Sparkasseninformatik

Mitarbeitern bei Prüfungen verursachte Schäden eine Schadensersatzpflicht des Landes Hessen lediglich im Rahmen der allgemeinen Grundsätze des Staatshaftungsrechts in Betracht kommt.

In Vorgesprächen mit dem Sparkassen- und Giroverband Hessen-Thüringen und der Sparkasseninformatik GmbH & Co KG (SI) wurden zunächst die Netzwerkstruktur und die Zuständigkeiten für die einzelnen Abschnitte des Sparkassennetzwerks geklärt. Die SI betreibt das so genannte Primärnetz, das der Anbindung der einzelnen Kreditinstitute an die zentralen Anwendungen, die im Wege der Auftragsdatenverarbeitung ebenfalls von der SI an verschiedenen Standorten in Deutschland bereitgestellt werden, dient. Die so genannten Sekundärnetze der einzelnen Sparkassen werden entweder noch in Eigenregie betrieben oder von der SI verwaltet. In jedem Fall hat die SI die Sparkassen vertraglich verpflichtet, bei allen am Netz angeschlossenen Komponenten bestimmte sicherheitsrelevante Standards einzuhalten.

Da zunächst die Netzwerksicherheit in den Sparkassen überprüft werden sollte, beschränkten sich die Prüfungen auf die Sekundärnetze. Die Auswahl der Sparkassen erfolgte nach repräsentativen Gesichtspunkten.

In den zentralen Vorgesprächen wurden auch einige Eckpunkte zum Prüfungsablauf festgelegt, um sicherzustellen, dass die Prüfung den Geschäftsbetrieb nicht mehr als unvermeidbar beeinträchtigte. Der sich daraus abzeichnende Prüfungsablauf wurde den ausgewählten Instituten im Rahmen individueller Vorbereitungstermine dargestellt. Diese Termine wurden auch dazu genutzt, die notwendigen Informationen über die Netzwerkdetails der einzelnen Häuser und deren Serverlandschaft zu gewinnen. Durch diese Vorgehensweise war es möglich, die Prüfungen jeweils auf einen Tag zu begrenzen und trotzdem einen aussagefähigen Querschnitt an Komponenten zu prüfen. Bei den insgesamt zwölf Terminen kam es erfreulicherweise auch nur zu einer einzigen Serverstörung, bei der die Anwendungssoftware durch den Portscan unmittelbar zum Absturz gebracht wurde.

Bei der von meinen Mitarbeitern eingesetzten Prüfsoftware handelte es sich um ein Instrument zur automatisierten Schwachstellenanalyse (vgl. 30. Tätigkeitsbericht, Ziff. 14.5 und 32. Tätigkeitsbericht, Ziff. 19.3). Damit können die Systemeinstellungen verschiedener Betriebssysteme und aktiver Netzwerkkomponenten ermittelt und die TCP/IP-Ports überprüft werden. Bei der Parametrisierung der einzelnen Prüfläufe wurde auf die Option, die es erlaubt Angriffe auf Systeme zu simulieren, bewusst verzichtet, um auch im Interesse der Sparkassenkunden den Betrieb nicht zu gefährden.

Ergebnisse:

Auch wenn keine gravierenden Mängel bei den geprüften Netzwerkkomponenten festgestellt werden konnten, so waren doch einige wiederkehrende Defizite zu verzeichnen:

Die so genannte „Nullsession" (auch „anonymer Zugriff" genannt) bietet bei Windows-Betriebssystemen die Möglichkeit, anonym, d. h. ohne Authentifizierung durch Domäne, Benutzername und Passwort auf einige Bereiche eines WindowsSystems lesend zuzugreifen. Dies sind im Wesentlichen eine Liste der Benutzer- und Gruppennamen, die Netzwerkfreigaben und die Systemregistrierung. Hierüber lassen sich auf einfache Art und Weise Informationen über ein WindowsSystem, das über ein Netzwerk erreichbar ist, beschaffen.

Durch Deaktivieren des anonymen Zugriffs lassen sich diese Informationen vor potenziellen Angreifern auf einfache Weise verbergen, was in den neueren Windows-Versionen (Windows 2003) auch standardmäßig der Fall ist.

Bei älteren, kritischen Systemen sollte der anonyme Zugriff daher nach ausgiebigem Test aller Anwendungen nachträglich deaktiviert werden.

7.2.1.2.2 Installation nicht benötigter Komponenten Teilweise wurden auf den untersuchten Systemen installierte Dienste und Anwendungen vorgefunden, die für den täglichen Betrieb nicht benötigt werden. Dies gilt besonders für mit dem Betriebssystem Windows 2000 betriebene Server, da dieses Betriebssystem grundsätzlich alle Dienste und Anwendungen installiert und der Administrator alle nicht benötigten Komponenten nachträglich manuell deinstallieren muss.

Da permanent neue Schwachstellen bei Anwendungen und Diensten festgestellt werden, gilt die generelle Aussage, dass jede überflüssige Applikation ein potenzielles Einfallstor für Angreifer darstellt und daher unverzüglich entfernt werden sollte.

7.2.1.2.3 Patch-Management:

Sofern die Möglichkeit eines zentralen Patch-Managements besteht (Windows-Anwendungen: SMS, SUS, WSUS, weitere Anwendungen von Drittanbietern) sollte diese auch genutzt werden.

Dies beinhaltet selbstverständlich einen Test der Anwendungen vor dem Rollout der Patchpakete.

7.2.1.2.4 Berechtigungen Grundsätzlich gilt, dass für Ordner und Netzwerkfreigaben nur die Berechtigungen vergeben werden sollen, die für den ordnungsgemäßen Betrieb nötig sind. Dies gilt besonders nach dem Ausscheiden von Mitarbeitern und Änderungen in der Organisation.

Beachtet werden sollte, dass die Berechtigungen entweder auf Ordner- oder Freigabeebene gesetzt werden, da ansonsten die Fehlersuche bei Zugriffsproblemen erschwert wird.

7.2.1.2.5 Administrative Gruppen:

Neben den Gruppen „Administratoren" und „Domänen-Admins" gibt es weitere Gruppen mit sicherheitskritischen Funktionen, die periodisch auf Aktualität geprüft werden sollten: Dies sind die Konten- und Sicherungsoperatoren. Kontenoperatoren haben im Bereich der Benutzerverwaltung erweiterte Rechte, Sicherungsoperatoren im Rahmen des Dateizugriffs bei der Sicherung. SNMP stellt ein wichtiges Protokoll zur Netzwerküberwachung dar. Da die Sicherheit dieses Protokolls nur auf den so genannten „Community-Namen" basiert, sollten die im Protokoll selbst standardmäßig implementierten Communities „public" (Lesezugriff auf die SNMP-Informationen) und „private" (Schreibzugriff auf die SNMP-Informationen) durch eigene, nicht zu triviale Community-Namen ersetzt werden.

Ferner sollte der Zugriff auf die SNMP-Informationen über Zugriffskontrolllisten (ACL) und Firewall-Einstellungen auf die nötigen Mitarbeiter bzw. Systeme beschränkt werden.

Die Windows-Programme „Traceroute" und „ping" stellen eine wichtige Komponente des ICMP-Protokolls dar und sind für den Betrieb eines Netzwerks und die Fehlersuche unerlässlich. Gleichwohl lassen sich über diese Befehle wesentliche Netzwerkinformationen beschaffen: Der Befehl „ping" prüft die generelle Erreichbarkeit eines Systems im Netzwerk. Da die Antwortpakete unter anderem einen Zeitstempel enthalten, lässt sich somit die Systemzeit dieses Systems ermitteln, welche einen Ansatzpunkt für zeitbasierte Kryptographie-Komponenten (Kerberos) darstellen kann. „Traceroute" dient ebenfalls der Überprüfung der Erreichbarkeit, hier werden zusätzlich noch die Netzwerkknoten, die auf dem Weg zum Zielsystem passiert werden, aufgelistet. Damit lassen sich wertvolle Informationen über die Topologie eines Netzwerks gewinnen.

Es ist daher zu empfehlen, ICMP nur auf das lokale Netzwerk zu beschränken und ICMP-Zugriffe nach/von außerhalb des lokalen Netzes auf geeignete Weise zu reglementieren (Paketfilter, Firewall).

Auf fast allen untersuchten Windows NT-Systemen fanden sich die so genannten „Einfachen TCP/IP-Dienste", eine Sammlung von Netzwerkdiensten (z. B. „echo" und „chargen").

Für diese Dienste gilt das zu Ziff. 7.2.1.2.2 Gesagte: Sofern sie nicht benötigt werden, sollten sie deinstalliert werden.

7.2.1.2.9 Netzwerkdienste Oracle-Datenbanken Datenbanken stellen einen wesentlichen Teil ihrer Funktionalität im Netzwerk bereit. Bei den untersuchten OracleDatenbanken wurde festgestellt, dass der Dienst „TNS-Listener" ohne Passwort zugänglich war. Damit waren unter bestimmten Voraussetzungen DoS-Angriffe auf die Datenbank möglich, was insbesondere unter dem Gesichtspunkt der Verfügbarkeit ein Problem darstellt.

DoS-Angriffe Massenhafte, teilweise unsinnige Anfragen an den Server, die zum Stillstand der Anwendung oder des Servers bzw. zum Absturz des Servers führen.

Da sich dieser Dienst auf einfache Weise über eine Passwort-Authentifizierung absichern lässt, sollte dies auch umgesetzt werden.

7.2.1.2.10 Microsoft SQL-Server:

Bereits vor ca. zwei Jahren wurde publiziert, dass die Installation des Microsoft SQL-Servers in seiner damaligen Fassung ein wesentliches Problem beinhaltet: Die Installationsroutine ließ es seinerzeit zu, dem administrativen Benutzer „sa" (System Attendant) kein Passwort zuzuweisen (dies ist bei den aktuellen SQL-Server-Versionen nicht mehr möglich). Problematisch ist vor allem, dass dieses Sicherheitsproblem vor allem bei älteren Installationen mittlerweile im wahrsten Sinne des Wortes „vergessen" wurde. Trotz des Bekanntmachens dieser Schwachstelle wurden noch einige SQL-ServerInstallationen aufgefunden, deren Benutzer „sa" ohne Passwortschutz war.

Sofern daher ältere MS SQL-Server-Installationen im Netz vorhanden sind, sollte diese Einstellung unverzüglich überprüft werden.

7.2.1.2.11 Dokumentation:

Besonders dann, wenn eine Anzahl von netzwerkfähigen Eigenentwicklungen in einem Netzwerk betrieben wird, ist eine Dokumentation dieser Komponenten unerlässlich. In der heutigen Zeit umfasst die Masse der Schadsoftware trojanische Pferde und Backdoor-Programme, die Verbindungen zu fremden Server aufnehmen, um Informationen von den befallenen Rechnern dorthin zu übertragen. Selbst wenn die für die Übertragung verwendeten Ports an Netzübergängen durch eine Firewall blockiert werden, hilft eine Liste der im lokalen Netz zulässigen Ports (inkl. der Server, die die Dienste bereitstellen und ggf. der Clients, die diese Dienste legitim nutzen dürfen) Anomalien im Netzwerkverkehr aufzuspüren und zu beseitigen.

7.2.1.2.12 Sonstige Feststellungen:

Im Rahmen der Prüfung wurden zwei weitere Problemfelder von grundsätzlicher Bedeutung untersucht: DNSZonenübertragung und SMTP-Relaying.

Zonenübertragung ist der Austausch von Informationen zwischen DNS-Servern (Domain Name System). DNS stellt einen wesentlichen Eckpfeiler der TCP/IP-Kommunikation dar, es ist deshalb unerlässlich DNS-Informationen (so genannte Zonen) aus Gründen der Ausfallsicherheit mehrfach vorzuhalten. Die Zonen-Informationen werden auf einem primären Server gepflegt und bei Änderung an die sekundären Server übertragen; dies wird als Zonenübertragung (oder Zonentransfer) bezeichnet. Standardmäßig reglementiert ein DNS-Server diesen Transfer nicht, d. h. jeder, der die zur Initialisierung notwendigen Befehle kennt, kann diese von einem DNS-Server abrufen. Da diese Zoneneinträge ­ analog zu den Ausführungen im Punkt 7 ­ wesentliche Informationen eines Netzwerks darstellen, sollte die Berechtigung für Zonenübertragungen über die Einstellungen des DNS-Servers reglementiert werden.

SMTP-Relaying (Weiterleitung) ist eine Grundeinstellung aller Mailserver. Sofern diese Einstellung am Server nicht geändert wird, kann über einen solchen Server eine Nachricht mit jeder beliebigen Absenderadresse an jeden beliebigen Empfänger versandt werden. Dies ist einer der Gründe, warum Spam im heutigen Internet eine solche Bedeutung hat: Sofern das Weiterleiten auf einem Server eingeschränkt ist, ist es nur noch möglich eine Mail über diesen Server zu transportieren, wenn entweder der Absender oder der Empfänger ein Benutzer auf dem System ist.

Die Einstellungen des lokalen Mailservers sollten dahingehend überprüft werden und ­ falls möglich ­ sollte diese Weiterleitungsmöglichkeit deaktiviert werden.

8. Entwicklungen und Empfehlungen im Bereich der Technik und Organisation

Sachstand zur Zentralisierung der IT:

In diesem Jahr habe ich mit der Landesverwaltung weitere Schritte vereinbart, um potenzielle Sicherheitsrisiken strikt zentraler IT-Architekturen in den Griff zu bekommen.

In meinem 32. Tätigkeitsbericht habe ich die Probleme beschrieben, die sich aus meiner Sicht für eine IT-Architektur ergeben, bei der alle Daten zentral gespeichert werden sollen. Dieser Ansatz wird für die Hessische Landesverwaltung z. B. für ein Dokumentenmanagementsystem (DMS) verfolgt, welches Auslöser für die Diskussion war. Ergänzend ist eine Terminalserver-Architektur eingeführt bzw. geplant; d. h. die Benutzer bearbeiten die Daten, ohne dass die Dateien auf den Arbeitsplatzrechner übertragen werden. Die Technik wird in Richtung Web-basierter Zugriffe fortentwickelt.

Bei der Diskussion mit der Landesverwaltung über die Konsequenzen aus diesen Planungen wurde schnell klar, dass es unterschiedliche Sichten auf ein und denselben Sachverhalt gibt. In einem Workshop wurde Mitte des Jahres versucht, einvernehmlich die Probleme zu beschreiben, sie zu bewerten und von beiden Seiten akzeptierte Lösungswege zu erarbeiten.

Dies ist weitgehend gelungen. Die wesentlichen Ergebnisse des Dialogs stellen sich wie folgt dar: