Startseite > Security > Gegen den Mittelstand gerichtete Professionalität

Gegen den Mittelstand gerichtete Professionalität

25. September 2007, 12:43 Uhr |

Security-Architektur – Weil Malware immer professioneller arbeitet, stellen die Hersteller von Sicherheitslösungen ihr kombinierte Abwehrverfahren gegenüber.

Der Verfassungsschutz hat in den vergangenen Monaten besorgt festgestellt, dass deutsche Firmen aus dem Mittelstand gezielt attackiert werden. Die Urheber lokalisiert die Behörde in China. Die Urheber wollen digitales Wissen stehlen, seien es Forschungsergebnisse oder Produktionsdetails. Fällt ein deutsches Unternehmen einem solchen Versuch zum Opfer, darf es keineswegs überrascht sein, wenn kurz darauf sein wichtigstes Produkt mit dem Label »Made in China« auf den Markt kommt. Das wäre kein Einzelfall, wie ähnliche Fälle aus der Vergangenheit beweisen. China pflegt generell ein lockeres Verhältnis zum Produktschutz und zur -piraterie. Juristische Schritte gegen ein offensichtliches Plagiat sind wenig Erfolg versprechend. Ein Unternehmen darf vom Staat auf dem Gebiet keine Hilfe erwarten. Das Bundesamt für Sicherheit in der Informationstechnik hat immerhin sein großes »IT-Grundschutz-Handbuch« in abgespeckter Version vorgestellt. Darin schlägt es wichtige Handlungsanweisungen und Prüfroutinen vor.

Die Industrie muss sich selbst schützen, und zwar auf einem Niveau, das den professionellen Attacken aus Fernost mindestens ebenbürtig ist. Aber wo zuerst ansetzen, wenn die Cebit Tausende Lösungen gegen Zehntausende Gefahren liefert? Beispiel Malware: Die Hersteller haben in den vergangenen Monaten eine Professionalisierung auf diesem Gebiet ausgemacht. Malware-Code ist intelligenter, schneller und flexibler geworden. Besonders zu schaffen macht den Herstellern, dass er gegen bestimmte Ziele gerichtet ist. Die Feinddaten werden von den typischen Hintergrundgeräuschen im Web geschluckt, weil sie ein geringes Volumen haben. Sie sind daher mit klassischen reaktiven Modellen nur schlecht zu fangen. Daher lösen sich nahezu alle Anti-Malware-Anbieter von rein reaktiven Analysen auf Basis von Signaturen zu Gunsten von präventiv arbeitenden Verfahren. In der Umsetzung treten deutliche Unterschiede zu Tage.

Die eine Seite bevorzugt ein Sandbox-ähnliches Verfahren, die andere Host-Intrusion-Prevention-Maßnahmen (HIPS). Beide Ansätze verfolgen aber das gleiche Ziel. Sie sollen Schadcode anhand seines feindlichen Verhaltens enttarnen und so die Zero-Day-Angriffe erkennen, auch wenn ihre Engine dessen Codestruktur noch niemals zu Gesicht bekam. Diesem Verfahren stellen die meisten Anbieter Zusatzmechanismen wie eine PC-Firewall und Applikations-Policies zur Seite. Um dem einen griffigen Namen zu verpassen, haben sich diese Anbieter »Endpoint Security« auf die Fahne geschrieben. Mit ihren kombinierten Verfahren wollen die Endpoint-Security-Anbieter die Anwendungen auf dem Host und vor allem ein- und ausgehende Daten genauer kontrollieren. Hier zeigt sich der Versuch, die Willkür auf dem Host einzudämmen. Alles Legale wird klar definiert und jede Abweichung von der Norm ist ein Indikator für eine Attacke, eine Infektion. Einige Anbieter stellen auf der Cebit auch Appliances vor, die alle diese Funktionen gleich hinter der Firewall abwickeln. Diese Boxen werden auf bestimmte Dienste wie E-Mail, VoIP, Web oder Instant-Messaging angesetzt, um sie von Schädlingen zu befreien.

Auf dem Blatt Papier ist die Policy-Kontrolle der Anwender und ihrer Tools eine hervorragende Idee. Nur wird sich jeder Administrator bei dem Gedanken die Haare raufen, seine bunt gemischten Hosts und die Hunderte von Anwendungen in eine managebare Policy zu gießen. Daher lohnt es sich, den Herstellern auf der Cebit einmal auf den Zahn zu fühlen, wie sie ihre Policy verwalten wollen. Und welche Workflows, beispielsweise temporäre Freigaben, sie bereits umgesetzt haben.

Die funktionale Evolution auf dem Host geschieht nicht losgelöst. Sie ist eng in das übergeordnete Abwehrkonzept Network-Access-Control eingebunden. Die Idee dahinter: Das Endpoint-Security-Tool soll seinen Status und den darin eingebetteten »Gesundheitszustand« des Hosts an das Netzwerk weitergeben. Die Switches oder Router entscheiden dann, wie viele der Zugriffsrechte des Hosts und seiner Anwender sie aktuell gewähren. Fällt ein Client bei dem Test durch, wird er in einer Quarantäne isoliert und dort repariert. Host und Netz sollen sich übrigens kontinuierlich absprechen, denn der Zustand des Clients verändert sich permanent, beispielsweise durch einen Download dubioser Webinhalte.

Alle wichtigen Hersteller auf dem Infrastruktur- und Security-Markt sind darin involviert. Vorne weg propagieren Cisco und Microsoft dieses Konzept auf der Cebit. Aber auch Juniper, Symantec, Hewlett-Packard, IBM und Sun werden ihre Neuentwicklungen unter dem NAC-Label vorstellen, wobei sie für das Konzept eigene Marktnamen erfunden haben.

NAC wird in den kommenden fünf Jahren den Security-Markt dominieren, denn es beeinflusst nahezu alle Infrastrukturkomponenten im Netz direkt oder indirekt. Network Computing wird aus diesem Grund zur kommenden Technology-Tour im April NAC besonders viel Aufmerksamkeit widmen. Denn unter dem Strich hat das Konzept genügend Potenzial, die größten Gefahrenherde im Netz einzudämmen. NAC hätte auch genügend Kraft, sich gegen die Professionalität der Malware-Autoren durchzusetzen, unabhängig davon, ob sie Chinesisch, Russisch, Deutsch oder Englisch sprechen. Die Cebit wird auch zeigen, ob sich zumindest einige Hersteller auf gewisse funktionale Standards einigen konnten. Denn bisher sind die vielen NAC-Konzepte der Hersteller nur schwer miteinander kombinierbar.

Michael Piontek
pm@networkcomputing.de