Steuererklärung, Urlaubsvideos, Fotos – im Prinzip ist Ihre Festplatte ein offenes Buch, in das theoretisch jedermann einen Blick werfen kann. Selbst ein Passwort hilft Ihnen wenig, wenn Ihr Notebook geklaut wird – dann bauen die Diebe Ihre Festplatte kurzerhand aus und umgehen so die Passwortabfrage. Und was, wenn Sie den USB-Stick verlieren oder die externe Festplatte im Zug vergessen?

Wir stellen Ihnen 15 Daten-Tresore vor, die ein Geheimnis für sich behalten können. Per Klick legen Sie ein virtuelles verschlüsseltes Laufwerk für sensible Daten an, versehen Ordner über das Kontextmenü mit einem Passwort oder verschlüsseln gleich die ganze Systempartition. Clevere Optionen wie das Verstecken von verschlüsselten Laufwerken oder das Anlegen einer Alibi-Datei stellen sogar professionelle Anforderungen zufrieden.

Dieser Artikel basiert auf einem Beitrag der Computerwoche-Schwesterpublikation PC-Welt.

Verlag orell füssli, 2010, 191 Seiten, 19,90 €

Dr. Thomas Lapp, Vorstandsvorsitzender des NIFIS e.V.: "Wir freuen uns über diese neue Kooperation, die für beide Seiten einen wertvollen Meinungs- und Erfahrungsaustausch beinhalten kann und somit nicht zuletzt auch einen weiteren Mehrwert für unsere Mitglieder darstellt."

Der IT-Sicherheitsverband TeleTrusT Deutschland e.V. wurde 1989 gegründet, um verlässliche Rahmenbedingungen für den vertrauenswürdigen Einsatz von Informations- und Kommunikationstechnik zu schaffen. TeleTrusT entwickelte sich zu einem bekannten Kompetenznetzwerk für IT-Sicherheit. Heute vertritt TeleTrusT rund 100 Mitglieder aus Industrie, Wissenschaft und Forschung sowie öffentlichen Institutionen. In Projektgruppen zu aktuellen Fragestellungen der IT-Sicherheit und des Sicherheitsmanagements tauschen die Mitglieder ihr Know-how aus. TeleTrusT äußert sich zu politischen und rechtlichen Fragen, organisiert Messen und Messebeteiligungen und ist Träger der "European Bridge CA" (Bereitstellung von Public-Key-Zertifikaten für sichere E-Mailkommunikation) sowie des Zertifikates "TeleTrusT Information Security Professional" (T.I.S.P.). Hauptsitz des Verbandes ist Berlin.

Weitere Informationen unter: www.teletrust.de

Was kann der neue Ausweis?

Die eID-Funktion Der neue Ausweis besitzt einen kontaktlosen RFID-Chip mit neuen Funktionen. Die wichtigste ist der elektronische Identitätsnachweis (eID). Mit der eID-Funktion können sich Bürger in Zukunft im Internet einfach und verlässlich ausweisen. Neu dabei: Auch die Online-Anbieter müssen sich ausweisen, wenn sie den Ausweis in ihren Diensten nutzen möchten. Damit weiß jede Seite, mit wem sie kommuniziert. Außerdem gibt es noch eine hoheitliche Funktion mit biometrischem Gesichtsbild und zwei optionalen Fingerabdrücken. Diese Funktion können nur hoheitliche Stellen bei einer Polizei- oder Grenzkontrolle nutzen. Fingerabdrücke und Gesichtsbild können also nicht von Unternehmen abgerufen werden und werden auch nicht per Internet übertragen.

PACE und die PIN machen Bürger zum Herrn seiner Daten

Die technischen Richtlinien für den neuen Ausweis stammen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Sicherheit der kryptographischen Chips und Verfahren ist vorbildlich und entspricht dem aktuellen Stand der Technik. Der Bürger bleibt in jeder Situation Herr seiner Daten und gibt diese über seine PIN frei. Dafür sorgt das PACE-Protokoll. Das sieht vor, dass erst nach der PIN-Eingabe durch den Bürger eine verschlüsselte Verbindung vom lokalen Lesegerät zum Ausweis-Chip hergestellt wird. Unbefugte können also weder PIN noch andere personenbezogene Daten an der Funkschnittstelle des Chips abhören. Anschließend weist sich der Dienstanbieter online mit einem so genannten Berechtigungszertifikat gegenüber dem Ausweis-Chip aus. Der Chip prüft, ob der Dienstanbieter Informationen aus dem Ausweis auslesen darf und welche das sind. Danach weiß der Bürger, mit welchem Dienstanbieter er es zu tun hat und kann ihm das Recht gewähren, die nötigen Daten aus dem Ausweis zu lesen. Erst wenn auch der Chip sich beim Dienstanbieter ausgewiesen hat, beginnt die verschlüsselte Übermittlung der Daten. Das garantiert dem Bürger, dass niemand außer dem Dienstanbieter seine Daten erhält. Der Dienstanbieter hingegen kann sich sicher sein, dass die an ihn übermittelten Daten aus einem echten Ausweis stammen.

Mehr Datenschutz: Altersverifikation und Pseudonym

Welche Daten der Online-Anbieter vom Ausweis lesen darf, regelt das BVA-Berechtigungszertifikat, das dem Bürger zu Beginn der Kommunikation angezeigt und vom Chip geprüft wird. Ohne Berechtigungszertifikat und gegenseitige Authentisierung gibt der Ausweis-Chip keine Daten frei. Der Chip unterstützt zudem datensparsame Funktionen, z.B. die Altersverifikation ohne Preisgabe des genauen Geburtsdatums z.B. für den Jugendschutz am Zigarettenautomaten, die Wohnortverifikation ohne Preisgabe der genauen Adresse z.B. für regional begrenzte Dienste, und die Ausgabe eines Pseudonyms z.B. für Dienste, die keine personenbezogenen Daten benötigen, aber einen bereits registrierten Kunden wieder erkennen möchten. Es handelt sich um ein chip- und dienstspezifisches Kennzeichen, d.h. unterschiedliche Dienste erhalten unterschiedliche Pseudonyme vom Chip und könnten damit keine dienstübergreifenden Kundenprofile erstellen.

Der BürgerClient

Um den Ausweis sicher nutzen zu können, benötigt der Bürger eine Software, den BürgerClient, und einen Kartenleser, möglichst mit PIN-Eingabefeld, damit die PIN nicht am unsicheren PC eingegeben werden muss. Der Dienstanbieter schließt seinen Web-Server an einen eID-Service an, der die Integration der eID-Funktion in bereits existierende Web-Anwendungen ermöglicht und die sichere Kommunikation mit dem Ausweis übernimmt. Das BMI beauftragte ein Konsortium mit der Entwicklung des BürgerClients und Bereitstellung eines eID-Services. Weitere Anbieter von eID-Services und Software werden folgen - auch Open Source. Voraussichtlich im September werden die ersten Kartenprodukte, Kartenleser und Software zugelassen sein.

Anwendungstest

Damit im November den Bürgern möglichst viele attraktive Nutzungsmöglichkeiten für den neuen Ausweis zur Verfügung stehen, testen derzeit 30 Dienstanbieter in einem groß angelegten Anwendungstest die neue Technik auf Funktion, Integration, IT-Sicherheit und Benutzerfreundlichkeit. So möchte beispielsweise das E-Government-Konsortium Hagen Rathaus 21 den neuen Ausweis zum Vorausfüllen von Web-Formularen, für Selbstauskünfte gegenüber dem Bürger und für die Optimierung interner Verwaltungsprozesse nutzen. Die Deutsche Rentenversicherung wird dem Bürger die Online-Abfrage des eigenen Rentenkontos ermöglichen und das Bayerische Landesamt für Steuern die bequeme Registrierung mittels neuen Ausweises am ELSTER-Onlineportal. Erste Dienste für den neuen Ausweis werden vom 2. bis zum 6. März auf der CeBIT vorgestellt. Weitere interessierte Unternehmen und Behörden können sich auch am offenen Anwendungstest beteiligen. Nähere Informationen stehen unter www.ccepa.de.

Zum Fraunhofer-Institut SIT: Als Teil des "Kompetenzzentrums Neuer Personalausweis" testet das Fraunhofer-Institut SIT im Anwendungstest die Kommunikation zwischen den Komponenten auf IT-Sicherheit und unterstützt Anbieter bei der richtigen Einbindung der eID-Funktion. Mögliche Fehlerquellen und Implementierungsfreiräume werden untersucht und für den Support der Dienstanbieter aufbereitet. Denn die Sicherheitstechnik des Ausweises hilft nur, wenn die Unternehmen sie fehlerfrei und ordnungsgemäß nutzen werden – dies gilt insbesondere für den eID-Server und die angeschlossenen Web-Server.

Glossar

BSI = Bundesamt für Sicherheit in der Informationstechnik, zuständig für die technischen Richtlinien des neuen Ausweises

BVA = Bundesverwaltungsamt, betreibt die Vergabestelle für Berechtigungszertifikate

eID = Elektronische Identitätsfunktion für die Online-Nutzung gegenüber E-Commerce und E-Government

ELSTER = Elektronische Steuererklärung

Fraunhofer-Institut SIT = Fraunhofer-Institut für Sichere Informationstechnologie

PACE = "Password-Authenticated Connection Establishment" zum Aufbau einer authentisierten verschlüsselten Verbindung zu einer kontaktlosen Chipkarte mittels Diffie-Hellman Schlüsselaustausch

QES = Qualifizierte Elektronische Signatur nach deutschem Signaturgesetz für die rechtverbindliche Unterschrift im elektronischen Geschäftsprozess

RFID = Radio Frequency Identification, Kommunikation mit kontaktlosen Chipkarten per Funk

IT-Verantwortliche müssen also Möglichkeiten schaffen, die Sicherheit in der internen IT mit der Offenheit der Internet- und mobilen Welt zu verknüpfen. Dazu müssen sie die Gefahrenquellen kennen. Der kostenlose Ratgeber "IT-Sicherheit: So schützen Sie Ihre IT" aus der Reihe COMPUTERWOCHE Mittelstand beschreibt neue Bedrohungsszenarien und nennt Tools und Verfahren, die Abhilfe schaffen. In der Sonderausgabe widmen sich Berater und Experten folgenden Themen:

• Neue Risiken: Die traditionelle IT-Security schützt nicht vor personalisierten Phishing-Attacken.

• E-Mail-Schutz: Bieten externe Provider mehr Sicherheit in der E-Mail-Kommunikation?

• Windows 7: Microsoft hat in puncto Security deutlich nachgebessert.

• Endpoint-Security: Der Schutz der Endgeräte muss die Balance zwischen Sicherheit und Produktivität wahren.

• Web Application Firewall: Schutzmauer für unsichere Anwendungen.

Den kostenlosen Ratgeber "IT-Sicherheit: So schützen Sie Ihre IT" steht hier zum kostenlosen Download bereit.

Quelle: http://www.computerwoche.de/mittelstand/1927610/?r=456617216580116&lid=67265

Prof. Christof Paar: Damit bezeichnen wir Alltagsgeräte, die über einen integrierten Rechner eine eigene Intelligenz besitzen – von der Waschmaschine übers Mobiltelefon bis hin zum Automobil. 98 Prozent aller produzierten Mikroprozessoren werden inzwischen in solchen eingebetteten Systemen eingebaut.

NIFIS: Warum ist bei Geräten IT-Sicherheit überhaupt von Bedeutung?

Prof. Christof Paar: Es gibt immer mehr wichtige Funktionen in eingebetteten Geräten, die manipulierbar sind. So entstehen neue Herausforderungen an die IT-Sicherheit – von der Absicherung der Kommunikation über eine sichere Benutzerauthentisierung bis zum Schutz digitaler Inhalte und der Privatsphäre.

NIFIS: Wo besteht besonderer Handlungsbedarf?

Prof. Christof Paar: Wichtige Bereiche sind Autoelektronik, Mobilfunk und SmartCards. Zunehmend werden aber auch Anwendungen wie Unterhaltungselektronik, Werkzeugmaschinen oder Geld- und Spielautomaten mit externen Schnittstellen ausgestattet. Dadurch werden sie verwundbar.

NIFIS: Wie können Unternehmen ihre Produkte sicherer machen?

Prof. Christof Paar: Hierbei helfen kryptografische Verfahren in der Software. Bei hohen Sicherheitsanforderungen kommen zum Teil spezielle Krypto-Chips zum Einsatz. Wichtig ist, dass Unternehmen das ganze System unter Sicherheitsaspekten betrachten.

NIFIS: Wer hilft ihnen dabei?

Prof. Christof Paar: Das an der Bochumer Ruhr-Universität angesiedelte eurobits Kompetenzzentrum ist auf dem Gebiet "Embedded Security" international führend. Über ein spin-off, die escrypt – Embedded Security GmbH, unterstützen wir Hersteller vom Systementwurf bis zur Implementierung starker Sicherheitsmaßnahmen in ihre Endprodukte.

Was ist schützenswert?

Unter dem Strich geht es Unternehmen darum, ihr geistiges Eigentum zu sichern. Konstruktionspläne, Kunden- oder Mitarbeiterdaten, Bilanzen - gelangen solche Informationen in fremde Hände, kann beträchtlicher Schaden entstehen.

Typischerweise geraten Daten über folgende Wege in die Hände Unbefugter:

• Schadprogramme, die sich über E-Mail oder Web-Seiten verbreiten;

• Schadprogramme, die zu Hause auf USB-Sticks, Smartphones oder MP3-Player gelangen;

• Versand von vertraulichen Daten per E-Mail, entweder versehentlich oder mit Absicht;

• unerlaubtes Kopieren von Daten auf USB-Wechselmedien;

• unerlaubtes Ausdrucken von Daten;

• Verlust von Notebooks oder Smartphones durch Diebstahl oder Unachtsamkeit.

Das bedeutet, dass der Schutz des geistigen Eigentums an mehreren Stellen ansetzen muss: Lösungen sind gefragt, nicht punktuelle Technologien.

Mit dem Schutz der verschiedenen Geräte verbinden die meisten Menschen in erster Linie den klassischen Virenscanner, der, lokal installiert, Schadprogramme aus den Datenströmen filtert oder von der Festplatte verbannt. Er kann aber nur gegen einen Teil der Angriffe schützen.

Social Engineering

Das Social Engineering ist eine perfide und oft erfolgreiche Methode, an sensible Daten eines Unternehmens zu gelangen. Dabei konzentriert sich der Angriff auf einen Mitarbeiter. Im einfachsten Fall gibt sich ein Angreifer am Telefon als Administrator aus und bittet das Opfer um dessen Zugangsdaten. Auch das bekannte Phishing zum Abgreifen von Online-Banking-Daten zählt zu dieser Kategorie. Zielt das Phishing nur auf eine Person ab, wird es als Spear Phishing bezeichnet.

Die Grenzen der Firewalls

Eine Möglichkeit, den PC vor Schadprogrammen zu schützen, die vom Virenscanner nicht erkannt werden können, ist das so genannte Application Blocking. Dabei wird nur bestimmten Anwendungen auf dem PC Zugang zum Internet gewährt. Schadprogramme, die ohne Wissen des Nutzers Firmendaten versenden, bleiben somit außen vor. Dieses Verfahren ist mittlerweile Bestandteil vieler Personal Firewalls, hat aber auch seine Schattenseiten. Neue Anwendungen werden auch dann geblockt, wenn der Mitarbeiter sie für seine Arbeit benötigt. Hier muss zunächst ein Administrator Hand anlegen. Und nach einem größeren Update kann es sein, dass auch bereits legitimierte Programme wie Browser oder Mail-Clients nicht mehr auf das Internet zugreifen dürfen.

Der Aufwand ist erheblich und nur zu bewältigen, wenn die IT-Abteilung genügend Know-how und Mitarbeiter hat. Die bei den meisten Personal Firewalls genutzte Methode, den Endanwender entscheiden zu lassen, ob eine Anwendung auf das Internet zugreifen darf, ist auch nur in Einzelfällen praktikabel: Welcher Benutzer verfügt über das nötige Know-how, um solche Entscheidungen sicher zu fällen? So kann das Application Blocking keinen absoluten Schutz gewährleisten.

Mobile Daten verschlüsseln

Verschlüsselungstechniken sind unverzichtbar, wenn Daten auf mobilen Geräten oder Wechselmedien wie etwa USB-Sticks das Unternehmen verlassen. Eine Festplatten- und Datenträgerverschlüsselung kann ein Datenleck bei Verlust eines Notebooks verhindern. Wenn gespeicherte Daten in falsche Hände geraten, kann das die Existenz eines Unternehmens gefährden: Es können sich Haftungsansprüche ergeben, weil etwa die Bestimmungen des jüngst verschärften Bundesdatenschutzgesetzes verletzt oder Verträge mit Geschäftspartnern weitergereicht wurden. Zudem leidet die Reputation einer Firma unter solchen Vorfällen massiv. Der Markt bietet verschiedene, leicht implementierbare Lösungen für den Datenschutz. Ratsam ist vor allem, die Verwaltung der notwendigen Passwörter komfortabel zu gestalten. Schließlich muss es möglich sein, dem legitimen Besitzer der Daten auch dann den Zugriff zu ermöglichen, wenn er sein Passwort vergessen hat.

Trotz aller Sicherungsmaßnahmen wird man jedoch einen unerwünschten Verlust vertraulicher Informationen nie völlig verhindern können. An den Arbeitsplätzen muss letztendlich eine pragmatische Balance zwischen Sicherheit und Produktivität gefunden werden. Zu strenge Reglements stören den Arbeitsfluss. Wichtig ist deswegen, dass stets nachvollziehbar ist, welcher Mitarbeiter was mit den sensiblen Daten gemacht hat.

Die starke Authentifizierung trägt dazu bei. Dabei wird ein Mitarbeiter nach seiner Anmeldung am PC auch an allen Datenquellen mit seinem Benutzernamen registriert. Alle Aktionen im Netzwerk oder auf lokalen Datenträgern können ihm genau zugeordnet werden. Tauchen sensible Daten außerhalb des Unternehmens auf, ist deren Weg nachvollziehbar. Davon können auch Mitarbeiter profitieren: Durch die Authentifizierung ist es möglich, Vorsatz von Versehen zu unterscheiden. Die Geschäftsführung sollte dabei aber bedenken: Die Nachvollziehbarkeit aller Datenzugriffe darf nicht dazu führen, dass sich die Mitarbeiter ausspioniert fühlen.

Produkte sind zweitrangig

Um die stationären und mobilen Arbeitsplätze zu schützen, reicht es nicht, einzelne Technologien wie Authentifizierung oder Virenschutz zu implementieren. Notwendig sind Lösungen, die dem Unternehmen auf allen Ebenen den nötigen Schutz verschaffen.

Der Schutz von Netzen und Geräten muss also als mehrstufiges Konzept betrachtet werden. Im Idealfall besteht dieses aus

• zentralen Gateway-Firewalls;

• dem Virenschutz;

• einer Personal Firewall;

• Filtern auf dem PC als dem zentralen Gateway, die verdächtige Web-Adressen und Internet-Inhalte aussortieren;

• der Verschlüsselung von Datenträgern;

• einer E-Mail-Verschlüsselung sowie

• der starken Authentifizierung der Nutzer.

Noch gibt es kein einzelnes Produkt, das alle Aufgaben erledigen kann. Lösungen, die gerade den besonderen Bedürfnissen des Mittelstands - leichte Administrierbarkeit, geringe Infrastrukturkosten und langfristiger Investitionsschutz - gerecht werden, lassen sich allenfalls aus vorhandenen Tools und Konzepten zusammensetzen. Welche Techniken und Produkte konkret genutzt werden, ist dabei zweitrangig. Jeder Virenscanner eines namhaften Herstellers ist in der Lage, Schadprogramme von den Arbeitsplätzen fernzuhalten. Entscheidend ist, wie die Lösung sich in die Arbeitsprozesse und die Strategie des Unternehmens einfügt. (jha)

Quelle: http://www.computerwoche.de/mittelstand/1927548/

Doch Spam ist nur ein Punkt, der im Rahmen von E-Mail-Sicherheit eine Rolle spielt. Nach übereinstimmender Einschätzung aller IT-Sicherheitsfirmen ist die E-Mail immer noch die wichtigste Waffe im Arsenal von Cyber-Kriminellen. Mittlerweile enthalten nach Angaben von IT-Sicherheitsfirmen wie Trend Micro, Symantec, McAfee und Kaspersky etwa zwei bis 4,5 Prozent der dubiosen Werbebotschaften Schadsoftware: von Viren über Trojaner, Software zum Mitschneiden der Tastatureingaben von Usern (Key-Logger) bis hin zu Links, die den Nutzer auf Malware-verseuchte Web-Seiten führen sollen.

Ein weiterer klassischer Schwachpunkt von E-Mail-Infrastrukturen ist nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass Anwender, speziell aus dem Mittelstand, allzu oft auf das Verschlüsseln wichtiger Nachrichten verzichten. Das macht es Angreifern leichter, E-Mails mit Unternehmensinformationen abzufangen.

Mittelstand unterschätzt Gefahren

Im Gegensatz zu Großunternehmen sind sich kleinere Betriebe oft der Gefahren nicht bewusst, die durch einen unzureichenden Schutz der elektronischen Kommunikation drohen. "Oft nutzen sie nicht einmal einen Proxy-Server, um den Datenverkehr aus dem Internet zu filtern", sagt Oliver Pifferi, Projekt-Manager und IT-Sicherheitsexperte beim Systemhaus Kriehn.net aus Bottrop. "Das ist geradezu fahrlässig." Einem mittelständischen Unternehmen, das seinen E-Mail-Verkehr gegen Angriffe absichern möchte, stehen drei Alternativen zur Wahl:

• E-Mail-Server und Client-Rechner in Eigenregie verwalten und entsprechende Schutzmaßnahmen treffen.

• Gehostete E-Mail-Sicherheitslösungen verwenden. Dabei greift der Anwender auf Hard- und Software zurück, die bei einem IT-Service-Provider stehen.

• E-Mail-Server und Sicherheitslösungen werden beim Anwender installiert. Den Betrieb und das Management dieser Systeme übernimmt jedoch ein externer Dienstleister, Stichwort Managed Service.

Der Eigenbetrieb: Produkte gibt es zuhauf

Der klassische Ansatz, auf den hierzulande immer noch viele Firmen zurückgreifen, besteht darin, E-Mail-Server und die dazugehörigen Sicherheitssysteme in Eigenregie zu betreiben. Der Vorteil dieser Lösung ist, dass der Anwender zu jeder Zeit die Kontrolle über den elektronischen Nachrichtenverkehr hat. Das hat allerdings seinen Preis: Das Unternehmen muss den Server und die entsprechende Messaging-Software anschaffen, etwa Microsoft Exchange oder Lotus Domino. Hinzu kommen die Kosten für Sicherheitssysteme, speziell ein E-Mail-Gateway. Solche Gateways stehen in zwei Versionen zur Auswahl, als Hardware-Appliance oder als Softwarelösung, die auf einem Server installiert wird.

Neben etablierten IT-Security- und Netzwerkfirmen wie Check Point, Cisco, F-Secure, Kaspersky, McAfee, Symantec oder Trend Micro bieten viele kleinere Unternehmen solche Gateways an. Dazu gehören Alt-N ("Security Gateway"), Astaro ("Mail Gateway"), Barracuda Networks ("Spam & Virus Firewall"), M86 ("Mail Marshal") oder Underground 8 ("AS Communication Gateway"). Viele dieser Systeme verwenden als Betriebssystem eine Linux-Version.

Aktuelle Gateways kombinieren mehrere Sicherheitsfunktionen. Sie dienen als Proxy, bieten teilweise einen Viren-, Spyware- und Spam-Schutz und stellen einen Content-Filter bereit. Dieser analysiert nicht nur elektronische Nachrichten auf Schadsoftware, sondern prüft auch den normalen Internet-Verkehr. Ist zudem ein Application-Level-Gateway (ALG) integriert, kann der IT-Administrator den Internet-Verkehr auf Anwendungsebene kontrollieren, also beispielsweise Peer-to-Peer-Verbindungen blockieren.

Nicht nur den E-Mail-Server im Auge behalten

Wichtig ist, dass nicht nur der E-Mail- oder Messaging-Server abgesichert ist. Oft wird übersehen, dass die Client-Rechner eine Security-Software benötigen. Diese sollte folgende Funktionen bieten:

• Spam-Filter;

• Anti-Phishing-Funktion;

• Virenschutz sowie

• Personal-Firewall.

Leider nehmen es gerade kleinere und mittelständische Firmen aus Kostengründen mit dem Schutz der Client-Rechner nicht allzu genau: "Auch der Mittelstand spürt die Folgen der Wirtschaftskrise", so Jan Hichert, Geschäftsführer der IT-Sicherheitsfirma Astaro. "Das ist der Grund, weshalb immer mehr Unternehmen auf Consumer-Produkte zurückgreifen, um ihre IT-Umgebungen abzusichern." Diesen Paketen fehlt beispielsweise eine Management-Konsole, mit deren Hilfe ein Systemverwalter die Programme auf den Clients zentral verwalten kann. Zudem können sie keine Security-Policies auf- und durchsetzen. Die Regelwerke sind wiederum notwendig, um beispielsweise den Schmuggel von Unternehmensinformationen via E-Mail zu unterbinden. Das ist ein Sicherheitsrisiko, das oft unterschätzt wird.

Der Nachteil einer selbst gemanagten E-Mail-Sicherheitslösung liegt auf der Hand: Anschaffung und Betrieb der Systeme kosten Geld und Zeit. Die IT-Abteilung muss geschulte Mitarbeiter abstellen, die sich um diese Geräte kümmern. Gerade für kleinere Unternehmen ist das problematisch.

Gehostete Lösungen für den Mittelstand

"Seitdem die IT-Budgets nicht mehr steigen, verzeichnen wir ein steigendes Interesse an gehosteten E-Mail-Lösungen", sagt Jörg Heckwolf, Solution Manager IT-Security beim Systemhaus Controlware. In gehosteten E-Mail-Sicherheitslösungen steht die Hard- und Software beim Service-Provider. Er ist dafür zuständig, dass die Systeme stets auf dem neuesten Stand sind und dass aktuelle Malware-Signaturen eingespielt sowie Spam-Quellen geblockt werden. Alle E-Mails, die ein Unternehmen sendet oder empfängt, werden über die Server des Dienstanbieters geleitet und dort überprüft. Diese Systeme stehen in der Regel in Rechenzentren des Providers.

Checkliste E-Mail-Sicherheitsservices

1. Wie hoch ist das E-Mail-Aufkommen, das der Anbieter durch seine Systeme schleust? Je höher die Zahl der überprüften E-Mails, desto größer ist die Wahrscheinlichkeit, dass der Anbieter Spam- oder Virenwellen frühzeitig erkennt.

2. Welche anderen Security-Dienste stellt der Provider bereit? Je mehr Know-how ein Anbieter im Bereich IT-Sicherheit hat, desto besser. Zudem kann der Anwender dann notfalls ergänzende Security-Angebote ordern, ohne den Provider zu wechseln.

3. Stammen die Techniken, die der Provider einsetzt, aus eigener Entwicklung, oder hat er sie als OEM-Partner zugekauft? Firmen, die eigene Produkte einsetzen, haben die Kontrolle über die Weiterentwicklung der Hard- und Software.

4. Enthält das Service-Level-Agreement des Providers Aussagen über zentrale Punkte? Dies sind die Verfügbarkeit des Dienstes, die Effizienz der Anti-Spam-Maßnahmen, die Zahl der versehentlich als Spam eingestuften E-Mails (False Positives), die Effizienz des Virenschutzes und die Verzögerungszeiten bei der Weiterleitung von Kunden-E-Mails, die durch den Prüfvorgang anfallen.

5. Welche Vergütungen bietet der Provider für den Fall an, dass er ein SLA nicht einhalten kann? Anbieter, deren Serviceangebot auf wackligen Füßen steht, werden dem Anwender keine Rückerstattung von Gebühren für den Fall anbieten, dass der Service nicht in der vereinbarten Qualität erbracht wird.

Die Anbieterszene für Hosted-E-Mail-Security hat sich in den vergangenen zwei Jahren enorm vergrößert. Spezialanbieter wie Messagelabs, Postini oder Retarus haben Konkurrenz von den Herstellern von Antivirus- und Anti-Spam-Software bekommen. Zu den bekanntesten Firmen aus diesem Bereich zählen Symantec, das sich Messagelabs einverleibte, Trend Micro, McAfee und Kaspersky. Die Anbieter bauen auf Basis von Software-as-a-Service-Modellen (SaaS) und Messaging-Services ihre Produktspektren aus, um schrumpfende Margen im Geschäft mit Sicherheitssoftware auszugleichen.

Anwender verlieren Know-how

Für Mittelständler haben solche Dienste einen gewissen Reiz: "Gehostete E-Mail-Sicherheitsdienste machen die Kosten transparent", erläutert Controlware-Manager Heckwolf. "Das gefällt den Finanzchefs." In der Regel wird ein solcher Service auf Basis der betreuten Anwenderzahl abgerechnet. Pro Arbeitsplatz fallen je nach Umfang der genutzten Dienstleistungen ungefähr zwischen zwei und fünf Euro im Monat an.

In diesem Modell müssen sich Anwender weder um die Anschaffung noch den Betrieb der E-Mail-Security-Infrastruktur kümmern. Die Kosten sind kontrollierbar und kalkulierbar, weil feste Monats- oder Jahresgebühren vereinbart wurden. Sollte die Zahl der Anwender zunehmen oder durch Entlassungen schrumpfen, lässt sich der Servicevertrag mit dem Anbieter relativ einfach anpassen. Es entstehen keine versteckten Kosten durch unter- oder überdimensionierte Hardware oder ungenutzte Softwarelizenzen.

Doch der Ansatz hat auch Nachteile: Der Anwender wird in einem gewissen Maß von seinem Service-Provider abhängig. "Ein schneller Anbieterwechsel funktioniert in der Regel nicht", warnt Heckwolf. Im Outsourcing von E-Mail-Sicherheitsservices sei es wichtig, dass die Rahmenbedingungen in einem Service-Level-Agreement (SLA) fixiert sind. Diese Vereinbarung legt fest, welche Dienstgüte ein Service-Provider zu liefern hat, also wie viel Prozent der Spam-E-Mails erkannt werden müssen, wie lange die Reaktionszeit bei Problemen sein darf und welches E-Mail-Aufkommen gefiltert wird. Es gibt jedoch keine Garantie, dass dieser Vertrag alle Aspekte beinhaltet und von Anwendern professionell abgewickelt wird. Mitunter muss hier Lehrgeld gezahlt werden.

Fernwartung statt Do-it-yourself

Einen guten Kompromiss zwischen einer Inhouse-Lösung und dem Outsourcing der gesamten Messaging-Infrastruktur inklusive der Sicherheitskomponenten sind gemanagte E-Mail-Dienste (Managed Services). Dieser Ansatz ist vor allem für Anwender interessant, die die Kontrolle über ihre E-Mail-Server und Security-Gateways behalten möchten.

Die Hardware, also E-Mail-Server, Proxy-Systeme und Gateways, stehen in diesem Fall beim Anwender. Ein externer Service-Provider ist für den Betrieb und die Verwaltung der Lösung zuständig. Das hat für den Nutzer den Vorteil, dass die IT-Abteilung von dieser Aufgabe entlastet wird. Einen solchen Service bietet etwa das Systemhaus Kriehn an. Mitarbeiter der Firma überwachen die E-Mail-Server und Sicherheitssysteme bei den Anwendern via Fernverbindung (Remote Access).

Managed Services vom Systemhaus

"Diese Lösung ermöglicht es uns, über eine zentrale Management-Konsole aus der Ferne die Systeme der Anwender zu überprüfen, Patches oder neue Software einzuspielen und den Status der Lizenzen zu kontrollieren", sagt Oliver Pifferi. Umgekehrt meldet die Lösung dem Systemhaus, wenn groß angelegte Angriffe auf E-Mail-Server und Client-Rechner von Kunden laufen. Die Fachleute der Firma können dann Gegenmaßnahmen einleiten.

Ein weiterer Vorteil dieses Ansatzes: Der Anwender hat die Möglichkeit, die Dienstleistung bei seinem Haus-und-Hof-IT-Lieferanten zu ordern. Firmen wie Symantec, McAfee, Trend Micro und andere forcieren derzeit bei ihren Partnerfirmen das Modell "Managed Services". So erhalten auch kleine Systemhäuser oder DV-Fachhändler die Möglichkeit, einen E-Mail-Sicherheitsdienst bereitzustellen. Die Kosten einer solchen Lösung bewegen sich etwa im Rahmen von Hosted-Services.

Nachteilig können Managed-E-Mail-Services sein, wenn Anwender - ähnlich wie bei gehosteten Angeboten - Know-how nach außen geben, also vom Dienstleister abhängig werden. Hinzu kommt, dass die Hersteller von E-Mail-Security-Produkten derzeit gerade kleine Systemhäuser als Anbieter solcher Dienstleistungen rekrutieren. Nicht jedes dieser Unternehmen dürfte jedoch der Aufgabe gewachsen sein. Setzt ein Anwender auf einen gemanagten E-Mail-Service, sollte er daher Faktoren wie Dienstgüte und Reaktionszeiten der Support-Abteilung in einem detaillierten Service-Level-Agreement festschreiben.

Unified Communications fördert Hosting

Neue Entwicklungen in den Bereichen E-Mail, Messaging und Unified Communications (UC) rücken das Thema "E-Mail-Security" weiter in den Mittelpunkt, und in diesem Zuge gewinnen Hosting-Dienste für den E-Mail- und Messaging-Betrieb an Bedeutung. Der Trend wird von Anbietern gefördert. Microsoft bietet etwa mit der Online-Version von Exchange eine Alternative zu Exchange-Servern, die der Anwender im eigenen Haus betreibt. Der Service ist an Mittelständler gerichtet und kostet etwa 3,50 Euro pro Benutzer und Monat.

Alternativen gibt es von Google (Google Apps - rund 50 Dollar pro Nutzer im Jahr), IBM (Live iNotes) und Cisco Systems (Webex Mail). Wer auf solche Angebote zurückgreift, ordert E-Mail-Sicherheit im Paket. Für Mittelständler, die auf den eigenen E-Mail-Server im Rechnerraum verzichten können, ist dies eine verlockende Option. (jha)

Quelle: http://www.computerwoche.de/mittelstand/1913250/

Die gesamte Geschäftstätigkeit eines jeden Unternehmens ist heute mehr denn je von einer IT-Hochverfügbarkeit abhängig. Deshalb sollten effiziente Sicherheitskonzepte und Notfallstrategien zu Standardmaßnahmen in den Betrieben gehören und nicht erst nach einer Katastrophe entwickelt werden. Was zudem unterschätzt wird: Verstärkte gesetzliche Sicherheitsrichtlinien, wie KonTraG oder Basel II, fordern die Umsetzung eines umfangreichen Sicherheitskonzepts.

In diesem Zusammenhang sind ein individuell abgestimmtes und effizientes IT-Sicherheitssystem sowie ein genau definiertes Krisenmanagement Pflicht. Dabei geht es nicht nur um die logische und technische Sicherheit der IT. Im Sinne eines ganzheitlichen Sicherheitsmanagements muss auch die physikalische Komponente berücksichtigt werden, um Totalausfälle grundsätzlich zu verhindern. Von Relevanz ist neben einer raschen Wiederherstellung des Betriebsablaufs die Reduzierung von Ausfallzeiten auf ein Minimum. Um Business Continuity im Notfall zu sichern, sollten IT-Notfallpläne strategisch entwickelt und umgesetzt werden.

In nur 3 Schritten zu einer erfolgreichen IT-Notfallplanung

Basis für die IT-Notfallplanung ist eine Business Impact Analyse (BIA) und eine Risikoanalyse. Mittels dieser werden Korrelationen einzelner Unternehmensbereiche aufgedeckt sowie Konsequenzen bei Prozessausfällen aufgeführt. Die Entwicklung geeigneter Konzepte sowie die fachkundige Implementierung festgelegter Sicherheitslösungen bilden die weiteren Stationen einer erfolgreichen IT-Notfallplanung.

Die BIA eruiert die Empfindlichkeiten wichtiger IT-Prozesse. Die Gefahrenanalyse knüpft daran an und erfasst die bestehenden physikalischen Risikofaktoren und fragt, welche Konsequenzen eine IT-Beeinträchtigung für das Unternehmen haben kann bzw. welche Schutzziele sich daraus ableiten lassen.

Ferner müssen während der Analyse folgende Fragen beantwortet werden: Wer wird im Notfall informiert? Welche Personen sitzen im Krisenmanagement und welche Funktionen übernehmen sie dort? Wie werden die unternehmenskritischen Geschäftsfunktionen fortgeführt? Informationen über Umfang möglicher Schäden, einzelne Risikoarten (höhere Gewalt: Feuer, Überschwemmung; technisches Versagen: Netzwerkausfall; menschliches Versagen: fehlende Sensibilisierung; vorsätzliches Handeln: Spionage) sowie deren Eintrittswahrscheinlichkeit (unrealistische Fälle, Problemfälle, kritische Fälle) vervollständigen die Analyse und klären den Handlungsbedarf. Die daraus gewonnenen Daten definieren den Soll-Zustand für die Notfallplanung und den maximal tolerierbaren Datenverlust nach zuletzt erfolgter Sicherung.

Es folgt in einem zweiten Schritt die Desaster-Recovery-Strategie (DRS). Diese bestimmt die Vorkehrungen, die zur Rekonstruktion der Datenbestände nach einem Katastrophenfall nötig sind und die zu einer Wiederaufnahme der Geschäftstätigkeit innerhalb kürzester Zeit beitragen. Aus den definierten Soll- und Mindestanforderungen für die Aufrechterhaltung des Geschäftsbetriebs resultieren Wiederanlaufzeiten, die sog. Recovery Points Objective, und Wiederanlaufdauer, auch Recovery Time Objective genannt, die auf einen minimalen Wert reduziert sein müssen.

Damit dies gewährleistet ist, sind eventuelle bauliche, technische oder organisatorische Modifikationen von Relevanz. Backup-Konzepte, Storagesysteme, Hard- und Softwarelösungen sowie eine unterbrechungsfreie Stromversorgung (USV) müssen ebenfalls berücksichtigt werden. Darüber hinaus zählt zu den obligatorischen Vorkehrungen einer erfolgreichen Business Continuity die Datensicherung. Ob Bänder, Ausweichräume, Server-Cluster oder räumlich getrennte Rechenzentren nötig sind, orientiert sich an dem Verfügbarkeitsanspruch der geschäftskritischen Daten der einzelnen Unternehmen.

In diesem Zusammenhang sollten die Sicherheitskategorien überprüft und gegebenenfalls Zugriffsregelungen implementiert werden. Abschließend wird der Umfang der Service-Levels in Absprache mit dem Kunden definiert.

Die Planung und Umsetzung der Strategie in einem dritten Schritt geht mit der Optimierung der bisherigen IT-Infrastruktur einher. Dabei ist eine gut organisierte Projektkoordination wichtig, damit Sanierung, Umbau und/oder Auslagerung von IT-Komponenten zügig und erfolgreich durchgeführt werden können.

Im optimalen Fall sollten die entwickelten Strategien in einem Notfallhandbuch zusammengefasst werden, damit Alarm- und Ablaufpläne für das beteiligte Personal jederzeit verfügbar sind und Handlungsanweisungen im Notfall umgesetzt werden können. Kontinuierliche Notfallübungen runden einen professionellen Notfallplan ab und sichern damit den reibungslosen Ablauf im Ernstfall.

Höchste Ansprüche an die Planungs-Spezialisten

Erfolgreiches Business Continuity zeigt sich, wenn detaillierte Risikoanalyse, Planungsprozesse für die Aufrechterhaltung der Geschäftsaktivität und Implementierung nahtlos ineinander greifen. Kompetente Spezialisten sind gefragt, die interdisziplinär die Zusammenhänge von Planung, Durchführung und Dokumentation erkennen. Für die ganzheitliche Sicherheitslösung und -umsetzung steht in der Regel nur ein Ansprechpartner zur Verfügung. Dabei wird branchenunabhängig ein individuelles IT-Konzept entwickelt, welches den gesetzlichen Anforderungen nicht nur gerecht wird, sondern auch mittelfristig absehbare Änderungen berücksichtigt.

Die Top 5 der häufigsten Fehler im Vorfeld der IT-Planung

1. Mangelndes Engagement bzw. Zeitmangel verhindern eine intensive Auseinandersetzung mit geeigneten IT-Sicherheitsmaßnahmen und -lösungen
2. Mangel an IT-Fachpersonal
3. Ungeklärte Zuständigkeiten
4. Fehlende Dokumentation bereits aufgetretener Probleme
5. Fehlende Vernetzung der einzelnen Abteilungen für eine ganzheitliche und effiziente IT-Sicherheit

Kontakt:

Thomas Federrath

Geschäftsführer der proRZ Rechenzentrumsbau GmbH

Auf dem Molzberg 2

57548 Kirchen / Rheinland-Pfalz

Tel. +49 (02741) 9387-18

Fax +49 (02741) 9387-11

E-Mail: federrath(at)prorz.de

Internet: www.prorz.de

Vor diesem Hintergrund gibt es eine Reihe von Strategien zur Verringerung der Sicherheitslücken, darunter eine neue Klasse von Produkten, die danach streben, einen umfassenden Schutz auf der Anwendungsebene zu gewährleisten: die Web Application Firewall (WAF). Eine WAF ist im Grunde eine Art Filter zwischen Client und Server, der auf der Anwendungsebene operiert, um schädliche oder gefährliche Requests zu blockieren, bevor sie die Anwendungen erreichen.

Richtig ausgewählt, installiert und konfiguriert kann eine WAF die Sicherheit von Web-Applikationen erheblich verbessern. Die Mehrzahl der WAFs schützen Anwendungen (zumindest auf dem Papier) gegen die meisten Bedrohungen, die in der "Owasp Top-10 Vulnerability List" des Open Web Application Security Project beschrieben sind. Allerdings kann dieser Schutz hohe Kosten und großen Aufwand nach sich ziehen. Deshalb sollten Sie im ersten und wichtigsten Schritt bei der Entscheidung für eine WAF definieren, was Sie mit der Technik erreichen möchten und warum Sie sie überhaupt haben wollen.

Brauchen Sie überhaupt eine WAF?

Die effektivsten und bewährtesten Sicherheitslösungen basieren auf dem Prinzip "Defense in Depth", wonach Sicherheit in Schichten aufgebaut sein und es keinen einzelnen Versagenspunkt geben sollte. Eine WAF kann die Sicherheit von Web-Anwendungen erheblich erhöhen, aber sie kann weder auf magische Art und Weise mit einem Knopfdruck unsichere Software in sichere verwandeln, noch ist sie ein Ersatz für die Erstellung sicherer Software. Eine WAF zu installieren, um keine sichere Software produzieren zu müssen, ist demnach keine gute Idee. Vielmehr sollte eine WAF Teil einer umfassenden Strategie zur Sicherung von Web-Anwendungen sein, die auch sichere Entwicklungsverfahren, Verwaltung und Überwachung einschließt.

Auf der anderen Seite haben Sie möglicherweise ein klar definiertes Ziel, etwa das Befolgen von Compliance-Vorschriften wie dem Payment Card Industry Data Security Standard (PCI-DSS). Auch in diesem Fall müssen Sie darauf achten, eine Entscheidung nicht vorschnell zu treffen. Ist das Erfüllen einer gesetzlichen Vorschrift anstelle einer betrieblichen Gesamtstrategie für Sicherheit das einzige Ziel, kann die WAF-Einführung zu einer finanziellen und technischen Katastrophe führen. Unter dem Druck, schnell handeln zu müssen, stützen Systemadministratoren ihre Entscheidung auf das Verkaufsargument eines einzelnen Anbieters beziehungsweise auf eine bestimmte Anforderung oder Funktion, auf die sie sich fixiert haben. Das Ergebnis wird mit hoher Wahrscheinlichkeit eine unangemessene oder nicht optimale Sicherheit sein. Auch eine knappe Frist entbindet Sie nicht von einer fundierten Analyse der Situation.

Ihre Wahl sollte mit Ihren betrieblichen Sicherheitsrichtlinien vereinbar sein, die (hoffentlich) Ihre Ziele und Anforderungen für die Sicherung von Daten und Diensten definieren. Wenn Sie nicht über solche Richtlinien verfügen, dann sind Sie auch nicht in der Lage, über eine WAF zu entscheiden. Die Wahl eines Produkts muss sich auf eine realistische Einschätzung stützen, welche Arten von WAF zur Verfügung stehen, welche Einschränkungen sie haben, und - ganz besonders - wie Sie diese neue Komponente betreiben und verwalten werden.

Zwei WAF-Architekturen

Es gibt zwei grundlegende Architekturen für WAFs. Da wäre zunächst der stark zentralisierte Ansatz von Appliance-WAFs, die in der Regel direkt hinter einer Netzwerk-Firewall und vor Web-Servern positioniert sind und durch die der gesamte Verkehr geleitet wird. Der zweite Ansatz besteht in der Verwendung einer Host-basierenden WAF, die direkt auf den Web-Servern installiert ist.

Als allgemeine Regel gilt: Die reine Leistung der zentralen Geräte ist höher als die von Host-gestützten Produkten, da sie häufig Hardware nutzen, die für den Netzverkehr optimiert ist. Der zentralisierte Ansatz erfordert allerdings auch eine höhere Leistung, da solche WAFs im Vergleich zum verteilten Konzept meist mehr Anwendungen schützen müssen.

In den meisten Fällen ist es leichter, eine einzelne Komponente zu verwalten, was als Vorteil für die Appliances erscheinen mag. Doch viele der Host-basierenden WAFs können über eine zentrale Management-Konsole verwaltet werden, die transparent mehrere Instanzen kontrolliert. Also ist in diesem Fall der vermeintliche Vorteil der Appliances kleiner, als es auf den ersten Blick scheinen mag.

Wenn die WAF versagt oder Probleme hat, kann dies katastrophale Folgen für die Anwendungen hinter ihr haben. Bei einem Fail-Open-Versagen der WAF sind die Anwendungen dahinter ungeschützt. Bei einem Fail-Closed-Versagen dagegen, bei dem kein Verkehr mehr durchgelassen wird, sind alle Anwendungen, die sie schützt, tot. Die zentrale Bereitstellung ist hier im Nachteil, da im Fail-Open-Szenario keine der Anwendungen hinter der WAF geschützt ist, während im Fail-Closed-Szenario keine der Anwendungen erreicht werden kann. Um diese Probleme zu umgehen, benötigen größere Anlagen eine hohe Verfügbarkeit, die man über Clustering und Redundanzen bereitstellen muss. Dies kann die zu erwartenden Gesamtkosten für die Installation der WAF wesentlich erhöhen.

Zwei Sicherheitsmodelle

Wenn es darum geht, zu entscheiden, welcher Datenverkehr blockiert und welcher durchgelassen werden soll, befolgt eine WAF entweder ein positives oder ein negatives Sicherheitsmodell. Ein positives Sicherheitsmodell, auch "Whitelisting" genannt, blockiert den gesamten Datenverkehr, außer solchem, der als gut bekannt ist. Ein negatives Sicherheitsmodell, auch als "Blacklisting" bezeichnet, erlaubt den gesamten Datenverkehr, mit Ausnahme dessen, was als schlecht bekannt ist. Beide Fälle erfordern eine klare Definition von "guten" und "schlechten" Requests, die in der Praxis fast unmöglich zu erreichen ist. Einige WAFs versuchen, beide Modelle zu benutzen, die meisten Produkte halten sich jedoch an eines.

Keines der beiden Modelle ist perfekt. Das positive Modell kann einen enormen Aufwand für die Konfiguration erfordern, um jede mögliche Kombination von Request-Parametern, Headern etc. genau zu definieren, die ein "guter" Request haben kann. Dieser Ansatz ist auch relativ empfindlich gegenüber Veränderungen in der Anwendung. Wenn ein neues Eingabefeld der Anwendung hinzugefügt wird, muss die WAF-Konfiguration gleichzeitig an diese Gegebenheiten angepasst werden, sonst werden alle Anforderungen an die Anwendung blockiert. Unsere Forschung legt nahe, dass das Whitelisting bei komplexen Installationen, die mehrere Anwendungen schützen, nicht praktikabel ist, auch wenn es für einige besondere Fälle durchaus sinnvoll sein kann.

Das negative Sicherheitsmodell hat auch seine Grenzen, denn es ist äußerst schwierig, eine Liste aller möglichen Arten bösartiger Requests zu erstellen. Das bedeutet, dass es zwangsläufig einige böswillige Zugriffe schaffen, an der WAF vorbeizukommen und die Web-Anwendung zu erreichen. Automatische Lernverfahren, die eine WAF trainieren können, guten von schlechtem Verkehr zu unterscheiden, sind nicht absolut zuverlässig und werden nicht helfen, dieses Problem komplett zu lösen.

WAF-Einsatzarten

WAFs können je nach Netzarchitektur auf verschiedene Arten eingesetzt werden. Einige Produkte lassen sich in verschiedenen Modi betreiben, andere unterstützen nur einen. Jeder Modus hat Vor- und Nachteile, die man sorgfältig prüfen muss.

• Reverse Proxy: Der vollständige Reverse-Proxy-Modus ist die häufigste Einsatzart. Eine Reverse-Proxy-WAF befindet sich zwischen der Firewall und dem Web-Server, und jeglicher Netzverkehr erfolgt durch sie hindurch. Die IP-Adressen der WAF werden veröffentlicht, eingehende Verbindungen enden an diesen Adressen. Die WAF erledigt die Zugriffe auf die Web-Anwendungen im Namen des ursprünglichen Browsers. Der Reverse-Proxy-Modus ermöglicht es der WAF, zahlreiche zusätzliche Funktionen anzubieten (zum Beispiel SSL-Terminierung), die in einigen anderen Betriebsarten nicht bereitgestellt werden können. Der Nachteil des Reverse-Proxy-Modus ist, dass er die Latenz erhöhen kann, wodurch eventuell die Leistung verringert wird und es sogar zu funktionalen Problemen für einige leistungskritische Anwendungen kommen kann.

• Transparent Proxy: Eine WAF im transparenten Proxy-Modus befindet sich ebenfalls zwischen der Firewall und dem Web-Server. Allerdings verfügt sie über keine IP-Adresse. Dieser Modus hat den Vorteil, dass keine Änderungen an der bestehenden Netzinfrastruktur nötig sind. Allerdings lässt sich ein Teil der zusätzlichen Funktionen, die Reverse-Proxies anbieten, hier nicht bereitstellen. Zum Beispiel ist SSL-Terminierung nicht möglich.

• Layer-2-Bridge: Eine Bridge ist ein Layer-2-Gerät, das zwei physikalisch getrennte Netzwerke verbindet. Als Layer-2-Gerät achtet eine Bridge nur auf die MAC-Adressen eines Pakets (nicht auf die IP-Adressen) und besitzt keine Informationen über das Routing auf der IP-Ebene. In diesem Modus sitzt die WAF zwischen der Firewall und den Web-Anwendungen und ist in der Regel auf hohen Durchsatz ausgerichtet. Diese Einsatzart bietet hohe Leistung und keine wesentlichen Änderungen am Netz, jedoch nicht die erweiterten Dienstleistungen, die andere WAF-Modi besitzen. Die Einschränkung für SSL-Terminierung gilt auch hier.

• Netzmonitor/Out of Band: Dies ist ein interessanter Modus, in dem die WAF nicht zwischengeschaltet ist und der Netzverkehr nicht durch sie hindurchgelenkt wird. Stattdessen erhält die WAF Datenverkehr aus einem Monitoring-Port, was sehr nützlich sein kann, um eine WAF zu testen, ohne den Netzverkehr zu stören. In dieser Konfiguration agiert die WAF mehr als ein Intrusion-Detection-System (IDS), obwohl sie immer noch Netzverkehr blockieren kann, indem sie TCP-Reset-Signale sendet.

• Host/Server-basierend: Host- oder Server-basierende WAFs sind Softwareanwendungen, die auf einem Web-Server installiert werden. Host-basierende WAFs sind hoch spezialisiert und erlauben eine detaillierte Konfiguration der HTTP-Traffic-Analyse. Da sie aber nichts über das Netz wissen, bieten sie einige der zusätzlichen Funktionen netzgestützter WAFs nicht an. Allerdings hat eine Host-basierende WAF viele Vorteile. Zum Beispiel beseitigt sie das Problem des gemeinsamen Versagenspunkts.

• Eingebettete WAFS: Es ist möglich, vom Konzept der Host-basierenden WAFs einen Schritt weiterzugehen und die Filterfähigkeiten der WAF in eine Anwendung selbst zu integrieren. Sowohl Java- als auch .NET-Anwendungen verfügen über Standardoptionen, um Komponenten zum HTTP-Stream entweder vor oder nach der Web-Anwendung hinzuzufügen. Diese Filter sind dann mehr ein Teil der Anwendung als ein Teil der Infrastruktur. Der wesentliche Unterschied zu den zentralen Modi besteht darin, dass das Entwicklerteam der Anwendung dafür zuständig ist, die Filter zu konfigurieren und die WAF zu verwalten. Abhängig von Ihrer Organisation kann dies ein Vorteil oder ein Nachteil sein.Zusätzliche WAF-Funktionen

  Zusätzliche WAF-Funktionen

  Viele WAFs bieten zusätzliche Funktionen an, um die Integration in die Anwendungslandschaft zu erleichtern. Etliche solche Features sind abhängig von der gewählten Einsatzart.

• Caching: Dies verringert die Last der Web-Server und erhöht die Leistung durch das Zwischenspeichern von Kopien der regulär angeforderten Inhalte auf der WAF. Caching ist auch eine Standardfunktion vieler Web-Server.

• Load Balancing: Load Balancing verteilt eingehende Requests auf mehrere Backend-Server zur Verbesserung von Leistung und Zuverlässigkeit. Die meisten WAFs stellen diese Funktion bereit, indem sie sich in einen bestehenden Load Balancer integrieren.

• Connection Pooling: Dies reduziert den gesamten TCP-Overhead für den Web-Server, indem es mehreren Requests erlaubt, dieselbe Verbindung zu nutzen.

• Komprimierung: Die WAF komprimiert automatisch einige Web-Inhalte, wenn sie an den Browser gesendet werden, was den Netzverkehr reduziert. Der Browser kann sie dann dekomprimieren. Dies ist ebenfalls eine Standardfunktion vieler Web-Server.

• SSL-Beschleunigung: Wenn die SSL-Terminierung in der WAF stattfinden soll, dann kann die hardwarebasierende Verarbeitung die Leistung verbessern. Dies ist besonders interessant für WAFs, die Add-ons zu bestehenden Netzkomponenten sind, zum Beispiel Load Balancer, Firewalls und Switches.

• Zentrale Verwaltung: Sind im Betrieb viele WAFs installiert, kann es die Verwaltung erheblich verbessern, wenn der Hersteller eine zentrale Management-Konsole anbietet, die alle installierten Instanzen von einem Standort aus kontrollieren kann. Das ist sehr nützlich, falls es zum Beispiel um das Verteilen von Richtlinien geht. Die zentrale Verwaltung ist vor allem bei Host-basierenden (verteilten) und eingebetteten WAFs ein wichtiges Thema.

• Zentrales Logging: Weil Firewalls auf Anwendungsebene das gesamte Netzpaket und nicht nur die Netzadressen und Ports untersuchen, haben sie umfangreichere Logging-Möglichkeiten und können anwendungsspezifische Befehle aufzeichnen. Also lassen Sie nicht zu, dass diese Möglichkeit der Informationssammlung verloren geht! Die Analyse der Log-Dateien kann Sie vor drohenden oder aktuellen Angriffen warnen. Legen Sie also fest, welche Informationen Ihre Firewall protokollieren soll - vorzugsweise sollten dies die vollständigen Request- und Antwortdaten einschließlich Header- und Body-Payload sein. Die Zeit und das Know-how zur Log-Analyse muss natürlich auch gegeben sein.

Leistung

Generell gilt: Die Leistung von WAFs hängt von der Betriebsart, dem Sicherheitsmodell und der Request-Größe ab. Die Betriebsart ist das offensichtlichste Unterscheidungsmerkmal, wenn es um Leistung geht. Hardwarebasierende transparente Proxies und Bridges werden in der Regel die beste Rohleistung aufweisen, da sie auch meist die geringste Auswirkung auf das Netz haben und außerdem auf hoch optimierten Plattformen arbeiten. Dieser Umstand kann allerdings im Zuge anderer Aspekte schnell an Bedeutung verlieren. Zum Beispiel bedeutet die zentrale Bereitstellung normalerweise, dass eine WAF viele Anwendungen bedienen muss und dass die Anforderungen an sie deshalb entsprechend höher sind. Umgekehrt beeinflussen im verteilten Einsatz etwa bei Host-basierenden oder eingebetteten WAFs die Leistung nur eine oder einige wenige Anwendungen.

Es kann überraschen, dass die Leistung auch von der Art und Komplexität des Sicherheitsmodells (positiv oder negativ) abhängt. Das ist im Hinblick auf die Filterung leicht zu verstehen. Je komplexer die Filterausdrücke sind und je mehr Ausdrücke es gibt, auf die getestet werden muss, desto mehr Rechenleistung wird für die Analyse benötigt. Hier ist das zentrale Modell einer WAF, die den Traffic für eine Vielzahl von Anwendungen analysiert und auch versucht, sehr tiefe Einsicht in den HTTP-Verkehr zu nehmen, klar im Nachteil.

Schließlich zählt die Request-Größe zu den wichtigen Leistungsfaktoren. Aufgrund der Art und Weise, mit der die meisten WAFs ihre Filter auswerten, steigt die Nachfrage nach Rechenleistung nicht linear mit der Request-Größe, sondern schneller als diese. Da Request-Größen um mehr als den Faktor zehn variieren (typischerweise zwischen ein paar hundert Bytes und ein paar Kilobytes), kann dies allein schon einen relativen Leistungsunterschied um das Zehnfache oder mehr bedeuten.

Konfiguration, Handhabung und Wartung

Sobald man die verschiedenen Betriebsarten, Funktionen etc. einer WAF kennt, ist es an der Zeit, über die wichtigsten, leider auch am wenigsten verstandenen Aspekte der Web Application Firewalls zu diskutieren: Betrieb, Wartung und Konfiguration. Das Hauptproblem ist, dass eine WAF, im Gegensatz zu einer Netz-Firewall, eng mit den Anwendungen hinter ihr verbunden ist. Wenn eine WAF eine Anwendung schützen soll, dann muss sie genug über die zulässigen Werte für jedes einzelne ihrer Felder wissen, um die eingegebenen Daten genau überprüfen zu können. In gewissem Sinn muss dann die Anwendungslogik in die WAF selbst hineinkonfiguriert werden, wodurch eine sehr enge Verbindung zwischen WAF und Anwendung entsteht. Die WAF muss Angriffs-Strings, die oft Sonderzeichen wie einfache Anführungszeichen enthalten, von zulässigen Eingaben, die ebenfalls Sonderzeichen enthalten, unterscheiden können. Letzteres ist zum Beispiel der Fall, wenn Herr O'Reilly seinen Namen eingibt. Eine Anwendung kann Zeichen wie $, <,>, /, *, "," akzeptieren, während eine andere nur $ und * annimmt. Eine dritte Anwendung wiederum benötigt XML-Strings als Eingabe und muss deshalb Daten akzeptieren, die leicht mit Angriff-Strings zu verwechseln sind.

Das Problem ist, dass detaillierte Kenntnisse über eine Anwendung auf diesem Niveau nur im Entwicklungsteam oder in der Fachabteilung vorhanden sind. Die für das Rechenzentrum und die Infrastruktur zuständigen Gruppen haben weder das technische Verständnis noch die Kenntnis zum Geschäftsprozess jeder einzelnen Anwendung, um eine WAF auf diese Weise zu konfigurieren und zu warten. Dennoch wollen viele Unternehmen ihre WAFs genauso betreiben wie ihre Netzwerk-Firewalls: als Geräte im Rechenzentrum. Frustration und gegenseitige Schuldzuweisungen sind die Folge.

Daran wird auch deutlich, dass Updates und Änderungen zu einer schweren Belastung werden können. Selbst bei einer kleinen Änderung an einer bestehenden Anwendung, wenn zum Beispiel der Feldname nur eines einzigen Parameters geändert wird, muss man dies auch in der WAF neu konfigurieren. In vielen Unternehmen dauert es eine Woche oder mehr, um die Änderungsanforderungen (Change Requests) für Firewalls zu überprüfen und umzusetzen. Deshalb muss eine neue WAF-Konfiguration gleichzeitig mit den Änderungen an der Anwendung angestoßen werden! Das Problem verstärkt sich, je enger die Verbindung zwischen WAF und Anwendungen ist. Daher Vorsicht bei der Verwendung von zu vielen "fortgeschrittenen" Angriffs-Erkennungsfunktionen, da sie in der Regel zu einer noch engeren Kopplung zwischen WAF und Anwendung führen.

Schritte zur WAF-Auswahl

Wer auf der Suche nach einer passenden WAF ist, sieht sich zunächst mit einer verwirrenden Anzahl von Produkten konfrontiert. Um das richtige Erzeugnis auszuwählen, können die nachfolgenden Schritte sehr nützlich sein.

• Analysieren Sie, was Sie mit der WAF erreichen werden und was nicht. Verbesserte Sicherheit als Teil einer kompletten Defense-in-Depth-Strategie ist das korrekte Ziel.

• Bestimmen Sie, welche Art von WAF-Architektur und -Einsatz die beste für Sie ist. Beachten Sie dabei die Netzstrukturen, die Anwendungsarten sowie spezielle Eigenschaften und Synergien mit bestehenden Geräten.

• Schätzen Sie den möglichen Einfluss auf Ihre bestehenden Systeme und Prozesse ab. Planen Sie viel Zeit für die volle Bewertung der verschiedenen Produkte ein. Treffen Sie keine übereilte Entscheidung .

• Schätzen Sie ab, wie Sie die WAF verwalten, unterstützen und handhaben werden. Wer wird verantwortlich sein, und wie wird die WAF konfiguriert? Es gibt möglicherweise große versteckte Auifwände, die zu den Gesamtkosten für den Besitz beitragen. Zum Beispiel kann es nötig sein, neue Job-Funktionen an kritischen Organisationsschnittstellen zu schaffen.

• Fordern Sie Hersteller dazu auf, detailliert zu beschreiben, wie sie Ihre speziellen Probleme lösen werden. Bringen Sie sie dazu, Lösungen für konkrete Probleme vorzuschlagen. Untersuchen Sie, welchen Support die Hersteller bieten.

• Betreiben Sie ein Pilotprojekt, um die Durchführbarkeit zu prüfen.

  Quelle: http://www.computerwoche.de/security/1907735/index9.html