Unified Threat Management

Das Ende des Sicherheits-Sammelsuriums

26.11.2008 von Christiane Pütter
Wer drei oder vier Security-Lösungen durch ein integriertes Management ablöst, bekommt die IT-Sicherheit besser in den Griff und senkt die Kosten. Das versprechen zumindest die Anbieter. Wie eine Studie zeigt, gelingt das allerdings nur den wenigsten CIOs. Es hapert an Technik und Organisation.
Komponenten eines Unified Threat Management nach Aberdeen.
Foto:

Im Schnitt gehen 14 Prozent des IT-Sicherheitsbudgets dafür drauf, alltäglichen Spam und Hacker-Attacken abzuwehren. Das melden die Analysten von Aberdeen. Nach ihren Zahlen muss ein Unternehmen 120 Angriffen pro Woche standhalten. Allein im vergangenen Jahr sind 400.000 neue Viren, Würmer und sonstige Malware-Varianten beobachtet worden. Einzige Antwort laut Aberdeen: Unified Threat Management (UTM).

Dieser Terminus des IDC-Analysten Charles Kolodgy umschreibt das Ziel, an einem zentralen Punkt Sicherheit für das gesamte Netzwerk zu erlangen. Im Gegensatz zu Spezialized Security Appliances (SSA), die für eine spezielle Aufgabe ausgelegt sind, vereint UTM unterschiedliche Sicherheitsaufgaben auf einer Plattform.

Voraussetzung für die Bezeichnung Unified Threat Management System ist laut Wikipedia eine Kombination aus Internet-Gateway, Firewall, Virtual Private Network (VPN) Gateway, Virus Protection, Intrusion Detection System, Contentfilter, Spam Protection, Surf Protection, Authentifizierung, Quality of Service (QoS) und Reporting.

Die Analysten von Aberdeen haben sich die Ergebnisse von Unternehmen angesehen, die mit Unified Threat Management arbeiten. Das Fazit ist ernüchternd: Von einem Allheilmittel kann keine Rede sein. Es kommt viel mehr darauf an, wie die Entscheider UTM einsetzen, d.h., welche firmeninternen Strukturen sie schaffen.

Die unterschiedliche Nutzung von UTM.
Foto:

Wie bei dem US-Marktforscher üblich, werden die Studienteilnehmer in "Best in Class" ("BiC"), Mittelfeld und Nachzügler ("Laggard") eingeteilt. Positive Ergebnisse können in diesem Fall nur die Klassenbesten aufweisen. Das sind 20 Prozent der Unternehmen. Das Mittelfeld hält mehr oder weniger nur den Status Quo, während sich die Schlusslichter (30 Prozent der Firmen) im Jahresvergleich in allen Punkten verschlechtern.

Konkret: Die BiCs haben die Menge an Attacken um acht Prozent verringert, während sie bei den Mittelklasse-Firmen um ein Prozent gestiegen ist (Schlusslichter: zwölf Prozent Anstieg). Sicherheitsbedingte Systemausfälle sanken bei den Musterschülern um sieben Prozent (Mittelfeld: Stagnation, Laggards: fünf Prozent Anstieg). Außerdem mussten die Best-in-Class-Unternehmen quasi keine (plus 0,4 Prozent) zusätzliche Arbeitszeit für die Sicherheit der IT-Infrastruktur bereit stellen (Mittelklasse: plus zwei Prozent, Laggards: plus fünf Prozent).

Die unterschiedliche Nutzung von UTM.
Foto:

Die Ergebnisse resultieren aus Unterschieden im Einsatz von Technik und Organisation. Was die Technik betrifft, so erfassen 71 Prozent der BiCs Daten aus verschiedenen Quellen (Mittelklasse: 63 Prozent, Nachzügler: 50 Prozent). Außerdem arbeiten sie überdurchschnittlich oft mit E-Mail-Monitoring, Web Filtering, Web Content Monitoring und anderen Tools.

Policies aufstellen - und Durchsetzen

Zur Organisation: Drei von vier BiCs haben durchgängige Policies für den Netzwerk-Zugang aufgestellt und sorgen auch für deren Einhaltung (Mittelfeld: 63 Prozent, Schlusslichter: 60 Prozent). Außerdem betrauen die besonders erfolgreichen Firmen einen Einzelnen oder ein Team mit der Verantwortung für das Threat-Management.

Aber der Knackpunkt heißt auch hier: Üben, üben, üben. Die Musterschüler setzen daher stark auf Awareness- und Training-Programme, und zwar jeweils gesondert für IT-Administratoren, IT-Sicherheitsleute und End-Anwender.

Auch, wenn eine große Mehrheit der Firmen mit Unified Threat Management offenbar kaum Verbesserungen erzielt, hält Aberdeen an dem Konzept fest. Es senke die Gesamtkosten für das IT-Sicherheits-Management und sei immer noch besser als ein Sammelsurium an Security-Lösungen. Einer der Studienteilnehmer sagt: "Der Versuch, drei oder vier verschiedene Sicherheitslösungen zu managen, ist einfach krank. Für uns ist der All-in-one-Ansatz besser." Dies vor dem Hintergrund von immer mehr Kanälen, über die der Datenschutz angegriffen werden kann (E-Mail, Web, Instant Messaging, Peer-to-peer File Sharing, Voice over IP und andere).

Viele Marktschreier, wenig Klarheit

Die Analysten räumen ein, dass Entscheider dabei vor einem schwer überschaubaren Markt stehen. So werden UTM-Systeme wahlweise unter UTM, UTM+, UTM 2.0, Extended UTM, xTM, All-in-one-Security, Multi-Function-Security oder Integrated Security feilgeboten. Aus dem Geschrei der Marketing-Leute die Inhalte herauszufiltern, ist schon eine Aufgabe für sich.

Aberdeen hat für die Studie "Unified Threat Management" mit Entscheidern aus 110 Unternehmen gesprochen.