Sicherheit in Zeiten von Schatten-IT und BYOD
Risiko Mobilität
Die Informationssicherheit beim Einsatz mobiler Endgeräte samt deren Apps und den unterwegs genutzten Unternehmensdaten bereitet dem Client-Management- und Security-Personal nach wie vor Kopfzerbrechen. Zwar gibt es positive Entwicklungen bei Apple IOS und Google Android ebenso wie bei den Mobile-Security-Anbietern, zugleich aber verbreiten sich Schatten-IT-Umgebungen in den Unternehmen, während zielgerichtete Angriffe drohen, wie jüngst der Angriff auf Sony Pictures zeigte. Trends wie Bring Your Own Device (BYOD) und die "Consumerization" der IT erschweren den Security-Teams dabei ihre Aufgaben.Die Budgets für IT-Sicherheit werden 2015 "explodieren", prophezeite Fred Wilson, als VC (Venture Capitalist, Risikokapitalinvestor) ein genauer Beobachter des IT-Markts, jüngst auf seinem Blog avc.com [1]. Denn jedes Unternehmen, jede Institution und jede Regierung werde zu vermeiden suchen, "gesonyt" zu werden, so Wilson in Anspielung auf jenen Angriff auf das Unternehmensnetzwerk von Sony Pictures, der im Dezember 2014 für großes Aufsehen gesorgt hatte [2]. Das FBI ließ kurz nach dem Hack verlauten, man sehe Nordkorea als Drahtzieher des Angriffs, zumal die Täter es versäumt hätten, ihre nordkoreanischen IP-Adressen zu maskieren [3] - ein Anfängerfehler, der Raum für Spekulationen ließ, dass in Wirklichkeit ein verärgerter Insider oder andere Hacker als Urheber zu vermuten seien [4]. Vor diesem Hintergrund geht Wilson davon aus, dass künftig verstärkt Investitionen in die IT-Security-Branche fließen werden: "VCs werden Geld in diesen Sektor pumpen, so wie sie Geld in die Rental Economy (er meint die "Sharing Economy", die sich als verkappte Vermietungsindustrie erwiesen hat, d.Red.) gepumpt haben. Und dennoch werden die Hacks andauern, weil im offenen Internet so etwas wie ein einbruchssicheres System nicht existiert." Verschärft wird die Risikolage für die Unternehmens-IT durch mehrere Trends, darunter neben gezielten, langanhaltenden und teils ausgefeilten Angriffen (Advanced Persistent Threats, APTs) auch der Siegeszug der zahllosen Gadgets, die erst kürzlich wieder im Mittelpunkt der Consumer Electronics Show (CES) in Las Vegas standen. Denn die Sicherheitsausstattung der Smartphones, Tablets und Wearables lässt häufig zu wünschen übrig, etwa im Fall der zahlreichen Android-Smartphones, die mit einem längst nicht mehr aktuellen Softwarestand auf den Markt kommen - der auch nie Updates oder Patches erfährt, soll der Konsument doch eifrig jedes Jahr ein neues Gerät erwerben. Vorinstallierte Schadsoftware In Extremfällen ist sogar das Gerät selbst die Gefahr. So entdeckten Sicherheitsexperten von Palo Alto Networks Ende letzten Jahres chinesische Android-Versionen des Geräteherstellers Coolpad mit vorinstallierter Backdoor: 64 der 77 zu Testzwecken erworbenen ROMs enthielten die "Coolreaper" genannte Schadsoftware [5]. Ob man nun hinter solchen Vorfällen Wirtschaftsspionage und staatliche Kontrolle als Ziel vermutet: Bei solchen Nachrichten wird sich so mancher Administrator den guten alten Blackberry zurückwünschen. Die Verbreitung von Consumer-Geräten im Unternehmen ("Consumerization") erschwert der Unternehmens-IT die zentrale Kontrolle und Absicherung der Endgeräte, Apps und Datenbestände. Dies gilt nicht nur für die berufliche Nutzung von Privatgeräten (Bring Your Own Device, BYOD), sondern zumindest mit Einschränkungen auch für die Bereitstellung von Consumer-Geräten durch die Unternehmen (Choose Your Own Device, CYOD). Denn eine beruflich-private Mischnutzung ist heute in vielen Unternehmen Usus, und bei einem Iphone oder Android-Gerät ist der Endanwender immer als Entscheider zum Beispiel bei Patches vorgesehen - auch wenn der Arbeitgeber das Smartphone oder Tablet stellt. Die IT muss sich dann mit Containerlösungen behelfen oder auf Geräte ausweichen, die eine Dual-Personality-Umgebung bieten - beides häufig gegen den Widerstand der Endanwenderschaft. Umgehung der internen IT In vielen Organisationen manifestiert sich dieser Widerstand längst in einer mehr oder weniger ausgeprägten "Schatten-IT": Benutzer oder Fachabteilungen beschaffen Hardware, Software oder (Cloud-)Services auf eigene Faust - und somit an der Kontrolle der Unternehmens-IT vorbei. Dies bestätigt eine internationale Umfrage [6], die das Marktforschungshaus Vanson Bourne im November letzten Jahres unter 955 IT-Entscheidern im Auftrag von BT durchgeführt hat. 75 Prozent der deutschen CIOs berichteten von Schatten-IT in ihren Unternehmen, international waren es 76 Prozent. Laut der Umfrage entfallen hierzulande im Schnitt sogar bereits 28 Prozent der IT-Ausgaben auf die Schatten-IT (unter allen Befragten: 25 Prozent). Die Schatten-IT, so die Folgerung von BT aus der Studie, verändere die Rolle des IT-Verantwortlichen: Sei er früher vorrangig für den Support der Anwender zuständig gewesen, erhalte seine Arbeit zunehmend strategische Bedeutung und konzentriere sich nun stärker auf Beratung, IT-Governance (übergreifende Kontrolle) und nicht zuletzt die lästige Frage der IT-Sicherheit. Dass insbesondere Letzteres nach wie vor keine leichte Aufgabe ist, belegt eine weitere Studie, für die IBMs Center for Applied Insights ausführliche Interviews mit 138 Sicherheitsverantwortlichen und CISOs (Chief Information Security Officers) geführt hat [7]. Über 80 Prozent der befragten IT-Sicherheitsverantwortlichen sehen ihre Unternehmen laut der Umfrage mit wachsenden Sicherheitsproblemen konfrontiert, und 60 Prozent gehen davon aus, dass sie im Wettlauf mit den Angreifern zurückliegen. Ausgeklügelte Angriffe von außen - also APTs - sahen 40 Prozent der Befragten als größte Herausforderung, an zweiter Stelle folgten mit knapp 15 Prozent neue Regularien und Vorschriften. Zur Vermeidung von Datenverlusten, im Hinblick auf das Cloud Computing sowie zur Absicherung mobiler Geräte und Apps ist deshalb laut IBM eine "radikale Transformation" erforderlich. Denn die Schatten-IT-Szenarien umfassen häufig den Bezug von Cloud-Services zum Beispiel für Online-Backups und die gemeinsame Nutzung von Datenbeständen, etwa in der Form von Dropbox. Dieser Cloud-Service - aufgrund seiner eleganten Bedienbarkeit insbesondere bei Mobilgerätenutzern beliebt - ist zwar längst nicht mehr so unsicher wie in seiner Anfangszeit, dennoch hat sich inzwischen ein ganzes Marktsegment etabliert, das unternehmenstaugliche Dropbox-Alternativen bieten will, darunter neben den Cloud-Größen Apple, Google und Microsoft auch Anbieter wie Acronis, Citrix oder das Open-Source-Projekt Owncloud. Wie dringlich im Zeitalter der Consumerization eine sichere, aber zugleich benutzerfreundliche Cloud-basierte Verwaltung von Dateien ist, zeigt eine Anekdote des oben erwähnten Fred Wilson. Über das Jahr 2014 resümierte er: "Wir sind endlich die Dateien losgeworden." [8] Diese provokante These soll aussagen, dass im Gegensatz zum lokalen Speichern von Dateibeständen deren Vorhalten in der Cloud samt Nutzung nach Bedarf mittels Dropbox, Google Drive, Spotify, Netflix, Youtube etc. für jüngere Anwender heute der Normalfall ist. Nach einem Karibikurlaub mit schlechtem Internetzugang wusste Wilson über den Nachwuchs zu berichten: "Sie haben nicht mal mehr MP3-Dateien auf ihren Iphones!" In den Köpfen der nächsten Endanwendergeneration wird die Cloud der Standard und lokales Speichern der Sonderfall sein - darauf werden sich die IT-Organisationen wohl oder übel einstellen müssen. Apple und Google gehen auf die Unternehmen zu Es gibt aber zum Glück auch positive Entwicklungen. Apples Kooperation mit IBM (LANline berichtete, siehe [9]) dürfte dem Consumer-Giganten nicht nur endgültig den Weg in den Enterprise-Markt ebnen, sondern auch zur großflächigen Entwicklung sicherer unternehmensgerechter IOS-Apps führen - ist doch IBM einer der größten IT-Security-Anbieter weltweit. Zeitgleich wird IOS mit jeder neuen Iteration administratorentauglicher. Auch auf Android-Seite rüstet man sich für die Unternehmenswelt. So hat Google zum Beispiel Samsungs Containertechnik Knox in das Android-OS übernommen. Dadurch wird die Absicherung von Business-Apps benutzerfreundlicher als beim Umweg über den Samsung-Container (siehe [10]). Unter dem Namen "Work" will Google zudem ein Administrations-Framework für Android-Geräte offerieren. Die Mobile-Device-Welt nähert sich in rasantem Tempo einem Duopol von IOS und Android an. Doch auch Microsoft hat mit Investitionen in Intune in letzter Zeit verstärktes Engagement für den EMM-Markt gezeigt (Enterprise-Mobility-Management). Der vormalige Platzhirsch Blackberry wiederum hat mit dem Blackberry Classic einen würdigen Nachfolger des Bold vorgestellt, während man mit dem reisepassgroßen Passport neue Designwege geht. Knox-Container sollen dank einer Partnerschaft mit Samsung künftig direkt mit dem Blackberry Enterprise Server kommunizieren können. Und mittels seiner IoT Platform will der kanadische Mobility-Vorreiter das Internet of Things erobern - ein kluger Schachzug, besitzt doch Blackberry in den Unternehmen nach wie vor einen guten Namen als Anbieter, der Endgeräte hoch skalierbar und vor allem sicher zentral verwalten kann. Mobile Security entwickelt sich Zu den interessanten Neuerungen im Mobile-Security-Markt zählt die Lösung Capsule von Check Point. Capsule dient, wie die Container-Lösungen etwa von Citrix oder Good Technology, der sicheren Nutzung von Unternehmensdaten und -Apps angeschottet vom restlichen Endgerät. Zusätzlich zur Verschlüsselung der Dokumente sorgt Capsule laut Check Point auch noch für die sichere Anbindung per VPN und das Aufspüren von Malware im Mobile-Datenverkehr, zudem gebe es Sandboxing, Bot-Detection, ein IPS sowie Site-Blacklisting. Laut Bernd Ullritz, Security Evangelist bei Check Point, fungiert die Lösung damit quasi als komplette Firewall für mobile Unternehmensgeräte. Die Inspektion der Devices nehme man vom Endgerät herunter und übergebe sie einem spezialisierten Gateway, was für hohe Performance sorgen soll. Auch im EMM-Segment hört man von interessanten Entwicklungen. So bietet zum Beispiel das US-Rüstungsunternehmen Raytheon mit einer VMI-Lösung (Virtual Mobile Infrastructure) namens Trusted Access ein Server-Based Computing für Mobilgeräte, um Compliance-konformes BYOD ebenso wie einen sicheren Zugriff auf vertrauliche Dokumente unterwegs zu ermöglichen. Die Nischenlösung aus dem Militärbereich konkurriert also mit der Kombination aus Xendesktop und Xenmobile des EMM-Marktführers Citrix, dem aber vor allem der langjährige Konkurrent VMware mit seiner Horizon Suite verstärkt Paroli bietet. Anbieter wie Better Mobile Security wiederum wollen die nächste Generation von Mobile-Application-Management liefern und dabei Benutzerhürden vermeiden, wie sie durch die Containertechnik à la Good Technology entstanden sind. Better bietet eine Gefahrenerkennung und -abwehr für Mobilgeräte unter IOS und Android.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
