MyDoom, Bagle, Lovgate & Co. mutieren von Variante.A täglich weiter in Richtung Alphabet-Ende und darüber hinaus, Sicherheitssoftware bietet immer kürzere Update-Zyklen und doch: Wenn der Hase Anti-Viren-Software gerade ankommt, ist der Igel "neue Mutation" schon längst auf der nächsten Zielgeraden. Was für Firewalls schon längst selbstverständlich ist, könnte auch bei der E-Mail-Sicherheit diese missliche Lage ändern: wohlüberlegte Positivlisten statt des ewigen Nachbesserns von Ausnahmen am "default allow".
Unternehmen haben mittlerweile eine Menge Geld investiert, um dafür eine Menge Sicherheit zu bekommen – Firewalls, Virenscanner, URL-Filter, Intrusion Detection, Anti-Spam-Filter und je nach Budget und Sicherheitsbedürfnis noch weitere Produkte sind dort im Einsatz. Dennoch sind die Probleme aktueller und größer denn je. Wie viel oder wie wenig Sicherheit man bekommt beziehungsweise übrig behält, hängt jedoch nicht allein von der Raffinesse der Attacken ab, sondern zum größten Teil auch davon, wie und wie restriktiv man seine Sicherheitssysteme einsetzt.
Firewalls sind dafür ein sehr gutes Beispiel. Man kann sie so konfigurieren, dass sie nahezu absoluten Schutz bieten oder auch so, dass sie ihren Sinn in keiner Weise erfüllen: einfach indem man jedweden Datenverkehr verbietet oder allen ein- und ausgehenden Datenverkehr zulässt. Die Kunst liegt darin, nur so viel zu gestatten wie man bereit ist, an Risiko einzugehen. Das Vorgehen, zunächst alles zu sperren (default deny) und dann nur den erwünschten Datenverkehr sukzessive freizuschalten, hat sich bei Firewalls sehr schnell durchgesetzt. Auch die Betrachtung der Restrisiken und ihre Verminderung durch das Schaffen so genannter demilitarisierter Zonen (DMZ) war ebenso schnell Usus. Die erreichte Sicherheit an der Netzwerkgrenze kann man somit heute als durchweg gut bezeichnen; gängige Attacken laufen auf anderen Ebenen ab.
E-Mail ist mittlerweile das Angriffs- und Verbreitungsmedium für Malware aller Art. Durch das Hase-und-Igel-Spiel zwischen Virenprogrammierern und Patternfile-Produzenten passiert es immer wieder mal, dass ein Virus durchschlüpft und erhöhten Arbeitsaufwand durch Aufräumaktionen verursacht. Zu wirklich bösartigen Attacken, die alle infizierten Systeme unbrauchbar machen, ist es glücklicherweise noch nicht gekommen; doch das könnte schon morgen anders sein.
Um das Risiko beim – an sich ja erwünschten – E-Mail-Eingang zu verringern, haben die meisten Verantwortlichen spätestens seit "I-LOVE-YOU" bestimmte Dateitypen in den Anhängen von E-Mails geächtet; die Mail-Gateways vieler Unternehmen akzeptieren Visual Basic Script (*.VBS) im Attachment einfach nicht mehr. Nach und nach sind weitere ausführbare Dateitypen dazugekommen: *.EXE und *.COM wurden schnell gebannt, *.PIF und *.SCR spätestens bei der nächsten Attacke ebenfalls auf die Negativlisten gesetzt, und dann *.BAT und dann *.REG und dann *.CHM und so weiter und so fort.
Diese gängige Strategie machte zunächst einen sehr schlüssigen Eindruck: Alles, was gefährlich ist und keinen geschäftsrelevanten Bezug hat, blockt man bereits am Gateway. Viele Negativlisten haben mittlerweile einen erheblichen Umfang. Aber welcher Dateityp die nächste große Bedrohung bringt, bleibt offen. Eine "vollständige" Negativliste ist in der Praxis nicht herstellbar. So wurde beispielsweise zuletzt eine Schwachstelle in den recht seltenen Extended-MOD-Dateien gefunden. Ein groß angelegter Angriff durch das Versenden solcher *.XM-Dateien wäre somit durchaus denkbar. Und selbst das nicht-ausführbare Bitmap-Grafik-Format (*.BMP) kann nicht mehr als sicher gelten, solange Schwachstellen in bestimmten Windows-Darstellungskomponenten existieren.
Einen Ausweg aus diesem Dilemma bieten Positivlisten. Warum sollte man das Erfolgsrezept von Firewalls nicht auch für E-Mail-Attachments nutzen? Man verbietet generell alle Dateianhänge und gestattet nur diejenigen, welche man für die unternehmensrelevanten Geschäftsprozesse wirklich benötigt. Für diese notwendigen Typen betreibt man dann Risikomanagement und erhält so deutlich mehr Sicherheit. Durch diesen positiven Sicherheitsansatz reduziert man das Gefahrenpotenzial extrem: Die Einfallstore sind nicht nur für aktuelle Schädlinge geschlossen, auch neuen Mutationen kann man gelassener entgegensehen – der Hase siegt gegen den Igel.
Die Methodik ist einfach und nicht neu. Dennoch ist dieser Ansatz bei der E-Mail-Sicherheit noch wenig verbreitet, allzu oft aufgrund des Spannugnsfelds "Funktionsumfang versus Sicherheit". In der Praxis gibt es zudem einige Dinge zu beachten.
Grundsätzlich handelt es sich bei Systemen, die den E-Mail-Verkehr inhaltlich überprüfen, um technische Überwachungseinrichtungen, die der Mitbestimmungspflicht der Mitarbeitervertretung unterliegen. Erfahrungsgemäß ist an dieser Stelle häufig Überzeugungsarbeit zu leisten. Je nach technischem Verständnis erkennen viele Betriebsräte jedoch recht schnell die Vorteile: Letztendlich geht es auch um den Schutz jedes einzelnen Kollegens.
Im Übrigen gibt es wahrscheinlich kaum ein Unternehmen, das nicht bereits Systeme zur Absicherung des E-Mail-Verkehrs im Einsatz hat. Die Verhandlungen haben meist bereits stattgefunden und es gilt nur noch, die Umstellung von Negativ- auf Positivlisten zu vollziehen. Im Zuge dessen ist es ratsam, die rechtlichen und organisatorischen Aspekte erneut zu überprüfen. Insbesondere sollte man Notfallplanungen für mögliche Rechtsverstöße bei der Nutzung des betrieblichen E-Mail-Systems parat haben. Grundsätzlich sollte man eine Benutzer- und eine Betreiberrichtlinie erstellen. Dadurch gewährleistet man nicht nur den technischen Schutz, sondern entschärft auch rechtliche Fallstricke. Zusätzlich lassen sich in den Richtlinien die Prozesse zur Verwaltung von Änderungen abbilden, welche aufkommende Probleme im täglichen Betrieb deutlich vermindern.
Der entscheidende Schritt zur Umsetzung des positiven Sicherheitsansatzes ist die Ermittlung der Dateitypen für die Positivliste. Nur in den wenigsten Organisationen existiert bereits eine Aufstellung darüber, welche Dateien zu welchem Zweck per E-Mail übertragen werden. Eine Umfrage unter allen Benutzern oder nur den Abteilungsleitern wäre eine Möglichkeit, eine solche Liste zu erstellen. Dies bedeutet jedoch großen Aufwand, ist häufig mit Irritationen seitens der Benutzer verbunden und führt in der Regel nicht zum gewünschten Ergebnis.
Pragmatischer ist es, in einer Art Lernphase die im täglichen Betrieb vorkommenden Dateianhänge zu erfassen. Diese Auswertung ist mit entsprechenden Tools leicht realisierbar und – sofern anonymisiert und ohne Aufzeichnung von Dateinamen oder gar Inhalten durchgeführt – auch datenschutzrechtlich unbedenklich. Verbietet man "alle" Dateitypen und gibt nur die aktuell genutzten frei, so hat man das Risiko bereits deutlich gesenkt, ohne spürbare Restriktionen einzuführen. Dabei sollte man darauf achten, dass nicht nach Dateinamen (Endungen), sondern nach dem tatsächlichen Datei- oder zumindest MIME-Typ analysiert und später gefiltert wird.
Die Ergebnisse einer Mail-Verkehrsanalyse liefern erfahrungsgemäß auch Erkenntnisse für weitere Verbesserungen: beispielsweise wenn man feststellt, dass eine Menge mutmaßlich urheberrechtlich geschützter MP3s per E-Mail kursieren oder sonstige mit dem Unternehmenszweck in keiner Verbindung stehende Dateitypen einen beachtlichen Anteil an der Kommunikation ausmachen – was leider auch eher die Regel als die Ausnahme ist.
Für die ermittelten Dateianhänge sollte man anschließend eine Risikobetrachtung durchführen. Wie im Risikomanagement üblich, wird darüber entscheiden, das jeweilige Risiko
Nach dieser Methodik bewertet man die erlaubten Dateitypen und kann verschiedene Maßnahmen ergreifen, um das Risiko auf ein tragbares Niveau zu senken. Anschaulicher wird das anhand eines konkreten Beispiels: Stellt man fest, dass reichlich Word-Dokumente per E-Mail übertragen werden, so gilt es zunächst die Bedrohungen zu recherchieren. Hier zeigen sich Risiken durch eingebettete Viren, einer Gefährdung von Dritten durch die unabsichtliche Malware-Verbreitung, der unbeabsichtigte Versand vertraulicher Informationen und so weiter.
Die Verbreitung von Makroviren ist groß, die Eintrittswahrscheinlichkeit des Empfangs somit hoch; das Risiko "Word-Attachment" ist für fast alle Organisationen unakzeptabel. Zu vermeiden wäre es natürlich am einfachsten, wenn man auf Word-Dokumente innerhalb von E-Mails verzichten kann – beispielsweise durch die Umstellung des relevanten Geschäftsprozesses auf PDF-Dokumente. Wenn dies nicht möglich ist, gibt es die Möglichkeit durch die Verwendung von Word-Viewern ohne Makrofunktion das Risiko zu vermindern. Hierzu zählt auch der Einsatz von Virenscannern und die Sensibilisierung der Mitarbeiter, die Makrofunktion nur bei Bedarf einzusetzen.
Häufig ist es sinnvoll den Datenverkehr pro Abteilung zu bewerten, allein schon um die Positivlisten überschaubar zu halten. Auch wenn dann "lokal" erfahrungsgemäß manche Benutzer einflussreich genug sind, um Gründe durchzusetzen, warum gerade sie diesen oder jenen problematischen Dateityp "unbedingt" benötigen: Aus Sicht des Risikomanagements sind diese Fälle unproblematisch, solange jemand, der selbst verantwortlich ist, das Risiko bewusst akzeptiert. Zu prüfen ist, ob eine Integration in die bestehende Benutzerverwaltung zur Umsetzung von gruppen- oder gar anwenderbezogenen Policies möglich ist (z. B. über LDAP).
Auch beim positiven Sicherheitsansatz sollte man jedoch darauf achten, nicht über das Ziel hinauszuschießen. Eine zu restriktive Politik führt zu mangelnder Benutzbarkeit und damit zu fehlender Akzeptanz. Es besteht ohnehin kein Anlass von einem Extrem (alles ist möglich) ins andere zu fallen (nichts geht mehr). Hier ist eine wohlüberlegte und gleichzeitig pragmatische Vorgehensweise anzuraten. Man sollte auch erwägen, einen mit dieser Problematik vertrauten IT-Security-Integrator hinzuzuziehen – sei es nur, weil der Prophet im eigenen Land auf wenig Gegenliebe stößt.
Bereits im Rahmen der Risikodiskussion wird deutlich, dass man erst durch den positiven Sicherheitsansatz in der Lage ist, Risikomanagement umfassend zu betreiben – bei einer Negativliste sind alle unbekannten Risiken logischerweise auch nicht bewertbar. Der Einsatz von Positivlisten beendet zudem das ständige "Hinterherrennen" im Hase-und-Igel-Spiel um die jeweils riskanten Datei-Typen. Statt aller muss man nur noch freigegebene Dateitypen und zugehörige Anwendungen auf neue Gefährdungen überwachen. Abschließend sei erwähnt, dass der positive Sicherheitsansatz nicht nur bei Firewalls und E-Mail hervorragend funktioniert: Dieses Denkmodell der minimalen Rechtevergabe kann auch in weiteren Bereichen der Internetnutzung für deutlich höhere Sicherheit sorgen, beispielsweise bei Instant Messaging, auf Port 80 (Stichwort: http-Tunneling) oder der Browser-Sicherheit (Stichwort: aktive Inhalte).
Armin Simon ist Regional Sales Manager bei der Integralis GmbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#4, Seite 16