IT-Sicherheit aus der Box

NetzwerkeSicherheitSicherheitsmanagement

Einstecken, kurz konfigurieren und schon ist das komplette Firmennetzwerk geschützt. Appliances gelten als besonders pflegeleicht und einfach zu administrieren. Deshalb sind die Boxen vor allem in kleineren Firmen beliebt.

Zu den Lieblingszielen von Computer-Kriminellen gehört der deutsche Mittelstand. Der Grund: Das Innovations-Potenzial ist hoch, die Schutzsysteme sind dagegen oft löchrig wie ein Schweizer Käse. Während Großkonzerne gegen IT-Bedrohungen große Geschütze in Form von Experten und hohen Standards auffahren, wird das Thema IT-Sicherheit im Mittelstand eher stiefmütterlich behandelt. Einer Studie des Beratungsunternehmens ICM Research zufolge sind knapp zwei Drittel von 600 befragten Mittelständlern nicht besorgt, Opfer von Cyber-Kriminalität zu werden. Doch Vorsicht: Bereits jetzt schätzt das BSI (Bundesamt für Sicherheit in der Informationstechnik) den durch Datenklau verursachten Schaden allein in Deutschland auf rund 20 Milliarden Euro im Jahr.

Auch die führenden IT-Security-Firmen stimmen bei den Trend-Analysen überein: Cyber-Kriminelle erfinden immer neue Methoden für noch bösartigere Angriffe. Im März wurde dabei ein Spitzenwert von 50 Millionen Internet-Bedrohungen verzeichnet, wohingegen es im Dezember 2007 noch rund 15 Millionen waren.

Sicherheit selbst gemacht
Doch die Hoheit über Sicherheitsfragen geben Mittelständler ungern aus der Hand. So genannte Managed Services, bei denen etwa Betrieb und Wartung von Firewalls von einem externen Dienstleister übernommen werden, sind nur für wenige Firmen bisher ein Thema. Der eigenhändige Aufbau einer sicheren Infrastruktur dagegen ist aber sehr komplex und teuer. Vor allem Software-Suiten zur Installation auf den eigenen Servern sind oft nur mit großem Aufwand einzurichten.

Hier punkten Appliances. Hinter dem Begriff verbergen sich dedizierte Gerät im Rackmount- oder Desktop-Gehäuse, auf denen Sicherheits-Software bereits installiert und vorkonfiguriert ist. Der Kunde kauft sich so eine Black-Box, schließt sie an und konfiguriert sie über eine einheitliche Oberfläche. Ähnlich wie bei einem DSL-Router kriegt man viele Funktionen in einem kompakten Gehäuse samt einfacher Bedienung.

Eingeschränkt aber einfach

Den Virenscanner von Firma A, die Firewall von Anbieter B und den Content-Filter der Spezialisten von C. Vorteil einer selbst zusammengestellten Sicherheitsumgebung ist die Wahlfreiheit bei der eingesetzten Hard- und Software. Allein der Kunde bestimmt, welche Maschine er für E-Mail-Filterung einsetzt, welches Programm die Attachments auf Viren prüft und welche Software die angesurften Webseiten nach Drive-by-Schädlingen absucht. Der Nachteil dabei: Das kostet viel Zeit und ist meist auch teuerer. Nicht nur die Zusammenstellung verschiedener Programme ist aufwändig, auch im täglichen Betrieb muss mit einem gewissen Mehraufwand gerechnet werden, da die Produkte unterschiedlicher Hersteller nicht aufeinander abgestimmt sind.

In puncto Ausstattung ist man dagegen bei einer Appliance immer eingeschränkt, denn der Hersteller installiert auf der Box ein bestimmtes Set an Sicherheitsfunktionen und das wars. Wer höhere Ansprüche hat, muss zu einem teureren Gerät greifen. Mit einer Appliance trifft man so selten genau das, was man in der Praxis braucht, entweder hat man zu wenig Funktionen oder die Box hat mehr zu bieten als man selbst nutzen will.

Ein genereller Vorteil vieler Appliances: Sie arbeiten nicht mit einem Standard-Betriebssystem, das auf Standard-Serverhardware läuft, sondern sie sind meist mit einem von Anfang an auf Sicherheit getrimmten Betriebssystem ausgestattet. Die Leistung, die für die Analyse der Datenströme und die Verschlüsselung, etwa des VPN-Verkehrs nötig ist, erzielen vor allem die Highend-Geräte mit speziell entwickelten Komponenten.

Zielgruppe Mittelstand
Appliances eignen sich besonders für kleine und mittelgroße Unternehmen, denn der Administrationsaufwand ist nicht so hoch wie bei klassischen Lösungen. Dagegen ist die Modellvielfalt beeindruckend: Meist geht es bei den Herstellern mit Geräten für fünf Benutzer los, aber schon die mittelgroßen Lösungen stemmen bis zu 1000 User. Beispielsweise sind kleine Büros mit der Securepoint Security UTM Appliance Piranja gut versorgt. Das Gerät ist für Kanzleien, Arztpraxen sowie kleine Filialen oder Firmen gedacht.

Dabei will die Appliance den Spagat zwischen professioneller Sicherheit und einfacher Bedienung schaffen. Mit an Bord sind unter anderem eine Firewall (Stateful Inspection und Application Layer), Virenscanner, Spam-Filter, Content-Filter und VPN-Gateway für den Fernzugriff. Kollegen ohne IT-Background hilft bei der Einrichtung ein Security-Wizard. Nach oben gibt es bei Appliances auch fast keine Grenze, so haben Hersteller wie Checkpoint etwa Appliances für 1.000, 5000 oder 10 000 Nutzer im Portfolio.
  Ab fünf Mitarbeitern rechnen sich kleine Appliances wie die Piranja von Securepoint.

Alles in einem
Dem Trend immer mehr Funktionen in einem Gerät unterzukriegen, folgen seit kurzem auch die Hersteller von Security-Appliances. Diese neue Geräteklasse trägt die Bezeichnung UTM (Unified Threat Management) und kombiniert Firewall, Intrusion Prevention, Application Level Gateway, VPN-Gateway, Virenscanner und Spam-Filter in einem. Diese Kombination macht vor allem für kleine Unternehmen und Mittelständler Sinn, die das Netzwerk und die Mitarbeiter einfach nur schützen wollen.

Doch Vorsicht: Nicht überall wo UTM draufsteht, ist auch UTM drin, so dass es Ihrem Unternehmen Vorteile bringt. Entscheidend ist, dass sich die verschiedenen Schutzmechanismen über eine einheitliche Oberfläche steuern lassen, nur dann spart man sich als Administrator Zeit. Auch das Monitoring, also die Überwachung der IT-Systeme, sollte über eine zentrale Oberfläche möglich sein. Ein Vorteil ist es auf jeden Fall, wenn alle eingebauten Komponenten mit dem gleichen Regelwerk und einem einheitlichen Rollenmodell arbeiten.

Beispiel: Funkwerk UTM 1500
Für 25, 50 oder 75 Benutzer sind die drei Lizenz-Modelle der UTM 1500 von Funkwerk gedacht. In der Appliance stecken ein 1,2 GHz Prozessor, 512 MByte RAM und eine 40 GByte große Festplatte. Die Stateful-Inspection-Firewall ist die erste Kontrollinstanz für den gesamten Datenverkehr. Sie kontrolliert alle Datenpakete zwischen dem Firmennetz und dem Internet. Über mehr als 6.000 Regeln und Signaturen prüft eine zweite Kontrollstelle Netzwerkangriffe. Dieses Intrusion Prevention System greift aktiv in den Datenverkehr ein und blockt Angriffe, bevor sie in das Netzwerk eindringen können.

Außerdem checkt ein Virenscanner den kompletten Datenverkehr über HTTP, FTP, SMTP und POP3. Beim VPN können die Nutzer zwischen PPTP, IPsec und L2TP als Tunnelprotokoll wählen. Auch beim Verschlüsselungsalgorithmus gibt es mehrere Möglichkeiten DES, 3DES, AES, Blowfish, Twofish, Serpent und Cast stehen zum Einsatz bereit. Das Funkwerk-Gerät eignet sich sowohl zum Zugriff für externe Mitarbeiter wie auch zum Verbinden von unterschiedlichen Unternehmensstandorten. Zur Authentifizierung können auf Wunsch auch Zertifikate eingesetzt werden. Rechtlichen Problemen beugt der eingebaute Content-Filter vor: Damit können Sie die erreichbaren Webseiten einschränken. Über 60 Kategorien gibt es, die sich für unterschiedliche Benutzer im Unternehmen anpassen lassen.

Eine neue Geräteklasse namens Unified Threat Management Systeme kombiniert VPN-Gateway, Firewall sowie weitere umfangreiche Security-Funktionen

Mail-Gateways
UTM ist ein aktueller Trend. Doch wer den
Rundum-Schutz nicht braucht, kann auch für spezielle Aufgaben Appliances einspannen, etwa zum Filtern von E-Mails. Aktuellen Statistiken (Quelle: Sophos Labs) zufolge sind 96,5 Prozent aller E-Mails, die heute in Unternehmen eintreffen Spam. Das sind immerhin 27 von 28 E-Mails, die an geschäftliche Nutzer gerichtet sind. Die Gefahr für Unternehmen: Die Spam-Versender versuchen, über Phishing-Mails an Passwörter sowie PIN- und TAN-Nummern der Empfänger zu gelangen oder über infizierte Webseiten, auf die die Nutzer gelockt werden, Trojaner zum Ausspähen von vertraulichen Daten zu installieren.

Die Sophos Labs haben bei ihren Analysen weiterhin festgestellt, dass die Spammer immer ausgefeiltere Tricks anwenden. So nutzen sie verstärkt soziale Netzwerke, wie etwa Facebook oder LinkedIn, um Aufmerksamkeit für ihre Spam-Mails zu erhalten. Unternehmen brauchen deshalb eine integrierte Anti-Spam- und Anti-Malware-Lösung an ihrem Gateway, die laufend aktualisiert wird, um auch die neuesten Angriffe abzuwehren.

Beispiel: Astaro Mail Gateway
Der Appliance-Spezialist hat ein neues Mail Gateway im Programm. Zielgruppe sind kleine und mittelständische Unternehmen, die effizienten Schutz mit einfacher Bedienung brauchen. Folgende Funktionen sind enthalten: Schutz vor Spam, Viren und Phishing sowie E-Mail-Verschlüsselung (S/MIME, OpenPGP, TLS). Die Benutzerverwaltung klappt über ein bestehendes Microsoft Active-Directory oder auch Novell eDirectory. Die Spam-Erkennung ist mit mehreren Verfahren implementiert. Dazu zählen klassische Black- und White-Listen, bei denen die Inhalte der Mails geprüft werden, aber auch Reputation Based Filtering. Bei dieser Technik wird ausgewertet, von welcher IP-Adresse/Domain E-Mails versendet werden.

Zudem blockieren zwei parallele Virenscanner bekannte und unbekannte Schadsoftware in SMTP- und POP3-E-Mails. Bei Ausbruch neuer Viren verringert sich so die Reaktionszeit durch unabhängige Pattern-Updates beider Scanner. Ebenfalls können Phishing-Attacken zuverlässig verhindert werden. Über die Remote-Exchange-Access-Funktion können mobile Benutzer von unterwegs aus aufs Firmennetzwerk via SSL-VPN-Verbindung zugreifen. Die Mail-Gateways von Astaro sind bis etwa 3000 User skalierbar.

Web-Security
Eine weitere Spezial-Disziplin von Appliances ist Web-Sicherheit. Zum einen ist das der Schutz vor Angriffen aus dem Internet auf Firmennetzwerke, zum anderen aber auch der Schutz vor so genannten Drive-by-Downloads, die sich Mitarbeiter beim bloßen Besuch einer infizierten Webseite holen können.

Beispiel: Sophos WS 1000
Schutz vor Viren, Spyware und sonstiger Malware verspricht die Appliance WS 1000 von Sophos. Dazu prüft sie den kompletten Internet-Traffic (auch https) und blockt unerwünschte Inhalte. Aber auch den Weg vom Firmennetz ins Web hat die WS 1000 im Blick. Eine Erkennungsfunktion spürt unerlaubte anonymisierte Proxys auf, mit denen versucht wird die Richtlinien zu umgehen.

Über eine webbasierte Management-Oberfläche verwalten auch unerfahrene Nutzer die Appliance, stellen etwa Richtlinien für die Web-Nutzung der Mitarbeiter ein oder begrenzten die Größe von Downloads. Der signatur-basierte Virenschutz wird auch von einer proaktiven Komponente ergänzt, die anhand des Verhaltens eines Programms Zugriffe erlaubt oder verbietet.Die Web-Appliance von Sophos filtert HTTP- und FTP-Datenverkehr.

Checkliste: So finden Sie das passende Gerät
Appliances sind bei den Kunden wegen der unkomplizierten Handhabung beliebt. Dementsprechend unübersichtlich ist der Markt. Wer sich für Unified Threat Management interessiert, also die Rundum-Sorglos-Lösung sucht, der sollte darauf achten, dass es eine einheitliche Oberfläche für alle Verwaltungs-Aufgaben gibt. Am besten lassen Sie sich das Gerät beim Händler zeigen oder vereinbaren einen Tag an dem eine Demonstration bei Ihnen in der Firma stattfindet.

Wer eine Lösung für E-Mail- oder Web-Sicherheit sucht, sollte auch genau hinsehen, was er kauft. Häufig kombinieren Internet Security Gateways Web- und Mail-Schutz, manche Hersteller lassen aber die elektronische Post außen vor. Gehen Sie am besten wie folgt vor:

– Machen Sie sich eine Liste mit Funktionen, die Sie unbedingt brauchen

– Schauen Sie sich die Geräte beim Händler in einer Demonstration an

– Lassen Sie sich die Unterschiede erklären
– Falls möglich, lassen Sie eine Demonstration der Funktionen bei Ihnen in der Firma machen
– Achten Sie auf Zusatz-Funktionen, die bei vielen auf den ersten Blick gleichen Geräten den Ausschlag geben können, etwa die Anzahl der Ports oder ein WLAN-Modul.
Jörg Geiger/mt