Die IT-Chefs sind froh, wenn die Firmenleitung ihnen Geld für das Absichern der DV-Umgebungen zur Verfügung stellt. Doch nicht alle Investitionen in Sicherheitsprodukte und -services erhöhen tatsächlich den Schutz.

Auf dem Kongress "IT-Defense" in Köln, den das Beratungshaus Cirosec ausrichtete, zeigte Geschäftsführer Stefan Strobel Beispiele für wenig brauchbare Anschaffungen auf. Seine Ausführungen sollen dazu anregen, Angebote diverser Hersteller und Dienstleister zu hinterfragen.

Überflüssiges Monitoring

Nach Ansicht Strobels können Firmen getrost auf externes Firewall-Monitoring verzichten. Bei diesem Service werden Log-Dateien der Sicherheitsgeräte permanent überwacht. Die Anbieter versprechen frühzeitiges Erkennen von Angriffen sowie das Einleiten von Gegenmaßnahmen. Diese Dienste grenzen sich ab von Angeboten für "Managed Firewalls", bei denen ein Unternehmen den kompletten Betrieb der Sicherheitsprodukte auslagert, also auch die Konfiguration der Regeln sowie das Einspielen von Patches.

Firewall-Monitoring zähle zu den Fehlinvestitionen, da es für die Anwender nicht darauf ankomme, welche Verbindungen geblockt wurden (darunter auch alle noch so dummen Angriffsversuche), sondern welchen Hackern es gelang, den Schutzzaun zu überwinden, und was sie hinter der Firewall angestellt haben. Gerade diese erfolgreichen Attacken protokolliert das Gerät aber nicht, genauso wenig registriert es, wenn es manipuliert wurde.

Kein qualifiziertes Personal

Strobel bezweifelt zudem, dass die Anbieter solcher Dienste das geeignete Personal für die versprochene Rund-um-die-Uhr-Kontrolle abstellen. "Kaum ein wirklich kompetenter Security-Berater arbeitet nachts", gibt er zu bedenken. Oft würden angelernte Kräfte die Log-Files anschauen. Ob diese Mitarbeiter über das erforderliche Wissen verfügten, um einen Hacker zu erkennen und seine Aktionen nachzuvollziehen, sei unklar. Und selbst wenn ein Angreifer ausfindig gemacht worden sei, müsste der Kunde ohnehin selbst aktiv werden.

Ein Firewall-Monitoring ist sinnvoll, wenn es die Verfügbarkeit der Systeme sowie Laufzeitparameter überwacht. Doch dafür, so Strobel, ist kein externer Dienstleister erforderlich.

Hersteller preisen Intrusion-Detection-Systeme (IDS) als Alarmanlage für die IT an. "So habe ich vor acht Jahren auch argumentiert", gibt Strobel selbstkritisch zu. Grundsätzlich hat die Technik ihre Vorteile, da sie tatsächlich Einbrüche erkennen kann. Hierzu decodieren die IDS Netzprotokolle und versuchen anhand von Mustervergleichen, verdächtige Aktionen ausfindig zu machen. Allerdings produzieren sie dabei auch viele Fehlalarme und binden Personal. Sicherheitsfachleute müssen den Warnmeldungen nachgehen. Manche Firmen haben nach Strobels Erfahrungen daher ihr IDS wieder abgeschaltet.

Angriffserkennung eingeschränkt

Damit Intrusion Detection tatsächlich alle Angriffsversuche entdecken kann, müssten diese Systeme sowohl die Netz- als auch die Applikationsprotokolle untersuchen, und dies in vielen parallelen Sitzungen. Der Grund: Hacker versuchen beispielsweise auch über SQL-Statements in Anwendungen einzudringen. Obwohl manche Produkte genügend Datendurchsatz aufweisen, ist es laut Strobel nicht möglich, auf allen Ebenen Attacken schnell und genau genug zu identifizieren.

Strobels Ansicht nach eignen sich IDS daher definitiv nicht für kleine und mittel-ständische Firmen oder für Unternehmen, die nicht genügend Personal für die Überwachung dieser Produkte abstellen können.

Mit dem Argument, in E-Business-Umgebungen reiche es nicht aus, Firewalls nur an den Übergängen zum Internet aufzubauen, werden Anwender ermuntert, solche Systeme auf verschienen Ebenen einzuführen. Firewalls sollen beispielsweise die Server für die Präsentations- und die Applikationslogik und den Datenbankrechner voneinander entkoppeln.

Problem: SQL-Injection

Die Idee leuchtet auf den ersten Blick durchaus ein, da so sichergestellt werden kann, dass die Kommunikation zwischen Web- und Applikations-Server nur über das Hypertext Transfer Protocol (HTTP) beziehungsweise zwischen Applikationsumgebung und Datenbank nur via SQL läuft. Allerdings finden Hacker Wege, auch solche Konstruktionen zu umgehen, dann nämlich, wenn sie ihre Angriffe auf die Applikationsebene verlagern, beispielsweise durch SQL-Injection (Ausführen von eingeschleusten SQL-Statements) oder Cross Site Scripting (Übernahme von User-Sessions auf Web-Servern, Einschleusen von Scripts und deren Aktivierung durch Site-Besucher).

Statt zusätzliche Firewalls anzuschaffen, rät Strobel dazu, in Applikationssicherheit zu investieren. Empfehlenswert seien: Richtlinien für die Softwareentwicklung, Sicherheitsaudits bei Applikationen und Web-Application-Filter. Firewalls im internen Netz sollten nicht als Allheilmittel verstanden werden. So könnten diese Produkte die Netzverbindungen gar nicht so abschotten, dass Würmer sich nicht mehr verbreiten könnten, da sonst der IT-Betrieb stark beeinträchtigt würde. Zur Wurmabwehr eigneten sich Intrusion-Protection-Systeme (IPS) besser. Nützlich seien interne Firewalls hingegen, um zum Beispiel die Forschungsabteilung eines Unternehmens vom übrigen Netz abzukoppeln.