Schmerzlose Sicherheit

Sogenannte Managed Security Services wollen diesem Missstand abhelfen. Auch für KMU gibt es mittlerweile ein riesiges Security-Outsourcing-Angebot. Im Zentrum stehen dabei Firewalls mit oder ohne DMZ sowie VPN-Verbindungen. Daneben bietet der Markt auch Intrusion-Detection-Dienste sowie gesicherte Gateways für Mail und andere Anwendungen an.

Eine Firewall bildet die Grundlage für alle übrigen Sicherheitsanstrengungen. Die meisten Managed-Firewall-Angebote umfassen auch eine zentrale Virenabwehr. Beides zusammen ist nicht ganz einfach zu konfigurieren, muss laufend überwacht und bei Bedarf an neuartige Bedrohungen angepasst werden – die Firewall ist demnach eine ideale Auslagerungskandidatin. Noch komplexer wird es, wenn ein Unternehmen eigene Server betreibt, die für externe Benutzer zugänglich sein sollen: Die Verwaltung einer demilitarisierten Zone (DMZ) erfordert noch mehr Know-how als der Betrieb einer Firewall, die sich nur mit dem Web- und Mailverkehr der internen User zu befassen hat. Ähnliches gilt für die Anbindung von mobilen Benutzern und Teleworkern: Zwar bietet heute jeder bessere ADSL-Router integrierte VPN-Funktionalität, aber auch diese muss konfiguriert und überwacht werden.

Die meisten Managed-Services-Anbieter leisten ihre Dienste per Fernwartung: Die Firewall steht beim Kunden und wird über eine üblicherweise ebenfalls per VPN gesicherte Verbindung verwaltet. Die Hardwaremiete ist dabei meist im Dienstleistungspreis enthalten; bei einigen Anbietern muss die Box gekauft werden.

Für einfache Verhältnisse mit einigen Mail- und Web-Usern ohne DMZ, wie sie in zahlreichen Kleinunternehmen vorliegen, mag eine Standardkonfiguration genügen. Anders sieht es aus, wenn eigene Server, mehrere Systemplattformen, verteilte Standorte und externe Mitarbeiter hinzukommen: Ohne eingehende Analyse der Infrastruktur mit ihren Schwachstellen und Risiken sowie der Bedürfnisse lässt sich keine brauchbare Security-Strategie entwickeln.
Diverse Anbieter offerieren deshalb neben dem ausgelagerten Betrieb der Sicherheitsinfrastruktur auch die Analyse des bestehenden Netzwerks, die Überprüfung der Netzwerksicherheit und die Planung einer verbesserten Infrastruktur als Dienstleistung.

Wie umfassend die Sicherheitsanalyse eines komplexen Unternehmensnetzwerks ausfallen kann, zeigt die Servicepalette von Omicron (www.omicron.ch). Dieser Anbieter von Security-Produkten und -Dienstleistungen gliedert sein Beratungsangebot in verschiedene «Analysemodule», die je nach Bedarf kombiniert werden:

•
System & Network Audit: Entsprechen die Systeme den Unternehmensrichtlinien? Werden die Richtlinien eingehalten? Sind die Richtlinien überhaupt praktikabel?

•
Infrastructure Assessment: Systeme, Anwendungen und das ganze Netz werden systematisch auf Schwachstellen untersucht.

•
Web Applications Assessment: Anwendungen, auf die externe Benutzer übers Web zugreifen können, stellen besonders hohe Anforderungen an die Sicherheit – vom Anmeldeverfahren bis zum Zugriff auf Untenehmensdatenbanken wird abgeklärt, ob sich die Sicherheit auf dem höchstmöglichen Niveau befindet.

•
Firewall Assessment: Eine schlecht konfigurierte Firewall kann mehr schaden als nützen. Das Firewall Assessment überprüft die Konfiguration, die Qualität der Regeln und die Immunität der Firewall gegen mögliche Angriffe von aussen.

•
Penetration Test: In einem kontrollierten, aber realistischen Angriffs-Szenario wird das Netzwerk auf Schwachstellen geprüft.

•
Architecture Review: Schon beim Aufbau des Netzwerks sind Sicherheitsbelange zu berücksichtigen. Im Lauf der Zeit können sich sowohl die Struktur des Netzwerks als auch die Anforderungen ändern. Der Architecture Review zeigt Sicherheitsprobleme auf, die aufgrund des ursprünglichen und weiterentwickelten Netzwerkdesigns entstehen.