Neue Sicherheitskonzepte erforderlich
Business-Software: Der Schutzzaun bekommt Löcher
Früher war die Welt noch in Ordnung. Die klassische Business-Software war "fat" auf den Clients installiert und an die entsprechenden ServerServer angebunden. Alles spielte sich im Intranet ab. Da die Administratoren wussten, welcher Client zugriffsberechtigt war, konnten sie ihre Back-end-Systeme durch Firewalls wirksam von der restlichen Infrastruktur abschotten. Natürlich hatte auch diese Architektur Schwachstellen, beispielsweise durch mangelndes Rollen- und Rechte-Management oder direkte Datenbankzugriffe unter Umgehung des Client-GUI. Alles zu Server auf CIO.de
Diese Risiken waren jedoch begrenzt, da es sich um die eigenen Mitarbeiter und die bekannten Client-Rechner innerhalb einer kontrollierten Netzinfrastruktur handelte. Mit anderen Worten: Die Schafe - also die Anwendungen - waren gesichert. Die Weide - also die Infrastruktur - war mit einem Zaun geschützt. Im schlimmsten Fall missbrauchte ein falscher Hirte seine Zugriffsrechte, oder jemand vergaß, das Gatter abzuschließen.
Fokus verlagert sich auf Usability
Das Aufkommen von Web-Techniken riss erste Lücken in diesen Zaun: Um die Betriebskosten der bestehenden Client-Server- Infrastruktur zu verringern, stellten viele IT-Verantwortliche ihre Business-Software teilweise oder vollständig auf Web um. Dabei lag der Fokus meist auf der Usability des Frontends. Eine möglichst einfache Nutzung über einen Web-Browser als Ersatz für den Fat Client war die treibende Kraft in der Softwareentwicklung. Eventuelle unberechtigte Zugriffsmöglichkeiten auf das Frontend wurden meist nicht geprüft, da die Umstellung auf Web-Technik noch immer im geschützten Raum des kontrollierten Intranets stattfand.
Der aktuelle Trend zur Mobilität in Kombination mit einer möglichst unkomplizierten Anbindung von internen und externen Partnern löst nun allerdings die Web-Architektur endgültig aus dem geschützten Raum des Intranets. Viele Unternehmen versprechen sich - durchaus zurecht - Effizienzgewinne durch die Einbindung von SmartphonesSmartphones und TabletsTablets. Das funktioniert heute immer häufiger über das Internet und nicht mehr über das Intranet. Die im Unternehmen eingesetzten Softwaresysteme agieren demnach quasi in aller Öffentlichkeit. Die Spannweite erstreckt sich von einer Verlagerung der Web-Frontends in eine kontrollierte entmilitarisierte Zone der eigenen Firewall-Infrastruktur bis zur kompletten Systemmigration zu einem externen Cloud-Service-Anbieter. Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de
- Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich: - Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen. - Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen. - Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen. - Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie. - Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen. - Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.
Neue Risiken durch Web-Frontend
Die Web-Frontends sind nun öffentlich und permanent verfügbar, was ganz neue Risiken für die Software mit sich bringt: Ein Angriff auf diese Systeme ist jetzt nicht mehr ausschließlich einem Mitarbeiter im internen Netz möglich, sondern designbedingt jedem Internet-Teilnehmer - vom "Script-Kiddie" über versierte Hacker bis zu Industriespionage durch Geschäftspartner oder professionelle Organisationen. Der Zaun hat nun riesige Löcher, und die Hirten wissen im Zweifel nicht einmal, welcher Wolf bereits ein Schaf geholt hat.
Wie viele unterschiedliche Möglichkeiten von Angriffen auf das Web-Frontend es gibt, ist öffentlich und allgemein bekannt: Das Open Web Application SecuritySecurity Project (OWASP) zeigt beispielsweise seit vielen Jahren die kritischsten Schwachstellen in Web-Applikationen in den veröffentlichten OWASP Top 10 auf. Unter diesen Rahmenbedingungen müssen Unternehmen die Sicherheit ihrer Business-Software ganz neu konzipieren: Um nun den nötigen Schutz zu gewährleisten, gilt es, jedes Schaf einzeln zu prüfen und zu sichern. Alles zu Security auf CIO.de