CW-Bericht von Frank Niemann
MÜNCHEN (COMPUTERWOCHE) - Aktive Web-Inhalte und E-Mails stellen die firmeninterne IT vor große Herausforderungen. Doch Java, Javascript oder Active X zu blocken kommt für viele Unternehmen nicht in Frage. An sie wenden sich die Hersteller von Content-Security-Programmen. Diese Systeme sollen schädliche Elemente in HTML-Dateien, aktiven Inhalten und E-Mails aufspüren.
Internet-Sicherheit glauben viele Firmen allein mit Firewalls zu gewährleisten. Zwar eignen sich diese Systeme hervorragend als Türsteher zwischen Internet und Firmennetzen, doch sind sie meist nicht in der Lage, Inhalte wie E-Mails, HTML, Java und andere aktive Elemente auf Sicherheitsrisiken hin zu überprüfen. Doch es besteht Handlungsbedarf, wie der Loveletter-Wurm und seine Nachfolger eindrucksvoll bewiesen.
Die Sicherheitsbranche fasst Lösungen, die in HTML, Java, Javascript und E-Mails nach Viren und ähnlichen Störprogrammen Ausschau halten, unter dem Begriff Content Security (CS) zusammen. Auch die Marktforschung hat sich des Themas angenommen. Die amerikanische International Data Corporation (IDC) beziffert den jährlichen Umsatzzuwachs von CS-Produkten auf 71 Prozent. Bis 2004 soll der Anteil am gesamten Internet-Sicherheitsmarkt von heute zwei auf rund elf Prozent ansteigen, was einem Marktvolumen von etwa 952 Millionen Dollar entspricht.
Die Analysten von IDC teilen das Produktspektrum für CS in E-Mail- und Web-Content-Scanning sowie Schutzmechanismen für Malicious Mobile Code auf. Letzteres bezeichnet in Active X, Java oder einer Script-Sprache geschriebene Programme, die beim Ausführen Schäden auf Rechnern verursachen.
Internet-Inhalte können aber nicht nur zerstörerischen mobilen Code oder Viren enthalten, sondern auch illegale Informationen. Verbotene Formen von Pornografie, rechtsradikale Schriften oder Texte, die Personen sowie Firmen diffamieren, führen zwar nicht zum Verlust von Daten oder zu Systemausfällen, können aber rechtliche Konsequenzen für ein Unternehmen haben. Zurzeit sollten Firmen hierzulande ein besonderes Augenmerk auf neonazistische Umtriebe im Web lenken. Es gibt Programme, die anhand von bestimmten Wörtern oder Ausdrücken unerwünschte Inhalte erkennen und blocken, damit sie weder aus dem Netz an die Arbeitsplätze geladen noch von dort ins Web gestellt werden können.
Symantec bietet mit "I-Gear" ein Werkzeug, mit dem sich bestimmte URLs sperren lassen. Das "Dynamic Document Review"-Verfahren untersucht die Web-Seiten und schlägt Alarm, wenn bestimmte Schlüsselwörter auftauchen. So ist es beispielsweise möglich, den Zugriff auf bestimmte Sites einzuschränken. Außerdem kann das Unternehmen so festlegen, welche URLs die Mitarbeiter aufrufen dürfen.
Darüber hinaus schiebt I-Gear auf Wunsch dem Herunterladen von Dateien oder multimedialen Inhalten einen Riegel vor schließlich könnten sich beispielsweise in Exe-, Zip- oder Doc-Dateien Viren, Trojanische Pferde oder Würmer befinden.
Unerwünschte URLs blockt auch der “Content Inspector" der Computer Software Manufaktur (CSM) aus Wien ab. Das als Erweiterung für Firewalls konzipierte Werkzeug hält darüber hinaus Online-Werbung, Cookies, Multipurpose-Internet Mail-Extensions-(Mime-)Daten, Java und Active X vom Firmennetz fern. Darüber hinaus leitet der Inhaltswächter auf Wunsch HTTP-, FTP- und SMTP-Datenpakete an einen Antiviren-Server eines Drittherstellers weiter. CSMs Produkt unterstützt dabei die Produkte von McAfee und Trend Micro. Über das von Checkpoint entwickelte "Content Vectoring Protocol" (CVP) wird der Content Inspector in die "Checkpoint Firewall-1" integriert. Bei CVP handelt es sich um ein Application Programming Interface (API), über das Dritthersteller ihre Sicherheitsprodukte an die Firewall anbinden. Ursprünglich nutzte nur der Hersteller dieses API, doch mittlerweile verwenden auch Konkurrenten wie Secure Computing das CVP-Interface, um ihre Firewall-Systeme mit Content-Security-Software zu verknüpfen.
Verschlüsselte E-Mails checken
E-Mails lassen sich mit entsprechenden Tools zuverlässig inspizieren, doch was geschieht mit Nachrichten, die verschlüsselt wurden? Ein Virus wird nicht durch die Anwendung eines kryptografischen Systems unschädlich. "Secretsweeper" von Content Technologies erlaubt es, auch verschlüsselte Nachrichten zu untersuchen. Dabei werden die Mails dekodiert und "Mailsweeper", ein Content-Security-Programm für E-Mails, untersucht die Inhalte des elektronischen Briefs auf Virenbefall und Malicious Mobile Code. Danach verschlüsselt das System die Botschaft wieder und leitet sie weiter. Dies funktioniert allerdings nur, wenn das Anwenderunternehmen auch die in Secretsweeper implementierte Verschlüsselungslösung für das Codieren der Mails einsetzt.
Immer mehr Websites arbeiten mit aktiven Komponenten. Viele Sicherheitssysteme, beispielsweise Firewalls, bieten Firmen lediglich die Möglichkeit, diese Elemente zu blocken, was bedeuten würde, auf einige Funktionen verzichten zu müssen. Einen Ausweg will die israelische Firma Finjan Software gefunden haben. Das Produkt "Surfingate 5" inspiziert Java, Javascript und Active X und versucht herauszufinden, welche Aktionen diese Module auf dem Desktop ausführen. Das dadurch gewonnene Verhaltensprofil vergleicht Surfingate mit den vorher festgelegten Regeln und entscheidet dann, ob die aktiven Web-Elemente ins interne Netz gelangen dürfen.
Nachteil: Viren entdeckt man erst hinterher
Server-basierte Produkte wie Surfingate, Content Inspector oder I-Gear haben gegenüber Lösungen am Desktop den Vorteil, dass sie zentral verwaltet werden können, so dass Anwender keine Verantwortung in puncto Sicherheit tragen müssen. Doch leider hat dieser Ansatz einen Haken: Nicht immer lässt sich durch das Inspizieren von Inhalten feststellen, ob sie eine Gefahr darstellen. Insbesondere einige Virentypen werden erst entdeckt, wenn der Desktop bereits befallen ist. Dann gilt es, den PC entsprechend abzusichern. Neben Virenprogrammen gibt es die Möglichkeit, das nicht gerade sichere Betriebssystem Windows mit einem zusätzlichen Security-Layer auszustatten. Die Sandbox Security AG aus Puchheim beispielsweise entwickelte mit "Secure 4U" eine Software, die über ähnliche Funktionen verfügt wie die "Sandbox" unter Java. Unerlaubte Systemaufrufe, die auf Viren oder Störprogramme hinweisen, werden so laut Hersteller unterbunden. Allerdings kann es bei dieser und ähnlichen Lösungen vorkommen, dass sie, wenn sie nicht richtig konfiguriert wurden, eine Reihe von Fehlalarmen auslösen, die den Benutzer nicht nur nerven, sondern auch verwirren.
Zwar lässt sich mit den am Markt erhältlichen CS-Produkten ein hohes Maß an Sicherheit erreichen, doch zu welchem Preis? "Viele Firmen können sich Content-Security nicht leisten und müssen deshalb einen Kompromiss schließen", meint Alexander Reeh, Geschäftsführer der Recomp Netzwerke und Systemberatung aus Rehe und Experte für Firewall- und Content-Security-Lösungen. Auch Reeh hält nicht viel davon, in Ermangelung geeigneter Inhaltskontrolle aktive Inhalte einfach zu blocken. Allerdings würde er Active X generell sperren, da es ein wesentlich höheres Gefahrenpotenzial darstelle als Java. Der Grund: Die von Sun entwickelte Programmier- und Ablaufumgebung verfügt mit der bereits erwähnten Sandbox über ein integriertes Sicherheitskonzept. Ein Problem stellt für Reeh Javascript dar. Seiner Ansicht nach steht diese Kommandosprache sicherheitstechnisch etwa auf gleicher Stufe mit Active X, ist aber sehr weit verbreitet und daher praktisch unverzichtbar. Ein Kompromiss könnte seiner Vorstellung nach so aussehen: Active X blocken und für Java und Javascript ein Überwachungsprogramm anschaffen.
Ein weiterer Hemmschuh bei der Content-Security: Die Programme beanspruchen enorm viel Rechenzeit. Während die Überprüfung von Inhalten auf E-Mail-Servern den Netzbetrieb nur gering beeinträchtigten, macht sich das Überprüfen von Web-Inhalten nach Erfahrungen Reehs für den Browser-Nutzer schon bemerkbar: "Der Traffic wird spürbar langsamer." Es wird sich wohl nicht vermeiden lassen, dass auch weiterhin viele Firmen allein auf die Firewall setzt.