Hochschule Ansbach sichert ihre Netzwerkzugänge
Stuttgart, September 2011 - Spezielle rechtliche Gegebenheiten, eine hohe Fluktuation jener Personen, die auf das IT-Netzwerk zugreifen und eine Flut mobiler Endgeräte erschweren es dem Rechenzentrum der Hochschule Ansbach zunehmend, das Netz vor Malware zu schützen und nötige Sicherheitsstandards aufrecht zu erhalten. Die Netzwerkzugangslösung CyberGatekeeper von Alcatel-Lucent wacht daher nun darüber, dass die Geräte, die sich am Netz anmelden wollen, die geforderten Antiviren-Systeme installiert haben und erledigt gegebenenfalls das Update.
Darüber hinaus prüft die Software zahlreiche weitere sicherheitsrelevante Punkte, egal um welche Art Gerät es sich handelt, und schiebt so möglichen Eindringlingen einen Riegel vor.
Die Hochschule Ansbach ist eine Fachhochschule für angewandte Wissenschaften. Sie bietet derzeit in zwei Fakultäten - für Allgemein- sowie für Ingenieurwissenschaften - insgesamt dreizehn Bachelor- und Masterstudiengänge an. Die derzeit etwa 2.500 Studenten finden in den beiden Fakultäten der Hochschule eine optimale Umgebung für ihre wissenschaftliche Arbeit. Natürlich gehört dazu auch eine moderne IT-Infrastruktur mit eigenem Rechenzentrum und einem umfangreichen verkabelten (rund 600 Arbeitsplätze) sowie einem flächendeckenden drahtlosen Netzwerk.
Aus Sicht der Sicherheit gibt es bei einer Hochschule zwei Besonderheiten, die IT-Administratoren vor gewaltige Aufgaben stellen. Anders als bei einem Wirtschaftsunternehmen oder einer Behörde gilt hier die Freiheit von Forschung und Lehre als oberster Rechtsgrundsatz. Typische Sicherheitsregeln und Restriktionen, über die IT-Administratoren sonst schon mal einen soliden Rahmen für fein ausgearbeitete Sicherheitskonzepte definieren, sind wegen dieser Prämisse an einer Hochschule wenn überhaupt, dann nur sehr schwer durchsetzbar.
Bestimmte Anwendungen einfach "auszusperren" ist somit schwierig bzw. unmöglich. Während in einem Unternehmen meist eine sehr überschaubare Zahl kritischer Anwendungen läuft, gibt es in einer Hochschule keinen "Hauptstrang" wichtiger Anwendungen, die unbedingt laufen müssen - eine Hochschule ist hier sehr breit aufgestellt.
Auf der anderen Seite sind Hochschulen sehr dynamische Organisationen, in denen spätestens mit Semesterwechsel mehrere hundert Studenten ausscheiden und neue hinzukommen. Und auch während eines Semesters gibt es einen hohen Anteil an Personen, die nur sporadisch auf dem Campus auftauchen. Alle wollen jedoch einen unkomplizierten Zugang zum IT-Netz der Hochschule - und können das auch erwarten.
Die Situation ist also völlig anders als in einem Unternehmen oder einer Amtsstube, in der sich jeden Tag immer wieder mehr oder weniger die gleichen Personen ins IT-Netzwerk einloggen. Für - angemeldete und wohl bekannte - Gäste und Besucher haben Unternehmen oft einen speziellen Gast-Zugang eingerichtet, der die heute üblichen Kommunikationsbedürfnisse abdeckt, der aber säuberlich von Produktivnetz des Unternehmens getrennt ist.
All dies macht die Sicherheitssituation für die IT einer Hochschule gravierend anders und schwieriger als bei anderen Organisationen. "Hinzu kommt eine zunehmende Flut von Laptops und Netbooks und Smartphones, mit denen sich Professoren, Dozenten und Studenten per WLAN unabhängig von einem kabelgebundenen Netzwerkanschluss von überall auf dem Campus in unsere IT einloggen", so Reiner Schmidt, Leiter des Rechenzentrums an der Hochschule Ansbach.
"Das ist im Grunde mit die größte Herausforderung, denn anders als bei den fest installierten Arbeitsplätzen war es mit dem schnell wachsenden Heer größtenteils privater mobiler Geräte schier unmöglich, dort überall eine saubere Konfiguration gemäß unserer Sicherheitsstandards zu garantieren".
Auch wenn es wegen des erwähnten Freiheitsgrundsatzes keine administrativen Zugangsbeschränkungen geben darf - die Einhaltung bestimmter Sicherheitsregeln ist dennoch Pflicht und muss es auch sein. "Der einfachste Fall ist beispielsweise der Schutz vor Viren, Trojanern und sonstiger Malware", erklärt Schmidt.
"Natürlich hat diese Aufgabe bei uns eine hohe Priorität, aber ohne Kontrolle über die Endgeräte der Benutzer wird das schnell zur Sysiphus-Arbeit. Niemand kann sagen, ob das Gerät, das sich gerade im IT-Netz tummelt, nicht völlig von Viren verseucht ist und möglicherweise unliebsame Malware-Spuren hinterlässt. Ich werde nie vergessen, wie beklagt wurde, dass ein Endgerät nach der Rückkehr von einem Urlaubssemesters äußerst langsam geworden war. Als wir uns das Gerät näher ansahen, entdeckten wir nicht weniger als 1783 Viren!"
Zu einer "sauberen" Konfiguration gehören jedoch noch andere Dinge: Ziel ist es, eine von der Hochschule als sicher eingestufte Firewall auf dem Endgerät und die aktuellen Patches und Service-Packs des Microsoft Windows Betriebssystems vorzuschreiben, die Einstellungen von Browser sowie anderen Schlüsselapplikationen müssen den Vorgaben der Hochschule entsprechen und vieles mehr.
Die Hochschule selbst fördert die Nutzung von mobilen Geräten. Neben einem hauseigenen Notebook-Labor werden auch mobile Geräte an Studenten verliehen. "Hier haben wir noch eine gewisse Kontrolle über die Sicherheitskonfigurationen der Geräte", so Schmidt. "Die Studenten bringen aber auch zunehmend ihre eigenen Geräte mit und nutzen sie vor allem in der Bibliothek und im Wohnheim. Spätestens hier haben wir keinerlei Einfluss mehr darauf, welche Software auf den Geräten unser Netzwerk nutzt."
Access sicher im Griff: CyberGatekeeper
Auf der Suche nach einem geeigneten Werkzeug für die entsprechende Netzwerkzugangskontrolle hat die IT-Abteilung der Hochschule Ansbach jede der ihr bekannten NAC-Lösungen (NAC = Network Access Control) untersucht. "Hängen geblieben sind wir schließlich beim Infoexpress CyberGatekeeper von Alcatel-Lucent", erinnert sich Schmidt. "Es war die einzige Software, die unsere Anforderungen rund herum abdecken konnte und einen praktikablen Einsatz versprach". Die Sicherheitslösung sorgt für Compliance am Endpunkt, also auf dem Gerät, das sich ins Netzwerk einloggen möchte.
Hauptverantwortlich für den praktikablen Einsatz war die Tatsache, dass der CyberGatekeeper grundsätzlich mit der Netzwerkausrüstung jedes Herstellers läuft und von daher hier keine Änderungen erfordert. "Für uns kam nur eine Lösung in Frage, die auf den allgemein üblichen Netzwerkstandards basiert", so Schmidt, "alles andere hätte für uns zu große Flexibilitätseinschränkungen mit sich gebracht".
Ein wichtiger Punkt war auch die Anpassbarkeit hinsichtlich bestimmter Software-Produkte, die auf dem Hochschulnetz im Einsatz sind. "Für den Check einiger Software-Pakete wollten wir individuelle Anpassungen entwickeln", erklärt Schmidt. "Neben einer ganzen Reihe von kritischen Anwendungen spielt die Erkennung von Skype hier eine große Rolle. Skype macht den Kommunikationsserver in Abhängigkeit bestimmter Nutzungshäufigkeiten und Übertragungsmengen zum Master-Knoten, was durchaus zur Verweigerung aller anderen Kommunikationsdienste, dem gefürchteten Denial-of-Service, führen kann.
Wir kennen Institutionen, die sich deswegen einen ganzen Monat vom Netz abgekoppelt haben - nur, um den Status als Masterknoten wieder los zu werden. Wir sind - aber nicht nur wegen der weltweit zerstreuten Studenten - auf ständige Verfügbarkeit rund um die Uhr an sieben Tagen die Woche angewiesen. Deswegen könnten wir uns ein solches Vorgehen niemals leisten! Sämtliche Verwaltungsverfahren der Hochschule sind online abgebildet und machen dadurch eine hohe Verfügbarkeit unabdingbar."
In diesem und einigen weiteren Anpassungsprojekten entwickelte sich schnell eine sehr fruchtbare Zusammenarbeit zwischen Hochschule und Alcatel-Lucent. Erst kürzlich gipfelte diese in einer Auszeichnung des Rechenzentrums der Hochschule als "Center of Excellence for Network Security". "Die einfache Anpassung der Lösung an bestimmte Software-Produkte über Standard-APIs war ein weiterer Grund, warum sich die Hochschule seinerzeit für den CyberGatekeeper entschieden hat. Hinzu kamen noch die Funktion eines Inventur-Agenten und die Möglichkeit, Scans auf Geräten auch ohne Vorhandensein eines Agenten ausführen zu können", begeistert sich Schmidt. "Mit all diesen Funktionen und Eigenschaften ist der CyberGatekeeper eine einzigartige Lösung auf dem Markt, die zur Zeit keine andere Lösung zu toppen vermag", so das Resümee des Rechenzentrumleiters.
Die Implementierung des CyberGatekeepers im Rechenzentrum der Hochschule Ansbach wurde von der HOB GmbH & Co. KG, einem langjährigen und bewährten Partner von Alcatel-Lucent, vorgenommen. Mit HOB will sich die Hochschule auch an künftige Projekte wagen. In den Fokus rücken immer mehr die Smartphones - denn immer mehr Studenten besitzen solche Geräte und möchten sie auch für bestimmte Aufgaben am Hochschulnetz nutzen.
Schmidt: "Wir sind sehr zuversichtlich, dass wir diese Aufgabe mit der Technologie von Alcatel-Lucent meistern werden. HOB hat uns hierbei bislang tatkräftig unterstützt." Auch Harald Baierlein, Projektleiter Netzwerke bei HOB, freut sich über die Zusammenarbeit: "Die Zusammenarbeit mit der Hochschule Ansbach läuft hervorragend, und es ist für uns eine sehr anspruchsvolle Aufgabe, zusammen mit einem solchen Partner an der Erweiterung einer so flexiblen Lösung wie CyberGatekeeper mitzuwirken".