Sicherheit bringt PCs an Leistungsgrenzen
Das Gute drinnen behalten und das Böse draußen
Content Security und Verschlüsselung wachsen zu "Data Loss Prevention" zusammen. Über diesen Trend hinaus ist gerade der Content-Schutz eine Aufgabe, die den Erfindungsgeist der Anbieter und die Leistung der Computer fordert. Die Verlagerung einzelner Sicherheitsfunktionen als Service ins Netz scheint hier eine sinnvolle Möglichkeit zu sein, Kapazitätsengpässe zu vermeiden und mit den Angreifern Schritt zu halten.
Content Security bleibt ein heikles IT-Thema. Die Schwierigkeit ist, dass Technik dazu eingesetzt wird, Inhalte als "gut" oder "böse" zu bewerten. Solange es um Viren, Trojaner oder andere Malware geht, die anhand von Signaturen oder Verhaltenskriterien leicht zu erkennen ist, ist dies machbar. Sobald allerdings Content Security auch Dokumente bewerten soll, wie es etwa im Fall unerlaubter Weitergabe vertraulicher Daten oder auch nur beim Sortieren von Webseiten und Mails in "geeignete" oder "nicht geeignete" Texte der Fall ist, zeigt erstens die Computertechnik ihre Grenzen und ist zweitens die Schwelle zur Zensur und zu Datenschutzverletzungen schnell überschritten.
Hier hat die Branche inzwischen umgedacht: Die radikalen "USB-Blocker" der ersten Generation, die beispielsweise das Kopieren von Dokumenten anhand simpler Policies einfach unterbanden, wenn es ein Mitarbeiter versuchte, sind Lösungen gewichen, die Ausnahmen zulassen. Will ein Vertriebler beispielsweise eines wichtigen Geschäftsabschlusses wegen Dokumente kopieren, die im System vielleicht als "gering vertraulich" eingestuft sind, erhält er die Erlaubnis, wenn er einer Protokollierung zustimmt. Außerdem sind die meisten Systeme inzwischen in der Lage, in solchen Fällen eine obligatorische Verschlüsselung auf dem Zieldatenträger durchzusetzen - damit ein Datendieb mit seiner Beute gar nichts anfangen kann. "Datenfallbeile", die auch legitime Aktionen manchmal auf Verdacht blockierten, gehören also zum alten Eisen. Generell genießt Verschlüsselung inzwischen endlich die ihr gebührende Aufmerksamkeit und wird durch immer ausgefeiltere Lösungsansätze vereinfacht, wie die Beiträge zu Truecrypt und zur Layer-1- und -2-Verschlüsselung in diesem Schwerpunkt zeigen.
Das wohlbekannte Wettrennen zwischen Angreifern und Verteidigern im Bereich der Content Security lässt sich derweil am Schicksal der Technik des Filterns mittels Senderreputation beobachten. Abwehrsysteme gegen Spam, Malware und Phishing-Links werden dazu mit Daten über das Verhalten von Senderadressen im Internet gefüttert. Sender, die durch viele Massensendungen auffallen, ohne dass sie als Quelle bekannter Internetpublikationen bekannt sind, lassen sich so als Spam-verdächtig einstufen. "Gegen neue Spam-Kampagnen, die von Botnet-Rechnern ausgehen, sind diese Systeme oft machtlos", meint etwa Jens Freitag, Senior Technology Consultant bei Sophos. "Die Identifikation von Botnet-Rechnern wird auch dadurch erschwert, dass vor allem private Internetnutzer bei jeder Einwahl über ihren Provider eine neue, dynamische IP-Adresse zugewiesen bekommen und die infizierten Rechner meist nur wenige Minuten aktiv sind. Oft werden sie nur ein einziges Mal für gezielte Attacken genutzt." Reputationsdaten über derart kurzfristig aktive Computer lassen sich nicht aufbauen.
All dies bedeutet nicht, dass Reputationsfilter überflüssig werden, aber es wird erneut die Entwicklung weiterer Abwehrtechniken und deren Integration in die Filter notwendig. Bei Sophos setzt man darauf, alle Anfragen am E-Mail-Gateway zu überwachen und E-Mails auszusortieren, die Anzeichen für Verbindungen zu Botnets aufweisen - etwa, weil sie von dynamischen IP-Adressen stammen. "Zusätzlich zum IP-Blocking werden diese bereits auf Verbindungsebene mehreren DNS-Checks unterzogen", führt Freitag aus. Außerdem achtet man auf Verbindungsanfragen, die nicht RFC-konforme und somit verdächtige HELO- oder EHLO-Argumente verwenden, und weist sie ab.
Weitere Baustellen der Content-Security-Spezialisten nennt Ofer Elzam, Director of Product Management der Aladdin Esafe Business Unit: "Immer mehr Angreifer stellen ihre Techniken auf Web 2.0 ab. Die entsprechenden Webangebote weisen aus so vielen Quellen gespeiste Content-Angebote auf, dass die Abwehr dort versteckter Gefahren eine echte Herausforderung darstellt." Ein anderes Problem: "Man muss sich damit auseinandersetzen, wie man vorgeht, wenn Mitarbeiter - es sind etwa sechs bis zwölf Prozent weltweit - Anonymizer oder andere Techniken verwenden, um unerlaubte Sites zu besuchen oder Datentransfers durchzuführen", erklärt Elzam. Den richtigen Mittelwert zwischen zu strenger und zu nachlässiger Blockade zu finden, hält er für eine der schwierigsten organisatorischen Aufgaben. Technisch sieht Elzam den Trend als gefährlich an, Browser zur Plattform für die Ausführung von Programmen zu machen: "Das alles dann noch so zu sichern, dass der Anwender keine Verlangsamung spürt, wird uns noch intensiv beschäftigen."
SaaS gegen Überlastung
Aus Sicht von Gerhard Eschelbeck, CTO des Anti-Spyware-, Antivirus- und Content-Security-Spezialisten Webroot, ist Content Security vor diesem Hintergrund in Zukunft ein Fall für "Software-as-a-Service" (SaaS). "Die Content-Scanner sind inzwischen so komplex, dass sie auf PCs zu viel Rechenleistung für sich beanspruchen. Man wird sich deshalb in Zukunft damit befassen müssen, welche Content-Security-Aufgaben besser schon ?in the Cloud? erledigt werden sollten." Eschelbeck hält entsprechende Services sowohl für Unternehmen wie auch für Privatanwender für sinnvoll. Seine These passt dazu, wie sich derzeit der Markt für mobile Computer entwickelt: Die von Privatanwendern wie Profis gleichermaßen heiß geliebten Netbooks arbeiten häufig mit einer begrenzten Rechenleistung, die auf dem Niveau früherer PC-Generationen liegt, und müssen mit vergleichsweise wenig RAM und Massenspeicherkapazität auskommen. Da sie trotzdem immer häufiger mit Windows ausgeliefert werden, müsste man sie eigentlich auch mit einer der üblichen Security-Suites ausstatten - was sich allerdings verbietet, wie jeder weiß, der schon einmal ein entsprechendes Paket auf einem älteren 800-MHz-Rechner mit Hauptspeicher um die 512 MByte zum Laufen gebracht hat.
Einen anderen Kapazitätsengpass, der eher Unternehmen betrifft, aber ebenfalls den Betrieb im Rahmen eines Servicemodells nahelegt, hat der Anbieter SSP Europe ausgemacht: "Für Unternehmen wird es immer wichtiger, SSL-verschlüsselte Daten zu scannen. Die dazu nötigen teuren Systeme sind aber gerade kleineren Firmen oft zu teuer. Hier bietet es sich an, den entsprechenden Dienst bei einem Service-Provider hinzuzubuchen."
Lesen Sie mehr zum Thema
