BYOD: Bring Your Own Device - oder vielleicht: Gefährden Sie sich selbst?

Transkript

1 BYOD: Bring Your Own Device - oder vielleicht: Gefährden Sie sich selbst? White Paper Veröffentlicht: Januar 2013

2 Was ist BYOD? BYOD ist die Abkürzung von 'Bring your own device' und beschreibt das Phänomen von Angestellten und Gästen, die ihre eigenen tragbaren Systeme und Computer mit dem Unternehmensnetzwerk verbinden. Dies geschieht in Unternehmen jeder Größe und bringt einzigartige Risiken mit sich. BYOD steht auch für die Konsumerisierung der IT und zeigt die Probleme, die IT-Administratoren sehen, wenn Endverbrauchersysteme Zugriff auf die Netzwerke nehmen anstelle der verwalteten, kontrollierten und gesicherten Unternehmenssysteme wie früher. Dieses Whitepaper beschreibt die treibenden Marktkräfte hinter dem BYOD-Phänomen, die Herausforderungen an Unternehmen, einen strategischen Entwurf zum Management von BYOD und wie WatchGuard hilft, eine sichere BYOD-Umgebung zu schaffen. Wo liegt die Gefahr? Um die Herausforderungen und Risiken, die BYOD mit sich bringt, einzuschätzen, ist es wichtig, die Trends und treibenden Kräfte von BYOD zu kennen. Bis vor kurzem versorgte die IT-Abteilung die Angestellten mit allen notwendigen (und erprobten) Tools und Programmen; so wurden Produktivität, Verwaltbarkeit und Sicherheit ermöglicht und gesichert. Dies umfasste die Ausstattung der Mitarbeiter mit einem Computer (Desktop/Laptop) und der Installation aller erforderlichen Anwendungen (z.b. ein 'Office-Paket') gemäß dem IT-Standard des Unternehmens. Mit der massenhaften Verbreitung mobiler Technologie und dem weit verbreitetem Einsatz von Social Media entstand der BYOD-Trend. Unternehmen sahen sich plötzlich mit einer Arbeitsumgebung konfrontiert, in der Mitarbeiter ihre eigenen Mobiltelefone mitbrachten, mit denen Notizen erstellt, Audio- und Bildaufnahmen von vertraulichen Daten und Dokumenten gemacht und dann einfach außerhalb des Unternehmensnetzwerkes unkontrolliert weitergegeben werden können. Andere Geräte, wie zum Beispiel MP3-Player, konnten auch als externe Festplatten genutzt werden, was es den Mitarbeitern ermöglichte, unbemerkt Informationen aus dem Unternehmen mitzunehmen. Zusätzlich begannen die Mitarbeiter, auch Social-Media-Anwendungen zu nutzen. Zu Anfang betrachteten die meisten IT-Administratoren Social Media als Zeitverschwendung und Verringerung der Produktivität der Mitarbeiter. Der Erfolg der Anwender der ersten Stunde hat jedoch gezeigt, dass Social Media auch die Effizienz der Mitarbeiter steigert, indem es die gemeinsame Nutzung, Zusammenarbeit und Kommunikation auf eine viel flexiblere und anwenderfreundlichere Weise ermöglicht als streng geregelte Unternehmensanwendungen. Dieser Trend beschleunigte sich, als die Grenzen zwischen Arbeit und Freizeit verschwammen. Arbeit war nicht mehr nur ein Ort, an dem man geht, sondern eher eine Aktivität. Mitarbeiter können heute jederzeit und überall arbeiten. Wir arbeiten und spielen mit unterschiedlichen Systemen (Telefon, Laptop, Taschencomputer, usw.) ohne dabei die Produktivität oder die Work-Life-Balance zu verschlechtern. In weniger als 10 Jahren hat sich die IT zum Gebrauchsgegenstand entwickelt und stellt IT-Administratoren vor neue Herausforderungen in Bezug auf Informationssicherheit und -kontrolle einerseits, und der Produktivität und Freiheit der Mitarbeiter andererseits. seite 2 WatchGuard Technologies

3 Täuschen Sie sich nicht! BYOD wird uns erhalten bleiben. Eine Studie aus dem Jahr 2011 zeigt, dass 40 Prozent der Systeme, die für den Zugriff auf Geschäftsanwendungen genutzt werden, Mitarbeitereigentum sind - eine Steigerung um 30 Prozent gegenüber Ein anderer Expertenbericht zeigt, dass bis 2014 bis zu 80 Prozent der beruflichen Anwender mindestens zwei eigene Systeme für den Zugriff auf Unternehmenssysteme und Daten nutzen werden. 2 Auch wenn BYOD Gefahren mit sich bringt: es birgt auch Vorteile für Unternehmen und Angestellte, wenn es strategisch in die IT eingebunden wird. Verglichen mit herkömmlichen IT-Systemen sind mobile Computersysteme für Endverbraucher günstig. Und wenn mehr Angestellte ihre eigenen mobilen Systeme nutzen, können die Arbeitgeber die Bereitstellung und das Management von Systemen reduzieren, was wiederum die Kosten für die IT senkt. Eine jüngere Studie aus UK zeigt hingegen, dass für die IT Kostensteigerungen entstehen, wenn versucht wird, das Mitbringen von Mitarbeitersystemen zu beschränken. Bezüglich gesteigerter Mitarbeiterproduktivität zeigte eine Umfrage unter mobilen Arbeitnehmern, dass "Mitarbeiter, die mobile Systeme für Arbeit und Persönliches nutzen, 240 Stunden pro Jahr mehr arbeiten als Mitarbeiter, die diese nicht nutzen." 3 Zusätzliche Vorteile durch das Übernehmen von BYOD in der Arbeitsumgebung entstehen dadurch, dass Angestellte zufriedener mit ihrer Arbeit sind und bessere Ergebnisse in der Zusammenarbeit und unterwegs liefern, wie Unternehmen berichten. BYOD am Arbeitsplatz ist die neue Realität. Letztendlich gibt es mehrere Gründe, von der Kostensenkung bis hin zu gesteigerter Mitarbeitereffizienz, um die Einführung im Unternehmen zu befürworten. Die IT muss jedoch die mit BYOD einhergehenden Risiken und Herausforderungen berücksichtigen. Herausforderungen an die IT Man kann nur schützen, was man kennt. Diese Aussage dient manchmal als Rechtfertigung, um BYOD nicht umzusetzen. Aber zu jeder Regel gibt es Ausnahmen, und oftmals ist der Grund für die Ausnahme das Eckbüro eines Top-Managers. BYOD hat oft von Oben begonnen. Top-Manager, die von zu Hause und unterwegs aus arbeiten wollten, waren die Ersten, die verlangten, dass die IT Zugriff auf Unternehmensressourcen mittels eigener Systeme ermöglicht. Da diese Ausnahmen auf Spitzenebene relativ selten waren, konnte die IT die mit der Anforderung einhergehenden Risiken umgehen. Das setzte sich schnell von oben nach unten fort, und viele Unternehmen ohne BYOD-Strategie wurden kalt erwischt. Die Endverbrauchersysteme sind extrem unterschiedlich in ihren Möglichkeiten, Größen und Funktionen. Daher können die Entwicklungsbemühungen der IT-Abteilung für einen skalierbaren und kontrollierbaren Plan für das Gewähren oder Ablehnen des Zugriffs bestimmter Endverbrauchersysteme auf das Unternehmen zunichte gemacht werden. Zweifellos stellt BYOD langjährig erprobte IT-Kontrollen zur Minimierung und Eingrenzung von Risiken auf die Probe. Und so wie Unternehmen untersuchen, wie sie BYOD anwenden können, müssen auch die damit verbundenen Risiken untersucht werden. 1 IDC (sponsored by Unisys). IDC 2011 Consumerization of IT Study: Closing the Consumerization Gap. July, Gartner 3 ipass. The ipass 2011 Mobile Workforce Report. November, seite 3 WatchGuard Technologies

4 Das Risiko des Datenverlusts steht an erster Stelle. Datenverlust kann unterschiedlich ausgeprägt sein, und die Folgen können extrem ausfallen. So schätzt zum Beispiel eine jüngere Untersuchung die Kosten für Datenschutzverstöße auf circa 200 US$ pro Datensatz für das betreffende Unternehmen. Dies basiert auf einer Vielfalt von Faktoren: darunter entgangene Umsätze, Anwaltskosten, Kosten der Bekanntmachung durch Kundenkontakt und Reaktion der Öffentlichkeit, Beratungsleistungen, sowie Mängelbeseitigung, z.b. durch neue Sicherheitstechnik und Schulung. 4 Darüber hinaus können Gesetze und Vorschriften weiter Einfluss auf das Ergebnis für das Unternehmen im Fall von Datenverlust haben. Ein Datenschutzverstoß bei einem Einzelhändler zum Beispiel kann Zahlungen für Kreditüberwachungsdienste für betroffene Kunden, Vergleichszahlungen und Auditierung von PCI DSS Informationen für bis zu fünf Jahre nach sich ziehen. Neben dem Datenverlust steht das mit Viren verbundene Risiko, die über Endverbrauchersysteme in das Unternehmensnetzwerk gelangen. Viele handelsübliche, mobile Endverbrauchersysteme verfügen nicht über Antivirus-Software oder Schutz vor Schadsoftware. Zum Beispiel sind Android-Systeme oft mit Virusrisiken, darunter Keylogger, Trojaner und andere Schadprogramme, in den Schlagzeilen. Die mit Hackerangriffen einhergehenden Risiken ähneln denen der Viren, die über das Endverbrauchergerät den Arbeitsplatz erreichen. Zugegeben, gezielte Hackerangriffe über mobile Systeme auf die Industrie sind erst im Entstehen, aber man darf erwarten, dass Hacker es schaffen werden, die 'Sandbox' der systemeigenen Browser zu verlassen und Zugriff auf andere Systemfunktionen zu erhalten. Das könnte ganz leicht zu Directory Harvesting oder neuen BYOD- Botnets führen. In bezug auf den Web-Browser, der in den Endverbrauchersystemen arbeitet, sagt WatchGuard voraus, dass die Man-in-the-Browser-Angriffe (MitB) steigen werden. Herkömmliche Schadsoftware neigt dazu, das Betriebssystem zu infizieren - üblicherweise als ein ausführbares Programm, das verschiedene Startparameter verändert, so dass es bei jedem Rechnerstart ausgeführt wird. Hingegen kommen MitB oder Browser-Zombies als bösartige Browser-Erweiterungen, Plug-Ins, Helper Objects oder JavaScript-Code daher. Sie infizieren nicht das ganze System, sondern übernehmen die totale Kontrolle über den Systembrowser und laufen immer, wenn der Anwender im Internet ist. Über echte Angriffe hinaus ist die IT bei der Durchsetzung von Richtlinien gefordert. Mit so vielen für den Endverbraucher verfügbaren Systemen ist die IT schlecht aufgestellt, um Richtlinien für jedes einzelne Gerät zu schaffen. Auf Grund des großen Sortiments von Geräten ist es für die IT kritisch, jedes Gerät zu erkennen, das sich mit dem Unternehmensnetz verbindet, und sowohl das Gerät als auch den Benutzer zu authentifizieren. Zuletzt wird die IT herausgefordert, ausreichenden Einblick in die Geschehnisse im Netzwerk zu haben. Die IT kann das Geschäft und die Daten nicht schützen, wenn sie nicht weiß, was im Unternehmensnetzwerk geschieht. Mangelnder Einblick (sowohl in Bezug auf Protokollierung als auch im Berichtswesen) unterstützt das Sprichwort Man kann nur schützen, was man kennt. Neben den Herausforderungen in Bezug auf Sicherheit gibt es bei BYOD Herausforderungen an die Produktivität. In der Kenntnis, dass Arbeit eine Aktivität ist, und nicht notwendigerweise ein Ort, an den sie gehen, muss die IT sichere Lösungen für den Zugang bieten, um den Mitarbeitern die Arbeit an jedem Ort zu ermöglichen; das können z.b. Virtual Private Networks (VPN) sein. 4 Ponemon Institute (sponsored by Symantec) Cost of a Data Breach. March, seite 4 WatchGuard Technologies

5 Die IT muss sich auch darauf vorbereiten, dass die Mitarbeiter zunehmend erwarten, über das Internet zusammenzuarbeiten, Fernzugriffslösungen zu nutzen und die Möglichkeit zu haben, ihre eigenen mobilen Geräte in der Arbeitsumgebung einzusetzen. Fazit ist, es gibt eine Unzahl an Herausforderungen, denen die IT ins Auge sehen muss, um mit BYOD fertig zu werden. Manche sind Herausforderungen in Bezug auf Risikomanagement, andere betreffen Berechtigungen und Nutzung. Nichtsdestotrotz muss die IT damit rechnen, eine BYOD-Strategie als Bestandteil ihrer Dienstleistung im Unternehmen einzuführen und durchzusetzen. Zehn Strategien für die Umsetzung von BYOD Die folgenden strategischen Punkte sollten von der IT-Abteilung oder dem Administrator als Teil des BYOD-Planungsprozesses betrachtet werden. 1. Einblick verschaffen: WatchGuard zeigt gängige Fehler in der BYOD-Strategieerstellung auf. Der erste Fehler ist das Nichtwissen über die Netzwerkaktivitäten der Angestellten. Mit einem Benchmark-Schnappschuss über die Firewall-Logs und -Berichte gewinnt die IT wertvolle Einblicke in die momentan mit dem Netzwerk verbundenen Geräte und welche Anwendungen genutzt werden. 2. Social Media unterstützen: Gehen Sie nciht einfach davon aus, dass Facebook oder andere Social Media-Anwendungen Zeitverschwendung Ihrer Mitarbeiter sind. Es ist stattdessen viel besser, den Charakter der das Netzwerk nutzenden Anwendungen zu untersuchen, bevor drastische Maßnahmen getroffen werden, welche die Produktivität abwürgen könnten. 3. Passwörter verwalten: Ein weiterer zu vermeidender Fehler betrifft die Kennwortverwaltung. Viel zu oft lassen Unternehmen vom Anwender generierte Passwörter als Teil der Zugangskontrolle zu. Das kann zu sehr unsicheren Passwörtern und damit zur Gefährdung der IT-Systeme führen. Passwortrichtlinien für BYOD-Geräte sollten sich nicht von den Vorgaben für sichere Passwörter für herkömmliche IT-Systeme unterscheiden, wie z.b. für Laptops oder Desktop-Computer. 4. Richtlinie schaffen: Die Richtlinie der IT sollte lauten BYOD einfach halten. Die IT sollte sich überlegen, eine umfassende Liste (Meta-Tabelle) zulässiger Geräte zu erstellen, die Zugriff auf das Unternehmensnetzwerk nehmen können. Die IT sollte zusätzlich auch kommunizieren, welche Geräte/Betriebssysteme unterstützt werden und welche nicht. So können technisch versierte Angestellte nutzen, was sie möchten, und sie wissen, dass sie für das Management und den einwandfreien Zustand ihres Gerätes selbst verantwortlich sind, wenn dies von der IT nicht unterstützt wird. 5. Arbeit und Privates trennen: Die IT sollte die weitest mögliche Trennung von Informationen aus der Arbeit und dem privaten Bereich in die Richtlinie einschließen. Überlegen Sie sich, eine Vereinbarung zur Einhaltung der Unternehmensrichtlinien zur zulässigen Nutzung sowie bezüglich IT-Monitoring und Risiko-Managementtools zur Standardverfahrensweise zu machen, die immer greift, wenn Angestellte mit eigenen Geräten Zugriff auf das Firmennetzwerk nehmen. seite 5 WatchGuard Technologies

6 6. Zulässige Nutzung: In Übereinstimmung mit Standardsicherheitsverfahren sollten Unternehmen immer eine minimale Zugriffskontrolle durchsetzen. Anders gesagt, auch mit BYOD wäre es eine strenge Sicherheitsrichtlinie, alle abzulehnen außer den genehmigten Geräten, Anwendungen und Nutzern. Jedes Unternehmen ist anders. Daher ist es entscheidend, im Voraus zu wissen, wie ihre Sicherheitsstrategie in Bezug auf Zugriffskontrollen aussehen wird. 7. Zugang über VPN-Technologie begrenzen: Es ist denkbar, dass IT-Administratoren in Unternehmen, die einen höheren Grad an Schutz benötigen, Zugriffskontrollen auf Geräte begrenzen wollen, die einen gewissen Grad an VPN-Konnektivität unterstützen. So ist für den Zugriff auf Unternehmensdaten immer eine sichere Verbindung erforderlich, unabhängig davon, wo ein Endverbrauchergerät eingesetzt wird. 8. Schauen Sie über das Gerät hinaus: Anwendungskontrollstrategien spielen eine wichtige Rolle bei der Erstellung einer sicheren und effizienten BYOD-Richtlinie. Stellen Sie sicher, dass Ihre BYOD-Richtlinie auch festlegt, welche Anwendungen zulässig sind und welche nicht. Mit implementierten Anwendungskontrollen wird das Netzwerk vom Gerät unabhängig und kann auf Basis definierter Anwendungen die Richtlinien umsetzen. 9. Richtlinie für segmentierte Netzwerke einsetzen: Sensible Daten sollten immer in einem anderen Netzwerk liegen als in dem, welches für Gäste, Auftragnehmer oder andere betriebsfremde Personen zugänglich ist. Mit einem segmentierten Netzwerk kann die IT unterschiedliche Richtlinien für Mitarbeiter und Gäste umsetzen. 10. Compliance erfassen: Überprüfen Sie, was sonst noch gefährdet ist. Wird Ihr Unternehmen regelmäßig gemäß HIPAA oder PCI DSS überprüft? Gibt es Schadenskontrollmechanismen, so dass ein vom Mitarbeiter verlorenes Smartphone oder Tablet-PC gelöscht werden kann, um Datenverlust zu verhindern? Schließlich ist die Kommunikation kritisch für die Vermeidung gesetzlicher Haftungsrisiken. Stellen Sie sicher, dass Ihre BYOD-Richtlinie allen Mitarbeitern regelmäßig kommuniziert wird. Sie brauchen eine schriftliche Richtlinie, in der festgehalten ist, welche Rechte ein Mitarbeiter aufgibt, damit er mit seinem privaten Gerät Zugang zu Unternehmensressourcen erhält. Letztendlich wird die beste BYOD-Strategie auf einem soliden Fundament von bewährten Sicherheitsmethoden und Durchsetzung von Endanwenderrichtlinien aufgebaut. Eine sichere Umgebung mit WatchGuard Technologies schaffen Wir wissen, dass BYOD uns erhalten bleiben wird; daher bietet WatchGuard einfach zu nutzende Sicherheitsdienste für IT-Administratoren, die Unternehmen benötigen, um BYOD zu managen. Richtlinie leicht gemacht: Zuallererst entwickelt WatchGuard alle Firewalls der nächsten Generation und UTMs (Unified Threat Management, XTM-Serie), sichere -Gateways (XCS-Serie) und SSL VPN Produkte mit leistungsfähigen, aber einfach zu nutzenden Richtlinienwerkzeugen. Dadurch kann der Administrator die Richtlinien durchsetzen, die für die Umgebung am besten geeignet sind, egal ob es sich um einen kleinen Einzelhändler oder ein multinationales, dezentrales Unternehmen handelt. seite 6 WatchGuard Technologies

7 Netzwerksegmentierung: Die Lösungen von WatchGuard gestatten es Administratoren, einfach und schnell mehrere Netzwerksegmente zu erstellen. Und mit den virtuellen Produktlinien (XTMv und XCSv) können sogar virtuelle Anlagen geschützt und segmentiert werden, damit Compliance und hohe Sicherheit gewahrt bleiben. Anwendungskontrolle: Kein anderer Anbieter von Sicherheitssystemen bietet so umfassende und einfach umzusetzende Anwendungskontrollmöglichkeiten. Mit der WatchGuard Anwendungskontrolle können Administratoren über Anwendungstypen im Netzwerk überwachen. Administratoren können eine Vielzahl an Richtlinien einsetzen; vom Monitoring bis hin zur vollständigen Blockade einer Anwendung. Auch Internet-Anwendungen können kontrolliert werden. So könnte zum Beispiel ein Unternehmen den Marketingmitarbeitern Facebook gestatten, aber z.b. Farmville blockieren. Dieses Niveau der Anwendungskontrolle gibt der IT Sicherheit im Wissen, dass sie die Anwendungen in ihren Netzwerken kontrollieren kann, unabhängig vom Gerät, das ein Mitarbeiter mitbringt. Gateway Antivirus: Mit WatchGuard kann die Netzwerkgrenze auch gleich die erste Verteidigungslinie gegen mobile Schadsoftware sein. WatchGuard verwendet den bestmöglichen Ansatz und gewährleistet so, dass alle verbundenen Geräte im Netzwerk mit einem Antivirus abgeschirmt sind. Mit Cloud-basierter Reputation Enabled Defense dazu wird weiterer fortschrittlicher Schutz vor gefährlichen IP-Adressen und URLs für alle Systeme im Netzwerk bereitgestellt. WebBlocker: Über die Anwendungskontrolle hinaus erlaubt der WebBlocker von WatchGuard der IT auch die einfache Erstellung und Verwaltung von Richtlinien bezüglich erlaubtem und unerlaubtem Surfen im Internet. Da dieser Dienst im Gateway liegt, kennt er den Gerätetyp nicht, den der Mitarbeiter mitbringt. Somit können sichere Internet-Surfpraktiken immer durchgesetzt werden. VPN-Funktionalität: Mit den VPN-Fähigkeiten von WatchGuard können Administratoren Richtlinien für die zulässige Nutzung für mobile Mitarbeiter durchsetzen, die zu jeder Zeit und von überall aus Zugang zu Unternehmensdaten brauchen. Diese Kontrollen schützen die Anwender sogar in den gefährlichsten Umgebungen, wie zum Beispiel Hotels und öffentliche Hotspots. Protokollierung und Berichtswesen: Dies ist vielleicht eines der wertvollsten Hilfsmittel der IT für die BYOD-Strategie. Mit WatchGuard erhalten Administratoren tiefen Einblick in die mit dem Netzwerk verbundenen Systeme und die verwendeten Anwendungen. Diese Art des Einblicks hilft nicht nur, Ressourcen zu schützen, sondern zeigt auch deutlich die neuralgischen Punkte und potenziellen Schwachpunkte auf und hilft so, Problembereiche zu beseitigen. seite 7 WatchGuard Technologies

8 Zusammenfassung BYOD ist ein bleibender Faktor, und es wird erwartet, dass Größe und Umfang zunehmen werden. Damit einher gehen neue Herausforderungen und Möglichkeiten für Unternehmen und ihre IT- Abteilungen. Das bedeutet, dass eine BYOD-Strategie für Erfolg und Datenschutz entscheidend ist. Als Teil einer soliden BYOD-Strategie werden gut gestaltete Richtlinien und Anwendervereinbarungen Schlüsselfaktoren sein. WatchGuard liefert Administratoren die Werkzeuge und Lösungen für die Schaffung einer sicheren und produktiven BYOD-Umgebung. Weitere Informationen Für weitere Informationen besuchen Sie die Website von WatchGuard, nehmen Sie Kontakt zu einem WatchGuard-Händler auf oder rufen Sie an unter 1 (800) in den USA und Canada. Wendenstraße Hamburg Tel.: +49 (700) Weltweit: Über WatchGuard Technologies Seit 1996 entwickelt WatchGuard ganzheitliche Netzwerk- und Content-Sicherheitslösungen, mit denen Unternehmen ihre Daten und Geschäfte umfassend schützen können. Das XTM-Portfolio (Extensible Threat Management) kombiniert Firewall, VPN und Sicherheitsdienste. Die XCS-Appliances (Extensible Content Security) schützen darüber hinaus Unternehmensinhalte sowohl in s als auch im Web und verhindern den Datenverlust. Dank umfangreicher Skalierungsmöglichkeiten hat WatchGuard für Unternehmen jeder Größenordnung die passende Lösung und mehr als eigens ausgewählte Partner in 120 Ländern bieten abgestimmten Service. Der Hauptsitz von WatchGuard liegt in Seattle im US-Bundesstaat Washington. Weitere Informationen unter WatchGuard Technologies, Inc. Alle Rechte vorbehalten. WatchGuard, das WatchGuard-Logo, und LiveSecurity sind in den USA und/oder anderen Ländern entweder Markenzeichen oder eingetragene Markenzeichen von WatchGuard Technologies, Inc. Alle anderen Markenzeichen oder Markennamen sind Eigentum ihrer jeweiligen Besitzer. Teilenr. Part No. WGCE66799_ seite 8 WatchGuard Technologies