Der Weg zu sicherem BYOD

Trends

Das Konzept Bring your own Device (BYOD) wirft Probleme auf, die einen vielschichtigen Lösungsansatz erfordern, urteilt Jörg von der Heydt, Channel & Marketing Manager Germany, Fortinet.

Es folgt die Einschätzung von Jörg von der Heydt, Channel & Marketing Manager Germany, Fortinet: Die Versprechungen gesteigerter Produktivität, höherer Zufriedenheit und geringerer Kosten haben Bring Your Own Device (BYOD) zu einem der aktuell meist diskutierten IT-Themen gemacht. Ein nicht zu vernachlässigender Aspekt ist jedoch der der IT-Sicherheit. BYOD birgt eine Reihe von Herausforderungen hinsichtlich der Netzwerk-, Daten- und Zugangssicherheit, aber auch in Sachen Privatsphäre, Verantwortlichkeiten bei Verlust von oder Beschädigungen an privaten Endgeräten und vor allem bei der Trennung von und dem Zugriff auf private und geschäftliche Daten.

Aus unserer Sicht gibt es nicht die berühmte Silberkugel, mit der alle durch mobile Geräte entstehenden Sicherheitsherausforderungen umfassend adressiert werden können. Die vielschichtigen Probleme erfordern in jedem Fall einen ebenso vielschichtigen Lösungsansatz, der organisatorische wie technische Maßnahmen sinnvoll vereint. Mit der richtigen Lösung können die vielen neuen durch BYOD und mobile Endgeräte im allgemeinen entstehenden Bedrohungsvektoren erkannt und abgewehrt werden – unabhängig davon, auf welchem Weg und von welchem Ort aus der Anwender Zugang ins Netzwerk erlangt. Wir wollen Fachhändlern helfen, ihren Kunden einen umfassenden Schutz von Daten, Clients und Netzwerken anzubieten.

Kontrolle über das Netzwerk

Das Netzwerk stellt das Herzstück einer jeden Unternehmensinfrastruktur dar. Jede Unterbrechung des Netzwerks bewirkt unmittelbar auch eine Unterbrechung von Diensten für die Anwender und für ganze Geschäftsprozesse. Zum effektiven Schutz dieser Kernkomponenten sind folgende Mechanismen zum Empfehlen:

Performante Firewall

Hier soll ASIC-beschleunigte Stateful Inspection mit einer Vielzahl von integrierten Security Engines auf Applikations-Level kombiniert werden, um komplexe Bedrohungen schnell zu identifizieren und zu blockieren. Die Firewall soll sich zudem mit weiteren zentralen Security Features integrieren lassen wie zum Beispiel VPN, Antivirus, Intrusion Prevention oder Web Filtering.

Intrusion Prevention

Intrusion Prevention Systeme (IPS) bieten Schutz gegen bekannte und zukünftige Bedrohungen auf Netzwerkebene. Zusätzlich zur Signatur-basierenden Erkennung soll eine anomalie-basierende Erkennung mittels Protokolldecoder ebenso zum Einsatz kommen wie die Möglichkeit des sogegannten One-Arm-IPS-Modus, Packet Logging und IPS-Sensoren.

Anti-Malware/Antivirus

Eine effektive Antivirus-Technologie vereint fortschrittliche Signatur- und Heuristik-Mechanismen für einen Multi-Layer-Echtzeit-Schutz gegen neueste und künftige Viren, Spyware und viele anderen Formen von Malware-Angriffen, die über das Web, über Mails oder via File-Transfers das Netzwerk bedrohen.

Applikationskontrolle

Web 2.0 Anwendungen wie etwa Facebook, Twitter und Skype erhöhen gleichermaßen das Volumen sowie die Komplexität des Datenaufkommens im Netzwerk – und setzen Unternehmensnetzwerke einer neuen Form von web-basierenden Bedrohungen und Malware aus. Technologien zur Applikationskontrolle nutzen eine Applikations-Signatur-Datenbank, die die granulare Kontrolle von verschiedenen web-basierenden Anwendungen, Software-Lösungen, Netzwerk-Services und Netzwerkprotokollen erlaubt. Diese Datenbank soll regelmäßigen Updates unterliegen, um jederzeit den aktuellsten Schutz auf Applikationsebene zu ermöglichen. Durch diese sehr flexible und feine Kontrolle von Applikationen ist es möglich, nicht nur die Nutzung der Anwendung selbst, sondern auch einzelner Features und Funktionen innerhalb derselben (z.B. Facebook Chat) in Abhängigkeit von Gruppe, Nutzer, Zeit, Wochentag und zahlreicher weiterer Kriterien zu steuern.

Data Loss Prevention

Gerade im BYOD Umfeld ist es ein kritischer Aspekt, den Fluss von Daten so genau wie möglich kontrollieren zu können. Nicht selten treten Datenverluste durch den ungewollten oder sogar beabsichtigten Versand von Daten in ungesicherten Umgebungen oder über ungesicherte Geräte auf. Mittels der richtigen DLP-Lösung kann auf Basis umfangreicher Mustererkennungs-Techniken und User-Identitäten die unautorisierte Kommunikation sensibler Daten oder Dateien über den Netzwerk-Perimeter hinweg erkannt, geloggt und/oder unterbunden werden.

Nutzerverhalten

Schlussendlich ist natürlich auch der mobile Client selbst vielen Risiken ausgesetzt, sobald er sich außerhalb des Heimatnetzes bewegt. Es soll daher auf einen ausreichenden Schutz für Laptops, SmartPhones und Tablets der Mitarbeiter, sobald diese sich auf Reisen oder einfach außerhalb des Firmennetzwerks befinden, geachtet werden. Dabei werden Endgeräte aktiv geschützt und eine gesicherte und verschlüsselte Kommunikation ins zentrale Netz ermöglicht.

Web Content Filtering

Unerlaubtes Internet-Surfen und die Verwendung von webbasierenden Anwendungen resultieren häufig in Produktivitätsverlust, hoher Netzwerklast, Infizierung mit Malware und Datenverlusten. Web Filtering kontrolliert den Zugriff auf webbasierende Anwendungen wie Instant Messaging, Peer-to-Peer File Sharing und Streaming-Applikationen. Gleichzeitig werden Phishing Sites und Blended Threats blockiert.

SSL and IPSEC VPN

Hier wird für eine sichere Kommunikation zwischen verschiedenen Netzwerken und Hosts über IPsec und SSL VPN Protokolle gesorgt. ASIC Prozessoren können die Ver- und Entschlüsselung des Datenverkehrs beschleunigen. Sobald die Daten entschlüsselt vorliegen, werden sie einer Multi Thread Inspektion inklusive Antivirus, Intrusion Prevention , Web Filtering und anderen unterzogen.

Endpoint Protection

Wir empfehlen auch den Einsatz von Endpoint Security-Lösungen, die umfassend Schutz für Netzwerk-Endpoints bieten. In Verbindung mit Firewall-Appliances stehen damit weitreichende Schutzmechanismen zur Absicherung des Netzwerks und der Einhaltung von Compliance-Richtlinien zur Verfügung.

Integration mit MDM und weitere Innovationen
MDM-Lösungen bieten eine Reihe von zusätzlichen Kontrollen, die beispielsweise Kostenkontrolle oder Datenlöschung auf mobilen Endgeräten steuern können. Jedes sich im Netzwerk anmeldende Gerät soll über eine installierte zertifizierte MDM-Lösung verfügen. Darüber hinaus kann durch DLP sichergestellt werden, dass sensible Daten erst gar nicht an diese mobilen Geräte übertragen werden.

Einige Sicherheitslösungen sind mittlerweile mit zahlreichen weiteren Funktionen speziell für die Thematik BYOD ausgestattet. So ist es möglich, Endgeräte und deren Betriebssystem und sogar Standort explizit zu erkennen (z.B. iPhone mit iOS5 oder Smartphone mit Android 4.0) und abhängig von diesen Informationen weitere Regeln zu definieren. Über eine neuartige Funktion „Client Reputation“ lässt sich zudem das Verhalten einzelner Anwender analysieren. Zunächst dient das Reporting- und Analysezwecken, jedoch ist absehbar, dass diese Informationen künftig ebenfalls entsprechende Regelwerke beeinflussen können.

Fazit:

Mobilität und die Nutzung privater Endgeräte kann die Produktivität und Motivation von Mitarbeitern spürbar steigern – u.a., weil sie mehr Arbeit an Orten und mit Mitteln ihrer Wahl und außerhalb des Büros erledigen können. Die Herausforderung für Unternehmen ist es nun, dasselbe hohe Maß an Sicherheit und Verfügbarkeit von Daten und Diensten zu gewährleisten – unabhängig von Ort, Endgerät und Mitarbeiter – wie innerhalb des klassischen Unternehmensnetzwerks. Mithilfe dieser Checkliste können Reseller die richtige Wahl der Technologiepartner treffen, um diese Anforderungen bei ihren Kunden zu erfüllen.

Lesen Sie auch :