Sie sind hier: UTM - Teil II
Weiter zu: 2008 - 2011
Allgemein:
Impressum
Kontakt
|11.07.2010|
Bis noch vor nicht allzu langer Zeit war die Kontrolle von Inhalten lediglich unter dem Aspekt von Schadcode wichtig. Die Nutzung des Internet war oft nicht eingeschränkt, so dass die Benutzer immer und überall vollen Zugriff auf das Internet hatten. Ein Nebeneffekt sollte wohl sein, dass sich die Benutzer dann im Internet auskennen und es besser für ihre produktive Arbeit nutzen können. Schon bald kamen dann erste Bedenken, die auch juristisch untermauert wurden. Im Internet sind durchaus illegale Inhalte abrufbar. Es muss sich dabei nicht immer um die vielzitierten Bombenbauanleitungen handeln. Beispielsweise ist die Nutzung von Symbolen aus der Nazi-Zeit in Deutschland illegal, während es in anderen Ländern durchaus erlaubt sein kann. Da keine „Zollkontrollen" stattfinden, sind hier Probleme bereits abzusehen.
Diese Probleme belasten dann Unternehmen, die ihren Mitarbeitern freien Zugriff in das Internet erlauben. Inhalte werden eventuell sogar auf dem lokalen PC, der dem Unternehmen gehört, gespeichert. Sie werden vielleicht sogar auf einem Dateiserver im Unternehmen hinterlegt. Spätestens jetzt ist das Unternehmen für die hier gespeicherten Daten und ihre Inhalte verantwortlich. Sofern der Staatsanwalt an die Tür klopft und die Server zur näheren Analyse mitnimmt, muss die Geschäftsleitung für die illegalen Daten geradestehen. Natürlich sind in diesem Fall noch weitere Folgen für das Unternehmen vorhanden: Die internen Prozesse des Unternehmens werden bei fehlenden Servern nicht mehr unbedingt gut funktionieren. Neben dieser Verantwortung der Unternehmensführung ist noch eine weitere zu berücksichtigen, wenn das Unternehmen auch minderjährige Mitarbeiter hat. Es kann nicht sein, dass noch nicht volljährige Auszubildende oder Praktikanten Zugriff auf alle Inhalte des Internets haben.
Hier muss der Arbeitgeber die Konsequenzen tragen, wenn diese Personen auf Inhalte zugreifen können, deren Betrachtung erst ab dem 18. Lebensjahr legal ist. Natürlich sind weitere Aspekte wie „sexuelle Belästigung am Arbeitsplatz" etc. auch zu berücksichtigen. Insofern kommt heute kein Unternehmen mehr daran vorbei, die von Benutzern aus dem Internet abgerufenen Inhalte nach Kategorien zu filtern und ggf. zu sperren. Die Unternehmensführung handelt fahrlässig, wenn dies nicht geschieht.
Hersteller haben dies bereits vor Jahren erkannt und bieten passende Software an. Häufig basiert sie auf einer Datenbank, in welcher viele im Internet ansprechbare Adressen kategorisiert sind. Der Administrator konfiguriert Filter über eine grafische Benutzeroberfläche und braucht sich häufig um weitere Schritte nicht mehr zu kümmern. Die meisten Hersteller bieten die Option, dass sie die Einträge ständig aktualisieren. Das ist sinnvoll, weil speziell die illegalen Inhalte im Internet „wandern" und ständig von anderen Servern angeboten werden.
Die Kontrolle der Inhalte des Internet setzt also häufig auf eine eher große Datenbank auf. Die Filterung nach einzelnen Mustern oder Buchstabenfolgen ist nicht sinnvoll. Einerseits sind Server auch über ihre IP-Adresse und nicht nur über ihren Namen aufrufbar, andererseits müssen die Benutzer zum Beispiel Informationen über „StaatSEXamen" abrufen können, was aber vielleicht von dem einfachen Filter gesperrt wird, da hier eine anstößige Buchstabenfolge enthalten ist.
Server zur Content Control müssen die gesetzlichen Vorschriften auch in Bezug auf Logging einhalten. Wenn nachvollziehbar ist, wer wann welche Daten abgerufen oder dies versucht hat, sind das zu schützende personenbezogene Daten. Es ist nicht legal, wenn eine einzelne Person diese Daten unkontrolliert abrufen und in ihrem Sinne auswerten kann. Die gegenseitige Kontrolle, also das Vier-Augen-Prinzip bei der Auswertung von Logdaten, ist quasi zwingend notwendig. Oft kommt die Software zur Kontrolle von Inhalten nicht aus Deutschland oder der EU, so dass beim Hersteller vielleicht eine andere gesetzliche Grundlage vorhanden ist. Dies sollte bei der Einführung solcher Software auf jeden Fall berücksichtigt werden.
Es ist noch nicht lange her, da waren Unternehmen genügend abgesichert, wenn sie eine Firewall gegenüber dem Internet einsetzen. Spätestens aber seit „Code Red“ und „Nimda“ ist bekannt, dass auch im internen und vermeintlich vertrauenswürdigen Netzwerk Störungen auftreten können, die den Produktivbetrieb erheblich beeinträchtigen. Solche Störungen, also Abweichungen vom Normalbetrieb, werden häufig als „Intrusion" bezeichnet.
Intrusion Detection Systeme (IDS) gibt es in zwei grundsätzlich verschiedenen Ausprägungen. Ein Typ von IDS arbeitet grundsätzlich Netzwerk-basiert (NIDS), während ein anderer Host-basiert wirkt (HIDS). Allgemein fungiert ein IDS grundsätzlich nur als Alarmanlage, d.h. Abweichungen vom Normalbetrieb werden erkannt und der Administrator alarmiert. Das setzt aber auch voraus, dass ein Administrator beispielsweise auch bei einem Alarm nachts um drei Uhr sofort oder zumindest zeitnah auf den Alarm reagieren kann. Wird der Alarm erst morgens beim Arbeitsbeginn registriert, ist kein IDS notwendig - hier würde die normale Kontrolle der Logdaten genügen.
Vergleichbar ist dies mit den Alarmanlagen im Villenviertel, die bei einem Gewitter sehr laut sind, aber von allen umstehenden ignoriert werden. Auch in diesem Fall ist die Alarmanlage quasi überflüssig, da keine zeitnahe Reaktion auf den Alarm erfolgt.
Intrusion Prevention Systeme (IPS) gehen weiter. Mit ihnen werden nicht nur die Abweichungen vom Normalbetrieb erkannt, sondern z.B. verdächtige Verbindungen auch beendet, sofern möglich. Mit einem IPS ist also ein Schutz zu erreichen, nicht nur eine Alarmierung. Oft sind IDS und IPS kombiniert, so dass auch von IDS/IPS gesprochen werden kann. Frühe Netzwerk-basierte IDS/IPS hatten Probleme, alle über das LAN übertragenen Pakete zu prüfen.
So kam es auch zu Fehlern, indem bestimmte über das Netzwerk laufende Angriffe nicht erkannt (False Negative) oder normale Datenübertragungen als Angriff erkannt wurden (False Positive). Das kann heute natürlich auch noch passieren, wobei aktuelle, in Hardware realisierte Systeme durchaus die über das LAN übertragenen Pakete in Echtzeit prüfen können. Natürlich sind solche Systeme mit Kosten verbunden, die nicht immer sehr niedrig sind. Insofern muss die Anschaffung einer sehr leistungsfähigen Hardware mit IDS/IPS gründlich überlegt und gut begründet sein.
Host-basierte IDS/IPS überwachen einzelne unternehmenskritische Server. Das Spektrum der Leistungen geht von der einfachen Überwachung von lokaler Logdaten und Binärdateien bis hin zu einem mehrschichtigen System, das zusätzlich sämtliche ein- und ausgehenden Pakete gründlich prüft. Diese Prüfung kann so weit ausgebaut werden, dass eine im Prinzip vollwertige Firewall aktiv ist, erlaubte Daten weiter geprüft und gefiltert werden, bis sie schließlich an eine spezifisch konfigurierte Application Firewall weitergegeben werden. Erst danach ist ein eingehendes Paket für die Applikation nutzbar. An dieser Stelle wird wiederum deutlich, dass Sicherheit angemessen sein muss, damit auch die Kosten in einem vernünftigen Rahmen bleiben.
Immer mehr Benutzer sind an Netzwerke angeschlossen und müssen auf Server, die sich irgendwo anders im Netzwerk befinden, zugreifen. Zusätzlich sind auch von Servern initiierte Verbindungen immer häufiger zu finden, beispielsweise zur Durchführung von automatischen Updates, Sicherungen oder sonstigem Datenaustausch.
Die Zeit des gegenseitigen Grundvertrauens ist vorbei, speziell im Internet. Daher ist es heute zwingend notwendig, eine sichere Authentifizierung durchzuführen. Danach wird dann der Benutzer bzw. auch das System autorisiert, gewisse Aktionen zu tätigen. Speziell bei administrativen Zugriffen sollte die Authentifizierung so sicher wie möglich erfolgen. Hier genügt ein einfaches und möglichst noch gut merkbares Passwort auf keinen Fall mehr. Besser ist an dieser Stelle die sog. Zwei-Faktor-Authentifizierung, bei der ein Benutzer etwas haben und etwas wissen muss.
Beispiele hierfür sind Token-basierte Verfahren oder auch der Einsatz von Zertifikaten. Mit letzteren können sich auch Systeme gegeneinander authentifizieren, was nach dem heutigen Stand der Technik als sicher gelten kann, sofern die Systeme selbst sicher aufgesetzt sind.
Es ist heute selbstverständlich, dass relevante Ereignisse in Logs festgehalten werden. Auch andere Vorfälle können interessant sein, und sei es nur zu statistischen Zwecken. Teilweise ist das Erfassen solcher Daten auch gesetzlich notwendig bzw. gesetzlich gefordert. Daher ist Logging heute wichtig und überall konfiguriert.
Beim Einschalten von Logging muss die Gesetzeslage beachtet werden. So ist es beispielsweise nicht gestattet, dass aus den Logs einer Firewall die Lieblingsseiten des Vorstands extrahiert und mit Nennung der Namen veröffentlicht werden. Wenn aus einem Eintrag im Log zurückverfolgt werden kann, welche Person diesen verursacht hat, handelt es sich um (schützenswerte) personenbezogene Daten. Ähnlich gilt natürlich auch in anderen Bereichen, daher sollte vor dem Einschalten ausführlichen Loggings sichergestellt sein, dass alle gesetzlichen Forderungen erfüllt werden. Dazu kann übrigens auch gehören, dass der Zugriff auf das Log nicht für eine einzelne Person möglich ist, sondern das Vier-Augen-Prinzip eingehalten werden muss.
In vielen Unternehmen werden die technisch begründeten Logs manuell danach untersucht, ob Auffälligkeiten zu finden sind. Wenn ja, wird auch heute noch oft eine manuelle Korrelation von Ereignissen aus mehreren Logs durchgeführt. Dieses Verfahren ist aufwändig, kostet Zeit und ist nicht immer effektiv bzw. wirklich zum Ziel führend. Bereits seit einiger Zeit gibt es Werkzeuge, die die in den Logs enthaltenen Daten zusammenführen und auswerten können. Hiermit ist eine einfache und auch effektive Auswertung und Zusammenstellung von Logdaten möglich.
Immer wichtiger wird heute auch die Nachvollziehbarkeit. Damit ist gemeint, dass revisionssicher dokumentiert ist, welcher Administrator wann an welchem System eine Änderung vorgenommen hat. Diese Daten sind selbstverständlich personenbezogen, aber für die Revision notwendig. Auch hierfür gibt es inzwischen Werkzeuge, die eine Auswertung durchführen und damit quasi auf Knopfdruck die Konfigurationsgeschichte eines Servers dokumentieren.
Die im vorigen Kapitel genannten Punkte sorgen dafür, dass IT-Umgebungen sicher aufgebaut, betrieben und auch auf Dauer die gewünschte Sicherheit bieten. Nun könnte an dieser Stelle eine Liste unterschiedlicher Hersteller mit einzelnen Produktbeispielen für alle genannten Kategorien folgen. Dabei würde deutlich, dass nicht nur der Kauf, sondern vor allem die laufende Administration der einzelnen Komponenten sehr aufwändig ist.
Hinzu kommt, dass sehr viele Lösungen rein auf Software basieren, so dass neben den Lizenzen und der laufenden Software-Wartung noch eine passende Hardware angeschafft werden muss. So wäre also für jedes Produkt zunächst zu erforschen, welche Anforderungen an die Hardware und weitere Umgebung genau bestehen, um dann auch festlegen zu können, ob ggf. mehrere Produkte auf der gleichen Hardware laufen dürfen. Dieser Prozess kann durchaus etwas länger dauern. Gewünscht wäre eigentlich eine einheitliche Hardware mit einem zentralen Management.
Dieses sollte möglicherweise noch mit einem einzigen GUI funktionieren, damit der bzw. die Administratoren alles auf einen Blick übersehen und beurteilen sowie die Konfiguration mit der dann gewohnten grafischen Oberfläche durchführen können. Nur so ist eigentlich im Bereich Sicherheit die notwendige Übersicht aufrecht zu erhalten, während unübersichtliche und komplexe Lösungen, die aus unterschiedlichen Komponenten verschiedener Hersteller bestehen, potenziell Unsicherheit nach sich ziehen können. Insofern ist eine Hauptforderung für den Betrieb sicherer Systeme: Einfachheit!
UTM wird heute oft als die Technik angesehen, mit der sich alle Probleme lösen lassen. Dies ist zwar nicht immer und grundsätzlich der Fall, aber in vielen Situationen kann UTM sinnvoll sein.
Unified Thread Management wurde im Jahre 2004 von Charles Kolodgy, Mitarbeiter der International Data Corporation (IDC), beschrieben. Die Idee, die hinter diesen drei Buchstaben steht, ist folgende: Die Sicherheit für das Unternehmen ist auf ein zentrales und ausschließlich dafür zuständiges Gerät konzentriert. Es handelt sich dabei meist um eine Appliance, die Hard- und Software miteinander vereinigt, so dass hierfür genau ein Ansprechpartner bzw. Hersteller zuständig ist. Die wichtigsten Komponenten sind von Haus aus sicher konfiguriert, so dass von Sicherheit „out of the box" gesprochen werden kann. Alle Teilbereiche von Sicherheit, sei es Firewall, VPN, IDS/IPS oder auch Inhaltskontrolle und Authentifizierung sind einfach und übersichtlich zu verwalten.
Die Idee erfasst die wichtige Grundproblematik guter Sicherheit sehr gut, da das am häufigsten auftretende Problem nicht die Arbeitsüberlastung der Administratoren ist, sondern die fehlende einfache Bedienung und gute Übersicht. UTM konzentriert alle notwendigen Sicherheitsmechanismen auf ein Gerät mit grafischer Benutzeroberfläche, wodurch die wichtigsten Forderungen erfüllt sind: Zentrales Management aller Komponenten, zentrales Logging und möglichst einfache Bedienung. Als Folge ist der Administrator entlastet und hat eine höhere Übersicht, was unter dem Strich dazu geeignet ist, die Sicherheit weiter zu erhöhen. Früher hatten die meisten Hersteller ihren individuellen Schwerpunkt. Da gab es dann beispielsweise spezialisierte Hersteller für Firewalls und VPN, für Antivirus-Software und Content Control. Diese Spezialisierung ist früher teilweise durch Partnerschaften gebündelt worden, wobei aber jeder für „seinen" Teil gestanden ist.
Früher sagten Firewall-Hersteller, dass vom Gebiet Antivirus und Content Control andere Partner mehr verstehen und dass man sich weiterhin auf sein eigenes Kerngebiet, die Firewall, konzentrieren würde. Heute, im Zeitalter von UTM, kauft ein Hersteller bei einem anderen Hersteller die Komponenten und vertreibt sie unter eigenem Namen. Oftmals ist es sogar schwierig zu erfahren, wer die einzelnen Komponenten von welchem Hersteller bezogen und eingebaut hat.
Für Kunden ist dies oft nicht so interessant oder gar wichtig, weil für sie ein „Rundum-Sorglos-Paket" wahrscheinlich interessanter ist. Die Frage ist eigentlich, was heute noch der Vorteil von Herstellern ist, die sich weiterhin auf Antivirus, Content Control oder Authentifizierung allein konzentrieren. Viele Hersteller werben heute intensiv für UTM, wobei die möglichen Vorteile dieser Lösung glasklar herausgestellt werden. Nachteile scheinen überhaupt nicht vorhanden zu sein. Trotzdem sollte sich jedes Unternehmen vor der Anschaffung bzw. der Umstellung auf UTM in Bezug auf die vorgesehene Lösung folgende Fragen stellen:
- Was sind die genauen Anforderungen an das anzuschaffende Gerät und die implementierten Lösungen?
- Sind die Anforderungen in der geplanten Lösung wirklich umgesetzt?
- Was ist der wirkliche Vorteil gegenüber den heute eingesetzten Lösungen?
- Wo liegt der (bisherige) Schwerpunkt des Gerätes bzw. Herstellers?
- Wie hoch ist der Anschaffungspreis und wie hoch sind die jährlichen Wartungskosten für die gesamte Lösung?
- Ist die Laufzeit der Hardware zeitlich begrenzt?
Speziell der letzte Punkt ist sehr wichtig. So kann es in einiger Zeit (z.B. in zwei oder drei Jahren) zu einem Problem kommen, wenn der Hersteller die Hardware dann nicht mehr unterstützt, die parallel angeschafften Lizenzen aber noch weiterhin gültig sind und unter Wartung stehen.
Dieses kann ein KO-Kritierium für die Lösung sein. Nur wenn alle oben genannten Punkte positiv beantwortet sind und die Vor- und Nachteile der vorgesehenen Lösung bekannt sind, sollte auf UTM umgestellt werden. Rein vertrieblichen Argumenten sollte hier nicht gefolgt werden - dafür sind die Kosten bzw. auch das Risiko zu hoch.
Die Anforderungen von kleinen und mittleren Unternehmen in Bezug auf Sicherheit sind auch heute noch oft nicht so hoch wie die von großen Unternehmen. Gerade im Bereich der ganz kleinen Unternehmen liegt mit UTM eine Lösung vor, die einerseits die notwendige Sicherheit bietet, andererseits aber auch noch bezahlbar ist. Da heute oft hier nur rudimentäre Sicherheitsmechanismen zu finden sind, stellt der Einsatz von UTM sehr häufig einen großen Fortschritt in Bezug auf die Erhöhung der Sicherheit dar. Hierdurch sind alle Funktionalitäten aktiv und aktuell, d.h. der sogenannte „Rundumschutz" hilft wirklich.
Bei mittleren Unternehmen mit z.B. bis zu 500 Mitarbeitern kann UTM auch sinnvoll sein. Gesetzliche und andere Voraussetzungen fordern einen vernünftigen und angemessenen Schutz interner Daten und auch den Schutz von Mitarbeitern. Viele Hersteller haben diesen sehr großen Markt bereits entdeckt und bieten Lösungen in Form von Appliances an. Diese lassen sich oft relativ einfach verwalten und sind meist auf ihre Kernkompetenz wie z.B. Antivirus oder Anti-Spam spezialisiert.
UTM ist der Ansatz, der für den Mittelstand alle notwendigen Funktionalitäten in einem zentralen Gerät zusammenfasst. Damit hat das Unternehmen dann ein zentrales Gerät für die Sicherheit, ein zentrales Management für alle Funktionalitäten und auch genau einen Hersteller und damit Ansprechpartner für alle Funktionalitäten - auch im Bereich Support. Insofern ist UTM für kleine und mittlere Unternehmen ein guter und effektiver Ansatz, das Thema Sicherheit anzugehen. Bestehende und zur vollen Zufriedenheit funktionierende Lösungen müssen aber nicht zwingend abgelöst werden, insofern ist die Einführung von UTM für diese Unternehmen keineswegs ein „Muss".
Große Unternehmen haben oft weitergehende Anforderungen an Sicherheitslösungen als der Mittelstand. Auch sind meist bereits alle Anforderungen in punkto Sicherheit umgesetzt, so dass durch die Einführung von UTM nicht immer ein Fortschritt verbunden sein muss. UTM zentralisiert alle sicherheitsrelevanten Aufgaben, daher ist das Thema Ausfallsicherheit von sehr hoher Bedeutung. Noch nicht alle Hersteller bieten wirklich ausfallsichere Geräte bzw. Lösungen für den Bereich UTM an. Gefordert wäre ein Cluster von Geräten, bei dem einzelne Komponenten ausfallen können, ohne dass die Gesamtfunktionalität beeinträchtigt ist.
Das ist heute bei noch nicht allen Herstellern der Fall. Auch in anderen Bereichen kann vorkommen, dass der Einsatz von UTM für große Unternehmen nicht optimal ist. Dazu zwei Beispiele.
Das Thema Content Security wird heute mit verschiedenen Lösungen unterschiedlicher Hersteller umgesetzt. Hier gibt es sehr einfache Lösungen, die z.B. Muster aus dem vom Benutzer aufgerufenen Namen überprüft. Diese Methode ist keinesfalls mit einer gründlichen Untersuchung zu vergleichen, bei der auch die IP-Adresse und weitere Dinge gegenüber einer Datenbank geprüft werden, die mehrere hundert Megabyte Umfang hat. Sofern eine solche Lösung bereits im Einsatz ist, bedeutet die Umstellung auf UTM eher einen Rückschritt - oder welche kleine Appliance bietet alleine auf diesem Gebiet schon diesen Umfang?
Ähnlich verhält es sich mit Antivirus-Software. Gute Lösungen haben neben einem heuristischen Ansatz auch Muster, die so gut wie allen bekannten Schadcode erkennen lassen. Software, die „effektiv" und „sehr performant" arbeitet, untersucht ggf. nur momentan aktuelle Muster. Das mag zwar in einigen Fällen genügen, aber auch hier kann UTM gegenüber der „großen" Lösung einen Rückschritt bedeuten. Ähnlich kann es sich auch in den Bereichen Reporting, IDS/IPS und Anti-Spam verhalten.
Ausgehend von den letzten beiden Abschnitten wird deutlich, dass UTM für kleine und mittlere Unternehmen durchaus eine Lösung darstellen kann, die alle geforderten und gewünschten Sicherheitsmechanismen zur Verfügung stellt und verwaltet Die möglichen Nachteile sind meist tolerierbar und im Vergleich mit anderen Lösungen speziell im Bereich Kosten und Verwaltbarkeit zu akzeptieren.
Demgegenüber haben Großunternehmen andere Anforderungen an eine Sicherheitslösung. Hier ist neben einer sehr hohen Performance auch eine hohe Ausfallsicherheit gefordert, die nicht mit allen UTM-Lösungen umzusetzen ist. Zusätzlich reicht hier die Tiefe der Untersuchungen sowie die Flexibilität der Lösung nicht immer aus, um alle Anforderungen wirklich zu erfüllen.
Unter dem Strich ist also UTM kein „Allheilmittel", sondern eine Option, die für Unternehmen interessant sein kann, aber nicht zwingend sein muss. Vor der Anschaffung von UTM bzw. vor der Umstellung auf UTM sollten alle relevanten Fragen ausführlich geklärt und positiv beantwortet sein, ansonsten kann die Einführung von UTM einfach nur teuer und überflüssig (gewesen) sein.