Auf dem Weg zur eigenen Appliance

Geschäftsführer Christian Scheucher verabschiedet am späten Nachmittag noch einen Kunden, um sich dann wieder hinter seinen Rechner zu setzen. Er checkt die letzten Sicherheitsupdates des Debian-Projekts, konfiguriert einige Dateien und stößt einen Buildprozess an, bevor er in den Feierabend geht. Am nächsten Morgen möchte er seinem Kunden eine maßgeschneiderte Maschine für dessen spezifische Anforderungen präsentieren, die künftig im Netz des Auftraggebers Köder auslegt, um feindliche Aktivitäten aufzuspüren [1].

Anregung vom Reeder-König

Softwareanbieter haben in der Vergangenheit vornehmlich Software angeboten. Das bedeutete meist einen Datenträger oder eine Downloadadresse und eine Installationsanleitung samt einer Vorgabeliste kompatibler Betriebsumgebungen. Das war nicht nur die Hardwareplattform, sondern umfasste auch deren konkrete Ausstattung mit Speicher, kompatiblen Netzwerkkarten, Betriebssystemen, Distributionen, deren Varianten und Releases. Wer das alles unterstützen wollte, hatte viel Logistik zu berücksichtigen.

Da liegt es nahe, sich an erfolgreichen Logistikern wie dem amerikanischen Reeder Malcom McLean zu orientieren. Der hatte nämlich 1956 die Idee, Container zu normieren, so dass sie ohne große Aufwände Platz in jedem Schiff fanden. Sie passen auch in andere Umgebungen wie Eisenbahnwaggons oder Lastwagen und können fast jede Art von Gütern in sich aufnehmen [2].

Eine Appliance versucht diesen Ansatz auf komplexe Softwaresysteme zu übertragen. Anbieter erwarten sich davon, unabhängiger von der Menge an Systemkonfigurationen zu werden, die sie sonst bei ihren Kunden vorfinden. Vorreiter bei Appliances sind Entwickler von Sicherheitslösungen. Scheucher, der mit seinem Unternehmen Secxtreme [3] Securitylösungen auf Linux-Basis für Kunden mit hohen Spezialanforderungen entwirft (siehe Abbildung 1), erkennt einen Trend zur Komplettlösung und nennt Gründe: "Der Support ist schwierig, wenn wir einen ganzen Zoo von Distributionen berücksichtigen müssen. Die einzelnen Varianten sind zu unterschiedlich und gehen nicht auf die besonderen Bedürfnisse unserer Kunden ein, die in vielen Fällen ein Extra an Security erwarten."

Abbildung 1: Die Honeybox von Sec-xtreme gaukelt Server vor und lenkt Angreifer von echten Systemen ab. Systemverwalter dürfen die Appliance anpassen.

Sicherheit erzwingt Sonderanfertigungen

Matthias Lemke, Leiter der Sina-Entwicklung beim Bundeshoflieferant Secunet (siehe Abbildung 2), geht noch einen Schritt weiter: "Sicherheit ist auf klassischem Wege bei Betriebssystemen eher schlecht zu konfigurieren, weil Distributionsanbieter oft andere Ziele verfolgen als wir. Die wollen, dass Flash-Plugins laufen, wir benötigen besondere Patches für die Security."

Abbildung 2: Matthias Lemke ist Leiter der Sina-Entwicklung bei der Secunet Security Networks AG.

Sein Unternehmen baut die Sina-Boxen, eine als Appliance ausgeliefertes VPN-Gateway [4], das das Bundesamt für Sicherheit in der Informationstechnik für hohe Geheimhaltungsstufen evaluiert hat (siehe Abbildung 3). Das sei auch der Grund für Lemke, auf eine eigene Appliance zu setzen: "So wissen wir, was wirklich läuft." Gert Hansen, Chefarchitekt bei Firewall-Hersteller Astaro (siehe Abbildung 4) konkretisiert: "Wir entscheiden frei, welche Tools und Bibliotheken wir ausliefern - und vor allem in welcher Version. Updates bringen wir dann heraus, wenn wir sie getestet haben". Damit sind Anbieter unabhängig von Distributions-Releases.

Abbildung 3: Mit der Sina-Box der Secunet Security Networks AG verschlüsseln viele Bundesbehörden ihren Datenverkehr. Admins haben nur limitierten Zugang zu den Innereien des Systems.

Abbildung 4: Gert Hansen gründete die Astaro AG mit und ist ihr Chief Software Architect.

Die von Christian Scheucher mit einem Kollegen entworfene Honey-Box verwendet weitehend frei verfügbare Komponenten aus Open Source, etwa »honeyd« für das Simulieren der Köder-Systeme. Seine Kunden haben aber immer weniger Zeit, sich mit diesen Spezialprogrammen in der gebotenen Tiefe zu befassen: "Unsere Kunden haben durchaus gute Linux-Kenntnisse, kommen aber nicht dazu, sich in die Details zu vertiefen", erklärt er. Für die zählen drei Aspekte: "Produkte sollen einfach, schnell und einsatzbereit sein", weiß Scheucher.