Klassische Firewall sagt ade

Lothar Lochmaier

Der Markt für IT-Security boomt in Österreich mit Zuwachsraten von über zehn Prozent. Dabei verschmelzen Dienstleistungen und Produkte immer mehr. Integrierte technische Gesamtlösungen, sogenannte Security Appliances, gewinnen an Bedeutung. Allerdings stellt sich zunehmend die Frage, ob es die "all fits in one-Lösung" wirklich gibt.

Die Marktforscher von IDC erwarten in den nächsten Jahren einen signifikanten Wechsel von firewall-basierten Schutzkonzepten hin zu Security Appliances. Noch dominieren die klassischen Brandschutzmauern mit 70 Prozent den Markt, doch bis 2009 soll deren Dominanz von Multischutz-Funktionsgeräten abgelöst werden. Auch die großen Spieler sind auf den Zug aufgesprungen und offerieren wie Cisco Kombilösungen: eine Adaptive Security Appliance (5500), Pix-Firewall, plus 4200er Intrusion Prevention sowie VPN-3000er-Konzentratoren - und das alles quasi in einer Box. Obendrein gibt es auch noch den Antiviren- und Antispam-Schutz von Cisco-Partner Trend Micro.

Auch klassische Player wie HP und Microsoft haben längst den Markt entdeckt. Gemeinsam mit Surf Control planen die Redmonder für Business-Kunden aller Größenordnungen eine "Out-of-the-Box"-Lösung. Der zukünftige HP ProLiant DL320 Firewall/VPN/Cache Server basiert auf dem ISA Server 2004 von Microsoft und enthält Firewall sowie Web Caching-Server. Für das Content-Filtering sorgt Surf Control, zusätzlich integriert ist auch ein VPN für den Fernzugriff auf das Unternehmensnetzwerk.

Kooperationsmodelle treiben den Markt

Generell wird der Markt durch zahlreiche nicht immer eindeutig voneinander abgegrenzte Kooperationsmodelle vorwärts getrieben, so kooperiert Microsoft auch mit Allasso und Network Engines. Eine spezifische Lösung an kleine und mittelständische Unternehmen im Desktop Format adressiert CyberGuard. Die zwei Security Appliances sollen verkabelte und drahtlose lokale Netzwerke absichern, wahlweise als File- oder Print-Server, durch die Anbindung von Plattenlaufwerken und Druckern über USB.

Mit der CyberGuard-Lösung SG 580 erhalten mittelständische Anwender nicht nur Connecitivity und Security-Standards, sondern auch ein zentrales Virtual Private Network für entfernte Niederlassungen. Beide Appliances basieren auf den derzeit üblichen Anforderungen für das Unified Treat Management (UTM), die Features wie Stateful-Inspection Firewall, Intrusion Detection und Prevention sowie Anti-Viren-Schutz beinhalten.

Angesichts des sich abzeichnenden Produkt-Feuerwerks verwundert es kaum, dass auch kleinere Dienstleister auf diesen lukrativen Markt spekulieren, um einen der begehrten Nischenplätze zu ergattern. Sie wenden sich vor allem an den Mittelstand, dem sie mit der richtigen Mischung aus Standardpaket und individuellen Anpassungen ein preisgünstiges aber auch leistungsfähiges Unified Treat Management schmackhaft machen. Die konventionelle Einmauerungsstrategie der Unternehmen sei kaum mehr sinnvoll, bestätigt Sicherheitsberater Stefan Strobel, Geschäftsführer der Heilbronner Cirosec GmbH, den Trend: "Trotz modernster Firewall-Technologien sind mindestens 50 Prozent aller webbasierten Systeme angreifbar."

Anfällig sind insbesondere E-Business-Plattformen, die Standard-Angriffsmethoden auf Websysteme sind vielfältig und meist Erfolg versprechend, wie SQL-Hacking, Stealth Commanding, Cookie-Poisoning, Parameter Tampering und Hidden Manipulation. Zahlreiche offene Ports machen die Firewall extrem anfällig. Als das neue Patentrezept macht infolge dessen das Schlagwort "Adaptive Routing" die Runde, auf der Basis einer policybasierten Ansteuerung.

Allzweckwaffe Security Appliances?

"Firewallbasierte Konzepte fungieren immer noch als intelligente Router", relativiert Peter Marte, Softwarearchitekt bei der Tiroler Phion Information Technologies GmbH in Innsbruck, den Hype um die Allzweckwaffe Security Appliances, die den unzähligen löchrigen Sicherheitsinseln ein Ende bereiten soll. Dennoch diene das mitunter komplizierte Firewall-Regelwerk auch weiterhin als zentrale Stelle für die Umsetzung der Sicherheitsrichtlinien, weiß auch Marte.

Die vor fünf Jahren gegründete Phion zählt Unternehmen unterschiedlicher Branchen zu ihren Kunden, darunter Berglandmilch, Sanochemia und Tillak. Auch die sicherheitssensible Bankenbranche setzt auf multi-funktionale Lösungsansätze, darunter die Schöllerbank, der Online-Broker direktanlage.at sowie die Österreichische Kontrollbank AG, ein exportorientierter Finanz- und Informationsdienstleister. Eigentümer des 1946 gegründeten Spezialinstitutes sind inländische Kommerzbanken. IT-Experte Franz Macsek vertraut auf separierte Firewall-Systeme, das heißt ein bestehendes Firewall-System für Internet-Services und die Umlegung aller Partneranbindungen auf ein neues System, letzteres gemeinsam mit Phion.

Die beiden Firewall-Nodes laufen im HA-Modus beziehungsweise Load Balancing. Sie sind multiadministrierbar, ein Management-Server und Standard Server Hardware sorgen für den Überblick. "Die zentrale Anforderung besteht darin, dass die Firewall-Nodes rasch und einfach wiederaufsetzbar sein müssen", sagt Macsek. Das Unternehmen testet seit gut einem halben Jahr die Phion-Lösung Netfence für die Partneranbindung. "Etwa 70 Prozent der Firewall sind bereits umgestellt", bekräftigt Macsek auf der diesjährigen Phion Gipfelkonferenz, räumt aber auch ein, dass ein derart komplexes System erheblichen Schulungsbedarf nach sich zieht.

Hardwareseitig stützt sich Lösungsanbieter Phion auf Partner wie Secudos und Heavensgate sowie Crossbeam Systems, die mit ihren multifunktionalen Security-Plattformen Crossbeam X 40, X45 und X80 derzeit rasante Umsatzsprünge verzeichnen. Softwareseitig stärkt Phion sein Marktwachstum mit neuen Kooperationen, kürzlich etwa mit der deutschen H+BEDV Datentechnik, die mit der Schutzlösung Antivir international weiter expandiert.

Verknüpfung von Connectivity und Security-Elementen

Ein zentrales Element in der Businessschlacht um die Appliances ist die leistungsfähige Verknüpfung von Connectivity und Security-Elementen. Und hier spielen unterschiedliche Gateway-Mechanismen eine wichtige Rolle. Mit dem Produkt Netfence Connectivity Gateways offeriert Phion nach eigenen Angaben umfassende Funktionalitäten für den Application Gateway, die darüber hinaus als Mail-Router, DNS Server oder http-Proxy einsetzbar sind. "Dadurch verbinden wir das kontrollierte Kernel-Routing mit Firewall-Traffic-Analyse sowie lokalem und globalen Monitoring", sagt Chief Technology Officer Klaus Gheri.

Durch die Kopplung mit der Software Appliance OS ist Phion Netfence auch im Bereich der Linux-Betriebssysteme eine Alternative. Der Preis von unter 2000 Euro stellt bei einer Leistung von 1,7 Gigabit/s ein weiteres Kaufargument dar, insbesondere für Unternehmen, die sich bisher ein ausgesuchtes Top-Level nicht leisten konnten. "Das ist eine bedarfsgerechte Lösung ohne allzu viel Heckmeck", bringt es Klaus Gheri auf den Punkt. Die Vorteile für die potenziellen Kunden sieht er vor allem in dem geringen Risiko durch Standardkomponenten, was sowohl Beschaffung und Implementierung, als auch Störfall und Garantieaustausch erheblich vereinfache.

Sicherheits-Richtlinien wichtig

In den zahlreichen gut besuchten Vorträgen auf der Phion Gipfelkonferenz wurde aber auch deutlich, dass trotz des Hypes um die Appliances nach wie vor den Mitarbeitern die entscheidende Rolle bei der Umsetzung von Sicherheits-Richtinien zukommt. Den unkalkulierbaren Faktor Mensch unter die Lupe genommen hat Thomas J. Nagy, Berater und Geschäftsführer der Eisberg-Group: "Die meisten Menschen nehmen nicht die richtigen Bedrohungen als tatsächliche Risiken wahr", so sein Credo. Demnach stimmen immer noch 80 bis 90 Prozent der Unternehmen ihre internen Abläufe so gut wie gar nicht auf die realen Bedürfnisse der IT-Sicherheit ab.

Hier sei auch ein kreativer Führungsstil gefragt, der das richtige Maß zwischen Zwang und Freiheit setze. Auf der einen Seite stehen nach Auffassung von Nagy sorglose, profilierungssüchtige und unwissende Manager, auf der anderen Seite frustrierte, unachtsame und ungeschulte Mitarbeiter. Ob hier die Anbieter von Security Appliances eine nachhaltige Verbesserung bewirken können, diese Frage wird sich schon bald intensiv an der unternehmerischen Praxis reiben.

Gartner-Mann Tom Scholtz gab sich zuversichtlich und sagte auf dem Phion-Event den applikationsbasierten Sicherheitslösungen eine große Zukunft voraus, sofern sich diese am Geschäftsmodell des Unternehmens orientierten. Die Marktauguren haben im Rückblick betrachtet des öfteren mit ihren Prognosen die Wirklichkeit knapp verfehlt.

www.phion.at