gesponsertNetwork Access Control Best Practices für sichere Netzwerke in Behörden

Die öffentliche Verwaltung und andere staatliche Einrichtungen sind beliebte Angriffsziele für Cyberkriminelle. Das zeigen Beispiele wie die Attacke auf den Landkreis Anhalt-Bitterfeld 2021 oder die auf das Medienzentrum München-Land, die im Oktober 2022 die Datenverarbeitung von 75 Schulen lahmgelegt hat.

Den Angreifenden gegenüber stehen IT-Verantwortliche, die mit stark begrenztem Budget und wenig Personal historisch gewachsene Netzwerke absichern und gleichzeitig die Digitalisierung vorantreiben sollen. Nutzen staatliche Einrichtungen und Behörden eine Software für Network Access Control (NAC), die zusätzliche Sicherheitsmechanismen bietet, können sie heterogene Netze auch mit begrenzten personellen Ressourcen schützen.

Behörden speichern vertrauliche persönliche Daten von Bürger*innen wie Adressen, Geburtsdaten und Steuernummern. Diese Daten machen sie zu interessanten Angriffszielen für Cyberkriminelle. Die Angreifer*innen nutzen beispielsweise Ransomware, die auch Erpressungstrojaner genannt wird, um Daten zu verschlüsseln. Anschließend verlangen sie Lösegeld, um die Informationen wieder freizugeben. So erging es dem Landkreis Anhalt-Bitterfeld, der sich ab Sommer 2021 wegen eines solchen Angriffs für mehr als sechs Monate im Katastrophenmodus befunden hat. Der Landkreis hat das Lösegeld nicht bezahlt, ihm sind durch den Angriff Schätzungen zufolge rund zwei Millionen Euro Kosten entstanden. Auch bei dem Angriff auf das Medienzentrum München-Land, das beim Landratsamt München angesiedelt ist, sind Daten verschlüsselt worden.

Gleichzeitig sind staatliche Einrichtungen gefordert, die Digitalisierung weiter voranzutreiben. Das Onlinezugangsgesetz verpflichtet die öffentliche Verwaltung, bis Ende 2022 ihre Leistungen auch digital anzubieten. Damit Verwaltungsgänge online abgewickelt werden können, ist zusätzliche Vernetzung notwendig. Hinzukommt, dass Mitarbeitende hybrid arbeiten möchten. Dazu muss ein Zugriff auf die Daten auch beispielsweise aus dem Homeoffice möglich sein. Je vernetzter und verteilter Daten sind, desto mehr Zugriffswege auf sie gibt es – und damit auch mehr Einfallstore für Cyberkriminelle und Schadsoftware. Zudem beeinflusst der Angriffskrieg Russlands gegen die Ukraine auch die Sicherheit im Cyberraum. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt vor diesem Hintergrund eine erhöhte Bedrohungslage fest. Es ruft Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen.

Historisch gewachsene Netzwerke schützen

IT-Verantwortliche in Behörden stehen daher aktuell vor der Herausforderung, sichere, moderne Netzwerke zu schaffen, verfügen aber oft nur über eine dünne Personaldecke sowie ein begrenztes Budget. Die Ausgangslage ist häufig heterogen und Komponenten unterschiedlicher Hersteller müssen betrieben, überwacht und geschützt werden. WLAN (Wireless Local Area Networks) liegen teilweise sogar in der Verantwortung von Internet-Service-Providern, in die sie vor dem Hintergrund der Störerhaftung einst gelegt wurden. Ursprünglich als reine Gastnetze angelegt, arbeiten nun aber auch die Beschäftigten mit ihnen. Diese müssen sich dazu über VPN (Virtual Private Networks) einloggen.

Um diese uneinheitlichen Behördennetzwerke abzusichern, eignen sich Lösungen für Network Access Control (NAC) wie ClearPass von HPE Aruba. Unabhängig davon, welche Hardware von welchen Herstellern eingesetzt wird, erhalten Administratoren mit Hilfe von ClearPass eine detaillierte Übersicht und umfassende Einblicke in ihr Netzwerk. So erkennen sie beispielsweise, welche Endgeräte eingeloggt sind. Zu den Best Practices gehört, Multi-Faktor-Authentifizierung einzusetzen.

ClearPass ist nach Common Criteria for Information Technology Security Evaluation (CC) zertifiziert. CC sind gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik, die international in einer Reihe von Staaten anerkannt werden. Das BSI setzt CC als einheitlichen Maßstab zur Beurteilung der Sicherheit informationstechnischer Systeme an.

Wie die Bezeichnung Netzwerk-Zugangs-Kontrolle bereits impliziert, kontrolliert ClearPass auch, welche Personen und Geräte sich überhaupt im Netzwerk anmelden dürfen und worauf sie Zugriff haben. Dafür müssen Verantwortliche den Mitarbeitenden und Gästen vorab Rollen zuweisen und Richtlinien festlegen, die bestimmen, worauf bestimmte Rollen zugreifen dürfen. Diese Informationen speichert die Lösung zentral und setzt sie automatisiert um, sie müssen also nicht an jedem Gerät neu eingegeben werden.

So dürfen sich Gäste beispielsweise im WLAN anmelden, können darüber aber lediglich auf das öffentliche Internet zugreifen, nicht aber auf Behördendaten. Hier kommt die sogenannte Overlay-Technologie zum Einsatz, die sicherstellt, dass der Gast-Traffic wie durch einen Tunnel, aus dem der einzige Ausweg das öffentlich zugängliche Internet ist, durch das Behördennetz geleitet wird.

Die Rollen und ihre Zugriffsfreigaben lassen sich jedoch noch wesentlich granularer vergeben. Die Durchsetzung erfolgt trotzdem automatisiert und ist daher mit geringem Personalaufwand verbunden. So lässt sich beispielsweise festlegen, dass Mitarbeitende in der Personalabteilung auf Personalinformationen im SAP-System zugreifen dürfen, nicht aber auf kaufmännische Komponenten derselben Software.

ClearPass bietet noch weitere Vorteile, so lassen sich mit ihr die IT-Security-Trends Zero Trust und mithilfe des Aruba CX 10000 Distributed-Service-Switch auch Mikrosegmentierung im Rechenzentrum umsetzen.

Niemandem vertrauen und das Netz in viele kleine Abschnitte segmentieren

Eines der Grundprinzipien von Zero Trust ist, dass das Netzwerk nicht vertrauenswürdig ist. Werden keine anderen Einstellungen vorgenommen, kann sich kein Gerät und keine Person im Netzwerk anmelden. Deshalb müssen bei Zero Trust, wie mit ClearPass möglich, vorab Rollen und Richtlinien hinterlegt werden, die bestimmen, wer sich im Netzwerk einloggen darf und worauf Zugriff gewährt wird.

Es lässt sich auch festlegen, zu welchen Uhrzeiten und von wo aus sich Beschäftigte mit welchen Geräten einloggen dürfen, um Zugriff auf bestimmte Programme oder Dokumente zu erhalten. Damit lassen sich unterschiedliche Richtlinien für verschiedene Standorte und das Homeoffice konfigurieren. Für Behörden, die mit Verschlusssachen nur für den Dienstgebrauch arbeiten, kann diese Funktion besonders relevant sein.

Einen anderen Sicherheitsansatz verfolgt die Mikrosegmentierung. Hier wird das Netzwerk in sehr kleine Abschnitte eingeteilt, um die herum Firewalls errichtet werden. Einzelne Endgeräte oder einzelne virtuelle Maschinen lassen sich so abkapseln. Aus ihrem abgetrennten Bereich heraus ist den mikrosegmentierten Komponenten nur bestimmte Kommunikation erlaubt.

Schaffen Cyberkriminelle es, etwa über einen gehackten Account oder mit einem infizierten E-Mail-Anhang, eine Schadsoftware in die Behörde zu schleusen, kann diese im Optimalfall nicht aus dem korrumpierten, mikrosegmentierten Gerät bzw. dem Bereich ausbrechen. Zudem können Netzwerkadministratoren beispielsweise die betroffenen Geräte einzeln vom Netzwerk trennen. Damit lässt sich die Ausbreitung eines Virus eindämmen und größerer Schaden abwenden. Ohne die Mikrosegmentierung müsste in einem solchen Fall unter Umständen das komplette Rechenzentrum heruntergefahren werden.

ClearPass unterstützt nicht nur Zero Trust und Mikrosegmentierung, sondern bietet weitere Security-Funktionen. So kann die Software automatisiert auf ungewöhnliche Verhaltensweisen des Netzwerkes reagieren und Bedrohungen selbstständig beseitigen – auch mithilfe der Lösungen von Drittanbietern. Meldet sich etwa ein Gerät plötzlich ungewöhnlicherweise um drei Uhr nachts im Netzwerk an, kann ClearPass seinen Traffic blockieren und es automatisch aus dem Netzwerk abmelden. Auch das hilft, eine Schadsoftware früh auszubremsen, bevor sie sich im Netz ausbreiten kann.

Da die Lösung auf Standards setzt, kann sie sich auch mit Security-Technologien wie Intrusion-Detection- und Prevention-Systemen (IDS/IPS) austauschen. Meldet das IDS/IPS eine Infektion, trennt ClearPass das betroffene Gerät automatisch vom Netz. Gerade bei einer dünnen Personaldecke ist eine derart schnelle, automatisierte Reaktion bei einem Vorfall von Vorteil.

Fazit

Mit einer zentral konfigurierbaren NAC-Lösung wie ClearPass können IT-Verantwortliche in Behörden rollen- und ortsbezogene Zugangsregeln durchsetzen und Sicherheitsmechanismen wie Zero Trust und Mikrosegmentierung im kompletten Netzwerk herstellerunabhängig ausrollen. Dabei lassen sich mehrere Standorte anbinden und auch Beschäftigte im Homeoffice erhalten sicheren Zugriff auf Dateien, Dokumente und Programme, die sie für ihre Arbeit benötigen.

(ID:48867476)