Grundlagen

IT-Sicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Es gibt keinen anderen Aspekt, der die IT so konstant begleitet, wie die Sicherheit. Quasi seit Anbeginn der Informationstechnologie machen sich Hacker daran, Schwachstellen in Systemen auszukundschaften und diese für ihre Zwecke zu nutzen. War das Ziel anfangs die Suche nach den Schwachstellen selbst, sehen sich Unternehmen heute kommerziell motivierten und hochgradig professionell organisierten Hackern gegenüber. In diesem Beitrag beleuchten wir die grundlegenden Aspekte der IT-Sicherheit.
Netzwerksicherheit
Die Netzwerksicherheit stellt den eigentlichen, klassischen Kern von IT-Sicherheit dar. So bestand das Ziel früher Angriffe darin, überhaupt in das Netzwerk (LAN) von Unternehmen oder Organisationen zu gelangen. Netzwerkangriffe finden auf OSI-Layer 3 statt, gegebenenfalls auch auf Layer 2. Den bewährten Schutzmechanismus gegen Netzwerkangriffe bilden dementsprechend Firewalls. Sie erlauben eine Kontrolle darüber, welche Netzwerkports von außen zugänglich sind und über welche Ports Daten nach außen gesendet werden dürfen. Stateful Packet Inspection Firewalls (SPI) gehen noch einen Schritt weiter und überwachen, ob auf geöffneten Ports eintreffende Datenpakete einer zulässigen TCP-Kommunikation angehören oder unangefordert von außen an den Port geschickt wurden.

Aufgrund der Komplexität moderner IT-Infrastrukturen und der Verlagerung der Angriffe vom Netzwerk-Layer 3 auf die Applikationsebene – Layer 7 – verlieren klassische Firewalls zunehmend an Bedeutung. Sie stellen nur noch eine von vielen Sicherheitskomponenten im Unternehmen dar. So lassen sich etwa verschiedene Netzwerksegmente mittels Firewalls trennen und sogenannte Demilitarized Zones, kurz DMZ, einrichten. Dabei nimmt ein Rechner in der DMZ Anfragen aus dem Internet entgegen und leitet diese über einen Tunnel an Rechner im internen Netzwerk weiter. Gelingt einem Hacker nun der Zugriff auf den DMZ-Rechner, soll dieser dank der Firewall-Abschirmung nicht ohne weiteres in das interne Netzwerk vordringen können. Eine Ergänzung zu Firewalls stellen Intrusion Detection sowie -Prevention-Systeme dar. Sie analysieren die Inhalte der Datenpakete und schlagen bei verdächtigen Mustern, die auf einen Angriff hindeuten, Alarm beziehungsweise versuchen, diesen zu blockieren.

Schwachstellen in Software
Die mit Abstand meisten Angriffe auf Rechner geschehen über Schwachstellen in Software oder Betriebssystemen. Diese Vulnerabilities entstehen vereinfacht ausgedrückt durch Fehler in der Programmierung, wodurch Dateneingaben in Programme oder das OS selbst nicht ausreichend überprüft werden. Dadurch gelingt es Hackern, eigene Befehle in das System – meist den Arbeitsspeicher – zu schleusen und auszuführen. Das klassische und bekannte Beispiel hierfür sind SQL-Injections. Dient die Dateneingabe normalerweise der reinen Abfrage von SQL-Datensätzen, lassen sich durch das Einfügen von Sonderzeichen wie dem Hochkomma ' Befehle an die Datenbank übergeben, die diese ausführt. So erhält der Angreifer einen erweiterten Zugriff auf das Datenbanksystem. Der vergleichbare Angriff auf Software oder Betriebssysteme nennt sich Heap-Overflow sowie Buffer-Overflow. In der Regel schließen Software-Hersteller solche Schwachstellen nach deren Bekanntwerden mittels Patches. Die von Hackern geschriebenen Codes zum Angriff auf bestimmte Vulnerabilities nennen sich Exploit. Besonders Exploits für bislang unbekannte, sogenannte Zero-Day-Vulnerabilities, sind besonders begehrt.

Viren, Würmer, Trojaner
Um Schwachstellen in möglichst zahlreichen Rechnern auszunutzen, greifen Hacker auf Viren, Würmer sowie Trojaner – kurz Malware – zurück. Der grundlegende Unterschied zwischen den Schädlingen ist deren Aufbau und Funktionsweise. Viren infizieren ausführbare Dateien, indem sie ihren eigenen Programmcode in diese einfügen. Wird das Programm gestartet, führt es nicht nur die gewünschten Funktionen aus, sondern auch den eingebetteten schädlichen Code. Zudem ist das Virus dann in der Lage, weitere auf dem Rechner vorhandene Software zu infizieren. Das erste Computervirus wurde bereits 1984 von Fred Cohen für Unix-Umgebungen programmiert.

Ein Wurm ist hingegen ein eigenständiges Programm, das keine andere Software infiziert, sondern direkt schädliche Aktionen im System durchführt. Würmer sind meist dazu in der Lage, sich selbständig durch Netzwerkfreigaben oder per E-Mail weiterzuverbreiten. Sie nutzen dabei oft gezielt Schwachstellen (Vulnerabilities) in Software aus, um in ein System zu gelangen. Trojaner hingegen spiegeln den Anwendern vor, ein legitimes Programm zu sein, das eine gewünschte Funktion ausführt. Im Hintergrund startet der Trojaner jedoch seine schädliche Routine unbemerkt vom Benutzer. Der inzwischen populärste Weg, Malware zu verteilen, sind Drive-by-Downloads. Dabei werden gezielt vertrauenswürdige Webseiten durch Hacker manipuliert, sodass diese Schadcode in den Browser des Besuchers laden – hierfür wird eine Schwachstelle im Browser oder einem Plug-In wie Flash ausgenutzt. Die Anwender müssen für eine Infektion also nicht mehr aktiv Dateien herunterladen und öffnen.

Gegen diese digitalen Schädlinge sollen auf Rechnern schon seit geraumer Zeit Antiviren-Programme schützen. Sie scannen Dateien vor deren Ausführung auf schädlichen Code (On-Access-Scan) sowie regelmäßig auf Anforderung oder nach einem Zeitplan im Dateisystem (On-Demand-Scan). Dabei greifen Antiviren-Programme auf unterschiedliche Techniken zur Analyse zurück. Zum einen sind dies regelmäßig aktualisierte Datenbanken mit bekannten Schädlingssignaturen. Zudem untersucht die Schutzsoftware Programme auf allgemein schädlich erscheinendes Verhalten hin sowie auf Ähnlichkeiten zu bereits bekannten Viren, Würmern und Trojanern. Am Gateway lassen sich ebenfalls Virenscanner installieren, die den Datenstrom in das und aus dem Unternehmen auf Malware überprüfen.

Data Leakage Prevention
Ein Sicherheitsproblem, das zahlreiche Unternehmen betrifft, sind Datenlecks. Bewusst oder unbewusst transportieren Mitarbeiter vertrauliche Daten aus dem Unternehmensnetz nach außen und verlieren diese dort oder geben die Daten absichtlich an Dritte weiter. Dies kann durch einen E-Mailversand, durch mobile Datenträger wie USB-Sticks oder Smartphones und Laptops geschehen. Entsprechende Sicherheitssoftware zur Vermeidung von Datenverlust (Data Leakage Prevention, DLP) soll verhindern, dass vertrauliche Dateien auf diesen Wegen nach außen gelangen und blockiert entsprechende Kopier- oder Versandversuche durch die Mitarbeiter. Zudem protokolliert die DLP-Software Kopiervorgänge, um später die Schuldfrage bei Datenverlusten klären zu können. Eine Rolle bei Data Leakage Prevention spielt auch die Verschlüsselung der Daten. Dadurch lässt sich der Personenkreis einschränken, der vertrauliche Dateien öffnen kann. Zudem lässt sich per Richtlinien im Unternehmen festlegen, dass Mitarbeiter interne Daten lediglich verschlüsselt auf mobilen Datenträgern abspeichern können. So droht beim Verlust oder Diebstahl von Laptops oder Smartphones kein Datenleck.

Denial of Service
Das Ziel bei Denial of Service-Angriffen (DoS) ist es, ein Firmennetzwerk oder einzelne Server lahmzulegen. Dies geschieht durch eine schadhafte Anfrage, die den betreffenden Dienst außer Gefecht setzt. Oft werden dabei Schwachstellen ausgenutzt, die zwar keinen Zugriff auf das System selbst ermöglichen, jedoch ein Programm oder eine Netzwerkkomponente zum Absturz bringen können. Im Gegensatz zu Denial of Service-Angriffen nutzen Distributed Denial of Service-Attacken (DDoS) keine Schwachstellen aus, sondern setzen auf eine große Masse an Anfragen, die ein System zum Absturz bringt. Hierfür kommen Zombie-Rechner von Privatanwendern sowie in Firmennetzen zum Einsatz, die der Hacker zuvor unter seine Kontrolle gebracht hat. Diese bilden ein Botnetz und lassen sich zentral steuern. Starten alle Rechner gleichzeitig eine meist unsinnige Anfrage auf ein Zielsystem, geht dieses ob er schieren Last in die Knie. Immer wieder werden Unternehmen erpresst und mit DDoS-Angriffen und entsprechenden Ausfällen von Webservern bedroht, so etwa Online-Wettbüros. Moderne Firewalls bieten einen gewissen Schutz vor DDoS-Angriffen, stoßen jedoch systembedingt irgendwann an ihre Grenzen.

Kriterien zur Bewertung der IT-Sicherheit
Die gängigste internationale Bewertung der Sicherheit von IT-Systemen sind die Common Criteria (CC). Herausgegeben werden die CC von einem Management Committee, in dem alle Unterzeichnerstaaten vertreten sind. Zurzeit liegen die Common Criteria in Version 3.1 vor. Die Bewertung ist in die Bereiche Funktionalität (Funktionsumfang) des betrachteten Systems und Vertrauenswürdigkeit (Qualität) unterteilt. Die Vertrauenswürdigkeit ist dabei nach der Wirksamkeit der verwendeten Methoden und der Korrektheit der Implementierung zu betrachten. Daneben existieren in Europa die Information Technology Security Evaluation Criteria (ITSEC). Zertifizierungen werden in Deutschland unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt.
27.07.2010/dr

Nachrichten

Gefährliche Kurzlinks [18.09.2020]

Net at Work warnt vor einer aktuellen Welle an Phishing-Angriffen unter Verwendung von bit.ly-Links. Aufmerksam wurde Net at Work auf die Angriffswelle durch das kürzlich gestartete Heimdall-Projekt, das Künstliche Intelligenz und Schwarmintelligenz nutzt, um kurzfristig neue Bedrohungslagen zu identifizieren. [mehr]

E-Mails wichtig, aber unverschlüsselt [17.09.2020]

E-Mail bleibt auch weiterhin ein wichtiges Kommunikationsmedium. Spam ist nach wie vor ein Problem. Und E-Mail-Verschlüsselung wird zwar durchaus für sinnvoll erachtet – an Gründen, dann doch nicht zu verschlüsseln, mangelt es jedoch nicht. So lauten einige der zentralen Ergebnisse einer neuen Studie von REDDOXX. [mehr]

Tipps & Tools

HVI als Open Source erhältlich [14.08.2020]

Bitdefender hat sein Endpunkt-Sicherheitssystem "Hypervisor Introspection" als Open Source verfügbar gemacht. Die Technologie sucht nach Angriffsverfahren wie Pufferüberläufen, Heap-Spray und Code-Injektion, um schädliche Aktivitäten zu erkennen und zu unterbinden. Die Firma hat den Code als Teil des Xen Project unter der Lizenz Apache 2.0 veröffentlicht. [mehr]

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen