Internet Sicherheitsrichtlinien
Copyright (C) 04/1996 by Howard FuhsInhalt:
Definition eines Schutzmechanismus
Grundlegender Sicherheitsstandpunkt
Absicherung erlaubter Internet-Dienste
Entwicklung einer Sicherheitsrichtlinie
Vergabe von Verantwortlichkeiten
Einleitung
Hervorgerufen durch die Modeerscheinung Internet wird in vielen Unternehmen darüber diskutiert, ob es aus Gründen der Wettbewerbsfähigkeit nicht ratsam ist, das unternehmensinterne Netzwerk mit dem Internet zu verbinden um an den Segnungen des weltumspannenden Datennetzes zu partizipieren. So groß die Vorteile für ein Unternehmen auch sein mögen, es entstehen mit dem Anschluß an das Internet auch zwangsläufig Sicherheitsprobleme, die für ein Unternehmen mitunter existenzgefährdend sein können.
Bei der Entwicklung des militärischen ARPA-Netzes (aus dem das heutige Internet hervorgegangen ist) lag das Hauptaugenmerk auf Ausfallsicherheit unter allen Umständen und nicht auf dem Sicherheitsaspekt. Dies stellt Unternehmen heute vor das Problem, daß das unternehmensinterne Computernetzwerk (wie sicher dies auch immer sein mag) an ein Netzwerk gekoppelt wird welches als unsicher und nicht vertrauenswürdig betrachtet werden muß. Hinzu kommt, das es heute praktisch jeder Person mit Computer, Modem und Telefonanschluß möglich ist, sich an das Internet anzuschließen und es für seine Zwecke zu ge- oder zu mißbrauchen. Es ist also ratsam entsprechende Sicherheitsvorkehrungen zu treffen.
Wird im Zusammenhang mit Internet und internen Netzwerken über Sicherheitsvorkehrungen gesprochen, so fällt automatisch auch das Zauberwort Firewall (siehe auch: Internet Sicherheit und Firewalls). Basis einer solchen Firewall sind nicht nur die Hard- und Softwarekomponenten sondern vor allen Dingen eine unternehmensweite Datensicherheitsrichtlinie die als Grundlage für die praktische Installation einer Firewall dient. Das Entstehen solcher Datensicherheitsrichtlinien soll im folgenden näher beschrieben werden.
Definition eines Schutzmechanismus
Um einen Schutzmechanismus in eine Datensicherheitsrichtlinie einbinden zu können muß definiert werden, welche Aufgaben dieser Schutzmechanismus zu verrichten hat. So besteht eine Firewall aus einer Gruppe von Komponenten und Systemen die zwischen zwei Netzwerken plaziert sind und die folgenden Aufgaben wahrnehmen:
- Der Schutzmechanismus selbst ist nicht angreifbar oder resistent gegen Angriffe.
- Der gesamte Netzwerkverkehr vom inneren Netzwerk zum äußeren Netzwerk und umgekehrt muß durch den Schutzmechanismus durch.
- Nur der von der Datensicherheitsrichtlinie als legal und zulässig definierte Netzwerkverkehr darf den Schutzmechanismus passieren.
- Versuche gegen die Datensicherheitsrichtlinie zu verstoßen müssen sofort weitergemeldet werden.
Grundlegender Sicherheitsstandpunkt
Mit der Einführung einer Datensicherheitsrichtlinie muß auch der grundlegende Sicherheiststandpunkt für ein Unternehmen definiert werden.
Es ist alles erlaubt was nicht ausdrücklich verboten ist.
Dieser sehr liberale Standpunkt wird von den meisten Anwendern gewünscht, ist aber sicherheitstechnisch betrachtet äußerst gefährlich und im täglichen Umgang mit dem Internet nicht empfehlenswert. Dieser Standpunkt macht eine wirksame Kontrolle des Datenverkehrs unmöglich und öffnet dem Mißbrauch Tür und Tor.
Es ist alles verboten was nicht ausdrücklich erlaubt ist.
So hart dieser Standpunkt auch klingen mag, nur auf dieser Basis ist es überhaupt möglich eine gewisse Sicherheit zwischen dem inneren und dem äußeren Netzwerk implemetieren zu können. Dies vor allen Dingen in Hinsicht auf noch nicht entdeckte Sicherheitslücken und Designschwächen in verwendeten Netzwertechniken oder zukünftig angebotenen Netzwerkdiensten.
Vergabe von Rechten
Ein fundamentaler Sicherheitsaspekt ist die Vergabe von Zugriffsrechten. Hier sollten nur die wirklich benötigten Zugriffsrechte vergeben werden, damit der Anwender seine Aufgabe im Unternehmen ohne große Behinderung durchführen kann. Dabei sollte auch berücksichtigt werden, ob ein Anwender im Rahmen seiner Aufgabe überhaupt einen Zugang zum Internet benötigt. So hat sich in Unternehmen gezeigt, daß viele Mitarbeiter mit freiem Zugang zum Internet immer mehr Zeit mit unproduktiven und nicht zu ihrer Aufgabe gehörenden Arbeiten verbrachten. Darunter fallen vor allen Dingen das Lesen und Beantworten von privater E-Mail sowie das Lesen von Usenet-Gruppen. Weiterhin muß bedacht werden, das solche Aktivitäten nicht nur Zeit sondern auch Resourcen und Speicherplatz auf den Unternehmensrechnern kosten.
Zugriff auf Internet Services
Das Internet bietet viele verschiedene Nutzungsmöglichkeiten in Form von Datenservices. Die bekanntesten dürften wohl E-Mail, FTP (File Transfer Protocol) und WWW (World Wide Web) sein. Alle diese Internet Dienste (und auch die an dieser Stelle nicht erwähnten) bergen gewisse Sicherheitsrisiken, Designschwächen und Mißbrauchsmöglichkeiten von innen (Angehörige des Unternehmens) wie auch von außen (böse Hacker).
Um ein gewisses Maß an Sicherheit zu gewährleisten muß in der Datensicherheitsrichtlinie definiert werden, welche dieser Internet-Dienste dem Anwender überhaupt zur Verfügung gestellt werden sollen. Diese Entscheidung dient letztendlich als Grundlage für die Installation einer Firewall. Alle erlaubten Internet-Dienste dürfen die Firewall nach einer Kontrolle auf ihre Zulässigkeit passieren, alle Internet-Dienste die in der Datensicherheitsrichtlinie nicht zugelassen sind werden von der Firewall unterbunden.
Absicherung erlaubter Internet-Dienste
Die von der Datensicherheitsrichtlinie zugelassenen Internet Services sind nicht automatisch als sicherer einzustufen als die nicht zugelassenen Dienste. Vielmehr muß bei der Zulassung von Internet-Diensten abgewägt werden welchen Nutzen der Dienst bringt, welche Gefahren er birgt und mit welchem personellen und finanziellen Aufwand der Dienst sicherer gestaltet werden kann. So ist es z.B. unumgänglich sich über die bekannten Sicherheitslücken der einzelnen Dienste umfassend zu informieren und dieses Wissen sowohl in die Entscheidungsfindung als auch in die praktische Einführung von Sicherheitsmaßnahmen einfließen zu lassen. Empfehlenswert sind hier die CERT Advisories des Computer Emergency Response Team der Carnegie Mellon Universität (FTP://cert.org/pub/cert_advisories).
Entwicklung einer Sicherheitsrichtlinie
Bei der Entwicklung von Sicherheitsrichtlinien müssen verschiedene Interessen berücksichtigt werden um der Zielsetzung gerecht zu werden. Die besten Sicherheitsrichtlinien in einem Unternehmen helfen nichts, wenn der Anwender sie bei seiner alltäglichen Arbeit außer acht läßt. So sollte eine Sicherheitsrichtline leicht verständlich geschrieben sein und auch kurz erklären warum jede einzelne Maßnahme durchgeführt werden soll. Nur wenn eine Sicherheitsrichtlinie für den Endanwender verständlich ist wird er sie auch befolgen.
Finanzielle Interessen sind ebenfalls zu berücksichtigen. So muß die Sicherheit wie sie in der Richtlinie beschrieben wird in einem wirtschaftlichen Rahmen bewegen der für das Unternehmen und die zu schützenden Daten vertretbar ist. Wird zuviel Sicherheit gefordert kann auch die tägliche Arbeit darunter leiden, weil Systeme zu kompliziert in der Handhabung sind und damit nicht mehr bedarfsgerecht eingesetzt werden können.
Die Entwicklung einer Sicherheitsrichtlinie sollte durch ein Gremium geschehen in dem das Unternehmensmanagement, die Systemadministratoren und die Anwender vertreten sind. Nur durch ein solches Teamwork kann sichergestellt werden, das die Sicherheitsrichtlinie allen Ansprüchen genügt, auch wenn der eine oder andere Kompromisse eingehen muß.
Bei der Entwicklung einer Sicherheitsrichtlinie sollten die folgenden Punkte Berücksichtigung finden:
- Wer erhält eine Zugangsberechtigung zum Firmennetzwerk.
- Wie wird mit Gastzugangsberechtigungen verfahren.
- Welche Art von Informationen gelten als vertraulich innerhalb des Unternehmens.
- Wie werden diese Informationen geschützt und dürfen diese Informationen per E-Mail außerhalb des Unternehmens übertragen werden.
- Wie werden personenbezogene Daten geschützt.
- Wie abgesichert müssen Computer sein bevor sie Zugang zum Firmennetzwerk/Internet erhalten.
- Welche Vorkehrungen müssen gegen Computerviren getroffen werden.
- Wer darf sich von außen in das Firmennetzwerk einloggen.
- Unter welchen Umständen und mit welchen Vorkehrungen darf sich in das Firmennetzwerk eingeloggt werden.
- Ab wann müssen Informationen verschlüsselt übertragen werden und welche Verschlüsselung ist zu verwenden.
- Welche Sicherheitsvorschriften in Bezug auf die Geheimhaltung sind zu berücksichtigen.
- Wie müssen Computer von Telearbeitsplätze abgesichert sein.
- Welche zusätzlichen Sicherheitsrichtlinien müssen bei Computern beachtet werden, die bei Mitarbeitern zuhause stehen oder mit Außendienstmitarbeitern auf Reise gehen.
- Wie kann Mitarbeitern die außer Haus arbeiten ein sicherer Zugang zum Firmennetzwerk gewährt werden.
Vergabe von Verantwortlichkeiten
Es müssen Verantwortlichkeiten klar definiert und an Personen/Abteilungen vergeben werden. Dadurch erhält der Endanwender feste Ansprechpartner im Falle von Problemen oder Unklarheiten. Auch wird damit einer gewissen Verantwortungsneutralität entgegengewirkt die in der Datensicherheit zu unliebsamen Folgen führen kann (Aber ich dachte doch Du machst die Backups!).
Zu diesen Verantwortlichkeiten zählen:
- Wer führt die Anwenderausbildung durch?
Mit der Aktzeptanz bei den Anwendern steht und fällt die Sicherheitsrichtlinie.
- Wer führt den Anwendersupport durch?
Unverzichtbar für die alltäglichen Probleme.
- Wer installiert neue Updates und Verbesserungen im Sicherheitsmechanismus?
Je nach Qualifizierung des Personals kann die Installation von Beschäftigten des Unternehmens durchgeführt werden. Steht kein qualifiziertes Personal zur Verfügung sollte ein externes Unternehmen beauftragt werden.
- Wer ist für die Wartung der Sicherheitsmechanismen zuständig (Backups)?
Auch hier gilt die Frage nach der Qualifizierung mit den entsprechenden Konsequenzen.
- Wer kontrolliert die Sicherheitsmechanismen auf Funktion?
Damit eine unabhängige Revision sichergestellt ist empfiehlt es sich dafür ein Fachunternehmen zu rate zu ziehen.
- Wer ist der Ansprechpartner für Notfälle?
Gerade bei Notfällen ist ein schnelles Eingreifen wichtig um den Schaden zu begrenzen. Die Person sollte über die entsprechenden Maßnahmenkataloge für Notfälle verfügen und eventuell auch berechtigt sein Hilfe von externen Fachunternehmen anzufordern.
Flexibilität
Die Sicherheitsrichtlinie muß nicht nur flexibel genug sein um während der alltäglichen Arbeit zu bestehen, sondern auch weil sich das Internet ständig verändert, neue Dienste anbietet und damit auch neue Sicherheitsrisiken birgt. So muß eine Sicherheitsrichtlinie regelmäßig auf ihre Alltagstauglichkeit und Sicherheit hin überprüft werden. Weiterhin ist zu kontrollieren in wieweit neue Dienste mit der Sicherheitsrichtlinie kollidieren, zur Nutzung eventuell zugelassen werden können oder auch sicherer gemacht werden können.
Definition von Konsequenzen
In den Sicherheitsvorschriften sollten ebenfalls Konsequenzen definiert werden wenn gegen die Sicherheitsvorschriften verstoßen wird. Diese Konsequenzen sollten allerdings nicht als Pflicht angesehen werden sondern eine Kann-Verordnung darstellen, die nach Abwägung des jeweiligen Einzelfalles zum tragen kommt und im Ermessensspielraum des Verantwortlichen liegt. Von Pflichtstrafen ist in der Praxis abzuraten, da diese im Sicherheitsbereich eher kontraproduktiv sind. So ist es sehr wahrscheinlich, daß Mitarbeiter über Sicherheitsprobleme, Verstöße und Vorfälle aus Angst um den Arbeitsplatz schweigen und dadurch die schnelle Aufklärung eines Vorfalles oder die Behebung eines Sicherheitsrisikos verhindert wird. Schlimmer noch, kann der eine oder andere Mitarbeiter versucht sein, den Schaden auf eigene Faust zu beheben und dabei den Schaden noch vergrößern. Dies geschieht oftmals bei Computerviren, wenn der Anwender aus Angst heraus versucht die Festplatte zu formatieren um den Virus zu enfernen. Gegenüber den Verantwortlichen wird dann behauptet es handele sich um einen Defekt am Computer.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 4/1996 by Howard Fuhs