Herzlich Willkommen zum 5. Starnberger IT Forum Focus: IT Security im Mittelstand präsentiert von Kurt Stieler Str. 4 82343 Possenhofen Web: http://www.nnxx.de
AGENDA 9:00Uhr Begrüßung 9:15 Uhr Vortrag Rechtliche hl h Anforderungen an Geschäftsführer f h und IT Leiter im Mittelstand. Haftungsrisiken bei Nichteinhaltung gesetzlicher Vorgaben. Rechtsanwältin Dr. Bettina Kähler, PrivCom Datenschutz GmbH 10:45 Uhr Kaffepause 11:00 Uhr Vortrag Lösungsansatz: Rechtlich abgesicherter Datentransfer Astaro Security Gateway: Sofortschutz für Ihr Netzwerk, E Mail Datenverkehr und Webzugriff MacarioLópez Monrobé, ASTARO AG 12:15 Uhr Gemeinsames Mittagessen and your net works!
KURZVORSTELLUNG NITEFLITE NETWORXX gegründet 2003 als Einzelunternehmen Umwandlung zur GmbH September 2007 tätig als IT Systemhaus für mittelständische Unternehmen Zertifizierung verschiedener Hersteller, u.a. Microsoft, Citrix, Astaro uvm. Firmensitz in Possenhofen am Starnberger See SeitMai 2008 Zweigstelle inmünchen, Rosenheimerstr. 145f Wir beraten, planen und implementieren and your net works!
TÄTIGKEITSSCHWERPUNKTE Netzwerksicherheit (Firewall, Virenschutz, IDS/IPS) Storage (Nas, SAN) Virtualisierung (Vmware, XenSource) Application Delivery (Load Balancing, Performance, HA) Netzwerkinfrastruktur(Routing, Switching) Microsoft und Linux Serversysteme Mobile Solutions (BlackBerry Enterprise) Server Based Computing (Terminal Server, Citrix) Remote Access (VPN, Tokens) and your net works!
UNSERE PARTNER (AUSZUG) and your net works!
Viel Vergnügen! and your net works!
5. Starnberger IT-Forum 24. Juli 2008 Wie sicher sind Ihre Geheimnisse? Datenschutz und Datensicherheit im Unternehmen Rechtsanwältin Dr. Bettina Kähler PrivCom Datenschutz GmbH, Hamburg
Verschlüsseln Sie E-Mail? Sind Sie deshalb krimineller Sind Sie deshalb krimineller Umtriebe dringend verdächtig?
Die gute Nachricht lautet: Nein! Bundesgerichtshof, Beschluss v. 18. Oktober 2007
Noch eine gute Nachricht Das allgemeine Persönlichkeitsrecht it ht der Verfassung umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Auch: ausschließlich dienstlich genutzte PC Grundrecht der Unverletzlichkeit der Wohnung
Online-Durchsuchung Durchsuchung Bundestrojaner heimliche Infiltration eines informationstechnischen Systems Fortlaufende Überwachung eines privaten PC durch staatliche Stellen Bundesverfassungsgericht, Urteil des 1. Senats v. 27. Februar 2008
Datenschutz? Muss das sein? Wir haben doch nichts zu verbergen! Wen sollte das interessieren, was wir hier tun...? Darum können wir uns nicht auch noch kümmern... Bürokratie...
Jeder Mensch hat Geheimnisse Jedes Unternehmen hat vertrauliche Informationen
Spionage kann jeder Passende Instrumente t sind im Internet t verfügbar Zum Abhören und Orten von Handys Zum Abhören von Besprechungen Keylogger Anleitungen zum Bau von Trojanern...
Spionage findet statt Der gekündigte Geschäftsführer füh Der Ex-EDV EDV Leiter Praktikantin aus China Ingenieurinnen als Putzfrauen
Außerdem... Immer mehr Daten sind öffentlich verfügbar Chicago Tribune 2006: Fast 3000 CIA Agenten durch Journalisten enttarnt Nur durch Auswertung und Verknüpfung öffentlich verfügbarer Informationen
Alte Erkenntnis Datenschutzgesetze t t schützen alle Daten Keine Unterscheidung zwischen wichtigen und unwichtigen Zwischen Geheimnissen i und weniger geheimen Informationen Interessant ist nicht die einzelne Information Data Mining i
Konsequenz Gehen Sie mit ALLEN Informationen sorgfältig um Auch mit den vermeintlich unwichtigen Organisieren i Sie Fort Knox für die vertraulichen 5%
Folge: Sie haben Ihrem Unternehmen in Sachen Datenschutz und Datensicherheit etwas Gutes getan
Praxis Gekündigter externer Netzwerkadmin verfügt auch nach 6 Monaten noch über root Passwörter Server mit Kundendaten wird mangels ordentlicher Programmierung von der Pornomafia übernommen Krankenhaus verfügt über eine Firewall, dessen Lizenz seit 2 Jahren abgelaufen ist 14
Praxis (2) Eine Werbeagentur (400 MA) hat ihre Datensicherung so organisiert, dass bei einem Totalausfall der Systeme das Wiedereinspielen der Sicherung 3 Tage beanspruchen würde Ein Anwalt entsorgt seine Akten im Altpapiercontainer. Schuld sei die Ehefrau und der 11jährige behinderte Sohn 15
Verstöße... Gegen gleich mehrere Gesetze Bundesdatenschutzgesetz: unbefugte Übermittlung von personenbezogenen Daten, Verstoß gegen die Verpflichtung technisch-organisatorische Maßnahmen zu gewährleisten 16
Verstöße (2) GmbH Gesetz: Geschäftsführer-Pflicht, in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden Vergleichbar Aktiengesetz: Vorstandsmitglieder müssen bei der Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anwenden 17
Nicht nur nur Gesetzesverstöße... Unternehmensverluste durch Ausfall der Systeme/Datenverlust Verlust von Entwicklungswissen (Werksspionage) Imageschaden Verteuerung der Unternehmenskredite Verlust/Verteuerung von Versicherungsschutz Bußgelder (BDSG, UWG) 18
Was tun? Datenschutz Datensicherheit Bewusstsein schaffen für diese Fragen Konzepte erarbeiten Investieren 19
Datenschutz? Engl. privacy Privatheit, Privatssphäre, Intimssphäre Das Recht in Ruhe gelassen zu werden Nicht: der Schutz abstrakter Daten Personenbezug 20
Datensicherheit? Nicht nur Daten mit Personenbezug Unternehmens- Geschäftsgeheimnisse Forschungsergebnisse Produktpläne... alle Informationen die den Wert eines Unternehmens ausmachen 21
Schnittstellen Mangelhafte Standards bei der Datensicherheit können Verstöße gegen Datenschutz nach sich ziehen 9 BDSG: Technisch-organisatorische Maßnahmen Daher empfehlenswert, das eine zusammen mit dem anderen zu planen 22
Datenschutz Zur Erinnerung: Nicht nur für Geheimnisse Auch für die (vermeintlich) banalen Informationen über uns Der Wert von Daten ergibt sich erst aus dem Zusammenhang 23
Grundrecht (1) ALT Volkszählungsurteil - Recht auf informationelle Selbstbestimmung (1983) Jeder soll das Recht haben, selber zu bestimmen, welche Informationen er über sich preis gibt Ausnahmen: Anordnung durch Gesetz Art. 1 und Art. 2 Grundgesetz 24
Grundrecht (2) NEU Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (27. Februar 2008) Online Durchsuchung Richterliche Anordnung Gesetz muss Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung enthalten 25
Datenschutz! Abgesehen von Haftungsrisiken bei Nichteinhaltung der gesetzlichen Vorschriften: Ein gutes Niveau von Datenschutz- und Datensicherheit wird zunehmend zu einem Wettbewerbsvorteil Vertrauensschutz für Ihre Kunden We keep your secrets 26
Pflichten (BDSG) Automatisierte Datenverarbeitung ist nur legal, wenn ein Gesetz sie erlaubt oder der Betroffenen eingewilligt hat Insbesondere: keine unbefugte Verarbeitung personenbezogener Daten Einhaltung von technisch-organisatorischen Maßnahmen um Verstöße gegen Datenschutzvorschriften möglichst auszuschließen 27
Was heißt das praktisch? Personaldaten in den USA verarbeiten Einwilligung der Mitarbeiter E-Mails Ihrer Mitarbeiter lesen Dienst-/Betriebsvereinbarung zu E-Mail Nutzung im Unternehmen Krankenhaus: Patientendaten an Forschungseinrichtung Einwilligung
Pflichten (GmbHG, AktG) Sicherstellen einer bedarfs- und rechtskonformen IT-Nutzung Einführen eines IT-Sicherheitskonzepts u. dessen Aktualisierung Unternehmensweites Risikomanagement Ordnungsgemäße Abbildung der wirtschaftlichen Verhältnisse des Unternehmens in der Buchführung 29
Pflichten (sonstige Gesetze) Sicherung von Vertraulichkeit it und Geheimhaltung h (vertragliche Pflichten i.v.m. BGB) Professionelle Beschaffung von IT-Systemen u. Durchführung von IT-Projekten (BGB, HGB) Datenschutzkonformität sicherstellen (BDSG i.v.m. UWG) Bei an US-Börsen notierten Unternehmen: Umfangreiche Pflichten nach Sarbanes-Oxley Act 30
Pflichten, praktisch Regelungen zum Zurücksetzen von Passwörtern Vier-Augen-Prinzip bei kritischen Anwendungen Regelung private/dienstliche Internet und E-Mail Nutzung Kontrolle! Verschlüsselung von mobilen Geräten 31
Pflichten, praktisch (2) Festlegen eines Verfahrens zur Beantwortung von Auskunftsersuchen Auftragsdatenverarbeitung: Verträge? Konzept für Datensicherung und dessen Umsetzung... Langfristige Planung erforderlich 32
Wer wird gehängt...... wenn es schief läuft? Es kommt darauf an... 33
Verantwortlichkeiten Vorstand, Geschäftsführung Aufsichtsrat IT-Leiter Datenschutzbeauftragter Mitarbeiter 34
Vorstand, GF Sicherstellung einer bedarfs- und rechtskonformen IT- Nutzung Beschaffung, Einsatz einer funktionierenden Firewall und entsprechende Konfiguration Back-Up Konzept und Durchführung desselben E-Mail Archivierung... Bei Verstoß (persönlich!) haftbar Schadenersatzansprüche Kunden, Dienstleister 35
Vorstand, GF Rechtmäßigkeit der DV insgesamt Bestellung eines bdsb Einführung eines Datenschutz- und Datensicherheitskonzepts Beschaffung von IT-Systemen u. Durchführung von IT-Projekten Sicherung von Vertraulichkeit/Geheimhaltung it/g h i h lt 36
Aufsichtsrat Kontrolle, ob Vorstand/GF alle erforderlichen Maßnahmen im Rahmen Risikomanagement getroffen hat Wenn unzureichende Kontrolle und Eintritt itt von Schäden: persönliche Haftung Nur bei mangelnder Kontrolle 37
IT-Leiter, bdsb Erstellen eines Datenschutz- t und Datensicherheitskonzepts Aktualisierung Regelungen beim Zugang von Externen zu DV- Systemen schaffen Beschaffung von IT-Systemen u. Durchführung von IT-Projekten bdsb: Rechtmäßigkeit der DV 38
Mitarbeiter Nach den Grundsätzen der Arbeitnehmerhaftung Haftung im Innenverhältnis ggü. Arbeitgeber Normale Fahrlässigkeit grobe Fahrlässigkeit Vorsatz 39
Praxis (1) Wartungsarbeiten an einem Server durch externe Dienstleister Back-Up vorhanden? (+) Datenverlust, altes Back-Up, 6 Monate alt Haftung des Auftraggebers Selbst wenn Externe nicht gefragt hätten 40
Praxis (2) Betrieb eines unverschlüsselten Funknetzwerks Jemand hängt sich rein Musiktauschbörsen, Verstoß gegen UrhG Haftbar ist Unternehmen, das unverschlüsseltes lt Funknetz betreibt 41
Praxis (3) Personaldaten werden in den USA verarbeitet Ohne gesetzliche Erlaubnis nach dt./eu Recht Safe Harbor, EU Standardvertragsklauseln, individueller Vertrag bdsb - GF 42
Aus aktuellem Anlass... Gegen kriminelle Energie helfen auch die besten Konzepte nichts Aber: Datensparsamkeit! Was gar nicht erst erhoben, gespeichert wird, kann nicht missbraucht werden Löschungsfristen definieren, i einhalten! Nicht mehr benötigte Daten löschen 43
Aus akuellem Anlass (II) Siemens verklagt Ex-Manager auf Schadensersatz (Pressemeldung von gestern) Kulturwandel bei Managern Man wird nicht nur für eigene Handlungen haftbar gemacht, sondern auch dafür, was man versäumt hat zu tun 44
Kontakt Rechtsanwältin Dr. Bettina Kähler PrivCom Datenschutz GmbH Behringstr. 28 a 22765 Hamburg T. 040.48.40.90.10 E. bettina.kaehler@privcom.de www.privcom.de
5. Starnberger IT-Forum Macario López Monrobé Regional Sales Director
Über Astaro AG Firmenprofil Gegründet 2000 180 Mitarbeiter Hauptsitz in: - Karlsruhe (Germany) - Boston (USA) über 2000 Partner & Reseller weltweit 24/7 Service 2007: 50% Wachstum Astaro schützt mehr als 35.000 Netzwerke in über 60 Ländern Astaro 2008 Astaro Overview Page 2
Über Astaro AG Unser Business Astaro ist ein für mit Bedarf führender Anbieter von All-In-One Internet Security Appliances mittelständische Unternehmen und Organisationen an integrierten Komplettlösungen für - Email Sicherheit, - Web-Filtering und - Netzwerkschutz Im Gegensatz zu bietet nur Astaro Anbietern komplexer Einzel- oder anderer multi-funktionaler Lösungen für Internetsicherheit einfach administrierbare All-In-One-Lösungen mit vollständiger Funktionalität. Astaro 2008 Astaro Overview Page 3
Über Astaro AG Zufriedene Kunden Astaro 2008 Astaro Overview Page 4
Über Astaro AG Auszeichnungen & Preise "knallharte Firewall" PC Pr@xis 3 Best of the Year 2 Editor's Choice Best of the Year Editor's Choice The most polished and easy to use management system we ve seen. InfoWorld An astonishingly rich set of security features. SC Magazine This is a real winner. SC Magazine 2 Product of the Year Recommendation Covers all the bases Excellent InfoWorld Astaro 2008 Astaro Overview Page 5
Herausforderung IT-Security Zu viele Gefahren Zu viele Tools Zu viele Aufgaben Botnets Spam Phishing Scam Hoax Viruses Spyware Gray ware Intrusions Denial of Service Distributed Denial of Service Ping floods Eavesdropper Script Kiddies Espionage Malware Root kits Adware P2P File sharing Trojans Spit Bots Backdoors Buffer Overflows Hackers Malcode Bugs Key loggers Crime ware Pharming Competitors Identity theft Exploits DNS poisoning Snarf attacks Spam bots Spy bots Trap doors War driving Ransomware ASCII bombs Bluesnarfing Worms Decrypting Reverse engineering Port Scanning Firewall & VPN GW Anti-Virus SSL VPN Email/Spam Filter IM & P2P Filter Quality of Service Content Filter IPS & IDS Mail Encryption Evaluation Installation Integration Deployment Helpdesk Training Betrieb Astaro 2008 Astaro Overview Page 6
Firewall & VPN GW Anti-Virus SSL VPN Email/Spam Filter Astaro Security IM & P2P Filter Gateway Quality of Service Content Filter IPS & IDS Mail Encryption Astaro 2008 Astaro Overview Page 7
Astaro Security Gateway Vorteile: weniger Hardware deutlich geringeres Investment geringer Integrations- und Administrationsaufwand einfaches und einheitliches Update Verfahren weniger Trouble-Shooting einfache Hochverfügbarkeit Implementierung geringer Supportaufwand weniger Administratoren Trainings nur ein Ansprechpartner Astaro 2008 Astaro Overview Page 8
Astaro All-In-One-Appliances Simplifying Email, Web and Network Protection Unified Threat Management Email Security Anti Spam & Phishing Dual Virus Protection Email Encryption Web Filtering URL Filter Antivirus & Antispyware IM & P2P Control Hardware Appliance Virtual Appliance Network Protection Firewall VPN Intrusion Protection Software Appliance Astaro 2008 Astaro Overview Page 9
Astaro Web Gateway Simplifying Web All in One Web Gateway All-In-One Web Security Unified Threat Management Hardware Appliance Email Security Anti Spam & Phishing Dual Virus Protection Email Encryption Web Filtering URL / Content Filter Dual Antivirus & Antispyware IM & P2P Control QoS Hardware Appliance Virtual Appliance Virtual Appliance Network Protection Firewall VPN Intrusion Protection Software Appliance Astaro 2008 Astaro Overview Page 10
ASG: Zwölf integrierte Sicherheitsapplikationen Firewall Proxies VPN Gateway Network Security Web Filtering Intrusion Prevention Mail Filtering email Encryption Astaro 2008 Astaro Overview Page 11
Firewall/Packetfilter Stateful Packet Inspection Firewall alle Netzwerkpakete werden beim Durhlauf durch die ASG zwei mal geprüft: beim Eintreten in das Security Gateway und beim Verlassen implizite Firewall-Regeln für die Funktion der Application Gateways und Firewall-internen Dienste werden automatisch generiert Firewall Modul Regeln können Hosts, Netzwerke, Netzwerkgruppen oder VPN-User enthalten Zeitbasierte Regelaktivierung/-deaktivierung Actions: Allow, Drop, Reject Source/Destination/Masquerading NAT (Network Address Translation) Astaro 2008 TFIRE Astaro Overview Page 12
Intrusion Detection and Protection System vollwertiges Intrusion Detection & Protection System erkennt und blockiert >7900 bekannte Attacken (signaturbasiert) außerdem anomaly based Detection im Basismodul (Network Security) enthalten keine zusätzlichen Kosten IDS/IPS Modul im Gegensatz zum Packetfilter inspiziert das IDS/IPS-Modul die Dateninhalte der Pakete auf Angriffe und Anomalitäten ( Röntgendurchleuchtung ) kann für die kundenspezifischen Bedürfnisse und Infrastruktur angepasst werden übersichtliche und einfache Konfiguration Astaro 2008 TIDS1 Astaro Overview Page 13
Proxies / Application Level Gateways Ein Proxy (oder Application Level Gateway) fungiert als ein Vermittler zwischen einem Client und einem Server (somit verbindet sich der Client nicht mehr direkt mit dem Internet) - Folgende Proxies sind integriert: Web (HTTP, HTTPS, FTP-over-HTTP) FTP (native FTP) SMTP POP3 Socks DNS NTP Generische Proxies Ident Proxy Proxies - In der Basislizenz enthalten: Proxy-Nutzung inklusive Benutzer-Authentifizierung aktives Filtern von Inhalten Zwischenspeicherung (Caching) Astaro 2008 TPROXY Astaro Overview Page 14
VPN Gateway VPN-Gateway ohne spezielle Limitierungen bezüglich Tunnelanzahl, Useranzahl oder Durchsatz User-to-Site-VPNs zur Anbindung von Home-Office User, Mobile User (Road Warriors) PPTP, L2TP, SSL oder IPSec-basiert VPN Gateway Site-to-Site-VPNs für die Vernetzung von Niederlassungen, Vertriebsbüros, Home-Offices, Site-to-Center, Fully meshed sowie Hub-and-Spoke unterstützt Vielzahl von Verschlüsselungsalgorithmen hohe Interoperabilität mit anderen VPN-Devices Astaro Secure Client als VPN Client mit Desktop Firewall Astaro SSL Client als kostenloser Client zum Aufbau der Remote Access Verbindung kostenlos CA im ASG Gateway integriert für VPN Authentifizierung über PKI- Technologie One-Click-VPN : äußerst einfache Konfiguration & Installation Astaro 2008 TVPN Astaro Overview Page 15
ASG: Zwölf integrierte Sicherheitsapplikationen Firewall Proxies Anti-Virus For Web Content Filtering URL Blocking VPN Gateway Network Security Web Filtering Spyware Blocker Intrusion Prevention IM/P2P Protection Mail Filtering email Encryption Astaro 2008 Astaro Overview Page 16
Antivirus für Email und Web Traffic einzige Multifunktions-Sicherheitslösung mit zwei integrierten Virenscannern Findet Viren, Würmer, Trojaner und andere Malware jedes Mail-Attachment, jeder Download kann sequentiell über beide Virenscanner geprüft werden Antivirus für Email Unterstützt HTTP, FTP, SMTP, POP3 Geplant für 2008: auch für HTTPS-Verkehr weitere Sicherheitsprüfungen: File Extension Blocking (HTTP, SMTP, POP3) MIME-Type Blocking (HTTP) Strip Java, JavaScript, ActiveX, Flash, VBScript (HTTP) URL Blacklist/Whitelist (HTTP,FTP) Expression Filter (SMTP, POP3) Antivirus für Web Content-Filtering-Einstellungen können konfiguriert werden Pro Maildomäne (SMTP Proxy) Pro virtuellem Proxy (HTTP Proxy) Astaro 2008 TVIRUS Astaro Overview Page 17
Spyware Protection Erkennung von Spyware, Ad-Ware etc. beim Herunterladen über den Browser Spyware lädt man als Benutzer unbemerkt herunter, diese installiert sich und liefert dem Spyware- Lieferant Informationen zurück (Surfverhalten, besuchte Websites, Quell-IP-Adresse etc.) Spyware Blocker Monitoring Tools und Rootkits, die als Spyware heruntergeladen werden, können unerkannte Backdoors in das Firmennetz öffnen erkennt auch bereits im Unternehmen befindliche Spyware, die nach außen kommunizieren will Astaro 2008 TSPY Astaro Overview Page 18
Content Filtering (URL Blocking/ Surf Protection) technische Maßnahme, um den Benutzer-Zugriff ins Internet zu restriktieren ermöglicht die einfache Umsetzung der Unternehmens-richtlinie für Web-Surfen anhand von erlaubten und verbotenen Kategorien (ca. 60 Kategorien zur Auswahl) erhöht Produktivität der Mitarbeiter Content Filter / URL-BLocker implementiert die Umsetzung rechtlicher Vorgaben Jugendschutzgesetz Strafgesetzbuch 86, 130/130a, 131, 184, 184a/b Risikominimierung (Basel II) die Definition von Zugriffsberechtigungen kann nach IP-Adressen oder benutzerbasiert erfolgen (Anbindung an ADS, LDAP, edirectory, RADIUS/TACACS, local Users) ADS und edirectory Benutzer werden transparent, d. h. ohne Username/Paßwort-Abfrage, zugeordnet ( SSO : Single-Sign-On) Berechtigungen können zeitbasiert gesteuert werden ermöglicht z. B. während der Mittagszeit oder nach Feierabend eine weniger restriktive Policy Astaro 2008 TCONTENT Astaro Overview Page 19
IM & P2P - Überwachung kontrolliert und restriktiert die Nutzung von Instant Messaging Programmen (AOL IM, ICQ, MSN Messenger, Skype ) und Peer-to- Peer Transfertools (Bittorrent, edonkey, Gnutella, ) minimiert das Risiko von verbotenerweise übertragenen Programmen oder Dokumenten nach außen oder von außen IM / P2P- Protection bei einem Großteil der Instant Messaging Tools kann zwischen log only, block completely und block file transfers differenziert werden -> ermöglicht es, dass Chatten und Internet-Telefonie erlaubt sind, aber Dateitransfers geblockt werden Bandbreitenbegrenzung: Administrator kann kontrollieren, welche IM/P2P-Anwendung wieviel Bandbreite erhält Astaro 2008 TIMP2P Astaro Overview Page 20
ASG: Zwölf integrierte Sicherheitsapplikationen Firewall Proxies Anti-Virus For Web Content Filtering URL Blocking VPN Gateway Network Security Web Filtering Spyware Blocker Intrusion Prevention IM/P2P Protection Anti-Spam Mail Filtering Anti-Virus for email Anti-Phishing email Encryption Astaro 2008 Astaro Overview Page 21
Antivirus für Email und Web Traffic einzige Multifunktions-Sicherheitslösung mit zwei integrierten Virenscannern Findet Viren, Würmer, Trojaner und andere Malware jedes Mail-Attachment, jeder Download kann sequentiell über beide Virenscanner geprüft werden Antivirus für Email Unterstützt HTTP, FTP, SMTP, POP3 Geplant für 2008: auch für HTTPS-Verkehr weitere Sicherheitsprüfungen: File Extension Blocking (HTTP, SMTP, POP3) MIME-Type Blocking (HTTP) Strip Java, JavaScript, ActiveX, Flash, VBScript (HTTP) URL Blacklist/Whitelist (HTTP,FTP) Expression Filter (SMTP, POP3) Antivirus für Web Content-Filtering-Einstellungen können konfiguriert werden Pro Maildomäne (SMTP Proxy) Pro virtuellem Proxy (HTTP Proxy) Astaro 2008 TVIRUS Astaro Overview Page 22
Spam Schutz für Email Spam Lösung für SMTP und POP3 Mails Kombination aus 9 verschiedenen Anti-Spam Technologien führt zu sehr hoher Trefferquote Expression Filter Realtime Blackhole Lists (RBLs) (*) Greylisting (*) SPF (Sender Policy Framework) Check (*) BATV (Bounce Address Tag Verification) (*) Recipient check (*) Dialup network blocking (*) URL Check gegen die URL Filter Datenbank CommTouch Scoring (Heuristic & Fingerprint) (*) (Reputations-Service mit Spam Outbreak-Erkennung basierend auf patentierter Recurrent-Pattern Detection TM Technologie - Online-Datenbankabfrage) Anti-Spam Administrator kann zwei Schwellwerte für die SPAM-Erkennung definieren für Warn und für Quarantine Daily Spam Report / End-User-Portal erlaubt es den Anwendern, ihre geblockten Spam-Mails selbst zu releasen und eigene Whitelisten zu pflegen (*): Reject-before-accept = Mails, die aufgrund eines dieser Technologien als Spam erkannt werden, werden sofort zurückgewiesen (bevor die Mail von der ASG angenommen wird) Astaro 2008 TSPAM1 Astaro Overview Page 23
Astaro Security Gateway Daily Spam Report Astaro 2008 Astaro Overview Page 24
Astaro Security Gateway End User Portal Astaro 2008 Astaro Overview Page 25
Phishing Protection unter Phishing versteht man das Ausspionieren von Benutzer- und Kontendatendaten, z.b. von Nutzern von Onlinebanking, indem gefälschte Mails versendet werden, in denen die Benutzer aufgefordert werden, auf einer Website Kontonummer, PIN, TAN etc. einzugeben. Dabei wird das echte Onlineportal der Bank täuschend echt imitiert, um die Kunden nicht misstrauisch werden zu lassen Anti-Phishing Erkennung von Phishing Mails über heuristische Algorithmen sowie URL Matching Phishing Mail sind nicht nur ein Problem für Privatanwender auch Firmen können geschädigt werden: Reisekostenstelle Buchhaltung Chefsekretärin Angestellte von Steuerberatern, Vermögensberatern, Astaro 2008 TPHISH Astaro Overview Page 26
ASG: Zwölf integrierte Sicherheitsapplikationen Firewall Proxies Anti-Virus For Web Content Filtering URL Blocking VPN Gateway Network Security Web Filtering Spyware Blocker Intrusion Prevention IM/P2P Protection Anti-Spam Mail Filtering Anti-Virus for email Anti-Phishing email Encryption Astaro 2008 Astaro Overview Page 27
Email Verschlüsselung ver- und entschlüsselt sowie signiert Emails automatisch Benutzer müssen weder Verschlüsselungssoftware installieren noch Keys und Zertifikate verwalten unterstützt PGP und S/MIME Standard integrierte Schlüsselgenerierung und verwaltung externe CA s werden unterstützt Email Encryption KEINE zusätzliche Client Software benötigt Verschlüsselungslösung auf der ASG Verschlüsselungsfähiger Client oder anderes Encryption Gateway Interne User OpenPGP S/MIME Email Server SMTP Content Scanning/ Virus Protection ASG Email Encryption & Decryption Management of Keys & Certificates PGP S/MIME Externe User Externe User Astaro 2008 Astaro Overview Page 28
Mehrschichtige Sicherheitsarchitektur Externer Nutzer Internet Firewall und VPN Interne Nutzer LANs Intrusion Protection Content Filter Virus/Spam/ Spyware Database Email Web Zugriff auf Ressourcen Astaro 2008 Astaro Overview Page 29
Astaro Produkte Der All-in-One Ansatz komplette Email, Web & Network Sicherheit zentrales Monitoring All-In-One Appliances Browser-based Management Web-Admin Logging und Reporting Firmware & Pattern Updates Astaro 2008 Astaro Overview Page 30
Astaro All-In-One-Appliances ASG Hardware Modelle Empfohlene Benutzerzahl 2500 1500 ASG 525 750 ASG 425 250 ASG 320 100 50 10 ASG 120 ASG 110 ASG 220 Virtualisierung mit VMware Server Kleine Netze Mittlere Netze Große Netze Astaro 2008 Astaro Overview Page 31
Astaro All-In-One-Appliances AWG Hardware Models Empfohlene Benutzer 2500 1500 AWG 4000 ASG 525 750 250 AWG 3000 ASG 425 AWG 2000 ASG 320 100 50 10 ASG 120 ASG 110 AWG 1000 ASG 220 Virtualisierung mit VMware Server Kleine Netze Mittlere Netze Große Netze Astaro 2008 Astaro Overview Page 32
Astaro Security Gateway Alleinstellungsmerkmale und Highlights AJAX-featured WebGui Clientless Email Encryption & Signing (TLS, S/MIME, OpenPGP) Virenscanning von verschlüsselten Emails (S/MIME & OpenPGP) komplette IPsec, SSL, PPTP und L2TP VPN Unterstützung One-click Full IP SSL VPN mit unlimited free Clients und unschlagbar einfacher Installation- und Einrichtung duale, unabhängige Anti Viren Engines umfangreiche Spam Erkennungsmechanismen inkl. Reputations-Datenbankabfrage Quarantäne für Spam Emails auf lokaler Festplatte End User Portal für Spam und VPN Self-Management Daily Spam Report zur komfortablen Übersicht über die geblockten Mails Astaro 2008 Astaro Overview Page 33
Astaro Security Gateway Alleinstellungsmerkmale und Highlights AJAX-featured WebGui Clientless Email Encryption & Signing (TLS, S/MIME, OpenPGP) Virenscanning von verschlüsselten Emails (S/MIME & OpenPGP) komplette IPsec, SSL, PPTP und L2TP VPN Unterstützung One-click Full IP SSL VPN mit unlimited free Clients und unschlagbar einfacher Installation- und Einrichtung duale, unabhängige Anti Viren Engines umfangreiche Spam Erkennungsmechanismen inkl. Reputations-Datenbankabfrage Quarantäne für Spam Emails auf lokaler Festplatte End User Portal für Spam und VPN Self-Management Daily Spam Report zur komfortablen Übersicht über die geblockten Mails Astaro 2008 Astaro Overview Page 34
Astaro Security Gateway Alleinstellungsmerkmale und Highlights Granulare Web Access Control Policies inkl. edirectory & Active Directory SingleSignOn Verhindert den Download von Spyware und hindert infizierte Systeme daran, Informationen an Spyware- Server zu senden Automatische Updates (Up2Date) alle Module und Technologien sind vollständig in Konfigurationsoberfläche sowie Up2Date-Prozess integriert zero-configuration High-Availibility Astaro 2008 Astaro Overview Page 35
Astaro Hochverfügbarkeit Active-Passive HA Basismodul Master Status & Config. Synchronisation Tunnel Internet Slave Alle Tunnel, FW-Verbindungen und Quarantäne-Objekte synchronisiert Stateful Failover < 2sec Astaro 2008 Astaro Overview Page 36
Astaro Security Gateway Alleinstellungsmerkmale und Highlights Granulare Web Access Control Policies inkl. edirectory & Active Directory SingleSignOn Verhindert den Download von Spyware und hindert infizierte Systeme daran, Informationen an Spyware- Server zu senden Automatische Updates (Up2Date) alle Module und Technologien sind vollständig in Konfigurationsoberfläche sowie Up2Date-Prozess integriert zero-configuration High-Availibility Active/Active Clustering mit integriertem Loadbalancing Astaro 2008 Astaro Overview Page 37
Astaro Clustering Active-Active HA High Availability (Active/Active) (loadbalancing) Patent pending LAN Scalability Internet Full mesh Full mesh Astaro 2008 Astaro Overview Page 38
Astaro Security Gateway Alleinstellungsmerkmale und Highlights Granulare Web Access Control Policies inkl. edirectory & Active Directory SingleSignOn Verhindert den Download von Spyware und hindert infizierte Systeme daran, Informationen an Spyware- Server zu senden Automatische Updates (Up2Date) alle Module und Technologien sind vollständig in Konfigurationsoberfläche sowie Up2Date-Prozess integriert zero-configuration High-Availibility Active/Active Clustering mit integriertem Loadbalancing vollwertiges Intrusion Prevention System (IDS / IPS) erkennt über 7900 Angriffe Granulare IM/P2P Kontrolle, inkl. Skype blocking Astaro 2008 Astaro Overview Page 39
Astaro SSL VPN Client - Basiert auf OpenVPN Client - Nutzung der neusten SSL version (TLS) Bietet sichere Authentifizierung und Verschlüsselung Kann für alle Protokolle und Anwendungen benutzt werden VPN Gateway - Einfachste Installation (über End User Portal) und Nutzung ( One-Click VPN ) - Plattform unabhängig Windows, Linux, MacOS X, Solaris, OpenBSD, FreeBSD, NetBSD - Nutzbar von überall Via NAT, UMTS, GPRS, DSL,.. dynamische IP Adressen hinter Firewalls und Proxies Astaro 2008 TSSLVPN Astaro Overview Page 40
Astaro Secure Client (ASC) Der ASC ist ein IPSEC-VPN-Client Software, welche auf Notebooks oder remote Arbeitsplätzen installiert wird. Wird das Firmennetzwerk durch ein ASG geschützt, kann der ASC-Client eine sichere (d. h. authentifizierte und verschlüsselte) Verbindung zur ASG herstellen. VPN Gateway Der ASC selbst besitzt eine integrierte Personal Firewall, sodass der Arbeitsplatzrechner auch dann geschützt ist, wenn der VPN Tunnel nicht aktiv ist. Im Gegensatz zu VPN-Lösungen mit eigenständiger Firewall ist der Telearbeitsplatz dadurch bereits vor der eigentlichen VPN-Nutzung gegen Angriffe geschützt. Astaro 2008 TASC Astaro Overview Page 41
Alle Astaro Produkte auf einen Blick Unified Threat Management Appliances für einen umfassenden Schutz gegen sämtliche Internetgefahren All-In-One Web Security-Appliances für einen kompletten Schutz gegen sämtliche Web-Angriffe Zentrales Management und Echtzeit- Überwachung von Installationen mit vielen ASG Appliances Zentrale Security Reporting Engine, die Daten sammelt, korreliert, auswertet und grafisch darstellt Fortschrittlicher IP Sec VPN Client mit Personal Firewall und integriertem Dialer Astaro 2008 Astaro Overview Page 42