Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.11.1998 - 

Internet-Sicherheit/Firewalls - nur Valium für die Anwender?

Erst die Kopfarbeit macht Netzwerke immun gegen Hacker

Von Stefanie Schneider* Firewalls als Nonplusultra in Sachen Internet-Sicherheit - vor dieser Fehleinschätzung sei gewarnt. Die Wächter an der elektronischen Tür ins interne Netz sind nur ein Teil im Security-Puzzle, das erst durch richtige Kopfarbeit lückenlos wird.

"DNS-Tunneling umgeht Firewalls." Mit Meldungen wie dieser - der Security Base (www.security-news.de) im Internet entnommenen - läßt sich Unternehmen, die lediglich Firewalls einsetzen, ein gehöriger Schrecken einjagen. Ihr Schutzschild ist gegen DNS-Tunneling machtlos.

Da der Domain Name Service (DNS) bei Zugriffen auf das Internet nötig ist, lassen praktisch alle Firewall-Systeme DNS-Pakete kommentarlos passieren. Hacker können sie als Trojanische Pferde verwenden und unter der DNS-Hülle andere Pakete einschleusen. Daß mittels gefälschter Web-Seiten Paßwörter oder Zugangskennungen zu besorgen sind, ist eine andere Schwachstelle von DNS. Und nicht nur in diesen Punkten versagt das Sicherheitskonzept der Firewalls.

Als mit Beginn des Internet-Booms die Bedenken hinsichtlich der Sicherheit interner Netze aufkamen, schienen Firewall-Systeme die Rettung zu sein. Entsprechend sind die Prognosen der Marktforscher in puncto Firewall-Systeme auf Wachstum ausgerichtet. IDC beispielsweise geht im Jahr 2002 von 1,8 Milliarden Dollar Marktvolumen aus, also etwa dem Dreifachen der für 1998 erwarteten 636,2 Millionen Dollar.

Der Run auf die Firewall-Systeme dürfte vorerst auch anhalten. Sie sind quasi Standardausstattung für jedes Unternehmen, das sein Netz ans Internet anschließt. Ein zentraler Internet-Anschluß ohne entsprechende elektronische Riegel steht normalerweise außer Diskussion. Aber Firewall-Systeme sind keine Wunderwaffe gegen jedwede Attacke auf die internen Systeme und Daten.

Das hat mehrere Gründe. Einer davon ist ihr Wirkungsbereich, der sich nur auf bestimmte Protokollebenen des TCP/IP-Schichtenmodells beschränkt. Paketfilter, eine Firewall-Variante, filtern die ein- und ausgehenden Datenpakete nach IP-Adresse, dem eine Ebene höher liegenden Protokoll TCP (Transfer Control Protocol) oder UDP (User Datagram Protocol) und nach TCP- oder UDP-Portnummer. Sie können damit also Ports freischalten oder sperren. Welche Daten dann über diesen Port übertragen werden, entzieht sich deren Kontrolle - ein leichtes Spiel für Hacker. Die auf einer Ebene höher agierenden Application Level Gateways bieten hier mehr Schutz. Häufig werden Kombinationen der beiden Technologien eingesetzt. Einige Firewall-Systeme wie "Sunscreen EFS", "Firewall-1" oder "PIX" sind Paketfilter mit zusätzlicher Intelligenz; Firewall-1 und Sunscreen EFS verfügen zusätzlich über Proxy-Funktionen der Application Level Gateways und sind dadurch relativ sicher.

Allen Firewall-Systemen ist jedoch gemein: Die Inhalte der Pakete sind nicht ihr Thema. "Gegen Viren, bösartige Applets, Vorspiegelung falscher Tatsachen oder gefälschte Web-Seiten sind sie prinzipbedingt machtlos", erläutert Franz-Josef Lang, Sicherheitsberater bei der Articon Information Systems AG, Ismaning.

Ein Chemieunternehmen, das nicht genannt werden will, wird deshalb beispielsweise seinen Mitarbeitern das Internet erst öffnen, wenn die entsprechenden Zusatzsysteme installiert sind. Es wird zwar ein Firewall-System betrieben, dieses regelt aber bislang nur den sicheren Zugriff ausgesuchter Partner auf die internen Systeme.

"Jeder, der den Internet-Anschluß nur mit einer Firewall schützt, lebt unsicher. Bevor hier keine lückenlose Sicherheit gewährleistet ist, gibt es deshalb bei uns keinen generellen Internet-Zugang", erläutert der zuständige Mitarbeiter. "Dies bedeutet, daß auch die Inhalte in ein Schutzkonzept einbezogen werden müssen."

Einfluß hat zudem die Konfiguration. Ein Firewall-System ist immer nur so sicher, wie es seine Einstellungen zulassen. Es hängt davon ab, welche Dienste gestattet werden oder ob beispielsweise Ports geöffnet sind, die nicht unbedingt zum Nutzen der erlaubten Dienste nötig sind, etwa für die Administration. Mehr Freiheit für die Anwender bedeutet hier immer ein größeres Risiko.

"Firewalls sind oft nicht optimal eingestellt", erläutert Dr. Heinz Willebrand, Leiter des für Internet-Sicherheit zuständigen Referats beim Bundesamt für Sicherheit in der Informationstechnik (BSI). "Viele Unternehmen machen den Fehler, daß sie nicht von vornherein alle Dienste abschalten und nur die bewußt aufmachen, die sie auch benutzen wollen." Daß zudem auch Firewall-Systeme Bugs enthalten können, dürfte mittlerweile bekannt sein. Deshalb sind regelmäßige Sicherheitsüberprüfungen anzuraten.

Hinzu kommt, daß sich natürlich auch nur die Verbindungen schützen lassen, die über dieses Gateway laufen. Direkte Modem- und ISDN-Zugänge ins Internet nutzen in der Regel keine Firewall und bieten Hackern willkommene Eintrittsmöglichkeiten. Darüber hinaus gibt es genügend Sicherheitslücken in Betriebssystemen, Routern, Anwendungssoftware und auch in den Internet-Diensten selbst, gegen die zu schützen nicht die Aufgabe eines Firewall-Systems ist. Auch Social Engineering, also das Ausspionieren von Informationen wie Paßwörtern etc. durch persönliche Kontakte bleibt ein nicht zu unterschätzender Faktor.

Blauäugig handelt also, wer in Sachen Sicherheit allein auf ein Firewall-System vertraut. Doch das ist nach Willebrands Erfahrung nicht die Regel: "Die mit der Sicherheit betrauten Personen kennen die Problematik." Sie lassen sich oft auch einiges einfallen. Manche Unternehmen oder Organisationen installieren beispielsweise falsche Fährten. Hacker glauben, sie seien im Unternehmensnetz gelandet, statt dessen haben sie aber eine Art Potemkinsches Dorf vor sich.

Gängig sind mittlerweile sogenannte Secure Server Nets oder demilitarisierte Zonen. Die Internet-Server befinden sich bei dieser Konstellation in einem eigenen Netzsegment, das durch die Firewall geschützt, aber physikalisch nicht mit dem internen Netzwerk verbunden ist.

Bei einer norddeutschen Sparkasse war die Unterstützung eines derart abgesonderten Bereichs beispielsweise eines der wichtigsten Kriterien bei der Entscheidung für ein Firewall-System.

Für den Sicherheitsfachmann vom BSI liegt der Fokus in Sachen Netzwerksicherheit nicht unbedingt auf den Firewall-Systemen. Experten gehen davon aus, daß die Mehrheit der Angriffe auf Datenintegrität, Vertraulichkeit und Verfügbarkeit - die drei Hauptanforderungen an die Sicherheit - von intern oder von dem Unternehmen nahestehenden Personen erfolgen, gedacht ist hier etwa an ehemalige Mitarbeiter.

Umfassende Sicherheitskonzepte beschränken sich deshalb nicht auf die Abschottung gegenüber dem Internet, sondern enthalten Maßnahmen für Systeme, das Gebäude und auch für die Mitarbeiter. Welche Punkte bei der Entwicklung eines solchen Konzepts zu beachten sind, macht das IT-Grundschutzhandbuch (www.bsi.bund.de) des BSI deutlich. Es gilt mittlerweile als Standardwerk und Richtlinie zur Ermittlung des Schutzbedarfs eines Unternehmens.

Gerade in diesem Aspekt sieht Willebrand noch deutliche Defizite. "Sicherheit ist nicht produktiv, es ist häufig kein gleichwertiges Leistungsziel", stellt er fest. Entscheider in den Unternehmen zögen deshalb immer noch Projekte vor, die beispielsweise zur Ablaufverbesserung dienen. Für ausgeklügelte, angepaßte Sicherheitskonzepte seien keine Kapazitäten frei. Willebrand: "Folglich verläßt man sich auf die Technik."

Firewalls sind in diesem Kontext nur ein Baustein. Sie spielen im Zusammenhang mit Internet-Anschlüssen eine wichtige, aber nicht die alleinige Rolle. Wie wichtig zusätzliche Maßnahmen sind, zeigt sich schon daran, daß die Firewall-Hersteller zunehmend die Funktionalität ihrer Systeme um Content-Security, also beispielsweise Virenschutz, erweitern.

Je größer Sicherheitspakete, desto öfter Admin-Fehler

"Der Markt erkennt schnell fehlendes Know-how und schnürt die entsprechenden Pakete", meint Willebrand. Das ist nicht unbedingt ein Vorteil. "Je mehr Funktionalität ein Firewall-System bietet, um so größer ist die Gefahr, daß es unbeabsichtigt Sicherheitslücken aufweist, weil bei der Administration Fehler gemacht werden", gibt Articon-Mitarbeiter Lang zu bedenken. Davor könne auch die gründlichste Erstkonfiguration durch einen Fachmann nicht schützen.

Allerdings sei es wichtig, zusätzliche Schutzmechanismen zu etablieren, wenn auch nicht unbedingt direkt auf der Firewall. Auf jeden Fall gehören dazu Virenschutzsysteme, und zwar am Internet-Gateway, ergänzend zu den Viren-Scannern auf Desktops und File-Servern. Daß Active-X-Controls nicht über das Internet ins Unternehmen gelangen sollen, empfehlen Sicherheitsexperten sowieso. Bei Java ist es Ermessenssache.

Die Kopfarbeit besteht in Sicherheitsbedarfsanalysen_VS:Beim BSI, das die Risiken ausführbarer Web-Contents untersucht hat, werden beispielsweise Java-Applets, Java-Scripts und Active-X-Controls abgeblockt. Wird Java zugelassen, sind entsprechende Filterprogramme wie das von Finjan zu empfehlen. Ob Authentifizierungs- und Verschlüsselungslösungen oder digitale Signaturen eingesetzt werden, hängt vom Einsatzfeld der Datenkommunikation ab.

Willebrand meint: "E-Mails bieten eine relative Unsicherheit, wie sie auch beim normalen Briefverkehr gegeben ist. Es geht also immer um Abstufungen und die dem Sicherheitsbedarf entsprechenden Maßnahmen." Und da sind BSI und Articon sich einig: Die muß ständig in Form von Penetrationstests oder Security Audits überprüft werden. Die Software selbst ist allerdings grundsätzlich erst der zweite Schritt - allem voran steht die Kopfarbeit in Form durchdachter unternehmensweiter Schutzbedarfsanalysen.

Angeklickt

Der Run auf die Firewall-Systeme dürfte nach den Voraussagen von Marktanalysten vorerst anhalten. Diese Sicherungssysteme gehören mittlerweile zur Standardausstattung für jedes Unternehmen, das sein Netz ans Internet anschließt. Ein zentraler Internet-Anschluß ohne entsprechende elektronische Riegel wird meist von vornherein ausgeschlossen. Aber ein Firewall-System ist keine Wunderwaffe gegen jeden erdenklichen Angriff auf die internen Systeme und Daten. Anwender sollten sich nicht in Sicherheit wiegen; gerade Besonderheiten bei der Installation bieten Fehlerquellen und sind folglich Hintertürchen für Eindringlinge.

*Stefanie Schneider ist Inhaberin der Message Medienagentur in Ismaning.