Ausgehende Firewall

Man hört und liest es immer wieder. Trojaner und anderer Schadcode wird von Mitarbeitern z.B. als Link oder Attachment an eine Mail unwissentlich ausgeführt und wird dann im internen LAN aktiv um interessante Informationen nach extern auszuleiten. Bislang haben wir Firewalls immer dafür gebaut, Angriffe von Außen abzuwehren. Aber gerade Office 365 und der quasi schon notwendige Zugriff auf das Internet macht es natürlich auch Schadcode einfach, andere Schadteile nachzuladen oder Daten "hochzuladen".

Da müsste es doch eigentlich auch im Interesse einer Firewall oder eines Proxy-Servers sein, nicht nur eingehende Informationen zu scannen, sondern eben auch dieses "Ausleiten" zu erkennen und ggfls. zu alarmieren. Ein Einbrecher hat ja das Ziel möglichst viele Daten zu erhalten und das sind dann doch signifikante Datenverkehre, die auffallen könnten.

Prominente Opfer - die 100%-Lüge

Die Aussage "Viel Feind - viel Ehr" wird Georg von Frundsberg (https://de.wikipedia.org/wiki/Georg_von_Frundsberg) zugeschrieben und natürlich haben Hacker ein finanzielles oder ideologisches Interesse. Da könnten Sie versucht sein, sich gar nicht als Ziel anzusehen. Es gibt ja wo viele interessantere Ziele, die sich nach allgemeiner Meinung lohnen und die Vergangenheit hat auch gezeigt, dass dem so ist:

In den meisten Fällen ist der Weg entweder eine Lücke in einem System (Exploit) oder die Mithilfe eines internen Mitarbeiters, der nu mal ein IT-Fachmann ist und solche gezielten Angriffe erkennen kann. Und speziell wenn es zielgerichtete Aktionen sind, dann bieten die üblichen Virenscanner selbst mit einer "Verhaltenskontrolle" keinen richtigen Schutz.

Mit einem Honeypot einen Köder auslegen

Schon damals unter NetWare gab es Personen, die sich über die Sicherheit von Dateien ihre Gedanken gemacht haben und schon damals (ohne Internet) war ein "XCOPY" auf eine Floppy oder der Versand mit einem Mailsystem (MS-Mail, MHS etc.) der übliche Weg. Da an Rights Management noch niemand gedacht hat und ein Logging von Dateiserverzugriffen quasi nicht stattfindet, war es gar nicht so einfach solche Aktionen zu erkennen.

Denkbar war z.B., dass man eine Datei "versteckt" auf einem Dateiserver abgelegt hat, die ein Anwender eigentlich nicht "gesehen" hat aber bei einem XCOPY doch mit kopiert wurde. War in der Datei dann z.B. die Signatur von EICAR enthalten, sollte der Virenscanner auf dem Client zuschlagen und damit eine Rückmeldung liefern. Das funktioniert unter Windows immer noch gut.

Natürlich kann man auch ein "Logging" auf besonders schützenswerte Daten aktivieren, wobei auch hier dann der Zugriff schon erfolgt und die Datei eventuell schon wegkopiert wurde.

Ausgehende Verkehr betrachten und reglementieren

Auch wenn solche Honeypots durchaus hilfreich bei der Erkennung von ungewöhnlichen Zugriffen sind, so werden heute Daten an vielen Stellen und immer mehr auch in der Cloud abgelegt. Insofern haben Sie oft gar nicht mehr die Hoheit über die Daten aber als "Relay" dient immer noch der Client, der zum einen die Daten aus der Quelle abruft und dann "irgendwohin" sendet.

Wenn die Anwender also nicht gerade die Firmenfirewall umgehen, indem sie zuhause arbeiten oder die UMTS-Karte im Notebook aktiviert haben, muss jedes Bit letztlich doch wieder durch das LAN, WAN und Firewall.

Aus meiner Sicht sollte sich hier durchaus ein Schlüssel für eine Erkennung und vielleicht sogar Abwehr finden lassen. Ausgehende Datenverkehre von Firmen sollten sich ziemlich gut klassifizieren lassen, z. B.

  • Mailserver
    Das sind bekannte IP-Adressen, die über Port 25 auf andere Mailserver gehen.
  • Normaler Surf-Traffic
    Hier wird es schon kniffliger, da ohne HTTP-Proxy nur die Ziel-IP bekannt ist. Selbst mit einem Proxy samt Authentifizierung werden Anwender und Dienste gerne automatisch autorisiert, um Kennwort-Abfrage zu vermeiden. Damit kann ein Schadcode im Prozessraum des Anwender natürlich auch damit arbeiten. Allerdings sind die meisten Surf-Profile derart, dass wenige Daten "geposted" werden und dann mehr Daten herunter geladen werden.
  • Legitimer upload
    Die Webseiten, zu denen auch größere HTTP-Posts mit upload möglich sind, sind für Firmen oft überschaubar. Hier könnte man schon einmal mit einer Allowlist ansetzen. Das kann über Namen in Zertifikaten oder IP-Adressen gehen. Knifflig wird es natürlich mit generischen Diensten wie Dropbox, OneDrive o.ä., wenn Trojaner solche Dienste nutzen, die auch von den Mitarbeitern genutzt werden.

Eine Firma kann nun natürlich nicht alles mit einer Allowlist absichern, zumal Zieladressen durch Content-Netzwerke sich auch immer mal ändern. Ein erster Schritt wäre natürlich schon die uploads von größeren Datenmengen auf bekannte Ziele zu beschränken. Damit sollte das Risiko eines Datenverlusts sinken und die Chancen einer frühzeitigen Erkennung steigen.

Das bedeutet aber auch, dass man diese Liste aufbaue und pflegt, Partner-Systeme addiert, "Well Known Systeme" addiert und hofft, dass ein qualifizierter Angreifer nicht erst einen dieser Zielsysteme übernimmt um dann die Daten weiter zu reichen. Das ist gar nicht mal so abwegig. Sehr viele an sich vertrauenswürdige Webseiten, die teilweise sogar ein öffentliches SSL-Zertifikat nutzen, basieren im Hintergrund auf CMS-Systemen wie Wordpress. Viele Webseitenbetreiber nutzen fremde "Themes" und Add-on's, ohne genau deren Code zu können. Insofern ist es sogar sehr real, dass ein Angreifer erst eine Wordpress-Seite kapert und darüber dann mit einem Trojaner aus dem Quellnetzwerk die Daten ausleitet.

Also bleibt doch wieder primär die statistische Analyse, welcher Client zu welchen Zeiten welche Daten überträgt.

Internet nur nach Authentifizierung

Der bequeme Zugriff auf das Internet ohne explizite Eingabe von Anmeldedaten ist natürlich einfach und leicht aber aus Sicherheitsaspekten kritisch zu sehen. Lange Zeit haben ich schon den Ansatz vertreten, das ich mich für den Zugriff aufs Internet bitte explizit anmelden sollte. Das hatten den netten Nebeneffekt, dass auch andere Programme, die mal schnell ungesehen ins Internet wollten, entweder nicht hin kamen oder mir eine Anmeldebox aufzeigten.

Allzu viele Anmeldeboxen macht aber Anwender auch wieder unvorsichtig einfach überall immer wieder das Kennwort einzugeben. Einen unerlaubten Zugriff erkennt man so eher nicht. Eher kann ein Trojaner mit einer falschen Box sogar noch das Kennwort im Klartext einsammeln. Insofern muss man heute eher dafür plädieren, dass Anwender nur selten sich anmelden und danach die gültige Authentifizierung verwendet wird.

Zudem ist ein Anmeldezwang nur bedingt hilfreich, wenn Trojaner sich bevorzugt auf Servern einnisten, die 24h laufen. Server aber, die vielleicht ganz legitim ins Internet müssen, sind meist von der Authentifizierung ausgenommen. Viele Administratoren unterliegen ja der Fehleinschätzung, dass Server sicherer sind als Clients. Exchange Server mit Federation zu Office 365 oder anderen Firmen müssen ja schon per HTTPS zum Microsoft Federation Gateway und dann zu anderen Exchange Servern in der Welt.

Surfcontainer

Eine Stufe weiter geht natürlich die Abschottung aller System vom Internet und jeder anderen "unüblichen" externen Kommunikation. Das wird nicht ganz gehen, da Mails weiterhin ankommen und versendet werden müssen. Aber gerade der ungeschützte Zugriff ins Internet ist natürlich ein leichter Weg für Trojaner neue Befehle zu erhalten und Daten auszuleiten.

Ich kenne durchaus Firmen, bei denen es eine echte Trennung gibt und die Mitarbeiter zum "Surfen" entweder komplett gesonderte Systeme verwenden oder entsprechende virtuelle Clients. für "unbedarfte Anwender ist dies sicher ein Schutz, da sie nicht mehr einfach ""Links in >Mails" anklicken können. Das wird aber schon die "Zusammenarbeit" mit anderen Diensten (Sharepoint, Yammer etc.) deutlich erschweren.

Vielleicht wird es auch eine Zweiteilung geben, dass der handelsübliche Browser nur interne und ausgewählte externe Seiten erreichen kann, während ein eigener Surf-Client dann das große Internet erreichen kann. Dieser ist aber dann wirklich boxed" um zum einen die Infektion mit einem Trojaner zu erschweren und nach einer erfolgten Infektion keinen transparenten Durchgang von dem Haus-Netzwerk zum Internet zu haben.

Allerdings sind es ja nicht nu die klassischen Browser, die Webseiten und Videos anschauen. Wenn Sie einem "Online Meeting" beiwohnen, dann ist das ihr Skye für Business Client. der natürlich das "universeller Firewall Tunnel Protokoll (443/TLS)" nutzt. Sicher können Sie den Client auch auf der Surf-Box installieren, aber dann müssen Sie die Soundkarte und das Headset durchreichen.

Zwischenstand

Ich würde mich nicht als IT-Security-Spezialist bezeichnen aber das sollte mich und sie dennoch nicht davon abhalten, über Sachverhalte nachzudenken, sich zu informieren und sich eine Meinung zu bilden. Ich für mich habe aktuell ein paar Aussagen aufgestellt.

  • Sicherheit ist unbequem und teuer
    Je mehr Schranken und Kontrollen wir einbauen, desto komplexer, fehleranfälliger, langsamer und unproduktiver wird das System
  • Datenverlust ist teuer
    Wenn ihnen ein Trojaner aber mal Daten gelöscht, durch Verschlüsselung entzogen oder durch unerlaubte Weitergabe Anderen einen Vorteil verschafft hat, dann hat auch dies einen Preis.
  • Kosten/Nutzen und Restrisiko abschätzen
    Ganz sicher wird es aus Prinzip nicht gehen, selbst wenn man alles Geld der Welt einsetzen würde. Etwas Unsicherheit bleibt
  • Schulung und Information
    Wir gehen alle wie selbstverständlich davon aus, dass jeder am PC auch damit umgehen kann. Beim Auto ist es selbstverständlich, dass man zumindest einmal einen Führerschein, Sehtest und Erste-Hilfe-Kurs machen muss. (Warum eigentlich nicht alle 10 Jahre eine Auffrischung ?). für die Arbeit an einer Maschine bekommt der Handwerke auch eine Einweisung. Nur bei Computern ist jeder Autodidakt?.
    Der Schwachpunkt sind die Mitarbeiter und mit regelmäßiger unterweisung kann dieses Risiko zumindest mal minimiert werden
  • Firewall von innen
    Dennoch sollten Firewalls zukünftig nicht nur Zugriffe von Außen überwachen und ggfls. blockieren sondern auch genau auf die internen Datenverkehre und ausgehenden Verbindungen achten. Auch wenn alles "verschlüsselt "ist, so könnte vielleicht anhand der Datenmenge und der Zeitpunkte ein Informationsabfluss erkannt werden.
  • Schützenswerte Inhalte wirklich schützen
    Ich bin eigentlich kein Freund von RMS/DRM aber selbst verschlüsselte USB-Sticks, Bitlocker-Festplatten etc. sind spätestens dann "erreichbar", wenn der Mitarbeiter damit arbeiten wird. Und damit kann auch ein Trojaner über die Schulter schauen. Die Applikation, die letztlich die Schnittstelle zum Anwender ist, muss idealerweise die Informationen sichern. Word, Excel, Outlook können das per RMS/DRM schon ganz gut. Aber der Preis ist natürlich die Abhäöngigkeit von RMS und die Beschränkungen auf RMS-taugliche Endgeräte.

Es ist letztlich eine Frage des Preises, welche Lösungen umgesetzt werden und welche sich umsetzen lassen.

Es ist meiner Ansicht nach übrigens keine Frage des Betriebssystems, ob etwas sicher ist oder nicht. Die Vergangenheit hat gezeigt, dass durchweg alle Systeme von Menschen gemacht werden und mit Fehlern behaftet sind. Wichtig ist aber, wie schnell ein Fehler nach der Erkennung auch korrigiert wird und wie schnell er dann auch bei den Nutzen ankommt.

Weitere Links