Kontextsensitive Security-Policies
Das richtige Maß an IT-Sicherheit
1. Berücksichtigung der Datenkategorie
Wenn ein Nutzer zum Beispiel mit seinem Tablet von unterwegs auf Daten im Firmennetzwerk zugreifen möchte, sollte in zwei Bereiche unterschieden werden. Zum einen ist es möglich, dass der Datenzugriff allgemein verfügbaren Daten wie der aktuellen Produktliste gilt, die zum Beispiel bereits auf der Webseite des Unternehmens veröffentlicht wurde. Zum anderen kann es sein, dass es sich um vertrauliche Daten wie ein neues Produktkonzept handelt.
Kontextsensitive Lösungen analysieren die Datenkategorie, auf die zugegriffen werden soll, und gewähren oder verweigern den Zugriff auf Basis der Security-Policies. Die dynamische Zugriffssteuerung von Windows Server 2012 oder HP ControlPoint zum Beispiel nehmen eine automatische Dateiklassifizierung vor und unterstützen die manuelle Einstufung des Schutzbedarfs verschiedener Datenarten.
Abhängig von dem Schutzbedarf werden so bei Windows Server die vertraulichen Dateien mittels Rights Management Services (RMS) verschlüsselt und können von Nutzern, die kein Recht zur Entschlüsselung erhalten, nicht eingesehen werden. Berechtigte Nutzer hingegen erhalten Zugriff auf die automatisch entschlüsselten Dateien.
Eine generelle Verschlüsselung aller Daten kann damit ebenso vermieden werden wie der unerlaubte Zugriff auf zu schützende Dateien. Auch der wenig praxisnahe Ansatz, generell den Datenzugriff von außen auf die Dateien zu erlauben oder zu blockieren, wird vermieden.
2. Unterscheidung Arbeitszeit und Privatnutzung
Der Zugriff auf das Netzwerk kann auch abhängig gemacht werden von der jeweiligen Zugriffszeit. So kann es einem Nutzer während der Arbeitszeit erlaubt sein, auf einen bestimmten Server mit seinem Smartphone zuzugreifen. Nach Feierabend aber und am Wochenende soll es nicht erlaubt sein. Eine solche Regelung kann zum Beispiel bei ByoD-Programmen (Bring your own Device) oder der erlaubten Privatnutzung betrieblicher Geräte wichtig sein.
Möglich wird solch eine zeitabhängige Zugriffskontrolle unter anderem mit BeyondTrust PowerBroker Servers Enterprise. Mit dieser Lösung kann der Zugriff nach Datum, Uhrzeit oder Zeitspanne definiert und entsprechend erlaubt oder verboten werden. Webfilter-Lösungen wie Barracuda Web Security Service erlauben unter anderem die zeitabhängige Sperrung und Freigabe von Internetadressen und Online-Diensten für die Internetnutzer im Unternehmen.
Ein generelles Verbot würde in der Regel keinen Sinn geben, eine zeitlich unbefristete Zugriffserlaubnis aber ein mögliches Risiko darstellen. Mit einer kontextsensitiven Lösung lässt sich der Schutzbedarf genauer fassen, ohne dass die Produktivität leidet. Gefahren durch Serverzugriffe außerhalb der Arbeitszeit werden trotzdem verhindert beziehungsweise Zugriffe auf bestimmte private Online-Dienste während der Arbeitszeit blockiert.