In 87 Prozent der deutschen Unternehmen nutzt mindestens die Hälfte der Mitarbeiter eigene mobile Geräte, so eine aktuelle Studie von Avanade. Weltweit bringen in 60 Prozent der Firmen die meisten Kollegen ihre eigenen Smartphones und Tablets an den Arbeitsplatz mit. Damit ist Deutschland international ein Vorreiter von "Bring your own device". Gleichzeitig erkennt über die Hälfte der deutschen Firmen, dass der Trend auch zu zusätzlichen Herausforderungen führt, vor allem für die IT-Abteilung.
Aktuelle Gefahren
Die größte Gefahr geht von der mangelnden Sicherheit der privaten Endgeräte aus. In Deutschland werden beliebte Programme wie Adobe Flash Player, Sun Java oder Apple QuickTime nicht regelmäßig aktualisiert. So zumindest das Ergebnis einer Software-Analyse von Secunia, die auf der Basis von weltweit 6,1 Millionen privaten Nutzern erhoben wurde. Die drei genannten Programme sind auf einem Viertel der Rechner nicht gepatcht und erhöhen so das Angriffsrisiko. Der Länderbericht nennt auch die Ursache für die Nachlässigkeit: Patchen ist aufwändig. Wer sämtliche bekannten Sicherheitslücken auf einem deutschen Durchschnittscomputer schließen wollte, müsste 25 Update-Prozeduren beherrschen und diese regelmäßig vornehmen. Die Installation von Microsoft-Patches allein genügt dabei nicht: 70 Prozent aller bekannten Schwachstellen werden durch Drittanbieter-Programme verursacht, von denen einige der bei Anwendern beliebtesten nicht einmal mehr durch ihre Anbieter gepflegt werden. Dazu gehören etwa Adobe Shockwave Player 10, Mozilla Firefox 14 oder Microsoft Word 2000.
Die Kombination aus nicht aktualisierter Software und einem hohen Anteil an Mitarbeitern, die ihre privaten Endgeräte in das Unternehmen mitnehmen, ist sehr gefährlich. Zudem hat eine aktuelle Studie von Cisco ermittelt, dass Mitarbeiter nicht nur ihre Geräte, sondern auch private Anwendungen am Arbeitsplatz nutzen - wie etwa soziale Netzwerke, cloud-basierte E-Mail und Instant Messaging. Deren oft mangelhafte Sicherheitseinstellungen gefährden die IT-Infrastruktur in Unternehmen zusätzlich.
Die Vielfalt der Geräte, Betriebssysteme und Anwendungen macht es IT-Administratoren unmöglich, sämtliche Patch-Mechanismen manuell vorzunehmen. Schließlich sind die meisten Anwender bereits mit ihren Privat-PCs überfordert - wie lässt sich dann erst in einem großen Unternehmen für eine umfassende Patch-Verwaltung sorgen?
Schwachstellen entdecken und analysieren
Abhilfe kann eine Kombination aus Schwachstellen-Intelligenz und Schwachstellen-Scanning schaffen, wie sie auch in den Secunia-Produkten "Personal Software Inspector" (PSI) für Privatanwender und "Corporate Security Inspector" (CSI) für Unternehmen im Einsatz ist. Sicherheitslücken im Betriebssystemen und Drittprogrammen lassen sich hier durch die vier Bausteine Vulnerability Intelligence Management, Vulnerability Scanning, Patch-Erstellung und Patch-Management gezielter beheben. Die Sicherheitslösungen müssen mehr als 40.000 Schad-Anwendungen - neben Microsoft- und Drittanbieter-Programmen auch Software unter den Betriebssystemen Red Hat Enterprise Linux, Google Android oder Mac OS X - identifizieren und analysieren. Großer Vorteil von Anbietern wie Secunia: ein Analyse-Team im eigenen Haus, das ständig nach Schwachstellen in den Programmen mit Hilfe aktueller Scan-Technologien sucht sowie Reports von anderen Anbietern berücksichtigt. Schließlich werden pro Jahr nach aktuellen Schätzungen etwa 10.000 neue Schwachstellen in Anwendungen identifiziert, rund die Hälfte davon können als "kritisch" eingestuft werden.
- Patch-Management
Umsetzung und Dokumentation der Aktualisierungen im Unternehmen - Patch-Erstellung
Entwicklung von Updates für verschiedene Betriebssysteme, Integration von Sicherheits-Updates der Hersteller - Vulnerability Scanning
Untersuchung der Server und Endpunkte im Unternehmen auf Sicherheitslücken - Vulnerability Intelligence Management
Identifikation und Analyse neuer Schwachstellen, Integration von Erkenntnissen anderer Anbieter
Fließen diese Erkenntnisse in den Scan-Vorgang ein, lassen sich die Applikationen auf sämtlichen Servern und Endpunkten des Unternehmens auf Sicherheitslücken hin untersuchen - zumindest soweit das IT-Inventar erfasst und damit verwaltbar ist. Die Lücken werden anhand eines Datei-Signatur-Verfahrens erkannt und Programm für Programm hinsichtlich ihrer Gefährlichkeit für das Unternehmen aufgeschlüsselt. Die Sicherheitsverantwortlichen erhalten so an einer einzigen Konsole einen detaillierten Überblick über sämtliche identifizierten Schwachstellen und ihre möglichen Folgen für das Unternehmen.
Um die Schwachstellen besser priorisieren zu können, hat sich eine Klassifizierung in drei Kategorien bewährt:
-
geringes Angriffsrisiko für kleinere, weniger komplexe Anwendungen;
-
mittleres Angriffsrisiko für durchschnittlich gefährdete Anwendungen;
-
hohes Angriffsrisiko für komplexe oder häufig eingesetzte, unternehmenskritische Anwendungen.
Patches entwickeln und verwalten
Um für künftige Bedrohungen gewappnet zu sein, reicht es meist nicht, nur auf Patches der Hersteller zu warten und diese dann einzuspielen. Unternehmen, die auf Software "Marke Eigenbau" setzen, müssen Patches auch selbst erstellen und auf ihre individuelle IT-Umgebung verteilen können. Hier helfen Regelsets für das Scannen von selbstentwickelten Programmen, Treibern und Plug-ins, die ebenfalls in die Patch-Management-Lösung implementiert werden sollten. Erst dann erhalten Sicherheitsverantwortliche Aufschluss darüber, auf welchen Servern und Endpunkten die jeweilige Spezial-Software installiert ist und können die Patches entsprechend installieren.
Darüber hinaus ist auf eine umfassende Integration des Patch-Management-Moduls in übergeordnete Deployment-Systeme zu achten - vor allem in häufig genutzte wie Windows Server Update Services (WSUS), Microsoft System Center Configuration Manager (SCCM) und die Altiris Deployment Solution. Diese Einbindung macht das Leben für die IT-Abteilung leichter, denn sie vereinfacht und beschleunigt die Installation von Sicherheits-Updates, unabhängig von den genutzten Deployment-Systemen. Sämtliche Patches, auch die zur Beseitigung der Schwachstellen, können dann aus der gewohnten Oberfläche des Deployment-Systems heraus auf Server und Endpunkte verteilt werden. Hält die Sicherheitslösung zusätzlich Software Development Kids (SDK) vor, lässt sich das Management von Security Updates auch an andere Client-Management-Systeme übertragen und von dieser Konsole aus vornehmen. (sh)