11.05.2012, 15:07 Uhr
Die mobile Gefahr
Tablets, Smartphones & Co. sollen die Mitarbeiter flexibel und effizient machen. Für die IT-Infrastruktur bedeutet der Trend zum mobile Computing aber vor allem mehr Risiko. Nur ein integrierter Lösungsansatz kann hier die nötige Sicherheit bieten.
Der Autor ist Deutschland-Chef von Cyber-Ark. Der grosse Vorteil der neuen mobilen Devices ist zugleich ihr grösster Nachteil: Eben weil die Geräte immer mit dabei sind, steigt auch die Gefahr, dass das schicke neue Tablet gestohlen wird oder irgendwo vergessen geht. Zudem bietet die mobile Datenerfassung und -übertragung über das Internet eine zusätzliche Angriffsfläche. Werden keine adäquaten Security-Massnahmen ergriffen, ist ein einfacher und schneller Zugriff auf unternehmensinterne IT-Systeme möglich. Die Folgen für das betroffene Unternehmen können weitreichend sein: vom Datendiebstahl bis zur Manipulation unternehmenskritischer Systeme. Nicht selten sind beispielsweise Passwörter auf den mobilen Geräten hinterlegt. Bereits Accounts von Nutzern mit relativ eingeschränkten Rechten öffnen so eine Tür in die Unternehmens-IT, die besser geschlossen bliebe. Noch gravierender ist, wenn das Admin-Passwort eines Rechners bekannt oder zumindest leicht herauszufinden ist. Jeder, der in den Besitz einer solchen Information kommt, kann potenziell einen existenzgefährdenden Schaden verursachen. Das Gefahrenpotenzial reicht von der Industriespionage über das Infizieren wichtiger Systeme mit Schadprogrammen bis zur Sabotage ganzer Industrieanlagen. Um solche Risiken zu minimieren, sind adäquate Sicherheitsmassnahmen nötig. Ausgehend von der Definition der spezifischen Sicherheitsanforderungen sollte daher ein entsprechendes Mobile-Device-Management-System implementiert werden. Bei Konzeption und Auswahl der konkreten Lösung empfiehlt es sich auf jeden Fall, folgende drei Bereiche zu berücksichtigen: lokale Datenhaltung, Identitätsmanagement und Datenübertragung. Lesen Sie auf der nächsten Seite: Lokale Datenhaltung beschränken, Identitätsmanagement einrichten
1. Lokale Datenhaltung beschränken
Grundsätzlich ist zu überprüfen, welche Daten auf den mobilen Geräten überhaupt erforderlich sind. Die mitgeführten Daten müssen auf ein Minimum beschränkt werden, Vertrauliches sollte besser nur bei Bedarf und in verschlüsselter Form über eine VPN-Verbindung (Virtual Private Network) vom zentralen Unternehmensserver geladen werden. Nicht benötigte Daten auf den mobilen Geräten sind zudem zuverlässig zu löschen und die entsprechenden Sektoren zu überschreiben. Ein herkömmliches «Löschen» reicht nicht aus, da dann nur der Dateiname und die Verknüpfung zum Speicherort gelöscht werden, nicht die Information selbst.
2. Identitätsmanagement einrichten
Zweitens ist eine Identitätsmanagementlösung erforderlich, bei der es um die natürliche Person, also den personalisierten Account des Nutzers geht. Das bedeutet zunächst, dass jeder zugriffsberechtigten Person eine eindeutige ID zugewiesen werden muss. So lässt sich zum
einen sicherstellen, dass alle Aktivitäten im Zusammenhang mit unternehmenskritischen Daten und Systemen nur von dazu autorisierten Benutzern durchgeführt werden können. Zum anderen ist nur so eine Nachvollziehbarkeit bis auf Personenebene gewährleistet.
Um das Risiko einer illegal genutzten Identität, also eines Identitätsdiebstahls, auszuschliessen, muss man aber noch einen Schritt weitergehen. Eine Möglichkeit ist die Vergabe von Einmal-IDs über eine Software-Lösung, die zwischen User und Account sitzt. Der Nutzer meldet sich mit einer nur einmal vergebenen ID an und wird erst dann mit seinem Account verbunden. Ein Identitätsdiebstahl ist damit ausgeschlossen, denn Einmal-IDs sind für Diebe nutzlos. Lesen Sie auf der nächsten Seite: Datenübertragung absichern
einen sicherstellen, dass alle Aktivitäten im Zusammenhang mit unternehmenskritischen Daten und Systemen nur von dazu autorisierten Benutzern durchgeführt werden können. Zum anderen ist nur so eine Nachvollziehbarkeit bis auf Personenebene gewährleistet.
Um das Risiko einer illegal genutzten Identität, also eines Identitätsdiebstahls, auszuschliessen, muss man aber noch einen Schritt weitergehen. Eine Möglichkeit ist die Vergabe von Einmal-IDs über eine Software-Lösung, die zwischen User und Account sitzt. Der Nutzer meldet sich mit einer nur einmal vergebenen ID an und wird erst dann mit seinem Account verbunden. Ein Identitätsdiebstahl ist damit ausgeschlossen, denn Einmal-IDs sind für Diebe nutzlos. Lesen Sie auf der nächsten Seite: Datenübertragung absichern
3. Datenübertragung absichern
Die dritte und gleichzeitig wichtigste Vorsichtsmassnahme betrifft die Datenübertragung. Die Vielzahl der heute genutzten Übertragungsverfahren erschwert die Überwachung und Zugriffskontrolle erheblich und führt zu hohen Sicherheitsrisiken. So erfordern unterschiedliche Übertragungswege wie E-Mail, Peer-to-Peer-Verbindungen, SharePoint-Portale, FTP, FTP/S, HTTP, HTTP/S oder Eigenentwicklungen für die IT einen ausserordentlich hohen Aufwand, da alle diese Systeme und Lösungen separat verwaltet werden müssen. Dadurch entstehen zudem Sicherheitsrisiken, da ein einheitliches, zentrales System für die Zugriffssteuerung, die Einrichtung von Remote-Usern und die protokollunabhängige Überwachung von Datenübertragungen fehlt. Viele Unternehmen setzen im Bereich der Datenübertragung heute vor allem auf FTP-Lösungen. Gerade diese stellen jedoch ein erhebliches Risiko dar, da Passwörter unverschlüsselt auf den Rechnern hinterlegt sind. Eine schnell zu implementierende und kostengünstige Alternative sind hier Managed-File-Transfer-Lösungen (MFT). Sie sorgen für die Kommunikation von Maschine zu Maschine. Im Gegensatz dazu sind Secure-File-Transfer-Tools (SFT), als Alternative zu E-Mail-Systemen, für die sichere Kommunikation von Person zu Person zuständig. Die Nachfrage nach derartigen Lösungen nimmt auf Unternehmensseite derzeit stark zu, da E-Mail-Systeme meist Restriktionen bei der maximal zu übertragenden Datenmenge sowie Performance- und Sicherheitsprobleme aufweisen. Implementiert werden sollte folglich eine integrierte Lösung, die neben einer MFT- auch eine SFT-Funktionalität bietet. Im Klartext heisst das: Aus der operativen Sicht der IT sollte die Datenübertragungslösung ein zentrales Management aller Dateiübertragungen unabhängig von deren Protokoll oder Typ bereitstellen. Gleichgültig, ob HTTP, E-Mail, automatisch oder manuell initiiert oder von einem System, einer Anwendung oder einem Benutzer gestartet:
Die zentrale Verwaltung, Überwachung und Zugriffskontrolle ist der einzige Weg zu einer sicheren Datenübertragung. In technischer Hinsicht sollte die Lösung eine offene Architektur bieten und unterschiedlichste Plattformen unterstützen, damit sie nahtlos in alle vorhandenen Business-Anwendungen integriert werden kann und so zur Automatisierung von Geschäftsprozessen beiträgt. Wer diese drei Bereiche – lokale Datenhaltung, Identitätsmanagement und Datenübertragung – bei der Integration von mobilen Geräten in die IT-Infrastruktur berücksichtigt, hat den wichtigsten Schritt zum Schutz der unternehmensinternen Systeme bereits gemacht. In der Ära der «Bring Your Own Devices» und des mobilen Arbeitens ist dies eine der wichtigsten Aufgaben jeder IT-Abteilung.
Die zentrale Verwaltung, Überwachung und Zugriffskontrolle ist der einzige Weg zu einer sicheren Datenübertragung. In technischer Hinsicht sollte die Lösung eine offene Architektur bieten und unterschiedlichste Plattformen unterstützen, damit sie nahtlos in alle vorhandenen Business-Anwendungen integriert werden kann und so zur Automatisierung von Geschäftsprozessen beiträgt. Wer diese drei Bereiche – lokale Datenhaltung, Identitätsmanagement und Datenübertragung – bei der Integration von mobilen Geräten in die IT-Infrastruktur berücksichtigt, hat den wichtigsten Schritt zum Schutz der unternehmensinternen Systeme bereits gemacht. In der Ära der «Bring Your Own Devices» und des mobilen Arbeitens ist dies eine der wichtigsten Aufgaben jeder IT-Abteilung.