Ähnlich den OSI-Layern für die Vernetzung lässt sich auch ein Security-Schichtenmodell definieren: Die erste Ebene ist für den korrekten und vollständigen Datentransport zuständig. In der zweiten Schicht regeln Firewalls die erlaubten Datenströme. Die Content Security ist Aufgabe des dritten Layers und dient der Kontrolle übertragener Informationen. Anti-Virus-Security sitzt in der vierten Ebene und prüft unerwünschte Auswirkungen übertragener (Programm-)Daten. Die fünfte und "höchste" Schicht kümmert sich um die Application Security, die auf Programmebene zum Beispiel per Passwortschutz den Zugriff auf die Daten regelt.
In den meisten Netzen kommt die Content Security zu kurz oder fehlt vollständig: Daten werden ohne jegliche inhaltliche Kontrolle in alle Richtungen übertragen und an beliebige interne und externe Empfänger verteilt. Dabei birgt dieser Bereich nicht zu unterschätzende Risiken: Wie schnell kann ein simpler Tipp- oder Bedienfehler in der Ê-Mailadresse vertrauliche Daten kompromittieren? Angenommen, der Vorstand fordert für eine interne Präsentation die Projektdaten eines neuen Produkts an, diese gingen aber fälschlicherweise an den Verteiler eines internationalen Arbeitskreises, in dem die Firma mitarbeitet. Dort beschäftigen sich alle Mitglieder mit ähnlich gelagerten Produkten und die Mitbewerber könnten sich über die unverhoffte, vorzeitige Offenlegung vertraulicher Entwicklungen freuen ... "Irrtum und Nachlässigkeit eigener Mitarbeiter" rangiert in den KES-Sicherheitsstudien regelmäßig als bedeutendstes Risiko.
Auch bei Angriffen durch Social Engineering (s. a. S. 10) kann Content Security zusätzliche Sicherheit bieten: Ein Mitarbeiter im Sekretariat bekommt vom Geschäftsführer auf Dienstreise eine E-Mail (über dessen privaten Account beim Anbieter XY) mit der Bitte, vertrauliche Geschäftsdaten schnellstmöglich zu mailen, da er sie gleich für ein dringendes Telefonat mit wichtigen Geschäftspartnern benötige. Wird der Mitarbeiter hier argwöhnen, dass der Mail-Account eventuell gar nicht dem Geschäftsführer gehört? Bei gebotener Eile ist der Druck sofort zu reagieren oft so groß, dass eine telefonische Rückversicherung beim vorgeblichen Absender der E-Mail unterbleibt.
Content-Security-Richtlinien könnten jedoch verhindern, dass E-Mails mit den Worten "Budget" oder "vertraulich" an unbekannte Webmail-Adressen abgehen. Schickt das hilfsbereite Sekretariat die Geschäftsdaten an mustermann@xyz.de, so würde eine als vertraulich eingestufte E-Mail automatisch geblockt und ginge mit einem Hinweis auf die untersagte Weitergabe interner Informationen oder einen unzulässigen Empfänger an den Absender zurück. Damit keine Sicherheitslücken entstehen, muss eine Content Security-Lösung dabei äußerst vielschichtig arbeiten: Sie muss sowohl den E-Mail-Verkehr als auch direkt im Browser eingegebene Web-Mails und beliebige Down- und Uploads prüfen.
Content-Security-Lösungen ermöglichen eine
detaillierte Kontrolle ein- wie ausgehender
Nachrichteninhalte.
Grundlage der Content Security-Prüfungen ist ein ausgefeiltes Sicherheitsregelwerk, das in Teamarbeit von Geschäftsleitung, Betriebsrat und Mitarbeitern individuell für die eigene Firma zu definieren ist. Das Einbeziehen aller Beteiligten ist hier nicht nur aufgrund des deutschen Betriebsverfassungsgesetzes ein Muss, eine Security-Lösung gleich welcher Art hat nur dann Erfolg, wenn Sicherheit im Unternehmen von allen akzeptiert und aktiv gelebt wird. Fehlt die Integration und Aufklärung, können die Mitarbeiter nicht nachvollziehen, was die Content Security (auch für sie) leistet und sie möglicherweise als Überwachungsfunktion abtun.
Die Policies regeln, welche Informationen zu schützen sind. Die Sicherheitsrichtlinien können hierbei sowohl für Gruppen als auch für einzelne Personen eingerichtet werden. Beispielsweise könnte man festlegen, dass
Generell gilt: Eine Content-Security-Lösung ist nur so gut und vollständig wie die in den Policies hinterlegten Regeln. Entsprechend müssen diese regelmäßig an neue Gefahren angepasst werden. Besonders wichtig ist daneben auch die Benutzerverwaltung: Werden die Policies in vorhandene Unternehmensverzeichnisse (beispielsweise LDAP) integriert, passen sich diese bei Änderungen wie beispielsweise der Umstrukturierung von Abteilungen oder dem Wechsel von Mitarbeitern automatisch an.
Die eigentliche Prüfung besteht aus zahlreichen Schritten: Zuerst ermittelt die Content-Security-Software Absender und Empfänger der Nachricht und ermittelt so die gültige Policy für diese E-Mail. Mithilfe der hinterlegten Regeln werden beispielsweise die Absender kategorisiert und somit Newsletter und Spam-Mails unterschieden. Auch ein automatischer Abgleich von Absenderadressen mit Sperrlisten externer Dienstleister kann hier für das korrekte Herausfiltern unerwünschter Nachrichten sorgen.
Im nächsten Schritt erfolgt eine rekursive Zerlegung der E-Mail-Objekte zur Identifizierung des Originalinhalts. So lassen sich gepackte Dateien, die sich wiederum in komprimierten Dateien befinden, korrekt analysieren. Überschreiten die Verschachtelungsebenen (ZIP im ZIP im ZIP ...) einen Grenzwert von beispielsweise 40 oder 50 Ebenen, wird das Objekt herausgefiltert und als Sicherheitsrisiko eingestuft.
Sobald die einzelnen Bestandteile vorliegen, durchlaufen diese die Anti-Virus-Prüfung. Anschließend folgt die eigentliche Inhaltsprüfung des Nachrichtentextes und seiner Objekte. Dabei prüft eine gewichtete Textanalyse die Mail einschließlich aller Anlagen auf Stichwörter und Phrasen. Nach welchen Textbestandteilen gesucht wird, legt die anfangs auf Basis des Absenders/Empfängers ausgewählte Policy fest. So kann es sinnvoll sein, dass die Rechtsabteilung Mails mit Schimpfwörtern wie "Drecksau" empfangen und versenden kann – Beschimpfungen könnten dort als Zitate in einem Rechtsstreit benötigt werden. Vertrieb und Entwicklung hingegen darf man ruhig vor entsprechenden Begriffen schützen. Die Policies könnten auch festgelegen, dass Schimpfwörter nur in Verbindung mit dem Zusatz Zitat und in Anführungszeichen erlaubt sind, etwa als Zitat: Herr XYZ beschimpfte mich mit "Drecksau".
Die Prüfung der Objekte stellt an die Content Security-Lösung besondere Ansprüche: Sie muss alle gängigen Dateiformate, beispielsweise Office-Dokumente oder Grafikformate, beherrschen. Dabei ist selbstverständlich der Dateiaufbau selbst und nicht nur die Dateierweiterung zu analysieren. Unbekanntere Formate sollten auf Basis von Binärmustervergleichen als benutzerdefinierte Formate erlernbar sein. Neben der reinen inhaltlichen Prüfung sind je nach Absender/Empfänger weitere Prüfungen durchzuführen: Wie viele Anhänge sind vorhanden, um welche Dateiformate handelt es sich, wie groß sind die Dateien oder wie lautet der Dateiname?
Jeder Prüfschritt führt zu einer Sicherheitseinstufung der E-Mail. Am Ende werden die Sicherheitseinstufungen ausgewertet und gemäß der höchsten Einstufung weiter verfahren. Beim unerlaubten Versand von vertraulichen Nachrichten – das Dokument ist zum Beispiel über entsprechende Hinweise in den Dateieigenschaften oder einer vorgeschalteten Klassifizierung als vertraulich oder geheim gekennzeichnet – wird die Nachricht mit einem Hinweistext an den Absender zurückgesendet. Bei entsprechend relevanten Verstößen gegen die Policy kann eine E-Mail zudem an den Administrator oder eine festgelegte Vertrauenspersonen zur Überprüfung weitergeleitet werden. Problematische Anhänge lassen sich Policy-gesteuert aussondern. Das gleiche gilt für virenbefallene E-Mails: Die Nachricht kann ohne verseuchte Dateien zugestellt oder ein entsprechender Warnhinweis an den Absender/Empfänger zurückgegeben werden.
Auch beim Einsatz einer Content-Security Lösung ist Sicherheit kein einmaliges Ereignis, sondern ein fortlaufender Prozess. Sicherheit – soll sie sich nicht nur auf punktuelles und reaktives Handeln beschränken – erfordert eine kontinuierliche Vorgehensweise. Nur wenn Mitarbeiter die Chance haben, Nutzen und persönlichen Schutz einer Content-Security-Software zu erfahren und wenn der Einsatz der Lösung für alle transparent ist, werden die Mitarbeiter eventuelle Sicherheitslücken erkennen und mithelfen, sie zu schließen.
Frank Brandenburg ist Vice President Continental & Eastern Europe der MIMESweeper Business Unit von Baltimore Technologies ( www.mimesweeper.de).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 15