Sicherheit am Endpunkt – Netzwerkränder schützen

Data-Loss-Prevention-Lösungen (DLP) verhindern den Abfluss von Informationen. Zugleich haben all diese Spezialisten neben den verschiedenen fachlichen auch eigene geographische Zuständigkeiten: Intrusion Prevention kann zentral in einer Appliance bis zu tausend Sensoren verwalten oder als Host Intrusion Prevention direkt auf dem Rechner des Endanwenders wirken. Bei gewachsenen IT-Strukturen entsteht hier schnell ein Gewirr von Kompetenzen und Querverbindungen.

Da die Informationsmenge hierbei oft ins Unendliche steigt, kann zusätzlich eine Lösung zur Bewertung von Risiken in das Management implementiert werden. Sie beurteilt die Dringlichkeit der einzelnen Sicherheitslücken und setzt mit Prioritäten die Reihenfolge für deren Behebung fest. Eine zentrale Appliance stellt damit sicher, dass die zentrale Verwaltung bis auf die lokale Ebene einwirken kann und bringt dabei Lösungen unterschiedlicher Hersteller unter einen Hut.

Eine solche Zentrale hat noch eine weitere Kompetenz parat, um am Endpunkt für Sicherheit zu sorgen. Sie prüft vor der Einwahl eines Systems ins Netz dessen Sicherheitsstatus und lässt nur Systeme zu, die mit der festgesetzten Security Policy übereinstimmen. Natürlich ist entscheidend, dass die Verwaltung Zugriff auf alle Endpunktsysteme hat. In der heutigen flexiblen Arbeitswelt wird schnell der Rechner eines externen Mitarbeiters angebunden, der vom zentralen Sicherheitsmanagement gar nicht erfasst wird. Ein leistungsfähiges Management kann auch solche Systeme überwachen.

Ein weiterer Knackpunkt ist, ob die Geräte vom fraglichen Netzwerk verwaltet werden oder ob es fremde Systeme sind. Am problemlosesten ist der Vor-Ort-Endpunkt - das ist der Rechner am Arbeitsplatz. Hier kann sich das System entweder selbst richtlinienkonform machen oder dies geschieht Host-basiert vom zentralen Server aus. Komplizierter wird es beim Laptop eines externen Beraters oder Partners, der an das lokale Netz angeschlossen wird. Dieser nicht verwaltete Vor-Ort-Endpunkt verfügt eventuell nicht über die laut Policy vorgeschriebenen Sicherheitslösungen und Patches für einen vollen Netzwerkzugriff. Er wird präventiv geblockt. Zugleich überprüft die Zentrale, ob das Gastsystem eine besondere Autorisierung für den Zugriff auf benötigte Daten hat. Auch bei Rechnern, die remote auf das Netz zugreifen, kommt es darauf an, ob die Zent-rale einen Verwaltungszugriff auf das Notebook hat oder nicht. Davon hängt ab, ob Scans zur Überprüfung der Sicherheitskonformität automatisch durchgeführt werden können oder ob sich ein System die dazu nötigen Komponenten erst herunterladen muss.

Genauso wie man bestimmen kann, welche Systeme sich in ein Netzwerk einloggen dürfen, lässt sich umgekehrt auch festlegen, welche Daten das Unternehmen auf welche Weise verlassen dürfen. Dieser Ansatz ist verlockend, weil er anstelle von Systemen komplementär Dateien, Informationen und Zugriffsrechte Policy-konform macht. Solche Data-Loss-Prevention-Lösungen markieren Dateien mit Tags, die nicht entfernt werden können - auch nicht, wenn eine Datei kopiert wird, Informationen herauskopiert werden, eine DOC-Datei pro forma zur XLS-Datei umbenannt wird. Die Tags setzen fest, ob und wie Dateien exportiert werden. Sie verweigern auch das Versenden von Daten über Mail und FTP oder blocken sogar den Ausdruck. Je nach Benutzer können verschiedene Regeln festgesetzt werden.

Doch auch eine solche Lösung ist Verwaltungssache. Administratoren müssen konsequent die Tags ihrer schützenswerten Dokumente verwalten und aktuell halten. Was bisher als zusätzlicher Schutz die zent-rale Policy-Verwaltung ergänzte, wird in die Zentrale integriert.

Zentrales Management bleibt aber für beide Ansätze unabdingbar und fordert den notwendigen Aufwand. Eine Zentrale, welche die gesamten Sicherheitslösungen über ein Dashboard verwaltet, birgt enorme Einsparmöglichkeiten. Die Kostenersparnis zum Beispiel beim Einsatz des ePolicy Orchestrators von McAfee liegen bei 62 Prozent gegenüber Systemen, die durch separate Konsolen verwaltet werden.