Client-Sicherheit 16.03.2006, 15:37 Uhr

Kein statischer Zustand

Je mehr die einzelnen Arbeitsstationen in einer Systemwelt miteinander vernetzt sind, desto schwieriger und komplexer werden die Anforderungen an die IT-Sicherheit. Deshalb macht es Sinn, sich zunächst mit der Rolle des Clients in Netzwerksystemen auseinander zu setzen.
Robert Mol ist Senior Director Marketing and Distribution Emea bei Phoenix Technologies.
Ein Leben ohne vernetzte Systemwelten ist heute wohl kaum noch vorstellbar. Die Informationsflut nimmt stetig zu und der Mensch giert nach effizienterer Vernetzung und profitablerer Kommunikation. Die heutigen Embedded-Systeme - vom Geldautomat bis zur industriellen Steuerung, vom Internet-Zugangsgerät bis zum militärischen Überwachungssystem - kommunizieren praktisch ausnahmslos mit einem grösseren Netzwerk. Dies macht sowohl die Systeme selbst als auch die Netzwerke verwundbar. Ein Schadcode oder auch nur die Unachtsamkeit eines Benutzers kann Konsequenzen haben, deren Bandbreite von der Virusinfektion einer privaten Datei bis hin zur Attacke durch Cyberterroristen reicht. Dadurch können Energieversorgungsanlagen, Kommunikationswege oder ganze Verkehrssysteme lahmgelegt werden. Existente Sicherheitslösungen bieten Schutz gegen verschiedene Arten von Risiken - beispielsweise gibt es Verfahren, wo sich die Benutzer gegenüber dem Netzwerk identifizieren können oder es werden Inhalte verschlüsselt, die durch entsprechende Rechte geschützt sind. Diese peripheren Lösungen verhalten sich jedoch wie ein Zaun, der ein Grundstück umgibt: Sie bieten keinen Schutz gegen Angriffe von innen oder gegen einen Angreifer, der es bereits geschafft hat, in das Netzwerk einzudringen. So kann es durchaus passieren, dass sich ein Anwender mit einem nicht vertrauenswürdigen Gerät durch jedoch gültige Sicherheitsmerkmale in einem Netzwerk authentifiziert. Dies kann auf unterschiedliche Art und Weise geschehen:
Ein Passwort oder Zertifikat kann gestohlen und von unbekannten Personen missbraucht werden.
Ein legitimer Benutzer kann ein Passwort, einen Token oder eine Chipkarte an ein Gerät weitergeben, das nicht von den im Unternehmen eingerichteten Sicherheitsmechanismen kontrolliert wird.
Die physische Integrität eines Gerätes kann durch Verändern seiner Hardwarekonfiguration in Frage gestellt werden. Ein Beispiel ist die Manipulation an einer Settop-Box, um Fernsehprogramme kostenlos empfangen zu können
Software kann verändert oder an eine nicht vertrauenswürdige Maschine übertragen werden.
Zuvor zertifizierte Software kann modifiziert werden.
Das Firmware-Image kann verändert werden, um Daten zu erfassen, um das Verhalten des Gerätes zu steuern oder um das System dauerhaft ausser Betrieb zu setzen.
Die beschriebenen Szenarien können einen enormen Schaden anrichten, wenn nicht vertrauenswürdige Geräte einen Zugang zum Netzwerk erhalten. Herkömmliche Lösungen wie zum Beispiel Firewalls, VPNs, Zertifikate, usw. bieten nur - ähnlich wie bei einer verschlossenen Tür - einen peripheren Schutz. Denn ist die Tür erst einmal geöffnet, gibt es keine Garantie mehr, ob das Gerät im System auch vertrauenswürdig ist. Das kann eine Verringerung der Übertragungsgeschwindigkeit, einen System-Crash, Datenverluste oder Beschädigungen des Systems nach sich ziehen. Ein Schutz auf der Geräteebene verstärkt also existente Sicherheitslösungen, indem die Angaben beim Authentifikationsprozess mit den entsprechenden Berechtigungsnachweisen bestimmter Geräte gekoppelt werden. Die Hardware muss dabei unter der Kontrolle des Netzwerkbetreibers stehen.

Schutz auf Client-Ebene

Der Kern einer erfolgreichen Client-Sicherung ist die eindeutige Identifikation des Endgeräts am System oder Netzwerk. Das Prinzip entspricht einer starken Zwei-Faktor-Authentifikation - neben den Zugangsdaten und dem Passwort stellt jedoch das Endgerät und kein Hardware-Token oder eine Smartcard den zweiten Faktor im Identifikationsprozess dar. Anhand der identifizierten Hardware wird ein eindeutiger Schlüssel erzeugt, der untrennbar mit dem Gerät verbunden ist. Mit Hilfe des Schlüssels lassen sich dann Authentifizierungs- und Verschlüsselungs-/Entschlüsselungsoperationen in einem für Benutzer nicht zugänglichen Bereich des Systems durchführen. Der Authentifikationsprozess von Endgeräten und der damit verbundene Schutz des Clients kann bestehende Sicherheitslösungen wie beispielsweise Firewalls, Token- oder Smartcard-Authentifikationslösungen sowie PKI-Anwendungen sinnvoll ergänzen. Die Sicherheitsumgebung muss manipulationssicher sein und kann prinzipiell auf zwei Arten eingerichtet werden: als Schutz auf einem Chip oder als Schutz im Kern des Prozessors.

Schutz auf Bios-Ebene

Betriebssysteme sind für äussere Angriffe anfällig. Speziell dann, wenn nicht vom Systemadministrator oder vom Anwender selbst ein regelmässiges Update oder Patching erfolgt. Zusätzlichen Schutz bieten unterschiedliche Hardware-Lösungen, die von Angreifern jedoch durchaus umgangen werden können. Ein Sicherheitskonzept schon im Kern eines PC-Systems aufzusetzen, also auf Bios-Ebene, scheint demnach sinnvoll. Die Hauptfunktion des Bios liegt bei konventionellen PC-Architekturen im Vorbereiten der Hardware für das Betriebssystem. Dazu werden ein Power On Self Test (Post) durchgeführt, die installierten Geräte hochgefahren, die Peripherie und Schnittstellen geprüft und das Betriebssystem geladen und gestartet.Eine Kernsystemsoftwarelösung für den Schutz auf der Geräteebene muss folgende Anforderungen erfüllen:
Das System erhält ein eindeutiges Identifizierungsmerkmal (Signatur oder Geräteschlüssel), das bei allen Sicherheitsoperationen verwendet wird, um eine Übertragung an ein nicht vertrauenswürdiges Gerät zu verhindern. Dieses Identifizierungsmerkmal repräsentiert die Identität der Plattform und ermöglicht die Geräte-Authentifizierung als Grundlage für die Sicherheit des gesamten Systems.
Die Nutzer- und Geräteschlüssel werden in einem sicheren Halbleiterbaustein gespeichert, wo sie von Hackern nicht abgefragt werden können. Durch Verwendung sicherer Hardware mit x86-Architektur erzeugt die Lösung eine manipulationssichere Vertrauensgrundlage und schafft einen geschützten Speicherbereich für sensible Benutzer- und Applikationsdaten.
Unverschlüsselte Schlüssel sind in den Betriebssystem- oder Applikationsbereichen des Systems niemals sichtbar. Schlüssel in Klartext werden nur innerhalb der geschützten Ausführungsumgebung des System Management Mode des x86-Prozessors verwendet - dieser hat die umfassendsten Berechtigungen im System - und die Schlüssel sind nicht direkt für das Betriebssystem oder die Applikationen zugänglich.
Sensible Verschlüsselungs-/Entschlüsselungsoperationen finden ebenfalls in der geschützten Ausführungsumgebung des System Management Mode statt, wodurch ein Höchstmass an Sicherheit und Integrität gewährleistet wird.
Die Lösung wird in der Firmware installiert, wobei ein sicherer Prozess einen Missbrauch durch Verändern des Flash-Inhaltes («Reflashing») verhindert. Es lassen sich nur autorisierte und digital signierte Firmware-Updates installieren, was die Integrität der Plattform jetzt und in der Zukunft gewährleistet.
Die Lösung arbeitet mit handelsüblicher Sicherheitssoftware und bietet ein Software-Entwicklungskit (SDK) für die Implementierung in neu entwickelten Softwareprodukten an.
Fazit
Die Diskussion um Sicherheitsfragen weist ein hohes Mass an Ignoranz gegenüber weichen Faktoren auf. Was hilft der Einsatz einer zweistufigen Authentifizierung, wenn ein auf dem PC platzierter Schädling die zum Server übertragenen Daten auskundschaftet oder ein ahnungsloser Kunde die vollständigen Zugangsdaten in die Oberfläche einer vorgespiegelten Webadresse eingibt? Client-Sicherheit ist demnach kein statischer Zustand sondern ein ständiger Prozess, der vor allem die vier Aspekte Technologie, Organisation, Recht und Psychologie tangiert. Der Faktor Mensch ist im Kontext der Client-Sicherheit ohne Zweifel die unsicherste Komponente. Der beschriebene Schutz des eingesetzten Werkzeugs eines Anwenders, sprich dem digitalen Endgerät, ist unter den gegebenen Umständen jedoch ein sehr wirkungsvolles Mittel, schon im Vorfeld Angriffen auf ein Netzwerk vorzubeugen.
Robert Mol



Das könnte Sie auch interessieren