3. "Firewalls" - Schutz vor Einbrüchen
Das Internet öffnet vielen Anbietern neue, gigantische und lukrative Chancen. Doch wer meint, das Internet wäre ein One-Way, der irrt. Wer etwas anbietet, der muß sich auch auf Einbrüche ins eigene Netz aus dem Internet heraus rüsten. Für dieses Problem gibt es einen fast soliden Schutz, die Abschirmung des firmeninternen Netzes durch ein Firewall-System. Die Betreiber lokaler Netzwerke, welche an das Internet angeschlossen sind, versuchen über eine derartige Schutzmaßnahme den direkten Zugriff auf ihre Daten zu schützen. Dies kann wirksam simple kriminelle Übergriffe oder wirtschaftliche Spionage verhindern. Die Firewall arbeitet dabei wie ein Tor, das alle Zugreifer auf das Netz passieren. Der eigentliche Schutz besteht oft nicht nur aus einem vorgeschalteten Torwächter-Computer, sondern aus einer ganzen Kaskade von Systemen, deren Tätigkeit in Log-Dateien festgehalten wird. Auf diese Weise kann der Betreiber des Netzes nicht nur Einbrüche verhindern, sondern auch den simplen Knackversuch ausmachen. Die Firewall hat in den meisten Fällen ein klares Konzept. Aktionen im zu schützenden Netz können sie aus dem Internet nicht selbst starten, sondern sie melden sich zuerst beim Server an. Dieser entscheidet dann nach einem Anwenderprofil, was man im Netz darf und was nicht. Doch normalerweise kommt man nicht direkt an den Server des Netzes heran, denn die Firewall führt alle Aktionen stellvertretend aus. Ein paar einfache Überlegungen sollen aufzeigen, ob man selbst zu den Anwendern einer mitunter recht teuren Schutzmethode gehören sollte. Zunächst sollte man überlegen, was es überhaupt zu sichern gibt.
Daten:
Daten benötigen Vertraulichkeit. Sie sollen vor anderen Leuten geheimgehalten werden. Außerdem geht es um Integrität. Keiner außer einem selbst, oder Leute die damit beauftragt werden, sollen die Daten ändern. Und Daten sollen verfügbar sein, denn die Daten müssen zu jedem Zeitpunkt abrufbar sein.
Ressourcen:
In einer Computer-Anlage steckt viel Geld und noch mehr Zeit. Schon allein deshalb liegt es im eigenen Interesse, sich die Gewalt darüber nicht aus der Hand nehmen zu lassen.
Name:
Wenn jemand mit einem anderen Namen im Internet aufkreuzt und an prominenter Stelle Nazipropaganda, Pornos oder Falschmeldungen verbreitet, kommt man nicht nur wegen einer im Maßstab des Internets beinahe handlungsunfähigen Justiz in Bedrängnis, sondern man verliert möglicherweise wesentliche Kontakte und wichtigen Einfluß.
Wer speziell schaden will oder einfach nur aus Spaß nach Lücken sucht, der stellt sich meistens, wie im folgenden Beispiel dargestellt, so an. In aller Regel gilt der erste Versuch dem Einbruch in das Netz, um die dortigen Ressourcen praktisch nutzen zu können. Die Wege sind vielfältig. Meistens geschieht dies über direkte Zugänge mit gefälschten Paßwörtern, bis zum Kontakt ans Netz über Mitarbeiter. Solche Attacken finden mitunter über die Accounts von Angestellten statt oder durch das einfache Aufbrechen der Zugangsdaten in zehntausenden Versuchen, die ein externer Computer automatisch ausführt. Um einen Einbruch zu verhindern, kann man das System so abschotten, daß die Firewall die Möglichkeiten, über ermittelte Paßwörter einzudringen, extrem einengt. Zu diesem Zweck stattet man den Wächter mit Einwegkennwörtern aus, die nur mit zwei verschiedenen Schlüsseln aufgebaut werden können und nach einem erfolgreichen Zugang ihre Gültigkeit verlieren. Wer ein Netz angreift, will es meistens vorübergehend stillegen, um größtmöglichen Schaden anzurichten. Oft geht ein solcher Angriff nicht direkt in Richtung des Netzwerkes, sondern orientiert sich an Internet-Diensten, die mit dem Netz zusammenarbeiten. Es geht ganz einfach darum, so viele Datenübertragungen wie möglich mitzuschneiden und auf diese Weise auswertbares Material zu sammeln. Solche Verfahren laufen zum Teil automatisiert über Paket-Sniffler, die einen Datenstrom von TCP/IP-Paketen analysieren und brauchbare Daten herausfiltern. Mit diesen Selektions-Tools lassen sich auch sehr leicht Kreditkarteninformationen herausfiltern. Eine Firewall muß man sich als eine Art Engpaß vorstellen. Der ge- samte ein- und ausgehende Verkehr muß diesen engen Kontrollpunkt passieren. Die Firewall gibt daher enorme Gestaltungsmöglichkeiten bezüglich der Sicherheit im Netz. Die Kosten einer Firewall können in die Zehntausende gehen, je nach Ausbaustufe. Denoch stellen die meisten Organisationen fest, daß die Bündelung dieser Sicherheitsstufen billiger ausfallen als viele andere Sicherheitsmaßnahmen. Viele der Dienste, die man als Anwender vom Internet verlangt, sind von Haus aus unsicher. Die Firewall fungiert daher als eine Art Verkehrspolizei, welche die Sicherheitspolitik des Standorts vom lokalen Netzwerk überprüft. Eine Firewall kann darüber hinaus die Aufgabe übernehmen, komplizierte Richtlinien durchzusetzen. Zum Beispiel dürfen nur bestimmte Systeme inerhalb der Firewall Dateien vom und zum Internet übertragen. Da komplett aller Datenverkehr die Firewall durchquert, eignet sich dieser Wächter prächtig zum Aufzeichnen von Informationen über Gebrauch und Mißbrauch von Netz und Computern. Man sollte aber nie vergessen, daß eine Firewall auch versagen kann. Keine Firewall kann verhindern, daß ein Benutzer vertrauliche Informationen über die Netzverbindung aus einer Organisation herausschmuggelt. Ein Anwender kann also dadurch den Schutz von innen lahmlegen. Die Firewall ist aber auch anders leicht zu umgehen. Sie kann den über ihre Hardware flutenden Verkehr kontrollieren. Im Umkehrschluß heißt das natürlich, daß jemand mit einer simplen ISDN-Karte oder einem Modem und einer passenden Schnittstelle einen Ausgang aus dem Netz installiert, den die Firewall nicht kontrolliert. Das beste Beispiel hierfür ist das DFÜ-Netzwerk in Windows NT. Wer einen solchen Zugang schafft, kann die Firewall in kürzester Zeit egalisieren. Ähnlich wie Virenkiller muß eine Firewall regelmäßig aufwendig gewartet werden, da die Intelligenz von potentiellen Einbrechern im Netz ständig zunimmt. Harte Systeme akzeptieren nur Dienste aus dem Internet, welche sie kennen und steuern können. Doch die Szene unterliegt einem ständigen Wandel und geht mit den Software-Produkten von Microsoft, wie zum Beispiel Office 97 und dem Internet Explorer 4.0, auf eine extreme Ausbreitung vom Internet zu. Die meisten Firewalls untersuchen zwar die gesamten eingehenden Daten, doch dabei werden nur Quell-, Ziel- und Portadressen geprüft, nicht aber der Inhalt der Daten. Selbst mit der fortgeschrittensten Paketfilterung und Proxy-Software ist ein Virenschutz durch die Firewall praktisch nicht machbar. Die Viren entfalten sich meist nach dem Auspacken oder Decodieren empfangener Dateien. Firewalls werden im Internet zur Genüge angeboten. Es reicht, wenn man sich mit diesem Stichwort an eine der Suchmaschinen wendet. Die Zahl dieser Produkte und deren Funktionsumfang wachsen mit einer erstaunlichen Geschwindigkeit.