Content Security
Wissen, was im Netzwerk läuft
Eine Firewall und Anti-Virus-Programme gehören heute selbst in kleinen Firmen zur Standardausstattung. Doch aktuelle Bedrohungen nutzen auch andere Vehikel als unerlaubte Ports und klassische Malware, um sich in Unternehmensnetzwerken auszubreiten. Ohne einen umfassenden Schutz, der den gesamten, auch über eigentlich "gute" Kanäle ein- und ausgehenden Content einschließt, greifen Abwehrkonzepte heute hoffnungslos ins Leere.
Vor ein paar Jahren war die Netzwerkwelt noch überschaubar: Viren kamen über infizierte
Bootsektoren auf Disketten ins Unternehmen, drehten den Bildschirminhalt um oder spielten lustige
Melodien ab. Natürlich gab es auch schlimmere Varianten, aber die Mehrzahl der Bedrohungen richtete
eher durch ungeschickte Programmierung Schaden an, als durch Vorsatz. Selbst als das Internet die
breite Masse erreichte und im Laden nebenan und in der Tankstelle Einzug hielt, gab es noch wenig
Grund zur Sorge. Munter wurden Mails mit lustigen Bildchen und Links zu witzigen Webseiten
verschickt. Administratoren und Systembetreuer, die erkannten, welche Einfallstore sich dadurch
auftaten, kanzelte man als Spielverderber ab.
Der Weg zum Rundum-Schutz
Inzwischen sind andere Zeiten angebrochen. Rigide Vorgaben des Gesetzgebers für alle
Geschäftsbereiche, in denen es um Geld und Sicherheit geht, sowie eine ganz neue Kultur von
Angriffen haben den unbeschwerten Internetanfängen ein Ende bereitet. So müssen heute Unternehmen,
die Lehrlinge ausbilden, beim Internetzugang Vorkehrungen in puncto Jugendschutz treffen. Die
jungen Männer und Frauen sind oft noch nicht volljährig, einige Inhalte damit tabu. Aber nicht nur
das Internet ist eine Gefahrenquelle, auch interne unzufriedene Mitarbeiter, neugierige
Wettbewerber oder Lieferanten kommen als potenzielle Täter in Frage. Der Schutz der Kommunikation
und Infrastruktur von Unternehmen gewinnt deshalb zurzeit immer mehr an Bedeutung.
Heute wissen die IT-Abteilungen und zunehmend auch die Anwender, wie fatal sich manche Attacken
auswirken können. Bereits hinter einem harmlosen Bildchen kann sich ein aggressives Tool
verstecken, das möglicherweise das ganze Netzwerk lahm legt oder sich, ein noch schlimmerer fall,
unbemerkt auf PCs und Servern einnistet.
Die Sicherheitsanforderungen von Unternehmen lassen sich vor diesem Hintergrund im Wesentlichen
folgendermaßen zusammenzufassen:
Ein Antivirus-Gateway in Kombination mit installierter Antivirensoftware gehört zur
Grundausstattung im Unternehmen. Auch eine Firewall, die das aggressive Hintergrundrauschen im
Internet blockiert, ist Standard. Dabei übersehen vor allem kleine und mittlere Unternehmen, dass
der Schutz vor Viren zwar gut, bei weitem aber nicht ausreichend ist. Es gibt genügend Attacken,
die ungehindert Firewalls und Antivirussysteme passieren, sich im LAN festsetzen und von dort aus
zuschlagen. Der Trend geht zu Hybriden, also Angriffen, die mehrere Attacken kombinieren und so
Abwehrmaßnahmen umgehen, die sich auf die zwei typischen Schutzwälle – Antivirus und Firewall –
beschränken. So werden oft Schwachstellen im Browser ausgenutzt, um schädliche Codes auf dem
Rechner zu platzieren. Da es sich dabei nicht um Viren oder Trojaner handelt, schlägt ein aktiver
Virenscanner nicht an. Der Code nutzt aber seine neu gewonnene Ausführungsgewalt, um sich im System
zu verstecken, die Antivirusfunktion zu manipulieren und schließlich den eigentlichen Schädling aus
dem Internet nachzuladen.
Wer heute von IT-Sicherheit spricht, muss deshalb auch umfassende Content-Sicherheit meinen. Für
größere Unternehmen ist dies naturgemäß einfacher zu erreichen als für kleine Firmen und den
Mittelstand. Dort fehlen oft Ressourcen und Expertise, um aus den verfügbaren Lösungen ein
schlüssiges Gesamtkonzept zu entwickeln und optimal einzustellen. Helfen können hier
Sicherheits-Appliances, die alle Komponenten für ein wirkungsvolles Schutzkonzept unter einem Dach
vereinen.
Ohne geht es nicht: Der Viren-Scanner gehört zum Sicherheitskonzept wie Coca zu Cola. Wichtig
ist, dass der Scanner mehrere Einfallswege abdeckt und nicht nur Viren auf Dateibasis erkennt,
sondern schon vorher zuschlägt. Das gilt vor allem bei E-Mails. Ein guter Virenscanner unterstützt
die Protokolle SMTP und POP3 und untersucht Emails, Anhänge und über die Protokolle HTTP und FTP
heruntergeladene Dateien. Damit haben Viren auch dann keine Chance, wenn sie über webbasierte
E-Mail-Dienste wie GMX oder Yahoo eindringen wollen. Die große Masse an Viren fällt durch das
Raster der ständig aktualisierten Signaturdatei, neuartige Varianten scheitern meist an der
heuristischen Verhaltenserkennung.
Spam-Mails sind für die meisten Anwender nur lästige Nebeneffekte gut funktionierender
E-Mail-Systeme. Die Mehrzahl der unverlangt eingehenden Nachrichten fällt auch in diese Kategorie,
doch nutzen Angreifer mit kriminellen Zielen immer öfter Spam, um Mails mit Trojanern oder
Backdoor-Programmen in das Unternehmen zu schleusen. Die Angriffsprogramme werden für jedes
Zielobjekt neu programmiert, Virenscanner scheitern hier oft. Ein gut eingestellter Spam-Filter
hingegen lässt die Mail gar nicht erst bis zum Arbeitsplatz durch. Filtersysteme wie jenes Modul,
das beispielsweise in Securepoint-Appliances zum Einsatz kommt, kontrollieren das SMTP- und das
POP-Protokoll und kombinieren verschiedene Verfahren für eine möglichst hohe Trefferrate. Der
Spam-Filter sucht, unterstützt von einem Pattern-File, unter anderem nach ungültigen Absendern,
bekannten Spam-Textpassagen, HTML-Inhalten und in die Zukunft datierten Absendedaten. Zusätzlich
lernt der Filter selbstständig: Nimmt der Administrator False-Positives aus dem Quarantäneordner
heraus, merkt sich der Filter diese Mails und lässt sie beim nächsten Mal durch. Gleichzeitig
durchlaufen die Nachrichten eine Virusvorerkennung. Zero-Day-Attacken, bei denen noch keine Updates
für den Virenscanner verfügbar sind, haben es so erheblich schwerer, zum Ziel zu gelangen. Ein
Rundumschlag, aber ein effizienter, ist auch die Methode, um bestimmte Attachments von vorne herein
zu blocken und so ausführbare Dateien oder auch möglicherweise illegale Musikstücke (MP3) vom
Netzwerk fern zu halten.
Internet-Content-Sicherheit und URL-Filter
Ob man seinen Mitarbeitern Zugriff auf Nachrichtendienste, Portale oder andere, nicht beruflich
genutzte Seiten erlaubt, ist nicht nur eine Frage der Großzügigkeit. Sobald das Internet im Büro
auch privat verwendet wird, hat der Geschäftsführer eineReihe von gesetzlichen Verpflichtungen zu
beachten. Die Tatsache, dass er dann als Telekommunikationsbetreiber gilt und die Zustellung von
Nachrichten sicherstellen muss, ist nur eine davon. Auch ohne explizite Genehmigung gilt private
Nutzung als erlaubt, wenn sie über einen bestimmten Zeitraum unwidersprochen erfolgt. Gleichgültig,
ob man sich auf dieses Risiko einlässt oder den Zugang komplett sperrt – ein detailliert
einstellbarer Content-Filter erleichtert die Kontrolle über die betrachteten Webseiten enorm.
Unbemerkt für den Anwender erlaubt oder blockt ein leistungsstarker Filter Webseiten, verarbeitet
White- und Blacklists, erlaubt das Filtern nach Extensions, Phrasen, Bilder, Scripts/Codes, Sites
und anderen Inhalten. Kombiniert man Virus-Scanner und Content-Filter in einem System, kommt es
nicht zu Verzögerungen, die bei der Verteilung auf mehrere Systeme entstehen können.
Gefahr droht Arbeitsplätzen aber nicht nur durch aktive Angriffe von außen. Immer wieder werden
Sicherheitslücken in Datenbanken, Webapplikationen und Webservern gefunden, die nur durch Anzeigen
der Webseite aktiv werden und alle möglichen Folgen nach sich ziehen können. Ein abgestürzter
Browser ist dabei noch das geringste Übel. Meist wird Spyware nachgeladen, im schlimmsten Fall
Keylogger und Backdoor-Programme. Auch wenn die Hersteller schnell Patches für solche
Sicherheitslücken bereitstellen: In der Zeitspanne bis zur Verfügbarkeit des Patches sind die
Programme und Dienste ungeschützt (Zero-Day Attack). Ein All-in-One-Gerät blockt solche Angriffe,
indem es nicht korrekte Pakete im Datenstrom findet und aussperrt. Zusätzlich entkoppelt der
eingebaute Proxy-Server die Arbeitsplätze und Server vom direkten Zugriff aus dem Internet.
Authentisierung und VPN
Wenn sich ein Benutzer am Computer anmeldet, bekommt er automatisch alle Zugriffsrechte, die ihm
der Administrator zugeteilt hat. So weit, so gut. Doch das Einloggen mit Benutzernamen und Passwort
allein gilt heute nicht mehr in allen Umgebungen als ausreichend sicher. Schließlich lassen sich
solche Zugangsdaten erschleichen, aushorchen oder durch Brute-Force-Angriffe erraten. Mehr Schutz
bietet eine Public-Key Infrastructure (PKI), die verschlüsselte Zertifikate zur Signierung und
Kontrolle von Anfragen verwendet. Dies kann für E-Mail genauso genutzt werden wie beim Zugriff auf
Ressourcen im Netzwerk. Allerdings ist eine PKI nach wie vor komplex, was Implementierung und
Konfiguration angeht. Ein in die Security-Appliance integrierter PKI-Server kann das Management
aber erheblich vereinfachen, vor allem, wenn er in die Sicherheitsstruktur der Appliance
eingebunden ist. Es stehen verschiedene Authentisierungsverfahren wie Preshared, RSA-Signatur und
X.509-Zertifikate zur Verfügung.
Der Aufwand mag höher sein als die reine Arbeit mit Passwortvergabe, doch eine PKI-Infrastruktur
ermöglicht erheblich sicherere Fernzugänge per Virtual Private Network (VPN) auf das Netzwerk.
IPsec funktioniert zwar auch mit statischen Pre-Shared-Keys, von echtem Schutz, der auch hohen
Ansprüchen gerecht wird, kann man aber nur bei VPN mit Zertifikaten sprechen. Auch hier reduziert
ein integrierter VPN-Server in der Appliance die Konfiguration und erspart dem Administrator
mehrfache Benutzereingaben, da eine gemeinsame Datenbasis zum Einsatz kommt.
Ein Besonderheit mancher Sicherheitsappliances von ist ein Agent, der die Aufgabe hat, Anwendern
individuelle Rechte für Arbeitsplätze trotz DHCP-Adressverteilung zuzuteilen. Der Anwender
authentisiert sich über den Agent und erhält an jedem Arbeitsplatz seine individuelle
Security-Policy. Wechselt ein Anwender seinen Arbeitsplatz, erhält er am neuen Platz automatisch
seine für ihn gültige Policy. Die jeweiligen Einlog-Zeiten der Anwender werden dokumentiert und
können unter anderem zur Arbeitszeiterfassung verwendet werden.
Sicherheit gibt es nicht umsonst
Umfassender Schutz ist das Ziel jedes Sicherheitskonzepts. Doch je mehr Bereiche inbegriffen
sind und je enger der Abwehrkreis gezogen wird, desto komplexer werden die Regeln, Ausnahmen und
deren Konfiguration. Ein zentrales Repository, das sich auch mit bestehenden Directory-Servern im
Unternehmen verbinden kann und so dem Administrator auf einen Blick zeigt, wer was wann und wo
darf, ist mindestens genauso wichtig wie die einzelnen Schutzmaßnahmen. Was hilft eine rigoros
blockierende Firewall, wenn vergessen wurde einen Port für Remote-Control zu schließen?
Der immer stärkere Einsatz von hybriden Angriffstechniken und die unmittelbar ausgenutzten
Schwachstellen von Programmen und Diensten zeigen, wohin die Reise geht. Angriffe auf
Firmennetzwerke sind heute kein Zeitvertreib mehr, sondern ein knallhartes Geschäft. Übernommene
Firmenrechner (Bots) werden für Tausende Dollar pro Stunde vermietet und die Analysen von
Denial-of-Service-Attacken zeigen, dass immer wieder mehrere Zehntausende dieser Bots im Verbund
zum Einsatz kommen. Die Suche nach verwundbaren Netzen und Computern erfolgt automatisiert. Das
Argument "was gibt es bei mir schon zu stehlen" zieht nicht mehr. Kleine Firmen können zwar nicht
den gleichen Schutzaufwand betreiben wie ein multinationaler Konzern, doch das müssen sie auch
nicht, denn eine kombinierte Sicherheitslösung, die Content-Security beherrschbar macht, schütz in
Verbindung mit einer durchdachten Anwendungsstrategiegenauso zuverlässig.
Lesen Sie mehr zum Thema
