| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Alles soll und muss heute sicher sein: Daten im Archiv, Clients und Server, Anwendungen im Netzwerk, Benutzerdaten im Verzeichnisdienst, der Firmenzugang ins Web, die Mails im Postfach, mobile Systeme und Speicher und so weiter. Dabei könnte schon die Absicherung jedes einzelnen dieser Bereiche als eigene "olympische Disziplin" gelten. Speziell der IT-Abteilung wird hier sehr viel spezifisches Know-how abverlangt.
Hier läuft man schnell Gefahr, bei der Konzentration auf einzelne Details den Überblick zu verlieren. Dabei sind gerade Überblick und Weitblick die Gebote der Stunde: Überblick, weil sich Teillösungen zwangsläufig irgendwann tangieren und zu einem großen Ganzen zusammenfügen müssen – Weitblick, weil sich kein Teilbereich der IT der Forderung nach Sicherheit auf Dauer entziehen kann.
Die wirksame Verteidigung gegen eine schnell wachsende Zahl komplexer, räumlich und zeitlich verteilter Bedrohungen hat ihren Preis – allem voran die weitere Erhöhung der Komplexität des Gesamtsystems. Dem entsprechend sind IT-Sicherheitslösungen, die über die Zeit von einem einfachen Virenschutz zu mehrstufigen Schutzzonen und Firewall-Einrichtungen gewachsen sind, oft ebenfalls sehr komplex und benötigen ein hohes Maß an Expertenwissen für ihren Betrieb und die permanente Adaption an neue Bedrohungen.
Täglich gibt es neue Viren, Würmer, Spyware oder andere Bedrohungen. Dabei fällt es nicht nur Laien, sondern auch Experten zunehmend schwerer, eine klare Trennung vorzunehmen: Blended Threats, Bots, Spam, Trojanische Pferde, Phishing, Pharming, Spoofing – allein bei der Typologie kann man schnell den Überblick verlieren. Und auch die Angriffe selbst werden komplexer.
Hinzu kommen technische "Innovationen", die das Thema nicht gerade einfacher machen. Die Unterhaltungselektronik wird in Zukunft genauso mit der Informationstechnik verschmelzen wie es für die Telekommunikation bereits zutrifft. Voice-over-IP (VoIP) wird vermehrt in Haushalten und Unternehmen Einzug halten und bald Teil unseres täglichen Lebens werden. Welches Bedrohungspotenzial all diese Konvergenz birgt, können wir uns derzeit nur annähernd ausmalen.
An Spam im E-Mail-Account haben wir uns ja mittlerweile gewöhnt – aber Spam over Internet Telephony (SPIT)? Freilich, neue Kommunikationsplattformen bringen neue Bedrohungen mit sich, das war schon immer so. Also stellen wir uns im Zuge der Nutzung von Internet-Telefonie innerlich schon mal auf eine Flut unsinniger Anrufe ein, die uns den großen Gewinnspielgewinn oder die Wahl zum Verbraucher des Monats versprechen. Der nächste Schritt lässt nicht lange auf sich warten: Ähnlich wie nach Spam das Phishing kam, folgt auf SPIT dann PHIT (Phishing over Internet Telephony) – ob man das lieber Vishing nennen soll, da sind sich die Experten noch nicht so recht einig. So oder so: Verlockende Angebote sollen den Menschen zur Herausgabe persönlicher Daten verleiten – in der "klassischen Welt" nannte man das schlicht Bauernfängerei, egal ob an der Haustür oder am Telefon.
An der technischen Front zeigen sich indes neue Strategien: Früher waren Angreifer daran interessiert, möglichst viele Systeme parallel lahmzulegen, um durch derartige Attacken ein hohes Maß an öffentlicher Aufmerksamkeit zu erzielen. Die Viren-Jäger haben sich auf diese Situation eingestellt und sind auch (bzw. vor allem) bei massenhafter Verbreitung von Malware in der Lage, zur Abwehr schnell neue Signaturen in die Viren-Scanner zu implementieren.
Seit einiger Zeit bleiben jedoch breit angelegte Attacken aus und Angreifer konzentrieren sich eher auf gezielte Raubzüge gegen definierte Ziele. Dazu werden speziell programmierte Schädlinge langsam in Umlauf gebracht. Dieses Vorgehen verschleiert die Attacke und wird daher schwerer erkannt. Malware der heutigen Generation versteckt sich auf Systemen, übernimmt im Hintergrund das Zepter und infiltriert ganze Netzwerke, bevor Wirkungen offen zutage treten: Daten werden fehlgeleitet, Viren und Trojanische Pferde ferngesteuert und Zugangskennungen gesammelt.
Informationen sind in unserer elektronischen Welt zu einem unschätzbaren Gut geworden. Beim Endanwender stehen Zugangsdaten zu Internet-Diensten, PIN und TANs für Banking oder Kreditkartendaten genauso im Blickpunkt wie Verhalten und Vorlieben im Internet. Zusammen mit E-Mail-Adressen, die Schädlinge auf einem befallenen System vorfinden, werden solche Daten, vom Nutzer unbemerkt, gesammelt und an den Malware-Autor zurückgesandt. Der "Diebstahl digitaler Identitäten" stellt eine neue Form der Bedrohung dar, die klar als kriminelle Handlung anzusehen ist. Wo solche Kennungen missbraucht werden, um Konten zu plündern, geht es um bare Münze, nicht länger um das "Sammeln" infizierter Systeme und Publicity in der Hacker-Community.
Der moderne Internet-Angreifer ist nicht selten in kriminellen Vereinigungen organisiert – eine elektronische Attacke ist schließlich nicht so aufwändig wie ein Raubüberfall. Seit über das Internet Geld fließt, hält auch die Kriminalität dort zunehmend Einzug. Derzeit konzentriert sie sich zunehmend auf den Missbrauch von Zugangsdaten (sog. Identity Theft); Phishing und Pharming lassen grüßen... Vor allem Banken haben enorm mit diesem Thema zu kämpfen.
Und wo "Hacker-Wissen" in kriminellen Kreisen ohnehin verfügbar ist, dürfte sich auch eine Ausweitung der netzbasierten Industriespionage und -sabotage anbieten. Einige neuere Beobachtungen lassen vermuten, dass dazu Firmennetze gezielt mit Office-Dokumenten infiltriert werden, die mit spezifisch programmierter Malware "verseucht" sind. Die starke Nutzung solcher Dateien im Unternehmens-Umfeld lässt eine generelle Filterung praktisch nicht zu – und Anti-Virus-Software hat kaum eine Chance, gezielt entwickelten Angriffscode zu erkennen, der nur in geringster Auflage verbreitet wird. Gleichzeitig könnte die allgemeine Konzentration auf Netzwerkwürmer und die damit verbundene geringere Bedeutung von Makro-Viren zu geringerer Achtsamkeit in diesem Segment geführt haben.
Basis-Sicherheitsmaßnahmen wie Virenschutz und Firewalls dürften heute selbst bei kleineren Unternehmen zum Standard gehören, sie sind seit vielen Jahren etabliert und technische Innovationen auf diesem Gebiet kaum mehr zu erwarten. Da Attacken zunehmend auf menschliche und organisatorische Schwachstellen von Unternehmen zielen, müssen nun auch dort zunehmend Risiken erkannt und Lücken geschlossen werden.
Eines der Hauptprobleme ist dabei die Gewährung von Mitteln für entsprechende Maßnahmen, etwa zur Sensibilisierung und Schulung von Mitarbeitern. Dabei sollte klar sein, dass marketing-getriebene Plattitüden, die sich in erster Linie des Angstfaktors bedienen, in diesem Kontext absolut kontraproduktiv sind. Auch "Security by Obscurity" greift nicht – es bedarf einer sachlichen und balancierten Vermittlung des Themas. "Bewusstsein bilden mittels offener Kommunikation" muss die Devise lauten, flankiert von einer sachdienlichen Menge an Wissen um IT-Vorgänge und -Sicherheit.
An der Schnittstelle zwischen Organisation und Technik stehen der eingangs erwähnte Überblick und Weitblick, die sinnvolle Kombination und vorausschauende Implementierung von Sicherheitsmaßnahmen. Angesichts der Tendenz zu webbasierten Prozessen mit erhöhter Interaktion, die neuerdings häufiger mit dem Schlagwort "Web 2.0" belegt wird, zeichnen sich zwei technisch-organisatorische Bereiche ab, die künftig noch an Bedeutung gewinnen dürften: die Kontrolle darüber, wer auf Daten und Dienste zugreift (Zugriffsschutz, Access Control) und die Kontrolle darüber, welche Software-(Bausteine) auf Daten und Systemen operieren dürfen (Ablaufkontrolle, vor allem Malware-Prüfung, nicht zuletzt bei Mobile Code).
Unter dem Gesichtspunkt, dass letztlich die Inhalte von Kommunikation oder Speichermedien zählen, lässt sich dies unter dem Stichwort Content Security zusammenfassen. Die European Expert Group for IT-Security EICAR unterscheidet dabei drei Säulen: Audit and Validation, Malware sowie Access Control (inkl. Identity Management). Diese drei Bereiche korrespondieren gleichzeitig mit den veränderten Bedrohungsszenarien.
Wäre eine Welt, in der jeder IT-Anwender nur noch ein einziges Passwort benötigt, nicht wunderbar? Technisch gesehen stellt eine Realisierung dieses Traums schon lange kein Problem mehr dar. Aber gerade bei der Verwaltung von Kennungen wird deutlich, welche Rolle der Mensch im Sicherheitskontext hat. Einerseits: Vor lauter unterschiedlichen Passwörtern kommen viele Nutzer auf die glorreiche Idee, Passwörter aufzuschreiben und sie womöglich noch an den Monitor zu heften – ein El Dorado für Social Engineering. Mal ehrlich – da könnte man sich den ganzen Aufwand der Passwortvergabe doch besser gleich sparen.
Also wäre ein einzelnes Passwort, das man sich noch gut merken kann und mit dem man Zugang zu unterschiedlichsten Systemen und (Internet)-Diensten erhält, doch eine tolle Sache! Das war der Ausgangspunkt für die Entwickler von Federated-Identity-Standards, also der mehr oder weniger zentralen Verwaltung einer Netz-Identität für verteilte Dienste und Anwendungen. Ein solches System wirft jedoch – andererseits – ein neues, nicht zu unterschätzendes Problem auf: Wenn ein Anwender sich beispielsweise bei web.de mit seinem Passwort anmeldet und dann im persönlichen ebay-Account weitersurfen kann, mag ihm das noch unkritisch erscheinen. Aber ob man sich noch sicher fühlt, wenn danach ohne Weiteres auch Online-Banking möglich wäre, bleibt zumindest sehr fragwürdig. Und selbst wenn der Nutzer hier kein Problem sähe: Würde sein Arbeitgeber mitspielen und den Zugriff auf interne Systeme – womöglich sogar den Zutritt zum Gebäude – an das korrekte Funktionieren eines externen Identity-Management-(IDM)-Angebots knüpfen?
Es fehlt schlichtweg an der Akzeptanz einer "Trusted Authority" als zentraler Verwalter sowie eines Mechanismus, der eine interne (Sicherheitsaspekte des Nutzers) und externe (Sicherheitsaspekte des Anbieters) Validierung der Identität ermöglicht, ohne dabei Datenschutzbestimmungen zu verletzen oder zumindest Datenschutzbedenken aufzuwerfen. Hier sind neben der anspruchsvollen Technik mehrseitiger Sicherheit vor allem auch klassische, psychologische Aspekte zu berücksichtigen (Vertrauen, Gewohnheiten usw.) – hinzu kommen noch Probleme mit der Infrastruktur (z. B. universelle einfache Nutzungsmöglichkeit) und wirtschaftliche Interessen (z. B. Kundenbindungsaspekte, Bezahlmodelle für IDM, evtl. auch Haftungsfragen). Diverse große Anbieter haben Lösungsvorschläge entwickelt, bis dato konnte sich aber noch kein System als universelle Netzidentität etablieren.
Dennoch sind hier Lösungen gefragt: Was "im Kleinen" (unternehmensintern) als Single-Sign-on begann, muss vielleicht schon heute auch im Zusammenspiel mit Partnern funktionieren. Spätestens mit der Verflechtung und Abwicklung von Geschäftsprozessen durch Web-Services dürfte dann eine "globale" Reichweite wichtig werden. Bestehende oder in Bälde aufzubauende Strukturen hierauf vorzubereiten, könnte wichtige Startvorteile sichern, wenn es soweit ist.
Statische Webseiten, Text-Mails oder die reinen Daten einer Tabellenkalkulation sind technisch betrachtet harmlos, "können" aber auch nichts. Sobald solche "Datenträger" zugleich auch Software transportieren, erhöhen sich aber nicht nur Funktionsvielfalt und Interaktivität, sondern auch die mit ihnen verbundene Risiken: Mit der Fähigkeit, legitimen Programm-Code zu befördern, werden sie gleichermaßen zur potenziellen Plattform für bösartigen Code (Malware). Alle bisherigen Versuche, solche aktiven Inhalte (Javascript, Flash, Makros usw.) prinzipiell auf unkritische Funktionen zu beschränken, scheiterten spätestens an Fehlern in der Implementierung, die immer wieder zu Sicherheitslücken führen.
Mit der zunehmenden Forderung nach "mächtigen" Dokumenten sowie Web-Seiten und -Services, die quasi installationsfreie Anwendungen ermöglichen, gewinnen aktive Inhalte weiter an Brisanz. Generell ist die Menge der von einem Viren-Scanner zu prüfenden Dateitypen und Kommunikationswege in den letzten 10 Jahren enorm gestiegen. Die Variationen möglicher Transportkodierungen und die Möglichkeiten, Programmcode verschlüsselt einzubetten und erst zur Laufzeit zu entpacken oder dieselbe Funktion in wechselnder Gestalt (polymorph) zu verschleiern, sorgen zudem für eine immense Vielfalt möglicher Abweichungen von einem einmal erkannten Schadcode.
Verknüpft mit der eingangs erwähnten Tendenz, spezialisierte Malware nur in begrenztem Umfang zu verbreiten, um eine frühzeitige Entdeckung zu vermeiden, dürfte der Viren-Abwehrschild klassischer Scanner-Lösungen zunehmend "löchrig" werden. Ein spezifisches Sicherheitsbewusstsein bezüglich aktiver Inhalte von Webseiten ist zudem kaum zu beobachten.
Generell dürften damit die Grenzen der rein "reaktiven" Abwehr von Malware erreicht sein, die auf dem Filtern bekannter Schadcodes beruht. Hier zeigt sich eine klare Notwendigkeit nach vorausschauenden Lösungen, die auch bis dato unbekannte Angriffe erkennen und stoppen können (oft "proaktiv" genannt).
Eine Möglichkeit zur Erkennung unbekannter Malware ist das so genannte Behaviour-Blocking, das versucht das Verhalten von aktiven Inhalten vorherzusagen und gegebenenfalls potenziell gefährliche aktive Inhalte entfernt oder die entsprechenden Dokumente unter Quarantäne stellt. Hierzu wird eine Code-Analyse durchgeführt, die auch prüft, ob bekannte Schwachstellen in der umgebenden Anwendung ausgenutzt werden könnten. Weitere Möglichkeiten sind die Ausführung aktiver Inhalte in einer besonders geschützten Umgebung (sog. Sandbox), die keine Durchgriffe auf sensitive Daten oder Systeme ermöglicht, sowie das generelle Begrenzen der Ausführung aktiver Inhalte nur für "vertrauenswürdige" Web-Sites oder Kommunikationspartner (Problem: wer entscheidet nach welchen Kriterien über die Vertrauenswürdigkeit?).
Letztlich bleibt auch hier festzuhalten, dass heute kein solcher Ansatz allein in der Lage ist, die Bedrohung durch aktive Inhalte hinreichend zu begrenzen. Die vielversprechendste Strategie besteht hier aus einem Mix verschiedener Sicherheitssysteme (Anti-Virus mit entsprechenden Zusatzfunktionen, Intrusion Prevention, Application Level Firewall usw.). Zudem sollte eine grundlegende Abwägung der Vorzüge aktiver Inhalte gegenüber ihren Risiken ergründen, welche Inhalte man auf welchen Systemen für welche Teilnehmer zulassen will.
Angesichts der wachsenden Abhängigkeiten von der Informationstechnik weitet sich das Thema IT-Sicherheit von einer technischen und organisatorischen Problemstellung auf eine zukünftig immer mehr an Bedeutung gewinnende strategische und gesellschaftliche Ebene hin aus. Einen hundertprozentigen Schutz gegen Attacken wird es nie geben. Es muss daher das Ziel der Verantwortlichen sein, durch organisatorische wie technische Maßnahmen die Angriffsfläche möglichst klein zu halten und im Zuge des Risikomanagements technisch Mögliches und Sinnvolles voneinander zu trennen. Die Abwägung von Risiken und Chancen ist dabei immer eine unternehmerische Entscheidung: Ohne Risiken gibt es auch keine Chancen – das gilt für allgemeine Investitionen genauso wie für IT-Lösungen, die neue Funktionen oder einfachere Administration versprechen.
Mit vorausschauend agierenden Sicherheitssystemen nimmt man einerseits den Anwender weitgehend aus der Verantwortung. So läuft beispielsweise der komplette Malware-Schutz einschließlich der regulären Updates komplett im Hintergrund ab und ist für den Benutzer nicht einsehbar oder beeinflussbar. Hier könnte man auch die Diskussion wieder aufblühen lassen, wieviel "Mündigkeit" man seinen Anwender zugestehen soll: Ist es in der heutigen Zeit, bei einer Flut komplexer Bedrohungen überhaupt sinnvoll, den Benutzer in die Verantwortung zu ziehen? Auf der anderen Seite kann ein gut geschulter Anwender die erfolgreiche letzte Verteidigung sein, wenn die Technik versagt, und ein allzu sorgloser Benutzer das ausschlaggebende Element, das Sicherungsmaßnahmen absichtlich oder unabsichtlich umgeht...
Größtmöglichen Schutz verspricht eine Kombination aus organisatorischen Maßnahmen (administrativer Über- und Weitblick, Mitarbeiter-Sensibilisierung usw.) mit technischen Systemen, welche die Angriffsfläche weiter vermindern: Ein integrierter Content-Security-Ansatz umfasst dazu idealerweise eine Kombination aus starker Authentifizierungstechnik (nur berechtigte Teilnehmer erhalten Zugriff) und effizienter Analyse von Malware (nur erwünschte Programme werden ausgeführt) – beides sollte greifen, bevor Teilnehmer oder Schadcode ins interne Netzwerk gelangen. Eine Kombination aus einzelnen Sicherheits-Bausteinen scheint der sinnvollste Ansatz und erlaubt eine maximale Entdeckungsrate und damit einen hinreichenden Schutz.
Manuel Hüttl ist freier Journalist in München und Vorstandsmitglied der EICAR (European Expert Group for IT-Security).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#4, Seite 6
|