Sicherung der Informations- und Kommunikations-Infrastruktur ist mittlerweile Topthema in den Unternehmen. Immer ausgefeiltere Attacken von Viren, Trojanern, Spammern oder Phishern prägen den Alltag der Netzwerkverantwortlichen.
Eine breite Fülle von Maßnahmen ist nötig, um Eindringlingen den Riegel vorzuschieben und eine Verseuchung der Netzwerke zu verhindern. Security-Appliances helfen aus dieser Komplexitätsfalle, glaubt Frank Kölmel, Sales Director Central und Eastern Europe bei Secure Computing.
Ein weites Bedrohungspanorama
Gemeinsames Ziel aller Angreifer ist das Überwinden von Sicherheitsmaßnahmen, das eigentliche Motiv ist aber ein anderes. Hacker reizen vielmehr die Folgen ihrer Handlungen, sei es dass sie sich durch ihre Aktion bereichern, sich persönliche Vorteile verschaffen oder Rachegefühle ausleben.
Die meisten Angriffe beginnen mit dem Sammeln von Informationen über das Zielobjekt. Dies erfolgt einerseits auf technischem Wege. Man scannt Ports, schleust Spyware in das Unternehmensnetz ein, hört Verbindungen ab oder wirft Phishing-Mails als Angelhaken für vertrauliche Zugangsdaten aus.
Nützliche Informationen werden aber auch durch "Social Engineering", also durch das Aushorchen von Mitarbeitern in Erfahrung gebracht. Ebenso bieten auf Papier notierte oder allzu offensichtlich gewählte Passwörter den Spionen ein gefundenes Fressen.
Der nächste Schritt ist das Eindringen in Rechnersysteme. Oftmals werden Verbindungen übernommen (Hijacking), um unter der Identität eines rechtmäßigen Nutzers auf lokale Server zugreifen zu können. Diese Maschinen sind aus Bequemlichkeit im internen Netz häufig völlig frei zugänglich. Für weitere Spionageaktivitäten oder Manipulation ist dadurch eine optimale Ausgangsposition gegeben.
Hacker versuchen des Weiteren gerne, fremde Daten und Programme einzuspeisen, um so Sicherheitsvorkehrungen zu umgehen oder auszuschalten. Dazu bedient man sich mit Vorliebe der größten Schwachstelle jedes Sicherheitskonzeptes, nämlich des Anwenders.
Über aktive Inhalte auf Webseiten, in E-Mail-Anlagen oder als Share- beziehungsweise Freeware-Programme werden Viren, Würmer, Spyware und Trojaner auf Rechner des LANs geschleust.
Diese Malware manipuliert Daten und Software oder sendet Daten in das unsichere Netz. Raffinierte Trojaner erlauben sogar das Fernsteuern eines Rechners durch bekannte Lücken in einigen Firewall-Systemen. Mafiöse Gruppierungen verbinden so Hunderte von ferngesteuerten Rechnern und bieten die enorme Speicherkapazität dubiösen Geschäftspartnern an.
Risikofaktor Mensch
Die Sicherung der IT-Infrastruktur und der Unternehmensdaten umfasst aber nicht nur die Abwehr extern motivierter Übergriffe. Aktuelle Studien belegen, dass es oftmals die eigenen Mitarbeiter sind, die gegen den Arbeitgeber agieren. Zuletzt hat die Bank of America bekannt gegeben, dass eine Diebesbande mit Hilfe von Bankangestellten etwa 60.000 Datensätze von Kunden entwendete.
Interne kriminelle Energie kommt zudem auch bei der Nutzung illegaler Websites mit Kinderpornographie oder Ähnlichem zu Tage. Solche Aktivitäten können zu hohen Schadensersatzklagen gegenüber den Unternehmen führen. Darüber hinaus kann das Frequentieren von Internetdiensten mit Dialer-Webpages, die über eine 0190-Nummer extra Gebühren abrechnen, böse Folgen haben. Das Surfen auf Seiten mit arbeitsfremden Inhalten geht zudem zu Lasten der Netzwerkperformance.
Fundament Sicherheitskonzept
Um der enormen Vielfalt von Bedrohungsszenarien Herr zu werden, ist ein umfassendes Sicherheitskonzept unerlässlich. Dieses muss sowohl technische als auch organisatorische Vorgaben machen und sollte auf den Ergebnissen einer Bedrohungsanalyse basieren.
Ein solcher Audit startet in der Regel mit der Evaluation des Schutzbedarfes von Anwendungen, Daten, Hardware und Datenträgern. Sicherheitskritisch sind aber auch Anwender, Besitzer von speziellen Rechten sowie leitende Angestellte. Für die Analyse werden mögliche Schadenswerte geschätzt und im Anschluss Schutzziele und entsprechende Maßnahmen definiert. Generell gilt die Devise: Alles was nicht explizit erlaubt ist, ist verboten.
Schnüffler und Eindringlinge müssen draußen bleiben
Um Spionage und das Eindringen Unautorisierter in die IT-Systeme zu verhindern, sollte in einem ersten Schritt der Datenzugriff der eigenen Mitarbeiter und Partner geregelt werden. Dazu legt der Administrator Benutzerprofile an, denen er zweckgesteuert individuelle Zugangsrechte gewährt. Das LAN wird dabei mit Hilfe so genannter VLANs (Virtual LANs) segmentiert.
Autorisierungs- und Authentifizierungsprozesse können zudem sicherstellen, dass mit den digitalen Identitäten kein Schindluder getrieben wird. Die so genannte strenge Authentifizierung basiert auf zwei Komponenten: Besitz und Wissen. Weit verbreitet sind zum Beispiel Einmal-Passwort-Token oder Smartcards, die an entsprechenden Kartenterminals "gelesen" werden. Letztere arbeiten teilweise in Kombination mit biometrischen Daten.
Auch bei mobilen Geräten muss die richtige Identität gewährleistet werden. Verschiedene PDA- und Mobiltelefonmodelle werden daher schon mit einer Software ausgeliefert, die Einmal-Passwörter generiert.
Eine weitere Möglichkeit der Identitätssicherung bieten PKI-Systeme mit digitalen Zertifikaten. Die User erhalten dabei ein Zertifikat und einen privaten Schlüssel, der zu einem öffentlichen Schlüssel gehört. Mit dem privaten Schlüssel können Daten signiert oder entschlüsselt werden, die Zertifikate dienen zum Überprüfen einer Signatur und zur Verschlüsselung von Daten.
Verschlüsselung als solche ist generell eine wichtige Maßnahme, gerade wenn von außen auf das Netzwerk zugegriffen werden soll. Außendienstlern, Mitarbeitern im Home Office oder Partnern kann mit Hilfe eines Virtual Privat Networks (VPNs) und entsprechenden Verschlüsselungsprotokollen wie IPSec und SSL ein sicherer Zugang zum LAN gewährt werden.
Wie wehrt man sich vor Phishern?
Spionen, die mit Phishing-Mails sensible Daten ans Ufer ziehen wollen, kann man mit einer Handvoll wichtiger Verhaltensregeln den Riegel vorschieben. Dazu gehört, niemals Kontonummern, Passwörter oder andere geheime Daten nach einer E-Mail-Aufforderung zu bestätigen. Zudem sollten auffällige E-Mails von vertrauten Absendern verifiziert werden - zum Beispiel mit einem Telefonanruf.
Um Spionage zu unterbinden ist es zudem wichtig, den Mitarbeitern einschlägige Handlungsanweisungen vorzugeben - zur Verschwiegenheit ebenso wie zum Umgang mit Passwörtern oder externen Speichermedien wie Laptops, Smartphones, Handhelds und USB-Sticks.
Ein wichtiges "Do not!" ist zum Beispiel die Aufforderung, dass Mitarbeiter, die von extern auf das LAN zugreifen, nicht gleichzeitig einen Internet-Browser geöffnet haben. Zudem sollten stark frequentierte Hotspots wie Flughafenlounges generell gemieden werden.
Verseuchung ade
Um gegen die Verseuchung der Netze mit Daten und Programmen böswilliger Absender anzukommen, muss auf mehrere Technologien zurückgegriffen werden. Basis aller technischen Blockaden ist die Firewall, ein in der Regel einfacher Paketfilter, der die Adressierung der eingehenden Datenpakete prüft und dann nach vorgegebenen Regeln entweder zulässt oder abblockt.
Eine neuere Firewall-Technik, die Stateful Inspection, greift da weiter: Hier werden nicht nur alle ein- und ausgehenden Pakete, sondern auch Applikationen und Transportarten überprüft und verifiziert. Die gewonnen Informationen werden in einer Zustandstabelle festgehalten, so dass alle zukünftigen Übertragungen mit vergangenen verglichen werden können.
Beide Technologien weisen jedoch Lücken auf. Sie können zum Beispiel keine Denial of Service-Attacken identifizieren oder Angriffe mit bösartigen, aktiven Webinhalten wie Active-X oder Java Applets abwehren. Mit Paketfiltern untersucht man lediglich, ob Daten von einer bestimmten IP-Adresse durchgelassen werden oder nicht. Die Stateful Inspection-Technologie vergleicht zwar den Zustand und den Kontext einer Verbindung mit früher gesammelten Verbindungsdaten, ist aber gegen bösartigen Inhalt wenig gefeit.
Daher muss eine Firewall, selbst wenn sie Stateful Inspection mit einschließt, mit anderen Technologien wie zum Beispiel Anti-Viren-Filtern, Anti-Spam-Produkten und Application Proxies ergänzt werden. Nach dem Passieren der Firewall werden die Datenpakete dann an die entsprechenden "Sicherheitsspezialisten" geschickt.
Diese vielschichtige Lösung bedeutet zwar eine umfassende Abwehr, sie ist gleichzeitig jedoch sehr teuer, da zusätzliche Ausgaben für Hardware und Administration einkalkuliert werden müssen. Darüber hinaus führen Techniken verschiedener Hersteller zu einem hohen Aufwand für Installation und Integration. Auch das Patch-Management von vier bis fünf weiteren Systemen belegt enorme Ressourcen und erfordert in der Regel Security-Spezialisten.
Eine für vieles: Security Appliances
Um die Kosten niedrig zu halten und das Geräte-Management zu vereinfachen, entscheiden sich immer mehr Unternehmen für Security Appliances. Das sind leicht zu installierende Boxen, die eine Vielzahl von Abwehrmechanismen auf einer Plattform vereinen. Die Geräte bieten in der Regel unterschiedliche Firewall-Technologien auf Netzwerkebene. Zum Teil integrieren sie auch Web-Filter und Verschlüsselungsverfahren für VPNs.
Analysten schätzen, dass im Jahr 2007 etwa 80 Prozent aller Sicherheitsprobleme in Form einer Appliance gelöst werden. Als Grund wird vor allen Dingen die bequeme Installation und die verringerte Komplexität bei Verwaltung und Pflege angeführt.
Security Appliances haben in den letzten Jahren eine enorme Entwicklung durchgemacht, sowohl was die Anzahl der integrierten Technologien betrifft, als auch hinsichtlich deren Qualität. IDC definierte Ende letzten Jahres eine neue Appliance-Kategorie namens Unified Threat Management (UTM).
Die so klassifizierten Geräte bestehen aus einer Hardware mit einem eigenen gehärteten Betriebssystem und bieten neben einer bis auf die Anwendungsschicht filternden Firewall beziehungsweise einem Virenfilter auf Gateway-Ebene ein Network Intrusion Detection- und Prevention-System (IDS / IPS). Ein IPS arbeitet wie eine Horde kleiner Spione, die im Netzwerk platziert sind. Sie schnüffeln überall herum, sammeln Informationen, analysieren diese und halten sie ständig auf dem Laufenden.
Fazit
Die Sicherung von Daten und Netzwerke ist ein komplexer Vorgang, viele Faktoren müssen berücksichtig werden. Neben dem Sicherheitskonzept als Basis müssen verschiedene Technologien miteinander verzahnt werden. Der Trend geht dabei zu integrierten Security Appliances. (rw)