Internet - die Sicherheitsfragen

Buch Internet - die Sicherheitsfragen

Antworten für Manager und Techniker

Ueberreuter,

Rezension

Der Autor Christian Reiser gibt fachkundig und verständlich Antworten auf Fragen der Sicherheit bei Com­put­er­net­zw­erken, die einen In­ter­net­zu­gang besitzen. Er macht deutlich, dass dieses Thema nicht auf die leichte Schulter genommen werden darf, und sen­si­bil­isiert Manager und Techniker für Sicher­heits­fra­gen. Gle­ichzeitig malt er keine Schreck­ensszenar­ien an die Wand, sondern erklärt sachlich und unaufgeregt, welche Angriffe aus dem Internet zu befürchten sind, von wem diese stammen können und wie man sich dagegen schützt. Dabei wird sowohl die technische Seite, beispiel­sweise die Frage nach der richtigen Firewall, als auch die or­gan­isatorische, also wer z. B. für die Wartung der Firewall zuständig ist, ange­sprochen. Das ist wichtig, weil beide Seiten bei allen Sicher­heitsvorkehrun­gen beachtet werden müssen. Der Autor vermittelt zudem Grundsätzliches zum Thema Internet und Kom­mu­nika­tion, sodass ein Prob­lem­be­wusst­sein beim Leser geschaffen wird. Fall­beispiele und ein ausführlicher nützlicher Anhang, der beispiel­sweise die klassische "Netiquette" enthält, runden den Ratgeber ab. BooksInShort.​com empfiehlt dieses Buch allen, die für ein fir­menin­ternes Netzwerk ve­r­ant­wortlich sind und nicht Gefahr laufen wollen, dass sie Sicher­heitsmängel übersehen oder nicht für aus­re­ichende Sicherheit sorgen. Aber auch für den normalen User bietet das Werk viele in­ter­es­sante In­for­ma­tio­nen - und dies in gut lesbarer Form.

Take-aways

  • Das Internet besteht aus un­ter­schiedlichen Diensten, die entsprechend un­ter­schiedliche Sicher­heitsvorkehrun­gen erfordern.
  • Das eigene Rech­n­er­net­zw­erk ist immer gefährdet, auch wenn man annimmt, man hätte keine Daten, die jemanden in­ter­essieren könnten.
  • Angriffe können von verärgerten ehemaligen Mi­tar­beit­ern, unehrlichen Mi­tar­beit­ern, Mit­be­wer­bern oder Hackern kommen.
  • Die meisten Probleme entstehen durch schlecht geschulte Mitarbeiter, denen ein aus­re­ichen­des Sicher­heits­be­wusst­sein fehlt.
  • Bei bewussten oder unbewussten Angriffen kann einiges passieren: Geheime Daten werden bekannt, wichtige Daten werden gelöscht, Daten werden verfälscht, Rechner und Netzwerke werden beschädigt und können nicht mehr benutzt werden.
  • E-Mails werden durch Verschlüsselung geschützt, das eigene Rech­n­er­net­zw­erk durch eine Firewall.
  • Es gibt un­ter­schiedliche Kon­fig­u­ra­tio­nen für den Einbau einer Firewall.
  • Schwach­punkt ist weniger die Software, sondern der Mensch, dem Fehler bei der Kon­fig­u­ra­tion unterlaufen.
  • Neben den technischen Fragen ist die or­gan­isatorische Seite von grosser Bedeutung.
 

Zusammenfassung

Sicherheit im Internet

Jeder Computer, der mit dem Internet verbunden ist, stellt ein Sicher­heit­srisiko dar. Wer also ein internes Com­put­er­net­zw­erk (das LAN) an das Internet anbinden will, muss sich zwangsläufig mit Sicher­heits­fra­gen beschäftigen und adäquate Massnahmen ergreifen, um sich vor Schäden zu schützen. Diese Massnahmen sind technischer und or­gan­isatorischer Art. Denn genauso wie die Hard- und Software muss auch die Schnittstelle Mensch auf zahlreiche Sicher­heits­fra­gen eingestellt werden.

Am Anfang Prob­lem­bere­iche erkennen

Sicher­heits­fra­gen, die das Internet betreffen, drehen sich um fünf Bereiche: Sicherheit der Übertragung durch Verschlüsselung, Sicherheit der eigenen Rechner oder Netzwerke durch Firewalls, Virtuelle Private Netzwerke (VPN) als Kombination von Verschlüsselung und Firewalls, elek­tro­n­is­cher Zahlungsverkehr sowie Rechtssicher­heit.

Grundle­gen­des zum Internet

Wer sich mit In­ter­net-Sicher­heits­fra­gen beschäftigt, sollte sich zuerst einmal mit dem Wesen des Internets, seinen Ein­rich­tun­gen und der entsprechen­den Be­grif­flichkeit vertraut machen. Grundsätzlich gibt es keine Firma "Internet", sondern eine grosse Anzahl miteinander kooperieren­der Internet Service Provider (ISP). Die eigene Firma ist an einem bestimmten ISP angeschlossen, meist mittels Stan­dleitung. Das interne Fir­men­net­zw­erk (Local Area Network = LAN) bekommt so den Kontakt zur Aussenwelt.

Dienste im Internet

Das Internet hat ver­schiedene Ebenen und Funktionen. Die unterste ist das physikalis­che Medium. Darauf arbeiten ver­schiedene Protokolle, die für Sicher­heits­fra­gen von Belang sind. Für den "normalen" Nutzer sind vorwiegend die Dienste des Internets interessant. An erster Stelle ist hier E-Mail zu nennen, also elek­tro­n­is­che Post, die übers Internet versandt wird. Eine weitere Funktion des Internets sind Usenet News. Diese erfüllen die Funktion von "schwarzen Brettern" und gelten als schnellstes und ausführlichstes In­for­ma­tion­s­medium im Internet. Über 30 000 Newsgroups mit einem täglichen Date­naufkom­men von mehr als 700 000 Artikeln täglich stehen zur Verfügung.

„Das Internet ist ein Kom­mu­nika­tion­s­medium, das Daten von einem Ort zum anderen trans­portiert, wobei die ersten Enden dieser Verbindung aus Computern bestehen.“

Wohl der bekannteste Dienst und jener, dem der grosse Aufschwung des Internets zu verdanken ist, ist das World Wide Web (WWW). Den Austausch der Daten über das WWW regelt als Protokoll das Hyper Text Transfer Protocol (HTTP). Die Web-Seiten selbst sind in Hyper Text Markup Language (HTML) geschrieben. HTML definiert die For­matierung der Seiten. Fast nur für Profis ist der Tel­net-Di­enst von Bedeutung. Das ist ein Programm, das es erlaubt, über das Internet mit einem anderen Computer zu arbeiten, wobei der eigene Computer dann nur noch die Funktion eines Terminals hat.

„Es gibt eine Gruppe von Menschen, die nicht die Absicht haben, der Or­gan­i­sa­tion, in der sie arbeiten, zu schaden. Viele Sicher­heitsvorfälle entstehen dadurch, dass ein interner Mitarbeiter etwas macht, wovon er nicht einmal ahnt, dass es gefährlich sein könnte.“

Ein Dienst, den der Nutzer kaum wahrnimmt ist, z. B. das Domain Name System (DNS). Das DNS gewährleistet eine eindeutige Adressierung jedes am Netz befind­lichen Computers. Die Adresse besteht aus vier Zahlen, jeweils zwischen 1 und 255, die durch Punkte getrennt sind. Da Menschen besser mit Wörtern als mit Zahlen umgehen können, werden diesen Adressen die bekannten Do­main-Na­men zugeordnet - als XY.​com statt 123.​234.​1.​12.

Wer sind die Bösen?

Bei jeder Überlegung zum Thema "Wie schütze ich mein Firmennetz" vor Angriffen, sollte man sich überlegen, von wo diese Angriffe kommen können. Grundsätzlich gib es vier Gruppen von Angreifern, die mit un­ter­schiedlichem Wissen und un­ter­schiedlicher Absicht bzw. ohne Absicht die Sicherheit von Daten und Programmen gefährden: verärgerte ehemalige Mitarbeiter, unehrliche Mitarbeiter, Mitbewerber, Hacker. Ausserdem gibt es eine Gefährdung durch schlecht geschulte Mitarbeiter. Ver­schiedene Studien kommen zu dem Ergebnis, das 60-80 % der sicher­heit­skri­tis­chen Vorfälle aus den eigenen Reihen stammen. Von grosser Bedeutung sind hier die "Unwissenden". Deshalb sollten Mitarbeiter dringend geschult werden, damit diese ein Bewusstsein für Sicher­heits­fra­gen entwickeln.

Was kann passieren?

Das Problem Sicherheit und Internet sollte kein Unternehmen auf die leichte Schulter nehmen. Denn überall gibt es Daten, die nicht jedermann zugänglich sein sollten. Wer le­icht­fer­tig Sicher­heit­srisiken in Kauf nimmt, wird überrascht sein, wenn geheime Daten bekannt werden, wenn diese gelöscht oder verfälscht werden, wenn Rechner und Netzwerke nicht mehr funk­tion­ieren oder diese von unerlaubter Stelle benutzt werden. Solche Angriffe, nach denen Computer oder einzelne Funktionen nicht mehr benutzt werden können, so genannte "De­nial-of-Ser­vice-At­tacken" verursachen hohe Kosten - von der Fehler­be­he­bung bis zum Ar­beit­saus­fall. Bisweilen benutzen Hacker auch die Com­puter-In­fra­struk­tur, um einen Angriff auf ein anderes, wertvolleres Unternehmen zu fahren.

Schutz durch Verschlüsselung

Um Daten abhör- und fälschungssicher über ein öffentliches unsicheres Netz zu trans­portieren, sollten sie verschlüsselt werden. Verschlüsselung bedeutet, Daten und In­for­ma­tio­nen so zu verändern, dass Un­berechtigte sie nicht verwenden können. Vom Altertum bis heute wurden immer wieder Systeme zur Verschlüsselung entwickelt. Heutzutage gelten nur noch die Systeme als sicher, deren Algorithmus offen gelegt und bekannt ist. Dass sie dennoch funk­tion­ieren, liegt daran, dass mit vertret­barem Aufwand der Text nicht lesbar gemacht werden kann, solange man den Schlüssel nicht hat. Grundsätzlich wird bei Verschlüsselungssys­te­men zwischen sym­metrischen und asym­metrischen Verschlüsselungsver­fahren un­ter­schieden.

„Der Bereich, der in der Praxis am meisten vernachlässigt wird, ist die Doku­men­ta­tion im Zusam­men­hang mit dem In­ter­net-Sicher­heitssys­tem.“

Bei sym­metrischer Verschlüsselung, auch Pri­vate-Key-Ver­fahren genannt, wird zum Ver- und Entschlüsseln derselbe Schlüssel benutzt. Das Problem bei diesem schnellen Verschlüsselungsver­fahren ist der Transport des Schlüssels, z. B. via Diskette. Bei asym­metrischen Verschlüsselungssys­te­men (Pub­lic-Key-Sys­teme) werden zum Ver- und Entschlüsseln ver­schiedene Schlüssel benutzt. Jede am Kom­mu­nika­tionsvor­gang beteiligte Person verfügt dabei über einen öffentlichen und einen geheimen Schlüssel. Dadurch wird gewährleistet, dass nur au­torisierte Personen die Nachricht lesen können.

Verschlüsselung­spro­gramme

Es gibt eine Vielzahl von Verschlüsselung­spro­gram­men, die z. T. auch als Public Domain oder Shareware zu haben sind. So ist zum Verschlüsseln von E-Mails das Programm Pretty Good Privacy (PGP) besonders weit verbreitet. Für die Übertragung von Kred­itkar­tendaten kommen Secure Web-Server, die über das Se­cure-Socket-Layer-Pro­tokoll (SSL) einen verschlüsselten Kanal realisieren, zum Einsatz. Das Risiko ist für Kred­itkarten­in­haber heute eher gering, da vielfach der Händler das Risiko trägt. Der Kred­itkartenbe­sitzer kann jede Buchung wieder zurückbuchen lassen.

Wie schützte ich meinen Rechner und mein Rech­n­er­net­zw­erk?

Um Rechner und Rech­n­er­net­zw­erk zu schützen, werden so genannte Firewalls oder Fire­wall-Sys­teme eingesetzt. Firewalls schreiben mit, welche Verbindun­gen und Verbindungsver­suche über sie geführt werden. Ziel ist es, auf diese Weise Ein­bruchsver­suche zu erkennen. Bei der Architektur einer Firewall gibt es dann zahlreiche Möglichkeiten.

Viele Wege - ein Ziel

Sobald ein Rechner im Firmennetz als Server fungiert und damit Kontakt zum Internet geschaffen wird, muss über den Einsatz einer Firewall nachgedacht werden. Ver­schiedene Systeme kommen dafür in Frage. Sta­tis­tis­che Fil­terlis­ten entscheiden anhand der Daten im Header, welche Datenpakete passieren dürfen. Diese Lösung ist riskant, da diese In­for­ma­tio­nen dürftig sind. Dafür können die Entschei­dun­gen sehr schnell getroffen werden.

„In­ter­es­san­ter sind all die kleinen Spuren, die man bei seinen Reisen durch das Internet hinterlässt. Diese Daten liegen in den Händen der ver­schieden­sten Firmen, Or­gan­i­sa­tio­nen und Personen - teils im In-, teils im Ausland - und können kaum kon­trol­liert werden.“

Dynamische Fil­terlis­ten arbeiten mit einer Art Rück­ant­wort-Sys­tem, bei dem die Beziehung zwischen Client und Server überprüft wird. Beispiel dafür ist das FTP-Pro­tokoll. Bei einer Proxy-Fire­wall werden "Statthalter" (Proxies) eingesetzt, die für den Client die Leitung aufbauen. Die Adresse des Proxys ist also bekannt, die des eigentlichen internen Netzwerks nicht. In der Praxis wachsen die beiden Fire­wall-Tech­nolo­gien, also Filtering- und Proxy-Sys­teme, immer stärker zusammen.

"Möglichst wenig"

"Möglichst wenig" ist die Hauptregel beim Aufbau einer Firewall. Im Einzelnen heisst das: "Möglichst wenig Software", "Möglichst wenig erlauben", "Möglichst wenig Benutzer", "Möglichst wenig Wartung".

Viren - eine weitere Gefährdung

Viren und Trojaner sind keine typischen In­ter­net-Prob­leme, obwohl sie gerade wegen ihrer Verbreitung über das Internet eine verstärkte Beachtung erfahren. Neueste En­twick­lun­gen im Bereich des Daten­verkehrs erlauben es, bereits auf der Firewall nach Viren zu suchen. Dies sollte jedoch immer in eine flächen­deck­ende Viren­strate­gie eingebettet sein. Das heisst, dass alle im internen Netz befind­lichen Computer mit Viren­scan­ner aus­ges­tat­tet sind und diese regelmässig aktiviert werden.

Welche Firewall ist die Richtige?

Die Qualität einer Firewall ist schwer zu beurteilen. Meist tauchen Probleme auch eher in der Kon­fig­u­ra­tion als bei der Software auf. Ein Einbruch ist meist durch eine fehlerhafte Kon­fig­u­ra­tion möglich. Bei den am Markt befind­lichen Produkten reicht die Palette von kostenloser Pub­lic-Do­main-Soft­ware bis zu kom­binierten Hard- und Soft­ware-Ange­boten.

Aussen­di­en­stler mit Laptop

Es ist üblich geworden, Aussen­di­en­stlern bei ihrer Arbeit durch Anschluss an das interne Netzwerk Daten zur Verfügung zu stellen und ihnen die Möglichkeit zu geben, Daten abzu­gle­ichen. Auch Mitarbeiter, die von zu Hause aus Daten benötigen, kann der Zugriff auf Fir­men­rech­ner möglich gemacht werden. Diese Virtual Private Networks (VPN) können ein Sicher­heit­srisiko darstellen und müssen daher in die Schutzmech­a­nis­men eingeplant und eingebaut werden. Das gleiche gilt für die Vernetzung mit Aussen­stellen des Un­ternehmens.

Schwach­punkt Mensch: or­gan­isatorische Massnahmen

Der Aufbau einer Firewall ist nur ein Schritt in Richtung Sicherheit. Der grösste Teil der Arbeit ist im or­gan­isatorischen Bereich angesiedelt. Hierfür muss ein Sicher­heit­skonzept entwickelt werden, in dem klar geregelt ist, wer welche Befugnisse hat. Be­nutzungsrichtlin­ien un­ter­richten jeden Mitarbeiter, was er beim Nutzen seines Rechners und des Internets zu beachten hat. Ein Sicher­heitsver­ant­wortlicher sorgt dann für die Einhaltung der Regelungen.

Über den Autor

Dr. Christian Reiser studierte Informatik an der Technischen Universität Wien. Neben seiner Tätigkeit im Al­ca­tel-Elin-Forschungszen­trum dis­sertierte er im Bereich "Künstliche Intelligenz". Seit 1995 ist Christian Reiser im Se­cu­rity-So­lu­tions-Man­age­ment bei einem der grössten kom­merziellen europäischen In­ter­net-Provider. Darüber hinaus hält er Vorträge, ist Lektor an zwei Fach­hochschulen und veröffentlicht Bücher und Artikel in diversen Fachzeitschriften.