Jede Organisation muss mit einem Cyberangriff rechnen. Zentralisiertes Incident Response bietet die Best-Practice-Lösung für die aktuelle Bedrohungslandschat
In Deutschland kommt es zu erheblich mehr Sicherheitsvorfällen als in Großbritannien oder in den USA. Das sagt zumindest eine aktuelle Studie.
Ein besonders große Risiko stellen die mangelnde Sichtbarkeit und Transparenz der Endpunkte dar. Durch immer mehr vernetzte (Mobil-)Geräte wächst diese Gefahr weiter rasant.
IT-Sicherheitsfachleute brauchen Lösungen, die automatisierte Reaktionen und die Integration von Drittanbieter-Sicherheitstools ermöglichen.
In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein neues Paradigma Assume the Breach: "Statt einer reinen Abwehr gegen Angriffe gehört es zum Risikomanagement einer Organisation, sich darauf einzustellen und darauf vorzubereiten, dass ein IT-Sicherheitsvorfall eintritt oder ein Cyber-Angriff erfolgreich ist. Dazu müssen Strukturen geschaffen, Verantwortlichkeiten benannt und Prozesse geübt werden, wie mit einem anzunehmendem Vorfall umzugehen ist."
Prävention statt Reaktion - das ist das Paradigma der IT-Sicherheit, das seit einiger Zeit gepredigt und zunehmend auch gelebt wird. Foto: GlebStock - shutterstock.com
Die Bedrohung ist ernst, doch wird sie von vielen Unternehmen nach wie vor unterschätzt. Dabei gibt es gleich mehrere Gründe, warum Unternehmen ihre Einstellung zum Thema IT-Sicherheit verändern müssen. Mitarbeitereigene Geräte (Bring your own Device = ByoD), Geräte aus dem Internet der Dinge (IoT) und andere nur temporär angeschlossene Devices verlangen Zugang zu den Unternehmensnetzen und schaffen neue Angriffsvektoren. Die Absicherung mobiler Endpunkte mit herkömmlichen Tools ist schwierig bis schier unmöglich. Sicherheitslösungen wie Virenschutz, Patch-Management und Schwachstellenanalysen gehen davon aus, dass die vorhandenen Endgeräte unternehmenseigen sind und statisch im Netz verbleiben - doch all das entspricht heute nicht mehr der Realität.
IoT-Produkte und -Strategien der Hersteller
IoT-Produkte und -Strategien der Hersteller Im Zukunftsmarkt des Internet of Things (IoT) bringt sich nahezu jeder große IT-Hersteller in Stellung. Manchmal ist der Marktzugang nachvollziehbar, manchmal werden auch Nebelkerzen geworfen und vorhandene Produkte umdefiniert. Wir geben einen Überblick über die Strategien der wichtigsten Player.
Microsoft Wie über 200 andere Unternehmen war der Softwarekonzern bis vor kurzem Mitglied in der von Qualcomm initiierten Allianz AllSeen und wechselte kürzlich in die neu formierte Open Connectivity Foundation. Deren Ziel ist die Entwicklung einer einzelnen Spezifikation oder zumindest eines gemeinsamen Sets an Protokollen und Projekten für alle Typen von IoT-Geräten.
Microsoft Auf Client-Seite fungiert Windows 10 IoT Core als mögliches Betriebssystem für industrielle Geräte. Das Beispiel zeigt ein Roboter-Kit.
Microsoft Als Cloud-Plattform stellt Microsoft die Azure IoT-Suite bereit. Diese enthält bereits einige vorkonfigurierte Lösungen für gängige Internet-of-Things-Szenarien. Mit dem Zukauf des italienischen IoT-Startups Solair wird das Portfolio erweitert.
Amazon Das Portfolio erstreckt sich mit AWS Greengrass bis in den Edge-Bereich. So können IoT-Devices auf lokale Ereignisse reagieren, lokal auf die von ihnen erzeugten Daten wirken können, während die Cloud weiterhin für Verwaltung, Analyse und dauerhafte Speicherung verwendet wird.
IBM Im März 2015 hat Big Blue mitgeteilt, über die nächsten vier Jahre rund drei Milliarden Dollar in den Aufbau einer IoT-Division zu investieren. Sie soll innerhalb des Unternehmensbereichs IBM Analytics angesiedelt sein. IBM will hier neue Produkte und Services entwickeln. Im Zuge dessen wurde auch die "IBM IoT Cloud Open Platform for Industries" angekündigt, auf der Kunden und Partner branchenspezifisch IoT-Lösungen designen und umsetzen können.
Intel Obwohl sich Intel mit seinen Ein-Prozessor-Computern "Galileo" und "Edison" im Bereich der Endgeräte für das Zeitalter von Wearables und IoT schon gut gerüstet sieht, will das Unternehmen mehr vom Kuchen. "Das Internet of Things ist ein End-to-End-Thema", sagte Doug Fisher, Vice President und General Manager von Intels Software and Services Group, zur Bekanntgabe der IoT-Strategie vor einem halben Jahr. Deren Kernbestandteil ist demnach ein Gateway-Referenzdesign, das Daten von Sensoren und anderen vernetzten IoT-Geräten sammeln, verarbeiten und übersetzen kann.
Intel Im Zentrum der IoT-Strategie des Chipherstellers steht eine neue Generation des "Intel IoT Gateway". Auf Basis der IoT Plattform bietet Intel eine Roadmap für integrierte Hard- und Software Lösungen. Sie umfasst unter anderem API-Management, Software-Services, Data Analytics, Cloud-Konnektivität, intelligente Gateways sowie eine Produktlinie skalierbarer Prozessoren mit Intel Architektur. Ein weiterer maßgeblicher Bestandteil der Roadmap ist IT-Sicherheit.
SAP Bei der SAP IoT-Plattform "HANA Cloud Platform for IoT" handelt es sich um eine IoT-Ausführung der HANA Cloud Platform, die um Software für das Verbinden und Managen von Devices sowie Datenintegration und -analyse erweitert wurde. Die Edition ist integriert mit SAPs bereits vorgestellten IoT-Lösungen "SAP Predictive Maintenance and Service", "SAP Connected Logistics" und "Connected Manufacturing".
Hewlett-Packard HP hat Ende Februar 2015 seine "HP Internet of Things Platform" präsentiert. Das Unternehmen richtet sich damit an "Communications Service Providers", die in die Lage versetzt werden sollen, "Smart Device Ecosystems" zu schaffen - also in ihren Netzen große Mengen an vernetzten Produkten und Endgeräten zu verwalten und die entstehenden Daten zu analysieren.
PTC Mit der Übernahme von ThingWorx konnte der amerikanische Softwareanbieter PTC zu Beginn vergangenen Jahres zum Kreis der vielversprechendsten Internet-of-Things-Anbieter aufschließen. Das Unternehmen bietet mit "ThingWorx" eine Plattform für die Entwicklung und Inbetriebnahme von IoT-Anwendungen in Unternehmen an.
In Deutschland kommt es zu erheblich mehr Sicherheitsvorfällen als in Großbritannien oder in den USA. Vor Kurzem befragte Frost & Sullivan IT- und Sicherheitsfachkräfte aus Großunternehmen in diesen drei Ländern zu Sicherheitsvorfällen der letzten 12 Monate. Den deutschen Firmen war es dabei am schlechtesten ergangen: 83 Prozent der deutschen Umfrageteilnehmer räumten ein, dass sich bei ihnen fünf oder mehr Vorfälle ereignet hatten. In den USA waren es 67 Prozent und in Großbritannien 69 Prozent. Die Zahlen im Ausland sind schon alarmierend, doch nirgendwo ist die Ziffer so hoch wie in der Bundesrepublik.
Bei näherem Hinsehen zeigt die Umfrage, dass die Unternehmen besonders im Hinblick auf die Verwaltung von Smartphones, Tablets und Endnutzer-Computern verwundbar sind. So ereigneten sich zum Beispiel in 42 Prozent aller deutschen Unternehmen fünf oder mehr Sicherheitsvorfälle im Zusammenhang mit Smartphones oder Tablets - das ist ein wesentlich höherer Anteil als in Großbritannien (17 Prozent) und den USA (23 Prozent).
ByoD und IoT lassen sich absichern
Ein generelles Risiko, das sich in allen Antworten spiegelt, ist die mangelnde Sichtbarkeit und Transparenz der Endpunkte. Das Corporate Executive Board konstatiert, dass 40 Prozent der IT mittlerweile der Kontrolle durch die Netzwerkadministratoren entzogen ist. Unternehmen verfehlen ihre Compliance-Ziele und die Durchsetzung der Richtlinien in ihren Netzen, weil sie einen Teil der Endpunkte nicht erreichen können.
Angesichts der steigenden Zahl von IoT-Geräten ist es mit 802.1X-Protokollen allein nicht mehr getan. Die Sicherheitsteams können nicht davon ausgehen, dass die Agenten und Sicherheitseinstellungen für alle Geräte richtig konfiguriert sind - und IoT-Geräte unterstützen Agenten in der Regel überhaupt nicht. Die Zeiten der Netze voller Ethernet-basierter PCs sind vorbei, und an ihre Stelle treten Cloud-Umgebungen mit einer Vielzahl ganz unterschiedlicher Geräte.
Die digitale Integration ermöglicht neue Arbeits- und Denkweisen, doch unverändert gilt, dass IT-Systeme abgesichert werden müssen. Es gibt zeitgemäße Wege, um Datensilos und Blind Spots zu vermeiden. Lösungen zur Verwaltung mobiler Geräte und Agenten können dazu beitragen, Unternehmensnetze zu schützen, doch gibt es dabei einige Punkte zu beachten.
Das erste Problem bei Agenten ist, dass ihre Fähigkeit zum Schutz unterschiedlicher Betriebssysteme begrenzt ist; für einen dynamischen Rollout sind sie oft nicht geeignet. Geräte, die nicht ständig mit dem Netz verbunden sind, geraten somit leicht aus dem Blickfeld. Ein zweites Problem sind Fehlkonfigurationen von Agenten. Gerade in größeren Organisationen, deren IT-Umgebungen angepasst werden müssen, kommen solche Fehler häufig vor. Daraus ergibt sich Problem Nummer drei: Die Konfiguration kostet Zeit. Agenten auf Drittanbieter-Geräten zu installieren und zu verwalten, ist eine langwierige Aufgabe, die die IT-Abteilungen belastet. Zudem werden die verschiedenen Konzepte von ByoD und der Consumerization von IT nicht in jedem Unternehmen sofort strategisch richtig erfasst und entsprechend gelöst.
Integration, Sichtbarkeit und Transparenz
Gartner schlägt ein adaptives Sicherheitsmodell vor, bei dem Sicherheitsverletzungen mittels richtlinienbasierter, automatisierter Reaktionen auf Anfälligkeiten jederzeit adressiert werden können - und zwar nicht nur vor einem Ereignis, sondern auch während eines Angriffs und danach. Sichtbarkeit, Transparenz und Problembehebung müssen gewährleistet sein, um die Bedrohung zu minimieren. Mit anderen Worten: Der Fokus liegt nicht allein darauf, einen Angriff zu stoppen, sondern auch auf der Begrenzung des Schadens, den er anrichten kann.
Doch so gut sich das in der Theorie auch anhören mag - den meisten IT-Administratoren wird die Umstellung auf ein solches Sicherheitsmodell Schwierigkeiten bereiten. Wenn zu viele Sicherheitslösungen gleichzeitig laufen, ohne Informationen miteinander auszutauschen, wird kein nachhaltiges Schutzniveau erreicht. Das SC Magazine befragte unlängst 350 Führungsmitarbeiter und Consultants aus der IT-Sicherheitsbranche über ihre aktuelle Aufstellung im Hinblick auf Sicherheitstools. Dabei zeigte sich, dass 52 Prozent der Unternehmen mit mehr als einer Milliarde Dollar Umsatz über 13 Sicherheitslösungen im Einsatz haben. Und 78 Prozent der Befragten wünschen sich, dass diese Tools miteinander verbunden werden, damit sie mehr Wirkung zeigen und künftige Kompromittierungen leichter verhindert werden.
Die 12 Typen des BYOD-Mitarbeiters
Die 12 Typen des BYOD-Mitarbeiters Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier.
1. Die Millennials Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht.
2. Die Techies Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen.
3. Die CEOs Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln.
4. Die Generation X Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal.
5. Die Sales-Mitarbeiter "Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit.
6. Die Stundenarbeiter In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben.
7. Die chronischen Nörgler "Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen.
8. Die Sozialen Netzwerker Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App.
9. Die schwarzen Schafe In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter.
10. Die Freelancer Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht.
11. Die Home Office Mitarbeiter Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy.
12. Die CIOs Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!
IT-Sicherheitsfachleute brauchen Lösungen, die automatisierte Reaktionen und die Integration von Drittanbieter-Sicherheitstools ermöglichen. In der "(ISC)² Global Information Security Workforce Study" lautete die häufigste Antwort auf die Frage nach der besten Technologie für mehr Sicherheit: "Network Monitoring und Network Intelligence". Der Umfrage zufolge favorisieren 75 Prozent aller IT-Fachleute Lösungen auf Basis des Netzwerkzugangs, um ihre Sicherheitskonzepte voranzubringen. Zudem ergab diese Umfrage, dass die Hälfte aller IT-Fachleute einen beträchtlichen Teil ihrer Zeit damit verbringen, neue Technologien wie ByoD, IoT und soziale Medien zu integrieren.
Fazit
Die Ergebnisse machen nicht nur deutlich, dass jedes Unternehmen in Gefahr ist, sondern auch, dass die IT-Fachleute unter Druck stehen. Die Umfrageergebnisse und das neue Paradigma des BSI zeigen, dass sich Firmen dem Risiko von Sicherheitsverletzungen stellen müssen. Sie müssen neue Lösungen finden, die dem IoT gerecht werden, denn andernfalls sind diese Sicherheitsverletzungen eine ernste Gefahr.
Doch gibt es auch Möglichkeiten, sich besser zu schützen: Mit richtiger Koordination können die vorhandenen Sicherheitslösungen Erkenntnisse austauschen und Richtlinien automatisch umgesetzt werden. Auf diese Weise können Organisationen von der digitalen Integration profitieren, ohne bedroht zu sein. Dazu muss aber jedes Gerät im Netzwerk erfasst werden - Sicherheit durch Sichtbarkeit.
Dies gilt auch für kleine und mittlere Unternehmen (KMUs), die sich oft für zu klein halten, um angegriffen zu werden. Gerade in Deutschland sind KMUs ein Rückgrat der Wirtschaft und verfügen über große Vertriebskanäle. Sie teilen Daten und Netzwerke mit Partnern, und so kann eine Sicherheitspanne weitreichende Konsequenzen haben.
Die Best-Practice-Lösung, um die Herausforderung von Assume-the-Breach-Szenarien zu meistern, ist eine zentralisierte Reaktion auf Incidents und kontinuierliches Monitoring jedes einzelnen Geräts. Intelligente Tools erlauben automatisierte Aktionen auf Vorfälle und richtlinienbasierte Durchsetzung von Policies. Auf diese Weise kann jedes Unternehmen Compliance sichern und Sicherheitsvorfälle entschärfen, bevor gravierender Schaden entsteht. (sh)
Mehr Security Intelligence für die IT
Weite Bedrohungslandschaft Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen.
Unternehmen sind unterlegen IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist.
... wollen sich aber wehren Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen.
Security Intelligence hilft Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren.
Großes Wehklagen Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren.
Software-Tools Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement.
Risiken verwalten Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind.
Falsche Identitäten erkennen Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden.
Malware und Phishing verhindern Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken.
Auch mobil auf dem Laufenden Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.