Foto: Netgear
Die Angriffe auf Unternehmensnetzwerke werden immer raffinierter. Es sind nicht mehr die "Script Kiddies", die "nur" spielen, oder ehrenwerte Hacker, die Sicherheitslücken "nur" aufzeigen wollen, die derzeit den Unternehmenskunden Sorgen bereiten, sondern Cyber-Kriminelle, die von fremden Mächten oder Wettbewerbern beauftragt werden, geheime Informationen aus dem Netzwerk des auszuspionierenden Unternehmens zu stehlen. Und wenn derartige Einbruchsversuche auch noch öffentlich werden, droht dem angegriffenen Unternehmen nicht nur ein finanzieller Verlust, sondern auch noch ein beträchtlicher Imageschaden, wie das im Fall von Sony sehr deutlich zu beobachten war.
Doch es sind beileibe nicht nur die ganz großen Konzerne, die sich vor Hacker-Angriffen schützen müssen, auch die mittelständischen Unternehmen sind ähnlichen Gefahren ausgesetzt. "Deshalb muss IT-Sicherheit in KMUs den gleichen Stellenwert einnehmen wie in größeren Firmen", meint Thomas Mammitzsch, Regional Director Commercial Central Europe bei Netgear. Dabei sind gerade kleinere Firmen oft Opfer von Trittbrettfahrern, organisierter virtueller Kriminalität und Spionage, von Viren und Trojanern, wie Dennis Monner, Vorstandsvorsitzender der gateProtect AG, aus eigener Erfahrung zu berichten weiß.
Und diese Attacken aus dem Web werden in der Tat immer ausgefeilter: "Uns fallen immer häufiger Angriffsversuche auf bestimmte Märkte oder sogar auf einzelne Unternehmen auf", bemerkt Michael Haas, Regional Sales Manager Central Europe bei WatchGuard Technologies. Diese ständig wachsende Anzahl an Bedrohungen erfordert im Gegenzug eine hoch entwickelte, starke Sicherheitslösung, die den Netzwerkzugriff kontrolliert, Datenverlust verhindert und schlussendlich vor diesen Gefahren schützt, so die Ansicht von Christine Schönig, Technical Managerin bei der Check Point Software Technologies GmbH.
Und sie empfiehlt Resellern, ihre Kunden daraufhin zu sensibilisieren, nicht in jede Phishing-Falle zu tappen. Ihr Chef bei Check Point Zentraleuropa, Jörg Kurowski, warnt auch vor sogenannten "Social Engineering"-Gefahren. Damit sind Cyber-Kriminelle gemeint, die sich unter einem fadenscheinigen Vorwand ("Ich bin Ihr Systemadministrator") bei Mitarbeitern eines Unternehmens melden und von ihnen Passwörter fordern ("Wir müssen etwas an Ihren Einstellungen ändern"). Auch davor müssen die User abgehalten werden. Doch bei vielen mittelständischen Kunden werden auch 2012 die Zeit und das Know-how fehlen, um sich mit dem Thema Netzwerk-Security ernsthaft auseinanderzusetzen.
Gutes Geschäftsfeld für Systemintegratoren
"Deshalb ist IT-Sicherheit nach wie vor ein sehr gutes Geschäftsfeld für Systemintegratoren", meint etwa Jan Hichert, Astaro-Gründer und nun Netzwerk-Security-Verantwortlicher bei Sophos. Ähnlich denkt auch Robert Jung, General Manager bei Westcon Security Deutschland: "Zahl und Vielfalt der Angriffe gegen Netzwerke nehmen stetig zu. Reine Endpoint-Lösungen bieten keinen ausreichenden Schutz mehr".
Foto: gateProtect AG
Denn auch das Nutzerverhalten bei den Kunden hat sich in den vergangenen zwei Jahren stark verändert. Viele Mitarbeiter bringen ihre privaten Smartphones und Tablets mit ins Unternehmen (BYOD, "Bring Your Own Device") und wollen diese wie selbstverständlich im Fimen-LAN genauso intensiv nutzen wie bisher ihre PCs und Notebooks. Hier warnt Jörg von der Heydt, Channel & Marketing Manager Germany bei Fortinet; vor dem hohen IT-Wissen der Mitarbeiter. Sie wüssten demnach ganz genau, wie sie sich ins unternehmenseigene WLAN einwählen können und welche Apps sie nutzen könnten, um die firmeneigene Warenwirtschaft oder das CRM-System mit ihrem Smartphone anzusprechen. "Neue Webanwendungen und Veränderungen in den Geschäftsprozessen, etwa das Verschmelzen von bisher strikt getrennten Unternehmensbereichen wie Produktions- und Office-Netz, werden die künftige IT-Security entscheidend prägen", glaubt der Fortinet-Manager.
Und hier bricht Westcon-Manager Jung eine Lanze für Hardware-Appliances: "Derartige Security-Lösungen können die internen Netzwerke beim Kunden nachhaltig entlasten, weil sie viele Bedrohungen bereits am Perimeter abfangen." Allerdings müssten sich diese Appliances "nahtlos in die IT-Systeme des Kunden integrieren lassen", darauf legt Netgear-Manager Thomas Mammitzsch großen Wert. Seiner Meinung nach suchen Mittelständler "zuverlässige, einfach einzusetzende und kosteneffiziente Sicherheit". Unter Umständen könnten dies die klassischen UTM-Appliances (Unified Threat Management), also quasi die "Eier legenden Wollmilchsäue" der IT-Security-Hardware, sein. Und natürlich kann eine UTM-Appliance ein Kompromiss sein, was Skalierbarkeit und Performance betrifft, doch für KMUs bleibt UTM sicherlich eine interessante Option, darin sind sich die meisten IT-Security-Experten einig.
Mehr Funktionen in UTM
Gleichzeitig entwickeln sich die UTM-Appliances weiter, sie bekommen neue Sicherheitsfunktionen verpasst und könnten dadurch für eine breitere Anwenderschicht interessant sein. "Je nach Kunde ist dann zu unterscheiden, ob das Leistungspaket vollumfänglich oder nur in Teilen eingesetzt werden muss. Die zunehmende Komplexität der Bedrohungen erfordert eine individuelle Anpassung und Implementierung, die nur durch den versierten Fachhandel erbracht werden kann", da ist sich Michael Haas von WatchGuard ganz sicher.
Denn die Verteilung der unterschiedlichen Sicherheitsfunktionen wie Firewall, Intrusion Prevention, Inhaltefilter und Anti-Malware auf unterschiedliche Geräte ist für den typischen mittelständischen Kunden viel zu teuer und zu aufwendig im Betrieb. Da bietet eine All-in-One-Lösung schon viele Vorteile. Ausgehend von einer "Next Generation"-Firewall, könnten weitere Security-Merkmale hinzugefügt werden. "Vertriebspartner haben in diesem Segment die Möglichkeit, sich bei ihren Kunden durch Beratung und Konzeption als kompetenter Partner und IT-Security-Experte zu positionieren", so die Erfahrungen beim VAD Westcon Security.
Nach den Erfahrungen des Astaro-Gründers Hichert gehört die Firewall im Schnitt alle drei Jahre ausgewechselt. "Wer hier als Reseller eine integrierte Appliance im Angebot hat und diese mit intelligenten Serviceverträgen anbietet, braucht für seine mittelständischen Kunden keine anderen Appliances", so der Sophos-Manager weiter. Check-Point-Technikerin Christine Schöning plädiert an dieser Stelle für sogenannten Software-Blades. Diese unterschiedlichen Module, wie Firewall, VPN, Intrusion Prevention, Applikationskontrolle, mobiler Netzwerkzugriff, Data Loss Prevention, URL-Filter, Antivirus, Spam-Blocker oder Identitätsbewahrer, gilt es anschießend, je nach Kundenwunsche, zu kombinieren und in einem einzigen Security Gateway zu integrieren.
Derartige Appliances sind laut Schöning dann in der Lage, sämtlichen Security-Anforderungen gerecht zu werden. Dies gelte nicht nur für Zweigstellen und Kleinunternehmen, auch die Sicherheitsbedürfnisse von Konzernen, von Rechenzentrumsbetreibern und von Telekommunikationsanbietern könnten mit derartig zusammengesetzten Security Gateways befriedigt werden, so die Check-Point-Managerin.
Security-Dienste von Resellern
Foto: Check Point
Doch welche weiteren Services könnten Security-Partner passend zu den von ihnen verkauften Appliances ihren Kunden anbieten? Auch danach haben wir die wichtigsten Anbieter gefragt. "Managed Security als Service gewinnt in diesem Zusammenhang an Bedeutung und bietet Vertriebspartnern hohes Umsatzpotenzial mit lukrativen Margen", meint etwa Dennis Monner von GateProtect. Dabei spielt er auch auf die zentrale Verwaltung, Konfiguration und Überwachung von mehreren Security-Appliances an. "Services wie einfache Lizenzierung, unkomplizierte Einbindung in vorhandene IT-Infrastrukturen und ein deutschsprachiger Support spielen ebenfalls eine wichtige Rolle", fügt dem Thomas Mammitzsch von Netgear hinzu.
"Wenn Reseller diese Dienstleistungsanforderungen erfüllen, werden sie Appliances erfolgreich vermarkten können. Um Kunden einen exzellenten Service zu bieten, sollten Fachhandelspartner stets prüfen, welcher Hersteller neben attraktiven Margen auch gezielte personelle und materielle Unterstützung bei Technik, Marketing und Vertrieb bietet", empfiehlt der Netgear-Manager den Security-Resellern.
Anthony Perridge, Channel Director bei Sourcefire, bringt hier noch die Kundenschulungen mit ins Spiel. "Es ist essentiell, Security endlich als Service zu begreifen und umzusetzen; eine aktive Betreuung des Kunden ist gefragt", bringt es Markus Hennig, Netzwerk-Security-CTO bei Sophos, auf den Punkt.
Entscheidend ist dabei aber, dem Kunden immer die passende Security-Appliance zu verkaufen. Denn nichts ist schlimmer, als einem Kunden eine viel zu teure Lösung aufzuschwatzen oder ihm, um Geld zu sparen, ein zu leistungsschwaches System anzudienen. Unzufriedene Kunden wandern rasch zur Konkurrenz. So tun aber auch die Hersteller gut daran, ihre Vertriebspartner so zu schulen, dass sie immer das passende Produkt für die Bedürfnisse ihrer Kunden parat haben.
Welche UTM-Appliance für welchen Kunden?
Foto: Fortinet
Doch für welche Kunden sind nun die vorher angesprochenen UTM-Appliances geeignet, und wann benötigt man unter Umständen spezialisierte Security-Geräte? Auch darüber gehen die Meinungen der Anbieter weit auseinander. So glaubt etwa Sourcefires Channel-Direktor Anthony Perridge weiterhin fest an die Notwendigkeit von spezialisierten Schutzvorrichtungen, während Sophos-CTO Markus Henning davon ausgeht, dass Speziallösungen nicht mehr gefragt sind. Seiner Einschätzung nach werden eher mehr Funktionen in UTM-Appliances vereinigt.
Robert Jung von Westcon Security nimmt dagegen an, dass sogenannte Next-Generation- Firewalls das Thema Unified Threat Management verdrängen werden. "Schon jetzt nutzen immer weniger Hersteller den Begriff UTM", so der VAD-Vertreter weiter.
"Hoch im Kurs stehen bei den Kunden unserer Reseller spezialisierte Appliances, die der aktuellen Bedrohungslage - insbesondere den zahlreichen, gezielten Angriffen auf Unternehmensdaten - Tribut zollen", so Jung weiter. Seiner Ansicht nach ist solchen individuellen Attacken kaum mit universellen Lösungen beizukommen, und daher würden immer mehr Kunden auf Systeme setzen, die klar auf ausgewählte Angriffsvektoren fokussieren. "Ein vergleichbarer Paradigmenwechsel zeichnet sich aus ähnlichen Gründen auch am Endpoint ab", da ist sich der Westcon-Manager ganz sicher.
Jörg von der Heydt vertritt dagegen die Überzeugung, dass spezialisierte Appliances nicht das Kernproblem der Kunden lösen würden: die Komplexität ihrer IT-Systeme. Darüber hinaus würden dann zumeist Instanzen fehlen, die die Wirksamkeit der Kombination aller eingesetzten Appliances zuverlässig prüfen könnten. "Solche Instanzen gibt es zwar, sie sind aber sehr teuer und zudem ebenfalls komplex", erläutert Fortinets Channel-Manager weiter. Da rät er den Resellern, lieber die einzelnen Security-Module innerhalb der UTM-Appliances besser aufeinander abzustimmen, was Schnittstellen und die Interaktion der Engines betrifft: "Das ist sinnvoller und nachweislich sicherer, als verschiedene Third-Party-Lösungen miteinander zu kombinieren", so das Fazit von der Heydts.
Integrierte Security-Appliances
Foto: Sophos
Noch eindeutiger äußert sich Jan Hichert von Sophos: "Der Trend geht klar zu integrierten Appliances. Oder gibt es heute noch Mobiltelefone ohne Kamera?" Ebenfalls der Pro-UTM-Fraktion zugehörig fühlt sich Christine Schönig: "In modernen Unternehmensnetzen fungiert ein Security-Gateway längst nicht mehr 'nur' als Firewall. Als Sicherheitsvorrichtung der 'ersten Reihe' muss es verschiedenste Technologien nutzen, um den Netzwerkzugriff zu kontrollieren und immer raffiniertere Attacken aufzudecken." Außerdem sollte ein modernes Security Gateway zusätzliche Sicherheitsfunktionen wie Data Loss Prevention, Schutz vor webbasierten Gefahren und Absicherung von mobilen Endgeräten wie iPhones und Tablets zur Verfügung stellen, argumentiert die Check Point-Technikerin.
Dennis Monner ist überzeugt, dass sich UTM-Appliances zu Next-Generation-Firewalls entwickeln werden, weil sie Applikationsschutz und Inhaltefilter integrieren müssen. "Das bisherige Konzept von Firewalls, ein- und ausgehenden Datenverkehr auf der Ebene von Diensten wie http oder ftp oder anhand von Ports zu erlauben oder zu sperren, hat ausgedient", sagt der Gateprotect-Chef. "Angriffe finden nunmehr auf Applikationsebene statt, und sie müssen sie auch dort blockiert werden", postuliert der Manager und führt als Beispiel den beliebten Skype-Dienst an. Eine mit der Deep-Packet-Inspection-Technologie (DPI) ausgestatte Next-Generation-Firewall könnte demnach die Telefonie via Skype erlauben, aber Datentransfer darüber verbieten.
Gleichzeitig werden Firewalls für Großunternehmen immer mehr Schutzfunktionen übernehmen und sich damit zu UTM-Appliances wandeln. Im Mittelstand sind diese ohnehin gesetzt, daran wird sich auch 2012 nichts ändern, daran lässt Thomas Mammitzsch keinen Zweifel aufkommen und geht sogar einen Schritt weiter: "Die Bereiche Security, Netzwerk, Storage und Cloud Computing wachsen zusammen. Gewerbliche Endanwender begreifen mittlerweile ihre IT-Infrastruktur als ein ganzheitliches Projekt", lautet die Erkenntnis des Netgear-Managers.
Deswegen sollten seiner Meinung nach Reseller Switching-, Storage- und Sicherheitslösungen aus einer Hand anbieten - zu erschwinglichen Preisen, auf Enterprise-Niveau. Allerdings erkennt auch Mammitzsch einen wachsenden Bedarf an spezialisierten Firewall- und VPN-Lösungen. "Dies ist in erster Linie auf die zunehmende Mobilität der Mitarbeiter zurückzuführen, die von ihren Smartphones und Tablets aus sicher auf Informationen in den Unternehmensnetzen zugreifen wollen."
Keine "Spezial"-Security
Michael Haas glaubt hingegen nicht mehr an die Zukunftsfähigkeit spezieller Appliances, seiner Ansicht nach geht hier Unified Threat Management ganz klar als Sieger hervor: "Nicht nur der Funktionsumfang, sondern auch die Tiefe der Sicherheitstechnologie nimmt bei UTM-Produkten stetig zu." Nicht ganz uneigennützig vertritt der Watchguard-Zentraleuropa-Chef die Meinung, dass sich diese Appliances für fast alle Kundensegmente eignen: Demnach kann UTM der zunehmenden Komplexität der Bedrohungen effektiv begegnen, ohne dass deren Handhabung komplexer würde.
Foto: Sourcefire
An dieser Stelle plädiert Haas für den Reseller: Er sollte den Kunden über die ihn bedrohenden Gefahren aufklären, ihm die dazu passende Lösung verkaufen und sich schließlich in sein IT-System integrieren. "Genau hier liegt das große Potenzial für Integratoren im Bereich Netzwerk-Security."
In ähnlichem Ton äußert sich Netgear-Manager Mammitzsch: "Der Fachhandel muss Sicherheit im Rahmen von ganzheitlichen Netzwerkprojekten verkaufen." Dem stimmt auch Westcon-Security-Deutschland-Chef Jung zu: "Entscheidend ist schlussendlich, dass die Security-Landschaft ganzheitlich konzipiert ist - sprich: dass alle Systeme nahtlos interagieren, ohne einander in die Quere zu kommen, und dass sich alle gesammelten Daten und Informationen auch effizient korrelieren lassen. In diesem Bereich stehen sowohl aufseiten des Fachhandels als auch bei den Endkunden bedeutsame strategische Weichenstellungen an."
Kunden werden auch 2012 von zahlreichen neuen und alten Gefahren bedroht werden - sei es durch die vermehrte Nutzung von sozialen Netzen, durch die zunehmende Mobilität der Mitarbeiter oder auch durch die Verlagerung der IT-Systeme und Daten in die Cloud. "Bei der Bewältigung dieser Herausforderungen können Security-Dienstleister Kunden beratend zur Seite stehen", dieses Resümee zieht Dennis Monner von GateProtect und empfiehlt ihnen natürlich Netzwerksicherheitsprodukte aus dem eigenen Hause. (rw)