Ein Mittelständler wehrt sich

Ein Mittelständler wehrt sich

Als der Mittelständler S. Siedle & Söhne Anfang dieses Jahres sein Sicherheitskonzept auf Vordermann brachte, war die Überraschung groß: Die neu installierte Sicherheits-Appliance Symantec Mail Security 8240 meldete ein durchschnittliches Aufkommen von 35.000 Spam-Mails pro Monat.

Die S. Siedle & Söhne Telefon- und Telegrafenwerke OHG gibt es seit 250 Jahren. Was im Jahr 1750 als Nebenerwerbsgießerei auf einem Schwarzwaldhof in Furtwangen begann, wurde zum Spezialisten für Telegrafie und Telefonie im 19. Jahrhundert und entwickelte sich im 20. Jahrhundert weiter zum Hersteller für Tür- und Hausprechanlagen. Heute ist der Mittelständler mit 530 Mitarbeitern Marktführer in Haustürkommunikation – angefangen vom Briefkasten bis hin zur Steuerung des intelligenten Gebäudes. Im Laufe der Jahrhunderte hat das familiengeführte Traditionsunternehmen sein Portfolio immer wieder erfolgreich an die Veränderungen des Marktes angepasst.

Unbemerkte Spam-Schwemme
Die Entwicklung der Sicherheitsrisiken in der IT-Landschaft machten indes Anfang dieses Jahres eine Anpassung ganz anderer Art zwingend notwendig. Siedle brauchte eine neue Sicherheitslösung. Die Wartungsverträge der bisherigen Virenschutzlösung liefen aus und dies nahmen die Furtwanger zum Anlass, sich zusammen mit dem Systemhaus und Symantec Enterprise Security Partner Datadirect aus Freiburg nach möglichen Alternativen umzusehen. IT-Leiter Bernhard Späth legte vor allem Wert auf Virenschutz- und Antispam-Funktionalität. Zwar gab es noch keinerlei Ausfälle durch Virenangriffe, doch er wollte lieber vorbeugen, als im Ernstfall reagieren zu müssen. Zumal Siedles Niederlassungen in Österreich, Holland, Dänemark und Belgien in das Datennetz integriert werden sollten – ebenso wie die bundesweit sieben Schulungszentren und ein Werk im Nachbarort. Zwei Töchter mit eigenem Netzwerk sollten ebenfalls eingebunden werden. Späth: „Aufgrund des Preisleistungsverhältnisses fiel die Entscheidung schließlich auf Symantec. Wir hatten gegen Viren eine Lösung von Trend Micro in Betrieb, gegen Spam war bisher jedoch gar keine Abwehr im Einsatz. Da wir bereits mehrere Jahre das Intrusion Detection System Symantec Network Security (ehemals Symantec ManHunt) nutzen, lag eine Lösung von Symantec nahe. Im Test stellte sich heraus, dass die Reaktionen von Symantec bei Viren einfach schneller waren.“

Der zweiwöchige Test der Symantec Mail Security 8200 Appliance-Serie hatte zudem eine Überraschung für den IT-Leiter parat. „Wir haben festgestellt, dass bei uns, der wir ja ein Mittelständler sind, jeden Monat im Schnitt 35.000 Spam-Mails eingehen. Das ist uns vor dem Test nie aufgefallen“, erklärt er. Mit dieser relativ hohen Zahl steht Siedle aber nicht alleine. Im Mai 2005 konnte Symantec hochrechnen, dass weltweit 60 Prozent der versendeten E-Mails Spam waren. Ermittelt hat Symantec dies mittels des so genannten „Probe Network“, das aus mehr als zwei Millionen „Honeypot“ E-Mail-Konten in mehr als 20 Ländern besteht. Alle E-Mails, die diese Konten erreichen, werden durch Symantec Security Response im ehemaligen BLOC (Brightmail Logistics and Operation Center) protokolliert und analysiert. Neu identifizierte Spam-Varianten werden auf schnellstem Wege in der Spam-Datenbank gespeichert, und zirka alle zehn Minuten erhält der Kunde eine Aktualisierung.

Mit Symantec Network Security gegen Betriebsspionage
Im April 2005 wurde schließlich die Symantec Mail Security 8240 Appliance in Betrieb genommen. Die Einrichtung des Systems hat gerade einmal einen halben Tag gedauert. Die Schulung dazu noch einmal einen Tag. Die Appliances integrieren sowohl Symantec Brightmail AntiSpam als auch Virenschutztechnologien und setzen direkt am E-Mail- Gateway an. Die Antispam-Technologie kombiniert etwa 20 Filtermethoden und erreicht eine Erkennungsrate von rund 95 Prozent. Wichtiger jedoch für ein mittelständisches Unternehmen wie Siedle ist eine gleichzeitig möglichst geringe Falscherkennungsrate (False Positive). Es ist fatal, wenn ein Spam-Filter neben dem ganzen digitalen Werbemüll auch wichtige Mails herausfiltert, nur weil er in der Betreffzeile eine verdächtige Buchstabenkombination entdeckt und die Mails vorschnell löscht. Symantec Brightmail AntiSpam hat mit 99,9999 Prozent die niedrigste False Positive Rate aller Antispam- Technologien. Das liegt vor allem darin begründet, dass die Anti-Spam-Technologie von Symantec zu einem wesentlichen Teil mit einem Reputationsfilter arbeitet – und damit können schon zirka 75 Prozent der Spam-Mails herausgefiltert werden. Der Reputationsfilter wird als eine der ersten Filterstufen eingesetzt. Er basiert auf der oben beschriebenen Echtzeit-Spam-Datenbank und gleicht Informationen, unter anderem die Quelle hereinkommender E-Mails, mit bereits bekannten Spam-Mail Quellen ab und blockiert diese dann gegebenenfalls. Er gilt als die genaueste und leistungsfähigste Filtermethode. Der heuristische Filter, der bestimmte Spam-Muster und Merkmale abgleicht, arbeitet wesentlich ungenauer, bedeutend weniger performant und ist häufiger für Falschmeldungen verantwortlich, er kommt daher bei der Symantec-Lösung erst gegen Ende des Filterprozesses zum Einsatz. Er ist für die Erkennung eines Ausbruchs einer Spamwelle verantwortlich, wenn noch keine Reputationsinformationen vorliegen sollten. Ebenso wie die Spam-Abwehr geschieht auch der Virenschutz bei der Symantec Mail Security 8200er- Serie direkt am Gateway und somit in Echtzeit.

Neben den Appliances wacht bei Siedle & Söhne noch die Intrusion Detection Lösung Symantec Network Security über die IT-Sicherheit. Die IDS-Lösung überprüft bis zu zwei Gigabit Netzwerkdaten pro Sekunde und gleicht sie zum Beispiel mit den offiziellen RFCRichtlinien ab. In diesen Richtlinien sind unter anderem die Spezifikationen für Internetprotokolle festgelegt. Das Tool ist nicht nur signatur-basiert, sondern registriert zum Beispiel auch Protokoll-Anomalien. „Der Datenverkehr lässt sich mit Symantec Network Security sehr gut auswerten. Allerdings ist das Werkzeug recht arbeitsaufwändig. Das könnte automatischer gehen“, erklärt Späth. Späth hat von seiner acht Mann starken Crew einen Mitarbeiter für die Auswertung der Protokolle und den Virenschutz abgestellt. „Aber den Aufwand ist es mir wirklich wert“, erklärt er und fügt hinzu: „Betriebsspionage ist bei einem Mittelständler wie uns ein brenzliges Thema. Da darf man keine Risiken eingehen. Und bislang hatten wir glücklicherweise keinen Vorfall.“

Lohnende Investitionen
Bernhard Späth schätzt, dass sich die Investitionen in Symantec Network Security und in die Appliances in kürzester Zeit amortisieren werden. Er hat für die Appliances zwischen 500 und 600 Lizenzen für drei Jahre geordert – 350 Lizenzen für Siedle selbst und je 100 für die Tochterunternehmen. „Wenn ich bedenke, wie viel Speicher und Serverkapazitäten durch diese 35.000 Spam-Mails im Monat belegt werden und wie sehr dies die Aufmerksamkeit der Mitarbeiter bindet, könnte man sagen, dass eine Spam-Mail alles in allem bis zu fünf Euro Kosten verursachen kann“, sagt er. Dies ergäbe Kosten in Höhe von 175.000 Euro im Monat. Auch wenn diese Kosten pro Spam recht hoch gegriffen erscheinen, ein anderes Rechenbeispiel gibt den Einschätzungen des IT-Leiters Recht: Ist kein Spam-Schutz vorhanden, verbringt nach offiziellen Annahmen jeder Mitarbeiter, abgesehen von den IT-Administratoren, rund 15 Minuten pro Tag mit dem Filtern und der Bearbeitung von Spam-Mails. Bei den 530 Mitarbeitern von Siedle bedeutet dies ein Arbeitsaufwand von 132,5 Stunden täglich und durchschnittlich 2.915 verlorene Arbeitsstunden im Monat. Setzt man dafür einen durchschnittlichen Stundenlohn von 50 Euro an, ergibt dies monatliche Kosten von 145.750 Euro. Diesen Kosten stehen für IT-Leiter Späth Investitionen in Höhe von rund 11.000 Euro für die Appliances, inklusive der Lizenzen für drei Jahre, gegenüber.

In den letzten 3 Jahren hat Späth das gesamte Datennetz des Unternehmens erneuert. Bei Siedle stehen die Zeichen auf Expansion. Der Exportanteil am Umsatz liegt bei 16 Prozent und soll in den nächsten Jahren weiter gesteigert werden. Dementsprechend ist es eine der Aufgaben von Späth sich um die Einbindung der ausländischen Niederlassungen zu kümmern. „Österreich ist bereits fertig. Dieses Jahr kommen die Niederlande und Belgien. Dänemark soll im nächsten Jahr eingebunden werden“, erklärt er.

Die Niederlassungen in Deutschland sind schon in das Netzwerk integriert und mit einer sicheren VPN-Verbindung inklusive Firewall von Symantec angebunden. Für die Zukunft plant Späth die Investition in eine Lösung zur automatischen Softwareverteilung. Ebenso wäre für ihn eine Inventarisierungslösung interessant. „Das kommt auf uns zu, aber die sind noch sehr teuer“, stellt er fest.

Sitz der deutschen Firmenzentrale:
Symantec (Deutschland) GmbH, Lise-Meitner-Strasse 9, 85737 Ismaning
Telefon: +49 (0) 89 / 9458-3000
Telefax: +49 (0) 89 / 9458-3040

Sitz der Presseabteilung:
Symantec (Deutschland) GmbH, Kaiserswerther Straße 115, 40880 Ratingen

Ihr Ansprechpartner (NUR PRESSE!) für Rückfragen:
Corinna Pradel
Pressereferentin
Telefon: +49 (0) 21 02 / 7453-874
Telefax: +49 (0) 21 02 / 7453-922
E-Mail: corinna_pradel@symantec.com