Das Internet-Engagement bringt viele Unternehmen in eine Zwickmühle. Einerseits möchten sie sich neue Kommunikations- und Vertriebswege erschließen und dabei die interaktiven Möglichkeiten moderner Web-Sites ausschöpfen. Andererseits müssen sie um so strenger auf die Sicherheit ihrer Daten und Netze achten, je mehr sie sich der Außenwelt öffnen.
Java-Applets und ActiveX-Controls sind kleine Programme, die in Web-Seiten eingebettet sein können und vom Browser automatisch aufgerufen werden (Mobile-Code). Mit ihnen lassen sich beispielsweise Animationen gestalten, Informationen aufbereiten oder Datenbankabfragen und Eingabeformulare gestalten. Auf solchen Zusatznutzen wollen immer weniger Seitenbauer und Web-Surfer verzichten. Damit sind dem Mißbrauch buchstäblich Tür und Tor geöffnet.
Im Gegensatz zu Computerviren repliziert oder infiziert schädlicher Java- oder ActiveX-Code keine Dateien. Wird ein solches Programm auf dem Rechner entdeckt, ist es meist schon zu spät - der Schaden tritt unmittelbar ein. Die als Mobile-Code bezeichneten Komponenten sind ein ideales Werkzeug, um bestimmte Netzwerke oder Unternehmen gezielt anzugreifen. Jedermann kann solche infizierten Applets oder Controls bequem als E-Mail-Anhang versenden oder auf einer Web-Site plazieren, die von der gegnerischen Seite abgerufen wird. Sie entfalten ihre Aktivität automatisch und können Denial-of-Service-Attacken starten, auf unautorisierte Dateien zugreifen und diese an fremde Nutzer senden, Paßwörter stehlen, Festplatten formatieren oder Rechner fernsteuern (vergleiche CW 35/98, Seite 23).
Während Microsofts ActiveX grundsätzlich über keinen eingebauten Schutzmechanismus verfügt, glaubte man sich bei Java durch das "Sandbox-Prinzip" lange auf der sicheren Seite. In der Tat laufen Java-Applets und -Skripts zwar in einem isolierten Rechnerumfeld auf der "Java-Virtual-Machine" ab. Dies hält Hacker allerdings nicht vor Mißbrauch ab. Kürzlich sendeten Online-Desperados ein Java-Skript an Benutzer von Microsofts E-Mail-Dienst Hotmail. Nach dem Ansehen der Mitteilung wurden die Anwender zu einem erneuten Login aufgefordert. Folgten sie dem, wurden Benutzername, Paßwort und IP-Adresse des Opfers per E-Mail an den Hacker geschickt.
Der Schaden, der durch Einbrüche in Unternehmensnetze entsteht, ist immens und steigt rapide an. Eine Anfang dieses Jahres vom Computer Security Institute (CSI) im Auftrag des FBI durchgeführte Umfrage bei 520 amerikanischen Unternehmen und Organisationen ergab, daß 64 Prozent aller Firmen in den letzten zwölf Monaten Opfer gravierender Netzattacken wurden. Das bedeutet einen Anstieg von 16 Prozent gegenüber der letzten Befragung. Bei den 241 Unternehmen, die ihre Verluste beziffern konnten, summierte sich der Gesamtschaden auf über 136 Millionen Dollar. Nach Untersuchungen der International Computer Security Agency (ICSA) beklagte nahezu jedes fünfte Unternehmen den Verlust von vertraulichen Informationen.
Natürlich handelt es sich nicht nur um Attacken durch marodierende Komponenten. Einer aktuellen Studie des amerikanischen Marktforschungsunternehmens Forrester Research zufolge äußerten sich dennoch 92 Prozent der befragten Unternehmen besorgt über die Sicherheitsprobleme von Java und ActiveX.
Zwei Drittel allerdings lassen derartigen Code bislang ungehindert ins eigene Netzwerk und kapitulieren damit vor Angreifern und Nutzern gleichermaßen. Letztere verlangen oft die neuesten Technologien und verhindern damit die einfachste Lösung, das vollständige Blockieren solcher Anwendungen.
Diesen Konflikt haben mittlerweile einige Spezialanbieter von Internet-Sicherheitsprodukten erkannt und bieten Lösungen zum Schutz vor boshaftem Java- und ActiveX-Code an. Im Vordergrund der Entwicklungen stand die Überlegung, Firewalls um Zusatzfunktionen zu erweitern beziehungsweise unerwünschte Applets bereits vor dem Eintritt ins Unternehmensnetz am Internet-Gateway herauszufiltern. Die Produkte der wichtigsten Anbieter von Gateway-Lösungen - Finjan, Esafe, Trend Micro, Security-7, Network Associates und Digitivity (siehe Seite 23) - suchen Java-Applets und ActiveX-Controls aus der Datenflut heraus, isolieren sie und untersuchen sie auf ihren Inhalt. Unverdächtige Daten können passieren, potentiell schädlicher Code wird entweder ganz blockiert oder aber gereinigt.
Das Hauptproblem ist die ungeheure Datenmenge, mit der kommunikationsintensive Sites zu kämpfen haben. Filter, die immer wieder unbesehen jede eingehende Datei untersuchen, können die Server-Performance deutlich reduzieren. Die Hersteller reagieren darauf mit vorher festgelegten Regeln für die Filter-Tools gemäß den Sicherheitsrichtlinien der Unternehmen. Bestimmte Web-Sites oder ActiveX-Signaturen werden dabei als grundsätzlich vertrauenswürdig deklariert.
Die wohl ausgetüfteltste Lösung bietet der israelische Anbieter Finjan mit dem "Surfingate 4.0" an. Ein eingehendes Applet wird identifiziert und anschließend in einer eigenen Datenbank mit dem vorhandenen Bestand verglichen. Ist es unbekannt, wird es komplett gescannt, mit einer Art Unterschrift, dem Applet Security Profile (ASP) versehen und in die Datenbank aufgenommen. Eine weitere Datenbank gleicht die ASPs mit der Sicherheitspolitik der Firma ab und blockiert den mobilen Code entweder oder läßt ihn passieren. Das Nebeneinander beider Datenbanken hat den Vorteil, daß einmal bekannte Schädlinge abgewiesen werden, ohne ganz neu untersucht werden zu müssen. Herkömmliche Firewalls werden so wirkungsvoll aufgerüstet.
Abb.1: Mobile-Code-Filtering
Java-Applets oder ActiveX-Controls (Mobile-Code) können sowohl gutartig als auch bösartig sein. Besondere Filtertechniken ergänzen herkömmliche Firewalls. Quelle: CW
Abb.2: Bedrohung
Viele Unternehmen reagieren hilflos auf Mobile-Code-Gefahren. Quelle: Forrester Research