Online-Business / Die hundertprozentige Sicherheit gibt es nicht Firewalls und Codierung: Hohe Huerden fuer ungebetene Besucher

24.02.1995

Von Alfred Bauer, Jan Holzer und Klaus Weidner*

Die Sicherheit im Internet bereitet derzeit sowohl der Nutzer- als auch der Anbieterseite Bauchschmerzen. Den totalen Schutz vor Missbrauch gibt es auch im Internet nicht. Wer allerdings Firewalls und Codierungsverfahren richtig einsetzt, schafft damit Huerden, die sich kaum ueberwinden lassen .

Obwohl das Internet ein Kind des amerikanischen Verteidigungsministeriums ist, wurde es nie als ein sicheres Kommunikationsnetz konzipiert. Ziel war es vielmehr, Regierungsstellen und Forschungseinrichtungen in den USA ein Hoechstmass an Interaktion zu ermoeglichen. Aufgrund der unterschiedlichen Computer- und Netzwerkarchitekturen, die es zu verbinden galt, entstand ein offenes und interoperables Netzwerk.

Damals war Netzsicherheit vor allem in universitaeren Forschungsnetzen kein Thema - und es waren nur einige hundert Rechner am Internet angeschlossen. Nach neuesten Schaetzungen verbindet es heute jedoch mehr als 32 Millionen Menschen miteinander.

Dezentralitaet oeffnet dem Missbrauch die Tuer

Das Internet ist mittlerweile ein extrem dezentrales Netz mit etwa drei Millionen verteilten Rechnern. Davon hat jeder seine eigene System- und Sicherheitsverwaltung, die im Verantwortungsbereich unterschiedlicher Unternehmen, Forschungseinrichtungen und Privatpersonen liegt.

Eine Firma, die ihre Computer direkt ohne Schutzmassnahmen an das Internet anschliesst, setzt sich somit der Gefahr von Einbruechen und Missbrauch aus. Im November 1988 hatte beispielsweise ein Student einen "Wurm" (ein selbstreplizierendes Programm) ins Internet eingeschleust, der daraufhin 6000 Rechner voruebergehend lahmlegte. 1991 brachen zwei Computerhacker aus den Niederlanden in militaerische Systeme in den USA ein und gelangten an geheime Daten.

Bisher waren es ueberwiegend Jugendliche, die aus reinem Spieltrieb versucht hatten, Zugang zu versperrten Rechnern zu erhalten. Mit zunehmendem Einsatz des Internet fuer Geschaeftszwecke ist aber zu erwarten, dass "Cracker" immer professioneller arbeiten, nach Profit trachten oder Industriespionage betreiben werden.

Sicherheitsrisiko gegen die Vorteile abwaegen

In Anbetracht der Sicherheitsluecken stellt sich deshalb die Frage: Kann das Internet fuer die Abwicklung geschaeftlicher Vorgaenge eingesetzt werden?

Diese Frage laesst sich nicht mit einem klaren "Ja, aber..." beantworten. Das Problem liegt darin, dass man die Vorteile, die sich durch den Einsatz des Internet ergeben, gegen die Sicherheitsrisiken abwaegen muss. Trotz der Gefahren haben sich bereits einige tausend kleinere und groessere Unternehmen an das Internet angeschlossen. Ein Beispiel ist die Firma Digital Equipment, die ihr internes Netz mit etwa 80 000 Rechnern ueber zwei Gateways (Firewalls) mit dem Internet verbindet. Digital- Mitarbeiter koennen dadurch nahezu alle Internet-Dienste nutzen; die Firewall-Rechner schuetzen seit acht Jahren erfolgreich vor Einbruechen.

Eine Hauptursache fuer die Sicherheitsluecken im Internet liegt darin, dass Daten unverschluesselt in Datenpaketen uebertragen und auf dem Weg zum Ziel ueber mehrere Zwischenrechner transportiert werden. Bei der Planung eines Sicherheitskonzepts darf nicht vergessen werden, dass ein System nur so sicher ist wie sein schwaechstes Element. Sobald jemand physisch an einen Rechner herankommt oder das Netzkabel anzapft, schuetzt selbst ein aufwendiges Firewall-System nicht mehr. Die haeufigsten Computereinbrueche werden nicht etwa durch boeswillige "Cracker" veruebt. Oft handelt es sich vielmehr um fruehere Angestellte oder um Personen, die beispielsweise gezielt den Kontakt zu Firmenmitgliedern suchen, um so die Voraussetzungen fuer einen Einbruch zu schaffen.

Eine weitere Angriffsmethode besteht darin, die uebertragenen Datenpakete abzuhoeren, um daraus sicherheitsrelevante Informationen zu erhalten. Ein klassisches Sicherheitsloch sind die ueblicherweise verwendeten Passwoerter. Wenn man sich von aussen an einem Firmenrechner anmeldet, wird das Passwort unverschluesselt ueber die Leitungen transportiert. Ein abgefangenes Passwort laesst sich dann jederzeit von jedermann wiederverwenden. Deshalb werden weniger anfaellige Methoden des Systemzugangs bevorzugt.

Vor der Anbindung ans Internet sollte man also ein konsistentes und verstaendliches Sicherheitskonzept ausarbeiten. Es muss definiert werden, welche Internet-Dienste fuer wen nutzbar sein sollen und wie die Zugangsberechtigungen geprueft werden. Im wesentlichen gibt es folgende Moeglichkeiten, sich vor Einbruechen aus dem Internet zu schuetzen:

- physikalische Trennung,

- Authentisierung (Passwort),

- Firewall sowie

- Datenverschluesselung.

Den besten Schutz bietet eine physikalische Trennung des Internet- Zugangsrechners vom Firmennetz. Dies geht allerdings auf Kosten des Benutzerkomforts, da der Anwender zwischen Rechnern fuer den internen Datenaustausch und Systemen zur Nutzung des Internet wechseln muss.

Ueber ein Firewall-System laesst sich ein frei konfigurierbarer Uebergang zwischen dem firmeneigenen Netz und dem Internet schaffen. Fortgeschrittene Authentisierungsverfahren wie der Einsatz von Smartcards oder "Challenge-response" als fester Bestandteil der Zugangsberechtigungs-Pruefung sind eine weitere Moeglichkeit der Absicherung.

Nicht zuletzt bietet sich die Verschluesselung von Daten als wichtige Schutzmassnahme an. Einmal chiffriert, lassen sie sich nur mit dem entsprechenden Schluessel dekodieren. Die verwendeten Schutzmassnahmen koennen im Internet-Schichtmodell (siehe Abbildung 1) positioniert werden.

Ein Firewall ist eine sehr effektive Methode, um die Gesamtsicherheit eines Rechnernetzes zu verbessern. Es handelt sich dabei um Rechner und Router, die mit entsprechenden Hard- und Softwarekomponenten die zentrale Schnittstelle des lokalen Netzes zur Aussenwelt absichern. Alle Netzwerkverbindungen muessen durch dieses Gateway laufen. Damit koennen die Berechtigungen zentral ueberprueft und die Benutzer authentisiert werden. Ueber einen Firewall laesst sich der Zugang von oder zu bestimmten Systemen einschraenken, lassen sich bestimmte TCP/IP-Dienste blockieren und sonstige Sicherheitsmassnahmen durchfuehren.

Das firmeninterne Netz wird als das gruene Netz bezeichnet, das als sicher gilt. Das Internet ist das rote, unsichere Netz. Dazwischen sitzt zur Absicherung der Firewall, der verhindert, dass Daten unberechtigt zwischen den Netzen transportiert oder Veraenderungen vorgenommen werden. Es gibt zwei grundlegende Ansaetze fuer den Aufbau eines Firewalls:

- Erlaube alle Dienste, ausser den explizit verbotenen.

- Verbiete alle Dienste, ausser den explizit erlaubten.

Der erste Ansatz empfiehlt sich nicht, da laufend neue Dienste im Internet erscheinen, deren Sicherheitsluecken zu spaet entdeckt werden. Der zweite Weg ist da schon vielversprechender, doch ist mit einigen Komforteinbussen zu rechnen, etwa wenn hilfreiche Dienste aus Sicherheitsgruenden nicht zugelassen werden, der Benutzer umstaendliche Anmeldeprozeduren in Kauf nehmen oder die verwendete Software erst einmal angepasst werden muss. Beide Methoden erfordern einen Kompromiss zwischen Sicherheit und Bedienungskomfort.

Paketfilterung bietet nur eingeschraenkten Schutz

Das Aufsetzen eines Firewalls erfordert einen erheblichen Aufwand, da derzeit praktisch keine "schluesselfertigen" Loesungen existieren. Bei einem gut konzipierten Firewall ist der erforderliche Wartungsaufwand jedoch gering.

Ein Paketfilter stellt die am weitesten verbreitete und unkomplizierteste Variante eines Firewalls dar. Jedes IP-Paket enthaelt Informationen ueber die Adressen des Ausgangs- und Zielrechners sowie die dienstspezifischen Port-Adressen. Paketfilter koennen anhand dieser Informationen entscheiden, ob bestimmte Pakete transportiert werden duerfen oder nicht. Uebliche Regeln waeren zum Beispiel "Erlaube Dateitransport ueber FTP nur zu Rechner A" oder "Erlaube interaktive Logins ueber Telnet nur von innen nach aussen". Bei komplexeren Regeln wird diese Filterung allerdings sehr schnell unuebersichtlich und ist damit schwierig zu erweitern und zu pflegen.

Umfangreiche Schutzmassnahmen lassen sich mit einem "Dual-homed Host" realisieren: Ein Rechner verfuegt ueber zwei getrennte Netzverbindungen, wobei die Daten zwischen den beiden Netzen nicht automatisch, sondern nur durch die dafuer vorgesehenen Schnittstellen-Programme (Proxys) transportiert werden. Dadurch besteht die Moeglichkeit, die Berechtigungen fuer die Dienste sehr flexibel zu vergeben. Waehrend ein Paketfilter nach dem Alles-oder- nichts-Verfahren arbeitet, kann ein Dual-homed Host den Datentransport fuer Internet-Dienste flexibel konfigurieren, zum Beispiel einige Dienste erst nach erfolgter Authentisierung freischalten.

Das abgeschirmte Zwischennetz funktioniert vom Konzept her aehnlich wie ein Dual-homed Host, statt eines einzelnen Rechners wird jedoch ein Zwischennetz mit mehreren Systemen verwendet. Der Analogie folgend, wird zwischen das gruene und das rote ein gelbes, das heisst firmenoeffentliches Netz geschaltet. Jeder Rechner im gelben Netz uebernimmt bestimmte Dienste, etwa E-Mail, WWW oder FTP. Diese Aufgabenteilung macht das Gesamtsystem leichter wartbar. Der Bedarf an Hardware ist zwar hoeher als bei den einfacheren Loesungen, dafuer ist jedoch die verfuegbare Leistung wesentlich besser.

Zusaetzlich zum Schutz eines Systems vor ungebetenen Eindringlingen soll auch der Datentransport zwischen berechtigten Benutzern sicher ablaufen. Dabei gibt es zwei Hauptprobleme. Ein Unberechtigter soll nicht in der Lage sein, die uebertragenen Daten zu lesen (Enkryption). Ausserdem moechte man sichergehen, dass sie wirklich von einem berechtigten Absender stammen (Authentisierung).

In puncto Datenverschluesselung gibt es seit jeher einen Wettlauf zwischen der Entwicklung neuer Methoden und dem Knacken bestehender Verfahren. Derzeit hat die Verschluesselung die Nase vorn. Es gibt Kodierungen, die sich ohne Kenntnis des Schluessels nur mit extremen Aufwand dechiffrieren lassen. Interessant dabei ist, dass die Verfahren selbst allgemein bekannt sind, nur die Schluessel muessen geheimgehalten werden.

Die "klassischen" Kodierungsmethoden haben einen grossen Nachteil: Absender und Empfaenger muessen sich auf einen Schluessel einigen, mit dem die Nachricht chiffriert und dechiffriert wird.

In vielen Faellen ist es schwierig, diesen auf einem sicheren Weg auszutauschen. Hinzu kommt, dass die fuer eine Kommunikation mit wechselnden Partnern noetige Vielzahl von Schluesseln verwaltet werden muss.

Die "Public-Key"-Methoden umgehen diese Probleme sehr elegant. Es handelt sich dabei um "asymmetrische" Verfahren, die beim Dekodieren mit einem anderen Schluessel arbeiten als beim Kodieren. Der Anwender generiert zwei zusammengehoerende Schluessel, einen "oeffentlichen" und einen "privaten". Ersterer wird an alle Gespraechspartner verschickt. Dies muss auf keinem abhoersicheren Weg erfolgen. Jeder kann mit dem oeffentlichen Schluessel Nachrichten kodieren, doch nur der Besitzer des privaten Schluessels hat die Moeglichkeit, sie zu dekodieren.

Eine Variante dieses Verfahrens erlaubt eine Authentisierung elektronischer Nachrichten. Eine Nachricht, die mit dem privaten Schluessel chiffriert wurde, laesst sich von jeder Person mit dem dazugehoerigen oeffentlichen Schluessel dekodieren. Da nur der Schluesseleigentuemer in der Lage ist, Nachrichten mit dem privaten Schluessel zu kodieren, laesst sich vom Empfaenger damit die Echtheit der Nachricht pruefen - jeder Faelschungsversuch wuerde nach der Dekodierung nur Datenmuell ergeben. Dieses Verfahren erfuellt die Anforderungen, die an eine manuelle Unterschrift zu stellen sind: Jeder hat die Moeglichkeit, ihre Echtheit zu erkennen.

Die naheliegendste Anwendung fuer die Public-Key-Kryptographie ist die Verschluesselung elektronischer Post (E-Mail). Das bekannteste Verfahren, PGP (Pretty good Privacy), wird recht haeufig verwendet. Ein wachsender Anteil der Nachrichten enthaelt bereits als Anhang den oeffentlichen Schluessel, um die Antworten zu kodieren. Sehr aktuell ist die Verwendung im World Wide Web. Dort wird auf der Basis von Public-Key-Verfahren das SHTTP (Secure Hypertext Transport Protocol) entwickelt, eine Moeglichkeit zum sicheren Uebermitteln von Daten und zur Authentisierung der Absender. Damit soll sich zum Beispiel ein sicherer Zahlungsverkehr ueber das Internet realisieren lassen.

Im Idealfall geschieht die Absicherung automatisch durch die verwendeten Programme. Der Anwender muss sich nicht um die Schluesselverwaltung kuemmern oder Passwoerter auswendig lernen. Wenn ein Kunde ueber WWW mit seiner Bank kommuniziert, werden die Datenpakete zuerst unterschrieben (mit dem eigenen privaten Schluessel kodiert) und dann verschluesselt (mit dem oeffentlichen Schluessel der Bank). Die Bank dekodiert die Nachricht mit dem eigenen privaten Schluessel und prueft mit dem oeffentlichen Schluessel des Kunden die Unterschrift. In der Gegenrichtung funktioniert das Verfahren analog.

Sobald sich SHTTP allgemein etabliert hat, wird das WWW fuer die kommerzielle Nutzung interessant, da sich zusaetzlich zu den existierenden Informationsangeboten auch Bestellungen und Zahlungsverkehr sicher abwickeln lassen. Die ersten Anwendungen eines WWW-Servers werden Mitte des Jahres erwartet. Presseberichten zufolge starten schon jetzt einige Banken in den USA Kooperationen mit Kreditkartenunternehmen, um mittels SHTTP den Zahlungsverkehr ueber Internet abzuwickeln.

Gleichgueltig welche Sicherheitsvorkehrungen ein Anwender trifft, die Sicherheit faengt im eigenen Haus an. Dazu gehoert es, die Sicherheit des internen Netzwerks, die Passwoerter und das System regelmaessig zu pruefen. Wer sein Netz ans Internet anschliesst, sollte das System fuer den Anwender moeglichst komfortabel gestalten und dabei einen ausreichenden Schutz realisieren. Eine 100prozentige Sicherheit kann es auch mit einem Firewall nicht geben, doch laesst sich das System so gut absichern, dass der Nutzen fuer einen potentiellen Einbrecher in keinem Verhaeltnis zum noetigen Aufwand steht.

Zum Nachschlagen

The Internet Business Guide, SAMS Publishing, Resnick & Taylor, 1994.

Firewalls and Internet Security, Addison Wesley, Cheswick,W. R., Bellovin, S.M., 1994.

SHTTP Internet-Draft, Enterprise Integration Technologies, Rescorla, E., Schiffman, A., Dezember 1994.

Kryptologie, Albrecht Beutelsbacher, Vieweg & Sohn, 1987.

* Alfred Bauer ist Geschaeftsfuehrer der Articon GmbH in Aschheim. Klaus Weidner ist dort als Internet-Berater taetig. Jan Holzer arbeitet im Bereich Internet Business Development bei der Digital Equipment GmbH in Unterfoehring.