Datensicherheit im Netz

Wolfgang Kratz · Armin Schupp Teil 2

Die erfolgreichen Angriffe von Hackern verdeutlichen immer wieder, dass viele Mitarbeiter selbst in großen internationalen Unternehmen die Gefahr um die Manipulationsmöglichkeit von Daten unterschätzen. Diese Unkenntnis legt weltweit regelmäßig Millionen von Computern lahm und hat Schäden von über 20 Mrd. DM jährlich zur Folge. Aufklärung tut also Not.

Datensicherheit im Netz beginnt bereits mit dem Bewusstsein der Betreiber und Nutzer von EDV-Systemen, dass es ein nicht zu unterschätzendes Gefährdungspotenzial durch den internen und vor allem externen Datenaustausch gibt. Virenscanner und Firewalls helfen nur bedingt, wenn man nicht zudem ein intensives Sicherheitsdenken betreibt. Sicherheit seiner Selbst willen ergibt jedoch keinen Sinn, hier ist kein Platz für technische Spielereien. Vielmehr soll ein höchstmöglicher Grad an Schutz zu einem niedrigstmöglichen Preis erreicht werden. Dafür ist es unerlässlich, alle Mitarbeiter, die an einem EDV-Arbeitsplatz tätig sind, in die Sicherheitsplanung zu involvieren.

In einem Gebäude dient eine Firewall/Brandmauer dazu, das Übergreifen eines Feuers von einem Gebäude auf andere zu verhindern. Im Prinzip verfolgt eine Internetfirewall ähnliche Zwecke. Sie gewährt Personen nur an einem kontrollierten Punkt Zugang und soll Angreifer davon abhalten, an sensible Daten zu kommen. Zudem sorgt die Firewall dafür, dass man das interne Netz nur an einem einzigen Punkt zum externen Netz verlassen kann.

Innerer Schutz ist die Basis

Die weitaus meisten Fälle von Computerkriminalität werden nach Ansicht von Experten von den eigenen Mitarbeitern begangen. Personal- und Sicherheitspolitik überlappen zum Beispiel dann, wenn es um die Entlassung eines Mitarbeiters geht, der fahrlässig oder absichtlich gegen die Sicherheitsinteressen des Betriebes verstoßen hat. In diesem Falle ist es notwendig, den entlassenen Mitarbeiter auch aus der Benutzerverwaltung schnellstmöglich zu löschen und jeden weiteren Zugriff auf die Interna des Unternehmens zu unterbinden.

Datenschutz hat also immer auch etwas mit der Auswahl, Ausbildung, Bezahlung und Disziplinierung der Mitarbeiter zu tun. Womit klar werden dürfte, dass Computersicherheit durchaus mit in den Bereich der Personalverwaltung hinüberwirkt. Was passiert zum Beispiel, wenn ein Mitarbeiter kündigt? Wie sicher ist das Unternehmen, dass er wichtige Daten nicht mitnimmt oder löscht? Wer kümmert sich darum, dass seine Zugangsberechtigung rechtzeitig gesperrt wird oder ab welchem Zeitpunkt eine Freistellung sinnvoll ist, damit er keinen Schaden anrichten kann?

Es beginnt mit der organisatorischen Aufgabe, der Vergabe von Passworten, die den Zugang zu den einzelnen Bereichen in der EDV regeln. Die Betriebssoftware Windows 95/98 bietet die Passwortvergabe standardmäßig an, doch der Schutz bezieht sich nur auf Einzelplatzsysteme, auf dem mehrere Mitarbeiter abwechselnd arbeiten oder PCs, die unter Windows 95/98 miteinander verbunden sind. Erst Netzwerke, wie Windows NT, Windows 2000, UNIX oder LINUX bieten die Möglichkeiten einer zuverlässigen und umfassenden Sicherung. Diese geht bis zum Schutz einzelner Dateien. So können z.B. zwar mehrere Mitarbeiter mit einem Programm arbeiten, aber niemand unerlaubt in die Arbeitsunterlagen, Prüfberichte, Entwürfe usw. des anderen eingreifen oder einsehen. Das Verschlüsseln von Dateien oder Ordnern macht diese für nicht autorisierte Mitarbeiter zusätzlich noch unlesbar. Ein weiterer Schritt zur inneren Sicherheit ist die Aufzeichnung von Protokollen der Onlinesitzungen der Mitarbeiter. Eine entsprechende Software regelt den Zugang und zeichnet in Protokollen minutiös auf, wann wer mit wem in Kommunikation getreten ist. Auch ist es mit einem solchen Programm möglich, den Zugriff auf bestimmte Onlineadressen gezielt einzugrenzen.

Eine Empfehlung für ein Antivirenprogramm auszusprechen ist nahezu unmöglich. Bei unserer Recherche zu diesem Thema wurden alleine 2000 Einträge aufgelistet.

Vor Angriffen schützen

Überall dort, wo der Computer geschäftlich eingesetzt wird, sollte auch ein Budget für die Sicherheit gegen Angriffe auf interne Daten eingeplant sein. Die größte Gefahr geht immer noch von Computer-Viren aus. Der Einsatz eines Virenscanners ist somit der Einstieg, um Gefahren von innen (Daten per CD-ROM oder Diskette) und außen (Internet, E-Mail) abzuwehren. Die zunehmenden Angriffe durch Viren haben die Angebote an Virenschutz-Programmen rasant erweitert. Eine Empfehlung für ein bestimmtes Programm auszusprechen ist deshalb nahezu unmöglich. Zudem kommen monatlich nach Ansicht von Fachleuten etwa 400 neue Viren dazu. Es reicht also nicht nur eine Antivirensoftware zu installieren, das Programm muss regelmäßig aktualisiert werden. Moderne Antivirenprogramme erledigen diese Aktualisierung online, also per Internet.

Eine wesentliche Maßnahme zur Vorbeugung gegen die Infektion durch Viren sollte sich allerdings in den Köpfen der Anwender einbrennen: Öffne nie E-Mails, derer Herkunft du dir nicht sicher bist. Die Aufforderung "click here" z.B., ist schon fast ein ausreichender Grund, die Dateien sofort zu löschen. Die fatalen Folgen einer solchen unbekannten Mail haben sich in der Vergangenheit (Stichwort: "I love you") deutlich gezeigt.

Ein weiterer Schritt zur Datensicherheit ist die Überlegung zu einer Firewall, einer Art Schutzbarriere gegen Angriffe von außen (siehe Kasten), was nicht heißt, dass damit ein Virenerkennungsprogramm überflüssig wird. Firewalls sind keine Allheilmittel - die es ohnehin nicht gibt - gegen die Gefahren, die aus dem Internet kommen. Sie können, je nach Ausstattung, die meisten technischen Attacken, wie Spionage, Vandalismus oder Denial of Service* unterbinden (sofern sie regelmäßig aktualisiert werden), gegen datenorientierte Angriffe (z.B. Viren) helfen sie aber nicht.

Sicherheit zusammengefasst

Mittelständische Betriebe als Netzwerkbetreiber haben in den Ansprüchen auf Sicherheit im Datenverkehr zwar ihre eigenen Maßstäbe und lassen sich nicht mit Industrieunternehmen oder öffentlichen Institutionen vergleichen. Der Bedarf an Schutz vor Angriffen auf die Datensicherheit lässt sich aber auch hier nicht kleinreden. Daten, in welcher Form auch immer, sind das Kapital eines jeden Unternehmens. Sei es der Kundenstamm, Kalkulations- oder Planungsdaten oder anderweitige Informationen, es handelt sich immer um ein überlebenswichtiges Unternehmenspotenzial welches unter allen Umständen geschützt werden muss. Wer hat worauf Zugriffsberechtigungen, welche Internetdienste dürfen in Anspruch genommen werden, wer darf sich in das interne Netz einloggen.

Eine Sicherheitsstrategie kann so aussehen:

Schulung der Mitarbeiter
Festlegung der internen Sicherheitsmaßnahmen
Bestimmung der Verantwortlichen hierzu
Festlegung der Sicherheit gegen externe Angriffe
Bestimmung der Verantwortlichen hierzu

Aufgeführt ist hier ein Grobraster, welches von der jeweiligen Größe oder den Ansprüchen des Unternehmens abhängig, individuell ausgearbeitet werden muss.

Interne Sicherheitsplanung

Bei der internen Sicherheitsplanung sollte nach folgenden Regeln vorgegangen werden:

Vertraulichkeit: Der Zugriff auf Firmendaten muss auf einen Personenkreis beschränkt bleiben, der von den Verantwortlichen bestimmt wurde. Jeder nachgewiesene Zugriff von Unbefugten auf Firmendaten muss sofort Zweifel an die Unversehrtheit der Daten hervorrufen und entsprechende Kontrollmechanismen auslösen. Eine Vertraulichkeit nach außen, wie im Internet, kann nur durch Verschlüsselungen erreicht werden.
Unversehrtheit: Daten dürfen nur im Rahmen genau definierter Geschäftsprozesse verändert werden, dazu müssen die Veränderungen autorisiert und nachvollziehbar sein. Im Internet stellt diese Anforderung ein großes Problem dar. Hier gibt es keine Gewissheit, dass eine empfangene Nachricht mit der gesendeten identisch ist, da sie ein Netzwerk mit Millionen angeschlossenen Computern durchläuft.

Authentizität: Es ist schwer, ohne Zweifel festzustellen, wer eine Information in einem Computersystem tatsächlich erzeugt und verändert hat. Beim Datenaustausch im Internet vergrößert sich dieses Problem noch erheblich, da man den Beteiligten häufig nicht einmal kennt. Hier geht es also nicht nur darum, zu verhindern, dass irgendjemand beim Datenaustausch unerkannt "mithört", sondern darum, "wie stelle ich fest, dass sich der Computer wirklich mit dem richtigen Partner unterhält." In Windows 2000 und NT findet der Anwender zu diesem Thema in der "Hilfe" eine ganze Reihe von Beispielen und Tipps, unter Windows 98 sind zu diesem Begriff keine Hinweise hinterlegt, also auch nicht durchführbar.

Verbindlichkeiten: Keiner soll bestreiten können, dass eine Übertragung stattgefunden hat. Im Intranet, also im lokalen Netzwerk (LAN) lässt sich das durch Protokolle leicht belegen. Im Internet dagegen kann jeder behaupten, eine Nachricht nicht erhalten oder nicht versandt zu haben. Zu beweisen ist es nicht. Es wurden verschiedene Verfahren entwickelt, um dieses nun doch beweisen zu können. Ein sogenannter Zeitstempel dokumentiert nicht nur die Authentizität des Absenders, sondern auch den Absendezeitpunkt. Ein weiteres Verfahren ist die "digitale Signatur", deren praktischer Einsatz jedoch noch ganz am Anfang steht.

Firewall

Man unterscheidet zwischen eigenständige und in dem Rechner integrierte Firewalls. Integrierte Systeme sind erfahrungsgemäß weniger flexibel als eigenständige Lösungen. Folgende Funktionen können durch eine Firewall realisiert werden:

Router: Dieser übernimmt die Funktion, Daten zu filtern. Jedes Netzwerk hat eingangsseitig einen Router, der entsprechend konfiguriert werden kann. Nur bietet dieser sehr eingeschränkte Möglichkeiten, Einbruchsversuche zu loggen. Ausgefeilte "access-lists" (Zugriffslisten) benötigen viel Rechnerleistung, was den Datendurchsatz negativ beeinträchtigt.

IP - Maskerade: Wenn ein Netzwerk mit privaten, nicht routbaren IP-Adressen nach RFC 1597 betrieben wird und nur bei Verbindungen nach außen "echte" Adressen durch ein (transparentes) Gateway vergeben werden, so wird das als Maskerade oder Translation bezeichnet. Der Vorteil dieser Lösung liegt darin, dass von außen nur bei einem Verbindungsaufbau von innen auch nur dann über das gerade verwendete Service mit dem geschützten Rechner kommuniziert werden kann. Ein solches sogenanntes IP-Gateway ist die ideale Stelle, um festzulegen, welcher Rechner welche Verbindungen aufbauen darf.

Firewalls auf Applikationsebene: führen die vom Benutzer gewünschten Funktionen (z.B. holen einer HTML-Seite) für diesen aus und stellen ihm das Ergebnis zur Verfügung. Dabei können die Benutzerwünsche auf ihre Konformität mit dem Sicherheitskonzept und die gewonnenen Daten einer Überprüfung unterzogen werden.

Intranet

Werden in lokalen oder internen TCP/IP-Netzen Internet-Technologien, wie http (WWW), smtp (E-Mail) und ftp eingesetzt, so wird dies als Intranet bezeichnet. Meist zentrales Glied eines Intranets ist - wie auch im Internet - der Web-Server. Die Technologie im Internet und Intranet ist identisch, lediglich die Zielsetzung oft eine andere. Intranetlösungen dienen meist der zentralen, einheitlichen und einfachen Bereitstellung von internen Informationen für die Mitarbeiter eines Unternehmens oder der vereinheitlichten, automatisierten und damit Kosten sparenden Vereinfachung von firmeninternen Abläufen.

* Denial of Service: Gezielter Beschuss eines Servers mit riesigen Datenströmen; kann zum Systemabsturz führen. Beispiel: Die Anschläge Anfang dieses Jahres auf Yahoo, Amazone.com und Buy.com.

[Zurück] [Übersicht] [www.ikz.de]