computerwoche.de

Archiv

Intrusion Detection trägt zum Schutz des Unternehmensnetzes bei

Elektronische Helfer klopfen Hackern auf die Finger

10.03.2000
Hackeralarm! Kein Administrator möchte erleben, dass Unbefugte sich am Netz oder darin vorhandenen Ressourcen zu schaffen machen. Schutz vor dem digitalen Einbruch ins Unternehmen sollen Intrusion-Detection-(ID-) Tools bieten, die ungebetenen Gästen sofort den Zugang verwehren.CW-Bericht, Martin Seiler

Wie notwendig der Schutz der Unternehmens-IT im Internet-Zeitalter ist, verdeutlichen die Angriffe auf die Websites von Yahoo, E-Bay oder Amazon.com, die unlängst weltweit für Schlagzeilen sorgten. Doch es sind nicht nur solch prominente Firmen, auf die es Hacker abgesehen haben. Jedes an das globale Datennetz angeschlossene Unternehmen kann Opfer einer digitalen Attacke werden - der Anschluss an das Internet stellt ein nicht zu unterschätzendes Infektionsrisiko dar. Eine Umfrage der CW bestätigt diesen Trend: Rund 27 Prozent aller 391 teilnehmenden IT-Profis gaben an, das eigene Unternehmen sei schon einmal Opfer einer Hacker-Attacke gewesen. Die Eindringlinge greifen das Firmennetz dabei über den Web-Zugang gezielt an und ergaunern im Erfolgsfall wertvolle Informationen. Gelingt es einem Hacker, einen kritischen Rechner lahm zu legen, kann das empfindliche Kosten verursachen, etwa wenn ein Auftrag nicht fristgemäß bearbeitet zu werden vermag. Vor diesem Hintergrund ist es verständlich, wenn kaum ein Unternehmen die Karten offen auf den Tisch legen und erklären möchte, wie es im Detail um die Sicherheit seiner IT-Landschaft steht.

Um Sicherheitsprobleme gar nicht erst aufkommen zu lassen und Attacken jeder Art möglichst abzuwehren, bevor Schaden entsteht, können Administratoren auf ID-Systeme zurückgreifen. Sie helfen, das Netz und unternehmenskritische Applikationen oder Datenbestände vor Missbrauch zu schützen. Ihre Aufgabe lautet: Angriffsversuche entdecken, stoppen und Maßnahmen ergreifen, dass Attacken sich nicht wiederholen.

So geschieht es etwa bei einem großen süddeutschen Energieversorger. Zirka 600 bis 800 Angriffe auf sein Netzwerk verzeichnet das Unternehmen eigenen Angaben zufolge jeden Monat. Wie der aus verständlichen Gründen auf Anonymität bedachte Sicherheitsbeauftragte erzählt, handelt es sich dabei um "Aktionen von außen mit dem klaren Ziel, Informationen über das Netz zu gewinnen oder sogar einzudringen". Die hohe Zahl der Angriffsversuche hat den Spezialisten zunächst sehr überrascht, doch "sie bestätigt sich jeden Monat neu".

Trotzdem können die IT-Spezialisten ruhig schlafen: Das Unternehmen sichert sein Netz nach außen mit einer Firewall-Lösung ab, außerdem sind einzelne Server im Netz zusätzlich gegen unbefugte Zugriffe abgeschottet. Als begleitende Maßnahme kommt eine ID-Lösung zum Einsatz. Wie der Sicherheitsbeauftragte erläutert, helfen diese Vorkehrungen, Unregelmäßigkeiten zu erkennen, damit schnell reagiert werden kann: "Es macht schließlich wenig Sinn, Angriffe bloß zu dokumentieren - die Reaktion darauf ist letztlich das A und O, nur so lassen sich solche Aktionen unterbinden."

Etwas anders sieht das bei einem ostdeutschen Verkehrsbetrieb aus. Dort ist das Netz nach außen zwar mit Firewalls abgesichert, es erfolgt jedoch keine Kontrolle, ob Angriffe stattfinden. Das soll sich ändern: "Wir wollen uns sowohl nach außen als auch nach innen noch stärker absichern", verrät ein IT-Spezialist des Unternehmens. Dazu soll nicht zuletzt der Einsatz einer ID-Lösung beitragen.

Der noch relativ junge Markt - die ersten ID-Systeme entstanden Mitte der 90er Jahre und wurden vornehmlich in militärischen Netzen eingesetzt - hat einiges zu bieten. Bei den derzeit verfügbaren kommerziellen Produkten handelt es sich im Wesentlichen um eine Software, die Aktivitäten im Rechnerverbund überwacht, analysiert und auf bestimmte Muster hin untersucht. Von der Funktionalität her, lassen sich ID-Systeme generell in Netzwerk- und Host-basierende Produkte trennen. Netzorientierte Lösungen kontrollieren vor allem den Inhalt einzelner Pakete im Netz, überprüfen Sender und Empfänger und die Integrität der Übertragung. Host-basierte Produkte werten die Log-Dateien von Servern aus und überwachen, welche Vorgänge bestimmte Rechner ausführen, von wem sie gestartet worden sind und andere. Einige Hersteller kombinieren auch beide Arten. Anhand von vorher definierten Regeln oder statistischen Werten sind ID-Systeme über die genannten Funktionen hinaus mittlerweile auch in der Lage, automatisch gewisse Gegenmaßnahmen einzuleiten, wenn verdächtige Vorkommnisse beobachtet werden.

Die Bandbreite der Aktionen kann dabei vom Abbrechen einer Telnet-Verbindung oder dem Schließen eines bestimmten Kommunikations-Ports eines Servers bis hin zum Umkonfigurieren einer Firewall reichen. Die gängigen Produkte von Axent ("Netprowler"), Cisco ("Netranger"), ISS ("Realsecure") oder Network Associates ("Cybercop") verfügen über diese Art der Integration mit anderen Lösungen. Allerdings sollte vor einem Kauf unbedingt geprüft werden, ob das gewählte Produkt auch beispielsweise eine bereits vorhandene Firewall unterstützt. Diese Art der Interoperabilität ist leider nicht immer gegeben.

Ein Missstand, den die Internet Engineering Task Force (IETF) beseitigen will. Das Gremium arbeitet seit einiger Zeit an einem Protokoll, das den Austausch von Warnungen über Einbrüche in IP-basierte Netzwerke zwischen Sicherheitsanwendungen von verschiedenen Herstellern standardisieren soll. Security-Systeme wären damit in der Lage, sich per Intrusion Detection Message Exchange Protocol (Idmep) gegenseitig über Attacken zu benachrichtigen. Dabei könnten auch Informationen unter anderem über die Art des Angriffs sowie etwaige Gegenmaßnahmen übermittelt werden. Mit der Verabschiedung einer Protokollspezifikation ist jedoch nicht vor Mitte dieses Jahres zu rechnen.

Trotz alledem sind ID-Systeme keine Wunderwaffen. Carsten Casper, Sicherheitsberater bei GAI Netconsult GmbH in Berlin, gibt zu bedenken: "Die Wirksamkeit von ID-Tools hängt zum einen davon ab, wo sie platziert sind, aber auch von iher Konfiguration. Ist ein System schlecht konfiguriert, erhalte ich nur entsprechend aussageschwache, zu wenige oder sogar falsche Daten." So lässt sich ein Angriff nicht zuverlässig erkennen.

Der Experte rät dringend, ID-Tools durch das Einspielen der jeweils neuesten Angriffssignaturen aktuell zu halten. Kommerzielle Anbieter bieten solche Updates in regelmäßigen Abständen an. Frei verfügbare ID-Systeme hingegen bereiten dem Administrator mehr Mühe: "Hier muss sich der IT-Spezialist erst den Quellcode zusammenstellen, übersetzen und eben auch die Signaturen eigenständig aktuell halten."

Vor dem Einsatz einer ID-Lösung sollte das Netz aber auf jeden Fall mit einer Firewall abgesichert werden. Der Berater empfiehlt zudem jedem Unternehmen, das Netz mit geeigneten Hilfsmitteln zunächst auf Sicherheitslücken zu scannen: "Erst wenn ich diese Schwachstellen beseitigt habe, hat der Einsatz einer Software zur Einbruchserkennung Sinn." Lediglich bei offenen, schwer zu administrierenden Netzen ist eine Ausnahme von dieser Regel denkbar: In diesem Fall kann das ID-System zumindest die groben Sicherheitsverstöße anzeigen, erläutert der Berater.

Für die Auswahl eines ID-Produkts empfiehlt Casper, neben der Upgrade-Fähigkeit unbedingt auf die Integrationsmöglichkeit mit anderen Produkten, etwa Firewalls oder Sicherheitsscannern, zu achten. Die Verwaltung dieser Produkte sollte von einer einheitlichen Plattform aus möglich sein. Außerdem gilt es, das Augenmerk darauf zu richten, ob ein Network- oder ein Host-ID-System angeschafft und wo dieses installiert werden soll. Auch diese Entscheidung kann ein vorausgehender Security Check erleichtern, etwa wenn er zeigt, dass Sicherheitslecks vor allem auf der Netzebene existieren.

Wer sich für ein ID-Tool entscheidet, muss jedoch nicht gleich das ganze Netz damit überwachen. In bestimmten Fällen kann es durchaus sinnvoll sein, nur einzelne Segmente des Netzes intensiv zu schützen. "Um welche es sich dabei handelt, sollte man im Rahmen einer Security Policy festlegen", rät Casper. Diese Beschränkung auf bestimmte Teilbereiche des Netzes kann nicht zuletzt bares Geld sparen, denn wer sein Netz und die darin befindlichen Rechner beziehungsweise Datenbestände mit einem ID-System absichern möchte, muss schon etwas tiefer in die Tasche greifen: Server-basierte Lösungen kosten etwa 4000 Dollar pro zu schützende Maschine. Da solche Produkte jedoch weiter an Popularität gewinnen, erwarten Branchenkenner ein Absinken der Preise.

Wem allerdings die Sicherheit des Unternehmensnetzes am Herzen liegt, der lässt sich durch den Preis nicht schrecken. Der DV-Leiter eines Zulieferunternehmens der Automobil- und Chemieindustrie berichtet, dass sein Arbeitgeber kein unnötiges Risiko eingehen will. Obwohl bislang nur eher harmlose Angriffe auf das Netz registriert wurden, plant der Hersteller den Ausbau seines Sicherheitssystems - dabei ist auch an die Implementierung eines ID-Systems gedacht.

Analysten über Intrusion DetectionInternational Data Corp. (IDC) geht davon aus, dass das Gesamtvolumen des Markts für Intrusion-Detection- (ID-)Systeme und andere Tools zur Aufdeckung von Schwachstellen im Netz von 262 Millionen Dollar im Jahr 1999 bis zum Jahr 2003 auf 978 Millionen Dollar steigen wird. Dabei sollen ID-Lösungen die Entwicklung antreiben. Derzeit sehen die Marktforscher drei Anbieter, die sich dieses Segment aufteilen: Axent Technologies, Internet Security Systems (ISS) und Network Associates. Hauptabnehmer dieser Tools sind vor allem Application-Service-Provider (ASPs), die die Anwendungen ihrer Kunden schützen müssen, aber auch Behörden und militärische Einrichtungen sowie sicherheitsbewusste Unternehmen. Sie setzen diese Software ein, um ungebetene Gäste in ihren Netzen zu ertappen.