Netzwerkspezialist phion: Web 2.0 und Cloud-Computing bieten neue Angriffsfläche
Banken und Industriekonzerne lassen sich ihre Netzwerke von den Tiroler Netzwerkspezialisten sichern. Und für die neuesten Informationen folgen ihnen die Kunden auch gerne ins Gebirge.
Wieland Alge begann seine Keynote besinnlich: mit einer Schweigeminute für alle Sicherheitsmanager, die es heuer nicht geschafft haben und aufgrund krisenbedingter Sparmaßnahmen nicht zu phions Gipfelkonferenz nach Alpbach durften. Die Stille im Konferenzsaal wurde alsbald vom anschwellenden Gekicher der 450 Kunden und Vertriebspartner durchbrochen. Der phion-Chef ist kein Kind von Traurigkeit und für seine pointierten Statements und launigen Auftritte berüchtigt. Der wortgewaltige Alemanne hat sich über die Jahre als idealer Frontman für den Tiroler Sicherheitsinfrastruktur-Hersteller erwiesen.
Management im Fundament
Schließlich ist es nicht ganz trivial, sich in einem gesättigten Markt wie dem für Firmen-Firewalls von der internationalen Konkurrenz abzuheben. Das gelang der Innsbrucker Firma freilich nicht nur durch den Spaß-Faktor, sondern in erster Linie durch einen überzeugenden technologischen Ansatz, der das Management und Monitoring verteilter Netzwerkinfrastrukturen deutlich erleichtert und damit Personalaufwand und Betriebskosten senkt. Der weltgrößte IT-Berater Gartner führt phion nicht von ungefähr als technologischen Visionär in seinem aktuellen Magischen Quadranten für Firmen-Firewalls. Für IT-Anbieter kommt das der Aufnahme in den Technologie-Olymp gleich. phions Technologie-Chef Klaus Gheri erläuterte im FORMAT-Gespräch die revolutionäre Architektur. Basis jedes phion-Geräts ist ein gehärtetes Betriebssystem, das schon konzeptionell um umfassende Managementmöglichkeiten von einem zentralen Punkt erweitert ist. Darauf werden dann modulartig die eigentlichen Funktionen des Geräts aufgesetzt sei es Firewalling, Virenscanning, Zugangskontrolle, Bandbreitenoptimierung oder Internetzugang. Während andere Hersteller die Administration ihrer Geräte wie einen Schirm über die Infrastruktur-Komponenten spannen (Umbrella-Management), ist die Management-Schicht bei phion im Fundament eingegossen. Wir haben den Keller erleuchtet und ausgebaut. Von der Wartbarkeit und Skalierbarkeit her ist die Lösung somit aus einem Guss, was dem Nutzer große Vorteile bringt, so Gheri.
Krise fördert Gesamtlösungen
Die Wirtschaftskrise ist für Alge willkommener Anlass, um mit diversen Mythen im Sicherheitsgeschäft aufzuräumen zum Beispiel jenem, dass die Krise dem Security-Markt nichts anhaben kann, weil es sich heute ohnehin keiner mehr leisten könne, bei der Sicherheit zu sparen. Die Krise ist kein Nebel, der sich in sechs Monaten wieder lichten wird. Sie wird uns noch lange beschäftigen und auch die Art, wie man in der IT-Security arbeitet, nachhaltig verändern. IT-Security richtig machen heiße heute nicht, alle Komponenten best of breed sprich das Teuerste vom Teuersten zu kaufen, sondern auf effiziente Gesamtlösungen zu setzen, die die Betriebskosten senken und gleichzeitig auch noch einen Geschäftsmehrwert liefern, indem sie die Leistungsfähigkeit und die Einsatzmöglichkeiten der Netze erhöhen. Die dafür idealen Waffen seien nicht Schwerter, sondern Äxte, die auch in Friedenszeiten produktive Einsatzmöglichkeiten bieten. Zur Veranschaulichung fuchtelte Alge auf der Bühne mit einem riesigen Schwert herum mit dem Hinweis, dass untersetzte Männer mit großen Schwertern ohnehin lächerlich wirken. Selbstironie ist bei Alge fixer Teil der Inszenierung. Was Große von den Kleinen lernen können? Kleine und mittlere Firmen haben immer schon IT-Security entsprechend ihrem Budget gemacht. Sie haben effiziente Konzepte entwickelt, die jetzt aus Kostengründen von Banken und Großkonzernen kopiert werden. Dem rasanten Wachstum von phion, das am Wiener Midmarket gelistet ist, tut die Krise bis dato keinen Abbruch. Im Geschäftsjahr 08/09 (bis 31. März), dessen endgültiges Ergebnis noch nicht vorliegt, wurde der Vorjahresumsatz von 7,8 Millionen Euro schon im dritten Quartal um 1,2 Millionen übertroffen.
Gefahr im Web 2.0
Alge glaubt, dass die Bedrohungen quantitativ und qualitativ weiter massiv ansteigen werden. Web 2.0 und Cloud-Technologien böten eine Reihe neuer Angriffsflächen. Es gibt keine Security in der Cloud, es gibt China in der Cloud. Dort herrsche ein anderes Rechtsverständnis. Die Chinesen mit ihrem konfuzianischen Weltbild finden es ungehobelt, wenn man Wissen nicht mit anderen teilen will, flachste Alge. Und der Markt für Cyberkriminelle wachse ständig, zumal dort neuerdings sogar schon Organisationen wie der deutsche Bundesnachrichtendienst als Abnehmer auftreten. Der Mythos vom clean bit, vom sauberen Internet, werde eine Illusion bleiben. Sein Fazit: Es gibt keine Privatheit, außer dort, wo man selber dafür sorgt. Awareness-Kampagnen bei den Mitarbeitern bringen überhaupt nichts. Nur die Technologie macht den Unterschied, betonte Alge und verwies auf die positiven Auswirkungen von Gurtenpflicht und Airbags auf die Zahl der Verkehrstoten. Neu im Produktportfolio von phion ist Airlock, eine Firewall speziell für Web-Applikationen. Auf Webservern laufende interaktive Dienste sind das Herz des Web 2.0, aber leider gleichzeitig auch besonders neuralgische Punkte, weil sie für Hacker heute die einfachste Möglichkeit sind, in die dahinter liegenden Firmennetze einzudringen und Datenbanken auszulesen oder zu manipulieren.
Sicherheit nur mit Firewall
In einer Live-Hacking-Vorführung wurde anhand einer ungeschützten e-Banking-Anwendung demonstriert, wie beängstigend einfach es für Dritte ist, bösartigen Javascript-Code in den Kommunikationsprozess zwischen einem ahnungslosen Benutzer und seiner Bank einzuschleusen. Dazu Alge: Die Schlacht um die Netzwerke scheinen wir zu unseren Gunsten entscheiden zu können. Aber nur, weil sich die wirklich guten Hacker jetzt auf die Webapplikationen konzentrieren. Die Anwendungsentwickler stehen oft unter enormem Zeitdruck, weiß Alge. Die Auftraggeber wollen möglichst schnell ein cooleres e-Banking-System oder Lieferantenportal als die Konkurrrenz programmiert haben. Aber selbst eine nach allen Regeln der Kunst programmierte Webanwendung löst das Problem nicht, weil kein Entwickler bisher unentdeckte Schwachstellen und zukünftige Bedrohungen antizipieren könne. Sein Fazit: Wirkliche Sicherheit gibt es nur in Kombination mit einer Firewall. Die Schweizer Banken hätten das bereits erkannt. Bei den Eidgenossen geht Airlock über den Ladentisch wie warme Semmeln, und der größte Schweizer e-Banking-Anbieter verkauft seine Software bereits im Paket mit der phion-Firewall als sichere Gesamtlösung. Österreichische Banken hätten hingegen noch nicht auf das neue Bedrohungsbild reagiert, kann sich Alge einen Seitenhieb nicht verkneifen.
Von Alexander Hackl