Sicherheits-Probleme oft hausgemacht
Anforderungen an Firewalls werden immer komplexer

"Uns wird es schon nicht treffen" denken immer noch viele Unternehmen, wenn es um den Zusammenbruch der IT-Infrastruktur durch Angriffe von Viren oder Datendieben geht. Doch gab es vor fünf Jahren gut 10000 Viren, hat sich deren Zahl mittlerweile verfünffacht. Und die Schäden sind enorm: Ein einziger Virus, Code Red, hat nach Angaben des amerikanischen Computer Emergency Response Team im vergangenen Jahr Schäden in Höhe von 2,62 Milliarden Dollar angerichtet.

Aber es kommt noch schlimmer: Ian Williams bei seiner E-Security-Studie für Datamonitor aufgefallen, dass es mit Code Red und Nimda zwei Computerwürmer völlig neuen Typs gab. Sie wurden aus Codes vorheriger Schädlinge zusammengebaut. Seine Vermutung: "Das war nicht die Arbeit einzelner Script Kids, sonder einer organisierten Gruppe." Ihn macht zudem stutzig, dass beide in den Systemen keinen wirklichen Schaden angerichtet haben. Seine Befürchtung: "Es könnte sein, dass mit Code Red oder auch mit Nimda Leute nur ausprobieren wollten, wie stark sich ein Virus eines solchen Typs verbreitet, dass es sozusagen erst ein Versuchsballon war."

Dabei sind viele Probleme hausgemacht. Eine Studie des amerikanischen Computer Emergency Response Team hat aufgedeckt, dass 99 Prozent der Angriffe auf bekannten Sicherheitslücken beruhen. Besonders offensichtlich war dies bei Code Red: Experten, unter anderem aus dem Sicherheitszentrum des deutschen Forschungsnetzes, hatten Wochen vor dem ersten Befall vor dem Wurm gewarnt. Im Juli vergangenen Jahres kam es zu einer ersten Welle, einen Monat später zur nächsten. Das heißt, die Unternehmen hätten sich schützen können, wenn sie Hard- und Software regelmäßig auf den neuesten Stand gebracht hätten. Lösungen von der Stange reichen da nicht aus. Sie müssen von Experten richtig konfiguriert werden, und solche Fachleute sind dünn gesät und teuer.

Für zweihundert Mitarbeiter ist ein IT-Spezialist nötig, der sich alleine um die Konfiguration und Wartung der Firewall kümmert, meint Rolf vom Stein, Leiter der technischen Abteilung des TÜV Secure IT, Köln. Er hält sogar einen zweistufigen Schutz in Unternehmen für notwendig, "alles andere ist nur für den Heimbereich tragbar." Das bedeutet, dass erste Attacken an einer zentralen Firewall abgefangen werden sollten und weitere Systeme besonders kritische sensible Segmente wie Personaldaten oder die Abteilung für Forschung und Entwicklung. Das sind so genannte verteilte Firewalls, die an strategischen Punkten stehen, aber im Gegensatz zu Personal Firewalls auf Einzelplatzrechnern zentral verwaltet werden.

Die Aufgaben der Firewall haben sich in den vergangenen Monaten stark erweitert. Hinzugekommen sind so genannte Intrusion Detection Systeme. Während eine Firewall sich lediglich anschaut, ob die ankommenden Pakete erwünscht sind, legt ein Intrusion Detection System die gängigen Einbruchsversuche in einer Datenbank ab und vergleicht die Muster der bei der Firewall ankommenden Pakete mit diesen Daten. Registriert das System Auffälligkeiten, schlägt es Alarm. Der Administrator muss dann entscheiden, wie er reagiert. Das Problem dabei: In der Grundeinstellung schlagen die Systeme sehr häufig Alarm. Nimmt ein Administrator keine auf die Unternehmenssituation angepasste Feineinstellung vor, erhält er so viele Warnungen, dass er diese irgendwann ignorieren wird.

Doch damit nicht genug: "Unternehmen sollten am Eingang zu ihren Unternehmensnetzen auch Inhaltefilter einsetzen," fordert Ian Williams. Content Filter sind teilweise in Firewall-Produkten integriert. Ihre Aufgabe ist es, die Inhalte einzelner Datenpakete zu analysieren und zu entscheiden, ob der Adressat ein solches Paket überhaupt empfangen darf. "Der normale Benutzer, der mit Word oder Excel arbeitet, braucht Visual Basic überhaupt nicht, mit dem beispielsweise der I-Love-You-Virus geschrieben worden ist", so Williams. Es müssten also Filter eingerichtet werden, die den Zugriff auf diese Dateien verhindern.

Das geht jedoch bislang an der Realität der Produkte, aber auch der Unternehmen vorbei. In den wenigsten Unternehmen existieren solche elaborierten Verzeichnisdienste, die ein entsprechendes Feintuning bei der Weiterleitung von Dateien erlauben würden. Und auch der Zugriff von Firewalls auf zentrale Verzeichnisdienste ist bislang nicht immer gewährleistet, da viele Firewalls das dazu notwendige Abfrageprotokoll nicht verstehen. Ein weiterer Nachteil: Die Firewall wird durch die Zusatzarbeit zum Flaschenhals, der den Zugriff auf die Netze verlangsamt.

Und dazu kommt ein weiteres Problem: Die größte Gefahr, einen Datenverlust zu erleiden, geht nach wie vor nicht von externen Einbrechern, sondern von internen Mitarbeitern aus, die durch Unachtsamkeit oder Frustration Schäden verursachen. "Wenn wir mit Netzadministratoren diskutieren, kommen zwei Drittel der Attacken von den eigenen Mitarbeitern", so vom Stein. Bei vielen sei noch nicht einmal böser Wille am Werk, "ihnen ist nicht klar, dass sie durch ihr Verhalten eine zentrale Infrastruktur des Unternehmens lahmlegen" so Sicherheitsepxerte vom Stein. Es müsse daher erheblich mehr für die Schulung in Sachen Sicherheit getan werden und "klare Dienstanweisungen zu Verhaltensregeln und Prozessen geben", fordert er.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%