"XTM ist die nächste Generation von UTM"

Watchguard, Hersteller von "Unified Threat Management"-Geräten, hat vor Kurzem den kanadischen IT-Security-Hersteller Borderware übernommen. Aber auch bei den eigenen Appliances ist Watchguard nicht untätig. So hat die Firma aus Seattle Anfang Jahr ihre UTM-Flotte umfassend überarbeitet. Computerworld.ch hatte dieser Tage Gelegenheit, sich in Zürich mit dem Chef von Watchguard, Joe Wang, über die Produktepalette und die UTM-Zukunft zu unterhalten.

Die Firewall wird von diversen Security-Experten seit einiger Zeit für tot erklärt. Sie sei von sogenannten UTM-Appliances (Unified Thread Management) ersetzt worden. Nun haben Sie XTM-Geräte (Extensible Thread Management) lanciert. Ist das ein Marketing-Gag oder gibt es da auch einen technischen Hintergrund, der die weitere Abkürzung rechtfertigt?

Joe Wang: Es ist sicherlich keine reine Marketingformel, auch wenn es sich gut anhört. Übrigens stammt die Bezeichnung nicht von uns, sondern vom Beratungsunternehmen IDC. Sie haben diese Abkürzung vor gut anderthalb Jahren formuliert. Es bezeichnet im Grunde genommen die nächste Generation von UTM. Diese sind bereits verwaltungstechnisch ein grosser Fortschritt gegenüber den dedizierten Einzelgeräten wie Firewall, E-Mail-Filter und Antivirenschutz. Kurzgesagt: UTM sind gefragt, weil sie relativ günstig in der Anschaffung und Wartung sind.

XTM geht nun einen Schritt weiter. Watchguard hat sich schon Gedanken gemacht, welche Funktionen wir noch in eine UTM packen können, bevor XTM als neue Abkürung die Runde gemacht hat. So haben wir bereits Anfang 2008 weitere Sicherheits-Features, Netzwerkfähigkeiten und zusätzliche Managementfunktionen unseren Geräten angedeihen lassen. Und als die XTM-Abkürzung auftauchte fanden wir, dass sie sehr gut zu unserer Stossrichtung passt, und dass wir unsere Produkte entsprechend bezeichnen könnten.

Könnten Sie mir Beispiele nennen, wo sie mehr Sicherheit, Verwaltbarkeit und Netzwerkfähigkeit erreicht haben?

Klar, ich gebe ihnen für jeden Bereich ein Beispiel. So haben wir unsere UTM mit SSL-VPN-Fähigkeiten (Secure Socket Layer Virtual Private Network) versehen. Dies war auf UTM bislang unbekannt. Wir sahen aber, dass dies einem grossen Bedürfnis entsprach. Denn die Technik erlaubt den sicheren Zugriff via Web auf ein Unternehmensnetz. Ich bin das beste Beispiel: Gerade vorhin habe ich mich mit meinem Laptop ins Internet begeben und dank SSL-Verbindung mich sicher mit unserem Firmennetz in Seattle verbunden. So standen mir alle Applikationen zur Verfügung, die ich sonst von meinem Büro-PC aus aufrufe.

In Sachen Networking haben wir unsere UTM Cluster-fähig gemacht. Und zwar lassen sich nun auch zwei UTM-Appliances zusammenhängen und liefern danach den doppelten Durchsatz. Das ist beispielsweise für Firmen interessant, die schnell wachsen. Sie müssen die alte UTM nicht nach zwei Jahren wegwerfen, sondern können ihr eine zweite hinzugesellen.

Bei der Verwaltbarkeit haben wir etwa Rollen-basierte Administration eingeführt. Das ist für Unternehmen interessant mit einer grösseren IT-Abteilung. Hier soll vielleicht nicht jeder die gleichen Administratorenrechte besitzen. So können Sie dem Verantwortlichen für die Antispam-Funktion andere Rechte zuweisen als jenem, der sich um die Firewall kümmert.

Warum und wann sollte eine Firma sich eine UTM- oder XTM-Appliance anschaffen, und wann mehrere Einzelgeräten, die auf ihre Funktion optimiert wurden?

Es gibt Fälle, bei denen eine UTM so gut ist, wie das Einzelgerät, aber auch solche, bei denen dies nicht zutrifft. Nehmen wir Webblocking, mit dem sie verhindern, dass Ihre Mitarbeiter bestimmte Seiten im WWW ansteuern. Wir haben hier das Verfahren von Websense lizenziert und für diese Funktion ist unsere UTM genauso gut wie eine Einzellösung. Das Gegenbeispiel ist SSL VPN. Möchte eine Firma hier eine höhere Sicherheit, etwa eine zweifache Authentifizierung, dann reicht die Implementierung auf der UTM nicht mehr aus. Hier brauchen Sie mehr Rechenkapazität, die nur ein spezialisiertes Gerät aufweist.

Sie nennen dieses Beispiel, weil sie ein dediziertes SSL-Gerät verkaufen. Würde ein Antispam-Appliance-Hersteller nicht ähnlich argumentieren?

Richtig. Die Antispam-Funktion in unserer UTM ist nur ausreichend bis zu einer gewissen Unternehmensgrösse. Wir adressieren mit unseren Produkten mittelgrosse Firmen. Unternehmen mit tausenden von Arbeitsplätzen empfehlen wir in diesem Fall dann auch, Single-Purpose-Geräte zu kaufen.

Nun gibt es auch Firmen die reine Software-Lösungen anbieten, also einen Intel-Server ab Stange mit ihrem Programm bestücken und diesen ins Rechenzentrum stellen. Wie unterscheiden Sie sich von derartigen Lösungen?

Sie haben eine Reihe von Schwierigkeit, und das ist auch der Grund, warum wir sie als Konkurrenten nicht ganz so ernst nehmen wie andere Appliance-Hersteller. Denn für so eine Lösung müssen Sie erst einmal den richtigen Server finden, dann muss die Software installiert werden. Hier treten dann in der Regel Probleme mit Treibern auf. Dann muss das ganze System erst noch aufwendig optimiert werden.
Bei einer Appliance hat der Hersteller schon alles geregelt und optimiert. Man muss das Gerät quasi nur noch anschliessen.

Sie haben gerade angekündigt, dass Sie den kanadischen Security-Spezialisten Borderware übernommen haben. Warum haben Sie diese Firma gekauft, an welchen Techniken sind Sie interessiert?

E-Mail-Security ist wohl der wichtigste Grund. Unsere UTM sind in Sachen Virenschutz und wenn es darum geht, Eindringlinge abzuwehren, erste Klasse. Bei der E-Mail-Sicherheit bieten unsere Geräte einen Grundschutz an, der vielen Anwendern genügt, aber auch einigen nicht. Vor allem grössere Firmen fordern hier mehr Security. Beispiel: Verschlüsselung. Wir sind zwar gut in Sachen Spambekämpfung, aber es gibt einige Firmen, die möchten, dass alle Mails nur in verschlüsselter Form ihr Unternehmensnetz verlassen. Hier hatten wir keine Lösung parat. Borderware dagegen ist ein Spezialist in diesem Bereich. Aber E-Mail-Security ist nicht die einzige Technik, in der Borderware stark ist. Sie haben auch eine exzellente "Data Leakage"-Lösung, mit der der Abfluss von wichtigen Firmeninformationen verhindert werden kann.

An welchen Techniken entwickelt Ihr eigenes Forschungsteam derzeit?

Hier gehen wir den Weg in Richtung XTM weiter, also mehr Sicherheits-Features, mehr Netzwerkfähigkeit und eine bessere Verwaltbarkeit. So haben wir unsere Weboberfläche komplett neu geschrieben. Unser Ziel ist es, dass unsere Appliances mit dem geringsten Aufwand verwaltet werden können.

Und welche Security-Features sind derzeit aktuell?

Neben SSL VPN haben wir auch die Analyse des HTTPS-Verkehrs (Hypertext Transfer Protocol Secure) in unsere UTM eingebaut. Viele Webverbindungen, vor allem zu heiklen Stellen wie Banken, werden heute via HTTPS abgewickelt. Aber leider ist der Verkehr über dieses Protokoll nicht sicher genug, und Hacker haben Wege gefunden, um die übertragenen Daten abzufangen. Deshalb überprüfen wir auch diesen Datentransportweg auf Unregelmässigkeiten.

Sehen Sie auch technische Errungenschaften seitens der Hacker, die Sie vermehrt wahrnehmen?

Einen Trend, den wir hier sicher festmachen, ist, dass immer häufiger eine Mischung verschiedener Angriffsmethoden verwendet wird. So wird mit Spam ein Botnet errichtet, über das wiederum Viren verteilt werden.

Gibt es auch neue Gefahren, die von den Anwendern selbst ausgehen und deren verändertes Verhalten?

Definitiv. Vor allem die sogenannten "Web 2.0"-Techniken bedeuten auch eine neue Gefahrenquelle. So erlauben viele Firmen ihren Mitarbeitern, das IP-Telefonieprogramm Skype zu verwenden, um etwa mit einer Niederlassung günstig zu kommunizieren. Hier wird aber auch ein neues Einfallstor für Hacker errichtet. Deshalb haben wir hierauf reagiert und in unseren Geräten VoIP-Security (Voice over Internet Protocol) implementiert.

Zur Zeit adressieren Sie mit Ihren Produkten den KMU-Markt. Haben Sie Pläne auch Einzelanwender oder grössere Unternehmen anzugehen?

Nach unten wollen wir uns nicht ausdehnen: Denn für Einzelnanwender ist unsere Technik preislich ein Overkill. Wir planen aber, unsere UTM für mehr Durchsatz fit zu machen, damit wir auch für grössere Unternehmen an Attraktivität gewinnen. In den nächsten Wochen werden wir diesbezüglich neue Geräte vorstellen. Auch die Übernahme von Borderware steht in diesem Zusammenhang, denn sie haben durchschnittlich grössere Kunden als wir.