Dem Netzgeschehen auf der Spur

Die Network-Forensic-Software "Silent Runner" erscheint je nach Blickwinkel als brillantes Sicherheitstool oder als Überwachungsmonster von Orwellschem Format. NetworkWorld bat den Anbieter und einen Fachanwalt zum Gespräch, um Nutzen und Nebenwirkungen der Lösung zu klären.

Von: Dr. Johannes Wiele

Den statischen Aufbau eines Netzes aus Servern, Clients, Switches, Hubs und Kabeln kann ein Administrator leicht überblicken. Zum Kommunikationsgeschehen im Netz dagegen hat er nur einen beschränkten Zugang. Diese Lücke sollen Network-Forensic-Analysetools schließen. Eines davon will der Anbieter Silent Runner, ein Tochterunternehmen des US-Rüstungskonzerns Raytheon, in Deutschland auf den Markt bringen. "Aufgrund seiner Überwachungsfähigkeiten muss das System aber erst an hiesige Datenschutzvorschriften angepasst werden", erklärt Gerhard Beeker, Director Business Development bei Silent Runner. Er steht deshalb mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), Gewerkschaften und Datenschützern in Kontakt. "Raytheon hat die Software zunächst für den eigenen Bedarf im Hochsicherheitsumfeld entwickelt und sich später dazu entschlossen, damit auf den Markt zu gehen", erzählt Beeker.

Hinter dem Wunsch vieler LAN-Betreiber, entsprechende Tools einzusetzen, steckt keineswegs immer Überwachungswahn. Findet eine Verletzung der Informationssicherheit statt, die sich nicht unmittelbar auf die Technik auswirkt, kommen die Anwender dem Ereignis nämlich kaum auf die Spur. "Dies hat vor allem dann negative Folgen, wenn dabei rechtlich relevanter Schaden entsteht", erklärt Robert Niedermeier, auf IT-Recht und Datenschutz spezialisierter Anwalt bei der Kanzlei Pricewaterhouse Coopers Veltins in München.

Gelangen beispielsweise Informationen, die eine Organisation aus Datenschutz- oder Urheberrechtsgründen geheim zu halten hätte, in die Hände unberechtigter Personen, kann die Verantwortung oft nicht geklärt werden. Die Schuld eines Mitarbeiters etwa vermag ein Arbeitgeber nur schwer nachweisen. Aber auch der Mitarbeiter hat es schwer, einen ungerechtfertigten Verdacht zu widerlegen. Weitere heikle Situationen sind Hackerangriffe, bei denen der Angreifer in die Rolle eines internen Anwenders schlüpft, die Speicherung von Kinderpornographie im Firmennetz, Mobbing und Fälle von Wirtschaftspionage. Robert Niedermeier befürwortet vor dem Hintergrund der Nachweispflichten die Implementierung von Forensic-Software. Seine Analyse zu den rechtlichen Voraussetzungen einer Implementierung finden Sie in der erweiterten Berichterstattung der NetworkWorld zu diesem Beitrag.

Das Silent-Runner-Produkt kann als rein passiver Anomalie-Detektor zur Beweissicherung im Netz den Traffic bis hin zum OSI-Level 7 (Anwendungen) überwachen und kennt laut Silent Runner Hunderte verschiedener Protokolle. "Collector"-Module sammeln mit "Sniffer"-Techniken Informationen und legen eine Wissensbasis über die Infrastruktur an, ohne den Datendurchsatz im Netz zu beeinflussen. Verbindungen, die gegen Richtlinien verstoßen - beispielsweise, indem sie eine Firewall umgehen - alarmieren das Produkt. Außerdem zeigt es potenzielle Sicherheitslücken und Bandbreiten-Engpässe.

Silent Runner analysiert überdies den transportierten Inhalt, wobei es Sprach- und Schlüsselwort-unabhängige Algorithmen benutzt. "Befassen sich mehrere E-Mails mit dem gleichen Thema, kann Silent Runner die Nachrichten für eine Analyse aufbereiten", erklärt Beeker. "Außerdem ist es technisch in der Lage, Datensendungen über die unterschiedlichsten Protokolle aufeinander zu beziehen und sogar Daten von der Telefonanlage einzubinden - etwa, um herauszufinden, ob ein bestimmtes Unternehmen auf verschiedenen Wegen kontaktiert wurde." Nur bei verschlüsselten Transfers bleibt dem Tool der Inhalt unter Umständen verschlossen. Silent Runner verarbeitet zusätzlich Log-Dateien vorhandener Sicherheitshard- und software.

"Das System zeigt auf Wunsch in Echtzeit, was sich im Netz abspielt, kann aber Vorfälle und Anomalien auch rekonstruieren und im Zeit-rafferverfahren wieder ablaufen lassen", beschreibt Beeker den praktischen Einsatz. Der Administ-rator wählt zwischen statischen und animierten 2D- und 3D-Darstellungen, die an Internet-Szenen aus Spionagefilmen erinnern. Die Wissensdatenbank hilft dem Anwender dabei, Risiken einzuschätzen und seine Sicherheitsmaßnahmen zu optimieren.

Network-Forensic-Software wird auf längere Sicht wahrscheinlich ein Standardbestandteil von Sicherheitsinfrastrukturen. Die Vorfälle, die die Tools aufdecken, müssen aber auf mehreren Ebenen bekämpft werden: Wenn es versehentliche Verletzungen von Informationssicherheit durch feste Mitarbeiter oder "Gäste" im Unternehmensnetz gibt, bei denen tatsächlich Schaden entsteht, fehlt es an Schulungen und verständlichen Richtlinien sowie an sachgemäß implementierten Authentifizierungs- und Autorisierungslösungen. Verhalten sich so viele Mitarbeiter illoyal gegenüber ihrem Arbeitgeber, dass Geheimnisverrat und Sabotage zunehmen, mangelt es dem Management an fachlicher oder menschlicher Qualität - oder das Unternehmen steckt generell in einer tiefen Krise.

Viele Unternehmen werden versuchen, sich mit Software vom Silent-Runner-Typ vor einer Ausei-nandersetzung mit Managementversäumnissen zu drücken und trotzdem sicher zu sein. Wenn die Mitarbeiter die Existenz des Systems als Misstrauensbeweis verstehen und deshalb den Rest ihrer Loyalität aufkündigen, verliert der Anwender allerdings mehr, als er gewinnt.

Verantwortungsbewusste Firmen allerdings, die auch die Wurzeln der Sicherheitsprobleme bekämpfen und Network Forensics als zusätzliche Schutzmaßnahme nach den Regeln des Mitarbeiterdatenschutzes implementieren, gewinnen mit Network Forensics höhere Rechtssicherheit und eine bessere Basis für ihr Security-Gesamtkonzept. Solchen Unternehmen kann es auch gelingen, Forensic-Systeme als Schutzmechanismen zu etablieren, durch die sich Mitarbeiter und Unternehmensleitung zugleich entlastet fühlen. Voraussetzung dafür ist, dass unbelauschtes Arbeiten der Normalfall bleibt, und dass der Zugriff auf die Überwachungstools von Chefetage und Mitarbeitervertretung gleichermaßen kontrolliert werden kann.