Im Tal der Sicherheit

Rüdiger Maier

Im Silicon Valley herrscht im September noch sonniges Wetter, immer wieder sieht man auch Spuren von großen Flächenbränden aufgrund der Trockenheit. Noch stehen viele Büros leer, es werden aber schon wieder neue gebaut und die Wohnungspreise ziehen an. Auch die Venture-Capitalisten greifen wieder etwas freizügiger in die Taschen, ein vorsichtiger Aufschwung zeichnet sich ab. Ein spezielles Hoffnungsgebiet ist dabei die IT-Sicherheit, denn ihr bescheinigen alle Analysten ein deutliches Wachstum für die nächste Zeit.

Laut einer META Group Studie wollen Unternehmen heuer beispielsweise verstärkt die Verschlüsselung für PCs und E-Mail-Kommunikation sowie Public-Key-Infrastrukturen (PKI) aufbauen. Nach dem Scheitern vieler solcher PKI-Projekte in der Vergangenheit sind die Unternehmen aber nun zurückhaltender geworden. Typischerweise werden PKI-Projekte zunächst für spezielle Bereiche oder Nutzergruppen realisiert und später ausgeweitet.

PKI: Günstig und schnell installiert

Hier könnte ein völlig neuer Ansatz des 1999 gegründeten kalifornischen Unternehmens Frontbridge (www.frontbridge.com) einen Durchbruch bringen. Gartner bescheinigt dem Unternehmen "die beste Vision unter den führenden Anbietern", im August flossen noch einmal 10 Mio. US-Dollar Venture-Kapital in die Kassen des Unternehmens (insgesamt: 28 Mio. US-Dollar).

Jesse Villa von Frontbridge: "Das Installieren einer PKI-Infrastruktur war bisher sehr teuer, daher wurde es nicht angenommen. Bei unserer Lösung lädt man sich ein Software-Paket auf den PC und zahlt nach Nutzungsfrequenz." Die Java-Lösung installiert sich selbsttätig in den verwendeten Browser (Plug In-Send Secure), keiner muss den Authentifizierungsschlüssel des anderen Teilnehmers wissen, da dies über den Frontbridge Secure E-Mail Server abgewickelt wird. Zum Lesen der Nachricht ist nicht einmal die Software notwendig. "Um dieses Service auch in Europa verbreiten zu können, wollen wir demnächst neben London auch in Zürich, Brüssel und Paris Datenzentren errichten", so Villa. Dazu sollen in den nächsten Wochen Verträge mit Distributoren und Telekom-Anbietern (z.B. Sprint; Eqant) geschlossen werden.

Technologie für Verisign

Um angesichts der mit Ende des Jahres prognostizierten Verkleinerung des Anti-Spam-Anbietermarktes von 40 auf 10 bestehen zu können, unterzeichnete Frontbridge kürzlich ein OEM-Abkommen mit dem ebenfalls im Silicon Valley ansässigen Unternehmen Verisign (www.verisign.com). Die Frontbridge-Technologie wird so in die E-Mail-Sicherheits-Produkte von Verisign einziehen: "Nach einer langen Evaluierungsphase haben wir uns entschieden, unsere globale Infrastruktur mit der Frontbridge-Technologie zu vereinen, um so vor allem SPAM und Viren noch besser bekämpfen zu können", erläutert Mark Griffiths von Verisign Security Services. Das Unternehmen ist bekannt als DNS-Betreiber für die .com-Adressen (.net wurde kürzlich abgegeben) und ist Marktführer bei kritischen Infrastrukturdiensten für Telekommunikationsnetze und das Internet.

Um den Kundenservice der European Managed Security Services (MSS) zu verbessern, eröffnete das Unternehmen kürzlich ein Security Operations Center (SOC) in Genf. Damit steht den MSS-Kunden ein 24 x 7 x 365-SLA-Support auf Englisch, Deutsch, Französisch und Spanisch zur Verfügung. Die SOC-Mitarbeiter überwachen für Kunden Betrieb und Status ihrer Sicherheitseinrichtungen, einschließlich Sicherheitsscanner, Intrusion Detection Systems und Firewalls. Die Kunden werden so frühzeitig vor Sicherheitsrisiken und anderen bösartigen Aktivitäten gewarnt und können geeignete Maßnahmen zum Schutz kritischer Daten ergreifen. Kürzlich wurde auch das in Berlin ansässige Unternehmen Jamba! übernommen, um das Portfolio an Dienstleistungen im Bereich "Intelligent Communications, Content and Commerce" zu erweitern. Jamba! ist Anbieter digitaler Content-Mediation-Dienste und stellt mobilen Teilnehmern eine stabile Plattform sowie diverse Dienste zur Verfügung.

IP Dynamics: VPNs leicht gemacht

Analysten sagen den Virtual Private Networks (VPNs) ein stetiges Wachstum voraus, sind hier doch Einsparungseffekte und Effizienz leicht nachzuweisen. Das mit etwa 30 Mio. US-Dollar an Venture Capital 1999 in San Jose gegründete Unternehmen IP Dynamics (www.ipdynamics.com) könnte aber mit seiner VCN-Suite zusätzliche Dynamik in den Markt bringen. "Wir sind in Europa und Asien sehr aktiv und bieten unsere Software-Plattform Providern an, die sie dann Unternehmen zur Verfügung stellen können", erläutert Hasan S. Alkhatib, der Gründer des Unternehmens.

Die Suite beinhaltet mehrere Teile, die die Nutzung aller IP-Applikationen (Voice und Video over IP, E-Mail etc.) ermöglicht. Ein neuer Teilnehmer einer VPN-Gruppe erhält einfach eine E-Mail, mit der er seinen Software-Agenten herunterladen kann. "Normale Netzwerk-Sicherheits-Lösungen zur Errichtung von VPNs sind für kleinere Unternehmen zu teuer und erfordern zu viel spezifisches Wissen. Mit unserer Lösung können alle Unternehmen sichere Kommunikation zu sehr günstigen Preisen erhalten", so Alkhatib. So entfällt etwa die Versendung und Konfiguration der bei IPSec-VPNs notwendigen Box. Die Provider erwerben mit der Software Lizenzen für jeweils 1.000 Nutzer zum Preis von etwa 120.000 US-Dollar (jährliche Wartung: 12.000 US-Dollar). "So lassen sich Endkundenpreise von 10-15 US-Dollar je Nutzer pro Monat erzielen. Und die Erstinvestition von bis zu 40.000 US-Dollar je Unternehmen entfällt völlig", unterstreicht der Unternehmensgründer die Vorteile seines Ansatzes. Nicht zuletzt ist auch die Registrierung der Namen der zugelassenen VPN-Teilnehmer transparent, da keine Zahlen, sondern die richtigen Namen eingesetzt werden.

In Deutschland wurde das System bereits an T-Online verkauft, Boeing und CSC nutzen als große Unternehmen direkt die neue VPN-Lösung. "Wir erleben heuer unser erstes Jahr mit direktem Verkauf und sind aufgrund der Erfolge sehr optimistisch für die Zukunft", unterstreicht Alkhatib abschließend.

Siemens kauft Oblix

"Wir sind nach Nokia nun die Nummer 2 bei den Telekommunikations-Ausrüstern", ist Andy Mattes, Chef von Siemens Communications (www.siemens.com) in den USA stolz auf die Fülle an Produkten und Lösungen. Mit etwa 20.000 Mitarbeitern in 190 Ländern erzielt der Bereich einen Umsatz von 20 Mrd. US-Dollar. Mit dem C41-System verwirklichte man anlässlich der Olympiade in Athen das bisher größte und komplexeste Sicherheitssystem der Welt.

Um die Geschäfte rund um die HiPath SIcurity-Lösungen noch erweitern zu können, investierte man kürzlich in das kalifornische Unternehmen Oblix. Damit wird es möglich, die Web-Service-Sicherheits-Produkte und die Zugangs-Management-Technologie von Oblix in die HiPath-Produkte zu integrieren. Oblix versorgt viele der größten Web-Portale und Extranets mit identitätsbasierenden Sicherheits-Lösungen. Stefan Herrlich, Siemens Communications: "Für funktionierende Sicherheitslösungen in Unternehmen ist die Analyse und das darauf aufbauende Konzept besonders wichtig. Nur so können Schwachstellen entdeckt und entsprechend geschlossen werden."

Das Sicherheits-Portfolio des Anbieters besteht neben der Analyse aus Netzwerk & System-Sicherheit (VPN, Firewall etc.), Smart Card-Lösungen sowie Identitäts- und Zugangs-Management. In allen Bereichen kann man auf umfangreiche Referenzen verweisen, bei System-Sicherheit etwa auf SPAR Österreich. Bei den Smart Card-Lösungen fällt die Ausgabe von 9 Mio. Gesundheitskarten (bis 2005) in der italienischen Provinz Lombardei ins Auge. Dazu Hubert Geml, Smart Card Spezialist aus München: "Die Smart Card schließt die Lücke bis zur Verbreitung einer effizienten PKI-Infrastruktur." Siemens besitzt mit CardOS ein eigenes Operating-System für die Karten, kann aber auch etwa die Java-Card (Sun) in Projekte einbeziehen. "Wir haben etwa in einem großen Projekt bei Boeing die Java-Card verwendet", so Geml.

Standards für Sicherheit

Die Trusted Computing Group (TCG; www.trustedcomputinggroup.org) besteht aus 78 Industrie-Mitgliedern, ist ein Non-Profit-Verband und bemüht sich, offene Standards für IT-Sicherheit zu definieren. Lark Allen von Wave Systems, einem der teilnehmenden Unternehmen: "Unsere Arbeitsgruppen entwickeln zu verschiedenen IT-Sicherheits-Themen Standards, die in Produkte einfließen. Unsere wichtigste Gruppe arbeitet etwa am Trusted Platform Modul, das die Chip-Entwicklung maßgeblich beeinflusst." Die verschiedenen Arbeitsgruppen werden von großen Namen der Branche wie Nokia (Mobiltelefone), Philips (Peripherie), HP (Server) geleitet.

Aber nicht alle machen in dem Gremium mit: Gerade im Mai hat Cisco mit 15 anderen Mitstreitern eine eigene Gruppe gegründet. Die Arbeit an Hardware-basierten Sicherheitslösungen ist auch deswegen so wichtig, da diese viel schwerer zu knacken sind, als Software-Lösungen. In der Zwischenzeit wurden - vom Kunden oft unbemerkt - schon einige Millionen Geräte mit dem Trusted Platform Modul ausgeliefert. Da es aber immer neue Bedrohungen gibt - neuerdings etwa Viren in jpq-Bildern - fehlt es nicht an Aufgaben für die TCG.

Neues Geschäftsmodell bringt Erfolg

Der Markt für Virenschutz- und Firewall-Produkte ist laut META Group zwar reif, aber noch nicht gesättigt. Fragen rund um Content Security, Sicherheitsmanagement, Web Services und mobile Technologien sorgen für permanenten Innovationsdruck.

Der Wissensstand über die Anwender und ihre Produkte ist allerdings nicht sehr hoch, was zu weiter zurückhaltendem Investitionsverhalten führt. Da könnten neue Modelle, wie sie etwa F-Secure (www.f-secure.com) seit kurzem praktiziert, weiterhelfen. "Mit der Konzentration auf Service Provider verzeichnen wir sehr gute geschäftliche Erfolge und können uns der riesigen Konkurrenz im Massenmarkt entziehen", ist Travis Witteveen sichtlich stolz auf die neue Ausrichtung des finnischen Anti-Virus-Spezialisten. Mit etwa 300 Mitarbeitern erzielt man nun einen Umsatz von 600 Mio. US-Dollar und erreichte im zweiten Quartal des heurigen Jahres ein Wachstum von 74% bei einem Marktanteil von 8-12% in Europa.

"Die Service Provider verkaufen unsere Lösung an ihre Kunden und können diese gegen die Konkurrenz besser halten", erklärt Witteveen. Der zur Diskussion mitgekommene russische Anti-Viren-Programmierer weiß natürlich in allen Farben über die neuesten Bedrohungen - etwa das gezielte Sammeln von verkaufbaren Informationen, die in Russland bereits offen angeboten werden - und verdeutlicht die Wichtigkeit, immer schneller auf neue Viren reagieren zu können. Auch in Österreich werde es jedenfalls bald die Anti-Virus/Anti-SPAM-Lösungen des Unternehmens bei Providern geben.

Mitbewerber bekriegen sich

Um die Datenlast - gerade beim Ausbruch eines neuen Virus - zwischen seinen Datenzentren in Europa und den USA optimal zu verteilen, benutzt F-Secure seit Juni diesen Jahres die Lastverteilungslösung des im kalifornischen Santa Clara ansässigen Content-Verteilungs-Spezialisten Speedera (www.speedera.com). "Durch die zunehmende Belastung des Internets befürchten Unternehmen den Zusammenbruch des Netzes. Da können wir mit unseren Lösungen helfen und die gewünschte Leistungsfähigkeit und Sicherheit gewährleisten", berichtet Speedera-Gründer und CEO Ajit Gupta. Mit den Produkten der SpeedSuite-Familie und verteilten Servern in Rechenzentren - aber ohne eigene Datenleitungen - lassen sich so die Datenströme gezielt lenken.

"Die NASA mit ihren etwa acht Milliarden Homepage-Zugriffen vertraut ganz auf unseren Service und fährt damit sehr erfolgreich", ist Gupta stolz. Bei den Top-100-Homepages der Welt wird das Verhalten der Nutzer mit den Produkten des Herstellers aufgezeichnet und ausgewertet. Einen ungleichen Kampf führt das Unternehmen im von seinem größten Konkurrenten Akamai angezettelten Patentstreit: "Wir haben bereits 20 Rechtsanwaltskanzleien beauftragt, um den im Februar 2005 beginnenden Patent-Rechtsstreit erfolgreich bestehen zu können", ist Gupta sichtlich verärgert über diese Geschäftsmethoden. Die Aktie von Akamai sei aber bereits von 300 auf einen Dollar abgestürzt, das das Unternehmen schon einige einschlägige Prozesse verloren habe. Trotzdem blickt der Gründer zuversichtlich in die Zukunft und will in den nächsten zwölf Monaten den Umsatz außerhalb der USA auf 40% verdoppeln.

Die Kontrollore

SurfControl (www.surfcontrol.com), 1998 im kalifornischen Scotts Valley gegründet, ist laut führenden Analysten weltweiter Marktführer im Bereich Web- und E-Mail-Filtering. Das Unternehmen hat sich mit seinen Content-Filterprodukten darauf spezialisiert, unerwünschte E-Mails und gefährliche Inhalte in Firmennetzwerken zu blockieren sowie neue Risiken gleich im Entstehen zu bekämpfen. Laut einer META Deutschland Studie wird das 500-Mitarbeiter-Unternehmen zwar als sehr leistungsfähig eingeschätzt, der Bekanntheitsgrad ist mit 29% aber noch ausbaufähig.

Das Unternehmen bietet kombinierte Content-Security-Lösungen an, die Web-, E-Mail- (einschließlich Spam- und Virenschutz), Instant-Message- und Peer-to-Peer-Filter integrieren. Die Lösungen arbeiten mit einer umfangreichen Content-Datenbank sowie mit lernfähigen Filtermechanismen zur automatisierten Content-Erkennung. "Durch unsere enge Kooperation mit Plattform-Anbietern wie Cisco, Check Point oder Microsoft erleichtern wir den Kunden die Integration unserer Produkte in ihrem Unternehmen", weiß Marketing-Spezialistin Susan J. Getgood. Kürzlich brachte das Unternehmen den Leitfaden "Rechtliche Pflichten im Bereich der IT-Sicherheit" für den deutschsprachigen Raum heraus. Er richtet sich an alle Unternehmen, die eine eigene IT-Infrastruktur unterhalten, und damit auch rechtliche Pflichten zur Gewährleistung der IT-Sicherheit erfüllen müssen.

---

Trends bei den IT-Security-Anbietern

Die Anbieterlandschaft im Bereich IT-Security ist nach wie vor sehr fragmentiert.

Eine Kategorisierung der Anbieter ist sowohl nach Themen und Technologien als auch nach der Strategie bzw. dem Kerngeschäft des Anbieters möglich.

Die Erfolgsaussichten für den einzelnen Anbieter hängen maßgeblich davon ab, wie konsequent er seine Strategie verfolgt und wie rasche er sein Portfolio an neue Herausforderungen anpasst. Ob nun "Best-of-Breed"-Lösungen oder schlüsselfertige "Out-of-the-Box"-Lösungen bevorzugt werden, dürfte von den jeweiligen situationsbedingten Anforderungen des Unternehmens abhängen. Höchste Priorität bei der Auswahl von Produkten genießen bei den Anwenderunternehmen die Flexibilität der Lösungen, Service und Support, die Zukunftssicherheit des Anbieters sowie nicht zuletzt preisliche Aspekte. Die Unternehmen denken beim Thema IT-Sicherheit auf technologischer Ebene primär an Virenschutz und Netzwerksicherheit (v.a. Firewalls und VPNs).

(Quelle: IT-Security 2003 Deutschland, META Group Studie; gekürzt und bearbeitet)

---

IT-Security-Trends in Europa

Beim Thema Informationssicherheit zeigen sich laut META Group in Europa hinsichtlich Strategien und Ausgabenverhalten große Unterschiede zu den USA.

Auch im europäischen Ländervergleich sind Abweichungen erkennbar. Eine neue Studie soll nun transparent machen, wer in Sachen Sicherheit die Nase vorn hat. Information Security Manager in europäischen Unternehmen sehen das Hauptproblem bei der Implementierung von Security-Lösungen jedenfalls darin, dass die Unternehmensleitung und die Führungsetage diese Bemühungen nicht unterstützen und es den Endanwendern an Sicherheitsbewusstsein fehlt.

Während inzwischen einige Pioniere dabei sind, ihre isolierten, technologisch orientierten Projekte in ein ganzheitliches Programm umzuwandeln (2003-06), sind manche Unternehmen noch mit der Security-Organisation und den Security-Richtlinien (Policies) beschäftigt. Wenn aus diesen Richtlinien dann auch ein adaptives Rahmenwerk geworden ist, besteht der nächste Schritt darin, strategische und operative Prozesse für die Informationssicherheit aufzusetzen. Allerdings könnten die traditionell föderiert aufgebauten Security-Organisationen europäischer Unternehmen ihre dynamische Qualität verlieren. In einem solchen Fall muss das Management verstärkt unterstützend tätig werden; auch "Awareness"-Programme für ein höheres Sicherheitsbewusstsein bei den Anwendern sind dann unabdingbar.