Die Durchsetzung von Policies
Rundum sicher im Firmennetz
Wirklich sicher ist ein Unternehmensnetz nur, wenn bei der Durchsetzung der internen Sicherheitsrichtlinien keine Lücken übersehen werden. Es gilt, ein paar typische Implementierungsfehler auszuschließen.
Firmennetze abzusichern war noch nie so kompliziert wie heute, denn noch nie existierte in den
Unternehmen eine derart bunte Mischung aus unterschiedlichen Geräten, Betriebssystemen und
Standards. Das ist kein Zufall und noch nicht einmal immer ungewollt, denn nach der Devise "Never
touch a running system" ist es für viele IT-Administratoren sinnvoll, diejenigen Anwendungen
unverändert zu belassen, die im täglichen Einsatz tadellos ihre Pflicht erfüllen.
Eine weitere neue Herausforderung sind alle mobilen Geräte: Außendienstmitarbeiter sind auf
Notebooks angewiesen, die per Internet jederzeit auf die Daten der Zentrale Zugriff haben.
Geschäftsleitung und Führungsstab nutzen Blackberry, Smartphone und andere Devices, um auch
unterwegs nicht vom Informationsfluss abgeschnitten zu sein.
Herausforderung durchgängige Policies
Auch in einer höchst heterogenen Umgebung müssen allerdings die Sicherheitsrichtlinien
durchgängig gelten. Sie müssen plattformunabhängig einen verlässlichen Schutz bieten und dabei
sowohl organisatorischen wie rechtlichen Anforderungen gerecht werden. Mobile Geräte, die sich "vor"
der Firewall befinden, müssen genauso sicher abgeschottet werden wie die stationären PCs "hinter"
der Firewall.
Nur wenige Anbieter von Sicherheitssoftware können diesem Anspruch tatsächlich gerecht werden,
denn in vielen Konzepten werden wichtige Faktoren nicht bedacht. Hier ist der Anwender gefragt, die
Angebote intensiv auf Vollständigkeit zu prüfen und auszuloten, ob sie zum Bedarf seines
Unternehmens wirklich passen.
Alle Systeme unter einem Dach
Das Hauptproblem: Auch in puncto Sicherheit startet kaum ein Unternehmen bei Null. Meist sind
auch hier bereits heterogene Systeme vorhanden, auf die nicht verzichtet werden kann oder soll.
Neue Lösungen mit erweiterten Funktionen und höherer Sicherheit sollten sich deshalb möglichst
nahtlos und ohne übermäßigen Aufwand in bestehende Systeme integrieren lassen. So muss eine
transparente Verschlüsselung der Datenträger beispielsweise mit aktuellen Virenscannern und
Defragmentierungs-Tools reibungslos zusammenarbeiten. Außerdem sollen bei Standardfunktionen wie
Single Sign-on Sicherheitsanwendungen wie beispielsweise Novell Logon oder IBM User Verification
Manager nicht in Mitleidenschaft gezogen werden. Ein System, das alle Sicherheitsbelange eines
Unternehmens abdeckt, muss außerdem auf einer Vielzahl von Plattformen stabil und sicher laufen
können. Dabei sind nicht nur die Win- dows-Betriebssystemvarianten wichtig, sondern auch Organizer
aller Art sowie mobile Speichermedien wie USB-Sticks und Speicherkarten. Nur wenn auch diese in das
Sicherheitskonzept integriert sind, lässt sich verhindern, dass auf derartigen Medien gespeicherte
Daten das Unternehmen unbemerkt verlassen. Intelligente Regeln legen zum Beispiel fest, welcher
Mitarbeiter welche Endgeräte mit seinem PC verbinden darf und welche Daten dort abgespeichert
werden dürfen. Im Gegensatz zu mechanisch blockierten USB-Ports oder starr formulierten Richtlinien
ermöglichen intelligente Regeln ein ungehindertes und motiviertes Arbeiten.
Eine relativ einfache Möglichkeit, die Sicherheit weiter auszubauen, besteht in der konsequenten
Nutzung von Sicherheitschips wie dem TPM-Chip. Dieser von der Trusted Computing Group entwickelte
Chip ist zwar in vielen Clients vorhanden, wird aber nur selten genutzt. Dabei könnte er problemlos
für die Sicherung der Verbindung zwischen Client und Administrationsserver oder für die Erzeugung
sicherer Schlüssel eingesetzt werden und so die Basis für verschlüsselte Verbindungen bieten.
Ausgereifte Lösungen nutzen den TPM-Chip beispielsweise, um verschlüsselte Festplatten an den Chip
zu binden. Dadurch wird das Logon auf eine Festplatte verhindert, wenn sie sich in einem fremden
Computer befindet – selbst dann, wenn ein Unbefugter das Kennwort kennt.
Damit der Anwender in solchen Fällen oder bei Hardwaredefekten nicht dauerhaft "ausgesperrt"
bleibt, sollten entsprechende Recovery-Funktionen zum Leistungsumfang der eingesetzten
Sicherheitslösung gehören.
Die Wahl der Verschlüsselung
Verschlüsselung gehört zu den Basissicherheitstechniken der Zukunft. Eine häufig unterschätzte
Sicherheitslücke ist die Wahl eines geeigneten Verschlüsselungsverfahrens. Nur durch die Verwendung
öffentlicher, standardisierter Verschlüsselungsalgorithmen ist maximale Sicherheit garantiert.
Ausschließlich öffentliche Algorithmen befinden sich in einem weltweiten Wettbewerb um Sicherheit
und Effizienz und können von Kryptografen überprüft werden. Der derzeitige Standard ist der
AES-Algorithmus mit einer Schlüssellänge von 128 oder 256 Bit. Aber auch Verfahren wie IDEA-128 und
3DES gelten als sicher und sind, was die Performance betrifft, für den Einsatz in Unternehmen
geeignet.
Schlüssel separat ablegen
Unumgänglich ist auch, dass die Schlüssel nicht einfach gemeinsam mit den Daten abgespeichert
werden, sondern aus den eingegebenen Authentisierungsdaten – wie etwa dem Passwort – dynamisch
errechnet werden. Zusätzlichen Schutz bietet ein Token, also zum Beispiel ein USB-Stick, der
während des Logins mit dem Gerät verbunden sein muss. So schützt sich der Mitarbeiter vor
ausgespähten Passwörtern.
Der beste Schutz nützt aber nichts, wenn das Token durch einfache Tricks "ausgehebelt" werden
kann. Bei den simplen Systemen genügt es oft schon, einfach von externen Medien wie einer CD oder
einem USB-Stick zu booten -und schon kann die Festplatte gezielt manipuliert werden. Nur Lösungen,
die Pre-Boot-Authentication bieten, sorgen dafür, dass erst nach Eingabe des Passworts der
kryptografische Schlüssel zur Verfügung steht, um den Rest der Festplatte zu entschlüsseln.
Notebooks im Visier der Datendiebe
Besonders Notebooks sind vor Angriffen und Diebstahl oft unzureichend geschützt. Sind sie erst
einmal in die Hände unbefugter Personen gefallen, bieten sie viele, meist leichte Einfalltore.
Mittels Booten über ein externes Medium wie CD oder USB-Stick lässt sich das Betriebssystem mitsamt
der Zugriffskontrolle deaktivieren. Diese Geräte können aber auch als Wirt für schädliche Programme
dienen, die in die Unternehmens-Infrastruktur eingeschleust werden und dann die Systemstabilität
beeinträchtigen.
Ein besonderer Schwachpunkt eines jeden Laptops ist der "Hibernation-Modus", in dem sich der
mobile Rechner befindet, wenn der Bildschirm zugeklappt wird und der "Suspend to Disk"-Vorgang von
Windows aus startet. Wenn die dabei angelegte Datei nicht ebenfalls verschlüsselt wird, ist es für
Angreifer ein Leichtes, an Schlüsselwerte oder sogar Passwörter zu kommen, die zuletzt in
Verwendung waren.
Häufig erlauben Unternehmen den privaten Einsatz von Notebooks. Viele Firmen verlangen in diesen
Fällen den Einsatz von zwei Partitionen: Eine für private, die andere für berufliche
Angelegenheiten. Eine integrierte Sicherheitslösung kennt auch dieses Anwendungsszenario und
liefert den passenden Boot-Manager gleich mit.
Komfort bieten statt gängeln
Die wichtigste Komponente eines integrierten IT-Sicherheitssystems ist der Faktor Mensch: Damit
eine Sicherheitssoftware im Unternehmen generell akzeptiert wird, muss für den Mitarbeiter vor
allem der Komfort stimmen. Ist die Lösung im täglichen Umgang nicht einfach zu bedienen, fühlen
sich die Anwender rasch gegängelt und lehnen den Einsatz der Software ab. Darum müssen die
Konfiguration und die Ausführung der Softwareprodukte für den Anwender so einfach wie nur irgend
möglich gehalten sein. So sollten die Einstellungen der Sicherheitsmechanismen vom Administrator
für den Benutzer unsichtbar getroffen werden, ohne dass Bildschirmdialoge mit den gewünschten
Sicherheitseinstellungen permanent stören. Die Ver- und Entschlüsselung der Daten muss nicht nur
unbemerkt, sondern auch ohne Performance-Einbußen erfolgen.
Ein weiterer wichtiger Punkt sind vergessene Passwörter. Auch wenn der Benutzer gerade unterwegs
ist und das Helpdesk nur telefonisch erreichen kann, darf es kein Problem sein, ein neues Passwort
zu bekommen. Ausgereifte Systeme arbeiten dabei mit Zahlencodes, die der Client generiert und über
die das Helpdesk ein neues Passwort erzeugen kann. Dieses Verfahren funktioniert natürlich auch mit
dem Token. Falls gewünscht, lässt sich der Vorgang sogar automatisieren, und das Helpdesk startet
den Vorgang nach einer biometrischen Spracherkennung.
Lücken beim Update schließen
Große Sicherheitslücken öffnen sich besonders dann, wenn es darum geht, Updates von
Betriebssystemen oder Anwendungen zu installieren – ironischerweise sind dafür oft gerade die
Sicherheits-Updates der verschiedenen Softwareanbieter verantwortlich.
In vielen Unternehmen funktioniert ein Update über den Wake-On-LAN-Modus. Dabei werden über
Nacht neue Versionen per Netzwerk eingespielt. Während dieser Zeit muss dafür gesorgt sein, dass
jedwede fremde Person am Rechner keinen Zugriff auf das System hat, um das automatische Booten über
Wake-On LAN nicht zum Ausspionieren von Daten ausnutzen zu können. Gerade professionelle
Industriespione ziehen unangemeldete Besuche in Firmengebäuden oft Hacking-Versuchen an der
Firewall vor.
Das Rundum-Sorglos-Paket
Eine ideale Lösung, die den dargestellten unterschiedlichen Anforderungen gerecht wird, besteht
aus verschiedenen Modulen, die die sehr komplexen und anspruchsvollen Aufgaben zu Verschlüsselung,
Zugriffsschutz, Sicherung von Backups und Updates sowie eine Vielzahl weiterer Aufgaben erfüllen.
Die Module sollten über ein einheitliches Management-Tool administriert werden können. Über diese
Reporting-Konsole kann der IT-Administrator auf einen Blick sehen, wo Schwachstellen bestehen und
welche Systeme ohne Probleme arbeiten. Administratoren bevorzugen dabei Lösungen, die sich in die
Betriebssystemarchitektur einfügen, indem sie zum Beispiel Policies über Group Policy Objects
(GPOs) definieren und vererben sowie die Infrastrukturinformationen aus dem Active Directory eines
Windows 2003 Servers oder auch X.509-Zertifikate einer existierenden PKI wieder verwenden.
Lesen Sie mehr zum Thema
