Neue Herausforderungen im Security-Markt. Trotz großer Investition in Sicherheit während der vergangenen Jahre, halten Unternehmens-Netzwerke den neuen Angriffen durch Viren und Würmer vielfach nicht stand. Die Folge: verärgerte Kunden und enttäuschtes Vertrauen. CRN und die CRN-Schwesterzeitschrift Network Computing diskutierten im Rahmen des »Security-Forums« über die Gründe und wie die Hersteller ihnen entgegenwirken.

Neue Herausforderungen im Security-Markt

»Sasser« und »Mydoom« stehen inzwischen für Millionen befallener Clients, nicht nur von Privatpersonen, sondern auch von Unternehmen, die eigentlich von Firewalls, und Antivirus-Programmen geschützt werden. Gründe dafür, dass trotz vermeintlichen Schutzes viele Unternehmen betroffen sind, gibt es mehrere: »Die Angriffsverfahren ändern sich stetig. Diesmal entfernen sich die Angreifer von der Netzwerkebene und starten ihre Angriffe direkt gegen Applikationen«, erklärt etwa Michael Frohn, General-Manager Zentraleuropa bei F5 Networks. Auch Armin Stephan, Consulting-Manager bei Computer Associates, sieht als Grund das höhere Gefahrenpotenzial: »Die Anzahl der Schwachstellen in jeder Form von Produkten nehmen stetig zu. Die Zeit zwischen Entdeckung und Ausnutzung wird immer kürzer, so dass Unternehmen heute nicht mehr zeitnah agieren können. Vor zwei, drei Jahren genügte es noch, Patches auf Quartalsbasis einzuspielen«, inzwischen rechnet Stephan damit, dass sich die Reaktionszeit für Patches auf wenige Tage verkürzen wird. Auch Axel Noack, Corporate-Marketing-Manager bei Network General, sieht Softwareschwächen als Hauptproblem. »Kleine und mittelgroße Unternehmen sind durch die Patches überlastet. Sie können nicht schnell genug reagieren.«

Zusätzlich hat sich auch die Art und Weise geändert, wie Mitarbeiter heute auf das Netz zugreifen, gibt Andreas Seum, Director of Technology bei Enterasys, zu bedenken: »Ein großes Gefahrenpotenzial liegt bei den Mitarbeitern der einzelnen Unternehmen, weil sie zunehmend mobiler werden. Durch diese Mobilität erreichen wir eine ganz andere Art der Connectivity. Dabei ist der Client extrem anfällig.«

Ein statisches Netzwerk mit recht statischen Kommunikationsbeziehungen, die ein Sicherheitsregelwerk übersichtlich gestalten, sind auch für Yvonne Berger, Security-Engineer beim SSL-VPN-Anbieter Netilla, Vergangenheit. »Der Einsatz von Wireless, Zugängen für Home-Offices und die generelle Mobilität zwingen zu mehr dynamischer Sicherheit.«

Mobilität als Problem

Alleine eine Stateful-Inspection-Firewall als Hauptmaßnahme, hält die modernen Angriffe nicht auf. Frohn etwa erwartet daher einen grundlegenden Wandel im Firewall-Markt, weil die Firewalls die heutigen Anforderungen nicht erfüllen können. Da die Reaktion der Hersteller schnell erfolgen muss, sind nach Meinung mehrerer Diskussionsteilnehmer auch in der nächsten Zeit im Sicherheitsbereich noch einige Akquisitionen zu erwarten. Dennis Monner, Vorstand und CEO beim Firewall-Spezialisten Gate Protect, bestätigt diesen Trend: »Stateful-Inspection versteht heute inzwischen jeder kleine Router. Wir sehen daher einen Umschwung hin zu kombinierten Firewalls mit integrierten Spam- und IDS/IPS-Funktionen.« Für den Markt, in dem sich Gate Protect bewegt ? kleine und mittelständische Unternehmen ? ist dies sicherlich die richtige Prognose. Im Enterprise-Segment sind jedoch andere Strategien gefragt. Gerald Pernack, Technical Account Manager bei Network General: »Im Enterprise-Bereich und bei großen Kunden spielt die Two-Vendor-Strategie eine gewichtige Rolle. Die Ein-Hersteller-Strategie wird von diesen Anwendern argwöhnisch betrachtet, da sie potenzielle Schwachstellen eines Produktes nicht abfedert. Daher wird die Best-of-Breed-Strategie den Enterprise-Markt dominieren.«

Signaturen sind out

Ganz gleich, ob Unternehmen nun aber kombinierte Ansätze am Gateway bevorzugen oder einzelne Appliances, künftig müssen Gefahren aktiv abgewehrt werden können und dürfen sich nicht nur auf das Erkennen bekannter Angriffsmuster beschränken. »Würmer verteilen sich weltweit in zehn Minuten, das ist die heutige Realität. Die Diskussion darüber, wie viel Zeit man hat, führt daher in die falsche Richtung«, meldet beispielsweise Frohn Zweifel an der bisher betriebenen Patch-Politik an. Er plädiert daher für eine »positive Security Policy. Sie muss von Systemen umgesetzt werden, die genau wissen, was erlaubt ist, wie sich eine Applikation verhalten darf. Alles, was dem nicht entspricht, wird verboten. Mit verschiedenen Konsequenzen, sei es indem der Datenverkehr gestoppt wird oder umgeleitet wird, beispielsweise auf ein Honeypot-System«. Ganz so konsequent will Stephan nicht vorgehen: Computer Associates setzt auf eine Kombination aus reaktiven und präventiven Mechanismen. »Wir müssen die Angriffspunkte von Viren, Würmern etc. beseitigen und eliminieren. Dazu müssen wir die Plattformen durch entsprechende Technologie abhärten, um die reaktiven Mechanismen zu unterstützen.« Ähnlich argumentiert auch Seum: »Bei Enterasys kooperiert das Netz mit den IDS-Systemen und leitet Gegenmaßnahmen ein, blockt Anwender aus oder sperrt Ports.« Auch Gerald Pernack sieht die IPS-Technik ebenfalls als wichtigen Eckpfeiler in einer präventiven, kombinierten Abwehrstrategie. »Wir müssen weg von reiner Virenerkennung und Filtern hin zu kombinierten Maßnahmen, die Host-basierende IDS und IPS kombinieren.« Bis dahin ist aber noch ein weiter Weg, vor allem, wenn sich solche Lösungen auch im Mittelstand durchsetzen sollen. »Die technische Entwicklung steht noch ganz am Anfang. Momentan ist die Technik für den Mittelstand noch nicht geeignet«, kritisiert etwa Frohn. Gate Protect-Vorstand Monner glaubt nicht, dass IPS schon ausgereift genug ist für den Massenmarkt. »Ausgereifte technische Ansätze, die präventiv funktionieren, sehe ich auf dem Markt derzeit noch nicht«, schränkt er stellvertretend für den Mittelstand ein.

____________________________________________

Teilnehmer des Forumgesprächs

Yvonne Berger, Security Engineer bei Netilla
Michael Frohn, General Manager Zentraleuropa bei F5
Dennis Monner, Vorstand und CEO bei Gate Protect
Axel Noack, Corporate Marketing Manager bei Network General
Gerald Pernack, Technical Account Manager bei Network General
Andreas Seum, Director of Technology bei Enterasys
Armin Stephan, Consulting-Manager bei Computer Associates