Wer heute als IT-Verantwortlicher ein Netzwerk betreut, muss seine Augen fast überall haben: Zu den üblichen Bedrohungen kommt eine Vielzahl an neuen Geräten, Betriebssystemen und Standards, die alle ihre spezifischen Sicherheitsprobleme aufweisen. Da kein Unternehmen gerne auf gut funktionierende, praxiserprobte Systeme verzichten mag, wächst die "Artenvielfalt" sogar weiter an. Eine große Bedrohung geht auch von mobilen Geräten aus. Vom Laptop des Außendienstmitarbeiters über den klassischen PDA, vom Blackberry bis hin zum Smartphone ist heute eine Vielzahl unterschiedlicher mobiler Systeme direkt oder indirekt an das Firmennetz angeschlossen.

Die Herausforderung: Auch in einer sehr heterogenen IT-Infrastruktur müssen die Sicherheitsrichtlinien durchgängig sein. Sie sollten - plattformunabhängig - einen verlässlichen Schutz bieten und dabei sowohl organisatorischen wie rechtlichen Anforderungen gerecht werden.

Keine grüne Wiese

Das Hauptproblem: Kaum ein Unternehmen beginnt in puncto Sicherheit bei Null. Meist sind bereits heterogene Systeme vorhanden, auf die nicht verzichtet werden soll. Eine neue Lösung mit erweiterten Funktionen und einer höheren Sicherheit sollte sich möglichst nahtlos und ohne übermäßigen Aufwand in bestehende Systeme integrieren lassen. So muss eine transparente Verschlüsselung der Datenträger beispielsweise mit aktuellen Virenscannern und Defragmentierungs-Tools reibungslos zusammenarbeiten.

Außerdem sollen bei Standardfunktionen wie Single-Single-On Sicherheitsanwendungen wie beispielsweise Novell Logon oder IBM User Verification Manager nicht in Mitleidenschaft gezogen werden. Eine intelligente Lösung integriert die verschiedenen Systeme und nutzt dabei beispielsweise das Microsoft Active Directory, um die dort gespeicherten Informationen wie Maschinen, Benutzer, Organisatorische Einheiten ("OUs") und Container in das Gesamtkonzept zu integrieren.

Lösung mit Vorteil

Ein Security Officer kann Regeln (Policies) definieren, diese den importierten OUs zuweisen und sie für Gruppen aktivieren. Bei jedem neuen Maschinen-Boot beantragen die Clients dann neue Policy-Settings. Diese holt sich das System zugleich vom Server des Sicherheitssystems. So bekommt jeder Client beziehungsweise Benutzer die jeweils resultierenden Policy-Settings zugewiesen. Diese sind damit unabhängig von den Windows Group Policy Objects (GPOs), werden aber den gleichen importierten OUs zugeordnet und für die gleichen importierten Gruppen aktiviert. Eine solche Lösung hat den großen Vorteil, dass sie ausschließlich einen reinen Lesezugriff auf das Directory benötigt.

Der Chip zur Sicherheit

Eine relativ einfache Möglichkeit, die Sicherheit auszubauen, besteht in der konsequenten Nutzung von Hardware-Sicherheitschips wie dem TPM-Chip. Dieser von der Trusted Computing Group entwickelte Chip ist zwar in vielen Clients vorhanden, wird aber nur selten genutzt. Dabei könnte er problemlos für die Sicherung der Verbindung zwischen Client und Administrations-Server oder die Erzeugung sicherer Verschlüsselungsschlüssel eingesetzt werden. Ausgereifte Lösungen nutzen beispielsweise den TPM-Chip, um verschlüsselte Festplatten an den Chip zu binden. Dadurch wird der Logon auf eine Festplatte, die sich in einem fremden Computer befindet, selbst dann verhindert, wenn ein Unbefugter das Passwort kennt. Damit der Anwender in solchen Fällen oder bei Hardwaredefekten nicht dauerhaft "ausgesperrt" bleibt, sollten entsprechende Recovery-Funktionen zum Leistungsumfang der eingesetzten Sicherheitslösung gehören.

Eine häufig unterschätzte Sicherheitslücke ist die Wahl eines geeigneten Verschlüsselungsverfahrens. Nur durch die Verwendung öffentlicher, standardisierter Verschlüsselungsalgorithmen ist eine maximale Sicherheit garantiert. Ausschließlich öffentliche Algorithmen befinden sich in einem weltweiten Wettbewerb um Sicherheit und Effizienz und können von Kryptografen überprüft werden. Der derzeitige Standard ist der AES-Algorithmus mit einer Schlüssellänge von 128 oder 256 Bit. Aber auch Verfahren wie IDEA-128 und 3DES gelten als sicher und sind, was die Performance betrifft, für den Einsatz in Unternehmen geeignet.

Unumgänglich ist auch, dass die Schlüssel nicht einfach gemeinsam mit den Daten abgespeichert, sondern aus den eingegebenen Authentisierungs-Daten - wie etwa dem Passwort - dynamisch errechnet werden. Zusätzlichen Schutz bietet ein Token, also ein USB-Stick, der während des Logins mit dem Gerät verbunden sein muss. So schützt sich der Mitarbeiter vor ausgespähten Passwörtern.

Der beste Schutz nützt nichts, wenn der Token durch einfache Tricks "ausgehebelt" werden kann. Bei den simplen Systemen genügt es oft schon, einfach nur von externen Medien wie einer CD oder einem USB-Stick zu booten, und schon kann die Festplatte gezielt manipuliert werden. Nur Lösungen, die Pre-Boot-Authentication bieten, sorgen dafür, dass erst nach Eingabe des Passworts der kryptografische Schlüssel zur Verfügung steht, um den Rest der Festplatte zu entschlüsseln.

Notebooks im Visier

Ein besonderer Schwachpunkt eines jeden Laptops ist der "Hibernation-Modus", in dem sich der mobile Rechner befindet, wenn der Bildschirm zugeklappt wird und der "Suspend-to-Disk"-Vorgang von Windows aus startet. Wenn die dabei angelegte Datei nicht ebenfalls verschlüsselt wird, ist es für Angreifer ein Leichtes, an Schlüsselwerte oder sogar Passwörter zu kommen, die zuletzt in Verwendung waren.

Häufig erlauben Unternehmen den privaten Einsatz von Notebooks. Viele Firmen verlangen in diesen Fällen den Einsatz von zwei Partitionen, eine für private, die andere für berufliche Angelegenheiten. Eine integrierte Sicherheitslösung umfasst auch dieses Anwendungsszenario und liefert den passenden Boot-Manager gleich mit.

Komfort statt Gängelei

Die wichtigste Komponente eines integrierten IT-Sicherheitssystems ist der Faktor Mensch: Damit eine Sicherheitssoftware im Unternehmen generell akzeptiert wird, muss für den Mitarbeiter vor allem der Komfort stimmen. Ist die Lösung im täglichen Umgang nicht einfach zu bedienen, fühlen sich die Anwender rasch gegängelt und lehnen die Software ab.

Lücken beim Update

Große Sicherheitslücken öffnen sich besonders dann, wenn es darum geht, Updates von Betriebssystemen oder Anwendungen zu installieren - ironischerweise sind dafür oft die Sicherheits-Updates der Softwareanbieter verantwortlich. In vielen Unternehmen funktioniert ein Update über den Wake-On-LAN-Modus. Dabei werden über Nacht neue Versionen per Netzwerk eingespielt. Während dieser Zeit muss dafür gesorgt sein, dass keine fremde Person am Rechner Zugriff auf das System hat, die das automatische Booten über Wake-On-LAN zum Ausspionieren von Daten ausnutzen könnte.

Das Rundum-Sorglos-Paket

Eine ideale Lösung, die den dargestellten unterschiedlichen Anforderungen gerecht wird, besteht aus verschiedenen Modulen, die die sehr komplexen und anspruchsvollen Aufgaben zu Verschlüsselung, Zugriffsschutz, Sicherung von Backups und Updates sowie eine Vielzahl weiterer Aufgaben erfüllen. Die Module sollten über ein einheitliches Management-Tool administriert werden können. Über diese Reporting-Konsole kann der IT-Administrator auf einen Blick sehen, wo Schwachstellen bestehen und welche Systeme ohne Probleme arbeiten. Administratoren bevorzugen Lösungen, die sich in die Betriebssystem-Architektur einfügen, indem sie zum Beispiel Policies über Group Policy Objects (GPOs) definieren und vererben sowie die Infrastrukturinformationen aus dem Active Directory eines Windows 2003 Servers oder auch X.509-Zertifikate einer existierenden PKI wiederverwenden. (jm)