Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Notes und Group-Software bilden ein Abwehrteam

E-Plus schickt unbekannte Mails in die Warteschleife

24.11.2000
MÜNCHEN (uo) - "I love You" und Co. lassen den Telecom-Anbieter E-Plus kalt. Das Düsseldorfer Unternehmen schützt sich effektiv gegen Virenbefall, indem es interne wie externe Mails und vor allem deren Anhänge überprüft.

"Annahme verweigert" heißt es bei E-Plus etwa für Mails, die von der Schmutzseite "dailydirt.com" kommen. "Die Domain ist gesperrt", erläutert Michael Bursch, bei dem Mobilfunkanbieter zuständig für die "Notes"-Infrastruktur. Das gilt bei E-Plus auch für viele andere Sites, von denen unerwünschte und unappetitliche Mails zu erwarten sind. Die elektronische Post wird in solchen Fällen abgewiesen und geht an den Absender zurück. Verwaltet werden die geächteten Adressen von dem Tool "Watchdog", das E-Plus eigentlich angeschafft hat, um sich gegen Viren abzusichern.

Der Schutz vor Virenbefall und -verbreitung hat sich laut Bursch schon bald nach der Gründung von E-Plus als Thema herauskristallisiert. Grundlage der elektronischen Kommunikation war damals schon das Produkt Notes von der Lotus Development Corp., die seit dem Frühjahr 1995 zur IBM gehört. Die Groupware diente der Kommunikation im Local Area Network (LAN) sowie der Verbindung mit externen Partnern wie Lotus und Handy-Lieferanten, die ebenfalls Notes verwendeten. Auf Watchdog von Group Technologies AG, Karlsruhe, stießen Bursch und seine Kollegen, weil sie nicht nur die E-Mails, sondern auch deren Anhänge auf Viren untersuchen wollten.

Bestandteil von Watchdog ist eine Notes-Datenbank, in der sich eine Positiv- und Negativliste definieren lässt: Im ersten Fall werden dort die Mail-Typen eingetragen, die ins Unternehmen gelangen dürfen, im zweiten Fall die Mail-Formate, die gesondert zu behandeln sind. E-Plus arbeitet mit einer Positivliste, die derzeit rund 30 Einträge enthält. Somit kann der Anwender Mail-Anhänge in 30 verschiedenen Datenformaten von außerhalb des Unternehmens empfangen. Watchdog erkennt die Post anhand der DateiHeader.

Ursprünglich hatte eine interne Datenschutzkommission bei E-Plus die Positivliste fest definiert. Doch seit 1993 hat sich die Auflistung ständig gewandelt. Zum einen bewirken Software-Updates, dass sich die Header der erzeugten Dateien verändern. So mussten die Watchdog-Einträge beispielsweise an die neuen Releases des Adobe-Type-Managers angepasst werden. Zum anderen gibt es aber auch ganz neue Formate.

Seit Mitte 1996 hat jeder E-Plus-Mitarbeiter über seinen Notes-Client die Möglichkeit, E-Mails von den E-Plus-Geschäftspartnern aus dem Internet zu empfangen beziehungsweise übers Web zu verschicken, sofern die angehängte Datei kleiner als 10 MB ist. Diese Limitierung dient dazu, die Last in der Infrastruktur einzudämmen. Zwar gibt es laut Bursch für einzelne Abteilungen, etwa für Presse- und Öffentlichkeitsarbeit, Möglichkeiten, den Grenzwert heraufzusetzen, doch sind seiner Ansicht nach 10 MB "schon eine ganze Menge Holz". Der Notes-Spezialist räumt ein, dass die Dateigröße generell zunehme und insbesondere bei Grafikdateien schnell die Beschränkung überschritten ist, doch verweist er auf die Möglichkeit, die Dateien zu komprimieren.

Gehört ein elektronischer Brief in eine der Kategorien auf der Positivliste, wird er vor der Auslieferung mit handelsüblichen Virenscannern auf Schädlingsbefall überprüft. E-Plus setzt dazu beispielsweise "Dr. Solomons", "NT-Sweep" und "McAfee" ein, wobei ein Brief immer von mindestens zweien der Scanner durchleuchtet wird.

Finden die Tools keine Auffälligkeiten, wird die E-Mail samt Anhang zugestellt. Entdecken die Werkzeuge hingegen Viren, "heilen" sie die Datei, wie Sachkundige es nennen, wenn das File vom Virus befreit wird. Anschließend bekommt der Empfänger seine elektronische Post.

Entspricht ein Anhang nicht der Positivliste oder ist die Datei zu groß, erhält der Empfänger lediglich das Anschreiben. Außerdem landen der Brief und das verdächtige Anhängsel in einem Archiv. Benötigt der E-Plus-Mitarbeiter die Anhangdatei trotz des Eingangsverbots, kann er sich an den zentralen User-Helpdesk wenden.

Diese E-Plus-Abteilung betreut die Endanwender im Unternehmen in allen Belangen rund um ihren Arbeitsplatzrechner. Die Supportmitarbeiter haben Zugriff auf das Archiv mit den verbotenen Anhängen und können sie auf einem vom LAN isolierten Rechner gesondert auf Viren abtasten. Ist die Datei okay, erhält der Empfänger seine Post schließlich doch noch. "Das kommt mit etwa 40 Prozent der zunächst gesperrten Mails häufiger vor, als dass wir tatsächlich Viren entdecken", sagt Bursch.

Insgesamt betrug das Mail-Aufkommen bei E-Plus an einem durchschnittlichen Tag im vergangenen Monat 13566 Stück. Davon hatten 54 Prozent, also 7335 Briefe, einen Anhang. Bei 6,5 Prozent davon, das sind 475 elektronische Nachrichten, wurde die Zustellung zunächst verweigert, weil die Anhänge nicht auf der Positivliste verzeichnet waren, und 63 Mails hatten die zulässige Größe überschritten. An diesem Tag entdeckten die Scanner keinen Virus.

Für den Mail-Verkehr innerhalb des Unternehmens gibt es keine Restriktionen bezüglich der Anhänge. Doch auch im LAN werden jedes Anschreiben und jede Datei auf Viren gecheckt. E-Plus setzt derzeit 50 NT-Server ein, die die Infrastrukturknoten für das Notes-Netz bilden. Für die Anbindung der Zentrale in Düsseldorf und der neun weiteren Niederlassungen in der Bundesrepublik nutzt E-Plus eigene Richtfunkstrecken. Dabei steht der Datenkommunikation eine Bandbreite von 1,5 Mbit/s zur Verfügung. Bei jeder Verbindung von einem Notes-Knoten zum nächsten werden die E-Mails auf Viren untersucht.

Im Zuge der zunehmenden öffentlichen Diskussion um die Internet-Sicherheit erhielten auch die E-Plus-Mitarbeiter immer öfter verschlüsselte Mails, und umgekehrt wollte der Mobilfunkanbieter nicht auf kryptografierte Dokumente im Mail-Verkehr verzichten. Doch laut Bursch bietet der Notes-Standard keine Möglichkeiten, Mails, die mit einem anderen Programm als mit der Lotus-Software verschlüsselt wurden, auf Viren zu scannen.

So entwickelten E-Plus-Mitarbeiter zusammen mit ihrem Softwarelieferanten Group ein Produkt, das dieser heute unter der Bezeichnung "Mail-Crypt" anbietet. Es nutzt den gängigsten Verschlüsselungsalgorithmus, die Freeware "Pretty Good Privacy" (PGP) von Simson Garfinkel (www.pgpi.org).

Die Group-Software, mit der sich auch digitale Signaturen erzeugen lassen, ist wie Watchdog auf den Notes-Servern installiert. Das erlaubt den Administratoren, über eine Konfigurationsdatenbank und einen Regelmechanismus von zentraler Stelle aus Verschlüsselungsbeziehungen zwischen Personen, Gruppen und Unternehmen zu konfigurieren. So kann etwa eine permanente E-Mail-Verschlüsselung oder deren Begrenzung auf bestimmte Personengruppen eingestellt werden. Außerdem lässt sich so zentral festlegen, welche Schlüssel genutzt werden, und mit welchen die Codierung aufzuheben ist. Die entschlüsselten Mails sind anschließend wie gehabt scannbar.

Derzeit sieht sich Bursch jedoch mit Problemen konfrontiert, die die Konkurrenz-Sicherheitstechnologie "S/Mime" (Secure Multipurpose Internet Mail Extension) von RSA Security Inc. aufwirft. Die damit verschlüsselten Mails werden vom Server nicht erkannt, und sie gelangen direkt zum Endanwender. Denn während die Profile der Kommunikationspartner, die die PGP-Verschlüsselung nutzen, bei E-Plus in einer Datenbank gepflegt werden, sind die Absender von S/Mime-Briefen dem Mobilfunkanbieter unbekannt. Damit können deren Mails nicht auf dem Server geöffnet und der Inhalt nicht auf Viren durchsucht werden. Bursch behilft sich zurzeit noch damit, dass generell alle verschlüsselten Mails abgewiesen werden, es sei denn, sein Unternehmen kennt den verwendeten Schlüssel.

Die grün-weissen FunkerDie E-Plus Mobilfunk GmbH wurde am 5. April 1993 gegründet. Etwas mehr als ein Jahr später, am 4. Mai 1994, erfolgte der Netzstart im Großraum Berlin.

Mittlerweile verfügt das Unternehmen in Deutschland über rund 3400 Mitarbeiter. Die Firmenzentrale ist in Düsseldorf angesiedelt. Weitere Vertriebsstandorte für Geschäftskunden befinden sich in Berlin, Ratingen, Frankfurt am Main, Hamburg, Hannover, Leipzig, München, Nürnberg und Stuttgart. In Potsdam ist die 100-prozentige Tochter E-Plus Service GmbH beheimatet.

Der Mobilfunkanbieter selbst gehört zu 77,5 Prozent der niederländischen KPN Mobile N.V., an der die japanische NTT Docomo eine Minderheitsbeteiligung hält, und zu den verbleibenden 22,5 Prozent dem US-Konzern Bell South Enterprise.

SicherheitMit dem Eintritt in das Unternehmen E-Plus bekommt jeder Mitarbeiter unter anderem ein Profil in der Notes-Datenbank "Mitarbeiter-Account-Center", kurz MAC. Dort wird auch seine Zugriffsberechtigung auf Server und Datenbanken, auf Dateien und Abschnitte in Dateien hinterlegt. So haben beispielsweise nur drei Personen Zugriff auf die Konfiguration der Positivliste des Internet-Servers. Diese Liste bestimmt die Mail-Typen, die via Web ins Unternehmen gelangen dürfen beziehungsweise es auf diesem Wege verlassen.

Außerdem erhält jeder Mitarbeiter einen Bereich im LAN zugewiesen, auf dem er seine Daten ablegen kann. Diese Partitions werden wie auch alle im LAN angeschlossenen Datenbanken jede Nacht auf Viren geprüft.

Dieses Scannen hält Michael Bursch, bei E-Plus zuständig für die Notes-Systeminfrastruktur, für notwendig, weil Viren auch auf anderem Weg ins Unternehmen gelangen können als über Mails. Beispielsweise möchte ein Mitarbeiter seinem Kollegen seine selbst gebrannte Moorhuhn-Variante zur Verfügung stellen. Steht ihm ein freigeschaltetes Laufwerk im LAN zur Verfügung, könnte er auf diese Weise einen Virus einschleppen.

Die MAC-Verwaltung bestimmt aber auch die einmaligen Ausnahmen von der Positivliste. Dazu gehören etwa Unix-Administratoren, wenn sie per Mail Log-Files zur Auswertung an Hewlett-Packard versenden.

Abgekoppelt vom LAN und der Notes-Kommunikation betreibt E-Plus noch ein "Internet-Café". Hier haben Mitarbeiter die Möglichkeit, zu surfen und zum Beispiel Programme und Mails an den Mail-Restriktionen vorbei herunterzuladen. Um diesen vergleichsweise freien Web-Zugang zu bekommen, müssen die Mitarbeiter einen Antrag bei der MAC-Verwaltung stellen.