Warum das Appliance-Zeitalter bei E-Mail-Security-Lösungen zu Ende geht
Nach wie vor entscheiden sich IT-Verantwortliche und Administratoren im Bereich der Secure-E-Mail-Gateways für eine Appliance. Auf die Frage nach dem „Warum?“ kommt sehr häufig die Antwort, dass die gefühlte Sicherheit bei einer Appliance höher ist und die Integration einer gekapselten Box einfacher. Aber ist es tatsächlich so, dass die Sicherheit höher als bei einer Software wie NoSpamProxy ist? Und wie sieht es mit der Investitionssicherheit bei einer Appliance aus?
Sicherheitsrisiko
Ein häufiges Argument für die vermeintlich höhere Sicherheit einer Appliance ist das gehärtete Linux-Derivat, welches in den meisten Fällen als Betriebssystem zum Einsatz kommt und die Appliance dadurch praktisch wartungsfrei bis an ihr Lebensende im Serverrack ihren Dienst verrichtet. Betrachtet man es unter Sicherheitsaspekten, ist dies praktisch genau das Gegenteil von Sicherheit. Die vergangenen Monate haben sehr eindrucksvoll bewiesen, dass es nichts Wichtigeres als ein gut organisiertes und vor allem einfach zu handhabendes Patchmanagement gibt. Sicherheitslücken wie Poodle, Heartbleed und Co. haben gezeigt, dass eklatante Sicherheitslücken über lange Zeit existierten und in vielen Appliances bis heute nicht geschlossen sind. Dies liegt nicht zwingend daran, dass der Hersteller keine Patches zur Verfügung stellt. Viele Kunden wissen oftmals nicht, dass ein entsprechendes Update für die eigene Appliance zur Verfügung steht.
Integration in die vorhandene Umgebung
Vor allem in KMUs gibt es praktisch keine Linux-Server im Netzwerk. Linux kommt in den meisten Fällen nur auf Appliances ins Unternehmen. Dementsprechend ist das vorhandene Know-how für Windows-Server exponentiell höher. Jeder Administrator weiß, wie man Updates für Windows installiert und ggfs. sogar automatisiert. Warum sollte dann eine so kritische Komponente wie ein Secure-E-Mail-Gateway nicht auf einem Windows-Server laufen? Besonders im Fehlerfall kann der Administrator auch „unter die Haube schauen“ und selbständig Maßnahmen zur Fehlerbehebung ergreifen.
Aber nicht nur die wesentlich leichtere Integration in das vorhandene Patchmanagement gestaltet sich mit einer windowsbasierten Lösung wie NoSpamProxy einfacher. Auch die Integration in ein möglicherweise vorhandenes Monitoring System dürfte sich in den meisten Fällen deutlich einfacher gestalten. Letztlich wird nur ein weiterer Windows-Server überwacht. Für den Admin bedeutet dies normalerweise zwei oder drei Mausklicks um die grundlegende Überwachung des Servers sicherzustellen. Darüber hinaus können noch die Dienste, die Ereignisanzeige und der SMTP-Port des Gateways überwacht werden. Auch dies ist mit wenigen Handgriffen erledigt.
Als letzter Baustein der leichteren Integration ist die Einbindung in das vorhandene Backupkonzept zu nennen. Die Sicherung von NoSpamProxy geschieht ebenfalls mit bereits vorhandenen Werkzeugen. In modernen IT-Umgebungen erfolgt dies mit Hilfe von Snapshots oder ähnlichen Technologien. Zusätzlicher Einrichtungsaufwand aufgrund eines anderen Betriebssystems entfällt somit auch hier.
Fehlende Flexibilität
Die fehlende Flexibilität liegt in der Natur von Appliances und ist ein nicht zu unterschätzender Nachteil. Es beginnt mit der Einordnung in ein Netzwerksegment. Der Administrator muss sich entscheiden, ob das Gateway in der DMZ, im LAN Segment oder einem ganz anderen Netzwerksegment installiert werden soll. Wird die Appliance in der DMZ installiert, muss auf der Firewall in der Regel ein Port zu den Domain Controllern geöffnet werden, um beispielsweise E-Mail-Adressen per LDAP abfragen zu können. In vielen Umgebungen ist das heute so umgesetzt. Fakt ist aber, dass dies ein erhebliches Sicherheitsrisiko darstellt. Dieses Problem kann mit NoSpamProxy wesentlich leichter und vor allem sicherer gelöst werden. Hier findet die Verbindung zum Active Directory ausschließlich im LAN Segment statt. Die eigentliche E-Mail-Verarbeitung hingegen wird in die DMZ verlagert. Ein intelligentes, rollenbasiertes Konzept macht diese Konstellation möglich.
Mindestens genauso wichtig ist der Blick in die nahe Zukunft. Immer mehr Unternehmen verlagern ihre E-Mail-Konten in die Cloud. Office 365 ist dabei die führende Technologie. Um auch in diesem Szenario beispielsweise die Vorzüge einer Gateway-basierten Verschlüsselung zu nutzen, müsste der gesamte Mailverkehr aus Office 365 zunächst wieder in das eigene Netz über die dort installierte Appliance geroutet werden. Genau das möchten aber viele Unternehmen nicht mehr. Mit NoSpamProxy haben Sie sämtliche Freiheiten. Sie können NoSpamProxy On-Premise, hybrid oder komplett cloudbasiert nutzen.
Technologien wie Microsoft Azure werden dabei vollumfänglich unterstützt. Dies beginnt bei der Nutzung einer reinen Azure SQL Datenbank und endet bei der Verwendung des Azure Blob Storage für die Verwendung als Dateiablage. NoSpamProxy Kunden kommen auf diese Art und Weise mit einem einzigen Mausklick in den Genuss einer hochverfügbaren, jederzeit skalierbaren Infrastruktur, die auch ganz losgelöst von Office 365 genutzt werden kann. Trotz der verteilten Installation erfolgt die Konfiguration von NoSpamProxy über eine zentrale Verwaltungskonsole und erspart dem Administrator somit viel Zeit.
Hoher Pflegeaufwand
Ein zusätzlicher Zeitfresser ist die Beantragung von vertrauenswürdigen Zertifikaten für die Mitarbeiter im Rahmen der Einführung und des Betriebs einer E-Mail-Verschlüsselungslösung. Anders als die bisher verfügbaren Appliances, integriert sich NoSpamProxy vollumfänglich in das vorhandene Active Directory. Dies macht es möglich, dass Mitarbeiter nur noch in einer bestimmten AD-Gruppe zusammengefasst werden müssen und NoSpamProxy auf Basis dieser Information automatisch ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle wie SwissSign, GlobalSign und D-Trust beantragt. Kommunikationspartner erhalten bei der Signaturprüfung keine Warnungen mehr, dass die Signatur nicht vertrauenswürdig ist. Dabei spielt es keine Rolle ob es sich um 10 oder 10.000 Benutzer handelt.
Die Erfahrung hat auch gezeigt, dass Appliances in der Regel nicht sehr intuitiv zu bedienen sind. Dies sorgt nicht nur für Frust beim Administrator während der Installation. Im Notfall findet er die entscheidenden Einstellungen entweder gar nicht oder erst nach langer Suche. Mit einem Konfigurationsassistenten, einem übersichtlichen Regelwerk und einer umfangreichen Nachrichtenverfolgung auf Knopfdruck hat NoSpamProxy bisher jeden Administrator überzeugt. Testinstallationen sind innerhalb kürzester Zeit erfolgreich abgeschlossen.
Fazit
Die Appliance-Anbieter haben die gerade genannten Punkte selbst erkannt und versuchen, über „Virtual Appliance“-Angebote hier eine Brücke zu bauen. Dies bringt jedoch nur partielle Erleichterung. Das Sicherheitsrisiko und die schlechte Integration in die Windows Infrastruktur bleiben unverändert bestehen. Die Flexibilität wird dahingehend verschoben, dass der Administrator keinen Platz im Rack mehr vorhalten muss. Des Weiteren muss nach der Ausmusterung oder Abschreibung die Hardware der Appliance nicht mehr entsorgt werden. Die fehlende Flexibilität hinsichtlich der Integration in die Cloud und Office 365 bleiben jedoch bestehen.