computerwoche.de

Web

Jericho Forum posaunt gegen Firewalls

28.02.2005
Aus Sicht der kaufstarken Anwendergruppe Jericho Forum gehört die Firewall als Single Point of Failure abgeschafft. Nun will sie auch Hersteller für ihre "De-Perimeterisierung" gewinnen.

MÜNCHEN (COMPUTERWOCHE) - Die unter dem Dach der Open Group agierende, rund ein Jahr alte Anwendervereinigung Jericho Forum hat ein erstes "Vision Statement" veröffentlicht, um ihr Konzept der "De-Perimeterisierung" von Netzen zu verbreiten. Sie will damit Hersteller überzeugen, ihre Konzepte auch in Produkte umzusetzen.

Die stark von europäischen Nutzern getriebene Initiative ist der Ansicht, dass die heutigen Perimeter-orientierten Sicherheits-Architekturen versagt haben und ein neuer Ansatz benötigt wird, der die Firewall als Single Point of Failure am Rand eines Firmennetzes abschafft. Mit De-Perimeterisierung meint Jericho verschwimmende Netzgrenzen, wo Sicherheit allgegenwärtig genug ist, um lokale und entfernte Nutzer mehr oder weniger gleich zu behandeln.

"Wenn mein Finanzchef seinen Laptop im Hiltons ans Ethernet hängt, warum zahle ich dann für eine teure Firewall, um seine Sekretärin zu schützen?" fragt Jericho-Mitgründer Paul Simmonds, verantwortlich für die IT-Sicherheit beim britischen Chemiegiganten ICI. Die offenen Netze seien zurück, Geschäftspartner würden an Intranets angebunden, Identitäten existierten im Verbund, entfernte und wandernde Mitarbeiter bräuchten Zugriff, Web-Service-Protokolle tunnelten durch die Perimeter-Sicherheit.

Jerichos Statement spricht auf 40 Seiten über unter anderem die Notwendigkeit für breite, interoperable Verschlüsselung, Authentifizierung, Host-Sicherheit, Management und Monitoring. Simmonds erklärte dazu gegenüber "Computerwire": "Werden wir in fünf Jahren noch immer jede Menge Gigabit-schneller Deep Packet Inspection Firewalls kaufen? Ich hoffe nicht. Heißt das, dass Checkpoint aus dem Geschäft sein wird? Das bezweifle ich - sie werden sich entwickeln."

Natürlich will Jericho die Firewall nicht vollends abschaffen. Es positioniert sie aber zumindest mittelfristig neu und macht sie teilweise überflüssig. "Wir werden an den Grenzen immer noch etwas brauchen, das Quality of Service macht, aber das wird keine Deep Packet Inspection sein", so Simmonds weiter. "Und viele Leute werden ihre Rechenzentrum als Sicherheitsinsel haben wollen [die durch einen Perimeter geschützt ist]."

Die De-Perimeterisierung erfordert laut Jericho einen stärkeren Fokus auf QoS. Wenn Nutzer, die heute hinter einer Firewall sitzen, zu direkten Internet-Nutzern werden, sind sie all den "Hintergrundgeräuschen" ausgesetzt, die dort herrschen.

Für die Security-Anbieter dürfte es im besten Interesse sein, Jericho zumindest zuzuhören - die Gruppe besteht fast ausschließlich aus großen IT-Einkäufern und wird inzwischen über ihren europäischen Ursprung hinaus zunehmend international. Zu den Mitgliedern gehören CSFB, BBC, Shell, die Deutsche Bank, Cable & Wireless, Deloitte, Rolls-Royce, GlaxoSmithKline, Airbus, Procter & Gamble, Boeing, Barclays, Lockheed Martin, HSBC, Pfizer und BP. Rund 30 Prozent der Mitglieder kommen inzwischen aus den USA.

"Bislang wollten wir unsere Message verbreiten", sagte Simmonds. "Jetzt geht es darum, das Mindset zu verändern." Es gebe derzeit rund ein halbes Dutzend Hersteller, die Jericho beitreten wollen - teils, weil ihre eigene Vision ähnlich liege, teils schlicht angesichts der imposanten (Anwender-)Mitgliederliste. Als zahlendes Anbietermitglied ist bislang einzig der Vulnerability-Management-Dienstleister Qualys gelistet. Simmonds will aber jede Herstellerbindung vermeiden und auch keinerlei Marketing-Strategien durch irgendwelche Zertifikate promoten. (tc)