English

Die Rolle von personenorientierten Sicherheitssystemen und Defense-in-Depth

von VPNHaus | 03.09.2013 |2 Factor Authentication, Endpoint Management, IT policy, Rethink Remote Access, VPN

Kann es sein, dass IT-Administratoren eigentlich zu viel für die Sicherheit ihrer Unternehmensnetzwerke tun? Mit einem Blick auf die Geschwindigkeit, mit der sich die Sicherheitsumgebung von Unternehmen ändert, scheint dies zunächst eine nahezu rhetorische Frage. Jedoch wächst die Besorgnis, dass die vielen vorhandenen Remote Access-Richtlinien und -Verfahren mehr Schaden als Nutzen bringen. Tatsächlich ging Research Vice President Tom Scholtz kürzlich beim Gartner Security and Risk Management Summit so weit zu sagen, dass „wir das Rennen verloren haben bei unserem Versuch, alles zu kontrollieren“. Hat er vielleicht recht?

Ein kürzlich veröffentlichter ZDNet-Artikel bekräftigt die Aussage von Scholtz. Die ständigen Kontrollen sind deshalb problematisch, weil  die einzelnen User selten in einer Weise angesprochen werden, die ihnen die Wichtigkeit der Kontrollen begreiflich macht. Wenn Mitarbeiter, die während ihrer Arbeit von außerhalb auf das Netzwerk zugreifen, nicht verstehen, wofür bestimmte Protokolle da sind, werden sie diese vermutlich nicht einhalten. Was aber wäre, wenn Unternehmen die Gefahren der Nichteinhaltung von Remote Access-Richtlinien besser erklären würden? Würde das diesen Mitarbeitern den notwendigen Anreiz bieten? Scholtz jedenfalls vertritt diese Ansicht.

Laut diesem Artikel liegt der Schlüssel zur Lösung des Problems in der Einrichtung eines personenorientierten Sicherheitssystems (PCS) seitens der Unternehmen. Damit dieses System Erfolg hat, muss die gesamte Organisation sicherheitsorientiert sein. Dies lässt sich am besten durch Mitarbeiterschulung und Sensibilisierung erreichen. Scholtz vergleicht dieses Konzept mit dem Modell der „Shared Spaces“, welches von Hans Monderman, einem berühmten niederländischen Straßenverkehrsingenieur und Innovator entwickelt wurde. Seine Idee, dass Fahrzeuge und Fußgänger die Straßen bei minimaler Beschilderung gemeinsam nutzen, erscheint vielleicht gefährlich.  Es bewirkt jedoch, dass die Verkehrsteilnehmer mehr auf ihre Umgebung achten und dadurch die Anzahl von Unfällen vermindert wird.

Es ist wichtig anzumerken, dass ein PCS-System allein keine ausreichende Verteidigung darstellt. Es wurde vorwiegend dafür entwickelt, die Sicherheit von internen Stellen des Unternehmens zu verbessern. Scholtz gesteht sogar ein, dass von Zeit zu Zeit etwas schief gehen muss. In diesen Fällen ist PCS ein wichtiges Mittel zum Zweck – eine Defense-in-Depth-Strategie.

Obwohl Unternehmen bestimmte Sicherheitsprotokolle möglicherweise nicht mehr verwenden, ist es unwahrscheinlich, dass IPsec und SSL VPNs, Firewalls, Zwei-Faktor-Authentifizierung und andere Verteidigungsmechanismen von der Bildfläche verschwinden werden. Tatsächlich könnten Remote Access-Technologien wie diese in Zukunft sogar weiterentwickelt werden, wie beispielsweise die Elliptical Curve Cryptography (ECC). Diese Entwicklungen werden wahrscheinlich von einer Verlagerung in Richtung VPNs mit zentralem Management begleitet, wenn Unternehmen ihre Sicherheitsstrategie überdenken. Sie werden nach Möglichkeiten suchen, wie Netzwerkadministratoren auf Sicherheitslücken spontan reagieren können. Neben einem zentralen Management bieten integrierte Sicherheitskonzepte weitere präventive Sicherheit, indem sie die Kommunikation der Sicherheitskomponenten und den automatisierten Remote Access ermöglichen. Es wird zweifellos interessant sein zu sehen, wie PCS-Ansätze in Defense-in-Depth-Lösungen und verbesserten Sicherheitskonzepten integriert werden.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK