![[externer Link]](../../../../images/link.gif)
www.computacenter.de).Am Markt ist ein wachsendes Sicherheitsverständnis zu beobachten, durch das IT-Security zu einem entscheidenden Auswahlkriterium bei IT-Lösungen wurde. Hersteller von Endgeräten und Betriebssystemen müssen inzwischen nicht nur rein funktionelle und kostengünstige Produkte fertigen, sondern zunehmend auch Sicherheit fest in ihre Produkte integrieren oder eigene (zumindest unterstützende) Lösungen hierfür entwickeln. Diese Entwicklung macht auch vor der Hardware nicht Halt. Mittlerweile kommen für alle Ziele der Informations-Sicherheit auch hardwarebasierte oder -unterstützte Lösungen in den Markt oder sind zumindest schon in den Entwicklungsabteilungen präsent.
Sowohl der Schutz von Vertraulichkeit als auch von Verfügbarkeit, Integrität und Authentizität von Daten und der für ihre Bearbeitung notwendigen Prozesse erhalten damit neue Möglichkeiten, die über die Softwareebene hinauswachsen. IT-Sicherheit entwickelt sich gleichzeitig von einem Geschäft für Spezialanbieter zu einem Massenmarkt, was nicht nur die Kosten, sondern auch die Komplexität und die Kompatibilität positiv beeinflussen wird. Hardwareunterstützung für Sicherheit dürfte somit künftig – vielleicht abgesehen vom Low-Cost-Segment – zum verbreiteten Standard avancieren.
Eines der großen Probleme der Informations-Sicherheit ist die Unversehrtheit des Endgeräts (bzw. Clients). Im Extremfall lassen sich Systeme so manipulieren, dass sie zwar eine normale Nutzung ermöglichen, jedoch zusätzlich, vom Anwender unbemerkt Daten aus dem Unternehmen hinaussenden oder fremde Befehle ausführen.
Manipulationen durch Fremdsoftware begegnet man heute vor allem mit Anti-Malware-Programmen, die das Vorhandensein von Schadcode überprüfen. Einen zusätzlichen Schutz bieten teilweise in Desktop-Firewalls eingebaute Integrity-Tools, die Manipulationen erkennen, indem sie Prüfsummen von Anwendungen überwachen. Allerdings arbeiten alle solchen Werkzeuge in der Regel mit den gleichen Zugriffsrechten wie der Systembenutzer. Manipulationen am System selbst, beispielsweise durch Rootkits (vgl. S. 6), können so nur teilweise erkannt werden.
Um die Integrität des Gesamtsystems gewährleisten zu können, muss eine Prüfung unter Einbindung "unangreifbarer" Hardware erfolgen. Mittels gesicherter hardwarebasierter Prüfsummen kann bei Systemkomponenten der Zustand – beispielsweise von BIOS, Betriebssystem-Kernel und weiteren elementaren Systemdateien – mit einem vorher als vertrauenswürdig definierten Zustand verglichen werden, ohne dass eine Manipulationsmöglichkeit auf der normalen Ablaufebene bestünde. Veränderungen am System werden so von Anfang an erkannt und der Start eines beschädigten Betriebssystems eventuell verhindert.
Eine Grundlage für solche Prüfungen bildet das Trusted Platform Module (TPM, vgl. Kasten) nach der Spezifikation der Trusted Computing Group (TCG, s. a. [1,2,3,4,5]). Die volle Funktionalität der Trusted-Platform-Architektur kann jedoch nur mithilfe von Software genutzt werden, welche die zusätzlichen Sicherheitsfunktionen dieses Chips nutzt – in erster Linie gilt diess für das Betriebssystem. Prototypische Implementierungen für die TPM-Chips der Version 1.1 existieren jedoch zurzeit nur für Linux. Microsoft will mit dem für Mitte 2006 angekündigten Windows Vista allerdings eine entsprechende Unterstützung anbieten, jedoch nur im Zusammenspiel mit dem neueren TPM in Version 1.2 [6].
----------Anfang Textkasten----------
Das Trusted Platform Module (TPM), von der Trusted Computing Group (TCG, [5]) entwickelt, ist ein Kryptoprozessor mit eingebautem gesichertem Speicher. Ähnlich wie eine Smartcard kann das TPM digitale Schlüssel, Zertifikate, Passwörter und Prüfsummen speichern (z. B. von Systemkonfigurationen). Mittels eines integrierten Zufallszahlengenerators können asymmetrische Schlüssel erstellt, die geheimen Schlüssel anschließend im geschützten Speicher abgelegt werden.
Das TPM besitzt einen so genannten Endorsement Key, der gegenüber Kommunikationspartnern das "über" dem TPM liegende System als vertrauenswürdig identifizieren kann. Wichtig dabei ist, dass gültige Prüfsummen oder Schlüssel nicht durch den TPM-, Hard- oder Softwarehersteller vorgegeben, sondern vom Systembesitzer (Administrator) selbst definiert werden. Die TCG kann somit nicht bestimmte Betriebssysteme oder Software von der Ausführung auf einer mit TPM versehenen Hardware sperren. Diese Befürchtung hatte bei der ersten Markteinführung die Anwendung des TPM verhindert und 2003 zur Umstrukturierung der TCG-Vorgängerorganisation Trusted Computing Platform Alliance (TCPA) geführt.
Endgeräte werden heute von etlichen großen PC-Herstellern mit einem TPM der Version 1.1, aktuelle Chargen auch bereits mit Version 1.2 ausgeliefert.
----------Ende Textkasten----------
Vertraulichkeit ist gerade auf Endgeräten oft gar nicht oder nur rudimentär gewährleistet. Obwohl es heutzutage keine technischen Hindernisse für eine Festplattenverschlüsselung gibt, werden Endgeräte mit frei lesbaren Daten auch außerhalb von gesicherten Unternehmensumgebungen eingesetzt.
Neben den heute ausgereiften "separaten" Festplattenverschlüsselungslösungen für Notebooks will künftig auch Microsoft eine vollständige Verschlüsselung in Windows Vista integrieren. Spätestens mit dem Rollout von Vista sollten daher auf allen Clients im Unternehmen nur noch verschlüsselte Daten gespeichert sein.
Für alle Sicherheitslösungen ist zudem die Authentifizierung der Berechtigten das grundlegende Kriterium. Ist das Administratorpasswort zu schwach, kann der Schutz des Systems, auch wenn es eine Sicherheitsarchitektur besitzt, leicht umgangen werden. Wenn sich jeder anmelden kann, bieten auch verschlüsselte Festplatten keinen Schutz. Passwörter allein liefern meistens einen zu schwachen Schutz oder sind – bei entsprechender "Stärke" – zu benutzerunfreundlich. Eine so genannte Mehr-Faktor-Authentifizierung, die neben dem Wissen (Passwort, PIN,...) weitere Faktoren wie Besitz (Chipkarte, USB-Token,...) oder biometrische Merkmale prüft, erhöht das Sicherheitsniveau deutlich.
Zwei-Faktor-Authentifizierungen mit Smartcards oder USB-Token werden von vielen Unternehmen bereits heute erfolgreich eingesetzt, und mit Einführung der Gesundheitskarte und des Heilberufeausweises steht eine ganze Branche vor der Herausforderung, eine Mehr-Faktor-Authentifizierung flächendeckend einzuführen.
Diese Verfahren benötigen jedoch spezielle Schnittstellen oder Eingabegeräte, um entsprechende Merkmale prüfen zu können. Gerade beim Einsatz am Notebook ist das Mitführen zusätzlicher Peripheriegeräte keine ideale Lösung. Daher sollte beim Kauf solcher Systeme darauf geachtet werden, dass entsprechende Eingabegeräte bereits integriert oder die entsprechenden Schnittstellen noch nicht durch andere Geräte belegt sind.
Neben Smartcard-Terminals werden von einigen Herstellern besonders auch Fingerabdrucksensoren eingebaut (s. bspw. [8]). Die Sensoren der neueren Generation tasten nicht nur das Rillenmuster der Finger ab, sondern messen auch den kapazitiven Widerstand; diese Methode verhindert Angriffe mit Weichplastik oder anderen Imitaten. Je nach Bedrohungsstufe sollte ein Fingerabdruck mit einer Smartcard oder einem persönlichen Passwort kombiniert werden.
Die zunehmende Mobilität von Anwendern spielt auch bei der Authentifizierung eine große Rolle: Auf der einen Seite sind mobile Endgeräte nicht durch die Mauern des Unternehmens geschützt und müssen umso sorgsamer mit starken Authentifizierungsmethoden gesichert werden. Auf der anderen Seite kann sich der Anwender im Fehler- oder Verlustfall nicht schnell an die IT-Abteilung wenden. Die Support-Prozesse müssen die Verfügbarkeit deshalb durch entsprechende Remote-Unterstützung erhöhen, ohne dass das Sicherheitsniveau spürbar gesenkt wird.
Bei Verfügbarkeit denken viele IT-Sicherheitsbeauftragte noch immer vor allem an zentrale Komponenten wie Internetzugang und Serversysteme – diese sind bei den meisten Unternehmen hochverfügbar ausgelegt. Was aber noch immer häufig vernachlässigt wird: Fallen Endgeräte aus, können die Anwender ebenfalls nicht arbeiten.
Anders als zentrale Komponenten fallen Endgeräte seltener aufgrund von Hardwarestörungen aus, sondern überwiegend wegen Softwareproblemen; diese werden durch Fremdverschulden oder durch den Anwender selbst initiiert. Die Clients werden nicht selten von IT-begeisterten Nutzern durch individuelle Konfigurationen "ruiniert", oder Viren- und Wurmangriffe schalten gleich ganze Abteilungen aus. So mussten beispielsweise viele Unternehmen feststellen, dass ein stabiles SAP-System nur einen bedingten Nutzen hat, wenn alle Desktop-Systeme der Debitorenbuchhaltung durch Malware ausfallen.
Man kann also festhalten, dass nicht nur die zentrale IT verfügbar sein muss, sondern auch die Endgeräte, mit denen die Anwender darauf zugreifen. Ihre Verfügbarkeit kann durch Schutzmaßnahmen, Integritätsprüfungen, schnelle Support- und Austauschprozesse und durch effiziente Wiederherstellungsmaßnahmen erhöht werden.
Nicht mehr funktionsfähige Betriebssysteminstallationen schränken jedoch nicht nur den Benutzer, sondern auch den Zugriff von Management-Tools ein. Eine effiziente Hilfe mittels Fernwartung ist dann häufig nicht möglich. Um die Wiederherstellungszeit von Systemen zu senken, implementieren heute etliche High-End-Anbieter Basissysteme, die administrative Zugänge und eine Überwachung des Geräts auch ohne ein funktionierendes Betriebssystem ermöglichen. Ein Administrator kann von einem vertrauenswürdigen System aus, ähnlich wie mit einer Rettungs-CD, einen Viren-Scan oder eine Reparatur des Rechners veranlassen oder eine Neuinstallation anstoßen.
Derartige Basiszugriffe auf das System sind in der Serverwelt mit Inside Lights Out (Hewlett Packard) oder mithilfe von Lights Out Management (Sun Microsystems) schon seit Jahren möglich. Mit der Intel Active Management Technology (IAMT) hält ein vergleichbares Verfahren das erste Mal in Form eines Chipsatz-Features auch Einzug in Endanwendersysteme wie Notebooks und Desktop-PCs [10].
Intel stellt mit IAMT ein Basissystem bereit, das neben den reinen Gerätemanagementfunktionen auch einen Zugriff auf das Dateisystem des installierten Betriebssystems ermöglicht, selbst wenn dies, beispielsweise aufgrund von Malware, nicht mehr startet oder korrekt funktioniert. Im Gegensatz zu softwarebasierten Lösungen, die im Fehlerfall von einer versteckten Partition booten, funktioniert IAMT im Prinzip auch, wenn die Festplatte – versehentlich oder durch einen gezielten Angriff – komplett gelöscht wurde. Des Weiteren können Administratoren Systeme selektiv wiederherstellen, ohne beispielsweise eine Remote-Neuinstallation per Netz-Boot durchführen zu müssen, bei der sämtliche auf dem System abgelegten Daten verloren gingen.
Bei der Gelegenheit darf auch hier nicht der Hinweis auf die Datensicherung fehlen: Viele Unternehmensdaten werden durch die Mobilität ihrer Bearbeiter nicht zentral, sondern nur noch auf Client-Systemen gespeichert. Kommen Endgeräte abhanden oder wird die Festplatte zerstört, sind alle nicht gesicherten Daten für das Unternehmen verloren. Die Anwender müssen durch entsprechende Backup-Prozesse daher in die Lage versetzt werden, ihre lokalen Daten regelmäßig geschützt zu sichern und möglichst zentral vorzuhalten.
Erschreckenderweise sind wohl nur wenigen Unternehmen wirklich alle seine Endgeräte bekannt – von Servern über Desktops, Notebooks bis hin zu PDAs und Smart-Phones. Bei Virenangriffen fallen immer wieder unentdeckte Systeme durch ihre plötzliche unerwünschte Aktivität auf.
Geräte, die nur zeitweise eingeschaltet oder mit dem Netz verbunden werden, oder Geräte, die sich aus Sicherheitsgründen im Netz "verstecken", sind mithilfe von zentralen Managementlösungen kaum zu finden. Mobile Clients verbinden sich in unregelmäßigen Abständen mit dem Unternehmensnetz und häufig dauert diese Verbindung nicht lang genug, um von solchen Mechanismen erkannt zu werden. Oft liefert erst eine Kopplung mit der Zugangsprüfung zum Unternehmensnetz den Asset-, Patch- oder Schwachstellen-Managementprozessen die notwendige Daten und verhindert den Zugang zum Netz für unbekannte oder unerwünschte Systeme.
Auch bei dieser "Aufschaltprüfung" liefert Sicherheitshardware zunehmend Unterstützung: So stellt ein TPM über den Endorsement Key ein geeignetes Mittel für die Zugangskontrolle vertrauenswürdiger Systeme zur Verfügung. Im Zusammenspiel mit einer zertifikatsbasierten Authentifizierung – etwa per IEEE 802.1x auf Basis des Extensible Authentication Protocol (EAP) – können Endgeräte an den Grenzen des Firmennetzes, den Switches und VPN-Gateways, kontrolliert werden. Nicht vertrauenswürdige oder firmenfremde Endgeräte erhalten dann keinen oder nur eingeschränkten Zugang zum Netz.
Die Trusted Computing Group hat hierzu zudem die Trusted Network Connect Specifications (TNC) erarbeitet: eine offene Lösung zum Policy-Enforcement bezüglich der Sicherheitsanforderungen von Endgeräten bei der Aufschaltung auf geschützte Netze.
Entsprechende Verfahren sind aber auch bereits als "Industriestandards" auf dem Markt (z. B. Cisco NAC, Checkpoint Integrity, Symantec Sygate). Die teilweise proprietären Lösungen und die nicht vollständige Unterstützung aller Endgeräte haben in der Vergangenheit jedoch die Implementierung eines vertrauenswürdigen Netzzuganges erschwert. Inzwischen sind die meisten Lösungen ausgereifter, sodass auch notwendige Ausnahmen, wie Drucker, die kein TPM besitzen oder keine Zertifikate speichern können, kontrolliert an das Netzwerk angeschlossen werden können.
Die Überprüfung der Endgeräte vor dem Netzzugang geht dabei über die reine Authentifizierung hinaus. Ein ursprünglich vertrauenswürdiger Client, der längere Zeit nicht aktualisiert wurde, stellt letztlich auch eine Gefahrenquelle da, die andere – ebenfalls nicht aktuelle – Endgeräte infizieren kann. Viele Wurmangriffe wurden in der Vergangenheit dadurch ausgelöst, dass sich ein mobiler Benutzer nach längerer Abwesenheit unkontrolliert mit dem Firmennetz verbunden hat. Man sollte also auch erfassen, ob die Signaturen des Viren-Scanners aktuell sind, die Regeln der Client-Firewall und die Windows-Gruppenrichtlinien den Vorgaben des Unternehmens entsprechen und so weiter. Moderne Zugangskontrollsysteme prüfen diesen Sicherheitsstatus des Endgerätes, bevor ihm der Zugang zum Netz gewährt wird. Abhängig vom Ergebnis wird das Endgerät dann zugelassen oder einer Quarantänezone zum Update oder zur Wiederherstellung (Remediation) zugewiesen (vgl. [12]).
Microsoft will zudem in Kooperation mit etlichen Security-Herstellern in Windows Vista eine solche Sicherheitsüberprüfung integrieren, die auf dem TPM 1.2 basiert. Die Vista-Clients sollen somit vor dem Netzzugang auf ihren Sicherheitsstatus überprüfbar sein.
----------Anfang Textkasten----------
Die geplante Architektur von Intels LaGrande Technology (LT) ermöglicht dem Betriebssystem weitere Sicherheitsfunktionen [11]. Die "geschützte Ausführung" stellt Applikationen eigene, dedizierte Ressourcen zur Verfügung, sodass eine Anwendung nicht das komplette System lahm legen kann. Der "versiegelte Speicher" verknüpft gespeicherte Daten mit dem ausführenden System, sodass diese nur in derselben Umgebung wieder gelesen (entschlüsselt) werden können.
Durch geschützte In- und Output-Mechanismen wird die Kommunikation zwischen Maus, Tastatur und Applikation sowie zwischen Applikation und dem Grafikspeicher verschlüsselt. Keylogger oder andere Spionagesoftwares können die übertragenen Informationen somit nicht mehr abhören.
Eine Kontrollfunktion stellt sicher, dass die LT-Sicherheitsfunktionen ordnungsgemäß implementiert wurden. Das Prüfergebnis kann an Kommunikationspartner übertragen werden, sodass eine gegenseitige Vertrauensstellung aufgebaut werden kann. Schließlich soll LT in einer abgesicherten Umgebung den Start und die Registrierung von System- und Betriebssystemkomponenten ermöglichen.
In Intels LT ist ein TPM 1.2 integriert (vgl. Kasten "Trusted Platform Module"). Zurzeit befindet sich die LT noch in der Entwicklungsphase – Windows Vista wird wahrscheinlich noch nicht alle Funktionen unterstützen.
----------Ende Textkasten----------
Bedeuten Embedded-Security-Lösungen das Ende für eine individuelle Client-Sicherheit in Form spezialisierter Sicherheitslösungen? Mit der vollständigen Umsetzung der Sicherheitsfunktionen von Intels LaGrande (vgl. Kasten) und Microsofts Windows Vista wird die Sicherheit der Endgeräte einen großen Schritt nach vorn machen und den IT-Betrieb vereinfachen. Theoretisch kann damit ein gegen Viren und Würmer geschütztes System geschaffen werden; der Einsatz von Viren-Scannern und auch Client-Firewalls könnte entfallen.
Allerdings darf man hierbei nicht vergessen, dass in vielen Unternehmen noch die Anwender über den Einsatz von Sicherheitsmaßnahmen entscheiden. Der PC hat über den Terminal-Client gesiegt, weil er eine flexible und offene Plattform darstellt. Anwender wollen ihr Endgerät auf "ihre Art" nutzen, und selbst wenn sie in Zukunft nicht mit Administratorrechten arbeiten werden, so kann ihnen die IT auch weiterhin die Möglichkeit für Browser-Plug-ins oder ähnliche Features bieten. Und dies sind Möglichkeiten, die nicht nur einen vertrauenswürdigen Anwender erfreuen werden.
Als Fazit bleibt daher wohl festzuhalten: IT-Sicherheit ist kein erreichbarer Zustand, sondern ein fortwährender Wettlauf. Und daran wird sich auch mit Embedded Security durch Sicherheitshardware und -funktionen nichts ändern.
Jörge Könnecke ist Regional Service Manager und Competence Leader Client Security, Christian Louis ebenfalls Competence Leader Client Security bei Computacenter ( www.computacenter.de).
www.bsi.bund.de/sichere_plattformen/trustcomp/ www.trustedcomputinggroup.org www.microsoft.com/germany/technet/datenbank/articles/600957.mspx www.pc.ibm.com/europe/fingerprint/de/?de&de&cc=de www.pc.ibm.com/europe/think/de/thinkvantage.html?de&cc=de www.intel.com/cd/network/communications/emea/deu/237206.htm www.intel.com/technology/security/
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#1, Seite 21
| 