Vertrauen ist gut, Kontrolle ist besser
Artikel erschienen in Swiss IT Magazine 2010/10
Unternehmer und IT-Verantwortliche stehen heute mehr denn je vor grossen Herausforderungen: Laut einer Studie von Goldman Sachs aus dem Jahr 2010 gehen 90 Prozent der Unternehmen davon aus, dass sie in den kommenden drei Jahren Cloud-Computing-Dienste nutzen werden. Wenn jedoch geschäftskritische Anwendungen wie Salesforce.com, Sharepoint oder SAP-Anwendungen in der Cloud betrieben werden, sind sie auch eine ideale Zielscheibe für Cyber-Kriminelle und Hacker.
Hinzu kommt eine Vielzahl weiterer Sicherheitsrisiken für Unternehmen: Mitarbeiter nutzen nicht nur die traditionellen Geschäftsanwendungen. Sie übertragen routinemässig Daten über ihre privaten E-Mail-Accounts von Yahoo oder Gmail, sie nutzen Peer-to-Peer-Anwendungen wie Limewire und Bittorrent. Sie laden Inhalte von Social Networking Sites wie Facebook oder Streams von Youtube.
Sofern diese Web-basierenden Anwendungen für den Geschäftsbetrieb eine Rolle spielen, muss ihnen eine entsprechende Bandbreite eingeräumt werden. Dennoch besteht die Gefahr, dass Schadprogramme ihren Weg ins Unternehmen finden, vertrauliche Informationen verloren gehen oder auch gesetzliche Vorgaben nicht eingehalten werden.
Um diese Probleme zu lösen, muss sich die Herangehensweise an das Thema Sicherheit ändern. So bietet die Perimeter-basierende Netzwerküberwachung alleine heute nicht mehr ausreichenden Schutz. Laptops, die den WiFi- beziehungsweise WLAN-Funknetzstandard nutzen, 3G/4G-Smartphones und eine dynamische Port-Wahl untergraben die herkömmliche Netzwerk- und Zugriffsüberwachung. Zudem ist eine dedizierte Vergabe der Bandbreiten notwendig, um den grösstmöglichen Netzwerkdurchsatz zu erzielen und produktives Arbeiten zu ermöglichen.
Application Intelligence geht über die einfache Port- oder Adress-Blockierung hinaus und leistet damit mehr als traditionelle Firewalls. Application Intelligence erkennt, kategorisiert und kontrolliert den Datenverkehr der Anwendungen. Damit kann der IT-Verantwortliche den Datenverkehr blockieren, einschränken und priorisieren. Handelt es sich zum Beispiel um Daten aus der SAP-Lösung, müssen diese bevorzugt behandelt werden. Sind es hingegen Daten von Youtube oder Limewire, kann man zu einem hohen Prozentsatz davon ausgehen, dass es sich um private Daten handelt. Mit einer Firewall, die den Datenverkehr der Anwendungen kontrolliert, können IT-Verantwortliche die neuen Herausforderungen bewältigen:
? P2P-Anwendungen im Griff behalten: P2P-Anwendungen benötigen eine hohe Bandbreite und können auch mit Malware infiziert sein. Zudem sind diese Anwendungen schwer zu kontrollieren, da Entwickler regelmässig die Ports ändern, um die Schutzmassnahmen der Firewalls zu umgehen. Ein Application-Intelligence-Gateway kann dank spezifischer Anwendungssignaturen auch P2P-Applikationen überwachen, die mehrere Portnummern öffnen und gleichzeitig flexibel Bandbreiten zuteilen. So kann eine Universität ihren Studenten beispielsweise lediglich zehn Prozent der vorhandenen Bandbreite für die Nutzung von Limewire gewähren. Zugleich kann die Bildungseinrichtung den Datenverkehr im Detail überwachen.
? Datenübertragungen beschränken: Die Übertragung grosser Dateien – sei es über FTP oder über P2P-Anwendungen – benötigt hohe Kapazitäten, sofern der Datenverkehr nicht effizient kontrolliert wird. Um den Versand übermässig grosser Dateien zu verhindern, können Administratoren eine Sicherheitsrichtlinie vorgeben, die den Filetransfer über FTP oder die Übertragung von P2P-Dateien auf eine bestimmte Grösse beschränkt.
? Streaming Media – nur für bestimmte Benutzergruppen: Auch Musik und Videos benötigen enorme Netzwerkkapazitäten und schmälern die Bandbreite, die für geschäftskritische Anwendungen notwendig ist. Ein Beispiel: Ein IT-Administrator in den USA benötigte für den Download einer Patch-Datei mehr als eineinhalb Stunden. Im Schnitt nimmt dieser Vorgang nur wenige Minuten in Anspruch. Er konnte zunächst nicht herausfinden, was die – sehr schnelle – Internetverbindung zum Flaschenhals machte. Letztlich stellte sich heraus, dass an diesem Tag die Saison der amerikanischen College-Ligen National Collegiate Athletic Association (NCAA) startete und die Mitarbeiter im Unternehmen mit den Downloads der Audio- und Videodaten das Netzwerk nahezu lahmlegten.
Ein Application-Intelligence-Gateway bietet eine detaillierte Kontrolle über Streaming Media und Social-Networking-Anwendungen. Zudem kann der IT-Administrator einer bestimmten Benutzergruppe wie der Marketing-Abteilung den Zugriff auf Youtube erlauben, um Werbevideos zu veröffentlichen und für andere Abteilungen im Unternehmen den Zugriff darauf einschränken oder gar vollständig untersagen.
? Vertrauliche Daten richtig schützen: Es kann natürlich auch passieren, dass vertrauliche Daten unabsichtlich über einen FTP-Upload oder als E-Mail-Anhang in falsche Hände geraten. Aber auch verärgerte Mitarbeiter oder Mitarbeiter, die Angst um ihren Arbeitsplatz haben, stellen eine Gefahrenquelle dar. Sie können sich problemlos und unauffällig Kundenadressen, Finanzzahlen des Unternehmens oder ähnlich geschäftskritische Informationen verschaffen. Eine Studie von Cyber-Ark Software aus dem Jahr 2008 besagt, dass die Hälfte aller Mitarbeiter, denen Gerüchte über eine Kündigung zu Ohren gekommen sind, wettbewerbsrelevante Unternehmensinformationen gestohlen haben. Deshalb ist es umso wichtiger, vertrauliche Dateien mit einem Wasserzeichen zu versehen und sie somit als geschäftskritische Information zu kennzeichnen. Diese Informationen können dann per E-Mail nicht mehr versandt werden.
? Gezielt den gesamten E-Mail-Verkehr überwachen: E-Mails, die nicht über das Mailsystem des Unternehmens übertragen werden, stellen eine weitere Gefahrenquelle dar. Zum einen setzen sich Anwender damit Sicherheitsrisiken wie beispielsweise Malware aus, zum anderen können Daten verloren gehen oder unabsichtlich an Dritte gelangen. Werden keine Schutzvorkehrungen getroffen, können Mitarbeiter im Unternehmen oder Partner vertrauliche Informa-tionen über SMTP und POP3-E-Mail oder auch ihre persönlichen Accounts von Diensten wie Hotmail oder Googles Gmail versenden. Dank Application Intelligence ist es möglich, den E-Mail-Verkehr, der über Third-Party-Anbieter abgewickelt wird und über das Unternehmens-Gateway transportiert werden soll, zu identifizieren, zu analysieren und zu überprüfen.
In Kombination mit den traditionellen Funktionen einer Firewall bietet Application Intelligence und Visualisierung also einen guten Schutz vor aktuellen und künftigen Bedrohungen, die durch Web-2.0-Anwendungen sowie durch Cloud Computing entstehen. So ist es beispielsweise möglich, manipulierte Links auf Social-Networking-Plattformen wie Facebook frühzeitig zu erkennen und Daten auf Anwendungsebene zu prüfen. Application Intelligence sorgt ausserdem dafür, dass Anwender Malware nicht herunterladen und Inhalte gefiltert werden, um das Firmennetzwerk und Anwender gleichermassen zu schützen.
Auch dem Datenverkehr, der durch die Anwendungen «in der Cloud» entsteht, sind traditionelle Firewalls nicht mehr gewachsen. Application Intelligence schafft hier Abhilfe. Leistungsstarke Application-Intelligence-Gateways sind also eine unerlässliche Lösung, um Anwendungsdaten, die über das Internet übertragen werden, ausreichend abzusichern.
Kontrolle der Anwendungen und der Anwendungsdaten: Administratoren können bestimmte Anwendungen sowie unerlaubte Websites, Browser oder Instant Messaging Clients anhand von Regeln blockieren oder einschränken. Darüber hinaus können sie die Nutzung von Anwendungen nach Dateityp (z.B. EXE, PIF, SRC, VBS) untersagen oder limitieren.
Visualisierung der Unternehmensanwendungen: Dank der Echtzeitübersicht haben IT-Verantwortliche einen Überblick über alle im Unternehmen genutzten Anwendungen. Filter ermöglichen es dabei, die Daten dediziert nach Usern, Gruppen, Applikationen etc. aufzubereiten, um damit eine Basis für das Regelwerk der Application-Firewall zu schaffen.
Schutz vor Datenverlust: Application Intelligence ermöglicht es, die Übermittlung von geschäftskritischen Informationen oder Dateien, die mit einem digitalen Wasserzeichen geschützt sind, zu kontrollieren oder zu blockieren. Dies umfasst sowohl die Kontrolle des privaten oder geschäftlichen E-Mail-Accounts als auch den FTP-Upload.
Bandbreitenverwaltung auf Anwendungsebene: IT-Verantwortliche können die Durchsatzraten für geschäftskritische Anwendungen, Benutzer und Benutzergruppen oder auch Tageszeiten festlegen und damit eine hohe Servicequalität (QoS) garantieren.
Automatisierte Updates und Benachrichtigungen: Sie gewährleisten, dass Application-Intelligence-Signaturen immer aktuell sind, geben bei möglichen Regelverletzungen Warnungen aus und informieren Endbenutzer über die Standardrichtlinien, wenn der Datenzugriff blockiert oder beschränkt wird.
Deep Packet Inspection für den SSL-Verkehr: Die Appliances bieten auch Schutz für den SSL-verschlüsselten Verkehr. Sie ermöglichen es, Compliance-Vorgaben einzuhalten, den Content zu filtern und vor Datenverlust zu schützen.