computerwoche.de

Archiv

Die genaue Kenntnis des eigenen Netzes ist der beste Schutz

Die genaue Kenntnis des eigenen Netzes ist der beste Schutz Mangelndes Know-how der Anwender erleichtert Hackern das Leben

12.03.1999
CIA-Web-Seite gehackt, interne Finanzdaten in den Händen des Konkurrenten. Es vergeht kaum eine Woche, in der nicht solche oder ähnliche Horrormeldungen über virtuelle Einbrüche die Runde machen. Mit Mike Lortz, Manager bei Internet Security Systems, das durch seinen Internet-Scanner bekannt wurde, diskutierte CW- Redakteur Jürgen Hill über die Schwachstellen heutiger Netze.

CW: Lange Zeit galt das Internet als größte Gefahr für die Netzintegrität. Wie sieht das heutige Bedrohungsszenario aus?

LORTZ: Im täglichen Umgang mit Anwendern gewinne ich zunehmend den Eindruck, daß zumindest in den USA die Unternehmen verstärkt über Bedrohungen aus den eigenen Reihen besorgt sind. Diese Veränderung geht mit einem grundsätzlichen Paradigmenwechsel einher: Lange Zeit betrachteten die Anwender ihre Netze von der technologischen Seite her. Heute liegt der Fokus auf der betriebswirtschaftlichen Seite.

CW: Das bedeutet konkret?

LORTZ: Nicht die Frage, ob ein System zu hacken ist, steht im Vordergrund, sondern die Frage, welcher Schaden entsteht. Kann jemand die Finanzbuchhaltung so kompromittieren, daß er sich eine Zahlungsanweisung ausstellt? Insgesamt werden die Bedrohungen heute mehr aus der Applikationssicht wahrgenommen. Aber, ich warne ausdrücklich davor, bei dieser Sichtweise die externen Gefahren zu vergessen.

CW: Wo liegen auf Anwendungsebene die typischen Angriffspunkte?

LORTZ: Das hängt davon ab, wer die Attacke startet und ob er ein bestimmtes Ziel verfolgt. Sie finden da draußen immer noch eine Menge Leute, die automatische Einbruchswerkzeuge verwenden. In den meisten Fällen verstehen sie aber nicht, was sie überhaupt angreifen. Historisch betrachtet waren diese Hacker meist Kinder oder Teenager, die Hacking-Skripts verwendeten und ein System unstrukturiert angriffen. Gefährlicher sind dagegen strukturierte Angriffe, bei denen der Angreifer gezielt bestimmte Informationen sucht.

CW: Wie läuft ein solcher strukturierter Angriff ab?

LORTZ: Der Hacker geht meist in mehreren Stufen vor. Im Vorfeld der eigentlichen Attacke tastet er das System mit sogenannten Probes ab, die nach Schwachstellen suchen. Im zweiten Schritt forscht er im Netz gezielt nach Datenbanken und File-Servern. Anwender sollten also gewarnt sein, wenn sie einen Eindringling entdecken, der scheinbar harmlos duch das fremde Netz reist. Die nach dem Auskundschaften folgende gezielte Attacke auf die Daten begleitet nämlich meist ein Denial-of-Services-Angriff, nach dem das Opfer nicht mehr auf den Eindringling reagieren kann. Dies ist aber nur als rudimentäres Konzept zu verstehen, in der Praxis gibt es unterschiedlichste Spielarten, je nachdem, wer an Ihre Daten will.

CW: Gibt es besonders beliebte Einbruchswerkzeuge?

LORTZ: Das läßt sich nicht genau spezifizieren. Die Palette reicht von Brute-Force-Attacken über Trojanische Pferde bis hin zu E- Mail-Attachments mit gefährlichem Inhalt.

CW: Sehen Sie aus Anwendersicht typische Schwachstellen in den heutigen Netzen?

ISS: Die neuralgischen Gefahrenpunkte im Netz sind die Orte, an denen Unternehmen große und relevante Datenmengen speichern. Eine Gefahr ist dies aber nur dann, wenn sich die Anwender nicht im klaren sind, wo ihre unternehmenskritischen Daten liegen und wie diese Server in das Netz eingebunden sind. Wenn sich die Administratoren diese Struktur deutlich vor Augen führen, entdecken sie schnell die wunden Punkte in ihrem Netz, die Eindringlinge einladen.

CW: Ihre Erklärung ist sehr allgemein gehalten. Kennen Sie Geräte oder Software, die Sie nicht einsetzen würden, weil sie Hackern das Leben zu einfach machen?

LORTZ: Nein, nach meiner Meinung besitzen alle Geräte und Netze Schwachstellen. Das Gesellenstück ist es, zu erkennen, wo sich die potentiellen Schlupflöcher befinden. Die Meisterprüfung be- steht dann darin, diese Löcher zu stopfen. Nach unseren Erfahrungen sind alle relationalen Datenbanken gegenüber Angriffen verletzlich, und das sichere Betriebssystem gibt es nicht. Erschwerend kommt hinzu, daß die meisten Netzgeräte im Auslieferungszustand unsicher konfiguriert sind.

CW: Welche Gegenmaßnahme empfehlen Sie?

LORTZ: Hier ist das Expertenwissen der Anwender gefragt, um eine richtige und sichere Konfiguration zu finden. Das ist vielleicht auch die größte Schwachstelle der heterogenen Netze: Das mangelnde Wissen der User, um die Verwundbarkeit ihrer IT-Umgebung.

CW: Sie bemängeln das Know-how der Anwender. Haben Sie Tips für den Alltag parat?

LORTZ: Natürlich, die Anwender sollten unsere Produkte verwenden. Aber Spaß beiseite, je-der Anwender sollte sich zuerst verdeutlichen, welche Risiken für sein Netz bestehen. Wenn er Schwachstellen erkannt hat, empfehle ich die Aufstellung ei-ner Prioritätenliste. Schließlich kann niemand ein komplettes Netz auf einmal absichern. Deshalb sollte er zuerst die wichtigsten Geräte an neuralgischen Punkten absichern. Bei der Suche können Netzscanner eine Hilfe sein.

CW: Haben Sie goldene Regeln zum Absichern eines Netzes?

LORTZ: Nach unserer Ansicht gibt es keine allgemeingültigen Regeln. Firewalls lösen nicht jedes Problem, ebensowenig Verschlüsselungssysteme oder bestimmte Betriebssysteme. Nur das feinabgestimmte Wechselspiel aller Komponenten gewährleistet einen Schutz. Aufgrund der dynamischen und heterogenen Entwicklung kommen Anwender nicht umhin, die Sicherheitskonzeption zudem laufend zu überprüfen.

CW: Wie sieht diese Überprüfung aus?

LORTZ: Nachdem der Anwender Überwachungssysteme im Netz installiert hat, sollte ein User die gewonnene Informationsflut filtern, da er sonst den Überblick verliert. Gleichzeitig raten wir, für die zwanzig wichtigsten Netzereignisse einen Reaktionsplan aufzustellen. Sind diese Reaktionen definiert, können Unternehmen darangehen, ein regelbasiertes System zu implementieren, das automatisch auf Schwachstellen reagiert und eventuelle Angreifer selbständig bekämpft. Eine gute Maßnahme ist zudem die Aufstellung eines langfristigen Sicherheitsplans. Hierin ist beispielsweise festzuhalten, was bei der Einführung neuer Services in puncto Firewall-Sicherheit zu beachten ist oder welche Auswirkungen etwa eine Änderung der Routing-Tabellen auf die Netzsicherheit hat. Ebenso gehört hier hinein, welche Release- Stände Geräte und Software erfordern, um den angestrebten Sicherheitslevel zu halten.

Bedrohungen

Die Top ten

1.Denial-of-Service-Attacken: Fragmentierte IP-Pakete werden so lange an einen Server geschickt, bis dieser abstürzt.

2.Sendmail-Attacke: Hacker verschaffen sich über den Sendmail-Port Zugang zu Netzen.

3.Gefährliche E-Mails: Via E-Mail werden Tools (etwa Fernsteuerprogramme) eingeschleust, die die Sicherheit gefährden.

4.Falsch konfigurierte Firewalls

5.Verwundbarkeiten bei File Share: Unbefugte können auf Programme und Dateien am Arbeitsplatz zugreifen.

6."GetAdmin"-Gefahr bei NT-Servern: Durch Ausführen eines speziellen Programmes können normale Anwender Administratorprivilegien erhalten.

7."statd"-Gefahr bei Unix: Über Remote Procedure Calls können Hacker die Datei "statd" auf einem Server manipulieren, die unter anderem Schreib-Lese-Rechte unter Unix verwaltet. Auf diese Weise können sie später alle möglichen Informationen ändern, löschen oder hinzufügen.

8.Hacker-Tool "Rootkid" installiert.

9.Paßwortleser installiert.

10.Abfangen von E-Mails mit wichtigen Informationen (etwa geistigem Eigentum). Quelle: ISS