Auch UTM ist nicht perfekt

Wo viel Licht ist, fällt bekanntlich auch Schatten. So auch im Fall von Unified Threat Management. Denn eigenständige Lösungen sind in der Regel leistungsfähiger: Dedizierte Firewalls bringen zumeist einen größeren Funktionsumfang und mehr Schutzmechanismen mit, als es Firewalls in UTM-Lösungen tun. Auch vollwertige Virenscanner auf Clients arbeiten im Zusammenspiel mit einem Antivirenserver im Netzwerk akkurater als der dem Unified Threat Management eigene Virenschutz.

Auch an speziellen Aufgaben wie dem Schützen von Datenbanken oder Webanwendungen scheitern UTM-Lösungen. Ihre Firewalls und Webfilter können den Datenverkehr, der zu den zu schützenden Anwendungen fließt, nicht genau genug analysieren, als dass beispielsweise ein SQL-Injection-Angriff oder eine Cross-Site-Scripting-Attacke auffiele. Hier helfen nur hoch spezialisierte Lösungen weiter.

Grenzen werden Unified Threat Management aufgezeigt, wenn im abzusichernden Netzwerk zu viele Endpunkte ins Internet wollen beziehungsweise die erzeugte Netzwerklast zu groß wird. Für diese Szenarien empfehlen sich getrennte Systeme, da hier verschiedenste Komponenten jeweils nur eine Aufgabe wie den Virenschutz oder die Anti-Spam-Funktion übernehmen, anstatt sämtliche Checks über ein und dieselbe Appliance abzuwickeln.

Eine taugliche Faustregel lässt sich nur schwer aufstellen. In manchen Netzwerken erzeugen schon 500 Anwender dauerhaft so viel Last und ein so hohes Risiko, dass Unified Threat Management an seine Grenzen stößt. In anderen Szenarien sind selbst 1000 User so genügsam, dass eine Lösung wie die des UTM-Newcomers Dell vollkommen ausreicht.

Dell bietet gemeinsam mit Juniper beispielsweise die PowerConnect-J-SRX-100 an. Das auf Junipers JunOS basierende Produkt kappt die Verbindung bei 32.000 gleichzeitigen IP-Sessions pro Sekunde. Zum Vergleich: Eine für größere Unternehmen konzipierte UTM-Hardware wie die H3C Secpath U200 stemmt 500.000 Sessions.

Im Fall der Dell-/Juniper-Hardware spielt es keine Rolle, wie viele Nutzer faktisch angemeldet sind. Laut Dell entspricht die genannte Last einer Nutzeranzahl von 640 Anwendern. Im Prinzip sind aber beliebig viele Anwender mindestens drei Jahre lang vor Viren, Spam und Angriffen aus dem Netz geschützt, da die Lizenz für tägliche Updates der einzelnen Filter so lange gilt. Anschließend muss - wie so oft im Security-Umfeld - nachverhandelt und ein neues Abonnement abgeschlossen werden.

UTM-Appliances empfehlen sich auch nicht, wenn umfangreiche Auswertungen der Netzwerkaktivitäten gefragt sind. Denn leistungsfähige Filter zum punktgenauen Durchsuchen des Wustes aus TCP/IP-Ports, Internetprotokollen, Uhrzeiten, Datenstromrichtungen und anderen Angaben helfen dem Administrator. Fehlen sie, wird das Auswerten zum Geduldsspiel.