In About Security #2 wurden einige Angriffsszenarien auf IT-Systeme gezeigt. In dieser Folge werden mögliche Gegenmaßnahmen gegen diese Angriffe beschrieben.
Während man direkten Angriffen mit technischen Maßnahmen begegnen kann, hilft gegen indirekte Angriffe über den "Umweg" Mensch nur eine Kombination aus technischen und organisatorischen Maßnahmen. Zuerst sollen deshalb die technischen Maßnahmen betrachtet werden. Dabei gibt es zwei Ansatzpunkte: Zum einen gilt es, ein Eindringen in das IT-System zu verhindern. Zum anderen muss der mögliche Schaden eines erfolgreichen Eindringens minimiert werden.
N E U ! Security
aktuell
Täglich aktuelle Security-Infos!
Ist ein Schadprogramm erst einmal auf einem Rechner installiert, ist es schwierig, sich vor den Folgen zu schützen. Betrachten wir zuerst die Vertraulichkeit: Bei Netzwerkverbindungen von innen nach außen ist es für eine Firewall fast unmöglich, unerwünschte und erwünschte Verbindungen sicher zu unterscheiden. Eine Personal Firewall könnte dies theoretisch leisten, da ihr der Verursacher der Verbindung bekannt ist. Praktisch ist diese Funktion jedoch nutzlos, da das Schadprogramm sich beliebig tarnen und die Personal Firewall beliebig manipulieren kann. Als Schutz der Vertraulichkeit bleibt also nur noch, vertrauliche Daten zu verschlüsseln. Sendet das Schadprogramm diese Daten an den Angreifer, kann der sie bei einer ausreichend starken Verschlüsselung nicht entschlüsseln. Das Schadprogramm läuft jedoch auf dem gleichen Rechner wie die Anwendungsprogramme, mit denen die Daten verarbeitet werden. Daher kann es einfach abwarten, bis eine Anwendung die Daten entschlüsselt und dann die entschlüsselten Daten an den Angreifer senden. Oder es sucht in unverschlüsselten Temporärdateien oder im virtuellen Speicher nach den gewünschten Daten. Dies lässt sich verhindern, indem diese Daten ebenfalls verschlüsselt werden. Zum Schutz der Integrität kann man Prüfsummen oder digitale Signaturen einsetzen. Aber auch hierbei hat man das Problem, dass das Schadprogramm auf dem gleichen Rechner installiert ist wie die Anwendungsprogramme. Noch schwieriger wird der Schutz der Verfügbarkeit, da ein brutales Löschen oder Überschreiben der relevanten Daten für einen erfolgreichen Angriff ausreicht.
Das Netzwerk absichern
Es ist also unerlässlich, ein Eindringen zu verhindern. Zuerst müssen dazu alle möglichen Angriffspunkte ermittelt werden. Danach sind diese soweit möglich zu beseitigen. Ist eine Beseitigung nicht möglich, müssen sie so gut wie möglich geschützt werden. Betrachten wir das Unternehmen aus About Security #2. Die möglichen Angriffspunkte wurden ja schon genannt, jetzt gilt es, sie zu beseitigen oder zu schützen.
Der Internetanschluss, noch dazu mit fester IP-Adresse und einem angebotenen Dienst, lädt geradezu zum Eindringen ein. Daher ist zuerst zu prüfen, ob der angebotene Dienst nötig ist. Ein Webserver muss meist nicht direkt in das Unternehmensnetzwerk eingebunden sein. Daher ist zu prüfen, ob der Webserver nicht besser bei einem Hosting-Provider untergebracht wird.
Ist eine Auslagerung nicht möglich, muss der Server geschützt werden. Dazu verwendet man z.B. Firewalls und Intrusion-Detection-Systeme. Server, die Dienste nur nach außen anbieten, sollten gar nicht mit dem internen Netzwerk verbunden sein. Server, die Dienste nach innen und außen anbieten, werden in einer DMZ (Demilitarized Zone, entmilitarisierte Zone) positioniert. Diese ist durch eine Firewall vom internen Netzwerk abgeschottet und durch eine weitere Firewall gegen Angriffe aus dem Internet geschützt. Gelingt einem Angreifer das Eindringen in einen Server in der DMZ, gelangt er von dort aus nicht sofort auch in das interne Netzwerk.
Wurden Angriffe über den Internetanschluss so gut wie möglich ausgeschlossen, bleibt als weiterer möglicher Angriffspunkt das Einschleusen von Schadprogrammen. Diese können, wie letzte Woche erwähnt, per E-Mail in das Unternehmen gelangen, aber auch ein zugespielter USB-Stick oder eine zugesandte CD sind, evtl. kombiniert mit etwas Social Engineering, ein möglicher Weg. Schutzsysteme, z.B. Virenscanner, können das Einschleusen bekannter sowie eingeschränkt auch unbekannter Schadprogramme per E-Mail verhindern. Die Installation aller verfügbaren Patches für bekannte Schwachstellen im Betriebssystem und den installierten Programmen verhindert eine Ausnutzung dieser Schwachstellen. Dazu kommen organisatorische Maßnahmen: Die Mitarbeiter dürfen weder gefährliche Programme ausführen noch verdächtige Dateien öffnen.
Wie man leicht sehen kann, ist eine vollständige Sicherheit nicht zu erreichen. Besser ist es daher, einen wichtigen Grundsatz zu befolgen: Sensible Daten gehören nicht auf Rechner, die mit dem Internet verbunden sind. Es gibt sicher Fälle, in denen ein Zugriff von außen notwendig ist. Dann müssen jedoch besondere Sicherheitsmaßnahmen ergriffen werden. Außerdem sollten die Daten auf das Mindestmaß beschränkt werden.
Nachdem Sie in dieser Folge erste Gegenmaßnahmen gegen Angriffe auf IT-Systeme kennen gelernt haben, geht es in der nächsten Folge um den physikalischen Schutz der Systeme sowie weitere organisatorische Maßnahmen.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
About Security – Übersicht zum aktuellen Thema "Einführung":
- About Security #1: IT-Sicherheit – Was ist das eigentlich?
- About Security #2: Angriffsszenarien
- About Security #3: Eindringlinge abwehren
- About Security #4: Gefährdung aus der Peripherie
Kommentare