Der im Vorjahr vom it verlag und der Zeitschrift it security ins Leben gerufene it security Award für erfolgreiche Security-Projekte wurde in diesem Jahr zum zweiten Mal vergeben. Eine hochkarätige, elfköpfige Jury hat die besten Projekte in den Kategorien Web/Internet Security und Identity- und Access Management sowie die Innovation des Jahres bewertet. Die Preisträger nahmen ihre Awards am 24.10.2008 in der Security Area auf der Systems 2008 in Empfang und stellten dem Messepublikum die prämierten Projekte vor.

Sieger der Kategorie Web/Internet Security: 
Astaro AG für die „All-in-One“-Appliance

Elmar Haag, Senior Sales Engineer, Astaro AG, erhielt den it security Award 2008 für die „All-in-One“-Appliance für Websicherheit.

IT-Administratoren kleiner und mittlerer Unternehmen können mit dieser Appliance auf einfache Weise:

• Web-Zugriff filtern auf der Grundlage von 60 vordefinieren Kategorien mit individuellen Benutzereinstellungen
• Viren, Spyware und andere Malware durch parallelen Einsatz von zwei Virenscannern stoppen
• Die Nutzung von Spyware und IM/P2P-Anwendungen kontrollieren
• Bandbreiten für wichtige Geschäftsanwendungen priorisieren

Das Astaro Web Gateway ist das einzige Produkt, welches durch seinen Funktionsumfang und browserbasierte Benutzeroberfläche auch kleinen Unternehmen, die nicht über Sicherheitsexperten verfügen, einen umfassenden Schutz ihres Webverkehrs ermöglicht.

Bisher wurden ähnliche Funktionen nur durch eine Ansammlung einzelner Point-Produkte (Virenscanner, URL-Filter) oder auch Software-Produkte, die auf einem Client oder Server installiert wurden, erreicht. Diese waren häufig für kleine und mittlere Unternehmen zu komplex, zu teuer und zu aufwändig zu warten.

Ähnlich wie bei einer Versicherung ist der Nutzen einer Sicherheitssoftware nur schwer zu beziffern. Nur ein einziger nicht erkannter Virus kann die Existenz eines Unternehmens gefährden. Die Verwendung von Skype und das freie Surfen während der Arbeitszeit senkt die Produktivität und erhöht das Risiko einer Virusinfektion.

Sieger der Kategorie Identity & Access Management: Schweizerbundesbahnen SBB AG für die Einfühung eines Identity und Access Management-Systems

Der Projektverantwortliche Marcus Griesser (rechts), Chief Information Security Officer, Leiter ICT Security & Risk Management, nahm den Award von Ulrich Parthier, Publisher it security, für die Einführung eines Identity & Access Management-Systems (Single Sign On, Provisioning, Federated Identity) entgegen.

Identitäten- und Berechtigungsmanagement (IAM) ist ein elementarer Querschnittprozess, der sämtliche Anwendungen und Plattformen erfasst. Für die zukünftige Entwicklung und den zukünftigen Ausbau der ICT-Landschaft bei den SBB ist IAM ein grundlegender Zentralbaustein.

In einem ersten Schritt wurde der Primärnutzen des Projektes ermittelt. Identifiziert wurden folgende Ziele:

• Integration von Geschäftspartnern in die eigene Systemlandschaft bei gleichzeitiger Separierung der Zugriffsrechte.
• Sicherstellung der Konformität zu Gesetzen, Regularien und Weisungen (SOX, Basel II, Eisenbahngesetz, Datenschutz, etc.).
• Umsetzung der Anforderungen seitens der Revision nach Nachvollziehbarkeit, Zurechenbarkeit und Beweisbarkeit (Beispiel von ca.  19.000 nicht personalisierten Funktionsusern).
• Grundlagen schaffen für Technologiewandel (Beispiele Service Orientierte Architekturen, Portaltechnologien, Mobiltechnologien).
• Bereinigung von System- und Prozessbrüchen (Beispiele Benutzerverwaltung, papiergestützter Betrieb).
• Integration führender SBB-Plattformen (Beispiel SAP NetWeaver, MetaDir, MS Active Directory).

Folgende Ziele möchte die SBB mit IAM erreichen:

Als Lösung wurde ein IAM-Framework vorgeschlagen. Es definiert sieben prozessorientierte Module und insgesamt 18 implementationsorientierte Pakete.

Folgende Risiken entstehen, wenn das Programm nicht umgesetzt wird:

• Keine oder keine einheitlichen Prozesse zum Benutzer- oder Accessmanagement.
• Kein einheitliches Grundverständnis zum Thema Identitäten und Accessmanagement.
• Keine einheitliche Terminologie.
• Keine einheitlichen Technologien (keine Strategie für Technologieeinsatz).
• Keine Einhaltung bzw. sogar klare Verstöße von gesetzlichen Vorgaben.
• Keine Revisionsfähigkeit der heutigen Prozesse und Technologien.
• Keine klar definierten Schnittstellen zwischen Business und Technologienutzung.
• Zusammenbruch der technischen Infrastrukturen.

Sieger der Kategorie Innovation des Jahres:
eleven GmbH für die Spam-Lösung beim VfB Stuttgart 1893 e.V.

Den Award für die Innovation des Jahres nahmen Alexander Wehrle, Referent des Vorstandes beim VfB Stuttgart, Manfred Maier, Geschäftsführer der StarTech Competence Center GmbH, und Daniel Blank, verantwortlich für den Partnervertrieb bei der eleven GmbH, (v.l.n.r.) entgegen.

Rund 75.000 Mails pro Woche laufen bei den Mitarbeitern der Geschäftsstelle des VfB Stuttgart 1893 e.V. ein. Ziel war es eine Lösung zu finden für Abwehrmaßnahmen zur Bewältigung des Spam-Aufkommens, Sicherstellung von Auftragseingängen/Bestellungen für Spiele, Minimierung von IT-Infrastrukturaufwändungen.

Mittels eines eigens entwickelten Kontrollsummenalgorithmus prüft eXpurgate E-Mails auf das einzige Kriterium, das alle Spam-Mails auszeichnet: Ihre Eigenschaft als Massensendung. eXpurgate reduziert jede E-Mail auf einen weinige Bytes umfassenden Code, der dann mit denen anderer E-Mails verglichen wird. Über das Massenmail-Kriterium kann eXpurgate keine individuellen Nachrichten als Spam kategorisiert.

In einem mehrmonatigen Auswahlprozess setzte sich eXpurgate gegen drei andere Lösungen durch. Ausschlaggebend waren dabei die Spam-Erkennungsrate von über 99 Prozent, die extrem niedrige False-Positive-Rate und die Wartungsfreiheit der Lösung. Bei dieser Managed-Service-Variante findet der gesamte Prüfvorgang zudem auf den Servern von eleven statt, so dass die E-Mail-Infrastruktur des Vereins nicht belastet wird und keinerlei Wartungsaufwand anfällt. Als Spam klassifizierte Nachrichten lässt der VfB nach erfolgter Prüfung schon auf den eleven-Servern löschen.