Unified Threat Management, Teil 1

Eine Firmenpackung Abwehrkräfte

Von Uli Ries

Kein Unternehmen darf sich heute mehr ohne Absicherung der IT-Infrastruktur ins Netz trauen. Das hat sich nach und nach auch bei den Unternehmern, Geschäftsführern oder anderweitig Verantwortlichen herumgesprochen. Trotzdem scheitern umfassende Schutzmaßnahmen zumeist an der Komplexität der Aufgabe – und an den damit verbundenen Kosten: Eine umfangreiche Sicherheitsinfrastruktur aus Firewall, Intrusion Detection System, Virenscannern, Spam-Filter, VPN-Gateway und Proxy-Server kann schnell Dimensionen von mehreren zehntausend Euro erreichen. Das ist eindeutig zu viel für kleine oder mittelständische Unternehmen. Und nur allzu oft auch überdimensioniert. Von einer überschaubaren IT-Mannschaft ist das gar nicht sinnvoll zu administrieren und zu betreiben. Am anderen Ende der Skala finden sich die Unternehmen, die kurzerhand Gratisversionen von Virenscannern installieren – und so die Lizenzbestimmungen der Hersteller verletzen. Denn diese Versionen sind ausschließlich für den Privatgebrauch bestimmt.

Kleinere Organisationen sind dennoch nicht dazu verdammt, sich mit lokal auf den PCs installierten Virenscannern und Desktop-Firewalls zufrieden zu geben. Denn mit so genannten UTM-Appliances (Unified Threat Management) haben die Hersteller von IT-Sicherheitsprodukten vor einigen Jahren eine Produktkategorie geschaffen, die kleinere Netzte wirksam absichert, gleichzeitig aber keine immensen Löcher in die IT-Budgets reißt.

Faustdicke Funktionen

Inzwischen geistern verschiedene Definitionen von Unified Threat Management durch die Fachwelt: Je nach Hersteller unterscheidet sich der Funktionsumfang der Appliances, die im Übrigen nicht immer ein Stück Hardware sein müssen. Manche UTM-Produkte gibt es bei gleichem Leistungsumfang auch als Software, die je nach Ausbaustufe und Anforderung sogar in einer virtuellen Maschine laufen kann.

Kommt es auf möglichst hohen Datendurchsatz an, verbietet sich eine solche Konstruktion natürlich. Hier hilft nur eine eigenständige Hardware.

Bei allen Unterschieden sind folgende Funktionen allen UTM-Lösungen gemeinsam: Firewall, Spam-Filter, Antivirenlösung und Intrusion Detection System.

Dazu kommen zumeist noch VPN-Funktionen und Inhaltsfilter, um z.B. im Webdatenstrom nach bestimmten Stichworten zu fahnden. Manche Hersteller packen auch noch eine Funktion zum Untersuchen von per SSL verschlüsselten Datenströmen in ihre Produkte oder bieten die Möglichkeit, VoIP-Telefonate abzusichern.

Der riesige Vorteil einer solchen Komplettlösung: Kunden müssen nicht aus finanziellen Gründen auf eine essenzielle Komponente verzichten, sondern bekommen in jedem Fall einen Rundumschutz.

Viel Schutz, wenig Mühe

Egal, ob die unternehmenseigene IT-Mannschaft die UTM-Appliance betreut oder ob das von einem Systemhaus übernommen wird, ein Vorteil kommt allen zu Gute: Sämtliche Schutzfunktionen lassen sich über ein einheitliches Benutzer-Interface administrieren. Kämen eigenständige Schutzprodukte zum Einsatz, brächte jedes seine eigene Benutzeroberfläche mit. Der Aufwand bei der Administration wäre erheblich höher, die Wahrscheinlichkeit wäre größer, dass man einen wichtigen Hinweis in einer Logdatei übersieht.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Nachdem IT-Sicherheit in der Praxis immer noch ein spezielles Thema ist – das Auswerten von Firewall-Logdateien erfordert ein gesundes Grundwissen in Netzwerktechnik und ein grundsätzliches Verständnis für Datenverkehr im Internet – empfiehlt es sich, die UTM nicht nur von Spezialisten installieren zu lassen. Auch der laufende Betrieb und das dazu gehörende Auswerten der Logfiles ist bei dort in guten Händen. Denn es ist ein weit verbreiteter Irrglaube, dass eine solche Appliance lediglich zu Anfang konfiguriert werden muss und von da an ihren Dienst im Serverraum verrichtet. Ohne regelmäßige Prüfung der Protokolle ist einem subtilen Angriff kaum auf die Schliche zu kommen.

Auch die erstmalige Konfiguration will mit Bedacht und Sachverstand erledigt werden. So gilt es unter anderem zu klären, welche PCs bzw. Anwender auf welche Internet-Dienste zugreifen dürfen. UTM-Appliances erlauben solche Einschränkungen zumeist per White-/Blacklist. Kommen im Lauf der Zeit Mitarbeiter hinzu oder ändern sich die Aufgaben von Kollegen, müssen diese Einstellungen in der UTM-Lösung angepasst werden. All dies sind Tätigkeiten, die ein professioneller Dienstleister effizient erledigt.

Serie: Unified Threat Management
Teil 1 erläutert die Idee hinter UTM und be­richtet aus der Praxis, was eine solche Lösung bringen kann. Teil 2 stellt sich auf skeptische Seite und klopft das Flaschen­hals­konzept auf mög­liche Schwach­stellen ab. Teil 3 geht den Markt an und schildert das Geschäfts- und Service­modell am Bei­spiel des deutschen Her­stellers Securepoint.

Einsatz im Realbeispiel

Grau ist alle Theorie. Am besten berichtet das grüne Leben selbst, in welchen Szenarien Systemhäuser mit UTM-Lösungen erfolgreich für Sicherheit gesorgt haben: IT for Life aus Jübek konnte z.B. über 70 Zahnarztpraxen von einem Schutz per UTM überzeugen. Der Grund: Dank einer UTM-Appliance laufen die PCs in den Praxen zu ungeahnten Höchstleistungen auf. Und Performance ist das A und O, wo Röntgenbilder digital erzeugt und sofort nach der Aufnahme am PC anzeigt werden sollen. Das Verarbeiten der großen Bilder fordert die zumeist nicht topaktuellen PCs erheblich. Ist auf diesen Computern noch ein lokaler Virenscanner installiert, dauert der Bildaufbau unakzeptabel lange – und die Patienten müssen unschöne Wartezeiten auf dem Behandlungsstuhl hinter sich bringen.

Die Lösung: IT for Life entfernte die Virenscanner, setzte eine UTM-Appliance ein und verbot den betreffenden, weitgehend schutzlosen PCs den Internet-Zugriff. Außerdem sperrte man alle Schnittstellen wie USB-Ports, um das Einschleppen von Malware per USB-Stick oder MP3-Player zu verhindern. Durch diese strikte Reglementierung kommen die PCs nun nicht mehr ins Schwitzen, teures Neuanschaffen der Hardware entfällt. Unterm Strich war die UTM-Appliance inklusive Installation und vorheriger Konfigurationsplanung erheblich günstiger als ein Schwung neuer PCs.

Andere Rechner im Praxisnetzwerk, bei denen die Leistung weniger kritisch ist, haben natürlich Internet-Zugang und funktionierende USB-Schnittstellen. Auf diesen Maschinen arbeitet dann auch ein lokaler Virenscanner. Denn es kommt im Praxisalltag des Öfteren vor, dass Patienten ihre Röntgenbilder oder andere Patienteninformationen auf einem USB-Stick mitbringen. Auf diese Weise könnte sich leicht Malware auf den vernetzten PCs der Praxis breit machen.

Welche Zwecke UTM sonst noch erfüllt und welche Haken die Sache andererseits haben kann, legt Teil 2 dieser Serie dar.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links