Das Jericho Forum kämpft gegen klassische Firewalls - und will damit für mehr Sicherheit sorgen.
Über ein Jahrzehnt haben Firewalls nun schon die Außengrenzen der Firmennetzwerke (mehr oder weniger) vor den Angriffen aus dem Internet geschützt. Auch die Europäische Union unterstreicht in ihrer i2010-Initiative die Wichtigkeit von IT-Sicherheit. Die österreichische Bundesregierung hat sich daher als Ziel gesetzt, dass bis 2010 in 99 Prozent aller österreichischen Unternehmen Firewalls und Virenschutzprogramme verwendet werden. Ein Gruppe von Sicherheitsmanagern (CSOs – Chief Security Officers) verschiedenster Unternehmen und Nationen, die sich unter dem Namen „Jericho Forum“ zusammengeschlossen haben, stellten demgegenüber diesen Herbst auf ihrer Konferenz erneut fest, dass klassische „Perimeter“-Firewalls, die am Rande der Unternehmensnetzwerke installiert sind, nicht mehr so wirkungsvoll sind, wie allgemein ange-nommen. Laut dem Jericho Forum werden die klassischen Firewalls immer mehr „durchlöchert“. Grund hierfür ist die immer öfter vorgenommene bewusste Öffnung zusätzlicher Durchgänge (Ports) in der Firewall aufgrund der immer höheren Vernetzung zwischen den Unternehmen oder für Anwendungen wie VoIP.
Firewalls selbst angebohrt
Um die Blockade der allgegenwärtigen Firewalls zu überwinden, gehen außerdem immer mehr Entwickler dazu über, ihre Anwendungsdaten über die Protokolle des World Wide Web zu verschicken. Die dabei benutzten Ports 80 und 433 sind bei den meisten Firewalls immer offen – und müssen dies auch sein. Schließlich gehören das Internet und Anwendungen wie etwa Telebanking ja mittlerweile zum Geschäftsalltag. Somit können auch Programme wie Skype oder der Microsoft Chat auch Verbindungen zum Firmenserver herstellen, obwohl das die Firewall eigentlich nicht zulassen sollte. Hinzu kommt der Trend, Anwendungen webbasiert anzubieten. Die Anzahl der Angriffe über Webanwendungen und mittels der dabei benutzten Sprache Javascript ist in den letzten Jahren deutlich gestiegen und zeigt, dass eine Firewall allein nicht mehr ausreichend vor Angriffen schützt. Die Anbieter von Firewalls sind daher dazu übergegangen, in ihre Produkte auch Inhaltsüberprüfungen (Content Inspection) zu integrieren, um so „ gute“ von „bösen“ Daten, die über den Port 80 der Webanwendungen via Firewalls transportiert werden, zu unterscheiden. Neben der Notwendigkeit, hierfür Geräte mit mehr Prozessorleistung einzusetzen, ergibt sich dadurch auch die Problematik, dass verschlüsselte Daten (SSL), wie sie etwa im E-Commerce und beim Online- Banking verwendet werden, nicht oder nur mit hohem Aufwand und Sicherheitsrisiko überprüft werden können. Die Perimeter-Firewall müsste dafür nämlich anstelle des Browsers die per SSL empfangenen Daten entgegennehmen, überprüfen und anschließend über eine neue SSL-Verbindung zum Benutzer übermitteln.
Radikale Ansichten
Die Vertreter des Jericho Forums, das seinen Namen von den biblischen Mauern bezieht, die beim Klang von Posaunen eingestürzt sein sollen, haben diese Problematik bereits vor einigen Jahren erkannt. Sie haben ihre These damals jedoch unglücklich formuliert, indem sie verkündeten, dass Perimeter- Firewalls unnötig seien und diese durch sicherere Applikationen und Firewalls näher bei den Servern und PC abgelöst werden sollten. Dies löste, vor allem unter den Anbietern von Firewalls und Security Gateways, einen großen Aufschrei aus. Selbst die Analysten von Gartner konnten sich einen derart radikalen Schritt nicht vorstellen und schrieben, dass die Perimeter-Firewall sicher nicht verschwinden, sondern im Gegenteil in Zukunft noch wichtiger werde. Mittlerweile hat das Jericho Forum seine etwas ungeschickte Formulierung „Schafft alle Firewalls ab“ zurückgezogen und spricht nun – vorsichtiger, aber nicht mehr ganz so breitenwirksam formuliert – von „ Deperimeterization“. Gemeint ist damit ein Konzept, das den Schutz von Unternehmenssystemen und Daten auf mehreren Ebenen unter Nutzung verschiedenster Verschlüs- selungsmechanismen, sicherer Protokolle und von Authentifi zierung auf Datenebene ermöglicht. Damit soll laut Jericho Forum der freie Fluss der Informationen zwischen unterschiedlichsten Unternehmen und über verschiedenste Netze ermöglicht werden – ein Konzept, das zu den statischen Perimeter-Firewalls diametral steht.
„Burgmauerkonzept“ veraltet
Das Konzept „Der Burggraben und die Zugbrücke schützen uns“, vertreten durch Firewalls, Antivirenlösungen und andere „klassische“ Sicherheitslösungen, wird, so die Vertreter des Jericho Forums, durch die Deperimeterization früher oder später einfach obsolet. Die Ursache liegt laut den Sicherheitsrebellen in den Trends, in Anwendungen alles über das HTTP- Protokoll des World Wide Web zu übertragen, immer mehr Geschäftstransaktionen im oder über das Internet abzuwickeln, sowie in den Angriffen, die trotz Perimeter-Firewall per E-Mail oder WWW in die Unternehmen gelangen. Eine Studie, die das Jericho Forum im Rahmen ihrer Konferenz präsentierte, zeigt, dass sich Unternehmen langsam für das Th ema erwärmen. 45 Prozent der Befragten gaben an, dass sie Sicherheitsmaßnahmen gemäß den Empfehlungen der Gruppe umsetzen. Und 48 Prozent stimmten darin überein, dass eine deperi mete ri zationorientierte Neuausrichtung im Sicherheitsbereich die Geschäftsmöglichkeiten ihres Unternehmens verbessern würden. Vor allem in Europa hat sich der holistische Sicherheitsansatz bereits etabliert, während in den USA immer noch Skepsis vorherrscht.