Die meisten Unternehmen verfügen über eine dedizierte Lösung zum Schutz mobiler Geräte. MDM- oder EMM-Lösungen (Mobile-Device-Management, Enterprise-Mobility-Management) bieten zwar ein gewisses Maß an Sicherheit, können aber keine Informationen mit anderen Lösungen austauschen. Auch unterstützen nicht alle Endpunkte solche Lösungen – was insbesondere dann zum Problem wird, wenn Endanwender ihre Privatgeräte mit dem Unternehmensnetz verbinden (Bring Your Own Device, BYOD).

Die Mitarbeiter müssen heute mit Geräten ihrer Wahl arbeiten können, dabei ist Benutzerfreundlichkeit das A und O: Wenn ein Tool Funktionalität einschränkt, werden die Nutzer Wege finden, um diese Hemmnisse zu umgehen. Den IT-Abteilungen fällt vielfach die unangenehme Aufgabe zu, unbeliebte Lösungen auszuarbeiten, die vielleicht nicht einmal angemessenen Schutz gewährleisten. Die Sicherheit für mobile Geräte muss in die generelle Sicherheitsarchitektur integriert, gleichzeitig aber auch flexibel sein, damit die Angestellten von den Freiheiten profitieren können. Die meisten Unternehmen haben bereits eine Menge Sicherheits-Tools angesammelt. Natürlich hat auch die Absicherung mobiler Endpunkte in diesem riesigen Werkzeugkasten ihren Platz, und die IT-Abteilungen verbringen immer mehr Zeit damit, sich um diese Sicherheitslösungen zu kümmern. Mehr Tools erzeugen mehr Sicherheitswarnungen, und statt eines besseren Schutzes entsteht oft das Risiko, dass die vielen Informationen nicht mehr analysiert und richtig verarbeitet werden können. Die Fähigkeit zur Erkennung und Bearbeitung von Sicherheitsereignissen verschlechtert sich, und die IT-Abteilungen haben weniger Zeit, die wirklichen Bedrohungen anzugehen.

Per Next-Generation-NAC-Lösung kann die IT sämtliche Endgeräte ihrer Organisation von zentraler Stelle aus verwalten.

Per Next-Generation-NAC-Lösung kann die IT sämtliche Endgeräte ihrer Organisation von zentraler Stelle aus verwalten.

Um die Sicherheitsmaßnahmen an die Erfordernisse der heutigen Zeit anzupassen, schlägt Gartner ein Managed-Diversity-Modell vor [1]. Denn kontrollorientierte Ansätze der Vergangenheit, bei denen die IT Agenten auf den Endpunkten installierte, kommen an ihre Grenzen und können nicht mehr alle Geräte integrieren. Die traditionellen IT-Richtlinien sind zu starr und schränken die Produktivität der Mitarbeiter ein. Idealerweise sollten die IT-Teams deshalb über eine Reihe flexibler Richtlinien verfügen, die sie den Nutzern anbieten können. Gartner empfiehlt, für die Geräte drei Optionen zur Wahl zu stellen: voll verwaltet, teilweise verwaltet sowie besondere Sicherheitsansätze.

Voll verwaltete Geräte gehören allein dem Unternehmen, und die IT-Abteilung ist auch allein für deren Sicherheit und Support verantwortlich. Sie wählt das Gerät aus, und es wird in der Regel nur für Geschäftszwecke verwendet. Teilverwaltete Geräte hingegen eignen sich für Anwendungsfälle wie BYOD: Der Endanwender wählt das Gerät aus, wobei allerdings die IT-Abteilung die Wahlmöglichkeiten begrenzen kann. Die Verantwortung wird geteilt: Die IT-Abteilung ist nur für die unternehmenseigenen Inhalte auf dem Gerät verantwortlich; der Endnutzer trägt ein größeres Maß an Eigenverantwortung für den Support und die Sicherheit. Dafür kann er das Gerät auch für private Zwecke nutzen. Im Fall der „besonderen Ansätze“ schließlich wird nahezu die gesamte Verantwortung auf den Mitarbeiter übertragen. Diese Kategorie kann für IoT- (Internet of Things) oder andere vernetzte Spezialgeräte zum Einsatz kommen. Wichtig ist dabei, dass die IT-Organisation solche Endpunkte richtig erkennen und verwalten kann.

Die Grundidee ist dabei, die Beschäftigten in einem vernünftigen Maß an den Sicherheitsmaßnahmen zu beteiligen und gleichzeitig einen Rahmen zu schaffen, innerhalb dessen die Sicherheitsadministratoren mit granularen Richtlinien auf Ereignisse reagieren können. Staatliche Einrichtungen und Analysten bieten zwar bereits strategische Hilfestellungen, jedoch fehlen immer noch effektive Mechanismen zur Umsetzung dieser Empfehlungen in die Praxis.

Zurück in den grünen Bereich

Ein Ansatz zur Verringerung der Belastungen für die IT-Administratoren besteht darin, Richtlinien zu erstellen und umzusetzen, die auf gewonnenen Erkenntnissen zu sämtlichen Geräten im Netz aufbauen. Die Koordination und Ereignisbearbeitung lässt sich durch Einrichtung eines zentralen Response Centers realisieren, das auf Network Access Control (NAC) basiert.

Nicht geprüfte Geräte lassen sich gruppieren und regelbasiert blockieren. Bild: Forescout

Nicht geprüfte Geräte lassen sich gruppieren und regelbasiert blockieren.
Bild: Forescout

Dies ermöglicht den agentenfreien Schutz der angebundenen Geräte, ohne dass Zertifikate auszutauschen wären, um zwischen Freund und Feind zu unterscheiden. Vielmehr prüfen diese Techniken ein Gerät, das sich am Netz anzumelden versucht, automatisch auf die Einhaltung der Unternehmensrichtlinien, und beobachten sein Verhalten dann, so lange es mit dem Netz verbunden ist. Derlei Lösungen sind auch nicht ausschließlich auf den IEEE-Standard 802.1X oder reine MAC-Authentifizierung angewiesen, sondern unterstützen auch andere Authentifizierungsmechanismen wie Active Directory oder LDAP-Verzeichnissysteme.

Richtlinienbasierte Geräteregistrierung

Solche NAC-Lösungen sind nicht auf Ja/Nein-Entscheidungen beschränkt und verstehen, welches Ausmaß eine Regelverletzung hat. Automatisiertes, richtlinienbasiertes Enrollment (Geräteregistrierung) befähigt die Mitarbeiter, selbst die Verantwortung für ihre Handlungen und Geräte zu übernehmen. Gleichzeitig erlaubt es den Sicherheitsabteilungen aber auch, detaillierte Aktionen auszuführen und eine risikobasierte Segmentierung von Netzen vorzunehmen. Und das Monitoring ist mit dem Login noch nicht beendet: Die NAC-Lösung kann die Geräte periodisch sowie nach jeder neuen Zulassung im Netz neu überprüfen.

Ein Dashboard bietet dem IT-Leiter den Überblick über die Einhaltung von Compliance-Richtlinien. Bild: Forescout

Ein Dashboard bietet dem IT-Leiter den Überblick über die Einhaltung von Compliance-Richtlinien.
Bild: Forescout

Moderne Tools zur Netzwerkanalyse kommunizieren über Protokolle wie SNMP oder CLI mit Netzwerkgeräten wie Routern, Switches oder Wireless Access Points, um Informationen einzuholen oder Zugangsbeschränkungen zu realisieren – etwa mittels VLAN-Änderungen, Access Control Lists, Port-Sperrungen, virtuellen Firewalls oder WLAN-Blockade. Die Interaktion mit anderen Tools über Programmierschnittstellen (APIs) ermöglicht eine bidirektionale Anbindung, sodass bereits vorhandene Sicherheitslösungen Daten mit dem NAC-System austauschen können.

Fazit

Eine Ereignisbearbeitung auf Basis von Next-Generation NAC kann in manchen Fällen bestehende Sicherheitslösungen integrieren und koordinieren. Da diese Form zentralisierter Reaktion bessere Sicherheitserkenntnisse liefert, reduziert sie Fehlalarme und befähigt Administratoren, die richtigen Entscheidungen zu treffen.

Markus Auer ist Regional Sales Manager DACH bei Forescout Technologies ().