DeviceTrust mit Conditional-Access-Management

Sicherheit verteilter Endgeräte wahren

03. April 2020, 13:44 Uhr   |  Von Dr. Wilhelm Greiner.

Sicherheit verteilter Endgeräte wahren

Der deutsche Security-Anbieter deviceTrust ermöglicht die Kontrolle von Remote-Rechnern wie etwa Home-Office-Notebooks auf Konformität mit den unternehmenseigenen Sicherheitsrichtlinien hin. Das Besondere daran: Dieses Condition-Monitoring erfolgt kontinuierlich, also nicht nur einmalig beim Login. Auf Basis der Analyse lassen sich Zugriffsrechte einschränken (Conditional Access), und dies auf Netzwerk-, Applikations- wie auch Geräteebene, zum Beispiel mittels USB-Port-Sperren.

DeviceTrusts gleichnamige Software erfasst den Security-Status unternehmenseigener wie auch privater, aber beruflich genutzter Endpunkte und setzt auf diesen Regelkonformität (Compliance) beim Zugriff auf Unternehmensressourcen durch. Damit ergänzt die Software Remote-Work-Lösungen wie jene von Amazon Web Services (AWS), Citrix, Microsoft oder VMware um kontinuierliche, kontextbasierte Sicherheitsfunktionalität.

Das Softwarehaus aus Darmstadt betont, zur Kontrolle der Endpunkte sei, anders als bei Nutzung von Windows Virtual Desktops, eine Aufnahme der Endgeräte in das Azure Active Directory nicht Voraussetzung. Man kann also zum Beispiel Microsofts Windows Virtual Desktops auch mit Privatgeräten (Bring Your Own Device, BYOD) nutzen. Die laufende Kontrolle sorgt laut Hersteller dafür, das die Software den Zugriff blockt, sobald zum Beispiel ein kritisches Update ansteht oder Windows Defender auf einen Virenbefall stößt.

Der Compliance-Check erfolgt nach der unternehmenseigenen Zugangskontrolle, die idealerweise eine Mehr-Faktor-Authentizierung beinhaltet, und umfasst mehrere Prüfungen: Verfügbarkeit des deviceTrust-Clients, Zugangsweg (Unternehmensnetz oder remote), Land (hier lassen sich Geofencing-Einschränkungen vorgeben, etwa: "nur aus dem Inland"), Netzwerksicherheit (zum Beispiel: "nicht über ungesichertes WLAN"), Nutzerprivilegien, Gerätestatus (Beispiel: "kein remote gesteuertes oder virtualisiertes Endgerät"), Eigentümerschaft (Unternehmens- oder Privatgerät) sowie Gerätesicherheit (Antivirenlösung aktuell, Firewall aktiv, Zertifikate gültig etc.). Je nach Einhaltung der Vorgaben gewährt oder verweigert die Software dem Endgerät dann den Zugriff auf die Unternehmensressourcen.

Ergänzend gibt es vergleichbare Kontrollmöglichkeiten auf Applikationsebene (Conditional Application Access). So könnte zum Beispiel eine Behörde den Fernzugriff der Mitarbeiter auf bestimmte Fachanwendungen unterbinden.

Beschränkungen können zudem das Endgerät selbst betreffen. Der klassische Fall: Das Anschließen von USB-Sticks ans Endgerät ist nur erlaubt, wenn die IT-Abteilung - per Zertifikat belegt - den Stick herausgegeben hat.

Der Administrator konfiguriert die Zugriffsrechte in einem grafischen Interface (siehe Bild oben). Dabei kann er die Folgeaktionen individuell vorgeben, bis hin zu den Pop-up-Texten, die der Anwender bei Genehmigung oder Verweigerung des Zugriffs sieht. Gleiches gilt für das Time-out-Zeitfenster beim Login.

200403 deviceTrust Bild 1
©

Aus der Zustandsanalyse des Endpunkts kann der Administrator automatisierte Aktionen ableiten und dafür Hinweisetexte für die Endanwender vorgeben. Bild: deviceTrust

DeviceTrust, gegründet 2016 und finanziert mit Mitteln des High-Tech-Gründerfonds (BMWi, KfW) und des Landes Hessen, betont, man liefere "Software Made in Germany" und halte dementsprechend die deutschen Datenschutzgesetze einschließlich DSGVO ein. Das Anwenderunternehmen installiert die Software lokal, laut deviceTrust werden keinerlei Metadaten nach außen - etwa in eine herstellereigene Cloud-Umgebung - übermittelt, wie bei manchen Security-Lösungen üblich. Das Anwenderunternehmen habe die volle Kontrolle, welche Metadaten es abfragen will und wo es sie speichert.

Welche Metadaten eine Reporting-Lösung erhält, lasse sich genau festlegen. Dadurch sei auch das Berichtswesen datenschutzkonform, so die Hessen.

DeviceTrust integriert sich in die Lösungen führenden Remote-Work-Anbieter einschließlich Microsoft (dank Partnerschaft mit FSLogix, die inzwischen zum Redmonder Konzern gehören). So greift die Software laut Herstellerangaben zum Beispiel die Metadaten von Endgeräten in einer Citrix-Umgebung ab, um die kontextbasierten Sicherheitsrichtlinien dann innerhalb dieser Umgebung anzuwenden. Die Verwaltung nutzt dazu die Active-Directory-Gruppenrichtlinien mittels Integration in Microsofts GPO-Management.

Die Lizenzierung der Software erfolgt pro Named User, eine Limiterung der Endgeräte pro Anwender gibt es nicht. Das Softwarehaus liefert Support zu den werktäglichen Arbeitsstunden, darüber hinausgehenden Support kann man hinzubuchen.

Weitere Informationen finden sich unter devicetrust.de.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Besserer Überblick über Sicherheitsvorkommnisse
BitSight: Konzernweites Management der Security-Performance 
Privileged-Access-Management als integriertes System

Verwandte Artikel

Client-Security

Device-Management

Zugriffskontrolle