Wie ich mein Unternehmen schützen kann

Die Schweiz ist ein Land der Smart­phones und Tablets. Wer sich im Privatleben an die praktischen Dienste der mobilen Helfer gewöhnt hat, will auch im Geschäft nicht darauf verzichten. Manche Unternehmen fordern ihre Mitarbeiter bewusst dazu auf, die eigenen Privatgeräte auch im Geschäft zu nutzen. «Bring Your Own Device» (BYOD) heisst dieser Trend. Die mobilen Geräte verschaffen den Mitarbeitern jederzeit und von jedem Ort aus Remote-Zugriff auf das Firmennetzwerk, etwa zum Download von Dokumenten oder zum Abruf aktueller Daten aus dem ERP-System. Es gibt sogar Firmen, deren Videoüberwachung via Smartphone gesteuert und abgefragt werden kann.

Der mobile Datenzugriff sorgt für mehr Benutzerfreundlichkeit und eine hohe Erreichbarkeit der Angestellten. Vielversprechende Möglichkeiten also, doch was ist mit der Sicherheit? Vor allem in kleinen bis mittleren Unternehmen bestehen oft noch keine internen Richt­linien. Smartphones und Tablets können sich so als echtes Sicherheitsrisiko entpuppen – und nicht nur diese.

Gemäss der Melde- und Analysestelle Informationssicherung des Bundes (Melani) erlaubten 2010/2011 rund 85 Prozent der Schweizer Firmen ihren Angestellten, ein externes Peripheriegerät (USB-Stick, Digitalkamera, Smartphone etc.) an den Firmencomputer anzuschliessen. Bei rund 87 Prozent der Unter­nehmen können die Mitarbeiter ihre FirmenNotebooks mit nach Hause nehmen und somit an Drittnetze anschliessen. Darum ist es wichtig, das Firmennetzwerk sowohl gegen aussen als auch nach innen zu schützen. Wer übrigens glaubt, das eigene KMU sei viel zu klein, um für Angreifer interessant zu sein, vergisst, dass Malware, Spam und andere, mobile Gefahren, die (ungewollt) von den eigenen Mitarbeitenden ausgehen, auch kleinere Firmen betreffen. Oft sind gerade KMU unge­nügend geschützt – sei es, weil der Admin keine Zeit hat, sich up to date zu halten oder schlicht von der sich schnell ändernden Bedrohungslage überfordert ist. Die aufwendigen Updates von Betriebssystemen, Anwendungen und Plug-Ins werden darum schnell einmal vernachlässigt. Selbst Sicherheitslücken, die vom Hersteller längst geschlossen wurden, bleiben so weiter gefährlich.  Diese Sicherheitslücken sind vor allem dann ein Problem, wenn die Angestellten für ihre tägliche Arbeit auf das Internet angewiesen sind und auch privat surfen. In vielen Unternehmen ist Letzteres nicht ausdrücklich verboten, zumal vor allem junge Mitarbeitende beim Surfen, Mailen, Twittern gar nicht mehr so richtig zwischen Beruf und Privatleben unterscheiden. Eine Analyse von Websense hat gezeigt, dass rund 80 Prozent aller infizierten Websites vertrauenswürdige Sites sind, die kompromittiert wurden. Erschreckend auch, dass das Aufrufen der aktuellen Nachrichten oder der neusten Trends sogar leicht gefährlicher war als die konkrete Suche nach anstössigen Inhalten. Darum kann leider nicht angenommen werden, dass, wer sich korrekt verhält, nicht infiziert wird. Die Malware lauert genau da, wo am meisten Klicks erwartet werden, denn dort ist das Geschäft am lukrativsten. Am besten ist, schon an der Pforte zum Internet, dem Gateway, einen starken Schutz aufzubauen. Eine lokale UTM-Appliance (Unified Threat Management) bietet mehrere Schutzmechanismen in einem Gerät. Lesen Sie auf der nächsten Seite: Das kann eine UTM-Firewall

Nachfolgend eine kurze Übersicht über die wichtigsten Services einer UTM-Firewall: Content-Filter: Ein guter Content-Filter (CF) schützt vor unsicheren Websites und hilft, das Surfverhalten der Mitarbeitenden im gewünschten Rahmen zu halten. Am wichtigsten ist ein Echtzeitschutz vor Webbedrohungen wie Phishing, Zombies und Bots. Der CF warnt die Benutzer vor unsicheren Websites oder schützt sie, indem er den Zugriff darauf ganz blockiert. Zudem kann er so konfiguriert werden, dass der Zugriff auf bestimmte Website-Kategorien, z. B. News-Foren oder Unterhaltung, gesperrt bzw. auf die Zeit nach 17 Uhr beschränkt ist. Die genauen Einstellungen können je nach UserGruppe anders definiert sein. Der Antivirenschutz sollte nicht nur das Internet abdecken, sondern auch bei File-Transfers (Website-, FTP- und SMTP-Downloads) die Inhalte scannen, mit einer aktuellen und möglichst umfangreichen Virendatenbank abgleichen und den Schadcode unschädlich machen. Die Intrusion Detection Prevention wird zwischen den verschiedenen Sicherheitszonen eingesetzt. Dort erkennt sie verdächtige Anwendungen und Angriffsmuster und ergreift die konfigurierten Massnahmen.  Jede Firma hat einen Spam-Schutz, doch nicht jede ist wirklich zufrieden damit. Wie erkennt man, ob die vorhandene Lösung wirklich gut ist? Wer den Spam-Schutz direkt beim Provider bestellt, muss mit relativ hohen Kosten rechnen und den Filter sehr genau justieren. Eine gute Anti-Spam-Lösung sollte möglichst viele unerwünschte Mails automatisch abfangen, denn das individuelle Einrichten und Administrieren frisst enorm viel Zeit. Zuerst sollten die Mails darum gemäss der IP-Reputation des Senders gefiltert werden. So lassen sich schon rund 80 Prozent aller Spam-Mails abfangen und Systemressourcen bzw. Bandbreite werden geschont. Von den restlichen Mails sollte ein anonymisierter Ausschnitt aus der Mail, ein sogenannter Fingerprint, erstellt und zur Analyse an den Cloud-Server des Dienst­anbieters geschickt werden.

Aufgrund ihrer Beliebtheit sind inzwischen auch Smartphones ein immer populäreres Angriffsziel. Auch die Anzahl entdeckter Schwachstellen nimmt stark zu. Für den Remote-Zugriff auf Daten aus dem Firmennetzwerk bietet sich ein VPN-Tunnel an: Eine verschlüsselte VPN-Verbindung über L2TP (Layer 2 Tunneling Protocol) zwischen Smartphone und Netzwerk sorgt dafür, dass die Daten nicht in die falschen Hände gelangen. Wer zudem sicherstellen will, dass niemand das Smartphone eines arglosen Mitarbeiters nutzen kann, um im Geschäft auf sensible Daten zuzugreifen, dem sei das Einrichten eines VLAN (Virtual Local Area Net-work) für alle Smartphones empfohlen. Getrennte Netzwerke senken das Risiko enorm. Für das Smartphone-VLAN können dann etwa präzise Zugriffsrechte festgelegt werden, die unberechtigte Zugriffe auf sensible Daten verhindern. Zudem lässt sich das vir­tuelle Netzwerk via IDP-Funktion scannen, sodass mögliche Bedrohungen (Viren, Würmer, Trojaner etc.) sofort erkannt und blockiert werden können.  Auch Notebooks stellen oft ein Sicherheits­risiko dar. Es genügt, dass der Verkaufsaussendienstler den Laptop direkt via Ethernetkabel ans Firmennetzwerk anschliesst, um einen schäd­lichen Virus direkt in die «Hauptschlagader» der Firma einzuspeisen und dort vielleicht geschäftskritische Systeme zu befallen. Auch hier bietet sich das Einrichten eines VLAN an. Getrennte Netzwerke für Gäste oder Verkaufsaussendienst verhindern, dass gleich das ganze System befallen wird, sollte einmal eine Gefahr auftreten.  Ein weiterer Vorteil eines VLAN ist die Auftrennung in logische Einheiten. Wenn alle Geräte auf demselben Netzwerk liegen, ist das, als ob in einem Raum voller Leute immer mal wieder jemand ruft «Hallo, hier bin ich!». Werden die Geräte auf mehrere VLANs verteilt, ist es gleich viel ruhiger und die Geräte stören einander weniger. Lesen Sie auf der nächsten Seite: Aktuelle Sicherheitslage in der Schweiz

Nicht zuletzt ist das User-Verhalten ein entscheidender Faktor. Das gilt punkto Malware genauso wie für die BYOD-Problematik. Gemäss einer Microsoft-Studie war bei rund 45 Prozent der im ersten Halbjahr 2011 aktiven Malware eine Benutzerinteraktion erforderlich. An zweiter Stelle folgt USB-Autorun (26%), an dritter Netzwerk-Autorun (17%). Die Schulung und Sensibilisierung der Mitarbeitenden ist darum von zentraler Bedeutung.  Zwar ist es sicherlich richtig, die Zugriffs­berechtigungen vom Grad der persönlichen Verantwortung abzuleiten, damit der jeweilige Mitarbeiter die von ihm geforderte Arbeit auch leisten kann. Das bedeutet aber nicht zwangsläufig, den Top-Managern alle Tore offen zu lassen, nur weil sie dies fordern. In diesem Fall ist weniger ausnahmsweise einmal mehr.

Auch 2011 waren Webseiteninfektionen wieder die beliebteste Methode für ungezielte Malware-Infektionen. Dabei werden primär gestohlene FTP-Zugangsdaten verwendet, um automatisiert Schadcode in einem Webauftritt zu platzieren.

Die Melde- und Analysestelle Informationssicherung des Bundes (Melani), gibt an, dass nebst klassischen Quelltext-Manipulationen zunehmend Manipulationen an der .htaccess-Datei beobachtet wurden. Wird diese Datei, die den Zugriff auf die Website regelt, mit einem Schadcode verändert, können Benutzer ohne irgendwelche Interaktion auf eine beliebige Website umgeleitet werden. Beim Aufrufen einer Website über eine Suchmaschine werden sie so ohne ihr Wissen auf einen Schadserver umgeleitet. Auf dem infizierten Webserver werden dann solange diverse Schwachstellen ausprobiert, bis eine Sicherheitslücke gefunden ist. Fieses Detail: Damit niemand Verdacht schöpft, blendet sich beim direkten Aufruf der Webseite die Originalseite ohne Schadcode ein.

Im Allgemeinen geht der Trend weg von Hobbyhackern hin zu professionellen Angreifern, die sich persönlich bereichern wollen und ihre Tools an technisch weniger versierte Kriminelle weiterverkaufen. Wer verstehen will, nach welchem Muster die Angreifer vorgehen, sollte sich ganz einfach überlegen, mit welchen Angriffen am meisten Geld gemacht werden kann. Die Sicherheitsreports der Antimalware-Hersteller zeigen, dass die Angriffe vor allem in den Bereichen Web-Exploits, Money-Laundering und Data Theft (über Trojaner) zunehmen, weil der finanzielle Anreiz für die Angreifer dort am grössten ist.

Schadenspotenzial besteht aber auch im Bereich Mobile Devices und VoIP: Noch sind die Angriffe dort weniger lukrativ, ändert sich das, etwa durch die Verbreitung mobiler Bankgeschäfte, steigt auch die Gefahr. Viele Cyberkriminelle mieten Kapazitäten auf gehackten Rechnern, die in sogenannten Botnetzen zusammengeschlossen sind. Die meisten Rechner verfügen inzwischen über eine schnelle Internetverbindung und sind so ein umso beliebteres Ziel, denn mit einem schnellen (infizierten) Rechner lassen sich viel mehr Angriffe vornehmen. Gemäss Melani mieten Angreifer aber auch Rechenkapazitäten von Cloud-Services an.

Alex Bachmann ist Product Manager Security bei der Studerus AG.