Thought Leadership
Bring Your Own Device (BYOD) wird immer gerne als Beispiel genommen, wie wichtig die Netzwerksicherheit und Zugangskontrolle ist. Ein großer Teil der Schadsoftware und Hackerangriffe kommt immer wieder durch Anhänge in E-Mails auf die Rechner und in die IT-Systeme von Unternehmen. BYOD fördert diesen Negativtrend.
Gemeinsam mit seinen Partnern stellt Proservia Ansätze für eine optimierte Netzwerksicherheit und Zugangskontrolle vor.
Risikofaktor Mensch
Gerade erst hat der E-Mail-Spezialist Mimecast eine gravierende Sicherheitslücke in Microsoft Excel aufgedeckt. Die Sicherheitsforscher des britischen Unternehmens haben laut Heise ein Excel-Dokument so präpariert, dass sie beim Herunterladen und Öffnen der Datei über ein „Power Query“ genanntes Makro Schadcode von einem entfernten Server nachlud und ausführte.
Der Mensch ist dabei oft der größte Unsicherheitsfaktor in Unternehmen. Er öffnet sogenannte Phishing-Mails oder deren Anhänge, bei denen zum Beispiel Mahnungen von vorgeblich offizieller Seite verschickt werden.
Eine gute Firewall macht bei dem Verdacht auf Angriffsversuche oder Links unbekannter Herkunft „dicht“.
Next Gen Firewalls schützen wirksamer
Allerdings reicht der Perimeter-Schutz mit klassischen Firewalls nicht mehr aus, um die Nutzer und Unternehmen heute gegen Bedrohungslagen abzusichern, gegen Advanced Persistent Threats (ATPs) etwa, die laut Security Insider mit jeweils an die spezifische Umgebung angepassten Attack-Tools arbeiten. Abgesehen davon können klassische Firewalls beim Port 443 nicht unterscheiden, ob via HTTPS gesurft beziehungsweise mit Skype zum Beispiel kommuniziert wird oder Daten von Cloud-Diensten wie Dropbox übertragen werden.
Next Generation Firewalls (NGFW) untersuchen dagegen nicht nur als verwendete Protokoll und den eingesetzten Port, sondern analysieren auch den Datenstrom, um ungewöhnliche Aktivitäten zu identifizieren und infizierte Dateien herauszufiltern.
AES-Verschlüsselung und Hashalgorithmen
Bei der Anbieterwahl solcher modernen Firewalls, sollten Unternehmen darauf achten, dass diese VPN (Virtual Private Network bieten), um die Anbindung für externe Mitarbeiter und Außenstellen zu ermöglichen.
Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) werden bei solchen Lösungen eine AES-Verschlüsselung mit 128 oder 256 Bit oder SHA-2- und SHA-3 genannte Hashalgorithmen für Hash- oder Streuwertfunktionen mit einer unterschiedlich langen ASCII-Zeichenkette mit jeweils 8 Bit empfohlen. Diese Kette ist wie bei SHA-256 mit einem Hashwert von 512 Bit oder 64 ASCII-Zeichen lang, bei SHA-512 sind es 1.024 Bit oder 128 ASCII-Zeichen bei jeweils immer gleich langer Zeichenkette (siehe Hash-Generatoren).
„Post-Perimeter Security“
Aber selbst mit den besten Verschlüsselungs-Algorithmen ist es mit der Perimeter-Sicherheit nicht getan, um die Systeme wirksam zu schützen. Denn wie eingangs bereits anklang, macht der leichtsinnige Umgang mit E-Mails und Web-Links es den Angreifern oft leicht, in die Rechner und Unternehmensnetze einzudringen.
Der Mobile-Security-Spezialist Lookout spricht daher schon von der „Post-Perimeter Security“, bei der der Datenschutz mit Zero Trust auch und nicht zuletzt auf die Endgeräte verlagert werden muss. Die Nutzer von BYOD-Geräten erwarten natürlich, diese ins Unternehmen einbringen zu können und doch in der Lage zu sein, ihre privaten Apps nutzen zu können. Dabei zeichnet sich laut Gartner schon der Trend ab, dass Unified Endpoint Management (UEM) künftig das klassische Mobile Device Management beziehungsweise Enterprise Mobility Management (MDM und EMM) künftig immer mehr ersetzen wird.
Endpoint Detection and Response von Trend Micro
Der sino-japanische Anbieter Trend Micro, ein wichtiger Partner im Security-Portfolio von Proservia, schützt zum Beispiel Anwendungen mit Endpoint Detection and Response (EDR) als effektive Lösung, um Bedrohungen blitzschnell zu erkennen und sofort darauf reagieren zu können.
Dabei kommt der Trend Micro Endpoint Sensor zum Tragen, der Systemereignisse und Verhaltensweisen auf Endpunkten kontinuierlich aufzeichnet und mittels gewisser Indikatoren Bedrohungen oder Angriffe aufspürt, um sie wirksam abzuwehren.
Auf die Zugangskontrolle kommt es an
Was die Netzzugangskontrolle angeht, hat jeder der großen Hersteller und Verbände seinen einen eigenen Begriff, Microsoft nennt es zum Beispiel „Network Access Control“, Cisco „Network Admission Control“. Als englischer Terminus hat sich aber wie in einem Überblickspapier Netzzugangskontrolle des BSI mit einfach erklärter Technik, Anwendungsbeispielen und Empfehlungen “Network Access Control” (NAC) durchgesetzt. Das BSI-Papier weist unter anderem auf die Möglichkeit hin, durch Virtuelle LANs (VLANs) Gästen oder Mitarbeitern Zugang zu bestimmten Netzwerkbereichen zu gewähren, ohne dass damit das Unternehmensnetz kompromittiert wird.
Es gibt noch reichlich Gefahrenpotenzial
Auch wenn alle Empfehlungen des BSI eingehalten werden, gebe es aber auch weiterhin Gefährdungspotenzial. Denn wenn bei der komplexen Aufgabe, Sicherheitsleitlinien für den Netzverkehr zu erstellen, Fehler gemacht werden, könnten durch eine falsche Zugangsberechtigung etwa Unberechtigte Zugang zu einem lokalen Netz und wichtigen Informationen bekommen.
Außerdem hänge die Stärke der Trennung des physischen Netzes und der VLANs nicht nur vom NAC ab, sondern auch von den Switches und Routern, welche für die erforderliche Trennung sorgen. Dabei geht der Trend etwa auch zu einer Kombinierung von Hard- und Softwarelösungen bis hin zu Software-defined Network (SDN), was eine vereinfachte und weniger fehleranfällige Konfiguration verheißt.
www.proservia.de
