Zentralisierter Virenschutz für unterbrechungsfreien

Securing Your Web World
Zentralisierter Virenschutz für
unterbrechungsfreien Informationsfluss
Der Multi-Utility-Konzern RWE entschied sich für die Optimierung des Sicherheitskonzepts
gegen Computerviren auf der Basis von proaktivem Outbreak-Magagement. Im Blickpunkt
stand dabei die zentrale Administrierbarkeit einer Lösung, die für den entscheidenden
Zeitvorsprung im Virenfall sorgt.
„ Unsere Erfahrungswerte belegten, dass sich die Reaktionszeiten
der AV-Hersteller im Falle des
Virenausbruchs immer mehr anglichen. Der Zeitgewinn war marginal im Verhältnis zum Mehraufwand der Administration zweier
Systeme. Wesentliche Vorteile im
Kampf gegen die Zeit zwischen
Virenwarnung des Herstellers und
Pattern-Update bringt dagegen ein
Schutzkonzept, bei dem ein Unternehmen während der Wartezeit
selbst aktiv werden kann.
Outbreak Prevention Services
Die Latenzzeit zwischen schadhaften Virenausbrüchen, die weltweit Computersysteme zum Erliegen bringen,
lässt sich nicht vorhersagen. Sicher ist, dass der nächste Angriff umso wahrscheinlicher ist, je mehr Zeit zur
letzten Attacke verstrichen ist. Dass damit auch das Schadenspotenzial einer Vireninfektion ansteigen kann,
belegt die jüngste weltweite Infektionswelle mit Lovsan. Unternehmen brauchen umfassende Schutzkonzepte,
mit deren Hilfe sie der nächsten Angriffswelle rechtzeitig Einhalt gebieten können. Seit über 100 Jahren
versorgt der Großkonzern RWE Millionen Privat- und Geschäftskunden mit Strom, Gas, Wasser und einer
Vielzahl von Dienstleistungen rund um Energie. Ausfallsicherheit der Infrastruktur ist für den kundenorientierten
Anbieter ein entscheidendes Kriterium. Denn wenn in einer sensiblen Branche wie der Energieversorgung
der Datenfluss im Konzern unterbrochen wird, hat das Konsequenzen für den Kunden am anderen Ende
der Stromleitung. Aus diesem Grund kommt dem vorbeugenden Schutz der Netze vor Computerviren bei
der RWE eine besondere Bedeutung zu. Mit der Aufgabe der Administration der gesamten IT-Umgebung
des Konzerns ist die RWE Systems betraut. Rund 500 Mitarbeiter an 30 Standorten in Deutschland sind für
den reibungslosen Netzwerkbetrieb mit allen Servern und Arbeitsplatz-PCs in dem komplexen Geflecht an
Tochterunternehmen verantwortlich. Sie sorgen für den ungehinderten Datenstrom durch die verzweigten
Netze und den fehlerfreien Dienst aller Programme. Rund 22.000 Rechner, 10.000 Internetzugänge und – als
E-Mail-Hoster des Konzerns – fast 30.000 E-Mail-Boxen werden vom IT-Stab der RWE Systems installiert,
gepflegt und gewartet.
Sicherheits- und Effizienzsteigerung auf dem Plan
Zu einer Basisaufgabe des IT-Dienstleisters zählt neben der Aufrechterhaltung des Betriebs die strategische
Konzeption der Systemverwaltung. Die ausgegliederte RWE IT-Tochter muss sich nach wirtschaftlichen
Gesichtspunkten auf dem Markt beweisen und
kostenbewusst operieren. Daher ist die RWE
Systems fortlaufend auf der Suche nach Verb
esserungsmöglichkeiten zur Abwicklung ihres
Aufgabenportfolios. Bei der Restrukturierung des
Sicherheitskonzepts für die RWE stand deshalb zu
Beginn des Jahres 2003 nicht nur die Optimierung
des Virenschutzes auf dem Programm. Aus
Gründen der Effizienzsteigerung war bei der RWE
Systems auch die erleichterte Administrierbarkeit
der Lösung gefragt.
, so Projektleiter Stefan
Eesmann von RWE Systems.
waren die Lösung für die RWE “
Michael Voss, Networkers AG
Bisher baute die RWE Systems auf ein Konzept, bei
dem unterschiedliche Einfallstore durch Antivirenprodukte abgesichert wurden. Die Unternehmensrichtlinien
sahen vor, dass der ein- und ausgehende SMTP-, HTTP- und FTP-Datenverkehr am Gateway geschützt
wurde. Unabhängig davon waren die einzelnen PCs und File-Server abgesichert. Durch den Einsatz von
Antivirensoftware (AV-Software) unterschiedlicher Hersteller versprach man sich einen Zeitgewinn im Fall
des Virenausbruchs. Je nach Reaktionszeit erhielt man das aktuelle Viren-Pattern zuerst für den Schutz
am Gateway oder am PC bzw. File-Server. Dadurch garantierte man zumindest für einen Bereich die
kürzestmögliche Latenzzeit zwischen dem Bekanntwerden eines neuen Virus und der Abhilfe durch das
Pattern-Update. Diese Sicherheitspraxis ging allerdings mit dem Nachteil des zweifachen administrativen
Aufwands zur Pflege und Wartung unterschiedlicher Produkte einher.
Wachablösung durch Outbreak-Management
Die RWE Systems ließ sich zur Überarbeitung der RWE-Sicherheitspraxis von dem Systemintegrator
Networkers AG unterstützen. Deren Lösungsansatz für eine ganzheitliche Antiviren-Strategie sah eine neue
Komponente vor. Neben der Absicherung von zwei Einfallstoren berücksichtigte das Kozept den bis dato
ungeschützten internen Mailverkehr unter den vielen RWE-Beteiligungsfirmen. Die zusätzliche Einfürung von
zentral verwaltbaren „Outbreak Prevention Services“ gewährte den RWE Systems-Administratoren darüber
Seite 1
RWE Systems I SUCCESS STORY
TREND MICRO I RWE Systems
hinaus den gewünschten Handlungsspielraum. Michael Voss von den Networkers verargumentiert den
Strategiewechsel:
Die
Networkers AG suchte zur Umsetzung dieser Strategie ein Produkt für den Schutz der 60 internen E-MailServer und nach einer zentralen Management-Konsole für das gesamte Antivirensystem. Die Abdeckung
der Mail-Server war zeitgemäß, da die interne Ansteckungsgefahr durch E-Mail-Viren mit der großen Zahl
von Notebook-Usern stieg. Die Notebook-Mailboxen wurden nach dem Außeneinsatz nicht am Gateway
durchsucht, sondern direkt an das Netzwerk angeschlossen: Hier öffnete sich ein potenzielles Einfallstor.
Die zentrale Management-Konsole wurde für das proaktive Outbreak-Management geplant. Über deren
Funktionalität sollte zukünftig auf zusätzlicher Ebene ein Schutz über das gesamte Netzwerk ausgebreitet
werden: Wenn nach Auftreten eines neuen Computervirus das spezifische Pattern-File noch nicht vorliegt,
kann das Unternehmen nach der ersten Benachrichtigung über die Gefahr durch den AV-Hersteller
dennoch selbst reagieren. Denn verdächtige E-Mails werden aufgrund ihrer allgemeinen Eigenschaften, wie
beispielsweise Attachement-Dateiformate, geblockt.
Entscheidungshilfe durch den Ernstfall
Als die Evaluierungsphase für die geplanten Neuerungen begann, waren bei der RWE die folgenden
Produkte im Einsatz: Auf Ebene des Gateways untersuchte die TREND MICRO Inter-Scan VirusWall den
ein- und ausgehenden Datenverkehr nach Computerviren. Zusätzlich blockte deren eManager unerwünschte
Attachements und filterte Spam. Die Arbeitsplatzrechner und File-Server wurden durch Symantec abgedeckt.
Diese Produkte sollten mit der neuen Lösung harmonieren. Die gesuchte Software musste darüber hinaus
eine technische Herausforderung bewältigen. Bei der RWE waren unterschiedliche Exchange-Versionen auf
den Mail-Servern im Einsatz. Die Antivirensoftware musste sowohl Exchange 5.5 als auch Exchange 2000
bedienen.
, so Rainer Schneider, technischer Berater der Networkers.
Außerdem stellte die große Menge an Postfächern pro MailServer hohe Anforderungen an die Echtzeit-Scan-Fähigkeit der Software. Mitten in der Evaluierungsphase
unterschiedlicher Produkte trat bei der RWE der Ernstfall ein. Der Virus „Lovegate“ verbreitete sich im Februar
2003 in Windeseile über die ungeschützten Mail-Server innerhalb des Netzwerks. Die RWE Systems musste
die Server herunterfahren, um die sich rasch über Outlook-Adressen verbreitende E-Mail-Flut einzudämmen.
Erst nach zwei Stunden fieberhafter Arbeit der Systemadministratoren konnten die Server wieder gestartet
werden. Eine erste Schadensbilanz zeigte, dass 2000 Rechner und 50 Mail-Server mit dem Virus infiziert
waren. Stefan Eesmann testete mit dem Networkers-Team zu dieser Zeit unter anderem die TREND MICROLösung ScanMail for Exchange und die darin enthaltenen Features für die zentrale AV-Systemverwaltung.
Die Management-Eigenschaften des TREND MICRO Content Managers bewährten sich bei der Entfernung
des Lovegate-Viruses aus den infizierten Mail-Servern: Innerhalb eines Manntages installierten Techniker der
Networkers den Content Manager und TREND MICRO ScanMail for Exchange zu Testzwecken an einem
der befallenen ExchangeServer. Diese Lösungskombination konnte überzeugen.
ÜBER TREND MICRO
Trend Micro, einer der international führenden Anbieter für Internet-ContentSecurity, richtet seinen Fokus auf den
sicheren Austausch digitaler Daten für
Unternehmen und Endanwender. Als
Vorreiter seiner Branche baut Trend
Micro seine Kompetenz auf dem Gebiet der integrierten Threat Management
Technologien kontinuierlich aus. Mit diesen kann die Betriebskontinuität aufrecht
erhalten und können persönliche Informationen und Daten vor Malware, Spam,
Datenlecks und den neuesten Web
Threats geschützt werden.
Unter www.trendmicro.com/go/trendwatch
informieren sich Anwender zu aktuellen
Bedrohungen. Die flexiblen Lösungen von
Trend Micro sind in verschiedenen Formfaktoren verfügbar und werden durch ein
globales Netzwerk von Sicherheits-Experten rund um die Uhr unterstützt.
Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und
bietet seine Sicherheitslösungen über
Vertriebspartner weltweit an.
Weitere Informationen zu Trend Micro
finden Sie im Internet unter
www.trendmicro.com
Zentrales Management schafft Zeitvorsprung
Ausschlaggebend für die Wahl waren einerseits die Funktionalität und die leichte Administrierbarkeit des
Control Managers. Über ihn werden Pattern-Files zentral und effektiv für alle TREND MICRO Produkte
aktualisiert. Die Einstellungen der Antivirensoftware an den Servern können aus der Ferne über einen
Web-Browser konfiguriert werden.
Zudem ist mit dem TREND MICRO Control Manager die Grundlage für ein proaktives
Outbreak-Management bei einem Virenausbruch gelegt. Sobald die ersten Informationen über einen neuen
Computervirus vorliegen, werden Gegenmaßnahmen eingeleitet – auch ohne das eigentliche Pattern. Im
Zuge der Enterprise Protection Strategie (EPS) von TREND MICRO sind über das Tool angriffsspezifische
Einzelheiten und Richtlinienempfehlungen im Internet verfügbar. Diese lassen sich über die Software zentral
für das gesamte Netzwerk einsetzen. Der Vorteil einer derartigen Absicherung während der Latenzzeit liegt
auf der Hand: Das Beispiel Lovegate hat gezeigt, dass die kurze Zeit zwischen Virenalarm und Verfügbarkeit
des Pattern-Updates für einen Computervirus zur Netzwerkinfektion ausreicht. Der Control Manager kann
das Unternehmen für diese Zeitspanne vor der Ansteckung mit dem neuen Virus schützen. Das Netzwerk
wird schnell und effizient abgeschottet, ohne dass Verfügbarkeit und Leistung eingeschränkt sind. Aufbauend
auf der ersten Bewährungsprobe vollzog man den Roll-Out der neuen Lösung auf allen Exchange-Servern
des RWE-Netzwerks innerhalb weniger Wochen.
, so das Fazit von Stefan Eesmann. Nicht zuletzt konnte der Hersteller durch schnelle
Patternverfügbarkeit und Stabilität der Lösung im Ernstfall überzeugen. Schädliche Viren wie Bugbear,
Slammer und Lovesan, die seither für Negativschlagzeilen gesorgt haben, blieben bei den RWE-Netzen
außen vor. Das umfassende Schutzkonzept auf strategischer Basis hat sich bewährt.
Trend Micro Deutschland GmbH, Lise-Meitner-Str. 4,
D-85716 Unterschleißheim, Tel: 0800 330 453 (kostenfrei für
Anrufe aus der Schweiz), eMail: [email protected]
© 2008 by Trend Micro. Alle Rechte vorbehalten. Trend Micro,
das T-Bal-Logo, Network VirusWall, Trend Micro Control Manager,
Trend Micro InterScan, Trend Micro ScanMail, Trend Micro
ServerProtect und TrendLabs sind Marken oder eingetragene Marken
von Trend Micro. Alle anderen Firmen- und/oder Produktnamen
sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
Die in diesem Dokument enthaltenen Informationen können sich ohne
vorherige Ankündigung ändern.
Geschäftsführer: Raimund Genes, Amtsgericht München HRB 114739
www.trendmicro.com
Seite 2
RWE Systems I SUCCESS STORY