Netzwerkausfälle durch Hacker oder Viren verursachten 1999 Schäden in einer Höhe von weltweit 1,6 Billionen Dollar, so Pricewaterhouse-Coopers. Die Untersuchung ergab auch, dass die meisten Firmen zu wenig in Sicherheitsmaßnahmen investieren. Nicht einmal der Hälfte der untersuchten Firmen ist ihre Datensicherheit mehr als 50000 Dollar im Jahr wert.
Eine kritische Entwicklung, denn Unternehmen bilden im E-Business-Zeitalter immer mehr Geschäftsprozesse durch Information Technology ab. Ausfälle haben daher existenzbedrohende Auswirkungen. Die Einbindung des Internets in Kernprozesse, etwa durch elektronische Marktplätze, steigert die Abhängigkeit von IT um weitere 100 Prozent. Beispiele zeigen, dass Ausfallzeiten von zwei Stunden Aktienkurse um 50 Prozent reduzieren können. Dieses Risiko ist nur durch konzeptgestützte Lösungen beherrschbar.
Es stellt sich also nicht die Frage, ob Sicherheitskonzepte eingeführt werden sollen, sondern, wie dies am besten vonstatten geht. IT-Sicherheit umfasst dabei nicht nur die technische Komponente, sondern auch die organisatorische und personelle Umsetzung. Die Hemmnisse: Die Investition in IT-Sicherheit kann keinem messbaren Return on Investment (ROI) gegenübergestellt werden. Imageschäden und stillstehende Geschäftsprozesse sind schnell unbezahlbar. Unternehmen brauchen das Commitment des Managements, dass IT-Sicherheit oberste Priorität hat und die Kosten für Sicherheitsprodukte, Konzeption, Realisierung, Betrieb und die kontinuierliche Schulung, langfristig ein fester Bestandteil des IT-Budgets sein werden.
Ein positives Beispiel ist die Feodor Burgmann Dichtungswerke GmbH & Co. mit Sitz in Wolfratshausen. Das Unternehmen nahm für eine langfristige Sicherheitslösung den Systemintegrator IQ Products ins Boot. Nach der Ist-Aufnahme der IT-Welt und der Geschäftsabläufe definierte das Unternehmen Sicherheitsklassen und die dazu passende Sicherheitsstruktur.
Die zentrale Frage lautete: Welche Technik erlaubt die Anbindung der Mitarbeiter weltweit an die zentralen Systeme Lagerverwaltung, PPS-Systeme, Marktdatenbank und Buchhaltung? Die Beschäftigten sollen nicht nur Zugriff haben, sondern auch die Möglichkeit, die Daten zu bearbeiten.
Als Lösung bot sich ein Virtual Private Network (VPN) an. Es schließt die weltweit verteilten Rechner über das Internet an das Firmennetz an.
Der Datenverkehr über TCP/IP bedient sich dabei der bewährten, preiswerten und systemunabhängigen Internet-Technologie. Da sich die Mitarbeiter über den jeweiligen lokalen ISP in das Internet einwählen, erfolgt die Datenübertragung zum Ortstarif. Ein IP-Tunnel gewährleistet eine sichere Verbindung zwischen der Außenstelle und der Firewall. Die Kommunikation wird durch Firewalls, Authentisierung und Verschlüsselung abgesichert.
Das Projektziel, das Unternehmen international zu vernetzen, war zwischen Geschäftsleitung und DV priorisiert.
Zunächst wurden die über das Internet angebotenen Anwendungen Browser-fähig gemacht, der Rahmen, die Navigation und die Inhalte für einen einheitlichen Auftritt erarbeitet. Die Durchführung des VPN-Projektes sah drei Phasen vor:
1. Zentrale Hochverfügbarkeits-Firewall-Lösung als Schnittstelle zum VPN und zum Internet,
2. Anbindung der Außenstellen über vorkonfigurierte Systeme und
3. Ergänzung durch sichere Authentisierung.
Ziel war zu diesem Zeitpunkt, eine sichere Internet-Anbindung des zentralen Firmennetzwerks mit 480 Rechnern zu implementieren, um die Anbindung der weltweiten Außenstellen per VPN vorzubereiten. Dabei spielten Sicherheitsüberlegungen eine doppelte Rolle: als Schutz gegen unerlaubte Zugriffe und als gewährleistung eines 24-Stunden-Betriebs. Deshalb wurden Firewall, Web- und Datenbank-Server redundant ausgelegt. Die wichtigsten Komponenten des Konzepts erhielten eine Hot-Standby-Lösung.
Die neue, tragende Rolle als Schnittstelle zwischen Internet und Firmennetzwerk übernahm Check Point''s "Firewall-1" in Kombination mit der HA-Lösung "Stone Beat" auf zwei Sun-Enterprise-250-Servern. Bei dieser Konfiguration wird die Firewall-Hardware an zwei parallel geschalteten Gateways mit der Hochverfügbarkeits-Softwarelösung doppelt ausgelegt. Die Interfaces am zweiten Gateway sind deaktiviert, bis ein Fehler auftritt, dann werden sie mit Ausfallzeiten von weniger als einer Sekunde hochgefahren - ein nicht zu unterschätzender Vorteil auch bei Wartungsarbeiten.
Alle Anfragen aus dem Internet werden über die bei Burgmann installierten Web-Server auf Compaq-Proliant-Rechnern unter NT bedient. Diese alleine kommunizieren mit dem Firmennetz, so dass in keinem Fall eine direkte Verbindung zwischen Client und Firmen-LAN entsteht.
Der gesamte E-Mail-Verkehr wird durch den Virenchecker "Trend Virus Control System" mit durchgängigem, mehrstufigem Schutz gegen Viren und anderem "malicious code" auf einer Sun Ultra 5 geprüft, bevor er in das interne Netz weitergeleitet wird. Der Außendienst weist sich durch User-IDs, Passwörter oder Software- und Hardware-Token aus und ist über das Verschlüsselungs-Tool "Check Point Secu-Remote" an das Firmennetzwerk angebunden.
IQ Products bekam darüber hinaus den Auftrag, den Firewall-Betrieb zu administrieren. Das komplette User-Management verbleibt jedoch bei Burgmann. Von der Analyse bis zur abgeschlossenen Implementierung nahm Phase 1 einen Monat in Anspruch.
In der zweiten Phase sollen 16 außereuropäische Außenstellen von Burgmann an das Firmennetz gelangen. Wurde im ersten Schritt die Authentisierung über User-IDs und Passwörter realisiert, wird in der angelaufenen Phase 3 der autorisierte Zugang zu den zentralen Firmendaten zusätzlich über Software-/Hardware-Token oder Smartcards gesichert.
*Paul Schuster ist Technischer Direktor von IQ Products GmbH, Dornach.
Burgmann
Burgmann liefert mit 2700 Mitarbeitern weltweit Dichtungen für eine Vielzahl von Maschinen in nahezu allen Industriebereichen. Mit 18 Werkbüros in Deutschland, rund 40 internationalen Tochterfirmen, Joint Ventures und Beteiligungsgesellschaften bietet das Unternehmen seinen Kunden auch ein dichtes Servicenetz.