computerwoche.de

Archiv

Noch zieren sich die Hersteller

Sichere Portale stehen erst am Anfang

21.09.2001
Portale dienen Unternehmen als Informationsdrehscheibe. Oft bieten sie Zugang zu wichtigen Daten. Um den Zugriff zu schützen, lassen sich Security Gateways vorschalten. Diese fangen Angriffe an vorderster Front ab. Insbesondere sollten sie sich in Meta Directories einbinden lassen. Von Hadi Stiel*

Die Zielrichtung ist klar: Portalen als Türöffner zu den Unternehmensinformationen gehört die Zukunft. Denn nur sie sind in der Lage, die Informationsgabe nach allen Seiten hin - Intranet, E-Business und E-Commerce - abzuwickeln. Diese Philosophie einer umfassenden Informationsdrehscheibe geht für das Unternehmen allerdings nur dann auf, wenn als Prüfinstanz ein dem Portal vorgeschaltetes Security Gateway für die notwendige Zugriffskontrolle sorgt.

Welche Eigenschaften ein solches Security Gateway haben sollte, skizziert Markus Bittner, Manager Technology Risk Consulting bei Accenture in Düsseldorf. Dazu gehören

-ein Lightweight-Directory-Access-Protocol (LDAP-)Verzeichnis, um darin die Teilnehmerrechte für Authentisierung und Autorisierung inklusive der erforderlichen Passwörter oder Zertifikate zu hinterlegen;

-die Beherrschung des Single-Sign-on-Verfahrens;

-nach erfolgreicher Authentisierung die Einblendung einer personalisierten Empfangsseite, die nur diejenigen Web-Ressourcen anzeigt, für die der Teilnehmer eine Zugriffsberechtigung hat;

-die Bereitstellung eines Session-Managers, der sich für den Zeitraum einer Sitzung die berechtigten Zugriffe auf alle folgenden Web-Seiten merkt, damit sich der Teilnehmer nicht mehrfach autorisieren muss;

-eine starke Verschlüsselung, um E-Mails abhörsicher zu übertragen;

-die Einbindung in ein Meta Directory, das als Unternehmensverzeichnis alle allgemeinen Teilnehmer- und Teilnehmergruppeninformationen inklusive der dazugehörigen Rollen (Funktionen) enthält, um von hier auf die sicherheitsspezifischen Benutzerinformationen des Security-Gateway-Verzeichnisses zu verweisen.

Das Leistungsspektrum eines Security Gateways abrunden sollten Secure Socket Layer (SSL) zur Verschlüsselung der Passwörter zwischen Teilnehmer und Security Gateway sowie URL-Mapping, um die URL-Adressen der Zielsysteme vor den Teilnehmern zu verschleiern. Nicht fehlen darf darüber hinaus eine leistungsfähige Auditing-Funktionalität für den Mitschnitt und die Analyse aller Zugriffe und Zugriffsversuche. Denn nur so bleiben alle Zugriffe auf das Portal nachvollziehbar - das Unternehmen kann tatsächliche Angriffe enttarnen.

Vorzüge eines Sicherheits-Gateways

Einen generellen Vorteil hat das vor dem Portal positionierte Security Gateway von vornherein: Es fängt unberechtigte Zugreifer an vorderster Front ab. Dadurch können sich Angreifer nur schwer zu den Zielsystemen mit den Daten des Unternehmens durchhangeln. Das portalspezifische Single-Sign-on-Verfahren verstärkt noch die Zugriffssicherheit, weil in diesem Fall die Passwortanfragen direkt vom Security Gateway beantwortet werden anstatt, wie beim herkömmlichen Single-Sign-on, vom PC des Teilnehmers.

Immerhin besteht unter den Herstellern weitgehend Einigkeit über dieses Leistungsprofil. Der Kreis der Hersteller, die sich der Lösung "Security Gateway" angenommen haben, ist groß und reicht von Spezialanbietern wie Netegrity, Unisphere und Oblix über Hersteller von Sicherheitsarchitekturen wie IBM/ Tivoli, Computer Associates, Hewlett-Packard und Evidian bis hin zu den Anbietern von Meta-Directory-Lösungen wie Siemens, Critical Path, Syntegra, iPlanet und Novell. Auch Hersteller von Enterprise-Resource-Planning (ERP-)Systemen wie der Walldorfer Softwareriese SAP sind bereits, in diesem Fall mit dem Kauf von Top Tier, in Richtung sichere Portal-Lösung aufgebrochen. Selbst Componentware-Hersteller wie Bea Systems spielen mittlerweile mit dem Gedanken, in puncto "Security Gateway" künftig im Markt Flagge zu zeigen.

Trotz dieser allgemeinen Hinwendung zum Portalgeschäft trifft der Anwender bei den Herstellern lediglich auf mehr oder weniger (un)vollständige Lösungen. "Nur wenige dieser Hersteller sind schon fit, komplett die Anforderungen mit einer fertigen Security Gateway abzudecken", warnt Accenture-Berater Bittner. Gut dabei sind in der Regel die Spezialanbieter, die frühzeitig gestartet sind. Unter den vier Herstellern von Sicherheitsarchitekturen können heute nur IBM/Tivoli mit Policy Director, ergänzt um Nebenfunktionen, und Evidian mit Portal Xpert eine fertige Security-Gateway-Lösung präsentieren. Computer Associates ist erst dabei, alle notwendigen Säulen zu "einer" Portallösung zu formieren. Nach Rajiv Saxena, Business Development Manager bei Computer Associates in München-Ismaning, soll das Produkt mit Portal 3.0 im ersten Quartal 2002 stehen. Bisher, also mit Portal 2.5, sei es nur möglich, die Lösung aus Einzelbausteinen der eTrust-Familie zusammenzusetzen. Hewlett-Packard hat mit dem Realisierungsnachteil zu kämpfen, dass innerhalb seiner Sicherheits-Produktfamilie Presidium die Basisbausteine für ein Security Gateway - zentrale Benutzeradministration und Single-Sign-on - fehlen. Der Hersteller muss dementsprechend seine sichere Portallösung langwierig mit Partnerprodukten komplettieren. Anbietern von Meta-Directory-Lösungen wiederum fehlt es oft noch am fundierten Sicherheits-Know-how, um schon heute alle Anforderungen an ein leistungsfähiges Security Gateway zu erfüllen. Bittner empfiehlt vor diesem Hintergrund den Entscheidern, sich genau den Status quo der einzelnen Security-Gateway-Produkte anzusehen und die Leistungsfähigkeit am besten in Form einer Testinstallation zu prüfen.

Wenn auch - unabhängig von der Realisierungsgeschwindigkeit - über das generelle Lösungskonzept Security Gateway unter den Herstellern ein weit gehender Konsens besteht, in einem Punkt zeigen die Hersteller kaum Sensibilität: beim notwendigen Zusammenspiel mit einem Meta Directory.

Unterstützung von Meta Directories fehlt

"Anstatt im Sinne einer offenen Portallösung die Pforten zu einem übergreifenden Unternehmensverzeichnis mit allen allgemeinen Teilnehmer- und Teilnehmergruppeninformationen zu öffnen, beharren, abgesehen von den Anbietern von Meta-Directory-Lösungen, mehr oder weniger alle Hersteller auf ihrem eigenen LDAP-Verzeichnis als Hort für sämtliche Benutzerinformationen", registriert Dr. Jürgen Spitzner von der Haar, Kompetenz Center Manager bei der Heaven 21 AG in Heppendorf bei Köln. Er bewertet die fehlende Meta-Directory-Unterstützung als ausgesprochen realitätsfern. Zudem verursache dieser Ansatz auch noch einen hohen Zeit- und Kostenaufwand, weil so alle Benutzerinformationen zusätzlich im Security-Gateway-Verzeichnis erfasst, gepflegt und bei Bedarf gelöscht werden müssten. Es könnten so schnell gefährliche Inkonsistenzen bei den Benutzereinträgen entstehen.

Besonders ausgeprägt ist die Abwehrhaltung gegenüber einem übergeordneten Unternehmensverzeichnis bei den großen Anbietern von Sicherheitsarchitekturen, die dadurch mit Marktmacht ihre Kunden auch bei der Security-Gateway-Lösung fest an ihre eigene Produktwelt binden wollen. Lediglich Evidian, der Kleinste im Herstellerquartett, zeigt bisher mit Portal Xpert in dieser Hinsicht Engagement, mit der Unterstützung von Iplanet´s Meta Directory.

Zentrale Benutzeradministration

Thomas Krampert, Leiter des Kompetenz-Centers IT-Sicherheit bei der Management- und Technologieberatung Gora, Hecken & Partner in Sulzbach bei Frankfurt am Main, nennt eine Reihe weiterer Argumente, wieso sich die Unternehmensentscheider keinesfalls auf die entkoppelte LDAP-Verzeichnisphilosophie der Hersteller einlassen sollten. Nach ihm müssen Portal-Sicherheitskonzepte als Teil des Ganzen in einem übergeordneten Unternehmensverzeichnis aufgehen, damit

-eine zentrale und damit wirtschaftliche Benutzeradministration über alle installierten Verzeichnisse etabliert werden kann;

-flexibler Raum für neue Anwendungen wie umfassendes Content-Management bis hin zum Knowledge-Management, Internet-fähiges Call-Center und Customer-Relationship-Management (CRM) entsteht;

-sich die Unternehmen in Zeiten des offenen E-Business und E-Commerce beim Sicherheitsansatz endlich aus dem Griff eines Herstellers lösen können;

-die Gesamtinstallation über die professionelleren Replikationsmechanismen eines Meta Directory hochverfügbar ausgelegt werden kann;

-bei Bedarf Content auch innerhalb des Verzeichnisses, nämlich des Unternehmensverzeichnisses, ablegbar ist;

-die aufkommende mobile WAP-Kommunikation mit einer Flut an neuen Benutzereinträgen angemessen, das heißt über ein übergreifendes Unternehmensverzeichnis, antizipiert werden kann;

-künftig über eine übergeordnete Benutzeradministration angemessen in Richtung Public Key Infrastruktur (PKI) gesteuert werden kann.

Daneben spricht ein weiterer Grund dafür, dass die Security-Gateway-Verzeichnisse allmählich in einem übergeordneten Unternehmensverzeichnis aufgehen sollten: Nur so können Verwaltungshoheiten "nach Maß" innerhalb des Unternehmens flexibel aufgeteilt werden. Der übergeordnete Verzeichnisintegrationsansatz bietet dazu die Flexibilität sowie die geeignete Administrationsstruktur und -rechtezuweisung.

Bei der Produktauswahl müssen die Entscheider zusätzlich darauf achten, dass die Installation der Security Gateway innerhalb des Portals keine oder zumindest nur geringfügige Veränderungen an den bestehenden Servern und PCs nach sich zieht. Denn nur in diesem Fall kann der Anwender auf eine schnelle, reibungslose und kostensparende Integration der Sicherheitslösung zählen.

*Hadi Stiel ist Berater und freier Journalist in Bad Camberg.

Abb: Security-Gateway

Ein Security-Gateway hat die Aufgabe, einen sicheren und personalisierten Zugriff auf alle Web-Informationen zu gewährleisten. Quelle: Evidian