Als die IT noch EDV hiess, genügte eine simple Firewall, um das firmeninterne Netzwerk vor den ziemlich seltenen Hacker-Angriffen zu schützen. Heute wird die Integrität der IT-Systeme und der damit verwalteten Informationen permanent von einer Fülle unterschiedlichster Bedrohungen angegriffen, von der Spam-Flut über Denial-of-Service-Attacken, Phishing, Trojaner und Viren bis zum Konsum illegaler Inhalte und zur gewollten oder unabsichtlichen Verbreitung von Geschäftsgeheimnissen durch die Mitarbeiter.
Das Arsenal an Software und Hardware, das für eine hinreichend abgesicherte Unternehmensumgebung benötigt wird, ist dementsprechend komplex geworden. Vor allem kleinere Betriebe und Organisationen können sich neben der nach wie vor zentralen Firewall nicht auch noch separate Systeme für Spam-Abwehr, Virenschutz, Erkennung und Abwehr von Hacker-Angriffen, Web- und Mail-Content-Filtering leisten. Und zwar nicht nur wegen der Anschaffungs- und Lizenzkosten: Jede Einzellösung kommt typischerweise mit einer eigenen Administrationsoberfläche daher, arbeitet mit eigenen Konfigurationsdaten und Benutzerrollen, und für jeden Teilaspekt der IT-Sicherheit braucht es mehr oder weniger spezielles Know-how. Da ist der Netzwerkadministrator im KMU rasch überfordert, wenn es denn überhaupt einen gibt.
Ohne Firewall zwischen dem internen Netzwerk und dem Internet kommt heute nicht einmal mehr der Privatanwender aus. Wieso also nicht gleich weitere Sicherheitsfunktionen in diese topologisch periphere, für Sicherheitsbelange aber zentrale Komponente integrieren? Firewall-Hersteller und andere Security-Anbieter beantworten diese Frage seit zwei, drei Jahren mit einem Paket aus Produkten und Dienstleistungen, das sich Unified Threat Management nennt (Vereinheitlichter Umgang mit Bedrohungen, kurz UTM).
UTM-Lösungen kombinieren die klassische Firewall mit einer mehr oder weniger vollständigen Auswahl der übrigen Sicherheitsfunktionen. Dazu gehören im Minimum ein IDS/IPS (Intrusion Detection/Prevention System) zum Erkennen von Angriffen und zur Abwehr von Eindringlingen, ein Malware-Scanner sowie Filter gegen Spyware und Spam. Meist ist auch ein VPN-Service zur Anbindung externer und mobiler Mitarbeiter und Geschäftspartner enthalten. Auf keinen Fall fehlen dürfen umfassende Funktionen für Monitoring, Logging und Reporting der sicherheitsrelevanten Vorgänge.
Einige Systeme bieten darüber hinaus Content-Filtering für den E-Mail- und Web-Verkehr. Eine weitere mögliche Funktion ist die Analyse der vorhandenen Netzwerkkomponenten, Server und Workstations auf Schwachstellen.
Es versteht sich von selbst, dass eine UTM-Lösung, die ja unter anderem Funktionen zur Viren- und Spam-Abwehr enthält, wie die klassischen Virenschutzprogramme laufend auf den neuesten Stand gebracht werden muss. Demzufolge sind bei der Evaluation nicht nur die Anschaffungskosten für die Software oder Hardware-Appliance zu berücksichtigen, sondern auch die laufenden Abonnementskosten, die für die Updates der Viren- und Spamsignaturen und fürs Nachführen der Software-Engines anfallen.
Unified Threat Management wird in drei Produktformen angeboten: Als Software, als Appliance und als Managed-Service – mehr dazu in unserer Marktübersicht zu den Schweizer Anbietern von Managed Security Services auf Seite 39.
Wer sich, zum Beispiel aus Diskretionsgründen, lieber selbst um die IT-Sicherheit kümmern will, hat grundsätzlich die Wahl zwischen einer Software-Suite zur Installation auf einem handelsüblichen Server und einer UTM-Appliance. Darunter versteht man ein dediziertes Gerät im Rackmount- oder Desktop-Gehäuse, auf dem sämtliche Sicherheitssoftware installiert und vorkonfiguriert wurde.
Mit einer Software-Suite hat man zwar mehr Freiheit bei der Wahl der Hardware, auf der die Sicherheitsfunktionen laufen, dafür fällt aber auch umso mehr Installations- und Konfigurationsaufwand an, und der Vorteil des «integrierten Know-how» einer vorkonfigurierten Appliance fällt dahin. Softwarebasiertes Unified
Threat Management stammt meist von Herstellern, die auch sonst Security-Software anbieten. Beispiele sind Endpoint Protection von Symantec und Network Protection von Norman. Einige Appliance-Hersteller wie Astaro und Collax bieten die sonst auf den Appliances vorinstallierte UTM-Software optional auch zur Implementation auf einem eigenen Server an.
Appliances eignen sich besonders für kleine und mittelgrosse Organisationen – es gibt Modelle für Umgebungen mit fünf bis um die tausend User. Im einfachsten Fall wird die UTM-Appliance einfach zwischen dem Internet-Gateway und dem Switch ins Netzwerk eingebunden und versieht ohne grosse Konfigurationsarbeiten auf Anhieb ihren Dienst – dies gilt besonders für ganz kleine Umgebungen mit einigen wenigen Arbeitsplätzen.
In den meisten UTM-Appliances für den SOHO-Einsatz, die schon ab ein paar hundert Franken erhältlich sind, ist ein Switch mit vier bis acht Ports integriert. Einige Modelle sind zusätzlich mit einem WLAN-Access-Point ausgestattet.Das ist praktisch und macht separate Switches und Access Points oft überflüssig.
Auf der anderen Seite sind die Einstiegsmodelle nicht auf Hochverfügbarkeit und Skalierbarkeit ausgelegt. Viele UTM-Appliances für grössere Umgebungen bieten dagegen eine Failover-Funktion: Sie lassen sich paarweise einsetzen und schalten beim Ausfall eines Geräts automatisch auf das andere um. Redundante Netzteile, LAN-Anbindungen und andere ausfallsichere Komponenten bieten dagegen nur wenige Highend-Modelle, die für Grossunternehmen konzipiert sind.
Ein genereller Vorteil vieler Appliances: Sie arbeiten nicht mit einem Standard-Betriebssystem, das auf Standard-Serverhardware läuft, sondern sind meist mit einem von Anfang an auf Sicherheit getrimmten «gehärteten» Betriebssystem ausgestattet. Die Leistung, die für die Analyse der Datenströme und die Verschlüsselung des VPN-Verkehrs benötigt wird, erzielen vor allem die High-end-Geräte oft mit Hilfe von speziell entwickelten ASICs.
Nicht alles, was sich UTM nennt, ist jedoch wirklich «unified». Einige Lösungen, die sich mit dem Attribut UTM schmücken, sind nicht viel mehr als ein zusammengewürfeltes Sammelsurium verschiedener Softwaretools, die man individuell konfigurieren und verwalten muss. Echte UTM-Lösungen gehen einen Schritt weiter: Die gesamte Administration und Überwachung erfolgt über eine einheitliche Oberfläche, und die verschiedenen Softwarekomponenten sind auf Basis einer zugrundeliegenden gemeinsam genutzten Engine so konfiguriert, dass sie sich nicht gegenseitig behindern.
Idealerweise arbeiten alle Komponenten auch mit einem gemeinsamen Regelwerk und einem einheitlichen Rollenmodell, so dass das UTM-System im Ernstfall eines Angriffs von sich aus sinnvoll als Ganzes reagiert und dabei die unternehmensweite Security-Policy berücksichtigt.Diese enge Integration ist jedoch bei weitem noch nicht in allen UTM-Lösungen realisiert, die heute auf dem Markt erhältlich sind.
UTM-Appliances von 13 Herstellern in der Übersicht
