"Es gibt viele Umwege um eine Firewall", weiß Harlander vom Firewall-Hersteller Genua aus Erfahrung. Insbesondere befänden sich in der Umgebung eines solchen Geräts oft zahlreiche unbeachtete oder unsichere Systeme. Selbst Web- und FTP-Server in der demilitarisierten Zone (das ist eine Art Grenznetz zwischen internem, zu schützendem und externem, unsicheren Netz) seien oft schlecht gesichert und böten Angriffspunkte wie fehlende Bug-Fixes oder ausgedehnte Zugriffsrechte nach innen.
![Systeme mit Firewall und Paketfilter wie das "Genugate" von Genua können Unternehmensnetze schützen. Schlupflöcher entstehen durch Fehler bei der Konfiguration.](http://images.computerwoche.de/bdb/401770/738x415_f5f5f5.webp "Systeme mit Firewall und Paketfilter wie das "Genugate" von Genua können Unternehmensnetze schützen. Schlupflöcher entstehen durch Fehler bei der Konfiguration.")
Weitere Risiken ergeben sich aus Sorglosigkeit und Fehlern bei der Konfiguration der Firewall sowie aus aktiven Inhalten wie Javascript, VB-Scripts, Active X und Java. Sie übertragen fremden Code über E-Mail-Anhänge, Downloads oder die Installation von Freeware auf die Systeme von Endnutzern. Der Code wird dort unbesehen ausgeführt, ohne dass der Anwender eingreifen kann. Solche Scripts können diverse Schäden anrichten und lassen sich auch für Spionagezwecke missbrauchen. Eindringlich warnt Harlander daher davor, als Administrator im Internet zu surfen. Die kleinen Programme haben nämlich normalerweise die gleichen Zugriffsrechte wie der Nutzer.
Informationen sammeln
Als besonders gefährlich schätzt der Experte Angriffe ein, die unter interner Mithilfe erfolgen. Dagegen sei kein Kraut gewachsen. Hacker ohne stille Mitwisser im Unternehmen sind dagegen erst einmal darauf angewiesen, Informationen über das Ziel zu sammeln, bevor sie losschlagen. So liefert etwa "Whois" Informationen über die Benutzer, der Adressraum lässt sich aus DNS-Informationen erschließen, erreichbare Adressen mit "Ping" testen. Auf Interesse stoßen zudem folgende Fragen: Läuft eine alte Firewall-Version? Was für ein Betriebssystem liegt darunter? Welche Systemdienste finden Anwendung? Ist das Gerät richtig konfiguriert? Von den Antworten hängt es ab, ob der Angreifer eine Chance hat, in das Unternehmensnetz einzudringen.
Als bekannte Schwachstellen führt Harlander fehlerhafte DNS-Server sowie die Nutzung bestimmter Protokolle ins Feld. Von 2000 abgefragten Name-Servern seien immerhin 20 Prozent noch nicht gepatcht gewesen, obwohl die untersuchte Sicherheitslücke schon seit langem bekannt sei. Auch Protokolle wie Netmeeting hält der Experte für ein Sicherheitsrisiko, da sie eine weite Öffnung der Firewall erfordern.
Selbst Wartungszugriffe haben ihre Tücken. Laut Harlander sind viele Modems nicht mit einer Callback-Funktion ausgestattet und verfügen über automatisierte Dial-in-Skripte. Passworte werden oft hinterlegt. Bei ISDN-Routern fehlen teilweise Access Control Lists (ACLs) und Authentisierung. Ein Zugang aus unbekannten Netzen wird dadurch möglich.
Gesundes Misstrauen
Da bleibt guter Rat teuer. Harlander empfiehlt, mehr Sorgfalt in der Administration walten zu lassen und den Verantwortlichen genügend Ressourcen dafür zur Verfügung zu stellen. Ein überlasteter Administrator könne Sicherheitsfragen nicht genügend Aufmerksamkeit widmen. Es gelte, sich ein gewisses Misstrauen zu bewahren. "Seien Sie paranoid", formuliert das Harlander plakativ. Er rät eher dazu, erst einmal "Nein" zu sagen, wenn jemand mit einer angeblich tollen, neuen Applikation ankommt. Im Zweifelsfall soll der Verantwortliche lieber zuvor eine Protokollanalyse verlangen. Hilfreich sei auch, ein Zonenmodell aufzubauen und zwischen den Sicherheitszonen Schwellen zu errichten. Single-sign-on hebele einen solchen Ansatz jedoch von vornherein aus.