Das richtige Maß entscheidet
Muss denn wirklich alles sicher sein?
Perfektionisten unter den Administratoren mögen es kaum glauben, aber auch beim Thema Informationssicherheit gibt es ein "Zuviel". Wer jede Sicherheitslücke im eigenen Netzwerk ohne Rücksicht auf ihre Bedeutung für die eigenen Ressourcen mit gleicher Hingabe eliminiert, wird irgendwann genau so an der Uferlosigkeit seines Unterfangens verzweifeln wie jemand, der mangels tieferer Einsichten in die eigenen Geschäftsprozesse seine gesamte Infrastruktur zur Hochsicherheitszone erklärt. Mit maßvollem Vorgehen erreicht man mehr. Manchmal ist es nicht einmal von Vorteil, einen bereits laufenden Angriff radikal zu unterbrechen.
Der letzte Satz des Vorspanns widerspricht auf dem ersten Blick allen Regeln über das richtige
Verhalten eines Admins. "Stecker ziehen" scheint im Zweifelsfall immer noch die beste Methode zu
sein, Gefahren abzuwenden. Damit nicht zu viele Systeme dabei vom Netz gehen müssen, entwickeln die
Anbieter und Netzwerkspezialisten inzwischen immer mehr Modelle, mit denen sich Netzsegmente
isolieren lassen – teils mit speziellen Lösungen, teils unter Ausnutzung von IPv6.
HP hat mit der Idee des "Virus-Throtteling" bereits gezeigt, dass man gerade bei Trojaner- und
Wurm-Angriffen noch ein paar Optionen mehr zur Verfügung hat: Die Kommunikationskanäle mancher
Schädlinge lassen sich gezielt so in der Bandbreite beschneiden, dass der Übeltäter sein Ziel nicht
erreicht und dass zugleich die angegriffenen Server ihren Betrieb nicht ganz einstellen müssen.
Eine besonders instruktive Geschichte über die Vorteile der wohldosierten Reaktion auf eine
Attacke weiß Dominik Hunziker zu berichten, Gründer des ISP-Unternehmens E-Systems in der Schweiz.
Während einer nächtlichen Attacke gegen die Computersysteme seines Unternehmens verzeichnete
zunächst die dort installierte Bandbreitenmanagementlösung von Allot Communications ein
ungewöhnliches Maß an Traffic und alarmierte den Administrator. Gleichzeitig hielt das System die
IP-Adresse und Port-Nummern fest, die für den Angriff verantwortlich waren, und das System
reduzierte die Bandbreite für den Kommunikationsfluss auf diesen Kanälen so weit, dass wichtige
Anwendungen und Dienstleitungen nicht beeinträchtigt wurden. Weil die Attacke aber nicht völlig
gestoppt wurde, konnten die Systemverwalter das Geschehen etwas später ohne Zeitdruck analysieren
und einen Computer in Texas als Ausgangspunkt ermitteln. Dieses System wiederum war ohne Wissen des
Besitzers Opfer des Slammer-Virus geworden – der dort informierte Systemverwalter konnte seinen
Rechner schließlich säubern und so auch andere Attacken stoppen, die von seinem Computer ausgingen.
Mit jeder anderen Reaktion hätte E-Systems Chancen vertan, ein Risiko für die eigene und andere
Infrastrukturen gründlich zu untersuchen und auszuschalten.
Offenbar lohnt es sich also, bestimmte Gefahren nach dem Muster des menschlichen Immunsystems
nicht von vornherein ausschließen zu wollen, sondern Kompetenz für den Umgang mit Risiken
aufzubauen. Der Schwerpunkt in diesem Heft stellt deshalb präventive Maßnahmen in den Vordergrund
und befasst sich mit Modellen zur Dosierung und Priorisierung von Sicherheitsmaßnahmen. Ein Beitrag
greift das Thema "Hochsicherheit" auf, zwei andere befassen sich mit sicherer Authentifizierung und
Wireless-Anmeldung, und Sicherheitsmanagement als zentraler Steuerungsansatz steht ebenfalls dem
Plan.
Lesen Sie mehr zum Thema
