Sicherheit aus neuer Perspektive - Teil 1
Echter Durchblick ist Mangelware
Deutschland wird gern eine "Vollkaskomentalität" nachgesagt. Die stete Suche nach vollendeter Sicherheit präge das private Umfeld und das Arbeitsleben. Zumindest für den Sektor IT-Sicherheit darf man diese These bedenkenlos verwerfen: Unsere Sicherheitsmaßnahmen sind so genau so schlecht wie überall sonst.
Die unzureichende Qualität der IT-Security in Deutschland hat die verschiedensten Gründe. Ganz
oben auf der Liste der Ursachen steht eine Reihe krasser Fehleinschätzungen:
1. Die Gefahr droht aus dem Internet. Das interne Netzwerk ist vertrauenswürdig.
Dies ist der größte Denkfehler überhaupt. Ich behaupte, dass gerade im internen Netzwerk
Angriffe nicht nur leichter durchzuführen sind als im Internet, sondern auch schneller, einfacher
und geräuschloser, da im hausinternen Micro-Internet gewöhnlich keine Sicherheitsmechanismen –
quasi als interne Security-Perimeter – installiert sind und Angriffe deshalb höchst selten entdeckt
werden.
Schlaue Angreifer spielen "intern"
Inzwischen kann jeder Mitarbeiter, Consultant oder eine andere externe Person mit minimalem
technischen Verständnis zum Hacker, Insider oder Datenvandalen mutieren, indem er die Tools aus dem
Internet herunterlädt oder sich Fachliteratur beschafft und einsetzt. Die Gefahr, dabei entdeckt zu
werden, ist relativ gering, sobald der Angreifer den Status eines internen Netzbenutzers erlangt
hat – eben weil die Sicherheitsperimeter, die für den Aufbau einer
Angriffs-/Nachweis-/Verteidigungssensorik notwendig wären, fehlen.
Machen Sie für sich einen einfachen Test, indem Sie kurz darüber nachdenken, ob die beiden
folgenden Aussagen auf Ihr Netz zutreffen:
Sie setzen dynamisches DHCP ein, jede Netzwerkkarte bekommt eine IP-Adresse
zugewiesen.
Auf Switch-Ebene bekommt jede belegte Anschlussdose eine Verbindung mit dem
LAN.
Wenn diese zwei Merkmale für Ihr Netz gelten, was mir Teilnehmer auf Veranstaltungen während
meiner Vorträge häufig betätigen, gehören Sie bereits zu den 90 Prozent aller Firmen, die höchst
gefährdet sind. Jeder, der in Ihrem Unternehmen bis zu einer Anschlussdose vordringt, kann dort
nämlich problemlos ein Device erfolgreich anschließen, was immer es auch sein mag. Nach meinen
Erfahrungen gilt dieses Gefährdungspotenzial für Organisationen in der ganzen Welt.
Im Detail können aus der beschriebenen Situation folgende Gefahren erwachsen:
Die Installation illegaler WLAN Access Points, die mit Hochleistungsantennen
auf der Gegenseite auch aus größerer Entfernung zusammenarbeiten können. Sehr beliebt ist dieser
Trick für die Wirtschaftsspionage – man schleicht sich einmal ein und erledigt den Rest bequem von
draußen. Häufig werdem allerdings WLANs von den Mitarbeitern selbst installiert, natürlich aus
Bequemlichkeitsgründen ohne jegliche Verschlüsselung. Damit ist das Unternehmensnetzwerk offen wie
ein Scheunentor, und eventuelle Interessenten sparen sich auch noch die eine Exkursion nach
drinnen.
Laptops, die das Unternehmen verlassen, könnten daheim von nicht autorisierten
Personen benutzt worden sein und schleppen ungewünschte Mitbringsel in das Unternehmen ein.
Mit sich zufrieden sein könnten Sie, wenn Sie bei der Selbsterforschung feststellen:
Wir setzen statisches DHCP ein, und deshalb bekommen nur bekannte MAC-Adressen
stets die gleiche IP-Adresse zugewiesen, was überdies für den Nachweis von Vorfällen wichtig
ist.
Zusätzlich findet bei uns eine Prüfung auf Netzwerk-Port-Ebene statt.
Unbekannte Devices werden bei uns nicht zugelassen, und Devices, die in einen Port eingesteckt
werden, erfahren eine Umleitung in ein Quarantäne-Netz, werden dort überprüft, gegebenenfalls
aktualisiert und/oder desinfiziert.
2. Fehleinschätzung: Wir haben doch eine Firewall, ein IDS, Virenscanner und Spam-Filter – was
soll uns da passieren?
Was hier beschrieben ist, stellt eine Minimalausstattung dar, die in der Realität meist auch
noch unsauber konfiguriert wird. Ein IDS etwa, das fortwährend Alarme auslöst, ermüdet das
IT-Sicherheitspersonal, so dass nach einiger Zeit ein wirklicher Alarm genauso ignoriert wird wie
die False Positives.
Kommen wir zurück zur Sensorik. Dass eine Firewall die Infrastruktur – hoffentlich korrekt
konfiguriert – nach außen schützt, ist richtig und notwendig. Wie aber steht es mit den – an das
interne Netzwerk angeschlossenen – anderen Lokationen, die mit der Organisation verbunden sind? In
den meisten von mir untersuchten Netzwerken konnte man sich buchstäblich von China bis zur Ostküste
durchhacken – ohne Restriktionen.
Firewalls gehören nicht nur an den Perimeter zum Internet, auch intern müssen damit Netzwerke
voreinander oder sensible Bereiche wie Serverfarmen separat geschützt werden. So wehrt die Security
Angriffe von innen nicht nur von vornherein ab, sondern baut auch Sensorik auf (quasi ein
Frühwarnsystem), die erkennbar macht, was im Netzwerk wirklich abläuft.
Der beste Schutz und die beste Sensorik, die ich empfehlen kann, ist der Einsatz von Firewalls
und IDS-Systemen bis hinunter auf den Endpunkt, also den PC oder Laptop. Von vielen Herstellern
werden ausgezeichnete und vor allem zentral verwaltete Desktop-Firewall- und IDS-Systeme angeboten.
Diese, flächendeckend installiert, haben einen großen Vorteil: Bei internen Angriffen melden sie an
die Management-Konsole die Aktivitäten, die der Mitarbeiter dort in einem geswitchten Netzwerk
sonst überhaupt nicht bemerken würde. Switches nämlich eignen sich für Angreifer hervorragend als
Versteck. Ein weiterer Vorteil der Desktop-Absicherung ist, dass Vulnerabilities weit weniger zum
Tragen kommen, sofern nur die Ports freigeschaltet sind, die tatsächlich benutzt werden, und dies
auch noch genau für die Ziel-IP-Adresse, die den jeweiligen Dienst bereitstellt – wie NetBIOS für
Fileserver und Print, http-Proxy für Webzugriff und so weiter. Ein weiterer Vorteil ist die
Kanalisierung der Kommunikation entsprechend dem Design "Desktops greifen auf Server zu und nicht
Desktops auf Desktops". So laufen Angreifer ins Leere, und Sie bemerken quasi in Echtzeit einen
Angriff.
3. Fehleinschätzung: Unsere IT-Security ist völlig überlastet und kann der Logfiles nicht mehr
Herr werden.
Nicht nur das: Die Mitarbeiter können die Logfiles meist auch nicht korrelieren, da das
menschliche Gehirn schwer die Zeile 35232 des Logfiles mit dem Event in Zeile 57410 in Verbindung
bringen kann. Noch schwieriger wird es, Logfiles aus unterschiedlichen Quellen aufeinander zu
beziehen, also zum Beispiel das Firewall-Log auf das IDS-Log. Außerdem werden die Angriffe und –
nennen wir es einmal Anomalien – immer ausgefeilter. Kaum jemand kann alle bekannten Angriffe
richtig interpretieren, da die Gefährdung sich ständig ändert und häufig auch im "Rauschen" der
Logfiles untergeht.
Hier gibt es verschiedene Ansätze, die ich in den nächsten Folgen dieser Serie im Detail
erläutern werde. Genannt seien hier die Analyse des Kommunikationsverhaltens eines Netzwerks, um es
zu "erlernen", die Nutzung von Managed Security Services, der Aufbau eines Security Operation
Centers und andere Dinge, die die IT-Security Abteilung signifikant entlasten, sodass sich diese um
wirkliche Vorfälle kümmern kann.
Sicher ist Ihnen aufgefallen, dass ich bisher nur über technische Lösungen und deren Wirkungen
und Auswirkungen geschrieben habe. Dies ist der falsche Ansatz. IT-Security ist ein Prozess – und
bei einem Prozess ist die Technik das Hilfsmittel, um ein Ziel zu erreichen. In diesem Fall heißt
der Ausgangspunkt "Gefährdung meines Unternehmens durch das Netzwerk", und das Ziel "Absicherung,
um die Gefährdung zu minimieren, um mein Unternehmen zu schützen". Außerdem will ich mich gegen
Strafverfolgung absichern (KonTraG und so weiter).
Leider wird in Unternehmen häufig nur der jeweils neueste Security-Hype in Form von Software,
Appliances oder der achtzehnten Generation selbstlernendem Was-auch-immer abgeladen und dann von
Personen installiert, die das Produkt nach einer Drei-Tagesschulung gerade einmal ein bisschen
kennen und "Security" fehlerfrei vorwärts und rückwärts buchstabieren können. Ahnung von der
Gesamtproblematik "Bedrohung durch IT" fehlt meist völlig.
Die Betroffenen Unternehmen könnten viel Geld und auch Zeit sparen, wenn erst der Prozess "
IT-Security" richtig analysiert, aufgebaut und gepflegt werden würde. Dazu gehören Schulungen, die
von der Motivation der Angreifer ausgehen und auch das IT-Recht berücksichtigen, damit im
Angriffsfall die richtigen Schritte korrekt eingeleitet werden und nicht etwa Beweismittel
vernichtet werden. Auch die Endanwendermotivation gehört ins Programm. So ausgebildet, sehen die
Mitarbeiter die Security aus einem anderen Blickwinkel. Umfassende Consultingleistungen können sie
in der Anfangsphase bei der Implementation neuer und besserer Strategien unterstützen sowie später
bei ungewöhnlichen oder neuen Herausforderungen helfen.
"IT-Security aus einem anderen Blickwinkel" bedeutet auch, dass die individuelle Bedrohung des
Unternehmens ermittelt wird, denn beispielsweise eine Großbäckerei hat definitiv ein anderes
Gefährdungspotenzial als ein Rüstungsunternehmen oder eine Behörde. Erst danach wird der Prozess
IT-Security individuell und zusammen mit dem Unternehmen implementiert.
Als hilfreich hat es sich erwiesen, IT-Security aus einem "militärischen" Blickwinkel zu
betrachten. Militärs üben sich seit Jahrtausenden in Aufklärungs-, Verteidigungs-, Täuschungs- und
Angriffsstrategien sowie der Auswertung zahlreicher Informationsquellen zu einem Gesamtbild. Chief
Security Officers sei angeraten, diese Idee in ihre Betrachtung mit einzubeziehen, da sich mit
dieser Überlegung einige Strategien einfach und effektiv für IT-Security ableiten lassen.
Anleihen beim Militär?
Bei vielen meiner Consultingprojekte haben einige dieser Vorgehensweisen mit militärischem
Ansatz großen Erfolg für die Verbesserung der IT-Security gebracht. Übrigens wurde nie ein Hacker
erschossen, die Mitarbeiter stehen nicht stramm, es gibt keinen Morgenappell. Aber eins wurde
verbessert: IT-Security-Strategien, Abläufe und Alarmierungen.
Info: GTEN Tel.: 0811/998850 Web: www.gten.de
Lesen Sie mehr zum Thema
