NIE OHNE UMSCHLAG. Sichere -Kommunikation braucht mehr als einen Virenscanner. Auch Authentifizierung,

Transkript

1 netzwerk & kommunikation JOHANNES FRITSCHE NIE OHNE UMSCHLAG Sichere -Kommunikation braucht mehr als einen Virenscanner. Auch Authentifizierung, Verschlüsselung, Archivierung und Compliance-Regeln sind wichtig. Gefragt sind deshalb zunehmend integrierte Lösungen, komplette Appliances und Managed Security Services. nternehmen sind durch die tägliche U -Nutzung mit einer Vielzahl von Gefahren konfrontiert. Immer wieder attackieren neue Varianten von Viren, Würmern und Trojanern den Virenscanner. Spammer nutzen immer größere Infrastrukturen, um ihre Inhalte zu verbreiten. Hacker lassen per zunehmend trickreiche Virenvarianten und Spyware auf Unternehmensnetze und Privatbenutzer los oder bringen Anwender durch Täuschung dazu, gefährliche Links anzuklicken, die Malware einschleusen. Vertrauliche Informationen werden kompromittiert, Technologie-Ressourcen beeinträchtigt und Geschäftsprozesse verlangsamt. Die Produktivität der Mitarbeiter sinkt. Um die -Kommunikation abzusichern, setzt die Paul Hartmann AG ( de.hartmann.info), deshalb auf Verschlüsselung und effiziente Spam-Abwehr. Das Unternehmen mit Hauptsitz im nördlich von Ulm gelegenen Heidenheim hat sich auf hochwertige Medizin-, Hygiene- und Pflegeprodukte spezialisiert. Bei einer Vielzahl von Spam-Mails benötigen wir eine schlagkräftige und performante Lösung, um der Spam-Flut Herr zu werden, außerdem wollen wir sensible s durch Verschlüsselung vor nicht gewünschten Mitlesern schützen, erklärt Thomas Bolsinger, IT-Verantwortlicher für Lotus Notes Domino bei der Paul Hartmann AG. Die Testergebnisse verschiedener - Verschlüsselungslösungen waren ernüchternd. Die meisten Produkte konnten die hohen Anforderungen nicht erfüllen. Bolsinger entschied sich schließlich für das - Programmpaket iq.suite der GROUP Tech- 102 Business&IT 5/2006

2 nologies AG ( de), das alle -Funktionen am Server vereint und leicht zu administrieren ist. Durch die serverseitige Verschlüsselung können s noch vor der Zustellung an den Empfänger auf Viren und andere unerwünschte Inhalte geprüft werden, bei einer Client-basierenden Verschlüsselung ist diese Prüfung am Server nicht möglich, da einoder ausgehende s verschlüsselt eintreffen und direkt zugestellt werden, erläutert Bolsinger. Bei der Kommunikation mit externen Partnern verschlüsseln die einzelnen Abteilungen ihre s mit Pretty Good Privacy (PGP), zum Beispiel die Personalabteilung beim -Austausch mit Unternehmensberatungen oder die Buchhaltung mit Banken. Kritische Daten bleiben so geschützt. Die Sicherheit vor unzulässiger Einsichtnahme und Spam-Attacken hat sich deutlich erhöht; unsere Mitarbeiter gehen jetzt wesentlich sicherer und zufriedener mit ihren s um, berichtet IT-Manager Bolsinger. Harte Bewährungsprobe Wie wichtig die -Verschlüsselung ist, zeigt der aktuelle Internet Security Threat Report von Symantec ( über den Untersuchungszeitraum von Juli 2005 bis Dezember Danach waren in der Vergangenheit Angriffe häufig darauf ausgerichtet, Daten zu zerstören. Heutige Angriffe zielen darauf ab, im Stillen Daten für Profit zu stehlen, ohne nennenswerten Schaden auf dem Rechner anzurichten, der den Anwender auf den Angriff aufmerksam machen würde. Symantec verzeichnete einen Anstieg von 74 Prozent auf 80 Prozent unter den Top 50 der Schadcodes bei bösartigem Code, der vertrauliche Informationen ausspäht. Internet-Kriminalität stellt einen Lebensund Arbeitsstil, der ganz auf die Verwendung digitaler Informationen setzt, auf eine harte Bewährungsprobe, erklärt Candid Wüest, Virenexperte bei Symantec, und fügt hinzu: Das Internet als Umschlagplatz von Waren und Dienstleistungen zieht auch unehrliche Zeitgenossen an ganz so, wie wir es aus der herkömmlichen Geschäftswelt schon seit langem kennen. Auf die erweiterten technologischen Möglichkeiten von Cyberkriminellen müssen Unternehmen und Privatleute mit angemessenen Sicherheitsmaßnahmen antworten RICHTLINIEN Es ist verboten, s privat zu nutzen. Es ist verboten, private -Postfächer über den Internet-Zugang des Unternehmens zu nutzen. Es ist verboten, die -Adresse, zum Beispiel in Internet-Foren, auch wenn diese zu dienstlichen Zwecken besucht werden, zu veröffentlichen. Äußerste Vorsicht ist beim Öffnen von unerwarteten Mails oder unerwarteten Mail- Anhängen zu wahren. Doppelte Dateierweiterungen bei Anhängen, unbekannte Absender, für den bekannten Absender untypische Betreffzeilen oder Inhalte sind klassische Anzeichen eines Wurms. Jede Mail, die explizit die Aufforderung enthält, sie weiterzuleiten, ist zu ignorieren. Vorsicht beim Weiterleiten firmeninterner s nach außen. Niemals dürfen Mails automatisch weitergeleitet werden. Stattdessen ist ein Abwesenheitsagent einzurichten. Antworten auf Mails dürfen keinen Anhang enthalten. Bei Antworten immer prüfen, ob die Antwort wirklich an den kompletten Verteiler gehen soll oder nur an den Absender. Keine Übermittlung vertraulicher Inhalte mittels , es sei denn als verschlüsselter Dateianhang. (Quelle: Symantec) Die ES4000 ist die erste Security Appliance von Sophos. Auch der jährliche Message Management and Threat Report von Postini ( einem Anbieter von integriertem Message Management, kommt zu dem Ergebnis, dass komplexere Attacken immer häufiger stattfinden. Zudem zeigen sich Experten, die für Messaging-Systeme und Sicherheit in den Unternehmen zuständig sind, besorgt über das immer unübersichtlicher werdende Nachrichtengewirr von , Instant Messaging (IM), VoIP und SMS. Nach den bei Postini vorliegenden Daten nahm die Anzahl der Angriffe über Instant Messaging um 1700 Prozent im Jahr 2005 zu. Dabei war der MSN Messenger mit 57 Prozent bei weitem das am häufigsten attackierte IM-Netzwerk, gefolgt von 34 Prozent bei AOL und 9 Prozent bei Yahoo. Die Angreifer nutzten auch die Rootkit-Technologie, die sich in einem Wurm namens Santa verbarg. Allerdings beobachtete Postini auch fast eine Verzehnfachung von verschlüsselten Nachrichten im vergangenen Jahr. Dabei waren bis zum Jahresende 22 Prozent aller eingehenden Nachrichten und doppelt so viele ausgehende Verbindungen verschlüsselt. Wir erwarten, dass die Bedrohungen 2006 noch raffinierter werden und entsprechend mehr Schaden anrichten. Die Verbreitung neuer Kommunikationswege sowie die Archivierungs- und Compliance-Anforderungen neuer Richtlinien und Regulierungen werden deshalb 2006 zu einer Flut von Nachfragen führen, die die Administratoren und Sicherheitsbeauftragten in Unternehmen überfordern könnte, sagt Quentin Gallivan, Präsident und CEO von Postini. Verschlüsselung und digitale Signatur Mit einer Kombination aus digitaler Signatur und Verschlüsselung wappnet sich die Emitec Gesellschaft für Emissionstechnik mbh mit Hauptsitz in Lohmar bei Köln (www. emitec.com) gegen diese zunehmenden Bedrohungen. Das Unternehmen produziert mit 900 Mitarbeitern an verschiedenen Standorten Metall-Katalysatorträger für die Automobil-Industrie. Der sehr hohe Schutzbedarf unseres Forschungs- und Entwicklungs-Know-hows hat uns bewogen, die Verschlüsselung unseres -Verkehrs anzugehen, beschreibt Thomas Lelleck, Leiter des Bereichs IT/IS Services bei Emitec, die Motivation für die Business&IT 5/

3 netzwerk & kommunikation Einführung von digitaler Signatur und E- Mail-Verschlüsselung. Angesichts der rasant steigenden Bedrohung durch Industriespionage gerade beim Abfangen von E- Mails sah sich das Unternehmen herausgefordert, neue Schutzmechanismen zu etablieren. Das steigende Bedürfnis nach Sicherheit für sensible Daten führte uns zu dem Entschluss, unseren Mitarbeitern eine einfach zu bedienende Möglichkeit zur Verschlüsselung von s zur Verfügung zu stellen, berichtet IT-Chef Lelleck. Eine Lösung, die die Installation von Software auf allen betroffenen Arbeitsplatzrechnern bedeutet hätte, kam nach einer längeren Testphase nicht mehr in Frage. Die Entscheidung fiel schließlich für das Secur Gateway von Utimaco (www. utimaco.de) als Verschlüsselungs- und Signaturlösung. Bereits am Ende der Testphase wurden die -Adressen der Mitarbeiter in das System eingepflegt und die Utimaco-Appliance in die Produktiv-Umgebung integriert. Es verging weniger als ein Arbeitstag, bis das System installiert, konfiguriert und in die Infrastruktur integriert war. Beim Schreiben und Empfangen von s ändert sich für alle Angestellten der Firma nichts, unabhängig davon, ob diese die neu verfügbaren Möglichkeiten der -Absicherung durch Verschlüsselung und Signatur nutzen oder nicht. Dazu sind auf dem Secur Gateway die Domain-Namen aller Firmen integriert, mit denen sie ausschließlich verschlüsselt kommunizieren dürfen. Die Ver- und bei den Antworten auch die Entschlüsselung erfolgt zentral auf dem Gateway, und die Benutzer werden bei eingehenden s anhand einer Erweiterung der Betreff-Zeile über den Sicherheitsgrad der elektronischen Post informiert. Durch den Einsatz der neuen Sicherheitslösung erfüllt Emitec bereits heute die kommenden strengen Vorgaben der Kunden. Denn die Angst vor Industriespionage hat mehrere deutsche Automobil-Hersteller dazu bewegt, ihren Partnerfirmen die Absicherung der elektronischen Kommunikation zwingend vorzuschreiben. Manche Hersteller gehen bereits so weit, dass sie unverschlüsselte s ab einem bestimmten Datum nicht mehr annehmen werden. -Archivierung Einflüsse von ungewollten s auf Unternehmen Spam Verlorene Arbeitszeit Ressourcenverlust False Positives durch fehlerhafte Filter Viruses und Malicious Content Systemausfälle Angegriffene Systeme Datenaufkommen am Gateway Reduzierte Bandbreite Überlastete Server- & Speicherkapazitäten Steigende Kosten Administrative Hauptaufgaben Absicherung gegen -Bedrohungen Sicherstellen von vertrauenswürdigen -Inhalten Möglichst geringer administrativer Aufwand Inhaltskontrolle Mangel an Richtlinien Anfälligkeiten durch Content Gefahr von Rechtsstreit Viren- und Spam-Scanner, Patch-Management, digitale Signatur und Verschlüsselung reichen für eine vollständige -Sicherheit noch nicht aus. Nach dem Sicherheits- Check sollte auch eine intelligente Archivierung dafür sorgen, dass s schnell verfügbar sind und Daten über einen langen Zeitraum gesichert werden: aus Eigeninteresse des Unternehmens oder um bestimmte Auflagen und Verordnungen des Gesetzgebers oder von Behörden zu erfüllen. Eine Lösung zur Archivierung von s und Instant Messaging ist der Archive Manager von Postini. Als Managed Service Provider für -Sicherheit speichert das Unternehmen über eine Milliarde Nachrichten pro Woche. Der Archive Manager empfängt, sortiert und speichert und Instant-Messaging-Nachrichten ohne Verzögerung und löscht sie auf Wunsch automatisch. Die Lösung basiert auf der integrierten Message-Management-Services-Infrastruktur von Postini für die langfristige Speicherung elektronischer Kommunikation. Damit können Mitarbeiter mit Zugriffsrechten sicher Nachrichten suchen und abrufen, ohne eine komplexe Software installieren und konfigurieren zu müssen. Auch die gestaffelten laufenden Kosten für die Speicherverwaltung mit mehrjährigen Laufzeiten entfallen bei diesem Modell. IT- Abteilungen stehen immer unter Druck, einen schnellen ROI für ihre technologischen Investitionen zu erzielen. Der Archive Manager ist eine elegante und kosteneffektive Lösung, um - und IM-Nachrichten zu archivieren, sagt Scott Petry, Gründer und Senior Vice President of Products and Engineering von Postini, und fügt hinzu: Wir haben eng mit unseren Kunden zusammengearbeitet, um eine Lösung zu schaffen, die erstens eine direkte und nahtlose Archivierung bietet, zweitens die Infrastruktur der IT oder des Unternehmens nicht weiter belastet, drittens die Kosten für die langfristige Speicherung von Daten beseitigt und viertens Aufschluss bei juristischen Ermittlungsprozessen gibt oder einen Rahmen für Compliance-Anforderungen bietet. Mit den Management-Tools des Archive Managers können die IT-Abteilung oder juristische Berater außerhalb des Unternehmens Zugangskontrollen definieren, Archivierungs-Parameter setzen und den Zugriff auf den Index und archivierte Daten überwachen. Der virtuelle Tresor Wer bei der Archivierung zum Schutz wichtiger Dokumente und Daten noch einen Schritt weiter gehen will, kann dafür einen virtuellen Tresor einsetzen. Eine solche Speziallösung bietet die Münchner Brainloop AG ( mit ihrem Secure Dataroom an. Seine Anwendungsszenarien sind die sichere Ablage, die nachvollziehbare Bearbeitung und Verteilung vertraulicher Dokumente wie Verträge, Quartalsberichte, Personal- und Projektunterlagen. Beispiele von Einsatzgebieten sind Vertragsverhandlungen, Projektdurchführung, das Erstellen von Quartalsberichten und die Kommunikation zwischen Vorstand und Aufsichtsrat oder den Geschäftsführern und Gesellschaftern. Zum Sicherheitskonzept der Software gehören die verschlüsselte Ablage im virtuellen Datenraum, die codierte Übertragung 104 Business&IT 5/2006

4 sensibler Dokumente und die verlässliche Authentifizierung der Anwender. Für den Zugriff auf besonders unternehmenskritische Dokumente ist auch eine Zwei-Faktoren-Authentifizierung möglich, die außer den Passwörtern zusätzliche Token benutzt, beispielsweise Mobiltelefone mit SMS-Einmalschlüsseln oder Chipkarten. Viele unserer Kunden haben bereits in eine auf Chipkarten basierende Infrastruktur investiert, für den unternehmensübergreifenden Einsatz bieten wir aber weiterhin unser auf SMS basierendes Authentisierungsverfahren an, bei dem das Mobiltelefon des Anwenders die Rolle des Hardware-Tokens für die Zwei-Faktor-Authentisierung übernimmt, erklärt Markus Seyfried, Chief Technical Officer von Brainloop. Der Secure Dataroom kann auch als ASP- Dienst genutzt werden. Investitionen und Fixkosten für Hardware und Infrastruktur entfallen, der Service wird nutzungsabhängig bezahlt. So lassen sich via Webbrowser Geschäftsdokumente von den berechtigten Anwendern zu jedem Zeitpunkt und von jedem Ort bearbeiten, mit SSL-Verschlüsselung und vollständiger Nachvollziehbarkeit aller Aktionen. Das System ist offen und von der Plattform unabhängig, sodass eine Teilnahme von jedem Arbeitsplatz ohne Software-Installationen möglich ist. IT-Sicherheitsrichtlinie (Compliance) Die Mail Security 8220 ist eine vorkonfigurierte Komplettlösung. Nur wenn der Hard- und Software-Schutz vom Virenscanner bis zur Archivierungslösung durch organisatorische Maßnahmen ergänzt wird, entfaltet er seine volle Wirkung. Die Compliance, die Einhaltung von Richtlinien im Unternehmen durch die Anwender, ist unerlässlich. Eine globale Sicherheitsrichtlinie, die von der Unternehmensführung ausgeht und von ihr getragen wird, ist unverzichtbarer Ausgangspunkt aller nachfolgenden Maßnahmen, betont Engelbert Vogel, Principal Security Consultant bei Symantec. Eine - Richtlinie könne erst auf dieser Basis die private Nutzung verbieten oder beschränken und bestimmte Dateianhänge blockieren. Mit dem BindView Policy Manager, einer Compliance-Management-Software, will Symantec die Unternehmen bei der Erstellung, Zuordnung und Einhaltung von Richtlinien und gesetzlichen Vorgaben unterstützen. Die Software automatisiert die Richtlinien-Verwaltung, indem unternehmenseigene Richtlinien automatisch mit branchenbezogenen Regulierungsauflagen und gängigen Standards abgeglichen werden. So kann die Einhaltung einer Virenschutz- Regelung ausreichen, um einem kompletten rechtlichen Anforderungskatalog zur Vermeidung bösartiger Software zu erfüllen. Unternehmen können die Einhaltung verschiedener Vorschriften analysieren, ohne dass mehrfache Prüfungen notwendig sind. Dazu können sie auf fast 1500 Kontrollaussagen zurückgreifen, die Best-Practice-Ansätze und Branchenregulierungs-Bestimmungen einander zuordnen. Diese Kontrollaussagen helfen bei der Übersetzung vager Regulierungsbestimmungen in konkret anwendbare Richtlinien. Der Policy Manager unterstützt unter anderem die gesetzlichen Regelungen GLBA, Sarbanes- Oxley und ISO Nach Angaben von Symantec sollen mit dem Policy Manager Richtlinien sowohl für IT- als auch für Nicht- IT-Themen erstellt und auf die gesamte Organisation angewendet werden können. Der Faktor Mensch steht auch im Mittelpunkt der in Bad Driburg ansässigen Neupart GmbH ( und ihrer Compliance-Lösung SecureAware. Wer mit unserer Software eine IT-Sicherheitsrichtlinie entwickelt, hat kostengünstig die Grundlage zur Einführung eines Information Security Management Systems (ISMS) geschaffen. Damit können sich Unternehmen nach dem IT-Grundschutz-Handbuch des BSI und der ISO-Norm zertifizieren lassen. Im Ernstfall liefert dies der Führungsebene den Nachweis, der Sorgfaltspflicht in der IT-Security nachgekommen zu sein, verspricht Neupart-Geschäftsführer Rudolf Gelhaus. Die Anwendung besteht aus drei Modulen: Das Modul Policy definiert und aktualisiert firmenspezifische Security-Regeln und -Verfahren und kommuniziert sie an Mitarbeiter. Das mit Film und Sprache unterlegte Education-Software-Modul ist ein E-Learning-Programm. Es vermittelt Mitarbeitern ein Sicherheits-Grundwissen und gibt Tipps zum richtigen Umgang mit Daten. Survey ist ein Web-basierendes Testprogramm, mit dem sich das Sicherheitsbewusstsein der Mitarbeiter und der Kenntnisstand der unternehmensspezifischen Sicherheitsrichtlinie überprüfen lassen. Die Inhalte der Regeln und Verfahren sind auf die unterschiedlichen Gruppen von Mitarbeitern Externer Service schützt s Für kleine Unternehmen ohne Fachpersonal, um die erforderliche Software oder Hardware zu installieren, bietet McAfee ( den Secure Messaging Service for Small Business an, einen externen Service zum Schutz von -Systemen. Er filtert Spam, anstößige Inhalte und Viren aus dem Netzwerk heraus. Die Lösung ist nach Angaben des Herstellers zu allen wichtigen -Plattformen kompatibel und für die speziellen Anforderungen kleiner und mittelständischer Unternehmen optimiert. Für die Nutzung des Sicherheitsservices wird keine zusätzliche Hard- und Software oder weiteres Personal benötigt. Die Voraussetzungen sind lediglich eine eigene -Domain mit einer statischen IP-Adresse sowie ein dedizierter -Server entweder im Unternehmen oder bei einem Internet Service Provider. Durch das Umleiten des Mail-Exchange-Datensatzes (MX) über die McAfee-Server wird der - Verkehr überprüft, ehe er ins Unternehmens-Netzwerk gelangt oder es verlässt. Dabei verzögert sich die Übertragung nach Angaben von McAfee um weniger als eine Sekunde. Business&IT 5/

5 Eine Alternative zur Appliance kann die Auslagerung des internen Sicherheits-Managements an einen Managed Security Provider sein. Diese Provider unterstützen Unternehmen bei der Sicherheits-Überwachung ihrer Netzwerke, indem sie Internet- Bedrohungen und Schwachstellen von Experten rund um die Uhr überwachen und analysieren lassen. Die meisten Anbieter von Sicherheitslösungen haben ihr Angebot um Managed Services erweitert. Die Julius Blum GmbH ( mit Stammsitz in Höchst im österreichischen Bundesland Vorarlberg nutzt die Vorteile einer solchen Lösung. Das 1952 gegründete Unternehmen ist auf die industrielle Herstellung von Möbelbeschlägen spezialisiert, beschäftigt 4400 Mitarbeiter, betreibt Tochtergesellschaften in 19 Ländern und ist mit Vertretungen und Produktionsstätten in 60 Ländern der Erde aktiv, darunter die USA und Brasilien. Aufgrund der internationalen Ausrichtung des Unternehmens spielt seit Jahren eine wichtige Rolle bei Julius Blum. Da die manuelle Verwaltung der Anti-Viren-Software und des Spam-Filters auf den Gatenetzwerk & kommunikation zugeschnitten. Kein Anwender muss Regeln lesen und lernen, die nicht zu seinem Aufgabenbereich gehören. Als potenzielle Anwender sehen wir Branchen übergreifend alle Unternehmen mit 50 bis einigen Tausend PC-Arbeitsplätzen, insbesondere Betriebe des gewerblichen Mittelstands, der öffentlichen Verwaltung sowie Rechenzentren, erklärt Neupart-Chef Gelhaus. Appliances Für kleine und mittlere Unternehmen, die eine komplexe Sicherheitslösung nicht selbst aufbauen wollen oder können, empfiehlt sich der Einsatz einer vom Anbieter vorkonfigurierten Komplettlösung aus Hard- und Software. Symantec bringt mit der Mail Security 8220 das dritte Modell seiner - Sicherheits-Appliances auf den Markt, die laut Hersteller einfach zu verwalten und auf die Bedürfnisse kleiner und mittelständischer Unternehmen zugeschnitten ist. Die Appliance basiert auf einer mehrschichtigen Antispam-Technologie, die eine maximale Erkennungsrate bei einer minimalen Fehlerquote gewährleistet. Nach der Antivirus-Technologie von Symantec werden ein- und ausgehende Nachrichten in Echtzeit gescannt und automatische Updates durchgeführt. Über eine Web-basierende Konsole lassen sich flexible Regeln für den Umgang mit infizierten Nachrichten definieren, Trends erkennen und Angriffsstatistiken analysieren. Eine Bereinigungsfunktion für Spam- s entfernt auf Wunsch automatisch Nachrichten, die von -Würmern generiert werden. Außer dem Spam- und Virenschutz enthält die Appliance eine integrierte -Firewall, einen Content-Filter sowie eine Funktion zur Regulierung des -Datenverkehrs (Traffic Shaping) und zur Prüfung der Richtlinien-Konformität von -Inhalten. Durch die Beschränkung von Verbindungen, die von Spam-Servern ausgehen, sollen sich die Infrastruktur-Kosten deutlich reduzieren lassen. Auch Sophos ( bringt erstmals eine Security Appliance auf den Markt, bei der Hardware, Software und 24/7-Support aus einer Hand stammen. Die ES4000 Security Appliance soll Unternehmen und Organisationen nach innen und außen vor der Bedrohung durch Viren, Trojaner, Spyware, Spam und Phishing-Attacken schützen können. Die Appliance ist durch eine Web-basierende Benutzer- Schnittstelle intuitiv zu bedienen. Die Aktualisierung der Sicherheits-Software läuft automatisch ab. Diagnose-Tools und die Möglichkeit, bei Bedarf Remote-Unterstützung anzufordern, sind eingebaut. Zur Steuerung gehört das Web-basierende Dashboard. Hier kann sich der IT-Verantwortliche eine Übersicht über den Stand der Systemleistung verschaffen. Auf Knopfdruck erhält er Informationen über den Systemstatus, die Verfügbarkeit und den - Durchsatz. Um die Appliance jederzeit kontrollieren zu können, kann er Analysen und Statusprotokolle über -Trends, Performance, -Absender und die Durchsetzung von Richtlinien anfordern. Die Sophos-Technologie ist schon seit Jahren in vielen Appliances anderer Hersteller enthalten. 30 Prozent der Unternehmen, die heute Appliances für - Sicherheit einsetzen, profitieren, ohne es zu wissen, von unserer Technologie. Da sich Viren und Spam mittlerweile zu einer einzigen Bedrohung vereint haben, müssen die Schutzmechanismen ebenfalls optimal aufeinander abgestimmt werden, erklärt Pino von Kienlin, Geschäftsführer der Sophos GmbH. Managed Services Sichere -Kommunikation Der Münchner IT-Dienstleister Retarus ( bietet neuerdings auch Produkte für die sichere - Kommunikation an. 100% 75% 89,97% JULIA Mail Office stellt sicher, dass - Non valid keine Nachricht unverschlüsselt das 50% Firmennetz verlässt. Das Gateway setzt auf OpenSSL-/GnuPG-Kryptografie-Library 25% und Standard-Mail-Server. Zu- 10,03% - Virus - SPAM sammen mit der vorhandenen Infrastruktur verschlüsselt und signiert die 0% Bad Mails Good Mails Lösung alle s. PGP Universal, ein Protokoll Proxy, übernimmt das Ver- und Entschlüsseln von Nachrichten und sogar die gesamte Schlüsselverwaltung. Auch Empfängern, die über keine Verschlüsselungs-Software verfügen, lassen sich mit dem PGP Web Messenger sichere E- Mails schicken. Die RMX Managed Services fangen schädliche s ab, bevor sie ins Firmennetz gelangen. Entdeckt Retarus eine Unregelmäßigkeit im Netzwerk, erhält der Kunde eine Nachricht und kann das Problem lösen. Spam-Attacken verhindet der Directory Filter, der s mit dem Adressbuch des Kundensystems vergleicht. Ein notwendiger Service, wie die Statistik zeigt: Von allen gescannten Mails sind nur zehn Prozent unschädlich. 106 Business&IT 5/2006

6 ways bei einer Größenordnung von 2500 Benutzern auf Dauer zu aufwändig war und die Bedrohungen aus dem Internet stetig zunehmen, entschloss sich die IT-Abteilung zur Übertragung dieser beiden Aufgaben an MessageLabs ( de) als Managed Service Provider. Da eine halbautomatisierte Security-Lösung eindeutig nicht mehr für uns in Frage kam, haben wir uns für Outsourcing entschieden. Seitdem wir die Anti-Virus- und Anti-Spam-Services nutzen, muss ich mich in diesem Bereich um so gut wie nichts mehr kümmern, berichtet Raoul Morik, Lotus-Domino-Administrator und verantwortlich für die Messaging-Infrastruktur bei Julius Blum. Der gesamte Mail-Verkehr von Julius Blum wird jetzt durch die Control-Tower von MessageLabs geleitet und durchläuft dort einen Scanning-Prozess, der sich aus einer Kombination der kommerziellen Viren-Scanner und der patentierten Skeptic-Technologie zusammensetzt. Dadurch wird auch die Infrastruktur entlastet, da die schädlichen Inhalte bereits auf Internet-Ebene abgefangen werden und nicht in das Unternehmens- Netzwerk vordringen können. Der Anti-Spam-Service läuft nach dem Prinzip Block & Delete. Eingehende Mails, die nach bestimmten Kriterien als Spam klassifiziert werden, werden abgefangen und gelöscht oder landen im Quarantäne- Ordner. Da der Unterschied zwischen Spam und erwünschter Nachricht nicht immer eindeutig zu bestimmen ist, arbeitet der Spam-Filter mit Datenbanken, auf die Morik zugreifen kann, um Feineinstellungen vorzunehmen. Das Einsparpotenzial durch die Auslagerung der Viren- und Spam-Abwehr lässt sich nicht genau beziffern. Grob geschätzt, spare ich zwei bis drei Tage pro Monat, die ich für das Management unserer bisherigen Anti-Virus- und Anti-Spam-Lösung aufwenden musste. Hinzu kommt der Sicherheitsgewinn. Wenn wir uns einen Virus einfangen oder unser Mailsystem wegen Überlastung abstürzt, haben sich die Managed Services schnell gerechnet, erklärt Morik. Fazit: Integration Andreas Lamm ist Geschäftsführer der Kaspersky Labs GmbH ( Problemlöser digitale Signatur Die stetig wachsenden Bedrohungen der Informations- und Kommunikations-Infrastruktur zwingen zu immer komplexer werdenden Schutzmaßnahmen. Über den internen Schaden hinaus drohen einem Unternehmen weitere unangenehme finanzielle und juristische Folgen, wenn bei einem Vorfall herauskommt, dass es nicht ausreichend für Sicherheit gesorgt hat. Als Antwort auf diese Probleme implementieren die IT-Verantwortlichen für jeden Bereich das passende Sicherheits-Tool. Die steigende Komplexität führt wiederum oft zu steigenden Kosten für Schulung und Administration, zudem wird auch die Netzwerk-Performance beeinträchtigt, wenn die Security-Tools nicht aufeinander abgestimmt sind, warnt Tilman Epha, esafe Channel Manager Germany bei Aladdin Knowledge Systems ( Eine umfassende -Sicherheitslösung muss alle denkbaren Angriffsszenarien abwehren können und das IT-Personal bei Routinetätigkeiten entlasten. Gleichzeitig gilt es, die für den Geschäftsbetrieb notwendige -Kommunikation aufrechtzuerhalten und die Produktivität der Benutzer sicherzustellen. KOMMENTAR Nach wie vor verbreiten sich Viren, oder besser gesagt Schadcodes, über das Medium . Seit s ab Ende der sechziger Jahre des vorigen Jahrhunderts ihren Siegeszug antraten, hat sich an deren grundsätzlicher Gestalt kaum etwas geändert. Nach nun knapp 40 Jahren wäre man zwar theoretisch in der Lage, s in einen Umschlag zu packen sprich zu verschlüsseln, oder wenigstens digital zu signieren, doch werden diese Techniken von kaum einem Unternehmen eingesetzt. Auch alle Versuche, das Thema Spam über Absender-Authentifizierung in den Griff zu bekommen, sind leider im Sande verlaufen. Und die logische Konsequenz daraus ist: Hacker, Spammer und Virenschreiber haben auch zukünftig ein perfektes Medium an der Hand, ihre Schadcodes weltweit in Windeseile zu verbreiten. Dabei könnte eine digitale Signatur bereits helfen, das Leben der Hacker deutlich schwerer zu machen und sinnvolle E- Mails von reinem Datenmüll zu unterscheiden. Es liegt an den Unternehmen, an dieser Situation etwas zu ändern. Die Unternehmensverbände sollten auf ihre Mitglieder einwirken, das Medium sicherer zu gestalten. Versicherungen könnten dazu übergehen, für solche Unternehmen spezielle Haftungsrisiken preiswerter abzudecken. Aber auch die europäische Legislative ist gefordert, den Prozess hin zur sicheren zu beschleunigen. Wäre das nicht auch ein Beitrag zum Schutz vor terroristischen Gefahren? Schließlich wurde ja unter dieser Prämisse der biometrische Reisepass eingeführt warum nicht auch eine sichere ? Liefert dann die Industrie noch einfach einzusetzende und gegenseitig kompatible Lösungen, wird das Leben der Hacker, Spammer und Virenschreiber wieder ein Stück schwieriger und das der Anwender dafür leichter. Gefahren müssen erkannt und abgewehrt werden, bevor sie Schaden anrichten. Dies ist nach der Überzeugung von Epha nur mit Lösungen möglich, die neben reaktiven Standard-Techniken proaktive Methoden einsetzen: Integrierte Lösungen aus einer Hand, wie etwa esafe5 von Aladdin, haben den Vorteil, dass alle Sicherheitskomponenten aufeinander abgestimmt und sämtliche Bedrohungsarten abgedeckt sind. Die gleiche Schutzwirkung ließe sich mit einem Paket von Einzelprodukten nur bei deutlich höherem Administrations-Aufwand bewerkstelligen. So unverzichtbar Schutzmaßnahmen heute sind, entscheidend sei für Unternehmen letztlich, dass sie im Hintergrund ablaufen und den Geschäftsbetrieb nicht stören. Die Benutzer sollen sich bei der täglichen Arbeit mit den modernen Kommunikationsmedien nicht eingeschränkt fühlen, aber das Unternehmen darf auch keine Sicherheitsrisiken eingehen, verlangt Aladdin-Manager Epha. hey Business&IT 5/

7 netzwerk & kommunikation INTERVIEW Michael Brandt ist Senior Vice President Research and Development der GROUP Technologies AG ( Im Gespräch mit Business&IT über elektronische Signaturen und Verschlüsselung Business&IT: Welchen Vorteil hat die elektronische Signierung von s? Michael Brandt: Die elektronische Signatur stellt sicher, dass der -Inhalt nicht verändert wurde (Integrität der Nachricht) und tatsächlich von dem angegebenen Absender stammt (Authentizität). In der EU werden Rahmenbedingungen für den Einsatz der elektronischen Signatur durch die Richtlinie 1999/93/EG über elektronische Signaturen allgemein geregelt. Die Umsetzung in Deutschland wird auf der technischen Seite durch das Signaturgesetz (SigG) und die zugehörige Signaturverordnung (SigV) reguliert. Die zuständige Behörde für alle Belange des SigG ist die Bundesnetzagentur (früher: Regulierungsbehörde für Telekommunikation und Post, RegTP). Business&IT: Wie werden aus- und eingehende s am besten ver- oder entschlüsselt bzw. signiert? Michael Brandt: Ver- und Entschlüsselung sowie die Signaturvergabe sollten gemäß eigenen Unternehmensrichtlinien zentral auf dem Mailserver stattfinden. Dadurch können Unternehmen verschlüsselte s noch vor der Zustellung auf Viren und andere negative Inhalte prüfen. Bei einer Client-basierenden Verschlüsselung ist diese Prüfung am Server nicht möglich, da einoder ausgehende s verschlüsselt eintreffen und direkt zugestellt werden. Beim symmetrischen (private key) Verschlüsselungsverfahren wird ein Schlüssel je Kommunikationskanal benutzt, der sowohl zur Ver- als auch zur Entschlüsselung dient. Beim asymmetrischen (public key) Verschlüsselungsverfahren sind ein öffentlicher und ein privater Schlüssel (Schlüsselpaar) beteiligt. Anhand des öffentlichen Schlüssels des Empfängers wird die Nachricht verschlüsselt. Zum Entschlüsseln benötigt der Empfänger seinen korrespondierenden privaten Schlüssel. Der große Vorteil dieses Verfahrens besteht darin, dass der öffentliche Schlüssel jedes Teilnehmers innerhalb eines Netzwerks nur ein einziges Mal verfügbar gemacht werden muss. Business&IT: Was ist der Vorteil einer Verschlüsselung auf Server-Seite? Michael Brandt: Eine Server-basierende Verschlüsselung bedeutet im Vergleich zur Client-basierenden weniger Aufwand und ist kostengünstiger. Bei der Client-basierenden Verschlüsselung müssen für jeden Client separate Schlüssel verwaltet werden, was bei der Server-basierenden entfällt. Es ist außerdem nicht mehr notwendig, alle Anwender mit den genauen Verschlüsselungs-Funktionen vertraut zu machen. Ein weiterer wichtiger Vorteil: Die Server-basierende Verschlüsselung benötigt nur jeweils einen Schlüssel für jedes verwendete Kryptografie-Verfahren pro kommunizierendes Unternehmen bzw. Domain. Archivierungspflichten können Unternehmen darüber hinaus bei der Client-seitigen Verschlüsselung vor erhebliche Probleme stellen: Verlassen Mitarbeiter das Unternehmen, verlieren die anwendergebundenen Schlüssel ihre Gültigkeit mit der Folge, dass die frühere -Korrespondenz nicht mehr einsehbar ist. Business&IT: Wie lässt sich mit freien Mitarbeitern verschlüsselt kommunizieren? Michael Brandt: Unbeschadet der Server-basierenden Verschlüsselung können die Kommunikationspartner sowohl Server- als auch Client-basierend verschlüsseln. Eine Client-zu- Server- oder Client-zu-Client-Verschlüsselung ist beispielsweise notwendig, um mit freien Mitarbeitern zu kommunizieren. Dabei müssen die Partner lediglich die gleichen Verschlüsselungsmethoden verwenden. Business&IT: Welche Rolle spielen Verschlüsselung und Signierung im Rahmen von -Lifecycle-Management? Michael Brandt: s durchlaufen vom Eingang im Unternehmen bis zu ihrer Archivierung oder Löschung mehrere Prozessschritte im Unternehmen. Ein Prozessschritt ist der Sicherheits-Check, zu dem neben der Ver- oder Entschlüsselung bzw. Signierung auch die Spam- und Virenprüfung zählt. Weitere Prozessschritte im Rahmen des Lebenszyklus von s sind -Klassifizierung, -Gesetzeskonformität und -Archivierung. Business&IT: Nach welchen Kriterien sollten Unternehmen eine Verschlüsselungslösung auswählen? Michael Brandt: Bei der Auswahl der Verschlüsselungs-Software ist unbedingte Voraussetzung die detaillierte Kenntnis der Prinzipien, Mechanismen und Funktionalität der unterschiedlichen Verschlüsselungsverfahren und der am Markt verfügbaren Verschlüsselungs-Software. Wichtig sind auch Benutzerfreundlichkeit und -akzeptanz sowie einfache Administrierbarkeit. Grundsätzlich ist darauf zu achten, dass die jeweils aktuelle Version der eingesetzten Software verwendet wird. Unternehmen sollten sich regelmäßig über eventuelle Sicherheitsprobleme des Produkts informieren und gegebenenfalls zeitnah Service Packs oder Patches installieren. 108 Business&IT 5/2006