MÜNCHEN: Sicherheit ist vielleicht das wichtigste Thema für IT-Manager in den kommenden Jahren. Je mehr sich die Idee des "virtuellen Unternehmens" Bahn bricht, desto höher werden die Anforderungen an die Datensicherheit, wie Autor Richard Hellmeier* schreibt.Virtuelle Unternehmen entstehen über ein sogenanntes VPN ("Virtual Private Network"), dessen Planung die IT-Manager vor zwei Herausforderungen stellt: Investitionsschutz zu gewährleisten und gleichzeitig den Zugriff von Hackern auf unternehmenskritische Informationen zu verhindern. Dies gilt insbesondere für eines der wichtigsten Elemente einer VPN-Architektur, die Firewall.
Das Internet kennt keine Privatsphäre. Es gibt keinen "natürlichen" Schutz für vertrauliche Daten, und bei der Informationsbeschaffung ist jedes Mittel erlaubt. Was den einen der Gipfel der Demokratie, die Ankunft einer weltweiten Zivilgesellschaft, ist für den anderen ein Alptraum. Denn Offenheit impliziert auch immer Verletzbarkeit. Dies gilt sowohl für Privatleute, die im Internet einkaufen gehen wollen, als auch und in besonderem Maße für Unternehmen. Denn letztere stehen in einem Wettbewerb um die besseren Informationen, und dies um so mehr, je höher der Wissensanteil an den entwickelten Produkten ist. Der Schutz der eigenen Informationen ist für Unternehmen also überlebenswichtig.
Herausforderungen: Komplexität der Aufgaben und Netzwerke
Unternehmen werden immer virtueller. Dies gilt sowohl für unternehmensinterne Abläufe als auch für den Produktvertrieb. Über Dokumentenmanagementsysteme, Groupware- und Workflow-Lösungen sowie Wissensmanagementsysteme erhalten potentiell alle Mitarbeiter Zugriff auf das gespeicherte Wissen der Firma. Es bilden sich virtuelle Projektteams, die im Unternehmensnetz eigene geschützte Räume erhalten, in denen sie Ideen, Informationen und Konzepte austauschen.
Das Ganze spielt sich aber nicht mehr innerhalb eines physisch existierenden und deshalb relativ leicht zu schützenden Lans ab. Vielmehr erfolgt der Informationsaustausch zwischen Zentrale und Tochtergesellschaften oder Home Offices, und dies immer öfter zeitzonen- und ortsunabhängig, über VPNs. Diese VPNs werden meist über das Internet aufgebaut, da die Errichtung einer eigenen Netzwerkarchitektur in der Regel mit höheren Kosten verbunden ist.
Die Komplexität der mit Hilfe des Unternehmensnetzes zu bewältigenden Aufgaben, aber auch der Netzwerkarchitektur selbst zwingt IT-Manager immer häufiger, in strategischen Begriffen wie Spionage, Sabotage oder Abwehr von Eindringlingen zu denken und die entsprechenden Schutzmechanismen zu beschaffen.
Doch wer die Wahl hat, hat die Qual. Viele Anbieter versprechen maximalen Schutz, doch nur diejenigen Produkte, die mit der oben beschriebenen Komplexität der Aufgaben und Netzwerke zurechtkommen, können das Versprechen halten. Dabei stehen vor allem zwei Kriterien im Vordergrund: Flexibilität und Vielseitigkeit der Lösung einerseits und die Integrationsfähigkeit in die bestehende IT-Struktur des Unternehmens andererseits.
VPN: Definition und Architektur
Ein VPN benutzt ein physikalisches Netzwerk, das mehr oder weniger öffentlich zugänglich ist (zum Beispiel Internet), und baut darüber ein eigenes Netzwerk auf, zu dem die Benutzer des restlichen Netzwerkes keinen Zugang haben. Damit kann vorhandene Infrastruktur wie das Internet benutzt werden, ohne ein eigenes globales Netzwerk aufbauen zu müssen. Gleichzeitig läßt sich das eigene Netzwerk vor dem Zugriff unberechtigter Benutzer und Hacker schützen. Verschiedene Mechanismen wie Authentisierung, Verschlüsselung und Tunneling machen es Hackern unmöglich, in dieses geschlossene Netzwerk einzudringen und Informationen zu beschaffen.
Ein solches Netzwerk besteht auf der zentralen Seite aus einem Einwahlknoten, meist einem Remote-access router mit dem dahintergeschalteten Netzwerk, und den entsprechenden Netzwerkservern. Dieses zentrale Netzwerk muß grundsätzlich durch eine Firewall abgesichert sein. Auf der Gegenseite befindet sich entweder ebenfalls ein Netzwerk mit einem entsprechenden Remote-access-router oder kleinere Netzwerke und Einzelplätze mit Modems und kleinen ISDN-Routern.
VPN: Sicherheitsstufen auf der Zugriffsseite
Zugriffskontrollen in VPNs sind auf mehreren Stufen möglich. Die Bandbreite reicht von der Paßwortkontrolle bis zur genauen Identifikation des anwählenden Gerätes oder Anwenders. Bei direkter Einwahl in das Unternehmen über das PPP-Protokoll
(Point to point-Protocol) kommen sowohl der PAP- (Point Authorization Protocol) als auch der CHAP-Mechanismus (Challenge Handshake Protocol) zum Einsatz. Bei PAP wird das angegebene Paßwort mit dem Eintrag unter der User-ID verglichen und bei Übereinstimmung der Zugriff ermöglicht. Bei CHAP werden die Paßwörter verschlüsselt übertragen und gegenseitig geprüft.
Eine weitere Möglichkeit zum Schutz vor unbefugtem Zugriff ist die Token-Variante. Hierbei wird nicht nur der Einwahlrouter geprüft, sondern auch der entsprechende Nutzer. Dabei verwendet der autorisierte Benutzer eine Tokenkarte mit Pin und Display, das minütlich eine neue Zahlenkombination anzeigt. Die Daten dieser Karte werden übertragen und zur Benutzeridentifikation mit den Daten des Security Servers verglichen. Natürlich muß der entsprechende Router diese Produkte unterstützen.
Neben der Identifikation benötigt man noch das Tunnelling, den Transport von Informationen in einem sogenannten Tunnel. Die übertragenen Informationen werden dabei vom übrigen Netzwerkverkehr ferngehalten, und die Daten können nur über den Tunnel geleitet werden - von dessen Anfang (Firewall, Router oder Arbeitsplatzrechner) bis zu seinem Ende (Firewall, Router oder Server). Es ist nicht möglich, Daten von außerhalb des Tunnels zu lesen oder Daten in den Tunnel einzubringen. Die Pakete werden in das Tunnelprotokoll eingebunden ("Encapsulation"). Zusätzlich sollte die Information noch verschlüsselt ("encrypted") werden, um auch ein Mitlesen unmöglich zu machen.
Leider gibt es momentan verschiedene Tunnelprotokolle: Zum Beispiel ATMP von Ascend, PPTP (Point to Point Tunnelling Protocol) von Microsoft, L2F (Layer 2 Forwarding Protocoll von Cisco), das von Linux verwendete CIPE (Crypto IP Encapsulation) sowie Swipe und IPSec (IP Security). Letzteres, das für Authentifizierung und Verschlüsselung im Internet zuständig ist, ist der Standard, auf den sich in absehbarer Zeit wohl die meisten Firewallhersteller einigen werden. PPTP hingegen stellt einen direkten Tunnel vom Remote-Arbeitsplatz über die Router in den Windows-NT-Server her. NT regelt mithin die komplette Verwaltung, die daher auf die Microsoft-Plattform beschränkt ist.
Neben der Plattformunabhängigkeit sollten IT-Manager bedenken, daß Firewalls auch auf Applikationsebene genügend Schutz gewähren. Denn die meisten Attacken auf unternehmenskritische Informationen erfolgen im Datenstrom der Anwendungen und können mit reinen Packet- filtering-Systemen nur in den seltensten Fällen entdeckt werden.
Die Aufgaben der Firewall in einem VPN
Die Firewall hat die Aufgabe, das VPN selbst überhaupt bereitzustellen und den Verkehr zum VPN-Server weiterzuleiten. Des weiteren hält die Firewall den restlichen Datenverkehr vom Unternehmensnetzwerk fern beziehungsweise leitet ihn auf öffentlich zugängliche Server um. Den vom Systemadministrator definierten Regeln gehorchend gewährt die Firewall den internen Nutzern den Zugriff auf das Internet und erlaubt ihnen, Daten im VPN zu übertragen.
Fazit
VPN steht für eine gesicherte Übertragung von Daten und ein globales Netzwerk für alle Mitarbeiter, Zweigniederlassungen, Kunden und Lieferanten. Wichtig ist dabei, daß die Hard- und Softwareausstattung eine Migration in die letzte Ausbaustufe des VPN zuläßt. Gerade vor diesem Hintergrund aber sollten IT-Manager Firewalls von denjenigen Herstellern wählen, deren Produkte plattformunabhängig sind, die entsprechenden Tunneling-Protokolle unterstützen und darüber hinaus auch Zugriffssicherheit auf Anwendungsebene bieten.
Ohne Authentisierung, Verschlüsselung und Tunneling kein VPN, schreibt CV-Vorstand Hellmeier.
*Richard Hellmeier ist Vorstandsmitglied der Computerlinks AG in München