Network Access Control
Baustein für mehr mobile Sicherheit
Seit selbst Kaffeemaschinen und Uhren sich mit Unternehmensnetzen verbinden können, hat sich für IT-Administratoren das Blatt endgültig gewendet: Der Schutz der Funknetze ist schwieriger denn je, weil unterschiedlichste Geräte Zugriff auf das Netzwerk verlangen, um dessen Ressourcen zu nutzen. Die Tendenz zu BYOD- (Bring Your Own Device) und COPE-Ansätzen (Company-Owned, Personally Enabled) macht neue Sicherheitskonzepte noch dringender erforderlich, denn die Anzahl der Endgeräte erhöht sich dadurch weiter.
Funkzugang ist ein wichtiger Faktor, da er den Mitarbeitern mehr Flexibilität und größere Zufriedenheit am Arbeitsplatz verschafft und zu höherer Produktivität führen kann. Laut Gartner werden bis 2017 fast die Hälfte aller Unternehmen voraussetzen, dass ihre Mitarbeiter eigene Geräte zu beruflichen Zwecken nutzen. [1] Citrix zeigte in einer kürzlich durchgeführten Umfrage, dass bereits 54 Prozent aller IT-Abteilungen mit Mitarbeitern konfrontiert sind, die eigene Tablets in die Arbeit mitbringen. [2] Die Angestellten nehmen von Arbeitgebern angebotene Alternativen nicht unbedingt an, sofern sie ihren Bedürfnissen nicht ausreichend entsprechen.
Diese Entwicklung kann man als Modernisierung des Büroalltags betrachten. Angesichts aller damit verbundenen Vorteile ist es unwahrscheinlich, dass Unternehmen den Trend ignorieren können. Doch es gibt einen Haken: Da mobile Geräte schwieriger zu verwalten sind, müssen die Unternehmen ihre Strategien für mobile Sicherheit überdenken.
Neue Bedrohungslandschaft
Ein Problem, das mit diesem Trend einhergeht, ist der Verlust an Transparenz. Eine kürzlich von IDG durchgeführte Umfrage ergab, dass mehr als 60 Prozent aller Unternehmen unzureichenden Überblick über die Geräte haben, die mit ihrem Netzwerk verbunden sind. [3] Nicht nur sind diese Geräte unsichtbar, die IT-Abteilungen haben auch keinen Überblick mehr über deren Aktionen im Netzwerk. Das Corporate Executive Board konstatiert, dass 40 Prozent der IT-Aktivitäten nicht auf dem Schirm der Netzwerkadministratoren sind. [4] Für die IT-Sicherheits-Manager wird es damit immer schwieriger zu gewährleisten, dass mobile Geräte und virtuelle Rechner den Sicherheits- und Konfigurationsstandards entsprechen.
Es bedarf einer adaptiven Sicherheitsstrategie, die alle Vorgänge und Geräte in einem Netzwerk einbezieht und auf Angriffe vorbereitet ist. Eine solche Strategie muss die Belastung für IT-Sicherheitsexperten verringern, indem Aufgaben automatisiert werden. Sicherheits-Tools müssen auf Schwachstellen reagieren und Informationen austauschen können. Um der großen Vielfalt von Endpunkten gerecht zu werden, müssen sicherheitsrelevante Aktionen automatisch erfolgen, aber dennoch flexibel und schnell anpassbar sein, um die Durchsetzung granularer Richtlinien für verschiedene Benutzergruppen zu erlauben.
Die Security-Software sollte Nutzer und Prozesse auf Basis von unterschiedlichen Geräten, Standorten und Unternehmensposition individuell erkennen, um im Fall der Fälle einen digitalen Fingerabdruck konstruieren zu können. Selbst "unintelligente" Geräte wie Drucker, die nur einen kleinen Footprint haben, wollen integriert und verwaltet sein.
Aufrüstung für mobile Sicherheit
Eine effektive Methode für mobile Netzwerke besteht darin, die Regelkonformität von Geräten mittels NAC-Lösungen (Network Access Control) zu überprüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kritisiert in seinem Bericht "Die Lage der IT-Sicherheit in Deutschland 2014", dass vielfach keine Netzwerkzugangskontrolle zum Einsatz kommt, die "ausschließlich autorisierten dienstlichen Endgeräten den Zugang zum internen Netzwerk ermöglicht". [5]
Das BSI fokussierte in seinem Bericht auf die gesamte IT-Infrastruktur in Deutschland und deren Veränderungen in den letzten Jahren. Aktuelle NAC-Lösungen sind heute so ausgereift, dass sie zu einer grundlegenden Technik für mobile Sicherheit werden können: Sie benötigen keine Agenten und müssen keine Zertifikate austauschen, um zwischen Freund und Feind zu unterscheiden. Vielmehr kann NAC die Regelkonformität eines Geräts automatisch überprüfen, sobald dieses versucht, eine Verbindung zum Netzwerk herzustellen. Die meisten modernen Lösungen für Netzwerkanalysen können jede Verbindung validieren, ohne einen Client einzusetzen. Sie sind nicht auf den IEEE-Standard 802.1X beschränkt und unterstützen das Active Directory ebenso wie LDAP-Systeme.
Eine wichtige Fähigkeit ist die Zusammenarbeit mit vorhandenen Sicherheits-Tools und insbesondere mit MDM-Lösungen (Mobile-Device-Management). Containerisierung ist eine gute Möglichkeit, Unternehmensdaten zu schützen, ohne persönlichen Daten auf privaten Geräten durchleuchten zu müssen. Mittels einer Plattform für den Informationsaustausch lässt sich der Zustand eines Geräts detailliert überprüfen. Allerdings können MDM-Lösungen für sich allein nur diejenigen Geräte sehen, die bereits im System erfasst sind. Wenn ein nicht erfasstes mobiles Gerät den Sicherheitsrichtlinien des Unternehmens nicht entspricht, weil es zum Beispiel durch einen Jailbreak modifiziert oder kein Virenschutzprogramm installiert ist, kann MDM nicht verhindern, dass es Zugang zum Netzwerk erhält. Das Gerät wäre somit eine potenzielle Bedrohung. Neben MDM lassen sich auch andere Sicherheits-Tools wie etwa Port-Scanner oder Firewalls mit NAC integrieren.
Moderne NAC-Lösungen gehen über reine Ja/Nein-Entscheidungen hinaus und erkennen, wie stark die Regeln verletzt werden. Sie unterstützen richtlinienbasiertes Enrollment mit Self-Service-Provisionierung, helfen bei der Erfassung mobiler Geräte im Unternehmensnetz und ermitteln automatisch, was der Benutzer tun muss, bevor der Zugang gewährt wird. Falls benötigte Software nicht mehr aktuell ist, lässt sich ein automatisierter Heilungsprozess in Gang setzen. Das Monitoring endet nicht mit dem Login. Vielmehr überprüft die NAC-Software die Geräte in periodischen Abständen sowie nach jeder erneuten Verbindungsaufnahme.
Moderne Netzwerkanalyse-Tools kommunizieren über Netzwerkprotokolle wie SNMP oder eine Befehlszeilenschnittstelle mit Netzwerkgeräten. Damit können sie Informationen von Routern, Switches oder WLAN Access Points einholen oder Zugangsbeschränkungen realisieren, etwa mittels VLAN-Änderungen, Platzierung von Access-Control-Listen, Port-Blockaden, virtueller Firewalls oder WLAN-Blockaden. Die Interaktion mit anderen Werkzeugen über bereitgestellte Programmierschnittstellen (APIs) ermöglicht eine bidirektionale Anbindung, sodass bereits vorhandene Sicherheits-Tools mit dem NAC-System Daten austauschen können. Ebenso möglich ist eine Integration in SIEM-Systeme (Security-Information- und Event-Management), die eine NAC-Lösung nutzen kann, um Richtlinien umzusetzen.
Die Durchsetzung und Anpassung von Richtlinien erfordert wenig Aufwand. NAC ermöglicht eine zentrale Steuerung und gewährleistet so eine effiziente Implementierung und eine zuverlässige Durchsetzung der Richtlinien. Es ist nicht nötig, eine separate Abteilung für mobile Sicherheit zu schaffen: Die mobile Infrastruktur ist Teil der allgemeinen Unternehmensinfrastruktur.
Ein weiteres Argument für NAC ist die Einhaltung des Branchenstandards ISO 27001, der ein Rahmenwerk für die Kontrollen zur Einhaltung gesetzlicher Vorschriften in IT-Risiko-Management-Prozessen schafft. Analysen des Netzwerkzugangs helfen Unternehmen, diesem Standard gerecht zu werden.
Fazit
Mobile Computing gewinnt zunehmend an Bedeutung und bietet Unternehmen wie auch Mitarbeitern große Vorzüge, die diese sich nicht entgehen lassen können. Die Freiheiten und Vorteile, die sie eröffnen, verlangen jedoch nach einem Sicherheitskonzept, das es ermöglicht, die Unternehmensrichtlinien durchzusetzen, ohne die privaten Daten der Benutzer zu kontrollieren. Sicherheit für mobile Geräte ist dabei ein schmaler Grat, weil unverwaltete mobile Geräte zahlreiche Angriffsvektoren eröffnen und nur wenige Sicherheitsmechanismen existieren. NAC bietet Unternehmen ein Werkzeug, mit dem sie vorhandene Sicherheitslösungen von Drittanbietern besser nutzen und mobile Geräte überwachen können, ohne die persönlichen Daten ihrer Endanwender zu durchleuchten.
Lesen Sie mehr zum Thema
