Sie planen, ein Information Security Management System (ISMS) gemäß ISO 27001 einzuführen? In unserem interaktiven iX-Workshop IT-Sicherheit nach ISO 27001 umsetzen erhalten Sie eine fundierte Einführung in die Grundlagen der internationalen Norm für Informationssicherheit und profitieren von Best Practices und Lösungsansätzen für die erfolgreiche Umsetzung in Ihrem Unternehmen.

Der Workshop richtet sich an Informationssicherheitsbeauftragte, IT-Mitarbeitende und Führungskräfte, die einen fundierten Einblick in das Thema erhalten möchten.

Ihr Trainer ist Viktor Rechel von secuvera. Als leitender Cybersicherheitsberater verantwortet er die Sicherheitsberatung und Penetrationstests – von ISO 27001 und IT-Grundschutz bis hin zu Sicherheits-Checks und Schwachstellenanalysen in Webanwendungen, Cloud-Umgebungen und Apps.

In diesem zweitägigen Workshop führt er Sie durch grundlegende Aufgaben, typische Fallstricke und zentrale Meilensteine der Projektplanung. Gruppenarbeiten und Diskussionen sorgen dabei für einen praxisnahen, interaktiven Lernansatz.

(ilk)

Wie Wireshark für Netzwerke soll Stratoshark Transparenz für Betriebssysteme und Apps schaffen durch die Analyse von Systemcalls und Logs. Das Open-Source-Tool baut in großen Teilen auf dem Quellcode von Wireshark auf. Dahinter steht Wireshark-Erfinder Gerald Combs, dessen Arbeitgeber Sysdig auch die zugehörigen Tools Falco und Sysdig zur Erfassung der Aktivitäten und Logs liefert.

Mitte Mai hat sich Sysdig entschieden, Stratoshark in die Hände der gemeinnützigen Wireshark Foundation zu legen. Über die Hintergründe sprach die iX-Redaktion mit dem Wireshark-Erfinder Gerald Combs und Alexander Lawrence, Director of Cloud Security Strategy bei Sysdig.

iX: Gerald, was hat es mit der Spende von Stratoshark an die Wireshark Foundation auf sich?

Gerald Combs: Die Wireshark Foundation ist eine gemeinnützige Organisation in den USA, die es sich zum Ziel gesetzt hat, Menschen im Umgang mit Netzwerkanalyse auszubilden. Mit der Spende von Stratoshark erweitern wir unsere Mission: Bisher liegt unser Fokus auf der Paket-Analyse, künftig wollen wir aber auch tief in Betriebssystem-Ereignisse blicken können.

iX: Was war die Motivation hinter der Entwicklung von Stratoshark und worin unterscheidet es sich konzeptionell von Wireshark?

Combs: Wireshark zerlegt Pakete mit seiner Dissektions-Engine in alle Protokollbestandteile, ermöglicht Filterung, Drill-Down und ausführliche Analysen. Stratoshark dagegen arbeitet nicht auf Basis von Netzwerk-Paketen, sondern auf Basis von Systemaufrufen und Protokollnachrichten. Es erlaubt ähnliche Filter- und Analysemöglichkeiten – nur eben in der Systemaufruf- und Cloud-Welt. Das User-Interface gleicht stark dem von Wireshark, damit Nutzer sofort zurechtkommen. Unter der Haube nutzen wir viele gemeinsame Bibliotheken, haben sie aber so erweitert, dass sie Systemaufrufe und Cloud-Logs interpretieren können. Wir konzentrieren uns hauptsächlich auf die Cloud-Systeme, aber Sie könnten dies auch nutzen, um jedes Linux-System wirklich in Ordnung zu bringen.

iX: Wo liegt der Haupteinsatz von Stratoshark? Mehr als Debugging-Werkzeug oder als Sicherheits-Analysetool?

Combs: Im Moment liegt der Fokus auf der Sicherheitsanalyse. Ursprünglich haben wir Stratoshark als Ergänzung zu Falco entwickelt – einem hostbasierten IDS (Intrusion Detection System, Anmerkung der Redaktion) für Systemaufrufe. Falco erkennt und meldet verdächtige Ereignisse; Stratoshark erlaubt es, diese Events detailliert nachzuverfolgen. Wie in der Networking-Welt möchte man oft einen tieferen Einblick in das bekommen, was auf dem System vor sich geht.

iX: Wie viel Prozent des Codes teilt Stratoshark mit Wireshark? Wir haben Dissektions-Engines, Baumstrukturen zur Analyse, wie in Wireshark. Aber wie viel Prozent Code teilen sich die beiden Tools?

Combs: Ich habe keinen konkreten Prozentsatz, aber es gibt eine Menge Code, der geteilt genutzt wird. Das ist auch beabsichtigt. Wir haben diese wirklich leistungsstarke Analyse-Engine, die quasi nur darauf wartete, verwendet zu werden. So haben wir sie angepasst, um sie auch für Systemaufrufe zu verwenden. Der UI-Code sieht wieder sehr vertraut aus. Das ist beabsichtigt. Wir möchten diesen vertrauten Workflow haben, den man bereits aus Wireshark kennt. Wer die Arbeit mit Wireshark gewohnt ist, kann mit Stratoshark schnell loslegen und umgekehrt. Bei einigen der UI-Widgets gibt es ein paar Unterschiede in den Elementen.

Der andere große Unterschied ist die Art und Weise, wie wir die Ereignisse analysieren, die hereinkommen. Wir haben anderen Code für eingehende Ereignisse: Es ist ein Plug-in namens Falco, genauer Falco Bridge. Den Namen werden wir wohl noch in Falco Events ändern.

iX: Für welche Betriebssysteme ist Stratoshark verfügbar?

Combs: Offiziell bieten wir auf den Wireshark-Seiten Pakete für Windows und macOS an. Für Linux-Distributionen ist die Geschichte etwas komplexer. Die verschiedenen Linux-Distributionen haben traditionell ihre eigenen Wireshark-Pakete angeboten. Meine Hoffnung ist, dass sie das auch mit Stratoshark machen. Ich weiß, dass das für Debian und Ubuntu in Arbeit ist. Ich müsste aber prüfen, ob dies auch für Fedora der Fall ist. Die Erfassung von Systemaufrufen funktioniert derzeit nur unter Linux.

iX: Wie bekommt Stratoshark die relevanten Daten?

Combs: Wir nutzen die Bibliotheken libsinsp and libscap, die von Falco und dem CLI-Tool Sysdig verwendet werden, um Systemaufrufe zu erfassen. Sysdig war, glaube ich, das erste Tool, das diese beiden Bibliotheken verwendete. Die Erfassung erfolgt wahlweise über ein Kernel-Modul oder eBPF als eine Art neuere Standardtechnologie. Ich denke, wir werden uns in Zukunft auf eBPF konzentrieren. Zusätzlich existiert eine Plug-in-Schnittstelle, mit der man etwa Daten aus GCP- oder Kubernetes-Überwachungsprotokollen sowie aus AWS Cloud Trail einspeisen kann.

iX: Was steht als Nächstes auf der Stratoshark-Roadmap?

Combs: Die aktuelle öffentliche Version ist 0.9 und wir müssen zunächst alles in Form bringen. Wir arbeiten gerade an der Version 1.0, besonders an erweiterten Protokollanalyse-Funktionen. Danach folgt wahrscheinlich die finale Veröffentlichung im Spätsommer.

Was tun, wenn der Windows-PC virenverseucht ist oder man zumindest den Verdacht hat? Wie lässt sich das personalisierte Windows wiederherstellen? c’t hat für solche Fälle die passenden Helferlein entwickelt: Desinfec’t und c’t-WIMage. Im c’t uplink stellen wir beide Tools vor.

In dieser Folge erzählt c’t-Redakteur Dennis Schirrmacher, wie Desinfec’t bei der Virensuche und Datenrettung hilft und wo die Grenzen des Tools liegen (c‘t 12/2025). c’t-Redakteur Jan Schüßler stellt das Programm c’t-WIMage vor, mit dem Sie Windows sichern und auf beliebiger Hardware wiederherstellen (c’t 13/2025).

Zu Gast im Studio: Dennis Schirrmacher, Jan Schüßler
Host: Greta Friedrich
Produktion: Ralf Taschke

Mehr zum Thema Desinfec’t finden Sie in der c’t 12/2025. In der Ausgabe 13/2025 erfahren Sie mehr über c’t WIMage. Beide Ausgaben gibt’s auf ct.de sowie in der c’t-App für iOS und Android. Die Ausgabe 13/2025 gibt es ab dem 13. Juni 2025 am Kiosk.

In unserem WhatsApp-Kanal sortieren Torsten und Jan aus der Chefredaktion das Geschehen in der IT-Welt, fassen das Wichtigste zusammen und werfen einen Blick auf das, was unsere Kollegen gerade so vorbereiten.

► c’t Magazin
► c’t auf Mastodon
► c’t auf Instagram
► c’t auf Facebook
► c’t auf Bluesky
► c’t auf Threads
► c’t auf Papier: überall, wo es Zeitschriften gibt!

(gref)