Von: Dr. Johannes Wiele
In den vergangenen Monaten hat sich das Arbeitstempo der Sicherheitsbranche weiter vergrößert. Appliances sind schneller geworden, Intrusion Detection zeigt mehr Intelligenz, und der Virenschutz geht immer weniger Schadprogrammen auf den Leim. Bei den Anwendern allerdings hapert es gar nicht so sehr an der Leistung einzelner Komponenten. Was fehlt, sind Konzepte, die auch "weiche" Faktoren wie die Beteiligung der Mitarbeiter einbeziehen. Außerdem verlangt moderne IT-Sicherheit nach Weitblick und flexiblen Produkten, die auch neuen Herausforderungen wie der Zunahme von webgestützter Zusammenarbeit, Heimarbeitsplätzen und mobilen Mitarbeitern gerecht werden.
Erst einmal hätten deshalb die Integratoren, Systemhäuser und Sicherheitsberater eine Auszeichnung verdient, denn sie machen aus dem "Gemischtwarenladen" der IT-Security-Industrie maßgeschneiderte Lösungen. Die Auswahl der NetworkWorld allerdings befasst sich mit Herstellern, die selbst in irgendeiner Form den Übergang vom produktorientierten Denken zur echten Risikoabschätzung und Sicherheitsplanung gefördert haben. Leider reicht der Platz bei weitem nicht aus, es hätten deutlich mehr Firmen eine Erwähnung verdient.
Mobile ist mehr als Mode
Sicherheit für Mobile Devices galt 2001 noch als exotisches Thema. F-Secure tat sich in diesem Bereich sehr früh hervor und präsentierte Antivirus-Lösungen für portable Geräte. Die Konkurrenz betrachtete dieses Engagement mit Stirnrunzeln: "Das ist ein Markt, den F-Secure geschaffen hat", meinte beispielsweise Raimund Genes von Trend Micro - einem Unternehmen, das mit seinem Sicherheitsportfolio für Großkunden und seiner Marktführerschaft im Bereich Gateway-Virenscanner selbst zu den interessanten Anbietern im Markt gehört. F-Secure aber hat ganz richtig erkannt, dass sich der "Mobil-Hype" zu einem realen Trend auswachsen würde. Zumindest zwei Einsatzgebiete für sichere Verbindungen zwischen Mobile Devices und Servern werden zurzeit ernsthaft geprüft: Mobile Banking auf der einen Seite und tragbare Rechner als Clients im Unternehmensnetz auf der anderen Seite. Der Vorstoß von F-Secure hat dazu beigetragen, dass in diesen Bereichen bereits Erfahrungen mit der Sicherheitsproblematik bestehen und ernst zu nehmende Lösungen von verschiedenen Anbietern zur Verfügung stehen.
Die Branche braucht Diskussionsplattformen
RSA Security soll hier nicht wegen seines anerkannten Angebots an Autorisierungs- und Authentifizierungslösungen erwähnt werden, sondern weil das Unternehmen so ganz nebenbei eines der weltweit wichtigsten IT-Sicherheits-Events veranstaltet, die die Branche kennt. Die RSA-Konferenz hat ein einzigartiges Gepräge, weil das Unternehmen tief in den Ursprüngen der asymmetrischen Verschlüsselung und der PKI-Lösungen verwurzelt ist. Deshalb kann RSA regelmäßig darauf zählen, dass sich die "Grand Old Men" der Verschlüsselung als Referenten und Diskussionsteilnehmer auf der Veranstaltung einfinden und dort auch die Berührungspunkte der IT-Sicherheit mit Politik und Gesellschaft ausloten. Diesen Blick über den Tellerrand braucht die Branche, um das technisch Machbare mit dem wirklich Nützlichen abzugleichen. Darüber hinaus ist die Konferenz inhaltlich anspruchsvoll, herstellerneutral und eignet sich für deutsche Unternehmen als Sprungbrett in die USA.
Realismus statt "Kopf durch die Wand"
Surfcontrol, Anbieter für Content Filter, hat bereits über den Tellerrand geblickt. Das Unternehmen gerät mit seinen Lösungen zwangsläufig mit dem Mitarbeiterdatenschutz in Konflikt, hat sich mit diesem Thema aber sehr früh aktiv auseinandergesetzt und dabei Kontakt zur Dienstleistungsgewerkschaft Verdi aufgenommen. Dies muss mit einem gewissen Nachdruck geschehen sein, denn bei einem Interview zum Thema "Mitarbeiterdatenschutz" (NetworkWorld 06/07, S. 7) erinnerten sich die Informationstechnik-Spezialisten der Gewerkschaft prompt an diesen Anbieter. Surfcontrol steht mit seinen Anstrengungen allerdings nicht allein da, denn nahezu alle in Deutschland aktiven Content-Filter-Anbieter haben ihre Lösungen inzwischen den Datenschutzbedingungen angepasst und bemühen sich redlich, das "Zensor"-Image hinter sich zu lassen. Die Zusammenarbeit mit Betriebsräten und Datenschützern ist selbstverständlich geworden. Unternehmen können deshalb mehr Projekte zügig umsetzen und Sicherheitslücken schneller schließen.
Die langjährigen Erzfeinde Informationstechnik und Datenschutz wachsen auch auf anderen Terrains langsam zusammen, seitdem feststeht, dass ernst gemeinter Datenschutz die Kernbedingung für eine wachsende IT- und Netzwerkakzeptanz in der Bevölkerung darstellt. Vor allem E-Commerce-Firmen schätzen deshalb Systeme, deren Kompatibilität mit dem europäischen Standard werbewirksam ausgenutzt werden kann. In Deutschland geht Fraunhofer SIT nun noch einen Schritt weiter und verdient sich dabei einen "Top"-Punkt: Auf der CeBIT stellte das Unternehmen seine DaSIT-Software vor, die sogar anonyme Transaktionen ohne Einbußen an Zahlungssicherheit erlaubt und den Anbietern sogar profilgestütztes Customer Relationship Management ermöglicht, ohne dass sie die realen Namen ihrer Kunden kennen müssen. International verfolgt die Liberty Alliance ähnliche Ziele und arbeitet deshalb an Spezifikationen für eine offene Identity-Management-Plattform.
Zusammenarbeit trotz Wettbewerb
Checkpoint und Stonesoft in einem Atemzug zu nennen mag etwas gewagt erscheinen. Immerhin endete erst vor kurzem eine Auseinandersetzung zwischen den beiden Anbietern, mit der sich sogar die EU-Kommission zu beschäftigen hatte. Stonesoft stellte 2001 eine Hochverfügbarkeits-Firewall vor und trat damit aus dem Schatten von Checkpoint und anderer Hersteller heraus, deren Systeme es bis dahin mit Hochverfügbarkeits-Zusatzlösungen versorgt hatte. Checkpoint, als Dauer-Marktführer bei Firewalls ohnehin ein unumstrittenes Top-Unternehmen der Sicherheitsbranche, fand sich mit der unerwarteten Konkurrenz offenbar nicht sofort ab und versuchte nach Stonesoft-Darstellung seine Channel-Partner dazu zu bewegen, keinesfalls auch das Angebot des neuen Mitbewerbs zu vertreiben. Die EU verlangte von Checkpoint am Ende eine Verzichtserklärung. Trotzdem arbeiteten die Kontrahenten im Rahmen der Opsec-Partnerschaft kontinuierlich zusammen. Die von Checkpoint ins Leben gerufene "Open Platform for Security" ist ein Beispiel dafür, dass offene Industriestandards in der Sicherheit von Vorteil sind - sie erlauben freien Wettbewerb und den Aufbau "runder" Sicherheitssysteme zugleich.
Neues für den Hochsicherheitstrakt
Ein gutes Sicherheitskonzept orientiert sich an den realen Risiken eines Unternehmens. Das amerikanische Unternehmen Whale Communications liefert Kunden mit hohem Sicherheitsanspruch eine "Internetschleuse" mit dem Namen "E-Gap". Das System besteht aus einem analogen Switch und einer RAM-Disk, die über SCSI-Interfaces abwechselnd mit einem Server im internen Netz und einem externen Server verbunden ist, der zum Beispiel in der demilitarisierten Zone platziert werden kann. Der Datendurchsatz beträgt dabei bis zu 100 Mbit/s. Den Switch bedient eine separate Logikschaltung, die nicht programmierbar ist und deshalb nicht durch Softwareattacken überlistet werden kann.
E-Gap schaufelt also Daten zwischen dem internen Netzwerk und Internet hin und her, ohne jeweils eine durchgängige Verbindung zwischen beiden Bereichen herzustellen. Was sich im Zwischenspeicher befindet, kann so intensiv wie nötig untersucht werden. Ist das Produkt aus irgendeinem Grund blockiert, besteht auch die Verbindung nicht, während normale Firewalls in diesem Zustand durchaus Pakete durchlassen können.
Noch radikaler geht übrigens das Trierer Instituts für Telematik vor. Der "Lock-Keeper" verwendet für die Trennung zwischen draußen und drinnen ein mechanisches Umschaltrelais.