data security management Blog

Das Thema Krisenvorbereitung ist seit dem Beginn der sogenannten „Wirtschaftskrise“ wieder etwas mehr in den Fokus gerückt. Im großen Zusammenhang hat dies relativ wenig mit IT zu tun, aber es gibt Parallelen aus welchen wir interessante Erkenntnisse schöpfen können.

Ich denke niemand sieht gerne einer unangenehmen Situation ins Auge, auch wenn es nur das Nachdenken über unerwünschte Möglichkeiten ist. Als „Gewohnheitstier Mensch“ empfinden wir Veränderungen, welche nicht von uns aus geplant und gewollt sind, als zumindest ärgerlich.

Unsere westliche Welt scheint sicherer denn je zu sein. Noch nie kümmerte sich die westliche Bevölkerung so wenig um das Thema Krisenvorsorge wie heute, der Bedarf scheint einfach nicht mehr vorhanden zu sein.

Ein Beispiel: Noch in den 1980er Jahren war es in Österreich bei Neubauten Pflicht, einen strahlensicheren Schutzraum einzuplanen UND diesen auch tatsächlich zu bauen. Die drohenden Konflikte des kalten Krieges machte diese Richtlinie zum MUSS. Stahltür, Sandfilter… das volle Programm. Der Zivilschutz war aufgrund eines unberechenbaren Risikos aktiv.

Glücklicherweise löste sich dieser jahrzehntelange Konflikt Anfang der 90er auf, viele der damaligen Zivilschutz Bestimmungen wurden eingestellt – die sichtbare Bedrohung war weg, somit auch der Bedarf an zusätzlichen Schutzmaßnahmen.

Mittlerweile leben wir in Europa, auch dank der EU, in einem relativ krisensicheren Gebiet. Die Grundversorgung der Menschen ist schon längst Lebensstandard, das wirtschaftliche/technologische Niveau ist sehr hoch, keine wirklich sichtbaren Bedrohungen weit und breit.

Sich zurückzulehnen und keine Sorgen machen zu müssen ist ein gutes Gefühl. Vor allem dann, wenn man denkt in Sicherheit zu sein, da alles anscheinend wie am Schnürchen läuft. Warum sollte man in so einer Situation auch schlafende Hunde wecken indem man dennoch darüber nachdenkt, was im Problemfall passieren könnte UND wie man auf diese Eventualität vorbereitet ist.

WIE sicher wir heutzutage hinsichtlich Wirtschaft, Währung und Versorgung innerhalb Europas bzw. global wirklich sind, darüber lässt sich streiten. Aber darauf möchte ich hier auch nicht weiter eingehen – auch wenn ich Ihnen empfehle sich darüber einmal Gedanken zu machen. Die Zeichen der Zeit abseits offizieller Aussagen von Politik bzw. Medien (und Werbung) sprechen eine interessante Botschaft -> vertrauen Sie auf Ihren Hausverstand.

Vorsorge! Das bedeutet als erstes Initialaufwand! Warum sollte man sich das also antun?

Wie wenig macht man sich im Alltag darüber Gedanken, was die Zukunft bringt und welche Schritte man zur genannten Vorsorge setzen kann? Warum? Weil es kompliziert, aufwändig, zeitraubend oder teuer ist und Angst macht? Kommt ganz darauf an.

Ich spreche aus eigener Erfahrung wenn ich sage, dass es mich immer wieder erstaunt wie weit man eigentlich mit dem eigenen, gesunden Hausverstand kommt. Egal um welches Thema es sich handelt, die Grundzüge verschiedenster Thematiken, die Auswirkungen und Maßnahmen sind rasch greifbar und verständlich. Es ist ein Irrglaube, dass man vermeintlich komplizierte Themen in die Verantwortung (angeblicher) Experten delegieren muss. Natürlich macht Delegation weiterführend Sinn, aber wie diese Delegation letztlich aussieht – da gibt es große Unterschiede!

Ein Beispiel für gesunde Delegation: Hat mein Auto ein Problem, stelle ich es in eine Fachwerkstatt. Selber daran herumzupfuschen würde den Schaden (aufgrund meiner bescheidenen Fähigkeiten als Mechaniker) wohl nur erhöhen. Ich kenne die Werkstatt und weiß, dass diese gute Arbeit leistet. Etwaige Kostenvoranschläge lasse ich von Dritter Stelle prüfen bzw. schaue kritisch darüber(!). Mein Auto ist ausreichend versichert und mir ist bewusst, welche Probleme bei einem Auto seines Alters auftreten können. Des Weiteren ist mir klar, dass ich mein Auto für meine Tätigkeiten dringend brauche, ich aber bei meiner Werkstatt immer die Möglichkeit eines Ersatzwagens habe. Ein KFZ kostet laufend Geld und generiert erwartungsgemäß Wartungskosten, dies ist einkalkuliert.

Ein Beispiel für blindes Vertrauen: Mein Auto welches ich für die Ausführung meines Jobs dringend benötige bricht zusammen. Da ich es schnell wieder brauche, ich aber nicht weiß wo man rasch wirklich kompetente Hilfe bekommt versuche ich, den Schaden selbst irgendwie zu richten. Das schlägt fehl. Im Stress übergebe ich der erstbesten Werkstatt mein kaputtes Fahrzeug, im Vertrauen darauf dass diese alles richten wird. Ersatzwägen sind leider alle an Stammkunden verliehen. Tage später und einige verzweifelte Anrufe später bekomme ich das Fahrzeug endlich zurück, inkl. einer Rechnung die sich gewaschen hat. In der Zwischenzeit hatte ich alle Hände voll zu tun und großen Stress, das Tagesgeschäft ohne mein eigenes KFZ zu bewerkstelligen.

Überzogen? Unrealistisch? Alles schon erlebt… Die Lösung im obigen Beispiel ist einfach. Das versteht ein jeder, ganz klar!

Wie läuft für gewöhnlich Delegation in der IT ab?

Als Geschäftsführer einer Firma hat man die Aufgabe, das Unternehmen und die darin laufenden Prozesse mittels IT zu unterstützen. Da das Themengebiet IT sich rasant entwickelt, kompliziert ist (erscheint) und spezielles Wissen benötigt wird, bedient man sich in größeren Firmen einer eigenen IT Abteilung, kleinere Unternehmen greifen auf externe IT Dienstleister zurück. War das alles was die Geschäftsleitung tun muss? Die Gelben Seiten aufschlagen, Dienstleister raussuchen und von da an einfach arbeiten lassen?

Geschäftsleitung sowie IT Dienstleister haben oftmals das Problem, dass Sie nicht verstehen was der andere eigentlich sagt und wohin er letztendlich eigentlich will. Patt! Somit wird der Basisbetrieb so weitergeführt wie man es schon immer kennt. Der einzige richtungsweisende Indikator seitens des Unternehmens scheint „es muss halt laufen“ zu sein.

Ich denke diese, streng ausgedrückt, Unfähigkeit der Unternehmensführung klare Vorgaben zu kommunizieren hat zwei grundlegende Ursachen:

-          man weiß nicht, wie man die eigene IT aufgrund Ihrer Komplexität anders definieren soll

und was weitaus schlimmer ist

-          der Dienstleister stellt nicht die richtigen Fragen um geeignete Antworten zu erhalten

Die IT scheint von Haus aus aber weit komplizierter als ein Auto! Da hört sich die Sache mit dem Hausverstand doch schnell wieder auf, oder?

Krisenvorbereitung in der IT nennt sich im Fachjargon IT Risiko Management. Die Risiko Analyse startet diesen Prozess. Das wunderbare daran: zu allererst hat das Ganze rein gar nichts mit Technik zu tun, das kommt erst viel später, wenn die „Rahmenbedingungen“ geklärt sind.

Wenn Sie sich überlegen, was Sie persönlich in einer Krise, egal welcher, brauchen um diese gut zu überdauern, fallen Ihnen bestimmt viele wertvolle Hinweise ein.

Erweitern wir dieses Schema der „Gedanken zur Krise machen“ ein wenig. In der IT Risiko Analyse überleget man sich als ersten Schritt, was das eigene Unternehmen eigentlich von der IT benötigt, um ordnungsgemäß zu funktionieren. Welche Abteilungen sind davon abhängig, was klappt auch ganz gut ohne IT; was würde passieren, wenn einzelne oder alle IT Services ausfallen oder nicht korrekt arbeiten würden. Wer hätte unter Berücksichtigung der Ausfallszeiten damit ein Problem?

Wie die IT derzeit konkret aufgestellt ist, ist in diesem Schritt komplett egal. Ziel ist herauszufinden, was das Unternehmen zum Funktionieren braucht. Das ist alles.

Mithilfe der richtigen Methode, um nicht die Übersicht zu verlieren, generiert man genau jene Antworten, auf welche weiterführend aufgebaut werden kann. All das, was das Unternehmen braucht um zu funktionieren, weiß das Unternehmen selbst am besten. Diese Antworten können niemals von der IT kommen.

Wir haben also ein SOLL Bild des Unternehmens, d.h. was in welcher Ausprägung gebraucht wird, um die Geschäftsprozesse optimal zu unterstützen. Erst jetzt gehen wir dazu über, uns die derzeitige IT Infrastruktur anzusehen. Bei diesem Prozess kann sich die Geschäftsführung ausklinken, dieser Schritt ist teilweise technisch und geht vorerst ins Detail.

Als Ergebnis der derzeitigen „Lage der IT“ bekommen wir den IST Zustand. Vergleichen wir das SOLL mit dem IST, können wir Abweichungen erkennen und Maßnahmen überlegen, wie diese ausgeglichen werden. Die Entscheidung darüber, ob ausgleichende Maßnahmen getroffen werden, fällt wiederrum die Geschäftsführung – nachdem ihr erklärt wurde, welche Auswirkungen aufgespürte Risiken für das Unternehmen haben – und zwar auf Deutsch, ohne Fachchinesisch!

Für diesen Ansatz bzw. für das Erstellen einer vollen Risiko Analyse, benötigt man natürlich wiederrum Hilfe von Experten, welche einen in diesem Prozess führen. Aber dieser Prozess beginnt mit den organisatorischen Vorgaben des Unternehmens und zapft die Expertise der Geschäftsführung an – die IT ist dabei nur Beiwerk.

Das Kontrollwerkzeug Risiko Management ist ein mächtiges, da es die Kontrolle und Steuerung hinsichtlich Richtung der IT wieder zurück zur Geschäftsführung bringt. Entscheidungen können aufgrund von Transparenz, eigenem Verständnis und Risikoabwägung beschlossen werden. IT braucht richtige Führung und diese muss letztendlich von der Unternehmensspitze kommen. Der Fokus im Risiko Management liegt auf der konstruktiven Zusammenarbeit mit der eigenen IT Abteilung bzw. dem Dienstleister. Diese Audits bzw. Analysen sollte man aber an Dritte delegieren, denn es bringt nichts wenn sich der zu überprüfende selbst überprüft oder auf gut deutsch „der Hund seine eigene Wurscht bewacht“.

Wer sich damit selbst beschäftigen möchte und etwas Risiko bzw. IT affin ist, der findet im Internet auch einige gute Startpunkte. Das BSI oder die Wirtschaftskammer bieten beispielsweise kurz gehaltene, verständliche Fragelisten an, welche man einfach beantworten kann um sich einen ersten Überblick zu schaffen.

Sich mit Risiken (möglichen Krisen) der eigenen IT nicht auseinanderzusetzen, weil es angeblich zu komplex wäre bzw. erscheint, gilt spätestens jetzt nicht mehr.

Um welches Thema es sich auch handelt:

Wer Vorsorge trägt, der hat im Problemfall die besseren Karten in der Hand.

Die Vorbereitung auf unerwünschte Ereignisse (Krisen) macht nur dann Angst, wenn wir nicht wissen wie wir uns entsprechend vorbereiten können.

PS: Sollten Sie über das Thema IT Risiko Management mehr wissen wollen, können Sie uns natürlich jederzeit kontaktieren -> Data Management GmbH Risiko Management

Bei einigen unserer VMWare Projekte (konkret ESXi 5.0 u1) setzen wir statt Disk-based Backup auf Ultrium Laufwerke von HP. In diesem konkreten Fall war es ein external SAS LTO-5 Laufwerk welches über einen P212 Controller an den Server (HP ML370G6) angebunden war.

Das durchreichen des SCSI Devices an die virtuelle Backup Maschine klappte auch problemlos. Leider zeigte Backup Exec (2010 R3 inkl. aller Updates) nach einiger Zeit das Laufwerk immer wieder als offline an. Vorher funktionierten alle Backup Jobs problemlos.

Nach einiger Recherche kam heraus, dass der Betriebsmodus Storage Array Type:VMW_SATP_AULA in ESXi das Problem darstellt.

Um diesen umzustellen Bedarf es keinen Neustarts des ESXi Hosts. Dafür geht man wie folgt vor:

- das SCSI Backup Device von der virtuellen Maschine entfernen

- per SSH auf den ESXi Host einloggen (SSH kann über “Konfiguration” im VIClient bereitgestellt werden)

~# esxcli storage nmp device list

Device Display Name: HP Serial Attached SCSI Tape (naa.500110a0014b774a)

Storage Array Type: VMW_SATP_ALUA

Storage Array Type Device Config: {implicit_support=on;explicit_support=off; explicit_allow=on;alua_followover=on;{TPG_id=0,TPG_state=AO}}

Path Selection Policy: VMW_PSP_MRU

Path Selection Policy Device Config: Current Path=vmhba2:C0:T0:L0

Path Selection Policy Device Custom Config:

Working Paths: vmhba2:C0:T0:L0

- es muss der Storage Array Type des Ultrium Devices zu VMW_SATP_LOCAL geändert werden, dazu folgenden Befehl ausführen:
~# esxcli storage nmp satp rule add –satp=VMW_SATP_LOCAL  –vendor=”HP” –model=”Ultrium 5-SCSI”

- als nächstes noch folgenden Befehl durchführen:
~# esxcli storage core claiming unclaim –t location –A vmbha2 –C 0 –T 0 –L 0

~# esxcfg-rescan vmhba2

~# esxcli storage nmp device list

Danach sollte das Ultrium Laufwerk im Modus VMW_SATP_LOCAL laufen. Das SCSI Device kann der virtuellen Maschine wieder zugeordnet werden, allerdings mit einer anderen SCSI ID, d.h. nicht dieselbe wie vorher nehmen um Probleme (path locks) zu vermeiden. Bitte darauf achten, dass die HBA Pfade auf anderen Systemen evtl. anders aussehen können – entsprechend in den Befehlen ändern!

Mit der Umstellung auf den VMW_SATP_LOCAL Betriebsmodus gibt es auch keine Probleme mehr mit dem LTO-5 Device in der virtuellen Maschine.

Das Problem beschränkt sich übrigens nicht nur auf Backup Exec, sondern auch andere Software Produkte fallen über dieses Problem (ArcServe etc.)

PS: der Betriebsmodus VMW_SATP_ALUA passt übrigens perfekt für (aktuellere) FC Storage Lösungen mit multichannel HBA Anbindung bzw. redundanten Controllern (active/active).

Drehen Sie an der Windows Sicherheitsschraube?!

Windows Client bzw. Server Software kann unter der Haube mehr als Sie vielleicht erahnen.
Microsoft versucht seit einigen Jahren (und das mM. nach durchaus erfolgreich), die Sicherheit in seinen Produkten immer weiter zu verbessern.

Installiert man ein Windows oder Serverbetriebssystem, sind aber sehr viele der möglichen „Schrauben“ (sprich Einstellungen) auf Standardwerten, welche eine möglichst hohe Kompatibilität ermöglichen. Abseits der Systemsteuerung gibt es eine Unzahl von möglichen Konfigurationen, die so genannten Richtlinien.

Mit den Standardeinstellungen schenkt man sehr viel an möglicher, zusätzlicher Sicherheit her. Die Frage ist allerdings, welche Einstellungen problemlos möglich sind und welche tatsächlich eine Einschränkung seiner Systeme verursacht (bis zu „ich habe mich selbst ausgesperrt“). Im Wald der Richtlinien verliert man schnell den Überblick. Denn ganz ungefährlich ist die Sache dann doch wieder nicht. Man muss schon genau wissen was man konfiguriert.

Vor allem für Netzwerke bzw. Infrastrukturen bietet sich ein Review der Gruppenrichtlinien an. Ein sachtes anziehen der „Sicherheitsschrauben“ ist relativ leicht möglich.

Eine große Hilfe ist dabei der „Microsoft Security Compliance Manager“. Mit diesem lassen sich Baselines verschiedener Produkte laden. Dieses Tool zeigt an, was es alles für Einstellungen gibt, wie sich diese auswirken und was bei den einzelnen Einstellungen für Werte empfohlen werden. (für Laptops, Desktops, kritische Umgebungen udgl.)

Am besten geht man mit den Richtlinien sachte um. Nicht alles auf einmal, sondern schrittweise, um den Überblick zu behalten. Wichtig dabei ist, dass man sich notiert bzw. merkt, welche Einstellungen wann getroffen und „ausgerollt“ wurden, um etwaig auftretende Probleme besser zuordnen zu können. So kann es schon mal passieren, dass diverse Multifunktionsdrucker nicht mehr auf Freigaben zugreifen können, weil man die minimale Sicherheit für die Authentifizierung „nach oben“ gestellt hat… nur ein Beispiel von vielen.

Im Zweifelsfall lieber Finger weg und Standardwerte belassen. Viele der möglichen Einstellungen haben die Tendenz, mehr Schaden anzurichten als Nutzen zu bringen. Andere wiederrum sind sehr verständlich und bringen einen echten Mehrwert! Leider sind alle diese Richtlinien (obwohl es Untergruppen gibt) bunt gemischt.

Fazit: als Laie bittet man am besten einen Profi um ein Review der (Domänen-) Richtlinien. Und für Profis gibt es Tools, welche einem das Leben sehr viel leichter machen.

Windows kann (sicherheitstechnisch) sehr viel mehr als es auf den ersten Blick scheint. Mit den Standardeinstellungen wird einiges an Sicherheit leichtfertig liegengelassen. Und nicht vergessen: einige der möglichen Einstellungen sind auch für den Endbenutzer sicht- bzw. spürbar. Ordentliche Planung mit Einbeziehung der User ist ein MUSS!

 

Wie komplex ist Ihr Passwort? Sieht es vielleicht so ähnlich aus: “@C&-WKgesF”

Das im Beispiel gezeigte Passwort ist ziemlich komplex. Aber wie sicher ist es? Zugegeben, diese Phrase steht bestimmt in keinem Wörterbuch bzw. ist mit einigen Versuchen auch nicht schnell zu erraten. Doch wie schnell schafft es ein Computerprogramm dieses Passwort zu knacken?

Ein “Brute-Force” Programm bräuchte bei 500 Mrd. Versuchen in der Sekunde ca. 126 Tage um das Passwort zu knacken (siehe obige Grafik). Heutige Systeme schaffen ca. 100 Mrd. Versuche in der Sekunde. Bei der rasanten Entwicklung in der IT sind die 500 Mrd./Sek. aber sicherlich bald möglich.

10 Zeichen bestehend aus Zahlen + Groß/Kleinbuchstaben + Sonderzeichen sollten also reichen. Doch wer merkt sich das so einfach? Zum Vergleich: wie lange dauert es eine ganz normale Satzphrase zu knacken?

Im Beispiel verwenden wir das Passwort “mycompanyisthebest”. Nur Kleinbuchstaben, leicht zu merken – da tun auch die 18 Zeichen Länge nicht “weh”. Diese 18 Zeichen haben aber einen riesigen Effekt. Wie man sieht, würde es ca. 1 Million Jahre dauern dieses Passwort zu knacken! So lange wartet keiner…

Natürlich sind Passwörter mit Zahlen und Sonderzeichen bzw. Klein- UND Großbuchstaben bei gleicher Länge stärker. Ein ausreichend starkes Passwort hat aber mindestens 12 Zeichen.
Also lieber eine einfach zu merkende, individuelle Passwortphrase verwenden welche länger ist, als ein irre kompliziertes Passwort mit lediglich 10 Zeichen (oder weniger).

Leicht zu merken aber effektiv wäre beispielsweise: “SoeinleichtesPasswort!”

Fazit: längere Passphrasen mit etwas Fantasie sind ungleich mehr wert, als irre komplizierte Kennwörter welche zu kurz sind!

Nach längerer Zeit wieder mal ein wenig technisches:
Schnell mal auf die Firmendaten über das verbundene Server-Netzlaufwerk von unterwegs aus zugreifen – und wie oft habe ich mich selbst darüber geärgert, dass dies per VPN Verbindung so extrem langsam (wenn überhaupt) funktioniert!

Als jemand der nach Lösungen sucht wenn ein Problem auftritt, habe ich lange Zeit in Suchmaschinen und Foren verbracht um diesem Phänomen des langsamen Datenzugriffs über VPN auf die Schliche zu kommen. Mit mäßigem Erfolg! Irgendwann habe ich mich damit abgefunden, dass der Zugriff entweder gar nicht oder nur quälend langsam möglich war (oder ich alternative Wege gehen muss z.B. über RDP, FTP oä.)

Mittlerweile habe ich Abhilfe gefunden:

Wenn man über das Internet bzw. VPN auf die Firmendaten interner Server zugreift, bedient man sich (wie am Firmenstandort auch) oftmals an den verbundenen Netzlaufwerken. Bis zu inkl. Windows XP und Server 2003 R2 funktionierte dies mittels des “SMB1″ Protokolls. Dieses ist für interne LAN Kommunikation zwar ausreichend schnell, leider ist es für VPN bzw. Verbindungen mit höheren Latenzzeiten überhaupt nicht geeignet – siehe oben.

Ab Microsoft Server 2008 bzw. Windows Vista inkl. SP1 fand das Protokoll “SMB2″ still und heimlich Einzug. Dieses ist an vielen Stellen im Vergleich zu SMB1 optimiert bzw. stark verbessert worden. Wenn ich heute also auf meinem Windows 7 Rechner per VPN auf Firmendaten per Netzlaufwerk des internen MS Server2008 R2 zugreife, passiert das endlich in einer annehmbaren Geschwindigkeit mit der auch endlich sinnvoll gearbeitet werden kann – SMB2 machts möglich.

Um SMB1 bzw. eine etwas ältere Infrastruktur hinsichtlich dieses Szenario flott zu bekommen, gibt es durchaus Mittel und Wege. (WAN Optimization etc.) Die Frage ist nur, ob man diesen Aufwand in eine Infrastruktur stecken will welche wahrscheinlich ohnehin bald aktualisiert wird.

Mir wäre viel Ärger erspart geblieben, wenn dieser Artikel schon vor einigen Jahren in dieser Form verfügbar gewesen wäre: Wikipedia – SMB
Aber so ist das nun mal; manche Antworten lassen längere Zeit auf sich warten!

PS: für Linux Profis -> Samba 3.6 enthält mittlerweile einen stabilen SMB2 Stack