![[Illustration]](07-5-084-1.jpg)
Wer verschlüsselte Verbindungen mit herkömmlichen Content-Filtering-Lösungen unter die Lupe nehmen möchte, muss die Verschlüsselung kurzfristig aufheben.
Was im Internet schützt, kann im Intranet Probleme bereiten: Verschlüsselte Verbindungen aus dem internen Netz lassen sich zwar "draußen" nicht von Dritten belauschen, Content-Security-Lösungen am Gateway bleiben aber ebenfalls oft blind gegenüber ihren Inhalten. Risiken und Gegenmaßnahmen skizziert dieser Beitrag.
Die Problematik ist zwar nicht neu, aber häufig noch ungelöst: Ende-zu-Ende-Verschlüsselung kann die Content-Security-Maßnahmen am Unternehmens-Gateway aushebeln, sodass unerwünschte Inhalte eindringen und vertrauliche Daten nach draußen gelangen können. Während eine generelle Sperre von SSH oder transportverschlüsselten E-Mail-Verbindungen für PCs von Mitarbeitern meist unkritisch ist, lässt sich ein pauschales Verbot gesicherter Web-Verbindungen (https) kaum vorsehen. Denn zahlreiche Unternehmen sind heute tagtäglich auf die Nutzung beispielsweise von Web-Services oder E-Procurement-Transaktionen angewiesen, die zu Recht durch Secure-Sockets-Layer-(SSL)- oder Transport-Layer-Security-(TLS)-Verschlüsselung vor neugierigen Blicken im Netz geschützt werden sollen.
Die Schwierigkeit besteht darin, auch bei solchen SSL/TLS-Verbindungen Inhaltskontrollen und die Durchsetzung von Sicherheitsrichtlinien wirkungsvoll umzusetzen. Manche Unternehmen versuchen den Risiken durch spezielle URL-Filter zu begegnen und den Zugriff auf bekannte https-Seiten einzuschränken. Die vermutlich verbreitetste Strategie lautet aber, die hierdurch drohenden Gefahren zu ignorieren beziehungsweise die damit verbundenen Risiken in Kauf zu nehmen.
Auf den ersten Blick erscheint der Versand verschlüsselter Daten via https ja auch als besonders sicher – und schließlich identifiziert sich die Gegenstelle in der Regel durch ein Zertifikat. Für manchen mag auch "die Ausnahme" der https-Verbindungen den zusätzlichen Aufwand zur Sicherung dieser Kanäle nicht rechtfertigen. Marktforscher und Sicherheitsexperten rechnen allerdings mit einer generellen Zunahme des verschlüsselten Datenverkehrs in den nächsten Jahren: Praktisch jede im Internet verfügbare Dienstleistung wird künftig aus Sicherheitsgründen bei der Verschlüsselung auf die gesicherte Übertragung setzen (Hypertext Transfer Protocol Secure, kurz: https) – und das ist für den Datenverkehr im offenen Netz ja auch sinnvoll.
Mit dem Trend zu mehr Transport-Verschlüsselung wächst jedoch auch das Risiko, dass auf diese Art heikle Inhalte dem "Röntgenblick" am Sicherheits-Gateway entgehen und Spione, Hacker, Würmer und Viren über https einen Schleichweg ins Unternehmensnetz nutzen. Auch Innentäter oder Mitarbeiter, die vom Arbeitsplatz einfach ein "bisschen mehr als erlaubt" machen möchten, können so die Sicherheitsvorkehrungen des internen Netzwerks umgehen und vertrauliche Informationen nach draußen schleusen oder das Internet in einer Weise nutzen, die der Arbeitgeber nicht wünscht. Wo Mitarbeiter per Browser Zugriff auf das WWW haben, sollte das Thema https daher dringend geregelt werden.
Da gängige Content-Filtering-Lösungen und Viren-Scanner am Gateway den verschlüsselten Datenverkehr nicht kontrollieren können, gelangen SSL-geschützte Daten folglich ungefiltert ins Unternehmensnetz. Viren oder andere Malware, die ebenfalls diesen Weg genommen haben, bleiben von den zentralen Kontrollmechanismen unentdeckt und können so großen Schaden anrichten, falls keine weiteren Sicherheitssysteme greifen. Bei E-Mails können Viren-Wächter auf den Mitarbeiter-PCs oder auf dem E-Mail-Server helfen. Nicht zu vernachlässigen ist aber auch die wachsende Gefahr durch präparierte Webseiten, die ebenfalls – über Sicherheitslücken oder den Bediener (Stichwort Phishing und Social Engineering) – zu erheblichen Problemen führen können.
Zudem ist die Prüfung von SSL-Zertifikaten zur Authentifizierung der besuchten Server eine Aufgabe, die durchschnittliche Internet-Anwender meist überfordert. Denn auch böswillige Internet-Seiten verfügen nicht selten über ein Zertifikat, dem man nicht unbedingt auf den ersten Blick ansieht, ob es gefälscht, abgelaufen oder gestohlen ist. Eine zentral verwaltete technische Lösung am Gateway ist hier unbestechlicher als der Mitarbeiter am PC.
Des Weiteren lassen sich auch andere Protokolle, die womöglich den Mitarbeitern sonst verwehrt bleiben, durch https tunneln (vgl. <kes> 2004#6, S. 58); Firewall-Regeln und andere Sicherheitsmaßnahmen greifen dann vermutlich nicht wie gewünscht.
Richtlinien für die Internetnutzung lassen sich nur dann effektiv durchsetzen, wenn Unternehmen auch verschlüsselte Verbindungen so kontrollieren können, wie dies bei der normalen Übertragung üblich ist; zumal sich unberechtigter Datenverkehr immer den erfolgversprechendsten Weg suchen wird, auch wenn dieser technisch aufwändiger ist.
Wer verschlüsselte Verbindungen mit herkömmlichen Content-Filtering-Lösungen unter die Lupe nehmen möchte, muss die Verschlüsselung kurzfristig aufheben.
Um verschlüsselte Inhalte auf ihren Gefährdungsgrad hin mit herkömmlichen Web-Filtern überprüfen zu können, ist es notwenig, die Verschlüsselung am Gateway vorübergehend aufzuheben – via SSL-Proxy oder durch Firewall- oder Content-Security-Systeme mit entsprechender Funktion. Vorrangig sollte bei der Auswahl einer Lösung sein, dass damit dann wirklich alle Sicherheitsrichtlinien umsetzbar werden. Darüber hinaus sollte das System auch bei der Klassifizierung von SSL-Zertifikaten helfen: Zentralisierte Zertifizierungsrichtlinien sind hier gefragt – auf die gute Verwaltbarkeit durch den Administrator ist zu achten. Den Nutzern im Unternehmen wird dadurch die Entscheidung abgenommen, welche Zertifikate als vertrauenswürdig einzuschätzen sind und welche sie abweisen müssten.
Auch für die Nutzung von Multimediadaten (z. B. MP3), den Download ausführbarer Dateien, Banner-Werbung und Pop-Ups gilt: Da reguläre Medien- und Inhaltsfilter gegenüber verschlüsselten Daten aus dem Internet machtlos sind, sollte man bei der Wahl einer https-Filter-Lösung darauf achten, dass diese auch solche Dateien und Medientypen kontrollieren können.
In der Praxis haben sich dreiteilige Scan-Lösungen aus den Komponenten Richtlinien, Entschlüsselung und Zertifikatsverwaltung bewährt. Die Policies sollten dabei eine Kombination aus Benutzer, Web-Kategorie und Uhrzeit ermöglichen. Aus Sicherheitsgründen sollten alle Prozesse zur temporären Entschlüsselung und zum Inhalts-Scan in der "Demilitarized Zone" (DMZ) des Netzwerks erfolgen. Anschließend müssen die Daten sofort wieder neu verschlüsselt und an den Nutzer weitergeleitet werden.
Hat man sich für eine Lösung entschieden, gibt es auch beim Einbinden in die bestehende IT-Infrastruktur sowie bei den Feineinstellungen einige Punkte zu beachten: Die Scan-Lösung in zum Teil sehr individuellen Unternehmenssituationen zu implementieren, ohne Änderungen an der IT-Umgebung oder Ausfallzeiten zu verursachen, ist durchaus eine Herausforderung. Einige Unternehmen wünschen sich zudem eine flexible Durchsetzung der firmeninternen Richtlinien, um eine rollenbasierte Unterscheidung von Webseiten und berechtigten Nutzern zu erreichen. Filter könnten so etwa Führungspersonal ungescannt auf alle verschlüsselten Inhalte zugreifen lassen, während bei allen anderen PC-Nutzern die https-Filter nur für bestimmte Webseiten von Partnern oder Banken ausgeschaltet werden. Die Umsetzung kann dabei schrittweise und so gut wie unbemerkt erfolgen: Erst nach und nach stellen manche Mitarbeiter dann fest, dass bestimmte (unerwünschte) https-Internetseiten, zum Beispiel von E-Mail-Diensten oder Banken nicht länger verfügbar sind.
Jan Heinbücher (jan.heinbuecher@mabunta.de) ist Senior Consultant für Content Filtering und Verschlüsselung beim IT-Security-Dienstleister Mabunta.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#5, Seite 84
tag:kes.info,2007:art:2007-5-084
| 