Zum Schutz vor Angreifern und ungebetenen Gästen im Netz hat die Würth-Gruppe, eines der größten und bekanntesten deutschen Familienunternehmen mit weltweiter Präsenz, ein mehrstufiges Firewall-Konzept umgesetzt, das am Perimeter keine Angriffsflächen offen lässt.
Würth hat in seinem Rechenzentrum eine vom BSI empfohlene P-A-P-Konfiguration aus Paketfilter, Application Level Gateway und einem weiteren Paketfilter aufgebaut.
Zentrale Komponente ist das genua genugate, das Verbindungen terminiert - also annimmt, prüft und erst dann an den ursprünglich vorgesehenen Empfänger weiterleitet. Die nötige höhere Performance muss dafür gewährleistet sein.
Daneben sind noch klassische Malware- und Spam-Filter im Einsatz.
Frühjahr 2014: Hacker erbeuten die persönlichen Daten von 4,5 Millionen Krankenhauspatienten in den USA. Ebenfalls in dieser Zeit greifen Unbekannte stattliche 145 Millionen Zugangsdaten beim Internet-Auktionator eBay ab. Und als wenn der Diebstahl von Daten ein sportlicher Wettbewerb sei, verschaffen sich im August 2014 russische Angreifer Zugriff auf rekordverdächtige 1,2 Milliarden Passwörter rund um den Globus. Dagegen scheint der erfolgreiche Angriff 2013 auf die FDP, bei dem Nutzerdaten der Web-Site der Liberalen im Internet veröffentlicht wurden, direkt harmlos.
Egal, ob Mittelständler, Großunternehmen oder Behörde: Organisationen aller Art müssen jederzeit mit folgenschweren Angriffen über die unterschiedlichsten Angriffsvektoren rechnen. Fast ein Drittel der Unternehmen in Deutschland, so eine Studie des IT-Branchenverbands Bitkom vom März 2014, habe in den vergangenen zwei Jahren Angriffe auf die IT-Systeme verzeichnet. In 30 Prozent der Fälle sei der Angriff über das Internet erfolgt. Die Folgekosten sind immens. Ein großer Virenschutzanbieter rechnete bereits 2013 vor, dass ein Cyberangriff die großen Unternehmen mit mehr als 1500 Mitarbeitern durchschnittlich 479.000 Euro kostete. Kleine und mittlere Unternehmen kommen günstiger davon, hier stehen "nur" 42.000 Euro pro Angriff in der Ausgabenspalte der Buchhaltung.
Maximaler Schutz
Gute Gründe für prominente Unternehmen, in den Schutz der IT zu investieren. So auch die im baden-württembergischen Künzelsau ansässige Würth-Gruppe. Die idyllische Kleinstadt am Kocher ist Hauptsitz des vor allem für Befestigungstechnik bekannten Mutterunternehmens Adolf Würth GmbH & Co. KG und zentrale Verwaltung für weltweit über 400 Tochtergesellschaften mit mehr als 65.000 Mitarbeitern.
Die Würth-Zentrale in Künzelsau. Foto: Philipp Schönborn
Auch wenn viele Niederlassungen ihre IT in weiten Teilen selbst betreiben: Ein erheblicher Teil des Datenverkehrs der Würth-Gruppe wird über das Rechenzentrum in Künzelsau-Gaisbach abgewickelt. Um bei ein- und ausgehenden Daten die notwendige Sicherheit zu gewährleisten, setzt Würth am Perimeter des Rechenzentrums auf hochsichere Firewalls, wie Matthias Sturm, bei Würth für den operativen Betrieb der Firewalls zuständig, erläutert: "Wir nutzen Firewalls verschiedener Anbieter, um einen maximalen Schutz zu den bestmöglichen Kosten zu erhalten. Die zentrale Komponente in diesem Ansatz sind Firewalls des Typs genugate des Herstellers genua. Diese haben unter anderem die kritische Aufgabe, den Zugriff von außen auf die bei uns gehosteten Dienste abzusichern."
Hardware-Firewalls aus der genua genugate-Produktfamilie kommen bei der Würth-Gruppe verstärkt zum Einsatz. Foto: genua
Die Entscheidung für diesen Anbieter hat laut Sturm mehrere Gründe: "Als deutscher Hersteller kann genua uns schnell und einfach Support vor Ort bieten, der für eine zentrale Sicherheitskomponente wie eine Firewall notwendig ist. Das Schutzniveau ist extrem hoch und zudem vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Und die Sicherheit ist ja letztlich das entscheidende Argument für eine Firewall", so Sturm.
Empfohlene P-A-P-Konfiguration
Die Firewall sei zweistufig ausgelegt, erläutert Sturm. Zum einen verfügt Würth damit über einen Paketfilter, der die Daten anhand der Header-Informationen kontrolliert. Zum anderen bietet die Firewall ein Application Level Gateway, das die Daten selbst prüft. Damit ist es mit relativ geringem Aufwand möglich, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene P-A-P-Konfiguration aus Paketfilter, Application Level Gateway und einem weiteren Paketfilter aufzubauen: "Indem wir einen Paketfilter eines anderen Herstellers mit der genugate kombinieren, erfüllen wir vollständig die aus Sicht der IT-Sicherheit sehr sinnvolle BSI-Empfehlung."
Deutsche Security-Anbieter und ihre Marktaussichten
T-Systems Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert.
T-Systems Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom.
G Data G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite.
G Data Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen.
antispameurope Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope.
antispameurope antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt.
Avira Avira sichert speziell Endgeräte, Server und die Internetnutzung ab.
Avira Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten.
gateprotect gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung.
gateprotect Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen.
genua genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert.
genua Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen.
NCP Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich.
NCP NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways.
secunet secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle.
secunet SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt.
Steganos Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden.
Steganos Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät.
Zertificon Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden.
Zertificon Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen.
Secomba Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten.
Secomba Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.
Dieses Sicherheitskonzept fordert von den Firewall-Administratoren, die alle Firewalls im Unternehmen zentral verwalten, etwas Engagement: Das Konzept der Firewall basiert darauf, Verbindungen zu terminieren. Das bedeutet, dass alle ein- und ausgehenden Datenpakete von der Firewall so angenommen werden, als wären die Pakete für sie bestimmt. Nach der Prüfung der Pakete verschickt die Firewall die Daten über eine neue Verbindung an den ursprünglichen Empfänger. "Hieraus ergeben sich ein paar Besonderheiten, an die man sich erst gewöhnen muss", resümiert Sturm. "Im täglichen Betrieb werden diese Aspekte aber schnell zur Routine."
Auf der anderen Seite haben die terminierenden Verbindungen auch deutliche Vorteile. Etwa, wenn neuartige Angriffe über IPv6 abgewehrt werden sollen: Durch die Extension-Header bietet das neue Protokoll zahlreiche Möglichkeiten. Die Diskussion darüber, welche Merkmale bei der Implementierung unterstützt werden sollen und welche nicht, ist noch nicht abgeschlossen. Diese Header-Funktionen erlauben Angriffe, die sich sehr effizient über eine terminierende Verbindung unterbinden lassen: Das Application Level Gateway als logischer Endpunkt der Datenübertragung erzeugt beim Weiterversand einen neuen Header, der von der internen IT vorgegeben wird. Damit laufen Angriffsversuche ins Leere.
Performance und Hochverfügbarkeit
Neben der Sicherheit ist bei der Schnittstelle zwischen dem Rechenzentrum und der Außenwelt auch die Performance der Firewalls von großer Wichtigkeit. Denn diese müssen alle ein- und ausgehenden Datenströme prüfen, ohne dass es dabei zu für die Anwender spürbaren Verzögerungen kommt. Die Paketfilter sind hier weniger kritisch, da dabei nur der Header der Datenpakete überwacht wird: IP-Adresse, Art des Protokolls und Port, über den die Daten verschickt werden.
Mehr Security Intelligence für die IT
Weite Bedrohungslandschaft Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen.
Unternehmen sind unterlegen IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist.
... wollen sich aber wehren Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen.
Security Intelligence hilft Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren.
Großes Wehklagen Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren.
Software-Tools Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement.
Risiken verwalten Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind.
Falsche Identitäten erkennen Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden.
Malware und Phishing verhindern Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken.
Auch mobil auf dem Laufenden Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.
Ganz anders hingegen bei der Filterung auf Anwendungsebene. Hier müssten die einzelnen Datenpakete zunächst zwischengespeichert, zusammengesetzt, geprüft und wieder weitergeschickt werden. Das Application Level Gateway terminiert also die Verbindung zwischen den kommunizierenden Rechnern, um dann die Daten über eine neue Verbindung ans Ziel weiterzuleiten. Der Rechenaufwand dabei ist signifikant höher als bei einem Paketfilter. Gefährliche Inhalte wie Malware, Spam oder aktiver Content lassen sich jedoch nur auf diesem Weg frühzeitig aus den Datenströmen entfernen. Paketfilter sind nur in der Lage, den Datenstrom auf formale Aspekte hin zu überprüfen.
Security-Cluster im RZ
Aktuell ist das Rechenzentrum in Gaisbach mit Gigabit an das Internet angebunden. Um den benötigten Datendurchsatz und die geforderte Hochverfügbarkeit sicher zu gewährleisten, setzt Würth auf einen Cluster aus zwei Firewalls, die zusammen bis zu 3 Gbit/s über TCP und 6 Gbit/s über UDP verarbeiten können. "Die Performance wird ständig überwacht. Bislang hatten wir keine Probleme", bestätigt Sturm. "Auch Ausfälle treten nicht auf. Eigentlich sind die Firewalls nur beim Einspielen von Updates oder anderen Wartungsarbeiten kurz vom Netz."
Kapazitätsreserven sind auch dringend nötig. Denn wie in den meisten Unternehmen nimmt das Datenvolumen auch bei der Würth-Gruppe laufend zu. So sollen in nächster Zeit weitere Niederlassungen über das Gaisbacher Rechenzentrum versorgt werden. Dadurch ist nicht nur mit einem deutlich höheren Datenvolumen zu rechnen, auch die Gefahren für die IT steigen damit rasant an. Die Sicherheitsverantwortlichen in der Würth IT sind gerüstet: Neben den Firewalls sind selbstverständlich auch Malware- und Spam-Filter im Einsatz. Sturm ist davon überzeugt, dass die Strategie sich bewährt hat: "Bislang hatten wir keine Vorfälle in der IT-Sicherheit, die unserem Unternehmen Schaden zugefügt hätten."
Die besten Security-Appliances
Die besten Security-Appliances In großen und komplexen Netzwerken mit hohem Datenaufkommen ist es sinnvoll, Sicherheitsfunktionen wie die Firewall oder den Virenschutz in eigene Appliances auszulagern. Wir stellen verschiedene dieser Sicherheitslösungen vor.
Check Point 1100 Für die Außenstelle hat Central Point die UTM-Appliances der 1100er-Serie im Programm. Das Einstiegsmodell mit 10 GBit-Ethernet-Ports liefert eine Threat-Prevention für Büros mit bis zu 50 Mitarbeitern und dient auch gleich als sicherer WLAN-Access-Point. Optional ist das Gerät auch mit integriertem ADSL-Model verfügbar.
Check Point 41000 Am entgegengesetzten Ende der Check-Point-Modellpalette liegen die Enterprise- und Carrier-Systeme. Das modulare 41000 Security System ist für einen Firewall-Durchsatz von bis zu 40 Gbps ausgelegt. Das System ist über sogenannte Software Blades erweiterbar. In der Grundversion stehen die folgenden Funktionen bereits bereit: Firewall, IPsec VPN, Identity Awareness, Advanced Networking sowie Acceleration & Clustering.
Cisco ASA5500 Ciscos Next-Generation-Firewalls der 5000er-Serie für Kleinunternehmen oder Filialen reichen vom Einstiegsmodell ASA 5505 mit einem Stateful-Inspection-Durchsatz von 150 Mbps bis hin zur ASA 5515-X, die 1,2 Gbps bewältigen kann.
Cisco ASA5585-X Die Enterprise-Firewall ASA 5585-X von Cisco wird mit verschiedenen Service-Modulen kombiniert. In der hier abgebildeten Spitzenversion mit dem Security Services Processor-60 (SSP-60) liefert die Next-Generation-Firewall eine Stateful-Inspection-Firewall-Performance von bis zu 40 Gbps.
Dell SuperMassive 9800 Die SuperMassive 9800 ist das neue Spitzenmodell unter den Next-Generation-Firewalls der 9000er-Serie von Dell. Sie soll bis zu 20 Gbit/s Leistung bei der Deep-Packet-Inspection bringen.
Fortinet FortiGate 5000 Laut Fortinet ist die FortiGate 5144C die erste Firewall mit einem Durchsatz von mehr als einem Terabit pro Sekunde. Das FortiGate-5144C-Chassis bietet Platz für bis zu 14 Security-Blades, mit dem FortiController-5913C kann auch ein 100-GbE-Controller eingesetzt werden.
Fortinet FortiWiFi 60D Die FortiWiFi-60D-Appliance gehört zur Connected-UTM-Serie von Fortinet. Das Gerät ist für den umfassenden Schutz kleinerer Firmen und Zweigstellen bestimmt und bietet neben sieben Gigabit-Ethernet-Ports auch einen WLAN-Access-Point, der 802.11n auf beiden Bändern unterstützt.
Netgear UTM25S Die Geräte aus Netgears UMT-S-Serie sollen den bisherigen Router ersetzen und so für Kleinbetriebe, Zweigstellen und auch Privatanwender eine umfassende Sicherheitslösung darstellen. Das UMT25S bietet zwei GBit-WAN und vier GBit-LAN-Ports und unterstützt zudem den 802.11n-WLAN-Standard auf dem 2,4- und dem 5-GHz-Frequenzband.
McAfee M-4050 Die McAfee-Appliance M-4050 ist ein Intrusion Prevention System mit integrierter Network-Access-Control-Funktion. Damit soll die Appliance das Netzwerk nicht nur vor Angriffen von außen schützen, sondern auch die Verwendung nicht genehmigter Endgeräte im Firmennetzwerk unter Kontrolle halten.
McAfee N-450 Die McAfee-Appliance N-450 ist ein Bespiel für hochspezialisierte Security-Appliance: Sie ist eine reine Network-Access-Control-(NAC) Appliance die sicherstellen soll, dass nur bekannte und sichere Endgeräte Zugriff auf das Firmennetzwerk erhalten. Für Gäste und externe Dienstleister können auf Regeln basierende Zugriffsrechte definiert werden, die sie etwa auch ein spezielles Gast-Portal weiterleiten.
McAfee Next Generation Firewall McAfee hat Entwicklung effektiver Next-Generation-Firewalls den finnischen Anbieter Stonesoft gekauft. Eines der Resultate aus dieser Übernahme sind die Firewall-Appliances der 3200-Serie. Mit einem Stateful-Inspection-Durchsatz von bis 30 Gbps sind sie für den Schutz größerer Netzwerke ausgelegt.
WatchGuard FireboxT10 Die Lösung Firebox T10 hat WatchGuard speziell für SOHO- (Small and Home Office), Einzelhandels- und Filialumgebungen entwickelt. Egal ob stand-alone betrieben oder von der Unternehmenszentrale aus gesteuert: Die Appliance bietet einen theoretischen Firewall-Durchsatz von 200 Mbps beziehungsweise eine 55 Mbps UTM-Performance und verfügt über drei 1-Gigabit-Ethernetports. Konfigurationswerkzeuge und WatchGuards RapidDeploy-Technologie helfen Netzwerkadministratoren, die Firebox T10 in kurzer Zeit per Fernzugriff in Betrieb zu nehmen.
WatchGuard Firebox M440
Palo Alto Appliance PA-5060 Der Firewall-Durchsatz beträgt 20 Gbps.
Hintergrund: Einfallstor IPv6
Das sich nun langsam durchsetzende Protokoll IPv6 hat den zentralen Vorteil, dass es einen viel größeren Adressraum zur Verfügung stellt als das altbekannte IPv4. Daneben wurde IPv6 im Vergleich zum Vorgänger um ein neues Header-Konzept erweitert: IPv6 besitzt nicht nur den regulären, 40 Byte großen Header wie IPv4, der Ziel- und Quelladressen, Service-Typ und dergleichen beinhaltet. IPv6 verfügt daneben noch über einen erweiterten Header. Dieser Extension Header ist ein wichtiger, funktionaler Bestandteil des Protokolls. Allerdings ist heute noch nicht abschließend festgelegt, welche Möglichkeiten der Extension Header genau bietet und wie diese zu implementieren sind. Damit sind nach heutigem Stand verschiedene Angriffsszenarien möglich.
Da der Extension Header für einige grundlegende Funktionen von IPv6 notwendig ist, kann dieser Header nicht einfach aus Sicherheitsgründen an einer Paketfilter-Firewall blockiert werden. Denn damit würde aus dem Header ein Fragment werden, was wiederum in vielen Fällen selbst blockiert würde und damit seinerseits zu einem Denial of Service führen kann. Der momentan sinnvollste Ansatz ist, IPv6-Verbindungen an einem Application Level Gateway protokollkonform zu terminieren und dann mit einem neuen Header an die Zieladresse auszuliefern. (hv/sh)