Lesedauer: ca. 3 Min
Wenn wir Sie spontan fragen würden, ob Sie wissen, wer welchen Zugriff auf Ihr Firmennetzwerk hat … hätten Sie eine Antwort? Können Sie sagen, wer Ihr Gäste WLAN benutzen kann, weil er in der Vergangenheit schon einmal Zugang dazu erhalten hat? Werden weitere Fremdzugriffe verhindert und Zugriffe generell protokolliert?
Unbefugte Netzwerkzugriffe haben gravierende Auswirkungen auf Unternehmen – die Gefahr eines Datenklaus ist akut. Und wenn einzelne Komponenten innerhalb des Netzwerks unbemerkt infiziert werden, geschieht dies über einen längeren Zeitraum.
Um solche Situationen zu vermeiden (und ihr Unternehmen auf diesem Gebiet rechtsicher zu machen) ist es sinnvoll, das Netzwerk mit einem Werkzeug zur Zugriffskontrolle zu versehen. Zumal selbst eine funktionierende Firewall kein Garant für besagte Sicherheit ist – mobile Endgeräte (vor allem BYOD) und Cloud-Anwendungen sind klassische Einfalltore in sensible Bereiche.
Unter all diesen Gesichtspunkten macht eine Zugriffskontrolle (und – in Erweiterung – Identitätskontrolle) Sinn. Wer mit welchen Geräten auf welche Systemressourcen zugreifen kann, lässt sich damit lückenlos erfassen bzw. reglementieren. Im Englischen hat sich in diesem Zusammenhang das Kürzel IAM (für Identity and Access Management) etabliert.
In diesem Zusammenhang wird grundlegend zwischen 2 Arten der Zugriffskontrolle unterschieden: Der physischen (Zugangslimitierung zu Arealen, Gebäuden und Räumen) und der logischen (Zugangslimitierung zu Netzwerken, Ordnern und Dateien). Zudem spricht man von 4 primären Kategorien:
– Verbindlicher
– Frei (vom Anwender) bestimmbarer
– Rollen-basierter und
– Richtlinien-basierter Zugriffskontrolle
Entsprechende Anwendungen fungieren als ‘digitaler Türsteher’. Neben den Zugangsdaten zum Unternehmens-WLAN werden weitere personenbezogene Informationen abgefragt, um sich im wahrsten Sinne des Wortes auszuweisen und so Zugang zu erhalten. Diese Informationen sind im Netzwerk selbst hinterlegt (z.B. in der AD) und bedürfen deshalb administratorseitig keiner doppelten Pflege. Abgefragt werden Anmeldeinformationen wie Passwörter, PINs, biometrische Scans oder physische bzw. elektronische ‘Schlüssel’.
Ist das System zur Zugriffskontrolle entsprechend ausbaufähig bzw. zukunftssicher, sind damit noch etliche weitere Parameter konfigurier- und zum Zwecke der Netzwerksicherheit anwendbar:
– Ungewöhnliche Anmeldezeiten oder -situationen werden berücksichtigt
– Die Einwahl aus dem Home Office, aus Filialen oder einem Tochterunternehmen wird entsprechend reglementiert
– BYOD und Unternehmens-Hardware werden individuell betrachtet
– Arbeitszeiten haben Auswirkungen auf die Zugriffsrechte
– Auf von der Norm abweichenden Netzwerkverkehr wird hingewiesen
In der Praxis kann die Unternehmensleitung so z.B. festlegen, dass Kollegen bei einem Netzwerkzugriff nach Feierabend oder am Wochenende nur Mails abrufen können; weiterführende Zugriffsrechte gibt es dann nicht. Und falls der Kollege mit dem festinstallierten PC im Büro sich auf einmal per VPN mit einem Privat-Laptop anmeldet, können weiterführende Maßnahmen zur Wahrung der Netzwerksicherheit eingeleitet werden.
IAM-Systeme lassen sich recht unkompliziert und am besten in mehreren Projektschritten im Unternehmen einführen: Zuerst werden die Mitarbeiterzugriffe kontrolliert. Greift das hier definierte Regelwerk, aktiviert man die Anwenderauthentifizierung. Im Gegensatz zu einer traditionellen Lösung über feste IP-Adressen wird so übrigens sowohl die Hardware als auch die Personen dahinter geprüft (ganz abgesehen vom geringeren Umsetzungsaufwand).
Unser Partner in diesem Zusammenhang ist das Unternehmen Macmon mit Sitz in Berlin und seinem Produkt NAC. So wird zudem garantiert, dass DSGVO-seitig alles mit ‘rechten Dingen’ zugeht.
Sie haben Fragen zum Thema ‘Zugriffskontrolle’ oder zu weiteren IT-Sicherheitsthemen? Sie möchten wissen, wie sicher ihr Netzwerk im Hinblick auf Fremdzugriffe wirklich ist? Wir beraten Sie gerne und sind spezialisiert auf passende Sicherheitsanalysen. Kontaktieren Sie uns unter der kostenfreien Nummer 0800 4883 338 oder vereinbaren Sie direkt hier einen Anruftermin.
Autor: Manuel Büschgens
