Kontextsensitive Security-Policies

Das richtige Maß an IT-Sicherheit

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

1. Berücksichtigung der Datenkategorie

Wenn ein Nutzer zum Beispiel mit seinem Tablet von unterwegs auf Daten im Firmennetzwerk zugreifen möchte, sollte in zwei Bereiche unterschieden werden. Zum einen ist es möglich, dass der Datenzugriff allgemein verfügbaren Daten wie der aktuellen Produktliste gilt, die zum Beispiel bereits auf der Webseite des Unternehmens veröffentlicht wurde. Zum anderen kann es sein, dass es sich um vertrauliche Daten wie ein neues Produktkonzept handelt.

Kontextsensitive Lösungen analysieren die Datenkategorie, auf die zugegriffen werden soll, und gewähren oder verweigern den Zugriff auf Basis der Security-Policies. Die dynamische Zugriffssteuerung von Windows Server 2012 oder HP ControlPoint zum Beispiel nehmen eine automatische Dateiklassifizierung vor und unterstützen die manuelle Einstufung des Schutzbedarfs verschiedener Datenarten.

Abhängig von dem Schutzbedarf werden so bei Windows Server die vertraulichen Dateien mittels Rights Management Services (RMS) verschlüsselt und können von Nutzern, die kein Recht zur Entschlüsselung erhalten, nicht eingesehen werden. Berechtigte Nutzer hingegen erhalten Zugriff auf die automatisch entschlüsselten Dateien.

Eine generelle Verschlüsselung aller Daten kann damit ebenso vermieden werden wie der unerlaubte Zugriff auf zu schützende Dateien. Auch der wenig praxisnahe Ansatz, generell den Datenzugriff von außen auf die Dateien zu erlauben oder zu blockieren, wird vermieden.

2. Unterscheidung Arbeitszeit und Privatnutzung

Webfilter-Dienste wie der Barracuda Web Security Service bieten die Möglichkeit, bestimmte Internetadressen uhrzeitabhängig zu erlauben oder zu blockieren.
Webfilter-Dienste wie der Barracuda Web Security Service bieten die Möglichkeit, bestimmte Internetadressen uhrzeitabhängig zu erlauben oder zu blockieren.
Foto: Barracuda Networks

Der Zugriff auf das Netzwerk kann auch abhängig gemacht werden von der jeweiligen Zugriffszeit. So kann es einem Nutzer während der Arbeitszeit erlaubt sein, auf einen bestimmten Server mit seinem Smartphone zuzugreifen. Nach Feierabend aber und am Wochenende soll es nicht erlaubt sein. Eine solche Regelung kann zum Beispiel bei ByoD-Programmen (Bring your own Device) oder der erlaubten Privatnutzung betrieblicher Geräte wichtig sein.

Möglich wird solch eine zeitabhängige Zugriffskontrolle unter anderem mit BeyondTrust PowerBroker Servers Enterprise. Mit dieser Lösung kann der Zugriff nach Datum, Uhrzeit oder Zeitspanne definiert und entsprechend erlaubt oder verboten werden. Webfilter-Lösungen wie Barracuda Web Security Service erlauben unter anderem die zeitabhängige Sperrung und Freigabe von Internetadressen und Online-Diensten für die Internetnutzer im Unternehmen.

Ein generelles Verbot würde in der Regel keinen Sinn geben, eine zeitlich unbefristete Zugriffserlaubnis aber ein mögliches Risiko darstellen. Mit einer kontextsensitiven Lösung lässt sich der Schutzbedarf genauer fassen, ohne dass die Produktivität leidet. Gefahren durch Serverzugriffe außerhalb der Arbeitszeit werden trotzdem verhindert beziehungsweise Zugriffe auf bestimmte private Online-Dienste während der Arbeitszeit blockiert.

3. Verschiedene Risiken der Anwendungen

Eine dynamische Risikobewertung und Zugriffskontrolle kann auch die unterschiedlichen Gefahren berücksichtigen, die von verschiedenen Anwendungen ausgehen: Eine generelle Blockade der Internetzugriffe eines Nutzers wird in den meisten Unternehmen kaum noch Sinn geben. Trotz der bekannten Online-Risiken werden die meisten Nutzer zu gewissen Zeiten einen Zugang zum Internet benötigen.

Deshalb sollte ein Unternehmen den Internetzugriff nicht nur auf der Ebene von Nutzern, Rollen oder Abteilungen regeln. Selbst für Nutzer und Abteilungen, die ständig Internetzugang benötigen, müssen nicht alle Internetangebote am Arbeitsplatz oder über betriebliche Geräte erreichbar sein.

Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung.
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung.
Foto: Barracuda Networks

So kann es aus Sicherheitsgründen sinnvoll sein, bestimmte soziale Netzwerke, Cloud-Speicherdienste sowie andere als riskant eingestufte Online-Dienste und -Anwendungen zu verbieten und technisch zu blockieren. Möglich ist dies zum Beispiel mit den Cisco ASA 5500-X Series Next-Generation Firewalls. Diese Art von Firewall unterstützt die Unterscheidung von mehr als 1000 gebräuchlichen Anwendungen und erlaubt jeweils die Definition von Regeln, welcher Nutzer mit welchem Gerät an welchem Ort eine bestimmte Anwendung nutzen darf oder nicht. Dazu werden neben den Anwendungen auch die aufgerufenen Internetadressen und die dazu genutzten Geräte analysiert, um dem Risiko entsprechend mit einer Blockade und einer Zugriffserlaubnis zu reagieren.

Eine Lösung wie Afore CypherX unterstützt applikations- und nutzerabhängige Policies zum Beispiel bei der Regelung des Zugriffs auf Cloud-Dienste. So wird bei dem Zugriff auf verschlüsselte Cloud-Daten insbesondere geprüft, ob der jeweilige Nutzer die Berechtigung dazu hat (Authorized User), eine zugelassene Maschine dafür nutzt (Validated Machine) und eine der dafür zertifizierte App (Certified Apps) verwendet. Erst dann werden die Cloud-Daten für den entsprechenden Zugriff entschlüsselt.

4. Eine Frage des Standortes

Ob ein Netzwerkzugriff ein besonderes Risiko darstellt oder nicht, kann auch von dem aktuellen Standort des Gerätes und damit des Nutzers abhängen. Geht das mobiles Gerät verloren oder wird es gestohlen, der Verlust ist aber noch nicht bekannt, kann es für die Netzwerksicherheit entscheidend sein, zwischen erlaubten und unerlaubten Standorten zu unterscheiden.

Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll.
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll.
Foto: F5 Networks

Findet in der Regel zum Beispiel von einem bestimmten Land aus kein Mitarbeiterzugriff statt, könnte ein entsprechender Zugriffsversuch bedeuten, dass ein Unbefugter das Gerät gestohlen hat und es nun für einen Angriff nutzen will. Oder aber die Privatnutzung eines Gerätes ist verboten, so dass alle Zugriffsversuche außerhalb der verschiedenen Unternehmensstandorte abgelehnt werden sollen.

In solchen Fällen hilft eine standortabhängige Zugriffskontrolle, die zum Beispiel die IP-Adresse (datenschutzgerecht) auswertet oder die GPS-Koordinaten (ebenfalls datenschutzgerecht) analysiert, die zu dem zugreifenden Gerät gehören. Möglich ist dies unter anderem mit Lösungen wie den Stonesoft Next Generation Firewalls oder mit dem Geolocation Agent der F5 Networks Big-IP APM Plattformen.

5. Sicherheitsbewertung der Geräte

Das Risiko eines Netzwerkzugriffs hängt auch davon ab, welches Gerät der Nutzer wählt. Dabei geht es nicht nur darum, ob es sich um ein zugelassenes Gerät, also zum Beispiel ein betriebliches Smartphone, handelt. Auch der aktuelle Sicherheitsstatus ist für die Risikobewertung entscheidet.

So macht es für das Netzwerkrisiko einen Unterschied, ob das Gerät mit einem aktuellen Betriebssystem versehen ist, die installierten Anwendungen keine bekannten Schwachstellen aufweisen und ob eine aktuelle, aktive Sicherheitslösung darauf läuft.

Eine Analyse des Gerätes und seines Sicherheitszustandes im Vergleich zu den internen Sicherheitsrichtlinien prüfen Lösungen wie Dell SonicWALL EPC, Trustwave Network Access Control oder NCP Network Access Control. Je nach Lösung werden Geräte, die nicht den Richtlinien entsprechen, nur von dem Netzwerkzugang ausgeschlossen oder aber der Nutzer erhält bereits Hinweise für Maßnahmen, damit das Gerät den Sicherheitsvorgaben entspricht und später zugreifen kann.

Fazit: Nicht übertreiben und nichts riskieren

Kontextsensitive Sicherheitslösungen helfen Unternehmen dabei, die Verhältnismäßigkeit bei der Datensicherheit zu wahren, ohne vermeidbare Risiken einzugehen. Damit schonen sie das IT-Budget, helfen bei der Mitarbeitermotivation für die IT-Sicherheit und sorgen für dynamische Sicherheitsrichtlinien anstelle von schnell veralteten, starren Sicherheitsmodellen.

Unternehmen sollten bei ihrer Lösungssuche die jeweiligen Parameter hinterfragen, die bei der Risikoanalyse berücksichtigt werden und dabei auch den Datenschutz für die Nutzer nicht vergessen. So sollen zum Beispiel die abgefragten Standortdaten bei der Risikobewertung helfen und nicht zu Bewegungsprofilen der Beschäftigten führen. Auch hier gilt der Grundsatz: Die IT-Sicherheit muss sich am Schutzzweck orientieren und das Verhältnis wahren, zwischen dem Recht auf Privatsphäre und der möglichst hohen Netzwerksicherheit.

Vergleichstabelle

Die folgende Tabelle gibt eine zusammenfassende Übersicht, welche Risikofaktoren bei kontextsensitiven Security-Lösungen ausgewertet werden, wie die unterschiedlichen Sicherheitsmaßnahmen aussehen und welche Lösungen zum Beispiel das entsprechende Konzept unterstützen.

Risikofaktor

Kontextsensitive Sicherheitsfunktion

Beispiellösung

Zugriff auf vertrauliche Daten

z.B. Verschlüsselung abhängig von der Datenkategorie

Windows Server 2012, HP ControlPoint

Zugriff außerhalb der Dienstzeit

Zeitabhängige Zugriffsregeln pro Nutzer

BeyondTrust PowerBroker

Zugriffe auf private Online-Dienste

Zeitabhängige Blockade während der Arbeitszeit

Barracuda Web Security Service

Zugriff auf verbotene Anwendungen

Blockade des Internetzugriffs abhängig von der genutzten Anwendung oder aufgerufenen Internetadresse

Cisco ASA Next-Generation Firewalls, gateprotect Appliance GPZ

Zugriff mit verbotenen Anwendungen

Entschlüsselung nur bei Verwendung erlaubter Anwendungen für den Dateizugriff

Afore CypherX

Zugriff von verbotenen Standorten

Zugriffskontrolle abhängig vom aktuellen Gerätestandort (IP-Adresse, GPS-Koordinaten)

Stonesoft Next Generation Firewalls, F5 Networks Big-IP APM Plattformen

Zugriff mit einem unsicheren Gerät

Zugriffskontrolle abhängig von dem aktuellen Gerätestatus verglichen mit den internen Sicherheitsrichtlinien

Trustwave Network Access Control, NCP Network Access Control, Dell SonicWALL End Point Control

(sh)

Zur Startseite