Sicherheit durch Updates

Wir haben bei uns im Support immer mal wieder Kunden, mit denen wir das Thema Sicherheit mehr oder weniger freiwillig diskutieren - und zumeist dann auch die damit ganz konkret verbundenen Folgen.

Wir haben es dabei vor allem in den Unternehmens-Bereichen Hosting und Access regelmässig mit einer Vielzahl von unterschiedlichen Fällen und Problemstellungen zu tun: Mit Trojanern und Viren infizierte per DSL angebundene Arbeitsrechner oder Unternehmensnetze von welchen Spam verschicken wird sind da noch eher die harmloseren Fälle - bei infiltrierten Servern mit meist mindestens vierstelligen Kosten hört der "Spaß" dann aber meistens auch kundenseitig auf. 

Grundsatz: Wer einen Rechner - egal ob als Workstation, Server oder für spezielle Dienste - betreibt und diesen ans Internet anschließt, muss sich auch über dessen Sicherheit nicht nur mal Gedanken machen - sondern das hoffentlich erstellte Sicherheitskonzept auch ständig leben und umsetzen. Und sofern von einem solchen per Internet erreichbaren Rechner im Serverbetrieb dauerhaft Dienste nach außen angeboten werden, gilt dies selbstverständlich nicht nur für den Server als ganzes oder vom Betriebssystem her gesehen, sondern auch für alle darauf installierten Server-Dienste.

Access und Hosting: Ob Heim-System oder Server im Datacenter

Es spielt dabei auch überhaupt keine Rolle, ob ein oder mehrere Rechner über einen Router (z.B. Fritzbox ist weit verbreitet) via DSL oder VPN-Tunnel an das Internet angebunden werden und gar keine Serverdienste betrieben werden, ob es sich um einen beispielsweise in unser Rechenzentrum untergestellten Server handelt, es ein angemieteter realer Root-Server oder ein in der Cloud betriebener virtueller Server (der sich ganz wie ein realer verhält) handelt.

Grundsätzlich ist jedes IP-fähige Gerät, jeder Rechner und selbstverständlich jeder Server gefährdet. Dazu kommt jede Software-Applikation und Anwendung, die auf jedem einzelnen Gerät betrieben wird.

Es hilft dabei auch nicht, sich auf den eingesetzten und vorgeschalteten Router samt ggf. vorhandener Firewall zu verlassen. Klickt ein Mitarbeiter auf einen infizierten Anhang in einer eMail - bringt eine vorgeschaltete Firewall am DSL-Anschluss in der Regel wenig, da der Angriff bereits hinter der Firewall, sozusagen aus dem Inneren, stattfindet. Umgekehrt bringen Virenscanner auf allen Workstations nichts um Key-Logger zu verhindern (also das Mitschneiden von Tasten-Drückem um an Kennwörter zu gelangen), wenn der Router an sich infiltriert wurde. Auch ein Router ist nur ein Computer und kann Sicherheitslücken usw. enthalten.

Auch wer einen im Internet erreichbaren Server betreibt - egal ob angemietet, gekauft, bei sich inhouse-stehend per DSL angebunden oder im Datacenter in professioneller Umgebung - sollte sich NICHT auf vorgeschaltete Firewalls, Mechanismen in Betriebssystemen usw. verlassen oder sich sonstwie in Sicherheit wiegen. Selbstverständlich ist eine Firewall ein MUSS und ein wichtiger Baustein im Sicherheitskonzept. Eine Firewall schützt aber überhaupt nicht, wenn auf einem Webserver (z.B. Linux Debian mit Apache, PHP und mysql) veralterte Software zum Einsatz kommt.

Wer regelmäßige Updates, also die Installation von den Distributionen und Herstellern bereitgestellter Updates, unterlässt, kann ab einem bestimmten Moment die Firewall und alle weiteren Massnahmen eigentlich auch gleich mit runterfahren. Selbst aber wenn Betriebssystem, Webserver, PHP und mysql regelmässig geupdated werden - reicht eine Sicherheitslücke in einem installiertem PHP-Script aus um den gesamten Server erneut zu gefährden und sämtlichen anderen Massnahmen zu nichte zu machen. Merke: Das Gesamtsystem ist immer nur so stark, wie das schwächste Glied in der Kette.

Desto verbreiteter, desto gefährdeter

Besonders gefährdet sind vor allem Systeme und Software-Komponenten, welche sich einer gewissen Verbreitung erfreuen. So gibt es unter Mac-Systemen naturgemäß viel weniger Viren, Trojaner und Root-Kits als unter Windows- und Linux-Systemen, einfach weil die Verbreitung viel geringer ist - und nicht (alle Apple-Jünger werden mich nun steinigen) weil Mac's oder Software viel besser und sicherer sind als die Lösungen anderer Hersteller. So ist es dann auch kein Wunder, wenn Angriffe immer wieder auf weit verbreitete Software-Lösungen stattfindet: Wir haben in den vergangenen Jahren im Support Angriffe auf PHPBB-Foren erlebt, genauso wie auf Webseiten auf denen bekannte und gängige CMS-Systeme wie Typo3, Wordpress und Jomla zum Einsatz kamen sowie auch auf TK-Anlagen mit Software-Lösungen von Asterisk, Astimax und einigen anderen.

In 100% aller Fälle stellte sich nach Analyse eine veralterte Software-Installtion und -Pflege heraus, also schlicht menschliches Versagen respektive einfache Schludrigkeit, oft gepaart mit einer Portion Naivität und Unerfahrenheit des Eigentümers / Betreibers - womit ausdrücklich nicht wir als Provider gemeint sind ! Dennoch sind sind auch wir als Provider in der Pflicht, Bewußtsein und Aufklärung zu schaffen - deshalb auch dieser Blog-Beitrag.

Wenn es passiert ist: Folgen beim GAU

Die unmittelbare Folge im Angriffs-Fall sind oft zunächst instabile Systeme wie z.B. abstürzende Rechner und Server, crashende Dienste oder schlicht stark ausgelastete Systeme. Oft sind dies auch Indizien für laufende oder sich abzeichnende bald erfolgreiche Angriffe. Man sollte von daher alle "nicht normalen Anzeichen" ernst nehmen und den Ursachen stets auf den Grund gehen - was natürlich im Einzelfall auch mal mit einigen Stunden Aufwand und damit Kosten verbunden sein kann.

Es gibt aber auch Fälle, in denen ein Angriff bereits erfolgreich war und man zunächst gar nichts bemerkt: Man arbeitet auf der eigenen Workstation ganz normal weiter, die Webseiten vom eigenen Server kommen wie immer - tja, bis zum Tag X wo dann das böse Erwachen kommt. Auch schon alles dagewesen.

Ich möchte hier keine Angst und Schrecken verbreiten, dennoch möchte ich mal einige exemplarische und mögliche Folgen schildern. Alle nun aufgezählten Fälle sind real bereits bei Kunden passiert, stammen also durchweg aus der Praxis:

  • Kunde mir Root-Server betreibt einen Webserver mit PHP + Apache sowie mehreren Webseiten / Homepages. Zum Einsatz kommenen verschiedene PHP-Software-Lösungen wie PHPBB, Jommla und Wordpress. Der Server wird zunächst instabil, stürzt zunächst sporadisch und dann wöchentlich ab und muss rebootet werden. Bereits dabei sind die Websites für einige Minuten bis Stunden offline - wird der Server als Agentur betrieben gibt es an dieser Stelle meistens die ersten erbosten Kunden, vor allem wenn der Server nicht in einer Überwachung ist und sowas dann vorzugsweise an Wochenenden passiert. Wir alle kennen ja den 1 Mio-Euro Kunden oder -Auftrag, der just im Moment des Stillstandes gerade nicht zustande kam, oder ? ;) Noch peinlicher wird es aber, wenn dann Startseiten von einzelnen Homepages ausgetauscht werden (beliebt sind dann Seiten mit ausländischen Schriftzeichen) und / oder über diese Websites Viren (z.B. durch manipulierte Bilder) verbreitet werden. Dann bekommen es auch die Kunden der Kunden mit. Wenn dann 10 Stunden Fehlersuche und Analyse durch Experten und Techniker dazu kommen samt Neuinstallation des Servers, sorgfältige Migration von Daten - sind die bei dreistelligen Stundensätzen schnell vierstellige Kosten noch das kleinste Übel. Das läst sich nicht steigern ? Doch: Solange nur der eigene Server betroffen wird, ist das eine Sache. Werden von dem Server die nächsten Server angegriffen und lahmgelegt, können ganz schnell weitere Haftungsfragen akut werden. Dieses Szenario haben wir eigentlich ziemlich regelmässig, sowohl im Hosting-Bereich als auch im Access-Bereich (wenn z.B. Server im eigenen Haus an einer DSL-Leitung betrieben werden usw.).
  • Kunde mit einem DSL-Anschluss betreibt ein ganz normales Netzwerk mit mehreren Rechnern an einem DSL-Anschluß - und fängt sich einen Virus / Trojaner / Wurm ein. Hier können sehr unterschiedliche Dinge in Folge passieren: Z.B. können von einem solchen Rechner Spam-eMails verschickt werden - wodurch möglicherweise die DSL-Leitung in Folge stark verlangsamt wird und andere Dienste wie Internet-Telefonie massiv gestört werden. Wir erhalten dann möglicherweise von Dritten beschwerden über die Spam-eMails - was noch alles harmlos ist. Schlimmer wird es, wenn dann beim Homebanking oder anderen Anwendungen (ebay, paypal, amazon-shopping usw.) Passwörter mitgelesen werden und munter eingekauft und transferiert wird. Und eine zivil- und strafrechtliche Komponennte bekommt sowas spätestens dann, wenn der eigene Rechner zur Drehscheibe für illegale Musik, Filme, pädophile oder sonstige Gruppen und Aktivitäten wird und so nette Menschen mit Durchsuchuntsbeschluß vor der Tür stehen. Dann heißt es möglicherweise "Bye bye Hardware" und nervenstarke Ausdauer bei den monatelangen folgenden Briefwechseln der Anwälte zu haben.
  • Kunde betreibt eine TK-Anlage (z.B. Asterisk, Astimax, Swyx oder jede andere verbreite Software-Lösung) - die natürlich auch via SIP und ggf. IAX-Protokoll erreichbar sein soll. Telefonie über das Internet ist eine ganz tolle Sache - vor allem wenn man als Angreifer auf hundert-tausende von Servern im Internet zurückgreifen kann (egal ob im Rechenzentrum oder zu Hause via DSL-angebunden stehend) und eine Vielzahl von Systemen nicht regelmässig aktualisiert wird, also früher oder später ganz automatisch öffentlich bekannte Sicherheits-Lecks beinhaltet. Was kann passieren: Naja, mal abgesehen davon das möglicherweise Gespräche belauscht werden können, können im schlimmsten Fall fünf bis sechsstellige Euro-Beträge für Telefonverbinden anfallen. Gerne wird in solchen Fällen in Exoten-Länder telefoniert (z.B. Asien, Afrika, Karibik u.v.a.) - und nicht mit 1-2 Gesprächen sondern in rauhen Mengen was die Anbindung, der Tarif usw. hergibt. Auch 50 gleichzeitige Gespräche mit Kosten von 30 Cent pro Minute sind dabei denkbar. Das sind in der Minute 50*0,80 Cent = 15 Euro / Minute = 900 Euro / Stunde. Wenn dann Freitag Abends gestartet wird und es nur ein Wochenende durchläuft - kann sich ja jeder selber ausrechnen was dann passiert und ab welchem Betrag im zweifelsfall Insolvenz angemeldet werden muss. Wir als Anbieter haben, um auch unsere Kunden zu schützen, bereits diverse Massnahmen getroffen. So bieten wir unter anderem im Telefonie-Bereich Neukunden ausschließlich nur noch Prepaid-Tarife an, so daß eine Deckelung der maximalen Kosten vorhanden ist. Aber es soll ja auch Kunden geben, welche mehrere SIP-Provider und ggf. noch ISDN-Karten in den TK-Anlagen haben - ist jeder ausgehende Port und Provider also kostentechnisch zu 100% nach Oben gesichert ?

Diese Fälle hatten wir zum Teil mehrfach in den vergangenen 10 Jahren in den unterschiedlichsten Ausgestaltungen und Wirkweisen. Meistens - zumal es manchmal auch um größere Euro-Beträge geht bis ein System wieder hergestellt ist - stellt sich dann die Frage nach der Schuld: Wer hat's verbockt ? Dies ist nicht immer einfach klärbar und Bedarf nicht selten entsprechender aufwendiger Analysen. Meistens ist es am Ende aber klar, wenn man sich die Verantwortungsbereiche klar macht: Hat man beispielsweise einen Managed-Root-Server, bei dem wir als Provider uns um Betriebssystem- und Serverdienste-Updates sowie die Konfiguration und Überwachung von Diensten wie Firewall, z.B. Apache, Mysql, PHP u.a. kümmern - und der Kunde auf diesem Webseiten z.B. unter Typo3 betreibt die von ihm installiert und gewartet werden. Wird das System erfolgreich infiltriert, muss man in der Analyse schauen wie der Angriff genau gelaufen ist und was die Ursache war: Eine drei Jahre veralterte Apache-Software und wir als Provider wären Schuld, da wir unseren Vertrag "Managed Server" in unserem Verantwortungsbereich nicht erfüllt hätten - eine veralterte Typo3-Installation oder ein Programmierfehler und die Schuld liegt klar beim Kunden. Und natürlich kann es auch immer sein, dass eigentlich alle Komponennten aktuell sind - die Sicherheitslücke schlicht noch so neu ist, dass es dafür einfach noch keinen Schutz gibt. Einen 100% Schutz gibt es selbstverständlich sowieso nicht.

Abschließend stellen sich natürlich die Frage: Was tun ?

Das ist ja alles ganz furchtbar, böse und eigentlich sollte man am besten ja gar keinen Server mehr betrieben und ins Internet gehen - ganz schlimme Sache das. Aber mit dieser Einstellung dürfte man auch in kein Auto mehr steigen - geschweige denn via Flugzeug in den Urlaub fliegen. Also auch keinen Server mehr betreiben und die eigene Homepage abschalten, auf Internet-Telefonie verzichten ? Nein, natürlich nicht. Wir alle werden weiter in den Urlaub fliegen, weiter Internet-Server betreiben, uns in unsere Autos setzen, in den Strassenverkehr einfädeln und dabei via Internet telefonieren.

Wichtig ist aus meiner Sicht vor allem, dass man sich den Risiken erst einmal bewusst ist. Beim Auto fällt nach Jahren der Nutzung ja auch mal der Auspuff ab und die Bremsen lassen nach - was zu Unfällen führen kann. Mit dem Auto - und das ist für die meisten völlig logisch - geht man deshalb regelmässig in die Werkstatt und muss außerdem noch zum TÜV zum Check. Das bringt das Unfall-Risiko natürlich nicht auf Null, reduziert die Wahrscheinlichkeit aber deutlich. Deshalb kann man sich bei Neuwagen damit auch etwas mehr Zeit lassen als mit älteren Fahrzeugen. Und bei Computern, egal ob Workstation oder Server, und Software ist dies eigentlich ganz genauso, vor allem wenn diese an das Internet angebunden sind. Regelmässige "Werkstatt-Termine" und "Checks" sind einfach Pflicht um das Risiko zu reduzieren.

Und bei solchen regemässigen Checks müssen ALLE Komponennten überprüft und ggf. erneuert werden. Bringt beim Auto ja auch nichts, wenn man sich nur die Lampen und Beleuchtung anschaut aber die abgefahrenen Bremsen ignoriert - das knallt dann irgendwann. Genauso wenig bringt es etwas, das Betriebssystem (z.B: von uns) aktuell halten zu lasen aber die Jommla-Installation dann mit Version 1.0 munter weiter zu betreiben. Das knallt dann irgendwann ebenfalls und da darf man sich dann auch bei einer TK-Anlage nicht wundern, wenn andere auf Ihrem Guthaben mit telefonieren.

Deshalb sind aus meiner Sicht folgende Punkte wichtig und sollten selbstverständlich sein:

  • Aktuell gepflegte Liste aller Geräte im Betrieb und außer Haus (z.B. untergestellt und angemietet) haben
  • Liste der darauf laufenden Diennste, Applikationen und Subsysteme
  • Wie sind diese abgesichert ?
  • Wer ist für diese verantwortlich ?
  • In welchen Intervallen werden diese geprüft ?
  • Wann war der letzte Check ?
  • Werden diese Massnahmen auch überprüft ?
  • Gibt es Monitor-Dienste welche bei Unregelmässigkeiten anschlagen ?
  • Welche Risiken können passieren ? Was ist der Worst-Case ?

Wenn man sich darum nicht selber kümmern will oder kann, muss und sollte man diese Aufgaben delegieren. Dies gibt es natürlich nicht zum Null-Tarif, genau wie in einer Auto-Werkstatt fallen auch für diese Jobs regelmässig Kosten an. Diese können im IT-Bereich im Gegensatz zur KFZ-Branche auch durchaus beträchtlicher sein, als beispielsweise die monatliche Servermiete kostet. Aber dies sind immer gut angelegte Investitionen, denn genau wie im Transportwesen sollte auch im IT- und Internet-Bereich gelten: Savety first. Für sich selber und für alle anderen Verkehrsteilnehmer. Portunity ist dabei gerne in allen Unternehmensbereichen Ihr Ansprechpartner und Dienstleister: Egal ob Sie ein Hosting bei uns haben, via DSL-Anschluß über uns ans Internet angebunden sind oder wir eine Website für Sie entwickeln.

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR
Bisher wurden keine Tags vergeben
, um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Leider sind zu diesem Artikel noch keine Kommentare vorhanden.
Seien Sie der/die Erste und schreiben Sie uns Ihren Kommentar zu diesem Artikel.
Kommentar schreiben Kommentar via Facebook

Über den Autor

Lea Rücker
Portunity GmbH
Founder of Portunity & Entrepreneur

Hi. I'm one of the founders of Portunity - where I work with some of the coolest people on earth on projects with and for the internet.

Hallo. Ich bin einer der Gründer von Portunity - wo ich mit einigen der coolsten Menschen dieser Erde an Projekten im und für das Internet arbeite.

12.02.2024
07.11.2023
27.01.2023
07.09.2022
26.07.2022
LocalSuite
LocalSuite: Sammlung von Tools für Ihr lokales Unternehmen - Schwerpunkte sind die Digitalisierung von Prozessabläufen und die Module für cleveres Online-Marketing.
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.