DeviceTrust mit Conditional-Access-Management
Sicherheit verteilter Endgeräte wahren
Der deutsche Security-Anbieter deviceTrust ermöglicht die Kontrolle von Remote-Rechnern wie etwa Home-Office-Notebooks auf Konformität mit den unternehmenseigenen Sicherheitsrichtlinien hin. Das Besondere daran: Dieses Condition-Monitoring erfolgt kontinuierlich, also nicht nur einmalig beim Login. Auf Basis der Analyse lassen sich Zugriffsrechte einschränken (Conditional Access), und dies auf Netzwerk-, Applikations- wie auch Geräteebene, zum Beispiel mittels USB-Port-Sperren.
DeviceTrusts gleichnamige Software erfasst den Security-Status unternehmenseigener wie auch privater, aber beruflich genutzter Endpunkte und setzt auf diesen Regelkonformität (Compliance) beim Zugriff auf Unternehmensressourcen durch. Damit ergänzt die Software Remote-Work-Lösungen wie jene von Amazon Web Services (AWS), Citrix, Microsoft oder VMware um kontinuierliche, kontextbasierte Sicherheitsfunktionalität.
Das Softwarehaus aus Darmstadt betont, zur Kontrolle der Endpunkte sei, anders als bei Nutzung von Windows Virtual Desktops, eine Aufnahme der Endgeräte in das Azure Active Directory nicht Voraussetzung. Man kann also zum Beispiel Microsofts Windows Virtual Desktops auch mit Privatgeräten (Bring Your Own Device, BYOD) nutzen. Die laufende Kontrolle sorgt laut Hersteller dafür, das die Software den Zugriff blockt, sobald zum Beispiel ein kritisches Update ansteht oder Windows Defender auf einen Virenbefall stößt.
Der Compliance-Check erfolgt nach der unternehmenseigenen Zugangskontrolle, die idealerweise eine Mehr-Faktor-Authentizierung beinhaltet, und umfasst mehrere Prüfungen: Verfügbarkeit des deviceTrust-Clients, Zugangsweg (Unternehmensnetz oder remote), Land (hier lassen sich Geofencing-Einschränkungen vorgeben, etwa: "nur aus dem Inland"), Netzwerksicherheit (zum Beispiel: "nicht über ungesichertes WLAN"), Nutzerprivilegien, Gerätestatus (Beispiel: "kein remote gesteuertes oder virtualisiertes Endgerät"), Eigentümerschaft (Unternehmens- oder Privatgerät) sowie Gerätesicherheit (Antivirenlösung aktuell, Firewall aktiv, Zertifikate gültig etc.). Je nach Einhaltung der Vorgaben gewährt oder verweigert die Software dem Endgerät dann den Zugriff auf die Unternehmensressourcen.
Ergänzend gibt es vergleichbare Kontrollmöglichkeiten auf Applikationsebene (Conditional Application Access). So könnte zum Beispiel eine Behörde den Fernzugriff der Mitarbeiter auf bestimmte Fachanwendungen unterbinden.
Beschränkungen können zudem das Endgerät selbst betreffen. Der klassische Fall: Das Anschließen von USB-Sticks ans Endgerät ist nur erlaubt, wenn die IT-Abteilung - per Zertifikat belegt - den Stick herausgegeben hat.
Der Administrator konfiguriert die Zugriffsrechte in einem grafischen Interface (siehe Bild oben). Dabei kann er die Folgeaktionen individuell vorgeben, bis hin zu den Pop-up-Texten, die der Anwender bei Genehmigung oder Verweigerung des Zugriffs sieht. Gleiches gilt für das Time-out-Zeitfenster beim Login.
DeviceTrust, gegründet 2016 und finanziert mit Mitteln des High-Tech-Gründerfonds (BMWi, KfW) und des Landes Hessen, betont, man liefere "Software Made in Germany" und halte dementsprechend die deutschen Datenschutzgesetze einschließlich DSGVO ein. Das Anwenderunternehmen installiert die Software lokal, laut deviceTrust werden keinerlei Metadaten nach außen - etwa in eine herstellereigene Cloud-Umgebung - übermittelt, wie bei manchen Security-Lösungen üblich. Das Anwenderunternehmen habe die volle Kontrolle, welche Metadaten es abfragen will und wo es sie speichert.
Welche Metadaten eine Reporting-Lösung erhält, lasse sich genau festlegen. Dadurch sei auch das Berichtswesen datenschutzkonform, so die Hessen.
DeviceTrust integriert sich in die Lösungen führenden Remote-Work-Anbieter einschließlich Microsoft (dank Partnerschaft mit FSLogix, die inzwischen zum Redmonder Konzern gehören). So greift die Software laut Herstellerangaben zum Beispiel die Metadaten von Endgeräten in einer Citrix-Umgebung ab, um die kontextbasierten Sicherheitsrichtlinien dann innerhalb dieser Umgebung anzuwenden. Die Verwaltung nutzt dazu die Active-Directory-Gruppenrichtlinien mittels Integration in Microsofts GPO-Management.
Die Lizenzierung der Software erfolgt pro Named User, eine Limiterung der Endgeräte pro Anwender gibt es nicht. Das Softwarehaus liefert Support zu den werktäglichen Arbeitsstunden, darüber hinausgehenden Support kann man hinzubuchen.
Weitere Informationen finden sich unter devicetrust.de.
Lesen Sie mehr zum Thema
