Rechenzentrumsbezogene
Aspekte der Sicherheit
1.
2.
3.
4.
5.
6.
Ziel und Aufgaben eines RZ
Was bedeutet Sicherheit im IT-Kontext
Sicherheitspolicy
Typische Bedrohungen der IT-Sicherheit
Beispiele aus dem IT-Alltag
Zusammenfassung/Fazit
ZKI Workshop 8.3.04 in Würzburg
1
Ziel der Rechenzentrumsarbeit
• IT-Systeme mit allen Komponenten arbeiten
zur Zufriedenheit:
– der eigenen NutzerInnen
– der KommunikationspartnerInnen
– Und nicht zuletzt des RZs
ZKI Workshop 8.3.04 in Würzburg
2
Zufriedene Nutzer
• Wenn IT-Ressourcen :
– jederzeit verfügbar sind
– zuverlässig arbeiten
S einfach ist das?!
ZKI Workshop 8.3.04 in Würzburg
3
Verfügbarkeit der ITRessourcen bedeutet:
• Hardware OK
– Probleme: veraltet und/oder schlecht gewartet
– Inkompatible Komponenten (schlecht
konfiguriert)
– Brand, Vandalismus ...
• Software und Datenbestände erreichbar
– Probleme: Zugriffsrechte
– File/Terminalserver down, Netzzugang NOK
ZKI Workshop 8.3.04 in Würzburg
4
Verfügbarkeit der ITRessourcen bedeutet:
• LAN und WAN für Anwendung frei und
performant
– Probleme: gesperrte Ports
– Fehlerhafte Routingtabellen
– Bagger 
ZKI Workshop 8.3.04 in Würzburg
5
Zuverlässige IT-Ressourcen
bedeutet:
• Software erledigt vorgesehene Aufgaben
ohne „Nebenwirkungen“
– Probleme: mangelhafte Funktionalität
– Updates
– Trojaner
• Zugriff auf Datenbestände nur für Befugte
– Probleme: Zugriffsrechte
– Klartext
ZKI Workshop 8.3.04 in Würzburg
6
Sicherheit?
•
•
•
•
Es gibt keine Sicherheit, nur als Ideal!
Vortrag zu Ende !  ?
Sicherheitstufen
Sicherheitsmaßnahmen erhöhen die
Sicherheitstufen
ZKI Workshop 8.3.04 in Würzburg
7
Sicherheitsmaßnahmen:
•
•
•
•
kosten (Personal und Geld)
erzeugen selten neue Möglichkeiten
sind einschränkend
sind kein erreichbarer statischer Zustand,sondern
ein Prozeß
Sicherheitsmaßnahmen sind unbeliebt - aber
notwendig
ZKI Workshop 8.3.04 in Würzburg
8
Aufgaben des RZ
– Betreuung der Server, Pools und Arbeitsplätze der
Universität einschließlich Software
– Bereitstellung zentraler Dienste (E-Mail, WWW,
Fileservice, Backup, Archivierung ...)
– Betreuung des Intranet
– Hintergrunddienste (DNS, Directory,
Authentifizierungen....
– Zugang zum Internet
ZKI Workshop 8.3.04 in Würzburg
9
Aufgaben des RZ
• Kompetente Empfehlungen und Beratung
• Minimierung der Risiken
• Schnelle, angemessene Reaktion im
Problemfall
ZKI Workshop 8.3.04 in Würzburg
10
Wünsche des RZ:
•
•
•
•
Klare, effiziente Kompetenzregelungen
Kooperative Nutzer
Ausreichende Personalstellen
Genügend finanzielle Mittel
ZKI Workshop 8.3.04 in Würzburg
11
IDEAL
• (Uni-weite) Sicherheitspolicy
• Verantwortliche Mitarbeiter der RZs haben
aktuellen und umfassenden Wissensstand über
SicherheitsRisiken und deren Abwehr
• Es stehen ausreichende finanzielle und
personelle Ressourcen zur Verfügung um
geeignete Maßnahmen zeitnah umzusetzen
• Und nicht zuletzt:
– Nutzer sind kooperativ
ZKI Workshop 8.3.04 in Würzburg
12
Realität
• Teile einer Policy sind vorhanden
• zahlreiche Informationsquellen ( CERTS,
BSI, ZENDAS ....) mit unterschiedlicher
Qualität
• Ressourcen sind knapp
• Nutzer sind kooperativ, wenn es brennt!!!!
ZKI Workshop 8.3.04 in Würzburg
13
Sicherheitsregeln /Policy
• Verwaltungs- und Benutzungsordnung für
Informationsverarbeitungssysteme
•
•
•
•
•
orientiert sich an den gesetzlich festgelegten Aufgaben der Hochschulen
sowie an ihrem Mandat zur Wahrung der akademischen Freiheit
stellt Grundregeln für einen ordnungsgemäßen Betrieb der IVInfrastruktur auf
weist hin auf die zu wahrenden Rechte Dritter (z.B. Softwarelizenzen,
Auflagen der Netzbetreiber, Datenschutzaspekte)
verpflichtet den Benutzer zu korrektem Verhalten und zum ökonomischen
Gebrauch der angebotenen Ressourcen
klärt auf über eventuelle Maßnahmen des Betreibers bei Verstößen gegen die
Benutzungsregelungen.
ZKI Workshop 8.3.04 in Würzburg
14
Sicherheitsrelevante Punkte:
• Pflichten der Nutzer
– Dem Benutzer ist es untersagt, ohne
Einwilligung des zuständigen Systembetreibers
• Eingriffe in die Hardware-Installation vorzunehmen;
• die Konfiguration der Betriebssysteme oder des
Netzwerkes zu verändern;
• Software zu installieren.
ZKI Workshop 8.3.04 in Würzburg
15
Sicherheitsrelevante Punkte:
• Aufgaben, Rechte und Pflichten der
Systembetreiber – Beachtung der Gesetze und
Sicherheitsvorgaben:
– Überprüfen der Sicherheit von System und
Paßwörtern
– Aktivitäten der Benutzer zu dokumentieren und
auszuwerten, soweit es ... der Verfolgung von
Fehlerfällen ...dient.
– bei Verdacht auf strafbare Handlungen ... berechtigt,
die weitere Nutzung der Ressourcen bis zur
hinreichenden Klärung der Rechtslage zu untersagen
und zu verhindern;
ZKI Workshop 8.3.04 in Würzburg
16
Und:
Für bestimmte Systeme können bei
Bedarf ergänzende oder abweichende
Nutzungsregelungen festgelegt werden.
ZKI Workshop 8.3.04 in Würzburg
17
Störungen im IT-Alltag
• SPAM
• Viren, Mailwürmer, Trojaner, Hoaxe
• Hacker mit unterschiedlichen Motiven:
– Steigerung des Selbstwertgefühls
– Aufzeigen von Fehlkonfigurationen
– Zugriff auf fremde Daten
• Denial of Service
ZKI Workshop 8.3.04 in Würzburg
18
Störungen im IT-Alltag
•
•
•
•
Datenverlust
Authentifizierungsdatenverlust
Leitungsunterbrechung
Hardwaredefekte
– Plattencrash mit Datenverlust
– Brand oder sonst. Katastrophen
• Und noch vieles andere mehr!
ZKI Workshop 8.3.04 in Würzburg
19
Hauptrisiko
Unterschätzung der Risiken und speziell der
Folge(koste)n
ZKI Workshop 8.3.04 in Würzburg
20
Beispiel Virenabwehr:
• Rechenzentrum erstellt Konzept:
– Zweistufige Abwehr:
• Auf zentralen Servern (Mail,WWW,Fileserver)
VirenscannerA
• An jedem Arbeitsplatz VirenscannerB
• Vorschlag zur Realisierung an der gesamten Uni
• DV-Ausschuß beschließt dieses Konzept
• RZ konfiguriert, installiert, wartet, berät und
informiert
ZKI Workshop 8.3.04 in Würzburg
21
Beispiel Virenabwehr:
Vergleichsweise einfach einzuführen, weil
JEDE/R unter Viren heftig leidet!
ZKI Workshop 8.3.04 in Würzburg
22
Beispiel SPAM:
• Wunsch an Rechenzentrum von JEDEM:
– Filtert SPAM zentral! ABER
– Des einen SPAM ist des anderen HAM!
• Unterschied zu Virenerkennung:
– Kriterien bei Viren EINDEUTIG für alle
– Kriterien für SPAM nicht eindeutig, selbst nicht
für eine Person!
ZKI Workshop 8.3.04 in Würzburg
23
Beispiel SPAM:
• Lösung mit Zustimmung des
DV.Ausschusses:
– Jeweils individueller SPAM-Filter, der vom
Nutzer auf dem zentralen Server aktiviert und
deaktiviert werden kann.
– Lizenzen für SPAM-Filter-Programme auf
Arbeitsplatz
ZKI Workshop 8.3.04 in Würzburg
24
Beispiel SPAM:
• Diskussionen dauern an wegen:
– schwieriger Gesetzeslage
– sehr unterschiedlichen Interessen bei Nutzern
• Firmen-policy bei BankY:
– Keine attachments
– Keine private Mail
 Keine Probleme mit Viren und SPAM!
ZKI Workshop 8.3.04 in Würzburg
25
Beispiel Datenschutz:
• Mailinglisten
– Bisher: Angebot für Themen, die im wissenschaftlichen
Umfeld liegen.
– Ca. 500 Listen z.B.:
•
•
•
•
Mitarbeiter des Rechenzentrums
Studenten des Seminars xy
Rudergruppe des Sportinstituts
Novell-Gruppe
– Betreuung der Listen durch studentische Hilfskraft
ZKI Workshop 8.3.04 in Würzburg
26
Beispiel Datenschutz:
• Beanstandung des
Landesdatenschutzbeauftragten:
– Kommandos erlauben Abfragen ALLER
Listenmitglieder
– Folge: Kommandos werden gesperrt
• Maßnahme ist den Nutzern schwer zu
vermitteln, vom RZ aber leicht umzusetzen
ZKI Workshop 8.3.04 in Würzburg
27
Beispiel Datenschutz:
• Problem: Archivierte Beiträge an Listen mit
E-Mail-Adresse der Verfasserin
• Anfrage an ZENDAS ergibt :
– Doppeltes Opt-In bei archivierten Listen mit
Einverständniserklärung zum Archivieren
– „Offene“ Listen dürfen nicht archiviert werden
So weit so gut!
ZKI Workshop 8.3.04 in Würzburg
28
Beispiel Datenschutz:
• Aber ZENDAS Antwort ist länger 
– Bei illegalen Beiträgen muß RZ innerhalb 24 Std.
reagieren (löschen,sperren)
– Universität sollte die Mailinglisten nur einsetzen
als Mittel zur Erfüllung ihrer Aufgaben, anderenfalls
sie Anbieter eines Teledienstes wird.
Bisherige „ad hoc- Policy“ muß zu einer
Datenschutzrechtlich wasserdichten Policy werden
ZKI Workshop 8.3.04 in Würzburg
29
Beispiel Datenschutz:
• Konsequenzen für RZ: höherer
Personalaufwand
• Konsequenzen für Nutzer: Einschränkungen
die Unmut hervorrufen, der wiederum beim
Personal im RZ aufschlägt.
Bereitschaft zum Umsetzen dieser Policy ist
gering – bisher KEIN Leidensdruck bei
Nutzern und Admins
ZKI Workshop 8.3.04 in Würzburg
30
Zusammenfassung:
• Sicherheitsmaßnahmen einfach
durchführbar wenn:
– Leidensdruck OHNE > Leidensdruck MIT
– Restriktionen Arbeitsablauf nicht wesentlich
einschränken
– Gesetzliche Vorgaben sie erzwingen
– Einsicht in Notwendigkeit bei allen
„Mitspielern“ vorhanden
ZKI Workshop 8.3.04 in Würzburg
31
Beitrag des Rechenzentrums:
• Informationsquellen nutzen
– Art der Risiken
– Gegenmaßnahmen
– Bewertung
•
•
•
•
Aufmerksamkeit im täglichen Ablauf
Bewerten von Besonderheiten
Kommunizieren!
Aufklären und Beraten
ZKI Workshop 8.3.04 in Würzburg
32
Beitrag des Rechenzentrums
•
•
•
•
Gesammeltes Wissen in Konzepte fassen
Konsens zu den Konzepten herbeiführen
Konzepte umsetzen
Konzepte immer wieder evaluieren und
anpassen
ZKI Workshop 8.3.04 in Würzburg
33
Trotzdem gilt:
• Bester Schutz: Immer davon ausgehen:
Es gibt keine Sicherheit!
ZKI Workshop 8.3.04 in Würzburg
34

Rechenzentrumsbezogene Aspekte der Sicherheit