Sicherheit ist am Endpunkt angelangt



Wolfgang Miedl arbeitet Autor und Berater mit Schwerpunkt IT und Business. Daneben publiziert er auf der Website Sharepoint360.de regelmäßig rund um Microsoft SharePoint, Office und Social Collaboration.
Lange galt die Firewall als uneinnehmbares Schutzschild gegen Hacker und Malware. Nachdem sich Client-Techniken zunehmend als Hintertür für Schädlinge entpuppt haben, soll nun die Kontrolle der unsicheren Außenposten das Sicherheitsnivau erhöhen.

Seit etwa drei Jahren ist der Begriff Endpoint Security im Umlauf. Er steht für ein Konzept der IT-Sicherheit, das in gewisser Weise einen Kontrapunkt zur bewährten Firewall-Architektur setzte. Eine Perimeter-Firewall nämlich ist mit dem Prinzip der mittelalterlichen Stadtmauer zu vergleichen: Um die gesamte IT-Infrastruktur eines Unternehmens wird eine (virtuelle) Mauer gezogen, die mit verschiedenen offiziellen Zugängen versehen ist. Diese werden streng überwacht, damit jederzeit bekannt ist, wer ein- und ausgeht und auf diese Weise potenzielle Schädlinge abgeblockt werden können.

Das NAC-Prinzip: Clients werden bei der Anmeldung ans Netz daraufhin kontrolliert, ob sie den firmenspezifischen Security-Policies entsprechen. Fallen sie durch die Sicherheitsprüfung, wird der Zugriff entweder eingeschränkt oder komplett verweigert.
Das NAC-Prinzip: Clients werden bei der Anmeldung ans Netz daraufhin kontrolliert, ob sie den firmenspezifischen Security-Policies entsprechen. Fallen sie durch die Sicherheitsprüfung, wird der Zugriff entweder eingeschränkt oder komplett verweigert.

Aus verschiedenen Gründen stößt das Firewall-Konzept jedoch an seine Grenzen. In Alltagssituationen beispielsweise, in denen externen Mitarbeitern, Kunden, Partnern oder Beratern Zugang zum Firmennetz gewährt werden soll, muss sich die IT ständig um Zugangskonfigurationen kümmern. Dabei wird sehr oft geschlampt, wie eine aktuelle Studie der Aberdeen Group zum Thema "Endpoint Security Strategies" ergab: In 75 Prozent der befragten Unternehmen wurde internen wie externen Benutzern der Zugang ins Firmennetz von nicht gemanagten PCs aus gestattet.

Ein weiterer Aspekt sind die mobilen Endgeräte wie Laptops, PDAs oder Smartphones, über die immer mehr Mitarbeiter auf interne Ressourcen und Anwendungen zugreifen sollen. Gängige Schutzmaßnahmen wie Virtual Private Networks (VPNs) verhindern nicht, dass von einem virenverseuchten Heimarbeitsplatz Schädlinge in das Firmennetz eingeschleust werden. Ein IDC-Dokument verweist zudem auf das Problem der wachsenden Vernetzung: "Die Übertragungswege für Computerschädlinge haben sich in den vergangenen Jahrzehnten gewandelt - waren es früher primär Floppy-Disks oder später E-Mails, so bildet heute das Netz an sich das Haupteinfallstor. Virenschreiber haben erkannt, dass sich die über breitbandige Funk- oder Kabelnetze angebundenen Clients hervorragend zur Verbreitung von Würmern und Trojanern eignen. Clients bilden heute eine ideale Ausgangsbasis für verteilte Netzattacken auf Server und - was noch bedeutender ist - auf Applikationen."

Was ist Endpoint Security?

Was ist ein Endpoint?

Unter Endpunkt versteht man ein individuelles Computersystem oder ein Gerät, das als Netz-Client agiert - ob als Workstation oder als persönliches Mobilgerät. Endpoints sind oft mobil und nur vorübergehend mit Netzen verbunden. Allgemein übliche Endpunkte sind Laptops, Desktop-PCs sowie Smartphones und vernetzte PDAs. Auch ein Applikations-Server kann als Endpunkt betrachtet werden, sofern er als Netz-Host fungiert.

Was ist Sicherheit?

Eine universelle Definition des Begriffs Sicherheit gibt es nicht. Im Kontext von verteilten Unternehmensnetzen bedeutet Sicherheit die Kontrolle

  • des Zugriffs auf Netzwerke und Systeme,

  • der Zugriffsabsichten,

  • der Zugriffsbedingungen und

  • der Aufgaben, die im Rahmen des Zugriffs vorgesehen sind. Sicherheit umfasst den Schutz vor Bedrohungen sowie das Management und die Abschwächung von Risiken, die sich aus der Konfrontation mit diesen Bedrohungen ergeben.

Was ist Endpoint Security?

Endpoint Security ist die Summe aller Maßnahmen, die zum Schutz von Endpunkten ergriffen werden. Dazu gehört deren Sicherung mit Hilfe von Client-Antivirenprogrammen und Personal Firewalls sowie der Schutz des Netzes selbst vor potenziell unsicheren Endpunkten mit Hilfe von Quarantäne und Zugangskontrolle. Endpoint Security erstreckt sich außerdem auf das Management und die Verwaltung dieser Sicherheitsmaßnahmen.

Quelle: Endpointsecurity.org

Vom Endpunkt her gedacht

An diesem Punkt setzt Endpoint Security an: Wenn von den Endpunkten eines Firmennetzes das größte Sicherheitsrisiko ausgeht - so die Idee -, dann sollte das größte Augenmerk einer Sicherheitsstrategie auch auf deren Überwachung und Absicherung liegen. In der Zwischenzeit hat die Security-Branche das Thema umfassend aufgegriffen und bietet die unterschiedlichsten Produkte dazu an. Dabei ist allerdings nach wie vor auf die uneinheitliche Begrifflichkeit zu achten. So wird anstelle von Endpoint Security immer öfter von Network Access Control (NAC) gesprochen. Hintergrund ist nicht zuletzt eine Einigung zwischen Cisco und Microsoft. Beide Hersteller hatten anfänglich eigene, zueinander inkompatible Techniken entwickelt: Während Cisco "Network Admission Control" (NAC) forcierte, trat Microsoft mit "Network Access Protection (NAP)" am Markt auf. Im September vergangenen Jahres haben die Hersteller nun ein gemeinsames Whitepaper veröffentlicht, in dem sie beschreiben, wie sich beide Techniken im Unternehmen unter einen Hut bringen lassen. Ein eigenes Süppchen in Sachen Namensgebung kochen wieder einmal die Analysten. So redet Forrester bis heute von "Network Quarantine" - nicht ganz zu unrecht, weil Clients bei NAC erst in einem Quarantäne-Modus untersucht werden, bevor die Erlaubnis zum Netzzugriff erteilt wird.

Endpoint Security in der Praxis

Folgende drei hypothetischen Unternehmensszenarien skizzieren unterschiedliche Ansätze zur Endpoint Security:

Der drakonische Ansatz: Alle IT-Geräte (Server, PCs, Anwendungen etc.) sind abgeriegelt (lock down), nichts und niemand kann von außerhalb der Firewall ins Firmennetz. Mit der Zeit wird sich herausstellen, dass nicht alles so zuverlässig abgesichert ist wie vorgesehen - und für derartige Ausnahmefälle dürfte dann kein Notfallplan vorhanden sein. Wegen der drastischen Einschränkungen werden die Anwender viel Zeit darauf verwenden, Sicherheitsmaßnahmen zu umgehen. Im Endeffekt kennt ein solches Unternehmen seinen Sicherheitsstatus nicht wirklich.

Der naive Ansatz: "Unsere Anwender würden nie etwas Schädliches tun. Wir verlassen uns darauf, dass sie ihre Systeme updaten und bei Bedarf eine Personal Firewall installieren. Wir haben eine unternehmensweite Sicherheitsrichtlinie erwogen, aber bisher nicht umgesetzt. Hacker-Attacken, Würmer oder Viren können uns nichts anhaben, weil wir eine Perimeter-Firewall betreiben. Das müsste doch eigentlich reichen, oder?"

Vertrauen ist gut, Kontrolle ist besser: Zugriff auf Netzressourcen kann von innerhalb oder außerhalb des Unternehmens gewährt werden, sofern bestimmte Bedingungen erfüllt sind, Sicherheitssoftware installiert ist und man vom Endanwender erwarten kann, dass er sich an die vorgegebenen Richtlinien hält. Jeder Endpunkt (PC, Thin Client, Smartphone...) wird zunächst grundsätzlich als verdächtig eingestuft, bis er seine "Unschuld" bewiesen hat. Der Zugriff auf Ressourcen kann gewährt werden, wenn ein bestimmter Patch-Level erreicht ist oder aktuelle Virensignaturen vorhanden sind. Der Sicherheitslevel solcher Umgebungen lässt sich recht gut einschätzen.

Quelle: Endpointsecurity.org

Auf welchen Prinzipien basiert nun NAC? In seiner einfachsten Form ist es darauf ausgerichtet, die Sicherheitsrichtlinien eines Unternehmens auf allen Geräten umzusetzen, die sich mit dem Netz verbinden. Ein NAC-System beurteilt die Geräte und ermittelt dabei eine Art Vertrauensstatus. Dieser kann im Fall eines eindeutig identifizierten, vertrauenswürdigen Users besagen, dass nicht mehr als eine simple Login-Authentifizierung des Benutzers erforderlich ist. Ist das Ergebnis jedoch nicht so eindeutig oder hegt die Entscheidungsinstanz Verdacht, wird ein kompletter interner oder externer Scan des Client-Systems erzwungen.

Der externe Scan umfasst die Suche nach bekannten Schwachstellen, offenen Ports oder externen Schnittstellen wie USB, während der interne Scan die Software des Endgeräts unter die Lupe nimmt und dabei den Patch-Status des Betriebssystems, aktive Prozesse oder die Aktualität von Virensignaturen prüft. Ausgehend von dieser Einstufung entscheidet das NAC-System, ob es dem Gerät Zugriff gewährt und wenn ja, zu welchem Grad. Die Kombination von Authentifizierung und Klassifizierung liefert substanzielle Informationen für die Granularität der NAC-Richtlinien.

Ein wichtiger Punkt in der NAC-Methodik betrifft mögliche Veränderungen am Endgerät. Denkbar ist nämlich, dass sich etwa ein Trojaner einnistet, nachdem das Gerät als unbedenklich eingestuft und zugelassen wurde. Für solche Fälle verfügen ausgeklügeltere NAC-Systeme über Suchmechanismen, um schädlichen Code zu entdecken und die Zugriffsrichtlinien gegebenenfalls nachträglich zu modifizieren.

Vier Konzepte im Vergleich

Die Appliance-basierende Lösung "Mirage NAC" kommt ohne Client-Komponenten aus und überwacht sämtliche IP-tauglichen Endgeräte im Netz.
Die Appliance-basierende Lösung "Mirage NAC" kommt ohne Client-Komponenten aus und überwacht sämtliche IP-tauglichen Endgeräte im Netz.

In einem Vergleichstest hat die CW-Schwesterzeitschrift "Infoworld" vier NAC-Produkte verglichen, die für vier verschiedene Konzepte im Bereich Endpoint Security stehen: "Enterasys Sentinel Trusted Access", "McAfee Policy Enforcer", "Symantec Network Access Control" und "Trend Micro Network Virus Wall Enforcer". Kandidat Enterasys bietet eine Richtlinien-Durchsetzung in Form eines Switches. Er setzt dabei auf System-Scanning, Systemstatus und Intrusion-Detection, um den Zustand der potenziell verseuchten Geräte zu ermitteln. Beim Trend-Micro-System handelt es sich um ein Enforcement-Gateway, das die durchlaufenden Datenströme untersucht und dabei Klassifizierzungsinformationen von den Clients sammelt. Anhand dieser Kriterien fällt das System Entscheidungen zur Durchsetzung von Richtlinien.

Symantec wiederum bietet sowohl ein NAC-Gateway als auch eine DHCP-basierende Richtlinien-Durchsetzung. Die Geräte lassen sich in einer NAC-Architektur wahlweise einzeln oder kombiniert einsetzen. Wie Trend Micro nutzt auch Symantec Klassifizierungsagenten auf den Clients und untersucht zudem den Datenverkehr über das Gateway, um zu ermitteln, was zulässig ist und was nicht. Mc-Afees Policy Enforcer verwendet eine Kombination aus einem herstellerunabhängigen Richtlinien-Manager, einem Netzwerk-Access-Requester und einem Statusermittler. Auf diese Weise ermöglicht das System Administratoren die Anwendung fein abgestufter Richtlinien - hierbei können auch Informationen einfließen, die von Antivirus-Programmen anderer Anbieter stammen.

Ein wichtiges Unterscheidungskriterium bei den Testkandidaten ist die Unterstützung für 802.1x-Authentifizierung. Manche Unternehmen benötigen dieses Verfahren, um Anwendern anhand ihrer Identität unterschiedliche Dienste und Stufen des Netzzugriffs zu gewähren. Symantec und McAfee bieten so etwas nicht an.

Infoworld hat nach dem Test folgendes Resümee gezogen: Das Produkt von Enterasys markiert mit den umfassendsten Funktionen und einer hohen Komplexität das eine Ende der Skala. Die Gateway-Lösungen von Symantec und Trend Micro, die eine ausführliche Traffic-Analyse als integralen Bestandteil von NAC ermöglichen, bewegen sich in einer Zwischenposition. Am anderen Ende des Spektrums liegen die Systeme für Richtlinien-Management von Symantec und McAfee, die insbesondere durch eine einfache Bedienung auffallen.

Fortinets "Fortigate 224B" verspricht High-Performance-Switching, Schutz vor vielfältigen Bedrohungen sowie granulare Netzzugangskontrolle in einer Box.
Fortinets "Fortigate 224B" verspricht High-Performance-Switching, Schutz vor vielfältigen Bedrohungen sowie granulare Netzzugangskontrolle in einer Box.

Gateway-basierende Produkte, die den gesamten Netzverkehr kontrollieren, sowie jene, die sich unmittelbar in eine Switch-Infrastruktur integrieren, erlauben komplexe Datenstromanalysen. Ein solches Verfahren ermöglicht auch die Erkennung von Datenanomalien, wie sie beispielsweise beim Ausbruch einer bisher unbekannten Wurmepidemie auftreten. In solchen Fällen werden die Zugriffsrichtlinien automatisch modifiziert, um das Netzwerk zu schützen.

Vor einer Kaufentscheidung sollten Anwender ermitteln, welche Richtlinien sie im Unternehmensnetz erzwingen wollen und ob es dabei notwendig ist, die Vorgaben auf der Basis von Benutzeridentität oder Gruppeninformationen umzusetzen. Eventuell reicht es nämlich aus, Zugangsentscheidungen vom positiven oder negativen Ergebnis einer Authentifizierung abhängig zu machen. In diesen Fällen kann man sich mit Produkten von Symantec und McAfee begnügen. Enterasys und Trend Micro bieten darüber hinaus einen Radius-Proxy - beide können auf diese Weise Benutzer- und Gruppeninformationen als Bestandteile von Regelwerken verwenden.

Aussteller Endpoint-Security auf der CeBIT

Zur Startseite