Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Network Access Control

Was ist Network Access Control?

Network Access Control (NAC) bezeichnet Sicherheitslösungen und Richtlinien, die kontrollieren, ob ein Endgerät Zugriff auf ein Unternehmensnetzwerk erhält. Ziel ist es, nur autorisierte und konforme Geräte zuzulassen und potenziell gefährliche Systeme – wie nicht gepatchte Rechner, infizierte Geräte oder nicht identifizierte BYODs – auszusperren oder zu isolieren.

NAC-Systeme überprüfen beim Verbindungsversuch die Sicherheitskonfiguration eines Geräts, z. B. Patch-Status, installierte Antivirenlösung, laufende Dienste oder Registry-Werte. Auf dieser Grundlage wird dynamisch entschieden, ob dem Gerät Zugriff auf das Netzwerk gewährt, es eingeschränkt oder vollständig blockiert wird. NAC gilt als essenzieller Bestandteil moderner Zero Trust-Architekturen, da es eine kontinuierliche Verifikation der Endgerätezustände durchsetzt.

Technischer Aufbau & Varianten

Kernkomponenten eines NAC-Systems:

  • Policy Server: Zentrale Instanz zur Bewertung und Durchsetzung von Zugriffskontrollen auf Basis definierter Sicherheitsrichtlinien.

  • Authenticator (z. B. Switch, Wireless Access Point): Vermittelt zwischen Endgerät und NAC-System.

  • Supplicant: Softwareagent auf dem Endgerät, der Informationen zur Compliance liefert.

  • Remediation Services: Dienste, die unsicheren Geräten erlauben, Updates oder Patches durchzuführen, um wieder zugelassen zu werden.

Typische Technologien:

  • IEEE 802.1X: Authentifizierungsstandard für netzwerkbasierten Zugriff.

  • RADIUS: Protokoll zur zentralen Authentifizierung und Autorisierung.

  • DHCP-Snooping & MAC-Address Filtering: Kontrolle und Identifikation von Geräten anhand physikalischer Merkmale.

  • VLAN-Steering: Dynamische Zuweisung zu produktiven, eingeschränkten oder Quarantäne-VLANs.

Relevanz in der Praxis

Anwendungsfälle:

  • Durchsetzung von Sicherheitsstandards in großen Netzwerken.

  • Verwaltung und Kontrolle von BYOD-Geräten oder Gastzugängen.

  • Automatisierte Segmentierung von IoT-Geräten mit minimalem Zugriff.

  • Schutz sensibler Unternehmensnetzwerke vor unautorisierten Endgeräten.

Integration mit anderen Systemen:

  • MDM-Systeme: Kontrollieren den Gerätezustand mobiler Endgeräte.

  • SIEM: Liefert zusätzliche Kontextinformationen und Alarmierungen.

  • Identity & Access Management (IAM): Verknüpft Benutzeridentitäten mit Geräteidentitäten zur feingranularen Zugriffskontrolle.

Standards & regulatorische Anforderungen

  • ISO/IEC 27001 – A.9.1.2 / A.13.1.1: Netzwerkkontrollrichtlinien und Zugangsbeschränkungen.

  • BSI IT-Grundschutz – OPS.1.1.1 / OPS.1.1.4: Netz- und Serverzugangskontrollen.

  • NIS-2 / KRITIS-Verordnung: Schutzmaßnahmen für kritische Infrastrukturen.

  • HIPAA / PCI DSS: Zugriffskontrolle auf medizinische bzw. Zahlungsdaten.

Verwandte Begriffe

  • Zero Trust

  • BYOD

  • Mobile Device Management

  • VLAN

  • Patch Management

  • Endpoint Security

  • 802.1X

  • RADIUS

Beispiel aus der Praxis

Ein mittelständischer Maschinenbaukonzern implementierte ein NAC-System zur Kontrolle aller drahtgebundenen und drahtlosen Endgeräte. Geräte, die nicht den aktuellen Windows-Patchstand oder ein zugelassenes Antivirenprogramm aufwiesen, wurden automatisch in ein isoliertes VLAN verschoben. Erst nach erfolgreicher Remediation über ein internes Webportal wurde ihnen wieder der Zugang zum Firmennetz gewährt. Das führte zu einer signifikanten Reduktion von Malware-Ausbrüchen durch veraltete BYOD-Geräte.

 

zum Glossar