Kontextsensitive Security-Policies

Das richtige Maß an IT-Sicherheit

Verschiedene Risiken der Anwendungen

Eine dynamische Risikobewertung und Zugriffskontrolle kann auch die unterschiedlichen Gefahren berücksichtigen, die von verschiedenen Anwendungen ausgehen: Eine generelle Blockade der Internetzugriffe eines Nutzers ist in den meisten Unternehmen kaum sinnvoll. Trotz der bekannten Online-Risiken werden die meisten Nutzer zu bestimmten Zeiten einen Zugang zum Internet benötigen.

Deshalb sollte ein Unternehmen den Internetzugriff nicht nur auf der Ebene von Nutzern, Rollen oder Abteilungen regeln. Selbst für Nutzer und Abteilungen, die ständig Internetzugang benötigen, müssen nicht alle Internetangebote am Arbeitsplatz oder über betriebliche Geräte erreichbar sein.

Spurensucher: Sogenannte Next-Generation-Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung.
Spurensucher: Sogenannte Next-Generation-Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung.
Foto: Barracuda Networks

So kann es aus Sicherheitsgründen sinnvoll sein, bestimmte soziale Netzwerke, Cloud-Speicherdienste sowie andere als riskant eingestufte Online-Dienste und -Anwendungen zu verbieten und technisch zu blockieren. Möglich ist dies zum Beispiel mit den Cisco-ASA-5500-X-Series-Next-Generation-Firewalls. Diese Art von Firewall unterstützt die Unterscheidung von mehr als 1000 gebräuchlichen Anwendungen und erlaubt jeweils die Definition von Regeln, welcher User mit welchem Gerät an welchem Ort eine bestimmte Anwendung nutzen darf oder nicht. Dazu werden neben den Anwendungen auch die aufgerufenen Internetadressen und die dazu genutzten Geräte analysiert, um dem Risiko entsprechend mit einer Blockade und einer Zugriffserlaubnis zu reagieren.

Eine Lösung wie Afore CypherX unterstützt applikations- und nutzerabhängige Policies zum Beispiel bei der Regelung des Zugriffs auf Cloud-Dienste. So wird beim Zugriff auf verschlüsselte Cloud-Daten insbesondere geprüft, ob der jeweilige Nutzer die Berechtigung dazu hat (Authorized User), eine zugelassene Maschine dafür nutzt (Validated Machine) und eine der dafür zertifizierten Apps (Certified Apps) verwendet. Erst dann werden die Cloud-Daten für den entsprechenden Zugriff entschlüsselt.

Eine Frage des Standortes

Ob ein Netzwerkzugriff ein besonderes Risiko darstellt oder nicht, kann auch vom aktuellen Standort des Gerätes und damit des Nutzers abhängen. Geht das mobiles Gerät verloren oder wird es gestohlen, ohne dass der Verlust bereits bekannt geworden ist, kann es für die Netzwerksicherheit entscheidend sein, zwischen erlaubten und unerlaubten Standorten zu unterscheiden.

Ortskundig: Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll.
Ortskundig: Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll.
Foto: F5 Networks

Findet in der Regel zum Beispiel von einem bestimmten Land aus kein Mitarbeiterzugriff statt, könnte ein entsprechender Zugriffsversuch bedeuten, dass ein Unbefugter das Gerät gestohlen hat und es nun für einen Angriff nutzen will. Oder aber die Privatnutzung eines Gerätes ist verboten, sodass alle Zugriffsversuche außerhalb der verschiedenen Unternehmensstandorte abgelehnt werden sollen.

In solchen Fällen hilft eine standortabhängige Zugriffskontrolle, die zum Beispiel die IP-Adresse (datenschutzgerecht) auswertet oder die GPS-Koordinaten (ebenfalls datenschutzgerecht) analysiert, die zu dem zugreifenden Gerät gehören. Möglich ist dies unter anderem mit Lösungen wie den Stonesoft Next Generation Firewalls oder mit dem Geolocation Agent der F5-Networks-Big-IP-APM-Plattformen.