Dipl.-Ing. Christian Weber MBA Technischer Leiter D/A/CH NetOp Tech GmbH Fachbeitrag Desktop Policies Policies als grundlegende Instrumente der IT-Sicherheit Kommunikation, Spezifikation und Durchsetzung von unternehmensspezifischen IT- Sicherheitsanforderungen am Beispiel des Desktop/Laptop-Bereichs Während die IT-Sicherheit in der Vergangenheit noch überwiegend als rein technisches Thema angesehen wurde, das im Bereich der Netzwerker und Systemadministratoren angesiedelt ist, so hat sich diese Sicht in letzter Zeit gewandelt. Mittlerweile betrifft IT- Sicherheit immer mehr die Belange der Unternehmenspolitik, und damit stellt sich folgende Frage: Wie kommuniziert eine Firma ihren Kunden, Partnern und Mitarbeitern die unternehmenseigene Einstellung zum Thema IT-Sicherheit? Dem Kunden wird eine Firma ihre Sicherheitskonzept wohl am ehesten über eine entsprechende Informations- und Marketingpolitik zum Thema nahe bringen und die ihm zur Verfügung stehenden Schnittstellen zum Unternehmen, wie etwa E-Business-Plattform oder Call Center, entsprechend restriktiv auslegen können. Wie aber geht man dann mit Partnern, deren Systeme mit den eigenen vernetzt sind, und seinen Mitarbeitern um? Hier gilt es, durch Information ein entsprechendes Problembewusstsein zu schaffen, insbesondere wenn der Fokus stark auf dem direkten Einflussbereich des Benutzers liegt. Eine weitere sehr wichtige Maßnahme ist die Definition, Kommunikation und Durchsetzung von Anweisungen (Policies), wie die Anwender die unternehmenseigene IT- Infrastruktur nutzen und wie sie sich beim Einsatz verhalten sollen. Was versteht man unter Policies/Anweisungen im Kontext IT-Sicherheit? Policies kommen innerhalb der gesamten IT-Sicherheitskette [[siehe Bild 1]] zum Einsatz und existieren im Wesentlichen in zwei Ausprägungen: als Regeln und Konfigurationen für Soft- und/oder Hardware (Technische Policies) als (Handlungs-)Anweisungen an Mitarbeiter und Partner (Human Policies) Exakter wäre es eigentlich, die technischen Policies als die lesbaren Anweisungen zum generieren der Regeln und Konfigurationen der Hard- und Software zu bezeichnen. Im Rahmen dieses Beitrages jedoch sollen die Policies beider Art und die aus den Policies abgeleiteten Konfigurationen und Regeln gleichgesetzt sein.
Technische Policies umfassen all diejenigen Regeln, die in irgendeiner Form das Verhalten informationstechnischer Sicherheitseinrichtungen beeinflussen. Dies sind im peripheren Bereich zum einen Konfigurationsdateien und Filterregeln für Router und Firewalls, aber auch Regeln und Listen (Black- und Whitelists), die das Verhalten von Netz- und Content-/Spamfiltern bestimmen. Fortgesetzt wird dies innerhalb des Unternehmensnetzes, denn hier regeln Policies beispielsweise die Bedingungen unter denen ein Rechner die Netzwerkinfrastruktur nutzen darf (NAC - Network Access Control), wie und welche Ressourcen des Betriebssystems und der Serverlandschaft einem Benutzer zur Verfügung stehen (Microsoft Sicherheitsrichtlinien) und welche Anwendungen auf einem Anwendersystem laufen dürfen, beziehungsweise welche nicht (Desktop Firewall, Application Control). Nicht zu vergessen: die Regeln für den obligatorischen Virenschutz. [[Bild 1: Die Sicherheitskette und die Wirkungsbereiche der unterschiedlichen Policies]] Unter Human Policies sind die auf den Mitarbeiter, Partner oder Besucher des Unternehmens ausgerichteten Verhaltens- und Reaktionsregularien zu verstehen, die diese zur Kenntnis zu nehmen und zu befolgen haben. Hierbei handelt es sich zum einen um Verhaltensregeln beim Einsatz elektronischer Kommunikationsmedien, wie zum Beispiel E-Mail, SMS, MMS, etc.. Zum anderen regeln Human Policies, welche Daten das Unternehmen verlassen dürfen, zum Beispiel als Anhänge von E-Mails oder Dateitransfer. Ferner geht es um Regeln für Passworte und deren Weitergabe, das Verhalten bei ungewöhnlichen Vorkommnissen in Verbindung mit Anwendungen und Rechnernutzung, Fachbeitrag [[Desktop Policy]] / Seite 2
Virenausbrüchen sowie realen als auch Pseudoinformationen zum Thema Virenschutz oder IT-Sicherheit. Im Gegensatz zu den technischen Policies sind Human Policies unmittelbar durch Menschen zu befolgen. Deshalb sollten Human Policies deutlich ausgefeilter und detailreicher verfasst sein sowie auf den jeweiligen technischen Wissensstand der Anwender angepasst sein. Je ausgefeilter und moderner die Anwendung, desto geringer wird das Verständnis der Benutzer in punkto technische und sicherheitsrelevante Zusammenhänge sein. Zur Unterstützung und Umsetzung der für Mitarbeiter, Partner und Besucher verbindlichen Policies werden im Allgemeinen unterschiedliche Werkzeuge eingesetzt, wie zum Beispiel Virenschutz, Desktop Firewall, Anwendungsfilter, Verschlüsselung und Signatur, Sicherheitsrichtlinien, Device-Locks oder biometrischer Passwortersatz. Alle diese Werkzeuge können nur dann effizient und effektiv arbeiten, wenn die Möglichkeit gegeben ist, die eingesetzten Werkzeuge zentral und situationsangepasst zu administrieren. Diese Werkzeuge dienen im Wesentlichen der Unterstützung des Anwenders, sollen diesen aber keinesfalls entmündigen. Der Einsatz solcher Hilfsmittel befreit Unternehmen nicht von der Grundaufgabe, dem Anwender ausreichende Kenntnisse über seine Arbeitsumgebung zu vermitteln. Vielmehr muss ein Anwender selbst erkennen können, wann Anomalitäten bezüglich der genutzten Systeme vorliegen und wie er mit ungewöhnlichen Situationen umgehen soll. Warum Desktop Policies entwickelt und Desktop-fokussierte Schutzmaßnahmen durchgeführt werden sollten Häufig betrachten auch Sicherheitsverantwortliche oder zusätzlich mit Sicherheitsaufgaben betraute Systemadministratoren die Notwendigkeit von Desktop-basiertem Schutz eher skeptisch. Vielfach wird noch akzeptiert, dass der Laptop eines Außendienstmitarbeiters einen höheren Schutzbedarf besitzt, als ein Desktop im Unternehmen. Aber dass der Desktop wenn man den gängigen Untersuchungen trauen darf sogar das größte Einfalltor für Sicherheitsverletzungen ist, wird bisweilen gar nicht realisiert. [[Die Aussagen im Folgenden betreffen in aller Regel sowohl stationäre Rechner als auch ortsunabhängige Rechner, die in der Folge alle unter dem Begriff Desktop angesprochen werden.]] Der Einsatz eines Virenschutzes auf dem Desktop ist in aller Regel auch schon der ganze Aufwand, der in Unternehmen betrieben wird. Was aber ist mit der Tatsache, dass auf einem Desktop auch extern mitgebrachte Datenträger (USB-Stick, CD-ROM, DVD, USB Festplatten, PDAs, Handys, usw.) angeschlossen werden können? Von diesen Datenträgern können neben vielleicht noch nutzbringender Software, wie etwa elektronische Kataloge Fachbeitrag [[Desktop Policy]] / Seite 3
der Zulieferer auch Viren, Trojaner, Spiele oder schlicht lizenzrechtlich bedenkliche Kopien von Anwendungssoftware installiert werden. Handelt es sich um bekannte Schadsoftware, so wird man hören: Das macht dann der Virenscanner. Aber wie verhält es sich mit unbekannten neuen Viren oder extrem alten, die mittlerweile nicht mehr gesucht werden? Hier hilft nur, die Situation zu analysieren und entsprechende Policies zu entwickeln. Dies kann und sollte dann zum Beispiel bedeuten, dass auch auf Desktops im Unternehmen und nicht zu vergessen: Home Offices entsprechende Schutzsoftware installiert und administriert werden muss. Entsprechend dem vorangegangenen Szenario besteht die Möglichkeit, entweder durch so genannte Device-Locks keine oder nur ausdrücklich genehmigte Geräte zur Verbindung mit dem Desktop zuzulassen. Dies geschieht, indem man mittels Software eine Verbindung mit der jeweiligen Schnittstelle unterbindet. Eine weitere Möglichkeit, die noch zusätzliche Vorteile mit sich bringt, ist die Installation einer Desktop Firewall mit Applikationsfilter, die das Starten und die Installation von nicht ausdrücklich genehmigter Software unterbindet. Der zusätzliche Gewinn liegt darin, dass der Desktop auch bei einem extremen Virus Outbreak in der Totzeit zwischen erstem Auftreten des Virus und Bereitstellung des Suchmusters durch die Antiviren- Softwarehersteller geschützt ist. Verschärft wird die Situation natürlich noch bei Rechnern, die nur selten im Unternehmen sind, und bei denen der aktuelle Sicherheitszustand unklar ist, die aber aufgrund der Unternehmenszugehörigkeit ganz normal ans Netz gehen können. Ähnliches gilt auch bei Rechnern, die von externen Unternehmen wie Beratern oder Dienstleistern im Bereich des eigenen Unternehmensnetzes eingesetzt werden. Das heißt: Es können prinzipiell auch Unternehmensrechner, die das Gebäude nie verlassen haben und vielleicht noch nicht einmal einen Internetzugang besitzen, über diesen Weg infiziert werden oder durch eine Freigabe eines der fremden Rechner Software installieren. Um solche und andere denkbare Probleme und derer gibt es viele in den Griff zu bekommen, ist es notwendig, Desktop Policies zu entwickeln und deren Einhaltung konsequent zu verfolgen. Welche Vorteile bieten Desktop Policies für die beteiligten Stakeholder: Administratoren, Anwender, Unternehmen und Unternehmensleitung? Ein ganz wesentlicher Punkt beim Einsatz von Policies und speziell Desktop Policies ist die Tatsache, dass alle Beteiligten auf ein klar definiertes Regelwerk und Zuständigkeiten zurückgreifen können. Gerade im Wirkungsbereich von Desktop Policies treffen sehr unterschiedliche Interessensgruppen mit deutlich voneinander abweichenden bis konträren Anforderungen an die zu schützende IT-Infrastruktur aufeinander. Deshalb ist es gerade hier dringend erforderlich, einmal grundsätzliche Regeln auszuarbeiten, mit denen dann alle Beteiligten hoffentlich auch leben können. Wichtig ist Kompromissbereitschaft und Verständnis für die jeweilige Situation. Deshalb besteht die dringende Notwendigkeit, Fachbeitrag [[Desktop Policy]] / Seite 4
Desktop Policies in einem Team mit Vertretern aller Stakeholdergruppen zu entwickeln. Die Vorteile, die sich nach der Entwicklung von Desktop-Policies ergeben, wiegen den anfänglichen Aufwand insgesamt wieder auf, auch wenn man nicht vergessen darf, dass die Entwicklung von Policies kein statischer Prozess ist. Vielmehr muss ein Unternehmen seine Policies regelmäßig auf ihre Sinnhaftigkeit und Wirksamkeit hin überprüfen und überarbeiten. Existierende Policies bewirken technische, organisatorische, rechtliche und monetäre Vorteile: Administratoren müssen nicht jeden Tag aufs Neue diskutieren, warum bestimmte Einschränkungen gegeben sind, und können sich besser auf die Umsetzung der Policies in Regeln und Konfigurationsprofile für die eingesetzte Hard- und Software konzentrieren. Es ist für alle Beteiligten klar, wer für was verantwortlich ist und wie er zu reagieren hat. Eskalationswege sind beschrieben. Es wird den juristischen Anforderungen aus geltenden Gesetzen wie AktG, HGB, GmbHG, BDSG, KontraG, StGB und den Anforderungen im Rahmen von Basel II oder Solvency Act genüge getan. Durchdachte Policies sorgen in aller Regel auch für Kosteneinsparungen im Helpdeskbereich und der Handhabung von Sicherheitsproblemen. Unternehmensweite Kommunikation und Verbreitung von Policies Ein ganz essentieller Punkt ist die Frage, wie sich verabschiedete Policies im Unternehmen kommunizieren, respektive verteilen lassen. Dabei gibt es im Wesentlichen wieder zwei Problemstellungen: 1. Technische Policies müssen in Form von Konfigurationsdateien und/oder Regeln transformiert und in die entsprechende Soft- oder Hardware eingespielt werden. 2. Human Policies müssen den betroffenen Personen zur Kenntnis gebracht und inhaltlich vermittelt werden. Teilweise empfiehlt es sich auch, den Policies im Rahmen einer internen Prüfung und eventuellen Zertifizierung ein deutliches Gewicht zu verleihen. Technische Policies lassen sich bei heutiger Software über entsprechende Verteilungsmechanismen der Tools selber (zum Beispiel NetOp Policy Server als zentraler Verteiler für NetOp Desktop Firewall)[[siehe Bild2]], via Softwareverteilung oder aber über Remote Control-Lösungen verteilen und überwachen. Die beste Lösung stellen in aller Regel die Verteilungsmechanismen der jeweiligen Software da. So ist es beispielsweise mit dem NetOp Policy Server sehr einfach möglich, kaskadierend über Standortgrenzen hinweg Fachbeitrag [[Desktop Policy]] / Seite 5
Policies für die Desktop Firewalls zu verteilen und auf den Desktop geblockte Programme nach Untersuchung durch den Administrator selektiv freizugeben. Informieren, Trainieren und Kontrollieren Schwieriger wird es da bei der Kommunikation mit Mitarbeitern, Partnern und Dienstleistern. Denn hier reicht es nicht aus, einen Verteilungsprozess etwa via Hauspost oder Massenmailing anzustoßen. Vielmehr kommt es ganz grundlegend darauf an, dass die Adressaten die Notwendigkeit des vorgegebenen Verhaltens und die tatsächlichen Zusammenhänge verstehen, um sich dann auch überzeugtermaßen nach den Vorgaben zu richten. Die Androhung von Strafen, selbst drakonischer Strafen, hilft da eher wenig. Es ist also notwendig, die Adressaten zu schulen. Dies kann ohne weiteres via E-Learning geschehen. Aber es sollte auf jeden Fall eine Form der Wissenskontrolle stattfinden. Denn einerseits sollen die Policies ernst genommen werden und andererseits darf nicht eine Form von Halbwissen entstehen, die unter Umständen eine schlechtere Situation als die Ausgangssituation erzeugt. Das Überprüfen der Einhaltung von Policies birgt zusätzliche Probleme, da dies häufig auch als Leistungskontrolle der Mitarbeiter missverstanden wird. Deshalb sollte ein Unternehmen unbedingt eine offene Informationspolitik über seine Policies und deren Kontrolle verfolgen sowie die Mitarbeitervertretung unbedingt von Beginn an mit einbeziehen. [[Bild 2: Policy Verteilung am Beispiel NetOp Desktop Firewall mit NetOp Policy Server]] Fachbeitrag [[Desktop Policy]] / Seite 6
Policies als ein wichtiges Instrumentarium für die Definition und Kommunikation von Sicherheitsmaßnahmen und Anforderungen sind Stand der Technik und bedürfen zum einen der technischen Unterstützung bei Definition und Administration aber auch der aktiven Kommunikation und des Trainings. Nur so ist es möglich, ein auf Dauer sinnvolles und wirksames Sicherheitskonzept für das eigene Unternehmen zu entwickeln. Dabei helfen Tools wie etwa die NetOp Security Suite. Aber ohne den Einsatz von engagierten Mitarbeitern aller Unternehmensbereiche wird nie ein sinnvolles Ganzes geschaffen. [[Anschläge]] 13.546 Zeichen [[Verfasser]]Dipl.-Ing. Christian Weber MBA, Technischer Leiter D/A/CH, NetOp Tech GmbH [[Links]] www.bsi.de, Bundesamt für Sicherheit in der Informationstechnik www.it-audit.de, Vielfältige Informationen rund ums Thema IT-Audit/IT-Security www.isaca.org, Information Systems Audit and Control Association www.klicksafe.de, Deutscher Knotenpunkt des europäischen Informationsportals zur Medienkompetenz (Awareness / Verständnis) www.bitkom.de, Bundesverband Informationswirtschaft Telekommunikation und neue Medien e.v. (Interessante Leitfäden unter Publikationen & Praxishilfen) www.netop.com/de, Deutsche Website von NetOp Tech [[Bildunterschriften]] [[Bild 1]] Die Sicherheitskette und die Wirkungsbereiche der unterschiedlichen Policies [[Bild 2]] Policy Verteilung am Beispiel NetOp Desktop Firewall mit NetOp Policy Server [[Kurzbiografie]] Christian Weber verantwortet als Technischer Leiter bei der NetOp Tech GmbH die interne IT sowie die Bereiche Service, Support und Training. Der Schwerpunkt liegt dabei auf der Qualifizierung und professionellen Unterstützung der NetOp Tech-Partner in Deutschland, Österreich und der Schweiz. Fachbeitrag [[Desktop Policy]] / Seite 7