Netzwerksicherheit ist ein weit gefasster Begriff, der den Schutz aller Computerressourcen vor Angriffen auf die Verfügbarkeit, Vertraulichkeit und Integrität sowie vor Ausfällen beschreibt. Hierzu werden Anti-Malware-Lösungen, Firewalls, Intrusion Detection Systems, DLP-Technologie (Data Loss Prevention, Schutz vor Datenverlust) und andere Maßnahmen eingesetzt.
Die Netzwerksicherheit umfasst spezifische Sicherheitsmaßnahmen, die zu einem Netzwerk hinzugefügt werden. Diese Kontrollen haben sich im Lauf der Jahre stark weiterentwickelt. Und diese Entwicklung wird sich fortsetzen, während wir lernen, wie sich Netzwerke noch besser verteidigen lassen, und während Hacker immer neue Angriffsmöglichkeiten finden.
Um sicherzustellen, dass Sie optimale Schutzmaßnahmen ergreifen, müssen Sie zunächst die Bedrohungslage und die Schwachstellen Ihres Netzwerks kennen. Außerdem müssen Sie wissen, welche Arten von Kontrollen verfügbar sind. Nur so können Sie die richtigen Anbieter, Lösungen und Konfigurationen für Ihr Netzwerk auswählen.
Bedrohungen sind potenzielle Verstöße, die die Vertraulichkeit, Verfügbarkeit oder Integrität von Ressourcen beeinträchtigen. Hierzu zählen die Offenlegung vertraulicher Informationen, die Manipulation von Daten oder sogar die Verweigerung des Zugriffs auf einen Dienst.
Die Bedrohungslage umfasst die verfügbaren Informationen über Bedrohungen, Bedrohungsakteure und den Bedrohungsvektor, über den ein Angriff erfolgen kann. Der Bedrohungsakteur ist eine Person oder eine Gruppe von Personen, die beabsichtigt, mithilfe verfügbarer Bedrohungen Schaden anzurichten.
Im Fall eines gestohlenen Laptops ist der Bedrohungsakteur zum Beispiel der Dieb. Der Bedrohungsvektor ist der Pfad des Angriffs, z. B. eine unverschlossene Tür und ein nicht ordnungsgemäß befestigter Laptop.
Damit Akteure eine Bedrohung umsetzen können, muss es eine Schwachstelle geben, die ausgenutzt werden kann. Schwachstellen sind Lücken oder Fehler, die Bedrohungsakteure nutzen können, um Sicherheitsrichtlinien zu verletzen.
Im Laptop-Beispiel hieße das: Leichtes Design, Tragbarkeit und Komfort sind Eigenschaften, die viele Kunden anziehen. Gleichzeitig sind diese Merkmale aber auch Schwachstellen, die einen Diebstahl wahrscheinlicher machen. Sicherheitskontrollen wie Tür- oder Kabelschlösser verlangsamen den Bedrohungsakteur. Sie verringern die Wahrscheinlichkeit eines Diebstahls – und somit auch das Gesamtrisiko.
Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity and Availability, CIA) sind das Ziel sämtlicher Prozesse für Informationssicherheit. Solche Prozess umfassen viele verschiedene Strategien und Aktivitäten; jede von ihnen lässt sich in eine der drei folgenden Phasen einordnen: Prävention, Erkennung und Reaktion.
Die Säulen der Präventionsphase werden mithilfe einer gut dokumentierten Richtlinie ausgeführt. Sie lauten wie folgt:
Bei der Erkennung geht es um den Einsatz von Funktionen zur Überwachung und Protokollierung der Systemaktivität. Im Fall eines möglichen Verstoßes oder einer böswilligen Aktivität sollten die Erkennungssysteme die verantwortliche Partei oder Person benachrichtigen. Der Erkennungsprozess ist nur dann nützlich, wenn darauf eine rechtzeitige, geplante Reaktion folgt.
Die Reaktion ist eine gut geplante Behebung eines Vorfalls. Hierzu zählt z. B. das Stoppen laufender Angriffe, ein Systemupdate mit dem neuesten Patch oder eine Konfigurationsänderung der Firewall.
Es ist wichtig, grundlegende Konzepte der Netzwerksicherheit zu verstehen. Denn wenn Sie die Schwachstellen und Bedrohungsakteure nicht kennen, wissen Sie auch nicht, welche Sicherheitskontrollen Sie brauchen. Sie müssen beispielsweise wissen, dass die Identität des Anwenders vor dem Zugriff auf das System überprüft werden muss. Diese wesentliche Information ermöglicht es Ihnen, den richtigen Anbieter und die richtige Lösung zu finden.
Die Zugriffskontrolle ist eine Art der Sicherheitskontrolle, mit der fast jeder vertraut ist. Die meisten Menschen haben sich schon einmal mit einem Passwort bei einem Computer angemeldet, vielleicht sogar erst vor ein paar Minuten. Vielleicht haben Sie ein Passwort für den Zugriff auf ein Netzwerk, eine Anwendung oder eine Datei verwendet. Der Mensch hat im Durchschnitt mindestens zehn Passwörter im Kopf.
Die Implementierung der Zugriffskontrolle gliedert sich in vier Teile auf, gemäß dem IAAA-Modell: Identifizierung, Authentifizierung, Autorisierung und Accountability (zu Deutsch etwa Zurechenbarkeit). Dieser Prozess bestätigt die Identität des Anwenders durch eine eindeutige Kennung wie eine Anwender-ID, einen Benutzernamen oder eine Kontonummer.
Das System authentifiziert die Identität des Anwenders, indem es Anmeldedaten überprüft, die dem Anwender bekannt sind, z. B. Benutzername und Kennwort. Die Daten können sich auch im Besitz des Anwenders befinden, etwa in Form eines Ausweises oder eines Einmalkennworts. Nachdem das System einen Anwender verifiziert hat, erfolgt die Autorisierung, das heißt, dem Anwender wird eine Zugriffsberechtigung gewährt.
Der letzte Teil, die Zurechenbarkeit, umfasst die Verfolgung der Anwenderaktivitäten. So können Aktionen im System eindeutig den Anwendern zugeordnet werden, die sie durchgeführt haben. Passwörter sind heute nicht mehr die einzige Option. Es gibt viele Optionen, darunter Hardware oder Software zur Generierung von Einmalkennwörtern, Smart Cards und biometrische Methoden. Die Wahl der richtigen Option für jede Netzwerkressource muss sorgfältig abgewägt werden.
Unter Netzwerksegmentierung versteht man die Unterteilung eines Netzwerks in kleinere logische Teile, zwischen denen Kontrollen eingefügt werden können. Dies erhöht die Leistung und steigert die Sicherheit. Virtuelle lokale Netzwerke (Virtual Local Area Networks, VLANs) sind eine gängige Methode der Netzwerksegmentierung, die sowohl in On-Premises-Umgebungen als auch über Cloud-Infrastruktur eingesetzt wird. In Kombination mit der Cloud werden sie als Virtual Private Clouds (VPCs) bezeichnet.
Früher einmal hatten Netzwerke innerhalb eines physischen Rechenzentrums einen klar definierten Netzwerkrand, den Perimeter. An diesem Punkt stellte das Rechenzentrum eine Verbindung zur Außenwelt her. Heute sind die Grenzen schwieriger zu definieren, aber ein Großteil der damaligen Technologie ist immer noch im Einsatz.
Dazu gehören Firewalls (FW), Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS). Bei der Definition eines Perimeters muss festgelegt werden, welche Daten, Sprach- und Videoinhalte weitergeleitet werden dürfen. Sobald Sie wissen, welche Art von Datenverkehr übertragen werden soll, können Sie entsprechende Kontrollmechanismen konfigurieren.
Verschlüsselung gewährleistet die Vertraulichkeit und Integrität von Daten – im gespeicherten Zustand und bei der Übertragung. Hierzu werden die Daten mithilfe eines Schlüssels in eine nicht lesbare Form umgewandelt. Symmetrische und asymmetrische Kryptografie sind die beiden Grundtypen der Verschlüsselung.
Die alten Ägypter nutzten die symmetrische Verschlüsselung, um die Vertraulichkeit zu gewährleisten. Heute wird das gleiche Konzept verwendet, jedoch mit deutlich komplexeren Algorithmen. Wenn Sie zum Beispiel eine Banking-Sitzung schützen wollten, würden Sie sie mit symmetrischer Kryptografie verschlüsseln. Und um die Echtheit der Banking-Website zu gewährleisten, würden Sie die Schlüssel, die Sie für die symmetrische Kryptografie der aktuellen Sitzung benötigen, sicher mittels asymmetrischer Verschlüsselung austauschen.
Beim Hashing wird ein Algorithmus verwendet, um eine Zeichenkette mit fester Länge aus Zufallszeichen zu erzeugen. Hierbei werden die ursprüngliche Nachricht oder die Daten in einen kurzen Wert umgewandelt. Dieser dient als Schlüssel, um die Integrität der Nachricht oder der Daten zu gewährleisten.
Mit Hashing-Algorithmen lässt sich die Integrität einer Kommunikation überprüfen. Es ist so einfach, wie diesen Satz zu lesen. Denn: Woher wollen Sie wissen, dass dieser Satz hier auch wirklich so eingegeben wurde? Wurde er versehentlich verändert? Oder sogar böswillig?
Hash-Algorithmen werden verwendet, um zu beweisen, dass die Buchstaben oder Bits nicht versehentlich verändert wurden. Wenn der Hash durch Verschlüsselung geschützt ist, können Sie sicher sein, dass ein Hacker den Text nicht böswillig manipuliert hat. Hashing wird häufig verwendet, um Passwörter sicher zu speichern, Dateien zu überwachen und die Integrität von Kommunikation zu gewährleisten.
Menschen, Prozesse und Technologie sind die wichtigsten Elemente umfassender Netzwerksicherheit. Sobald Sie die Risiken Ihres Unternehmens identifiziert und bewertet haben, können Sie Ihren Bedarf an Netzwerksicherheit ermitteln. Dies umfasst die Art der Technologie, die Sie für die Sicherheit am Perimeter einsetzen müssen, die Reaktion auf die Warnungen, die von Firewalls generiert werden, die Erkennung und Verhinderung von Eindringungsversuchen sowie die Protokollierung. Beginnen wir mit Firewalls.
Firewalls sind eine klassische Sicherheitsmaßnahme, die seit über 25 Jahren in Netzwerken und Endsystemen eingesetzt wird. Bei einer Firewall wird der Datenverkehr in zwei Kategorien eingeteilt: legitimer Datenverkehr, der weitergeleitet wird, und unerwünschter Datenverkehr, der blockiert wird. Der Paketfilter war eine der ersten Firewalls, die unerwünschten Datenverkehr herausfilterte.
Hersteller haben viele verschiedene Möglichkeiten gefunden, wie Firewalls den Datenverkehr analysieren und automatisch kategorisieren können, und das hat zu zahlreichen verschiedenen Firewall-Varianten geführt. Dazu zählen die ersten Paketfilter, Next-Generation Firewalls und jetzt auch Cloud-Generation Firewalls.
Im Gegensatz zu Firewalls überwacht ein Intrusion Detection and Prevention System (IDPS) das Netzwerk auf böswillige Aktivitäten, meldet Sicherheitsvorfälle und potenzielle Bedrohungen im Netzwerk und reagiert darauf. Eine Firewall sucht nach erwünschtem Datenverkehr und blockiert den Rest.
Ein Intrusion Detection System (IDS) sucht nach Datenverkehr, der nicht dort sein sollte. Es konzentriert sich darauf, Datenverkehr aufzuspüren, der von einem Hacker oder einem anderen bösartigen Akteur stammt. Mit Weiterentwicklung der Technologie kam bei den Verantwortlichen irgendwann folgende Frage auf: Wenn wir wissen, dass der Datenverkehr von einem Hacker stammt, warum zeichnen wir ihn dann nur im Protokoll auf? Warum verwerfen wir diesen Datenverkehr nicht, sobald er identifiziert wurde? Aus dieser Idee entwickelten sich die Intrusion Prevention Systems (IPS).
Ein IPS ist von Natur aus aktiv. Wenn es feststellt, dass Datenverkehr von einem Hacker stammt, ergreift es Maßnahmen und zerstört diesen Datenverkehr. Das klingt nach einem guten Plan. In Wahrheit ist es jedoch ziemlich kompliziert, diese Systeme richtig einzustellen. Und wenn sie nicht richtig eingestellt sind, verwerfen sie legitimen Datenverkehr, während Hacker passieren dürfen. Daher beschränken sich die meisten Unternehmen auf IDS und verfügen zusätzlich über Protokolle, einen Security Information Event Manager (SIEM) sowie Pläne und Notfallteams.
Ein Virtual Private Network (VPN) schützt die Vertraulichkeit von Daten, während sie Ihr Netzwerk durchqueren. Den Kern eines VPN bildet Verschlüsselung. Es kommt jedoch auch eine Authentifizierung zum Einsatz. Es gibt drei Verschlüsselungsoptionen für VPNs, insbesondere für die Software, über die sich Anwender remote auf ihrem Smartphone oder Laptop beim Büro anmelden. Die drei Optionen lauten IPsec, SSL/TLS und SSH. Diese drei Verschlüsselungsprotokolle werden auch für andere Anwendungen verwendet.
IPsec ist ein Verschlüsselungsprotokoll, das in nahezu jedem Szenario eingesetzt werden kann, da es auf Schicht 3 des OSI-Modells (Open System Interconnect) der International Standards Organization (ISO) arbeitet. Schicht 3 ist die Vermittlungsschicht, die Daten, Sprache oder Videos an das richtige Ziel im Netzwerk leitet. Wenn Sie IPsec hinzufügen, werden Ihre Daten in einem verschlüsselten und vertraulichen Format an ihr Ziel geleitet. Neben VPNs wird IPsec häufig für die Verbindung von Standort zu Standort verwendet.
Transport Layer Security (TLS) ist die Weiterentwicklung von SSL. Sie hätte eigentlich SSL 4.0 geheißen, wären die Eigentumsrechte nicht 1999 von Netscape an die International Engineering Task Force (IETF) gegangen. TLS bietet eine Verschlüsselungsoption für VPNs, aber auch für jede Web-basierte Verbindung. Bei diesen Verbindungen kann es sich um eine browserbasierte Verbindung zu einer Bank, zu Amazon oder zu einer anderen Website handeln, die ein Schlosssymbol in der Ecke Ihres Browsers aufweist.
Secure Shell (SSH) wird hauptsächlich für Remote-Verbindungen von einem Computer zum anderen verwendet. Das Protokoll wird häufig von Netzwerkadministratoren eingesetzt, um für Verwaltungszwecke eine Verbindung zu Servern, Routern und Switches herzustellen. Diese Verbindungen dienen der Konfiguration und Überwachung.
Wenn Ihr Unternehmen über Inhalte, Bücher, Handbücher usw. verfügt, die Sie auf kontrollierte Weise an Ihre Kunden weitergeben möchten, ist Digital Rights Management (DRM, digitale Rechteverwaltung) die richtige Lösung. DRM-Software ist den meisten Menschen vertraut, die heute einen Computer besitzen.
Wenn Sie schon einmal ein Video auf Netflix oder Amazon Prime angesehen oder Musik auf Spotify oder iTunes gehört haben, ist Ihnen DRM bereits begegnet. Wenn Sie ein Buch auf dem Kindle lesen, können Sie dieses Buch nicht beliebig mit anderen teilen. Die DRM-Software der Kindle-Anwendung lässt dies in der Regel nicht zu, es hängt jedoch von den Buchrechten ab.
Wenn Sie befürchten, dass Anwender E-Mails mit vertraulichen Daten wie einer Kreditkartennummer an Personen außerhalb des Unternehmens senden, ist Data Loss Prevention (DLP, Schutz vor Datenverlust) die richtige Lösung.
DLP-Tools suchen nach Datenverkehr, der das Unternehmen nicht verlassen sollte (also Datenlecks), und stoppen diese Übertragung. Zumindest ist das der Gedanke dahinter. Die richtige Konfiguration von DLP ist äußerst komplex. Doch es lohnt sich, sich damit zu beschäftigen, um Ihr Unternehmen vor versehentlichen Datenlecks zu schützen.
Die wichtigste Kontrolle, die in allen Unternehmen vorhanden sein sollte, ist die Überwachung. Es ist wichtig, das System auf Angriffe, Bedrohungen, Verstöße, Hacker usw. zu untersuchen. Wenn es um Sicherheit geht, sollten Sie davon ausgehen, dass Ihr Unternehmen gehackt wird und dass Anwender Fehler machen werden. Achten Sie also auf Angriffe, und bereiten Sie sich darauf vor, auf sie zu reagieren. Eines der größten Probleme für durchschnittliche Unternehmen besteht darin, dass die Verantwortlichen oft nicht einmal wissen, dass sie angegriffen wurden.
Geräte müssen Ereignisse protokollieren, damit Sie wissen, was passiert ist und was in Ihrem Netzwerk vor sich geht. Sobald die Ereignisse aufgezeichnet wurden, sollten sie zur Analyse an einen zentralen Syslog-Server gesendet werden.
Das Analysetool wird als Security Information Event Manager (SIEM) bezeichnet. Es hat die Aufgabe, die Ereignisse zu korrelieren und nach Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) zu suchen. Liegt ein IOC vor, muss jemand das Ereignis überprüfen und entscheiden, ob Maßnahmen ergriffen werden müssen, um einen Angriff zu stoppen oder um die Systeme nach einem Angriff zu reparieren und wiederherzustellen.