Sandkasten statt Firewall

Bill Cheswick badet am liebsten nackt. Der Forscher von AT&T Research, der Nachfolgerin der berühmten Bell Labs, springt aber nicht ohne Kleider in einen See. Er ist vielmehr im Internet ohne Firewall und ohne Virenschutz unterwegs. Ein Verhalten, das in der Security-Szene als «skinny dipping» bezeichnet wird.

Grund: Cheswick ist der Überzeugung, dass die elektronischen Brandschutzmauern an der Peripherie des Firmennetzes dieses wie in einem Gefängnis einschliessen. Dadurch werde der so wichtige Informationsaustausch mit Geschäftspartnern erschwert oder gar verhindert, moniert Cheswick.

Der Wissenschaftler steht mit seiner Ansicht nicht alleine da. Der Ruf nach einer Firewall-losen IT-Security ist so laut geworden, dass sich eine ganze Reihe von Forschern, Herstellern und Anwendern, allesamt Mitglieder der Interessengemeinschaft «Jericho Forum», zu einem Erfahrungsaustausch getroffen haben. Grundtenor: Die Sicherheitsmassnahmen sollen künftig nicht mehr am Netzwerkrand, sondern direkt bei den Servern und Workstations greifen.

«Diesen Rand gibt es heute eben gar nicht mehr», pflichtet Carl Ellison, Software-Architekt bei Microsoft, seinem Kollegen Cheswick bei. «Um die Verbindung zur Aussenwelt aufrecht zu halten, verschicken wir alle Informationen durch Tunnels über den Port 80 - den einzigen Anschluss, über den unsere Firewall noch Datenverkehr erlaubt», beklagt er. Andere wiederum reissen bewusst Löcher auf. So berichtet beispielweise Paul Simmonds, Sicherheitschef des internationalen Farbenherstellers ICI, dass er in seinen Firewalls einen Port öffnen musste, damit eine Verbindung zwischen seinem ERP-System und der entsprechenden Software eines Abnehmers hergestellt werden konnte. «Was aber nützt eine Firewall noch, wenn in dieser Löcher klaffen?», sinniert Simmonds.

Doch ohne Alternative wollen wohl die wenigsten ihre Firewall auf den Müll kippen. Eine Möglichkeit für Ersatz sieht AT&T-Research-Mann Cheswick in der Virtualisierung. Hierbei lassen sich nämlich mehrere virtuelle Server auf einem realen Hardwarerechner betreiben. Dabei können sie recht einfach abgeschirmt werden, indem die virtuellen Instanzen jeweils in einer «Sandbox» genannten Umgebung ablaufen. Auch Microsoft-Spezialist Ellison stösst ins selbe Sandkasten-Horn. Mit ihrer Virtualisierungslösung könne sich auch Microsoft eine Zukunft ohne Firewall vorstellen.

Einen weiteren Lösungsvorschlag bringt Nashant Kaushik von Oracle ins Spiel. Er sieht die Zukunft in einem intelligenteren Identitätsmanagement, mit dessen Hilfe gewisse Firmendaten und Vorgänge als Services einem breiteren Personenkreis auch ausserhalb der Firma angeboten werden könnten. Auch dadurch würde der Netzwerkrand durchlässiger - bei vergleichbarer Sicherheit.