Backupstrategien – Kombiniertes Vorgehen

Die Vorteile beider Welten, d.h. das einfache Restaurieren von versehentlich gelöschten Dateien und das einfache Wiederherstellen einer defekten Festplatte, lassen sich durch eine Kombination von Festplattenimage und dateibasiertem Backup nutzen. Ein regelmäßiges Festplattenimage nach größeren Änderungen am System, z.B. der Installation neuer Programme, bildet die Basis für das einfache Wiederherstellen des kompletten Systems. Zwischenzeitlich geänderte (Daten-)Dateien können über ein dateibasiertes Backup mit größerer Frequenz, z.B. täglich, gesichert werden und bei Bedarf das aus dem Festplattenimage neu erstellte System auf den aktuellen Datenbestand bringen.

Backupstrategien für Heimanwender

Bei Backups werden so genannte Festplattenimages und Dateibackups unterschieden. Beide Datensicherungen sind gleichermaßen sinnhaft, haben aber unterschiedliche Zielsetzungen. Am besten fährt der Anwender mit einer Kombination aus beiden Backupansätzen.

Bei einem Dateibackup wird von einem Backup-Programm eine Kopie der ausgewählten Dateien und Ordner in einem gemeinsamen Dateicontainer, dem Backuparchiv, abgespeichert. Im Fall eines Datenverlustes am Rechner, z.B. beim versehentlichen Löschen einer Datei kann dieser Dateicontainer genutzt werden, um daraus die verloren gegangenen Dateien wieder herzustellen. Um Daten vor einem Verlust bei Versagen der Festplatte zu schützen, ist das Anlegen des Backuparchivs auf einem externen Datenträger, z.B. einer externen Festplatte, oder einer DVD sinnvoll.

Um eine Rechner nach dem Versagen einer Festplatte vollständig wieder herzustellen, ist ein dateibasiertes Backup nur eingeschränkt Ziel führend. Damit können zwar prinzipiell alle vom System benötigten Dateien wieder hergestellt werden. Um ein „Neuaufsetzen“, d.h. das Installieren des Betriebssystems und aller Programme, kommt man mit einem solchen Backup in den seltensten Fällen herum. Durch das dateibasierte Backup besteht ein Schutz vor Datenverlusten, im Fall eines Crashs macht das wiederherrichten des Systems jedoch eine Menge Arbeit. Für ein solches Szenario ist die effiziente Lösung das Festplattenimage.

Ein Festplattenimage ist wie der Name schon nahe legt, eine eins zu eins Kopie der Festplatte mit allen darauf gespeicherten Daten. Anhand des Festplattenimages kann eine neue Festplatte in exakt den Stand versetzt werden, den das Original hatte. Im Fall der defekten Festplatte wird einfach eine neue, am besten identische Festplatte in den Rechner eingebaut, das Image der alten Platte aufgespielt und alles funktioniert wieder als ob nichts gewesen wäre. Bewährt für die Anwendung im Heimbereich haben sich die Produkte von Acronis:

Opera Unite – Wenn der Client zum Server wird

Ohne Zweifel stellt Opera mit Opera Unite die nächste große Revolution für das Internet vor. Nicht weil  damit Sachen möglich sind, die bisher noch nicht machbar waren, nein, weil sie so einfach und für jeden möglich sind. Während P2P Dienste durch Urheberrechtsverletzungen und den hohen Anteil von pornographischem Traffic stark  in die Schmuddelecke gedrängt wurden, kommt Opera Unite ersteinmal mit einer blütenreinen Weste daher.

Für den weniger begabten Anwender ist dies die Möglichkeit sich selbst im Internet zu positionieren, ohne auf irgendwelche fragwürdigen Internetanbieter mit nicht immer nachvollziehbaren Geschäftsmodellen, aber großen Nutzerzahlen, angewiesen zu sein. Den Eltern die neusten Fotos vom Baby zeigen, ohne sie auf eine anonyme Website hochladen zu müssen, die eigne Website für ausgewählte Benutzer bei sich selbst hosten – die Möglichkeiten scheinen unbegrenzt und haben den gewaltigen Charm, dass  dank verschlüsselter Verbindungen und der expliziten Auswahl von erlaubten Nutzern die Kontrolle über die bereitgestellten Inhalte erhalten bleibt. Eine Art private Websphäre kann von “jedermann” aufgebaut werden.

Wie bei allen Techniken läßt sich auch hier wieder jede Menge Mißbrauchspotential (siehe P2P) vorstellen. In wie fern mißbräuchliche Nutzung aber öffentlich wird, muss sich angesichts der quasi eingebauten, eingeschränkten Nutzerkreise noch zeigen.

Aus Sicht der IT-Sicherheit ist ein Client, der als Server fungiert immer mit Vorsicht zu genießen. Bei Servern werden im Normalfall starkte Sicherheitsmaßnahmen getroffen, die gewährleisten, dass der Rechner und die darauf gelagerten Daten keinen Angriffen zum Opfer fallen können. In wie weit die lokale Firerwall auf  dem Client mit dem Schutz des beispielsweise über den HTTP-Port getunnelten Datenstroms klarkommt, bleibt noch abzuwarten. Und auch die Tatsache, dass ein zum Server umfunktionierter Client, der damit zwangsläufig längere Zeit online sein muss, ein wertvolleres Ziel für Hackerangriffe, möglicherweise sogar direkt über den Opera Browser, sein könnte, stimmt bedenklich. Sofern die Server-Implementation von Opera nicht wasserdicht ist, sind mit Opera Unite ganz neue Angriffs- und Missbrauchsmöglichkeiten denkbar, die direkten Gebrauch von den eingebauten Serverfunktionalitäten machen. Hier steht insbesondere die Frage im Raum, wie das Sicherheitskonzept für von Drittentwicklern auf Basis der Opera Unite API implementierte Dienste aussieht.

Die Zukunft wird es zeigen – das Konzept an sich ist vielversprechend, jetzt kommt es darauf an, was die commUNIT(E)y daraus macht.

Disaster Recovery / Business Continuity Plan im Kleinen – funktionierende Backups

Zur IT-Sicherheit gehört ganz sicher der Schutz gegen Angreifer von außen und innen. Aber auch der sichere Betrieb und das Sicherstellen des Betriebs nach Systemausfällen gehören maßgeblich dazu. Während im großen Rahmen ein Offsite-Backup-Rechenzentrum mit gespiegelten Daten bei Problemen den Betrieb vom Hauptrechnenzentrum übernimmt, ist es im kleinen oft schon mit der Verfügbarkeit eines aktuellen, funktionierenden Backups getan.

Aus gegebenem Anlass sei dem Leser nahegelegt, das Rückspielen seiner Backups unbedingt zu testen. Backups, deren Funktionstüchtigkeit nicht verifiziert  wurde, sind wertlos…

Optimalerweise findet der Test, das Rückspielen eines Backups, nicht auf dem gleichen System statt, auf/von dem das Backup erstellt wurde. Wem hier die notwendige Hardware nicht zur Verfügung steht, dem sei das Rücksichern der Daten in eine virtuelle Maschine empfohlen. Ein wichtiger Aspekt des testweisen Rücksicherns ist das Einüben der notwendigen Befehle ohne sich in einem konkreten Ausnahmezustand (Disaster) zu befinden. Wer sich hier noch die eine oder andere Notiz zu dem Rückspielvorgang macht, steht im Katastrophenfall sicher auf der richtigen Seite.

Nutzer, die nicht den ganzen Rechner sichern, sonder nur einige Datenverzeichnisse können diese beispielsweise zum Testen in einen temporären Ordner zurücksichern und dann einen Vergleich mit dem Original anstellen.

Das Testen von Backups ist durchaus zeitaufwendig und daher nicht nach jedem einzelnen Backup praktikabel. Wenn aber das Rückspielen einmal prinzipiell funktioniert hat, sind regelmäßige Stichproben ein guter Kompromiss.

Gefahren bei der Verschlüsselung

Für die Verschlüsselung von Daten gibt es viele Gründe. Mit den meisten verfügbaren Tools geht die Verschlüsselung – je nach Umfang des zu verschlüsselnden Datenmaterials – auch recht flott von der Hand. Doch das Gefühl der “Sicherheit” ist oft teuer erkauft, denn der komplette Datenverlust droht, wenn die Entschlüsselung der Daten fehlschlägt.

Unabhängig davon, welches Tool man zum Verschlüsseln einsetzt, gibt es bei der Verschlüsselung zwei grundsätzliche Gefahren, die genau dann Probleme zu bereiten pflegen, wenn man sie am allerwenigsten brauchen kann:

1.    Passwort/Schlüssel vergessen/verloren
2.    Datenträger / Container korrupt

In beiden Fällen hängt es von der Qualität des verwendeten Tools ab, ob und in welchem Rahmen eine Entschlüsselung möglich ist. Daher gilt für den Einsatz von Verschlüsselungstools in besonderem Maße die Sorgfaltspflicht.

Wie hacken funktioniert – Ãœberlick

Das Hacken eines Computers ist über einige wenige verschiedene Szenarien möglich, die in unterschiedlichen Ausprägungen vorkommen. Die folgende Liste wird im weiteren Text aufgegriffen, im Detail erläutert und im Zusammenhang mit den notwendigen Schutzmaßnahmen diskutiert:

• “Normales Nutzerlogin” am Computer lokal oder über das Netzwerk mit geklauter, erratener oder ausprobierter Nutzername-Passwort-Kombination
• Ausnutzen einer Sicherheitslücke im Betriebssystem oder einer Anwendung, die auf dem Rechner installiert ist, ggf. Kombination von mehreren Sicherheitslücken
• Unterjubeln eines Trojaners in einer Anwendungssoftware, die eine Hintertür für den Hacker bereithält

Zu unterscheiden sind bei obigen Szenarien Rechnerübernahmen, die ohne aktives Zutun des Benutzers stattfinden, einmal abgesehen z.B. von der Unterlassung notwendiger Software-Updates, und Angriffe, bei denen der Nutzer eine mehr oder weniger aktive Rolle spielt – z.B. wenn er beim Surfen von einer wenig vertrauenswürdigen Quelle ein Programm herunterlädt und installiert.

Wie Hacken funktioniert – das Bild vom Hacker

Um sich gegen Hacker zu schützen, ist die Kenntnis über das grundsätzliche Vorgehen hilfreich.  Insbesondere läßt sich jedem Angriff eines Hackers eine Schutzmaßnahme gegenüberstellen, die diesen bei seiner “Arbeit” stark behindert, unter Umständen so stark, dass er sich ein leichteres Ziel aussucht. Bevor hier das “Hacken” selbst beleuchtet wird, vorab aber ein kleiner Abstecher zum Bild des Hackers in der öffentlichen Wahrnehmung.

Das Bild vom “gemeinen Hacker” ist nicht unmaßgeblich durch Filme (wargames?)  geprägt, in denen ein begnadeter junger Mann in einer dunklen Kammer, beleuchtet allein durch den flackernden Monitor über den kryptische Zahlen- und Textkolonnen rauschen,  manisch die Tastatur bearbeitet und unter großem, sichtbarem Streß nach diversen “Access Denied”s in rot das grüne “Access Granted” angezeigt bekommt und dies mit großer Erleichterung und einem “Yes!” quittiert. Unmengen warmer Cola, dementsprechender Leibesumfang und kalte Pizza in vergammelten Pizzaschachteln runden das cineastische Bild des Hackers oft noch weiter ab.

Welches Vorgehen beim Hacken dabei an den Tag gelegt wird, kommt leider im Film  nie richtig heraus, beim geneigten Betrachter entsteht aber der begründete Eindruck, dass der Hacker über eine mystische Begabung verfügt.

Allenfalls bei den “Skript-Kiddies”, so werden die jugendlichen “Hacker” genannt, die sich im Internet aus dunklen;-) Quellen Programmbausteine “besorgen”, diese zusammenbauen, konfigurieren und auf das Netz loslassen, um sich an dem resultierenden Medienhype aufzugeilen, trift dieses Bild, wenn denn auch bedingt durch eine entsprechende Selbstinzenierung, in Teilen zu. Oft dürfte aber der nette freundliche Nachbarssohn mit den guten Schulnoten und dem guten Elternhaus der typische jugendliche Hacker sein.

Die reale Tätigkeit des Hackens hat nichts mit der im Film zelebrierten, romantischen Sicht der Dinge wohl eher nichts zu tun. Ein modern eingerichtetes Büro mit einer guten Internet-Anbindung, ergonomischer Beleuchtung und vielleicht Vollklimatisierung dürfte eher der Realität entsprechen…

In diesem Büro (nach dem aktuellen Bild irgendwo in den Weiten der ehemaligen Sowjetunion oder Chinas versteckt) sitzt ein Team von “Auftrags-Hackern”, die jeweils auf bestimmte Angriffsszenarios spezialisiert, strategisch geplante, von kriminellen? Geldgebern bezahlte “Hacks” durchführen und “projektbezogen” Rechner unter ihre Kontrolle bringen. Je nach Erfordernis (siehe Wert des gehackten Rechners für den Hacker) kommen entsprechende Angriffsvektoren zum Einsatz, wobei deren Anwendung “ganz normaler” Arbeitsalltag am Computerarbeitsplatz sein dürfte …

Was ist ein gehackter PC wert – 5 (”Datenernte”)

Wer sich immer schon mal gefragt hat, warum ein Hacker den ganzen Streß auf sich nimmt und fremde PCs unter seine Kontrolle bringt, ist sicherlich zum Schluss gekommen, dass eine wirtschaftliche Motivation dahinter steckt. Und vermutlich liegt er damit nicht völlig falsch. Neben den in den vorherigen Teilen besprochenen Motivationen gibt es noch die sogenannte Datenernte: Der Hacker durchsucht den gekaperten PC nach virtuellen Gütern, die sich zu Geld machen lassen. In erster Linie handelt es sich bei diesen virtuellen Gütern um Zugangsdaten zu (kostenpflichtigen?) Internet-Angeboten aber auch Adresslisten, die sich z.B. an Spamer verkaufen lassen, sind gerne genommen. Ist der rechtmäßige Eigentümer in der Spieleszene aktiv, kann der Hacker sich über den Zugang zum PC den Zugang zum (Online-)Spiel verschaffen und dort die über lange Zeit mühsam oder kostenpflichtig erworbenen virtuellen Waffen etc. zu seinen eigenen Gunsten veräußern.

Gerne genommen werden auch die Zugangsdaten zu virtuellen Handelsplattformen oder Online-Banken. Hier kann der Hacker Transaktionen zu Ungunsten des rechtmäßigen Nutzers tätigen und beispielsweise bei ebay Preise künstlich in die Höhe treiben oder Waren zu dessen Lasten und unter Ausnutzung dessen guter Reputation an eine “internationale” Adresse liefern lassen. Auch Lieferungen auf Basis von Lastschrift lassen sich bei Kenntnis der Kontodaten einfach in die Wege leiten.  In jedem Fall wird es für den rechtmäßen Benutzer schwer, sich von dem Verdacht des Betruges frei zu machen, da so wichtige Indizien wie die IP-Adresse und die Kenntnis der Nutzerdaten auf seinen eigenen Rechner bzw. seine eigene Person zeigen.

Wird der übernommene PC vom Eigentümer beruflich genutzt, so besteht die Chance, an Zugangsdaten für ein Unternehmensnetzwerk zu gelangen, die sich wiederum für Spionage etc. nutzen lassen.

Warum PCs gehackt werden – 4 (Klickbetrug)

Besonders einfach kann der Wert eines gehackten PCs ermittelt werden, wenn es um Klickbetrug geht, da sich hier direkt der finanzielle Nutzen ablesen läßt. Das zugrundeliegende Szenario ist das folgende: Der Betreiber eine Website möchte Geld verdienen. Zu diesem Zweck verkauft er an Werbekunden Werbeflächen auf seiner Website. Während im Printbereich die Auflage als Kenngröße für den Preis gilt, den der Werbekunde zu zahlen hat, und im Fernsehen die Zahl der Zuschauer über statistische Hochrechnungen bestimmt wird, gibt es im Internet durch die direkten Aufrufe von Websites die Möglichkeit für den Werbetreibenden, nur bei “Auslieferung” seines Werbebanners zu zahlen…

Dies ist der große Auftritt des Hackers. Er kann dem Betreiber der Website (möglicherweise ist dieser mit dem Hacker “identisch”) “Klicks” auf die bei diesem gehosteten Werbeflächen verkaufen

Mit den von ihm kontrollierten, gehackten PCs kann er automatisiert gezielt die Webpages mit den wertträchtigen Bannern herunterladen. Jeder Download wird von dem Werbetreibenden mit einem Betrag X dem Betreiber der Website vergütet …

Da die Werbetreibenden sich nachweisen lassen, von welchen IP-Adressen die Downloads der Werbegrafiken erfolgt ist, und nicht bezahlen, wenn ein einzelner PC ganz viele Zugriffe generiert (offensichtlicher Klickbetrug), ist es für den Hacker wichtig, über eine signifikante Anzahl von PCs mit unterschiedlichen IP-Adressen, Browsern, Betriebssystemen etc. zu verfügen, die er zum Laden der Werbung einsetzen kann.

Wieviel Geld der Hacker mit einem einzelnen Klick verdienen kann, hängt von vielen Faktoren ab.  Der inhaltliche Wert der Website auf der die Werbung geschaltet wird, geht genauso ein, wie die Zahl der Besucher (die durch den Klickbetrug im übrigen auch problemlos vergrößert werden kann) und die Qualität der Werbung selbst. Um einen Anhaltspunkt zu bekommen, kann man sich die Werbepreise bei Googles Werbenetzwerk ansehen. Hier kann der Werbetreibende beispielsweise auf bestimmte Begriffe bieten, mit der Folge, dass wenn dieser Begriff für eine Website relevant erscheint, die entsprechende Werbung dort eingeblendet wird und der Werbetreibende den gebotenen Betrag zahlen muss, wenn ein Nutzer der Website darauf klickt…

Die Preise für derartige Werbung ergeben sich durch Angebot und Nachfrage. Während Begriffe, die nicht so sehr im Fokus des Interesses stehen schon für wenige Cents (1 bis 5 Cent) ersteigert werden können, liegt ein Großteil der Begriffe bei einem Wert von 10 bis 80 Cent. Aber auch Euro-Beträge sind bei stark gesuchten Begrifflichkeiten nicht wirklich selten…

Für jeden Klick auf gehostete Werbung erhält der Websitebetreiben anteilig vom Werbevermarkter einen Betrag gutgeschrieben, der wiederum entweder über einen Festpreis oder eine Umsatzbeteiligung an den Hacker fließt.

Da der Hacker die gehackten PCs zum Aufrufen von Werbung nicht nur für eine Website bzw. einen Websitebetreiber einsetzen kann, sondern beliebig viele Websites “bedienen” kann, skaliert das Geschäftsmodell “vorbildlich”.

Wert eines übernommenen Rechners – 3 (”sichere” Arbeitsplattform)

Ein gehackter / übernommener PC stellt für den Hacker eine wichtige Arbeitsplattform dar, da seine von diesem System ausgehenden (illegalen) Aktivitäten ggf. erst einmal nur bis zu diesem Rechner zurückverfolgt werden können und dementsprechend dem eigentlichen Besitzer dieses PCs angelastet werden. Ãœber verschlüsselte Protokolle auf dem übernommenen PC angemeldet, ohne das der Besitzer dies bemerken würde, kann der Hacker so seinen “verbotenen” Aktivitäten nachgehen, ohne Entdeckung befürchten zu müssen. Eine zentrale Intention ist die Verschleierung der eigenen Identität bei illegalem Handeln, z.B. dem Spionieren in Firmen- oder Behördennetzwerken.

Verfügt der Hacker über mehrere solcher für ihn “sicherer” Arbeitsplattformen, gelingt das Verschleiern von Angriffen und Spionage noch besser Dann lassen sich sich entweder die illegalen Arbeiten mal von dem einen und mal von dem anderen Rechner durchführen, oder noch schöner: Der Hacker baut eine verkettete Kommunikation auf. D.h. er schaltet sich auf Rechner 1 auf, nimmt von dort Verbindung zu dem gehackten Rechner 2 auf, von dort zu Rechner … um von diesem Rechner aus dann die eigentlichen Arbeiten auszuführen. Die Rückverfolgung der Aktivitäten zum Rechner des Hackers wird sehr schwierig bis aussichtslos.