Die Studien einschlägiger IT- und IT-Security-Anbieter zeichnen stets ein düsteres Bild von der Bedrohungslage für Unternehmen: Angriffe werden ausgefeilter, zielgerichteter und schwerer zu entdecken – bis hin zu so genannten APTs (Advanced Persistent Threats). All dies findet vor dem Hintergrund der zunehmenden Vermischung privater und beruflicher IT-Nutzung statt. Diese „Consumerization“ bereitet den Sicherheitsverantwortlichen neuerdings einige Kopfschmerzen.„Wir stellen eine allgemeine Zunahme der Cybercrime-Kompetenz fest“, so Steve Durbin, Global Vice President des herstellerunabhängigen Verbands Information Security Forum (ISF). „Cybercrime ist heute eine richtige Branche mit schnell wachsenden Unternehmen.“ Zwar sind zahlreiche Softwarehäuser – nicht zuletzt Microsoft – seit geraumer Zeit nachdrücklich bestrebt, die Anfälligkeit ihrer Lösungen für Sicherheitslücken zu minimieren. Zeitgleich aber, da sind sich die Sicherheitsexperten einig, hat sich die Angreiferseite zu einer hochgradig arbeitsteiligen Industrie entwickelt, die wirkungsvoll wirtschaftliche Ziele verfolgt: vom Adresshandel für Spamming und Phishing über das Lahmlegen von Websites per Botnet in Auftragsarbeit bis hin zu Erpressung, Industriespionage, klassischer politisch motivierter Spionage (wie jüngst mittels Flame) oder ersten Gehversuchen in Richtung „Cyber-Krieg“ (Stuxnet, Duqu). Hinzu gesellt sich das Phänomen langanhaltender Angriffe, APTs genannt, bei denen der Angreifer hartnäckig ein bestimmtes Ziel – etwa Industriespionage – verfolgt. Anders als von manchen Security-Anbietern suggeriert, sei es praktisch unmöglich, sich vor solchen APTs zu schützen, warnte unlängst Experte Bruce Schneier (siehe „Hacker trifft CISO“, LANline 3/2012, S.6ff.): Das in vielen Fällen effektive Mittel der relativen Sicherheit (mein Haus ist besser geschützt als das meiner Nachbarn) ist gegen APTs wirkungslos, da es der Angreifer ja auf eben dieses Unternehmen abgesehen hat. APTs sind allerdings so aufwändig, dass sie laut Einschützung des F-Secure-Vordenkers Mikko Hypponen wohl meist auf staatlicher Initiative beruhen – und gegen einen Geheimdienst ist ein CISO eben praktisch machtlos.

Security-Verantwortliche sind also gut beraten, sich durch den Rummel um APTs, Stuxnet oder Flame nicht beirren zu lassen und sich auf alltägliche Bedrohungen der IT-Sicherheit zu konzentrieren – zumal APTs häufig allzu „Advanced“ (fortschrittlich, ausgefeilt) gar nicht seien, wie Microsofts Director Trustworthy Computing Tim Rains meint: „Cyberangriffe als ‚Advanced‘ zu bezeichnen, kann für Unternehmen irreführend sein und von den fehlenden Grundlagen ablenken, die weitaus mehr Angriffsfläche bieten.“ So waren laut Microsoft im vierten Quartal 2011 weltweit 1,7 Millionen Systeme von Conficker befallen – und der Wurm treibt seit 2008 sein Unwesen.

Keine Entwarnung

HP warnt in seinem „2011 Top Cyber Security Risks Report“ (siehe Beitrag Seite 50) davor, angesichts eines Rückgangs offiziell gemeldeter Sicherheitslücken vorschnell Entwarnung zu geben: Dieser Rückgang rühre nicht nur von besserer Softwarequalität, sondern auch daher, dass Kriminelle heute nicht mehr ihr Wissen um Sicherheitslücken für Ruhm und Ehre hinausposaunen, sondern es auf dem lukrativen Schwarzmarkt verkauften.

Seit der Übernahme des Security-Hauses Q1 Labs im Herbst 2011 positioniert sich IBM verstärkt als IT-Sicherheitsanbieter. Laut „X-Force 2011 Trend and Risk Report“ von IBMs Spezialistentruppe X-Force gibt es täglich 60.000 neue Schadprogramme und 21.000 infizierte Websites, zudem bereits „Malware as a Service“ mit SLAs und 24×7-Support. Insgesamt verzeichne man 150 Millionen Angriffe pro Tag. Dabei wüssten 75 Prozent der Unternehmen weltweit nicht einmal, wenn sie angegriffen und Daten entwendet werden. IBM finde vermehrt „Shell Command Injection“-Angriffe auf Web-Server, die darauf abzielen, direkt Code auf dem Server auszuführen. Man habe Spitzen bei Brute-Force-Angriffen auf SSH verzeichnet, auch Phishing-Mails seien auf dem Vormarsch.

Barracuda warnt in einem aktuellen Bericht, selbst vertrauenswürdige Websites würden per „Drive-by-Download“ immer beliebter als Mechanismus zur Verbreitung von Malware. Die oft diskutierten Web-Applikationen sind laut HPs erwähnter Studie zwar nach wie vor anfällig, haben aber im Jahr 2011 nur 36 Prozent der bekannt gewordenen Angriffsziele ausgemacht – die restlichen 64 Prozent betreffen also andere Systeme, die teils längst nicht so leicht zu erreichen sind wie Web-Server. Zu den neueren prominenten Angriffszielen zählt HP unter anderem Virtualisierungs- und Cloud-Plattformen sowie Mobilgeräte, aber auch Industriesteueranlagen. „Die Sicherheit mobiler Applikationen steckt noch in den Kinderschuhen“, warnt der HP-Report. Dank seiner offenen Architektur sei Google Android ein beliebtes Angriffsziel, aber auch für Apples relativ geschlossenes IOS gebe es schon Exploits.

Ein Schreckgespenst geht um

Die Verwundbarkeit mobiler Endgeräte bereitet Security-Verantwortlichen auch deshalb Sorge, weil heutzutage gerne Anwender Berufliches und Privates vermischen (Consumerization): Immer mehr Smartphone- und Tablet-Besitzer bringen ihre schicken und leistungsstarken Gadgets mit ins Büro und erwarten, hier ebenso einfach damit arbeiten zu können wie zu Hause. Zahlreiche Unternehmen tolerieren dieses Vorgehen unter der Überschrift „Bring Your Own Device“ (BYOD), wenngleich offenbar deutlich weniger deutsche als US-Unternehmen dies mit BYOD-Programmen aktiv fördern und steuern.

Ein Schreckgespenst ist die Consumerization für Security-Verantwortliche vor allem, weil Kontrollverlust ebenso droht wie Compliance-Verstöße und Datenverlust bei Diebstahl der mobilen Kleingeräte – und weil viele Endanwender auf ihren Privatgeräten die IT-Sicherheit vernachlässigen. In einer Umfrage, die Eset und Harris Interactive im Februar unter rund 1.300 US-Angestellten durchgeführt haben, gaben 81 Prozent der Befragten an, private Endgeräte (vom heimischen Notebook bis zum Tablet oder Smartphone) für ihre Arbeit zu nutzen – während allerdings 66 Prozent einräumten, dass ihr Unternehmen keine BYOD-Richtlinie hat. Und laut der Umfrage mangelt es bei über der Hälfte der Befragten deutlich in puncto IT-Sicherheit. So setzten nicht einmal zehn Prozent der BYOD-Nutzer bei ihren Tablets die Auto-Lock-Funktion ein.

Trotz alledem sind sich Marktkenner wie Security-Experte Bruce Schneier sicher: Consumerization wird sich durchsetzen, so wie sich der PC trotz aller Bedenken gegen den Mainframe durchgesetzt hat. Denn erneut steht die möglichst effiziente Unterstützung von Geschäftsprozessen gegen Sicherheitsinteressen – und da erweist sich die IT-Sicherheit oft als zweiter Sieger. „Verbieten ist in der heutigen Zeit tatsächlich keine Alternative mehr“, bestätigt Markus Hennig, CTO Network Security bei Sophos: Der BYOD-Trend habe schon viel zu viele Aspekte des täglichen Arbeitslebens erfasst.

„Den IT-Administrator um die Einbindung seines Privat-Notebooks in das Unternehmensnetzwerk zu bitten ist kein Tabuthema mehr, beinahe gängige Praxis“, sagt auch Bastian Klein, Consultant Business Development bei Integralis Deutschland. Zwar wird es wohl immer Unternehmensbereiche wie die Forschung und Entwicklung geben, in denen Smartphones (private wie unternehmenseigene) schon wegen der eingebauten Kameras nicht erlaubt sind. Doch kaum ein Unternehmen kann es sich erlauben, die Mitarbeiter, insbesondere die gefragten Knowledge-Worker, dauerhaft zu vergraulen, indem das bereitgestellte Arbeitsumfeld nicht dem Stand der Technik entspricht. Den Referenzwert für den Stand der Technik liefert längst die Gamer-Maschine zu Hause, nicht der Office-PC, liefern Iphone und Ipad, nicht der drei Jahre alte Firmen-Blackberry. Eigentlich ist es nur verständlich, dass Mitarbeiter wie auch manch ein Unternehmensleiter dieses üppige Computing-Potenzial, das in einem IT-affinen Haushalt schlummert, für Business-Zwecke nutzen wollen. Was also sollte der IT-Leiter, CIO oder CISO in dieser Situation tun?

BYOD kommt – was nun?

Zunächst sei zu prüfen, so Axel Gruner, IT Security Manager bei TDS, „inwiefern eine BYOD-Initiative überhaupt mit den unternehmerischen Verpflichtungen vereinbar ist.“ Vor allem, wenn eine ISO-27001-Zertifizierung vorliegt, sei die Umsetzung äußerst schwierig. Sehr wichtig ist es laut Dr. Johannes Wiele, Berater für Informationssicherheit und Lehrbeauftragter der Karlshochschule in Karlsruhe, „das Thema nicht defensiv, sondern mitgestaltend anzugehen.“ Die IT müsse die Ziele mit den treibenden Kräften diskutieren, eine angemessene Sicherheitsstrategie definieren und diese samt Risiko-Assessment an die Beteiligten zurückspielen.

„Im Vorfeld muss ein gutes Fundament gegossen sein“, betont Integralis-Consultant Klein. Dieses umfasse vor allem organisatorische und rechtliche, weniger technische Aspekte. Die Hauptaufgabe liege zunächst nicht bei der IT-Abteilung; vielmehr müssten das Management, Juristen sowie gegebenenfalls Betriebsräte Antworten auf die wichtigsten Fragen finden: Wer haftet bei Diebstahl, Verlust und Beschädigungen? Wie erfolgt die Vergütung des Mitarbeiters bei BYOD? Wie steht es um die Einhaltung des Datenschutzrechts, auch gegenüber dem Arbeitnehmer sowie Partnern und Kunden? Wer leistet technischen Support und bis zu welchem Punkt?

„Entscheidend dabei ist, private von geschäftlichen Daten zu trennen, da die Anwender beides auf ihren Smartphones und Tablets bunt mischen werden“, so Thomas Hemker, Sicherheitsstratege bei Symantec. Mittels Application Wrapping lasse sich diese Datentrennung richtliniengesteuert umsetzen. Ergänzend notwendig seien aber Verschlüsselung, Data Loss Prevention und Mehr-Faktor-Authentifizierung. Das oberste Ziel der IT müsse der Schutz der Informationen sein, pflichtet auch Bastian Klein von Integralis bei: „Je zentraler diese Daten liegen und je weniger sie verteilt sind, umso leichter fällt dieser Auftrag. Mandantenfähige und rollenbasierte Rechtesteuerungen regeln Lese-, Schreib- und Ausführungsrechte wirkungsvoll innerhalb dieser geschlossenen Infrastrukturen.“

Zentrale Steuerung

Die Fachleute raten zu einem breiten Spektrum an Zentralisierungsmaßnahmen – von Mehr-Faktor-Authentifizierung und granularer Zugangskontrolle bis hin zu Enterprise App Stores, um eine Auswahl verwendbarer Apps vorzugeben. Stefan Volmari, Manager Product Marketing Central Europe bei Citrix, plädiert für Desktop-Virtualisierung, wie sie neben Citrix auch Microsoft, VMware und andere propagieren: „Mit Hilfe von Desktop-Virtualisierung lässt sich das Betriebssystem komplett vom Endgerät entkoppeln“, so Volmari. „Ein virtueller Desktop auf dem Tablet-PC etwa trennt die Business-Daten vom mobilen Betriebssystem und schützt so vor potenziellen Gefahren durch unzureichende Sicherheitseinstellungen.“ Neben der Frage der Bedienbarkeit kranken solche Zentralisierungslösungen aber mitunter an der Notwendigkeit einer Online-Verbindung zum Datacenter: „Diese ist spätestens im Flugzeug nicht verfügbar“, so Klein. Deshalb müsse die IT sich um die Datenspeicherung auf dem mobilen Gerät und damit um die Endpunktsicherheit kümmern.

Hier raten die Experten immer wieder zum Einsatz von Mobile-Device-Management-Werkzeugen: „MDM-Tools erleben eine Renaissance und sind für die Sicherheit der Unternehmensdaten in Zeiten von Consumerization und BYOD unabdingbar“, erklärt zum Beispiel Torsten Jüngling, Country Manager von Stonesoft Germany. „Die Herausforderung liegt dabei in den immer kürzeren Zyklen, in denen neue Geräte oder Updates auf den Markt kommen. Viele MDM-Tools können hier kaum Schritt halten.“ Unternehmen sollten deshalb die Gerätevielfalt limitieren, die ihre Mitarbeiter verwenden dürfen, rät Jüngling. Es gelte dabei aber, so Hemker von Symantec, eine „Überreaktion“ zu vermeiden, also ein „restriktives MDM, das die Mitarbeiter mehr bei der Arbeit behindert als unterstützt.“ Bei der technischen Umsetzung, so TDS-Mann Gruner, „sollten Unternehmen zunächst eine MDM-Lösung etablieren, mit der sich private von unternehmerischen Daten trennen lassen.“ Eine Möglichkeit hierfür sei die Sandbox-Methode, bei der Datenaustausch und -haltung auf dem mobilen Gerät verschlüsselt werden.

MDM ist aber kein Allheilmittel. „Die Grenzen dieser Maßnahmen sind überraschend oft beim Hersteller oder Betreiber der Mobilgeräte selbst zu finden“, kritisiert Sophos-CTO Hennig. „Die abgeschotteten Systeme sollen kein Einmischen von außen zulassen, das Fehlen ausreichender Programmierschnittstellen tut ein Übriges.“ Hochschuldozent Wiele ergänzt: „Problematisch ist, dass die gängigen MDM-Lösungen bisher nicht oder kaum mit Lösungen für PC-basierte Clients zu verbinden sind.“ Man komme deshalb fast nie um neue Management-Konsolen herum.

Der Fokus vieler MDM-Anbieter auf das Löschen aus der Ferne (Remote Wipe) ist laut Integralis-Mann Klein „eine sehr kurz gedachte Auslegung von Sicherheit“. Bei einem Diebstahl mit dem Ziel der Spionage werde der Angreifer das Gerät sofort aus dem Datennetz entfernen, ein Wipe sei somit nicht mehr möglich. Hier müsse das Gerät unbedingt einen Schutzmechanismus besitzen, idealerweise Verschlüsselung, rät Integralis-Mann Klein.

Doch der Versuch zentraler BYOD-Sicherheit trifft nicht nur auf technische Hürden: „Die Grenzen der Wirkung von Zentralisierungsmaßnahmen liegen im Verhalten der Mitarbeiter“, so Stonesoft-Manager Jüngling. „Sie müssen unbedingt in die Prozesse eingebunden und von der Notwendigkeit der Maßnahmen überzeugt werden.“ Die größte Gefahr einer Umgehung von Sicherheitsrichtlinien durch den Anwender bestehe dann, wenn sinnvolle Arbeitsabläufe oder der übliche Nutzen des Geräts eingeschränkt werden, warnt Jörg Hirschmann, CTO bei NCP Engineering, und rät zu Betriebsvereinbarungen, im Zweifel auch zu zusätzlichen direkten Vereinbarungen mit den Mitarbeitern.

Halb volles Glas

Manche Fachleute können der Consumerization auch positive Seiten abgewinnen. „Firmen, die BYOD bereits umsetzen, haben in einer Symantec-Umfrage klar gesagt, dass sich die Produktivität ihrer Mitarbeiter signifikant erhöht hat“, so Symantec-Stratege Hemker. „Einerseits ist der Mitarbeiter zufriedener, weil er sein High-Tech-Notebook auch in der Firma nutzen kann, andererseits sind flexiblere Arbeitseinsätze möglich.“

„Den Anwendern ist leichter zu vermitteln, dass sie Verantwortung haben“, ergänzt Dr. Wiele von der Karlshochschule. „Außerdem wollen sie ja auch die privaten Informationen auf ihren ,Own Devices‘ schützen.“ Beides motiviere, sich zu informieren und Sicherheitsregeln etwa zur Verwendung sicherer Kennwörter einzuhalten – wenngleich die Eset-Studie aus den USA diese Einschätzung nicht zu bestätigen scheint. Es bleibt zu hoffen, dass der deutsche Anwender weniger leichtfertig ist.

Neben kritischen Security-Faktoren wie zentraler Kontrolle, Zugangs- und Informationssicherheit, MDM sowie Security Awareness kommt zuguterletzt der Aspekt der Rechtssicherheit und Compliance ins Spiel: „Wichtig ist es gerade für international tätige Unternehmen, die Implikationen der verschiedenen Rechtsräume zu verstehen“, so ISF-Mann Steve Durban. „Die EU versucht hier, einheitliche Standards zu etablieren. Das ist ein Schritt in die richtige Richtung.“

Der Autor auf LANline.de: wgreiner

Entscheidend ist es laut Thomas Hemker, Sicherheitsstratege bei Symantec, „private von geschäftlichen Daten zu trennen, da die Anwender beides auf ihren Smartphones und Tablets bunt mischen werden.“ Bild: Symantec

„Cybercrime ist heute eine richtige Branche mit schnell wachsenden Unternehmen“, so Steve Durbin, Global Vice President ISF. Bild: ISF

Laut einer Online-Umfrage von Juniper bereitet BYOD den IT-Sicherheitsverantwortlichen eine Reihe von Sorgen. Bild: Juniper

Anbieter wie Enterasys setzen auf eine Kombination aus Identity- und Access-Management, Netzwerkkontrolle, Policy Engine und automatischer Provisionierung, um den gefahrlosen BYOD-Einsatz zu ermöglichen. Bild: Enterasys

LANline.