Newsfeed abonnieren
Datensicherheit muss in Unternehmen zwei Anforderungen erfüllen: Zum Einen sind die Transaktionen zu schützen und gleichzeitig sollte gewährleistet sein, dass Anwendungen immer verfügbar, reaktionsschnell und durchgängig sind. Zum Anderen geht es um die Vertraulichkeit persönlicher Transaktionsdaten, die über das Internet gehen. Mögliche Lösungsansätze, die beide Kundenwünsche erfüllen, schlossen sich bislang häufig gegenseitig aus. Deshalb werden zunehmend innovative Technologien entwickelt, die eine ganzheitliche Lösung für beide Probleme bieten. Eine Methode ist die Verschlüsselung.
Verschlüsselungstechniken gibt es schon seit Jahrhunderten und sie haben sich, basierend auf der Mathematik und den Computerwissenschaften, stetig weiterentwickelt. Die heute vorherrschenden offenen Standards ermöglichen es jedem Nutzer, Transaktionsdaten auf dem Weg vom „geschützten“ Server bis hin zum Client-Computer oder bis ins nächste gesicherte Netzwerk zu verschlüsseln. In vollem Umfang genutzt, garantieren diese Lösungen zeitlose Vertraulichkeit.
Die Problematik dieser Verschlüsselungstechniken liegt darin, dass einerseits persönliche Daten vor unerlaubten Zugriffen geschützt werden sollen - in der Regel erschleichen sich unberechtigte Dritte Zugang durch Sicherheitslücken im Internet. Andererseits schützen genau diese Technologien illegitime Nutzer vor der Sicherheitsinfrastruktur im Netzwerk. Sämtliche Sicherheitsmechanismen wie Firewalls, Intrusion Detection Systeme, Anti-Virus-Programme, und weitere Sicherheitsmaßnahmen werden nämlich durch die Verschlüsselung der Hacker-Daten geblendet. Aus diesem Grund macht es Sinn, eine umfassende Lösung einzusetzen, um vertrauliche Daten-Transaktionen gewährleisten zu können, ohne jedoch den Schutz der Nutzer und Anwendungen zu vernachlässigen.
Zwei Schwachstellen
Bei der Verschlüsselung gibt es zwei Schwachstellen, die Sicherheitsexperten berücksichtigen müssen. Zum einen ist es notwendig, den Zugang der Nutzer zum Internet beispielsweise durch die Kombination einer Firewall, eines Anti-Virus-Gateways und durch Intrusion-Prevention-Einrichtungen zu schützen. Dies soll Nutzer davor bewahren, gefährliche Inhalte im Internet aufzurufen und dem LAN des Unternehmens dadurch zu schaden. Aber was nützt eine derartige Infrastruktur, sobald ein Nutzer eine verschlüsselte Verbindung zu einer Internetseite öffnet? Keines der installierten Sicherheits-Gateways wird in der Lage sein, das Netzwerk zu schützen, solange es nicht die tatsächlich übertragenen Daten erkennt.
Die meisten Sicherheitsexperten werden diese Lücke erst einmal ignorieren, obwohl es hierfür eine innovative Lösung gibt. Über das eigene SSL-Termination-Gateway werden alle in der sogenannten Demilitarisierten Zone abgehenden SSL-Transaktionen der internen Nutzer abgefangen. Die Demilitarisierte Zone, kurz DMZ, ist ein geschütztes Computernetz für einen oder mehrere Computer, das sich zwischen zwei Computernetzen befindet. Das SSL-Termination-Gateway funktioniert wie ein End-Server und stattet den Nutzer mit einem Zertifikat des End-Servers aus. Das Gateway fungiert aber auch als Vergabestelle für die Zertifikate der internen Nutzer, sodass es sich selbst authentisieren kann. Sobald der SSL-Tunnel geschlossen ist, können weitere Sicherheitsüberwachungsmechanismen den Datentransfer überprüfen und sicherstellen, dass sowohl das Netzwerk als auch die Nutzer vom höchstmöglichen Schutz profitieren. Darüber hinaus wird die Vertraulichkeit der Transaktionsdaten gewährleistet und dasselbe SSL-Gateway genutzt, um mit dem Ziel-Server durch einen SSL-Tunnel zu kommunizieren. Durch diesen einfachen Ausbau des Netzwerkes kann die Vertraulichkeit der Daten vollständig und ohne jeden Kompromiss gewährleistet werden. Die zweite Stelle, die geschützt werden muss, ist die Anwendungsebene. Auf ihr kommen verschiedene Sicherheitsmechanismen wie Intrusion Detection, Intrusion Prevention, Application Firewalls und andere Sicherheitstools zum Einsatz. Wenn verschlüsselte Daten den Server direkt erreichen, sind Hacker, die Verschlüsselungstechniken nutzen, automatisch immun vor einer Datenprüfung, da sich ihre „privaten“ Daten so vor den Sicherheits-Tools verstecken können.
Zwei Lösungsansätze
Für dieses Problem gibt es zwei Lösungsansätze. Die erste ist, alle eingehenden verschlüsselten Transaktionsdaten vor den Servern abzufangen. Der Vorteil dieses Ansatzes liegt darin, dass man damit die Server entlastet und hardwarebasierte Lösungen eingesetzt werden können, die die verschlüsselten Daten bei sehr geringen Latenzzeiten überprüfen.
Allerdings gibt es auch eine zweite, einfachere Lösung, bei der das Netzwerk nicht verändert werden muss. Sicherheitsexperten, die bereits Intrusion-Detection-Systeme oder Intrustion-Prevention-Systeme nutzen, können diese Sicherheitslösungen gegen Hacker-Angriffe über verschlüsselte Transaktionen optimieren, indem sie ein zusätzliches Gerät einbauen.
Dieses empfängt den verschlüsselten Datenverkehr, entschlüsselt ihn und schickt ihn unentschlüsselt zur IDS-Prüfung. Derartige Geräte, die verschlüsselten Datentransfer abfangen, müssen mit den privaten Verschlüsselungs-Zertifikaten der Server ausgestattet sein und können dadurch die Verschlüsselungsvariablen einer jeden Verschlüsselungs-Sequenz wieder herstellen.
Tony Hosseiny ist Technical Manager Central Europe & UK, Radware
Hier gratis downloaden!
1/2012
8/2011
7/2011
Mag. Dominik Troger gehört seit 1992 zum MONITOR-Team. Er begann als News-Redakteur und betreute viele Jahre die MONITOR Weiterbildungsbeilage "Job Training". Seit dem Jahre 2000 war er als Chef vom Dienst tätig, mit Dezember 2009 übernahm er die Chefredaktion. 