BYOD birgt eine Reihe von Herausforderungen hinsichtlich der Netzwerk-, Daten- und Zugangssicherheit. Weitere zu beachtende Punkte sind Privatsphäre, Verantwortlichkeiten bei Verlust von oder Beschädigungen an privaten Endgeräten und vor allem bei der Trennung von und dem Zugriff auf private und geschäftliche Daten. Aus meiner Sicht gibt es nicht die berühmte Silberkugel, mit der alle durch mobile Geräte entstehenden Sicherheitsherausforderungen umfassend adressiert werden können. Die vielschichtigen Probleme erfordern in jedem Fall einen ebenso vielschichtigen Lösungsansatz, der organisatorische wie technische Maßnahmen sinnvoll vereint. Mit den richtigen Technologien können die vielen neuen durch BYOD und mobile Endgeräte im allgemeinen entstehenden Bedrohungsvektoren erkannt und abgewehrt werden - unabhängig davon, auf welchem Weg und von welchem Ort aus der Anwender Zugang ins Netzwerk erlangt. Ziel ist es, einen umfassenden Schutz von Daten, Clients und Netzwerken zu gewährleisten.
Kontrolle über das Netzwerk
Das Netzwerk stellt das Herzstück einer jeden Unternehmensinfrastruktur dar. Jede Unterbrechung des Netzwerks bewirkt unmittelbar auch eine Unterbrechung von Diensten für die Anwender und für ganze Geschäftsprozesse. Zum effektiven Schutz dieser Kernkomponenten sind folgende Mechanismen zum Empfehlen:
Performante Firewall
Hier sollte ASIC-beschleunigte Stateful Inspection mit einer Vielzahl von integrierten Security Engines auf Applikations-Level kombiniert werden, um komplexe Bedrohungen schnell zu identifizieren und zu blockieren. Die Firewall sollte sich zudem mit weiteren zentralen Security Features integrieren lassen wie zum Beispiel VPN, Antivirus, Intrusion Prevention oder Web Filtering.
Intrusion Prevention
Intrusion Prevention-Systeme (IPS) bieten Schutz gegen bekannte und zukünftige Bedrohungen auf Netzwerkebene. Zusätzlich zur Signatur-basierenden Erkennung sollte eine Anomalie-basierende Erkennung mittels Protokolldecoder ebenso zum Einsatz kommen wie die Möglichkeit des sogegannten One-Arm-IPS-Modus, Packet Logging und IPS-Sensoren.
Anti-Malware/Antivirus
Eine effektive Antivirus-Technologie vereint fortschrittliche Signatur- und Heuristik-Mechanismen für einen Multi-Layer-Echtzeit-Schutz gegen neueste und künftige Viren, Spyware und viele anderen Formen von Malware-Angriffen, die über das Web, über Mails oder via File-Transfers das Netzwerk bedrohen.
- 1. Produktiv und Glücklich? Von wegen!
BYOD hatte versprochen, Angestellte glücklicher und produktiver zu machen. Schließlich suchen sie sich ja jetzt selbst aus, mit welchen Gadgets sie arbeiten wollen. Außerdem haben sie das Gerät ihrer Wahl immer dabei, können so auch abends und am Wochenende arbeiten. Das ist die eine Seite. Die andere: Viele nutzen ihr Smartphone auch im Büro allzu oft, um Facebook zu checken oder Tetris zu spielen. - 2. Datendiebstahl via SMS
Wer zu Konkurrenz wechseln will, hat leider gar nicht so selten den Wunsch, ein paar Infos aus der alten Firma als Willkommensgeschenk mitzubringen. So auffällig wie auf dem Bild muss der Klau dabei nicht vonstatten gehen. Bei modernen Smartphones mit Swype oder Spracherkennung lässt sich Datentransfer per Textmessage realisieren. Auf die Schliche kommt man diesem Klau kaum, weil Textnachrichten in aller Regel nur auf dem Phone und nirgendwo sonst im Unternehmensnetzwerk gespeichert werden. - 3. Nicht jeder Verlust wird gemeldet
Heute hat die zentrale IT fast immer einen Ferndelete-Knopf, um wenigstens die Daten auf verlorenen Smartphones zu vernichten – wenn schon das Gerät selbst nicht wieder auftaucht. Das Problem: Der Admin kann nur dann am Panikhebel ziehen, wenn er von dem Verlust weiss. Viele Mitarbeiter aber verlegen sowieso chronisch ihr Gadget – und wundern sich nicht darüber, wenn sie das Ding ein paar Tage nicht sehen. Dann wird es gesucht, die Familie befragt, etc. So vergehen manchmal Wochen, bis der Diebstahl gemeldet wird. Bis dahin sind die Daten längst von Dritten ausgelesen. - 4. Kommunikation wird teurer statt billiger
Ein zentrales Versprechen im Zusammenhang mit BYOD ist, dass Unternehmen viel Geld sparen können, weil sie weniger eigene Mobilfunkverträge bezahlen müssen. Tatsächlich tritt der gegenteilige Effekt ein. Wie die Aberdeen Group in einer Studie festgestellt hat, kostet BYOD 33 Prozent mehr im Vergleich zu ausschließlich Firmeneigenen Geräten. Grund: Der Aufwand für Management, Abrechnung und Kostenkontrolle externer Geräte kostet deutlich mehr als ausschließlich eigene Verträge kosten würden. - 5. Alte Handys verschwinden - und kosten weiter
Unternehmen, die eine BYOD-Strategie aufsetzen, binden in der Regel zuerst die mitgebrachten Privat-Smartphones ein und kündigen dann die Verträge für die zuvor genutzten, vorhandenen Firmen-Handys. Die landen anschließend unbeachtet in irgendeiner Schublade. Ob die Kündigungen alle ankommen und wirksam werden, überprüft in der Regel niemand. Deshalb belastet ein Teil der 'Zombie-Phones' oft weiterhin das Budget. - 6. Mehr Misstrauen auf beiden Seiten
Eigentlich sollte BOYD Angestellte und Chefs näher zusammenbringen, Neinsager und Nörgler besänftigen, indem man ihnen mehr Freiräume und Wahlmöglichkeiten einräumt. Zum Beispiel die, welches Handy sie benutzen wollen. Tatsächlich hat aber die Verbreitung des One-Fits-All-Mobiltelefons eher zu mehr Misstrauen geführt und nicht zu weniger: Angestellte müssen rigide Vereinbarungen unterschreiben und fürchten, dass der Chef ihre Privatsphäre kontrolliert. Und Unternehmen trauen den Mitarbeitern bezüglich des sorgsamen Umgangs mit Firmendaten genauso wenig. - 8. Immer im Einsatz?
BYOD lässt die Grenzen zwischen Arbeits- und Freizeit endgültig verschwimmen. Was aber nicht heißt, dass Arbeitgeber ständige Verfügbarkeit von ihren Leuten erwarten sollten: Ein Gericht in Chicago verurteilte die Stadt zur Nachzahlung von mehreren Millionen Dollar Überstundenvergütung an 200 Polizisten, weil diese dazu verpflichtet worden waren, ohne zusätzliche Bezahlung in der Freizeit mit ihren Blackberrys E-Mails zu beantworten und Anrufe anzunehmen. - 9. Meistgehasst: Private Cloud-Services
Mal eben ein Foto vom Flipchart gemacht, in die Dropbox geschoben, fertig. Sowas muss nicht in böser Absicht geschehen, sondern zum Beispiel in der Absicht, zu Hause noch an wenig an betreffendem Thema weiterzuarbeiten. Die meisten CIOs hassen Dropbox, und das mit gutem Grund. Denn ganz verhindern können sie den Datentrasfer in die unbekannt Cloud nicht. - 7. Was heißt schon privat?
Wenn ein BOYD-Regelwerk aufgestellt und von allen unterschrieben ist, sind nicht immer alle Probleme gelöst. Die kalifornische Stadt Ontario zum Beispiel feuerte den Polizisten Jeff Quon, weil die Verantwortlichen auf seinem Pager private Messages gefunden hatte, die sie an seiner Loyalität zweifeln ließen. Quon klagte, unter anderem mit dem Argument, dass ein Vorgesetzer ihm versichert hatte, die Nachrichten auf dem Pager würden nicht überwacht. Die Richter gaben der Stadt trotzdem Recht. - 10. Super-Gau: Anruf von der Presse
Stellen Sie sich vor, der Leiter Ihrer Rechtsabteilung lässt sein Smartphone nach dem fünften Hellen in seiner Stammkneipe liegen, und am nächsten Morgen haben Sie einen nicht ganz unbekannten Journalisten in der Leitung, der sagt, er habe was läuten hören von geplanten Entlassungen und was denn da dran sei....Natürlich kann auch das Firmenhandy verloren gehen, aber das nehmen viele Angestellte aus gutem Grund nicht mit in die Kneipe.
Applikationskontrolle
Web 2.0 Anwendungen wie etwa Facebook, Twitter und Skype erhöhen gleichermaßen das Volumen sowie die Komplexität des Datenaufkommens im Netzwerk - und setzen Unternehmensnetzwerke einer neuen Form von Web-basierenden Bedrohungen und Malware aus. Technologien zur Applikationskontrolle nutzen eine Applikations-Signatur-Datenbank, die die granulare Kontrolle von verschiedenen Web-basierenden Anwendungen, Software-Lösungen, Netzwerk-Services und Netzwerkprotokollen erlaubt. Diese Datenbank sollte regelmäßigen Updates unterliegen, um jederzeit den aktuellsten Schutz auf Applikationsebene zu ermöglichen.
Durch diese sehr flexible und feine Kontrolle von Applikationen ist es möglich, nicht nur die Nutzung der Anwendung selbst, sondern auch einzelner Features und Funktionen innerhalb derselben (z.B. Facebook Chat) in Abhängigkeit von Gruppe, Nutzer, Zeit, Wochentag und zahlreicher weiterer Kriterien zu steuern.
Data Loss Prevention
Gerade im BYOD Umfeld ist es ein kritischer Aspekt, den Fluss von Daten so genau wie möglich kontrollieren zu können. Nicht selten treten Datenverluste durch den ungewollten oder sogar beabsichtigten Versand von Daten in ungesicherten Umgebungen oder über ungesicherte Geräte auf. Mittels der richtigen DLP-Lösung kann auf Basis umfangreicher Mustererkennungs-Techniken und User-Identitäten die unautorisierte Kommunikation sensibler Daten oder Dateien über den Netzwerk-Perimeter hinweg erkannt, geloggt und/oder unterbunden werden.
Nutzerverhalten
Schlussendlich ist natürlich auch der mobile Client selbst vielen Risiken ausgesetzt, sobald er sich außerhalb des Heimatnetzes bewegt. Es sollte daher auf einen ausreichenden Schutz für Laptops, Smartphones und Tablets der Mitarbeiter geachtet werden, sobald diese sich außerhalb des Firmennetzwerks befinden. Dabei werden Endgeräte aktiv geschützt und eine gesicherte und verschlüsselte Kommunikation ins zentrale Netz ermöglicht.
Web Content Filtering
Unerlaubtes Internet-Surfen und die Verwendung von Web-basierenden Anwendungen resultieren häufig in Produktivitätsverlust, hoher Netzwerklast, Infizierung mit Malware und Datenverlusten. Web Filtering kontrolliert den Zugriff auf Web-basierende Anwendungen wie Instant Messaging, Peer-to-Peer File Sharing und Streaming-Applikationen. Gleichzeitig werden Phishing Sites und Blended Threats blockiert.
SSL and IPSEC VPN
Hier wird für eine sichere Kommunikation zwischen verschiedenen Netzwerken und Hosts über IPsec und SSL VPN Protokolle gesorgt. ASIC Prozessoren können die Ver- und Entschlüsselung des Datenverkehrs beschleunigen. Sobald die Daten entschlüsselt vorliegen, werden sie einer Multi Thread Inspektion inklusive Antivirus, Intrusion Prevention , Web Filtering und anderen unterzogen.
Endpoint Protection
Empfehlenswert ist auch der Einsatz von Endpoint Security-Lösungen, die umfassend Schutz für Netzwerk-Endpoints bieten. In Verbindung mit Firewall-Appliances stehen damit weitreichende Schutzmechanismen zur Absicherung des Netzwerks und der Einhaltung von Compliance-Richtlinien zur Verfügung.
Integration mit MDM und weitere Innovationen
MDM-Lösungen bieten eine Reihe von zusätzlichen Kontrollen, die beispielsweise Kostenkontrolle oder Datenlöschung auf mobilen Endgeräten steuern können. Jedes sich im Netzwerk anmeldende Gerät sollte über eine installierte zertifizierte MDM-Lösung verfügen. Darüber hinaus kann durch DLP sichergestellt werden, dass sensible Daten erst gar nicht an diese mobilen Geräte übertragen werden.
Einige Sicherheitslösungen sind mittlerweile mit zahlreichen weiteren Funktionen speziell für die Thematik BYOD ausgestattet. So ist es möglich, Endgeräte und deren Betriebssystem und sogar dessen Standort explizit zu erkennen (z.B. iPhone mit iOS5 oder Smartphone mit Android 4.0) und abhängig von diesen Informationen weitere Regeln zu definieren. Über eine neuartige Funktion "Client Reputation" lässt sich zudem das Verhalten einzelner Anwender analysieren. Zunächst dient das Reporting- und Analysezwecken, jedoch ist absehbar, dass diese Informationen künftig ebenfalls entsprechende Regelwerke beeinflussen können.
Fazit
Mobilität und die Nutzung privater Endgeräte kann die Produktivität und Motivation von Mitarbeitern spürbar steigern - unter anderem weil sie mehr Arbeit an Orten und mit Mitteln ihrer Wahl und außerhalb des Büros erledigen können. Die Herausforderung für Unternehmen ist es nun, unabhängig von Ort, Endgerät und Mitarbeiter, dasselbe hohe Maß an Sicherheit und Verfügbarkeit von Daten und Diensten zu gewährleisten, wie innerhalb des klassischen Unternehmensnetzwerks. Mithilfe dieser Checkliste können IT-Verantwortliche die richtige Wahl der Technologiepartner treffen, um diese Anforderungen in ihrem Unternehmen zu erfüllen. (bw)