Die Prognosen der Marktforscher sind ausgezeichnet: bis zu 75 Prozent der IT-Ausgaben sollen in nächster Zeit in die Sicherheit gesteckt werden. Trotzdem hinkt die wirkliche Investitionsfreude der Unternehmen in entsprechende Lösungen noch den Prognosen hinterher. Die Anbieterseite hat Produkte und Leistungen angepasst und die Preise für Netzwerklösungen über ein Virtual Private Network (VPN) sind in jüngster Zeit massiv ins Rutschen gekommen. Zudem sind dedizierte Netzwerkverbindungen in guter ADSL-Grösse verfügbar und mittlerweile so stabil, dass sie gängige Ansprüche auf der Nachfrageseite erfüllen können.
Unternehmen oder einzelne Anwendergruppen, aber auch Lieferanten, Kunden oder Geschäftspartner, brauchen immer öfter Zugriff auf Firmendaten und -ressourcen von ausserhalb. In grösseren Unternehmen mit hauseigenem IT-Personal war es schon lange möglich, die unternehmenseigenen und von ihnen verwalteten Laptops so sicher zu integrieren, als befände man sich im Unternehmensnetzwerk. Das Gros der kleinen und mittleren Unternehmen wartete hingegen mit der Einführung der Remote-Anbindung, weil das technische Umsetzen der Sicherheitsregeln und Schutzziele mit grossem administrativem Aufwand verbunden war und es oft schlicht an fachlichen und finanziellen Ressourcen fehlte, dies zu tun.
SSL VPN verringert den Aufwand
Die technologische Weiterentwicklung von SSL VPNs, also VPNs auf der Basis des Secure Socket Layer, hat wesentliche Vereinfachungen im Funktionsumfang gebracht. Ihre abgespeckte Version macht den Weg für mobiles Arbeiten frei, nicht zuletzt, weil die Preise KMU-fähig geworden sind. Über 80 Prozent von kleinen und mittleren Unternehmen benutzen eine Form eines Virtual Private Network. Bei neun von zehn steht dahinter die bewährte IPSec-Technologie, erst bei zwei von diesen neun basiert das VPN auf der SSL-Technologie. Unternehmen, die SSL VPN und IPSec VPN kombinieren, können die Aufwände eines Fernzugriffs und das mobile Arbeiten optimieren. Währenddem die IPSec-Technologie eines fachlich anspruchsvolleren Verständnisses bedurfte, kann man schon in kurzer Zeit die grundlegenden Merkmale eines SSL VPN verstehen und produktiv umsetzen.
Erste Projekterfahrungen
Es lassen sich bisher folgende Projekterfahrungen zusammenfassen:
Der grösste Vorteil von SSL VPN ist der Client-lose Zugriff. Er gibt die Freiheit, über einen beliebigen Webbrowser, der als Client fungiert, auf internetbasierte Applikationen zugreifen zu können. Der Benutzercomputer arbeitet im verschlüsselten VPN-Tunnel, weil eine dynamisch heruntergeladene und aktivierte Tunnelingsoftware den gesamten Datenverkehr verkapselt.
¦ Granulare Zugriffssteuerung: Im Gegensatz zu IPSec ist der Benutzer nicht mehr an bestimmte Rechner oder fixe Standortleitungen gebunden, was eine Konfiguration der Benutzergeräte wesentlich vereinfacht. Wenn bisher zum Beispiel Aussendienst-Mitarbeiter mit gemeinsamen Secret Shared Key gearbeitet hatten, mussten beim Austritt eines Mitarbeiters alle Clients geändert werden. Das braucht es heute nicht mehr. Das Einrichten eines einfachen Portals pro Benutzergruppe – beispielsweise Geschäftsleitung mit Zugriff auf Rechnungswesendaten oder Heimarbeitende mit Zugriff auf Office-Anwendungen – kann effektiv innerhalb rund einer Stunde erfolgen.
¦ Firewall-kompatibel: Im schlechtesten Fall hat bisher bei IPSec die Firewall den Zugriff verwehrt, weil ihr der Benutzercomputer als zu unsicher schien. SSL VPNs stellen die Verbindung zwischen Benutzer nicht mehr über die Netzwerkschicht her, sondern über die darüber liegende, offenere Transportschicht. Bei SSL-VPN wird der Datenverkehr durch die Firewallports geleitet, so dass in der Regel keine Probleme mit Sicherheitslücken entstehen, wenn neue Ports geöffnet werden. Ein SSL-VPN ist aber kein Ersatz für eine Firewall: Wer die Technologie einsetzt, muss sicherstellen, dass Intrusion Detection und Prevention, Virenschutz und Antispam-Software ebenfalls verwendet werden.
¦ Proxy Server: Ein SSL VPN wird von zwei Servern flankiert, die eine virtuelle Barriere zwischen Benutzer und Ressourceninfrastruktur bilden. Der eine Server steht auf der WAN-Seite und der zweite auf der LAN-Seite des Unternehmensnetzwerks. Damit wird den Anwendern der Zugriff auf Applikationen, Client/Server-Anwendungen und Dokumenten-Ressourcen ermöglicht. Auch hier gilt, dass der Datenverkehr im SSL-Tunnel nicht hundertprozentig geschützt ist, solange kein zusätzlicher Virenschutz-URL-Filter oder Anti-Spyware verwendet werden.
Lizenzfrage und Preis/Leistung
Eine VPN-SSL-Standardlösung sollte zwischen 10 und 20 Benutzern die Möglichkeit bieten, bei normalem Datenverkehr ohne Restriktionen gleichzeitig arbeiten zu können. Für Geschäftsleitungen, die über Investitionen zum Fernzugriff entscheiden müssen, ist die Lizenzfrage entscheidender Punkt in der Diskussion vor der Beschaffung einer Lösung. Das für sie richtige Preis/Leistungsverhältnis entsteht aus der durchschnittlichen Anzahl Benutzer, die über den VPN-Tunnel arbeiten können müssen. Für einen Produkthersteller beispielsweise, der heute via ISDN-Lösung Support bietet, kann die Anschaffung eines SSL VPN für die externe Supportfirma die gesamten heutigen Wartungskosten reduzieren. Diese Perspektive und das Preis/Leistungs-Verhältnis von SSL VPNs gehören für Reseller und Integratoren zu den wichtigsten Argumenten, um die Kunden gewinnen zu können.
Die Autorin
Sandhya Prabhu (Bild) ist seit 2003 für Sonicwall Schweiz tätig, seit Juni 2004
ist sie als Country Managerin für die beiden Länder Schweiz und Österreich verantwortlich.
