Egal in welchem Bereich eine Firma heute tätig ist - fast alle ihre Mitarbeiter müssen auf die eine oder andere Weise mit E-Mails arbeiten. Die Kommunikation zum Kunden, zu Partnern und Zulieferern läuft ebenso über diesen elektronischen Kanal ab wie der interne Nachrichtenaustausch im Unternehmen. Umso wichtiger ist es, dass dieser entscheidende Bestandteil der Unternehmensstruktur sicher und zuverlässig betrieben wird. Gerade für kleine und mittelständische Unternehmen stellt sich häufig die Frage: Wie stelle ich diesen E-Mail-Betrieb sicher?
E-Mail-Appliance oder doch "nur" Software?
Eine Antwort darauf können Appliances sein, die als komplette Kombination aus Hard- und Software sowie als virtuelle Appliances für bereits vorhandene Virtualisierungs-Plattformen bereitstehen. Auch Lösungen, die komplett aus der Cloud arbeiten, bieten sich für den E-Mail-Betrieb an. Wir stellen die unterschiedlichen Ansätze vor, diskutieren ihre Vor- und Nachteile und haben einen Blick auf einige exemplarische Produkte und Angebote aus diesem Umfeld geworfen. Dabei haben wir uns auf Angebote konzentriert, die den Betrieb im weitesten Sinne auch durch Maßnahmen wie Anti-Spam-Schutz und die allgemeine Aufrechterhaltung des E-Mail-Betriebs ermöglichen sollen.
Ist einmal die Entscheidung gefallen, dass in der eigenen Firma eine Lösung zur Absicherung der E-Mail eingeführt werden soll, so stehen IT-Verantwortliche und Administratoren zunächst vor einer grundsätzlichen Entscheidung: Sollen sie auf eine Hardware-Appliance vertrauen, eine virtuelle Appliance auf dem eigenen Host-Rechner einsetzen oder sich gleich für den Einsatz einer Cloud-Lösung entscheiden?
Die Hardware-Lösung: Alles in einer Appliance
Gerade für IT-Verantwortliche in kleinen und mittelständischen Betrieben, soll es in der Regel eine Lösung sein, die einfach zu verwalten und zu betreuen ist. Steht in diesen Betrieben doch häufig kein spezialisiertes IT-Personal vor Ort zur Verfügung. In diesen Fällen gelangt dann häufig auch eine Hardware-Appliance, mit der die gewünschten Sicherheitsfeatures abgedeckt werden können, in die nähere Auswahl. Welche Vorteile bietet dieser Ansatz?
Bei einer physikalischen Appliance werden Hardware und Server-Software komplett aufeinander abgestimmt. Der Anwender braucht sich keine Gedanken um Anpassungen oder Unverträglichkeiten machen.
Üblicherweise besitzt eine solche Appliance ein Betriebssystem, das in Hinblick auf die Aufgabenstellung entsprechend optimiert und mit Blick auf die Sicherheit gehärtet wurde.
Die Daten bleiben in der Regel im eigenen Betrieb/Rechenzentrum auf der Appliance (solange der Anbieter nicht einen Teil der Verarbeitung in die Cloud ausgelagert hat).
Eine derartige Appliance kann in der Regel leicht und schnell in die eigene Backup-Strategie integriert werden, sofern der Hersteller einen entsprechenden Agenten mitliefert.
Aber natürlich gibt es auch Nachteile beim Einsatz einer derartigen Appliance:
Im Prinzip ist ein solches Gerät eine "Blackbox": Der IT-Verantwortliche weiß nicht genau, wie die darin realisierten Dienste aufgebaut und realisiert wurden.
Einige Hersteller sperren standardmäßig Dienste, die in der Appliance zur Verfügung stehen, und stellen sie dem Kunden erst gegen Aufpreis zur Verfügung.
Der Kunde ist von der Update-Strategie des Herstellers abhängig: Dieser stellt die Betriebssystem-Updates und Hotfixes nicht notwendigerweise zur gleichen Zeit für die Appliance-Variante wie für seinen anderen Produkte bereit.
Appliance ohne Hardware: die Lösung für Virtualisierungs-Profis
Steht das entsprechende IT-Know-how im eigenen Betrieb zur Verfügung und wird vielleicht sogar bereits eine Virtualisierungs-Plattform im eigenen Netz betrieben, so kann auch eine virtuelle Appliance zum Einsatz kommen. Dabei handelt es sich um eine komplette virtuelle Maschine (VM), die in der Regel die gleichen Möglichkeiten bereitstellt, wie sie auch in der entsprechenden Hardware-Appliance zur Verfügung stehen. Aus Sicht einer professionellen IT bietet dies eine Reihe von Vorteilen:
Die vorhandene VM-Infrastruktur kann genutzt und ergänzt werden.
Vorhandene Hardware-Ressourcen wie RAM, CPU und Storage können weitaus besser genutzt werden.
Dadurch kommen eine Systemumgebung und mit ihr die Features der eingesetzten Virtualisierungs-Lösung zum Einsatz, die der IT-Verantwortlich genau kennt.
So kann er ein solches System auch leicht in bereits vorhandene Backup-Strategien integrieren - beispielsweise über eine Sicherung des Virtualisierungs-Hosts.
Alle Daten befinden sich auch weiterhin im eigenen Rechenzentrum (trifft in der Regel auch auf die Hardware-Appliance zu).
Die meisten der zuvor bei der Hardware-Appliance aufgezählten Nachteile können in der Regel auch beim Einsatz einer virtualisierten Lösung zum Tragen kommen. Hinzu kommt, dass der Betrieb eines derartigen E-Mail-Servers einiges an Wissen voraussetzt. Insbesondere müssen Kenntnisse und Fähigkeiten rund um die Virtualisierung in der eigenen Firma vorhanden sein. Weiterhin ist in diesen Fällen für den gesicherten Betrieb die ständige Überwachung der Internet-Anbindung erforderlich. Zudem wird der "Upstream-Port" der Anbindung durch den E-Mail-Versand naturgemäß stark ausgelastet.
Barracuda mit der Auswahl: Appliance, virtuell im RZ oder Cloud
Die Spezialisten von Barracuda stellen mit der "Barracuda Spam Firewall" eine Lösung für den Schutz der E-Mail bereit, die dem Nutzer die Wahl lässt, ob er sie als Hardware-Appliance, virtuelle Appliance oder Cloud-Lösung einsetzen möchte. Der Hersteller kombiniert in diesem Produkt den Schutz vor den verschiedenen Bedrohungen durch:
Filterung für SPAM und Viren,
einen Spoofing-Schutz,
Abwehr von Denial-of-Service-Attacken (DoS/DDoS),
Filterung der ausgehenden Mail-Nachrichten und
Einen Schutz vor Angriffen auf die Verzeichnisse.
Die Lösung steht in acht unterschiedlichen Modellen und Ausprägungen bereit, die mit den Nummern 100 bis 1000 unter Auslassen der 500 und 700 bezeichnet werden. Während das kleinste Modell 100 für ein bis hin zu 50 E-Mail-Nutzer in 10 Domänen ausgelegt ist, soll das Spitzenmodell, die Barracuda Spam Firewall 1000, laut Anbieter in der Lage sein, 25.000 bis hin zu 100.000 aktive E-Mail-Nutzer in 5.000 Domänen zu unterstützen. Während die High-End-Modelle bei Anwendern aus dem KMU-Bereich eher selten zum Einsatz kommen werden, sind es gerade die kleineren Versionen der Appliance mit den Bezeichnungen 100, 200,300 und 400, die hier sinnvoll erscheinen.
Von diesen Varianten ist das Modell 200 nicht als virtuelle Appliance erhältlich, während die Modelle 200, 300 und 400 auch auf den Hypervisoren ESX und ESXi von VMware eingesetzt werden können. Dabei kommt ein gehärtetes Betriebssystem zum Einsatz. Neben einer umfassenden Richtlinienverwaltung und einer integrierten LDAP-Schnittstelle werden die Barracuda-Produkte durch eine weitere Schutzebene in der Cloud ergänzt. Sie bietet den Nutzern unter anderem die Möglichkeit, ein Mail-Spooling von bis zu 96 Stunden zu nutzen, wenn beispielsweise die eigene Mail-Infrastruktur beschädigt oder ausgefallen ist. Ebenso kann sie im Sinne einer DLP-Strategie (Data Loss Prevention) ausgehende Nachrichten überwachen und ein Backup der Konfiguration in der Cloud zur Verfügung stellen. Der Anbieter hebt zudem hervor, dass für diesen Dienst keine zusätzlichen Gebühren pro Nutzer oder Server entstehen.
Zwei Welten vereinigt: Managed Appliance von Hornetsecurity
Gerade für KMU-Betriebe, die zwar die aufwändige Arbeit der Verwaltung und Betreuung des Datenverkehrs ihrer E-Mail nicht leisten können oder wollen, dabei aber die volle Kontrolle darüber behalten wollen, bietet sich eine Lösung an, die Cloud-Computing mit einer Appliance vor Ort kombiniert. Der deutsche Anbieter HornetSecurity, dessen Portfolio sich zum Großteil um die verschiedensten E-Mail-Techniken dreht, geht mit seinen "Managed Spam Filter Appliances" und seinen Produkten unter dem Namen "Managed Internet Security für KMU" genau diesen Weg.
Die Firma empfiehlt diese Art der Lösung für Unternehmen ab 500 Mitarbeiter. Als besonderer Vorteil wird dabei hervorgehoben, dass sich auf diese Art alle Mail-Daten im Rechenzentrum des Kunden befinden, während die Verwaltung und Betreuung den Experten des Anbieters unterliegt. Die Appliance wird derzeit in drei unterschiedlichen Ausprägungen unter den Bezeichnungen SFA-1, SFA-4 und SFA-6 angeboten. Während sich das kleine Modell für eine Benutzerzahl von 500 bis 4.000 Anwender eignen soll, kann das größte Modell SFA-6 zwischen 6.000 und 10.000 Anwender unterstützen.
Die Managed Spamfilter Appliance wird im Unternehmen selbst installiert, wo sie vorkonfiguriert angeliefert wird, so dass sie vor Ort im Prinzip nur noch angeschlossen werden muss. Sie ist dabei dem Mail-System der Firma vorgeschaltet und soll sowohl Malware als auch Spam sowie Phishing- und Viren-Mails abfangen können. Fünf unabhängige Filter kontrollieren dies laut Anbieter, der dabei seinen Kunden eine Erkennungsrate von 99,99 Prozent zusichert. Gerade für Betriebe ohne eigene "hauptamtliche" IT ist es dabei interessant, dass die Wartung und Betreuung des Systems komplett vom Hersteller vorgenommen wird: Seine Mitarbeiter sorgen auch dafür, dass beispielsweise die Filterregeln ständig angepasst und aktualisiert werden. IT-Verantwortliche vor Ort können aber über ein Control Panel ihre Spamfilter-Konten entsprechend verwalten und Anwender mit administrativen Rechten sind dann auch dazu in der Lage, die Nutzer individuell zu managen.
Alle E-Mail-Daten aus der Cloud?
Für kleinere Betriebe, die kein dediziertes IT-Personal besitzen, wird eine virtualisierte Appliance kaum in Betracht kommen. Eine Hardware-Appliance, die im Zweifelsfall von einem Partner administriert wird, kann zwar in diesem Fälle eine Lösung sein - so denn der finanzielle Rahmen diesen Ansatz erlaubt. Bleibt also die Möglichkeit, eine E-Mail-Lösung komplett aus der Cloud zu beziehen, was eine ganze Reihe von Vorteilen bietet:
Es ist keine zusätzliche Hard- und Software, sondern nur eine performante und zuverlässige Internet-Anbindung nötig.
Der Anbieter des Dienstes gewährleistet in der Regel auch die Sicherheit des E-Mail-Betriebs.
Grundlegende und wichtige IT-Arbeiten, wie das Einspielen von Updates und Hotfixes, müssen nicht in Eigenregie vorgenommen werden - auch das erledigt der Dienstleister.
Es ist kein Personal am Wochenende oder in den Abendstunden notwendig, um den Betrieb aufrecht zu halten.
Unabhängig von der Personalentwicklung: Mehr Mitarbeiter bedeuten so keine zusätzliche Investitionen in Hard- und Software für die E-Mail.
Natürlich stehen diesen positiven Aspekten auch wieder gewisse Bedenken und Einschränkungen entgegen. So ist die Firma bei einem solchen Ansatz vom Geschäftsgebaren des Anbieters abhängig: Wenn der sich plötzlich entschließt, diesen Dienst nicht mehr anzubieten, können große Probleme auftreten. Zudem befinden sich die Mail-Daten nicht im eigenen Unternehmen, was auch deren Sicherung grundsätzlich erschwert, so dies nicht auch Teil des Vertrags mit dem Provider ist.
Ein hohes Vertrauen in den Anbieter und dessen professionelle Dienstleistungen ist also auf jeden Fall notwendig. Im Hinblick auf die aktuellen Entwicklungen ist es zudem fast schon selbstverständlich, dass hier nur ein Provider/Dienstleister in Betracht kommen kann, der die Daten in Deutschland nach deutschem Recht speichert und verwaltet und nach Möglichkeit auch keinen amerikanischen Mutterkonzern besitzen sollte - was leider ebenfalls durch die aktuellen Ereignisse bestätigt wird.
E-Mail-Lösungen aus der Cloud: Angebote von vielen Providern
Viele Betriebe im KMU-Bereich können oder wollen sich aber nicht mit der Technik vor Ort belasten: Sie möchten nicht nur ihre Mail-Anbindung sondern auch die Verwaltung und Betreuung des Mail-Servers bei einem Provider wissen. Internet-Provider und noch wichtiger fast alle deutschen Provider mit Rechenzentren in Deutschland bieten entsprechende Angebote an. Doch auch dabei gilt es zu unterscheiden. Eine "einfache" Mail-Lösung mit zumeist eigener Domäne findet sich sowohl bei den großen Anbietern wie 1und1 und Strato wie auch bei der Telekom. Aber ebenso wie die freien Postfächer bei Web.de oder Gmail von Google sind solche Lösungen für den professionellen Ansatz weniger geeignet - in diesen Fällen werden nur die Postfächer gehostet.
Zu den Nachteilen dieses Ansatzes gehört unter anderem die Tatsache, dass jede Kommunikation innerhalb der eigenen Firma auch immer den Weg über das Internet und den Server des Providers nehmen muss. Bei amerikanischen Anbietern kommt erschwerend hinzu, dass die Server sich nicht in Deutschland oder auf europäischem Boden, aber unter amerikanischer Rechtsprechung befinden.
Für kleine Betriebe, die eine E-Mail-Lösung aus der Cloud suchen, bietet es sich an, hier auf speziellere Angebote der Provider zurückzugreifen, die nicht nur eine bessere Online-Verwaltung der Postfächer ermöglichen, sondern auch mit Zusatzdiensten bis hin zur umfangreichen E-Mail-Archivierung aufwarten können. Hier bieten sowohl große Provider mit gehosteten Groupware- und E-Mail-Servern an als auch lokale Anbieter wie SpaceNet in München. Wer seinen eigenen Mail-Server verwalten kann und möchte, diesen aber nicht in der eigenen Firma betreiben will, findet zudem eine breite Palette von Anbietern, die beispielsweise Exchange-Server in der aktuellen 2013-Version gehostet zur Verfügung stellen.
Bei diesem Ansatz werden wichtige Faktoren wie Updates und Sicherheits-Patches ebenso wie der Schutz vor Spam und Viren und die entsprechende Filterung der Nachrichten vom Provider gewährleistet. Der sorgt in seinem Rechenzentrum auch dafür, dass die Nachrichten in den Postfächer und die Installation des Mail-Servers professional gesichert werden. Für Firmen aus dem KMU-Bereich, an deren Standort eine entsprechend performante Internet-Anbindung bereitsteht, ist dies sicher eine sehr praxisnahe Lösung, deren Kosten zudem gut kalkulierbar bleiben.
Fazit sichere E-Mail: Die Lösung muss passen
Für kleine und mittelständische Betriebe sind E-Mails viel zu wichtig, als dass sie ungesichert bleiben könnten. Wie im jeweiligen Fall abgesichert werden kann und soll, hängt allerdings immer von den Umständen und den Ressourcen der Firma ab - sowohl finanziell als auch personell.
Unternehmen, die eine geschulte IT-Mannschaft besitzen und bereits Teile der eigenen IT-Infrastruktur virtualisiert betreiben, werden häufig einer virtuellen Appliance der Vorrang geben: Die Daten bleiben im eigenen Haus, die Host-Server für die Hypervisoren können noch effizienter ausgenutzt werden und die Appliance mit gehärtetem Betriebssystem und Anwendungen sichert den Betrieb.
Ein Hardware-Appliance bedeutet zunächst zwar höhere Kosten, kann aber im Extremfall komplett ohne Wartung aus dem eigenen Haus die sichere E-Mail gewährleisten. Gerade für sehr kleine Betriebe, in denen kein dediziertes IT-Fachpersonal zur Verfügung steht, ist hingegen eine Lösung aus der Cloud immer eine überlegenswerte Alternative - wenn denn der Anbieter die Bearbeitung und Speicherung nach den deutschen Datenschutzrichtlinien garantiert und eine entsprechend performante (am besten auch redundante) Internet-Anbindung vorhanden ist.
Fast alle Anbieter, die hier vorgestellt wurden, bieten eine zumeist 30-tägige kostenlose Testperiode (bei den gehosteten Exchange-Systemen auch länger) ihrer Lösungen an. Damit ist es möglich, sich zunächst im eigenen Umfeld ein Bild davon zu machen, ob die gewählte Hard- oder Software beziehungsweise Cloud-Lösungen den Ansprüchen an Verfügbarkeit und Sicherheit genügen. (wh)