Uni Mainz hat die Müllkippe schon vor dem Netz Der Anteil an digitalem Müll steigt auch an der Universität von Tag zu Tag. Dank effizienter IP-Adress- und nachgeschalteter Inhaltefilter gelangt der Müll aber erst gar nicht ins interne Netz.
Das Zentrum für Datenverarbeitung (ZDV) der Mainzer Johannes-Gutenberg-Universität betreut unter anderem die elektronischen Postsysteme der Hochschule. Zum Verantwortungsbereich gehört auch das Bereitstellen einer zuverlässigen und sicheren Infrastruktur. Bei rund einer Million E-Mails pro Tag und derzeit 40000 Benutzern ist das keine leichte Aufgabe. Die bisher eingesetzte Lösung bestand aus insgesamt vier Systemen: Zunächst untersuchten zwei Postfix-Server mit einer Sophos-Lösung eingehende E-Mails auf Viren. Die quelloffene Software SpamAssassin auf zwei Sendmail-Servern überprüfte daraufhin, ob es sich bei der Nachricht um Spam handelte. Allerdings erkannte die Lösung einen zu großen Teil der digitalen Müllflut nicht und bot keinerlei Schutz vor Angriffen, die beispielsweise E-Mail- und Web-techniken kombinieren. Die infizierten Dateien und Spam werden dabei über geschickt getarnte Weblinks in E-Mails verbreitet, damit sie von herkömmlichen inhaltsbasierenden Filtern nicht erkannt werden können. Diese Kombiangriffe, die häufig auch Spionagesoftware transportieren, verzeichnen exorbitante Steigerungsraten in den letzten Monaten. Die Anforderungen an die neue Lösung: Sie sollte sowohl vor Viren schützen als auch Spam mit einer wesentlich höheren Rate erkennen. Dabei war sicherzustellen, dass unter einer Million Mails höchstens einmal eine Mail fälschlicherweise als digitaler Müll aussortiert wird. Außerdem wollte die Uni Mainz den doch sehr erheblichen Aufwand für die Betreuung der Mailsysteme reduzieren. Weitere Aspekte waren eine hohe Leistungsfähigkeit des Mail Transfer-Agenten (MTA) sowie umfassende Reportingfunktionen.
Verteidigungslinie im Grenznetz
Diese Voraussetzungen erfüllte die integrierte E-Mail-Securityappliance C600 von IronPort, die sich schon Mitte letztes Jahr in einer Testinstallation gut bewährt hatte. Die Appliance beruht auf einem mehrstufigen Ansatz und kombiniert datenbank- und statistikgestützte IP-Adresskontrolle mit reaktiven, inhaltsbasierten Filtern. Insbesondere durch die statistikgestützte Web-Adresskontrolle lassen sich E-Mails, die digitalen Müll oder Spionage-Software transportieren oder durch betrügerische Angaben vertrauliche und „geldwerte“ Nutzerprofile auszuspionieren suchen, zuverlässig erkennen und vom regulären Strom trennen. Die Verteidigungslinie liegt dabei schon im Grenznetz der Universität, sodass das interne Uninetzwerk mit dieser unerwünschten Post gar nicht belastet wird. Die datenbank- und statistik-gestützten IP-Adressfilter bewerten die Wahrscheinlichkeit, mit der eine bestimmte IP-Adresse digitalen Müll versendet. Für die Klassifizierung werden die jeweiligen Werte umfangreicher statistischer Parameter ausgewertet, wie beispielsweise die Anzahl und Größe der gesendeten Nachrichten des Mailservers oder die Zahl der eingehenden Beschwerden. Diese Daten sind in der SenderBase-Datenbank gespeichert, dem ersten und größten Netzwerk zur Überwachung des weltweiten Mail- und Webverkehrs. Um die Seriosität eines Absenders zu ermitteln, analysiert die Datenbank bis zu 110 Parameter. Der integrierte Web-Adressenfilter verhindert die Infektion von PCs durch eine Webadresse, die in einer E-Mail eingebettet ist. Herkömmliche Filter überprüfen in erster Linie den Inhalt der E-Mail. Angesichts der neuartigen Bedrohungen bieten derartige Inhaltsfilter alleine jedoch keinen ausreichenden Schutz. Der Web-Adressfilter analysiert mehr als 45 Parameter, um die Seriosität eines Weblinks in einer E-Mail zu prüfen. Als Grundlage für die Bewertung der Seriosität einer Web-Adresse dient ebenfalls die SenderBase-Datenbank. . Ein Heuristik-Filter als zusätzlicher Schutzschild
Der Teil des E-Mail-Stroms, der die Web-Adressfilter erfolgreich passiert, wird einer Reihe weiterer Prüfungen unterzogen. Die reaktive Inhaltsanalyse besteht aus einem Mustererkennungsfilter, einer Spamschutzlösung und einem Virenschutzpaket. Um einen sehr frühzeitigen Schutz vor neuen Viren und Würmern sicherzustellen, benutzt die Uni Mainz neben einem traditionellen signaturorientierten Virenschutz auch einen heuristischen Filter, der spam- und virenverdächtige E-Mails, für die noch keine Signatur existiert, aufgrund bestimmter Anomalien fixiert. Der Filter versetzt verdächtige E-Mails in Quarantäne. Sobald der aktualisierte Virenschutz verfügbar ist, werden die verdächtigen Viren-Mails automatisch noch einmal untersucht. Der heuristische Filter stützt sich bei der Selektion viren- und spamverdächtiger E-Mails ebenfalls auf die Datenbank SenderBase. Diese Datenbank liefert einen statistischen Überblick über das Sendeverhalten von 25 Prozent des weltweiten E-Mail-Verkehrs. Sobald Anomalien auftreten, werden diese im Sicherheitsrechenzentrum des SenderBase-Betreibers einer genaueren Prüfung unterzogen. Schon bei den ersten Vorboten eines Virenangriffs wird das Bedrohungspotenzial dieses Angriffs ermittelt und mit einem bestimmten Wert versehen. Die Sicherheitsbox passt dann dynamisch die Auslieferungsprozeduren der E-Mail an, oft bereits wenige Minuten, nachdem der Virus irgendwo auf der Welt zum ersten Mal entdeckt wurde. Ist der Virenwert erhöht, landen verdächtige Nachrichten automatisch in einem sicheren Quarantänebereich. Ohne zusätzliche Hardware können IT-Mitarbeiter der Uni Mainz künftig bis zu 40 geclusterte Gateway-systeme zentral verwalten. Das integrierte Reportingsystem führt genaue Statistiken über alle eingegangenen E-Mails, Bedrohungen und Reaktionen. Für schnelle Abfragen werden die Berichtsdaten zudem in einer SQL-Datenbank gespeichert. Den Systemadministratoren stehen dadurch jederzeit die Informationen zur Verfügung, die sie für kritische Sicherheitsentscheidungen benötigen.
Neuartige Quarantänelösung
Im Produktivbetrieb benötigt das ZDV nun zur Pflege der Mailsysteme nur noch eine Stunde pro Woche. Zukünftig werden als Spam erkannte E-Mails zunächst in einer Quarantänedatei direkt auf der Sicherheits-Hardwarebox zwischengespeichert. Um mit der alten Lösung kompatibel zu bleiben, wurden identifizierte Spammails bisher markiert und an die Benutzer zugestellt. Die neue Quarantänelösung bedeutet somit eine erhebliche Entlastung für die Benutzer, da diese täglich nur noch einen Report über die in Quarantäne befindlichen E-Mails bekommen und die Filterung nicht mehr selbst vornehmen müssen. Die Bilanz von Carsten Allendörfer, Leiter der Systemabteilung des ZDV, ist positiv: »Die Kombination aus E-Mail- und Web-Adressfiltertechnik erkennt unerwünschte Nachrichten sehr zielgenau. Durch den geringen Administrationsaufwand sparen wir erhebliche Kosten und Arbeitszeit«.
Sabine Hensold ist freie Journalistin in München