09.01.2008 | Autor / Redakteur: Gerhard Kafka / Andreas Donner
Mit dem Begriff Sicherheit sind grundsätzlich zwei Aspekte verbunden: der Schutz geschäftskritischer Informationen und die Verfügbarkeit der Infrastruktur. Mit redundant konzipierten Netzwerkkomponenten und einer vermaschten Infrastruktur können Ausfallzeiten bereits auf eine halbe Minute pro Jahr reduziert werden, die immer raffinierter werdenden Angriffe auf Unternehmensinformationen erfordern jedoch laufende Anpassungen der Schutzmaßnahmen.
Der Aufwand für die permanente Sicherheitsoptimierung speziell bei IP-Kommunikationssystemen ist bereits bei der Budgetierung zu berücksichtigten. Die wichtigsten Tools rund um das Thema Kommunikationssicherheit werden nachfolgend beschrieben.
Doch zunächst gilt es, sich einige grundsätzliche Gedanken zur Informationssicherheit im Unternehmen zu machen. Zunächst sei erwähnt, dass Sicherheit Chefsache ist – die Unternehmensrichtlinien für die Sicherheit solletn deshalb immer von der Unternehmensleitung ausgehen.
Darüber hinaus erfordert die Unternehmenssicherheit ein Gesamtkonzept. Dieses umfasst sämtliche Bereiche einschließlich der Objektüberwachung und der Zugangskontrolle. Außerdem ist Sicherheit ein dynamischer Prozess – ein einmal erreichtes Sicherheitsniveau muss in regelmäßigen Zeitabständen überprüft und ggf. revidiert werden.
Hundertprozentige Sicherheit gibt es nicht – das wissen auch die Verantwortlichen in Regierungs- und Militärkreisen. Der Aufwand zum Schutz der besonders kritischen Informationen muss also den spezifischen Anforderungen angepasst werden. Und last but not least erfordert Sicherheit immer zusätzliche Investitionen. Wenn jedoch an den Kosten für die Sicherheit gespart wird, kann dies nach einer Attacke für ein Unternehmen (sehr) teuer werden.
Für die Umsetzung der Sicherheitsrichtlinie eines Unternehmens ist der Sicherheitsbeauftragte verantwortlich. Durch gesetzliche Regelungen ist ein Unternehmen zum Schutz der Informationen verpflichtet. Eine umfangreiche Sammlung von sicherheitsrelevanten Themen bieten die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die auf der Webseite des BSI eingesehen werden können. Das BSI führt ferner Akkreditierungen von Prüfstellen und Zertifizierungen von IT-Produkten und -Systemen sowie Personen durch.
Netzwerk-Anwendungen werden zunehmend komplexer. Die Konvergenz der Netze und Dienste, mobile Mitarbeiter, Kollaboration, Präsenz und viele weitere neue Applikationen erfordern umfangreiche Maßnahmen für die Sicherheit. Diese beginnen bei der physikalischen Infrastruktur und reichen über Schnittstellen und Protokolle bis in die Anwendungen. Praktisch existieren immer noch viele ältere Installationen, die den neuen Anforderungen in puncto Sicherheit nicht immer gewachsen sind. Und die Sicherheit der unternehmenskritischen Informationen ist nach wie vor ein Dreh- und Angelpunkt einer zuverlässigen Netzwerkarchitektur. Der Trend geht hierbei zu einer zentralen konvergenten Infrastruktur für alle Bereiche und Anwendungen.
Ein praktisches Sicherheitskonzept sollte deshalb als dynamisches Rahmenwerk für jedes Unternehmen individuell konzipiert werden. Für die Gestaltung einer sicheren IT-Infrastruktur empfiehlt sich ein strukturiertes Vorgehen mit der Verteilung der spezifischen Aufgaben auf die folgenden Bereiche:
Die größtmögliche Sicherheit wird dann erreicht, wenn auf allen Netzwerkebenen die heute verfügbaren Komponenten eingesetzt werden. Alle Mitarbeiter des Unternehmens sind über das Sicherheitskonzept zu informieren und müssen durch regelmäßige Schulungen sensibilisiert werden. Schließlich sollten die Verantwortlichen für bestimmte Bereiche explizit benannt werden.
Die Absicherung beginnt naturgemäß auf der physikalischen Ebene: mit einer umfangreichen Dokumentation und Überwachung der Übertragungswege, Mechanismen für den Schutz von mobilen Datenträgern und den anerkannten Methoden zur Kennzeichnung und Verbreitung von vertraulichen Dokumenten. Für besonders kritische Übertragungswege existieren Monitorsysteme, die bereits geringfügige Pegeländerungen (z.B. durch Abhörmaßnahmen) registrieren und darauf bezogene Alarmmeldungen generieren.
Für die Netzwerksicherheit stehen verschiedene Komponenten zur Auswahl. Die bekannteste ist die Firewall, ursprünglich als reines IP-Filter konzipiert. Eine Empfehlung des BSI lautet PAP (Packet Filter – Application Gateway (AG) – Packet Filter). Dahinter verbirgt sich das Konzept einer kontrollierten DMZ (Demilitarisierte Zone), die sich hinter dem AG befindet und durch Firewalls am Eingang und Ausgang geschützt wird. Bei der gestaffelten Anordnung von Firewalls sollten Geräte verschiedener Hersteller eingesetzt werden.
Mit Stateful Inspection wird die Funktion einer Firewall erweitert, indem die Inhalte eines IP-Paketes auch auf schädliche Informationen untersucht werden. Ein Proxy Server dient zur Trennung von Clients und Servern, die nur über diese Zwischenstation indirekt miteinander kommunizieren können. Angriffe auf die Unternehmensnetzwerke (z.B. mittels DoS bzw. DDoS) lassen sich mit einem IDS (Intrusion Detection System) erkennen und mit einem IPS (Intrusion Prevention System) abwehren. Den erlaubten Zugang zum Netzwerk regelt NAC (Network Access Control).
Eine sichere Kommunikation über unsichere Netzwerke wird durch verschiedene VPN-Technologien (Virtual Private Network) unterstützt. Man unterscheidet Layer 2 VPNs (L2TP und VPLS) und Layer 3 VPNs (IP und MPLS). Da VPNs nur mit Verschlüsselung wirklich sicher betrieben werden können, steht dafür die sichere IP-Version IPsec zur Verfügung. Für die Verwaltung und Zertifizierung der Schlüssel ist eine PKI (Public Key Infrastructure) erforderlich. Die VPN-Technologien setzen einen Client auf dem Endgerät voraus, der regelmäßig aktualisiert werden muss. Als Alternative zu VPN wird zunehmend SSL (Secure Socket Layer) eingesetzt, wofür Standard-Browser auf dem Endgerät genügen.
Für die Anwendungssicherheit sorgt zunächst eine sichere Netzwerkarchitektur, die durch Abteilungs- und Subnetze strukturiert wird. Zentrale AAA-Server (Authentication, Authorization, and Auditing) regeln die Zugriffsrechte eines autorisierten Benutzers. Neben den zentral positionierten Filter- und SPAM-Erkennungssystemen wird zusätzlich die Installation von Antiviren- und Antispy-Software auf jedem einzelnen Endgerät empfohlen, um so auch dekodierte Trojaner sicher zu erkennen. Für solche Anwendungsprogramme werden Aktualisierungen bereits im Stundenrhythmus offeriert.
Gerhard Kafka arbeitet als freier Fachjournalist für Telekommunikation in Egling bei München.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009955)
