So stellt sich der Surfer das Web-Paradies vor: eine schnelle Internetverbindung und völlig freier Zugang zu allen Ressourcen im Web. Es gibt Bandbreite satt, man kann Videos anschauen, Internetradio anhören, die neuesten Kinofilme und Musiktitel auf den Arbeits-PC laden, ohne dass die Leistung der IT im Unternehmen darunter leidet. Diese ideale aller möglichen Welten gab es in den Unternehmen höchstens vor vier bis fünf Jahren.

Eine leistungsfähige Verbindung ins Web hat so manchen Surfer in global agierender Unternehmen, die rund um die Uhr an 365 Tagen im Jahr tätig sind, in Versuchung geführt alles auszuprobieren. Die Folge: Die verfügbare Bandbreite war schnell erschöpft. So geschehen bei der österreichischen Fluggesellschaft Austrian Airlines.

Als die Fluggesellschaft vor einiger Zeit den Microsoft Internet Security & Acceleration (ISA) Server 2004 einführte, nutzte man die darin enthaltenen Statistikfunktionen und analysierte den Web-Datenverkehr. Dabei stellte das IT-Management fest, dass immer mehr Webseiten mit potenziell gefährlichen Inhalten angesurft wurden. Insbesondere Pages, von denen Software, Filme und Musik kostenlos herunter geladen werden können, stehen im Verdacht nebenbei auch Würmer, Spyware und Keylogger zu transportieren. Sie bilden ein erhebliches Sicherheitsrisiko für die Unternehmens-IT.

Unter dem völlig freien Webzugang litt natürlich auch die Übertragungsgeschwindigkeit. Die Versuchung war manchmal einfach zu groß, und so wurden teilweise Kapazitäten zum Download nicht-dienstlicher Daten genutzt. Diese Bandbreite fehlte dann für die berufliche Nutzung des Web und die Abwicklung des E-Mail-Verkehrs mit Lieferanten, Partnern und Dienstleistern. "Ein besseres Bandbreitenmanagement und ein sicherer Internetzugang waren für die IT-Verantwortlichen bei Austrian Airlines die zentralen Motive, eine wirksame Web Filtering- und Web Security-Lösung zu installieren", berichtet Alexander Zdravkowitsch, IT Sicherheitsbeauftragter bei Austrian Airlines in Wien.

Angesiedelt ist die IT-Abteilung in der Unternehmenszentrale im Wiener Randbezirk Oberlaa. Vom dortigen Rechenzentrum aus versorgt das Unternehmen alle in- und ausländischen Niederlassungen mit der benötigten ITK-Infrastruktur und sorgt damit auch für eine zentrale Bereitstellung der Internetzugänge.

Pilottest unter realen Bedingungen

Im Anschluss an die Grundsatzentscheidung mussten drei Lösungen ihre Fähigkeiten in einem ausführlichen Praxistest unter Beweis stellen. Eine der Rahmenbedingungen: Die Web-Security-Software muss sich mit dem bereits vorhandenen Antivirenschutz vertragen. Auf Servern nutzt Austrian Airlines den Antivirenschutz von McAfee und Sybari, einem Tochterunternehmen von Microsoft. Auf den einzelnen Arbeitsstationen kommen ergänzend zum Schutz der Serversysteme die Produkte von McAfee zum Einsatz.

Um zu aussagekräftigen Ergebnissen zu kommen, installierte die IT-Abteilung alle drei Kandidaten und analysierte über einige Wochen hinweg deren Wirksamkeit beim Filtern unerwünschter Webinhalte. Anhand von zuvor definierten Kategorien unerwünschter Webseiten (z.B. Rassismus, Gewaltverherrlichung, Kinderpornographie, aber auch Onlinespiele) wurde untersucht, wie effektiv die Produkte arbeiten. Getestet wurde beispielsweise auch, wie lange es dauert, bis eine neue Webseite, auf die man im Alltagsbetrieb gestoßen ist, vom Hersteller gesperrt wird. Die Mitarbeiter des Testteams erstellten darüber hinaus auch eigene White Lists (Webseiten, die in den Augen der Tester vertrauenswürdig sind) und Black Lists. Eines der Kriterien war: Wie viel Zeit verstreicht, bis Änderungen in den Basisdatenbanken der Hersteller eingearbeitet sind und per Produktupdate zur Verfügung stehen? Der Echtzeiteinsatz der Lösungen bot nach Angaben von Zdravkowitsch darüber hinaus eine gute Möglichkeit, den Support der Anbieter zu testen.

"Wir haben uns die Entscheidung nicht leicht gemacht und die Contentfilter namhafter Anbieter ausführlich im praktischen Einsatz getestet. Websense bot hier die überzeugendste und effektivste Lösung", fasst Zdravkowitsch das Ergebnis der Pilotinstallationen zusammen. Wie in großen Unternehmen üblich, musste auch der Betriebsrat seine Zustimmung geben. So ist unter anderem heute der gesamte private E-Mail-Datenverkehr über Anbieter wie MSN oder GMX für die Mitarbeiter von Austrian Airlines gesperrt.

Die Arbeitnehmervertretung musste nicht lange überzeugt werden: Da Austrian Airlines Auszubildende unter 18 Jahren beschäftigt, ist das Unternehmen auch gesetzlich verpflichtet, die Vorgaben aus dem Jugendschutz einzuhalten. Ausbildende Betriebe müssen demzufolge technische Vorkehrungen treffen, damit minderjährige Mitarbeiter keinen Zugang zu "jugendgefährdenden Inhalten im Internet" haben. Mit einem Web-Content-Filter lässt sich so etwas recht komfortabel einrichten. Geht es um den Jugendschutz, liefert Österreich ein gutes Vorbild: Dort sind auf staatliche Initiative hin bereits alle Internetzugänge in den Schulen und Ausbildungseinrichtungen mit adäquater Software geschützt.

Abstimmung mit dem Microsoft Active Directory

Der Rollout der Websense Web Security Suite war rasch vollzogen, denn die Lösung wurde zentral in Wien installiert. Ein wichtiges Anliegen: Es sollten nach Angaben von Zdravkowitsch nicht alle Anwender "über einen Kamm geschoren werden." Die IT-Abteilung hat daher zwei organisatorische Maßnahmen ergriffen, um den Traffic besser steuern zu können. So wird zunächst einmal der gesamte Internetdatenverkehr in einen unmittelbar unternehmensrelevanten und einen eher informativen Bereich untergliedert. Unternehmensrelevant oder dienstlich ist beispielsweise die gesamte Kommunikation mit Lieferanten und Anbietern aus der Luftfahrtindustrie, bei denen es um die Beschaffung geht. Hier werden etwa komplexe Konstruktionszeichnungen oder Filme mit Computersimulationen ausgetauscht. Dazu stellt Austrian Airlines 60% der verfügbaren Bandbreite zur Verfügung und nutzt einen eigenen Proxy-Server.

Der eher informative, private Datenverkehr wie Textrecherche im Internet oder einfache E-Mail-Kommunikation ohne große Attachments etc. läuft über einen zweiten Proxy-Server. Bei Bedarf kann der unternehmensrelevante Datenverkehr über ein Bandbreitenmanagement priorisiert werden.

Abgestufte Zugriffsrechte

Um bestimmten Mitarbeitergruppen fein abgestufte Zugangsrechte gewährleisten zu können, bedient sich Austrian Airlines der umfangreichen Funktionen des Microsoft Active Directory. Damit lassen sich Teams definieren, denen die Websense-Software Zugang zu Internetseiten bietet, die für die Allgemeinheit nicht verfügbar sind. Beispiele dafür sind Onlinespiele, die vor einem Einsatz in den Flugzeugen zu testen sind. Ansonsten sind Online-Games generell nicht zugänglich. Aber auch die Pressestelle benötigt beispielsweise Zugang zu Internetradios und deren Live-Streaming- und Audio-on-Demand-Angeboten, die für andere Mitarbeiter nicht arbeitsrelevant und folglich gesperrt sind. "Durch Technologie kombiniert mit einer Reihe organisatorischer Schritte sind die 5.000 Mitarbeiter der Austrian Airlines und Lauda Air sehr gut geschützt, wenn sie heute im Internet surfen. Austrian Airlines hat mit der Websense-Software einen effektiven Schutzwall zur Abwehr der ständig zunehmenden Bedrohungen aus dem Internet wie Viren, Würmer, Spyware und Trojanern errichtet", resümiert Zdravkowitsch.

www.websense.de