Das Sicherheitskonzept

Einsatzbereich und Benutzeroptionen

Der vorrangige Einsatzbereich von TightGate-Pro ist die Nutzung des Internets zur Recherche und E-Mail-Kommunikation an Arbeitsplätzen mit erhöhtem Schutzbedarf. Dabei kann dieser erhöhte Schutz­bedarf aus der Art der intern verarbeiteten Daten oder aus gesetzlichen Vorgaben resultieren. Mitunter setzen auch interne Fachanwendungen den Einsatz älterer oder weniger stark gesicherter Applikation­en voraus, sodass aus diesem Grund eine Trennung des internen Netzwerks vom Internet geboten er­scheint.

Ein Benutzer des dedizierten ReCoB-Systems TightGate-Pro ist in der Lage, mit dem Internetbrowser auf Webinhalte zuzugreifen, Textinhalte über die Zwischenablage zwischen TightGate-Pro Server und dem eigenen Arbeitsplatzrechner auszutauschen sowie optional den Audiokanal zur Tonwiedergabe zu nutzen (z. B. zur Wiedergabe von Multimediainhalten). Weiterhin besteht für Benutzer die technische Möglichkeit zum Dateiaustausch zwischen TightGate-Pro Server und dem eigenen Arbeitsplatzrech­ner über eine gesicherte Dateischleuse. Im Bedarfsfall kann der Benutzer in Eigenregie auf Siche­rungskopien eigener Daten zugreifen und diese zurückspielen.

Hinweis: Ein Benutzer kann auf TightGate-Pro Server generell keine Administratorrechte ausüben und darf die betreffenden Einstellmenüs von Administratorrollen nicht einsehen. Administratorrechte können nicht auf einen Benutzer übertragen werden, die Berechtigungen des Benutzers sind bei TightGate-Pro Server auch nicht über Einstelloptionen erweiterbar. Administrative Eingriffe müssen durch dedizierte Administratorenrollen bewerkstelligt werden, die über separate Zugänge verfügen.

Das Konzept von TightGate-Pro beruht auf dem Zusammenspiel mehrerer Sicherheitskomponenten und Prinzipien.

Gehärtetes Server-Betriebssystem

  • Beschränkung auf notwendige Dienste und Komponenten
  • Bevorzugte Auswahl sicherheitsoptimierter Dienste
  • Feingranulare Zugriffskontrolle mittels RSBAC
  • Kern-Sicherheitserweiterung PaX gegen Buffer-Overflows
  • Sicherheitsoptimierte Kompilierung quelloffener Programme mit Stack-Schutz und Kapse­lung überlaufgefährdeter Funktionen.

Abbildung organisatorischer und rechtlicher Vorgaben

  • Alle Dienste laufen mit angepassten RSBAC-Rollenrechten, welche u. a. für Netzwerkzu­griffe nur positiv definierte Aktionen zulassen.
  • Die Administrationsrechte wurden in bereichsspezifische Rollen aufgeteilt - es gibt keinen „Superuser".
  • Lokale Firewall-Regeln nach dem Minimalprinzip verhindern IP-Spoofing, unerwünschte Verbindungsaufbauten und Sicherheitsrisiken z. B. durch vertauschte Netzwerkkabel.
  • Bereits implementierte zweckgebundene Rollen (z.B. Revision/Datenschutzbeauftragter) erleichtern die verteilte Aufgabenerfüllung und setzen organisatorische und rechtliche Vor­gaben verbindlich um ("Abbildung von Recht in Technik").
  • Revisionssichere Protokollierung aller sicherheitsrelevanten Änderungen von Systemein­stellungen.
  • Zugriff auf Backup-Daten, eigenständige Rücksicherung durch den jeweiligen Benutzer und optionale Verschlüsselung des Backups, sobald es das gesicherte System verlässt.
  • Unterstützung von Log-Pseudonymisierung und externem Logserver.

TightGate-Pro Server ist stellvertretende Ausführungsumgebung

  • Interpreter-Programme mit Internetfunktionalität (Browser, Mail-Client und Viewer) werden stellvertretend in sicherer Umgebung ausgeführt und vom Arbeitsplatz aus fernbedient.
  • Ein Programm im internen Netz (Intranet) kann nicht direkt auf Programme mit Internet­funktionalität zugreifen (Datenabfluss, Fernsteuerung, etc.)
  • Ein Programm im Intranet kann über den TCP/IP-Stack nicht direkt mit dem Internet kom­munizieren.
  • Ein sich im Intranet ausbreitender Virus o. ä. kann sich praktisch nicht auf den TightGate-Pro Server fortpflanzen.
  • Ein im internen Netz installiertes Programm mit bekannten Sicherheitslücken führt nicht zur Verwundbarkeit durch externe Angreifer.
  • Alle Benutzer sind vollständig voneinander getrennt und unterliegen Ressourcen-Be­schränkungen. Ein erfolgreicher Angriff auf einen Benutzerzugang kann die Sicherheit der anderen Konten nicht beeinträchtigen. Eine einfache Wiedereinrichtung des Benutzers mit anschließender eigenständiger Wiederherstellung der Daten aus dem letzten Backup er­laubt eine sehr schnelle Wiederaufnahme der unterbrochenen Internetkommunikation mit minimalem Administrationsaufwand.
  • Jeder versuchte Regelverstoß (z.B. bei einem Angriff) wird präventiv abgewehrt und proto­kolliert.

Interpreter
Die Internetbrowser, Mail-User-Agents, Entpacker und Viewer lassen sich als "Interpreter" zusammen­fassen. Sie müssen empfangene Daten darstellen oder umwandeln. Auf der Anwendungsebene ist dies der Weg, über den Angriffe durch manipulierte Daten erfolgen. Eine Sicherheitslücke in einem der Interpreter hätte auf dem internen Arbeitsplatz-Rechner möglicherweise weitreichende Folgen:

  • Lesen, Löschen oder Verändern von Daten oder Programmen lokal oder im Netzwerk
  • Belauschen (sog. "sniffen") von Netzwerkverbindungen und Tastatureingaben
  • Verbreitung auf andere erreichbare Rechner

Da der betroffene Rechner selbst die Möglichkeit hat, ins Internet zu kommunizieren, bestehen auch noch folgende Gefahren:

  • Fernsteuerung/Fernwirken auf dem Rechner durch entfernten Angreifer
  • Einrichtung einer dauerhaften Hintertür (resistent gegen Sicherheits-Updates)
  • Rückfluss gesammelter Daten an Angreifer (Spionage)

Fazit
Durch die strikte Trennung der Ausführungsumgebung in Kombination mit zusätzlicher Kapselung der ausführbaren Programme lässt sich auf TightGate-Pro Server ein höheres Sicherheitsniveau errei­chen, als es im internen Netz (Intranet) möglich ist. TightGate-Pro Server hat nicht den Status eines vorgeschalteten Opfersystems, sondern ist ein auf die Aufgabenstellung "Internetkommunikation" spe­zialisiertes System, welches bekannten wie zukünftigen Angriffen bestmöglich standhält.