vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


8

Sicherheitskonzepte

Dieses Kapitel legt seinen Schwerpunkt darauf, was Sie bei der Wahl von Internet-Sicherheitslösungen für Ihr Unternehmen beachten sollten.

8.1 Wir brauchen das Internet und wir brauchen es sofort

Tausende Unternehmen reißen sich darum, online zu gehen. Wenn Ihr Unternehmen auch dazu gehört, ist dieses Kapitel für Sie genau richtig. Es behandelt die folgenden Aspekte:

8.2 Evaluierung Ihrer speziellen Situation

Eine bekannte Situation: Ein LAN-Administrator ist gerade mit irgend etwas beschäftigt, als eine Gruppe von Leuten aus der Verwaltung auftaucht. Sie wollen, daß das Unternehmen ins Internet geht und sie wollen es gestern. In diesem Moment wird das Leben des LAN-Administrators auf den Kopf gestellt.

Tatsache ist, daß manche Netzwerk-Spezialisten nicht viel über Sicherheit im Internet wissen. Das Thema ist ziemlich obskur und wenn Sie keinen bestimmten Grund haben, sich damit zu beschäftigen, ist es komplette Zeitverschwendung. Wo fangen Sie also an?

8.2.1 Zusammentragen von Informationen

Der erste Schritt ist wahrscheinlich der schmerzhafteste. Bevor Sie Berater kontaktieren oder Sicherheitslösungen einkaufen, sollten Sie zunächst einmal Informationen über Ihr Netzwerk sammeln:

Danach sollten Sie ein Modell der Vertrauensverhältnisse in Ihrem Unternehmen aufstellen. Stellen Sie in diesem Modell Benutzer- und Rechnerprivilegien und Vertrauensbeziehungen dar. Es lohnt sich, dies in grafischer Form zu tun, falls Sie es anderen präsentieren müssen.

Diese Informationen sollten zusammen mit den folgenden Dingen in einen Ordner gesteckt werden:

Diese Informationen stellen Ihnen eine wertvolle Wissensbasis zur Verfügung. Von hier ausgehend können Sie bestimmen, welche Produkte und Dienstleistungen Sie brauchen. Außerdem werden Sie in der Lage sein, sämtliche Fragen seitens Beratern oder Anbietern zu beantworten. Der nächste Schritt besteht nun darin, herauszufinden, wo Sie diese finden.

8.3 Zertifizierung

Ein Ansatz ist es, Ihr System von einem anerkannten Team von Experten prüfen und zertifizieren zu lassen. Nachdem Ihr System untersucht wurde, erhält es ein Sicherheitszertifikat. Im nächsten Abschnitt finden Sie einige Unternehmen, die Zertifizierungen durchführen. Diese dienen auch als Beipiele dafür, worum es bei der Zertifizierung geht.

Coopers & Lybrand L.L.P., Resource Protection Services (USA)

Coopers & Lybrand L.L.P., Resource Protection Services

Tel.: +1-800-639-7576

E-Mail: Bruce.Murphy@us.coopers.com

URL: http://www.us.coopers.com/cas/itsswww0.html

Die Coopers & Lybrand's Resource Protection Services Group besteht aus den Information Technology Security Services und den Business Continuity Planning (BCP) Services. Ihre Experten bieten eine ganze Reihe von Sicherheits- und BCP-Leistungen, wie Sicherheitsimplementierung, Electronic Commerce und Kryptographie, technische Sicherheitsanalyse und -design, Testangriffe, Sicherheitsmanagement und Business Continuity Planning mit Hilfe ihrer als Marke angemeldeten CALIBER-Methodik.

Die Abteilung Information Technology Security Services hat sich auf Tests und Zertifizierungen für die folgenden Gebiete spezialisiert:

Coopers & Lybrand bietet Sicherheit sowohl für große als auch für kleine Unternehmen. Zum Beispiel hat C&L die Zertifizierung von Windows NT 4.0 für Microsoft übernommen.

The American Institute of Certified Public Accountants (AICPA)

American Institute of Certified Public Accountants

Tel.: +1-212-596-6200

Fax: +1-212-596-6213

URL: http://www.aicpa.org/

Das American Institute of Certified Public Accountants (AICPA) hat das WebTrust-Zertifizierungssystem entwickelt. Während des WebTrust-Zertifizierungsprozesses evaluieren in Datensicherheit geschulte CPAs (Wirtschaftsprüfer) ihr System anhand folgender Aspekte:

Bei erfolgreicher Zertifizierung erhalten Sie ein VeriSign-Sicherheitszertifikat und das WebTrust-Zertifizierungssiegel. Das WebTrust-Siegel teilt potentiellen Kunden mit, daß ein CPA die Geschäftspraktiken und -kontrollen des Betreibers einer Website evaluiert hat und bestimmt hat, daß sie konform gehen mit den WebTrust-Prinzipien und -Kriterien für Business-to-Customer Electronic Commerce. Außerdem verweist das Siegel auf einen Bericht mit dem Inhalt, daß die mit den WebTrust-Kriterien konformen Prinzipien befolgt werden. Diese Prinzipien und Kriterien reflektieren grundlegende Standards für Geschäftspraktiken, Transaktionsintegrität und Datenschutz.

Das WebTrust-System ist einer Wirtschaftsprüfer-Zertifizierung Ihrer Unternehmensvermögen, -gewinne und -verluste ganz ähnlich. Die Zertifizierung erfogt durch die Unterschrift und Versicherung eines ausgebildeten Experten in einem bestimmten Fachgebiet.

AICPA ist auch der führende Anbieter von Schulungen für CPA-Unternehmen im Bereich der IT-Sicherheit und -integrität. AICPA hat den Bedarf für Zertifizierungsdienste im Bereich Electronic Commerce früh erkannt und erreicht mit seinen Schulungen allein in den USA etwa 300.000 IT-Sicherheits- und Finanzexperten.

International Computer Security Association (vorher NCSA)

International Computer Security Association

Tel.: +1-717-258-1816

E-Mail: info@icsa.net

URL: http://www.icsa.com/

Die International Computer Security Association (früher bekannt als National Computer Security Association) ist der größte Anbieter für Computersicherheit-Zertifizierungsverfahren. Ihre Mission ist eine Erhöhung des öffentlichen Vertrauens in Computersicherheit durch ein Programm zur Zertifizierung von Produkten und Dienstleistungen.

Neben der Zertifizierung für Produkte bietet die ICSA auch Zertifizierungsverfahren für Netzwerke. Dies geschieht mit Hilfe ihres TruSecure-Programms, ein Service, der das Testen und Zertifizieren Ihrer Web-Server und Firewalls sowie der Arbeitsabläufe Ihres Netzwerks beinhaltet.

Nach Abschluß des Zertifizierungsverfahrens erhält Ihr Unternehmen ein Sicherheitssiegel von ICSA.COM, der Ihr Netzwerk zertifiziert.

Außerdem ist ICSA die Nummer eins unter den Zertifizierungsunternehmen im öffentlichen Bereich. ICSA prüft und bescheinigt alle der folgenden Produkte:

Troy Systems

Troy Systems

Tel.: +1-703-218-5300

Fax: +1-703-218-5301

E-Mail: busdev@troy.com

URL: http://www.troy.com/

Troy Systems' Information Systems Security unterstützt die Regierung und kommerzielle Kunden in den Gebieten Sicherheitsplanung, Risiko-Management, Sicherheitstests und -evaluierung, Prüfung von Schwachstellen, technische Gegenmaßnahmen, Kontingentplanung, Internet/Intranet-Sicherheit, Schulung und Bewußtseinserhöhung und Zertifizierung und Akkreditierung.

Troy Systems arbeitet für mehrere Regierungsbehörden (z.B. sicherte sich Troy Systems kürzlich einen Vertrag mit der U.S. Army Medical Information Systems and Services Agency).

Zertifizierung als eine Garantie bei Haftungsfragen

Das Problem in Hinsicht Zertifizierung ist die Höhe der Kosten. Um ehrlich zu sein, ist eine Zertifizierung außerdem auch nicht unbedingt eine Garantie für Sicherheit. Tatsächlich zeigt sie vor allem, daß Ihr Unternehmen sich in punkto Sicherheit einige Gedanken macht. Dies kann ein kritischer Punkt sein, wenn Sie nicht nur für den Schutz Ihrer eigenen Daten, sondern auch der Daten anderer verantwortlich sind.

Haftung ist ein Monster, das sich zwar bisher noch nicht um den Hals des Internet gelegt hat, aber es wird dazu kommen. (Besonders da mehr und mehr vertrauliche Daten in das Internet gesetzt werden.) Wenn Sie für den Schutz von Daten anderer verantwortlich sind, ist Zertifizierung ein Weg, um sich auf eine Verteidigung gegen eine Anklage wegen Fahrlässigkeit vorzubereiten.

Wenn es bei Ihnen zu einem Sicherheitsloch kommt und vertrauliche Daten von Ihrem Server entweichen, werden Sie wahrscheinlich einem Prozeß entgegensehen. Denken Sie an das AOL-Debakel vor einiger Zeit. Ein Marine-Offizier mit 17 Jahren Erfahrung hatte einen Account bei America Online. In seiner persönlichen Darstellung (unter seinem Decknamen) gab er als Familienstand »Homosexuell« an. Ein Marine-Untersucher kontaktierte zu einem späteren Zeitpunkt AOL und verlangte die Herausgabe der wahren Identität, die hinter diesem AOL-Profil steckte. Beschäftigte von AOL gaben daraufhin den richtigen Namen des Offiziers heraus. Die Marine entließ in der Folge den Offizier mit der Begründung, daß er die »Nichts fragen, nichts sagen«-Richtlinie des Militärs verletzt habe. Es scheint, daß AOL seine eigenen Richtlinien in punkto Privatsphäre verletzt hat. Es wird sicherlich zu einem Gerichtsverfahren kommen.

Zwar betrifft der AOL-Fall nicht das eigentliche Eindringen in ein Netzwerk, aber er dient doch als Warnung. Wenn Sie es versehentlich zulassen, daß vertrauliche Daten herauskommen, können Sie sich sehr schnell vor Gericht wiederfinden. Zertifizierung kann Ihrer Verteidigung nützlich sein, da sie Ihre Sorgfalt in punkto Sicherheit beweist.

Abgesehen von theoretischen und moralischen Aspekten der ganzen Angelegenheit wird die Anklage im realen Leben Schwierigkeiten haben, einen Fall von Fahrlässigkeit zu beweisen, wenn Sie vorweisen können, daß Ihr Unternehmen die besten erhältlichen Standards einsetzte, als (und unmittelbar bevor) das Sicherheitsloch entstand.

8.4 Wo finden Sie Schulungen?

Ein anderer Weg zur Sicherung Ihres Systems ist es, Ihr eigenes Personal zu schulen. Ich favorisiere diese Lösung, weil sie eine kluge Investition darstellt. Außerdem sind unternehmensinterne Sicherheitslösungen fast immer eine bessere Idee.

8.4.1 Generelle Schulungen

Dieser nächste Abschnitt listet einige gute Anbieter für generelle Schulungen zum Thema Internet-Sicherheit auf:

Lucent Technologies, Inc.

Lucent Technologies, Inc.

Tel.: +1-800-288-9785

URL: http://www.lucent.com/

Lucent Technologies bietet Schulungen zu den Themen Netzwerk-Sicherheit, Firewalls (vor allem die Lucent Managed Firewall) und Netzwerk-Management. Teilnehmer, die eine Lucent-Schulung abschließen, erhalten ein Lucent Technology Security Administration-Zertifikat.

Great Circle Associates, Inc.

Great Circle Associates, Inc.

Tel.: +1-800270-2562

Fax: +1-650-962-0842

URL: http://www.greatcircle.com/

Great Circle Associates bietet technische Vor-Ort-Schulungen in den folgenden Bereichen:

Great Circle Associates ist eine wichtige Quelle für Schulungen und Beratungen auf dem Gebiet sichere Netzwerkarchitektur und -design. Brent Chapman, der Präsident des Unternehmens, ist der Autor von Building Internet Firewalls, einem Industrie-Standardwerk für Netzwerk-Administratoren.

Learning Tree International

Learning Tree International

Kontakt: Linda Trude

Tel..: +1-800-843-8733

Fax: +1-800-709-6405

E-Mail: uscourses@learningtree.com

URL: http://www.learningtree.com/

Learning Tree bietet viertägige praxisnahe Intensivkurse über Unix-Sicherheit, Windows- NT-Sicherheit, Internet/Intranet-Sicherheit und Firewalls sowie mehr als 130 weitere IT- Themen. Der wichtigste Firewall-Kurs ist »Deploying Internet and Intranet Firewalls: Hands-On«, der die folgenden Aspekte umfaßt:

NSC Systems Group, Inc.

NSC Systems Group, Inc.

Tel.: +1-800-414-8649

Fax: +1-770-396-1164

E-Mail: kellim@nscedu.com

URL: http://www.nscedu.com/

NSC System Group bietet einige sehr attraktive Schulungen in den folgenden Bereichen an:

Training On Video

Training On Video

Tel.: +1-800-408-8649

E-Mail: web@trainonvideo.com

URL: http://www.trainonvideo.com/netsec.htm

Training On Video bietet ein interessantes Produkt namens Internet Security Solutions Video. Diese Videopräsentation von 4½ Stunden Dauer wird von dem bekannten Sicherheitsspezialisten H. Morrow Long geleitet (Long ist für die Sicherheit der Yale University verantwortlich). Hier sind einige der Themen, die in der Videopräsentation behandelt werden:

8.4.2 Fortgeschrittenere Schulungen

Wenn Sie sehr sensible Daten schützen müssen, brauchen Sie Industrie-intensive Schulungen . Hierfür empfehle ich Ihnen die Sytex, Inc. oder die Syracuse Research Corporation.

Sytex, Inc.

Sytex, Inc.

Tel.: +1-410-312-9114

Fax: +1-410-312-9118

E-Mail: lmasser@sso.sytexinc.com

URL: http://www.sytexinc.com/

Sytex, Inc. ist ein Internet-Sicherheits-/Informationskriegs-Unternehmen, das (neben anderen Dingen) fortgeschrittene IT-Sicherheitsschulungen bietet. Zu den erwähnenswerten Sytex-Kunden gehören:

Sytexs Angebot beinhaltet die vielleicht umfassendsten Schulungen im Bereich IT-Sicherheit in ganz Amerika, darunter zwei Kurse, die eingerichtet wurden, um den speziellen Bedarf für Gesetzeshüter, Geheimdienstoffiziere und Systemadministratoren zu decken. Die Kursteilnehmer lernen Details darüber, wie Netzwerke arbeiten und wie Eindringlinge diese Netzwerke ausbeuten. (Die Kurse wurden auf Anfrage einer wichtigen amerikanischen Untersuchungsbehörde eingerichtet. Derzeit werden über 200 Spezialagenten im Rahmen dieser Kurse geschult).

Was die Sytex-Kurse wirklich von anderen abhebt, ist die Tatsache, daß die Teilnehmer mit realen Vorfällen, Protokollen und Crackern umgehen müssen. In dieser praxisnahen Umgebung lernen die Teilnehmer, ihr Wissen in einer praktischen und effektiven Art und Weise anzuwenden. (Es geht doch nichts über reale Lebenserfahrungen.)

Hinweis:

Digital Tradecraft umfaßt die Praktiken elektronischer Spionagetechniken, einschließlich:

  • Hardware-basierte Verschlüsselung
  • Mail-Ausschnitte - Anonyme Rückmailer
  • Mikropunkte und Geheimschrift - Steganographie-Software
  • Versteckte persönliche Treffen im Cyberspace

Die heutige Geheimdienstgemeinde beginnt gerade erst das Potential des Internet in bezug auf Spionage zu nutzen. Systex, Inc. hat für diesen Zweck modernste Techniken entwickelt.

Sytex bietet Schulungen auf den folgenden Gebieten an:

8.5 Web-Hosting als eine Lösung

Eine andere Möglichkeit besteht darin, es ganz und gar zu vermeiden, eigene Server zu betreiben. Vielleicht brauchen Sie ja nur zwei oder drei Domains und ein Extranet für Ihre Kunden. Wenn das so ist, sollten Sie Web-Hosting in Betracht ziehen.

Web-Hosting heißt, daß Ihre Server in den Büros eines Internet Service Providers stehen. In diesem Fall zahlen Sie eine monatliche Gebühr und der Provider ist für die Sicherheit der Site verantwortlich.

Es gibt erhebliche Unterschiede in der Höhe der Gebühren für Web-Hosting, abhängig von den Services, die Sie brauchen. Zusätzliche Gebühren können entstehen, wenn Sie die maximale Bandbreite überschreiten oder spezielle Services benötigen.

Wenn Ihr Unternehmen nicht mehr will, als Informationen für die Öffentlichkeit zur Verfügung zu stellen, ist dies der Weg, den Sie gehen sollten. Sie vermeiden dadurch viele Kosten, die durch die Wartung Ihrer eigenen Server entstehen würden, darunter:

Außerdem haben die meisten Internet Service Provider die nötigen Mittel für sichere Kreditkarten-Transaktionen, Kreditkartenabrechnung, VPNs, Extranets, EDI und andere Schlüsselkomponenten in bezug auf Electronic Commerce zur Hand. Sie können eine Menge Geld sparen, wenn Sie ihr Wissen und ihre Erfahrung nutzen.

8.6 Die Dienste eines externen Sicherheitsberaters in Anspruch nehmen

Wenn Ihr Unternehmen dagegen eigene Server haben muß, können Sie trotzdem viele sicherheitsrelevante Aufgaben auslagern. Bevor Sie jedoch einen beträchtlichen Betrag in einen Sicherheitsberater investieren, sollten Sie ein paar Dinge wissen.

Der Sicherheitssektor ist in der letzten Zeit explodiert. Einige Schätzungen gehen von einer Steigerungsrate von 500 % für den Sicherheitsmarkt innerhalb der nächsten drei Jahre aus. Der Sicherheitsbereich unterscheidet sich jedoch von anderen Bereichen, z.B. Medizin oder Jura. Es gibt in diesem Bereich keinerlei Dokumente, die einen Sicherheitsexperten auch als solchen ausweisen. Natürlich gibt es Zertifizierungsprogramme und Sie werden vielleicht hören, daß dieser Berater ein zertifizierter Microsoft-Ingenieur ist oder ein anderer CNE. Das ist toll, aber es gibt Ihnen keinerlei Garantie, daß diese Leute Ihre Site tatsächlich schützen können.

Direkt gesagt geben sich viele Unternehmen jeder Art und Größe als Sicherheitsexperten aus, eben weil der Markt so lukrativ ist. Leider sind viele der sogenannten Sicherheitsspezialisten gar keine, sondern haben lediglich große Erfahrung im Netzwerkbereich.

Wenn Sie uneingeschränkte Mittel zur Verfügung haben, können Sie eine der großen, anerkannten Sicherheitsunternehmen als Berater verpflichten. Ist Ihr Unternehmen jedoch eher klein, werden Sie ein kleineres, weniger bekanntes Unternehmen zur Beratung heranziehen müssen. Das bringt uns zu einem anderen Punkt: den Kosten.

8.7 Kosten

Wieviel sollte Sicherheit kosten? Das hängt von Ihren speziellen Bedürfnissen ab. Hier sind einige Faktoren, die die Höhe der Kosten beeinflussen werden:

Lassen Sie uns jeden Faktor kurz anschauen.

8.7.1 Ihre Netzwerk-Architektur

Ein homogenes Netzwerk mit einheitlichen Applikationen wird Ihre Kosten senken.

Hinweis:

Einheitliche Applikationen heißt, daß alle Workstations und alle Abteilungen die gleichen Applikationen benutzen.

Der Grund dafür besteht darin, daß Sicherheitsrichtlinien und -maßnahmen einfach auf das gesamte System dupliziert werden können. Sogar bestimmte Betriebssystem-Kombinationen können mit einem Pauschalangebot abgedeckt werden. Es existieren beispielsweise Tools, die Management und Sicherheit von NT und Netware gleichzeitig zentralisieren können.

Hinweis:

LT Auditor+ von Blue Lance ist ein gutes Beispiel. LT Auditor+ Version 5.0 bietet Echtzeit-Filter und -Berichterstellung, automatisierte Warnungen und zentralisiertes Management für NetWare- und Windows NT-Server zusammen.

Umgekehrt werden sich Ihre Kosten für Sicherheit natürlich erhöhen, wenn in Ihrem Netzwerk viele verschiedene Betriebssysteme laufen, da dann ein Sichern viel komplexer wird.

Ihr Sicherheitsteam muß dann vielleicht Hilfe von außen in Anspruch nehmen. Unix-Spezialisten beispielsweise wissen möglicherweise so gut wie nichts über MacOS. Wenn sie auf ein ganzes Netzwerk-Segment treffen, das aus Macintosh-Rechnern besteht, müssen sie möglicherweise einen weiteren Spezialisten hinzuziehen. Oder es kann sein, daß Ihre Berater sich dazu gezwungen sehen, zumindest einige proprietäre Codes einzusetzen: ihre eigenen. Das bringt uns zu einem anderen Faktor, der die Höhe der Kosten beeinflußt: Ihr Vertrauen in proprietäre Lösungen.

8.7.2 Ihr Vertrauen in proprietäre Lösungen

Ich kann Ihnen genau sagen, was ein Sicherheitsteam nicht hören will:

»Naja, der Programmierer, der das System ursprünglich für uns entwickelt hat, ist tot oder untergetaucht. Und weil er es aus dem Nichts geschrieben hat, konnten wir es nicht einfach in eine Microsoft-Umgebung importieren. Natürlich wissen wir, daß es alt ist, aber so ist es halt.«

Es gibt viele Unternehmen, die in einer derartigen Lage stecken. Wenn Ihr Unternehmen dazugehört, wird es Sie teuer zu stehen kommen. Wenn Sie beispielsweise eine proprietäre Datenbank haben und Sie einen Zugang zu dieser über das Web einrichten wollen, wird Sie das ein Vermögen kosten (sogar schon bevor Sie mit der Sicherung anfangen).

8.7.3 Wie gut Sie Ihre bestehenden Sicherheitsinformationen organisiert haben

Am Anfang dieses Kapitels gab ich Ihnen den Tip, eine Menge Informationen über Ihr Netzwerk zusammenzutragen. Anfänglich erscheint dies vielleicht etwas komisch, aber es kann Ihnen eine Menge Geld sparen.

Wenn ein Sicherheitsteam zum ersten Mal in Ihr Büro kommt, weiß es so gut wie nichts über Ihr Netzwerk. Und wenn Sie die relevanten Informationen nicht zur Verfügung stellen können, können Ihre Kosten erheblich in die Höhe klettern.

Ich habe im letzten Jahr ein Dutzend Unternehmen besucht, und nur eines davon hatte im Vorfeld die Informationen gesammelt, die ich vorher beschrieben habe. Statt dessen beginnen die meisten Unternehmen mit einer Tour durch das Unternehmen, die in der Regel von einem Verwaltungsangestellten (der nichts über das Netzwerk weiß) und vom Systemadministrator (der verständlicherweise verärgert ist, weil ich mich in seine Angelegenheiten einmische) geleitet wird. Keiner von beiden kann mir große Einblicke bieten. Ich weiß sofort, daß ich mehrere Wochen brauchen werde, um die Informationen zusammenzutragen, die ich eigentlich schon hätte haben sollen.

Machen Sie diesen Fehler nicht - er wird Ihre Kosten in erheblichem Maße steigern. Wenn ein Sicherheitsteam bei Ihnen eintrifft, sollten Sie jede erdenkliche Information zur Hand haben. (Vielleicht möchten Sie ja einige Informationen zurückhalten, um die Aufmerksamkeit und die Sachkenntnis des Teams zu testen, trotzdem sollten Sie auch diese Informationen fertig haben.)

Und schließlich gibt es noch einen letzten Faktor, der einen Einfluß auf die Höhe der Kosten ausübt: die Art der Daten, die Sie schützen wollen.

8.7.4 Die Art der Daten, die Sie schützen wollen

Die meisten Unternehmen streben eine Internet-Präsenz entweder zu Werbezwekken für die Öffentlichkeit an oder weil sie das Internet als ihre private Festverbindung nutzen wollen. Dadurch können sie regionale Zweigstellen zu einem Bruchteil der Kosten einer richtigen Festverbindung vernetzen.

Das erste Szenario ist kein Problem. Wenn jemand einen Server attackiert und herunterfährt, der Informationen für Werbezwecke enthält, können Sie ihn innerhalb weniger Stunden wiederherstellen. In diesem Fall gibt es keinen Grund, hyperwachsam in Hinsicht auf Sicherheit zu sein. Sie wenden einfach die besten Sicherheitsmethoden an und das war's.

Wenn Sie das Internet benutzen, um Zweigstellen (oder ähnliches) zu vernetzen, müssen Sie sich jedoch mehr Sorgen machen. (Besonders, wenn Sie proprietäre, vertrauliche oder geheime Daten über das Internet austauschen wollen.) Dies wird die Kosten für die Sicherung Ihres Systems erheblich in die Höhe schrauben.

Ein Produkt, das die Kosten für das Vernetzen von Zweigstellen reduzieren kann, ist Netfortress.

Netfortress

Fortress Technologies

Tel.: +1-813-288-7388

Fax: +1-813-288-7389

E-Mail: info@fortresstech.com

URL: http://www.fortresstech.com/

Netfortress ist eine Plug-in-VPN-Lösung mit folgenden Merkmalen:

Netfortress ist vielleicht das sicherste zur Zeit erhältliche VPN. Es ändert alle 24 Stunden automatisch die Enkryptionsschlüssel und bietet mit die stärkste Verschlüsselung, die derzeit für Live-Sessions verfügbar ist. Aber das ist noch nicht alles. Netfortress ist extrem schnell. Man kann Echtzeit-Updates an einer Datenbank irgendwo im Land durchführen und trotzdem extreme Verschlüsselung genießen.

Netfortress (und ähnliche Produkte) kann Ihnen einen erheblichen Teil Ihrer Kosten ersparen. Statt einer monatlichen Gebühr für Festverbindungen zwischen Ihren Zweigstellen zahlen Sie einmalig für eine sichere VPN-Lösung.

8.7.5 Fazit

Das Fazit ist dies: All diese Faktoren werden Ihre Kosten beeinflussen - und es gibt keine Industrie-Standards darüber, was diese oder jene Aufgabe kosten wird. Sie können jedoch einiges unternehmen, um astronomische Kosten zu vermeiden.

Erinnern Sie sich an die Informationen, die Sie zusammentragen sollten? Wenden Sie sich an zwei Sicherheitsunternehmen mit gutem Ruf und bitten Sie sie, einen Kostenvoranschlag für das Sammeln dieser Informationen und für entsprechende Empfehlungen zu machen. Der Kostenvoranschlag sollte einen Bericht darüber enthalten, wie diese Unternehmen im Fall einer Auftragserteilung vorgehen würden. Dies wird Ihnen nicht nur eine astronomische Summe geben, sondern Sie auch auf besondere Punkte in Ihrer Konfiguration aufmerksam machen. Außerdem können Sie diese Summe auch gut dazu benutzen, mit demjenigen zu feilschen, den Sie dann tatsächlich beauftragen werden.

8.8 Über Ihren Systemadministrator

Eine letzte Anmerkung zu den Kosten: Es lohnt sich, Ihrem Systemadministrator zusätzliche Schulungen anzubieten. Je weniger Sie auslagern müssen, um so besser stehen Sie da. Außerdem kennt Ihr Systemadministrator Ihr Netzwerk schon in- und auswendig. Sie sollten den Nutzen maximieren, den Sie davon haben, daß Sie Ihren Systemadministrator bezahlen. (Anders gesagt: Warum noch mehr bezahlen? Sie zahlen ja schon jemanden für die Wartung Ihres Netzwerks.)

8.9 Consultants und andere Lösungen

Wenn Sie vorhaben, Electronic Commerce über das Internet anzubieten, sollten Sie Ihre Optionen gründlich in Betracht ziehen. Manchmal kann eine zusammmengesetzte Lösung (eine Mischung aus Lösungen verschiedener Drittanbieter) genauso sicher und billiger sein wie die Implementierung einer sogenannten »integrierten« Lösung. Hier sind einige gute Quellen, die Sie sich ansehen sollten:

SecureCC. Sichere Transaktionen für das Web. http://www.securecc.com/.

Netscape Communications Corporation. http://www.netscape.com/.

Process Software Corporation. http://www.process.com/.

Alpha Base Systems, Inc. EZ-Commerce und EZ-ID-System.
http://alphabase.com/ezid/nf/com_intro.html.

Data Fellows. F-Secure-Produktlinie. http://www.europe.datafellows.com/f-secure/.

Credit Card Transactions: Real World and Online. Keith Lamond. 1996.
http://rembrandt.erols.com/mon/ElectronicProperty/klamond/CCard.htm

Digital Money Online. A Review of Some Existing Technologies. Dr. Andreas Schöter und Rachel Willmer. Intertrader, Ltd. Februar 1997.

A Bibliography of Electronic Payment Information. http://robotics.stanford.edu/users/ ketchpel/ecash.html

A Framework for Global Electronic Commerce. Clinton Administration. Eine Zusammenfassung finden Sie unter http://www.iitf.nist.gov/eleccomm/exec_sum.htm oder http:// www.iitf.nist.gov/eleccomm/glo_comm.htm.

Electronic Payment Schemes. Dr. Phillip M. Hallam-Baker. World Wide Web Consortium. http://www.w3.org/pub/WWW/Payments/roadmap.html.

On Shopping Incognito. R. Hauser und G. Tsudik. Second Usenix Workshop on Electronic Commerce. http://www.isi.edu/~gts/paps/hats96.ps.gz.

Fast, Automatic Checking of Security Protocols. D. Kindred und J. M. Wing. Second Usenix Workshop on Electronic Commerce, pp. 41-52. November 1996. http://www- cgi.cs.cmu.edu/afs/cs.cmu.edu/project/venari/www/usenix96-submit.html.

Business, Electronic Commerce and Security. B. Israelsohn. 1996.
http://www.csc.liv.ac.uk/~u5bai/security/security.html.



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel