[datensicherheit.de, 30.11.2021] Zum „Tag der Computersicherheit“ am 30. November 2021 fordert Rainer Seidlitz, Leiter „Produkt-Management Safety & Security“ bei der TÜV SÜD Akademie GmbH, in seiner Stellungnahme, die „menschliche Firewall“ zu stärken.

Foto: TÜV SÜD Akademie GmbH

Rainer Seidlitz: Ständig werden Netzwerke durch Angriffe auf eine harte Probe gestellt

Seidlitz warnt: Malware-Distributoren und Hacker professionalisieren sich – KMU-Gegenmaßnahmen hinken hinterher

„Die Bedeutung von Cybersecurity und eines sicheren digitalen Öko-Systems wächst weiter“, so Seidlitz. Ständig würden Netzwerke durch Angriffe auf eine harte Probe gestellt. Während Malware-Distributoren und Hacker sich professionalisierten und ihre Dienste mittlerweile „as-a-Service“ zur Miete anböten, hinkten jedoch besonders kleine und mittlere Unternehmen (KMU) bezüglich der Gegenmaßnahmen hinterher.
Seidlitz führt aus: „Zwar achten viele mehr auf die Absicherungen von Netzwerk- und Cloud-Infrastrukturen gegen externe Angriffe, doch sie versäumen es, ihre Mitarbeiter über die Bedrohungen und Gegenmaßnahmen zu unterrichten, um sie als menschliche Firewall zu stärken.“

E-Mails laut Seidlitz noch immer beliebteste Einfallstore

„Der beliebteste Weg, um sich unerlaubten Zutritt zu einem Unternehmensnetzwerk zu verschaffen, ist und bleibt die E-Mail, was diverse Studien zeigen“, berichtet Seidlitz. Die Nachrichten enthielten in der Regel eine mit Malware verseuchte Datei als Anhang oder den Link zu einer betrügerischen Internet-Seite, welche im Rahmen einer Phishing-Attacke die Zugangsdaten stehlen solle.
Besonders beliebt seien die digitalen Auftritte von Online-Versandhändlern, Banken und Paketdiensten – oftmals seien diese E-Mails sogar personalisiert. Auch vor dem Ausnutzen möglicher Ängste ihrer Opfer schreckten die Hacker nicht mehr zurück – von vermeintlichen Informationen rund um die „Corona-Pandemie“ bis zu Anträgen für dringend benötigte Sozialhilfen sei alles bereits missbraucht worden. „Wer bei solchen E-Mails nicht auf verdächtige Absenderadressen oder seltsame Webseiten-URLs achtet, der landet schnell in den Fängen von Kriminellen“, warnt Seidlitz.

Seidlitz betont: Mehr Home-Office verlangt mehr Verantwortung!

„Wie lange die Krise uns beschäftigen wird, lässt sich nicht bestimmen. Das Home-Office als Arbeitsweise ist nun allerdings in der Gesellschaft verankert.“ Mobiles Arbeiten bringe allerdings neue Herausforderungen für die IT-Sicherheit mit sich und fordere gleichzeitig von der Belegschaft, mehr Verantwortung für die Absicherung des Netzwerkes zu übernehmen.
Dabei reiche es nicht aus, die Mitarbeiter lediglich über die Bedrohungslage aufzuklären. Es gelte, im Unternehmen ein Bewusstsein für IT-Sicherheit bis hin zur Führungsebene zu etablieren und den Mitarbeitern zu vermitteln, „dass sie ein wichtiger Teil der Cyber-Abwehr sind“. Hierfür brauche es regelmäßige Übungen, wie Simulationen im Alltag, wenn die Mitarbeiter ihrer gewohnten Arbeit nachgehen. Dadurch sei man für den Ernstfall gewappnet und könne die Abläufe festlegen, um einen Krisenplan zu erstellen.

Seidlitz appelliert: Bewusstsein für IT-Sicherheit schaffen!

Alle Beteiligten eines Unternehmens müssten wissen, „wie bedroht ihre Firma ist und welche Rolle sie bei einem Angriff übernehmen sollen“. „Remote Work“ mit vielen Endgeräten und Zugangspunkten zum Unternehmensnetzwerk erhöhe den Druck.
Da es aber besonders den KMU oft an Fachkräften und Ressourcen fehle, um sich gut vorzubereiten, lohne sich die Einbindung externer Experten von unabhängiger Seite, „die bei entsprechender Ausbildung und Eignung gegebenenfalls auch als Informationssicherheits- oder Datenschutzbeauftragte benannt werden können“. IT-Sicherheit bestehe eben nicht nur aus Hard- und Software, sondern ebenso aus geschulten Mitarbeitern.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2021
Computer Security Day 2021: Check Point gibt fünf Tipps / Tipps für alle, die einen Computer, ein Smartphone oder ein IoT-Gerät besitzen

datensicherheit.de, 09.08.2021]
Der Mensch als größte Schwachstelle für die IT-Sicherheit / Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

[datensicherheit.de, 28.06.2021] Dateiübertragungen – d.h. „Upload“ und „Download“ – sind für Unternehmen und die Produktivität ihrer Mitarbeiter offensichtlich von entscheidender Bedeutung: „Beispielsweise sind Datei-Uploads für Spesenmanagement-Plattformen, Content-Management-Systeme (CMS), Instant-Messaging- und Collaboration-Anwendungen und -Dienste unerlässlich. Mitarbeiter übertragen häufig Dateien an Teamkollegen, Kunden und Partner, und in der Regel geht man davon aus, dass der gesamte Übertragungsprozess sicher ist.“ Seit die „COVID-19-Pandemie“ jedoch dazu geführt habe, dass Mitarbeiter auf „Remote“-Arbeitsplätze auswichen, sei es von entscheidender Bedeutung, die Angriffsvektoren für böswillige Akteure zu reduzieren – „indem präzise Maßnahmen ergriffen werden, um die Sicherheit eines Unternehmens bei der Dateiübertragung zu gewährleisten“. Um die Transparenz und damit die Sicherheit im Netzwerkverkehr zu erhöhen, hat Palo Alto Networks nach eigenen Angaben die „Next-Generation Firewall ,App-ID‘“ neu im Programm.

Richtige Sicherheitsstrategie für Dateiübertragung im Netzwerkverkehr finden

Cyber-Bedrohungen mit Malware würden mit der Übermittlung von spezifischem Schadcode an die Opfer beginnen. „In der Regel geben Unternehmen viel Geld für Sicherheitslösungen aus, die externe Bedrohungen abwehren sollen. Allerdings sollten sie sich auch nicht Insider-Bedrohungen ausliefern.“ Personen, mit denen man am Arbeitsplatz ständig kommuniziert, bringe man oft ein höheres Maß an Vertrauen entgegen.
„Wie kann die richtige Sicherheitsstrategie bei der Dateiübertragung und das Zulassen von Anwendungen sowohl externe als auch Insider-Bedrohungen vermindern? Welchen Risiken und Bedrohungen der Dateiübertragungssicherheit sind Unternehmen täglich ausgesetzt?“
Palo Alto Networks‘ „Next-Generation Firewall ,App-ID‘“ solle Unternehmen bei der Erkennung von Bedrohungen durch Datenübertragungen im Netzwerk helfen und Unternehmen vor externen Hacks und internen Lecks schützen.

Risikofaktoren für Netzwerkverkehr beim Dateitransfer

„Sind Dateitransfers im Unternehmensnetzwerk zugelassen, können die Risiken Angriffe auf die Infrastruktur, die Benutzer, die Daten und die Verfügbarkeit der Dienste umfassen.“ Eine Schwachstelle beim Datei-Upload könne entscheidende Auswirkungen haben, „da Code auf dem Server oder dem Client ausgeführt werden kann“. Die hochgeladene Datei könne missbraucht werden, um andere anfällige Komponenten einer Anwendung auszunutzen oder Schwachstellen in fehlerhaften Bibliotheken auszulösen, „während die Datei auf demselben Rechner vorhanden ist“.
Ein weiteres erhebliches Risiko bestehe in der gemeinsamen Nutzung von Dateien auf Speicher-Servern, die häufig für Missbrauch ausgenutzt würden. Unternehmen könnten schädliche Dateien „hosten“, „die illegale Software, Malware oder Inhalte für Erwachsene enthalten“. „Firefox Send“ sei einer dieser Filesharing-Webdienste gewesen: „Er wurde nach nicht einmal einem Jahr eingestellt, da die Plattform von Bedrohungsakteuren zur Verbreitung von Malware und Spear-Phishing-Angriffen genutzt wurde.“
Auf der anderen Seite stiegen die Kosten böswilliger Insider-Angriffe von Jahr zu Jahr. Vorschriften wie HIPAA, DSGVO und der PCI-Datensicherheitsstandard verpflichteten Unternehmen zu strengen Datenschutz- und -sicherheits-Maßnahmen.

Herausforderung an Netzwerkverkehr: Die meisten Daten außerhalb des Unternehmens

Das Hauptproblem bei Datenübertragungen sei, dass sich die meisten Daten heute außerhalb des Unternehmens befänden (z.B. in der Cloud). „In Fällen, in denen Unternehmen keine angemessenen Schutzgrenzen, Richtlinien und Kontrollen für die Bewegung von Daten in die und aus der Cloud einrichten, kann es zu übermäßigen, nicht genehmigten Übertragungen kommen.“
Infolgedessen könnten böswillige oder unvorsichtige Insider durch nicht genehmigte Dateiübertragungen ein ernsthaftes Risiko darstellen. „Wenn es keinen Überblick über diese Dateiübertragungen gibt, können Insider-Bedrohungen zu Datenverlusten oder Sicherheitsverletzungen führen.“ Um das Risiko von Datendiebstahl und Datenverlust zu verringern, sollten Unternehmen relevante und begrenzte Übertragungen zulassen und „Data Loss Prevention“ einsetzen, um unnötige Datenübertragungen zu kontrollieren.
Die meisten Unternehmen seien mit Dateiübertragungen innerhalb ihrer Organisation beschäftigt, und die Transparenz dieser Dateiübertragungen sei der Schlüssel zur Vermeidung von Datenverletzungen. Palo Alto Networks‘ „Next-Generation Firewall ,App-ID‘“ z.B. biete eine detaillierte Auflistung der Anwendungen, welche in den Netzwerken der Unternehmen ausgeführt werden dürften. Es helfe Unternehmen, das Verhalten von Anwendungen einfach zu überwachen und zu kontrollieren, um Unternehmen vor Eindringlingen und Insider-Bedrohungen zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

datensicherheit.de, 16.06.2014
Data Loss Prevention: Unternehmensdaten von innen schützen / Datenverlust kann erheblich Konsequenzen nach sich ziehen / Von unserem Gastautor Andrew Ladouceur, Clearswift

[datensicherheit.de, 02.06.2020] „vpnMentor.com“ ist nach Angaben des Betreibers „die weltweit größte VPN-Überprüfungs-Website“. Das eigene Sicherheitsforschungslabor ist demnach ein sog. Pro-Bono-Service, welcher der Online-Gemeinschaft helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen, und gleichzeitig Organisationen über den Schutz der Daten ihrer Benutzer aufklärt. In einem aktuellen Bericht wird auf die Entdeckung von drei Schwachstellen in der Firewall-/VPN-Technologie des Cyber-Sicherheitsanbieters Cyberoam (a Sophos Company) eingegangen – diese beträfen das „E-Mail-Quarantänesystem“, welches ohne Authentifizierung erreichbar sei.

Abbildung: vpnMentor

vpnMentor-Report „Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover“

In kurzer Folge drei Schwachstellen in Cyberoam-Produkten gefunden

Die Schwachstellen seien von verschiedenen unabhängig voneinander arbeitenden Forschern entdeckt worden. Über die erste Schwachstelle sei Ende 2019 berichtet worden, während die zweite Anfang 2020 von einem anonymen „ethischen Hacker“ mit vpnMentor geteilt worden sei. Sophos habe bereits „Hotfixes“ zur Behebung dieser beiden Schwachstellen veröffentlicht. Nach Bestätigung der Ergebnisse habe das eigene Team dann noch eine dritte, bisher ebenfalls unbemerkt gebliebene Schwachstelle entdeckt.
Diese Schwachstellen könnten sowohl unabhängig voneinander als auch in ihrer Gesamtheit ausgenutzt werden, indem eine böswillige Anfrage gesendet werde, welche es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen würde, beliebige Befehle auszuführen.

Jedes von Cyberoam-Firewalls geschützte Gerät hätte ausgenutzt werden können

Cyberoam entwickle hauptsächlich Technologielösungen für große Unternehmen sowie internationale Organisationen und integriere sie in umfangreichere Netzwerke. Die Software werde normalerweise am Rand eines Netzwerks platziert und umgebe dieses mit zahlreichen Sicherheitstools. Im Wesentlichen bilde sie ein Gateway, welches den Zugriff für Mitarbeiter und andere berechtigte Parteien ermöglichen und gleichzeitig jeden unberechtigten Eintritt in ein Netzwerk blockieren solle.
Der Hauptdefekt in der Sicherheit von Cyberoam habe nun zwei separate Sicherheitslücken in der Art und Weise betroffen, wie E-Mails auf einem Cyberoam-Gerät aus der Quarantäne freigegeben werden. Beide nicht miteinander in Zusammenhang stehenden Probleme hätten dazu verwendet werden können, Hackern Zugriff auf Geräte zu gewähren – in letzter Konsequenz also jedes von Cyberoam-Firewalls geschützte Gerät auszunutzen. Das erste Problem sei gegen Ende des Jahres 2019 entdeckt, an Sophos gemeldet und von Sophos sowie Cyberoam umgehend behoben worden.

Möglicher Hacker-Zugriff über webbasierte Cyberoam-Firewall-Oberfläche

Das zweite Problem sei von einem anonymen Hacker mit ethischen Grundsätzen mitgeteilt worden. Nachdem das interne Team des eigenen Forschungslabors unter der Leitung von Nadav Voloch diese vom anonymen Hacker gemeldete Sicherheitslücke überprüft hatte, habe Nadav die Überprüfung der früheren Offenlegung der Sicherheitslücke und der Cyberoam-Server-Schnittstellen fortgesetzt. Er habe dann feststellt, dass die Geräte von Cyberoam Standardkennwörter unterstützten. Insgesamt handele es sich dabei um zwei separate, nicht authentifizierte Sicherheitslücken in der E-Mail-Quarantäne-Funktion, die innerhalb von sechs Monaten entdeckt worden seien, und zusätzlich noch die Unterstützung von Standardkennwörtern. Man habe sodann mit Cyberoam zusammengearbeitet, indem ein Zeitplan für die Offenlegung und eine Patch-Umgehung koordiniert worden seien.
Im Grunde genommen ermöglichten diese Sicherheitslücken bösartigen Hackern indirekten Zugriff auf jedes Sicherheitsgerät von Cyberoam über die zentrale webbasierte Firewall-Oberfläche des Betriebssystems. Dies sei aufgrund eines Fehlers bei der Einrichtung des Zugriffs auf Benutzerkonten auf ihren Geräten möglich geworden. Für die Ausnutzung dieser Sicherheitslücken sei keine Authentifizierung erforderlich gewesen. Ein Angreifer habe lediglich die IP-Adresse des anfälligen Cyberoam-Geräts kennen müssen, um eine zuverlässige „Shell“ ohne Abstürze zu erhalten. „Sobald Hacker Remote-Zugriff auf die Cyberoam-OS-Shell erhalten, können sie indirekt auf jede Serverdatei zugreifen und das gesamte Netzwerk überwachen.“ Dies sei auch eine privilegierte Position, um auf andere Geräte zuzugreifen, die mit demselben Netzwerk verbunden sind – oft eine ganze Organisation.

Mindestens 170.000 einzelne Cyberoam-Firewalls mit Internet-Verbindung potenziell betroffen

vpnMentors eigene Untersuchung des Ausmaßes der Sicherheitsanfälligkeit habe gezeigt, dass mindestens 170.000 einzelne Firewalls mit Internet-Verbindung potenziell von der Sicherheitsanfälligkeit betroffen gewesen seien. Jede einzelne fungiere als potezieller Zugang zu Tausenden von unabhängigen Organisationen auf der ganzen Welt.
Da Cyberoam-Geräte und -VPNs oft als grundlegendes Sicherheits-Gateway zum Schutz großer Netzwerke verwendet würden, hätte jede Sicherheitsanfälligkeit in ihrer Software schwerwiegende Auswirkungen auf ein betroffenes Netzwerk. Hacker könnten sich dann theoretisch einfach in andere Geräte in diesem Netzwerk einschalten und jeden angeschlossenen Computer, Laptop, Telefon, Tablet oder Smart Device steuern.

Cyberoam-Geräte auf „Shodan“ zu lokalisieren

Hacker könnten Cyberoam-Geräte recht einfach aufspüren, da die Informationen über die Internet-Suchmaschinen wie „Shodan“ und „ZoomEye“ öffentlich zugänglich seien. Diese speziellen Suchmaschinen dienten dem Auffinden für mit dem Internet verbundene Geräte, mit denen jedes in einem Netzwerkbereich betriebene Gerät (oder jeder Server) sowie dessen Standort über eine IP-Adresse angezeigt werden könnten.
Mithilfe von „Shodan“ z.B. seien die IP-Adressen von ungefähr 86.000 Cyberoam-Geräten einfach herausgefiltert worden – vermutlich „nur ein kleiner Bruchteil der tatsächlichen Größe des Netzwerks“, denn es gebe viel mehr versteckte Geräte, welche nicht mit dem Internet verbunden seien und sich in nicht standardmäßigen Konfigurationen befänden.

Trotz Behebung der Schwachstellen könnte Cyberoam weiter im Visier sein

Die Gefahren seien ziemlich ernstzunehmen. Eine erfolgreiche Ausbeutung hätte es böswilligen Angreifern ermöglichen können, unbefugten Zugang zu und Kontrolle über 100.000 potenziell sensible Unternehmensnetzwerkgeräte auf der ganzen Welt zu erlangen. Der Zugriff auf ein ganzes Netzwerk und die Kontrolle darüber würde es ermöglichen, eine große Bandbreite an Betrug, Angriffen und Diebstahl zu begehen:

• Diebstahl privater Daten
• Netzwerk-, Konto- und Geräteübernahme
• böswillige Manipulation legitimer Netzwerkpakete

Glücklicherweise seien diese Schwachstellen noch rechtzeitig entdeckt und gegenüber Sophos verantwortungsbewusst aufgedeckt und offengelegt worden, worauf schnell reagiert und „Hotfixes“ erstellt worden seien. „Wären diese Schwachstellen von kriminellen Hackern entdeckt worden, hätten die Auswirkungen auf die betroffenen Netzwerke katastrophal sein können.“ Konkret: „Wenn diese Sicherheitslücke schließlich von kriminellen oder böswilligen Hackern entdeckt worden wäre, hätte sie zu direkten Angriffen auf das Netzwerk von Cyberoam, ihre Partner und die Kunden der Partner führen können.“ Diese Sicherheitsanfälligkeit seien zwar behoben worden, aber Cyberoam könnte jedoch immer noch mit erhöhter Aufmerksamkeit von Hackern konfrontiert werden, welche sich der beständigen Fehler in den Sicherheitsprotokollen bewusst seien und nach weiteren Fehlern in anderen Bereichen suchten.

Cyberoam-Benutzer sollten sich der früheren Sicherheitslücken bewusst sein

Wer derzeit ein Cyberoam-Sicherheitsgerät verwendet, möge sicherstellen, den neuesten Sicherheitspatch von Sophos zu erhalten und zu installieren. Ferne sei darauf zu achten, dass niemand im Netzwerk mehr die von Cyberoam ursprünglich bereitgestellten Standard-Anmeldeinformationen verwendet oder dass die noch verwendeten manuell deaktiviert sind. Als ethische Hacker seien sie verpflichtet, ein Unternehmen zu informieren, wenn Schwachstellen in dessen Online-Sicherheit entdeckt werden. Eben genau das habe man in diesem Fall getan: Sobald sie auf diese Umgehung aufmerksam gemacht wurden, hätten sie sich an Cyberoam und Sophos gewandt – „nicht nur, um sie über die Schwachstelle zu informieren, sondern auch, um ihnen zu erklären, wie sie funktioniert“.
Sophos habe schnell geantwortet und der Prozess zur Behebung des Problems sofort begonnen. Die vpnMentor-Ethik bedeute aber auch, Verantwortung gegenüber der Öffentlichkeit zu tragen: Cyberoam-Benutzer müssten sich der früheren Sicherheitslücken bewusst sein, von denen auch sie betroffen gewesen seien. Der Zweck des eigenen Forschungslabors sei es, „das Internet für alle Benutzer sicherer zu machen“. Man tue sein Bestes, um sensible Benutzerdaten geheim zu halten, „indem wir weit verbreitete Software-Fehler wie diesen finden und aufdecken“.

Weitere Informationen zum Thema:

vpnMentor, 14.05.2020
Report: Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover

vpnMentor
Blog

datensicherheit.de, 08.05.2020
VPN-Anbieter HMA führt No-Logs-Richtlinie ein

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

[datensicherheit.de, 23.08.2019] Robert Blank, „DACH Lead – Sales“ bei AlgoSec geht in seiner aktuellen Stellungnahme auf „vier wesentliche Merkmale jeder guten Firewall-Management-Lösung“ ein. Er rät Unternehmen, dass sie einen „vollständigen Überblick aller Geräte und Verbindungen“ in ihren Netzwerken haben sollten. „Dies erleichtert zum einen die Arbeit der IT-Sicherheitsabteilungen, zum anderen hilft es dabei, Compliance-Anforderungen gerecht zu werden“, so Blank.

Foto: AlgoSec

Robert Blank: Vollständigen Überblick auf alle Geräte und Verbindungen im eigenen Netzwerk haben!

Firewall zwingend notwendig – aber nicht hinreichend

Der Einsatz einer Firewall sei angesichts der aktuellen Bedrohungsumgebung zwingend notwendig. Blank: „Sie schützt das Netzwerk vor bösartigem Datenverkehr und verhindert, dass Benutzer sensible Informationen nach außen übertragen.“

Aber der Einsatz einer virtuellen Burgmauer allein reiche nicht aus, um ein Unternehmen zu sichern. Eine Firewall-Management-Lösung helfe, den Schutz eines Netzwerks auch bei Änderungen oder neuen Bedrohungen kontinuierlich aufrechtzuerhalten. Entscheider in Unternehmen sollten besonders auf die folgenden, wesentlichen Merkmale achten, wenn sie eine Firewall-Management-Lösung auswählen:

Transparenz im Sicherheitsnetzwerk

Organisationen profitierten von einer Lösung, „die eine Netzwerk-Topologie-Kartenfunktion an Bord hat“, betont Blank. Diese Funktion eröffne einen vollumfänglichen Blick auf alle Elemente des Netzwerks und zeige, „wie diese miteinander verbunden sind und interagieren“.

Die Funktion gewähre auch Einblick in riskante Richtlinien, die das Netzwerk Angriffen aussetzten, und gebe verschiedene Empfehlungen zur Optimierung und Bereinigung für alle Netzwerkgeräte.

Kontinuierliche Einhaltung von Compliance und Unternehmens-Sicherheitsrichtlinien

Die Lösung sollte die Einhaltung sowohl der branchenspezifischen, regulatorischen Standards als auch der „Best Practices“ und Leitfäden des Unternehmens unterstützen. „Traditionell war die Vorbereitung auf ein Audit ein zeitpunktbezogener und langwieriger Prozess, der Wochen oder gar Monate in Anspruch nahm. In der heutigen, schnelllebigen Welt müssen sich Unternehmen aber um eine kontinuierliche Einhaltung der Vorschriften kümmern.“

Ein gutes Firewall-Management-Tool liefert laut Blank „jederzeit einen detaillierten Bericht über die Einhaltung der Vorschriften“. Die Vorbereitung auf Audits werde dadurch von Wochen oder Monaten auf Sekunden reduziert. Darüber hinaus stelle eine solche Lösung sicher, „dass jede Änderung, die in das Netzwerk implementiert wird, nicht gegen die Compliance verstößt“. Die richtige Lösung sollte auch eine Reihe von definierten Audit- und Konformitätsberichten enthalten, um die langwierige Arbeit weiter zu reduzieren.

Automatisierte Änderungen

Eine hochmoderne Firewall-Management-Lösung sollte auch Change-Management-Prozesse automatisieren. „Netzwerkkonfigurations- und Änderungsprozesse müssen vollständig automatisiert werden, um Rätselraten und fehleranfällige manuelle Eingaben zu vermeiden“, empfiehlt Blank. Ein aktueller CSA- und AlgoSec-Report habe ergeben, dass die Hauptursache für Ausfälle nach wir vor Fehlkonfigurationen aufgrund menschlicher Irrtümer seien. „Moderne Netzwerke bestehen aus lokalen Umgebungen, SDNs und Cloud-Stützpunkten, die jeweils über einzigartige Sicherheitskontrollen verfügen – von konventionellen Firewalls über Firewalls der nächsten Generation (NGFWs) bis zu virtuellen Firewalls und Cloud-Controls.“

Um mit der Geschwindigkeit des Geschäftsalltags Schritt halten zu können, würden sehr oft Änderungen an Netzwerkrichtlinien durchgeführt, um neue Anwendungen bereitzustellen, Änderungen an bestehenden Anwendungen vorzunehmen oder alte Anwendungen stillzulegen. „Sie beziehen viele Interessensgruppen ein und schreiben Dutzende oder sogar Hunderte von Sicherheitskontrollen im gesamten Unternehmensnetzwerk um. Soll die Sicherheit aber die Agilität des Unternehmens nicht beeinträchtigen, so ist die Verwendung von Automatisierung der einzige vernünftige Weg.“ Ein Änderungsprozess sollte laut Blank in vier Schritten folgen, um das Risiko von Fehlern und Fehlkonfigurationen zu vermeiden. In Fällen, in denen die vorgeschlagene Änderung kein Risiko für das Netzwerk darstelle, durchlaufe eine Firewall-Management-Lösung folgenden Prozess automatisch und ohne menschliches Zutun:

1. Eine Änderung planen: Es gilt festzustellen, welche Sicherheitsgeräte sich auf dem Pfad der vorgeschlagenen Änderung befinden und welche Sicherheitsrichtlinien mit ihnen verbunden sind. Dies erfordert vollständige Transparenz im gesamten Netzwerk.
2. Das Risiko verstehen: Kann die Änderung zu einem unangemessenen Sicherheits-, Compliance- oder Geschäftsrisiko für die Netzwerkumgebung oder Anwendung führen? Falls ja, sollte die Änderung neu geplant werden.
3. Die Änderung durchführen: Die IT-Sicherheitsabteilung des Unternehmens muss im Voraus überlegen, wie sie die neue Sicherheitsregel am besten in die aktuelle Richtlinie des Geräts einfügen kann, um Doppelarbeit zu vermeiden. Zum Beispiel: Sollte der aktuellen Richtlinie des Geräts eine neue Regel hinzugefügt oder lieber eine bestehende geändert werden? Anschließend hat es Sinn, die Änderungen automatisch auf die entsprechenden Geräte übertragen und alle Änderungen dokumentieren zu lassen.
4. Änderungen validieren: In diesem Schritt wird geprüft, ob die Änderung wie gewünscht umgesetzt wurde und, ob die Anwendungen oder Dienste so funktionieren, wie sie sollen, ohne riskante Regeln („risky rules“).

Wie Automatisierung die Effizienz im Unternehmen steigert

Auch „Managed Security Service Providern“ (MSSP) biete eine gute Firewall-Management-Lösung viele Vorteile, so Blank. Sie helfe dabei, Konnektivität für Geschäftsanwendungen sicher bereitzustellen, diese zu warten und außer Betrieb zu nehmen. Sie erkenne die Konnektivitäts-Anforderungen für Anwendungen automatisch und ordne sie der zugrundeliegenden Netzwerkinfrastruktur zu.

Die Automatisierung der Firewall-Verwaltung könne eine wesentliche Verbesserung der von Unternehmen erbrachten Dienstleistungen und der betrieblichen Effizienz bewirken. Ein Unternehmen, das bei 150 Firewalls weiterhin manuelle Prozesse für Änderungen an den Richtlinien anwendet, könne höchstens um die 20 Änderungen je Woche verarbeiten. Blank verdeutlicht: „Mithilfe der Automatisierung aber können dieselben Mitarbeiter die Anzahl der Änderungen, die sie jede Woche bearbeiten, um 150 Prozent erhöhen.“

Hohe Erwartungen an MSSP

Von MSSP werde erwartet, „dass sie in Höchstgeschwindigkeit ihre Dienste bei höchster Sicherheit anbieten“. In Anbetracht der Komplexität der heutigen, heterogenen Netzwerke und des allgemeinen Mangels an IT-Sicherheitspersonal sei es wichtig, sich mit dem richtigen Werkzeug auszustatten. „Das Schlagwort lautet Automatisierung und sie sollte im eigenen Unternehmen vorangetrieben werden.“
Eine Firewall-Management-Lösung automatisiere den Prozess der Verwaltung von Netzwerk-Sicherheitsrichtlinien und sorge dafür, dass die verantwortlichen Mitarbeiter das gesamte Netzwerk mithilfe einer zentralen Plattform überwachen könnten. Blank kommentiert: „Das spart Zeit, Geld und mindert vor allem die Fehlerhaftigkeit neuer Konfigurationen und Änderungen an den Richtlinien.“

Weitere Informationen zum Thema:

algosec
Challenges in Managing Security in Native, Hybrid and Multi-Cloud Environments

datensicherheit.de, 12.06.2019
Sicherheit in Public Clouds

datensicherheit.de, 27.03.2019
Schneller sein als die Hacker: IT-Schwachstellen im Unternehmen suchen und finden

datensicherheit.de, 15.01.2019
Wie man einen Mehrwert im Network Security Policy Management schafft

[datensicherheit.de, 21.10.2016] Rohde & Schwarz Cybersecurity hat auf der am 20. Oktober 2016 zu Ende gegangenen IT-Sicherheits-Messe „it-sa“ in Nürnberg nach eigenen Angaben eine „deutlich gestiegene Nachfrage von Unternehmen für deutsche Sicherheitslösungen festgestellt“. Insbesondere sei der Bedarf an Netzwerkschutz-Anwendungen gestiegen, die sich auf individuelle Anforderungen zuschneiden ließen. Zudem achteten Unternehmen zunehmend auf den Schutz mobiler Endgeräte, um Cyber-Attacken abzuwehren. Groß sei auch das Interesse an deutschen Produkten für den Schutz ihrer Daten auf dem Weg ins Rechenzentrum und die Cloud.

Foto: Rohde & Schwarz Cybersecurity GmbH, München

Reger Andrang am Stand von Rohde & Schwarz Cybersecurity auf der „it-sa 2016“

IT-Sicherheit muss für Unternehmen praktikabel sein!

Jedes zweite deutsche Unternehmen sei von Wirtschaftsspionage, Sabotage und Datendiebstahl in Folge von Cyber-Kriminalität betroffen. Entsprechend wichtig sei ein umfassender Schutz vor solchen Angriffen.
Doch IT-Sicherheit müsse für Unternehmen praktikabel sein. Deshalb suchten diese zunehmend nach auf ihre individuellen Anforderungen zugeschnittenen Sicherheitslösungen. Entsprechend groß sei auf der diesjährigen „it-sa“ das Interesse an den neuen Firewall-Produktlinien der Rohde & Schwarz Cybersecurity GmbH gewesen.

Sicherheitsprodukte nach Bedürfnissen der jeweiligen Unternehmen ausrichten“

Angesichts des zunehmenden Bedrohungsszenarios sei es entscheidend, Sicherheitsprodukte nach den Bedürfnissen der jeweiligen Unternehmen auszurichten, betont Riko Schick, „Director Sales DACH für den Channelvertrieb“ bei der Rohde & Schwarz Cybersecurity GmbH.
„Wenn z.B. ein Kleinunternehmen mit der Nutzung einer hochfunktionalen Firewall überfordert ist, kann es sich nicht adäquat schützen. Ein Industriekonzern wiederum braucht eine Firewall mit deutlich komplexeren Sicherheits-Features, hat aber auch genügend qualifiziertes Personal, um diese zu betreiben“, erklärt Schick.
Die drei neuen Produktlinien böten die richtige Lösung für unterschiedliche Anforderungen an die Netzwerksicherheit in kleinen, mittleren und großen Unternehmen.

Verlässliche und hochperformante Leitungsverschlüsselung für Unternehmen und Behörden!

Groß sei auch das Interesse von Unternehmen und Behörden an Produkten für die Verschlüsselung des Datenverkehrs zwischen ihren Standorten und Rechenzentren gewesen.
In den Gesprächen am Messestand sei es dabei häufig um das Thema Rechenzentrums-Konsolidierung gegangen. Durch die zunehmende Zusammenlegung von Rechenzentren werde die Angriffsfläche auf „data on the move“ ständig größer, berichtet Henning Ogberg, „VP Sales“ der Rohde & Schwarz Cybersecurity. Was Unternehmen und Behörden dringend brauchten, sei daher eine verlässliche und hochperformante Leitungsverschlüsselung.
Die auf der „it-sa 2016“ präsentierten Netzwerkverschlüsseler der „R&S®SITLine“-Familie böten eine solche Lösung: Sie schützten Weitverkehrsnetze und Verbindungen zwischen Rechenzentren mithilfe modernster kryptografischer Methoden und Hochleistungstechnik vor Angriffen.

Sicherheitsprodukte „made in Germany“!

„Wichtig war den Messe-Besuchern, dass unsere Produkte „Made in Germany“ sind“, unterstreicht Ogberg. Damit stelle man sicher, dass sie frei von versteckten Zugängen seien, die von Angreifern oder fremden Organisationen ausgenutzt werden könnten.
Vor allem bei der verlässlichen Abwehr der akut steigenden Schäden durch Ransomware seien deutsche Produkte zunehmend gefragt. Sicherheit gegen solche externen Angreifer bei der Internetnutzung biete der „Browser in the Box“ von Rohde & Schwarz Cybersecurity.
Auch die Absicherung mobiler Geräte werde beim Kampf gegen Cyber-Angriffe immer wichtiger. Denn vor allem hierbei nehme die Gefahr ständig zu. Entsprechend groß sei das Interesse an den anwenderfreundlichen Endpoint-Lösungen von Rohde & Schwarz Cybersecurity für Browser, Smartphones und Tablets sowie für die abhörsichere mobile Kommunikation gewesen. Was Unternehmen heute brauchten, sei ein individuelles Sicherheitskonzept, betont Schick. Nur wenn sie rundum wirksam gegen Cyber-Angriffe geschützt sind, werde ein höchstmöglicher Grad an Sicherheit erreicht.

Firewall-Schutz für KRITIS und Industrie 4.0

Die Next-Generation-Firewalls der „Specialized Line“ ließen sich auf die besonderen Bedürfnisse komplexer und historisch gewachsener Netzwerkstrukturen anpassen – sie eigneten sich damit speziell für Anforderungen der Industrie 4.0 und in Kritischen Infrastrukturen (KRITIS).

Weitere Informationen zum Thema:

Rohde & Schwarz Cybersecurity GmbH
Verlässliche IT-Sicherheit aus Deutschland / Vertrauen ist gut. Made in Germany ist besser.

[datensicherheit.de, 13.05.2012] Noch immer surfen einige Nutzer schutzlos im Internet. Fast jeder fünfte Onliner (18 Prozent) hat weder Virenschutz noch Firewall auf seinem Privatrechner installiert. Im vergangenen Jahr waren es mit 21 Prozent geringfügig mehr. Das ergab eine repräsentative Umfrage im Auftrag des Hightech-Verbands BITKOM. „Die Gefahren für Internet-Surfer sind in den vergangenen Jahren stark gestiegen, doch leider verhält sich ein Teil der Onliner fahrlässig und gefährdet damit sich und andere“, sagte BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder. So hat gut jeder vierte Surfer (28 Prozent) keinen Virenschutz und fast jeder Dritte (30 Prozent) keine Firewall. Eine Firewall kontrolliert den Datenverkehr eines Rechners mit der Außenwelt auf Sicherheitsprobleme.
Gemäß der Umfrage nutzt jeder fünfte Surfer (20 Prozent) ein kostenpflichtiges Virenschutzprogramm, fast jeder zweite (48 Prozent) einen kostenlosen Schutz gegen Viren. Bei gut jedem Dritten (36 Prozent) sind Virenschutz und Firewall im Betriebssystem integriert.
Insbesondere bei neuen Betriebssystemen werden Virenschutz und Firewall den Käufern kostenlos mit angeboten. Mehr als jeder Vierte (29 Prozent) nutzt ein Sicherheitspaket seines Internet-Dienstleisters. Die Service-Provider bieten solche Dienste an, je nach Produkt gegen einen kleinen Aufpreis. „Privatverbraucher wie Unternehmen nutzen vermehrt Sicherheitsangebote als Security-as-a-Service, dabei kommt verstärkt Cloud-Technologie zum Einsatz“, sagte Rohleder.
Cloud-Services machen auch bislang selten genutzte Sicherheitstechnologien wie Datenverschlüsselung massenmarkttauglich. Derzeit verschlüsselt nur jeder achte Privatanwender (12 Prozent) seine Daten. Immerhin jeder sechste User (18 Prozent) nutzt einen Passwort-Safe. Das ist eine Software zur sicheren und zentralen Verwaltung von Passwörtern auf dem Rechner. Spezielle Dienste für anonymes Surfen nehmen 8 Prozent der User in Anspruch.
Basis der Angaben ist eine repräsentative Erhebung des Meinungsforschungsinstituts Aris für den BITKOM. Dabei wurden mehr als 1.300 Personen in Deutschland ab 14 Jahren befragt, darunter 1.000 Internetnutzer.

[datensicherheit.de, 24.09.2011] Nach einer aktuellen Studie des BITKOM nutzten mehr als 84 Prozent der Deutschen einen internetfähigen Computer. Nicht selten verfügten deutsche Haushalte mittlerweile über drei oder mehr PCs. Heimnetzwerke, die auf gemeinsame Ressourcen, wie Internetzugang, Drucker oder Video- und Bild-Daten zurückgreifen, würden bei Endanwendern immer beliebter. Mit „G Data InternetSecurity für Homeserver“ will der deutsche IT-Security-Hersteller eine einzigartige Sicherheitslösung für das heimische Netzwerk in den Handel bringen:
Dank der zentralen Management-Konsole könnten Home-Admins alle Sicherheitseinstellungen, wie Virenschutz oder Firewall-Regeln, bequem von einem Rechner aus für alle Einzelgeräte vornehmen. „G Data InternetSecurity für Homeserver“ werde Anfang Oktober 2011 zum Preis von 99 Euro im Handel erhältlich sein und schütze bis zu fünf PCs.
Vom Lieblingsfilm, über die Musiksammlung, bis zu wichtigen Dokumenten und wertvollen Familienfotos enthalten Homserver Daten, deren Verlust unersetzbar ist. Mit „G Data InternetSecurity für HomeServer“ könnten Endanwender ihr Heimnetzwerk und bis zu fünf damit verbundene Computer schützen. Der Schutz werde komfortabel und zentral am Homeserver gesteuert. Über das Dashboard und der intuitiven Benutzeroberfläche hätten Home-Admins den Sicherheitsstatus der heimischen Rechner immer im Blick und könnten auf jeden PC direkt zugreifen. Die Daten seien dabei dank clientseitigem Schutz (AntiVirus, Antispam, CloudSecurity und Firewall) zu jeder Zeit auf jedem Rechner effektiv abgesichert.

[datensicherheit.de, 11.07.2011] Die Zahl der Web-2.0-Anwendungen steigt ständig, aber sie werden kaum auf unerwünschte Inhalte kontrolliert – heutige Firewalls können vor allem Web-2.0-Protokolle, die auf Anwendungsebene mehrfach ineinander geschachtelt sind, nicht analysieren. Diese Sicherheitslücke soll durch das Forschungsprojekt „PADIOFIRE“ geschlossen werden, an dem sich das IT-Sicherheitsunternehmen GeNUA beteiligt:
Das Projekt verfolgt das Ziel, eine neuartige Firewall zur umfassenden Prüfung von Web-2.0-Anwendungen zu entwickeln. Weitere Projektpartner sind die Brandenburgische Technische Universität Cottbus (BTU) und die Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU). Das Projekt startete Anfang Juli 2011 und wird über zwei Jahre vom Bundesministerium für Bildung und Forschung gefördert.
Firewalls sind tragende Teile jeder IT-Sicherheitsstrategie. An sensiblen Übergängen wie zwischen LAN und Internet kontrollieren sie den Datenverkehr und blocken unerwünschte Verbindungen. Hochwertige Firewalls analysieren zudem mit spezieller Software den Inhalt der Anwendungsprotokolle, um Viren, Spam und sonstigen Schadcode zu identifizieren und abzuwehren. Zahlreiche Web-2.0-Dienste wie z.B. „Google Maps“ nutzen aber mehrere, auf der Anwendungsebene vielfach ineinander geschachtelte Protokolle. Bei der inhaltlichen Filterung dieser komplexen Anwendungen sind heutige Firewalls überfordert. Dort setzt das Projekt „PADIOFIRE“ – die drei Partner BTU, FAU und GeNUA entwickeln ein Firewall-System, das verschachtelte Web-2.0-Protokolle analysieren kann. Ein wichtiger Teil dieses neuen Systems ist zudem eine intelligente Lastverteilung, da die aufwändigen Analysen auf mehrere Systeme verteilt werden müssen, um insgesamt einen hohen Datendurchsatz zu erreichen.
GeNUA ist in dem Projekt für die asynchrone Koppelung von Firewall und Analysemechanismen verantwortlich – die zeitaufwändigen Analysen und die sonstigen Firewall-Funktionen müssen miteinander koordiniert werden, um Verzögerungen zu vermeiden und somit einen schnellen Datendurchsatz zu gewährleisten.
Seit Mai 2011 ist GeNUA bereits in dem Forschungsprojekt „SUNSHINE“ aktiv. Dabei wird ein Sicherheits-Framework entwickelt, um Betrugsversuche im Bereich der verbreiteten Voice-over-IP-Kommunikation (VoIP) zu erkennen und abzuwehren. Partner sind die Universität Duisburg-Essen, Fraunhofer FOKUS und die ISACO GmbH. Als Firewall-Spezialist beschäftigt sich GeNUA in diesem Projekt mit der Paketanalyse bei VoIP-Protokollen. „SUNSHINE“ läuft von Mai 2011 bis April 2013 und wird vom Bundesministerium für Bildung und Forschung gefördert.

[datensicherheit.de, 19.11.2010] Wer große Anlagen wie Druckmaschinen, Fertigungsroboter, Stromgeneratoren oder Computertomografen für viel Geld beschafft, verlangt vom Hersteller die Zusicherung des störungsfreien Betriebs. Denn sollte durch den Ausfall eines Systems beispielsweise eine ganze Fertigungsstraße stillstehen, summieren sich die Kosten schnell auf beträchtliche Summen – den Image-Verlust durch verspätete Lieferungen und verärgerte Kunden noch gar nicht mitgerechnet. Die geforderte hohe Betriebszuverlässigkeit können Hersteller nur durch ständige Betreuung ihrer Anlagen via Fernwartung garantieren:

© GeNUA mbH

Beispiel Generator: Zusicherung des störungsfreien Betriebs vom Hersteller erwartet

Solche Fernwartungs-Lösungen sind dank moderner IT-Technologie, weltweiter Vernetzung und schneller Datenübertragung problemlos zu realisieren. Die Herausforderung liegt in der Frage, wie große Industrieunternehmen, die Fernwartungsservices von mehreren Herstellern nutzen, die zahlreichen Zugriffsmöglichkeiten in ihre Netzwerke im Blick behalten. Auf der anderen Seite stehen die Anlagenhersteller vor der Aufgabe, eine Vielzahl von Fernwartungsverbindungen zu ihren verschiedenen Kunden zu betreiben. Die zentralen Anforderungen sind hierbei einfache Anwendung, flexible Einsatzmöglichkeiten, einheitliche Administration und vor allem auch zuverlässige IT-Sicherheit. Denn der Schadcode Stuxnet hat gerade aufgezeit, wie Produktionsanlagen weltweit massenhaft infiziert werden können, wenn diese komplett vernetzt, aber nicht ausreichend gesichert sind. Gelöst werden kann diese Aufgabe mit Fernwartungssystemen, die auf bewährten Standards und durchdachten Sicherheitskonzepten basieren.
Die Vorteile einer Fernwartungslösung liegen auf der Hand – die Anlagen werden von erfahrenen Spezialisten des Herstellers fortlaufend überwacht und gewartet, ohne dass diese vor Ort sein müssen. Sollte trotz regelmäßiger Pflege eine Störung auftreten, können die Spezialisten via Wartungsverbindung zugreifen und die meisten Probleme umgehend lösen. Die erforderliche IT-Technologie ist ausgereift, schnelle Datenleitungen nahezu überall kostengünstig vorhanden. Fernwartungslösungen sparen somit Zeit und Geld – davon profitieren sowohl der Wartungsdienstleister als auch der Anlagen-Anwender. Aus diesem Grund werden immer mehr Fernwartungslösungen in der Industrie, dem Gesundheitswesen und anderen Bereichen eingesetzt. Diese Vorteile sind überzeugend, der zunehmende Einsatz von Fernwartungslösungen ist aber auch mit erheblichen Nebenwirkungen verbunden – denn die Anlagen, die betreut werden sollen, sind bei den Anwendern in die lokalen Netze (LAN) eingebunden. Für den Fernzugriff muss dem Dienstleister also ein Zugang in das LAN des Anwenders eingeräumt werden. Damit ist direkt der sensible Bereich der IT-Sicherheit bei der Anwenderfirma betroffen – dort muss sichergestellt werden, dass über den Wartungszugang tatsächlich nur der Dienstleister in das LAN gelangt und keine unbefugten Dritten.

Als weitere Sicherheitsstufe sollte der externe Zugriff auf das betreute Objekt begrenzt sein. Denn viele Unternehmen betreiben im Produktionsbereich ein flaches Netz, an das alle Systeme angebunden werden. Wer einmal Zugang erlangt hat, kann somit ungehindert im gesamten Kunden-LAN „herumsurfen“. So konnte z. B. zuletzt der Schadcode „Stuxnet“ innerhalb kurzer Zeit eine große Anzahl von Steuerungssystemen für Maschinenanlagen infizieren. Je mehr Wartungszugänge in ein LAN geführt werden, desto schwieriger ist die Absicherung. Denn es werden eine Vielzahl von Fernwartungslösungen verwendet, die über unterschiedliche Wege eine Verbindung zur betreuten Anlage aufbauen – über Modem, ISDN, DSL oder Internet sowie mit verschiedenen VPN-Standards (Virtual Private Network) zur verschlüsselten Datenübertragung. Industrieunternehmen mit größeren Maschinenparks verfügen zumeist über ein gewachsenes Konglomerat solcher Lösungen. Für dieses Sammelsurium unterschiedlicher Lösungen müssen auf der Firewall wiederum eine Vielzahl an Ports freigeschaltet werden. Manchmal wird die Firewall sogar umgangen und die Verbindung direkt an die betreute Anlage im LAN gelegt. Mit jedem offenen Port und besonders natürlich durch die Umgehung der Firewall steigt die Gefährdung durch unberechtigte Zugriffe, Hacker-Attacken und Viren, die ganze Produktionsstraßen lahm legen können. Zu regelrechten Löchern werden diese Schwachstellen, wenn bei der Administration der diversen Zugänge Fehler unterlaufen oder die regelmäßige Pflege aufgrund des hohen Aufwands vernachlässigt wird. Dies kann schnell passieren, da jedes Fernwartungs-System andere Anforderungen stellt und einzeln betreut werden muss.

Am anderen Ende der Verbindung stehen die Wartungsdienstleister zumeist vor ähnlichen Problemen: Auch hier ist ein vielfältiges Portfolio an Fernwartungs-Systemen gewachsen, das umständlich zu bedienen ist und großen Aufwand bei der Administration erfordert. „Mit welcher Software und welchem Modem ist die Anlage beim Kunden XY zu erreichen“, ist eine häufig gestellte Frage in Service-Centern. Auch für den Dienstleister ist es wichtig, dass sein Zugang in das Kundennetz zuverlässig gesichert ist. Denn sollte sich herausstellen, dass über diesen Weg beispielsweise ein Virus in das Netz gelangt ist und Schäden angerichtet hat, würde sich dies mit Sicherheit auf die weitere Beziehung zu dem Kunden auswirken. Beide Seiten – Anwender und Dienstleister – haben somit ein großes Interesse an einer Fernwartungs-Lösung, die die Kriterien einfache Bedienung, komfortable Administration, hochwertige IT-Sicherheit und flexible Einsatzmöglichkeiten erfüllt.

© GeNUA mbH

Fernwartung über Rendezvous-Server

Zur Fernwartung von Maschinenanlagen in sensiblen Produktionsbereichen bietet das deutsche IT-Sicherheitsunternehmen GeNUA eine Lösung, in dessen Mittelpunkt ein Rendezvous-Server steht. Das Konzept: Es werden keine einseitigen Wartungszugriffe von Herstellern in das Netz des Industrieunternehmens zugelassen. Stattdessen führen alle Fernwartungszugriffe auf einen Rendezvous-Server, der in einem speziellen Bereich neben der Firewall, der sogenannten „demilitarisierten Zone“ (DMZ), installiert ist. Hierhin kommt das Industrieunternehmen dem Hersteller mit einer Verbindung von innen aus dem Produktionsbereich entgegen. Erst wenn es auf dieser zentralen Wartungsplattform zum Rendezvous kommt, kann der Hersteller die jetzt durchgängige Verbindung zum Zugriff auf die betreute Anlage nutzen. Der Rendezvous-Server kann sowohl in der DMZ des Dienstleisters oder auch des Kunden eingerichtet werden. Da der Kunde zu einem verabredeten Zeitpunkt selbst aktiv werden muss, hat er stets den Überblick, wer wann in seinem Netz unterwegs ist.
Die Verbindungen zu dem Rendezvous-Server werden mit dem VPN-Verfahren (Virtual Private Network) SSH aufgebaut, das starke Verschlüsselungs- und Authentifizierungsmethoden bietet. So kann die Datenkommunikation nicht abgehört werden, und nur berechtigte Teilnehmer erhalten Zugang zur Wartungsplattform in der DMZ. Das Protokoll SSH unterscheidet sich zudem in einem wesentlichen Punkt vom dem VPN-Verfahren IPsec, das andere Herstellern häufig zum Aufbau von Fernwartungs-Verbindungen verwenden: IPsec erzeugt immer eine vollständige Koppelung zwischen den verbundenen Netzen. Sollte ein Rechner in einem Netz mit Schadcode infiziert sein, kann er in allen via IPsec angebundenen Netzwerken ungeschützte Systeme befallen und sich rasant ausbreiten. Mit SSH werden dagegen nur die tatsächlich notwendigen Verbindungen zwischen einzelnen Rechnern erzeugt, so dass Schadcode keine schnellen Verbreitungswege findet.

© GeNUA mbH

Fernwartungs-Appliance „GeNUBox“

Bei der Lösung von GeNUA sorgt im Produktionsbereich zusätzlich die Fernwartungs-Appliance „GeNUBox“ für Sicherheit. Sie wird an der per Fernzugriff betreuten Anlage installiert und separiert mit einer Firewall-Funktion den Wartungsbereich vom den anderen Systemen in diesem Netzbereich. So führt die SSH-Verbindung ausschließlich zum Wartungsobjekt – Zugriffe auf andere Systeme im Netz der Produktionsabteilung sind nicht möglich. Selbst wenn Schadcode bis hierhin vordringen sollte, kann er von dieser isolierten Anlage aus keine weiteren Systeme infizieren.

Über den Rendezvous-Server können beliebig viele Fernwartungsverbindungen zusammengeführt werden. Da Bedienung und Administration über einheitliche Oberflächen erfolgen, kann mit geringem Aufwand ein sicheres Fernwartungssystem mit vielen Teilnehmer aufgebaut und betrieben werden. Um neue Teilnehmer in die Lösung einzubinden, wird an der jeweiligen Gegenstelle lediglich eine Fernwartungs-Appliance installiert. Zahlreiche große Maschinenbau-Unternehmen wie der Motorenhersteller MAN Diesel und der Druckmaschinenspezialist manroland nutzen diese komfortable Lösung von GeNUA, um ihre weltweit installierten Anlagen per Fernzugriff zu betreuen und ihren Kunden somit guten Service zu bieten.

© GeNUA mbH

Dr. Michaela Harlander, Geschäftsführerin der GeNUA mbH

[datensicherheit.de, 14.10.2010] GeNUA, die Gesellschaft für Netzwerk- und Unix-Administration mbH, meldet, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die „Firewall GeNUGate 6.3“ nach Common Criteria in der Stufe „EAL 4+“ zertifiziert habe:
Ferner sei die zweistufige Firewall als „Highly Resistant“ eingestuft worden, da sie beim zentralen Merkmal des Selbstschutzes die Anforderungen der Sicherheitsstufe „EAL 6“ erfülle.

© Gesellschaft für Netzwerk- und Unix-Administration mbH

„GeNUGate“ sei damit die einzige Firewall weltweit, die in Zertifizierungsverfahren dieses hochwertige Sicherheitsmerkmal erreicht habe.

Bei der „GeNUGate“ seien zwei separate Firewall-Systeme zu einer kompakten Lösung kombiniert – ein „Application Level Gateway“ analysiere und filtere den Inhalt der empfangenen Daten, während ein Paketfilter formale Kriterien wie Absender-, Empfänger-Adresse sowie Protokolltyp prüfe. Die Firewalls ergänzten sich und seien in Reihe geschaltet – alle Daten müssten beide Kontrollen passieren. Dass dieses zweistufige Verfahren zum Schutz von Netzwerken sehr wirksam sei, belege das vom BSI ausgestellte Sicherheitszertifikat. Denn für das Qualitätssiegel nach dem internationalen Standard „Common Criteria“ in der Stufe „EAL 4+“ habe GeNUA gegenüber dem BSI bis ins kleinste Detail schlüssig dokumentieren müssen, wie die behaupteten Sicherheitsziele trotz aller Bedrohungen mit der Firewall zuverlässig erreicht würden. In umfangreichen Tests sei die Wirksamkeit in der Praxis nachgewiesen worden, und der Level „EAL 4“ fordere darüber hinaus die Vorlage des kompletten Quellcodes. So hätten die unabhängigen Experten anhand der Programmierzeilen die vom Hersteller behauptete Sicherheitsleistung nachprüfen können.