Den Schutz von E-Mails können Anwender selbst betreiben oder einem Dienstleister anvertrauen. Was ist die bessere Lösung?
Von Christian Weyer
Foto: Microsoft
In einem Vortrag auf dem World Economic Forum in Davos im Jahr 2004 sagte Bill Gates, das Problem mit Spam-E-Mails werde sich spätestens 2006 erledigt haben. Bessere Filter und erweiterte Sicherheitsfunktionen in E-Mail-Programmen und Betriebssystemen wie Windows würden der Flut von unerwünschten Werbebotschaften ein Ende machen. Heute, fünf Jahre später ist klar, dass es sich um eine der größten Fehleinschätzungen handelte, die der Gründer und damalige Chef von Microsoft jemals traf. Nach Angaben des IT-Sicherheitsunternehmens Symantec stieg im Oktober 2009 der Anteil der Spam-E-Mails am gesamten Aufkommen der elektronischen Post auf mehr als 87 Prozent. In der Vorweihnachtszeit, traditionell ein Höhepunkt der Spam-Welle, erreicht der Anteil sogar 95 bis 97 Prozent.
Doch Spam ist nur ein Punkt, der im Rahmen von E-Mail-Sicherheit eine Rolle spielt. Nach übereinstimmender Einschätzung aller IT-Sicherheitsfirmen ist die E-Mail immer noch die wichtigste Waffe im Arsenal von Cyber-Kriminellen. Mittlerweile enthalten nach Angaben von IT-Sicherheitsfirmen wie Trend Micro, Symantec, McAfee und Kaspersky etwa zwei bis 4,5 Prozent der dubiosen Werbebotschaften Schadsoftware: von Viren über Trojaner, Software zum Mitschneiden der Tastatureingaben von Usern (Key-Logger) bis hin zu Links, die den Nutzer auf Malware-verseuchte Web-Seiten führen sollen.
Mehr zu Security
Ein weiterer klassischer Schwachpunkt von E-Mail-Infrastrukturen ist nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass Anwender, speziell aus dem Mittelstand, allzu oft auf das Verschlüsseln wichtiger Nachrichten verzichten. Das macht es Angreifern leichter, E-Mails mit Unternehmensinformationen abzufangen.
Mehr über Produkte für den Mittelstand im kostenlosen CP-Webcast
Mittelstand unterschätzt Gefahren
Foto: Fotolia, S. Kaulitzki
Im Gegensatz zu Großunternehmen sind sich kleinere Betriebe oft der Gefahren nicht bewusst, die durch einen unzureichenden Schutz der elektronischen Kommunikation drohen. "Oft nutzen sie nicht einmal einen Proxy-Server, um den Datenverkehr aus dem Internet zu filtern", sagt Oliver Pifferi, Projekt-Manager und IT-Sicherheitsexperte beim Systemhaus Kriehn.net aus Bottrop. "Das ist geradezu fahrlässig." Einem mittelständischen Unternehmen, das seinen E-Mail-Verkehr gegen Angriffe absichern möchte, stehen drei Alternativen zur Wahl:
-
• E-Mail-Server und Client-Rechner in Eigenregie verwalten und entsprechende Schutzmaßnahmen treffen.
-
• Gehostete E-Mail-Sicherheitslösungen verwenden. Dabei greift der Anwender auf Hard- und Software zurück, die bei einem IT-Service-Provider stehen.
-
• E-Mail-Server und Sicherheitslösungen werden beim Anwender installiert. Den Betrieb und das Management dieser Systeme übernimmt jedoch ein externer Dienstleister, Stichwort Managed Service.
Viele Produkte für selbst betrieben E-Mail-Server
Foto: Retarus
Der klassische Ansatz, auf den hierzulande immer noch viele Firmen zurückgreifen, besteht darin, E-Mail-Server und die dazugehörigen Sicherheitssysteme in Eigenregie zu betreiben. Der Vorteil dieser Lösung ist, dass der Anwender zu jeder Zeit die Kontrolle über den elektronischen Nachrichtenverkehr hat. Das hat allerdings seinen Preis: Das Unternehmen muss den Server und die entsprechende Messaging-Software anschaffen, etwa Microsoft Exchange oder Lotus Domino. Hinzu kommen die Kosten für Sicherheitssysteme, speziell ein E-Mail-Gateway. Solche Gateways stehen in zwei Versionen zur Auswahl, als Hardware-Appliance oder als Softwarelösung, die auf einem Server installiert wird.
Neben etablierten IT-Security- und Netzwerkfirmen wie Check Point, Cisco, F-Secure, Kaspersky, McAfee, Symantec oder Trend Micro bieten viele kleinere Unternehmen solche Gateways an. Dazu gehören Alt-N ("Security Gateway"), Astaro ("Mail Gateway"), Barracuda Networks ("Spam & Virus Firewall"), M86 ("Mail Marshal") oder Underground 8 ("AS Communication Gateway"). Viele dieser Systeme verwenden als Betriebssystem eine Linux-Version.
Aktuelle Gateways kombinieren mehrere Sicherheitsfunktionen. Sie dienen als Proxy, bieten teilweise einen Viren-, Spyware- und Spam-Schutz und stellen einen Content-Filter bereit. Dieser analysiert nicht nur elektronische Nachrichten auf Schadsoftware, sondern prüft auch den normalen Internet-Verkehr. Ist zudem ein Application-Level-Gateway (ALG) integriert, kann der IT-Administrator den Internet-Verkehr auf Anwendungsebene kontrollieren, also beispielsweise Peer-to-Peer-Verbindungen blockieren.
Nicht nur den E-Mail-Server im Auge behalten
Wichtig ist, dass nicht nur der E-Mail- oder Messaging-Server abgesichert ist. Oft wird übersehen, dass die Client-Rechner eine Security-Software benötigen. Diese sollte folgende Funktionen bieten:
-
• Spam-Filter;
-
• Anti-Phishing-Funktion;
-
• Virenschutz sowie
-
• Personal-Firewall.
Leider nehmen es gerade kleinere und mittelständische Firmen aus Kostengründen mit dem Schutz der Client-Rechner nicht allzu genau: "Auch der Mittelstand spürt die Folgen der Wirtschaftskrise", so Jan Hichert, Geschäftsführer der IT-Sicherheitsfirma Astaro. "Das ist der Grund, weshalb immer mehr Unternehmen auf Consumer-Produkte zurückgreifen, um ihre IT-Umgebungen abzusichern." Diesen Paketen fehlt beispielsweise eine Management-Konsole, mit deren Hilfe ein Systemverwalter die Programme auf den Clients zentral verwalten kann. Zudem können sie keine Security-Policies auf- und durchsetzen. Die Regelwerke sind wiederum notwendig, um beispielsweise den Schmuggel von Unternehmensinformationen via E-Mail zu unterbinden. Das ist ein Sicherheitsrisiko, das oft unterschätzt wird.
Der Nachteil einer selbst gemanagten E-Mail-Sicherheitslösung liegt auf der Hand: Anschaffung und Betrieb der Systeme kosten Geld und Zeit. Die IT-Abteilung muss geschulte Mitarbeiter abstellen, die sich um diese Geräte kümmern. Gerade für kleinere Unternehmen ist das problematisch.
Gehostete Lösungen für den Mittelstand
"Seitdem die IT-Budgets nicht mehr steigen, verzeichnen wir ein steigendes Interesse an gehosteten E-Mail-Lösungen", sagt Jörg Heckwolf, Solution Manager IT-Security beim Systemhaus Controlware. In gehosteten E-Mail-Sicherheitslösungen steht die Hard- und Software beim Service-Provider. Er ist dafür zuständig, dass die Systeme stets auf dem neuesten Stand sind und dass aktuelle Malware-Signaturen eingespielt sowie Spam-Quellen geblockt werden. Alle E-Mails, die ein Unternehmen sendet oder empfängt, werden über die Server des Dienstanbieters geleitet und dort überprüft. Diese Systeme stehen in der Regel in Rechenzentren des Providers.
Die Anbieterszene für Hosted-E-Mail-Security hat sich in den vergangenen zwei Jahren enorm vergrößert. Spezialanbieter wie Messagelabs, Postini oder Retarus haben Konkurrenz von den Herstellern von Antivirus- und Anti-Spam-Software bekommen. Zu den bekanntesten Firmen aus diesem Bereich zählen Symantec, das sich Messagelabs einverleibte, Trend Micro, McAfee und Kaspersky. Die Anbieter bauen auf Basis von Software-as-a-Service-Modellen (SaaS) und Messaging-Services ihre Produktspektren aus, um schrumpfende Margen im Geschäft mit Sicherheitssoftware auszugleichen.
Checkliste E-Mail-Sicherheitsservices
1. Wie hoch ist das E-Mail-Aufkommen, das der Anbieter durch seine Systeme schleust? Je höher die Zahl der überprüften E-Mails, desto größer ist die Wahrscheinlichkeit, dass der Anbieter Spam- oder Virenwellen frühzeitig erkennt.
2. Welche anderen Security-Dienste stellt der Provider bereit? Je mehr Know-how ein Anbieter im Bereich IT-Sicherheit hat, desto besser. Zudem kann der Anwender dann notfalls ergänzende Security-Angebote ordern, ohne den Provider zu wechseln.
3. Stammen die Techniken, die der Provider einsetzt, aus eigener Entwicklung, oder hat er sie als OEM-Partner zugekauft? Firmen, die eigene Produkte einsetzen, haben die Kontrolle über die Weiterentwicklung der Hard- und Software.
4. Enthält das Service-Level-Agreement des Providers Aussagen über zentrale Punkte? Dies sind die Verfügbarkeit des Dienstes, die Effizienz der Anti-Spam-Maßnahmen, die Zahl der versehentlich als Spam eingestuften E-Mails (False Positives), die Effizienz des Virenschutzes und die Verzögerungszeiten bei der Weiterleitung von Kunden-E-Mails, die durch den Prüfvorgang anfallen.
5. Welche Vergütungen bietet der Provider für den Fall an, dass er ein SLA nicht einhalten kann? Anbieter, deren Serviceangebot auf wackligen Füßen steht, werden dem Anwender keine Rückerstattung von Gebühren für den Fall anbieten, dass der Service nicht in der vereinbarten Qualität erbracht wird.
Mehr über Netzwerkprodukte für den Mittelstand im kostenlosen CP-Webcast
Anwender verlassen sich auf externe Dienstleister
Foto: Bernd reder
Für Mittelständler haben solche Dienste einen gewissen Reiz: "Gehostete E-Mail-Sicherheitsdienste machen die Kosten transparent", erläutert Controlware-Manager Heckwolf. "Das gefällt den Finanzchefs." In der Regel wird ein solcher Service auf Basis der betreuten Anwenderzahl abgerechnet. Pro Arbeitsplatz fallen je nach Umfang der genutzten Dienstleistungen ungefähr zwischen zwei und fünf Euro im Monat an.
In diesem Modell müssen sich Anwender weder um die Anschaffung noch den Betrieb der E-Mail-Security-Infrastruktur kümmern. Die Kosten sind kontrollierbar und kalkulierbar, weil feste Monats- oder Jahresgebühren vereinbart wurden. Sollte die Zahl der Anwender zunehmen oder durch Entlassungen schrumpfen, lässt sich der Servicevertrag mit dem Anbieter relativ einfach anpassen. Es entstehen keine versteckten Kosten durch unter- oder überdimensionierte Hardware oder ungenutzte Softwarelizenzen.
Doch der Ansatz hat auch Nachteile: Der Anwender wird in einem gewissen Maß von seinem Service-Provider abhängig. "Ein schneller Anbieterwechsel funktioniert in der Regel nicht", warnt Heckwolf. Im Outsourcing von E-Mail-Sicherheitsservices sei es wichtig, dass die Rahmenbedingungen in einem Service-Level-Agreement (SLA) fixiert sind. Diese Vereinbarung legt fest, welche Dienstgüte ein Service-Provider zu liefern hat, also wie viel Prozent der Spam-E-Mails erkannt werden müssen, wie lange die Reaktionszeit bei Problemen sein darf und welches E-Mail-Aufkommen gefiltert wird. Es gibt jedoch keine Garantie, dass dieser Vertrag alle Aspekte beinhaltet und von Anwendern professionell abgewickelt wird. Mitunter muss hier Lehrgeld gezahlt werden.
Fernwartung statt Do-it-yourself
Einen guten Kompromiss zwischen einer Inhouse-Lösung und dem Outsourcing der gesamten Messaging-Infrastruktur inklusive der Sicherheitskomponenten sind gemanagte E-Mail-Dienste (Managed Services). Dieser Ansatz ist vor allem für Anwender interessant, die die Kontrolle über ihre E-Mail-Server und Security-Gateways behalten möchten.
Die Hardware, also E-Mail-Server, Proxy-Systeme und Gateways, stehen in diesem Fall beim Anwender. Ein externer Service-Provider ist für den Betrieb und die Verwaltung der Lösung zuständig. Das hat für den Nutzer den Vorteil, dass die IT-Abteilung von dieser Aufgabe entlastet wird. Einen solchen Service bietet etwa das Systemhaus Kriehn an. Mitarbeiter der Firma überwachen die E-Mail-Server und Sicherheitssysteme bei den Anwendern via Fernverbindung (Remote Access).
Managed Services vom Systemhaus
"Diese Lösung ermöglicht es uns, über eine zentrale Management-Konsole aus der Ferne die Systeme der Anwender zu überprüfen, Patches oder neue Software einzuspielen und den Status der Lizenzen zu kontrollieren", sagt Oliver Pifferi. Umgekehrt meldet die Lösung dem Systemhaus, wenn groß angelegte Angriffe auf E-Mail-Server und Client-Rechner von Kunden laufen. Die Fachleute der Firma können dann Gegenmaßnahmen einleiten.
Ein weiterer Vorteil dieses Ansatzes: Der Anwender hat die Möglichkeit, die Dienstleistung bei seinem Haus-und-Hof-IT-Lieferanten zu ordern. Firmen wie Symantec, McAfee, Trend Micro und andere forcieren derzeit bei ihren Partnerfirmen das Modell "Managed Services. So erhalten auch kleine Systemhäuser oder DV-Fachhändler die Möglichkeit, einen E-Mail-Sicherheitsdienst bereitzustellen. Die Kosten einer solchen Lösung bewegen sich etwa im Rahmen von Hosted-Services.
Nachteilig können Managed-E-Mail-Services sein, wenn Anwender - ähnlich wie bei gehosteten Angeboten - Know-how nach außen geben, also vom Dienstleister abhängig werden. Hinzu kommt, dass die Hersteller von E-Mail-Security-Produkten derzeit gerade kleine Systemhäuser als Anbieter solcher Dienstleistungen rekrutieren. Nicht jedes dieser Unternehmen dürfte jedoch der Aufgabe gewachsen sein. Setzt ein Anwender auf einen gemanagten E-Mail-Service, sollte er daher Faktoren wie Dienstgüte und Reaktionszeiten der Support-Abteilung in einem detaillierten Service-Level-Agreement festschreiben.
Unified Communications fördert Hosting
Neue Entwicklungen in den Bereichen E-Mail, Messaging und Unified Communications (UC) rücken das Thema "E-Mail-Security" weiter in den Mittelpunkt, und in diesem Zuge gewinnen Hosting-Dienste für den E-Mail- und Messaging-Betrieb an Bedeutung. Der Trend wird von Anbietern gefördert. Microsoft bietet etwa mit der Online-Version von Exchange eine Alternative zu Exchange-Servern, die der Anwender im eigenen Haus betreibt. Der Service ist an Mittelständler gerichtet und kostet etwa 3,50 Euro pro Benutzer und Monat.
Alternativen gibt es von Google (Google Apps - rund 50 Dollar pro Nutzer im Jahr), IBM (Live iNotes) und Cisco Systems (Webex Mail). Wer auf solche Angebote zurückgreift, ordert E-Mail-Sicherheit im Paket. Für Mittelständler, die auf den eigenen E-Mail-Server im Rechnerraum verzichten können, ist dies eine verlockende Option. (rw/Computerwoche)
Tabelle: Anbieter von Hosted-E-Mail-Security-Diensten
|
Anbieter |
Service |
Charakteristika |
|
Antispameurope |
Spam- und Virusfilter |
Deutscher Anbieter; Anwender benötigt keine Hard- und Software; Nachrichten vom Kunden-Mail-Server werden durch das Data Center des Anbieters geschleust; auch Appliance für Vor-Ort-Betrieb verfügbar. |
|
Cisco Systems |
Cisco Ironport Managed E-Mail-Security |
Software as a Service (SaaS); beim Anwender werden Sicherheits-Gateways der Cisco-Tochter Ironport installiert; integrierter Virenschutz von Sophos und McAfee. |
|
Eleven |
Expurgate ASP und Expurgate Inhouse |
Deutscher Anbieter; Produkte als Service und als Inhouse-Lösung erhältlich; Anti-Spam- und Antivirus-Funktion. |
|
|
Google Postini Service |
Anwender muss keine Hard- oder Software installieren; schützt vor Spam, Viren, Phishing, Denial-of-Service- (DoS) und Directory-Harvest-Angriffen (DHA); E-Mail-Verschlüsselung. |
|
Kaspersky Lab |
Kaspersky Hosted E-Mail Security |
Der Dienst wird in Rechenzentren von Kaspersky betrieben; auch in Deutschland gibt es ein Data Center; reputationsgestütztes Filterverfahren. |
|
McAfee |
McAfee E-Mail Security Service |
E-Mail-Policies für unterschiedliche Nutzergruppen möglich; User benötigt E-Mail-Server (im Haus oder beim ISP). |
|
Retarus |
Retarus Managed E-Mail Services |
Deutscher Anbieter; Antivirus-, Anti-Spam- und E-Mail-Verschlüsselungsfunktion; SaaS; firmenspezifische Black- und White-Lists. |
|
Symantec |
Messagelabs Hosted E-Mail Antivirus |
Spam- und Virenschutz; Content-Kontrolle, inklusive Analyse von Bilddateien; ergänzende Angebote: E-Mail-Continuity, Verschlüsselung, Schutz von Instant-Messaging-Programmen. |
|
Trend Micro |
Trend Micro Interscan Messaging Hosted Security |
Standardversion (für E-Mails mit Attachments bis zu 10 MB) und Advanced-Ausgabe (50-MB-Attachments); Content-Filter integriert. |
|
Webroot |
Webroot Security Software as a Service |
Verbindet E-Mail-Security mit Verschlüsselung und Archivierung von Nachrichten; Policies für einzelne Benutzergruppen möglich; Compliance-Funktionen (Audit-Trails). |
|
Websense |
Websense Hosted E-Mail Security |
Speziell auf kleinere und mittelständische Firmen zugeschnitten; Management durch Nutzer über ein Web-Portal. |