Schutzmaßnahmen im Wandel

Mit den sich wandelnden Bedrohungsszenarien ändern sich die notwendigen Sicherheitsprodukte. Allerdings nicht so, dass die Abwehr älterer Gefahren vernachlässigt werden darf, so bleibt etwa der klassische Virenscanner unverzichtbar. Nach einer Studie von Forrester Research unter nordamerikanischen IT-Entscheidern vom Februar 2006 fühlen sich 73 Prozent der Unternehmen von Viren und Würmern bedroht, 66 Prozent sahen im unerlaubten Verhalten der Mitarbeiter eine Gefahr. Nach wie vor sind die einfachen Viren und Würmer der Script-Kiddies im Internet unterwegs, die altbekannten Makroviren für Microsoft Office gibt es ebenfalls noch. E-Mail und Downloads stellen auch heute die wichtigsten Einfallstore für Malware dar.

Ebenso kritisch sind mittlerweile USB-Sticks, Digitalkameras, MP3-Player, PDAs und Smartphones. Fast jeder Mitarbeiter benutzt eines oder mehrere dieser Geräte die zunächst einmal mobile Speichermedien sind. Damit können versehentlich Schadprogramme von zu Hause oder von Kunden an allen Sicherheitsmechanismen des Perimeters vorbei ins Unternehmen getragen werden. Zwar ließe sich über entsprechende Richtlinien die Benutzung der USB-Schnittstellen für Massenspeicher blockieren. Allerdings können die Policies dadurch sehr komplex werden, denn meist sind zahlreiche Ausnahmen zu berücksichtigen. Virenschutz am Client ist auch in Szenarien unerlässlich, in denen die Bedrohung durch massenhaft verschickte Malware geringer wird.

Aus diesem Grund ist der Schutz vor neuen Bedrohungen in der Regel eine Erweiterung bestehender Sicherheitsstrategien. So sind Firewalls am Perimeter ebenso unverzichtbar wie Antivirenprodukte am Gateway. Angesichts der neuen Angriffsarten kommt besonders an den PCs der Bedarf nach Personal Firewalls hinzu, die bei nicht autorisierten Anwendungen jeden Kontakt zum Internet unterbinden können. War es bislang üblich, unerwünschten Programmen die Kommunikation aus dem Unternehmen heraus auf Port-Ebene am Gateway abzuschneiden, zeigen sich einige aktuelle Applikationen etwa der Voiceover-IP-Client ,,Skype" davon unbeeindruckt: Er findet fast immer einen Weg durch die Firewalls, indem er im Zweifelsfall einfach Port 80 benutzt. Dieser muss zwingend geöffnet sein, da sonst kein Mitarbeiter das Internet nutzen könnte. Auch Peer-to-Peer-Software ist häufig dazu in der Lage, Firewalls oder Proxy-Server zu umgehen.

Mit dem Einsatz von Personal Firewalls lässt sich im Gegenzug allerdings die bislang übliche Schutzmethode der Netzsegmentierung etwas großzügiger handhaben: Nach wie vor ist es Usus, das Unternehmensnetz in logische Segmente zu unterteilen, die gegeneinander durch Firewalls geschützt sind. Damit kann bei einem Malware-Ausbruch der Schaden auf einen Teil des Netzes begrenzt werden. In den meisten Szenarien lässt sich mit Client-Firewalls ein ähnlicher Schutz herstellen, der zudem einfacher zu administrieren ist. Für das Gros der Personal Firewalls gibt es mittlerweile komfortable Management-Lösungen. Darüber hinaus gewinnt das Firmennetz durch die Reduzierung der Segmente an Übersichtlichkeit, was auch die Verwaltung erleichtert. Ihre Berechtigung haben durch Firewalls getrennte, kleinmaschige Segmente vor allem in Abteilungsnetzen mit sehr hohem Schutzbedarf etwa für Forschung und Entwicklung, Finanzbuchhaltung oder Personalverwaltung.