Unified Threat Management

Ratgeber - Die richtige Sicherheitslösung finden

31.05.2011 von Uli Ries
Das Konzept hinter UTM klingt charmant, insbesondere für kostenbewusste Schutzsuchende: In einer günstigen Software oder Appliance werden diverse Schutzprodukte kombiniert. Taugt die Idee zum Absichern von Unternehmensnetzen, oder sind dem Konzept Grenzen gesetzt?
So finden Sie die richtige UTM-Sicherheitslösung.

Das Konzept hinter UTM klingt charmant, insbesondere für kostenbewusste Schutzsuchende: In einer günstigen Software oder Appliance werden diverse Schutzprodukte kombiniert. Taugt die Idee zum Absichern von Unternehmensnetzen, oder sind dem Konzept Grenzen gesetzt?

Um der gängigen Sicherheitsbedrohungen Herr zu werden, müssten Unternehmen einen ganzen Zoo an verschiedenen Schutzmechanismen einrichten und betreiben. Entsprechend hoch sind die Kosten und die mit dem Absichern verbundene Komplexität. Denn umfassende Sicherheit verlangt nach Firewall, Virenscanner, Spam-Filter Intrusion-Detection-System, VPN-Gateway sowie Proxyserver - und spielt damit in Bereichen von mehreren zehntausend Euro.

Solche Summen gibt kaum ein kleines oder mittelständisches Unternehmen aus. Davon abgesehen ist eine solch heterogene Landschaft aus IT-Sicherheitsprodukten in der Praxis auch überdimensioniert und nur von Sicherheits-Profis zu administrieren und zu betreiben. Angesichts der überschaubaren IT-Ressourcen der meisten Unternehmen dürfte die Hürde damit zu hoch liegen. Am anderen Ende der Skala finden sich die Unternehmen, die Gratisversionen von Virenscannern installieren und so die Lizenzbestimmungen der Hersteller verletzen. Denn diese Versionen sind ausschließlich für den Privatgebrauch bestimmt.

Es gibt jedoch auch einen Mittelweg für Ihre Kunden: Mit Unified-Threat-Management-Appliances haben die Hersteller von IT-Sicherheitsprodukten Lösungen im Angebot, die kleinere Netze absichern, gleichzeitig aber bezahlbar sind - schon ab 300 Euro sind UTM-Appliances zu bekommen.

Unified Threat Management

Genauso komplex wie das Thema Sicherheit an sich ist in Teilen auch die Welt von Unified Threat Management (UTM). Je nach Hersteller unterscheidet sich der Funktionsumfang der Appliances. Allen UTMs gemeinsam sind Firewall, Spam-Filter, Antivirenlösung und Intrusion Detection System. Gängig, aber nicht in jedem Fall zu finden sind VPN-Gateway und Inhaltsfilter. Mit Letzterem kann der Webdatenstrom - neuerdings auch speziell der von sozialen Netzwerken wie Facebook - auf bestimmte Stichworte untersucht und bei Bedarf unterbrochen werden. Solche Funktionen sind sonst eher in ausgewachsenen DLP (Data Leakage Prevention)-Lösungen zu finden. Mancher Hersteller packt auch noch eine Funktion zum Untersuchen von per SSL verschlüsselten Datenströmen in seine Appliances oder bietet die Möglichkeit, VoIP-Telefonate abzusichern.

Budgetschonend: UTM-Appliances sind schon für wenig Geld zu bekommen - wie hier beispielsweise ein Gerät von Securepoint.
Foto: Securepoint

Ganz egal, wie umfangreich die UTM-Lösung ausgestattet ist, der Kunde profitiert vom Konzept: Es muss nicht aus finanziellen oder organisatorischen Gründen auf eine essentielle Komponente verzichtet werden. Kunden bekommen auf jeden Fall einen tauglichen Rundumschutz.

Die Appliances kommen nicht immer in Form einer Hardware zum Nutzer, sondern sind bei vergleichbarem Leistungsumfang auch als Software zu bekommen. Vorteil der Appliance: Sie ist auf die Anforderungen abgestimmt und stemmt die Netzwerklast problemlose. Vorteil einer Software: Sie kann prinzipiell auch in einer virtuellen Maschine auf einem vorhandenen Server laufen, sodass keine neue Hardware angeschafft werden muss. In größeren Netzwerken, in denen es auf hohen Datendurchsatz ankommt, hilft aber nur eine dedizierte Hardware.

Viel Schutz, wenig Mühe

Eines der entscheidenden Argumente pro UTM ist das einheitliche Benutzer-Interface zur Administration. In heterogenen Infrastrukturen aus eigenständigen Schutzprodukten müssten die IT-Spezialisten mit verschiedensten Benutzeroberflächen hantieren, wodurch der Aufwand beträchtlich größer würde. Außerdem steigt in solchen Umgebungen das Risiko, dass ein wichtiger Hinweis in einer der zahlreichen, von den Komponenten erzeugten Log-Dateien untergeht.

Auch wenn nur ein einzelnes Log-File zu analysieren ist, erfordert diese Aufgabe doch ein profundes Fachwissen in Netzwerktechnik und grundsätzliches Verständnis für den Datenverkehr im Internet. Von daher sollten sich Unternehmen ernsthaft überlegen, die Unified-Threat-Management-Lösung nicht nur vom Systemhaus zu beziehen und in Betrieb nehmen zu lassen. Mit der erstmaligen Konfiguration ist es nicht getan: Viele Datenlecks lassen sich nur aufspüren, indem die Log-Dateien gründlich untersucht werden. Insofern leistet eventuell ein spezialisiertes Systemhaus auch im laufenden Betrieb gute Dienste.

Wobei auch die Erstkonfiguration Fachleuten überlassen werden sollte. Denn hierbei werden ja die Richtlinien definiert, nach denen das Netzwerk gesichert wird. Ein externer Berater ist hierbei aufgrund der unverstellten Sichtweise vielleicht besser geeignet als die Firmenmitarbeiter. Außerdem bringt er wahrscheinlich genug Erfahrung mit, um durch Stellen der passenden Fragen im Vorfeld die Schutzbedürfnisse des Kunden zu erfassen.

Sicher auch gegen Verstöße von innen

In der Praxis machen viele UTM-Spezialisten die Erfahrung, dass Unternehmen ab fünf mit dem Internet verbundenen PC-Arbeitsplätzen mit einer UTM gut bedient sind. In der Regel wollen diese Kunden neben den Grundfunktionen wie Firewall und Virenschutz zur Abwehr von externen Gefahren noch eine Absicherung gegen (unbeabsichtigte) Angriffe von innen. Sprich: Es geht dann darum, den Zugriff aufs Internet zu kontrollieren.

Damit lassen sich vor allem rechtliche Probleme vermeiden, die den Geschäftsführern der Unternehmen aus fragwürdigen Aktivitäten der Mitarbeiter im Netz drohen könnten. Außerdem kann man durch reglementierten Internetzugriff Datenlecks vermeiden, die aus eventuellen Schadsoftware-Infektionen resultieren.

Viele UTM-Appliances geben den Internetzugriff je nach Konfiguration erst frei, wenn sich der Mitarbeiter authentifiziert hat. Sollte es doch einmal zu einem Verstoß gegen firmeninterne Regelungen kommen, sind die Verantwortlichen auf der sicheren Seite, da sich im Rahmen der innerbetrieblichen Möglichkeiten die Aktionen der Mitarbeiter nachvollziehen lassen.

Praxisbeispiel

Ein - etwas außergewöhnliches - Beispiel aus der Praxis beschreibt das Systemhaus IT for Life aus Jübek. Die Dienstleister statteten mehr als 70 Zahnartpraxen mit UTM-Lösungen aus. Wichtigstes Argument für UTM: Dank den Appliances laufen die Praxis-PCs zu Höchstleistungen auf. Performance ist das A und das O in Praxen, in denen Röntgenbilder digital erzeugt und sofort nach der Aufnahme am PC angezeigt werden sollen. Das Verarbeiten der großen Bilder fordert die zumeist leicht angejahrten PCs. Ist auf diesen Computern noch ein lokaler Virenscanner installiert, dauert der Bildaufbau unakzeptabel lange - und die Patienten müssen Wartezeiten auf dem Behandlungsstuhl hinter sich bringen.

Daher deinstallierte IT for Life die Virenscanner, setzte eine UTM-Appliance ein und verbot den betreffenden, weitgehend schutzlosen PCs den Internetzugriff. Außerdem sperrte man alle Schnittstellen wie USB-Ports, um das Einschleppen von Malware per USB-Stick oder MP3-Player zu verhindern. Durch dieses strikte Reglementieren kommen die PCs nicht mehr ins Schwitzen, teures Neuanschaffen der Hardware entfällt. Die UTM-Appliance war inklusive Installation und vorheriger Planung der Konfiguration erheblich günstiger als ein Schwung neuer PCs.

Andere PCs im Praxisnetzwerk, bei denen die Performance weniger kritisch ist, haben Internetzugang und funktionierende USB-Schnittstellen. Auf diesen Maschinen arbeitet dann auch ein lokaler Virenscanner. Denn es kommt im Praxisalltag des Öfteren vor, dass Patienten ihre Röntgenbilder oder andere Patienteninformationen auf einem USB-Stick mitbringen. Auf diese Weise könnte sich leicht Malware auf den vernetzten PCs der Praxis breitmachen.

Auch UTM ist nicht perfekt

Wo viel Licht ist, fällt bekanntlich auch Schatten. So auch im Fall von Unified Threat Management. Denn eigenständige Lösungen sind in der Regel leistungsfähiger: Dedizierte Firewalls bringen zumeist einen größeren Funktionsumfang und mehr Schutzmechanismen mit, als es Firewalls in UTM-Lösungen tun. Auch vollwertige Virenscanner auf Clients arbeiten im Zusammenspiel mit einem Antivirenserver im Netzwerk akkurater als der dem Unified Threat Management eigene Virenschutz.

Auch an speziellen Aufgaben wie dem Schützen von Datenbanken oder Webanwendungen scheitern UTM-Lösungen. Ihre Firewalls und Webfilter können den Datenverkehr, der zu den zu schützenden Anwendungen fließt, nicht genau genug analysieren, als dass beispielsweise ein SQL-Injection-Angriff oder eine Cross-Site-Scripting-Attacke auffiele. Hier helfen nur hoch spezialisierte Lösungen weiter.

Erstling: Dell vermarktet gemeinsam mit Juniper sein erstes UTM-Produkt, die PowerConnect-J-SRX-100.
Foto: Dell

Grenzen werden Unified Threat Management aufgezeigt, wenn im abzusichernden Netzwerk zu viele Endpunkte ins Internet wollen beziehungsweise die erzeugte Netzwerklast zu groß wird. Für diese Szenarien empfehlen sich getrennte Systeme, da hier verschiedenste Komponenten jeweils nur eine Aufgabe wie den Virenschutz oder die Anti-Spam-Funktion übernehmen, anstatt sämtliche Checks über ein und dieselbe Appliance abzuwickeln.

Eine taugliche Faustregel lässt sich nur schwer aufstellen. In manchen Netzwerken erzeugen schon 500 Anwender dauerhaft so viel Last und ein so hohes Risiko, dass Unified Threat Management an seine Grenzen stößt. In anderen Szenarien sind selbst 1000 User so genügsam, dass eine Lösung wie die des UTM-Newcomers Dell vollkommen ausreicht.

Enterprise-Security-Appliance: Mit der SecPath U200-A stell H3C eine Unified-Threat-Management-Appliance vor, die Sicherheitsfunktionen der Unternehmensklasse bietet.

Dell bietet gemeinsam mit Juniper seit Kurzem die PowerConnect-J-SRX-100 an. Das knapp 2000 Euro teure, auf Junipers JunOS basierende Produkt kappt die Verbindung bei 32.000 gleichzeitigen IP-Sessions pro Sekunde. Zum Vergleich: Eine für größere Unternehmen konzipierte UTM-Hardware wie die H3C Secpath U200 stemmt 500.000 Sessions, kostet aber auch mehr als das Doppelte.

Im Fall der Dell-/Juniper-Hardware spielt es keine Rolle, wie viele Nutzer faktisch angemeldet sind. Laut Dell entspricht die genannte Last einer Nutzeranzahl von 640 Anwendern. Im Prinzip sind aber beliebig viele Anwender mindestens drei Jahre lang vor Viren, Spam und Angriffen aus dem Netz geschützt, da die Lizenz für tägliche Updates der einzelnen Filter so lange gilt. Anschließend muss - wie so oft im Security-Umfeld - nachverhandelt und ein neues Abonnement abgeschlossen werden.

UTM-Appliances empfehlen sich auch nicht, wenn umfangreiche Auswertungen der Netzwerkaktivitäten gefragt sind. Denn leistungsfähige Filter zum punktgenauen Durchsuchen des Wustes aus TCP/IP-Ports, Internetprotokollen, Uhrzeiten, Datenstromrichtungen und anderen Angaben helfen dem Administrator. Fehlen sie, wird das Auswerten zum Geduldsspiel.

Dynamisches Duo

Gegen UTM-Produkte spricht zuerst einmal auch, dass die Lösungen konzeptbedingt Single Points of Failure sind. Fällt die Appliance aus oder stürzt sie ab, steht der Datenaustausch mit dem Internet still. Kämen getrennte Komponenten zum Einsatz, haben der Ausfall der Antivirensoftware oder ein Absturz des Web-Proxys keine derart fatalen Folgen. Kommunikation per E-Mail oder Voice over IP sind genauso möglich wie der Zugriff auf den in die DMZ (Demilitarisierte Zone) ausgelagerten Webserver.

Um die Abhängigkeit von nur einer Komponente aus der Welt zu schaffen, empfiehlt sich ein Redundanzkonzept. UTM-Hersteller wie das in Lüneburg beheimatete Unternehmen Securepoint lassen Kunden zwischen zwei Wegen wählen. Günstiger ist zumeist der Cold-Stand-by, sicherer und teurer der Hot-Stand-by. Bei Letzterem sind ständig zwei identische UTM-Appliances gleichzeitig in Betrieb - für die in der Regel auch jeweils Lizenzpakete gekauft werden müssen -, wobei nur eine den Datenverkehr bewältigt.

Die Ersatz-Appliance übernimmt permanent sämtliche Konfigurationsänderungen der ersten Appliance und aktualisiert auch laufend die Antiviren- und Spam-Signaturen. Aktiv wird die Ersatz-Appliance allerdings erst, wenn die Haupt-UTM-Lösung aus irgendeinem Grund nicht mehr funktionstüchtig ist. Der Nachteil: Der Kunde für die Stand-by-Appliance muss mindestens das Lizenzgrundpaket (fünf Lizenzen) kaufen.

Quasi gratis, aber trotzdem hinreichend sicher ist das Cold-Stand-by-Konzept. Je nach Lizenzbedingungen des Herstellers kann der Kunde unter Umständen eine zweite Appliance installieren und diese nach Belieben von Hand mit den Konfigurationsänderungen und Virensignaturdateien versorgen. Fällt eine UTM aus, muss die zweite wiederum manuell in den Live-Betrieb versetzt werden.

Preis/Leistung: Kaum zu schlagen

UTM-Appliances finden zumeist dank ihrer niedrigen Anschaffungskosten den Weg in kleinere und mittelgroße Unternehmen. Natürlich gibt es auch UTM-Appliances im Gegenwert einer in einer deutschen Metropole gelegenen Zwei-Zimmer-Eigentumswohnung. Für kleinere Unternehmen kommt so etwas aber kaum in Frage.

Produkte des erwähnten UTM-Herstellers Securepoint sind schon ab 300 Euro erhältlich und sollen laut Hersteller gut geeignet sein für IT-Umgebungen, die zwischen fünf und 250 IT-Arbeitsplätze umfassen. Insbesondere vergleichsweise kleine Unternehmen wie Arztpraxen, Steuerberatungs- oder Anwaltskanzleien dürften sich über die niedrigen Preise freuen. Da aber gerade diese Klientel nicht zuletzt per Gesetz zu striktem Datenschutz gezwungen wird, tun Schutzmaßnahmen not.

Wichtig beim Senken der Anschaffungskosten ist ein bündiges Preiskonzept des Herstellers: Kunden bezahlen nur die Anzahl der gewünschten Lizenzen. Es fallen keine weiteren Kosten für zusätzliche Schutzfunktionen an, alle Mechanismen der Appliances stehen uneingeschränkt zur Verfügung - inklusive der notwendigen laufenden Updates der verschiedenen Filter.

Damit Unternehmen tatsächlich von dem hinter Unified Threat Management stehenden Konzept profitieren, müssen sie vor dem Verkauf deren Bedarf ermitteln und sich vor allem überlegen, ob das Unternehmen den laufenden Betrieb und die Überwachung der Lösung selbst stemmen kann. Es empfiehlt sich, dem Kunden auf alle Fälle einen Servicevertrag mitanzubieten.

Dieser Artikel basiert auf einem Beitrag der ChannelPartner-Schwesterpublikation TecChannel.