SaaS-Lösungen (Software as a Service), heute vielfach auch als Cloud Security Service bezeichnet, bieten besonders kleinen und mittelständischen Unternehmen die Möglichkeiten, ohne viel Fachpersonal und aufwändige Infrastruktur ihre IT-Sicherheit zu gewährleisten. Der Branchenverband Bitkom stellte in einer Studie zum Thema "Security-as-a-Service" bereits im letzten Jahr fest, dass sich Großunternehmen intensiv mit dieser Thematik befassen, dass hier aber gerade für kleine und mittelständische Betriebe große Potenziale zu finden sind.
Wir haben uns für diesen Bericht auf dem Markt umgeschaut und dabei unser Augenmerk auf Lösungen und Ansätze konzentriert, die diesen Anwendern "Security as a Service" - also eine Sicherheitslösung aus der Cloud - anzubieten haben. Dabei waren wir allerdings gezwungen, den Begriff der reinen Sicherheitsanwendung entsprechend weit zu halten - das Angebot bei der Sicherheit aus der Wolke beschränkt sich bei vielen Anbietern trotz vollmundiger Bekundungen allzu oft dann doch nur darauf, neue Antivirus-Definitionen auf die Rechner zu bringen.
Schutz vor Spam und Sicherheit für die Mail
Foto: eleven
Zu den Sicherheitslösungen, die schon eine ganze Weile direkt als Dienst aus dem Internet angeboten werden, gehören die Anti-Spam- und E-Mail-Security-Produkte. Der Berliner E-Mail-Sicherheitsspezialist eleven bietet mit seinem Produkt Managed E-Mail-Security Anwendern die Möglichkeit, E-Mail-Server und entsprechende Anwendungen weiter in der eigenen Firma zu betreiben, die Sicherheitsaufgaben hingegen in die Cloud zu verlagern. Das gelingt dadurch, dass die Lösung quasi als Proxy-Server für die Nachrichten arbeitet:
Eingehende E-Mail-Nachrichten werden zunächst an den eleven-Server geleitet;
Dort werden sie entsprechend den Vorgaben des Kunden überprüft. Je nach Einstellung können dann verdächtige beziehungsweise potenziell gefährliche Nachrichten direkt abgelehnt, an eine andere Sammeladresse für Spam- und gefährliche Nachrichten umgeleitet oder mit einer Kennzeichnung versehen werden;
Über ein Web-Interfache greift der Kunde auf die Einstellungen zu und kann dort beispielsweise auch entsprechende Reports abrufen, die ihm das Spam-Aufkommen dokumentieren.
Die Vorteile beim Einsatz:
In der eigenen Firma sind weder Installation noch Wartung und Pflege der Sicherheitslösung notwendig;
Gefährliche Dateien sowie den Mail-Verkehr belastende Spam-Nachrichten gelangen gar nicht erst in das eigene Netzwerk;
Durch zertifizierte Rechenzentren in Deutschland und Service Level Agreements (SLAs) wird ein sicherer E-Mail-Betrieb möglich;
Zusätzliche Module wie etwa eine E-Mail-Archivierung bieten weitere Vorteile, wenn es um die Compliance geht.
Fazit: Unternehmen, die eine solche Sicherheitslösung aus der Cloud einsetzen, müssen dem Anbieter vertrauen können. Das kann über SLAs geregelt werden. Zudem werden hier - im Gegensatz zu einer komplett gehosteten E-Mail-Lösung wie sie beispielsweise Microsoft bei Office 365 anbietet - nur die gewählten Sicherheitsdienste aus und in der Wolke betrieben. Mit Zusatzmodulen wie Virenschutz und einer E-Mail-Firewall bietet eleven weitere Sicherheitsdienste an, die sich ebenfalls über ein Web-Interface verwalten lassen.
Sicherer Speicher in der Wolke
Wer Administratoren auf Software wie Dropbox, Google Drive und Skydrive von Microsoft anspricht, wird in den meisten Fällen kritische Blicke ernten. Zwar versprechen die Anbieter unisono, die Daten sicher zu verwahren und häufig bieten sie auch eine verschlüsselte Verbindung zu ihrem Server an - für eine sichere Speicherung aber reichen diese Voraussetzungen nicht aus. Allein die Tatsache, dass sowohl bei Dropbox als auch bei Google und Microsoft die Server nicht in Deutschland respektive Europa liegen, macht solche Lösungen für den ernsthaften Einsatz im Unternehmen unbrauchbar.
Die Sicherheitsspezialisten von Trend Micro wollen diese Lücke mit SafeSync for Business füllen. Unternehmen sollen einen sicheren Speicherplatz im Internet abseits von FTP-Servern und Drop-Lösungen bekommen.
Die Vorteile der SafeSync-Lösung im Überblick:
Datei-Server als Dienst in der Cloud, dessen Zuverlässigkeit vom Anbieter mit einer Serviceverfügbarkeit von 99,9 Prozent (SLA steht ebenfalls zur Verfügung) angegeben wird;
In Deutschland gehostet, werden die Daten sowohl bei der Übertragung als auch auf dem Server von Trend Micro verschlüsselt (256-Bit-AES);
Daten werden als Kopie separat auf zwei Servern im Rechenzentrum gespeichert;
Zugriff auf die Daten von Windows- und Mac OS X-Plattformen sowie iOS (ab 3.13) und Android (ab 2.2) und über ein Web-Interface im Browser.
Foto: Frank-Michael Schlede, Thomas Bär
Fazit: Zum Datenaustausch innerhalb von Unternehmen und Arbeitsgruppen sind externe Datei-Server, wie sie von Dropbox populär gemacht wurden, nicht zuletzt wegen der Unabhängigkeit von Standort und Plattform beliebt und fast schon eine Art informeller Standard. Aber erst mit einer sicheren Lösung wie der hier vorgestellten können auch Administratoren deren Einsatz beruhigt zustimmen. Es gilt wieder: Der Anbieter der Lösung muss das volle Vertrauen der Nutzer besitzen - auch was die Kontinuität seines Dienstes angeht. In einem kurzen Praxistest konnte die Lösung insofern überzeugen, als sie sich leicht über das Web-Interface verwalten lässt. Auch Teamordner ließen sich schnell einrichten. Die Lösung steht im vollen Umfang für 30 Tage zum Test zur Verfügung.
Immer auf dem Stand: Software Updater
Foto: F-Secure
Auf der IT-Security-Messe it-sa stellte der finnische Anbieter F-Secure eine Erweiterung des sogenannten Protection Service for Business unter dem Namen "Software Updater" vor. Der Dienst soll ab Mitte November zur Verfügung stehen. Wer keine eigene Management-Lösung für Software-Patches und -Updates zur Verfügung hat, soll seine Systeme automatisiert auf dem neuesten Stand halten lassen können. F-Secure adressiert damit in erster Linie kleine und mittelständische Unternehmen.
Was die Lösung leisten soll:
Automatisierte Updates von Betriebssystemen und Anwendungen. Dafür werden die verwalteten Systeme auf Sicherheitslücken und Altversionen hin gescannt;
Unterscheidung zwischen sicherheitskritischen, wichtigen und weniger wichtigen Updates;
Erfassung von Updates für Microsoft-Office-Komponenten, SharePoint-Server, Acrobat-Produkte, Citrix- und Oracle-Lösungen sowie diverse Browser.
Fazit: Es ist eine gute Idee, Anwendern aus dem KMU-Umfeld eine einfache Lösung anzubieten, die das Patch- und Update-Management zuverlässig im direkten Zusammenhang mit dem Anti-Virus-Client regelt. Der Ansatz steht und fällt aber damit, dass Anbieter und Partner zeitnah die wichtigen Patches für alle Anwendungen kennen und ausrollen.
Reputationsdienste aus dem Netz
Das Internet und damit "die Cloud an sich" eignet sich besonders gut für den Einsatz als Datenquelle, wenn es um Sicherheitsbedrohungen aller Art geht. So verwenden nahezu alle Security-Anbieter eine Cloud-Anbindung auch dazu, die Sicherheit der Endgeräte und Netzwerke mit Hilfe von Reputationsdiensten zu erhöhen. Wir stellen zwei Lösungen vor.
Die israelische Firma Checkpoint, die sich auf Sicherheitslösungen rund um die verschiedensten Security-Appliances spezialisiert hat, stellt jüngst seine Threatcloud vor, mit der Angriffe und Gefahren aus dem Internet schneller und gezielter bekämpft werden sollen.
Die Lösung sammelt mit sogenannten Bedrohungssensoren Informationen über gefährliche /infizierte Websites, Botnetze und andere Gefahren, um diese anschließend an die Checkpoint-Produkte beim Anwender zu verteilen.
Merkmale:
Nach Herstellerangaben wurden bereits über 250 Millionen Web-Adressen auf mögliche Botnetz-Aktivitäten hin analysiert. Mehr als 4,5 Millionen Malware-Signaturen und Informationen über 300.000 als infiziert bekannte Websites bilden die Datenbasis;
Die Anwender können eigene Gefahrenmeldungen in die Threatcloud einspeisen. Sind diese dort bereits bekannt, stellt die Lösung über die Checkpoint-Security-Gateways die erforderlichen Updates zum Schutz vor diesen Angriffen bereit;
Werden im Netzwerk eines Unternehmens bisher unbekannte Bots oder Malware-Bedrohungen aufgespürt, sendet das System eine entsprechende Identifikation - dabei kann es sich um eine IP-Adresse, URL oder auch DNS-Informationen handeln - zurück an die Threatcloud. Von dieser geht dann ein Update an sämtliche Kunden weltweit.
Foto: Frank-Michael Schlede, Thomas Bär
Fazit: Eine derart umfangreiche und schnell aktualisierte Datensammlung ist ohne Cloud-Unterstützung nicht machbar: Kein Anbieter oder Anwender kann diese Datenmengen selbst bewältigen, geschweige denn sie so umfassend zur Verfügung stellen. Der Nachteil der Lösung besteht darin, dass sie im Moment nur auf den Check Point Security Gateways zum Einsatz kommt - und auch nur diese Anwender ihre Meldungen wiederum in die Datenbank zurückgeben. Vom Standpunkt Anwender aus, wäre ein solcher Dienst, der von möglichst vielen Security-Anbietern gemeinsam unterstützt wird, besser.
Das "Wissen der Vielen"
Bislang stellen die Hersteller mit großem Aufwand jeweils eigene Cloud-Services zur Verfügung. So auch beispielsweise Trend Micro, das seinen Cloud-Reputationsdienst als "Smart Protection Network" bezeichnet. Er soll dafür sorgen, dass neue Bedrohungsdaten möglichst schnell über alle Trend-Micro-Produkte hinweg zur Verfügung stehen.
Merkmale:
Reputationstechniken für mobile Apps, die sowohl von Service-Providern als auch von Anwendungsentwicklern direkt eingebunden werden können;
Eine Cloud-basierte Whitelist (vom Hersteller als GRID - Goodware Resource and Information Database bezeichnet) soll durch ihre umfangreiche Datenbank Fehlalarme deutlich reduzieren helfen;
Durch die Verknüpfung mehrerer Reputationstechniken in der Cloud sollen zudem Angriffe noch schneller erkannt werden.
Fazit: Auch hier gilt, dass nur Trend-Micro-Anwender profitieren. Dieses Beispiel zeigt aber auch, dass heute kaum noch ein seriöser Anbieter von Sicherheitslösungen einen umfangreichen Schutz ohne die Unterstützung durch entsprechende Cloud-Dienste anbieten kann. So wird für die Kunden die Güte der Cloud-Dienste und der mit ihnen verknüpften SLAs immer mehr zu einem Entscheidungskriterium, wenn es um die Wahl der Security-Lösungen geht.
Schutz "sozialer Anwendungen"
Foto: Frank-Michael Schlede, Thomas Bär
Abschließend sei kurz auf einen Aspekt der Cloud-gestützten Sicherheitsdienst eingegangen, der sowohl bei den privaten Anwendern als leider auch in vielen Firmen nach wie vor zu kurz kommt: der Schutz von Social-Media-Anwendungen. Diese sind schon von ihrem Grundsatz her so konzipiert, dass sie unabhängig vom Endgerät und zumeist komplett auf Cloud-Basis funktionieren. Umso schwieriger wird es dadurch, entsprechende Sicherheitsmaßnahmen zu finden und einzusetzen. Das reine Blockieren der Verbindung zu Facebook-, Twitter- und diversen Google-Seiten kann keine Lösung sein.
Deshalb bieten die Hersteller zunehmend auch Cloud-Services an, die einen speziellen Schutz für die Social Accounts der Nutzer gewährleisten sollen. Bitdefender stellt beispielsweise mit Safego eine App zur Verfügung. Ein Cloud-basierter Scanvorgang untersucht die Facebook-Seite eines Anwenders auf bösartige Apps oder Spam. Ein ähnlicher Dienst steht den Nutzern über einen Online-Account auch für den Kurznachrichtendienst Twitter zur Verfügung.
Fazit: Wer soziale Anwendungen wie Facebook oder Twitter schützen will, die ausschließlich in der Cloud arbeiten, wird dabei auf jeden Fall auf Cloud-gestützte Lösungen zurückgreifen müssen. Viele Anbieter haben bereits entsprechende Lösungen parat. Zumeist beziehen sich diese aber noch auf das B2C-Umfeld und weniger auf den Unternehmenseinsatz. (sh)