von Oliver Schonschek, freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Die Entwicklung und Umsetzung von IT-Sicherheitsrichtlinien, die zu den aktuellen IT-Risiken wirklich passen, bereiten vielen Unternehmen Probleme. Wie die PwC-Studie "Defending yesterday - Key findings from The Global State of Information Security Survey 2014" zeigt, befassen sich die Security-Policies oftmals noch mit den Sicherheitsrisiken vergangener Tage und gehen nicht auf die aktuellen Herausforderungen beispielsweise durch mobile Endgeräte ein. Zu einem ähnlichen Ergebnis kommen die Studie "Global Corporate IT Security Risks: 2013" von Kaspersky Lab oder die Untersuchung "Acronis 2013 Data Protection Trends Research".
Nicht zu viel und nicht zu wenig IT-Sicherheit
Ohne eine Ausrichtung der IT-Sicherheitsrichtlinien auf die jeweils aktuelle Bedrohungssituation besteht jedoch die Gefahr, dass die ergriffenen Sicherheitsmaßnahmen entweder lückenhaft oder aber überzogen sind.
Beides führt zu Schwachstellen in der Risikoabwehr: So belasten übertriebene Sicherheitsmaßnahmen das IT-Budget und senken die Akzeptanz bei den Nutzern, wenn beispielweise grundsätzlich eine Mehr-Faktor-Authentifizierung für die Netzwerkanmeldung vorgesehen wird. Umgekehrt können zu schwache Sicherheitsvorgaben dazu führen, dass Nutzer mit unsicheren, mobilen Endgeräten auf das Firmennetzwerk zugreifen.
Es kommt auf das richtige Maß an, wie unter anderem die gesetzlichen Datenschutzvorgaben betonen: Es sind nur die Maßnahmen gefordert, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen - nicht mehr und nicht weniger.
Kontextsensitive Security-Policies und Sicherheitslösungen sorgen für diese Verhältnismäßigkeit, indem sie bei der dynamischen Risikobewertung helfen. Die jeweils bereitgestellten Sicherheitsfunktionen hängen von den aktuellen Risiken ab und nicht von einer starren Voreinstellung. Im Folgenden sollen das Konzept der kontextsensitiven Security-Policies sowie entsprechende Sicherheitslösungen näher betrachtet werden.
- Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern. - Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind. - Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren. - Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren. - Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.
Kontextsensitive Sicherheit: Auf das Umfeld kommt es an
Betrachtet man die Risiken, die zum Beispiel mit dem Netzwerkzugriff über mobile Endgeräte verbunden sind, ist es insbesondere die Einsatzsituation und das jeweilige Umfeld, die für die Bedrohung sorgen:
-
Smartphones und Tablets werden insbesondere für das Internet genutzt, aber nicht entsprechend geschützt. Dadurch könnten sie mit Malware infiziert werden und Schadprogramme ins Netzwerk einschleusen (Risiko durch unzureichende Sicherheitsausstattung).
-
Die mobilen Betriebssysteme und Anwendungen (Apps) werden nicht regelmäßig aktualisiert (Risiko durch veraltete Versionen).
-
Die Mobilgeräte werden unterwegs und an Orten ohne jede Zutrittskontrolle verwendet und können deshalb leichter verloren gehen oder gestohlen werden. Unbefugte könnten sie als Hintertür ins Netzwerk missbrauchen (Risiko durch Mobilität und mangelnde Zugangskontrolle).
-
Auf den Tablets und Smartphones werden auch geschäftsrelevante Daten genutzt, auf die aus der Ferne zugriffen wird. So können auch vertrauliche Daten in die Hände Unbefugter gelangen, wenn die mobilen Geräte unzureichend geschützt werden (Risiko durch Art der Datenzugriffe).
-
Die mobilen Endgeräte werden häufig sowohl privat als auch betrieblich genutzt und setzen so die betrieblichen Daten, Anwendungen und Netzwerke Gefahren aus, die innerhalb der Unternehmensumgebung nicht oder nicht in dem Ausmaß bestehen (Risiko durch Nutzer und Einsatzzweck).
Wie riskant der Netzwerkzugriff durch mobile Endgeräte oder andere IT-Systeme ist, hängt jeweils von bestimmten, sich ändernden Parametern ab: von dem jeweiligen Nutzer, dem genutzten Gerät, den betroffenen Datenkategorien, der gewählten Anwendung, der aktuellen Sicherheitsausstattung des Gerätes, dem Standort von Nutzer und Gerät, dem privaten und betrieblichen Einsatzzweck und damit verbundenen auch dem Zeitpunkt des Netzwerkzugriffs.
Kontextsensitive Sicherheitsrichtlinien und -lösungen bestimmen dynamisch die entsprechenden Risikoparameter, werten diese aus und fordern oder aktivieren automatisch passende Sicherheitsfunktionen. Auf dem Markt sind verschiedene kontextsensitive Lösungen verfügbar, die zeigen, wie mit unterschiedlichen Risikoparametern umgegangen werden kann. Mehr dazu auf der folgenden Seite.