IT Security
Universitäten erteilen eine Security-Policy-Lektion

John Ruley,
IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

IT Security

In einer Welt, in der es immer mehr externe Auftragnehmer an Stelle von Angestellten gibt – und in der die Angestellten von zu Hause aus arbeiten -, müssen inzwischen sehr viele IT-Abteilungen User unterstützen, die sich aus der Distanz von PCs aus einloggen, die nicht der Firma gehören oder von ihr verwaltet werden. Das stellt für die Systemverwaltung eine gewaltige Herausforderung dar. Man kann nicht vorhersagen, welche Hardware- und Software-Umgebung diese User haben. Außerdem gibt es keine Kontrolle über den Virenschutz (wenn er überhaupt vorhanden ist) und darüber, welche Sicherheits-Software installiert ist, und ob sie regelmäßig aktualisiert wird oder nicht. Das wahrscheinlich extremste Beispiel für diese Art von Problem lässt sich auf einem Universitäts-Campus finden.

Die IT-Abteilungen müssen inzwischen User unterstützen, die sich von irgendwo aus mit PCs einloggen, die nicht dem Unternehmen gehören.”

Praktisch jeder Student hat inzwischen irgendeinen PC, und die meisten nutzen das campus-weite Netzwerk für eine Vielzahl von Zwecken.

Die Administratoren, die diese Netzwerke betreiben, gehören zu einem besonderen Menschenschlag – Pioniere, die sich mit diesen speziellen Problemen des IT-Managements in einer Art “Gewächshaus”-Atmosphäre beschäftigt haben. Einige Netzwerke begrenzen den Zugang von Rechnern, die nicht zum Netz gehören. Diese Rechner befinden sich außerhalb des Campus-Firewalls und erhalten nur Internet-Zugang. Informationen für Studenten und Mitarbeiter werden auf Web-Servern platziert, die für Personen auf dem Campus genauso zugänglich sind wie für Personen außerhalb des Campus.

Das passt in ein Modell des Fernstudiums, bei dem sich die Studenten zu unterschiedlichen Zeiten einloggen können. Die meisten “Hörsaal”-Web-Seiten sind passwortgeschützt, und der Zugang zu Bibliotheken und Datenbanken wird von einem Proxy-Server kontrolliert.

In vielen Universitäten haben die eingeschriebenen Studenten im Wesentlichen die gleichen Zugangsrechte. Typischerweise wird beim Zugang zum Netzwerk eine Form von Authentifizierung abgefragt. Und normalerweise gibt es eine akzeptable Nutzungspolitik, die Hacking, Denial-of-Service-Attacken und Peer-Sharing von urheberrechtlich geschütztem Material verbietet.

Wie die IT-Abteilung diese Regeln durchsetzt, variiert von Campus zu Campus.


An einigen Hochschulen herrscht immer noch ein laissez-faire-Ansatz, bei dem sich die IT nur einmischt, wenn ein Problem auftaucht. Das gilt bei vielen aber inzwischen als inadäquat.

Selbst ein wohlmeinender Student kann unabsichtlich ein Problem verursachen: Wenn er keine Anti-Viren-Software installiert oder sie nicht aktualisiert oder Patches für das Betriebssystem nicht installiert, kann durch ihn eine Schwachstelle entstehen.

Abhängig von er jeweiligen Netzwerkarchitektur kann dies dazu führen, dass ein Computer mit einem Virus oder Wurm infiziert wird und dann andere ungeschützte Computer infiziert.. In extremen Fällen (wie beim Blaster-Virus) kann das dazu führen, dass der gesamte Campus ausfällt.

Das ist kein spezielles Problem von Studenten (oder von ähnlich “unverwalteten” Usern, die von zu Hause aus mit dem PC arbeiten). Denken Sie an die externen Auftragnehmer, die in Ihrem Firmengebäude sitzen, oder an das Einloggen durch ein Virtual Private Network (VPN), bei dem der Firmen-Firewall umgangen wird.

Es gibt drei Wege, mit diesem Problem umzugehen.

Der erste (und offensichtlichste) ist es, nicht dazugehörige PCs grundlegend als nicht vertrauenswürdig zu behandeln. Man hält sie außerhalb der Firewall.

Das löst natürlich nicht die Probleme eines Campus-Netzwerks, wo sich viele PCs notwendigerweise im selben Netzwerksegment befinden.

IT-Manager in Unternehmen stehen beispielsweise vor demselben Risiko, wenn verschiedene externe Auftragnehmer sich ein nicht-sicheres Wireless Local Area Network (WLAN) teilen.

Man kann diese Risiken minimieren, indem man Ports blockiert, aber es besteht immer das Risiko, dass jemand einen infizierten PC hereinbringt.

Ein besserer Ansatz steht Unternehmen zur Verfügung, die auf ein Single-Client-Betriebssystem standardisieren können. In einer großen Organisation müssen alle User des Firmen-VPN die eingebauten Software-Firewall von Windows XP mit der höchsten Sicherheitseinstellung laufen lassen. So entsteht eine Umgebung, in der sich jeder User per Firewall vor den anderen Usern schützt, was aber nur funktioniert, wenn jeder, der sich einloggt, Windows XP mit Service Pack 2 benutzt.

Bei einem weiteren Ansatz wird Authentifizierungs-Software genutzt, die den Usern erst dann den Zugang ermöglicht, wenn verifiziert wurde, dass sie die Administrationsregeln einhalten, zu denen aktuelle Patches, Anti-Viren-Software und so weiter gehören können.

Wie dem auch sei: Schauen Sie mal bei der nächsten Uni vorbei. Sie können da noch was lernen.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus