Manches Start-up-Unternehmen löst Probleme, mit denen so gut wie jede IT-Organisation zu kämpfen hat. Doch wie erfährt man von diesen jungen Heilsbringern? LANline stellt einige interessante Neugründungen aus den Bereichen Netzwerk, IT-Sicherheit und Storage vor.

Die Versprechungen klingen verlockend: Das Ende der Kommandozeile zur Administration von Netzwerken, das Ende infizierte Android-Geräte, das Ende unentdeckter Angreifer in Unternehmensnetzen oder das Ende des Kreditkartenbetrugs. Nichts weniger versprechen Unternehmen wie Apstra (Netzwerkadministration), Zimperium (Anti-Malware für mobile Endgeräte), Javelin Networks (Schutz des Active Directorys) oder Ondot Systems (Schutz von Zahlungskarten). Sie haben noch nie von diesen Unternehmen gehört? Das macht nichts, denn sie sind allesamt Start-ups. Doch ihre Neuerungen sind ebenso einen Blick wert wie die Lösung des Secondary-Storage-Spezialisten Cohesity.

Das Gründungsteam von Apstra, von links nach rechts: CTO Sasha Ratkovic, CEO Mansour Karam und Chief Scientist Prof. David Cheriton. Bild: Apstra

Apstra will mit seiner Lösung namens AOS (Apstra Operating System) den RZ-Betrieb automatisieren – herstellerübergreifend und vom Entwurf bis zum Betrieb. Wenn man dem Gründer und CEO des Unternehmens, Mansour Karam, zuhört, dann bringt das durch AOS mögliche „Intent-based Network“ („absichtsbasiertes Netzwerk“) das, was Software-Defined Networking seit jeher verspricht: Ausgehend vom Bedarf der Anwendung oder Fachabteilung wählt der RZ-Administrator ein vorgefertigtes Template, und AOS konfiguriert das Netzwerk auf dessen Basis automatisch.

Die Konfiguration erfolgt über eine grafische Oberfläche, sodass die Kommandozeile laut Karam ausgedient hat. Laut dem Apstra-Gründer verwenden heute gut 85 Prozent aller Netzwerkteams in Unternehmen weltweit die CLI; dadurch vergeudeten diese zirka 80 Prozent ihrer Arbeitszeit mit manuellen Abläufen.

AOS unterstützt Netzwerkkomponenten unter anderem von Arista, Cisco, Cumulus, Dell, HPE, Juniper und solche, die auf Broadcom-Hardware oder auf dem Open Switch basieren. AOS bringt treiberartige Schnittstellen mit, um mit den Netzwerkkomponenten zu kommunizieren. Die Daten fließen dabei in beide Richtungen, sodass die Lösung auch Telemetriedaten von den Infrastrukturkomponenten abfragen und somit die korrekte Konfiguration überprüfen kann.

Apstra hat seine Plattform von Beginn an für Entwickler geöffnet: Per API können diese mit dem AOS-Kern kommunizieren und so neue Templates oder Treiber für Netwerkgeräte erstellen oder AOS mit anderen Systemen verzahnen. Auch die Telemetriedaten lassen sich über die API auslesen, wodurch Entwickler über das hinausgehen können, was Apstra selbst liefert.

Active Directory (endlich) absichern

Während Apstra Dritte einlädt, will Javelin Networks zumindest unberechtigte Dritte fernhalten: Das von ehemaligen Mitgliedern der israelischen Streitkräfte gegründete Start-up bietet mit ADProtect eine Schutzlösung für Active-Directory-basierte Netzwerke an, die nach der erfolgreichen Übernahme eines Rechners durch Angreifer („Post-Breach“) weiteren Schaden verhindern soll.

Das Apstra Operating System arbeitet mit Dashboards und soll den Einsatz der Kommandozeile bei der RZ-Administration überflüssig machen. Bild: Apstra

Moderne Angriffsvektoren basieren so gut wie immer auf Zugriffen aufs Active Directory (AD). Zu dessen Schutz kopiert die Lösung den kompletten Inhalt des Active Directorys auf einen eigenen Server und fügt dann dort hunderte oder tausende Fake-Einträge hinzu, beispielsweise nicht existierende User oder erfundene Server. Die eigentlichen AD-Informationen verändert die Schutzlösung nicht, sodass die Security-Spezialisten im Unternehmen ihre Kollegen aus dem IT-Betrieb nicht hochschrecken müssen.

Fragt ein Endgerät das AD ab, fängt ADProtect nach Auskunft von Greg Fitzgerald, Chief Marketing Officer von Javelin, die Anfrage per WMI (Windows Management Instrumentation) ab und antwortet dem Fragesteller mit den künstlich erzeugten AD-Angaben. Ein nicht infizierter Client greift aktiv nur auf existierende Nutzerkonten oder andere Clients zu. Ein Angreifer hingegen, der das Netzwerk erst einmal ausspähen und nach Zielen für den nächsten Schritt der Attacke durchforstet, greift auch auf die nicht existierenden Rechner und Nutzerkonten zu. Aus Sicht von Javelin ist dies ein untrügliches Zeichen für einen vorangegangenen erfolgreichen Angriff und somit Zeit für einen Alarm. Ob und wie Javelin auf herkömmlichen Clients die Anzeige nicht existierender Servern im Windows Explorer unterbindet, konnte Fitzgerald gegenüber LANline nicht erklären.

Kreditkarten per App schützen

Ein ganz anderes Schutzziel hat sich Ondot vorgenommen. Das junge Unternehmen will Kreditkarten schützen – indem es die Karte digitalisiert, aufs Smartphone packt und dann neben die weiterhin vorhandene physische Kreditkarte stellt. Kommt die echte Karte – oder eine gefälschte, auf Basis gestohlener Kartendaten erstellte Kreditkarte – zum Einsatz, fragt das im Backend der kartenausgebenden Bank verankerte Ondot-System den Standort der digitalen Karte ab.

Weichen Aufenthaltsort des Smartphones und des Point of Sale zu weit voneinander ab, unterbindet das Backend die Transaktion. Wie groß der Abstand sein darf, wollte Ondot-Gründer Rachna Ahlawat auf Rückfrage nicht verraten. Es dürften jedoch einige Straßenzüge sein, sodass ein Taschendieb in unmittelbarer Nähe des Opfers weiterhin shoppen könnte.

Nach Auskunft von Ahlawat soll seine Lösung die derzeit wirksamen Haftungsregelungen nicht verändern. Kunden bleiben also weiterhin vergleichsweise gut geschützt, wenn Kriminelle gestohlene Kartendaten einsetzen. Sinken soll jedoch die derzeit mit 50 Prozent sehr hohe Zahl aller falsch-negativen Zurückweisungen von Kartentransaktionen (False Negatives), da die Finanzinstitute nicht mehr mit vergleichsweise grobschlächtigen Betrugserkennungsmechanismen arbeiten müssen. Ondot ist laut Ahlawat das erste System im Authentifizierungsprozess, das die Transaktion sieht. Dadurch lasse sich der Einsatz der Karte per Smartphone-App beispielsweise auch auf bestimmte Verkaufsstellen einschränken: Eltern können Einkäufe in Tabak- oder Alkoholgeschäften unterbinden, Betreiber von Logistikunternehmen ihren Fahrern nur das Bezahlen von Sprit an Tankstellen erlauben.

Per App können Kreditkartenbesitzer mittels Ondot ihre physischen Karten sperren und deren Einsatz kontrollieren. Bild: Ondot

Auch Online-Einkäufe lassen sich absichern, indem der Kartenbesitzer nur einzelne Online-Händler zulässt. Würde ein Datendieb versuchen, gestohlene Kartendaten mit einem neuen Nutzerkonto oder einer anderen Lieferanschrift zu verwenden, dann könne Ondot auch dies erkennen und abfangen.

Smartphones schützen ohne Cloud-Dienst

Nicht die Karte, aber das zugrunde liegende Mobile-Betriebssystem – sprich: Google Android in allen derzeit gängigen Varianten – will Zimperium schützen. Anders als andere Anti-Malware-Lösungen benötigt der Zimperium-Client namens z9 aber keine Verbindung zum Mutterschiff in der Cloud oder rasch veraltende Signaturdateien, um bösartige Apps zu erkennen. Vielmehr soll die Software per Machine Learning direkt auf dem Endgerät in der Lage sein, Angriffe zu erkennen. Der Vorteil sei, dass die Erkennung unmittelbar erfolge könne, Man-in-the-Middle-Angriffe unmöglich seien und Unternehmen mit Datenschutzbedenken ebenfalls zugreifen können. Denn die fraglichen Dateien müssen das Endgerät nicht zu Analysezwecken verlassen.

Die Hinweise auf einen Angriff liefert laut Zimperium das Betriebssystem selbst: Tausende von Parametern erzeuge das System laufend. Durch das Auswerten dieser Paramater sei z9 in der Lage, auch bislang unbekannte Schadsoftware sowie bösartige Manipulationen des Betriebssystems zu erkennen.

Aufräumen im Speicherkeller

80 Prozent aller von Unternehmen gespeicherten Daten sind laut Mohit Aron, Gründer von Cohesity, im „Secondary Storage“ abgelegt. Zu diesen 80 Prozent gehört eine breite Palette von Daten: Backups, Archive, Test- und Entwicklungsdaten, Fileshares, die man nicht täglich benötigt, oder Analysedaten. Cohesity will diese bislang zumeist getrennten Datensilos in einer eigens für Secondary-Storage-Zwecke entwickelten hyperkonvergenten Umgebung zusammenfassen und so unter anderem riesige Mengen an Speicherplatz einsparen, indem es über alle Speicherarten hinweg dedupliziert. Laut Aron kopieren Unternehmen die Daten aus dem Secondary Storage bis zu zwölfmal, um sie für verschiedene Einsatzzwecke parat zu haben. Damit will Aron, der zu den Vätern des Google-File-Systems gehört, mit der von ihm entwickelten Plattform Schluss machen und so bis zu 80 Prozent der Gesamtbetriebskosten einsparen. Ein weiterer Vorteil der Vereinheitlichung sei eine unternehmensweite Suchmöglichkeit nach Daten.

Uli Ries ist freier IT-Journalist in Seefeld.