Die Sicherheit von Computernetzen

Bausteine des Sicherheitssystems

Sicherheitsrisiko Outsourcing

Viele Firmen haben ihre Netzwerk-Administration outgesourcet, sprich an einen externen Dienstleister ausgelagert. Das gilt als die preisgültigere Lösung im Vergleich zur Bewältigung der Aufgabe mit eigenem Personal. Man darf sich fragen, warum der externe Dienstleister die Lösung preisgünstiger anbieten kann. Vermutlich in vielen Fällen, weil er weniger qualifiziertes Personal, auf jeden Fall aber schlechter bezahltes Personal einsetzt. Da kann es schon einmal passieren, dass der system administrator durch einen temp, einen zeitlich befristet beschäftigten Mitarbeiter, vertreten werden muss. Und bei der allgemein verbreiteten Unsitte, dass die Berechtigung für den super user in keiner Weise eingeschränkt ist, kommt dieser Vertreter dann an alle Dateien heran - ein Szenario leider nicht nur für Kriminalfilme, sondern allzu of t auch für betriebliche Realität. Über die Sicherheit des Systems muss man sich dann keine Sorgen mehr machen - sie ist dahin.

Gleich vorweg: Die Sicherheit des Computer-Netzwerks eines Unternehmens ist kein Thema, das ausschließlich technisch gelöst werden kann. Jedes Sicherheitssystem ist leider nur so gut wie sein schlechtestes Teil. Dafür wird von den Verantwortlichen gern das berühmt-berüchtigte menschliche Versagen als Erklärung herbei bemüht. Doch oft sind es strukturelle Schwachstellen, die für den mangelhaften Schutz verantwortlich zu machen sind (siehe Sicherheitsrisiko Outsourcing).

Da viele der technisch einsetzbaren Komponenten mit der Überwachung des Datenverkehrs im Netzwerk zu tun haben - und damit auch mit der Überwachung von Aktionen der Benutzer - unterliegt das Thema der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, mit der Folge, dass eine Betriebsvereinbarung abzuschließen ist, wenn der Betriebsrat darauf besteht.

Wenden wir uns nun zunächst der technischen Seite des Themas zu. Hier steht ein breit gefächerter Instrumentenkasten zur Verfügung, er reicht von der Firewall bis zur Intrusion Prevention.

Firewalls

Die allerserste Schutzschicht ist die Firewall. Sie ist an den Verbindungsstellen des internen Firmennetzes, des Intranet mit der Außerwelt, also dem Internet angebracht und soll alles abblocken, was nicht ins interne Netz hinein gehört. Dazu wird der durch die Firewall geleitete Datenstrom Bit für Bit geprüft, ob verdächtige Muster vorkommen, wie sie von Hacker-Angriffen oder von anderen Zugriffsversuchen auf interne Quellen bekannt sind, die für die Außerwelt nicht verfügbar sein sollen. Natürlich nützt eine solche Technik nur dann, wenn das Firmennetz keine anderen Einschlupflöcher bietet, z.B. Modem-Verbindungen zum Internet oder über stick pins eingeschleppte malware.

Schutz des internen Netzes gegenüber der Außenwelt

Virenschutz

Ähnlich arbeiten die Virenscanner. Sie sollen das Netzwerk vor Schädlingen aller Art, den Computerviren schützen. Man kann sie an zentraler Stelle mit der Firewall kombinieren. Dies ist aber nicht ausreichend, da fast jeder Computer im Netz, vor allem aber die immer zahlreicheren Laptops, über Eingangsschnittstellen verfügen. Früher waren das die Diskettenlaufwerke, heute sind es CD-, DVD-Laufwerke, Stickpins und auch der Internet-Zugang mit der Möglichkeit des Downloads, d.h. externe Dateien direkt auf die lokale Festplatte (oder eine andere Stelle im Firmennetz) zu laden. Virenschutz ist also überall dort anzubringen, wo eine Speicherung von externen Quellen auf eine Stelle innerhalb des Netzes stattfinden kann. Die Arbeit dieser Scanner lässt sich vollautomatisieren, so dass sie in einer Form abläuft, die der Benutzer nicht mehr beeinflussen kann (Oft beklagen sich die Benutzer allerdings über die zu lange Zeit, die ihnen durch die Virenscanner gestohlen wird, die natürlich immer dann aktiv werden, wenn man es besonders eilig hat). In vielen Firmen sind die Virenscanner so eingestellt, dass sie ihre Tätigkeit als eine der ersten nach jedem Hochfahren des Computers verrichten.

Virenscanner arbeiten wie die Firewall nach dem Prinzip der Mustererkennung. Die Herstellerfirmen solcher Schutzsoftware liefern sog. Signaturen, in denen für Viren charkteristische Bitmuster gespeichert werden. Jeder vernünftige Scanner checkt den zu überprüfenden Datenbestand auf mehrere Tausend solcher Signaturen, die natürlich immer auf dem aktuellen Stand gehalten werden müssen. Computerviren sind leider nicht mit biologischen Viren vergleichbar - es gibt keine Breitband-Heilmittel, sondern jedes Virus braucht seine eigene Anti-Medizin. Deshalb findet oft ein regelrechter Wettlauf zwischen Hackern und Herstellern der Schutz-Software statt. Die Hacker haben ihr Erfolgserlebnis immer dann, wenn sie ein Zeitfenster ausnutzen und viele Rechner infizieren können, bevor die neue Schutzsoftware zur Verfügung steht. Deshalb müssen die Virenscanner immer auf dem aktuellen Stand sein, und auch dann ist ihr Schutz nicht hundertprozentig.

Die mit Abstand meisten Viren werden über Anhänge in der E-Mail übertragen. Öffnet der Benutzer einen solchen Anhang, dann nimmt das Unheil seinen Lauf. Da eine Menge von Servern im Internet als Virenschleudern bekannt sind (dabei handelt es sich keineswegs nur um Standorte in Nordkorea oder China), versucht man, den Kontakt zu solchen Stellen gleich mit Firewall-Strategien zu verhindern, was meist aber nur funktioniert, wenn sich der Benutzer innerhalb des Firmennetzes bewegt.

Filter

Damit sind wir bei der Aufgabe der Spamfilter. Unter Spam versteht man Computermüll jedweder Art , vor allem aber ungewünschte Werbung. Die gängigen Systeme verbinden unterschiedliche Strategien miteinander. Erster Schritt ist oft ein Black-List-Verfahren. Darunter ist eine Liste zu verstehen, in der für ihre Spamschleuder-Eigenschaft bekannte Server verzeichnet sind. Die Werkzeuge sorgen dafür, dass Mail von solchen Quellen vom Filter ausgesiebt wird.

In einer weiteren Strategie wird das von den Virenscannern bereits bekannte Prinzip der Signaturen verwendet. Diese bezieht man als einen regelmäßig, am besten online aktualisierten Dienst. Die Hersteller bieten hier an, dass man Mail nach bestimmten inhaltlichen Kriterien aussortieren kann, z.B. keine Pornographie, keine politisch radikalen Inhalte, keine Sportnachrichten oder was auch sonst man sich aus dem umfangreichen Katalog des Anbieters ausgewählt hat. Der Inhalt einer Mail kann dann auf jeweils charakteristische Schlüsselwörter durchsucht und im Trefferfall aussortiert werden. Alles dies geschieht noch vollständig anonym, d.h. die Technik erledigt die Aufgabe, ohne dass ein Mensch einen Blick auf die aussortierten Texte zu werfen braucht. Trotzdem handelt es sich hier um ein Problem, das schnell zur Zensur werden kann.

Schließlich gibt es als dritte Abwehrstrategie die der lernenden Systeme. Nach diesem Konzept trainiert man die Software, d.h. man bringt ihr in aufeinender folgenden Einzelfällen bei, was sie für Spam zu halten hat. Die Software bemüht sich dann, die in solchen Mails erkennbaren Muster auf andere Mails ebenfalls anzuwenden.

Ein White-List-Verfahren erlaubt es, Ausnahmen zu vereinbaren. Die Nachrichten einer in einer solchen White List verzeichneten Quelle werden dann - mit Ausnahmen des Falls entdeckter Viren - in jedem Fall durchgelassen.

Das Filter-Verfahren wird in den meisten Unternehmen zentral durchgeführt. Eine etwas anspruchsvollere Software erlaubt ein zweistufiges Verfahren, d.h. neben der zentralen Filtereinstellung kann jeder Benutzer noch seine eigenen idividuellen Einstellungen vornehmen. In diesem Fall können die zentralen Filter weniger streng eingestellt werden; die Feinjustierung kann dann auf individueller Ebene erfolgen und den jeweiligen Bedürfnissen besser angepasst werden.

Schließlich gibt es noch verschiedene Formen, wie mit der ausgefilterten Mail umgegangen wird. Ein zentrale Einstellung kann dafür sorgen, dass alles, was als Spam erkannt wird, sofort vernichtet wird, ohne dass die Benutzer etwas davon mitbekommen, ein Verfahren mit hohem Risiko, denn auch fälschlich als Spam erkannte Nachrichten können verloren gehen. Das andere Extrem besteht darin, jedem Benutzer die Spam-Mails zwar zuzustellen, sie aber als Spam zu kennzeichnen. Die Benutzer müssen dann selber sehen, wie sie damit umgehen. Noch umständlicher ist ein Verfahren, dem zu Folge alle Spams in einem zentralen Ordner gesammelt werden und die Benutzer per Mail über zugegangene Spams benachrichtigt werden. Vernünftiger aber sind Verfahren, bei denen für jeden Benutzer ein individueller Spam-Ordner angelegt wird, dessen Inhalte nach einer bestimmten Zeit (z.B. nach einer Woche) automatisch gelöscht werden.

Dieselben Techniken, mit denen man sich gegen unliebsame Mail wehren will, kann man in Form von Internet-Filtern auch auf den Zugang zum Internet anwenden.

Intrusion Detection

Alle bisher genannten Techniken funktionieren mehr oder weniger gut an den Nahtstellen des internen Firmennetzes zur Außenwelt. Was aber, wenn die Bösewichte innerhalb des Netes sitzen? Dafür haben wir die Intrusion Detection oder Intrusion Prevention-Systeme. Natürlich taugen sie auch, um Angriffe von außen zu entdecken und abzuwehren, z.B. solche, die von der Firewall nicht bemerkt wurden.

Diese Systeme arbeiten ebenfalls mit Signaturen, die kritische und typische Angriffsmuster beschreiben. Auch hier ist es möglich, die Netzwerkkontrolle weit über die Sicherheitsprobleme hinaus auszudehnen und den Inhalt der durch das Firmennetz wandernden Datenpakete zu kontrollieren.

Im Leistungsumfang solcher Softwarepakete sind noch weitere Funktionen enthalten. So kann man mit honey pots Schwachstellen im Netz vortäuschen, die dann die Aktivitäten von Hackern oder sonstiger Eindringlinge auf sich ziehen. Am beleibtesten ist es hier, einen ungeschützten Windows-Rechner zu simulieren, auf den sich jeder Hacker dann vermutlich mit Freuden stürzt (sofern das die von ihm verwendeten Programme nicht automatisch tun). Dann kann man versuchsweise den Datenstrom zurück verfolgen und mit etwas Glück die Unheilsquelle ausfindig machen.

Ein zu beachtendes Leistungsmerkmal ist das Eskalationsmanagement. Mit seiner Hilfe kann man das jeweilige System veranlassen, beim Eintreten bestimmter Ereignisse einen Alarm auszulösen. Solche Ereignisse können z.B. sein, wenn festgestellt wird, dass jemand binnen kurzer Zeit immer wieder auf einen bestimmten Port zugreifen will oder eine Internetseite aufzurufen versucht wird, die für die Bereitstellung von Hacker-Werkzeugen bekannt ist.

Weitere Werkzeuge

Es gibt noch eine Vielzahl von weiteren nützlichen Hilfsmitteln, wenn es um die Sicherheit des Firmennetzes geht. Sie alle aufzuzählen, würde den Rahmen dieser kurzen Übersicht sprengen. Eines aber soll trotzdem erwähnt werden,eines das aufräumt mit der viel verbreiteten Ansicht, der oberste System Manager mit seiner super user-Berechtigung darf alles und kommt überall hin (z.B. die Software InTrust). Man kann die Rechte der Administratoren sehr wohl so einschränken, dass sie nicht den Inhalt jeder Datei sehen können, sondern nur ein Privileg erhalten, sich im Bedarfsfall ein entsprechendes Recht zu geben und es sich nach getaner Arbeit dann auch wieder wegzunehmen - wobei diese Vorgänge zwecks späterer Überprüfbarkeit elektronisch zwangsprotokolliert werden.

Viele weitere Schritte sind erforderlich, wenn man sich mit der gebotenen Sorgfalt um das Thema Netzwerksicherheit kümmert. Ganz wichtig ist es, dass eine Firma darauf achtet, weitgehende Berechtigungen, wie sie z.B. innerhalb eines Projektes vergeben werden, auch wieder wegzunehmen, wenn das Projekt beendet ist. Eine Übersicht über eine Reihe von unterschiedlichen Maßnahmen finden Sie in dem Dokument IT-Security-Policy hier auf unserer Internet-Seite.

Betriebsvereinbarung als Regelungsinstrument

Einem Betriebsrat kann es natürlich egal sein, was das Unternehmen zum Thema security unternimmt, nach dem Motto: Hauptsache die Jungs tun ihre Arbeit. Dabei kann es jodoch zu einer Art Kollateralschäden kommen, weil sich halt die Überwachung der Vorkommnisse im Firmennetz nicht von einer Überwachung des Benutzerverhaltens unterscheiden lässt. Am einfachsten ist es noch mit der Firewall: sie kontrolliert nur Dinge, die von außen kommen, unproblematisch, wenn man einmal davon abieht, dass "von außen" auch ein Mitarbeiter der Firma mit seinem Notebook-Rechner kommen kann.

Eine Betriebsvereinbarung allerdings ist eine gute Chance, sowohl für Transparenz bezüglich des Themas Netzwerksicherheit zu sorgen als auch die Verhaltensregeln klarzulegen, ohne die jede Technik Schall und Rauch ist. Wenn z.B. jeder in der Firma weiß und auch beherzigt, dass man einer Aufforderung in einer unbekannten Internet-Seite oder Mail, ein bestimmtes Objekt auf seinen Rechner zu laden, niemals Folge leisten soll, ist schon viel gewonnen.

Eine Betriebsvereinbarung zu dem Thema sollte klar stellen,

In Grenzfällen ist es manchmal schwierig, über jeden Zweifel erhaben zu trennen, was die Systemsicherheit berührt und was darüber hinaus gehende Verhaltenskontrolle ist. Deshalb sollte unbedingt ein Schlichtungsverfahren vereinbart werden, wie man in Konfliktfällen mit dem Thema umgehen will. Dabei hat sich eine Beteiligung der Betriebsräte bisher ausgesprochen bewährt.

Karl Schmitz, September 2009