Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.08.2014 - 

Kontextsensitive Security-Policies

Das richtige Maß an IT-Sicherheit

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Dynamische Sicherheitslösungen werten Risiken aus, passen den Schutz an und vermeiden lückenhafte oder übertriebene Sicherheitsmaßnahmen.

Die Entwicklung und Umsetzung von IT-Sicherheitsrichtlinien, die zu den aktuellen IT-Risiken wirklich passen, bereiten vielen Unternehmen Probleme. Wie die PwC-Studie "Defending yesterday - Key findings from The Global State of Information Security Survey 2014" zeigt, befassen sich die Security-Policies oftmals noch mit den Sicherheitsrisiken vergangener Tage und gehen nicht auf die aktuellen Herausforderungen beispielsweise durch mobile Endgeräte ein. Zu einem ähnlichen Ergebnis kommen die Studie "Global Corporate IT Security Risks: 2013" von Kaspersky Lab oder die Untersuchung "Acronis 2013 Data Protection Trends Research".

Nicht zu viel und nicht zu wenig IT-Sicherheit

Ohne eine Ausrichtung der IT-Sicherheitsrichtlinien auf die jeweils aktuelle Bedrohungssituation besteht jedoch die Gefahr, dass die ergriffenen Sicherheitsmaßnahmen entweder lückenhaft oder aber überzogen sind.

Beides führt zu Schwachstellen in der Risikoabwehr: So belasten übertriebene Sicherheitsmaßnahmen das IT-Budget und senken die Akzeptanz bei den Nutzern, wenn beispielweise grundsätzlich eine Mehr-Faktor-Authentifizierung für die Netzwerkanmeldung vorgesehen wird. Umgekehrt können zu schwache Sicherheitsvorgaben dazu führen, dass Nutzer mit unsicheren, mobilen Endgeräten auf das Firmennetzwerk zugreifen.

Es kommt auf das richtige Maß an, wie unter anderem die gesetzlichen Datenschutzvorgaben betonen: Es sind nur die Maßnahmen gefordert, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen - nicht mehr und nicht weniger.

Kontextsensitive Security-Policies und Sicherheitslösungen sorgen für diese Verhältnismäßigkeit, indem sie bei der dynamischen Risikobewertung helfen. Die jeweils bereitgestellten Sicherheitsfunktionen hängen von den aktuellen Risiken ab und nicht von einer starren Voreinstellung. Im Folgenden sollen das Konzept der kontextsensitiven Security-Policies sowie entsprechende Sicherheitslösungen näher betrachtet werden.

Kontextsensitive Sicherheit: Auf das Umfeld kommt es an

Betrachtet man die Risiken, die zum Beispiel mit dem Netzwerkzugriff über mobile Endgeräte verbunden sind, ist es insbesondere die Einsatzsituation und das jeweilige Umfeld, die für die Bedrohung sorgen:

  • Smartphones und Tablets werden insbesondere für das Internet genutzt, aber nicht entsprechend geschützt. Dadurch könnten sie mit Malware infiziert werden und Schadprogramme ins Netzwerk einschleusen (Risiko durch unzureichende Sicherheitsausstattung).

  • Die mobilen Betriebssysteme und Anwendungen (Apps) werden nicht regelmäßig aktualisiert (Risiko durch veraltete Versionen).

  • Die Mobilgeräte werden unterwegs und an Orten ohne jede Zutrittskontrolle verwendet und können deshalb leichter verloren gehen oder gestohlen werden. Unbefugte könnten sie als Hintertür ins Netzwerk missbrauchen (Risiko durch Mobilität und mangelnde Zugangskontrolle).

  • Auf den Tablets und Smartphones werden auch geschäftsrelevante Daten genutzt, auf die aus der Ferne zugriffen wird. So können auch vertrauliche Daten in die Hände Unbefugter gelangen, wenn die mobilen Geräte unzureichend geschützt werden (Risiko durch Art der Datenzugriffe).

  • Die mobilen Endgeräte werden häufig sowohl privat als auch betrieblich genutzt und setzen so die betrieblichen Daten, Anwendungen und Netzwerke Gefahren aus, die innerhalb der Unternehmensumgebung nicht oder nicht in dem Ausmaß bestehen (Risiko durch Nutzer und Einsatzzweck).

Wie riskant der Netzwerkzugriff durch mobile Endgeräte oder andere IT-Systeme ist, hängt jeweils von bestimmten, sich ändernden Parametern ab: von dem jeweiligen Nutzer, dem genutzten Gerät, den betroffenen Datenkategorien, der gewählten Anwendung, der aktuellen Sicherheitsausstattung des Gerätes, dem Standort von Nutzer und Gerät, dem privaten und betrieblichen Einsatzzweck und damit verbundenen auch dem Zeitpunkt des Netzwerkzugriffs.

Kontextsensitive Sicherheitsrichtlinien und -lösungen bestimmen dynamisch die entsprechenden Risikoparameter, werten diese aus und fordern oder aktivieren automatisch passende Sicherheitsfunktionen. Auf dem Markt sind verschiedene kontextsensitive Lösungen verfügbar, die zeigen, wie mit unterschiedlichen Risikoparametern umgegangen werden kann. Mehr dazu auf der folgenden Seite.