Sicherheit in Netzwerken
Je stärker der Einfluss der Informationstechnologie auf unser tägliches Leben wird, desto mehr Funktionen müssen von Grund auf unter neuen Aspekten überprüft werden. So reichte es früher beispielsweise aus, Zutrittskontrollen auf ihre mechanische Sicherheit zu prüfen. Moderne Kontrollen sind jedoch in Netzwerke integriert und müssen folglich auch auf ihre elektronische Sicherheit geprüft werden. Und das bedeutet, dass neue Probleme entstehen . . . und gelöst werden müssen.
„Wir befinden uns in einer Übergangsphase. Die alten Sicherheitsverfahren greifen nicht mehr und wir müssen neue Verfahren entwickeln“, erklärt Mikael Wassdahl, Sicherheitsvorstand der schwedischen IT-Beratungsfirma WM-data. Wassdahl prüft gerade mehrere Zugriffsteuerungslösungen für sein Unternehmen und weiß aus Erfahrung, dass jedes vernetzte System eingehend auf seine Sicherheit getestet werden muss.
„Vor fast drei Jahren“, erklärt er, „als ich für die IT und die Sicherheit in meiner Firma verantwortlich war, haben wir ein Kameraüberwachungssystem gekauft. Ich habe den Fehler gemacht, das System wie ein normales Videosystem zu behandeln. Aber dann hat Microsoft den Support für Windows NT4 eingestellt und unser Unternehmen hat sich nicht nach alternativen Supportanbietern umgesehen. Wir konnten das Überwachungssystem nicht mehr aktualisieren und ich habe gelernt, dass Sicherheit immer auch eine Frage der Informationstechnologie ist. Wir konnten das Problem letztlich durch eine zusätzliche Firewall lösen, aber leider wurde dadurch der Zugang zum Überwachungssystem stärker eingeschränkt als eigentlich geplant.“
Netzwerk-Genehmigung
Anders Borg, F&E-Manager für Softwareplattformen bei ASSA ABLOY, kann das gut nachvollziehen. „IT-Sicherheitsverantwortliche sagen häufig: ‚In mein Netzwerk kommen nur Programme, die ich genehmigt habe,‘ und das ist eine sehr vernünftige Einstellung,“ meint er. „Die Verantwortlichen wollen wissen, welche Störungen ihren Netzwerken drohen können und wie die Software nach der Installation gepflegt werden muss. Müssen Backups angelegt werden? Kann die Software mit der Unternehmensdatenbank zusammenarbeiten?“
Das sind genau die Informationen, die auch Wassdahl braucht. „Der Anbieter muss uns informieren, wie das System konfiguriert und aktualisiert wird. Wir müssen wissen, ob es zu unseren Systemen kompatibel ist. Gegebenenfalls müssen wir die unterschiedlichen Softwarephilosophien angleichen.“
Vor allem ist der schwedische Experte aber über die Sicherheit des IT-Systems besorgt, denn er ist überzeugt, dass Sicherheitsunternehmen das eigentliche Problem gar nicht begreifen, auch wenn das paradox klingen sollte. „Wir erleben gerade einen Paradigmenwechsel,“ erklärt Wassdahl. „Sicherheitsunternehmen dringen in den IT-Bereich vor, aber es gibt nicht viele IT-Unternehmen, die sich Kompetenzen im Bereich der mechanischen Sicherheit aneignen.“ Das bedeute, so Wassdahl, dass es sich bei den Sicherheitsunternehmen um Softwareentwickler der ersten oder zweiten Generation handeln würde. „Die Entwicklung sicherer Prozesse braucht Zeit“, fügt er hinzu.
Geschärftes Bewusstsein
Anders sieht das ähnlich, glaubt aber, dass Sicherheitsfirmen die Tragweite des Problems und insbesondere die Bedeutung einer verstärkten Integration zunehmend erkennen. „Systeme werden zunehmend sicherer und sind immer stärker integriert. Unser altes System hatte nur eine relativ einfache Verschlüsselung, da es ohnehin in einem eigenen Netzwerk laufen sollte.“
Für viele Kunden ist der Komfort, den integrierte Komplettlösungen bieten, ein wichtiges Argument. Einige Kunden glauben, dass eine Zutrittskontrolle für das Intranet ausreichend sei. Es gibt Unternehmen, die Mitarbeiterausweise als Smartcards für das Einloggen im Unternehmensnetz einsetzen wollen. Bork berichtet von einer Firma, die den aktuellen Aufenthaltsort ihrer Mitarbeiter anhand der von den Karten ausgelesenen Daten aufzeichnet und damit sicherstellen will, dass sich ein Mitarbeiter, der sich am Netzwerk anmeldet, auch wirklich im Gebäude aufhält.
Andere Unternehmen schalten Überwachungskameras ein, sobald jemand seine Karte durch den Leser zieht. Wenn die Anmeldung fehlschlägt, wird die Videoaufzeichnung zusammen mit dem Protokoll sofort an das Sicherheitszentrum geschickt.
Diese Art der Integration birgt Sicherheitsrisiken. Für Bork ist klar, dass Unternehmen einen ausgewogenen Kompromiss zwischen Sicherheit und Komfort finden müssen. Wassdahl sieht das etwas anders: „Jede Firma ist an integrierten Komplettsystemen interessiert, macht sich durch diese Integration aber angreifbar.“
Zielgerichtete Angriffe
Dabei hängt viel davon ab, welcher Grad an Sicherheit für ein Projekt erforderlich ist. Bei WM-data sind die Anforderungen sehr hoch. Das Unternehmen schreibt Programmcode für Banken und andere sicherheitsbewusste Kunden. Wassdahl muss sicherstellen, dass die von seiner Firma geschriebenen Programme keinen Schadcode enthalten. „Die meisten Sicherheitsprobleme waren früher auf Fehler der Programmierer oder Bediener zurückzuführen“, erklärt er, „aber mittlerweile gibt es gezielte Angriffe aus dem Bereich der organisierten Kriminalität. Ein Angreifer, der in das System einer Bank eindringen will, kann versuchen, Schadcode in unsere Programme einzuschleusen.“ Folglich gibt es bei WM-data eine extrem strengere Zutrittskontrolle für Bereiche, in denen am Code gearbeitet wird. „Eine gut abgeschottete Entwicklungsumgebung ist unerlässlich“, erläutert Wassdahl. „Als Kunde würde ich ein Sicherheitsunternehmen fragen: Wie stellt ihr sicher, dass kein Schadcode in eure Entwicklungsprozesse eingeschleust werden kann?“
Bei WM-data wurde das Entwicklernetzwerk separat verlegt bzw. ist auf ein virtuelles Netzwerk beschränkt. Dennoch gibt es Berührungspunkte zwischen dem Entwicklernetz und dem normalen Firmennetz, denn die Zugangsberechtigungen müssen regelmäßig mit den aktuellen Mitarbeiterdaten abgeglichen werden. Wassdahl muss sicher sein können, dass andere Firmen die Sicherheit ihrer Entwicklungsprozesse genauso ernst nehmen wie WM-data. Aber auch bei vollständiger Trennung der Zugriffskontrolle vom zentralen Unternehmensnetz sind erfolgreiche Angriffe möglich. Diese Angriffe können ernsthafte Konsequenzen haben: „Jede Person mit physischem Zugriff auf einen Server kann einen Neustart durchführen, das System manipulieren und dann ihre Spuren verwischen“, warnt der schwedische Sicherheitsexperte.
Natürlich bringt es auch eine Reihe von Vorteilen, wenn das Firmennetz durch eine Zugriffskontrolle gesichert ist. WM-data hat 85 Standorte in Schweden und führt alle zwei Jahre eine umfassende Überholung durch. „Es gibt immer Diskrepanzen zwischen der aktuellen Mitarbeitersituation und dem von der Zugriffskontrolle verwalteten Zustand“, erläutert Wassdahl. „Die Zugriffskontrolle kann nur auf dem aktuellen Stand sein, wenn sie Informationen von anderen Teilen des Systems erhält. Wenn beispielsweise ein Mitarbeiter das Unternehmen verlässt oder andere Aufgaben übernimmt, kann es einige Zeit dauern, bis alle Berechtigungen des Mitarbeiters zurückgezogen bzw. angepasst worden sind. Das lässt sich natürlich mit einem IT-System viel effizienter bewerkstelligen.“
Integration, Komfort und Sicherheit
Eine absolute Sicherheit gibt es nicht. Es gibt eine Reihe von Möglichkeiten, um den Kontakt zwischen Netzwerken einzuschränken. Die Datenübertragung zwischen den Netzen kann ausgebremst werden oder muss verschlüsselt bzw. über spezielle Ports oder Server erfolgen. Noch ist unklar, in welchem Ausmaß eine Integration wünschenswert ist. Einige Nutzer wollen eine maximale physische Trennung, während andere ein Höchstmaß an Komfort ohne Sicherheitseinbußen wollen.
Für Glen Greer, Technikvorstand für Shared Technologies bei ASSA ABLOY, ist klar: „Aus Marktstudien wissen wir, dass die Konvergenz bei Sicherheitslösungen eine immer wichtigere Rolle spielt, da viele Systeme und Dienste in einem Netzwerk koexistieren müssen, ohne sich gegenseitig zu stören oder die Sicherheit zu beeinträchtigen. Als Anbieter von Sicherheitslösungen wissen wir genau, welche Probleme zu lösen sind. Wir arbeiten hart daran, den hohen Sicherheitsanforderungen unserer Kunden gerecht zu werden“.
Wir werden das Thema weiter verfolgen und in den kommenden Ausgaben des Newsletters weitere Artikel zu diesem Schwerpunkt bringen.
* Pflichtfeld