Mit der folgenden E-Mail (Auszug) informierte ImmobilienScout24 gestern seine Kunden über einen aktuellen Datendiebstahl:
»Information: „Datensicherheit: Unbefugter Zugriff auf Datensysteme“
Sehr geehrte Damen und Herren,
die Sicherheit der Objekt- und Kundendaten ist für uns von größter Wichtigkeit und liegt uns sehr am Herzen. […]
Dennoch ist es zu einem unbefugten Zugriff auf unser Datensystem gekommen. Dabei wurden nach jetzigem Kenntnisstand Informationen wie (Firmen)Namen, Kontaktdaten sowie Immobilien Scout-interne Registrierungsnummern von Anbietern durch Dritte kopiert. Es handelt sich damit um Daten, die großteils in den Exposés auf unserer Website veröffentlicht sind.
Sensible Daten wie Passwörter, Bank- und Zahlungsdaten sind nicht betroffen. Der unbefugte Zugriff wurde unterbunden und die Sicherheit der angegriffenen Server wiederhergestellt.
Dennoch bitten wir Sie, Ihr Passwort […]
Mit freundlichen Grüßen
Ihre ImmobilienScout GmbH«
Aus Sicht eines Betroffenen ist es zunächst einmal als überaus positiv zu bewerten, daß die ImmobilienScout GmbH seine Kunden unverzüglich über den Vorfall informiert hat. Dieses Verhalten ist, gemessen am Beispiel anderer Fälle, die in der jüngeren Vergangenheit für weltweites Aufsehen gesorgt haben, längst nicht selbstverständlich. Fällt der Blick noch weiter zurück, gewinnt man zweifelsfrei die Erkenntnis, daß Internet-Portale oder allgemein Web-Präsenzen, übrigens auch die der öffentlichen Verwaltung, keine Hochsicherheitsbereiche sind.
So unangenehm diese Vorfälle für die geschädigten Firmen im Einzelfall auch sein mögen, so wichtig ist es gerade durch Öffentlichkeit für Transparenz zu sorgen um so den Lerneffekt für die Marktteilnehmer zu verstärken. Nicht Bankleitzahl und Kontonummer sind geheim, die zuweilen sogar fester Bestandteil der täglichen Korrespondenz sind, sondern die Pin der EC-Karte. Nicht die Pan der Kreditkarte, die ohnehin in zahllosen Hotels, Restaurants, Tankstellen und Einzelhandelsgeschäften herumfliegt ist schützenswert, sondern die durch die Nutzung entstehenden Daten. Die E-Mail bleibt trotz Verschlüsselung eine offene Postkarte und beim Begriff Telefongespräch sollte die Betonung auf Gespräch liegen. Die Telefonnummer als solche ist nicht interessant. Aber für ihre Nutzungsdaten interessieren sich hierzulande gleich mehrere Gruppen, wie die anhaltende politische Diskussion zeigt.
Unberechtigte Datenzugriffe, wie im vorliegenden Fall, wird es wohl immer geben. Gerade deshalb müssen die Marktteilnehmer befähigt werden zu beurteilen, ob im Ereignisfall ihr aktives Eingreifen notwendig wird, um selbst keinen Folgeschaden zu erleiden. In Zeiten von Facebook, Twitter und Co., so scheint es allerdings, fehlt vielen Menschen das Wissen oder der natürliche Instinkt welche Informationen in die Kategorien privat/schützenswert oder öffentlich/unbedenklich fallen.
Es wird in Zukunft sicher spannend zu beobachten sein, wie sich Unternehmen vor unberechtigten Datenzugriffen schützen werden, und wie sich die Kunden verhalten werden, wenn es zu Vorfällen und Datenmißbrauch kommt. Wahrscheinlich werden die Unternehmen technisch immer weiter aufrüsten und die anderen Marktteilnehmer werden sich ein Stück weit an die regelmäßigen Datenlecks gewöhnen, solange sie selbst keine spürbaren Nachteile dadurch erfahren. rh2011-12-001
Das Einbinden einer Netzlaufwerk-Freigabe hat zwar unmittelbar nichts mit der Virtualisierung über die Oracle VM VirtualBox zu tun, steht hier aber zumindest in mittelbarem Zusammenhang mit diesem Miniprojekt. Der Ubuntu-Gast ist bisher lauffähig eingerichtet worden, hat aber noch keinen Kontakt zur Außenwelt. Daher soll im nächsten Schritt die Einbindung einer Netzlaufwerk-Freigabe in sein Dateisystem erfolgen. Zugriffe auf Freigaben seines Wirts sind nicht vorgesehen. Ein Dateiaustausch wird ausschließlich über ein NAS, hier ein Synology DS110+ mit DSM 3.2, erfolgen. Das Mounten der Freigaben soll durch den User und nur auf dessen Anforderung geschehen.
Zur Umsetzung sind folgende Schritte notwendig:
Installation des Samba-Clients cifs-utils
Anpassung der Datei /etc/fstab
Mountpunkt im User-Verzeichnis anlegen
Paßwortdatei im User-Verzeichnis anlegen
Start-/Stop-Skript anlegen
Der erste Punkt ist selbstverständlich nur einmal durchzuführen. Die Punkte zwei bis fünf müssen allerdings für jeden User einzeln abgearbeitet werden. So erhält also jeder User, der auf eine Freigabe zugreifen darf, einen eigenen Eintrag in der /etc/fstab. Der Ubuntu-User muß natürlich zusätzlich auch auf auf dem Datei-Server bekannt sein. Zusätzliche Freigaben erfordern jeweils das Abarbeiten der Punkte zwei, drei und fünf.
1. Über das Protokoll CIFS (Common Internet File System) stellen Windows- und Samba-Server ihre Freigaben bereit. Das entsprechende Paket muß nachgeladen und installiert werden.
$ sudo apt-get install cifs-utils
Es wurde noch das zusätzliche Paket keyutils installiert. Vorgeschlagen, aber nicht installiert, wurde außerdem winbind.
2. In diesem Beispiel soll der User »karl« auf die Freigabe Zentraldaten lesend und schreibend zugreifen können, die auf dem Server 192.168.2.3 liegt. Gemountet werden soll alles auf /home/karl/Zentraldaten, und zur Authorisierung liegen Username und Paßwort in der Datei /home/karl/.cifscredentials bereit.
$ tail -n 1 /etc/fstab
//192.168.2.3/Zentraldaten /home/karl/Zentraldaten cifs
noauto,user,uid=1002,gid=1003,nounix,iocharset=utf8,
credentials=/home/karl/.cifscredentials 0 0
Die uid und gid läßt sich so ermitteln:
$ id
uid=1002(karl) gid=1003(karl) Gruppen=1003(karl)
4. Die Berechtigung/Beglaubigung (credentials) liegt in der Datei ~/.cifscredentials im Home-Verzeichnis, andernfalls hätte das Paßwort in die /etc/fstab eingetragen werden müssen:
$ cat /home/karl/.cifscredentials
username=karl
password=karl-sein-passwort
Die Sicherheit könnte noch durch die weitere Einschränkung der Zugriffsberechtigung erhöht werden:
$ cd ~
$ chmod 0600 .cifscredentials
An dieser Stelle sind bereits alle Anforderungen an das mounten der Freigabe per cifs erfüllt:
$ sudo mount -a
$ mount /home/karl/Zentraldaten
$ mount | grep 'Zentraldaten'
//192.168.2.3/Zentraldaten on /home/karl/Zentraldaten type cifs
(rw,nosuid,nodev,user=karl)
$ umount /home/karl/Zentraldaten
5. Tatsächlich ist ein Ein/Aus-Skript zum mounten/unmounten gar nicht erforderlich. Der Dateimanager Nautilus 3.2.0 zeigt links oben unter »Geräte« die NAS Freigabe Zentraldaten bereits an. Mit einem einfachen Mausklick kann nun diese Freigabe in das bestehende Dateisystem eingebunden und wieder entfernt werden. Komfortabler geht das nicht. Hier dennoch das einfache Skript mountzentraldaten:
$ cd ~
$ mkdir bin
$ source ./.profile
$ cd bin
...
$ cat mountzentraldaten
#!/bin/bash
#
# Freigabe //192.168.2.3/Zentraldaten nach ~/Zentraldaten
# mounten oder un-mounten (als Ein-/Ausschalter ausgelegt).
#
log() {
logger -t user.info -p user.info "$1";
}
mountpoint=`echo $HOME`/Zentraldaten
# wenn Freigabe Zentraldaten bereits gemountet ist, dann un-mounten ...
if [ $(mount | grep $mountpoint | wc -l) -eq "1" ]; then
umount $mountpoint
log "Nachricht von `basename $0` = umount //192.168.2.3/Zentraldaten"
else
# ... sonst mounten
mount $mountpoint
log "Nachricht von `basename $0` = mount //192.168.2.3/Zentraldaten"
fi
Es gibt noch eine Vielzahl weiterer Möglichkeiten eine Netzlaufwerk-Freigabe in das Dateisystem einzubinden. Diese Lösung ist einfach und nachvollziehbar, auch wenn sie etwas Konfigurationsaufwand benötigt. Sie kommt sogar ohne ein zusätzliches Skript aus, wenn die Freigabe über Nautilus, Geräte, rechte Maustaste und Einhängen/Aushängen erfolgt. Die Stabilität muß sich noch beweisen. Denn gedit 3.2 hat offensichtlich Probleme Dateien, die auf dem Datei-Server liegen, zu editieren. Hier gibt es noch unplausible Störungsmeldungen über veränderte Dateiinhalte. rh2011-10-007
Der gegenwärtige Verteidigungsminister versucht sich an einer Bundeswehr-Reform. Bereits sein Vorgänger probierte sich an ihr. Der hatte zwar kein Konzept, setzte aber schon mal die Wehrpflicht aus. Dieser Schritt muß sich nachträglich nicht als Fehlentscheidung herausstellen, steht aber normalerweise am Ende eines tragfähigen Konzepts als geplante Maßnahme oder eben auch nicht. Bei seinem vorzeitigen Ausscheiden betonte der vorletzte Chef der Streitkräfte ein geordnetes Haus (gemeint war hier wohl Bundeswehr und Verteidigungsministerium) übergeben zu können, so, wie es sich gehöre. Sein Nachfolger durfte dann schnell feststellen, daß sein Vorgänger offensichtlich keine genaue Vorstellung von konzeptioneller Arbeit hatte.
Ob Herr Dr. jur. Thomas de Maizière, der amtierende Verteidigungsminister, hiervon eine Vorstellung hat, darf zunächst angezweifelt werden. Nach den verfügbaren Daten ist er ein reiner Berufspolitiker mit rechtswissenschaftlicher Vorbildung, und als solcher könnte er ebensogut das Amt des Bürgermeisters von Bielefeld bekleiden. Da er zuvor noch nicht einmal Lehrer war, stellt sich die Frage, was ihn für die Umsetzung dieses derart komplexen Reformprojekts qualifiziert. Zur Erinnerung: Der Verteidigungshaushalt 2011 ist mit etwas über 30 Mrd. EUR der drittgrößte Haushaltsposten des Bundeshaushalts nach Arbeit & Soziales und Bundesschuld. Allein durch diesen Umstand muß die Öffentlichkeit zu ihrem Recht kommen. Das heißt die Konzeptphase verstehen und auch demokratisch begleiten dürfen.
Aber statt der Öffentlichkeit den Entwurf eines Gesamtkonzepts vorzustellen, in dem Aufgaben und Strukturen der Bundeswehr 2020, 2030 bis 2050, auch im europäischen Kontext, darzustellen, nennt der Verteidigungsminister nur einfach Zahlen. Völlig für sich isoliert kommen sie wie magic numbers daher, unerklärlich und rätselhaft. Die Gattungen sollen demnach unterschiedlich stark schrumpfen auf: Heer: 57 570, Luftwaffe: 22 550, Marine: 13 050 Soldaten, usw. Mit diesem Schrumpfungsprozeß einher geht die Schließung von Bundeswehrstandorten. Von ca. 400 Standorten sollen 30 geschlossen werden. Warum gerade 30, welche und warum diese wird bis heute Mittag ein Geheimnis bleiben. Dann verkündet der Verteidigungsminister, wie gegenüber Sextanern bei der ersten Zeugnisausgabe, wer sitzengeblieben ist und wer eine Runde weiterkommt. Wochenlang mußten Soldaten, ihre Familien, Bürgermeister, Landräte und Unternehmer bis dahin in Sorge ausharren. Eine Altherrenriege von Technokraten und Besitzstandswahrern wird der Öffentlichkeit dann wohl ein Stück Teilreform erläutern, das weder sach- noch konzeptorientiert, sondern einzig und allein budgetgetrieben sein wird.
Die Bürger haben deutlich mehr Transparenz verdient. Wer bezahlt will wissen, was die Bundeswehr in naher und ferner Zukunft leisten soll und welche Aufgaben sie haben wird. Braucht sie mehr Kampf- oder Transportflugzeuge, Kampf- oder Bergepanzer, Zerstörer oder Hospitalschiffe? Stellt sie Killerkommandos mit Auslandserfahrung zur Verfügung oder wird sie eine Mischung aus THW und Ärzte ohne Grenzen sein? Die bewußte Mißachtung der Öffentlichkeit und das emotionslose Hinweghandeln hätte in der Privatwirtschaft längst eine Streikwelle bei den Betroffenen ausgelöst. Der Minister der Verteidigung liefert ein sehr gutes Beispiel für die Politik von gestern. Demokratie 2.0 sieht anders aus. rh2011-10-006
Das beste Windows Betriebssystem seit MS-DOS ist zweifelsfrei Windows 7. Das beste Desktop-Betriebssystem – auch unter Berücksichtigung von Mac-OS – ist ganz entschieden Linux in seinen verschiedenen Ausprägungen (Distributionen/Flavours). Natürlich ist das eine rein subjektive Einschätzung. Aber nach Erfahrungen mit allen vorgenannten Betriebssystemen in der täglichen Büroumgebung überwiegen die Vorteile von Linux doch eindeutig. Wenn man nicht ganz auf Windows verzichten konnte oder wollte, mußte man sogenannte Dual- oder Multibootsysteme vorsehen. Für diesen Zweck waren aber die Festplatten entsprechend einzurichten und der Wechsel von Windows nach Linux erfolgte jedesmal mit einem Neustart. Eine Alternative läuft über eine Virtualisierungslösung. Hier wird auf einem Intel-/Windows-Rechner, der auch als Wirt oder Host bezeichnet wird, eine Virtualisierungs-Software installiert. Ein Host, so ausgestattet, bietet die Möglichkeit Linux-Distributionen – die als Gäste bezeichnet werden – entgegenzunehmen, sie zu installieren und auszuführen, so, als stünde ihnen die gesamte Host-Hardware zur Verfügung. Je nach eingesetzter Virtualisierungssoftware kann der Host/Wirt auch unter Linux laufen und die Gäste dürfen Windows und/oder Linux heißen. Wie auch immer, im konkreten Beispiel fiel die Wahl auf Oracle VM VirtualBox. Die Software kann auf der Oracle Projektseite geladen werden. Eine Registrierung ist weder vor noch nach der Installation erforderlich. Da die Virtualisierung auf einem Intel/Windows-Host (Wirt) erfolgen soll, kommen demzufolge diese beiden Dateien zum Download:
VirtualBox 4.1.4 for Windows hosts
VirtualBox 4.1.4 Oracle VM VirtualBox Extension Pack
Der Host, der mit Ubuntu Linux virtuell bestückt werden soll:
Host-Hardware: Intel(R) Core(TM) i5 CPU 760 @ 2.80GHz, 8 GB RAM, ASUS EAH5450 Series Grafik, 460 GB Festplatte
Host-Betriebssystem: Windows 7 Professional, 64-bit
Gast-Betriebssystem (geplant): Linux Ubuntu 11.10, 32-bit
Nach den Downloads liegen also die folgenden drei Dateien vor:
Ubuntu empfiehlt immer noch die 32-bit Version als Standard.
VirtualBox
Die Installation der VirtualBox ist einfach, selbsterklärend und gibt keine Rätsel auf. Als Administrator ein Doppelklick auf die Exe-Datei und die Default-Einstellungen der Installationsroutine können so akzeptiert werden. Nach erfolgter Installation und bei geöffneter VirtualBox ein weiterer Doppelklick im Datei-Explorer auf die Extension_Pack-Datei. Nach ein paar weiteren Sekunden ist die Oracle VM VirtualBox 4.1.4 vollständig auf dem Wirt-System installiert. Im Windows 7 Verzeichnis C:\Program Files\Oracle\VirtualBox\ sind alle gerade installierten Dateien, übrigens auch die hervorragende Dokumentation als PDF-Datei, zu finden.
Gast Ubuntu
Noch bevor der Windows-Gastgeber seinem ersten Linux-Gast Logis bieten kann, muß via VirtualBox zunächst ein virtueller Bereich hierfür erstellt werden, und für alle weiteren Gäste dann entsprechend. Nach dem Start der VirtualBox und einem Klick auf die Schaltfläche »Neu« kann in sechs, sieben Schritten eine neue virtuelle Maschine für den Gast erstellt werden. Die Eckdaten hierfür sind:
virtuelle Festplatte: Bootfestplatte erzeugen, Dateityp: VDI (VirtualBoxDiskImage), Art der Abspeicherung: feste Größe
Lage und Größe der virtuellen Festplatte: V:\Ubuntu_11-10_32bit.vdi, Größe: 20,27 GB
Zusammenfassung der virtuellen Maschine für den Gast UbuntuHinweis: Aus Dual-Boot-Zeiten stand noch eine primäre Partition mit ca. 65 GB zur Verfügung. Diese wurde mit NTFS formatiert und hier zur Verfügung gestellt. Eine eigene Partition zur Aufnahme der VDI-Dateien ist jedoch nicht Bedingung. Die rechte Seite der abschließenden Zusammenfassung sieht nach diesen Schritten so aus:
Ubuntu Installation
Im nächsten Schritt wird Ubuntu selbst installiert. Der »First Start Wizard« der VirtualBox macht die Installation sehr einfach. Dazu wird die VirtualBox neu gestartet, der Eintrag links Ubuntu_11-10_32bit wird mit einem Klick markiert und anschließend die Schaltfläche »Starten« angeklickt. Der Wizard startet und fragt nach dem Speicherort des Installationsmediums, also der zuvor per Download erhaltenen Ubuntu ISO-Datei (ubuntu-11.10-desktop-i386.iso). Der Umweg über eine CD-ROM ist also nicht erforderlich. Die Installation von Ubuntu beginnt ab hier. Alle Daten und Programme landen jetzt ausschließlich in der zuvor eingerichteten virtuellen Maschine, genauer in der VDI-Datei V:\Ubuntu_11-10_32bit.vdi. Folgerichtig erkennt der Ubuntu-Installer: »[…] auf diesem Rechner befindet sich momentan kein erkanntes Betriebssystem.« Das Löschen der gesamten Festplatte und die anschließende Installation gehen also in diesem Fall in Ordnung. Daten Laufwerk: SCSI3 (0,0,0) (sda) 21,8 GB ATA VBox Harddisk, /dev/sda/ (ext4).
Guest Additions
Nach erfolgter Ubuntu Installation, dem Neustart der VirtualBox und dem Starten der virtuellen Maschine mit Ubuntu erfolgt zunächst Ernüchterung. Die Bildschirmauflösung ist nicht veränderbar, der Mauszeiger bewegt sich hakelig und verschmilzt sogar mit einigen Buttons zur Unsichtbarkeit. So wäre produktives Arbeiten nicht möglich. Abhilfe schaffen hier die sogenannten Guest Additions for Linux (siehe auch Oracle VM VirtualBox User Manual). Ein passendes ISO-Abbild, das im nächsten Schritt gemountet wird, liegt im Verzeichnis C:\Program Files\Oracle\VirtualBox\VBoxGuestAdditions.iso bereits vor. Es enthält alle zur Installation notwendigen Routinen. Laut User Manual soll Ubuntu allerdings zuvor noch mit dem Paket dkms (Dynamic Kernel Module Support) ausgestattet werden. Sofern es noch nicht installiert ist, wird dies jetzt nachgeholt und ein Reboot durchgeführt.
$ sudo apt-get update
$ sudo apt-get upgrade
$ sudo dpkg –l | grep dkms
$ sudo apt-get install dkms
$ sudo shutdown –r now
Innerhalb Ubuntus soll jetzt die ISO-Datei VBoxGuestAdditions gemountet werden. In dem Menüpunkt »Geräte« der VirtualBox den Punkt »CD/DVD Laufwerke« und dann »Datei für virtuelles CD/DVD-ROM-Medium auswählen …«. Nach Auswahl der ISO-Datei läuft das Setup ohne weiteres Zutun ab und rüstet Ubuntu mit dem zusätzlichen Kernelmodul aus. Sollte diese Autorun-Routine nicht anspringen, erklärt das User Manual die notwendigen Schritte.
Vorläufiges Fazit
Der Unterschied nach einem Neustart zeigt deutlich, daß eine Linux-Virtualisierung nur nach dem Einbinden der VBoxGuestAdditions sinnvoll möglich ist. Damit verbunden ist natürlich die Frage, ob es auch Linux-Distributionen gibt, die keine Integration der VBoxGuestAdditions ermöglichen. Ubuntu 11.10 paßt scheinbar optimal in dieses Konzept. Mit der Maus kann man jetzt übergangslos zwischen Linux und Windows hin und her wechseln oder das Linux-Fenster der VirtualBox rahmenlos auf Bildschirmgröße aufziehen. Bequemer kann das Arbeiten nicht sein.
Im direkten Vergleich zu Dual-Boot-Systemen, die eine gewisse Sorgfalt bei der Partitionsbestimmung der Festplatte erfordern, ist der Einrichtungsaufwand der VirtualBox deutlich geringer und der praktische Nutzen in der täglichen Arbeit zudem wesentlich höher. Um das neue System effektiv nutzen zu können, muß noch der vollständige Konfigurationsumfang der VirtualBox erkundet werden. Zudem muß Ubuntu selbst noch konfiguriert werden: Zusätzliche User einrichten, E-Mail Konten einrichten, Netzwerkdrucker verbinden und den Kontakt zum Netzwerkspeicher herstellen. rh2011-10-005
