Für die Administratoren bedeutet dies in der Regel einen hohen Aufwand: Denn die externen Zugriffe dürfen nicht zu Lasten der Sicherheit gehen – und Abstriche bei der Performance und dem Komfort sind meist ebenso tabu. Hier kommen so genannte Sicherheits-Gateways ins Spiel. Sie vereinen Leistung, Sicherheit und einfache Administration. Doch welche Kriterien gilt es bei einer solchen Lösung zu beachten? IT-gestützte unternehmensübergreifende Geschäftsprozesse sind inzwischen Alltag. Die Anzahl mobiler Mitarbeiter, die über das Internet auf das Firmennetzwerk zugreifen, steigt stetig. E-Mails sind aus dem Geschäftsleben nicht mehr wegzudenken. Kunden verlangen ständigen Zugriff auf aktuelle Informationen. Filialen müssen rund um die Uhr an die IT der Zentrale angebunden sein. Doch so groß die Chancen und Möglichkeiten der neuen IT- und Kommunikationssysteme sind, so bedrohlich sind die Gefahren, die im Netz lauern: Viren, Trojaner, Würmer, Bot-Netz-Angriffe, Hijack-Tools oder gezielte Industriespionage – diese Aufzählung ließe sich beliebig erweitern. Eines ist jedoch den genannten Bedrohungen gemein. Sie greifen über die Schnittstelle zwischen unternehmensinternem LAN und dem Internet an. Daher kommt dieser Schnittstelle bei den Sicherheits-konzepten aller Betriebe eine entscheidende Bedeutung zu. Dementsprechend groß ist auch die Anzahl von Schutzprogrammen und Sicherheitssystemen verschiedenster Hersteller, die dieses Einfallstor schützen sollen. Virenscanner, Hard- und Software-Firewalls sowie Virtual Private Networks (VPN) zählen zum Standardrepertoire aller Administratoren. Der Haken dabei ist die Vielzahl der Einzelkomponenten: Sie müssen alle aufeinander abgestimmt und regelmäßig aktualisiert werden. Daraus resultiert in der Regel ein hoher personeller Aufwand für die Implementierung und Administration. Zudem leidet häufig die Performance, mit der externe Mitarbeiter, Kunden oder Partner auf die benötigten Informationen oder Applikationen zugreifen können. Aus diesem Grund kommen so genannte Acceleratoren zum Einsatz, die allerdings wiederum verwaltet werden müssen.

Alles in einem – einer für alles

Hier setzen integrierte Lösungen an. Diese bestehen aus genau aufeinander ab-gestimmten, getesteten Konfigurationen und verfügen über die notwendigen Schutzfunktionen. So bieten beispielsweise HP und Microsoft Sicherheits-Gateways als Komplettlösungen an, die jeweils aus einem Industriestandard-Server, dem Betriebssystem Microsoft Windows Server 2003 sowie Microsoft Internet Security & Acceleration Server 2006 (ISA) bestehen. Die unter der Bezeichnung HP ProLiant Security Server vertriebenen Systeme sind bereits vorkonfiguriert. Dadurch stehen sie nach dem Rack-Einbau und dem Verkabeln schnell zur Verfügung. Von Vorteil sind dabei zahlreiche vorgegebene Einstellungsmöglichkeiten, mit denen die IT vor internen und externen Bedrohungen geschützt werden kann. Mit Hilfe dieser Wizzards kann das Gateway beispielsweise per Mausklick für den problemlosen Zugriff auf den Exchange-Server über Outlook Web Access (OWA) eingestellt werden. Weitere Konfigurationsvorlagen stehen unter anderem für Remote Procedure Call (RPC) über http, ActiveSync oder Microsoft Office SharePoint (früher: SharePoint Portal Server) bereit. Auch Konfigurations-Vorlagen für die Einrichtung von VPNVerbindungen sind bereits vorhanden. Die sonst bei der Einrichtung dieser Zugriffsmöglichkeiten anfallenden und von den Administratoren gefürchteten langwierigen Fehlersuchen sowie die Feinabstimmungen unterschiedlicher Komponenten aufeinander entfallen. Da sich die Gateways auch per Fernwartung administrieren lassen, kann ein Administrator beispielsweise Sicherheitsrichtlinien in allen Filialen von der Zentrale aus anpassen. Das Ergebnis: Sinkende Kosten für die Verwaltung bei einem gleichzeitigen Plus an Sicherheit.

Zweigstellen, mobile Endgeräte und Web-Zugriffsschutz

Die Anbindung von Filialen an das Unternehmensnetz stellt andere Anforderungen als die eines einzelnen Notebooks. Dementsprechend sollten Entscheider darauf achten, dass Security Gateways für beide Verbindungsarten geeignet sind: So verfügen Zweigstellen meist über einen eigenen Security Server für die sichere Kommunikation mit der Unternehmenszentrale, mobile Anwender jedoch nicht (siehe Bild 1). Bei beiden Szenarien kommt dabei ein VPN zum Einsatz. Bei diesem Verfahren werden die Daten über ein so genanntes Tunneling manipulationsgeschützt über das Internet übertragen, so dass Informationen nicht von Unbefugten Actiabgefangen werden können. Der Administrator in der Zentrale legt dabei per Mausklick fest, welche einzelnen Anwender beziehungsweise Nutzergruppen auf welche Netzwerkressourcen zugreifen dürfen. Standleitungen, wie sie in großen Konzernen zur Vernetzung einzelner Standorte verwendet werden, kommen übrigens im Mittelstand kaum vor, da sie wesentlich teurer sind. Umfassende Sicherheits-Gateways integrieren auch den Schutz vor Angriffen aus dem Internet durch eine Firewall. Mit Hilfe flexibler Richtlinien können mit ihr Websites gezielt blockiert und die übertragenen Inhalte gefiltert werden. Auch hier verfügen moderne Lösungen über vorkonfigurierte Einstellungen, die Administratoren bei Bedarf einfach aktivieren können. So lassen sich zum Beispiel die Nutzung von Tauschbörsen oder Instant-Messaging-Anwendungen unternehmensweit sperren. Verdächtige Aktionen erkennt das Gateway bereits im Vorfeld, bevor sie Schaden auf den Servern und Clients anrichten können. Wird ein Angriff vom System registriert, erfolgt automatisch eine Benachrichtigung an den Administrator, damit dieser sofort entsprechende Gegenmaßnahmen einleiten beziehungsweise überwachen kann. Entscheidend für die Zuverlässigkeit eines Sicherheits-Gateways ist die Qualität der integrierten Firewall. IT-Verantwortliche sollten daher darauf achten, dass diese nicht nur Daten auf Paket-Ebene filtert, sondern den Zugriff auch auf Sitzungs- und Anwendungsebene überprüft. Dadurch können Administratoren sowohl einzelne Ports sperren, zum Beispiel für den Zugriff auf den FTPServer, als auch auf Applikationsebene einzelne Befehle blockieren. Diese Funktion bietet Unternehmen einen verbesserten Schutz und die Möglichkeit, auch detaillierte Sicherheitskonzepte umzusetzen. Denn je weniger Befehle zugelassen werden, umso geringer ist zum Beispiel die Gefahr, dass Angreifer einen Buffer-Overflow ausnutzen können.

Kein Widerspruch: Sicherheit und Performance

Um Mitarbeitern, Kunden und Partnern den schnellen Zugriff auf die gewünschten Daten zu ermöglichen, verfügen Lösungen wie die HP Pro-Liant Security Server über ausgefeilte Cache-Funktionen. So kann der Cache-Speicher automatisch mit den am häufigsten abgerufenen Informationen gefüllt werden. Dadurch erfolgt der Zugriff auf diese Dateien nicht nur schneller, sondern das Netzwerk wird weniger belastet, da die Dateien nicht von den Anwendungs-Servern abgerufen werden müssen. Auch bei Software-Updates spielen die Cache-Funktionalitäten eine wichtige Rolle: Mittels BITS-Caching (Background Intelligent Transfer Service) können zum Beispiel Patches auf Clients beschleunigt eingespielt werden. Dazu werden größere Datenmengen in kleine Pakete aufgeteilt, automatisch im Hintergrund über nicht genutzte Bandbreiten übertragen und in den Endgeräten wieder zusammengefügt. Die Software auf Clients an externen Standorten wird dadurch schneller aktualisiert und geschützt.

Standards machen das Admin-Leben leichter

Entscheidend für die einfache Integration von Security Gateways sind mehrere Faktoren: Einerseits die getestete Zusammenstellung aufeinander abgestimmter Komponenten wie Hardware, Betriebssystem und Sicherheitssoftware zu einer Komplettlösung. Andererseits Voreinstellungen der Software, mit deren Hilfe Administratoren gängige Anforderungen einfach und schnell umsetzen können (Stichwort Wizzards). Ein dritter Aspekt ist, dass die zugrunde liegende Hardware auf Industriestandards basiert. Dies erleichtert nicht nur die Anbindung an die bestehende Infrastruktur, sondern auch die spätere Skalierung. Ein weiteres Plus: Derartige Systeme lassen sich nahtlos in die Verwaltung durch gängige Software für das Infrastruktur-Management mit einbeziehen.

Die Anforderungen des Mittelstandes wachsen

Die Anforderungen mittelständischer Betriebe an ihre IT-Systeme entsprechen mittlerweile weitgehend denen großer Unternehmen. Integrierte und vorkonfigurierte Security Gateways kommen daher in Firmen jeglicher Größenordnung zum Einsatz. Da jedoch speziell bei kleineren Betrieben häufig auf Sicherheit spezialisiertes IT-Personal fehlt, ist bei ihnen die einfache Administration der Security Gateways mehr als nur ein Kostenvorteil – sie ist die elementare Voraussetzung für den zuverlässigen Betrieb. Von Vorteil ist, wenn Anbieter von Security Gateways über ein dichtes Netz von zertifizierten Vertriebspartnern verfügen. Diese bieten kompetente Ansprechpartner vor Ort, können bei der Konzeption beraten, bei Bedarf die Software-Installation komplett übernehmen und die Gateways betriebsfertig übergeben.

Komplett statt komplex

Die Vielzahl unterschiedlicher Sicherheitsprodukte, schlechte Interoperabilität, separate Verwaltungskonsolen, komplexe Anpassungen – für Administratoren bedeutet das Thema Sicherheit einen hohen Aufwand. Für IT-Leiter ist es deshalb gleichbedeutend mit hohen Kosten. Hier spielen die Komplettlösungen ihre Vorzüge aus: Da Hardware, Betriebssystem und Sicherheits-Software (mit Ausnahme des Viren-Scanners) bereits vorkonfiguriert angeboten werden, lassen sich diese Security Gateways einfach in bestehende Infrastrukturen integrieren und über Wizzards anpassen. Die sichere Anbindung von Außenstellen und mobilen Mitarbeitern muss Administratoren damit nicht mehr viel Nerven und CIOs nicht mehr viel Geld kosten.

Marcus Kehrer