Eine Firewall muss heutzutage mehr können, als nur die »Bösen« aus dem Netz heraushalten. Laut Secure Computing ist es notwendig, einzelne Applikationen zu kontrollieren, und zwar auf Grundlage von Benutzergruppen und feinkörnigen Sicherheits-Policies.

»Firewall-Systeme der alten Schule untersuchen lediglich die Datenpakete und bringen einzelne Ports mit Protokollen und Applikationen in Verbindung«, sagt Chris Christiansen, Vizepräsident Security Produkte bei Secure Computing. »In der Web-2.0-Welt genügt das aber nicht mehr.«

Der Grund: Die Dynamik des Internet-Verkehrs und die Tatsache, dass Anwendungen mehrere Ports nutzen. Aus diesem Grund setzen mache Anwender auf eine restriktive Politik, sprich sie sperren Applikationen wie Instant-Messaging-Programme, Blogs oder Videoportale wie Youtube einfach aus. Das ist laut Secure Computing jedoch keine Lösung.

Gefordert seine vielmehr Firewalls, die automatisch Sicherheitsregeln erkennen und umsetzen, und zwar je nach Anwendung, Benutzer und Anwendergruppe. Um das sicherzustellen, hat das Sicherheitsunternehmen jetzt insgesamt rund 20 Millionen Dollar die Firma Securify gekauft.

Die Neuerwerbung hat Software entwickelt, mit der sich in Echtzeit kontrollieren lässt, ob Sicherheits-Policies eingehalten werden. Verstöße werden unverzüglich gemeldet. Zusätzlich ist die Lösung von Securify in der Lage, Datentransfers über Router, Switches und Firewall-Systeme zu blockieren, wenn diese eine Policy verletzen.

Analyse von verschlüsselten Daten

Secure Computing wird die Technik von Securify in seine Firewall-Systeme integrieren. Das Resultat, so Chris Christiansen, sei eine »Firewall der nächsten Generation«. Solche Geräte zeichnen sich nach Angaben des Fachmanns durch folgende Eigenschaften aus:

1. Durch Erkennen und Kontrolle von Applikationen sind Unternehmen in der Lage, den regulären sowie den verschlüsselten Netzwerkverkehr vollständig zu überprüfen, sowohl den eingehenden als auch den ausgehenden.

2. Intrusion Detection und Intrusion Prevention: IDS/IPS-Systeme verwenden sowohl signatur- als auch verhaltensbasierte Techniken.

3. Absicherung gegen Zero-Hour-Angriffe mithilfe eines Reputationssystems und eines länderspezifischen Schutzes. Solche Reputationssysteme kommen unter anderem auch beim Ausfiltern von Spam-E-Mails zum Einsatz. Sie klassifizieren Absender von Daten (oder eben E-Mails) anhand von Kriterien wie Aufbau einer Nachricht, E-Mail-Adresse, Domain-Name et cetera.

4. Eine automatische Überwachung des Basisverkehrs soll dazu beitragen, das eigene Netzwerk sowie Muster in Anwendungen besser zu verstehen, die einzelnen Usern oder Nutzergruppen zugeordnet werden können.

5. Benutzer- und gruppenbasierte Entwicklung und Durchsetzung von Policies verhindern versehentliche Datenverluste. Ein klassisches Beispiel hier sind E-Mails mit vertraulichen Daten, etwa einem angehängten internen Bericht, die statt an einen Kollegen an einen fremden E-Mail-Adressaten verschickt werden.