Was nicht erlaubt ist, ist verboten

Transkript

1 Was nicht erlaubt ist, ist verboten E-Government-Initiativen und Investitionen in Netzwerktechnologie setzen das Thema IT-Sicherheit ganz oben auf die Agenda der öffentlichen Verwaltung. Moderne Informationstechnologie bietet die notwendigen Mittel, um die Bedrohungen abzuwehren, die das Internet mit sich bringt. Die Öffnung der Behörden im Rahmen von E-Government-Initiativen auf Bundes-, Landes- und kommunaler Ebene und der damit verbundene elektronische Austausch von Informationen mit anderen Dienststellen und den Bürgern stellt die IT-Abteilungen der Verwaltungen vor neue Herausforderungen. Ein Höchstmaß an Sicherheit muss gewährleistet werden, um unter anderem den Datenschutzgesetzen zu entsprechen. Über die Netze der Polizei beispielsweise laufen Daten, die den Datenschutzstufen D und E unterliegen. Das sind Informationen, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse eines Betroffenen erheblich beeinträchtigen kann (Stufe D) oder Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (Stufe E). Ein umfassendes Sicherheitskonzept ist erforderlich, um diese Anforderungen zu erfüllen. Das Netzwerk verteidigt sich selbst Cisco Systems bietet ein solches Konzept mit der Self-Defending Network -Strategie. Kerngedanke ist die Integration von Sicherheitsfunktionen in alle Netzwerkkomponenten und die Einbindung der Endgeräte. Dies erfordert ein Umdenken. Bisher wurde die Sicherheit der Hosts von einer anderen Abteilung betreut. Dies führt zu isolierten Maßnahmen, die Netzwerkverfügbarkeit und Aufrechterhaltung von Geschäftsprozessen vernachlässigt. Ein Beispiel: Der Wurm SQL-Slammer befällt einen Server. Dieser mutiert zum Massensender, der mit maximaler Geschwindigkeit von Netzwerkkarte und CPU IP-Pakete (Internet- Protokoll) an beliebige IP-Adressen verschickt. Dadurch beansprucht er die vorhandene Bandbreite und die Verfügbarkeit des LAN sinkt. Das Beispiel zeigt, dass nur die Kombination von Sicherheitsmaßnahmen im Netzwerk und auf den Endgeräten zum Erfolg führt. Seite 1 von 5

2 Die Self-Defending-Network-Strategie von Cisco besteht aus drei Bausteinen: sichere Konnektivität, Abwehr von Bedrohungen und Identititätsmanagement. Die Sichere Konnektivität konzentriert sich auf die Absicherung der Kommunikationskanäle für Sprach-, Video- und Datenverkehr. Neben Sicherheitsfunktionen, die in zentrale Netzwerkkomponenten wie Router und Switches integriert sind, dienen IPSec und SSL VPNs (Secure Socket Layer Virtual Private Networks) der Verschlüsselung leitungsgebundener und drahtloser Verbindungen. Sie stellen sicher, dass sensible Finanz- oder Personendaten beim Austausch zwischen Behörden und Bürger oder zwischen Dienststellen nicht in falsche Hände gelangen. Alle IPSec-VPN- Produkte von Cisco sind Common Criteria EAL 4 evaluiert. Darüber hinaus verfügen viele über ein ICSA und FIPS-140 Zertifikat. Die Behörden in Deutschland gehören zu den Vorreitern bei der Einführung von IP-Telefonie, der paketbasierten Übertragung von Sprachdaten. Die Finanzverwaltung von Nordrhein-Westfalen etwa stattet ihre 145 Dienststellen sukzessive mit IP-Telefonen aus. Bislang war die Vorstellung verbreitet, dass IP-Telefonie unsicher ist, weil sie über das Internet läuft, das als unsicher gilt. Dies ist ein verbreiteter Irrtum. IP- Telefonie kann über das Internet sicher und vertraulich abgewickelt werden. Die IP-Telefonie-Lösung von Cisco beispielsweise schützt die Signalisierung per TLS (Transport Layer Security) und die Sprache mit dem leistungsfähigen SRTP (Secure Realtime Transport Protocol). Abwehr von bekannten und unbekannten Bedrohungen Die Abwehr von Bedrohungen zielt auf die Abwehr von Würmern und Viren. Die Schädlinge haben durch den interaktiven Austausch von Dokumenten zwischen Bürgern und Behörden etwa bei der elektronischen Steuererklärung oder im Meldewesen eine Vielzahl von potenziellen Einfallstoren in die Verwaltungsnetzwerke. Die klassischen Abwehrmaßnahmen sind Firewalls und Intrusion-Detection- (IDS) oder Intrusion-Prevention-Systeme (IPS), die wie Alarmanlagen funktionieren. Ein IDS überwacht den Datenverkehr und sucht dabei nach Mustern, die auf einen Angriff schließen lassen. Liegt ein Angriff vor, ergreift es selbständig Abwehrmaßnahmen und informiert den Administrator, damit er weitere Schritte einleiten kann. Da IDS/IPS Systeme Signatur-basiert und mit Seite 2 von 5

3 Heuristiken arbeiten, können Sie nur bekannte Angriffe erkennen und in einem gewissen Umfang Abweichungen von Normverhalten. Darüber hinaus besteht die Möglichkeit von Fehlalarmen, so genannter False Positives. Die Threat-Response-Technologie von Cisco reduziert die Zahl solcher Fehlalarme um bis zu 95 Prozent durch eine Real-Time-Analyse der Alarme. Dabei wird untersucht, ob das Ziel überhaupt eine Angriffsfläche bietet. Ist dies nicht der Fall, kann der Alarm verworfen werden. Für viele Behörden stellt sich die Frage, wie ein IDS/IPS mit beschränkten Budgets eingeführt und betrieben werden kann. Als Alternative zum Eigenbetrieb gibt es Managed Security Service Provider, spezialisierte Unternehmen mit der notwendigen Erfahrung für große IDS/IPS-Installationen. Im Gegensatz zur gängigen Virus-Abwehr, setzen moderne Lösungen wie der Cisco Security Agent die so genannte Sandbox-Technik ein. Sie überwacht das Verhalten von Anwendungen permanent. Mit Hilfe einer Positivliste überprüft der CSA, welche Aktionen einer Anwendung erlaubt sind. Hier wird erstmalig das Grundprinzip der Sicherheitstechnik Alles was nicht explizit erlaubt ist, ist verboten angewendet. Für die Absicherung von IP-Telefonie-Infrastrukturen wird der Cisco Security Agent bereits standardmäßig eingesetzt. Du kommst hier nicht rein Beim Identitätsmanagement kommt es darauf an, den Zugang zu Daten nur Benutzern zu ermöglichen, die dazu berechtigt sind. Auf der Ebene der Netzwerkkomponenten bedeutet dies, nur Geräte zuzulassen, die über das erforderliche Sicherheitsniveau verfügen. Oft werden infizierte Systeme erst bei der Anmeldung an das Betriebssystem auf Sicherheit überprüft. Dies ist jedoch zu spät, da die Geräte bereits Kontakt zum Netzwerk haben und Viren und Würmer einschleppen können. Grundregel muss sein, dass ein Gerät nur am Netzwerk teilnehmen kann, wenn es zweifelsfrei identifiziert wurde. Der Industriestandard 802.1x sorgt im LAN dafür, dass nur Endgeräte mit gültigem digitalem Zertifikat in das Netzwerk gelassen werden. Cisco stattet seine Produkte wie IP-Telefone ab Werk mit solchen Zertifikaten aus. Dazu kommt eine Überprüfung des Sicherheitsniveaus der Endgeräte über Lösungen wie Network Admission Control (NAC) von Cisco. Über eine spezielle Schnittstelle werden unter anderem der Patchlevel des Seite 3 von 5

4 Betriebssystems und der Status der Anti-Virus-Werkzeuge abgefragt. Die Informationen werden an einen Richtlinien-Server weitergeleitet, der entscheidet, ob das Gerät den Sicherheitsanforderungen entspricht und der Zugang gewährt, verweigert oder das Gerät in Quarantäne genommen wird. Die Entscheidung wird vom Netzzugangsgerät umgesetzt, das die Abfrage durchgeführt hat. Dies kann ein Router, Switch, Wireless Access Point oder ein spezielles Sicherheitsgerät wie eine Firewall sein. Die Skizzierung eines umfassenden Sicherheitskonzeptes zeigt, dass moderne Informationstechnologie die öffentliche Verwaltung nicht nur vor neue Herausforderungen in Sachen Sicherheit stellt. Sie hilft auch, diese zu bewältigen Zeichen inklusive Leerzeichen Autor: Klaus Lenssen, Business Development Manager Security und Government Affairs, Cisco Systems GmbH <<Kasten>> Glossar IPsec Das IPsec-Protokoll wurde 1998 entwickelt, um die Schwächen des Internet-Protokolls zu beheben. Es stellt eine Sicherheitsarchitektur für die Kommunikation über IP-Netzwerke zur Verfügung und gewährleistet Vertraulichkeit, Authentizität und Integrität. SRTP Das Secure Real-time Transport Protocol (SRTP) sichert Audio- und Videodaten mit einer symmetrischen Verschlüsselung. Das Protokoll bietet Sicherheitsdienste wie Vertraulichkeit, Authentifizierung und Integrität. SSL SSL (Secure Sockets Layer) bezeichnet ein von der Firma Netscape entwickeltes Übertragungsprotokoll, das die Datenkommunikation über das Internet insbesondere zwischen Client (Browser) und Server schützt. SSL operiert auf der Transportschicht (Transport Layer) und ist anwendungsunabhängig. TLS Transport Layer Security (TLS) ist ein Protokoll zur Verschlüsselung von Datenübertragungen im Internet. TLS gilt als möglicher Nachfolger von SSL, da es mehr Sicherheit bei der Kommunikation im Internet verspricht. VPN Seite 4 von 5

5 Ein Virtuelles Privates Netzwerk (VPN) ist ein Computernetz, das ein öffentliches Netzwerk wie das Internet zum Transport privater Daten nutzt. Teilnehmer eines VPN können Daten wie in einem LAN austauschen. Die Verbindung wird üblicherweise über IPSec oder SLL verschlüsselt. Für redaktionelle Rückfragen: Fink & Fuchs Public Relations AG Mathias Gundlach Tel.: Seite 5 von 5