Bring Your Own Device
BYOD und die Kontrolle über die Applikationen
Web-2.0-Anwendungen wie Facebook, Twitter und Skype erhöhen das Volumen sowie die Komplexität des Datenaufkommens im Netzwerk – und setzen Unternehmensnetzwerke einer neuen Form von webbasierten Bedrohungen und Malware aus. Üblicherweise versuchen Unternehmen über herkömmliche Firewall-Systeme eine erste Abwehrkette zu errichten – am Netzwerkperimeter, also am Übergang zwischen internem und externem Netz. Auf diese Weise wird zu regeln versucht, welche Art von Datenverkehr passieren darf und welche Ports blockiert werden sollen. Beispielsweise können FTP-Anwendungen durch das Sperren der Ports 20 und 21 für ausgehenden Verkehr unterbunden werden.
Technologien zur Applikationskontrolle nutzen in der Regel eine Datenbank mit Signaturen, die die verschiedenen webbasierten Anwendungen, Softwarelösungen, Netzwerkservices und -protokolle überwachen. Diese Datenbank sollte regelmässigen Updates unterliegen, um jederzeit einen aktuellen Schutz auf Applikationsebene zu ermöglichen.
Das breite Spektrum an Applikationen, wie es heute in Unternehmen anzutreffen ist, stellt eine wesentliche Herausforderung für die Durchsetzung von Security-Regelwerken dar. Klassische Mechanismen wie Firewall oder Webfilter allein genügen nicht, um die dynamischen und multiprotokollbasierten Applikationen sicher zu kontrollieren und zwischen erlaubten und schädlichen Inhalten zu unterscheiden, die diese austauschen und übertragen.
Unerwünschte oder schadhafte Applikationen führen ausserdem zu einer Minderung der Produktivität und übermässigem Bandbreitenverbrauch sowie zu instabilen Systemen, Prozessen und Endgeräten – und oft auch zu Compliance-Problemen.
Unternehmen benötigen deshalb mehrschichtige Security-Lösungen, die Antivirus, IPS, Webfilter und Applikationskontrolle enthalten, um komplementäre und sich gegenseitig überlappende Schutzebenen wirksam gegen die von Applikationen ausgehenden Bedrohungen einzusetzen.
Gerade im BYOD-Umfeld ist es notwendig, den Fluss von Daten so genau wie möglich zu kontrollieren. Nicht selten treten Datenverluste durch den ungewollten oder gar beabsichtigten Versand von Daten in ungesicherten Umgebungen oder über ungesicherte Geräte auf. Mit der richtigen DLP-Lösung (Data Loss Prevention) kann auf Basis umfangreicher Mustererkennungstechniken und User-Identitäten die unautorisierte Kommunikation sensibler Daten oder Dateien über den Netzwerkperimeter hinweg erkannt, geloggt und/oder unterbunden werden.
Grösstes Risiko: der Nutzer
Auch der mobile Client selbst ist vielen Risiken ausgesetzt, sobald er sich ausserhalb des Heimatnetzes bewegt. „Jedes fünfte Unternehmen verlässt sich darauf, dass Mitarbeiter ihre Geräte selbst ausreichend schützen“, bemerkt Fortinet-Direktor Vogt. „Das ist eine riskante Strategie und öffnet Hackern die Türen, die sich zunehmend auch mit dem Internet der Dinge und dessen Schwachstellen befassen.“ Unternehmen sollten daher auf einen umfassenden Schutz für Laptops, Smartphones und Tablets der Mitarbeiter achten, sobald sich diese auf Reisen oder auch nur ausserhalb des gesicherten Firmennetzwerks befinden. Dabei werden Endgeräte aktiv geschützt und eine gesicherte und verschlüsselte Kommunikation ins zentrale Netz wird ermöglicht.
Unerlaubtes Internetsurfen und die Verwendung von webbasierten Anwendungen führen häufig zu Produktivitätsverlusten, hoher Netzwerklast, Infizierung mit Malware und Datenverlusten. Ein modernes Filtering kontrolliert den Zugriff auf privates Surfen, Instant Messaging, Filesharing und Streaming-Applikationen.
„Einfache Sicherheitsfunktionen wie Antivirussoftware oder Programme zum Löschen von Daten per Remote-Zugriff garantieren, dass Unternehmen die Geräte ihrer Mitarbeiter mit der neuesten Sicherheitssoftware ausstatten können, um sie vor Hackern zu schützen“, so Christian Vogt. Der Manager empfiehlt zudem zentralisiertes Tracking sowie die Installation von Sperr- und Backup-Software, um Daten zu sichern und im Fall von verlorenen oder gestohlenen Geräten wiederherzustellen.