4 minute read
Nicht ohne Firewall
Niels Gründel
Der Router allein sorgt im Unternehmen für die Anbindung an das Internet. Er kümmert sich dank Network Address Translation (NAT) auch darum, dass die lokalen IPAdressen innerhalb des Unternehmensnetzes in die öffentliche IP-Adresse übersetzt
Advertisement
Das Budget für Sicherheit ist in kleinen Unternehmen oft begrenzt. In der Folge gehen viele dieser Betriebe nur über den vom Provider bereitgestellten Router ins Internet und verzichten auf eine Firewall. Sie ist aber für ein annehmbares Sicherheitsniveau unverzichtbar.
werden und jeder Client-Rechner innerhalb des Firmennetzes die von ihm angefragten Datenpakete erhält. Das eigene LAN bleibt so letztlich im Internet unsichtbar, ausser es sind beispielsweise spezielle Port-Weiterleitungen auf dem Router eingerichtet; sie bedürfen einer besonderen Absicherung. Über entsprechende Regeln lassen sich etwa SSH-Zugriffe aus dem Internet auf bestimmte Rechner im eigenen Netzwerk zulassen. Möglich ist auf diese Weise auch die
Beschränkung des Versandes von E-Mails nur von einem bestimmten Rechner. Eine Verschleierung via NAT bietet allein aber noch keine Sicherheit. Denn der Datenverkehr selbst findet gänzlich frei statt – ohne jede Filterung. NAT wird von einigen Anbietern immer wieder als Sicherheitsmerkmal beschrieben, hat damit aber nichts zu tun. Immerhin verhindert diese Technologie aber, dass Verbindungsversuche, die aus dem Internet initiiert werden, verworfen werden. Stellt ein Rechner aus dem eigenen Netzwerk eine Anfrage an einen Server im Internet, so erfolgt dessen Response über den zugehörigen Antwort-Port der entsprechenden Session. Es ist aber möglich, dass ein Angreifer sich als der entsprechende Server ausgibt und einen Angriff auf das Unternehmensnetzwerk plant. Verhindern kann das die sogenannte Stateful-Packet-Inspection-Technologie (SPI). Sie untersucht anhand mehrerer Kriterien, ob die ankommenden Datenpakete im Zusammenhang mit den zuvor gesendeten Datenpaketen stehen oder eben nicht. Im letzteren Fall verwirft sie die ankommenden Datenpakete. Sehr häufig eintreffende Datenpakete sind besonders auffällig: Ist die Annahme naheliegend, dass es sich um eine DOS-Attacke (Denial-of-Service) handelt, werden diese Datenpakete direkt verworfen. SPI-Funktionen zählen bei Firewalls inzwischen zur Basisausstattung. Doch auch diese Funktionalität allein genügt nicht mehr heutigen Sicherheitsanforderungen, da viele Datenübertragungen über die Standard-Ports 80 und 443 erfolgen. Die eigenen Nutzer surfen nicht mehr nur über das Internet über diesen Weg, sondern nutzen ebenso weitere Dienste wie Webmailer oder Messenger und auch Malware wird darüber verbreitet. HTTP hat sich de facto zu einem Universalprotokoll entwickelt. Schützen soll eine sogenannte «Next Generation Firewall» (NGFW). Die Firewall der nächsten Generation erkennt innerhalb der Datenpakete Benutzer und Anwendungen. Damit geht sie deutlich weiter, da sie als Content-Filter wie ein Virenscanner einen Abgleich mittels Erkennungsmustern vornimmt. Je nach Lizenzmodell enthält eine «Next Generation Firewall» auch Funktionalitäten wie VPN-Features, Schutz vor SQL-Injections, Möglichkeiten zum Entschlüsseln und Analysieren von SSL-Verbindungen, Anti-Virus- und Anti-Spam-Funktionen. Für die letzteren Funktionen gehen die meisten Hersteller von NGFW Partnerschaften mit bekannten Antiviren-Herstellern ein, um deren Produkte in die eigenen zu integrieren. So erhält der Kunde ein attraktives Gesamtpaket. Aufgrund der immer leistungsfähigeren Hardware haben viele Features aus den Firewalls des Enterprise-Umfeldes ihren Weg auch in kleinere Lösungen gefunden. Manche Anbieter haben sich sogar auf den Schutz kleiner Unternehmen spezialisiert. Dies kann sowohl eine Lösung auf Basis lokal vorhandener Hardware sein als auch eine Cloud-Firewall. Die Bereitstellung ist einfacher und günstiger und sie lässt sich automatisch an die Anforderungen des Unternehmens anpassen – sowohl im Hinblick auf Sicherheits-Features als auch auf die Bandbreite des Unternehmens, soweit es grösser wird oder schrumpft. Die Verfügbarkeit einer Cloud-Variante ist für kleinere Unternehmen nicht zu unterschätzen, da für Redundanzen vom Anbieter gesorgt wird. Ein Ausfall einer eigenen Hardware-Firewall vor Ort ist dagegen schwieriger abzusichern. Notwendige Aktualisierungen werden ebenfalls seitens des Anbieters bereitgestellt und müssen nicht durch eigene Mitarbeitende eingespielt werden.
Sicherheit im ECM
Die Sicherheit endet aber nicht hinter der eigenen Firewall. Wer sein Informationsmanagement mittels eines Enterprise Content Management-Systems (ECM) betreibt, bündelt darin eine Reihe unterschiedlicher Teilaspekte wie Rechnungseingangsbearbeitung, Vertragsmanagement, Verwaltung von E-Mails und etwa Wissensmanagement. Vielfach kommt auch hier inzwischen eine Cloud-Lösung zum Einsatz, da sie insbesondere für KMU grosse Vorteile bietet: Effizienz, Kostentransparenz und mehr Flexibilität. Neben der Fähigkeit zur Integration in die eigene Systemumgebung stehen ansonsten Sicherheitsbedenken hinsichtlich Compliance und Governance an erster Stelle, gefolgt von Fragen zu Performance und Verfügbarkeit. Der produktive Einsatz von meist kostenfreien oder besonders günstigen Cloud-Produkten ohne weitere Prüfung birgt Gefahren, Datenschutzgesetze und Complianceregeln zu verletzen. Daneben können sich auch technische Probleme ergeben, wenn Zugriffe nicht mehr möglich sind oder eine Migration der Daten erfolgen soll. Die Erwartungen an eine Lösung müssen im Vorfeld realistisch sein und die Risiken müssen ebenso über den gesamten Lebenszyklus einer eingesetzten ECM-Lösung regelmässig kontrolliert werden. Der Preisvorteil einer standardisierten Lösung wird vor allem dadurch erkauft, dass Möglichkeiten zur Individualisierung eingeschränkt sind. Dennoch sollte der Anbieter einer ECM-Lösung zumindest die Aufgabe des Monitorings der Rechtslage übernehmen und sich daraus ergebende Anforderungen an Compliance sowie revisionsrechtliche Anforderungen selbstständig vornehmen. Auf diese Weise übernimmt er die ansonsten beim Anwender anfallenden erheblichen Aufwände. Daten und Dokumente sollten bei der Verarbeitung lediglich verschlüsselt abgelegt werden. Auch bei einer Cloud-Lösung muss über einen Datenverlust nachgedacht werden. Er führt häufig in eine existenzbedrohende Lage für das Unternehmen und schon ein stunden- oder tageweise andauernder Ausfall kann zu erheblichen finanziellen Einbussen führen. Eine individuelle Risikoeinschätzung für das eigene Unternehmen ist in jedem Fall erforderlich; eine individuelle vertragliche Regelung für einen entsprechenden Fall sollte daher erfolgen, wobei Schadensersatzansprüche, die den tatsächlichen wirtschaftlichen Schaden decken, in den standardisierten Verträgen der Anbieter ausgeschlossen werden. Am Ende werden ohnehin einige Rechts- und Haftungsfragen unklar bleiben. Fällt die Wahl auf eine Cloud-Lösung, wird man daher nicht umhinkommen, regelmässig Sicherungen seiner Daten anzufertigen, die im eigenen, unmittelbaren Zugriff verbleiben.
Fazit
Sicherheit muss nicht unbedingt teuer sein. Es ist aber eine unabdingbare Bedingung für den erfolgreichen Betrieb eines Unternehmens, die Sicherheit nicht aus den Augen zu verlieren. Eine falsch konfigurierte Firewall erweckt den gefährlichen Eindruck von Sicherheit und kann insofern sogar schlimmer sein als eine gänzlich fehlende Firewall. Und auch hinter der Firewall müssen die Anwendungen in jeder Hinsicht sicher sein, soll der Erfolg des eigenen Unternehmens nicht leichtfertig gefährdet werden. ■
