Security als Teil des Systemmanagements
Eine Frage der Perspektive
Eine Vielzahl möglicher Fehler und Angriffe bedroht die Systeme. Es gilt, diese Bedrohungen zu analysieren und zu bekämpfen - am besten bevor sie auftreten. Dabei sollten Funktionen der Geräteabsicherung und Systemmanagementlösungen ineinander greifen.
Es gibt eine Vielzahl von Szenarien, in denen die Perimeterabsicherung des Netzwerks ebenso
wenig ausreichenden Schutz bietet wie die Installation von Viren-Scannern auf den Rechnern.
Beispielsweise umgehen Peer-to-Peer-Anwendungen Firewalls. Viele Anwender kümmern sich nicht um
regelmäßige Viren-Pattern-Updates oder deaktivieren Personal Firewalls auf Notebooks, weil sie
ihnen den Zugriff auf Webmail-Accounts verwehren. Benutzer können Gigabytes von Daten mit
Speichermedien an USB-Schnittstellen abzapfen, und von jedem USB-Stick aus lässt sich ein Notebook
rebooten und somit die Zugangssicherung umgehen.
Mangelnde Konfiguration als Sicherheitslücke
Ebenso bedrohlich wie Viren können nicht optimal eingestellte Konfigurationsparameter sein. Oft
laufen Dienste, die eigentlich nicht nötig sind und die Performance des Rechners beeinträchtigen.
Auch die Passwort- und Rechteeinstellungen jedes Systems sind kritisch: In der Praxis ist es immer
wieder erstaunlich, wie viele Benutzer auf ihren Systemen Administratorrechte besitzen. Sehr
wichtig sind auch die Sicherheitseinstellungen des Browsers, in der Regel des Internet Explorers.
Es gilt hier zunächst zu analysieren, worin Bedrohungen liegen könnten.
Dieses Wissen fließt in eine Sollkonfiguration ein, die als Referenzwert für jedes System gilt –
für PCs ebenso wie für Notebooks. Die Sollkonfiguration richtet sich nach dem Einsatzzweck des
Systems und der Gruppen- oder Rollenzugehörigkeit des Anwenders. Bei jeder Anmeldung eines Rechners
im Netzwerk ist automatisch zu prüfen, ob sein Status diesen Richtlinien gerecht wird. Jede
Abweichung muss einen Alarm auslösen.
Voraussetzung dafür ist die vollständige Kenntnis der tatsächlichen Situation auf allen Rechnern
im Netzwerk. Der erste Schritt besteht darin, jedes System im Netzwerk zu identifizieren. Zu
wissen, welche Geräte sich tatsächlich im Netzwerk befinden, ist bereits ein entscheidender Beitrag
zu mehr Sicherheit im Unternehmensnetz. Ausgereifte Systemmanagementlösungen verfügen dazu über
eine so genannte "Unmanaged Device Discovery" (Entdeckung nicht verwalteter Geräte). Damit erkennt
der Administrator an der Konsole sofort, wenn sich ein Computer oder ein Peripheriegerät mit
IP-Adresse im Netzwerk befindet, das bisher noch nicht erfasst war. Im nächsten Schritt ist es
notwendig, von jedem Rechner genau zu wissen, welchen Hard- und Softwareparametern er unterliegt
und wie er im Detail konfiguriert ist. Für diese Aufgabe kommt wiederum das Systemmanagement ins
Spiel. Regelmäßige Inventory-Scans gehören sozusagen zum Brot-und-Butter-Geschäft jeder
Systemmanagementlösung. Die Konfigurationsübersicht über Systeme hilft dabei, veröffentliche
Schwachstellen schnell auf Relevanz zu prüfen, die entsprechenden Rechner zu identifizieren und die
Sicherheitslücken zu schließen. Das gilt für Lücken, die sich durch Änderungen der Settings
schließen lassen, wie für das klassische Patchen der Systeme.
An die Analyse muss sich also die Aktion nahtlos anschließen. Es ist unpraktisch, mit einem Tool
Systeme zu analysieren und sich mit einem anderen auf die Systeme aufzuschalten, um die
Sollkonfiguration herzustellen. Neben unnötigem Administrations- und damit Zeitaufwand durch das
Wechseln der Konsolen spricht dagegen auch die Gefahr, dass die Tools nicht richtig miteinander
kommunizieren. Zudem sind die Daten für Analyse und Management unter Umständen in verschiedenen
Verzeichnissen abgelegt. Das macht das Gesamtsystem unnötig kompliziert und langsam – vom
zusätzlichen Einarbeitungs- und Schulungsaufwand für die Administratoren ganz abgesehen.
Eine weitere Problemquelle sind die Anwendungen. Welche ausführbaren Dateien (Executables)
laufen auf den Systemen und wie verhalten sie sich im Netzwerk? Welche dieser Anwendungen sind
tatsächlich notwendig, welche haben die Anwender installiert, ohne zu wissen, was sie unter
Umständen anrichten können?
Welche kamen im Gepäck von E-Mails und werkeln im Verborgenen? Die Grenzen zwischen
vergleichsweise harmlosen Downloads und Mal- oder Spyware sind fließend. Als Gegenmaßnahme
empfehlen sich Richtlinien dazu, welche Anwendungen auf einem Gerät laufen dürfen und welche nicht.
Dann fällt es der IT-Abteilung vergleichsweise leicht, unerwünschte Applikationen zu erkennen und
mit den geeigneten Tools zu entfernen. Dazu kann der Administrator vorab Listen nicht erwünschter
Anwendungen erstellen (Blacklists). Auf dieser Basis sorgen spezielle Überwachungslösungen für das
automatische Blockieren der Ausführung oder gar die Deinstallation der gesperrten Software.
Insbesondere das Problem der Spyware macht zunehmend von sich reden. Auch hier geht es zunächst
um das Erkennen der Programme, deren restlose Entfernung und die Wiederherstellung von Dateien und
Registry-Einträgen, die die Spyware verändert hat. Solche Programme versuchen immer wieder
selbsttätig, sich neu zu ins-tallieren, manchmal sogar unter neuem Namen. Entsprechende Tools
müssen genau dies verhindern.
Ausgangssperre
Als weiteres Sicherheitsrisiko gelten offene Schnittstellen eines PCs, zum Beispiel
USB-Schnittstellen. Sie bilden ein Ausfalltor für unkontrollierbaren Datentransfer zum Beispiel via
USB-Sticks und eine offene Schleuse für das Einfließen von Dateien, Programmen und Anwendungen, die
bei den Systemen im Netzwerk großen Schaden anrichten können. Per USB-Stick lassen sich binnen
Minuten vom Notebook wertvolle Unternehmensinformationen abziehen, zum Beispiel Auftragsdaten,
Produktspezifikationen von Prototypen, Angebote und Verträge. Auch beliebte Kleinstgeräte wie der
Ipod eignen sich als externe Festplatte.
Daher sollte es möglich sein, alle USB-Geräte zu sperren. Was bei PCs einfach ist, wird bei
Notebooks komplizierter: Maus und Tastatur bedient der Anwender zunehmend über die
USB-Schnittstelle, USB-Bluetooth-Adapter stellen die Verbindung zum Handy her, wenn man unterwegs
Internetanbindung benötigt, USB-Sticks mit Security-Clients dienen unter Umständen dem Verschluss
und der Freischaltung des Notebooks. Manche Port-Blocker lassen sich so konfigurieren, dass Ports
automatisch in Abhängigkeit vom Netzwerkstatus des Rechners deaktiviert sein können: Am
Arbeitsplatz mit fester Netzwerkverbindung funktionieren am Notebook nur USB-Maus und -Tastatur,
ohne aktive Netzwerkverbindung aber alle Gerätearten am USB-Port (siehe dazu Kasten "Port-Blocker
als Misstrauensvotum"). Umso wichtiger ist es, insbesondere diese Devices routinemäßig nach
Konfigurationsänderungen und anderen Gefahrenpotenzialen zu untersuchen, wenn sie sich ins
Unternehmensnetz einloggen.
In jüngster Zeit gibt es für die Absicherung des Netzwerkzugangs mehrere Industrie-Initiativen,
zum Beispiel NAC (Network Admission Control) zur Kontrolle des Netzwerkzugriffs über intelligente
Router und Switches. Gerade im Mittelstand dürfte dies aber zu manchen Problemen führen, weil ein
Mittelständler eben nicht komplett auf neues, NAC-fähiges Netzwerkequipment umsteigt, sondern
bereits vorhandene Infrastruktur ergänzt.
Neben diesem Hardwareansatz bestehen auch softwareseitige Implementierungen dieser so genannten "
IP-Quarantäne". Sie funktionieren auch für ältere Windows-Serverplattformen und ohne NAC-fähige
Netzwerkkomponenten. DHCP-basiert (Dynamic Host Configuration Protocol) scannen solche Lösungen
jedes Gerät, das sich am Netzwerk anmeldet, zunächst hinsichtlich Hard- und Softwareausstattung
sowie Konfigurationsparametern. Richtlinienkonforme Geräte lässt eine Quarantänelösung sofort
durch.
Fremde Geräte – also nicht gemanagte oder aber hauseigene, die nicht den Richtlinien entsprechen
– verweist die Software zunächst an einen Quarantäneserver weiter. Sofern möglich, bringt ein
Softwareverteilungsjob das Gerät in einen richtlinienkonformen Zustand. Dies schließt zum Beispiel
die Entfernung unerwünschter Programme wie Spyware oder Adware sowie die Aktualisierung des
Viren-Scanners ein. Erst nach diesen Eingriffen darf sich der Benutzer wieder in das Netzwerk
einklinken.
Lesen Sie mehr zum Thema
