Mehr IT-Sicherheit...

28.09.2017

...dank monolithischer Client/Server-Architektur: Um den Angriffsschutz von KMU-Netzwerken zu erhöhen, sind neue Ideen gefragt. In seiner Master Thesis entwickelte Felix Hosner dazu den Lösungsansatz einer monolithischen Client/Server-Architektur. Dabei ist das lokale Netzwerk physisch vom Internet getrennt, die Nutzung von Webinhalten ist aber trotzdem möglich.

Mit den gebräuchlichen Sicherheitsmassnahmen (Patching, Antivirus, Firewall und Benutzerschulung) konnten früher IT-Bedrohungen klein gehalten und das Schadenspotenzial minimiert werden. Heute, in der Zeit professioneller Attacken, genügt dieser Schutz bei weitem nicht mehr. Zahlreiche brisante Fälle belegen, dass Netzwerke aktuell hohen Angriffsrisiken ausgesetzt sind. Die Gefahren haben sich verändert, aber das klassische IT-Sicherheitsdispositiv ist immer noch das Gleiche. Keine Frage: Die IT-Organisation stösst hier an ihre Grenzen. Neue Konzepte sind gefragt.

Verteidigungsoptionen im Cyberwar

Alternativen zur existierenden Internet-Technologie gibt es nicht. Und da diese Technologie heute weit in die Firmennetzwerkarchitektur integriert ist, enden die Probleme nicht an der Haustüre (Firewall), sie dringen bis ins Herz der Informatik-Landschaft ein. Wie aber kann man sich gegen Angriffe wehren? Bislang fehlte dazu ein systematisches Konzept. Wenn die Lösung darauf basieren würde, einfach den Internetstecker zu ziehen und den Router auszuschalten, würde dies zum Zusammenbruch des jetzigen Wirtschaftssystems führen. Doch welche andere Option gibt es, um KMU-Netzwerke in Anbetracht der realen Gefahren angriffsresistenter und betriebssicherer zu machen? Dieser Frage ging Felix Hosner in seiner Master Thesis nach.

Unterbindung des direkten Datenaustauschs

Er untersuchte die Option einer monolithischen Client/Server-Architektur, die es ermöglicht, zentrale Elemente der IT-Infrastruktur vom Internet zu trennen – ohne von ihm abgeschnitten zu sein. Sie verfolgt den Ansatz, die Visibilität der Systeme zu reduzieren. Die Grundidee besteht in der Abkopplung der zentralen Systeme von der direkten Internetkommunikation. So genannte «Non Routing Zonen» verunmöglichen es dem Netzwerk, direkt mit einem Nachbarnetz zu kommunizieren. Das gilt auch für das «Nachbarnetzwerk» Internet. Die «Non Routing Zonen» sind abgeschottet und können vom Internet nicht erreicht werden. Ihr Wirkungsbereich wird individuell definiert und umfasst idealerweise die Kernsysteme und deren Clients.

zum Vergrössern klicken | Abb 1: Ausgangslage – Monolithische Client/Server-Architektur

Terminal Server und Gateway als Lösungsansatz

Den Datenaustausch zwischen den monolithischen «Non Routing Zonen» und dem Internet gewährleistet ein Terminal Server. Er verfügt über zwei Schnittstellen: eine, die intern mit den Clients kommuniziert und eine zweite zu einem Routing-Netzwerk mit Internetanbindung. Der Client verbindet sich per RDP-Protokoll mit dem Terminal Server. Dieser stellt die Verbindung ins Internet her und bietet dem Client entsprechende Browser-Funktionalitäten an. So können weiterhin Remote Support Tools eingesetzt und Home-Office-Arbeitsplätze vernetzt werden.

zum Vergrössern klicken | Abb2: Docker Lösung – Monolithische Client/Server-Architektur

Das Konzept kann die Sicherheit stark erhöhen

Felix Hosners Master Thesis über eine monolithische Client/Server-Architektur leistet eine wesentliche Vorarbeit für ein Sicherheitskonzept, das einen Paradigmenwechsel in der IT-Sicherheit von KMU-Netzwerken einläuten könnte. Das Konzept zeigt auf, wie sich die Angriffsfläche mit verhältnismässig geringem Aufwand auf wenige Systeme reduzieren lässt. Ein überwachter und dokumentierter Datenaustausch via Gateway ist eine gute Grundlage für eine effektive Data Leakage Prevention intern und extern. Für die Weiterentwicklung und Umsetzung in die Praxis werden sich Herausforderungen der Automatisierung und Individualisierung stellen. Vorstellbar ist ein «Out Of The Box Feature» für KMU, die sich ihrer IT-Security-Problematik bewusst sind.


Felix Hosner ist Geschäftsführer der Computer Coach GmbH und Absolvent des MAS IT Networking and Security.