Unverstanden ist zu unsicher
Von Uli Ries
Neben der üblichen Abwehr von äußeren Plagen wie Schadsoftware und Spam wünschen viele Kunden auch einen Schutz gegen (unbeabsichtigte) Angriffe von innen: Ganz oben auf der UTM-Wunschliste steht die Funktion, den Internet-Zugang zu reglementieren. Damit wollen sich die Auftraggeber u.a. rechtliche Probleme ersparen, die aus eventuell fragwürdigen Aktivitäten der Mitarbeiter resultieren können. Gleichzeitig minimiert man so natürlich auch die Gefahr, dass die PCs Opfer einer Attacke werden, die von einer bösartig modifizierten Internet-Seite ausgeht.
Sollte es doch einmal zu einem Verstoß gegen firmeninterne Regelungen kommen, sind die Verantwortlichen auf der sicheren Seite. Denn viele UTM-Appliances bringen eine integrierte Nutzerauthentifizierung mit. Es kommen also nur Anwender ins Netz, die sich zuvor angemeldet haben. Entsprechend lassen sich dann auch im Rahmen der innerbetrieblichen Möglichkeiten deren Aktionen nachvollziehen.
Die Grenzen von UTM
So verheißungsvoll Unified Threat Management klingt, die Idee hat auch ihre Schattenseiten. Denn so smart die Kombination verschiedener Schutzfunktionen in einem Gerät auch ist – eigenständige Lösungen sind normalerweise doch leistungsfähiger. Eine dedizierte Firewall wird in aller Regel deutlich mehr Funktionen und Schutzmechanismen kennen als die in eine UTM-Appliance integrierte. Das Gleiche gilt für den Malware-Schutz: Ausgewachsene Virenscanner von spezialisierten Herstellern arbeiten im Verbund mit einem Antivirenserver im Netzwerk gründlicher als die UTM-Variante.
Einzelne Schutzprodukte erledigen überdies auch spezielle Aufgaben wie das Absichern von Datenbanken oder von bestimmten Web-Anwendungen. Herkömmliche Firewalls – zu denen auch die in den UTM-Appliances gehören – können den an solche Anwendungen gerichteten Datenverkehr nicht von üblichem Webtraffic unterscheiden und erkennen daher auch keine Auffälligkeiten.
Leistungsfähiger sind eigenständige Systeme in aller Regel auch beim Auswerten der Netzwerkaktivitäten. Umfangreiche Filter zum zielsicheren Durchsuchen des Wustes aus TCP/IP-Ports, Internet-Protokollen, Uhrzeiten, Datenstromrichtungen und anderen Angaben helfen dem Administrator. Fehlen sie, wird das Auswerten zum Geduldsspiel.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
An seine Grenzen gerät Unified Threat Management auch, wenn das zu schützende Netzwerk eine gewisse Größe überschreitet bzw. die Netzwerkbandbreite stark anschwillt. In solchen Fällen sind getrennte Systeme effizienter, da hier verschiedenste Systeme jeweils nur eine Aufgabe übernehmen – etwa wie Virenschutz oder die Antispam-Funktion –, anstatt sämtliche Checks über ein und dieselbe Appliance abzuwickeln.
Als Faustregel gilt daher: Ab 500 Webnutzern sollten dezidierte Schutzmechanismen ins Auge gefasst werden. Andernfalls droht die UTM-Lösung zum Flaschenhals zu werden.
Mit Fachwissen und Verstand
Der Hauptvorteil von Unified Threat Management liegt auf der Hand: Kunden können auf einen leistungsfähigen Rundumschutz vertrauen, der durch einen entsprechenden Servicevertrag auch dauerhaft sichergestellt bleibt.
Teil 1 sagt, warum die Sicherheit aus der Fertigbox gerade für kleinere und mittlere Unternehmen so praktisch ist. Teil 2 benennt die Schwachstellen und rät dazu, sich nicht blind auf Automatik zu verlassen.
Eines sollten UTM-Kunden jedoch niemals vergessen: Vollständige Sicherheit kann es nicht geben. Keine noch so ausgefuchste UTM-Appliance und auch kein schlagkräftiger Verbund aus einzelnen IT-Sicherheitsprodukten schützt vor sämtlichen Digitalattacken. Der Anfang 2010 bekannt gewordene Einbruch bei Google und anderen großen Unternehmen belegt dies eindrucksvoll. Man darf doch annehmen, dass der Suchmaschinenbetreiber eine erstklassige IT-Sicherheitsinfrastruktur betreibt – aber trotzdem brachen die Cyberkriminellen durch eine Lücke im Internet Explorer 6 ins Netzwerk. Vor solchen Sicherheitsbruchstellen in Anwendungen schützt keine wie auch immer geartete IT-Komponente.
Fazit: Automatik mit Umsicht
Es nutzt also nichts, sich allein auf die Technik zu stützen, wenn es um die Datensicherheit im Unternehmen geht. Vielmehr müssen alle Anwender, die Zugriff auf das Internet haben, mit den im Netz lauernden Gefahren vertraut sein. Nur so erkennen sie potenziell gefährliche Situationen rechtzeitig.
Passend dazu gilt es, klare Regeln zum Umgang mit dem Internet und vor allem mit vertraulichen Unternehmensdaten aufzustellen und durchzusetzen. Zu guter Letzt darf natürlich auch der Hinweis nicht fehlen, dass die Reports der installierten Schutzprodukte studiert werden sollen. Denn die cleverste Sicherheitstechnik nutzt nichts, wenn ihre Entdeckungen nicht ausgewertet und verstanden werden.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
