The. Spam, Spam, Spam... Leitartikel. Online-Umfrage. im Interview. Gefahr erkannt, Gefahr gebannt? Mobile Gefahren weit unterschätzt

Transkript

1 Ausgabe 2/ Kontakt: The Guardian Leitartikel Online-Umfrage im Interview Gefahr erkannt, Gefahr gebannt? Mobile Gefahren weit unterschätzt Prof. Dr. Nikolaus Forgó, EICAR Seite 2 Seite 8 Bildquelle: plainpicture Bildquelle: shutterstock Wick Hill Kommunikationstechnik GmbH Ihr value added distributor Seite 3 Editorial Wick Hill Liebe Guardian-LeserInnen, liebe Freunde von Wick Hill, der aktuelle Trend in der IT-Security-Branche hat wohl seit langem zum ersten Mal nicht mit Geschwindigkeit zu tun, sondern mit Konsolidierung. Auch die aktuelle IDC-Studie zeigt, dass sich Unternehmen nicht mehr nur ans punktuelle Stopfen von Löchern machen, sondern in ganzheitliche(re)n Konzepten denken und im Umkehrschluss diese auch verlangen. Dies bedeutet zum einen, dass weniger Insellösungen implementiert werden und zum anderen, dass sich gerade Reseller teils neu aufstellen müssen, um solche Konzepte anbieten zu können. Dabei möchten wir unseren Resellern bestmögliche Unterstützung geben und stellen neben unserem umfangreichen Serviceangebot vor allen Dingen ein starkes Hersteller-Portfolio zur Verfügung. Dieser Kreis hat jüngst ein neues Mitglied bekommen, und ich möchte an dieser Stelle herzlich unseren neuen Partner Panasonic System Networks Europe begrüßen. Die neue Zusammenarbeit beschreibt unser Engagement im Unified Communications-Bereich, den wir in den nächsten Monaten weiter ausbauen wollen. Jetzt aber zu dem, was Sie gerade in den Händen halten: Mit der zweiten Ausgabe des Guardian in diesem Jahr haben wir Ihnen wieder News und Infos rund um die ITSicherheitsbranche und Wick Hill zusammen getragen: von aktuellen Tech- und Business-Tipps über Produktneuigkeiten bis hin zu Themenschwerpunkten wie Mobile Security und die Auswirkungen des aktuellen Bundesdatenschutzgesetzes. Dabei konnten wir wieder einige Experten gewinnen, die ihre Informationen und Gedanken mit uns teilen, zum Beispiel Christian Vogt von Fortinet, der im Branchentalk den Status Quo und die Zukunft unseres Marktes beleuchtet. Viel Spaß beim Lesen und einen guten Start in die heiße Jahresendphase wünscht Helge Scherff Sales Director Wick Hill Das richtige SecuritySystem finden Spam, Spam, Spam... Was bei der Auswahl der SecuritySysteme zu beachten ist... BDSG Deutsche Unternehmen haben Nachholbedarf beim Datenschutz Wichtige Vorüberlegungen beim Kauf einer Anti-Spam-Lösung Die Auswahl einer geeigneten Anti-Spam-Lösung zum Schutz des Netzwerks bei gleichzeitigem Erhalt der Mitarbeiterproduktivität zählt immer noch zu den wichtigsten Sicherheitsentscheidungen, die ein Unternehmen treffen muss. Erschwert wird die Suche nicht nur durch die Masse an angebotenen Appliances mit Anti-Spam-Vorkehrungen. Auch die sich ständig verändernden Anforderungen bei der Spam-Abwehr tragen ihren Anteil dazu bei: Angreifer werden zunehmend ideenreicher, um sich den Weg durch die Unternehmensmauern zu schlagen. Wie findet man also das richtige Produkt für seine Systemlandschaft zum optimalen Preis? Z unächst einmal sollte hinterfragt werden, ob die Aussage erschwinglich in Wirklichkeit billig meint. Einige Hersteller drücken ihre Preise, indem sie weniger hochwertige Komponenten integrieren. Die Produkte sind dann bereits bei der Auslieferung defekt oder führen nach dem Einbau zu einer erhöhten Ausfallquote. Im Gegensatz dazu präsentieren andere Anbieter zunächst ihre kleinsten Modelle mit geringem Preis und Funktionsumfang. Um jedoch die gewünschten Funktionalitäten abzubilden, müssen oftmals weitere Anwendungen ergänzt werden. Das soll keinesfalls bedeuten, dass es nicht auch Anti-Spam-Lösungen gibt, die effektiv und preiswert zugleich sind. Zum Aufspüren sollte man allerdings seine Hausaufgaben gemacht haben und Schritt für Schritt vergleichen. Funktionsumfang beachten Gerade kleinere und mittlere Unternehmen müssen sorgfältig abwägen. Denn die meisten Produktlinien werden über ihren Funktionsumfang verkauft. Die Modelle für den Mittelstand sind dabei nicht selten in ihrer Leistungsfähigkeit stark eingeschränkt. Beispielswei-... Interview auf Seite 5 se fehlen Möglichkeiten des LDAP-Zugriffs, der Steuerung von Endnutzern oder einer On-box-Spam-Quarantäne. Dies bedingt dann meist den Wechsel auf ein teureres System allein, um die eigentlichen Basisfunktionalitäten abdecken zu können. Daher ist die Beauftragung eines Managed Security Service Providers (MSSP), der Sicherheitsdienste über die Cloud bereitstellt, für mittelständische Unternehmen eine attraktive und zugleich finanziell tragbare Option. Folgekosten im Blick Obwohl sich die Ermittlung der Total Cost of Ownership (TCO) nicht ganz einfach gestaltet, spielt sie im Entscheidungsprozess eine wichtige Rolle. So reduzieren Anwendungen, die zentral administrierbar sind, beispielsweise den zeitlichen Aufwand für das Spam Management. In einigen Fällen erfordert die Verwaltung des -Ein- und Ausganges unterschiedliche Appliances oder es werden weitere Module für das Reporting nötig, die ein individuelles Management und separate Updates verlangen. Der Einsatz einer einzigen Appliance zum bidirektionalen -Schutz mit einheitlicher Steuerung sowie einem konsolidierten Policy Management und Reporting wie sie zum Beispiel WatchGuard bietet kann dementsprechend sowohl die Kosten als auch die administrative Last deutlich senken. Datendurchsatz hinterfragen Viele Anti-Spam-Lösungen bieten Mailverarbeitungsmechanismen, die nicht in der Lage sind, mit größeren Datenvolumina umzugehen. Daher sollte ein System gewählt werden, dass nicht nur dem aktuellen Datendurchsatz, sondern auch zukünftigen Anforderungen des Unternehmens gewachsen ist ohne dabei...weiter auf Seite 6 Zu dem Ergebnis kommt die aktuelle Studie Daten schützen - Stand des Datenschutzes in deutschen Großunternehmen 2010 von der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC)......weiter auf Seite 3 NETGEAR PowerShift Partner-Programm neu aufgelegt NETGEAR-Partner profitieren von Preisvorteilen sowie Sales- und Marketing-Support......weiter auf Seite 7 Inhalt Spam, Spam, Spam... S. 1 Leitartikel: Gefahr erkannt, Gefahr gebannt? S. 2 Deutsche Unternehmen haben Nachholbedarf S. 3 Das Experteninterview S. 3 Know-how bei Anti-Spam-Lösungen S. 4 Alle Applikationen unter Kontrolle? S. 4 Virtuelle Niederlassungen in the Cloud S. 5 Wichtiges zur Auswahl der Security-Systeme S. 5 Neuer Vertriebspartner von Wick Hill S. 6 Partner profitieren von Preisvorteilen S. 7 Netgear mit neuer UTM-Lösung S. 7 Umfrage: Mobile Gefahren weit unterschätzt S. 8 Automatisiertes Patch-Management S. 8 Branchentalk S. 8 Rubrik: Tipps & Tricks S. 9 Zu beachten: Umstellung von IPv4 auf IPv6? S. 10 Ganzheitliches 24/7 Security-Konzept S. 11 Rubrik: Was ist Was S. 11 CeBIT 2010 Rückblick S. 11 Gewinnspiel S. 12 Schulungsübersicht S. 12 Rückblick: Cyclassics S. 12

2 Wick Hill Guardian 2 Ausgabe 02/2010 Leitartikel Gefahr erkannt, Gefahr gebannt? Wieso Unternehmen das Thema Sicherheit als geschäftskritischen Faktor behandeln müssen IT-Sicherheit kostet nur Geld : In vielen Unternehmen herrscht noch immer die Denkweise vor, Sicherheit bringe keinen Ertrag und verursache nur Kosten dabei sollte ITSicherheit Chefsache sein und von Geschäftsführern und Vorständen gleichermaßen in das Kalkül des operationellen Risikos mit einbezogen werden. Denn gerade Geschäftsführer und CIOs haben für den lückenlosen Schutz der Unternehmensdaten Sorge zu tragen. In einem mangelhaft geschützten Unternehmen riskiert der Geschäftsführer eine persönliche Haftung, die sich auch auf sein persönliches Vermögen erstrecken kann. M irco Rohr, Technology Evangelist bei Kaspersky Lab Europe, bringt die Brisanz auf den Punkt: Eine schlechte Security-Leistung kann sich sogar dahingehend auswirken, dass nach Basel II ein schlechteres Unternehmens-Rating erfolgen kann. Während Kürzungen an der IT-Sicherheit kurzfristig ein klar sichtbares Sparpotenzial bieten, führen Schadensberechnungen im Risikomanagement meist nur zu sehr theoretischen Ergebnissen. Einsparungen an der falschen Stelle können jedoch mittelfristig zu teuren Nachinvestitionen führen oder den Verlust von Werten verursachen. Um diese Aufgabe erfüllen zu können, muss der Sicherheitsbeauftragte eines Unternehmens die betriebswirtschaftlichen Gesamtzusammenhänge verstehen. Kurz: Die Feuerwehr abschaffen spart Geld aber wehe, es brennt. Unterschätztes Risiko Einige Unternehmen haben Handlungsbedarf erkannt und haben ihre Budgets für IT-Sicherheit angehoben dies ist ein Ergebnis einer Studie von Booz & Company (Juli 2010). Demgegenüber steht, dass sich das Risiko von Datenklau und Angriffen stetig weiter erhöht: So hat Kaspersky Lab allein im Jahr 2007 mehr als Schädlinge neu entdeckt, so viel wie insgesamt in den zehn Jahren zuvor. Die Situation entpuppt sich als ein Haseund-Igel-Rennen. beitsteiligen Gesellschaft hat im Zuge dieser Entwicklung auch in den Bereich der Computerkriminalität Einzug gehalten: Hersteller der Malware nutzen diese meist nicht selbst, sondern bieten ihr Produkt auf einem Marktplatz an (Foren, Usenet Groups etc.). So lassen sich knapp Adressen für nur fünf US-Dollar beziehen, eine verifizierte, gültige Kreditkarte ist für etwa zehn US-Dollar zu bekommen. Der kommerzielle Hintergrund der neuen Malwares hat auch Auswirkungen auf deren Funktionsweise. Schädlinge arbeiten nicht mehr destruktiv, da ihr Ziel ja darin besteht, möglichst lange aktiv sein zu können. Der infizierte Computer dient ja schließlich als Arbeitsgerät für den Cyber-Kriminellen, sagt Mirco Rohr. Der Vergleich zum Parasiten drängt sich auf: Ein Schmarotzer ernährt sich von einem Wirt. Die existenzielle Gefährdung des Wirts wird zumindest nicht absichtlich herbeigeführt, da der Wirt möglichst lange benutzt werden soll. Trojaner, Würmer & Co verfahren nach demselben Prinzip. Das Löschen von Daten ist out, Nutzen für eigene Zwecke ist in. Dass laut Angaben von Kaspersky Lab inzwischen 90 Prozent aller Schädlinge Trojaner sind, verdeutlicht diese Tatsache und damit einhergehend die Gefahr der Webnutzer, Opfer eines solchen Schädlings zu werden. Aufschwung am neuen Markt Wer heute Schadsoftware programmiert, hat also in der Regel monetäre Gründe dafür. Und auch in diesem neuen Bild verändern sich die Strategien sukzessive. Der Anteil einfacher Spam-Mails ist rückläufig, da diese Verbreitungsmethode nicht zielgerichtet ist; die Aussichten auf einen Treffer für den Angreifer liegen im Promillebereich. Hingegen erleben gezielte Angriffe eine Hausse, da sie einen höheren wirtschaftlichen Erfolg für die Cyber-Kriminellen versprechen. Das Prinzip der ar- Mirco Rohr, Technology Evangelist bei Kaspersky Lab Europe Sicherheit ist ein permanenter Kreislauf, die zu schützenden Assets müssen immer wieder neu bewertet und neu bemessen werden. Doch Sicherheit kostet zunächst einmal Geld und bringt augenscheinlich nicht viel ein. Der Return on Investment (ROI) scheint für viele Unternehmer hier nicht greifbar. RoS Return on Security? Dabei befördert die Professionalisierung der Angreifer auch die Geschäfte der Verteidiger. Gemäß der Studie von Booz & Company setzten Unternehmen mit IT-Security-Angeboten im Jahr 2009 weltweit 37 Milliarden Euro um, deutschlandweit 2,75 Milliarden Euro das entspricht in etwa dem fünffachen Etat des Bundesjustizministeriums. Diese Summe zeigt, welche geschäftlichen Potenziale im Bereich IT-Security liegen. In der Tat ist ein konkreter ROI immer schwer nachweisbar. Der entscheidende Faktor beim Return on Investment als Messgröße über die Ertragskraft eines Unternehmens ist üblicherweise die Amortisationsdauer, also der Pay Off: Allerdings stehen diesen Ausgaben enorme Ersparnisse gegenüber, die sich jedoch nicht ohne weiteres quantifizieren lassen, zumal Abhängigkeiten wie Risikobewertung eine Rolle spielen. Das Risk Management ist Teil des Gesamtkonzepts es gibt mehr oder weniger tragbare Risiken für Unternehmen. Werden geschäftskritische Daten abgegriffen, kann dies von existenzieller Bedrohung für das Unternehmen sein. Aber selbst wenn ein Cyber-Anschlag ohne direkte Auswirkungen bleibt, kann zum Beispiel der damit einhergehende Reputationsverlust weitreichende Folgen nach sich ziehen. Entscheidend hierbei ist, dass nicht allein der TCO-Gedanke zum Erfolg führt, sondern auch eine Risikobetrachtung den zu erwartenden Verlust minimieren und somit den Gesamtgewinn steigern kann. Quantifizierung von Risiken Dass die Schere von Ausgaben und Schadfällen auseinander geht, hat einen triftigen Grund: Hacker sind beim Identifizieren und urbar machen von Sicherheitslücken kaum zu schlagen; die Wortwahl urbar machen soll hierbei übrigens explizit den Paradigmenwechsel verdeutlichen, der seit Entstehen der diversen Schadprogramme stattgefunden hat: Waren bei frühen Computerviren vielfach der persönliche Ehrgeiz des Programmierers oder womöglich ideelle Zerstörungspläne die Triebfeder, so steht heute der finanzielle Anreiz als Impetus im Zentrum. Sicherheit zahlt sich aus: Die Risiken, denen Unternehmen gegenüber stehen, sind vielfältig. Auch wer sich immer vorsichtig verhält, kann sein System leicht mit Schadsoftware infizieren. Bereits der Besuch einer kompromittierten Webseite reicht aus, um verseucht zu werden. Hacker benutzen immer neue Sicherheitslücken und Applikationsschwächen, um auf die Rechner ihrer Opfer zu gelangen. Der Einsatz des HypertextTransfer-Protokolls (http) hebelt Paket-Firewalls einfach aus, denn http-verkehr ist meistens erlaubt und kann daher unbehelligt passieren, Malware inklusive. Vor Risiken, die im Zusammenhang mit der Übernahme von ITSystemen und dem Datenabfluss durch Trojaner stehen, schützen Antiviren-Hersteller wie Kaspersky Lab mit vielschichtigen Lösungen. Sie verhindern das Eindringen von Schadcode, unterbinden die fremde Kontrolle über Firmenrechner und schützen die dort gespeicherten Informationen, das wichtigste Gut der Unternehmen. Risikomanagement: Planung, Monitoring und Return Beim Thema Risikomanagement stoßen die unterschiedlichen Beteiligten in einem Unternehmen mitunter an Definitionsgrenzen. Mirco Rohr: Risiko bedeutet für die Führungsebene vor allem eine Gefahr für den vertrieblichen Erfolg also entgangene PayOff in Jahren = ursprünglicher Kosteneinsatz Gewinn bzw. Kostenersparnis pro Jahr + jährliche Abschreibung Einnahmen oder der Verlust von Reputation. Der Sicherheitsbeauftragte definiert diese Begriffe vollkommen anders technokratisch und bezeichnet ein Risiko immer als eine Gefahr für die IT, beispielsweise die Störung oder Übernahme der IT-Systeme durch Hacker. Es geht also darum, eine gemeinsame Sprache zu finden. Informationssicherheit ist kein Selbstzweck, sondern dient der Absicherung von kritischen Geschäftsprozessen gegen bestehende und zukünftige Gefährdungen. Die Frage nach dem direkt messbaren Ertrag, den Sicherheitsmaßnahmen für ein Unternehmen erbringen, steht dabei immer wieder im Raum. Auf den Punkt gebracht kann man jedoch schlicht behaupten: Verlust egal, ob er aufgrund mangelnder Vertriebsleistung oder eben aufgrund mangelnder Sicherheitsstrukturen auftritt reduziert den erwarteten Gewinn. Bei einem Security health check können sich Unternehmen beispielweise folgender Fragestellungen bedienen und anschließend klarer überblicken, an welchen Stellen Handlungsbedarf besteht: Wie teuer wird es, wenn ich gar nichts unternehme? Kann ich mich gegen den Schaden versichern? Was muss ich investieren, um möglichen Schaden abzuwenden? Oder unternehmerisch gefragt: Was muss ich tun, um den Geschäftsprozess zu unterstützen, damit kein Verlust des erwarteten Gewinns eintritt? Wie schütze ich mein Unternehmen gegen Reputationsverlust? Autoren: Stefan Karl und Julia André /kaspersky

3 Wick Hill Guardian Ausgabe 02/ Deutsche Unternehmen haben Nachholbedarf beim Datenschutz Datenschutz wird in deutschen Großunternehmen noch immer stiefmütterlich behandelt. Zu dem Ergebnis kommt die aktuelle Studie Daten schützen - Stand des Datenschutzes in deutschen Großunternehmen 2010 von der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC)*. Rund 230 Datenschutzbeauftragte haben sich an der Umfrage beteiligt. Die ungewöhnlich hohe Rücklaufquote von fast 25 Prozent zeigt, für wie relevant Datenschutz-Zuständige das Thema halten. Von den Unternehmenslenkern fühlt sich allerdings fast die Hälfte der Datenschutzbeauftragten in deutschen Unternehmen nicht ernst genommen. Die deutschen Datenschutzbeauftragten beklagen in vielen Fällen, dass es ihnen an der notwendigen Ausstattung fehle: Zu wenig Personal, zu wenig finanzielle Mittel und zu wenig Zeit, sich um Datenschutzbelange im Unternehmen zu kümmern, sind viel gehörte Klagen. Noch schwerer allerdings wiegt der Eindruck, dass es vielen deutschen Unternehmen noch an einer Datenschutzkultur fehlt. Dadurch entstehen immer öfter Imageprobleme mit wirtschaftlichen Folgen, wie kürzlich öffentlich gewordene Skandale bei Lidl, der Telekom, Die Bahn etc. gezeigt haben. Außerdem riskieren Unternehmen saftige Geldbußen seit der Gesetzgeber am 1. September 2009 das Bundesdatenschutzgesetz (BDSG) verschärft hat. Wichtige Neuerungen betreffen vor allem folgende Punkte: 1. Erstmals spezielle Regelung für Arbeitnehmerdatenschutz Mit 32 BDSG gibt es erstmals eine Regelung für die Erhebung, Verarbeitung und Nutzung von Daten für Zwecke des Beschäftigungsverhältnisses. Insbesondere relevant ist dabei 32 Abs. 1 S. 2 BDSG, der klarstellt, dass personenbezogene Daten eines Beschäftigten zur Aufdeckung von Straftaten nur dann erhoben, verarbeitet oder genutzt werden dürfen, wenn ein berechtigter Verdacht einer Straftat besteht. 2. Stärkere Stellung des Datenschutzbeauftragten Eine wesentliche Neuerung betrifft die gestärkte Stellung des betrieblichen Datenschutzbeauftragten. Gemäß 4f Abs. 3 S. 5 BDSG genießt der interne Datenschutzbeauftragte nun weitgehenden Kündigungsschutz. Auch hat der interne Datenschutzbeauftragte nun gemäß 4 Abs. 3 S. 7 BDSG einen gesetzlichen Anspruch auf die Teilnahme an Fort- und Weiterbildungsmaßnahmen zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde. Die Kosten dafür werden übernommen und der Arbeitnehmer freigestellt. 3. Handlungsbedarf bei der Auftragsdatenverarbeitung: Neue Anforderungen an Vertragsinhalt, Kontrolle und Dokumentation Laut 11 Abs. 2 sieht das BDSG für Auftragsdatenverarbeitungsverträge (also Verträge, bei denen personenbezogene Daten der verantwortlichen Stelle im Auftrag durch einen Dritten erhoben, verarbeitet oder genutzt werden) nun Autor: Tom Nemitz, Produkt Sales Manager Wick Hill einen genauen Katalog vor, der im Vertrag geregelt sein muss. Fortan müssen bestimmte persönliche Angaben im Einzelnen festgelegt werden. Zudem sieht 11 Abs. 2 S. 4,5 BDSG nun vor, dass der Auftraggeber sich von der Einhaltung dieser Maßnahmen zu Beginn und sodann regelmäßig zu überzeugen und das Ergebnis zu dokumentieren hat. Fortan müssen folgende Angaben im Einzelnen festgelegt werden: der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, die Berichtigung, Löschung und Sperrung von Daten, die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 4. Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Ebenfalls neu eingefügt wurde 42a BDSG. Stellt ein Unternehmen künftig fest, dass bei ihm gespeicherte personenbezogene Daten ( 3 Absatz 9) unrechtmäßig übermittelt oder Dritten unrechtmäßig zur Kenntnis gelangt sind und der Betroffene dadurch beeinträchtigt wurde, muss es dies der zuständigen Datenschutz-Aufsichtsbehörde und den Betroffenen mitteilen. Bei vielen Betroffenen erfolgt die Information der Öffentlichkeit durch Anzeigen in Tageszeitungen. Mit dem neuen 43 Abs. 2 Nr. 7 BDSG ist ein Verstoß gegen diese Vorschrift zudem bußgeld- und gemäß 44 Abs. 1 BDSG strafbewehrt. Hier besteht also akuter Handlungsbedarf, wenn ein Unternehmen künftig den unrechtmäßigen Umgang mit oben bezeichneten Daten bemerkt. 5. Höherer Bußgeldkatalog bei Nichteinhaltung Ordnungswidrigkeiten können nach 43 Abs. 1 BDSG mit einer Geldbuße bis zu Euro geahndet werden. Zudem regelt 43 Abs. 3 S. 2, 3 BDSG, dass die Geldbuße höher als der wirtschaftliche Vorteil des Täters sein soll. Reichen die genannten Beträge hierfür nicht aus, können sie sogar überschritten werden, um den durch die unrechtmäßige Nutzung personenbezogener Daten erlangten Vorteil vollständig abzuschöpfen. Fazit: Datenschutz-Status prüfen und starken Datenschutzbeauftragten einsetzen Mit den Gesetzesänderungen besteht für die Unternehmen enormer Handlungsbedarf, um den betrieblichen Datenschutz sicherzustellen. Gerade die Regelungen hinsichtlich der Arbeitnehmerdaten, die neuen Anforderungen an Auftragsdatenverarbeitungsverträge, sowie die neuen Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten sollten in Hinsicht auf das eigene Unternehmen analysiert werden. Dann müssen Behörden, Unternehmen und Organisationen technische Maßnahmen einsetzen, um einen wirksamen Schutz zu erzielen. Geschieht das nicht, steht Datenschutz-Aufsichtsbehörden nun ein verschärfter Bußgeldrahmen zur Verfügung. So können Ordnungswidrigkeiten nach 43 Abs. 1 BDSG künftig mit einer Geldbuße bis zu Euro geahndet werden. Zudem regelt 43 Abs. 3 S. 2, 3 BDSG, dass die Geldbuße höher als der wirtschaftliche Vorteil des Täters sein soll. Reichen die genannten Beträge hierfür nicht aus, können sie sogar überschritten werden, um den durch die unrechtmäßige Nutzung personenbezogener Daten erlangten Vorteil vollständig abzuschöpfen. Allein die Strafen in Form von erhöhten Bußgeldern und entsprechendem Imageverlust schaffen bei deutschen Unternehmern jedoch noch nicht immer die nötige Sensibilität für dieses wichtige Thema. Sobald aber so manchem Chef klar wird, dass er ganz persönlich für die Folgen von Datenschutzmängeln in seinem Betrieb haftet und unter Umständen seinen eigenen Geldbeutel dafür öffnen muss, wird er hellhörig und Maßnahmen werden plötzlich unverzüglich im Unternehmen eingeführt. Dabei wird oft vergessen, dass der Datenschutz ein kontinuierlicher Prozess und keine Ad-hoc-Maßnahme ist. * Birthe Görtz: Daten schützen - Stand des Datenschutzes in deutschen Großunternehmen 2010, Herausgeber PricewaterhouseCoopers AG WPG, Frankfurt am Main, April DAS BDSG: Das deutsche Bundesdatenschutzgesetz regelt seit nunmehr 30 Jahren den Datenschutz in Deutschland. Zusammen mit den Datenschutzgesetzen der Länder und anderen Regelungen legt es den Umgang mit personenbezogenen Daten fest. Es gilt grundsätzlich für alle öffentlichen Stellen (Behörden) und nichtöffentlichen Stellen (private Organisationen und Unternehmen), sofern dort mehr als neun Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind. Der Datenschutz ist bei allen Unternehmensprozessen zu beachten. Das Experteninterview Prof. Dr. Nikolaus Forgó Chairman of the Legal Advisory Board bei der EICAR (The European Institute for Computer Anti-Virus Research) / Leiter des Instituts für Rechtsinformatik an der Leibniz Universität Hannover WHG: Die letzte Änderung des BDSG war im August Hat sich seitdem grundsätzlich etwas verändert für die Unternehmen in Deutschland? Nikolaus Forgó: Ja und nein. Viele der grundsätzlichen Regeln sind erhalten geblieben, so gibt es etwa weiterhin keine umfassende Regelung datenschutzrechtlicher Fragen in Arbeitsverhältnissen. Praktisch wichtige Veränderungen betreffen insbesondere die präzisere Gestaltung der Auftragsdatenverarbeitung ( 11 BDSG) und die Verpflichtung, Betroffene von Datensicherheitsproblemen zu informieren ( 42 a BDSG). WHG: Seit dem sind Unternehmen verpflichtet bei Kenntniserlangung unrechtmäßiger Datenspeicherung (Diebstahl, Verlust, Abfluss etc.) diesen an die jeweilige Aufsichtsbehörde sowie an die Betroffenen zu melden. Geschieht das? NF: Das ist der genannte 42a BDSG. Zahlen über dessen praktische Bedeutung sind mir nicht bekannt. WHG: Es gibt zudem starke Forderungen nach besserer Verschlüsselung. Gibt es hier Vorlagen oder bevorzugte Strategien? NF: Es gibt keine mir bekannten gesetzlichen Vorlagen hinsichtlich bestimmter Verschlüsselungstechnologien. Das ist wohl auch besser so, da der Gesetzgeber hier ohnehin ständig hinterherhinken würde. Man kann nicht bei jeder neuen Sicherheitslücke das Gesetz umschreiben, sondern sollte einen gewissen Mindeststandard anstreben. WHG: Wie steht es um die Forderung nach einer stärkeren Stellung des betrieblichen Datenschutzbeauftragten? Hat er inzwischen mehr Bevollmächtigungen? Wie gehen Unternehmen mit dieser Rolle um? NF: Es hat geringfügige Änderungen in diesem Bereich gegeben, deren Praxisrelevanz jedoch begrenzt sein dürfte. Insgesamt bewährt sich das Konzept des betrieblichen Datenschutzbeauftragten, weil dieser Kontrolle vor Ort schafft. Unternehmen sind daher gut beraten, diese Position adäquat auszustatten und mit dem Datenschutzbeauftragten eng zusammenzuarbeiten. WHG: Neu sind auch strengere Bußgelder bei Verstößen. Es können immer hin bis zu Euro bei grober Fahrlässigkeit fällig werden. Wie viele solcher Fälle gibt es in Deutschland jährlich? NF: Um eine rechtliche Situation zu verbessern, reicht es leider in der Regel nicht aus, einfach strengere Strafen ins Gesetz zu schreiben. Vielmehr muss es für Unternehmen zunehmend wahrscheinlich werden, dass Verstöße auch erkannt und bestraft werden. Deswegen ist Compliance so ein wichtiges Thema. WHG: Wohin entwickelt sich das BDSG? Werden Unternehmen immer mehr in die Verantwortung genommen? Wie können deutsche Unternehmen sich wappnen? NF: Es ist zunehmend Mode geworden, das BDSG zum Gegenstand einer Anlassgesetzgebung zu machen. Das sieht man beispielsweise auch bei der Debatte rund um Google Street View, wo das BDSG nach den Vorstellungen des Bundesrats schon wieder geändert werden soll. Man muss der Politik klar machen, dass Ad-hoc-Handeln im Datenschutzrecht eher schlecht ist. Vielmehr befinden wir uns in einem von Europa dominierten Rechtsgebiet, wo nicht mehr alles einfach möglich ist. Das heißt, dass man wichtige Fragen zum Datenschutzrecht erst nach einer ordentlichen Status-quo- Analyse diskutieren kann.

4 Wick Hill Guardian 4 Know-how bei Anti-SpamLösungen ist gefragt wie nie zuvor Autor: Helge Scherff, Sales Director Wick Hill Eine Anti-Spam-Lösung gehört zu den wichtigsten Sicherheitsprodukten im Netzwerk. Ohne Schutz vor Spam und Schädlingen gefährden Unternehmen nicht nur ihre Produktivität, sondern riskieren auch den Verlust wertvoller Informationen. Da es sehr viele Anti-Spam-Lösungen am Markt gibt sei es als Hardware- oder Software-Variante ist es wichtig, dem Kunden die Qual der Wahl zu nehmen. Es gilt, mit ihm die wichtigsten Parameter abzuklopfen, um die optimale Lösung für seine Bedürfnisse zu finden. G erade bei Hardwarelösungen gibt es Qualitätsunterschiede: Manche Hersteller verwenden unter anderem extrem billige Komponenten in ihren Systemen, um Kosten zu sparen dies führt entweder zu häufig defekten Geräten beziehungsweise zu hohen Ausfallraten im Betrieb. Wichtig ist es, in diesem Zusammenhang die Gesamtbetriebskosten (TCO) zu betrachten, die insbesondere bei den Managementkosten explodieren können. Deshalb ist es in den meisten Fällen empfehlenswert, zu einer zentral administrierbaren Lösung zu raten. Clusterfähige Produkte haben zudem den Vorteil, dass sie mitwachsen können und für eine höhere Ausfallsicherheit sorgen. Die Aktualität des Sicherheits-Levels einer Anti-Spam-Lösung gehört zum wichtigsten Verkaufsargument. So empfehlen sich Lösungen, an denen nicht ständig Feineinstellungen an der Konfigurierung oder manuelle Updates vorgenommen werden müssen, da dies aus Managementsicht und somit aus Kostengründen zu aufwendig ist. Auch Anti-Spam-Lösungen, die auf sogenannte Real Time Block Lists (RBLs) der ersten Generation basieren diese liefern nur ein einfaches Ja-/Nein-Ergebnis über die Zulässigkeit einer weisen häufig eine zu niedrige Filterrate beziehungsweise viele irrtümlich herausgefilterte Mails auf. Moderne Filtermethoden, die beispielsweise ausgehende s ( Ham ) als Lern-Grundlage benutzen und somit u.a. die Anzahl von Fehlalarmen reduzieren, bieten sich hier an. Wer als Händler Support-Dienstleistungen zu den Anti-Spam-Lösungen anbietet, ist selbstverständlich klar im Vorteil. Reseller, die dies nicht im Angebot haben, sollten umso mehr darauf achten, dass die Anti-Spam-Lösung, die sie verkaufen, mit einem Rund-um-die UhrSupport seitens des Herstellers verbunden ist. Anzeige XTM / XCS Box for free! beim Umstieg auf ein WatchGuard XTM- bzw. XCS-Produkt erhalten Neu-kunden sowie bestehende WatchGuard-Kunden (älter als eserie) die Box kostenfrei und brauchen nur die 3 Jahres Software Suite zahlen. Kontakt: info@wickhill.de Ausgabe 02/2010 Alle Applikationen unter Kontrolle? Instant-Messaging, Social Media, Webmail & Co. Neue Webanwendungen brauchen einen besondere Absicherung Die Vielfalt von Applikationen nimmt kontinuierlich und zum Teil sogar drastisch zu verstärkt durch den Trend, dass Enterprise-Applikationen zunehmend in Richtung WebPlattformen migrieren und Web 2.0. mit einer Vielzahl von einfachen und vielfach privat genutzten Anwendungen (Webmail, Instant Messaging, Social Media wie Twitter und Facebook usw.) den Administratoren das Leben erschwert. Daraus ergeben sich neue Herausforderungen für die IT-Sicherheit, denn im Zuge dieser Anwendungen entstehen gleichzeitig neue Sicherheitslücken, die wiederum nicht mit herkömmlichen Schutzmaßnahmen gestopft werden können. D arüber hinaus sind IT-Verantwortliche mit einer weiteren neuen Situation konfrontiert: Zum einen kann die Produktivität der Mitarbeiter auf Grund dieser zeitintensiven Applikationen wie Chat drastisch abnehmen. Zum anderen gilt es, die häufig umfänglich benötigte Bandbreite (Video/Audio-Downloads oder -Streaming) stärker zu kontrollieren und die Zuverlässigkeit der Infrastruktur zu bewahren. Die Applikations-Evolution plikationen und deren Kommunikation untereinander bringen neue Threats mit sich, die sich einen Weg vorbei an der Firewall suchen. Wie kommt es dazu? Viele Anwendungen in großen Unternehmen sind extrem weit entwickelt und stellen dynamische Services und dynamische Inhalte zur Verfügung. Sie kommunizieren untereinander über eine Vielzahl von Protokollen wie HTTP und verhindern, dass statische Regelwerke die Nutzung solcher Anwendungen sinnvoll steuern können. Die rapide Entwicklung und Adaption von Web 2.0-Features (auch in Enterprise-Applikationen) haben dazu geführt, dass die Nutzung von Web-Browsern als Plattform breite Akzeptanz in solchen Anwendungen gefunden hat. Bis vor wenigen Jahren war die Entwicklung von unternehmensspezifischen Applikationen meist nur mit proprietären Protkollen möglich die mit statischen Regelwerken kontrollierbar waren. IP basierende Applikationen werden sehr unterschiedlich gehostet. So wird es zunehmend schwieriger, Anwendungen zu kontrollieren und gutartige oder schädliche Inhalte derselben zu unterscheiden. ten zu unterscheiden. Fehlende Applikationskontrolle kann nicht nur ein angegriffenes Unternehmensnetz hervorrufen, sondern kann sich in einer Kettenreaktion indirekt aber massiv auf das Business auswirken: Anwender werden von ihrer produktiven Tätigkeit abgehalten (zum Beispiel durch Chatrooms wie Google.Talk, MSN, ISQ, etc.) Zusätzliche Bandbreite wird verbraucht (BitTorrent, edonkey, YouTube, etc., TV-Streaming) Unternehmen werden weiteren Sicherheits-, Zuverlässigkeitsund Compliance-Risiken ausgesetzt (Remote Desktop, PCAnywhere, VNC) Applikationskontrolle ist mehr als nur eine ITSecurity-Maßnahme Applikationskontrolle überwindet all diese Beschränkungen und Probleme, indem es Mittel bereitstellt, die Applikationen erkennen und deren Nutzung im Detail kontrollieren können auch dann, wenn diese non-standard Ports verwenden oder über gängige bezieungsweise weniger verbreitete Protokolle getunnelt werden. Dies geschieht durch die Analyse des ein Teil deren Funktionalität eingeschränkt werden, zum Beispiel die Nutzung von Facebook, aber das Unterbinden von FacebookChat oder das Nutzen von Google.Docs, aber das Unterbinden von Google.Talk. Applikationskontrolle ergänzt somit die Funktionalität von Firewallund IPS-Mechanismen um eine granulare Steuerung von Anwendungen und Protokollen. Somit wird die maximale Nutzbarkeit von Applikationen bei minimalem Risiko erzielt. Derartige Regeln zur Nutzung können bis auf Anwenderebene und selbst auf Geräte- oder Abteilungs-Ebene festgelegt werden. Es ist wichtig, Applikationskontrolle nicht als isolierten Bestandteil der IT-Sicherheit zu verstehen, denn dies führt zu einem reaktiven Ansatz der Security-Stratgie. Vielmehr ergänzt es sinnvoll die vorhandenen Abwehrmechanismen wie Firewall, VPN, AntiVirus, IPS und Web Filter und wird idealerweise in diese integriert. Unternehmen müssen also darauf achten, eine voll und nahtlos integrierte Applikationskontrolle zu etablieren, um nicht nur deren umfängliche Wirksamkeit sicherzustellen, sondern auch um Web-Applikationen wie Webmail, Instant Messaging, kostenlose VoIP-Telefonie, Browser Toolbars und Social Media also IP basierende Verbindungen verändern die Kommunikation. Und so braucht auch die Netzwerk-Sicherheit mehr Aufmerksamkeit. Unternehmensnetze geraten in Abhängigkeit von einer ständig wachsenden Zahl von Protokollen, inkl. HTTP und P2P, welche die Aktivitäten innerhalb und zwischen Business- und zum Teil nonbusiness-anwendungen bedingen. Die Popularität vieler dieser Anwendungen hat Unternehmen dazu gebracht, diese für Marketing- und Werbe-Zwecke intensiv zu nutzen und somit auch den eigenen Mitarbeitern den Zugang zu gestatten. Außerdem lassen Unternehmen immer öfter den Zugriff auf Unternehmensdaten von aussen zu. Dies geschieht über Web-Applikationen und benötigt bestimmte Zugriffsrechte, denn häufig nutzen nicht nur Mitarbeiter Remote Access, sondern auch vermehrt Kunden, Partner, Lieferanten, Franchiser oder Freelancer. Üblichweise versuchen Unternehmen über herkömmliche FirewallSysteme eine erste Abwehrkette zu errichten am Netzwerk-Perimeter, also am Übergang zwischen internem und externem Netz. So versuchen Admins zu regeln, welche Art von Datenverkehr passieren darf und welche Ports und somit Applikationen beziehungsweise Protokolle blockiert werden sollen. Die Vielfalt der neuen Web-Ap- HTTP stellt die größte Herausforderung im Bereich Regel-Durchsetzung und Applikationskontrolle dar. Es repräsentiert heute beides den Highway für unternehmenskritische Anwendungen ebenso wie das beliebteste Transportmedium für viele Arten von Angriffen und Malware. Diese Abhängigkeit von HTTP-Traffic ermöglicht applikations-basierenden Angriffen, klassische Firewall-Mechansimen zu unterlaufen, da diese wie oben erwähnt nicht in der Lage sind, zwischen legitimen und schädlichen Inhal- applikations-spezifischen PaketVerhaltens sowie eines umfangreichen Protokoll-Decodings. Eine herkömmliche Firewall kontrolliert den Datenstrom basierend auf Port- bzw. Service-Kontrollmechanismen. Applikationskontrolle setzt auf dynamische Untersuchung der Daten und ermöglicht überdies die Anwendung weiterer Kontrollen, wie Bandbreitenvergabe pro Applikation oder Zeitfenster bzw. konten für deren Nutzung. Überdies kann sogar innerhalb von Applikationen laufende und künftige Kosten für Betrieb, Troubleshooting und Updates so gerging wie möglich zu halten oder zu reduzieren. Die FortiGate-Produktfamilie von Fortinet integriert die beschriebene Funktionalität neben weiteren Modulen wie Data Leakage Protection oder WAN-Optimierung und bietet somit umfassenden Schutz aller sensiblen Unternehmensbereiche und dies bei höchster Performance und minimalen Betriebskosten. /fortinet

5 Wick Hill Guardian Ausgabe 02/ Virtuelle Niederlassungen in the Cloud Mit Aruba Networks in die Zukunft der Unternehmenswelt Die Arbeitswelt hat sich in den letzten zehn Jahren von Grund auf gewandelt und dieser Wandel hat enorme Auswirkungen auf die IT-Abteilungen von Konzernen und Unternehmen. Mitarbeiter müssen mobiler werden und die Arbeitsplätze sind weder festen Orten noch Firmengebäuden zugeordnet. So können die Standorte sowohl im Home-Office der Angestellten als auch weit verteilt über diverse kleinere oder größere Unternehmensstandorte angesiedelt sein. Dies wird nicht zuletzt unterstützt durch extrem günstige und leistungsstarke Anbindungen über das Internet. Dazu kommen noch Veränderungen in der Unternehmens-IT wie Serverkonsolidierung durch Virtualisierung, Datenzentralisierung durch Storage-Pools und im letzten Schritt die Cloud-Infrastrukturen für übergreifende und stark skalierbare Plattformen für Unternehmens-Applikationen. Alles zusammen stellt die IT-Verantwortlichen vor extreme Anforderungen in Bezug auf Effizienz, Verfügbarkeit, Sicherheit und Management. Die Antwort von Aruba in diesem Zusammenhang ist die cloud-basierte virtuelle Standortvernetzung VBN2.0 (Virtual Branch Networking). Im Gegensatz zu anderen Ansätzen, die einen hohen Aufwand an Hard- und Software sowie Management erfordern, ermöglicht VBN2.0 von Aruba Networks kleinen Zweigstellen den Zugriff auf das Unternehmensnetzwerk ohne den Einsatz von teuren Zweigstellen-Routern. Bis zu 60 Prozentder Investitionskosten und 75 Prozent der Betriebskosten lassen sich so einsparen. Da Netzwerk- und Sicherheitsdienste in die Cloud migriert werden, kommen nur Remote Access Point (RAP) zur Anbindung zum Einsatz einfache, kompakte, erschwingliche und zentral verwaltete Geräte. Unternehmensbezogene Netzwerkdienste (zum Beispiel Zugriffskontrolle, SSIDs, Verwaltung, Netzwerküberwachung und Transparenz) werden im Datenzentrum des Unternehmens zentral konfiguriert und verwaltet. Die Anbindung erfolgt über preiswerte Breitbandverbindungen. Die VBN2.0 Architektur umfasst sowohl den kabelgebundenen als auch den drahtlosen Remote-Zugriff und ist so skalierbar, dass sie für große Zweigstellen genauso geeignet ist wie für Heimbüros oder mobile Mitarbeiter. Durch die nahtlose Integration in die zentralisierte Verwaltung werden Betriebskosten gespart. Die Aufgaben der inhaltsbezogenen Sicherheitsdienste übernimmt die Cloud. Dadurch muss vor Ort keine aufwändige Technik angeschafft und installiert werden. Nicht zuletzt sorgt VBN2.0 für ein erstklassiges Benutzererlebnis in den Zweigstellen und für den sicheren Zugriff auf die zentralen Unternehmens- Ressourcen. Die VBN2.0-Architektur Die gesamte Architektur von Aruba besteht im Wesentlichen aus drei Komponenten: Im Datenzentrum des Unternehmens sorgen Mobility Controller für die Virtualisierung und Kontrolle des Remote-Netzwerks. Damit wird die gesamte Technologie der Zweigstelle an einem zentralen Punkt zusammengefasst, an dem die Anwendungen gehostet werden. VBN2.0 als Architektur für die Cloud-basierte Zweigstelle Die Remote Access Points (kurz: RAPs) stellen mithilfe von VPN-Tunneln die Zweigstellen virtuell dar, gesteuert vom Rechenzentrum des Unternehmens. Dank der Zero- Touch-Installation können die Benutzer in der Zweigstelle die RAPs einfach und ohne Unterstützung der IT-Abteilung installieren. Nach dem die RAPs ans lokale Netz angeschlossen wurden, stellen diese sowohl kabelgebundenen als auch drahtlosen Netzwerkzugriff zur Verfügung. Dabei werden die entsprechenden Sicherheits- und Datenschutzrichtlinien berücksichtigt. Die AirWave Management Platform vereinheitlicht die Verwaltung aller Remote-Standorte und -Benutzer. Dieses Managementsystem bietet Funktionen wie Konfigurationskontrolle, Überwachung und Fehlerbehebung. Da VBN ein identitätsorientiertes, richtlinienabhängiges System ist, werden die einzelnen Konten, Berechtigungen und Rollen aus bestehenden Unternehmensverzeichnissen übernommen, sodass keine separate Konfiguration erforderlich ist. Sicherheit im VBN2.0-Netzwerk Um die Sicherheit an den Zweigstellen und Heimbüros zu gewährleisten, ohne Verwaltungskosten unzumutbar in die Höhe zu treiben und die Flexibilität bzw. Leistungsfähigkeit der Systeme einzuschränken (wie etwa Split-Tuneling) bietet Aruba mit dem Cloud-basierten Content Security Service (CSS) eine perfekte Lösung. Der CSS bietet Inhaltssicherheit mit hohem Durchsatz und geringer Latenz sowie zentralisierte Berichts- und Verwaltungsfunktionen. Der CSS nutzt Datenzentren auf der ganzen Welt und sorgt für einen kompletten Schutz, unter anderem durch Technologien wie erweiterte URL-Filterung, P2P-Kontrolle, Anti-Virus, Anti-Malware, Botnet-Erkennung und Data Loss Prevention (DLP). Mit Hochgeschwindigkeits-Protokolldateien zum Web können allgemeine Trends genauso flexibel und vielseitig angezeigt werden wie Benutzerdetails zur Internetaktivität. Der Content Security Service (CSS) von VBN2.0 Darüber hinaus bietet VBN2.0 jedoch noch eine breite Palette an zusätzlichen Sicherheitsfunktionen. VBN2.0 macht aus dem RAP in der Zweigstelle eine sichere Erweiterung des Unternehmensnetzwerks. Vom Unternehmensdatenzentrum aus verwaltet die IT-Abteilung die Konfigurationskontrolle, den Benutzerzugriff und die Firewall-Konfiguration. Das Ergebnis ist eine voll integrierte, sichere Mobility-Lösung mit optimaler Kontrolle im Hinblick auf das Benutzererlebnis. Skalierbarkeit Die VBN2.0-Architektur schafft einen fließenden Übergang vom Geschäftsreisenden zur großen Zweigstelle, und das mit nur einer Architektur, einer einheitlichen Ausstattung im Rechenzentrum und einer einzigen Konfigurations-und Verwaltungsplattform. Geschäftsreisende, die von öffentlichen Wi-Fi-Netzwerken aus zugreifen müssen, können den Virtual Intranet Access-Agenten (VIA) von Aruba nutzen. Der RAP-2 wiederum eignet sich ideal für einen grundlegend sicheren Wi-Fi-Zugriff für Heimarbeitsplätze. Und der RAP-5 ist die perfekte Lösung für Führungskräfte, die von zu Hause aus arbeiten, sowie für kleine und größere Zweigstellen mit kabelgebundenen Clients wie Tischtelefonen oder Druckern. Fazit Die VBN2.0 Architektur von Aruba hält die Netzwerkkosten in kleinen Zweigstellen und Heimbüros in einem erträglichen Rahmen, da keine teuren Geräte und kein aufwändiges Management notwendig sind. Stattdessen kann von den Zweigstellen sicher auf Dienste im Unternehmensnetzwerk zugegriffen werden, indem die eine Verbindung über Breitband und ein RAP hergestellt wird. Die Bereitstellung nach dem Zero-Touch-Prinzip erfordert keinen Eingriff der IT-Abteilung. Das Ergebnis: eine wesentlich schlankere Hardware-Ausstattung, geringere Betriebskosten und unübertroffene Skalierbarkeit ohne Abstriche bei der Sicherheit. Rechenintensive Dienste (z.b. inhaltsbezogene Sicherheitsdienste) werden dank VBN2.0 in die Cloud migriert, reduzieren den internen Aufwand und sparen zusätzliche Kosten. Sämtliche Benutzer- bzw. Gerätekonfigurationen und Richtlinien werden über ein einziges zentralisiertes Verwaltungssystem gesteuert. /aruba Was bei der Auswahl der Security-Systeme zu beachten ist Wick Hill: So wird die IT ausfallsicher Helge Scherff, Sales Director, Wick Hill Im Vorfeld der IT-SECURITY & COMPLIANCE Partner Solution Days & IT-Entscheider Kongress 2010 sprach IT-BUSINESS mit Helge Scherff, Sales Director von Wick Hill, über die Möglichkeiten, auch mit kleinem Budget sichere IT- Infrastrukturen einzurichten. ITB: Der Vortrag von Wick Hill auf den diesjährigen IT-SECURITY & COM- PLIANCE Partner Solution Days mit dem Titel IT-Sicherheit 24/7 hört sich sehr anspruchsvoll an. Auf welche Security-Komponenten können KMUs angesichts eines begrenzten Budgets am ehesten verzichten? Scherff: Security-Komponenten ist ein relativ großer Begriff. Bei der richtigen Auswahl von Sicherheitskomponenten hängt es in erster Linie vom Unternehmen an sich ab. Es gibt durchaus KMUs, die auf Grund ihres Gewerbes einen sehr hohen Bedarf an Sicherheit haben. Im Allgemeinen kann man jedoch sagen, dass es gewisse Kern-Security-Komponenten gibt, die jedes Unternehmen haben sollte wie Anti-Virus, Firewall und ähnliches. Viele Sicherheitsansätze im Gateway-Bereich kann man allerdings heutzutage über UTM/XTM- Produkte abdecken. So ist es möglich, Kosten zu senken und gegebenenfalls in anderen Bereichen zu investieren, beispielsweise in die Token-Authentifizierung oder in den zunehmend wichtigen Bereich Verschlüsselung. ITB: Auf welche Zertifizierungen für sich selbst und für Sicherheitssysteme sollten Dienstleister im KMU- Umfeld nicht verzichten? Scherff: Zertifizierungen für Techniker werden immer wichtiger, da die Gefahren aus dem Internet und für das Netzwerk immer komplexer werden. Nur durch kontinuierliche Fortbildung der Mitarbeiter im Bereich Security und insbesondere konkrete Schulungen auf den Produkten der Hersteller können die Produkte richtig eingesetzt und konfiguriert werden. Auch sollte man bei der Auswahl der Hersteller auf deren Zertifizierung achten, zu den wichtigsten gehören hier ICSA, FIPS oder Common Criteria. Diese geben sowohl eine klare Auskunft über die Qualität des Produktes als auch über die Bemühungen des Herstellers, sein Produkt sicher und auf einem hohen qualitativen Niveau weiterzuentwickeln. IT Business, Red: Andreas Bergler

6 Wick Hill Guardian 6 Ausgabe 2/2010 Der Neue stellt sich vor Panasonic System Networks Europe ist neuer Vertriebspartner von Wick Hill Wick Hill rundet sein Angebot ab und hat seit September Panasonic System Networks Europe (PSNE) im Portfolio. Der am 1. Januar 2010 gegründete Geschäftsbereich Panasonic System Networks Europe (PSNE) vereint die Produktbereiche IP basierte Kommunikationsplattformen, Videoüberwachung, HD Videoconferencing, Multifunktionsdrucker, Scanner und Interaktive Whiteboards unter einem Dach. I n einem Gespräch mit dem Guardian erläuterte Carsten Samesch, Country Manager Germany/Austria Panasonic System Networks Europe, unternehmerische Schwerpunkte sowie Motivation und Ziele der neuen Partnerschaft mit Wick Hill: Der Fokus unserer neuen Geschäftseinheit PSNE liegt eindeutig auf ganzheitlichen Lösungsansätzen für den Business-Bereich, bestehend aus Produkten und Services. Durch unsere Strategie, Kommunikationsund Sicherheitsnetzwerk-Produkte zu vereinigen, ergeben sich erhebliche Wettbewerbsvorteile für unsere Kunden, da diese sich aus dem breiten Panasonic Produktportfolio bedienen und somit Produkte und Lösungen bereitstellen können, die für ein neues Zeitalter der Vernetzung optimiert sind. Wir freuen uns sehr auf die neue Zusammenarbeit mit Wick Hill, aus drei Gründen: Zum einen versprechen wir uns durch die Vertriebsarbeit von Wick Hill weiteres Wachstum im IT-Channel. Dabei ist es besonders interessant für uns, dass wir durch Wick Hills Präsenz in Deutschland und UK genau die beiden Märkte vorantreiben können, die in unserer europäischen Strategie aktuell an oberster Stelle stehen. Desweiteren hat uns das Spektrum der Zusatzleistungen im Programm von Wick Hill überzeugt, und wir sehen Value Ad s wie technischen Support, eigenes Schulungszentrum und Marketingunterstützung als extrem wichtige Instrumente für einen erfolgreichen Vertrieb an. Im Bereich der Sicherheitssysteme kann Panasonic als Hersteller eine langjährige Erfahrung vorweisen und ist mit dem IP basierenden Überwachungssystem i-pro in der Sicherheitsindustrie bekannt für hochwertige Produkte. Carsten Samesch dazu: Mit einer großen Angebotspalette von Kameras, Encodern, Recordern und Management-Software wurde unsere i-pro auf Grund mehrerer technologischer Innovationen zum Erfolg. Kostensen kung durch die Ver r ingerung der Total Cost of Ownership (TCO) K X-N T4 0 0 eine Mit Panasonic System Networks Europe haben wir ab effiziente Kommu- sofort einen Hersteller im Portfolio, der einen Produktn i k at ion slö s u ng. und Lösungsbereich abdeckt, der nicht nur aktuell grodas K X-N T4 0 0 ße Nachfrage erzeugt, sondern auch in Zukunft einen ist ein innovatives immer wichtigeren Stellenwert einnimmt. Unser Ziel ist I P- Syst e me ndge - der Ausbau des Bereichs Unified Communications, parät mit Farbdisplay, rallel zur Erweiterung anderer Kernsektoren im IT-Sidas interne Unter- cherheitsumfeld in den nächsten Monaten. nehmensprozesse Helge Scherff, Director Sales Germany, Wick Hill beschleunigt, die Qualität der Kundenkommunikation verbessert sowie und einfache Lösungen für alle die Zusammenarbeit mit Partnern er- Kommunikationsanforderungen bieleichtert. Dieses Produkt bietet eine ten. So verfügt zum Beispiel die optimale Vernetzung mit IP-basier- bereits integrierte Computer-Teleten Sicherheitsprodukten von Panaso- phony-integration-applikation CA nic, da nicht nur vom Schreibtisch aus Express über eine Outlook-Integrabequem über das Kommunikations- tion und ermöglicht das Telefonieren system eine Überwachung stattfinden per Mausklick. Im Rahmen der umkann, sondern auch über den Touch- fassenden Unified CommunicationDas neue Zeitalter der Vernetzung Screen bis zu 20 Netzwerkkameras Lösungen können neben dem Senden muss laut Samesch optimiert wer- gesteuert werden können. und Empfangen von Kurztexten über den: Heutzutage sind Unternehden Chat Screen auf dem Endgerät men immer höheren Anforderun- Darüber hinaus hat Panasonic mit den beispielsweise auch Statusabfragen gen im Bereich Effizienz ausgesetzt. Unified Communication Servern ver- über Kollegen über die Software einum diesen gerecht zu werden, bie- schiedene Communication Assistant gesehen werden. tet Panasonic beispielsweise mit dem Software Module im Portfolio, die schnel- Die Panasonic-DECT-Lösungen erle möglichen einen sehr flexiblen Einsatz im Unternehmen. Ein seamless Handover zwischen veschiedenen DECT und DECT-over IP-Basisstationen wird unterstützt, was dem Anwender die freie Wahl bei der Planung seiner Wireless Infrastruktur ermöglicht. Mit der Fixed Mobile Convergence Integration und des One Number Concepts wird die Kundenkommunikation auch außerhalb des Unternehmens durch die Integration von Mobiltelefonen und Smartphones der Mitarbeiter jederzeit sichergestellt. ist selbstverständlich nicht der einzige Nutzen unseres i-pro NetzwerkVideoüberwachungssystems: i-pro liefert weiterhin professionelle Videoüberwachungslösungen mit herausragender Bild- und Systemqualität, den Markenzeichen der gesamten i-pro Reihe. Die i-pro Reihe umfasst ausserdem unsere BL-/BB-Serie, die auf den SOHO-Markt abgestimmt ist. Die BL-/BB-Netzwerkkameras stellen den kostengünstigen Einstieg in die Panasonic IP-Videoüberwachung dar. Wir möchten so unterschiedlichen Kundenanforderungen nachkommen und für jeden Anspruch ein geeignetes Modell zur Verfügung stellen egal wie einfach oder wie komplex die Anforderungen auch sind. Network Communication Platform mit DECT-Endgeräten, IP-Endgerät und Software Communication Assistant...Fortsetzung von Seite 1 Einfluss auf die Netzwerkgeschwindigkeit zu nehmen. Einige Anbieter nutzen hier Third Generation Reputation Authority, um Netzwerke zu entlasten: Bis zu 98 Prozent des Spams werden bereits im Vorfeld geblockt und führen somit nicht mehr zu Behinderungen bei der Verarbeitung legitimierter s. Problemen vorbeugen Obwohl zahlreiche Anbieter von Anti-Spam-Lösungen damit werben, dass ihre Produkte auch ohne tiefere Vorkenntnisse in wenigen Minuten in Betrieb genommen werden können, weicht die Realität der Installation oft davon ab. Daher ist es ratsam, auch die Bereitstellung von Installationsassistenten oder die Verfügbarkeit eines gut ausgebildeten 24-Stunden-Sup- ports in die Überlegungen einzubeziehen. Aktualität ist Trumpf Das gewählte System sollte jederzeit die aktuellsten Sicherheitsvorkehrungen garantieren ohne die Notwendigkeit eines ständigen Finetunings oder Updates. Viele Anti-Spam-Lösungen basieren auf ursprünglichen Reputation Services, die sich nach Real-TimeBlock-Lists (RBL) richten, um die Legitimität einer Mail zu bewerten. RBL sind jedoch nie auf einem so aktuellen Stand, dass sie der wachsenden Anzahl und den sich verändernden Eigenarten des Spams vollends gerecht werden können. Je nach Einstellung resultiert dies entweder in einer hohen Durchlassquote bei Spam-Nachrichten oder der Blockierung relevanter s. Die neuesten cloudbasierten Reputation Services von WatchGuard bieten dagegen dynamische und intelligente Möglichkeiten, um die Sicherheit zu maximieren bei weniger Kosten. Durch die Abfrage globalen Wissens in Echtzeit können Gefahren umgehend abgewehrt werden. Die eierlegende Wollmilchsau chen Management und Reporting. Features wie -Verschlüsselung oder das Scannen von Attachments zum Schutz vor eingehenden Bedrohungen und externem Informationsabfluss bieten eindeutigen Mehrwert. Demgegenüber bringen Möglichkeiten wie das Abspalten von Dateianhängen, Footer Stamping oder die Suche nach Schlüsselwörtern im Text und Betreff keinen zusätzlichen Nutzen auch wenn einige Anbieter diese Mechanismen als besonders wirkungsvoll hervorheben. Was zunächst gut klingt, trifft in der Realität nur schwer die Grundbedürfnisse des Unternehmens im Hinblick auf Filtersetzung und individuelle Anpassung. Das Ziel sollte ein Produkt mit hoher Funktionsvielfalt sein, inklusive umfassender Gefahrenabwehr, Data Loss Prevention, einem einfa- Der Preis sollte daher nicht das alles entscheidende Kriterium beim Vergleich unterschiedlicher Anti-Spam-Lösungen sein. TCO, Stolperfalle Open Source Vorsicht gilt beim Einsatz von Open-Source-Lösungen: Diese sehen Spammer geradezu als Herausforderung und bedienen sich zunehmend der jeweiligen Werkzeuge, um Sicherheitsbarrieren unerkannt zu umgehen. Support, die Komplexität der Installation, verwendete Sicherheitstechnologien, Administrierbarkeit und Reporting sowie der Funktionsumfang sind ebenfalls zu beachten. Dabei gilt es, nichts zu überstürzen. Vor dem Kauf sollten die Möglichkeiten ausgiebig hinterfragt werden um wirklich die passende Lösung zum besten Preis zu finden. /watchguard WatchGuard XCS Lösung mit integrierter Reputation Authority

7 Wick Hill Guardian 7 Ausgabe 02/2010 Neu aufgelegt: PowerShift Partner-Programm von NETGEAR NETGEAR-Partner profitieren von Preisvorteilen sowie Sales- und Marketing-Support Mit Beginn der zweiten Jahreshälfte hat NETGEAR sein neues PowerShift Partner-Programm vorgestellt: Bestehende und neue Partner aus dem Systemhandel sowie Value Added Reseller (VAR) profitieren seitdem nicht nur von wettbewerbsfähigen Preisvorteilen, sondern auch von direkter Vertriebs- und Marketingunterstützung durch den Hersteller. D as PowerShift Partner-Programm adressiert das Produktportfolio für Klein- und mittelständische Unternehmen, zu denen neben führenden NETGEAR Switching- und Wireless-Produkten auch Lösungen für - und Internetsicherheit sowie für Netzwerkspeicher beispielsweise in virtualisierten Umgebungen zählen. Systemhäuser und Reseller können ihr Portfolio und ihre Kompetenz einfach und erfolgreich auf die Bereiche Netzwerktechnologie, IT-Sicherheit und Speicherlösungen erweitern. Abhängig vom Zertifizierungsstatus PowerShift, PowerShift Platinum und PowerShift Platinum Plus erhalten Partner Einkaufsvorteile, die wettbewerbsfähige Margen und Preise ermöglichen. Daneben bietet NETGEAR Marketingunterstützung, kostenlose Produkt- und Vertriebsschulungen, Zugang zum NETGEAR Partner-Bereich mit zahlreichen Ressourcen sowie eine direkte und qualifizierte Lead-Weitergabe mit Unterstützung bei der Projektbetreuung durch NETGEAR Mitarbeiter. In jedem Quartal bietet NETGEAR darüber hinaus zahlreiche Promotions und Sonder-Discounts für spezielle Produkt- und Marktsegmente. Bereits in der ersten Jahreshälfte hat NETGEAR sein Vertriebsund Presales-Team im Business-Bereich stark ausgebaut. Durch Marketing- und Vertriebskampagnen im B2B-Bereich werden gewerbliche Endkunden künftig direkt angesprochen. Das sich daraus generierende Projektgeschäft wird dann an zertifizierte Partner abgegeben. So erhalten NETGEAR-Partner entsprechend ihrer Expertise und regionalen Präsenz zusätzliche Aufträge. Neben den Vorteilen über das PowerShift Programm profitieren Partner von NETGEAR auch von den hochwertigen Produkten. Als Anbieter von Netzwerk-, Speicher- und Sicher- heitstechnologien für den Mittelstand bietet NETGEAR weitere Vorteile, die den Verkauf der Lösungen erleichtern. Dazu zählen ein deutschsprachiger Support, das attraktive PreisLeistungsverhältnis mit einfachen Lizenzierungsmodellen, lebenslange Garantie auf alle ProSafe Produkte, zu denen auch die beliebten Smart Switches zählen sowie eine fünfjährige Hardware-Garantie auf alle ReadyNAS Lösungen. Zertifizierungskriterien im NETGEAR PowerShift Partner-Programm NETGEAR vertreibt seine Produkte und Lösungen sowohl im Endkunden- als auch im Unternehmensbereich ausschließlich indirekt. Bestehende und neue Partner können sich auf eine langjährige erfolgreiche Zusammenarbeit mit NETGEAR über das mehrfach ausgezeichnete PowerShift PartnerProgramm verlassen. Die Klassifizierung von NETGEAR -Partnern richtet sich nicht nur nach dem erzielten Ums atz und der Anzahl zertifizierter Mitarbeiter im Vertrieb und technischem Support. Daneben spielen auch Serviceleistungen wie beispielsweise gezielte Marketingaktivitäten für vertikale Märkte oder den Mittelstand allgemein eine wichtige Rolle. Informationen zum neuen PowerShift Partner-Programm sowie Kriterien und Leistungen der unterschiedlichen PartnerLevel können auf abgerufen werden. Auf der Internetseite stehen daneben ein Anmeldeformular und Kontaktinformationen zur Verfügung. Interessenten können sich mit einer an vertrieb@netgear.com auch direkt an NETGEAR wenden. /netgear Netgear mit neuer Unified Threat Management-Lösung UTM50 Realtime Security mit bislang größter UTM der ProSecure UTM-Serie Die ProSecure UTM-Reihe von NETGEAR hat seit Ende August ein neues Mitglied: Mit der UTM50 verstärkt der Spezialist sein bisheriges Appliance-Gespann UTM5/10/25 um eine Gateway-Lösung für bis zu 50 Nutzer. Die All-In-One-Lösungen der ProSecure-Reihe vereinen Web- und -Sicherheit und gehören zu den führenden Unified-ThreatManagement-Produkten am Markt. Alle Appliances arbeiten mit NETGEARs bewährter Stream-Scanning-Technologie. ken im Web-2.0- und Cloud-Computing-Zeitalter enorm und lässt gleichzeitig hohe Performancewerte nicht vermissen. Der Zero-Hour -Schutz steht für einen Echtzeit-Schutz vor Bedrohungen. Die NETGEAR ProSecure UTM-Plattformen können bestehende Firewalls oder Router ersetzen. Eine intuitive browserbasierte Administration macht Einrichtung und Betrieb äußerst einfach. ProSecure-Patent Pending Stream Scanning-Technologie: Diese Technologie sorgt zum einen dafür, dass Data-Streams verarbeitet werden, wenn sie in das Netzwerk eindringen. Zum anderen verkürzt sie Latenzzeiten beim Web Traffic Scanning. M it den ProSecure-UTMs ist der Einsatz einer umfassenden Viren- und Features & Highlights der Malware-Datenbank möglich, ohne ProSecure-UTM-Linie von Netgear auf eine hohe Arbeitsgeschwindigkeit verzichten zu müssen. Ein hohes Maß an Durchsatz Best-of-Breed-Anti-Malware-Engine: bleibt erhalten und die durch das Scanning bedie Geräte enthalten eine Enterprise-Class-Maldingten Latenzen sind minimiert. Die flexible, ware-scan-engine und verfügen über eine bis modulare Architektur dieser UTM-Linie überzu 400-fach größere Reichweite im Vergleich prüft Dateien und Datenverkehr bis zu fünfmal zu Legacy-All-in-one-Lösungen. Die Datenbank schneller als konventionelle Methoden. Daverfügt über 1,2 Million Malware-Signaturen, bei greift das System auf Viren- und Malwastündlich laufen automatische Signatur-Updates. re-datenbanken von NETGEAR und So- MODEL UTM5 phos zurück, die Average Anti-virus Throughput¹ 15 Mbps über 1,2 Million Si90 Mbps gnaturen verwal- Stateful Packet Inspection Firewall Throughput¹ ten. Dies erleich- Maximum VPN Throughput¹ 40 Mbps tert den Umgang mit Maximum Concurrent Connections¹ den SicherheitsrisiVLANs ¹ Durchsatzraten variieren je nach Umgebung und Konfiguration 255 Die Vorteile auf einen Blick: Die UTM50 ist eine All-In-One-Gateway-Security-Lösung und enthält Router, Application, Proxy Firewall, VPN, IPsec & SSL VPN für bis zu 50 User. Sie zeichnet sich durch einfaches Management und unkomplizierte Konfiguration aus. Das Lizensierungsmodell ist übersichtlich und enthält keine zusätzlichen Kosten durch Pro-User-Lizenzen. Distributed Analysis Spam Security Policies Based on Active Directory with Single Anti-Spam-Technologie: Sign-On (SSO) Durch das Sammeln und Analysieren von Daten von Bedrohungen aus mehr erhalten und Bandbreite wird gespart. als 50 Millionen weltweiter Quellen kann neuer Spam innerhalb weniger Minuten erkannt Die UTM50 ist in folgenden Geräteversionen und klassifiziert werden. erhältlich: UTM50 (nur Hardware und VPN-Funktionali IM-und P2P-Application Control: tät), UTM50EW (1-Jahr-Bundle: Hardware inkl. Das Feature erlaubt das Sperren von öffentlichen 1 Jahr Web-, - und Software-Wartung Instant-Messaging-Clients und blockiert Peer- und -Upgrades, 24/7-Support, Advanced Reto-Peer (P2P)-Clients. So bleibt die Produktivität placement) und UTM50EW3 (3-Jahres-Bundle: Hardware inkl. 3 Jahre Web-, - und UTM10 UTM25 UTM50 Software-Wartung und 20 Mbps 25 Mbps 45 Mbps -Upgrades, 24/7-Sup90 Mbps 127 Mbps 950 Mbps port, Advanced Replacement). 50 Mbps 70 Mbps 200 Mbps /netgear

8 8 Wick Hill Guardian Ausgabe 02/2010 Online-Umfrage von Kaspersky Lab Mobile Gefahren weit unterschätzt Eine Online-Umfrage von Kaspersky Lab bringt Erschreckendes zutage: Drei von vier Computernutzern in Deutschland wurden in den letzten beiden Jahren zum Ziel von Cyberkriminellen. Mit Dunkelziffer also jenen Usern, die von einer Attacke gar nichts mitbekommen haben dürfte dieser Wert noch weit höher ausfallen. Dennoch kümmern sich die wenigsten um einen Schutz ihrer Smartphones. Der Großteil der deutschen Computernutzer hat bereits Hackerattacken auf den eigenen Computer erlebt. Das zeigt eine Online-Umfrage von Kaspersky Lab, die sich mit dem Sicherheitsbewusstsein von Endanwendern bei der Nutzung von Computern und mobilen Endgeräten wie Smartphones und Handys beschäftigt. Dabei wurden Anwender aus Deutschland, Dänemark, Spanien, Portugal, Italien und Israel befragt. Die Umfrage wurde über Online-Portale wie Facebook und Twitter sowie über eigene Unternehmensseiten beworben. Insgesamt nahmen Computernutzer an der Sicherheitsumfrage teil. Davon haben 63,6 Prozent in den vergangenen beiden Jahren mindestens einmal eine Cyberattacke auf den eigenen Computer erlebt. Bei den deutschen Befragten waren es sogar deutlich mehr und zwar 75,1 Prozent. Zudem haben 8,3 Prozent aller deutschen Umfrageteilnehmer durch Attacken schon Daten wie Musik, Fotos, Filme oder andere Dokumente verloren. Die so genannte digitale Verschmutzung betrifft sowohl unser privates als auch unser berufliches Leben. Hackerangriffe, Viren, Spam, Identitätsdiebstahl sowie der Verlust persönlicher Daten behindern uns in unserem digitalen Leben und verursachen zum Teil erhebliche finanzielle Einbußen, so Axel Diekmann, Managing Director Central Europe bei Kaspersky Lab. Unsere Online-Umfrage zeigt, dass zahlreiche Internetnutzer bereits Angriffe auf ihre Computer erleben mussten. Die Sicherheitsumfrage zeigt weiter, dass 75,3 Prozent der befragten Smartphone-Nutzer keine Sicherheitslösungen für ihre mobilen Endgeräte nutzen. Über 60 Prozent möchten sich auch in Zukunft keine Antiviren-Lösung für ihr Handy oder Smartphone anschaffen. Immer mehr Menschen surfen mit ihren mobilen Endgeräten im World Wide Web. Unsere Aufgabe besteht darin, deutlich zu machen, dass Handys und Smartphones mittlerweile ebenso angegriffen werden und genauso schützenswert sind wie herkömmliche Computer, ergänzt Axel Diekmann. Interessant ist auch die Sichtweise auf die unterschiedlichen Bedrohungen von Mobiltelefonen: Während nur 9,5 Prozent der deutschen Umfrageteilnehmer Spam als die größte Gefahr für Handys einstufen, sehen immerhin knapp ein Drittel (32,4 Prozent) Schadprogramme als Hauptrisiko. Für die absolute Mehrheit (58,2 Prozent) steht jedoch der Verlust beziehungsweise Diebstahl von Daten an erster Stelle der Bedrohungsskala (siehe folgende Grafik). Bei der Nutzung von Online-Diensten fühlen sich die befragten Nutzer in Deutschland am unsichersten auf sozialen Netzwerken und in Online-Chats. Am sichersten werden der Empfang von E- Mails und das Surfen im Internet bewertet wobei es beim Online-Banking und -Shopping schon wieder leichte Abstriche im Sicherheits-Empfinden gibt. Abschließend ist aus den Ergebnissen der Umfrage eindeutig erkennbar, dass diverse Online-Gefahren für mobile Geräte existieren und von den Nutzern auch wahrgenommen werden. Jedoch fehlt eine allgemeine Bereitschaft, auch Smartphones vor diesen Bedrohungen zu schützen. /kaspersky Automatisiertes Patch-Management Die maßgebliche Herausforderung ist wohl, dass manuelles Patchen zu aufwendig ist und zudem enorme Sicherheitsrisiken birgt. Ohne den Einsatz von Softwareverteilung und Patch Management-Lösungen ist es ab einer bestimmten Anzahl der Systeme nahezu unmöglich, die Patches im Netzwerk aktuell zu halten. Sie benötigen für die Installation eines Patches 5 bis 15 Minuten. Wenn Sie diese Zeit einmal mit der Anzahl der zu betreuenden Systeme und Ihrem Stundenlohn multiplizieren, wird schnell deutlich, wie teuer manuelles Patchen für das Unternehmen ist. WHG: Was sind momentan die größten Herausforderungen für die Security- Branche? Was sind die Herausforderungen im Bereich Patch Management? Microsoft stellt beispielsweise über 50 Patches, Hotfixes und Service Packs im Jahr zur Verfügung, um entsprechende Sicherheitslücken in Windows-Betriebssystemen und Microsoft-Anwendungen abzudecken. Sobald ein entsprechendes Security-Update oder-patch von Microsoft verfügbar ist, müssen die entsprechenden Computersysteme im Unternehmen überprüft werden, um diejenigen Rechner und Anwendungen zu identifizieren, für die ein Security Update/Patch nötig ist. Dieser Aufwand ist nur schwer manuell zu bewältigen. Da sich aber der Aufwand für ein Patch kaum lohnt, wartet man bis zum nächsten kompletten Service Pack, um so mehrere Patches auf einmal zu verteilen und damit den Zeitaufwand zu minimieren. Damit riskieren IT-Verantwortliche aber Sicherheitslücken. Wie lassen sich dann Patches performant und durchgängig verteilen? Welche aktuellen Erkenntnisse gibt es für einen Prozess zur Verteilung sicherheitsrelevanter Patches, um die Endpoint- Security sicher zu stellen? Im Bereich der PCs (Clients) ist dieser Aufwand ohne Patch Management-Software nicht zu bewerkstelligen. Mit entsprechenden Lösungen erzielt der IT-Administrator eine schnelle Amortisierung aufgrund einer sehr gute Kosten-Nutzen-Analyse und Wertschöpfung. Dies In 5 Schritten zum plattformübergreifenden automatischen Patch Management Scanning: Die relevanten Rechner (Server/Workstations) und Microsoft-Anwendungen (z.b. EXCHANGE, SQL, Office) werden überprüft. So soll festgestellt werden, auf welchen Rechnern oder bei welchen Anwendungen Patches, Hotfixes oder Service Packs fehlen. Bewertung: Jeder Patch, Hotfix und jedes Service Pack muss individuell bewertet werden. Aus dieser Bewertung folgt die Entscheidung, welche Security Updates für Rechner, Rechnergruppen oder Anwendungen relevant sind. Testing: Alle vorhandenen Security Updates werden auf ihre Funktionstauglichkeit hin ausführlich getestet. Deployment: Die notwendigen Patches, Hotfixes und Service Packs müssen auf die vorgesehenen Rechner und Anwendungen, die durch den Scanning-Vorgang festgestellt wurden, verteilt werden. Der durchschnittliche Zeitaufwand beim Verteilen eines Patches liegt bei ca. 15 Minuten. Reporting: Abschließend muss überprüft werden, ob die Verteilung ordnungsgemäß abgelaufen ist und die Security Updates funktionstüchtig sind. Branchentalk... mit Christian Vogt, Regional Director Germany & Netherlands bei Fortinet Christian Vogt: Cloud Computing, Social Media und Virtualisierungstechnologien haben mittlerweile einen sehr starken Einfluss auf Unternehmensnetzwerke und die neuen Methoden der Cyberkriminalität. Die informationszentrierte wird die netzwerkzentrierte Security ersetzen, da Daten zunehmend außerhalb traditioneller Unternehmensnetzwerke verfügbar sind. Die Definition von Netzwerk umfasst nicht mehr nur das LAN, sondern auch verteilte Netzwerke, Cloud-basierte Netzwerke, Social Media Netzwerke, Mobilfunknetze, virtuelle Netzwerke usw. Das ist eins der größten Sicherheitsprobleme für Unternehmen heute: ihr Netzwerk bzw. ihre Daten auch außerhalb des physisch existierenden Netzwerks zu schützen. Es müssen an jedem Datenberührungspunkt oder internem Netzwerkabschnitt Security-Kontrollen eingerichtet sein und nicht nur am Perimeter. Informationszentrierte Security stellt im Gegensatz zur netzwerkzentrierten Security einen granularen, intelligenten und vielschichtigen Ansatz dar, der den schwächsten Punkt im Netzwerk gegen Angriffe schützt. WHG: Worauf müssen sich insbesondere Reseller in den nächsten 12 Monaten einstellen, wo liegen deren Herausforderungen? Welche Strategie empfehlen Sie? CV: Der Security Markt ist ein sehr dynamischer Markt, welcher sich in den letzten Quartalen, auch auf der Herstellerseite, einer starken Konsolidierung unterzogen hat. Das dies zu Reibungsverlusten und gar Produktabkündigungen geführt hat, liegt auf der Hand. Für Reseller ist es nun wichtig, einige wenige starke Partner im Portfolio zu haben. Seitens der Kunden werden die Anforderungen an Reseller noch komplexer und erfordern daher einen ganzheitlichen Ansatz, der nicht nur die Lieferung der Produkte, sondern auch verschiedene Mehrwerte, wie Analyse, Integration und After- Sale Betreuung beinhalten muss. Weiterhin ist es notwendig gezielt auf spezielle Anforderungen oder Themen einzugehen, wie z.b. Produktionsabsicherung und Compliance, denn in diesen Bereichen liegen noch oft nicht erschlossene Potentiale. gilt für Server und Clients gelichermaßen. Im Server Bereich ist der ganze Prozess grundlegend anders, da die Server heutzutage rund um die Uhr verfügbar sein müssen. Hinzu kommt, dass die Systeme auch zeitnah gewartet werden, um Sicherheitsrisiken zu minimieren. Den Servern werden also Wartungsfenster und Patch Days zugewiesen, was dazu führen kann, dass eine Serverlandschaft nur zweimal im Jahr mit sicherheitsrelevanten Patches versorgt wird. Die zur Verfügung stehende Zeit ist so gering, dass der Prozess nicht manuell durchzuführen ist. Kommen dann noch unerwartete Probleme dazu, muss wieder auf den nächsten Patch Day gewartet werden, der nun unter Umständen erst in 6 Monaten angesetzt ist. Das kann bedeuten, dass einige Server über Monate hinweg ungesichert laufen. Auch hier hilft eine Lösung für die Analyse der sicherheitsrelevanten Patches über hunderte von Servern hinweg. Das geschieht nun sehr schnell und effektiv, ganz ohne manuelles Eingreifen. Am besagten Patch Day schafft der IT-Verantwortliche nun mit einer vorher erstellten Liste von Patches und Servern ein qualifiziertes Patchen. Bei Problemen kann er jederzeit auch jeden Patch wieder deinstallieren. Innerhalb kürzester Zeit sind alle Server optimal versorgt. Als Folge der verbesserten Lösungen, kann der IT-Manager nun auch seine Wartungsfenster- und Patch Days-Strategie neu überdenken, denn die Aufgaben werden nun nicht mehr manuell durchgeführt und die gesamte Aufgabenstellung hat sich dementsprechend verändert. /lumension WHG: Welche Technologien im Security-Bereich sehen Sie für das Jahr 2011 als wichtigste Antriebsmotoren auf dem Markt? CV: Immer mehr Kunden fragen nach ganzheitlichen Lösungen. UTM ist ein Bereich, der sehr schnell wächst, was auch die jüngsten IDC Zahlen gezeigt haben. Die wachsende Nachfrage lässt sich damit erklären, dass Insellösungen nicht im Stande sind, tiefgehende Paketinspektionen und granulare Absicherung einzuschließen. Da die Bedrohungsszenarien viel komplexer geworden sind, sind einfache Erlauben/ Blockieren - Lösungen nicht mehr ausreichend. Die Bedienung und Instandhaltung von Insellösungen ist oft aufwändiger und weniger effektiv als eine einheitliche Lösung. Vergangene Erfahrungen führen heute viele Unternehmen dazu, sich für eine UTM-Lösung zu entscheiden, da sie effektive Sicherheit zu geringeren Kosten als Einzellösungen bietet. Kleine und mittelständische Unternehmen haben bereits vor Jahren die Notwendigkeit konsolidierter Lösungen erkannt. Nun findet auch ein Umdenken bei den Großen statt. /fortinet

9 Wick Hill Guardian Ausgabe 2/ Tipps & Tricks Was sind die ersten wichtigen Schritte, wenn mein Netzwerk von Conficker befallen wird? Autor: Nikolei Engelke, Security Engineer/ Technical Support Den Wurm Conficker (auch Downup, Downadup and Kido genannt) aus der Familie Dumprep-Würmer gibt es seit drei Jahren in immer wieder neuen Varianten, und er schlägt jährlich verstärkt am 1 April zu. Conficker wird meist über PDFs, s oder das Internet verbreitet und verseucht vornehmlich Netze, die nicht ausreichend abgesichert sind, zum Beispiel über USB Sticks und kann so wiederum selbst intern gesicherte Netzwerke infizieren. Conficker, mit dem Funktionsumfang eines Trojan-Downloaders, transferiert weitere Schadcodes (Conficker Erweiterungen) auf den infizierten Rechner. In der aktuellen Conficker-Version können bis zu Domänen erreicht werden, die täglich kontaktiert werden ein 200-faches der ersten Conficker-Version. 1) Detecting: Hat sich Conficker eingeschlichen, müssen umgehend erste Schritte zu seiner Abwehr getätigt werden: zum Beispiel über das Kaspersky Administration Kit: Gehen Sie dabei über Live-Abfrage in der Protokollierung, Netzwerkangriffe Portscanning, sichtbar die Attacken auf Port 445 und 139 2) Systeme patchen: zuerst mit dem wichtigsten MS Patch beispielsweise über WESUS MS installieren. ( com/germany/technet/sicherheit/bulletins/ms mspx) 3) Deaktivieren Sie die automatische Wiedergabe für USB- Geräte ( Autoplay ) Standard mit Kaspersky Mp4 und aktivierter Zugriffskontrolle Oder: über Lumension Devicecontrol mit Geräteklassenerkennung und dedizierten Zugriffen. Eine wirksame Maßnahme gegen zukünftige, noch nicht bekannte Attacken ist der Lumension Patchlink gegen Conficker & Co. Damit können Sie Ihre Systeme proaktiv im Gegensatz zu einem WESUS auf Updates überwachen lassen. Durch eigene Technologien werden diese Updates/Patches von Lumension sogar auf richtige Funktionsweise überwacht. Conficker/Kido in der Registry HKEY_LOCAL_MACHINESYSTEMCurrentControlSet Services [Zufälliger Name für den Dienst] Image Path = %System Root%system32svchost.exe -k netsvcs HKEY_LOCAL_MACHINESYSTEMCurrentControlSet Services[Zufälliger Name für den Dienst]Parameters ServiceDll = [Pfad und Dateiname der Malwaredatei] HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSvcHost Dass ein Rechner infiziert ist, erkennt der Techniker daran, dass bestimmte sicherheitsrelevante Dienste nicht mehr funktionieren. Dazu gehören das Windows Security Center, Windows Auto Update, Windows Defender und der Error-Reporting-Service. Außerdem blockiert Conficker den Zugang zu den Web-Seiten aller führenden Anbieter von Antiviren-Software sowie zu Malware-Informationsportalen. Der Schädling verhindert unter anderem den Zugang zu URLs, die Begriffe, wie virus, spyware, microsoft, gdata oder symantec enthalten. Indikator für Infektion: Erhöhter Traffic auf Port 445 und 139. Netzwerkadministratoren erkennen infizierte Rechner an einer Zunahme des Datenverkehrs, der über Port 445 läuft. Nach der Infektion ermittelt Conficker die IP-Adresse des infizierten Rechners, indem er eine der folgenden Seiten aufruft: Bildquelle: wikipedia.de Urheber: Gppande Anhand des Datums von folgenden Domains werden die variablen Update-Adressen berechnet: ask.com, baidu.com, google.com, msn.com, und yahoo.com. Rechner, die auf diese Domains zugreifen, könnten somit von dem Schädling befallen sein. Ein hilfreicher Tipp zum aufspüren des Conficker: python.exe./scs.py Could not send SMB request to :445/tcp../scs.py seems to be infected by Conficker../scs.py seems to be clean. Tipps & Tricks Wie kann der Patchstand von Kaspersky Anti-Virus-Produkten über das Administration Kit angezeigt werden? Autor: Helmut Feindt, Customer Care Wick Hill Tipps & Tricks Warum kann Kaspersky Anti Virus for Exchange oder Kaspersky Security for Exchange trotz Network Agent nicht mit dem Administration Kit verwaltet werden? Autor: Helmut Feindt, Customer Care Wick Hill Damit der Patchstand der installierten AV-Produkte (Arbeitsstationen, Server und Mailserver) in einem Report angezeigt wird, sind folgende Schritte notwendig: In den Eigenschaften des Reports unter Protokoll über Versionen von KL-Anwendungen hat man im Reiter Details die Möglichkeit weitere Optionen hinzuzufügen. Damit die Spalte Installierte Updates übersichtlicher angeordnet wird, kann man dies mittels der Pfeile unter der Version plazieren. Nachdem man die mit OK bestätigt hat, wird im neu generierten Report die neue Spalte angezeigt. Wegen der Inkompatibilität des Administrationsagenten der Version (und höher) mit Kaspersky Security 5.5 für Microsoft Exchange Server 2003 und Kaspersky Anti-Virus 5.5 für Microsoft Exchange Server 2000/2003 kann folgender Fehler auftreten: Connector for product... is not compatible with current version of Network Agent. Um die Möglichkeit, diese Anwendungen über Kaspersky Administration Kit oder zu verwalten, wiederherzustellen, tauschen Sie auf dem Exchange-Server den Connector, der die Verbindung des Antiviren-Programms mit dem Administrationsagenten gewährleistet. Zu diesem Zweck ist folgende Aktion auf dem Exchange-Server erforderlich: 1. Abhängig von der installierten Anwendung zum Schutz des Exchange-Servers laden Sie das erforderliche Archiv mit dem Connector herunter und entpacken es. 2. Beenden Sie den Service des Administrationsagenten. 3. Im Installationsordner des Antiviren-Programms ersetzen Sie den Connector durch den neu geladenen: KLEXConnector.dll für Kaspersky Security 5.5 für Microsoft Exchange Server 2003 KLEXAVConnector.dll für Kaspersky Anti-Virus 5.5 für Microsoft Exchange Server 2000/ Starten Sie die reg-datei für die Initialisierung des Connectors (die reg-datei befindet sich im Archiv mit dem Connector): kse.reg für Kaspersky Security 5.5 für Microsoft Exchange Server 2003 kave.reg für Kaspersky Anti-Virus 5.5 für Microsoft Exchange Server 2000/ Starten Sie den Service des Administrationsagenten. Download-Links zu den Dateien Für Kaspersky Anti-Virus 5.5 für Microsoft Exchange Server 2000/2003: ak/klexconnector_v2.zip

10 10 Wick Hill Guardian Ausgabe 02/2010 Auf was ist zu achten bei der Umstellung von IPv4 auf IPv6? Autoren: William Griebel, Senior System Engineer bei Wick Hill und Thorsten Jaeger, Senior Sales Engineer EMEA, Fortinet Kaum zu glauben, aber wahr: Dem Internet gehen bald die Adressen aus. Jedem Computer und jedem Gerät, das mit dem Internet verbunden ist, muss eine IP-Adresse zugewiesen werden. Das aktuelle System IPv4, das seit den späten 1970er Jahren gilt, hat jedoch bald keine neuen Adressen mehr parat. Da es immer mehr Internet-fähige Geräte gibt vom PC bis zum Kühlschrank, Stichwort Heimvernetzung macht sich die Netzwerkindustrie schon seit längerem Gedanken um einen neuen Adressbestand, der IPv6 heissen soll. Bis heute gibt es keinen offiziellen weltweiten Einführungstermin. Einige Teile der Welt, vor allem Asien, und ein paar Internet-Dienst-Provider (ISPs) und entsprechende Unternehmen übernehmen hier momentan die Führungsrolle. Jedoch erkennen immer mehr, dass der Tag der zwangsläufigen Umstellung sehr bald eintreffen wird, da die noch freien IP-Adressen immer weniger werden und damit einen großangelegten Wechsel erzwingen. Anfang der 1980er gab es allein bei großen Forschungseinrichtungen oder im Militärsektor Computer mit Internetzugriff. Damals schien in der 8-Bit-Umgebung die 32-Bit Adresse der Internet Protocol Version 4 (IPv4) unendliche Möglichkeiten zu gestatten: fast 4 Milliarden Adressen (2 hoch 32) für Geräte, die mit dem Netzwerk verbunden sind, wurden somit zur Verfügung gestellt. Das Ende der verfügbaren Adressen ist bald in Sicht, und die Theorie ist, dass sobald alle Adressen vergeben sind, sich kein neues Gerät mit dem Internet in Verbindung bringen lassen könne. Bereits 1998 hat die ICANN (Internet Corporation for Assigned Names and Numbers das Internet-Unternehmen, das sich um die Bereitstellung der Namen und Adressen kümmert) das neue Internetprotokoll IPv6 angekündigt. IPv6 und Datensicherheit Unified Threat Management für IPv6 Neben der zwingenden Notwendigkeit eines neuen IP-Adressbestands und den Vorteilen, die IPv6 mit sich bringen wird, darf man nicht die Schattenseiten des Internet ausser Acht lassen. Auch mit IPv6 wird Unified Threat Management dringend notwendig sein. Bei der Einführung von IPv6 im LAN oder WAN ist es längst keine Frage mehr, ob eine IPv6 fähige Firewall eingesetzt wird oder nicht, denn selbstverständlich stellt diese den Mindestschutz dar. Aber reicht diese Firewall aus? In bestehenden IPv4-Netzen sind seit Jahren und Jahrzehnten Systeme etabliert, die Daten auf höheren Schichten schützen, wie Intrusion-Protection, AntiVirus, URL-Filter oder Application-Control. In den letzten Jahren haben sich hier vor allem moderne Systeme bewährt, die diese Schutzmechanismen kombinieren und so einen noch höherwertigen Schutz leisten: UTM- oder Multifunctional- Firewalls. Ein Großteil dieser Geräte halten Malware, also Schadsoftware, aus den internen Netzen fern und verhindern die Verbreitung von Malware innerhalb und nach außen. Bei der Umstellung und Migration auf IPv6 ist die Frage nach dem richtigen Umgang mit Malware von zentraler Bedeutung, denn IPv6 bietet Malware Autoren mehr Möglichkeiten ihren Schadcode zu verbreiten als mit IPv4. Ein trivialer Grund sind die IPv6-Stacks, mit denen es wenig Praxiserfahrung gibt. Den IPv4-Stacks liegen Dekaden an Erfahrung zugrunde und trotzdem fnden sich in diesen immer noch diverse Schwachstellen. IPv6- Stacks in Betriebssystemen oder in Programmen gehen weitgehend jungfräulich in den harten Internet-Alltag. Bereits heute gibt es schon über hundert bekannte Schwachstellen in diversen IPv6-Protokollstacks und Implementierungen. Die ernüchternde Erkenntnis: Fast alle IPv4- basierten Exploits sind auch IPv6-fähig. Dies bedeutet, dass Virenschreiber im ersten Schritt nichts oder nur wenig anpassen müssen, damit ein Exploit auch IPv6- fähig ist. Sie können jedoch zusätzliche Mechanismen von IPv6 nutzen um sich noch stärker, noch unbemerkter und damit effzienter zu verbreiten. Ähnliches gilt für einen Wurm. I Love You nutzt E Mail zur Weiterverteilung, hier ist keine Anpassung notwendig. Wohingegen sich Conficker selbsttätig über eine Schwachstelle in Windows über IPv4 verbreitet, aber über eine Anpassung auch IPv6 tauglich gemacht werden kann. Hackertools für IPv6 sind bereits seit Jahren im Umlauf, so zum Beispiel die IPv6-Attack-Suite von THC. Diese Suite enthält Programme, um zum Beispiel Datenverkehr im LAN über den eigenen Host umzuleiten, ICMPv6 Neighbor- Discovery oder Duplicate-Address- Detection Manipulationen durchzuführen. Ein weiteres Plus für Malwareschreiber bringt IPv6 mit der Autoconfiguration mit. Aktuelle Betriebssysteme haben IPv6 standardmäßig aktiviert. Und so kann ein Malware infzierter Host sich als IPv6-Router bekanntgeben, die IPv6-Konfiguration der im Netz befindlichen Hosts wird dementsprechend geändert. Der Malware Host kennt nun die Adressen der anderen, ein Netz-Scanning ist nicht mehr notwendig, Malware kann nun versuchen diese Hosts gezielt zu Exploiten oder einfach deren Datenverkehr über sich selbst zu leiten zur Manipulation oder Ausspähen von Daten. Die vorhandene Desktop-Firewall bekommt von dem ganzen vermutlich gar nichts mit. Das reine Scannen von ganzen Netzbereichen nach Hosts erweist sich bei IPv6 aufgrund der riesigen Anzahl von möglichen Adressen als erheblich schwieriger. Dieser antiquierte Ansatz kann aber in absehbarer Zeit durch die leistungsfähigeren Computer, hohe Bandbreiten und bessere Algorithmen beim Scannen wieder an Effzienz gewinnen. Bedingt durch den gigantischen Adressbereich in IPv6 wird leider ein gängiger Abwehrmechanismus ausgehebelt, nämlich das Sperren von IP-Adressen (Blacklisting) wie auf Anti- Spam-Systemen oder Phishing-Filtern. Laut der aktuellen Polizeilichen Kriminalstatistik stiegen im Jahr 2009 die Fälle von Phishing in Deutschland um 64 Prozent, das Ausspähen, Abfangen von Daten um 48 Prozent bei 7 Prozent geringerer Aufklärungsquote. Diese Fälle werden mit verstärkter Einführung von IPv6 steigen, sofern Hersteller von Schutzlösungen sich hier nicht anpassen, Anwender diese neuen Systeme nicht einsetzen oder nicht konsequent einsetzen. Die Umstellung nach IPv6 wird in den allermeisten Fällen einen mehrjährigen Migrationszeitraum umfassen. Ein zusätzlicher Internetanschluss mit IPv6 ist einfacher zu Admin-Fokus: Was ist neu bei IPv6? Der Adressraum bei IPv6 ist von vorne herein größer als bei Version 4. Adressen sind statt 32 jetzt 128 Bit lang und bestehen aus mehreren Blöcken. Anstelle der von IPv4 bekannten dezimalen Notation ist die Schreibweise nun hexadezimal. Sie umfasst acht Blöcke von 0000 bis FFFF, die jeweils durch Doppelpunkte getrennt sind. Führende Nullen können weggelassen werden, mehrere aufeinander folgende Blöcke aus Nullen lassen sich durch zwei Doppelpunkte :: ersetzen. Wie auch schon bei IPv4 lassen sich Pakete dezidiert an ein Ziel versenden (Unicast) und können entweder mehrere Server gleichzeitig ansprechen (Multicast) oder den nächstgelegenen von mehreren Hosts (Anycast) addressieren. Broadcast-Adressen gibt es bei IPv6 nicht mehr. Unicast-Adressen sind providerbasiert und gelten weltweit, die aktuell vergebenen beginnen mit 2000 bis 3FFF. Multicast-Adressen eignen sich beispielsweise für das Videostreaming, da sich hierüber eine ganze Gruppe von Rechnern ansprechen lässt. Sie beginnen mit FF00, gefolgt von je vier Flag- und Scope-Bits. IPv4-Adressen lassen sich innerhalb von IPv6 durch die Folge ::FFFF:0:0 darstellen, wobei die letzten 32 Bit die IPv4-Adresse abbilden. Techniken wie NAT sind aufgrund der zahlreichen verfügbaren Adressen nicht mehr nötig, um mehrere Rechner mit einer Adresse zu betreiben. Netzwerke, die bisher NAT nutzten, um Rechner von öffentlichen Zugriffen abzuschirmen, sollten nun mit Sicherheitsmechanismen wie Firewalls ausgestattet werden. Bei IPv6 wird es ein neues Header-Format geben, das einfacher aufgebaut ist als bei IPv4. Die Header enthalten dann nur noch Felder, die benötigt werden, um Pakete zu routen. Selten benutzte Felder sind in zusätzliche Header ausgelagert und die Länge des Basis-Headers ist nun nicht mehr variabel, sondern umfasst 40 Bytes. IPv4-Router mussten die Checksumme für jedes einzelne IP-Paket neu generieren, da sich der Inhalt des Headers durch die sinkende TTL bei jedem Hop änderte. IPv6 dagegen verlässt sich nun vollständig auf die Mechanismen der darunter liegenden Schichten, wie beispielsweise auf das Ethernet. bewerkstelligen als die Umstellung von PCs im LAN inklusive vieler proprietärer Softwarelösungen. Man wird in der Praxis also mittelfristige Übergangslösungen fnden, die IPv4 und IPv6 unter einen Hut bringen müssen. UTM- oder Multifunction-Firewalls sind bei der Einführung von IPv6 unverzichtbare Lösungen, denn andernfalls ist die Kombination der benötigten Schutzmechanismen zu groß, was letztlich zu fehlenden Überblick oder fehlenden Ineinandergreifen von Schutzmechanismen resultiert. Alternativ beweist der Admin Mut zur Lücke, was im Bereich Malware fatale Folgen haben kann falls der nächste Wurm sich zum Beispiel über Skype verbreitet oder das Mail Gateway die ersten I love you - s von IPv6-Mailservern empfängt... Was ist Was Load Balancing Load Balancing-Systeme dienen zur Lastverteilung auf mehrere getrennte Hosts im Netzwerk. Sie werden eingesetzt, um Ausfallsicherheit und Redundanz für zahlreiche bereitgestellte Anwendungen sicherzustellen. Load Balancing kommt überall dort zum Einsatz, wo sehr viele Clients eine hohe Anfragedichte erzeugen und so einzelne Server überlasten würden. Dies ist beispielsweise bei Web-Anwendungen, Sicherheits-Gateways, Online-Shops, großen Firmenwebsites oder Internetportalen der Fall. Eine professionelle Load Balancing-Lösung verteilt die einzelnen Zugriffe auf mindestens zwei voneinander unabhängige Webserverknoten. Der Vorteil dabei ist, dass bei steigenden Zugriffen jederzeit kurzfristig und ohne Ausfallzeit eine Skalierung in die Breite möglich ist. Dazu überwacht ein Load Balancer permanent, ob alle Webserverknoten verfügbar sind. Fällt einer dieser Knotenpunkte aus, so wird dieser automatisch aus der Verteilung entfernt und bekommt keine neue Verbindung mehr zugeteilt. Load Balancing Lösungen gibt es als Hardware- und Softwarekomponenten. Bei Hardware-Load-Balancern handelt es sich in der Regel um Layer-4 bis 7-Switches. Welches Produkt wofür am Besten geeignet ist, kommt auf die eigenen Anforderungen im Unternehmen an. Der Celestix Load Balancer (CLB) ermöglicht zahlreiche Load Balancing-Methoden, um den hohen Netzwerkverkehr auf einzelne Server zu verteilen. Der CLB stützt sich dabei auf ein einfaches Round Robin, Random, Client Address Hashing und least resource Verfahren, basierend auf den Daten, die ein entsprechender Agent liefert. Die intelligente Health Check Engine überwacht den Status aller Server in dem an den Load Balancer angeschlossenen Pool permanent. So ist der CLB auch im Fall eines Serverausfalls in der Lage, den Netzwerkverkehr nahtlos auf andere Server zu verteilen und den Betrieb somit aufrecht zu erhalten. Auch der Barracuda Load Balancer basiert auf dem Round-Robin-Verfahren und wurde für höchste Verfügbarkeit und Sicherheit entwickelt. Er integriert sowohl Lastverteilung für Server als auch Intrusion Prevention in einer Appliance. Benötigen Anwendungen Persistenz, so behält der Barracuda Load Balancer den Status einfach bei. Während des laufenden Betriebes können Server bei Bedarf auch einfach zu- oder abgeschaltet werden. Im Falle eines Server Totalausfalles spannt der Barracuda Load Balancer mit umfangreichen Failover-Möglichkeiten ein großes Sicherheitsnetz. /celestix /barracuda Beispiel: Celestix XLB Enterprise Class Loadbalancer

11 Wick Hill Guardian Ausgabe 2/ Wick Hill stellt ganzheitliches 24/7 Security-Konzept vor Wick Hill ist auch in diesem Jahr bei den Partner Solution Days der IT Business-Akademie dabei. Auf der Roadshow mit dem Titel IT- Security & Compliance 2010 von Vogel IT-Medien wird Wick Hill zusammen mit Kaspersky, Fortinet, WatchGuard, PGP und Vasco vertreten sein. In einem informativen und spannenden Vortrag über das ganzheitliche 24/7 Security-Konzept wird Tom Nemitz (Product Sales Manager WatchGuard, PGP) referieren. Dabei erläutert er an praxisnahen Beispielen anschaulich, wie sich der Einsatz von verschiedenen Security-Lösungen positiv auf den Sicherheitsstaus eines jeden Unternehmens auszahlt. Der Schutz Termine: Frankfurt/Hanau Hamburg Düsseldorf/Neuss München Für Kurzentschlossene: Sie möchten sich eine der limitierten Freikarten* sichern? Setzen Sie sich gerne mit uns in Verbindung! Kontakt: 040/ *Nur so lange der Vorrat reicht Event-Highlight im September vor aktuellen Bedrohungen ist kein nice to have, sondern unumgänglich für jedes Unternehmen anders gesagt: Mit dem richtigen Konzept und den richtigen Lösungen stehen Unternehmen im wahrsten Sinne auf der sicheren Seite. Und mit der perfekten Mixtur aus AntiVirus, Firwall, Content Security, Verschlüsselung und starker Authentifizierung geben kann sich ein Unternehmen sein ganz eigenes Konzept maßschneidern lassen. Branchentreff Partner Solution Days Die Roadshow, die im September in vier Städten Deutschlands Halt macht (Termine s. Kasten), hat außerdem viele weitere spannende Themen zu bieten und widmet sich den aktuell wichtigsten Anforderungen im IT-Security-Sektor. Vor dem Hintergrund, dass Hacker längst die traditionellen -Pfade verlassen haben, um sich über Netzwerke und Rechner in die Datenbestände von Unternehmen zu hacken, wird das Thema Wirtschaftsspionage eine zentrale Rolle spielen. Neben vielen Vorträgen können Teilnehmer auch praxisbezogene Breakoutsessions und die begleitende Fachausstellung besuchen. Die Roadshow-Schwerpunkte 2010 auf einen Blick: Sicherheit von Systemen, Daten und Kommunikation Schutz vor Datendiebstahl und -verlust Sicherheit von Infrastrukturen Governance, Risk & Compliance (GRC) Ein Security-Token ist eine Hardwarekomponente, die Teil eines Systems zur Identifizierung und Authentifizierung von Benutzern ist. Sind Token personalisiert, so sind sie eindeutig einem bestimmten Benutzer zugeordnet. Personalisierte Token sind entweder passwortgeschützt oder sie identifizieren den richtigen Benutzer mit Hilfe biometrischer Merkmale. Token gibt es in verschiedenen Ausführungen, sie sind entweder Hardware- oder Software basiert und haben verschiedene Gesichter : So gibt es zum einen Smartcards (= Chipkarten), USB-Token und RFID-Chips, die alle als passive Medien beziehungsweise Token bezeichnet werden. Der Unterschied zwischen Smartcards und USB-Token: USB-Token, die an einem USB-Port angeschlossen werden, weisen die gleichen Vorteile einer Smartcard auf, ohne dabei ein Kartenlesegerät zu benötigen. Im Falle von RFID- Token kommen kontaktlose Token zum Einsatz: Diese sogenannten Transponder sind zum Beispiel in Schlüsselanhängern oder Chipkarten integriert. Die Gegenstation muss das Token aktivieren und auch lesen können. Log-Daten spielen eine entscheidende Rolle dabei, Sicherheits- und Informationsbrüche zu entdecken. Mit Hilfe dieser Protokoll-Daten lassen sich sämtliche Softund Hardwareprozesse im Unternehmensnetzwerk dokumentieren. Ein professionelles Logfile-Management ermöglicht es so, Risikosituationen wie Datenzugriffe, Hacker-Attacken oder drohende Überlastungen von Hardware oder Servern frühzeitig zu erkennen und darauf zu reagieren. Darüber hinaus gewährt das Logfile-Management Einsicht in die Effizienz von Unternehmen und zeigt auf, wo IT-Produktivität und -Performance noch gesteigert werden können. Was ist Was Token Authentifizierung Was ist Was Logfile-Management Eine weitere Variante mit und ohne Kontakte ist maßgeblich vom sogenannten Einmal-Passwort-Verfahren (One time passwords, OTP) bestimmt und sowohl in Software- als auch in Hardware-Form erhältlich. Dabei werden stetig wechselnd und zeitlich begrenzt gültige (beispielweise minutenweise) Zahlenkombinationen von einem Generator erzeugt. Oftmals werden bestimmte Verschlüsselungs- und Hash-Algorithmen eingesetzt, um diesen Schutz noch zu maximieren. Als zusätzliche Sicherheitsstufe muss häufig eine PIN vorab eingegeben werden. Gefragt sind Lösungen für starke Authentifizierung sowie ein digitale Signatur zum Schutz von Online-Accounts, Identitäten und Transkationen. Vasco entwickelt, vermarktet und unterstützt Produkte zur Authentifizierung der Identität für E-Business und E-Commerce und ist damit ein geeigneter Ansprechpartner für alle Anfragen rund um Authentifizierungsmöglichkeiten. /vasco Bislang hatte die schiere Masse an Log-Daten eine effektive Nutzung der darin versteckten Informationen verhindert. Mit den Lösungen von LogLogic ist es möglich, selbst Terabytes von Log-Informationen, die in Unternehmensnetzen täglich anfallen können, in Echtzeit automatisch zu erfassen, zu analysieren und daraus Warnmeldungen zu generieren. Störungen und Verletzungen von Compliance-Regeln oder Sicherheitsrichtlinien im IT- Netz, die im Ernstfall oft mühsam manuell aus Log-Datenmassen gefiltert werden mussten, lassen sich automatisch anzeigen. Damit stehen Log-Daten produktiv für die Überwachung der vielfältigen Compliance-Anforderungen in Unternehmen und Behörden zur Verfügung. Die Lösungen von LogLogic sammeln, speichern und analysieren Log-Daten automatisch an Hand intelligent aufgesetzter Routinen. Hierbei werden Firewalls, Router, Server, Anwendungen, Betriebssysteme sowie Endgeräte und proprietäre Systeme wirkungsvoll eingebunden. Mit den Appliances lassen sich zudem automatisierte Compliance-Reports erstellen. Somit wird die Einrichtung eines unternehmensweiten Kontroll- und Alarmsystems rundum gewährleistet ein wichtiger Teil des unternehmensweiten Risikomanagements. /loglogic Erfolgreiche CeBIT 2010 für Wick Hill und Hersteller Auch in diesem Jahr hat Wick Hill wieder auf der CeBIT 2010, der größten Leistungsshow der IT-Security- Branche in Hannover, über sein breites Dienstleistungs- und Herstellerportfolio informiert. Es haben sich auch in diesem Jahr zahlreiche unserer Partner exklusiv bei Wick Hill am Stand präsentiert. Das war die perfekte Gelegenheit, mit Herstellern, Handelspartnern und Kunden direkt ins Gespräch zu kommen. Es ging um Produktneuheiten, unseren neu gestalteten Service-Bereich und Trends 2010, erklärt Helge Scherff, Sales Director bei Wick Hill. Bei Wick Hill präsentierten sich erneut folgende Hersteller mit Partnerständen: Barracuda Networks, Kaspersky Lab, WatchGuard, Netgear, Aruba Network, Celextrix Networks, Fortinet, Thales, Upsite Technologies, Vasco und PGP. Stimmen der Hersteller Fortinet, Netgear, Lumension und WatchGuard Unser CeBIT-Auftritt als Partner am Stand von Wick Hill war eine ideale Plattform für die Ausstellung unserer ProSecure-Produktfamilie, die beim fachkundigen Messepublikum auf großes Interesse gestoßen ist, sagt Thomas Jell, Managing Director Central Europe von Netgear. Das Thema Sicherheit stellt einen der zentralen Bereiche auf der CeBIT dar. Und Unified Threat Management von Netgear zeigt, wie kleine und mittelständische Unternehmen einen umfassenden Schutz vor allen - und Internet-Gefahren mit einem vernünftigen Preismodell erhalten. Ähnlich erfreulich beurteilt Christian Vogt, Regional Director Germany & Netherlands bei Fortinet den Ce- BIT-Auftritt: Im Fokus standen dieses Jahr die Themen High Speed Security, -Security, High Speed Switching und Security-Virtualisierung. Wir haben Lösungen vorgestellt, die Kunden darin unterstützen, die Flexibilität der Security-Infrastruktur zu erhöhen, die Sicherheit zu verbessern und Kosten zu reduzieren. Die Nachfrage war eindeutig da. Fortinet bietet Network-Security-Lösungen für Unternehmen jeder Größenordnung vom Mittelstand bis hin zum High-End-Segment. In diesem Jahr präsentierte Wick Hill auf der Messe erstmals auch das Produkt-Portfolio des neuen Distributionspartners Lumension. Maik Bockelmann, Vice President EMEA bei Lumension: Das umfassende Netzwerk von Wick Hill hilft uns, die Sicherheitslösungen von Lumension Security am deutschen Markt nachhaltig zu etablieren. Auf der CeBIT hat sich gezeigt, dass sich die Kooperation bereits auszahlt, indem die bestehende Partnerbasis vor allem im Bereich mittlerer und großer Partnerunternehmen ausgeweitet werden konnte. Der führende Anbieter von Produkten und Dienstleistungen im Bereich Sicherheitsmanagement hat auf der CeBIT exklusiv seine neue intelligente Whitelisting-Lösung als Teil der Lumension Endpoint Management und Security Suite vorgestellt. Damit gelingt es Unternehmen, flexibel auf die unterschiedlichen Sicherheitsbedürfnisse im Unternehmen zu reagieren. Michael Haas, Regional Sales Manager D-A-CH-EE von WatchGuard Technologies: Die Qualität der Gespräche zur CeBIT hat gezeigt, dass wir mit dem Gemeinschaftsstand von Wick Hill eine optimale Plattform gewählt haben. Die Resonanz des Fachpublikums war überdurchschnittlich hoch und hatte klaren Einfluss auf die gesammelten Leads. Insbesondere die WatchGuard Extensible Content Security(XCS)-Lösungen waren gefragt. Die Unternehmen erkennen inzwischen, dass es nicht allein auf die Abwehr von externen Angriffen ankommt. Auch eine effektive Data Loss Prevention, also der Schutz vor der unerwünschten Weitergabe vertraulicher Informationen nach außen, gewinnt zunehmend an Bedeutung. Und dies nicht nur im Konzern, sondern gerade bei kleineren Unternehmen, die durch Sicherheitslücken ihren kompletten Markterfolg verspielen könnten. Peter Falck, Channel Account Manager DACH bei Thales: Die CeBIT 2010 war für uns die erste große Messebeteiligung nach der Integration der ncipher-produktreihe in die Thales Group. Wir sind sowohl mit der Organisation als auch mit den Ergebnissen äußerst zufrieden. Die Plattform bei Wick Hill war ideal für uns, um Wiederverkäufer und Endanwender zu treffen. In den Meetings konnten wir einige ganz konkrete Projekte identifizieren. Deshalb sind wir sehr optimistisch, den ROI bald eindrucksvoll darstellen zu können.

12 Wick Hill Guardian 12 Wick Hill Schulungstermine 2010 In unseren Trainings und Schulungen vermitteln wir den Teilnehmern alle wichtigen Elemente und Besonderheiten der Produkte. H ier gehen wir in die Tiefe und beschäftigen uns insbesondere mit special features, so dass die Teilnehmer das Maximum aus ihren Geräten herausholen können. Darüber hinaus besteht die Möglichkeit, innerhalb von Trainingsreihen jeweilige Zertifizierungen zu erhalten. Auf unserem Service-Portal halten wir ein großes Angebot von Online-Webinaren, Trainings und Schulungen für Sie bereit. Aktuelle Schulungstermine: Kaspersky Certified Data Security Professional Dieser Kurs vermittelt alle notwendigen Kenntnisse, um die auf Windows basierenden Anti-Viren Produkte der Kaspersky Open Space Security (AdminKit, Workstation & FileServer) integrieren und konfigurieren zu können. Mo, bis Di, Hamburg Mi, bis Do, Hamburg Mo, bis Di, Hamburg Mo, bis Di, Hamburg Fortinet Certified Network Security Administrator (FCNSA) Im FortiGate Multi-Threat Security Systems Kurs werden die Teilnehmer ein reichhaltiges Verständnis von vielen erweiterten Netzwerk- und Security Features des FortiGate Multi-Thread Security Systems bekommen. Voraussetzungen sind Basiskenntnisse von Security-Netzwerken und Firewall-Systemen. Mo, bis Di, Hamburg Mo, bis Di, München Mo, bis Di, Frankfurt Mo, bis Di, Hamburg Fortinet Certified Network Security Professional (FCNSP) Dieser Implementationskurs demonstriert Features, die Ihnen leicht helfen können Ihr eigenes Netzwerk mit Einsetzung der FortiGate Unified Threat Management Appliances zu planen. Ausgabe 2/2010 Wick Hill und Fortinet mit Resellern beim Hamburger Radrennen Vattenfall Cyclassics Am 15. August hat VAD Wick Hill bereits zum dritten Mal in Folge gemeinsam mit dem Sicherheitsspezialisten Fortinet, Resellern und Endkunden an dem Radrennen Vattenfall Cyclassics in Hamburg teilgenommen. D as weltweit zweitgrößte Wettrennen dieser Art zieht jedes Jahr eine Schar von begeisterten Teilnehmern an. Vor den Profis fuhren ca Hobbysportler in der Kategorie Jedermann durch das Stadtzentrum und die Metropolregion Hamburg. Auch Wick Hill und Freunde gingen im Jedermann-Rennen an den Start. Die Cyclassics sind seit 1996 fest verankerter und einer der beliebtesten sportlichen Höhepunkte im Hamburger Jahreskalender. Mit dem freundschaftlichen Wettstreit haben wir etwas für die Fitness getan und gleichzeitig den Teamgeist gesteigert das alles vor der Kulisse der schönen Hansestadt, so Helge Scherff, Director Sales bei Wick Hill. Die Radtour führte über verschiedene Streckenlängen von 55, 100 oder 155 Kilometern durch die schönsten Ecken Hamburgs. Sie begann auf der Steinstraße und endete auf der Mönckebergstraße, der bekanntesten Hamburger Einkaufsmeile. Das Team Fortinet Wick Hill kämpfte sich über eine Distanz von genau Kilometern auf Platz 9, also unter die Top 10. Auf der Strecke gab es sogar eine durchschnittliche Mindestgeschwindigkeit von 26 km/h. Es war also ein rasantes Rennen, unterstützt von tausenden Besuchern, so Scherff. Gut begeisterte Zuschauer begleiteten das Rennen entlang der komplett für den öffentlichen Verkehr gesperrten Strecke. /fortinet Mi, bis Fr, Hamburg Mi, bis Fr, München Mi, bis Fr, Frankfurt Mi, bis Fr, Hamburg Fortinat FortiAnalyzer 211 Der FortiAnalyzer Administrationskurs hilft den Teilnehmern, sich auf die Zertifizierung für Fortinet Certified Network Security Professional (FCNSP) vorzubereiten. Do, , 09:00-17:00 Uhr Hamburg Fortinet FortiManager 241 Die FortiManager 241 Schulung hilft den Teilnehmern, sich auf die FCNSA und FCNSP Zertifizierungen vorzubereiten. Mo, , 09:00-17:00 Uhr Hamburg Fortinet Certified FortiMail Security Specialist (FCFSS) Dieser Kurs ist für Techniker gedacht, die die FortiMail Secure Messaging Plattform planen, implementieren und administrieren wollen. Voraussetzung hierfür sind Grundkenntnisse in der -Bearbeitung und SMTP. Di, bis Do, Hamburg Di, bis Do, Hamburg WatchGuard Certified Systems Professional (Fireware XTM Training) Dieses Seminar wendet sich an Netzwerkadministratoren und Netzwerktechniker, die eine Watchguard Firewall in Ihrer LAN/WAN-Umgebung installieren und administrieren sollen. Mo, bis Mi, Hamburg Mo, bis Mi, Hamburg Di, bis Do, Hamburg Mo, bis Di, Hamburg Gewinnen Sie mit Fortinet und WatchGuard und etwas Glück einen Apple ipod oder gar einen Apple ipad! Und so nehmen Sie an der Verlosung teil: Beantworten Sie einfach die folgenden Fragen rund um das Thema IT-Security und tragen Sie die gesuchten Begriffe in die unten stehenden Felder ein. Pro Kästchen nur einen Buchstaben, bzw. eine Zahl - Hinweise, die Ihnen bei der Lösung dienlich sind, finden Sie in den Artikeln dieser Ausgabe des Wick Hill Guardian. Das Lösungswort senden Sie bitte unter Angabe Ihres Namens, Firma und Telefonnummer, mit dem Betreff: Guardian-Rätsel per an guardian@wickhill.de Die Gewinne werden unter allen Einsendungen verlost. Einsendeschluss ist der Preisfrage: WatchGuard Fireware XTM Training (Advanced) Dieser Kurs baut auf die Themen des WCSPF3 Kurses auf und vertieft sie durch erweiterte Übungen. Der Schwerpunkt liegt auf dem praktischen Umgang mit der XTM503-Trainingsbox. Wick Hill Gewinnspiel Welcher Hersteller verstärkt seit das Wick Hill Produktportfolio? Di, bis Do, Hamburg Mitarbeiter von Wick Hill, Waggener Edstrom und den Security-Herstellern im Wick Hill-Portfolio nehmen nicht an dem Gewinnspiel teil. Der Rechtsweg ist ausgeschlossen. IMPRESSUM Wick Hill Kommunikationstechnik GmbH Hammerbrookstraße Hamburg Geschäftsführer: Kenneth Ward Eingetragen beim Amtsgericht Hamburg, HRB guardian@wickhill.de Telefon: +49 (0) Fax: +49 (0) Webseite: Redaktion: Sascha Nuszkowski (V.i.S.d.R.), Christian Reinecke, Waggener Edstrom: Julia André, Mandy Kuhl Autoren: Tom Nemitz, Helmut Feindt, Thorsten Jaeger, Helge Scherff, Nikolei Engelke, William Griebel, Julia André, Mandy Kuhl, Stefan Karl Art Direction: Christian Reinecke Einsendungen: Redaktionelle Beiträge werden gerne von der Redaktion entgegengenommen. Sie müssen frei sein von Rechten Dritter. Sollten sie auch an anderer Stelle zur Veröffentlichung oder gewerblichen Nutzung angeboten worden sein, so muss das angegeben werden. Mit der Einsendung gibt der Verfasser die Zustimmung zur Verwertung durch Wick Hill Kommunikationstechnik GmbH. Honorare nach Vereinbarung. Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Auflage September 2010: Stück Druck: LangebartelsDruck Wördemanns Weg Hamburg