computerwoche.de

Archiv

Analysten warnen: Produkte noch nicht ausgereift

Analysten warnen: Produkte noch nicht ausgereift Überwachungslösungen sollen Angriffe auf das Netz entdecken

19.03.1999
MÜNCHEN (CW) - Die jüngsten Angriffe auf das Pentagon (siehe Bericht im CW-Infonet vom 8. März 1999) machen deutlich, daß selbst stark geschützte Netze nicht vor Angriffen sicher sind. Automatisierte Überwachungslösungen sollen Administratoren dabei helfen, Angriffe von Hackern zu erkennen und abzuwehren.

Neben militärischen Einrichtungen stellen Unternehmensnetze informationstechnisch seit jeher die für Hacker attraktivsten Ziele dar. Kein Administrator kann es sich daher erlauben, den Aspekt Sicherheit zu vernachlässigen. Nun ist es aber nicht damit getan, bloß die Kontaktstellen zur Außenwelt über Firewalls abzusichern.

Zum einen stellen selbst die rigidesten Sperren dieser Art für Angreifer mit ausreichender krimineller Energie keine unüberwindbare Hürde dar. Hinzu kommt, daß viele Attacken ihren Ursprung innerhalb der betroffenen Unternehmen haben, eine Firewall also nichts nützt. Abhilfe versprechen Hersteller von Lösungen zur automatischen Überwachung von Netzwerken. Diese Tools sollen in der Lage sein, interne wie externe Attacken zu erkennen.

Grundsätzlich müssen Anwender verschiedene Ansätze unterscheiden, einem Angreifer auf die Schliche zu kommen. Host-basierte Produkte überwachen das Netz von einem zentralen Rechner aus. Dabei werten sie unter anderem Log-Dateien aus, um bei Unregelmäßigkeiten Alarm zu schlagen. Andere Lösungen kontrollieren das lokale Netz, indem sie einzelne Pakete auf gefährlichen Inhalt untersuchen oder sogar komplette Datenströme auf Muster hin checken, die Rückschlüsse auf eine Attacke nahelegen.

Generell sind netzbasierte Lösungen besser geeignet, Attacken im Vorfeld abzuwehren, während der Host-basierte Ansatz eher dazu dient, Attacken zu verifizieren und statistische Daten über den oder die Hacker zu sammeln und die jeweilige Angriffsmethode zu analysieren. Es empfiehlt sich daher auf jeden Fall eine Kombination dieser beiden Methoden. Kombinationsprodukte sind bereits erhältlich, Hersteller wie NAI oder ISS arbeiten zudem an Tools, die bei Erkennen einer direkten Gefahr sofort Gegenmaßnahmen einleiten, etwa bestimmte Ports eines Mail-Servers schließen oder die Verbindung zwischen LAN und Internet trennen.

Allerdings stellen Produkte wie NAIs "Cybercop", Ciscos "Netranger" oder "Realsecure" von ISS zumindest momentan noch keine Wunderwaffen gegen Hacker dar. Auch die Meta Group warnt davor, die Werkzeuge zu überschätzen. Derzeit, so die Schlußfolgerung der Analysten, seien die Lösungen technologisch noch nicht ausgereift und selbst nicht völlig immun gegen Attacken. Aber auch die Leistungsfähigkeit der Überwachungshelfer kritisiert die Meta Group. Die meisten Tools seien nur bei Übertragungsraten von bis zu 10 Mbit/s in der Lage, vernünftig ihren Dienst zu tun. In Fast-Ethernet-Umgebungen verzeichneten die Einbruchswächter Leistungseinbrüche in Größenordnungen zwischen 30 und 40 Prozent. Künftige hardwarebasierte Versionen der Werkzeuge, so die Analysten, könnten hier Abhilfe schaffen.

Die Empfehlung der Meta Group an Anwender lautet daher, noch bis 2000 oder 2001 mit größeren Investitionen in Überwachungs-Tools zu warten - bis dahin hätten sie ihre Kinderkrakheiten überwunden. Wer sein Netz jetzt schon mit Hilfe einer solchen Lösung überwachen lassen will, dem empfehlen die Analysten den Installationsort genau zu planen (siehe Grafik). So ließen sich Hacker-Attacken an kritischen Stellen eher entdecken.