Spam aufhalten, bevor es eintrifft

Die Lage ist ernst, eine schnelle Besserung nicht in Sicht - auf diese Formel lassen sich die zentralen Aussagen bringen, die das deutsche Bundesamt für Sicherheit in der Informationstechnik in seinem «Bericht zur IT-Sicherheit 2009» zusammenfasst. Die Bedrohungslage der IT-Sicherheit bei Verwaltungen, Unternehmen und Privatanwendern bewegt sich auf anhaltend hohem Niveau. Auch wenn sich immer wieder einmal kleine Verschiebungen bei aktuellen Themen ergeben, ist der Grundtenor bereits über einen längeren Zeitraum gleich: Botnetze, Spam, Phishing und andere Schadprogramme halten den Gefahrenpegel hoch. Immer neue Malware-Varianten in immer kürzerer Zeit erschweren die Erkennung von Schadsignaturen. Internationale Sport-Events, Naturkatastrophen oder politische Ereignisse werden häufig für umfangreiche Spam- und E-Mail-Kampagnen missbraucht. Cyber-Kriminelle sorgen dafür, dass die IT-Security-Verantwortlichen in den Unternehmen schon seit Jahren nicht mehr ruhig schlafen können.

Wie viele andere Unternehmen auch hat die IT-Abteilung der Deutschen Vermögensberatung in Frankfurt am Main zur Gefahrenabwehr schon vor Jahren Antiviren-Software und Spam-Filter installiert. Während der Virenschutz völlig zufriedenstellend arbeitete, blieb der Spam-Filter zum Schutz der E-Mails hinter den Erwartungen zurück. «Eine Reihe von Kollegen aus allen Abteilungen klagte häufig über eine Unzahl von Spam-Mails», berichtet Dirk Käs, Abteilungsdirektor IT-Services und Betrieb bei der Deutschen Vermögensberatung. «Die Erkennungsrate der anfänglich eingesetzten Open-Source-Applikation war ungenügend. Gleichzeitig mussten wir feststellen, dass der Aufwand zur kontinuierlichen Pflege der Filter zu hoch war.» Die Konsequenz konnte daher nur lauten, dass sich die IT-Abteilung nach einer professionellen Lösung in Form eines Managed E-Mail Security Service umsieht. «Sich um das Feintuning von Spam-Filtern zu kümmern, zählt unserer Meinung nach nicht zu den Kernkompetenzen der IT-Abteilung», begründet Dirk Käs das Vorgehen.

In den engeren Auswahlprozess kamen die wichtigsten Anbieter gehosteter Lösungen. Als erstes Ergebnis beschlossen Käs und sein Team, eine Vorstudie mit BlackSpiders SurfControl durchzuführen. Grundlage dafür bildete eine ausführliche Kriterienliste, bei der BlackSpider die Anforderungen am besten erfüllte. Die Rahmenbedingungen der Vorstudie: Über einen Zeitraum von drei Monaten musste die Software für 30 Lotus-Notes-Mailboxen von Innendienstmitarbeitern ihr Können unter Beweis stellen. Der Test verlief so erfolgreich, dass man nach Abschluss die Entscheidung fällte, die Lösung unternehmensweit einzuführen. Im Oktober 2007 hat Websense SurfControl übernommen.Heute sind die Mailboxen aller Mitarbeiter der Deutschen Vermögensberatung durch Websense Hosted Email Security - so die aktuelle Bezeichnung für die Services - geschützt. Das gilt zunächst einmal für die rund 800 Mitarbeiter im Innendienst, die als Messaging-System IBM Lotus Notes nutzen. Dazu kommen noch einmal mehr als 34000 Aussendienstmitarbeiter. Sie verwenden zur E-Mail-Kommunikation eine von der Deutsche Vermögensberatung eigenentwickelte Java-Applikation, die optimal auf die Vertriebslösung abgestimmt wurde.

Der gesamte E-Mail-Datenverkehr läuft heute über die Rechenzentren von Websense. Technisch betrachtet musste dazu der MX-Eintrag (MX = Mail Exchange) auf die Websense-Datacenter umgestellt werden. Dort werden alle ein- und ausgehenden E-Mails überprüft. Die Rechenzentren verfügen über Funktionen für Lastverteilung und sind als redundante, hochverfügbare Cluster ausgelegt, die sich an elf geografisch unterschiedlichen Standorten weltweit befinden. Um ein sehr hohes Mass an globaler und lokaler Sicherheit, Datenschutz und Vertraulichkeit zu gewährleisten, sind alle Datacenter nach ISO/IEC 27001 zertifiziert. Über Service Level Agreements garantiert Websense die Verfügbarkeit der Services und sorgt über Notfallpläne für einen unterbrechungsfreien Betrieb.

In die Hosted-Security-Software fliessen kontinuierlich die aktuellen Erkenntnisse der Websense Security Labs ein. Hier werden pro Woche mehr als 500 Millionen E-Mails nach versteckten Sicherheitsrisiken gescannt. Ergänzend dazu analysiert das Unternehmen mit seiner ThreatSeeker-Technologie mehr als 600 Millionen Webseiten pro Woche, um bekannte und neue Gefahrenpotenziale aufzuspüren. ThreatSeeker besteht aus einer komplexen Verknüpfung mathematischer Algorithmen, einem Profiling der Verhaltensmuster von Angreifern und einer detaillierten Analyse bösartiger Programmcodes. Die Ergebnisse dieser Security-Analysen finden in Form von Real Time Security Updates automatisch Eingang in die gehosteten, aber auch in die vor Ort bei Unternehmen eingesetzten Sicherheitsprodukte.

Die Deutsche Vermögensberatung nutzt zwei Module der Hosted Email Security: Antivirenschutz und Spam-Filter. Hosted Antivirus bietet Schutz vor Viren. Daher durchläuft eine E-Mail in den Rechenzentren verschiedene Antivirenprogramme. Anschliessend berechnet die ThreatSeeker-Technologie den Hash-Wert der E-Mail. Wird das Muster einer Signatur entdeckt, untersucht die Technologie die Nachricht genauer. Damit können auch neue Virenformen sehr schnell erkannt werden. Die Nutzer der Hosted Services sind damit ab der Stunde Null des Auftretens einer neuen Bedrohung davor geschützt.
Der interne Support hat bei Bedarf über ein webbasiertes Interface die Möglichkeit, die
E-Mail-Quarantäne des Unternehmens selbst zu verwalten sowie ihre Black- und White-Listen einzustellen. In einem webbasierten Portal erhalten Administratoren eine vollständige Übersicht für Reports jeder Art.

Schätzungen zufolge bestehen heute zwischen 90 und 95 Prozent aller Mails aus Spam - und das bei weiterhin rasant steigendem Spam-
Volumen. Hosted Antispam schützt vor allen Spam-Arten, einschliesslich Phishing-, Bild- und PDF-Spams. Schon bevor die E-Mails das Firmennetzwerk erreichen, filtert eine darauf spezialisierte Applikation alle Nachrichten auf Spams. Dazu wird eine Kombination verschiedener Techniken eingesetzt, die digitale Fingerabdrücke, heuristische Elemente, Wortanalysen, Bayesian-Filter und optische Inhalts-
erkennung umfassen. Das Hosted-Antispam-Modul versieht jede spamverdächtige E-Mail mit einem Spam-Wert, blockiert die Weiterleitung und dokumentiert die Massnahmen in einem Logfile.

Mit der von Websense gehosteten Lösung ist Dirk Käs sehr zufrieden: «Nur selten erreicht heute noch eine Spam-Mail die Inbox eines Mitarbeiters. Lediglich hin und wieder kommt ein False Positive vor.» Das heisst, eine reguläre Mail wird fälschlicherweise als Spam in den Rechenzentren zurückgehalten. Über den internen Support sind solche Dinge sehr schnell geklärt. Das Fazit des IT-Sicherheitschefs bei der Deutschen Vermögensberatung: «Wir können heute mit Fug und Recht behaupten: Für uns sind Spam und Viren kein Problem mehr.»