Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

2010-02: Sicher bis zum Stillstand

Anschläge einer neuen Qualität bedrohen Flughäfen wie Landesgerichte. Denial of Service, also DoS, heißt die Zauberwaffe, die hier mitnichten Server und Netzwerke zum Ziel hat. Genial dabei: Die Sicherheitswächter der Legislative und Judikative schalten sich selber aus.

Angriff 1 – Justizministerin legt Justiz lahm

Justizministerin Brigitte Zypries engagiert sich sehr für die Interessen der Musikindustrie. Sie setzte denn auch deren Anspruch durch, Auskunft über die Benutzer von IP-Adressen zu erlangen. Das hehre Ziel: Illegalen Kopierern soll das Handwerk gelegt werden. Doch für Justitia ging der Schuss nach hinten los: Inzwischen liegen allein bei den 28 Kammern des Landgerichts Köln mehrere Zehntausend Zivilklagen gegen Tauschbörsenbenutzer vor. Ein klassischer DoS-Fall, denn bei diesen Gerichten geht in nächster Zeit garantiert „gar nichts mehr“.

Angriff 2 – Notebook blockiert Flughafen

Im Januar „flüchtete“ ein Mann mit verdächtigem Laptop Richtung Gateway – und ward nicht mehr gesehen. Zahlreichen Interpretationen zufolge wollte er nur seinen Flug erwischen. Aber er schaffte es damit, den kompletten Münchner Flughafen auf Stunden lahm zu legen. Ein DoS-Angriff wie aus dem Bilderbuch mit minimalen Mitteln.

Angriff 3 – Information Overflow

Die Attacke des Unterhosenbombers an Weihnachten ist eher einer Kategorie zuzuordnen, die jeder Administrator eines IDS unschwer als „Information overflow“ erkennt. Denn offensichtlich läuft inzwischen eine solche Fülle von Meldungen über „gefährdende Subjekte“ bei den Geheimdiensten ein, dass wichtige Infos untergehen. Terroristen sind gut beraten, noch ein paar Infos mehr zu streuen und damit ihre Geheimdienstgegenspieler wegen Informationsüberflutung gänzlich auszuschalten..

Clevere Terroristen

Clevere Terroristen erreichen also mit Angriffsvarianten der Sorte „Security 2.0“ ihre Ziele weit wirkungsvoller und subtiler als mit den bisher übliche Brachial-Methoden per Sprengstoff und Maschinenpistole – und mit weit weniger Gefahr für Leib und Leben: Dafür sollten sie sich bei unseren sicherheitsfanatischer Politikern und Beamten bedanken: Deren Hyperaktivität mit Eintritt des vermeintlichen Worst Case nämlich, schafft es, die Gesellschaft in kürzester Zeit lahm zu legen. Also, liebe Angreifer: Androhung genügt, Attacke rollt.

Ich als Security Consultant postuliere daher vehement ein weiteres Schutzziel zusätzlich zu denen der Verfügbarkeit, Vertraulichkeit und Integrität: Die „Verfügbarkeit von Recht“, also einer Rechtsprechung, ohne die eine Demokratie nicht funktionieren kann. Leider wird dieses Schutzziel ständig durch schnell installierte Schutzziele anderer Art, der „Verfügbarkeit von Unternehmensgewinnen“ oder der „Beibehaltung eines politischen Amts“ konsequent vereitelt.

Installation Instructions for CVSS Calculator

Managing Vulnerabilities using the Common Vulnerability Scoring System

Author:

Hartmut Goebel <h.goebel@goebel-consult.de>

Copyright:

© 2009-2010 by Hartmut Goebel

Homepage:

http://www.goebel-consult.de/cvss/

Installation on Windows-Systems

For Windows it is recommended to use the provided installer package.

Alternatively you may follow the installation instructions below. But mind: there is no software repository for Windows like there is for Linux distributions, thus collecting the requirements for Windows is troublesome.

Installation on other Systems

Installation Requirements

CVSS Manager requires

  • Python 2.5 or 2.6 (2.7 is untested; 2.4 does not work, neither does 3.x)

  • GTK 2.12

  • pygtk 2.0

  • Python setuptools or distribute (see below).

On a typical Linux system, using a recent distribution, installing these requirements should be as easy as running one of these commands:

$ yum install  pygtk2.0  python-setuptools # Redhat, Fedora
$ urpmi        pygtk2.0  python-setuptools # Mandriva
$ yast install pygtk2.0  python-setuptools # Suse, OpenSuse
$ apt get      pygtk2.0  python-setuptools # Debian, Ubuntu

If your system does not provide python-setuptools, you can easily install it using these commands:

$ wget http://peak.telecommunity.com/dist/ez_setup.py
$ python ez_setup.py --help    # get list of options
$ python ez_setup.py           # download and install

The EasyInstall installation instructions have tips for dealing with firewalls as well as how to manually download and install setuptools.

Installation

Once you installed the requirements, you may install CVSS Manager by simply running:

easy_install cvssmanager   # system wide installation

This will download and install the appropriate version of CVSS Manager. If this does not work for you, please refer to the EasyInstall installation instructions for help.

Tips

  • Custom Installation Locations:

    You may install CVSS Manager to another location you may use a command line like this:

    # install into your Home directory
    easy_install -s ~/bin -d ~/lib/python cvssmanager
    

    For more information about Custom Installation Locations please refer to the Custom Installation Locations Instructions before installing CVSS Manager.

  • Manual Download / Bypassing Firewalls:

    If your firewall prohibits Internet access by easy_install, simply download the package (.egg) manually and install it like this:

    easy_install ./cvssmanager-0.1-py2.6.egg
    

    You need to download the package which matches your Python version. To find out which version of Python is installed on your system, you may run python -V.

Verteilte Massenscans mit OpenVAS

Für einen deutschen Konzern habe ich ein Konzept entwickelt, um Schwachstellentests für Massen von Geräten durchzuführen. Das Netz des Konzerns enthält zirka 130.000 Geräte, davon gehören ca. 80.000 zu dem Unternehmensbereich, der meine Expertise eingekauft hat.

Für einen deutschen Konzern habe ich ein Konzept entwickelt, um Schwachstellentests für Massen von Geräten durchzuführen. Das Netz des Konzerns enthält zirka 130.000 Geräte, davon gehören ca. 80.000 zu dem Unternehmensbereich, der meine Expertise eingekauft hat.

Wie in Konzernen üblich, haben wir gewachsene Strukturen, sprich: wir haben keine genauen Informationen, welche Geräte nun zu diesem Unternehmenbereich gehören und welche nicht -- letztere dürfen wir dann auch nicht anfassen, sonst gibt's Ärger. Erschwert wird das noch durch mobile User, die teilweise aus dem Ausland kommen. Network Access Control (NAC) gibt es in dem Netz natürlich nicht, das wäre ja zu einfach ;-)

Ich habe nun ein zweistufiges Konzept entwickelt: In der ersten Stufe werden alle bekannten Geräte herausgesucht -- das ist mühsam, aber sonst nicht weiter interessant. In der zweiten Stufe werden die identifizierten Geräte dann auf Schwachstellen gescannt. Das Konzept sieht folgende Punkte vor:

  • Webinterface,

  • Datenbank mit den Geräten, Gerätearten, Standorten und Scan-Aufträgen,

  • Geräte können nach verschiedenen Kriterien aus der Datenbank selektiert werden (Standort, IP-Adresse, Gerätetyp, etc.),

  • verschieden Scan-Profile, z.B. Arbeitsplatzrechner, Unix-Server, Windows-Server, Drucker,

  • im Unternehmensnetz verteilte "Sensoren", und

  • Ergebnisse werden zentral gesammelt.

Als Scanner ausgewählt wurde OpenVAS. Zum Einen, weil keine Lizenzkosten anfallen, zum Anderen, weil es sehr flexibel ist.

Leider soll das verteilte Scannen erst im Herbst 2010 implementiert werden. Aber OpenVAS hat ein Management-Schnittstelle (OMP), über die sich Scan-Jobs anlegen und starten lassen, und die Daten landen in eine sqlite-Datenbank. Damit waren "nur" ein paar Skripte nötig, um die gewünschte Funktion zu implementieren.

Die Eckpunkte sind: Ein Skript trägt die Scanaufträge in die Datenbank ein. Ein Cronjob sucht neue Scan-Aufträge, verteilt sie (per OMP) an die Sensoren, holt dort die Reports der fertiggestellten Aufträge ab und pflegt sie in die OpenVAS-Datenbank auf dem "Master". Auf dem Master läuft ebenfalls ein OpenVAS-Webfrontent (der gsa), um die Reports anzusehen.

2010-01: Der Weitblick für den Weitblick

Alles wieder unter Kontrolle! Das Chaos mit den“kaputten“ Chips auf den EC-Karten gehört der Vergangenheit an – hoffentlich. Hoffentlich nutzen die Verantwortlichen auch die kalten Tage auch wirklich, um zu Hause zu bleiben und machen sich in aller Ruhe bei einer Kanne Tee und dem Rest des Weihnachtsstollens über die wirklichen Ursachen des Desasters Gedanken.

Der Ärger war groß, der Schaden für viele Geschäftsleute ebenso. Auch wenn findige Mitmenschen fix eine Lösung parat hatten: Einfach den Chip überkleben, der Kartenleser liest den Magnetstreifen statt des Chips aus und ratzfatz klappt's wieder mit der Kartenzahlung.

Diese Idee fanden dann die Banken selbst so genial, dass sie die Methode gleich großflächig übernahmen: Sie „überkleben“ sozusagen in allen Zahlstationen und Geldautomaten. Und siehe da, es funktioniert wieder! Leider aber ganz massiv auf Kosten der Sicherheit: Denn mit diesem Geniestreich machten die Banken eine Zeitreise rückwärts – und versetzten ihre Geldautomaten und Zahlstationen auf das Sicherheitsniveau von vorgestern.

Also aufgepasst, liebe Betrüger. Kartenbetrug ist jetzt so einfach wie schon lange nicht mehr. Nutzt die Chance, denn das Window of Opportunity wird bald wieder geschlossen sein.

Denn erstens funktioniert die Methode im Ausland nicht – denn dort sind Magnetstreifen kaum mehr akzeptiert, weil sie als zu unsicher eingestuft wurden. Und ab dem 30. Juni 2010 dürfen Geräte mit einem derart mangelhaften Sicherheitssystem (Magnetstreifen) generell nicht mehr am Girocard-Verfahren teilnehmen. Die Deutschen Banken müssen sich also sputen, die Ursache zu beseitigen. In den nächsten Wochen werden die Geldautomaten im Schnellverfahren zu Chip-Programmier-Stationen umfunktioniert und so die betroffenen Chips mit neuer Software versorgt. Schließlich sind ja „nur“ an die 30 Millionen Karten betroffen, statistisch gesehen also hat jeder dritte Kartenbesitzer eine.

Wieso aber kam es überhaupt zu dieser Peinlichkeit? Hätte man nicht annehmen dürfen, dass die Experten, nachdem sie die Jahrtausendherausforderung gemeistert haben, nicht auch einen Zehnerwechsel gut hinkriegen? Müssen wir befürchten, dass in den nur zehn Jahren seit dem Jahr 2000 alles Wissen über die Probleme bei Datumswechsel verloren gegangen ist? Das ist Faktor 1 : 100. Und ist dann das nächste Desaster am 6. Februar diesen Jahres zu erwarten?

Wohl eher nicht. Denn die Programmierer sind Großteils dieselben und sicherlich auch nicht dümmer geworden. Aber: Die P der Software stehen unter Druck, die Dienstleistung soll immer billiger werden, deshalb müssen zu wenige Programmierer zu viel Code erstellen. Denn Programmierer kosten Geld, gute Programmierer noch mehr. Trotz aller Tools und Entwicklungsmodelle hat Softwareentwicklung nach wie vor sehr viel mit Erfahrung zu tun, die eben nur Experten mitbringen und die dann noch Zeit haben müssen, komplizierte Spezifikationen zu enträtseln.

Das Scheitern dieses Kostensparmodells wurde jetzt öffentlich: Das eingesparte Potenzial fällt im Form von Schadenersatz an – und den Image-GAU für die Bankkunden gibt es „kostenlos“ dazu. Denn auch das gehört zu IT-Security: Der Weitblick für Folgen jenseits der Technik. Aber auch dieser Weitblick kostet und dazu braucht das Management den Weitblick, dass es den Weitblick braucht.

Quellen:

2009-12: Schlechtes Systemmanagement gefährdet die Sicherheit

Prozesse, die zu umständlich sind oder zu lange dauern, veranlassen Mitarbeiter zu Umgehungsstrategien. Damit gefährden sie die IT-Sicherheit – obwohl sie einfach nur arbeiten wollen.

Neulich hatte ich bei einem Workshop in Wetzikon zu veranstalten. Den Laptop ans Netz angeschlossen und nichts ging. Die IP-Adresse, die ich per DHCP bekam, war im falschen Netz, denn mein Laptop war an diesem Standort nicht bekannt. Bis das Problem gelöst war, verging eine halbe Stunde. Dann kam ich endlich an meine Datenbank und der Workshop konnte beginnen.

Einige Wochen vorher hatte ich Software beantragt, die ich für meinen Workshop brauche. Alles, was nötig ist, gibt es prinzipiell als fertige Pakete in einem Katalog im Firmennetzwerk. Allerdings sind die Versionen teilweise unverantwortlich alt und die Software muss man in einem unglaublich komplizierten Bestellportal anfordern, das nur wenige Berufene beherrschen. Kein normaler Mitarbeiter versteht so richtig, welche Software er bestellen darf und deshalb muss er zum Bestellen immer zu einem Bestell-Beauftragen laufen.

Nach diesen Erlebnissen haben mir die Kollegen geraten, zu Klaus-Peter zu gehen. Klaus-Peter ist zuständig für Ausnahmegenehmigungen für Administrator-Rechte. Er hilft gerne, damit die oben genannten Probleme zu umschiffen. Lieber würde er zwar nur die Rechte zur Netzwerkverwaltung vergeben, aber dafür gibt es kein Formular. Die Leuten müssen schließlich arbeiten. Also vergibt er an besonders vertrauenswürdige Kollegen gleich Administrator-Rechte für ihren Rechner.

Auch ich habe inzwischen diese Ausnahmegenehmigung erhalten. Frisch mit Administrator-Rechten ausgestattet, kann ich nun die Netzwerkeinstellungen selbst an den Standort anpassen, in dem ich gerade bin. Auch die Software, die mir gefällt, installiere ich einfach selbst. Um Updates kümmere ich mich dann, wenn ich mal dran denke. Und weil ich schon am Software-Installieren bin, kommt auch noch ein Torrent-Client auf meinen Rechner. Da motzt zwar der Virenscanner, aber den schalte ich einfach ab.

Na, schnackelt es?

2009-11: NAT bringt keine Sicherheit

Immer wieder ist zu lesen, NAT (Native Address Translation) würde zur Sicherheit des Firmennetzwerks beitragen. Erst vor einigen Wochen nahm ein Leserbriefschreiber im iX Magazin diese Mär' gar als Argument gegen IPv6. Das ist schlichtweg ziemlicher Blödsinn!

Es gibt mehrere Varianten von NAT und auch mehrere Namen dafür (z.B: PAT – Port Address Translation). Bei meinen Ausführungen hier beziehe ich mich ausschließlich auf das sogenannte „dynamische NAT“. Denn die anderen Varianten – insbesondere statisches NAT, also die direkte 1:1-Umsetzung von Adressen/Ports – bieten noch weniger Sicherheit.

Woher kommt also die verbreitete Meinung, dass NAT zur Sicherheit eines Netzwerkes beiträgt? Oder besser gesagt, vor welchen Risiken meinen diese „Sicherheitsexperten“, dass NAT überhaupt schützen sollte?

NAT verursacht zwei Dinge:

Erstens verhindert NAT, dass jemand von außen die Struktur eines internen Netzes erkennt. Doch es stellt sich unter dem Sicherheitsaspekt die Frage: Inwiefern ist die Topologie Ihres Netzes für einen Angreifer überhaupt wichtig? Was hat ein Angreifer davon, wenn er die Topologie Ihres Netzes kennt? Und hätten Sie kein NAT, käme ein Angreifer dann wirklich so einfach an die Informationen zur Netztopologie? Der Aufwand ist auch ohne NAT dafür nämlich ziemlich groß – also viel Aufwand für wenig Nutzen.

Aber nehmen wir dennoch mal an, die Topologie Ihres Netzes wäre höchst vertraulich. Ist NAT dann wirklich das richtige Mittel, diese Information zu schützen? Ich behaupte: Nein, NAT ist dafür unzureichend. Denn Informationen über die Topologie Ihres Netzes können auch durch viele Seitenkanäle sickern. Am deutlichsten wird dies in Mailheadern.

Zum zweiten Punkt, der oft als Argument für NAT angeführt wird: Es erschwert es NAT einem Angreifer, ins Netz einzudringen: Dies verhindert nämlich die Status-Tabelle, die der Router für dynamisches NAT benötigt. Sie funktioniert ähnlich der State Table einer Firewall, die unbekannte Pakete nicht durchlässt. Da jedoch heutzutage jeder billige WAN-Router eine Statefull Firewall eingebaut hat – die mehr leistet –, ist NAT für diesen Zweck einfach unnötig.

Soweit zum angeglichen Sicherheitsgewinn durch NAT. Dagegen steht, dass man für dieses geringe Mehr an Vertraulichkeit mit NAT bei der Authentizität, der Stabilität und der Verfügbarkeit In Kauf nimmt. Denn NAT ist und bleibt eine Notlösung, ein Hack. Eine ganze Reihe wichtiger Protokolle haben Probleme mit NAT: FTP, SIP, H.323, IPSec. Um diese Protokolle überhaupt mit NAT nutzen zu können, braucht es komplexe Software, bei IPSec sogar einen aufwändige Erweiterung wie NAT-Traversal. Zwar ist für die genannten Protokolle das NAT-Problem bereits gelöst, aber bei zukünftigen Protokollen werden Entwickler und Administratoren wieder mit NAT zu kämpfen haben.

Seien wir also froh, wenn wir mit IPv6 NAT endlich Lebewohl sagen können.

Und wer die Topologie seines Netzes unbedingt verstecken will, dem rate ich zu einem Proxy. Der kann dann auch gleich Cachen und Viren filtern.

Ist die IT-Security auf dem Holzweg?

Hartmut Goebel beim Security Panels auf der it-sa in Nürnberg

Hartmut Goebel beim Security Panels auf der it-sa in Nürnberg

Hochkarätige Themen, hochkarätige Diskutanten: Ein Highlight des Kongressprogramms auf der it-sa – dem Treffpunkt des Who´s who der Sicherheitsbranche – ist das Security-Panel des (ISC)² und des it-sa-Veranstalters des SecuMedia Verlags.

(ISC)² versteht sich als eine Standesorganisation der Security-Branche und vergibt das hochkarätige Zertifikat der CISSPs (Certified Information Systems Security Professional). In der Expertenrunde debattieren demnach fast durchwegs CISSPs wie Hartmut Goebel von Goebel Consult, die über fundierte und langjährige Erfahrung in allen Bereichen der IT-Sicherheit zu Hause sind und die wissen, wovon sie reden.

Inhalt der Diskussion

Kaum ein Tag vergeht ohne Meldungen über neue Sicherheitslücken. DOS-Angriffe, Spam- und Malware-Atacken über Botnetze und Datenklau über Web 2.0-Anwendungen gehören zum Alltag der Sicherheitsverantwortlichen in den Unternehmen. Gleichzeitig professionalisiert sich die Internet-Schattenwirtschaft, sodass sich die Bedrohungslage weiter verschärft. Es stellt sich die Frage, ob die IT-Security so weitermachen kann wie bisher bzw. mit welchen Konzepten sie den Wettlauf mit Cyberkriminellen und Insider-Bedrohungen gewinnen will?

Ich möchte Sie herzlich einladen, unsere Diskussion bei dem Security-Panels auf der it-sa live zu verfolgen.

Dienstag, den 13.10.2009, 14—15 Uhr
Security Messe it-sa
Messe Nürnberg
Auditorium in Halle 5

Nach der offiziellen Runde bin ich gespannt auf Ihre Fragen und freue ich mich, mit Ihnen persönlich weiter zu diskutieren.

2009-10: Schwarz-Gelb: Barrierefreier Datenzugang

Was bedeutet der Ausgang der Bundestagswahl für die Informationssicherheit?

Die nächsten vier Jahre Bundespolitik werden spannend: Die Mehrheit des Bundestags besteht nun aus CDU/CSU und FDP, die recht unterschiedliche Ansichten zu Persönlichkeitsrechten, Datenschutz und Informationssicherheit vertreten. Die Süddeutsche Zeitung formuliert es in ihrer Ausgabe vom 1. Oktober 2009 so: „Beim Thema Innere Sicherheit verbindet die CDU/CSU und die FDP rein gar nichts. Es gibt keine gemeinsamen Elemente. Man nennt das eine leere Menge“.

Die große Frage ist nun, wie diese leere Menge gefüllt werden wird und wer sie füllen wird. Auf der einen Seite steht die CDU, die sich in den letzten Jahren, ja schon Jahrzehnten, um den Aufbau einer leistungsfähigen Überwachungs-Infrastruktur sehr verdient gemacht hat. Allen voran der Innenminister, der mit großem Eifer alle verfügbaren Daten über uns Bürger hortet, dicht gefolgt von einer Familienministerin, die – unter dem Deckmäntelchen des Kinderschutzes – fanatisch die Zensur-Infrastruktur für das Internet voran treibt.

Auf der anderen Seite die FDP – tief gespalten in der Frage des Datenschutzes. Vertreten von der liberalen ehemaligen Bundesjustizministerin Sabine Leutheusser-Schnarrenberg, die derzeit wieder für das Amt der Justizministerin gehandelt wird. Sie trat 1995 von ihrem Amt zurück, da sie den Beschluss des Großen Lauschangriff nicht mit verantworten konnte und wollte. Eben diese große Attacke auf die Bürgerrechte beschloss jedoch eben jene FDP mit, die in ihrem aktuellen Wahlprogramm die Bürgerrechte stärken will. Da sich ein sinnvoller Datenschutz jedoch für so manches Unternehmen als belastend und hinderlich erweisen kann, ist zu befürchten, dass FDP-Frontmann Guido Westerwelle diese Maßnahmen seinen Wirtschaftslieblingen gerne ersparen würde.

Darf der deutsche Bürger von der neuen Koalition also eher erwarten, dass seine Rechte auf Schutz der persönlichen Daten künftig besser gewahrt werden? Oder bedeutet Schwarz-Gelb einen weitgehend „barrierefreien Zugang“ der Regierung auf alles was Bürgerdaten heißt?

Ich persönlich befürchte, in der Konstellation Schwarz-Gelb wird es eher nichts mit dem Abbau bundesweiter Datenbanken, in denen Steuernummern, DNA, Verbrecher, Verdächtige, Telefonverbindungs- und Stammdaten en masse erfasst werden. Alles auf Vorrat, alles für alle Fälle. Man weiß ja nie, wer der nächste Bösewicht ist. Jeder ist verdächtig!

Ich glaube deshalb nicht an einen verbesserten Datenschutz, weil man die Chance verstreichen ließ, die sich angesichts der Skandale bei Bahn, Telekom, Lidl, Schlecker oder Deutscher Bank eröffnet hat, die Initiative zu ergreifen. Damals wäre das Eisen heiß, die Vorfälle frisch und die Stimmung günstig gewesen, Verbesserungen des Datenschutzes durchzusetzen. Doch die Furcht der unternehmensnahen Flügel der großen Koalition war zu groß, ihrer wirtschaftliche Klientel zu vergrätzen. Mit der FDP in der Regierung werden diese Unternehmen wohl noch mehr Gehör finden.

Schwarz-gelb bedeutet im Tierreich übrigens „Vorsicht, gefährlich“! Für den Datenschutz, befürchte ich, gilt dasselbe.

2009-09: Backup allein genügt nicht

Datensicherungen müssen auch außerhalb gelagert werden

Waren Sie schon einmal in Bremen? Dort gibt es nicht nur das mittelalterliche Schnoorviertel, sondern auch viele schöne Bürgerhäuser. In diesen Häusern mieten sich auch gerne Bürogemeinschaften junger, kreativer Unternehmen ein. Das sind wirklich Orte, an denen man gerne arbeitet.

In einem dieser Häuser wurde letztes Jahr eingebrochen – genau eine Woche nach der Büroeinweihungsfeier. Gestohlen wurden alle EDV-Geräte: nagelneue iMacs, Rechner, Monitore. Gestohlen wurden leider auch die Backup-Festplatten. Denn alle fünf Firmen hatten zwar brav und regelmäßig ihre Backups gezogen - doch die dann neben den Rechnern aufbewahrt. Die Backups waren also weg.

Fataler Denkfehler

Die Bremenr Kreativen – wie übrigens viele andere Unternehmen aus allen Branchen – einfach nicht zu Ende gedacht: Sie sahen das Backup lediglich als Absicherung gegen Hardware-Ausfall und Datenverlust. Übersehen haben sie die K-Fälle (Katastrophenfälle) wie Diebstahl und Feuer. Dabei hätte ein Blick auf das Internet-Portal BSI für Bürger, Abschnitt Datensicherung genügt. Dort wird ganz klar und eindeutig empfohlen: „Bewahren Sie [...] an unterschiedlichen Orten auf.“

Dabei waren die Bremer Firmen noch gut dran. Sie konnten sich das Gros ihrer Werke – zwar mühsam, aber immerhin - von ihren Kunden wiederholen. Aber stellen Sie sich ein kleines Buchhaltungsbüro vor, oder einen Rechtsanwalt, Dienstleister, die sensible Kundendaten mit Aufbewahrungsfristen bei sich lagern. Wenn da in der Wohnung neben dem Home Office das Fett in Brand gerät, Löschwasser und Rauch ins Büro nebenan dringen – weg die Daten, aus die Maus!

Ganz einfache Lösung

Dabei ist gerade für kleine Unternehmen die Gegenmaßnahme sehr einfach: Das Backup wird regelmäßig außerhalb des Büros gebracht - in ein Bankschließfach oder beim Geschäftsführer/Inhaber zu Hause. Ich kenne einen Softwareentwickler, der das DAT-Band des Backups auf seinen Geldbeutel klebt und immer mit herum trägt – zusätzlich zur Wochen-Kopie im Bankschließfach.

Eine interessante Ergänzung können auch (Gratis-)Webdienste für Backup sein. Die Zeitschrift c't hat erst eben im August einige getestet. Bedenken Sie aber bitte:

a) Prüfen Sie die SLAs oder Garantien, die der Dienst gibt. Nur damit kommen Sie im Notfall auch schnell wieder an Ihr Backup. Generell gilt: „You get what you pay for.“

b) Die Daten sollten bei Ihnen verschlüsselt werden. Nur so verhindern Sie effektiv, dass der Betreiber auf die Daten zugreifen kann. Allerdings brauchen Sie dann ein Backup des Schlüssels (ausdrucken und ins Schließfach legen).

Für größere Unternehmen empfehle ich einen Blick in das Grundschutzhandbuch, speziell die Bausteine B 1.4 Datensicherungskonzept, B 2.5 Datenträgerarchiv, und M 6.20 Geeignete Aufbewahrung der Backup-Datenträger.

Und privat?

Auch privat haben Sie sicher Daten, die sie nicht verlieren möchten. Einer der Webdienste könnte eine gute Lösung sein. Aber auch hier gilt: überlegen Sie gut, wem und wie Sie die Daten anvertrauen. Die Kopie des Gesundheitsfragebogens zu Ihrer letzten Versicherung könnte auch andere interessieren.