Vom Ende des typischen Firmen-PCs
Wer kommt womit über welchen Kanal?
Der Kampf gegen private Daten auf den Firmen-PCs ist ein Rückzugsgefecht. Nicht, weil die Angstmarketingstrategen im Sicherheitsmarkt doch noch einsehen würden, dass PCs als kreative Instrumente nicht in einen Werkzeugtopf mit Hämmern oder Bohrmaschinen gehören. Der Grund ist, dass Firmen selbst Kernaufgaben immer häufiger auf freie Mitarbeiter verlagern, die eigene Computer mitbringen. Dies ändert die Remote- Access-Anforderungen fundamental.
Vor zwei Jahren rief es noch Stirnrunzeln hervor, als ich Spezialisten nach einem
Sicherheitskonzept für ein Unternehmensnetz fragte, in dem die Clients Privateigentum der
Mitarbeiter seien. "Zu exotisch", hieß es. Dann allerdings führte ich ein Interview mit
Mitarbeitern der Rheinisch-Westfälischen Technischen Hochschule (RWTH) Aachen und erfuhr, dass man
solche Zustände dort schon längst als normal betrachtete – nicht jedem Gastwissenschaftler und
Mitarbeiter könne man schließlich einen PC aushändigen, meinten die Techniker dort, das sei einfach
zu teuer. Unsicher fühlte man sich in Aachen trotzdem nicht. SSL-Anbindung, Gästenetze,
Authentifizierung an heiklen Ressourcen und NAC-ähnliche Techniken samt Quarantäne oder streng
limitierte Webzugriffsumgebungen sorgten für eine stabile und geschützte Umgebung auch ohne Rechte
der Administratoren auf den Client-PCs.
Kunterbunt ist ganz normal
Inzwischen ist das "exotische? Element der nicht verwaltbaren Clients im Netz für viele
Sicherheitsspezialisten schon so selbstverständlich, dass sie nur noch über technische und
organisatorische Details des Umbruchs diskutieren. Anfang Februar etwa sprachen die
Cisco-Spezialisten John N. Stewart, CSO, Dave Goddard, Vice President of Security Intelligence, und
Maria Hatter, Senior Director of Security Solutions, in einer Web-TV-Übertragung über moderne
IT-Sicherheit und die damit verbundenen menschlichen Faktoren. Sie setzten die Existenz von
privaten Geräten im Firmennetz dabei bereits als normal voraus. Florian Malecki, EMEA Enterprise
and Product Marketing Manager bei Sonicwall, geht ebenfalls von einer Zunahme der Fremdsysteme in
den Netzen aus. Auch sein Unternehmen bietet folgerichtig Zugangstechniken an, die sich den
unterschiedlichsten Client-Systemen flexibel anpassen. Nicht überall spricht man von "NAC", aber
der Hype um dieses Konzept erfasst inzwischen fast alle Sicherheitsanbieter.
Die Lösung sind also "smartere" Netze und ebenso intelligente Authentifizierung und
Provisionierung im Remote-Access-Bereich. Ein Unternehmen muss heute bei jedem Fernzugriff wissen,
wer sich anmeldet, welches Gerät er dafür aktuell benutzt, in welchem sicherheitstechnischen
Zustand es sich befindet und über welche Verbindung die fragliche Person den Zugriff versucht. Das
Neue ist, dass jederzeit alle Kombinationen dieser Parameter denkbar sind und kein Parameter
einfach vorausgesetzt werden kann. Abgesehen von NAC wird hier vor allem eine risikoabhängige
Authentifizierungs- und Autorisierungstechnik eine Rolle spielen, wie sie zum Beispiel der
Hersteller Entrust schon seit Jahren beherrscht: Aus den bereits genannten Aspekten wird jedes Mal
neu ermittelt, ob man sich einerseits der Person sicher ist und andererseits Gerät und Leitung
trauen kann. Der Anwender erhält dann über ein Autorisierungssystem die passenden Rechte an den
Unternehmensressourcen. Nur wenn er unter den unterschiedlichsten Voraussetzungen immer noch das
tun kann, was für seine Arbeit nötig ist, hat die Technik ihren Zweck erfüllt.
Lesen Sie mehr zum Thema
