Monitoring von BYOx-Umgebungen
Nicht nur die Spitze des Eisbergs sehen
Mit geschäftlich genutzten Privatgeräten (Bring Your Own Device, BYOD) kommen auch neue Risiken ins Unternehmensnetzwerk. Ein Monitoring der Endgeräte ist deshalb dringend notwendig. Denn sonst sieht der Administrator nur die Spitze des Eisbergs, nicht aber die Gefahren unter der Wasseroberfläche.
Laut der IDC-Studie "Mobile Security in Deutschland 2015" folgen auf Malware und Phishing-Angriffe auf Platz drei der größten Bedrohungen für die IT-Sicherheit die Anwender selbst: Nach Einschätzung von IT-Entscheidern gehen im Durchschnitt 43 Prozent der Sicherheitsvorfälle auf das Konto der Mitarbeiter. Dabei liegen die Gründe eher im sorglosen Umgang mit Technik oder auch in Unwissenheit als in böser Absicht. So haben in den letzten zwei Jahren 30 Prozent der befragten Fachbereichsverantwortlichen ein Smartphone verloren, auf dem auch Firmeninformationen gespeichert waren. Zehn Prozent meldeten sogar den Verlust mehrerer Endgeräte.
Die IDC-Studie zeigt, dass IT-Security eine Aufgabe ist, die nicht nur von der IT-Abteilung allein gestemmt werden kann. Dabei geht es längst nicht mehr nur um mobile Endgeräte - auch Anwendungen und Cloud-Services, die von den Mitarbeitern oft ohne das Wissen der IT-Abteilung verwendet werden, erhöhen das Risiko, dass Unternehmensdaten in die falschen Hände geraten. Der Begriff BYOD hat demzufolge bereits ausgedient - vielmehr handelt es sich um "Bring Your Own Anything" oder "? Everything" - BYOx.
BYOx macht die Mitarbeiter mobiler und flexibler - gleichzeitig bereitet es den Unternehmen jedoch auch Kopfzerbrechen. Die IT-Abteilungen verlieren den Überblick - und die Endpunkte sind oftmals unzureichend gegen Angriffe geschützt. Sie stellen somit das schwächste Glied in der Kette dar.
Die IT benötigt also eine Lösung, die die gesamte Infrastruktur mit allen Endgeräten in Echtzeit abbildet - dazu zählen auch die Informationen, welche Geräte aktuell mit dem Unternehmensnetzwerk verbunden sind und welche Services und Anwendungen zum Einsatz kommen. Es ist von Vorteil, wenn Analyse-Tools die Infrastruktur aus der Perspektive des Endanwenders wiedergeben - so kann die IT Probleme der Nutzer vollständig nachvollziehen und beheben. Zudem lassen sich Angriffe ausgehend von den Endpunkten erkennen, bevor sie Schaden anrichten.
Die Bandbreite an Lösungen und Techniken, um ungewöhnliche Aktivitäten aufzuspüren, ist riesig, doch die Angreifer tarnen sich immer geschickter. Traditionelle Lösungen wie Server-Monitoring, signaturbasierte Antivirensoftware, Firewalls und Endpoint-Protection-Software sind den Anforderungen einfach nicht mehr gewachsen. Denn die neue Generation komplexer und ausgefuchster Malware fügt sich in den ganz gewöhnlichen Datenfluss ein. Wird ein neuer Trojaner oder Virus öffentlich, sind viele Unternehmen bereits Opfer geworden, und der Schaden ist angerichtet.
Anomalien früh erkennen
Umso wichtiger ist es, Anomalien und Einbrüche so früh wie möglich zu entdecken, vor allem in einer BYOx-Umgebung. IT-Analyselösungen, die die Aktivitäten an den Endpunkten beleuchten, stellen hier wertvolle Informationen bereit. Sie erkennen neue Bedrohungen und vermeiden, dass sich diese Zwischenfälle über das Unternehmen ausbreiten. Solche IT-Analyselösungen haben noch eine Vielzahl weiterer Vorteile: Sie unterstützen die IT-Abteilung auch bei der Planung und Implementierung von IT-Projekten. Auf Grundlage der Informationen über die Auslastung, Performance und genutzte Services kann die differenzierte Entscheidungen treffen und Kosten sowie Zeitaufwand sparen, da sie auf die Clients zugreifen und Auswirkungen besser einschätzen kann. Auch gegenüber Service-Providern ist anhand der Verbindungsdaten belegbar, ob die vertraglich zugesicherten Leistungen eingehalten werden.
Durchsetzung von Sicherheitsrichtlinien
Mit BYOx wurden auch eine ganze Reihe neuer Sicherheitsrichtlinien und Prozesse für die Nutzung mobiler Endgeräte etc. am Arbeitsplatz entwickelt. Ist so eine Richtlinie erstellt, ist es Aufgabe des Unternehmens, die Endnutzer darüber aufzuklären und die Richtlinie selbst konsequent durchzusetzen. Das gelingt aber nur, wenn die IT-Abteilung auch den Überblick über die Endanwender-Infrastruktur hat. Die Einführung einer IT-Analyselösung, die Daten aus der Anwenderperspektive sammelt und analysiert, stellt die dafür notwendigen Informationen bereit.
Wie sollte so eine Lösung zur Analyse der Endanwenderinfrastruktur im Detail funktionieren? Zunächst muss sie Daten über alle Verbindungen, die von den Clients ausgehen, in Echtzeit sammeln - unabhängig davon, ob es sich um Internetseiten, Anwendungen oder Geräte handelt. Zu diesem Zweck wird in der Regel auf jedem Client eines Unternehmensnetzwerks ein leichtgewichtiger Treiber mit geringer Speicherkapazität installiert. Sobald der Speicher ausgereizt ist, gibt dieser die Daten an eine nächsthöhere Instanz, eine zentrale Datenbank, zur Sortierung und Analyse weiter. Die Informationen sollten sich hinsichtlich unterschiedlicher Fragestellungen sowohl in Echtzeit als auch historisch auswerten lassen. Zudem sollten solche IT-Analyselösungen eine Alert-Funktion enthalten, die bei ungewöhnlichen Aktivitäten an den Clients sofort das IT-Team informiert und so eine weitere Ausbreitung in der Infrastruktur verhindert.
Bringt man die Informationen über die Geräte und die darauf laufenden Prozesse in Korrelation mit Informationen zu Netzwerk-Services und Ressourcen, entsteht eine umfassende Sicht auf die Performance und Sicherheit der Endanwender-Infrastruktur. Es lässt sich somit leicht feststellen, ob die Mitarbeiter sich an die Sicherheitsrichtlinien halten.
Entsprechend des BYOx-Ansatzes nutzen immer mehr Angestellte ihre privaten Endgeräte, um auf Unternehmensdaten zuzugreifen. Diese Geräte bieten oft durch unzureichenden Schutz Angreifern von außen ein Schlupfloch, um an die Daten des Unternehmens zu gelangen. Deshalb muss die IT auch an den privaten Endpunkten den Treiber einsetzen. Sobald die Mitarbeiter sich vom Unternehmensnetzwerk abmelden, wird der Treiber automatisch deaktiviert. Er wird erst wieder aktiv, wenn die privaten Endgeräte wieder mit dem Netzwerk Kontakt aufnehmen.
Um den deutschen Datenschutzrichtlinien zu entsprechen, ist vor der Implementierung einer solchen Lösung immer der Betriebsrat mit einzubeziehen. Dieser entscheidet, ob die erhobenen Daten anonymisiert werden sollen. Für den Fall, dass keine Anonymisierung erfolgt, müssen die Mitarbeiter über die Funktionsweise der Lösung in Kenntnis gesetzt werden und in die Sammlung und Analyse der Daten einwilligen.
Malware-Bekämpfung
Ist solch eine IT-Analyselösung in der Lage, den Zustand der Endaenwender-Infrastruktur in Echtzeit zu visualisieren, sind die wichtigsten Fragen der IT-Abteilung schnell beantwortet: Welche Geräte sind am Unternehmensnetzwerk angemeldet? Welche Prozesse laufen darauf, und funktionieren diese reibungslos? Fließen an einer undichten Stelle Daten ab? Wo befindet sich das Leck? Um welche Daten handelt es sich, und wo fließen sie hin? Wie kann man die Lücke schnell schließen? Sind andere Endgeräte ebenfalls betroffen? Wann ist das Problem erstmals aufgetreten?
Findet die IT-Abteilung ein Sicherheitsleck an einem Endgerät, kann sie durch die Visualisierungsfunktion die Quelle lokalisieren und in der Folge sofort auch die anderen Endpunkte überprüfen, um die Lücken zu schließen. Zudem erhalten die Mitarbeiter Informationen darüber, welche Anwendungen mit Malware belastet sind. Die historische Übersicht ermöglicht es, wirklich alle Geräte von der Schadsoftware zu befreien.
Durch die Endanwender-Perspektive tauchen IT-Verantwortliche tiefer in ihre Infrastruktur ein als je zuvor: Erstmals sehen sie, was an den einzelnen Endpunkten und dazwischen geschieht. Dies ermöglicht ein schnelleres und präventiveres Handeln und ermöglicht es der IT, Sicherheitsrisiken zu beheben, bevor Daten in die falschen Hände geraten.
.jpg)
Lesen Sie mehr zum Thema
