Quarantäne für Rechner

Feature | 11. Januar 2005 von admin 0

Die IT der meisten Unternehmen gleicht heute einer Trutzburg: Mit immensem Aufwand werden alle Zugänge zum internen Netz überwacht und abgeschirmt. Firewalls und Intrusion-Prevention gehören inzwischen zur Standardausstattung, Viren werden meist am Gateway abgefangen, eingehende E-Mails bereits am Mail-Server durch Content-Filter auf Spam überprüft. Doch der Schutz nach außen wird zunehmend unterlaufen: Auf Notebooks, USB-Sticks und PDAs (Personal Digital Assistants) tragen Mitarbeiter und externe Dienstleister Viren und Würmer an den Sicherheitsinstanzen vorbei ins Unternehmensnetz.

Mobilität als Gefahrenquelle

Mit der wachsenden Mobilität und der zunehmenden Verbreitung tragbarer Geräte sind völlig neue Probleme für die IT-Sicherheit entstanden. Denn Notebooks entziehen sich der Kontrolle der IT-Abteilung: Greift zum Beispiel ein Außendienstmitarbeiter über die Internet-Anbindung eines Kunden auf Daten zu, hat die eigene IT-Mannschaft keinen Einfluss darauf, wie diese Verbindung gegen Würmer und andere Schädlinge gesichert ist. Ähnlich sieht es am Heimarbeitsplatz aus: Dort stehen in aller Regel nur sehr einfache Schutzsysteme wie etwa die integrierte Personal-Firewall von Windows XP zur Verfügung. Kehrt der Mitarbeiter wieder ins Büro zurück, schleppt er unterwegs eingefangene Würmer unbemerkt ein – die Perimeter-Sicherheit wird umgangen und hat keine Chance.
Ein ähnliches Szenario droht mit USB-Sticks, die gerne genutzt werden, um Daten zwischen Büro und Heimarbeitsplatz zu transportieren: Niemand kann dafür garantieren, dass auf den Datenspeichern nicht mit Viren behaftete Dateien abgelegt wurden, die nun am Gateway vorbei über den PC ins Unternehmensnetz gelangen.

Schädliche Spyware

Ein weiteres Problem stellt die so genannte Ad- oder Spyware dar. Diese Programme werden meist zusammen mit kostenlos angebotenen Anwendungen, wie der Tauschbörsen-Software “Kazaa”, verteilt und sollen das Nutzerverhalten analysieren, um gezielt Werbebanner einzublenden, wenn der Anwender im Internet surft. Doch auch dieses Marketing-Instrument wird in letzter Zeit vermehrt von Viren-Programmierern missbraucht. Um den Anwendern die Schädlinge schmackhaft zu machen, betten die Programmierer diese in der Regel in kleine Tools ein, beispielsweise in Icon-Sammlungen. Es wird immer schwieriger Spyware von Viren zu unterscheiden.
So hat zum Beispiel der Virenschutzhersteller Kasparsky Lab erst jüngst vor einer neuen Variante des Browser-Hijackers “CoolWebSearch” gewarnt, der sich wie ein Virus auf der Festplatte weiter verbreitet und Dateien infiziert. Die Meta Group subsumiert Spyware unter dem Schlagwort “erweiterte Bedrohungen”. Sie sieht ihr Gefahrenpotenzial vor allem in schlecht geschriebenem Code, der die Stabilität des Rechners und damit die User-Produktivität erheblich beeinträchtigt.
Die Schwierigkeit bei Adware ist, dass sie sich durch herkömmliche Virenscanner nicht entfernen lässt. Denn viele dieser Programme richten keinen direkten Schaden an und wurden obendrein mit Zustimmung des Nutzers installiert.

Schutz am Client

Der PC – ob mobil oder stationär – kommt verstärkt als Einfallstor für allerlei Schädlinge in Betracht. Damit erhält der Schutz der Clients einen höheren Stellenwert in der Sicherheitsstrategie. Die Marktforscher und Hersteller von Sicherheitslösungen haben dazu verschiedene Schlagworte wie “Endpoint Security”, “Endpoint Admission Control” oder “Network Admission Control” kreiert, die jedoch alle dasselbe meinen: Einem potenziell von Schadprogrammen befallenen Client soll möglichst schnell der Zugriff auf wichtige Ressourcen im Netzwerk verwehrt werden, damit sich eine Infektion gar nicht erst ausbreiten kann.
Endpoint-Security-Lösungen prüfen den Zustand eines Clients, bevor dieser auf das Netzwerk zugreift – ähnlich wie bei der Benutzerauthentifizierung, bei der zunächst die Rechte eines Anwenders abgefragt werden. Entspricht ein Client den vorgegebenen Bedingungen, wird ihm der Zugriff gewährt. Weicht er jedoch von den Vorgaben ab, wird er sicherheitshalber in Quarantäne genommen. Endpoint-Security-Lösungen prüfen im einfachsten Fall die Aktualität des installierten Virenscanners und den Patch-Stand des Betriebssystems. Auch weitere Parameter wie das Vorhandensein einer Personal-Firewall lassen sich kontrollieren.
Technologisch sind hierfür laut der Meta Group drei Komponenten notwendig: Eine Instanz stellt sicher, dass nur geprüfte Clients Zugriff auf die Unternehmensressourcen bekommen. Diese Komponente kann zum Beispiel in Switches, die ankommende Daten an einzelne Ports weiterleiten, oder VPN-Routern (Virtual Private Network) integriert sein. Ein zweites Modul nimmt die Überprüfung vor und kommuniziert mit der ersten Komponente. Dieser Teil ist typischerweise als Agent direkt auf den einzelnen Clients installiert. Das dritte Glied verwaltet die entsprechenden Sicherheitsrichtlinien. An dieser zentralen Stelle ist festgelegt, welche Überprüfungen am Client vorzunehmen sind. Für unterschiedliche Anwender oder Gruppen können unterschiedliche Anforderungen hinterlegt werden.

Im Zweifelsfall in Quarantäne

Nun wäre es kaum sinnvoll, einem nicht-standardkonformen Client strikt jeglichen Kontakt zum Rest der digitalen Welt zu verbieten. Denn um zum Beispiel die Virensignaturen auf den aktuellen Stand zu bringen, ist eine Verbindung zum Update-Server im Internet oder im lokalen Netz unverzichtbar. Daher sind so genannte Quarantänebereiche ein zentrales Element der Endpoint-Security. Clients, die aus Sicherheitsgründen keinen vollständigen Netzwerkzugriff erhalten sollen, werden in ein eigenes Sub-Netz eingebunden. Aus dieser Quarantäne heraus besteht keine Verbindung zu den unternehmenskritischen Systemen. Um aber die Produktivität des betroffenen Anwenders nicht vollständig zu beschneiden, ist der Zugang zu weniger sensiblen Anwendungen, etwa den Mail-Servern, möglich. Ebenso lassen sich verschiedene Quarantänestufen definieren – je nach Gefahrenpotenzial, das von einem Client ausgeht.
Was sich vom Prinzip her recht einfach und überschaubar anhört, ist in der Praxis jedoch mit großem Aufwand verbunden. So stellt etwa die Gartner Group im Papier “Protect Your Resources With a Network Access Control Process” vom Dezember 2004 fest: “Jeder Gerätetyp benötigt einen eigenen Satz an Richtlinien zur Sicherheitskonfiguration, der den angestrebten Zustand festlegt.” Schließlich müssen an ein Notebook, das auch außerhalb der Unternehmens-IT betrieben wird, andere Maßstäbe angelegt werden als an einen PC, der die Büroräume nicht verlässt. Und auch der Zugriff eines firmenfremden Rechners, zum Beispiel das Notebook eines externen Beraters oder die Lagerstandsabfrage eines Geschäftspartners, hat einen anderen Stellenwert als der PDA des Geschäftsführers.

Manche fallen durch das Raster

Gartner fordert außerdem, dass mache Clients auch ohne erfolgreiche Überprüfung den vollen Netzzugriff erhalten müssen – weil sie entweder mit den Richtlinien nicht erfasst werden können oder weil sie unverzichtbar sind. Hier muss die Lösung zur Endpoint-Security mit den Inventory-Systemen zusammenarbeiten, mit denen die bestehenden Rechner und die eingesetzte Software verwaltet und katalogisiert werden. Denn nur wenn genau bekannt ist, welche Systeme mit welchen Konfigurationen für welche Aufgaben benötigt werden, können die Administratoren Ausnahmen definieren.
Den grundsätzlichen Bedarf an Client-basierenden Schutzmaßnahmen, die über lokale Virenscanner und Personal-Firewalls hinausgehen, hat auch die IT-Industrie erkannt. Erst kürzlich sorgte die Ankündigung von Microsoft für Schlagzeilen, in diesem Bereich eng mit Cisco zusammenzuarbeiten. Forrester Research stellt dazu in der Studie “Making Sense Of Network Quarantine” vom August 2004 fest: “Mit den jüngsten Ankündigungen von Microsoft und Cisco wurde Netzwerk-Quarantäne das heißeste Thema in der IT-Sicherheit.” Die einschlägigen Anbieter von Netzwerktechnik und Sicherheitslösungen haben mittlerweile entsprechende Produkte im Portfolio: Cisco, Check Point oder Entrasys versuchen, die Kunden von ihrer Technik zu überzeugen. Doch die Bemühungen der Marktteilnehmer sind recht neu: Cisco hat erst vor kurzem Network Admission Control (NAC) in einige Produkte integriert, Check Point vor wenigen Monaten ein Konzept unter dem Namen “Total Access Protection” ins Rennen gebracht. Daher schätzen Marktbeobachter die Produkte derzeit als unausgereift ein. “Es ist noch viel Raum für Verbesserungen in den kommenden zwölf bis 24 Monaten”, erklärt die Meta Group. “Insgesamt bestimmt gegenwärtig Cisco die Marschgeschwindigkeit”, meint ihr Analyst Carsten Casper. “Bis zum Reifen eines Standards sollten Angebote dieses Herstellers daher im Zentrum der Überlegungen stehen, zusammen mit solchen Lösungen anderer Anbieter, die den Ansatz von Cisco unterstützen.”

Jan Schulze

Jan Schulze

Leave a Reply