Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

12.01.2007

Löcher im Perimeter

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Ein sicheres Netz muss an allen Endpunkten abgesichert werden. Doch gerade diese werden immer durchlässiger.

Die grundlegende Aufgabe der IT-Sicherheit ist es, das eigene Unternehmensnetz gegen Bedrohungen jeder Art abzusichern und alle Einfallstore für böswillige Mitmenschen zu schließen. Das Netzwerk hat üblicherweise zwei neuralgische Punkte: den Perimeter und die Clients. In einem gut geschützten Netz wurde am Perimeter eine Verteidigung auf Port-Ebene etabliert, an den Clients tat signaturbasierender Virenschutz sein Übriges.

Mehr zum Thema

www.computerwoche.de/

581262: Lösen Appliances Security-Probleme?

578038: Der Feind in meinem Netz;

577200: Die Bedrohung kommt von innen.

Hier lesen Sie ...

• warum bisherige Schutzmechanismen allein nicht mehr greifen;

• mit welchen Methoden Angreifer problemlos ins LAN eindringen können;

• welche Schutzmaßnahmen das LAN absichern.

Die Zeiten haben sich geändert - und zwar grundsätzlich. Die vielleicht gravierendste Neuerung ist, dass es IT-Sicherheitsverantwortliche heute mit Profis aus dem kriminellen Milieu zu tun haben. "Wir sehen ein zunehmend feindliches Umfeld, angetrieben durch finanziell motivierte und zielgerichtete Cyber-Angriffe", stellte beispielsweise Gartner fest. "Bis zum Jahr 2008 werden unserer Schätzung nach 40 Prozent aller Organisationen von finanziell motiviertem Cyber-Crime betroffen sein."

Mit den Angreifern werden auch die Angriffsmethoden professioneller. Der Perimeter als elementare Schutzschicht zwischen LAN und dem Rest der Welt wankt, so Gartners Prognose: Bis Ende 2007 werden laut den Marktforschern 75 Prozent aller Unternehmen mit finanziell motivierter, zielgerichteter Schadsoftware infiziert sein, die nicht erkannt wird und an den Perimeter- und Host-basierenden Schutzmechanismen vorbei ins Unternehmen gelangt.

Profis finden einen Weg

Auch wenn E-Mail noch immer das Hauptangriffsmittel ist, bedienen sich die Profis perfiderer Methoden, um den Weg ins LAN zu finden. Dazu gehört Social Hacking, das weder durch Port-Scanning noch durch signaturbasierende Abwehr zu erkennen ist. Doch nicht nur Massenspeicher wie CDs, USB-Sticks oder MP3-Player können Schadcode

an den Schutzvorkehrungen des Perimeters vorbei ins Unternehmen tragen. Der Perimeter

selbst bekommt immer mehr Löcher. So kann Peer-to-Peer-Software kaum mehr durch Firewalls davon abgehalten werden, Kontakt zum Internet aufzunehmen. Im schlimmsten Fall ist eben die Performance der Software nicht optimal. Und auch WLAN-Access-Points, die zum Beispiel von Mitarbeitern entgegen allen Richtlinien aufgestellt werden, schwächen die vorderste Verteidigungslinie.

Mehr Sicherheit am Client

Die Grenzen Port-basierender Schutzmechanismen erzwingen eine Änderung im Verteidigungsparadigma: Lag bislang die Priorität beim Schutz am Perimeter, muss heute dem anderen Endpunkt des LAN besondere Aufmerksamkeit zugewandt werden - dem Client. Ein zunehmend wichtiges Instrument sind die manchmal noch als Spielerei belächelten Personal Firewalls. Diese bieten fast durchweg die Möglichkeit, Anwendungen pauschal zu blockieren - da die Personal Firewall auf dem PC direkt läuft, muss sie sich nicht wie ihr Netzpendant auf den Datenstrom beschränken. So dürfen nur explizit dafür freigegebene Programme Kontakt zum Internet aufnehmen. Schädlinge wie Trojaner oder unerwünschte Software werden davon abgehalten - weitaus zuverlässiger, als das mit Port-basierendem Firewalling möglich wäre.

"Auf der Client-Seite genügt heute der Schutz gegen Malware auf Signaturbasis nicht mehr", erläutert Peter Klein, Presales Engineer von Security-Anbieter F-Secure. "Um das Unternehmensnetz an den Endpunkten abzusichern, sind Technologien wie Sandboxes notwendig, die unbekannten Code zunächst in einer gesicherten Umgebung ausführen und auf Schadroutinen prüfen." Erst die Verbindung aus Signaturen, Heuristik, Sandbox und Personal Firewall könne die Sicherheitslücken am PC laut Klein schließen. Noch komplexer ist der Schutz am Perimeter, der bei allen neuen Bedrohungen des LAN nicht an Bedeutung verloren hat: E-Mail-Gateways mit Spam- und Malware-Filter sollten ebenso selbstverständlich sein wie Firewalls, kritische Daten müssen zusätzlich mit Intrusion-Prevention-Systemen überwacht werden. Doch ein zentrales Problem bei Netzwerksicherheit bleibt auch mit der mächtigsten Technologie bestehen: "Viele Gefahren können technisch nicht erkannt werden", so Klein. "Erst ein Mix aus Technologien, hausinternen Richtlinien und Anwenderschulung schützt das LAN." (mb)