Notfall-Strategie für BYOD: Voraussetzungen für sicheren Ad-hoc-Datenzugriff

Anzeige

Illustration: Geralt Absmeier

In der digitalen Welt sind Unternehmen weit mehr als ein Bürogebäude, in dem Mitarbeiter ein und aus gehen. Legt man den kontinuierlichen Strom an digitalen Daten zu Grunde, die von Mitarbeitern hinzugefügt, bearbeitet, verschoben, versendet, gespeichert oder gelöscht werden, kann man sich ein dynamisches, in gewisser Hinsicht fast lebendiges Gebilde vorstellen. Kommt es an irgendeiner Stelle im Datenkreislauf zu einer fehlerhaften Funktion, beispielsweise im Falle eines Verstoßes, wäre die gesamte Struktur betroffen. Der Lockdown im Zuge der Pandemie hat gezeigt, wie schnell dieser Pulsschlag moderner Unternehmen zum Erliegen kommen kann. Plötzlich musste der Datenstrom auf andere Weise – vom persönlichen Standort jedes einzelnen Zugriffsberechtigten aus – aufrechterhalten werden. Ein Notfall, für den nicht alle Unternehmen vorgesorgt haben. Dabei gibt es zahlreiche wahrscheinliche Szenarien, die es erforderlich machen, die Voraussetzungen dafür zu schaffen, dass die Belegschaft ohne Vorbereitung einfach von jedem beliebigen Ort aus arbeiten kann. Dazu gehören zum Beispiel Ereignisse wie schwere Schneestürme, unvorhergesehene Reparaturarbeiten im Bürogebäude, Streik bei den öffentlichen Verkehrsbetrieben oder eine unter den Mitarbeitern grassierende Erkältungswelle.

 

Für Unternehmen, in denen ohnehin nicht vorgesehen ist, dass Mitarbeiter außerhalb des Büros arbeiten, scheint es in guten Zeiten schlicht unwirtschaftlich, jedem einzelnen Mitarbeiter ein verwaltetes Ersatzgerät zur Seite zu stellen. Zu groß ist die Gefahr, dass die angeschaffte Hardware weitgehend ungenutzt vor sich hin altert. Gleichzeitig entsteht für die IT-Abteilung, die dafür fortlaufend aktuelle Softwareanwendungen und Sicherheitsupdates bereitstellen muss, ein spürbarer zusätzlicher Aufwand. Zwar nutzen die meisten Unternehmen bereits Cloudanwendungen, was eine hervorragende Voraussetzung für Fernarbeit ist. Allerdings ist die Nutzung nicht optimal: In der Regel halten Unternehmen ihre Mitarbeiter im Zuge dessen dazu an, von außerhalb über VPNs auf das Unternehmensnetzwerk und Cloud-Ressourcen zuzugreifen. Dies kann allerdings eine Reihe von Latenzproblemen verursachen, die es schwierig machen, den gesamten Web-Datenverkehr auf den Geräten der Benutzer – einschließlich ihrer persönlichen Anwendungen – bereitzustellen und zu nachzuverfolgen.

 

Ein flexibler Ausweg, der im Notfall sofort verfügbar ist, wäre, allgemein Bring Your Own Device (BYOD) – also das Arbeiten der Mitarbeiter über ihre eigenen Geräte – zuzulassen. Ein Schritt, vor dem vor allem Unternehmen mit branchenspezifischen regulatorischen Anforderungen eher zurückschrecken. Daher entscheiden sie sich meist für Mobile Device Management (MDM) Software, um das erforderliche Sicherheitsniveau herstellen zu können. Allerdings ist diese in datenschutzrechtlicher Hinsicht problematisch, da sie weit in die Privatsphäre der Nutzer eindringt. Eine Problematik, die sich mit Einführung der DSGVO noch weiter verschärft hat: Der Einsatz von MDM ist mittlerweile nur mit ausdrücklicher Einwilligung der einzelnen Mitarbeiter und dann nur innerhalb engmaschiger, nachvollziehbarer Kontrollprozesse möglich. Schlussendlich ist MDM kaum mehr praktikabel, da nicht vorausgesetzt werden kann, dass alle Mitarbeiter mit diesem Eingriff in ihre Privatsphäre einverstanden sind.

 

Zu MDM bestehen allerdings auch Alternativen, die auf der Datenebene ansetzen und es ermöglichen, die Datenschutzanforderungen zu erfüllen. Damit Unternehmen das Risiko einer Datenexposition, das beim Download auf private Geräte an entfernten Standorten und über ungesicherte Netzwerke entsteht, sicher managen können, sollten sie auf folgende Eigenschaften Wert legen:

 

  1. Sichtbarkeit und Kontrolle über Daten

Die Sichtbarkeit und Kontrolle über die Daten beim Zugriff durch nicht verwaltete Geräte sollte für Unternehmen stets gegeben sein. Andernfalls bestehen Gefahren durch unbefugten Datenzugriff, unzulässiger Weitergabe oder schlichtweg Verlust der unternehmenseigenen Daten. Von Vorteil ist eine Lösung, die über eine Data Loss Prevention (DLP) Funktion verfügt. Diese kann Datenverluste verhindern, indem sie sensible Informationen sowohl im Ruhezustand als auch beim Zugriff identifiziert und kontrolliert. So lässt sich sicherstellen, dass Daten nicht in die falschen Hände gelangen oder es zu einem Sicherheitsverstoß kommt.

 

  1. Identitäts- und Zugriffsverwaltung mit MFA und UEBA

Identitäts- und Zugriffsmanagement, wie zum Beispiel Multi-Faktor-Authentifizierung (MFA) oder Benutzer- und Entitätsverhaltensanalyse (UEBA), ist notwendig, um anormale Aktivitäten erkennen und gegen Sicherheitsbedrohungen vorgehen zu können. MFA erfordert für die Authentifizierung eine zweite Art der Identitätsüberprüfung, um sicherzustellen, dass der Benutzer derjenige ist, für den er sich ausgibt. Nach der Eingabe des Passworts wird der Benutzer aufgefordert, seine Identität zusätzlich durch ein SMS-Token zu verifizieren, das per E-Mail oder durch eine Textnachricht versandt wird.

UEBA lernt kontinuierlich das typische Verhalten jedes einzelnen Nutzers, so dass anormale Aktivitäten sofort überprüft werden können. Wenn sich beispielsweise ein Benutzer, der sich normalerweise von München aus einloggt, plötzlich von Hamburg aus anmeldet, wird eine Warnung gesendet, um sicherzustellen, dass das Nutzerkonto des nicht kompromittiert wurde. Für den Fall, dass keine UEBA-Funktion besteht, sollte wenigstens Single Sign-On (SSO) genutzt werden, da dies Benutzer über alle Cloud-Anwendungen eines Unternehmens hinweg sicher authentifiziert.

 

  1. Agentenlose Sicherheit

Eine agentenlose Sicherheitslösung erfordert keine Installation von Software auf den einzelnen Geräten. Dies ist hilfreich, wenn die Belegschaft abrupt auf ihre Privatgeräte zurückgreifen muss, um den Betrieb aufrecht zu erhalten. Sie schützen darüber hinaus die Privatsphäre der Mitarbeiter. Unternehmensdaten können beispielsweise aus der Ferne gelöscht werden, während die persönlichen Daten erhalten bleiben. Sowohl Sicherheits- als auch Datenschutzanforderungen lassen sich auf diese Weise miteinander vereinbaren.

Was ein Unternehmen ausmacht ist gewiss mehr als lediglich die Summe seiner Daten. Allerdings erweitern sich mit deren Verfügbarkeit rund um die Uhr die Möglichkeiten, Arbeitskraft zu nutzen. Auf der anderen Seite entsteht die Anforderung, die Datennutzung stets sicher zu gestalten. Der Einsatz von BYOD und geeigneter Sicherheitstools kann nicht nur dabei helfen, die Flexibilität, die Digitalisierung bietet, auszunutzen, sondern auch, die Arbeitskultur vielfältiger und innovativer zu gestalten.

Anurag Kahol, CTO bei Bitglass

 

Initiative Cloud Services Made in Germany: Neues Update der Schriftenreihe

Die Initiative Cloud Services Made in Germany gibt die Veröffentlichung der aktuellen Ausgabe ihrer Schriftenreihe – Stand April 2020 – bekannt. Band 1 der Reihe trägt den Titel »Initiative Cloud Services Made in Germany im Gespräch« und enthält eine Sammlung von mittlerweile mehr als einhundert Interviews mit Vertretern der an der Initiative beteiligten Unternehmen zum…

An diesen Stellen verbrennt die IT oft unnötig Geld

Fünf große Kostenfresser in der IT – und was man dagegen unternehmen kann. Die meisten IT-Abteilungen haben ohnehin mit knappen Budgets zu kämpfen. Umso schlimmer, wenn sie dann auch noch Geld für Dinge ausgeben, die eigentlich überflüssig sind. Dieses Geld fehlt dann für wichtige Innovationen. Der IT-Dienstleister Avision, Spezialist für Software Revival, zeigt fünf große…

Durch Machine Learning und Analytik mehr Sicherheit in der hybriden Cloud

Heutzutage nutzen die meisten Betriebe bereits in der ein oder anderen Form Cloud-Lösungen. Neben den vielen Vorteilen, die die Cloud bieten kann, vergrößert sie jedoch auch die Angriffsfläche. Um ein hohes Maß an Sicherheit auch in der Cloud zu garantieren, können moderne Sicherheitslösungen mit maschinellem Lernen, Analytik und Automatisierung helfen.   Die meisten IT-Abteilungen sind…

Mit Machine Learning die Logistikprozesse optimieren

  Viele Unternehmen haben das Potenzial selbstlernender Systeme, die Machine Learning benutzen, erkannt. Dieser Teilbereich der künstlichen Intelligenz basiert auf Algorithmen, die Muster und Gesetzmäßigkeiten in großen Datenmengen erkennen. Mithilfe neuronaler Netze lassen sich aus den Datenbeständen Rückschlüsse ziehen und Prognosen treffen. In vielen Branchen bereits etabliert, findet Machine Learning als Analyse- und Steuerungsinstrument nun…

Studie Machine Learning 2020: Maschinelles Lernen wird in deutschen Unternehmen Standard

Das Thema künstliche Intelligenz / Machine Learning (ML) hat sich in den deutschen Unternehmen etabliert. Während die Executive-Ebene das Potenzial dieser Technologie für das Business erkannt hat, begegnen ihr allerdings IT und Fachabteilung mit Skepsis.   Das hat die aktuelle Studie »Machine Learning 2020« von IDG Research Services ergeben. An der Umfrage haben sich 406…

Intelligentes Löschen von überflüssigen Dateien

Informatiker der Universität Bamberg entwickeln lernfähigen Assistenten. In Verwaltungen von Unternehmen türmen sich Dateien über Dateien. Es ist für Mitarbeiterinnen und Mitarbeiter mitunter schwierig, in der Flut von Tabellen, Präsentationen und Texten den Überblick zu behalten. Außerdem benötigt jede einzelne Datei Energie und Speicherplatz auf einer Festplatte – und verursacht so Kosten für das Unternehmen…

Die Digital-Workspace-Trends 2020

Die Integration von Workspace Management und Endpoint Security wird 2020 eine der wichtigsten Aufgaben für CIOs und CISOs. Im Jahr 2020 rückt Automation bei der Verwaltung von Endgeräten und ihrer Umgebungen immer stärker in den Vordergrund. Gleichzeitig wird das Schaffen einer auf künstlicher Intelligenz (KI) und Machine Learning (ML) basierenden IT-Security nochmals erheblich an Bedeutung…

Teamarbeit – Welche Typen braucht ein erfolgreiches Team?

Ein gut funktionierendes Team ist ein Schlüsselfaktor, um Vorhaben zum Erfolg zu führen – das gilt im Sport genauso wie in der Wissenschaft oder Wirtschaft. Millionen brillanter Entwicklungen haben nie den Weg in die Produktion oder den Verkauf gefunden, weil dem genialen Techniker jemand fehlte, der Geldgeber finden, das Management überzeugen oder das Marktpotenzial aufschlüsseln…

Eine PAM-Lösung schließt nicht alle offenen Sicherheitslücken

Privilegierte Konten sind bei Hackern beliebt. Werden sie gekapert, haben Cyberkriminelle freien Zugriff auf sensible Unternehmensdaten. Mit Privileged-Access-Management-Lösungen lässt sich dieses Risiko zwar vermeiden – ein korrumpiertes Endgerät kann trotzdem zum Einfallstor für Angreifer werden.   In den meisten Unternehmen gibt es eine Vielzahl an privilegierten Accounts. Das sind zum Beispiel Administrator-, Service-, Root- oder…

Zu langsam, um Hackern das Handwerk zu legen

Unternehmen weltweit benötigen über sechs Tage, um Hacker aus ihren Systemen zu verbannen. CrowdStrike gab die Veröffentlichung des CrowdStrike Global Security Attitude Survey 2019 bekannt, die vom unabhängigen Forschungsunternehmen Vanson Bourne erstellt wurde. Im Rahmen der Studie wurden 1.900 hochrangige IT-Entscheidungsträger und IT-Sicherheitsexperten in den USA, Kanada, Großbritannien, Mexiko, dem Nahen Osten, Australien, Deutschland, Japan,…

Künstliche Intelligenz in der Cybersicherheit

Warum eine einzige Größe nicht für alle passt – und warum der Mensch im Mittelpunkt eines guten Sicherheitsbetriebs stehen sollte. Das rasante Tempo, mit dem sich die künstliche Intelligenz (KI) in den letzten Jahren entwickelt hat, hat begonnen, in den verschiedensten Bereichen transformative Effekte zu erzielen. In einer zunehmend vernetzten Welt, in der Cyberangriffe in…

IT-Sicherheitsbudgets sind höher, wenn Top-Tier-Management in Entscheidungen involviert ist

72 Prozent der Führungskräfte in Cybersicherheitsbudgets involviert – und geben dabei mehr aus Kostenfreies Tool nutzen, um Anhaltspunkt für notwendiges Budget zu erhalten   Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68 Prozent) Unternehmen ist das Top-Tier-Management in die Entscheidungen zum Thema Cybersicherheit involviert [1]. Diese Einbindung korreliert auch in…

Führungskräfte und die IT-Sicherheit – ein brisantes Verhältnis

Neue Zahlen belegen, dass viele Manager Sicherheitsregeln ignorieren. Zwei Fragen: Wer hat die meisten Informationen in einem Unternehmen, die weitesten Rechte zum Datenzugriff und wird deshalb bevorzugt gehackt? Klar, das Topmanagement. Wer sollte sich daher konsequent schützen und schützen lassen? Eben. Doch Sicherheit kann unbequem sein und neue Untersuchungen zeigen einen gefährlichen Trend: Viele leitende…

Räuber und Gendarm: Red-Team-Blue-Team-Simulation für die Cybersicherheit

Die Vorteile interner Angriffs- und Verteidigungssimulationen mit Red-Team/Blue-Team-Testing. Immer mehr Unternehmen bereiten ihre IT-Sicherheitsteams mit Simulationen auf anspruchsvolle Gegner vor, um Lücken in bestehenden Sicherheitsstrategien zu finden. Ein Ansatz ist die Durchführung von sogenannten Red-Team/Blue-Team-Tests. Diese Übungen haben ihren Namen von ihren militärischen Vorfahren. Die Idee ist einfach: Eine Gruppe von Sicherheitsprofis – ein rotes…

Die Anatomie moderner SIEM-Lösungen

Die Cybersicherheitslandschaft wird zusehends komplexer. Hacker warten ständig mit neuen Ideen auf. Parallel dazu generieren Business-Technologien Unmengen an Daten. Das bringt traditionelle SIEM-Lösungen (Security Information and Event Management) an ihre Grenzen: Sie sind nicht skalierbar und verwenden beim Erkennen von Bedrohungen lediglich regelbasierte Techniken. Es gibt einige entscheidende Merkmale, die eine moderne von einer traditionellen…