Von: Dr. Johannes Wiele und Bettina Weßelmann
IT-Sicherheit galt lange als ein Zustand der Unverletztlichkeit eines Netzwerks, der mit Produkten wie Firewalls und Viren-scannern ein für allemal hergestellt werden sollte. Dieser Traum ist ausgeträumt. Die Anwender benötigen heute Security-Tools, die sich der Gefahrenlage anpassen, auf die individuellen Risiken einstellbar sind und schnelle Reaktionen im Falle eines Angriffs unbekannter Art erlauben. Wir wollen herausfinden, ob die Hersteller ihre aktuellen Entwicklungen bereits auf diesen Paradigmenwechsel abgestimmt haben.
Dem Besuch bei Network Associates sehen wir mit Spannung entgegen, denn das Unternehmen steckt in einem interessanten Umstrukturierungsprozess: Die Business-Unit der PGP-Desktop-Produkte soll an einen anderen Hersteller verkauft werden, die Firewall "Gauntlet" ist bereits bei Secure Computing zu haben, und die nun übrigen Sicherheitsprodukte hat der Anbieter im Unternehmensteil "Mc Afee Security" zusammengefasst. Derzeit bemüht man sich, das Spin-Off "Mc Afee.Com" zurückzukaufen, das PC-Sicherheitsmanagement übers Internet anbietet.
Public-Relation-Manager Tony Thompson hat einen Termin mit Arvind Narain arrangiert, Senior Vice President Brand Management Mc Afee Security. Narain warnt uns, dass er ein gefürchteter Schnell- und Vielredner sei - und startet tatsächlich sofort zu einer Tour de Force durch Unternehmens- und Produktstrategie. "Wir wollen uns nicht mehr dort engagieren, wo wir lediglich mithalten können", erläutert er die Umstrukturierungen.
Network Associates sieht seine Zukunft im Bereich "Intrusion Prevention". "Wir reagieren darauf, dass Angriffe heute auf Kombinationen verschiedener Methoden beruhen", erklärt Narain. Moderne Viren wie Code Red oder Sircam, die sich verändern und tarnen, würden oft als Tools für gezielte Denial-of-Service-Attacken und ähnliche Zwecke eingesetzt.
Darüber hinaus gebe es mehrere Faktoren, die die Abwehr von Gefahren weiter erschwerten: Moderne Kommunikation etwa verlange nach immer reichhaltigerem Content, der auch aktive Elemente umfasse. Zu den ASCII-Zeiten führe kein Weg mehr zurück. Was den Mobilfunk betrifft, so überrascht uns Narain nach den pessimistischen Äußerungen der Gesprächspartner von Tarantella und Epiphany (Teil 2/3 in Heft 13/14) mit einer äußerst positiven Sicht der künftigen Entwicklung: Innerhalb von drei Jahren werde der Faktor "Daten" den Faktor "Stimme" hinter sich gelassen haben, begeistert er sich, und in den digitalen "3G"-Netzen der Zukunft werde multimediales Instant Messaging so wichtige Inhalte transportieren, dass man die Systeme mit hohem Aufwand sichern müsse - nicht zuletzt gegen Denial-of-Service-Attacken.
Solchen Szenarien will Network Associates schon heute gerecht werden. "Der E-Policy-Orchestrator, der mit Mc Afee- und Symantec-Virenscannern neue Signaturdateien auf Knopfdruck verteilt und Personal Firewalls so steuert, dass im Notfall Kommunikationskanäle komplett gesperrt werden können, ist angesichts der Bedrohungslage ein zentrales Produkt", erläutert Narain. Das System generiert auch Reports, nutzt das Produkt Threatscan zur Suche nach Sicherheitslücken und setzt im ganzen Netz durch, dass Sicherheitsrichtlinien eingehalten werden - selbst auf mobilen Rechnern, die nur zeitweise mit dem Netz verbunden sind.
"Im Sicherheitsbereich spielt in Zukunft die Zusammenarbeit verschiedener Produkte eine immer größere Rolle, weshalb bereits Schnittstellen zu den Netzwerkmonitoring-Produkten der Business Unit Sniffer Technologies und zu hostgestützten Systemen von Internet Security Systems bestehen", führt Narain weiter aus.
Stolz weist der Manager daraufhin, dass die Entwicklung des E-Policy-Orchestrators auf Forderungen und Vorschläge des europäischen Kundenbeirats zurückgehe. Zukünftige Aufgaben seien die Weiterentwicklung von Behaviour-Blocking-Funktionen und die Vereinfachung des Sicherheitsmanagements durch Standardvorlagen für Sicherheitsrichtlinien.
Neue Netzstrukturen in Sicht
Für die drei letzten Firmen unserer Reise - RSA Security, Checkpoint und Qualys - verlassen wir die Wüstenstadt Milpitas und ziehen nach San Francisco um. Golden Gate, Cable Cars, viktorianische Architektur: Außerhalb der Hightech-Atmosphäre des Silicon-Valley fällt es leichter, die bisher gesammelten Eindrücke kritisch zu prüfen. Ähnlich wie Nokia geht Network Associates offenbar davon aus, dass mobile Anwendungen das Gesicht künftiger Netzwerke grundlegend verändern werden. Heute findet die Arbeit innerhalb einer Organisation überwiegend in einem abgeschotteten, fest verdrahteten Netzwerk statt, während der Remote-Zugriff die Ausnahme bildet. Werden die Clients aber mobil, bekommen die Virtuellen Privaten Netze eine ähnliche Bedeutung wie ihre realen Vorbilder, die weiterhin als Heimat der Server fungieren. Neben zentralisiertem Sicherheitsmanagement für Clients spielen dann ausgefeilte Authentifizierungs- und Autorisierungslösungen eine wichtige Rolle.
C. Victor Chang, Vice President & General Manager Developer Solutions / Encryption Division, John J. Wang, Director of Engineering in San Mateo, Kim Detgen, Product Marketing Manager und Sandra Tom LaPedis, Esq., Area Vice President Americas Marketing (v.l.n.r.).
Für letzteres ist RSA Security der richtige Ansprechpartner. Die Niederlassung in San Mateo liegt auf einer Anhöhe und erlaubt einen weiten Blick über das nördliche Silicon Valley und die San Francisco Bay. Hier sitzen uns gleich vier Firmenvertreter gegenüber: C. Victor Chang, Vice President & General Manager Developer Solutions / Encryption Division, John J. Wang, Director of Engineering in San Mateo, Sandra Tom LaPedis, Esq., Area Vice President Americas Marketing und Kim Getgen, Product Marketing Manager.
In dieser Runde entspinnt sich zuerst ein Gespräch übers mobile Business. "Für mich ist ein PDA noch nicht mehr als ein intelligentes Telefonbuch", schlägt sich Kim Detgen auf die Seite der eher verhaltenen Einschätzung mobiler Anwendungen zum jetzigen Zeitpunkt. Für mehr reiche die Sicherheit noch nicht. "Die Devices durch Integration starker Zwei-Faktor-Authentifizierung und digitaler Signatur Business-tauglich zu machen, ist zurzeit unsere spannendste Aufgabe", fügt sie aber schnell hinzu. RSA arbeitet dazu mit verschiedenen Handy-Herstellern zusammen. "Authentifizierung, Autorisierung und das Identitätsmanagement im E-Business, wie wir es im Zusammenhang mit der Liberty Alliance weiterentwickeln, gewinnen schnell an Bedeutung", schlägt C. Victor Chang den Bogen zur Zukunft der Sicherheitstechnik, "und gleichzeitig tritt die klassische Perimetersicherheit wie die Corporate Firewall in den Hintergrund." Das lässt an Network Associates denken: Hat man sich dort der Gauntlet-Firewall vielleicht auch deshalb entledigt, weil man ein wenig zukunftsträchtiges Produkt loswerden wollte?
John J. Wang wirft ein, dass auch in den USA Projekte wie die elektronische Steuererklärung noch nicht übers Pilotstadium hinauskämen. Hemmnisse fürs E-Business gibt es also auch in der kabelgebundenen Kommunikation noch genug. "Solche Anwendungen müssen Zeit und Geld zugleich sparen, damit sie überhaupt angenommen werden", meint Wang. "Die These, dass erst IT-Sicherheit das E-Business voranbringt, ist zwar schon drei oder vier Jahre alt, aber die Kunden verstehen sie erst jetzt", erklärt sich Detgen die langsame Entwicklung im Markt. Als Beispiel für den Nachholbedarf nennt sie die Blue Card von American Express, die bisher kaum ein Besitzer als Smartcard für elektronische Transaktionen benutze.
"Den Endanwendern sollen die Sicherheitsmechanismen so wenig wie möglich auffallen", meldet sich Sandra Tom LaPedis zu Wort, "aber bei Business-Kunden müssen die Security-Anbieter mehr dafür tun, dass das Thema Sicherheit überhaupt ernst genommen wird." Ihr Unternehmen veranstaltet dazu seit elf Jahren die RSA Konferenz, die als Treffen von 50 Verschlüsselungsspezialisten in einem einzigen Hotelraum begann und heute mit Tausenden von Teilnehmern die vielleicht wichtigste IT-Sicherheitsveranstaltung weltweit darstellt. "Wir bieten aber auch Webseminare an und veröffentlichen Bücher", ergänzt Detgen, "auf diesen Wegen kommen wir mit Entwicklern ins Gespräch."
Die Frage, ob Tokens, die seit langem einen wichtigen Anteil am RSA-Geschäft haben, bald durch Smartcards abgelöst würden, beantwortet Wang mit einem klaren "Nein". "Erstens kann man nicht überall Kartenlesegeräte einsetzen", begründet er seine Meinung, "und zweitens werden Tokens zum Beispiel als integraler Bestandteil von mobilen Devices weiter existieren." An Bluetooth-fähigen Telefonen werde dies bereits erprobt.
Chang meint, im IT-Sicherheitsmarkt müsse vor allem so bald wie möglich der Paradigmenwechsel vom Schwarz-weiß-Denken zum Risikomanagement gelingen. "Absolute Sicherheit anzustreben hilft niemandem", betont er.
Need for speed ist sekundär
Die These, dass Perimetersicherheit an Bedeutung verliert, nehmen wir mit zum Marktführer auf diesem Gebiet. Der Firewall-Hersteller Checkpoint entwickelt seine Systeme in Israel, unterhält aber eine Niederlassung in Redwood City. Sie liegt fast im Schatten der Hochhäuser des Oracle-Campus. Dort könne man sich schon mal als Mitarbeiter einschleichen und von der guten Kantine profitieren, schmunzelt Jennifer Davick, PR-Managerin des Unternehmens. Greg Smith, Director Product Marketing, nimmt sich sofort der Frage nach der Perimetersicherheit an. "Es gibt keine Abkehr von Corporate Firewalls", erklärt er, "denn die Unternehmen müssen auch für die zukünftigen mobilen Anwendungen ihre zentralen Infrastrukturen behalten und sogar ausbauen, wobei vermehrt auch interne Firewalls nötig werden. "
Das wichtigste aktuelle Thema im Bereich Security, meint er wie viele unserer Gesprächspartner, ist Sicherheitsmanagement. Vereinheitlichungen seien dort allerdings schwierig, denn die Hersteller - Checkpoint eingeschlossen - betrachteten auch die Bedienungskonsolen als Teil ihrer Produkte und würden nicht alle Funktionen für ein Management durch Spezial- oder Konkurrenzsysteme frei-geben.
"All-in-One-Appliances können auch keine Abhilfe schaffen, da vor allem die Großunternehmen keine Kompromisse bei der Qualität einzelner Funktionsbereiche eingehen dürfen", ist Smith überzeugt. Assistenten und Policy-Vorlagen werde es in Zukunft allerdings immer häufiger geben, und den VPN-Aufbau könne man deutlich vereinfachen. "Das wichtigste Kriterium für die Auswahl von Lösungen ist aber immer noch deren Sicherheit", betont Smith. Ein Beleg dafür sei auch der nach wie vor kleine Markt für Gigabit-Firewalls, der belege, dass Geschwindigkeit eine sekundäre Rolle spiele.
Die automatisierten Hacker
Ob eine Sicherheitslösung wirklich gut ist, findet man durch Tests heraus. Unsere letzte Tour ins Valley führt deshalb nach Redwood Shores zum Vulnerability-Assessment-Anbieter Qualys. Das Unternehmen bietet automatisierte Hacking-Versuche an, um die Netze auf Angriffsmöglichkeiten zu untersuchen, ohne Schaden anzurichten. Philippe Courtot, Chairman und CEO des Unternehmens, und Gerhard Eschelbeck, Vice President Engineering, erweisen sich schnell als charmante Gesprächspartner, die viel über die aktuelle Situation der Firmen im Silicon Valley zu erzählen haben (diesen Teil der Diskussion finden Sie als News-Beitrag auf Seite 12).
Bei Nokia (Reportage in Heft 12) hatten unsere Gastgeber Zweifel am Erfolg von Vulnerability-Assessment-Angeboten angemeldet: Die Netzwerkverantwortlichen würden sich ungern in Verlegenheit bringen lassen.
Dem widerspricht Courtot: "Die Unternehmen wissen längst, dass sie den Status ihrer Sicherheitseinrichtungen immer wieder prüfen müssen." Eschelbeck fügt hinzu: "Manche Unternehmen wissen nicht einmal, welche Systeme bei ihnen Internetzugang haben." Auf Vulnerability-Assessment zu verzichten und stattdessen ein Intrusion-Detection-System (IDS) einzusetzen, wie es manchmal empfohlen werde, sei unsinnig: "IDS erkennt Angriffe, die bereits stattfinden, aber mit uns finden Sie die Sicherheitslücken vorher", stellt Eschelbeck klar.
"Zu unseren wichtigsten Zielen gehört es allerdings auch, Sicherheitsbewusstsein zu schaffen", ergänzt Courtot. Im Web stellt das Unternehmen deshalb eine Anwendung zur Verfügung, die kostenlose Sicherheitsüberprüfungen beliebiger Internet-Browser durchführt. "Vulnerability Assessment für jedermann ist unsere Vision", bekräftigt Eschelbeck.
Einige Tage später beweist Qualys mit der Konferenz "Fortifying our Networks" in San Francisco, dass es tatsächlich ein wachsendes Interesse an Vulnerability Assessment gibt. Techniker des Unternehmens erklären etwa 150 Zuhörern ausführlich die Verfahren ihrer Auto-Hacks, und Anwender wie Derrick Donnelly, Security-Verantwortlicher bei Apple, sowie Analysten wie Allan Carey von IDC teilen ihre Erfahrungen und Ansichten zum Thema mit.
Dass die Unternehmen intensiv über die Dienste nachdenken, zeigen die Fragen nach dem Datenschutz: "Was geschieht mit den Informationen, die Qualys über die Verwundbarkeit einzelner Netze sammelt?", will man wissen. Der Anbieter beruhigt: Die Daten befänden sich zwar auf Qualys-Servern, seien aber nicht einmal den eigenen Mitarbeitern zugänglich, sondern nur mit den Schlüsseln der Anwender aufzurufen. Wer IT-Sicherheit will, muss immer irgendjemandem vertrauen.
Zur Person
Bettina Weßelmann
ist freie IT-Fachjournalistin und Fachbuchautorin in München.