Beiträge

Lange Jahre wurde die Architektur von Speicher ausschließlich durch die Parameter der Hardware bestimmt. Zumindest, was Größe, Zugriffsgeschwindigkeit und Cache anging. Dynamische Volumes und RAID-Verbünde waren ein erster Schritt, zu mehr Flexibilität. Software defined Storage (SDS) ist die konsequente Fortentwicklung dieses Ansatzes. Der Speicherplatz wird dabei von der Hardware abstrahiert. Dies erlaubt maximale Flexibilität und Skalierbarkeit.

Wie funktioniert die klassische Speicherung von Dateien?

Bis der physikalische Speicher dem Benutzer zum Ablegen seiner Daten angeboten wird, durchläuft er mehrere logische Bearbeitungsprozesse. Dies beginnt beim Controller der klassischen Festplatte. Dieser fasst Speicherbereiche zusammen und bietet sie dem Dateisystem in einer logischen Adressierung an. In Flashspeicher ist ebenfalls eine Abstraktionsschicht integriert, der Flash Translation Layer (FTL). Dieser übernimmt die Adressierung des vom Controller verwalteten Speichers.

Sowohl vom Betriebssystem, als auch auf Hardware-Ebene, können Verbünde erzeugt werden. Beispielsweise durch einen RAID-Controller, der den Speicher von zwei oder mehr Festplatten transparent zu einem großen Bereich zusammenfasst. Auch auf Software-Ebene ist dies möglich, indem beispielsweise unter Windows aus mehreren Festplatten ein dynamisches Laufwerk gebildet wird.

Auf den so zur Verfügung gestellten Speicher greift das Dateisystem zu und übernimmt die Partitionierung sowie Speicherung der Dateien.

Bezüglich der Schreib- und Lesegeschwindigkeit ist man bei diesen Methoden immer auf das „schwächste Glied“ im Verbund reduziert. Die Ablage der Dateien erfolgt zufällig. Auch ist der Austausch oder die Erweiterung der Komponenten nicht in jedem Fall möglich, ohne den gesamten Verbund neu aufzubauen. Ausnahme hiervon sind natürlich RAID-Verbünde, die speziell auf Redundanz ausgelegt sind, dafür aber eine homogene Hardware benötigen.

Wie funktioniert Software defined Storage?

Software defined Storage (SDS) übernimmt mehrere Aufgaben, die zuvor durch unterschiedliche Komponenten erledigt wurden. Er setzt an der Stelle an, wo der Speicher vom Controller logisch zur Verfügung gestellt wird. Er fasst die eingebundenen Komponenten zusammen und setzt sie dynamisch ein.

Dabei kann heterogene Hardware zum Einsatz kommen, ohne dass hierdurch die gesamte Performance beeinträchtigt wird. Vielmehr werden beispielsweise schnelle Speicher für eine Zwischenspeicherung verwendet. Die Daten werden dann zu weniger lastintensiven Zeiten auf andere Bereiche verteilt. Weiterhin ist das Dateisystem ein fester Bestandteil des Systems. So wird dafür gesorgt, dass Daten nicht doppelt abgelegt werden. Sind Dateien inhaltlich mehrfach vorhanden, speichert das Dateisystem sie nur einmal ab und legt Verweise auf den Inhalt an. Diesen Vorgang nennt man Deduplikation.

Auch das Anlegen von Snapshots und Backups wird durch Software defined Storage (SDS) gewährleistet. Die Datenablage erfolgt in redundanten Arrays. So kann Datenverlust bei Ausfall einzelner Komponenten verhindert oder vermindert werden.

Ein großer Vorteil ist die bereits angesprochene Skalierbarkeit. Es ist zu jedem Zeitpunkt möglich, Speicher zu ergänzen. Auch ein Austausch oder das Entfernen von Komponenten ist im laufenden Betrieb möglich.

Anwendungsfälle für Software defined Storage

Software defined Storage (SDS) bietet die flexible Basis für gemeinsam genutzten Speicherplatz in lokalen Netzwerkverbünden. Hauptsächlich dürfte dies für Firmennetzwerke interessant sein. Aus allen bereits vorhandenen Servern kann ein Software defined Storage (SDS) gebildet werden. Auf diesem können dann die notwendigen Dienste angeboten werden. Eine Möglichkeit ist beispielsweise die Nutzung des Speicherplatzes als Fileservers. Auch beliebige Serverdienste können darauf ausgeführt werden. Diese dürfen auch in einer virtualisierten Umgebung laufen. Das gesamte System ist nach der Einrichtung zentral administrierbar.

Was ist Ceph?

Ceph ist eine freie Variante des Software defined Storage (SDS). Sie wird unter GNU Lesser General Public License angeboten (LGPL). Ceph läuft unter Linux und wird von einem Konsortium verschiedener Hard- und Softwarehersteller entwickelt. Unter den Firmen befinden sich Canonical (Entwickler von Ubuntu-Linux), Cisco, Fujitsu, Intel, Red Hat, SanDisk und SuSE-Linux.

Die Software läuft auf handelsüblicher Hardware. Zur Speicherung wird ein Algorithmus mit Namen CRUSH verwendet. Dies steht für Controlled Replication Under scalable Hashing und setzt die Verteilung der Daten im System um. Die Komponenten im System werden Object Storage Nodes (OSDs) genannt. Es ist eine Redundanz der Daten vorgesehen, die dafür sorgt, dass ausgefallene Komponenten ohne Datenverlust ersetzt werden können. Die Software bringt mit CephFS ein eigenes Dateisystem mit.

Was ist Storage Spaces Direct?

Storage Spaces Direct (S2D) heißt der Software defined Storage (SDS) von Microsoft. Das System ist bereits in den Datacenter-Versionen von Windows Server 2016 und 2019 integriert. Es kann also relativ einfach verwendet werden, wenn die Infrastruktur auf diesen Betriebssystemen basiert. Die Flexibilität ist allerdings insofern eingeschränkt, als dass für jedes eingebundene Gerät eine Lizenz erforderlich ist.

Die Einrichtung von S2D erfolgt per PowerShell. Als Dateisystem kann das bekannte NTFS oder das für diesen Zweck optimierte ReFS zur Anwendung kommen. Bei ausreichend eingebundenen Komponenten liegt die Speichereffizienz bei bis zu 80 Prozent. Auch S2D bietet eine Wiederherstellung verlorener Dateien. Dies wird mit der Technik Local Reconstruction Codes (LRC) gewährleistet.

Weitere Anbieter von Software defined Storage

VMWare, der Spezialist für Virtualisierung, verwendet Software defined Storage (SDS) für seine Software vSAN, die Wiederherstellungssoftware Site Recovery Manager und sein Framework Virtual Volumes. Hierbei handelt es sich um ein kostenpflichtiges Angebot. Eine freie Alternative zu Ceph ist das Netzwerk-Dateisystem GlusterFS.

OpenStack Swift ist ein weiteres System zur Bereitstellung von Netzwerkspeicher aus verteilten Systemen. Es handelt sich dabei um Open-Source-Software, die also kostenfrei genutzt werden darf.

Gehört Software defined Storage die Zukunft?

Es sieht im Moment danach aus, dass Software defined Storage (SDS) das Konzept der Zukunft ist. Insbesondere gegenüber vorhandenen NAS- und SAN-Lösungen besticht es durch seine Flexibilität.  Man kann Hardware kann integrieren. Zuwächse in der Performance sind auch mit geringen Investitionen möglich. Zudem scheint der integrative Ansatz ein großer Vorteil bei der Administration zu sein. Backup-Strategien müssen beispielsweise nicht separat entworfen werden. Die Möglichkeit zur zentralen Administration ist ein grundsätzlicher Bestandteil der Technologie. Zudem sind keine Beschränkungen bei der Art der Nutzung des Speicherplatzes des Software defined Storage (SDS) gegeben. Somit harmoniert es beispielsweise gut mit dem Konzept der Virtualisierung von Systemen.

Storage Spaces direct (S2D) ist ein System von Microsoft, mit dem skalierbarer softwaredefinierter Speicher realisiert wird. Es handelt sich um eine Funktion für die Betriebssysteme Windows Server 2016 und 2019 Datacenter. Dabei wird ein Cluster aus den physikalischen Speichermedien der eingebundenen Server erstellt und logischer Speicherplatz gebildet. Dieser ist hochverfügbar und kann unkompliziert erweitert werden.

Wie funktioniert Storage Spaces direct im Detail?

Direkte Speicherplätze, wie Storage Spaces direct (S2D) in deutschsprachigen Programmversionen heißt, nutzt das Prinzip der Virtualisierung. Aus den physikalischen Speichermedien, egal ob Festplatte, SSD oder NVM, wird ein Verbund gebildet. Der schnellste verfügbare Speicher wird dabei automatisch als Cache genutzt. In einer Abstraktionsschicht sorgt das Cluster Shared Volumes Filesystem (CSVFS) dafür, dass der gesamte Speicherbereich logisch wie ein Laufwerk verwaltet werden kann. Die Funktionalität der Dateiverwaltung wird optional durch das bekannte Desktop-Dateisystem NTFS oder ReFS, das spezielle Server-Dateisystem von Microsoft, gewährleistet. Microsoft empfiehlt die Verwendung von ReFS. Der Speicherplatz kann danach zentral verwaltet werden. Dies ist das Prinzip des softwarebasierten Speichers, dem Software-Defined Storage. Die Einrichtung und Verwaltung ist mit der integrierten Microsoft Powershell möglich.

Vorteile von Storage Spaces direct

Das System Storage Spaces direct (S2D) ist direkt in die neuen Server-Betriebssysteme integriert. Hierdurch ist eine reibungslose Einbindung gewährleistet. Aus einer gewachsenen, heterogenen Server-Landschaft kann ein einheitlicher Speicher gebildet werden, der für alle eingebundenen System verfügbar ist. Dieser ist in der Folge auch zentral administrierbar.

Das System ist zudem skalierbar. Mit wenigen Befehlen können nachträglich weitere Komponenten hinzugefügt oder ausgetauscht werden.

Ein bedeutendes Merkmal ist die Ausfallsicherheit. Hier unterscheidet man zwischen der Einzelparität, die einem RAID-5 gleicht und dadurch nur 50 Prozent des physikalischen Speichers nutzen kann und der dualen Parität. Diese ähnelt dem RAID-6 und die Effizienz steigt mit der Anzahl der eingebundenen Hardware-Speichermedien auf bis zu 80 Prozent.

Zudem verwendet Microsoft eine Technik mit Namen Local Reconstruction Codes (LRC). Dabei werden innerhalb der eingebundenen Medien kleinere Gruppen gebildet, damit der Aufwand zur Wiederherstellung nicht auf den gesamten Speicher angewendet werden muss, sondern nur auf die lokal betroffenen Bereiche. Zur Steigerung der Effizienz kann zudem parallel Spiegelung für Teile des Speichers verwendet werden. Dieser Speicher wird dann vorrangig für Schreibvorgänge genutzt und die Daten erste später in andere Speicherbereiche verschoben.

Nachteile von S2D

Storage Spaces direct (S2D) ist an die entsprechenden Server-Lizenzen gebunden. Das bedeutet, dass alle eingebundenen Systeme auch über eine Lizenz für Windows Server 2016 oder 2019 Datacenter verfügen müssen. Das verursacht Kosten von etwa 5000 Euro pro Server, der in den Verbund aufgenommen werden soll. Insbesondere wenn es vorrangig um eine File-Server-Funktionalität geht, gibt es günstigere Alternativen. Bei Nutzung als Plattform für virtuelle Maschinen, müssen die Kosten anderer kommerzieller Anbieter gegenübergestellt werden.

Alternativen zu Storage Spaces direct

Eine ähnliche Funktionalität wie Storage Spaces direct (S2D) bietet das 2012 vorgestellte Ceph. Das System wird unter der GNU-General Public License angeboten und ist damit kostenfrei. An der Weiterentwicklung arbeiten namhafte Firmen. So sind beispielsweise die Hardware-Herstellern CISCO, Fujitsu und Intel sowie Linux-Distributoren, wie Red Hat, SuSE und Canonical (Entwickler von Ubuntu) beteiligt. Es ist allerdings nur unter Linux lauffähig.

Früher war 3DES eine der bekanntesten und beliebtesten Formen der Verschlüsselung. Der Verschlüsselungsalgorithmus basiert auf dem für die US-Regierung entwickelten DES-Algorithmus, den ab den 1980er-Jahren so gut wie alle Hersteller in ihren Programmen hatten.

3DES – Definition

Bei 3DES handelt es sich um einen Verschlüsselungsalgorithmus. Obwohl es offiziell als Triple Data Encryption Algorithm (3DEA) bekannt ist, wird dieser Verschlüsselungsalgorithmus am häufigsten als 3DES bezeichnet. Dies liegt daran, dass der 3DES-Algorithmus die DES-Verschlüsselung (Data Encryption Standard) dreimal verwendet, um zu sichernde Daten zu verschlüsseln.

DES ist ein Symmetric-Key-Algorithmus, der auf einem Feistel-Netzwerk basiert. Als symmetrische Key-Verschlüsselung wird dabei derselbe Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Das Feistel-Netzwerk macht diese beiden Prozesse nahezu identisch, was zu einem Algorithmus führt, dessen Implementierung effizienter ist.

DES hat sowohl eine 64-Bit-Block- als auch eine Schlüsselgröße, in der Praxis gewährt der Schlüssel jedoch nur 56-Bit-Sicherheit. 3DES wurde aufgrund der geringen Schlüssellänge von DES als sicherere Alternative entwickelt. In 3DES wird der DES-Algorithmus dreimal mit drei Schlüsseln ausgeführt. Er wird jedoch nur als sicher angesehen, wenn drei separate Schlüssel verwendet werden.

Triple DES verschlüsselt die Eingabedaten dreimal. Die drei Schlüssel werden dabei mit k1, k2 und k3 bezeichnet. Diese Technologie ist im Standard von ANSIX9.52 enthalten. Triple DES ist abwärtskompatibel mit regulärem DES.

3DES ist vorteilhaft, da es eine erheblich größere Schlüssellänge hatals die meisten anderen Verschlüsselungsmodi. Der DES-Algorithmus wurde jedoch durch den Advanced Encryption Standard des National Institute of Standards and Technology (NIST) ersetzt. Somit gilt 3DES nun als veraltet. Software, die für ihre Kompatibilität und Flexibilität bekannt ist, kann problemlos für die Triple-DES-Integration konvertiert werden. Daher ist diese Form der Verschlüsselung möglicherweise nicht annähernd so veraltet, wie von NIST angenommen.

Die Geschichte der 3DES-Verschlüsselung

Da 3DES von DES abgeleitet ist, ist es am besten, zuerst den früheren Standard, DES, zu erklären. In den 1970er-Jahren suchte das National Bureau of Standards (NBS – inzwischen in NIST umbenannt) nach einem Algorithmus, der als Standard zur Verschlüsselung sensibler, aber nicht klassifizierter Regierungsinformationen verwendet werden konnte.

Die NBS akzeptierte Vorschläge für einen Standard, der ihren Anforderungen entsprach, aber keiner der Kandidaten aus der ursprünglichen Runde setzte sich durch. Es wurden weitere Einsendungen entgegengenommen, und diesmal schickte IBM einen von seinem Team entwickelten Algorithmus durch. Die Vorlage wurde von der Luzifer-Chiffre abgeleitet, die Horst Feistel entworfen hatte.

1975 wurde der IBM-Algorithmus von der NBS als vorgeschlagener Datenverschlüsselungsstandard veröffentlicht. Die Öffentlichkeit wurde gebeten, sich zu dem Entwurf zu äußern, der einige Kritik hervorrief. Einige prominente Kryptografen behaupteten zum Beispiel, die Schlüssellänge sei zu kurz.

Zu der Zeit dachten viele in der kryptografischen Community, dass die National Security Agency (NSA) das Projekt sabotiert und sich eine Hintertür eingebaut hatte, so dass es die einzige Agency sein würde, die DES brechen könnte. Dieser Verdacht konnte jedoch nie bewiesen werden.

Trotz der anfänglichen Fragen zur Sicherheit des Algorithmus und zur Beteiligung der NSA wurde der IBM-Algorithmus 1976 als Datenverschlüsselungsstandard anerkannt. Er wurde 1977 veröffentlicht und 1983, 1988 und 1993 als Standard bestätigt. Die Notwendigkeit eines neuen Algorithmus wurde mit der Weiterentwicklung der Technologie und der Zunahme potenzieller Angriffe verstärkt.

3DES in der heutigen Zeit

Verschiedene Hackerangriffe zeigten, dass es weniger schwierig war, den Algorithmus zu brechen, als bisher angenommen. Im Jahr 1998 war Distributed.net in der Lage, DES innerhalb von 39 Tagen zu knacken.

Anfang 1999 hatte die Electronic Frontier Foundation mit Deep Crack die Zeit auf etwas mehr als 22 Stunden verkürzt.

Ein neuer Algorithmus wurde dringend benötigt. Dies war ein Problem, da es mehrere Jahre dauern würde, bis sich NIST mit dem Algorithmus, der zum Ersatzstandard wurde, dem Advanced Encryption Standard (AES), befasste.

Während die Verschlüsselung mit AES beschlossen wurde, wurde 3DES als Notlösung vorgeschlagen. Dabei wird der DES-Algorithmus dreimal mit drei separaten Schlüsseln ausgeführt. 1999 wurde DES erneut bestätigt, jedoch mit 3DES als idealem Algorithmus. Normales DES war nur in wenigen Anwendungen zulässig.

3DES entwickelte sich zu einem weit verbreiteten Verschlüsselungsalgorithmus, derheutzutage aufgrund seines hohen Ressourcenverbrauchs und seiner Sicherheitsbeschränkungen in den meisten Anwendungsfällen durch AES ersetzt wurde.

Schadsoftware und heimtückische Websites erkennen Sie nicht mit dem bloßen Auge. Auch Angriffe von Hackern können nicht einfach so und ohne eine im Hintergrund laufende Unterstützung abgewehrt werden. Hier kommt der Virenscanner ins Spiel, der sich auf jedem PC und Smartphone befinden und neben der Firewall zusätzlich vor Eindringlingen auf einem Computer oder dem Server schützen soll.

Definition Virenscanner

Grundsätzlich werden Virenscanner in drei verschiedene Arten, abhängig von ihrer Funktion unterteilt. Es gibt manuelle Scanner, Echtzeitscanner und Onlineprogramme zur Aufspürung und Unschädlichmachung von Schadware. Jeder Virenscanner dient unabhängig seiner häufig implementierten Zusatzfunktionen dazu, Würmer, Trojaner und Viren aufzuspüren und diese in die Quarantäne zu verschieben oder durch Löschung unschädlich zu machen. Antivirus-Programme sperren Hacker aus und sind neben der Firewall essenzielle Schutzmechanismen für die sensiblen Daten auf Servern und Computern. Der Begriff Virenscanner ergibt sich aus der Funktion des Programms, das bestenfalls automatisch im Hintergrund läuft und den PC kontinuierlich nach Schadware scannt.

Anwendungsbereiche von Virus-Scannern

Ein Antivirus-Programm ist für Heimanwender ebenso wichtig wie für Firmen. Viren oder Mal- und Spyware gefährden die Funktionalität Ihres Computers und stellen die digitale Sicherheit durch das Ausspähen und Abgreifen von Daten in Frage. In den letzten Jahren haben sich immer mehr Virenscanner-Hersteller darauf konzentriert, künstliche Intelligenz einzubauen und auf diesem Weg die Entdeckung und Unschädlichmachung von Schadware zu beschleunigen. Noch vor einigen Jahren brauchte ein Virenprogramm bis zur Lösungsfindung meist einige Tage, was in der heutigen schnelllebigen Zeit unverhältnismäßig wäre. Ältere Scanner beschäftigten sich mit der Suche nach bekannten „Verhaltensmustern“ von Websites und nahmen die Einordnung in sicher und unsicher anhand dieser Faktoren vor.

Heute arbeitet der Virenscanner mit Analysen, die sich nicht auf bekannte Muster, sondern auf das tatsächliche Verhalten einer Website oder Software in Echtzeit beziehen. Schadware, aber auch Sicherheitslücken und Bugs werden aufgespürt und können nach der Verschiebung ins Quarantäneverzeichnis entfernt werden.

Die verschiedenen Begrifflichkeiten im Zusammenhang mit Virenscannern

Wenn Sie sich intensiv mit Virenscannern beschäftigen, wird Ihnen der Begriff Vulnerability häufiger vor Augen geführt. Die Bezeichnung wird in verschiedenen Bereichen verwendet und steht für die Wunde, beziehungsweise die Verwundbarkeit. PC-Technik und Serverschutz mit geringer Vulnerabilität, also mit einem minimalen Verwundungsrisiko bieten Ihnen die beste und der Datenschutzgrundverordnung entsprechende Sicherheit. Im Kontext zu Sicherheitslücken taucht der Begriff Exploit auf. Exploits sind kleine Programme von Hackern. Sie spüren Schwachstellen in Software und auf Computern auf. Für einen effektiven Rundumschutz sollte Ihr Antivirus-Programm daher nicht nur konventionelle Schadware aufspüren, sondern sich vollumfänglich für die Sicherheit im Internet und die Sicherheit Ihrer Daten einsetzen lassen. Beim effektiven Schutz für Unternehmen muss man auf komplexere und geräteübergreifende Lösungen setzen.

Antivirus-Lösungen für Firmen

Zwei essenzielle Faktoren spielen bei der Entscheidung für einen Virenscanner eine übergeordnete Rolle. In größeren Firmen werden Programme bevorzugt, die man unkompliziert zentral installieren und auf gleichem Weg verwaltet. Dabei sollte der Virenscanner kostenlos und äußerst effektiv sein. Die Einzelinstallation und Updates über jeden einzelnen Computer wären zu aufwendig. Sie würden obendrein innerhalb des Systems Lücken und damit die Gefahr von Eindringlichen von außen begünstigen. Zentrale Lösungen mit Management-Option sind für Firmenkunden die beste Lösung. Es gibt verschiedene renommierte Hersteller von Antivirus-Software, die kostenlose Komplettlösungen für Unternehmen anbieten.

Bei ESET nennt sich die Lösung ESET Remote Administrator (kurz ERA) und ist eine kostenlose Möglichkeit für Firmen, sich umfassend vor Schadware und den damit verbundenen Sicherheitsrisiken und Kosten zu schützen. Die Ausrichtung des Managements hängt davon ab, wie viele Geräte Sie mit einem Virenscanner überwachen und von Sicherheitsrisiken befreien möchten.

Der Virenscanner muss zum Risiko passen

Bei der Auswahl eines Virenscanners sollten Sie als gewerblicher Anwender mit Kompetenz und einer realistischen Einschätzung Ihrer Risiken vorgehen. Fakt ist, dass ein Scanner für Trojaner und Würmer heute nicht mehr ausreicht und mehr Schadware durchlässt als stoppt. Da die Kombination von Scanner häufig zu Kompatibilitätsproblemen führt, sollten Sie sich für eine Software entscheiden. Arbeiten Sie mit sensiblen Daten im Kundenverkehr, ist ein besonders umfangreicher Schutz notwendig. Wenn Sie sich für einen Virenscanner entscheiden, prüfen Sie vorab die Updates für die stetige Aktualisierung und Anpassung auf neue Risiken.

Die 2010er Jahre werden wohl in die Annalen der Geschichte als das Jahrzehnt der Cyberangriffe  von Hackern auf Behörden, Organisationen und Netzwerke eingehen. Beinahe wöchentlich werden neue Hacking Attacken auf Unternehmensnetze gemeldet. Doch wer sind diese Hacker und wie gehen sie bei ihren Angriffen auf fremde Systeme vor?

Was ist ein Hack?

Hacken bedeutet so viel, wie die Grenzen des Möglichen auszutesten. Mit dieser Beschreibung versuchte der US-amerikanische Informatiker und Sicherheitsforscher Richard Stallman, die Vorgehensweise von Hackern zu beschreiben. Aus seiner Sicht ist das ein äußerst kompliziertes Unterfangen, denn Hacker sind so vielfältig wie die von ihnen eingesetzten Tools und Attacken. Während Hacker in vielen Filmen nur einige Sekunden benötigen, um in ein Computernetzwerk einzudringen, sieht die Realität wesentlich anders aus. Oft steckt hinter einem erfolgreichen Hack-Angriff wochen- oder monatelange Detailarbeit. Computersysteme sind nur eins von vielen Angriffszielen, die Hacker heutzutage ins Visier nehmen. So lassen sich zum Beispiel smarte Fernseher und Kühlschränke und internetfähige Automobile manipulieren.

Wie dringen Hacker in Computersysteme ein?

Gute Hacker kennen sich nicht nur mit Computersystemen aus, sondern können auch Menschen verleiten, ihnen Informationen zu verraten. Eine der ältesten und heute noch aktiv genutzten Methoden ist deshalb eine, die kaum technische Kenntnisse voraussetzt: das sogenannte „Social Engineering“. Bei dieser Methode tischt der Angreifer dem Opfer Lügengeschichten auf und bittet ihn um Hilfe. Mit diesen Geschichten verführen Hacker Nutzer dazu, ihnen Log-in-Daten preiszugeben, infizierte Dateien auszuführen oder ihnen Geld zu überweisen.

Auch sogenannte „Phishing-Angriffe“ sind traditionelle Manipulationstricks, mit denen Hacker versuchen, an Privatdaten von Nutzern zu gelangen. Die kriminellen Angreifer geben sich dabei in vielen Fällen als Mitarbeiter von Banken, Firmen oder Online-Anbietern wie Ebay, Amazon und PayPal aus. Sie fälschen E-Mails und Webauftritte bekannter Unternehmen und setzen darauf, dass die Opfer ihrer Angriffe ihre Log-in-Daten in gefälschte Formulare eintragen, die dem Original ähneln.

Bei der sogenannten „Man-in-the-Middle-Attacke“ zapft der Angreife einen Kommunikationsweg zwischen zwei Geräten an, die miteinander kommunizieren. Betreibt das Opfer etwa Onlinebanking auf seinem Smartphone in einem öffentlichen WLAN-Netzwerk, kann der Angreifer die Daten manipulieren.

Eine andere Methode, um an Log-in-Daten zu kommen, ist das sogenannte „Brute-Force-Verfahren“, das als Brechstange im Arsenal moderner Hacker-Tools bezeichnet wird. Anstatt die Zugangsdaten der Opfer auszuspähen, probieren Hacker auf Log-in-Seiten mit automatisierten Tools alle möglichen Passwörter. Diese Methode klappt vor allem Dann, wenn sich Nutzer für simple und kurze Passwörter entscheiden und die Log-in-Seite beliebig viele Versuche zulässt.

Ein weiterer Weg, um Schadsoftware zu verteilen, sind sogenannte „Drive-by-Downloads“. So wird das unbewusste und unbeabsichtigte Herunterladen von Dateien bezeichnet. Eine Webpräsenz oder eine Werbeanzeige kann so manipuliert werden, dass bereits der Abruf der Webseite dazu führen kann, dass Schadsoftware automatisch auf den Rechner des Opfers heruntergeladen und installiert wird.

Wie nutzen Hacker DDoS-Attacken?

Bei DDoS-Attacken (Distributet-Denial-of-Service-Attacken) handelt es sich um Überlastungsangriffe, durch deren Einsatz Server und Webdienste zeitweise unbrauchbar gemacht werden. Hacker versuchen mit dieser Methode u. a. Schutzgeld von Unternehmen zu erpressen, deren Online-Angebote durch einen längeren Ausfall einen Imageschaden erleiden würden, sodass dadurch die Nutzerzahlen ihrer Online-Dienste auf dem Spiel stehen könnten. Damit eine DDoS-Attacke erfolgreich verläuft, muss der Angreifer genügend infizierte Computer zur Verfügung haben, um einen ausreichend großen Traffic generieren zu können. Deshalb setzen Hacker bei einer Überlastungsattacke in der Regel ein Botnetz ein. Diese digitale Zombie-Armee setzt sich aus infizierten Geräten zusammen, die mit dem Internet verbunden sind. Deren Besitzer bekommen in den meisten Fällen gar nicht mit, dass ihr Computer oder Tablet-PC für DDoS-Attacken missbraucht wird.

Die Lieblingstools

Hacker bedienen sich einer Vielzahl unterschiedlicher Schadsoftware-Programme, um in Computernetzwerke einzudringen und Daten zu stehlen. Als Schadsoftware (Malware) werden alle Computerprogramme und Codefragmente bezeichnet, die unerwünschte oder schädliche Handlungen auf einem Computersystem ausführen, wie beispielsweise Ausspähen von Nutzerverhalten. Traditionelle Antiviren-Lösungen sollen solche Programme erkennen und automatisch entfernen können. In den meisten Fällen reicht ein einfaches Antivirenprogramm aus, um gängige Schadsoftware vom Rechner fernzuhalten.

Problematisch wird es jedoch bei den sogenannten „Zero-Day-Lücken“. Hierbei handelt es sich um Sicherheitslücken, die dem Hersteller noch nicht bekannt sind und somit auch noch nicht gepatcht werden konnten. Hackertools, die sich Zero-Day-Schwachstellen zunutze machen, werden „Zero-Day-Exploits“ genannt. Diese Art der Exploits ist in der IT-Branche sehr wertvoll. Denn Hersteller möchten von Schwachstellen in ihren Systemen zuerst erfahren, weshalb Belohnungen für Hinweise angeboten werden. Auf dem Schwarzmarkt können Zero-Days Cyberkriminellen jedoch viel mehr Geld einbringen.

Wie gefährlich Zero-Day-Exploits wirklich sind, zeigte WannaCry im Jahr 2017. Der Erpressungstrojaner nutzte einen Zero-Day-Exploit namens „Eternal Blue“, um sich rasend schnell zu verbreiten und weltweit Millionen von Rechnern zu infizieren.

Kann man sich schützen?

Die schlechte Nachricht lautet, dass prinzipiell jedes System gehackt werden kann. Die entscheidende Frage ist jedoch, wie schnell und wie leicht ist es für den Hacker, Zugang zu einem bestimmten Computersystem zu erlangen. Es sind unterschiedliche Tools, wie beispielsweise OpenVAS erhältlich, die Ihnen dabei helfen können, eine Vulnerability-Analyse Ihres Computersystems oder Netzwerks durchzuführen.

Bei der Versendung von Daten über das Internet besteht vermehrt der Bedarf, eine verschlüsselte Verbindung zu verwenden. Je sensibler die Inhalte sind, desto sicherer muss ausgeschlossen werden, dass Dritte diese mitlesen oder verändern können. Auch ist es vor der Übertragung wichtig, dass man gewiss sein kann, überhaupt mit dem richtigen Empfänger zu kommunizieren. Verschlüsselung und das daraus abgeleitete Prinzip der Zertifikate, sind ein probates Mittel. Doch bei der Kommunikation mit externen Stellen muss zunächst einmal der Schlüssel geschützt ausgetauscht werden. Hierfür sind asymmetrische Verschlüsselungsverfahren wie RSA geeignet.

Herkunft und Entwicklung von RSA

Die Bezeichnung RSA stammt von den Anfangsbuchstaben der Erfinder: Rivest, Shamir und Adleman. Das Verfahren wurde bereits 1977 entwickelt und ist, mit leichten Modifizierungen und Verlängerungen der empfohlenen Schlüssellänge, bis heute im Einsatz. Ursprünglich wollten die drei Mathematiker nur beweisen, dass das ein Jahr zuvor vorgestellte Diffie-Hellman-Verfahren zum Schlüsseltausch Angriffspunkte aufweist. Dabei entdeckten sie eine darauf basierende Methode, für die sie keine Schwachstelle fanden und veröffentlichten sie als RSA. Zwischen 1983 und 2000 bestand ein Patent dafür.

Symmetrische und asymmetrische Verschlüsselung

Verschlüsselung beschreibt grundsätzlich die Kodierung von klartextlichen Daten. Diese können ihrerseits auch binär vorliegen. Die Transformation muss nach festgeschriebenen Operationen, dem Algorithmus, und anhand eines festgelegten Schlüssels erfolgen. Dies haben alle Verschlüsselungsverfahren gemeinsam.
Bei einem symmetrischen Verfahren wird derselbe Schlüssel für die Ver- und Entschlüsselung verwendet. Dies bringt das Problem mit sich, dass er auf beiden Seiten vorliegen muss. Eine unverschlüsselte Übertragung, vor Aufbau der verschlüsselten Verbindung, verbietet sich natürlich. Ein Angreifer könnte den Schlüssel ebenfalls abfangen und seinerseits alle Daten en- und dekodieren.

Besonderheiten

Die Besonderheit bei asymmetrischen Verfahren hingegen ist, dass zwei unterschiedliche Schlüssel verwendet werden. Es gibt einen privaten und einen öffentlichen Schlüssel. Es ist möglich, den mit einem der beiden verschlüsselte Datenbestand mit dem jeweils anderen zu entschlüsseln. Dies bringt zwei sinnvolle Anwendungszwecke mit sich. Der Absender kann seine Inhalte mit dem öffentlichen Schlüssel enkodieren und sich sicher sein, dass nur der Besitzer des privaten Schlüssels in der Lage ist, sie wieder zu dekodieren.

Sichere Verbindungen

Da der Inhalt auch ein Schlüssel für ein symmetrisches Kodierungsverfahren (im Gegenssatz zum RSA)  sein kann, ist dies gut geeignet, um eine sichere Verbindung aufzubauen. Steht diese Verbindung, sind beide Seiten im Besitz des korrekten Schlüssels und können verschlüsselt kommunizieren.
Die zweite Variante besteht darin, dass der Absender den versendeten Inhalt mit seinem privaten Schlüssel enkodiert. Der Empfänger kann sich den korrekten öffentlichen Schlüssel gefahrlos vom Absender herunterladen und damit den Datenbestand dekodieren. Ist der Inhalt lesbar, steht fest, dass er vom korrekten Absender stammt.

Details zu RSA

Dem Verfahren liegt das Prinzip einer Einwegfunktion zugrunde. Also einer Funktion, die nicht ohne Weiteres umkehrbar ist, wenn bestimmte Parameter nicht bekannt sind. RSA macht sich die Schwierigkeit bei der Faktorisierung von Primzahlen zunutze. Wird aus zwei ausreichend großen Primzahlen durch Multiplikation ein sehr großes Produkt erzeugt, ist es nur mit hohem Aufwand möglich, die verwendeten Faktoren zu errechnen. Beide erzeugten Schlüssel werden zudem noch mittels der Modulo-Operation, der Bestimmung des Rests einer ganzzahligen Division, bearbeitet. Die verwendeten Primzahlen werden gelöscht oder beim privaten Schlüssel verwahrt. Danach ist es möglich, durch eine sogenannte Falltür-Funktion, mit nur einem der beiden Schlüssel Inhalte zu entschlüsseln, die mit dem anderen Schlüssel verschlüsselt wurden.


Die Sicherheit des Systems hängt allerdings von der Länge der Schlüssel ab. Erst ab einer Größe von 2048 Bit kann zur Zeit von einer Komplexität ausgegangen werden, die mit der verfügbaren Rechenleistung in absehbarer Zeit nicht zu knacken ist. Dies ist nicht unerheblich, da die Dauer der Rechenoperationen bei der Kodierung sich mit zunehmender Schlüssellänge entsprechend verlängert.

Welche Anwendungen nutzen RSA?

Aufgrund des notwendigen Rechenaufwands ist das Verfahren nicht zweckdienlich, wo schnell große Datenmengen auszutauschen sind. Daher eignet es sich vorrangig für die Authentifizierung und, wie bereits erwähnt, für den Schlüsseltausch.
Dies ist allerdings bei sehr vielen bekannten Anwendungen der Fall. Das Webprotokoll HTTPS nutzt RSA zu diesem Zweck. Auch die Authentifizierung des Webservers, über dessen X.509-Zertifikat, läuft mit diesem Verfahren. Es findet zudem Verwendung bei TLS und damit bei der gesicherten Übertragung von E-Mails. Auch die Verschlüsselung von Mails mittels OpenPGP und S/MIME wird mittels RSA durchgeführt.
Bei der Verschlüsselung von Smartcards und RFID-Chips wird die Methode ebenfalls verwendet.

Welche Schwächen hat RSA?

RSA ist gegenüber symmetrischen Methoden wie AES etwa um das Hundertfache langsamer. Weiterhin ist es theoretisch angreifbar und nur eine ausreichend große Schlüssellänge schützt praktisch davor, die Schlüssel errechnen zu können. Da sich die Hardwareleistung immer noch erheblich in Richtung leistungsfähigerer Komponenten entwickelt, muss dies bei der Auswahl der Schlüssellänge berücksichtigt werden. Ansonsten kann eine Hard- oder Software, die RSA verwendet, mit der Zeit unsicher werden.

Alternative Verschlüsselungsmöglichkeiten

Es wurden weitere asymmetrische Verfahren wie Rabin, Chor-Rivest und Elgamal vorgestellt, die zum Teil auch einen ähnlichen Ansatz wie RSA haben. Jedoch hat sich bislang keines als ernsthafte Alternative durchsetzen können.
Da der Schlüsseltausch zur Initiierung einer schnelleren symmetrischen Methode nur eine sehr begrenzte Zeit beansprucht, können zudem bislang problemlos ausreichend lange Schlüssel verwendet werden.