Agenten in Dauermission

Insider Threat Management (ITM) ist das Stichwort, wenn System- und Netzwerkadministratoren verhindern wollen, dass heikle intern gespeicherte Daten für Unbefugte einzusehen sind. Vier solcher Tools unterzogen sich einem Praxistest, sie stammen von den Anbieterinnen Oakley, Reconnex, Vontu und Tablus. Generell müssen heutige ITM-Tools ein breites Aufgabenspektrum abdecken: Sie scannen den gesamten Netzverkehr, entlarven Datenmanipulationsversuche und entdecken unerlaubte Mediennutzung auf dem Desktop, etwa nicht zugelassene CD oder USB-Laufwerke. Werden solche Vorfälle festgestellt, setzen die Tools in Echtzeit eine Warnmeldung ab. Die Tools lassen sich in zwei Kategorien unterteilen: Erstens die Network-Gateways wie Reconnex I-Guard, derzeit in der Version 2.1 vorliegend, und Vontu in der aktuellen Ausgabe 5.0. Zweitens das agentenbasierte Sureview 3.3 von Oakley Networks. Das vierte der Produkte, das momentan als Beta vorliegende Content Alarm 3.0 von Tablus, kombiniert beide Methoden. Grundsätzlich bewährt haben sich im Test alle vier. I-Guard liefert zuverlässige Policy-Kontrolle von Protokollen und Inhalten im Netz. Am rollenbasiert individuellen Dashboard sind die Threats bis ins Detail nachzuvollziehen. Vontu besteht aus einem Server plus den drei Modulen Discover, Monitor und Prevent, die sich entweder einzeln oder gemeinsam nutzen lassen. Vontu überzeugt durch vielerlei Fähigkeiten: Blocking, Skalierbarkeit, das Aufspüren von Daten und das Befolgen individueller Sicherheitsvorschriften. Somit schneidet es im Test mit der hervorragenden Note von 9,1 Punkten der maximal erreichbaren 10 Punkte ab. Oakley schickt Agenten mit der Aufgabe los, den Datenverkehr im Netzwerk zu überwachen. Dabei befolgen sie granular definierte Regeln und analysieren selbst verschlüsselte Kommunikationsdaten und Datenflüsse. Weil die Analyse von Inhalten und Verhaltensmustern ausgereift ist, schlägt das Tool nur selten Fehlalarm. Tablus" Linux-basiertes Produkt Content Alarm lässt sich mit den anderen Tools nur bedingt vergleichen, da es momentan erst als Beta vorliegt. Die endgültige Version folgt im Lauf des Jahres. Doch schon jetzt zeichnet sich ab, dass Content Alarm alle Konkurrenten hinter sich lassen könnte: Seine Funktionalität ist umfangreich, es lässt sich gut in die Systemumgebung integrieren und es lässt sich zentral verwalten.