Worauf Security-Reseller 2011 achten, welche Geräte sie in ihr Portfolio aufnehmen und wo sie dabei beim Kunden ansetzen sollten, das erklärt Infinigates Vertriebsleiter Stefan Bichler.
Welches Security-Konzept ist sinnvoller: reine Software oder hardwarebasierte Appliances?
Stefan Bichler: Der Kunde benötigt beides. Mit Software sollten die Endpunkte im Netzwerk ("endpoints") geschützt werden, was den Übergang vom LAN zum Internet betrifft, so sind hierfür Appliances prädestiniert. Es gilt, am Perimeter Gefahren von draußen abzuwehren. Hierbei sollten Reseller aber auch auf ausreichende Performance der Firewall-Appliance achten. Der Türsteher am Gateway sollte nur die unerwünschten Besucher abweisen und nicht den gesamten Netzwerk blockieren.
Was sollte denn Ihrer Meinung nach eine moderne Firewall alles tun?
Channel-Sales-Kongress Security und Storage am 17.2.
Wenn es um die Themen Security und Storage geht, gehen Unternehmen kein Risiko mehr ein. Der Channel-Sales-Kongress am 17. Februar 2011 in München informiert Reseller und Systemhäuser praxisnah und topaktuell zu den neuesten Branchentrends rund um das Thema Datensicherheit und Datensicherung.
Nutzen Sie die einmalige Gelegenheit, wertvolle Verkaufstipps direkt von den führenden Branchenherstellern zu bekommen. Seien Sie dabei, wenn sich die Branche trifft und diskutiert.
Infos und Anmeldung unter www.channelpartner.de/events/security_storage
Bichler: Die klassische Port-basierte Firewall, wie man sie von früher kennt, reicht heute schon lange nicht mehr aus. Sie muss ja den Port 80 für den Webverkehr ohnehin offen halten, genauso den Port 25 für die E-Mail-Kommunikation. Aber in der Ära des Cloud Computings werden immer mehr unternehmenskritische Anwendungen ebenfalls webbasiert abgewickelt, da hilft eine Firewall, die sämtliche Datenpakete über den Port 80 durchlässt, nicht wirklich weiter.
Neue Firewalls braucht das Land
Benötigen Kunden also einen neuen Perimeter-Schutz?
Bichler: Ja, sie brauchen eine applikationsbasierte Firewall, die in der Lage ist, sich die via http verschickten Pakete ganz genau anzuschauen. Diese "neuen" Firewalls können erkennen, zu welcher webbasierten Anwendung die an den Browser des Nutzers gerichteten Pakete gehören. Eine applikationsbasierte Firewall unterscheidet zwischen via http vermittelten Word- oder Google-Dokumenten und den Daten oder Steuerungsbefehlen für eine EPR-Applikation, sie arbeitet auf der Appplikationsschicht (Layer 7) des OSI-Modells. Ferner erkennt sie in diesem Datenstrom Anomalien und kann auf diese Weise webbasierte Angriffe von außen abwehren.
Heißt das, die alte Firewalls gehören auf den Müll?
Bichler: Im Prinzip ja. Vor allem bei mittelständischen Kunden sollten Reseller die rein Port-basierte Firewall ersetzen - zum Beispiel durch eine UTM-Appliance. Bei größeren Unternehmen empfiehlt sich der Einsatz einer applikationsbasierten Firewall hinter dem klassischen Perimeter. Von UTM-Appliances ist hier abzuraten, denn in diesen Konzernen sind unterschiedliche Systemadministratoren für den Schutz des Webzugangs und beispielsweise für die Kontrolle des E-Mail-Verkehrs zuständig, hier braucht man also "spezialisierte" Security-Appliances am Gateway. Auf jeden Fall bieten die "neuen" applikationsbasierten Firewalls mehr Sicherheit, und sie schützen wirksamer vor den Gefahren von außen.
Aber die Hälfte der Angriffe auf die IT-Infrastruktur erfolgt (gewollt oder ungewollt) von den eigenen Mitarbeitern ...
Bichler: Ja, in der Tat. Dem gilt es mit internen Abwehrmechanismen vorzubeugen.
UTM für den Mittelstand
Und warum sollten dafür den mittelständischen Kunden UTM-Appliances ausreichen?
Bichler: Weil diese UTM-Appliances alle für diese Klientel notwendigen Schutzfunktionen enthalten. Sie wehren wirksam vor Viren, Würmern und Spam ab, außerdem beinhalten sie meist einen gut funktionierenden URL-Blocker. Ein Maschinenbauer mit 500 Mitarbeitern verfügt manchmal nur über 30 PC-Arbeitsplätze. Um diese effizient vor Malware zu schützen, ist eine UTM-Appliance für den typischen Mittelständler bei Weitem performant genug. Spezielle Intrusion-Prevention-Systeme (IPS) brauchen diese Kunden meist nicht.
Warum nicht?
Bichler: Weil derartige Systeme einen enormen hohen Verwaltungsaufwand mit sich bringen, der in keinem Verhältnis zum potenziellen Nutzen steht. Es erfordert viel Zeit und Arbeit, alle via IPS eingehenden Alarmmeldungen zu analysieren, zu klassifizieren und die geeigneten Gegenmaßnahmen zu treffen. IPS bedeutet hier keinen echten Sicherheitsgewinn.
Aber es gibt sicherlich auch mittelständische Kunden, denen die Performance und Funktionsvielfalt einer UTM-Performance nicht ausreicht ...
Bichler: Sicherlich, mittelständische Banken, Broker, Online-Shop-Betreiber und Auktionshäuser sind auf hochperformante, redundante und hochspezialisierte Security-Appliances angewiesen. Bei diesen Kunden wirkt sich ein Netzwerkausfall sofort negativ auf das eigene Geschäft aus. Hochperformante Intrusion-Prevention-Systeme können diesen Kunden helfen, ihr Netzwerk noch sicherer zu machen. Hier sind die UTM-"Alleskönner" fehl am Platz.
Allerdings lassen sich viele Security-Funktionen auch in die Wolke auslagern, man denke nur an Spam-Filter und Anti-Malware-Vorrichtungen bei eingehenden E-Mails.
Bichler: Definitiv! Ein auf diese Weise ausgelagerter Spam-Blocker muss auch nicht eine 100-prozentige Trefferquote aufweisen. Es ist besser, wenn ein paar Spam-Mails im Eingangsordner des Mitarbeiters landen, als wenn es "false positives" gibt, also als "Werbe-Mails" deklarierte Geschäftsbriefe. Und die wenigen eingehenden Spam-Mails kann der Anwender selbst in Quarantäne schicken. (rw)