Sichere Internetnutzung und Datenübertragung zertifiziert sicher!

Transkript

1 Sichere Internetnutzung und Datenübertragung zertifiziert sicher! Die Nutzung des Internets im betrieblichen Alltag ist unzweifelhaft notwendig, unterliegt aber anderen Rahmenbedingungen als im privaten Umfeld. Die Anforderungen an Funktionalität, Stabilität und vor allem IT-Sicherheit sind signifikant höher. Ein funktionierender Internetzugang ist oft kritisch für den Geschäftserfolg und darf interne Infrastrukturen dennoch nicht gefährden. Das Problem: Auch Internetzugänge im professionellen Bereich nutzen vielfach übliche Hardwareund Softwarekomponenten, mit denen sich hohe Schutzniveaus nicht erreichen lassen. Insbesondere lokal installierte Webbrowser auf Arbeitsplatzcomputern mit klassischen Betriebssystemen erzeugen aus heutiger Sicht unverantwortliche Risiken für die umgebende Infrastruktur, die gespeicherten Daten und das gesamte Unternehmen. Webbrowser sind zur Nutzung des Internets unverzichtbar. Sie bilden jedoch ein Haupteinfallstor für Angriffe aus dem offenen Internet. Sicherheitslücken sind allgegenwärtig. Aktive Inhalte, Add-ons und Plug-ins verschärfen die Situation zusätzlich. Gelingt einem Angreifer der Einstieg über eine Lücke im Browser, agiert er mit den Berechtigungen des angemeldeten Benutzers. Grobmaschige Zugriffskontrollen klassischer Betriebssysteme leisten nur wenig Widerstand. Betrieblich genutzte IT-Infrastrukturen gelten als gut gesichert. Dennoch kommt es immer wieder zu schwerwiegenden Vorfällen durch Manipulation, Sabotage und besonders Datendiebstahl infolge von Angriffen aus dem Internet. Firewalls und Virenscanner arbeiten reaktiv und erkennen Schädlinge oft nicht. Zugriffe des Browsers im Benutzerkontext lösen keinen Alarm aus, selbst wenn ein Angreifer bereits die Kontrolle übernommen hat. Verbreiteten Zero-Day-Exploits sind Rechner und Netzwerke ohnehin schutzlos ausgeliefert - und das weitgehend unabhängig von der installierten IT-Sicherheitstechnik. Ein falscher Mausklick im Internet genügt, und ein Drive-by-Download richtet unabsehbaren materiellen und ideellen Schaden an. Es scheint, als sei die sichere Internetnutzung mittels Webbrowser vergleichbar mit der Quadratur des Kreises. Aber es ist möglich vorausgesetzt, der systembedingt stets angriffsgefährdete Browser wird außerhalb interner Unternehmensnetzwerke ausgeführt. Obgleich sich diese Erkenntnis langsam durchsetzt, versprechen viele kommerziell verfügbaren Lösungen deutlich mehr, als sie letztlich halten können. Insbesondere Ansätze auf der Basis lokaler Virtualisierungen oder konventioneller Terminalserver-Anlagen eignen sich meist kaum als Schutzsystem gegen Angriffe aus dem Internet. TightGate-Pro: Zertifizierter Schutz Seit über 10 Jahren implementiert die m-privacy GmbH mit TightGate-Pro den Ansatz des sogenannten Remote-Controlled Browser Systems (Re- CoBS). In diesem Szenario greift der lokal installierte Webbrowser einer Arbeitsplatzstation nicht auf das Internet zu. Vielmehr kann das interne Netzwerk im Hinblick auf den Browser vom Internet abgeschottet werden und ist damit zuverlässig geschützt. Stattdessen übernimmt TightGate-Pro Server außerhalb des internen Netzwerks die Ausführung des Browsers. Der Server ruft die angeforderten Web-Inhalte ab und leitet dem Rechner am Arbeitsplatz nur die Bildschirmausgabe über ein funktionsspezifisches Netzwerkprotokoll zu. Tight- Gate-Pro Server ist ein leistungsfähiger Rechner mit umfassend gehärtetem Betriebssystem. Der darauf ausgeführte Webbrowser wird vom Arbeitsplatz aus ferngesteuert daher die Bezeichnung ReCoBS. Abstand als Sicherheitsprinzip Der ferngesteuerte Webbrowser via TightGate-Pro erreicht infolge der physisch getrennten Ausführungsumgebung des Browsers ein dauerhaft höheres Schutzniveau als Sandbox-Verfahren oder Virtualisierungen. TightGate-Pro ist explizit als Schutzsystem konzipiert und zertifiziert. Angriffe aus dem Internet können das interne Netz über den Browser prinzipiell nicht mehr erreichen oder Komponenten manipulieren. Interne Daten fließen nicht ungewollt ins Internet ab. Das Internet kann dennoch einschließlich audiovisueller und aktiver Inhalte genutzt werden. TightGate-Pro verwendet den Webbrowser Firefox, AnwenderInnen müssen sich nicht umgewöhnen. Das BSI-zertifizierte System hat sich bei Bundes- und Landesbehörden, Verwaltungseinrichtungen, Finanzdienstleistern und Industriebetrieben sowie bei KRITIS- Betreibern im Produktiveinsatz bewährt. Weiterdenken und handeln Sie können TightGate-Pro jederzeit im Umfeld Ihrer Produktivnetzwerke eingehend evaluieren. Eine Teststellung ist der effizienteste Weg, mit geringem Mitteleinsatz einen fundierten Überblick über Vorteile und Einsatzoptionen zu erlangen. Wir informieren Sie auch gerne zu TightGate-Mobile, dem soliden Basisschutz für den Internetzugang unterwegs. Patrick Leibbrand Kommunikation m-privacy GmbH IT-Sicherheit und Datenschutz info@m-privacy.de m-privacy GmbH Werner-Voß-Damm Berlin info@m-privacy.de

2 Raus mit dem Browser! Schauen Sie einfach auf unserem YouTube-Kanal m-privacy GmbH vorbei: 1 Muss das eigentlich sein? 2 1

3 Auch das noch 3 Sicherheitslücken mit Folgen Wirtschaftsspionage Sabotage Manipulation 4 2

4 Daten weg Geld weg! 5 Sündenfall: Webbrowser im Jahr Sicherheitslücken 6 3

5 Sündenfall: Webbrowser komplex verbreitet fehlerhaft berechtigt erweiterbar 7 Notwendig: Webbrowser 8 4

6 Hilflos: Apps & Betriebssystem Apps Gemeinsamer Speicher Kaum Kapselung Design- und Implementierungsfehler Sicherheitslücken Netzwerk Rechner Berechtigungen des Benutzers Wenige Rollen / viele Rechte 9 Internetnutzung mit lokal installiertem Browser Internet-Firewall Demilitarisierte Zone (DMZ) Interne Firewall z. B. Suchergebnisse, Webinhalte z. B. Suchanfrage, Seitenaufruf offenes Internet (unbekannte Gegenstellen) Computer-Arbeitsplätze mit Internet-Browser 10 5

7 Schadcode erreicht das interne Netz Internet-Firewall Demilitarisierte Zone (DMZ) Interne Firewall offenes Internet (unbekannte Gegenstellen) Schadcode Computer-Arbeitsplätze mit Internet-Browser 11 Interne Daten fließen ins Internet ab Internet-Firewall Demilitarisierte Zone (DMZ) Interne Firewall offenes Internet (unbekannte Gegenstellen) Datenabfluss Computer-Arbeitsplätze mit Internet-Browser 12 6

8 Abwehr durch Firewall, Virenscanner & Co. Bewährt gegen Bekanntes Reaktiv Patternbasiert Lediglich filternd Ressourcenintensiv 13 Sicherheitslevel (konventionell gesichert) Hoch Mittel Niedrig Zero-Day-Exploit Unbekannte Sicherheitslücken Bekanntwerden einer Sicherheitslücke Erste Malware, die Sicherheitslücke ausnutzt Lokaler Virenscanner wird aktualisiert Sicherheitsupdate wird eingespielt 14 7

9 Schützt Virtualisierung? Standard- Linux-System offenes Internet (unbekannte Gegenstellen) Virtuelle Maschine (VM) Lokale Virtualisierung Arbeitsplatz-PC (Windows-Host) 15 Raus mit dem Browser! 16 8

10 Internetnutzung mit TightGate-Pro Internet-Firewall Demilitarisierte Zone (DMZ) Interne Firewall z. B. Suchergebnisse, Webinhalte Streaming: Bild- und Tondaten z. B. Suc hanfrage, Seitenaufruf Fernsteuerung via Tastatur/Maus Suchbegriff, URL offenes Internet (unbekannte Gegenstellen) TightGate-Pro Server mit Internet-Browser Computer-Arbeitsplätze mit Viewer-Software Der ferngesteuerte Browser (ReCoBS) 17 Sicherheitslevel steigt mit TightGate-Pro Hoch Mittel Niedrig Zero-Day-Exploit 1 mit TightGate-Pro ohne TightGate-Pro Unbekannte Sicherheitslücken Bekanntwerden einer Sicherheitslücke Erste Malware, die Sicherheitslücke ausnutzt Lokaler Virenscanner wird aktualisiert Sicherheitsupdate wird eingespielt 18 9

11 Downloads? 19 So funktioniert die TightGate-Schleuse Internet-Firewall Demilitarisierte Zone (DMZ) Interne Firewall Datei auf ReCoBS-Server laden Manueller Transfer Auslösung des Downloads Fernsteuerung des Downloads offenes Internet (unbekannte Gegenstellen) TightGate-Pro Server mit Internet-Browser + AV-Prüfung + MIME-Typ-Prüfung Computer-Arbeitsplätze mit Viewer-Software Der ferngesteuerte Browser (ReCoBS) 20 10

12 Schluss mit Data Leakage. Komfortabel & sicher! Schadcode-Filterung MIME-Erkennung Anti-Automation 21 Das Schutzkonzept von TightGate-Pro Internet-Firewall Demilitarisierte Zone (DMZ) Interne Firewall offenes Internet (unbekannte Gegenstellen) TightGate-Pro Server mit Internet-Browser Computer-Arbeitsplätze mit Viewer-Software Whitelist Unternehmensdaten Fachanwendungen (vertrauenswürdige Gegenstellen) 22 11

13 TightGate-Pro: Selbstverteidigung! Klassische Härtung Beschränkung Optimierung Stack-Schutz Kapselung durch RSBAC Zugriffskontrolle Regelbasierung Whitelisting Administrative Gewaltenteilung Kein Superuser Compliance <> Technik 23 Geprüft und für gut befunden nach EU-DSGVO EAL

14 Fallstudie: Industrieller Brandschutz Unternehmen 500 MAB Hoher Innovationsgrad Verteilte Infrastruktur TightGate-Pro Anbindung Zentrale Anbindung 10 Außenstellen Gemeinsamer Lizenzpool Vorteile Innovationsschutz Internetnutzung auch in Sicherheitsbereichen 25 TightGate-Pro: sicher! Server Ausführungsumgebung getrennt Klient +Viewer +Schleuse Netzwerk 26 13

15 Fallstudie: Öffentliches Finanzinstitut Unternehmen > 100 MAB 19 Filialen Hochsicherheits-Infrastruktur TightGate-Pro Rechnerverbund (Cluster) Anbindung Terminalserver Eigener Uplink Vorteile Bankübliches Schutzniveau Internet im Beratungsbereich Maximale Kosteneffizienz 27 TightGate-Pro: Sicherheit ohne Kompromisse Drucken Abschottung Kein Datenabfluss Dateitransfer Datenschutz Physische Trennung Multimedia EAL3+ Gewohnter Browser AD / LDAP / SSO Schutz vor gezielten Angriffen Aktive Inhalte BSI-zertifiziert Surfen 28 14

16 Fallstudie: Raumfahrtunternehmen Vorteile Schutz missionskritischer Sicherheitsbereiche Vermeidung von Sicherheitsvorfällen Unternehmen > 2000 MAB Europäische Raumfahrt Hochsicherheits-Infrastruktur TightGate-Pro Rechnerverbund (Cluster) Derzeit 2000 Nutzer standortübergreifend 29 Worauf warten Sie noch? Raus mit dem Browser! m-privacy GmbH Werner-Voß-Damm Berlin Referent: Patrick Leibbrand Bildmaterial: fotolia.de 30 15