Zutritt nur für. Stamm-User und Gäste

Transkript

1 Verlagsbeilage 1 08 Konzepte, Strategien und Lösungen zur Unternehmenssicherheit Zutritt nur für Stamm-User und Gäste Wie die kräftigen Frameworks für Network-Access-Control ungebetene User gar nicht erst ins Netz einlassen wollen und welche Mechanismen sie hierfür einsetzen Prognosen für 2008 Appliances für -Security Das monatliche Praxismagazin für CIOs und IT-Manager

2 EIN GENIAL EINFACHER WEG, ZU KONTROLLIEREN, WER REINKOMMT HIER IST EIN ANDERER: SOPHOS NAC Advanced einfach zu installieren, einfach anzuwenden Bei Sophos mögen wir einfache Lösungen für komplizierte Aufgaben. Darum haben wir eine zuverlässige, effiziente und trotzdem überraschend einfach anzuwendende Lösung der Netzwerk-Zugangskontrolle entwickelt, die Sie installieren können, ohne Ihre bestehende Infrastruktur zu verändern. Endlich stimmt jeder Benutzer mit den Sicherheitsbestimmungen in Ihrem Netzwerk voll überein. Egal, ob er eine interne Netzwerk-, eine LAN- oder eine Funkverbindung benutzt. Unabhängig davon, ob er an einem internen oder einem Gastcomputer sitzt. So einfach ist das. Sehen Sie selbst unter MEHR ALS 100 MILLIONEN BUSINESS-ANWENDER IN 150 LÄNDERN

3 News 3 Editorial Zahlenspiele Angaben zur Höhe des Umsatzes von Cybercrime sind rar, und die verfügbaren Werte sind erst einmal fraglich. So vertrat im September vergangenen Jahres David DeWalt auf einer Konferenz die Position, Malware erwirtschafte mit rund 105 Milliarden Dollar mehr als der internationale Drogenhandel. DeWalt ist nicht irgendwer, sondern darf als CEO von McAfee durchaus als Experte auf diesem Gebiet angesehen werden. Prompt hagelte es Kritik, die Zahl sei empirisch nicht bewiesen. Außerdem sei sie eine Kopie des Zitats von Valerie McNiven. Sie hat das Gleiche vor drei Jahren gesagt, am Rand einer Konferenz in Riad. Ein Journalist von Reuters hatte ihre Worte vernommen und McNiven zur Mitarbeiterin des amerikanischen Finanzministeriums befördert. Quasi als Ritterschlag für die Inhalte. Seit 2005 ist diese Zahl nun in der Welt. Dass McNiven später dementierte und ihre Angaben weder schlüssig erklären konnte noch wollte, war genauso wenig von Bedeutung wie die Tatsache, dass sie als Richterin lediglich als externe Consultin für das Finanzministerium tätig war. Ist die Gefahr von Cybercrime künstlich überhöht, durch aufgeblasene Zahlen, Medienhysterie und Marketing liebende Hersteller? Hier einige Angaben und Informationen aus offiziellen Quellen, die fragmentarisch zeigen, welche Qualität die Bedrohung gewonnen hat. Der CIA-Analyst Tom Donahue hat im Namen der US-Regierung am 18. Januar dieses Jahres verlauten lassen, dass Hacker gezielt gegen einige Kraftwerke im Ausland vorgegangen seien. Dies habe zu Stromausfällen geführt. Welche Länder betroffen waren, wurde nicht gesagt. Cybersource, ein weltweit tätiger Finanzdienstleister, der unter anderem Kreditkartenabrechnungen durchführt, schätzt, dass der US-Wirtschaft durch E-Commerce-Betrug 3,6 Milliarden Dollar im Jahr 2007 verloren gegangen sind. Das wäre ein Zuwachs von 20 Prozent gegenüber Und noch eine europäische Geschichte: Das offiziell als Internet-Firma tätige»russian Business Network«hat von St. Petersburg aus im vergangenen Jahr zahlreiche Cybercrime-Attacken durchgeführt. Der IT-Security-Dienstleister Verisign schätzt, dass es dieser Bande im vergangenen Jahr gelungen ist, 150 Millionen Dollar zu verdienen. Dies sind alles Fragmente, die zusammengesetzt aber verdeutlichen, welche Summen hier zu verdienen sind. Spielt es eine Rolle, ob es am Ende 105 Milliarden sind oder nur die Hälfe oder ein Zehntel? Es ist auf jeden Fall genug, um ausreichend Magnetwirkung zu entfalten und die typischen Nachahmereffekte auszulösen. Ihr Michael Piontek Inhalt News S. 4 Schwerpunkt: Network-Access-Control Roundtable Prognosen für 2008 S. 6 Zugangskontrolle Gesetzte Ansprüche an NAC S. 10 Client-Security I Sicherheit auf den Endpunkt gebracht S. 12 Client-Security II Angriffsziel Host S. 14 Network-Access-Control Das Rennen ist noch offen S. 15 Client-Security III Integrierte Absicherung mobiler Netzteilnehmer S. 16 Anwendung Mobile Endgeräte in sicheren Händen S Fragen -Security S. 22 Forum Security Service Security-Guide Die Edition für technische Entscheider S. 27 Anzeigen / Impressum S. 42 IT-Solutions Security

4 4 News Vollwertige Groupware für kleine Firmen Collaboration Für Betriebe mit bis zu 25 Mitarbeitern hat Qintec die Messaging-Appliance»Smartcom Center«konzipiert. Sie beherrscht neben Groupware- auch -Security-Dienste und organisiert das Backup aller Daten, die auf dem lokalen Fileserver abgelegt sind. Gerade in kleinen Firmen sind IT- Ressourcen knapp, weshalb Quintec bei ihrer Appliance vor allem die Installation und das spätere Management so leicht wie möglich gestalten will. Alle Features, angefangen bei den - Filtern über die Groupware bis hin zum Backup, sind daher in einer grafischen Benutzungsoberfläche verschmolzen. Die auf Linux aufsetzende, Imap- und Zuwachs bei Identitätsklau Cybercrime Der Browser ist Hauptziel professioneller Malware-Attacken geworden, mit denen die Autoren es vor allem auf Identity-Informationen ihrer Opfer abgesehen haben. Dies geht aus dem»x-forxce Security Report 2007«hervor, den das Labor X-Force von IBM (ISS) auf Basis von gesammelten Monitoring-Daten aus dem vergangenen Jahr erstellte. Der»Storm Worm«sei ein Beleg dafür. Hier haben professionelle Cracker unter anderem Toolsets auf Webseiten platziert, mit denen wiederum Dritte eigene Angriffe mit modifizierten Varianten des Storm-Worms durchgeführt haben. Diese Entwicklungen trugen dazu bei, dass die Zahl von Malware im Vergleich zu 2006 um 30 Prozent zugenommen habe. Mit 13 Prozent Anteil an der Gesamtmenge hat der Storm-Worm beträchtlich zu diesem Wachstum beigetragen. pm Pop3-fähige Box soll in wenigen Minuten betriebsbereit sein, wobei ihre Dienste sich nahtlos in Windows-Outlook integrieren sollen das bei Soho vorherrschende Mail-Frontend. Die User-Credentials importiert sie dabei per LDAP. Für die wichtigsten Funktionen hat sich Qintec aus dem Open-Source-Bestand bedient. So stammen die Groupware-Funktionen von Kerio, bei Antivirus greift Qintec auf Clam-AV, bei Anti-Spam auf Spamassassin zurück. Der Hersteller gab an, dass er über andere Kandidaten intern diskutiere. Qintec übernimmt den Support wichtiger Programmteile. Sind kritische Updates verfügbar, greift die Appliance diese per HTTP/S von Qintec-Servern ab. Frische Signaturen für die Mailfilter lädt die Box allerdings direkt von den Open- Source-Datenbanken herunter. Der lokale Fileserver hat ein Volumen von 250 GByte, wobei die Appliance per USB-Interface auch eine externe Festplatte ankoppelt. Der Administrator darf dann per Scheduler festlegen, wann die Smartcom-Center-Box alle lokalen Daten auf die externe Platte exportiert. Diese integrierte Backup-Funktion beherrscht Rotations- und Versionskontrollen, so dass die USB-Platten in die Rolle von Tapes schlüpfen können. Künftig will Qintec auch Raid-Funktionen sowie ISCSI-Features nachrüsten und externe NAS-Systeme anbinden. Die Appliance kostet rund 2000 Euro, wobei derzeit im zweiten Jahr rund 300 Euro an Maintenance folgen. pm Gewicht von Identity-Management nimmt zu Studie Bis zum Jahr 2014 wird der globale Markt für»identity- und Access-Management«(IAM) auf ein Volumen von rund 12,3 Milliarden Dollar wachsen. Dies geht aus dem jüngsten Bericht von Forrester Research hervor.vor zwei Jahren wurden den Zahlen des Marktanalysten zufolge bereits 2,6 Milliarden Dollar auf diesem Gebiet umgesetzt. Die beiden Autoren des Berichts Andras Cser und Jonathan Penn gehen davon aus, dass trotz des bereits gesunden Wachstums die Technologie gerade dabei ist, von einer breiteren Kundschaft akzeptiert zu werden. Besonders juristische Anforderungen wie Compliance zwingen Firmen, genau zu kontrollieren, wer wann und wie auf geschäftskritische Informationen zugreift. IAM-Lösungen helfen Unternehmen dabei, dies zu erreichen, indem sie die Identity-Informationen und Authentifizierungs- sowie Autorisierungsdienste zentral abwickeln. Dank der Zusammenführung wichtiger User-Credentials in zentralen Datenbanken vereinfacht IAM außerdem den Weg hin zu Single-Sign-on-Konzepten. Durch Self-Provisioning-Prozesse,die bereits in den gängigen IAM-Plattformen Standard sind,kann ein User alle seine Zugangsbelange selbst abwickeln. pm IT-Solutions Security

5 News 5 Security-Abteilungen handeln falsch Management Ein Drittel der Sicherheitspraktiken sei nutzlos.»verantwortliche müssen ihre Zeit endlich sinnvoll einsetzen«, fordert Peter Tippett auf der»computer Forensics Show 2008«. Tippett ist unter anderem Chief- Scientist beim ICSA-Lab. Seine Kritik richtet sich gegen die heutige Vorgehensweise, Sicherheitsprobleme zu lösen. So verwende die gesamte Industrie viele Ressourcen darauf, Vulnerabilities zu finden, zu analysieren und Gegenmittel zu erarbeiten.»aber nur 3 Prozent der gefundenen Schwächen werden tatsächlich ausgenutzt«, sagt Tippett. Auch die Art und Weise, wie Security implementiert wird, sei falsch. Viele Strategien Anzeige Er fordert Verantwortliche dazu auf, ihre Strategien zu überdenken, vor allem beim Patching. Denn auch wenn Systeme dadurch besser werden, sei dadurch noch keine stärkere Abwehr garantiert. Tippett empfiehlt zudem, einige Standardfunktionen zu aktivieren, beispielsweise Default-Filterregeln auf dem Router wie»default deny für Outbound-Verkehr«. Auch Anwenderschulungen hält er für extrem sinnvoll, auch wenn sie eine schlechte Reputation haben. pm Peter Tippett, Chief-Scientist beim ICSA-Lab und Vice-President of Risk-Intelligence bei Verizon Halle 12 Stand B 46 konzentrierten sich darauf, einen einzelnen Computer zu schützen statt eine Gruppe aus Rechnern. Außerdem setzten Verantwortliche nur auf Produkte, die von sich aus ein extrem hohes Abwehrniveau garantieren. Wenn ein Produkt geknackt werden kann, wird es nicht eingesetzt.»autogurte verhindern Verletzungen nur in 50 Prozent der Fälle. Käme jemand auf die Idee, sie aus diesem Grund als nutzlos zu deklarieren«, fragt Tippett. IT-Solutions Security

6 6 Roundtable Sichere Empfehlungen Malicious-Code In den vergangenen Jahren waren Malware-Autoren extrem erfolgreich. Das wird sich in diesem Jahr ungebrochen fortsetzen. Schuld daran tragen wir alle, die Anwender, die Industrie, die Presse. Die Lage wäre weitaus günstiger, würden die aktuell verfügbaren Konzepte richtig oder überhaupt eingesetzt, insbesondere Managed-Services. Wer in den detaillierten Threat-Reports führender Anti-Malware-Hersteller blättert, dem drängt sich der Eindruck auf, dass Malware einen bisher nicht gekannten Siegeszug genießt. Ein guter Anlass, Hersteller auf dem Gebiet IT-Security an einen runden Tisch zu laden und mit ihnen die Ursachen zu ergründen. Mit Klaus Lenßen von Cisco, Markus Nispel von Enterasys Networks, Wirk Römmelt von Finjan, Isabell Unseld und Toralv Dirro von McAfee sowie Michael Haas von Watchguard haben sich sechs Vertreter gefunden, die einen Blick zurück und vor allem einen Blick nach vorn wagten. Roland Hamann, Regional-Director Central & Eastern-Europe bei Imperva, nahm im Nachhinein schriftlich Stellung zu den Diskussionspunkten. Die Cybercrime-Branche hat aus wirtschaftlicher Sicht ausgezeichnete zwei Jahre hinter sich. Auf eine Erklärung, warum es weder Herstellern noch den Anwendern gelungen ist, dieses kriminelle Gebaren zumindest zu lähmen, konnten und wollten sich die Teilnehmer nicht einigen. Zu viele Faktoren tragen ihren Teil zur Lage bei, wobei die Teilnehmer zu Beginn in typische Erklärungsmuster verfielen.»bei der Entwicklung von Anwendungen ist oft die Sicherheit ein `After-Thought`. Wir versuchen also auch Probleme zu beheben, die durch Applikation erst hervortreten«, sagte etwa Markus Nispel von Enterasys. Schwarzen Peter spielen Die Hauptschuld trügen die Anwender, vor allem ungeschulte Consumer-User. So sahen es Toralv Dirro von McAfee sowie Klaus Lenßen von Cisco.»Der geringste Teil der heutigen Probleme hat mit Schwachstellen in Applikationen zu tun, der Großteil nutzt Features, die aktuelle Systeme und Netzwerke mit sich bringen. Diese sind von den Anwendern gewollt, verursachen aber zahlreiche Probleme«, so Dirro.»Ich denke, die Security-Verantwortlichen haben versagt. In Gesprächen kommt immer ein Aspekt auf: Wo ist der Return-on-Invest? Einige warten lieber auf den `Big-Bang` als präventiv einzugreifen.«, klagt Roland Hamann von Imperva.»Ich würde den schwarzen Peter auch in Richtung Schreibende Zunft schieben. Da werden Bits und Features gegeneinander verglichen, die aber nicht zwingend etwas miteinander zu tun haben. Leider wurden so übergreifende, integrierte Lösungsansätze und deren geschäftlichen Nutzen kaum betrachtet. Das sorgt für Konfusion beim Kunden«, sagt Lenßen. Typische Beißreflexe zu Beginn, die, ob zu Recht oder Unrecht, nach allen Seiten hin zielten, außer in die eigene Richtung.»Die Security-Industrie hat grundsätzlich versagt. Denn es ist unsere selbst gewählte Aufgabe, etwas gegen Malware zu tun haben wir dieses Ziel schlecht erreicht«, sagt Römmelt kritisch. Er weigerte sich, die alten Lieder zu singen:»man kann immer sagen, der Anwender sei Schuld. Aber ist es nicht Aufgabe unserer Industrie, dessen unliebsame Gegebenheiten und geringes Wissen zu kompensieren? Wir müssen doch Systeme entwickeln, die Unternehmen erlauben, mit den Anwendern richtig umzugehen und auch die Unbedarften zu schützen. Leider haben wir hierfür keine neuen Konzepte entwickelt.«it-solutions Security

7 Kombination aus Bewährtem Dass die Anti-Malware-Industrie tatenlos war, wollte Dirro von McAfee nicht unterschreiben:»beim Virenschutz sind längst andere Komponenten standardmäßig integriert wie die Desktop-Firewall. Wir gehen verstärkt dazu über, verschiedene verfügbare Technologien zu kombinieren, die zu Beginn andere Ziele hatten. Das Vulnerability-Management beispielsweise wird nun mit dem Virenscanner verbunden.das Neue ist die Kombination und keine neue Technologie an sich«, ergänzt Römmelt.»Ich sehe auch, dass die Kombination verschiedener Tools und das Ausreizen des bestehenden Potenzials uns noch weit voranbringen werden. Wir dürfen uns aber vorwerfen, dass wir dies weder dem Kunden, dem Vertriebspartner noch dem Systemintegratoren mit einfachsten Mitteln ermöglichen und sauber kommuniziert haben.«, so Nispel.»Es nützt nichts, dem deutschen Mittelstand noch eine Technologie an die Hand zu geben. Viele Firmen haben zum großen Teil noch kein Identitätsmanagement, vernünftige, umfangreiche Spam-Abwehr und Lösungen für andere Probleme implementiert, die seit Jahren existieren.wir sollten erstmal anfangen, vorhandene Technologien bestmöglich einzusetzen, statt den Firmen die nächste, die zehnte, die hundertste Technologie an die Hand zu geben«, fordert Haas. Ob aber eine Kombination bestehender Technik und gute Aufklärung reichen, um Malware in den Griff zu bekommen? Zumal Gespräche mit Chief-Technology-Officers von Anti- Malware-Herstellern zeigten, dass die Experten selbst davon ausgehen, den Kampf gegen die Schädlinge zumindest auf Code- und Desktop-Seite zu verlieren. Das Interesse der Angreifer ist eindeutig finanziell motiviert und ihr Handwerk dadurch zunehmend professionalisiert.»diejenigen Web-Anwendungen, aus denen die Kriminellen Kunden- und Kreditkartendaten stehlen können, werden sie weiter gezielt attackieren. Hier hat sich bereits ein funktionierender Markt etabliert, auf dem Geld fließt, beispielsweise für Kreditkartennummern«, weiß Hamann.»Die Malware-Autoren haben immer das Überraschungsmoment auf ihrer Seite. Sie genießen einen Wissensvorsprung, weil sie auf unsere neuesten Schutztechnologien, Signaturen etc. zugreifen können. Wir müssen uns damit abfinden, dass wir nicht alles von vornherein erkennen werden. Es werden Sachen durchkommen. Wir müssen also auch organisatorische Maßnahmen einleiten, um Infektionen zu isolieren. Es funktionieren übrigens schon einfache Mittel. Ein typischer User dürfte beispielsweise niemals administrative Rechte besitzen. Das allein würde derzeit um die 90 Prozent aller Trojaner ad absurdum führen«, so Dirro. Während große Unternehmen diese Strukturen sowohl auf Produkt- als auch auf organisatorischer Seite bereits geschaffen haben und im Alltag nutzen, mangelt es an diesen immer mehr, je kleiner die Firma wird.»je geringer die Unternehmensgröße, desto häufiger ist das Malware-Problem. Die dortige IT- Abteilung ist zu schwach besetzt und oft dafür nicht ausgebildet«, weiß Dirro. Verantwortung delegieren Wirk Römmelt, Finjan»Die Security-Industrie hat grundsätzlich versagt, denn es ist unsere Aufgabe, etwas gegen Malware zu tun.«roundtable 7 Die Teilnehmer des Forumsgesprächs Klaus Lenßen, Senior-Business-Development-Manager Security, Cisco Markus Nispel, Director Solution-Architecture, Enterasys Wirk Römmelt, Team-Manager Channel- and Corporate- Sales CEE, Finjan Roland Hamann, Regional-Director Central & Eastern- Europe, Imperva Toralv Dirro, Security-Strategist bei den Avert-Labs E/ME/A, McAfee Michael Haas, Regional-Sales-Manager D/A/CH, Watchguard»Ich schiebe wieder der Presse den Schwarzen Peter zu. Sie hat es mehr als zehn Jahre versäumt, den Firmen zu erklären, dass es Dienstleister gibt, die diesen Job adäquat leisten können. Security-Outsourcing ist hier absolut verteufelt worden.«, kritisiert Lenßen.»Firmen sollten die Einrichtung und Verwaltung der Sicherheitsmassnahmen beispielsweise einem Service-Provider überlassen, wenn die notwendigen Kompetenzen im Unternehmen nicht verfügbar sind. Da müssen wir hinkommen.managed-services werden eine Renaissance erfahren.«, prognostiziert Hamann.»Ein großer Mittelständer ist aber gar nicht in der Lage herauszufinden, wie er in Bezug auf Organisation und eigene Prozesse aufgestellt ist. All diese Dinge müssen dokumentiert sein. Denn Outsourcing bedeutet, dass ich klare Schnittstellen, Prozesse, Verantwortungsabgrenzungen definiere«, kritisiert Nispel.»Wir reden keineswegs über ein komplexes SAP-Outsourcing. Wir sprechen über Spam und ein Antivirus-Kit, das vernünftig gepflegt sein will. Und wir sprechen von einer Firewall, die klug administriert wird. Würde jeder Mittelständler, dem die nötigen Ressourcen fehlen, diese Dinge an einen Managed- Service-Provider auslagern, wären wir mit Sicherheit einen Großteil unserer Probleme, die wir hier heute diskutieren, los«, so Lenßen.»Ein Service-Provider, obwohl er mehr Wissen, Experten und Kompetenzen bündelt, setzt am Ende aber auch die gleiche Security-Technologie ein. Eine neue Malware wird doch auch beim IT-Solutions Security

8 8 Roundtable MSP einfach durchrutschen, so dass dessen Kunde in gleichem Maß einer Infektion ausgeliefert wäre«, behauptet Römmelt.»Als technische Antwort ist das absolut richtig, aber nicht als Marktantwort. Wir müssen den Mittelstand dazu bringen, dass er Security ernsthaft betreibt. Sei es über tägliches Propagieren über die Presse oder über Ansätze wie Managed-Security. Denn so können wir möglicherweise 90 Prozent der Vorfälle abdecken. Damit wäre schon viel erreicht«so Haas. Markt muss anders denken und agieren Michael Haas, Watchguard Toralv Dirro, McAfee»Wir sollten erst einmal anfangen, vorhandene Technologien bestmöglich einzusetzen, statt den Firmen die hundertste Technologie an die Hand zu geben.wir müssen uns damit abfinden, dass wir nicht alles von vornherein erkennen werden.«managed-services fehle es aber an Akzeptanz in Deutschland, das liege an der Mentalität und Kultur.»In den USA beispielsweise wird das Thema durchweg positiv wahrgenommen«, sagt Nispel.»Wir brauchen hierzulande die Consultants, die als Sprachrohr in die Unternehmen gehen und diese Services propagieren. Und wir brauchen solche Leute wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) die hier unterstützend tätig werden und darüber aufklären, dass Security-Outsourcing keineswegs Teufelszeug ist«, fordert Lenßen.»Wenn alle Hersteller ein Jahr darauf verzichten, die Features der Produkte zu bewerben, und anstelle dessen das Thema Managed-Security stärker positionierten, wäre der Sicherheitslandschaft in Deutschland sehr geholfen.wir müssen die Akzeptanz für das Thema unbedingt verbessern, weil die Technologien dahinter von den professionellen Managed-Security-Providern ohnehin automatisch umgesetzt würden, weil die Dienstleister ihre Vorteile sofort erkennen«, prognostiziert Haas.»Auch für Partner ist das ein weiteres Geschäftsmodell. Die großen Unternehmen wie IBM Global Services oder HP leben davon. Für kleinere Reseller sind solche Services eine Möglichkeit, sich gegenüber anderen Partnern abzugrenzen. Sie können dann nicht nur die Firewall für 1500 Euro im Projekt platzieren, sondern sie gleich managen und das IPS oder die Antiviren-Lösung gleich mit positionieren und managen. Derzeit kämpfen die Partner lieber gegeneinander über den Preis. Bei Managed-Services und weiteren Dienstleistungen haben Partner eine Chance, zusätzlichen Umsatz bei guter Marge zu erwirtschaften. Auf der anderen Seite müssen sie sich weniger dem Verdrängungswettbewerb stellen«, sagt Dirro.»Wir sehen das auch bei uns auf der Partnerbasis. Gerade mittelständische Partner zwischen 50 und 200 Mitarbeitern haben sich auf den Betrieb des Kundennetzes verlegt. Sie sind mit dem Kunden auf Augenhöhe«, sagt Nispel.»Wir haben bereits einen Partnerstatus eingeführt werden wir beim Thema Managed-Security nachlegen«, verspricht Haas.»Wir erleben, dass es von Resellern, die nur reinen Produktvertrieb abwickeln, immer weniger geben wird wie in allen Bereich der Wirtschaft. Als solcher Reseller besitze ich keinen Alleinstellungszweck mehr, denn ich agiere wie ein Online-Shop. Der Ausweg sind zusätzliche Dienstleistungen«, sagt Römmelt. Dass der Markt derzeit aber völlig anders funktioniert, wissen die Hersteller.»Der Kunde kommt zum Reseller und fragt nach einer Firewall, obwohl er ein ganz anderes Problem hat. Der Partner fragt nach dem Budget. Für 1500 Euro ist nur jene Lösung zu haben. Die geeignete Lösung kostet leider 2700 Euro. Wenn ein Reseller diese Situation nicht anspricht, bleiben wir auf dem Stand von heute«, befürchtet Lenßen.»Wir müssen die Akzeptanz für Dienstleistung, Beratung und Consulting im Bereich Security steigern. Der überwiegende Anteil der Reseller, gerade im kleineren Bereich, nimmt das Budget, packt Produkte hinein, kalkuliert vielleicht noch die Anfahrt, und das war es dann«, sagt Haas.»Auch die Visualisierung dessen, was ein Kunde durch die Investition in Sicherheit erreicht hat, ist zurzeit nicht möglich. Das wäre unsere Aufgabe. Ich spreche bei Kunden von der Analogie zur Warnanlage. Das rote Blinklicht im Flur geht an, wenn jemand versucht, durch die Eingangstür ins Gebäude einzudringen. Bei einer Firewall würde ein solches Licht kontinuierlich aufleuchten, da täglich ungleich mehr Angriffe über das Internet durchgeführt werden. Solche Signalsymbole wären sicherlich bei vielen Anwendern wichtig, damit sie die positiven Effekte einer IT-Security-Investition besser wahrnehmen«, so Haas.»Viele sehr kompetente Vertriebspartner in Deutschland würden liebend gerne sehr gut beraten, weil sie natürlich damit Geld verdienen. Aber finden Sie erstmal einen Kunden, der bereit ist, für Dienstleistung Geld auszugeben. Viel lieber wird auf Standardlösung aus dem Regal ausgewichen. Wir alle, der Channel ganz genauso wie wir als Hersteller und die Presse, müssen mehr Akzeptanz für Dienstleistung schaffen«, fordert Römmelt. Schließlich ist die Lage bei der Malware für sich schon kompliziert genug. Es erfordert die Anstrengung aller, damit wir den Abstand zu den Cyberkriminellen verkürzen. Michael Piontek IT-Solutions Security

9 pure security Und wie schützen Sie sich? Neue UTM-1 Appliances von Check Point: Maßgeschneiderte Internetsicherheit für Ihr Unternehmen Einfachheit in Perfektion Die israelische Firma Check Point, einer der Marktführer für IT-Sicherheit, bietet praxisbewährte All-in-one -Lösungen mit perfektem Rundumschutz: Leistungsstarke und leicht zu handhabende Plug &Play-Security-Lösungen mit zentralem Sicherheitsmanagement Viele Features jenseits der traditionellen UTM-Linie von der Firewall bis hin zur VoIP-Security Maßgeschneiderte Lösungen für jede Unternehmensgröße Intuitiv zu bedienende Web-Management- Benutzeroberfläche Ein weltweit führendes Netzwerk von Security-Experten für höchste Qualität und Sicherheit 100 %der Fortune 100-Unternehmen nutzen uns. TunSie es auch. Ausführliche Informationen unter oder senden Sie eine an Worauf warten Sie? Bringen Sie Ihr Unternehmen in Sicherheit Check Point Software Technologies Ltd. All rights reserved. Check Point, the Check Point logo, UTM-1, SmartDefense, and NGX are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates.0

10 10 Schwerpunkt Gesetzte Erwartung an NAC Zugangskontrolle Nahezu der gesamte Security-Markt hat sich der Idee Network-Access-Control (NAC) verschrieben. Nach all den Investitionen in Werbung und Entwicklung ist es für NAC fast zwingend, in diesem Jahr Erfolge zu schreiben. Der sichtbarste Beleg für die Bedeutung von NAC ist das Engagement sämtlicher führender Switch-Anbieter. Cisco und Enterasys mal ausgenommen, weil beide als Pioniere dieses Thema ohnehin als Erste propagierten. Auch bei 3Com, Alcatel-Lucent, HP Procurve, Extremem, Foundry und nun auch Juniper ist die Disziplin Sicherheit eine der tragenden Säulen der eigenen Netzwerkstrategie. Und Sicherheit heißt bei Infrastrukturanbietern immer Autorisierung, Authentifizierung und Accounting mit Einbinden des Switch-Ports, damit also Grundfunktionen in jedem erwachsenen NAC-Konzept. Der Marktforscher IDC hat in seiner Studie aus dem Sommer des vergangenen Jahres festgestellt, dass Unternehmen NAC vor allem deswegen auf dem Schirm haben, um die vielen Endpoints und Gäste in ihrem zunehmend löchriger werdenden Corporate-Netz in den Griff zu bekommen. Dafür wollen sie auch Geld in die Hand nehmen, wie das Papier»Network Admission Control: Organizations Get the Knack for NAC«ausweist. Darin schätzt IDC, dass der Markt von 2005 und einem Volumen von 526 Millionen bis 2010 auf 3,2 Milliarden Dollar wachsen werde. Ein großer Kuchen, vom dem auch die Anbieter von Security-Software ein Stück für sich beanspruchen wollen. Jeder Einzelne, der im Business-to- Business-Bereich etwas auf sich hält, hat seine Client-Software um einen NAC- Agent oder entsprechende -Funktionen und -Protokolle erweitert. Das Feld ist bestellt, zumal Microsoft sich endlich dazu durchgerungen hat, einen festen Termin für den Launch des lang angekündigten Longhorn-Projekts zu nennen. Ende Februar soll der Windows-2008-Server das Licht der Welt erblicken und die elementaren Komponenten in Microsofts eigenem NAC liefern. Damit wird das Thema auch für den Mittelstand interessanter. Er bekommt alle Komponenten beim Kauf der entsprechenden Plattformen quasi kostenlos dazu. Bremsende Faktoren Wo viel Licht ist, da ist auch Schatten. Analysten wie die Gartner Group haben vor allem zu Beginn der NAC-Marktentwicklung darauf hingewiesen, dass die Implementierung eines auf Switches basierenden Frameworks Ende zu Ende sehr teuer sein würde. Denn vor allem in heterogenen und älteren Netzwerken sind Switches implementiert, die das 802.1X-Verfahren bisher nicht beherrschen. Sie müssten im Ende-zu-Ende-Konzept ausgetauscht werden, denn das Verfahren ist zwingend nötig. Mit 802.1X blockiert der Switch den Host am Port solange, bis der User seine Authentifizierungs-Credentials mit einer übergeordneten Userdatenbank abgeglichen hat. Zeitgleich wird eine Analyse des Client-Rechners durchgeführt. Erst wenn Userpasswort und der Status des Rechners ein definiertes Niveau einhalten, sei es eine aktualisierte Virendatei, darf der Mitarbeiter uneingeschränkt auf seine ihm zugewiesenen Ressourcen zugreifen. Schlägt diese Analyse aus irgendeinem Grund fehl, wird der User heute meist per Popup darüber aufgeklärt, dass ihn das Netzwerk in einer Quarantäne isoliert hat. Dort wird er bei guten Projekten von dem Helpdesk betreut oder durchläuft automatische Remediation-Prozesse, in deren Zug beispielsweise die aktuelle Signaturdatei des Anti-Malware-Scanners aufgespielt wird. Soweit das Grundprinzip der integritätsabhängigen Zutrittskontrolle. Die Implementierung von 802.1X funktioniert in der Praxis aber alles andere als reibungslos. Erst einmal sind an jedes Netzwerk Dutzende, wenn nicht Hunderte von Geräten angebunden, die die im 802.1X beschriebenen Abfrageprotokolle wie EAP nicht beherrschen. Dazu gehören Printserver genauso wie Videokameras oder einige VoIP-Telefone. Andere Geräte verstehen traditionelle Authentifiziertungsverfahren wie Radius, mit denen der Großteil der Switches wiederum nicht interagiert. Wer beispielsweise gehofft hat, ein einheitliches Verfahren für die Endpoint- Validierung durchsetzen zu können, wird schnell enttäuscht. Daneben hat sich auf dem Markt die Idee der Ge- IT-Solutions Security

11 Schwerpunkt 11 sundheitschecks und der Integritätskontrolle noch nicht durchgesetzt. Das hat mehrere Gründe. Bislang sind sich die Experten konzeptionell noch nicht einig, welche Aspekte und Parameter die Integrität eines Clients am besten wiedergeben. Wie viele Anwendungen, Versionen, Bedingungen und Lokationsabhängigkeiten sollen einfließen? NAC-Projekte legen außerdem schmerzhaft offen, wo eine Firma an anderer Stelle Nachholbedarf hat. Dies gilt insbesondere für das Identity- und Access-Management, in dessen Rahmen immer Anwenderprofile konsolidiert und vor allem Rollen definiert werden. Fehlen diese zentrale Instanz und saubere Architektur, wird ein unternehmensweites NAC-Projekt zu einem echten Abenteuer. Kleine Schritte Diese vielen mehr oder weniger hohen Hürden haben viele Unternehmen davon abgehalten, den großen NAC-Wurf zu wagen. Es erinnert ein wenig an die Geschichte von Public-Key-Infrastrukturen. Auch sie galten als das Wundermittel, um die Sicherheit und Vertrautlichkeit sämtlicher Daten und damaligen Kommunikationswege zu garantieren. Wer sich auf das versprochene volle Potenzial einließ, ist mit seinem Projekt an der Komplexität gescheitert. Dies soll mit NAC nicht geschehen. Ein Beleg hierfür ist wieder im Portfolio von Cisco zu finden. Der Hersteller ist mit einer Zwischenlösung auf den Markt gegangen: einer NAC-Appliance. In diesem Ansatz liegt viel Charme, wobei eine ganze Reihe von Herstellern ihn inzwischen verfolgt. Darunter sind so prominente Namen wie 3Com und Juniper, aber auch Startups wie Consentry. Eine NAC-fähige Appliance ist der einfachste Einstieg in diese Welt. Sie kann in Bereichen wie dem Gast-Access eingesetzt werden, um diese fremden User im eigenen Netz zu isolieren. Die Appliances haben ihre Wurzeln im SSL-VPN-Bereich, wo sie bereits eine Reihe von Client-Checks durchführten und auf deren Basis Access-Policies durchsetzten. Diese Checks waren bereits in downloadbaren Applets eingebettet, die auf Java- oder Active-X-Basis vor allem Windows-Hosts durchleuchteten. Der irritierender Weise als agentless bezeichnete Ansatz eignet sich ideal für Gast-User, externe Geschäfts- und Dienstleistungspartner, die natürlich einem Scan ihres Clients zustimmen müssen. Dies kann ein Unternehmen aber im Zug der Geschäftsvereinbarung einfordern. Die Appliances können NAC auch in sensible Netzsegmente einbinden, in denen beispielsweise noch kein 802.1X-fähiger Switch implementiert ist. Sie sind damit geeignet, diesen Frameworks Schritt für Schritt Eintritt auf Netzwerkebene zu verschaffen. Zugleich bleibt der Weg zu einem NAC auf Switch-Basis weiter offen. Michael Piontek IT-Solutions Security

12 12 Schwerpunkt Sicherheit auf den Endpunkt gebracht Client-Security Check Point ist durch die Akquisition von Pointsec Mobile Technologies zum weltweit führenden Anbieter von Datensicherheitslösungen für mobile Endgeräte geworden. Dass die Absicherung dieser so genannten»endpoints«immer mehr Bedeutung gewinnt, bestätigen nicht zuletzt auch renommierte Analysten. Laut der Gartner Group stiegen allein im vergangenen Jahr die weltweiten Investitionen in IT-Produkte um 8 Prozent auf 3,1 Billionen Dollar. Für 2008 wird ein Zuwachs von 5,5 Prozent auf 3,3 Billionen erwartet. Dabei werden sich, so die Marktforscher, die Ausgaben der Anwender weiter in Richtung Software, IT-Dienstleistungen und Produkte rund um das Gebiet»Mobility«verschieben. Entfielen in 2007 bereits 57 Prozent des Umsatzes auf diese Marktsegmente, so sollen es in diesem Jahr beachtliche 60 Prozent beziehungsweise rund 2 Billionen Dollar sein.»davon macht natürlich der Anteil, der auf Sicherheitslösungen für mobile Endgeräte entfällt, nur einige Prozente aus«, weiß Petra Jenner, Geschäftsführerin von Check Point in Ismaning.»Doch als Anbieter solcher Produkte spüren wir deutlich, wie dieser Markt anzieht und dass die Absicherung von USB-Sticks, Handys, PDAs oder Smartphones beim Kunden zunehmend thematisiert wird.«kleine Träger großer Datenmengen Zu Recht, wie eine im Juni 2007 von Check Point bei 200 führenden europäischen IT-Verantwortlichen durchgeführte Studie ergab. Danach nehmen 81 Prozent der Befragten Daten und Dateien mit nach Hause, um dort ihre Arbeit fortzusetzen. Bevorzugtes Transportmedium für die meist sensiblen Geschäftsinformationen sind für 31 Prozent der Mitarbeiter USB-Sticks. Der Grund hierfür liegt im wahrsten Sinne auf der Hand: USB-Sticks sind besonders komfortabel, denn sie bieten inzwischen enorme Speicherkapazitäten und sind dabei sehr klein. Beides Eigenschaften, die sie wie viele andere, mobile Endgeräte auch gleichzeitig gefährlich machen. Ein Speicherplatz von 16 Gigbyte und mehr erlaubt das Kopieren und Transportieren sehr großer Datenmengen. Die Gerätegröße von nur einigen Zentimetern wiederum führt dazu, dass USB-Sticks und andere mobile Devices leicht verloren gehen oder entwendet werden können. Wie hoch dieses Risiko tatsächlich ist, unterstreicht eine weltweite Studie von Gartner aus 2006: Danach stehen nur rund 25 Prozent aller bekannt gewordenen Datendiebstähle in Zusammenhang mit Angriffen auf Unternehmensnetze. Dagegen werden 60 Prozent der Datensicherheitsverstöße mit verloren gegangenen oder gestohlenen mobilen Endgeräten in Zusammenhang gebracht.»spätestens, wenn die genutzten Endgeräte über eine gewisse Intelligenz verfügen, also zum Beispiel PDAs für das Abrufen und Bearbeiten von s genutzt werden, kommt das Thema Datensicherheit ins Spiel«, so Jenner.»Hierfür haben leider nur wenige Anwender ausreichend Bewusstsein.«Schutz verstärken durch Datenverschlüsselung Daher möchte Check Point nicht zuletzt auch zu mehr Sensibilität im Umgang mit»firmendaten für unterwegs«beitragen und stellt entsprechende Lösungen für die Absicherung mobiler Endgeräte bereit. Mit»Pointsec PC«,»Pointsec Mobile«und»Pointsec Protector«bietet der Sicherheitsspezialist gleich drei Produkte an, die durch eine Kombination aus starker Datenverschlüsselung mit stringenter Datenzugriffskontrolle für den bestmöglichen Schutz mobil genutzter Endgeräte und Geschäftsinformationen sorgen. Die Lösungen können von der kompletten Festplattenverschlüsselung über Port- Management bis hin zur Verschlüsselung diverser mobiler Datenträger eingesetzt werden und unterstützen jedes gängige Betriebssystem. Über das»check Point SmartCenter«kann darüber hinaus die Verschlüsselungs-Policy für sämtliche im Unternehmen genutzten Pointsec-Produkte zentral aufgesetzt und damit sehr effizient administriert werden. Christiane Jacobs Kontakt Check Point Software Technologies GmbH Fraunhofer Straße 7, Ismaning Tel.: +49(0) IT-Solutions Security

13 Willkommen in der Welt von phion phion netfence sorgt dafür, dass Ihre Unternehmenskommunikation durch verschiedenste Bedrohungen nicht mehr lahm gelegt werden kann und relevante Daten immer ihr Ziel erreichen. Besuchen Sie uns auf der CeBIT 2008! Security World Halle 6, Stand G16/G24

14 14 Schwerpunkt Angriffsziel Host Client-Sicherheit Der Endpunkt gewinnt vor allem dadurch Bedeutung, dass er zum Sitz wertvoller Daten geworden ist. Hier werden sie ausgepackt, dargestellt, geändert und abgelegt. Das hat zur Folge, dass er immer mehr ins Visier moderner Attacken gerät. Ein Sicherheitsrisiko für Endpunkte ist die an sich erfreuliche Verbreitung kostengünstiger WLAN- und UMTS-Zugänge. Für die schnelle und leichte Webanbindung sind Mitarbeiter oftmals gern bereit, installierte Firewalls, Antiviren-Scanner und URL-Filter außer Kraft zu setzen. Damit liefern sie das System beliebigen externen Angriffen aus. Ebenso verhält es sich mit Datenpfaden, die User oft zu privaten Zwecken verwenden. Darunter fallen beispielsweise Bluetooth-, Firewire- oder USB- Ports. Effizienten Schutz kann angesichts dieser Gefahren nur der Einsatz von Endpoint-Security-Clients realisieren. Dabei sollte das Abwehrtool auf dem Host den Zustand des Arbeitsplatzes laufend überprüfen und Policy-Vorgaben des Unternehmens umsetzen. So kann der IT-Verantwortliche beispielsweise durch Deaktivieren der drahtlosen Kommunikation am Arbeitsplatz den Datenexport verhindern. Bei Bedarf könnte er es dem User dagegen erlauben, diesen Datenpfad wieder zu nutzen, sei es während Dienstreisen. Ziel der IT-Sicherheit muss dieses übergreifende»network Access Control«-System (NAC) sein, das nur Policy-konformen Clients die volle Teilnahme am Unternehmensnetz gewährt. Gleichzeitig bedeutet der Einsatz von NAC- Lösungen eine Herausforderung an Struktur und Organisation eines Unternehmens. Zentral gesteuertes Gegenmittel Mit»netfence entegra«präsentiert Phion eine Lösung, die im Wissen um die Komplexität dieses Themas entwickelt wurde. Sie bietet leistungsstarke und effiziente Funktionen für Endpoint-Sicherheit und Network-Access-Control, die die Endpoints innerhalb und außerhalb des LANs schützen. Das Produkt unterstützt zentrales Management sowie eine zentrale Verteilung von Policies. Es gestattet mehrere Zustandsprüfungen des Clients vor der Verbindung sowie in regelmäßigen Abständen nach der Verbindung. Darüber hinaus beherrscht das Tool Funktionen zur Beseitigung von Bedrohungen am Endpoint selbst. Auf diese Weise macht das Werkzeug die Implementierung eines Network-Access-Control-Frameworks ohne teure Investitionen in die grundlegende Netzwerk-Infrastruktur möglich. Entegra fügt sich nahtlos in eine vorhandene, auf Netfence basierende UTM-Infrastruktur ein. Somit werden Clients und Policy-Server vollständig von einem Netfence- Management-Centre administriert, überwacht und überprüft. Ein Online- Update-Service von Phion hilft Entegra- Kunden, ihre Antiviren- und Antispyware-Produkte anzusteuern und zu aktivieren. Sie können über diesen Pfad ebenfalls diagnostizieren, ob die Signatur-Datenbanken auf neuestem Stand sind. Das Werkzeug umfasst zwei verschiedene Versionen: Der»entegra office«-client ermöglicht es, Sicherheitsrichtlinien für Endpoints innerhalb des Unternehmensnetzwerks einfach zu verwalten und durchzusetzen. Er bietet einen starken Firewall-Schutz für Managed-Desktops und wiederkehrende Zustandskontrollen am Client, um eine fortwährende Übereinstimmung mit den Richtlinien sicherzustellen. Der»entegra global«-client ist die ideale Lösung, um Laptops innerhalb und außerhalb des Netzwerks zu schützen. Er vereint den auf Netfence-VPN basierenden Fernzugriffsschutz, der bestmögliche Konnektivität sicherstellt, mit den umfangreichen Prüfungen zur Richtlinieneinhaltung und der Fähigkeit des Entegra-Frameworks, Bedrohungsrisiken zu reduzieren. Michael Zajusch, Area-Sales-Director bei Phion IT-Solutions Security

15 Schwerpunkt 15 Das Rennen ist noch offen Network-Access-Control Sascha Pfeiffer, NAC- Business-Development-Manager bei Sophos, zum derzeitigen Status von NAC und mit einer Prognose für die kommenden fünf Jahre. Sascha Pfeiffer:»NAC ist den Kinderschuhen definitiv entwachsen.«it-solutions: Wie beurteilen Sie den Reifegrad von NAC-Konzepten? Sascha Pfeiffer: NAC ist im Lauf des Jahres 2007 den Kinderschuhen definitiv entwachsen. Die Systeme sind ausgereifter geworden. IT-Solutions: Haben Anwender in Deutschland das Konzept»NAC«verstanden? Pfeiffer: Die IT-Experten wissen bereits länger, was sie von NAC zu erwarten haben. Da es sich bei NAC allerdings nicht nur um eine technische Lösung handelt, sondern um eine umfassende Sicherheitsarchitektur, greift der technische Ansatz zu kurz. Hersteller wie Sophos leisten daher verstärkt Aufklärungsarbeit in Sachen NAC, auch für Entscheider, die sonst mit Technik weniger befasst sind. Hierin wird die Aufgabe der Anbieter in diesem Jahr bestehen. IT-Solutions:Welchem Framework räumen Sie bei NAC die größten Chancen ein, CNAC, NAP oder TCG/TNC? Pfeiffer: Das Cisco-NAC-Framework tritt immer mehr in den Hintergrund, da Cisco selbst straff in Richtung Self- Defending-Network 3.0 geht. Und das ist nur sehr bedingt als Framework zu bezeichnen. Microsoft wird im Sommer das NAP-Programm offiziell starten, wenn Windows-Server 2008 und das Windows-XP-Service-Pack 3 ausgeliefert werden Vista ist bereits verfügbar. Damit sich Trusted-Network-Connect TNC, das von der Trusted-Computing-Group ins Leben gerufen wurde, als echter Standard etablieren kann, ist es eigentlich erforderlich, dass auch Cisco mit dabei ist. Das ist aber derzeit nicht sehr wahrscheinlich. Jedes der genannten Frameworks hat also noch mit Hindernissen zu kämpfen, so dass das Rennen noch offen ist. IT-Solutions: Kann ein einzelner Hersteller alle Aspekte von Network-Access- Control abdecken? Pfeiffer: NAC ist ja mehr als»ein Stück«Software oder»ein Stück«Hardware. Die Schwerpunkte liegen je nach Herkunft auf gewissen Bereichen: Endpoint-Software, Enforcement-Appliances, 802.1x-Supplicants, Radius-Server, Policy-Server und anderen. So sind reine Appliance- üblicherweise keine Endpoint-Software-Hersteller nötig für lokale Zustandskontrolle. IT-Solutions: Welche Kriterien muss eine NAC-fähige Lösung erfüllen, um heute und künftig Unternehmensanforderungen zu genügen? Pfeiffer: Eine NAC-Lösung muss skalierbar sein, das heißt, nicht nur mit der Zahl der Endgeräte, sondern auch mit den Ansprüchen in puncto Flexibilität und Mobilität mitwachsen können. Weiterhin sollte sie auf offene Standards wie Radius setzen, um größtmögliche Kompatibilität auch in heterogenen Installationen zu gewährleisten. Software-Lösungen punkten hier eindeutig gegenüber auf Hardware basierenden Lösungen durch leichtere Update- Fähigkeit und damit längere Lebenszyklen. IT-Solutions: Welche Fragen organisatorischer Natur sollten Unternehmen von vornherein unbedingt klären? Pfeiffer: Da eine Vielzahl von IT-Systemen für NAC zusammenspielen muss, empfehlen wir in jedem Fall, ein Team zu bilden, das sich aus Mitarbeitern für Security, Desk-Support, Netzwerk und Desk-Engineering zusammensetzt. So müssen beispielsweise IT-Prozesse für Quarantäne und Remediation aufgesetzt werden. Generell ist natürlich vorab auch mit anderen zuständigen Mitarbeitern oder Entscheidern zu klären, welche Sicherheitsniveaus erforderlich sind und welche Richtlinien dafür eingehalten werden müssen. IT-Solutions: Wie weit ist Ihr Channel darauf vorbereitet, NAC-Projekte in Deutschland zu umzusetzen? Pfeiffer: Im Rahmen unseres Schulungsprogramms bereiten wir unsere Partner darauf vor, dass sie das entsprechende Fachwissen mitbringen. Es geht bei NAC schließlich nicht darum, nur ein Software-Paket über den Ladentisch zu schieben, sondern vielmehr auch um strategische IT-Beratung. Das Schulungsangebot wird derzeit mit großem Zuspruch genutzt. IT-Solutions: Wie werden wir NAC in fünf Jahren sehen? Pfeiffer: NAC wird eine optional zuschaltbare Funktion in jeder Art von Sicherheits-Software und Zugangs-Hardware sein Switch,AP,VPN und andere und stark auf Standards wie Radius basieren. Dadurch wird die Flexibilität von Unternehmen größer, Komponenten verschiedener Hersteller einsetzen beziehungsweise integrieren zu können. IT-Solutions Security

16 16 Schwerpunkt Integrierte Absicherung mobiler Netzteilnehmer Zugangskontrolle Mit dem wachsenden Anteil von Notebooks und anderen mobilen Endgeräten im Netzwerk von Unternehmen steigt das Gefährdungspotenzial.»Network Access Control«(NAC) als Lösung will die Bedrohung durch mobile und nicht ständig mit dem Netz verbundene Teilnehmer abwehren. Eine Studie des Marktforschers IDC zeigt, dass 60 Prozent der unternehmenskritischen Daten auf den Desktops und Laptops der Mitarbeiter abgelegt sind. Dort entspricht die Absicherung gegen Angriffe meist nicht dem Standard des Unternehmens. Nur selten werden regelmäßige Backups ausgeführt. Der Diebstahl von Notebooks oder vireninfizierte USB-Sticks lassen IT-Verantwortliche daher oft davor zurückschrecken, mobile Technologien in ihrem Netz einzuführen. Andererseits erlauben 39 Prozent aller Betriebe den mobilen Zugriff auf Firmendaten, obwohl die Endgeräte noch in kein umfassendes Sicherheitskonzept integriert sind. Dieses widersprüchliche Ergebnis hat die Studie zur»sicherheit mobiler Datenübertragung«zu Tage gebracht, die Symantec gemeinsam mit dem Wirtschaftsforschungsinstitut Economist Intelligence Unit durchgeführt hat. Der Ansatz, der die von mobilen Endgeräten verursachten Sicherheitsprobleme verringern könnte, heißt»network Access Control«. Dahinter verbirgt sich eine Reihe von Regeln, denen jedes angeschlossene Gerät die so genannten Endpoints folgen muss, um Zugriff auf das Firmennetz zu bekommen. Erfüllt ein Endgerät alle geforderten Bedingungen, gilt»endpoint Compliance«. Nur in diesem Fall darf der User mit dem Gerät alle verfügbaren Netzwerkfunktionen nutzen. Bewegung im Blick Die Sicherheitsanforderungen an Geräte, die unter dem ständigen Management des Administrators stehen, und mobile Endgeräte sind naturgemäß verschieden. Bei ständig ins Netzwerk eingebundenen Endgeräten kann ein fest installiertes Client-Programm die Erfüllung aller Zugangsbedingungen durchsetzen. Je nach NAC-Lösung lässt sich so eine hundertprozentige Endpoint- Compliance erreichen. Mobile Geräte, die nur kurzzeitig mit dem Netzwerk verbunden sind, sind ein größeres Sicherheitsrisiko. Hier setzt die Absicherung der Endpoints auf vorhandene Browser-Technologie auf, um eine solide Endpoint-Compliance zu gewährleisten. Damit sich Kosten und Administrationsaufwand für die Implementierung und die Verwaltung einer NAC- Lösung in Grenzen halten, muss sie sowohl in eine zentrale Sicherheitssoftware integriert als auch Netzwerk- Hardware-kompatibel sein. Zudem müssen alle Aspekte nach Möglichkeit durch einen einzelnen Client überprüft und mögliche Schwachstellen auf den Endgeräten beseitigt werden können. Beispiel für eine solche integrierte Lösung ist»symantec Endpoint Protection 11.0«. Sie enthält in einem einzigen Agenten neben einem Rundum-Client-Schutz bereits»network Access Control 11.0«. Diese Zusatzfunktion muss lediglich separat lizenziert werden. Die Vorbehalte gegenüber dem Einsatz mobiler Endgeräte im Firmennetz oder dem Gastzugriff von Kunden und Geschäftspartnern sind unbegründet, solange ein umfassendes Sicherheitskonzept mögliche Risiken eindämmt. Network-Access-Control ist ein solches Konzept. Durch die Implementierung einer NAC-Lösung können Unternehmen alle Vorteile des mobilen Arbeitens nutzen und trotzdem die Sicherheit, Vertraulichkeit und Integrität aller geschäftskritischen Daten gewährleisten. Guido Sanchidrian, Produkt-Marketing-Manager E/ME/A bei Symantec IT-Solutions Security

17 FAST LANE, DIE SPEZIALISTEN FÜR: FIREWALLS. TROJANER ANTI-HACKING. VIREN SCHÜTZEN SIE IHRE DATEN VOR DEN BEDROHUNGEN AUS DEM INTERNET. DIE NÄCHSTEN KURSTERMINE IM SECURITY-BEREICH: Anti-Hacking Workshop (HACK) Düsseldorf, Berlin, München Voice Anti-Hacking Workshop (VHACK) Düsseldorf, Stuttgart, Berlin WLAN Anti-Hacking Workshop (WHACK) Düsseldorf, München, Hamburg IT-Forensik (ITF) Hamburg, Frankfurt, Berlin Advanced IT-Forensik (AITF) Frankfurt, Düsseldorf, Frankfurt Securing Cisco Network Devices (SND) Dortmund, Hamburg, München Securing Networks with Cisco Routers & Switches (SNRS) Frankfurt, Stuttgart, Hamburg Securing Networks with PIX & ASA (SNPA) Hamburg, Frankfurt, Berlin Implementing Cisco Intrusion Prevention System (IPS) Hamburg, Frankfurt, Berlin Implementing Cisco Network Admission Control (NAC) Düsseldorf, Hamburg, Stuttgart Implementing Cisco NAC Appliance (CANAC) Düsseldorf, Hamburg, Frankfurt Implementing Cisco Security Monitoring, Analysis & Response System (MARS) Hamburg, Frankfurt, Hamburg IronPort S-Series Administration (SSA) Hamburg, Frankfurt, Berlin IronPort C-Series Configuration (CSC) Hamburg, Frankfurt, Berlin IronPort Advanced C-Series Configuration (ACSC) Hamburg, Frankfurt, Berlin Verfügbarkeit, Integrität und Vertraulichkeit von Informationen, speziell der unternehmenskritischen Daten und Systeme, müssen trotz steigender Gefahrenpotenziale permanent gewährleistet sein. Wir unterstützen dabei, Sicherheitsdefizite innerhalb einer Organisation zu identifizieren und zeigen unseren Kunden technische und verfahrenstechnische Verbesserungen auf. Mit unseren Highend-Security-Laboren ist Fast Lane der Spezialist für Training und Consulting rund um das Thema Netzwerksicherheit. Erfahren Sie mehr unter oder rufen Sie uns an: +49 (0) CISCO TRAINING & CONSULTING SERVICES. LIEBER GLEICH MIT FAST LANE.

18 18 Anwendung Mobile Endgeräte in sicheren Händen Client-Security Der Laborausrüster Tecan Group betreibt Produktions-, Forschungs-, und Entwicklungsstätten rund um den Globus. Klar, dass dort sämtliche Endgeräte gut geschützt sein wollen. Dafür verlässt sich das Unternehmen auf»symantec Endpoint Protection 11.0«. Die Lage im Netz ist ernst. So zeigt der aktuelle Threat-Report von Symantec, dass die Bedrohungen aus dem Internet neue Dimensionen annehmen. Hartnäckiger und raffinierter denn je wird nach fremden Daten gegriffen. Neue Angriffstools sind in der Lage, völlig unbemerkt Informationen zu entwenden. Laut Sicherheitsbericht sind Kreditkarten-Informationen die meistgehandelte Warengruppe auf Underground-Servern. Keine Frage: Weit reichender Schutz vor Bedrohungen ist unerlässlich. Dabei will nicht nur das Netzwerk gut gesichert sein. In den meisten Unternehmen gilt es überdies, eine wachsende Zahl von Endgeräten im Auge zu behalten, vom Server über den Desktop-PC bis hin zum Notebook. Zuverlässigen Schutz für eine stetig zunehmende Zahl an Endgeräten danach suchte auch der weltweit tätige Laborausrüster Tecan.»Wir sind zwar keine Bank«, meint Patrik Büchli, Head of Infrastructure-Services bei Tecan,»aber in puncto Sicherheit haben wir fast so hohe Anforderungen wie ein Geldinstitut.«Schließlich liefert das Unternehmen seine Präzisionsgeräte ausschließlich an hochkarätige Kunden mit hohem Sicherheitsanspruch.»Unsere Produkte gehen beispielsweise an Pharma- und Biotechnologiefirmen oder an diagnostische Laboratorien. Da ist höchste Qualität eine Selbstverständlichkeit auch in der IT.«Zentral gesteuert Die Verantwortlichen bei Tecan wünschten sich nicht nur absolut zuverlässigen Endgeräteschutz. Patrik Büchli suchte für sein Unternehmen darüber hinaus eine Sicherheitslösung, die er weltweit in den 15 Niederlassungen einsetzen und zugleich zentral steuern kann. Das vereinfacht nicht nur die Administration, sondern bietet höhere Sicherheit.»Ich muss nicht länger dafür sorgen, dass einzelne Tools ständig auf dem aktuellen Stand sind, ich muss nur eine Lösung überwachen«, erklärt Büchli. In Kürze wird die Zeit der isolierten Lösungen beim Endgeräteschutz in seinem Unternehmen vorbei sein. Nämlich dann, wenn Büchli»Symantec Endpoint Protection 11.0«für die rund tausend User seines Unternehmens installiert hat. Aktuell setzt er die Lösung bei etwa 100 Anwendern ein. Die übrigen Endgeräte und Server werden zurzeit noch durch Lösungen verschiedenster Anbieter geschützt. Die klassische Anti-Virus-Lösung von Symantec ist ein bewährtes Produkt. Im Gartner-Report»Magic Quadrant 2006«wurde sie in den Führungsquadranten eingestuft. Symantec hat nun Anti-Virus um eine Bedrohungsabwehr erweitert und neue Steuerungsfunktionen integriert. Notebooks, Desktop-PCs und Server werden gleichermaßen geschützt, auch vor komplexen Attacken wie Rootkits, Zero-Day-Angriffen und mutierenden Spionageprogrammen. Dank zentraler Steuerung können Sicherheitsrichtlinien im gesamten Unternehmen von einem Punkt aus eingerichtet und durchgesetzt werden.»mit Endpoint-Protection haben wir ein Produkt, das für sämtliche Niederlassungen zuverlässig mehrschichtigen Endgeräteschutz bietet, und zwar zentral steuerbar«, erklärt Büchli. Das ist wichtig für Tecan, denn das Unternehmen ist auch in den USA und China vertreten. Dort ist die allgemeine Bedrohungslage im Netz deutlich ernster als in der Schweiz. So waren die Vereinigten Staaten laut Threat-Report im ersten Halbjahr 2007 bevorzugtes Ziel von Denial-of-Service-Attacken, und China kämpft mit der weltweit größten Anzahl von Bot-infizierten Computern. IT-Solutions Security

19 Anwendung 19 Firmenprofil: Die Tecan Group Ausschlaggebend war letztlich die Möglichkeit, den Administratoren auf Rollen basierende Zugriffe zu gewähren. Jetzt erlaubt Büchli seinen regional zuständigen Kollegen den Zugriff für deren jeweiligen Verantwortungsbereich und kann zugleich von der Zentrale aus einen Blick auf das Ganze werfen. Insgesamt 99 Clients darunter fünf Server, 30 mobile Geräte und Desktop- PCs sind nun bei Tecan mithilfe der integrierten Lösung vor internen und externen Gefahren geschützt. Die Lösung beherrscht nicht nur Intrusion- Prevention, Firewall und Abwehr von Spionageprogrammen, sondern auch Geräte- und Virenschutz. Dabei lassen sich die einzelnen Komponenten bedarfsorientiert aktivieren. Büchli nutzt auch das Application-Blocking: So hat er beispielsweise sowohl»desktop Search«als auch»google Earth«geblockt.»Diese Programme sind für uns nicht geschäftsrelevant.«reibungslose Installation Bei der Implementierung wurde Tecan von der Firmen Dinotronic und Ontrex unterstützt. Hand in Hand mit den Fachleuten des Schweizer IT-Unternehmens Ontrex, das unter anderem Symantec-Platinum-Partner ist, führte Dinotronic die Sicherheitslösung bei Tecan ein. Insgesamt zehn Tage war ein Experte vor Ort, um Konfiguration, Tests und Rollout für die Pilotgruppe von 99 Clients zu begleiten.»unter den Testanwendern sind auch einige besonders kritische User, die wir gezielt ausgewählt haben, um auch Feedback zu möglichen Schwächen der Lösung zu bekommen. Wenn es Anlass dafür gibt«, erklärt Büchli. Den allerdings gab es nicht. Administration und Anwender sind mit der neuen Lösung zufrieden. Die zentrale Admin-Konsole ermöglicht es, Zeit zu sparen, und die Software selbst schont die Ressourcen. Mit nur einem Agenten wird die Nutzung der Rechnerressourcen reduziert. Insgesamt Das Unternehmen ist einer der weltweit führenden Anbieter von Lösungen im Bereich der Life-Science-Zuliefererindustrie. Die Firma mit Sitz in Männedorf am Zürichsee entwickelt, produziert und vertreibt Geräte und Anlagen zur Automatisierung von Laborarbeiten. Mit seinem Vertriebs- und Servicenetz, das sich über 52 Länder erstreckt, bedient das Unternehmen die Kunden, darunter führende Pharma- und Biotechnologie-Unternehmen. Internationalität, Innovationsfreude und nicht zuletzt eine breite Produktpalette sorgten im Jahr 2006 für einen Gesamtumsatz in Höhe von 405,9 Millionen Schweizer Franken. fällt weniger System- und Netzwerklast an. So entsteht im Leerlauf beispielsweise nur ein Arbeitsspeicherbedarf von 25 MByte, und auch in der Scan-Phase sollte Platz genug verbleiben, um mit anderen Programmen zu arbeiten. Damit befindet sich Endpoint-Protection im Vergleich mit anderen Lösungen am unteren Ende der Skala, was die Belastung des Arbeitsspeichers betrifft. Obgleich der Leistungsumfang der Lösung besonders groß ist. Das kann Büchli bestätigen:»auch während eines Virenscans können wir die normalen Office-Programme weiterhin nutzen, ohne eine Beeinträchtigung zu spüren«, erklärt er.»bei Aufgaben wie Kompilieren und Gerätetests kann es aber sein, dass wir bei älteren Geräten die Belastungsgrenze erreichen.«aktualisierung per Mausklick Gut und problemlos ließ sich die Lösung implementieren.»natürlich braucht man Fachleute dafür«, so Büchli.»Aber wer vom Fach ist, findet sich schnell auf der Benutzungsoberfläche zurecht.«zudem freut er sich über die hohe Skalierbarkeit.»Weiteres Wachstum können wir jetzt auch im Hinblick auf den Schutz von Endgeräten problemlos bewältigen.«jüngstes Beispiel für Tecans generellen Wachstumstrend: Die Übernahme der Schweizer Firma Remp im Jahr Mit der Akquisition dieses Herstellers und Entwicklers von automatischen Laborlager- und Logistiksystemen wurde Tecan auch in diesem Bereich zum Marktführer. Auch das lästige Zusammensuchen und manuelle Erstellen von Reports in Form von Excel-Sheets gehören bei Tecan jetzt der Vergangenheit an, da das Reporting weit reichende Möglichkeiten bietet. Und noch etwas freut Büchli: Die Rate der Fehlerkennungen, also die fehlerhaft als Angriff identifizierten Vorkommnisse, ist besonders gering. Das vermeidet nicht nur Verdruss bei den Benutzern, es entlastet auch die Administration. Insgesamt 1000 Lizenzen der Endpoint-Protection hat Büchli erworben. Bis Ende des Jahres will er sie aufgespielt haben. Ein Vorgang, der dort, wo bereits Anti-Virus von Symantec implementiert ist, gewissermaßen»mit einem Mausklick«zu erledigen ist. Denn in dem Fall lässt sich die Lösung automatisch aufspielen. Auch für die mobilen Benutzer bietet das Anti-Malware-Werkzeug bestmögliche Sicherheit. Bei jedem Login in das Unternehmensnetz wie auch ins Internet erfolgt ein automatisches Update der Bedrohungsabwehr. Der Benutzer muss sich um nichts kümmern und die Administration kann die Patch-Updates zentral überwachen. Büchli ist einer der Ersten, der Symantec-Endpoint-Protection 11.0 im Einsatz hat. Schon gut zwei Wochen vor der Markteinführung des Produkts lief bei seiner Testgruppe die Beta-Version. So konnte er bei der Launch-Party in Zürich bereits über die neue Bedrohungsabwehr für seine Systeme berichten. Ursula Zeppenfeld, freie Journalistin und Beraterin IT-Solutions Security

20 ANZEIGE Data-Loss-Prevention Vor allen Gefahren sicher Die Probleme beim Datenschutz in der vernetzten Welt sind spektakulär. Mit»Backup Exec 12«hilft Symantec, die Datensicherung in den immer komplexeren Netzen in den Griff zu bekommen mit wenig Arbeits- und Zeitaufwand. England war geschockt. Gleich mehrmals gingen innerhalb weniger Wochen wertvolle Informationen verloren zuerst persönliche Daten von Millionen Familien, dann Informationen von Führerschein-Prüfungskandidaten in großer Zahl, und schließlich auch noch Personendaten von Angehörigen der britischen Streitkräfte und Interessenten. Dass Schäden an der Hard- oder Fehler in der Software Daten zerstören, liegt nahe. Allerdings zeigt die Erfahrung, dass nachlässiges Personal im Unternehmen und der böse Wille häufiger als Ursache in Frage kommen. Wenn wie in England vertrauliche Informationen in falsche Hände geraten, ist oft Gedankenlosigkeit oder ein gezielter Angriff der Auslöser, seltener technisches Versagen. Durch Datenverlust entsteht wirtschaftlicher Schaden, und es drohen juristische Konsequenzen. Hinzu kommen indirekte, aber deshalb nicht weniger schwer wiegende Folgekosten, wenn etwa Geschäftsgeheimnisse oder Kundendaten in falsche Hände geraten. So zählt für jede Organisation zur unverzichtbaren Daseinsvorsorge, ihre Daten zu schützen. Dabei variieren die Anforderungen erheblich mit der Art und Größe der Organisation. So hantiert eine Firma im Gesundheitsbereich mit besonders sensiblen Personendaten, die nicht nur sicher verwahrt werden müssen, sondern auch erhöhten Schutzanforderungen unterliegen. Für einen Internethändler kann eine verlorene Kundenkartei fatale Folgen haben. Und besonders größere Unternehmen stellt die systematische Archivierung von s vor Probleme, weil sie als Geschäftskorrespondenz gelten mit allen rechtlichen Konsequenzen. Als einer der weltweit führenden Anbieter hat Symantec sich zur Aufgabe gemacht, Datensicherheit im Unternehmen in voller Breite abzudecken. Der Softwarehersteller will Organisationen jeder Größe in die Lage versetzen, die Sicherheit, Verfügbarkeit und Integrität ihrer Daten mit vertretbarem Aufwand zu schützen. In der Praxis soll sich der Grad an Schutz, der für notwendig erachtet oder abverlangt wird, sowohl angemessen finanzieren als auch organisatorisch verwirklichen lassen. Zentrale -Archivierung Wenn es um die systematische Archivierung der -Korrespondenz geht, hat Symantec mit der Software»Enterprise Vault 7.5«eine Lösung zu bieten. Sie bindet sich in das vorhandene -System beim Unternehmen ein, sei es Microsoft-Exchange, Lotus-Notes oder ein System auf SMTP- Basis. Und sie archiviert die Nachrichten inklusive der Anhänge automatisch nach Kategorien geordnet. Die Sicherheitsstufe und die zugehörigen Informationen etwa der verwendete Adressverteiler werden mit archiviert, und Richtlinien bestimmen Zugriffsrechte und Speicherfristen. Die Nachrichten werden vollständig indiziert, so dass sie sich rasch und einfach wiederfinden lassen. Für den Benutzer ändert sich durch die Archivierung nichts, denn seine -Funktionen bleiben unberührt. Enterprise-Vault erfüllt die gesetzlichen und behördlichen Anforderungen an die Datenhaltung und unterstützt die protokollierende Archivierung (Journaling) von Microsoft-Exchange nahtlos. s schnell finden Mit der Software»Enterprise Vault Discovery Accelerator«ist es auch möglich, große E- Info Ausführliche Informationen sowie Testsoftware-Downloads sind unter oder zu finden