ausgabe 3-2010 web & e-mail security · 2020-01-24 · da-ausgabe 3-2010 web & e-mail...

Da-AUSGABE 3-2010 Web & E-Mail

SecurityIT SECURITY ADVISOR

Schutz von Web-Infrastrukturen:WAF-Technologie für verteilte virtualisierte Umgebungen

E-Mail-Sicherheit:

Varianten vonHosted Security Services

HTTPS:

Der blinde Fleck derNetzwerksicherheit

Eine Publikation von www.all-about-security.de

in Kooperation mit

Gute Mail Böse Mail

VerSPAMt und zugenäht:

sichere E-Mails

Sollte Ihre Email-Infrastruktur nicht auch so erweiterbar sein wie Ihr Smartphone?

Insellösungen sind technisch überholt! Sentrion MP bietet Ihnen eine zentrale

Messaging-Plattform und “On-Demand” nutzbare Applikationen zum flexiblen

Email-Management.

Im Sentrion App Store erhalten Sie eine Vielzahl an Applikationen, die Sicherheit

und Zuverlässigkeit in einer modernen Messaging-Infrastruktur gewährleisten –

von Security über Data Loss Prevention bis hin zur verbesserten Zustellung Ihrer

Marketing und Vertriebsemail auch für Web-Anwendungen wie z.B. salesforce.

Besuchen Sie www.Sendmail.com/SentrionAppStore um Ihre Messaging-

Infrastrukur zu verbessern bei reduziertem Total Cost of Ownership.

EM

AIL

SE

CU

RIT

Y 2

01

0

Sendmail GmbH | Dornhofstraße 34, 63263 Neu-Isenburg | Tel: +49 6102 2 999 61 | Copyright ©1998-2010 Sendmail, Inc. All Rights Reserved.

02

YTI

RU

CE

SLI

AM

E

02

YTI

RU

CE

SLI

AM

E

01

0

01

0

etlloS

retiewreliamEerhIe

nisnegnusöllesnI

kteiwniesrabrutkurtsarfnI-

!tlohrebühcsinhcetdn

ptramSrhIecuathcinru

nhIteteibPMnoirtneS

?enohposhc

elartnezeniene

nisnegnusöllesnI

ofttalP-gnigasseM

emeganaM-liamE

ppAnoirtneSmI

kgissälrevuZdnu

ebüytiruceSnov

!tlohrebühcsinhcetdn

”dnameD-nO“dnumro

.tne

VenieeiSnetlahreerotS

Mnenredomrenienitie

bnoitneverPssoLataDr

nhIteteibPMnoirtneS

enoitakilppAerabztun”

enoitakilppAnalhazleiV

rutkurtsarfnI-gnigasseM

netressebrevruznihsib

elartnezeniene

nelbixeflmuzne

tiehrehciSeid,ne

–netsielrhäweg

rerhIgnulletsuZ

eVdnugnitekraM

eiSnehcuseB ww

evuzrukurtsarfnI

Wrüfhcualiamesbeirtre

tneS//Smoc.liamdneS.ww

etreizuderiebnressebre

eiwnegnudnewnA-beW

erotSppAnoir MerhImu

srenwOfotsoClatoTme

.ecrofselas.B.z

-gnigasseM

.pihs

mGliamdneS

Hbm | 36,43eßartsffsohnroD

grubnesI-ueN3623 | 94++4:leTT

16999220169 | thgiriypoC

.cnI,liamdneS0102-8991©

.devreseRsthgiRllA

3www.all-about-security.de IT SECURITY ADVISOR

Liebe Leser,

alles hat ein Ende, nur die Wurst hat zwei. Diese Redensart dürfte vielen bekannt sein. Eins ist jedoch aus unserer Sicht gewiss: Weder Web-Sicherheit noch E-Mail-Sicherheit werden so schnell einEnde finden.

Web-Applikationen, die auf schützenswerte Daten der Unternehmenzugreifen, gelten als überaus unsicher, obwohl eine Vielzahl an Möglichkeiten und Verbesserungen existiert. Und woran hapert esnoch immer? Sie müssen nur sinnvoll angewendet werden. Sehr gute Ansätze liefert »Viele Wege führen zur sicheren Web-Applikation«(siehe Seite 38).

Sind Sie fit für Social Web? Mitarbeiter netzwerken und tauschen sichaus, sie twittern und bloggen. Facebook, Xing & Co. sind an der Tagesordnung. Doch welche tückischen Gefahren lauern im Web 2.0?Während 1000 E-Mail-Adressen bei Yahoo oder Hotmail schon für 15 US-Dollar zu haben sind, kosten etwa 100 Facebook-Accountszirka 20 Dollar, 100 Twitter-Profile 19 Dollar. Das fand kürzlich der Sicherheitsspezialist Zscaler heraus.

Viel Spaß beim Lesen und nicht vergessen: Web- & E-Mail-Securitygibt es als E-Book unter www.all-about-security.de. Einzelne Exem-plare können Sie kostenfrei anfordern. Senden Sie Ihre Bestellungeinfach an: [email protected]

Mit besten GrüßenIhre Redaktion

Editorial

SERVICE

4 www.all-about-security.deIT SECURITY ADVISOR

Inhalt

EINFÜHRUNG

Ein Blick in die Werkzeugkiste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Sorgfalt und Standards schaffen Sicherheit . . . . . . . . . . . . . . . . . . . . 8

TITELSTORY

VerSPAMt und zugenäht: sichere E-Mails . . . . . . . . . . . . . . . . . . . . . 12

INTERVIEW

Kosten sparen und Sicherheit erhöhen . . . . . . . . . . . . . . . . . . . . . . . 18

AUS DER PRAXIS – WEB SECURITY

Wenn Unternehmensgrenzen verschwinden . . . . . . . . . . . . . . . . . . 20Die WAF und der Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Investitionssicherer Schutz von Web-Infrastrukturen . . . . . . . . . . . . 28HTTPS – der blinde Fleck der Netzwerksicherheit . . . . . . . . . . . . . . 34Viele Wege führen zur sicheren Web-Applikation . . . . . . . . . . . . . . . 38Fit fürs Social Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

AUS DER PRAXIS – E-MAIL SECURITY

Sicherheitsrisiken begrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Den Geschäftsbetrieb zuverlässig und dauerhaft sichern . . . . . . . . . 50Varianten von Hosted-Security-Services . . . . . . . . . . . . . . . . . . . . . . 55Flankenschutz für die Postkarte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Die Evolution von E-Mail erfordert Modernisierung der Messaging-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

SERVICE

Impressum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

EINFÜHRUNG


Es geht aber nicht nur um Sicherheitslösun-gen, die dieses Ziel erreichen helfen. Web-

Sicherheit muss bereits in der Organisation undden Prozessen für Informationssicherheit be-rücksichtigt werden.

Organisatorische AspekteMit Blick auf hohe Web-Sicherheit sind Sicher-heitsprozesse und -regeln sowie deren Umset-zung und Überprüfung von großer Bedeutung.Die Normen ISO 27001 und ISO 27002 gebenhierfür einen geeigneten Rahmen vor, ebensoCobit (Control Objectives for Information andrelated Technology) als erweitertes IT-Regel-werk.

Die goldene Regel des Qualitätsmanage-ments in der Software-Entwicklung lautet: Jespäter Fehler erkannt werden, desto teurerkommt es das Unternehmen zu stehen. Dies giltin ähnlicher Form für die Sicherheit von Web-anwendungen. Vor der Realisierung von Web-anwendungen müssen frühzeitig – also bereitsin der Requirements-Phase – die Sicherheitsan-forderungen an die Anwendung geprüft werden.Die Ergebnisse fließen dann in den »BusinessCase« ein, gemeinsam mit einer Risikoanalysefür das geplante System. Sollten die Sicherheits-anforderungen nur mit sehr großem Aufwanderfüllt werden, kann das Unternehmen das Pro-jekt frühzeitig stoppen und den finanziellen

Ein Blick in dieWerkzeugkiste

VON WOLFRAM FUNK ICT BUSINESS CONSULTING

Web Security ist ein breit gefasster Begriff für alle Maßnahmen, die Web-Anwendungen und deren Nutzung sicher machen. Technische Lösungen fürWeb-Sicherheit konzentrieren sich auf zwei Bereiche: Web-Anwendungenund Web Services auf der einen Seite sowie deren Nutzer (Endpunkte) aufder anderen Seite.

Foto: pixelio.de / freni

EINFÜHRUNG


Schaden in engen Grenzen halten. In der nächs-ten Phase eines Projekts gilt es, wichtige De-signmerkmale für die Webanwendung zu be-herzigen. Hier geht es beispielsweise um dieValidierung von Eingabedaten, um etwa Angrif-fe über Buffer Overflow und »Code Injection«zu verhindern. Wichtig ist auch die Dokumen-tation der Implementierung – eine alte Entwick-lerregel, die aber bis heute nicht immer ausrei-chend berücksichtigt wird.Bevor eine Webanwendung freigeschaltet

wird, ist sie mit Blick auf die Sicherheitsanfor-derungen nochmals einer Prüfung zu unterzie-hen. Die Live-Schaltung erfolgt erst nach Genehmigung durch den Sicherheitsverantwort-lichen. Dies gilt im Übrigen auch für standardi-sierte Anwendungen, die von einem kommer-ziellen Hersteller gekauft werden.Während des gesamten Lebenszyklus’ einer

Webanwendung muss besonderes Augenmerkauf Change und Patch Management gelegt wer-den. Bei besonders kritischen Anwendungengilt das Vier-Augen-Prinzip (Segregation of Du-ties), um das Risiko zu reduzieren, dass nachÄnderungen der Konfiguration oder des Codesder Anwendungen neue Sicherheitslücken auf-treten. Generell sind nach Änderungen der Be-triebssystemversion nach dem Aufspielen vonPatches nochmals technische Reviews durchzu-führen.Ein wichtiges Thema sind zu guter Letzt das

Management und die Bewertung von Schwach-stellen in Webanwendungen, die in der Regeltoolgestützt bewältigt werden könnenNeben der sicherheitsbewussten Entwick-

lung von Webanwendungen gilt besonderes Au-genmerk auch dem Schutz des Nutzers beimEinsatz von Webanwendungen. Dabei sind zweiPunkte zu beachten: das Verhalten des Endan-wenders im Unternehmen mit Blick auf die Nutzung des Webs sowie die technischen Maß-nahmen, die zum Schutz des Nutzers bezie-hungsweise des Unternehmens erforderlich sind. Unternehmen müssen die hier beschriebe-

nen Sicherheitsprozesse und -regeln unbedingt

in Security Policies und detaillierten Richtliniendokumentieren. Das Unternehmen sollte auchdafür sorgen, dass die Policies bekannt sind undeingehalten werden.

Technische LösungenAuf technischer Ebene lässt sich die Sicherheitvon Webanwendungen, Web Services und derNutzer beziehungsweise Endpunkte jeweilsdurch entsprechende Lösungen erreichen. Diessind die aktuell gebräuchlichsten Ansätze: Web Threat Protection: Schutz der Endpunk-

te vor Malware und Durchsetzen regelkonfor-mer Webnutzung. Dafür gibt es seit mehr alsfünf Jahren mehr oder weniger ausgereifte Lö-sungen, die aber ständig an die aktuelle Bedro-hungslage angepasst werden müssen. Web Threat Protection ist derzeit ein Hype-Thema,vorangetrieben auch durch auf Cloud basieren-de Servicemodelle. Auf dem Markt wird dieWettbewerbsintensität bis 2011 stark zunehmen,was nicht ohne Folgen für die Anbieter und diePreise bleiben wird.Web Application Firewalls (WAF) schützen

Webapplikationen vor Angriffen beispielsweisein Form von SQL Injection oder Cross-SiteScripting (XSS). Sie werden als Frontend vorWebanwendungen positioniert und gehören zurKategorie der »Application-Layer Firewalls«.WAFs werden zum Teil im Zusammenhang mitdem Schutz von Datenbanken eingesetzt, dennim Backend vieler Webanwendungen stecktletztlich eine Datenbank, die zu schützen ist.Web Services Security wird teilweise über

Web Application Firewalls erreicht, zum Teilauch durch spezielle Software-Produkte. Einwichtiger Aspekt ist die Inspektion von XML-Dokumenten mit Blick auf Sicherheit. Typi-scherweise unterstützen diese Lösungen den Oasis-Standard WS-Security.Vulnerability Scanning umschreibt das Prü-

fen von Netzwerken, Host- und Client-Systemensowie eben Webanwendungen auf Schwachstel-len. Das Scannen ersetzt aber mitnichten einesaubere Architektur und Entwicklung der Web -

EINFÜHRUNG


applikation. Es kann aber Schwachstellen auf-decken, bevor die Anwendung in den regulärenBetrieb genommen wird.Identity Federation und Web Single Sign-on

als konkrete Umsetzung ermöglichen dem End-nutzer einen bequemen Zugriff auf Webanwen-dungen, die organisationsübergreifend von un-terschiedlichen Service Providern bereitgestelltwerden – mit einem Nutzernamen und einemKennwort. Wenn die Web-SSO-Architektur und-Prozesse richtig aufgesetzt werden, können dieBetreiber der Webdienste und -anwendungenautorisierten Nutzern einen geordneten und si-cheren Zugriff auf die gewünschten Ressourcengewähren. Derzeit erhält der Markt für WebSSO deutlichen Auftrieb, da immer mehr Diens-te – im B-to-C-Bereich ebenso wie zwischenGeschäftskunden – auf Cloud basieren werden.Browser-Sicherheit und »virtuelle Browser«.

Web-Browser sind heute ein wichtiges Einfalls-tor für bösartigen Code. Besonders kritisch sindneben den klassischen Phishing-Attacken diePlug-ins, die von den Browserherstellern, Dritt-anbietern und Entwickler-Communities –odereben auch Kriminellen – bereitgestellt werden.Die kommerziellen Anbieter von Browsern ar-beiten derzeit an Sandboxing-Ansätzen, die dieAusführbarkeit von Code im verwundbaren Teildes Systems stark einschränken. Einzelne spe-zialisierte Anbieter sind bereits mit dezidierten»virtuellen Browsern« auf den Plan getreten –interessant für Unternehmen, die eine Alterna-tive zur Sicherheitskomponente von Web ThreatProtection suchen. Virtuelle Browser könnenunter Umständen auch Wartungsprobleme um-gehen helfen, wenn im Unternehmensverbundunterschiedliche Browser in verschiedensten Ver-sionen im Einsatz sind. Sie sind aber keine Lö-sung für Data Leakage Protection und die Kon-trolle des Surfverhaltens von Mitarbeitern.Richtig spannend wird es künftig bei Web-

Sicherheit für Smartphones. Noch halten sichdie Sicherheitsprobleme aufgrund der starkenFragmentierung der Smartphone-Plattformenund der bislang oftmals eingeschränkten Aus-

führbarkeit von Schadcode auf Smartphones inGrenzen. Je leistungsfähiger die mobilen Gerätejedoch werden und je mehr Anwender diesenutzen, desto attraktiver werden sie für Krimi-nelle, die Sicherheitslücken auszunutzen versu-chen. Und nicht zu vergessen ist der Schutz der

Verbindungsstrecke zwischen Ressource undNutzer. Hier haben sich mit IPsec und SSL VPNbeziehungsweise SSL-Zertifikaten – idealerweisemit EV (Extended Validation) – Standards etab-liert, die dem heutigen Stand der Technik ent-sprechen. In einer »perfekten« Welt ließe sich mit ei-

nem sauberen Entwicklungsprozess für Web-Anwendungen und sicheren Browser-Architek-turen bereits ein sehr hohes Sicherheitsniveauerreichen. Solange Irren menschlich bleibt undsichere Standard-Browser auf sich warten lassen,hilft jedoch nur der Griff in die große Werk-zeugkiste für Web-Sicherheit.

Über den AutorWolfram Funk ICT Busi-ness Consulting hilft beimErreichen geschäftlicherZiele in einem technolo-gisch geprägten Markt-oder Tätigkeitsumfeld.Wolfram Funk bietet Bera-tung für Unternehmen, dieLösungen und Dienstleistungen für Informati-ons- und Kommunikationstechnologie (ICT) er-folgreich entwickeln und vermarkten oder inICT-Anbieter investieren möchten. Als unab-hängiger Analyst für Informationssicherheit istWolfram Funk außerdem für Meinungsbildnerund Institutionen auf dem deutschsprachigenMarkt tätig. Er unterstützt darüber hinaus ICT-Anwender beim Risiko- und Informationssicher-heits-Management und begleitet sie bei derAuswahl externer Lösungsanbieter.

EINFÜHRUNG


Andererseits bringt das World Wide Webauch Risiken und Sicherheitslücken für Fir-

men mit sich, die im schlimmsten Fall die Ge-schäftstätigkeit behindern oder ganz zum Erlie-gen bringen. Die Folgen: finanzielle Schädenund ein Imageverlust für die betroffenen Un-ternehmen. Um sich zu schützen, müssen Or-ganisationen ihre Sicherheitsstrategien perma-nent überprüfen und anpassen. Denn dieGefahren des World Wide Web ändern sich mitjeder technologischen Neuerung, bieten Angrei-fern immer neue Möglichkeiten des Datendieb-stahls. Doch auf welche Schwachstellen solltenOrganisationen bei diesem Thema besondersachten? Und wie kann ein umfassender IT-Schutz der eigenen Anwendungsinstallation aus-sehen?

Angriffsziele: Betreiber und Anwender im FokusEine aktuelle KPMG-Studie »Wirtschaftskrimi-nalität in Deutschland 2010« bringt es auf denPunkt. Die elektronische Kriminalität (E-Kri-minalität) ist auf dem Vormarsch und nimmtmit rund 53 Prozent bereits den dritten Platzin der Häufigkeitsstatistik der Wirtschaftskri-minalität ein. Zwar verfügt die Mehrheit der befragten Unternehmen mittlerweile über Prä-ventionssysteme im Kampf gegen den elektro-nischen Datendiebstahl. Aber trotz des Ausbausvon Kontrollmechanismen werden Systemenach Ergebnissen der Studie nicht an die sich

permanent verändernden IT-Gegebenheitenund Gefahren angepasst.

Ein Beispiel zeigt das Umfeld der Hacker-Angriffe auf Unternehmens-Infrastrukturen.Waren bis vor wenigen Jahren Attacken auf Ser-versysteme über das komplette Spektrum allerInternetprotokolle verteilt, so hat sich diesesBild aufgrund des flächendeckenden Einsatzesvon Internet-Firewalls mittlerweile grundlegendgewandelt. »Angriffe konzentrieren sich heutesehr viel stärker auf Web-Anwendungen, da an-dere typische Internet-Anwendungen schlichtnicht mehr angeboten und deren Zugänge vonFirewalls gefiltert werden.«

Und: »Neben den Betreibern von Web-An-wendungen geraten über protokollspezifischeSchwachstellen verstärkt auch die Benutzer derAnwendungen in den Fokus von Kriminellen.«Im Klartext heißt das: Original-Websites werdenmissbraucht, um Benutzer auf gefälschte Inter-netseiten umzuleiten. Und diese sind von weni-ger versierten Benutzern nicht von den Origi-nalen zu unterscheiden. Erstmals wird alsogroßflächig der Anbieter von Internetdienstenvon Hackern dazu missbraucht, Datenklau beiden eigenen Kunden zu ermöglichen.

Die Studie: »Diese gefälschten Sites greifendann die Eingaben der Benutzer ab. Die Scha-denshöhe hängt von der Art der jeweiligen Siteab, erstreckt sich aber über das typische Spek-trum moderner Internet-Anwendungen wie bei-spielsweise Nutzerdaten sozialer Netzwerke, E-

Sorgfalt und Standardsschaffen SicherheitVON MARCEL KNOP, SPEZIALIST FÜR IT-SICHERHEIT BEI DER WIRTSCHAFTSPRÜFUNGSGESELLSCHAFT KPMG AG

Das Internet bietet immer mehr Möglichkeiten der Information und Inter -aktion. Viele Unternehmen haben dies längst erkannt und sehen die Vorteile,neue Märkte und Geschäftsfelder zu bedienen.

Commerce-Sites bis hin zu Online-Banking undPatientenseiten von Krankenkassen.«

Mangelnde Sorgfalt, steigendes RisikoWie wichtig ein sorgsamer Umgang mit Web-Anwendungen ist, zeigt sich gerade bei einemnäheren Blick auf die Ursachen von Sicherheits-lücken. Oft wird der Aufwand zur Erstellung ei-ner Web-Anwendung unterschätzt. So mangeltes nach Expertenmeinung bereits am Entwick-lungsprozess der jeweiligen Anwendung. DieKPMG-Studie: »Unsere Ergebnisse in Sicher-heitsprojekten zeigen uns, dass meist Coding-Standards fehlen, Mindestanforderungen ein-fach nicht existieren, geschweige denn derenEinhaltung überprüft wird.« Zudem liege nachden Erfahrungen mit Penetrationstests von Web-anwendungen die Ursache vieler Sicherheits -lücken in Fehlkonfigurationen der beteiligtenServerdienste.

Betreiber von auf Internet basierenden Web-Anwendungen müssen sich darüber im Klaren

sein, dass ihre Systeme täglich aus der ganzenWelt und den verschiedensten Personenkreisen»getestet« werden. Dies geschieht häufig unge-zielt über automatische Scans aller Adressberei-che des Internets. Auch über Suchmaschinenkann schnell und effizient nach Merkmalen vonProgrammierfehlern und Fehlkonfigurationengesucht werden – unabhängig vom Anwen-dungstypen, Firmennamen oder ähnlichen Ei-genschaften.

Argumente wie fehlende Bekanntheit desUnternehmens oder der Applikation sind daherprinzipiell nicht als wirksamer Schutz anzuse-hen.

Zusätzlich ist für Betreiber von Web-Anwen-dungen mit großer Öffentlichkeitswirkung wich-tig, ein besonders hohes Maß an Informations-sicherheit auf ihren Anwendungen zu bieten.

Bereits vergleichsweise kleine Sicherheits -lücken haben in der Vergangenheit häufiger einsehr großes Echo in den Medien hervorgerufen.Je nach dem, ob das Thema Internet und Da-tensicherheit gerade im Fokus des Medieninte-


Kategorisierung der Schwachstellen

resses stand. Es existiert darüber hinaus eineVielzahl von Hackern, die über das Aufdeckenvon Sicherheitslücken ihren Ruhm in der Szenemehren möchten. Und dies ist besonders gutmit »prominenten« Websites möglich.

Dass die genannten Risiken faktisch zutref-fen, beweist auch das Phänomen »Spam«. Spamwird meist von »gehackten« Internetsystemenerzeugt, meist ohne Wissen der Systemeigentü-mer (deren Systeme für den E-Mail-Versand we-der vorbereitet noch genutzt werden müssen).Rund 95 Prozent aller E-Mails weltweit sindSpam – der überwiegende Teil des Internetver-kehrs wird also von gehackten Systemen erzeugt.

Ziel von Unternehmen muss es daher sein,den Entwicklungsprozess ihrer Web-Anwendun-gen mit einem hohen Reifegrad zu betreiben.Hierzu zählen Coding-Standards mit Mindest-anforderungen an die Programmierung, regel-mäßige Code-Reviews sowie Einführung undDurchsetzung von IT-Betriebsprozessen (hiervor allem die sicherheitsrelevanten BereichePatch-, Change- und Incident-Management).

Standardisierte Ansätze erleichtern die Um-setzung sicherer Web-Anwendungen. Ein Punkt,dem viele Unternehmen noch zu wenig Beach-tung schenken, da auch heute noch viele Web-Anwendungen sehr individuell zusammenge-stellt werden.

Trotz steigender Bedeutung rechtlicher Rah-menbedingungen im Compliance-Bereich oder

der Sorgfaltspflicht im Umgang mit Informa-tionen – Stichwort: Risikomanagement.

Dem gegenüber sieht KPMG das Thema Se-curity-Patching bei den meisten Unternehmenauf einem guten Weg: »Während wir vor einigenJahren noch einen Großteil aller kritischen Un-tersuchungsergebnisse auf diese Ursache zurück-führen konnten, ist der Anteil mittlerweile deut-lich geringer geworden.« Allerdings steht dasThema Security-Patch auch künftig im Fokus,da bereits ein einzelner kritischer nicht instal-lierter Patch ausreichen kann, um die Zugriffs-kontrollen einer Anwendung vollständig auszu-hebeln.

Mobilität versusAnwendungssicherheitDie wachsende Mobilität der Anwender öffnetzusätzliche Lecks für potenzielle Datenangriffe.Ein Hauptgrund liegt darin, dass portable Ge-räte erst selten über Sicherheitsfunktionen oderüber nur unausgereifte verfügen, wie es im etab-lierten Office-Bereich der Fall ist. Hierzu gehörtunter anderem das Fehlen von Firewalls, vonAntivirenprogrammen sowie Verschlüsselungs-technologien oder ein unzureichend geregeltesBenutzermanagement im Unternehmen.

Auch hier ist eine ganzheitliche Sicherheits-strategie Trumpf, um mobile Endgeräte in einunternehmensweites Gesamtkonzept einzubin-den. Hier sieht KMPG einen besonders stark

EINFÜHRUNG


Über den Autor

Marcel Knop ist seit zehn Jahren als Spezialist für IT-Sicher-heit bei der Wirtschaftsprüfungsgesellschaft KPMG AGtätig. Schwerpunkte seiner Aktivitäten bilden die BereichePenetrationstests, Audits von Netzwerk-Infrastrukturen undBetriebssystemen. Innerhalb seiner KPMG-Tätigkeit be-schäftigt er sich zudem mit der Prüfung und Implementie-rung von IT-Betriebsprozessen. Marcel Knop ist darüberhinaus Leiter der ISACA-Fachgruppe »Linux Audit«.

Marcel Knop, Spezialist für IT-Sicherheit bei der Wirtschaftsprüfungsgesellschaft KPMG AG

steigenden Sicherheitsbedarf: »Schaut man sichmoderne Endgeräte im Mobilbereich genaueran, stellt man fest, dass deren Funktions- undLeistungsumfang sich rasend schnell verbessertund schon jetzt einen sehr hohen Standard er-reicht haben. Sei es in puncto Speicherkapazitätoder der Vernetzung. Und das oft ohne durch-gängige Sicherheitsfunktionen. Aber mit einerVielzahl neuer personenbezogener Informatio-nen, wie beispielsweise Standort- oder Telefon-gesprächsdaten. Für Hacker ein lohnendes Ziel,das in Zukunft zunehmend attraktiver seinwird.«

Web-Security braucht Standards und eine GesamtstrategieGrundsätzlich sollte sich eine Gesamtstrategiezum Thema Web-Security an vorhandenenStandards zur Informationssicherheit orientie-ren. Dabei steht der Managementsystem-Ge-danke im Vordergrund. Für Organisationenheißt das zunächst, den weltweit als »State ofthe Art« zu betrachtenden ISO-StandardISO/IEC 27001:2005 umzusetzen. Dieser inter-nationale Managementstandard ermöglicht esOrganisationen, alle Belange der Informations-sicherheit in ein funktionierendes Management-system umzusetzen. Dadurch lassen sich – aus-gerichtet am sogenannten Plan-Do- Check- Act-Zyklus (PDCA-Cycle) – Maßnahmen sowieRollen und Verantwortlichkeiten implementie-ren. Diese erlauben es einer Organisation, iden-tifizierte Schwachstellen oder Vorfälle »kontrol-liert« zu behandeln. Das heißt auch, präventivzu agieren und hinsichtlich zu erwartenderSchwachstellen oder Vorfälle Handlungendurchzuführen, die helfen, diese Ereignisseschon von vornherein zu verhindern. Dreh- undAngelpunkt für eine solche Gesamtstrategie istimmer ein funktionierendes und angemessenesRisikomanagement.

www.all-about-security.de

Weitere Informationen im Internet unter:www.kpmg.de

Web Security Cloud Service

Zscaler High Performance Plattform

garantiert höchste Sicherheitbei minimaler Latenz

URL-FilterAnti-VirusAnti-SpywareContent FilterDLPHTTPS Scanning

Zscaler EuropeTel. 089-954499831

TITEL-STORY


Solche Vergleiche sind auch deshalb nützlich,weil IT-Lösungen die klassischen Abläufe

in vielen Fällen lediglich elektronisch abbilden.All zu schnell umgibt IT-Anwendungen eineAura des völlig Neuen, Unvergleichbaren, undder reale Hintergrund ihres Einsatzes wird ver-gessen. Das gilt auch für die elektronische Post.Umgekehrt gibt es aber auch eine Tendenz, dieVeränderungen zu unterschätzen, die sich ausdem Einsatz neuer Technologien und dem Wandel der Nutzungsgewohnheiten ergeben.Beide Sichtweisen sind nicht adäquat. Die kon-kreten Anforderungen an IT-Lösungen ergebensich aus dem Einsatzzweck, dem geschäftlichenund gesellschaftlichen Hintergrund, der einge-setzten Technologie und der Art ihrer Verwen-dung. Dies gilt auch für Anforderungen an dieSicherheit.

Sicherheit mit TraditionDas Absenden von Briefpost erfolgt durch Ein-wurf in einen leidlich geschützten Briefkasten,der von vertrauenswürdigem Personal geleertwird. Gateway und Transportkanal werden vonspezialisierten, namentlich bekannten Firmenbetrieben. Sie sorgen dafür, dass die Briefpostim Briefkasten oder Postfach des Empfängerslandet. Für weniger vertrauliche Korrespondenzkann eine Postkarte verwendet werden. SensibleInformationen werden in einem Umschlag verborgen und als Brief transportiert. Sichtbarsind nur die für den Transport benötigten Informationen, insbesondere die Angabe desEmpfängers.

Will der Absender ganz sichergehen, dass einBrief den Empfänger persönlich erreicht hatund nicht im Posteingangskorb untergegangen

VON EBERHARD VON FABER, T-SYSTEMS UND FH BRANDENBURG

Vergleiche zwischen modernen, IT-gestütztenArbeitsweisen und althergebrachten, manuellenVorgängen sind häufig sehr hilfreich. Der Blickzurück macht Aufgaben und Anforderungenbewusst, die beim Design von IT-Lösungen nichtunbedingt als Selbstverständlichkeit gesehenund manchmal gar nicht berücksichtigt werden.

VerSPAMt und zugenäht:sichere E-Mails

Bild: Fotolia

ist, kann er die Version »Einschreiben« verwen-den. Reicht es dem Absender nicht, dass die Aus-lieferung beim Dienstleister durch einen Log-Eintrag protokolliert ist, kann er seinEinschreiben mit Rückscheinforderung versen-den, so dass er zusätzlich einen Nachweis erhält.In der Praxis verzichtet man oft auf solche kost-spieligen Verfahren und verlässt sich einfach da-rauf, dass Hinweise wie »persönlich« auf demUmschlag Ähnliches bewirken. Zusätzlich kannein doppelter Umschlag nützlich sein, so dassdie eigentliche Information beim Empfang nichtsofort sichtbar ist, sondern erst als Anhang ge-öffnet werden muss. Besonders bei Geschäfts-post behilft man sich auch damit, sie als »nurfür den Dienstgebrauch« oder ähnlich zu dekla-rieren, um den Empfänger zu festgelegten Ver-haltensweisen für mehr Sorgfalt und letztlichSicherheit zu bewegen.

Die hauptsächlichen Gefahren lauern stetsauf dem Übertragungsweg. Ganz oder teilweiseöffentliche Wege sind kaum kontrollierbar, erstrecht nicht international. Die Versiegelung einesBriefes mit Hilfe von Wachs und Petschaft er-möglicht es festzustellen, ob er unberechtigt ge-öffnet und eventuell verändert wurde. Ein Pet-schaft – etwa in Form eines Siegelrings mitkompliziertem, schwer zu fälschendem Abbildwie einem Wappen – verschafft dem Empfängerdie Sicherheit, dass der Brief nicht verändertwurde und wirklich von angegebenen Absenderstammt. Denn nur er verfügt über diesen Sie-gelring. Bestimmte, besonders sensible Anwen-dergruppen haben sogar einen eigenen Beför-derungs- und Zustelldienst eingerichtet undsich so von möglichen Unwägbarkeiten öffent-licher Dienste unabhängig gemacht. Spam istnicht nur bei elektronischen Medien ein be-kanntes und verbreitetes Phänomen: Bei allenöffentlichen Verfahren kann Unerwünschtes im Posteingang landen. Um dies zu verhindern,wird der Zusteller als Filter aktiv. Die Brief -kastenaufschrift »Bitte keine Werbung« redu-ziert die Anzahl unerwünschter Post schon sehrdeutlich.

Die Sicherung von Inhalten und Zustellungs-nachweisen erfolgt im Rahmen der Aufbewah-rung beziehungsweise Archivierung. Bei ge-schäftlicher Post geschieht dies üblicherweisedurch Abheften in dicken Aktenordnern, chro-nologisch oder nach Sachgebieten sortiert undzum besseren Auffinden beschriftet und indi-ziert. Privater »Geschäftspost« ergeht es ähnlich.Manch anderes kommt in den Papierkorb oderwird, wie die Zeugnisse der intensiven Liebezweier Menschen, über Jahre sorgsam bewahrt– in einem speziellen System (Schuhkarton),meist mit vollständiger Kontextinformation(Umschlag mit Absender, Anschrift und Beför-derungsnachweis in Form eines Poststempels).Archive besonders gehüteter Korrespondenzwerden eingeschlossen und so dem Zugriff Un-befugter entzogen. Selbst der Poststempel, derdie Briefmarke für eine erneute Verwendungunbrauchbar macht, hat seine Sonderfunktion.Bei Terminsachen dient er als Referenz für dieEinhaltung der Frist.

Wahrscheinlich ist diese Aufzählung nichtvollständig. Sie zeigt jedoch, dass die »mechani-sche« Briefpost eine Reihe bewährter Sicher-heitsverfahren hat, die in ihrem elektronischenNachfolger, der E-Mail, nachzubilden sind. Aberauch bei der papierenen Post hantieren wir nurselten mit Wachs und Petschaft. Ein Einschrei-ben mit Rückschein gilt wegen der hohen Kosten und des großen Aufwands als UltimaRatio. Nicht anders verhält es sich bei elektro-nischer Post. Sicherheit ist eine Frage der Anforderungen.

Filter für PosteingangEin gut bekanntes Phänomen, das der elektro-nischen Post anhaftet, ist ihre mögliche Verseu-chung mit Schadsoftware. Beachtliche Mengenan Viren, Würmern und Trojanern finden überdie elektronische Post ihren Weg ins Unterneh-men. Der Schutz vor solcher Malware beginntan der Außengrenze, dem Gateway zum inter-nen Netz. Allein ist dies allerdings nicht ausrei-chend. Entsprechende Sicherheitssoftware sollte

TITEL-STORY


auch auf den Mail- und Serversystemen instal-liert sein. Hat sich dort Schadsoftware eingenis-tet, kann sie sich sehr schnell und massenhaftins Unternehmen ausbreiten. Als dritte Vertei-digungslinie müssen auch noch die Arbeitsplatz-systeme abgesichert werden. CD-Laufwerke undUSB-Schnittstellen bieten hier weitere Einfalls-möglichkeiten für Schädlinge. VerschlüsselteMails lassen sich ohnehin erst auf dem Arbeits-platz-PC zuverlässig überprüfen. Die unter-schiedlichen Lösungen können kombiniert undmüssen aufeinander abgestimmt werden.

Für eingehende E-Mails sind weitere Sicher-heitsfilter nötig. Organisationen erhalten eineFlut von unerwünschter E-Mail (Spam). Siekann nicht nur Schadsoftware transportieren,sondern auch Anwender zur Preisgabe von Ge-heimnissen oder zum Besuch verseuchter Inter-net-Seiten verleiten. Außerdem bindet das stän-dige Durchsehen von unerwünschter Postunnötig Ressourcen und wird schnell zu einemKostenfaktor. Schätzungen gehen davon aus,dass neun von zehn E-Mails der Rubrik Spamzuzurechnen sind. Die Entscheidung, ob eineE-Mail als Spam gilt oder nicht, kann am bestender Internet-Dienstleister beziehungsweise derE-Mail-Service-Provider treffen. Nur er ist inder Lage, den gesamten Verkehr zu analysierenund so die ungewollte Massen-E-Mail sicher zuerkennen. Entsprechende Filterdienste werdenals Service für den E-Mail-Dienst angeboten.Institutionelle Nutzer betreiben ihre E-Mail-Ser-ver häufig selbst. Sie können Anti-Spam-Diensteals Managed-Security-Service beziehen. Dazuwird die E-Mail einfach über den Filterdiensteines Dienstleisters geleitet.

Archivierung und sichere ZustellungDer Schutzbedarf von E-Mails wird häufig un-terschätzt. Anwender müssen sich darüber imKlaren sein, dass die elektronische Post inzwi-schen direkt und untrennbar in die Geschäfts-beziehungsweise Verwaltungsabläufe integriertist, diese mitgestaltet und unmittelbar an ihrerAusführung mitwirkt. E-Mail ist längst das wich-

tigste Kommunikationsmedium in Wirtschaftund Verwaltung und zunehmend auch in derKommunikation mit dem Verbraucher oderBürger. Die elektronische Post transportiert abernicht nur wichtige Informationen zwischen Per-sonen oder Institutionen. Viele E-Mails werdenheute von IT-Anwendungen generiert. SolcheBenachrichtigungen sind Teil der Arbeitspro-zesse (Workflow) und steuern diese. So kann esvorkommen, dass sich ein Teil der Prozesse ausder IT-Anwendung heraus in die Kommunika-tion verlagert. Die Anforderungen an Funktion,Sicherheit und Nachvollziehbarkeit sind aberübergreifend.

Ein wichtiger Baustein für Sicherheit undNachvollziehbarkeit ist die sichere Archivierung.Grundsätzlich gibt es hierfür zwei unterschied-liche Ansätze. Zum einen können E-Mails ser-verseitig archiviert werden. Danach werden siegelöscht oder durch einen Verweis ersetzt. Ver-weise haben den Vorteil, dass die Daten jederzeitim E-Mail-System verfügbar sind. Die Archivie-rung wird durch Regeln gesteuert, die zentraladministriert werden. Um eine spätere Suche zuermöglichen, werden wichtige Kontextinforma-tionen indiziert. Dazu gehören Absender, Emp-fänger, Empfangsdatum und Betreff. Auf dieseWeise können auch große Datenbestände effi-zient durchsucht werden. Aufbewahrungsfristensind unbedingt zu beachten. Nach deren Ablaufkönnen Bestände gelöscht werden, was enormeMengen an Speicherplatz spart, aber eine spätereRecherche unmöglich macht. Bei der zweitenVariante werden die Dateien des kompletten E-Mail-Systems der Nutzer archiviert. Der Vorteilist hier, dass eine Wiederherstellung den Zustandnach der Bearbeitung und Sortierung erzeugt,den der Nutzer erwartet. Es handelt sich alsoeher um eine Sicherungskopie und weniger umein Archiv zum Zwecke der Recherche.

Während solcherlei Funktionen bei Lösun-gen für Unternehmen zur Standardausstattunggehören oder ergänzt werden können, sind siebei Endanwenderangeboten gar nicht oder nurmit sehr eingeschränktem Funktionsumfang

TITEL-STORY


verfügbar. Allein dies kann ein ausschlaggeben-des Kriterium dafür sein, öffentliche Endkun-denangebote und werbefinanzierte Dienstleis-tungen nicht in Unternehmen einzusetzen.

Ein Archiv ermöglicht es dem Empfän-ger nachzusehen, ob eine E-Mailwirklich eingegangen war. DerAbsender hat diese Möglich-keit nicht. Obwohl die Tech-nik sehr zuverlässig funk-tioniert und E-Mails nursehr selten verloren gehen,werden für den Geschäfts-oder Verwaltungsablauf oft ex-plizite Nachweise benötigt. All-gemeine Empfangsbestätigun-gen, die angefordert und danngege - benenfalls automatischerzeugt und versandt werden,sind bislang kein anerkanntes Mit-tel im Geschäftsverkehr. In der Pra-xis hilft man sich deshalb häufig mitder Anforderung einer separaten Rückmel-dung, die weitere Informationen wie zum Bei-spiel ein Einverständnis enthält.

Für eine rechtlich bindende Kommunikationmöchte der Absender jedoch nicht unbedingt aufdie Mitwirkung des Empfängers angewiesen sein.Deshalb gibt es verschiedene Systeme, die demEmpfänger die Zustellung bestätigen. Ein Beispieldafür ist die De-Mail, die generell über verschlüs-selte Kanäle transportiert wird. Der Betreiber desEmpfängerpostfachs kann bescheinigen, dass dorteine bestimmte Nachricht eingegangen ist, undes ist ihm auch möglich festzustellen, wenn derEmpfänger diese Nachricht vom Server geladen,also mutmaßlich zur Kenntnis genommen hat.Auch eine Versandbestätigung ist möglich. SolcheLösungen sind nicht Bestandteil üblicher E-Mailund werden als dezidierte Systeme oder Subsys-teme realisiert. Für die De-Mail soll darüber hi-naus ein Gesetz verabschiedet werden, auf dessenGrundlage sich die Anbieter dieses Dienstes über-prüfen und zertifizieren lassen müssen. Dasschafft eine Verbindlichkeit, mit der eine De-Mail

einem herkömmlichen Einschreiben gleichgestelltwerden kann.

Darüber hinaus gibt es weitere Anforderun-gen. So kann es für den Absender nützlich oder

erforderlich sein, den Nachweis zu führen,dass eine bestimmte Information zueinem bestimmten Zeitpunkt vor-gelegen hat. Der Nachweis kannder Einhaltung von Fristen oderdem Geltendmachen von An-sprüchen etwa auf den Ur-sprung geistigen Eigentumsdienen, zum Beispiel bei Pa-tenten. Hier helfen elektroni-sche Zeitstempel. Sie werdenvon einem vertrauenswürdi-gen Dienstleister erzeugt, indem dieser eine elektroni-sche »Prüfsumme« des Do -

kuments gemeinsam mit derAngabe der aktuellen Zeit elektro-

nisch signiert und dem Absender über-gibt. Die Signatur verhindert nachträgliche Fäl-schungen und gewährleistet Unabhängigkeit.Die Richtigkeit der Zeitangabe gewährleistet derDienstleister.

Zugangs- und ÜbertragungssicherheitE-Mails werden von einem Serversystem emp-fangen, das für jeden Nutzer ein individuellesPostfach bereithält. Es handelt sich also um einemandantenfähige Lösung, welche die Daten dereinzelnen Mandanten oder Nutzer sicher sepa-rieren muss. Um die Nachrichten lesen und be-arbeiten zu können, müssen sich die Benutzerauthentisieren. Dies erfolgt in der Regel mit Be-nutzernamen und Passwort. Werden als Zu-gangstechnologien POP3 oder IMAP über öf-fentliche Netze verwendet, so ist zu bedenken,dass Nutzername und Passwort ungeschützt alsKlartext übertragen werden. Das ermöglicht An-greifern, die Zugangsdaten abzufangen und un-bemerkt auf das E-Mail-Postfach zuzugreifen.Diese eklatante Sicherheitslücke lässt sich schlie-ßen, indem der Übertragungskanal abgesichert

TITEL-STORY


Quelle: F

otolia.de

und verschlüsselt wird, beispielsweise mitSSL/TLS. So werden Benutzername und Pass-wort sicher übertragen.

Werden E-Mails von außerhalb der Firewallbeziehungsweise des Firmennetzes abgerufen,sind für Unternehmen und Behörden VPN-Lö-sungen Standard. Ihr Einsatz erfolgt technischunabhängig vom E-Mail-System. Der VPN-Ka-nal wird am Netzzugangsserver (Gateway) ter-miniert und sichert jede Art von Datenaus-tausch, die er vermittelt. Auf Seiten des Nutzerswird die Technologie im Browser integriert, fallsWeb-Mail als Zugang genutzt wird. Häufiger istjedoch eine eigenständige Lösung für den Fern-zugriff, der grundsätzlich allen Programmenzur Verfügung steht. In Unternehmen mit meh-reren Standorten und E-Mail-Servern könnenLösungen zum Einsatz kommen, die einen ge-sicherten Kanal (VPN) zwischen den Gatewaysaufbauen. Auf diese Weise werden E-Mails iminternen Verkehr sicher übertragen.

Die dritte Möglichkeit stellen Lösungen dar,die nicht den Übertragungskanal als solchen,sondern jede E-Mail einzeln absichern und verschlüsseln beziehungsweise signieren. Die -se Ende-zu-Ende-Sicherheit erfordert eine Integration der relevanten Technologien im E-Mail-Programm. Letztere bieten meist Standard-schnittstellen für die Integration von Verschlüs-selung und Signaturdiensten mittels S/MIMEoder PGP. Damit Sender und Empfänger mitei-nander Ende-zu-Ende-gesichert kommunizie-ren können, müssen sie allerdings das gleicheVerfahren verwenden. Außerdem müssen sie ankompatiblen Kryptosystemen registriert seinund teilnehmen, die ihre digitalen Identitätendefiniert haben und verwalten. Hier sind Un-ternehmen im Vorteil, wenn sie beispielsweiseüber eine Public-Key-Infrastructure (PKI) ver-fügen, welche auch für die Verschlüsselung undSignatur von E-Mails verwendet werden kann.Die gegenseitige Anerkennung der »Trust Cen-ter« beziehungsweise der von ihnen ausgestell-ten digitalen Identitäten ermöglicht eine sichereKommunikation über Unternehmensgrenzen

hinweg. Das gilt auch, wenn die Systeme durchein zentrales Trust Center (Wurzel) bestätigtwerden.

Der Aufwand für die Absicherung der ein-zelnen E-Mails lässt sich in bestimmten Anwen-dungsszenarien reduzieren. So kann im inter-nen, sicheren Netz der Nutzer ein Gatewayinstalliert werden, das E-Mails beim Empfangautomatisch entschlüsselt und vor dem Absen-den gegebenenfalls verschlüsselt. Das heißt, dassdas Gateway eine entsprechende digitale Iden-tität erhält und im Auftrag der Nutzergruppedie Verschlüsselung und Signatur von E-Mailsvornimmt. Von außen betrachtet haben alle Nut-zer kryptographisch dieselbe digitale Identität,technisch aber natürlich eine eigene E-Mail-Adresse.

Sicher im AusgangDie eingangs beschriebenen Lösungen zumSchutz vor Malware, also Viren, Würmern undTrojanern, filtern die elektronische Post. Diesgilt nicht nur für die eingehende E-Mail, son-dern auch für den Postausgang. Unternehmenund Behörden sind gut beraten, auch den aus-gehenden E-Mail-Verkehr zu überwachen. Wür-den sie auch nur versehentlich mit ihren E-MailsSchadsoftware verbreiten, dann beschädigt dieszumindest die Reputation der Absender, hätteaber unter Umständen auch gravierende recht-liche Folgen wie beispielsweise Klagen auf Scha-densersatz.

Eine relativ neue Klasse von Lösungen über-wacht ausgehende E-Mails auf sensible Infor-mationen, um zu verhindern, dass vertraulicheDaten und betriebliche Interna auf diese Weisedas Unternehmen verlassen. Solche DLP-Lösun-gen (Data-Loss-Prevention) scannen ausgehen-de E-Mail und vergleichen sie zum Beispiel mitvorgefertigten Wortlisten. Tauchen bestimmteWörter oder Wortgruppen auf, so wird die E-Mail gesperrt, dem Nutzer wird eine Warnungangezeigt, oder die E-Mail wird automatischverschlüsselt. Andere mögliche Reaktionen sinddas Weiterleiten einer Kopie oder das Umleiten

TITEL-STORY


zur Prüfung. Setzen Nutzer gezielt Datenklassi-fikationen wie beispielsweise »vertraulich« inden Betreff oder Text ein, so können auf Regelnbasierende Reaktionen erfolgen. Diese »Single-Channel-DLP«-Lösungen haben die gleichenVor- und Nachteile wie alle anderen DLP-Lö-sungen. So arbeiten sie häufig nur auf Text ba-sierend und sind nicht oder nur eingeschränktfür andere Datenformate geeignet. Dies ist be-sonders zu beachten, da sich vertrauliche Infor-mationen häufig im Anhang der E-Mail befin-den – als Office-Dokument, Bild, Grafik oderin anderen Formaten.

Filtertechnologien oder automatische E-Mail-Analysen können auch helfen, Phishingzu bekämpfen. Bei Phishing-Angriffen wird derNutzer üblicherweise per E-Mail aufgefordert,bestimmte Web-Seiten aufzusuchen und dortDaten preiszugeben. Um dies abzuwehren, wer-den in der E-Mail Verweise auf bekannte Phi -shing-Seiten gesucht, oder sie wird auf für Phi -shing typische Merkmale überprüft. Verdächtigist es beispielsweise, wenn hinter einem Link ei-

TITEL-STORY


Zum Autor

Eberhard von Faber, 47, arbeitet bei T-Systems im AufgabenbereichSecurity Strategy und Executive Consulting. Er studierte Theoreti-sche Elektrotechnik und promovierte auf dem Gebiet der Halbleiter-physik. Er ist Professor für IT-Sicherheit an der FachhochschuleBrandenburg im Master-Studiengang Security-Management.Eberhard von Faber hat mehr als 18 Jahre Industrieerfahrung aufdem Gebiet der IT-Sicherheit. Er begann seine berufliche Laufbahn als Entwickler von Sicherheitssystemen bei CE Infosys. Nach seinem Wechsel zum debis Systemhaus war er in verschiedenen Projekten im Security Consulting und Security Engineering tätig. Er arbeitete zudem als Gutachter und Auditor, baute die Prüfstelle IT-Sicherheit auf und warjahrelang ihr Leiter. Seit 2001 arbeitet er bei T-Systems.

ne IP-Adresse kodiert wird, statt – wie bei gut-artigen Nachrichten üblich – die Web-Adressein lesbarem Zeichenformat anzugeben.

Natürlich müssen die E-Mail-Systeme selbstso sicher sein wie möglich. Entdeckte Schwach-stellen müssen durch Aktualisierung der Software möglichst umgehend behoben werden.Einstellungen müssen kontrolliert und gegebe-nenfalls verändert werden. Das Identitäts- undRechtemanagement spielt eine ganz entschei-dende Rolle. Unabhängig davon, ob es ganz oderteilweise integriert oder zentralisiert und aus-gelagert ist: Alle Zugänge müssen richtlinien-konform verwaltet werden. Nicht benötigte Zu-gänge sind zu löschen. Eine ausreichend hohePasswortqualität ist zu gewährleisten. Eventuell müssen statt statischer Passwörter stärkere Authentisierungsmethoden zum Einsatz kom-men. Werden Passwörter verwendet, so sind sieregelmäßig zu wechseln. Und last, but not leastsollten die E-Mail-Systeme auch über Basisfunk-tionen eines Intrusion-Detection-Systems verfügen.

INTERVIEW


AAS: Herr Wolf, nach welchem Prinzip funk-tioniert ein Web Security Cloud Service gene-rell?Wolf: Der Gedanke dahinter ist, dass eine mul-timandantenfähige Infrastruktur von vielenKunden genutzt wird. Diese kann in einem Re-chenzentrum lokalisiert sein oder global verteilt.Bei Letzterem spricht man von Cloud Security,deren Funktionsweise ich kurz beispielhaft er-klären will: Mit einer einfachen Routing- oderProxy-Einstellung wird der Webverkehr übereins von mehreren global verteilten hoch siche-ren Zscaler Gateways geleitet. Dort wird der Ver-kehr nahezu verzögerungsfrei gescannt und –falls unbedenklich – weitergeleitet. Damit derZugriff auf die Webseite ohne Umwege ge-schieht, ist beispielsweise die Infrastruktur vonZscaler weltweit direkt an den Internetknotenangesiedelt. Bewegt sich ein Anwender mit sei-nem Laptop oder iPhone in eine andere Region,leitet der Service den Webverkehr automatischüber das nächstgelegene Gateway.

AAS: Wie profitieren Unternehmen von einemSecurity-as-a-Service-Modell?

Wolf: Sie sparen sich die Kosten für Anschaffungund Wartung eigener Sicherheitssysteme undkönnen das Schutzniveau – beispielsweise fürdie F&E-Abteilung oder auch mobile Benutzer –

flexibel anpassen. Gezahlt wird nur, was genutztwird. Dadurch können sich Kosteneinsparungenvon bis zu 50 Prozent gegenüber gängigenProxy-Systemen ergeben. Zudem integriert einWeb Security Cloud Service oft mehr Sicher-heitsinstanzen als viele herkömmliche Angebote.Wir erzielen eine hohe Sicherheit, indem derInternetverkehr in den global verteilten Rechen-zentren durch Virenscanner, Content-Scanner,Anti-Spyware- und URL-Filter von unterschied-lichen Herstellern geprüft wird. So lassen sichbeispielsweise auch soziale Netzwerke absichernund der E-Mail-Verkehr via Webmail.

AAS: Gibt es bei den Unternehmen Bedenkenhinsichtlich der Sicherheit ihrer Daten? Waskönnen Sie diesen antworten?

Wolf: Die Bedenken sind oft psychologischerNatur, denn jeder fragt sich: Was geschieht mitmeinen Daten? Wie werden diese gesichert, und

Kosten sparen und Sicherheit erhöhenInterview mit Daniel Wolf, Territory Manager DACH bei Zscaler Europe

Daniel Wolfist Territory Manager fürDeutschland, Österreichund die Schweiz bei Zscaler Europe.

wer hat wie und wann Zugriff darauf? Deshalbist organisatorische und technische Aufklärungnotwendig. Hier garantieren insbesondere dieVerträge dem Kunden Datenschutz und Vertrau-lichkeit. Eine der weitestverbreiteten Cloud-An-wendungen sind ausgerechnet CRM-Systeme,bei denen Unternehmen ihre gesamten Kunden-daten in die Hand eines externen Anbieters ge-ben. Zudem kann ein guter SaaS-Anbieter einewesentlich höhere Sicherheit gewährleisten, daer über das entsprechende Know-how und dieRessourcen verfügt. Es wäre enorm aufwendig,dies als Unternehmen selbst vorzuhalten. Zu-dem ist 100-prozentiger Datenschutz auch beiinhouse betriebenen Lösungen nicht immer ge-währleistet, etwa wenn Mitarbeiter irgendwanneinmal das Unternehmen verlassen. In unseremFall handelt es sich zudem um Web-Traffic, derohnehin in Klartext das Unternehmensnetzwerkverlässt. Letztlich ist es jedoch eine Frage derUnternehmensphilosophie und der Ressourcen,ob Firmen ihren Webverkehr lieber inhouse prü-fen oder dies einem externen Anbieter überlas-sen. Meistens überwiegen hierbei wirtschaftlicheBeweggründe gegenüber eventuellen Sicher-heitsbedenken.

AAS: Wie sehen Sie die Zukunft für Security-as-a-Service-Modelle auf dem Sicherheits-markt?

Wolf: Eine eigene Infrastruktur für die IT-Si-cherheit zu betreiben wird für die meisten Un-ternehmen hinsichtlich Kosten, Zeit und Know-how immer weniger sinnvoll. Das SaaS-Modellbietet die Möglichkeit, zu kalkulierbaren Kostenein hohes und vertraglich geregeltes Sicherheits-level zu erhalten. SaaS-Modelle werden sich abernur dort durchsetzen, wo tatsächlich Skalen -effekte zum Tragen kommen und damit die Kos-ten deutlich sinken. Unternehmen werden sichmehr mit organisatorischer Sicherheit, der Definition entsprechender Richtlinien oder In-

INTERVIEW


Über Zscaler

Zscaler bietet Unternehmen einen sicherenInternetzugang sowie gleichzeitig die flexible Durchsetzung von Sicherheitsricht-linien – und das von jedem Endgerät undjedem Ort weltweit. Der On-Demand- Service aus der Cloud erspart lokale Infrastrukturen und hält nicht nur Investitionen, sondern auch Betriebsrisikenvon Sicherheitslösungen gering. Kundenprofitieren von skalierbaren Security-Funk-tionen und bis zu 50 Prozent weniger Kosten im Vergleich zu herkömmlichen An-wendungen. Das Unternehmen mit Haupt-sitz im kalifornischen Sunnyvale wurde vonJay Chaudhry gegründet, der sich bereitsmit Firmen wie CipherTrust und AirDefenseeinen Namen in der Sicherheitsbranchemachte. Eine deutsche Niederlassung vonZscaler gibt es seit Februar 2009.

www.zscaler.de

terpretation von Reports beschäftigen. Alle Se-curity-Anwendungen, die nicht zu den Kern-kompetenzen eines Unternehmens zählen, ste-hen zur Disposition für ein Outtasking. DerDruck auf die IT-Budgets in wirtschaftlichschwierigen Zeiten und die zunehmende Mobi-lität der Mitarbeiter werden SaaS erheblichenZuspruch bringen.

AUS DER PRAXIS Web Security


Zwei große Themenkomplexe beherrschendie Diskussion in der IT-Branche im Jahr

2010: das mobile Arbeiten und Cloud Compu-ting. Beide verheißen eine Steigerung der Pro-duktivität der Unternehmen. Die Effizienz derMitarbeiter wird erhöht, und das bei gleichzei-tiger Verbesserung der Qualität von Produktensowie Dienstleistungen. Damit einher geht einfundamentaler Wandel in der Art und Weise,wie Menschen zusammenarbeiten, Informatio-nen austauschen und auf Unternehmensressour-

cen zugreifen. Der Trend geht dahin, geschäfts-kritische Informationen auch außerhalb derklassischen Unternehmensgrenzen durch denEinsatz mobiler Lösungen wie Laptops,Smartphones, Handys und in Zukunft auchiPads verfügbar zu machen. Laut Gartner Data-quest lag der Anteil von mobilen Arbeitskräftenan der durchschnittlichen Gesamtbelegschaftim Jahr 2009 bereits bei 27,5 Prozent – Tendenzsteigend. Die Strategie der Unternehmen liegtdabei eindeutig auf einer Steigerung der Pro-

Wenn Unternehmensgrenzenallmählich verschwindenVON ANGELIKA FELSCH, CISCO

Mobile Working und Cloud Computing versprechen Unternehmen eineproduktive Zukunft – vorausgesetzt, eine moderne Sicherheitsarchitekturunterstützt das Ganze.

Cisco AnyConnect Secure Mobility

duktivität durch die Verfügbarkeit von Infor-mationen, unabhängig von Standort, Zeit, be-vorzugter Arbeitsweise und Endgeräten. Dafürist es jedoch zwingend notwendig, sowohl Nut-zer als auch Firmen vor Cyber-Kriminalität undder eigenen Unbedarftheit bei der Nutzung mo-biler Informationssysteme zu schützen. Die Lö-sung liegt in einem übergreifenden Sicherheits-konzept, das alle im Einsatz befindlichenKomponenten intelligent und zuverlässig ein-bindet.Sowohl bei der Integration mobiler Endge-

räte als auch bei der Nutzung von Services, Re-chenkapazität sowie Storage-Lösungen über dieCloud lassen sich Sicherheitsaspekte in zwei Be-reiche einteilen – IT-Sicherheit und physischeSicherheit. Vor allem bei der Nutzung von CloudServices, die auch außerhalb der gesicherten Un-ternehmensumgebung über mobile Geräte ver-wendet werden können, besteht noch eine la-tente Unsicherheit bei den Usern im Bezug aufSicherheitsfragen. Im Bereich der IT-Sicherheitist der Paradigmenwandel ebenso tief greifend.Mobile Arbeiter möchten unabhängig von Ort,Zeit und Verfahren auf berufliche und privateInformationen zugreifen können. Gleichzeitigsollten die Mitarbeiter aber durch die vom Un-ternehmen aufgestellten Sicherheitsmaßnah-men und Richtlinien möglichst wenig bei dertäglichen Arbeit beeinträchtigt werden. Die her-kömmlichen Grenzen verschwimmen mehr undmehr: Mobile Endgeräte, Applikationen, Datenund Netzwerke werden inzwischen sowohl pri-vat, als auch geschäftlich genutzt. Ein Beispielfür diese Entwicklung ist die zunehmend pro-fessionelle Nutzung von sozialen Netzwerkenwie twitter, Facebook & Co. oder von Video-Portalen wie YouTube. Die Herausforderung fürdie IT-Administratoren ist, kontextrelevante Si-cherheitskonzepte mit dezidierten Sicherheits-richtlinien, unabhängig vom Aufenthaltsort derMitarbeiter, dem genutzten Endgerät und demSpeicherort der benötigten Informationen, zuentwickeln und einzusetzen.

Ob drinnen oder draußen:AnyConnect sorgt für SicherheitMit der neuen AnyConnect Secure Mobility bie-tet Cisco einen lückenlosen Schutz für die Absi-cherung von mobilen Benutzern. Unternehmenhaben mit dieser Lösung die Möglichkeit, dassdie Kommunikation autorisiert, geschützt undgemäß den Sicherheitsrichtlinien abläuft. Dieserreicht der Cisco AnyConnect Secure MobilityClient durch das Zusammenspiel mit integrier-ten Funktionen der Cisco Adaptive Security Ap-pliance und der Cisco IronPort Web SecurityAppliance, welche die notwendigen Enforce-ment Engines bereitstellen und mit den dyna-mischen Cisco-Threat-Defense-Fähigkeiten ver-knüpfen. Ihre Stärken spielen Adaptive SecurityAppliance und Web Security Appliance im di-rekten Zusammenspiel aus. Durch AnyConnectwerden Benutzer und Geräte authentifiziert, be-vor sie Zugang zu den Firmennetzwerken er-halten. Somit werden Zugriffsrechte nur für fest-gelegte Ressourcen sowie Anwendungen erteilt,und die Authentifizierung läuft für jeden An-wender transparent ab. Einzige Voraussetzungist, dass das für die Anbindung verwendete Ge-rät den Unternehmensrichtlinien entspricht undüber aktuelle Sicherheitsfunktionen verfügt. Zuden Cisco-AnyConnect-Funktionen zählen zu-dem nahtlose und sichere Always-on-Konnek-tivität, automatische Erkennung von SecurityGateways sowie sicherer Applikationszugriff füralle Geräte. Das bedeutet, dass einmal aufgebau-te Verbindungen bestehen bleiben, ohne dasssich der Nutzer Gedanken um seinen Aufent-haltsort oder wechselnde Übertragungsverfah-ren machen muss. Die Erweiterungen der CiscoIronPort Web Security Appliance bietet darüberhinaus Einsicht und tief gehende Kontrollmög-lichkeiten über Applikationen, Zugriffssteue-rung von Software-as-a-Service (SaaS), erwei-terte Threat-Defense-Funktionen sowieeinheitliche Sicherheitsrichtlinien innerhalb undaußerhalb von Unternehmen einschließlich Re-porting.

AUS DER PRAXISWeb Security


Viele Gefahren – eine LösungDie Cisco IronPort Web Security Appliance eig-net sich für Unternehmen unterschiedlicherGrößenordnung und verbindet als branchen-weit erste Lösung Techniken bei der Filterungvon URLs mit der Einbindung von Reputati-ons- und Malware-Filtern. Dieses mehrschich-tige System zur Abwehr von Gefahren im Inter-

net gewährleistet in Verbindung mit einemleistungsstarken Web-Proxy sowohl eine besserePerformance als auch eine höhere Zuverlässig-keit gegenüber traditionellen Systemen. So er-möglichen HTTP-, HTTPS- und FTP-Applica-tion eine tief greifende Inhaltsanalyse. Mit Hilfedes proprietären Betriebssystems AsyncOS kannder Proxy ohne Weiteres bis zu 100.000 aktiveTCP-Verbindungen gleichzeitig verarbeiten.Dies trägt zu einem hohen Maß an Skalierbar-keit und Stabilität im Bereich der Web-Sicher-heit bei. Der Layer 4 Traffic Monitor wiederumscannt alle Ports und Protokolle in Echtzeit, um

Downloads und sogenannte Phone-Home-Ak-tivitäten von Spyware gezielt zu unterbinden.Durch die Überwachung sämtlicher 65.535Netzwerk-Ports stoppt der Monitor auch dieje-nigen Attacken, die unter Umgehung des Port80 operieren.

Web Security Appliance – eine vielschichtige LösungDen mehrschichtigen Schutz innerhalb der WebSecurity Appliance gewährleisten auf der einenSeite die dynamischen IronPort-URL-Filter undauf der anderen Seite der Web-Reputation-Filter.Die URL-Filter sorgen für eine zuverlässige Fil-terung von Web-Inhalten, basierend auf vonden Unternehmen etablierten Richtlinien zurInternetnutzung am Arbeitsplatz. So werdennicht nur mit der Internet-Nutzung verbundeneProduktivitätsverluste, sondern auch rechtlicheRisiken reduziert. Dies wird unter anderendurch den Einsatz einer kontinuierlich wach-senden und aktualisierten Datenbank erreicht,die derzeit mehr als drei Milliarden Webseitenin mehr als 70 Sprachen in über 200 Ländernenthält. Darüber hinaus sorgt der Web-Reputa-tion-Filter für eine Bewertung der Vertrauens-würdigkeit von URLs, basierend auf Daten ausder IronPort SenderBase. Das Netzwerk zurÜberwachung des E-Mail- und Web-Verkehrsanalysiert mehr als 30 Prozent der globalenKommunikation im Internet. URLs werden indiesem Zusammenhang anhand 45 unterschied-lich gewichteter Parameter beurteilt, aus denensich ein Reputationswert zwischen -10 und +10ergibt, auf dessen Basis die URL-Anfragen inEchtzeit gefiltert werden. Webseiten mit schlech-ter Reputation werden entsprechend geblocktund alle anderen Anfragen zur weiteren Analysefreigegeben.Abgerundet wird das Web-Security-Portfolio

durch die Hosted-Security-Lösungen von Cisco,die dem Anwender ein hohes Maß an Flexibilitätbei der konkreten Auswahl der Sicherheits -lösung gewähren. In diesem Fall spielt es keineRolle, ob es sich um eine Appliance, eine gema-



E-Mail- und Web-Sicherheit aufhöchstem Niveau mit den CiscoIronPort Security Appliances

nagte oder eine komplett outgesourcte Lösunghandelt.

Verantwortungsbewusstsein als SchlüsselAlle vorgestellten Aspekte der IT-Sicherheit er-setzen jedoch nicht den verantwortungsvollenUmgang mit Unternehmensdaten und Endge-räten seitens der Mitarbeiter. Diese Verfahrenmüssen auf der einen Seite von den Firmen ge-schult und zum anderen von der Geschäftslei-tung aktiv vorgelebt werden. Nur so wird dasVerantwortungsgefühl bei den Nutzern gestärkt.Hierzu existieren mittlerweile Security-Aware-ness-Programme, die in Unternehmen bereitsmit großem Erfolg implementiert wurden. Um-fragen belegen in diesem Zusammenhang, dassdurch bloße Motivation und Aufklärung das Ri-siko von Cyber-Kriminalität oder auch von Da-tenverlust durch Fahrlässigkeit verringert wer-den kann. Hierzu gehört auch das Verfahrenmit betriebsfremden Personen und deren mo-bilen Endgeräten. Virenverseuchte Fremdrech-

ner beispielsweise gefährden Unternehmensge-räte, und gleichzeitig besteht die Gefahr, dasssensible Daten ausgespäht oder entwendet wer-den können. Auch der Missbrauch von Daten-und Netzwerkverbindungen zum Zweck vonUrheberrechtsverletzungen ist ein Szenario, demsich IT-Verantwortliche stellen müssen. Hierhaben sich in der Vergangenheit strikte Zugriffs-und Nutzungskontrollen bewährt, wobei Besu-cher die firmeneigenen Netzwerke lediglich übereinen Gastzugang verwenden können.Durch die Beherzigung aller möglichen Maß-

nahmen im Bereich der physischen und logi-schen Sicherheit in Verbindung mit einem ver-antwortungsvollen Verhalten der Mitarbeitersowie gleichzeitiger Berücksichtigung unterneh-mensfremder Gastnutzer verliert die Aufhebungvon Unternehmensgrenzen schnell ihren Schre-cken. Was bleibt, sind die vielen Vorteile, diesich durch die mobile Nutzung und den Zugriffauf Informationen sowie Ressourcen ergeben –sei es beim Mobile Computing oder bei der Nut-zung von Cloud Services.



Dem Datenklau keine ChanceInterview mit Angelika Felsch, Security Marketing Manager bei Cisco

AAS: Frau Felsch, welche Trends erkennen Sie im Bereich Security?Felsch: Virtualisierung, Cloud Computing und Managed Services liegenim Trend: Traditionelle Unternehmensgrenzen werden aufgebrochen und

verschwinden zunehmend. Dank der immer weiteren Verbreitung von mobilen Endgerätenwie Smartphones, Tablet-PCs und Laptops sind wir im Zeitalter des Mobile Business ange-kommen. Unternehmensdaten werden nicht mehr länger nur firmenintern verarbeitet, son-dern zu Dienstleistern ausgelagert und kommen damit »aus der Cloud«. Die Herausforderungder IT-Sicherheit ist es, die Unternehmensdaten trotz des Verschwindens des Perimeters zuschützen, über alle Grenzen hinweg – unabhängig von Ort, Zeit und Anwendung.

AAS: Wie kann ein Unternehmen denn im Angesicht des Trends der »Entgrenzung« ver-hindern, dass Mitarbeiter sensible Daten stehlen?Felsch: In erster Linie erreichen Firmen dies durch Zugriffskontrolle und systematische Re-gulierung und Kontrolle der Datenspeicherung. Einem Mitarbeiter, der beispielsweise sensi-ble Kundendaten bearbeitet, darf technisch keine Möglichkeit geboten werden, diese lokal zuspeichern oder auf externe Datenträger zu kopieren. Unternehmen sollten für die Regulierungdes Zugriffs jedoch keine starren Regeln verwenden, weil diese heute nicht mehr in die sehrflexibel organisierte Arbeitswelt passen.



Es ist schwierig, Endsysteme frei von Schad-software und -programmen zu halten. So-

bald diese Malware einmal auf einem Client/PCvorhanden ist, kann sie extrem intelligente An-griffe ausführen und in einigen Fällen sogar vonaußen gesteuert werden.

Dies ist eine neue Qualität von Bedrohung,die in den jüngsten Monaten immer häufigerin Unternehmensnetzen entdeckt wurde, mitzunehmender Tendenz. Zum Schutz vor solchenAngriffen muss die Web-Application-Firewallihren Wirkungsgrad erweitern. Wesentlich hier-bei ist ein Schutzmechanismus zur Sicherungdes Kunden-Clients vor den beschriebenen Ge-fahren. Das Schlagwort hierfür lautet »ClientSanitization«, also die Erweiterung der Appli-kations-Sicherheit hin zum Client, der in diesemZusammenhang oft als passive Gefahrenquellefungiert.

Anders als traditionelle Antivirus-Lösungenschützt diese neuartige Security-Technolo -gie ausgewählte Web-Anwendungen (wie Buchungsdienste, Online-Anwendungen), diewebbasiert auf vertrauliche Informationen zu-greifen oder diese verarbeiten. Der Schutzme-chanismus wird in das zu schützende Programm

integriert und schützt dieses gegen Angriffe vonaußen.

Zunächst handelt es sich hierbei um eineweitere Sicherheitsinstanz, die in die bestehendeSecurity-Architektur integriert werden muss.Idealerweise wird diese Funktion als weiteresSicherheitsmodul in einer bereits installiertenWeb-Application-Firewall direkt aktiviert. Somit erfolgt eine Ausweitung der bisherigenreinen Application-Security (Black-, Scoring-,White-List usw.) um eine Schutzfunktion gegenjegliche Form von Angriffen auf Client-Ebene.Und das in einer Lösung. Diese neue Funktio-nalität arbeitet, gesteuert durch die zentrale Soft-ware-Instanz, in dem Browser-Programm desClients. Die Schutzfunktion ist direkt mit denzu schützenden Informationen verknüpft. DieIT-Abteilung hat somit die Möglichkeit, den Ap-plikationsverantwortlichen und den Anwendernein geschütztes Produkt anzubieten, das sicheresArbeiten von möglicherweise infizierten Clientsaus erlaubt.

Ein wesentlicher Vorteil und somit eine or-ganisatorische/wirtschaftliche Vereinfachungdieser Security-Funktion sind, dass für die Ak-tivierung sowie für den Betrieb weder separate

Die WAF und der ClientVON THOMAS KOHL, TERRITORY MANAGER GERMANY, AUSTRIA, SWITZERLAND, EASTERN EUROPE, DENY ALL

Bis heute war der wesentliche Fokus einer Web-Application-Firewall die Ab -sicherung der auf Web basierenden Applikationen und deren Daten vor Ha-ckerangriffen. Der Bedrohung von Unternehmensdaten durch Diebstahl undManipulation jeglicher Art wird heute teilweise schon durch den Einsatz vonWAF-Systemen begegnet. Aber es gibt in diesem Zusammenhang eine wei-tere Bedrohung für die Applikationen: Angriffe durch Spyware und Trojaner.

Installationen noch Administratorrechte seitensder End-User erforderlich sind. Des Weiterenist es möglich, diese Security-Funktion nur fürausgewählte Anwendungen zu aktivieren.

Interne ProgrammüberwachungDer neuartige technische Ansatz dieses Securi-ty-Moduls ist eine eigene Plattform, die in demzu schützenden Programm arbeitet, es werdenalso interne Programmereignisse und die inter-ne Programmausführung überwacht.

Das übergeordnete Ziel ist die sichere Aus-führung eines Programms auf einem möglicher-weise infizierten System. Sensible Daten im Pro-gramm sollten also gegen Diebstahl undManipulation durch bösartige Programme ge-schützt sein. Dies ist durch einen »sauberen«(frei von Schadprogrammen) Programmraumauf dem Client zu erreichen, der durch die Funk-tion der Programmstartkontrolle, die aus einemLaderprogramm besteht, eingerichtet wird. DerProgrammlader erstellt einen neuen Prozessund friert diesen in einem sehr frühen Zustandein, deutlich bevor beispielsweise Debugger ein-gesetzt werden können. Direkt damit verbundenwird das Schutzprogramm in den neuen Prozesseingefügt und entschlüsselt. Dieses neue Pro-gramm enthält eine hohe Anzahl verschiedenerSensor- und Kontrollmechanismen, die die wei-tere Programmausführung kontrollieren. DieAusführung des neuen und von Anfang an sau-beren Prozesses wird fortgesetzt, und das Pro-gramm startet.

Folgende drei Hauptelemente bilden gemein-sam diesen neuartigen Security-Mechanismus: � Programmausführungskontrolle � Code-Injektionskontrolle� Programmschnittstellenkontrolle

ProgrammausführungskontrolleDer Programmausführungskontrollmechanis-mus schützt das Programm gegen Manipulationdes Programmflusses durch externe Programme.Beispielsweise sind neue Prozessfolgen nur zu-lässig, wenn sie von innen heraus gestartet wur-

den. Andere Programme, die Prozesse in demgeschützten Programm beispielsweise mit derWindows-Funktion »Create Remote Thread«erstellen wollen, werden somit blockiert.

Code-InjektionskontrolleDer Kontrollmechanismus für eine neue Code-Injektion in ein geschütztes Programm basiertauf der Überwachung und Kontrolle der Verar-beitung von neuen Code-Modulen, die in denAdressraum des Programms gebracht werden.Dies ist ein allgemeiner Mechanismus, der aufviele unterschiedliche Weisen eingesetzt werdenkann.

ProgrammschnittstellenkontrolleDiese neuartige Security-Funktion schützt ex-terne Schnittstellen und den externen Daten-strom zum und vom Programm (beispielsweisefür die Tastaturschnittstelle) auf folgende Weise: � Verweigerung des Zugriffs zur Schnittstelle,so dass bösartige Programme nicht in der Lagesind, Informationen aus dem Datenstrom zu la-den oder dort Daten einzufügen. � Veränderung der Originaldaten im Daten-strom, so dass sie von den bösartigen Program-men nicht erkannt werden können, die sich er-folgreich in den Datenstrom eingeklinkt haben.



Schematischer Ablauf der Client-Security

Die Schnittstelle, die beispielsweise Eingabenvon der Tastatur empfängt, wird mit einer Kom-bination beider Methoden geschützt. Bei Mi-crosoft Windows dürfen sich weitere Program-me in die Tastaturschnittstelle einklinken, etwamit der Funktion »SetWindows-Hook«. Dieskann dazu führen, dass ein Hook-Modul injiziertund dann über die Tastaturschnittstelle in dasProgramm eingeschleust wird. Die Schutzme-chanismen blockieren solche injizierten Module(es sei denn, die Operation wurde aus dem Pro-gramm heraus injiziert). Um die Sicherheit derTastaturschnittstelle noch weiter zu erhöhen,wird zusätzlich ein Rauschmodul implementiert.Dieses Modul erzeugt ein willkürliches Rau-schen, beispielsweise in Form von Tastaturein-gaben auf dem Tastaturkanal, damit der Origi-naldatenstrom von der Tastatur für bösartigeProgramme, die sich möglicherweise in den Da-tenstrom eingeklinkt haben, nicht erkennbar ist.

Auch die Programmschnittstelle für Win -dows-Meldungen ist geschützt, indem bestimmteMeldungen geblockt werden können, wenn sienicht vom Programm selbst gesendet werden.

KompatibilitätEin wesentlicher Aspekt für den Erfolg einersolchen Security-Funktionalität ist die beinahe



unbeschränkte Einsatzflexibilität, bezogen aufdie Vielfalt der bei den Kunden eingesetztenBrowser-Hersteller und versionen. Hierfür mussein komplexes und stets aktuelles Kompatibili-tätskonzept in diesem Sicherheitsmechanismusintegriert sein. Es gibt drei Hauptaspekte im Be-zug auf Kompatibilität:� Kompatibilität mit dem geschützten Pro-

gramm� Kompatibilität mit anderen Programmen im

gleichen System� Kompatibilität mit dem Betriebssystem

Ein zentraler Kompatibilitätsaspekt mit demgeschützten Programm ist die Garantie, dasskeine Inkompatibilitätsprobleme die Schutz-funktionen beeinflussen. Andererseits dürfendie durchgesetzten Sicherheitsmechanismenauch keine Abweichungen vom normalen Pro-grammverhalten zur Folge haben. Idealerweisesollte dies sowohl bei infizierten als auch nichtinfizierten Systemen gleichermaßen der Fall sein.

Der aktuelle Sicherheitsmechanismus istkompatibel mit allen 32-Bit-Versionen desWindows-Betriebssystems von Windows 2000bis Windows Server 2008. Auch die 64-Bit-Ver-sionen werden teilweise unterstützt.

Der Hauptaspekt der Kompatibilität mit denBetriebssystemen ist, dass es nicht abstürzenoder sich aufhängen darf, wenn Sicherheitsfunk-tionen ausgeführt werden, da eine der wesentli-chen Anforderungen an Sicherheitsmechanis-men der IT die sehr hohe Verfügbarkeit desSystems ist. Dies erweist sich nicht immer alstrivial, da bei der Durchsetzung von Sicherheits-funktionen oft das normale Verhalten des Be-triebssystems geändert werden muss.

Aufgrund der Tatsache, dass die Sicherheits-mechanismen in Programme integriert sindund auf programminternen Prozessen basieren,gibt es mit anderen Programmen, die auf demgleichen System ausgeführt werden, keine Kom-patibilitätsprobleme. Einige gewollte Sonderfällesind jedoch erwähnenswert. Debugger sind bei-spielsweise nicht in der Lage, auf die geschützte

��

��

� ��

��

Unsecured / Secured Browser – optisch fast keinUnterschied

Anwendung zuzugreifen. Nur der Anbieter derAnwendung sollte dazu in der Lage sein, niemalsein Endanwender, auch wenn er gute Absichtenhat. Der Parallelbetrieb von beispielsweise An-tivirenprogrammen, die auf Systemebene im-plementiert und gestartet sind, erweist sich alsunkritisch, bezogen auf die Inkompatibilitäts-probleme.

EinsatzgebieteDurch die neuartige Web-Application-Client-Security-Lösung »Client Sanitization« eröffnetsich IT-Abteilungen die Möglichkeit, für die ein-gesetzten Applikationen im Intra-, Extra- undInternet eine neue und noch höhere Güte vonSicherheit – ausgeweitet auf die Clients – zu bie-ten, als dies mit den bisherigen Web-Applica -tion-Firewalls bereits möglich ist. Mit dieserFunktion ist sichergestellt, dass ausgewählte un-ternehmenskritische Applikationen und die da-zugehörigen Daten, egal von wo aus auf sie zu-gegriffen wird, gezielt geschützt werden können.Nutzt ein Anwender eine mit diesem Servicegeschützte Anwendung, wird das Sicherheits-modul automatisch in den Internet-Browser desAnwenders übertragen. Somit wird eine ge-schützte Online-Sitzung ermöglicht. TypischeBeispiele sind Online-Banking, SaaS (Softwareas a Service), Authentifizierungsmechanismen,e-Government, e-Payment sowie e-Health-Sys-teme.

Weitere Beispiele für die Einsatzmöglichkeitin unternehmenseigenen Intra- und Extranet-Strukturen zeigen auf, dass es unabhängig ist,von wo aus Projektmitarbeiter auf beispielsweiseForschungsdaten oder Außendienstmitarbeiterauf Kundendaten im Finanzensektor zugreifen.Es wird mit der neuen Security-Technologie si-chergestellt, dass keine sensiblen Daten durchentsprechende Schadprogramme verloren gehenoder manipuliert werden. So ist es sogar mög-lich, dass beispielsweise ein Mitarbeiter aus ei-nem Internet-Cafe am Flughafen gesichert aufdie Unternehmensdaten zugreifen kann. Diese

Sicherheit wird hierbei zusätzlich gegeben, danach dem Beenden der Arbeit und dem Schlie-ßen der Applikation auch die entsprechende ge-sicherte Session auf dem Client gelöscht wird.Dies gewährt den Mitarbeitern eines Unterneh-mens ein sehr hohes Maß an Flexibilität für ihreArbeit bei gleichzeitiger modernster und höchs-ter Sicherheit für die Applikationen und Datendes Unternehmens.

SchlussfolgerungMit dieser neuen Sicherheitsfunktion »ClientSanitization« wird den IT-Abteilungen und so-mit auch den Unternehmen selbst eine neue Se-curity-Stufe geboten, die ein Zusammenrückender Applikation und des Clients zu einer ein-heitlichen, gesicherten Arbeitsplattform darstellt.Durch die hohe Flexibilität und Kompatibilitätsowie die einfache Betriebsführung ist diese Lö-sung ein weiterer Schritt, die Sicherheit für aufWeb basierende Applikationen und deren da-zugehörige Daten maßgeblich zu erhöhen.Durch die Integration dieser Technologie alsFunktionsmodul in einer Web-Application- Firewall entsteht ein noch höherer Wirkungs-grad einer WAF bei gleichzeitig wirtschaftlichemBetrieb. Haupteigenschaften dieser Web-Appli-cation-Client-Security-Lösung:

� IT-Abteilung kann Security-Funktion für de-zidierte Anwendungen anbieten

� Auf Sitzung basierender Schutz � Geschützter Zugriff auf Anwendung trotz

infizierten Systemen � Extrem geringe zusätzliche Rechnerbelastung

führt zu stabiler Systemgeschwindigkeit� Keine separate Installation durch Endbenut-

zer erforderlich � Keine Administratorrechte für Endbenutzer

erforderlich � Keine systemweiten Störungen mit End -

anwendersystemen � Einfache Aktivierung als Zusatzmodul in

einer WAF





Unternehmen können ihre WAFs (Web Ap-plication Firewalls) mit Hilfe der dWAF

(distributed WAF)-Technologie erfolgreich ver-teilt virtualisieren und alle Vorteile dieser Tech-nologie – Skalierbarkeit, Flexibilität und opti-male Ressourcen-Nutzung – auch für denWAF-Bereich nutzen.

Virtualisierung: der Kostensenker im RechenzentrumVirtualisierung senkt die Gesamtbetriebskostenfür Rechenzentren enorm, da vorhandene Hard-ware-Ressourcen besser ausgenutzt werden. Wennbeispielsweise ein Dienst auf einem Server nureinen Bruchteil der Rechenpower der zugrunde-

Investitionssicherer Schutz von Web-Infrastrukturen

VON DR. GEORG HESS, GESCHÄFTSFÜHRER VON ART OF DEFENCE

Web Application Firewalls haben sich als geeignete Produkte für die Absicherung von Web-Applikationen erwiesen. AuchUnternehmen mit einer virtualisierten Web-Infrastruktur könnenauf diesen State-of-the-art-Schutz nicht verzichten.

distributed Web Application Firewall (dWAF) hyperguard – Beispiel der Amazon-Cloud-Implementierung

dWAF: WAF-Technologie auch für verteilte virtualisierte Umgebungen

liegenden Hardware benötigt, senkt das »Anzap-fen« der brachliegenden Reserven die Betriebs-kosten für ein Rechenzentrum auf mehreren Ebe-nen: Insgesamt muss weniger Infrastrukturangeschafft, gewartet und am Ende des Lebens-zyklu’s fachgerecht entsorgt werden. Zusätzlichsinken die Folgekosten wie Raummiete, Strom,Kühlung etc. Dazu kommen noch Verbesserun-gen beim Verwalten und Managen der IT.

Virtualisierungsprojekte sind in der Regelsehr komplex, und nicht für alle Bereiche derIT-Infrastruktur gibt es bereits ausgereifte Lö-sungen auf dem Markt. Grundsätzlich lässt sichdabei festhalten: Je mehr Infrastrukturelementevirtualisiert werden, desto höher fällt der Kos-tenvorteil aus. Je nach Komponente sind inzwi-schen Technologien verfügbar, die eine echteVirtualisierung mit allen daraus entstehendenVorteilen ermöglichen. Ein Beispiel hierfür istWeb Application Security.

Im Bereich Web Application Security habensich Web Application Firewalls (WAFs) alsSchutzvorrichtung gegen Angriffe aus dem In-ternet etabliert. WAFs erkennen unter anderemAngriffsversuche im Payload von Requests undschließen damit eine Lücke, die IT-Sicherheits-technologien wie Netzwerk-Firewalls oder IPS(Intrusion-Prevention-Systeme) offen lassen.Dabei setzen sie meist auf Kombinationen ausWhitelist-/Blacklist- und Greylist-Verfahren,Mustererkennung bekannter Angriffe und sta-tistische Methoden, aber auch die Analyse ein-zelner Sessions, um Auffälligkeiten zu entdecken.

Es gibt meist verschiedene Schutzniveaus:Auf der ersten Stufe beobachten WAFs nur An-fragen an die Web-Anwendung, agieren jedochbei Angriffen nicht. Bei einem Grundschutzlevelblocken sie mit einem erprobten, standardisier-ten Regelwerk gängige Angriffe ab. Den höchstenSicherheitslevel erreichen WAFs bei einer mög-lichst kompletten Absicherung der Web-Anwen-dungen mit applikationsspezifischen Regelwer-ken. Zudem übernehmen einige der auf demMarkt befindlichen Lösungen weitere Sicher-heitsfunktionen wie Sicheres Session Manage-

ment oder die sogenannte URL-Encryption.Auch in virtualisierten Installationen kommenUnternehmen und Behörden nicht am Schutzdurch WAF-Technologie vorbei, um die sensi-blen Daten zu schützen, die beispielsweise überE-Commerce-Sites, Web-Portale für Kunden,Partner oder Mitarbeiter oder E-Government-Angebote zugänglich sind.



Über art of defence

Die art of defence GmbH ist auf Web-An-wendungssicherheit spezialisiert. Die Produkte des Unternehmens schützenWeb-Anwendungen während des gesam-ten Applikationslebenszyklus’ vor Angriffenaus dem Internet. art of defence hilft so sei-nen Kunden, Compliance-Vorschriften oderIndustriestandards wie die Sicherheitsricht-linien der Kreditkartenindustrie (PCI DSS)einzuhalten. Das Regensburger Unterneh-men ist über eine Niederlassung und Distri-butionspartner auch auf dem US-Marktpräsent. Für den Amazon Cloud Service hat art of defence die dWAF-Technologiebeispielsweise bereits implementiert. Flaggschiff-Produkt von art of defence istdie Web Application Firewall (WAF) hyper-guard; diese WAF-Lösung wird als einzigeauf dem Markt vollständig in Deutschlandentwickelt. Die Enterprise Web Application Firewall hyperguard von art of defence ist als Soft-ware-Plug-in, als Hardware und Virtual Appliance sowie als distributed dWAF fürsehr große Infrastrukturen verfügbar.Führende deutsche Banken, Payment Pro-vider und E-Tailer setzen beim Schutz ihrerinternen und externen Web-Anwendungenauf art of defence; in den USA zählt dasUnternehmen namhafte Cloud-Provider zuseinen Kunden. www.artofdefence.com

Kostensenker – auch für den WAF-BereichJe größer der Anteil an der Infrastruktur ist, dervirtualisiert wird, desto höher ist die Kostenein-sparung. Deswegen muss es das Ziel sein, einemöglichst durchgängige Virtualisierung derKomponenten zu erreichen, auch für den WAF-Bereich. Denn: Wächst der zu verarbeitendeWeb-Traffic, weil beispielsweise die E-Com -merce-Site deutlich stärker als erwartet genutztwird, müssen nicht-virtualisierte WAFs unterUmständen erneuert werden, um Performance-Engpässe durch den berühmten Flaschenhalszu beseitigen. Die Folgen: höhere Hardware-und Lizenzkosten, interne Aufwendungen fürdas Migrationsprojekt und potenzielle Mehrar-beit für neue WAF-Regelwerke.

Dagegen entfallen mit einem verteilten undvirtualisierten WAF-Ansatz Probleme bei Flexi-bilität und Skalierbarkeit. Hinzukommen bes-sere Ressourcen-Nutzung und damit niedrigereBetriebskosten. Dies spricht dafür, bei der Vir-tualisierung der IT auch den WAF-Bereich »rich-tig mit zu virtualisieren« und damit Zukunfts-sicherheit in puncto Investitionsschutz undAusbau der Infrastruktur gleichermaßen zu er-

reichen. Mit dWAF steht eine ausgereifte Tech-nologie zur Verfügung (sie kommt beispielswei-se schon in der Amazon-Cloud zum Einsatz),mit der sich eine WAF-Virtualisierung sauberumsetzen lässt.

dWAF-Technologie: der GrundgedankeBasis der dWAF-Technologie ist der verteilteWAF-Ansatz – dWAF steht für distributed WAF.Die Grundidee ist eine modulare Software-Ar-chitektur, deren Komponenten auf mehrerenSystemen verteilt implementiert sind, aberdurch ein zentrales Management gesteuert wer-den können. Damit transportiert der BegriffdWAF mehr als das Konzept einer WAF als vir-tuelle Appliance: Eine WAF als »Virtual Appli-ance« ist in einer virtuellen Installation lauffähig;diese virtuelle Instanz muss dabei allerdings allenotwendigen Aufgaben einer WAF ausführenund ist damit in der Regel ressourcenintensiv.Im Unterschied dazu steht der verteilte dWAF-Ansatz, bei dem pro virtuelle Instanz der pas-senden Web-Infrastruktur-Komponente – bei-spielsweise dem Webserver – nur ein kleinesModul aufgeschaltet wird. Größere und rechen-intensivere Funktionen der WAF sind dagegenauf eine andere Komponente ausgelagert.

Kernmodule als Grundlage fürverteiltes WAF-DeploymentDie technische Umsetzung einer dWAF basiertauf einer konsequent modularen Architektur,welche die Kernfunktionen von Web Applicati-on Firewalls strikt in drei Kernmodule trennt.

Der »Enforcer« ist ein sehr kleines Modul,das sich als Software-Plug-in in die jeweils pas-sende Komponente der Web-Infrastruktur –Web Server, Application Server, Reverse Proxy,Load Balancer oder Netzwerk-Firewall – inte-griert. Er leitet alle Security-relevanten Bestand-teile von Anfragen und Antworten, die via Web-Anwendung zwischen User und Backend-System ausgetauscht werden, an den sogenann-ten Decider weiter; dann wartet er auf die Ent-



Kernmodule einer WAF

scheidung und gibt diese an die jeweilige Infra -stuktur-Komponente zur Umsetzung zurück.Der Enforcer fungiert so als das Bindeglied zwi-schen der Web-Infrastruktur und den Entschei-dungskomponenten.

Der Decider ist die Instanz, die die Security-Policies pro Web-Applikation überwacht. Er er-hält die eingehenden Daten vom Enforcer undentscheidet, wie mit den User-Requests und Back end-Responses verfahren wird. Dazu greifter unter anderem auf Blacklists zu bekanntenAngriffen, speziell definierte Whitelists und ap-plikationsspezifische Rule Sets zurück. Die ge-troffene Entscheidung gibt er zur Umsetzungan den Enforcer zurück.

Der Decider ist der ressourcenintensivste Teilin der WAF-Architektur. Seine Anforderungenan die physische oder virtuelle Maschine, aufder er installiert ist, hängen direkt von Art undAnzahl der Requests, also vom Traffic, sowievon den jeweils konfigurierten Security-Policiesab. In der praktischen Umsetzung ist der Deci-der jedoch hochgradig skalierbar: So lässt ersich beispielsweise auf einem oder vielen Pro-zessoren gleichzeitig einsetzen, oder mehrereDecider-Instanzen können parallel auf verschie-denen physikalischen oder virtuellen Maschinenarbeiten und so eine verteilte Infrastruktur ab-decken. Da mehrere Enforcer-Module mit einerDecider-Instanz sprechen können, ist die dWAF-Architektur besonders ressourcenschonend: DieEnforcer benötigen nur wenig Leistung auf ih-ren jeweiligen Komponenten, die CPU-intensi-ven Prozesse fallen dagegen bei einer deutlichgeringeren Anzahl an zentralen oder dezentralenDecider-Instanzen an, die in einer geeignetenvirtuellen Infrastruktur zudem je nach Bedarfvergrößert und – bei geringerer Auslastung –wieder verkleinert werden kann (»DeciderCloud«).

AdministrationsmodulAls drittes Modul schließlich läuft auch die »Ad-ministration« unabhängig von den beiden vor-genannten. Es kann je nach Bedarf auf einem

zentralen Server installiert oder dezentral aufmehrere verteilt sein. Die WAF-Administrationsetzt die Enterprise-Anforderungen an WAF-Einrichtung, -Pflege, Monitoring und Reportingum: Der für den Schutz einer Web-ApplikationVerantwortliche kann damit zentral Policies füralle WAF-Decider definieren oder anpassen, Re-gelwerke für einzelne Applikationen überprüfenund auf weitere Anwendungen verteilen. Dankder Multi-Admin-Fähigkeit können die zustän-digen WAF-Admins auf Rollen basierend zudemZugriffsrechte auf präziser Ebene an die entsprechenden Verantwortlichen vergeben, da-mit zum Beispiel Applikationsverantwortlicheselbst Security-Policies anwendungsspezifischanpassen oder Auditoren leicht Einsicht nehmenkönnen.

Nutzen der dWAF-TechnologieZunächst profitieren Unternehmen von derdWAF-Technologie, die ihre physikalischen In-frastrukturen ganz oder teilweise auf eine vir-tualisierte Umgebung umstellen oder dies be-reits getan haben: Die erstgenannte Gruppe tutwegen der genannten Kosten- und Ressourcen-einsparungen gut daran, eine möglichst durch-gehende Virtualisierung der Infrastruktur an-zustreben. Für die zweite Gruppe könnte diedWAF-Technologie mittelfristig in einer zweitenVirtualisierungswelle relevant werden, um po-tenziellen Flaschenhälsen in der Infrastrukturvorzubeugen.

Nach der Logik des Skaleneffektes wird diedWAF-Technologie natürlich desto interessanter,je größer die Web-Infrastruktur ist; besonderesEinsparpotenzial eröffnet sich deswegen auchUnternehmen, die intern eine sogenannte Pri-vate Cloud aufbauen wollen – dafür ist ein vir-tualisiertes Rechenzentrum dann die technischeGrundlage. Für Outsourcing-Anbieter bezie-hungsweise Hosting- oder Cloud-Provider lohntsich der Einsatz von dWAFs deswegen besonders.

Und jenseits von virtualisierten Infrastruk-turen gedacht: Auch Unternehmen mit nicht-virtualisierten Infrastrukturen profitieren von



der dWAF-Technologie – selbst wenn sie keineVirtualisierungspläne haben. Schließlich sindeinfache Skalierbarkeit und hohe Flexibilität derWAF-Installation auch in großen oder verteiltenInfrastrukturen erstrebenswert. Hinzu kommt:Aufgrund der hohen Anforderungen verfügt ei-ne dWAF über eine sehr mächtige Administra-tion, die beim zentralen Management von vielen»klassischen« WAF-Instanzen ebenso ihre Vor-züge ausspielt. Und schließlich ist es möglich,die Decider-Cloud auf fest definierter und ent-sprechend dimensionierter Hardware laufen zulassen, was auch in nicht-virtualisierten Instal-lationen Skalierbarkeit und Flexibilität erhöht.

Der modulare Ansatz erlaubt es zudem, bei-spielsweise einige WAF-Instanzen als Hardware-Appliances und einige als virtualisierte Instan-zen zu betreiben. Dabei können alle dieseInstanzen zentral von dezidierten WAF- bezie-hungsweise Applikationsverantwortlichen ad-ministriert werden – besonders interessant fürIT-Infrastrukturen, die über eigene Rechenzen-tren und weitere Hosting- oder Outsourcing-Partner verteilt sind.

dWAF – gerüstet für die ZukunftZusammenfassend lässt sich sagen, dass einekünftige WAF-Infrastruktur auf Basis derdWAF-Technologie für ein besonders zukunfts-sicheres WAF-Deployment steht. Bei wachsen-dem Web-Traffic ist sie problemlos skalierbar,dadurch fällt sie als möglicher Flaschenhals derZukunft weg, und es entstehen keine zusätzli-chen Kosten für neue Sicherheits-Hardware.

Wenn nicht nur der Traffic, sondern auchdie Anzahl der Web-Applikationen im Unter-nehmen steigt, ist die Web-Infrastruktur mit ei-

ner dWAF ebenfalls gut erweiterbar: Hier greiftder Vorteil, dass sie viele Regelwerke verwaltenkann und damit die Ausbaufähigkeit sichert. Dadie dWAF auch in sehr heterogenen Umgebun-gen »lebt« und mit vielen Komponenten zusam-menarbeitet, passt sie sich der jeweils existieren-den Infrastruktur an. Damit bringt sie auchUnternehmen, die eine gemischte Software-oder Hardwarebasis haben oder für die ein Vir-tualisierungsprojekt mittelfristig eine Optionist, deutliche Vorteile.

Und last, but not least: Ein möglichst hohesSicherheitsniveau ist wichtig, damit sich dasCloud-Computing-Konzept auch in Deutsch-land durchsetzen kann – egal, ob als PrivateCloud in einem Unternehmen oder für Servicesaus der Public Cloud. Die dWAF-Technologieist hier ein geeignetes Instrument zur Absiche-rung von Applikationen, die in Cloud-Infra-strukturen laufen. Für Cloud-Provider bestehtdeshalb die Notwendigkeit, ihre virtualisiertenRechenzentren mit Technologien wie der dWAFund anderen Ansätzen umfassend zu schützen.



Dr. Georg Heß, Geschäftsführer von art of defence



HTTPS – der blinde Fleck der NetzwerksicherheitVON GERT HANSEN, VP PRODUCT MANAGEMENT BEI ASTARO

Ohne Verschlüsselung sind Daten, die im Internet übertragen werden, für jeden als Klartext lesbar. HTTPS dient der Verschlüsselung und Authentifizie-rung der Kommunikation zwischen Webserver und Browser. Es ist das einzigeVerschlüsselungsverfahren, das ohne zusätzliche Installation auf allen Compu-tern unterstützt wird: Es verschlüsselt Inhalte unabhängig vom Netzwerk.

Der HTTPS-Filterprozess

Vor allem aufgrund der zunehmenden Verbreitung von Funkverbindungen, die bei-

spielsweise an WLAN-Hotspots häufig unver-schlüsselt angeboten werden, steigt die Bedeu-tung von HTTPS.Wer Daten verschlüsselt, will nicht, dass sie

von jemandem gelesen werden, für den sie nichtbestimmt sind. Allerdings kann das Motiv da-hinter vollkommen verschieden sein. Das Pro-blem ist: Herkömmliche Filterlösungen sindnicht in der Lage, den verschlüsselten Inhaltvon HTTPS-Datentransfers zu untersuchen undeventuell enthaltene Malware zu erkennen. Zahl-reiche mit HTTPS verschlüsselte Webseiten wieetwa Kundenportale, Datensicherungsdienste,Web-Mailer und Bankenportale sind jedoch fürden alltäglichen Betrieb in vielen Unternehmen

notwendig. Deshalb ist es unmöglich, HTTPSgrundsätzlich zu blockieren.

So funktioniert HTTPSNormaler HTTP-Datenverkehr über Port 80wird unverschlüsselt übertragen und kann anmehreren Stellen auf der Strecke zwischen Web-Browser und Zielserver abgefangen werden.HTTPS hingegen ist ein »abgesichertes« Proto-koll, welches eine verschlüsselte Verbindung zwi-

schen Client und Zielserver, üblicherweise ei-nem Webserver, herstellt. Aus diesem Grundwerden sensible Daten oft mit Hilfe von HTTPSabgesichert. Dieses Protokoll erlaubt Webser-vern einen sicheren Informationsaustausch undermöglicht dem Benutzer die Wahrung von Pri-vatsphäre und Sicherheitsbedürfnissen. Websei-ten, die persönliche Daten enthalten, Online-Banking-Portale, Seiten zum Zahlungstransferund viele weiteren Transaktionen werden mitHTTPS abgesichert und beugen so einem mög-lichen Datenmissbrauch vor. Die HTTPS-Kom-munikation erfolgt dabei immer in Verbindungmit digitalen Zertifikaten zur Gewährleistungder Integrität jeder einzelnen Internetsitzung.Am Anfang einer jeden HTTPS-Transaktionwerden diese Zertifikate ausgetauscht, auf IhreGültigkeit überprüft und nach erfolgreicher Prü-fung die verschlüsselte Verbindung initiiert.

Astaro kann den blinden Fleck ausleuchtenDie HTTPS-Filterfunktionen der Astaro WebSecurity Application für das Astaro SecurityGateway ermöglichen Administratoren, die hö-here Sicherheit von HTTPS-Verbindungen beider Übertragung sensibler Daten im Web zunutzen und gleichzeitig möglichen Missbrauchund Angriffe über HTTPS zu verhindern. Durchausgeklügelte Mechanismen kann Astaro WebSecurity:

� HTTPS-Verbindungen entschlüsseln, den In-halt untersuchen und wieder verschlüsseln,� verhindern, dass HTTPS von Tunnel-Pro-grammen missbraucht wird,� Phishing-Versuche durch Zertifikatsprüfun-gen vereiteln.

Effizientes Filtern von HTTPSIst eine verschlüsselte HTTPS-Verbindung zwi-schen Client und Server erst einmal aufgebaut,ist es schwierig, die darüber übertragenen Datenzu filtern. Daher spaltet Astaro die Verbindungauf. Das Astaro Security Gateway entschlüsseltzunächst die Daten vom Zielserver, indem essich dem Zielserver selbst als Client präsentiert,und verschlüsselt die Kommunikation darauf-hin in Richtung des eigentlichen Clients noch-mals neu. Damit verhält sich das Astaro SecurityGateway als »Man-in-the-Middle« und ermög-licht eine vollständige Filterung der Daten.Die Vorgehensweise ähnelt einem Telefonat

zwischen zwei Personen, bei dem der Anrufnicht direkt durchgestellt, sondern zunächst ei-nem Übermittler (dem Astaro Security Gate-way) übergeben wird, der sich als Empfängerausgibt. Der Übermittler wiederum stellt sichdem Empfänger als der eigentliche Absendervor, übergibt ihm die Nachricht und nimmteventuelle Antworten entgegen. Die Nachrich-teninhalte kann der Übermittler dabei jeweilsfiltern und, wenn nötig, eine »gereinigte« Versi-



Aktivierung vollständiger HTTPS-Filterung mit nur einem Klick

on weiterleiten. In HTTPS-Verbindungen sinddarüber hinaus zusätzliche, technische Schrittefür den Austausch der verwendeten Zertifikateund deren Validierung notwendig, damit derClient dem Astaro Gateway und deren CA vertraut.Mit dem vollständigen und einfach zu konfi-

gurierenden HTTPS-Filter von Astaro könnenUnternehmen einen weitaus höheren Sicherheits-standard erreichen als mit herkömmlichen Lö-sungen. Andere Web-Security-Produkte prüfenoft nur die Zertifikate einer HTTPS-Initialisie-rung und erlauben höchstens eine Filterung an-hand der URL, die unverschlüsselt zur Verfügungsteht. Eine Prüfung der tatsächlich übertragenenDaten selbst ist jedoch nur selten möglich.Beispielsweise können solche einfachen

»HTTPS-Filter« anhand der URL erkennen, dasses sich bei https://www.paypal.com um eineBank-/Finanz-Seite handelt, jedoch nicht ver-hindern, dass der Endbenutzer ein Virus herun-terlädt, sobald der Zugriff einmal erlaubt wird.Astaro kann sowohl den Zugriff auf die URLkontrollieren als auch verhindern, dass infizierteDateien, Spyware, Trojaner oder andere Schad-software übertragen werden.

Abwehr von Tunnel-ProgrammenHTTPS-Datenverkehr (Port 443) wird, wie be-reits beschrieben, normalerweise nicht grund-sätzlich durch Sicherheits-Gateways blockiert,zumal das Protokoll ursprünglich zur reinenAbsicherung von Webseiten dient. Diese Tatsa-



Eine häufige Zertifikatswarnung

che haben sich viele Software-Entwickler zunut-ze gemacht, um mögliche Sicherheitsmaßnah-men zu umgehen und ihre Programme überHTTPS-Tunnel ungestört an Firewall-Regelnvorbeizuleiten. Dieser Freifahrtschein ins Inter-net birgt jedoch große Sicherheitsrisiken.Der Astaro-HTTPS-Filter kann diese Pro-

gramme zuverlässig stoppen, indem er alle Pro-gramme, die keinen ordnungsgemäßen Zertifi-katsprozess einhalten, automatisch blockiert.Hiermit lassen sich beispielsweise Programmewie UltraSurf unterbinden, die anonymes, ver-schlüsseltes Websurfen auf beliebige Seiten er-möglichen und herkömmliche Webfilter umge-hen. Über diese Funktion ist auch zu verhindern,dass eventuell eingeschleuste Schadprogrammewie Spyware oder Adware Sicherheitslücken auf-reißen, indem sie unbemerkt Daten über diesenWeg ins Internet übertragen. Des Weiteren wer-den Benutzer daran gehindert, Zertifikatswar-nungen des lokalen Webbrowser einfach zuignorieren oder zu umgehen. Angriffe wie bei-spielsweise Phishing-Attacken setzen oft zumZeitpunkt des Aufbaus einer HTTPS-Verbin-dung an, bei der Zertifikatsinformationen aus-getauscht und die verschlüsselte Verbindungeingeleitet werden. Dies geschieht in der Regelin Sekundenbruchteilen, und entstehende Warn-meldungen werden vom Benutzer fatalerweisemeist akzeptiert. Astaro kann einen sicherenVerbindungsaufbau sicherstellen und den Be-nutzer vor einem sorglosen Umgehen der War-nungen schützen.

Sicherer Umgang mit ZertifikatenDer Aufbau einer HTTPS-Verbindung geschiehtunmittelbar, nachdem der Benutzer eine ent-sprechende Seite aufruft (beispielsweisehttps://www.paypal.com), indem die Webseitemit einem Zertifikat für den Verschlüsselungs-prozess antwortet. Da diese Aufbauphase un-verschlüsselt erfolgt, besteht hier die Gefahr derManipulation des Zertifikats. Daher wird dasZertifikat üblicherweise von einer unabhängigenZertifizierungsstelle (Certificate Authority, CA)

mit einem Stempel versehen, um dessen Rich-tigkeit zu beglaubigen und mögliche Fälschun-gen zu erkennen. Heutige Webbrowser enthal-ten eine Liste offizieller CAs, denen sie vertrauenund welche für die Prüfung von Zertifikatenverwendet werden. Wenn während der Über-mittlung ein Zertifikat verändert oder ausge-tauscht wird, bekommt der Benutzer eine Feh-lermeldung des Webbrowsers. Üblicherweisejedoch akzeptieren Benutzer diese Meldungen,ohne diese zu lesen oder richtig zu interpretie-ren, fahren mit dem Aufbau der Verbindungfort und umgehen letztlich die Sicherheit desHTTPS-Systems. Astaro blockiert HTTPS-Ver-bindungen mit fehlerhaften Zertifikaten auto-matisch, bevor der Benutzer damit konfrontiertwird. Die Art und Weise, nach welcher der Asta-ro-HTTPS-Filter arbeitet, würde hierbei zunächst zu ganz ähnlichen Fehlermeldungenführen. Da die Verbindung von Astaro unter-brochen wird, erhält der Client, welcher bei-spielsweise ein Zertifikat von https://www.pay-pal.com erwartet, nun ein Zertifikat vom AstaroSecurity Gateway. Daher müssen bei Einrich-tung des HTTPS-Filters Vorkehrungen getroffenwerden, damit Clients der Astaro CA vertrauenund entsprechende Warnungen unterbundenwerden. Dies kann erfolgen, indem der Benutzereinmalig eine Aktivierung im UserPortal vor-

nimmt, der Administrator ihm einen speziellenLink zusendet oder eine Active Directory Inte-gration den Prozess automatisiert. Nach Aufbauder Vertrauensstellung können HTTPS-Verbin-dungen dann ohne weitere Warnmeldungen aufBenutzerseite untersucht werden, da der Clientder Astaro CA ab sofort vertraut und gleichzeitigdas Zertifikat des Zielsystems überprüft wurde.

ZusammenfassungUnternehmen, die den leistungsfähigen Astaro-HTTPS-Filter einsetzen, gewinnen einen großenVorteil durch umfassendere Kontrollen undSchutz ihrer Netzwerkinstallation. Die Möglich-keit, bei sehr geringem Konfigurationsaufwandin HTTPS-Verbindungen hineinschauen zukönnen, bietet Schutz vor Missbrauch, Malwareund unerwünschtem Surfverhalten, das ein ste-tig wachsendes Problem bei HTTPS-Verbindun-gen darstellt. Während einfache URL-Filter le-diglich HTTPS-Zugriffe blockieren können,ermöglicht es der HTTPS-Filter von Astaro, dieVorteile gesicherter HTTPS-Verbindungen zunutzen und diese gleichzeitig umfassend zuschützen.



Weitere Informationen im Internet unter:www.astaro.com

CA-Verwaltung und Optionen im WebAdmin



Die besondere Brisanz ergibt sich daraus,dass Web-Applikationen zum einen häufig

auf schützenswerte Daten des Unternehmenszugreifen und zum anderen allgemein als über-aus unsicher anzusehen sind. Das muss abernicht zwingend so sein. Es existiert eine Vielzahlan Möglichkeiten von der Verbesserung derProgrammqualität bis hin zur dediziertenSchutzmaßnahme durch Web Application Fire-walls. Sie müssen nur sinnvoll angewendet wer-den. Und daran hapert es meist noch.

Web-Applikationen sind technisch gesehenClient/Server-Anwendungen, die über das Trans-portprotokoll HTTP eine Interaktion zwischenUnternehmen oder von Unternehmen zu Kun-den realisieren. Den Möglichkeiten sind dabeikaum Grenzen gesetzt. Diese reichen von der

einfachen Recherche in lokalen Dateiverzeich-nissen bis hin zu den komplexen Funktionendes Online-Sales oder Online-Bankings. Einestrenge Definition des Begriffs Web-Applikationgibt es nicht, üblicherweise versteht man darun-ter Anwendungen, die zumindest dreistufig mitPresentation-, Application- und Data-Layer auf-gebaut sind und über HTTP mit einem Anwen-der oder einer anderen Web-Applikation kom-munizieren. In diesem Sinn zählen auchWeb-Portale und Web-Services dazu.

Dem Thema Sicherheit ist bei der Erstellungund Nutzung von Web-Applikationen eine be-sondere Bedeutung beizumessen. Dies ist fürdie Nutzerakzeptanz immens wichtig, ebensoaber auch für den Anbieter selbst, der für diebereitgestellten Ressourcen Verantwortung trägt.

VON DETLEF WEIDENHAMMER, GAI NETCONSULT GmbH

Web-Applikationen stellen für die meistenUnternehmen heutzutage ein unverzicht -bares Mittel dar, um Geschäftsprozesseschnell und kostengünstig über das Internetabzuwickeln. Dadurch sind diese auch verstärkt in das Interesse von kriminell motivierten Angreifern geraten.

Viele Wege führen zur sicherenWeb-Applikation

Für den Nutzer ist der Schutz seiner persönli-chen Daten und der Transaktionsdaten währendder Übertragung ausgesprochen wichtig. Fürden Anbieter ergeben sich ganz neue Risiken,wenn die Web-Applikation komplexe Funktio-nen mit Zugriff auf interne Datenbestände be-reitstellt. Damit hat prinzipiell jeder Teilnehmerim Internet die Möglichkeit, mittels einfacherHTTP-Requests die Sicherheit dieser Anwen-dung zu testen. Angriffsversuche verbergen sichim legitimen HTTP-Datenstrom und werdendurch keine herkömmlichen Firewalls oder In-trusion-Detection Systeme erkannt und auchnicht durch den Einsatz einer SSL-Verschlüsse-lung verhindert, da diese Angriffsversuche im(gesicherten) Datenstrom nicht zu blocken sind.

Als wesentlicher Punkt ist festzuhalten: EineWeb-Applikation ist Teil der Netzgrenze des Un-ternehmens (des Perimeters) und damit ebensogut wie diese zu schützen. Doch wie sieht dieRealität aus? Herkömmliche Schutzmaßnahmenmit Firewalls haben ihre Stärken in der Kon-

trolle auf Netzebene, können aber auf Anwen-dungsebene bestenfalls offensichtlichen Miss-brauch erkennen. Aktuelle Angriffe zielen abereher auf Schwachstellen innerhalb einer Anwen-dung. Ursache hierfür ist meist die mangelhafteBeachtung von Sicherheitsaspekten bei der Pro-grammierung. Besonders attraktiv für Angreiferist die Tatsache, dass für einen Großteil der mög-lichen Attacken kein spezielles Tool benötigtwird, ein Standard-Web-Browser ist vollkom-men ausreichend. Manipulierte HTTP-Requestssind somit in der Lage, Schwachstellen auf allenEbenen einer Web-Applikation auszunutzen(siehe Abbildung unten).

Wie deshalb auch zu erwarten, war in denvergangenen Jahren eine deutliche Zunahmeder Angriffe auf Web-Applikationen zu regis-trieren. Aufgrund langjähriger Verfolgung undAuswertung von Sicherheitsverletzungen lohntsich ein Blick auf den »Annual Trend and Risk Report« der IBM X-Force. Dieser zeigt beein-druckend, wie rasant die Zahl der Schwachstel-



�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� ��

�

� �

�

�

� � ��

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

�

� �

�

�

� �

Zielpunkte manipulierter HTTP-Requests

len gerade bei Web-Applikationen gestiegen ist(2004: < 2.000, 2010: > 18.000). Diese Schwach-stellen machen mittlerweile sogar 49 Prozentaller überhaupt gefundenen Schwachstellen aus.Diese erschreckenden Ergebnisse decken sichmit den Erfahrungen der GAI NetConsult auseiner Vielzahl von Sicherheitsüberprüfungen.Dabei ließen sich bei mehr als 90 Prozent deruntersuchten Web-Applikationen die gefunde-nen Schwachstellen im Rahmen von Penetrati-onstests zu gravierenden Manipulationen aus-nutzen. Hierzu gehörten:� Ausführen von Kommandos auf dem Web-Server oder auf fremden Clients� Vollständige Übernahme des Web-Servers� Eindringen in das Unternehmensnetz� Verändern der Web-Darstellung (»Deface-ment«)� Übernahme fremder Sessions� Auslesen von (intern gehaltenen) Datenbank-Inhalten

Klassifizierung ermöglichtPriorisierungUm mit den vielen möglichen Schwachstellenbei Web-Applikationen angemessen umgehenzu können, ist es unabdingbar, eine übersichtli-che Klassifikation zu finden. Dies ist auch garnicht so schwer, da die meisten Angriffspunkteauf wenige immer wieder anzutreffende Pro-grammierfehler zurückzuführen sind. Nebenvielen anderen beachtenswerten Aktivitäten wieder Bereitstellung von Tools (beispielsweise Web -Scarab, WebGoat) oder Guides (wie für Deve-lopment, Testing) veröffentlicht OWASP (OpenWeb Application Security Project) seit Jahrendie sogenannten Top-10 der Web-Schwachstel-len. Das Top-10-Projekt wurde ins Leben geru-fen, um die Anfälligkeit von Web-Applikationenfür bestimmte Sicherheitslücken aufzuzeigenund damit die Sensibilität für dieses Themadeutlich zu steigern. Das Projekt hatte großenEinfluss nicht nur auf Entwickler und Betreiber,sondern auch auf Standards, Produkthersteller

und auch auf die Vorgaben der Kreditindustriebei PCI-DSS. Im April 2010 wurden nun dieneuesten Top-10 verabschiedet. Diesmal gab esgrößere Änderungen, die sich schon im Titel»The Top 10 Most Critical Web Application Se-curity Risks« widerspiegeln. Die Grundidee derTop-10 wurde zwar beibehalten, aber um denwichtigen Aspekt der Risikobewertung ergänzt.Obwohl natürlich auch schon die bis dato ver-wendete Auflistung bestimmte Risikofaktorenaufzeigte, war hiermit eine detaillierte Risiko-bewertung für die konkreten Belange eines Un-ternehmens nicht zu leisten. Jegliche Bewertungvon möglichen Angriffsszenarien fehlte ebensowie die Berücksichtigung von spezifischen Ein-trittswahrscheinlichkeiten und möglichen Scha-denswirkungen. Das neu verwendete OWASPRisk Rating wurde bereits in dem OWASP Tes-ting Guide eingeführt. Leicht modifiziert liefertes nun in den Top-10 generische Einstufungenzu Schwachstellen, Angriffsmöglichkeiten undAuswirkungen, die dann bei Bedarf selbst er-gänzt werden können, um unternehmensspezi-fische Bewertungen zu Angreifern und geschäft-lichen Auswirkungen einfließen zu lassen.Damit ist das Gesamtrisiko einer jeden Angriffs-art abzuleiten und gibt wertvolle Hinweise zurPriorisierung der umzusetzenden Schutzmaß-nahmen.

Je früher, desto besserGrundsätzlich ist wohl davon auszugehen, dassdie Sicherheitslücken bei Web-Applikationeneinerseits aus Fehlern resultieren, die unbeab-sichtigt während des Entwurfs und der Entwick-lung der Software gemacht wurden, und ande-rerseits auf die Unkenntnis der meistenEntwickler auch über elementare Sicherheits-funktionen zurückzuführen sind.

Je früher im Entwicklungszyklus man sichdem Thema Sicherheit widmet, desto bessersind die Aussichten, robuste und auch sichereWeb-Applikationen zu implementieren. Diemeisten Programmierfehler entstehen in den



Bereichen Datentransfer (anfällig für Man-in-the-Middle-Attacken), unzureichende Validie-rung der eingehenden Daten auf Serverseite (anfällig für das Einschleusen von Malware undunerlaubten Kommandos) und unzureichen -de Kontrolle auf Clientseite (betrifft insbeson-dere neue Web-2.0-Applikationen, bei denenFunktionen zunehmend auf den Client verlagertwerden).

Während die Spezifikation einer Web-Appli-kation im Wesentlichen die Funktionalität deszu erstellenden Systems beschreibt und im Rah-men der Architekturfestlegung auch Fragen zurBetriebssicherheit (Verfügbarkeit, Performance)und des Zugriffs- und Datenschutzes berück-sichtigt wurden, muss künftig das Thema Si-cherheit in allen Phasen des Lebenszyklus’ derSoftware-Entwicklung Berücksichtigung finden.Die elementaren Schutzziele wie Vertraulichkeit,Unversehrtheit, Authentizität, Verbindlichkeit,Verfügbarkeit und Anonymität müssen bereitsals Anforderungen bei der Konzeption für jedeKomponente festgelegt werden. Im Zusammen-hang mit der Bedeutung, die eine Web-Appli-kation hat oder haben kann, wandelt sich derden Life Cycle begleitende und steuernde Pro-zess vom Software-Engineering zum Security-Engineering. Bisher hat sich das Software-En-gineering vornehmlich darauf konzentriert, dasseine vorgegebene Spezifikation unter vorherge-sehenen Bedingungen erfüllt wird. Security-En-gineering will zusätzlich verhindern, dass defi-nierte Schutzziele unter unvorhergesehenen

Bedingungen verletzt werden (beispielsweisedurch Angreifer).

Es ist wohl einleuchtend, dass denkbare Ri-siken so früh wie möglich, spätestens in derKonzeptionsphase, aber besser noch in der Pha-se der Anforderungsdefinition selbst, berück-sichtigt werden. Hierzu gibt es eine Reihe vonHilfsmitteln, die ein besseres Sicherheitsvorge-hen unterstützen und während der verschiede-nen Entwicklungsphasen einzusetzen sind (sieheAbbildung unten).

Bei festgestellten Problemen oder um imKontext der konkreten Web-Applikation inhalt-lich tiefer zu testen, muss auf White-Box-Testing(Zugriff sowohl auf Design-Doku als auch aufden Source Code) übergegangen werden, womitbeispielsweise ein ablaufbezogenes Testen mög-lich ist, bei dem der Ablaufgraph im Vorder-grund steht. Ziel des Tests ist es sicherzustellen,dass Testfälle in Bezug auf die Überdeckung desQuellcodes vorgegeben Kriterien standhalten.Tools, die heute für das White-Box-Testing zurVerfügung stehen, leiden in der Praxis leidernoch unter einigen Geburtsfehlern. Die Rateder Fehlmeldungen (False Positives) ist relativhoch, was aber häufig auch auf schlechten Pro-grammierstil der Web-Applikation zurückzu-führen ist. Problematischer wird es bei komple-xen, größeren Web-Applikationen, die zudemnicht selten auch noch eine Vielzahlzahl unter-schiedlicher Programmiersprachen und -bau-steine verwenden und damit die meisten Ana-lyzer überfordern.



Requirements Design Code Build Test Operate

Threat-Modeling, Misue-Abuse-CasesDesign-Review

White-Box Tests mit Code-Analyzing

Black-Box Tests mit Security-Scannern und Pen-Tests

Sicherheitsanalysen im Software Life Cycle

Eine weitere spezifische Testmethode kannFuzzing sein. Mit Fuzzing-Tools – oder auchRobustness Testing oder Negative Testing – wer-den automatisch zufällige Daten erzeugt, dieüber Eingabeschnittstellen eines Programmsverarbeitet werden. Fuzzing wird in der Regelim Rahmen von Black-Box-Tests (simulierenden externen Angreifer, müssen also ohne in-terne Kenntnis der Web-Applikation oder IT-Umgebung auskommen) durchgeführt, wo-durch gerade Web-Applikationen recht einfachgetestet werden können. Sehr verbreitet werdenseit Langem bereits Security-Scanner und ma-nuelle Penetrationstechniken eingesetzt, um dy-namische Tests von Komponenten oder der gan-zen Web-Applikation vorzunehmen. Wichtigdabei ist, dass die Tests sowohl ohne Zugriffs-rechte, als auch mit Gewährung derselben er-folgen; oft ist in der Praxis ein autorisierter Be-nutzer selbst der Angreifer oder wird dessenZugang von diesem missbraucht. Diese Art vonTests sollten bereits in der Test- und Abnahme-phase genutzt und in der anschließenden Be-triebsphase kontinuierlich eingesetzt werden.Black-Box-Tests haben den Nachteil, dass siekaum Aussagen über Designfehler zulassen undihre Ergebnisse einen Snapshot-Charakter ohneAnspruch auf Vollständigkeit haben. Deshalbist der Einsatz beider oben genannter Techniken,quasi als Gray-Box-Testing das wohl effizientesteVorgehen, um zu sicheren Web-Applikationenzu kommen.

Besser spät als nieAllein die Top-10 von längst bekannten Ursa-chen machen etwa 75 Prozent aller Schwach-stellen aus. Durch regelmäßige Updates wäre al-so schon eine Vielzahl der Risiken zueliminieren. Nur leider ist diese nahe liegendeVorkehrung nicht immer realisierbar. Entwederist der Source Code gar nicht mehr verfügbar,oder aber die anstehenden Änderungen wärenso gravierend, dass die Entwicklerfirma kein In-teresse daran hätte oder nur gegen hohe Kostenaktiv werden würde. Dann verbleibt als einzige

Abwehrmöglichkeit nur noch die externe Ab-schirmung der angreifbaren Web-Applikationendurch spezialisierte Systeme.

Die Erkennung von anwendungsspezifischenAngriffen ist die Domäne der WAF (Web Ap-plication Firewall). Hier lässt sich mehr oderweniger fein konfigurieren, welche Zugriffe zu-lässig sind, und welche nicht. So lassen sich ty-pischerweise für alle vom Nutzer einzugebendenParameter Wertebereiche und Maximallängenfestlegen, zulässige URLs (gegebenenfalls auchin ihrer Reihenfolge) bestimmen usw. Anhanddieser anwendungsspezifischen Policy kann dieWAF nun viel präziser die reguläre Nutzung derWeb-Applikationen von Angriffsversuchen un-terscheiden und entsprechend handeln.

Aber die WAFs können noch einen Schrittweitergehen: Statt sich nur darauf zu beschrän-ken, unzulässige Anfragen zu erkennen und zuunterbinden, können manche WAFs die Web-Applikationen auch aktiv sichern und so dieSchwachstellen verdecken beziehungsweise An-griffe von Anfang an unmöglich machen. Hierzumuss die WAF auf jeden Fall als Reverse Proxyin den Verkehr geschaltet sein, um den gesamtenVerkehr auf HTTP-Ebene zwischen Anwen-dungsserver und Nutzer manipulieren zu kön-nen. Wichtige Maßnahmen sind dabei derSchutz der verwendeten Cookies (etwa durchVerschlüsselung oder einen sicheren Cookie-Sto-re), der Schutz von Hidden Fields in Formularengegen Manipulationen am Client oder auch dieVerbesserung des Session Handlings durch eige-ne Session IDs der WAF. Der Auswahl einer WAFist eine hohe Bedeutung beizumessen, da die an-gebotenen Funktionalitäten möglichst gut aufdie Sicherheitsbedürfnisse des Unternehmensund die Spezifika der zu schützenden Web-Ap-plikation abzustimmen sind.

Abschließend lässt sich also feststellen, dasses sehr wohl eine Vielzahl von Möglichkeitengibt, Web-Applikationen sicher zu betreiben. Esliegt an den Verantwortlichen, hierauf entspre-chend zu reagieren.

www.gai-netconsult.de





Social Network Accounts werden inzwischenheißer auf dem Internet-Schwarzmarkt ge-

handelt als E-Mail-Adressen. Während 1000 E-Mail-Adressen bei Yahoo oder Hotmail schonfür 15 US-Dollar zu haben sind, kosten etwa100 Facebook-Accounts zirka 20 Dollar, 100Twitter-Profile 19 Dollar. Das fand kürzlich der

Sicherheitsspezialist Zscaler heraus. Besonderswertvoll sind gestohlene Profile mit mehr als1000 Kontakten, die allein aufgrund ihrer Größenoch mehr Kontakte anziehen. An unseriösenAbsichten wird dabei kein Zweifel gelassen: Sofinden sich im Web etwa Angebote wie der ge-hackte Twitter-Account eines Musik-Down load-

Fit fürs Social WebVON MANDY KÜHN, AKIMA MEDIA

Kaum ein Unternehmen kommt heute noch um Facebook, Xing und Co. he-rum: Mitarbeiter netzwerken und tauschen sich aus, sie twittern und bloggen,laden Bilder und Dateien hoch und runter. Doch im Web 2.0 lauern tückischeGefahren. Um die neuen Networking-Möglichkeiten dennoch gewinnbringendzu nutzen, müssen Firmen ihre Netzwerke vor diesen Bedrohungen schützen.Cloud Security Services bieten gute Voraussetzungen dafür.

Mit Kreativcentern in Europa, USA, Brasilien und China und einer hoch modernen, globalen Organisationbetreut drom fragrances führende Markenhersteller auf der ganzen Welt. Die Sicherheit dafür kommt ausder Cloud, was es dem Unternehmen ermöglicht, Web 2.0-Anwendungen sicher und produktiv zu nutzen.

Quelle: drom, 2010



Portals mit 840 Followers und dem Zusatz: »Ge-eignet zum Aufbau von Botnetzen«. Solche Ver-kaufsargumente verdeutlichen die Attraktivitätsozialer Netzwerke für die Cyberkriminellen.Sie erhalten im Gesamtpaket nicht nur die E-Mail-Adressen der »Friends« und »Followers«,sondern gleichzeitig Informationen zu Interes-sen, persönliche Angaben und eine bequemeVerbreitungsplattform.»In einer Zeit, in der selbst Bill Gates twittert,

sollten wir alle verantwortungsbewusster mitSozialen Netzwerken umgehen«, warnt DanielWolf, Territory Manager Deutschland, Öster-reich, Schweiz bei Zscaler Europe. »Schon ver-gangenes Jahr haben der Facebook-Wurm‘Koobface’ oder der Twitter-Wurm ‘Stalk Daily’gezeigt, wie anfällig diese Plattformen sind. DerHandel mit realen Accounts stellt nochmal eineneue Qualität des Missbrauchs dar.«

Soziale Netzwerke schlau benützenund schützenDas Web 2.0 lebt von seinen aktiven Inhalten.Fotos und andere Dateien werden hoch- undruntergeladen, Einträge in Blogs werden mitun-ter stündlich geändert. Genau das macht dieWebseiten aber angreifbar, denn die laufend

wechselnden Inhalte lassen sich mit herkömm-lichen URL-Filtern nicht mehr ausreichend prü-fen. Um Risiken zu vermeiden, verbieten vieleFirmen ihrem Personal zahlreiche Anwendun-gen wie Social-Network-Plattformen. »SolcheVerbote sind nicht notwendig, wenn man sichrichtig schützt«, sagt Wolf. »Leider können diemeisten bisherigen Sicherheitslösungen die Web-2.0-Anwendungen nur grob erlauben oder ver-bieten. Wenn Networking-Seiten aber pauschalgeblockt werden, lassen sich die Vorteile desWeb 2.0 nicht mehr produktiv nutzen. Damitverpassen die Unternehmen Chancen, ihre Kun-denbeziehungen zu stärken, Umsätze zu steigernoder mehr Sichtbarkeit auf dem Markt zu er-zielen. Vielmehr sollten die Arbeitsplätze fürden täglichen Einsatz im ‘Social Web’ fit ge-macht werden.«

Sinnvolle Reglementierungen zum Umgangmit Web-2.0-Tools scheitern in den Unterneh-men häufig an Sicherheitslösungen, die Social-Network-Anwendungen nur generell erlaubenoder verbieten können. Cloud Security Servicesbieten einen guten Weg für einen intelligenterenSchutz. So können etwa die Administratorenmit dem Zscaler Cloud Security Service für ihreAnwendergruppen auf Zeit oder Volumen ba-

Unternehmen haben viel zum Schutz ihrer Server getan, aber wenig zum Schutz ihrer Anwender, vor allem,wenn es um die Nutzung des Web 2.0 geht.

Quelle: Zscaler, 2010



sierende Kontingente festlegen oder gezielt denAustausch von Dateien unterbinden, ohne An-wendungen gänzlich zu blockieren.

Das Prinzip dahinter: Statt nur der URLüberprüft die Sicherheitslösung den gesamtenInhalt jeder einzelnen HTTP- oder HTTPS-Transaktion. Bedenkliche Teile werden geblockt,unbedenkliche zugelassen. So kann sie wesent-lich schneller auf die häufig wechselnden Be-drohungen reagieren als herkömmliche Lösun-gen. Zscaler setzt beispielsweise bis zu acht Filtervon verschiedenen Herstellern ein. Neben demFiltern gegen klassische Viren und Würmerspielt hier insbesondere die Erkennung von ak-tiven schädlichen Inhalten wie ActiveX, Java -Script, Flash, Cross Site Scripting (XXS) undExploits eine wichtige Rolle. Damit lassen sichnicht nur Web-2.0-Anwendungen von Strea-ming über Social Networking bis hin zu File-Uploads intelligent reglementieren, sondernauch der E-Mail-Verkehr über Webmail effizientschützen. Besonders für Firmen, die vielseitigeCompliance-Regeln erfüllen müssen, ist dieseunkomplizierte Handhabung von Vorteil.

Dufthersteller setzt auf Cloud SecuritySeit 2009 nutzt beispielsweise der mittelständi-sche Parfümhersteller drom fragrances aus Baierbrunn bei München den Cloud SecurityService. Das international aufgestellte Unter-nehmen benötigte einen zuverlässigen Web-schutz, der ein einfaches, aber effizientes Richt-linienmanagement ermöglicht und auch mobileMitarbeiter absichert. Im Vergleich zu der bisdato eingesetzten Bluecoat-Lösung lassen sichdie Sicherheitsregeln im Bezug auf Web-2.0-Techniken mit dem neuen Service leichter auf-stellen und frei konfigurieren. So können bei-spielsweise der Besuch von Blogs oder SocialNetworks erlaubt, das Upload von Dateien da-rauf aber unterbunden oder eine spezielle Platt-form wie etwa Facebook gesperrt werden.

Davon profitieren vor allem die mobilen An-wender, denen drom die Freiheit gibt, auch pri-vat mit dem Firmennotebook zu surfen. Durch

die flexibel einstellbaren Policies lässt sich ein-fach unterscheiden, welche spezifischen Richt-linien der Benutzer einhalten muss, wenn er geschäftlich unterwegs oder vor Ort im Unter-nehmen ist. Im Rahmen übergeordneter Regeln,wie etwa dem Blocken von extremen Seiten,können so die Freiräume für die mobilen Mit-arbeiter weiter gefasst werden als innerhalb desUnternehmensnetzwerks – und das bei gleichemSchutzlevel.»Mit einer Appliance wäre diese getrennte

Einstellung gar nicht so einfach möglich gewe-sen. Bei dem Zscaler-Dienst haben wir für dieKonfiguration der Policies gerade einmal zweiStunden gebraucht«, erinnert sich StephanKrischke, Senior System Analyst bei drom. Auchvon den Reporting-Möglichkeiten des CloudServices zeigt sich der Security Manager über-zeugt: »Wir können die Berichte in geschäftlicheund allgemeine Internetnutzung aufteilen. Dasist vor allem für das Management viel aussage-kräftiger als bisherige sehr intransparente Re-ports.«

Für etwa 400 Kunden entwickeln die Parfümeurevon drom fragrances im Schnitt mehr als 100 Düftepro Tag, die jährliche Produktionskapazität beträgtrund 35.000 Tonnen. Innovationsgeist zeigt der Her-steller auch bei der Internetsicherheit und setzt anseinen weltweiten Standorten auf den Web SecurityCloud Service von Zscaler.

Quelle: drom, 2010

AUS DER PRAXIS E-Mail Security


Viele Unternehmen haben selbst sensibelsteDaten nicht im Griff. Beispiele dafür sind

an jeder Ecke zu finden. So ist 2009 in der IT-Historie durchaus als »das Jahr der Datenpan-nen« zu bezeichnen. In skandalöser Weise wur-den Millionen sensibler Daten bewusst oderunbewusst gefährdet oder unzulässig verwendet.Welche IT- und Datensicherheitsrisiken die Zu-sammenarbeit mit externen Geschäftspartnernund Dienstleistern birgt, zeigt der Fall KabelDeutschland. So wurde etwa im März 2009 be-kannt, dass das Unternehmen Hunderttausendevon Kundendaten an verschiedene Call-Centerweitergegeben hatte. Die Daten wurden abernicht sicher übermittelt, sondern in unverschlüs-selten Excel-Dateien verschickt und von einigenCall-Centern wiederum an Subunternehmenweitergeleitet. Auch 2010 setzt sich die Reihe von Daten-

pannen fort: So erhielt beispielsweise durch eineUnachtsamkeit bei der ARGE im Kreis Coesfeld

ein Arbeitslosengeld-II-Empfänger eine Listemit insgesamt 400 weiteren Bedarfsgemeinschaf-ten aus dem Landkreis – Datenschutz Fehlan-zeige. Alle, die jetzt noch nicht überzeugt sind,sollten sich vor Augen führen, dass ihre Datenbares Geld wert sind: Die durchschnittlichenKosten pro Datenpanne in deutschen Unterneh-men lagen im Jahr 2008 bei 2,4 Millionen Euro.Jeder einzelne verlorene Datensatz schlug dabeimit 122 Euro zu Buche1.

Datenverlust ohne HackerGern wird bei Datenpannen das Bild vom all-wissenden Hacker gezeichnet, der schlauer istals alle technischen Vorsichtsmaßnahmen unddiese nahezu im Spaziergang überwindet. Dochdas entspricht nicht den Tatsachen, mit denensich Security-Spezialisten in der Praxis konfron-tiert sehen. Wenn es um den Verlust von Datengeht, sind nicht immer kriminelle Spione oderHacker am Werk. Im Gegenteil, Studien zufolgelassen sich bis zu 78 Prozent aller Fälle von Da-tenverlust den eigenen Mitarbeitern zuschrei-ben2: Dabei gehen nicht nur oft Notebooks,PDAs, Smartphones oder USB-Sticks verloren.Es kommt auch immer wieder vor, dass Mitar-beiter unabsichtlich, aber auch vorsätzlich, ver-trauliche Daten per E-Mail aus dem Unterneh-

Sicherheitsrisiken begrenzenVON SASCHA PFEIFFER, SOPHOS PRINCIPAL SECURITY CONSULTANT

Hacker, Datendiebe, Bauernfänger,rund um das Internet ranken sichviele Geschichten von spektakulärenDatenpannen. Diese spannendenHacks gibt es zwar, doch oft fließensensible Informationen einfach per E-Mail ab. Mit den passendenSicherheitsvorkehrungen lässt sichdies einfach und zuverlässigverhindern.

men schleusen. In vielen Fällen sitztder Verursacher der Datenpanne also

ganz legal im Unternehmen. Und das Tor,durch das die meisten sensiblen Informationenverschwinden, ist kein genialer Hack, sonderndas E-Mail-Gateway im Unternehmen.

E-Mail als zentraler DienstViele Unternehmen oder zumindest Abteilun-gen würden ohne E-Mail-Kommunikation aufdem Trockenen sitzen, denn wenn es eine Kil-ler-Applikation im Internet gibt, dann sind esMail-Systeme. Der Weg, den einige Firmen ge-hen, beispielsweise Fotohandys zu verbietenoder USB-Buchsen unbrauchbar zu machen,fällt also aus. Jeden Tag werden Untersuchungenvon Cisco3 zufolge rund 220 Milliarden Mailsverschickt, mehr als 90 Prozent davon sind aberunerwünschter Spam. Über den Daumen gepeiltmacht das rund 200 Spam-Mails pro Internet-Nutzer jeden Tag. Damit Mitarbeiter nicht denhalben Tag mit dem händischen Aussortierenbeschäftigt sind, müssen zuerst Filter die uner-wünschten Nachrichten blocken sowie Viren-und Phishing-Attacken abwehren. Auch ausge-hende Mails sollten vor dem Versenden nochauf Schädlinge geprüft werden. Der Schutz vorSpam, Viren und anderer Malware ist eine derzwei Herkulesaufgaben beim Absichern vonMail-Systemen. Hat man sie im Griff, könnendie Mitarbeiter produktiver arbeiten, und dieDaten im Unternehmen sind vor Schadsoftwaregeschützt.

Mangelnde SicherheitDie zweite große Herausforderung entstehtdurch die mangelnde Vertraulichkeit und Inte-grität der elektronischen Nachrichten. Unter-nehmen müssen verhindern, dass vertraulicheInformationen über E-Mail in die falschen Hän-de geraten. E-Mails an sich bieten hier lediglicheine Vertraulichkeit in der Kommunikation, diemit einer Postkarte vergleichbar ist. Uner-wünschtes Mitlesen ist ohne hohen technischenAufwand möglich. Auf dem Weg durchs Internet

können also Geschäftsgeheimnisse ausgespähtwerden und so vertrauliche Informationenschnell in unbefugte Hände gelangen. Unter-nehmen können also selbst dann in eine Daten-falle laufen, wenn kein Mitarbeiter vorsätzlichgeheime Informationen an die Konkurrenz ver -sendet. Ein weiteres Risiko: Wer eine E-Mail erhält,

kann nicht sicher sein, dass der Inhalt des elek-tronischen Briefs nicht auf dem Weg von Un-bekannten verfälscht wurde. Die Integrität derMail kann also auch nicht ohne Hilfsmittel si-chergestellt werden. Und zu guter Letzt lässtsich auch nicht prüfen, ob die Mail wirklichvom angegebenen Absender kam oder nichtauch gefälscht wurde. Denn wer die Möglichkeithat, fremde E-Mails auf Servern zu lesen undzu fälschen, der kann auch Absenderangabengezielt manipulieren.

Mehrfachschutz für MailsDie Lösung für diese E-Mail-Sicherheitsrisikenist eine Kombination aus drei Schutzmechanis-men. Punkt 1: Unternehmen brauchen einenpräventiven Malware- und Spam-Schutz. Punkt2: Sie müssen auf Rollen basierende Zugriffs-rechte auf sensible Daten vergeben können.Punkt 3: Sie brauchen ein wirksames Verfahrenzur Richtlinien-konformen Verschlüsselungelektronischer Nachrichten. Wer sich jetzt fragt,ob das eigene Unternehmen überhaupt vonMail-Sicherheitsproblemen betroffen ist, demist mit einem klaren »Ja« zu antworten. Dennjedes innovative und erfolgreiche Unternehmenist ein mögliches Spionageopfer, der Datendieb-stahl ist eine sehr reale Gefahr. So könnten Mit-bewerber zum Beispiel ohne großen Aufwanddie Kommunikation zwischen Unternehmenund einer beauftragten Person oder Instanz ab-fangen, die Patentanmeldungen für sie bearbei-tet. Unternehmensgeheimnisse und ihr geistigesEigentum sind somit in Gefahr. Im Folgendenwird beschrieben, wie sich die genannten Mail-Security-Komponenten in ein ganzheitliches IT-und Datensicherheitskonzept integrieren lassen.

AUS DER PRAXISE-Mail Security


E-Mails einfach und sicherJe nach Größe des Unternehmens und nach IT-Infrastruktur stehen unterschiedliche Anforde-rungen auf der To-do-Liste. An dieser Stelle set-zen Lösungen wie etwa Sophos E-Mail Securityand Data Protection an. Sie lassen sich in kleineund große, komplexe IT-Infrastrukturen ein-bauen. Beispiel Sophos SafeGuard MailGateway:Die Software-Appliance ist eine leistungsstarke,flexible Stand-alone-Lösung zur E-Mail-Ver-schlüsselung und dockt an zentraler Stelle an.Sie wird in das bestehende Netzwerk integriert,normalerweise zwischen der zentralen Firewallund dem internen E-Mail-Server. Die zentraleFirewall sorgt für den Übergang ins Internetund ist für die Steuerung aller ein- und ausge-hender Kommunikation zuständig. Sie solltenur dem SafeGuard MailGateway erlauben, E-Mails zu senden oder zu empfangen. Da das SafeGuard MailGateway über ein gehärtetes Be-triebssystem verfügt, kann es auch in Installa-tionen ohne zentrale Firewall eingesetzt werden.Über einen zweiten Netzwerkanschluss schultertSafeGuard dann diese Funktion gleich mit, zu-

mindest in Bezug auf SMTP. Die Hauptfunk-tionen: Ver- und Entschlüsseln von Mails sowiedas Signieren von ausgehenden Nachrichtenund Signatur-Checks bei eintreffenden Mails.Das Beste daran: Für den Benutzer ist das völligtransparent, denn SafeGuard integriert alle kryp-tographischen Prozesse.Alternative: Wer Zeit- und Arbeitsaufwand

bei der Verwaltung von Mail-Gateways reduzie-ren will, greift zu E-Mail Appliances von Sophos.Sie eignen sich für Unternehmen jeder Größen -ordung und können in der höchsten Ausbau-stufe bis zu 550.000 Mails pro Stunde verarbei-ten. Wer noch höhere Skalierbarkeit braucht,kann die Appliances auch in einen Cluster zu-sammenfassen. Die Managed Appliances min-dern einen Großteil des Verwaltungsaufwandsund bieten trotzdem Rund-um-Schutz.

Passt in jedes NetzwerkWas die Funktionen betrifft, lässt das SafeGuardMailGateway keine Wünsche offen. Doch damites sich für Firmen auszahlt, muss es sich ohnegroße Verrenkungen in die bestehende Infra-struktur einfügen. Und das beherrscht die vir-tuelle Appliance: So können vorhandene Ver-zeichnisdienste wie Active Directory zurBenutzerverwaltung angebunden werden. DieAdministration des Gateways erfolgt einfachüber ein Web-Interface, das ohne Zusatz-Soft-ware die komplette Funktionspalette bereitstellt.Auch die E-Mail Appliance verfolgt diesen Ansatz. So nutzt die Managementkonsole dasPrinzip »mit drei Mausklicks zum Ziel«, ein Garant für hohe Reaktionsgeschwindigkeit imBedarfsfall.

Viren- und SpamschutzLeider reicht es nicht aus, die Mail-Kommuni-kation an sich abzusichern. Spam, Viren undSpyware gefährden die E-Mail-Systeme zusätz-lich. Auch hier helfen maßgeschneiderte Mail-Security-Lösungen wie Sophos E-Mail Securityand Data Protection. Der Grund: Sie haben ge-


www.all-about-security.de

Über den AutorSascha Pfeiffer ist seitJuli 2007 als PrincipalSecurity Consultant beiSophos tätig. In dieserPosition ist er für dievertriebliche und techni-sche Unterstützung vonKunden- und Großkun-denprojekten verant-wortlich. Darüber hinausfungiert er als Teamleiterim Bereich Sales Engi-neering und Business

Development NAC und ist zentraler Ansprech-partner in sämtlichen technischen Fragen rundum die Lösungen des Unternehmens – sowohlintern als auch für Kunden und Partner.

Sascha Pfeiffer, Principal Security Consultant, Sophos

nau die passenden Komponenten für Mail-Se-curity an Bord, ohne die Infrastruktur zu sehrzu belasten. Sicherheitsrisiken können sich so-wohl innerhalb als auch außerhalb eines Unter-nehmens per E-Mail einschleichen. Deshalbmuss die gesamte E-Mail-Infrastruktur – vomGateway bis zum Exchange-, Notes- oder SMTP-Server – geschützt werden. E-Mail Security andControl deckt alle Bereiche ab: Blockieren vonSpam, Phishing-Attacken, Viren und Spywaresowie genaue Kontrolle von E-Mail-Inhaltenund -Anhängen. Beispiel präventive Sicherheit:Die Sophos-Lösung fängt mehr als 99 Prozentaller Spam-Mails ab und schützt somit auch vor

Über SophosMehr als 100 Millionen Anwender in 150Ländern verlassen sich auf Sophos als denbesten Schutz gegen komplexe IT-Bedro-hungen und Datenverlust. Sophos bietetdafür Security- and Data-Protection-Lö-sungen an, die einfach zu verwalten, zu in-

stallieren und einzusetzen sind und dabeidie branchenweit niedrigste Total Cost ofOwnership bieten. Sophos bietet preisge-krönte Verschlüsselungs- und Endpoint-Security-Produkte, darüber hinausLösungen für Web- und E-Mail-Sicherheitsowie Network Access Control (NAC). DasAngebot wird von einem weltweiten Netz-werk eigener Analysezentren, den Sophos-Labs, unterstützt. Mit mehr als 20 JahrenErfahrung gehört Sophos laut den Top-Analystenhäusern zu den führenden Unter-nehmen für IT-Sicherheit und Datenschutzund hat zahlreiche Branchenauszeichnun-gen erhalten. Die weltweiten Aktivitätenvon Sophos werden von Boston, USA, undOxford, Großbritannien, aus geleitet. Wei-tere Informationen unter: www.sophos.de

neuartigen Phishing-Attacken. Eingehende undausgehende E-Mails und Attachments werdenautomatisch auf Schadsoftware geprüft. Dabeigreift die Lösung auf ein weltweites Netzwerkvon Bedrohungs-Analyse-Centern zurück.

Mehr als Top-ErkennungsratenGute Erkennungsraten sind aber nur die halbeMiete. Der Grund: Für Unternehmen ist esmeist genauso wichtig, dass sich die Security-Lösungen einfach integrieren lassen. E-Mail Se-curity and Data Protection bietet dafür etwaNutzerrichtlinien, die sich komplett auf die Si-cherheits- und Policy-Anforderungen im Un-ternehmen zuschneiden lassen. Sophos E-MailSecurity and Data Protection ist auch bei deneingesetzten Plattformen und Systemen nichtwählerisch: Sei es nun UNIX, Microsoft Ex-change, Lotus Domino oder der Einsatz von So-phos Appliances – die gesamte E-Mail-Infra-struktur kann mit einer einzigen Lizenzgeschützt werden. Außerdem gut: Die Vergabevon Rollen ist auch für die Administration mög-lich. So können etwa Administratorrechte anUntergruppen wie einzelne Abteilungen oderTochtergesellschaften vergeben werden.

Mehr als ausgefeilte Security-TechnikWichtig ist: Unternehmen dürfen IT- und Da-tensicherheit nicht nur als reines IT-Thema ver-stehen, sondern müssen auch die Mitarbeiterfür die Gefahren von Datenverlusten sensibili-sieren. Außerdem sollten auch externe Dienst-leister mit in die Prozesse einbezogen werden.Eine der wichtigsten Maßnahmen: regelmäßigeSchulung der Mitarbeiter, denn die Bedrohun-gen verändern sich. Darüber hinaus sollten klareRegeln zum Umgang mit Daten, E-Mail und In-ternet definiert und auch über Richtliniendurchgesetzt werden.



1) http://www.encryptionreports.com2) http://www.arcsight.com3) http://cisco.com/en/US/prod/vpndevc/

annual_security_report.html



E -Mail-Sicherheit kann bösartigen Angriffennur durch einen Rundumschutz und den

Einsatz der neuesten Technologien einen Schrittvoraus sein. Unternehmen jeder Größe habendie Möglichkeit, ihre wertvollen Ressourcen ein-fach und zuverlässig zu schützen, wenn sie sichfür eine dynamische End-to-End-Lösung zurSicherheit der Messaging-Installation mit einerkonsolidierten Architektur und geringem Ad-ministrationsaufwand entscheiden.

Die passende Lösung findenBei der Bewertung einer E-Mail-Sicherheits -lösung spielen die Tiefe, die Flexibilität und dieSkalierbarkeit der Technologie eine wichtigeRolle. Ebenso bedeutend ist es, neue Bedro-hungsvarianten bewältigen zu können. Eine E-Mail-Sicherheitslösung sollte auch die so ge-nannte prädikative Technologie bieten, die Vo-raussagen trifft, um schnell und wirksam aufBedrohungen und Angriffe in E-Mails zu rea-gieren. Zudem müssen E-Mail-Sicherheitslösun-gen die Unternehmensressourcen optimal nutzen, so dass Firmen den Kosten- und War-tungsaufwand gering halten und effizient arbei-ten können. Je nach Art der Bedrohung stelltihre Bewältigung ein eher technisches oder einadministratives Problem dar.

Hohes GefährdungspotenzialDer Austausch von E-Mails ist stets ein kom-plexer Prozess und besteht aus den sendendenServern, dem Inhalt der E-Mail, verschiedenenArten von Anhängen, eingebetteten URLs oderanderen Kontaktpunkten, den mit den einge-betteten URLs verknüpften Websites, den Emp-fängern und den Auswirkungen auf die internenund externen E-Mail-Teilnehmer. E-Mail-Si-cherheitslösungen müssen speziell auf die An-forderungen der heutigen hoch integrierten unduniversellen E-Mail-Installationen eingehen, in-dem sie den Datenverkehr auf allen Ebenen undin alle Richtungen hin überwachen. Zudemmüssen sie in der Lage sein, alle Arten von An-griffen vorherzusagen, zu erkennen und abzu-wehren. Es gilt, neue Angriffsstrategien direktbei ihrem ersten Auftreten zu erkennen, eindeu-tig zwischen den einzelnen Angriffsarten zu unterscheiden und die jeweils angemessenenMaßnahmen einzuleiten. Aufgrund der zuneh-

Den Geschäftsbetrieb zuverlässigund dauerhaft sichern

VON ROBERT WISLSPERGER, SYSTEMS ENGINEER BEI SONICWALL

Heute sind bereits 94 Prozent aller E-Mails unerwünscht oder Malware –seien es Spam, Phishing oder mit Viren infizierte E-Mails. Diese Atta-cken sind jedoch nicht nur ärgerlich,sondern auch eine existenzielleSicher heits bedrohung. Lässt eine Firma diesen gefährlichen oder ein-fach nur lästigen E-Mail-Verkehr indas Unternehmensnetz eindringen,kann dies die Geschäftskommunika-tion und die Produktivität stark be-einträchtigen.



Virtualisierung ist eine optimale Möglichkeit,Anwendungen flexibel und gleichzeitig aus-fallsicher bereitzustellen. Allerdings vernach-lässigen viele Unternehmen dabei den Si-cherheitsaspekt, da sie nur die zu erwartendenVorteile sehen und mögliche Risiken außerAcht lassen.Als führender Anbieter von Sicherheitslö-

sungen für Netzwerkinfrastrukturen bietet SonicWALL seine Lösungen auch für virtuali-sierte Infrastruktruren an. Dies schafft für mitt-lere Unternehmen wie auch für Managed Ser-vice Provider noch mehr Flexibilität bei gleich-zeitig umfassendem Schutz. Unternehmenkönnen heute flexibel entscheiden, welcheLösungsvariante sie für ihre E-Mail-Sicherheitund für Anti-Spam einsetzen möchten: dieSonicWALL Email Security (SES) Applianceals Hardware, die Softwareanwendung auf ei-nem auf Win dows basierenden Server oderdie virtualisierte Variante SonicWALL EmailSecurity Virtual Appliance. Die SonicWALLEmail Security Virtual Appliance ist eine leis-tungsstarke und hoch skalierbare Lösung fürvirtualisierte Ins tallationen, welche die E-Mail-Infrastruktur vor jeglichen Bedrohungen wieViren und Spam schützt.

Von virtualisierten Infrastrukturen bestmöglich profitierenDank der Möglichkeit, mehrere Betriebssys-teme und Anwendungen auf einem Server zubetreiben, können Unternehmen ihre Hard-ware konsolidieren, ihre Systeme besser aus-lasten und erheblich Kosten einsparen. Auchdie Aufwendungen für die Energieversorgungund die Rechenzentrumsausstattung werdendamit geringer.Mit dem Einsatz virtualisierter Lösungen

sinken auch die Komplexität und der Aufwandfür die Administration, den Betrieb und dieWartung der IT-Installation. Virtualisierte Lö-sungen schaffen zudem mehr Flexibilität fürIT-Verantwortliche, wobei die IT-Verfügbarkeitsowie der Schutz der Systeme stets in vollemUmfang gewährleistet sind.

Die SonicWALL Virtual Security Appliancesheute und in ZukunftErgänzend zu den SonicWALL Email SecurityVirtual Appliances wird der Sicherheitsspezia-list ein vollständiges Produktportfolio an vir-tualisierten Appliances auf den Markt bringen.Heute sind auch bereits die Lösungen »SonicWALL Global Management System Vir-tual Appliance« und »ViewPoint Virtual Appli-ance« für virtuelle Umgebungen verfügbar. Die»Global Management System Virtual Appli-ance« ist leistungsstark und flexibel, um SonicWALL Firewalls, Anti-Spam, Backupund Recovery sowie Lösungen für sicherenRemote-Zugriff zentral zu verwalten undschnell bereitzustellen. Unternehmen undMSPs nutzen SonicWALLs Global Manage-ment System, um bis zu mehrere Tausend Appliances zentral zu verwalten, Sicher heits -richtlinien aufzustellen, deren Einhaltung zuprüfen, die Sicherheitsinfrastruktur in Echtzeitzu überwachen und sich alarmieren zu lassen.Die »ViewPoint Virtual Appliance« bietet de-taillierte Auswertungen und Berichte zu alleneingesetzten Security-Produkten und erlaubtes Administratoren, die Nutzung des Netz-werks und des Internets exakt zu analysierenund alle Aktivitäten zu überwachen.

SonicWALL: virtuelle Appliances für E-Mail-Security

menden Raffinesse der E-Mail-Angriffe müssenwirksame Filter in den Schutzlösungen die prob -lematischen Inhalte mit immer größerer Detail-genauigkeit erkennen können. AbgewandelteBegriffe in Spam-Mails sind eines der bekann-testen Probleme dieser Art. Das Wort »Viagra«hat beispielsweise 600.426.974.379.824.381952Varianten – je nach Verwendung von Leerstellen,weiteren Zeichen usw. Virenbedrohungen,Phish ing und andere Arten auf E-Mails basie-render Angriffe erfordern ebenfalls eine spezielleInhaltsanalyse. Die Bestandteile einer Phishing-Mail unterscheiden sich beispielsweise von de-nen einer Spam-Mail und lassen sich nur miteiner zielgerechten Methode erkennen.

Kombinierte Angriffsarten, komplexe AufgabenE-Mail-Angriffe bestehen meist aus einer Mi-schung verschiedener Methoden, die entwedergleichzeitig oder nacheinander angewendet wer-den. Spam- und Phishing-E-Mails zielen zwarauf Einzelpersonen ab, können jedoch zudemViren enthalten und dadurch das gesamte Un-ternehmensnetzwerk gefährden. E-Mail-Sicher-heitslösungen müssen über einen integriertenAnsatz verschiedene Arten von Bedrohungendurch E-Mails entdecken und sperren können.Die Server-Authentifizierung spielt beim Sper-ren von E-Mail-Angriffen eine wichtige Rolle.In dem heutigen diversifizierten Internet kann



Unternehmen benötigen heute mehr denn je leistungs-starke Lösungen, mit denen sie nicht nur die Kosten,sondern auch die Komplexität reduzieren können. Alsflexibelste E-Mail-Sicherheitslösung auf dem Marktbietet SonicWALL Email Security neben einem he-rausragenden Preis-Performance-Verhältnis äußersteffiziente, schnell reagierende Schutzfunktionen undreduziert den Verwaltungsaufwand.Die Lösungen sind verfügbar als SonicWALL EmailSecurity Appliance (ESA), als SonicWALL Email Se-curity Software auf einem Windows-Server oder alsSonicWALL Email Security Virtual Appliance in einerVMware-Installation. Die SonicWALL-Email-Security-Lösungen sorgen für einen automatischen zukunfts-sicheren Schutz, der sich eigenständig aktualisiert.Email Security scannt den ein- und ausgehenden Da-tenverkehr und erhöht die Produktivität, da Spam, Vi-ren und Phishing-Angriffe gestoppt werden. Außerdemverhindert die Lösung, dass sensible Daten nach au-ßen dringen, und unterstützt so die Einhaltung ge-setzlicher Vorschriften.

E-Mail-Security-Lösungen von SonicWALL: leistungsstark und hoch skalierbar

Die Funktionen im Überblick� Verwaltung von ein- und ausgehendenE-Mails

� Verfügbar als Hardware Appliance, Software oder Virtual Appliance

� Hoch verfügbare und skalierbare Split-Mode-Architektur

� Einhaltung von gesetzlichen Vorschriften

� Verwaltung von E-Mail-Regeln� Erweitertes Reputation Management� Nahtlose Integration mehrerer LDAP-Server

� Umfassende Berichte� SonicWALL GRID Anti-Virus� Schutz vor DHA-, DoS- und Zombie-Angriffen

� Erweiterte Kontrollmöglichkeiten fürEndbenutzer

� Schnelle Installation und benutzer-freundliche Verwaltung

durch externe Web-Dienste, die den Spam-Mail-Verkehr überwachen) nicht eindeutig. Bei einemkombinierten Ansatz mit Authentifizierungs-und Reputationstechniken lässt sich der tatsäch-liche Status des sendenden Servers mit größererGenauigkeit bestimmen. Dadurch schwindetauch die Anzahl der Fehlalarme, die den Ge-schäftsablauf beeinträchtigen, da unproblema-tische E-Mails irrtümlich ausgefiltert werden.

Schneller mit prädikativen TechnikenBestmögliche E-Mail-Sicherheitslösungen rea-gieren unmittelbar auf alle Arten von Bedro-hungen und entfernen diese, bevor Schaden ent-stehen kann. Derart kurze Antwortzeitenkönnen Anwender jedoch nur erreichen, wennfrühzeitig Prognosen über die Wahrscheinlich-keit eines Angriffs oder die mögliche Verletzungvon Unternehmensrichtlinien erstellt werden.Prädikative Techniken erkennen nicht nur Ge-fahren in eingehenden E-Mails mit verdächtigenAnhängen, sondern auch Anomalien in den aus-gehenden E-Mail-Daten des Unternehmens.



dies zu einem komplexen Vorgang werden. Eine»gute« E-Mail wird beim Erhalt möglicherweisenicht authentifiziert, da sie von einem Drittenweitergeleitet wurde oder aus einer Quellestammt, deren DNS-Einträge keine Authentifi-zierung unterstützen. Eventuell ist auch die »Re-putation« des sendenden Servers (bestimmt

Wissenswertes zu E-Mail-SecurityTopaktuelle Nachrichten zum Thema E-Mail-Security, Details zu allen aktuellenSicherheitsbedrohungen und Hitlisten zuSpam-Betreffzeilen sind in den SonicWALLGRIDNews zu finden. Hier stehen auchPodcasts, Webinars, Data Sheets und Videos zur Verfügung, die umfassend überden optimalen Schutz des Unternehmensinformieren.www.sonicwall.com/us/11605.htm

E-Mail-Security-Appliances von SonicWALL

Foto: Sonicwall

Rund-um-Schutz für das MessagingE-Mail-Sicherheitssysteme müssen sämtliche Be-standteile des Messaging umfassend schützenund dabei alle Eigenarten der verschiedenen An-griffstypen erfassen. Rundumlösungen bietenkomplexe Funktionen und eine benutzerfreund-liche Oberfläche mit flexibler Konfiguration undeinfachem Zugriff auf die erstellten Berichte.

Überwachung des gesamtenBedrohungsverlaufsOhne ein echtes End-to-End-System zur Über-wachung der E-Mails können Unzulänglichkei-ten in der E-Mail-Sicherheitslösung des Unter-nehmens weit reichende Konsequenzen haben.Mit fortschrittlichen statistischen Methodendeckt eine wirksame E-Mail-Sicherheitslösungalle Komponenten der Messaging-Installationim Unternehmen ab. Dieser Rundumschutz ver-fügt über alle erforderlichen Funktionen zurAbwehr vor Angriffen: Die Lösung durchsucht

den Nachrichteninhalt und die Anhänge gründ-lich, verfolgt die Reputation von E-Mail-Serverngenau und analysiert ständig die Auswirkungvon Bedrohungen und Angriffen auf das gesam-te Unternehmensnetzwerk. Auch Datenschutz-verletzungen werden aufgedeckt: Eine ausgereif-te Erkennungstechnologie kann beispielsweiseden E-Mail-Verkehr in Bezug auf Inkonsisten-zen überwachen, die oft auf einen Versuch zurnicht autorisierten Übertragung von Unterneh-mensdaten hinweisen. SonicWALLs Email Se-curity bietet all diese Funktionalitäten und er-möglicht darüber hinaus einen kollaborativenAnsatz. In diesem Fall geschieht dies durch dasSonicWALL Self Monitoring Active ResponseTeam (SMART) Network, ein Echtzeitnetzwerkmit weltweit mehr als einer Million Benutzern,deren Antworten die vorausschauende Reaktionauf neue Gefahren in E-Mails unterstützen.

Schutz vor aktuellen und künftigen BedrohungenSysteme zur E-Mail-Sicherheit müssen sich densich ständig weiterentwickelnden Bedrohungenanpassen können. Der Schwerpunkt liegt hierbeiauf Flexibilität und umfassendem Schutz voraktuellen und künftigen Bedrohungen. Unter-nehmen benötigen eine einfach zu verwaltende,einfach anzupassende E-Mail-Sicherheitslösung,die leistungsstark ist und höchste Verfügbarkeitgewährleistet. Sie können sich nur auf Lösungenverlassen, die über zielgerichtete analytische Prozesse für bestimmte Bedrohungstypen ver-fügen. Die E-Mail-Sicherheitslösungen vonSonic WALL sind leistungsstark und flexibel ge-nug, um mit den Möglichkeiten der Hacker mit-zuhalten oder sie sogar vorherzusagen. Nebender Abwehr von eingehenden Angriffen, wie bei-spielsweise Spam und Phishing, können SonicWALLs Lösungen auch ausgehende An-griffe wie den Diebstahl von Unternehmensda-ten oder die unbeabsichtigte Weiterleitung per-sönlicher Daten verhindern.



Über SonicWALL

SonicWALL sorgt für die produktive undkosteneffiziente Nutzung von E-Mails: Ap-pliances, Software, virtuelle Appliances undDienste von SonicWALL Email Security(SES) stellen eine breite Palette an Anti-Spam- und E-Mail-Sicherheitslösungen be-reit, die den Sicherheitsanforderungen vonEinzelpersonen und von Unternehmen mitbis zu 100.000 Mitarbeitern gleichermaßengerecht werden. www.sonicwall.com/de/



Varianten von Hosted Security ServicesVON ANGELIKA FELSCH, CISCO

Es gibt viele gute Gründe, beim Thema E-Mail-Sicherheit nur das Beste zuverlangen. Zahlreiche deutsche Unternehmen wollen dabei so viel Kontrollewie möglich im Haus behalten, andere wünschen sich einen zuverlässigenServicepartner, dem sie diese Aufgabe komplett übertragen können.

Entscheidend ist, wie sich im Rahmen desverfügbaren Personals und Budgets die

geforderte Servicequalität, Verfügbarkeit undLeistung erreichen lassen. Zum Glück ist dasAngebot auf dem Markt groß – von adminis-trationsarmen Appliances über Zukauf einzel-ner Leistungen als Managed Services bis hinzum Full Service Hosting ist für jedes Anforde-rungsprofil etwas geboten.An einem umfassenden E-Mail-Schutz führt

kein Weg mehr vorbei. Die Zahl der Spam-Nach-richten nimmt nach wie vor rapide zu: Lautdem Cisco Threat Operations Center (TOC)macht lästiger Mail-Müll mit 200 Milliardenverschickten Nachrichten pro Tag inzwischen

etwa 90 Prozent des weltweiten E-Mail-Verkehrsaus. Besonders geschäftliche E-Mail-Nutzer ge-raten dabei ins Visier der Spammer.

Nicht nur häufiger, auch gefährlicherHinzu kommt, dass die unerwünschten Nach-richten immer tückischer und die Methodender Spam-Versender immer professioneller wer-den. So nutzen sie zur Verbreitung inzwischenhäufig E-Mail-Accounts von großen, vertrau-enswürdigen Webmail-Providern. Dieses soge-nannte Reputation Hijacking erhöht die Chan-cen auf erfolgreiche Zustellung bei denahnungslosen Opfern, da die Nachrichten miteiner seriösen Adresse schwerer zu erkennen

Quelle: Fotolia.de



und zu blocken sind. Welche Ausmaße das an-nehmen kann, zeigt das Beispiel des US-InternetService Providers Mc Colo. Nach dessen Ab-schaltung sank das Spam-Volumen kurzzeitigum 40 Prozent.

Sicherheitslücke RessourcenmangelTechnische Schutzmaßnahmen zur Daten- undInformationssicherheit sind besonders wichtig,da Angriffe durch neue und komplexe Techni-ken zunehmend schwerer zu bekämpfen sind.Zwar ist das Bewusstsein für IT-Sicherheit ge-stiegen, doch für den Schutz der IT fehlen häufigpersonelle und finanzielle Ressourcen sowietechnisches Know-how.Deshalb sollte bei der Auswahl einer geeig-

neten Lösung darauf geachtet werden, dass derWartungsaufwand der Lösung möglichst geringausfällt. Bei den etablierten und marktführen-den Lösungen ist dies meist der Fall. Eine oftkostengünstige Möglichkeit bietet auch das Out-sourcing. Ein Beispiel hierfür sind die neuenHosted-E-Mail-Security-Lösungen von Cisco.

Diese basieren auf der gleichen Technologie wieder bewährten Cisco IronPort Security Appli-ances, die bereits schon bei 40 Prozent der For-tune-1000-Unternehmen im Einsatz sind undim jüngsten »Magic Quadrant for E-Mail Secu-rity Boundaries« des IT-Marktforschungsinsti-tuts Gartner als führende E-Mail-Security-Lö-sungen bestätigt wurden. Ausschlaggebend fürdiese Platzierung waren die beiden Kriterien»klare Vision der künftigen Marktentwicklung«sowie »gute Performance hinsichtlich Schnel-ligkeit und Genauigkeit«. Neben dem markt-führenden Spamschutz sind die Systeme auchfür Data Leakage Prevention (DLP), Virenschutzsowie E-Mail-Authentifizierung geeignet.

Sicherheit as a ServiceSeit März 2009 können Unternehmen diese Leis-tungen auch in Form von unterschiedlichenHosted-Service-Modellen beziehen, also ohneVorlaufinvestitionen. Die drei Varianten sindauf die unterschiedlichen Anforderungsprofileabgestimmt. Cisco dazu: »Die IT-Abteilungen

Mit auf Cloud basierenden E-Mail-Security-Lösungen von Cisco haben Kunden die freie Auswahl und völ-lige Flexibilität: E-Mail-Sicherheit komplett aus der Cloud, ein hybrides Modell mit Appliance vor Ort zurKontrolle des ausgehenden Verkehrs oder die Appliance vor Ort als komplett extern gemanagede Version(von links nach rechts).

Cloud-E-Mail-Security Hybrid-E-Mail-Security Managed-E-Mail-Security



dell (SaaS). Das Prinzip: Der Sicherheitsspezia-list betreibt für jeden Kunden eine dezidierte E-Mail-Infrastruktur in seinem redundant ausge-legten Rechenzentrum. Da jedes System nureinem einzigen Unternehmen zugeordnet ist,ist sowohl die Verfügbarkeit als auch der Schutzsensibler Daten sehr hoch.

Über Cisco

Cisco Systems, Inc. (NASDAQ: CSCO) mitHauptsitz in San Jose (CA) ist mit 36,1 Mil-liarden US-Dollar Umsatz (25. Juli 2009)weltweit führender Anbieter von Networ-king-Lösungen für das Internet. Die deut-sche Niederlassung Cisco Systems GmbHhat ihren Sitz in Hallbergmoos bei Münchenund Büros in Eschborn bei Frankfurt amMain, Hamburg, Düsseldorf, Stuttgart undBerlin. Cisco-Produkte werden in Europavon der Cisco Systems International BV ge-liefert, einer Tochtergesellschaft im voll-ständigen Besitz der Cisco Systems, Inc.Cisco, Cisco Systems und das Cisco-Sys-tems-Logo sind eingetragene Marken oderKennzeichen von Cisco Systems, Inc.und/oder deren verbundenen Unternehmenin den USA und in anderen Ländern. Alleanderen in diesem Dokument enthaltenenMarken sind Eigentum ihrer jeweiligen Inha-ber. Die Verwendung des Worts »Partner«bedeutet nicht, dass eine Partnerschaftoder Gesellschaft zwischen Cisco und demjeweils anderen Unternehmen besteht. Die-ses Dokument ist eine Veröffentlichung vonCisco. www.cisco.de

in Unternehmen sind heutzutage ganz unter-schiedlich aufgestellt und haben äußerst spezi-fische Anforderungen an Systeme und derenVerwaltung. Mit dem Portfolio von Cisco bietenwir für jeden Bereich eine geeignete E-Mail-Si-cherheitslösung. Seien es Appliances in verschie-denen Größenordnungen, Managed Services in-the-cloud oder vor Ort, oder das kompletteOutsourcen der Lösung durch unsere Hosted-E-Mail-Security-Serviceangebote. Damit schaf-fen wir Unternehmen die Flexibilität und Auswahlmöglichkeit, die sie sich bei der Ent-scheidung für eine neue Sicherheitslösung wün-schen.« Bei Bedarf ist auch ein Wechsel zwischenden einzelnen Varianten möglich.Besonders für Unternehmen, deren Rechen-

zentrumskapazitäten begrenzt sind oder die denAufwand für Strom oder Kühlung zurückfahrenmöchten, bietet die Cisco-Lösung IronPort Hos-ted E-Mail Security eine echte Alternative zumEigenbetrieb. Das Komplettpaket umfasst Hard-ware, Software und Support. »Mit diesem Ser-vice können Unternehmen ihr Spam-Problemquasi an uns outsourcen«, beschreibt Cisco dasauf Cloud basierende Software-as-a-Service-Mo-



So sicher wie eine mit Bleistift geschriebenePostkarte« sind E-Mails nach Ansicht von

Experten. Wer es darauf anlegt, kann sie abfan-gen, mitlesen und manipulieren. Und dennochsausen täglich Milliarden der elektronischenNachrichten ungeschützt durch das Internet.»Ich habe ja nichts zu verbergen«, lautet das

beliebteste Argument gegen eine angemesseneSicherung. Schon ein wenig nachvollziehbarerklingen die Klagen über die Schwierigkeiten,mit denen der Austausch abgesicherter Nach-richten verbunden sein kann. Denn wer sichauf die gängigsten Verschlüsselungsmethoden,die beiden auf PKI (Public Key Infrastructure)basierenden Technologien S/MIME (SecureMultipurpose Internet Mail Extensions) und

OpenPGP (Open Pretty Good Privacy), stützt,muss sicherstellen, dass der Empfänger an das-selbe System angeschlossen ist. Sonst bleibt dieNachricht verschlüsselt, und ihr Informations-gehalt geht nicht über kryptische Botschaftenwie »afFWe38aGwbbD03xnüü936« oder ähnli-che Hieroglyphen hinaus. Dennoch gibt es eineganze Reihe guter Gründe, nicht einfach auf ei-nen sicheren Schutz zu verzichten: Wer seinePrivatsphäre wahren oder wichtige Geschäfts-geheimnisse vor Wirtschaftsspionage verbergenmöchte, hat keine Alternative zur Verschlüsse-lung. Und zahlreiche Institutionen oder Berufs-gruppen dürfen schon allein aufgrund ihrervom Gesetzgeber vorgegebenen Verschwiegen-heitspflicht viele Daten oder Informationen

Flankenschutz für die PostkarteVON TOBIAS LOEW, MAINBLICK

Dass ein Vorstandsvorsitzender eines börsennotierten Unternehmens strate-gische Konzerndaten auf einer Postkarte an die Mitglieder des Aufsichtsratsverschickt, erscheint absurd. Weit weniger Stirnrunzeln löst der Gedanke aus,dass er dieselben Informationen per E-Mail verschickt. Besser geschützt sindsie dennoch nicht. Erst Verschlüsselung macht E-Mails sicher.

An den

Postzus

teller:

Bitte nich

t lesen

!

Enthält

gehei

me firm

eninte

rne

Inform

atione

n.

nicht arglos und ungesichert durch das Netzschicken. Sie müssen auch bei Ihrer E-Mail-Kommunikation die geltenden rechtlichen Be-stimmungen einhalten. Darüber hinaus verlangtdas Bundesdatenschutzgesetz (BDSG) den be-sonders sorgfältigen Umgang mit allen perso-nenbezogenen Daten. Sie dürfen auf keinen Fallungesichert per E-Mail verschickt werden.Gleichzeitig empfiehlt die Anlage zu Paragraph9 des Gesetzes den Einsatz einer modernen Ver-schlüsselungslösung als angemessenen Schutz.Nur wer eine E-Mail-Verschlüsselung einsetzt,braucht beim Versand von personenbezogenenDaten keine Bußgelder zu fürchten.Unabhängig davon machen die Verschlüsse-

lung von E-Mails und ihre digitale Signatur dieNachrichtenübermittlung erheblich sicherer alsbislang und lassen sie so zu einer rasend schnel-len Alternative für den Postversand wichtigerDokumente werden. Fazit: So lange E-Mailsüber ein öffentliches Netz übertragen werden,lässt sich nur mit Verschlüsselungstechniken si-cher verhindern, dass ihre Inhalte in die falschenHände geraten.Gute Gründe, die schon lang für den ver-

schlüsselten Versand von E-Mails sprechen. Al-lerdings gab es bislang ein entscheidendes Hin-dernis: Wer E-Mails verschlüsselt verschickenwollte, musste nicht nur sicherstellen, dass Ab-sender und Empfänger ein Kryptographie-Pro-gramm einsetzen. Er musste auch dafür Sorgetragen, dass beide die gleiche Verschlüsselungs-technologie verwandten. Wenn also der Automo-bilzulieferer dem Hersteller eine Konstruktions-zeichnung geschützt zuschicken wollte, musstenbeide das gleiche Programm einsetzen. Voraus-setzungen, die allein schon den Versuch eines ge-schützten Versands oft im Keim erstickten.

Zentrale Administration entlastet AnwenderDeshalb lohnt es sich besonders, eine Lösunganzuwenden, die technologische und organisa-torische Hürden überwindet. Sicheren Schutzvor Missbrauch, der weder Absender noch Emp-

fänger mit unnötigem organisatorischem Auf-wand belastet, bietet etwa die patentierte E-Mail-Verschlüsselung fideAS mail der Applied Secu-rity GmbH (apsec) aus Stockstadt am Main.Das sichere E-Mail-Gateway lässt sich nämlichmühelos als Hard- oder Soft-Appliance in be-stehende Computernetze integrieren und schafftüber eine Rule Engine die Möglichkeit, die Si-cherheits-Policy eines Unternehmens für den



fideAS mail� Weltweit anerkannte Verschlüsse-lungsstandards

� Drei verschiedene Verschlüsselungs-technologien:� Open PGP� S/MIME� Patentierte fideAS-mail-Technologie

� Auf html basierend� Nutzt Kryptographiefähigkeiten desWebbrowsers

� Sichere Verbindung (https) über Internet zur Appliance

� Automatische empfängerorientierteAuswahl der geeigneten Verschlüsse-lung

� Sicheres E-Mail-Gateway� Kein Zwischenspeichern erforderlich

� Zentrale User- und Schlüsselverwal-tung

� Zentrales Management� Rule Engine setzt Security Policy durch

� Vorkonfigurierte Appliance� Drei Hard-Appliances

� Small business� Medium business� Enterprise

� Soft-Appliance� Auf VMware basierend� Für virtualisierte Installationen

� Unterstützt Blackberrys und andereMobiltelefone

� Kann in jedes Firmennetzwerk integriert werden

� E-Mail-Client wird wie gewohnt weitergenutzt

E-Mail-Versand zentral durchzusetzen. Beson-dere Stärke der apsec-Lösung: E-Mail-Empfän-ger benötigen keine eigene Ver- und Entschlüs-selungslösung. Die patentierte fideAS- mail-Technologie macht den sicheren Datenaus-tausch auch über den Webbrowser möglich. Mitdem richtigen Passwort ausgestattet, kann jederberechtigte Nutzer dann – unter Zuhilfenahmeder Kryptographie-Fähigkeiten von Internet-Explorer, Mozilla Firefox, Opera, Google Chro-me, Apple Safari und anderen – die für ihn bestimmten Informationen einsehen und ab-speichern. Darüber hinaus kann er auch direkteine verschlüsselte Antwort zurück zum Absen-der schicken, und das wieder ohne eigene Ver-schlüsselungslösung. »Mit fideAS mail machenwir E-Mail-Verschlüsselung so einfach wie Fahr-rad fahren«, ist Andreas Schuster, Vertriebsleiterbei der Applied Security GmbH, überzeugt: »Da-mit kann jeder seine vertraulichen Nachrichtenschützen.«

Unauffällige Verschlüsselung – E-Mail-Versand wie gewohntOb auf VMware basierend oder als Hardwaremit robustem Betriebssystem, fideAS mail lässtsich zentral ins Unternehmensnetzwerk einbin-den. Ohne dass weitere Abstimmungsarbeitenerforderlich wären, insbesondere keine Software-Installation auf den Client-Rechnern. Angepasstan die jeweilige Unternehmensgröße, beginnendbei fünf Usern, ist fideAS mail in den Varianten»small business«, »medium business« und »en-terprise« sowie als Soft-Appliance für virtuelleSysteminstallationen zu haben. Sogar für E-Mail-Dienste nach dem »Software as a Service«-Prinzip (SaaS) eignet sich fideAS mail. Zur si-cheren Verschlüsselung setzt es auf weltweitanerkannte Verschlüsselungsstandards, die dafürbürgen, dass kein Unberechtigter auf die Datenzugreifen kann. Weil die Lösung an der Schnitt-stelle zwischen dem Unternehmensnetzwerkund dem Internet einsetzt, können die Anwen-der weiterhin ihre bestehenden E-Mail-Clientsverwenden. Für sie ändert sich beim Versand

also nichts. Außerdem ist es nicht nötig, die E-Mails in der Appliance zwischenzuspeichern.Neben der Security Policy werden auch User

und Schlüssel zentral verwaltet. Wenn ein Emp-fänger ohne eigene Verschlüsselung eine mit fideAS-mail-Technologie geschützte Nachrichterhält, wird er dazu aufgefordert, das zugehörigePasswort einzugeben. Dann kommuniziert derWebbrowser via Internet mit der Appliance, wel-che die Übereinstimmung des Passworts bestä-tigt. Darüber hinaus ist es mit dem vorkonfigu-rierten Gerät ebenfalls möglich, geschützteE-Mails auf Blackberrys und anderen Mobil -telefonen zu empfangen.

Lückenlose VerschlüsselungMit fideAS mail werden neben den E-Mailsselbst auch sämtliche Dateianhänge verschlüsseltübertragen und im Rechner des Empfängersnach der Passworteingabe entschlüsselt. Damitstellt es eine ideale Ergänzung zu apsecs File-und Folder-Verschlüsselung fideAS file enter-prise dar. Im Doppel sichern die Produkte derunterfränkischen Software-Schmiede damitsämtliche sensiblen Daten umfassend ab – vomErstellen einer Datei bis zum Austausch mit Kol-legen und Geschäftspartnern. Denn fideAS fileenterprise und das Software-Tool fideAS fileportable enthalten auch Sicherungsroutinen fürden Datenaustausch über mobile Datenträgerwie Flash-Karten, CDs und DVDs oder USB-Sticks. »Wer auf unsere Produkte vertraut, kann sich

darauf verlassen, dass seine Daten nicht in diefalschen Hände geraten. Denn nur verschlüsselteDaten sind wirklich sicher geschützt. Auch wennMitarbeiter sie versehentlich an Unbefugte ver-teilen«, erklärt Andreas Schuster. Der IT-Secu-rity-Spezialist ist sich sicher: »Die Kombinationaus fideAS mail und fideAS file enterprise sorgtdafür, dass weder bei der Dateiablage noch beimVersand eine Lücke in der Verschlüsselung ent-stehen kann. Auch einzeln eingesetzt, erhöhensie das Sicherheitsniveau der Daten eines Un-ternehmens bereits erheblich.«





Zuerst ein kurzer Rückblick auf die Evolutionvon E-Mail, um die Problematik darzustel-

len. In den 80er Jahren verbreitete sich die elek-tronische Kommunikation – außerhalb der La-bors. Zunächst versendeten Menschen simpleText-Nachrichten aneinander, manche noch

über Bulletin-Board-Systeme, andere schonüber die ersten E-Mail-Clients. In den 90er Jah-ren stiegen Anzahl und Angebot der Provideran: Bald hatte jeder – und jede Firma – E-Mail.Nun ging die Kommunikation nicht mehr nurunter Privatpersonen und Universitäten. Zuneh-

Die Evolution von E-Mail erfordert

Modernisierung der Messaging-InfrastrukturVON CHRIS MEIDINGER, MESSAGING SOLUTIONS ARCHITECT, SENDMAIL GMBH

Um eine effiziente, leistungsstarke und kostengünstige Infrastruktur zubetreiben sowie den modernen Anforderungen und Sicherheitskriteriengerecht zu werden, sind Unternehmen heute angehalten, ihre bestehenden,gewachsenen E-Mail-Architekturen zu überdenken.



mend lief seriöse Unternehmenskommunikati-on über E-Mail. Selbstverständlich wurde E-Mail bald als Marketingplattform entdeckt, vonzwielichtigen genauso wie von ernsthaften Ab-sendern – die Fülle unerwünschter E-Mail stiegan und wurde bald »Spam« getauft. Erste Spam-filter sollten für Abhilfe sorgen. Neben uner-wünschten Werbe-E-Mails machten sich in denvergangenen Jahren zunehmend kriminelle Ak-tivitäten im Internet breit. Der Kampf gegen Vi-ren und Malware wurde eröffnet. Erneut muss-ten Unternehmen schnell auf Veränderungenreagieren. Meist fiel diese Reaktion als eine odermehrere Insellösungen aus, die Viren, Malwareund sonstige Angriffe abwehren sollten. Zudemfordern Firmenrichtlinien und neue Gesetze im-mer mehr im Bereich von E-Mail-Policies und-Verschlüsselung.

Die Hinterlassenschaft des ständigen Schuss-wechsels zwischen Bedrohung, Anforderungund Reaktion ist typischerweise eine teure, un-übersichtliche Infrastruktur gemischter Systeme.Zu jeder Anforderung wurde eine Insellösungangeschafft – einmal etwas gegen Spam kaufen,ein anderes Mal etwas gegen Viren, neuerdingswieder etwas, um Verschlüsselung zu erzwingen.Diese Systeme müssen mittlerweile als Ganzesbetrachtet werden. Überkomplizierte System-landschaften sind besonders teuer in Lizenzenund Wartung und führen zu längeren Ausfall-zeiten im Problemfall, da sich auch die Diagnoseüber mehrere Systeme hinweg als schwierigererweist.Mit einigen namenhaften Unternehmen und

Großkonzernen hat Sendmail einen »MessagingArchitecture Review« durchgeführt. Hierbei

Messaging Infrastruktur



wird die Messaging-Infrastructure als Ganzesbetrachtet, anstatt auf die Einzelsysteme zu se-hen, und nach Möglichkeiten gesucht, die Effi-zienz zu steigern und die Kosten zu senken. Un-ternehmen staunen meist über die Anzahlvorhandener Insellösungen – auch »Point-So-lutions« genannt – in ihrer E-Mail-Infrastruktur.Dies ist allerdings in Anbetracht der Entwick-lung des Internets nicht wirklich erstaunlich.Wenn auf den Anstieg der Menge von Spam,Viren und Malware und steigende Anforderun-gen an die Datensicherheit lediglich reagiertwird, kommt bald ein Wildwuchs zustande. DasErgebnis: hohe Ausgaben für Pflege und War-tung, unnötige Ausfälle und eine größere Feh-lerrate bei der Problemsuche, die wiederum denAusfall verlängert und Kosten in die Höhe treibt.Eine ebenso wichtige Rolle spielen Performanceund Ausnutzung der Serverkapazität bei Min-derung der Betriebskosten hinsichtlich Hard-ware, Flächen- und Energiebedarf.

Die moderne Messaging-Infrastruktur:Eine moderne Messaging-Infrastruktur bestehtaus drei Schichten:� Gateway Protection LayerE-Mail von und zum Internet läuft immer überdiese Ebene und wird hier vor sämtlichen Ge-fahren und Bedrohungen aus dem Internet ge-schützt.� Internal Policy und Routing LayerDiese Ebene bildet die Grundlage für die Abbil-dung sämtlicher Geschäftsprozesse: Entschei-dungen zu Themen wie Verschlüsselung unddie Einhaltung von Datenschutz werden getrof-fen, und gegebenenfalls komplexes internes Rou-ting kann gestaltet werden.� Groupware LayerDiese Ebene beherbergt die Storage-Systeme imBackend für E-Mail und sonstige elektronischeKommunikation, typischerweise Exchange, Do-mino oder sonstige Groupware-Systeme.Der »Interne Policy und Routing Layer« ist

eins der wichtigsten Elemente in einer moder-nen E-Mail-Infrastruktur. Um dessen Bedeut-

samkeit zu verstehen, ist es relevant, die kom-plette E-Mail-Infrastruktur als Ebenen zu be-trachten und die zugrunde liegenden Prozessezu erkennen und an entsprechender Stelle zuplatzieren.Im Policy Layer lebt die eigentliche Intelli-

genz der E-Mail hinsichtlich Regelwerken zureffizienten Einhaltung und Durchführung vonUnternehmensrichtlinien und auch behördli-chen Auflagen. Policy- und Routing-Entschei-dungen werden hier anhand von Daten imLDAP neben weiteren Compliance-Prüfungenausgeführt. Um Unternehmensdaten zu schüt-zen und Prozesse abzubilden, sind E-Mail-Poli-cies in der heutigen Zeit unerlässlich. Immermehr Großunternehmen scannen ausgehendeE-Mail auf Auffälligkeiten, um im Notfall durchautomatische Prozesse eingreifen zu können.Beispielsweise:� E-Mail abfangen und verwerfen� E-Mail zurück an den Absender, mit der Bitteum Prüfung und entsprechende Anmerkung

� Empfänger hinzufügen oder löschen� Nachrichten in die Quarantäne zur Über-prüfung zu stellen

� Melden eines RegelverstoßesEinfache, aber auch sehr komplexe Regelwerkesollten simpel über Bedingungsprüfungen ab-gebildet werden können und jederzeit anhandeines übersichtlichen GUI angepasst und akti-viert werden. Das Unternehmen muss in derLage sein, schnell und flexibel auf aktuelle Si-tuationen und neue Anforderungen zu reagie-ren.

Sentrion Message Processor:Um den Internal Policy und Routing Layer ineiner modernen E-Mail-Architektur abbildenzu können, benötigen Unternehmen eine hochperformante Message-Prozessor-Lösung im E-Mail-Backbone für eine vielfältige, flexible undzuverlässige E-Mail-Infrastruktur. Im Gegensatzzu ähnlichen Produkten, welche meist als aus-schließliche Spezialprodukte für einen einzelnenZweck konzipiert wurden, ist der Sentrion Mes-



sage Processor eine komplette Messaging-Platt-form. Zusätzliche Applikationen für Enter prise-Messaging sind bereits integriert und könnenschnell und direkt in dieser Infrastruktur ein-gesetzt werden. Viele Produkte, die beispielswei-se als Security-Gateway im External Protection-Layer entwickelt wurden, sind für komplexereAnforderungen im E-Mail-Management nichtgeeignet. Der Sendmail Sentrion Message Pro-cessor ermöglicht es Unternehmen, komplexeinterne Richtlinien zu verarbeiten, Policies län-der- oder auch gruppenspezifisch in ihrer E-Mail-Kommunikation zu vollziehen sowie beidefinierten Ereignissen, die Gefahr oder eineVerletzung interner Unternehmensrichtliniendarstellen, automatisch einzugreifen.

Sentrion App Store – problemloseEinbindung weiterer E-Mail-Apps:Dank dem neuen Sentrion App Store brauchenUnternehmen ab sofort keine isolierten E-Mail-Produkte mehr zu betreiben und zu unterstüt-zen, um Anforderungen aus unterschiedlichenFachbereichen wie Sicherheit, Datenschutz undMarketing zu erfüllen. Sentrion-Kunden kön-nen Spezialapplikationen zur Nachrichtenfilte-rung, Compliance und Content-Sicherheit wäh-len. Überdies stehen ihnen weitere Apps vonSendmail-Partnerfirmen zur Verfügung. Anwender, welche die leistungsstarke, mit demEnterprise-Directory synchronisierte Policy-En-gine nutzen, können alle Unternehmensricht -linien für ein- und ausgehende Nachrichtennahtlos implementieren. Durch Vermeidung un-nötiger Zusatzsysteme und inkompatibler Pro-dukte, die separat betrieben werden müssenund nicht in den zentralen E-Mail-Backboneeingebunden werden können, werden Unter-nehmen in die Lage versetzt, ihre Betriebskostendeutlich zu reduzieren.

Die Performance steigern und die Betriebskosten senken:Mit einer virtualisierten Lösung können die inheutigen Rechenzentren entscheidenden Kenn-

größen wie Emissions- und Betriebskosten zu-gunsten der »Green IT« gesenkt werden. In deraktuellen wirtschaftlichen Lage bewährt sichVirtualisierung in hohem Maß bei der Senkungder IT-Betriebskosten. Die Nutzung der Virtua-lisierung ist mittlerweile gängige Praxis in IT-Abteilungen, allerdings bieten wenige Herstellereine virtualisierte E-Mail-Plattform an. Mit dervirtuellen Appliance Sentrion MPV unterstütztSendmail die Migration der unternehmenskri-tischen Anwendungen »E-Mail« in die virtuelleServer-Installation.

Sendmail-Produkte:Neben der virtuellen Appliance Sentrion MPVsind Sentrion MP als Hardware-Appliance undSentrion MPQ als Blade-Appliance erhältlich.Zudem kann mit den Sentrion Cloud Servicesdie »E-Mail-Hygiene« im External ProtectionLayer in die Cloud abgegeben werden. Niedrige Kosten bei einer gleichzeitig siche-

ren und zuverlässigen E-Mail-Infrastruktur se-hen viele IT-Verantwortliche als Anforderungen.Es reicht auch nicht mehr, vereinzelte Ansatz-punkte zu suchen, um über gesamte Infrastruk-turen hinweg Kosten zu sparen. Hier droht ganzim Gegenteil umso schneller Verstrickung inweitere, unübersichtliche Kosten hinsichtlichAnschaffung, Wartung, Updates und Know-how. Nicht zuletzt stellt sich bei Insellösungendie Frage der System-Kompatibilität. Sendmail-Kunden erzielen mit dem Einsatz einer Sentri-on-Messaging-Infrastruktur eine moderne, si-chere und zuverlässige E-Mail-Architektur mitbaldigem Return on Investment. Als Pionierevon Internet-E-Mail greifen Sendmail-Expertenbei komplexen und anspruchsvollen E-Mail- Installationen auf mehr als 27 Jahre Erfahrungzurück.

Sendmails kostenloser »Messaging Architecture Review«Sendmail bietet mit dem kostenlosen MessagingArchitecture Review eine Möglichkeit an, diegesamte E-Mail-Infrastruktur zu durchleuchten.



Vor Ort wird die Messaging-Installation als Gan-zes aufgenommen, und gemeinsam mit demKunden werden Lösungsansätze erarbeitet, umsowohl die Kosten zu senken, als auch Perfor-mance und Effizienz zu steigern. Nach Abschlussdieses Reviews erhalten alle Teilnehmer einenausführlichen Bericht über den aktuellen Zu-stand inklusive der Vorschläge, die bestehendeArchitektur zu optimieren.Einige Sendmail-Kunden haben festgestellt,

dass sich in ihrer IT-Infrastruktur durchausprägnante Kosteneinsparungen direkt in der E-Mail-Infrastruktur erzielen ließen. Wie viel Un-ternehmen genau einsparen können, hängt di-rekt von den eingesetzten Systemen ab. DasPotenzial bei der Konsolidierung von Systemenist in jedem Fall beträchtlich. So konnte einGroßkonzern eine Kostenreduzierung weit überdie Modernisierungskosten bereits im erstenJahr erzielen. Auch in anderen Fällen sind dieModernisierungsmaßnahmen meist schon so-

fort aus Sicht der direkten Betriebskosten ge-rechtfertigt.Nicht weniger wichtig waren für viele der

teilnehmenden Unternehmen jedoch auch dieErkenntnisse über bislang unbekannte Schwach-stellen und Mängel, welche die Sicherheit desUnternehmens bedroht und somit auch die Ver-fügbarkeit des Kommunikationsmediums E-Mail gefährdet hatten. Die Erfahrung mit Global-1000-Unterneh-

men ergab, dass bei mehr als 85 Prozent derTeilnehmer Sicherheitslücken, Skalierungspro-bleme und unbekannte, ungenehmigte E-Mail-Applikationen entdeckt wurden. Die meistenUnternehmen sind der Meinung, dass ihre Mi-crosoft-Exchange- oder Lotus-Notes- mit E-Mail-Installation gleichzusetzen ist. Gerade die-sen Unternehmen nutzten die gewonnenInformationen über Sicherheitslücken und man-gelnde Effizienz in ihrer E-Mail-Infrastrukturam meisten.

Über Sendmail

Sendmail ist Anbieter auf Appliance basie-render Produkte, Applikationen und Ser-vices, die die Messaging-Strukturen vonGroßunternehmen und staatlichen Stellenoptimieren. Seit mehr als 25 Jahren liefertSendmail innovative Email-Messaging-Tech-nologien und schützt dadurch zuverlässigdie Mitarbeiter- und Kundenkommunikation.Die Sendmail-Lösungen schützen genaudort, wo 80 Prozen aller gravierenden Si-cherheitslücken entstehen: beim ein- undausgehenden Messagingverkehr. Die umfas-

sende Produktsuite des Unternehmensschützt zudem vor Data- und Privacy-Le-ckage und unterstützt neue Lösungen beider E-Mail-Authentifizierung und des Mes-sage-Managements innerhalb von Unterneh-men. Diese Applikationen werden alsHardware-Appliance, virtuelle Appliance undinnerhalb einer Blade-Server-Konfigurationauf Basis der Sendmail-Sentrion-Message-Prozessoren angeboten. Führende Unter-nehmen in 33 Ländern, darunter ein Großteilder Fortune-1000-Unternehmen vertrauenauf Sendmail, um Mitarbeiter vor uner-wünschten Messages und die Integrität derMessaging-Infrastruktur zu schützen. Send-mail hat seinen Hauptsitz im Emeryville,USA, sowie Niederlassungen und Distributo-ren in Europa, Asien und Nordamerika. Wei-tere Informationen sind unterwww.sendmail.com erhältlich.

SERVICE


1868-8802

Davor KolaricAlte Mü�nchner Straße 12, 82407 Wielenbach, Tel: 0881-9247525E-Mail: [email protected]

Davor KolaricAdresse wie oben

Hagen Thorn

Uwe Klenner, Layout und Gestaltung, 94036 Passau, Rittsteiger Str. 104, E-Mail: [email protected]

L.N. Schaffrath DruckMedien GmbH & Co. KGMarktweg 42–50, 47608 Geldern

Getty ImagesPixelio.de, Fotolia.de

www.all-about-security.deAlte Mü�nchner Straße 12, 82407 Wielenbach

Davor Kolaric

7000 Exemplare

Alle in diesem Heft erschienenden Beiträge sind urheber-rechtlich geschützt. Alle Rechte, auch Übersetzungen undZweitverwertung, vorbehalten. Reproduktionen, gleich wel-cher Art, nur mit schriftlicher Genehmigung des Verlags. Ausder Veröffentlichung darf nicht geschlossen werden, dassdie beschriebenen Lösungen oder Bezeichnungen frei vongewerblichen Schutzrechten sind.

Das Magazin steht Ihnen ebenfalls als E-Book zurVerfü�gung. Das Magazin können Sie kostenfrei bestellenunter [email protected]

© 2010 www.all-about-security.de

IMPRESSUM

ISSN:

Verantwortlich fü� r den redaktionellen Teil:

Verantwortlich fü� r Anzeigen:

Schlussredaktion:

Layout / Satz / Prepress:

Druck:

Titelbild:Bilder/Fotos/Grafiken:

Besitzverhältnisse:

Alleingesellschafter:

Auflage:

Urheberrecht:

WEB & E-MAIL SECURITY – IT Security AdvisorEine Publikation der www.all-about-security.de

Mitteilung gemäß bayerischem Pressegesetz

Web Application Security for Every Scale distributed Web Application Firewall (dWAF)for Physical, Virtual and Cloud Environments

Höchste Flexibilität und Skalierbarkeit:

Unsere Enterprise WebApplication Firewall hyperguardist als Software-Plug-in, alsHardware und Virtual Appliancesowie als distributed dWAF für sehr große verteilte Infrastrukturen verfügbar.

Führende Banken, PaymentProvider und E-Tailer setzenbeim Schutz ihrer internen undexternen Web-Anwendungenauf uns; in den USA zählennamhafte Cloud-Provider zuunseren Partnern.

Weitere Informationen: www.artofdefence.com

art of defence gmbh . Bruderwöhrdstraße 15b . 93055 Regensburg . Telefon +49 (0) 941 604 889 78

ausgabe 3-2010 web & e-mail security · 2020-01-24 · da-ausgabe 3-2010 web & e-mail...

Documents