Security-Roundtable: Wandel der Angriffe. Zu viele einfache Einbruchswege und -werkzeuge, zu wenig Zeit, Hilfe und Wissen ? diese Hauptursachen hat der runde Tisch des Network Computing Security-Forums für die derzeitige kritische Lage beim Thema Netzwerksicherheit ausgemacht. Das externe Gefahrenpotenzial wird aber noch durch netzinterne Versäumnisse erhöht.

Security-Roundtable: Wandel der Angriffe

Autor: Michael Piontek
Alle Teilnehmer des Security-Forums der CRN-Schwesterzeitschrift Network Computing waren sich schnell einig, dass sich die Sicherheitslage in den Netzwerken in den vergangenen Monaten verschärfte. In diesem Punkt gab es zwischen Check Point, Cisco, Computer Associates, McAfee und Watchguard keinerlei Differenzen. Unternehmen jeder Größe fällt es derzeit schwerer, ihr Netzwerk zu schützen. Warum dem aber so ist, ist schwer zu erklären, denn eine einzelne Hauptursache für die Misere gibt es nicht. Vielmehr sind mehrere externe und interne Probleme dafür verantwortlich. Sie stehen in Beziehung zueinander und verhindern einfache, direkte Lösungen.

Die enorme Spam-Entwicklung der vergangenen zwölf Monate ist ein Indiz dafür, dass Teile der Hackerszene professioneller arbeiten: Bei Spam geht es um Geld, mit dem sich Spezialisten selbst finanzieren oder finanziert werden. Um Spam zu erzeugen, muss ein Versender eine Spamquelle schaffen. Da der Mailmüll illegal ist und Spammer meist keine eigenen Ressourcen besitzen oder dafür nutzen möchten, knacken sie fremde Systeme, die dann als Verteiler missbraucht werden. Anna Focks, Senior-Director EMEA bei Watchguard, ist sich daher sicher, dass der bewusst kriminell handelnde Hacker in den kommenden Monaten und Jahren häufiger in Erscheinung treten wird. Auch Arno Glompner, für McAfee beim runden Tisch, erklärt: »Es stecken mehr Aggressivität und mehr kriminelle Energie hinter den Angriffen.« Das Potenzial ist nach Meinung von Petra Jenner, Regional-Director Central-Europe bei Check Point, aber schwer abzuschätzen. Sicher sei nur, dass sich die Bedrohung dadurch definitiv vergrößert hat.

Auch Klaus Lenssen, Business-Development-Manager Security und Government-Affairs bei Cisco Systems, sieht das so: »Was wir in der Vergangenheit gesehen haben, waren im Wesentlichen Folgeschäden ungezielter Angriffe. Da ist einem Skript-Kiddy etwas entlaufen und hat massiven Schaden angerichtet.« Die nun vermehrt auftretenden professionellen Hacker suchen aber gar nicht die große Aufmerksamkeit, sondern agieren vielmehr bewusst unauffällig. Ihr Handeln ist für die betroffene Firma absolut gefährlich, alle anderen werden in der Regel von den Versuchen nicht berührt. Der Wurm eines unbedarften Saboteurs dagegen verfolgt kein einzelnes Ziel, er attackiert aber typischerweise Schwächen in Microsoft-Produkten, die weltweit am weitesten verbreitet sind.

Markus Enge von Check Point erklärt: »Jede neue Gefahrenquelle ist dank der Kommunikationsmedien schnell veröffentlicht.« Die Software-Hersteller sind im Zugzwang, möglichst rasch auf die bekannt gemachte Lücke zu reagieren. Dies tun sie einmal in Form von Patches, die den Fehler schließen sollen. Dabei geben sie unbeabsichtigt aber auch wieder Hinweise, wie die Schwäche auszunutzen ist. »Böswillige Hacker nutzen Patches, um einen Angriff zu bauen. Der Patch ist der Initiator, denn dann erst hat der Hacker das Wissen«, konnte Enge beobachten. Dieses »Reverse-Engineering« der Patches erschwert die Situation für Unternehmen noch einmal.

Uwe Martin, Senior Consultant Technical-Services-Security-Management bei Computer Associates, kennt die scherwiegenden Folgen: »Dadurch bedrohen Hacker alle Unternehmen, die Schwierigkeiten haben, bestehende Schwächen im Netzwerk zu finden und rechtzeitig zu beseitigen.« Kurzum: Die sich mit Patch-Management schwer tun.

Patch-Management als Problem

So schwierig es heute ist, alle bekannten Vulnerabilities zu schließen, so stiefmütterlich behandeln gerade Unternehmen aus dem Mittelstand dieses Thema. Die Hersteller am runden Tisch beklagen, dass bei den Firmen ein klar etablierter Patch-Remediation-Management-Prozess fehlt. Daher wissen sie nicht, welche Auswirkung fehlende Updates oder Schwachstellen auf die Verfügbarkeit ihres Geschäfts haben. Klaus Lenssen ergänzt: »Für Nimda gab es 331 Tage, bevor der Angriff startete, einen Patch im Netz. Die Unternehmen haben diesen aus verschiedenen Gründen nicht aufgespielt. Nimda konnte deshalb weltweit Schäden in der Größenordnung von fast zehn Milliarden Dollar anrichten. Man muss also durch eine Kontinuität das Zeitfenster zwischen der Verfügbarkeit des Patches und dem Aufspielen so klein halten, wie es nur irgend geht.«

Uwe Martin von Computer Associates gibt dagegen zu bedenken, dass Patches nicht das Allheilmittel sind. Denn »nur 48 Prozent der Sicherheitsprobleme auf Betriebssystem- und Applikationsebene sind durch sie lösbar. Ein Großteil wird durch das Aufheben von Konfigurationsfehlern beseitigt. Nur ein Patch-Remediation-Management-Prozess decke diese beiden Aspekte ab. Er findet die wichtigen Assets und Ressourcen im Netzwerk, benennt die jeweiligen Vulnerabilities und stößt Gegenmaßnahmen an. Dieser Prozess sollte schriftlich formuliert und durch Eskalationspläne gedeckt sein. Eine schöne Idee, die aber von der Realität weit entfernt ist. Denn nur wenige mittelständische Unternehmen haben eine ausgereifte Security-Policy aufgestellt, die erst die Grundlage für einen Eskalationsplan und Patch-Prozess legt.

Bei der großen Zahl publizierter Schwächen ist es für ein mittelständisches Unternehmen kaum möglich, das Risiko der einzelnen Verwundbarkeit für das eigene Unternehmen einzuschätzen. Eine vereinheitlichende Risiko-Matrix, die allgemein gültige Maßstäbe für so genannte Vulnerabilities und ihre Folgen festlegt, könnte helfen. Denn sie würde den Vergleich von Schwächen über Herstellergrenzen hinweg erlauben. »Die Idee eines allgemeinen Risikoindex sollte man von anderer Seite betrachten«, schlägt Petra Jenner vor. Sie appelliert an das Bundesamt für Sicherheit in der Informationstechnik (BSI) als unabhängige Instanz, mehr dieser Aufgaben zu übernehmen. Anna Focks sieht dies ähnlich: »Eine unabhängige Instanz ist entscheidend. Das würde einem mittelständischen Unternehmen mehr Ruhe, Vertrauen und Gelassenheit beim Thema Sicherheit geben. Das BSI fängt immerhin an, das Sicherheitshandbuch in einer abgespeckten 70-seitigen Version zu publizieren.«

______________________________________________

Teilnehmer des Security Forum Roundtables

Petra Jenner, Regional-Director Central-Europe bei Check Point
Markus Enge, Channel-Manager Strategic-Partner bei Check Point
Klaus Lenssen Business Development-Manager Security und Government-Affairs bei Cisco Systems
Uwe Martin, Senior Consultant, Technical-Services-Security-Management bei Computer Associates
Arno Glompner, presseverantwortlich für McAfee
Anne Focks, Senior-Director EMEA bei Watchguard