Frühjahr 2014: Hacker erbeuten die persönlichen Daten von 4,5 Millionen Krankenhauspatienten in den USA. Ebenfalls in dieser Zeit greifen Unbekannte stattliche 145 Millionen Zugangsdaten beim Internet-Auktionator eBay ab. Und als wenn der Diebstahl von Daten ein sportlicher Wettbewerb sei, verschaffen sich im August 2014 russische Angreifer Zugriff auf rekordverdächtige 1,2 Milliarden Passwörter rund um den Globus. Dagegen scheint der erfolgreiche Angriff 2013 auf die FDP, bei dem Nutzerdaten der Web-Site der Liberalen im Internet veröffentlicht wurden, direkt harmlos.
Egal, ob Mittelständler, Großunternehmen oder Behörde: Organisationen aller Art müssen jederzeit mit folgenschweren Angriffen über die unterschiedlichsten Angriffsvektoren rechnen. Fast ein Drittel der Unternehmen in Deutschland, so eine Studie des IT-Branchenverbands Bitkom vom März 2014, habe in den vergangenen zwei Jahren Angriffe auf die IT-Systeme verzeichnet. In 30 Prozent der Fälle sei der Angriff über das Internet erfolgt. Die Folgekosten sind immens. Ein großer Virenschutzanbieter rechnete bereits 2013 vor, dass ein Cyberangriff die großen Unternehmen mit mehr als 1500 Mitarbeitern durchschnittlich 479.000 Euro kostete. Kleine und mittlere Unternehmen kommen günstiger davon, hier stehen "nur" 42.000 Euro pro Angriff in der Ausgabenspalte der Buchhaltung.
Maximaler Schutz
Gute Gründe für prominente Unternehmen, in den Schutz der IT zu investieren. So auch die im baden-württembergischen Künzelsau ansässige Würth-Gruppe. Die idyllische Kleinstadt am Kocher ist Hauptsitz des vor allem für Befestigungstechnik bekannten Mutterunternehmens Adolf Würth GmbH & Co. KG und zentrale Verwaltung für weltweit über 400 Tochtergesellschaften mit mehr als 65.000 Mitarbeitern.
Foto: Philipp Schönborn
Auch wenn viele Niederlassungen ihre IT in weiten Teilen selbst betreiben: Ein erheblicher Teil des Datenverkehrs der Würth-Gruppe wird über das Rechenzentrum in Künzelsau-Gaisbach abgewickelt. Um bei ein- und ausgehenden Daten die notwendige Sicherheit zu gewährleisten, setzt Würth am Perimeter des Rechenzentrums auf hochsichere Firewalls, wie Matthias Sturm, bei Würth für den operativen Betrieb der Firewalls zuständig, erläutert: "Wir nutzen Firewalls verschiedener Anbieter, um einen maximalen Schutz zu den bestmöglichen Kosten zu erhalten. Die zentrale Komponente in diesem Ansatz sind Firewalls des Typs genugate des Herstellers genua. Diese haben unter anderem die kritische Aufgabe, den Zugriff von außen auf die bei uns gehosteten Dienste abzusichern."
Foto: genua
Die Entscheidung für diesen Anbieter hat laut Sturm mehrere Gründe: "Als deutscher Hersteller kann genua uns schnell und einfach Support vor Ort bieten, der für eine zentrale Sicherheitskomponente wie eine Firewall notwendig ist. Das Schutzniveau ist extrem hoch und zudem vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Und die Sicherheit ist ja letztlich das entscheidende Argument für eine Firewall", so Sturm.
Empfohlene P-A-P-Konfiguration
Die Firewall sei zweistufig ausgelegt, erläutert Sturm. Zum einen verfügt Würth damit über einen Paketfilter, der die Daten anhand der Header-Informationen kontrolliert. Zum anderen bietet die Firewall ein Application Level Gateway, das die Daten selbst prüft. Damit ist es mit relativ geringem Aufwand möglich, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene P-A-P-Konfiguration aus Paketfilter, Application Level Gateway und einem weiteren Paketfilter aufzubauen: "Indem wir einen Paketfilter eines anderen Herstellers mit der genugate kombinieren, erfüllen wir vollständig die aus Sicht der IT-Sicherheit sehr sinnvolle BSI-Empfehlung."
- T-Systems
Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert. - T-Systems
Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom. - G Data
G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite. - G Data
Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen. - antispameurope
Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope. - antispameurope
antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt. - Avira
Avira sichert speziell Endgeräte, Server und die Internetnutzung ab. - Avira
Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten. - gateprotect
gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung. - gateprotect
Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen. - genua
genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert. - genua
Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen. - NCP
Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich. - NCP
NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways. - secunet
secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle. - secunet
SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt. - Steganos
Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden. - Steganos
Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät. - Zertificon
Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden. - Zertificon
Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen. - Secomba
Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten. - Secomba
Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.
Dieses Sicherheitskonzept fordert von den Firewall-Administratoren, die alle Firewalls im Unternehmen zentral verwalten, etwas Engagement: Das Konzept der Firewall basiert darauf, Verbindungen zu terminieren. Das bedeutet, dass alle ein- und ausgehenden Datenpakete von der Firewall so angenommen werden, als wären die Pakete für sie bestimmt. Nach der Prüfung der Pakete verschickt die Firewall die Daten über eine neue Verbindung an den ursprünglichen Empfänger. "Hieraus ergeben sich ein paar Besonderheiten, an die man sich erst gewöhnen muss", resümiert Sturm. "Im täglichen Betrieb werden diese Aspekte aber schnell zur Routine."
Auf der anderen Seite haben die terminierenden Verbindungen auch deutliche Vorteile. Etwa, wenn neuartige Angriffe über IPv6 abgewehrt werden sollen: Durch die Extension-Header bietet das neue Protokoll zahlreiche Möglichkeiten. Die Diskussion darüber, welche Merkmale bei der Implementierung unterstützt werden sollen und welche nicht, ist noch nicht abgeschlossen. Diese Header-Funktionen erlauben Angriffe, die sich sehr effizient über eine terminierende Verbindung unterbinden lassen: Das Application Level Gateway als logischer Endpunkt der Datenübertragung erzeugt beim Weiterversand einen neuen Header, der von der internen IT vorgegeben wird. Damit laufen Angriffsversuche ins Leere.