Netzsicherheit ist eine Gratwanderung: Das Netz muss offen sein, damit Unternehmen kommunizieren können, gleichzeitig aber geschlossen für Attacken und Eindringlinge von außen. Angriffe von außen sind eine Seite des Problems, andererseits verursachen aber auch interne Mitarbeiter immer wieder Lücken im Netzwerk. Sie surfen privat, klicken auf Links, chatten über Instant Messenger und tauschen Dateien per P2P. Deshalb muss eine Security-Lösung auch Web-Zugriffe von innen kontrollieren. All diesen Bedrohungen mit Einzellösungen zu begegnen verursacht einen hohen Aufwand. All-in-One-Websecurity-Gateways dagegen helfen Unternehmen, ihr Netzwerk gegen das Sicherheitsproblem "Mitarbeiter" mit einer einzigen in sich stimmigen Appliance zu schützen.
Viele mittelständische Unternehmen stehen beim Schutz ihres Netzes vor einem Problem: Das IT-Budget ist gering, es fehlt an in Sicherheitsfragen qualifizierten Arbeitskräften, und der Administrationsaufwand ist sehr hoch. Trotzdem müssen die Corporate Networks gegen eine Vielzahl von Internet-Gefahren gewappnet sein. Häufig implementieren Organisationen Einzelprodukte wie Firewalls und Intrusion-Prevention-Systeme (IPS) als Basisschutz vor Bedrohungen aus dem Internet. Das reicht aber nicht, um das Unternehmensnetz wirksam zu schützen, denn ein Großteil der Angriffe wird inzwischen - oft unabsichtlich - von Mitarbeitern verursacht. Wenn Beschäftigte Kommunikationskanäle öffnen, indem sie beispielsweise eigenmächtig Software installieren und nutzen, ist das Netz einer erhöhten Viren- und Malware-Gefahr ausgesetzt. Das bedeutet, dass Anwendungen, die Mitarbeiter einsetzen, kontrolliert und bestimmte Web-Seiten gesperrt werden sollten, um einen bestmöglichen Schutz herzustellen.
Der User als Gefahr für das Netz
Angreifer versuchen, Benutzer dazu zu bringen, auf präparierte Web-Seiten zu surfen, beispielsweise durch Links in E-Mails, die etwa zu einer E-Card führen sollen. Klickt der Anwender auf den Link, landet er auf einer Web-Seite, die automatisch Schadcode wie Würmer oder Spyware installiert. Dazu werden etwa Server-Schwachstellen genutzt. Browser sind ebenfalls eine Schwachstelle in Unternehmensnetzen, vor allem dann, wenn sie nicht zentral, sondern von jedem Anwender einzeln aktualisiert werden. Problematisch ist zudem, dass Mitarbeiter oft die volle Browser-Funktionalität haben, obwohl dadurch erhebliche Sicherheitsrisiken entstehen. Applikationen wie Javascript, ActiveX, Flash und Java sind besonders anfällig für Angriffe und können Löcher in das Netz reißen, durch die Malware eindringen kann. Um dies zu unterbinden, sollten leistungsstarke URL-Filter eingesetzt und so Seitenzugriffe auf nicht geschäftsgebundene Web-Seiten verhindert werden. Gängig ist der Einsatz von Web-Filtern, bei denen per Black-/Whitelisting URL-Listen mit erlaubten und blockierten Web-Seiten erstellt werden. Reifere Lösungen wie von Secure Computing oder Blue Coat greifen dagegen auf zentrale Server zu, die Seiten automatisch klassifizieren und in verschiedenen Kategorien vorhalten. Besser ist eine Kombination aus beidem; so ermöglicht es Astaros URL-Filter dem Administrator, aus nahezu 100 Kategorien eigene Hauptkategorien selbst zu erstellen. Bei Bedarf können auch alle Seiten blockiert und nur bestimmte Kategorien und aufgelistete URLs zugelassen werden.
Um diese Sicherheitslücke so klein wie möglich zu halten, dürfen auch Anti-Malware-Software und die automatische Blockierung von aktivem Code in der Sicherheitsstrategie nicht fehlen.
Neue Risiken: Instant Messaging und P2P
Browser sind jedoch nicht die einzigen Angriffsziele für Hacker. Durch die Verbreitung von Instant-Messaging-(IM-)Programmen und anderen P2P-Applikationen wie ICQ, MSN Messenger, Jabber und Skype werden neue Lücken in ein Netz gerissen. Manche Anwender in Unternehmen sind der Meinung, dass sie das Recht hätten, solche Programme zu installieren und zu nutzen - unabhängig von den Vorgaben und Richtlinien des Unternehmens. Die Folge: Datenpakete werden unbemerkt an der Firewall vorbeigeschleust, und verseuchte Daten können in das Netzwerk gelangen. Ein Administrator sollte deshalb kontrollieren können, welche Web-Applikationen letztendlich eingesetzt werden. Zwar wird solche Software häufig nur zum privaten Chat oder zum Datentransfer genutzt, doch setzen viele Organisationen auf Abteilungsebene ohne Wissen der IT-Abteilung diese Applikationen auch "offiziell" ein, denn diese Tools bieten einfache und teils kostenlose Kommunikationsmöglichkeiten.
Eine Möglichkeit, diesem Sicherheitsrisiko zu begegnen, ist das Blocken der IM-und P2P-Applikationen. Besonders schwierig ist dabei das Unterbinden von Skype, einer der populärsten Anwendungen. Das Problem besteht darin, dass das Skype-Protokoll bislang nicht veröffentlicht wurde und die Kommunikation komplett verschlüsselt erfolgt. Seit 2008 offeriert beispielsweise das Astaro Security Gateway ein Feature zum Blocken von IM- und P2P-Anwendungen an, welches nicht nur Skype, sondern auch andere schwer identifizierbare Protokolle wie Winny oder QQ stoppen kann. Andere Hersteller wie Barracuda, 8e6 und Finjan haben mittlerweile nachgezogen.
All-in-One-Lösungen sparen Kosten und Zeit
Unternehmen brauchen ein ausgewogenes Verhältnis von Sicherheit und Administrationsaufwand. Den Verantwortlichen fehlen dabei oft Werkzeuge und Technologien, um einen unternehmensweiten Überblick zu erhalten. Dabei ist es aber wichtig, dass die Sicherheit beim Administrator zusammenläuft und er von zentraler Stelle einen Überblick hat. Damit fallen Client-basierende Lösungen - mit installierten Sicherheitsprodukten auf jedem Rechner - aus, da Administratoren sämtliche Updates und Patches verteilen müssen. Problematisch wird es zudem, wenn Mitarbeiter sich über Anweisungen hinwegsetzen und Sicherheitssoftware selbständig deaktivieren oder immer wieder vergessen, Updates zu installieren. Eine bessere Alternative sind All-in-One-Lösungen. Im Unterschied zu Einzellösungen sind hier alle Funktionsbereiche nahtlos integriert und über eine grafische Benutzeroberfläche (GUI) zu managen. Damit reduziert sich der Administrationsaufwand, denn einzelne Sicherheitsanwendungen von unterschiedlichen Anbietern haben naturgemäß jeweils eigene Oberflächen, Designs und eigenes Fachvokabular. Zwar bestehen auch All-in-One-Lösungen meist aus einer Kombination von verschiedenen Lösungen, doch diese sind in einem Gerät und unter einer Oberfläche integriert.
Eine All-in-One-Lösung erleichtert ferner die Fehlersuche innerhalb eines Netzes, da die Möglichkeiten für Systemkonflikte und Fehlkonfigurationen aufgrund mangelnder Kompatibilität der Lösungen verschiedener Hersteller sinken. Benutzen Unternehmen eine einzige Appliance, sind die einzelnen Komponenten bereits aufeinander abgestimmt. In einer All-in-One-Lösung stammen zudem alle Versions- oder Firmware-Updates aus einer einzigen Quelle, sind geprüft und verursachen keine Kompatibilitätsprobleme. Darüber hinaus fallen Kosten für Lizenzen, Support, Wartung und Updates jeweils einzeln und für jedes eingesetzte Produkt an. Bei einer All-in-One-Lösung sind die Kosten dagegen transparent und klar erkennbar.
Web-Gateways sind Admins Lieblinge
Web-Gateways sind All-in-One-Lösungen für die Web-Sicherheit in einer einzigen Appliance. Sie arbeiten problemlos mit einer im Unternehmensnetz bereits vorhandenen Firewall zusammen. So wartet etwa das Web-Gateway von Astaro mit Funktionen wie Malware-Filterung, IM-/P2P-Applikationskontrolle, URL-Filter sowie Bandbreiten-Management unter einer gemeinsamen Benutzoberfläche auf. Das heißt, Administratoren haben von zentraler Stelle aus einen Überblick über den gesamten Web-Verkehr, können Filter setzen, Monitoring-Funktionen nutzen und Bandbreite - beispielsweise beim Tausch großer Dateien über Bittorrent - zuteilen. Durch das Setzen von Filtern lässt sich zudem der Zugriff auf unerwünschte Web-Seiten verhindern und damit gegebenenfalls gesetzlichen Vorgaben entsprechen sowie unerwünschte Applikationen blockieren. Insgesamt wird somit der gesamte Datenverkehr abgesichert und reguliert. Gateways bieten zusätzlich Reporting- und Logging-Funktionen, um die Effektivität der Kontrollmechanismen zu belegen.
Drei Varianten
Auf dem Markt sind solche Web-Gateways derzeit in drei Ausführungen verfügbar. Als Hardware-Appliance sind Betriebssystem und Sicherheitsanwendungen bereits auf einer Hardwareplattform vorinstalliert. So fügt sich die Appliance nahtlos in die bestehende Netzwerkinfrastruktur ein und ist nach der Erstkonfiguration sofort einsetzbar. Häufig ist das die schnellste Möglichkeit, um eine Sicherheitslösung in ein Netzwerk zu integrieren. Dies vermeidet Installationsprobleme oder Gerätekonflikte. Als Software-Appliance sind Betriebssystem sowie sämtliche Sicherheitsanwendungen in einem einzigen Software-Image vorhanden, das auf einem dedizierten Server oder PC installiert werden kann. Dadurch verläuft die Installation erheblich einfacher und schneller als bei anderen Software-Applikationen, die ein vorinstalliertes Betriebssystem benötigen. Inzwischen sind solche Gateways auch als virtuelle Appliances erhältlich. Alle erforderlichen Software-Applikationen sowie das Betriebssystem sind bereits vorinstalliert und vorkonfiguriert. So lassen sie sich einfach im Parallelbetrieb mit anderen Virtual-Appliances in einer virtualisierten Umgebung betreiben.
Fazit
Web-aktive Mitarbeiter sind häufig ein Sicherheitsproblem für das Unternehmensnetz. Besonders IM/P2P-Anwendungen sollten kontrolliert werden, um Web-basierende Gefahren einzugrenzen. Da sich auf Web-Ebene selbst kaum etwas ändern lässt, sollten IT-Administratoren - auch in kleineren Unternehmen - auf leicht zu implementierende, schnell einsatzbereite und einfach zu bedienende Lösungen zurückgreifen, um das Unternehmensnetz effizient zu schützen. Web-Gateways erfüllen diese Anforderungen. Die Vorteile eines All-in-One-Websecurity-Gateways liegen darin, dass es die Administration stark vereinfacht und die Kontrolle verstärkt.