Einen sehr konsequenten Weg in Sachen Security wollte Ingo Hakenberg beschreiten. Der IT-Leiter der Europart Holding GmbH mit 1400 Mitarbeitern und rund 80 000 Kunden zielte auf Transparenz im Bereich der Layer-2- und Layer 3-Ebene bei der internen Sicherheits-Infrastruktur ab. Zudem waren seine im Projekt-Lastenheft skizzierten Anforderungen sehr ehrgeizig: unternehmensfremde Hardware, unautorisierte Netzwerkzugänge sowie interne Netzangriffe wie beispielsweise MAC- und IP-Flooding oder MAC- sowie IP-Spoofing sollten netzwerkweit über ein einziges System erkannt und unmittelbar unterbunden werden.
Keine Ressourcenbelastung
Die Security-Plattform sollte daher die Hardware anhand der MAC- und IP-Adressen automatisch inventarisieren und anschließend diese Adressen sowie die relevanten Netzprotokolle überwachen, ohne dabei den Datenverkehr der User zu beeinflussen. Und noch etwas war dem IT-Leiter wichtig: In der vorhandenen Infrastruktur sollte keine Erweiterung durch zusätzliche Sensoren vorgenommen, gleichzeitig aber auch eine Ressourcenbelastung beim Betrieb der Lösung vermieden werden.
Anforderungen, die IT-Leiter Hakenberg nach eigener Einschätzung eingelöst hat, denn "auch spezifische Änderungen oder Konfigurationen können in kürzester Zeit schnell und anwenderfreundlich umgesetzt werden". Bei Europart hatte man sich für die Lösung "Intraprotector" von der Comco AG entschieden. Diese Security-Plattform erlaubt eine effiziente Netzüberwachung, die Identifikation von Angriffen, die Lokalisierung von Angreifern und Opfern sowie proaktive Gegenmaßnahmen. Auf diese Weise lässt sich nicht nur eine Manipulation, Entwendung oder Zerstörung von Daten verhindern, sondern ebenso jederzeit der aktuelle Status erkennen und berichten. Dabei werden alle Security-Incidents mit einem Zeitstempel versehen und in der Datenbank dokumentiert. Für den Ansatz sprach auch die einfache Integration, so dass vorhandene Ressourcen weiter genutzt werden können. Und dies kommt der Wirtschaftlichkeit zugute.
Schnelle Projektrealisierung
Zu Beginn der Installation inventarisierte das Security-System zunächst automatisch alle Netzkomponenten einschließlich der Server und Clients. Sämtliche relevanten Sicherheitsinformationen der Netztopologie wurden dabei in einer Datenbank hinterlegt und auf diese Weise das Referenzprofil für umfangreiche Security-Checkups abgespeichert. Unautorisiert angeschlossene Fremdgeräte werden nun sofort erkannt und automatisch isoliert. Weitere Features bilden die Erkennung und Abwehr von Man-in-the-Middle-Attacken und von Manipulationen an Netzkomponenten wie Routern und Switches sowie an Servern und PCs.
Die Integration der Lösung in die Europart-Systemumgebung verlief unkompliziert und mit wenig Aufwand. Nach der Implementierung und einer fachgerechten Einweisung konnten die Security-Verantwortlichen die Lösung sofort administrieren. Seitdem berichtet die Comco-Plattform den aktuellen Status der internen Sicherheit umgehend an den Administrator. Dabei gibt ihm ein Alarm-Center einen strukturierten Überblick über alle sicherheitsrelevanten Vorfälle und erfasst Veränderungen, Netzanomalien oder unberechtigte Zugriffe in einem übersichtlichen Fenster. Abwehrmaßnahmen gemäß definierten Regeln oder Policies können sofort durchgeführt werden, beispielsweise ein Portblocking.
Klassische Lösungen sind teurer
Ein Grund, warum sich Europart für Intraprotector entschied, liegt darin, dass diese Lösung eine Alternative zu den klassischen technischen Ansätzen darstellt. In der Regel schützen heute Unternehmen ihr internes Netz durch diverse Sicherheitslösungen wie Firewalls oder um ein IDS (Intrusion Detection System) erweiterte UTM-Lösungen (Unified-Threat-Management) vor Angriffen von außen. Entsprechende Plattformen filtern den kompletten Netzwerkverkehr nach schädlichen oder unerwünschten Inhalten und Mustern und lassen nur regelkonforme Datenpakete in die Unternehmensnetze passieren. Doch die Wirkung eines solchen Ansatzes ist begrenzt, denn für die-se Sicherheitslösungen an den Netzübergängen befindet sich die interne Kommunikation quasi im toten Winkel. Sie können nur Gefahren entdecken, wenn der Verkehr auch über sie läuft.
Alternative zu IDS
Klassische IDS-Konzepte sind aufwändig umzusetzen. Trotzdem geben sie auf Dauer keinen kompletten Angriffsschutz. Die von Europart gewählte Intraprotector-Lösung verfolgt einen anderen Ansatz: Hier empfängt und behandelt eine zentrale Konsole nach definierten Regeln sämtliche sicherheitsrelevanten Ereignisse der gesamten Infrastruktur. Diese Vorfälle werden dann korreliert und in dem bereits angesprochenen Alarm-Center zur Verfügung gestellt. Zudem erfolgt ein Reporting für das Management. Der modulare Aufbau des Systems beinhaltet Komponenten zur Erkennung und Behandlung von internen Angriffen auf Endgeräten wie PCs und Servern sowie auf Infrastrukturkomponenten, die mittels herkömmlicher Security-Lösungen nicht erkannt werden können. Damit ist eine lückenlose Identifizierung jeglicher im Netz kommunizierender Systeme möglich.
Grenzen der IDS-Lösungen
Die Funktionen, die Sicherheitssysteme an den Übergängen zwischen Internet und Unternehmensnetz wahrnehmen, sind im Prinzip die gleichen, die IDS innerhalb von Netzen ausüben. Ein IDS soll aus allen Ereignissen diejenigen herausfiltern, die auf Einbruchsversuche, missbräuchliches Verhalten oder Regelverstöße hindeuten. IDS-Lösungen gewährleisten wie Firewalls Schutz vor Angriffen, indem sie – beschränkt auf die interne Situation – den gesamten Netzwerkverkehr auf allen Schichten nach bestimmten Angriffsmustern beziehungsweise Anomalien analysieren. Dabei sind sie auf Host- beziehungsweise netzbasierende Sensoren angewiesen, die an allen relevanten Punkten im Netzwerk installiert sind. In den meisten Fällen erfolgt die Angriffsdefinition durch Abgleich mit definierten Angriffsmustern. Dieser Ansatz erfordert es jedoch, praktisch alle Angriffsvarianten in jeglicher Modifikation für einen Abgleich verfügbar zu halten.
Sicherheits-Manager befinden sich deshalb bei IDS in einem Dilemma. Der Schutz des gesamten internen Unternehmensnetzes erfordert es, dass an allen kritischen Netzpunkten Sensoren zu installieren sind. Sie müssen außerdem mit erheblicher Rechenleistung ausgestattet sein, um tatsächlich alle ankommenden Datenpakete aufnehmen und durchfiltern zu können. Moderne Unternehmensnetze mit hoher Bandbreite überfordern deshalb oft die heute verfügbaren IDS-Sensoren.
Hinzu kommt der hohe finanzielle Aufwand für die Anschaffung aller erforderlichen IDS-Komponenten. Unter dem Strich entstehen deshalb schnell Zweifel an der Wirtschaftlichkeit dieses Sicherheitsansatzes. Addieren sich diese Kosten dann noch zu denen des Netzwerk-Redesigns und den Folgekosten für Administration und Wartung, dürfte die finanzielle Schmerzgrenze schnell erreicht sein. Trotz der hohen Investitionen schaffen die IDS-Systeme meist keinen Schutz vor noch nicht bekannten Angriffsarten.
Integration anderer Systeme
Bei der von Europart gewählten Lösung erfolgt die Überwachung der Infrastruktur durch eine einzige Komponente im Netz. Damit konnten die Ersatzteilspezia-listen Kosten sparen, da sich das Projekt schnell realisieren ließ und sie künftig keine Insellösungen verwalten müssen. Ein weiteres Plus ist die Network-Access-Control-Komponente des Systems. Durch ihren herstellerübergreifenden Ansatz umgeht sie das Problem, dass die Integration eines typischerweise auf dem Standard 802.1x basierenden Zugangssystems häufig aufgrund der unterschiedlichen technischen Spezifikationen der Hersteller einen erheblichen Aufwand erzeugt.