kürzlich durchgeführte Tests aufzeigen, sind durch die Bank weg viele Systeme durch Sicherheitslücken unmittelbar angreifbar. Zum Testen der Systeme wurden altbewährte Mittel wie Satan (Security Administrators Tool for Analyzing Networks), Saint, der Internet Security Scanner ISS oder auch die CERT Advisories verwendet. Jeder Fachmann im Bereich Internet sollte sowohl die genannte Software wie auch die Informationen kennen.

Die Gründe für diese Angreifbarkeit sind vielfältig und sollen im Nachfolgenden kurz erläutert werden. Dies kann für Unternehmen auf der Suche nach einem ISP hilfreich sein, die Qualität im Sicherheitsbereich zu beurteilen.

Regionale ISPs sind oftmals nur kleine Unternehmen mit wenig Personal und geringer Kapitaldecke. Man sollte zwar nicht verallgemeinern, jedoch gab es in der Praxis Fälle, in denen sich ein kleiner ISP nicht einmal eine Firewall leisten konnte. Das ganze Rechnersystem war nur sehr rudimentär geschützt und man hoffte einfach nur darauf, dass schon nichts geschehen werde. In einigen Fällen waren auch keine Backup-Maßnahmen getroffen, wie ein zweiter Server für den Notfall, Plattenspiegelung oder gar Tape-Backups. Von weiterführenden und kostenintensiveren Maßnahmen ganz zu schweigen.

Was größere ISPs anbelangt, kann man zwar davon ausgehen, dass diese auf einem gewissen aktuellen Stand der Sicherheitstechnik sind, doch auch hier ergaben sich Probleme im Alltag. So wurde hier der Stand der Sicherheitsmaßnahmen oftmals über einen längeren Zeitraum eingefroren. Nötige Bugfixes von den Herstellern, zum Beheben von Sicherheitslücken, waren nicht eingespielt und die Sicherheitsmaßnehmen wurden keiner regelmäßigen Kontrolle unterzogen. Man reagierte praktisch erst dann, wenn etwas passierte und sich eine Sicherheitslücke im laufenden System auftat.

Die Qualität von Datensicherheitsmaßnahmen sollte anhand der nachfolgenden Stichpunkte überprüft werden:

Diese kleine Liste erhebt bei weitem nicht den Anspruch auf Vollzähligkeit und soll nur einen Überblick über den Fragenkomplex geben.

Was den sicheren Zugang zum Internet anbelangt, müssen einige ISP noch ihre Hausaufgaben machen. Darüber soll aber nicht vergessen werden, dass auch Unternehmen, die sich über einen ISP an das Internet anschließen, gewisse Sicherheitsvorkehrungen zu treffen haben. Oftmals fehlen hier grundlegende Schutzmaßnahmen wie ein wirkungsvoller Virenscanner. Es reicht heute nicht mehr aus die Sicherheitsthematik nur auf den Sevice Provider abzuschieben. Sicherheit muss beim ISP beginnen und bis zum Endanwender konsequent eingesetzt werden.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 11/1999 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher