Artikel als PDF anzeigen

ITMAGAZINE
Vertrauen ist gut, Kontrolle ist besser
24. September 2010 - Web-basierte Anwendungen und Dienste beeinflussen heute die Netzwerkleistung sowie die
Produktivität in Unternehmen erheblich. Und sie bringen neue Sicherheitsbedrohungen. Unternehmer und IT-Verantwortliche stehen heute mehr denn je vor grossen Herausforderungen: Laut einer Studie von
Goldman Sachs aus dem Jahr 2010 gehen 90 Prozent der Unternehmen davon aus, dass sie in den kommenden drei Jahren
Cloud-Computing-Dienste nutzen werden. Wenn jedoch geschäftskritische Anwendungen wie Salesforce.com, Sharepoint oder
SAP-Anwendungen in der Cloud betrieben werden, sind sie auch eine ideale Zielscheibe für Cyber-Kriminelle und Hacker. Hinzu kommt eine Vielzahl weiterer Sicherheitsrisiken für Unternehmen: Mitarbeiter nutzen nicht nur die traditionellen
Geschäftsanwendungen. Sie übertragen routinemässig Daten über ihre privaten E-Mail-Accounts von Yahoo oder Gmail, sie
nutzen Peer-to-Peer-Anwendungen wie Limewire und Bittorrent. Sie laden Inhalte von Social Networking Sites wie Facebook
oder Streams von Youtube.
Sofern diese Web-basierenden Anwendungen für den Geschäftsbetrieb eine Rolle spielen, muss ihnen eine entsprechende
Bandbreite eingeräumt werden. Dennoch besteht die Gefahr, dass Schadprogramme ihren Weg ins Unternehmen finden,
vertrauliche Informationen verloren gehen oder auch gesetzliche Vorgaben nicht eingehalten werden.
Neue Konzepte sind gefordert
Um diese Probleme zu lösen, muss sich die Herangehensweise an das Thema Sicherheit ändern. So bietet die
Perimeter-basierende Netzwerküberwachung alleine heute nicht mehr ausreichenden Schutz. Laptops, die den WiFibeziehungsweise WLAN-Funknetzstandard nutzen, 3G/4G-Smartphones und eine dynamische Port-Wahl untergraben die
herkömmliche Netzwerk- und Zugriffsüberwachung. Zudem ist eine dedizierte Vergabe der Bandbreiten notwendig, um den
grösstmöglichen Netzwerkdurchsatz zu erzielen und produktives Arbeiten zu ermöglichen.
Die Lösung: Application Intelligence und Visualisierung
Application Intelligence geht über die einfache Port- oder Adress-Blockierung hinaus und leistet damit mehr als traditionelle
Firewalls. Application Intelligence erkennt, kategorisiert und kontrolliert den Datenverkehr der Anwendungen. Damit kann der
IT-Verantwortliche den Datenverkehr blockieren, einschränken und priorisieren. Handelt es sich zum Beispiel um Daten aus
der SAP-Lösung, müssen diese bevorzugt behandelt werden. Sind es hingegen Daten von Youtube oder Limewire, kann man
zu einem hohen Prozentsatz davon ausgehen, dass es sich um private Daten handelt. Mit einer Firewall, die den Datenverkehr
der Anwendungen kontrolliert, können IT-Verantwortliche die neuen Herausforderungen bewältigen:
? P2P-Anwendungen im Griff behalten: P2P-Anwendungen benötigen eine hohe Bandbreite und können auch mit Malware
infiziert sein. Zudem sind diese Anwendungen schwer zu kontrollieren, da Entwickler regelmässig die Ports ändern, um die
Schutzmassnahmen der Firewalls zu umgehen. Ein Application-Intelligence-Gateway kann dank spezifischer
Anwendungssignaturen auch P2P-Applikationen überwachen, die mehrere Portnummern öffnen und gleichzeitig flexibel
Bandbreiten zuteilen. So kann eine Universität ihren Studenten beispielsweise lediglich zehn Prozent der vorhandenen
Bandbreite für die Nutzung von Limewire gewähren. Zugleich kann die Bildungseinrichtung den Datenverkehr im Detail
überwachen.
? Datenübertragungen beschränken: Die Übertragung grosser Dateien – sei es über FTP oder über P2P-Anwendungen –
benötigt hohe Kapazitäten, sofern der Datenverkehr nicht effizient kontrolliert wird. Um den Versand übermässig grosser
Dateien zu verhindern, können Administratoren eine Sicherheitsrichtlinie vorgeben, die den Filetransfer über FTP oder die
Übertragung von P2P-Dateien auf eine bestimmte Grösse beschränkt.
? Streaming Media – nur für bestimmte Benutzergruppen: Auch Musik und Videos benötigen enorme Netzwerkkapazitäten und
schmälern die Bandbreite, die für geschäftskritische Anwendungen notwendig ist. Ein Beispiel: Ein IT-Administrator in den
USA benötigte für den Download einer Patch-Datei mehr als eineinhalb Stunden. Im Schnitt nimmt dieser Vorgang nur wenige
Minuten in Anspruch. Er konnte zunächst nicht herausfinden, was die – sehr schnelle – Internetverbindung zum Flaschenhals
machte. Letztlich stellte sich heraus, dass an diesem Tag die Saison der amerikanischen College-Ligen National Collegiate
Athletic Association (NCAA) startete und die Mitarbeiter im Unternehmen mit den Downloads der Audio- und Videodaten das
Netzwerk nahezu lahmlegten. Ein Application-Intelligence-Gateway bietet eine detaillierte Kontrolle über Streaming Media und
Social-Networking-Anwendungen. Zudem kann der IT-Administrator einer bestimmten Benutzergruppe wie der
Marketing-Abteilung den Zugriff auf Youtube erlauben, um Werbevideos zu veröffentlichen und für andere Abteilungen im
Unternehmen den Zugriff darauf einschränken oder gar vollständig untersagen.
? Vertrauliche Daten richtig schützen: Es kann natürlich auch passieren, dass vertrauliche Daten unabsichtlich über einen
FTP-Upload oder als E-Mail-Anhang in falsche Hände geraten. Aber auch verärgerte Mitarbeiter oder Mitarbeiter, die Angst um
ihren Arbeitsplatz haben, stellen eine Gefahrenquelle dar. Sie können sich problemlos und unauffällig Kundenadressen,
Finanzzahlen des Unternehmens oder ähnlich geschäftskritische Informationen verschaffen. Eine Studie von Cyber-Ark
Software aus dem Jahr 2008 besagt, dass die Hälfte aller Mitarbeiter, denen Gerüchte über eine Kündigung zu Ohren
gekommen sind, wettbewerbsrelevante Unternehmensinformationen gestohlen haben. Deshalb ist es umso wichtiger,
vertrauliche Dateien mit einem Wasserzeichen zu versehen und sie somit als geschäftskritische Information zu kennzeichnen.
Diese Informationen können dann per E-Mail nicht mehr versandt werden.
? Gezielt den gesamten E-Mail-Verkehr überwachen: E-Mails, die nicht über das Mailsystem des Unternehmens übertragen
werden, stellen eine weitere Gefahrenquelle dar. Zum einen setzen sich Anwender damit Sicherheitsrisiken wie beispielsweise
Malware aus, zum anderen können Daten verloren gehen oder unabsichtlich an Dritte gelangen. Werden keine
Schutzvorkehrungen getroffen, können Mitarbeiter im Unternehmen oder Partner vertrauliche Informa-tionen über SMTP und
POP3-E-Mail oder auch ihre persönlichen Accounts von Diensten wie Hotmail oder Googles Gmail versenden. Dank Application
Intelligence ist es möglich, den E-Mail-Verkehr, der über Third-Party-Anbieter abgewickelt wird und über das
Unternehmens-Gateway transportiert werden soll, zu identifizieren, zu analysieren und zu überprüfen.
Vollständig abgesichert – heute und in Zukunft
In Kombination mit den traditionellen Funktionen einer Firewall bietet Application Intelligence und Visualisierung also einen
guten Schutz vor aktuellen und künftigen Bedrohungen, die durch Web-2.0-Anwendungen sowie durch Cloud Computing
entstehen. So ist es beispielsweise möglich, manipulierte Links auf Social-Networking-Plattformen wie Facebook frühzeitig zu
erkennen und Daten auf Anwendungsebene zu prüfen. Application Intelligence sorgt ausserdem dafür, dass Anwender
Malware nicht herunterladen und Inhalte gefiltert werden, um das Firmennetzwerk und Anwender gleichermassen zu schützen.
Auch dem Datenverkehr, der durch die Anwendungen «in der Cloud» entsteht, sind traditionelle Firewalls nicht mehr
gewachsen. Application Intelligence schafft hier Abhilfe. Leistungsstarke Application-Intelligence-Gateways sind also eine
unerlässliche Lösung, um Anwendungsdaten, die über das Internet übertragen werden, ausreichend abzusichern.
Was Firewalls heute leisten sollten
Kontrolle der Anwendungen und der Anwendungsdaten: Administratoren können bestimmte Anwendungen sowie unerlaubte
Websites, Browser oder Instant Messaging Clients anhand von Regeln blockieren oder einschränken. Darüber hinaus können
sie die Nutzung von Anwendungen nach Dateityp (z.B. EXE, PIF, SRC, VBS) untersagen oder limitieren.
Visualisierung der Unternehmensanwendungen: Dank der Echtzeitübersicht haben IT-Verantwortliche einen Überblick über
alle im Unternehmen genutzten Anwendungen. Filter ermöglichen es dabei, die Daten dediziert nach Usern, Gruppen,
Applikationen etc. aufzubereiten, um damit eine Basis für das Regelwerk der Application-Firewall zu schaffen.
Schutz vor Datenverlust: Application Intelligence ermöglicht es, die Übermittlung von geschäftskritischen Informationen oder
Dateien, die mit einem digitalen Wasserzeichen geschützt sind, zu kontrollieren oder zu blockieren. Dies umfasst sowohl die
Kontrolle des privaten oder geschäftlichen E-Mail-Accounts als auch den FTP-Upload.
Bandbreitenverwaltung auf Anwendungsebene: IT-Verantwortliche können die Durchsatzraten für geschäftskritische
Anwendungen, Benutzer und Benutzergruppen oder auch Tageszeiten festlegen und damit eine hohe Servicequalität (QoS)
garantieren.
Automatisierte Updates und Benachrichtigungen: Sie gewährleisten, dass Application-Intelligence-Signaturen immer aktuell
sind, geben bei möglichen Regelverletzungen Warnungen aus und informieren Endbenutzer über die Standardrichtlinien, wenn
der Datenzugriff blockiert oder beschränkt wird.
Deep Packet Inspection für den SSL-Verkehr: Die Appliances bieten auch Schutz für den SSL-verschlüsselten Verkehr. Sie
ermöglichen es, Compliance-Vorgaben einzuhalten, den Content zu filtern und vor Datenverlust zu schützen.
Copyright by Swiss IT Media 2017