WIXLIB

SecurityRisiko-Assessment-Checkliste für EndpunkteEine solche Liste könnte etwafolgendermaßen aussehen:Art des Endpunkts (technisch):Feste Büro-PCs sind sichererals mobile. Bei der Mobilitätbeeinflusst der Formfaktor(Notebook, Ultrabook, Tablet,Mobiltelefon) zusätzlich dasRisiko des Verlusts oder desDiebstahls, außerdem werdenbestimmte Geräte eher in belebten öffentlichen Umgebungengenutzt als andere.Hinzu kommt, dass es schonaus technischer Sicht verwaltbare und nicht verwaltbare Endgeräte gibt (manageable andnon-manageable). Zu Letzterenkönnen beispielsweise exotischeMobilgeräte in der Produktionoder Logistik gehören oder ganzeinfach Mobiltelefone, die zuselten sind, als dass es für sieeine Management-Schnittstellegäbe.Art des Endpunkts (rechtlich):Für Geräte, die dem Endanwender gehören, gelten buchstäblich andere Gesetze als fürsolche, die das Unternehmenbeschafft und ausgegeben hat.Darauf gespeicherte Daten beispielsweise dürfen bei Diebstahlsverdacht nicht einfachgelöscht werden. Vor diesemCard Industry Data SecurityStandard) stellt gezielt die Frage, ob ein Betriebssystem „typischerweise anfällig für Malware“ ist oder nicht.Eine nähere Auseinandersetzung mit Fragen einer Checkliste (siehe Kasten) dürfte einer ITAbteilung auf jeden Fall einenEinblick in die Risikosituationrund um verschiedene „Endpoints“ in ihrer Organisationverschaffen, selbst wenn dabeikeine komplexen Risikometrikenzum Einsatz kommen. Alleindeshalb, weil den Bedrohungenund Risiken sehr viele unterschiedliche Lösungsangebotegegenüberstehen, bietet sichein Vorgehen streng nach demGrundsatz an, die größten Gefahren zuerst abzustellen.In den meisten Fällen wirdnicht das Endgerät an sich, sondern sein Daseinszweck als ZuIVHintergrund sind auch Verträgeund Vereinbarungen mit denNutzern Teil des Arsenals derEndpoint-Security-Maßnahmen. Diese umfassen dannebenfalls den Dialog mitAnwälten und Arbeitnehmervertretern.Betriebssystem und SicherheitsFeatures: Jedes Betriebssystembringt eine unterschiedlicheAnfälligkeit für Malware undeine unterschiedliche Ausstattung mit Business-tauglichenSicherheitsfunktionen mit. Zuden Security-Optionen gehörenetwa eingebaute Verschlüsselung, erweiterter Zugriffsschutzund gegebenenfalls die Fähigkeit, private Anwendungen vondenen des Unternehmens striktzu trennen. Speziell iOS undAndroid und ihre weniger verbreiteten Verwandten stelltendie Unternehmen hier bislangvor Probleme, aber die Hersteller holen auf und rüsten ihreBasissoftware vermehrt mitTools für den sicherenGeschäftseinsatz aus.Anwendungen und Zugriffsrechte: Auf welche Ressourcenkann das jeweilige Gerät und/oder der Anwender zugreifen?Welche exponiert er dabeiwährend der Arbeit – vor allemgriffspunkt auf die zentralenInformationen die größte Aufmerksamkeit und die dringendsten Maßnahmen erfordern. Jebesser es gelingt, das Schadenspotenzial von Endgeräten imNetz auch ohne Maßnahmenauf den Systemen selbst etwadurch Netzwerk- und Zugriffsschutz einzudämmen, und jebesser eine IT-Abteilung in derLage ist, die Nutzer der Gerätezum sicherheitsbewussten Umgang damit anzuleiten, destoweniger werden die Geräteheterogenität und die mangelnde Sicherheitsausrüstung zum Risiko.Die meisten IT-Abteilungenhaben sich daran gewöhnt,Endpoint-Sicherheit durch professionelles Gerätemanagement herzustellen. Bevor dieheutigen Mobilsysteme in dieUnternehmen einzogen, liefenklassische Arbeitsplatz-PCs undunterwegs – und inwieweit ister in der Lage, vertrauliche undunternehmenswichtige Informationen auf dem Gerät abzulegen? Damit verbunden sinddie Anforderungen, die ausRegularien für das jeweiligeGeschäftsfeld resultieren. Diemeisten Sicherheitsnormenvon Grundschutz bis ISO 27001verlangen explizit, ArbeitsplatzComputer ins Risikomanagement eines Unternehmens einzubeziehen, selbst wenn dieNormen keine oder nur wenigspezifische „Endpoint-Regeln“formulieren.Verbindungen: Nutzt der Anwender neben den Unternehmensverbindungen gleichzeitigCloud-Services – für das Unternehmen und gegebenenfallsauch persönlich? Wird seineInternetverbindung über dasUnternehmensnetz geleitet?Anwender: Ist der Anwenderan sich ein Ziel für möglicheAttacken auf die Informationssicherheit des Unternehmens –etwa, weil er aufgrund seinerPosition oder Tätigkeit einemAngreifer den Zugang zu hochwichtigen Daten verschaffenkann? Hält er sich an Regelnund ist er sicherheitsbewusstoder steht dies infrage?Notebooks fast durchweg mitähnlichen Versionen von Windows. Sie konnten deshalbmittels gängiger Managementlösungen konsequent Gruppenrichtlinien unterworfen und mitnahezu denselben Anti-Virus-,Personal-Firewall-, Authentifizierungs- und gegebenenfallsnoch Verschlüsselungsprodukten ausgestattet werden. Auchdas Patch-Management ließsich gut zentralisiert abwickeln.Ein paar Apple- und Linux-Systeme erforderten vielleicht eineSonderbetreuung, aber die Zahlhielt sich in Grenzen und dieBedrohung für diese Gerätetypen war gering.Vielleicht ist es der gewohnte Umgang mit diesem Konzept, der die Unternehmen zuMobile-Device-Management(MDM) als zentralem Lösungsansatz für die Sicherheit aktuel-ler mobiler Endpoints greifenlässt (Abb.ˇ2). Die meisten klassischen GerätemanagementProdukte können auch heutenoch keine Endgeräte mitverwalten, die nicht der WindowsWelt angehören. Aber mit vielen Produkten winkt zumindestdie Chance, für die neuen mobilen Endgeräte nur eine zusätzliche, gemeinsame Verwaltungsplattform aufbauen zu müssen.Diese setzt dann wie gewohntRegeln zur Authentifizierung,Verschlüsselung, Softwareausstattung und Kommunikationseinstellungen durch.Heute ist klar, dass diesesModell seine Grenzen hat –etwa dann, wenn Geräte ebennicht dem Unternehmen gehören oder schlicht nicht von außen zu verwalten sind. Darüberhinaus wandern sinnvolle Verwaltungsfunktionen vermehrtin die Betriebssysteme selbst,da die Hersteller mit Blick aufBYOD und CYOD inzwischendurchaus auch an die BusinessAnwender ihrer Lifestyle-Gerätedenken.NAC im ZentrumÜberdies evaluieren Unternehmen heute vermehrt einenAnsatz, der eine kaum minderlange Geschichte hat, zur Zeitder eher homogenen Netze aberzuweilen als ungewöhnliche,nicht perfekt erscheinende „Bastellösung“ exotischer Organisationen belächelt wurde: Geräteund Anwenderauthentifizierungsowie -bewertung durch Network Admission oder NetworkAccess Control (NAC) mit dynamischer Zuweisung der „Endpoints“ zu risikogerechten Netzwerksegmenten mit graduellabgestimmten Zugriffsrechtenauf weitere Systeme.Seine Heimat hatte diesesModell zunächst vor allem anUniversitäten und internationalen Forschungseinrichtungenjeder Art, speziell aber in derMedizin. Als für die meisten Unternehmen die bereits geschilderten Arbeitsplatzwelten mitfesten und mobilen WindowsPCs noch weitgehend in Ordnung waren, sah man sich insolchen Organisationen bereitsiX extra 3/2014

Securitymit der Herausforderung konfrontiert, immer wieder Gaststudenten und -wissenschaftler indie eigenen Netze einzubinden,und zwar mit Zugang zu internationalen Kommunikationsnetzen und internen Ressourcen.Von einer durchgängigenVerwaltbarkeit der Geräte konnte auch in diesen frühen „BringYour-Own-Device“-Szenarienkeine Rede sein, denn die finanziell notorisch klammen, aberkreativen Wissenschaftler arbeiteten mit teils abgelaufenen,teils modifizierten, teils unzureichend oder gar nicht lizenzierten Windows-Versionen oderfrühen Varianten der Apple- undOpen-Source-Systeme. Die Administratoren hatten kaum eineChance, Updates zu erzwingenoder durchgängig einen bestimmten Patch-Stand eines bevorzugten Anti-Virus-Systemsdurchzusetzen.Zugriffsrechteje nach RisikolageAlso versuchte man, alle Gerätebei der Anmeldung am Netz zuerkennen, je nach Sicherheitsausstattung und Risikolage inpassend eingerichtete Netzsegmente zu verweisen und ihnennach Abgleich mit den Aufgaben des zugehörigen Anwenders möglichst viele der erforderlichen Zugriffsrechteeinzuräumen. Systeme, beidenen das Risiko zu hoch erschien, landeten in Quarantäne,und man nahm Kontakt mit denBesitzern auf.Überhaupt spielte die Sensibilisierung von Anwendern indiesem Umfeld schon früh einegroße Rolle, denn man suchtedie Lücken der technischen Sicherheit durch Human-FactorMaßnahmen auszugleichen –hier durchaus erfolgreich, denndie geschilderten Anwendergruppen waren als „Digital Natives“ oder „Immigrants“ der allerersten Generation für einekooperative Zusammenarbeitmit den IT-Abteilungen durchaus offen. OrganisationseigeneGeräte wiederum konnten anhand von MAC-Adressen undUser-Authentifizierung sichererkannt werden, erhielten ihrePatches und Gruppenrichtlinienund damit oft auch die umfangreichsten Zugriffsrechte.Genau diese „anarchische“Konzeption passt heute exaktauf die Anforderungen vielerUnternehmen, die die altenGerätemanagement-Strukturenangesichts des Mobile-DevicesBooms und der wachsendenHeterogenität der Endpointsnicht mehr konsequent umsetzen können. Wenn also der eineoder andere NAC-Anbieter seinProdukt inzwischen als adäquates Zentrum einer modernenMobilgeräte-Umgebung zu platzieren versucht, ist dies durch-Wichtige Managementfunktionen für Mobilgeräte(drei Antworten möglich)Provisioning- undZugriffsrichtlinien-Management70 %62 %Virus- und Schädlingserkennungsowie -verhinderung65 %55 %Verschlüsselung und andereTechnologien gegen Datenverlust44 %49 %43 %47 %Asset-Tracking39 %42 %Daten können aus der Fernegelöscht werden38 %41 %Quelle: PonemonStudie 2013Antidiebstahlfunktionen1%3%Weitere0%10 %201220 %30 %40 %50 %60 %70 %80 %2011Provisioning und Zugriffsrichtlinien spielen für die Kunden vonManagementlösungen für mobile Geräte die wichtigste Rolle(Abb.ˇ2).iX extra 3/2014V

Securityaus sinnvoll, und zwar gerade inBYOD-Szenarien.Unternehmen können entsprechende Konstrukte heuteaußerdem weit besser absichern als ihre Hochschulkollegen der geschilderten Ära,wenn sie NAC mit automatisierter und echtzeitnaher LogfileAnalyse ergänzen. Ein SIEMSystem (Security Incident andEvent Management), das dieLogs möglichst vieler Sicherheitssensoren im Netz auswertet und deren Warnungen zueinander in Beziehung setzt,reagiert auch dann, wenn einanfangs unverdächtiger unddeshalb bereits zugelassenerEndpunkt im Netz während desBetriebs plötzlich seinen Charakter ändert und verdächtigeAktionen gegen kritische Ressourcen beginnt. Dabei ist esgleichgültig, ob dies bewusstdurch den Anwender geschieht,ob sich ein fremder Anwenderdes Endgeräts bemächtigt hatoder ob sich ein Spionage-Toolauf dem System einschleichenkonnte und es zweckentfremdet. Eine solche Echtzeitkomponente erweitert das Potenzialdes NAC-Ansatzes, Endpoint-Risiken einzuschränken, erheblich.Virtualisierung alsSicherheitsmaßnahmeEin weiterer Ansatz, der Endpoint-Risiken heute deutlichentschärfen kann, ist die Virtualisierung von Anwendungen.Bei den PCs kennt man dies etwa vom Citrix-Modell oder derVMware-Desktop-Virtualisierung, bei den Mobilgeräten vonContainer-Lösungen. Entwedernutzt man die Endgeräte dabeinur als Terminal für zentral lau-fende Applikationen, oder manschottet lokal installierte Businessanwendungen in SoftwareContainern vom eigentlichenEndgerät ab.In beiden Fällen existierenzwischen beiden Welten nur definierte Übergabepunkte, die risikoadäquat festgesetzt werdenkönnen. Das Endgerät wird damit vergleichsweise uninteressant. Sollte es bestimmte Risiko-Schwellwerte überschreitenoder verloren gehen, zieht dasUnternehmen den BusinessContainer einfach zurück oderkappt die Verbindung zum virtuellen „Fenster“ auf die Unternehmensanwendungen. Da dasGerät an sich dabei unangetastet bleibt, ist dies selbst dannunproblematisch, wenn der Anwender Eigentümer des Gerätsist oder die Erlaubnis hat, dortauch private Daten zu halten.Anbieter von ormshieldBaramundiBradford NetworksCentertoolCheck PointCiscoComputer AssociatesDeskcenterManagement SuiteNetwork SentryDriveLockCheck Point R77Security perskyLANDeskLumensionEgoSecure EndpointEnterasysEndpoint ProtectionNetwork Access ControlFortiClientBusiness SuiteEndpointProtectionEndPointSecurityTivoli Endpoint ManagerEnterprise Security SuiteUnified Access ControlEndpoint Security for BusinessEndpoint Security ManagementEndpoint ProtectionMcAfeeMicrosoftPandaEndpoint Protection SuiteForefrontSecurity for otal DefenseTrend MicroWebrootSafendPatch ManagementEnduser Protection SuiteSafe Access NetworkEndpoint ProtectionTotal Defense for BusinessEnterprise Security SuiteSecureAnywhereDie Übersicht erhebt keinen Anspruch auf bradfordnetworks.com/network access enterasys.com/products/management e com/solutions/technology/patch us/en/business/products/endpoint/Speziell die Tablet- und Mobiltelefon-Anbieter integrieren derzeit vermehrt Funktionen fürentsprechende Einsatzmodi inihre Systeme.Nicht selten setzen Administratoren Endpoint-Security mit„Data Loss Prevention“ (DLP)gleich. Das ist nicht korrekt,aber verständlich, denn der„Endpunkt“ ist jene Station imNetz, an der ein berechtigteroder nicht berechtigter Anwender Daten abzapfen oder, wasdas weit überwiegende Risikodarstellt, schlicht aufgrundmangelnder Vorsicht verlierenkann. Besteht ein entsprechendes Risiko, sollte die IT-Abteilung einer DLP-Lösung inBetracht ziehen. Stand derTechnik in dieser Hinsicht ist es,Kopier- und Sendevorgängenicht komplett zu blockieren,sondern etwa nach Ziel undMenge granular zu steuern.Beispielsweise wird ein Vertriebsmitarbeiter eine gewisseMenge an Kundendaten jedenTag frei verwenden dürfen, aberwenn er plötzlich ganze Datenbanken zu kopieren beginnt,sollte man dies unterbindenoder nach freundlicher Rückfrage eine Protokollierung der Aktion durchsetzen. Meist steckthinter derartigen Vorgängen jalediglich ein Bedienfehler odereine unbekannte, aber legitimeMaßnahme. Übertragungen aufunzulässige Cloud-Speicher allerdings müssen komplett blockiert werden können. Was zuerlauben ist und was nicht, ergibt sich aus einer BusinessAnalyse. Sie muss die Risikoanalyse ergänzen, damiteventuelle Sicherheitsmaßnahmen nicht aus Versehen Geschäftsprozesse behindern.Gleichzeitig gilt es, die Bedrohung der unterschiedlichenPlattformen durch Malware permanent zu verfolgen und – soweit möglich – entsprechendeScanner zu installieren, sobalddie Angreifer ein bestimmtesSystem tatsächlich ins Visiernehmen. Gibt es noch keineAnti-Malware-Produkte für einebestimmte Plattform, bietenVerhaltensanalyse samt Isolierung in einer Quarantäne-Umgebung einen Ausweg, sobaldiX extra 3/2014

SecurityAnbieter von Produkten für Mobile-Device-ManagementAnbieterAbsolute xExcitorFancyFon SoftwareFiberlink (IBM)FixmoFromdistanceGill TechnologiesGood TechnologyKaseyaMatrix42Mformation TechnologiesMIdpointsMobile Active DefenseMobileIronNotify TechnologySAPProduktAbsolute ManageAirWatchMobile Device SecurityAppBladeEnterprise MobilityManagementSyncShieldXenMobile MDMDMEFamocMaaS360SafeLock MDMMDMTele-WatchMobile Device ManagementMobile Device ManagementMobile Device ManagementEnterprise Mobility Managermidpoints mobile solutionsMADMobile Device ManagementNotifyMDMSAP ntrolRule -tablet-managementDie Übersicht erhebt keinen Anspruch auf Vollständigkeit.ein Endpunkt schädliche Aktivitäten entfaltet.Verschlüsselung ist ein weiteres wichtiges Thema. Die Wegverschlüsselung lässt sich dankIPSec- und SSL-Varianten heutemeist leicht umsetzen, aber dieAbsicherung der auf den Endgeräten abgelegten Daten stelltUnternehmen zuweilen vor Probleme. Eine komplette Datenträgerverschlüsselung etwa kannmehr oder weniger nutzlos sein,wenn der zugehörige „Endpoint“in der Öffentlichkeit genutztund lange Zeit ohne Sperre offen gelassen wirdˇ– ein Dieboder Eindringling kann in demFall die bereits erfolgte Authentifizierung einfach nutzen, umsich im Unternehmensnetz oderauf dem Gerät selbst umzusehen. Dateiverschlüsselung gemäß einer Vertraulichkeitsklassifizierung und automatischeGerätesperrung nach einemkurzen Zeitraum sowie das zeitgesteuerte Kappen inaktiverVerbindungen ins Unternehmensnetz müssen die lokalenVerschlüsselungsansätze alsoauf jeden Fall ergänzen.VIIIDamit ist auch der letztePunkt angesprochen, dem einUnternehmen in Sachen End-point-Security heute nicht mehrentkommt: risikogerechte Authentifizierung und rollenge-rechte Autorisierung des Anwenders, eventuell im Rahmendes erwähnten NAC-Modells.Beim administrativen Fernzugriff auf zentrale Systeme odervertrauliche Daten ist Zwei-Faktor-Authentifizierung heuteStandard. Nur so lässt sich effektiv verhindern, dass ein gekapertes Gerät allzu leicht für Angriffe missbraucht wird.FazitEndpoint Security lässt sich mitdem Modell der durchgängigenEndgeräteverwaltung heutenicht mehr bewältigen. Selbst inUnternehmen, die ihre Gerätenoch durchweg selbst an dieMitarbeiter ausgeben, wächstderen Vielfalt so stark, dass essinnvoller ist, von einem nichtkomplett vorhersagbaren Zustand aller Endpunkte auszugehen. Eine individuelle Risikoanalyse, die „ungeregelte“Zustände als den Normalfall zulässt, ist der beste Ausgangspunkt für ein modernes Endpoint-Security-Konzept.(ur)Bettina Weßelmannist freie Journalistin undBeraterin für unternehmensinterneSicherheitskommunikation.In iX extra 04/2014Webhosting: ShopsystemeEin Verkäufer, der seine Warenoder Leistungen über das Internet vertreiben will, steht zunächst vor der Wahl, auf welche Art er seinen „Laden“erstellt. Einen Webshop miteigenem Know-how oder demeines Spezialisten zu programmieren – das ist heute nurnoch selten erforderlich. Dochauch nach der Entscheidungfür einen gehosteten Webshopgilt es auszuwählen zwischendarauf spezialisierten Providernund Agenturen oder einemUniversalhoster mit meist mehreren Shoppaketen im Portfolio. Zudem bieten fast alleEntwickler von Shop-Softwareauch gleich eine gehosteteLösung an.Für den deutschen Shopbetreiber von Vorteil ist, dasses zahlreiche hierzulande entwickelte Softwarepakete gibt.Denn im Vergleich zu anderenHosting-Services sind beiWebshops besonders vielelandesspezifische gesetzlicheRegelungen einzuhalten. DasiX extra gibt einen Überblicküber die auf dem Markt verfügbaren Softwarepakete undHostinglösungen und berätzu den wichtigsten Auswahlkriterien.Erscheinungstermin:27. März 2014Die weiteren iX extras:AusgabeThema07/14Storage in der Cloud26. 6. 201409/14 WebhostingManaged Services28. 8. 201410/14Schutz vor gezielten Angriffen25. 9. 2014Cloud ComputingSecurityErscheinungsterminiX extra 3/2014

mobile / außerhalb der Firma tätige Mitarbeiter . Mobile-Device-Management (MDM) als zentralem Lösungs- . zen und internen Ressourcen.