Bring Your Own Device? Aber sicher!

BYOD und die Kontrolle über die Applikationen

von - 04.04.2015
Web-2.0-Anwendungen wie Facebook, Twitter und Skype erhöhen das Volumen sowie die Komplexität des Datenaufkommens im Netzwerk – und setzen Unternehmensnetzwerke einer neuen Form von webbasierten Bedrohungen und Mal­ware aus. Üblicherweise versuchen Unternehmen über herkömmliche Firewall-Systeme eine erste Abwehrkette zu errichten – am Netzwerkperimeter, also am Übergang zwischen internem und externem Netz. Auf diese Weise wird zu regeln versucht, welche Art von Datenverkehr passieren darf und welche Ports blockiert werden sollen. Beispielsweise können FTP-Anwendungen durch das Sperren der Ports 20 und 21 für ausgehenden Verkehr unterbunden werden.
Roman Schlenker, Senior Sales Engineer bei Sophos
Roman Schlenker, Senior Sales Engineer bei Sophos: „Unternehmen wissen genau, dass sie jetzt handeln müssen.“
Technologien zur Applikationskontrolle nutzen in der Regel eine Datenbank mit Signaturen, die die verschiedenen webbasierten Anwendungen, Softwarelösungen, Netzwerkservi­ces und -protokolle überwachen. Diese Datenbank sollte regelmäßigen Updates unterliegen, um jederzeit einen aktuellen Schutz auf Applikationsebene zu ermöglichen.
Das breite Spektrum an Applikationen, wie es heute in Unternehmen anzutreffen ist, stellt eine wesentliche Herausforderung für die Durchsetzung von Security-Regelwerken dar. Klassische Mechanismen wie Fire­wall oder Webfilter allein genügen nicht, um die dynamischen und multiprotokollbasierten Applikationen sicher zu kontrollieren und zwischen erlaubten und schädlichen Inhalten zu unterscheiden, die diese austauschen und übertragen.
Unerwünschte oder schadhafte Applikationen führen außerdem zu einer Minderung der Produktivität und übermäßigem Bandbreitenverbrauch sowie zu instabilen Systemen, Prozessen und Endgeräten – und oft auch zu Compliance-Problemen.
Unternehmen benötigen deshalb mehrschichtige Security-Lösungen, die Antivirus, IPS, Webfilter und Applikationskontrolle enthalten, um komplementäre und sich gegenseitig überlappende Schutzebenen wirksam gegen die von Applikationen ausgehenden Bedrohungen einzusetzen.

BYOD-Szenarien und passende Lösungen

Problemstellung

Mögliche Lösung

Eine Kundin benötigt WLAN-Zugang für die Nutzung von Skype auf ihrem iPad bei ihrem Besuch in der Firmenzentrale

Einrichtung eines dedizierten Gastzugangs fürs WLAN

Ein Mitarbeiter möchte während einer Konferenz auf seinem iPad surfen

Einsatz eines Web-Content-Filters

Ein Mitarbeiter ist gerade in einem Lokal wie Starbucks und benötigt Kommunikation und Schutz, als wäre er in der Zentrale

2-Faktor-Authentifizierung und VPN-Tunnel

Eine Mitarbeiterin möchte keinen Spam auf ihrem iPhone, wenn sie sich damit im Unternehmensnetz befindet

Zentraler Spamfilter

Ein Mitarbeiter schaut sich während der Arbeit Filme auf seinem Tablet-PC an – was gegen die Unternehmensrichtlinien verstößt

Software zur Applikationskontrolle

Ein Mitarbeiter hat eine vertrauliche Unternehmenspräsentation über seinen privaten Gmail-Account auf seinem Android-Smartphone versandt

Software zur Data Loss Prevention

Den BYOD-Herausforderungen können Unternehmen nicht mit einem einzigen Lösungsansatz oder einer einzigen Technologie begegnen. Die Tabelle gibt einen Überblick verschiedener Vorgehensweisen.
Gerade im BYOD-Umfeld ist es notwendig, den Fluss von Daten so genau wie möglich zu kon­trollieren. Nicht selten treten Datenverluste durch den ungewollten oder gar beabsichtigten Versand von Daten in ungesicherten Umgebungen oder über ungesicherte Geräte auf. Mit der richtigen DLP-Lösung (Data Loss Prevention) kann auf Basis umfangreicher Mustererkennungstechniken und User-Identitäten die un­autorisierte Kommunikation sensibler Daten oder Dateien über den Netzwerkperimeter hinweg erkannt, geloggt und/oder unterbunden werden.

Größtes Risiko: der Nutzer

Auch der mobile Client selbst ist vielen Risiken ausgesetzt, sobald er sich außerhalb des Heimatnetzes bewegt. „Jedes fünfte Unternehmen verlässt sich darauf, dass Mitarbeiter ihre Geräte selbst ausreichend schützen“, bemerkt Fortinet-Direktor Vogt. „Das ist eine riskante Strategie und öffnet Hackern die Türen, die sich zunehmend auch mit dem Internet der Dinge und dessen Schwachstellen befassen.“ Unternehmen sollten daher auf einen umfassenden Schutz für Laptops, Smartphones und Tablets der Mit­arbeiter achten, sobald sich diese auf Reisen oder auch nur außerhalb des gesicherten Firmennetzwerks befinden. Dabei werden Endgeräte aktiv geschützt und eine gesicherte und verschlüsselte Kommunikation ins zentrale Netz wird ermöglicht.
Unerlaubtes Internetsurfen und die Verwendung von webbasierten Anwendungen führen häufig zu Produktivitätsverlusten, hoher Netzwerklast, Infizierung mit Malware und Datenverlusten. Ein modernes Filtering kontrolliert den Zugriff auf privates Surfen, Instant Messaging, Filesharing und Streaming-Applikationen.
„Einfache Sicherheitsfunktionen wie Antivirussoftware oder Programme zum Löschen von Daten per Remote-Zugriff garantieren, dass Unternehmen die Geräte ihrer Mitarbeiter mit der neuesten Sicherheitssoftware ausstatten können, um sie vor Hackern zu schützen“, so Christian Vogt. Der Manager empfiehlt zudem zentralisiertes Tracking sowie die Installation von Sperr- und Backup-Software, um Daten zu sichern und im Fall von verlorenen oder gestohlenen Geräten wiederherzustellen.
Verwandte Themen