Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme
Internet-Sicherheit (1)2 Themen Bedeutung von Internet-Sicherheit Hauptrisiken bei Internet-Nutzung Möglichkeiten und Grenzen von Firewalls, Viren- und -Scannern BSI/DATech-Vorschläge zu Internet- Sicherheitsmaßnahmen
Internet-Sicherheit (1)3 Der Referent: Wolfgang Redtenbacher Leiter der BSI/DATech- Arbeitsgruppe Internet-Sicherheit (BSI = Bundesamt für Sicherheit in der Informationstechnik, DATech = Deutsche Akkreditierungsstelle für Technik) Mitglied der IETF-Arbeitsgruppen Open PGP und S/MIME (IETF = Internet Engineering Task Force)
Internet-Sicherheit (1)4 Wie wichtig ist Sicherheit? Ca. 9 neue Viren pro Tag, ca. 2-5 neu entdeckte Sicherheitslücken pro Woche 1 großer Befall alle 2-6 Monate (Melissa, ILoveYou, CodeRed, SirCam, Klez, MyDoom, Sober,..., Bugbear, Bagle) Jede 3. deutsche Firma erlitt im letzten Jahr Schäden durch Viren, Würmer oder Trojaner Klez.H verursachte ca. 9 Milliarden Dollar Schaden
Internet-Sicherheit (1)5 Hauptrisiken bei Internet- Nutzung als Client Unzureichend abgeschirmte Transportschicht (Hacker kann sich einwählen) Browserfehler, die von bösartigen WWW-Seiten ausgenutzt werden -Software, die aktive Inhalte beim Empfang ausführt oder Viren ins Netz lässt
Internet-Sicherheit (1)6 Hauptrisiken – aktuelle Beispiele für Schadsoftware Unzureichend abgeschirmte Transportschicht: Sasser-Wurm Browserfehler: Pado-Load-A ( Aktive Mail-Inhalte: Bugbear, Bagle,...
Internet-Sicherheit (1)7 Was leistet eine Firewall? Beschränkt Verbindungen auf freigegebene Dienste und Adressen Anrufer müssen sich authentifizieren Lehnt unangeforderte Datenpakete ab => Schützt die Transportschicht
Internet-Sicherheit (1)8 Was leistet ein Virenscanner? Prüft Festplatten-/Disketteninhalte auf bekannte Viren Prüft ggf. s auf (bekannte) Viren, bevor sie ins Postfach gelassen werden Nimmt hinsichtlich neuer Viren gewisse Plausibilitätsprüfungen vor => Schützt vor bekannten Viren (Räuber- und Gendarm-Spiel)
Internet-Sicherheit (1)9 BSI/DATech-Vorschläge zu Internet-Sicherheitsniveaus Beschränkung auf Internetzugang als Client und bekannte Engpässe => überschaubar Stufenweise Verbesserung durch 2 Sicherheitsniveaus
Internet-Sicherheit (1)10 Stufenweise Verbesserung durch 2 Sicherheitsniveaus Stufe 1: Einstieg, leicht durchführbar, kostenlose Maßnahmen Stufe 2: solides Schutzniveau, kann jedoch Kosten oder Komforteinschränkungen verursachen
Internet-Sicherheit (1)11 A. Empfehlungen zum Schutz der Transportschicht Stufe 1: Internet-Zugang aus dem LAN heraus wird durch Deinstallation oder (Personal) Firewall auf und Surfen beschränkt Stufe 2: Zentrale Maßnahme (Firewall/Router o.ä.) stellt Beschränkung auf +Surfen in personenunabhängiger Form sicher
Internet-Sicherheit (1)12 Transportschicht – Umsetzungsbeispiel (Stufe 2) Zentrale(r) Router/Firewall lässt nur Ports 25/80/110 durch (= + Surfen) oder: Versiegelbare Personal Firewall (Bsp.: Agnitum Outpost Professional) an den Arbeitsplätzen gibt nur Ports 25/80/110 frei
Internet-Sicherheit (1)13 B. Empfehlungen zum Schutz des Surfens Stufe 1: Nur Browser mit guter Sicherheitshistorie (oder Wegfilterung aktiver Inhalte) Stufe 2: Zentrale Maßnahme (Firewall/Proxy-Server o.ä.) filtert aktive Inhalte aus HTTP- Datenströmen im LAN; unbeschränktes Surfen nur von Freiwild-PCs
Internet-Sicherheit (1)14 Surfen – Umsetzungsbeispiel (Stufe 2) Firewall oder Proxy-Server entfernt aktive Inhalte (= -, - und -Elemente, Event-Handler und JavaScript-Links) beim Surfen aus dem LAN Für unbeschränktes Surfen stehen Freiwild-PCs zur Verfügung
Internet-Sicherheit (1)15 Surfen – Was sind Freiwild-PCs? PCs zum unbeschränkten Surfen, die: physisch vom LAN getrennt sind (eigene Zentraleinheit oder spez. Einsteckkarte) und keine schützenswerten Daten enthalten (Festplatteninhalt kann jederzeit auf den Ausgangszustand zurückgesetzt werden)
Internet-Sicherheit (1)16 Surfen – Umsetzungsbeispiele für Freiwild-PCs Je nach Häufigkeit des Surfens: Ein oder mehrere getrennte Surf-PCs (z.B. Bibliotheks-PCs) Schlüsselpersonen erhalten Dual-PCs (2 Zentraleinheiten mit Konsolenumschalter) Direkter Zugriff aus dem LAN über (Firewall-geschützte!) Fernwartung auf Bildschirminhalte eines Surf-PC-Pools
Internet-Sicherheit (1)17 C. Empfehlungen zum Schutz des -Verkehrs Stufe 1: Nutzung eines -Clients, der keine aktiven Inhalte (Java, JavaScript, ActiveX) ausführt Stufe 2: Maßnahmen zur Verhinderung der (versehentlichen) Ausführung von -Anlagen (.EXE,.PIF,.DOC usw.) per Mausklick
Internet-Sicherheit (1)18 - Umsetzungsbeispiel (Stufe 2) -Client enthält wirksame Schutzmechanismen gegen gefährliche Dateianlagen (Bsp.: KT-Mail) oder: Gateway-Lösung schützt -Verkehr zentral
Internet-Sicherheit (1)19 – Produktbeispiele für zentralen Gateway-Schutz Sanitizer (Open Source – Schutz eingeschränkt für Windows 2000/XP-Clients ) GFI MailSecurity Hummingbird Content-Management- System KT-Mail/Filter-Gateway
Internet-Sicherheit (1)20 Arbeitsweise des KT-Mail/Filter-Gateways Lässt harmlose Bestandteile (Texte, Grafiken) durch Säubert automatisch potentiell gefährliche Formate, wo möglich (HTML, DOC usw.) Stellt sonstige potentiell gefährliche Formate in Quarantäne
End- benutzer KT-Mail/ Gateway Verbindung zum Internet Harmloser Rest-Inhalt Gefährliche ? Bild: Gateway-Aktion bei pot. gefährlichen -Inhalten Virus Warn-Hinweis an EDV-Betreuer
Internet-Sicherheit (1)22 Besonderheiten des KT-Mail/Filter-Gateways Läuft den Viren nicht hinterher (Räuber und Gendarm), sondern stopft gleich die grundlegenden Kanäle Behandelt unbekannte Formate als potentiell gefährlich (keine Anfangslücke bei neuen Viren) Kann häufige Formate (DOC, HTML usw.) automatisch säubern (dadurch Quarantäne nur selten nötig)