Drohende Angriffe von draußen, drohendes Verwaltungs-Chaos drinnen – über die Zeit sind viele Internet-Grenzwälle zu einem kaum mehr überschau- und beherrschbaren Sammelsurium von nicht-integrierten Sicherheitswerkzeugen angewachsen. Hinzu kommen eine große Systemvielfalt auch außerhalb der IT-Sicherheit und weiterhin steigende Komplexität. Die Folgen bleiben nicht aus: Hohe Kosten, Stressfaktoren und Sicherheitsrisiken durch aufwändige Administration, eine steigende Flut von Updates sowie nicht zuletzt Konfigurations- und Bedienfehler.
Abhilfe versprechen die Integration von Sicherheitsmechanismen und der Einsatz von Verzeichnisdiensten mit den zugehörigen Komponenten für die Benutzer- und Rechteverwaltung – oder etwas "neudeutscher": Unified Threat Management (UTM) sowie Identity- und Access-Management (IAM). Eine verbesserte und konsistente Verwaltung mithilfe solcher Systeme unterstützt zudem ganzheitliche Sicherheitsstrategien, die verstärkt auch gegen Gefährdungen von "innen" wirken, die Sicherheitsstudien immer wieder belegen. Beispielsweise führt die Informationweek mittlerweile bereits rund ein Drittel aller Attacken auf Unternehmensdaten und -systeme auf menschliches Versagen oder Konfigurationsfehler zurück. Und der Gefahrenbereich "Irrtum und Nachlässigkeit eigener Mitarbeiter" belegt seit jeher in den <kes>-Studien einen "Spitzenplatz"; auch im letzten Jahr haben die Befragten der <kes>/Microsoft-Sicherheitsstudie dieser Bedrohung wieder die höchste Priorität eingeräumt.
----------Anfang Textkasten----------
Konsolidierung im Grenzwall im Einklang mit der Direktive von innen durch Identity- und Access-Management (IAM) – ein derartiger Strategiewechsel wird in einem Unternehmen auch organisatorisch vollzogen werden müssen: "Bisherige punktuelle Sicherheitsstrategien, fachlich umgesetzt durch Teilverantwortungen für die Sicherheitssysteme des Internet-Grenzwalls, werden sich den Anforderungen einer ganzheitlichen IT-Sicherheitsarchitektur fügen müssen", unterstreicht Marcus Rubenschuh von Ernst & Young. Auch in puncto Schutzstrategien stünde damit ein Wechsel an: "Unternehmen werden über die Direktive von innen über IAM erstmals die Chance haben, ihre Sicherheitsmechanismen und -richtlinien ganzheitlich zu betrachten, einzusetzen und bei Bedarf flexibel zu verändern."
"Personelle Spannungen wird der anstehende technische und konzeptionelle Wechsel in den Unternehmen dennoch nicht mit sich bringen", schätzt Andre Hohner von Unilog Avinci: "Personalkapazitäten im Security-Bereich, die an einzelnen Stellen eingespart werden können, wird man an anderer Stelle, im wachsenden Einflussbereich von IAM, dringend brauchen." Allerdings, so der Berater weiter, müsse dazu das Sicherheitsfachpersonal den Strategiewechsel und die neuen Aufgabengebiete voll akzeptieren.
----------Ende Textkasten----------
"UTM-Lösungen vereinen wichtige Sicherheitswerkzeuge wie VPN, Firewall, Anti-Virus-Scanner, Content-, E-Mail- und Spam-Filter sowie Intrusion Detection auf einer Plattform", beschreibt Marcus Rubenschuh, Senior Manager IT-Security bei Ernst & Young. Diese Lösung habe für die Unternehmen viele Vorteile: "weniger Administrationsaufwand durch die Überwachung und Führung aller integrierten Sicherheitswerkzeuge an einer Konsole und unter einer einheitlichen Oberfläche, dadurch weniger Konfigurations- und Bedienungsrisiken sowie weniger Updates und Sicherheits-Patches." Denn bei UTM-Lösungen beziehe jede neue Software automatisch alle auf der Plattform integrierten Werkzeuge ein.
![[Foto Marcus Rubenschuh]](05-5-021-1-150.jpg)
Marcus Rubenschuh (Ernst & Young): Punktuelle Sicherheitsstrategien, die fachlich durch Teilverantwortlichkeiten für einzelne Sicherheitssysteme umgesetzt sind, werden sich den Anforderungen einer ganzheitlichen IT-Sicherheitsarchitektur fügen müssen.
Ulrich Hahn, Sicherheitsberater bei Secure Computing in München, hält eine schnelle Eindämmung der Update-Flut aus einem weiteren Blickwinkel für wesentlich: "Neue Updates und Patches können immer wieder auf geschäftskritischen Sicherheitswerkzeugen zu Ablaufproblemen führen." Während dieser Zeit könnten Geschäftsdaten und -abläufe ungedeckt bleiben. "Zudem", so Hahn weiter, "ist der Einsatz von UTM Appliances für die Unternehmen die einzige Möglichkeit, mit dem Wildwuchs an Schnittstellen im Internet-Grenzwall aufzuräumen." Nicht zuletzt dieser Wildwuchs blockiere bisher eine Integration der verschiedenen Administrationswerkzeuge in ein zentrales Benutzer- und Rechtemanagement.
Und genau das wird künftig für Unternehmen immer wichtiger: zunächst Benutzer und Rechte, später dann auch die Konfigurationen von Sicherheitswerkzeugen über IAM verwalten. "Das erspart kostspielige und fehleranfällige Mehrfacherfassung und -administration in vielen Einzelsystemen und verschafft Überblick über alle Sicherheitssysteme", verweist Brigitte Wirtz, Leiterin IT Security bei Siemens Business Services, auf die grundsätzlichen Vorteile dieser Verwaltungsintegration. Die Standardschnittstelle Lightweight Directory Access Protocol (LDAP) und das Standarddateiformat Lightweight/LDAP Data Interchange Format (LDIF) haben dafür wichtige Voraussetzungen geschaffen: "Die Hersteller von UTM Appliances sind nun gefordert, auch ihre Konfigurationen so zu hinterlegen, dass sie gegebenenfalls im zentralen Verzeichnis von IAM verwaltet werden können", betont Wirtz.
Brigitte Wirtz (Siemens Business Services): Die Standards LDAP und LDIF haben wichtige Voraussetzungen für eine Integration von Verwaltungsaufgaben geschaffen – nun müssen Hersteller von Sicherheitssystemen nachziehen, damit auch deren Konfigurationsdaten im zentralen Verzeichnis administrierbar werden.
Die International Data Corporation (IDC) belohnt die vielen Vorteile von UTM Appliances, einschließlich dem eines schlanken "Zubringers" für das Identity- und Access-Management, mit imposanten Wachstumsprognosen: Danach sollen die Umsätze mit den integrierten Werkzeug-Plattformen bis 2009 Jahr für Jahr im Schnitt um 26,7 %, die Zahl der ausgelieferten Einheiten um 18,1 % zulegen. Von 2003 auf 2004 hatte der Markt für UTM Appliances bereits einen Blitzstart von plus 51,2 %, bei den Einheiten von plus 66,3 % hingelegt. "Für die Anwender erheblich niedrigere Produktpreise im Vergleich zum Kauf vieler Einzelwerkzeuge (bis -40 %), dazu ein um die mehr als die Hälfte geringerer Betriebsaufwand gegenüber zuvor begünstigen diesen starken Trend", unterstreicht Ulrich Hahn (Secure Computing).
Der sich anbahnende Wechsel zur Sicherheitsdirektive von innen per IAM hat jedoch nicht nur verwaltungstechnische Gründe, um im Unternehmen über eine zentrale Administration kräftig auf die Kostenbremse zu treten: "Dieser Verwaltungszentralismus wird es den Sicherheitsverantwortlichen erstmals ermöglichen, ihr gesamtes IT-Sicherheitsgefüge besser zu überschauen, effizienter zu steuern, flexibler internen wie externen Veränderungen anzupassen sowie Sicherheitslücken konsequenter zu schließen", unterstreicht Andre Hohner, Senior Consultant beim Beratungshaus Unilog Avinci.
"Über IAM können Unternehmen über eine umfassende Zugriffskontrolle und effiziente Steuerung angrenzender Sicherheitsmechanismen ihren Geschäftsraum flexibel ausweiten", nennt Ray Wagner, Senior Consultant im Bereich Security Strategies bei Gartner, einen zusätzlichen Vorzug der zentralisierten Verwaltung. Hohner ergänzt: "Ohne die zentrale Kontrollinstanz IAM und ein damit ebenfalls zentralisiertes Auditing werden die Unternehmen kaum den immer komplexeren internen Controlling-Anforderungen sowie neuen gesetzlichen Auflagen wie Sarbanes-Oxley oder EU-Richtlinien und entsprechenden nationalen Richtlinien folgen können."
Die Gefahr, sich mit einem anstehenden IAM-Projekt zu überheben, sieht Hohner dabei durch eine mittlerweile modulare Lösungsgestaltung weitgehend gebannt: "Dadurch können die Unternehmen mit dem IAM-Baustein starten, der sich für sie am schnellsten rentiert." Diese Strategie helfe auch, den Einkauf für die notwendigen Investitionen ins Identity- und Access-Management zu gewinnen. Eine komplette IAM-Lösung rekrutiert sich aus den Modulen zentrale Benutzeradministration, Rechte- und Rollen-Management, Single Sign-on (SSO) sowie "Smartcards". Derart umfassende und modular aufgebaute IAM-Lösungen offerieren Hersteller wie Evidian, IBM, CA, Siemens Communications, Novell sowie neuerdings auch BMC und HP.
Bei Evidian sieht man sich aufgrund langjähriger Erfahrungen im IAM-Bereich in einer guten Startposition, um von innen nach außen mehr Ordnung ins IT-Sicherheitsgefüge zu bringen. Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland, verweist hier auch auf die Gartner-Studie "Identity and Access Management Now" und empfiehlt: "Den Anfang des IAM-Projekts sollten aus konzeptioneller Sicht die Module zum zentralen Benutzermanagement sowie Rechte- und Rollenmanagement machen". Wobei das aber kein generelles Muss sei, wie er einschränkt: "In vielen Einsatzfällen zahlt sich der Einstieg über das SSO-Modul schneller aus". SSO koppelt im Hintergrund die Netzeingangskontrolle (Authentifizierung) mit der Zugriffskontrolle für die Zielsysteme (Autorisierung), ohne dass die Benutzer ihre Zugriffsprivilegien zu sehen bekommen. "Dadurch", so Schöndlinger, "können Passwörter nicht mehr vergessen werden oder in falsche Hände geraten."
![[Foto Erwin Schöndlinger]](05-5-021-3-150.jpg)
Erwin Schöndlinger (Evidian): In vielen Einsatzfällen zahlt sich der Einstieg in Identity- und Access-Management über Single Sign-on am schnellsten aus.
Welche Aufwandsreduzierung damit für die Unternehmen verbunden ist, verdeutlicht Marcus Rubenschuh (Ernst & Young): "Der Helpdesk ist nicht länger gefordert, immer wieder neue Passwörter auszustellen und sicher den Mitarbeitern zuzuweisen." Das könne die Benutzerunterstützung um bis zu 40 % entlasten. "Und je mehr Zielsysteme aus der Legacy-, Client/Server- und Web-Welt in den SSO-integriert werden, umso deutlicher fallen die Einsparungen für das Unternehmen aus." Dazu kommt ein möglicher Produktivitätszuwachs durch beschleunigte Zugriffe sowie Schadensminimierung, weil Mitarbeiter nicht mit vielen Passwörtern herumhantieren müssen; denn das nutzen heute Angreifer oft zum Ausspähen der Zugangskennungen aus.
"Der SSO-Self-Service, über den Mitarbeiter nach ihrer Anmeldung am Netz automatisch ihre vordefinierten Zugriffsprivilegien erhalten, ist ein weiterer Einsparungsfaktor", so der Berater. Laut Rubenschuh ist das SSO-Modul somit derjenige Baustein im IAM-Quartett, der sich gut für eine Rentabilitätsberechnung eignet. Rubenschuh sensibilisiert die Entscheider, jedoch nicht prinzipiell bei allen IAM-Modulen von herleitbaren Einsparungen und Produktivitätszuwachs auszugehen.
Das sieht die Gartner-Studie "Identity- and Access-Management Now" am Beispiel von Evidians Access Master anders: Dort spricht man von Einsparungen von 30 % und mehr gegenüber dem Status quo durch die IAM-Module zur zentralen Identitäts- und Rechteverwaltung. Einen wesentlichen Anteil daran habe demnach das Rollen-Management: Der Einsatz derartiger Gruppenrechte vereinfacht dem Administrator nicht nur die Verwaltungsarbeit und den Überblick über das Zugriffskontrollsystem, beispielsweise um potenzielle Einstiegslöcher konsequenter zu schließen. Auch neue Mitarbeiter oder Mitarbeiter in veränderter Funktion ließen sich über Rollen viel schneller als heute "produktiv schalten".
Laut Brigitte Wirtz (Siemens Business Services) kann auch das vierte IAM-Modul zum Smartcard-Einsatz neben einem Zugewinn an Sicherheit erhebliches Einsparpotenzial sowie Produktivitätszuwachs bieten – zumal, wenn über eine integrierte Zutrittskontrolle die Schutzmechanismen noch über die Internetwelt hinaus wirkten. Wirtz: "Solche Multifunktionskarten öffnen, sofern berechtigt, automatisch Parkschranken, Eingangstore und Türen. Sie erfassen Arbeitszeiten, signieren Dokumente und verschlüsseln selbsttätig E-Mails. Sie verfolgen Firmenleihgüter, vereinfachen Reiseabrechungen und fungieren als elektronische Geldbörse für direkte Zahlungsvorgänge." Vor allem das Spar- und Beschleunigungspotenzial durch elektronische Unterschriften entlang von Bearbeitungsketten stellt sie als besonders lohnend heraus: Wirtz verweist dazu auf den Siemens-Konzern, der durch elektronische Unterschriftenprozesse Kosten- und Zeiteinsparungen von bis zu 90 % gegenüber dem vormaligen Zustand erreicht habe.
----------Anfang Textkasten----------
Dass der Markt für Virtual Private Networks (VPNs) nach Einschätzung von Meta Group/Gartner nur noch geringe Zuwächse verzeichnen wird, ist womöglich nur die halbe Wahrheit. Glaubt man einer Studie der International Data Corporation (IDC), so werden speziell SSL-VPNs klassischen Netzwerk-VPNs (z. B. via IPSec-Tunnel) zunehmend den Schneid abkaufen. Der Analyst sieht das Teilsegment SSL-VPN gegen den allgemeinen VPN-Trend bis 2009 im Jahresschnitt um 35 % expandieren.
Für ein Unternehmen kann ein SSL-VPN markante Kostenvorteile haben: So kommt der SSL-Tunnel ohne VPN-Client-Software aus, da er auf dem Standard-Browser aufsetzt. Dadurch entfällt auf den PCs und künftig mobilen Geräten auch der komplette Betriebsaufwand für eine solche spezielle Software (Installation, Konfiguration, Administration, Updates, Support und Wartung). Auf Sitzungsebene angesiedelt, ist das SSL-VPN zudem in der Lage, Ende-zu-Ende-Tunnel bis in die Zielsysteme hinein zu etablieren, mit direkter Übergabe an die Authentifizierung und Autorisierung durch Identity- und Access-Management (IAM). Dieses direkte Zusammenspiel könnte künftig womöglich sogar Authentifizierungs-Server (etwa RADIUS oder TACACS+) sowie Application Proxy Firewalls obsolet machen, womit das Potenzial besteht, die Komplexität im Internet-Grenzwall weiter zu lichten.
----------Ende Textkasten----------
Für Andre Hohner (Unilog Avinci) sind Smartcards als verlängerter Arm zum IAM ebenfalls ein Muss: "Wenn eine erfolgreiche Authentifizierung über den SSO einer Eintrittskarte für alle berechtigten Zielsysteme gleichkommt, so muss diese Authentifizierung besonders verlässlich abgesichert werden", erklärt er. Andernfalls habe auch ein Angreifer gute Chancen für den Zugriff auf alle Applikationen, für die der legitime Benutzer eine Berechtigung hat.
Durch Virtual Private Networks (VPNs) auf Basis des Secure Sockets Layer (SSL) werde sich der Druck in Richtung starker Authentifizierung noch verstärken, ist sich Hohner sicher (vgl. Kasten). Auf Sitzungsebene angesiedelt, könnte ein SSL-VPN künftig vorgeschaltete Sicherheitswerkzeuge wie Firewalls- und Authentifizierungs-Server glatt passieren: "Für diesen Einsatzfall werden Unternehmen nicht daran vorbeikommen, bei allen Desktops und mobilen Geräten auf eine Zwei-Faktor-Sicherheit bestehend aus Chipkarte oder Token zu setzen", prophezeit der Berater.
Hadi Stiel ist freier Journalist und Berater in Bad Camberg.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#5, Seite 21
| 