von Redaktion IT-A…
Lesezeit
4 Minuten
Datensicherheit
In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.
Das Thema Sicherheit von Unternehmensdaten ist vielschichtig. In erster Linie gilt es, die vertraulichen Informationen vor den Zugriffen Unbefugter sowie vor tatsächlichem Verlust etwa durch Plattenausfälle oder Anwenderfehler zu schützen. In diesem Grundlagen-Beitrag beleuchten wir die Aspekte der Datensicherheit in Bezug auf Angreifer. Diese können sich sowohl im als auch außerhalb des Unternehmens befinden. Von besonderer Bedeutung sind daher neben einem Virenschutz durchdachte Konzepte zur Sicherheit in Storage-Umfeld, in virtuellen Umgebungen sowie gegen Insiderdelikte durch Data Leakage Prevention.
Das Thema Sicherheit von Unternehmensdaten ist vielschichtig. In erster Linie gilt es, die vertraulichen Informationen vor den Zugriffen Unbefugter sowie vor tatsächlichem Verlust etwa durch Plattenausfälle oder Anwenderfehler zu schützen. In diesem Grundlagen-Beitrag beleuchten wir die Aspekte der Datensicherheit in Bezug auf Angreifer. Diese können sich sowohl im als auch außerhalb des Unternehmens befinden. Von besonderer Bedeutung sind daher neben einem Virenschutz durchdachte Konzepte zur Sicherheit in Storage-Umfeld, in virtuellen Umgebungen sowie gegen Insiderdelikte durch Data Leakage Prevention.
Virenschutz
Es ist der Klassiker in der Unternehmenssicherheit: Ohne einen Virenschutz kommt schon lange kein Unternehmen mehr aus. Zu groß ist das Risiko, das von bösartigen Programmen ausgeht. Dabei werden Würmer und Trojaner nicht mehr nur genutzt, um Schäden etwa durch das Löschen von Dateien zu verursachen, sondern vielmehr um Zugriff auf Rechner von Außen zu erhalten. Grundsätzlich arbeiten Virenscanner signaturbasiert. Sie führen – vereinfacht ausgedrückt – eine Datenbank mit den Erkennungsmerkmalen aller ihnen bekannten Schädlinge. Diese kann sowohl lokal als auch in der Cloud liegen.
Entdecken die Scanner einen schädlichen Code in einer Datei, schlagen sie Alarm. Über die sogenannte Heuristik sind die Scanner zudem in der Lage, leicht abgewandelte Versionen von Viren, Würmern und Co. zu erkennen. Einige Hersteller sind dazu übergegangen, verhaltensbasierte Analysen durchzuführen, indem sie ein Programm in einer geschützten Laufzeitumgebung ausführen. Dabei wird getestet, welche Aktionen das Programm auf dem System durchführen möchte. Scheinen diese verdächtig, wird die weitere Ausführung unterbunden.
Die konzeptionelle Einbindung des Virenschutzes in das Unternehmensnetz ist von zentraler Bedeutung. Der Administrator muss in der Lage sein, die Scanner zentral zu überwachen und Infektionen oder Fehler umgehend zu erkennen. Die Aktualisierungen der Signaturen sowie der Antiviren-Programme selbst muss automatisch und ohne Zutun der User geschehen. Auch sollten Anwender den Schutz nicht abschalten können. Für Gastrechner sowie mobile Rechner der Mitarbeiter gilt, dass diese zunächst auf einen aktiven Virenschutz hin überprüft werden sollten, bevor sie Zugang zum Unternehmensnetzwerk erhalten. Dies ist über eine Network Access Control (NAC) möglich.
Storage-Sicherheit
Storage stellt Unternehmen vor eine neue Herausforderung in Sachen Sicherheit. Das größte Sicherheitsproblem bei Netwok Attached Storage (NAS) ist dabei, dass Datentransferprotokolle wie CIFS und NFS aktiv sind. NAS-Geräte stellen sich für einen Angreifer von außen dar wie ein normaler Windows-Server. Dadurch, dass das NAS-Gerät im Büronetz auch direkt verfügbar ist, wird dieses intern nicht durch eine Firewall geschützt. Man-in-the-Middle-Angriffe lassen sich damit leicht durchführen. Diese Art von Attacke wird benutzt, um einem anfragenden Client vorzugaukeln, der Hacker-Rechner sei das NAS-Gerät. Der Angreifer leitet diese Anfragen auch an das NAS weiter, das Clientsystem soll schließlich keine Unregelmäßigkeit feststellen. Alle transferierten Daten werden so mitgeschnitten und ausgewertet.
Als Angriffsziel noch interessanter, weil in Unternehmen verbreiteter, ist das Storage Area Network (SAN). Klassischerweise werden SANs in separaten Netzsegmenten aufgebaut, was es für einen Angreifer schwierig macht, einen direkten Zugriff auf die SAN-Infrastruktur zu erhalten. Daher muss zunächst ein netzwerktechnischer Zugriff bestehen. Das SAN-Übertragungsprotokoll, das über Fibre Channel läuft, ist dem von TCP/IP ähnlich. Es basiert auf ähnlichen Prinzipien bei der Verbindungsherstellung und dem Session-Handling. Dabei kommen Sequenznummern zum Einsatz, die jedoch unverschlüsselt übertragen werden. Es besteht also die theoretische Möglichkeit, durch Manipulation der Sequenznummern den Verkehr umzuleiten.
Im Gegensatz zu IP-Netzwerken ist dies jedoch nicht so einfach, da höhere Geschwindigkeiten und andere Hardware anzutreffen sind. Jedoch bietet diese Schwachstelle innerhalb des Protokolls hervorragende Möglichkeiten, Man-in-the-Middle-Angriffe durchzuführen. Der Aufwand ist sehr hoch, aber das Ergebnis ist für den Angreifer verlockend. Es ist längst kein sicherheitstechnischer Geheimtipp mehr, SAN-Netzwerke vom eigentlichen Büronetzwerk zu trennen. Dies wird schon alleine aus Performancegründen in den meisten Fällen getan. Nur gibt es selbst hierfür verschiedenste Möglichkeiten, auch dieses Zoning als Angreifer zu überwinden. Um Man-in-the-Middle-Attacken effektiv zu verhindern, sollten daher alle verfügbaren Verschlüsselungsmethoden eingesetzt werden.
Schutz in virtuellen Umgebungen
Ein neuralgischer Punkt für den sicheren Betrieb virtueller IT-Infrastrukturen ist der Umgang mit nicht aktiven VMs – Images und Snapshots. Die Nutzung vorgefertigter Vorlagen für ganze IT-Systeme kann durch die damit verbundene Standardisierung und Automatisierung einen positiven Einfluss auf die IT-Sicherheit haben. Ein spontan erstellter Snapshot eines laufenden Systems inklusive Speicherinhalt kann erheblich zur Aufdeckung bestimmter Angriffe beitragen. Doch wie so oft gibt es auch hier Schattenseiten. Zum einen können die Abbilder sensible Informationen wie persönliche Daten oder Passwörter enthalten.
Das ist bei einem physischen System zwar auch so, doch lassen sich VMs wesentlich einfacher mitnehmen als ein Server oder eine Festplatte. Deshalb können Snapshots für einen potenziellen Angreifer besonders ergiebig sein, enthalten diese doch auch die RAM-Inhalte des laufenden Systems. Neben Daten, die nie auf eine Festplatte geschrieben werden, ist damit auch ein bestimmter Status des Systems eingefroren, in dem unter Umständen ein Anwender oder sogar ein Administrator für den Zugriff auf hochsensible Daten oder Systeme autorisiert wurde.
Für Unternehmen, die von der zusätzlichen Flexibilität der Cloud-Technologie profitieren wollen, stellt sich außerdem die Frage, welche Teile des Datenbestandes in die Cloud verlagert werden können. So ist die Klassifizierung nach Vertraulichkeitskriterien ist maßgeblich, denn es ist der Datensicherheit abträglich, streng vertrauliche Daten außerhalb der direkten Kontrolle durch das Unternehmen in der Cloud zu wissen.
Insider-Angriffe
Insiderdelikte durch die eigenen Mitarbeiter bedrohen heute Unternehmen jeder Größenordnung und haben nicht nur direkte finanzielle Schäden zur Folge, sondern zerstören auch das Vertrauen der Kunden und können irreparable Imageschäden hinterlassen. Mit herkömmlichen Verfahren zur Erkennung von Betrugsdelikten wie der Protokollierung von Anwendungen sind Unternehmen nicht in der Lage, mit dem Umfang und der Komplexität heutiger Bedrohungen fertig zu werden.
Doch moderne Technologien eröffnen neue Möglichkeiten, diesem Problem Herr zu werden. Sogenannte Enterprise-Fraud-Management-Lösungen ermöglichen die unternehmensweite Erkennung und Vermeidung von Betrugsdelikten, um Benutzeraktivitäten unter allen Anwendungen zu erfassen und zu analysieren. Sie führen zudem eine genaue und belegbare Überwachung der Anwendungen durch und erstellen daraus aussagekräftige Informationen als Grundlage für fundierte Entscheidungen.
Data Leakage Prevention
Wie oft in der IT gibt es für Data Leakage Prevention (auch als Data Loss Prevention bezeichnet) noch etliche andere Namen: CMF für Content Filtering & Monitoring ist einer, der allerdings nur einen Teilaspekt bezeichnet. Extrusion Prevention ist ein anderer Begriff, der sich allerdings nicht etablieren konnte. Und DAP (Data Auditing & Protection) tummelt sich auch in diesem Umfeld, ist allerdings eher als Gegenstück zu DLP zu sehen. DAP gibt im Wesentlichen Auskunft darüber, wie auf Daten zugegriffen wird.
Während Data Loss Prevention sich auf den Schutz an der – zunehmend unscharfen – Grenze zwischen dem Unternehmen und der Außenwelt bezieht, geht es bei DAP darum, was innerhalb des Unternehmens mit Informationen geschieht. Grundsätzlich überwachen DLP-Lösungen die Kommunikationsströme aus und in das Unternehmen sowie im Intranet und erkennen, ob vertrauliche Daten weitergegeben werden sollen. Auch lassen sich mit der passenden Software die Ports an den Arbeitsplatzrechnern kontrollieren und beispielsweise Richtlinien umsetzen, durch die vertrauliche Daten nur verschlüsselt auf externe Speichermedien kopiert werden dürfen. Eine Schwierigkeit in Zusammenhang mit DLP ist die Klassifizierung der Daten. So muss der DLP-Lösung bekannt sein, welche Daten vertraulich sind und welche nicht.
Mehr zu diesem Thema finden Sie in der Februar-Ausgabe des IT-Administrator.
dr
Es ist der Klassiker in der Unternehmenssicherheit: Ohne einen Virenschutz kommt schon lange kein Unternehmen mehr aus. Zu groß ist das Risiko, das von bösartigen Programmen ausgeht. Dabei werden Würmer und Trojaner nicht mehr nur genutzt, um Schäden etwa durch das Löschen von Dateien zu verursachen, sondern vielmehr um Zugriff auf Rechner von Außen zu erhalten. Grundsätzlich arbeiten Virenscanner signaturbasiert. Sie führen – vereinfacht ausgedrückt – eine Datenbank mit den Erkennungsmerkmalen aller ihnen bekannten Schädlinge. Diese kann sowohl lokal als auch in der Cloud liegen.
Entdecken die Scanner einen schädlichen Code in einer Datei, schlagen sie Alarm. Über die sogenannte Heuristik sind die Scanner zudem in der Lage, leicht abgewandelte Versionen von Viren, Würmern und Co. zu erkennen. Einige Hersteller sind dazu übergegangen, verhaltensbasierte Analysen durchzuführen, indem sie ein Programm in einer geschützten Laufzeitumgebung ausführen. Dabei wird getestet, welche Aktionen das Programm auf dem System durchführen möchte. Scheinen diese verdächtig, wird die weitere Ausführung unterbunden.
Die konzeptionelle Einbindung des Virenschutzes in das Unternehmensnetz ist von zentraler Bedeutung. Der Administrator muss in der Lage sein, die Scanner zentral zu überwachen und Infektionen oder Fehler umgehend zu erkennen. Die Aktualisierungen der Signaturen sowie der Antiviren-Programme selbst muss automatisch und ohne Zutun der User geschehen. Auch sollten Anwender den Schutz nicht abschalten können. Für Gastrechner sowie mobile Rechner der Mitarbeiter gilt, dass diese zunächst auf einen aktiven Virenschutz hin überprüft werden sollten, bevor sie Zugang zum Unternehmensnetzwerk erhalten. Dies ist über eine Network Access Control (NAC) möglich.
Storage-Sicherheit
Storage stellt Unternehmen vor eine neue Herausforderung in Sachen Sicherheit. Das größte Sicherheitsproblem bei Netwok Attached Storage (NAS) ist dabei, dass Datentransferprotokolle wie CIFS und NFS aktiv sind. NAS-Geräte stellen sich für einen Angreifer von außen dar wie ein normaler Windows-Server. Dadurch, dass das NAS-Gerät im Büronetz auch direkt verfügbar ist, wird dieses intern nicht durch eine Firewall geschützt. Man-in-the-Middle-Angriffe lassen sich damit leicht durchführen. Diese Art von Attacke wird benutzt, um einem anfragenden Client vorzugaukeln, der Hacker-Rechner sei das NAS-Gerät. Der Angreifer leitet diese Anfragen auch an das NAS weiter, das Clientsystem soll schließlich keine Unregelmäßigkeit feststellen. Alle transferierten Daten werden so mitgeschnitten und ausgewertet.
Als Angriffsziel noch interessanter, weil in Unternehmen verbreiteter, ist das Storage Area Network (SAN). Klassischerweise werden SANs in separaten Netzsegmenten aufgebaut, was es für einen Angreifer schwierig macht, einen direkten Zugriff auf die SAN-Infrastruktur zu erhalten. Daher muss zunächst ein netzwerktechnischer Zugriff bestehen. Das SAN-Übertragungsprotokoll, das über Fibre Channel läuft, ist dem von TCP/IP ähnlich. Es basiert auf ähnlichen Prinzipien bei der Verbindungsherstellung und dem Session-Handling. Dabei kommen Sequenznummern zum Einsatz, die jedoch unverschlüsselt übertragen werden. Es besteht also die theoretische Möglichkeit, durch Manipulation der Sequenznummern den Verkehr umzuleiten.
Im Gegensatz zu IP-Netzwerken ist dies jedoch nicht so einfach, da höhere Geschwindigkeiten und andere Hardware anzutreffen sind. Jedoch bietet diese Schwachstelle innerhalb des Protokolls hervorragende Möglichkeiten, Man-in-the-Middle-Angriffe durchzuführen. Der Aufwand ist sehr hoch, aber das Ergebnis ist für den Angreifer verlockend. Es ist längst kein sicherheitstechnischer Geheimtipp mehr, SAN-Netzwerke vom eigentlichen Büronetzwerk zu trennen. Dies wird schon alleine aus Performancegründen in den meisten Fällen getan. Nur gibt es selbst hierfür verschiedenste Möglichkeiten, auch dieses Zoning als Angreifer zu überwinden. Um Man-in-the-Middle-Attacken effektiv zu verhindern, sollten daher alle verfügbaren Verschlüsselungsmethoden eingesetzt werden.
Schutz in virtuellen Umgebungen
Ein neuralgischer Punkt für den sicheren Betrieb virtueller IT-Infrastrukturen ist der Umgang mit nicht aktiven VMs – Images und Snapshots. Die Nutzung vorgefertigter Vorlagen für ganze IT-Systeme kann durch die damit verbundene Standardisierung und Automatisierung einen positiven Einfluss auf die IT-Sicherheit haben. Ein spontan erstellter Snapshot eines laufenden Systems inklusive Speicherinhalt kann erheblich zur Aufdeckung bestimmter Angriffe beitragen. Doch wie so oft gibt es auch hier Schattenseiten. Zum einen können die Abbilder sensible Informationen wie persönliche Daten oder Passwörter enthalten.
Das ist bei einem physischen System zwar auch so, doch lassen sich VMs wesentlich einfacher mitnehmen als ein Server oder eine Festplatte. Deshalb können Snapshots für einen potenziellen Angreifer besonders ergiebig sein, enthalten diese doch auch die RAM-Inhalte des laufenden Systems. Neben Daten, die nie auf eine Festplatte geschrieben werden, ist damit auch ein bestimmter Status des Systems eingefroren, in dem unter Umständen ein Anwender oder sogar ein Administrator für den Zugriff auf hochsensible Daten oder Systeme autorisiert wurde.
Für Unternehmen, die von der zusätzlichen Flexibilität der Cloud-Technologie profitieren wollen, stellt sich außerdem die Frage, welche Teile des Datenbestandes in die Cloud verlagert werden können. So ist die Klassifizierung nach Vertraulichkeitskriterien ist maßgeblich, denn es ist der Datensicherheit abträglich, streng vertrauliche Daten außerhalb der direkten Kontrolle durch das Unternehmen in der Cloud zu wissen.
Insider-Angriffe
Insiderdelikte durch die eigenen Mitarbeiter bedrohen heute Unternehmen jeder Größenordnung und haben nicht nur direkte finanzielle Schäden zur Folge, sondern zerstören auch das Vertrauen der Kunden und können irreparable Imageschäden hinterlassen. Mit herkömmlichen Verfahren zur Erkennung von Betrugsdelikten wie der Protokollierung von Anwendungen sind Unternehmen nicht in der Lage, mit dem Umfang und der Komplexität heutiger Bedrohungen fertig zu werden.
Doch moderne Technologien eröffnen neue Möglichkeiten, diesem Problem Herr zu werden. Sogenannte Enterprise-Fraud-Management-Lösungen ermöglichen die unternehmensweite Erkennung und Vermeidung von Betrugsdelikten, um Benutzeraktivitäten unter allen Anwendungen zu erfassen und zu analysieren. Sie führen zudem eine genaue und belegbare Überwachung der Anwendungen durch und erstellen daraus aussagekräftige Informationen als Grundlage für fundierte Entscheidungen.
Data Leakage Prevention
Wie oft in der IT gibt es für Data Leakage Prevention (auch als Data Loss Prevention bezeichnet) noch etliche andere Namen: CMF für Content Filtering & Monitoring ist einer, der allerdings nur einen Teilaspekt bezeichnet. Extrusion Prevention ist ein anderer Begriff, der sich allerdings nicht etablieren konnte. Und DAP (Data Auditing & Protection) tummelt sich auch in diesem Umfeld, ist allerdings eher als Gegenstück zu DLP zu sehen. DAP gibt im Wesentlichen Auskunft darüber, wie auf Daten zugegriffen wird.
Während Data Loss Prevention sich auf den Schutz an der – zunehmend unscharfen – Grenze zwischen dem Unternehmen und der Außenwelt bezieht, geht es bei DAP darum, was innerhalb des Unternehmens mit Informationen geschieht. Grundsätzlich überwachen DLP-Lösungen die Kommunikationsströme aus und in das Unternehmen sowie im Intranet und erkennen, ob vertrauliche Daten weitergegeben werden sollen. Auch lassen sich mit der passenden Software die Ports an den Arbeitsplatzrechnern kontrollieren und beispielsweise Richtlinien umsetzen, durch die vertrauliche Daten nur verschlüsselt auf externe Speichermedien kopiert werden dürfen. Eine Schwierigkeit in Zusammenhang mit DLP ist die Klassifizierung der Daten. So muss der DLP-Lösung bekannt sein, welche Daten vertraulich sind und welche nicht.
Mehr zu diesem Thema finden Sie in der Februar-Ausgabe des IT-Administrator.
dr
