Foto: LBBW
Die IT-Organisation der Landesbank Baden-Württemberg (LBBW) hat in den vergangenen Jahren die Anwendungsinfrastruktur des Unternehmens zentralisiert. Ziel war es, den Administrationsaufwand für die rund 13.000 IT-Arbeitsplätze zu reduzieren.
Ein Großteil der Geschäftsapplikationen wird heute über eine zentrale Citrix XenApp-Umgebung für die vier Hauptstandorte in Stuttgart, Karlsruhe, Mannheim und Mainz sowie die rund 200 bundesweiten Filialen zur Verfügung gestellt. Die PCs an den Arbeitsplätzen wurden weitgehend zu Thin Clients umgerüstet, auf denen - außer wenigen System-Anwendungen - keine Applikationen mehr installiert sind.
Die Umstellung auf die zentrale Anwendungsinfrastruktur musste durch Security-Maßnahmen flankiert werden: "Die Anforderung war, ein mehrstufiges Sicherheitskonzept einzurichten, durch das die Ausführung von unautorisierten Anwendungen auf den XenApp-Serverfarmen verhindert wird", erklärt Joachim Seeger, Projektverantwortlicher in der Abteilung DCS Finance and Security der LBBW. Insbesondere sollte die Umgebung zuverlässig vor Schadprogrammen geschützt werden, die über E-Mail-Attachments, Webbrowser oder Wechseldatenträger eingeschleust werden könnten.
User Virtualization Plattform von AppSense
Die User Virtualization Plattform von AppSense konnte alle Anforderungen der LBBW erfüllen. "Die AppSense-Technologie ist in der Lage, auch Ausführungsanfragen zu blockieren, die von anderen Security-Systemen wie Firewalls oder Antivirensoftware nicht entdeckt wurden", so Seeger. "Wir haben uns daher entschieden, die Lösung als letzte Barriere unserer mehrstufigen Sicherheitsarchitektur zu implementieren."
Die User Virtualization Plattform von AppSense verwendet sichere Abfangmechanismen, um unerwünschte Anwendungen auf Servern oder Endgeräten zu identifizieren und automatisch zu blockieren. Die Lösung bietet Schutz vor skriptbasierten und ausführbaren Viren, Trojanern und Spyware. Zudem ermöglicht die User Virtualization Plattform die Kontrolle über Anwendungsinhalte wie ActiveX, VBScripts, Batchdateien, Windows Installer-Pakete und Konfigurationsdateien für die Registrierung.
Bewährtes "Trusted Owner"-Konzept
"Wir schätzen im Alltag insbesondere die umfassenden Steuerungsmöglichkeiten der AppSense-Technologie, mit denen wir die Richtlinien der Anwendungsausführung regelbasiert für einzelne Gruppen oder Benutzer festlegen können", sagt Seeger.
Standardmäßig dürfen in der XenApp-Umgebung des Zentralinstitutes der Sparkassen in Baden-Württemberg, Sachsen und Rheinland-Pfalz nur Anwendungen ausgeführt werden, die von einem "Trusted Owner" installiert wurden. Die Liste der vertrauenswürdigen Besitzer umfasst dabei ausschließlich Systemadministratoren, die über die Berechtigungen für die zentrale Installationssoftware verfügen.
Web-Anwendungen lassen sich auf den XenApp-Servern nur starten, wenn die Administratoren sie zuvor im AppSense-System auf eine White List mit zulässigen Anwendungen gesetzt haben. Durch die Definition von schwarzen Listen stellt die IT-Abteilung sicher, dass bekannte Schadprogramme und Problemanwendungen systemweit geblockt werden.
Wichtige Sicherheitsereignisse gehen automatisch an Security-Spezialisten
Die AppSense-Lösung zeichnet alle sicherheitsrelevanten Ereignisse in einer Protokolldatei auf, die für Auditing-Zwecke genutzt werden kann. Anwender erhalten jeweils eine eindeutige Fehlermeldung, wenn eine Applikation an der Ausführung gehindert wurde. Mit dieser Meldung können sie sich an den Helpdesk wenden, um die Ursache zu identifizieren. Alle wichtigen Sicherheitsereignisse werden zudem automatisch an die Security-Spezialisten der LBBW weitergeleitet.
Passives Monitoring unterstützt Sicherheitskonfiguration
"Eine Funktion, die wir in der Praxis sehr häufig nutzen, ist der passive Überwachungsmodus der AppSense-Lösung", berichtet Seeger. Dieser Modus ermöglicht es, unberechtigte Ausführungsversuche zu überwachen, ohne dass der Benutzer an der Ausführung gehindert wird.
Die passive Überwachung ist für die LBBW ein hilfreiches Tool, um das Anwendungsverhalten vor einer geplanten Neuimplementierung zu verfolgen: "Bei jeder Aktualisierung der XenApp-Umgebung untersuchen wir damit vorab, wie sich die Änderungen auf unsere Sicherheitskonfigurationen auswirken. So können wir die Regeln der Anwendungsausführung entsprechend anpassen, bevor das Server-Update produktiv umgesetzt wird", so Seeger.
Der Projektverantwortliche unterstreicht, dass die AppSense User Virtualization Plattform heute ein strategischer Baustein in der IT-Infrastruktur der LBBW ist: "Stabilität und Sicherheit haben in unserer XenApp-Umgebung mit mittlerweile 1500 Servern höchste Priorität. Daher ist es für uns ganz entscheidend, Risiken durch unautorisierte Anwendungen zuverlässig auszuschließen."