Kontextsensitive Security-Policies

Das richtige Maß an IT-Sicherheit

Berücksichtigung der Datenkategorie

Wenn ein Nutzer zum Beispiel mit seinem Tablet von unterwegs auf Daten im Firmennetzwerk zugreifen möchte, sollte in zwei Bereiche unterschieden werden. Zum einen ist es möglich, dass der Datenzugriff allgemein verfügbaren Daten wie der aktuellen Produktliste gilt, die zum Beispiel bereits auf der Webseite des Unternehmens veröffentlicht wurde. Zum anderen kann es sein, dass es sich um vertrauliche Daten handelt, etwa um ein neues Produktkonzept.

Kontextsensitive Lösungen analysieren die Datenkategorie, auf die zugegriffen werden soll, und gewähren oder verweigern den Zugriff auf Basis der Security-Policies. Die dynamische Zugriffssteuerung von Windows Server 2012 oder HP ControlPoint zum Beispiel nimmt eine automatische Dateiklassifizierung vor und unterstützt die manuelle Einstufung des Schutzbedarfs verschiedener Datenarten.

Abhängig vom Schutzbedarf werden so bei Windows Server die vertraulichen Dateien mittels Rights Management Services (RMS) verschlüsselt und können von Nutzern, die kein Recht zur Entschlüsselung erhalten, nicht eingesehen werden. Berechtigte Nutzer hingegen erhalten Zugriff auf die automatisch entschlüsselten Dateien.

Eine generelle Verschlüsselung aller Daten kann damit ebenso vermieden werden wie der unerlaubte Zugriff auf zu schützende Dateien. Auch der wenig praxisnahe Ansatz, generell den Datenzugriff von außen auf die Dateien zu erlauben oder zu blockieren, wird vermieden.

Unterscheidung Arbeitszeit und Privatnutzung

Multitalent: Webfilterdienste wie der Barracuda Web Security Service bieten die Möglichkeit, bestimmte Internetadressen uhrzeitabhängig zu erlauben oder zu blockieren.
Multitalent: Webfilterdienste wie der Barracuda Web Security Service bieten die Möglichkeit, bestimmte Internetadressen uhrzeitabhängig zu erlauben oder zu blockieren.
Foto: Barracuda Networks

Der Zugriff auf das Netzwerk kann auch von der jeweiligen Zugriffszeit abhängig gemacht werden. So kann es einem Nutzer während der Arbeitszeit erlaubt sein, auf einen bestimmten Server mit seinem Smartphone zuzugreifen. Nach Feierabend aber und am Wochenende soll es nicht erlaubt sein. Eine solche Regelung kann zum Beispiel bei BYOD-Programmen (Bring Your Own Device) oder der erlaubten Privatnutzung betrieblicher Geräte wichtig sein.

Möglich wird solch eine zeitabhängige Zugriffskontrolle unter anderem dank BeyondTrust PowerBroker Servers Enterprise. Mit dieser Lösung kann der Zugriff nach Datum, Uhrzeit oder Zeitspanne definiert und entsprechend erlaubt oder verboten werden. Webfilterlösungen wie Barracuda Web Security Service erlauben unter anderem die zeitabhängige Sperrung und Freigabe von Internetadressen und Online-Diensten für die Internetnutzer im Unternehmen.

Ein generelles Verbot würde in der Regel keinen Sinn ergeben, eine zeitlich unbefristete Zugriffserlaubnis aber ein mögliches Risiko darstellen. Mit einer kontextsensitiven Lösung lässt sich der Schutzbedarf genauer fassen, ohne dass die Produktivität leidet. Gefahren durch Serverzugriffe außerhalb der Arbeitszeit werden trotzdem verhindert beziehungsweise Zugriffe auf bestimmte private Online-Dienste während der Arbeitszeit blockiert.