IAMstatt Netzabschottung
Kein Ärger mit Zugriffsrechten
Agenturen, Gäste, Heimarbeiter und mobile Außendienstler - für Systemverwalter ist die Sicherung des Zugriffs auf Unternehmensressourcen aufwändiger geworden. Und weil die alten Zeiten nicht zurückkommen werden, sollte sich die Security-Planung lieber gleich an der heterogenen Wirklichkeit orientieren.
Die wirtschaftliche Realität jenseits der Netze wirkt sich zurzeit mehr denn je auf die Arbeit
der die Administratoren aus: Outsourcing, der fortschreitende Ersatz fest angestellter Arbeitnehmer
durch freie Vertragspartner, die zunehmende Mobilität der festen Belegschaft und die
Selbstverständlichkeit, mit der Gäste in einem Unternehmen dort Zugriff auf Internet und eigene
E-Mail-Konten fordern, wirken sich direkt auf die Technik aus. Die genannten Aspekte erfordern
nämlich professionelles Identity- und Access-Management (IAM) zusammen mit den passenden
Sicherheitsmaßnahmen und Richtlinien für die Benutzung der Unternehmenssysteme. Viele
Unternehmensinfrastrukturen allerdings halten da nicht mit, denn sie sind noch immer auf
Perimetersicherheit ausgerichtet, gehen also davon aus, dass man zwischen einer "bösen" Außen- und
einer "guten" Innenwelt einfach eine undurchlässige Grenze ziehen muss. Auch die
Systemverantwortlichen haben noch längst nicht in jedem Fall erkannt, welche Dimensionen der Wandel
der IT-Nutzung in den Organisationen angenommen hat.
Access Management sytematisieren
"Wir haben doch gar kein Access-Control-Problem", bekam Anton Grashion, Security Strategist EMEA
bei Juniper Networks, einmal während eines Kundenbesuches zu hören, "aber können Sie uns etwas
anbieten, dass die Gäste im Konferenzraum Internetzugriff bekommen, ohne dass sie an unsere
Unternehmensdaten herankommen?"
Juniper Networks ist nur einer der vielen Anbieter, die derzeit verstärkt für integrierte
Access-Managementlösungen werben. Auf der Netzwerkseite ist Cisco NAC im Spiel, und fast alle
Anbieter von Remote-Access-, Authentifizierungs- und Autorisierungslösungen engagieren sich
ebenfalls für entsprechende Modelle. CA veröffentlichte Anfang November eine eigene
Sicherheitsstudie, die die zentrale Rolle des Identitäts- und Zugriffsmanagements in den
Sicherheitskonzepten der Zukunft belegen soll. Der laut CA bei den befragten Unternehmen
überwiegend durchaus vorhandenen Erkenntnis, dass unsichere Kennwörter, nicht gelöschte
Benutzerkonten ehemaliger Mitarbeiter und nicht konsistente Zugriffsberechtigungen zu den größten
Risiken in den Unternehmen gehören, entspricht aber fast allen aktuellen Studien zufolge nicht
unbedingt ein entsprechendes Investitionsverhalten. Möglicherweise liegt dies auch daran, dass die
Sicherheitsverantwortlichen befürchten, zur Lösung der Probleme in komplexe, teure, langwierig zu
implementierende Systeme investieren müssen. Vielleicht aus diesem Grund vermeiden es einige
Berater und Anbieter nach Regeln der Kunst, zusammen mit Zugriffsmanagement den Oberbegriff
Identitätsmanagement auch nur zu erwähnen – er schreckt zu sehr ab. Nur wenige Hersteller wie das
amerikanische Unternehmen Infoblox, das unter anderem verteilte, unterbrechungsfrei laufende
Infrastrukturen für DNS- und Radius-Dienste entwickelt, gehen die Problematik offensiv an und
sprechen von den "identitätsgetriebenen" Netzen der Zukunft, bei denen die Flut an Anwender-,
Device- und Protokolldaten neue Strukturierungsansätze erfordere. Große Firmen mit eigener
IT-Abteilung wagen sich zwar sehr wohl an eine Verbesserung des Access-Managements heran,
implementieren die entsprechenden Lösungen aber nach Auskunft von Anton Grashion selten gleich
unternehmensweit: "Man fängt meist mit Niederlassungen an und erprobt dort die Systeme", weiß der
Sicherheitsspezialist zu berichten.
Die Kriterien, nach denen eine Access-Management-Lösung evaluiert werden sollte, sind zwar
tatsächlich vielschichtig, lassen sich aber sehr problemlos systematisiert zusammenfassen. Der
erste Punkt ist, dass der Anwender vor allem bei den Zugriffsrichtlinien für End-User von
vornherein davon ausgehen sollte, den Zugriff jeder Art von Client geregelt bewältigen zu müssen:
Feste Geräte, die sich einem bestimmten Büro und gegebenenfalls einem bestimmten Anwender zuordnen
lassen, mobile PCs, die sich abwechselnd intern und extern einloggen, und völlig fremde Geräte von
Gästen oder temporären Mitarbeitern. In allen Fällen müssen dabei nicht nur die Identität des
Geräts und seines Benutzers festgestellt werden, sondern auch der Sicherheitsstatus des Computers,
der auf das Netz zugreifen will: Sind Personal Firewall und Virenschutz aktiv und auf dem neuesten
Stand und stimmen die Patch Level der wichtigsten Softwareprodukte auf dem Gerät? Eventuell muss
auch noch festgestellt werden, ob unerlaubt neue Software installiert wurde oder ob eine
unerwünschte zusätzliche Netzwerkverbindung besteht. Standard ist inzwischen, Computer mit Mängeln
in ein Quarantänenetz umzuleiten, das den Zugriff auf die nötigen Tools und Updates anbietet, um
möglichst ohne Zutun des Administrators den Rechner wieder in einen richtlinienkonformen Zustand zu
bringen.
Fremdenfreundliche Netzwerkstruktur
Nicht auf jedes System im Netz dürfen der Administrator oder seine Tools überhaupt zugreifen.
Der Lieblingssatz vieler Administratoren beim Durchsetzen restriktiver Richtlinien für die Computer
der Mitarbeiter, dass deren PC ja schließlich dem Unternehmen gehöre und kein Privateigentum des
Anwenders sei, läuft immer häufiger ins Leere, weil früher intern vergebene Positionen auch von
Freiberuflern übernommen werden. Diese wiederum bringen tatsächlich ihre eigenen Geräte mit,
wodurch der Auftraggeber zusätzlich Kosten spart. Sie dürfen deshalb aber auch darauf bestehen, die
volle Souveränität im Umgang mit ihrem Arbeitsgerät zu wahren.
Neben den rechtlichen Problemen existieren technische, die zum Beispiel eine konsequente
Installation von Remote-Access- und Überwachungssoftware auf den Clients verhindern. Ungewöhnliche
Betriebssysteme oder Hardware, etwa bei mobilen Multifunktionsgeräten, können der Installation
solcher Module entgegenstehen. Access-Management-Lösungen sollten daher in der Lage sein, sowohl
mit eigener Client-Software zu arbeiten als auch ohne. Dazu müssen die Systeme flexibel genug sein,
jedem Gerätestatus und dem damit verbundenen Risiko passende Zugriffsrechte und
Authentifizierungsmechanismen zuzuordnen. Ausgefeilte Produkte treiben die Risikoabhängigkeit ihrer
Maßnahmen noch weiter und ermitteln beispielsweise die Geo-Position des zugreifenden Geräts oder
überprüfen, ob ein bekannter Mitarbeiter auch das ihm zugeordnete Firmengerät benutzt oder
womöglich im Internetcafé sitzt. Solche Fähigkeiten kommen auch der Produktivität zugute, denn sie
ermöglichen es, einen Mitarbeiter, der sein Notebook im eigenen Büro anschließt, nicht mit gleich
aufwändigen Anmeldeprozeduren zu behelligen wie bei einen Zugriff aus einem unsicheren
Flughafen-WLAN heraus.
Als Standards die, bei Access-Management-Systemen zu beachten sind, ist neben IEEE 802.1X für
WLAN-Authentifizierung in Zukunft wahrscheinlich das Modell von Trusted Network Connect von
Bedeutung, einer Untergruppe der Trusted Computing Group, die sich um eine herstellerunabhängige
Norm zur Feststellung des Sicherheitsstatus auf einem Endgerät kümmert. Das Trusted Platform Module
in Endgeräten lässt sich sowohl zu einer genaueren Identifizierung einzelner Systeme heranziehen,
als dies anhand der MAC-Adressen möglich ist, als auch zur Durchsetzung von Veränderungssperren für
Hard- und Software.
Neben den Geräten werden die Aktionen der Anwender immer häufiger überwacht und auf
Auffälligkeiten hin untersucht. Nachweispflichten, wie sie sich aus dem Gesetz zur Kontrolle und
Transparenz im Unternehmensbereich (KonTraG) und dem Bundesdatenschutzgesetzes (BDSG) ergeben,
veranlassen Unternehmen dazu, nicht nur die Zugriffe auf einzelne Ressourcen genau zu dokumentieren
– womit gleichzeitig ein weiterer Plichtfunktionsbereich moderner Access-Management-Systeme genannt
wäre – als auch in möglichst allen Kommunikationsprotokollen im Netzwerk nach
Datenverkehrsanomalien und Anzeichen für Attacken zu suchen. Hier findet das Prinzip der
Betrugsanalyse, das man aus dem Bereich der Finanzonlinedienste schon kennt, Eingang in den
internen IT-Betrieb der Unternehmen. Weil neben der Pflicht zur Überwachung aber ebenso konsequent
die Datenschutzrechte der Mitarbeiter zu beachten sind, kommen die Repositories für die
Protokolldaten nicht ohne Verschlüsselung und ein besonderes Zugriffsmanagement aus, das nach dem
Vieraugenprinzip funktioniert.
Lesen Sie mehr zum Thema
