Open Security

Weiterführung des Projekts OpenSecurity

Michela Vignoli — 2014-11-28T09:30:00Z

Neben der Marktüberführung des Prototypen zu einem Produkt wird die Weiterführung von OpenSecurity auf europäischer Ebene unter Hinzunahme internationaler Experten, Forschungseinrichtungen und Unternehmen angestrebt. Eine Erweiterung des Netzwerks sowie eine Heranführung der Thematik an Big Data soll in einem EU-Projekt die Kompetenz Europas in sicherheitsrelevanten Bereichen verstärken und zu einem europaweit einheitlichen Standard führen. Auf diese Weise sollen öffentliche Einrichtungen und Institutionen, die sensible bürgerbezogene Daten verwalten, den höchstmöglichen Schutz erfahren.

OpenSecurity wird von den Projektpartnern AIT Austrian Institute of Technology GmbH und X-Net Services GmbH in Form einer Kooperation weitergeführt und als Produkt in den Markt eingeführt. Dazu wird der entwickelte Prototyp als Produkt an die Erfordernisse der Bedarfsträger (v.a. öffentliche Institutionen und kommerzielle Großunternehmen) angepasst.

Die Weiterführung von OpenSecurity in einem Kooperationsmodell ist aufgrund der unterschiedlichen, sich ergänzenden, Stärken der beiden Projektpartner AIT Austrian Institute of Technology GmbH und X-Net Services GmbH als ideale Voraussetzung für den Erfolg der entwickelten Open Source basierten Lösung zu sehen.

X-Net Services GmbH hat hohe Expertise in der Umsetzung von Großprojekten sowie vor allem in First und Second Level Support, der in solchen Projekten eine große Rolle spielt. Als direkter Ansprechpartner für Kunden sorgt X-Net Services GmbH für den reibungslosen Ablauf in der Zusammenarbeit mit den Kunden sowie für die Wartung des Systems und führt zudem Anpassungen und Adaptionen – sowie Neu-Implementierungen, die sich im Kompetenzbereich von X-Net Services GmbH befinden – der Lösung OpenSecurity nach Bedarf durch.
AIT Austrian Institute of Technology GmbH tritt als Integrator mit guten Kontakten in die Wirtschaft sowie einer hohen Reputation auf. Durch die Vielzahl an hochqualifizierten Entwicklern kann AIT Austrian Institute of Technology GmbH große Projekte akquirieren und vorantreiben sowie OpenSecurity an die Bedürfnisse der Kunden anpassen.

OpenSecurity: Die Open Source Lösung für erhöhte IT-Sicherheit in Ihrer Organisation

Michela Vignoli — 2014-11-28T09:15:00Z

Spätestens seit der Veröffentlichung zahlreicher interner und geheimer Dokumente, welche das Ausmaß der Überwachungspraktiken der U.S. National Security Agency (NSA) sowie die weltweite Datenspionage eindrucksvoll belegen, ist der Schutz von personenbezogenen und sensiblen Daten in das Zentrum der Aufmerksamkeit gerückt. OpenSecurity gibt den Bedarfsträgern nicht nur ein Werkzeug in die Hand, um die Weitergabe von Daten zu erschweren. Gleichzeitig baut OpenSecurity eine Hürde für Mitarbeiter auf, Daten bewusst weiterzugeben bzw. schützt Mitarbeiter davor, Daten ungewollt und unwissentlich weiterzugeben (z.B. durch mit Malware infizierten USB-Sticks, Schadsoftware, ungesicherte Nutzung des Internet, oder Verlust oder Diebstahl von ungesicherten Medien).

OpenSecurity gibt zu bedenken, dass nicht alle personenbezogenen Daten sowie deren Vernetzung frei zugänglich sein dürfen – der Schutz von sensiblen Daten, die Rückschlüsse auf Personen und deren Vorlieben, Charakteristika etc. zulassen, muss gewährleistet sein.

Sowohl die Ergebnisse einer im Rahmen von OpenSecurity erfolgten Fragebogenerhebung als auch die Interviews, die mit IT-ExpertInnen vom Magistrat der Stadt Linz und dem Bundesministerium für Inneres durchgeführt wurden, geben deutliche Hinweise darauf, dass Sicherheitsaspekte bei der IT-Infrastruktur im öffentlichen Bereich in den letzten Jahren zunehmend an Bedeutung gewonnen haben. Es ist anzunehmen, dass sich die Situation bei anderen öffentlichen Behörden und Einrichtungen in Österreich ähnlich darstellt – sofern diese eine bestimmte Größe aufweisen. Neben den Einrichtungen des Bundes (z. B. Ministerien, Organe der Gerichtsbarkeit) und der Länder (z. B. Landesregierungen, Landesverwaltungsgerichte, Landespolizeidirektionen) kommen damit auch die Bezirksverwaltungsbehörden und die Magistrate der größeren Städte als potenzielle InteressentInnen für OpenSecurity in Frage. Des Weiteren kann OpenSecurity in öffentlichen Einrichtungen wie Universitäten, Museen oder Bibliotheken eingesetzt werden. OpenSecurity kann ebenso den Bedürfnissen von größeren NGOs/NPOs oder privatwirtschaftlichen Unternehmen angepasst werden.

Die Software-Lösung hat durchaus Potenzial einer Ausdehnung auf zumindest den deutschsprachigen Markt. Um OpenSecurity international am Markt einführen zu können, ist eine Weiterführung auf EU-Ebene geplant. Ein einheitlicher EU-Standard für den öffentlichen Bereich sowie für Ämter und Behörden soll erreicht werden.

Mit dem Open Source basierten Ansatz von OpenSecurity sind einige Besonderheiten verbunden, die auf die Entfaltung des Potenzials entsprechende Auswirkungen haben.

Marktsituation: OpenSecurity reiht sich als vielversprechende Alternative zu anderen derzeit am Markt verfügbaren IT-Sicherheitslösungen ein, z.B. Safe-Browsing-Lösungen wie Bitbox (Sirrix), SurfCanister (Quick Heal Technologies), oder Sandboxie (Sandboxie Holdings).
Implementierung: OpenSecurity ermöglicht eine unaufdringliche Integration in bestehende Infrastrukturen. Bei gleichzeitigem Betrieb kann eine sanfte Überführung und Migration einzelner bestehender Anwendungsfälle in großem Maßstab durchgeführt werden. Der administrative Aufwand für eine Migration bzw. eine erstmalige Installation der Open Source Lösung ist nicht aufwändiger als der Umstieg auf ein vergleichbares proprietäres Produkt.
Ökonomische Vorteile: Die Software selbst ist unter Open Source gestellt und steht auf der Webseite zum freien Download bereit. Einsparungen für den öffentlichen Bereich können sich hier vor allem bei den Lizenzierungskosten und den Weiterentwicklungskosten ergeben. Da sich OpenSecurity in bestehende IT-Strukturen betriebssystemunabhängig integrieren und der bestehenden Usability und dem gewohnten Workflow anpassen lässt, sind keine hohen Kosten für Schulungsaufwand zu erwarten.

Sicherheit von Daten, Informationen und Systemen

Michela Vignoli — 2014-11-28T09:10:00Z

Die zunehmende Nutzung von Informations- und Kommunikationstechnologien in nahezu allen gesellschaftlichen und wirtschaftlichen Bereichen hat in den letzten Jahrzehnten zu weitreichenden Veränderungen geführt, etwa durch die Optimierung von Produktionsprozessen oder die Etablierung neuer Distributionsmodelle. Mit den dadurch geschaffenen vielfältigeren und flexibleren Gestaltungsmöglichkeiten geht jedoch auch ein Verlust an Kontrolle und Sicherheit einher. Daher haben sich innerhalb der IT zahlreiche Sicherheitslösungen entwickelt, die hier unterstützend zum Einsatz kommen. IT-Sicherheit hat in diesem Zusammenhang die Aufgabe, Organisationen und Menschen vor Schäden durch Störungen, Manipulationen oder Missbrauch zu schützen, die insbesondere durch den Verlust von Informationen und Daten entstehen können.


Bild von www.perspecsys.com Lizenz: CC-BY-SA

Im Kern geht es bei IT-Sicherheit um den sicheren Umgang mit Informationen und Daten. Risiken und Bedrohungen für IT-Systeme entstehen immer in erster Linie in Bezug auf Informationen oder bei Übergängen und Schnittstellen von einer Informationsform in eine andere, etwa der Personenauthentifizierung durch Passworteingabe. Ein professionelles IT-Sicherheitsmanagement hat dafür Sorge zu tragen, dass IT-Systeme und Informationen während ihres gesamten Lebenszyklus geschützt sind, d. h. von der Entstehung über die Bearbeitung, Übertragung und Speicherung bis hin zur Entsorgung.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) weist im Grundschutzhandbuch fünf verschiedene Kategorien für Bedrohungen aus. Allgemein liegt diesen Bedrohungen das Fehlen eines ausreichenden IT-Sicherheitskonzepts und –managements zugrunde. Hierzu zählen insbesondere IT-Infrastruktursicherheitskonzept (z.B. Server, Netzwerk, Computer, mobile Geräte), Gebäudesicherheitskonzept, Datensicherungskonzept, Computervirenschutz-Konzept, Kommunikationssicherheitskonzept (z.B. Telefon, Fax, E-Mail, Internet) und Notfallkonzept.

Um die Risiken aus Perspektive der IT-Sicherheit minimieren zu können, ist eine umfassende Analyse der in einer Organisation vorhandenen IT-Strukturen und IT-Systeme notwendig. Neben der exakten Definition der miteinzubeziehenden Gegenstände und Ressourcen (z. B. IT-Systeme, IT-Infrastruktur, Prozesse) stellt dabei eine Risiko-Analyse einen wesentlichen Bestandteil dar, um das IT-Sicherheitskonzept als Teil eines Risiko-Management-Prozesses zu etablieren. Ein derartiges IT-Sicherheitskonzept muss neben der Darstellung der Bewältigung potenzieller Risiken auch weitere Anforderungen erfüllen, insbesondere Leistungsvorgaben, Qualitätsanforderungen oder Architektur-Vorgaben.

Zuverlässige Open Source Lösungen für Organisationen

Michela Vignoli — 2014-11-28T08:56:46Z

Open Source Software (OSS) hat sich mittlerweile in vielen Anwendungsbereichen als gute Alternative zu kommerzieller Software etabliert. Der Einsatz von OSS in öffentlichen Einrichtungen bietet sich aus mehreren Gründen an, zumal sie sich kostengünstig in das bestehende IT-System integrieren lässt. Die Freiheit der Weiterentwicklung ermöglicht den öffentlichen Einrichtungen zudem mehr Unabhängigkeit, da die eingesetzte OSS entweder selbst oder von externen EntwicklerInnen adaptiert werden kann. Die Ziele einer Senkung von Lizenzkosten und einer größeren Unabhängigkeit von Software-Herstellern wurden bereits in einer im Jahr 2006 durchgeführten Studie des Fraunhofer Instituts für Arbeitswirtschaft und Organisation bei öffentlichen Einrichtungen in Deutschland als hauptsächliche Gründe angeführt. Weitere Gründe für den Einsatz von OSS sind neben wirtschaftlichen Aspekten etwa der bessere Zugang zu offenen Standards und der Wunsch einer Erhöhung von Datenschutz und IT-Sicherheit.

In einigen öffentlichen Einrichtungen in europäischen Städten und Gemeinden wurden in den letzten Jahren erfolgreiche Versuche unternommen, Open Source Software zu integrieren. Bekannte Beispiele hierfür sind etwa München (LiMux mit Ubuntu Linux, KDE, OpenOffice, Gimp), Leipzig (OpenOffice), Schwäbisch Hall (SUSE Linux, KDE und OpenOffice) oder Treuchtlingen (Linux, KDE, Gimp, Scribus, Inkscape).

OpenSecurity 1.0 released

Michela Vignoli — 2014-11-28T08:50:00Z

Mit Version 1.0 als Beta-Software von OpenSecurity konnten die im Projekt erhobenen Anforderungen zu einem überwiegenden Teil umgesetzt werden. Die noch offenen Anforderungen liegen als Konzept vor und können über spezielle Erweiterungspunkte individuell umgesetzt werden. Dies ermöglicht eine optimale Anpassung an den Bedarf und die IT-Infrastruktur individueller Kunden. Link zum Download

Die Funktionen Secure USB und Secure Web Browsing wurden in die bestehenden Windows-Oberfläche und Arbeitsabläufe für den User integriert. So finden Datenimport und -export über den Windows-Explorer statt. Der Secure Browser erscheint als Windows-Fenster und hält auch Lesezeichen des Benutzers bereit. Bei beiden Mechanismen kommt der Benutzer nicht mit der SecureVirtualMachine in Berührung. Bei Bedarf wird der Benutzer von OpenSecurity mit Hilfe von Tray-Meldungen und Dialogen durch die notwendigen Schritte geführt.

OpenSecurity wurde beim Bedarfsträger IKT Linz unter normalen Bürobedingungen getestet. Zusätzliche Anforderungen der bestehenden IT-Infrastruktur konnten modular und flexibel umgesetzt werden.

Secure USB

Die derzeit vorliegende OpenSecurity Version ermöglicht im Bereich Secure USB das Importieren von Daten von unverschlüsselten und verschlüsselten USB-Sticks. Die importierten Daten werden vor dem Zugriff durch OpenSecurity automatisch (und zentral, wenn so konfiguriert) auf Viren oder Malware gescannt. Bei einem Fund wird der Zugriff verweigert. Eventuell vorhandene Viren/Rootkits, die sich beim Zugriff selbst aktivieren, können – sofern sie überhaupt auf einem Linux-System lauffähig sind – nur die benutzte SecureVirtualMachine und nicht den Arbeitsrechner des Benutzers befallen.

Beim ebenfalls möglichen Datenexport auf einen USB-Stick wird der Benutzer aufgefordert, diesen zuerst als verschlüsselten Stick zu initialisieren. Ein Export auf unverschlüsselte USB-Sticks und ein nachfolgender Datenverlust sind daher durch den Einsatz von OpenSecurity nicht mehr möglich.

Zusätzlich können alle exportierten Daten auf einem zentralen Logging- bzw. Monitoring Server aufgezeichnet werden. Dadurch kann der Weg nachvollzogen werden, den verloren gegangene Daten genommen haben.

Secure Web Browsing

Beim Secure Web Browsing kann der Benutzer über ein Desktop- bzw. ein Tray-Icon einen „sicheren“ Browser starten. In OpenSecurity Version 1.0 kommt hierbei der freie Browser Chromium zum Einsatz. Er wird innerhalb einer SecurityVirtualMachine ausgeführt, integriert sich allerdings graphisch in die Windows-Oberfläche und erscheint als normales Browser-Fenster in der gewohnten Desktop-Umgebung.

Auch hier führt ein Befall durch Viren bzw. Malware wieder nur zum Befall der SecurityVirtualMachine und nicht zur Kontaminierung des Arbeitsrechners des Benutzers. Auch ein Datenaustausch kann während einer Browsersitzung nur über ähnliche Mechanismen und Sicherheitsmaßnahmen wie beim USB Import/Export erfolgen.

Ausblick: OpenSecurity an der D.A.CH 2014 Konferenz

Michela Vignoli — 2014-08-01T11:25:00Z

OpenSecurity integriert „Security by Isolation“ Techniken unaufdringlich in eine bestehende IT Infrastruktur und ermöglicht NutzerInnen einen gefahrlosen Umgang mit potentiell Schaden zufügenden Internetressourcen, bietet Schutz vor Malware aus USB-Wechseldatenträgern sowie unbeabsichtigter Veröffentlichung vertraulicher Informationen. Mit OpenSecurity wird jeder Computer einer Organisation davor geschützt unkontrolliert Daten auszutauschen. Durch Virtualisierung wird das System mit getrennten Untersystemen erweitert – z.B. für sicheres Internet-Browsen oder für das Abrufen von Dateien auf tragbaren Speichermedien.

Bild 1: Sicheres Internet-Browsen

Bild 2: Sicheres Abrufen von Dateien auf externen Speichermedien

Sollte ein Virus nicht von der Anti-Viren-Software entdeckt werden, ist die Schadsoftware dennoch innerhalb OpenSecuritys isolierten Virtual Machines eingeschlossen. Aufgrund der kurzen Lifecycles dieser orchestrierten Wegwerf-Virtual Machines wird jede Schadsoftware rasch vernichtet. Diese Maßnahmen sind insbesondere für öffentliche Institutionen, die private Bürgerdaten verwalten, wichtig und können den NutzerInnen dieser Einrichtungen die Möglichkeit bieten sicher mit Ressourcen aus unsicheren Netzwerken umzugehen. OpenSecurity ist eine Open Source Lösung, welche bei gleichzeitigem Betrieb eine sanfte Überführung und Migration einzelner bestehender Anwendungsfälle in großem Maßstab ermöglicht, da jede beliebige Applikation in genormten Subsystemen überführt und somit Betriebssystem unabhängig – aber gesichert – zur Ausführung kommen kann.

Link zur D.A.CH. Security Konferenz

Webinar: Vorstellung von OpenSecurity

Katharina Kloiber — 2014-07-28T09:50:00Z

Das Webinar zeigt anhand des Projektes OpenSecurity eine Lösung auf, um Angestellte davor zu schützen, kritische oder sensible Daten ungewollt preiszugeben. Dieser Schutz beläuft sich auf den Verlust oder den Diebstahl von Datenträgern (z.B. USB-Sticks) und den Befall des Rechners oder des Notebooks von Viren, Trojanern und dergleichen. Dabei soll jeder Computer oder jeder Terminal einer Organisation mit OpenSecurity Software Tools ausgestattet werden, sodass unkontrollierter Datenaustausch verhindert wird.

Erfahren Sie, wie das Sicherheitskonzept in OpenSecurity umgesetzt ist und erhalten Sie einen Einblick in aktuelle Forschungsansätze und die implementierte Lösung.

Dieses Webinar wird von IT-NET Austria veranstaltet. IT-NET Austria ist ein Zusammenschluss von eigenständigen Unternehmen, die in ihren Fachbereichen Expertenstatus besitzen.
http://www.it-net-austria.at

Vortrag am OPEN COMMONS_KONGRESS 2014

Katharina Kloiber — 2014-07-28T08:50:00Z

Zum dritten Mal veranstaltete OPEN COMMONS_LINZ den Kongress zu aktuellen Open Commons Themen. Unter dem Titel "OpenSecurity: ein Open Source Sicherheitssystem für sensiblen, bürgerbezogenen Daten in öffentlichen Einrichtungen" hat Nikolaus Dürk, Geschäftsführer von X-Net Services, das Projekt vorgestellt.

Die Präsentation zum Download:

.odp
.ppt
.pdf

OPEN COMMONS_LINZ ist eine Initiative der Stadt Linz, die sich für die Förderung und Verbreitung von Open Commons (digitalen Gemeingütern) einsetzt. Sie hat zum Ziel Verständnis für Open Commons in der Bevölkerung aufzubauen und offene, freie, transparente Strukturen in der Region zu fördern. Faire Nutzung von Kulturgütern, selbstbewusster und selbstbestimmter Umgang mit Offenheit und Geschlossenheit stehen dabei im Vordergrund.

Mehr Informationen zum OPEN COMMONS_Kongress 2014

Sozialwissenschaftliche Begleitforschung

Michela Vignoli — 2014-05-06T09:30:00Z

Im Rahmen von OpenSecurity wird auch eine sozialwissenschaftliche Begleitforschung durchgeführt, um kontextuelle Aspekte zu IT-Sicherheit, Usability, Datenschutz oder UserInnen-Akzeptanz zu untersuchen.

Das am Konsortium beteiligte Linzer Institut für qualitative Analysen (LIquA) hat zu diesem Zweck im Mai und Juni 2013 eine Online-Befragung bei einem der Bedarfsträger, dem Magistrat der Stadt Linz, durchgeführt. An eine Grundgesamtheit von 1.385 NutzerInnen wurde dabei ein Online-Fragebogen mit insgesamt 41 Fragen ausgeschickt. Dieser gliederte sich in sechs Themenbereiche: Angaben zur Person, Nutzung der IT am Magistrat Linz, Private Nutzung von IT, Stellenwert von IT-Sicherheit und IT-Sicherheitsverhalten, IT-Sicherheit versus Usability sowie Einstellung zur Einführung von neuen IT-Sicherheitsmaßnahmen. Eine erste Analyse zeigt bereits, dass IT-Sicherheit bei den befragten MitarbeiterInnen (Rücklaufquote 32 %) einen sehr hohen Stellenwert einnimmt.

Detaillierte Analysen wie der Umgang mit Passwörtern, die Nutzung der Verschlüsselung von Daten oder die Intensität der Prüfung von Daten auf Schadfreiheit lieferten weitergehende interessante Erkenntnisse. Diese liefern zusätzlichen Input um noch rechtzeitig auf das OpenSecurity Design Einfluss nehmen zu können. Um die Erkenntnisse weiter zu verdichten wurden zusätzlich qualitative Interviews mit einzelnen IT-Verantwortlichen des Magistrats der Stadt Linz, aber auch der beiden anderen öffentlichen Bedarfsträger durchgeführt.

Derzeit arbeitet das Team auf einer dritten Ebene an der Verarbeitung von zahlreichen Studien, Artikeln und Erfahrungsberichten an der Schnittstelle zu IT-Security und Usability. In einem nächsten Schritt wird das Team eine Potenzialanalyse aus sozialwissenschaftlicher Perspektive erstellen, in der die potenziellen Chancen und Risiken für die Implementierung einer OpenSecurity-Lösung bei den Bedarfsträgern herausgearbeitet werden.

Schutz vor Malware und Threat in OpenSecurity

Michela Vignoli — 2014-05-06T09:30:00Z

OpenSecurity selbst definiert einen Prozess, der den User mit Hilfe von Kryptografie, virtualisierter Isolierung sowie Malware- und Threat-Klassifikation mit dem nicht Institutions-Netzwerk kommunizieren lässt.

IKARUS Security Software GmbH ist Teil des OpenSecurity-Teams und ist primär für die Klassifikation der Daten verantwortlich. Dabei greift IKARUS auf selbst entwickelte proprietäre Kerntechnologien aus der Malware- und Threat-Erkennung zurück. In OpenSecurity werden neben reinen Klassifikationstechnologien auch IKARUS Serverapplikationen genutzt, die für den skalierbaren und hochperformanten Serverbereich entwickelt wurden.

OpenSecurity ist ein System mit sehr modularem Design, welches durch Isolation und Kapselung überzeugt. Neben diesen designtechnischen Aspekten ist es ein Anliegen primär Open Source Produkte zu nutzen, um die Integrationskosten zu reduzieren. IKARUS selbst kann seine Produkte nicht unter eine offene Lizenz stellen, unterstützt jedoch die Softwareintegrationen von IKARUS-Produkten in OpenSource Landschaften.

IKARUS unterstützt OpenSecurity mit seinen Technologien und Ihrem Know-how aus mehr als 25 Jahren Branchenerfahrung. Durch den definierten Kommunikationsprozess ist OpenSecurity komplementär zu herkömmlichen IKARUS Produkten und ergänzt daher das bestehende Portfolio. Für Institutionen ergeben sich mit dem Einsatz von OpenSecurity aus IKARUS Sicht folgende Vorteile:

1. Weniger Arbeitsaufwand durch die zentrale Verwaltung der Überprüfung von Geräten;

2. Sorglose Interaktion mit dem Internet ohne Infektionsängste;

3. Wenig Ressourcenaufwand am Endgerät selbst;

4. Geringe Integrationskosten aufgrund des Open Source Ansatzes.

OpenSecurity: Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen

Michela Vignoli — 2014-05-06T09:30:00Z

Das OpenSecurity Projekt wurde teilweise vom Qubes OS Ansatz zu Sicherheit durch Isolation inspiriert. Qubes OS erreicht ein maximaler Grad an Isolation zwischen Anwendungen, indem es diese als Virtual Machine Instanzen auf dem nativen XEN Hypervisor erstellt. Zusätzlich bietet Qubes OS sichere Kanäle für Filesharing, Austausch von zwischengespeicherten Daten und das User Interface.

Viele öffentliche Einrichtungen in Österreich verwenden seit jeher Windows als ihre End-User Umgebung. Aufgrund von Pfadabhängigkeit sind sie äußerst eingeschränkt, wenn es darum geht von diesem Standard abzuweichen. Die Konsequenz ist, dass das OpenSecurity Projekt die Bereitstellung der Software auf Microsoft Windows Clients unterstützen muss (spezifisch ist unsere Referenzarchitektur MS Windows 7 64-bit).

Es ist klar, dass diese Lösung was den Sicherheitsaspekt anbelangt suboptimal ist. Tatsächlich wurden die Mängel von Windows in diesem Zusammenhang bereits analysiert. In Anbetracht der Tatsache, dass Windows weit verbreitet ist, wird diese Lösung im öffentlichen Sektor jedoch potenziell größeren Erfolg haben. Obwohl die resultierende Implementierung von Sicherheit durch Isolation nicht absolute Sicherheit gewährleisten kann, wird sie dennoch erheblich höhere Sicherheit bieten, die darüber hinaus mit institutionellen IT Rollouts und Management Prozessen kompatibel ist.

In den folgenden Monaten werden unsere Services in einem limitierten Produktionsumfeld zweier Bedarfsträger aus der öffentlichen Verwaltung installiert werden. Diese User werden direkt über den OpenSecurity Dienst Feedback übermitteln können, und sie werden an einem Evaluation Workshop und einer Onlinebefragung teilnehmen. Dieses Feedback wird es uns ermöglichen den Service was Stabilität und Usability angeht weiterzuentwickeln.

Bildquelle: Wikipedia Lizenz: CC-BY-SA

Forschungsinteresse des BMLVS im Projekt

Michela Vignoli — 2014-01-30T15:20:00Z

Das Führungsunterstützungszentrum (FüUZ) stellt dem Bundesministerium für Landesverteidigung und Sport (BMLVS) und dem Österreichischen Bundesheer (ÖBH) als zentrale Dienstleistungsorganisation interoperable, sichere und innovative Führungsunterstützungsleistungen und IKT-Services für den Einsatz im In- und Ausland sowie für den Verwaltungsbetrieb bereit.

Eine performante Internetanbindung und die Kommunikation mittels E-Mail sind im täglichen Geschäftsalltag nicht mehr wegzudenken. Die Vermeidung von ungewollter Weitergabe klassifizierter Informationen über diese Kommunikationswege ist ein großes Anliegen.

Durch die Verwendung von externen Datenträgern und mobilen Endgeräten (Laptops, Smartphones, etc.) besteht bei Verlust oder Diebstahl die Möglichkeit, dass klassifizierte Informationen ungewollt in Umlauf gebracht werden. Dieses Risiko ist nur durch Mechanismen der Data Loss Prevention (DLP) und durch Verschlüsselung von klassifizierten Informationen zu reduzieren.

Neben DLP ist bei der Nutzung von Internet und E-Mail die Implementierung effizienter Mechanismen zum Schutz vor Schadsoftware ein wesentlicher Bestandteil der Sicherheit von IKT-Systemen und Informationen.

Das FüUZ möchte am Forschungsprojekt OpenSecurity mitwirken, da im Infrastrukturbereich DLP und Schutzmaßnahmen gegen Schadsoftware eine bedeutende Rolle einnehmen und die entwickelten Sicherheitslösungen teilweise oder zur Gänze in zukünftigen IKT-Systemen implementiert werden könnten.

Technische Aspekte des OpenSecurity Projekts

Michela Vignoli — 2014-01-30T15:20:00Z

Nach der Sammlung und Evaluierung verschiedener Techniken und Ansätzen zu Sicherheit durch Isolierung, designte das OpenSecurity Team eine konkrete Lösung für zwei verschiedene User-Szenarien, die zuvor von den Projekt Stakeholdern priorisiert wurden: Datentransfer von und zu Massenspeichermedien sowie sicheres Internetbrowsing.

Die bisherige Arbeit resultierte in einem Set von miteinander interagierenden und isolierten Kernkomponenten zur Orchestrierung von dedizierten Virtual Machines. Die OpenSecurity Komponenten, die in diesem Prozess entwickelt wurden, basieren auf klar definierten offenen Interfaces: RESTful API, CIFS und SSH. Diese Protokolle trennen sauber die unterschiedlichen Komponenten des OpenSecurity Lösungsraumes, was ein Upgrade oder gar einen kompletten Austausch derselben Komponenten ermöglicht ohne das Konzept und Nutzen des gesamten Systems zu beeinträchtigen.

Die zentrale Komponente des OpenSecurity Designs ist der OpenSecurity Management Daemon, welcher Virtual Machines für den einmaligen Gebrauch startet und stoppt. Diese Maschinen fußen auf Templates, welche von der eigens von Debian 7.2 abgeleiteten OpenSecurity Linux Distribution erstellt werden. Andere Komponenten sind für User-Interaktion, Gerätetreiber-Overlays und Einbettung des Zugangs von und zu den Virtual Machines im Bezug zur aktuellen Benutzer-Session zuständig.

Das Team präsentierte im Dezember ein live Proof of Concept, das zum einen demonstrierte wie unabhängige Virtual Box Machines USB Massenspeichermedien Aktionen wie Virenscan und/oder Verschlüsselung handhaben. Zum anderen demonstrierte es die feste Integration einer in einer Virtual Machine ausgeführten Internet Browsing Applikation, die jedoch nativ in einer Windows 7 User Session angezeigt wird.

Die derzeitige Implementierungsarbeit zielt darauf ab das System stabil, leistungsfähig und flexibel zu machen. Die Softwarekomponenten, die in diesem Kontext geschrieben wurden, sind zwar eher klein und die Interfaces alle weitgehend bekannt. Dennoch ergibt sich aufgrund der Tatsache, dass Mitteilungen oft Betriebssystemgrenzen überschreiten und sich dies auf niedrigster Ebene auf Systemfunktionalitäten auswirkt, eine hohe Komplexität. Sowohl diese Situation als auch die speziellen Charakteristiken und Divergenzen im Verhalten von teilweise Closed-Source Betriebssystemen – selbst dann wenn die angesprochenen Methoden und Funktionen auf einen allgemeinen Standard zurückzuführen sind – machen dies zu einem anspruchsvollen und aufwendigen Vorhaben.

Schlussendlich müssen auch Anforderungen an die Installierung umgesetzt werden. Sowohl einfache Einzeluser Ein-Klick Download Setup Dateien als auch ein von einem zentralen IT-Department auszuführendes Komplettrollout auf bis zu tausenden Maschinen müssen unterstützt werden. Da die OpenSecurity Integrierung auch auf einer Reihe gut entwickelter Open Source Software Dritter basiert, ist Version Management eine weitere komplexe Aufgabe, die demnächst angegangen werden wird.

OpenSecurity: Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen

Michela Vignoli — 2014-01-30T15:20:00Z

Jede Organisation muss ihre Cyber-Infrastruktur vor (externen wie internen) Gefahren schützen. Insbesondere öffentliche Einrichtungen, die private Bürgerdaten (z. B. Straf- und Melderegister oder Patientenakten) verwalten oder denen Informationen der nationalen Sicherheit anvertraut werden, haben die Verpflichtung diese sensiblen Daten zu schützen. Ob Nutzerfehler oder böswillige Absicht, externe Angriffe oder Social Engineering, der Mensch ist und bleibt eine Schwachstelle in der IT-Sicherheit. Oft fehlt ausreichendes Bewusstsein über Sicherheitsrisiken. Dadurch werden NutzerInnen zum Ziel verschiedener externer Bedrohungen gemacht. Der Verlust von Endgeräten (Smartphones, Tablet-PCs, USB-Sticks, Laptops, usw.) ist ein weiteres häufiges Problem.

OpenSecurity soll den Verlust und (un-)gewollten Missbrauch von sensiblen, bürgerbezogenen Daten bei öffentlichen Einrichtungen verhindern. Ziel dieser Forschung ist die Sicherheit und Verfügbarkeit der Daten zu erhöhen, sowie den Aufwand für Deployment Management und Instandhaltung zu reduzieren. Hierzu wird die Machbarkeit und mögliche Umsetzung eines zentralen Security-Layers auf Basis unserer Erfahrung mit Intensive Computing, Anti-Virus und Verschlüsselung geprüft. Dieser Layer kontrolliert, verifiziert und verschlüsselt jegliche Kommunikation, die auf Endgeräten (Smartphones, Tablet-PCs, USB-Sticks, Laptops, etc.) stattfindet. OpenSecurity wird unter eine Lizenz gestellt, welche die öffentliche Verifikation und die individuelle Anpassung an heterogene IKT-Systemlandschaften ermöglicht.

OpenSecurity ist ein zwei-Jahres Projekt, das bis Oktober 2014 laufen und vom Österreichischen FFG KIRAS Security Programm gefördert wird. Die primären Bedarfsträger im Projekt sind das Österreichische Bundesministerium für Landesverteidigung (BMLVS) und das IKT Linz. Die Bedarfsträger haben für das Projekt Use Cases und Voraussetzungen bereitgestellt und werden die Projektergebnisse testen und validieren. Das AIT Austrian Institute of Technology GmbH ist der primäre Forschungspartner, der die industriellen Partner X-NET Services GmbH und IKARUS unterstützt. Unter der technischen Koordination von X-NET setzt das Team die technische Implementierung von OpenSecurity Lösungen um. Das Linzer Institut für Qualitative Analysen (LIquA) rundet das Konsortium durch seinen Beitrag einer Analyse der Auswirkung von OpenSecurity im Kontext von Mitarbeiterdatenschutz und Privatsphäre ab.