Die Zahl der Internet-Nutzer ist mittlerweile auf 375 Millionen Menschen weltweit angestiegen. Darunter sind sowohl potenzielle Kunden und Geschäftspartner als auch potenzielle Angreifer und Datenspione. Die bestehende Infrastruktur des Internets bietet dank übergreifender Protokolle und Standards eine einzigartige Flächenabdeckung und ist zugleich derzeit das wirtschaftlich günstigste Netzwerk. Ein Terminal mit Modem und eine Telefonleitung reichen bereits aus, um von überall auf der Welt darauf zuzugreifen. Einem Unternehmen bietet sich das Web daher für die Bereitstellung von Applikationen für Außendienstmitarbeiter, Kunden und Partner an. Durch die Anbindung von Geschäftspartnern können Geschäftsprozesse automatisiert und wirtschaftlicher gestaltet werden. Die Nutzung des öffentlichen Netzes ist also für fast jedes Unternehmen, sei es national oder international ausgerichtet, eine unabdingbare Voraussetzung dafür, konkurrenzfähig zu bleiben.

Allerdings ist es auch das unsicherste Netzwerk. Die Übertragung von Unternehmensdaten über das Internet verändert die Anforderungen an die IT-Sicherheitssysteme der Betriebe. Daten müssen also vor unerwünschten Blicken sicher sein, aber dennoch für den autorisierten Benutzer zuverlässig an jedem Ort und zu jeder Zeit zur Verfügung stehen. Eine Sicherheitsstudie, die von PricewaterhouseCoopers und InformationWeek im Jahr 2001 erarbeitet wurde, zeigt, dass knapp 60 Prozent der deutschen Unternehmen im vergangenen Jahr mit Computerviren und Trojanischen Pferden angegriffen wurden.

Sieben Prozent mussten unautorisierte Zugriffe registrieren, fünf Prozent eine Manipulation von Systemprogrammen feststellen und fünf Prozent bemerkten den Diebstahl von Daten und Geschäftsgeheimnissen. Auch das Bundesamt für Sicherheit in der Informationstechnik fordert, dass IT-Security eine wichtige Rolle in der Unternehmensplanung spielen muss. Dies muss aber immer im wirtschaftlich angemessenen Rahmen geschehen, denn auch hier gilt wie in allen übrigen Bereichen: „Overdoing“ ist so wenig sinnvoll wie „Underdoing“. Spezielle Anforderungen erfordern angepasste Sicherheitsmechanismen, und die teuersten sind nicht immer die effizientesten. Während autorisierte Anwender auf unternehmenskritische Anwendungen zugreifen sollen, muss man unautorisierte User mit Hilfe zusätzlicher Mechanismen davon abhalten. Dazu zählen Zugriffskontrolle gemäß einer zentralen Rechteverwaltung und Verschlüsselung der Verbindung.

Applikationen weltweit sicher abrufen

Mit dem Modell des Application Server Computing gewährleistet Citrix die Bereitstellung beliebiger Anwendungen, die auf einem MetaFrame-Server für Mitarbeiter, Kunden und Partner freigegeben werden können.

Die ICA-Technologie (Independent Computing Architecture) ist mit zurzeit mindestens 35 Millionen installierten Clients zum De-facto-Standard für serverbasierte Anwendungsbereitstellung geworden. Das ICA-Protokoll benötigt nur eine sehr geringe Bandbreite bis 20 KBit/s, da die Anwendung zu 100 Prozent auf dem Server ausgeführt wird und lediglich Tastatureingaben, Mausklicks und Bildschirmansichten über das Netzwerk transportiert werden. Die MetaFrame-Architektur, die eine Vielzahl an Server-Plattformen und Client-Betriebssystemen unterstützt, bietet an sich schon einen relativ hohen Sicherheitsstandard, da potenzielle Angreifer den ICA-Datenstrom nur schwer zu einem für sie lesbaren Datensatz aufbereiten können. Um dies aber ganz auszuschließen, wurden weitere Sicherheitsmechanismen für das Application Server Computing entwickelt. In Citrix MetaFrame wurden zwei auf SSL-Verschlüsselung basierende Mechanismen integriert: das SSL-Relay und der Citrix Secure Gateway (CSG). Sie sorgen für den sicheren Transport der ICA-Daten über öffentliche Netzwerke.

Sichere Verbindung von jedem Endgerät zum Server

Bei gesicherten Verbindungen sind Authentifizierung, Access Control und Verschlüsselung besonders wichtige Sicherheitsmaßnahmen: Die Authentifizierung regelt die Frage, wer zugreifen darf. Die Access Control legt fest, welcher Nutzer auf welche Daten und Programme zugreifen kann. Die Verschlüsselung sichert den Datenstrom während der Übertragung im Internet. CSG und SSL-Relay nutzen eine Schlüssellänge von 128 bit. Beide Sicherheitstechnologien schließen durch den Einsatz von Serverzertifikaten die so genannten „Man-in-the-Middle“-Attacken aus. Bei dieser Art des Angriffs versucht ein unautorisierter Dritter die Identität des Servers anzunehmen und das Endgerät zu täuschen. SSL-Relay empfiehlt sich für den Einsatz in kleineren MetaFrame-Farmen, denn bei dieser Methode wird auf jedem einzelnen Server ein Zertifikat platziert – bei sehr großen Installationen wird die Zertifikatverwaltung zeitaufwendig. CSG hingegen ist für den Einsatz in umfangreichen MetaFrame-Farmen geeignet: Bei beiden Methoden wird zwischen Citrix-Server und Endgerät ein dedizierter Server auf eigener Hardware geschaltet, der die Verschlüsselungsaufgaben übernimmt und auf dem auch das Zertifikat untergebracht ist. Die Anzahl der Zertifikate reduziert sich dementsprechend und der Verwaltungsaufwand sinkt. Die vorgeschalteten Server übernehmen außerdem eine Proxy-Funktion, denn sie verbergen die Server im LAN und stellen nach außen nur eine einzige IP-Adresse dar. Das reduziert die Angriffsfläche des Unternehmensnetzwerks erheblich.

Dreifach gesicherte Daten rund um die Uhr

Bedenkt man die notwendigerweise unterschiedliche Informationspolitik eines Unternehmens gegenüber seinen Kunden, Lieferanten und eigenen Mitarbeitern, die sich via Internet einloggen, muss die erste Sicherheitsmaßnahme eine zuverlässige Authentifizierung des Anwenders sein. In diese Lösung lassen sich daher Authentifizierungssysteme verschiedenster Drittanbieter integrieren – beispielsweise Smart Cards oder Token. Der Authentifizierungsprozess kann zweistufig aufgesetzt werden: Der Benutzer muss sich zuerst mit etwas ausweisen, was er besitzt, beispielsweise einem Token, und dann mit etwas, das er weiß, beispielsweise einem Passwort. Hat der Anwender sich angemeldet, kontaktiert das System alle Server, für die der Anwender zugelassen ist und fragt die aktuelle Zugangsberechtigung ab. Eine Lösung ohne Zugangskontrolle schützt nur die Sicherheit des Datenflusses – nicht das Netzwerk selbst.

Citrix Systems GmbH

D–85399 Hallbergmoos

Telefon: (+49) 0811/830-000

www.citrix.com