Netzwerksicherheit

In der Praxis hapert es noch

Um die technische Machbarkeit des Datenschutzes in Netzwerken steht es eigentlich gut bestellt. Doch an der praktischen Realisation von dringend nötigen Schutzmaßnahmen mangelt es nach wie vor.

Netzwerke in der kommerziellen Datenverarbeitung sind heute unentbehrlich zum Realisieren von "Information At Your Fingertips". Mit der Dezentralisierung von Unternehmen und ihrer EDV-Systeme sowie deren unaufhaltsamer Vernetzung erhöhen sich sowohl die menschlichen und technischen Risiken und Gefahren für die unternehmenseigenen Datenbestände. Diese Gefahren können vielfältige Erscheinungsformen annehmen, beim einfachen Bedienungsfehler angefangen, über Hard- und Software-Defekte sowie Software-Anomalien wie Computerviren und Trojanische Pferde bis hin in die Computerkriminalität wie z.B. Copyright-Verletzungen, Datenspionage und Datenmanipulation.

Gerade in Amerika werden zur Zeit die eventuellen wirtschaftlichen Auswirkungen eines "Information Warfare" auf ein Unternehmen und auf eine Volkswirtschaft äußerst kritisch analysiert. Hier hat man erkannt, daß ein Bestehen im internationalen Wettbewerb eine hohe Netzwerksicherheit zwingend voraussetzt. Trotzdem gibt es im Moment noch kaum aussagekräftige Daten und Statistiken über die auftretenden Risiken im Bereich von Netzwerken, da wahrscheinlich gerade einmal 3-5% aller Vorfälle in Unternehmen überhaupt entdeckt werden. Aus diesem Grund sollte eigentlich jedes Unternehmen ein vitales Interesse am Schutz ihres Computernetzwerkes und damit ihrer Datenbestände haben.

Problemstellungen

Das Hauptproblem dürfte wohl in der Tatsache bestehen, daß bereits während der Netzwerkplanung kaum Sicherheitsmaßnahmen vorgesehen sind. Es kann davon ausgegangen werden, daß über 90% der Netzwerke in Unternehmen keinen ausreichenden Schutz für wichtige Daten bieten. Auch wenn ein Großteil der bestehenden Netzwerke mehr durch Zufall als durch Planung entstanden ist, muß auch gesagt werden, daß ein kompetenter Ansprechpartner für Netzwerke nicht auch automatisch ein kompetenter Ansprechpartner für Netzwerksicherheit ist. Selbst bei größeren Systemhäusern wird die Netzwerksicherheit bereits in der Planungsstufe vernachlässigt. Hier wird erst reagiert, wenn der Kunde entsprechende Wünsche äußert. Dabei wird auf eine Sicherheitsimplementierung während des laufenden Betriebs gesetzt, was die Kosten der Implementierung für den Kunden unnötig erhöht. Die hier vergebenen Chancen auf Umsatzsteigerung einhergehend mit mehr Sicherheit sowie Kostensenkung auf Kundenseite sind enorm. So entfallen gerade einmal 1,3% des Umsatzes von Systemhäusern auf Netzwerksicherheit bei einem geschätzten Marktbedarf von 7-10%.

Abb. 1
Abb. 1 - Geschätzte Kostenverteilung in Netzwerken.

Alleine bei diesen Marktchancen sollte Sicherheit künftig serienmäßiger Bestandteil von Netzwerken sein und nicht ein lästiges Übel.

Mittel zum Zweck

So unterschiedlich wie die individuellen Schutzbedürfnisse der einzelnen Unternehmen sind, so unterschiedlich sind auch die angebotenen Sicherheitslösungen. Das Arbeiten im Verbund mit allen Abteilungen eines Unternehmens erfordert eine wirksame Kontrolle und Autorisierung des Zugriffs auf die Daten.

Die wohl am weitesten verbreitete Lösung dürfte die Anwenderidentifikation sein. Hierbei muß der Anwender bei dem Versuch sich in das Netzwerk einzuloggen sowohl seinen Namen als auch sein Paßwort angeben. Diese alleinige Lösung ist heute nicht mehr geeignet, entsprechenden Schutz zu bieten. Vielmehr bedarf es der Einführung von verschiedenen, in Layern gestaffelten Schutzmaßnahmen, um hier eine ausreichende Sicherheit zu gewährleisten.

Die offensichtlichste Maßnahme zur Netzwerksicherheit ist die Zugriffskontrolle. Hier wird festgelegt, wer Zugriff auf das Netzwerk erhält und welche Daten er lesen bzw. bearbeiten darf. Bestandteil einer Zugriffskontrolle ist der Paßwortschutz. Zusammen mit der Einführung eines Paßwortschutzes müssen unternehmensweit feste Passwortregeln sowie ein zentrales Paßwortmanagement eingeführt werden. Ein fester Bestandteil des Paßwortmanagements sollte unbedingt eine Software sein, die zufällige Paßwörter generieren kann. Ein solcher Paßwortgenerator ist in der Regel nicht in die Zugriffskontrollsoftware integriert, sondern muß extra beschafft werden.

Mit der Zugriffskontrolle muß auch eine Vergabe von Rechten für den Anwender erfolgen. Mit diesen Rechten wird definiert, welche Aktionen der Anwender ausführen darf und auf welche Daten er Zugriff erhält. Hiermit wird auch geregelt, ob der Anwender Software auf dem Netzwerk oder einem einzelnen Computer installieren darf. Im Hinblick auf das Urheberrecht ist diese Funktion von elementarer Wichtigkeit.

Zur weiteren Absicherung wird in vielen Unternehmen das Prinzip von "Besitz und Wissen" durchgeführt. Dabei wird durch unterstützende Hardware-Maßnahmen auch der Besitz einer Chipkarte oder eines ID-Token vorausgesetzt. Weder der alleinige Besitz des ID-Tokens noch das alleinige Wissen eines Paßwortes reichen damit aus, um Zugriffsrechte auf das Netzwerk und dessen Resourcen zu erhalten.

Das in Zukunft wohl wichtigste und auch umstrittenste Thema dürfte die Verschlüsselung sein. Obwohl in vielen Ländern bereits eine hitzige Diskussion über Einschränkungen oder gar Verbote von Verschlüsselungstechnologie geführt werden, ist hier der Nachholbedarf in Unternehmen am größten. In diesem Marktsegment dürften wohl die größten Umsatzsteigerungen sowohl für Hersteller als auch für Distributoren möglich sein.

Der erste Aspekt hierbei wäre die Verschlüsselung der gespeicherten Daten. Damit würde sichergestellt, daß trotz unbefugtem Zugriff auf das Netzwerk die Daten ohne den entsprechenden Schlüssel nicht gelesen oder manipuliert werden können.

Ein weitaus wichtigerer Faktor wird in absehbarer Zeit die Online-Verschlüsselung von Daten sein, die durch Netzwerke transportiert werden. Damit kann verhindert werden, daß Daten in unbefugte Hände fallen, wenn mit technischen Mitteln das Netzwerk "abgehört" wird, sprich, die gesendeten Daten abgefangen werden. In diesem Marktbereich ist seit einiger Zeit eine ständig steigende Nachfrage nach qualitativ hochwertigen Lösungen zu verzeichnen. Besondere Chancen bieten sich hier auch durch die amerikanische Gesetzgebung, die den Export von hochwertiger Verschlüsselungstechnologie verbietet. Obwohl die amerikanische Software-Industrie weltweit einen dominierenden Faktor darstellt, ist es damit praktisch keinem amerikanischen Unternehmen möglich, im internationalen Wettbewerb eine Rolle zu spielen.

Internet Firewalls sind zur Zeit durch die Popularität des Internets in aller Munde. Zwar soll eine solche Einrichtung die Übergangsstelle vom Unternehmensnetzwerk in das Internet besonders absichern, doch ist diese Maßnahme hervorragend geeignet, unternehmensinterne Netzwerksegmente gegeneinander abzusichern. Hält man sich vor Augen, daß über 80% der Manipulationsversuche in Netzwerken von innerhalb des Unternehmens durchgeführt werden, so ist eine solche Sicherungsmaßnahme ab einer bestimmten Netzwerkgröße unerläßlich. Auch hier wurde in der Vergangenheit wenig getan. So dürften gerade einmal 9-13% aller in Frage kommenden Unternehmen über einen solchen Schutz verfügen.

Unumgänglich im Bereich der Netzwersicherheit ist der Schutz vor Computerviren. Hier ist das Angebot der Hersteller relativ groß und unübersichtlich. Hierbei handelt es sich auch mit um den einzigen Bereich, der bereits bei der Netzwerkplanung mitunter berücksichtigt wird. Trotz der Unübersichtlichkeit des Marktes sind doch nur wenige wirklich gute Produkte erhältlich wie unabhängige Produkt-Tests immer wieder zeigen. Hier ist deshalb eine gewisse Vorsicht und eine entsprechende Produktrecherche im Vorfeld der Implementierung geboten.

Zusammen mit eingeführten Maßnahmen zur Datensicherheit ergibt sich ein gewisser Wartungsaufwand, um die Netzwerksicherheit zu jedem Zeitpunkt gewährleisten zu können. Hier bietet sich eine vortreffliche Chance für Dienstleister und Outsourcing-Unternehmen. Vor allen Dingen im Bereich EDV-Revision wurde in vielen Unternehmen erkannt, daß in diesem Bereich der Einsatz von unabhängigen Fachleuten von außerhalb des Unternehmens zu größerem Erfolg und damit zu mehr Sicherheit führt. So spielt heute die EDV-Revision gerade bei der rechtlichen Absicherung der Unternehmensführung eine wichtige Rolle, die im Laufe der Zeit noch größer wird. Hier sei nur an die Copyright-Gesetzgebung erinnert, die das Management eines Unternehmens dafür haftbar macht, wenn auf der EDV-Anlage Raubkopien gefunden werden. Unabhängig davon, wer diese Raubkopie installiert hat.

Ebenfalls in den weiten Bereich der EDV-Revision gehört die Ereignis-Protokollierung. Hier werden alle wichtigen und verdächtigen Ereignisse aufgezeichnet. Bei einer späteren Auswertung können so einfach Fehlerquellen gefunden werden oder auch Unregelmäßigkeiten und verdächtige Aktionen beweiskräftig gesichert und ausgewertet werden. Die statistische Auswertung von Langzeitprotokollen kann Auskunft über die Auslastung des Netzwerkes geben und wo eventuell noch Resourcen brach liegen oder wo noch Möglichkeiten zur Optimierung vorhanden sind.

Der Markt

Der Markt der Netzwerksicherheit kann heute grob in zwei Bereiche aufgeteilt werden. Die Produktdistribution einhergehend mit fachlich kompetenter Beratung und Installation sowie die Dienstleistung im Bereich EDV-Revision und unterstützende Wartung der Netzwerksicherheitsmaßnahmen. Obwohl der Outsourcing-Boom der frühen 90er ausläuft, sind hier noch echte Möglichkeiten wahrzunehmen. So übertragen immer mehr mittelständige und größere Unternehmen die Netzwerksicherheitsmaßnahmen auf qualifizierte Outsourcing-Gesellschaften.

Die Praxis zeigt, daß die überwiegende Mehrheit der Unternehmen mit absolut unzureichenden Maßnahmen ihr Netzwerk abgesichert hat und diesen Zustand in den nächsten 5 Jahren beheben will. Dies ist auch an den steigenden Investitionen im Bereich der Netzwerksicherheit deutlich spürbar. Es ist also bis zur Jahrtausendwende mit entsprechend großen Investitionsanstrengungen zu rechnen, um hier international Wettbewerbsfähig zu bleiben.

Interview mit Niels-Jørgen Bjergstrøm,
Geschäftsführer von Computer Security Engineers, Den Haag

ECS: "Herr Bjergstrøm, wo sehen Sie die Hauptprobleme im Bereich der Netzwerksicherheit?"

NJB: "Die Probleme im Bereich der Netzwerksicherheit sind in der Praxis sehr umfangreich. Es kann auf diese Frage keine pauschale Antwort gegeben werden. Mit zu den Hauptproblemen dürfte allerdings die Tatsache zählen, daß sowohl bei der Planung als auch bei dem Aufbau vom Netzwerk die Sicherheit nur sehr geringe Beachtung erfährt."

ECS: "Wo sehen Sie die Vorteile einer vernünftigen Netzwerkplanung mit Berücksichtigung von entsprechenden Sicherheitsmaßnahmen?"

NJB: "Es wird erheblich an Zeit und Geld bei dem Aufbau des Netzwerkes eingespart. In der Planungsstufe kann ein Netzwerk und seine Sicherheitsmaßnahmen so ausgelegt werden, daß es voll den Anforderungen und Bedürfnissen des Kunden gerecht wird."

ECS: "Sie sehen also Probleme bei der nachträglichen Implementierung von Datensicherheitsmaßnahmen in ein bestehendes Netzwerk?"

NJB: "Die Schwierigkeit bei nachträglicher Implementierung von Netzwerksicherheit ist durch die Tatsache gegeben, daß entweder die Sicherheitsmaßnahmen auf das Netzwerk angepaßt werden müssen, was oftmals zu Sicherheitseinbußen führt oder aber man paßt das Netzwerk an die Sicherheitsmaßnahmen an, was eine mitunter zeitaufwendige Neukonfiguration und damit den kurzzeitigen Ausfall des Netzwerkes bedeutet. Egal wie man die Sache betrachtet, es kostet unnötig Geld, welches man im Vorfeld bereits hätte einsparen können.

Weitaus wichtiger ist die Tatsache, das es in einem ungesicherten Netzwerk unmöglich ist Risiken zu bestimmen oder zu kontrollieren. So weiß man beim Betrieb eines ungesicherten Netzwerkes nicht ob vertrauliche Produktions- oder Kundendateien systematisch aus dem Netzwerk kopiert werden. Hierbei ist es dann egal ob es sich um einen Hackerangriff von außerhalb des Netzwerkes handelt oder um eine Person die von innerhalb der Firma Dateien kopiert und auf Datenträgern aus dem Unternehmen schmuggelt.

Die Implementierung von Sicherheitsmaßnahmen läßt immer noch irgendwelche Risiken offen deren Beseitigung nicht Kosteneffektiv ist. Aber gerade hier ist es Pflicht, daß das Top Management diese Risiken kennt und billigt. Der Betrieb eines nicht gesicherten Netzwerkes bedeutet, daß das Restrisiko 100% des Wertes der auf dem Netzwerk gespeicherten Informationen beträgt. Ich glaube nicht, das so mancher Anteilseigner eines Unternehmens einen solchen Zustand möchte."

ECS: "Sie sprechen hier von Netzwerken in der Planung, wie sieht es aber mit bereits bestehenden Netzwerken aus?"

NJB: "Viele der bereits bestehenden Netzwerke sind über die Jahre kontinuierlich gewachsen, d.h. sie wurden nicht geplant, sondern irgendwann einmal wurden einige Rechner vernetzt und an dieses Netz wurden dann mit der Zeit immer mehr Computer angeschlossen. Gerade bei solchen gewachsenen Netzwerken wurde nie an Netzwerksicherheit gedacht. Hier ist es ratsam, sofort entsprechende Schutz- und Sicherheitsmaßnahmen zu treffen, da gerade in diesen Netzen die größten Sicherheitslücken vorhanden sind. Es ist eine Tatsache, das in wild gewachsenen Netzwerken das Top Management meistens nicht weiß, welche Informationen eigentlich vorhanden sind. So können Daten vorhanden sein um ein Bestseller-Produkt oder Service herzustellen, der das Unternehmen erfolgreich bis in das nächste Jahrhundert bringt, nur keiner weiß etwas von den Daten da die Person die sie gespeichert hat das Unternehmen verlassen hat. Dieser Fall soll die Wichtigkeit der Definition von "Ownership Of Information" illustrieren. Denn zusammen mit dieser Definition muß auch gewährleistet sein dieses zu Überwachen und zu Administrieren."

ECS: "Wie sieht es mit den Sicherheitsfunktionen aus, die bereits in Netzwerksoftware integriert ist?"

NJB: "Diese Schutzmaßnahmen sind vielleicht noch tauglich für kleine und überschaubare Local Area Networks eine gewisse Protektion zu gewährleisten. In den meisten Fällen jedoch sind sie nicht mehr in der Lage einen vernünftigen Schutz zu bieten, da große LANs viele Angriffsmöglichkeiten von innen und außen bieten, die mit einem Paßwortschutz nicht mehr zu eliminieren sind. Hier sind wirksamere Konzepte und Methoden gefragt."