computerwoche.de

Archiv

RSA Security Conference 2002

Mit Kombiboxen den Cyber-Gefahren trotzen

08.03.2002
SAN JOSE (ave) - Seit den Terroranschlägen in den USA genießt das Thema Sicherheit bei Herstellern und Anwendern oberste Priorität. Das betonten Experten auf der RSA Security Conference 2002 immer wieder. Zu den Hauptthemen der Veranstaltung gehörten Appliances, Web-Services und Public Key Infrastructures (PKI).

Die nun bereits im elften Jahr stattfindende RSA-Konferenz spiegelte deutlich die allgemeine Situation bei Industrie und Anwendern wider. Nicht zuletzt aufgrund der Terroranschläge vom 11. September 2001 in den USA sind Unternehmen für Gefahren sensibilisiert, die ihrer IT auch aus dem Cyberspace drohen. Gefragt sind daher alle Technologien, die Netze, Anwendungen und Daten effektiv vor Viren und Hacker-Attacken schützen können. Thomas Raschke, Program Manager European Internet Security bei der International Data Corp. (IDC), erklärt den Trend: "Es hat ein richtiger Paradigmenwechsel dahingehend stattgefunden, dass Sicherheit nicht mehr länger nur irgendein Teilbereich der IT ist, sondern bei den Anwendern viel stärker als bisher im Mittelpunkt steht, vielerorts inzwischen sogar Chefsache ist."

Wie ernst die Gefahr aus dem Internet ist, belegt Arthur Wong, Mitgründer und Chief Executive Officer (CEO) von Securityfocus. Er schätzt die Zahl der im letzten Jahr vom Nimda-Wurm betroffenen Rechner auf über 450 000. Eine Ziffer, die umso erstaunlicher sei, als die von dem Schädling ausgenutzten Schwachstellen bekannt und sogar Patches verfügbar waren, häufig jedoch nicht installiert wurden.

Um der wachsenden Bedrohung zu begegnen, greifen inzwischen viele Firmen zu Security-Appliances. Diese Geräte waren ursprünglich darauf ausgelegt, eine einzige, spezielle Funktion zu erfüllen - beispielsweise als Firewall oder Virenscanner. Inzwischen geht der Trend jedoch dahin, dass Hersteller Boxen anbieten, die gleichzeitig mehrere Security-Bereiche ansprechen. Der Vorteil: Firmen müssen sich die Lösungen nicht mehr einzeln zusammenkaufen, sondern bekommen von dem jeweiligen Anbieter ein Produkt, das beispielsweise Firewall-, VPN-Gateway-, Antiviren- und Intrusion-Detection-Funktionen miteinander kombiniert. Die Integration soll sich positiv auf das Zusammenspiel der einzelnen Module auswirken. Außerdem, so der Tenor, vereinfache sich die Verwaltung der Komponenten, die in der Regel über eine einzige Konsole erfolgt.

Die zunehmende Attraktivität der Appliances trägt auch der Entwicklung Rechnung, dass sich Firewalls und Virtual Private Networks (VPNs) inzwischen fest als Grundbausteine der IT-Sicherheit etabliert haben.

VPNs mit hohen WachstumsratenTomás Isakowitz, Marktforscher von Capital Markets, bestätigt diesen Trend. VPN-Lösungen, die sich einer durchschnittlichen Wachstumsrate von 28 Prozent erfreuen, werden immer seltener als eigenständige Software verkauft, sondern in zunehmendem Maße gebündelt mit anderen Sicherheits-Tools als Appliances. Vor allem kleine und mittelständische Firmen sind Zielgruppen für die Sicherheits-Mehrzweckboxen.

Für Gesprächsstoff sorgte auf der Konferenz außerdem das von Microsoft propagierte Konzept der Web-Services, das gerade im Hinblick auf Sicherheit noch Fragen aufwirft. Jamie Lewis, CEO der Burton Group, kritisiert etwa, das derzeit definierte Modell der Web-Services biete keine eigenen Sicherheitsfunktionen. Chris Christiansen, Program Director Internet Security bei IDC, stimmt dem zu. Es sei nur eine Frage der Zeit, bis Web-Services zum Ziel von Angriffen durch Viren oder anderen bösartigen Code werden, glaubt er.

Hersteller wie Verisign versuchen, diesem Defizit abzuhelfen. Das Unternehmen stellte auf der Konferenz seine Pläne für Web-Services vor. Diese sieht unter anderem die Entwicklung von Lösungen vor, die Authentifizierung und Transaktionssicherheit zwischen einzelnen Anwendungen ermöglichen sollen. IBM, Microsoft, Oracle, Iplanet und Webmethods haben bereits zugestimmt, Verisigns "Trust-Services"-Framework zu unterstützen.

Microsoft seinerseits sucht ebenfalls nach Konzepten, um Web-Services sicher zu machen. Einen Weg sieht das Unternehmen in einer Ergänzung für seinen "Internet Security and Acceleration (ISA) Server 2000", die es auf der RSA Conference zeigte. Die Software funktioniert wie ein Filter, der verdächtige Requests abweist. Auf diese Weise soll das Plugin Web-Service-Transaktionen vor potenziellen XML-basierenden Angriffen schützen. Ein Sample des Codes kann unter www.microsoft.com/isaserver/techinfo/development kostenlos aus dem Internet geladen werden, dort finden sich auch ausführliche Informationen zur Funktionsweise.

Wie sicher sind Web-Services?Zur Absicherung von Web-Services könnten nach Meinung einiger Experten in Zukunft aber auch Public-Key-Infrastructure-(PKI-) Systeme zum Einsatz kommen. Es handelt sich dabei um einen umfassenden Ansatz, bei dem mittels digitaler Zertifikate Anwender identifiziert werden. Außerdem dient es dazu, die Kommunikation oder Dateien und Dokumente zu verschlüsseln und digital zu signieren. Basis des Verfahrens ist die asymmetrische Verschlüsselung über öffentliche und private Chiffrierschlüssel. Um das Thema PKI war es in letzter Zeit etwas stiller geworden. Nach Ansicht von Victor Wheatman, Analyst der Gartner Group, ist es nicht tot, hat jedoch eine grundlegende Änderung erfahren.

Die Gründe für das Scheitern vieler Projekte sieht der Analyst in der Komplexität, den hohen Kosten und immer noch existierenden Kompatibilitätsproblemen zwischen Lösungen verschiedener Anbieter. Er geht davon aus, dass PKI nur dann Erfolg beschieden sein wird, wenn das Verfahren als solches "verschwindet" und in die Anwendungen integriert ist, für die es einen Mehrwert bringt. Das könnte im Umfeld von Web-Services der Fall sein.

Göran Franssen, Vice President Engineering bei RSA Security, räumt ein, dass PKI in der Vergangenheit "mit den falschen Augen gesehen wurde", die Erwartungen viel zu hoch gewesen seien. Für den Manager stellt das Verfahren ein "großartiges Tool" dar, das jedoch innerhalb von Systemen eingesetzt werden und für den Anwender nicht sichtbar sein sollte. In diesem Fall wäre folgendes Szenario denkbar: User müssen sich künftig nur noch gegenüber einem Server authentifizieren. Dieser stellt ihnen dann ein digitales Zertifikat aus, mit dem sie sich gegenüber anderen Anwendungen ausweisen können. Ein Problem sieht er jedoch darin, dass viele Anwendungen ganz bestimmte Formen der Authentifizierung verlangen. Hier müsse erst ein Weg zur Vereinheitlichung gefunden werden.

Doch noch ist dies Zukunftsmusik. Es bleibt zu hoffen, dass sich die Industrie auf ein Verfahren einigt.

RSA Conference 2002Die Plakate der Veranstaltung zierte die Schottenkönigin Maria Stuart: Sie hatte während ihrer Festungshaft Kryptografie benutzt, um mit ihren Mitverschwörern zu kommunizieren. Nach Angaben des Veranstalters RSA Security besuchten in diesem Jahr über 10000 IT-Experten die Konferenz. Sie konnten sich in mehr als 14 Vortragsreihen über Themen wie Kryptografie, Entwicklung sicherer Software, Implementierung von Sicherheitslösungen oder Sicherheitsstandards informieren. In einer begleitenden Ausstellung präsentierten mehr als 175 Aussteller ihre Produkte.