Einfache Sicherheit gibt es nicht
Einfache Sicherheit gibt es nicht Sicherheitslösungen für Netze sind genug auf dem Markt, nur implementiert werden sie nicht immer. Warum das so ist, war eines der Themen beim Roundtable des Forums Konvergenz&Wireless des CMP-WEKA-Verlags.
Sicherheit im Netzwerk herzustellen ist für Unternehmen eine Herausforderung. Das fängt bei der Zuständigkeit an. »Die Richtlinien muss die Geschäftsführung bestimmen, die Fachabteilungen müssen sich dazu äußern, ob die vorgegebenen Regeln auch anwendbar sind und die IT setzt das alles um«, beschreibt Jörg Walz, Partner Technology Consultant, Nortel Networks Germany, die ideale Aufgabenteilung. Roland Burlaga, Product Manager VoIP, Lancom Systems, meint dagegen: »Die IT sollte bei diesem Thema die führende Rolle behalten und sich so profilieren.« Die Prozesshaftigkeit von Sicherheitslösungen betont Andreas Seum, Leiter Strategie Konvergente Netze und Sicherheit bei Siemens Enterprise Communications. »Sicherheit muss auf allen Ebenen des Unternehmens gelebt werden.« Wolfram Maag, System Engineer Mobility bei Cisco, unterstellt den Geschäftsführungen heute in der Regel ein ausreichendes Sicherheitsbewusstsein, allerdings mangele es häufig an der Umsetzung. »Nach den Statistiken des Bundesamtes für Sicherheit in der Informationstechnik wird in Deutschland viel geistiges Eigentum gestohlen, weil eigentlich bekannte Maßnahmen nicht umgesetzt werden«, sagte er. Besonders ausgeprägt ist das Sicherheitsdenken im Finanzsektor. »Hier wird das Risikomanagement von der Geschäftsleitung ernsthaft betrieben«, berichtet Mike Lange, Manager Business Development und Product Marketing Central Europe bei D-Link Deutschland. Auch im öffentlichen Sektor, so Frank Nobbe, Director Enterprise Business beim Schulungsanbieter Fast Lane, gebe es eine ausgeprägte Awareness. Anders dagegen die Lage im Mittelstand. »Hier ist meist nur ein Mitarbeiter für alle IT-Themen zuständig«, weiß Hans-Jürgen Jobst, Senior Product Manager IP Solutions, Avaya. Der sei dann mit komplexen Sicherheitsthemen leicht überfordert.
Sicherheitsproblem Wireless LAN Eine besondere Herausforderung sind WLANs. Andreas Gabelin, Chentral European Channel Manager beim WLAN-Spezialisten Aruba, erklärt: »So lange Wireless und Mobilität als Erweiterung und Convenience gesehen werden, kann man Sicherheit als Anhängsel der Kabel-Infrastruktur verwalten.« Das ändere sich aber, wenn mobile Kommunikation dominant werde. »Wenn jeder von überall auf alles zugreifen kann, helfen die traditionellen Mechanismen nicht optimal«, schränkt er ein. Man brauche dann personalisierte Konzepte.
Schutzmechanismen oft zu komplex Ist also eine IT-Welt, in der überwiegend mobile Endgeräte an der Infrastruktur hängen, nur durch konsequentes NAC (Network Access Control) zu schützen? Darüber gehen die Meinungen weit auseinander. Die End-to-end-Verschlüsselung sei für viele Anwender zu komplex und fehleranfällig. »Wenn der Mitarbeiter nicht ins Netz kommt, gibt es Ärger«, betont Simon (Colubris). Auf die Verbindung von LAN- und WLAN-Sicherheit mittels des Standards 802.1x weißt Maag (Cisco) hin. »Man muss die Sicherheit im LAN voranbringen, um das Thema im WLAN zu forcieren«. Kein Wunder, hat der Hersteller doch ein integriertes Produkt für beide Bereiche im Programm. Allerdings scheitere der Einsatz einer solchen Lösung schon daran oft genug, dass Clients und vorhandene Betriebssysteme 802.1x nicht flächendeckend unterstützten, schränkt Seum (Siemens Enterprise Communications) ein. Und das, so Burlaga (Lancom) sei kaum behebbar: »Es kommen immer neue Komponenten hinzu, wo End-to-end nicht mehr gegeben ist.« Er empfiehlt stattdessen pragmatische Lösungen für verschiedene Sicherheitsebenen. Walz (Nortel) kritisiert: »Der Endanwender muss bei 802.1x zu viel wissen und der Administrator muss alle Clients einrichten.« Zudem sei es nicht möglich, mit dieser Technik Gäste und andere Externe zu kontrollieren. Nortels Lösung Secure Access Control dagegen erkenne Clients egal welcher Herkunft im Netz und ordne sie in unterschiedliche Geräteklassen ein, die dann wieder unterschiedlichen Sicherheitsbereichen zugeordnet sind. Dem hält Maag (Cisco) entgegen, dass im WLAN sowieso alle Geräte 802.1x-fähig seien. »Für die Anwender wird das Netz transparent, wenn es aus Sicherheitssicht egal ist, welches Medium er für eine Übertragung nutzt.« Der WLAN-spezifische Standard 802.11a/e dagegen setze 802.1x voraus. »Weil man dafür die Hardware verändern muss und die Technik im LAN fehlt, wird es lange dauern, bis sie sich durchgesetzt hat«, prognostizierte der Cisco-Manager. Zu den 802.1x-Kritikern gesellt sich auch Lange (D-Link). »Dieser Standard wurde von Anbietern lanciert. Die Kunden fragen ihn zwar bei Ausschreibungen ab, man kann aber froh sein, wenn er am Ende wenigstens im LAN eingeschaltet wird.« Seum (Siemens Enterprise Communications) weißt zudem auf knifflige praktische Probleme hin. »Was ist, wenn ein VoIP-Telefon zwei Ports hat, aber an einem Switch-Port hängt? Dann braucht man Mechanismen für die Multi-User-Authentisierung!« Kurz: Es wird wohl noch lang dauern, bis sich 802.1x durchgesetzt hat.
