|  |
Proaktive Sicherheit im Web 2.0
 Einführung: Grenzen sind nicht mehr physisch, sondern virtuell
Das Internet funktioniert heute anders als früher. Im heutigen Internet, oft als „Web 2.0“ bezeichnet, verschwimmen die Grenzen des Unternehmens, und dies wirkt sich auch auf die Netzwerksicherheit aus. Anwendungen werden heute über das Internet genutzt und Intranets und Extranets sind wesentliche Teile eines Unternehmens. Einige Unternehmen bauen ihr Geschäft jetzt sogar komplett auf Web-Infrastrukturen auf: der Beweis hierfür sind „virtuelle“ Unternehmen, die überhaupt keinen physischen Geschäftssitz mehr haben. Das heutige Geschäftsmodell beinhaltet einen Remote-Zugang für Tele-Mitarbeiter, Partner und Kunden. Auch interne Mitarbeiter gehen über das interne Netzwerk hinaus, um Informationen aus dem Internet zu erhalten bzw. über das Internet zu vermitteln. Dieser bidirektionale Aspekt des Zugriffs auf Anwendungen über das Internet führt für Unternehmen jedoch zu erheblichen Sicherheitsproblemen. Kommunikationsmethoden sind sowohl nach innen als auch nach außen gerichtet und so gibt es auch Bedrohungen von innen und von außen.
Das Unternehmen muss vor Malware (bösartiger Software) geschützt werden, gesetzliche Vorschriften müssen eingehalten werden, Daten dürfen nicht nach außen gelangen und die Produktivität der Mitarbeiter muss gewahrt werden. Diese Sicherheitsprobleme bestehen für sämtlichen IP-basierten Datenverkehr, ob E-Mail, VoIP, Instant-Messaging, Web-Zugang, Dateiübertragungen oder andere Anwendungen im Unternehmen, die über IP kommunizieren.
Unternehmen, die Web- und Web 2.0-Applikationen nutzen, setzen sich also sowohl Sicherheitsbedrohungen von innen als auch von außen aus. Die für Web 1.0 getroffenen Gegenmaßnahmen sind in diesem Fall nicht ausreichend. Die neue Generation der Sicherheitsbedrohungen besteht aus bösartigen Angriffen durch virtuelle Kriminelle gegen bestimmte Unternehmen, um sich persönlich oder finanziell zu bereichern. Dieser Bericht befasst sich mit den neuen Bedrohungen und wägt die begrenzte Effektivität älterer Websicherheitslösungen gegen diese Bedrohungen ab. Anschließend wird das neue proaktive Sicherheitsmodell beschrieben, das für die Sicherheit von Web 2.0-Anwendungen und für den Schutz der Unternehmen, die sie täglich nutzen, notwendig ist.
Beginnen wir also mit den heutigen Bedrohungen im Web 2.0.
Sicherheitsbedrohungen von außen
Wie bereits erwähnt sind die Zeiten vorbei, in denen man sich primär um einen allgemeinen Virusangriff aus dem Internet Sorgen machen musste. Diese Angriffe zielten hauptsächlich darauf ab, sich unter Hackern zu profilieren. Websites wurden ähnlich wie Graffiti an Mauern oder Autobahnbrücken verunstaltet; politische und persönliche Slogans wurden manchmal in Webseiten eingebettet oder an Desktops gesendet. Diese Angriffe waren lästig, die PCs mussten „bereinigt“ werden und Angreifer waren oftmals darauf aus, den Empfänger in eine peinliche Lage zu bringen. Diese Angriffe führten oft zu einem Abfall der Produktivität oder eingeschränktem Datenvolumen und schafften potenzielle Haftungsprobleme. Die Angreifer waren jedoch mit dem virtuellen Äquivalent einer Sprühdose oft nicht sehr raffiniert. Die heutigen Angreifer dagegen sind raffiniert, organisiert und finanziell motiviert. Sie sind virtuelle Kriminelle, die Technologie für sich nutzen, um gezielte Angriffe gegen bestimmte Personen oder Unternehmen zu starten, durch die sie sich finanziell bereichern können. Das Sicherheitsrisiko und das Potenzial für erhebliche Verluste ist heute viel größer. Eine Taktik, die von diesen virtuellen Kriminellen verwendet wird, besteht darin, ihre Computerkenntnisse gezielt einzusetzen, um Würmer in Host-Computer einzuschleusen. Diese Computer werden als Zombies bezeichnet, vermietet und sind zu Phishing, Spam und sonstigen Angriffen fähig.
Neben den Zombie-Netzwerken („Botnets“), die vermietet werden, setzen virtuelle Kriminelle auch raffinierte Tools ein, um scheinbar harmlosen Inhalt zu verbreiten, der aber trojanische Pferde mit bösartigen Funktionen enthält. Diese zielgerichteten trojanischen Pferde stellen eine Bedrohung für das Unternehmen dar, da sie an der Oberfläche harmlos und unscheinbar wirken oder gar als nützliches Programm oder Spiel getarnt sein können. Oftmals werden für diese Angriffe weit verbreitete Dokumente wie MS Office-Dateien verwendet, die via geschäftlicher oder privater E-Mail, auf die Mitarbeiter über verschlüsselte Web-Mail zugreifen, übertragen werden. Nach dem Öffnen der E-Mail wird der Trojaner installiert und öffnet damit die Tür für Unternehmensdatenspionage, Datendiebstahl und die Installation weiterer Malware. Gewöhnliche Virenschutzprogramme können den Angriff nicht stoppen, weil es keine bekannte Signatur gibt.
Gezielte Angriffe haben eine immer kürzere Dauer und werden nur an wenige Empfänger gesendet. Oftmals bestehen sie aus Malware, die den signaturbasierten Virenschutz des Unternehmens umgehen soll. Da der Angriff bereits in ein paar Stunden beendet sein kann, sind Ihre Daten unter Umständen schon gestohlen, bevor überhaupt jemand merkt, dass ein Angriff stattgefunden hat.
Aber nicht nur Dateien, die in Trojanern versteckt in ein Unternehmen eindringen, können Malware installieren. Auch scheinbar harmlose Websites, auf die Mitarbeiter zu legitimen Zwecken zugreifen, können Malware oder Spyware in einem Netzwerk installieren. Dies ist unter Umständen viel gefährlicher. Anwender können darum gebeten werden, nicht auf suspekte E-Mail-Anhänge zu klicken, aber bösartige Websites können aktiven Code enthalten, der automatisch gestartet wird, sobald die Website geöffnet wird. Dies ist ein häufiger Nachteil von Web 2.0-Applikationen wie Blogs, Wikipedia und Networking-Sites wie MySpace, bei denen Anwender auch Code als Teil des erlaubten Inhalts posten dürfen. Im November 2006 wurde beispielsweie auf die beliebte Wikipedia-Referenzsite schädlicher Code hochgeladen, über den Malware an völlig ahnungslose Besucher verteilt wurde, die dachten, Informationen über einen Sicherheitspatch zu erhalten.
Ein Beispiel dafür, wie signaturbasierter Virenschutz und kategoriebasierte URL-Filterung durch die Dynamik von Web 2.0-Bedrohungen fragwürdig geworden sind, ist ein Programm, das jetzt erhältlich ist, „eVade o’Matic Module“ (oder kurz VOMM) heißt, die Erstellung und Modifizierung von Code automatisiert und dadurch laufend seine Signatur ändert, um nicht von Virenschutzprogrammen erkannt zu werden und so die Schwachstellen des Browsers auszunutzen. Über VOMM kann schädlicher Code buchstäblich über Millionen möglicher Signaturen verfügen, wodurch die Malware dem Virenschutzprogramm immer einen Schritt voraus ist. Der Zweck des Programms ist es also, einen Angriff vor einem signaturbasierten Virenschutzprogramm zu verbergen.
Bösartige Angriffe nutzen jetzt auch die neuesten Technologien, die eigentlich zum Schutz entwickelt wurden. Zum Schutz finanzieller Transaktionen wurde z. B. ein verschlüsseltes HTTP (HTTPS) entwickelt, damit finanzielle Daten nicht „offen“ im Internet liegen. Dieses Protokoll wird heute viel für Transaktionen im Finanz- und Gesundheitsbereich verwendet. Aber auch Angreifer können diese sichere Verbindung nutzen, um Malware zu übertragen und einen bösartigen Angriff auszuführen, der von älteren Sicherheitslösungen wie Virenschutzprogrammen unerkannt bleibt6. Da die meisten älteren Sicherheitslösungen nicht auf verschlüsselten Datenverkehr angewendet werden können, wird dieser Teil des Datenverkehrs im Netzwerk als „SSL-Sicherheitslücke“ bezeichnet.
Bedrohungen von innen
Neben den Bedrohungen von außen besteht auch die Gefahr, dass Daten eines Unternehmens nach außen gelangen, und Unternehmen müssen sich dieser Gefahr bewusst sein. Angreifer sind nicht immer unbestimmte Personen aus weit entfernten Ländern; die Wahrscheinlichkeit ist hoch, dass sie sich direkt in Ihrem Unternehmen befinden. Datendiebe, Industriespione und virtuelle Vandalen können innerhalb eines Unternehmens operieren. Aber Bedrohungen von innen sind nicht immer das Ergebnis eines absichtlichen Angriffs durch einen Insider: manchmal entstehen sie, wenn ein Mitarbeiter unbeabsichtigt eine „Hintertür“ öffnet oder sie offen lässt, indem er eine Anwendung herunterlädt, die nicht von der IT-Abteilung genehmigt wurde.
Wenn Daten nach außen gelangen, besteht gleich zweifacher Grund zur Sorge: 1) Es besteht die Gefahr des Verlusts geistigen Eigentums und 2) die Gefahr, gesetzliche Vorschriften zu verletzen. Viele Unternehmen meinen, dass die Filterung von E-Mails ausreichenden Schutz bietet. Obwohl dies zwar ein wichtiger Schritt zur Verhinderung von Datenverlust nach außen darstellt, ist ein Mehrprotokoll-Ansatz, bei dem Netzwerkadministratoren auch Web-Protokolle miteinbeziehen, besser geeignet: verschlüsselter E-Mail- Verkehr (HTTPS), Instant-Messaging (HTTP) und Dateiübertragungen (FTP). Denn über all diese Protokolle können Unternehmensdaten nach außen übertragen werden.
Ältere Sicherheitslösungen sind nur bedingt für den Schutz vor Web 2.0-Bedrohungen geeignet
Als das Internet entstand und zunehmend Verbreitung fand, traten auch Sicherheitsbedrohungen zutage und es wurden spezifische Lösungen entwickelt, die diese Bedrohungen ansprechen sollten. „Viren“ erschienen erstmals Ende der 80er-Jahre und die ersten Hersteller von Virenschutzprogrammen brachten ihre Produkte Anfang der 90er-Jahre auf den Markt. Das erste Virenschutzprogramm war 1991erhältlich, nachdem Peter Tippet, der eigentlich Arzt war, bei Viren, die den Computer angreifen, dieselbe Methode angewendet hatte wie bei Viren, die den Menschen angreifen: Identifizierung des Virus nach seinem Verhaltensmuster und anschließende Impfung gegen den Virus. Die ersten Viren wurden danach identifiziert, was sie tun würden, z. B. den Bootsektor angreifen, und dies wurde als ihre Signatur bezeichnet.
Das erste Virenschutzprogramm bediente sich einer Liste mit Virus-Signaturen. Diese Programme waren als Client-Lösungen konzipiert, die den Desktop vor Vireninfektionen schützen sollten, welche in der Regel über tragbare Datenträger (wie 5,25”- und 3,5”-Disketten) verbreitet wurden. Zunächst funktionierte dies gut, da es damals noch nicht so viele Viren wie heute gab. Diese Virenschutzprogramme werden auch heute noch zum Schutz von Computern eingesetzt, selbst wenn diese mittlerweile häufig vernetzt sind. Gateway- Versionen dieser Virenschutzprogramme sind heute von diesen Herstellern als Software oder als Appliance erhältlich. Ihr primärer Ansatz, einen Schutz zu liefern, ist weiterhin das gleiche reaktive, signaturbasierte Modell, das zuerst von Dr. Tippett angewendet worden war. Da neue Viren (und Mutationen alter Viren) inzwischen zu Tausenden auftreten, kann dieses reaktive Modell leider nicht länger mithalten – es wird eine proaktive Lösung benötigt.
Eine Bedrohung, die von signaturbasierten Virenschutzprogrammen unerkannt bleibt, ist Spyware. Der Begriff Spyware (Software, die Anwenderdaten ohne deren Einwilligung erfasst und gewöhnlich zu Marketingzwecken an den Ersteller der Spyware sendet) entstand 1995, ist aber erst seit dem Jahr 2000 wirklich in den Sprachgebrauch übernommen worden. Eine Version der Spyware, die als Adware bezeichnet wird, ruft Werbung gewöhnlich in einem Popup-Fenster auf und installiert sich selbst, um Informationen zur Nutzung des Webs und zu den Surfgewohnheiten des Anwenders auf dem infizierten Computer an den Werber zurückzusenden. Das erste Anti-Spywareprogramm kam Anfang 2001 auf den Markt, wodurch ein völlig neues Segment in der Sicherheitsbranche entstand: Programme zum Schutz vor Spyware. Spywareprogramme werden in der Regel auf einem Desktop installiert und funktionieren nach dem gleichen Prinzip wie Virenschutzprogramme: Nach der Erkennung von Spyware wird eine Signatur erstellt, die dann auf die installierte Software des Herstellers heruntergeladen wird. Anschließend wird das Spywareschutzprogramm ausgeführt, um die Spyware zu beseitigen.
Die weite Verbreitung von Instant-Messaging (IM)-Applikationen (AOL, Yahoo, MSN usw.) hat für Unternehmen weitere Probleme geschaffen, die nicht durch ältere Sicherheitslösungen bewältigt werden können: IM-Applikationen machen Unternehmen anfälliger für Malware und die unerlaubte Verbreitung ihrer Daten über E-Mails und den Transfer von Dateianhängen. Da Dateien leicht über IM übertragen werden können, hat IM FTP in breiten Kreisen als bevorzugte Methode zum Austausch von Dateien unter Personen ersetzt. Nachteile hierbei sind das vergrößerte Risiko nach außen geratender Daten und die Anfälligkeit für Malware, die Dateien auf die Festplatte eines Anwenders ohne dessen Wissen bzw. Zustimmung überträgt. Viren, Trojaner und andere bösartige Anwendungen können jetzt also nicht nur per E-Mail, sondern auch über HTTP-basiertes Instant Messaging verbreitet werden. Um diesen neuen Bedrohungen entgegenzutreten, kam Ende 2004 eine Reihe neuer Hersteller mit speziellen Programmen auf den Markt.
Aus den letzten 15 Jahren lässt sich klar ersehen, dass immer dann neue Hersteller mit neuen Produkte aufwarten, wenn neue Bedrohungen entstehen. Oftmals wurden diese Programme zunächst als Desktop- Anwendungen und später – dank immer erschwinglicherer Netzwerkhardware – zunächst als Gateway- Serversoftware und dann als spezielle Gateway-basierte Appliances angeboten. Das Resultat: Unternehmen verfügen in diesem Jahr (2007) über zahllose Einzellösungen unterschiedlichster Hersteller mit diversen Benutzeroberflächen. Diese Einzellösungen arbeiten nicht ohne Weiteres mit allen Anwendungen zusammen und die IT-Abteilung muss ihre Sicherheitsrichtlinien an mehreren Stellen implementieren. Aber trotz dieser komplexen Infrastruktur ist die Gefahr durch Malware immer noch nicht gebannt, da der signaturlose gezielte Angriff und die „SSL-Sicherheitslücke“ von keinem dieser Programme entsprechend behoben werden.
Lesen Sie das nächste Kapitel | | | weiter |  |
05/2008, Michael Rudrich
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | E-Mails sind ein unerlässliches Tool für nahezu jedes Unternehmen, gleich welcher Größe. In vielen Unternehmen werden fast 95 Prozent aller Dokumente per E-Mail übertragen, weshalb eine robuste und sichere E-Mail-Infrastruktur von entscheidender ... | |  | | 21 Anbieter von Intrusion Detection / Prevention Systems haben der <kes> auf Nachfrage Auskunft über ihre Lösungen zur Angriffserkennung und -abwehr gegeben ... | |  | | Da Unternehmen zunehmend ihre Kundenkommunikation und ihre Geschäftsvorgänge über Call Center abwickeln, ist es nicht verwunderlich, dass dieser Wirtschaftszweig signifikante Steigerungen und Expansionen zu vermelden hat. Egal ob ... | |  | | Deutsche Unternehmen gefährden Kundendaten für Test- und Entwicklungszwecke. Das Thema „Datenschutz“ genießt in Deutschland hohe mediale Aufmerksamkeit. Die Debatte über die Durchführung von Onlinedurchsuchungen zeigt, wie sensibel die Öffentlichkeit ... | |  | | Britische Unternehmen beobachten Angestellte flächendeckend: Rund 85 Prozent aller britischen Unternehmen überwachen und protokollieren regelmäßig die Onlineaktivitäten ihrer Mitarbeiter. Zu diesem Ergebnis kommt eine aktuelle Untersuchung ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
