MÜNCHEN (COMPUTERWOCHE) - Die Trusted Computing Group (TCG) hat die ersten zwei Spezifikationen ihrer Initiative zur Netzsicherheit Trusted Network Connect veröffentlicht und würde für ihre weiteren Projekte gern Branchenprimus Cisco Systems ins Boot holen. TNC soll festlegen, wie Rechner auf Übereinstimmung mit den Sicherheitsrichtlinien eines Unternehmens geprüft werden, bevor sie sich am Firmennetz anmelden dürfen. Rechner, die bei der Prüfung durchfallen, können abgewiesen oder in ein "Quarantäne-VLAN" verbannt werden.

Über eine Kombination aus Switch, Client-Agent und Policy-Server könnte ein Administrator zum Beispiel festlegen, dass nur PCs mit aktuellen Virendefinitionen, laufender Firewall und einem Betriebssystem mit neuesten Patches Zugang zum Netz erhalten. Die zwei gestern vorgestellten TNC-Spezifikationen beschreiben, wie der Agent seine Statusinformationen in ein standardisiertes Format verpacken sollte, bevor er sie an den Policy-Server schickt, und wie dieser wiederum dann die Daten mit seinem hinterlegten Regelwerk abgleichen kann.

Hersteller wie Check Point Software, Foundry Networks und Funk Software demonstrieren solche Funktionen bereits auf der gerade in Las Vegas stattfindenden Fachmesse Networld+Interop. Nach Angaben von Thomas Hardjono, Principal Scientist bei Verisign und Mitvorsitzender der TNC-Arbeitsgruppe, sollen demnächst vier weitere Specs folgen. Diese sollen die Client-Server-Kommunikation sowie die Kommmunikation zwischen dem Server und dem (im TNC-Sprech) "Policy Enforcement Point" - im Wesentlichen dem Switch oder VPN, zu dem der Endpunkt Verbindung aufnimmt - regeln.

Das Dumme dabei ist nur, dass Marktführer Cisco (auch wenn viele andere Switch-Hersteller TNC unterstützen) mit seiner Initiative "Network Admission Control" (NAC) einen eigenen Weg geht. "Wenn Cisco sich mit an den Tisch setze und an den Specs mitarbeiten würde, könnte ihnen das nur nützen", findet Hardjono. Auf eher privater Ebene habe es diesbezüglich bereits Gespräche zwischen Cisco-Managern und TNC-Befürwortern gegeben; der Netzausrüster habe sich bislang aber noch nicht entschieden.

Gegenüber Ciscos NAC und dem ähnlich gelagerten "Network Access Protection" von Microsoft habe TNC einen entscheidenden Vorteil, erklärte Hardjono: Es integriere auf der Endpunktseite nämlich auch das "Trusted Platform Module", einen nicht hackbaren Krypto-Chip (dessen Spezifikationen gleichfalls von der Trusted Computing Group stammen). "Bei den beiden anderen Ansätzen ist es, als ließe man den Fuchs den Hühnerstall bewachen", warnt Hardjono. "Wer überwacht den Agent und stellt sicher, dass dieser nicht korrumpiert wurde?" (tc)