20070708zk SonicWall IT-Sicherheit Neue Strategien
|
|
|
»manage
it«
als
|
Sicherheit in Unternehmen Neue Bedrohungen verlangen neue Strategien Trendanalysen zum Thema IT-Sicherheit beschäftigen sich oft ausschließlich mit der Frage, welche Bedrohungen aus Expertensicht in den kommenden Wochen und Monaten akut werden. Der folgende Artikel benennt neben den Gefahren auch Mittel zu ihrer Abwehr.
eit den Anfängen des Internet-Booms hat sich die Sicherheitslage im Web dramatisch gewandelt. Hinter den Angriffen auf IT-Infrastrukturen stehen nicht mehr länger marodierende Scriptkiddies oder edelmütige Hacker, die Netze aus purem sportlichen Ehrgeiz lahm legen oder mit ihren Aktionen auf Lücken hinweisen und damit letztlich helfen wollen, diese zu schließen. Vielmehr sind inzwischen professionelle Kriminelle für die meisten Einbrüche in die Unternehmens-EDV verantwortlich, deren einziges Motiv der finanzielle Gewinn ist. Dabei spielt es letztlich eine untergeordnete Rolle, ob sie diesen durch Industriespionage beziehungsweise den Diebstahl von Konto- und Kreditkarteninformationen oder aber dadurch erzielen, dass sie den betroffenen Betrieben mit massiver Downtime drohen, um sie so zur Zahlung von Geldbeträgen zu erpressen. Schon weil es dabei in der Regel um sehr hohe Summen geht und im Einzelfall sogar die Existenz eines Unternehmens gefährdet sein kann, müssen sich IT-Verantwortliche und Geschäftsführung daher einen Überblick über mögliche Angriffsszenarien verschaffen und schnellstmöglich Vorkehrungen dagegen treffen. Drei Hauptangriffsfelder So wie Ziele und Motive der Angreifer haben sich auch deren Technik und Methoden im Lauf der Zeit gewandelt, gleichsam verfeinert. Noch vor wenigen Jahren war es üblich, komplette Netze nach Schwachstellen zu durchsuchen – ein aufwendiger Prozess, bei dem die Hacker lange Zeit im angegriffenen Netz verbringen mussten und so Gefahr liefen, entdeckt zu werden. Dieses Risiko gehen professionelle Datendiebe nicht oder nur sehr selten ein, da ihnen hohe Geldstrafen und Haft drohen, wodurch ihr »Geschäft« kaum rentabel wäre. Aus diesem Grund konzentrieren sie sich auf jene Bereiche, die die lohnendsten Angriffsflächen bieten, und nutzen zunehmend die Möglichkeiten automatisierter Software-Verteilung. Darüber hinaus erlebt zurzeit gerade das Social Engineering eine Renaissance, also jene Angriffsmethoden, bei denen nicht die Technik im Mittelpunkt steht, sondern der Mensch, der sie bedient. Den größten Nutzen versprechen sich Kriminelle dabei von Attacken auf Remote-Access- und Authentifizierungslösungen, die trotz der in den letzten Jahren erzielten Fortschritte oft noch immer nicht genügend geschützt sind. Als Mittel zum Zweck dienen überwiegend Trojaner beziehungsweise sogenannte modulare Schadsoftware: Diese öffnen zunächst eine Hintertür im angegriffenen Netzwerk beziehungsweise System, durch die dann weitere Programme wie Spyware oder Keylogger nachgeladen werden, die etwa Passwörter für den Netzwerkzugriff, PIN-Codes oder gar die Sitzungsschlüssel für VPN-Verbindungen ausspionieren. Führende Anbieter von IT-Security-Lösungen wie Sonicwall, der Marktführer im Bereich Unified Threat Management, führen inzwischen die Mehrzahl aller Infektionen und erfolgreichen Angriffe auf solche Software zurück; Konkurrent Symantec veranschlagt deren Anteil in seinem jüngsten, im März erschienenen Internet Security Threat Report auf 60 Prozent. Die Hersteller von Sicherheitslösungen ihrerseits treten diesen gewandelten Bedrohungen mit einer neuen, über mehrere Ebenen verteilten Strategie entgegen. Anwender, die ihre wertvollen Informationen so umfassend wie möglich schützen wollen, sollten ihnen auf diesem Weg unbedingt folgen. Joe Levy, Chief Technology Officer bei Sonicwall, empfiehlt daher, besonders auf Neuentwicklungen und Upgrades bei Softwareprodukten zu achten, die »das Ausforschen von Passwörtern und Verbindungsdaten erschweren oder unmöglich machen«. Vor allem bei den SSL-VPN-Lösungen, welche Verbindungen schützen, die Außendienstler und Heimarbeiter von ihren PCs und Notebooks aus ins jeweilige Firmennetz aufbauen, stünden entscheidende Fortschritte bevor, auf die die User zum Teil schon sehr lange warten: »Bei allem Nutzen der Technologie lag immer noch eine gewisse Schwäche darin, dass sich bei gängigen Implementierungen lediglich der Webserver gegenüber dem Benutzer ausweisen muss, während diese Pflicht umgekehrt nicht besteht«, erklärt Levy. Datendiebe hatten damit die Möglichkeit, eine Verbindung zu kapern, gefälschte Datenpakete in beide Richtungen zu verschicken und die übertragenen vertraulichen Informationen auf die eigenen Rechner umzuleiten (sogenannte Man-in-the-Middle-Attacke). Um dies in Zukunft zu verhindern, wird etwa Sonicwall in den kommenden Monaten vermehrt »Proxy-Server im Internet einsetzen, die die Identität der Teilnehmer an beiden Endpunkten der Verbindung verifizieren« und dabei starke Zertifikate (Class 3) verwenden. Einen stärkeren Akzent will der Hersteller zudem auf sein Angebot an Zwei-Wege-Authentifizierungslösungen legen, bei denen User sich gleichzeitig mit Benutzer-ID und Passwort sowie mit einem Token (einem USB-Stick oder Mobiltelefon) am System anmeldet und nur dann Zugriff auf die benötigten Ressourcen erhält, wenn beide Elemente vorhanden sind. »Diese Lösungen lassen sich bei Bedarf noch durch den Einsatz von Einmalpasswörtern ausbauen, die für jeden Login-Versuch neu vergeben und dem Mitarbeiter etwa per SMS übermittelt werden.« Auf diese Weise wird der für einen (theoretisch möglichen) erfolgreichen Angriff benötigte Rechenaufwand immer weiter in die Höhe geschraubt, so dass er entweder mit gängigem Equipment nicht mehr innerhalb einer »ungefährlichen« Zeitspanne ausführbar ist oder aber so kostspielig wird, dass er sich für einen profitorientierten Angreifer von selbst verbietet. Allerdings gibt es durchaus Fälle, in denen zumindest der Kostenaspekt eine untergeordnete Rolle spielt, etwa dann, wenn es um das Ausforschen von militärischen Geheimnissen und Rüstungsplänen sowie nachrichtendienstlichen Informationen geht, also das klassische Feld von Spionage und Gegenspionage. Anwender sollten daher die für ihr Arbeitsfeld geeignete maximale Sicherheitsstufe implementieren, auch wenn dies im Einzelfall zu Lasten des Bedienkomforts und der »Benutzerhoheit« über die Rechner geht. Damit vermeiden sie nicht nur straf- und zivilrechtliche Konsequenzen, sondern sichern zusammen mit der Profitabilität des eigenen Unternehmens auch die bestehenden Arbeitsplätze. Außer auf die hier angerissenen sollten Anwender natürlich auch auf die Pflege ihrer gewohnten Verteidigungssysteme wie Antiviren-Software, Firewalls und Intrusion-Prevention-Lösungen achten. Denn letztlich ist niemand damit gedient, wenn zwar VPN und Authentifizierung auf dem neuesten Stand sind, traditionelle Abwehrmechanismen aber hinterherhinken. Verantwortung delegieren Besonders in kleinen und mittleren Betrieben bereitet eine angemessene Systempflege indes oft Schwierigkeiten. Zwar sind die Anschaffungskosten für Security-Software inzwischen auf ein auch für diese vertretbares Maß gesunken und beim Kauf sichert sich der Anwender in der Regel ein Mindestmaß an Support. Betrieb und Wartung einer IT-Sicherheitsinfrastruktur können aber dennoch zum Problem werden, wenn die EDV-Abteilung zu klein ist oder nicht über die notwendige Qualifikation verfügt. »In solchen Fällen sollten die Verantwortlichen das Outsourcing dieser Leistungen in Betracht ziehen«, empfiehlt Levy. Das sei umso sinnvoller, als die meisten Softwarehersteller und IT-Dienstleister ihr einschlägiges Angebot an sogenannten Managed Services bis zum Jahresende deutlich ausbauen würden. Auslagern beziehungsweise hinzukaufen lassen sich auf diesem Weg sowohl Einzellösungen, beispielsweise für Intrusion Prevention und E-Mail-Sicherheit, als auch Komplettpakete, bei denen der Hersteller/Dienstleister alle erforderlichen Systeme und Lösungen plant, implementiert, betreibt und wartet. »Der damit verbundene Sicherheitsgewinn wiegt eventuelle Mehrkosten in jedem Fall auf«, so Levy. »Es lohnt sich also durchaus, Verantwortung zu delegieren«.
Weitere Informationen unter: |
Folgen Sie »manage it« auf Google+
|
