Security-Herausforderungen

IT-Sicherheit 2013: Trends und Technologien

Bernhard Haluschak war bis Anfang 2019 Redakteur bei der IDG Business Media GmbH. Der Dipl. Ing. FH der Elektrotechnik / Informationsverarbeitung blickt auf langjährige Erfahrungen im Server-, Storage- und Netzwerk-Umfeld und im Bereich neuer Technologien zurück. Vor seiner Fachredakteurslaufbahn arbeitete er in Entwicklungslabors, in der Qualitätssicherung sowie als Laboringenieur in namhaften Unternehmen.

Tipps - Security-Risiken im Griff

Die Cloud-Services und BYOD eröffnen Unternehmen die Möglichkeiten, ihr Business effizient zu betreiben. Allerdings bieten diese Technologien neue Angriffsmöglichkeiten für Hacker. Daher die Frage an unsere Experten: Welche sind für Sie die wichtigsten Tipps, wie im mobilen Umfeld (Notebook, Smartphone, Tablet) Sicherheitsrisiken wirksam minimiert werden können?

Dirk Knop, Jakobsoftware / AVG: "Auf mobilen Systemen ist es wichtig, neben einem aktuellen Virenschutz selbstverständlich alle Updates zeitnah einzuspielen. Zudem sollte man zwingend eine VPN-Lösung wie ViPNet für den Netzzugang zum Firmennetz verwenden - und zum Surfen im Internet oder Mailen wenigstens die Verschlüsselung mit SSL (also auf Webadressen per https und auf Mail-Zugänge auf die serverseitigen SSL-Ports für die Protokolle zugreifen) verwenden. In öffentlichen Netzen ist es sonst ein Leichtes, die Zugangsdaten auszuspähen und damit Schindluder zu treiben.

Außerdem sollte man keine "Jailbreaks" oder ge"root"ete Tablets und Telefone verwenden, da bei diesen die Sicherheitsmechanismen der mobilen Betriebssysteme außer Kraft gesetzt werden."

Sorin Mustaca, Avira: "Auf jedem mobilen Endgerät sollten ein paar wichtige Tools installiert sein: Anti-Theft Tools zum Sperren und Löschen sensibler Daten, falls das Endgerät gestohlen wird oder verloren geht. Für Smartphones und Tablets: ein Tool, um Anrufe und SMS kontrollieren zu können.

Ein aktueller Virenschutz ist Pflicht.

Wir raten davon ab, Apps zu installieren, die noch nicht geprüft und bewertet sind.

Familien empfehlen wir die Implementierung von Kinderschutzsoftware, falls die Hardware auch im privaten Umfeld zum Einsatz kommt.

Backups sensibler Daten und Systemabbilder in kürzeren, regelmäßigen Intervallen helfen im Fall des Falles enorm.

Speziell für Tablets und Smartphones: Anwender sollten keine Webseiten besuchen, die sie nicht kennen. Für Laptops ist ein stets aktiver Webfilter wichtig."

Catalin Cosoi, BitDefender: "Im Jahr 2012 haben wir zielgerichtete Cyber-Angriffe mit Malware wie Stuxnet, Duqu und Flame erlebt. Hacker haben von Browser- und Anwendungsfehlern (Internet Explorer, Java) profitiert."
Catalin Cosoi, BitDefender: "Im Jahr 2012 haben wir zielgerichtete Cyber-Angriffe mit Malware wie Stuxnet, Duqu und Flame erlebt. Hacker haben von Browser- und Anwendungsfehlern (Internet Explorer, Java) profitiert."
Foto: BitDefender

Alexandru Catalin Cosoi, BitDefender: "Um eine unnötige Auslastung der Geräteressourcen zu vermeiden und um Adware-Benachrichtigungen zu verhindern, empfiehlt BitDefender den Usern, eine mobile Sicherheitslösung, die ein solches Verhalten aufspüren kann, zu installieren. Außerdem sollten die User vorsichtig mit den Drittanbieter-Apps umgehen. Nicht alle sind sicher, da Malware-Entwickler sehr bekannte Spiele und ToolsTools oft verwenden, um Malware zu verbreiten. User sollten die App-Genehmigungen aufmerksam lesen, bevor sie etwas auf einem Gerät installieren, egal ob es sich um ein Notebook, ein Smartphone oder ein Tablet handelt." Alles zu Tools auf CIO.de

Robert Rothe, Eleven: "Mobile Endgeräte spielen eine rasant wachsende Rolle, wenn es um die Nutzung des Internets und die elektronische Kommunikation geht. Gleichzeitig sind sie noch längst nicht so gut geschützt wie beispielsweise PCs oder Netzwerke. Daher werden sie immer mehr zu einem bevorzugten Ziel der Internetkriminalität. Dies gilt insbesondere für das offene Betriebssystem Android, das sich als recht anfällig für Angriffe erwiesen hat. So stieg die Zahl Android-spezifischer Bedrohungen 2012 von 6.000 im Januar auf über 360.000 am Ende des Jahres an. Daher muss die Sicherung mobiler Endgeräte ein wesentlicher Fokus im Jahr 2013 sein. Hier sind vor allem die Telekommunikationsanbieter und die Gerätehersteller, aber auch die Anbieter von Apps und App Stores gefragt, standardmäßig Sicherheitsfunktionalitäten in ihre Produkte einzubauen. Die Nutzung von Sicherheits-Apps, wie es sie beispielsweise im Anti-Virus-Bereich von vielen Anbietern gibt, kann ein gewisses Maß an Schutz bieten. In jedem Fall sollte der Nutzer aber darauf achten, was die jeweilige App genau leistet und was nicht.

Natürlich gibt es auch einige Verhaltensregeln, an die sich Nutzer halten sollten. Dazu zählt, Apps nur aus offiziellen App Stores zu laden, alle Updates für Apps und Betriebssystem auch zu installieren und bei jeder Anwendung darauf zu achten, welche Informationen an die App freigegeben sind. Oftmals werden Daten zugänglich gemacht, etwa Standortinformationen, die für das Funktionieren der App von keinerlei Bedeutung sind. Schließlich sollte das Gerät immer passwortgeschützt sein, und verfügbare Verschlüsselungen sollten auch aktiviert werden. Und natürlich sollten sich User auch bei der Nutzung mobiler Geräte so verhalten, wie sie es am PC tun würden, also keine unbekannten Dateianhänge öffnen, fragwürdigen Links folgen oder Daten auf Webseiten eingeben, deren Sicherheit nicht hundertprozentig zu garantieren ist."

Rüdiger Trost, F-Secure: "Das ist ein weites Feld. Am Anfang steht ein neues Sicherheitsbewusstsein. Je leistungsfähiger ein mobiles Gerät wird, umso größer ist das Gefahrenpotenzial. Bei Notebooks ist das den Mitarbeitern bereits klar, bei Smartphones und Tablets regiert oft noch eine zu sorglose Einstellung. Auch wenn hier keine Panik erzeugt werden soll: Beim Schutz gegen bösartige Anwendungen, Viren und andere Malware sollen keine Abstriche gemacht werden.

Wichtig ist aber auch der Schutz von Smartphones gegen die klassischen Methoden zur Generierung von Profit durch mobile Malware - wie etwa Schadsoftware, die Smartphones zu selbsttätigen Anrufen bei Premium-Diensten veranlässt -, gerade wenn Mitarbeiter ihre Telefonrechnung nicht selber sehen und die Malware-Autoren sich darauf spezialisieren, viele kleine Beiträge abzuschöpfen, die zunächst nicht auffallen. Das größte Problem ist aber die mobile Datensicherheit. Die Lokalisierung eines gestohlenen Inhalts, dessen Blockierung oder die Sperrung und Löschung der Daten sind enorm wichtig.

Die Unternehmen müssen stets bedenken, dass der User - und zugleich der Mitarbeiter - über sein privat genutztes Device zum schwachen Glied in der Sicherheitskette seines Unternehmens wird."

Christian Funk, Kaspersky Lab: "Anwender sollten zunächst die gleichen Sicherheitsgrundsätze beachten und die gleiche Sorgfalt walten lassen, wie sie bereits am PC gelten. Die Software - sowohl das Betriebssystem als auch installierte Programme von Drittanbietern - sollte immer auf dem aktuellsten Stand gehalten werden, um Sicherheitslücken zeitnah zu schließen.

Bei der Installation neuer Software sollte man immer eine gesunde Portion Skepsis mitbringen und die Quelle sowie die Reputation hinterfragen.

Antivirenlösungen sind bereits für die meisten mobilen Betriebssysteme vorhanden. Diese Lösungen werden zunehmend notwendig, aber auch weitere Module neben dem reinen AV-Schutz wie Spam-Filter, Anruf- und SMS-Filter oder Diebstahlschutz bringen Sicherheitsvorteile für den Anwender.

Mobile Geräte weisen eine zusätzliche Besonderheit auf: Durch die Mobilität können diese schneller gestohlen werden oder verloren gehen. Gegen unrechtmäßigen Zugriff auf die darauf gespeicherten Daten hilft Verschlüsselung."

Dirk Knop, Jakobsoftware / AVG: "2012 sorgte hier vor allem der Ukash-Trojaner, hierzulande als GEZ- oder BKA-Trojaner bekannt, für Aufsehen."
Dirk Knop, Jakobsoftware / AVG: "2012 sorgte hier vor allem der Ukash-Trojaner, hierzulande als GEZ- oder BKA-Trojaner bekannt, für Aufsehen."
Foto: AVG

Hans-Peter Bauer, McAfee: "Beim Schutz mobiler Geräte ist der Einsatz einer umfassenden Sicherheitslösung wichtig, die der Vielfalt aller Mobilgeräte Rechnung trägt.

Zwar sollten Unternehmen ihren Mitarbeiter bei der Wahl des mobilen Gerätes freie Hand lassen, doch müssen sie gleichzeitig für einen sicheren sowie einfachen Zugriff auf Unternehmensanwendungen sowie eine strenge Authentifizierung und Compliance-Berichterstattung sorgen.

Die eingesetzte Software muss den gleichen Grad an Kontrolle für mobile Geräte - einschließlich privat genutzter Smartphones und Tablets - bieten, wie es die IT-Abteilungen auch für Laptops und Desktop-Rechner fordern.

Weiterhin ist ein zentrales Security-Management Basis für den sicheren Betrieb von mobilen Geräten. Insbesondere in Unternehmen, die eine Vielzahl an Mobilgeräten im Sinne von BYOD nutzen, kann die IT-Abteilung nicht jedes einzelne Gerät mit unterschiedlichen Anwendungen und Betriebssystemen individuell verwalten. Dies muss über ein zentrales Sicherheits-Management-Tool und mithilfe von Sicherheitsrichtlinien erfolgen.

Ein großes Risiko besteht auch im Verlust oder Diebstahl der mobilen Geräte. In diesem Fall müssen per Wipe-Funktion alle Unternehmensdaten unverzüglich und zuverlässig auf dem Mobilgerät gelöscht werden können."

Gerhard Eschelbeck, Sophos: "Zur Sicherung mobiler Geräte geht man am besten genauso vor wie bei bereits vorhandenen Geräten im Netzwerk. Am wichtigsten sind folgende Sicherheitsmaßnahmen:

• Durchsetzung strenger Kennwörter auf allen Geräten

• Virenschutz und Data Loss Prevention (DLP)

• Vollständige Verschlüsselung von Festplatten, Wechseldatenträgern und Cloud-Storage

• Mobile Device Management (MDM) zum Bereinigen vertraulicher Daten im Falle eines Verlusts oder Diebstahls des Geräts

• Application Control, um unerwünschte Anwendungen zu blockieren"

Thomas Hemker, Symantec: "Generell sollten Unternehmen eine Sicherheitsstrategie sowie Richtlinien entwickeln, die zum Beispiel regelt, welche Daten auf privaten Geräten - Bring Your Own Device (BYOD) - abgelegt sein dürfen und wie diese Tablets oder Smartphones sicher in das Unternehmensnetzwerk eingebunden werden können. Lösungen wie Symantec Mobile Device Management (MDM) oder Mobile Application Management (MAM) können mobile Geräte aus der Ferne warten und administrieren, und zwar sowohl die Hardware als auch die Software auf dem Gerät.

Mitarbeiter sind im Umgang mit mobilen Endgeräten zu sensibilisieren. Die größte Gefahr ist immer noch der Verlust des Smartphones oder Tablet. Viele User realisieren nicht, dass ein solches Gerät ähnlich wie ein Rechner zu handhaben ist.

Unternehmen sollten auf Smartphone, Tablets und Laptops Software vorinstallieren, mit der sich das Gerät aus der Ferne sperren und die Inhalte löschen lassen. Dies erhöht die Sicherheit unternehmenskritischer Daten.

Für den Privatgebrauch erfreuen sich Apps großer Beliebtheit, und immer mehr Anwender möchten sie auch im Unternehmensumfeld nutzen, um ihre Arbeit effizienter erledigen zu können. Mit dem Symantec-App-Center-Ready-Programm können Entwickler mobiler Anwendungen die Symantec-Technologien für den Anwendungsschutz in ihre Apps integrieren. Nach der Integration mit der Symantec-Technologie wird die mobile Anwendung als Symantec "App Center Ready" zertifiziert - und erhält somit ein Sicherheitsgütesiegel.

Für private Anwender empfiehlt sich eine Mobile-Security-Lösung, die vor Viren, Spam und Würmern schützt. Norton Mobile Security erfüllt diese Anforderungen und scannt automatisch alle heruntergeladenen Apps oder Updates auf Bedrohungen. Phishing Sites werden ebenfalls automatisch gesperrt. Ist das Gerät verlegt, lässt sich ein Ortungssignal auslösen, das den Standort anzeigt."

Michael Haas, WatchGuard: "Um die Sicherheitsrisiken im mobilen Umfeld zu reduzieren, gibt es verschiedenste Möglichkeiten, die sich beliebig kombinieren lassen. Es empfiehlt sich beispielsweise, spezielle Security-Zonen für diese Endgeräte zu bilden. Ein solches Vorgehen hat zwei wichtige Vorteile: Zum einen können für diese Zonen im Netzwerk zusätzliche, passende Sicherheitsregeln definiert werden, die maximalen Schutz garantieren. Zum anderen lässt sich der Schaden klar begrenzen, falls es doch einmal zu einem Übergriff kommt. Bedrohungen können gezielt vom Rest des Netzwerks ferngehalten werden. Unternehmen müssen in diesem Zusammenhang vor allem erkennen, dass selbst ein Laptop nicht allein durch Einstecken in die Docking-Station abgesichert ist.

Grundsätzlich spricht nichts gegen die Verwendung von mobilen Endgeräten jeder Art, ganz im Gegenteil: Sie erhöhen in vielen Fällen die Produktivität und Flexibilität des Mitarbeiters. Jedoch sollte man den Datenverkehr und bestimmte Anwendungen sehr genau betrachten und nur selektiv zulassen. Mit WatchGuard-Lösungen ist die Steuerung zum Beispiel auf Ebene der einzelnen Anwendungen möglich. Um den Datenverlust zu verhindern, sollte darüber hinaus - zumindest bei firmeneigenen Geräten - regelmäßig und unternehmensübergreifend eine automatisierte Datensicherung stattfinden, die für jeden Mitarbeiter verbindlich ist." (Tecchannel)

Zur Startseite