3. Hard- und Orgware

Hard- und Orgware zur Informationssicherheit
Verhütung ohne Pille
Technische Maßnahmen
Organisatorische Maßnahmen
Server-Sicherheit und RAID-Systeme
Manager ohne Nadelstreifen
Rechner im Hochsicherheitstrakt
Hard/Org/Software- und kombinierte Methoden {als Schalenmodell darstellbar}
Andere Einteilung: vorbeugende, überwachende, wiederherstellende Maßnahmen
Technische Maßnahmen
Bauliche Vorkehrungen
Umzäunungen
Bunker, Datenschutzhäuser, Panzerglas
Raumgliederung z. B. in Sicherheitszonen 1 - 4
Antistatik-Matten
Klimatisierte, ggf. feuerfeste Aufbewahrung
Sicherungstechnik
Zutrittskontrollsysteme: Schließanlagen (oft Chip/Magnetkarten), mechanische / elektrische / elektronische Zugangssicherungen,
Tastatur- und Geräteschlüssel, Chipkarten (Smart Cards)
Alarmanlagen, Einbruchmelder (mit Fernübertragung)
Rauch/Brand-Warn/Melde-Systeme, Feuerlöschsysteme, Löschlafetten,
geeignete Feuerlöscher (möglichst gasförmige Löschmittel, da bei pulverförmigen Folgeschäden durch Verkrustung).
Flutungsanlagen (evtl. nur Doppelbodenbereich im RZ).
Sonderräume zum Schutz gegen Feuer/Wärme, Wasser/Feuchtigkeit, elektromagnet.
Strahlen, kompromittierende Abstrahlung
Hardware-Schlüssel zum Softwareschutz (an Bus anschließen)
Schutz gegen Stromausfälle:
Stufe 1: Gebäude (Leitungsschnittstellen nach außen)
" 2: Hintergrundgeräte (zentrale Rechner/Server)
" 3: Endgeräte
Überspannungsschutzgeräte (auch einfache, z. B. in Mehrfachsteckdosen)
geeignete Verkabelung und Rohrführung (zugriffs/abhörsicher, EMV = elektromagnetische
Verträglichkeit), ggf. Druckluftkabel (erkennen Anzapfversuche)
Batterie-Backup-Systeme gegen kurzzeitige Stromausfälle
Notstromversorgung / unterbrechungsfreie Stromversorgung
(SSV = Sonderstromversorgung / USV, engl. ups = uninterraptable power supply)
für 5 min. bis zu mehreren Stunden, mit zunehmender Intelligenz:
Gleich- und Wechselrichter, Batterien, Bypass;
gegen Ausfälle und Stromschwankungen;
Umschaltung in weniger als 10 msec
Unterschiedliche Leistung (5 VA – 100 kVA) und Preise (80 – 23000 €, PC ca. 730 €).
Backup-USV blockieren Spannungsspitzen und übernehmen kurzzeitig die Stromversorgung, geben Signal an Computer: ggf, shutdown (ab 200 €)
"off-line-USV" filtern im Normalfall Strom nur, schalten bei Fehlern um, ersetzen bei Ausfällen Sinuskurve durch Rechteckspannung;
Line-Interactive-USV mit Spannungsreglern, arbeiten bei Netzausfall wie Backup-USV mit Akku und Wechselrichter
"on-line-USV" glätten auch Ungleichmäßigkeiten: interaktive oder Dauerwandler:
Wechsel- zu Gleichstrom zum Akkuladen und Wechselrichter für stabile Sinuskurve, unabhängig vom Netz, zusätzlich Bypass
am besten Doppelwandler (für Über- und Unterspannungen)
Mehrere Kommunikationsstufen USV - EDVA
Wichtig bei UNIX, um Integrität zu erhalten; evtl. automatisches Herunterfahren bei längeren Ausfällen und später
ASR = Automatischer System Restart.
Sicherung gegen elektromagnetische Abstrahlung
Kompromittierende Abstrahlung von Geräten und Leitungen
Gegenmaßnahmen:
Aufwendige Schirmung von Geräten/Arbeitsplätzen/Arbeitsplatzgruppen (durch Kabinen) und
ggf. ganzer Rechnerräumen (teuer und kompliziert: auch Rohre/Leitungen auftrennen; sorgfältige Arbeit nötig:
z. B. kann Nagel in Wand als strahlende Antenne wirken),
HF-Zellen
Störung/Überlagerung der Abstrahlung
Lichtwellenleiter, abgeschirmte Leitungen
Verlagerung sensibler Geräte ins Gebäudezentrum
Weitere Möglichkeiten
Redundante Bereitstellung von Hardware
Melder von Zustandsänderungen:
Bewegungsmelder, Fenster/Türkontakte, Glasbruchmelder (arbeiten mit Ultra-Schall)
Aktenvernichtung:
Ziel: unlesbar machen
Je nach Anforderung Streifen- oder Partikelschnitt unterschiedlicher Länge und Breite.
5 Sicherheitsstufen (allgemeines, internes, vertrauliches, geheimes, hoch geheimes
Schriftgut: ab 3 Partikelschnitt) nach DIN
Datenträger physisch zerstören
Steigerung der Haltbarkeit von Datenträgern:
CD/DVD: gute Rohlinge, gut lagern (konstant 25° , 50 % Luftfeuchte),
nicht zerkratzen (vor allem Oberseite: Reflexionsschicht!),
DVD-RAM benutzen (wegen Defektmanagement): schlechte Sektoren werden ausgeblendet
Festplatten werden mit FP-Selbsttest SMART überwacht (self-monitoring analysis and reporting technology),
zeichnet 11 ID-Messwerte auf, die von Diagnose-Tools (z. B. GSmartControl) ausgewertet werden
P3P (platform for privacy preferences):
WWW-Standard zum Austausch von Informationen zur Datensicherheit )
Flash-Speicher: nicht zu viele Schreib/Lösch-Zugriffe,
SLC (single-level-cell) besser als MLC (multi-level-cell)
Sicherheitsgrundfunktionen der Hardware
Prüfbit bei allen internen Übertragungen (parity, erkennt keine 2-bit-Fehler)
Speicherschutz: passt Schutzschlüssel (Bitmuster im Prozeß) ins Schloß (Bitmuster im Speicherbereich)?
allgemein: fehlererkennende und -behebende Verfahren, z. B.
ECC (error checking and correction): ordnet mehrere Prüfbits einem Datenblock zu
(Auswahl der sich überdeckenden Teilblöcke nach Hamming, 1950), erkennt alle 1/2bit- und 70% der 3-bit-Fehler, hauptsächlich für Speicherung;
CRC (cyclic redundance check, Prüfsumme aus Generatorpolynom), hauptsächlich für Übertragungen, z. B. in HDLC
(high level data link control, OSI-Schicht 2);
wiederholtes Ausführen von Abläufen als triviales fehlerbehebendes Verfahren (viel praktiziert, da Fehler oft zunächst
nur intermittierend auftreten);
zweite Grundmethode: Korrektur aus redundanten Informationen.
CD:
Fehlerkorrektur I aus äußerer Q- und innerer P- Parität (je 392 Byte) für jedes Frame
“
II: Q (172 Byte) + P (104 Byte) je Sektor
DVD: innere (208 Reihen x 10 Byte) und äußere Parität (16 Reihen x 172 Byte) je Block
TPM-Chip (trusted platform module der Firmengruppen TCPA bzw. TCG, 2003 Version 1.2) auf Motherboard:
prüft mittels Checksummen Hard/Software-Komponenten, enthält einen privaten Schlüssel,
o erkennt beim Booten mittels Prüfsumme BS-Manipulationen,
o testet und attestiert mittels Endorsement-Key (vom Hersteller generiert, 2048-bit-Verschlüsselung) alle RechnerKomponenten und zeigt Veränderungen an
o aus Endorsement-Key können beliebig viele attestation identity keys zur anonymen Authentikation gegenüber Dritten
generiert werden
o kann mittels private key verschlüsselten Speicherbereich (Nexus) definieren
TPM 1.2 von Infineon (Dresden) 2009 von der TCG und der britischen Regierung zertifiziert!
Hochsicherheitshandy („Merkel-Phone“): Smartphone Simko 3 der Telekom auf Basis Samsung Galaxy S3 und
Blackberry Z10,
vom BSI für die unterste Vertraulichkeitsstufe VS-NfD zugelassen, haben spezielles Betriebssystem mit Verschlüsselung der Telefonate und Daten (Kryptophone)
Orgware zur Datensicherheit
Oft als Ergänzung der Hard/Software-Methoden
Technologische und organisatorische Aspekte
Ablauforganisation
besondere Vorsorge bei System- und Softwareaktualisierungen
(ausreichende Tests und Schulungen, aktenkundige Belehrungen)
besonderes Risiko bei Eigenentwicklungen (genau dokumentieren!)
Arbeitsordnungen, Betriebsanweisungen, Handbücher zur Datensicherheit
Verhaltensmaßregeln im Havariefall (Katastrophenplan!)
Verhalten im Schadensfall: keine Überreaktionen
(sonst Folgeschäden u. U. größer als der eigentliche Schaden)
Zuständigkeits- und Vertretungsplan, Gewaltenteilung
Ordnungsmäßigkeitsprüfungen (z. B. im RZ),
Stichproben (aber Revisor darf nur Leserecht haben!)
Raumschutz: Wächter, Pförtner, Ausweissysteme
Protokollierungen, Quittierungen
CERTs (computer emergency response teams)
Datenträgerverwaltg.
Datensicherungsplan genau schriftlich festhalten
(z. B. für Rechnernetz zentrale Datenspeicherung auf File-Server, tägliche Sicherung dieser Daten,
wöchentliche Komplettsicherung der Server-Daten und -Programme (ca. 5 Generationen).
Archivierungsordnung, speziell für Langzeitarchivierungen (z. B. getrennte Datenbanken für Akten, Bilder, Verknüpfungen zur Suche);
Festplatte als bevorzugter Datenträger zum schnelleren Umkopieren.
Auslagerungen von Kopien in andere Gebäude
Entsorgung
Online-Speicherdienste nutzen
Havarie-Plan: mit genauer Festlegung der Verantwortlichkeiten
1) Sofortmaßnahmen im Notfall: Benachrichtigungsplan (Chefs, Feuerwehr, Ärzte, Polizei mit Telefon-Nummern/Adressen), Strom abschalten,
Alarm auslösen, Evakuierung, erste Hilfe, ggf. Löschbeginn, Schadensort sichern, erste Untersuchungen einleiten
2) Organisatorische Vorbereitung des Personals (Unterweisung, Arbeitsgruppen definieren)
3) Maßnahmen für alternativen Rechenbetrieb (bei Havariepartner mit ähnlichem Umfeld, evtl. bei speziellen Firmen
4) Wiederanlaufplanung (Wiederherstellung der Arbeitsfähigkeit, oft ebenfalls mit Hilfe von Desaster-Recovery-Unternehmen)
besonders wichtig: Kommunikationsleitungen für Meldungen/Anforderungen (USV!)
Weitere Beispiele:
+ Zentrale Drucker und Bildschirm am Arbeitsplatz gleichzeitig bewachen
+ Rechte einschränken, z. B. Benutzerprofile, closed-shop-Betrieb
+ Befugnisse zeitlich begrenzen (Trainee z. B.)
+ 4-Augen-Prinzip: z. B. ISSO (information system security officer) und Systemadministrator sind veschiedene Personen
mit unterschiedlichen Vollmachten und Befähigungen
+ eicar-Verhaltenskodex zur Virenbekämpfung:
(european institute for computer anti-virus research e. V.)
- keine Panik-Mache ("Geschäft mit der Angst")
- keine unhaltbare Werbung ("alle Viren werden erkannt")
- keine Informationen zur Virenerzeugung weitergeben (außer an in der Virenforschung
tätige Fachleute)
+ lange Zeit Pauschal-Aufschläge auf Geräte, die für Kopien geeignet sind (ab 1. 1. 08 nicht mehr)
+ Verbote: z. B. ist das Kopier-Tool AnyDVD von SlySoft in Deutschland verboten
+ Anti-Botnetz-Zentrale
+ European Cybercrime Center (EC3) mt 35 Mitarbeitern
+ Nationales Cyber-Abwehrzentrum im BSI (2011 eingerichtet, 10 Mitarbeiter):
schnelle und umfassende Bewertung von Angriffen aus dem Internet (Täterbilder, Angriffsformen, Vorfälle,
Schwachstellen), Handlungsempfehlungen;
Nationaler Cyber-Sicherheitsrat (Regierung + Wirtschaft)
+ Jugendschutz bei der Computerarbeit:
Zeitlimits
Nutzung von schwarzen und weißen Programmlisten
auf Altersfreigabe bei Spielen achten
+ Datenschredder, z. B. Gutmann-Methode (35 mal überschreiben; veraltet,da bei heutigen Festplatte einmal genügt)
Server-Sicherheit und RAID-Systeme
Grundprinzipien:
- Unterhalten von Ersatzlösungen (Fallback)
- Sicherheit durch Redundanz
Plattenspiegelung: Original- und Spiegel- bzw. Schattenplatte
Systemplatten: Spiegelroot
Korrekturen ggf. in Echtzeit ("Schutzengel"funktion)
mirroring (mehrere Platten an einem Controller)
oder
du- bzw. multiplexing (über mehrere Controller)
Standby: Replikation
Cold-Standby: Reserve-Rechner ohne andere Aufgaben
Hot-Standby: Reserve-Rechner auch mit eigenen Aufgaben,
übernimmt die Aufgaben des Hauptrechners bei dessen Ausfall
(muss oft erst als Primärserver geschaltet werden: kein online replacement - ORL)
Server-Cluster mit gemeinsamen Platten (dann ohne Umschaltung), möglichst an getrennten Standorten
Standby-Rechner ggf. in anderem Subnetz, dann HSRP (hot standby router protocol) nötig.
mission critical support [Sun]: Rechner arbeitet auch bei Ausfall wichtiger Teile weiter
Hochverfügbarkeitssysteme als Cluster
Verfügbarkeit A = ( I / S ) * 100 [%] , wobei I die Ist- und S die Soll-Betriebsdauer ist
( z. B. 99 %, d. h. Ausfall < 84 h/Jahr ), auch Wartung ist hierbei Ausfall
Hochverfügbarkeit von 99 - 99,995 % (87,6 – 0,05 h Downtime im Jahr): HA (high availability)
Fehlertolerant ab einer Verfügbarkeit von 99,999 % („fünf Neunen“) bzw. einer Downtime von 0.09 h (ca. 5 Min.) im
Jahr:
permanent verfügbar (CA = continuous availability)
Aktiv-/Passiv- oder Aktiv-/Aktiv-Cluster (hot- bzw. cold-standby)
Cluster-Steuer-Software überwacht Rechner mittels Statusdiagrammen und entscheidet:
Umschaltung (failover) mit extrem niedrigen Umschaltzeiten.
Auch Übernahme der Filesysteme (Konsistenz herstellen!) und Prozesse
(takeover, ohne neu starten zu müssen [nur bei voller Server-Redundanz möglich]).
Basis: Datenbank mit Filesystem (NFS oder Journal-FS besser als UNIX wegen fsck!) und
Server-IP-Adressen (IP-Impersonisation bei Server-Wechsel).
Distributed lock-Manager über Clusterknoten hinweg
Konfigurations- und Administrationstools
Wizards (Zauberer) zur Unterstützung
Client-Zugriff über virtuelle Netzwerk-Adressen
Häufig Anpassung der Anwender-Software nötig (intelligente Clients!)
Beisp.: OBSERVE (SNI, objektorientiert, ungespiegelte Cluster-Console),
RMS (reliant monitor software, MC/ServiceGuard (HP), ptx/Cluster (Sequent),
HA-Cluster (Sun), MSCS (microsoft cluster server, Windows NT, rudimentär)
+ Windows: enterprise edition (Cluster) über FP-Manager einrichten
Trusted Computing: NGSCB (next generation secure computing base, Palladium, ab 2004) kann
mittels TPM gesicherten Bereich (Sicherheits-Kernel, „Nexus“) für sichere Anwendungen (mittels Programm-Prüfsummen) schaffen;
auch remote-attestation möglich,
evtl. zugleich für DRM = digital rights management (Lizenzschutz)
+ NOVELL NetWare: (C2/E2 für Server und Clients)
SFT (system fault tolerance) I: doppelte Buchführung für Dateien und Verzeichnisse: Schutz gegen Headcrash.
SFT II: FP spiegeln/duplexen (primary und secondary FP), auch Drive-Duplex möglich
(beide FP an versch. Controllern)
SFT III: 2 Server (ab NetWare 4.1) mit Netzverwaltung, keine Umschaltzeit (downtime)
Hot Fix (automatische Umlagerung aus fehlerhaften Bereichen), Transaktionsverfolgung,
Auditing (Protokollierung aller Zugriffe, auch der des Supervisors! in paßwortgeschützten
Dateien) für eingeschaltete FP-Bereiche, Auswertung nur durch Auditor möglich;
interne Checks der Verbindungen nach RSA;
Kennwort wird nicht übertragen [später: Authentikation mittels Signaturen]
Disk Arrays:
(RAID = redundant array of independent disks = fehlertoleranter Stapel unabhängiger Festplatten;
anfangs i = inexpensive = billig; [raid heißt Raub])
Voraussetzung für zuverlässigkeitskritische Einsatzgebiete (mission critical applications)
Datenredundanz durch Verbund von Datenträgern zu einem logischen Datenträger bzw.
virtuellem Laufwerk (paralleles Schreiben eines gesplitteteten Blocks auf mehrere Platten,
d. h. weniger Kopfbewegungen, d. h. schneller),
z. T. mehrfaches Schreiben der Daten (Redundanz).
1987 Patterson/Gibson/Katz (Berkeley):
„A case for redundant arrays of inexpensive discs (RAID)“ mit Definition von 5 Generationen.
Hauptziel zunächst: schneller und billiger Massenspeicher.
RAB (RAID advisory board aus 50 Firmen, seit 1992) vergibt Zertifikate für RAID-Systeme.
Generationen:
0: Datenstrip[p]ing/Interleaving jedes Datenblocks parallel auf mehreren Festplatten ohne Redundanz;
schnell, aber Gefahr von Datenverlusten (unter Umständen unsicherer als Einzelplatte, die heute meist mit ECC
(error correction code) arbeiten;
schon Totalverlust bei Ausfall einer RAID-Platte, auch für PC.
1: Plattenspiegelung (Mirroring: sicherer, aber langsamer als Einzelplatten, teuer);
meist als 1/0 bzw. 0+1: striping + mirroring (sehr teuer), auch für PC
2: striping + ECC, z. B. 10 Datenplatten + 4 ECC-Platten (nur Vorstufe von 3)
3: striping with parity, also ähnlich 0, aber zusätzlich Parität quer über die (4 + 1) Platten (Hamming-Code) auf einer
zusätzlichen Platte):
bei Ausfall einer Platte Rekonstruktion durch Rückrechnung möglich).
Schnelles Lesen (wie 0), Schreiben etwas langsamer (wegen Parität), nur eine Paritätsplatte [ebenfalls überholt]
4: 3 mit großem striping-Faktor (große Blöcke), für Server, praktisch ausgestorben (Vorteile nur bei großen Dateien)
5: striping für Daten und Parität: Blöcke und Prüfsummen werden auf 5 (mindestens 3) Platten verteilt.
Ausfall einer Platte wirkt sich nicht aus, bei kleinen Blöcken (Datenbanken) schnell,
bei großen beim Schreiben langsam (wegen Berechnung der Parität, Beschleunigung durch Caches: bei Crashs
dadurch aber unsicherer);
Rekonstruktion bei laufendem Betrieb möglich, ältere Stände und bei Ausfall zweier Platten nicht rekonstruierbar;
teuer (spezielle Controller),
nur für Server
6: 5 mit doppelter und verteilter Speicherung der Parität; Ausfall von 2 Platten wirkt sich auch nicht aus
7: intelligente Controller, bis 9 Festplatten, Zugriff von bis zu 12 Rechnern, Cache, proprietär
10: Kombination 0 + 1, sehr schnell, benötigt 4 Festplatten
30: 0 + 3 (wenig sinnvoll)
53
Vorstufe: JBOD (just a bundle of disks): logische Festplatte aus mehreren physischen Festplatten,
die einzeln ohne Datenstriping beschrieben werden
Volks-RAID von Intel: RAID-Matrix auf Mainboard, entspricht 10, aber auf 2 Festplatten mit je 2 Partitionen
(Mirror-Bereich auf beiden FP, Rest Stripe, Blockgröße einstellbar im RAID-BIOS)
1997 neue RAB-Klassen (21): fehlertolerant (FT) bzw. -resistent (FR) gegen Ausfall von Platten, desastertolerant (DT)
gegen Ausfall von Plattengruppen,
mit mehreren möglichst geografisch getrennten Zonen ( > 1 bzw. > 10 km), Zugang auch bei Wartungsarbeiten und
Stromausfall gestatten
(+ ; ++ , wenn mehrere Plattengruppen ausfallen dürfen).
Schnelle RAID-Systeme aus SSD-Platten.
RAID nicht sicherer als andere Dumps, aber kürzere Ausfallzeiten.
Zusätzliche Dumps sehr ratsam (da bei RAID Rekonstruktion nicht immer leicht und wegen Virengefahr).
Sorgfältig auswählen (Sicherheit, Notwendigkeit, Preis).
RAID-Controller + SCSI, z. T. im Chipsatz des Boards (z. B. auf MSI-Board K8N Neo2 Platinum mit nForce-3-Chipsatz;
Festplatte an S-ATA-Port [1 – 4] anschließen; z. T. spezielle S-ATA-Stromstecker nötig), Treiber in WinXP von Diskette einbinden,
RAID-Konfiguration im BIOS einstellen: Level und Blockgröße (4 Kbyte – 2 Mbyte).
Teilweise auch Hardware mehrfach (Redundanz): Controller oder zusätzlich leere Platte, die nur im Notfall benutzt wird
[teuer];
auch arrays aus Bändern oder opticals disks bekannt.
Auch reine Software-Lösungen (Windows XP für 0/1/5, Linux über /etc/raidtab ) [billig, aber langsam].
HP Auto RAID entscheidet automatisch zwischen 0/1 und 5.
© kd rieck
febr. 2015