Für die einen ist der Siegeszug der elektronischen Kommunikationsmittel wie Internet und E-Mail ein Segen, für die anderen ein Fluch. Die IT-Betreuer befinden sich in einem ständigen Aufrüstungswettlauf, um neue Schlupflöcher abzudichten oder Schwachstellen der Server-Betriebssysteme mit neuen Patches zu beheben. Hinzu kommt, dass die Server mit steigenden Benutzerzahlen mehr RAM und größere Festplatten benötigen oder gleich eine leistungsfähigere Plattform angeschafft werden muss.
Arbeiten, die für die Unternehmen ins Geld gehen, zumal leistungsstarke Server trotz sinkender Hardwarepreise nicht billig sind. Neben den direkt sichtbaren Ausgaben für Hard- und Software wartet auf die Firmen noch ein weiterer Kostenfaktor: Die ständig wachsende Komplexität der Server-Betriebssysteme erfordert fachkundiges Wartungspersonal, das sich mit deren Untiefen und Fallstricken auskennt. Also Spezialisten, die das Personalkostenbudget belasten.
Muss das sein? Nein, das versprechen zumindest zahlreiche Hersteller auf der CeBIT. Security Appliances sollen sparen helfen. Unter dieser Gerätegattung verstehen Aussteller wie Symantec, Cisco und andere Produkte, die für einen festumrissenen Einsatzzweck konzipiert sind. Spezielle Aufgabengebiete im Sicherheitsbereich könnten etwa VPNs (= Virtual Private Networks) sein, die Verschlüsselung der Kommunikationsleitungen (etwa ISDN-Verbindungen), Firewall, E-Mail oder Internet-Content-Überprüfung sowie die Intrusion Detection, also das Erkennen von Einbruchsversuchen. In jüngster Zeit zeigt sich verstärkt der Trend, zwei oder mehr Sicherheitsfunktionen in einem Kombigerät zu integrieren.
Standardkomponenten
Das Konzept, das sich hinter den Security Appliances verbirgt, ist ebenso einfach wie faszinierend: Man nehme - vereinfacht ausgedrückt - Standardkomponenten wie aktuelle Intel-Prozessoren der Pentium-Klasse, Motherboards, Arbeitsspeicher und Festplatten und verpacke alles in einer Black Box, so dass der Anwender mit der darunter liegenden Technik nicht in Berührung kommt. Der zweite Trick beim Bau einer Security Appliance besteht darin, dem Benutzer zwar so viele Einstellmöglichkeiten wie nötig zu geben, alle anderen Parameter und Schalter jedoch zu deaktivieren. Das erreichen die meisten Hersteller dadurch, dass sie auf abgespeckte Varianten von Linux oder etwa BSD setzen und diese mit einer an den jeweiligen Einsatzzweck angepassten Benutzeroberfläche versehen.
Für den Benutzer hat dieses Vorgehen den Vorteil, dass der Hersteller keine hohen Lizenzgebühren für das Betriebssystem der Appliance in Rechnung stellt. Auf der anderen Seite bleibt dem User die Überprüfung des Betriebssystems auf eventuelle Sicherheitslücken erspart. Im günstigsten Fall muss ein Anwender bei einer Security Appliance, die Firewall-Funktionen übernimmt, nur noch die IP-Adresse eingeben und die adäquaten Sicherheitsregeln per Mausklick aktivieren. Derart geschlossene Systeme haben gegenüber ihren offenen Server-Vettern noch einen Vorteil: Möchtegern-Eindringlinge kommen mit den Standard-Hacking-Tools, die mittlerweile auf jeder besseren Untergrundseite des Internets zu finden sind, nicht zum Ziel. Letztlich bezeichnet also der Begriff proprietär, in der Diskussion um offene Standards eigentlich ein Schimpfwort, einen der Vorteile der Security Appliances.
Systembedingt hat die geschlossene Bauweise jedoch auch einen Nachteil: Bei steigenden Benutzerzahlen ist eine Erweiterung mit RAM oder größeren Festplatten nicht möglich. Der Appliance-Käufer sollte also in Sachen Skalierbarkeit darauf achten, ob sich bei steigenden User-Zahlen eventuell mehrere Geräte zusammenschalten lassen.
Zwar hat die CeBIT dem Thema Sicherheit mit der Halle 17 gleich ein komplettes Messegebäude reserviert, doch einige interessante Security-Appliances sind erst nach einem längeren Fußmarsch in anderen Hallen zu finden. Wer etwa seine Kommunikationsverbindungen bereits auf den unteren Netzschichten absichern will, findet entsprechende Produkte bei Rohde & Schwarz in Halle 13 auf dem Stand C75. Das Unternehmen, das besonders im Bereich der Mess- und Prüftechnik einen Namen hat, zeigt mit den Modellen "703" und "730" aus der "Topsec"-Baureihe zwei Geräte zur sicheren ISDN-Kommunikation. Die Produkte werden einfach zwischen TK-Anlage und S0- beziehungsweise S2M-Anschluss gehängt und verschlüsseln künftig zuverlässig die Telefonate mit Partnern, die auf der Gegenseite ebenfalls ein Topsec-Gerät verwenden. Für Mittelständler, die ihre Telefonanlage vor Manipulationen von außen schützen wollen, könnte auch der "D-Kanal-Filter ISDNwall" interessant sein. Er verschließt durch Filterung des D-Kanals, der Steuerungssignale des ISDN überträgt, ein Schlupfloch, das in letzter Zeit besonders von professionellen Angreifern genutzt wurde.
Während bei den angesprochenen Produkten von Rohde & Schwarz der Schutz von Wählverbindungen im Vordergrund steht, fokussiert sich beispielsweise die Berliner Innominate Security Technologies AG (Halle 17, Stand F18) auf den Schutz der Internet-Anbindung von Unternehmen. Mit "Mguard" hat das Berliner Unternehmen eine Security Appliance in Zigarettenschachtelgröße im Programm. Das Linux-basierende Gerät bietet Firewall- und VPN-Funktionen sowie ein optionales Antivirus-Scanning. Aufgrund seiner Größe eignet sich das Gerät laut Anbieter auch zum Schutz von Bankautomaten oder medizinischen Geräten. Neben Mguard präsentiert Innominate zudem sein VPN-Gateway, den "Commserver M2 Mini" sowie den "Protected Commserver", der mit Sicherheitsfunktionen wie Firewall, VPN, Antivirus und Content-Filtering aufwartet.
Multitalente
Auf die Integration von Firewall- und VPN-Appliance in einem Gerät setzt auch Symantec (Halle 6, Stand F20), hierzulande eher durch Produkte wie Norton Antivirus oder Norton Systemworks bekannt. Zu den Appliances zählen die Modellfamilien "Velociraptor" sowie die "Enterprise Firewall". Einen umfassenden Schutz verspricht der Hersteller Unternehmenskunden mit den "Gateway Security Appliances". Bei diesen Geräten handelt es sich um komplette Sicherheitslösungen, die über Firewall-, Antivirus-, Intrusion-Detection-, VPN- und Content-Filtering-Funktionen verfügen.
Dem Thema Content-Filtering widmet sich auch Aladdin Knowledge Systems (Halle 17, D56) mit "Esafe". Hierbei handelt es sich um einen vorkonfigurierten Rechner mit Linux als Betriebssystem. Esafe untersucht den elektronischen Datenstrom auf möglicherweise gefährliche Skripts oder verdächtige Active-X-Objekte sowie Java-Applets. Um die Esafe-Appliance einzusetzen, benötigt der Anwender jedoch eine Firewall-Appliance von Checkpoint (Halle 6, Stand G18). Bei Checkpoint handelt es sich um einen der namhaften Player im Security-Appliance-Geschäft. Das Unternehmen vermarktet seine Produkte nicht nur unter eigenem Label, sondern beliefert als Auftragsfertiger auch zahlreiche andere Kunden wie etwa Nokia (Halle 26, Stand E68 - F72). Dabei reicht die Produktpalette des Unternehmens von kleinen Geräten für das Home Office bis zu unternehmensweiten Lösungen.
Die Überprüfung von Internet-Inhalten steht auch bei der "Port 80 Security Appliance" von Bluecoat (Halle 6, Stand G49) im Vordergrund. Das Gerät überwacht den Browser-Verkehr beim Surfen im Internet, der normalerweise über Port 80 abgewickelt wird. Dank seinem spezialisierten Aufbau, so der Hersteller, skaliere das Gerät gut und eigne sich für größere Unternehmen.
Einen All-in-one-Ansatz verfolgt dagegen die Amcornet Security GmbH (Halle 17, Stand F41) mit dem "Inas-Server Classic" und dem kleineren, für den Small- und Home-Office-Bereich konzipierten "Inas-Server Soho". Die beiden Security-Lösungen bestehen aus zwei physikalisch voneinander getrennten Systemen, die in einem Gehäuse untergebracht sind. Auf ihnen sind die verschiedenen Sicherheitsapplikationen installiert. Während die Firewall auf dem ersten System integriert ist, laufen auf dem zweiten Rechner Server-Dienste wie E-Mail oder Web-Zugang.
Um den Anwender vor den zunehmenden Angriffen aus dem Internet zu schützen, hat Netzwerkprimus Cisco (Halle 13, Stand C58) unter der Bezeichnung "Safe" ein eigenes Sicherheitskonzept entwickelt. Dabei betont das Unternehmen, dass einzelne Appliance-Komponenten wie Firewalls, VPN oder Intrusion-Detection-System nur in einer der Infrastruktur angepassten Gesamtlösung sinnvoll ihr Potenzial ausspielen können. Hierbei fährt Cisco einen zweigleisigen Ansatz und propagiert etwa mit der Firewall-Appliance "Pix 501" eine Stand-alone-Lösung. Auf der anderen Seite offeriert die Company aber auch Security Appliances als Erweiterungsmodule für die hauseigenen Router.
Aussteller
Aladdin Knowledge Systems, Halle 17, Stand D56
Amcornet Security, Halle 17, F41
Astaro, Halle 6, D50
Biodata Systems, Halle 17, F36
Bluecoat Systems, Halle 6, G49
Borderware Technologies, Halle 6, Internetpark C42, 650
Cefis, Halle 17, C31
Checkpoint, Halle 6, G18
Cisco, Halle 13, C58
Entrada Kommunikation, Halle 17, G11
Fortinet, Halle 15, B05
Innominate Security, Halle 17, F18
Linogate (bei F-Secure), Halle 6, F36
Nokia, Halle 26, E68 - F72
Rohde & Schwarz, Halle 13, C75
Symantec, Halle 6, F20
Telco Tech, Halle 13, B10
Utimaco Software, Halle 17, F06
Varysys, Halle 17, G11
Obige Liste erhebt keinen Anspruch auf Vollständigkeit und basiert auf Angaben der Aussteller sowie der Deutschen Messe AG.