Vernetzte Bedrohung: Die neuen Gespenster und die Antworten der Geisterjäger

Alexander Hackl

Der Zotob-Wurm ist zum Synonym für die neuen Netzwerk-Gefahren geworden. Er besitzt "bot"-Fähigkeit, kann also ein Zombie-Netzwerk zur Spam-Verbreitung oder für Denial-of-Service-Attacken aufbauen. Er blockiert Antivirus-Downloads, und durch die Einrichtung von Hintertüren auf infizierten Endgeräten ermöglicht er Remote-Zugriff und das Ausführen fremden Codes. Binnen vier Tagen nach dem Ausbruch waren bereits elf neue Varianten im Umlauf.

Die Experten auf der Wiener IT-Security-Konferenz des internationalen Forschungs- und Consulting-Unternehmens IDC im September waren sich einig: Die neuen Bedrohungsszenarien erfordern eine ganzheitliche, intelligente Security-Infrastruktur. Bill McGee, führender Security-Experte bei Cisco: "Die meisten Security-Produkte schützen den Host, aber nicht das Netzwerk. Bedrohungen, die sich über das Netzwerk verbreiten und es zur Entfaltung ihrer schädlichen Aktivitäten nutzen, müssen auch im Netzwerk bekämpft werden."

Selbstverteidigung für Netze

Um die gesamte IT-Infrastruktur vor Viren und Würmern, Informationsdiebstahl, Anwendungsmissbrauch und Distributed-Denial-of-Service-Angriffen (DDoS) zu schützen, hat Cisco das Konzept der "Self-Defending Networks" entwickelt. Es beinhaltet drei fundamentale Komponenten:

• Integration: Alle Tools im Netzwerk werden Teil der Sicherheitsarchitektur. Es gibt keine Unterscheidung mehr zwischen Tools, die schützen sollen, und Tools, die geschützt werden sollen. Alle Security-Instanzen sind mit Netzwerk-Intelligenz ausgestattet und kommunizieren auf Basis eines standardisierten Protokolls miteinander.
• Zusammenarbeit: Wird zum Beispiel an mehreren Punkten im Netz eine Attacke registriert, dann entsteht durch die Kommunikation zwischen den Devices ein Gesamtbild der Bedrohung. Das System kann feststellen, ob es sich um ein und dieselbe Attacke handelt und ob sie schwerwiegend ist.
• Anpassungsfähigkeit: Das Netzwerk identifiziert selbständig mögliche Bedrohungen und modifiziert sich auch selbst dementsprechend. Das heißt, wenn ein Gerät am Netz ungewöhnliches Verhalten an den Tag legt, wird es automatisch von der Netzwerk-Kommunikation ausgeschlossen, bis die Infizierung beseitigt ist. Der Netzwerkadministrator kriegt nur mehr die Meldung, wo das Problem liegt. Er muss nicht mehr ganze Netzwerkteile lahm legen und jedes einzelne Gerät überprüfen.

Mit der "Network Admission Control"-Lösung von Cisco werden darüber hinaus auch alle mobilen Endgeräte, die sich ins Netz einloggen wollen, authentifiziert und auf Ihre Übereinstimmung mit den Sicherheitsstandards des Unternehmens überprüft

Auch die Webwasher AG, ein CyberGuard-Ableger, trägt dem Fokus auf Netzwerksicherheit Rechnung. Unter dem Titel "Total Stream Protection Framework" präsentierte man die neue Generation von Enterprise Firewall- und VPN-Appliances mit integrierter Application-Layer-Firewall (ALF), die umfassenden Schutz am Gateway gewährleisten sollen. Über eine ICAP-Schnittstelle (Internet Content Adaption Protokoll) kann sie mit einer Content Security Suite verbunden werden, was eine flexible Kontrolle des gesamten Datenverkehrs ermöglicht. Rainer Funk, Sales Manager für Österreich: "Umfassender Schutz für Netzwerke wird am besten mit Lösungen erreicht, die sowohl in die Breite als auch in die Tiefe gehen. Zukünftige Sicherheitslösungen werden aus einer Kombination traditioneller Methoden wie Paketfilter mit Technologien wie ALF und dem zusätzlichen Einsatz von Content Filter Software bestehen."

Spanne der Verwundbarkeit

Auch darin waren sich die Experten einig: Die Zeitspanne vom Bekanntwerden einer Sicherheitslücke bis zum Rollout eines verfügbaren Patches im Unternehmen ist in der Regel deutlich zu lang. Gerade nach einem Patch-Release steigt die Bedrohung noch einmal signifikant. Denn die "bad guys" gehen sofort daran, durch Reengineering des Patches nach Möglichkeiten zur Ausbeutung der Sicherheitslücke zu suchen. Ursache für die langen Reaktionszeiten in Unternehmen sind meistens Schwachstellen im Patch-Management.

Gerhard Hackl, Experte für Informationssicherheit bei Siemens Business Services (SBS): "Mehr als die Hälfte aller Unternehmen, die von Würmern befallen wurden, hatten die Patches nicht rechtzeitig installiert, weil die IT-Verantwortlichen überfordert waren. Sie wussten nicht, welchen Patch sie installieren müssen, wo sie ihn finden oder welche Maschinen sie updaten müssen. Installierte Patches werden unzureichend oder gar nicht getestet. Oft gibt es überhaupt keinen vordefinierten Prozess für das Patchen." Hilfe für überforderte IT-Manager verspricht "Automatic Intrusion Prevention" (AIP). Kernstück des neuen Dienstes von SBS ist eine "Hackmaschine", die selbständig rund um die Uhr nach Verwundbarkeiten im System sucht, die Schwachstellen klassifiziert, den Administrator informiert und Handlungsempfehlungen erteilt. Automatisch wird auch ein "Trouble Ticket" für den Helpdesk erzeugt. Die Maschine kann eine Woche gratis getestet werden, verspricht Hackl.

Hoffnungsträger Heuristik

Aber selbst bei funktionierendem Patch-Management wird es immer ein Zeitfenster zwischen dem Bekanntwerden einer Verwundbarkeit oder dem Auftreten neuer Schadprogramme und dem Patch-Release oder dem Antivirus-Update geben. Das kann von wenigen Stunden bis zu mehreren Tagen dauern. Deshalb kommen die Security-Anbieter nach und nach mit proaktiven, Lösungen auf den Markt, die auch zuverlässigen Schutz vor "Day-Zero-Viren" oder neuen Varianten bekannter Viren versprechen.

Im Unterschied zu traditioneller, reaktiver Antivirus-Software, die Schadprogramme auf Basis von Signaturen erkennt, nutzen die neuen Technologien heuristische Methoden, die das Verhalten von Schädlingen analysieren. Zu den Vorreitern gehört Internet Security Systems (ISS). Das in den neuen Produktlinien integrierte "Virus Protection System" (VPS) erkennt Schadprogramme anhand ihres verdächtigen Verhaltens. Eine ähnliche Technologie bietet Cisco mit dem "Security Agent" an. Dazu Cisco-Mann McGee: Das ‚behavior'-basierende System stoppt den verdächtigen Event sofort und ich kann später in aller Ruhe Antivirus-Updates oder Patches einspielen und den Schädling eliminieren."

Auch ESET mit "Advanced Heuristics", Aladdin Knowledge Systems in ihrer Spyware-Lösung oder Webwasher haben proaktive Systeme dieser Art. ISS bietet seinen Kunden darüber hinaus "Virtual Patches" für bekannte Schwachstellen noch vor dem Patch-Release des Herstellers, teilweise sogar bevor die Verwundbarkeit veröffentlicht wird. Der Ansatz, der allen proaktiven Technologien zugrunde liegt, ist logisch. Ob sie auch halten, was die Marketing Manager versprechen, wird die Zukunft weisen.

Neue Herausforderungen

Laut IDC werden ab 2010 mehr Notebooks als Desktops verkauft werden. Der Boom beim Mobile Business stellt neue Anforderungen an die IT-Security. Immer mehr mobile Geräte greifen auf die Firmennetze zu. Zwei Drittel aller Attacken - ob böswillig oder unbeabsichtigt - kommen von innen. Auch das Thema Compliance, die rechtlichen Anforderungen an die Datensicherheit, verlangt den Unternehmen immer größere Anstrengungen ab.

Um all diesen Herausforderungen gerecht zu werden, ist eine funktionierende IT-Security Infrastruktur, eingebettet in ein umfassendes Informationssicherheits-Management, unabdingbar. Für Unternehmen, die aufgrund ihrer Größe oder Struktur dafür nicht das Personal oder das Geld aufbringen können oder wollen, ist das Auslagern von Sicherheitsagenden an Managed Security Service Provider eine Option, die auch zunehmend genutzt wird. Freilich, vollständige Sicherheit wird trotz aller Anstrengungen nie erreicht werden können. Aber ein funktionierendes Sicherheitsmanagement hält das Risiko klein und macht es kalkulierbar.