Startseite
No. 02.2008		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheitsupdate 2009 – was bringt das nächste Jahr?

Lohnenswerte Investitionen in integrierte GRC-Lösungen

WAN-Optimierung ja, aber nur schnell und sicher

Den Sicherheits-Gau vermeiden – durch konsequente Überwachung

DLP - Möglichkeiten und Grenzen einer Technik

Der neue Kampf um eine verbesserte Client-Sicherheit
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

Die neue Client-Sicherheit – der Kampf geht weiter

Patrick Schraut, Business Development Manager, CISSP Identity and Access Management
Sicherheit am Client – Trends und Standards
Eine zunehmend mobiler werdende Arbeitswelt bringt es mit sich, dass sich die Anforderungen im Hinblick auf die IT-Sicherheit immer mehr vom zentralen Netzwerk auf die Arbeitsplatz-PCs verlagern. Insbesondere betrifft dies z. B. Notebooks, über die möglicherweise schädliche Inhalte ins Unternehmensnetz gelangen können, aber durchaus auch Desktop-PCs: vertrauliche Daten könnten hier etwa über USB-Sticks abgezogen werden.

Lange Zeit galt genau ein Security-Produkt als Basisschutz gegen Angriffe von außen - der Virenscanner. Mit einem sich verändernden und wachsenden Bedrohungszenario wurden jedoch weitere Sicherheitsprodukte entwickelt. Heute ergänzen Unternehmen ihre IT-Sicherheit rund um die bekanntesten Mechanismen wie Festplattenverschlüsselung, Personal Firewall/IPS oder Schnittstellenkontrolle je nach Anwendungszweck noch um zusätzliche Lösungen wie VPN Client, NAC Client oder ein DLP-System.

Bei dieser Vielfalt von Sicherheitsprodukten auf dem Client stellt sich natürlich die Frage: Inwieweit lässt sich mit solchen abgesicherten Systemen überhaupt noch sinnvoll arbeiten? Und spätestens wenn man versucht, alle Komponenten zur Zusammenarbeit zu bewegen, zeigt sich, dass diese Frage durchaus berechtigt ist. Stellen Performance-Probleme vielleicht noch das geringste Übel dar, behindern regelmäßige Bluescreens, die durch nicht aufeinander abgestimmte Lösungen verursacht werden, jedoch die tägliche Arbeit erheblich.

Komplette Suiten fördern Integration?
Die Anbieter von Sicherheitslösungen haben dies bereits erkannt und bieten mittlerweile komplette Suiten für die gesamte Range an notwendigen Sicherheitssystemen an – zumindest versprechen die Hersteller dies in der Theorie. So sollen Kompatibilitätsprobleme durch umfangreiche Tests der Hersteller sowie die genaue Abstimmung zwischen den einzelnen Modulen ausgeschlossen werden. Auch die Performance soll keine Probleme mehr verursachen, da der Virenscanner die Daten ja sowieso überprüfen muss und sich andere Module so gleich „mit einklinken“ können.  Und selbstverständlich erfolgt das Management aller Einzellösungen über ein einziges zentrales System. Für Leid geprüfte Administratoren sind solche Aussagen natürlich Balsam für die Seele – aber inwieweit kann man diesen Versprechungen in der Praxis trauen?

Endpoint Security-Suiten im Test
Beschäftigt man sich etwas mit der Historie der einzelnen Komplettlösungen, beantwortet sich diese Frage fast schon von alleine. Gezeigt sei dies am Beispiel drei aktueller Anbieter im Markt: CheckPoint, Sophos und McAfee. Alle drei bieten komplette Endpoint Security-Suiten an, allerdings sind Eigenentwicklungen hier nur in der Minderheit anzutreffen. CheckPoint etwa ergänzt seine eigenen Lösungen mit Produkten der vormals übernommenen Firmen Pointsec (Festplattenverschlüsselung), Reflex (Schnittstellenkontrolle und Device Encryption) und Zonelabs (Personal Firewall) sowie auch mit OEM-Lösungen von Kaspersky (Antivirus). Auch McAfee übernahm letztes Jahr mit Safeboot einen Anbieter von Festplattenverschlüsselung und hat kürzlich den Aufkauf einer weiteren DLP-Lösung bekanntgegeben (nach Onigma folgt jetzt Reconnex). Und Sophos hat sich mit der angekündigten Übernahme von Utimaco (primär Verschlüsselung) jetzt ebenfalls in die Liga der Komplettanbieter eingekauft. Etwas gesunder Menschenverstand reicht hier, um zu verstehen, dass die versprochenen Vorteile in einer so kurzen Zeit nach einem Aufkauf noch nicht umgesetzt sein können. Während Sophos mit der Integration von Utimaco wahrscheinlich sowieso erst nächstes Jahr beginnen wird, ist McAfee hier schon einen Schritt weiter und bietet zumindest eine zentrale Softwareverteilung über einen einheitlichen Installer an. Die am weitesten fortgeschrittene Integration bietet momentan das Unternehmen CheckPoint, das bereits seit Mitte August einen einheitlichen Client mit einem Installer sowie einer Oberfläche für den Endanwender liefert.

Natürlich stellt sich jetzt damit die Frage, ob eine kurz- bis mittelfristige Entscheidung zur Investition in die angekündigten Suiten der richtige Schritt ist oder ob Unternehmen mit einem gemischten ‚Best of Breed’-Ansatz zur Zeit noch die besseren Ergebnisse erzielen können.

Integralis empfiehlt: Vorteile schon jetzt mitnehmen
Integralis’ Empfehlung hierzu ist eindeutig: Die zunehmenden Bedrohungen erfordern notwendigerweise eine immer größere Anzahl von Sicherheitsmaßnahmen am Client. Einzelne Pakete werden sich erwartungsweise auf Dauer sicher nicht sinnvoll betreiben lassen können und daher macht es absolut Sinn, sich mit den Einschränkungen der Suiten schon einmal vertraut zu machen und die bereits jetzt existierenden Vorteile (sowohl finanzieller als auch technischer Art) auf jeden Fall mitzunehmen. Natürlich sollte jedem dabei klar sein, dass - auch wenn die Hersteller ihre Systeme als Komplettpakete bezeichnen - damit erst ein kleiner, wenn auch wichtiger Schritt in Richtung sicherem Client getan ist.

Z. B. deckt noch keiner der Hersteller zwei weitere wichtige Themen in Punkto IT-Sicherheit ab: Zum einen gibt es noch keine integrierte Lösung für eine sinnvolle Authentifizierung und zum anderen fehlen Angebote für die Sensibilisierung sowie das Training der Endanwender. Dabei stellt gerade heute eine sichere Authentifizierung die Basis für fast alle Sicherheitslösungen auf einem Client dar. Denn eine Festplattenverschlüsselung hilft beispielsweise wenig, wenn Username und Passwort auf dem Notebook kleben. Auch die Schnittstellenkontrolle kann leicht umgangen werden, wenn man sich mit einem administrativen Account anmeldet, ebenso können DLP und NAC ihre Sicherheitsfeatures nur in Verbindung mit einem sicher authentifizierten User wirklich umsetzen.

Wenn Unternehmen die neuen Endpoint Security-Suiten sinnvoll einsetzen – also zusammen mit einer Authentifzierungslösung wie z. B. Smartcards und einer mit einem Training kombinierten Endanwendersensibilisierung – kann mit diesen Lösungen bereits heute ein sehr gutes Verhältnis von Sicherheit und Aufwand erreicht werden. Informieren Sie sich gerne bei Integralis über den aktuellen Stand der Systeme sowie die künftige Roadmap der Hersteller. Ganz unternehmensspezifisch können wir Ihnen die jeweiligen Vor-, aber auch Nachteile eines Umstiegs auf eine Security-Suite gegenüber dem Festhalten an einem ‚Best of Breed’-Ansatz aufzeigen.


E-Mail an den Autor     Artikel weiterempfehlen