Auf der RSA Conference 2005 in San Francisco war viel davon die Rede, wie Unternehmen auf die wachsende Komplexität der IT und die damit verbundenen steigenden Bedrohungen reagieren können. Geht es nach Microsoft, dann sind Vereinheitlichung und Standardisierung - natürlich auf Windows-Basis - und die zunehmende Integration von Sicherheitsfunktionen in das Betriebssystem mögliche Lösungen der Probleme. Symantecs CEO John Thompson hingegen propagierte zwar auch umfassende Sicherheitslösungen, bezeichnete es aber als "naiv", von Anwendern zu erwarten, dass sie diese von einem einzigen Hersteller beziehen.
Sicherheitsoffensive von Cisco
Ähnlich äußerte sich auch Ciscos CEO John Chambers. Er plädierte für ein intelligentes Netz, das nicht nur bekannte Gefahren erkennt und abwehrt, sondern zudem in der Lage ist, sich auf neue Bedrohungen einzustellen. Der Hersteller predigt diesen Ansatz seit knapp anderthalb Jahren unter dem Schlagwort "Self-Defending Network". Auf der RSA Conference läutete das Unternehmen mit "Adaptive Threat Defense" (ATD) die nächste Phase dieses Programms ein und kündigte entsprechende Produkte an. ATD umfasst die Elemente "Anti-X-Defenses" (darunter versteht Cisco die Kombination von Firewall, Intrusion-Prevention-Systemen, Spam- und Virenschutz, URL-Filterung mit Techniken zur Anomalieerkennung oder der Entschärfung von Distributed-Denial-of-Service-Attacken), Anwendungssicherheit sowie Netzkontrolle.
Die Strategie des Herstellers erfährt ihre konkrete Umsetzung in einer Reihe neuer Produkte: Im Bereich Anti-X-Defenses sind hier die Version 5.0 des Intrusion-Prevention-System (IPS) zu nennen, das "Anomaly Guard Module", das "Traffic Anomaly Detector Module" für die "Catalyst"-Switches der Serien 6500 und 7600 sowie Version 4.5 des "Cisco Security Agent" (CSA). Letzterer unterstützt jetzt neben allen Windows-Versionen auch Solaris und "Red-Hat"-Linux und soll Malware und Spyware erkennen und blocken sowie den Sicherheitsstatus von Geräten überwachen und Security-Richtlinien ortsabhängige durchsetzen können.
Dem Thema Anwendungssicherheit will der Anbieter mit der neuen Version 7.0 der Software für seine Firewall-Appliance "PIX" Rechnung tragen. Außerdem legt Cisco bei seinem Internetworking Operating System (IOS) nach: Das Release "12.3 (14)T" soll "Funktionen gegen neue Klassen von Bedrohungen wie Spyware oder Malware in Instant-Messaging- und Voice-over-IP-Umgebungen" bringen, heißt es dazu seitens des Herstellers. Die beiden Produkte "Cisco Security Monitoring, Analysis und Response System" (CS-MARS) und "Security Auditor" zielen auf den Aspekt Netzkontrolle und Eindämmung: Laut Hersteller korrelieren sie netzwerkweit Sicherheitsereignisse und überwachen die Richtlinien für den aktiven Umgang mit unerlaubten Zugriffen auf die Unternehmens-IT.
Außerdem wurden neue Lösungen gezeigt, die Anwendern dabei helfen sollen, stärkere Anmeldeverfahren für ihre Mitarbeiter zu realisieren. So präsentierte RSA Security seinen Authentifizierungs-Server erstmals auch als Hardware-Appliance. Die "SecurID Appliance" richtet sich speziell an kleine und mittlere Unternehmen und wird ab März verfügbar sein.
Erste Appliance von RSA
Das Gerät soll laut Senior Product Manager Gary Wood den Einsatz der Zwei-Faktoren-Authentifizierung vereinfachen, weil Systemverwalter damit nicht mehr die RSA-Software auf anderweitig gekaufter Hardware speziell konfigurieren müssen.
Das SecurID Appliance arbeitet mit einem Celeron-Prozessor und 512 MB Hauptspeicher, läuft unter Windows Server 2003 und verwendet Version 6.0 des "RSA Authentication Manager". Konzipiert ist es für Firmen bis 1000 Mitarbeiter und wird zusammen mit den entsprechenden Tokens im Paket verkauft. Eine Grundausstattung mit zehn Tokens soll um die 4000 Dollar kosten, ein Bundle mit 250 Tokens schlägt mit 37 500 Dollar zu Buche.
Preisrutsch bei Tokens
Verisign versucht indes, RSA mit eigenen Tokens das Wasser abzugraben. Der Sicherheitsspezialist hat zwei neue Authentifizierungslösungen für Anwender vorgestellt. Das erste Produkt ist ein Anhänger, mit dem sich Einmalpasswörter erzeugen lassen und der als Konkurrenzlösung zu RSAs "SecurID" positioniert wird.
Im Gegensatz zu diesem erstellt Verisigns Sicherheits-Token das Passwort jedoch nicht zeitabhängig, sondern sequenzbasierend. Während SecurID ständig eine Zahlenkombination im Display anzeigt, ist das Anzeigefeld bei Verisign leer, bis der Anwender per Knopfdruck ein Passwort erzeugt.
Mit einem aggressiven Preisplan will Verisign überdies dem Konkurrenten RSA Kunden abjagen. Unternehmen, die mit mehr als 500 Anwendern wechseln, bekommen die Lösung zu einem Stückpreis von unter zehn Dollar pro Jahr, verspricht der Hersteller. RSA, Marktführer im Bereich der Passwort-Tokens, verlangt derzeit im Schnitt etwa 42 Dollar. Neukunden müssen für den Verisign-Anhänger rund 32 Dollar zahlen (bei bis zu 1000 anzubindenden Anwendern), hinzu kommt eine jährliche Servicepauschale, die zwischen zwölf und 20 Dollar pro Gerät liegt.
Zur Jahresmitte will Verisign dann das zweite Produkt, ein Hybrid-USB-Token, auf den Markt bringen, das nicht nur Einmalpasswörter erzeugen kann, sondern weitere Funktionen bietet: So soll es Schlüssel für Public-Key-Infrastrukturen speichern und Anwendern die Möglichkeit geben, Daten chiffriert auf einem integrierten Flash-Speicher-Modul (wahlweise 128 oder 256 MB) abzulegen. Die Multifunktionsprodukte werden für 22 bis 42 Dollar zu haben sein.
Erleichterung für Anwender
RSA parierte dies mit der Ankündigung, einige seiner Authentifizierungsspezifikationen öffnen und diversen Gremien zur Standardisierung übergeben zu wollen. Hersteller wie Adobe, Check Point, Cisco, Juniper Networks und Microsoft befürworten diesen Schritt. Konkret geht es um einen Algorithmus, der für die Passwort-Generierung auf Tokens zuständig ist. Der Vorteil einer Standardisierung wäre, dass Hersteller von Applikationen und Infrastrukturkomponenten diesen gleich in ihren Produkten berücksichtigen könnten. Anwendern würde es dann leichter fallen, weitgreifende Authentifizierungsregeln innerhalb ihrer IT-Umgebung zu etablieren.