Die CeBIT 2010 ist vorüber, Zeit für den traditionellen Bericht über einige Neuigkeiten aus dem Bereich der IT-Sicherheit.

Neuigkeiten?

Die gab es dieses Jahr zumindest in der Security-Halle kaum zu sehen. Neu war vor allem, dass die Messeleitung den Finanzbereich, früher in einer der 20er-Hallen untergebracht, nun in die Halle 11 verlegt hat. Platz genug war da, man hat einfach weniger abgesperrt als 2009. Außerdem fehlten einige Aussteller, die 2009 noch dabei waren. Dafür hatte Rittal einen sehr großen Stand in Halle 11. Was Serverschränke etc. mit IT-Sicherheit zu tun haben, erschließt sich mir nicht so ganz, aber die Messeleitung ist ja berühmt dafür, zusammen zu legen, was eigentlich überhaupt nichts miteinander zu tun hat. Allerdings gibt es auch bei Rittal Produkte, die man zum Bereich der IT-Sicherheit zählen kann. Besonders interessant finde ich die als Minirechenzentrum beschriebenen Modulsafes, mit bzw. in denen man die Hardware vor physikalischen Bedrohungen schützen kann, ohne gleich einen ganzen Raum entsprechend schützen zu müssen.

Der neue Personalausweis

Eigentlich keine Neuigkeit ist der neue Personalausweis, der in Halle 9 auf einem großen Stand präsentiert wurde. Lassen wir mal den Unsinn mit den Fingerabdrücken weg, ist der gar nicht mal so schlecht. Für die eID-Funktion gibt es sicher etliche nützliche Anwendungen, und man höre und staune: Den für die Nutzung notwendigen Bürgerclient gibt es nicht nur für Windows, sondern auch für Mac OS X, und auch eine Linux-Version soll es geben. Beachtlich, wenn man bedenkt, wie lange nun schon eine Mac-Version vom ElsterFormular angekündigt ist.

Um die eID-Funktion nutzen zu können, muss der Betreiber eines Webangebots beim Bundesverwaltungsamt ein Zertifikat beantragen. Dabei wird auch geprüft, ob die vom Betreiber gewünschten Informationen überhaupt für den beabsichtigten Anwendungszweck benötigt werden. Soll z.B. nur sicher gestellt werden, dass ein Benutzer volljährig ist, muss nicht das Geburtsdatum abgefragt werden, die Information "über 18 ja/nein" reicht dazu aus. Möchte ein Benutzer das betreffende Webangebot dann nutzen, fordert der Server ihn auf, sich mit seinem Personalausweis zu authentisieren. Danach präsentiert der Server sein Zertifikat und der Benutzer kann entscheiden, ob er diese Informationen frei gibt, ggf. kann er auch einige davon vor der Freigabe sperren. Im Prinzip ist das sehr sicher, allerdings ist der Bürgerclient Closed Source. Wem das nicht gefällt, dem bietet die Universität Koblenz - Landau eine Alternative: rosecat (rosecat open source e-ID client attains transparency) ist eine Open-Source-Implementierung des Bürgerclients in Java, die außerdem über eine GUI den Ablauf der eID visualisieren kann.

Ein neues Verfahren für den Schlüsselaustausch

Forscher des Karlsruher Instituts für Technologie (KIT) haben vorgeführt, wie Verschlüsselungs-Schlüssel sicher erzeugt und ausgetauscht werden können. Sie nutzen dazu einen physikalischen Effekt, die Mehrwegeausbreitung von Funksignalen, für die Generierung eines geheimen Schlüssels. Mehrwegeausbreitung tritt auf, wenn gesendete Radiowellen von physikalischen Hindernissen wie z.B. Wänden oder Möbeln in Räumen oder Bäumen, Gebäuden oder Fahrzeugen im Freien reflektiert und gestreut werden. Möchten Alice und Bob sicher kommunizieren, sendet zuerst Alice ein Signal an Bob, das der überlagert und mit mehreren Echos empfängt. Daraufhin sendet Bob ein Signal, das Alice überlagert und mit mehreren Echos empfängt. Aufgrund des sogenannten Reziprozitätsgesetzes der Funkwellenausbreitung ist das Echomuster, das Bob und Alice empfangen, dasselbe und kann als gemeinsamer Schlüssel dienen. Ein Angreifer an einer anderen Position empfängt ein völlig anderes Echomuster und kann daraus nicht auf den Schlüssel schließen.

Telebankingstick - Ein Rechner im USB-Stick

Von der Universität Rostock wurde der Telebankingstick vorgestellt: Ein Minicomputer in einem USB-Stick wickelt nach dem Anschluss an einen PC das komplette Online-Banking ab und übernimmt die Kommunikation mit der Bank, der PC reicht die Daten nur durch. Ein auf dem PC vorhandener Schädling hat keine Möglichkeit, das Online-Banking zu manipulieren. Das Projekt wird von der AmbraSecura UG weitergeführt, die noch Kooperationspartner wie Banken, Softwarehersteller oder Großunternehmen zur Entwicklung spezieller Lösungen sucht.

secureVD - Eine Firewall mit virtueller Maschine

secureVD ist ein aus Open-Source-Komponenten bestehendes Firewallsystem. Das besondere daran ist eine integrierte virtuelle Maschine, die eine demilitarisierte Zone darstellt und auf der z.B. virtuelle Server laufen können. In Umgebungen mit hohem Schutzbedarf können auch die Programme für die Internetnutzung wie Webbrowser und Mail-Client auf einen virtuellen Desktop auf der virtuellen Maschine ausgelagert werden. Mögliche Angriffe auf bzw. über Webbrowser und Mail-Client bleiben dabei auf die virtuelle Maschine beschränkt, "Internet-Rechner" und zu schützendes Netz sind logisch getrennt.

Soviel zu einigen Neuheiten von der CeBIT 2010. In der nächsten, regulären Folge von About Security geht es dann wieder um die Untersuchung von Werten wie z.B. Session-Token.

Carsten Eilers

About Security - Übersicht zum aktuellen Thema:

• About Security: Ein Bericht von der CeBIT 2006
• About Security: Ein Bericht von der CeBIT 2007
• About Security: Ein Bericht von der CeBIT 2008
• About Security: Ein Bericht von der CeBIT 2009