IT-Security-Profis müssen sich in fünf Fachbereichen auskennen», hat Gartner-Analyst Mark Nicolett schon im Herbst 2003 festgestellt. Fundierte Kenntnisse über Theorie und Praxis von Sicherheits- und Datenschutztechnologien sind dabei nur der Anfang – auch um Themen wie Risikoanalyse, Business-Continuity-Planung und nicht zuletzt den optimalen Einsatz des oft beschränkten Budgets kommt der Sicherheitsverantwortliche eines Unternehmens nicht herum.
Ausserdem hat sich die Bedrohungslage in den letzten Jahren kontinuierlich verschärft, was nicht nur die Marketingabteilungen der Security-Hersteller regelmässig verkünden. Vor allem Mail-Würmer haben des öfteren ganze Netzwerke lahmgelegt, und auch Hacker-Attacken nehmen zu. Praktisch täglich kommen neue Lücken in Browsern, Mail-Programmen und Betriebssystemen ans Licht. Und die Ausbreitung geschäftskritischer Anwendungen mit Web-Interface macht Sicherheitsprobleme eigentlich zur Chefsache.
Selbst viele namhafte Unternehmen sind aber mit Aufbau und Pflege einer sicheren IT-Infrastruktur hoffnungslos überfordert – obwohl in manchen Fällen schon der Einsatz des gesunden Menschenverstands beim Umgang mit Mail und Web das Allerschlimmste verhindern könnte.
In kleineren Betrieben reicht es meist nicht einmal für einen vollamtlichen Security-Verantwortlichen. Wenn überhaupt, kümmert sich der Sysop nebenbei noch ein bisschen um die Sicherheitsbelange. Nebenbei-Know-how reicht aber bei weitem nicht aus, um Viren, Würmern, Hackern und fahrlässigen Benutzern Herr zu werden.
Sogenannte Managed Security Services wollen diesem Missstand abhelfen. Auch für KMU gibt es mittlerweile ein riesiges Security-Outsourcing-Angebot. Im Zentrum stehen dabei Firewalls mit oder ohne DMZ sowie VPN-Verbindungen. Daneben bietet der Markt auch Intrusion-Detection-Dienste sowie gesicherte Gateways für Mail und andere Anwendungen an.
Eine Firewall bildet die Grundlage für alle übrigen Sicherheitsanstrengungen. Die meisten Managed-Firewall-Angebote umfassen auch eine zentrale Virenabwehr. Beides zusammen ist nicht ganz einfach zu konfigurieren, muss laufend überwacht und bei Bedarf an neuartige Bedrohungen angepasst werden – die Firewall ist demnach eine ideale Auslagerungskandidatin. Noch komplexer wird es, wenn ein Unternehmen eigene Server betreibt, die für externe Benutzer zugänglich sein sollen: Die Verwaltung einer demilitarisierten Zone (DMZ) erfordert noch mehr Know-how als der Betrieb einer Firewall, die sich nur mit dem Web- und Mailverkehr der internen User zu befassen hat. Ähnliches gilt für die Anbindung von mobilen Benutzern und Teleworkern: Zwar bietet heute jeder bessere ADSL-Router integrierte VPN-Funktionalität, aber auch diese muss konfiguriert und überwacht werden.
Die meisten Managed-Services-Anbieter leisten ihre Dienste per Fernwartung: Die Firewall steht beim Kunden und wird über eine üblicherweise ebenfalls per VPN gesicherte Verbindung verwaltet. Die Hardwaremiete ist dabei meist im Dienstleistungspreis enthalten; bei einigen Anbietern muss die Box gekauft werden.
Für einfache Verhältnisse mit einigen Mail- und Web-Usern ohne DMZ, wie sie in zahlreichen Kleinunternehmen vorliegen, mag eine Standardkonfiguration genügen. Anders sieht es aus, wenn eigene Server, mehrere Systemplattformen, verteilte Standorte und externe Mitarbeiter hinzukommen: Ohne eingehende Analyse der Infrastruktur mit ihren Schwachstellen und Risiken sowie der Bedürfnisse lässt sich keine brauchbare Security-Strategie entwickeln.
Diverse Anbieter offerieren deshalb neben dem ausgelagerten Betrieb der Sicherheitsinfrastruktur auch die Analyse des bestehenden Netzwerks, die Überprüfung der Netzwerksicherheit und die Planung einer verbesserten Infrastruktur als Dienstleistung.
Wie umfassend die Sicherheitsanalyse eines komplexen Unternehmensnetzwerks ausfallen kann, zeigt die Servicepalette von Omicron (www.omicron.ch). Dieser Anbieter von Security-Produkten und -Dienstleistungen gliedert sein Beratungsangebot in verschiedene «Analysemodule», die je nach Bedarf kombiniert werden:
•
System & Network Audit: Entsprechen die Systeme den Unternehmensrichtlinien? Werden die Richtlinien eingehalten? Sind die Richtlinien überhaupt praktikabel?
•
Infrastructure Assessment: Systeme, Anwendungen und das ganze Netz werden systematisch auf Schwachstellen untersucht.
•
Web Applications Assessment: Anwendungen, auf die externe Benutzer übers Web zugreifen können, stellen besonders hohe Anforderungen an die Sicherheit – vom Anmeldeverfahren bis zum Zugriff auf Untenehmensdatenbanken wird abgeklärt, ob sich die Sicherheit auf dem höchstmöglichen Niveau befindet.
•
Firewall Assessment: Eine schlecht konfigurierte Firewall kann mehr schaden als nützen. Das Firewall Assessment überprüft die Konfiguration, die Qualität der Regeln und die Immunität der Firewall gegen mögliche Angriffe von aussen.
•
Penetration Test: In einem kontrollierten, aber realistischen Angriffs-Szenario wird das Netzwerk auf Schwachstellen geprüft.
•
Architecture Review: Schon beim Aufbau des Netzwerks sind Sicherheitsbelange zu berücksichtigen. Im Lauf der Zeit können sich sowohl die Struktur des Netzwerks als auch die Anforderungen ändern. Der Architecture Review zeigt Sicherheitsprobleme auf, die aufgrund des ursprünglichen und weiterentwickelten Netzwerkdesigns entstehen.
Eine Untersuchung des Schweizer Managed-Security-Markts mit Schwerpunkt auf KMU-taugliche Managed Firewalls bringt als erstes die Erkenntnis, dass mindestens drei verschiedene Kategorien von Anbietern existieren:
• Internet-Access-Provider, die auf Geschäftskunden spezialisiert sind: ISPs wie Cybernet, Green, Via.Networks und Swisscom offerieren Managed Firewalls vornehmlich als Zusatzdienstleistung zum Internet-Zugang. Den SecurePoP von Swisscom Enterprise Services gibt es beispielsweise nur zusammen mit einem DSL-Anschluss oder einer Standleitung des Swisscom-Business-ISP IPPlus. Internetzugang und Firewall-Dienst beim gleichen ISP bringt technische Vorteile, aber auch mehr Abhängigkeit vom Provider mit sich: Was passiert zum Beispiel, wenn man den Access-Provider wechseln möchte?
• Distributoren und Hersteller von Security-Produkten: Teils ebenfalls als Ergänzung zum Hardware- oder Softwarekauf, aber auch als eigenständige Dienstleistung bietet zum Beispiel Omicron als Handelspartner von ISS, Network General, McAfee und anderen Security-Herstellern auch Sicherheitsdienstleistungen an. Im Zentrum stehen dabei die Analyse und die Beratung, weniger der Betrieb und die Rund-um-die-Uhr-Überwachung der Firewall. Auch die Hersteller selbst mischen mit, allen voran Symantec: Der gelbe Sicherheits-Riese bietet sich mit umfassenden Managed-Security-Diensten an – naturgemäss auf Basis der hauseigenen Produkte, also auch nicht frei von Abhängigkeiten.
• Spezialisierte Security-Beratungsfirmen: Anbieter wie Celeris und Open Systems fungieren in erster Linie als Beratungs- und Supportunternehmen. Um Security-Outsourcing anbieten zu können, haben sie eine eigene, weltweit zugängliche Security-Management-Infrastruktur aufgebaut: Celeris arbeitet mit einer eigenentwickelten Lösung namens «Secopia»; bei Open Systems nennt sich die rund um die Uhr verfügbare Security-Zentrale «Mission Control».
Ein Blick in die Tabelle, die wohlgemerkt keinerlei Anspruch auf Vollständigkeit erhebt, zeigt, dass eine Managed Firewall schon für wenig Geld zu haben ist. Mit Preisen ab 39 Franken pro Monat rechnet sich ein Auslagern praktisch von Anfang an, sogar wenn man die Setup-Gebühr dazurechnet: Schon ein, zwei Technikerstunden, die beim Aufsetzen der Firewall schnell einmal anfallen, kosten erheblich mehr.
Unterschiede zeigen sich im Service-Level und im Funktionsumfang, oft auch zwischen den verschiedenen Angeboten eines Providers: Wir haben jeweils den Preis für die einfachste Konfiguration angegeben, in der oft keine DMZ unterstützt wird. Auch die Überwachung rund um die Uhr (7/24-Monitoring) und die Meldung von unautorisierten Zugriffen und anderen Alarmfällen in Echtzeit sind nicht in allen Basispaketen inbegriffen.
Neben den rein technischen Problemkreisen sollte eine umfassende Sicherheitsanalyse aber auch weiche Faktoren berücksichtigen – ganz nach dem Motto «der Mensch ist die grösste Schwachstelle». Wie reagieren die Mitarbeiter zum Beispiel auf «Social Engineering» – geben sie vertrauliche Daten wie Passwörter und User-IDs bekannt, wenn ein vorgeblicher Supportmitarbeiter telefonisch anfragt? Welche Informationen über Organisation und Infrastruktur enthält die Website des Unternehmens – kann daraus womöglich auf Schwachstellen geschlossen werden? Wem steht die Tür nicht nur sprichwörtlich, sondern tatsächlich offen – genügt die Uniform eines Kurierdiensts, um ungehinderten Zugang zum Backoffice-Bereich zu erhalten? Omicron formuliert es so: «Warum durch Port 80, wenn die Tür bereits offensteht?» und weist darauf hin, dass «ein guter Hacker meist ohne Computer» arbeitet.
