Ordnung statt Chaos
Beim jahrelangen Einsatz von Firewalls entstehen komplexe, oft nur in Excel verwaltete Regelwerke. Diese Listen sind schnell sehr unübersichtlich, besteht doch häufig eine Scheu, alte Regeln zu löschen. Stattdessen fügt man lieber neue Regeln hinzu, ohne zu prüfen, ob vorhandene Rules nutzbar wären. Das Resultat ist eine stets wachsende Komplexität und ein zu weit gefasster Zugang zu den Netzwerkressourcen. Dies widerspricht letztlich dem Sinn einer Firewall und gefährdet die Sicherheit nachhaltig.In den meisten Installationen gewähren Administratoren zu großzügigen Netzwerkzugang, wenn auch unbeabsichtigt. Die Hauptgründe sind ineffektives Change-Management, schlechte Definition der Geschäftsanforderungen und das Fehlen einer "Alterungsstrategie". Dabei nehmen die Systemverwalter unnötige Veränderungen auf verschiedenste Weise vor: teils ohne zu überprüfen, wie man sie am besten in die bestehenden Richtlinien integrieren kann, teils auch ohne potenzielle Risiken hinreichend abzuschätzen. Risikoquelle Informationsmangel Administratoren sehen sich hohen Anforderungen ausgesetzt: Veränderungen, beispielsweise neue Benutzer, sind schnell zu implementieren, oft basierend auf einer allgemeinen Anfrage wie: "Bitte Zugang zum Server von meinem Netzwerk bereitstellen!" Solche Anweisungen enthalten nicht genug Informationen, um eine adäquate Richtlinie zu erstellen, die nur den tatsächlich benötigten Zugang gestattet. Zu welchem Teil des Netzwerks braucht der Anwender tatsächlich Zugang? Welche Services sind nötig, um den Zugang zu ermöglichen? Das Resultat fehlender Informationen sind häufig zu weitreichende Zugangsrechte. So werden Richtlinien zumeist mit "Any"-Objekten erstellt, um so zeitnah Zugang zu gewähren und die Business-Anforderungen zu erfüllen. Zudem haben zwar die meisten Unternehmen Prozesse zum Erstellen und Hinzufügen von Richtlinien etabliert, doch verfügen die wenigsten über Strategien, wie man nicht mehr benötigte Rules entfernt. In der Praxis lassen si
