Cisco 2011 Annual Security Report

Der Albtraum der IT wird wahr

17.02.2012 von Thomas Pelkmann
Mitarbeiter fordern Zugriff auf alle Social Media Angebote mit allen Devices. Auf der Arbeit, unterwegs und Zuhause. Gegen Policies verstoßen sie, stellt Cisco fest.
Die Sicherheit der IT wird sich vor allem im Umgang mit mobilen Geräten, Privat-IT am Arbeitsplatz und dem Umgang mit den sozialen Netzwerken entscheiden, meint Cisco in einem Report.
Foto: m. schuckardt - Fotolia.com

Die Netzwerkspezialisten von Cisco beschäftigen sich im "Cisco 2011 Annual Security Report" mit Sicherheitsfragen aus der Sicht von Unternehmen. Im Mittelpunkt der umfassenden Betrachtungen steht der Mensch - als moderner Mitarbeiter vollgepackt mit Geräten, die er in einem unkonventionell gestalteten Arbeitsplan benutzt.

Überall und jederzeit tätig sein zu können, ist ihm wichtiger, als eine Rundumsorglos-Sicherheit der Unternehmensdaten. Der Mitarbeiter von morgen, der sich in manchen Betrieben schon heute zu Wort meldet, checkt mindestens einmal am Tag seine Facebook-Seite und findet überhaupt, dass ihm der Zugriff auf die sozialen Netzwerke natürlich auch während der Arbeit und auch mit firmeneigenen Geräten erlaubt sein sollte. Dabei hält er die eigene Anwesenheit im Büro für den Erfolg seiner Arbeit nicht für unabdingbar.

Und - die IT kommt ins Schwitzen: Für die Sicherheit von Anwendungen und Daten ist nicht er zuständig; das ist Aufgabe der IT-Abteilung. So verhält er sich auch den Sicherheitsbestimmungen seines Unternehmens gegenüber: Er wird gegen jede Policy verstoßen, wenn er glaubt, dass das für seine Arbeit wichtig ist.

Personalabteilung will solche Mitarbeiter

Da er mehrere Geräte wie Laptops, Tablets und Smartphones besitzt - manche auch mehrfach - ist er für die IT-Verantwortlichen eher ein Albtraum, als ein willkommener Kollege. Auf dem Wunschzettel der Personalverantwortlichen steht er allerdings ganz weit oben, denn er ist überdurchschnittlich einsatzfähig und leistungsbereit.

Genau 81 Prozent der von Cisco im Rahmen der Sicherheitsstudie befragten Studenten sind der festen Meinung, dass sie sich selber die Geräte aussuchen sollten, die sie für ihre Arbeit brauchen. Und sie würden zögern, in einem Unternehmen anzufangen, das ihnen den Zugriff auf Social Media verbietet.

Moderne Anwender sind der Albtraum der IT-Abteilungen

Moderne Mitarbeiter schauen mindestens einmal am Tag bei Facebook vorbei - und das muss nicht in der Firma sein.
Foto: Techniker Krankenkasse

Vor die Wahl gestellt, würden sie den Internet-Zugang sogar einem Auto vorziehen. Sie sorgen sich nicht um ihre Passwörter, sie schauen mindestens täglich bei Facebook vorbei und sie leihen ihre Geräte auch mal anderen Leuten, die dringend etwas erledigen möchten. Der Albtraum der IT-Abteilung - nach den Ergebnissen der Cisco-Umfrage ist er längst wahr geworden.

Die Konsumerisierung der IT ist kaum aufzuhalten, heißt es in der Studie, die damit im Kern zahlreiche andere Analysen bestätigt. Besonders beim Recruiting junger Mitarbeiter sei es immer seltener möglich, ihnen die Benutzung eigener Geräte zu untersagen. Zugleich wirft ein lasches "Bring doch your own Device mit auf die Arbeit" (BdyoDmadA) alle zuvor definierten Sicherheitsregeln zum Schutz sensibler Firmendaten über den Haufen. Aber das ändert nichts an den Tatsachen.

Was Studenten vom künftigen Arbeitgeber erwarten

So sagen schon heute drei von zehn befragten jungen Nachwuchskräften, sie würden sich gegen einen Arbeitgeber entscheiden, der ihnen Home-Office oder Teleworking verbietet. Und die Studenten von heute, also die Young Professionals von morgen - können sich das noch weniger vorstellen: Zwei Drittel von ihnen erwarten bereits, dass sie Zugriff aufs Firmennetz auch vom heimischen Rechner aus haben können.

Die Hälfte fordert diesen Zugriff über ihr privates, mobiles Gerät. Und wenn diese jungen Leute dennoch zu einem Arbeitgeber gehen, der solche Zugriffe verbietet, werden sie als erstes nach Wegen suchen, diese Verbote zu umgehen, heißt es in der Studie.

Also lautet die Antwort auf das ByoD-Thema nicht "Nein, das machen wir nicht ", sondern - in Form einer weiteren Frage: "Wie können wir das organisieren?" Für eine erfolgreiche ByoD-Strategie bedarf es vor allem einer wirksamen Governance, schreibt Cisco. Das Unternehmen macht derzeit eigene Erfahrungen mit der Consumerization. Hier gibt es ein Steuerungskomitee, das von der IT-Abteilung geführt wird, aber mit Vertretern aus den Fachbereichen besetzt ist. Denn nicht nur bei Cisco heißt ByoD heißt nicht einfach "Mach was du willst", sondern beschreibt im besten Fall eine durchdachte Strategie zur Integration privater Geräte in die IT-Infrastruktur.

Governance hilft bei Consumerization

"Bring your own Device" nicht ablehnen, sondern regeln - das ist der beste Beitrag zur Sicherheit, weil es Schatten-IT ohne Kontrolle verhindert.
Foto: Mihai Simonia, Fotolia.de

Zur Governance gehört auch die Kontrolle des Unternehmens über die Geräte oder wenigstens über geschäftlich genutzte Teile davon. Der Mythos, dass Mitarbeiter solche Kontrolle nicht akzeptieren würden, stimmt laut Cisco nicht. "Firmen und Mitarbeiter müssen einen Weg finden, der beiden gerecht wird", fordern die Netzwerkspezialisten.

Wie der Schutz künftig aussehen könnte

Und so könnte er aussehen: Nutzer dürften die Geräte verwenden, die sie für geeignet halten, das Unternehmen muss dafür aber nicht auf den Schutz von Daten und Anwendungen verzichten. Zum Schutz gehören passwortgeschützte Geräte, verschlüsselte Daten sowie Optionen für die Fernwartung von Geräten durch die IT-Abteilungen. Und wenn ein Mitarbeiter die Sicherheitsregeln des Unternehmens nicht akzeptiert, wird die IT ihm einfach nicht erlauben, mit seinem Gerät auf das Firmennetz zuzugreifen.

So wie die Consumerization der IT nicht aufzuhalten ist, steht es auch mit Social Media. Kein Unternehmen wird seinen Mitarbeitern Facebook, Twitter und Co. auf Dauer verbieten können. Im Gegenteil ist es sinnvoll und wichtig, die sozialen Medien für das Unternehmen zu nutzen - für die Zusammenarbeit in Projekten untereinander ebenso wie für die Kommunikation mit den Kunden und die Präsentation des Unternehmens nach außen.

Social Media ist ein Einfallstor

Trotzdem sind soziale Netzwerke nicht "ohne": Sie sind ein potenzielles Einfallstor für Malware und sie können die Produktivität der Mitarbeiter in den Keller sinken lassen. Und es gibt Mitarbeiter, die Firmengeheimnisse über Twitter in die Welt hinauszwitschern oder bei Facebook über ihr Unternehmen lästern. Ja, und es gibt Kriminelle, die soziale Netzwerke missbrauchen, um an Informationen oder Passwörter zu gelangen, die sie für kriminelles Treiben missbrauchen können.

Aber die große Angst vor den sozialen Netzwerken ist dennoch übertrieben, meint Cisco: Der beste Weg, sich Malware oder einen Phishing-Versuch einzufangen, sei immer noch die E-Mail. Und die beste Prävention gegen welche Angriffe auch immer sind Mitarbeiter, die die potenziellen Gefahren kennen. Umgekehrt werden Mitarbeiter, die nicht wissen, dass und wie sie das Wissen ihres Unternehmens schützen, überall Schaden anrichten: beim Plaudern im öffentlichen Raum ebenso, wie über E-Mail oder in sozialen Netzwerken. Hier anzusetzen, ist der Schlüssel für den Erfolg, der Verbote aller Art überflüssig macht.

Produktivitätsverlust durch Social Media ist ein Mythos

Und was den Verlust von Produktivität durch soziale Netzwerke angeht, darüber schreibt Jeff Shipley von Cisco Security Research and Operations: "Die Wahrheit ist: Mitarbeiter sind schneller und besser, wenn sie jederzeit und direkt mit Kollegen in Projekten oder mit Kunden kommunizieren können. Und heute sind es nun mal die sozialen Netzwerke, die das möglich machen."

Wie beim Arbeiten mit privaten Geräten: Auch der Zugang zu Social Media ist der Cisco-Umfrage zufolge ein wichtiges Kriterium für junge Arbeitskräfte auf der Suche nach einem neuen Arbeitgeber. Immerhin 29 Prozent gaben an, ein Jobangebot ohne Zugang zu Social Media abzulehnen. Und von denen, die einen solchen Job trotzdem annehmen, würden sich ganze 30 Prozent an die Verbote halten.

Das Mindeste sei, schreibt Cisco, dass die Unternehmen einen realistischen Kompromiss zwischen den Wünschen der (jungen) Mitarbeiter und den Ansprüchen der Firma an Datensicherheit und Produktivität fänden.

All diese Entwicklungen werden auch das Jahr 2012 prägen, so viel ist aus der Sicht von Cisco sicher. Dazu kommen weitere Trends, von denen auch Unternehmen betroffen sein werden.

Der sogenannte Hacktivismus hebe das Hacken von IT-Infrastrukturen auf eine neue Ebene. Früher habe man aus Spaß und wegen des Wunsches nach Aufmerksamkeit gehackt, danach sei es um Geld und Preise gegangen. Heute sei das Hacken dagegen mit politischen Botschaften verbunden, was Cisco tendenziell besorgniserregend findet.

Hacktivisten werden zum großen Problem

Das Problem aus Cisco-Sicht seien die heute oft wahllosen und scheinbar zufällig geführten Angriffe auf Unternehmen, die sich einer einfachen Schadensvorhersage entzögen. Ein Unternehmen könne jederzeit und aus fast beliebigen Gründen Ziel eines solchen Angriffs werden.

Dazu kommt, dass Hacktivisten überhaupt nicht an den eigentlich wertvollen Daten interessiert sind, sondern nur daran, Internetseiten eines Unternehmens lahm zu legen. Der beste Schutz vor solchen Angriffen sei es, so Cisco, sich konkret mit der Frage zu beschäftigen, was man nach einem Angriff tun muss, um den Status Quo Ante wiederherstellen zu können.

Auch die Macht der sozialen Netzwerke werde anhalten. Die Aufstände in Arabien und die Revolten in London 2011 haben gezeigt: Kein anderes Medium bietet ein so großes Mobilisierungspotenzial wie Facebook, Twitter & Co.

Attacken gegen Unternehmen

Die Rolle als Organisations- und Kommunikationsplattform sozialer und politischer Bewegungen werden die sozialen Netze auch in diesem Jahr einnehmen. Für Unternehmen und ihre Sicherheit bedeutet das: Auch in ihren Organisationen könnte es über die sozialen Netzwerke zu Attacken gegen Unternehmen oder Marken kommen. Die Möglichkeit, sich anonym im Netz zu bewegen, erhöhe das Risiko auch unbegründeter Angriffe. So polemisiert Cisco, dass manche Netizens es als Freiheit empfänden, jemanden anzuschwärzen, ohne dafür extra noch Beweise heranschaffen zu müssen. Diese Gefahr vergrößere sich im Jahr 2012, warnt Cisco.

Gefahr droht aber auch von staatlicher Seite: So haben englische Regierungsinstitutionen infolge der stark durch Blackberry-Kommunikation befeuerten Aufstände in London angekündigt, die Verbindungsdaten bei neuen Vorfällen anzufordern oder den Zugang zu sozialen Netzwerken einzuschränken.

Die im Report martialisch "Krieg" genannte Auseinandersetzung zwischen staatlichen Behörden einerseits und Privatleuten und Unternehmen um die Hoheit über Daten und Internet wird auch in diesem Jahr weitergehen, meint Cisco dazu.

Der Report gibt Unternehmen aufgrund dieser komplexen Sicherheitslage einige Punkte mit auf den Weg, die bei der Suche nach besserem Schutz ihrer IT helfen.

Wie man seine IT schützen kann

So rät Cisco den Unternehmen zu gründlichen Analysen des eigenen Netzes. Klingt selbstverständlich, ist es aber nicht. Wer aber weiß, was alles zum Netzwerk und zum Netzverkehr gehört, könne Abweichungen von der "Normalität", und damit potenzielle Angriffe schneller erkennen.

Zu besserer Sicherheit gehört auch das erneute Evaluieren der Firmen-Policies. "Verzichten Sie auf Vollständigkeit und konzentrieren Sie sich auf die wenigen Dinge, die unverzichtbar sind und die Sie tatsächlich beeinflussen können", rät Cisco. Das gilt auch für die Unternehmensdaten: Nicht alle sind schützenswert, und daher sei es besser, die wenigen tatsächlich wichtigen Daten zu identifizieren und dann gezielt Maßnahmen zu ihrem Schutz zu ergreifen. Zudem sei es nötig zu definieren, wer Zugriff auf diese Daten habe und wie dieser Zugriff aussehen soll.

Für den Schutz der Daten ist es auch wichtig zu wissen, wo diese Daten liegen und wie sie gesichert sind. Dazu gehören Drittanbieter mit Zugriff auf Firmendaten, zum Beispiel Cloud-Anbieter und Mail-Provider. Man solle niemals einfach darauf vertrauen, dass die Daten dort sicher sind, sondern sich das schriftlich bestätigen lassen.

Neben dem Schutz der Eingänge ins Firmennetz, die das Eindringen von Schadsoftware verhindern sollen, sei auch die Kontrolle der Ausgänge wichtig, schreibt Cisco. Viele Unternehmen täten das nicht, obwohl Compliance-Vorschriften das eigentlich nötig machen. Dabei ist die Ausgangskontrolle die Schwester der Eingangskontrolle: Man weiß, wer was wohin schickt und kann blockieren, was nicht nach außen gehört.

Einsatzpläne für den Fall des Falles

Zum Schluss: Einsatzpläne für den Fall eines Angriffs auf die IT sollten vor solchen Attacken geschrieben werden. So können Unternehmen im Falle eines Falles viel schneller und effizienter reagieren, als wenn sie unvorbereitet einem solchen Angriff ausgesetzt sind.