Sicherheit über den Tellerrand hinaus

Ansgar Dodt ist Director Business Development Emea bei Safenet

Immer mehr Beschäftigte sind auf einen schnellen und zuverlässigen Fernzugriff auf Daten angewiesen - unabhängig davon, wo sie sich gerade aufhalten. Diese Entwicklung führt dazu, dass traditionelle Unternehmensgrenzen der Vergangenheit angehören. Unternehmen und Behörden aller Grössen stehen gleichzeitig zunehmend unter Druck, Kosten zu senken, Erträge zu erhöhen und Rentabilitätsziele zu erfüllen. Um diese Ziele zu erreichen, konzentrieren sich Unternehmen auf ihre Kernkompetenzen und verlassen sich auf Partner, die sie in verschiedenen Geschäftsbereichen unterstützen. Aufgrund dieses Ansatzes stehen IT-Abteilungen vor der Herausforderung, sensible Unternehmensdaten auch ausserhalb der Unternehmens-Firewall zur Verfügung zu stellen. Zusätzlich führt die steigende Verwendung von mobilen Geräten wie USB-Sticks und flexiblen Arbeitsmodellen dazu, dass die IT-Verantwortlichen die Grenzen des Unternehmensnetzwerkes nicht mehr klar definieren können.

Üblicherweise schützen sich Unternehmen vor Datendiebstahl und Identitätsbetrug durch die strenge Absicherung ihrer Netzwerkgrenzen. Firmen bauen eine komplizierte Sicherheitsinfrastruktur mit Schnittstellen, Subnetzen und Portalen auf, zu denen nur eindeutig identifizierte User Zugang haben. Dieser Ansatz funktionierte, als zum Beispiel zehn Leute ausserhalb der Firewall auf das Netzwerk zugriffen. Heute ist dieses Modell mit hunderten, wenn nicht sogar tausenden solcher Anwender nicht mehr durchführbar. Beschäftigte, die mobil arbeiten, müssen sich aufgrund der Sicherheitsbestimmungen alle ein bis zwei Monate eine ganze Reihe neuer Passwörter merken oder sich mit sicheren, aber komplizierten Anwendungen vertraut machen. Auch die IT-Abteilungen sind davon betroffen, da sie die erste Anlaufstelle sind, wenn Mitarbeitern der Zugang zu Daten verwehrt bleibt oder etwas nicht funktioniert.

Vorausschauende Unternehmen bauen die künstlichen Grenzen ab, die durch traditio-nelle Sicherheitslösungen entstanden sind, und führen das Konzept der Borderless - sprich grenzenlosen - Sicherheit ein. Dieser Ansatz vereint alle Aspekte der Netzwerk-sicherheit: Authentifizierung, Autorisierung, Vertraulichkeit und Integrität. Auf diese Weise können Anwender und Administratoren immer und überall auf das Netzwerk zugreifen, technologisch bedingte Grenzen fallen und administrative Prozesse werden ausgedünnt. So entsteht ein Sicherheitsstandard, der über die Netzwerkgrenzen hinaus gilt.

Nach der Ermittlung der verschiedenen Anwender-Berechtigungsnachweise kann ein Borderless-Security-System den Zugriff auf bestimmte Netzwerkdaten und Anwendungen gewähren oder ablehnen. In einer solchen Umgebung können Administratoren einzelne Berechtigungen genau auf den jeweiligen Anwender - je nach den Anforderungen und der Position des Mitarbeiters - zuschneiden. Ob das System den Zugang zu Unternehmensdaten und -beständen ermöglicht, hängt von drei Faktoren ab: Der Erfüllung der Authentifizierung, dem Grad der Autorisierung und dem Standort. Ein Mitarbeiter hat beispielsweise unbeschränkten Datenzugriff, wenn er sich im Büro befindet. Falls der Beschäftigte zu Hause über eine sichere Verbindung arbeitet und eine Zwei-Stufen-Authentifizierung einsetzt, kann er auf einen Teil der Informationen zugreifen. Arbeitet der Mitarbeiter von einem Internet-Café aus, besteht die Möglichkeit, beschränkten Zugang zu erteilen. Das Unternehmen weiss zu jeder Zeit, wer auf welche Informationen von wo zugreift.

Ausschlaggebend ist, dass ein solcher flexibler Ansatz die Sicherheit nicht verringert oder gar eine teure und aufwändige Umstrukturierung der bestehenden IT-Infrastruktur erfordert. Borderless Security soll Arbeitnehmern einen sicheren Zugang zu den von ihnen benötigten Daten zum jeweils erforderlichen Zeitpunk ermöglichen. IT-Abteilungen hingegen sollen von reduziertem Verwaltungsaufwand und weniger Supportanfragen profitieren. Ein weiterer Vorteil, der sich aus der Kontrolle der Netzwerkzugangspunkte und der Einführung von Single Sign On - also einmaligen Anmeldungen - ergeben kann, ist eine verbesserte Erfüllung interner Sicherheitsrichtlinien, die das Risiko von Datenbetrug oder -diebstahl verringern.

In der Praxis lässt sich das Problem durch eine Borderless-Security-Plattform lösen. Dabei handelt es sich um einen Ansatz für räumlich getrennte, heterogene Computer-Architekturen. Eine solche Plattform verbindet Autorisierung, Authentisierung und Sicherheit und funktioniert ohne die Probleme, die Perimeter-basierte Lösungen und Point Security-Software für gewöhnlich mit sich bringen. Ausserdem ermöglicht der Ansatz granulare Authentisierung und Autorisierung für Programme, Dateien und Netzwerke und bietet die Durchsetzung von Rollen und Risiko-basierten Richtlinien.

Eine Borderless-Security-Plattform besteht aus den folgenden Komponenten, die eng miteinander verwoben sind: Einem Server für den Zugriff, Single Sing-On Client Software, einem Identity Server, einem Management System, USB-Tokens und Smart Cards.

Herzstück einer solchen Lösung ist ein Borderless Security Access Server. Er kann ohne grosse Änderungen an der bereits existierenden Sicherheitsarchitektur, der Firewall oder der VPN-Konfiguration in Betrieb genommen werden. Dieser Vorteil ist gerade bei heterogenen und dynamischen Schutzsystemen wichtig. Der Server sollte ausserdem eine Verschlüsselung nach Standards wie IPSec und SSL bieten. Für die Zugriffskontrolle lassen sich unterschiedliche Methoden wie Zertifikate, Tokens, Passwörter oder auch biometrische Methoden verwenden. Durch eine Reihe von Faktoren ist mit diesem Ansatz die Akzeptanz der User gegeben. So verringern sich die notwendigen Arbeitsschritte, da alle Informationen zur Erlangung der Zugriffsrechte auf den Smart Cards oder USB-Tokens gespeichert sind. Mit dem Einführen der Karte und der Eingabe der PIN sind alle Schritte erledigt. Das ermöglicht zudem eine höhere Mobilität der Mitarbeiter. Wechseln sie ihren Arbeitsplatz innerhalb des Büros, so sind die benötigten Zugriffsinformationen leicht abrufbar und umständliche Neukonfigurationen entfallen.