Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

28.09.2005

Mehr Sicherheit dank Client-Kontrolle

Ed Metcalf 
Neue Gefahren zwingen die Unternehmen, ihre Security-Strategie zu überdenken. Dabei rückt der Schutz der Endgeräte stärker in den Mittelpunkt.

Unternehmen sehen sich derzeit mehreren Herausforderungen gegenübergestellt: Geschäftskritische Daten in entsprechenden Applikationen müssen nicht nur verfügbar, sondern auch vor unberechtigten Zugriffen geschützt sein. Trotz zahlreicher Lösungsansätze in der IT-Industrie stellen Entscheider sich weiterhin die Frage, ob ihre sensiblen Daten tatsächlich sicher sind. Denn die Abhängigkeit vom Internet für Geschäftsabläufe hat die Anforderungen an die IT-Security drastisch erhöht.

Fazit

Jedes Unternehmen sollte sich in Anbetracht der weiterhin rasant wachsenden Gefahr von Datenmissbrauch über den Begriff Endpoint Security Gedanken machen. Bei der Wahl unterschiedlicher Techniken beziehungsweise Produkte sind verschiedene Faktoren zu berücksichtigen, die sich mit den spezifischen Sicherheitsanforderungen im Unternehmen decken müssen. Somit ist eine reibungs- lose Ende-zu-Ende-Sicherheit über alle Arbeitsplätze auch von mobilen Mitarbeitern gewährleistet, ohne dass persönliche Einschränkungen oder Applikations-Hemmnisse in den Vordergrund treten. Vor allem die einfache Handhabung und die Management-Fähigkeit der Systeme sollten berücksichtigt werden. Daher empfiehlt sich langfristig der Einsatz kompletter Sicherheits-Suiten, die aufeinander abgestimmt sind.

Hier lesen Sie …

• welchen Gefahren IT-End- geräte derzeit ausgesetzt sind;

• wie der Ansatz einer Endpoint Security dazu beitragen kann, Clients zu schützen;

• welche Elemente Endpoint-Security-Lösungen umfassen;

• wie derartige Konzepte mit unsicheren Clients umgehen.

Die Erfahrungen der vergangenen Monate mit Viren, Würmern und Server-Attacken belegen, dass die Gefahren zunehmen. IT-Administratoren sehen sich im Bereich proaktives Risiko-Management mit neuen Herausforderungen konfrontiert. Netzangriffe treten häufiger auf, sind aggressiver und verteilen sich schneller auf Systemen als früher. Das rechtzeitige Aufspielen von aktuellsten Patches auf die Arbeitsplatzrechner ist nahezu unmöglich geworden und lässt zahlreiche Systeme für kurze Zeit immer wieder in ein Sicherheitsloch fallen. Zusätzlich sind Regulierungsanforderungen durch den Gesetzgeber zum Schutz von privaten oder integren Daten in Kraft getreten.

Lokaler Arbeitsplatz immer mehr im Brennpunkt

Durch moderne Hochgeschwindigkeitsnetze, die zunehmende Mobilität der Mitarbeiter sowie Zweigstellenanbindung ist der eigene Arbeitsplatz als Dreh- und Angelpunkt noch wichtiger geworden - und somit auch die Anforderungen der "Pflege" durch den IT-Verantwortlichen. Neben der Sicherheitsproblematik an verschiedenen Übergabepunkten auf Netzebene ist es daher nach wie vor sehr wichtig, das lokale System zu schützen. Hier liegen trotz der Verwaltung der meisten Inhalte über Server-Architekturen weiterhin noch wichtige Daten und erhöhen somit das Risiko eines Schadensfalls im Unternehmen.

Diese so genannte Endpoint Security am Desktop oder Notebook wird mittlerweile durch sehr viele Lösungen in Teilen angeboten. Und genau darin liegt das derzeitige Problem für Unternehmen: Ein ganzheitlicher Ansatz ist schwierig auszumachen. Beispielsweise kümmern sich Personal Firewalls und Intrusion-Prevention-Systeme um Netzwerkseitige Bedrohungen, Anti-Virus- und Anti-Spyware-Scanner um File-basierte Angriffe sowie Vulnerability-Management-Lösungen um das Erkennen von Sicherheitslücken auf nicht aktualisierten Endpunkt-Systemen.

Flexible Arbeitswelt sucht externen Unternehmenszugang

Ein anderes Problem liegt in der fortschreitenden Mobilität von Mitarbeitern. Werden Notebooks unterwegs oder zu Hause eingesetzt, sind Kontrollen wesentlich seltener möglich, und der Sicherheitsstatus der Geräte ist nicht immer zu gewährleisten. Die stark wachsende Zahl an mobilen Endgeräten erfordert außerdem sichere Zugangs- beziehungsweise Authentifizierungsmethoden für die Verbindung zum Server von außerhalb.

Heutzutage ist für Unternehmen eine dynamische Ausweitung ihrer Kommunikationswege auf strategische Geschäftspartner, Projektangestellte oder mobile Mitarbeiter unabdingbar. Alle diese Personen nutzen den Zugang zur Zentrale über einen Heim-PC, einen PDA oder ein Internet-Terminal. Bisher wird in der Regel der Zugang über Network Access Control abgewickelt. Das funktioniert zwar hinsichtlich der Person als solche beispielsweise über Authentifizierung, Authorisierung und Accounting (AAA), der Sicherheitsstatus des Systems bleibt dabei aber in der Regel im Ungewissen.

Auch die Art des Zugangs bietet noch keine endgültige Sicherheit. Am weitesten verbreitet sind derzeit Schutztechniken auf Netzebene wie Virtual Private Networks (VPNs) auf Basis von IPSec/IKE (Internet Key Exchange), Transport-Layer-Netzwerk-Clients wie SOCKS unter Nutzung der Secure Sockets Layer (SSL) sowie Dienste auf Applikations-Ebene über SSL wie zum Beispiel das aus gängigen Browsern bekannte HTTP (Hyper Text Transfer Protocol).

Jede dieser Technologien ist im Ansatz aus den Anforderungen der spezifischen Netzanbindungen gewachsen. Daher besitzen alle das Potenzial, den Bedürfnissen der Unternehmen im Bereich Remote Access zu entsprechen. Die Zugangskontrolle ist letztlich am wichtigsten, da Verschlüsselungstechniken zwar wirksam Datenprivatsphäre und Datenintegrität sichern können, aber keine Zugangsrechte. Nur weil ein Benutzer - unabhängig von der dabei eingesetzten Technik - eine sichere Verbindung zu einem Gateway herstellen kann bedeutet das nicht, dass er auch autorisiert ist, alle Ressourcen einzusehen.

Eine Fernzugriffslösung muss dem Administrator daher die Möglichkeit geben, den Zugang für adäquate Nutzung zu beschränken. Die Gefahr bei diesen VPN-Lösungen ist die mangelnde Sicherheit direkt auf dem Notebook oder PDA. An dieser Stelle setzen Hacker an, um komfortabel den direkten Weg durch den verschlüsselten Tunnel an der Unternehmens-Firewall vorbei zu nehmen. Daher ist es wichtig, dass die Lösungen zur Endpoint Security auf mobilen Endgeräten vorhanden und aktualisiert sind, die sich jedoch auch mit den klassischen Zugangsmethoden für externe Rechner am Unternehmensnetz ergänzen und verstehen müssen.

Der Gesamterfolg von Endpoint Security hängt also von der Integration und Abstimmung sämtlicher Einzellösungen aufeinander ab. Daher wird in diesem Zusammenhang oft der Begriff "Multi-Layer-Ansatz" verwendet. Nicht zuletzt dürfen die eingeleiteten Maßnahmen weder das Anwenderverhalten negativ beeinflussen noch gegen die Sicherheitsrichtlinien des Unternehmens verstoßen. Werden einzelne Sicherheitskomponenten voreilig ohne vorherige Analyse der Auswirkungen auf die bestehende Infrastruktur erworben, leiden unter Umständen sowohl die Bedienbarkeit als auch die Performance der geschäftskritischen Anwendungen.

Um den PC-Arbeitsplatz abzusichern, müssen allerdings auch die aktuellen Gefahren bestens bekannt sein. Heutige Bedrohungen sind facettenreicher als früher und richten auf lokalen Rechnern durch E-Mail-Anhänge, Exploits, Web-Browser, Spyware oder sogar durch Übertragung mit USB-Speichermedien Schäden an. Bei so genannten Multi-Vektor-Viren wie beispielsweise "Nimda" wurden E-Mails, Web-Server und Internet-Browser als Infektionsquelle genutzt. Auch Spyware wird, wie im Fall von VX2, immer diffiziler und installiert sich in immer kürzeren Zeitfenstern von zum Teil unter 30 Sekunden, um so Scannern zu entgehen. Obwohl manche Lösungen als Real-Time-Scanner angeboten werden, sind Intervalle von 30 bis 60 Sekunden Länge unbeobachtet.

Endpoint Security: Mix aus mehreren Bausteinen

Moderne Ansätze für eine gelungene Endpoint Security sollten immer nach dem Prinzip der "Best Practices" ausgerichtet sein. Dies beinhaltet beispielsweise Realtime-Prevention-Funktionen. Hier werden auf Kernel-Niveau sämtliche Applikationsmeldungen, die aufgrund einer Zuwiderhandlung gegen die Sicherheits-Policy des Servers auftauchen, sofort abgefangen und unterbunden. Ein anderer Baustein ist die Desktop Firewall, die alle Aspekte der Kommunikation zwischen dem lokalen System und der darunter liegenden Transportebene im Zweifelsfall verhindert. Dabei können sowohl der ganze Rechner als auch einzelne Anwendungen wie zum Beispiel das E-Mail-Programm abgebrochen werden.

Zuletzt werden von Endpoint-Security-Lösungen auch Verhaltensmuster beobachtet, um statt einer reaktiven eine proaktive Abwehr von Gefahren anzubieten. Diese integrierten Behavior-Technologien erlernen die Applikations-Anforderungen des Benutzers und sind dadurch nicht so leicht auszuhebeln wie rein auf Signaturen basierende Systeme.

Nach Meinung der Analysten von Forrester ("Forrester Wave Report", Juni 2005) werden in den kommenden zwei Jahren statt der Einzelprodukte immer häufiger Komplettsuiten ein- gesetzt. In der Studie wird unter anderem darauf hingewiesen, dass teilweise weniger als 30 Prozent der Unternehmen bisher Personal Firewalls oder Anti-Spyware-Produkte einsetzen. Die Unternehmen sollten also darauf achten, dass eine um- fassende Suite alle vier Säu- len zur Absicherung eines ein- zelnen Systems enthält: Anti- Virus, Anti-Spyware, Desktop Firewall und Host-Intrusion-Prevention.

Das Zusammenspiel dieser verschiedenen Softwarelösungen übernimmt dann in der Regel eine zentrale Management-Konsole oder ein Policy-Manager. Dadurch erhält der IT-Verantwortliche jederzeit einen Überblick über den Status der einzelnen Clients im Netz. Updates oder Patches können dann nach einem vorherigen kurzen Test über den Server innerhalb von Minuten auf alle Systeme aufgespielt werden.

Zusätzlich behält der IT-Verantwortliche die Kontrolle über die Sicherheits-Policy beziehungsweise die Anwenderrechte der einzelnen Systeme. In der Praxis wäre es nämlich wenig hilfreich, wenn der Client zwar eine eigene Firewall besitzt, diese aber falsch konfiguriert und somit offen für Angriffe ist. Dies gilt vor allem für die Notebooks der mobilen Angestellten. Hier lässt sich also zum Beispiel regeln, dass der VPN-Client für einen Fernzugriff nur dann einen Tunnel zum Unternehmen aufbaut, wenn die Konfiguration der Personal Firewall der Sicherheits-Policy des Unternehmens entspricht.

Werden trotzdem Systeme entdeckt, die entweder nicht den aktuellen Software-Patch erhalten haben, nicht über die neuesten Signaturen verfügen oder eine falsche Konfiguration aufweisen, werden diese Geräte unter Quarantäne gestellt und dem Policy-Manager gemeldet. Die Management-Konsole soll zusätzlich verhindern, dass beispielsweise bei Mitarbeiterfluktuation oder Urlaub ein einzelnes System "vergessen" wird und ohne aktuelle Updates bleibt. Mit einem Policy-Manager werden die Personalressourcen der IT-Abteilung geschont, und die Administratoren können sich beispielsweise mehr auf die Kontrolle der Netzwerkebene und der Gateways nach draußen konzentrieren.

Bei der letztendlichen Implementierung aller Elemente einer Endpoint-Security-Lösung in der Praxis befindet sich der IT-Verantwortliche auf einem schmalen Grat zwischen maximalem Schutz und gleichzeitiger Anwenderfreundlichkeit. Ein Unternehmen sollte eine umfassende und abgestufte Sicherheitsrichtlinie entwickeln, die sich auf alle Anwender übertragen lässt. Sollten einzelne Mitarbeiter zusätzliche Regelungen benötigen, können diese natürlich im Einzelfall ergänzt werden.

Problematisch können beispielsweise die immer beliebter werdenden externen USB-Speicher sein. Durch die große Speicherkapazität müssen diese Geräte in der Policy berücksichtigt werden, da ansonsten die Gefahr von Datendiebstahl oder Übertragung von schädlichen Dateien drohen kann. Moderne Endpoint-Security-Lösungen begrenzen die Erlaubnis für den Einsatz dieser USB-Speicher auf einzelne Systeme oder Arbeitsgruppen. Ein weiterer Angriffspunkt können POS-Terminals (Point of sales) sein. Diese bieten oftmals einen frei zugänglichen USB-Port und damit eine Angriffsfläche, die Hacker mit entsprechenden Keyloggern oder Trojanern auf einem USB-Stick ausnutzen können. Eine Einspeisung kann verheerende Folgen für das Terminal sowie alle weiteren im Netzwerk befindlichen Geräte haben.

Einzelne Mitarbeiter stärker in die Pflicht nehmen

Die Konsequenzen dieser abgestuften Sicherheits-Policy haben neben dem umfassenden Schutz noch einen positiven Nebeneffekt: Im Gegensatz zur allge- meinen Erwartungshaltung steigt die Freiheit für den einzelnen Anwender am lokalen PC. Früher musste das selbständige Aufspielen von Applikationen strikt untersagt werden und konnte nur mit Genehmigung des IT-Administratoren geschehen. Ist die Endpoint Security zusammen mit der Policy gut aufgesetzt, wird eine gewisse Eigenverantwortung am Arbeitsplatz möglich, ohne dass Gefahr für das Unternehmensnetz droht. (ave)