Datensicherheit/Schutz vor dem grossen Lauschangriff?

Firewalls sollen Datenklau ueber das Internet verhindern

16.02.1996

Von Andrea Scheding*

Die Vorteile einer Verbindung von Unternehmensnetzen via Internet liegen auf der Hand: grosse Verbreitung, vorhandene Infrastruktur, praktisch staendige Erreichbarkeit, Kosten- und Zeitersparnis sowie die gleichzeitige Online-Verbindung zu anderen Systemen etwa fuer Recherchen. Ausserdem ist das Internet ein neuer Vertriebsweg, ueber den die Firma selbst Informationen anbieten und verkaufen oder fuer sich selbst und ihre Produkte werben kann.

Mit dem steigenden kommerziellen Interesse am Internet waechst allerdings auch das Interesse der Hacker. Sie koennen die Daten ebenso einsehen und - falls diese nicht ausreichend geschuetzt sind - manipulieren. Doch wie lassen sich nun solche unerwuenschten Besucher aus dem firmeneigenen LAN aussperren?

Eine moegliche Schutzmassnahme sind die sogenannten Internet-Firewalls. Sie fungieren als Schranke zwischen dem Unternehmensnetz und dem Internet, um ein Netz vom anderen abzuschirmen, sie ueberwachen den Datenverkehr und sollen so unerwuenschte Zugriffe aus dem Internet auf das lokale Netz verhindern.

Der Markt fuer diese Software und Dienstleistungen, so schaetzen die Marktforscher von Input, wird von derzeit 1,1 Milliarden Dollar bis zum Jahr 2000 auf 16,2 Milliarden Dollar anwachsen. Das entspraeche einem durchschnittlichen Wachstum von jaehrlich 70 Prozent.

Ein Marktfuehrer fuer solche Systeme laesst sich nicht bestimmen. Interessante Loesungen sind unter anderem "Firewall for Unix" und "Seal" von DEC, "Interlock" von ANS, "Firewall-I" von Checkpoint Software Technologies oder "Novix for Internet" von Firefox. (Ein Vergleich verschiedener Firewalls findet sich in CW Nr. 1 vom 5. Januar 1996, Seite 15.)

Generell laesst sich das Internet auf zwei Arten nutzen: als weltweites Netz fuer den Datenverkehr zwischen Endstellen (Intranet) oder als sogenanntes Value-added Network (VAN), wobei man auf Anwendungen und Dienste zurueckgreift, die andere im Internet bereitstellen.

Fuer beide Nutzungsarten gibt es verschiedene Schutzmassnahmen. Prinzipiell lassen sich mit Firewall-Systemen genaue Zugriffsrechte definieren. Alle Aktionen werden kontrolliert, wobei jeder Anwender ausschliesslich Rechte erhaelt, die zur Erledigung seiner Aufgaben noetig sind.

Viele Unternehmen verwenden das Internet als Transitweg zwischen den eigenen lokalen Netzen, um E-Mails und Dateien zu versenden. Die National Science Foundation (NSF) geht von nahezu einer Milliarde monatlich verschickter E-Mails aus.

Soll das Internet als reines Transportmittel zum Datenaustausch dienen, bieten sich die besten Kontrollbedingungen. An beiden Endstellen erfolgt in diesem Fall die Kontrolle des physikalischen Zugriffs sowie die Festlegung, wer mit wem kommunizieren darf. Zudem muessen die Daten beim Transfer vor unberechtigtem Abhoeren oder Zugriff geschuetzt werden - zum Beispiel durch Verschluesselung.

Die Funktion des Internet als sogenanntes VAN - also ein grosses Warenhaus mit zahlreichen Diensten, die der Anwender nutzen kann - geht ueber die eines reinen Transportmediums hinaus. Es lassen sich Verbindungen in die ganze Welt schaffen. Hierbei haben die Nutzer des LAN von ihrem Desktop aus Zugriff auf das Internet und seine Dienste.

Sicherheitsmassnahmen den Anforderungen anpassen

Dies macht auch die Sicherheitsfragen komplexer. Da sich Verbindungen von jedem Benutzer eines lokalen Netzes zu jedem beliebigen Punkt im Internet aufbauen lassen, ist die Zugriffssicherheit wesentlich schwieriger zu erreichen als bei einer einfachen Punkt-zu-Punkt-Verbindung.

Den verschiedenen Nutzungsmoeglichkeiten stehen nun auch unterschiedliche Sicherheitsanforderungen gegenueber, mit denen sich den Schwachstellen auf den Leib ruecken laesst.

Die einfachste Variante einer Firewall sind "Paketfilter" oder auch Packet Screens, die den Datenfluss zwischen mehreren Netzen beschraenken. Hierbei wird ein Router zwischen dem LAN und dem Internet so eingerichtet, dass einige Datenpakete passieren duerfen, andere hingegen nicht.

Bestimmte Filterbedingungen kontrollieren also die Kommunikationsverbindungen. So laesst sich zum Beispiel festlegen, auf welche Rechner ein Zugriff erfolgen darf und von welchem Rechner auf das lokale Netz zugegriffen werden kann. Auch der Zugriff auf bestimmte Dienste laesst sich hiermit regeln.

Die Firewall-"Bastion" besonders schuetzen

"Pass Filter" lassen nur die UEbertragung ausdruecklich genehmigter Informationen zu. Das Gegenstueck dazu bilden die "Deny Filter". Sie definieren Dienste oder Netzadressen, von denen aus der Zugriff auf das Unternehmens-LAN blockiert wird.

Ein "Gateway-Firewall" kann jede direkte Verbindung zwischen LAN und Internet unterbinden. Aus dem LAN heraus gelangt der Anwender nur ueber einen Gateway-Rechner ins Internet, und umgekehrt ist dieser Rechner der einzige, der von aussen erreichbar ist. Direkte Verbindungen zwischen LAN und Internet lassen sich nur noch ueber spezielle Anwendungen auf der Firewall-Maschine herstellen. Natuerlich muss dieser Host - auch "Bastion" genannt - wegen seiner zentralen Funktion auch besonders geschuetzt werden.

Dies alles sind nur einige der wesentlichen Varianten von Firewall-Systemen. Alle genannten Alternativen lassen sich zu weiteren Firewall-Systemen kombinieren. Doch auch wenn Firewalls einen gewissen Schutz vor unerlaubten Zugriffen auf das lokale Netz bieten, sie sind kein Wundermittel gegen saemtliche Sicherheitsmaengel in Netzen.

Nicht zuletzt wegen der komplexen Netzwerkprogramme ist eine hundertprozentige Sicherheit kaum zu gewaehrleisten. Ein LAN laesst sich auch an anderen Schwachstellen anzapfen. Der Einsatz von Schutzvorkehrungen setzt eine gruendliche Analyse der Sicherheitsanforderungen voraus, um die ideale Loesung fuer das jeweilige Netz zu finden.

Wie haeufig unerlaubt auf Unternehmensnetze zugegriffen wird, laesst sich nicht exakt feststellen. Oft bleiben die UEbergriffe unentdeckt, oder sie werden verschwiegen. Kaum ein Betroffener gesteht ein, dass bei ihm eingebrochen wurde. Niemand moechte seine Sicherheitsvorkehrungen offenlegen und damit moeglicherweise weitere Hinweise auf Schwachstellen geben.

Eine Studie des Computer Emergency Response Team (Cert), das sich um Sicherheitsfragen kuemmert, nennt jedoch erschreckende Zahlen: Allein 1994 registrierte es rund 2500 Angriffe via Internet. Die Dunkelziffer duerfte weit hoeher liegen.

Leider ist neben der Haeufigkeit auch die Qualitaet der UEbergriffe gestiegen. Waehrend Hacker frueher eher aus Spass an der Sache handelten, sind heute meist schwerwiegende kriminelle Aktivitaeten wie Datendiebstahl und -manipulation oder gar Sabotage das Ziel solcher Aktionen. Bei allen Vorzuegen der weltweiten Vernetzung darf der Sicherheitsaspekt also keinesfalls vernachlaessigt werden.

*Andrea Scheding ist freie Journalistin in Muenchen.

Kurz & buendig

Unternehmen nutzen das Internet als Intranet, also als Verbindung zwischen ihren lokalen Netzen, oder als Value-added Network, um auf Anwendungen und Dienste anderer zuzugreifen. Je nach Nutzungsart und -tiefe sind andere Sicherheitsmassnahmen erforderlich, die ein Eindringen Unerwuenschter in die Unternehmensnetze verhindern sollen. Firewall-Systeme lassen sich sehr fein an die Notwendigkeiten anpassen. Aber sie bieten keine hundertprozentige Sicherheit.