Endpoint Security, Verschlüsselung und MDM

Sicherheit und BYOD

11. März 2013, 7:00 Uhr | Thomas Brandt, Technical Sales Manager DACH bei Kaspersky Lab (wg),

Bring Your Own Device (BYOD) widerspricht klassischen IT-Sicherheitsstrategien. Dabei ist es ein Irrtum zu glauben, man könne mit dem Einsatz privater Endgeräte im Unternehmen Geld sparen. Jeder CIO kann sich schnell ausrechnen, dass die Kosten für die Anschaffung entsprechender Hardware gegenüber den Folgekosten der Absicherung gering sind. Soziokulturelle Trends sorgen dennoch für ein Vordringen privater Geräte ins Unternehmen.Die Trennung zwischen Privatleben und Arbeit verschwimmt. Die Menschen machen sich mit den neuen Geräten auch neue Arbeitsprozesse zu eigen, auf die sie nicht mehr verzichten wollen und können. Zudem verschwimmen die Grenzen zwischen internen und externen Mitarbeitern: Manche Kollegen sind oft gar nicht mehr Angestellte des Unternehmens, sondern Partner, Dienstleister und vieles mehr. Dennoch wollen und sollen alle jederzeit, von jedem Ort und reibungslos zusammenarbeiten. Wie stark der Trend ist, zeigt eine Studie von Kaspersky Lab vom Sommer 2012 (siehe Link). Demnach gestatten 33 Prozent der Unternehmen ihren Angestellten per Smartphone uneingeschränkten Zugriff auf das Firmennetzwerk. Um die Vorteile von BYOD und die Motivation der Mitarbeiter nicht wieder zunichte zu machen, müssen die Sicherheitsverantwortlichen dem Trend auf allen Ebenen gerecht werden: im grundsätzlichen Aufbau der IT-Architektur eines Unternehmens und speziell Server-seitig mit Mobile-Device -Management (MDM), auf Seiten aller Endgeräte und schließlich in der Organisation des Unternehmens mit einer entsprechenden Security Policy (Sicherheitsrichtlinie) sowie der Schulung der Mitarbeiter. Es ist vor allem die Trennung der privaten Daten und Anwendungen von den beruflichen, die nicht nur den Technikern, sondern auch den Arbeitsrechtlern Kopfschmerzen bereitet. Hier sollten alle Beteiligten über ihren Tellerrand hinausblicken und sich am besten zu einer "BYOD-Taskforce" zusammenschließen, die aus Mitarbeitern der IT und der Personalabteilung sowie dem Betriebsrat besteht. In so einem Kreis kann man festlegen, welche Sicherheitsrichtlinie per Technik und welche per Betriebsvereinbarung am wirtschaftlichsten und rationellsten zu definieren ist.   Firmenrichtlinien Eine "Positivliste" der eingesetzten Geräte und zugelassenen Betriebssystem- und Softwareversionen könnte am Anfang stehen. Sicher lassen sich auch ein paar Grundregeln schnell festlegen, wie etwa keine per Jailbreak oder Rooting manipulierten Smartphones zu verwenden (wobei eine Security-Lösung, die solche Geräte erkennt, von Vorteil ist). Am besten funktionieren Sicherheitsregeln, die im Ernstfall technisch kontrolliert werden und unmerklich, aber mit Kenntnis der Mitarbeiter und des Betriebsrats das Anwenderverhalten steuern. Eine solche Sicherheits-Policy erreicht man oft durch so genannte "Security Wrapper". Diese überwachen das Verhalten von Software oder deren Komponenten. Die "Ummantelung" des Mitarbeiters und seines Nutzungsverhaltens aus sicherheitstechnischer Sicht wird auch mit der Implementierung einer "Follow Me"-Security-Policy innerhalb der Firmen-Sicherheitsrichtlinien umschrieben: Die IT sollte dem Nutzer folgen und nicht umgekehrt.   Bewusstseinsbildung Die Bewusstseinsbildung und Schulung der Mitarbeiter ist schließlich eine Schlüsselkomponente, um Sicherheitsrichtlinien durchzusetzen. Heute sollte das Bewusstsein der Mitarbeiter zum Beispiel in Bezug auf Social Engineering Tricks und anderen Taktiken der Cyber-Kriminellen ohnehin geschult werden. Das Problem der Vermischung von privat mit beruflich genutzten Endgeräten drehen Unternehmen einfach um: Kurse mit dem Titel "Betriebliche IT-Sicherheit und Ihre Pflichten beim Einsatz von EDV-Geräten" sollten der Vergangenheit angehören, besser wäre: "Facebook & Co.: Wie Sie Ihre Kinder schützen, Ihre Computer absichern und nebenbei helfen, die IT-Sicherheit unseres Unternehmens zu verbessern". Es gibt viele Bereiche der IT-Sicherheit, die sowohl beruflich wie privat Relevanz haben. Mitarbeiter, die um die Tricks der Internetbetrüger wissen, sind auch am Arbeitsplatz klüger. Ein Mitarbeiter, der zu Hause schon auf Homebanking mittels Chipkarte umgestiegen ist, wird ohne Weiteres mitziehen, wenn sein Unternehmen die Authentifizierung via Chipkarte einführt. Praxistipps zu Werkzeugen für Passwörter machen einem Mitarbeiter die Bedeutung des Passworts am Arbeitsplatz viel klarer als eine Drohung mit der Abmahnung.   Endpoint Security und Datenverschlüsselung Grundbedingung im modernen Unternehmensnetz ist auf jeden Fall die Absicherung jedes Endpunkts gegen Malware. Dabei kommt wieder die Unternehmensrichtlinie ins Spiel: Es sollte die Entscheidung für eine einheitliche Antivirensoftware fallen, die dann auch auf den privaten Smartphones, Tablets und Laptops zu finden ist. Eine moderne IT-Sicherheitslösung für Unternehmen muss in der Lage sein, auf zehntausende Netzknoten zuzugreifen und sie zu verwalten - das geht nur mit einer einheitlichen Antivirenlösung. Wie man private von beruflichen Daten trennt, kann auch eine Frage der IT-Architektur sein. Eine virtualisierte Ebene könnte auf Laptops für die Unternehmensdaten reserviert sein. In einer Android-Umgebung lässt sich eine Trennung mit Zusatzsoftware wie Touchdown für Android von Nitrodesk lösen. Unternehmensdaten werden in "reservierten" Verzeichnissen oder auch in Containern abgelegt. Ein weiterer Weg ist etwa der, dass unternehmenskritische Applikationen ihre Daten erst gar nicht auf dem Endgerät speichern - was sich aber beim Offline-Betrieb als Nachteil erweisen kann. Die Verschlüsselung der Daten ist hier der Ausweg. Laut der erwähnten Umfrage vom letzten Sommer haben 44 Prozent der befragten IT-Profis bereits Verschlüsselungstechniken implementiert, um kritische Unternehmensdaten zu schützen. Die meisten Unternehmen haben Verschlüsselungsmaßnahmen jedoch noch immer nicht komplett umgesetzt. Die Studie zeigt, dass nur ein gutes Drittel (36 Prozent) der IT-Spezialisten Festplattenverschlüsselungen nutzen und weniger als die Hälfte (44 Prozent) kritische Informationen tatsächlich schützen. Auf externen Speichergeräten, beispielsweise USB-Sticks, kommen in 32 Prozent der Fälle Verschlüsselungstechniken zum Einsatz. Zu empfehlen ist eine Verschlüsselung, etwa AES 256-Bit, die unmerklich im Hintergrund und ohne wesentliche Performance-Verluste läuft.   Zentrale Verwaltung und MDM Sicherheitskonzepte für Unternehmen sollten eine einheitliche Sicht auf alle Geräte bieten. Dabei sind neben den Servern und Workstations auch Notebooks, Netbooks, Tablets und Smartphones sowie unter VMware virtualisierte Geräte zu verwalten, wobei die Sicherheit der Geräte nicht mehr als ein paar Mausklicks entfernt sein darf. Denn nur so schafft man es, keinen Medienbruch zwischen Geräteverwaltung und IT-Sicherheit zu riskieren. MDM ist dabei ein entscheidender Bestandteil innerhalb des Sicherheitskonzepts. Hier haben die Unternehmen am meisten Nachholbedarf. Nur elf Prozent der in der erwähnten Studie befragten Unternehmen nutzen MDM, um die Einhaltung der Firmen-Sicherheitsrichtlinien zu gewährleisten. Über die zentrale Verwaltungskonsole müssen zumindest zentrale Applikationen wie etwa Microsoft Exchange eng integriert sein und möglichst viele Smartphone-Plattformen von Android bis Apple iOS kontrollieren. Die Unterstützung von Third-Party-Werkzeugen sollte ebenfalls möglich sein. Bei der Passwort-Policy müssen vielfältige Einstellungsmöglichkeiten gegeben sein, zum Beispiel Regeln dazu, dass ausschließlich eine Anbindung an verschlüsselte Endgeräte erlaubt ist. Weitere Bedingungen sind zahlreiche Optionen der Fernsteuerung - vom selbstverständlichen Abschalten der Kamera bis zur Kontrolle von Activesync, WLAN, Bluetooth, IrDA oder der Speicherkarte. Damit der private Nutzen erhalten bleibt, muss auch der Zugriff auf beispielsweise Browser-gestützte E-Mail weiter möglich sein, der Einsatz nicht signierter Apps muss sich regeln lassen. Dies gilt individuell für jeden einzelnen Nutzer, wobei Abteilungsregeln hier der weniger aufwändige und damit bessere Weg sind. Die Einstellungsmöglichkeiten sollten direkt in einen IT-Sicherheits-Server integriert sein. Auch hier darf man nicht vernachlässigen, dass jedes Smartphone durch eine Antivirenlösung zu schützen ist. Neben dem reinen Virenschutz zählen auch Parameter für die Nutzung von Browsern oder Behandlung von Apps in gesicherten Zonen (Containern) sowie schließlich die Ortung (unter Beachtung der rechtlichen Aspekte) und das Löschen des Smartphones bei Verlust oder Diebstahl zu den Kriterien eines guten Schutzes. Unternehmen werden sich immer mehr auf eine verteilte und sehr durchlässige IT-Infrastruktur einstellen müssen.

Aus Sicherheitsgründen müssen mobile Endgeräte im Unternehmensnetz zentral verwaltet sein. Bild: Kaspersky Lab

Eine Umfrage vom Sommer 2012 ergab: Unternehmen schützen ihre Daten noch zu wenig durch Verschlüsselung. Bild: Kaspersky Lab
LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Renovatio

Weitere Artikel zu Dasient

Matchmaker+