Das Leben nach der Firewall – oder warum das Netz neue Sicherheitsmodelle braucht

Sie waren und sind der Stolz jeder Sicherheitsabteilung: Firewalls, die das interne Netz vor den Marodeuren im Internet schützen. Hinter ihnen bleiben sorglos alle Ports offen, Server drängen ihre Dienste jedem Client auf und Passwörter jagen im Klartext durchs LAN. So ganz gestimmt hat diese simple Zweiteilung in sicheres internes und böses externes Netz zwar noch nie, schließlich gab es immer schon Spione und verärgerte Kollegen, dennoch funktionierte die Technik gut. Ohne Firewalls wäre das Internet in seiner heutigen Form mit Onlineshopping, Homebanking, VPNs, Web und E-Mail undenkbar.

In modernen vernetzten Firmen wird die Trennung immer schwieriger und weitere Grenzen fallen. Remote Access per VPN, mobile Geräte von Handy und PDA bis zum Notebook, eng verbandelte B2B-Applikationen zwischen einander fremden Firmen, E-Mail an jedem Arbeitsplatz, Webservices und Web-2.0-Techniken schieben die Firewall ins Abseits. Hatte jede Serverapplikation früher ihren eigenen Port und war daher an der Firewall kontrollierbar, läuft heute fast alles über HTTP/HTTPS und Port 80 oder 443. Am Netzwerk-Perimeter sind die Dienste kaum zu unterscheiden.

Doch was nach einer Bedrohung klingt, ist in Wahrheit eine große Chance. Statt die alten Fehler zu wiederholen und Firewalls immer raffinierter auszustatten sowie mobile Geräte aus dem internen Netz zu verbannen, lohnt es sich, die Protokolle, Betriebssysteme und Applikationen auf die neue Situation einzustellen. Einfacher gesagt: Kommuniziert jeder Rechner sicher, braucht das Netz keine Firewall.

Vision und Definition

Kein Trend ohne Buzzword: Deperimeterization, diesen Begriff ersannen das Jericho Forum [1] und die Open Group [2] vor einigen Jahren. Ersteres ist ein loser Zusammenschluss von ISM-Profis (Information Security Management), während die Dachorganisation "Open Group" aus dem Zusammenschluss der Open Software Foundation [3] und X/Open Limited entstand. Bekannt ist die Open Group vor allem durch ihre Single Unix Specification.

Interessanterweise hat sich die Open Group den Begriff "Boundaryless Information Flow" schützen lassen, inoffiziellen Auskünften zufolge, um zu vermeiden, dass Hersteller den Terminus zu Werbezwecken missbrauchen, ohne der Idee gerecht zu werden.

Deperimeterization kehrt zur Wurzel des Problems zurück. Abbildung 1 skizziert den Wandel: Oben sind Daten und Information im herkömmlichen Sinn mit genau definiertem Perimeter zu sehen. Beim "Rings of Trust"-Modell sollte Kommunikation nur von der sicheren Seite (näher am Kern) zur unsicheren Seite laufen. Unten zeigt das Bild die neue Rolle der Daten: Sie stehen im Mittelpunkt der Betrachtung und überschreiten alle Grenzen des Ringmodells.

Das Jericho Forum schlägt vier Bausteine vor, um Kommunikation über alle Grenzen hinweg zu ermöglichen:

• Verschlüsselung
• Sichere Protokolle, vor allem SSL/TLS
• Sichere Systeme
• Authentifizierung und Autorisierung auf Datenebene

Letzteres könnte so ähnlich wie bei DRM-Systemen funktionieren: Die Daten sagen, wer wie auf sie zugreifen darf.

Abbildung 1: Konventionelle Sicherheitsmodelle versuchen Komponenten voreinander abzuschotten. Beim Modell „Rings of Trusts“ ist jeder Ring nach außen hin abgedichtet. Deperimeterization bricht dies auf und berücksichtigt die Tatsache, dass Daten heute über alle Grenzen hinweg verfügbar sind.

Vorhandene Puzzleteile

In einer perfekten Welt würden alle Informationen Merkmale besitzen, um zu erreichen, dass nur autorisierte Personen die Daten sehen und verändern. In den falschen Hände wären sie wertlos. Information Rights Management, IRM (Oracle [4]) heißt dieser Ansatz oft, das meint deutlich mehr, als die Daten nur zu verschlüsseln.

Gegenwärtig arbeiten viele Hersteller an Frameworks, die Authentifizierung und Autorisierung direkt auf Datenebene ermöglichen, etwa Oracle, EMC/RSA und Microsoft DRM. Die Lösungen sind teilweise bereits verfügbar, wenngleich oft zu sehr dem DRM-Gedanken verhaftet. Bisher zeichnet sich nicht ab, welche Technik sich durchsetzen könnte. Insellösungen sind sinnlos, schließlich will Deperimeterization den Informationsfluss erleichtern.

Für das visionäre Ziel des grenzenlosen Netzes fehlen aber noch wichtige Teile. Allen voran die sicheren Endsysteme - hier hat Linux zwar einen hervorragenden Ruf, ist aber noch viel zu angreifbar. Die für Deperimeterization nötigen inhärent sicheren Systeme ließen sich nicht infolge kleiner Programmierfehler komplett kapern. Auch bei den Applikationen gibt es viel zu tun: Gerade Webbrowser fallen immer wieder durch eine Menge heikler Sicherheitslücken auf.

Wer viel reist und mit seinem Laptop von Hotels, Kunden oder Konferenzen aus arbeitet, der weiß, dass das heutige Internet dem Deperimeterization-Ideal gar nicht so fern ist. Aber vom schnöden Diebstahl des Laptops bis zu ausgeklügelten Attacken auf Protokolle, Applikationen und Systeme ist die Gefährdung allgegenwärtig. Hoffentlich liefert Deperimeterization einmal eine bessere Verteidigung als heutige Firewalls, Virenscanner und VPNs. Statt Firewalls sollten dann Traffic-Management-Geräte den Perimeter optimieren. (fjl)