Von Dr. Ronald Wiltscheck
Die schiere Größe eines Dienstleisters ist nicht unbedingt ausschlaggebend dafür, dass sich ein großer Kunde gerade für ihn entscheidet. "Uns überzeugte nicht in erster Linie die Größe, sondern vor allem die Kombination aus Produkt- und Prozess-Know-how, gekoppelt mit nachgewiesener Kompetenz in Sachen Lösungen zum Aufdecken von Schwachstellen." So erklärt Erik Küng, Sicherheitsspezialist beim Schweizer Telecomanbieter Sunrise, warum man sich für die Dienste von Integralis entschieden hat.
Dennoch, die Größe und die internationale Präsenz von Integralis haben bei der Wahl des Dienstleisters bei Sunrise sicherlich eine Rolle gespielt. Immerhin hat das Serviceunternehmen im zweiten Quartal 2006 einen Umsatz von 36 Millionen Euro erzielt, bei einem Nettogewinn von 300.000 Euro. Dazu trugen Deutschland und die Schweiz mit über einem Viertel bei. Der Auftrag von Sunrise zur Installation eines konzernweiten Systems zur Aufdeckung von Schwachstellen, auf Neudeutsch "Vulnerability Management" (VM), hat sich dort ebenfalls niedergeschlagen.
Weiterentwicklung von Intrusion Detection
Zwar werkelte bei Sunrise bereits ein traditionelles Intrusion-Detection-System (IDS, System zum Aufdecken von Einbrüchen), dieses konnte aber nach Ansicht des dortigen EDV-Stabes die interne IT-Infrastruktur nicht mehr so vor Angriffen schützen, wie dies mit einem modernen Vulnerability-Management-System möglich gewesen wäre.
Hier sah sich auch der von Sunrise beauftragte Projektleiter Küng durch den Marktforscher Gartner bestätigt. Dieser konstatierte, dass Unternehmen, die einen Vulne- rability-Management-Prozess implementieren, zu rund 90 Prozent weniger erfolgreichen Attacken zu erleiden haben als solche, die vergleichbare Investitionen ausschließlich in "klassische" Intrusion-Detection-Systeme tätigen.
Daraufhin sah sich Küng zehn unterschiedliche VM-Produkte detaillierter an. Nach einer ersten Prüfphase blieben schließlich vier VM-Lösungen übrig: Foundscan von der McAfee-Tochter Foundstone, ferner "Qualys", "nCircle IP360" und "eEye Retina". Diese vier Systeme hat Sunrise nochmal genauer unter die Lupe genommen und ausführlich getestet.
Beinhartes Auswahlverfahren
Nach mehreren Wochen, in denen alle vier Lösungen miteinander verglichen wurden, ist schließlich die Entscheidung gefallen. Dabei fiel die Wahl auf das Enterprise-Risk-Solution-System (ERS) von Mc-Afee. Dies ist eine Erweiterung der Foundstone-Lösung, die sich aus der Übernahme von Preventsys durch McAfee vor gut zwei Monaten ergeben hatte.
Mit der Preventsys-Technologie offeriert der Security-Hersteller nun eine neue Lösung, mit der sich relativ leicht Berichte über die Sicherheitssituation in den Unternehmen erstellen lassen. Vor allem hilft die Software festzustellen, ob die gesetzlich vorgegebenen Richtlinien hinsichtlich der IT-Sicherheit im eigenen Netzwerk eingehalten werden. Dies hat offenbar auch Erik Küng von Sunrise überzeugt: "Die Enterprise Risk Solution von Foundstone entsprach unseren Anforderungen mit Abstand am besten."
Und diese waren wirklich umfangreich: So sollte die interne IT-Infrastruktur bei Sunrise auch nach der Installation des neuen Intrusion-Detection-Systems genauso performant und sicher ihren Aufgaben gerecht werden wie zuvor. Und natürlich sollte die erweiterte Lösung zum Aufdecken von Schwachstellen alle erdenklichen Sicherheitsrisiken erkennen und sie auch dem Systemadministrator passend zur Gefahr darstellen. Das gesamte IT-System bei Sunrise sollte zu jeder Zeit während der Umstellung verfügbar bleiben. Verluste von Vertraulichkeit und Integrität waren nicht hinnehmbar.
Detaillierten Workflow festgelegt
Aus diesem Grund haben die Spezialisten von Integralis erstmals gemeinsam mit ihrem Kunden einen Rahmen für den Umstellungsprozess definiert. Der gesamte Workflow wurde pedantisch festgelegt, also wer wann was zu tun hat: Rollen, Aktionen und angestrebte Ergebnisse.
Natürlich hat Sunrise Wert darauf gelegt, dass die angepeilte Projektgröße nicht überschritten werden durfte. Insoweit hielt sich der Dienstleistungsaufwand von Integralis mit 50 Manntagen bei einer Gesamtprojektdauer von fünf Monaten in den zuvor festgelegten Grenzen. Das frei gegebene Budget wurde ebenfalls nicht überschritten.
Denn immerhin werkeln bei dem Telekommunikationsunternehmen über 300 Windows-Server und 200 Unix-Maschinen. Außerdem gilt es die 3.500 PC-Clients zu betreuen. Und nachdem Sunrise ein prosperierendes Unternehmen ist, wächst dort die IT-Infrastruktur entsprechend. Das musste bei der Installation der Foundstone- Lösung ebenfalls berücksichtigt werden. So ist das interne Sun- rise-Netzwerk in mehrere Zonen unterteilt, die alle gleichermaßen effizient vor externen Gefahren geschützt werden müssen. Die wichtigste Anforderung an das Schwachstellen-Analyse-System von McAfee war, dass es mit dem Unternehmen wachsen kann.
Schritt für Schritt
Damit Sunrise-Mitarbeiter in der IT-Abteilung von der VM-Einführung möglichst wenig in Anspruch genommen wurden, hat sich Integralis für eine stufenweise Vorgehensweise entschieden. Der Dienstleister unterteilte das gesamte Unternehmen in mehrere Gruppen und stufte diese nach ihrer Wichtigkeit hinsichtlich der Schwachstellen-Scans ein.
So hat Integralis zuerst der Gruppe mit dem höchsten Gefährdungspotenzial das Analysesystem von Foundstone verpasst, die anderen Gruppen folgten nach und nach.
Dadurch haben die Integralis-Spezialisten die Sunrise-eigene IT-Truppe relativ wenig in Beschlag genommen. Außerdem hat diese Arbeitsmethode den Charme, dass im Falle einer installationsbedingten Störung des Systems nur ein Netzwerksegment davon betroffen wäre. Und die Gruppeneinteilung brachte den Vorteil mit sich, dass der Kunde nun genau weiß, wo in seiner IT-Infrastrukter ihm die größte Gefahr droht. Diese Informationen sind bedeutsam, um etwa die Einhaltung der Sicherheitsrichtlinien überprüfen zu können.
Derzeit sind die Foundstone-Scan-Engines in einem separaten Netzsegment bei Sunrise angesiedelt. Mit dieser Architektur lässt sich das Schwachstellen-Analyse-System leichter an die veränderte Situation im Netzwerk - bedingt durch Wachstum oder Strukturumbau - anpassen.
Natürlich erfolgt der Datenverkehr zwischen den Scan-Engines und dem eigentlichen Sunrise-Netzwerk nur verschlüsselt. Es werden ausschließlich starke Authentifizierungsmethoden verwendet. Die Foundstone-Appliances werden so konfiguriert, dass sie selbst vor Angriffen sicher sind, behauptet Integralis.
Das vorliegende Projekt war mit Anteilen von jeweils 40 Prozent stark software- und servicelastig, die Hardwarekosten (20 Prozent) schlugen nicht so stark zu Buche. Die Einführung der Sunrise-Systemadministratoren in die Foundstone-Software war in zwei Tagen erledigt. Nun kann der Kunde etwaige Schwachstellen in seinem IT-System schneller entdecken als zuvor und Maßnahmen zu deren Beseitigung sofort ergreifen. Auch Informationen über die aktuelle Sicherheitslage im Unternehmen sind mit den Foundstone-Berichten rascher verfügbar. Dies wissen vor allem die nicht-IT-bewanderten Verantwortlichen bei Sunrise zu schätzen.
Für Integralis hat sich das vorliegende Projekt auf jeden Fall gelohnt. Immerhin konnte der Dienstleister dadurch seine Marktposition in der Schweiz stärken und mit Sunrise einen namhaften Referenzkunden in der Telekommunikationsbranche für sich gewinnen. Denn Nachfolgeprojekte "drohen" bereits. Sunrise plant, das Schwachstellen-Analyse-Werkzeug von McAfee auf den Geschäftsbereich Network auszuweiten.
"Nachdem das System seine Stabilität und Verfügbarkeit unter Beweis gestellt hatte, möchte wir seine Vorteile auch für andere Geschäftsbereiche in unserer Organisation nutzen", zieht Projektleiter Küng sein persönliches Fazit. "Integralis können wir guten Gewissens als verlässlichen und kompetenten Partner für die Integration von Security-Lösungen empfehlen."