[ Porträtfoto: Norbert Luckhardt] Integrationsprobleme

Ordnungsmerkmale

erschienen in: <kes> 2005#4, Seite 3

Rubrik: Editorial

Früher einmal war eine Firewall ein Tor-Posten, der ein- und abgehende Pakete dirigierte: "Port 25? Zum Mail-Server in der DMZ, gleich da hinten links! Der Nächste: 31337 abgehend? Bedaure!" – Heute ähnelt eine "Firewall" schon eher einer Grenzbrigade mit Transitverkehr-Verwaltungsgebäude, Containerumschlagplatz und Quarantänestation: "Ah, eine E-Mail! Dazu holen Sie bitte in Haus 4, 2. Stock, Zimmer 23 eine Absender-Unbedenklichkeitsbescheinigung und lassen dann die biologische Abteilung in Sektor 7 auf Viren prüfen, anschließend zeige ich Ihnen gern den Weg zur Inhaltskontrolle – SMTP-Server? Alles zu seiner Zeit..."

Zum Glück sind die "Grenzer" in den vergangenen Jahren so schnell geworden, dass dennoch eine zügige Abfertigung möglich blieb. Aber der dahinter steckende Verwaltungsaufwand, der Betrieb so vieler unterschiedlicher Systeme und nicht zuletzt auch die Auswertung der "Fahndungsergebnisse" wurden immer mehr zum Problem.

Ein Ansatz für Abhilfe heißt "Integration": mehrerer Sicherheitssysteme unter eine übergreifende Administrationskomponente oder auch etlicher Sicherheitsfunktionen in eine Appliance. Und sicherlich hilft es tatsächlich, wenn Vorgänge sich vereinheitlichen lassen oder über eine zusätzliche Abstraktionsebene zu steuern sind. Aber wie sieht es mit der Komplexität dieser Systeme aus?

Früher einmal war Komplexität relativ gut sichtbar: Ich erinnere mich noch an eine waschmaschinengroße Micro-Vax, deren VMS-Betriebssystemdokumentation in einer endlos scheinenden Zahl von Ordnern mehrere Bücherschränke gefüllt hat. Heute kommt beispielsweise mit einer Firewall/VPN-Appliance von der Größe einer Zigarrenkiste eine einzige CD-ROM (und die Doku darauf umfasst 2400 PDF-Seiten). Was wirkt – was ist? – komplexer?

Mit der Verdichtung von Sicherheits- (oder auch Applikations-)Funktionen geht in aller Regel eine Verdichtung des dafür benötigten Wissens einher, was gute Schulung und ausreichende personelle und zeitliche Ressourcen erfordert. Doch selbst dann bleibt die Frage: Wie weit können wir noch gehen? Gibt es nicht irgendwann eine Grenze dessen, was man überhaupt noch verstehen und überblicken kann? Werden neue "hilfreiche" Technik oder eine neue Abstraktionsebene dann noch beherrschbar sein? Für eine Antwort werden wir kommende Systeme und Erfahrungen aufmerksam beobachten.