BURSCHEID: Das Internet boomt. Daten- und Telekommunikationsnetze wachsen zusammen, gleichzeitig verschmelzen Telekommunikation und Internet zu einem einzigen Medium. Auch für IT-Händler wird diese Entwicklung Veränderungen innerhalb der Beziehungen zu Kunden sowie in ihrem Produkt- und Leistungsspektrum mit sich bringen. Das glaubt zumindest Jürgen Borsing*.Rund 40 Millionen Anwender nutzen derzeit bereits die bequeme und einfache Form elektronischer Datenübermittlung - Tendenz steigend. Dieser Trend setzt sich immer schneller in allen Wirtschaftsbereichen fort, in denen EDV täglich zum Einsatz kommt. Der User wird aus diesem Grund in Zukunft sicherlich in zunehmendem Maße mehr Überblick über Produktangebot, Leistungen und Services in diesem Bereich fordern. Denn:
- Immer mehr Recherchen finden im Internet statt.
- Der immer komplexere Workflow kann schnell und effizient gestaltet werden.
- Produktionsprozesse lassen sich dezentralisieren.
- Reaktionszeiten können deutlich verkürzt werden.
- Mehr Kommunikation erfolgt in kürzerer Zeit.
- Informationen aller Art stehen aktuell zur Verfügung.
- E-Mails erreichen jeden noch so abgelegenen Anwender.
- Internet-Telefonie ermöglicht weltweite Calls zum Ortstarif.
Ungeachtet der Faszination, die die neuen Kommunikationstechnologien ausstrahlen, und der damit offensichtlich verbundenen Vorteile, betrachten die Netzwerk-Administratoren der Unternehmen das Internet oftmals mit mehr oder weniger gemischten Gefühlen. Mit Recht, zumal die meisten Unternehmen mit sensiblen Daten arbeiten, die nicht für die Öffentlichkeit bestimmt sind, wie zum Beispiel Forschungs- oder Personaldaten.
Während der Heimanwender gewissermaßen sorglos in die Online-Welt spazieren kann, bauen die Unternehmen nur unzureichend gesicherte
Türen in ihre Unternehmenskommunikation ein. Sind diese Türen einmal aufgestoßen, schwappt die Internet-Flutwelle ungehindert ins Unternehmensnetz. Die gewünschte Umsatz-steigerung durch die Erschließung neuer Märkte kann sich da sehr schnell ins Gegenteil verkehren und zu nicht unerheblichen finanziellen Nachteilen oder Verlusten führen. Denn durchschnittlich zwölf Minuten, nachdem das Firmennetz online geschaltet wurde, versucht bereits der erste Hacker an die Daten zu gelangen!
Sicherheitstools sind gefragt
Die Täter gehen oft aus "sportlichem Ehrgeiz" mit automatisierten Methoden auf "Einbruchstour". Leider sind immer häufiger auch Profis im Auftrag unterwegs und entwenden ganze Entwicklungen oder sabotieren einfach nur die Rechner der Konkurrenz, etwa per Löschvorgang oder Verbreitung von Viren. Das alleinige Liefern spezieller Hardware durch Händler wird dem beschriebenen Trend nicht mehr gerecht. Neben der Versorgung mit Hardware sind vielmehr Beratung und Support im Hinblick auf die vielen möglichen Produkte und Systeme in zunehmendem Maße gefragt. Dies gilt im besonderen für die Frage nach der Sicherheit von Netzwerken. Hier sind Wiederverkäufer von Sicherheitstools, die in der Regel besonders erklärungsbedürftig sind, im Zugzwang. Mit Consulting für diesen Bereich im Leistungsangebot können sie sich zusätzlich bei ihren Kunden profilieren. Entweder schulen sie sich selbst, um Kunden die notwendige Supportleistung erbringen zu können, oder bringen Partner mit ins Spiel, die diesen Service abdecken.
Als Beispiel hierfür können Firewall-Systeme genannt werden, die in folgendem ausführlicher beschrieben werden.
Eine Firewall alleine schützt aber noch nicht. Erst die richtige Implementierung innerhalb des zu schützenden Rechnersystems bringt die erwarteten Funktionen. Das sind neue Service- und Beratungsleistungen, die von Händlern immer stärker gefordert werden. Für manche sicherlich ein erheblicher Mehraufwand. Der Vorteil liegt jedoch in der neuen Möglichkeit, neben der reinen Hard- und Software genau diese Dienstleistungen mit verkaufen zu können. Kein unerheblicher Faktor, bedenkt man die entstehende Kundenbindung durch langfristige Beratungen. Hier liegen noch Potentiale für den einzelnen Händler oder das Systemhaus, sich von der Konkurrenz deutlich abzuheben - somit auch zusätzliche Margen, wenn die Produktpalette schon lange die gleiche ist.
Die Gefahren des Datenklaus
Doch Sicherheit hat ihren Preis. Neben den tatsächlichen Anschaffungs- oder Wartungskosten müssen in diesem Zusammenhang oftmals auch Zugriffsrechte einzelner Mitarbeiter beschränkt werden, was eine Einschränkung von Prestige und Bequemlichkeit bedeutet.
Laut einem Report der Gartner Group zum Thema "Datensicherheit" war die Gefahr des Datenklaus über das Internet noch nie so aktuell wie heute, ja, sie wächst sogar ständig weiter. Die NCSA (National Computer Security Association) ermittelte eine achtmal höhere Gefahr des Datenraubs gegenüber Netzen ohne Internet-Anbindung. Während im firmeneigenen Netz grundlegende Sicherheitssysteme wie
- Datensicherung (Backup-Lösungen),
- Unterbrechungsfreie Stromversorgungen (USV) sowie
- Redundante Systeme (Backup-Server, Festplatten-RAIDs)
als selbstverständlich anerkannt und eingesetzt werden, werden mangelndes Sicherheitsbewußtsein oder Versäumnisse bei der Konzeption des Internet-Zuganges zum automatischen Türöffner und gefährden die vorher so aufwendig gestaltete Datenintegrität.
Wichtig ist nicht nur die einzelne Schutzeinrichtung, wie etwa das eingesetzte Firewall-System, sondern ein umfassendes Sicherheitskonzept, das nach verschiedenen Methoden arbeitet. Dazu gehören Firewall-, Authentifizierungs- und Verschlüsselungs-Systeme genauso wie Virenschutz oder Security audit tools. Solche Sicherheitssysteme kosten dabei meist richtig viel Geld. Wenn ein Unternehmen schon bereit ist, soviel zu investieren, dann sollte sich der Verantwortliche über das tatsächliche Bedrohungspotential aus dem Internet bewußt sein, um eine individuell passende Lösung zu finden. Für einen besseren Überblick werden daher nachfolgend einige Varianten für den Datenschutz vorgestellt.
Definition und Aufgaben eines Firewall-Systems
Richtig konzipiert und implementiert kann eine sogenannte Firewall eine unüberwindbare Hürde für Hacker darstellen. Sie sollte somit wesentlicher Bestandteil eines professionellen Sicherheitskonzeptes sein. Eine Firewall kann außer zur Sicherung des internen, firmeneigenen Netzes (Lan - Local area network) auch als Wächter beim Betrieb eines privaten virtuellen Netzwerkes über das Internet dienen, bei dem Geschäftspartner oder Außendienstmitarbeiter des Unternehmens gemeinsam in einem Netz arbeiten - auch in unterschiedlichen Netzen von verschiedenen Standorten aus.
Firewalls haben die Funktion, das Lan gegenüber dem Internet abzugrenzen und damit die Privatsphäre des Unternehmens zu schützen. "Firewall" ist ein Begriff, der nicht direkt ein Gerät oder Produkt bestimmt, sondern eher ein Konzept oder eine Summe von verschiedenen Systemen darstellt, welche einen sicheren Zugang vom und zum Internet ermöglichen. Der Markt bietet viele verschiedene Firewall-Konzepte, die meist aus einer Kombination von Routern und verschiedenen Softwareprodukten bestehen. Die Kosten für solche Konzepte schwanken erheblich, je nach Art und Umfang des abzusichernden Netzwerkes.
Grundsätzlich filtern Firewalls alle ein- und ausgehende Datenpakete nach Art, Herkunft und Zielort und entscheiden dann, ob die Daten passieren dürfen oder abgewiesen werden. Dadurch werden nicht authentisierte und autorisierte Zugriffe auf das Lan verhindert. Außerdem wird ein gesteuerter Zugriff auf verteilte Datenbestände und Netzwerkressourcen ermöglicht, und das bei gleichzeitiger Protokollierung sämtlicher Zugriffsaktivitäten mit natürlich automatischer Alarmierung des Administrators. Durch diese Mauer wird die interne Netzstruktur verborgen und so die Aufdeckung weiterer eventueller Sicherheitslücken erschwert.
Verschlüsselungs-Systeme für sichere Datenübertragung
Zur Steigerung der Sicherheit werden sogenannte Authentifizierungs- und Verschlüsselungsmechanismen am besten mit implementiert. Solch kryptisierende Methoden bestehen aus einem Algorithmus und einem Schlüssel. Der Algorithmus bestimmt die Qualität der Methode. Viele der komplexeren Varianten stammen ursprünglich aus der militärischen Anwendung. Der Schlüssel ist eine frei wählbare Zahlenkolonne, für die gilt: je länger desto besser. Beim Knacken eines Codes wird versucht, den Schlüssel zu bestimmen. Unterschiedliche Algorithmen erfordern dabei unterschiedliche mathematische Vorgehensweisen.
Zusätzlich sorgen Encryption-Systeme (Verschlüsselung) für eine sichere Datenübertragung im Firmennetz sowie beim Übergang zum Internet, indem sie die Daten über einen speziellen Algorithmus durch systematisches Vertauschen, Vermischen oder Hinzufügen von Zeichen in ein nicht lesbares Format übersetzen und damit vor eingedrungenen Hackern schützen. Um wieder Zugang zu diesen Daten zu erhalten, ist wiederum ein individueller Geheimschlüssel notwendig. Einen gravierenden Schwachpunkt jedes Sicherheitssystems stellen allerdings die Benutzerkennwörter dar. Einmal offengelegt, bricht jedes Firewall-System wie ein Kartenhaus zusammen. Klassische Mehrfachpaßwörter sind hier also absolut ungeeignet und sollten im Firewall-System durch Einmal-Kennwörter wie beispielsweise die BTX-Tans (Transaktionsnummern beim Homebanking) ersetzt werden. Damit dem Anwender das sonst übliche manuelle Ausstreichen des verbrauchten Kennwortes erspart bleibt, würden sich hier kreditkartenähnliche "Cryptocards" anbieten, die sowohl das Kennwort automatisch im Minuten-Rhythmus ändern als auch individuell auf einen Benutzer abgestimmt sind und dazu bei Verlust sofort gesperrt werden können.
Sensible Daten müssen bei der Nachrichtenübermittlung den Ansprüchen nach Originalität, Vertraulichkeit und Integrität genügen. Es gibt gute kryptographische Methoden, die diesen Anforderungen gerecht werden. Der Grad an Sicherheit besteht vom Sender bis zum Empfänger, ist also unabhängig von zwischenliegenden Systemen. Endgültige Sicherheit kann aber auch hier nicht garantiert werden. Der Aufwand, der jedoch getrieben werden muß, um einen erfolgreichen Angriff durchzuführen, wird soweit in die Höhe getrieben, daß der Nutzen in keinem sinnvollen Verhältnis mehr steht. Während der Authentifizierung wird die Identität des Benutzers, also sein Name und sein Kennwort, sowie der Standort beziehungsweise die Netzwerkadresse/IP-Adresse (Internet Protocol) überprüft. Anschließend wird über die Autorisierung eine Zugriffssteuerung auf Netzwerkdienste und -ressourcen ermöglicht.
Blick in die Zukunft
Systeme für Authentifizierung zeichnen sich aus durch Paßwort-Vergabe wie beispielsweise Einmal-Paßworte oder Token Card. "Intelligente" Chipkarten in Form von Smart Cards werden in diesem Zusammenhang stark an Bedeutung gewinnen.
Bei der Frage nach der Sicherheit im Netz sollte in jedem Falle eine Kosten/Nutzen-Rechnung aufgestellt werden, damit die Schutz-Investitionen den wirtschaftlichen Nutzen des Internet-Zuganges nicht übersteigen. Damit sich hier keine Fehlinvestitionen einstellen, sollte ein sauberes Sicherheitskonzept für die jeweilige Unternehmensstruktur mit Vorgaben für die Auswahl der notwendigen
Systeme erstellt werden. Wer als Händler auf der Internet-Welle "mitschwimmen" will, sollte sich am besten an einen erfahrenen Sicherheitsexperten wenden, der auch auf zukünftige Veränderungen der Sicherheitsthematik prompt und angemessen reagieren und das System aktualisieren kann. Herstellerunabhängigkeit gewährleistet, daß individuelle Sicherheitslösungen für ein Unternehmen realisiert werden können.
* Der Autor, Jürgen Borsing, ist Geschäftsführer der hersteller-
unabhängigen Comcad GmbH in Burscheid, die sich auf Consulting
sowie Projektmanagement für Sicherheitslösungen im Netz
spezialisiert hat. (www.comcad.de)