Lösen Appliances Security-Probleme?

12.09.2006
Autor(en): Jan Schulze, freier Autor in Erding

Immer mehr Anwender geben für die IT-Sicherheit Appliances den Vorzug vor reinen Softwareprodukten. Die Vorteile der Fertiggeräte erkauft man sich jedoch mit gewissen Einschränkungen.

Die IT-Security hat sich in den vergangenen Jahren zu einer Selbstverständlichkeit entwickelt, die jedoch nicht immer leicht zu beherrschen ist: Zum einen ändern sich die Bedrohungen fortlaufend, zum anderen können Fehlgriffe bei der Administration schnell die Produktivität eines Unternehmens beeinträchtigen.

So öffnet zum Beispiel eine zu freizügig konfigurierte Firewall Eindringlingen Tür und Tor. Sind die Regeln am Perimeter jedoch zu streng gefasst, können die Mitarbeiter unter Umständen nicht auf Dienste zugreifen, die sie für ihre Arbeit benötigen.

Abhilfe versprechen Appliances. Darunter versteht man die vorkonfigurierte Kombination aus Hard- und Software, bei der der Administrator nur in begrenztem Umfang Hand anlegen soll. In der Regel basieren diese Geräte auf einem für die jeweilige Hardware eingerichteten und gehärteten Linux- oder Unix-Derivat. Die Administration erfolgt meist über ein Web-Frontend, Updates und Patches für die installierten Sicherheitsanwendungen und das Betriebssystem werden vom Hersteller evaluiert und lassen sich automatisch einspielen.

Interesse der Anwender an Appliances steigt

Noch vor nicht allzu langer Zeit führten Appliances in der IT-Sicherheit ein Nischendasein. Doch inzwischen sind sie dabei, sich als ernsthafte Alternative zu den reinen Softwareangeboten zu etablieren. So erwartet zum Beispiel das amerikanische Marktforschungsunternehmen Radicati Group alleine für den Bereich der E-Mail-Sicherheits-Appliances bis 2009 ein Marktvolumen von 1,5 Milliarden Dollar. Und bereits im zweiten Quartal 2005 konnten Sicherheits-Appliances laut den Marktforschern von IDC einen Umsatzzuwachs von über 16 Prozent im Vergleich zum Vorjahreszeitraum feststellen.

{mospagebreak}

Ähnlich positive Prognosen wagt auch Forrester Research. Laut einer Studie vom Januar dieses Jahres, bei der über 1300 IT-Entscheider in Europa befragt wurden, steigt das Interesse der Anwender an den Security-Geräten: "Die Unternehmen wenden sich auf der Suche nach einfacherer Administration, höherer Zuverlässigkeit und verbesserter Sicherheit zunehmend den Security-Appliances zu." Zwar haben laut Forrester bislang nur 13 Prozent der Unternehmen in Europa Appliances im Einsatz, jedoch würden weitere neun Prozent Pilotprojekte in diesem Bereich für das laufende Jahr planen. Interessanterweise stehen Kostenaspekte dabei nicht im Mittelpunkt der Überlegungen: Nur bei 38 Prozent der befragten Unternehmen spielt laut der Forrester-Studie das Kosten-Performance-Verhältnis von Appliances eine Rolle. 74 Prozent der Befragten gaben die einfachere Administrierbarkeit als Hauptanreiz an, gefolgt vom Wunsch nach einem höheren Grad an Sicherheit. Ganz oben auf der Appliance-Wunschliste der von Forrester befragten Unternehmen stehen Intrusion-Prevention-Systeme (IPS) und Firewalls. An dritter Stelle liegen E-Mail-Security-Appliances.

Dass vor allem Firewalls in der Anwendergunst sehr weit oben stehen, erklärt sich unter anderem mit der technischen Entwicklung. Die Sicherheits-Appliances verfügten ursprünglich nur über diese Funktion und wurden erst allmählich von den Anbietern funktional um weitere Fähigkeiten erweitert. Seit kurzem versuchen die Hersteller allerdings, mehrere Fliegen mit einer Klappe zu schlagen und Appliances für das "Unified Threat Management" (UTM), also den Schutz vor unterschiedlichen Bedrohungen, am Markt zu verankern. In diesem Zusammenhang spielt auch die E-Mail-Sicherheit eine wichtige Rolle. Das ist nicht zuletzt dadurch zu erklären, dass die elektronische Post für Schadprogramme nach wie vor das meistgenutzte Einfallstor in Unternehmensnetze bildet.

Angebotspalette wächst kontinuierlich

Bis vor nicht allzu langer Zeit stand keine preiswerte Standardhardware zur Verfügung, die die notwendige Leistungsfähigkeit für UTM-Appliances liefern konnte. Das hat sich inzwischen gründlich geändert, Performance stellt kein Problem mehr da. Damit ist es nun möglich, Appliances für fast jede Unternehmensgröße und jedes Einsatzszenario anzubieten. Viele IT-Security-Anbieter haben ihr Produktportfolio entsprechend ausgebaut. "Während Firewall-Appliances eine sehr hohe Marktdurchdringung haben, sind die UTM-Geräte noch in einer recht frühen Marktphase", erläutert Wolfram Funk, Senior Advisor der Experton Group. "Das sieht man auch an den Herstelleraktivitäten, die zunehmend Lösungen auf Appliance-Basis anbieten." Der Markt ist nach Funks Auffassung nicht gesättigt und verträgt noch mehr Anbieter.

Alle Appliance-Angebote über einen Kamm zu scheren, hält der Analyst für falsch. Vielmehr müssten zwei Einsatzbereiche unterschieden werden: mittelständische Unternehmen und große Konzerne. "Ein Vorteil der Appliances sind die schnelle Implementierung, die leichtere Handhabung und das vereinfachte Management. Diese Argumente zählen besonders bei mittelständischen Unternehmen, wo IT-Sicherheitsspezialisten fehlen und die Personaldecke in den IT-Abteilungen dünn ist", so der Experton-Berater. Große Unternehmen würden dagegen vor allem von leistungsoptimierten Appliances profitieren, die auf eine bestimmte Aufgabe spezialisiert sind.

{mospagebreak}

Defizite bei der Integration in Management-Lösungen

Grundsätzlich sind aus Funks Sicht die Appliances bei Neuanschaffungen im Bereich der IT-Sicherheit eine Option. Allerdings sollten sich die Anwender auch über die Nachteile der vorkonfigurierten Lösungen im Klaren sein: "Appliances unterliegen Einschränkungen, wenn es um die Integration in bestehende Management-Infrastrukturen geht."

Da in den Geräten angepasste Betriebssysteme arbeiten und der Administrator nur begrenzt Zugriff auf diese Ebene hat, können die Appliances in aller Regel nicht oder nur teilweise in IT-Management-Lösungen integriert werden. Sie existieren vom Standpunkt der Systemverwaltung als Inseln, die separat über ein dediziertes Interface administriert werden müssen. Eine weitere wichtige Einschränkung besteht bei der Flexibilität der Lösung: Soft- und Hardware einer Appliance können nicht ohne weiteres modifiziert werden. Neue Funktionen, die zum Beispiel aktuelle Bedrohungsszenarien adressieren, lassen sich kaum implementieren. Ebenso sind den individuellen Anpassungen Grenzen gesetzt. Ein weiterer wichtiger Punkt bei der Entscheidung für oder gegen eine Appliance-Lösung ist die Frage des Workloads: Da Appliances nicht ohne weiteres skalierbar sind, müssen sie auf die zu erwartende Spitzenlast ausgelegt werden. "Eine Lastverteilung ist eventuell aber durch Cluster erreichbar", so Funk.

Eingeschränkte Möglichkeiten für Administratoren

Dass die Appliances nicht die Antwort auf alle IT-Sicherheitsfragen sind, ist auch auf Herstellerseite unbestritten. So räumt Rüdiger Trost, Product Specialist bei F-Secure, die Nachteile bei der Integration in Management-Lösungen ein. Dennoch sieht er die Appliances grundsätzlich in allen Szenarien als potenzielle Lösung an: "Appliances sind per se etwas sicherer als reine Softwarelösungen. Zum einen ist das Betriebssystem einer Appliance gehärtet und gegen Veränderungen speziell abgesichert. Ein Angriff ist ungleich schwerer als bei einem Standard-Server. Zum anderen sind Appliances weitgehend gegen Fehlkonfigurationen geschützt." Das heißt jedoch im Gegenzug, dass auch der Administrator keinen Zugriff auf das eigentliche Betriebssystem hat. Dies ist aus Sicht von Trost auch nicht nötig: "Nur so können wir Verfügbarkeit und Zuverlässigkeit der Appliance garantieren." Denn neue Virensignaturen, Patches oder Updates werden vom Anbieter evaluiert, die Appliances holen sich diese Aktualisierungen selbständig. Das jedoch ist nur möglich, wenn das Gerät mit absoluter Sicherheit in einem bekannten - also letztlich unveränderten - Zustand ist. Eingriffe durch den Anwender an der Betriebssystem-Konfiguration würden die automatischen Updates unzuverlässig machen und damit den Vorteil der einfachen Administration schmälern. Zudem könnten fehlerhafte Konfigurationen des Betriebssystems die Schutzfunktion der gesamten Lösung gefährden.

{mospagebreak}

Grundsätzlich sind laut Trost die UTM-Appliances sowohl in großen als auch in mittleren Unternehmen geeignet. Für kleinere Firmen dagegen hält er sie für überdimensioniert: Erst ab 250 Anwendern sei der Einsatz "wirklich sinnvoll". Nach oben sieht er dagegen keine Grenzen, da sich Appliances zu Clustern zusammenschließen lassen. Heutige Cluster-Lösungen in den Appliances seien "recht einfach zu konfigurieren, das kann jeder Administrator machen". Auch hochverfügbare Lösungen lassen sich nach Trosts Erfahrung über die Cluster-Technik realisieren. Der Experte erwartet ein starkes Wachstum im Bereich der Sicherheits-Appliances. Allerdings geht er davon aus, dass die Geräte überwiegend im Rahmen der zyklischen Neubeschaffungen bestehende Softwarelösungen ersetzen.

Kosten der Appliances

Ob Appliances in den Gesamtkosten teurer oder billiger sind als Softwareprodukte auf einem Standard-Server, ist nach wie vor umstritten. In der Regel liegt der Anschaffungspreis einer Appliance deutlich über den Kosten für Soft- und Hardware von der Stange. Dafür muss bei einer Appliance kein Betriebssystem verwaltet werden, die Implementierung kann sehr schnell erfolgen, und die Administration im täglichen Betrieb ist deutlich einfacher. Auch ist die Leistungsfähigkeit durch das optimierte Betriebssystem und die angepasste Hardware in der Regel höher als bei einem Standard-Server mit ähnlichen Hardwaremerkmalen. Welcher Ansatz von einer reinen Kostenwarte gesehen der geeignetere ist, kann also nur individuell ermittelt werden und hängt stark vom Know-how der IT-Mitarbeiter sowie den Einsatzszenarien ab.

"Das Wachstum sehen wir vor allem im Mittelstand rund um den Bereich der Messaging-Sicherheit", so Experton-Berater Funk. "In großen Unternehmen halten Appliances besonders in speziellen Einsatzgebieten Einzug." Aus seiner Sicht sind die Hersteller jedoch gefordert, die Integrationsmöglichkeiten ihrer Produkte in die Management-Infrastrukturen der Anwender zu verbessern: "Es wäre wünschenswert, wenn die Appliance-Anbieter ihre Produkte hier weiter öffnen würden."

---