Suchen

Gefährdung trotz Intrusion Detection, Firewalls und Zugriffssteuerung? BYOD – Schutzmaßnahmen für die Hintertür ins Firmennetz

Autor / Redakteur: Don Thomas Jacob / Andreas Donner

Mit Bring Your Own Device halten private Mobilgeräte in Unternehmens-und Behördennetze Einzug – und dies auch dann, wenn in der Organisation keine offizielle BYOD-Firmenstrategie existiert. In jedem Fall entstehen mit BYOD aber enorme Sicherheitsprobleme, denen begegnet werden muss! Don Thomas Jacob, Head Geek bei SolarWinds, zeigt wie.

Firmen zum Thema

BYOD birgt viele Gefahren, die mit der richtigen Strategie, ein wenig Know-how und ein paar passenden Tools aber in den Griff zu kriegen sind.
BYOD birgt viele Gefahren, die mit der richtigen Strategie, ein wenig Know-how und ein paar passenden Tools aber in den Griff zu kriegen sind.
(Bild: alphaspirit - Fotolia.com)

Viele Unternehmen und Organisationen beginnen mit der Umsetzung von BYOD-Strategien, indem sie zusätzliche Authentifizierungsmechanismen, ein separates VLAN und ein WLAN für Handhelds etablieren. Dies mag zwar auf den ersten Blick als einfachste Methode der BYOD-Einbindung erscheinen, bringt aber auch einige Probleme mit sich.

Neben der alltäglichen Instandhaltung und Wartung des Unternehmensnetzwerks müssen IT-Admins sich hier zusätzlich um die Verwaltung von Mobilgeräten, um Bandbreitenprobleme und vor allem um mögliche Sicherheitsbedrohungen kümmern. Und BYOD kann und wird zahlreiche Sicherheitsprobleme verursachen oder zumindest ermöglichen.

Geräteverlust = Datendiebstahl

Es ist nichts Neues, dass Benutzer ihre Smartphones oder Tablets verlieren oder verlegen. Mit BYOD kann es allerdings passieren, dass vertrauliche Unternehmensdaten auf solchen Geräten gespeichert werden. Wenn ein Gerät also verloren geht oder gestohlen wird, gehen auch gleichzeitig eMails der Organisation und Geschäftsdaten verloren.

Das könnte ein neuer Geschäftsplan sein, Details zu einem sich entwickelnden Projekt, Kontaktdaten wichtiger Kunden, Gehaltsinformationen leitender Mitarbeiter oder andere vertrauliche Informationen. Solche Daten in den falschen Händen bedeuten Ärger – finanzielle Verluste, ein ramponiertes Ansehen, entgangene Geschäftsabschlüsse, und im schlimmsten Fall bekommt ein Hacker sogar ununterbrochenen und vor allem uneingeschränkten Zugriff auf das Unternehmensnetzwerk oder VPN!

Aufweichung des Netzwerkperimeters

Benutzergeräte sind sicher, solange sie sich innerhalb des Netzwerkperimeters befinden. Ihr Intrusion Detection System (IDS), Ihre Firewalls, Proxyserver, Inhaltsfilter usw. verhindern, dass Benutzer verdächtige Websites aufrufen oder schädliche Inhalte herunterladen. Das ändert sich jedoch, sobald sie sich aus dem Netzwerk herausbewegen.

Benutzer verbinden ihre Geräte häufig mit öffentlichen Hot-Spots oder nutzen offene WLANs, wenn sie sich auf einer Konferenz oder in einem Hotel aufhalten. Ohne IDS oder Firewall können Benutzer schädliche Inhalte herunterladen, sich Malware einfangen, Opfer eines Man-in-the-Middle-Angriffs und/oder gehackt werden. Die Tür zu Ihrem Netzwerk steht damit jedenfalls weit offen und Ihr Unternehmen könnte das nächste sein, das für Schlagzeilen der unerwünschten Art sorgt.

Wie hieß diese App noch mal?

Wir erleben einen explosionsartigen Boom auf dem Markt mobiler Anwendungen, bei dem Apple, Google und Microsoft kräftig mitmischen. Schätzungen zufolge wurden im Jahr 2013 unglaubliche 102 Milliarden Apps heruntergeladen – niemand hat noch einen Überblick über die zahllosen Anwendungen, die in verschiedenen App-Stores zum Download zur Verfügung stehen.

Benutzer installieren jede App, die ihnen halbwegs interessant erscheint, und darunter könnten geschäftsferne, bandbreitenfressende, oder im schlimmsten Fall mit Malware infizierte Anwendungen sein. Vielleicht entdecken wir bald mobile Versionen von Peer-to-Peer-Anwendungen, die die Bandbreite des Unternehmens belegen und sogar dabei helfen können, Malware zu verbreiten.

Leichtes Spiel für Malware

Moderne Malware ist intelligent und immer schwieriger zu erkennen. Ein Benutzer kann unwissentlich Malware, die wie eine vertrauenswürdige Anwendung aussieht wie beispielsweise ein Fake-Antivirenprogramm, auf sein Mobilgerät herunterladen und dann in das Unternehmensnetzwerk einbringen.

Firewallrichtlinien wie IDS und IPS sind dafür konzipiert, über das WAN eingehenden ungewöhnlichen Datenverkehr zu erkennen. Sie bieten aber keinen Schutz vor Malware, die von Mitarbeitern auf ihren Mobilgeräten physisch in das Netzwerk gebracht wird. Nachdem der Benutzer sein Mobilgerät einmal mit dem WLAN des Unternehmens verbunden hat, dauert es nur wenige Stunden, bis sich die Malware ausgebreitet und die Systeme der Firma infiziert hat.

Gerootete Geräte

Benutzer von Smartphones und Tablets sind meistens sehr technikaffin und viele mögen es nicht, vom Hersteller eingeschränkt zu werden. Wenn sie dann davon hören oder lesen, wie viel Spaß man mit einem gerooteten Handy haben kann und dass hunderte von kostenlosen Opensource-Tools zum Rooten oder Jailbreaken eines Geräts erhältlich sind, probieren sie dies einfach aus.

Während ein Unternehmen also strenge Richtlinien etabliert hat, wonach nur genehmigte Anwendungen im Netzwerk verwendet werden dürfen, gelangen bereits gerootete Geräte in das Netzwerk, auf denen nahezu jede Anwendung installiert werden kann – also nicht nur zugelassene und sichere, sondern auch illegale oder schädliche.

Patches

Das Patchen von Unternehmenssystemen, um Sicherheitslücken zu schließen, ist heute eine alltägliche Aufgabe von IT-Admins. Genau wie Desktop- und Serverbetriebssysteme bzw. Anwendungen, können auch die Betriebssysteme und Anwendungen von Smartphones und Tablets der Mitarbeiter Sicherheitslücken aufweisen. Es damit also ist nur eine Frage der Zeit, bis Hacker anfangen, nach ungepatchten Mobilgeräten Ausschau zu halten und deren Sicherheitslücken zu nutzen, um Zugriff auf Benutzergeräte zu erlangen und Daten zu stehlen oder Angriffe zu starten.

Die größte Schwachstelle in jedem Netzwerk

Sie aktivieren keine Kennwortsperre, sie lassen ihre Geräte unbeaufsichtigt herumliegen, sie verbinden sich mit beliebigen WLANs, sie downloaden, was ihnen gefällt, sie lesen keine Sicherheitswarnungen, sie klicken bei jeder Meldung blind auf „OK“ und sie bringen Malware ins Netzwerk.

„Sie“ sind die Endbenutzer, also Ihre Mitarbeiter, die größte Schwachstelle in Ihrem hochgesicherten Unternehmensnetzwerk. Die mittlerweile alte Weisheit gilt noch immer: „Bei der Wahl zwischen tanzenden Schweinchen und Sicherheit entscheiden sich Benutzer immer für die tanzenden Schweinchen“. Benutzer werden also weiterhin Sicherheitswarnungen auf dem Bildschirm ignorieren und können somit der Grund dafür sein, dass Malware in Ihr Netzwerk gelangt.

weiter mit: Gibt es eine Lösung? Was können Sie tun?

Gibt es eine Lösung?

Es gibt keine alles umfassende Lösung für die genannten Sicherheitsprobleme. Mit einer Kombination aus Sicherheits- und Protokoll-Tools sowie einer proaktiven Überwachung neben Ihren üblichen Sicherheitsmaßnahmen können Sie jedoch viel tun, um Ihr Netzwerk zu sichern.

In einem ersten Schritt sollten Sie dafür sorgen, dass für Gäste und Handhelds von Mitarbeitern ein gesondertes WLAN verwendet wird und diese über verschiedene VLANs auf dem Core-Switch separiert werden. Fügen Sie RADIUS- oder AD-basierte Authentifizierungsmechanismen für alle Benutzer hinzu und implementieren Sie eventuell Optionen wie „Attribute Based Access Control“ (ABAC, attributbasierte Zugriffssteuerung), die speziell entwickelt wurden, um den Datenzugriff besser zu kontrollieren, während gleichzeitig Remotezugriff und BYOD möglich sind.

Außerdem sollten Sie unbedingt MDM (Mobile Device Management) nutzen und Sicherheits-Tools einsetzen, die remotes Sperren und Löschen ermöglichen sowie den Standort eines verlorenen oder gestohlenen Geräts aufspüren können. Wenn Ihr MDM-Tool auch noch die Patchverwaltung für Mobilgeräte übernehmen kann – umso besser.

Ein weiteres Tool, das Sie in Betracht ziehen sollten, ist ein User Device Tracker. Eine solche Lösung kann dabei helfen, ein fremdes oder nicht zugelassenes Gerät aufzuspüren, warnt Sie bei unbekannten Geräten, erstellt Positivlisten oder sperrt sogar bestimmte Ports, wenn damit verbundene Rogue-Geräte erkannt werden.

Der Einsatz von SIEM-Tools

Einige der mit BYOD einhergehenden Probleme sind die Verwendung unbekannter und nicht genehmigter Anwendungen, Bandbreitenverschwendung und Malware. Der Einsatz von SIEM-Tools (Security Information and Event Management) wie zum Beispiel SolarWinds LEM kann bei der Analyse Ihrer Syslog-Daten helfen, proaktiv Berichte zu Netzwerkanomalien erstellen und sogar vorbeugende Maßnahmen oder Sperren einleiten.

Zusätzlich ist eine NetFlow-Analyse mit Tools wie bspw. dem NetFlow Traffic Analyzer von SolarWinds eine große Hilfe bei der Untersuchung von Datenverkehrsmustern. Diese kann beispielsweise Anomalien im Netzwerkverhalten identifizieren, etwa die Verwendung nicht zulässiger Anwendungen und übermäßige Bandbreitenbelegung. Sowohl SIEM als auch die Datenverkehrsanalyse tragen dazu bei, verdächtige Vorkommnisse innerhalb des LAN aufzuspüren – anders als andere Sicherheitssysteme, die lediglich den eingehenden Datenverkehr aus dem WAN analysieren.

Ständige Aufklärung ist unerlässlich

Zu guter Letzt ist es von größter Wichtigkeit, Ihre Benutzer darüber aufzuklären, warum Datenverlust und Datendiebstahl ernste Probleme für das Unternehmen und auch die Benutzer darstellen. Schulen Sie die Mitarbeiter, wie sie ihren Beitrag zur Sicherung des Netzwerks leisten können, besonders wenn diese mobile Geräte im Unternehmensnetzwerk verwenden. Mit einer Kombination aus Sicherheits-Tools und proaktiver Überwachung können Sie es dann auch mit den Herausforderungen von BYOD aufnehmen.

Don Thomas Jacob
Don Thomas Jacob
(Bild: SolarWinds)

Über den Autor

Don Thomas Jacob ist „Head Geek“ bei SolarWinds, einem Anbieter von IT-Management-Software mit Sitz in Austin, Texas. Er hat fast acht Jahre als technischer Supportmitarbeiter, Produktblogger, Produktevangelist und technischer Marketingleiter gearbeitet, bevor er 2013 zu SolarWinds kam. Seine Erfahrungen und Interessen liegen in den Bereichen Netzwerkleistungsüberwachung, Netzwerksicherheit, Deep Packet Inspection und Paketanalyse sowie im Rahmen von flow-basierte Technologien wie NetFlow, sFlow und IPFIX und Technologien wie QoS, NBAR, IPSLA sowie Cisco Medianet und MediaTrace.

(ID:42776442)