20071112j SonicWall Unified Threat Management kontra Phishing
|
|
|
»manage
it«
als
|
Unified Threat Management Kampf den Phishern Phishing-Attacken gehören nach wie vor zu den größten Bedrohungen, denen Unternehmen wie Privatanwender beim elektronischen Geschäftsverkehr ausgesetzt sind. Anbieter von hard- und softwarebasierten Sicherheitslösungen statten ihre Produkte daher schon seit längerer Zeit mit geeigneten Abwehrmechanismen aus. Wie gut diese Lösungen tatsächlich funktionieren, hängt aber immer noch vom Userverhalten ab – und hier besteht zum Teil erheblicher Nachbesserungsbedarf.
ass jede Kette nur so stark ist wie ihr schwächstes Glied, ist eine Binsenweisheit, die gerade im Bereich der IT-Sicherheit gern übersehen wird. Das ist umso unverständlicher, als sowohl das Funktionieren als auch der Erfolg jeder Security-Lösung davon abhängen, dass professionelle und Heimanwender diese sinnvoll einzusetzen verstehen und angemessen auf alle Vorfälle reagieren, die ihnen bedenklich vorkommen, wie zum Beispiel den vermehrten Eingang von E-Mails mit unbekannten Absenderadressen oder deutlich verlangsamte Reaktionen ursprünglich schnell und fehlerlos arbeitender Programme. Solche Vorgänge sind oft erste zuverlässige Anzeichen dafür, dass Angreifer einen Benutzer ins Visier genommen und womöglich schon Schadsoftware auf seinem Rechner untergebracht haben. Abwehr mit Hindernissen Zu den größten Risikofaktoren gehören in diesem Zusammenhang die Schnittstellen eines Systems zur Außenwelt, will sagen: Internet und E-Mail. Dabei lässt sich unerwünschter oder potenziell gefährlicher Web Content noch verhältnismäßig einfach abwehren, indem Administratoren den Zugriff auf bestimmte Sites oder Domains firmenweit unterbinden bzw. Heimanwender ihre Desktop-Firewalls und Virenscanner auf die höchste Sicherheitsstufe einstellen. »Bei der elektronischen Post dagegen sind der Nutzung vergleichbarer Filtermechanismen hier zu Lande speziell im Unternehmensumfeld enge Grenzen gesetzt«, erläutert Nicola Scheibe, Marketing Manager Central und Eastern Europe bei SonicWALL, dem Marktführer für Unified-Threat-Management-Lösungen. So sind nach dem Gesetz über Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zwar alle Firmen verpflichtet, ihre IT-Systeme gegen Angriffe von innen und außen zu schützen und damit den Verlust sowie die nicht autorisierte Weitergabe von Informationen zu unterbinden. Gleichzeitig aber setzen Bundesdatenschutz-, Betriebsverfassungs- und Telekommunikationsgesetz (BDSG, BetrVG und TKG) den Abwehrmöglichkeiten enge Grenzen. Insbesondere gilt der Einsatz so genannter zusätzlicher Kontrollen – speziell von E-Mail-Filtern zur Spam- und Phishing-Abwehr – als schwer wiegender Eingriff in die Persönlichkeitsrechte der Mitarbeiter, der einer expliziten Zustimmung durch die Betroffenen selbst oder ihre Vertretungsorgane bedarf. »Diese Verpflichtung sollte niemand auf die leichte Schulter nehmen«, warnt Scheibe. Zu Recht, denn führen Vorstand oder Geschäftsführung die Abwehrmechanismen ohne Abschluss einer Vereinbarung ein, verletzen sie das Post- und Fernmeldegeheimnis, was nach § 206 StGB mit bis zu fünf Jahren Haft bestraft werden kann. Vorausschauende Unternehmen sichern sich die Zustimmung daher bereits vorab, indem sie einerseits eine betriebliche Rahmenvereinbarung über den Einsatz von Spam- und Phishing-Filtern treffen und andererseits den Umgang mit dem Medium E-Mail für jeden Arbeitsplatz einzeln regeln. Diese individuellen Regeln sollten unternehmensweit einheitlichen Richtlinien folgen und in jedem Fall klar festlegen, ob bzw. auf welche Anfragen ein Mitarbeiter reagieren und welche Informationen er dabei preisgeben darf. Da professionelle »Phisher« hauptsächlich an geldwerten Informationen wie Passwörtern, Geheimzahlen oder Konto- und Kreditkartendaten interessiert sind, kann »die wichtigste Anweisung hier nur lauten, solche Angaben aus Prinzip nicht zu übermitteln, auch wenn die E-Mail mit der entsprechenden Anfrage noch so vertrauenerweckend wirkt«, stellt Joe Levy fest, seines Zeichens Chief Technology Officer bei SonicWALL. Darüber hinaus muss das Unternehmen seine Regeln ebenso wie deren Zweck klar und verständlich vermitteln und die Kenntnisse der Mitarbeiter darüber sowie über IT-Sicherheit im Allgemeinen gelegentlich auffrischen – am besten in Form regelmäßig stattfindender Schulungen. Technische Unterstützung »Derartige Regelwerke sind aber nur dann verlässlich, wenn ihre Einhaltung den Nutzer nicht überfordert und sich überdies kontrollieren, gegebenenfalls sogar erzwingen lässt«, erläutert Levy weiter. Das technische Rüstzeug dafür geben dem Anwender die Hersteller von Antiviren- und anderen Schutzprogrammen sowie Security Appliances an die Hand, die automatisch den gesamten ein- und ausgehenden Mail-Verkehr rigoros prüfen und verdächtige Anfragen bzw. Mitteilungen zuverlässig aussortieren, bevor ein Schaden entsteht. In diesem Markt zählt SonicWALL selbst zu den fortgeschrittensten Anbietern.
Dabei ist die Funktionsweise der meisten Lösungen – gleich ob soft- oder hardwarebasiert – identisch: Alle eingehenden Mails werden »doppelt gefiltert«, zum einen anhand von Blacklists, zum anderen anhand für Phishing-Attacken typischer Merkmale. Bei einer Blacklist handelt es sich im Prinzip um eine Adressdatenbank, in der die IP-Adressen bekannter Versender von Spam- und Phishing-Mails gespeichert sind. Filterprogramme und Appliances gleichen die ankommende elektronische Post mit einer oder mehreren dieser Datenbanken ab, wobei ihnen in der Regel bereits ein Großteil der verdächtigen Nachrichten »ins Netz geht« und blockiert wird, ehe er auf einen Mail- oder Groupware-Server gelangt. Die Mustererkennung wiederum prüft unter anderem, ob eine Mail bestimmte Schlagworte enthält, die im Zusammenhang mit Geldgeschäften stehen – falls ja, wird sie entweder ebenfalls blockiert oder in Zweifelsfällen in einem gesonderten (Quarantäne-) Ordner abgelegt, den Administratoren und/oder Benutzer später auf so genannte »false positives« untersuchen müssen – legitime Botschaften, die fälschlich aussortiert wurden. Zu den sicheren Kandidaten für eine Überprüfung gehören ferner HTML-Mails mit eingebetteten Links: Diese lotsen arglose Nutzer – von denen es leider immer noch zu viele gibt – vielfach auf gefälschte Websites, wo sie dann die gewünschten Kontoinformationen hinterlassen. Daher untersuchen die Programme, ob der im Linktext angegebene Hostname mit dem des tatsächlichen Absenders übereinstimmt, wie er dem HTML-Quellcode zu entnehmen ist. Ergeben sich hierbei Abweichungen, wandern die Mails ebenfalls in die Quarantäne. »Auf diese Weise lässt sich bereits eine relativ hohe Sicherheitsstufe erreichen«, so der SonicWALL-CTO. Die Leistung der Filter und damit die Trefferquote hängen bei diesem Verfahren jedoch direkt davon ab, wie oft die Hersteller ihre Blacklists und Musterdatenbanken aktualisieren. Geraten sie dabei ins Hintertreffen, nimmt die Schutzwirkung rapide ab. »Anwender sollten daher darauf achten, dass die von ihnen eingesetzten Produkte möglichst regelmäßig bzw. fortlaufend aktualisiert werden«, erklärt Joe Levy. Führende Hersteller bieten den gewünschten Rundumschutz meist in Form einer Paketlösung an, bei der Anwender zusätzlich zum Basissystem einen Upgrade-Service abonnieren, der die Datenbanken der Produkte auf den jeweils neusten Stand bringt: SonicWALL selbst etwa vertreibt seine Email Security Appliances der Baureihen 200 bis 8000 für Netzwerke aller Größenklassen (von 50 bis über 5000 Accounts) sowie seine identisch dimensionierten Software-Lösungen im Bundle mit dem Email Protection-Abo. Dieser Dienst versorgt die Scan-Engines der SonicWALL-Produkte, die eine Kombination aus patentierter Inhaltsanalyse und Verfahren zur Authentifizierung und Überprüfung der Vertrauenswürdigkeit von Mail-Absendern nutzen, beständig mit den frischesten Informationen über Phishing-Attacken und Spam-Angriffe und ermöglicht so im günstigsten Fall einen proaktiven Schutz. Wer darüber hinaus sichergehen will, dass auch ausgehende Mails keine finanziell oder steuerlich relevanten Informationen an Unbefugte übermitteln, findet im Email Compliance-Abo eine geeignete Lösung. Filter im Kopf Obwohl also eine ganze Reihe fortgeschrittener Produkte verfügbar sind, warnt Joe Levy davor, sich ausschließlich auf die Technik zu verlassen. »Ein gesundes Misstrauen und damit den ‚Filter im Kopf’ kann keine noch so ausgeklügelte Software ersetzen«, spitzt der SonicWALL-CTO seine Erfahrungen zu. Und dabei gilt immer noch das bereits eingangs angerissene Prinzip, dass alles, was einem User »komisch« vorkommt, durchaus auf eine bestehende Gefahr hinweisen kann – Rückfragen beim Helpdesk oder der IT-Abteilung können also nie schaden.
|
|
