Fallstudie: E-Mail-Sicherheit im Ministerium
CNT implementiert in einem Landesministerium eine Lösung zum Schutz vor SPAM und E-Mail-Attacken – Eine Fallstudie von der Evaluierung bis zur Einführung einer BorderWare MXtreme
Die Anforderung
Das EDV-Referat eines Ministeriums betreut insgesamt 410 Arbeitsplätze im Haus und benötigt für den SPAM- und Virenschutz bei der E-Mail-Kommunikation eine zuverlässige Lösung. Der eingesetzte Mail-Server (Microsoft Exchange) übernimmt bislang sämtliche Virenscanner-Dienste und für den dringend notwendigen SPAM-Schutz soll dieses System nicht zusätzlich belastet werden. Bei der Wahl einer geeigneten Lösung ist darüber hinaus die geplante Einführung von Open-Source-Technologien zu berücksichtigen, die offene Schnittstellen erfordern. Bevorzugt wird eine gemeinsame Lösung für SPAM- und Virenschutz, die separat vom übrigen Mailsystem installiert werden kann.
Die Evaluierung
Diese Anforderungen haben die IT-Verantwortlichen des Ministeriums schnell zur MXtreme von BorderWare Technologies geführt. "Das Gerät haben wir nach einer individuellen Präsentation durch den Hersteller und den Integrator CNT als Teststellung installiert und waren sofort sehr zufrieden mit den Ergebnissen. Der technische Spezialist von CNT hat uns vor Ort mit wertvollen Tipps und Informationen versorgt, die wir für die Integration des Systems in unser Umfeld benötigten. Grundsätzlich haben wir die Implementierung als ausgesprochen komplikationslos erlebt", so der verantwortliche Systemadministrator im EDV-Referat.
Die Mitarbeiter im Ministerium waren durch Art und Umfang der eingehenden Mails immer mehr belastet worden, da deren Bearbeitung viel Zeit kostete. Insbesondere Ministeriumsbedienstete, deren Mailadressen auf Websites oder in Print-Medien öffentlich zugänglich waren, wurden mit SPAM überhäuft. Hunderte eingehender SPAMs an einzelne Personen waren keine Seltenheit. Gerade nach einem Wochenende oder in Urlaubszeiten führte dies zu einer massiven Behinderung der Arbeitsabläufe. Nach wenigen Wochen im Einsatz filtert die MXtreme bereits bis zu 1.500 SPAMs pro Tag – Tendenz steigend, wie die Beispiele aus dem Arbeitsalltag zeigen.
Ressourcen schont die automatische Update-Funktion, bei der aktuelle Servicepacks ohne Zeitverlust installiert werden. Dies gilt ebenfalls für die Virenscanner-Signaturen. Protokollfunktionen geben Aufschluss, über welches Gateway die Viren bevorzugt eintreffen und warum bestimmte Mails als SPAM erkannt werden und andere nicht.
Selbstlernende Algorithmen im Praxistest
In der Anfangsphase wurden Mails, die mit einer niedrigen Wahrscheinlichkeit als SPAM kategorisiert wurden, an eine eigene Mailadresse gesandt und anschließend hinsichtlich der bayesischen STA-Metriken (Statistical Token Analysis) analysiert. STA ist ein Verfahren, das nicht zwingend notwendig ist, aber dem Feintuning des Systems dient. Das gilt insbesondere für Mails mit einer Struktur, die für das Umfeld untypisch sind. Im Ministerium ging es in der Anfangsphase darum, den STA-Algorithmus der MXtreme in seiner Funktionsweise besser zu verstehen. Im weiteren Verlauf wurden neu angelegte Mail-Accounts ("SPAM", "NoSPAM") innerhalb der MXtreme für das gezielte Training der bayesischen Filter verwendet. Nicht erkannte SPAM wurden an das hierfür erstellte Konto "SPAM" weitergeleitet, fälschlich als SPAM klassifizierte Mails hingegen an das Konto "NoSPAM". Im Regelwerk des STA-Filters wurde anschließend definiert, dass Mails an das Konto "SPAM" als SPAM, Mails an das Konto "NoSPAM" als gültige Mails trainiert wurden.
Vereinfacht wurde die Weiterleitungsfunktion durch Regeln innerhalb öffentlicher Ordner der Microsoft-Exchange-Struktur. Somit konnten im Posteingang mehrere Mails markiert und in die hierfür angelegten Ordner "SPAM" bzw. "NoSPAM" verschoben werden, die ihrerseits für die Weiterleitung an die entsprechenden Konten innerhalb der MXtreme sorgten.
Vor der Aktivierung der MXtreme wurde eine Umfrage im Hause durchgeführt, um die Absenderadressen von Newslettern in Erfahrung zu bringen. Diese wurden anschließend im Regelwerk als gültige Mails definiert (Whitelisting), da Newsletter ansonsten in vielen Fällen vom DCC-Filter blockiert worden wären.
Einsatz im behördlichen Umfeld
Die IT-Zentrale betreibt eine MXtreme-200 in der Version 3.1 Update 3. Die Version 4 wird in Kürze folgen. 410 Anwender senden ihre Mails über dieses System. Dabei sind weder Performanceprobleme noch Engpässe bei der CPU-Auslastung zu verzeichnen.
Zunächst war für die Realisierung des SPAM-Schutzes die Beschaffung einer Softwarelösung für den Mail-Server (Microsoft Exchange) beabsichtigt, die mit dem bereits implementierten Virenscanner zusammenarbeiten sollte. Die Implementierung einer weiteren Softwarelösung in das bestehende Mail-System (Microsoft Exchange) wäre allerdings eine zusätzliche Fehlerquelle gewesen. Auch die Performance des Systems hätte ungünstig beeinflusst werden können. Die MXtreme schließt solche Probleme in ihrer Eigenschaft als Appliance-Lösung aus und schont darüber hinaus das bestehende Mail-System.
Die Überlegungen gehen inzwischen sogar so weit, den auf dem Mail-Server installierten Virenscanner komplett abzulösen – eine Methode, mit der neben einer weiteren Entlastung des Mail-Servers auch eine Kostenersparnis erzielt werden kann. Ein wichtiger Aspekt bei der Entscheidung für eine Appliance-Lösung war aus Sicht des Administrators die niedrige Wartungsintensität.
"Nach Beratung durch CNT haben wir uns zusätzlich für den Virenschutz durch die Kasperksky-Option entschieden, auf die wir zunächst verzichten wollten. Einige aktuelle Schadprogramme generieren Mails mit Textteilen aus bereits empfangenen Mails des infizierten Rechners. Somit kann in solchen Fällen lediglich der eventuell vireninfizierte Anhang einer Mail für deren Klassifizierung verwendet werden. Daher war für uns die Kaspersky-Option wichtig und sinnvoll."
eGovernment
Neben Sicherheitsbelangen, die auch auf Wirtschaftsunternehmen zutreffen, stellen sich im Bereich des eGovernment zusätzlich behördenspezifische Anforderungen.
In Zukunft sollen verstärkt eGovernment-Projekte umgesetzt werden, um die Qualität der Leistungserbringung zu verbessern, interne Abläufe zu optimieren und Kosten zu senken. Durch die unterschiedlichen Bereiche wie den Ausbau eines Verwaltungsportals, den Aufbau eines Bildungsservers und der Einführung eines Dokumentenmanagement wird in Zukunft mit einem erheblich größeren Mailaufkommen gerechnet. In diesem Zusammenhang werden auch deutlich mehr Mailadressen veröffentlicht.
Spätestens zu diesem Zeitpunkt wäre eine umfassende Anti-SPAM-Lösung für das Ministerium notwendig geworden. Darüber hinaus sind grundsätzlich alle IT-Einrichtungen der Länder gehalten, sich an den Sicherheitsrichtlinien des BSI-Grundschutzhandbuches zu orientieren und an die entsprechenden Vorgaben zu halten.
Fazit und Ausblick
"Mit der MXtreme haben wir eine modulare und transparente Lösung gefunden. Was wir uns noch wünschen, ist die Verfügbarkeit interner Mail-Adressen für Trainingszwecke, ohne dass diese manuell konfiguriert werden müssen. Optimiert werden kann auch die Behandlung von Mail-Anhängen. Zunächst hatten wir ein System eingesetzt, das die Anhänge nach Datei-Endungen klassifiziert und beispielsweise Anhänge mit der Endung ".EXE" blockiert. Problematisch war hierbei, dass der Schutz durch Umbenennung der Anhänge umgangen werden konnte. Wir möchten jedoch grundsätzlich verhindern, dass ausführbare Dateien per Mail in unser System gelangen. Daher setzen wir derzeit eine Software-Lösung ein, die Anhänge unabhängig von der Dateiendung nach deren Inhalt kategorisiert. Somit würde beispielsweise auch eine in setup.txt umbenannte ausführbare Datei in einen Quarantäne-Bereich verschoben. Wenn die MXtreme diese Funktionalität bereitstellen würde, könnten wir auf die bisherige Lösung verzichten und alle Sicherheitsmaßnahmen über die MXtreme abwickeln", fasst der Systemadministrator seine Wünsche zusammen.
