Dafür gibt es eine ganze Reihe von Gründen:

• Geltungsdrang
• (Zer-)Störungswille
• Machtausübung
• Wirtschaftliche Interessen (Cyber-Kriminalität)
• ...

In der Anhangsphase war das Hacken eine Art Sport, bei dem Experten ihre Fähigkeiten unter Beweis stellen wollten. In Phase II steckten oft Script-Kiddies dahinter, die meist gar nicht wußten, was sie anrichten - inzwischen ist es die Spielwiese der organisierten Kriminalität:
Dabei geht es i.a. weniger darum, Daten von einem privaten Rechner zu entwenden, als vielmehr Zugriff auf den Rechner zu haben, im schlimmsten Fall darum, diesen in ein „Botnet“ zu integrieren, wofür eigene „Forschungszentren“ betrieben werden, die Angriffe schon vor dem Tag 0 (Zero Day) ermöglichen sollen.

Was ist ein „Botnet“?

Ein „Botnet“ ist ein Netz von fernsteuerbaren PC-Robotern, das z.B. für eine DDoS-Attacke (verteilter Angriff um einen Dienst zu stören), das Versenden von Spam oder das Knacken von Paßwörtern verwendet werden kann, wobei diese „Dienste“ dann im Internet gegen Gebühr auch gemietet werden können.
Mit der Erpressung von großen Dienstleistern im Internet (Banken, Suchmaschinen, Wettbüros, ...) werden inzwischen viele Millionen pro Monat „verdient“.

Wie entsteht ein „Botnet“?

Ein Botnet entsteht z.B. durch das Infizieren von vielen Rechnern mit einem Wurm, der dann Hintertüren für den Fernzugriff öffnet, Beispiel: Agobot

Der erst 20-jährige Jeanson James Ancheta aus Kalifornien z.B. hat 2005 knapp eine halbe Million PCs unter Ausnutzung einer Windows-Sicherheitslücke zu einem „Zombie-Netzwerk“ verbunden.

Als sei es nicht genug, daß IKT-Systeme durch Fehlbedienungen, Stromausfälle, Netzwerkstörungen, Hardware- und Softwaredefekte bedroht sind, gibt es auch noch Störenfriede, die es sich zur Aufgabe gemacht haben, Malware produzieren um uns das Leben noch schwerer zu machen.
Waren das früher Personen, die entweder sich selbst oder anderen beweisen wollten, was sie können, stehen nun schon sehr oft handfeste finanzielle Aspekte im Hintergrund.

Als Malware bezeichnet man im Internet allgemein Programme, die Schaden (in welcher Form auch immer) anrichten können, die aktuellen Bedrohungen ändern sich dabei laufend.

Dabei werden verschiedene Formen unterschieden:

Viren

Unter Viren versteht man Programme, die über Wirtsprogramme verbreitet werden und sich beim Ausführen dieser Programme in andere Programme hineinkopieren (diese somit auch infizieren) - die Verbreitung „baut allein auf die Idiotie der Computerbenutzer“ [Weltwoche, 12/04].
„Wer im Netz ohne Virenschutz unterwegs ist, gefährdet andere Nutzer in etwa so, wie ein Autofahrer, der mit kaputten Bremsen unterwegs ist und so andere fahrlässig gefährdet.“ (Sven Karge, Verband der deutschen Internetwirtschaft [ORF Futurzone 8.12.2009]).

Hauptverbreitung: E-Mails (Outlook!).
Schutz: Antivirensoftware.

Würmer

Würmer brauchen kein Wirtsprogramm, sondern sind eigenständige Programme, die sich auch selbst verbreiten. Wurden sie früher ebenfalls hauptsächlich per E-Mail verbreitet (und erst nach Anklicken aktiv), so verbreiten sie sich inzwischen hauptsächlich selbst über das Netzwerk und Betriebssystemslöcher (Vulnerabilities, offene Ports mit Sicherheitslücken), sie versenden sich selbst aber auch noch immer auch per E-Mail.
Sie richten häufig keinen Schaden am befallenen Rechner an und fallen daher dem Benutzer kaum auf, belasten aber durch ihre massive Verbreitung das Netzwerk und/oder greifen dabei auch Server an, die dann durch die Überlastung versagen - Denial of Service (DoS)
Sie „leben“ also von den Löchern im Betriebssystem (oder anderen Programmen) und davon, daß die Benutzer zu faul (oder unwissend) sind um diese (oft bekannten) Löcher mit Patches zu stopfen.

Hauptverbreitung: E-Mail, Vulnerabilities in Windows.
Schutz: Firewall bzw. Betriebssystem- oder Softwarepatch.

Das Neuinstallieren des Systems ohne Einspielen der aktuellen Patches hilft überhaupt nicht gegen Würmer, die Betriebssystemlöcher oder Löcher eines installierten Dienstes ausnutzen! Sie müssen das System vom Datennetz trennen, mit CD oder DVD neu aufsetzen, die Sicherheitsupdates für alle installierten Dienste einspielen und erst dann dürfen Sie das System wieder ans Netz hängen! Antivirenprogramme erkennen Würmer auch nicht unbedingt, vor allem verhindern sie das Eindringen nicht!

Trojaner

Trojaner sind i.a. verborgene und unerwünschte Zusatzfunktionen in an und für sich sinnvollen Programmen, so kann sich in einen IRC-Client z. B. ein Keylogger verstecken, ein Programm, das jeden Tastendruck registriert (also auch Paßworteingabe etc.) und an eine beliebige E-Mail-Adresse weiterleitet oder es wird ein Backdoor (ein neuer „Dienst“, über den unbefugte Personen Zugriff auf den Rechner erhalten) installiert.
Zu dieser Gruppe zählen u. a. „Greyware“ (Spyware wie Keylogger oder Adware, die unerwünschte Werbung einblendet), aber auch die besonders gefährlichen (da schwer aufzufindenden) Rootkits (für die z. B. Windows mittels ADS nun die optimale Strategie zum Verbergen schon mitliefert).

Hauptverbreitung: Wird oft von Viren/Würmern mitinstalliert, kann aber auch mit (Gratis-)Software unwissentlich mitinstalliert werden.
Schutz: Schutz gegen Viren und Würmer, keine Installation von Software, die man nicht kennt, Download von Software nur von den offiziellen Download-Servern.

Würmer und Trojaner können auch dazu dienen sogenannte BotNets aufzubauen.

In vielen Internetcafes sind Keylogger und Spyware installiert, daher raten wir dazu, sich dort nicht mit Benutzername und Kennwort sondern mit Handysignatur (mobile Bürgerkartenumgebung) anzumelden. Wenn Sie Ihre e-Card z.B. über TUGRAZonline als Bürgerkarte aktivieren (Vistitenkarte → e-Card jetzt aktivieren), dann können Sie dabei auch gleich Ihr Handy zur mobilen Bürgerkarte machen (funktioniert nur für ausgewiesene Personen an der TU Graz, also Personen, deren Identität mit Ausweis überprüft wurde: Studierende und „Stammpersonal“ der TU Graz). Sie können aber natürlich auch für bereits aktivierte Bürgerkarten sehr schnell die mobile Bürgerkarte aktivieren. Danach können Sie Ihre E-Mails in Internetcafes lesen, indem Sie sich in TUGRAZonline per „Mobiler BKU“ anmelden (Hier an/abmelden → Anmeldung - Single Sign-On Shibboleth → Mobile BKU) und sich dann per Link „Webmail“ mit dem Webmail-Server der TU Graz verbinden, eine Eingabe von TUGRAZonline-Benutzername und -Kennwort ist dann nicht mehr erforderlich!

Spam

Unter Spam versteht man i.a. Massen-E-Mails, die nicht erwünscht sind.
Sie richten zwar keinen Schaden an der Software des „befallenen“ Systems an, verbrauchen aber Resourcen (Arbeitszeit beim Lesen und/oder Löschen, Administrationsaufwand am E-Mail-Server), blockieren u.U. die Mailbox oder legen bei extremen Auftreten den E-Mail-Server lahm.
Solange nur ein Promille-Anteil von „Kunden“ die Links in den E-Mails kommerzieller Spammer anklickt und andererseits das Versenden von E-Mails gratis ist, werden die Spammer ihren Müll weiter verbreiten.

Hauptverbreitung: Absichtliches Versenden an zuvor gekaufte/gesammelte E-Mail-Adressen, Versendung durch Viren und/oder Würmer.
Schutz: Zentrale Filter auf den E-Mail-Servern (definiert über Webmail), lokale (lernfähige) E-Mail-Filter im E-Mail-Client.

Phishing

Unter Phishing (ein Kunstwort aus den Teilen Password, Harvesting und Fishing) bezeichnet man den Versuch durch geschickte Täuschung Internetbenutzer dazu zu verleiten, Accountdaten auf einer gefälschten Webseite (oder per E-Mail) bekanntzugeben, besonders problematisch ist das natürlich bei Bankkontodaten.

Eine gute Zusammenfassung der gängigen Techniken finden Sie in den Ausgabe 3/2004 und 2/2006 der Zeitschrift Comment: des ZIDs der Uni Wien, die Seiten der Wirtschaftskamer bieten ebenfalls Informationen. Falls man eine Phishing-Seite findet, kann man diese auf PhishTank melden, Informationen gibt es eventuell auch auf der Seite des VPT.

Hauptverbreitung: HTML-E-Mails an unwissende oder unaufmerksame Internetuser.
Schutz: Überprüfen Sie bei HTML-E-Mails immer, ob ein Link auch tatsächlich zur angegebenen Seite zeigt.

Es gibt immer wieder auch Versuche zu Accounts der TU Graz zu kommen: auf solche Versuche bitte nie reagieren: wir fragen Sie sicher nicht per E-Mail nach Ihrem Paßwort und auch wenn Sie mit falschen Daten antworten: verraten Sie damit, daß Ihre E-Mail-Adresse aktiv ist können wir nicht feststellen, daß Sie mit falschen Angaben geantwortet haben - wir sehen aber, daß Sie geantwortet haben und daher sperren wir Sie dann sicherheitshalber Da die Anzahl solcher Versuche zunimmt, werden wir Warnungen nur dann aussenden, wenn das Phishing sehr gut gemacht ist (z.B. in gutem Deutsch, ohne Tippfehler, mit E-Mail-Adressen, die vertrauenswürdig wirken, etc.), bei schlecht gemachtem Phishing (schlechtes Englisch, E-Mail-Adressen oder Web-Adressen, die offensichtlich nichts mit der TU Graz zu tun haben) gehen wir davon aus, daß die User an der TU Graz das selbst als Betrugsversuch erkennen können.

Pharming

Zielt Phishing darauf unaufmerksame Benutzer durch E-Mails auf falsche Adressen zu locken, wo den echten Seiten täuschend nachempfundene Internetseiten dem Besucher Paßwörter zu entlocken versuchen, so verwendet Pharming verschiedene Methoden um den DNS-Eintrag eines Rechners zu manipulieren (DNS-Spoofing).
Selbst wenn man aus Bookmarks oder händisch die richtige Adresse anwählt, gelangt man auf die falsche Seite, weil es die Betrüger geschafft haben, dieser Web-Adresse eine andere IP-Adresse zu hinterlegen. Das kann z.B. entweder dadurch geschehen, daß in einer lokalen hosts-Datei z.B. durch einen Trojaner ein falscher Eintrag hinzugefügt wird, oder indem dem Rechner (per DHCP oder per direktem Eintrag) ein falscher Nameserver untergeschoben wird, der dann die Web-Adresse falsch auflöst oder indem z.B. der richtige Nameserver gehackt wird, der dann für alle Benutzer dieses Netzes eine falsche Auflösung bringt, was dann z.B. eine MITM-Attacke ermöglicht.

Hauptverbreitung: Trojaner, Virus, „rogue“-DHCP-Server.
Schutz: Überprüfen Sie immer das Sicherheitszertifikat der Seite, vor allem, wenn angezeigt wird, daß es sich geändert hat.

Blended Threats - gezielte Angriffe

Die Kombination von Spam, Phishing, Spyware und Viren mit Betrugsmethoden aus dem Web auf Applikationsebene.
Gezielte Angriffe richten sich i.a. entweder auf (bekannte) Schwachstellen des verwendeten Betriebssystems („härten” Sie daher Ihre Rechner, indem Sie nur diejenigen Programme installieren, die Sie wirklich brauchen, verwenden Sie eine Firewall), auf Schwachstellen in weit verbreiteten Programmen (z.B. PHP-Scripts auf Web-Servern) oder auf Schwachstellen Ihrer eigenen Programme.

Hauptverbreitung: Es gibt immer mehr Leute als Sie glauben, die entweder an Ihren Daten oder Ihrer Internetverbindung Interesse haben! Exploits für bekannte Vulnerabilities (Sicherheitslücken) finden sich im Netz, Tools zum Erkennen Ihrer Schwachstellen ebenfalls.
Schutz: Härtung des Betriebssystems, Verwendung einer (Application) Firewall, Überprüfung selbstgeschriebener Software auf Schwachstellen, Installation von Patches bei Bekanntwerden von Schwachstellen verwendeter Programme (lesen Sie die entsprechende RSS-Feeds oder Newsgroups oder tragen Sie sich in den relevanten Mailinglisten ein!)

Scareware

Unter Scareware versteht man Software, die dem Benutzer die scheinbare Infektion des Rechners mit Malware meldet, um dann die kostenpflichtige Bereinigung des Rechners anzubieten.

Hoax

Hoaxes sind E-Mails (zumeist in Kettenbriefform), die entweder vor irgendetwas warnen oder um etwas bitten. Sie stellen zwar an sich keinen Schaden an, aber alleine die Arbeitszeit, die Netzressourcen etc. kosten Geld.

Hauptverbreitung: Absichtliche Weitersendung durch unwissende Internetuser.
Schutz: Überprüfen Sie bei kettenbriefartigen E-Mails ob dieser Typ nicht bereits als Hoax bekannt ist.

Dafür gibt es 2 gute Gründe:

1. Wenn ein Angreifer weder Benutzername noch Paßwort kennt, ist es für ihn viel, viel schwieriger einen Account zu hacken
2. Wenn ein Angreifer Ihren Benutzernamen kennt, kann er Sie in vielen Systemen blockieren, indem er einfach so lange falsche Paßwörter eingibt, bis Ihr Account gesperrt oder der Zugriff zumindest verzögert wird (DoS) - d. h. auch wenn er nicht zu Ihren Daten kommt, kann er zumindest erreichen, daß Sie ebenfalls nicht zu Ihren Daten kommen.

Warum verlangt der ZID, daß Ihr Paßwort so lang und kompliziert ist und daß Sie es so oft ändern müssen? Es kann dem ZID doch egal sein, wenn jemand Zugriff auf Ihre E-Mails bekommt, oder?
Die Antwort ist, daß an der TU Graz das TUGRAZonline-Paßwort an vielen Stellen zum Einsatz kommt und ein Angreifer, der Ihr Paßwort kennt, somit Zugriff auf viele Dienste hat, z. B. auch den SMTP-Server und den Linux-Server „pluto“ über die der Angreifer dann beispielsweise Spam versenden kann, wodurch dann der SMTP-Server der TU auf Blacklists landet. Die Konsequenz ist, daß dann niemand mehr E-Mails versenden kann (und das ist kein konstruiertes Beispiel, das ist schon mehrfach vorgekommen).

Empfehlungen:

• je länger, desto besser (Minimum: 8 Zeichen)
  ein deutlich längeres Paßwort ist (in Bezug auf einen „brute force“-Angriff) sicherer als ein kompliziertes kurzes Paßwort: ein Paßwort mit 6 Zeichen aus Groß- und Kleinbuchstaben und noch 10 Sonderzeichen knackt eine moderne CPU in unter 10 Minuten, 2 Stellen mehr und es dauert schon fast ein Jahr, immer vorausgesetzt, man kennt das verschlüsselte Paßwort, in der Cloud geht es entsprechend schneller, wenn man nur genügend Geld zur Verfügung hat)
• mindestens 1 Ziffer
• mindestens 1 Buchstabe
• mindestens 1 Sonderzeichen aus ASCII 33 bis 126
• kein Teil > 3 Buchstaben
  • aus einem Wörterbuch (de / en)
  • eines Vor- oder Nachnamens
  • des Usernamens
• möglichst oft ändern (monatlich)
• ein neues Paßwort soll sich von allen alten Paßwörtern (innerhalb eines bestimmten Zeitraums) in mindestens 3 Stellen unterscheiden
• Case sensitive (Groß- und Kleinschreibung)
• Nur verschlüsselte Übertragung (https, secure IMAP, ...)

Ein solches Paßwort ist dann i.a. recht kompliziert und schwer zu merken - ein Hinweis, wie man ein Paßwort erzeugen kann, das diesen Kriterien entspricht und das trotzdem nicht vergessen wird:

1. Man nimmt einen Kinderreim, den Refrain des aktuellen Lieblingsliedes, den Titel des Buchs, das man gerade liest, etc. und verwendet die Anfangs- und/oder Endbuchstaben jedes Wortes
2. einzelne Buchstaben dieser Zeichenkette werden dann aufgrund ihres Aussehens durch Sonderzeichen etc. kodiert (Leetspeak) - Beispiel (Sie sollten sich aber eine eigene Tabelle/Zuordnung überlegen!):
   
   

   B C D G H i K L M N O U V W Z I3 ( [) 6 I-I ! I< |_ |`1 I\I 0 I_I \/ \/\/ 2

3. dazu streut man z.B. noch „,“ und/oder „.“ oder gleich ein Smiley (z.B. ;-)) in die so entstandene Zeichenkette ein.

So ist das Paßwort jederzeit wieder rekonstruierbar, man muß sich nur merken, aus welcher Zeile das aktuelle Paßwort abgeleitet ist, welche „Codierung“ man für bestimmte Buchstaben verwendet und an welcher Stelle welches weitere Sonderzeichen eingebaut wird.

Das Paßwort kann man z.B. durch den Passwort-Check auf http://www.datenschutz.ch/ oder http://www.hammerofgod.com/passwordcheck.aspx testen lassen (den Paßworttest nicht mit dem echten, sondern nur mit einem ähnlichen Paßwort verwenden!)

TUGRAZonline-Paßwörter

Die TUGRAZonline-Paßwörter sollten in nicht mit TUGRAZonline verbundenen Systemen nicht verwendet werden, da die Sicherheit dort eventuell deutlich niedriger ist! Möchte ein Institut Daten im Web mit dem TUGRAZonline-Account schützen, so bieten wir eine SSO-Lösung mit Shibboleth an!

Paßwort-Speicherung

Viele Programme bieten Ihnen inzwischen auch die Möglichkeit das Paßwort zu speichern - wir empfehlen das nicht zu tun, da

• je nach Programm die Paßwörter (fast) unverschlüsselt gespeichert werden - Thunderbird/Firefox/Mozilla bieten hier die Möglichkeit, diesen Speicherbereich mit einem Masterpaßwort zu verschlüsseln: das sollte (falls man Paßwörter speichert) unbedingt verwendet werden!
• so jemand, der Zugang zu Ihrem Rechner erhält, auch Zugang zu all diesen Applikationen erhält (wenn sie nicht mit einem Masterpaßwort geschützt sind)
• Sie andererseits das Paßwort leicht vergessen (da Sie es ja nie eintippen müssen) und dann über einen fremden Rechner nicht einsteigen können (das Masterpaßwort hat mit dem TUGRAZonline-Account nichts zu tun!)
• Sie im Falle eines abgelaufenen Paßworts dieses dann in allen Applikationen (bzw. im Paßwortmanager für alle Applikationen) ändern müssen

Der ZID bietet Ihnen aber eine sichere Möglichkeit, Ihre Paßwörter zu speichern und auch zu teilen: sesam.TUGraz.at.

Verwendung

Verwenden Sie das Paßwort (wenn möglich) nur auf Systemen, deren Integrität zu einem hohen Maß gewährleistet ist, auf unsicheren Systemen sollten Sie stattdessen besser ein SMS-TAN-System bevorzugen, das über die Handysignatur auch für TUGRAZonline verfügbar ist.

Die Sicherheit am Arbeitsplatz umfaßt viele Punkte, die im folgenden nahegelegt werden:

• fester Standort der Geräte auf dem Boden/Tisch/Regal etc.
• Sperren des PCs beim Verlassen des Arbeitsplatzes (Bildschirmschoner mit Passwort etc.)
• keine einfachen Kennworte benutzen
• Abschließen des Raumes beim Verlassen
• Schutz des PCs durch ein BIOS-Kennwort vor unberechtigter Benutzung
• keine Daten auf der lokalen Festplatte (Netzwerklaufwerke verwenden)
• sichern Sie alle anwenderbezogenen Daten vor einer Hardwareerneuerung
• Sicherung von Daten auf Backup-Medien (Netzwerklaufwerke werden gesichert)
• Installieren Sie keine unsichere Zusatzsoftware wie Bildschirmschoner, Spiele etc.
• evtl. Installation einer Instituts-Firewall durch den EDV-Beauftragten
• Signierung und evtl. Verschlüsselung von E-Mails
   

Die Sicherheit der Betriebssystemsoftware eines Arbeitsplatzes bedarf zusätzlich folgender Einstellungen bzw. Vorsichtsmaßnahmen:

• Einsatz eines sicher installierten/konfigurierten Betriebssystems (Linux, Mac, UNIX, WinXP).
  Zum Punkt Microsoft Windows möchten wir Sie auch auf die Informationen des Heise-Verlags und von Microsoft hinweisen. Das Microsoft Security-Portal bietet ihnen schnelle Hilfe zur sicheren Konfiguration ihres Betriebssystems.
• Installation aktueller Updates & Patches
• auf aktuellen Virenschutz achten
• Keine E-Mail-Clients von Microsoft verwenden; nehmen sie Pegasus oder Mozilla-Thunderbird; falls sie Outlook (Express) verwenden, so ist unbedingt die „Anhang-Vorschau“ zu deaktivieren!
• Lassen sie sich immer die Extensions der Dateien anzeigen
• Aktivierung der internen Firewall von Linux/MacOS/Windows oder eine Personal Firewall installieren
• Microsoft Netzwerkfunktionalität deaktivieren bzw. keine Datei- und Druckerfreigaben verwenden
• SSH und SFTP anstelle von Telnet und FTP verwenden

Verwenden sie innerhalb der TU Graz das WebAttended-Setup und den WindowsUpdate-Server des ZID!

Achten Sie bitte darauf, dass keine Daten lokal auf dem Kleinrechner abgespeichert werden, sondern immer ein Netzlaufwerk verwendet wird. Dann kann es auch nicht zu unliebsamen Datenverlusten bei Schäden an der lokalen Festplatte kommen!

Die Server für die Verwaltung und das Rektorat werden zentral vom ZID gesichert.

Die Institute sind i.d.R. für die Sicherung ihrer Datenbestände auf Institutsservern selbst verantwortlich. Der Zentrale Informatikdienst (ZID) empfiehlt eine Sicherung der Systemkonfiguration bei jeder Änderung und eine regelmäßige Sicherung der Benutzerdaten über lokal am Institut installierte Backup-Einrichtungen. Institute, die zur Zeit über keine eigenen Backup-Einrichtungen für ihre lokalen Rechner verfügen, können Bandgeräte zur Sicherung von UNIX- und VMS-Workstations (SCSI-Interface) bzw. Netware-Servern für verschiedene - auch alte - Sicherungsmedien (DAT, DK50&70, Exabyte, Qic) kurzzeitig per E-Mail entlehnen.

Seit 2002 verfügt der ZID über ein Backup-System von Legato auf SUN-Hardware für zentrale Server- u. Storage-Systeme, so dass auch Institutsserver in Notfällen bzw. bei Bedarf nach Absprache per E-Mail gesichert werden können, wenn keine lokale Backup-Möglichkeit existiert. Dies setzt die Installation des Legato-Clients auf dem Server voraus; die Legato-Lizenz und auch die Backup-Medien sind ggf. vom Institut selbst zu finanzieren! Der ZID führt jedoch keine Datenarchivierung durch (und das gilt auch für die zentralen IMAP-Mailserver) - dies hat an den Instituten selbst zu erfolgen!

Um einen störungsfreien Betrieb aller Server - und auch Netzwerkkomponenten - zu gewährleisten, sind die Maschinen des ZID in klimatisierten Räumen untergebracht und durch eine unterbrechungsfreie Stromversorgung (USV) auch gegen Stromausfälle abgesichert. Weiters existieren eine Brandschutzeinrichtung sowie eine Zutrittskontrolle.

Netware-Server und UNIX-Workstations in Räumlichkeiten der Institute, die nicht derart gesichert sind, sollten zumindest durch einen separaten, abgeschlossenen und gut belüfteten Raum sowie durch ein Sperren der Konsole gegen unberechtigten Zugriff geschützt werden.

Es existiert ein Vielzahl an Software-Tools mit der eine Sicherheitskontrolle bzw. ein Monitoring von Servern durchgeführt werden kann.

Netzwerkdosen in (halb)öffentlichen Bereichen der TU Graz (Gänge, Seminarräume, Hörsäle, Aufenthaltsräume, etc.) dürfen sich nur in einem der folgenden 3 Zustände befinden:

1. ungepatcht (also ohne Verbindung zum TUGnet)
2. privater IP-Bereich, aus dem man nur authentifiziert (PPPoE, eventuell auch VPN) eine IP aus dem TUGnet (und damit Internetconnectivity) erhält
3. spezieller IP-Bereich für Drucker, Scanner, etc., aus dem nur spezielle Dienste (ftp, E-Mail) erreichbar sind und der selbst nur aus bestimmten Bereichen des TUGnets (z.B. dem VLAN der Organisationseinheit) für spezielle Dienste (z.B. Drucken) erreichbar ist

Falls im Bereich einer Organisationseinheit der TU Graz Netzwerkdosen in (halb)öffentlichen Bereichen existieren, dann ist zu überprüfen, ob sich diese Netzwerkdosen in einem der oben erwähnten Zustände befinden.
Wenn nicht, ist mit dem ZID Kontakt aufzunehmen, sonst haftet der Leiter der Organisationseinheit für jeglichen Mißbrauch!

Im Netzwerkbereich der Verwaltung, in den Subzentren und den Räumlichkeiten des ZID wird durch entsprechende Konfigurationen von Routern und Switches sowie der Verwendung von virtuellen Netzen und einer sorgfältigen Hardwareerneuerung eine solide Basissicherheit vom ZID eingerichtet.

Intrusion Prevention System

Ein IPS durchsucht den Datenverkehr nach abnormen Mustern und blockiert unerwünschte Kommunikation; dabei wird der gesamte Netzverkehr der TU Graz (also auch der ausgehende Verkehr!) auf mögliche Angriffsversuche (ob bewußt oder unwissentlich z.B. durch einen Virus) überprüft.
Wird ein Angriff erkannt, so wird dieser geblockt, die erlaubten Verbindungen des Rechners sind davon aber nicht betroffen.
Sollten Sie die Vermutung haben, daß ein Dienst (vom IPS) irrtümlich gesperrt wird, so senden Sie uns bitte eine E-Mail.

Traffic Shaper

Mit Schadprogrammen befallene Rechner werden am Übergang ins Internet durch eine TUGRAZonline-Applikation am Traffic-Shaper gesperrt, IPs ohne DNS-Eintrag sind automatisch gesperrt.

Sie finden den Status Ihrer eigenen IPs (und einen eventuellen Sperrgrund wie z.B. Wurm oder Virus oder Portscan etc.) in TUGRAZonline, die EDV-Beauftragten sehen den Status jeder IP in dem IP-Bereich, für den sie zuständig sind.

Beim Sperren wird eine E-Mail mit dem Grund der Sperre an den „Besitzer“ der IP versandt - jede IP sollte daher (wie schon lange vorgesehen) einer Person zugeordnet sein, umgekehrt sollten einer Person nur die IPs zugeordnet werden, für die diese Person auch tatsächlich zuständig ist (das kann durchaus straf-, zivil- und dienstrechtliche Konsequenzen haben!). Diesen Sperrgrund zu einer IP finden Sie auch (außer in der E-Mail), indem Sie in der Hostnamenverwaltung den Status anklicken und dann auf Detailansicht gehen.

Firewall

Die Bereiche der Verwaltung und die zentralen Datenbankserver der TU Graz werden durch eine zentrale Firewall geschützt.
Institute sind für die Absicherung Ihrer Netzwerkinfrastruktur selbst verantwortlich, werden vom ZID jedoch in Abhängigkeit der verfügbaren Ressourcen unterstützt (z.B. Aufbau von „Open Source“-Firewalls oder Verwendung einer „virtuellen“ Firewall des ZID).

Umfassende Security-Maßnahmen sollten - zwiebel- oder Matrjoschka-ähnlich - in mehreren Schichten ansetzen:
Schon auf der Netzwerkebene versuchen wir gewisse Gefahrenpotentiale zu erkennen und zu minimieren (z.B. durch Portsperren), das IPS erkennt gewisse Angriffe und blockiert ebenfalls den Zugriff, die Firewall kann den Zugriff nur bestimmten IPs oder nur bestimmten Protokollen erlauben, bei der „Härtung“ des Betriebssystems unterstützen wir ebenfalls, wo wir derzeit aber (noch) nicht helfen können, sind (selbstentwickelte) Programme z.B. im Webserver-Umfeld, die eventuell angreif- und verwundbar sind: wenn die Webseite ganz normal aufgerufen wird, dabei aber ungültige Parameter übergeben werden, dann ist es Aufgabe des Programmierers der Applikation zu verhindern, daß damit Schaden entstehen kann, eine „Application Firewall” wird vom ZID derzeit nicht betrieben!

Beispiele für derartige Angriffsszenarien auf Applikationsebene:

SQL Injection

Sollte Ihre (Web-)Applikation auf einer SQL-Datenbank aufbauen, dann müssen Sie überprüfen, ob es möglich ist über Eingabefelder oder Aufrufsparameter neuen, zusätzlichen Code einzuschmuggeln.

Parameter Tampering

Das oben erwähnte Verfahren könnte aber auch z.B. bei „normalen“ Programmen in Script-Sprachen funktionieren: hier wird dann nicht versucht SQL-Statements einzubringen, sondern entweder Befehlszeilen in der jeweiligen Script-Sprache (z.B. PERL oder PHP) oder direkt Aufrufe von am Server gespeicherten anderen Programmen. Wird bei PHP die Funktion include() verwendet um externen Code nachzuladen spricht man auch von serverseitigem XSS (Cross Site Scripting).

Weitere mögliche Schwachstellen

Cookies, Session Parameter, Hidden Field Tampering, Formatstring, FormMail ...

Bitte beachten Sie, daß bei vielen „modernen“ Anwendungen große Gefahr besteht, daß Ihr Rechner mit Malware infiziert wird:
Virenfilter greifen hier beim Datenaustausch nicht - also Finger weg, wenn Sie nicht genau wissen, welche Optionen Sie aktivieren müssen!

Im Falle von Skype gilt: Skype umgeht so ziemlich jede Firewall Skype ist daher kein an der TU Graz unterstütztes Protokoll/Programm (dafür gibt es viele gute Gründe) und kann bei Problemen jederzeit ohne Ankündigung deaktiviert werden Skype sollte daher nicht als offizielle Kontaktmöglichkeit an der TU Graz verwendet werden es ist unbedingt zu verhindern, daß der eigene Rechner zu einem sogenannten Supernode wird (über den dann der Verkehr vieler anderen Teilnehmer geroutet wird)! Siehe dazu z.B. die Infos der BOKU, der LUH und vor allem der UWO.

Noch nicht infizierter Rechner

1. Betriebssystem (laufend) updaten
2. Security-Patches (sobald verfügbar) einspielen
3. Antiviren-Software und Firewall auf den neuesten Stand bringen bzw. laufend auf aktuellstem Stand halten

Infizierter Rechner

1. Rechner vom Netz trennen
2. Rechner von CD neu aufsetzen oder zumindest den Wurm oder Virus vom Rechner entfernen
3. Firewall installieren bzw. aktivieren
4. Patches (zB per Diskette/CD) einspielen
5. Erst nun wieder eine Netzwerk-Verbindung herstellen

Falls der Rechner gesperrt war:

1. u.U. Sperrfrist abwarten (gilt nur für den externen Zugang)
2. Mail an das NOC mit Angabe des TUGRAZonline-Usernamen (externer Zugang) bzw. der gesperrten IP-Adresse (interner TU Graz-Rechner)

Wir ersuchen Sie sich laufend (z.B. bei Heise) über sicherheitsrelevante Angelegenheiten zu informieren, da das zu Ihren Verpflichtungen im TUGnet gehört!

1. Ein Windows-XP-Rechner, der nicht zumindest Service Pack 2 enthält, ist nicht nur ungeeignet für Online-Banking, ein solcher Rechner hat im Internet nichts verloren.
2. Ein Windows-Rechner, den auch andere Familienmitglieder benutzen, ist für Online-Banking nicht geeignet.
3. Ein Windows-Rechner, der zumindest ein nicht legal erworbenes Programm oder Spiel bzw. Tauschbörsen-Software enthält, ist für Online-Banking nicht geeignet.
4. Vor dem Starten des Computers Hirn hochfahren - niemals umgekehrt.
5. Wenn der Rechner Windows startet und irgendwann fertig gestartet hat - sofort „Windows Update“ drücken, sodann Virenscanner - aber pronto! - auf den neuesten Stand bringen.
6. Vor dem Outlook-Öffnen Hirn benutzen und diesen Kausalschluss prozessieren: „Banken schicken niemals E-Mails aus, in denen Kunden zu Dateneingaben in Online-Formulare aufgefordert werden.“
   Daher gilt: „Wenn ich eine E-Mail von meiner Bank erhalte, die mich auffordert, Daten in Online-Formulare einzugeben, dann stammt diese E-Mail nicht von meiner Bank, sondern von einer Betrügerbande.“
7. Vorgang wiederholen.

(zitiert aus: ORF Futurzone, Version 0.8, 8. Februar 2006)