Proaktiver Ansatz und Richtlinienmanagement
Zugangskontrolle ist ein Muss
Die meisten Menschen haben täglich mit der einen oder anderen Form von Zugangskontrolle zu tun: Der Zugang zu zahlreichen Einrichtungen und Services ist nur über Identitätsprüfungen oder Authentifizierung und Policy Compliance (Einhaltung von Richtlinien) möglich. Ein Unternehmensnetzwerk steht hier jedoch vor besonderen Herausforderungen.
Berücksichtigen muss ein Unternehmen zunächst unterschiedliche Betriebsplattformen, wie zum
Beispiel eine wachsende Anzahl und Vielfalt an mobilen Geräten. Der Benutzerzugriff muss von
verschiedenen Standorten und Netzwerken aus möglich sein – von frei zugänglichen drahtlosen
Hotspots bis hin zu SSL-VPNs (Secure Sockets Layer Virtual Private Networks). Gastanwender in der
Firmenzentrale müssen sich unter Umständen im internen LAN anmelden, um webbasierte
E-Mail-Anwendungen oder das Internet nutzen zu können.
Zudem gibt es unterschiedliche Zugriffsprotokolle. An einem einzigen Reisetag muss ein
Mitarbeiter möglicherweise Verbindungen über Trusted-, Semi-Trusted- und Untrusted-Netzwerke
herstellen und mit Zugangsanforderungen wie Web-SSO-Software (Web-Single-Sign-on), SSL-VPNs oder
lokalen Zugangskontrollanwendungen interagieren. Sobald er wieder im Büro ist, verbindet er sich
unter Umständen mit dem Unternehmensnetzwerk, ohne zu wissen, dass sein Gerät von einem Virus,
Wurm, Spyware oder sonstiger Malware infiziert wurde, während er unterwegs über ein
Untrusted-Netzwerk und weitere Zwischenstationen eine Verbindung zum Unternehmensnetz herstellen
musste, um bestimmte Anwendungen zu nutzen.
Risiken bei der Zugangskontrolle
Techniken für die Zugangskontrolle müssen zahlreiche Gefahren abwehren. Dazu zählen auch nicht
identifizierte Netzwerkobjekte: Mehr als drei Viertel der Unternehmen bieten bereits
Netzwerkzugriff für Nicht-Mitarbeiter, und in naher Zukunft wird dies allgemein üblich sein. Jedes
Gerät kann mit einem Virus, Wurm oder anderer Malware infiziert sein, die möglicherweise eine
ernsthafte Bedrohung für das Unternehmen darstellt.
Ungeschützte Endpunkte sind ein zusätzliches Risiko. Um ein Netzwerk zu schützen, muss ständig
und rechtzeitig dafür gesorgt sein, dass Patches implementiert und Schwachstellen repariert werden,
was bei einer steigenden Anzahl an Mobil- und Drittanbietergeräten mit Netzwerkzugriff zu einer
scheinbar unlösbaren Aufgabe wird. Automatisiertes Patch-Management sowie Sicherheitsrichtlinien
für spezifische Bereiche des Patch-Managements können hier Abhilfe schaffen.
Offene, ungeschützte Netzwerke sind anfällig für Angriffe, und obwohl die Zahl der Wurm- und
Virusangriffe in den letzten Jahren rückläufig war, befürchten Experten das Aufkommen von
schnellen, zerstörerischen "Superwürmern" der nächsten Generation. Ein unsicheres Benutzergerät,
das mit einem ungeschützten Firmennetzwerk verbunden ist, kann das ganze Netzwerk und die
Produktivität lahmlegen. Selbst Trusted-Benutzer mit verwalteten Geräten können eine Gefahr
darstellen, wenn sie Netzwerkressourcen durchsuchen und Schwachstellen nutzen, um in Bereiche
jenseits der Berechtigungen und Autorisierungsebenen ihres jeweiligen Aufgabengebiets
vorzudringen.
Zeit für Veränderung
Unternehmen und Organisationen behandeln Sicherheitsprobleme häufig erst, wenn diese auftreten:
Spam-Filter werden als Reaktion auf blockierte Netzwerke eingesetzt, Anti-Spyware als Lösung für
unerträglich langsame Mitarbeitergeräte. Mit diesem Ansatz werden notwendige Ausgaben lediglich
verzögert, wobei die Gefahr besteht, dass langfristig sogar größere Kosten entstehen. Zusätzlich
werden das Unternehmen samt Netzwerk und Anwendungen einem höheren Risiko ausgesetzt.
Reaktive Methoden sind für die Zugangskontrolle nicht geeignet, da kein 1:1-Zusammenhang
zwischen Problem und Lösung besteht: Es gibt keine spezifische negative Aktion, die eine bestimmte
Reaktion erfordern würde. Wenn es um die Kontrolle des Netzwerk- und Anwendungszugriffs geht,
müssen Unternehmen proaktiv vorgehen. Die Sicherung des Netzwerk- und Anwendungszugriffs hängt von
Identität, Gerätetyp, Netzwerkstandort, Tageszeit und vielem mehr ab. Mit einem proaktiven,
umfassenden Ansatz kann der sichere Netzwerkzugriff so konfiguriert werden, dass Zugangskontrolle,
Sicherheit und Unternehmensrichtlinien durch folgende Maßnahmen unterstützt werden:
Benutzeridentitäten und -rollen: Ein proaktiver, umfassender Ansatz für den
Netzwerkzugang kann die Zuordnung von Zugriffsentscheidungen zu Benutzerrollen oder
Geschäftsanforderungen beinhalten. Wenn beispielsweise ein CFO und ein externer Wirtschaftsprüfer
Zugriff auf Finanzsysteme benötigen, lässt sich regeln, dass der CFO vollen Zugriff erhält, während
dem externen Prüfer nur bestimmte Subnetze, IP-Adressen, Ports und Protokolle zugänglich sind.
Unternehmens- und Sicherheitsrichtlinien: Richtlinien, mit denen
nicht-infizierte Endpunkte definiert, Bedrohungen verwaltet und priorisiert und Regeln durchgesetzt
werden, sind für einen sicheren, umfassenden Netzwerkzugriff entscheidend. Realistische
Richtlinien, die auf Unternehmensanforderungen abgestimmt sind, bilden den Schlüssel zum Erfolg.
Einfach die Tür zu schließen – physisch oder elektronisch – und anzunehmen, dass dies zur Kontrolle
des Netzwerkzugangs ausreiche, ist heute kein brauchbarer Ansatz mehr.
Alternativen in der Durchsetzung: Auch die Durchsetzung muss an die Anwender,
Richtlinien und Netzwerktechnik angepasst sein. So sind auch für autorisierte Anwender
unterschiedliche Ebenen des Netzwerk- oder Anwendungszugriffs festzulegen, die davon abhängen, ob
sich der Benutzer zum Zeitpunkt des Zugriffs an seinem Schreibtisch oder an einem anderen Ort
innerhalb des Gebäudes oder Geländes befindet.
Zentrales Richtlinienmanagement
Unternehmen stehen vor einer doppelten Herausforderung: Sie müssen einerseits den Zugang zu
ihren Netzwerken sichern und kontrollieren sowie kritische Anwendungen und sensible Daten schützen;
andererseits müssen sie im Namen der Produktivität einer Vielzahl von Benutzern – bekannten
Trusted-Benutzern wie unbekannten Gastanwendern – über verwaltete, nicht verwaltete und nicht
verwaltbare Geräte rund um die Uhr und von jedem Ort aus möglichst umfassenden Zugriff auf Netzwerk
und Anwendungen bieten. Dieselben Unternehmen müssen Lösungen für kritische Themen wie Offshoring
und Outsourcing, Business Continuity und interne Bedrohungen finden. Zudem müssen sie sich mit
branchenspezifischen und gesetzlichen Bestimmungen und entsprechenden Prüfungen auseinandersetzen
und nachweisen, dass sie diese Vorschriften einhalten.
Die Entwicklung sicherer, umfassender und konsistenter Richtlinien für die Zugangskontrolle und
die unternehmensweite Durchsetzung dieser Richtlinien, unabhängig von der Netzwerkzugriffsmethode
(remote oder lokal), ist heute ein Muss für große Organisationen. Auf diese Weise kann der
Administrationsaufwand bei maximaler Effizienz sinken. Konfigurations- und Bereitstellungskosten
sowie Zeitaufwand und Komplexität nehmen ebenfalls ab, und die Benutzer erhalten zuverlässigen
Zugriff auf Ressourcen, was weitere Kosten spart und die Produktivität steigert.
Lesen Sie mehr zum Thema
