Schutz in der vernetzten Welt

Geht es um das Thema Sicherheit, herrscht in der IT-Welt das große Schweigen. Unternehmen geben nicht bekannt, welche Schutzmechanismen sie einsetzen oder wann und wodurch ihre Systeme angegriffen wurden. Auch die Mitarbeiter möchten den Befall ihrer Systeme mit Viren, Trojanern oder Würmern am liebsten ignorieren.

Doch meist schlagen die eingebauten Sicherheitslösungen schnell Alarm. In diesem Fall steht dann der Kollege häufig in Verdacht, illegale Seiten aufgerufen zu haben. Die Prüfung der Browser- Historie zeigt aber meist, dass diese Anschuldigungen unbegründet sind.

Die größte Gefahr geht nämlich inzwischen von ganz normalen Internet- Angeboten aus. So hat die aktuelle Studie "Cisco 2013 Annual Security Report" ermittelt, dass Webshops 21-mal und Suchmaschinen 27-mal häufiger schädliche Inhalte aufweisen als Seiten mit gefälschter Software.

Online-Werbung verbreitet sogar 182- mal wahrscheinlicher Schadprogramme als etwa Pornoseiten. Somit müssen sich Führungsebene, Administratoren und Mitarbeiter von dem Gedanken verabschieden, dass ein Verbot oder Verzicht der Nutzung illegaler Angebote ausreicht, um solche Infektionen der IT-Systeme zu vermeiden.

Der Trend verstärkt sich

Die Gefahr durch herkömmliche Internetseiten verstärkt sich durch die zunehmende Vermischung von Berufs- und Privatleben. So setzen viele Mitarbeiter berufliche Anwendungen und Geräte auch privat ein, sei es im Büro, zu Hause oder unterwegs. Über Online-Shops, soziale Netzwerke oder Anhänge im privaten Mail-Account können sie sich schnell Schadprogramme einfangen und über das Gerät oder die Anwendung auf die Firmensysteme übertragen.

Umgekehrt nutzen sie ihre privaten Geräte auch am Arbeitsplatz - Stichwort "Bring Your Own Device" (BYOD). Sind diese Geräte nicht ausreichend abgesichert, dienen sie ebenfalls als mögliches Eingangstor für Schadprogramme auf die Firmenserver.

Dabei werden die Mitarbeiter vor allem der jungen Generation immer leichtsinniger. Gemäß dem "Cisco Connected World Technology Report" machen viele Mitarbeiter der Generation Y Abstriche bei der Sicherheit, wenn sie zwischen Datenschutz und dem Wunsch nach sozialen und persönlichen Online-Funktionen abwägen.

So geben sie zum Beispiel in sozialen Netzwerken häufig persönliche Informationen preis, um Zusatzangebote zu nutzen. Besonders bemerkenswert ist laut der Studie, dass weltweit mehr Angehörige der Generation Y sich dabei wohlfühlen, persönliche Daten an Shopping-Sites herauszugeben als an die IT-Kollegen in ihrem Unternehmen - obwohl diese dafür bezahlt werden, Identitäten und Geräte der Mitarbeiter zu schützen.

Entsprechend glauben mehr als 90 Prozent der jungen Mitarbeiter, dass das Zeitalter des Datenschutzes zu Ende geht - drei von fünf sogar, dass es bereits vorbei ist. So gibt ein Großteil nicht nur persönliche Daten, sondern auch unternehmensspezifische Informationen im Internet preis.

Gleichzeitig erwartet die Generation Y eine freie Nutzung von sozialen Medien, neuen Gerätetypen und mobilen Anwendungen am Arbeitsplatz. So sagen vier von fünf jungen Mitarbeitern, die von IT-Richtlinien in ihrem Unternehmen wissen, dass sie sich nicht daran halten. Zwei Drittel meinen sogar, dass die IT grundsätzlich kein Recht habe, ihr Online-Verhalten zu prüfen, nicht einmal bei der Nutzung firmeneigener Geräte im Unternehmensnetzwerk.

Internet of Everything

In naher Zukunft wird sich die Gefahrenlage durch das "Internet of Everything" weiter erhöhen. Da immer mehr Menschen, Dinge und Geräte mit dem Internet verbunden sind, werden auch immer mehr Daten von immer mehr Orten über Netzwerke von Unternehmen und Service-Providern übertragen. Vor allem Verbindungen zwischen Maschinen (M2M) wachsen exponentiell.

Dies führt zu einer "Any-to-Any-Kommunikation", also der Verbindung von jedem Gerät und Objekt über alle Netzwerke mit sämtlichen Cloud-Angeboten und Anwendungen. Bis 2020 werden etwa 50 Milliarden "Dinge" mit dem Internet verknüpft sein. Die Anzahl der Verbindungen wird mehr als 13 Trillionen betragen. Alleine das Hinzufügen eines weiteren Objektes wird dann die Anzahl potenzieller Verbindungen um weitere 50 Milliarden erhöhen.

Diese neuen Verknüpfungen erzeugen Datenübertragungen, die in Echtzeit kontrolliert und geschützt werden müssen. Zudem sind sie transparent über das gesamte Netzwerk hinweg zu überwachen, damit sie nicht kompromittiert werden und möglicherweise irreparable Schäden verursachen.

Bei der Sicherheit verschiebt sich damit der Fokus weg vom Endpunkt und der Peripherie hin zum gesamten Netzwerk. Denn durch die extrem hohe Dynamik bei Nutzern, Geräten, Anwendungen, Servern und Netzwerkverbindungen erhöht sich der Bedarf für einen intelligenten, umfassenden Sicherheitsansatz, der gleichzeitig hoch skalierbar sein muss. Dazu wird in Zukunft die IT-Sicherheit mit dem Ansatz Software Defined Networks (SDN) kombiniert werden müssen, um die Kontroll- von der Datenebene zu trennen.

Prüfung im Netzwerk

Da sich durch BYOD, Cloud Computing und das Internet of Everything die traditionellen Netzwerkgrenzen auflösen, reicht eine klassische Firewall und ein Intrusion-Prevention-System (IPS) heute nicht mehr aus. Entsprechend müssen Netzwerk-Architekturen intelligente Kontroll- und Endpunkte im gesamten Internet einfügen.

Denn während Rechenzentren und lokale Netzwerke sich weitgehend durch klassische Sicherheitslösungen, ergänzt mit spezifischen Ansätzen für BYOD und erweiterten Nutzungsrichtlinien, schützen lassen, sind für mobile Mitarbeiter oder Cloud-Anwendungen neue Architekturen nötig. Dazu gehören vor allem Cloud-basierte Sicherheitslösungen für die Web- und E-Mail-Nutzung, für Kommunikationslösungen und andere häufig genutzte Anwendungen.

Da Sicherheitslösungen im gesamten Internet funktionieren und daher ortsunabhängig sein müssen, basieren sie nicht nur auf physischen, sondern auch auf virtuellen Appliances. Diese haben sich bei jedem Zugang auf firmenspezifische Anwendungen oder Infrastrukturen einzuschalten und daher auch geräteunabhängig zu sein.

Schließlich kann das Unternehmen nicht wissen, ob sich der mobile Mitarbeiter über sein eigenes Smartphone oder Tablet, ein Gerät eines Freundes oder Kollegen oder über einen PC im Internet-Cafe oder der Hotel-Lobby einwählt. So erhält der Mitarbeiter mit aktuellen Sicherheitslösungen bei Nutzung eines privaten oder öffentlichen Gerätes zum Beispiel nur Internet- und E-Mail-Zugriff, mit firmeneigenen Geräten einen vollständigen Zugang ins Unternehmensnetz.

Aufgrund der hohen Nutzungsdynamik reichen feste Sicherheitsrichtlinien für die Kommunikation heute nicht mehr aus. Stattdessen müssen sie je nach Person, Aufenthaltsort, Gerät und sonstigen Kriterien flexibel sein. Dies wird als Context Awareness bezeichnet.

Externes Management

Eine weitere Herausforderung ist die Aktualisierung und das Management der Sicherheitslösungen. Da sie Cloud-basiert sind, liegt es nahe, dass sie zentral und beliebig skalierbar weltweit verwaltet werden. Weil dies Unternehmen selbst oft nicht mit ausreichender Sicherheit und Zuverlässigkeit oder nur mit hohem Aufwand erledigen können, setzen sie hier meist auf externe Spezialisten.

Diese verwalten und aktualisieren die Sicherheitseinstellungen der virtuellen Appliances zentral und bieten dies als Software as a Service an. Gleichzeitig kann der Kunde dann seine eigenen fest installierten Sicherheitssysteme meist entsprechend reduzieren oder sogar teilweise abschaffen und sich die entsprechende Wartung sparen.

Dies setzt aber voraus, dass der Dienstleister die aktuelle Gefahrenlage ständig prüft und über Sicherheits-Patches in seinen Lösungen neue Bedrohungen abwehrt oder auf die Lösung eines Herstellers vertraut, die im Drei- bis Fünf-Minutentakt Updates an Firewalls, IPS, E-Mail-Appliances und andere Sicherheitslösungen verteilt. Nur dann sind auch geschäftskritische Prozesse ständig geschützt.

Praxisbeispiel Schneider Versand

Praxisbeispiel Schneider Versand