Ratgeber: Firewalls bringen Hacker hinter Schloß und Riegel

Ungesicherte Web-Zugriffe sind wie Harakiri auf Raten

06.02.1998

"Die Zielrichtung von Angriffen hat sich verschoben", erklärt Dirk Häger vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) die neue Dimension in der Computerkriminalität. Hacker dringen nicht mehr hauptsächlich aus falsch verstandenem sportlichem Ehrgeiz in fremde Rechennetze ein. Unternehmen werden in zunehmendem Maß Opfer gezielter Spionage oder gar Sabotage.

Eine aktuelle Studie des Marktforschungsunternehmens Datamonitor bringt alarmierende Resultate ans Licht. So steigt sowohl die absolute Zahl der Schadensfälle als auch die der betroffenen Unternehmen seit Jahren stark an. Eine Befragung unter 1000 führenden amerikanischen Unternehmen im Jahr 1996 ergab, daß 58 Prozent Systemeinbrüche zu verzeichnen hatten. Davon, so die Opfer, seien ein Fünftel von Wettbewerbern verübt worden. Beispielsweise verlor ein Kreditinstitut durch nur zwei gravierende Zwischenfälle über 40 Millionen Dollar.

Laut Datamonitor belaufen sich die geschätzten Verluste durch diese Art der Computer-Kriminalität weltweit auf jährlich 15 Milliarden Dollar. Zwei Drittel aller Kosten entstünden durch unbefugten Zugang zu Plänen, Entwicklungs- sowie Herstellungsdaten. Das FBI geht von durchschnittlich 500000 Dollar Schadensumme pro Zwischenfall aus. Um so erschreckender, daß nur etwa 60 Prozent der Unternehmen ihre Internet-Verbindung durch eine Firewall schützen.

Klaus Kohlschütter, Produkt-Manager Security-Produkte bei Siemens-Nixdorf Informationssysteme (SNI), erklärt, daß sich die Verantwortlichen in den Firmen zwar bewußt seien, etwas tun zu müssen, aber häufig wüßten sie nicht, was. "Viele Kunden wissen nicht genau, welche Gefahren auf sie lauern", ergänzt Steffen Stempel, Security-Experte des Internet-Service-Providers (ISPs) Xlink. Beide empfehlen eine gründliche Vorbereitung, an deren Anfang eine Bestandsaufnahme und an deren Ende eine umfassende Sicherheits-Politik stehen sollte.

Eine Situationsanalyse sei oft nicht einfach, weil sich immer wieder Kollegen oder Abteilungen dadurch gestört fühlten, erläutert Michael Post, Beauftragter für IT-Sicherheit bei der Software AG: "Das Projektteam wird als Inquisitor im Unternehmen gesehen". Daher sei Unterstützung durch die Geschäftsführung unerläßlich, um auf breiter Ebene weiterzumachen.

Bevor konkrete Maßnahmen zur Absicherung des Internet-Zugangs ergriffen werden können, muß sich ein Unternehmen also darüber klar werden, was mit dem Web-Engagement erreicht werden soll (zum Beispiel, welche Dienste man anbieten will) und wie die internen Sicherheitsrichtlinien auf das Datennetz angewendet werden können. Holger Pleines, Abteilungsleiter Multimedia der Karstadt AG, bringt die hauseigene Strategie auf einen einfachen Nenner: "Zunächst verbieten wir alles und geben nur das frei, was im Einzelfall wirklich benötigt wird. Das gilt für interne wie externe Firewalls."

Der nächste Schritt besteht dann in einer Bedarfsanalyse. Darin sollte neben der Größe des zu schützenden Netzes auch die Abwägung zwischen dem persönlichen Sicherheitsbedarf und den Kosten einer Firewall-Struktur einerseits sowie dem gewünschten Grad der Verfügbarkeit einzelner Dienste wie FTP, Mail oder auch Audio/Video andererseits einfließen. Der international anerkannte Firewall-Experte Brent Chapman empfiehlt die Beantwortung eines vierstufigen Fragenkataloges (siehe Kasten "Sicherheitsfragen").

Viele Unternehmen setzen in dieser Phase auf die Beratungskompetenz spezialisierter Systemhäuser oder ISPs. Karstadt beispielsweise konnte in nur drei Monaten durch die enge Zusammenarbeit mit einem externen Lösungsanbieter die komplette Internet-Umgebung aufbauen.

Ist die Sicherheits-Politik einmal definiert, geht es an die Auswahl eines geeigneten Firewall-Systems. Hier hat sich die Technik in den vergangenen Jahren nicht grundlegend geändert. Basis jeder Firewall ist nach wie vor das Filtern von IP-Paketen auf Routing-Ebene einerseits sowie die anwendungsorientierte Verbindungsprüfung durch Proxy-Lösungen andererseits. Meist werden mehrere Proxies für unterschiedliche Netzdienste wie Telnet, FTP oder SMTP in einem sogenannten Application Level Gateway (ALG) oder Bastion Host zusammengefaßt. Zum Einsatz kommen heute fast ausschließlich hybride Systeme, die beide Komponenten gleichzeitig verwenden. Zusätzlichen Schutz bieten die Aufteilung interner Netze sowie die Isolierung des Bastion-Host in einer eigenen Sicherheitsschicht, dem Grenznetz (siehe Abbildung 1). Hier kontrolliert ein äußerer Router den Datenstrom zum Internet, während ein innerer Router das interne Netz gegenüber dem Bastion Host abschirmt. Je nach den Anforderungen eines Unternehmens bieten die beiden Grundkomponenten einer Firewall also die Voraussetzungen für den Aufbau einer komplexen Sicherheitsstruktur.

Die Trends im Firewall-Markt (siehe Kasten) erfordern dabei eine ständige Neubewertung des eigenen Systems. Da eine Firewall kaum proaktiv eingerichtet werden kann, hinkt sie bei der Einführung neuer Technologien zwangsläufig den Gegebenheiten hinterher. Karstadt-Manager Pleines registriert hier einen Widerspruch zwischen den Anforderungen durch ein steigendes Interesse der Kunden und Geschäftspartner am Web und den eigenen Schutzbedürfnissen. Ein Unternehmen könne und dürfe nicht alles sofort in die Tat umsetzen, so Pleines. Im Zweifelsfall müsse sogar der Verzicht auf eine neue Technologie stehen.

Vertrauen ist gut, Kontrolle ist besser, lautet die Devise von Firewall-Guru Chapman. Es sei eine fatale Fehleinschätzung, mit viel Aufwand eine Firewall-Lösung zu implementieren und dann die Nachsorge zu vernachlässigen. IT-Verantwortliche sollten Backups für alle Teile des Firewalls anlegen sowie die Verwaltung der Kennungen und des Plattenspeichers sorgfältig pflegen. Nach einem Angriff kann das System dann leichter wiederhergestellt werden. Der Einsatz spezieller Werkzeuge, die auf unbefugte Zugriffe hinweisen (Intrusion Detection Tools), ermöglicht eine frühzeitige Reaktion. Als sicherheitsrelevanter Rechner muß der Bastion-Host ausführliche Protokolle anlegen. Im laufenden Betrieb läßt sich anhand der Aufzeichnungen sehr genau feststellen, ob sich der Bastion-Host wie gewünscht verhält.

Im Katastrophenfall, also nach einem Einbruch, geben die Systemprotokolle Aufschluß darüber, was schiefgegangen ist. Damit lassen sich gleichartige Zwischenfälle in Zukunft verhindern, wenn die entsprechenden Maßnahmen getroffen werden. Für die tägliche Beobachtung reicht nach Ansicht von Chapman die Ablage einer Kopie der Log-Files auf einem internen Rechner. Im Ernstfall sollte der Administrator jedoch nur ein Protokoll benutzen, das mittels einer seriellen Schnittstelle vollkommen isoliert vom restlichen Netz auf einem eigenen Rechner abgelegt wurde (siehe Abbildung 2). Die Betreuung einer Firewall ist zeitaufwendig und teuer - aber unerläßlich, um weit größeren Schaden zu vermeiden.

Sicherheitsfragen

1) Wieviel Geld müssen/können Sie für die Sicherheit ausgeben (Preis)?

2) Können Sie Ihre Computer immer noch benutzen (Funktionalität)?

3) Stören die Sicherheitseinrichtungen die Art und Weise, wie die Benutzer Ihres Standortes gewöhnlich untereinander und mit der Außenwelt kommunizieren (Akzeptanz)?

4) Entsprechen die Sicherheitseinrichtungen Ihren juristischen Verpflichtungen?

Firewall-Ressourcen

Die folgende Liste enthält eine Zusammenstellung nützlicher Anlaufstellen zu den Themen Internet-Sicherheit und Firewalls. Sie beschränkt sich auf die Angabe von Web-Adressen und erhebt keinen Anspruch auf Vollständigkeit.

Organisationen

Computer Emergency Response Team (CERT-CC), http://www.cert.org/

Deutsches Forschungsnetzwerk CERT, http://www.cert.dfn.de/

International Computer Security Agency (NCSA), http://www.ncsa.com/

Forum of Incident Response and Security Teams (FIRST), http://www.first.org

Computer Security Resource Clearinghouse (CSRC), http://csrc.nist.gov/newcsrc.html

System Administrators Guild (SAGE), http://www.sage.usenix.org/

Weiterführende Web-Seiten

Telstra, http://www.telstra.com.au/info/security.html

Computer Operations, Audit and Security Technology (COAST) - Firewalls, http://www.cs.purdue.edu/coast/firewalls/

The Rotherwick Firewall Resource, http://www.zeuros.co.uk/firewall/

Produkte

Liste deutscher Firewall-Anbieter, http://www.cert.dfn.de/fwl/fw/fw-prod.html

List of Commercial Firewall Products, http://www.fwl.dfn.de/eng/fwl/fw/fw-prod.html

Mailing-Listen

Firewalls: Die Mailing-Liste Firewalls, die von Great Circle Associates (Begründer ist Brent Chapman) organisiert wird, ist das wohl wichtigste Forum für Internet-Benutzer zur Diskussion von Entwurf, Konstruktion, Betrieb, Wartung und Philosophie von Firewall-Systemen im Internet, http://www.greatcircle.com/lists/firewalls/

WWW-Security: In der Mailing-Liste der Rutgers University, New Jersey, werden Sicherheitsaspekte im Zusammenhang mit dem WWW diskutiert, http://nsmx.rutgers.edu/www-security/www-security-list.html