22. Dezember 2008 - Network Access Control

Zugangsberechtigungen nicht nur für Personen regeln

Die Regelung und Überwachung des Netzwerkzugangs nimmt meist die Benutzer und deren Berechtigungen in den Blick. Das Sicherheitskonzept Network Access Control (NAC) erweitert diese Sicht auf Endgeräte, deren Sicherheitsstatus vor dem Zugriff überprüft wird. Nur zugelassene Geräte, die den aktuellen Sicherheitsrichtlinien entsprechen, können im Netzwerk angemeldet werden. Die Einführung von NAC-Lösungen darf jedoch nicht auf die technische Implementierung verkürzt werden. Die größte Herausforderung liegt in der organisatorischen Vorbereitung und Umsetzung, an denen der DSB beteiligt sein sollte.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Damit Hacker und unbefugte Dritte keinen unerlaubten Zugriff auf Daten und Ressourcen im Netzwerk erhalten, setzen Unternehmen und Behörden auf Firewalls, Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS).

Alle Ein- und Ausgänge sichern

Wer im internen Netzwerkbereich oder über einen Remotezugang Zugang erhalten soll, regelt die Benutzerverwaltung und das Rollen- und Privilegiensystem.

In vielen Fällen erfolgt jedoch die Netzwerkanmeldung eines Benutzers nicht über ein bereits im Netzwerk befindliches Endgerät, sondern der Benutzer und das von ihm verwendete Endgerät melden sich gemeinsam an.

Außendienst, freie Mitarbeiter, Telearbeit und Home-Office sind typische Beispiele dafür.

Nicht nur Benutzer kontrollieren

Eine Beschränkung auf die Benutzerkontrolle würde also zu kurz greifen. Die sich anmeldenden Endgeräte könnten zum Beispiel von Malware verseucht sein, weil die dort installierte Anti-Malware-Software nicht aktuell gehalten wurde oder sogar deaktiviert ist.

Ergänzung um Device Control notwendig

Die bereits eingesetzten Firewalls, IDS und IPS sollten also um einen weiteren Baustein zur NAC-Lösung erweitert werden, um das sogenannte Device Control.

Damit kann der Netzwerkzugang für Endgeräte so eingeschränkt werden, dass nur registrierte Geräte, die allen relevanten Sicherheitsrichtlinien entsprechen, sich erfolgreich anmelden können.

Diese technische Funktion lässt sich jedoch nicht einfach installieren, ohne eine umfangreiche organisatorische Vorarbeit zu leisten.

Eine Frage der richtigen Reaktion

Der organisatorische Klärungsbedarf wird schnell deutlich, wenn man sich zum Beispiel überlegt, wie die Reaktion aussehen soll, wenn sich ein gemäß Richtlinien unsicheres Gerät anmelden will, der Benutzer selbst jedoch die notwendigen Berechtigungen hätte.

Zu überlegen wäre unter anderem auch, ob nur bestimmte Schnittstellen für die Einbindung eines speziellen Geräts erlaubt sein sollen, ob die Anmeldung eines unsicheren Gerätes zur kompletten Ablehnung durch das Netzwerk führen soll oder Teilberechtigungen erteilt werden und wenn ja, welche.

Vorbeugen und Heilen

Eine weitere Überlegung, die vor der Implementierung einer NAC-Lösung stehen sollte, betrifft nicht nur die Prävention und Abwehr, sondern auch die sogenannte Remediation (Korrektur, Heilung).

Ein Endgerät, das generell für das Netzwerk zugelassen ist, jedoch als unsicher eingestuft wird, sollte am besten nicht einfach nur abgelehnt, sondern mit den aktuellen Updates der dort installierten Sicherheitslösung versehen werden.

Tatsächlich ist einer der wesentlichen Nebeneffekte einer NAC-Lösung, dass der Patchstand der auf Endgeräten eingesetzten Betriebssysteme, Sicherheitsanwendungen und Fachapplikationen erfahrungsgemäß deutlich verbessert werden kann.

Mit der Anmeldung hört die Kontrolle nicht auf

Auch wenn Network Access Control sich scheinbar mit der Regelung des Netzwerkzugangs befasst, können einer NAC-Lösung auch laufende Überwachungsfunktionen zugewiesen werden, zum Beispiel die Kontrolle, ob alle bereits eingebundenen Endgeräte auch einen aktuellen und den Sicherheitsrichtlinien entsprechenden Status haben.

Ebenso könnten sich die Sicherheitsvorgaben kurzfristig ändern und eine neue Überprüfung bereits zugelassener Geräte erforderlich machen.

NAC erfordert Teamwork
Um alle anstehenden Fragen zur Implementierung von NAC beantworten zu können, brauchen die Netzwerkadministratoren die Unterstützung der Fachabteilungen, der IT-Leitung und des Datenschutzbeauftragten. Das NAC-Projektteam sollte dann unter anderem klären,

  • welche Benutzer und Rollen berücksichtigt werden müssen,
  • welche Endgeräte auf Gerätenummer-Ebene zugelassen sein sollen,
  • welche Kombination aus Benutzer, Rolle und Gerät zulässig sein soll,
  • welche Sicherheitsrichtlinien für bestimmte Privilegien durch das anzumeldende Gerät erfüllt sein müssen,
  • welche Überprüfungen vor der Anmeldung (Pre-Connect) und welche nach der Anmeldung (Post-Connect) durchgeführt werden sollen,
  • welche Maßnahmen zur „Heilung“ eines unsicheren Endgerätes vorgesehen sind (wie Patch- und Softwareverteilung) und
  • welche personenbezogenen Daten unter Umständen bei der Protokollierung durch die NAC-Lösung gespeichert werden und wie eine weitgehende Anonymisierung möglich wird.

Die Suche nach der NAC-Lösung

Nach der internen Konzeptionierung gilt es, das passende NAC-System auf dem Markt zu finden, das die individuellen Anforderungen auch umsetzen kann.

Dabei sollte insbesondere auf Eigenschaften geachtet werden wie zentrale Administration und Überwachung, Skalierbarkeit, Erweiterbarkeit auf neue Gerätetypen und Anforderungen, einfache Konfiguration und geringer Verbrauch an Netzwerkressourcen.

Schließlich soll das interne Netzwerk sicherer und nicht langsamer und letztlich unpraktikabel werden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln