Von: Dr. Johannes Wiele
Eine ganze Reihe herkömmlicher Sicherheitsprodukte arbeitet nach dem Filterprinzip. Firewalls überprüfen unter anderem, ob Datenpakete im Netz erlaubte Ziele auf erlaubten Wegen ansteuern, und Virenschutz-Programme suchen nach den bekannten Zeichenfolgen bereits analysierter Virenprogramme. Die Filter befinden sich dabei im ununterbrochenen Datenstrom.
Statt virtueller Mauer ein mechanisches Relais
Ein Produkt des Trierer Instituts für Telematik schützt Unternehmensnetze auf eine ungewöhnliche Weise gegen Angriffe aus dem Internet. Der "Lock-Keeper" schaufelt Daten Häppchen für Häppchen zwischen internem Netzwerk und Internet hin und her, ohne jemals eine durchgängige Verbindung zwischen beiden Zonen herzustellen. Die Daten, die sich jeweils in der "Schleusenkammer" befinden, können je nach Sicherheitsanspruch des Anwenders ausführlich analysiert werden, bevor sie die temporäre Quarantänestation wieder verlassen. Für die Trennung zwischen draußen und drinnen verwendet die Hardware ein echtes, mechanisches Umschaltrelais, das beide Kontakte zur gleichen Zeit aufgrund seiner Bauart gar nicht herstellen kann.
Durch diese Schranke unterscheidet sich das Produkt auch von Standardlösungen, bei denen zwischen Intranet und Internet eine Firewall, ein Proxy und eine weitere Firewall die beiden Sektoren trennen. Ein Sicherheitsvorteil der Relais-Schranke ist, dass für die Untersuchung ein- und ausgehender Daten beliebig viel Zeit zur Verfügung steht. Ein anderer Aspekt könnte noch viel wichtiger sein: Fällt eine Unregelmäßigkeit auf, müssen eine normale Firewall oder ein Intrusion-Detection-System erst einmal die Trennung vom Internet bewerkstelligen, was misslingen kann, wenn die Systeme selbst angegriffen werden. Beim Lock-Keeper aber ist die Trennung der Normalfall, sodass es für den Angreifer schwierig wird, seine Attacke gesteuert fortzusetzen.
Das patentierte System eignet sich nur für Verbindungen, bei denen ein geringer Zeitversatz in der Übertragung nichts ausmacht. Es wird von Organisationen mit Hochsicherheitsanforderungen für Datenübertragungen und E-Mail-Austausch genutzt. Zu diesem Anwenderkreis gehören beispielsweise Banken und Versicherungen, die für die gleichen Einsatzzwecke bisher auf den altmodischen Austausch beweglicher Datenträger zurückgreifen mussten. Fürs Surfen im Internet zum Beispiel eignet sich das System bisher noch nicht, aber die Erfinder arbeiten daran, auch dies zu ermöglichen. Das Institut gibt offen zu, dass der Lock-Keeper den gewohnten "Quality-of-Service"-Stand einer traditionell gesicherten Verbindung nicht erreicht, empfiehlt das Produkt aber auch nur für Umgebungen, wo jedes Plus an Sicherheit zählt.
Alternative mit SCSI-RAM
Das amerikanische Unternehmen Whale Communications verwendet für eine ähnliche Schleuse mit dem Namen "E-Gap" einen analogen Switch und eine Hochgeschwindigkeits-RAM-Disk, die über SCSI-Interfaces abwechselnd mit einem Server im internen Netz und einem externen Server verbunden ist, der zum Beispiel in der demilitarisierten Zone platziert werden kann. Den Switch bedient eine separate Logik-Schaltung, die nicht programmierbar ist und deshalb auch nicht durch Softwareatta-cken überlistet werden kann. Switch, RAM und SCSI-Interfaces sind in einer Appliance zusammengefasst.
Auch beim E-Gap-Produkt ist somit die Trennung zwischen Internet und Firmennetz der Normalfall. Eine Art "Kurzschluss-Überwachung" stellt zusätzlich sicher, dass zwischen den beiden Bereichen keine Umleitung aktiviert werden kann. Schutzmechanismen gegen Buffer-Overflow-Angriffe und gefälschte URLs runden das System ab. Auf dem internen und dem externen Server lassen sich spezielle Softwarepakete von Whale installieren. Diese "Shuttles" sind auf bestimmte Applikationen und Dienste wie beispielsweise E-Mail oder HTTP-Anfragen zugeschnitten und können die Dateninhalte an Filter von Drittherstellern weiterreichen. Ein Entwicklerpaket erlaubt es Adminstratoren, eigene Shuttle-Module zu programmieren.
Schleusen sind attraktiv
Die Idee der Schleuse lässt sich auf vielerlei Weise auf die IT-Sicherheit übertragen. Wer nicht gleich zur Brachiallösung "Relais" oder zum SCSI-Switch greifen will, stellt dem Durchmarsch der Datenpakete andere Hindernisse in den Weg. Gängig ist es, durch Eigenkonstruktionen oder mit speziellen Produkten künstliche Protokollübergänge zu schaffen und so Angriffsversuche auszuschließen, die sich Fehler in der Auswertung der Datenpakete zunutze machen.
Der Web-Application-Server "Fortnoxx" von Ibrixx etwa arbeitet auf diese Weise. Ist das Produkt installiert, gelangen alle Anfragen aus dem Internet lediglich bis zum Webserver. Fortnoxx leitet sie von dort aus nicht einfach ins Intranet, sondern filtert sie mithilfe einer ersten Firewall und übergibt sie dann an systemeigene Request-Handler. Diese wiederum reichen die Anfragen an einen Server weiter, der sie in eine Queue stellt. An dieser Stelle endet der aktive Zugriff aus dem Web. Im Intranet läuft hinter einer zweiten Firewall ein Client-Prozess, der die wartenden Anfragen über einen Polling-Mechanismus aufgreift und nach einer semantischen Überprüfung an ein Service-Objekt auf Corba-Basis übergibt, das sie bearbeiten soll. Die vom Service-Objekt gelieferte Antwort wird dann zurück in die Queue gestellt und vom Request-Handler an den Client übergeben.
Als Schleusen-ähnlich lassen sich auch Quarantäne-Lösungen aus dem Content-Security-Bereich verstehen, die nach "Sandbox"-Art Mobile Codes in geschützten Bereichen ausführen, wo die Rechte der Applets gezielt eingeschränkt werden können.
Rüstungen für Pinguine
Linux trägt dazu bei, dass immer häufiger "gehärtete" Betriebssysteme auf den Markt kommen, die entweder separat erhältlich sind oder Appliances in Gang halten. Der freigegebene Quellcode macht es möglich, ohne Lizenzprobleme Sicherheitslücken zu entfernen und Features tief im System zu verankern. Die Open-Source-Bestimmungen erlauben es durchaus, dass sich die Anbieter Zusatzmodule und Modifikationen bezahlen lassen, sofern nur ein eventuell veränderter Kern wieder frei erhältlich ist.
Linux steckt beispielsweise in der Hochverfügbarkeits-Firewall von Stonesoft. Ein separates Hochsicherheits-Linux unter dem Namen "HP Secure OS Software for Linux" hat Hewlett-Packard auf Red-Hat-Basis entwickelt, und die National Security Agency (NSA) fördert die Entwicklung eines Hochsicherheits-Linux mit speziellen Funktionen, die Vertraulichkeit und Integrität von Informationen sicherstellen.
Was nie versandt wird, kommt am sichersten an
Lock-Keeper und E-Gap sind Systeme, bei denen es vor allem um die Integrität versandter Informationen geht. Auf etwas anderer Ebene widmen sich diesem Problem auch Lösungen, die speziell die Dokumentenzustellung übers Internet absichern wollen. E-Mails mit und ohne Anhang unterliegen nicht nur der Gefahr, dass sie im Internet in die Hände unbefugter Leser geraten können, sondern sie sind auch gegen Verfälschungen nicht gefeit. Vor allem dann, wenn ein Unternehmen viele Empfänger erreichen muss, die nicht alle über einzeln verschlüsselte Leitungen oder Virtual Private Networks erreichbar sind, macht sich diese Gefahr bemerkbar. Außerdem ist es problematisch, den Empfang zu verifizieren und festzustellen, ob man vom Adressaten annehmen darf, dass er die Schriftstücke zumindest zur Kenntnis genommen haben könnte.
All diesen Anforderungen, wie sie zum Beispiel Energieunternehmen beim Rechnungsversand stellen müssen, werden am ehesten Systeme gerecht, bei denen die Dokumente gar nicht erst auf die Reise gehen: Das Internet macht die "Zustellung ohne Versand" tatsächlich möglich.
Das Produkt "Integrated Messaging Exchange" des Herstellers Tumbleweed ist ein Beispiel dafür. Der Absender legt seine Dokumente in einem gegen Veränderungen geschützten Format auf Hochsicherheits-Webservern ab und informiert die Empfänger über E-Mails, die lediglich persönliche Links auf die Dokumente enthalten. Je nach Sicherheitsbedarf können dieser Mitteilungsversand und der Zugriff zusätzlich abgesichert werden: mit Verschlüsselung, Einmal-Passwörtern und allen anderen erdenklichen Schranken. Der Server wiederum registriert, wann der Empfänger die Texte liest.
Ein Notebook muss an die Leine
Ein weiterer Sektor der IT-Sicherheitstechnologie, in der ungewöhnliche Lösungsansätze verwirklicht werden, ist der Bereich der tragbaren Computer. Informationen, die auf mobilen Rechnern gespeichert sind, stellen für Datendiebe ein gutes Ziel dar. Wer mit tragbaren Computern auf Reisen geht, hat normalerweise eine gewisse Bedeutung im Unternehmen und arbeitet mit wichtigen Dateien.
Normale Sicherheitsmaßnahmen sind Passwortschutz und Verschlüsselung von Dateien, Ordnern oder der ganzen Festplatte. In professionellen Umgebungen sind diese Systeme zusätzlich mit Services verbunden, die dem Nutzer des Notebooks rund um die Uhr helfen können, falls er sein Passwort einmal vergisst oder Probleme mit den Security-Produkten hat.
Einen Schritt weiter gehen Produkte, die mit einer biometrischen oder Smartcard-gesteuerten Authentifizierung arbeiten, die bereits den Boot-Vorgang des PCs schützt. Ein Beispiel stellt die Travelmate-Serie 610 von Acer dar, die mit "Wireless-Trust"-Lösungen ausgerüstet ist. In den Travelmate 739 hat der Hersteller außerdem einen Fingerabdruck-Sensor integriert.
Die Sicherheitstechnik der Rechner erlaubt das Verschlüsseln von Dateien oder Ordnern. Auch der Bildschirm und die Tastatur lassen sich blockieren. Über diese Techniken hinaus ist es möglich, zehn Webseiten zu definieren, die der Notebook-Anwender ohne weitere Passwort-Eingaben aufrufen darf. Gegen mechanische Schäden helfen ein Gehäuse mit Magnesium-Aluminium-Verstärkung und ein Disk-Anti-Shock-System, das Schäden durch Fall oder Stoß verhindert oder mildert.
Leider verhindern alle Schutzmechanismen dieser Art nicht, dass ein Notebook gestohlen wird. Gegen diese Gefahr finden sich auf dem Markt eine ganze Reihe von Befestigungsmechanismen mit Klebeplatten, Fahrradschloss-ähnlichen Drahtseilkonstruktionen und anderen Diebstahlsicherungen, die das Wegtragen der Geräte erschweren. Weil derart "handfeste" Lösungen nicht in jeder Umgebung angebracht werden können, stattet das Unternehmen "Stealth Signal" Notebooks mit einem verborgenen Programm aus, dass jeden Kontakt des PCs mit dem Internet an die Website des Unternehmens meldet. Diese Signale wertet Stealth Signal nur aus, wenn der Computer zuvor als gestohlen gemeldet wurde, und informiert gegebenenfalls Strafverfolgungsbehörden.
Nach Angaben des Anbieters funktioniert die Kontaktaufnahme auch dann, wenn sich das Notebook hinter einer Firewall befindet. Zwar kann das Meldeprogramm durch eine Low-Level-Formatierung außer Gefecht gesetzt werden, aber nach Erhebungen des Anbieters wollen die meisten auf Programme nicht verzichten, die auf einem Notebook gespeichert sind.
Panzerung gegen Vandalen
Für Denial-of-Service-Attacken benötigt man nicht immer Software. Bei einem öffentlichen oder halb-öffentlichen Terminal, beispielsweise in einem U-Bahnhof oder an einem Messestand, tuts auch ein Hammer oder - wahrscheinlicher - Kaugummi oder Eiskrem. Während sich die Bildschirme mit Panzerglas-Kästen recht gut absichern lassen, hat man es bei den Tastaturen schwerer. Um diesen Bereich kümmern sich inzwischen spezialisierte Hersteller wie die Wöhrl GmbH mit ihren Edelstahl-Tastaturen. Links zu diesen Firmen finden Sie im Web in der "Erweiterten Berichterstattung" zu diesem Beitrag.