Für das kommende IT-Sicherheitsgesetz sollten Unternehmen jetzt IT-Sicherheitsprozesse optimieren, bevor sie später überstürzt handeln müssen.
Für viele Unternehmen heißt es nun, mögliche Löcher in der eigenen IT-Security möglichst zügig zu stopfen. Foto: Willi Kreh
Europa liegt im Dunkeln, Hacker haben das gesamte Stromnetz lahmgelegt - so beginnt der Roman "Blackout" von Marc Elsberg. Um solche Szenarien nicht Realität werden zu lassen, hat die Bundesregierung am 17. Dezember 2014 die Einführung des IT-Sicherheitsgesetzes beschlossen. Es sieht vor, dass Betreiber "kritischer Infrastrukturen" diese entsprechend vor Hackerangriffen schützen und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen.
Von dem neuen Gesetz werden alle Unternehmen, deren IT-Verfügbarkeit sich auf das Gemeinwohl auswirkt, betroffen sein. Bereits im Gesetzesentwurf wurden relevante Branchen aufgelistet: Energieversorger, Informationstechnik, Transport und Verkehr, die medizinische Versorgung, die öffentliche Wasserversorgung, die Landwirtschaft sowie der Finanzsektor. Viele der Unternehmen haben ein völlig anderes Geschäftsfeld als den sicheren Betrieb von IT, und werden sich daher auf die neuen Anforderungen hinsichtlich der Erstellung von IT-Sicherheitskonzepten einstellen müssen. Darüber hinaus verweist das Gesetz darauf, dass Sicherheitsvorfälle beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind. Welche Vorfälle gemeint sind, ist dabei noch nicht genau spezifiziert.
Security-Prozesse werden stichprobenartig geprüft
Der Verlauf der Diskussionen lässt vermuten, dass das IT-Sicherheitsgesetz noch 2015 verbindlich in Kraft treten soll. Alle diejenigen Unternehmen, die beispielsweise Sicherheitsstandards wie ISO 27001 umgesetzt und zertifiziert haben, erbringen demnach den Nachweis nach anerkannten Informationssicherheitsprozessen zu arbeiten. Bei den übrigen soll das BSI die Einhaltung von Security-Prozesse prüfen: Was passiert, wenn Anomalien in der Datenverarbeitung auftreten? Wie qualifiziert und bewertet die Security-Abteilung solche Vorgänge und wie leitet sie diese fristgerecht an das BSI weiter? Wer ist verantwortlich für die Einhaltung dieser Prozesse? Mit diesen Themen sollte sich jedes Unternehmen vorab auseinandersetzen und Antworten finden.
Die besten Security-Appliances
Die besten Security-Appliances In großen und komplexen Netzwerken mit hohem Datenaufkommen ist es sinnvoll, Sicherheitsfunktionen wie die Firewall oder den Virenschutz in eigene Appliances auszulagern. Wir stellen verschiedene dieser Sicherheitslösungen vor.
Check Point 1100 Für die Außenstelle hat Central Point die UTM-Appliances der 1100er-Serie im Programm. Das Einstiegsmodell mit 10 GBit-Ethernet-Ports liefert eine Threat-Prevention für Büros mit bis zu 50 Mitarbeitern und dient auch gleich als sicherer WLAN-Access-Point. Optional ist das Gerät auch mit integriertem ADSL-Model verfügbar.
Check Point 41000 Am entgegengesetzten Ende der Check-Point-Modellpalette liegen die Enterprise- und Carrier-Systeme. Das modulare 41000 Security System ist für einen Firewall-Durchsatz von bis zu 40 Gbps ausgelegt. Das System ist über sogenannte Software Blades erweiterbar. In der Grundversion stehen die folgenden Funktionen bereits bereit: Firewall, IPsec VPN, Identity Awareness, Advanced Networking sowie Acceleration & Clustering.
Cisco ASA5500 Ciscos Next-Generation-Firewalls der 5000er-Serie für Kleinunternehmen oder Filialen reichen vom Einstiegsmodell ASA 5505 mit einem Stateful-Inspection-Durchsatz von 150 Mbps bis hin zur ASA 5515-X, die 1,2 Gbps bewältigen kann.
Cisco ASA5585-X Die Enterprise-Firewall ASA 5585-X von Cisco wird mit verschiedenen Service-Modulen kombiniert. In der hier abgebildeten Spitzenversion mit dem Security Services Processor-60 (SSP-60) liefert die Next-Generation-Firewall eine Stateful-Inspection-Firewall-Performance von bis zu 40 Gbps.
Dell SuperMassive 9800 Die SuperMassive 9800 ist das neue Spitzenmodell unter den Next-Generation-Firewalls der 9000er-Serie von Dell. Sie soll bis zu 20 Gbit/s Leistung bei der Deep-Packet-Inspection bringen.
Fortinet FortiGate 5000 Laut Fortinet ist die FortiGate 5144C die erste Firewall mit einem Durchsatz von mehr als einem Terabit pro Sekunde. Das FortiGate-5144C-Chassis bietet Platz für bis zu 14 Security-Blades, mit dem FortiController-5913C kann auch ein 100-GbE-Controller eingesetzt werden.
Fortinet FortiWiFi 60D Die FortiWiFi-60D-Appliance gehört zur Connected-UTM-Serie von Fortinet. Das Gerät ist für den umfassenden Schutz kleinerer Firmen und Zweigstellen bestimmt und bietet neben sieben Gigabit-Ethernet-Ports auch einen WLAN-Access-Point, der 802.11n auf beiden Bändern unterstützt.
Netgear UTM25S Die Geräte aus Netgears UMT-S-Serie sollen den bisherigen Router ersetzen und so für Kleinbetriebe, Zweigstellen und auch Privatanwender eine umfassende Sicherheitslösung darstellen. Das UMT25S bietet zwei GBit-WAN und vier GBit-LAN-Ports und unterstützt zudem den 802.11n-WLAN-Standard auf dem 2,4- und dem 5-GHz-Frequenzband.
McAfee M-4050 Die McAfee-Appliance M-4050 ist ein Intrusion Prevention System mit integrierter Network-Access-Control-Funktion. Damit soll die Appliance das Netzwerk nicht nur vor Angriffen von außen schützen, sondern auch die Verwendung nicht genehmigter Endgeräte im Firmennetzwerk unter Kontrolle halten.
McAfee N-450 Die McAfee-Appliance N-450 ist ein Bespiel für hochspezialisierte Security-Appliance: Sie ist eine reine Network-Access-Control-(NAC) Appliance die sicherstellen soll, dass nur bekannte und sichere Endgeräte Zugriff auf das Firmennetzwerk erhalten. Für Gäste und externe Dienstleister können auf Regeln basierende Zugriffsrechte definiert werden, die sie etwa auch ein spezielles Gast-Portal weiterleiten.
McAfee Next Generation Firewall McAfee hat Entwicklung effektiver Next-Generation-Firewalls den finnischen Anbieter Stonesoft gekauft. Eines der Resultate aus dieser Übernahme sind die Firewall-Appliances der 3200-Serie. Mit einem Stateful-Inspection-Durchsatz von bis 30 Gbps sind sie für den Schutz größerer Netzwerke ausgelegt.
WatchGuard FireboxT10 Die Lösung Firebox T10 hat WatchGuard speziell für SOHO- (Small and Home Office), Einzelhandels- und Filialumgebungen entwickelt. Egal ob stand-alone betrieben oder von der Unternehmenszentrale aus gesteuert: Die Appliance bietet einen theoretischen Firewall-Durchsatz von 200 Mbps beziehungsweise eine 55 Mbps UTM-Performance und verfügt über drei 1-Gigabit-Ethernetports. Konfigurationswerkzeuge und WatchGuards RapidDeploy-Technologie helfen Netzwerkadministratoren, die Firebox T10 in kurzer Zeit per Fernzugriff in Betrieb zu nehmen.
WatchGuard Firebox M440
Palo Alto Appliance PA-5060 Der Firewall-Durchsatz beträgt 20 Gbps.
Rechtzeitige Planung sorgt für Gestaltungsfreiheiten
Wenn ein Unternehmen diese Fragen rund um die eigene IT-Sicherheit nicht eigenständig angehen kann, zum Beispiel weil das interne Know-how nicht vorhanden ist oder hierzu erforderliche Mittel fehlen, empfiehlt es sich, eine externe Beratung aufzusuchen. So können Unternehmen erfahren, ob sie unter das IT-Sicherheitsgesetz fallen werden und wie sich ein Informationssicherheits-Managementsystem aufbauen und implementieren lässt. Da die Planungsphase für ein solches Konzept erfahrungsgemäß mindestens ein Quartal und die Implementierung ein weiteres beanspruchen kann, sollten Unternehmen jetzt handeln. Für alle am Rande betroffenen Unternehmen, beispielsweise Dienstleister meldepflichtiger Unternehmen, empfiehlt es sich, zumindest den aktuellen Diskussionen in den Medien zu folgen und die Anforderungen der Kunden zu erfragen. (bw)