Endgerätesicherheit

Schichtenmodell für mehr Sicherheit

| Autor / Redakteur: Rainer Richter / Stephan Augsten

Berechtigungsmanagement in der Praxis

Doch wie sieht die derzeitige Praxis in den meisten Unternehmen aus? Mehr als 30 Prozent von ihnen haben keinerlei Richtlinien zur Vergabe von Admin-Privilegien festgeschrieben. In 72 Prozent aller Fälle besitzen zeitweilig beschäftigte Mitarbeiter Administratorenrechte . Und dies, obwohl das Rechtemanagement seit der Einführung von User Account Control (UAC) in den aktuellen Windows-Versionen um ein Vielfaches einfacher geworden ist.

Selbstverständlich benötigen Fachkräfte in der IT-Abteilung – neben Administratoren zum Beispiel auch Anwendungsentwickler – weiterhin die Möglichkeit, tiefer in das System einzugreifen. Aber auch bei anderen User-Gruppen darf die tägliche Nutzung nicht durch undifferenzierte Rechterestriktionen erschwert werden.

In der Praxis bewähren sich hierbei am besten rollenbasierte Privilegien-Management-Lösungen, die auf betriebssystemeigenen Tools wie UAC aufsetzen und mehr Flexibilität bei der Rechtevergabe ermöglichen. Wichtig ist zudem eine enge Integration in die Anwendungsverwaltung, sodass bestimmte Zugriffsrechte aus dem Nutzungskontext heraus direkt von einer Applikation erteilt werden können. Der betreffende User erhält situationsbezogen alle notwendigen Privilegien, wird aber nicht pauschal auf ein zu hohes Rechte-Level angehoben.

Der Nutzungskomfort ist beim Rechtemanagement ein nicht zu unterschätzender Aspekt, bei dem es nicht nur um Help-Desk-Entlastung geht, sondern vor allem um die Akzeptanz der IT-Sicherheitsstrategie im Unternehmen. Und deren Erfolg ist auf eine breite Unterstützung der gesamten Belegschaft angewiesen.

Anwendungen effektiv kontrollieren

Bestandteil der Endgeräte-Sicherung im Windows-Betriebssystem ist ein signaturbasierter Erkennungsansatz, um potenziell schädliche Software aus nicht vertrauenswürdiger Quelle zu erkennen. Allerdings schafft es heutzutage mehr als die Hälfte aller Schadprogramme, diesen Anwendungsfilter zu durchdringen.

Ein weitaus effektiveres Verfahren bietet eine aktive Applikationskontrolle: Zugelassen werden dabei nur solche Anwendungen, die vom IT-Team geprüft und ausdrücklich für den Einsatz im Unternehmen bestätigt worden sind. Diese traditionell schwierige Herangehensweise endet schnell in einem erhöhten Wartungsaufwand für die Erstellung und Pflege einer solchen Whitelist.

Hier hilft ein intelligenter Ansatz weiter, bei dem die vertrauenswürdigen Applikationen auf der Grundlage von bekannten Systemverzeichnissen und standardisierten Referenzsystemen des Unternehmens freigegeben werden, die den administrativen Aufwand auf ein Minimum zu reduzieren. Dies verhindert die Installation und Ausführung von Malware und dem unkontrollierten Softwaredownload argloser Mitarbeiter ist damit automatisch ein Riegel vorgeschoben.

Sandkastenspiele? Aber sicher!

Indes verbergen sich weitere Gefahrenquellen in unterschiedlichsten Dokumenten, die aus dem modernen Arbeitsalltag nicht mehr wegzudenken sind, etwa PDF- und Office-Dateien. Dazu folgendes Beispiel: Ein Mitarbeiter lädt ein infiziertes Dokument aus dem Internet herunter, oder die Webseite ist mit einem Drive-by-Exploit infiltriert.

Der Angriff bleibt unentdeckt; die Datei wird von einem durch die Applikationskontrolle bestätigten Programm wie dem Internet Explorer, einer Office-Anwendung oder dem Adobe Acrobat Reader geöffnet. Weder die Antivirussoftware noch die Anwendungskontrolle schlägt Alarm, sodass der Schadcode nahezu ungehindert auf Daten und Programme des befallenen Endgeräts zugreifen kann.

Downloads aus dem Internet gänzlich zu verbieten, ist im Online-Zeitalter sicherlich keine vernünftige Option. Ratsam ist stattdessen das sogenannte Sandboxing, bei dem alle Inhalte aus unbekannter Quelle in einem isolierten Bereich – eben der Sandbox – gespeichert werden. Getrennt von Daten und Programmen können sie somit keinerlei Schaden auf dem Endgerät verursachen.

Ein großer Vorteil des Sandkastenprinzips besteht darin, dass es bei intelligenter Umsetzung so gut wie keine Nutzungseinschränkungen für die Anwender mit sich bringt. Intelligent heißt in diesem Kontext, dass eine entsprechende Lösung zum Beispiel sämtliche Dokumente klassifiziert, nachvollzieht und alle Dateien aus dem Internet ausschließlich in der Sandbox ablegt. Dort können sie beliebig geöffnet, geändert und ausgedruckt werden – ohne die Sicherheit des Endgerätes im Geringsten zu bedrohen.

* Über den Autor

Rainer Richter ist Sales Manager Channels bei Avecto.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43843613 / Endpoint)