|
|
Wozu eine elektronische Feuermauer?Über den Schutz vernetzter Computer mittels Firewall EinleitungIn praktisch allen Firmen (abgesehen von Einzelunternehmen) sind die Arbeitsplatz-PCs sowie Server miteinander vernetzt - und mit der Außenwelt für Internetdienste, nämlich WWW, Usenet, FTP und e-mail, verbunden. Allerdings erfordert die Anbindung an die Außenwelt, also zu EDV-Netzwerken außerhalb des Unternehmens, besondere Schutzmaßnahmen. Früher waren Städte von Stadtmauern umgeben, die ein unbefugtes Eindringen verhindern sollten. Im elektronischen Zeitalter gibt es Software, die alle ein- und ausgehenden Datenpakte kontrolliert. Man spricht hier in Analogie zur Wirklichkeit von Firewall-Software. Die GefahrenEs gibt in der Internet-Verbindung vier Gefahrenzonen: Der Server, der Übertragungsweg, der Client-PC sowie der Anwender selbst. An den ersten drei Punkten lauern elektronische Wegelagerer, die mithorchen (sniff) oder sich unter Vorspiegelung falscher Tatsachen (Internetadresse) einklinken (spoof). Der vierte Punkt betrifft die sträfliche Nachlässigkeit bis Dummheit, wenn z.B. ein angeblicher Netzwerkadministrator zum Check um das Paßwort eines Anwenders ersucht. Der Administrator ist natürlich nicht echt - so geschehen bei AOL. Was kann ein Hackerangriff anrichten? Da ist zunächst mal die Datenmanipulation, ob zu eigenem Vorteil oder aus terroristischen Motiven, allgemein im Bewußtsein nach den Anschlägen vom 11.September 2001. Ich möchte auf das österreichische Strafgesetzbuch StGB § 148a (Betrügerischer Datenverarbeitungsmißbrauch) verweisen. Anderes Beispiel: 2002 wurden in Italien minderjährige Hacker verhaftet, die Websites in über 62 Staaten verändert hatten, darunter jene der NASA, Pentagon und verschiedener Regierungen. Die Gruppe "Hi-tech hate" protestierte gegen die Globalisierung. Sie wollten wohl Kim Schmitz nacheifern, der als Teenager schon Firmennetzwerke (unbefugt) einsah - mittlerweile einsitzt. Neben idealistischem Antrieb sind auch wirtschaftliche Motive zu nennen: Spionage. Das reicht vom Ausspähen von Forschungsergebnissen bis hin zu Kreditkarten-Nummern der Kunden. Allein die Beschaffung persönlicher Daten verstößt gegen das österreichische Datenschutzgesetz DSG Art.I/§1 (Grundrecht auf Datenschutz). Systemimmanente technische Schwächen leisten Vorschub, so wird z.B. das Paßwort zum Abfragen einer Mailbox im POP3 (Post Office Protocol) unverschlüsselt versandt und oft ist das Mail-Paßwort gleich dem Account-Paßwort für das Surfen im Internet. Das Windows-Konzept, wonach jedes Programm mit jedem anderen über Schnittstelle (z.B. OLE) kommunizieren können bietet Flexibilität für Programmierer, aber somit auch für Hacker. Ist einmal ein Programm wie z.B. ein ActiveX-Modul (ActiveX ist eine Microsoft-Technik zum Erweitern von Funktionalität von Anwenderprogrammen und Kommunikation von Programmen untereinander) eingepflanzt und aktiviert, kann dieses Programm auf praktisch alle Daten des PC zugreifen und mit dem Rechner des Hackers via Internet kommunizieren. Solche Programme nennt man trojanische Pferde und werden meist durch e-mail oder Spiele eingeschleppt und unmerklich für den Anwender installiert. Die größte Gefahr besteht beim PC des Endanwenders, da dieser meist nicht über ein Wissen wie ein Netzwerkadministrator verfügt. Er ist sich der Gefahren nicht bewußt und merkt oft nicht einmal, wenn ein anderer die Kontrolle über seinen Rechner oder Teilbereiche übernommen hat. Der Trend zu elektronischer Abbildung von Wertschöpfungsketten (Supply Chain) über Unternehmensgrenzen hinweg, also die elektronische Kommunikation über Firmengrenzen hinweg über das Internet, sowie Virtual Private Networks (VPN) für Video-Konferenzen oder e-learning schaffen neue Ansatzmöglichkeiten für Hacker. Doch nicht nur B2B (z.B. Händler/Produzent), auch B2C, das Geschäft mit dem Endkunden über Internet, eröffnet neue Möglichkeiten. Ein Loch lockt Diebe an (Israelisches Sprichwort). Bekannte Hacker-Software sind Back Orifice und NetBus. SchutzmauerAus diesem Grund werden Netzwerke geschützt durch einen sogenannten Firewall. Ein Firewall ist ein organisatorisches und technisches Konzept zur Trennung von Netzwerken inklusive Umsetzung und Betrieb. Die direkte Verbindung von zwei Rechnern wird unterbunden, die Kommunikation läuft über eine definierte Schnittstelle, eine Art elektronische Sicherheitsbarriere. Landläufig bezeichnet man einen Rechner, der zwei Netze gemäß oben genanntem Konzept verbindet, als Firewall. Firewall-Software kann üblicherweise so konfiguriert werden, daß bestimmte Software wie z.B. Internet-Browser oder Outlook ungehindert Datenpakete senden und empfangen kann. Andere Software kann gezielt gesperrt werden ebenso wie gewisse Internet-Seiten wie etwa MP3- oder XXX-Websites. Zugriffe oder zumindest verbotene Requests (Anfragen) werden protokolliert und sollten regelmäßig kontrolliert werden. Verschiedene Sicherheitsstufen (Levels) sind einstellbar. Eine typische Konfiguration sieht folgendermaßen aus: Üblicherweise wird zwischen zwei Netzwerken (z.B. Firmennetz und Internet) ein Paketfilter eingesetzt. Diese leiten alle Anfragen in ein Zwischennetz, die sogenannte demilitarisierte Zone (DMZ). Dort leitet ein Vermittlungsrechner, sogenannte PROXY (Stellvertreter), die Anfragen weiter. Ein Proxy kann sogar die Header-Informationen manipulieren und die Anfragen unter eigener Adresse weiterleiten, die Antworten dann wieder umsetzen und an die richtige Adresse des Anfragers weiterleiten. Ein Datenpaket passiert also auf seinem Weg von Netz A einen Paketfilter, dann DMZ, danach den Paketfilter von Netz B; danach gelangt es in das Netz B. Ein anderer Weg muß ausgeschlossen bleiben. Daher sind Modemverbindungen einzelner Arbeitsplatz-PCs ins Internet ein Backdoor (Hintertürl), wo unter Umgehung des Sicherheitskonzepts ein Ansatzpunkt für Hacker eröffnet wird. Der MarktDie Bezifferung der Schäden durch elektronische Attacken ist eigentlich nicht möglich. Graham Cluley von Sophos (Virenschutz) meint, eine Bezifferung von Schäden ist unmöglich und jede Schätzung Blödsinn. Somit ist eine Kosten/Nutzen-Rechnung einer Firewall-Investition unmöglich. Politiker übertreiben oft maßlos, ein Feindbild ist ein gutes Argument bei Wählern. Security-Firmen werden logischerweise Hacker-Risken auch nicht gerade unterbewerten. Jedenfalls ist mittlerweile an jedem Netzwerk ein Firewall, sogar Privatanwender schützen oft ihren Rechner. In Westeuropa, so Verena Salzmann, Managing Analyst bei Datamonitor/London, werden die Ausgaben für Security-Produkte von 1,8 Mrd USD 2001 auf 6,2 Mrd. USD im Jahre 2005 steigen, vielleicht etwas gebremst durch den konjunkturellen Einbruch 2001. Nebst einer Reihe von Nischenanbietern haben praktisch alle großen Anbieter Firewall-Lösungen (HW&SW) im Programm. Eine für Heimanwender kostengünstige weil kostenlose Alternative ist ZoneAlarm (http://www.zonelabs.com/download.htm). Linkshttp://www.w3.org/Security/Faq/ |