Stonesoft plädiert für bewussten Umgang mit dem Web 2.0
Zehn Tipps für Sicherheit im Social Web
Social Networks gefahrlos nutzen - Stonesoft gibt zehn Tipps für den sicheren Umgang mit Social Media in Unternehmen. Denn die Bedeutung des Social Web wächst: So werden laut des Analystenhauses Gartner bis 2014 etwa 20 Prozent der Business-Anwender so genannte Social-Networking-Services als wichtigste Kommunikationsinstrumente verwenden. Gleichzeitig wachsen aber auch die Sicherheitsbedenken von IT- und Unternehmensverantwortlichen: Nach aktuellen Untersuchungen hat bereits jedes vierte Unternehmen die Nutzung sozialer Netzwerke am Arbeitsplatz verboten, andere Quellen gehen bereits von fast 50 Prozent aus. Die Sicherheitsbedenken bremsen aber gleichzeitig das große Potenzial, das Social Media für Marketing, Vertrieb und die Unternehmenskommunikation bietet. Stonesoft, Anbieter integrierter Lösungen für Netzwerksicherheit und Business Continuity, hat zehn Tipps zusammengestellt, mit denen Unternehmen Sicherheit und die Nutzung von Social Media vereinbaren können.
1. Bewusstsein der Mitarbeiter schärfen – Nur wer die
Sicherheitsrisiken kennt, kann sein Verhalten in sozialen Netzwerken entsprechend anpassen. Die
oberste Pflicht für Unternehmen heißt deshalb: Die eigenen Mitarbeiter über die Risiken des Social
Webs aufzuklären und ihr Bewusstsein dafür zu schärfen, dass selbst vermeintlich harmlose
Informationen Rückschlüsse auf Lebensumstände oder die Firma zulassen können. Kontinuierliche
Informationen über neue Bedrohungen sowie ein Katalog mit Verhaltensregeln unterstützen die
Mitarbeiteraufklärung zusätzlich. Hilfreich ist hierbei die Ernennung eines
Social-Media-Verantwortlichen im Unternehmen, der als fester Ansprechpartner für die Mitarbeiter
zur Verfügung steht.
2. Feste Prozesse aufsetzen – Administratoren müssen sich über die neuesten Risiken im Web auf
dem Laufenden halten. Dafür empfiehlt es sich, feste Prozesse aufzusetzen, die konsequent in die
täglichen Arbeitsabläufe eingebunden sind. So sollten IT-Verantwortliche beispielsweise regelmäßig
die neuesten Sicherheits-Updates herunterladen. Mit diesen vermeintlich banalen Mechanismen können
IT-Verantwortliche Netzwerkangriffe rechtzeitig erkennen beziehungsweise diesen vorbeugen.
3. Starkes Regelwerk pflegen – Mit unternehmenseigenen Richtlinien können
Netzwerkverantwortliche festlegen, wer wann Zugang zu welchen Netzwerkbereichen und Anwendungen
erhält. Dadurch lässt sich der Zugriff auf kritische Daten, wie beispielsweise aus dem
Finanzsystem, genau steuern, überwachen und jederzeit nachvollziehen. Das reduziert die Gefahr,
dass Informationen über unberechtigte Kanäle nach außen gelangen. Zudem sollten Unternehmen im
eigenen Regelwerk auch gesetzliche Vorschriften (Compliance) berücksichtigen. Wichtig dabei ist,
dass Policy-Werk aktuell zu halten und an veränderte Bedingungen anzupassen.
4. Infizierte Web-Seiten sperren– Mit einem Klick auf eine infizierte Web-Seite einen Trojaner
herunterladen – das kann trotz regelmäßiger Mitarbeiterschulung leicht passieren. Mithilfe von
URL-Filtern können Unternehmen den Zugriff auf bekannte Malware- und Phishing-Web-Seiten von
vornherein blockieren, ebenso wie auf jede andere verdächte Seite im Internet. Über die Pflege so
genannter schwarzer und weißer Listen lässt sich die Filterung immer aktuell halten.
5. Firewalls der nächsten Generation einsetzen – Unternehmen sollten ihre Sicherheitstechnik auf
dem neuesten Stand halten. So ermöglichen moderne Firewalls beispielsweise eine umfassende Analyse
des gesamten Datenverkehrs. Mit dieser so genannten Deep Traffic Inspection lässt sich jede Art von
Datenverkehr überwachen. Egal ob Web-Browsing, Peer-to-Peer-Anwendungen oder auch verschlüsselter
Datenverkehr in einem SSL-Tunnel. Bei dieser so genannten SSL Inspection entschlüsselt die
Firewall den SSL-Datenstrom für eine Inspektion und verschlüsselt ihn wieder, bevor die Daten ins
Netzwerk weitergeleitet werden. Dadurch sind Workstations, interne Netze, Hosts und Server wirksam
gegen Angriffe innerhalb von SSL-Tunneln geschützt.
6. Zugriff auf Unternehmensanwendungen definieren– Häufig müssen auch mobile Nutzer, Partner
oder Lieferanten auf ein Unternehmensnetzwerk von außen zugreifen. Bei dieser Gruppe lässt sich die
Nutzung von Social Media nur sehr eingeschränkt bis gar nicht überwachen. Umso wichtiger ist es
daher, die Rechte für die Definition aller Netzwerkzugriffe zentral zu vergeben, beispielsweise
mithilfe eines SSL VPN-Portals. Gleichzeitig erleichtert eine starke Authentifizierung auf
Anwenderebene mittels Single Sign-on die Arbeit des Administrators. Der Anwender kann dadurch mit
einem einzigen Login nur auf die Netzwerkbereiche und Dienste zugreifen, für die er eine
Berechtigung hat.
7. Vor Sicherheitslücken schützen– Für jedes Netzwerk stellen Sicherheitslücken eine besondere
Herausforderung dar. Zudem nehmen Angriffe auf Schwachstellen über Social Webs immer mehr zu. Ein
Intrusion Prevention System (IPS) wie das StoneGate IPS von Stonesoft kann als Schutzbarriere
dienen. Ein IPS verhindert Angriffe durch Würmer, Viren oder andere Schadsoftware auf
Sicherheitslücken automatisch. Wird ein Angriff registriert, stoppt das IPS diesen sofort und
verhindert so eine Ausbreitung im Netzwerk. Das System ermöglicht zudem das virtuelle Patchen von
Servern und Diensten, indem es gefährdete Server absichert, die erst während des nächsten
Wartungsfensters gepatcht werden sollen.
8. Absicherung des Intranets– Das Intranet enthält in jedem Unternehmen hochsensible
Informationen. Diese sollten über die Segmentierung des Intranets durch Firewalls vom restlichen
internen Netzwerk isoliert werden. Dadurch ist das Unternehmen in der Lage, etwa die Finanz- oder
Account-Abteilung vom Rest des Intranets abzuteilen und so ein Übergreifen von Infektionen auf
diese kritischen Netzwerksegmente des Unternehmens zu verhindern.
9. Mobile Endgeräte in die Sicherheitsstrategie einbinden– Viele Anwender bewegen sich im
Social Web mit mobilen Geräten wie Laptops, PDAs oder Smartphones – und loggen sich damit auch ins
Firmennetz ein. Deshalb sollten Administratoren auch die mobilen Geräte in ihre
Sicherheitsrichtlinien einbinden. Beispielsweise mittels der so genannten Assessment-Funktion, die
das sich anmeldende Gerät auf die nötigen Sicherheitseinstellungen und auf vorhandene
sicherheitsrelevante Softwarepakete überprüft. Diese kontrolliert zum Beispiel, ob die richtige und
aktuelle Firewall installiert, das Betriebssystem sowie die Antivirensoftware auf dem neuesten
Stand und alle Patches aktuell sind. Ist ein Kriterium nicht erfüllt, wird dem Endgerät automatisch
der Zugriff verweigert oder dieser teilweise eingeschränkt. Bei Bedarf lassen sich solche Geräte
direkt auf eine Webseite mit den nötigen Updates weiterleiten.
10. Zentrales Management nutzen– Über eine zentrale Managementkonsole können Administratoren das
gesamte Netzwerk und alle Endgeräte verwalten, überwachen und konfigurieren. Verschiedene
Reportings zeigen zudem beispielsweise an, wer wann auf welche Daten zugegriffen hat. Dadurch
lassen sich zukünftige Angriffe besser abwehren und gefährdete Anwendungen schneller schützen.
Gleichzeitig ermöglicht eine zentrale Management-Konsole, einheitliche Sicherheitsrichtlinien für
das gesamte Unternehmensnetzwerk auszurollen und zu pflegen.
LANline/jos
Lesen Sie mehr zum Thema
