IN DEUTSCHLAND fallen jährlich mehr Arbeitstage durch Fehler in der IT aus als durch Streiks. Auf diese griffige Formel brachte Bundeswirtschaftsminister Wolfgang Clement die wirtschaftliche Bedeutung von IT-Sicherheit beim Sicherheitsgipfel „Deutschland sicher im Netz“ Ende Januar in München. Das Thema nimmt auch auf der diesjährigen CeBIT wieder einen prominenten Platz ein. Ein wichtiger Bereich ist der Schutz des Netzwerks vor den eigenen Clients: Mit dem zunehmenden Einsatz mobiler Geräte und Datenträger ergeben sich Bedrohungen, die mit den herkömmlichen Technologien wie Firewalls oder Intrusion Detection nicht zu meistern sind: Greift etwa ein Mitarbeiter von unterwegs mit dem Notebook auf das Internet zu, hat die IT-Mannschaft keinen Einfluss darauf, wie diese Verbindung gesichert ist. Kehrt der Kollege ins
Büro zurück, können sich eingefangene Schadprogramme unbemerkt im Unternehmensnetz ausbreiten. Ein ähnliches Szenario ergibt sich auch beim Einsatz von USB-Sticks. Für den Schutz vor diesen Bedrohungen haben sich verschiedene Schlagworte wie „Endpoint Security“, „Endpoint Admission Control“ oder „Network Admission Control“ etabliert, die jedoch alle das Gleiche meinen: Einem infizierten oder ungenügend geschütztem Client soll der Zugriff auf wichtige Ressourcen im Netzwerk verwehrt werden, damit sich eine Infektion nicht ausbreiten kann. Drei-Komponenten-Systeme Die Arbeitsweise einer Endpoint-Security-Lösung basiert darauf, den Zustand eines Clients zu überprüfen, bevor dieser auf das Netzwerk zugreift. Entspricht ein Client den festgelegten Bedingungen, sind die normalen Zugriffe möglich. Weicht der Client jedoch von den Vorgaben ab, wird er in Quarantäne genommen und dort auf den
vorgeschriebenen Stand gebracht. Aus dieser Quarantäne heraus besteht keine Verbindung zu den unternehmenskritischen Systemen. Technologisch sind dazu laut der Meta Group drei grundsätzliche Komponenten notwendig: Eine Instanz muss sicherstellen, dass nur geprüfte Clients Zugriff auf die Unternehmensressourcen bekommen. Diese Komponente kann zum Beispiel in Switches integriert sein. Ein zweites Modul muss die Überprüfung des PCs selbst vornehmen und mit der ersten Komponente kommunizieren. Dieser Teil wird typischerweise als Agent direkt auf den einzelnen Clients installiert. Das dritte Glied dieser Kette ist eine zentrale Stelle, an der die entsprechenden Sicherheitsrichtlinien abgelegt und verwaltet werden. Um das Thema sind zahlreiche Kooperationen entstanden. Erst jüngst sorgte die Ankündigung von Microsoft für Schlagzeilen, bei Endpoint-Security eng mit Cisco zusammenzuarbeiten. Microsoft will die Technologie unter dem Namen „Network Access Protection“
(NAP) vermarkten. Forrester Research stellt dazu fest: „Mit den jüngsten Ankündigungen von Microsoft und Cisco wurde Netzwerk-Quarantäne das heißeste Thema in der IT-Sicherheit.“ Doch Microsoft musste bereits zurückrudern: Ursprünglich sollte NAP bereits mit dem zweiten Release des Windows Server 2003 Realität werden. Daraus wird nichts: Erst mit der Server- Version des XP-Nachfolgers „Longhorn“ wird ein vorzeigbares Produkt am Markt eingeführt. Vielversprechender ist es da bei Cisco. Der Netzwerkausrüster wird von einigen Marktbeobachtern als führender Anbieter gehandelt. Das Unternehmen hat „Network Admission Control“ (NAC) bereits in einige Switches integriert. Dazu hat Cisco auch einen passenden Agenten mit dem Namen „Trust Agent“ entwickelt, der die Client-Überprüfung verantwortet. Fast alle großen Sicherheitssoftware-Hersteller haben ihre Produkte darauf angepasst und unterstützen den
Cisco-Agenten. Seit Mitte vergangenen Jahres werden die ersten Cisco-Produkte mit dieser Technologie ausgeliefert oder entsprechende Updates angeboten. Auf der Cebit wird Cisco die Version 2.0 des NAC präsentieren und vorführen. Sygate ist dem Cisco-Programm bereits beigetreten. Das Unternehmen hat sich besonders im Bereich der Erkennung von infizierten oder unternehmensfremden Clients einen Namen gemacht - ein zentrales Element der Endpoint- Security. Das Produkt „Sygate Secure Enterprise“ besteht aus einem Agenten, der die PCs im Netzwerk überwacht, und einer Server-Komponente, die die Durchsetzung der Sicherheitsrichtlinien auf den überwachten Rechnern übernimmt. Dazu gibt es ergänzende Produkte, um fremde Rechner im Unternehmensnetz zu erkennen und auf Richtlinienkonformität zu überprüfen - der Anbieter benutzt dafür den Begriff „Security Policy Enforcement“.