Besserer Schutz durch Schleusensysteme
Physikalische Feuermauer für Server

Ein Server sei nur dann wirklich geschützt, wenn er nicht mit dem Internet verbunden ist, spötteln Sicherheitsexperten gerne.

DÜSSELDORF. Und die Ereignisse in der Vergangenheit scheinen ihnen Recht zu geben: Allein der äußerst virulente "Code Red"-Wurm hat Hochrechnungen zufolge mehr als eine Million Internet-Rechner infiziert. In dessen Nachfolger "Nimda" sehen Fachleute schon die Inkarnation einer neuen, noch gefährlicheren Generation digitaler Mikroben; fanden sich in ihm doch erstmals alle gängigen Schadfunktionen und Verbreitungsroutinen vereint.

Besonders kritisch ist Online-Interaktion für Unternehmen, die wie das Finanz- oder Versicherungsgewerbe mit hochsensiblen Daten operieren. Dem Schutz der "digitalen Kronjuwelen" dienen zumeist software-basierte Firewalls, die die Kommunikation zwischen Internet und Back Office über komplexe Filtereinstellungen regulieren. "Was nicht explizit erlaubt ist, ist verboten", beschreibt Jörg Schneider vom Münchner Firewall-Anbieter Check Point das Prinzip der Durchflusskontrolle. Unter anderem wird dabei der Datenstrom auf Viren und unzulässige URL untersucht sowie die Nutzer-Authentifizierung absolviert.

Für Hochsicherheitsrechner mit diskreten Unternehmens- oder Kundendaten ist indes auch dieser High-Tech-Harnisch nicht robust genug. Für das dabei nötige Sicherheitsniveau können so genannte Trennungssysteme sorgen, wie sie etwa vom Trierer Institut für Telematik ("Lock-Keeper") und der israelischen IT-Security-Firma Whale Communications ("e-Gap") entwickelt wurden. Der Lock-Keeper, sagt Institutsleiter Professor Christoph Meinel, arbeite wie eine Schleuse mit idealerweise drei voneinander unabhängigen Rechnersystemen. Zwischen dem inneren Netz (zum Beispiel einem Intranet) und dem äußeren (dem potenziell unsicheren Internet) bestehe daher niemals eine direkte physikalische oder logische Verbindung.

Stattdessen würden ein- oder ausgehende Daten zunächst im Schleuseninnenraum zwischengespei-chert. "In diesem Quarantänesektor", erklärt Meinel, "kann der Datenstrom beliebig lange automatisch oder auch manuell analysiert werden." Zwar könne eine fehlerhafte Software oder unzureichende Konfiguration den Austausch der Daten beeinträchtigen, etwa im Zuge von "Denial of Service"-Angriffen. "Die Datenintegrität im inneren Netz bleibt jedoch in jedem Fall erhalten." Mehrere Banken hätten Pilotprojekte gestartet, bei einem großen deutschen Energieversorger sei das System bereits im Regelbetrieb. Caching und Analyse der Daten freilich schließen manchen gewohnten Dienst per se aus. "Bei einem Zeitversatz im Minutenbereich", räumt Meinel ein, "macht Surfen keinen Spaß mehr."

Unter einer konzeptionell verwandten Prämisse operiert Whales "e-Gap"-Lösung. Die Netztrennung übernimmt hier eine spezielle Hardware-Appliance mit integriertem Speicher ("e-Disk") und zwei SCSI-Schnittstellen. Die externe Kommunikation läuft über einen Außenserver.

Da keine durchgängige Datenpipeline zwischen Back Office und Internet bestehe, könnten selbst dann keine sensiblen Daten nach außen dringen, versichert Whale-Geschäftsführer Otto Kümmerlen, wenn der externe Server gehackt würde.

Quelle: Handelsblatt

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%