BYOD beherrschen: Die passende Lösung finden

MobileNetzwerkeSicherheitSicherheitsmanagement

Viele Hersteller glauben, die richtige Sicherheitslösung für den “Bring your own device”-Trend anzubieten, die Ansätze nähern sich dem Ziel jedoch mit völlig unterschiedlichen Systematiken. Ein kleiner beispielhafter Abriss dessen, was sich die Anbieter derzeit zusammenreimen – und was Unternehmen daraus lernen können.

Es ist nichts Neues, dass immer mehr Mitarbeiter ihre eigenen Computer und Smartphones ins Büro mitbringen – seit einigen Jahren schon und verstärkt in den Mobiltechnik-Trendjahren 2010 bis 2012 haben sich erst die Arbeitnehmer, dann die Medien und schließlich notgedrungen auch die IT-Abteilungen mit dem BYOD-Phänomen auseinandergesetzt.

Von strikten Regeln, die nur bestimmte Geräte mit entsprechender Software an vorgegebenen Anschluss-Orten zulassen bis hin zum freien “Macht doch was Ihr wollt”-Credo ist nahezu jede Variante in den IT-anwendenden Unternehmen vorhanden. Wie die Technik-Abteilungen damit ist umgehen sollen, ihnen meist selbst überlassen – wenn denn eine Entscheidung für entsprechende Technik getroffen wird und die Budgets ausreichen.

Und hier beginnt die Crux der Durchsetzung: Die vielen Lösungen, die Security-Regeln auf mobilen Geräten umsetzen sollen, sind nicht immer bezahlbar für kleinere Unternehmen – wer kauft sich schon einen Blackberry-Server? Da helfen Vorschläge, wie mobile Geräte im Unternehmen eingesetzt werden sollen (wie schon 2008 vom BSI veröffentlicht) nicht besonders viel – neben der Organisation, die auch den Betriebsrat und die IT-Abteilung beschäftigt, muss letztendlich eine Lösung her.

“Endpoint Protection” nur als erste Anlaufstelle

Um BYOD zu beherrschen, bieten Sicherheitsunternehmen etwa eine “Endpoint Protection” an – das Netzwerk überwacht hier, welche Geräte angesteckt werden, und je nach Einstellung und Berechtigungen lehnt es das Mobilgerät ganz ab oder lässt nur bestimmte Datenübertragungen zu, die zuvor festgelegt wurden.

Nahezu alle großen Sicherheitsunternehmen bieten mittlerweile solche Lösungen an: Bei Symantec mit seiner „Endpoint Protection Small Business Edition“ wird eher der Antivirus-Aspekt der ans Netz angeschlossenen Geräte berücksichtigt, Trend Micro legt Wert darauf, mit seiner „Endpoint Encryptionvor allem den verschlüsselten Austausch mit dem Unternehmensnetz zu managen , Sophos packt die Sicherung inklusive Verschlüsselung, Webfiltern, Zugangskontrolle und Kontrolle von Anwendungen sowie Patch-Analyse in eine abgewandelte Security-Lösung.

Identity Management als Lösungsweg

Zahlreiche Anbieter steuern den Zugriff der Mobilgeräte schon über das Zugriffs-Management: So gilt das “wer darf was?2 wie es ausgeklügelte Zugriffslösungen mit ihren Security Policies anbieten. Manche Zugriffsrechte-Standards wie LDAP sind bereits in Windows- und Linux-Servern eingebaut – sie reichen jedoch nicht aus für viele Unternehmen, die den Zugriff auf ihre Geschäftsprozesse weitaus granularer regeln wollen (“wer darf was uter welchen Umständen?”). Für diese existieren zahlreiche IAM-Lösungen (“Identity and Access Management”).

Beispiele gibt es so viele, dass man sie kaum aufzählen kann. Softwarefirmen wie Microsoft, WebSense, Quest, T-Systems und NetIQ beschäftigen sich mit dem Thema. Ob es sich hier um Zugriffsrechte für Mobilgeräte der Unternehmensnutzer oder andere netzngebundene Systeme handelt, ist erst einmal vollkommen unwichtig: Das Problem wird zuallererst dadurch gelöst, dass man dem Nutzer Rechte gibt oder nicht. Ob dieser sich dann mit einem kontrollierten Unternehmensgerät einloggt oder mit einem Neugekauften, nicht Registrierten, merken die meisten Zugriffsmanagement-Systeme nicht.

Bietet also das ausgewählte IAM-System keine Mobil-Management-Funktionen an, hilft nur die passende Kombination von Endpoint-Protection-System und IAM – eine Frage, der sich jedes Unternehmen mit Mobilzugriffen durch seine Mitarbeiter stellen muss. Und selbst die übers Firmennetz gesteuerte Kontrolle des Zugriffs könnte zu Problemen führen: niemand weiß, was die Apps auf den Mobilgeräten im Hintergrund treiben. Jonathan Sander von Quest Software erklärt im Interview, die Kontrolle dessen, was die mobilen Anwendungen tun, gehöre zu den schwierigsten Aufgaben für IAM-Systeme. Die alleinige Überprüfung, welche Software zugreifen darf und welche nicht – wie etwa in Sophos‘ Sicherheitslösung – reicht offenbar nicht.

Sicherheit aufs Mobilgerät auslagern?

Viele sehen es nicht als nötig oder bezahlbar an, Netzwerklösungen aus den Bereichen IAM oder Security überhaupt erst zu installieren –sollen doch die wenigen Mitarbeiter schon vorher mit passenden Mobil-Lösungen selbst für Sicherheit sorgen!

Allen voran sind hier die Sicherheits-Unternehmen Sophos, Kaspersky und Trendmicro – jeder von diesen bietet Android-, iOS- oder Windows-Lösungen an, deren Lizenzpreise sich relativ wenig unterscheiden. Für kleine Unternehmen mit wenigen Mitarbeitern genügt meist ein einziges Paket mit drei bis fünf Lizenzen. Weil sich die ultrakleinen Firmen (unter zehn Mitarbeitern) noch nicht um Zugriffsrechte scheren, ist dies häufig die preisgünstigste Variante. Die Viren-Signaturen der Antivirenprogramme auf jedes Mobilgerät zu übertragen, gehört mittlerweile der Vergangenheit an: Von F-Secure bis Sophos, Kaspersky und Trend Micro besitzen inzwischen alle Sicherheitsunternehmen Datencenter, die schädliche Links und Daten anhand von kurzen Quersummen erkennen können – über das Netz geschickt werden nur noch diese kleinen Prüfdaten, um Schädlinge schnell erkennen zu können.

Bedienungsmuster, Firewalls und weitere Ansätze

IBM will mit Automatisierung und Erkennung von Bedienungsmustern nicht nur beim Aufbau von Branchenlösungen helfen, sondern zugleich für Sicherheit sorgen. Mit seinen Entwicklertools der PureSystems-Familie und dem kostenlosen Virtual Pattern Kit for Developers sollen Verhalten und Fehlverhalten leichter erkannt und gesteuert werden können – im Grunde also verbindet IBM die heuristische Herangehensweise vieler Security-Anbieter mit Geschäftsprozess-Management, um letztendlich das richtige Funktionieren von Anwendungen mit und ohne mobile Geräte zu optimieren.

Der Mobiltrend zieht sich in allerlei Bereiche hinein, und so sind etwa auch die Firewalls oder VPNs betroffen. Anbieter Sonicwall baute kurzerhand das Steuern und Kontrollieren von Mobilgeräten in sein VPN-Produkt SSL VPN 6.0 ein.  Laut Eigenwerbung gestattet das System „den sicheren Zugriff von unverwalteten Windows-Geräten auf das Unternehmensnetzwerk“ – bei „BYOD“ müse man sich also nicht mehr kümmern, alles werde beim Zugriff geregelt.

Die Diskussionen darüber, wie Unternehmen technisch und organisatorisch mit dem BYOD-Trend umgehen sollen, werden weitergeführt werden. Kurt Eschlbeck von Sophos beispielsweise macht sich Gedanken über die Sicherheit der Übertragungsprotokolle mobiler Systeme, Eric Doyle meint, dass man sich in der IT-Abteilung wirklich entscheiden muss, was man zulässt und was nicht und nennt es CYOD statt BYOD. Symantec wiederum erklärt, das Sicherheitsproblem sei auch eine Haftungsfrage: Sind die Sicherheitsbedrohngen, die das mobile Gerät mit sich bringt, Sache des Unternehnmens oder des Mitarbeiters, der das Gerät bringt?

Fazit

Alle Technik zum Umgang mit dem BYOD-Proben ist bereits vorhanden – die Herangehensweise ist nur eine Frage der Infrastruktur und der Kosten, der Rest lässt sich organisatorisch rtegeln..

Unternehmen müssen sich bei ihrem Lösungsanbieter erkundigen über
–    Kontrolle der Netzwerk-Anschlüsse
–    Kontrolle der Nutzerrechte
–    Security-Überprüfung von Speichern angeschlossener Geräte
–    Überprüfung des Datenverkehrs der Mobilsysteme (App-Management)

Ob diese nun auf Seite der Netzwerkzugangsmöglichkeiten, der klassischen Sicherheitsprodukte, der Access-Management-Systeme oder der Mobilgeräte selbst kontrolliert werden, muss jeder für sich selbst entscheiden. Abhängig ist dies sowohl von der bisherigen Infrastruktur als auch von den zur Verfügung stehenden Budgets – und der Möglichkeit, entsprechende Sicherheitsregeln legal im Unternehmen durchzusetzen. Denn hier spricht auch der Betriebsrat mit – und der wird nicht jede Art von Kontrolle zulassen.

Umfrage

Bei meinem beruflich genutzten Notebook oder Tablet ist ein entspiegeltes Display ...

Ergebnisse

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen