Abwehr am Perimeter
Würth dreht an der Sicherheitsschraube
Empfohlene P-A-P-Konfiguration
Die Firewall sei zweistufig ausgelegt, erläutert Sturm. Zum einen verfügt Würth damit über einen Paketfilter, der die Daten anhand der Header-Informationen kontrolliert. Zum anderen bietet die Firewall ein Application Level Gateway, das die Daten selbst prüft. Damit ist es mit relativ geringem Aufwand möglich, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene P-A-P-Konfiguration aus Paketfilter, Application Level Gateway und einem weiteren Paketfilter aufzubauen: "Indem wir einen Paketfilter eines anderen Herstellers mit der genugate kombinieren, erfüllen wir vollständig die aus Sicht der IT-Sicherheit sehr sinnvolle BSI-Empfehlung."
- T-Systems
Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert. - T-Systems
Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom. - G Data
G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite. - G Data
Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen. - antispameurope
Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope. - antispameurope
antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt. - Avira
Avira sichert speziell Endgeräte, Server und die Internetnutzung ab. - Avira
Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten. - gateprotect
gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung. - gateprotect
Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen. - genua
genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert. - genua
Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen. - NCP
Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich. - NCP
NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways. - secunet
secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle. - secunet
SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt. - Steganos
Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden. - Steganos
Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät. - Zertificon
Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden. - Zertificon
Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen. - Secomba
Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten. - Secomba
Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.
Dieses Sicherheitskonzept fordert von den Firewall-Administratoren, die alle Firewalls im Unternehmen zentral verwalten, etwas Engagement: Das Konzept der Firewall basiert darauf, Verbindungen zu terminieren. Das bedeutet, dass alle ein- und ausgehenden Datenpakete von der Firewall so angenommen werden, als wären die Pakete für sie bestimmt. Nach der Prüfung der Pakete verschickt die Firewall die Daten über eine neue Verbindung an den ursprünglichen Empfänger. "Hieraus ergeben sich ein paar Besonderheiten, an die man sich erst gewöhnen muss", resümiert Sturm. "Im täglichen Betrieb werden diese Aspekte aber schnell zur Routine."
Auf der anderen Seite haben die terminierenden Verbindungen auch deutliche Vorteile. Etwa, wenn neuartige Angriffe über IPv6 abgewehrt werden sollen: Durch die Extension-Header bietet das neue Protokoll zahlreiche Möglichkeiten. Die Diskussion darüber, welche Merkmale bei der Implementierung unterstützt werden sollen und welche nicht, ist noch nicht abgeschlossen. Diese Header-Funktionen erlauben Angriffe, die sich sehr effizient über eine terminierende Verbindung unterbinden lassen: Das Application Level Gateway als logischer Endpunkt der Datenübertragung erzeugt beim Weiterversand einen neuen Header, der von der internen IT vorgegeben wird. Damit laufen Angriffsversuche ins Leere.
Performance und Hochverfügbarkeit
Neben der Sicherheit ist bei der Schnittstelle zwischen dem Rechenzentrum und der Außenwelt auch die Performance der Firewalls von großer Wichtigkeit. Denn diese müssen alle ein- und ausgehenden Datenströme prüfen, ohne dass es dabei zu für die Anwender spürbaren Verzögerungen kommt. Die Paketfilter sind hier weniger kritisch, da dabei nur der Header der Datenpakete überwacht wird: IP-Adresse, Art des Protokolls und Port, über den die Daten verschickt werden.
- Weite Bedrohungslandschaft
Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen. - Unternehmen sind unterlegen
IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist. - ... wollen sich aber wehren
Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen. - Security Intelligence hilft
Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren. - Großes Wehklagen
Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren. - Software-Tools
Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement. - Risiken verwalten
Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind. - Falsche Identitäten erkennen
Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden. - Malware und Phishing verhindern
Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken. - Auch mobil auf dem Laufenden
Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.
Ganz anders hingegen bei der Filterung auf Anwendungsebene. Hier müssten die einzelnen Datenpakete zunächst zwischengespeichert, zusammengesetzt, geprüft und wieder weitergeschickt werden. Das Application Level Gateway terminiert also die Verbindung zwischen den kommunizierenden Rechnern, um dann die Daten über eine neue Verbindung ans Ziel weiterzuleiten. Der Rechenaufwand dabei ist signifikant höher als bei einem Paketfilter. Gefährliche Inhalte wie Malware, Spam oder aktiver Content lassen sich jedoch nur auf diesem Weg frühzeitig aus den Datenströmen entfernen. Paketfilter sind nur in der Lage, den Datenstrom auf formale Aspekte hin zu überprüfen.