Firewalls sind das Problem
Virenschutz auf dem PC muss verstärkt werden

Verschlüsselung von E-Mails schützt gegen unerwünschte Lauscher wie Wirtschaftsspionen. Aber sie beeinträchtigt auch die zentrale Abwehr von Computerviren. Der Internet-Schutz auf den einzelnen Desktop-PCs muss daher verstärkt werden.



DÜSSELDORF. "Die inzwischen erwiesene Existenz des weltweiten Abhörsystems Echelon erhärtet den Verdacht gezielter unbd systematischer Wirtschaftsspionage", warnt Norbert Pohlmann. Der Vorstand des Oberurseler Sicherheitsspezialisten Utimaco hält daher eine verstärkte Prävention für unumgänglich, schließlich entständen der deutschen Wirtschaft durch solche Spionage jährlich Schäden von rund 30 Milliarden Mark. Gerade in dem Bridge-CA-Projekt, das seit kurzem bundesweit die Verschlüsselungssysteme von Behörden und großen Unternehmen wie der Deutschen Bank und der Telekom miteinander verbindet, sieht er eine hoffnungsvolle Initiative. "Der Einsatz von Verschlüsselungsprodukten ist für Unternehmen der einzig wirksame Schutz vor Spionage", so Pohlmann.

Der Hersteller von Antiviren-Software Sophos mahnt jedoch zu Vorsicht: "Wir sind zwar dafür, dass Unternehmen Verschlüsselung zum Schutz ihrer Daten verwenden", sagt Geschäftsführer Pino von Kienlin. "Dennoch sollten sie mit dem Einsatz von Verschlüsselung äußerst vorsichtig umgehen, da sie negative Auswirkungen auf ihren Virenschutz haben kann." Denn zentrale Antiviren-Scanner, die direkt am Internet-Gateway oder am Mail-Server nach Computer-Schädlingen suchen, tappen im codierten Datenstrom im Dunkeln. Schließlich überprüfen sie anhand von Viren-Fingerabdrücken, ob im Mail-Anhang ein bekannter Schädling steckt oder nicht. Ist die Mail verschlüsselt, funktioniert dies nicht.



"Da besteht ein Konflikt zwischen Verschlüsselung und Mail-Kontrolle", bestätigt Carsten Caspar, Sicherheitsexperte bei der Unternehmensberatung Meta Group . Dieser müsse vor allem im Umfeld geklärt werden. So muss sich ein Unternehmen etwa fragen: "Will ich einen Dritt-Schlüssel am Mail-Server hinterlegen, damit dieser die Nachricht prüfen kann, oder ist mir die Vertraulichkeit wichtiger als die Integrität?"

Viele Fachleute raten jedenfall von der Hinterlegung eines zentralen Nachschlüssels am Server ab. Volker Krause vom Softwarehaus Norman Data Defense etwa sieht schon technische Probleme, wie die unterschiedlichen Kryptosysteme in die Antivirenlösungen integriert werden können. Toralv Dirro vom Security-Spezialisten Network Associates warnt zudem davor, dass "dadurch die Sicherheit der Verschlüsselung natürlich beeinträchtigt wird". Gefahr besteht etwa, wenn der Universalschlüssel Unbefugten oder Hackern in die Hände fällt. Zumal sich damit nicht nur alle Mails entschlüsseln, sondern auch digitale Signaturen kompromittieren lassen. "Das ist nicht der Sinn von sicheren Mails, denn dann habe ich ich gerade keine persönliche Signatur", bestätigt Bernhard Esslinger, Sicherheitsfachmann der Deutschen Bank und Mitinitiator der Bridge-CA. "Wenn man Ende-zu-Ende-Sicherheit will, muss der Virenschutz deshalb auf den Desktops stattfinden", folgert er. Dies sei eine lange bekannte und anerkannte Tatsache und über dies technisch kein Problem. Frank Felzmann, Leiter des Referats für technische Risikoanalyse beim Bundesamt für Sicherheit in der Informationstechnik , gibt jedoch zu Bedenken, dass die Verwaltung und Aktualisierung der Antivirensoftware bei vielen hundert oder tausend PCs im Unternehmen schwieriger ist als bei einer einzigen zentralen Kontrollinstanz wie einem Virenscanner am Mail-Gateway. Und schnelles Updaten der PC-Software ist gerade in Zeiten rasender Mail-Würmer à la I-love-you besonders wichtig.

"Das ist der Grund, weshalb wir dem zentralen Management große Aufmerksamkeit widmen", betont Travis Witteveen vom finnischen Virenjäger F-Secure . Zwar würden einige Mitbewerber immer gerne den Eindruck vermitteln, dass Sicherheit ganz einfach sei: Man brauche bloß eine zentrale Firewall, einen Virenschutz, einen automatischen Einbruchserkenner und fertig. "Doch was nützt es, wenn der Haupteingang mit Video und Sensoren hochgesichert ist, dafür aber Fenster und Hintertüren offen stehen?" fragt Witteveen. Er plädiert daher für einen vielschichtigen, verteilten Schutz, den man zentral verwalten kann.

Das Problem ist jedoch, dass zwar mittlerweile fast alle Anbieter von Antivirensoftware solche Management-Werkzeuge im Portfolio haben. Doch zumeist können diese nur die eigene Security-Software managen, was Unternehmen, die Sicherheitsprodukte von verschiedenen Herstellern im Einsatz haben, in neue Schwierigkeiten bringt. Allerdings ist auch hier Besserung in Sicht. Network Associates etwa hat kürzlich eine neue Version ihres Management-Tools Epolicy Orchestrator herausgebracht, das nicht nur die eigene McAfee-Software, sondern auch die des Mitbewerbers Symantec verwalten kann. Ein weitere Möglichkeit, um den Schutz auf den Desktop-PCs zu erhöhen, besteht im Einsatz von PC Firewalls mit Sandbox-Funktion wie sie beispielsweise Utimaco , Sandbox Security , Finjan oder Aladdin anbieten. Denn solche Sandboxes scannen nicht wie traditionelle Antivirensoftware nach bekannten Schädlingen, sondern lassen unbekannte Programme, etwa aus Mail-Anhängen, in einer Art Quarantäne-Station ablaufen. So können sie verbotene Aktionen durch Viren und trojanische Pferde direkt unterbinden.

Bei allen technischen Lösungen darf aber auch der einzelne Anwender nicht vergessen werden. Ihm muss verdeutlicht werden, dass er künftig bei verschlüsselten, also nicht zentral vorgeprüften Mails eben besondere Vorsicht walten lassen muss. "Eine einfache Lösung ist das Annotieren von verschlüsselten Mails, also das automatische Anbringen eines Warnhinweises beim Eintritt ins Unternehmen", schlägt Fraunhofer-Experte Ulrich Pinsdorf vor.

Network-Associates-Mann Dirro schränkt allerdings ein, dass sich gefährliche Massenschädlinge wie I-love-you und Anna Kournikova ohnehin unverschlüsselt verschicken und deshalb nach wie vor vom zentralen Virenschutz abgefangen werden könnten. Da nur vertrauliche Mails in der Regel verschlüsselt werden, sei hier die Virengefahr geringer.

Ganz gebannt ist sie jedoch nicht. So ist es eben trotzdem denkbar, dass sich ein Mitarbeiter von dubiosen Web-Seiten unvorsichtig einen Anna-Kournikova-Bildschirmschoner herunterlädt, der gleichzeitig ein Trojanisches Pferd enthält. Und weil er den Schadens-Schoner so schön findet, schickt er ihn gleich noch an Freunde und Kollegen in anderen Unternehmen und Filialen - natürlich verschlüsselt, damit es niemand merkt. Dem Dümmsten Anzunehmenden User (DAU) ist eben alles zuzutrauen.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%