Beiträge

VOIP Phishing ist nicht neu. Seit dem IP-Telefonie möglich ist, versuchen Betrüger die digitale Technik für ihre Zwecke auszunutzen. Die damit einhergehenden Gefahren werden jedoch immer noch unterschätzt. Da Phishing Mails nur noch selten zum Erfolg führen, nutzen Betrüger Voice-over-IP Phishing im zunehmenden Maße. Was VOIP Phishing ist, wie es funktioniert und wie Sie sich davor schützen können, erfahren Sie im folgenden Beitrag.

Sicherheitsrisiko IP-Telefonie

VOIP Phishing, auch als Vishing bezeichnet, ist eine kriminelle Form des Social Engineering. Dabei nutzen Angreifer die menschliche Interaktion, um an vertrauliche Informationen wie beispielsweise Kontodaten, Kreditkartennummern oder Zugangsdaten zu einem Computersystem zu gelangen. Die Angreifer versuchen, den Eindruck zu erwecken als würde der Anruf von der Bank, dem Kreditkartenunternehmen oder einer Behörde erfolgen. Ziel des Angreifers ist es, die vertraulichen Informationen für kriminelle Machenschaften beispielsweise den Zugriff auf ein Bankkonto, zu verwenden. Im Jahr 2015 wurde laut einer Studie der BBC durch VOIP Phishing Kreditkartenbetrug ein Schaden in Höhe von rund 1 Milliarde US-Dollar verursacht.

Wie funktioniert VOIP Phishing?

VOIP Phishing funktioniert im Prinzip wie das Phishing per E-Mail. Beim Vishing erhalten die potenziellen Opfern eine Nachricht über ihr IP Telefon. Diese Nachrichten werden nicht selten von Sprachassistenten generiert oder die menschliche Stimme wird digital verändert. Die Nachrichten erhalten meist einen Hinweis darauf, dass eine verdächtige Aktivität auf einem Kreditkartenkonto, Bankkonto oder PayPal Account festgestellt wurde. Die Opfer werden vom Angreifer aufgefordert, direkt bestimmte Informationen abzugeben, oder eine in der Nachricht genannte Telefonnummer anzurufen und bestimmte Angaben zu machen. Diese Information werden angeblich benötigt, um „die Identität des Kontoinhabers zu überprüfen“ oder „sicherzustellen, dass kein Betrug stattfindet“.

Wie das Session Initiation Protocol (SIP) VOIP Phishing ermöglicht

Beim VOIP Phishing spielt Hackern das Session Initiation Protocol, abgekürzt SIP, in die Hände. Durch dieses weltweite Standardprotokoll für den Verbindungsaufbau bei der IP Telefonie sind Telefonnummern unabhängig vom Telefonanschluss. Das heißt, egal ob sich der Telefonanschluss in Singapur, Australien oder Mexiko befindet, kann der Anrufer eine deutsche Telefonnummer einrichten und verwenden. Dazu muss nur eine kostenlose Open Source VOIP Plattform wie beispielsweise Asterisk herunterladen, auf einem PC installieren und das System mit dem Internet verbinden. Die SIP Endpunkte können bei diesen Plattformen ohne besondere Programmierkenntnisse einfach konfiguriert und so die Anrufer-ID gefälscht werden. Diese Endpunkte werden von den meisten Systemen als Anrufer-ID weitergegeben. Das heißt, die Empfänger sehen beispielsweise eine deutsche Telefonnummer, obwohl der Anruf aus Singapur erfolgt.

VOIP Phishing – leichtes Spiel für Angreifer

VOIP Phishing hat für Hacker verschiedene Vorteile. Ein Vorteil sind die geringen Kosten für den Angreifer. Die benötigte Hardware wie IP-Telefone und Router sind mittlerweile sehr preiswert und überall erhältlich. Die benötigte Software kann bei verschiedenen Anbietern kostenlos heruntergeladen werden. Die Geräte können ohne große IT-Kenntnisse an einen PC angeschlossen werden, um eine Telefonanlage für die IP Telefonie und das VOIP Phishing einzurichten.

Die gefälschte Anrufer-ID nutzen Betrüger, um die Mitarbeiter eines Unternehmens zu kontaktieren und sensible Informationen wie Kreditkartennummer, Kontonummern oder geheime Information zu neuen Produktentwicklungen zu erfragen. Diese Informationen werden dann innerhalb kurze Zeit von den Angreifen selbst verwendet oder an andere, meist gegen Bezahlung, weitergegeben. Wenn ein Angreifer nicht genügend Informationen von einer Quelle sammeln kann, wird er oft versuchen, eine andere Person zu kontaktieren. Bei diesen Anrufen werden dann die Informationen, die der Angreifer von der ersten Person erhalten hat verwendet, um seine Geschichte und Glaubwürdigkeit zu untermauern.

Mit PC und Telefonanlage ist es Angreifern möglich, viele IP-Telefonate gleichzeitig zu führen, die Gespräche aufzuzeichnen und zu einem späteren Zeitpunkt auszuwerten. Zudem ist es kaum möglich, eine gefälschte Anrufer-ID aufzuspüren und den Angreifer zu ermitteln. Wenn die für das VOIP Phishing gefälschte Nummer vom Angreifer gelöscht wird, ist sie nicht mehr nachverfolgbar. Es gibt jedoch ein paar einfache Maßnahmen, mit denen Sie sich vor VOIP Phishing schützen können.

Maßnahmen zum Schutz

VOIP Phishing ist nicht immer leicht zu erkennen. Eine der wichtigsten Maßnahmen zum Schutz vor Phishing über das Telefon ist die Information und Aufklärung der Mitarbeiter über die möglichen Schäden, die durch verursacht werden. Grundsätzlich sollten Mitarbeiter dazu verpflichtet werden, keine vertraulichen Daten am Telefon preiszugeben. Ein Problem ist, dass die Angreifer oft über persönliche Informationen über das Opfer verfügen, die sie beispielsweise in den sozialen Medien finden.

Auffälligstes Merkmal von Phishinganrufen ist jedoch die vermeintlich hohe Dringlichkeit, mit der Anrufer versuchen, Druck auszuüben. Die vermeintliche Dringlichkeit soll das Opfer zur unüberlegten Preisgabe der geforderten Informationen verleiten. Trotz des Stresses, den solche Anrufe auslösen können, sollten die vom Anrufer gemachten Angaben durch einen Rückruf bei dem vom Anrufer genannten Institut überprüft werden. Beispielsweise steht auf der Rückseite von Kreditkarten eine offizielle Servicenummer des Kreditkartenunternehmens. In den meisten Fällen hat sich der VOIP Phishing Versuch dann bereits erledigt.

Das Bundesamt für Sicherheit in der Informationstechnik ist eine deutsche Bundesbehörde, die Sie bei Fragen zur IT-Sicherheit unterstützt. Während das BSI in Einrichtungen des Staats aktiv Schutzmaßnahmen ergreift, profitieren die Gesellschaft und die Wirtschaft insbesondere von Informationen sowie Handlungsempfehlungen der Behörde. Unternehmen nutzen die Vorgaben und Standards der Organisation, um sich beim Business Continuity Planning auf IT-Notfälle vorzubereiten.

BSI: Förderung der IT-Sicherheit in Staat, Wirtschaft und Gesellschaft

Unter der Aufsicht des Bundesinnenministeriums trägt das BSI mit rund 1.000 Mitarbeitern als Bundesbehörde die Verantwortung für Deutschlands IT-Sicherheit. Durch Fördermaßnahmen erleichtert die Behörde Ihnen einen sicheren Einsatz von Kommunikations- und Informationstechnologie. Diese Hauptaufgabe nimmt das BSI für den Staat, die Wirtschaft und die Gesellschaft wahr. Mit Mindeststandards, Leitlinien und Handlungsempfehlungen entwickelt die Bundesbehörde hierzu klare Kriterien. Darüber hinaus ist das BSI direkt für die IT-Sicherheit der deutschen Bundesverwaltung zuständig. Daher sind die Erkennung und die Abwehr eines Hacker-Angriffs auf Regierungssysteme unmittelbare Pflichten der Behörde. Die Bekämpfung der entdeckten Exploits, Viren und Bedrohungen koordiniert die Organisation im nationalen Cyber-Abwehrzentrum.

Sensibilisierung von Unternehmen und Bürgern durch BSI Informationen

Als IT-Sicherheitsbeauftragter oder einfacher Angestellter in einem Unternehmen profitieren Sie ebenso wie private Verbraucher von den regelmäßigen Empfehlungen zur IT-Sicherheit, die das BSI veröffentlicht. Denn eine zentrale Aufgabe der deutschen Bundesbehörde besteht darin, die Wirtschaft und die Bürger mit Informationen über Sicherheitsschwachstellen zu sensibilisieren. Das BSI macht Sie mit Hinweisen auf ein verbreitetes Exploit, Viren oder sonstige Angriffe durch Hacker frühzeitig auf die Vulnerability von Systemen aufmerksam. Mit diesen Ratschlägen gelingt es IT-Sicherheitsbeauftragten auch, sich beim Business Continuity Planning frühzeitig auf IT-Notfälle vorzubereiten und ohne unnötigen Zeitverlust im Ernstfall zu reagieren. Allgemeine BSI-Empfehlungen helfen Ihnen außerdem zum Beispiel dabei, ein sicheres Passwort anzulegen.

IT-Grundschutz mit Standardschutzmaßnahmen als Empfehlungen zur IT-Sicherheit

Bis 2017 aktualisierte die Bundesbehörde jährliche die sogenannten IT-Grundschutz-Kataloge. Danach ersetzte das BSI die Kataloge mit einem IT-Grundschutz-Kompendium. Wenn Sie verbreitete IT-Systeme nutzen, finden Sie in diesen Veröffentlichungen hilfreiche Empfehlungen mit Standardschutzmaßnahmen. Mit dem IT-Grundschutz veranschaulicht das BSI Methoden zur Steigerung der IT-Sicherheit in Firmen, die teilweise auch für Anfänger umsetzbar sind. Ein IT-Sicherheitsbeauftragter erhält durch das IT-Grundschutz-Kompendium die Möglichkeit, mit umfassenden Maßnahmen ein System gegen Hacker und Exploits weitgehend abzusichern. Insgesamt beinhalten die BSI-Hinweise zum IT-Grundschutz rund 5.000 Seiten. Somit bilden die Informationen eine nützliche Grundlage für den Umgang mit der Vulnerability von Computersystemen und die Verbesserung der Business Continuity.

BSI Zertifizierungen für Unternehmen mit geprüften IT-Produkten und Dienstleistungen

Das BSI gibt Ihnen die Chance, als Unternehmer Zertifizierungen zu erlangen und damit die Durchführung der Maßnahmen zum Schutz vor Hacker-Angriffen oder sonstigen Bedrohungen nachzuweisen. Wichtige Zertifizierungen vergibt die Bundesbehörde beispielsweise für die Umsetzung der Standardmaßnahmen aus dem IT-Grundschutz-Kompendium. Hierzu müssen Sie laut den BSI-Vorgaben einen zertifizierten IT-Grundschutz-Auditor um ein Testat-Verfahren bitten. Dabei wird überprüft, ob ein IT-System die Anforderungen des IT-Grundschutzes erfüllt. Im Anschluss an eine erfolgreiche Prüfung stellt der Auditor ein Testat aus. Das BSI verleiht im Erfolgsfall ein Testat-Logo mit einer befristeten Gültigkeit, das die jeweilige Institution im Zusammenhang mit den geprüften Systemen öffentlich verwenden darf.

Für die Überprüfung von IT-Produkten und Systemen sind vor einer Zertifizierung immer unabhängige Prüfstellen mit einer Anerkennung durch das BSI verantwortlich. Die Bundesbehörde stellt sicher, dass die Produktprüfungen mit einheitlichen Kriterien objektiv und unparteiisch durchgeführt werden. Mit BSI-Zertifikaten haben Sie in einem Unternehmen die Gelegenheit, das Sicherheitsniveau von Ihren Produkten transparent darzustellen.

Wenn Sie ein Verbraucher sind, stellen die Produktzertifizierungen wiederum eine nützliche Entscheidungshilfe dar. Die Zertifikate machen deutlich, ob ein IT-Produkt Ihnen in einem bestimmten Einsatzbereich Sicherheit bietet. Außerdem informieren öffentliche BSI-Hinweise Sie häufig darüber, wie Sie bei der Verwendung von zertifizierten IT-Lösungen die IT-Sicherheit selbst steigern und sich dadurch unter anderem vor einem Exploit oder Hacker-Angriffen schützen.

Kooperation mit Bitkom und Betreibern von kritischen Infrastrukturen

Das BSI kooperiert eng mit dem Branchenverband Bitkom, der für die Telekommunikations- und Informationsbranche in Deutschland zuständig ist. Durch diese Zusammenarbeit ist 2012 auch die Allianz für Cybersicherheit entstanden. Mit Partner-Unternehmen und tausenden Institutionen tauscht das Bündnis Daten über neue Hacker-Methoden aus. Die Allianz für Cybersicherheit ermöglicht dem BSI daher die Bereitstellung zusätzlicher Informationen, von denen Sie als IT-Sicherheitsbeauftragter oder einfacher Unternehmer insbesondere beim Business Continuity Planning profitieren. Zudem unterstützt die Bundesbehörde über das Kooperationsgremium UP KRITIS Betreiber der kritischen IT-Infrastrukturen, die für eine funktionierende Gesellschaft unverzichtbar bleiben. Dabei steht insbesondere die Vulnerability von unentbehrlichen Systemen im Blickpunkt.

Wo Server betrieben werden, ist Virtualisierung heutzutage meist nicht weit. Hyper-V heißt die Lösung von Microsoft in diesem Bereich. Einzelne Server lassen sich darauf bequem erstellen und verwalten. Aber auch ganze Netzwerkstrukturen können virtualisiert werden. Skalierbarkeit und Ausfallsicherheit sind Hauptargumente für einen Betrieb virtueller Server. Zudem kann Hardware besser ausgelastet und Systemlast einfacher verteilt werden.

Allgemeines zu Hyper-V

Im Jahr 2008 stellte Microsoft seine Virtualisierungslösung mit dem Namen Hyper-V vor. Sie war erstmals in den Betriebssystemversionen Windows Server 2008 und Windows 8 enthalten. Ihre Vorgänger waren der Microsoft Virtual Server im Bereich der vServer und der Virtual PC für den Desktop-Bereich.

Wie aus dem Namen schon hervorgeht, ist Hyper-V ein sogenannter Hypervisor. Dieser stellt eine Abstraktionsschicht zwischen der realen Hardware und dem virtualisierten System, Gastsystem genannt, dar. Im Gegensatz zu vollständig virtualisierten Systemen, werden dem Gastsystem auch Ressourcen der physikalischen Hardware zur Verfügung gestellt. Dies aber nur unter Überwachung und Steuerung des Hypervisors. Diese Technik wird Paravirtualisierung genannt.

Hyper-V gibt es als Typ-1- und Typ-2-Hypervisor. Die Ausführung vom Typ 1, die auch als Bare-Metal-Hypervisor bezeichnet wird, stellt nur ein abgespecktes Betriebssystem zur Verfügung. Hauptbestandteil ist der Hypervisor. Die Administration erfolgt über die Kommandozeile oder per Remoteverbindung mit der Software „Hyper-V-Manager“, die ab der Windows-Versionen „Professional“ Bestandteil des Betriebssystems ist. Sie muss lediglich in der Systemsteuerung aktiviert werden.

Die Ausführung des Typ-2-Hypervisors ist in den Server-Betriebssystemen von Windows und den Desktop-Varianten „Professional“ und „Enterprise“ enthalten. Sie lässt sich ebenfalls in der Systemsteuerung zu den Programmen hinzufügen. Die Bedienung erfolgt auch hier mit dem „Hyper-V-Manager“. Die Bedienung ähnelt der von im Desktop-Bereich bekannter Virtualisierungssoftware, etwa Virtual-Box oder VMWare-Player.

Funktionsweise und Vorteile

Durch die Virtualisierungssoftware werden virtuelle Hardwareplattformen erzeugt. Bei der Paravirtualisierung müssen die Gastsysteme kompatibel zur Plattform des Wirtsrechners (Host) sein. Die Erzeugung der virtuellen Maschinen kann auf herkömmliche Weise, mit einem Installationsmedium erfolgen. In der Regel werden aber Vorlagen verwendet, die in Minutenschnelle geladen sind und ein betriebsbereites Gastsystem bieten.

Die virtuellen Maschinen haben jeweils ihren eigenen, abgeschotteten Bereich. Die Hardware stellt der Hypervisor zur Verfügung. Entsprechend besteht dabei große Flexibilität. So kann Arbeitsspeicher einfach angepasst werden und dynamischer Speicherplatz zugeteilt werden. Auf diese Weise können Lastspitzen abgefangen und zu lastärmeren Zeiten die Leistung wieder verringert werden.

Eine weitere große Stärke spielt eine Virtualisierungslösung wie Hyper-V bei der Virtualisierung von Netzwerkstrukturen aus. Es können beliebig Switche und Router erzeugt und damit getrennte Netze oder Subnetze gebildet werden. Letztlich lassen sich ganze Rechenzentren auf diese Weise virtuell verwirklichen.

Der Aufwand für die Einrichtung und Wartung wird dabei minimiert. Anstatt Patchkabel zu stecken, müssen nur Einstellungen im Hyper-V-Manager vorgenommen werden.

Eine recht neue Technologie ist die der Container-Lösungen wie Docker. Diese werden seit der Hyper-V-Version 2016 ebenfalls unterstützt. Hierbei wird keine vollständige virtuelle Maschine erzeugt, sondern nur eine Laufzeitumgebung für einzelne Anwendungen. Diese verwendet Ressourcen zudem nur solange, wie sie auch in Benutzung ist. Die Last, die ein Betriebssystem im Leerlauf erzeugt, fällt bei Nutzung von Container-Anwendungen weg.

 

Bezüglich der Gastbetriebssysteme besteht eine große Auswahl. Virtualisiert werden können:

-Windows-Server-Betriebssysteme,

-Windows-Desktop-Betriebssysteme,

RedHat-Enterprise,

Debian-Linux,

Ubuntu-Linux,

SuSE-Linux,

FreeBSD.

Zu beachten ist, dass das Betreiben virtualisierter Systeme eine gültige Lizenz für das Gastsystem erfordert.

Lizenzen von Hyper-V

Hyper-V ist grundsätzlich kostenlos. Allerdings sind die Betriebssysteme, in denen der Hypervisor eingebettet ist, kostenpflichtig. Ebenso die darin betriebenen Server-Versionen von Windows. Auch für die Anbindung an Speicherlösungen, etwa der Windows-Datacenter-Editionen, fallen Kosten an. Insbesondere verteilte Speicherlösungen von Windows, wie etwa „Direkte Speicherplätze“ (Storage Spaces Direct, abgekürzt: S2D), verursachen nicht unerhebliche Lizenzkosten. Für den Testbetrieb stellt Microsoft zudem kostenlose Evaluierungsversionen von Hyper-V zur Verfügung.

Anwendungsbereiche

Im Firmenbereich kann eine saubere Abschottung von Servern mit unterschiedlichen Aufgabenbereichen erzielt werden, ohne zusätzliche Hardware zu benötigen. Dies können beispielsweise ein Exchange-Server, der Domain-Controller, ein SQL-Server und der Fileserver sein. Weiterhin lassen sich ohne großen Aufwand Subnetze für verschiedene Arbeitsbereiche bilden. Eine physikalische Trennung der Netze ist damit nicht erforderlich. Auch im Bereich von Rechenzentren findet Software wie Hyper-V Anwendung. Mit dieser Technologie ist es Hosting-Anbietern beispielsweise möglich, Kunden kurzfristig virtuelle Server zur Verfügung zu stellen.

Alternativen

Bekanntester kommerzieller Mitbewerber ist der Anbieter VMWare. Dieser bietet mit dem ESXi-Server einen Bare-Metal-Hypervisor vergleichbarer Art. Einen Hypervisor des Typs 2 hat VMWare ebenfalls im Angebot, die VMWare Workstation.

Auch Open-Source-Lösungen sind verfügbar. Auf Basis des etablierten Linux-Hypervisors KVM/QEMU stellt der PROXMOX-Server einen Hypervisor des Typs 1 zur Verfügung.

Zudem steht unter Linux-Systemen der Hypervisor XEN kostenfrei zur Verfügung. Hierbei handelt es sich um ein Projekt der Universität Cambridge.

Bei den freien Versionen ist allerdings zu beachten, dass diese aufgrund ihrer Komplexität oftmals mit einem kostenpflichtigen Support Anwendung finden. So ist beispielsweise der Linux-Distributor RedHat in diesem Bereich tätig und bietet Support für den von ihm mitentwickelten Hypervisor KVM/QEMU.

Professionelle Server-Virtualisierungslösungen, wie VMware ESXi, haben inzwischen bemerkenswerte Fähigkeiten. Komplexe Netzwerke nachzubilden, Einfrieren des Zustands eines Servers mittels eines Mausklicks, Migration im laufenden Betrieb und nahezu unbegrenzte Skalierbarkeit, sind einige davon. Kein Wunder, dass es in vielen Firmen längst an der Tagesordnung ist, Anwendungsserver virtuell zu betreiben.

Ein paar Details zur Virtualisierung

Unter Virtualisierung versteht man in diesem Zusammenhang die Nachbildung von Hardwareplattformen durch Software. Je nach Art der Virtualisierung, kann es sich auch um eine Abstraktion der physikalischen Hardware vor dem virtuellen System handeln. Die Software teilt dem Gastsystem reale Ressourcen zu. Die für die Abstraktionsebene zuständige Software wird Hypervisor genannt.

Man unterscheidet grob in zwei Varianten der Virtualisierung:

-Vollständige Virtualisierung: Hierbei wird die Hardware komplett durch Software nachgebildet. Vorteilhaft ist, dass beispielsweise auf einem X86-System abweichende Prozessorplattformen wie ARM verwendet werden können, etwa um Software zu testen. Nachteilig ist, dass diese Methode sehr langsam ist.

-Paravirtualisierung mit oder ohne Hardwareunterstützung: In der ersten Variante werden die Gastsysteme angepasst und verwenden, nach Zuteilung durch den Hypervisor, die physikalische Hardware des Hostrechners. Dies bringt Geschwindigkeitsvorteile. In der zweiten Variante müssen die Prozessoren für die Virtualisierung optimiert sein. Moderne Prozessoren haben diese Funktionalität in der Regel. Bei Intel heißt die Technik VT-X, bei AMD nennt sie sich AMD-V.

Zudem werden Hypervisoren in zwei Typen kategorisiert:

-Typ 1-Hypervisor: Diese laden ein rudimentäres Betriebssystem mit dem Hypervisor. Eine Bedienung ist über die Kommandozeile oder ein Webinterface von einem entfernten Rechner möglich.

-Typ 2-Hypervisor: Das Wirtssystem ist ein vollständiges Betriebssystem. Der Hypervisor wird von diesem geladen und kann wie eine Software bedient werden.

VMWare ESXi ist ein Typ-1-Hypervisor und verwendet Paravirtualisierung mit Hardwareunterstützung.

Einzelheiten zu VMWare ESXi

VWMware stellte den ESXi-Server erstmals 2001 vor. In der Anfangszeit bot der Virtualisierungsspezialist parallel den ESX-Server an, bei dem es sich um die umfassendere Lösung handelte. Die Weiterentwicklung von ESX wurde inzwischen eingestellt. VMWare ESXi ist Bestandteil der Virtualisierungsplattform vSphere. Weitere Bestandteile sind beispielsweise der vCenter Server zur Verwaltung von VMWare ESXi und das vCenter zur Automatisierung der Verwaltung von virtuellen Maschinen. ESXi verhält sich nach der Installation wie ein rudimentäres Linux-System. Auf einer textbasierten Eingabemaske lässt sich beispielsweise das Netzwerk konfigurieren.

Die eigentliche Administration erfolgt später von einem entfernten Rechner, mit der Software vSphere Client. Dort hat der Administrator die Möglichkeit, virtuelle Maschinen anzulegen und zu verwalten. Zudem ist es möglich, Netzwerke inklusive virtueller Komponenten, wie Switche und Router, einzurichten. Speicher kann auch extern eingebunden werden, etwa per iSCSI.

Für die virtuellen Maschinen können detaillierte Einstellung für die zur Verfügung stehende Hardware gemacht werden. Es ist möglich, Vorlagen für bestimmte virtuelle Maschinen anzulegen. Hieraus kann ein virtuelles System in sehr kurzer Zeit erstellt werden.

Die virtualisierten Systeme sind zudem einfach zu exportieren, etwa zur Sicherung oder zur Migration. Sinnvoll ist die Snapshot-Funktion, mit der Systeme eingefroren werden. So können Änderungen, beispielsweise zu Testzwecken, auf eine temporäre Festplatte (Delta) geschrieben werden. Später kann entschieden werden, ob zu einem Snapshot zurückgesprungen oder das Delta übernommen werden soll.

Hardware, etwa Lizenz-Dongles, dürfen sowohl am ESXi-Server zur Verfügung gestellt werden, als auch an durchgereichten USB-Schnittstellen aufrufender Rechner. Es werden verschiedene Ausführungen des aktuellen vSphere mit der Versionsnummer 6 angeboten. Einige hiervon sind:

-vSphere Hypervisor: Ist die kostenlose, im Funktionsumfang eingeschränkte, Version. Diese kann nur auf einem physikalischen Server mit einem Prozessorkern verwendet werden.

-vSphere Essentials: Ist die kleinste kostenpflichtige Variante. Sie darf auf drei physikalischen Servern betrieben werden. Zudem ist ein zentrales Management möglich.

-vSphere Standard: Sieht keine Beschränkungen bei der Anzahl von Servern vor. Die Anzahl der virtuellen Kerne pro Gast ist aus 128 begrenzt. Sie bietet zudem Features wie die Migration von Systemen im laufenden Betrieb.

-vSphere Platinum: Ist das Spitzenprodukt. Es beinhaltet unter anderem zusätzliche Sicherheitsmodule von Drittanbietern und Netzwerk-Monitoring.

Anwendungsgebiete und Vorteile von VMware ESXi

Gebräuchlich ist VMWare ESXi im Bereich der Server-Virtualisierung (vServer). Im Firmenumfeld werden so beispielsweise Server nach Anwendungszweck getrennt. Zudem können kurzfristig Spezialrechner, wie Workstations bereitgestellt werden.

Vorteilhaft ist die Skalierbarkeit. Hardwareressourcen sind kurzfristig an die Anforderungen anpassbar. Eine Ausfallsicherheit ist durch den Umstand gegeben, dass die Vorlagen eines Systems in sehr kurzer Zeit auf neue Hardware migriert werden können.

Wird VMware ESXi bei einem Hosting-Anbieter auf einem gemieteten Server betrieben, ist es sogar möglich, Kosten zu sparen. Man zahlt dort in der Regel nur die tatsächlich verwendeten Ressourcen.

Alternativen

Insbesondere zur Virtualisierung von Servern gibt es einige Alternativen zu VMWare ESXi. Microsoft bietet mit Hyper-V ein ähnliches System auf kommerzieller Basis an. Dieses gibt es als Typ-1-Hypervisor und, beispielsweise in Windows Server 2019 und Windows 10 Enterprise eingebunden, als Typ-2-Hypervisor.

Eine auf KVM/QEMU basierende Lösung ist der PROXMOX-Server. Hierbei handelt es sich um ein kostenloses Linux-Server-Betriebssystem. Im OpenSource-Bereich ist der von der Universität Cambridge entwickelte Hypervisor XEN eine weitere Alternative.

Bei SSL-Zertifikaten handelt es sich um kleine Datendateien. Sie dienen dazu, einen einzigartigen kryptografischen Schlüssel digital an eine Organisation und deren Details zu binden. Typischerweise installiert man ein SSL-Zertifikat auf einem Webserver. Hier dient es dazu, das Sicherheitsschloss sowie das https-Protokoll zu aktivieren und mit dessen Hilfe den Port 443 zur Kommunikation zu nutzen. Auf diese Weise ermöglicht das SSL-Zertifikat sichere Verbindungen von einem Webserver zu einem Browser, der typischerweise von Clients genutzt wird. Man verwendet ein SSL-Zertifikat unter anderem, um eine sichere Verschlüsselung bei Datenübertragungen, Kreditkartentransaktionen und Logins auf Websites zu erzielen. Auch auf vielen Social Media Seiten nutzt man SSL-Verschlüsselung, um sicheres Browsen zu ermöglichen.

SSL-Zertifikat als Garant für sichere Übertragung

Im Zusammenhang mit der sicheren Datenübertragung von und zu einer Website ist oft von einem Zertifikat die Rede. Doch worum handelt es sich dabei überhaupt und wie trägt ein SSL-Zertifikat dazu bei, dass verschlüsselte Senden und Empfangen von Daten im World Wide Web zu ermöglichen?

Was beinhaltet ein SSL-Zertifikat?

SSL-Zertifikate dienen dazu, einen Domainnamen bzw. einen Server- oder Hostnamen an eine Organisationsidentität zu binden. Dabei handelt es sich um den Unternehmensnamen und den Standort des Unternehmens. Um sichere Sitzungen mit gängigen Webbrowser zu ermöglichen, ist es notwendig, dass das betreffende Unternehmen bzw. die Organisation das SSL-Zertifikat auf seinem bzw. ihrem Webserver installiert. Sobald dies geschehen ist, haben Clients mittels eines Browsers die Möglichkeit, eine sichere Verbindung mit dem Webserver herzustellen. Dies ist möglich, weil das Zertifikat dem Server befiehlt, diese Verbindung zuzulassen. Ist die sichere Verbindung mit dem Webserver des Unternehmens erst einmal hergestellt, st der gesamte Datenverkehr zwischen Browser und Server sicher, das heißt verschlüsselt.

Woran kann man erkennen, dass eine Website ein SSL-Zertifikat besitzt?

Alle gängigen Webbrowser zeigen dem Nutzer in oder in der Nähe der Adresszeile an, ob die aktuelle Verbindung zu einem Webserver sicher ist. Einerseits weist bereits das „https“ in einer Webadresse darauf hin, dass es sich um eine Verbindung handelt, die durch ein SSL-Zertifikat gesichert ist. Darüber hinaus erscheint bei einer gesicherten Verbindung ein Schloss-Symbol in der Adresszeile. Sobald dieses Schloss geschlossen dargestellt wird, ist die Verbindung zum Server gesichert und alle Daten werden verschlüsselt übertragen.

Welche Voraussetzungen müssen für den Erhalt eines SSL-Zertifikats erfüllt sein

Ehe ein SSL-Zertifikat an ein Unternehmen oder eine Organisation erteilt wird, muss diese verschiedene Stufen der Überprüfung bestehen. Abhängig vom Typ des beantragten Zertifikats kommen hierbei unterschiedliche Prüfverfahren zur Anwendung. Erst wenn alle Überprüfungen erfolgreich waren, wird das SSL-Zertifikat erteilt und kann anschließend von der Organisation auf dem eigenen Webserver installiert werden.

Welcher Grad der Verschlüsselung erfolgt mit einem SSL-Zertifikat?

SSL-Zertifikate sichern den Datenaustausch zwischen Server und Browser mithilfe unterschiedlich starker Verschlüsselungsalgorithmen. Die derzeit sicherste Art der Verschlüsselung wird mithilfe einer 2048-Bit Technologie erzielt.

Wo können die Details eingesehen werden?

Als Verbraucher kann man sich die Details zum SSL-Zertifikat einer Website anzeigen lassen, indem man auf das Sicherheitsschloss in der Adresszeile klickt und den Menüpunkt „Zertifikat anzeigen“ anklickt. Indem man sich den Zertifizierungspfad für ein SSL-Zertifikat anzeigen lässt, erhält man die Möglichkeit, sich über das verwendete Root-Zertifikat zu informieren.

Was ist ein Root-Zertifikat?

Bei einem Root-Zertifikat handelt es sich um das Zertifikat einer vertrauenswürdigen Zertifizierungsstelle, die berechtigt ist, mit seiner Hilfe SSL-Zertifikate für Organisationen zu generieren. Nur wenn das betreffende Root-Zertifikat auf dem Computer des jeweiligen Endbenutzers vorhanden ist, wird diesem Zertifikat vertraut. Ist dies nicht der Fall, gibt der Browser die Fehlermeldung für eine nicht vertrauenswürdige Website aus. Dies kann zu schnellem Vertrauensverlust, vor allem im E-Commerce-Bereich führen. Daher ist stets darauf zu achten, dass ein SSL-Zertifikat auf einem vertrauenswürdigen Root-Zertifikat beruht.

Das SSL-Zertifikat im Zusammenhang mit der Verwundbarkeit einer Website

 

Spricht man über die Verwundbarkeit / Vulnerability einer Website, so ist deren Anfälligkeit gegenüber Angriffen durch Hacker gemeint. Diese kann unter anderem dadurch entstehen, dass ein veraltetes SSL-Zertifikat bzw. eine ältere Version von SSL verwendet werden. Hierdurch kann es einem Angreifer gelingen, sensible Daten von der Website zu erhalten, die eigentlich verschlüsselt und sicher übertragen werden sollten. Aus diesem Grund ist es wichtig, stets die aktuellste Version von SSL sowie ein aktuelles SSL-Zertifikat zu verwenden.

SSL und die Cipher Suite

Ist von einem SSL-Zertifikat die Rede, wird dabei häufig der Begriff Cipher Suite verwendet. Hierbei handelt es sich um nicht anderes als den kompletten Satz an Algorithmen, die notwendig sind, um eine Netzwerkverbindung mittels SSL zu verschlüsseln. Unter anderem zählen hierzu die Algorithmen zum Schlüsselaustausch, für die Authentifizierung sowie für die Massenverschlüsselung. Somit dient die Cipher Suite dazu, wann mithilfe eines SSL-Zertifikats welche Ver- und Entschlüsselungsverfahren angewandt werden.

OpenERP ist eine Open-Source-Software für Unternehmen, die 2012 in Odoo umbenannt wurde. OpenERP wurde von Fabien Pinckaers gegründet. Die Anwendungen dieser Software umfassen ERP, Fibu, CRM, Projektmanagement, Produktion und auch Dokumentenmanagement. Im Prinzip soll die Software wie eine Branchenlösung alle wesentlichen Funktionen für kleine bis mittelständische Unternehmen beinhalten.

OpenERP hat Unternehmen als Zielgruppe

OpenERP ist eine Softwarelösung mit dualem Lizenzmodell. Es handelt sich um eine Open-Source Software mit Unternehmen als Zielgruppe. Die Anwendungen der Software für Unternehmen sind breit gefächert, unter anderem Website & E-Commerce, Finanzbuchhaltung (Fibu), CRM, Projektmanagement, Produktion, Abrechnung, Personalverwaltung und Dokumentenmanagement.

Es handelt sich um ein einziges und integriertes Tool, dass alle wesentlichen Funktionen für Unternehmen beinhalten soll. Auf diese Weise müssen keine unterschiedlichen Software verwendet bzw. integriert werden. Im Jahr 2014 wurde OpenERP in Odoo umbenannt.

TinyERP, OpenERB, Odoo – die Unternehmensgeschichte

Fabien Pinckaers gründete im Jahr 2005 das Softwereprodukt TinyERP. 2008 erfolgte die Umbenennung in OpenERP. Das Unternehmen entwickelte sich rasant und hatte 2010 bereits mehr als 100 Mitarbeiter. 2014 wurde OpenERP in Odoo umbenannt.

Was ist ein ERP?

ERP steht für Enterprise Resource Planning, auf Deutsch bedeutet es Ressourcenplanung für Unternehmen. Es handelt sich um eine für Unternehmen entwickelte Software mit umfangreichen Anwendungen für die Bündelung aller relevanten Vorgänge bzw. Prozesse.

Die Funktionsbereiche von Enterprise Resource Planning Systems

Das Prinzip von ERP basiert auf der Verwendung von mehreren Datenbanken, die Verwaltung erfolgt dabei durch ein Datenbankmanagementsystem. Auf diese Weise liegt stets eine ständig aktualisierte Ansicht der wichtigsten Unternehmensprozesse vor. Die folgenden Module sind typisch für ERP:

1)Finance Accounting

2)Management Accounting

3)Human Resources

4)Produktionsplanung

5)Auftragsabwicklung

Was ist CRM?

CRM ist eine Abkürzung für Customer Relationship Management, was im Deutschen Kundenbeziehungsmanagement bedeutet. Dieser Begriff schließt Verfahren und Technologien mit ein, bei denen die Unternehmen Daten in Bezug auf den Kunden analysieren und auch verwalten. CRM soll den Unternehmen dabei helfen, die Beziehungen zum Kunden zu verbessern und auch den Umsatz zu steigern.

Vorteile von CRM für Unternehmen

Es handelt sich bei CRM um eine Strategie. Durch diese Strategie erhält das Unternehmen mehr Informationen über die Verhaltensweisen und Bedürfnisse der Kunden. Wenn ein Unternehmen ein besseres und tiefgreifenderes Verständnis für seine Kunden aufbauen kann, dann kann es auch bessere und stärkere Bindungen zu ihm aufbauen. Es handelt sich im Prinzip um eine Philosophie, den Kunden zu helfen und zu unterstützen. Wenn der Kunde sich gut behandelt fühlt, dann kann er für weitere Geschäfte gehalten werden.

Durch CRM werden Informationen über das Kaufverhalten, der Vorlieben und Gewohnheiten der Kunden gewonnen. Es ist möglich, Kundenprofile für Einzelpersonen und auch Gruppen anzufertigen.

Was ist eine Fibu?

Fibu ist ein Kürzel für Finanzbuchhaltung. Die Finanzbuchhaltung ist ein Teilbereich des Rechnungswesens und umfasst die Bereiche:

-kaufmännische Buchhaltung

-Gewinn- und Verlustrechnung

-Abstimmungsbogen

-Lohnliste

Branchenlösung

Bei der Branchenlösung handelt es sich im Grunde um eine Software bzw. Softwarelösung. Diese Lösung ist immer auf eine individuelle Marktlücke mit ihren dazugehörigen Bedürfnissen abgestimmt.

DieseLösungen stellen für die jeweilige Branche eine Komplettlösung dar und gehen über ERP hinaus. Sie liefern einen kompletten Überblick:

-Finanzmanagement

-Produktmanagement

-CRM

Die Vor- und Nachteile von Branchenlösungen

Die Branchenlösung ist gut an die Bedürfnisse der jeweiligen Branche angepasst und dabei preiswerter als eine Individualsoftware. Die Software bündelt alle für die Branche üblichen Prozesse und Informationen und sie ist kurzfristig verfügbar. Viele Prozesse im Unternehmen können auf diese Weise effizienter und auch zeitsparender erledigt werden.

Ein Nachteil ist, dass die Unternehmen an eine Plattform gebunden sind. Gerade bei dem Vorhandensein mehrerer Branchen-Softwares kann es schnell unübersichtlich werden.

Wo kommen Branchenlösungen, wie OpenERP, zum Einsatz?

In den folgenden Feldern bzw. Zweigen kommen Branchenlösungen zum Einsatz:

-Automobilindustrie

-Bekleidung und Textilien

-Einzelhandel und Großhandel

-Kunststoffindustrie

-Konsumgüterindustrie

-Maschinenbau