Keine umfassende Lösung in Sicht
Security-Konfiguration-Management-Produkte – sie helfen, bei Attacken nicht nur zu reagieren, sondern diese präventiv zu entschärfen. Hört sich gut an, doch allzu oft können die Lösungen nur online oder offline konfigurieren und verwalten.
Die meisten Security-Strategien sind reaktiv und konzentrieren sich lediglich auf die Implementierung von Verteidigungsmechanismen wie Antivirusfiltern oder Firewalls. Diese Abwehrtools können externe Attacken und »Malicious Codes« exzellent abwehren. Die Systemkonfigurationen schützen sie jedoch nicht.
Security-Konfiguration- Management-Lösungen hingegen liefern einen umfassenden Überblick über das Netz, die Systeme und ihre Konfiguration. Auf diese Weise wollen sie Eintrittspunkte prophylaktisch schließen und das Netz absichern. Dazu kombinieren sie mehrere Funktionen. Sie prüfen, welche Schwachstellen im Netz existieren. Sie klären, ob die konfigurierten Policies eingehalten sind. Sie prüfen den Patch-Status und verwalten die Reparaturdateien. Und sie informieren den Verantwortlichen, sobald sie in einer dieser Disziplinen Missstände entdecken. Die Anbieter solcher Lösungen versprechen, dass mit ihren Produkten Systeme, Server, Desktops und Laptops stets richtig konfiguriert sind – ganz gleich, wo und wie sie mit dem Netzwerk verbunden sind.
Integration notwendig
Lösungen führender Hersteller wie Altiris, Bindview und Landesk erkennen Schwachstellen auch über mehrere Plattformen hinweg. Doch die Schlüsselkomponenten des Security-Configuration-Managements – Schwachstellenerkennung, Konfigurationsmanagement, automatische Berichtigung sowie Unterstützung der Security- und Richtlinien-Standards – sind nur dann effizient, wenn sie in einem Produkt zusammengeführt sind.
Viele Organisationen weisen Security-Configuration-Management sowohl dem IT-Security- als auch dem IT-Operations-Team zu. Arbeiten diese Abteilungen eng zusammen, können sie Gefahren abwehren und die Anfälligkeit für Attacken senken. Spezielle Produkte, die dieser Aufspaltung Rechnung tragen, bieten Unternehmen einen Mehrwert. Dies gilt insbesondere dann, wenn Firmen bereits einige Komponenten für Security-Konfiguration-Management einsetzen. Ein separat arbeitendes Desktop-Operations-Team könnte so beispielsweise Windows-Desktops und die Microsoft-Group-Policy detailgenauer verwalten.
Die Frage nach dem Agenten
Die meisten Konfiguration-Management-Werkzeuge sind auf einen ständigen Software-Agenten angewiesen. Einige Hersteller behaupten, ihr Ansatz komme ohne Agenten aus oder basiere auf einem »Lightweight«-Agenten. Diese Konzepte sind nicht immer in der Lage, Bereiche zu verwalten, die offline arbeiten oder einer fremden Domain angehören. Die Agenten können auf diese Hosts außerhalb des Netzwerks nicht zugreifen. Dazu zählen Laptops, Highend-Engineering-Geräte oder Entwicklungs-Workstations. Wer diese entfernten Komponenten überprüfen möchte, müsste sie beispielsweise über ein Virtual-Private-Network an das Firmennetz koppeln.
Auf Agenten basierende Werkzeuge hingegen können ein System auch offline pflegen. Eine wichtige Bedingung, da die Zahl mobiler Endgeräte ständig wächst. Daher wird es immer wichtiger, Verhaltensrichtlinien und -maßnahmen (Policies) auch auf entfernten Systemen zu speichern. Allerdings schaffen diese Host-Agenten potenzielle Probleme. Es ist schwierig, weitere Software auf Produktionsserver oder anderen straff kontrollierten Systemen zu rechtfertigen.
Keine umfassende Lösung verfügbar
Unternehmen suchen Lösungen, die Online- und Offline-Nodes gleich gut beherrschen. Dazu ist ein zweigleisiger Ansatz nötig, der sowohl mit als auch ohne Agenten funktioniert. Die Produkte sollten agentenlose Tools für Datacenter-Systeme, Produktionsserver und andere zentralisierte Anlagen einsetzen. Auf Agenten basierende Werkzeuge sollten auf Desktops, Laptops und mobilen Endgeräten zum Einsatz kommen. Bedauerlicherweise bietet derzeit kein Hersteller ein vollfunktionales Werkzeug an. Es bleibt abzuwarten, ob die Anbieter die Notwendigkeit einer allumfassenden Lösung erkennen und künftig beides anbieten werden.
