Netzwerksicherheit
Die Sicherheit von Computernetzen
Bausteine des Sicherheitssystems
Sicherheitsrisiko Outsourcing Viele Firmen haben ihre Netzwerk-Administration outgesourcet, sprich an einen externen Dienstleister ausgelagert. Das gilt als die preisgültigere Lösung im Vergleich zur Bewältigung der Aufgabe mit eigenem Personal. Man darf sich fragen, warum der externe Dienstleister die Lösung preisgünstiger anbieten kann. Vermutlich in vielen Fällen, weil er weniger qualifiziertes Personal, auf jeden Fall aber schlechter bezahltes Personal einsetzt. Da kann es schon einmal passieren, dass der system administrator durch einen temp, einen zeitlich befristet beschäftigten Mitarbeiter, vertreten werden muss. Und bei der allgemein verbreiteten Unsitte, dass die Berechtigung für den super user in keiner Weise eingeschränkt ist, kommt dieser Vertreter dann an alle Dateien heran - ein Szenario leider nicht nur für Kriminalfilme, sondern allzu of t auch für betriebliche Realität. Über die Sicherheit des Systems muss man sich dann keine Sorgen mehr machen - sie ist dahin.
Gleich vorweg: Die Sicherheit des Computer-Netzwerks eines Unternehmens ist kein Thema, das ausschließlich technisch gelöst werden kann. Jedes Sicherheitssystem ist leider nur so gut wie sein schlechtestes Teil. Dafür wird von den Verantwortlichen gern das berühmt-berüchtigte menschliche Versagen als Erklärung herbei bemüht. Doch oft sind es strukturelle Schwachstellen, die für den mangelhaften Schutz verantwortlich zu machen sind (siehe Sicherheitsrisiko Outsourcing).
Da viele der technisch einsetzbaren Komponenten mit der Überwachung des Datenverkehrs im Netzwerk zu tun haben - und damit auch mit der Überwachung von Aktionen der Benutzer - unterliegt das Thema der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, mit der Folge, dass eine Betriebsvereinbarung abzuschließen ist, wenn der Betriebsrat darauf besteht.
Wenden wir uns nun zunächst der technischen Seite des Themas zu. Hier steht ein breit gefächerter Instrumentenkasten zur Verfügung, er reicht von der Firewall bis zur Intrusion Prevention.
Firewalls
Die allerserste Schutzschicht ist die Firewall. Sie ist an den Verbindungsstellen des internen Firmennetzes, des Intranet mit der Außerwelt, also dem Internet angebracht und soll alles abblocken, was nicht ins interne Netz hinein gehört. Dazu wird der durch die Firewall geleitete Datenstrom Bit für Bit geprüft, ob verdächtige Muster vorkommen, wie sie von Hacker-Angriffen oder von anderen Zugriffsversuchen auf interne Quellen bekannt sind, die für die Außerwelt nicht verfügbar sein sollen. Natürlich nützt eine solche Technik nur dann, wenn das Firmennetz keine anderen Einschlupflöcher bietet, z.B. Modem-Verbindungen zum Internet oder über stick pins eingeschleppte malware.
Schutz des internen Netzes gegenüber der Außenwelt
Virenschutz
Ähnlich arbeiten die Virenscanner. Sie sollen das Netzwerk vor Schädlingen aller Art, den Computerviren schützen. Man kann sie an zentraler Stelle mit der Firewall kombinieren. Dies ist aber nicht ausreichend, da fast jeder Computer im Netz, vor allem aber die immer zahlreicheren Laptops, über Eingangsschnittstellen verfügen. Früher waren das die Diskettenlaufwerke, heute sind es CD-, DVD-Laufwerke, Stickpins und auch der Internet-Zugang mit der Möglichkeit des Downloads, d.h. externe Dateien direkt auf die lokale Festplatte (oder eine andere Stelle im Firmennetz) zu laden. Virenschutz ist also überall dort anzubringen, wo eine Speicherung von externen Quellen auf eine Stelle innerhalb des Netzes stattfinden kann. Die Arbeit dieser Scanner lässt sich vollautomatisieren, so dass sie in einer Form abläuft, die der Benutzer nicht mehr beeinflussen kann (Oft beklagen sich die Benutzer allerdings über die zu lange Zeit, die ihnen durch die Virenscanner gestohlen wird, die natürlich immer dann aktiv werden, wenn man es besonders eilig hat). In vielen Firmen sind die Virenscanner so eingestellt, dass sie ihre Tätigkeit als eine der ersten nach jedem Hochfahren des Computers verrichten.
Virenscanner arbeiten wie die Firewall nach dem Prinzip der Mustererkennung. Die Herstellerfirmen solcher Schutzsoftware liefern sog. Signaturen, in denen für Viren charkteristische Bitmuster gespeichert werden. Jeder vernünftige Scanner checkt den zu überprüfenden Datenbestand auf mehrere Tausend solcher Signaturen, die natürlich immer auf dem aktuellen Stand gehalten werden müssen. Computerviren sind leider nicht mit biologischen Viren vergleichbar - es gibt keine Breitband-Heilmittel, sondern jedes Virus braucht seine eigene Anti-Medizin. Deshalb findet oft ein regelrechter Wettlauf zwischen Hackern und Herstellern der Schutz-Software statt. Die Hacker haben ihr Erfolgserlebnis immer dann, wenn sie ein Zeitfenster ausnutzen und viele Rechner infizieren können, bevor die neue Schutzsoftware zur Verfügung steht. Deshalb müssen die Virenscanner immer auf dem aktuellen Stand sein, und auch dann ist ihr Schutz nicht hundertprozentig.
Die mit Abstand meisten Viren werden über Anhänge in der E-Mail übertragen. Öffnet der Benutzer einen solchen Anhang, dann nimmt das Unheil seinen Lauf. Da eine Menge von Servern im Internet als Virenschleudern bekannt sind (dabei handelt es sich keineswegs nur um Standorte in Nordkorea oder China), versucht man, den Kontakt zu solchen Stellen gleich mit Firewall-Strategien zu verhindern, was meist aber nur funktioniert, wenn sich der Benutzer innerhalb des Firmennetzes bewegt.
Filter
Damit sind wir bei der Aufgabe der Spamfilter. Unter Spam versteht man Computermüll jedweder Art , vor allem aber ungewünschte Werbung. Die gängigen Systeme verbinden unterschiedliche Strategien miteinander. Erster Schritt ist oft ein Black-List-Verfahren. Darunter ist eine Liste zu verstehen, in der für ihre Spamschleuder-Eigenschaft bekannte Server verzeichnet sind. Die Werkzeuge sorgen dafür, dass Mail von solchen Quellen vom Filter ausgesiebt wird.
In einer weiteren Strategie wird das von den Virenscannern bereits bekannte Prinzip der Signaturen verwendet. Diese bezieht man als einen regelmäßig, am besten online aktualisierten Dienst. Die Hersteller bieten hier an, dass man Mail nach bestimmten inhaltlichen Kriterien aussortieren kann, z.B. keine Pornographie, keine politisch radikalen Inhalte, keine Sportnachrichten oder was auch sonst man sich aus dem umfangreichen Katalog des Anbieters ausgewählt hat. Der Inhalt einer Mail kann dann auf jeweils charakteristische Schlüsselwörter durchsucht und im Trefferfall aussortiert werden. Alles dies geschieht noch vollständig anonym, d.h. die Technik erledigt die Aufgabe, ohne dass ein Mensch einen Blick auf die aussortierten Texte zu werfen braucht. Trotzdem handelt es sich hier um ein Problem, das schnell zur Zensur werden kann.
Schließlich gibt es als dritte Abwehrstrategie die der lernenden Systeme. Nach diesem Konzept trainiert man die Software, d.h. man bringt ihr in aufeinender folgenden Einzelfällen bei, was sie für Spam zu halten hat. Die Software bemüht sich dann, die in solchen Mails erkennbaren Muster auf andere Mails ebenfalls anzuwenden.
Ein White-List-Verfahren erlaubt es, Ausnahmen zu vereinbaren. Die Nachrichten einer in einer solchen White List verzeichneten Quelle werden dann - mit Ausnahmen des Falls entdeckter Viren - in jedem Fall durchgelassen.
Das Filter-Verfahren wird in den meisten Unternehmen zentral durchgeführt. Eine etwas anspruchsvollere Software erlaubt ein zweistufiges Verfahren, d.h. neben der zentralen Filtereinstellung kann jeder Benutzer noch seine eigenen idividuellen Einstellungen vornehmen. In diesem Fall können die zentralen Filter weniger streng eingestellt werden; die Feinjustierung kann dann auf individueller Ebene erfolgen und den jeweiligen Bedürfnissen besser angepasst werden.
Schließlich gibt es noch verschiedene Formen, wie mit der ausgefilterten Mail umgegangen wird. Ein zentrale Einstellung kann dafür sorgen, dass alles, was als Spam erkannt wird, sofort vernichtet wird, ohne dass die Benutzer etwas davon mitbekommen, ein Verfahren mit hohem Risiko, denn auch fälschlich als Spam erkannte Nachrichten können verloren gehen. Das andere Extrem besteht darin, jedem Benutzer die Spam-Mails zwar zuzustellen, sie aber als Spam zu kennzeichnen. Die Benutzer müssen dann selber sehen, wie sie damit umgehen. Noch umständlicher ist ein Verfahren, dem zu Folge alle Spams in einem zentralen Ordner gesammelt werden und die Benutzer per Mail über zugegangene Spams benachrichtigt werden. Vernünftiger aber sind Verfahren, bei denen für jeden Benutzer ein individueller Spam-Ordner angelegt wird, dessen Inhalte nach einer bestimmten Zeit (z.B. nach einer Woche) automatisch gelöscht werden.
Dieselben Techniken, mit denen man sich gegen unliebsame Mail wehren will, kann man in Form von Internet-Filtern auch auf den Zugang zum Internet anwenden.
Intrusion Detection
Alle bisher genannten Techniken funktionieren mehr oder weniger gut an den Nahtstellen des internen Firmennetzes zur Außenwelt. Was aber, wenn die Bösewichte innerhalb des Netes sitzen? Dafür haben wir die Intrusion Detection oder Intrusion Prevention-Systeme. Natürlich taugen sie auch, um Angriffe von außen zu entdecken und abzuwehren, z.B. solche, die von der Firewall nicht bemerkt wurden.
Diese Systeme arbeiten ebenfalls mit Signaturen, die kritische und typische Angriffsmuster beschreiben. Auch hier ist es möglich, die Netzwerkkontrolle weit über die Sicherheitsprobleme hinaus auszudehnen und den Inhalt der durch das Firmennetz wandernden Datenpakete zu kontrollieren.
Im Leistungsumfang solcher Softwarepakete sind noch weitere Funktionen enthalten. So kann man mit honey pots Schwachstellen im Netz vortäuschen, die dann die Aktivitäten von Hackern oder sonstiger Eindringlinge auf sich ziehen. Am beleibtesten ist es hier, einen ungeschützten Windows-Rechner zu simulieren, auf den sich jeder Hacker dann vermutlich mit Freuden stürzt (sofern das die von ihm verwendeten Programme nicht automatisch tun). Dann kann man versuchsweise den Datenstrom zurück verfolgen und mit etwas Glück die Unheilsquelle ausfindig machen.
Ein zu beachtendes Leistungsmerkmal ist das Eskalationsmanagement. Mit seiner Hilfe kann man das jeweilige System veranlassen, beim Eintreten bestimmter Ereignisse einen Alarm auszulösen. Solche Ereignisse können z.B. sein, wenn festgestellt wird, dass jemand binnen kurzer Zeit immer wieder auf einen bestimmten Port zugreifen will oder eine Internetseite aufzurufen versucht wird, die für die Bereitstellung von Hacker-Werkzeugen bekannt ist.
Weitere Werkzeuge
Es gibt noch eine Vielzahl von weiteren nützlichen Hilfsmitteln, wenn es um die Sicherheit des Firmennetzes geht. Sie alle aufzuzählen, würde den Rahmen dieser kurzen Übersicht sprengen. Eines aber soll trotzdem erwähnt werden,eines das aufräumt mit der viel verbreiteten Ansicht, der oberste System Manager mit seiner super user-Berechtigung darf alles und kommt überall hin (z.B. die Software InTrust). Man kann die Rechte der Administratoren sehr wohl so einschränken, dass sie nicht den Inhalt jeder Datei sehen können, sondern nur ein Privileg erhalten, sich im Bedarfsfall ein entsprechendes Recht zu geben und es sich nach getaner Arbeit dann auch wieder wegzunehmen - wobei diese Vorgänge zwecks späterer Überprüfbarkeit elektronisch zwangsprotokolliert werden.
Viele weitere Schritte sind erforderlich, wenn man sich mit der gebotenen Sorgfalt um das Thema Netzwerksicherheit kümmert. Ganz wichtig ist es, dass eine Firma darauf achtet, weitgehende Berechtigungen, wie sie z.B. innerhalb eines Projektes vergeben werden, auch wieder wegzunehmen, wenn das Projekt beendet ist. Eine Übersicht über eine Reihe von unterschiedlichen Maßnahmen finden Sie in dem Dokument IT-Security-Policy hier auf unserer Internet-Seite.
Betriebsvereinbarung als Regelungsinstrument
Einem Betriebsrat kann es natürlich egal sein, was das Unternehmen zum Thema security unternimmt, nach dem Motto: Hauptsache die Jungs tun ihre Arbeit. Dabei kann es jodoch zu einer Art Kollateralschäden kommen, weil sich halt die Überwachung der Vorkommnisse im Firmennetz nicht von einer Überwachung des Benutzerverhaltens unterscheiden lässt. Am einfachsten ist es noch mit der Firewall: sie kontrolliert nur Dinge, die von außen kommen, unproblematisch, wenn man einmal davon abieht, dass "von außen" auch ein Mitarbeiter der Firma mit seinem Notebook-Rechner kommen kann.
Eine Betriebsvereinbarung allerdings ist eine gute Chance, sowohl für Transparenz bezüglich des Themas Netzwerksicherheit zu sorgen als auch die Verhaltensregeln klarzulegen, ohne die jede Technik Schall und Rauch ist. Wenn z.B. jeder in der Firma weiß und auch beherzigt, dass man einer Aufforderung in einer unbekannten Internet-Seite oder Mail, ein bestimmtes Objekt auf seinen Rechner zu laden, niemals Folge leisten soll, ist schon viel gewonnen.
Eine Betriebsvereinbarung zu dem Thema sollte klar stellen,
dass Firewall, Spam Filter und Internet-Zugangsfilter, Intrusion Detection Systeme oder ähnliche Software-Werkzeuge nur im engeren Sinne zur Gewährleistung der Systemsicherheit eingesetzt werden dürfen und auf eine inhaltliche Kontrolle des Netzwerkverkehrs veruichtet wird,
eingesetzt werden dürfen und auf eine inhaltliche Kontrolle des Netzwerkverkehrs veruichtet wird, dass alle mit Signaturen arbeitenden Systeme sich ebenfalls auf bekannte Themen der Netzwerksicherheit zu beschränken haben,
arbeitenden Systeme sich ebenfalls auf bekannte Themen der Netzwerksicherheit zu beschränken haben, dass keine zentralistischen Systementscheidungen den Zugriff der Benutzer auf ihre Mail Accounts reglementieren und sie selber das letzte Sagen darüber behalten, was z.B. Spam ist und was nicht,
den Zugriff der Benutzer auf ihre Mail Accounts reglementieren und sie selber das letzte Sagen darüber behalten, was z.B. Spam ist und was nicht, dass Auswertungen der von security systems umfangreich protokollierten Daten in der Regel keinen Durchgriff auf einzelne Arbeitsplätze oder Benutzer zulassen und auf die Analyse der Sicherheitsprobleme begrenzt bleiben; Ausnahmen von diesem Grundsatz wären im einzelnen festzulegen,
der von umfangreich protokollierten Daten in der Regel keinen Durchgriff auf einzelne Arbeitsplätze oder Benutzer zulassen und auf die Analyse der Sicherheitsprobleme begrenzt bleiben; Ausnahmen von diesem Grundsatz wären im einzelnen festzulegen, dass das bei vielen Systemen mögliche Eskalationsmanagement nicht zu einer die Berührung der Netzwerksicherheit hinausgehenden Verhaltenskontrolle benutzt werden darf ,
nicht zu einer die Berührung der Netzwerksicherheit hinausgehenden Verhaltenskontrolle benutzt werden darf , welche Verhaltensregeln für die Mitarbeiterinnen und Mitarbeiter aufgestellt und wie diese im Unternehmen kommuniziert werden.
In Grenzfällen ist es manchmal schwierig, über jeden Zweifel erhaben zu trennen, was die Systemsicherheit berührt und was darüber hinaus gehende Verhaltenskontrolle ist. Deshalb sollte unbedingt ein Schlichtungsverfahren vereinbart werden, wie man in Konfliktfällen mit dem Thema umgehen will. Dabei hat sich eine Beteiligung der Betriebsräte bisher ausgesprochen bewährt.
Karl Schmitz, September 2009
Bisherige aktuelle Themen...
Die Grundlagen: wichtige Begriffe der Cybersicherheit
Cybersicherheit hat sich für Verbraucher wie auch für Unternehmen schnell zum wichtigsten Thema entwickelt.
Laut Global Knowledge hatte die Datensicherheit in den letzten sieben Jahren oberste Priorität in IT-Abteilungen auf der ganzen Welt. Doch wenn Sie sich noch nicht mit der Welt der Cybersicherheit auskennen, sind Ihnen vielleicht auch einige der Begriffe nicht bekannt, die in entsprechenden Diskussionen auftauchen. Deshalb haben wir im Folgenden eine Liste wichtiger Begriffe samt Definition zusammengestellt.
Begriff Definition Authentifizierung Der Prozess, bei dem die Identität einer Person verifiziert wird, die auf einen Computer oder eine Datei zugreifen möchte. Advanced Persistent Threat (APT) Ein fortschrittlicher komplexer Angriff, der darauf abzielt, über einen längeren Zeitraum hinweg vertrauliche Daten zu stehlen. Weitere Informationen finden Sie in den Artikeln zu APTs und ihren Warnzeichen. Backup (oder Sicherung) Der Prozess, bei dem Dateien auf einem Server, einer Festplatte, einem Computer oder einem Wechseldatenträger gespeichert werden, damit sie nach einem etwaigen Ausfall des ursprünglichen Geräts weiterhin verfügbar sind. Cloud Computing Nutzung von IT-Dienstleistungen, auf die nicht vor Ort von lokalen Rechnern aus, sondern über ein Netzwerk (z. B. das Internet) zugegriffen wird. Cybersicherheit Der strategische Schutz von Informationen und Kommunikation über verschiedene fortschrittliche Tools, Richtlinien und Prozesse. Datenschutzverletzung Der unbefugte Zugriff auf Daten. Verschlüsselung Die Umwandlung von Daten, um sie zu verschleiern oder zu verbergen. Endpoint-Sicherheit Der Schutz von Geräten an sogenannten Endpoints, also den Endgeräten im Netzwerk. Hierzu zählen auch mobile Geräte wie Tablets und Laptops. Enterprise Risk Management (ERM) Ein umfassender Ansatz zum Schutz von Unternehmens-Assets durch Ermittlung von Risiken, Implementierung von Gegenmaßnahmen und Abwehr von Bedrohungen in Echtzeit. Firewall Hard- oder Software, die unerwünschte Benutzer vom Netzwerk fernhält. Hacker Jemand, der die Sicherheit umgeht, um auf Daten zuzugreifen. Internetanbieter oder Internetdienstanbieter Ein Unternehmen, das eine Verbindung zum Internet bereitstellt. Intrusion Prevention System (IPS) Ein Programm, das Versuche von Hackern, auf Computer oder Dateien zuzugreifen, erkennt und blockiert. Keylogger Soft- oder Hardware, die heimlich die Tastaturanschläge des Benutzers aufzeichnet, um Informationen wie Passwörter zu stehlen. Malware Software, die auf einem Computer unbefugte und schädliche Aktionen ausführt. Phishing Eine Betrugsmasche, bei der Hacker versuchen, sich über vermeintlich seriöse E-Mails Zugang zu vertraulichen Informationen, wie Bankdaten und Passwörtern, zu verschaffen. Risikobewertung Der Prozess, bei dem potenzielle Risiken für das jeweilige Unternehmen oder Netzwerk ermittelt werden. Spyware Malware, die ohne Einwilligung die Aktivität oder Informationen auf Ihrem Computer überwacht und an andere Personen sendet. Virtual Private Network (VPN) Eine sichere Methode, auf das Internet zuzugreifen, indem die Verbindung über einen Server umgeleitet wird, der Ihren Standort verbirgt. Mehr erfahren Sie unter „Was ist ein VPN?“. Virus Malware, die sich selbst replizieren kann. Wurm Malware, die sich selbst auf einem Computer installieren kann und sich daraufhin auf andere Computer kopiert.
Für die meisten Benutzer empfiehlt es sich, bei Cybersicherheit auf die Hilfe von Experten zu setzen. Der richtige Partner für Cybersicherheit kann Sie bei der Risikobewertung, bei der Implementierung proaktiver Lösungen und bei der Abwehr neuer Bedrohungen unterstützen.
Verwandte Artikel und Links:
Grundlagen zu Cyber Security
Im Rahmen des TÜV Rheinland Cyber Security Training Program wird hier ein 4-tägiges Training mit einer 1,5 - 2-stündigen Prüfung angeboten.
Ziel dieses Trainings ist es, den Teilnehmern das notwendige Wissen zu vermitteln, um die Herausforderungen von Cyber Sicherheit im Kontext von Architektur, Spezifikation, Implementierung, Betrieb, Management und der Pflege von industriellen Automatisierungs- und Steuerungssystemen (IACS) gemäß der relevanten Norm IEC 62443 erfolgreich zu bewältigen.
Das Training vermittelt ein grundlegendes Verständnis der technischen und anwendungsbezogenen Grundlagen der Cyber Sicherheit im Kontext von industriellen Kommunikationsnetzen und relevanten Technologien.
Zudem wird ein Verständnis der Schlüsselprinzipien und –praktiken vermittelt, die in den weiterführenden Trainings "Cyber Security Risikobewertung (SRA) " und "Cybersicherheit für Komponenten" des TÜV Rheinland Cyber Security Training Programm behandelt werden.