"Auf der it-sa wird darüber gesprochen, die Nachfragen kommen schon speziell, dass die Leute fragen: Worauf muss ich achten, was für Produkte soll ich einsetzen? Oder auch die Frage kommt: Bringt das überhaupt alles noch etwas, was wir hier machen, also braucht es überhaupt noch eine IT-Security? Haben wir überhaupt noch eine Chance dagegen? Ich sage, ja klar haben wir eine Chance gegen die Cyberkriminellen, gegen das ganze Grundrauschen an Gefahren. Klar, kann sich jeder schützen. Wenn eine Regierung es auf Sie abgesehen hat, dann können Sie sich auch drei Firewalls davor stellen, dann wird das auch nicht helfen."
Manfred Kloiber: So urteilt Rüdiger Trost vom Antivirenhersteller F-Secure auf der IT-Sicherheitsmesse it-sa, die in dieser Woche in Nürnberg stattgefunden hat. Die Messe mit ihren drei zeitgleich stattfindenden Konferenzforen hat von der NSA-Affäre zweifellos profitieren können. Gleichzeitig klingt ja das, was Rüdiger Trost da sagt, ein wenig resignativ. Wie passt das denn zusammen, Peter Welchering?
Peter Welchering: Hundertprozentige Sicherheit kann es eben nicht geben. Darauf haben viele Sicherheitsexperten, wie eben auch Rüdiger Trost, hingewiesen. Daraus sollte man aber keine Resignation ableiten. Auf der it-sa hat eher die realistische Einschätzung der Gefahren überwogen. Und die heißt: Wir müssen im Kampf gegen Cyberkriminelle, gegen die Organisierte Kriminalität technisch besser werden. Und in Sachen Spionage und Überwachung durch Geheimdienste reicht das eben nicht aus, weil dort die Ressourcen um vieles höher sind als in der Organisierten Kriminalität. Deshalb muss dieses Problem politisch gelöst werden. Die politische Lösung muss die technische unterstützen.
Kloiber: Und eine technische Lösung nicht nur bei der Abwehr von Spionage und Überwachung durch die Geheimdienste ist nach wie vor das virtuelle private Netzwerk. Das ist im Zuge der NSA-Affäre ein wenig in Verruf gekommen, weil der Whistleblower Edward Snowden enthüllt hat, wie die National Security Agency virtuelle private Netzwerke aufspürt und überwacht. Doch auch gegen die aufwendigen Spähattacken eines Geheimdienstes kann man sich technisch schützen. Das demonstrierten auf der it-sa gleich mehrere Entwickler, Hersteller von Sicherheitshardware und Netzanbieter.
Beginn Beitrag:
Selbst erfahrene Sicherheitsexperten waren erschüttert: Die NSA spüre ganz gezielt VPN, Virtuelle Private Netzwerke auf und lese die dort transportierten Daten mit. So legten es die Dokumente nahe, die Edward Snowden diesen Sommer präsentierte. Mit einer ziemlich raffinierten Mustererkennung und einer darauf aufsetzenden Verhaltensanalyse finden die Geheimdienstler die Eintritts- und Austrittsstellen des sogenannten Tunnels einer VPN-Verbindung. Deshalb müssen Verschlüsselung und Tunneln der Daten ohne Unterbrechung vom Absenderrechner bis zum Empfängerrechner durchgehalten werden. Jörg Hirschmann, Chefentwickler der NCP Engineering GmbH, ist sogar noch einen Schritt weitergegangen. Er demonstriert eine Sicherheitshardware, die nur für das virtuelle private Netzwerk zuständig ist.
"Sicherheit kann ich auf dem Client-System hinsichtlich der Kommunikation nur dann gewährleisten, wenn eine Unumgehbarkeit des Tunnels besteht, das heißt, ich separiere das Betriebssystem von der eigentlichen Kommunikation. Ich bin da natürlich an einer Stelle, wo ich ein zusätzliches Stück Hardware benötige oder eine anders geartete Hardware. Wir haben uns für ein zusätzliches Stück Hardware entschieden, die diesen autarken Tunnel herstellt. Auf meinem Windows-System habe ich keine andere Kommunikationsmöglichkeit. Das muss ausgeschaltet werden. Und damit kann ich natürlich sicherstellen, dass von den Clientsystemen keine Möglichkeit besteht, irgendetwas seitlich noch zu übertragen außerhalb des Tunnels."
Für das Verschlüsseln der Daten und für das Tunneln der Datenpäckchen ist eine VPN-Box zuständig, die mit einem gehärteten Linux-System arbeitet. Zusätzliche Einbruchmeldesysteme und Sicherheitssoftware auf der Basis von Verhaltensanalysen sollen Schadsoftware erst gar nicht auf die Box gelangen lassen. Damit kann ein Großteil der üblichen geheimdienstlichen Netzwerkangriffe von vornherein abgewehrt und ausgeschlossen werden.
"Es muss eben darauf aufgebaut sein, dass nur diese Hardware die Kommunikation aufbaut zu meiner Firmenzentrale. Ich habe keinen Weg an dieser Lösung vorbei. Es gibt auch ansonsten keine Schnittstellen, um auf die Box zuzugreifen. Also das ist jetzt nicht so, dass wir einen Netzwerk-Router haben und Sie können hier jetzt Rechner anschließen. Sie haben gebunden zu ihrer Box ihren Rechner, und der Rechner kann dann nur noch über diese Box kommunizieren und der Rechner betreibt kein eigenes WLAN oder kein eigenes LAN. Das ist an der Stelle eben nicht zugelassen, eben nicht erlaubt. Ich kann damit gewährleisten, die gesamte Kommunikation findet rein über diese Box statt, mir kann keiner einen Trojaner auf diese Box unterjubeln, irgendwelche Seitenkanalattacken aus dem System heraus kann es nicht geben an der Stelle."
Selbst Internetnutzer, die ein privates virtuelles Netzwerk erst auf dem Server ihres Netzproviders aufbauen, also kein Ende-zu-Ende-Tunneling haben, können besser vor Spähattacken geschützt werden. Mit der sogenannten Multi-Link-Technologie werden unterschiedliche Kommunikationsprotokolle und Verschlüsselungsarten zu einem virtuellen privaten Netzwerk zusammengeschaltet. Thorsten Jüngling vom Sicherheitsanbieter Stonesoft erläutert das so:
"Sie bauen natürlich einen HTTPS-Tunnel auf, vom Klienten zum Server. Wenn wir den zum Beispiel inspizieren sollen, überwachen sollen, dann müssen wir diese Verbindung aufbrechen, reinschauen und wieder zusammenbauen und damit natürlich geschützten Transportweg geben. Beim Klienten, dort wird schon verschlüsselt, bevor das in den Transportweg geht. Multi-Link kann auch natürlich verschiedene Zugangswege miteinander zu einem virtuellen Tunnel verbinden."
Und dieser virtuelle Tunnel kann bei Bedarf auf dem gesamten Transportweg der Daten überwacht werden. Datenpäckchen mit Schadsoftware fallen dann sofort auf. Genauso wie unbekannte Analysesoftware, die nach Eintritts- und Austrittsstellen von Datentunneln sucht. Privatanwender wie Unternehmen fordern eine genaue Einschätzung, wie viel Sicherheit sie für welche Daten benötigen. Erst danach können abgestufte Sicherheitskonzepte greifen, die die gewünschte Privatsphäre der Anwender und Mitarbeiter berücksichtigen und dennoch den Geheimdiensten bei ihren Spähattacken das Leben schwer machen.
Zum Themenportal "Risiko Internet"
Manfred Kloiber: So urteilt Rüdiger Trost vom Antivirenhersteller F-Secure auf der IT-Sicherheitsmesse it-sa, die in dieser Woche in Nürnberg stattgefunden hat. Die Messe mit ihren drei zeitgleich stattfindenden Konferenzforen hat von der NSA-Affäre zweifellos profitieren können. Gleichzeitig klingt ja das, was Rüdiger Trost da sagt, ein wenig resignativ. Wie passt das denn zusammen, Peter Welchering?
Peter Welchering: Hundertprozentige Sicherheit kann es eben nicht geben. Darauf haben viele Sicherheitsexperten, wie eben auch Rüdiger Trost, hingewiesen. Daraus sollte man aber keine Resignation ableiten. Auf der it-sa hat eher die realistische Einschätzung der Gefahren überwogen. Und die heißt: Wir müssen im Kampf gegen Cyberkriminelle, gegen die Organisierte Kriminalität technisch besser werden. Und in Sachen Spionage und Überwachung durch Geheimdienste reicht das eben nicht aus, weil dort die Ressourcen um vieles höher sind als in der Organisierten Kriminalität. Deshalb muss dieses Problem politisch gelöst werden. Die politische Lösung muss die technische unterstützen.
Kloiber: Und eine technische Lösung nicht nur bei der Abwehr von Spionage und Überwachung durch die Geheimdienste ist nach wie vor das virtuelle private Netzwerk. Das ist im Zuge der NSA-Affäre ein wenig in Verruf gekommen, weil der Whistleblower Edward Snowden enthüllt hat, wie die National Security Agency virtuelle private Netzwerke aufspürt und überwacht. Doch auch gegen die aufwendigen Spähattacken eines Geheimdienstes kann man sich technisch schützen. Das demonstrierten auf der it-sa gleich mehrere Entwickler, Hersteller von Sicherheitshardware und Netzanbieter.
Beginn Beitrag:
Selbst erfahrene Sicherheitsexperten waren erschüttert: Die NSA spüre ganz gezielt VPN, Virtuelle Private Netzwerke auf und lese die dort transportierten Daten mit. So legten es die Dokumente nahe, die Edward Snowden diesen Sommer präsentierte. Mit einer ziemlich raffinierten Mustererkennung und einer darauf aufsetzenden Verhaltensanalyse finden die Geheimdienstler die Eintritts- und Austrittsstellen des sogenannten Tunnels einer VPN-Verbindung. Deshalb müssen Verschlüsselung und Tunneln der Daten ohne Unterbrechung vom Absenderrechner bis zum Empfängerrechner durchgehalten werden. Jörg Hirschmann, Chefentwickler der NCP Engineering GmbH, ist sogar noch einen Schritt weitergegangen. Er demonstriert eine Sicherheitshardware, die nur für das virtuelle private Netzwerk zuständig ist.
"Sicherheit kann ich auf dem Client-System hinsichtlich der Kommunikation nur dann gewährleisten, wenn eine Unumgehbarkeit des Tunnels besteht, das heißt, ich separiere das Betriebssystem von der eigentlichen Kommunikation. Ich bin da natürlich an einer Stelle, wo ich ein zusätzliches Stück Hardware benötige oder eine anders geartete Hardware. Wir haben uns für ein zusätzliches Stück Hardware entschieden, die diesen autarken Tunnel herstellt. Auf meinem Windows-System habe ich keine andere Kommunikationsmöglichkeit. Das muss ausgeschaltet werden. Und damit kann ich natürlich sicherstellen, dass von den Clientsystemen keine Möglichkeit besteht, irgendetwas seitlich noch zu übertragen außerhalb des Tunnels."
Für das Verschlüsseln der Daten und für das Tunneln der Datenpäckchen ist eine VPN-Box zuständig, die mit einem gehärteten Linux-System arbeitet. Zusätzliche Einbruchmeldesysteme und Sicherheitssoftware auf der Basis von Verhaltensanalysen sollen Schadsoftware erst gar nicht auf die Box gelangen lassen. Damit kann ein Großteil der üblichen geheimdienstlichen Netzwerkangriffe von vornherein abgewehrt und ausgeschlossen werden.
"Es muss eben darauf aufgebaut sein, dass nur diese Hardware die Kommunikation aufbaut zu meiner Firmenzentrale. Ich habe keinen Weg an dieser Lösung vorbei. Es gibt auch ansonsten keine Schnittstellen, um auf die Box zuzugreifen. Also das ist jetzt nicht so, dass wir einen Netzwerk-Router haben und Sie können hier jetzt Rechner anschließen. Sie haben gebunden zu ihrer Box ihren Rechner, und der Rechner kann dann nur noch über diese Box kommunizieren und der Rechner betreibt kein eigenes WLAN oder kein eigenes LAN. Das ist an der Stelle eben nicht zugelassen, eben nicht erlaubt. Ich kann damit gewährleisten, die gesamte Kommunikation findet rein über diese Box statt, mir kann keiner einen Trojaner auf diese Box unterjubeln, irgendwelche Seitenkanalattacken aus dem System heraus kann es nicht geben an der Stelle."
Selbst Internetnutzer, die ein privates virtuelles Netzwerk erst auf dem Server ihres Netzproviders aufbauen, also kein Ende-zu-Ende-Tunneling haben, können besser vor Spähattacken geschützt werden. Mit der sogenannten Multi-Link-Technologie werden unterschiedliche Kommunikationsprotokolle und Verschlüsselungsarten zu einem virtuellen privaten Netzwerk zusammengeschaltet. Thorsten Jüngling vom Sicherheitsanbieter Stonesoft erläutert das so:
"Sie bauen natürlich einen HTTPS-Tunnel auf, vom Klienten zum Server. Wenn wir den zum Beispiel inspizieren sollen, überwachen sollen, dann müssen wir diese Verbindung aufbrechen, reinschauen und wieder zusammenbauen und damit natürlich geschützten Transportweg geben. Beim Klienten, dort wird schon verschlüsselt, bevor das in den Transportweg geht. Multi-Link kann auch natürlich verschiedene Zugangswege miteinander zu einem virtuellen Tunnel verbinden."
Und dieser virtuelle Tunnel kann bei Bedarf auf dem gesamten Transportweg der Daten überwacht werden. Datenpäckchen mit Schadsoftware fallen dann sofort auf. Genauso wie unbekannte Analysesoftware, die nach Eintritts- und Austrittsstellen von Datentunneln sucht. Privatanwender wie Unternehmen fordern eine genaue Einschätzung, wie viel Sicherheit sie für welche Daten benötigen. Erst danach können abgestufte Sicherheitskonzepte greifen, die die gewünschte Privatsphäre der Anwender und Mitarbeiter berücksichtigen und dennoch den Geheimdiensten bei ihren Spähattacken das Leben schwer machen.
Zum Themenportal "Risiko Internet"