IT- und Netzwerksicherheit der nächsten Generation

Bring Your Own Device (BYOD) wird immer gerne als Beispiel genommen, wie wichtig die Netzwerksicherheit und Zugangskontrolle ist. Das darf nicht an der Firewall aufhören. Die Next Gen Firewall (NGFW) mit Datenanalyse auf Anwendungsebene ist aber ein guter Anfang.

Gerade erst hat der E-Mail-Spezialist Mimecast eine gravierende Sicherheitslücke in Microsoft Excel aufgedeckt. Die Sicherheitsforscher des britischen Unternehmens haben laut Heise ein Excel-Dokument so präpariert, dass sie beim Herunterladen und Öffnen der Datei über ein „Power Query“ genanntes Makro Schadcode von einem entfernten Server nachlud und ausführte. Power Query dient unter anderem dem Aktualisieren von Wechselkursen und nutzt das Dynamic Data Exchange (DDE) genannte Protokoll, für das Microsoft nach einem Exploit (Angriff durch Ausnutzung) Ende 2017 bereits Workarounds veröffentlicht hat. Mimecast rät, diese dringend zu befolgen und bei älteren Excel-Versionen die Power-Query-Add-ins besser zu deinstallieren.

Risikofaktor Mensch

Ein großer Teil der Schadsoftware und Hackerangriffe kommt immer noch durch solche Anhänge in E-Mails auf die Rechner und in die IT-Systeme von Unternehmen. Der Mensch ist dabei in der Regel der größte Unsicherheitsfaktor in Unternehmen. Oft sind es sogenannte Phishing-Mails, bei denen zum Beispiel Mahnungen von vorgeblich offizieller Seite verschickt werden.

Aber immer mehr Nutzer laden sich Cyberattacken und Malware durch Klicken auf falsche Links in E-Mails oder im Internet herunter oder über trügerische Apps bei mobilen Geräten. Eine gute Firewall (wörtlich Brandmauer) macht bei dem Verdacht auf Angriffsversuche oder Links unbekannter Herkunft „dicht“.

 


Mehr zum Thema – Unsere aktuellen TwoPager aus dem Bereich Security:


Next Gen Firewalls schützen wirksamer

Allerdings reicht der Perimeter-Schutz mit klassischen Firewalls nicht mehr aus, um die Nutzer und Unternehmen heute gegen Bedrohungslagen abzusichern, gegen Advanced Persistent Threats (ATPs) etwa, die laut Security Insider mit jeweils an die spezifische Umgebung angepassten Attack-Tools arbeiten. Abgesehen davon können klassische Firewalls beim Port 443 nicht unterscheiden, ob via HTTPS gesurft beziehungsweise mit Skype zum Beispiel kommuniziert wird oder Daten von Cloud-Diensten wie Dropbox übertragen werden.

Next Generation Firewalls (NGFW) untersuchen dagegen nicht nur als verwendete Protokoll und den eingesetzten Port, sondern analysieren auch den Datenstrom, um ungewöhnliche Aktivitäten zu identifizieren und infizierte Dateien herauszufiltern.

AES-Verschlüsselung und Hashalgorithmen

Als marktführende Player in dem Bereich zählt Gartner im „Magic Quadrant für Enterprise Network Firewalls“ unter anderem Check Point, Fortinet und Palo Alto Networks, als Herausforderer Cisco und Huawei, als „Visionäre“ Forcepoint und Sophos. Fast alle Anbieter integrieren VPN (virtual Private Network) in ihre Lösungen, um die Anbindung für externe Mitarbeiter und Außenstellen zu ermöglichen. Unterstützt werden dabei Sicherheitsprotokolle wie IPsec und SSL beziehungsweise TLS (Transport Layer Security) mit modernsten Verschlüsselungsverfahren.

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen werden die AES-Verschlüsselung mit 128 oder 256 Bit oder SHA-2- und SHA-3 genannte Hashalgorithmen für Hash- oder Streuwertfunktionen mit einer unterschiedlich langen ASCII-Zeichenkette mit jeweils 8 Bit. Diese Kette ist wie bei SHA-256 mit einem Hashwert von 512 Bit oder 64 ASCII-Zeichen lang, bei SHA-512 sind es 1.024 Bit oder 128 ASCII-Zeichen bei jeweils immer gleich langer Zeichenkette (siehe Hash-Generatoren).

Verändert sich bei der Eingabe nur ein Jota, verändert sich die ganze Zeichenkette. Je länger und komplexer die Kette, desto schwieriger wird es, die Eingabe zurückzuverfolgen. Angesichts immer leistungsfähigerer Rechner und bereits gehackter Kryptowährungen wie Bitcoin und Ethereum auf Basis der Blockchain, die solche Hashfunktionen nutzt, mehren sich aber auch die Zweifel an deren Sicherheit (siehe Dusted Codes und Computerwoche).

Hintergrund: Von SHA-2 und Hash-Generatoren
In der Kryptologie ist ein Hash eine Abbildung einer beliebig langen Zeichenkette auf eine Zeichenfolge mit fester Länge, dem sogenannten Hashwert. Wie sich aus unterschiedlichen Algorithmen jeweils unterschiedlich lange Hashwerte ergeben, zeigen sogenannte Hash-Generatoren wie dieser von Thomas Falkner und dieser von Henrik Thesing. Bei den älteren Verfahren MD5 und SHA-1 besteht die Zeichenkette nur aus 32 respektive 40 ASCII-Zeichen, bei SHA-512 und Whirlpool jeweils aus 128 Zeichen. Egal wie lang die Nachricht ist, ergibt sich jeweils ein gleich langer Hashwert, aber verändert man bei der Eingabe nur ein Buchstabe, verändert sich die ganze Kette.

Beispiel „Hallo“ groß- und kleingeschrieben bei SHA-256:

Hallo – 753692ec36adb4c794c973945eb2a99c1649703ea6f76bf259abb4fb838e013e

hallo – d3751d33f9cd5049c4af2b462735457e4d3baf130bcbb87f389e349fbaeb20b9

Ganz so einfach wie oben erklärt, ist es mit dem sogenannten Secure Hash Algorithm (heute als relativ sicher geltend SHA-2, künftig SHA-3) natürlich nicht. Denn zunächst muss die Nachricht nach dem Merkles-Meta-Verfahren erweitert und in Blöcke von je sechszehn Daten- oder Binärwörtern aufgeteilt werden. Dann werden die Nachrichtenblöcke nacheinander verarbeitet und in einer bestimmten Zahl von Runden verschlüsselt. Im Fall von SHA-512 sind es zum Beispiel 80 Runden. Bei dieser Blockverschlüsselung ist jeder Schlüsseltext mit dem Klartext durch Addition der Wörter Modulo 232 (bei SHA-256) oder 264 (bei SHA-512) verknüpft. Schwirrt Ihnen auch der Kopf? Modulo (mod) ist übrigens der Rest einer Division zweier ganzer Zahlen und kommt unter anderem auch bei der Ermittlung von Prüfziffern wie in der IBAN-Kontonummer oder bei ISBN-Buchnummern zum Einsatz. Ein recht einfacher Algorithmus, aber um zu zeigen, wie komplex diese sein können, hier die Ermittlung der Prüfziffer bei der neuen ISBN 13: Dazu muss man nämlich die ersten zwölf Ziffern abwechselnd mit 1 (für ungerade Ziffernstelle) und 3 (für gerade Ziffernstelle) multiplizieren, dann alles addieren und schließlich nach mod 10 die Differenz zum nächsthöheren Vielfachen von 10 errechnen. Bei der alten ISBN 10 gilt wiederum eine andere Formel und mod 11 mit der Differenz zum abwärts Vielfachen von 11. So einfach ist es also auch nicht.

„Post-Perimeter Security“

Aber selbst mit den besten Verschlüsselungs-Algorithmen ist es mit der Perimeter-Sicherheit nicht getan, um die Systeme wirksam zu schützen. Denn wie eingangs bereits anklang, macht der leichtsinnige Umgang mit E-Mails und Web-Links es den Angreifern oft leicht, in die Rechner und Unternehmensnetze einzudringen. Der Mobile-Security-Spezialist Lookout spricht daher schon von der „Post-Perimeter Security“, bei der der Datenschutz mit Zero Trust auch und nicht zuletzt auf die Endgeräte verlagert werden muss. Die Nutzer von BYOD-Geräten erwarten natürlich, diese ins Unternehmen einbringen zu können und doch in der Lage zu sein, ihre privaten Apps nutzen zu können. Dabei zeichnet sich laut Gartner schon der Trend ab, dass Unified Endpoint Management (UEM) künftig das klassische Mobile Device Management beziehungsweise Enterprise Mobility Management (MDM und EMM) künftig immer mehr ersetzen wird.

Endpoint Detection and Response von Trend Micro

Der sino-japanische Anbieter Trend Micro, ein wichtiger Anbieter im Security-Portfolio von Proservia, schützt zum Beispiel Anwendungen mit Endpoint Detection and Response (EDR) als effektive Lösung, um Bedrohungen blitzschnell zu erkennen und sofort darauf reagieren zu können.

Dabei kommt der Trend Micro Endpoint Sensor zum Tragen, der Systemereignisse und Verhaltensweisen auf Endpunkten kontinuierlich aufzeichnet und mittels gewisser Indikatoren Bedrohungen oder Angriffe aufspürt, um sie wirksam abzuwehren.

Mehr zum Thema:

Auf die Zugangskontrolle kommt es an

Was die Netzzugangskontrolle angeht, hat jeder der großen Hersteller und Verbände seinen einen eigenen Begriff, Microsoft nennt es zum Beispiel „Network Access Control“, Cisco „Network Admission Control“. Als englischer Terminus hat sich aber wie in einem Überblickspapier Netzzugangskontrolle des BSI mit einfach erklärter Technik, Anwendungsbeispielen und Empfehlungen “Network Access Control” (NAC) durchgesetzt. Das BSI-Papier weist unter anderem auf die Möglichkeit hin, durch Virtuelle LANs (VLANs) Gästen oder Mitarbeitern Zugang zu bestimmten Netzwerkbereichen zu gewähren, ohne dass damit das Unternehmensnetz kompromittiert wird.

Es gibt noch reichlich Gefahrenpotenzial

Auch wenn alle Empfehlungen des BSI eingehalten werden, gebe es aber auch weiterhin Gefährdungspotenzial. Denn wenn bei der komplexen Aufgabe, Sicherheitsleitlinien für den Netzverkehr zu erstellen, Fehler gemacht werden, könnten durch eine falsche Zugangsberechtigung etwa Unberechtigte Zugang zu einem lokalen Netz und wichtigen Informationen bekommen.

Außerdem hänge die Stärke der Trennung des physischen Netzes und der VLANs nicht nur vom NAC ab, sondern auch von den Switches und Routern, welche für die erforderliche Trennung sorgen. Dabei geht der Trend wie bei Cisco etwa auch zu einer Kombinierung von Hard- und Softwarelösungen bis hin zu Software-defined Network (SDN), was eine vereinfachte und weniger fehleranfällige Konfiguration verheißt.

Auch interessant:

 

Quelle Titelbild: iStock / AndreyPopov