Kontextsensitive Security-Policies

Das richtige Maß an IT-Sicherheit

10.12.2015 von Oliver Schonschek
Dynamische Sicherheitslösungen werten Risiken aus, passen den Schutz an und vermeiden lückenhafte oder übertriebene Sicherheitsmaßnahmen.

Die Entwicklung und Umsetzung von IT-Sicherheitsrichtlinien, die zu den aktuellen IT-Risiken wirklich passen, bereiten vielen Unternehmen Probleme. Wie die PwC-Studie "Defending yesterday - Key findings from The Global State of Information Security Survey 2014" zeigt, befassen sich die Security-Policies oftmals noch mit den Sicherheitsrisiken vergangener Tage und gehen nicht auf die aktuellen Herausforderungen beispielsweise durch mobile Endgeräte ein. Zu einem ähnlichen Ergebnis kommen die Studie "Global Corporate IT Security Risks: 2013" von Kaspersky Lab oder die Untersuchung "Acronis 2013 Data Protection Trends Research".

Nicht zu viel und nicht zu wenig IT-Sicherheit

Ohne eine Ausrichtung der IT-Sicherheitsrichtlinien auf die jeweils aktuelle Bedrohungssituation besteht jedoch die Gefahr, dass die ergriffenen Sicherheitsmaßnahmen entweder lückenhaft oder aber überzogen sind.

Beides führt zu Schwachstellen in der Risikoabwehr: So belasten übertriebene Sicherheitsmaßnahmen das IT-Budget und senken die Akzeptanz bei den Nutzern, wenn beispielweise grundsätzlich eine Mehr-Faktor-Authentifizierung für die Netzwerkanmeldung vorgesehen wird. Umgekehrt können zu schwache Sicherheitsvorgaben dazu führen, dass Nutzer mit unsicheren, mobilen Endgeräten auf das Firmennetzwerk zugreifen.

Es kommt auf das richtige Maß an, wie unter anderem die gesetzlichen Datenschutzvorgaben betonen: Es sind nur die Maßnahmen gefordert, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen - nicht mehr und nicht weniger.

Kontextsensitive Security-Policies und Sicherheitslösungen sorgen für diese Verhältnismäßigkeit, indem sie bei der dynamischen Risikobewertung helfen. Die jeweils bereitgestellten Sicherheitsfunktionen hängen von den aktuellen Risiken ab und nicht von einer starren Voreinstellung. Im Folgenden sollen das Konzept der kontextsensitiven Security-Policies sowie entsprechende Sicherheitslösungen näher betrachtet werden.

Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern.
Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind.
Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren.
Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren.
Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.

Kontextsensitive Sicherheit: Auf das Umfeld kommt es an

Betrachtet man die Risiken, die zum Beispiel mit dem Netzwerkzugriff über mobile Endgeräte verbunden sind, ist es insbesondere die Einsatzsituation und das jeweilige Umfeld, die für die Bedrohung sorgen:

Wie riskant der Netzwerkzugriff durch mobile Endgeräte oder andere IT-Systeme ist, hängt jeweils von bestimmten, sich ändernden Parametern ab: von dem jeweiligen Nutzer, dem genutzten Gerät, den betroffenen Datenkategorien, der gewählten Anwendung, der aktuellen Sicherheitsausstattung des Gerätes, dem Standort von Nutzer und Gerät, dem privaten und betrieblichen Einsatzzweck und damit verbundenen auch dem Zeitpunkt des Netzwerkzugriffs.

Kontextsensitive Sicherheitsrichtlinien und -lösungen bestimmen dynamisch die entsprechenden Risikoparameter, werten diese aus und fordern oder aktivieren automatisch passende Sicherheitsfunktionen. Auf dem Markt sind verschiedene kontextsensitive Lösungen verfügbar, die zeigen, wie mit unterschiedlichen Risikoparametern umgegangen werden kann. Mehr dazu auf der folgenden Seite.

1. Berücksichtigung der Datenkategorie

Wenn ein Nutzer zum Beispiel mit seinem Tablet von unterwegs auf Daten im Firmennetzwerk zugreifen möchte, sollte in zwei Bereiche unterschieden werden. Zum einen ist es möglich, dass der Datenzugriff allgemein verfügbaren Daten wie der aktuellen Produktliste gilt, die zum Beispiel bereits auf der Webseite des Unternehmens veröffentlicht wurde. Zum anderen kann es sein, dass es sich um vertrauliche Daten wie ein neues Produktkonzept handelt.

Kontextsensitive Lösungen analysieren die Datenkategorie, auf die zugegriffen werden soll, und gewähren oder verweigern den Zugriff auf Basis der Security-Policies. Die dynamische Zugriffssteuerung von Windows Server 2012 oder HP ControlPoint zum Beispiel nehmen eine automatische Dateiklassifizierung vor und unterstützen die manuelle Einstufung des Schutzbedarfs verschiedener Datenarten.

Abhängig von dem Schutzbedarf werden so bei Windows Server die vertraulichen Dateien mittels Rights Management Services (RMS) verschlüsselt und können von Nutzern, die kein Recht zur Entschlüsselung erhalten, nicht eingesehen werden. Berechtigte Nutzer hingegen erhalten Zugriff auf die automatisch entschlüsselten Dateien.

Eine generelle Verschlüsselung aller Daten kann damit ebenso vermieden werden wie der unerlaubte Zugriff auf zu schützende Dateien. Auch der wenig praxisnahe Ansatz, generell den Datenzugriff von außen auf die Dateien zu erlauben oder zu blockieren, wird vermieden.

2. Unterscheidung Arbeitszeit und Privatnutzung

Webfilter-Dienste wie der Barracuda Web Security Service bieten die Möglichkeit, bestimmte Internetadressen uhrzeitabhängig zu erlauben oder zu blockieren.
Foto: Barracuda Networks

Der Zugriff auf das Netzwerk kann auch abhängig gemacht werden von der jeweiligen Zugriffszeit. So kann es einem Nutzer während der Arbeitszeit erlaubt sein, auf einen bestimmten Server mit seinem Smartphone zuzugreifen. Nach Feierabend aber und am Wochenende soll es nicht erlaubt sein. Eine solche Regelung kann zum Beispiel bei ByoD-Programmen (Bring your own Device) oder der erlaubten Privatnutzung betrieblicher Geräte wichtig sein.

Möglich wird solch eine zeitabhängige Zugriffskontrolle unter anderem mit BeyondTrust PowerBroker Servers Enterprise. Mit dieser Lösung kann der Zugriff nach Datum, Uhrzeit oder Zeitspanne definiert und entsprechend erlaubt oder verboten werden. Webfilter-Lösungen wie Barracuda Web Security Service erlauben unter anderem die zeitabhängige Sperrung und Freigabe von Internetadressen und Online-Diensten für die Internetnutzer im Unternehmen.

Ein generelles Verbot würde in der Regel keinen Sinn geben, eine zeitlich unbefristete Zugriffserlaubnis aber ein mögliches Risiko darstellen. Mit einer kontextsensitiven Lösung lässt sich der Schutzbedarf genauer fassen, ohne dass die Produktivität leidet. Gefahren durch Serverzugriffe außerhalb der Arbeitszeit werden trotzdem verhindert beziehungsweise Zugriffe auf bestimmte private Online-Dienste während der Arbeitszeit blockiert.

3. Verschiedene Risiken der Anwendungen

Eine dynamische Risikobewertung und Zugriffskontrolle kann auch die unterschiedlichen Gefahren berücksichtigen, die von verschiedenen Anwendungen ausgehen: Eine generelle Blockade der Internetzugriffe eines Nutzers wird in den meisten Unternehmen kaum noch Sinn geben. Trotz der bekannten Online-Risiken werden die meisten Nutzer zu gewissen Zeiten einen Zugang zum Internet benötigen.

Deshalb sollte ein Unternehmen den Internetzugriff nicht nur auf der Ebene von Nutzern, Rollen oder Abteilungen regeln. Selbst für Nutzer und Abteilungen, die ständig Internetzugang benötigen, müssen nicht alle Internetangebote am Arbeitsplatz oder über betriebliche Geräte erreichbar sein.

Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung.
Foto: Barracuda Networks

So kann es aus Sicherheitsgründen sinnvoll sein, bestimmte soziale Netzwerke, Cloud-Speicherdienste sowie andere als riskant eingestufte Online-Dienste und -Anwendungen zu verbieten und technisch zu blockieren. Möglich ist dies zum Beispiel mit den Cisco ASA 5500-X Series Next-Generation Firewalls. Diese Art von Firewall unterstützt die Unterscheidung von mehr als 1000 gebräuchlichen Anwendungen und erlaubt jeweils die Definition von Regeln, welcher Nutzer mit welchem Gerät an welchem Ort eine bestimmte Anwendung nutzen darf oder nicht. Dazu werden neben den Anwendungen auch die aufgerufenen Internetadressen und die dazu genutzten Geräte analysiert, um dem Risiko entsprechend mit einer Blockade und einer Zugriffserlaubnis zu reagieren.

Verschiedene Lösungen auf dem Markt unterstützen applikations- und nutzerabhängige Policies zum Beispiel bei der Regelung des Zugriffs auf Cloud-Dienste. So wird bei dem Zugriff auf verschlüsselte Cloud-Daten insbesondere geprüft, ob der jeweilige Nutzer die Berechtigung dazu hat (Authorized User), eine zugelassene Maschine dafür nutzt (Validated Machine) und eine der dafür zertifizierte App (Certified Apps) verwendet. Erst dann werden die Cloud-Daten für den entsprechenden Zugriff entschlüsselt.

4. Eine Frage des Standortes

Ob ein Netzwerkzugriff ein besonderes Risiko darstellt oder nicht, kann auch von dem aktuellen Standort des Gerätes und damit des Nutzers abhängen. Geht das mobiles Gerät verloren oder wird es gestohlen, der Verlust ist aber noch nicht bekannt, kann es für die Netzwerksicherheit entscheidend sein, zwischen erlaubten und unerlaubten Standorten zu unterscheiden.

Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll.
Foto: F5 Networks

Findet in der Regel zum Beispiel von einem bestimmten Land aus kein Mitarbeiterzugriff statt, könnte ein entsprechender Zugriffsversuch bedeuten, dass ein Unbefugter das Gerät gestohlen hat und es nun für einen Angriff nutzen will. Oder aber die Privatnutzung eines Gerätes ist verboten, so dass alle Zugriffsversuche außerhalb der verschiedenen Unternehmensstandorte abgelehnt werden sollen.

In solchen Fällen hilft eine standortabhängige Zugriffskontrolle, die zum Beispiel die IP-Adresse (datenschutzgerecht) auswertet oder die GPS-Koordinaten (ebenfalls datenschutzgerecht) analysiert, die zu dem zugreifenden Gerät gehören. Möglich ist dies unter anderem mit Lösungen wie den McAfee Next Generation Firewalls oder mit dem Geolocation Agent der F5 Networks Big-IP APM Plattformen.

5. Sicherheitsbewertung der Geräte

Das Risiko eines Netzwerkzugriffs hängt auch davon ab, welches Gerät der Nutzer wählt. Dabei geht es nicht nur darum, ob es sich um ein zugelassenes Gerät, also zum Beispiel ein betriebliches Smartphone, handelt. Auch der aktuelle Sicherheitsstatus ist für die Risikobewertung entscheidet.

So macht es für das Netzwerkrisiko einen Unterschied, ob das Gerät mit einem aktuellen Betriebssystem versehen ist, die installierten Anwendungen keine bekannten Schwachstellen aufweisen und ob eine aktuelle, aktive Sicherheitslösung darauf läuft.

Eine Analyse des Gerätes und seines Sicherheitszustandes im Vergleich zu den internen Sicherheitsrichtlinien prüfen Lösungen wie Dell SonicWALL EPC, Trustwave Network Access Control oder NCP Network Access Control. Je nach Lösung werden Geräte, die nicht den Richtlinien entsprechen, nur von dem Netzwerkzugang ausgeschlossen oder aber der Nutzer erhält bereits Hinweise für Maßnahmen, damit das Gerät den Sicherheitsvorgaben entspricht und später zugreifen kann.

Fazit: Nicht übertreiben und nichts riskieren

Kontextsensitive Sicherheitslösungen helfen Unternehmen dabei, die Verhältnismäßigkeit bei der Datensicherheit zu wahren, ohne vermeidbare Risiken einzugehen. Damit schonen sie das IT-Budget, helfen bei der Mitarbeitermotivation für die IT-Sicherheit und sorgen für dynamische Sicherheitsrichtlinien anstelle von schnell veralteten, starren Sicherheitsmodellen.

Unternehmen sollten bei ihrer Lösungssuche die jeweiligen Parameter hinterfragen, die bei der Risikoanalyse berücksichtigt werden und dabei auch den Datenschutz für die Nutzer nicht vergessen. So sollen zum Beispiel die abgefragten Standortdaten bei der Risikobewertung helfen und nicht zu Bewegungsprofilen der Beschäftigten führen. Auch hier gilt der Grundsatz: Die IT-Sicherheit muss sich am Schutzzweck orientieren und das Verhältnis wahren, zwischen dem Recht auf Privatsphäre und der möglichst hohen Netzwerksicherheit.

Vergleichstabelle

Die folgende Tabelle gibt eine zusammenfassende Übersicht, welche Risikofaktoren bei kontextsensitiven Security-Lösungen ausgewertet werden, wie die unterschiedlichen Sicherheitsmaßnahmen aussehen und welche Lösungen zum Beispiel das entsprechende Konzept unterstützen.

Risikofaktor

Kontextsensitive Sicherheitsfunktion

Beispiellösung

Zugriff auf vertrauliche Daten

z.B. Verschlüsselung abhängig von der Datenkategorie

Windows Server 2012, HP ControlPoint

Zugriff außerhalb der Dienstzeit

Zeitabhängige Zugriffsregeln pro Nutzer

BeyondTrust PowerBroker

Zugriffe auf private Online-Dienste

Zeitabhängige Blockade während der Arbeitszeit

Barracuda Web Security Service

Zugriff auf verbotene Anwendungen

Blockade des Internetzugriffs abhängig von der genutzten Anwendung oder aufgerufenen Internetadresse

Cisco ASA Next-Generation Firewalls, gateprotect Appliance GPZ

Zugriff mit verbotenen Anwendungen

Entschlüsselung nur bei Verwendung erlaubter Anwendungen für den Dateizugriff

Afore CypherX

Zugriff von verbotenen Standorten

Zugriffskontrolle abhängig vom aktuellen Gerätestandort (IP-Adresse, GPS-Koordinaten)

Stonesoft Next Generation Firewalls, F5 Networks Big-IP APM Plattformen

Zugriff mit einem unsicheren Gerät

Zugriffskontrolle abhängig von dem aktuellen Gerätestatus verglichen mit den internen Sicherheitsrichtlinien

Trustwave Network Access Control, NCP Network Access Control, Dell SonicWALL End Point Control