Als die IT noch EDV hiess, genügte eine simple Firewall, um das firmeninterne Netzwerk vor den ziemlich seltenen Hacker-Angriffen zu schützen. Heute wird die Integrität der IT-Systeme und der damit verwalteten Informationen permanent von einer Fülle unterschiedlichster Bedrohungen angegriffen, von der Spam-Flut über Denial-of-Service-Attacken, Phishing, Trojaner und Viren bis zum Konsum illegaler Inhalte und zur gewollten oder unabsichtlichen Verbreitung von Geschäftsgeheimnissen durch die Mitarbeiter.
Das Arsenal an Software und Hardware, das für eine hinreichend abgesicherte Unternehmensumgebung benötigt wird, ist dementsprechend komplex geworden. Vor allem kleinere Betriebe und Organisationen können sich neben der nach wie vor zentralen Firewall nicht auch noch separate Systeme für Spam-Abwehr, Virenschutz, Erkennung und Abwehr von Hacker-Angriffen, Web- und Mail-Content-Filtering leisten. Und zwar nicht nur wegen der Anschaffungs- und Lizenzkosten: Jede Einzellösung kommt typischerweise mit einer eigenen Administrationsoberfläche daher, arbeitet mit eigenen Konfigurationsdaten und Benutzerrollen, und für jeden Teilaspekt der IT-Sicherheit braucht es mehr oder weniger spezielles Know-how. Da ist der Netzwerkadministrator im KMU rasch überfordert, wenn es denn überhaupt einen gibt.
Ohne Firewall zwischen dem internen Netzwerk und dem Internet kommt heute nicht einmal mehr der Privatanwender aus. Wieso also nicht gleich weitere Sicherheitsfunktionen in diese topologisch periphere, für Sicherheitsbelange aber zentrale Komponente integrieren? Firewall-Hersteller und andere Security-Anbieter beantworten diese Frage seit zwei, drei Jahren mit einem Paket aus Produkten und Dienstleistungen, das sich Unified Threat Management nennt (Vereinheitlichter Umgang mit Bedrohungen, kurz UTM).
UTM-Lösungen kombinieren die klassische Firewall mit einer mehr oder weniger vollständigen Auswahl der übrigen Sicherheitsfunktionen. Dazu gehören im Minimum ein IDS/IPS (Intrusion Detection/Prevention System) zum Erkennen von Angriffen und zur Abwehr von Eindringlingen, ein Malware-Scanner sowie Filter gegen Spyware und Spam. Meist ist auch ein VPN-Service zur Anbindung externer und mobiler Mitarbeiter und Geschäftspartner enthalten. Auf keinen Fall fehlen dürfen umfassende Funktionen für Monitoring, Logging und Reporting der sicherheitsrelevanten Vorgänge.
Unified Threat Management wird in drei Produktformen angeboten: Als Software, als Appliance und als Managed-Service – mehr dazu in unserer Marktübersicht zu den Schweizer Anbietern von Managed Security Services auf Seite 39.
Wer sich, zum Beispiel aus Diskretionsgründen, lieber selbst um die IT-Sicherheit kümmern will, hat grundsätzlich die Wahl zwischen einer Software-Suite zur Installation auf einem handelsüblichen Server und einer UTM-Appliance. Darunter versteht man ein dediziertes Gerät im Rackmount- oder Desktop-Gehäuse, auf dem sämtliche Sicherheitssoftware installiert und vorkonfiguriert wurde.
Nicht alles, was sich UTM nennt, ist jedoch wirklich «unified». Einige Lösungen, die sich mit dem Attribut UTM schmücken, sind nicht viel mehr als ein zusammengewürfeltes Sammelsurium verschiedener Softwaretools, die man individuell konfigurieren und verwalten muss. Echte UTM-Lösungen gehen einen Schritt weiter: Die gesamte Administration und Überwachung erfolgt über eine einheitliche Oberfläche, und die verschiedenen Softwarekomponenten sind auf Basis einer zugrundeliegenden gemeinsam genutzten Engine so konfiguriert, dass sie sich nicht gegenseitig behindern.
Idealerweise arbeiten alle Komponenten auch mit einem gemeinsamen Regelwerk und einem einheitlichen Rollenmodell, so dass das UTM-System im Ernstfall eines Angriffs von sich aus sinnvoll als Ganzes reagiert und dabei die unternehmensweite Security-Policy berücksichtigt.Diese enge Integration ist jedoch bei weitem noch nicht in allen UTM-Lösungen realisiert, die heute auf dem Markt erhältlich sind.
UTM-Appliances von 13 Herstellern in der Übersicht
