INTERN

Internal Security for Enterprise and Industrial Networks

Wirtschafts- und Industriespionage ist eine der größten Gefahren für  Unternehmen. Laut einer BITKOM-Umfrage von 2013 waren 31 Prozent aller mittelständischen Unternehmen von IT-Sicherheitsvorfällen in den zwei vorherigen Jahren betroffen.

Zunehmend werden Angriffe auf einzelne Unternehmen langfristig und gezielt geplant, als sogenannte Advanced Persistent Threats (APT). APT beinhalten alle Angriffsarten, von zwischenmenschlichen Manipulationen (Social Engineering) bis hin zum Computer-Hacking, und zielen auf interne Informationen aus dem lokalen Firmen-Netzwerk. Interne Geheimnisse sollten nicht das Firmennetz verlassen, und laut einer BITKOM-Umfrage verschicken mittlerweile 47 Prozent der befragten Firmen vertrauliche Dokumente auch nicht mehr per E-Mail. Ein Angreifer muss also direkt in das Firmennetzwerk eindringen,  oder er ist bereits Teil davon! In der Umfrage heißt es weiter: 58 Prozent der attackierten Unternehmen sagen, dass die Störungen von eigenen oder externen Mitarbeitern verursacht wurden.

Schutz vor Wirtschaftsspionage und Sabotage

Um APT-Angriffe abzuwehren bzw. ihre Schäden abzumildern, müssen Unternehmen ihre internen Netzwerke absichern. Fraunhofer SIT adressiert mit dem Projekt INTERN dieses Thema und konzentriert sich auf die Innen-Absicherung von offenen, bereits erfolgreich ausgenutzten Einfallstoren sowie möglichen Angriffsvektoren in Unternehmensnetzwerken.

Die Fraunhofer SIT-Experten führen Schwachstellenanalysen durch, untersuchen Angriffsschritte und verwenden die gewonnenen Erkenntnisse zur Netzwerkabsicherung. Daraus leiten unsere Wissenschaftler Gegenmaßnahmen zur Verhinderung und Abschwächung eines Angriffs ab. Diese Gegenmaßnahmen können in einem zusammenhängenden Schutzmodell für das jeweilige interne Firmen-Netzwerk gebündelt werden, womit proaktiv internen Angriffen vorgebeugt wird. Jede einzelne Sicherheitskomponente kann einfach auf Endpunkten wie Firmen-PCs installiert, in Drucker oder in Netzwerkgeräte (Appliances) und Firewalls integriert werden.

Lösungsansätze für ein geschütztes Netzwerk:

Erweiterung von bestehenden Protokollen

Bei etlichen Protokollen wurde Sicherheit bisher nicht berücksichtigt, sodass eine Vielzahl von Schwachstellen zu unterschiedlichen Protokollen existiert, wie fehlerhafte oder gar keine Authentifizierungsverfahren oder fehlender Integritätsschutz. Fraunhofer SIT kann alte, unsichere Protokolle um Sicherheit ergänzen, ohne die Protokolle modifizieren zu müssen (ein Beispiel ist HashGuard).

Sichere IEEE 802 Layer 2-Ethernet-Verschlüsselung

Derzeit werden, wenn überhaupt, nur Teillösungen zur Verschlüsselung innerhalb interner Netzwerke auf Ethernet-Basis eingesetzt (z.B. von Switch zu Switch oder von Switch zu Router). Eine interne Absicherung muss allerdings vor allem im unsichersten Bereich des Netzwerkes gewährleistet werden: bei den Client-Anschlüssen. Wenn diese Endpunkte abgesichert sind, ist es einem Angreifer nicht mehr möglich, sich hierüber unbemerkt in das Unternehmensnetzwerk einzuschleusen, beispielsweise über den Anschluss fremder Geräte.

Sicheres SSL für den Netzwerk- und Transport-Layer

„SSL ist nicht gleich SSL“: Secure Sockets Layer (SSL) und Transport Layer Security (TLS) wird für interne und  externe Kommunikation allgegenwärtig genutzt. Das bekannteste Beispiel ist wohl das Internet-Protokoll HyperText Transfer Protocol (HTTP), das mit SSL geschützt zu HyperText Transfer Protocol Secure (HTTPS) wird. Es entsteht oft der Trugschluss, man sei sofort sicher, sobald HTTPS vom Anwender verwendet wird. Das SSL/TLS-Netzwerkprotokoll handelt jedoch Verschlüsselungsmethoden (Cipher Suite) aus, die oft nicht sicher sind, da die Server auf Grund ihrer Konfiguration die unsicheren Verfahren bestimmen, um so z.B. weniger Ressourcen des Servers nutzten zu müssen und Strom zu sparen. Das heißt, erst wenn der Client  den Server tatsächlich dazu bringt, die starke Cipher Suite auszuwählen, ist der Anwender auch sicher. Einige Plugins für Internet-Browser wie z.B. Firefox oder Internet-Explorer bieten diese Funktion bereits an. Das erarbeitete Konzept fokussiert diese Problematik vorteilhaft browser- und anwendungsunabhängig.

Remote-Detektion von Manipulation an Soft- und Hardware

Das Trust Establishment and Authentication Protocol wurde vom Fraunhofer SIT entwickelt und macht Vertrauenswürdigkeit von Netzkomponenten im internen Netzwerk aus der Ferne messbar.Hierbei wird der Zustand des gesamten Betriebssystems inklusive Hardwarekomponenten sicher aufgezeichnet und von anderen Netzwerkteilnehmern überprüft. Das Konzept wurde mit Industriepartnern für Katastrophenschutz-Netze in FP7-EU-Projekten entwickelt und bereits erprobt. Ausführliche Informationen sind im Konferenzbeitrag (TEA-Protokoll) beschrieben.

Endpunkt-Management mit Software-Defined networking

Software-Defined networking (SDN) zielt darauf ab, ein Netzwerk weitgehend automatisiert und vereinfacht zu administrieren, z.B. über regelbasierte Zugriffe und dynamische Port-Freischaltung auf Switches, Routern und anderen Netzwerkgeräten. Die charakteristischen SDN-Merkmale berücksichtigen derzeit allerdings keine Endpunkte. Durch die Möglichkeit, die Lösungskonzepte von INTERN nahtlos mit SDN zu verbinden, kann die bisher bestehende und derzeit stetig weiterentwickelte SDN-Technik bereits jetzt schon durch das Lösungsangebot des Fraunhofer SIT mit dynamischer Endpunkt-Sicherheit erweitert werden. Damit können die vorgestellten sowie weitere modular kombinierbare Sicherheitskonzepte durch eine Koppelung mit SDN direkt ad-hoc im Netzwerk administriert werden. (Neben SDN sind auch weitere Managementsysteme für INTERN-Lösungsbausteine möglich.)

Angebot

Das Angebot des Fraunhofer SIT richtet sich an Unternehmen aus Wirtschaft und Industrie. Wir beraten zum Thema IT-Sicherheit, analysieren und härten Infrastrukturen und Industrieanlagen. Des Weiteren können Lösungskonzepte in Kooperation mit Soft- und Hardware-Unternehmen effizient und nachrüstbar in Produkte wie z.B. Netzwerkgeräte (Appliances), Virtuelle Appliances (VM), Firewalls, SDN-Netzwerkgeräte oder Endpunktsicherheitslösungen integriert werden.

  • Analyse und Machbarkeitsbewertung von netz-internen Problemstellungen und Sicherheitslösungen
  • Entwicklung und Design von Sicherheitsbausteinen mit Fokus auf interne Netzwerksicherheit
  • Prototypisierung von Schutzmodellen durch einzelne oder zusammenhängende Sicherheitsbausteine für interne Netzwerksicherheit
  • Integration von bereits bestehenden Sicherheitskonzepten
  • Beratung, Sensibilisierung und Schulung von Mitarbeitern im Bereich IT-Sicherheit, möglicher Vorgehensweisen von APT-Angreifern, interner Attacken sowie notwendiger Gegenmaßnahmen
  • Risiko- und Detailanalysen für individuelle Netzkomponenten oder Systeme, sowie für umfassende Unternehmens- und kritische Infrastrukturen
  • Ausarbeitung individueller IT-Sicherheitsrichtlinien für Unternehmen