CW: Notebook, Blackberry, Symbian, Smartphone etc., die Zahl der Endgeräte wächst ständig. Welche sind unter Sicherheitsaspekten besonders riskant?
Lenssen: Die Frage kann man nicht pauschal beantworten, weil unterschiedliche Architekturen und Ansätze zugrunde liegen. Grundsätzlich sollte ein Sicherheitskonzept so ausgelegt sein, dass es nicht nur Maßnahmen im Netzwerk beschreibt, sondern auch alle Endgeräte mit einschließt.
CW: Es ist immer wieder zu hören, dass die IP-Kommunikation (VoIP) mit Sniffern einfacher abzuhören sei als die klassische Telekommunikation. Wie real ist die Gefahr?
Lenssen: Ich würde mit einer Gegenfrage antworten: Worin sehen Sie die Gefahr für ein Unternehmen, das Sicherheit ernst nimmt und seine Assets und die IT Infrastruktur bereits mit Hilfe eines durchgängigen Konzeptes schützt? Ein VoIP-Datenpaket unterscheidet sich im Netz nicht von einem Paket, mit dem eine CAD-Datei oder aktuelle Personaldaten übertragen werden.
CW: Und wie sollte sich ein Unternehmen dann schützen?
Lenssen: Am besten mit einem Self-Defending Network, das neben dem Netzwerk auch die Endgeräte, Daten und Anwendungen sichert.
CW: Dann bleibt aber das Problem, dass für die IP/VoIP-Kommunikation häufig Firewall-Ports für den eingehenden Verkehr zu öffnen sind.
Lenssen: Wenn die eingesetzte Firewall-Technik die VoIP-Protokolle nicht versteht, muss ich in der Tat große Portranges öffnen. Moderne Firewall-Produkte sollten die VoIP-Protokollwelt verstehen und in der Lage sein, dynamisch nur die wirklich benötigten Ports für die Dauer der Verbindung zu öffnen, zu überwachen und bei Gesprächsende sofort wieder zu schließen.
CW: Allgemein gefragt, was empfehlen Sie einem Unternehmen, um sicher via VoIP zu kommunizieren?
Lenssen: Schauen Sie sich die VoIP-Lösung des Herstellers in puncto Sicherheitsfunktion genau an. Wie sind die zentralen Komponenten wie etwa das Call-Processing vor Angriffen geschützt, können Gespräche individuell verschlüsselt werden, bietet das Netzwerk die Möglichkeit, VoIP unter Beachtung von Quality-of-Service Vorgaben (SLAs) sicher zu übertragen, ist die verwendete Firewall und IDS/IPS-Systeme VoIP-geeignet? Viele Anbieter bieten zudem mit einer Reihe von Whitepapern und Implementation Guides eine umfangreiche Unterstützung bei der Planung und der Umsetzung.
CW: Ihre Ratschläge klingen interessant, aber im Zusammenhang mit VoIP kommt die Sprache immer wieder auf die Fixed-Mobile-Convergence, die Dect- und GSM-Telefonate auf dem Campus durch WLANs ablösen soll. Aber gerade hierzulande gelten WLANs als unsicher.
Lenssen: WLANs bieten heute mit WPA2 sehr gute Sicherheitsfunktionen, die sich nahtlos in die der drahtgebundenen Netzwerke integrieren und auch von den Endgeräten unterstützt werden. Einer Nutzung von WLANs als Fixed-Mobile-Convergence-Plattform steht damit nichts im Wege.
CW: Wie sollte dann die perfekte WLAN-Sicherheitsstrategie aussehen?
Lenssen: Zu den unentbehrlichen Abwehrmaßnahmen gegen unbefugte Zugriffe auf unternehmenskritische Informationen gehören Zugangskontrolle und Verschlüsselung. Nur eine strenge Authentifizierung kann nicht autorisierte Clients daran hindern, auf die Access Points des Funknetzes zuzugreifen. Dagegen dient die Verschlüsselung der Sicherheit von Datenpaketen auf ihrem Weg zwischen Endgerät und Basisstation. Nur wer über den passenden digitalen Schlüssel verfügt, kann die übertragenen Informationen dechiffrieren. Weil für die Veränderung des Datenstroms wiederum die Kenntnis des Schlüssels Voraussetzung ist, werden so unterwegs auch Manipulationen verhindert. Ein entsprechendes Sicherheitskonzept haben wir beispielsweise mit unserer WLAN Security Suite realisiert.
CW: Uns bleiben dennoch Zweifel. Schließlich hat die Industrie uns auch WEP als sicher verkauft - mittlerweile knackt jedes Skript-Kiddy das Verfahren.
Lenssen: Dass bei WEP im Protokolldesign handwerkliche Fehler gemacht wurden, ist unumstritten. Diese wurden bei der Weiterentwicklung zu WPA und WPA2/802.11i durch Einbindung von Sicherheitsspezialisten von vornherein vermieden. Das Schutzniveau hängt jetzt von der Stärke der verwendeten Authentisierungs- und Verschlüsselungsmechanismen ab. WPA2 nutzt AES mit Schlüssellängen von bis zu 256 Bit und ist damit sehr gut für die Zukunft gerüstet.
CW: Also sind WLANs mittlerweile genauso sicher wie Corporate LANs?
Lenssen: Das Problem von WLAN-Installationen liegt häufig in der schlechten Administration oder schlicht dem Unwissen über die verfügbaren Möglichkeiten. Gute aufgesetzte WLANs unterscheiden eigene Mitarbeiter von Partnern oder Kunden und bieten maßgeschneiderte Schutzprofile pro Nutzer - offenen Zugang zum Internet für Gäste, eingeschränkten Zugang zu dedizierten Ressourcen im Netzwerk für Partner oder Consultants und uneingeschränkten, jedoch stark verschlüsselten Zugang zum Firmennetzwerk für die eigenen Mitarbeiter. Darüber hinaus sind solche sicheren WLANs in der Lage vor unberechtigt in Betrieb genommenen Access Points - die ein Einfallstor für Angreifer bilden können - zu schützen. Viele LANs sind heute noch schlechter geschützt.
CW: Damit spielen Sie auf die häufig unzulänglich geschützten LAN-Ports als Sicherheitsrisiko an?
Lenssen: Das hängt davon ab, wo sich diese ungeschützten LAN-Ports physisch befinden: in öffentlich zugänglichen Bereichen oder eher in Räumlichkeiten, die nur für bestimmte Mitarbeiter erreichbar sind.
CW: Wie sollte sich ein Unternehmen dann konkret schützen?
Lenssen: Durch einen holistischen Ansatz, der sich durch mehrstufige Sicherheit auszeichnet. Dies erlaubt die unternehmensweite Durchsetzung von Sicherheitsrichtlinien in drahtlosen und drahtgebundenen Netzwerken genauso wie den Schutz von Endgeräten vor Day-Zero-Threats oder einfaches Management und Rollout sowie den effektiven Schutz vor SPAM und Malware. Zudem lässt sich so Schutz auf der Anwendungsebene realisieren.
CW: Das klingt einleuchtend, aber bindet sich der Anwender damit nicht eng an einen Hersteller und verliert die Freiheit bei der Hardwarewahl?
Lenssen: Hier steht der User vor der Wahl - Sicherheitsfunktion als Overlay, also nachträglich integriert und damit komplex und letztendlich teuer - oder Sicherheit als integrale Funktion des Netzes. Letzteres funktioniert nahtlos mit allen Netzdiensten, wie etwa VoIP, und bietet einen besseren Schutz zu günstigeren Kosten. Systemlösung versus Pin-Point-Produkt ist eine Entscheidung, die der Kunde zu treffen hat.
CW: Warum kreiert die Industrie nicht einen echten herstellerübergreifenden Standard? Werden hier die Anwenderinteressen nicht dem kurzfristigen Profitgedanken geopfert?
Lenssen: Gerade im Bereich Network Access Control (NAC) wird fast ausschließlich mit Standards gearbeitet. 802.1X mit EAP für die Authentisierung, Radius für die Autorisierung. Aber damit hat der Anwender noch keine funktionierende, ihn zufrieden stellende Lösung seines Problems. Entscheidend ist doch, welche Frage der Kunde lösen will: Sucht er beispielsweise ein einfaches Management des Gastzugangs oder gleich eine unternehmensweite Access-Control-Lösung mit zertifikatsbasierter Authentisierung und Single-Sign-on für 100 000 Mitarbeiter? Bei beiden Ansätzen wird das gleiche Protokoll verwendet. Im ersten Fall steht jedoch die einfache automatisierte Verwaltung der Gastzugänge und deren effektive Überwachung im Vordergrund, im zweiten wird das Projekt vermutlich sehr viel Zeit mit der Planung und Aufbau einer unternehmensweiten PKI und den dazugehörigen Prozessen sowie der Umsetzung von SSO verbringen und weniger mit der NAC-Technik. Letztlich sollten die Anforderungen der Unternehmen immer im Vordergrund stehen und der clevere Einsatz verfügbarer Technik kommt erst an zweiter Stelle. In die Infrastruktur integrierte Security-Funktionen sind hier von Vorteil.