Für Freeform Dynamics gelingt End User Security nur, wenn neben Sicherheits-Tools fünf weitere Bausteine zusammengefügt werden.
In einen Mojito zum Beispiel gehören weißer Rum, Limettensaft, Minze, Rohrzucker und Sodawasser – das alles, nicht anders und die Mischung macht’s. Nicht anders als dem Barkeeper ergeht es dem CIO, wenn er den bestmöglichen Schutz für die Endpunkte seiner IT-Landschaft zusammenstellen will. Das arbeiten die Analysten von Freeform Dynamics in einer aktuellen Studie heraus. Darin heißt es: „Wer seine Ausgaben minimieren will, muss den richtigen Cocktail aus Lösungen und Ansätzen mixen, um ein ‚akzeptables‘ Sicherheitsniveau für sein Unternehmen und die darin herrschende Gemengelage zu finden."
Die Botschaft der britischen Experten lautet, dass in diesen Drink nicht nur die richtigen Security-Tools gehören, sondern auch exakt fünf andere Zutaten. Für die perfekte Mischung hat Freeform Dynamics auch einige Hinweise parat. Letztlich muss sie aber für jedes Unternehmen individuell abgestimmt werden.
Die allein selig machende Alles-Inklusive-Lösung gibt es nicht zu kaufen und wird es auch künftig in einer immer komplexeren IT-Welt mit Cloud-Services, Device-Vielfalt und konsumerisierter Arbeitswelt nicht geben. Das macht die von Security-Anbieter McAfee beauftragte Studie deutlich, für die knapp 1000 IT- und Business-Profis weltweit befragt wurden.
"Die" Lösung gibt es nicht - trotz Marketing-Gedöns
Eine einzelne „Hero-Solution" als Allheilmittel für alle End User-Sicherheitsnöte sei trotz allerlei Marketing-Gedöns in der Branche nicht verfügbar, so Freeform Dynamics. Weder drehe sich alles um Bring Your Own Device (BYOD), noch sei Mobile Device Management (MDM) die Antwort auf alle Fragen. Die Herausforderungen ließen sich auch nicht simpel dadurch bewältigen, alles in die Wolke zu verlagern oder zu virtualisieren.
Die 6 Puzzle-Teile Freeform Dynamics findet, dass die Herausforderung End User-Sicherheit einem Puzzle gleicht. Sechs Teile müssen CIOs demnach zusammenfügen. Welche, zeigt unsere Bildergalerie. Sie fasst damit die wichtigsten Ergebnisse der Studie zusammen.
1. Technologischer Schutz Freeform Dynamics konstatiert, dass es an Tools mittlerweile eine enorme Vielfalt gibt. Es sei schwer herauszufinden, welche Kombination in welcher Situation am besten geeignet ist. Die eine Erfolgsformel gibt es also nicht. Deshalb haben die Analysten gefiltert, was diejenigen der Befragten im Einsatz haben, die angesichts ihrer Security-Lage zuversichtlich sind. Diese Gruppe setzt Anti-Malware- und Firewall-Software unabhängiger Anbieter übergreifend für alle Geräte-Typen ein. Data Loss Protection (DLP) ist implementiert, Daten auf Desktops, mobilen Endgeräten und Notebooks sind verschlüsselt. Genutzt werden ferner cloud-basierte Content Filtering Services und Zugangskontrollen via Black-Lists und White-Lists. Außerdem wird mit verschiedenen Virtualisierungs- und Sand-Boxing-Techniken experimentiert und eine Einbettung der Gerätesicherheit auf Hardware-Level bevorzugt. In der Studie wird darauf hingewiesen, dass selbst diese Auswahl an erfolgreich eingesetzten Tools nicht absolut zu setzen sei. Es sei möglich, spezifische Aspekte des Problems End User Security auf ganz andere Weise erfolgreich zu lösen.
2. Ganzheitliches und gemeinschaftliches Management Mittelfristig setzt sich nach Einschätzung der Analysten beim Management und Monitoring der IT-Sicherheit ein nutzerzentrierter Ansatz durch, so dass Richtlinien und Sicherheitsmaßnahmen geräteübergreifend definiert und angewandt werden können. Schon jetzt reagierten die Anwender auf Herausforderungen wie Virtualisierung, BYOD und verschwimmende Abgrenzung von Geräte-Kategorien. So haben die zuversichtlichen Anwender jeweils zu 60 Prozent Security Management-Tools im Einsatz, die Notebooks als auch Desktops mit und ohne Windows beziehungsweise physische und virtuelle Server schützen. Zu jeweils etwa einem Drittel gibt es übergreifendes Sicherheitsmanagement auch für verschiedene mobile Betriebssysteme wie Android und iOS, für Endgeräte des Unternehmens und der Mitarbeiter sowie insgesamt für die Desktop- und Mobile-Umwelt.
3. Visibilität und Durchdringung Jenseits der eher oberflächlichen Einblicke auf operativer Ebene, die die bislang genannten Puzzle-Teile ermöglichen, bedarf es laut Freeform Dynamics auch eines vertieften und möglichst breiten Verständnisses der Bedrohungen und kriminellen Aktivitäten. Dabei geht es darum, mit Hilfe von Analyse und automatisierter Sichtbarmachung verdächtige Vorgänge möglichst in Echtzeit erkennen zu können. Die Auswertung historischer Daten könne ebenfalls dazu beitragen, Bedrohungslagen und Anfälligkeiten besser zu verstehen und auf dieser Basis gezieltere vorbeugende Maßnahmen zu treffen. Jeweils zwei Fünftel der zuversichtlichen Befragten setzen Security Analytics ein und versuchen sich aktiv gegen Advanced Persistent Threats (APTs) zu wappnen. Die APT bringen neben den Entwicklungen durch Cloud Computing und Mobile IT laut Freeform Dynamics eine neue Qualität ins Gebiet der IT-Sicherheit. Die Möglichkeit, dass Cyber-Kriminelle über einen langen Zeitraum gezielt das eigene Unternehmen nach Einfallstoren und Schwachstellen ausleuchten und abklopfen, erfordere Aktivitäten, die über die traditionellen Security Tools hinausgehen.
4. Bewusstseinsschulung für die Mitarbeiter „Der Fokus sollte auf den Menschen liegen, nicht auf Hardware oder Software“, so einer der Studienteilnehmer. Ein anderer: „Wir haben uns zu sehr damit befasst, was für Zeug wir kaufen sollen, aber nicht genug damit, wie wir die User schulen.“ Laut Freeform Dynamics sind derlei Aussagen durchaus repräsentativ. Die Befragten fühlten sich in einem Zwiespalt: Es gelte die richtige Balance zu finden aus restriktiven Maßnahmen, um die Security-Risiken zu minimieren, und aus der Freiheit und Flexibilität, ohne die die User ihre Jobs nicht gut erledigen können. In der Praxis dürfen sich die Erkenntnisse aber nicht darin erschöpfen, über die Schwierigkeiten bei der Bewusstseinsbildung der User zu klagen – umso weniger in Zeiten von BYOD. Jedes vierte Unternehmen aus der zuversichtlichen Gruppe legt hohen Wert auf die Mitarbeiterschulung – der Anteil ist doppelt so hoch wie jener aus der Vergleichsgruppe.
5. Unterstützung aus der Chefetage Ebenfalls doppelt so hoch wie in der Vergleichsgruppe sind die über 40 Prozent, die in der zuversichtlichen Gruppe von einem hohen Bewusstseinsniveau in Sicherheitsfragen auf der höchsten Management-Ebene berichten. Weil die Security-Diskussion zumeist über System- und Implementierungsaspekte kreise, lasse die Chefetage ihre IT-Abteilung damit oftmals alleine, so Freeform Dynamics. Zielführend sei das allerdings nicht, denn ohne Geld und Unterstützung von oben fehlt ein eminent wichtiger Baustein im Puzzle. Da hilft nur beharrliches Werben.
6. Proaktive Investitionen In einer dynamischen Umwelt und angesichts des schnellen Rhythmus, in dem neue Bedrohungen auftauchen, kommt es laut Freeform Dynamics auf Antizipation und proaktives Handeln an. Wer sich erst mit Problemen befasse, nachdem diese ihn ereilt haben, nehme unnötige hohe Kosten und Risiken in Kauf. „Der reaktive Ansatz ist außerdem ein Quell an Unsicherheit, Stress und Reibungen mit den Fachabteilungen, ohne die man definitiv besser zurecht kommt“, so die Analysten. Ein aktuelles Beispiel: Momentan seien die Trends Geräte-Differenzierung und BYOD klar erkennbar – insofern ist es fahrlässig, sich noch nicht auf diese Veränderungen einzustellen. Laut Freeform Dynamics spiegelt sich der Trend zur Proaktivität darin wider, dass die Anwender zunehmend auf integrierte Suiten setzen und die Zahl ihrer Security-Insellösungen minimieren wollen.
„In Wirklichkeit ist die Security der Endnutzer ein komplexes Feld, das eines wohlüberlegten und gemixten Ansatzes bedarf, um die Risiken effizient und wirksam im Griff zu haben, ohne die Produktivität und Zufriedenheit der User zu untergraben", heißt es in der Studie. Technologischer Schutz ist demnach eben nur eine Ingredienz im Cocktail oder ein Eckstück in einem sechsteiligen Puzzle. Darin zentral – oder für den Geschmack des Getränks entscheidend – sind nach Einschätzung der Analysten vor allem die Schulung und Sensibilisierung der Mitarbeiter und die Ganzheitlichkeit im Security-Management. Die Puzzle-Stücke im Einzelnen zeigt unsere Bildergalerie.