Management und Wissen

Sicherheits-Strategien

Sicherheit kommt von innen

Von Norbert Drecker, Köln

Der Fokus vieler Entscheider liegt noch immer auf der bloßen Zugangskontrolle an der Eintrittsstelle ins Firmennetz, repräsentiert durch Techniken Firewalls, Intrusion Detection, Virus Scans und Virtual Private Networks. Ein umfassender Sicherheitsschirm sollte jedoch auf den eigenen Geschäftsprozessen beruhen und bei deren (Zugriffs-)Schutz beginnen.

Sicherheit ist in vielen Unternehmen nur Stückwerk. Das gilt oft genug sowohl (so überhaupt vorhanden) für die etablierte Sicherheitspolitik als auch für die Umsetzung von Sicherheit durch die Technik. Wirklich effektiv ist nur ein kompletter Schutzschirm, der sich aus allen erforderlichen Sicherheitstechniken zusammensetzt. Dieser sollte von innen (Zugriffsschutz) nach außen (Zugangskontrolle) konzipiert und gespannt werden und nicht wie meist bisher in umgekehrter Richtung. Nur so ist ein Unternehmen in der Lage, bei Änderungen des Gefahrenszenarios oder seiner Geschäftsstrategien den Schirm schnell und flexibel von den Geschäftsprozessen ausgehend anzupassen.

Nabe und Speichen eines solchen Schutzschirms sind:

als Basis ein zentrales Benutzermanagement zur Hinterlegung aller für den Zugriffsschutz notwendigen Benutzer- und Ressourceninformationen nebst individuellen und gruppenspezifischen Zugriffsparametern,
Single Sign-on als wirtschaftliches und sicheres Anmeldeverfahren,
eine Public Key Infrastructure (PKI) auf der Basis des zentralen Benutzermanagements und des Single-Sign-on-Verfahrens,
Firewalls und begleitende Schutzmechanismen wie Intrusion Detection Systems (IDS) und Virenabwehr,
Virtual Private Networks (VPN) mit dem Sicherheitsstandard IPsec für eine verlässliche Verschlüsselung des Datenverkehrs im WAN sowie Vorab-Authentifizierung des Datenstroms via Firewall.

Diesen umfassenden Sicherheitsschirm zu spannen gelingt leichter, wenn nicht nur dann, wenn man auf eine komplette Sicherheitsarchitektur eines einzelnen Herstellers zurückgreift, die all diese strategischen Voraussetzungen und Schutzmechanismen berücksichtigt. Unterstützte Standards, um in diesem Bereich Lösungen unterschiedlicher Hersteller zusammenzufügen, sind rar.

Drehscheibe "zentrales Benutzermanagement"

Zentrale Instanz bei der Herausbildung der einzelnen Sicherheitssäulen ist das Benutzermanagement, angesiedelt auf einem Sicherheitsserver. Es hält alle für eine umfassende Zugriffskontrolle notwendigen Informationen wie Benutzer- und Ressourceneinträge sowie die individuellen und gruppenspezifischen Zugriffsberechtigungen vor. Um die gewünschten Synergieeffekte zu erzielen muss das eingesetzte System hinreichend viele Integrationsagenten anbieten, über welche die Informationen der installierten Geschäftssysteme – (Netzwerk-)Betriebssysteme, Dienste, Datenbanken und Anwendungen – in das zentrale Benutzermanagment einfließen können. Die Vorteile:

Höhere Transparenz und Flexibilität: Die Tatsache, dass alle Benutzer- und Ressourceninformationen sowie die Zugriffsparameter auf dem Security-Server zentral gehalten werden, erhöht für den Administrator die Transparenz und Flexibilität des Gesamtsystems.
Mehr Sicherheit: Weil diese Einträge zentral nur "einmal" verwaltet, gepflegt und bei Bedarf gelöscht werden müssen, sind die Daten immer aktuell und konsistent, was gefährliche Schlupflöcher durch Eintragsleichen oder inkonsistente Mehrfacheinträge vermeidet.
Weniger Verwaltungskosten: Die Administration aller Benutzer- und Ressourceneinträge an einem Ort, statt auf etlichen Systemen, spart Personal und Zeit.

Per Single Sign-on zu den Zielanwendungen

Auf Basis des zentralen Benutzermanagements lässt sich ein zugleich sicheres wie wirtschaftliches Single-Sign-on-Verfahren (SSO) etablieren. Das Prinzip: Ein Authentifizierungspasswort des Benutzers wird an den Sicherheits-Server gesandt, der die eigentlichen Autorisierungspasswörter für die Geschäftssysteme verwaltet, auf die der Nutzer zugreifen darf. Die Vorteile:

Nur ein einziges für den Benutzer offensichtliches Passwort: Der Anwender muss sich keine weiteren Passwörter (die Autorisierungspasswörter) merken.

Mehr Passwort- und damit mehr Datensicherheit: Mit nur einem für den Benutzer offensichtlichen Passwort schwindet die Gefahr, dass Unberechtigte notierte Passwörter abgreifen oder bei der Eingabe ausspähen.

Kein unnötiges Passwort-Handling: Die Arbeit des Passwort-Helpdesks reduziert sich drastisch, weil nur noch ein SSO-Passwort zu verwalten ist und dieses eine Passwort von den Anwendern zudem seltener vergessen wird.

Autorisierungspasswörter in nahezu beliebiger Komplexität: Die eigentlichen Passwörter sind für den Benutzer nicht offensichtlich, er muss sie sich also auch nicht merken können. Daher können diese (im Rahmen der Möglichkeiten) beliebig lang und komplex sein (Sonderzeichen).

PKI inbegriffen

Mit zentralem Benutzermanagement und Single Sign-on sind gleichzeitig ein erster Vorbereitungsschritt für den Einsatz einer PKI. Der generelle SSO-Ablauf bleibt derselbe, nur dass (wo möglich) digitale Zertifikate statt Passwörtern für die Authentifizierung und anschließende Autorisierung zum Einsatz kommen. Das stärkt den Schutzschirm weiter gegen Abhörversuche. Positiver Nebeneffekt: Alle Geschäftssysteme, die zuvor in den SSO integriert wurden, sind nun in die PKI eingebunden.

Einmal etabliert, bietet die PKI über alle eingebundenen Geschäftssysteme Sicherheit gleich in vierfacher Hinsicht und schirmt Ende-zu-Ende-Online-Geschäftsprozesse komplett ab:

Authentizität: Der Versender einer Nachricht ist für den Empfänger eindeutig identifizierbar.
Verbindlichkeit: Die Nachrichten sind über die elektronische Signatur dem Urheber rechtsverbindlich zuzuordnen.
Integrität: Die Nachrichten sind während des Transports vor Abfangversuchen, Weiterleiten an Unberechtigte und Manipulationen weitgehend sicher. Treten dennoch Unregelmäßigkeiten auf, sind diese für den Empfänger erkennbar.
Vertraulichkeit: Die Daten werden verschlüsselt übertragen.

Die richtige Firewall-Technik für den Zugangsschutz

Der implementierte Zugriffsschutz benötigt gegenüber den Netzen (Intranet, Extranet und Internet) Firewall-Systeme, um den Sicherheitsschirm um einen verlässlichen Zugangsschutz zu erweitern. Ein fest umgrenzter Aktionsradius der Firewall ist dazu die Voraussetzung – dazu gehören:

bei Einwahlversuchen von Endgeräten mit festen IP-Adressen der Check dieser Adresse,
bei Einwählversuchen von Endgeräten mit variablen IP-Adressen eine personifizierte Vor-Authentifizierung für die Anwendung oder den Dienst, auf den der Einwählende zugreifen will.

Die eigentliche Authentifizierung von Teilnehmern sollte die Firewall dagegen nur noch gegenüber Diensten und Anwendungen absolvieren, die intern über keinen Verzeichnisdienst verfügen und deren Einträge dementsprechend nicht ins zentrale Sicherheitsverzeichnis übernommen werden können. Beispiele dafür sind das File Transfer Protocol (FTP), Telnet (Telecommunication Network) und Remote Login.

Eine Firewall sollte im Übrigen folgende Bedingungen erfüllen, damit sich der Administrationsaufwand auch für kaskadierte Firewall-Architekturen, die den Zugang bis auf Abteilungsebene abschotten, in wirtschaftlichen Grenzen hält:

Beschränkung auf den Zugangsschutz, ohne in die Domäne der Zugriffskontrolle einzubrechen
Abbildung aller Hardware-Systeme – Firewalls, Server und PCs – als neutrale Objekte sowie Definition von Sicherheitszonen: Das erlaubt, komplexe Firewall-Architekturen ohne großen Aufwand in Firewall-Domänen zu strukturieren und darin nach Bedarf flexibel die einzelnen Hardware-Systeme anzuordnen.
Abbildung der Kommunikationsbeziehungen zwischen den Objekten innerhalb der einzelnen Sicherheitszonen über ein logisches Regelwerk: Dieses Regelwerk entbindet den Firewall-Administrator davon, sich mit der komplexen Netztopologie auseinandersetzen zu müssen. Statt dessen erstellt der Firewall-Administrations-Server aus dem Regelwerk automatisch die Datensätze zur Steuerung der einzelnen Firewall-Systeme.
Vorverdichtung aller eingehenden Protokolldateien auf den zuständigen Firewall-Systemen sowie zentrale Protokollierung und Auswertung der sicherheitsrelevanten Informationen: Nur so hält sich die zentral auflaufende Meldungslast in Grenzen und der Firewall-Administrator kann sich auf die wichtigen Ereignisse konzentrieren.
Hohe Ausfallsicherheit und ungebremste Performance durch Firewall-Back-up und Load-Balancing
Übergabeschnittstelle zwischen Firewall-Administration und Sicherheitsverzeichnis des zentralen Benutzermanagements: Auch wenn auf dem Firewall-Administrations-Server in der Regel die Konfigurationen einschließlich der Regelsätze noch in herstellerspezifischen Dateien abgelegt werden, sollte der Firewall-Hersteller mit Blick auf die Zukunft dennoch einen Weg eröffnen, diese Einträge ins zentrale Sicherheitsverzeichnis zu überführen. Was bisher bei allen Anbietern fehlt, ist eine Möglichkeit, solche Einträge innerhalb des zentralen Benutzermanagements auch administrieren zu können. Das würde dann zu noch mehr Administrationstransparenz und Wirtschaftlichkeit des gesamten Sicherheitssystems beitragen.

IP-VPN – so schlank wie möglich

Sichere IP-VPN sind das letzte technische Glied der Sicherheitskette, die den Schutz der Geschäftsdaten über Weitverkehrsverbindungen hinweg komplettieren. Dazu kann man IP-VPN zwischen zwei kommunizierenden Firewall-Systemen oder in der Konstellation "Firewall – Client" einrichten. Als Tunneling-Verfahren für IP-VPN hat sich mittlerweile das Layer 2 Tunneling Protocol (L2TP, RFC 2661) durchgesetzt. Zumal L2TP zudem die proprietäre Cisco-Variante Layer 2 Forwarding (L2F, RFC 2341) und Microsofts Point-to-Point Tunneling Protocol (PPTP, RFC 2637) unter einen Hut bringt. Der Tunnel "verpackt" die IP-LAN-Pakete für den Transport mittels Point-to-Point Protocol (PPP) in IP-WAN-Pakete und wandelt sie auf der anderen Seite wieder ins Ursprungsformat.

Doch Tunneling ist zur Herausbildung von IP-VPN nicht zwangsläufig notwendig. Die IP-Pakete können stattdessen lediglich über den IP-Header dem Ziel zugewiesen, das eigentliche Datenpaket über IPsec sicher verschlüsselt und am Ziel, der adressierten Firewall, ebenso sicher authentifiziert werden. Die Vorteile solcher Lösungen sind eine höhere Performance, weil das zeitaufwändige Packen und Entpacken der IP-Pakete an den Tunnelenden entfällt, und außerdem ein geringerer Administrationsaufwand, da keine Tunnel als logische Verbindungen zu konfigurieren sind.

Resümee

Den Sicherheitsfokus vorwiegend auf die Zugangskontrolle und damit Techniken wie VPN, Firewall, Intrusion Detection und Viren-Scan zu setzen, hilft heute nicht mehr weiter. Wirkliche Sicherheit beginnt im Kern mit einer modernen Zugriffskontrolle, an die sich die Zugangskontrolle mit ihren begleitenden Schutztechniken anschließt. Letztere sollte so weit wie möglich mit dem Kern und damit dem zentralen Benutzermanagement harmonieren.

Die Motivation für dieses veränderte Sicherheitskonzept von innen nach außen: Letztlich geht die Sicherheitsstrategie von den Geschäftsprozessen und den sie tragenden Systemen aus und nicht von den einwählenden Benutzern und Hackern. Nur mit einem darauf basierenden Konzept ist ein Unternehmen in der Lage, die einzelnen Schutzmechanismen immer wieder schnell und flexibel den veränderten Geschäftszielen und Gefahrenszenarios anzupassen.

Norbert Drecker ist Leiter Beratung und Support bei der Evidian GmbH in Köln.