FEUCHT: Die Datensicherheit in Netzen ist für Olaf Salzer* keineswegs nur eine Frage der Technik. Vielmehr kommt es auf eine individuelle Beratung des Kunden an.Der erste Schritt ist dabei die Erarbeitung eines Policy Statements zusammen mit der Geschäftsleitung des betroffenen Unternehmens. Dieses Statement dient als Grundlage der eigentlichen Analyse und beinhaltet eine Willens- beziehungsweise Absichtserklärung zu sicherheitsrelevanten Themen. Die Analyse selbst ist abhängig von Struktur und Größe des Unternehmens, der Einbindung des Internets in die Geschäftsprozesse (direkt oder indirekt als Übertragungsmedium von Daten) und dem objektiven Bedarf an Sicherheit. Das Ergebnis stellt den Handlungsbedarf des Unternehmens dar und gilt als Grundlage für die organisatorische und technische Umsetzung.
Pauschal kann davon ausgegangen werden, daß 65 bis 80 Prozent der Angriffe auf ein Firmen-Netzwerk von Innen oder mit Hilfe interner Informanten durchgeführt werden, das größte Risiko verbirgt sich also im eigenen Haus. Hier muß als erstes angesetzt werden. Es gilt die Regel: Ein Benutzer darf zunächst einmal gar nichts. Rechte auf Daten und Dienste müssen genau geprüft und sorgfältig gesichert zugeteilt werden.
Angriffe von innen
Auch der infrastrukturelle Aufbau eines Intranets kann Angriffe verhindern. Die Möglichkeit, Paßwörter oder sicherheitsrelevante Informationen abzuhören, ist um so größer, je flacher und unstrukturierter ein Netzwerk aufgebaut ist. Bei voll geswitchen Netzen minimiert man dieses Risiko, da nur der eigene Strang beobachtet werden kann.
In einigen besonderen Fällen besteht auch die Notwendigkeit, interne Server mit einer Firewall vor den internen Mitarbeitern zu schützen. Es gilt aber: Wenn Daten niemandem zugänglich sein sollen, dann gehören sie nicht auf einen Rechner mit Netzwerkzugang
(und dieser gehört natürlich auch nicht in einen ungesicherten Raum).
Gefahr von draussen
Bei der Minimierung des Risikos durch Angreifer von Außen ist eine exakte Bewertung des Gefahrenpotentials nur schwer möglich. Denn wer sich im oder über das Internet bewegt, ist grundsätzlich gefährdet. Mit der heutigen Technik und einer entsprechenden Organisation läßt sich jedoch ein hohes Maß an Sicherheit garantieren. Auch hier darf der Benutzer prinzipiell erst einmal gar nichts.
Für die meisten Firmen beginnt der Weg ins weltweite Netz mit dem E-Mail-Dienst. Daß bereits hier Gefahren lauern, ist vielen nicht bewußt. Dabei geht es nicht nur um die Attachements an den elektronischen Briefen, sondern auch um die Inhalte der nach außen geleiteten Post. Der Einsatz Content-Security-Produkten gewinnt hier zunehmend an Bedeutung. Dabei werden die Mails auf ihren Inhalt kontrolliert, um zu verhindern, daß bestimmte Daten das Haus verlassen.
Wenn man es den Mitarbeitern ermöglicht, noch weitere Dienste wie WWW, Newsgroups oder FTP zu nutzen, dann steigen gleichzeitig auch die Gefahren. Für die Sicherheit ist dabei weniger bedeutend, ob das Unternehmen einen eigenen Web-Server betreibt, da dieser sich logisch außerhalb des hausinternen Netzwerkes befinden und extra geschützt werden sollte.
Gut kombiniert ist halb gewonnen
Um Gefahren abzuwehren, bietet sich vor allem eine durchdachte Kombination von Hard- und Software an. Hardware bezieht sich auf die verwendeten Router und Firewall-Rechner, Software auf das entsprechende Betriebssystem, die Firewall selbst und die dazugehörenden Security-Produkte. Dabei ist es wichtig, immer auf dem laufenden zu bleiben und entdeckte Sicherheitslücken zu schließen.
Als Fazit läßt sich festhalten: Nicht viel und teure Technik sichern ein Netzwerk, sonder ein durchdachtes, organisatorisch-technisches Gesamtkonzept, das mit den entsprechend qualifizierten Partnern erstellt und gelebt werden muß.
* Oliver Salzer ist Projektleiter bei der Isonova GmbH in Feucht.