IT-Security-Maßnahmen mit Schönheitsfehlern
Werden Sie den Zugangstest bestehen?

IT-Security-Maßnahmen mit Schönheitsfehlern

Die Netzwerk-Sicherheit steht unter starkem Beschuss. Den Beweis dafür liefern die derzeitigen Einkäufe der Netzwerkadministratoren: nur äußerst leistungsfähige Sicherheitshardware wird der immer wieder auftretenden Probleme Herr.

Die Schwierigkeiten haben nicht nur mit externen Angriffen zu tun, obwohl sie einen bedeutenden Teil des Problems darstellen. Es geht auch um die Aktivitäten von Insidern. Obwohl es immer Mitarbeiter geben wird, die ihren Groll ausleben, vermute ich, dass es der ganz gewöhnliche mobile Nutzer ist, der für die IT-Teams das größte Problem darstellt.

Es muss für die Netzwerkadministratoren ziemlich frustrierend sein, wenn sie versuchen, ihre Systeme wie ein Uhrwerk arbeiten zu lassen, und dann kommt so ein mobiler Nutzer daher, der sein RJ-45 einsteckt und innerhalb einer Stunde oder weniger das ganze Netzwerk zum Stehen bringt.

Neues Konzept reduziert die Möglichkeiten, sich ins Netz einzuklinken
Wohl oder übel werden die Möglichkeiten der Nutzer, sich in das Netzwerk einzuklinken, in den nächsten Jahren verschwinden, wenn sich das Konzept der so genannten “Remediation durchsetzt.

Zwei der größten Firmen, die Tools in diesem Bereich anbieten, sind Cisco und Microsoft. Vom Konzept her gehen sie das Problem vom gleichen Blickwinkel aus an, aber sie unterscheiden sich in der Umsetzung.

Cisco ist Microsoft ziemlich voraus, da ein wichtiges Teilstück des Cisco Systems bereits verfügbar ist. Es wird als Network Admission Control (NAC) bezeichnet.

Das System von Microsoft wird – ziemlich unglücklich – Network Access Protection genannt (NAP – passenderweise für die Markteinführungszeit ergibt diese Abkürzung auch das englische Wort für ein “Schläfchen”). Es wird nicht eher einsatzfähig sein, als die Server-Version Longhorn auftaucht, was frühestens im nächsten Jahr passieren wird. Während Microsoft also ein Schläfchen (NAP) nimmt hat Cisco das “NAC”.

Die Systeme von mobilen Nutzern auf Reisen außerhalb des unternehmenseigenen LAN werden zunehmend geprüft oder “remediated” – wie der Ausdruck dafür lautet – bevor ihnen der Zugang zum Netzwerk gewährt wird.

In der Theorie sieht es so aus, dass die mobilen Nutzer nach Reisen zurückkehren und ihre Laptops anschließen. abei wrden erst einmal ihre Systeme auf Betriebssystem-Patches, Antivirus-Signaturen, Anti-Spyware-Signaturen und jegliche Anwendungs-Patches, die sie benötigen könnten, gescannt. Es kann gut sein, dass es nach einer besonders großen Ausgabe von Patches (etwa XP Service Pack 2) eine Zeit dauern kann, bis ihre Systeme gepatcht sind und sie den Zugang zum Netzwerk erhalten.

Das unterstellt aber auch, dass alle Patches erfolgreich installiert werden. Ich bin mir sicher, dass die Leute aus eigener Erfahrung wissen, dass dies nicht immer der Fall ist. Es ist mir mehrfach passiert, dass ich versucht habe, einen Microsoft Patch anzubringen, nur um die Meldung zu erhalten, dass er nicht richtig installiert werden konnte. Und es passierte noch viel öfter, dass ich versuchte, ein Anwendungs-Update zu installieren, was schließlich Stunden dauerte, anstelle der Minuten, die ich ursprünglich erwartet hatte.

Ausgesperrt wegen erfolgloser Patch-Versuche?
Wenn ein System den Patch-Test nicht besteht, müssen die Netzwerk-Administratoren entscheiden, was als Nächstes passiert und es kann sein, dass die Nutzer dann gesperrt werden, bis ihre Systeme gepatcht sind. Eine Schwierigkeit hierbei ist, dass Mängel zwar öffentlich gemacht werden, es bei den Anbietern aber häufig eine lange Zeit dauert, bis sie die richtigen Patches bereitstellen können. Wenn ein Patch nicht erhältlich ist, könnten die Nutzer so für lange Zeit gesperrt sein.

Noch ein Diskussionspunkt: Wenn die Administratoren höhere Sicherheit erreichen wollen und dafür den Zugang zum Netzwerk drosseln und zu sehr regulieren, werden die Helpdesks in den Unternehmen fluchen – denn sie werden all den Ärger der Nutzer auf sich nehmen müssen.