ArchivDÄ-TitelSupplement: PRAXiSPraxis Computer 6/2001Firewall-Lösungen: Gefahrenabwehr im Internet

Supplement: Praxis Computer

Firewall-Lösungen: Gefahrenabwehr im Internet

Dtsch Arztebl 2001; 98(45): [26]

Sachweh, Stephan; Brand, Kurt

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Wer im Internet surft oder elektronisch Daten austauscht, ist permanent einem Sicherheitsrisiko durch Viren, Hackerangriffe und ähnlichen Gefahren ausgesetzt. Firewall-Systeme sind das Mittel der Wahl, wenn es um wirksame Schutzmaßnahmen im Internet geht.
Krankheitserreger, die Computer heimsuchen, lassen Computer-Besitzer leiden, als hätte sie selbst ein Virus befallen. Sensible Daten können bekannt werden, die Arbeit von Wochen oder Monaten kann verloren gehen. Über besonders bösartige Viren, wie Nimda, Kournikova oder Loveletter, berichtet heute schon die Tagesschau. Im Unterschied zu Viren, die den Menschen befallen, sind Computerviren Menschenwerk und entstehen deshalb in großer Menge ständig neu, zurzeit etwa 1 000 pro Monat. Ihre Aggressivität bedingt, dass in der Regel nur die Prophylaxe hilft, für eine Therapie bleibt keine Zeit. Computerviren können den sofortigen Totalschaden verursachen – Inkubationszeit und Krankheitsverlauf in Sekunden.
Schematischer Aufbau eines Firewall-Systems
Schematischer Aufbau eines Firewall-Systems
Prophylaxe bedeutet hier zweierlei: Zum einen heißt das, von allen wichtigen, veränderlichen Daten möglichst frische Kopien an sicherer Stelle auszulagern. Wie oft dies erforderlich ist, lässt sich nur durch eine individuelle Risikoanalyse festlegen. Eine einfache Wirtschaftlichkeitsrechnung zeigt aber, dass es oberhalb eines Wochenrythmus kritisch wird. Geht die Arbeit einer Woche verloren, bedeutet dies den Verlust einiger Prozente des Jahresumsatzes. Da die Kosten weiterlaufen, ist der erhoffte Jahresgewinn dann schnell dahin. Wichtige Daten sollten daher mindestens wöchentlich ins Backup, geschäftskritische Daten täglich.
Prophylaxe heißt zum andern, den gesamten Datenverkehr zwischen dem eigenen Rechner und nicht vertrauenswürdigen Bereichen zu überwachen. Fremde Disketten sind dabei genauso wenig vertrauenswürdig wie die E-Mail aus dem Internet, sofern letztere einen Anhang hat. Virenscanner – Computerprogramme, die Viren aus dem Datenstrom herausfiltern – wirken bei der Überwachung des Computers wie Schutzmasken beim Menschen und filtern gefährliche Inhalte heraus. Dabei suchen sie nach Datenmuster, die als Teil eines Computervirus bereits bekannt sind. Da ständig neue Viren auftauchen, müssen Virenscanner immer wieder aufgefrischt werden. Diese „Schutzimpfung“ wird bei Profisystemen regelmäßig im Abstand von einigen Tagen wiederholt, bei besonders aggressiven Viren sogar, sobald das „Gegengift“ gefunden wurde. Nur so kann der enormen Ausbreitungsgeschwindigkeit von Computerviren begegnet werden, die sich in wenigen Stunden über das Internet weltweit verbreiten.
Neben den Viren bergen Hackerangriffe aus öffentlichen Netzen ebenfalls ein hohes Risikopotenzial. Im Fachjargon werden diese beiden grundlegenden Bereiche für Sicherheitsmaßnahmen mit Content Security (Schutz gegen Viren) und Access Security (Schutz gegen Hacker) bezeichnet.
Hackerangriffe darf man sich heute allerdings nicht mehr so vorstellen, dass ein Mensch über einige Computerkommandos versucht, in den Rechner einer Bank einzudringen. Solche Angriffe werden vielmehr durch Programme durchgeführt, beispielsweise indem systematisch Passwörter durchprobiert werden oder flächendeckend nach Computern gesucht wird, die bekannte Sicherheitslücken aufweisen. Solchen Rechnern lässt sich zum Beispiel der Massenversand von widerrechtlichen Werbesendungen, zum Beispiel Pornografie, unterschieben. Neben den dadurch ausgelösten Kosten wird auch der eigene Ruf geschä-
digt. Ein verbreiteter Irrglaube ist, den eigenen Rechner wegen seiner geringen Bedeutung vor Hackerangriffen sicher zu wähnen. Da die Angriffe automatisiert ablaufen und die vermeintlich unbedeutenden Rechner auch die schlechter geschützten sind, stellen gerade diese eine leichte Beute dar.
Access Security und Content Security können technisch realisiert werden – eine solche Lösung wird als Firewall-System bezeichnet. Wenn man die Sicherungsmechanismen gegen Viren und Hacker voneinander unterscheiden will, spricht man auch von einer Firewall (im engeren Sinn) gegen unerlaubte Zugriffe und einer Mailwall gegen Viren. Im Folgenden wird der Begriff Firewall für die Gesamtheit aller Maßnahmen gegen Angriffe aus einem fremden Netz gebraucht.
Eine Firewall ist eine elektronische Brandschutzmauer, die den Übergang von einem internen Netz zu einem unsicheren öffentlichen Netz kontrolliert und sichert. Sie konzentriert das Sicherheitsmanagement an einer einzigen Stelle und erleichtert dadurch die Administration erheblich. Einfache Firewall-Systeme stellen den Zugriffsschutz nur durch einen passiven Paketfilter her, bei dem jedes Datenpaket anhand festzulegender Regeln durchgelassen oder abgeblockt wird. Strengere Sicherheitsregeln können mit einem so genannten Proxy-Server eingerichtet werden, der auf der Anwendungsebene zusätzlich kontrolliert und schützt. Abgerundet wird die Firewall durch den Content-Filter gegen Viren und andere unerwünschte Applikationen. Gehobene Systeme protokollieren nicht nur sämtliche Ereignisse, sondern untersuchen sie auch,
um Angriffsversuche ausfindig zu machen und aktiv dagegen zu wirken.
Da immer neue Bedrohungen entwickelt werden, ist ein Firewall-System „lebendig“, das heißt, es muss ständig weiterentwickelt und angepasst werden.
Firewall-Szenarien
Da sowohl die Kommunikation per E-Mail als auch die Information per WWW zunehmend unentbehrlicher Teil des Geschäftsverkehrs wird, kommt jede berufliche Nutzung auf Dauer nicht um das Thema „Sicherheit“ herum. Drei Szenarien für den Firewall-Betrieb lassen sich grundsätzlich unterscheiden:
Y: Firewall – Do it Yourself = Die Firewall wird selbst betrieben.
M: Managed Firewall = Die Firewall im eigenen Haus wird von einem Dienstleister fernbetreut.
S: Firewall Service Providing = Eine Firewall bei einem Dienstleister wird genutzt.
Abgesehen von der Tatsache, dass die in einem Firewall-System implementierte Security-Policy einer Organisation in ihrer technischen Komplexität sehr stark variieren kann, lassen sich für die drei Szenarien einige Eigenheiten sowie ein Anwachsen der Komplexität und Leistungsfähigkeit festhalten (siehe Grafik).
M „Do it Yourself“-Firewall (Y): Dieses Szenario gibt es in zwei Varianten – als Low-Cost-Lösung mit niedrigem Sicherheitsstandard (Yniedrig) oder als komplexe Hochsicherheitsrealisierung, beispielsweise im Bankenbereich (Yhoch).
Der Funktionsumfang der einfachen Firewall-Variante Yniedrig ist häufig auf einen simplen Paket-Filter beschränkt. Erweiterte Funktionalität, wie zum Beispiel Filter gegen unerwünschten Inhalt, Authentifizierung sowie ein exaktes Regelwerk, das auch den Zugriff von innen nach außen reglementiert, sind dabei meist nicht zu finden. Ein Nachteil ist, dass das sicherheitstechnische Know-how des Personals sowie die Aktualität der gesamten Sicherheitseinrichtung meist kein hohes Niveau erreicht.
Die komplexe Variante Yhoch ist geprägt durch ein sehr hohes Sicherheitsbedürfnis und ein entsprechend großes Budget. Hier werden in der Regel vielschichtige Firewall-Systeme mit umfangreicher Funktionalität und mit Unterstützung externer Sicherheitsberater aufgebaut und betrieben.
M Managed Firewall (M): Diese Systeme bieten gegenüber dem Do-it-Yourself-Verfahren Yniedrig eine deutliche Verbesserung, da das notwendige sicherheitstechnische Know-how und die Aktualität von Know-how und Infrastruktur durch geschultes Personal des Dienstleisters sichergestellt werden.
Eine Managed Firewall wird häufig als standardisiertes Gerät – spezialisierte Hardware, meist ohne ausfallkritische Teile wie Festplatten und Lüfter – realisiert. Dieser reduzierte Aufbau macht die Firewall zugleich weniger anfällig gegen Angriffe. Solche spezialisierten Geräte bieten jedoch meist nicht die Flexibilität für einen erweiterten Funktionsumfang. Insbesondere Inhalts- und Virenfilterung sowie die Auswertung der Ereignisse können nur durch zusätzliche Systeme realisiert werden.
M Firewall Service Providing (S): Bei diesem Modell handelt es sich um Security Outsourcing, das heißt, in einem gesicherten Rechenzentrum eines Dienstleisters wird ein den jeweiligen Bedürfnissen angepasstes Firewall-System angemietet. Die Sicherheitssysteme werden durch geschultes Personal gewartet und auf dem aktuellen Stand gehalten. Durch die gemeinsame Nutzung von Infrastruktur und – wichtiger noch – von Personal können die Kosten niedriger als im Fall Yhoch gehalten werden.
Firewall Service Providing kann sowohl Standard-Sicherheitsleistungen als auch besondere Funktionalitäten umfassen, wie zum Beispiel Inhalts- und Viren-Filterung, starke Authentifizierung, Virtual Private Networking (VPN) und Anbindung von Remote-Benutzern. Es ist damit deutlich flexibler als das Managed-Firewall-Verfahren.
Empfehlungen
Das geeignete Betriebsmodell hängt immer von den spezifischen Anforderungen der Arztpraxis ab. Zu bedenken ist, dass für eine gut administrierte, selbst betriebene Firewall Personalkosten anfallen, falls überhaupt entsprechendes Know-how, beispielsweise detaillierte Protokollkenntnisse, aufgebaut werden kann. Die Lizenzkosten für eine Personal Firewall (reine Software-Lösung) und einen Virenscanner fallen mit einigen hundert Euro dagegen nicht besonders ins Gewicht. Modell Yniedrig ist das Modell für den privaten Anwender, der damit einen einfachen Schutz realisiert. Allerdings sinkt hier häufig das Sicherheitsbewusstsein mit der Zeit, da keine Sicherheitskultur gepflegt wird und deshalb die Bequemlichkeit die Sicherheit in den Hintergrund drängt.
Wer sein Unternehmensnetz an das Internet koppelt und sich keine eigenen Firewall-Spezialisten leisten möchte, ist gut beraten, einen Dienstleister hinzuzuziehen. Ab etwa 20 Euro pro Arbeitsplatz und Monat gibt es Profischutz. Das Modell M eignet sich für Standardfälle. Wer E-Business betreibt oder flexiblere Sicherheitsbereiche zulassen muss – auch Heimarbeitsplätze und Nutzer an wechselnden Einsatzorten –, für den ist Security Outsourcing nach Modell S zu empfehlen.
Stephan Sachweh, Kurt Brand
Anschrift für die Verfasser: Pallas GmbH, Hermülheimer Straße 10, 50321 Brühl, Internet: www.pallas.com

Beispiele für Viren
Nimda
Verbreitung: durch E-Mail oder Web-Surfen, befällt Microsoft Internet Information Webserver und Outlook (Express)
Schadensroutine: aktive Verbreitung, erzeugt erhebliche Netzlast, versendet sich selbst
Loveletter
Verbreitung: durch E-Mail, benötigt Windows Scripting Host (benutzt für Visual Basic Skripte)
Schadensroutine: zerstört JPEG-Bilder, verbreitet sich selbst, installiert einen Trojaner (ein als nützliches Tool getarntes bösartiges Programm)
Anna Kournikova
Verbreitung: durch E-Mail, benötigt Windows Scripting Host
Schadensroutine: verbreitet sich selbst an alle Adressen im Windows-Adressbuch
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema