Security: Eine Firewall ist erst der Anfang

Das Interview mit Prokurist Ing. Manfred Kirisits und dem Leiter des Xsoft Security-Bereiches, Christian Mock, führte MONITOR Redakteur Dominik Troger.

Das Thema IT-Sicherheit hat in den letzten Monaten durch ein paar spektakuläre Fälle auch in den Medien wieder Schlagzeilen gemacht. Wie steht es vor diesem Hintergrund um das Sicherheitsbewusstsein der österreichischen Unternehmen?

Mock: Es wächst, ist aber nach wie vor zu niedrig. Obwohl man da sehr genau unterscheiden muss. Im Bankenbereich gibt es zum Beispiel schon seit langem eine eigene Sicherheitskultur. So eine Sicherheitskultur müssen viele andere Unternehmen aber erst entwickeln. Oft wird Sicherheit auch nur auf technische Einrichtungen bezogen und nicht auf die Organisationsstruktur. Ganz allgemein kann man aber sagen, dass die Tragweite dieser Thematik zunehmend erfasst wird.

Kirisits: Wir merken hier ein sehr schnelles Wachstum. Deshalb hat sich die Xsoft in diesem Bereich auch als Gesamtlösungsanbieter positioniert. Wir bieten Sicherheitsauditings, decken die ganze Firewall-Problematik inklusive dem Einrichten von Security-Systemen ab bis hin zum Security-Management und -Consulting. Xsoft ist auch Checkpoint Certified Partner.

Wie sicher ist "sicher"?

Mock: Natürlich gibt es keine hundertprozentige Sicherheit. Und je näher man sich an diese 100% herantasten möchte, umso höher steigt der finanzielle Aufwand. Deshalb ist es wichtig, eine Risikoanalyse zu machen, um zu erkennen, welche Daten geschützt werden sollen, welche Kosten in einem Schadensfall auftreten können und vieles mehr. Hier kommt es auf das richtige Verhältnis von Aufwand und dem Wert der zu schützenden Informationen an. Man darf auf jeden Fall als Unternehmen aber nicht den Fehler machen und sich sagen "Ich bin für Hacker uninteressant, weil wir nur ein kleines, weniger bekanntes Unternehmen sind". Hacker grasen das Internet systematisch nach Sicherheitslücken ab, und die werden dann auch ausgenutzt.

Was sind denn so die häufigsten "Attacken"?

Kirisits: Da gibt es eine ganze Reihe an Vorkommnissen, über die allerdings von den betroffenen Unternehmen - verständlicherweise - nicht gern gesprochen wird. Die Meldungen, die dann wirklich auch die Medien erreichen, stellen nur die Spitze eines sehr großen Eisbergs dar.

Mock: Man muß hier einmal zwischen Angriffen von "außen", also zum Beispiel vom Internet her und von "innen", etwa durch eigene Mitarbeiter unterscheiden. Zu der ersten Gruppe gehören beispielsweise das Verändern von Homepages durch das Uploaden oder Verändern von Dateien, das Nutzen eines Rechners als "Zwischenstation" , um von dort weitere Hackerangriffe auf andere Systeme auszuführen wie Denial of Service-Attacken, der Missbrauch von Mailservern, um Massen-E-Mails zu verschicken. Öfters werden auch Geschäftsdaten gezielt zerstört oder manipuliert. Zwischen 60 bis 80 Prozent, da gibt es unterschiedliche Zahlen, machen aber die Angriffe von innen aus. Das geht vom Ausspähen der Personaldaten, über das Abstürzen lassen von Servern bis zur Wirtschaftsspionage. Durch unsachgemäße Handhabung können auch vertrauliche Dokumente ins Internet gelangen. Dazu kommt natürlich noch die ganze Viren- und Trojaner-Problematik.

Worauf sollte man beim Entwickeln einer Sicherheits-Strategie achten?

Mock: Der wichtigste Schritt ist eine organisatorische Bestandsaufnahme. Die beste Firewall nützt mir nichts, wenn sie schlecht konfiguriert ist. Diese organisatorische Anpassung ist sicher aufwendig und muß auch vom oberen Management getragen werden. Deshalb sollte immer ein Top-Down-Ansatz gewählt werden. Zuerst wird ein Sicherheitskonzept erstellt, zum Beispiel auf Basis eines Sicherheits-Auditings, dann wird das Organisatorische auf den Punkt gebracht. Das ist der schwierigste Teil. Da sind Fragen zu klären wie: Wer benötigt wirklich einen Remote-Zugriff auf das Firmennetz? Wird die Usability für den einzelnen Benutzer erschwert (zum Beispiel wenn man neue Authentifizierungsverfahren einführt)? Gibt es einen Sicherheitsbeauftragten? Und so weiter.

Kirisits: Vielleicht noch eine Anmerkung zum sogenannten Sicherheits-Auditing. Da nehmen wir einfach das Netzwerk eines Unternehmens in Sachen Sicherheit unter die Lupe, und zwar sowohl von außen als auch von innen. Wir schauen zum Beispiel, wie leicht es Hackern gemacht wird hineinzukommen. Wir bieten aber Unternehmen auch ein solches Auditing über unsere Homepage (http://www.xsoft.at) an. Mit Hilfe des Web Audit, eines Port-Scans, kann die Durchlässigkeit und Offenheit des eigenen Netzes von außen abgefragt werden. Das ist gerade für Administratoren sehr praktisch, die zum Beispiel nach einer Umkonfiguration der Firewall schnell checken wollen, wie es aktuell um die Sicherheit bestellt ist. Dieser Service wird sehr häufig in Anspruch genommen.

Mit welchen technischen Mitteln lässt sich die ausgetüftelte Sicherheitsstrategie dann umsetzen?

Mock: Das ist natürlich ein sehr umfangreicher Punkt. Grundsätzlich hat es sich dahingehend entwickelt, dass eine Firewall als Ausgangsbasis genommen werden kann, die man dann um die benötigten Module ergänzt. Hier geht der Trend auch schon zu Standards, auf denen unterschiedliche Hersteller aufsetzen. So lässt sich zum Beispiel eine Checkpoint-Firewall um zahlreiche Produkte von Drittherstellern erweitern. Mit denen kann dann die Firewall von einem simplen Virenscan bis zu einer Erkennung von Hackerangriffen auf unterschiedliche Sicherheitsanforderungen angepasst werden.

Vielleicht kann man an einem Beispiel das Zusammenspiel von organisatorischen Sicherheitsanforderungen und technischen Lösungsmöglichkeiten erläutern.

Mock: Also, schon bei der einfachsten Art der Zugangskontrolle, dem Passwort, gibt es verschiedene "Sicherheitsstufen". Das beginnt bei einer vorgeschriebenen Mindestlänge für das Passwort und endet bei einem lexikalischen Gegencheck mit Hilfe einer Wörterbuchdatei - um viele "einfache" Passwörter erst gar nicht zuzulassen. Aber schon die Frage nach dem "Wie häufig soll ein Passwort gewechselt werden" zeigt, dass hier auch die Usability zu berücksichtigen ist. Wenn die Mitarbeiter eines Unternehmens jede Woche ein neues Passwort "erfinden" und sich merken müssen, wird die Akzeptanz rasch sinken - und die Anfragen beim Helpdesk wegen vergessener Passwörter werden in die Höhe schnellen.

Kirisits: Nun kann man zum Beispiel das Passwort von Tokenlösungen automatisch generieren lassen. Diese Token haben Scheckkartenformat. Kommt der Anwender in die Firma, tippt er die Zahlenkombination, die der Token anzeigt, als Passwort ein - eine Zahl, die in regelmäßigen Abständen neu errechnet wird. Der Token ist mit einer Serversoftware synchronisiert und deshalb weiß das System immer, welche Zahlenkombination gerade zu welchem Anwender passt.

Eine andere Möglichkeit ist es, den Zugang über Smartcards zu regeln. Neue Lösungen, zum Beispiel von First Access, bieten hier schon berührungslose Mechanismen an, die per Fernwirkung funktionieren. Sobald Sie mit der Karte in die Nähe des Rechners kommen, werden Sie authentifiziert, und sobald Sie sich entfernen, ausgeloggt.

Mock: Diese letztgenannte Lösung ist zum Beispiel dort interessant, wo sich unterschiedliche Anwender häufig auf denselben Rechnern ab und anmelden müssen. Ein gutes Beispiel sind Krankenhäuser. Hier erreicht man durch diesen Automatismus eine hohe Benutzerfreundlichkeit und stellt gleichzeitig sicher, dass niemand auf das Ausloggen vergisst.

Was halten Sie von biometrischen Zutrittskontrollen?

Mock: Ich selber stehe den biometrischen Verfahren eher skeptisch gegenüber. Mein Fingerabdruck ist kein "Geheimnis", das nur ich selber kenne.

Zwei Begriffe werden ebenfalls noch oft im Zusammenhang mit IT-Security genannt: VPN (Virtual Private Network) und PKI (Public Key Infrastructure)

Mock: Das Sicherheitsproblem bei den VPNs ist durch IP-Sec auf einem hohen Level gelöst, aber auch hier gilt: je sicherer, desto höher die Investition. Was PKI betrifft, so stehen wir hier erst am Anfang. Das hat sich aus mehreren Gründen noch nicht durchgesetzt - ähnlich wie die E-Mail-Verschlüsselung. Zwar denken größere Unternehmen schon daran eine eigene PKI aufzubauen. Aber ein Bereich, wo es sich derzeit gehörig spießt, ist der der Zertifikate. Solange das innerhalb eines Unternehmens abgehandelt wird, ist es noch brauchbar, aber sobald man nach draußen geht wird es schwierig. Das ist derzeit organisatorisch kaum praktikabel.

Nun denke ich, dass die Großunternehmen mit diesem Thema noch eher klar kommen, aber wie schaut das mit den "KMUs" aus?

Mock: Auch die Großunternehmen können oft nicht alles abdecken, vor allem auch deshalb, weil sich dieser Sektor unglaublich schnell entwickelt. Wir bieten hier "Second Level Support" an, sozusagen ein zweites Sicherheitsnetz, falls die Security-Spezialisten im Unternehmen nicht mehr klar sehen.

Kirisits: Für die KMUs ist es aber wichtig, sich mit solchen personellen oder technischen Fragen überhaupt nicht auseinandersetzen zu müssen. Die Xsoft hat für den KMU-Bereich deshalb ein eigenes Paket geschnürt, die "Firewall für den Mittelstand". Wir nennen das auch "Managed Firewall Services". Wir bieten damit den Kunden die volle Infrastruktur inklusive Firewall und den Support.

Hier kommt außerdem noch ein wichtiger Punkt ins Spiel: Sicherheitslösungen dienen ja auch dazu, Systeme hochverfügbar zu halten. Im E-Business ist der Ausfall eines Webservers schon eine Katastrophe. Deshalb muss, wer "E-Commerce" sagt, auch gleichzeitig "E-Security" sagen. In den USA ist das längst kein Thema mehr, hierzulande haben wir aber noch gehörigen Aufholbedarf.

Zum Abschluss noch eine "sicherheitspolitische Frage". Im EU-Parlament überlegen einige Abgeordnete, ob man das Anbieten von Hackertools im Web verbieten sollte.

Mock: Man kann im Internet nichts verschwinden lassen. Das was man verbietet, taucht dann auf Dutzenden Mirror-Sites wieder auf. Alle Versuche hier Einfluss zu nehmen, haben sich bis jetzt nur als Bumerang für die Initiatoren solcher Bemühungen erwiesen. Papier ist beschlagnahmbar, das Netz funktioniert anders. Ich bin außerdem überzeugt, das man der Sicherheit insgesamt damit nichts Gutes täte. Hacker und ihre Tools werden dann nur in den Untergrund gedrängt, und wir als Security Spezialisten hätten es um vieles schwerer, auf dem Laufenden zu bleiben.

Herzlichen Dank für das Gespräch!

Xsoft
Tel. 01/796 36 36
http://www.xsoft.at