Kontextsensitive Security-Policies
Das richtige Maß an IT-Sicherheit
3. Verschiedene Risiken der Anwendungen
Eine dynamische Risikobewertung und Zugriffskontrolle kann auch die unterschiedlichen Gefahren berücksichtigen, die von verschiedenen Anwendungen ausgehen: Eine generelle Blockade der Internetzugriffe eines Nutzers wird in den meisten Unternehmen kaum noch Sinn geben. Trotz der bekannten Online-Risiken werden die meisten Nutzer zu gewissen Zeiten einen Zugang zum Internet benötigen.
Deshalb sollte ein Unternehmen den Internetzugriff nicht nur auf der Ebene von Nutzern, Rollen oder Abteilungen regeln. Selbst für Nutzer und Abteilungen, die ständig Internetzugang benötigen, müssen nicht alle Internetangebote am Arbeitsplatz oder über betriebliche Geräte erreichbar sein.
So kann es aus Sicherheitsgründen sinnvoll sein, bestimmte soziale Netzwerke, Cloud-Speicherdienste sowie andere als riskant eingestufte Online-Dienste und -Anwendungen zu verbieten und technisch zu blockieren. Möglich ist dies zum Beispiel mit den Cisco ASA 5500-X Series Next-Generation Firewalls. Diese Art von Firewall unterstützt die Unterscheidung von mehr als 1000 gebräuchlichen Anwendungen und erlaubt jeweils die Definition von Regeln, welcher Nutzer mit welchem Gerät an welchem Ort eine bestimmte Anwendung nutzen darf oder nicht. Dazu werden neben den Anwendungen auch die aufgerufenen Internetadressen und die dazu genutzten Geräte analysiert, um dem Risiko entsprechend mit einer Blockade und einer Zugriffserlaubnis zu reagieren.
Verschiedene Lösungen auf dem Markt unterstützen applikations- und nutzerabhängige Policies zum Beispiel bei der Regelung des Zugriffs auf Cloud-Dienste. So wird bei dem Zugriff auf verschlüsselte Cloud-Daten insbesondere geprüft, ob der jeweilige Nutzer die Berechtigung dazu hat (Authorized User), eine zugelassene Maschine dafür nutzt (Validated Machine) und eine der dafür zertifizierte App (Certified Apps) verwendet. Erst dann werden die Cloud-Daten für den entsprechenden Zugriff entschlüsselt.
4. Eine Frage des Standortes
Ob ein Netzwerkzugriff ein besonderes Risiko darstellt oder nicht, kann auch von dem aktuellen Standort des Gerätes und damit des Nutzers abhängen. Geht das mobiles Gerät verloren oder wird es gestohlen, der Verlust ist aber noch nicht bekannt, kann es für die Netzwerksicherheit entscheidend sein, zwischen erlaubten und unerlaubten Standorten zu unterscheiden.
Findet in der Regel zum Beispiel von einem bestimmten Land aus kein Mitarbeiterzugriff statt, könnte ein entsprechender Zugriffsversuch bedeuten, dass ein Unbefugter das Gerät gestohlen hat und es nun für einen Angriff nutzen will. Oder aber die Privatnutzung eines Gerätes ist verboten, so dass alle Zugriffsversuche außerhalb der verschiedenen Unternehmensstandorte abgelehnt werden sollen.
In solchen Fällen hilft eine standortabhängige Zugriffskontrolle, die zum Beispiel die IP-Adresse (datenschutzgerecht) auswertet oder die GPS-Koordinaten (ebenfalls datenschutzgerecht) analysiert, die zu dem zugreifenden Gerät gehören. Möglich ist dies unter anderem mit Lösungen wie den McAfee Next Generation Firewalls oder mit dem Geolocation Agent der F5 Networks Big-IP APM Plattformen.
5. Sicherheitsbewertung der Geräte
Das Risiko eines Netzwerkzugriffs hängt auch davon ab, welches Gerät der Nutzer wählt. Dabei geht es nicht nur darum, ob es sich um ein zugelassenes Gerät, also zum Beispiel ein betriebliches Smartphone, handelt. Auch der aktuelle Sicherheitsstatus ist für die Risikobewertung entscheidet.
So macht es für das Netzwerkrisiko einen Unterschied, ob das Gerät mit einem aktuellen Betriebssystem versehen ist, die installierten Anwendungen keine bekannten Schwachstellen aufweisen und ob eine aktuelle, aktive Sicherheitslösung darauf läuft.
Eine Analyse des Gerätes und seines Sicherheitszustandes im Vergleich zu den internen Sicherheitsrichtlinien prüfen Lösungen wie Dell SonicWALL EPC, Trustwave Network Access Control oder NCP Network Access Control. Je nach Lösung werden Geräte, die nicht den Richtlinien entsprechen, nur von dem Netzwerkzugang ausgeschlossen oder aber der Nutzer erhält bereits Hinweise für Maßnahmen, damit das Gerät den Sicherheitsvorgaben entspricht und später zugreifen kann.