Der Eigenbetrieb: Produkte gibt es zuhauf

Der klassische Ansatz, auf den hierzulande immer noch viele Firmen zurückgreifen, besteht darin, E-Mail-Server und die dazugehörigen Sicherheitssysteme in Eigenregie zu betreiben. Der Vorteil dieser Lösung ist, dass der Anwender zu jeder Zeit die Kontrolle über den elektronischen Nachrichtenverkehr hat. Das hat allerdings seinen Preis: Das Unternehmen muss den Server und die entsprechende Messaging-Software anschaffen, etwa Microsoft Exchange oder Lotus Domino. Hinzu kommen die Kosten für Sicherheitssysteme, speziell ein E-Mail-Gateway. Solche Gateways stehen in zwei Versionen zur Auswahl, als Hardware-Appliance oder als Softwarelösung, die auf einem Server installiert wird.

Neben etablierten IT-Security- und Netzwerkfirmen wie Check Point, Cisco, F-Secure, Kaspersky, McAfee, Symantec oder Trend Micro bieten viele kleinere Unternehmen solche Gateways an. Dazu gehören Alt-N ("Security Gateway"), Astaro ("Mail Gateway"), Barracuda Networks ("Spam & Virus Firewall"), M86 ("Mail Marshal") oder Underground 8 ("AS Communication Gateway"). Viele dieser Systeme verwenden als Betriebssystem eine Linux-Version.

Aktuelle Gateways kombinieren mehrere Sicherheitsfunktionen. Sie dienen als Proxy, bieten teilweise einen Viren-, Spyware- und Spam-Schutz und stellen einen Content-Filter bereit. Dieser analysiert nicht nur elektronische Nachrichten auf Schadsoftware, sondern prüft auch den normalen Internet-Verkehr. Ist zudem ein Application-Level-Gateway (ALG) integriert, kann der IT-Administrator den Internet-Verkehr auf Anwendungsebene kontrollieren, also beispielsweise Peer-to-Peer-Verbindungen blockieren.

Nicht nur den E-Mail-Server im Auge behalten

Wichtig ist, dass nicht nur der E-Mail- oder Messaging-Server abgesichert ist. Oft wird übersehen, dass die Client-Rechner eine Security-Software benötigen. Diese sollte folgende Funktionen bieten:

• Spam-Filter;

• Anti-Phishing-Funktion;

• Virenschutz sowie

• Personal-Firewall.

Leider nehmen es gerade kleinere und mittelständische Firmen aus Kostengründen mit dem Schutz der Client-Rechner nicht allzu genau: "Auch der Mittelstand spürt die Folgen der Wirtschaftskrise", so Jan Hichert, Geschäftsführer der IT-Sicherheitsfirma Astaro. "Das ist der Grund, weshalb immer mehr Unternehmen auf Consumer-Produkte zurückgreifen, um ihre IT-Umgebungen abzusichern." Diesen Paketen fehlt beispielsweise eine Management-Konsole, mit deren Hilfe ein Systemverwalter die Programme auf den Clients zentral verwalten kann. Zudem können sie keine Security-Policies auf- und durchsetzen. Die Regelwerke sind wiederum notwendig, um beispielsweise den Schmuggel von Unternehmensinformationen via E-Mail zu unterbinden. Das ist ein Sicherheitsrisiko, das oft unterschätzt wird.

Der Nachteil einer selbst gemanagten E-Mail-Sicherheitslösung liegt auf der Hand: Anschaffung und Betrieb der Systeme kosten Geld und Zeit. Die IT-Abteilung muss geschulte Mitarbeiter abstellen, die sich um diese Geräte kümmern. Gerade für kleinere Unternehmen ist das problematisch.