Seit es das Internet gibt, versuchen Menschen, an die Daten anderer Leute heranzukommen. Die Hacker – korrekterweise “Cracker” zu nennen – machen sich dabei Lücken und Schwächen zunutze, die so gut wie jede Software mit sich bringt. So besitzt der weit verbreitete Web-Server Apache in den Versionen 2.0 bis 2.0.46 einen Fehler in einem Modul, der ihn anfällig für Denial-of-Service-Attacken (DoS) macht. Was vor einigen Jahren noch sehr umfangreiche Informatikkenntnisse erforderte, schafft heute bis zu einem gewissen Grad jeder Laie mit fertigen Baukästen. Ein im Internet verfügbares Skript etwa nutzt eine verwundbare Stelle bei Red Hat Linux 7.1 aus und gibt einem Angreifer volle Kontrolle über diesen Server.
Zum Schutz vor derartigen Angriffen haben sich zwei grundlegende Technologien durchgesetzt: Firewalls und IDS. Beide arbeiten nach unterschiedlichen Prinzipien. Eine Firewall ist eine aktive Komponente, die den durch sie durchgeleiteten Datenverkehr prüft und je nach Anforderung freigibt oder blockiert. Ganz anders ein IDS: Es prüft unter anderem mit Hilfe eines als “Sniffer” bezeichneten Programms, ob ein potenzieller Angriff auf das zu schützende Netz vorliegt und protokolliert dieses mittels Log-Files. Daneben haben sich noch weitere Erkennungsmethoden etabliert, die aber alle eines gemeinsam haben: Ein IDS ist passiv. Es verhindert nicht, dass jemand in unberechtigter Weise in ein Netz eindringt.
Netzwerk-IDS basiert auf zwei Grundprinzipien: Zum einen wird der Netzverkehr auf Anomalien überwacht. Die Annahme dabei ist, dass eine Attacke immer auch ein ungewöhnliches Verhalten zum Beispiel der Übertragungsprotokolle bedeutet. Wenn etwa User “Herbert” im Normalzustand nie FTP-Server nutzt und plötzlich ein Benutzer unter diesem Namen auf das FTP-Protokoll zugreift, ist das ungewöhnlich. Um dies zu erkennen, muss festgelegt werden, was ein normales Verhalten ist. Der Ist- und Soll-Zustand wird vom IDS verglichen und ein von den definierten Profilen abweichendes Verhalten markiert.
Als zweiter Ansatz kommt die Signaturerkennung – ähnlich wie bei Virenscannern – zum Zug. Dabei greift das IDS auf bekannte Muster zurück, die auf einen Angriff von Außen hindeuten. Ein erstes Alarmsignal wäre etwa ein Port-Scann über viele verschiedene Ports, mit dem ein Angreifer versucht, offene Tore in der IT eines Unternehmens zu finden.

IDS stöbert Eindringlinge auf, aber wehrt sie nicht ab

Über Sinn und Zweck eines IDS wird kontrovers diskutiert. Das Hauptargument für ein IDS ist, dass durch die Auswertung der Log-Files potenzielle Sicherheitslücken der eigenen Systeme aufgedeckt und zügig geschlossen werden können. Denn dringt ein Hacker unbemerkt in die IT ein, hat er alle Zeit der Welt, nach Gutdünken Daten zu manipulieren, Passwörter auszuspähen oder die fremden Rechner für bösartige Aktionen wie Distributed-Denial-of-Service (DDoS) -Attacken zu missbrauchen. Je schneller ein Angriffsversuch entdeckt wird, desto geringer fällt der Schaden aus.
Gegner von IDS führen ins Feld, dass ein solches System keinen Angriff abwehrt. Im schlimmsten Fall wägt sich der Administrator in trügerischer Sicherheit. Zudem produziert ein IDS eine Unmenge von Log-Files, die sich händisch kaum auswerten lassen. Ohne eine intelligente Auswertungs-Software bleiben die erzeugten Daten in der Regel nutzlos. Und da ein IDS zudem häufig Fehlalarm schlägt, so genannte False Positives, benötigt der Systemadministrator entsprechende Erfahrungen, um die Daten der Logs richtig zu interpretieren.

Mit der Datenflut überforderte “Sniffers” versagen

Darüber hinaus stoßen die heutigen IDS-Lösungen mittlerweile an technische Grenzen. Angesichts des wachsenden Datenverkehrs ist das Hauptproblem die Performance von Netzwerk-basierten Systemen. Ein Monitor, der für das heute meist genutzte 100-MBit/s-Netzwerk ausgelegt ist, schafft es im Schnitt, 60 bis 80 MBit/s zu überwachen. In einem “geswitchten” Netz kann die Auslastung die Möglichkeiten des Sniffers leicht übersteigen, der dann Datenpakete ungeprüft durchlassen muss. Switches übertragen die Daten nicht an alle angeschlossenen Rechner, wie das Hubs tun. Sie transportieren die Pakete nur zum jeweiligen Zielrechner. Während also bei einem Hub die Datenpakte an allen Anschlüssen gleich sind, gibt ein Switch die Informationen nur gezielt an einzelne Ports weiter. Es genügt somit bei Switches nicht, das IDS an einen der Ports anzuschließen. Das IDS müsste an den Scan- oder Mirror-Port des Switches angebunden werden – bei einem Switch mit zehn oder mehr Ports eine nicht zu bewältigende Datenlast.
Obendrein werden die IP-Pakete heute oft über verschiedene Leitungen übertragen und damit fragmentiert. Erhält ein IDS den einen Teil eines Pakets und eine weitere IDS-Instanz den anderen, bleibt ein eventueller Angriff unerkannt, da keines der IDS die kompletten Daten prüft.

Port 80 als Einfallstor

Ein zweites Problem besteht bei auf Netzwerken basierenden IDS analog zum so genannten “Port-80-Problem” der Firewalls: Über den Port 80 läuft der HTTP-Datenverkehr, also der Zugriff auf das Internet. Dieser Port ist bei fast allen Unternehmen geöffnet, da sonst die Mitarbeiter keinen Zugang zum Internet hätten. Auch nutzen immer mehr Web-basierte Anwendungen HTTP über den Port 80 – eine Tatsache, die selbstverständlich auch den Hackern nicht verborgen geblieben ist. Weder Firewalls noch rein netzwerkbasierte IDS erkennen diese Port-80-Attacken ohne weiteres. Verschärft wird die Situation noch durch neue Technologien wie Web-Services, die ebenfalls den Port 80 nutzen. Somit könnte ein Eindringling darüber eine Anwendung auf einem Server unter seine Kontrolle bringen – etwa mit überlangen Argumenten im GET-Befehl, den das angegriffene System nicht richtig interpretieren kann. Mit diesem Befehl werden Daten in einer Internet-Adresse gesendet. Da sich der Internet-Zugang nicht sperren lässt, ohne die Arbeitsfähigkeit eines Unternehmens zu gefährden, muss den Risiken mit geeigneten neuen Strategien begegnet werden.
Den Sinn der bislang verwendeten IDS bezweifelt auch die Gartner Goup in einer aktuellen Studie. IDS sei teuer, ohne jedoch eine zusätzliche Sicherheitsschicht in die IT einzuziehen. Bis 2005 werden diese Systeme obsolet, so Gartner. Die Empfehlung des Beratungsunternehmens ist, mehr im Bereich der Firewalls zu unternehmen und hier Produkte einzuführen, die sowohl auf Netzwerk- als auch auf Applikationsebene Schutz bieten.

Firewall und IPS kombiniert

Viele IDS-Anbieter versuchen nun, statt mit Intrusion Detection mit Intrusion Prevention am Markt zu punkten. Intrusion-Prevention-Systeme sollen nicht nur Angriffe entdecken, sondern analog zu den Firewalls aktiv darauf reagieren. Wird ein Angriff erkannt, leitet ein IPS sofort und automatisch Gegenmaßnahmen ein. Da liegt es nahe, IPS und Firewalls in eine Appliance – also ein eigenständiges Gerät – zu integrieren, die an der Schaltstelle im Datenverkehr nach außen sitzt: “Die Funktionalität kommt in die Firewalls hinein, die sowohl eine tiefgehende, inhaltsorientierte Paketprüfung durchführen, bösartigen Netzverkehr abblocken und auch Antiviren-Aktivitäten entwickeln werden”, prognostiziert Richard Stiennon, Research Vice President bei Gartner.
Solche multifunktionalen Appliances sind am Markt verfügbar. So hat zum Beispiel der Firewall-Hersteller Watchguard erst jüngst auch Firewall-Produkte für kleine und mittlere Unternehmen ins Portfolio aufgenommen, die ein integriertes IPS vorweisen. Dabei wird zum Beispiel der Datenverkehr von IP-Adressen, die verdächtige Verhaltenmuster zeigen, für eine bestimmte Zeit generell blockiert. Das Problem fragmentierter Datenpakete ist laut dem Hersteller dabei auch behoben: Die Pakete werden zur Kontrolle zusammengeführt.

Anzeichen von Angriffen direkt am Server orten

Den Weg hin zu kombinierten Appliances, den Gartner aufzeichnet, bestätigt Klaus Hornung, Enterprise Technical Account Manager bei Symantec. Das prinzipielle Problem eines IDS sieht auch er: “Mit einem Netzwerk-Sniffer kann ich nichts verhindern, sondern nur Alarm schlagen. Im Gateway jedoch kann ich mit einem Pass-Through-IDS Angriffe abwehren.” Der reine Sniffer-Ansatz führt für ihn immer mehr in eine Sackgasse.
Der Sicherheitsfachmann, der sich besonders mit Schwachstellenanalysen befasst, konstatiert bei den Erkennungstechnologien deutliche Fortschritte: “Intrusion-Detection-Systeme erkennen heute Angriffe mit fast 100-prozentiger Sicherheit.” Doch der Weg führt laut Hornung verstärkt hin zu Host-basierten IDS, die direkt am Server nach Anzeichen von Angriffen suchen. Diese Systeme prüfen das Verhalten von einzelnen Anwendungen, um zu verhindern, dass ein Angreifer etwa mittels eines Buffer Overflow (Pufferüberlauf) die Kontrolle über einen Server bekommt:
Eine aktive und selbsttätige Intrusion Prevention ist aus seiner Sicht nur schwer zu realisieren und lebt von der Person vor der Konsole, die weiß, was sie mit den Meldungen des IDS anfangen muss. Zum einen müsse ein Angriff zunächst einmal erkannt werden, zum anderen entwickeln sich die Methoden der Hacker und die entsprechenden Werkzeuge schneller als die Ressourcen der Abwehr.
Für Hornung ist Intrusion Prevention in erster Linie ein strategischer Prozess: “Alle Systeme müssen auf dem aktuellen Patch-Stand sein. Damit wird der allergrößte Teil der Hacks bereits abgewehrt.” Sein Beispiel dafür, wie nachlässige Update-Richtlinien die IT angreifbar machen, ist der berüchtigte Code-Red-Virus. Als dieser aktiv wurde, standen alle notwendigen Sicherheits-Updates bereits seit geraumer Zeit zur Verfügung. Nur wurden sie eben nicht rechtzeitig von den Anwendern eingespielt. “Prävention lebt vor allem von der Durchsetzung und Einhaltung einer Sicherheitsrichtlinie”, so Hornungs Fazit.

Die richtige Balance zwischen Produktivität und Sicherheit ist gefragt

Automatische Intrusion Prevention oder passive Intrusion Detection – beide Ansätze haben ihre Befürworter und ihre Gegner. Trotz aller Schwächen liegt der Nutzen eines IDS vor allem darin, Lücken rechtzeitig aufzuspüren und so die Zugänge für böswillige Mitmenschen zu verschließen. Auf der anderen Seite ist die automatische Abwehr von Attacken auf Anwendungs- und Netzwerkebene sehr sinnvoll. Doch egal, ob Unternehmen lediglich rechtzeitig erkennen oder ob sie gleich darauf reagieren wollen: Der Aufwand ist groß und die Systeme erfordern ein hohes Maß an Feineinstellung. Schließlich muss sichergestellt werden, dass zwar Hacker nicht in das Unternehmen eindringen, gleichzeitig aber der Geschäftsführer sein Mail-Account von unterwegs synchronisieren kann. Sicherheit steht immer in einem Widerspruch zur Produktivität – das sicherste System wäre vollständig in sich geschlossen und würde unter keinen Umständen den Kontakt nach Außen zulassen. In Zeiten von E-Mail, Internet und E-Business ist das jedoch kein gangbarer Weg. Gefragt ist die richtige Balance zwischen Produktivität und Sicherheit, die eine gehörige Portion Fachwissen und viel Zeit erfordert.

Das macht Sicherheitsfragen zu potenziellen Outsourcing-Kandidaten, meinen die Marktforscher von Forrester Research. Bis 2008 wird der Markt in Europa für Managed-IT-Security-Services ein Volumen von 4,6 Milliarden Euro erreichen, so die Prognose. Im Bereich der Managed IDS sieht Forrester ein Wachstum von stolzen 47 Prozent im Jahr und fast ein Drittel Anteil am gesamten Markt. “Nur wenige Firmen haben ein effektives Intrusion-Detection-System im Unternehmen. Sie kämpfen mit fehlendem internen Know-how und arbeitsintensiven Prozessen”, begründet Forrester die Einschätzung.