Der PC als Token
Die Rolle des Clients für die Netzsicherheit
Auf der Basis der Trusted-Computing-Konzepte bringen IT-Spezialisten den Personal Computer selbst als Authentifizierungs-Device für Netzwerke ins Spiel. Die Computer müssen sich dazu verlässlich im Netz ausweisen können.
Heutige Embedded-Systeme – vom Geldautomat bis zur industriellen Steuerung, vom
Internetzugangsgerät bis zum militärischen Überwachungssystem – kommunizieren praktisch ausnahmslos
mit einem größeren Netzwerk. Dies macht sowohl die Systeme selbst als auch die Netzwerke
verwundbar. "Ein Malicious Code oder auch nur die Unachtsamkeit eines Benutzers kann Konsequenzen
haben, deren Bandbreite von der Virusinfektion einer privaten Datei bis hin zur Attacke durch
Cyberterroristen reicht. Dadurch können Energieversorgungsanlagen, Kommunikationswege oder ganze
Verkehrssysteme lahmgelegt werden", kommentiert etwa Rainer Fahs, Vorstandsvorsitzender der
European Expert Group for IT-Security (EICAR), die potenzielle Gefährlichkeit ausführbarer
Dateien.
Komplexität unterwandert Sicherheit
Existente Sicherheitslösungen bieten Schutz gegen verschiedene Arten von Risiken. Die "
peripheren" Lösungen wie beispielsweise die Anmeldung am Netzwerk verhalten sich jedoch wie ein
Zaun, der ein Grundstück umgibt: Sie bieten keinen Schutz gegen Angriffe von innen oder gegen einen
Angreifer, der es bereits geschafft hat, ins Netzwerk einzudringen. Ein Angreifer kann sich dort
mit einem nicht vertrauenswürdigen Gerät authentifizieren, wenn es ihm zuvor gelungen ist, gültige
Sicherheitsmerkmale an sich nehmen (siehe dazu etwa "Absicherung gegen Innentäter" in LANline
7/2005, S. 52). Dies kann auf unterschiedliche Weise geschehen:
Ein Passwort oder Zertifikat kann gestohlen und von unbekannten Personen
missbraucht werden,
ein legitimer Benutzer kann ein Passwort, einen Token oder eine Chipkarte an
ein Gerät weitergeben, das nicht von den im Unternehmen eingerichteten Sicherheitsmechanismen
kontrolliert wird,
die physische Integrität eines Geräts kann durch Verändern seiner
Hardwarekonfiguration in Frage gestellt werden. Ein Beispiel ist die Manipulation an einer
Settop-Box, um Fernsehprogramme kostenlos empfangen zu können,
Software kann verändert oder an eine nicht vertrauenswürdige Maschine
übertragen werden,
zuvor zertifizierte Software kann modifiziert werden,
das Firmware-Image kann verändert werden, um Daten zu erfassen, um das
Verhalten des Geräts zu steuern oder um das System dauerhaft außer Betrieb zu setzen.
Ein Schutz auf der Geräteebene kann derartige Manipulationen verhindern und verstärkt existente
Sicherheitslösungen, indem er die Angaben beim Authentifikationsprozess mit den entsprechenden
Berechtigungsnachweisen bestimmter Geräte koppelt. Die Hardware muss dabei unter der Kontrolle des
Netzwerkbetreibers stehen.
Schutz auf der Client-Ebene
Der Kern einer erfolgreichen Client-Sicherung ist die eindeutige Identifikation des Endgeräts am
System oder Netzwerk. Das Prinzip entspricht einer starken Zwei-Faktor-Authentifikation – neben den
Zugangsdaten und dem Passwort stellt jedoch das Endgerät und kein Hardware-Token oder eine
Smartcard den zweiten Faktor im Identifikationsprozess dar. Anhand der identifizierten Hardware
wird ein eindeutiger Schlüssel erzeugt, der untrennbar mit dem Gerät verbunden ist. Mithilfe des
Schlüssels lassen sich dann Authentifizierungs- und Verschlüsselungs-/Entschlüsselungsoperationen
in einem für Benutzer nicht zugänglichen Bereich des Systems durchführen. "Der
Authentifikationsprozess von Endgeräten und der damit verbundene Schutz des Clients kann bestehende
Sicherheitslösungen wie beispielsweise Firewalls, Token- oder Smartcard-Authentifikationslösungen
sowie PKI-Anwendungen sinnvoll ergänzen", schätzt Reyk Flöter, Geschäftsführer des IT-Security
Dienstleisters Vantronix, die Lage ein. Die dafür verwendete Sicherheitsumgebung muss
manipulationssicher sein und kann prinzipiell als Schutz auf einem Chip oder als Schutz im Kern des
Prozessors eingerichtet werden.
Schutz bereits auf BIOS-Ebene
Betriebssysteme sind für äußere Angriffe anfällig – speziell dann, wenn nicht vom
Systemadministrator oder vom Anwender selbst ein regelmäßiges Update oder Patching erfolgt.
Zusätzlichen Schutz bieten unterschiedliche Hardwarelösungen, die von Angreifern jedoch durchaus
umgangen werden können. Ein Sicherheitskonzept schon im Kern eines PC-Systems aufzusetzen, also auf
BIOS-Ebene, scheint demnach sinnvoll. Die Hauptfunktion des BIOS liegt bei konventionellen
PC-Architekturen im Vorbereiten der Hardware für das Betriebssystem. Dazu werden ein
Power-On-Self-Test (POST) durchgeführt, die installierten Geräte hochgefahren, die Peripherie und
Schnittstellen geprüft und das Betriebssystem geladen und gestartet. Phoenix Technologies etwa ist
Weltmarktführer von Kernsystemsoftware und Entwickler von BIOS-Produkten und beginnt zurzeit damit,
seine Aktivitäten auf BIOS-gestützte Sicherheitslösungen auszudehnen. "Wir befinden uns mit unserer
Software sozusagen in der Pole Position, weil wir bereits eingreifen können, wenn das
Betriebssystem noch gar nicht hochgefahren wurde," kommentiert Al Sisto, Chief Executive Officer
von Phoenix Technologies.
Eine Kernsystemsoftwarelösung für den Schutz auf der Geräteebene muss folgende Anforderungen
erfüllen:
Das System erhält ein eindeutiges Identifizierungsmerkmal (Signatur oder
Geräteschlüssel), das bei allen Sicherheitsoperationen verwendet wird. Dieses
Identifizierungsmerkmal repräsentiert die Identität der Plattform und ermöglicht die
Geräte-Authentifizierung als Grundlage für die Sicherheit des gesamten Systems. Verbindungen zu
Geräten, die sich nicht entsprechend authentifizieren, kann die Gegenstelle abbrechen.
Die Nutzer- und Geräteschlüssel werden in einem sicheren Halbleiterbaustein
gespeichert, wo sie von Hackern nicht abgefragt werden können. Durch Verwendung sicherer
x86-Hardware erzeugt die Lösung eine manipulationssichere Vertrauensgrundlage und schafft einen
geschützten Speicherbereich für sensible Benutzer- und Applikationsdaten.
Unverschlüsselte Schlüssel sind in den Betriebssystem- oder
Applikationsbereichen des Systems niemals sichtbar. Schlüssel im Klartext werden nur innerhalb der
geschützten Ausführungsumgebung des System-Management-Modes des x86-Prozessors verwendet. Dieser
hat die umfassendsten Berechtigungen im System, und die Schlüssel sind nicht direkt für das
Betriebssystem oder die Applikationen zugänglich.
Sensible Verschlüsselungs-/Entschlüsselungsoperationen finden ebenfalls in der
geschützten Ausführungsumgebung des System Management Mode statt, wodurch ein Höchstmaß an
Sicherheit und Integrität gewährleistet wird.
Die Lösung wird in der Firmware installiert, wobei ein sicherer Prozess einen
Missbrauch durch Verändern des Flash-Inhaltes ("Reflashing") verhindert. Es lassen sich nur
autorisierte und digital signierte Firmware-Updates installieren, was die Integrität der Plattform
jetzt und in der Zukunft gewährleistet.
Die Lösung arbeitet mit handelsüblicher Sicherheitssoftware und bietet ein
Software-Entwicklungskit (SDK) für die Implementierung in neu entwickelten Softwareprodukten
an.
Fazit
Die Diskussion um Sicherheitsfragen weist ein hohes Maß an Ignoranz gegenüber weichen Faktoren
auf. Was hilft der Einsatz einer zweistufigen Authentifizierung, wenn ein auf dem PC platzierter
Schädling die zum Server übertragenen Daten auskundschaftet oder ein Kunde seine Zugangsdaten in
die Oberfläche einer vorgespiegelten Webadresse eingibt? Client-Sicherheit ist ein ständiger
Prozess, der die Aspekte Technologie, Organisation, Recht und Psychologie tangiert. Der Schutz des
primären Werkzeugs eines Anwenders ist ein wirkungsvolles Mittel, schon im Vorfeld Angriffen auf
ein Netzwerk vorzubeugen.
Lesen Sie mehr zum Thema
