Patch-Management für private Endgeräte
BYOD - aber sicher
Die Nutzung privater Endgeräte (Bring Your Own Device oder kurz BYOD genannt) setzt sich auch in deutschen Unternehmen zunehmend durch. Doch wie können IT-Security-Verantwortliche die Sicherheit des Unternehmensnetzwerks gewährleisten? Dafür müssen sie nicht nur technische, sondern auch organisatorische und rechtliche Probleme lösen.In Deutschland prüfen schon heute 92 Prozent der Studenten und jungen Arbeitnehmer am Morgen mit dem Smartphone E-Mails, Textnachrichten oder soziale Netzwerke. Dies hat 2012 Ciscos Connected World Technology Report ergeben. Und die Nutzung des mobilen Endgeräts zieht sich durch den gesamten Tag: Über zwei Drittel der 18- bis 30-jährigen Deutschen verwenden es häufig vor dem Aufstehen oder nach dem Schlafengehen. Mehr als jeder Dritte prüft sein Smartphone bei einem Essen mit Freunden oder Familienmitgliedern, fast die Hälfte im Badezimmer und - trotz eindeutigen Verbots - mehr als jeder Fünfte während des Autofahrens. Kein Wunder, dass junge Arbeitnehmer auch im Unternehmen nicht darauf verzichten wollen. Ungepatchte Schwachstellen Die Sicherheit der Unternehmenssysteme wird durch private Geräte am Arbeitsplatz allerdings stark gefährdet - nicht nur durch Smartphones und Tablets, sondern auch durch PCs wie zum Beispiel das private Notebook im Home Office. So geht laut Secunias PSI Country Report, der die Daten von Millionen privater PC-Nutzer untersucht, die größte Gefahr in Deutschland davon aus, dass die Endanwender beliebte Programme wie Adobe Flash Player, Sun Java oder Apple Quicktime nicht regelmäßig aktualisieren. Diese Programme sind auf einem Viertel der PCs nicht gepatcht und erhöhen so das Risiko. Viele Anwender glauben, es reiche aus, die Patches von Microsoft regelmäßig zu aktualisieren. Doch die Ergebnisse des Jahresberichts 2013 zur Softwaresicherheit sprechen eine andere Sprache: 86 Prozent aller Schwachstellen, die im Jahr 2012 in den 50 weltweit meistgenutzten Programmen entdeckt wurden, stammen von Drittanbietersoftware, also nicht von Microsoft. 2011 lag dieser Wert noch bei 78 Prozent. Third-Party-Software stellt damit die größte Bedrohung für Endpunkte in Unternehmen und bei privaten Anwendern dar. Um dieser Bedrohung zu begegnen, würden IT-Administratoren sämtliche privaten Endgeräte am Arbeitsplatz am liebsten ebenso "zwangspatchen" wie die unternehmenseigenen Systeme. Doch dies ist schon aus technischen Gründen schwierig, da die vielen Geräte auf unterschiedlichen Betriebssystemen basieren und verschiedene Anwendungen nutzen - mit häufig individuellen Patch-Mechanismen. Aufgrund des hohen Aufwands kommen nur weitgehend automatisierte Lösungen für das Patch-Management in Frage, die Schwachstellenanalyse und -Scanning mit der Erzeugung und Verwaltung von Patches kombinieren sollten, um umfassend zu wirken. Vulnerability-Intelligence-Management dient zur Erkennung und Analyse von Schwachstellen sämtlicher Betriebssysteme und Anwendungen. Der Anbieter einer Patch-Management-Lösung sollte dafür idealerweise eigene Mitarbeiter abstellen, die mit aktuellen Scan-Techniken ständig nach Sicherheitslücken suchen und Erkenntnisse anderer Hersteller integrieren. Das Vulnerability Scanning sollte diese Daten nutzen, um die verschiedenen Softwareversionen auf allen Servern und Geräten des Unternehmens nach Sicherheitslücken zu untersuchen. Mithilfe eines Dateisignaturverfahrens erkennt ein solcher Scanner die Gefahrenstellen und analysiert sie hinsichtlich ihres Bedrohungspotenzials. Die Verantwortlichen erhalten einen detaillierten Gesamtüberblick über alle Schwachstellen und deren mögliche Auswirkungen auf das Unternehmen. Entsprechend können sie die Sicherheitslücken nach Dringlichkeit schließen. Die Patch-Erstellung erledigt meist der Hersteller des Betriebssystems oder der Anwendung selbst - falls sich die entsprechende Version noch im aktiven Support-Lifecycle befindet. Dann wird der Patch entweder automatisch aufgespielt oder über die Website sowie Sicherheitsanbieter bereitgestellt. Ist der Support bereits abgelaufen oder handelt es sich um Eigenentwicklungen, sollte der Anbieter der Patch-Management-Lösung ein entsprechendes Update erstellen können. Patch-Management verwaltet die Prozesse rund um das Schließen von Schwachstellen. Über entsprechende Werkzeuge lassen sich dabei Regeln für das Scannen von selbstentwickelten Programmen, Treibern und Plug-ins individuell erstellen und anpassen. Zudem ist auf eine umfassende und vollständige Integration des Patch-Management-Moduls in Deployment-Systeme wie Windows Server Update Services (WSUS), Microsoft System Center Configuration Manager (SCCM) oder Altiris Deployment Solution zu achten. Aus der gewohnten Oberfläche heraus lassen sich dann sämtliche Sicherheits-Updates auf Server und Endgeräte verteilen. Über Software Development Kits (SDKs) lässt sich die Patch-Verwaltung auch an andere Client-Management-Systeme übertragen. Eine größere Herausforderung als die Technik bildet die Klärung organisatorischer Fragen. Wie häufig soll man Aktualisierungen durchführen? Hier sind die vorhandenen Kapazitäten in Rechenzentrum und Netzwerk zu klären, ebenso die entstehenden Datenmengen und Kosten. Befindet sich das private Gerät im Unternehmen, lässt sich das Patch-Management relativ einfach durchführen, doch wie sieht es im Home Office aus oder wenn der Mitarbeiter unterwegs ist? Wie regelt man den Support, auch außerhalb der Arbeitszeiten? Welche Gerätetypen, Betriebssysteme und Anwendungsversionen kann die IT-Abteilung unterstützen? Und was geschieht bei Mitarbeitern mit veralteten oder exotischen Handys? Zudem muss das Unternehmen die Verantwortlichkeiten innerhalb des Unternehmens klar festlegen. Dazu gehören Entscheidungen zu den erlaubten Gerätetypen und Anwendungen, zur Rechtevergabe für den Zugriff auf berufliche Applikationen und Daten je nach Gerät und Aufenthaltsort oder auch der Umgang mit Mitarbeitern, die anabsichtlich Schadprogramme auf Unternehmens-Server eingeschleppt haben. Zudem sind eindeutige Richtlinien für die BYOD-Nutzung vorzugeben und zu überprüfen. Rechtliche Herausforderungen Sind keine Regelungen vorhanden und die Nutzung privater Geräte am Arbeitsplatz nur geduldet, ist die Rechtslage äußerst kompliziert. Dann lassen sich rechtliche Ansprüche nur im Einzelfall entscheiden und gehen häufig zu Lasten des Unternehmens. Zudem schleichen sich ohne konkrete Richtlinien immer mehr unterschiedliche Nutzungsszenarien ein. Dann wird es zunehmend schwierig, nachträglich einen verbindlichen Rahmen festzulegen, da die Mitarbeiter das "immer schon so gemacht" haben. Etwas übersichtlicher gestaltet sich die Rechtslage, wenn das Unternehmen BYOD erlaubt oder fördert. Dann gibt es meist klare Nutzungsbedingungen und Verhaltensregeln. Auch die Zuständigkeiten und die Erlaubnis für den Zugriff auf private Geräte sind dann schriftlich festgelegt sowie mit dem Betriebsrat abgestimmt. Dies geschieht aufgrund der hohen Flexibilität meist durch Einzel- oder durch Betriebsvereinbarungen, idealerweise vorab als Zusatz zum Arbeitsvertrag. Dabei müssen die Datenschutzrechte des Mitarbeiters natürlich gewahrt bleiben, insbesondere bei einem Fernzugriff auf das private Gerät, den der Mitarbeiter schriftlich genehmigen muss. Bei privaten Anwendungen dürfen Arbeitgeber Inhalte und Nutzung nicht kontrollieren, sondern nur das Programm selbst. Bei mehr als 50 mobilen Geräten sollten Unternehmen eine Mobile-Device-Management-Lösung einsetzen, die Patches automatisch installiert. Dann haftet der Mitarbeiter meist nur für mutwillige Umgehungen. Umstritten bleiben aber Beschädigungen oder ein Verlust des Geräts.
Lesen Sie mehr zum Thema
