Die Sparkassenzeitung Juni 2006
Keine Chance für Angreifer
Intrusion Detection Systeme (IDS) sind ein wichtiges Werkzeug zur rechtzeitigen Erkennung von Angriffen auf Netzwerke und IT-Systeme. Um das eigene Managementnetz sowie die Systeme und Netzwerke seiner Kunden optimal und kostenoptimiert abzusichern, investierte das IZB Informatik-Zentrum in eine neue IDS Infrastruktur. In diesem Zuge konnte der Spezialist für IT-Services zudem die Preise für IDS-Leistungen um rund 20 Prozent senken.
Von Dr. Walter Kirchmann
Das IZB Informatik-Zentrum mit Rechenzentren in München, Nürnberg und Offenbach betreibt und administriert die Datennetze und IT-Systeme zahlreicher Banken und Versicherungen. Der Spezialist für IT-Services zählt zu seinen Kunden unter anderem die bayerischen Sparkassen, die BayernLB, die Landesbank Hessen-Thüringen und die DekaBank. Durch die gemeinsame Nutzung von Netzinfrastruktur und Rechenzentren des IZB Informatik-Zentrums kann das Unternehmen den Betrieb von Servern , Anwendungen und Netzwerken deutlich kostengünstiger anbieten, als wenn die Kunden diese selbst betrieben würden. Zu dem profitieren die Kunden von einer rund um die Uhr erreichbaren Administration, Hotline und Sytemüberwachung.
Nach dem Zusammenschluss der Rechenzentren des IZB Informatik-Zentrums und der Hessischen Landesbank im Jahr 2001 gab es zwei unterschiedliche Teams, die an den Standorten München und Offenbach das Thema Intrusion Detection und Prevention betreuten. 2003 wurden die Teams zwar zusammengelegt. Doch machte dies eine effektive Administration nicht einfacher. Daher begann das IZB Informatik-Zentrum 2004 mit der Suche nach einem neuen Intrusion Detection Prevention. System (IDS/IPS) mit einer passenden Managementinfrastruktur. Wichtigste Eigenschaften waren zum einen die Möglichkeit, das IDS in allen drei Rechenzentren von München und Offenbach aus verwalten zu können. Dabei durfte der Datenverkehr zwischen den einzelnen Managementsystemen über das Netzwerk bestimmte Werte nicht überschreiten. Gleichzeitig musste das neue System mandatenfähig sein, damit das IZB Informatik-Zentrum auch hier Kosten sparen und dies in Form von günstigeren Preisen an seine Kunden weitergeben kann. "Wir suchten damals nach einem Intrusion Detection System, mit dem wir unsere Netzwerke und die Systeme unserer Kunden optimiert bezogen auf die Investitionen, Wartungskosten aber vor allem auch der laufenden Personalaufwände betreuen können", erinnert sich Matthias Tauber, Leiter der Abteilung Netzsicherheit in Offenbach, der für das Projekt verantwortlich zeichnete: "Durch die mangelnde Mandantenfähigkeit der alten IDS-Architektur mussten wir für jeden Kunden ein eigenes Management aufsetzen, was zwar sicher, aber nicht sehr effektiv war."
Nach der Erstellung eines Pflichtenhefts und einer Vorauswahl potenzieller Anbieter schrieb das IZB Informatik-Zentrum vier verschiedene Hersteller an. Nach einer ersten Prüfung des Funktionsumfangs der angebotenen Systeme kamen die Produkte von zwei Herstellern in die engere Wahl. Deren Produkte ließ Tauber anschließend über einen Zeitraum von drei Monaten in seinen Rechenzentren auf Herz und Nieren testen. "Wir haben rund 50 Personentage in der Evaluation investiert. Letztendlich haben wir uns dann für die Produkte von Iss entschieden, da nur dieser Hersteller unsere Anforderungen an ein standortunabhängiges Management erfüllen konnte", erläutert Tauber.
Nach erfolgreicher Evaluation machte sich das IZB Informatik-Zentrum an die Beschaffung. Rund 350 000 Euro investierte der Dienstleister dabei in Netzwerk- und Host-Sensoren sowie in das Managementsystem. Im September 2005 war die Installation der Managementinfrastruktur für das Intrusion Detection System abgeschlossen. Im Dezember 2005 ging die Überwachung des Netzwerk- und Servermanagements mit dem neuen IDS in Betrieb. Rund 128 Personentage zum alten System vorgenommen wurde.
Das IDS sichert heute das komplette Managementnetzwerk vom IZB Informatik-Zentrum ab. Weiterhin überwacht das Intrusion Detection System wesentliche Teile der Webhosting-Umgebung, ohne das Webhosting-Kunden hierfür diesen Dienst beauftragen müssen. Aber auch andere Kunden nehmen entsprechende IDS/IPS-Dienste bereits in Anspruch und sichern kritische interne Netzumgebungen und Online Banking Systeme damit ab. "Große Kunden haben fast alle ein IDS bei uns im Einsatz", erläutert Abteilungsleiter Tauber. "Da wir nun über eine moderne und effektive Infrastruktur verfügen, können wir jetzt auch kleineren Kunden zu günstigen Preisen Intrusion Detection anbieten".
Mit dem neuen Intrusion Detection System von ISS sowie dem integrierten IDS-Management konnte das IZB Informatik-Zentrum den Betrieb der IDS/IPS-Umgebeung optimieren und Kosten bei der Administration einsparen. Über 40 Trouble-Tickets aus allen Bereichen generierte das Intrusion Detection System bereits seit September 2005. Dabei filterte das IDS bereits im Vorfeld unwichtige Meldungen heraus und meldete nur wichtige Ereignisse an die Administratoren. Dass sich die Investitionen auch finanziell gelohnt haben, merkt dabei nicht nur die Abteilung von Matthias Tauber. Mit Hilfe des neuen IDS konnte das IZB Informatik-Zentrum die Preise für entsprechende Dienstleistungen um rund 20 Prozent reduzieren, was allen unseren Kunden zugute kommt.
Mit Hilfe der neuen Anomalie-Erkennungssysteme des ausgewählten Anbieters könne neben Angriffen auch Anomalien im Netzwerkverkehr erkannt und auch darauf reagiert werden. Dabei kommt dieselbe Managementinfrastruktur und Alarmierungsautomatik zum Einsatz, wie bei dem IDS/IPS. Auf dieser Basis entwickelt das IZB Informatik-Zentrum gerade ein neues Produkt für seine Kunden. "Anomalieerkennung eignet sich besonders für den Einsatz in internen Netzen und kann kostengünstig großflächig angebracht werden", schließt Matthias Tauber ab. "Zwar geht die Analyse des Verkehrs nicht so tief wie bei einem IDS aber man kann ungewöhnlich Datenverkehr sofort erkennen und darauf reagieren".
Der Autor ist Geschäftsführer des IZB Informatik-Zentrums, München.
|
|
 |
 |
