![[<kes> talks]](images/09-3-023-0.jpg)
![[Mind-Map]](images/09-3-023-3.jpg)
![[Porträtfoto: Norbert Pohlmann]](images/09-3-023-1-400.jpg)
Von der Perimeter-Sicherheit zum Enterprise-Rights-ManagementDie Anforderungen an die Netzsicherheit haben sich in den letzten Jahren dramatisch geändert und werden sich in der Zukunft noch schneller ändern – aus diesem Grund müssen neue, zusätzliche IT-Sicherheitsmechanismen für eine angemessene IT-Sicherheit neue Grenzen ziehen.
In den Anfangsjahren des Internets haben sich Unternehmen vorwiegend angeschlossen, um am E-Mail- und Web-System teilhaben zu können. Zusätzlich haben sie die Möglichkeit genutzt, mit ihren Niederlassungen und anderen Organisationen über das Verbundnetz Internet einfach, schnell und preisgünstig zu kommunizieren.
Das Abwehrmodell bestand darin, Zugriffe von Fremden aus dem Internet auf das eigene Unternehmensnetz zu verhindern und ausgetauschte Daten gegen Mitlesen und Manipulation zu schützen. Die Sicherheitskonzepte folgten der Idee der Perimeter-Sicherheit, die Organisationen haben sich also durch zentrale Firewalls und VPNs von anderen abgegrenzt: Firewalls reduzieren die Kommunikation auf das Notwendigste – IPSec ergänzt das bestehende IPv4-Protokoll um Sicherheitsfunktionen für Verschlüsselung und Signatur und zum Schutz vor Verkehrsflussanalyse.
Dadurch, dass immer mehr PCs ans Internet angeschlossen sind, haben sich die Angriffsmodelle sehr stark verändert: Viele Attacken finden nun über die erlaubte Firewall-Kommunikation auf der Anwendungsebene statt! Zudem können PCs, Notebooks, Smartphones et cetera zunehmend über Funkschnittstellen (GSM, UMTS oder WLAN/Hotspot) an der zentralen Firewall vorbei mit dem Internet kommunizieren – solche Hintertüren (Back Doors) stellen dann ein besonderes Risiko in Unternehmen dar.
Darüber hinaus befinden sich viele Rechnersysteme wegen der erhöhten Mobilität der Mitarbeiter immer wieder außerhalb der Kontrolle der Firmen und können kompromittiert werden! Beispiele sind Außendienstmitarbeiter, die ihre Rechnersysteme in wechselnden Umgebungen mit unterschiedlichen Sicherheitsanforderungen nutzen, Heimarbeiter, die ihre PCs auch für private Zwecke verwenden, und Mitarbeiter, die ihre Firmen-Notebooks mit nach Hause nehmen. Dieser Trend verstärkt sich noch!
Nicht zuletzt hat die gestiegene Komplexität von Betriebssystemen und Anwendungen für eine deutlich größere Zahl enthaltener Softwarefehler gesorgt. So können sich Viren, Würmer und Trojanische Pferde immer erfolgreicher ausbreiten – auch über Firewallgrenzen und VPN-Systeme hinweg.
Trusted Computing steht für die Idee, IT-Technologie grundsätzlich vertrauenswürdiger zu machen; eines der Hauptkonzepte ist die Nutzung einer manipulationssicheren Hardware-Komponente, dem so genannten Trusted Platform Module (TPM). Mithilfe eines TPM kann die Systemkonfiguration eines Rechners "gemessen" und damit auch überprüfbar gemacht werden. Für die vertrauenswürdige Nutzung der Komponente, wird jedoch auch eine Sicherheitsplattform benötigt: Sie setzt oberhalb der Hardware und unterhalb der "normalen" Betriebssysteme an und hat die Aufgabe, selbst möglichst unanfällig gegen Angriffe zu sein und auf dieser Grundlage sicherheitskritische Vorgänge zu kontrollieren und die IT-Systeme robuster zu machen.
Um diesen Anspruch zu erfüllen, sollte eine Sicherheitsplattform aus einer sehr kleinen Codebasis bestehen und weit weniger komplex sein als etablierte Betriebssysteme – diese Minimalisierung senkt die Fehlerwahrscheinlichkeit wesentlich und erhöht gleichzeitig die Vertrauenswürdigkeit. Durch die zusätzliche Nutzung von Virtualisierungstechnik ist eine Sicherheitsplattform in der Lage, mehrere Applikationen und Betriebssysteme parallel, aber in ihren Speicherbereichen vollständig getrennt auszuführen (in sog. Compartments). Mit anderen Worten: Auch wenn das etablierte Betriebssystem durch Malware kompromittiert ist, droht keine Gefahr, da alle sicherheitskritischen Vorgänge in isolierten Bereichen von sicheren Anwendungen ausgeführt werden. Das TPM misst zudem das jeweilige Compartment, um jederzeit dessen Integrität nachweisen zu können.
Durch ein entsprechendes Rechte- und Regelmanagement (Enterprise-Rights-Management, ERM) auf der Basis einer solchen Sicherheitsplattform ist IT-Sicherheit auf Rechnersystemen im Unternehmensumfeld vertrauenswürdig realisierbar. Da dann die Rechnersysteme selbst robust gegen Angriffe aus dem Internet sind, werden Firewall-Systeme in der Zukunft eine untergeordnete Rolle spielen.
Prof. Dr. Norbert Pohlmann ist Leiter des Instituts für Internet-Sicherheit if(is) der Fachhochschule Gelsenkirchen (![[externer Link]](../../images/link.gif)
www.internet-sicherheit.de).
![[Porträtfoto: Magnus Harlander]](images/09-3-023-2-400.jpg)
Intelligentere Firewalls sind die ZukunftFirewalls werden künftig eine noch wichtigere Rolle spielen als heute – sie werden an viel mehr Netzwerk-Übergängen den Datenverkehr kontrollieren und dabei auch mehr können. Die Treiber dieser Entwicklung sind hauptsächlich die bisher konsequent gescheiterten Bemühungen, Betriebssysteme und PC-Arbeitsplätze selbst sicherer zu machen, sowie – und dies wird schon bald das stärkste Argument "pro Firewall" sein – die Einführung des IPv6-Standards mit allen Nebenwirkungen.
Trotz zahlreicher Anläufe sind die auf dem Markt dominierenden PC-Betriebssysteme weiterhin nicht sicher genug, um sie ohne den Schutzschirm von Speziallösungen wie Firewalls einsetzen zu können. Der Entwicklungsverlauf vom Windows-Prototypen Longhorn hin zur fertigen Lösung Vista demonstriert sehr gut die mangelnden Fortschritte: Das Laborsystem Longhorn enthielt viele starke Sicherheitskonzepte – im schließlich auf den Markt gebrachten Vista war davon nahezu keines mehr zu finden. Warum? Die Sicherheit steht dem Interesse der Privatanwender entgegen, eine komfortable Plattform zu bekommen, die ohne viele Nachfragen alles ausführt: Eine Vielzahl von Anwendungen und nicht zuletzt Spiele sollen problemlos laufen – dabei sind Sicherheitsmechanismen hinderlich. Und die Hersteller entscheiden an dieser Stelle stets zugunsten der größten Anwendergruppe – den Home-Usern.
Doch nicht nur die Betriebssysteme sind zu beachten: Browser und umfangreiche Anwendungspakete werden immer mehr zu mächtigen Plattformen, die ganz selbstverständlich auf viele Netzwerk-Verbindungen, -Dateien und -Dienste zugreifen. Sollte ein Angreifer diese Applikation kapern, kann er alle ihre Zugriffsrechte missbrauchen – und hier sind die Hürden für Attacken nicht allzu hoch: Denn auch bei der Anwendungsentwicklung hat der Benutzerkomfort eine viel bessere Lobby als irgendwelche Sicherheitsbedenken.
Mit IPv6 kommt die nächste große Umwälzung: Der Browser hat das Internet auf jeden PC gebracht – IPv6 bringt es überall hin. Mit diesem Standard gibt es mehr IP-Adressen als Moleküle auf unserem Planeten. Auch Autos, Radios, Handys, Kühlschränke, Toaster und selbst Kleidungsstücke können mit Adressen ausgestattet werden und via Internet kommunizieren – viele neue Anwendungsmöglichkeiten werden die Anzahl der IP-Devices explosionsartig steigen lassen – analog zur Entwicklung in Firmennetzen, wo beispielsweise Drucker längst keine Peripheriegeräte mehr sind, sondern über IP gesteuerte Rechner, die drucken. Und wer kümmert sich bei all diesen IP-Devices um die Sicherheit, spielt regelmäßig Patches und Updates ein? Die Antwort: keiner.
Es wird somit eine stark steigende Anzahl von IP-Endgeräten geben, deren Betriebssysteme und Applikationen nicht auf zuverlässige Sicherheit ausgerichtet und zudem schlecht gepflegt sind – selbst ungeübte Angreifer dürften hier sehr einfach zum Ziel kommen. Deshalb müssen über diese Systeme Schutzschirme gespannt werden: Firewalls.
Bei den Firewalls kann allerdings nicht alles so bleiben wie bisher: Eine zentrale Firewall sichert den Übergang vom Internet zum LAN und damit ist an dieser Stelle alles sicher. Doch Daten und damit potenziell gefährlicher Content gelangen längst nicht mehr nur über diese eine Schnittstelle ins LAN, sondern auch über Fernzugriffe von Außendienstlern, WAN-Verbindungen zu Zweigniederlassungen und private Laptops, CDs und USB-Sticks. Ist eine Malware erst einmal im LAN, stehen ihr jedoch bei der klassischen "eindimensionalen" Sicherheits-Architektur alle Türen offen.
Hier muss Angriffen mehr entgegengesetzt werden! Man sollte Netzwerke mit zusätzlichen Firewalls in verschiedene interne Sicherheits-Zonen untergliedern: Office-Systeme, die mit gefährlichen WWW-Daten und E-Mails umgehen, werden in eine eigene Zone eingesperrt, ebenso die Server sensitiver Bereiche wie Forschung, Produktion oder Personal – dann stemmen sich Angriffen mehrere Barrieren entgegen, wichtige Systeme sind gut geschützt.
Wenn IPv6 kommt, müssen auch Firewalls den Umgang mit diesem Standard lernen. Beim Vorgänger IPv4 haben alle (auch Firewall-) Hersteller viele Jahre gebraucht, um eine weitgehend fehlerfreie Bearbeitung in den Stacks zu implementieren. Da IPv6 viel komplexer ist, werden auch hier die Implementierungen in der Anfangszeit Fehler aufweisen – und Angreifern somit gute Gelegenheiten bieten. Dies ist ein weiteres Argument für mehrstufige Sicherheitsbarrieren, um Angriffe dann zumindest an der zweiten Verteidigungslinie abfangen zu können.
Firewalls müssen schließlich auch intelligenter werden: Um mit ständig weiterentwickelten Angriffsmethoden Schritt zu halten, reicht es nicht, die Datenpakete lediglich "von außen" zu kontrollieren. Firewalls müssen in die Pakete hineinschauen und prüfen, ob formale Angaben und Inhalt tatsächlich übereinstimmen. Vor allem bei Flash- und HTML-Daten, die häufig für Angriffe eingesetzt werden, muss genau kontrolliert werden! Dafür sind Application-Level-Gateways (ALG) erforderlich, die mit spezieller Prüfsoftware eine sorgfältige Content-Analyse leisten. Auch für Firewall-Hersteller gibt es also viel zu tun.
Dr. Magnus Harlander ist Geschäftsführer der GeNUA mbH ( www.genua.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2009#3, Seite 23
tag:kes.info,2007:lp:2009-3-B
| 