WAS AM heimischen PC mittlerweile üblich ist, darf am Arbeitsplatz nicht fehlen: Virenschutz ist heute im Mittelstand kein Thema mehr, sei es am Client, am File- oder am Mail-Server. Ebenso wenig stellt die regelmäßige Aktualisierung der Virendefinitionen keine Herausforderung mehr dar, da die meisten Softwareprodukte automatisch zum Update auffordern und den Scanner via Web auf den neuesten Stand bringen.
Doch Virenschutz allein reicht für den externen E-Mail und Internet-Anschluss, den die meisten mittelständischen Betriebe heute haben, nicht aus. Jeder Security-Experte zählt neben Virenscannern die Firewall zum „primitivsten“ Grundschutz, wenn es um die Öffnung des Firmen-LAN in Richtung Web geht. Firewalls lassen sich grob in die zwei Gruppen Paketfilter und Application Gateways (Application Proxy) gliedern. Letztere untersuchen Datenpakete auf Anwendungsebene. Als Proxy konfiguriert holen sie sich die von einer Anfrage gewünschten Daten und kontrollieren sie auf unerwünschte Inhalte. So lassen sich beispielsweise die in Web-Seiten enthaltenen aktiven Komponenten wie Java-Applets oder Active-X-Controls entfernen. Paketfilter hingegen arbeiten auf Protokollebene, indem sie Quell- oder Ziel-Adressen sowie Port-Nummern analysieren. Modernere Produkte dieser Kategorie erlauben zusätzlich „statefull inspection“, was bedeutet, dass man in die
Konfiguration auch Informationen über den Verbindungsstatus einbeziehen kann. Die Rede ist dann von dynamischen Paketfiltern.
Von Checkpoint bis Watchguard
Das Angebot an Firewalls ist vielfältig und reicht von reinen Softwareprodukten bis hin zu abgeschlossenen Komplettsystemen (Appliances). Als Platzhirsch unter den Herstellern von Paketfiltern lässt sich die Firma Checkpoint (www.checkpoint.com) bezeichnen, die aus dem Enterprise-Segment kommt und inzwischen verstärkt mit Angeboten bis in den Small-Office-Markt drängt. Als ebenbürtiger Konkurrent gilt Cisco (www.cisco.com), dessen Produkte nicht zuletzt deshalb evidente Verbreitung genießen, weil viele Anwender bereits Router und Switches des Herstellers einsetzen und gerne alles aus einer Hand beziehen. Im Mittelstand aufgewachsen und dort ebenfalls verbreitet ist die Firma Watchguard (www.watchguard.com). Weitere Namen in diesem Segment sind Sonicwall (www.sonicwall.com) und Netscreen (www.netscreen.com).
Zu den bekanntesten Vertretern der Application Proxys gehört die „Raptor- Firewall“, die von Symantec (www.symantec.de) übernommen wurde und jetzt als „Symantec Enterprise Firewall“ vertrieben wird. Auch die „TIS-Gauntlet- Firewall“, zwischendurch als „NAIFirewall“ im Portfolio der Network Associates Inc. (NAI, www.networkassociates.com) und neuerdings wieder unter altem Namen bei Secure Computing (www.securecomputing.com), fällt in diesen Bereich.
Ob Firewalls in Form von Application Proxys oder dynamischen Paketfiltern: Hinsichtlich des Schutzes, des Konfigurationsaufwands oder des Preises gibt es keine nennenswerten Unterschiede. Gesamtlösungen für kleinere Firmen einschließlich Installations- und Management-Kosten sind mit etwa 5000 Euro aufwärts zu veranschlagen. Allerdings bieten Statefull-Inspection-Produkte eine größere Flexibilität, da sie zum Beispiel mehr Protokolle unterstützen.
Nach Virenscanner und Firewall wird als nächste Ausbaustufe in Sachen Sicherheit der Einsatz von Content-Security-Mechanismen für den HTTPZugriff (Browsen/Surfen) dringend empfohlen. Derartige Systeme schützen vor Angriffen, die drohen, wenn die aus dem Internet geladenen Inhalte ins Haus kommen. Ob verbotene Websites oder deren aktive Komponenten: Content-Security-Verfahren inspizieren die Inhalte nach einem zuvor festgelegten Regelwerk und versuchen herauszufinden, welche Aktionen beziehungsweise zerstörerische Wirkung solche Module auslösen.
Insofern arbeiten diese Systeme ähnlich wie die Application Proxys der Firewalls. Nach Meinung von Experten wie Stefan Strobel, Geschäftsführer der Cirosec GmbH in Heilbronn, besteht deshalb eine gute Sicherheitslösung in der Kombination aus einem dynamischen Paketfilter (Statefull Inspection) als Firewall und einem Content-Security-Produkt.
Auf den Geschmack gekommen
Content-Security-Gateways sind in Großunternehmen schon weit verbreitet, Mittelständler führen diese Technik dagegen erst zögerlich ein. Bekannte Anbieter in diesem Segment sind Network Associates, Symantec und Clearswift (www.clearswift.com). Die Systemkosten für eine Firma mit einigen 100 Mitarbeitern liegen zwischen 5000 und 10 000 Euro. Dabei ist es nicht erforderlich, Firewall und Content-Security-Lösung aus einer Hand zu kaufen. Zwischen beiden Bereichen gibt es nur wenig zu integrieren, die Schnittstellen sind völlig unkritisch. Auch die Verwaltung des Content-Security-Gateway ist im Prinzip nicht aufwändiger als die von Firewalls.
Haben sich Firmen allerdings erst einmal mit Content-Security-Systemen beschäftigt, liebäugeln sie in der Regel auch schnell mit weiteren Nutzungsszenarien der Internet-Techniken. Damit ergeben sich völlig neue Anforderungen an Sicherheitskonzepte, die sich im Wesentlichen in drei Bereiche gliedern lassen: Virtual Private Networks (VPNs), Remote Access sowie eigene Web-Anwendungen (zum Beispiel ECommerce, Shopping-Lösungen und Produktkataloge im Internet).
Die Einrichtung von VPNs ist dann angesagt, wenn eine Hauptgeschäftsstelle den Austausch vertraulicher Daten mit kleineren Standorten beziehungsweise Filialen nicht über Standleitungen, sondern über das Internet lösen will. Hier brauchen Interessenten nicht lange zu suchen, denn die Anbieter sind in der Regel die Firewall-Hersteller, deren Filter inzwischen auch über VPN-Funktionen verfügen.
Remote Access kommt ins Spiel, wenn der Außendienst oder Tele-Arbeiter mit dem Unternehmen verbunden werden sollen. Auch hier ersetzt das Internet zunehmend die bislang meist über ISDN- oder analoge Wählverbindungen praktizierte Kommunikation. Zu den in diesem Bereich wichtigen Sicherheitsmechanismen gehört vor allem die Überprüfung der Zugangsberechtigung (Authentifizierung), denn die Anmeldung über User-Name und Passwort ist von Hackern schnell geknackt und daher riskant.
Abhilfe verschaffen Verfahren auf Basis von Chip-Karten oder „Token“. Zu nennen ist hier vor allem die Firma RSA (www.rsasecurity.com), deren „Secure-ID“-Karten ähnlich groß wie Scheckkarten und etwa ein bis zwei Millimeter dick sind. Sie generieren etwa alle 60 Sekunden eine neue Zahl, die anstelle des Passworts verwendet wird. Eine ähnlich bekannte Lösung in diesem Bereich kommt von Activcard (www.activcard.com).
Im Trend liegen derzeit auch Dongles (Hardware etwa in Form eines Schlüsselanhängers), die sich mit ihren Steckern an den USB-Port des Rechners anschließen lassen. Dongles gibt es in der Funktion von Datenspeichern und als Authentisierungs-Token (Activcard oder Alladin), die Kosten pro Benutzer liegen zwischen 50 und 100 Euro.
Risiko Web-Anwendungen
Größere Sicherheitslücken gibt es dagegen noch im Umfeld von Web-Anwendungen. So kann etwa innerhalb eines Web-Formulars das Eingabefeld für Suchbegriffe auch für eine versteckte Datenbankabfrage missbraucht werden. Mit einigen Tricks hangeln sich solche SQL-Statements unbemerkt durch die Applikation hindurch bis zur Datenbank, um dort Manipulationen vorzunehmen (etwa Preise ändern oder Passwörter ausspionieren). Die genannten Sicherheitsmechanismen können dem nichts entgegensetzen. In großen Unternehmen ist man sich solcher Probleme durchaus bewusst, kleinere Firmen werden aber von ihren Beratern oft zu wenig auf die Gefahr aufmerksam gemacht.
In diesem Segment wächst derzeit die ganz neue Gruppe der Hersteller von Web-Applikationsfiltern heran. Zu den bekanntesten Anbietern gehören die Firmen Kavado (www.kavado.com) und Sanctum (www.sanctuminc.com). Die Produkte sind ähnlich wie Firewalls zwischen Internet und Web-Server geschaltet und analysieren sämtliche Anfragen und Antworten, die über den Web-Server laufen, auf ihre Gültigkeit. Für Web-Applikationsfilter muss man etwa 15 000 bis 20 000 Euro veranschlagen. Die Handhabung der Systeme unterscheidet sich nicht wesentlich von der einer Firewall, ist also nicht besonders komplex.
Intrusion Detection schlägt Alarm
Als eine weitere fortschrittliche Security- Disziplin gelten derzeit Verfahren für Intrusion Detection. Sie sollen unautorisiertes Eindringen in die Unternehmensnetze erkennen und die Administration alarmieren. Intrusion Detection kann als logische Fortführung der bereits genannten Techniken gelten, die zwar bis zu einem gewissen Grad vor Angriffen schützen, aber keinen Alarm schlagen, wenn etwas passiert. Die „Alarmanlage“ kommt erst mit den Intrusion-Detection-Systemen. Das große Problem dabei sind jedoch neben den Anschaffungskosten die Betriebskosten, da ständig ein Experte zur Stelle sein muss, der im Notfall den Alarm interpretieren und entsprechend reagieren kann.
Einen derartigen Aufwand werden sich viele Mittelständler nicht leisten wollen. Laut Sicherheitsexperte Strobel entwickelt sich derzeit jedoch eine neue Strömung im Bereich Intrusion Detection, die auch für diese Klientel interessant sein dürfte: Die Rede ist von „Intrusion Prevention“. Auf Arbeitsplätzen und Servern installiert, erkennen Intrusion-Prevention- Verfahren nicht nur Angriffe, sondern verhindern sie automatisch.
Bis die Entwicklung jedoch so weit ist, rät Strobel mittelständischen Unternehmen, sich erst einmal mit Content-Security-Systemen und Web-Applikationsfiltern zu beschäftigen. So ausgerüstet, hätten die Betriebe bereits eine sehr hohe Sicherheitsabdeckung erreicht. (ciw)
Sichere Netze
Der dpunkt. verlag hat das Buch „Firewalls und ITSicherheit“ in einer dritten Auflage herausgegeben. Der Autor Stefan Strobel gibt darin einen Überblick über praktische IT-Sicherheit in Unternehmen. Er erklärt die Methoden der Hacker sowie die Konzepte und Produkte, mit denen man sich vor ihnen schützen kann - unabhängig davon, ob ein Internet-Anschluss, ein Remote-Access-Zugang oder ein E-Business-System zu sichern ist. Das 316 Seiten umfassende und 44 Euro teure Buch eignet sich als Anleitung für IT-Verantwortliche und Administratoren, die ihre IT-Infrastruktur sicherer machen möchten.