Netzwerksicherheit

Als Netzwerksicherheit bezeichnet man den Schutz von technischen Systemen innerhalb eines Netzwerks oder an der Schnittstelle zwischen zwei Netzwerken. Das Ziel der Netzwerksicherheit besteht darin, die
  • Integrität (Datensicherheit),
  • Verfügbarkeit (Zugriffssicherheit) und
  • Vertraulichkeit von Daten zu gewährleisten,
  • eine Authentifizierung (Authentikation) von Benutzern und Diensten durchzuführen sowie
  • deren Handlungen nachvollziehbar zu machen (Zurechenbarkeit/Accountability).

Die Netzwerksicherheit ist vor allem abzugrenzen von der Systemsicherheit, also dem Schutz einzelner technischer Systeme, und dem Netzwerkmanagement sowie von den angrenzenden Bereichen Datenschutz und Datensicherheit, Kryptographie und Forensik. Wie in alle Bereichen der Sicherheit gibt es zahlreiche Schnittstellen und Kollisionen mit der jeweiligen Rechtsordnung (Ausspähen von Daten, Verletzung von Privatgeheimnissen usw.).

Netzwerksicherheit ist per se unproduktiv, liefert also grundsätzlich für den Endanwender keinen produktiven Mehrwert. Aufgrund der faktischen Unverzichtbarkeit von Sicherheitsmaßnahmen in zunehmend feindlichen Netzwerkumgebungen ist Netzwerksicherheit in praktisch allen vernetzten Umgebungen zwingend – von Computer- bis hin zu Telekommunikationsnetzwerken – erforderlich und somit selbst zu einer Industrie und damit wiederum zu einem Wirtschaftsfaktor geworden.

Das Spektrum der Gefährdungen vernetzer Systeme ist vielfältig. Unterschieden werden u.a. folgende technische Gefährungsbereiche, die sich kaum systematisieren lassen:

  • Systemanomalien erster, zweiter und dritter Art;
  • Computer-Würmer, -Viren und Trojanische Pferde;
  • Account- und Paßwortangriffe, Spoofing;
  • Scanning;
  • Sniffing;
  • Ping-of-Death-, SYN-Flooding-, Denial-of-Service-(DoS-) und Distributed-Denial-of-Service-(DDoS-)Angriffe;

Attacken nutzen dabei praktisch jede nur denkbare Schwachstelle in interoperablen Netzwerkprotokollen, betriebsystemspezifischen Applikationen oder Netzwerk-Hardware/-Appliances aus. Daneben existiert ein noch breiteres Feld an sonstigen Gefährdungen, die jedoch technisch nur eingeschränkt kontrollierbar sind (menschlicher Faktor, Wissenslücken, ‚menschliches Versagen’; nur 2% der Gesamtschäden der DV resultieren aus einem unerlaubten externen Zugriff).

Gegner der Sicherheitsverantwortlichen (White hats) sind gleichermaßen Amateure (Script-kiddies) wie mehr oder minder organisierte Kriminelle (Cracker, Black hats); bereits seit Jahren sind keinerlei Programmier- oder Betriebssystemkenntnisse mehr notwendig, um fremde Systeme zu schädigen oder zu übernehmen (root kits); White hats können allenfalls computerforensisch erfahren, mit welchem Gegner sie es zu tun haben.

Netzwerksicherheit kann in verschiedene Teilbereiche untergliedert werden; zu unterscheiden sind dabei:

  • Sicherheitsbewußte Systemadministration und Hardening;
  • Auditing, Logging und Accounting;
  • Einsatz von Verschlüsselungsverfahren und digitalen Signaturen;
  • Authentifikation, Firewalling mit Paketfilterung oder Anwendungs-Gateways und verschiedenen Topologien (Dual Homed Gateway, Screening Router/Host/Subnet, DMZ), host- oder netzwerkbasierte Einbruchserkennung (Intrusion Detection) mittels IDS und Einbruchsreaktion (Intrusion Response) mittels IRS;
  • Analysen mittels Angriffssimulatoren.

Das klassische 3-Komponenten-System der Netzwerksicherheit kombiniert

  1. Firewall-,
  2. Content-Security- und
  3. IDS-/IRS-System und bietet damit einen Minimalschutz.

Netzwerksicherheit ist weder ein Zustand, der erreicht noch ein Produkt, das erworben werden könnte. An einen Zustand relativer Sicherheit kann sich nur in Abwägung gegenüber anderen Faktoren (Verhältnis von Kosten und Nutzen, produktive Defizite durch Sicherheitsrestriktionen) in einem fortdauernden und dynamischen Prozess angeähert werden.

Netzwerksicherheit kann in verschiedenen Formen konzipiert werden; defensive Maßnahmen richten sich gegen laufende oder bereits erfolgte Angriffe, proaktive Maßnahmen sollen bereits die Möglichkeit von Angriffen unterbinden. Je offensiver ein Sicherheitskonzept ausgelegt ist, desto mehr nähert es sich krankhafter Paranoia an und riskiert, eigene oder fremde produktive Systeme zu beeinträchtigen. Eingesetzte Produkte können den Ansatz der Security by Obscurity (‚Microsoft’, proprietäre Systeme) verfolgen, oder offene Verfahren bevorzugen.

Der Versuch der Gewährleistung von System- und Netzwerksicherheit bindet zunehmend personelle und ökonomische Ressourcen, die für produktive Tätigkeiten nicht mehr zur Verfügung stehen. Sinnvolle Netzwerksicherheit wird daher immer einen Kompromiß suchen müssen zwischen dem effektiven Risikopotenzial und dem vertretbaren Schutzaufwand.

Kategorie: