Q&A zur IT Bereitstellung für Anwender

von Jürgen Hönig

Es ist leicht neuen Mitarbeitern einer Firma einen IT Zugang zu geben, aber eine schlechte Bereitstellungspolitik kann zu teuren und vor allem unwiderruflichen Datenlecks führen. Wie können Firmen sicherstellen, dass sie von der Bereitstellung profitieren, aber dennoch ihre Daten schützen?

Die VPN Bereitstellung sollte so automatisiert wie möglich ablaufen, um „Bedienfehler“ zu vermeiden, die durch hohe Arbeitsbelastung oder ungeplante Abwesenheit, usw. entstehen können.
Aber auch der beste, automatisierte Prozess kann zu gefährlichen Sicherheitslücken führen, wenn er nicht richtig durchdacht wurde. Üblicherweise geht die Bereitstellung bzw. die Sperrung eines Zuganges nicht von der IT-Abteilung aus, sondern von der Personalabteilung, nachdem diese die Entscheidung getroffen hat einem Mitarbeiter oder einem Externen (temporär oder permanent) Zugang zum Firmennetz zu gewähren oder zu entziehen. Aus diesem Grund müssen entsprechende Prozesse definiert werden, dass diese Arten von Entscheidungen in die relevanten Datenbanken eingetragen werden, wo sie dann von der IT weiterverarbeitet werden können. Deshalb benötigt eine Remote Access Lösung die nötigen Eingabefelder, um mit den zugehörigen Datenbanken synchronisierbar zu sein.

Je mehr Zeit vergeht bis diese Informationen in die zugehörigen Systeme eingetragen werden, desto größer ist auch das resultierende Sicherheitsrisiko. Selbstverständlich müssen die definierten Prozesse auch getestet und für gut befunden werden.

Sicherheitslücken in der Bereitstellung werden immer dann besonders deutlich wenn ein Anwender mit einem mobilen Zugang eine Firma verlässt und die Firma diesen Zugangs über eine Einheitslösung sperren möchte. Welche Strategien sind in unserer modernen, mobilen Geschäftswelt nötig, um das Sicherheitsrisiko beim Fortgang eines Mitarbeiters so gering wie möglich zu halten?
Der beste Ansatz bei einer Sperrung ist, sich nicht nur auf eine Komponente zu verlassen und zum Beispiel „nur“ den Account zu sperren. Wird beispielsweise auch PKI, eine zertifikatsbasierte Authentisierung, eingesetzt, so bietet das die Möglichkeit die Fernzugriffsrechte zusätzlich zu sperren indem das Zertifikat des Anwenders widerrufen wird. Eine ähnliche Möglichkeit bieten auch Einmalpasswort-Tools bei denen spezielle Tokens deaktiviert werden können. Letztendlich ist aber auch hier wieder die Qualität des Prozesses wichtig, denn sie definiert wie effektiv die Bereitstellung und Sperrung sein wird.

 

Bestimmte Szenarien wie kurzzeitige Geschäftspartnerschaften erfordern eine anpassbare Bereitstellung. Wie kann eine VPN Technologie temporären aber dennoch sicheren Netzwerkzugang ermöglichen? Welche anderen Lösungen können Firmen wählen, um unterschiedlichste, mobile Arbeitskräfte in ihre bestehende Organisation einzubinden?
VPN Lösungen bieten verschiedene Zugangssarten für unterschiedliche Anwender. Feste Mitarbeiter benötigen üblicherweise einen tieferen Zugang zum Firmennetzwerk als externe Partner. Aus diesem Grund wird eine Firma, abhängig von den jeweiligen Zugangsbedürfnissen, VPN Clients an ihre eigenen Mitarbeiter ausgeben. Externe Mitarbeiter erhalten dagegen wenn möglich nur durch clientloses SSL VPN Zugriff auf die benötigten Anwendungen, denn durch das SSL VPN vermeidet die Firma die Ausgabe von Software und Lizenzen.

Zeitlich begrenzter Zugang (z.B. nur wenige Stunden pro Tag oder nur bei Bedarf) kann zum Beispiel durch die Funktionen eines eingesetzten RADIUS Server erteilt werden. Eine allgemeine Zugangsbeschränkung kann automatisch vergeben werden, wohingegen ein „Zugang bei Bedarf“ manuell vom Administrator aktiviert und deaktiviert werden muss. Und auch in diesem Fall ist die Prozessqualität entscheidend.