Automatisierte Web-Filter für 19000 PCs. Mit Hilfe von Filter-Mechanismen für Web-Inhalte erreicht der öster­reichische Finanzdienstleister »Erste Bank« mehr Rechtssicherheit und optimiert gleichzeitig seine Bandbreite.

Automatisierte Web-Filter für 19000 PCs

Die 1819 als »Erste oesterreichische Spar-Casse« gegründete heutige »Erste Bank« ist mit fast zwölf Millionen Kunden in Österreich und den benachbarten Ländern einer der großen Finanzdienstleister in Mitteleuropa. Wie die meisten Großunternehmen hat auch die »Erste Bank« sämtliche Mitarbeiter-PCs an das Internet angeschlossen. Neben den vielen Vorteilen, die eine solche Anbindung bietet, stellt dies auch ein erhebliches Gefährdungspotenzial für das gesamte Firmennetzwerk dar. Denn selbst bei der Nutzung des Internets gemäß den Vorschriften durch alle Mitarbeiter kann es zu Sicherheitspannen kommen. Unbeabsichtigt geöffnete Script-Seiten beispielsweise können für kleine und große Gaunereien Angriffspunkt schaffen. Aber auch Mitarbeiter, die auf ihre privaten E-Mail-Konten über Webmailer zugreifen oder Programme aus dem Internet laden, sind eine potenzielle Gefahr für das IT-Netzwerk. Um solche Risiken zu minimieren, suchte die »Erste Bank« nach einem zuverlässigen und präzise arbeitenden System zum Filtern von Inhalten, das einerseits die maßvolle Nutzung des Internets durch die Mitarbeiter gewährleistet und andererseits Haftungsansprüche Dritter im Falle von Schädigungen einschränkt.

Gefahr durch Web-Inhalte wird komplexer
Vor dem Einsatz professioneller Inhalts-Filter-Maßnahmen wurden problematische Web-Inhalte über einfache Webadress-Filter abgeblockt. Unerwünschte Webadressen wurden auf den Proxy-Servern abgelegt, die dann den Zugriff auf diese Inhalte unterbanden. Die Proxy-Server bildeten dabei nicht nur eine Sperre für unerwünschte Inhalte, sondern beschleunigten gleichzeitig mit Hilfe von Cache-Speichern auch die Bereitstellung der Inhalte von erlaubten Webadressen.
Die beschriebene Lösung war zwar praktikabel, stellte aber nur einen rudimentären Schutz im Hinblick auf die immer stärker variierenden und komplexeren Gefährdungen durch Web-Inhalte dar, das sie zu statisch war. »Wir benötigten ein System, das Internetseiten in Kategorien unterteilen und diese separat sperren konnte. Die Performance unseres Netzwerks sollte dabei möglichst wenig beeinträchtigt werden. Bei 19000 Mitarbeitern ein ganz wichtiges Kriterium«, erläutert Karl Exler, Mitarbeiter der Serviceeinheit »Group IT« bei der »Erste Bank«.
Im Rahmen einer internationalen Ausschreibung kamen drei Content Filter-Lösungen in die engere Wahl, wobei sich dann nach Performance-Tests SurfControl Web Filter 5.0 als die geeignetste Lösung für die Anforderungen der »Erste Bank« herausstellte. Für das Produkt sprach vor allem die sehr gute Konfigurierbarkeit an die gegebenen Voraussetzungen. Als Projektpartner fungierte die Firma ComNet, einer der führenden österreichischen Netzwerkdienstleister.

Automatische Vorkategorisierung
Web Filter 5.0 ist dafür ausgelegt, mittlere bis große Netzwerke vor dem aktuellen Bedrohungspotenzial aus dem World Wide Web zu schützen. Dazu filtert das Programmpaket Web-Inhalte auf der Basis einer Kategorien­datenbank. Die URL-Kategorienliste enthält 47 Kernkategorien, über zwölf Millionen Webadressen und ungefähr zwei Milliarden Webseiten.
Mittels täglicher Aktualisierungen werden neue Gefährdungsvarianten schnell abgefangen. Das Content-Team arbeitet mit den weltweit größten Suchmaschinen zusammen, um die neuesten Webseiten zu erhalten. Diese Webseiten werden dann automatisch einer der 47 Kategorien zugeordnet. Das Ganze geschieht mehrstufig. Seiten, die im ersten Anlauf nicht ein­deutig kategorisiert werden konnten, werden einer tiefer gehenden Be­handlung durch den mehrsprachigen und lernfähigen »Virtual Control-Agent« unterzogen. Dieses optionale Programm-Modul analysiert nicht nur die Startseite, sondern auch Links und tiefer liegende Seiten. Eine endgültige Zuordnung durch Spezialisten erfolgt dann anschließend nach einer ma­nuellen Überprüfung. Durch eine spezielle Spyware-Kategorie filtert der Web-Filter zudem solche Websites heraus, die bereits als Quelle von Spyware, Adware und anderen unerwünschten Downloads identifiziert wurden. In­halte dieser Art stellen für Netzwerke große Sicherheitsgefahren dar und können die Performance empfindlich beeinträchtigen.
Der Web-Filter integriert darüber hinaus Funktionalitäten wie Echtzeitüberwachung, kontrollierte Benutzer- und Siteüberwachung, Bandbreitenkontrolle und -priorisierung, Filtern von Popup- und Bannerwerbung, zeitbasierte Regelsteuerung, Zeit-/Volumengrenzwerte für die Internetnutzung sowie umfassende Reporting- und Analysefunktionen.

Stufenweise Implementierung
Um etwaige Probleme im Vorfeld ­auffangen und korrigieren zu können, wurde der Filter in zwei Phasen im Netzwerk der »Erste Bank« integriert. Innerhalb der ersten Phase wurde das neue System in einem ausgewählten Benutzerkreis implementiert. Die ­Projektbeteiligten und weitere Mitarbeiter ausgewählter Abteilungen stellten sicher, dass alle Funktionen und Filter nach den vorab definierten ­Maßgaben eingestellt wurden. Um die hohen Datenmengen effizient zu filtern, entschied man sich dafür, meh­rere Web-Filter-Server einzusetzen, die parallel sämtliche Internetzugriffe bearbeiten können. Nach Abschluss dieser Testkonfiguration ging man in einem nächsten Schritt dazu über, den Web-Filter im Netzwerk des Haupthauses zu implementieren.
Über einen Zeitraum von vier Wochen konnte der Web-Filter an­schließend in einer Pilotphase im Einsatz getestet werden. Bei den ­größer angelegten Tests im Haupthaus schien es anfänglich, dass die Leistung des Inhalts-Filtersystems für die Größe des Nutzerkreises nicht ganz ausreichte. De facto verminderte ein Programmfehler die Verarbeitungsgeschwindigkeit des Systems. Durch die Installation eines von SurfControl bereit gestellten Service Packs konnte das Problem behoben werden. Ab diesem Zeitpunkt lief das System stabil und konnte nun auch in den Filialen sowie in sämtlichen Sparkassen der Gruppe installiert werden. Insgesamt werden heute knapp 19000 Mitarbeiter-PCs mit Hilfe des Web-­Filters vor gefährlichen Web-Inhalten ge­schützt.

Bandbreiten-Optimierung
Seit dem Einsatz im Netzwerk werden von den lokalen Virenfiltern drastisch weniger Aktivitäten gemeldet. Zudem zeigt sich, dass die Gefahrenquelle »Viren über Webmailer« sehr viel effizienter aufgefangen wird. Durch das konsequente Einschränken von Web-Inhalten konnte zudem kostbare Bandbreite für geschäftsrelevante Applikationen ge­wonnen werden. »Der Filter entspricht unseren Anforderungen an eine präzise filternde und lernfähige Lösung, die mit geringem adminis­trativen Aufwand im Hintergrund arbeitet«, sagt Karl Exler von der
»Erste Bank«. »Der Einsatz des Filters bringt uns die gewünschte Rechts­sicherheit, was den Umgang mit be­denklichen Internet-Inhalten an­be­langt, und das bei einer nahezu uneingeschränkten Netzwerk-Performance«, so Exler weiter. Seit der Einführung im Jahr 2003 läuft das System erfolgreich und wird zunehmend erweitert. In einem letzten Schritt wird der Web-­Filter auch in allen weltweiten Niederlassungen integriert.