18.04.2008, 08:26 Uhr
Sicherheit am Endpunkt – Netzwerkränder schützen
Das Erkennen von Angriffen ist nur ein Teil einer umfassenden Security-Strategie. Das Anpassen der gesamten Infrastruktur an einheitliche Security-Standards und -Policies ist ebenso wichtig. Vor allem die Netzwerkränder verdienen Schutz.
Gerald Pernack ist Sales Engineer bei McAfee.
Eine umfassende Sicherheitsstrategie erfordert stringente Verwaltung der gesamten IT-Abwehr. Die Ränder eines Netzwerks sind wegen ihrer relativen Einfachheit und auch aufgrund ihrer zahlenmässigen Grösse Haupteinfallstore für Bedrohungen oder für einen Datenabfluss.
Sicherheitslabyrinth Netzwerkrand
Die Hauptursache für die Gefahr am Endpunkt ist dessen Unübersichtlichkeit - allein schon durch die unterschiedlichste Hardware: Rechnersysteme oder Smartphones bieten ebenso Angriffsflächen wie scheinbar simple externe Speichermedien wie USB-Sticks, DVDs oder portable Festplatten. Von jedem Endpunkt kann dabei im Prinzip direkt auf zentrale Server zugegriffen werden. Ausserdem beginnt hier auch der Weg ins Internet - im Idealfall mit Wissen und Genehmigung der zentralen IT-Verwaltung über ein dafür zuständiges Gateway.
Ein weiteres Risiko liegt darin, Daten am Endpunkt unerlaubt weiterzugeben - als -
E-Mail, über Instant Messaging oder durch das Abspeichern auf einem externen Datenträger. Zu den unscheinbarsten, aber aufgrund ihrer Speicherdichte immer gefährlicheren Medien gehören USB- oder Flash-Speicher. Doch nicht nur der unberechtigte Zugriff auf Daten und die Möglichkeit ihrer Veruntreuung ist ein wachsendes Problem. Am Endpunkt kann auch besonders leicht Schad-Software eingeschleust werden, die digitale Geschäftsprozesse unterbindet. Ein USB-Stick bietet zudem Platz für Malware.Ein privat genutztes Unternehmens-Notebook verfügt vielleicht über nicht genehmigte Instant-Messaging-Tools oder ist an FTP- oder Peer-to-Peer-Dienste (P2P) angebunden, über die sich ebenfalls Schad-Software importieren lässt.
E-Mail, über Instant Messaging oder durch das Abspeichern auf einem externen Datenträger. Zu den unscheinbarsten, aber aufgrund ihrer Speicherdichte immer gefährlicheren Medien gehören USB- oder Flash-Speicher. Doch nicht nur der unberechtigte Zugriff auf Daten und die Möglichkeit ihrer Veruntreuung ist ein wachsendes Problem. Am Endpunkt kann auch besonders leicht Schad-Software eingeschleust werden, die digitale Geschäftsprozesse unterbindet. Ein USB-Stick bietet zudem Platz für Malware.Ein privat genutztes Unternehmens-Notebook verfügt vielleicht über nicht genehmigte Instant-Messaging-Tools oder ist an FTP- oder Peer-to-Peer-Dienste (P2P) angebunden, über die sich ebenfalls Schad-Software importieren lässt.
Starke Zentrale für Vor-Ort-Sicherheit
Wirkliches Risikomanagement schreit also geradezu nach einer umfassenden Lösung. Eine Sicherung des Netzrandes braucht angesichts der unterschiedlichen Bedrohungen zahlreiche Speziallösungen in verschiedenen Einsatzbereichen. Ein Virenschutz schützt gegen Viren, ein Spam-Schutz gegen die Spam-Flut, ein Intrusion-Prevention-System wehrt Zero Day-, Denial-of-Service- (DoS), Spyware-, VoIP-, Botnet-, Malware- und verschlüsselte Angriffe ab. Ein Content-Management-System untersucht Internet-Downloads und E-Mails auf unerwünschte Inhalte. Data-Loss-Prevention-Lösungen (DLP) verhindern den Abfluss von Informationen. Zugleich haben all diese Spezialisten neben den verschiedenen fachlichen auch eigene geographische Zuständigkeiten: Intrusion Prevention kann zentral in einer Appliance bis zu tausend Sensoren verwalten oder als Host Intrusion Prevention direkt auf dem Rechner des Endanwenders wirken. Bei gewachsenen IT-Strukturen entsteht hier schnell ein Gewirr von Kompetenzen und Querverbindungen.
Wirkliches Risikomanagement schreit also geradezu nach einer umfassenden Lösung. Eine Sicherung des Netzrandes braucht angesichts der unterschiedlichen Bedrohungen zahlreiche Speziallösungen in verschiedenen Einsatzbereichen. Ein Virenschutz schützt gegen Viren, ein Spam-Schutz gegen die Spam-Flut, ein Intrusion-Prevention-System wehrt Zero Day-, Denial-of-Service- (DoS), Spyware-, VoIP-, Botnet-, Malware- und verschlüsselte Angriffe ab. Ein Content-Management-System untersucht Internet-Downloads und E-Mails auf unerwünschte Inhalte.