NET 10/2021

10 www.net-im-web.de 10/21 Security Day in Dietzenbach ist keine Verarbeitung möglich. Von IBM ist zwar eine Möglichkeit, per Datenbank direkt auf verschlüsselte Datenbestände zuzugreifen – inwieweit diese Lösung sich auf breiter Front nutzen lässt, ist aber bei weitem noch nicht ausgemacht. Cloud-Umgebungen haben nach Palo-Alto-Lesart gerade bei Konstruktionen mit Anbindungmobiler Clients bzw. Clients aus HomeOffice ein Latenz-Problem, wenn die bisherige Struktur der Sicherheitsarchi- tektur beibehalten wird: Gedanke in der ersten Stunde des Home-Office-Umzugs zu Beginn der Pandemie 2020 war, dass man den Client per VPN ans Firmennetz an- bindet und dann so behandelt, als wäre das Gerät direkt im Firmennetz angeschlossen. Haken daran: bei Echtzeitanwendungenwie Zoom oder Teams kommt es zu massiven Verzögerungen, weil sich die Signallauf- zeit mindestens verdoppelt oder gar noch schlechter wird: Zur Laufzeit zwischen Echtzeitdienst und Firmennetz kommt nämlich dann noch die Laufzeit zwischen Firmennetz und externem Client hinzu. Gefragt sind also intelligente Lösungen, die es gestatten, so schnell auf die Ressourcen des Firmennetzes zuzugreifen, als wäre man vor Ort, ohne dabei das Sicherheitsniveau abzusenken. Palo Alto und Checkpoint gehen dieses Problem auf recht ähnliche Art und Weise an, sie modularisieren ihre Sicherheitslösungen und bieten so die Möglichkeit, die Sicherheitsfunktionen maßgeschneidert an die jeweilige Situation anzupassen. Blickt man auf die Geschichte der beiden Unternehmen zurück, so haben sie eine erstaunliche Entwicklung hinter sich. Checkpoint beispielsweise wurde bekannt durch die ersten, tatsächlich funktionie- renden Stateful Inspection Firewalls – die gehören übrigens auch noch heute zum Portfolio von Checkpoint – und auch Palo Alto kommt ohne diese Technik nicht aus. Inzwischen stellen diese Firewalls aber nur noch eine Vervollständigung eines gan- zen Arsenals von trickreichen Abwehr- maßnahmen gegen Cyberangriffe dar, die während der Corona-Pandemie erheblich zugenommen haben und zugleich auch erheblich teurer geworden sind, weil die Lösegeldforderungen inzwischen auf ex- orbitante Millionenbeträge angewachsen sind. Schutz vor Ransomware Dies dürfte die heutige Hauptbedrohung sein: per Mail oder über eine Schwachstelle eines mit dem Internet verbundenen Sys- tems gelangt ein Trojaner ins Firmennetz und verschlüsselt die Daten, die er errei- chen kann und versucht, zugleich weitere Systeme imNetz zu infizieren, damit auch die beim Werk der Zerstörung „helfen“. Zur Absicherung gegen solche Angriffe helfen nicht einmal die bislang geläufigen Mittel weiter: DieNetzwerk-Segmentierung trennt zwar das Netz in einzelne Einheiten auf, zwischen denen keine direkte Ver- bindung existiert bzw. existieren sollte. Doch die Clients benötigen den Zugriff auf die gleichen Server – so entsteht die Verbindung zwischen Layer-3-Segmenten auf dem Umweg über die Server. Guardicore hat mit einer soft- warebasierten Netz-Segmentierung eine Möglichkeit gefunden, die Rechner vor- einander zu schützen, ohne dabei jegliche Kommunikation unmöglich zu machen. Ein zentraler Server kontrolliert in diesem System die Verbindungen innerhalb des Netzes und unterbricht sie, sobald auch nur der Verdacht aufkommt, dass Malware ihr Unwesen treiben könnte. Gegen Angriffe auf Schwachstellen innerhalb des Netzes von außen schützt auch in diesem Szenario eine klassische Firewall – allein der interne Schutz wird mittels Segmentierung und Netzeverkehrsanalyse aufgebaut. Fortinet hat diese Wandlung der Netzsicherheit recht einfach und treffend umrissen: Während man „früher“ (das ist noch gar nicht so lange her) ein Netz in Für IT-Verantwortliche ist das Netz eine unüberblickbare Ansammlung von Schwachstellen und Risiken, die oft genug noch nicht einmal hinsichtlich Risikominimierung abgesichert sind (Grafik: Guardicore)