Große Unternehmen brauchen Best of Breed

IT-Sicherheit gibt es nicht von der Stange

08.10.2004
Mit All-in-one-Lösungen versuchen immer mehr Anbieter, alle wesentlichen Sicherheitsfunktionen in einem Gerät zu vereinen. Derartige Spezial-Appliances adressieren jedoch in erster Linie die Bedürfnisse kleiner und mittlerer Unternehmen. In größeren Betrieben sind diese Lösungen kaum geeignet, hundertprozentigen Schutz zu bieten. Von Jan Schulze*

Der Virenscanner am Client reicht schon lange nicht mehr aus, um böswilligen Menschen das Handwerk zu legen. Sowohl Anbieter als auch Anwender haben auf die ständig wachsende Bedrohung durch immer raffiniertere Cyber-Attacken reagiert und greifen auf ein differenziertes Portfolio an Sicherheitslösungen zurück. Neben der Grundausstattung - Virenschutz vom Client bis zum Gateway und Firewall - kommen heute zahlreiche andere Systeme zum Einsatz. Content-Filter und Spam-Filter für die E-Mail-Server, Einbruchserkennungssysteme (Intrusion-Detection-Systeme = IDS) sowie VPN-Lösungen (Virtual Private Networks) entwickeln sich zunehmend zum Standard.

Alles aus einer Hand

Das spiegelt sich auch in den Strategien der Hersteller wider. Alle namhaften Anbieter haben mittlerweile integrierte Sicherheitssuiten im Sortiment. Diese sollen alle Schutzbedürfnisse der Anwender mit einem einzigen Produkt befriedigen - also Virenscanner, Firewall, Intrusion-Detection, VPN-Gateway und teilweise auch Spam-Filter in einer Box vereinen. Da allerdings nur wenige Hersteller auch auf allen Sicherheitsfeldern gleichermaßen aktiv sind, handelt es sich bei den Suiten zumeist nicht um tatsächlich integrierte Lösungen, sondern um mehr oder weniger lose geschnürte Produktbündel: Durch Lizenzabkommen, Partnerschaften oder auch durch den Kauf anderer Firmen bekommen Anbieter Zugang zu Technologien, die das eigene Portfolio ergänzen. Die verschiedenen Produkte werden zusammengebracht, indem man sie mit einer einheitlichen Management-Oberfläche versieht.

Dadurch sind die Out-of-the-Box-Produkte wesentlich einfacher zu administrieren, als wenn dedizierte Lösungen verschiedener Hersteller im Einsatz sind. Denn jeder Hersteller folgt bei der Konfiguration und Verwaltung seiner Produkte einer eigenen Philosophie und nutzt spezielle Techniken. So unterscheiden sich zum Beispiel die verschiedenen Virenscanner am Markt weniger durch ihre Erkennungsleistung als vielmehr durch die unterschiedlich aufgebauten Konfigurationsmenüs oder die diversen Update-Mechanismen. Von dieser Warte aus erscheint es sehr sinnvoll und hilfreich, die notwendigen Sicherheitssysteme über ein gemeinsames GUI (Graphical User Interface) zu administrieren.

Allerdings ergibt sich aus der vereinheitlichten Verwaltungskonsole oft auch ein Nachteil: Um die Möglichkeiten einer Sicherheitssoftware optimal auszunutzen, bedarf es der genauen und gut an die Unternehmensbedürfnisse angepassten Konfiguration. Wird eine komplette Suite von einer zentralen Konsole aus verwaltet, müssen die Konfigurationsmöglichkeiten in aller Regel reduziert werden, um das Interface nicht zu überfrachten. Ein weiterer Nachteil der Security-Suite ist ihre Zusammenstellung: Kaum ein Anbieter entwickelt alle Teile seiner Suite selbst. So kann es theoretisch passieren, dass sich ein Komplettpaket im Lauf des Lifecycle zum Beispiel durch neue Partnerschaften völlig ändert und beim Anwender dadurch größere Softwarewechsel anstehen.

Komplexe Probleme brauchen komplexe Lösungen

Vor allem die Frage der Konfigurierbarkeit schränkt die Komplettpakete in ihren Einsatzmöglichkeiten ein. Lassen sich Standardfunktionen wie Virenscanner oder Firewall in den meisten Szenarien noch recht einfach konfigurieren, muss in anderen Sicherheitsbereichen doch ein großes Maß an Fein-Tuning möglich sein. So etwa bei Intrusion-Detection-Systemen, die sich immer mehr zu einem Grundpfeiler der Netzwerksicherheit entwickeln. Hier müssen unter anderem die normalen Verhaltensmuster der Server und der Clients analysiert und dieser Soll-Zustand fortlaufend mit dem Ist-Zustand verglichen werden, um Eindringlinge aufzuspüren. Fehlalarme sollten weitgehend ausgeschlossen werden, um den reibungslosen Betrieb der IT nicht zu gefährden. Zudem müssen Log-Dateien zur Auswertung aufbereitet werden - ein großer Nutzen der IDS ist schließlich, dass die Aufzeichnungen dabei helfen, das Unternehmensnetz sicherer zu machen. Zudem spielt die Netztopologie eine große Rolle, die beim Aufbau eines IDS berücksichtigt werden muss.

Wenn das Know-how fehlt

Hierbei helfen keine einfachen Administrationskonsolen. Grundsätzlich gilt die Regel: Je komplexer die IT-Infrastruktur, desto leistungsfähiger müssen die Werkzeuge sein. So sieht Gerhard Langer, Consulting Engineer des auf Sicherheitsfragen spezialisierten IT-Dienstleisters Ampeg GmbH, die Out-of-the-Box-Lösungen auch eher im Mittelstand denn im Enterprise-Umfeld: "Kleinere und mittelständische Unternehmen können in der Regel nicht auf einen Stab speziell ausgebildeter Sicherheitsspezialisten zurückgreifen." Damit sei hier die vereinfachte Administration ein wichtiger Aspekt, um ein Grundmaß an Sicherheit zu erzielen. Für den Einsatz im Enterprise-Umfeld sind laut Langer dedizierte Produkte für exakt umrissene Probleme die bessere Wahl, da sie feiner an die Unternehmensbedürfnisse angepasst werden können.

Dabei spielen mehrere Faktoren eine Rolle. Zum einen arbeiten in großen Organisationen sehr verschiedene Anwender, die unterschiedlich mit dem PC umgehen und auch verschiedene Rechte und Pflichten haben. So stellen zum Beispiel Ingenieure völlig andere Anforderungen an ihren Rechner als ein Call-Center-Agent. Generell müssen die Mitarbeiter in kreativen Positionen mit mehr Rechten ausgestattet werden, was wiederum die Umsetzung von Sicherheitskonzepten an diesen Systemen deutlich schwieriger macht. Denn Sicherheit und Produktivität stehen an vielen Arbeitsplätzen in einem gewissen Widerspruch zueinander. Um in Organisationen mit mehr als 1000 Mitarbeitern allen Anforderungen gerecht werden zu können, müssen granular konfigurierbare Sicherheitsprodukte eingesetzt werden.

Einen höheren Aufwand sieht Langer darin jedoch nicht: "Das Umsetzen einer Sicherheitsstrategie ist mit frei zusammengestellten Einzelprodukten nicht prinzipiell komplizierter als mit einer Komplettlösung." Der einzige Unterschied ist aus seiner Erfahrung, dass sich der Administrator bei einem Best-of-Breed-Ansatz mit den unterschiedlichen Verwaltungswerkzeugen der einzelnen Produkte auseinander setzen muss. Dazu braucht er ein solides Fachwissen.

Ein Aspekt, der selten beachtet wird, ist für Langer auch die Frage nach Updates und Patches: "Manche Komplettlösungen sind nicht zuverlässig in der Lage, Updates so auf die Systeme aufzuspielen, dass kein Neustart nötig ist." Für große Produktionssysteme aber sollten im Rahmen hoher Verfügbarkeit die Reboots so selten wie möglich notwendig sein. Auch müssen Updates genau definiert werden können. So sollten zum Beispiel neue Virensignaturen automatisch installiert, Patches jedoch nur nach einer ausgiebigen Evaluierung durch die IT-Abteilung auf Clients und Servern ausgerollt werden. Welches System wann welche Updates automatisch bekommen soll, muss also genau festgelegt werden können. Nötig sind entsprechende Administrationswerkzeuge. (ave)

*Jan Schulze ist freier Journalist in Erding.

Hier lesen Sie ...

- dass angesichts der wachsenden Gefahren eine ganzheitliche Herangehensweise an das Thema Sicherheit wichtig ist;

- welche Rolle Multifunktions-Appliances hierbei spielen;

- welche Vorteile sie bieten;

- wo derartige Ansätze Geräte an ihre Grenzen stoßen und

- warum für Großunternehmen Best of Breed derzeit noch die bessere Alternative darstellt.