Die Entwicklung und Umsetzung von IT-Sicherheitsrichtlinien, die zu den aktuellen IT-Risiken wirklich passen, bereiten vielen Unternehmen Probleme. Wie die PwC-Studie "Defending yesterday - Key findings from The Global State of Information Security Survey 2014" zeigt, befassen sich die Security-Policies oftmals noch mit den Sicherheitsrisiken vergangener Tage und gehen nicht auf die aktuellen Herausforderungen beispielsweise durch mobile Endgeräte ein. Zu einem ähnlichen Ergebnis kommen die Studie "Global Corporate IT Security Risks: 2013" von Kaspersky Lab oder die Untersuchung "Acronis 2013 Data Protection Trends Research".
Nicht zu viel und nicht zu wenig IT-Sicherheit
Ohne eine Ausrichtung der IT-Sicherheitsrichtlinien auf die jeweils aktuelle Bedrohungssituation besteht jedoch die Gefahr, dass die ergriffenen Sicherheitsmaßnahmen entweder lückenhaft oder aber überzogen sind.
Beides führt zu Schwachstellen in der Risikoabwehr: So belasten übertriebene Sicherheitsmaßnahmen das IT-Budget und senken die Akzeptanz bei den Nutzern, wenn beispielweise grundsätzlich eine Mehr-Faktor-Authentifizierung für die Netzwerkanmeldung vorgesehen wird. Umgekehrt können zu schwache Sicherheitsvorgaben dazu führen, dass Nutzer mit unsicheren, mobilen Endgeräten auf das Firmennetzwerk zugreifen.
Es kommt auf das richtige Maß an, wie unter anderem die gesetzlichen Datenschutzvorgaben betonen: Es sind nur die Maßnahmen gefordert, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen - nicht mehr und nicht weniger.
Kontextsensitive Security-Policies und Sicherheitslösungen sorgen für diese Verhältnismäßigkeit, indem sie bei der dynamischen Risikobewertung helfen. Die jeweils bereitgestellten Sicherheitsfunktionen hängen von den aktuellen Risiken ab und nicht von einer starren Voreinstellung. Im Folgenden sollen das Konzept der kontextsensitiven Security-Policies sowie entsprechende Sicherheitslösungen näher betrachtet werden.
Kontextsensitive Sicherheit: Auf das Umfeld kommt es an
Betrachtet man die Risiken, die zum Beispiel mit dem Netzwerkzugriff über mobile Endgeräte verbunden sind, ist es insbesondere die Einsatzsituation und das jeweilige Umfeld, die für die Bedrohung sorgen:
Smartphones und Tablets werden insbesondere für das Internet genutzt, aber nicht entsprechend geschützt. Dadurch könnten sie mit Malware infiziert werden und Schadprogramme ins Netzwerk einschleusen (Risiko durch unzureichende Sicherheitsausstattung).
Die mobilen Betriebssysteme und Anwendungen (Apps) werden nicht regelmäßig aktualisiert (Risiko durch veraltete Versionen).
Die Mobilgeräte werden unterwegs und an Orten ohne jede Zutrittskontrolle verwendet und können deshalb leichter verloren gehen oder gestohlen werden. Unbefugte könnten sie als Hintertür ins Netzwerk missbrauchen (Risiko durch Mobilität und mangelnde Zugangskontrolle).
Auf den Tablets und Smartphones werden auch geschäftsrelevante Daten genutzt, auf die aus der Ferne zugriffen wird. So können auch vertrauliche Daten in die Hände Unbefugter gelangen, wenn die mobilen Geräte unzureichend geschützt werden (Risiko durch Art der Datenzugriffe).
Die mobilen Endgeräte werden häufig sowohl privat als auch betrieblich genutzt und setzen so die betrieblichen Daten, Anwendungen und Netzwerke Gefahren aus, die innerhalb der Unternehmensumgebung nicht oder nicht in dem Ausmaß bestehen (Risiko durch Nutzer und Einsatzzweck).
Wie riskant der Netzwerkzugriff durch mobile Endgeräte oder andere IT-Systeme ist, hängt jeweils von bestimmten, sich ändernden Parametern ab: von dem jeweiligen Nutzer, dem genutzten Gerät, den betroffenen Datenkategorien, der gewählten Anwendung, der aktuellen Sicherheitsausstattung des Gerätes, dem Standort von Nutzer und Gerät, dem privaten und betrieblichen Einsatzzweck und damit verbundenen auch dem Zeitpunkt des Netzwerkzugriffs.
Kontextsensitive Sicherheitsrichtlinien und -lösungen bestimmen dynamisch die entsprechenden Risikoparameter, werten diese aus und fordern oder aktivieren automatisch passende Sicherheitsfunktionen. Auf dem Markt sind verschiedene kontextsensitive Lösungen verfügbar, die zeigen, wie mit unterschiedlichen Risikoparametern umgegangen werden kann. Mehr dazu auf der folgenden Seite.
1. Berücksichtigung der Datenkategorie
Wenn ein Nutzer zum Beispiel mit seinem Tablet von unterwegs auf Daten im Firmennetzwerk zugreifen möchte, sollte in zwei Bereiche unterschieden werden. Zum einen ist es möglich, dass der Datenzugriff allgemein verfügbaren Daten wie der aktuellen Produktliste gilt, die zum Beispiel bereits auf der Webseite des Unternehmens veröffentlicht wurde. Zum anderen kann es sein, dass es sich um vertrauliche Daten wie ein neues Produktkonzept handelt.
Kontextsensitive Lösungen analysieren die Datenkategorie, auf die zugegriffen werden soll, und gewähren oder verweigern den Zugriff auf Basis der Security-Policies. Die dynamische Zugriffssteuerung von Windows Server 2012 oder HP ControlPoint zum Beispiel nehmen eine automatische Dateiklassifizierung vor und unterstützen die manuelle Einstufung des Schutzbedarfs verschiedener Datenarten.
Abhängig von dem Schutzbedarf werden so bei Windows Server die vertraulichen Dateien mittels Rights Management Services (RMS) verschlüsselt und können von Nutzern, die kein Recht zur Entschlüsselung erhalten, nicht eingesehen werden. Berechtigte Nutzer hingegen erhalten Zugriff auf die automatisch entschlüsselten Dateien.
Eine generelle Verschlüsselung aller Daten kann damit ebenso vermieden werden wie der unerlaubte Zugriff auf zu schützende Dateien. Auch der wenig praxisnahe Ansatz, generell den Datenzugriff von außen auf die Dateien zu erlauben oder zu blockieren, wird vermieden.
2. Unterscheidung Arbeitszeit und Privatnutzung
Der Zugriff auf das Netzwerk kann auch abhängig gemacht werden von der jeweiligen Zugriffszeit. So kann es einem Nutzer während der Arbeitszeit erlaubt sein, auf einen bestimmten Server mit seinem Smartphone zuzugreifen. Nach Feierabend aber und am Wochenende soll es nicht erlaubt sein. Eine solche Regelung kann zum Beispiel bei ByoD-Programmen (Bring your own Device) oder der erlaubten Privatnutzung betrieblicher Geräte wichtig sein.
Möglich wird solch eine zeitabhängige Zugriffskontrolle unter anderem mit BeyondTrust PowerBroker Servers Enterprise. Mit dieser Lösung kann der Zugriff nach Datum, Uhrzeit oder Zeitspanne definiert und entsprechend erlaubt oder verboten werden. Webfilter-Lösungen wie Barracuda Web Security Service erlauben unter anderem die zeitabhängige Sperrung und Freigabe von Internetadressen und Online-Diensten für die Internetnutzer im Unternehmen.
Ein generelles Verbot würde in der Regel keinen Sinn geben, eine zeitlich unbefristete Zugriffserlaubnis aber ein mögliches Risiko darstellen. Mit einer kontextsensitiven Lösung lässt sich der Schutzbedarf genauer fassen, ohne dass die Produktivität leidet. Gefahren durch Serverzugriffe außerhalb der Arbeitszeit werden trotzdem verhindert beziehungsweise Zugriffe auf bestimmte private Online-Dienste während der Arbeitszeit blockiert.
3. Verschiedene Risiken der Anwendungen
Eine dynamische Risikobewertung und Zugriffskontrolle kann auch die unterschiedlichen Gefahren berücksichtigen, die von verschiedenen Anwendungen ausgehen: Eine generelle Blockade der Internetzugriffe eines Nutzers wird in den meisten Unternehmen kaum noch Sinn geben. Trotz der bekannten Online-Risiken werden die meisten Nutzer zu gewissen Zeiten einen Zugang zum Internet benötigen.
Deshalb sollte ein Unternehmen den Internetzugriff nicht nur auf der Ebene von Nutzern, Rollen oder Abteilungen regeln. Selbst für Nutzer und Abteilungen, die ständig Internetzugang benötigen, müssen nicht alle Internetangebote am Arbeitsplatz oder über betriebliche Geräte erreichbar sein.
So kann es aus Sicherheitsgründen sinnvoll sein, bestimmte soziale Netzwerke, Cloud-Speicherdienste sowie andere als riskant eingestufte Online-Dienste und -Anwendungen zu verbieten und technisch zu blockieren. Möglich ist dies zum Beispiel mit den Cisco ASA 5500-X Series Next-Generation Firewalls. Diese Art von Firewall unterstützt die Unterscheidung von mehr als 1000 gebräuchlichen Anwendungen und erlaubt jeweils die Definition von Regeln, welcher Nutzer mit welchem Gerät an welchem Ort eine bestimmte Anwendung nutzen darf oder nicht. Dazu werden neben den Anwendungen auch die aufgerufenen Internetadressen und die dazu genutzten Geräte analysiert, um dem Risiko entsprechend mit einer Blockade und einer Zugriffserlaubnis zu reagieren.
Verschiedene Lösungen auf dem Markt unterstützen applikations- und nutzerabhängige Policies zum Beispiel bei der Regelung des Zugriffs auf Cloud-Dienste. So wird bei dem Zugriff auf verschlüsselte Cloud-Daten insbesondere geprüft, ob der jeweilige Nutzer die Berechtigung dazu hat (Authorized User), eine zugelassene Maschine dafür nutzt (Validated Machine) und eine der dafür zertifizierte App (Certified Apps) verwendet. Erst dann werden die Cloud-Daten für den entsprechenden Zugriff entschlüsselt.
4. Eine Frage des Standortes
Ob ein Netzwerkzugriff ein besonderes Risiko darstellt oder nicht, kann auch von dem aktuellen Standort des Gerätes und damit des Nutzers abhängen. Geht das mobiles Gerät verloren oder wird es gestohlen, der Verlust ist aber noch nicht bekannt, kann es für die Netzwerksicherheit entscheidend sein, zwischen erlaubten und unerlaubten Standorten zu unterscheiden.
Findet in der Regel zum Beispiel von einem bestimmten Land aus kein Mitarbeiterzugriff statt, könnte ein entsprechender Zugriffsversuch bedeuten, dass ein Unbefugter das Gerät gestohlen hat und es nun für einen Angriff nutzen will. Oder aber die Privatnutzung eines Gerätes ist verboten, so dass alle Zugriffsversuche außerhalb der verschiedenen Unternehmensstandorte abgelehnt werden sollen.
In solchen Fällen hilft eine standortabhängige Zugriffskontrolle, die zum Beispiel die IP-Adresse (datenschutzgerecht) auswertet oder die GPS-Koordinaten (ebenfalls datenschutzgerecht) analysiert, die zu dem zugreifenden Gerät gehören. Möglich ist dies unter anderem mit Lösungen wie den McAfee Next Generation Firewalls oder mit dem Geolocation Agent der F5 Networks Big-IP APM Plattformen.
5. Sicherheitsbewertung der Geräte
Das Risiko eines Netzwerkzugriffs hängt auch davon ab, welches Gerät der Nutzer wählt. Dabei geht es nicht nur darum, ob es sich um ein zugelassenes Gerät, also zum Beispiel ein betriebliches Smartphone, handelt. Auch der aktuelle Sicherheitsstatus ist für die Risikobewertung entscheidet.
So macht es für das Netzwerkrisiko einen Unterschied, ob das Gerät mit einem aktuellen Betriebssystem versehen ist, die installierten Anwendungen keine bekannten Schwachstellen aufweisen und ob eine aktuelle, aktive Sicherheitslösung darauf läuft.
Eine Analyse des Gerätes und seines Sicherheitszustandes im Vergleich zu den internen Sicherheitsrichtlinien prüfen Lösungen wie Dell SonicWALL EPC, Trustwave Network Access Control oder NCP Network Access Control. Je nach Lösung werden Geräte, die nicht den Richtlinien entsprechen, nur von dem Netzwerkzugang ausgeschlossen oder aber der Nutzer erhält bereits Hinweise für Maßnahmen, damit das Gerät den Sicherheitsvorgaben entspricht und später zugreifen kann.
Fazit: Nicht übertreiben und nichts riskieren
Kontextsensitive Sicherheitslösungen helfen Unternehmen dabei, die Verhältnismäßigkeit bei der Datensicherheit zu wahren, ohne vermeidbare Risiken einzugehen. Damit schonen sie das IT-Budget, helfen bei der Mitarbeitermotivation für die IT-Sicherheit und sorgen für dynamische Sicherheitsrichtlinien anstelle von schnell veralteten, starren Sicherheitsmodellen.
Unternehmen sollten bei ihrer Lösungssuche die jeweiligen Parameter hinterfragen, die bei der Risikoanalyse berücksichtigt werden und dabei auch den Datenschutz für die Nutzer nicht vergessen. So sollen zum Beispiel die abgefragten Standortdaten bei der Risikobewertung helfen und nicht zu Bewegungsprofilen der Beschäftigten führen. Auch hier gilt der Grundsatz: Die IT-Sicherheit muss sich am Schutzzweck orientieren und das Verhältnis wahren, zwischen dem Recht auf Privatsphäre und der möglichst hohen Netzwerksicherheit.
Vergleichstabelle
Die folgende Tabelle gibt eine zusammenfassende Übersicht, welche Risikofaktoren bei kontextsensitiven Security-Lösungen ausgewertet werden, wie die unterschiedlichen Sicherheitsmaßnahmen aussehen und welche Lösungen zum Beispiel das entsprechende Konzept unterstützen.
Risikofaktor | Kontextsensitive Sicherheitsfunktion | Beispiellösung |
Zugriff auf vertrauliche Daten | z.B. Verschlüsselung abhängig von der Datenkategorie | Windows Server 2012, HP ControlPoint |
Zugriff außerhalb der Dienstzeit | Zeitabhängige Zugriffsregeln pro Nutzer | BeyondTrust PowerBroker |
Zugriffe auf private Online-Dienste | Zeitabhängige Blockade während der Arbeitszeit | Barracuda Web Security Service |
Zugriff auf verbotene Anwendungen | Blockade des Internetzugriffs abhängig von der genutzten Anwendung oder aufgerufenen Internetadresse | Cisco ASA Next-Generation Firewalls, gateprotect Appliance GPZ |
Zugriff mit verbotenen Anwendungen | Entschlüsselung nur bei Verwendung erlaubter Anwendungen für den Dateizugriff | Afore CypherX |
Zugriff von verbotenen Standorten | Zugriffskontrolle abhängig vom aktuellen Gerätestandort (IP-Adresse, GPS-Koordinaten) | Stonesoft Next Generation Firewalls, F5 Networks Big-IP APM Plattformen |
Zugriff mit einem unsicheren Gerät | Zugriffskontrolle abhängig von dem aktuellen Gerätestatus verglichen mit den internen Sicherheitsrichtlinien | Trustwave Network Access Control, NCP Network Access Control, Dell SonicWALL End Point Control |