Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


23.02.2009

Den Feind im Innern abwehren

Christian  Nowitzki
Gefahren für die IT lauern heute im eigenen Netz. Wie kann dieses vor unbedarften oder sabotagewilligen Mitarbeitern geschützt werden?

Die aktuelle Wirtschaftslage zieht mittlerweile Restrukturierungsmaßnahmen in Unternehmen nach sich, die eine Verkleinerung des Mitarbeiterstamms zur Folge haben. Nicht selten rächen sich die Entlassenen. So werden mittlerweile 70 Prozent aller relevanten IT-Sicherheitsvorfälle durch das eigene Personal verursacht.

Alle Sicherheitsfragen mit einer Abschottung nach außen durch eine Firewall zu beantworten klingt einfach, reicht jedoch in der Regel nicht aus. Diese Form der Problemlösung ist weder dem eigenen Unternehmen gegenüber verantwortungsvoll, noch kann hiermit nach außen die Erfüllung der eigenen Sorgfaltspflicht glaubhaft dargestellt werden. Eine Gefährdung des unternehmenseigenen Systems droht insbesondere dann, wenn Anwender mit mobilen Datenträgern arbeiten, PDAs direkt mit dem Mail-Server des Unternehmens synchronisieren oder ihre Laptops nach zwei Wochen Auslands-aufenthalt an das Firmennetzwerk anschließen. Die Gefahren wachsen zudem, wenn Mitarbeiter sensible Daten auf mobile Datenträger kopieren, per E-Mail versenden, auf entfernte Server laden oder schlicht ihren Laptop verlieren. In solchen Fällen sind die Entscheider im eigenen Interesse und in dem ihres Unternehmens dazu angehalten, den zunehmenden Bedrohungen mit geeigneten Maßnahmen entgegenzuwirken. Der Gesamtheit der Gefahren lässt sich dabei nicht mit Sicherheitssoftware von einem einzigen Hersteller begegnen.

Systemanalyse als Schlüssel

Oft ist eine Vielzahl von Insellösungen notwendig, um mit so genannten Data-Loss-Prevention-(DLP-)Techniken mehr Sicherheit zu schaffen. DLP steht für zahlreiche Ansätze, die jedoch nur alle zusammen für einen ausreichenden Schutz sorgen können. Dazu zählen Anti-Viren- und Anti-Spam-Programme, die Kontrolle mobiler Datenträger und deren transparente Verschlüsselung, die Prüfung aller Schnittstellen der eingesetzten Systeme, die Verschlüsselung mobiler Endgeräte wie Laptops und PDAs sowie des internen Datenbestandes auf dem Speichersystem.

In dieser komplexen Landschaft den Überblick zu behalten ist nicht einfach. Ein Antivirussoftware-Hersteller beispielsweise, der Datenverschlüsselung integrieren möchte, übersieht möglicherweise, dass die Lösung Schnittstellen wie USB und CD nicht sperren oder verschlüsselt beschreiben kann und eine fehlende Änderung der Anmeldeprozedur die Gesamtlösung in Frage stellt. Auch der Verlust von Daten über die Internet-Verbindung des Unternehmens (per E-Mail, Uploads, Instant Messaging, P2P-Filesharing etc.), das Home Office, Lap-tops und PDAs wird durch den Einsatz einer einzigen Software nicht verhindert. Sicher sind viele Hersteller bestrebt, hier die eine allumfassende Lösung zu liefern, doch es wird noch einige Zeit brauchen, bis ein akzeptabler Integrationslevel erreicht ist. Der Schlüssel liegt vielmehr in der Analyse der eigenen Bedrohungsszenarien und der Einschätzung von Wahrscheinlichkeiten (unter Einbeziehung der maximalen Schadenshöhe), um abschließend nach dem Best-of-Breed-Ansatz den optimalen Produktmix zu ermitteln.

Bedarf an Endpoint Security

Bei aller Komplexität des Themas darf auch Grundlegendes, beispielsweise die Anmeldeprozedur am Client, nicht vernachlässigt werden. Für Passwörter gilt: je komplexer, desto sicherer. Die häufige Konsequenz ist, dass viele Mitarbeiter sich die schwierigen Kombinationen aus Buchstaben und Zahlen nicht merken können und ihren Zugangscode auf einem in der Nähe des Arbeitsplatzes versteckten Zettel notieren. Der erhöhte Sicherheitslevel wird dadurch wieder gesenkt.

Der Weg zum sicheren Netz

  • Firewall alleine reicht nicht,

  • DLP ist oft nur mit Insellösungen realisierbar,

  • Bedrohungsszenarien im eigenen Netz analysieren,

  • Best-of-Breed-Ansatz fahren,

  • Endpoint Security ganzheitlich betrachten und untersuchen,

  • Self Defending Network per Appliance ist Wunschdenken,

  • IDS und IPS nutzen,

  • Systeme auf aktuellem Stand halten,

  • Zustand der Security-Lösungen regelmäßig kontrollieren.

Militärische Einrichtungen arbeiten mit noch viel weiter gehenden Maßnahmen, beispielsweise mit einer so genannten PBA (Pre-Boot-Authentication), und setzen hierfür auf eine Kombination von Smartcard, PIN und Biometrie. Doch auch hierbei gilt es, die üblichen Fallstricke zu vermeiden und sich für das richtige System und den richtigen Einsatz zu entscheiden.

Der Gedanke an Endpoint Security ist also sinnvoll, jedoch scheint auch dieser Begriff einer gewissen Inflation zu erliegen. Denn letztlich ist jeder einzelne Endpoint nicht nur ein Glied in einer Kette namens "Unternehmenssicherheit", sondern bedarf selbst schon einer eingehenden Untersuchung und ganzheitlichen Betrachtung.

Einen weiteren Aspekt erreicht das Thema Informationssicherheit mit den Begriffen IDS und IPS (Intrusion Detection System beziehungsweise Intrusion Prevention System). Sie zielen darauf ab, Einbrüche in ein System zu erkennen und möglichst schon im Vorfeld zu verhindern. Dazu werden IDS/IPS-Lösungen entweder auf einem Host ausgeführt oder in das Netz geschaltet. Sie leiten bei Bedarf Gegenmaßnahmen ein. Diese können sein: der aktive Eingriff in einen Switch und das Sperren bestimmter Ports, das Trennen eines gesamten Netzwerksegments oder die einfache Filterung bestimmter Datenströme. Nicht selten werden solche Lösungen eingesetzt, um Systeme von Produktionsstraßen zu isolieren.

IDS mit Honeypot

Ein besonders interessanter Einsatzbereich sind öffentliche Netze, wie sie beispielsweise an Hochschulen zur Verfügung stehen. Hier kann ein kombiniertes Verfahren von IDS/IPS mit einem Honeypot eingesetzt werden. Meldet sich ein Client am System an, wird er je nach eingesetzter Lösung zunächst in ein VLAN geleitet und die Aktualität der Antivirus-software geprüft. Ist diese aktuell, erfolgt der Einlass in das eigentliche Netz. Andernfalls erscheint beim Öffnen des Browsers eine Informationsseite mit allen benötigten Links zur Behebung eines eventuellen Problems. Gleiches gilt, wenn von einem der Clients Gefahr ausgeht. Dieser wird in einen separaten Bereich umgeleitet und erhält weiterführende Informationen über eine Website.

Speichersysteme und IDS

Auch ein Speichersystem muss zwangsläufig, ebenso wie Datenbank- und alle anderen Daten vorhaltende oder verarbeitende Systeme, in das IDS/IPS eingebunden sein. Hinzu kommen jedoch weitere Anforderungen, nicht zuletzt aufgrund von Datenschutzbestimmungen. Werden beispielsweise falsche Daten eingegeben, ob böswillig oder versehentlich, oder Dokumente gefälscht, ergeben sich neben ernsthaften Problemen in der IT-Landschaft unter Umständen Konsequenzen für das Management. Was beispielsweise in ERP-Systemen durch ein RMS/IKS (Risiko-Management-System/Internes-Kontroll-System) verhindert werden soll, kann bei den Datenbeständen eines Fileservers oder anderen internen Applikationen trotzdem geschehen. Fallen solche Manipulationen nicht auf, helfen meist auch keine Backups mehr. Workflow-Systeme sind in der Lage, die Sicherheit zu erhöhen, und revisionssichere Speicher können herangezogen werden, um Manipulationen nachzuvollziehen und einen ursprünglichen Status wiederherzustellen.

Ein solches Honeypot-System in Verbindung mit einer IDS/IPS-Lösung kommt nahe an die so genannten Self Defending Networks heran. Diesen gilt die Hoffnung, Netzwerke und deren Systeme könnten Bedrohungen nicht nur erkennen und nach definierten Mustern auf sie reagieren, sondern vielmehr selbsttätig Gegenmaßnahmen einleiten.

Eine Firewall reicht nicht

Ein Self Defending Network innerhalb einer Appliance-Lösung anzubieten ist lediglich das Wunschdenken einiger einfallsreicher Marketing-Fachleute, da eine solche Appliance bei heutigen Rechen- und Speicherkapazitäten zwei komplette Server-Schränke einnehmen dürfte.

Sehr oft werben auch Firewall-Hersteller für die IDS/IPS-Fähigkeiten ihrer Produkte. Zu leicht entsteht dabei der Eindruck, eine IDS/IPS-Lösung am Internet-Gateway würde das Unternehmen nachhaltig und vollständig schützen. Eine Firewall überwacht im Regelfall nur ein einziges Einfallstor von vielen und bietet daher unter Umständen eine ausreichende Gateway-Security. Dies genügt jedoch nicht den Anforderungen, die an ein vollständig abgesichertes Unternehmensnetz gestellt werden.

Fazit

Das Thema ist umfassend und hat viele Facetten – ebenso vielfältig sind die am Markt befindlichen Lösungen. Der erste Schritt muss daher die Analyse des eigenen Unternehmens und die Bewertung der Bedrohungsszenarien umfassen. Im zweiten Schritt folgt dann die Suche nach einer unabhängigen Anlaufstelle, um Informationen zu Techniken, Verfahren und möglichen Herstellern zu erhalten.