Zugänge per Richtlinie absichern
Der Kontext
David ist IT-Leiter eines Pharma-Labors mit 120 Mitarbeitenden. Nach einem Einbruchsversuch aus dem Ausland fordert die Geschäftsleitung ihn auf, die Zugangskontrollen zu verschärfen. Bestimmte kritische Anwendungen — Patientendaten, Ergebnisse klinischer Studien — dürfen nur unter strikten Bedingungen zugänglich sein.
Das Problem ohne SmartLink
- SaaS-Anwendungen sind von jedem Gerät und überall aus zugänglich
- Keine Möglichkeit, den Zugriff nach geografischem Standort einzuschränken
- Keine Gewähr, dass die verwendeten Geräte konform sind
- Traditionelle VPNs sind schwer zu verwalten und verschlechtern die Nutzererfahrung
Mit SmartLink
Schritt 1 — Zugriffsrichtlinien (DAP) definieren
David konfiguriert Device Access Policies (Gerätezugriffsrichtlinien) in SmartLink. Für kritische Anwendungen legt er fest:
- Erlaubte Browser: nur Chrome und Firefox (neueste Versionen)
- Betriebssysteme: Windows 10+ und macOS 12+
- Erlaubte IP-Bereiche: nur das Firmennetzwerk und der VPN
- VaultysID-Sicherheitsniveau: Biometrische Authentifizierung verpflichtend
Schritt 2 — Richtlinien nach Ordner anwenden
David verknüpft diese Richtlinien mit den Ordnern, die sensible Anwendungen enthalten. Der Ordner "Klinische Daten" verlangt das höchste Sicherheitsniveau, während der Ordner "Tägliche Tools" (Slack, E-Mail) von jedem gesicherten Gerät aus zugänglich bleibt.
Schritt 3 — Echtzeitüberprüfung
Wenn ein Forscher versucht, von einem Café aus mit seinem privaten Laptop auf klinische Daten zuzugreifen, blockiert SmartLink den Zugriff und zeigt eine erklärende Nachricht an. Vom Arbeitsplatz im Labor mit seiner biometrischen VaultysID ist der Zugang sofort möglich.
Schritt 4 — Nachvollziehbarkeit und Reporting
Jeder Zugriffsversuch — erfolgreich oder abgelehnt — wird im Audit Trail (Protokollierung) gespeichert. David filtert nach Bastion-Ereignissen (Genehmigungsanfragen, erfolgreiche Authentifizierungen, Ablehnungen), um verdächtige Versuche zu überwachen. Der Zugriff aus dem Café erscheint als „Zugang verweigert“ mit IP, Browser und verwendetem Betriebssystem.
Jeden Monat prüft David den CISO-Bericht, der die Sicherheitsvorfälle zusammenfasst, einschließlich der durch Bastion-Richtlinien blockierten Zugriffe.
Was sich dadurch ändert
| Ohne SmartLink | Mit SmartLink |
|---|---|
| Zugriff von überall möglich | Kontrolle nach IP, Browser, Betriebssystem |
| Keine Geräteüberprüfung | Richtlinie nach VaultysID-Sicherheitsniveau |
| Schwerfälliges, restriktives VPN | Granulare Kontrolle ohne VPN |
| Einheitliche Regeln für alle | Unterschiedliche Richtlinien je Ordner |
| Keine Sichtbarkeit auf Zugriffsversuche | Protokollierung jedes Versuchs (Erfolg/Ablehnung) |
| Kein Sicherheitsreporting | Monatlicher CISO-Bericht mit Bastion-Vorfällen |
Genutzte Funktionen
- 🛡️ Zugriffsrichtlinien (DAP) — Regeln nach Browser, Betriebssystem, IP und Sicherheitsniveau
- 📁 Ordnerverwaltung — Anwendung von Richtlinien je Ordner
- 🔐 VaultysID — Sicherheitsstufen (Passkey, Biometrie, Hardware-Schlüssel)
- 📜 Protokollierung — Nachvollziehbarkeit von Zugriffsversuchen und Bastion-Ereignissen
- 📑 Berichte — CISO-Bericht mit Sicherheitsvorfällen