Zum Inhalt springen Zur Navigation springen
Internetzugang der Mitarbeiter im Unternehmensnetz richtig absichern – Teil 2

Internetzugang der Mitarbeiter im Unternehmensnetz richtig absichern – Teil 2

In einem vorausgehenden Artikel haben wir die Optionen für die Absicherung des internen Netzes gegenüber dem Internet skizziert. In diesem Artikel folgen konkrete Hinweise für die Abwägung, ob Virenscanner, Mikrovirtualisierung, Netztrennung oder Terminalserver die angemessene Sicherheitslösung sind.

Lokal installierte Virenscanner

Typische Beispiele für clientbasierte Virenscanner sind die Produkte von McAfee, Kaspersky, BitDefender, Avast oder auch der von Microsoft seit Windows Vista mitgelieferte Windows Defender. Allen Produkten gemeinsam ist die rein reaktive Arbeitsweise, sie sind abhängig von Virensignaturen. Derartige Signaturen sind aber erst verfügbar, wenn der potentielle Schädling schon einmal aufgetreten ist und analysiert werden konnte. Der Hersteller der Software muss die Signatur in sein Produkt integrieren und die aktualisierte Signaturdatei muss auf dem Client installiert werden.

Erst jetzt ist ein angegriffener Rechner in der Lage, den neuen Schädling zu erkennen. Weil es bereits seit längerem Tools gibt, mit denen Schadsoftware sehr schnell und in immer neuen Varianten im ‚Baukastensystem‘ generiert werden kann, müssen Signaturdateien sehr häufig und möglichst sofort nach ihrer Verfügbarkeit heruntergeladen und installiert werden, um gegen die aktuell auf dem Markt befindlichen Schädlinge geschützt zu sein.

Lokal installiert, zentral überwacht

Einen Teil der Arbeit und eine etwas bessere Erkennungsleistung kann ein zentral verwaltetes System leisten. In dieser Umgebung wird ein Server betrieben, der die aktuellen Virensignaturen regelmäßig sofort nach Verfügbarkeit herunterlädt und aktiv in der Unternehmensumgebung verteilt. Alle Clients im Netz erhalten ihre Virensignaturen automatisiert von diesem Server. Auf diese Art ist auch eine rudimentäre Überwachungsfunktion möglich. Der Server kann melden, wenn ein Client längere Zeit keine Updates erhalten hat oder die Installation von Updates fehlgeschlagen ist. Weiterhin kann der serverbasierte Virenschutz auch Alarmmeldungen von Clients entgegennehmen und an den Administrator weiterleiten.

Oft enthalten solche serverbasierten Systeme auch Funktionen, um möglicherweise bisher unbekannte Schädlinge an ihrem Verhalten zu erkennen und automatisiert zu melden, inklusive der Generierung einer Analysedatei für den Hersteller der Virenlösung, der die unbekannte Software genauer untersuchen und gegebenenfalls eine Aktualisierung der Virensignaturen vornehmen kann.

Die Anzahl der Anbieter und die Bandbreite der Leistungsfähigkeit der in diesem Segment angebotenen Produkte ist außerordentlich groß. Oftmals bieten die gleichen Softwarehäuser, die einen rein clientbasierte Virenscanner auf dem Markt haben, auch eine erweiterte, serverunterstütze Version dieser Anwendung an.

Da die Scanner-Engine, die nach bekannten Virensignaturen sucht, direkt auf den Clients installiert ist, skaliert so eine Lösung problemlos mit der Anzahl der Clients. Auch für den unter Umständen eingesetzten zentralen Administrationsserver ist die Anzahl der überwachten Clients grundsätzlich kein Problem. Die Performance des Internetzugangs hängt nicht von der Leistungsfähigkeit dieses Servers ab.

Isolation durch Mikrovirtualisierung

Einen ganz anderen Ansatz verfolgen die Produkte, die auf Virtualisierung und Isolation von Schadsoftware setzen. In diesem Produktumfeld ist der reaktive Virenscanner nicht überflüssig, er wird aber um eine zusätzliche, präventive Komponente ergänzt.

Der Betrieb von Webseiten mit aktiven Inhalten in einer Sandbox kann verhindern, dass aus dem Web geladener Code auf fremde Speicherbereiche zugreift. Das Konzept hinter der Mikrovirtualisierung ist eine konsequente Weiterentwicklung des Sandboxing. Ein typischer Vertreter für Mikrovirtualisierung ist Bromium, das im Folgenden als Stellvertreter für diese Klasse von Software stehen soll.

Schutz durch ein reduziertes Betriebssystem

Sofort nach der Installation auf dem Client erstellt Bromium für die unterstützen Anwendungen MikroVMs. Das sind kleine virtuelle Maschinen, die nur aus der Anwendung selber und den zum Ablauf der Anwendung unbedingt notwendigen Komponenten und Bibliotheken des Betriebssystems bestehen. Im Gegensatz zu ‚echter‘ Virtualisierung wird die MikroVM aus den installierten Komponenten des Betriebssystems erstellt, sie nutzt kein vollständiges, eigenes Betriebssystem.

Überwachung der Außenverbindungen

Wenn Bromium auf dem System aktiviert ist, werden alle im Browser aufgerufenen URLs überwacht. Anhand einer vom Administrator festgelegten Whitelist stellt Bromium fest, welche URLs nicht zum vertrauenswürdigen, internen Netz gehören. Alle Webzugriffe, die nicht in der Whitelist enthaltene URLs betreffen, laufen in einer MikroVM. Ohne explizite Berechtigungen kann die MikroVM nicht verlassen werden. Sollte es zu einer Infektion mit Schadsoftware kommen, bleibt die Infektion innerhalb der VM. Sie wird nach Schließen des Browsertabs zusammen mit der VM aus dem System entfernt.

Angriffe auf den Client erfolgen nicht nur über den Webbrowser, sondern häufig auch per Mail. Aus diesem Grund unterstützt Bromium auch die Virtualisierung von Outlook. Mails und deren Attachments werden, wenn sie von einem externen Empfänger kommen, ebenfalls in einer MikroVM geöffnet und können dort in einer sicheren Umgebung gelesen werden. Dazu erstellt Bromium ebenfalls für die Office-Produkte (Word, Excel, Powerpoint) angepasste MikroVMs.

Isolation empfangener Dateien

Für Dateien, die aus dem Internet empfangen wurden, sei es per Download oder als Mail-Attachment, gibt es ein abgestuftes Sicherheitskonzept:

  • Kein Schutz
    Die Datei wird so wie sie ist im Dateisystem abgelegt.
  • Tagging
    Die Datei wird heruntergeladen, aber als unsichere Datei gekennzeichnet. In dieser Form wird sie auf einem Rechner, auf dem Bromium installiert ist, immer in einer MikroVM geöffnet. Auf einem System ohne Bromium ist das Tagging ohne Wirkung, die Datei kann normal bearbeitet werden.
  • Scrambling
    Die Datei wird heruntergeladen, getagged und gescrambled. Eine derartig veränderte Datei kann auf einem Rechner ohne Bromium (und damit außerhalb einer MikroVM) nicht mehr geöffnet werden. Das Scrambling von Bromium ist keine Verschlüsselung. Es verhindert aber, dass die Datei außerhalb einer MikroVM geöffnet wird.

Insbesondere mit dem Scrambling von Downloads und Attachments kann man den externen Dateiaustausch empfindlich einschränken. Wenn das Scrambling aktiviert ist und für eine von extern empfangene Datei keine MikroVM zur Verfügung steht (z.B. für Visio), dann kann der Anwender die empfangene Datei nicht öffnen. Er muss sich dann zunächst zum Beispiel an seinen Helpdesk wenden, und dort von einem höher berechtigten Mitarbeiter die betreffende Datei als ‚vertrauenswürdig‘ erklären lassen. Dadurch wird das Scrambling aufgehoben und das Tag bei dieser Datei gelöscht. Erst dann kann sie gelesen und bearbeitet werden.

Zentrale Konfiguration

Die Konfiguration von Bromium erfolgt über einen zentralen Server, der die Konfigurationsdateien für die Clients vorhält. Sollte der Server beim Start von Bromium nicht erreichbar sein, verwendet der Client die letzte bekannte Konfigurationsdatei. Für den eigentlichen Betrieb von Bromium wird der Server nicht gebraucht.

Auf dem Konfigurationsserver können Berechtigungsprofile definiert werden, die Gruppen von bestimmten Rechnern referenzieren. Die Konfiguration ist Hardware-spezifisch. Sie bezieht sich auf den Rechner und gilt für alle auf der jeweiligen Maschine angemeldeten Benutzer in gleicher Weise.

Mit Bromium kann man sehr schnell eine vorhandene, bisher offene Infrastruktur wirksam gegen Angriffe von außen schützen. Der Betrieb von Bromium ist zunächst für den Anwender vollständig transparent. Mit Ausnahme der initialen Erstellung der MikroVMs ist auch die durch Bromium auf dem Client erzeugte Last relativ gering. Das entscheidende Performance-Kriterium ist vor allem der Hauptspeicherausbau, gar nicht so sehr die CPU-Leistung.

Außer zur initialen Konfiguration wird für den Betrieb von Bromium kein zentraler Server benötigt. Da die MikroVM auf dem Clientrechner läuft skaliert Bromium auch in großen Netzen problemlos.

Netztrennung mit VPN und vollständiger Virtualisierung

Der Standard-Vertreter dieser Lösung ist BitBox. Bei dieser Lösung wird auf dem Client eine vollständige Linux-VM installiert. Die VM hat in ihrer Grundkonfiguration überhaupt keinen Zugriff auf Ressourcen der Host-Maschine. Die Internet-Verbindung erfolgt über eine virtuelle Netzwerkkarte und einen VPN-Tunnel zu einem Gateway-Server. Dieser Server steht außerhalb des Produktionsnetzes, vorzugsweise in einer DMZ. Auf diese Art sind der Internet-Zugang und Produktionsnetz vollständig voneinander getrennt.

Frühere Versionen von BitBox basierten auf Virtualbox als VM. Sie konnten deshalb nicht neben anderen virtuellen Maschinen auf dem Client laufen. In der aktuellen Version unterstützt BitBox auch Hyper-V, damit entfällt diese Einschränkung.

Ebenso wie Bromium setzt Bitbox auf eine ‚Wegwerf-VM‘. Wenn es im Verlauf der Internetsitzung zu einer Infektion mit Schadsoftware kommt, wirkt diese Infektion nur auf die aktuell laufende VM. Sie bleibt isoliert und wird mit der Beendigung der VM aus dem System entfernt.

Das Betriebssystem von BitBox ist ein gehärtetes Debian-Linux. Als Browser stehen damit vor allem Firefox und Chrome zur Verfügung, jedoch nicht der immer noch sehr oft verwendete Internet-Explorer.

Geregelter Datenverkehr zwischen den Netzen

Up- und Downloads sind in BitBox über Verzeichnisse möglich, auf die sowohl von der VM als auch im Hostsystem aus zugegriffen werden kann. Über diese geteilten Verzeichnisse wird die an sich strikte Netztrennung teilweise wieder aufgehoben. Auf beiden System, sowohl in der VM als auch im Hostsystem, sollten unterschiedliche Virenscanner zum Einsatz kommen, die die klassische signaturbasierte Sicherheitsprüfung der heruntergeladenen Dateien erledigen.

Benutzerspezifische Konfiguration

Die Konfiguration von BitBox kann benutzerspezifisch über das Active Directory erfolgen. Im Gegensatz zu Bromium sind so auch unterschiedliche Berechtigungen für mehrere Anwender auf demselben Rechner möglich.

Da BitBox den zentralen Server als VPN-Gateway und Proxy benötigt, hängt die Verfügbarkeit des Internetzugangs vollständig von der Verfügbarkeit des Servers ab. Abhängig von der Anzahl der Clients kann die Hardwareausstattung des Servers einschränkender Performance-Faktor sein. Grundsätzlich skaliert BitBox aber ebenso wie Bromium auch in großen Netzen sehr gut, weil die VMs lokal auf den Clients laufen. Allerdings setzt die VM einen angemessenen Hauptspeicherausbau (mindestens 4GB) auf den Clients voraus.

Terminalserver

In dieser Umgebung gibt es überhaupt keine Verbindung zwischen dem Produktionsnetz und dem Internet mehr. Damit ist eine strikte Trennung von Internet und geschütztem Netz erreicht. Das größte Problem dieser Lösung ist, dass jetzt die komplette Last aller Internetzugriffe inklusive dem Rendering der empfangenen Seiten auf dem zentralen Terminalserver liegt. Die Clients erhalten über die Verbindung in das Produktionsnetz nur noch die Bilddaten einer Nutzersession, die auf dem zentralen Server läuft. In einer Umgebung mit sehr vielen Clients skaliert diese Lösung schlecht bis gar nicht, weil sich der Server nur begrenzt mit Hauptspeicher und Prozessoren aufrüsten lässt. Videostreaming (YouTube, E-Learning, Mediatheken) ist bei der Nutzung eines Terminalservers ebenfalls kritisch, weil es wegen der reinen Bildübertragung zusätzliche auch noch eine hohe Netzlast vom Server zum Client erzeugt.

Wenn in einer Terminalserver-Konfiguration Up- und Downloads zulässig sein sollen, müssen Austauschverzeichnisse eingerichtet werden, die von beiden Netzumgebungen erreichbar sind. Damit wird jedoch ein wesentlicher Teil der gerade erzielten Netztrennung wieder aufgegeben.

Die einzige, noch weiter gehende Lösung wäre, neben dem Produktionsnetz ein zweites, komplett eigenständiges Netz mit dedizierten Internet-Rechnern zu betreiben.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.