Einleitung
Das Internet, so wie es einst erfunden und implementiert wurde, basiert auf leistungsfähigen Übertragungsprotokollen, die für eine robuste Nachrichtenübermittlung sorgen. Allerdings kümmerte es sich wenig bis gar nicht um die Sicherheit der zu übertragenden Daten – die Information wird unverschlüsselt übertragen, so dass diese vor dem Blick Fremder in keiner Weise geschützt ist.
Das geht sogar noch weiter: Die über das Internet übertragene Information kann nicht nur von fremden Augen mitgelesen, sondern auch verändert werden. Ein Horrorszenario in unser heutigen Zeit!
Was dies für den Standort Deutschland bedeutet, ist mittlerweile jedem klar und es bedarf daher keines weiteren Kommentars.
Welche Lösungsansätze gibt es, unser geistiges Eigentum und geschäftliche Interna bzw. Geheimnisse vor der Neugier Fremder und Cyberkrimineller zu schützen?
Verschlüsselung
Das Zauberwort heißt „Verschlüsselung“. Ohne auf die sehr komplizierte Grundlage der Verschlüsselung eingehen zu wollen, kann beim heutigen Stand der Technik behauptet werden, dass moderne Verschlüsselungsverfahren sicher sind – diese werden zudem ständig weiterentwickelt, so dass sie uns auch zukünftig begleiten und helfen werden, unsere Daten zu schützen.
- Authentizität
- Integrität
- Vertraulichkeit
Das haben auch die „Großen“ in der Internetbranche begriffen (Google, Telekom usw.) und so werben diese für den Einsatz der auf Verschlüsselung basierenden Techniken im Internet.
Seit über zwei Jahren bevorzugt Google Seiten, die über das verschlüsselte Protokoll „HTTPS“ ausgeliefert werden.
Google will damit mehr für die Sicherheit im Web tun und deshalb künftig HTTPS-gesicherte Websites in der Google-Suche bevorzugen. Die Implementierung von HTTPS wurde zu einem Ranking-Faktor gemacht, der die Reihenfolge der Suchergebnisse mitbestimmt. Damit ermutigt Google Webentwickler (besser gesagt: „zwingt sie sanft“), auf verschlüsselte Verbindungen zu setzen. Denn unverschlüsselte Verbindungen sind eines der größten Risiken im Web, vor allem, wenn man wertvolle Daten wie Zugangsdaten oder E-Mails auf einer Seite eingibt: Sind diese unverschlüsselt, können Angreifer die Daten leicht abfangen.
„Volksverschlüsselung“ der Fraunhofer SIT und Telekom
Die Volksverschlüsselung ist eine Entwicklung von Fraunhofer SIT für den einfachen Versand verschlüsselter E-Mails. Mit Hilfe der Volksverschlüsselung sollen nur Absender und Empfänger den Inhalt einer E-Mail lesen können – man spricht hier über eine Ende-zu-Ende-Verschlüsselung, da nur die Endpunkte unverschlüsselten Zugriff auf den E-Mail-Inhalt erhalten.
Die Deutsche Telekom betreibt die Lösung in einem zertifizierten Hochsicherheits-Rechenzentrum. Die eingesetzte Software soll besonders benutzerfreundlich sein. Die Volksverschlüsselungs-Software übernimmt automatisch alle notwendigen Schritte, angefangen von der Schlüsselerzeugung über die Zertifizierung bis hin zur Einrichtung und Konfiguration der Anwendungsprogramme auf den verschiedenen Geräten des Nutzers. Der Nutzer muss sich nicht mehr um die Installation der Schlüssel und Zertifikate und die Konfiguration der Anwendungen kümmern. Auch technisch weniger bewanderten Nutzern ist es somit möglich, ohne großen Aufwand ihre E-Mails und Daten zu verschlüsseln.
Das alles hört sich sehr gut an: Google sorgt dafür, dass immer mehr Internetseiten über das verschlüsselte und sichere Übertragungsprotokoll HTTPS ausgeliefert werden, während Fraunhofer SIT und Telekom den sensiblen E-Mail-Verkehr mit der Volksverschlüsselung schützen wollen.
Aber wo Licht ist, ist auch Schatten...
Die Schattenseite
Abgesehen von den technischen und organisatorischen Voraussetzungen, insbesondere bei der E-Mail-Verschlüsselung, die notwendig sind, um Information sicher vor unberechtigten Blicken übertragen zu können, sind diese Bemühungen allesamt zu begrüßen.
Allerdings lassen die Werbetrommeln von Google, Telekom & Co. einen sehr wichtigen Aspekt außen vor: Übertragung von Viren, Trojanern, Links zu unerlaubten bzw. verdächtigen Seiten, unerwünschten Inhalten usw.
Malware und Spam frei am Endpunkt geliefert
Die durch Verschlüsselung geschützten Übertragungen schützen auch die Übertragung von Malware und Spam. Schöne neue Welt!
Bisher konnten viele UTM-Firewalls oder Mail-Relays Unternehmen vor vielen Internetgefahren schützen, indem sie den Datenverkehr in Echtzeit analysieren und auf Gefahren hin überprüfen. Durch den von Google, Telekom & Co. ausgeübten Druck, Verschlüsselungstechniken zu nutzen, steigt der verschlüsselte Datenverkehr rasant an. Ohne weitere Maßnahmen kann dieser von einer am Internetübergabepunkt platzierten Firewall nicht mehr auf Gefahren hin überprüft werden. Erst das Endgerät (PC, Notebook, Tablett, Smartphone usw.) kann versuchen, geeignete Maßnahmen zu ergreifen, nachdem die Daten entschlüsselt wurden. Schlagen diese fehl, wird man sofort Opfer von Spam, Malware usw.
Wie Sie eindeutig erkennen, bezahlen Sie für eine sichere, verschlüsselte Datenübertragung mit dem Verzicht auf einen früheren, mehrstufigen Schutz vor Viren, Trojanern, Links zu unerlaubten bzw. verdächtigen Seiten, unerwünschten Inhalten usw.
Wo Licht ist, ist auch Schatten...
Gegenmaßnahmen
Je nach Konfiguration Ihrer IT-Sicherheit gibt es unterschiedliche Möglichkeiten, aus diesem Dilemma herauszukommen. Das ist mit zum Teil großem Aufwand verbunden, gehört mittlerweile jedoch zu den Basics in der IT-Sicherheit. Wir tauschen nicht Sicherheit vor neugierigen Blicken (Spionage) gegen Schutz vor Malware und Spam ein!
Eine sehr effektive Sicherheitsmaßnahme ist die Untersuchung des Datenverkehrs in Echtzeit während des Internetsurfens. Viele Seiten halten Schadcode bereit, der beim Ansteuern der Seite heimlich für den Anwender im Hintergrund heruntergeladen und ausgeführt wird. Durch die Verschlüsselung wird dieser Schutz ausgehebelt, da dieser u. a. genau das garantieren soll: Kein Einblick in die zu übertragenen Daten.
Müssen Sie auf diesen wichtigen Schutz verzichten?
SSL-Interception
Dieses Verfahren setzt viel Know-how voraus, führt jedoch zur erhofften Prüfung des Datenverkehrs, bevor dieser den Endpunkt bzw. Anwender erreicht.
Grob erklärt bricht dieses Verfahren den durch SSL-Zertifikate geschützten Internetverkehr auf, entschlüsselt diesen, um ihn dann auf Malware zu prüfen. Allerdings wurde durch das „Aufbrechen“ die Integrität der Daten verletzt, so dass der Endpunkt die Annahme der Daten automatisch verweigern wird.
Um den Datenverkehr an die Endpunkte weiterleiten zu können, muss eine sog. Zertifizierungsstelle aufgebaut werden. Diese stellt u. a. SSL-Zertifikate für das Unternehmen aus, welche intern auszurollen sind. Je nach verwendeter Anwendung muss das entsprechende Zertifikat in den lokalen Zertifikatspeicher des Endpunktes (PC, Tablett, Smartphone usw.) oder in die Anwendung selbst (z. B. Firefox) geladen werden. Hierbei handelt es sich um ein vertrauenswürdiges Stammzertifizierungsstellenzertifikat.
Nun kann jetzt die Appliance (z. B. Firewall) den vorher entschlüsselten und geprüften Datenstrom mit dem eigenen Zertifikat wieder verschlüsseln und an die Endpunkte weiterreichen. Da der Endpunkt das Stammzertifizierungsstellenzertifikat in seinem Zertifikatsspeicher abgelegt und als vertrauenswürdig eingestuft hat, wird der Datenverkehr zugelassen, ohne dass der Anwender von diesem komplizierten Vorgang etwas mitbekommt.
Die gesamte Einrichtung sollte schnell vorgenommen werden, da durch den von Google und mittlerweile auch anderen Suchmaschinen und Institutionen ausgeübten Druck, Verschlüsselung zu verwenden, immer mehr Seiten auf HTTPS umsteigen. Diese Seiten können ohne die sog. „SSL-Interception“ nicht geprüft werden.
Neben der notwendigen Infrastruktur und Einstellungen muss auch ein Regelwerk erstellt und gepflegt werden, welches z. B. Seiten von einer Prüfung ausschließt. Hierzu zählen u. v. m. das Herunterladen von Virensignaturen Ihrer Antivirenprogramme, Windows-Downloads usw.
Die Nutzung von SSL-Interception ist kein „Kann“, sondern ein „Muss“.
Proxy
Wenn Sie eine UTM-Firewall (z. B. Securepoint) verwenden, sollten Sie unbedingt über die Nutzung des eingebauten Proxys nachdenken. Nur so können Sie steuern, welche Mitarbeiter bzw. Mitarbeitergruppen ins Internet dürfen und was diese dürfen. So sind Geschäftsführer persönlich für den Internetzugang Ihrer Firma verantwortlich und haften zunächst für etwaige Probleme bzw. gesetzwidrige Handlungen, die auf den Missbrauch Ihres Internetzugangs zurückzuführen sind. Haben Sie minderjährige Mitarbeiter im Unternehmen (z. B. Azubis), so dürfen diese nicht ungebremst ins Internet.
Durch die Unterteilung in Nutzergruppen können Sie den Internetzugang sehr genau steuern (z. B. kein Shopping mehr während der Arbeitszeit, Sex-Seiten ausblenden usw.). Darüber hinaus erhalten Sie die Möglichkeit, das Surfverhalten Ihrer Mitarbeiter sehr genau auswerten zu können, was im Streitfall sehr wertvoll sein kann. Beachten Sie hierbei bitte die in den Arbeitsverträgen Ihrer Mitarbeiter vereinbarte Internetnutzung.
Die Nutzung eines Proxys ist durch die sich ändernden Rahmenbedingungen in den letzten Jahren ebenfalls zu einem absoluten „Muss“ mutiert und sollte zusammen mit der SSL-Interception so schnell wie möglich in Angriff genommen werden.
Ich habe eine „XYZ-Box“ und bin bisher nie angegriffen worden!
Woher wissen Sie das?
Eine einfache XYZ-Box bietet einen gewissen Grundschutz, nicht aber im unternehmerischen Bereich. Für zuhause oder in kleinen Büros mag so eine Box ein kostengünstiges Gerät für den Internetzugang sein, für den Schutz eines Unternehmensnetzwerkes ist sie aber äußerst ungeeignet.
Das liegt zum einem an der Zielgruppe und zum anderen an ihrem Preis. So eine Box bietet in der Regel neben einem Kabel- bzw. VDSL/ADSL-Modem noch eine einfache Telefonanlage, ein Faxgerät, einen Mediaserver, NAS-Funktionalität und eine einfache Firewall. Das alles für einen kleinen Preis.
Eine UTM-Firewall dagegen integriert weder eine Telefonanlage, noch kann sie faxen, mediale Inhalte verwalten, NAS-Funktionen anbieten oder gar ein Kabel- bzw. VDSL/ADSL-Modem bieten – sie ist ein spezialisiertes Gerät mit der primären Aufgabe, Netzwerke zu schützen. Nur mit einer echten Firewall können Sie alle Aktivitäten protokollieren und somit erkennen, was in und aus Ihrem Netzwerk geht bzw. Einbruchsversuche erkennen und abwehren.
An dieser Stelle möchte ich meine Frage wiederholen:
Woher wissen Sie, dass Sie bisher nicht angegriffen worden sind?
UTM-Firewalls – Eine absolute Notwendigkeit
Im Unternehmensumfeld ist die Nutzung von UTM-Firewalls zu einer absoluten Notwendigkeit geworden. Deren Einsatz steht innerhalb der heutigen Rahmenbedingungen nicht mehr zur Diskussion. Sie brauchen neben dem richtigen Produkt auch einen kompetenten Partner, der Ihnen zur Seite steht und zusammen mit Ihnen die richtige Lösung aussucht, einführt und pflegt.
Als Securepoint UTM-Certified-Engineer – Gold Level – decken wir alle Anforderungen optimal ab. Wir überprüfen Ihre IT-Infrastruktur, suchen die geeigneten Lösungen aus, führen diese ein, schulen Ihre Mitarbeiter und kümmern uns um die Systempflege Ihrer Sicherheitsinfrastruktur.
Schlusswort
Alle Kunden mit UTM-Firewalls sollten so schnell wie möglich, diese so einrichten lassen, dass der verschlüsselte Datenverkehr auf Malware geprüft wird. Darüber hinaus sollte die Proxy-Funktionalität ihrer Firewalls unbedingt verwendet werden, um die Sicherheit noch weiter zu erhöhen.
Haben Sie keine UTM-Firewall im Einsatz, so sollten Sie sich schnell damit befassen – Cyberkriminelle warten nicht.
Selbstverständlich freuen wir uns, Ihnen unsere Expertise als Securepoint UTM-Certified-Engineer – Gold Level – zur Verfügung zu stellen. Sprechen Sie uns einfach an!