Untersuchung der BSI Studien (WLAN, LAN, VoIP) und Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte

Transkript

1 Diplomarbeit in Computer Networking Untersuchung der BSI Studien (WLAN, LAN, VoIP) und Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Referent: Prof. Dr. C. Reich, Hochschule Furtwangen Korreferent: S. Kirchmann, xevit GmbH Vorgelegt am: Vorgelegt von: Gabriel Schlegel Verlorener Weg 9, Freiburg

2

3 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Ich erkläre hiermit an Eides statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne unzulässige fremde Hilfe angefertigt habe. Die verwendeten Quellen und Hilfsmittel sind vollständig zitiert. Ort, Datum Unterschrift i

4 ii Diplomarbeit

5 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Die sicherste Türe ist die, die man offen lassen kann. Chinesisches Sprichwort iii

6 iv Diplomarbeit

7 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Danksagung An dieser Stelle möchte ich mich bei allen Personen bedanken, die mir direkt oder indirekt bei der Erstellung dieser Arbeit zur Seite standen. Besonderen Dank möchte ich Herrn Prof. Dr. C. Reich für seine tatkräftige Unterstützung und die konstruktiven Kommentare bzw. Anmerkungen aussprechen. Dem Unternehmen xevit GmbH möchte ich für die interessante Aufgabenstellung und die zur Verfügung gestellten Versuchskomponenten danken. Danke auch an S. Kirchmann und P. Mangler, die mir diese Arbeit ermöglicht und genug Freiraum für eine selbstständige Bearbeitung gelassen haben. Allen Interessierten wünsche ich viel Spaß beim Eintauchen in die interessante Welt der IT-Sicherheit. v

8 vi Diplomarbeit

9 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Zusammenfassung Kaum ein Thema bewegt die Informationstechnik so sehr wie die Sicherheit. Gerade der Trend zu konvergenten Netzen, in denen Sprache, Video und Datendienste über das gleiche Medium transportiert werden, bietet eine Vielzahl von Angriffszielen auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Gleichzeitig wächst der Druck auf Unternehmen, IT-Sicherheit zu betreiben. Wirtschaftsspionage, Basel II, KonTraG sind nur einige Stichworte, die entsprechende Maßnahmen forcieren. Die IT- Sicherheit ist das zentrale Element dieser Ausarbeitung. Hierbei wird ein Zusammenhang zwischen dem IT-Grundschutz des BSI und der Cisco Security Strategie Self-Defending Networks hergestellt. Dazu werden der Grundschutz und die Cisco Security Strategie analysiert. Anschließend werden Abbildungsmöglichkeiten diskutiert und das Network Admission Control als integraler Bestandteil von Self-Defending Network schwerpunktmäßig untersucht. Abstract Almost nothing changes the information technology as much as security. The straight trend to convergent networks, in which voice, video and data services are transported over the same medium, offers a multiplicity of possible attack targets on confidentiality, integrity and availability. At the same time the pressure grows on enterprises to protect their IT. Industrial espionage, Basel II and KonTraG are just a few keywords, which force appropriate measures. The IT security is the central element of this diploma thesis. It establishes a connection between the IT-Grundschutz and Cisco s security strategy Self-Defending networks. In addition, the IT-Grundschutz and Cisco s security strategy are analyzed. Subsequently, illustration possibilities are discussed and Network Admission Control is examined as an integral component of Self-Defending Networks. vii

10 viii Diplomarbeit

11 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Inhaltsverzeichnis 1. Einleitung Motivation Ziel der Diplomarbeit Aufbau der Diplomarbeit IT-Sicherheit im Fokus Was ist IT-Sicherheit? Gefährdungen der Sicherheit Bedeutung für Unternehmen Quo vadis - der Weg zur Endpunktsicherheit Rechtliche Aspekte Zusammenfassung Bundesamt für Sicherheit in der Informationstechnik (BSI) Publikationen Drahtlose Kommunikationssysteme und ihre Sicherheitsaspekte LAN VoIPSEC Studie zur Sicherheit von VoIP IT-Grundschutz Standards Kataloge Vorgehensweise IT-Sicherheitsmanagement IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung der Maßnahmen Zertifizierung Zusammenfassung Cisco Security Strategie: Self-Defending Networks DDoS Mitigation Adaptive Security Appliances (ASA) Antispoofing Intrusion Prevention Service Protocol Inspection Service HTTP Inspection Engine Content Security and Control Security Service Module (CSC-SSM) Incident Control Service (ICS) ix

12 Diplomarbeit X Rollen EAP-Methoden X und Network Admission Control (NAC) VPN und 802.1X Network Admission Control (NAC) Das Cisco NAC Framework Komponenten Arbeitsmodus Ablauf der Netzwerkzugangskontrolle Die Cisco NAC Appliance Komponenten Funktionsweise Überprüfung der Posture Credentials Cisco Security Agent (CSA) Cisco Security Centralized Management Zusammenfassung Abbildung des IT-Grundschutzes auf Cisco Security Strategie Abstrakte Betrachtung der Aufgabenstellung Problematik Lösungsansätze Integration in den IT-Grundschutz Hervorheben von Gefahrenspitzen Direkte Abbildung der Bausteine durch Cisco-Komponenten Erstellen typischer Strukturen Erstellen eigener Bausteine für Cisco-Komponenten Erweitern vorhandener Bausteine Gemeinsamkeiten zwischen IT-GS und Cisco Security Strategie Gegenüberstellung der Lösungen Zusammenfassung Aufbau und Erprobung einer Cisco NAC Appliance Clean Access Server Clean Access Manager Endgeräte Zusammenspiel der Komponenten Authentifizierung durch einen Radius Server Überprüfung der Host Credentials Untersuchung der Sicherheit von NAC Analyse Schwachstellen Vorschläge zur Verbesserung der Sicherheit Zusammenfassung x

13 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 7. Zusammenfassung Erreichte Ziele Fazit Ausblick Literaturverzeichnis Abkürzungsverzeichnis Glossar Abbildungsverzeichnis Tabellenverzeichnis Anlagenverzeichnis A: Protocol Inspection Services B. Network Admission for NAC-enabled Endpoints C. Admission Process for Endpoint Changing from Quarantine to Healthy State D. Admission Control for NAC Agentless Host E: Understanding Types of DDoS Attacks F: Implementation Decision Tree G: Sicherheitsmaßnahmen bei VoIP H: Inhalte der beiliegende CD xi

14 xii Diplomarbeit

15 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 1. Einleitung 1.1. Motivation Unabhängig davon, ob man IT-Sicherheit als lästiges Übel, Mehrwert für andere Bereiche oder primäres Ziel in der Informationstechnik sieht, muss man sich heutzutage damit auseinandersetzen. Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (im Weiteren BSI genannt) verkündete in einer Pressemitteilung: "Die Anzahl der Angriffe auf die Online-Sicherheit, die daraus resultierenden Kosten und die Qualität der Angriffe steigen dramatisch an. Das Internet kennt keine Grenzen[..] [BSIPR07]. Zur Zeit existieren Unmengen an Statistiken und Trends von Berater- und Marktforschungsunternehmen zum Thema IT-Sicherheit. Diese haben alle eine Gemeinsamkeit: Einen tendenziellen Anstieg der Bedrohungen (vgl. [BSILB07]). Bereits im Jahre 2006 verfügten 79% aller deutschen Unternehmen über einen Zugang zum Internet [STATB07]. Die Wurmattacken G der letzten Jahre haben jedoch gezeigt, wie verwundbar unsere vernetzen Infrastrukturen sind. Als prominenteste Vertreter seien hier SQL Slammer, W32.Blaster, Sasser und MyDoom genannt. Oftmals ist das Verlangen nach Sicherheit trotzdem nicht ausgeprägt. IT-Sicherheit kostet schließlich Geld und wird an wirtschaftlichen Mitteln gemessen. Da eine Sicherheit kein Gewinn erwirtschaftet, wird auch nie einen Return on Investment (RoI) erreicht und die Investitionen werden sich nicht amortisieren. Der aktuelle Trend zu everything over IP (Trend der CeBIT 2007 [CEBITT07]) bedeutet jedoch nicht nur Mehrwerte, sondern birgt auch eine größere Angriffsfläche. In Zeiten von schnell wachsenden Exploit G -Frameworks wie Metasploit 3 [METASP], bei dem Exploits nach dem Baukastenprinzip modelliert werden können, ist ein wirksamer Schutz der Informationstechnik unerlässlich. Diesen Bedrohungen muss entsprechend entgegengewirkt werden. 1

16 Diplomarbeit 1.2. Ziel der Diplomarbeit Diese Arbeit soll eine Verbindung zwischen Cisco, dem Weltmarktführer für Netzwerk- Equipment und dem deutschen De-facto Standard für IT-Sicherheit, dem IT-Grundschutz (IT-GS) des BSI herstellen. Es soll untersucht werden, ob eine Abbildung des IT-GS auf Cisco Security Strategie und Produkte möglich ist und gegebenenfalls soll hierzu eine Methodik erstellt werden. Da sich die Firma xevit net Works als reiner Cisco-Partner ausweisen kann, sollen ausschließlich Cisco-Technologien Verwendung finden. Die für die Abbildung verwendeten Bestandteile, der IT-GS und die Cisco Security Strategie Self-Defending Networks sollen analysiert werden. Die Studien des BSI zur Sicherheit von WLAN, LAN und VoIP werden dabei als Hintergrundinformationen und für Maßnahmenempfehlungen herangezogen. Diese Ausarbeitung soll jedoch nicht als Versuch verstanden werden, den herstellerunabhängigen IT-GS in ein Cisco-lastiges Korsett zu zwängen, sondern lediglich einen Lösungsweg für eine sicherere IT-Landschaft aufzeigen. 2

17 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 1.3. Aufbau der Diplomarbeit Diese Ausarbeitung wurde ganz im Sinne der sicheren Informationstechnik geschrieben und besteht aus sieben Abschnitten. Zu Beginn wird erläutert, wie die Diplomarbeit zustande kam und worin die Ziele bestehen. IT-Sicherheit wird als zentraler Gegenstand dieser Arbeit im zweiten Teil beschrieben. Hierbei werden entsprechende Gefährdungen und deren Bedeutung für Unternehmen aufgezeigt. Im Folgenden werden die für diese Arbeit relevanten Publikationen des BSI beschrieben und der IT-GS mit seinen Bestandteilen und Vorgehensweisen analysiert. Daraufhin folgt eine Untersuchung der Cisco Security Strategie Self-Defending Network und deren Kernkomponenten. Als integraler Bestandteil dieser Strategie wird das Network Admission Contol schwerpunktmäßig betrachtet. Der fünfte Teil diskutiert verschiedene Methoden zur Abbildung des IT-GS auf Cisco Security Strategie und Produkte. In diesem Abschnitt wird auch die Lösung der Abbildung erläutert. Im sechsten Abschnitt dieser Arbeit wird das in der Theorie betrachtete Network Admission Control in einem Laboraufbau hinsichtlich Sicherheit untersucht. Anschließend werden Vorschläge zur Verbesserung der Sicherheit gegeben. Der siebte und abschließende Teil bietet eine Übersicht der erreichten Ziele, ein Fazit und ein Ausblick auf mögliche Entwicklungen der behandelten Komponenten. Um die Verfügbarkeit der Referenzen zu erhöhen, werden diese, soweit möglich, auf der beiliegenden CD zusammen mit weiteren Materialien hinterlegt (vgl. Anlage F). Begriffe die mehrmals verwendet werden und im Glossar erläutert sind, werden im Text mit einem hochgestellten G gekennzeichnet. 3

18 Diplomarbeit 2. IT-Sicherheit im Fokus In diesem Kapitel wird der Begriff Sicherheit im Zusammenhang mit der Informationstechnologie erörtert und einige Gefährdungen dieser Sicherheit veranschaulicht. Anschließend wird auf die Bedeutung für Unternehmen, aktuelle Entwicklungen und rechtliche Aspekte eingegangen Was ist IT-Sicherheit? Der Begriff Sicherheit ist im Zusammenhang mit der Informationstechnologie (IT) zentraler Gegenstand dieser Ausarbeitung. In der Literatur ist der Begriff IT-Sicherheit jedoch nicht einheitlich beschrieben. Wenn in dieser Arbeit von Sicherheit oder IT-Sicherheit gesprochen wird, dann in diesem Zusammenhang: Unter Sicherheit von IT-Systemen versteht man eine Eigenschaft eines IT-Systems, bei der Maßnahmen gegen die im jeweiligen Einsatzumfeld als bedeutsam angesehenen Bedrohungen in dem Maße wirksam sind, dass die verbleibenden Risiken tragbar sind. [SIDI93] Da es keine einhundert prozentige Sicherheit gibt, muss jedes Unternehmen für sich selbst abschätzen, mit welchem Restrisiko es leben kann. Das ist natürlich stark vom jeweiligen Umfeld des Unternehmens abhängig. So wird sich eine Bank vermutlich stärker absichern als ein Handwerksunternehmen, da die vermuteten Schäden deutlich größer sind. Ebenso muss sich das Unternehmen die Frage stellen, vor wem es seine Informationen schützen möchte und was sie dem Angreifer oder Unternehmen Wert sind. Abbildung 1 zeigt hierzu einen Ansatz, um den optimalen Punkt als Verhältnis zwischen den Kosten zur Durchführung der Maßnahmen und der durch vermutete Schäden verursachten Kosten abzuschätzen. 4

19 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Abbildung 1: Optimales Kosten/Nutzen-Verhältnis [SFDI01] Die Gesamtkosten ergeben sich aus der Summe der Kosten zur Durchführung von Maßnahmen und der durch Schäden verursachten Kosten. Hierbei sollten die Gesamtkosten den Wert der zu schützenden Güter logischerweise nicht überschreiten. Einige Ansätze zur Risikoanalyse richten sich dabei nach einer mathematischen Definition des Risikobegriffs. Risiko = Schadenshöhe (S) * Eintrittswahrscheinlichkeit(E) Dadurch steigt das Risiko mit der Schadenshöhe der zu schützenden Ressource und muss demnach bei der Planung der Sicherheit mit einbezogen werden. In der IT-Sicherheit unterscheidet man zwischen primären und sekundären IT-Sicherheitszielen [VOIPSEC05]. Unter primären Sicherheitszielen versteht man die drei Grundwerte der IT-Sicherheit: Vertraulichkeit (engl. confidentiality) : Schutz vor unbefugter Preisgabe von Informationen Integrität (engl. integrity) : Schutz vor unbefugter Veränderung von Informationen Verfügbarkeit (engl. availability) : Schutz vor unbefugter Vorenthaltung von Informationen oder Betriebsmitteln [ITSEC91] 5

20 Diplomarbeit Die allgemein gehaltenen primären Sicherheitsziele bilden die Basis für die spezifischere Definition sekundärer Sicherheitsziele. Somit kann beispielsweise Authentizität G durch die Verfügbarkeit und Integrität von Identitäten (Subjekten) und der von ihnen ausgeführten Aktionen [VOIPSEC05] definiert werden. Laut BSI kann es auch zu Wechselwirkungen zwischen Sicherheitszielen auf unterschiedlichen Ebenen mehrschichtiger Systeme [VOIPSEC05] kommen. IT-Sicherheit ist dabei kein statischer Zustand oder ein Produkt, das einmal gekauft oder installiert, einen immanenten Schutz für ein Unternehmen bietet. Es bedarf viel mehr des ausgewogenen Zusammenspiels der in Abbildung 2 beteiligten Akteure. Aktuell verschiebt sich der Anteil der IT-Sicherheit jedoch zunehmend Richtung Strategie und Technik, da Unternehmen eher bereit sind, Kosten für diese Bereiche zu akzeptieren als für das Personal. Abbildung 2: Akteure der IT-Sicherheit Nur wenn effektive Techniken in die Strategie einfließen und diese Strategie von den Menschen umgesetz wird, ergibt sich als Schnittmenge die Sicherheit. Natürlich konkurriert die Sicherheit dabei immer mit weiteren Faktoren wie Benutzerfreundlichkeit und Wirtschaftlichkeit. Zur Steuerung und kontinuierlichen Verbesserung der Sicherheit wird ein IT-Sicherheitsmanagement benötigt. Der in Kapitel 3.2 beschriebene IT-GS zeigt einen Weg auf, ein solches IT-Sicherheitsmanagement zu implementieren. 6

21 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte 2.2. Gefährdungen der Sicherheit Während die Angriffe in der Vergangenheit primär darauf abzielten, Schaden beispielsweise durch das Löschen von Daten anzurichten, ist es heute die Profitgier. Dabei wird immer häufiger versucht, unbemerkt an Daten zu gelangen, die sich gut verkaufen lassen. So ist ein ganzer Wirtschaftszweig mit Schwarzmarkinformationen entstanden. Auf so genannten Underground Economy Server verkaufen Kriminelle oder ganze Organisationen beispielsweise Zero Day Exploits G oder gestohlene Informationen, die anschließend häufig für Identitätsdiebstahl missbraucht werden. Neben Bank- und Kreditkarten werden ganze Identitäten verkauft. Diese beinhalten Informationen, wie zum Beispiel von der Regierung verwendete, eindeutige Identifikationsnummern (z.b. Sozialversicherungsnummer), Bankdaten mit entsprechenden Passwörtern und persönliche Informationen (wie Geburtstag und Mädchenname der Mutter etc.). Während gestohlene Kreditkarteninformationen aus den USA für US-Dollar angeboten werden, muss man bei Identitäten mit Preisen von bis US-Dollar rechnen [SISTR07]. Problematisch ist in diesem Zusammenhang der Trend, ständig neue Datenerhebungen zu schaffen. 1 Mit Hilfe steigender Qualität und Quantität von Informationen hofft man heutzutage, Risiken wie Terrorismus etc. zu minimieren. Hier ist somit eine Gegenläufigkeit von Freiheit und Sicherheit festzustellen. Ein Erfolg dieser präventiven Informationsbeschaffung konnte bisher unter anderem aus technischen Gründen nicht festgestellt werden [BSDM06]. Besonders die aktuellen Bestrebungen, umfassende biometrische Merkmale in zentralen Datenbanken zu sammeln, sollten in diesem Zusammenhang kritisch bedacht werden, da sich biometrische Merkmale wie z.b. ein Fingerabdruck nicht wie eine Adresse oder Namen ändern lassen. Dadurch könnte es zu Identitätsdiebstahl in einem ungeahnten Ausmaß kommen. 1 Das Sammeln von Daten hat Tradition. So wurden im Kalten Krieg sogar Informationen über den Gesundheitszustand und über medizinische Diagnosen wichtiger feindlicher Verantwortungsträger gesammelt, um diese besser einschätzen zu können [CIARMD79]. 7

22 Diplomarbeit Eine weitere technologische Bedrohung, mit der man mit genügend krimineller Energie Geld verdienen kann, liegt in den Bot-nets. Dies sind Zusammenschlüsse von bis zu einhunderttausend kompromittierten Rechnern (Symantec, Stand Dezember 2006), die sich von zentralen Servern z.b. über Internet Relay Chat (IRC) G -Channels zentral fernsteuern lassen. 2 Die Verbreitung der Bots bzw. das Infizieren der Clients geschieht willkürlich, beispielsweise durch das Ansurfen eines verwundbaren Clients auf einem manipulierten Webserver (vlg. [TWEBAT07], [HWEBAT07]). Aktionen der Bot-nets sind dagegen sehr zielgerichtet, indem z.b. alle Angehörigen eines Botnets, gleichzeitig ein Opfer (z.b. den Webserver eines Unternehmens) mit einer Flut von Anfragen in die Knie zwingen. Diese Verfügbarkeitsattacke wird Distributed Denial of Service (DDoS) G genannt. Bot-nets werden von ihren Besitzern in verstärktem Maße für kriminelle Aktivitäten wie DDoS-basierte Erpressungsversuche und das Versenden von Unmengen von SPAM oder Schadcode eingesetzt bzw. vermietet [SISTR07]. Weiterführende Informationen zu Botnets sind unter [BHBOT07] zu finden. Neben diesen relativ neuen Bedrohungen, existieren nach wie vor herkömmliche Bedrohungen wie in Abbildung 3 dargestellt. Eine Erhebung des BSI gibt im Lagebericht zur IT-Sicherheit in Deutschland 2007 Aufschluss darüber, wie sich die Gefährdungen entwickeln könnten. Demnach nimmt vor allem die Gefahr durch Zero-Day-Exploits G, Trojanische Pferde G und Adbzw. Spyware G zu. Althergebrachte Bedrohungen wie Viren und Dialer verlieren im Vergleich dazu an Brisanz. 2 Laut Vinton Cerf gehören ein viertel der Rechner mit Internetzugang einem Bot-net an [HBN07]. 8

23 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Abbildung 3: Entwicklung von IT-Bedrohungen [BSILB07] In den Jahren 2006 bis 2007 kam es zu einem enormen Anstieg der Web-basierten Bedrohungen [AKS07], [BSILB07]. Wenn man bedenkt, dass Unternehmen aus Imagegründen oder aus Angst vor Vertrauensverlust, Sicherheitsvorfälle oftmals nicht veröffentlichen, dürfte die Dunkelziffer noch deutlich höher liegen. Somit wird sogar eher ein ins positive verfälschtes Bild gezeigt. Diese Bedrohungen bilden die Grundlage für ganze Wirtschaftszweige. Sowohl kriminelle Organisationen als auch die Sicherheitsindustrie verdienen blendend mit ihren Produkten. Neben genannten Gefährdungen zeichnet sich auch die Wirtschaftsspionage (vgl. Kapitel 2.3) als wachsende Herausforderung für Unternehmen ab. 9

24 Diplomarbeit 2.3. Bedeutung für Unternehmen Informationen und darin gebundenes Wissen sind ein wertvolles Gut. Unternehmen sind auf verlässliche Informationen, egal ob für Kalkulationen, Strategiebestimmung oder alltägliche Handlungen, angewiesen. So kann eine Information, wie beispielsweise das Gebot eines Mitbewerbers, unter Umständen über Gewinn oder Verlust von Milliardenaufträgen entscheiden (vgl. dazu den EU-Bericht zu Echolon und bestätigte Fälle von Wirtschaftsspionage [EUCHOLON S.111]). Wissen ist Macht [Francis Bacon] Um an erforderliches Wissen zu gelangen, können Unternehmen oder kriminelle Einzelpersonen beauftragt werden, die geforderten Informationen in Grauzonen oder jenseits legaler Grenzen zu beschaffen. Das wichtigste Thema der kommenden Jahre ist nach wie vor die Sicherheit. In diesem Jahr richtet sich der Blick nach innen, die größten Sorgen bereitet IT-Leitern Industriespionage beziehungsweise das mangelnde Sicherheitsbewusstsein der eigenen Mitarbeiter und Führungskräfte. [CAPG07] Zu diesem Fazit kommt eine Studie der Capgemini. Der Trend zur Wirtschafsspionage hat sich in unserer vernetzten Zeit weiter verschärft. Nie war es einfacher als im digitalen Zeitalter, Informationen zu kopieren und nie war es schwerer, deren Ausbreitung zu kontrollieren. Eine besondere Rolle nehmen dabei der Staat bzw. staatliche Behörden und Geheimdienste ein. So gibt es zwei Interessensbereiche staatlicher Behörden im Wirtschafssektor: Zum einen die mikroökonomische Wirtschaftsspionage, um den eigenen privatwirtschaftlichen Akteuren Vorteile zu verschaffen und zum anderen die Makroökonomische Wirtschaftsaufklärung als Bestandteil der sicherheitspolitischen Bedrohungs- und/oder Risikoanalyse eines Staates [SBGR06]. 3 3 So wird beispielsweise von der CIA jährlich das Factbook mit statistischen Daten über die Länder der Welt veröffentlicht [CIAFB07]. 10

25 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Während staatliche Behörden zu Zeiten des kalten Krieges primär zur militärischen Überwachung der Gegenseite benutzt wurden, erkennt man heute immer mehr deren Vorteile/Bedeutung im Wirtschaftssektor. Charles de Gaulle sagte einmal: Staaten haben keine Freunde, sondern nur Interessen. Wenn man diverse Diskussionen und Nachrichten im Internet verfolgt, kann man den Eindruck bekommen, dass in diesem Zitat mehr Wahrheit steckt, als einem lieb sein kann. Gerade Staaten wie die Volksrepublik China (vgl. potentielle Gefahr durch Auslandschinesen [KCMNDP99]), die Russische Föderation und weitere Staaten der GUS, sowie proliferationsrelevante Länder wie die Islamische Republik Iran oder die Volksrepublik Nordkorea sind in diesem Zusammenhang zu nennen. Aber auch westliche Wirtschaftsmächte nutzen ihre (bereits vorhandenen) Überwachungseinrichtungen. Das größte dieser Art dürfte das weltweite Echolon darstellen (vgl. [EUCHOLON]). Auch wenn offiziell eine staatliche Informationsweitergabe an Unternehmen bestritten wird, ist es unverkennbar, dass Unternehmen und Geheimdienst seit Anfang der neunziger Jahre immer näher zueinander fanden [WSPIO06]. Ein Streitpunkt, bei dem es (auch) um Wirtschaftsspionage bzw. Datenschutz geht, ist die Society for Worldwide Interbank Financial Telecommunications (SWIFT) mit Hauptsitz in Belgien. Über SWIFT werden Transaktionen zwischen knapp 8000 internationalen Finanzinstituten mit einem täglichen Volumen von 4,6 Billionen Euro (November 2005) abgewickelt. Im Rahmen der Terrorismusbekämpfung haben US-Behörden nach dem 11.September 2001 Zugriff auf Finanzdaten des SWIFT Rechenzentrums in den USA und somit Einsicht in Kontobewegungen von Unternehmen sowie Privatpersonen. Die Herausgabe von Finanzdaten europäischer Bürger [..] an US-Behörden verstößt gegen deutsches und europäisches Datenschutzrecht. [DSWIFT06] Inwieweit solche abgefragten Kontobewegungen der Suche nach Terroristen oder zum Vorteil der eigenen Unternehmen verwendet werden, ist jedoch nicht nachvollziehbar. 11

26 Diplomarbeit Aktuell will SWIFT nun den US-Zugriff einschränken, indem innereuropäische Zahlungsdaten nur in Europäischen Rechenzentren gespeichert werden sollen (vgl. [TSSWIFT], [HSWIFT07]). Ob sich nur die Zugriffszeiten der US-Behörden erhöhen oder tatsächlich Zugriffsbeschränkungen getroffen werden, wird sich, falls es tatsächlich zu einer Umstellung kommt, in einigen Jahren zeigen Quo vadis - der Weg zur Endpunktsicherheit Um die Notwendigkeit für Endpunktsicherheit zu verstehen, sollte man sich zuerst mit der allgemeinen Problematik auseinandersetzen, die eine herkömmliche perimeterbasierte Sicherheitslösung birgt. Der perimeterbasierte Ansatz besteht darin, die Sicherheit durch Firewalls an die Netzwerkgrenzen zu schieben (vgl. in Abbildung 4). Prinzipiell ist eine Perimeter Firewall mit einer mittelalterlichen Stadtmauer zu vergleichen. Um die zu schützende IT-Infrastruktur wird eine (virtuelle) Mauer gezogen und nur durch fest definierten Punkte (sozusagen den Toren) können Daten in das geschützte Netz hinein oder heraus gelangen. Der Zugang wird streng reglementiert und die Daten gegen Regelwerke überprüft. Abbildung 4 zeigt ein typisches Szenario wie heutige Netzwerke häufig entworfen werden: Abbildung 4: Perimetersicherheit 12

27 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Damit dieses Konzept funktioniert müssten allerdings mehrere Voraussetzungen erfüllt sein: Das interne Netzwerk ist vollkommen vertrauenswürdig. Die Hosts und Server sind vertrauenswürdig. Es gibt keine Innentäter und alle Gefahren kommen von Außen. Die Firewall erkennt alle Gefahren und kann diese blocken. Die Firewall stellt eine klare Trennung zwischen Innen und Außen dar. Alle diese Voraussetzungen zu einhundert Prozent zu erfüllen, kann als schwer realisierbar angesehen werden und ist wohl eher eine Idealvorstellung des Marketings. Durch die steigende Anzahl mobiler Geräte wie Laptops, PDAs/ MDAs, USB Sticks, Javafähige Handys, die nur temporär im Netzwerk eingegliedert sind, ist es sehr schwer eine vertrauenswürdige Umgebung zu schaffen. Zum einen sind die Zuständigkeiten bei der Administration oft ungeklärt (welches Gerät wird von welcher Abteilung betreut, Updateverteilung etc.). Zum anderen müssen die Geräte durch aktuelle Updates und Signaturen auf dem neusten Stand gehalten werden. So gibt es viele Gründe die dafür sprechen, dass auch Endpunkte bzw. Endgeräte mit älterer Software und älteren Virenupdates ins Netzwerk gelangen: Der Benutzer wartet mit der Installation neuer Updates aus Zeitmangel. Ein Berater, Mitarbeiter des Partnerunternehmens oder Gast benötigt Netzwerkzugang. Man hat somit keine Kontrolle über das Endgerät. Die Endgeräte sind nicht verwaltet. Mangelnde Kapazitäten bei der Softwareverwaltung. Des Weiteren missachten Mitarbeiter bei den Heimarbeitsplätzen oftmals Sicherheitsregeln und nutzen den Rechner privat [INSIG06]. In einer Studie der Aberdeen Group zum Thema "Endpoint Security Strategies" wurde festgestellt, dass bei 75 Prozent der befragten Unternehmen, internen wie externen Benutzern der Zugang ins Firmennetz von nicht gemanagten PCs gestattet wurde [ABAD06]. 13

28 Diplomarbeit Viren G, Würmer G und Trojanische Pferde G sind weitere Bedrohungen, denen die Endgeräte ausgesetzt werden. Selbst wenn Vorkehrungen dagegen getroffen werden, sind die Systeme immer noch durch Zero Day Exploits G verwundbar. Zusätzlich verschwimmen die Grenzen des Netzwerkes zunehmend durch (teilweise ungewollte) Erweiterungen wie VPN, WLAN oder Bluetooth. Externe Mitarbeiter und Partner- bzw. Wartungszugänge erschweren zusätzlich eine klare Abgrenzung. Die aktuellen Bedrohungen gehen weg von den klassischen Angriffsszenarien hin zu Angriffen auf Webapplikationen und Webservices. Dieser Trend konnte schon seit dem Jahr 2002 beobachtet werden (vgl. Abbildung 5) und hat sich in den letzen Jahren noch weiter verschärft [SISTR07]. Laut Gartner Hype Cyle sind vor allem die Angriffe auf Web-Applikationen in einem fortgeschrittenen Stadium [GHCCT06]. Abbildung 5: Port 80 Problem Dieses Port 80 Problem begründet sich auch durch die immer populärer werdenden Serviceorientierten Architekturen (SOA) und der Web-Applikationen. Die Gefährdung wird tendenziell weiter zunehmen. Noch in diesem Jahr sollen, den Analysten von Gartner zufolge, die Hälfte aller geschäftskritischen Anwendungen mit SOA realisiert werden und bis zum Jahr 2010 könnten es bis zu 80 Prozent sein [GART07], [CAPG07]. 14

29 Abbildung des IT-Grundschutzes auf Cisco Security Strategie und Produkte Dabei ist es unerheblich, ob ein mehrstufiges Firewall-Konzept verwendet wird, da die (kompromittierten) Daten letztlich für die Bearbeitung zur Datenbank oder Webapplikation etc. weitergeleitet werden müssen. Somit ist der Angreifer in der Lage, teilweise sogar mit nur einem Paket, Angriffe auf die Systeme durchzuführen. Viele Daten, die bisher über mehrere Netzwerkprotokolle übertragen wurden und somit einfach durch Firewalls überprüft werden konnten, werden heutzutage über einzelne Transportprotokolle wie HTTP übermittelt. Dadurch müssen vielen Daten, die bisher direkt über den Header geprüft wurden, nun mühsam aus dem Payload gepackt und analysiert werden. Die Probleme der dadurch resultierenden erhöhten Prozessorlast, könnten dann durch klassische Angriffe ausgenutzt werden [CISCOCN05]. Bedingt durch ein steigendes Sicherheitsbedürfnis werden immer mehr Verbindungen durch Secure Socket Layer (SSL) oder Transport Layer Security (TLS) bzw. HTTPS verschlüsselt. Als Nebeneffekt dieses Trends, wird es für die IT-Abteilungen jedoch stetig schwerer, die Zugangsberechtigungen zu kontrollieren, da sie nicht in die verschlüsselten Ströme schauen und die Nutzdaten analysieren können. Das bedeutet, man muss entweder mit der Sicherheitslücke leben oder die Tunnel an der Firewall bzw. am Gateway terminieren. Weitere Lösungsansätze für dieses Problem werden in der BSI-Maßnahme M 2.75 Geeignete Auswahl eines Application-Level-Gateways und in den Best Practices für die Sicherheit von Webanwendungen genannt (vgl. [BSISEC06]). Anhand dieser Gründe konnte gezeigt werden, dass die Vorraussetzungen für eine funktionierende Perimeter-Sicherheit in den meisten Fällen nicht gegeben sind. Durch die Vielzahl der gezeigten Gefährdungen, stellen Perimeter Firewalls alleine keine ausreichende Sicherheit dar. Diese Bedrohungen zeigen einen Paradigmenwechsel [KUHN62] von herkömmlicher perimeterbasierter IT-Sicherheit hin zu Endpunktsicherheit, bei der die Endgeräte deutlich mehr in die Sicherheitsmechanismen mit einbezogen werden. Ciscos Self-Defending Network bietet hierbei eine adäquate Möglichkeit, um diesem Problem zu begegnen. Dass die Absicherung der IT keineswegs nur auf freiwilliger Basis durchgeführt wird, sondern auch durch Gesetze vorgeschrieben ist, wird im folgenden Kapitel 2.5 beschrieben. 15