computerwoche.de

Archiv

Internet-Sicherheit

Nachlässigkeit kann Millionen kosten

30.07.1999
Trotz besserer Schutzmaßnahmen hängt die IT-Sicherheit wie ein Damoklesschwert über den Köpfen der DV-Manager. Vor allem der Internet-Boom ruft kriminelle Angreifer auf den Plan, die mit viel Energie und handwerklichem Können in lokalen Netzwerken erheblichen Schaden anrichten. Um so wichtiger sind klar definierte Sicherheitsstandards und wirkungsvolle Abwehrmaßnahmen.Von Andreas Beuthner*

Immer mehr Firmennetze mit darin abgebildeten Geschäftsprozessen nehmen den Betrieb auf, Banken offerieren ihren Kunden komplettes Internet-Banking, und die Zahl der Online-Shops im deutschsprachigen Raum steigt stetig. Aus kriminalistischer Sicht eine Entwicklung mit Schattenseiten, denn mit jedem neuen Web-Server wächst auch das Sicherheitsrisiko für die daran angeschlossenen Rechner. Die Statistik für Computerkriminalität erreichte 1998 einen neuen Höhepunkt: 46022 gemeldete Fälle registrierte das Bundeskriminalamt (BKA) in Wiesbaden im letzten Jahr bei sinkender Aufklärungsquote (siehe Grafik Seite 46). Andere Hinweise bestätigen die Zunahme illegaler Computeraktivitäten. Erstmals erfaßte das BKA 1998 Betrügereien mit Zugangsberechtigungen zu Kommunikationsdiensten - prompt schnellte die Gesamtzahl im BKA-Index um 2109 Fälle nach oben. Ein Indiz dafür, daß Datenpiraten hauptsächlich den Weg über Netzanschlüsse nutzen und Kommunikationsdienste als bevorzugtes Revier für Computerattacken hoch im Kurs stehen.

Nüchterne BKA-Zahlen freilich geben nur ein blasses Bild der Hackerszene und ihrer Motive. "Die Angriffspotentiale in den Netzen und Informationssystemen sind groß", warnt Professor Jörg Eberspächer von der TU München. Das Dilemma auf dem Weg in die Informationsgesellschaft ist unübersehbar. Eberspächer unterstreicht die Schwierigkeit, Persönlichkeitsschutz und Anonymität mit der Offenheit des Internet und dem Ruf nach Überwachbarkeit des Datenverkehrs hinsichtlich krimineller Aktivitäten in Einklang zu bringen.

Während etwa der Online-Vertrieb von Kinderpornografie zum Symbol für organisiertes Verbrechen via Internet geworden ist, zeichnen sich auf seiten der Hacker Veränderungen ab. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verfügt über Kenntnisse, wonach in den letzten beiden Jahren eine deutliche Verlagerung der Täterprofile stattgefunden hat. In den Anfangszeiten des Internet drangen Informatikstudenten oder jugendliche Hacker in fremde IT-Systeme ein, um im Freundeskreis ihr Können unter Beweis zu stellen - oder einfach aus Neugierde. Heute sind es zumeist professionelle Datendiebe, die gegen Honorar Industriespionage betreiben oder Firmennetze sabotieren.

Das Zerstören von Datenverzeichnissen über angehängte Attachments ist nur ein Beispiel aus dem Repertoire angriffslustiger Hacker. Kein Kavaliersdelikt, wie mancher Programmierkünstler denkt, sondern ein Angriff mit beträchtlichen Folgekosten. Das amerikanische Marktforschungsunternehmen Computer Economics hat ausgerechnet, daß im ersten Halbjahr 1999 in amerikanischen Firmen durch Virenangriffe ein Schaden von 7,6 Milliarden Dollar verursacht wurde.

Programmierfehler öffnen Hackern Türen ins Netz

Die Analysten betonen, daß derartige Attacken in diesem Jahr erheblich zugenommen haben und diese Entwicklung trotz Antivirenprogramme und Firewall-Technik anhalten wird.

Ein einfacher Weg, um in Rechnersysteme einzudringen, sind Programmierfehler im Betriebssystem oder in den Anwendungen. Im vergangenen Jahr deckten US-Sicherheitsexperten beispielsweise Sicherheitslücken in Windows NT auf. Über ein gültiges NT-Benutzerkonto konnten sich Hacker Administratorenrechte sichern und darüber den PC ausspionieren. Wenn der Anwender dann zufällig Paßwörter auf der Festplatte gespeichert hat, ist der Abruf eine Sache von wenigen Mausklicks. Dasselbe gilt für den Internet Explorer, der das Eindringen von unerwünschten Hacker-Files keinesfalls ausschließt.

Jeder IT-Verantwortliche weiß, daß Internet-Anschlüsse Einfallstore für ungebetene Gäste sind und sich die Sicherheitslage durch offene Client-Server-Systeme und verteilte Anwendungen verschärft. Sicherheitsexperten der Bonner Von zur Mühlen''sche Unternehmensberatungs GmbH indes sind immer wieder erstaunt, daß auch weitsichtige IT-Spezialisten beim Thema Sicherheit abwinken.

Selbst bei einfachen Vorkehrungen wie dem regelmäßigen Wechseln von Paßwörtern "herrscht der Schlendrian vor", so Rainer von zur Mühlen. Als Gegenwehr empfiehlt die Beraterzunft unisono mehr Sicherheitsbewußtsein in den Mitarbeiterköpfen und präventive Maßnahmen wie rechtzeitige Risikoanalysen und Vorsorgeplanung durch das Management.

Sicherheitslücken in Internet-Programmen wie E-Mail-Clients oder Browsern sind für versierte Hacker einfach zu knacken. Nach wie vor beliebt ist das Maskieren von Rechneradressen. Bei diesem sogenannten IP-Spoofing werden Login-Files durch Vortäuschen eines berechtigten Ziel-Servers ausspioniert. Kalifornische Studenten konnten gleich mehrmals den Verschlüsselungscode des weitverbreiteten Netscape-Browsers offenlegen.

Wer Warnungen vor allzu sorglosem Umgang mit dem Rechner sowohl im Privatbereich als auch im Unternehmensnetz in den Wind schlägt, verkennt den Ernst der Lage. "Die Attacken reichen vom Ausspionieren einzelner Konfigurationsdateien bis zum Ausschleusen geschäftskritischer Unternehmensdaten", weiß Maria Reinisch von der Interchip Unternehmensberatung GmbH aus München. Experten des Dienstleisters werden bei Sicherheitschecks in Unternehmen fast jedesmal fündig. "Besonders kleine und mittlere Unternehmen sind gefährdet", so Reinisch. Das liege daran, daß die Umsetzung von Security-Zielen häufig auf die lange Bank geschoben werde. "IT-Sicherheit bedeutet Aufwand und bereitet damit Kosten", konstatiert Reinisch. Die Beschaffung, Installation, Systemanpassung, Administration, Wartung und Pflege von Sicherheits-Hard- und Software kann je nach Anforderung kräftig zu Buche schlagen. Etwa zwei Prozent ihres DV-Budgets sollten Unternehmen in ihren Datenschutz investieren, lautet eine Faustregel.

Meist unterschätzt werden nach Reinischs Ansicht auch die organisatorischen Auswirkungen auf die Bedienung von Arbeitsplatzrechnern und im System-Management. Die Einhaltung von Sicherheitsstandards stößt bei Mitarbeitern nicht selten auf Widerstand. Deshalb sei meist ein Bündel aus technischen und organisatorischen Maßnahmen der sicherste Weg zu einer geschützten Systemumgebung. Vor allem bei der Koppelung lokaler an öffentliche Netze.

Das Angebot der IT-Industrie an Sicherheitsprodukten reicht von kompletten Firewall-Paketen, über Verschlüsselungssoftware bis zu neuartigen Identifizierungsverfahren. Neben der obligatorischen Firewall mit aktiver Erzeugung und Auswertung von Protokolldaten sowie ergänzender Filtersoftware spielen sichere Zahlungssysteme für Online-Transaktionen und die digitale Signatur eine wichtige Rolle.

Branchengrößen wie Microsoft, IBM, Intel oder Hewlett-Packard (HP) verfügen bereits über ausgereifte Security-Architekturen, die sich meist auf Server-Funktionen stützen. HP beispielsweise offeriert den "Praesidium Authorization Server", der in seiner neuesten Version über mehrere Unternehmen reichende Netzwerkdomänen (Trusted Access Domains) einrichtet und verwaltet. Sie erkennen die Personen, die an einem Projekt mitwirken anhand von Paßworteingaben, ordnen die gemeinsam verwendeten Geschäftsprozesse zu und regeln die Zugriffsrechte. Bei IBM sorgt das Protokoll Secure Electronic Transaction (SET), das die Verschlüsselung von Transaktionen im Online-Verkehr regelt, für Sicherheit im E-Business-Einsteigerpaket "Net-Commerce Start".

Zunehmende Akzeptanz finden auch neue Identifikationsverfahren. Ein paßwortgeschützter Zugang reicht in vielen Fällen nicht aus, da jeder, der das Paßwort kennt, uneingeschränkten Zugriff hat. Biometrische Zugangskontrollen erkennen den rechtmäßigen Benutzer anhand fälschungssicherer Köpermerkmale wie dem Fingerabdruck. Die DCS AG aus Berlin verwertet zusätzlich Lippenbewegungen und Stimme zur Personenerkennung. In Verbindung mit einer Smard-Card und einer digitalen Signatur läßt sich so auch der Zugang zu einzelnen Web-Seiten absichern.

Anbieter von Firewalls haben erkannt, daß eine einzelne Softwarelösung noch lange keine Schutzgarantie darstellt, und erweitern ihre Plattform mit zusätzlichen Features und Serviceangeboten. Beispielsweise koppelt Marktführer Check Point sein Firewall-Produkt mit einem Netzwerk-Management-System. Mehr Sicherheit bietet auch die Kombination von Hard- und Software, beispielsweise ein separater Security-Server, über den die gesamten Datenströme zwischen Intranet und Extranet oder Internet fließen. In diesem Fall lassen sich zusätzliche Scans fahren, die verdächtige Files in einem simulierten Anwendungsumfeld öffnen und feststellen, ob die Nachricht unbedenklich ist. Der Nachteil aufwendiger Scanning-Verfahren liegt in dem damit verbundenen Zeitaufwand, der zwangsläufig zu Performance-Verlusten in den operativen Systemen führt.

Sichere Zahlungssysteme für E-Commerce-Transaktionen leiden unter der fehlenden Standardisierung hinsichtlich der Verschlüsselung. Beispielsweise werden in Banken Verschlüsselungsverfahren sowohl nach SET und nach HBCI (Homebanking Computer Interface) eingesetzt. Diskutiert werden derzeit sogenannte Security-Cards, ein eigener Rechner im Scheckkartenformat, der die umständlichen PIN/TAN-Listen (Persönliche Identifikationsnummer/Transaktionsnummer) ersetzen soll.

Einen Schritt weiter geht die Hamburger Netlife AG mit einem SET-basierten Server-Wallet, das zentral auf einem Bank-Host implementiert wird. Das Server-Wallet verwaltet SET-Kryptografieschlüssel und -zertifikate für alle Kunden, die sich beim Bankrechner registriert haben, und leitet Zahlungsanweisungen des Kunden als SET-Nachricht an den Händler weiter. Andere Aufgaben der Server-seitigen Geldbörse sind die Darstellung und Speicherung von Transaktionsinformationen sowie die Anzeige von Bestelldetails. Während des Einkaufs wird lediglich eine schlanke Bedienoberfläche (Plug-in beziehungsweise Active-X-Control) im Web-Browser des Kunden ausgeführt. Dadurch reduziert sich die Zeit für das Herunterladen des Wallets erheblich. Der Kunde legitimiert sich beim Server-Wallet über seine Benutzerkennung und sein Paßwort. Die Kommunikationsverbindung zwischen Kunde und Server-Wallet wird dabei durch eine SSL-Verschlüsselung (Secure Socket Layer von Netscape) gesichert.

Unternehmen wie Verbrauchern steht ein ganzes Arsenal an Internet-Sicherheitslösungen zur Verfügung. Gleichwohl kann es keine 100prozentige Sicherheit geben, da auch die Angreifer stets nachrüsten. Vor allen Dingen sollte das eingesetzte Security-System auf die eigenen Bedürfnisse zugeschnitten sein und nach Möglichkeit internationale Standards berücksichtigen.

Gefährliche Würmer

Die Virenmeldungen der jüngsten Zeit sind alarmierend. Der Wurm mit der Bezeichnung W32/ ExploreZip.worm beispielsweise befällt Computer mit den Betriebssystemen Windows 95/98 und NT. Dabei wird eine E-Mail-Nachricht versendet, an die eine ausführbare Datei angehängt ist. Startet der Empfänger dieses Programm, wird es auf seinem Rechner aktiviert. Die angehängte Datei (Attachment) heißt zipped_files.exe und kopiert sich in das Systemverzeichnis von Windows. Anschließend modifiziert es die Datei win.ini, wodurch das Programm bei jedem Start von Win- dows ausgeführt wird. Die Folgen sind gravierend: Das eingeschmuggelte Miniprogramm löscht sämtliche Anwenderdaten auf der Festplatte. Der Wurm verbreitet sich über E-Mail-Systeme und kann in kurzer Zeit zahlreiche PCs befallen.

*Andreas Beuthner leitet ein Redaktionsbüro in Stockdorf bei München.