Bring your own Device – ein gefährliches Spiel

SicherheitSicherheitsmanagement

Das »Bring Your Own Device«-Konzept (BYOD) hat viele attraktive Qualitäten, aber die Sicherheitsrisiken sind enorm hoch, und bislang noch nicht gänzlich ausgeleuchtet, sagt Eric Doyle.

Die Tatsache, dass die Hacker-Organisation Anonymous sich in eine »private« Telefonkonferenz zwischen Polizeibehörden aus Europa und den USA einklinken konnte, sollte allen Unternehmen eine deutliche Warnung sein. Es besteht der Verdacht, dass die Hacker mithilfe einer E-Mail, die privat gesendet worden war, aber von einem europäischen Teilnehmer an einem öffentlich zugänglichen Speicherort aufbewahrt wurde, Zugriff auf die Telefonkonferenz erlangen konnten.

Da heutzutage immer häufiger Mobilgeräte eingesetzt werden, haben Apps in der Regel eine E-Mail-Funktion für unterwegs, und darin liegt das potenzielle Problem.

Lästige Handy-Wechselei

»Bring your own Device« klingt nach einer guten Idee, aber es hängt viel davon ab, wie mit E-Mail und geschäftlichen Informationen umgegangen wird. Organisationen wie die Polizei sehen es nicht gerne, wenn geschäftliche und private E-Mails miteinander vermengt werden. Tatsächlich ist es so, dass BYOD ganz offensichtlich bei den Gesetzeshütern nicht gut ankommt. Davon sollten sich viele Unternehmen, die mit vertraulichen Daten umgehen, eine Scheibe abschneiden.

Konsequenterweise haben Polizeibeamte normalerweise zwei Geräte: eines, das von der Behörde gestellt wird und eines, das sie für den Privatgebrauch erworben haben. Das Problem dabei ist, dass der Wechsel zwischen mehreren Telefonen oft als lästig empfunden wird, und bei manchen Unternehmen teilen sich Schichtarbeiter ein Handy, daher ist die Versuchung groß, Nachrichten zu »konsolidieren«, indem man E-Mails an einen Dienst wie Gmail, Hotmail oder Yahoo Mail weiterleitet.

Das ist jetzt reine Spekulation, aber es besteht die Möglichkeit, dass Anonymous auf diese Weise in den Besitz der E-Mail gelangen konnte. Ein europäischer Polizeibeamter hat die E-Mail des FBI an ein öffentlich zugängliches E-Mail-Konto weitergeleitet, das durch ein erratbares Passwort geschützt war. Vielleicht wurde die E-Mail aber auch auf einem schlecht geschützten Server der Polizeibehörde aufbewahrt.

Menschen sind bequem, was Passwörter anbelangt. Sie sind dabei hin- und hergerissen zwischen einerseits den Vorgaben des Microsoft Active Directory, das eine Mischung aus Groß- und Kleinbuchstaben sowie Zahlen verlangt und andererseits dem Bedürfnis nach einem leicht erinnerbaren Begriff. Morgen soll laut Ankündigung der jährliche Datenschutzbericht der Sicherheitsfirma Trustwave veröffentlicht werden. Darin wird aufgedeckt, dass das meistgenutzte Passwort im Geschäftsumfeld »Password1« ist. »Tja, es erfüllt die Anforderungen des Active Directory und man kann sich leicht daran erinnern«, sagte Nicholas Percoco, Senior Vice President und Geschäftsführer von Trustwave SpiderLabs, der Redaktion.

Es gibt mehrere Szenarien, aber alle laufen auf das Gleiche hinaus. Das Verwalten von Daten gestaltet sich umso schwieriger, je mehr die Technik, besonders mobile Endgeräte, unseren Alltag durchdringt.

Auf die Einhaltung der Richtlinien pochen

Richtlinien sind der einzige Schutzmechanismus, den Unternehmen haben, um ihr geistiges Eigentum und andere betriebseigene Daten zu schützen. Das Problem mit Richtlinien ist, dass es sich dabei um eine Abmachung zwischen Firma und Mitarbeitern handelt, die Regeln zu befolgen; die Einhaltung derselben kann aber nicht erzwungen werden. Selbst wenn 99 von 100 Mitarbeitern die Richtlinien verstehen und erfolgreich anwenden, reicht die eine Person, die übrig bleibt, aus, um das Unternehmen in den Ruin zu treiben.

Es bestand schon immer die Möglichkeit, dass Mitarbeiter betriebsinterne Daten mit nach Hause nehmen konnten, mit oder ohne Einverständnis der Firma. Es gab Datenverluste, aber die Lecks hielten sich in Grenzen. Darüber hinaus war die maximale Geschwindigkeit bei der Datenübertragung nicht besonders hoch. Wenn man davon ausgeht, dass die ausgehende Internet-Datenleitung gut abgesichert war, musste sich Otto Normaluser damit begnügen, Daten auf Floppy Disks herunterzuladen – ein langsames und mühsames Unterfangen.

Heutzutage haben wir USB-Sticks, USB-Festplatten und die wahrscheinlich größte Bedrohung, Smartphones und Tablet-Computer. Verlorengegangene USB-Sticks haben es schon in mehreren Fällen bis in die Schlagzeilen geschafft, aber es ist schwierig, Daten, die aus öffentlich zugänglichen E-Mail-Systemen entwendet wurden, nachzuspüren, wenn Benutzername und Passwort korrekt eingegeben wurden.

Es wird einiges unternommen, um sicherzustellen, dass Apps, besonders für Geräte auf Android-Basis, nicht mit Trojanern verseucht sind, aber es gibt viele andere Mittel und Wege, die Sicherheitsmechanismen auszuhebeln. Zahllose Nutzer verwenden dieselbe Name/Passwort-Kombination, um sich auf mehreren und unterschiedlichen Systemen einzuloggen. Da muss man kein Verbrechergenie sein, um auf die Idee zu kommen, eine App zu programmieren, bei der Nutzer ein Passwort festlegen müssen und dann zu versuchen, mit diesen Informationen Zugang zu anderen Online-Diensten zu erlangen.

Das Problem ist besonders dann augenfällig, wenn im Betrieb auf BYOD gesetzt wird. Zu einem gewissen Grad kann man festlegen, auf welche Informationen ein Nutzer zugreifen kann, aber das Unternehmen hat keine Kontrolle darüber, was ein Anwender dann mit den Daten macht oder welche Apps und Spiele auf dem Endgerät des Nutzers installiert sind.