23.04.2008, 08:42 Uhr
Den gesamten Datenverkehr sicher im Blick
Um Malware einen Riegel vorzuschieben, muss der gesamte Datenverkehr im Unternehmen überwacht werden. Content-Security-Lösungen sind dafür dierichtige Wahl.
«Ziel von Content-Security-Lösungen ist es, die Mitarbeiter beim Surfen im Internet vollständig abzusichern»
Dr. Klaus Gheri ist CTO und Mitgründer der phion AG.
Einzig, wer den gesamten Datenverkehr im Unternehmen nahtlos kontrolliert, ist sicher gegen Malware geschützt. Denn wer glaubt, dass Schadprogramme vor allem durch das Öffnen infizierter E-Mail-Anhänge ins Unternehmen geschummelt werden und dass ein vernünftiger Umgang mit der elektronischen Post vor den meisten Gefahren schützt, irrt sich. So wurde beispielsweise bereits vor zwei Jahren eine damals neue Generation von Spyware entdeckt, die sich über den automatischen Download von Bildern im WMF-Format (Windows-Media-File) auf Rechnern einnistete. Ein Fehler in der Grafik-Engine von Windows bewirkte, dass durch das Öffnen der Bilder schädlicher Fremdcode ausgeführt wurde. Zwischenzeitlich haben die Cyberkriminellen ihre Techniken nochmals wesentlich weiter entwickelt, ihre Angriffsmethoden nachhaltig verfeinert. So genügt es heute schon, eine Website, welche präparierte Bilder eingebunden hat, lediglich zu öffnen - und schon wird das Endgerät von der in den Bildern versteckten Malware infiziert. Erklärtes Ziel derartiger, hervorragend getarnter Angriffe ist in der Regel die Einschleusung von Spyware ins Unternehmensnetzwerk, welche dann zum Erschnüffeln von vertraulichen Geschäftsdaten, Bankverbindungen und Kreditkartennummern herangezogen werden kann.
Und der Ideenreichtum der Betrüger und Malware-Schreiber wächst kontinuierlich weiter - weshalb die Wege, die Malware einschlägt, um ins Unternehmen zu gelangen, immer vielfältiger werden. So empfangen beispielsweise Mitarbeiter vielfach RSS-Feeds (Real Simple Syndication), ohne sich darüber bewusst zu sein, dass auch auf diesen Wegen gefährliche -Inhalte ins Unternehmensnetz geschleust werden können. Sogar Inhalte in SSL-verschlüsseltem (Secure Sockets Layer) Datenverkehr, XML-Webservices und Peer-to-Peer-Anwendungen (P2P) stellen eine Bedrohung dar. Denn sie sind mit konventionellen Sicherheitslösungen nicht zu überwachen: XML tunnelt Port 80 und SSL verhindert jegliche Kontrolle durch Verschlüsselung. Herkömmliche Firewalls, -Antivirus Gateways und Content Scanner kommen an diese Daten schlichtweg gar nicht heran.
Mitarbeiter im Internet absichern
Einen Ausweg aus diesem Dilemma zeigen moderne, umfassende Content-Security-Lösungen auf. Mit ihrer Hilfe gelingt es, die nahtlose Kontrolle des gesamten Datenverkehrs im Unternehmensnetzwerk zu gewährleisten. Ziel solcher Content-Security-Lösungen ist es, die Mitarbeiter beim Surfen im Internet vollständig abzusichern. Weiterhin werden Angriffe auf die E-Mail-Server des Unternehmens abgewehrt, E-Mail-Inhalte auf Spam oder Schadcode überprüft und analysiert. Zudem wird der gesamte E-Mail-Versand und E-Mail-Empfang überwacht. Zur Verbesserung der Web- und Surf-Sicherheit werden die URLs (Uniform Resource Locator) und Webseiten kategorisiert, auf welche die Mitarbeiter überhaupt zugreifen dürfen. Durch dieses Vorgehen reduziert sich das Risiko durch gefährliche Webseiten und Passwortdiebstähle (Phishing) ganz erheblich.
Eine integrierte Content-Security-Lösung wird meist als eigenständige Appliance am Perimeter installiert. Die Gateways agieren dabei als vollständige SSL-Proxies. Sie sind damit in der Lage, HTTPS-Datenverkehr, XML-Webservices und RSS-Feeds zu kontrollieren. Zusätzlich bieten sie umfassende Funktionalitäten bezüglich E-Mail-Security sowie Anti-Virus- und Anti-Spam-Lösungen, Web-Protection und URL-Content-Filtering. Trotz der umfangreichen Checks können traditionelle Infrastrukturdienste wie beispielsweise DNS, NTP sowie DHCP-Server weiterhin genutzt werden.
Den gesamten Datenverkehr sicher im Blick
Nur noch kontrollierter Content
Um sicherzustellen, dass tatsächlich nur autorisierte Anwender Zugriff auf unternehmenskritische Daten erhalten, werden mit Content-Security-Lösungen Kontrollmechanismen wie Zugriffsverwaltung mit Authentifizierung und Autorisierung sowie Identitätsmanagement (IM) implementiert. Zusätzlich können Content-Security-Systeme auch Applikationen überprüfen, die von klassischen Firewalls nicht erkannt werden, aber durch ihren hohen Bandbreitenbedarf oder durch Sicherheitsrisiken im Firmennetz unerwünscht sind. Dazu gehören zum Beispiel Anwendungen wie Peer-2-Peer (P2P), Instant Messenger (IM), Voice over IP (VoIP) oder die Internet-Telefonie Skype.
Wichtige Features eines Content-Filters sind eine hohe Erkennungsrate sowohl bekannter als auch potenzieller Malware, sowie deren Anwendbarkeit auf die bestehenden Applikationen. Es macht daher wenig Sinn für eine Unternehmung, viel Geld für den besten Antivirus-Scanner auszugeben, wenn andererseits das komplette HTTPS-Protokoll oder XML Feeds nicht gescannt werden können.
Das Unterbinden von Zugriffen auf unbekannte Webseiten oder unbekannte Protokolle ist eine weitere Möglichkeit der Web Security. Nur bekannte und als ungefährlich eingestufte Webseiten werden in diesem Fall vom URL-Filter erlaubt. Dies bedingt naturgemäss hohe Anforderungen an die URL-Abdeckung des eingesetzten Content Filters. Im Regelfall lässt sich diese deutliche Erhöhung der Sicherheit erst mit URL-Filtern mit mehr als 60 Millionen kategorisierten Einträgen verwirklichen.
Zentrale Verwaltbarkeit spart Kosten
Einen oder zwei Security-Gateways zu administrieren, mag noch ein relativ einfaches Unterfangen sein. Doch hunderte oder gar tausende von Sicherheitskomponenten in einer weit verteilten IT-Infrastruktur zu steuern, erfordert meist einen enormen Einsatz an qualifiziertem Personal. Damit gehen entsprechend hohe Investitionen einher. Daher sollten Unternehmen generell bei allen Security-Lösungen und ganz speziell im Bereich Content Security darauf achten, dass die Lösung vollständig zentral verwaltbar ist.
Eine Einbindung in die allgemeine Verwaltungsoberfläche der Unternehmenskommunikation bringt auf Dauer erhebliche Einsparungen in der Verwaltung mit sich. Ausserdem bietet sich mit diesem Ansatz ein einheitlicher Überblick über alle Aspekte, welche die Verfügbarkeit bedrohen. Zum Beispiel erwartet das Management bei Störungen im E-Mail-System von der zuständigen IT-Abteilung über den Versand und Empfang kritischer E-Mail-Nachrichten lückenlos informiert zu werden. Hier muss gewährleistet sein, dass mit nur wenigen Mausklicks zweifelsfrei überprüft werden kann, was mit wichtiger elektronischer Korrespondenz passiert ist.
Fazit
Die Bedrohungen aus dem Netz wachsen kontinuierlich - und damit wird auch die Bedeutung von Content Security weiter zunehmen. Der Erfolg der übergeordneten Sicherheitsstrategie eines Unternehmens ergibt sich aber erst aus dem effektiven Zusammenspiel aller Netzwerk- und Security-Komponenten und einem einheitlichen Management.